APP下载

爬取已公开个人信息行为的刑事归责研究
——以侵犯公民个人信息罪为视角

2024-05-10冯彩思

关键词:爬虫法益个人信息

王 霖,冯彩思

贵州财经大学 法学院,贵州 贵阳 550025

网络爬虫技术的泛化运用使得技术本身的隐性刑事风险逐渐显现,其中或因规模化的抓取行为导致个人信息的外泄,或因爬虫本身突破“反爬协议”丧失中立化的技术底色,引发技术应用异化的刑事风险。梳理既有研究成果,发现学界更多聚焦于网络爬虫技术滥用所引发的数据安全问题,或是著作权与人身权益内涵阐释之间的保护范式差异,但对善意爬虫行为在具体适用领域以及不同作用对象上的不法性区别并未获得充分的学理关照,而这恰好关乎个案场景下刑事归责界限的确定问题。就此而言,统括式的归责路径虽然具有判定方式上的便宜性,但也因场景化、类型化考察缺失而存在解题能力有限的缺陷,难以有效回应司法实践个案的刑事归责难题。既有成果虽就网络爬虫之技术特征、运行基础、运用类型深化分析,但并未深入挖掘其入罪和出罪条件,规范性思考不足导致无法为爬虫刑法遭遇问题提供体系化的解决方案。在此意义上,面对网络爬虫技术的泛化应用及其刑事风险的不断变化,更应关注网络爬虫在具体领域侵害对象上的刑事归责边界,实现从宏观违法现象考察向微观归责路径构建的学术转型,进而完成对爬取已公开公民个人信息行为的刑事责任界定。基于此种考虑,本文以爬取已公开个人信息为研究对象,在对已公开个人信息的法益内涵予以重释的前提下,以情景脉络完整性理论嵌套形式违法性与实质违法性之判断,合理廓清爬取行为之刑事违法性界限,以期构建一条契合司法实践现实需求的具体路径。

一、爬取已公开个人信息行为的刑事归责现状

统观当前司法实践,围绕已公开个人信息是否属于侵犯公民个人信息罪的保护对象,爬取行为是否具备法益侵害性进而应予刑事归责等关键性问题,立场分歧明显,形成了异质化的归责景象。梳理既有问题及其背后的衍生逻辑,或可为问题的化解提供理性的研讨基础。

(一)现状检视:爬取行为之异质化归责

对实务现状的考察能够对目前我国司法实践中爬取已公开个人信息行为的刑事归责现状有更为直观的了解,经对相关案例之比对分析,发现裁判文本对爬取已公开个人信息行为是否应予归责、应当适用何种归责路径未能形成普遍共识,异质化的归责现象较多。

1.同质化爬取场景异质化归责结果

应当承认,当前学理层面对网络爬虫的风险性认知及刑事归责的必要性已经形成了清醒的认知,如试图从侵犯公民个人信息罪视角出发,从形式违法和实质违法层面为网络爬虫行为划定刑事归责边界[1],亦有论者意识到网络爬虫行为触及的刑民交叉风险,以期通过细分对象不法、行为不法而找到归责界线[2]。但既有研究更多聚焦于网络爬虫行为违法性的原则性研讨面向,未触及数字经济时代信息治理之目标与刑事归责本身的矛盾点,亦未谈及爬取已公开个人信息行为对信息主体权益保护之问题。这容易导致研究问题的失焦,因而难以为实践问题的化解提供具有可行性的方案。聚焦于爬取已公开个人信息,对该行为的认定给实务界带来了挑战,表现之一就是同质化爬取场景异质化归责结果。以“爬取公民公开在公司内网的个人信息”为考察样本,归责结论的异质化现象广泛存在。如在“余某某侵犯公民个人信息案”中,被告人任职期间为谋取个人利益,利用爬虫软件抓取信息主体公开在公司内网的个人信息并在离职时带走。其辩护人辩称案涉信息乃信息主体在公共领域自愿、正当公开的个人信息,被告人的爬取行为不具有刑事违法性。然而,法院最终裁判并未采纳该辩护意见,而以被告人的职权权限范围否定该爬取行为,认为被告人系在无人授权且无人知晓的情境之下获得上述信息,应属违法的窃取行为①详见浙江省杭州市中级人民法院(2018)浙01 刑中441 号刑事裁定书。。而在“李某某侵犯公民个人信息案”中法院却采取了不同的裁判意见,认为被告人作为职员通过自动化软件收集相关个人信息的行为因未违反国家规定,故不具有刑事违法性②详见北京市通州区人民法院(2019)京0112 刑初62 号刑事判决书。。结合上述判例样本可知,当前司法裁判中面对相同爬取场景的行为,不同的裁判者在认定罪与非罪,爬取行为是否具有刑事违法性时存在一定的偏差。异质化归责景象的出现固然考虑了不同案件的具体分析样态,蕴含裁判者的个体化考量,然而,归责结果的异质化现象亦从侧面反映了司法实务中对于爬取已公开个人信息行为刑事归责逻辑的混乱。

