APP 侵犯公民个人信息行为的刑法规制及其合理边界
2023-03-10黄陈辰
黄陈辰
(中央民族大学法学院,北京 100081)
一、引言
随着互联网、大数据、人工智能等前沿科技的发展,智能设备逐步从理论走向现实,成为人们日常生活中触手可及且必不可少的一部分,例如智能手表、手机、电脑、家用电器、自动驾驶汽车等。除实体化硬件外,这些智能设备功能的发挥与用户体验感的丰富主要依赖于其中所安装的应用程序(Application,简称APP),APP 的广泛普及与应用在促进经济社会发展、服务民生、便利生活等诸多方面发挥着重要作用。同时,种类与数量均迅猛增长的APP 良莠不齐,导致存在内容低俗、虚假、过度索权、违法违规收集、公开、使用个人信息等乱象,严重危害社会秩序与用户合法权益,其中APP 侵犯公民个人信息的问题最为突出[1]。例如,2021 年3 月15 日,央视“3.15”晚会曝光了智能清理大师、手机管家pro等手机清理APP,这些APP 通过虚假的清理缓存功能窃取老人机里的个人信息[2]。再如,2021 年4 月22 日,最高人民检察院发布了检察机关个人信息保护公益诉讼典型案例,这些案例中所涉及的APP 均存在违法违规收集、公开、使用个人信息等情形[3]。另外,从中国信息通信研究院等机构发布的《移动互联网应用个人信息安全报告》以及国家网信办、工信部等部门的日常通报也能看出,侵犯公民个人信息是APP 需要整改的最主要问题①。
相较于其他侵犯公民个人信息行为而言,APP 对公民个人信息的侵犯具有一定的特殊性。其一,作为移动互联网应用程序,APP 的运行依赖于计算机与网络,所涉及的公民个人信息具有电子化、数据化的特征;其二,APP 本身具有相应的功能,如地图导航、即时通信、天气查询等,在提供服务的过程中收集、公开、使用公民个人信息,具有一定的日常性;其三,APP 的正常运行及其功能的实现往往以收集、公开、使用用户信息为基础,只有掌握准确信息,APP 才能稳定运行并为用户提供具有针对性、个性化的服务;其四,虽然部分APP 使用前确实有授权选项,对公民个人信息的收集、公开与使用获得了用户的许可,在形式上不违背知情同意原则,但仍存在告知内容不明晰、索权范围过宽、不授权则无法使用等问题,用户许可存在瑕疵。正是由于APP侵犯公民个人信息行为具有以上特殊性且直接影响罪与非罪的判断,因此,对该行为刑法规制路径及其合理边界的研究具有重要的理论意义与价值。
二、APP 运营过程中个人信息保护与利用间的需求博弈
“随着社会信息化进程的推进,信息以前所未有的速度和广度被开发利用,信息成为和物质、能量同样重要的资源,整个社会对于信息的依赖和利用需求增强;个人信息的利用在增进社会福祉的同时,也可能引起信息主体的权益受到威胁和侵害,由此催生了个人信息保护的需要。”[4]45可见,对于个人信息而言,保护与利用是伴随左右的两种最核心的价值形态与利益需求,且这两种价值的博弈始终存在,贯穿于涉及个人信息的全部领域。APP 所具有的天然属性——相悖的二元功能面向,使得保护与利用间的博弈在APP 收集、公开、使用公民个人信息的场合尤为明显[5]。一方面,运营商为了获取更大的经济利益,增加市场占有份额,必须积极抓取用户信息以形成大体量、多维度的数据库,从而通过数据分析为用户画像,为用户提供更为个性化的服务,增强用户体验感;另一方面,用户对个人信息与隐私安全的担忧以及国家规范层面的要求,使APP 运营商不得不对信息处理设置相应的限制与边界,以维护APP 正常使用与平稳运行为必要,一旦超过这条“高压线”,则应承担相应的法律责任[6]。简言之,在APP 运营过程中既存在个人信息保护需求,又存在个人信息利用需求,二者相互博弈且贯穿始终。
(一)保护需求:APP 侵犯公民个人信息行为的刑法规制必要性
在法律层面,对公民个人信息的保护更多地体现为对侵犯公民个人信息行为的规制与处罚,鉴于APP 侵犯公民个人信息的问题极为突出且具有相较于其他侵犯公民个人信息行为的特殊性,因而有必要运用刑事手段进行规制,具体理由如下:
1. APP 侵犯公民个人信息行为具有严重的法益侵害性
(1)如前所述,违法违规收集、公开、使用用户个人信息是当前APP 发展运营过程中最为突出的问题,且从司法实践来看,近年来诸如优学院、腾讯手机管家、猎豹清理大师、百度浏览器等APP 侵犯公民个人信息的案件频频发生,严重危害用户合法权益。(2)APP 通常采取强制授权、超范围索权、超限度使用等方式违法违规收集、公开或使用用户的个人信息。由于被发布于应用软件商城,任何人均可以进行下载,其行为对象为不特定公众,年龄、身份、地域等均不受限制,往往一个案件中涉及的受害人人数众多,信息数量庞大。例如,2019 年11 月,天津市警方破获全国首例专门设立APP 骗取公民个人信息案,该案中犯罪嫌疑人通过手机贷款APP,以用户注册时采取不明确告知的方式,非法采集回传用户个人通讯录、通话记录、短信等信息共计246 万余条[7]。另外,一般情况下APP 对所收集的用户个人信息类型不做限制,被侵犯的个人信息种类繁多,既有作为一般信息的姓名、性别、浏览记录、登陆时间等,也有作为敏感信息的实时位置信息、通讯内容、生物识别信息、支付信息等,APP 违法违规收集、公开、使用这些信息对权利人的人身、财产安全造成严重威胁。(3)大多数APP 具有相应的功能,如地图导航、即时通信、天气查询等,在提供服务的过程中擅自对用户信息进行收集、公开或使用,具有隐蔽性强的特征,用户不易察觉,进而无法即时采取有效的防止措施。APP 侵犯公民个人信息行为是持续的,在APP 停止运营或用户发现并采取措施之前连续不断地对用户已有或新产生的信息进行侵犯,这种具有一定时间跨度的行为使得对用户权益的侵害后果与日俱增并成倍放大,远超于一般侵犯公民个人信息行为。(4)在互联网背景下,侵犯公民个人信息行为呈现营业化、职业化现象,甚至形成了极具延展性的产业链条[8]。其中,上游处通过APP 等途径非法获取公民个人信息,下游进行电信诈骗、盗窃等其他二次违法犯罪行为。可以说,APP 侵犯公民个人信息行为是网络黑产中下游犯罪的“供货源头”。由于APP 侵犯公民个人信息行为在侵害主体个人信息权利的同时还有助于下游犯罪的发生,具有超出该行为本身的更为严重的法益侵害性,呈现出聚合放大的负面效应[9]。
