擅自处理已公开个人信息的刑法规制
2024-03-11远桂宝商银涛段厚省
远桂宝 商银涛 段厚省
摘 要:公开的个人信息也是刑法的保护对象。判断公开个人信息的处理行为是否构成侵犯公民个人信息罪,不能简单地一律归为有罪或无罪,而应当依据该罪的构成要件,特别是“违反国家有关规定”进行区分认定。对此,必须考察民法典和《中华人民共和国个人信息保护法》等前置法,根据前置法的规定,在未取得信息主体同意的情况下,公开个人信息处理行为只有对信息主体权益有重大影响,才符合该罪“违反国家有关规定”的前置法要件。对于虽未取得信息主体同意,但处理行为未对其权益有重大影响的行为,由于不符合“违反国家有关规定”的前置法要件,不能进行入罪评价。
关键词:公开个人信息 侵犯公民个人信息罪 个人权益 重大影响
一、已公开个人信息处理行为适用侵犯公民个人信息罪的争议
刑法第253条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金……”从侵犯公民个人信息罪的罪状来看,该罪的成立条件包括前置要件、行为方式和情节严重程度三个方面。随着信息社会建设的深入推进,我国逐步建立了执法信息、征信信息、企业信息和执行信息等相关的信息公开制度,公开的个人信息数量快速增加,对已公开个人信息处理行为是否适用侵犯公民个人信息罪,司法实务中对此存在有罪说、无罪说与区分说的争议。
[案例一]被告人王某先后8次使用QQ將包含个人姓名、电话等内容的72242条涉案信息出售给他人牟利。法院查明,上述72242条信息中有69511条为来源于阿里巴巴、百度、自助贸易网、中国供应商网、材料网等公开的商业网站所包含法定代表人或联系人的姓名、手机号码的公开个人信息。法院经审理认为,公开的个人信息不是刑法上的个人信息,不属于侵犯公民个人信息罪的行为对象,对69511条已公开个人信息未予认定。[1]
[案例二]被告人成某通过“天眼查”软件下载和向他人购买、交换等方式非法获取公民个人信息共计88860条(包含公开个人信息19578条),利用手机QQ和微信,将上述信息出售牟利。法院经审理认为,成某处理已公开个人信息未取得信息主体同意,因而成某向他人出售已公开与非公开的公民个人信息行为均构成侵犯公民个人信息罪。[2]
[案例三]被告人李某通过下载“企查查”APP软件注册并支付360元成为VIP会员,后使用该软件对企业信息进行查询并将企业信息批量下载导出,经过重新编辑,整合成Excel文件并分类成全国各地区的企业个人信息数据,通过其经营的“胜达网络科技”淘宝店将上述公民个人信息向多人出售共计90万余条,非法获利人民币7080元。李某出售的信息均含有“姓名、联系方式、邮箱”等内容。法院经审理认为,李某向他人出售已公开与非公开的公民个人信息行为均构成侵犯公民个人信息罪。[3]
案例一中法院认为公开的个人信息不是刑法上侵犯隐私权的个人信息,即否定已公开个人信息是该罪的行为对象,实际上是持“无罪论”的观点。案例二中法院认为对于处理已公开个人信息的行为,要看行为人是否取得了信息主体的同意,未取得信息主体同意的才可能构成犯罪,并引用“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息司法解释》)第3条第2款[4]作为依据,实际上是持“区分说”的观点。案例三中法院在审理该案中未区分公开与非公开的个人信息的构罪条件,将侵犯已公开个人信息行为的入罪条件等同于侵犯非公开个人信息行为的入罪条件,实际上是持“有罪论”的观点。笔者认为,对于处理已公开个人信息的行为,不能简单地一律归为无罪或有罪,应当结合侵犯公民个人信息罪构成要件区别认定。
二、侵犯公民个人信息罪的法益厘清与行为对象明确
案例一中法院认为公开的个人信息不是刑法上侵犯隐私权的个人信息,由此引发两个问题:一是侵犯公民个人信息罪保护的法益是否为公民的隐私权;二是该罪的行为对象是否包括已公开个人信息。
(一)侵犯公民个人信息罪保护的法益