2.同质化归责结果异质化归责路径

为进一步印证司法裁判的差异化现象,将同一爬取行为样态的判例进行横向比较考察,发现归责结果趋同的裁判文本在援引归责路径时亦存在不同的理解。如在“范某某等侵犯公民个人信息案”中,被告人借助爬虫软件获取被害人在“天眼查”“企查查”上公开的个人信息并予以出售。虽行为人及其辩护人辩称应区分行为对象与爬取行为本身,从而辩称案涉信息为个人已公开的个人信息,不具有刑法保护性,且不能以是否经过被害人同意作为判断刑事违法性的唯一标准,但裁判文本以未经被收集者同意将合法收集的公民个人信息向他人提供的,属于刑法所规定的“提供公民个人信息”为由,认为上述被告人构成侵犯公民个人信息罪③详见福建省泉州市安溪县人民法院(2019)闽0524 刑初397 号刑事判决书。。法院的裁判理由虽未直接回应辩护人所指出的犯罪对象与犯罪行为本身存在差异的意见,但从最终的裁判结果来看,其显然默认了已公开个人信息属于刑法所保护的个人信息,继而以“知情同意”方案认定因被告人抓取已公开个人信息的行为未取得信息主体的二次授权,故而构成侵犯公民个人信息罪。而在“莫某某等侵犯公民个人信息”一案中,被告方同样指出所爬取的信息为已公开的个人信息且该爬取行为不具有社会危害性,不应当认为是犯罪的意见。法院并未采纳上述辩护意见,而是指出信息持有人根据各自的用途在网络上公开个人信息,被告人未经信息持有人同意搜集信息后非法向他人提供,超出了信息持有人发布个人信息用途的预期,系侵犯公民个人信息的行为④详见徐州市鼓楼区人民法院(2018)苏0302 刑初43 号刑事判决书。。比对上述案例样本可知:两案的归责结果都认为行为人的爬取行为构成了侵犯公民个人信息罪,然而前者在适用具体归责路径时认为只要爬取他人公开的个人信息,无论基于何种理由,都必须事先征得信息主体的同意,否则该爬取行为具有危害性;后者则认为信息主体公开自己的个人信息往往带有特定的目的和合理预期,一旦爬取行为超过信息公开时的合理预期,则构成犯罪。可以看出,即便对于同质化的归责结果,个案样本中的刑事归责路径亦存在较大差异,进一步印证了当前司法实践对于爬取已公开公民个人信息刑事处罚边界的不确定性,亟待进一步厘清。

(二)问题定位:爬取行为罪与非罪的界分困境

上述差异化归责现象表明了司法实务的表层困境在于没有区分爬取对象的本质内涵和网络爬虫的技术特性,从而将爬取行为一律入罪。然而,实质的问题更在于爬取已公开个人信息行为罪与非罪的界分困境。对此,理论界存在有罪论、无罪论、区别论三种观点。