2.民事、行政法律法规对APP 侵犯公民个人信息行为规制不足
谦抑性是刑法区别于其他法律的特有属性之一,其基本含义是,“只有当一般部门法不能充分保护某种法益时,才由刑法保护;只有当一般部门法还不足以抑止某种危害行为时,才由刑法禁止”[10]。刑法作为保护法益的最后手段,必须在民事、行政等其他制裁措施的保护力度不充分时才能加以使用,对法律关系的介入与对其他制裁手段的补位具有不得已性[11]。随着互联网技术的发展与个人信息价值的逐渐显现,与APP侵犯公民个人信息行为相关的犯罪频频发生且愈演愈烈。为有效保护公民个人信息,近年来我国先后制定颁布了多部民事、行政法律法规以规制相关侵权行为,如《民法典》《个人信息保护法》《网络安全法》《数据安全法》《关于加强网络信息保护的决定》等。这些法律法规对公民个人信息的有效保护具有一定的积极意义,但在面对部分情节严重、具有巨大法益侵害性的APP 侵犯公民个人信息行为时仍显得捉襟见肘。这种规制上的不足主要体现在民事、行政法律法规的处罚较轻,无法与相关行为所造成的危害后果相适配。例如,《民法典》规定的民事责任包括停止侵害、赔偿损失、消除影响等,《个人信息保护法》《网络安全法》《关于加强网络信息保护的决定》规定的处罚措施主要有责令改正、警告、罚款、吊销营业执照等,与APP 违法违规收集、公开、使用数以百万计用户信息以及诱发下游犯罪所造成的法益侵害相比,这些处罚措施的打击力度明显不足,无法实现预防再犯的目的,同时亦不利于对公民个人信息的周全保护。因此,在这种情况下,民事、行政法律法规难以制止APP 侵犯公民个人信息行为,刑事制裁措施的必要性得以显现。
(二)利用需求:合理利用个人信息有助于APP 功能的实现
“我们所处的时代是一个人人有终端、物物可传感、处处可上网、时时在链接的时代。”[12]无论是政务管理、经济发展,还是科学研究、商业往来,抑或是医疗卫生、社交娱乐,社会生活的方方面面均在时刻产生、分享和利用着海量的个人数据与信息。可以说随着人工智能、云计算、大数据收集与处理技术的进步,在当前信息时代的背景下,公民个人信息已然成为现代社会发展的重要资源与核心动力,具有比金钱更高的内在价值[13]。需要注意的是,信息活于流转,依靠流动产生价值[14],单纯静态的持有对信息主体、企业乃至社会而言意义有限,频繁的收集、交换、共享与利用才是发挥其内在价值的主要手段。正因如此,我们强调保护公民个人信息的同时还应注重对其合理利用,在涉及APP 运营的场合更是如此。
1.商业APP 对个人信息的利用需求
目前市面上存在的绝大多数APP 均属于运营商开发的商业APP,主要目的在于通过APP的下载、使用获取经济利益,而合理利用用户个人信息有助于该目的的实现。(1)对于部分APP而言,用户信息是维持正常平稳运行的基础,若获取信息的权限未开启或被用户拒绝,则即使最基础的功能亦无法实现[15]。例如,地图类APP,之所以能为用户提供导航服务,主要在于获取了用户的实时位置信息并将该信息运用于在线地图,若定位权限关闭,则导航功能随即丧失。再如,各大银行APP 的查询、转账、收款等功能建基于用户的账户信息、支付密码等,铁路12306等APP 之所以能购买火车票,亦依赖用户的身份信息、行程信息等。(2)部分APP 的正常运行并非以用户信息为原料,获取、分析、利用大量用户信息有利于为用户提供更具针对性的服务,从而掌握并培养用户习惯,提升、丰富用户体验感,最终扩大市场占有份额,获取更多的经济利益。最典型的案例即淘宝APP 通过获取用户的查询、浏览、购买记录,为用户画像,预测用户购买需求与兴趣,在首页等最显眼的位置向用户推荐相关产品,从而提升用户的消费可能性。再如,携程、艺龙等旅行APP 在无法获取用户位置信息的情况下亦能实现查询、买票、订房间等基础功能,但若用户开启定位权限,则该类APP 能够基于用户当前位置推荐附近的酒店、景点等,功能更加进阶与完善。
2.政务APP 对个人信息的利用需求
“政府一直是最大的个人信息收集、处理、储存和利用者,可以说,政府公权力所及之处必然涉及个人信息的收集、处理和利用。”[4]48随着大数据时代的来临,传统政务管理模式逐渐开始向数字化转变,其中政府在国家安全、犯罪预防、卫生健康、社会服务等多方面开发利用的政务APP 是这一转变最典型的表现,而大规模的公民个人信息则为这种转变提供了“原料”。例如,由公安部刑事侦查局开发的“国家反诈中心”APP于2021年2月正式上线,只要点击“一键开启”并允许电话、短信、APP 应用市场等权限,该APP就能够获取用户的相关信息,即可以全天候对用户的来电、短信、App下载等进行安全监测[16]。再如,疫情期间各地政府开发的健康码、行程卡APP 必须获取公民的身份信息、位置信息以及购票信息等,只有这样才能实现掌握公民行程、排查密切接触者、证明用户健康状况的功能,从而为保护公共卫生安全、抗击疫情提供助力。政务APP 等数字化行政措施的应用有利于政府提高行政效率,推进公共安全、公共管理和公共福利。
如前所述,对公民个人信息的保护在法律层面更多地体现为对侵犯公民个人信息行为的规制与处罚,相应地,对个人信息的利用则强调不应加以过多的限制。因此,保护与利用两种价值间的博弈实则是对收集、处理、利用公民个人信息行为应否规制以及规制边界应如何划分的问题,解决之道在于寻求二者之间的平衡。