法益在解释构成要件和违法性判断方面发挥着重要作用,厘清侵犯公民个人信息罪的法益是解决擅自处理已公开个人信息刑法认定问题的前提。刑法第253条之一始终没有对该条所保护的法益作出明确清晰的规定,造成了适用中的巨大争议。[5]案例二中法院观点体现的就是隐私权说的观点,认为侵犯公民个人信息罪保护的法益是公民不希望让他人知道的个人私密性信息的权利[6]。这种传统的观点显然不利于个人信息的保护。作为保障法,刑法本身不创造前所未有的新法益,其保护的法益应当在前置法中寻找。对此,需要从前置法中抽丝剥茧,逐层细化。我国刑法对公民个人信息的保护源于宪法对公民人格权的保护。民法典将个人信息规定为一种民事权益,必然给相关行为人设定一定的义务,在刑法看来,这种民事权益实质上就是一种权利,可以解释为个人信息权。就此而言,将该罪的法益界定为笼统宽泛的“个人信息权”虽非错误但并不确切。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第44条是对个人信息自决权的明确,可以解释为“信息主体对个人信息按照自己意愿进行控制、支配的权利”。[7]个人信息自决权是对个人信息权的进一步具体化。至此,侵犯公民个人信息罪的法益最终确定为个人信息自决权。该种观点基于法秩序统一性原理,较好地平衡了对公民个人信息的全面保护与刑法的谦抑理念,同时也体现了刑法理论一贯强调的法益的具体性(并非抽象性),便于司法机关在实践中具体把握。
(二)侵犯公民个人信息罪的行为对象
案例一中法院认为公开的个人信息并非该罪的行为对象。这是对刑法中公民个人信息的误读,有必要澄清。刑法作为保障法既不能简单地移植民法、行政法中的含义,也不能抛开前置法另立标准去界定公民个人信息,而应当和前置法保持协调一致,这种协调一致集中表现为本质特征的一致。我国公民个人信息的内涵经过了从模糊到相对清晰的阶段,首次界定个人信息的《中华人民共和国网络安全法》颁布以后,特别是《侵犯公民个人信息司法解释》通过以后,公民个人信息的本质特征得到了统一。公民个人信息的本质特征是“须与特定自然人关联,这是公民个人信息所具有的关键属性”[8]。公开的个人信息与私密性的个人信息的区别在于是否处于公开状态,即是否对不特定的多数人公开。两者在与特定自然人的身份状况或活动情况的关系方面都凸显了关联性的根本特征。因此,公开的个人信息也是该罪的行为对象。
三、侵犯公民个人信息罪的行为方式明确
上述案例二中法院认为侵犯已公开个人信息的行为是否入罪,要看是否取得了信息主体的同意,并引用《侵犯公民个人信息司法解释》)第3条第2款作为入罪的依据。其实司法实践中很多侵犯已公开个人信息行为入罪的案例都引用了该条款,但存在着对该条款的误读。
(一)《侵犯公民个人信息司法解释》第3条第2款涉及的前置法考察
正确理解该条款,必须结合前置法的规定进行。从前置法的规定来看,已公开个人信息与非公开的个人信息的自决权内容不同,受侵害的方式不同。处理非公开个人信息的行为是否为行政违法行为抑或构成民事侵权行为取决于是否获得了信息主体的同意。取得信息所有人同意是非公开个人信息处理合法性的主要依据。民法典对公民个人信息的保护集中于第4编第6章,其中涉及到公民个人信息保护的条款共有6条(第1034-1039条),规定经自然人“同意”的条款有3条,占所有条款的一半;《个人信息保护法》共有74个条款,其中规定须经自然人“同意”的共有27处,分布在14个条款中,占总条款数近20%。这些都是对非公开个人信息主体知情同意权的尊重,目的在于通过保护非公开个人信息主体的知情同意权来保护其自决权。鉴于此,知情同意规则是涉非公开信息处理者最重要的免责事由,因而也成为刑法上重要的出罪事由。与此不同的是,处理已公开个人信息的行为不适用知情同意规则, 只有对信息所有人权益有重大影响的,才需要取得其同意(下文详细展开)。
(二)《侵犯公民个人信息司法解释》第3条第2款的含义澄清
基于上述对前置法的考察,未经信息主体同意不能武断、片面地理解为只要未经信息主体同意,不管信息是處于公开状态还是非公开状态,都不能向他人提供。《侵犯公民个人信息司法解释》起草者对第3条第2款解读为:“这里只是明确此种情形属于提供公民个人信息,是否构成侵犯公民个人信息罪,还需要根据‘违反国家有关规定等要件作进一步判断。”[9]可见,该条司法解释只是明确了此种情形属于提供公民个人信息行为,是对行为方式的明确,是否构罪还要结合其他要件进行判断。实际上从社会大众的朴素认知来看,如果在信息已经合法公开的情况下,再要求行为人的处理行为一律需要取得权利人同意是不合理的。实际生活中,行为人通过合法渠道搜集到公开的个人信息后,再向他人出售或提供,鲜有取得信息主体同意的情形,这主要有两个方面的原因:一是很多信息主体难以找到;二是信息量大,涉及的信息主体众多,难以履行告知程序。
四、已公开个人信息处理行为入罪的关键——“违反国家有关规定”
(一)明确“违反国家有关规定”构成要件