有罪论者认为,即便是已公开的个人信息亦黏附着强烈的个人特质,信息主体对此类信息仍然享有支配权,超过预期范围和公开目的的爬取行为依然需要受到规制。有学者认为“侵犯公民个人信息罪的法益是个人信息自决权,擅自出售、提供等处理公开的个人信息的行为严重侵犯了信息主体的个人信息自决权,具有实质的法益侵害性”[3],还有学者认为“企业联系人在网上公开个人信息以开拓企业业务,表面上是向不特定群体随机公开,实质上是向潜在的客户群公开,其受众在一定范围内受到限制。换言之,该情形与完全意义上的网上公开信息不同,因为企业联系人通过目的范围限制,一定程度上保留了对其个人信息的支配权,即他人收集、使用应获其同意。行为人收集、出售、购买个人信息,超出了企业联系人目的范围,且未获同意,构成对公民个人信息的侵犯”[4]。这同样意味着,信息主体自行公开个人信息传递出信息主体对他人在合理范围内处理其已公开个人信息的默示同意,但这种默示同意以合理的范围为界,如果处理者的个人信息处理活动超出了合理范围,就侵犯了信息主体的权益,不能阻却违法[5]。

无罪论者认为,根据刑法第253 条之一第3 款的规定,获取公民个人信息手段的非法性源于非公开的个人信息,且对已公开个人信息的处理规则说明相应的处理行为已经被接受,则同等情况下的信息收集行为也应被接受,故而爬取已公开个人信息的行为不宜适用侵犯公民个人信息罪[6]。同样持该观点的学者认为,“公民公开敏感隐私信息之外的一般信息,具有被害人承诺的性质,使得运用网络爬虫收集这些信息的行为能够阻却违法性”[7]。

区别论立场则基于信息公开的目的和信息的用途来衡定爬取行为是否有罪。“针对已公开的个人信息仅实施单纯获取或爬取、持有等行为的,由于行为人还没有将该信息予以批量出售、提供,很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同,也无法确定信息的用途是否被改变,难以得出行为人侵害被害人法益处分自由的唯一结论。”[8]基于该理解,爬取已公开个人信息的行为是否应予归责,需要判断爬取行为是否违背了信息主体公开个人信息时的初衷,是否改变了相应信息的用途,如果爬取行为与上述初衷相背离,发生了根本抵触,则应当入罪。

上述立场争议仍然存在一定的解题局限性,进而导致公民个人信息保护与信息流转适用的失衡,最终不利于法益保护目的的实现。因此,亟须通过探讨上述实务困境和学理争议生成的内在原因,并在此基础上寻求更为契合前置法和刑事法律规范的归责模式。

二、原因剖析:爬取已公开个人信息行为的刑事归责偏差

爬取已公开个人信息的行为在行为样态、归责结果、归责路径等方面对刑法规制形成发难,既有的依托于传统刑法而形成的归责路径已然力有不逮,司法适用的分歧成为倒逼完善我国对于爬取已公开个人信息行为刑事归责路径的内在动因。因应数字经济时代的现实背景,面对个人信息作为犯罪对象、工具所衍生出的犯罪现象,在个人信息保护力度不断加强和相关规定愈加丰富的前提下,更应追溯反思爬取已公开个人信息行为刑事归责分歧的生成原因,以保证刑事归责体系的平顺适应与周延归责。