三、保护之平衡:APP 侵犯公民个人信息行为的刑法规制
随着个人信息潜在价值的不断发掘,伴随产生的风险也逐渐增多,尤其在APP 运营过程中,侵犯公民个人信息的情形更是屡见不鲜。据相关统计,仅2020 年3 月至2021 年3 月一年时间内,被工信部等相关部门通报或下架的违规收集用户信息的APP 即超过1100 款[17]。正因如此,应从法律,尤其是刑法层面对APP 侵犯公民个人信息行为进行规制,以满足对用户信息权益的保护需求。APP 侵犯公民个人信息行为的具体表现形式众多,包括未经许可擅自收集、使用用户信息、强制、频繁、过度索取权限、欺骗、误导用户提供个人信息等,而行为方式的种类会对罪与非罪的判断产生直接影响,应基于类型化思维、根据不同行为类型对刑法规制进路进行具体的分析与研究。
(一)未经同意:恶意APP 与越权APP
“知情同意原则”指的是信息业者在处理个人信息之前,应当对信息主体就有关个人信息被收集、利用的情况进行充分告知并征得信息主体明确同意[18],在民法、行政法理论与实践中被广泛适用,如我国《民法典》《个人信息保护法》《网络安全法》等均规定,除非法律、行政法规另有规定,个人信息的处理必须取得信息主体的授权②。及至刑法领域,当前主流观点认为侵犯公民个人信息罪所保护的法益为个人信息权,信息主体的同意与否直接影响犯罪之成立,不仅可能阻却违法,甚至在某些情况下可能阻却构成要件。可以看出,虽“知情同意原则”在具体操作过程中存在理论上的缺陷与技术上的困境,但目前仍是判断行为人处理公民个人信息行为非法性的最主流标准。
需要注意的是,随着大数据技术的进步,APP 对用户信息的收集、公开、使用逐渐呈现出高频次、大体量、自动化、场景复杂等特征,若要求每一次信息处理均需告知用户并征得明确同意,则将严重阻碍APP 产业的正常发展,而且这种极端的要求在实践中很难甚至根本无法实现[19]。另外,即使是正常的“知情同意原则”也会增加运营成本并在一定程度上减损APP 对用户信息的处理效率,同时还存在可能被用户拒绝的风险,进而影响运营商最终获取的经济利益。因此,部分APP 完全抛弃“知情同意原则”,在尚未取得用户同意的情况下擅自收集、公开、使用个人信息,最典型的表现形式包括不设置隐私条款、不告知信息处理内容、隐瞒信息收集、公开、使用的事实、超越权限范围收集、公开、使用信息等。这种未经同意擅自处理用户信息的APP主要包括两种类型,即恶意APP 与越权APP。恶意APP 指的是以非法收集、公开、使用用户信息为目的而开发的、本身不具备任何APP 正常功能的应用程序,其本质即伪装成普通APP 的病毒或木马程序,开发者将它披上APP 的“外衣”后上传至应用市场,以其功能诱使用户下载,在该恶意APP 被下载或安装至用户手机、电脑时即开始窃取用户个人信息。最典型的恶意APP即前文提到的2021 年央视“3.15”晚会曝光的智能清理大师、手机管家pro 等手机清理APP。越权APP 是具有某种相应功能并能够正常运行的应用程序,是在使用过程中违法违规收集、公开或使用用户信息,具体包括完全未经授权和部分授权后超出授权范围两种情形。越权APP 与恶意APP 对用户信息的收集、公开或使用均未经信息主体同意,但区别在于,前者具有APP 的正常功能,后者则是专门为侵犯公民个人信息而开发。
《刑法》第253 条之一侵犯公民个人信息罪的构成要件之一是“违反国家有关规定”③,而“知情同意原则”是《民法典》《个人信息保护法》《网络安全法》等前置法律法规的重要内容,是否符合该原则直接影响该罪的成立。恶意APP与越权APP 对用户信息的收集、公开、使用均未经信息主体同意,故其行为具有非法性,在满足其他要件的情况下,均构成侵犯公民个人信息罪。需要注意的是,在具体定罪判断与量刑选择上,二者存在差异。其一,侵犯公民个人信息罪的成立必须达到“情节严重”的罪量标准,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第5 条第1 款对“情节严重”的具体标准进行了解读,其中第(八)项为“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的”。越权APP 与恶意APP 最大的区别在于前者具有APP 的功能,能够为用户提供正常服务,因此满足此项规定,所出售或提供的信息只需达到25、250、2500条以上或者违法所得达到2500 元以上即可;而恶意APP 则仍需按照第三项至第七项规定的正常数量或数额标准进行判断。其二,《刑法》第253 条之一第2 款规定,“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”。在其他条件相同的情况下,由于越权APP 是在提供服务过程中获取的用户信息,故若将该信息出售或者提供给他人,则所受处罚应重于恶意APP。之所以存在入罪标准与刑罚上的这种轻重差异,主要在于二者的危害程度不同:虽二者均完全未获得信息主体的同意,但恶意APP 由于不具备任何正常功能,很容易被用户察觉并放弃使用,由此一来,恶意APP 只能“快餐式”的一次性窃取用户信息,造成的危害后果有限;而越权APP 隐藏在正常APP 的外衣之下,在为用户提供相应服务的同时窃取用户信息,具有更强的隐秘性,更容易让用户放松警惕且难以察觉,能够持续性地不断获取用户已经存在或新产生的信息,对用户权益造成更大的侵害[5]。
(二)同意有瑕疵:格式化授权与“非允即退”式授权