从上述案例一至案例三来看,这些案例对行为人违反的相关国家规定都没有表述、论证。当前司法实践中重点考察的是行为方式和情节严重,忽视了对“违反国家有关的规定”的考察,造成该要件流于形式,甚至不少案件的判决书对违反的国家规定的具体条款不予提及。“违反国家有关规定”的具体把握是办理涉已公开个人信息类侵犯公民个人信息案件中最为关键之处。考察这一构成要件必须遵循法秩序统一性原理,相关法律在处理同一问题的时候,要做到相互协调、相互补充、相互配合,不能出现相互矛盾的情况。该原理决定了前置法对刑法定罪的限制功能:民法典和《个人信息保护法》等前置法中的合法化事由,应当成为刑法上的违法阻却事由。民法、行政法等前置法评价为合法的行为,不能认定为是触犯刑法的行为,否则社会大众就会无所适从,造成法律秩序的混乱。刑法作为保障法,应当基于法秩序统一性原理作出体系性的科学判断。
(二)已公开个人信息处理行为“违反国家有关规定”的具体阐述
民法典第1036条规定了合理处理公开的个人信息不承担民事责任,但是有两点例外:一个是信息主体明确拒绝,二是信息主体的重大权益受到侵害。《个人信息保护法》第27条也作出类似的规定。前者是从事后责任免除的角度规定了已公开个人信息的处理问题,后者是从信息处理的事前行为规范的角度对其进行了特殊规定。虽然两者之间表述存有少许差异,但是究其实质是统一的。也即,未取得信息主体同意处理公开的个人信息,且对信息主体的权益有重大影响,具备入罪的“违反国家有关规定”的前置法基础。概言之,“对个人权益具有重大影响”是判断处理已公开个人信息行为适用侵犯公民个人信息罪的关键,其有两个部分组成:一是个人权益,包括权利和权益两个部分,既包括个人的人格尊严、人身自由、生活安宁和通信秘密等宪法规定的基本权利,也包括人身和财产等基本权益;二是重大影响,所谓重大影响是指行为人对已公开个人信息的处理将会导致信息主体的个人权益难以或无法行使,或者个人权益被侵害、妨碍等重大的不利后果。[10]这是实体分析的结论。从程序上看,证明对个人权益有重大影响必须有确实、充分的证据:一要证明信息主体的上述权益已经受到了侵害,或者虽然尚未受到侵害,但是受到严重的威胁;二要证明信息处理行为与上述重大影响存在因果关系。对于侵犯公民个人信息罪,涉已公开个人信息案件的入罪条件相对苛刻,与非公开的个人信息相比,多了“对个人权益具有重大影响”的证明负担。
通过以上分析可知,案例一将公开的个人信息排除在刑法的调整范围外,显然没有正确把握个人信息的本质特征;案例二不区分个人信息的公开与否,一概将未取得信息主体同意作为入罪要件,是对《侵犯公民个人信息司法解释》第3条第2款的误读;案例三不区分公开与非公开信息的入罪条件,将两者等同视之,是对前置法的忽视,也是对“违反国家有关规定”构成要件的忽视。司法实践中要特别注意区分涉已公开个人信息案与涉非公开个人信息案中“违反国家有关规定”构成要件中“国家规定”的差异。“对个人权益具有重大影响”而非“经信息主体同意”是判断已公开个人信息处理行为是否触犯侵犯公民个人信息罪的关键要素。对擅自处理已公开个人信息的行为要区分认定,在未取得信息主体同意的情况下,已公开个人信息处理行为只有对信息主体权益有重大影响,才符合该罪“违反国家有关规定”的前置法要件。对于虽未取得信息主体同意,但处理行为未对其权益有重大影响的行为,由于不符合“违反国家有关规定”的前置法要件,不能进行入罪评价。
*江苏省南通市经济技术开发区人民检察院第四检察部副主任、四级检察官助理[226009]
**江苏省南通市人民检察院法律政策研究室一级检察官助理[226007]
***复旦大学法学院教授、博士生导师[200433]
[1] 参见江苏省苏州市姑苏区人民法院刑事判决书,(2018)苏0508刑初40号。
[2] 参见福建省安溪县人民法院刑事判决书,(2018)闽0524刑初932号。
[3] 参见江苏省扬州市中级人民法院刑事判决书,(2020)苏10刑终79号。
[4] 《侵犯公民个人信息司法解释》第3条第2款规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息,但是经过处理无法识别特定个人且不能复原的除外。”
[5] 关于侵犯公民个人信息罪保护的法益有隐私权说、人格权说、财产权说、个人信息权说、个人生活安宁权说、公共信息安全说等观点。
[6] 参见蔡军:《侵犯个人信息犯罪立法的理性分析———兼论对该罪立法的反思与展望》,《现代法学》2010年第4期。
[7] 参见刘艳红:《民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及〈民法总则〉第111条为视角》,《浙江工商大学学报》2019年第6期。
[8] [9] 周加海、邹涛、喻海松: 《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉 的理解与适用》,《人民司法(应用)》2017年第19期。
[10] 参见程啸:《论公开的个人信息处理的法律规制》,《中国法学》2022年第3期。