(一)犯罪对象的认定抵牾减损归责结果的同一性

借助网络爬虫技术爬取已公开个人信息的行为是否构成侵犯公民个人信息罪的“非法获取”行为,核心问题在于判断已公开个人信息是否为该罪的犯罪对象,是否具有值得刑法保护性。对此,有学者认为,爬取公开发布的信息不属于违法,因信息主体的自愿公开行为阻却爬虫行为的违法性,当事人公开信息是自主选择和决定的结果,因授权公开而导致爬取公开信息不再具备值得处罚的程度[9]。申言之,上述论者在论述爬取行为是否应予刑事归责时所依循的逻辑是,首先判断已公开个人信息是否落入侵犯公民个人信息罪的保护范围,即是否属于该罪的犯罪对象,继而讨论相应的爬取行为本身是否应予刑事处罚。然而实务中存在的关键问题在于未能准确识别犯罪行为与犯罪对象,未能意识到二者归属于不同的认定层级,从而将已公开个人信息的本质属性认定与爬取行为相混淆,导致司法适用的异质化。如在“黄某某侵犯公民个人信息案”中,法院直接将犯罪对象与犯罪行为混为一谈,以犯罪行为的非法性直接界定已公开个人信息的属性。裁判者在裁判文书中明确表明,因二被告人所获取、交易的已公开个人信息未取得信息主体的授权,故而属于刑法上的提供行为,应予入罪,据此可认为二被告人所交换的涉案信息亦属于侵犯公民个人信息罪所保护的客体①详见浙江省杭州市滨江区人民法院(2019)浙0108 刑初118 号刑事判决书。。实践中多数案例采取上述裁判理由,但亦有裁判意识到犯罪行为与犯罪对象之区别,并对二者分别予以评价,实现逻辑自洽。如在“李某侵犯公民个人信息案”中,法院首先评判了被告人李某出售的涉案信息系信息主体主动公开的个人信息,鉴于该信息可识别特定自然人的身份,故认为属于公民的个人信息,而后回应了被告人相应的犯罪行为如提供、出售超出了案涉信息主体合理使用目的和范围,危及了信息主体生活之安宁和安全,构成侵犯公民个人信息罪①详见广东省佛山市中级人民法院(2021)粤06 刑终345 号刑事裁定书。。

据此可知,司法实务中部分裁判未能意识到犯罪行为与犯罪对象本身分属不同范畴的问题,将已公开个人信息的属性认定问题与对爬取行为的性质认定问题混为一谈,导致对已公开个人信息应否成为犯罪对象之问题缺乏清晰的认知,从而减损了爬取已公开个人信息行为刑事归责结果的同一性,加剧了对爬取行为准确界定的难度。

(二)归责路径的错落适用增加归责效果的离散性

在爬取行为的多样化展开和刑事归责的扩张化适用的博弈中,司法实践与规范学理亦对此进行了自觉回应。梳理刑事归责的理性展开思路,可将其基本还原为知情同意方案和目的用途方案。两种归责路径并非全然的非此即彼、互相否定的关系,彼此间存在竞合抑或交叉关系。不同的处理方案一定程度上导致了一些裁判者在面对具体个案时的无所适从,而裁判者对归责路径的个体化理解亦增加了归责效果的离散性。

知情同意方案或称二次授权方案发端于《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息犯罪司法解释》)第3 条第2 款之规定,即未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第253 条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。实践中,爬取已公开个人信息之判例多形式化援引该规定作为入罪之理由,多数判例象征性地指出爬取行为未取得信息主体之同意从而构成犯罪。信息法律的核心问题是保障个人享有获取信息的权利,处于优势地位的不是信息社会而是知情社会[10]。然而,二次授权方案无视前置法之要求,在有悖法秩序统一性原理的情况下,错误定位已公开个人信息的性质,教条化理解知情同意原则,只在形式层面关注是否取得信息主体之同意,而未进一步深化评价对已公开个人信息的爬取行为是否具有合理性,是否在实质上侵害法益。实际上,二次授权方案极易压缩信息利用的空间,且在实践中难以操作。同时,在“大数据、人工智能等网络技术的冲击下,个人信息主体知情同意权面临着功能失灵的危险”[11]。因运用网络爬虫技术爬取的信息是海量的,信息主体庞大且分散,甚至无法及时准确找到信息主体。对此,如若每一次的爬取行为前都要求获得授权,只会增加实践成本,从而与运用爬虫技术的目的相悖。此外,二次授权方案在处理已公开个人信息案件时未能从类型化视域出发,重视已公开个人信息的特殊性质与类型,只是简单地依据司法解释作单一判断。