“知情同意原则”的实现不仅依赖现实存在的信息主体对行为人处理个人信息的许可与同意,还要求这一同意是真实且自由的。若行为人采取欺诈、胁迫等手段使得信息主体基于错误认识或迫于压力而做出允诺,则这种同意是自始无效的[20]。因此,相应的信息处理行为实质而言属于上述“未经同意”的情形,具有非法性,在满足其他要件的情况下构成侵犯公民个人信息罪。在APP 处理公民个人信息的场合,欺诈、胁迫等完全排除权利人真实意愿的极端手段并不常见,但普遍存在两种使得信息主体之同意存在瑕疵的情形,即格式化授权与“非允即退”式授权。在这两种情形中,APP 处理公民个人信息行为的非法性判断取决于同意之瑕疵是否影响其效力,下文分别对二者进行研究与讨论。
1.格式化授权
如上所述,“知情同意原则”是当前判断行为人处理公民个人信息行为非法性的最主流标准,是个人信息保护的一般法律原则与“帝王条款”。为了遵循法律的规定使得自身信息处理行为合法化,APP 运营商通常会在用户下载使用APP 之初向用户提供相应的隐私政策或信息使用说明,以获取用户对信息处理行为的授权。但这种政策或说明往往冗长、艰涩并涉及复杂的专业术语,普通人很难真正理解其含义与其中所蕴含的风险,为用户阅读带来了沉重的负担[21]。例如,美国一项研究表明,若全美国互联网用户认真阅读所浏览的全部网站的每一份隐私政策,一年内花费的时间将达到538 亿小时,换算成经济成本大概是7810 亿美元[22]。在面对冗长、晦涩的隐私政策或信息使用说明时,很少有用户会认真阅读与理解,反而是越过该政策或说明直接点击同意成为常规操作[23],这种例行公事式的同意即本文所说的格式化授权。从形式上来看,由于APP 运营商向用户提供了完整的隐私政策或信息使用说明且获得用户许可,格式化授权似乎符合“知情同意原则”,但实质而言,用户并未真正阅读并理解相关政策与说明中的内容,这种知情上的瑕疵是否会影响同意的效力是判断格式化授权情形中APP 运营商处理用户信息行为合法性的重要标准。本文认为,APP 运营商在用户下载使用APP 之初即向用户提供隐私政策或信息使用说明的行为履行了其告知义务,且必须用户点击同意或接受才会按照约定收集、公开或使用用户信息,符合“知情同意原则”的内涵。至于相关政策、说明的篇幅冗长、用语晦涩则是客观技术层面的问题。信息处理技术本身的专业性决定了隐私条款表达的复杂性,但运营商并未用欺诈、胁迫等手段完全排除用户的意愿,跳过隐私条款与点击同意均是用户自主选择的结果。因此,格式化授权导致信息主体之同意所存在的些许瑕疵并不影响同意的有效性,在违法性甚至构成要件层面阻却APP 收集、公开、使用用户信息的行为构成犯罪④。另外,由于隐私条款冗长晦涩而导致用户不愿看、看不懂的问题可以通过采取相应措施从技术层面加以解决,如APP运营商尽量采取简短、通用的语言进行表述,利用通俗的白话语句对专业术语进行解释,以分层次说明取代冗长的告知,通过特殊字号、格式、颜色、图标、示例的方式标注出内容重点等。
2.“非允即退”式授权
为了顺利获取用户信息且不违反法律法规的规定,APP 运营商在向用户提供隐私政策或信息使用说明时会设置同意提供信息或放弃接受服务这种二选一的选项,属于全有或全无的授权模式,但凡用户拒绝APP 运营商所提出的关于信息处理的概括同意,则意味着将完全无法使用或在相当程度上无法使用该APP 的功能[24]。在这种情况下,为了正常、便利地工作与生活,用户们不得不同意APP 运营商的索权申请,此类无可奈何的同意即本文所说的“非允即退”式授权。“非允即退”式授权主要采取概括同意的方式,同时索取与提供服务相关的用户信息以及大量无关信息,正是由于其捆绑式的超范围索权,亦有学者将之称为“宽口径授权”[25]。目前相关部门已经注意到APP 中普遍存在的“非允即退”式授权问题并制定了相应的法律法规,例如,2021 年8 月20 日通过的《个人信息保护法》第16条规定,“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外”;2019 年5 月28 日网信办发布的《数据安全管理办法(征求意见稿)》第11 条规定,“网络运营者……不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息而拒绝提供核心业务功能服务”;2021 年3 月12 日网信办秘书局、工信部办公厅、公安部办公厅、市场监督管理总局发布的《常见类型移动互联网应用程序必要个人信息范围规定》第4 条规定,“ App 不得因为用户不同意提供非必要个人信息而拒绝用户使用基本功能服务”;2021 年4 月26日工信部信息通信管理局发布的《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》第7 条规定,“用户拒绝相关授权申请后,不得强制退出或者关闭App”。虽然后三项规范在效力级别上属于部门规范性文件,但《个人信息保护法》属于法律,在正式生效实施之后,“非允即退”式授权毫无疑问违反国家有关规定。需要注意的是,这也仅仅论证了“非允即退”式授权符合构成要件层面的要求,对于该行为非法性的判断仍应关注这种授权是否影响用户同意之效力。本文认为,用户同意是否有效取决于该同意是否出于自由意愿与自主决定,因此可以根据APP 运营商所提供服务对用户的重要性程度以及拒绝该服务给用户带来的压力将采取“非允即退”式授权的APP 服务分为两类,即民生所必需之基础服务与非民生所必需之服务。对于前者,由于该服务是维系个人生活所必需,例如医疗、教育、交通、保险等,且用户与APP 服务商处于完全不对等的地位,若相关APP 以用户授权获取与提供服务无关的个人信息作为使用的前提,则由于达到足以压制用户意思自由的程度而应认定在此情况下用户所做出的同意无效[26],进而证成APP 服务商采取“非允即退”式授权收集、公开、使用用户信息的行为具有非法性,在满足其他要件的情况下构成侵犯公民个人信息罪。这一立场也为欧盟《一般数据保护条例》所采纳,第7 条第4 款规定,“当评估同意是否自愿做出时,应尽最大可能考虑合同的履行包括服务的提供是否以基于不必要的同意个人数据处理为条件”[27]。对于后者,由于APP 所提供之服务非民生所必需,例如娱乐、购物、休闲、旅游等,用户可以自主选择是否接受以提供自身信息作为对价换取相应的服务,此时用户的自由意思并未受到压制,所做之同意自始有效,进而符合“知情同意原则”,在违法性阶层阻却侵犯公民个人信息罪的成立[28]。