目的用途方案有别于知情同意方案,其并非形式化地援引《个人信息犯罪司法解释》的条款,而是从被害人的法益处分自由出发,以信息公开时的目的及可预期的用途作为考察标准,衡量爬取已公开个人信息行为的入罪和出罪之刑事边界。且该方案严格尊重已公开个人信息主体选择公开信息时的主观意愿,意图通过推测其主观表达实现对个人信息权利的周延保护。诚然,目的用途方案较之知情同意方案存在优势,但在具体的司法实践中同样存在难题,最突出的问题便是其无法实现所有信息类型的合理判定。已公开个人信息可分为多种类型,如绝对公开型个人信息、强制公开型个人信息、非法公开型个人信息,信息类型的多样化折射出个人信息公开场景的复杂化、个人信息公开目的的多元化、抽象化。在此情况之下,要求信息处理行为符合信息公开时的目的用途,多数情况下无从考究。如根据《企业信息公示暂行条例》第8 条之规定,企业每一年度需向社会公众公示其法定代表人之姓名、电话号码等,虽该信息之公开目的是保证公众的知情权和监督权,但实践当中行为人往往为便于收集信息会借助爬虫软件收集信息主体公开在“企查查”“天眼查”等网站的信息,若行为人爬取上述信息后用于实施违法犯罪行为,则哪怕此类信息之公开是为了公共利益服务,也无法对该行为之合目的性予以认可。正是因为此类信息公开的场景实际上是无法体现个人意志自由的,也难以充分体现个人法益处分自由,故而无法准确判定信息公开的目的,遑论对爬取行为作出合目的性之判定。

姑且不论各归责路径在具体个案适用中是否具备妥当的法理,其潜在的危机已然显而易见,正是由于归责路径的错落适用,导致了爬取行为归责边界的模糊性,加之归责结果的不确定性和争议性,增加了裁判者取舍的困惑性,从而有碍归责结果的强力性。面对归责路径的错综展开情状,应当审慎认定爬取行为的归责边界,以使归责结果不至于有悖刑法谦抑性精神。亦即,就爬取行为而言,教义学层面的理解、规范本身的解读都容易导致最后归责结果的离散性。因此,对爬取行为的归责进路进行深度梳理,提供更为明确的界分依据显得非常必要。

(三)法益内核的界定模糊削弱归责结论的聚合性

晚近以来,犯罪之本质被认为是对法益的侵害已成为刑法教义学的基本命题,“法益概念为刑法的保护对象提供经验、事实的基础,法益是作为人们的生活利益而成为保护对象的。不管是在解释论上还是在立法论上,法益概念都起着指导作用”[12]。可见,法益概念本身所承载的立法批判功能与解释指导功能为学界所公认。一定意义上,爬取已公开个人信息行为刑事归责之分歧,均源于侵犯公民个人信息罪的法益理解偏差。

对侵犯公民个人信息罪保护法益的研讨,关涉公民个人信息刑法保护范围的正确厘定。学界在对侵犯公民个人信息罪的保护法益进行研讨时呈现出两个研讨面向:一是本罪的保护法益为个人法益抑或超个人法益。持个人法益说的学者立足于刑法解释学,提出了隐私权法益说、信息自决权法益说、信息安全法益说等,其中信息自决权法益说系个人法益论内部主流的学说。此种观点背后所依循的逻辑是,对于个人信息所保护的并非个人之隐私,而是个人对其自身社会形象的自我决定。此种理解以法秩序统一性原理为基点,高度契合《中华人民共和国民法典》(以下简称“民法典”)第1036 条第2 项之规定,同时保证了对《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)相关规定的回应。持超个人法益说的学者则是基于风险社会的宏阔背景,以公民个人信息的公共价值属性为起点,认为爬取已公开个人信息的行为受到刑事归责的前提是该行为对社会公共信息安全形成了侵害和威胁,并据此提出了个人信息安全法益说、信息专有权说等。二是关于侵犯公民个人信息罪应当落入传统法益抑或新型法益之保护范围。持传统法益观的论者认为既有法益可实现对侵犯公民个人信息行为的周延保护,而无须缔造新型法益。持新型法益说的论者日益增多,认为本罪的保护法益应为“网络信息时代作为新型权利的个人信息权”[13]。

学界对上述观点进行证成时,先是通过刑法体系和相关理论来证伪其不支持的法益观,继而根据其对个人信息所蕴含之权利价值判断界定该罪的保护法益。然而,在对个人信息的治理目标未能明确衡定,法益界定规则亦不明朗的前提下,并不能支撑学界对侵犯公民个人信息罪的保护法益形成共识。加之司法适用层面较少关注法益侵害之实质,对已公开个人信息之性质界定亦持模棱两可的态度,这进一步增加了爬取已公开个人信息行为刑事归责判定的难度。