(三)同意被撤回:拒不停止处理信息与拒不删除信息
为了使自身收集、使用用户信息的行为符合法律法规的规定,APP 运营商往往在用户下载使用APP 之初通过隐私条款告知用户有关信息处理的内容并取得同意,因此,除上述恶意APP、越权APP、提供民生所必需之基础服务且设置“非允即退”式授权的APP 外,一般情况下APP 处理用户信息的行为具有合法性。但需要注意的是,用户对APP 运营商收集、公开、使用个人信息行为的授权并非一经做出始终有效,部分情况下用户可能会基于各种原因撤回先前的同意。例如,甲允许某读书APP 访问手机通讯录之后发现该APP 未经其同意向通讯录好友发送阅读书目,由此甲关闭了该APP 的相关权限;再如,乙注册某社交APP 后发现其功能不足,遂要求注销账号并删除注册时提供的相关信息。在用户撤回先前同意后,运营商相关行为的性质如何判断是此处研究的重点。根据撤回同意内容的不同,可以将用户撤回同意后APP 运营商的行为分为两类,即拒不停止处理信息与拒不删除信息。前者指的是用户撤回对APP 后续处理信息行为的授权后,相关APP 并未停止反而继续收集、公开、使用用户信息;后者则是用户撤回对APP 先前已获取信息的授权,要求删除相关信息,APP 运营商拒不删除。
第一,对于拒不停止处理信息的行为。虽先前APP 收集、公开、使用用户信息的行为因用户同意而具有合法性,但由于用户已经撤回对相关APP 后续行为的同意,因此,该APP 拒不停止反而继续处理用户信息的行为不具备任何授权,实则属于前述“未经同意”的情形。此种情形中APP 运营商的行为因违反前置法中的“知情同意原则”而存在非法性,在满足其他要件的情况下构成侵犯公民个人信息罪。
第二,对于拒不删除信息的行为。用户在注册、使用APP 的过程中会向APP 运营商提供或允许获取大量自身信息,但基于某些原因,如注销账号、抹去“负面记忆”、对隐私保护的需求以及对信息安全隐患的担忧等,用户希望APP 运营商能够删除已经获取的相关信息[29]。用户信息的删除分为自行删除与请求删除两类,前者指的是用户本人可以在APP 用户端通过自身行为删除相关信息,如微信允许用户删除聊天记录、个人签名、朋友圈等;后者指的是用户向APP 运营商提出申请,由运营商在后台服务器删除相关信息。从当前各APP 的隐私条款与功能设置来看,用户能够自行删除的信息种类有限且通常只涉及一般个人信息,对于生物识别信息、财产信息等敏感个人信息而言,只能采取请求删除的方式[30]。但在某些情况下,APP 运营商会为了持续享受已获取信息带来的利益或减少成本等原因而拒绝用户的删除申请,例如,在全国首例“被遗忘权”案例中,百度公司拒绝删除“相关搜索”中涉及原告任某某与陶氏教育相关联的词条内容[31]。那么,在此情况之下APP 运营商拒绝删除且继续持有用户个人信息的行为是否具有非法性进而构成相关犯罪呢?本文认为,这一问题的答案涉及被遗忘权、信息删除权、对《刑法》第253 条之一中“非法获取”的理解等内容。被遗忘权的概念与实践诞生于欧盟,2016 年出台的《一般数据保护条例》,将该概念正式确立[32]。被遗忘权的内涵确定、制度构建以及本土化等问题是目前学界研究的热点[33-35],但单纯从法律规范来看,我国尚不存在此项权利,与之类似的是散见于法律、行政法规中关于个人信息删除权的规定。例如,《个人信息保护法》第15 条与第47条规定,基于个人同意而进行的个人信息处理活动,个人有权撤回同意,个人撤回同意后,信息处理者应当主动或者根据请求,删除个人信息;《网络安全法》第43 条规定,“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”;《民法典》第1037 条规定,“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的,有权请求信息处理者及时删除”。从上述法律法规的内容可以看出,由于《个人信息保护法》尚未正式生效,目前用户只能在发现APP 运营商违反法律法规或双方约定的情况下要求删除信息,除此之外,APP 运营商拒绝信息删除请求的行为不违反相关规定,无法从此处入手证成APP 运营商拒不删除信息行为的违法性。虽APP 运营商先前的获取行为存在授权,但在用户撤回同意后,APP运营商继续持有信息的行为因违背“知情同意原则”而丧失合法根基,而侵犯公民个人信息罪主要规制非法获取与非法提供信息的行为,因此,APP 运营商拒不删除信息行为是否构成本罪的关键在于是否能将继续持有信息、拒不删除的行为解释为前述两种行为类型。非法提供指的是向第三方移转,与持有的含义相去甚远,不在此考察范围之中。非法获取强调的是对公民个人信息的获得、取得,狭义的获取只是一个动作,即行为人从无到有的从信息权利人或他人处初始得到个人信息;但广义而言,获取应是指行为人掌握他人信息的一种延续的状态,包括初始取得信息的动作,亦包括之后的持有行为。另外,如同《刑法》245 条非法侵入住宅罪中“侵入”的含义包括非法进入他人住宅与合法进入他人住宅后经要求退出而拒不退出[36],非法获取公民个人信息的行为亦可划分为作为型与不作为型两类,前者为狭义的获取动作,后者指的是合法获取他人信息后经要求删除而拒不删除的行为。APP 运营商在收到用户关于删除个人信息的申请后继续持有、拒不删除的行为属于《刑法》第253 条之一第3 款中的“获取”,而用户撤回同意使得该行为违背“知情同意原则”进而丧失合法性基础,符合非法获取的行为方式,在满足主体、情节严重等其他要件的情况下该行为构成侵犯公民个人信息罪。
除上述几种情形外,APP 侵犯公民个人信息行为还包括对公民个人信息的非法利用,如APP运营商擅自使用用户信息进行金融借贷、拨打骚扰电话等。这类行为未经用户知情同意,损害了用户自主决定个人信息是否被利用以及基于何种目的、以何种方式、在多大范围内利用的权利,具有严重的法益侵害性。但《刑法》第253 条之一仅处罚非法获取与非法提供公民个人信息的行为,关注的核心在于整个犯罪链条的前端,即信息流转环节,对于非法利用行为却置之不理,由此形成刑法规制上的“真空地带”。这一行为类型的刑法规制缺失导致侵犯公民个人信息罪的规制效果大打折扣,无法与大数据时代背景下公民个人信息的保护需求完全适配,在未来刑法修改时应当加以补充与完善[37]。
四、利用之平衡:APP 侵犯公民个人信息行为的出罪化事由
“大数据、云计算、物联网是这个时代最醒目的标识,也是信息时代的未来图景,在这个时代,每个人都会不自觉地融入网络空间,几乎每个个体都成了大数据的来源者、使用者和得利者”[38],而个人信息本身也成为现代社会发展中比肩石油与黄金的重要资源。信息活于流转,个人信息的内在价值只有在不断的流通与使用中才能被发掘并最终实现,因此,在信息时代背景下,不仅要强调对公民个人信息进行法律保护,还应同时注重其合理利用[39]。《刑法修正案(九)》对侵犯公民个人信息罪的增设与《解释》对该司法适用的明确充分彰显了刑法对个人信息的保护力度,但面对该罪评价半径过于扩张、刑事制裁措施过度使用的当前态势,刑法应当回归并坚守谦抑的本质,合理限缩犯罪圈,避免对互联网、大数据产业以及APP 技术的发展造成禁锢,进而达到个人信息保护与利用间的双向平衡[40]。因此,对于APP 侵犯公民个人信息行为的刑法应对,不仅要强调侵犯公民个人信息罪的适用,还应关注相应的出罪化事由,合理划定规制边界。
(一)处理匿名化信息
侵犯公民个人信息罪的犯罪对象为“公民个人信息”,《解释》第1 条对其含义进行了明确,即以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。从上述定义可以看出,可识别性是侵犯公民个人信息罪中“公民个人信息”的本质属性,必须能够指向特定自然人或与特定自然人相关联[41]。但在APP 运营过程中的某些场合,仅收集、公开、使用了经过去识别化处理的信息,如某APP 为优化系统而提取并分析用户的注册信息以为升级、更新提供参考,但隐藏了所有信息中有关身份认定的内容,只显示用户性别、年龄、兴趣等,属于匿名化信息;再如在新冠肺炎疫情防控工作中,某些卫生健康类APP 收集并推送的确诊患者病例详情通报来源于国家相关部门的权威发布,该通报中患者姓名、身份证号、工作单位等具有身份识别功能的信息被删除,仅保留了行动轨迹等有助于排查密切接触者、保障公众知情权的内容。在这种情况下,由于APP 收集、公开、使用的相关信息缺乏可识别性,虽然也可能反映自然人的活动情况,但与特定自然人无直接关联,因此不属于侵犯公民个人信息罪中的“公民个人信息”[42],犯罪对象不符合,在构成要件层面直接阻却犯罪的成立。需要注意的是,对个人信息的去识别化处理并不必然完全消除其可识别性。去识别化是一个相对的概念,如IP 地址、cookie 数据等对于普通民众来说只是一串数字、字母或代码,并不能识别特定自然人,但对于具有相关技术的专业人员而言,通过特定的技术处理就能够实现与某特定主体数字身份甚至实体身份的对应,因此上述IP 地址、cookie 数据等不属于真正意义上的匿名化信息[43]。另外,在当前大数据背景下,信息来源越来越广泛,信息分析与处理技术越来越完善,某些经过去识别化处理的信息在与其他信息交互比对之后能够重新与特定主体相关联,即可识别性的恢复[32]。例如,英国帝国理工学院的一项研究表明,通过邮政编码、出生日期、性别和孩子数量等具有高可信度的属性重新识别出一个住在马萨诸塞州的特定自然人,若掌握15项人口统计属性,则重新识别的正确率能高达99.98%[44]。因此,要判断APP 运营商的行为是否因处理匿名化信息而不构成犯罪,最关键的标准在于如何理解匿名化。本文认为,只有经过去识别化处理且无法复原,完全不具备显示原始内容可能性的信息才属于匿名化信息,而这一概念也得到了《个人信息保护法》的认可⑤。APP 运营商处理这些信息由于不符合侵犯公民个人信息罪犯罪对象的要求,在构成要件层面阻却犯罪成立。
(二)用户知情同意
如前所述,为符合法律法规的要求,APP 运营商在用户下载使用APP 之初会向用户提供隐私条款或信息使用说明,只有在用户点击“同意”的情况下该APP 才会收集、公开、使用相关信息,由此APP 运营商的信息处理行为符合前置法中的“知情同意原则”。在刑法领域,若不存在其他违反《民法典》《个人信息保护法》《网络安全法》等法律法规的情形,则用户知情同意使得APP 运营商的行为不符合《刑法》第253 条之一规定的“违反国家有关规定”,在构成要件层面阻却侵犯公民个人信息罪的成立;若存在其他违反前置法的情形,如APP 超范围收集、使用与提供的服务无关的个人信息等,则APP 运营商的行为形式上符合侵犯公民个人信息罪的犯罪构成,需从其他阶层寻找出罪可能。
在刑法理论上,APP 用户的知情同意可以被视作一种被害人承诺。一般认为,被害人承诺属于超法规的违法阻却事由,被害人请求或许可行为人侵害其法益则表明放弃了该法益,由此不再存在值得刑法保护的法益,行为人的行为由于法益性的阙如而不具备刑事违法性[45]。但需要注意的是,被害人对被侵害的法益具有处分权限是被害人承诺有效的首要条件[46],只有能够自由处分的法益才能成为被放弃的对象,而具体到APP 侵犯公民个人信息行为的场合,用户知情同意是否构成有效的被害人承诺涉及侵犯公民个人信息罪之法益的判断。当前我国刑法理论界对侵犯公民个人信息罪法益的观点主要分为个人法益说、超个人法益说、双重法益说三大类[47],虽尚存争议,但目前主流观点为个人法益说中的具体人格权说,认为侵犯公民个人信息罪所保护的法益为个人信息权。个人信息权指的是本人依法对个人信息所享有的积极支配与消极防御他人侵害的权利[48],其最核心的内容在于信息自决,信息权利人有权对个人信息加以支配与处分[49]。因此,在APP 运营过程中,用户具有许可隐私条款或信息使用说明中相关内容的权限,用户知情同意构成有效的被害人承诺,故APP 取得用户承诺的收集、公开、使用个人信息的行为不具有违法性[50]。在某些特殊情况下,若用户信息的处理不仅关涉自身的个人信息权,而且还严重影响公共利益、社会秩序、国家安全等超个人法益,如某国家情报人员的身份信息、行踪轨迹信息等与国家安全密切相关,则该用户不具有处理个人信息的权限,亦无法允许APP运营商收集、公开或使用。在这种情况下,用户知情同意无法构成有效的被害人承诺,不能以此阻却APP 运营商信息处理行为的违法性。
(三)处理公开信息
一般而言,公民个人信息属于特定自然人,具有一定的私人性。但随着网络技术的发展及信息时代的到来,人们产生更高的信息分享热情与利用需求,同时拥有更迅捷的技术与工具,公开自身信息以实现某种目的的情形逐渐成为一种常态。如个人在微博、朋友圈发布自己的照片与行动轨迹、企业人资主管在招聘网站公布联系方式等,由此产生了一种能够为权利人以外的其他多数人感知或获取的信息类型,即公开信息。从《解释》以及《民法典》《个人信息保护法》《网络安全法》等法律法规对“公民个人信息”的定义来看,对隐秘性没有特殊要求,无论信息公开与否均能被包含在内⑥,故而公开信息无法像匿名化信息一样因行为对象不符而阻却侵犯公民个人信息罪的成立。但根据《个人信息法》第13条第1 款第(六)项以及第27 条的规定,在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的,无需取得个人同意,因此,若无其他违反前置法规定的情形,APP 运营商收集、提供、使用公开信息的行为因不符合“违反国家有关规定”而在构成要件层面阻却犯罪成立。
另外,客观而言,公开信息的开放性能够为权利人以外的其他主体感知或获取,主观上来说,“公开”这一动作蕴含了权利人对他人行为的许可与对自身权益的放弃,不存在值得刑法保护的法益[51],进而在违法性层面阻却APP 运营商收集、提供、使用公开信息的行为构成侵犯公民个人信息罪。在某些情形下,权利人希望信息能够广泛传播与流转,以实现广告宣传、商贸联系等价值,将处理该信息的行为认定为犯罪违背一般人的认知[52]。对于公开信息,权利人的保护需求较弱,应以利用与流通为主,增加社会效益[53]。具体而言,其一,用户自愿公开信息则表明允许包括APP 运营商在内的其他人收集该信息,即便没有明确的承诺,其行为也已构成默示的同意。另外,由于APP 运营商能够合法收集该公开信息,除用户要求二次授权外,可以推定对公开、使用该信息的行为具有概括同意。如前所述,用户知情同意构成被害人承诺,在违法性层面阻却侵犯公民个人信息罪的成立。例如,企业人资主管将联系方式发布于招聘网站表明同意该信息被他人收集、公开、使用,企查查、天眼查等资讯类APP 收集、整理这些信息并将之产品化的行为存在权利人的许可而不具有刑事违法性。其二,他人违背用户真实意愿,采取胁迫、欺诈等手段使用户自己公开个人信息,如某甲胁迫某乙在乙的社交账号上公布个人信息。此时虽然从表面看乙是主动公开信息,但事实上乙的行为并非出自真实意愿,不存在上述情形中由行为推导出的默示同意。但在网络实名认证的要求下,微博、微信等社交账号能够与特定主体相对应,对于APP 运营商而言,由于无法明知乙的内心活动与受胁迫的事实,进而只能推定认为乙是自愿且主动地公开个人信息。在这种情况下,APP 运营商基于合理理由产生的误解属于典型的事实认识错误,阻却犯罪故意的成立[54]。其三,他人基于合法理由公开所掌握的个人信息,最典型的情形即政府信息公开,例如,政府集中采购项目、公务员招考录取结果、民政或其他相关部门为救助、救济、奖励而公示的个人信息等。由于政府公开此类信息是基于权利人对救济、保障、奖励等项目的申请,而往往相关政策中明确包含结果公示等具体流程,因此,权利人在对该项目提出申请的同时意味着向行政机关让渡部分个人信息权利,故可归入前述权利人自愿公开信息的情形,在违法性层面阻却APP运营商处理此类信息的行为构成犯罪。
(四)维护公共利益
“即使是自身信息,个人也并不具有绝对或无限的控制。个人是在社会共同体之下发展个性,个人信息也是社会现实的反映,而并非纯粹与个人相关……为了迫切的公共利益,个人在原则上必须接受对其信息自决权的某种限制。”[55]因此,虽用户对自身信息享有积极支配与消极防御他人侵害的权利,APP 在收集、公开、使用相关信息时必须尊重用户意愿,但若为了维护国家安全、公共安全等重大公共利益,个人信息权则必须让位,这是用户作为社会成员而必须承担的义务。《民法典》第1036 条第1 款第(三)项规定,为维护公共利益或者该自然人合法权益而合理实施信息处理行为的,行为人不承担民事责任;《个人信息保护法》第13 条第1 款第(四)项规定,为应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需,个人信息处理者可以处理个人信息;《信息安全技术个人信息安全规范》第5.6 条第1 款第b、c、d 项规定,个人信息控制者收集、使用与国家安全、国防安全、公共安全、公共卫生、刑事司法相关的个人信息不必征得个人信息主体的授权同意。具体到刑法理论,保护法益是刑法的目的之一,一般而言,使法益遭受侵害的符合构成要件的行为均具有刑事违法性,但若该行为同时保护了更大的法益,则整体而言仍然是有利于公共利益,因此,基于法益衡量而阻却违法[56]。例如,在新冠肺炎疫情期间,公民个人,尤其是确诊病例与疑似病例的行踪轨迹、出行线路、到访目的地、接触人员、家庭住址、共同生活的家庭成员等信息与疫情防控密切相关,卫生防疫部门及时掌握并公布相关信息有利于排查密切接触者、追溯感染源并提醒广大市民避开某些场所或地区,及时隔离相关人员、减少他人的感染几率。在这种情况下,为保障公共卫生安全,相关部门开发的诸如健康宝、行程码等APP 可以不经权利人同意而自行收集、公开、使用相关信息。需要注意的是,并非一切为了公共利益而侵害个人信息权的行为均具有合法性,该行为还必须受到合理使用、最小范围、必要性等要求的限制。例如,2020年2 月4 日中央网信办发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》强调,“收集联防联控所必需的个人信息应参照国家标准《个人信息安全规范》,坚持最小范围原则,收集对象原则上限于确诊者、疑似者、密切接触者等重点人群,一般不针对特定地区的所有人群……为疫情防控、疾病防治收集的个人信息,不得用于其他用途”。
五、结论
个人信息的权利保护与价值利用是信息时代永恒存在的一组相互对立、相互博弈的范畴。保护与利用又像一枚硬币的正反两面,虽相互对立但仍统一于个人信息自由与信息安全的利益衡量当中。如前所述,对公民个人信息的保护在法律层面更多地体现为对侵犯公民个人信息行为的规制与处罚。对于未经用户同意而处理其个人信息的恶意APP 与越权APP,在满足其他要件的情况下均构成侵犯公民个人信息罪,其中后者因是在提供服务过程中实施的相关行为,故相比于前者而言,入罪门槛更低、法定刑更重。格式化授权与提供非民生所必需之服务的“非允即退”式授权因未排除用户自身意愿而不影响同意之效力;提供民生所必需之服务的“非允即退”式授权足以压制用户意思自由,同意无效,APP运营商之信息处理行为具有非法性。在同意被撤回之后,APP 运营商拒不停止、继续处理信息的行为实则属于“未经授权”的情形;广义的“获取”指的是行为人掌握他人信息的一种延续的状态,包括初始取得信息的动作,亦包括之后的持有行为,在同意被撤回之后,APP 运营商拒绝用户的删除申请、继续持有信息的行为属于《刑法》第253 条之一第3 款中的“非法获取”。当前,侵犯公民个人信息罪仅关注非法获取与非法利用行为,未来刑法修改时应将同样具有严重法益侵害性的非法利用行为纳入规制范围,完善该罪行为类型,实现公民个人信息的周全保护。对个人信息的利用强调不应对信息处理行为加以过多的限制,尤其是在侵犯公民个人信息罪的评价半径过于扩张、刑事制裁措施过度使用的背景下,刑法更应回归并坚守谦抑的本质,合理限缩犯罪圈,避免对互联网、大数据产业以及APP 技术的发展造成禁锢。因此,对于APP 侵犯公民个人信息行为的刑法应对,不仅要强调侵犯公民个人信息罪的适用,还应关注相应的出罪化事由,主要包括处理匿名化信息、用户知情同意、处理公开信息、维护公共利益等。
注释:
① 2020 年1 月,中国信息通信研究院等机构发布的《移动互联网应用个人信息安全报告》统计显示,强制性、高频次、过度性收集使用APP 用户个人信息成为“业界常态”。另外,国家网信办、工信部等部门会对民众反映强烈的网络安全等问题进行调查并将结果予以通报,例如2021 年6 月11 日网信办发布的《关于KEEP 等129 款App 违法违规收集使用个人信息情况的通报》等。
② 《民法典》第1035 条规定:“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”;《个人信息保护法》第13 条规定:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意”;《网络安全法》第41 条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”
③ 虽《刑法》第253 条之一第3 款中不存在“违反国家有关规定”的表述,但其行为要求“非法”。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第4 条的规定,“非法”意即“违反国家有关规定”。
④ 《个人信息保护法》第17 条第1 款明确规定:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。”若APP 运营商仍使用晦涩、复杂的专业表述使用户难以阅读与理解,则违反此条规定。需要注意的是,这也只能论证APP 运营商处理个人信息的行为违反国家有关规定,具有构成要件符合性,由于这种晦涩难懂并不像欺诈、胁迫一样完全排除用户的个人意愿,同意仍然有效,从违法性层面阻却犯罪成立。在这种情况下,用户应向相关部门投诉或举报,由相关部门根据《个人信息保护法》等法律法规对运营商进行处罚,而不是授权同意。
⑤ 《个人信息保护法》第73 条第1 款第(四)项规定,“匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程”。
⑥ 《民法典》第1034 条第2 款规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”;《个人信息保护法》第4 条第1 款规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”;《网络安全法》第76 条第1 款第(五)项规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。