三、爬取已公开个人信息行为之刑事归责路径构建

虽然当前司法实践中对爬取已公开个人信息行为的认定呈现出差异化景象,但经类案梳理可发现裁判文本背后的逻辑走向,其形式层面主要以前置法规范为导向,实质层面以法益侵害为导向的刑事违法性判断基准,问题亦主要集中在对已公开个人信息的性质认定及对以已公开个人信息为对象的爬取行为本身刑事违法性的判断层面。而对此问题的分析,需要进一步推动裁判经验和规范理性的自觉融合,从而在司法裁判进路与归责模式之间构建桥梁。

(一)刑事归责的逻辑依循:刑事违法性判断基准

形式违法和实质违法是对行为的法律评价可能存在的两种方法,其中:形式违法是指违反国家法规、违反法制的要求或禁止规定的行为;实质违法是指危害社会或者说是反社会的行为[14]。可见,“形式违法性是指行为违反现行刑法,不能以实质违法性为由肯定形式违法性的存在;但可以用实质违法性概念检测成文刑法。另外,可以根据实质违法性,承认刑法没有明文规定的超法规的违法阻却事由,从而排除行为的违法性”[15]。在认定爬取已公开个人信息行为是否应予归责,如何进行归责时,应先界定已公开个人信息是否具备刑法保护性,即于形式违法性层面是否违反现行刑法。完成对已公开个人信息刑法层面本质属性界分后,基于刑法的补充法地位,仍应基于前置法层面考察侵犯公民个人信息罪的构成要件层面的归责要素,以其为后续重构本罪法益以及考察实质违法性要素时,形成完善的归责链条。故而,解析爬取已公开个人信息行为的形式性归责依据和实质性归责依据,一方面既是司法裁判逻辑向理论逻辑的融合转化,另一方面也能为纾解爬取行为归责边界提供思路。

1.形式之维:已公开个人信息之前置法定性界分

形式违法性系立足于形式层面将违法界定为违反实定法,亦即对刑法规范的违反。根据该理论之底层逻辑,观照爬取已公开个人信息之行为,只要相关的爬取行为符合构成要件,且缺乏违法阻却事由,则应当认定为具有违法性。确定已公开个人信息是否为侵犯公民个人信息罪的犯罪对象,是认定爬取行为应否受到刑事归责的基础,而就已公开的个人信息是否受到刑法保护历来存在争议。有学者指出,对于依法公开的信息,即使具有识别性,获取行为也不具有非法性,且依法公开之信息本就意味着向社会所有人公开,后续的出售或提供行为也不认为违反了国家有关规定[16]。另外,有学者认为个人信息并不等同于个人隐私,即使信息已经公开,仍有可能成为侵犯公民个人信息罪之犯罪对象[17]。

考察犯罪对象的前提,是明确侵犯公民个人信息罪中“公民个人信息”的法律意蕴,从而确定个人信息保护范围是否包含已公开个人信息。首先,《个人信息犯罪司法解释》第1 条对“公民个人信息”的定义是:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”该规定强调对刑法个人信息保护的本质属性为可识别性,而对信息公开与否未做任何约束。个人信息保护法第4 条则认为“个人信息”是指“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。该规定进一步表明我国对个人信息保护的实现并非通过隐私权予以实现,不论信息是否公开均包含在保护范围之列。诚然,未有直接的刑事立法规范表明已公开个人信息属于侵犯公民个人信息罪中的“个人信息”,但无论是司法解释的语义范围,还是前置法的规定,都能为已公开个人信息应当受到刑法保护提供佐证。其次,从刑行民衔接的角度考虑,民法典和个人信息保护法都明确了对公开个人信息的保护,处理已公开个人信息的行为可能会构成民事和行政违法。刑法作为后置法和保障法,也应当将已公开个人信息纳入保护范围,从而不至于与前置法产生冲突。最后,已公开个人信息的私密性虽然不及未公开的个人信息,但仍然附着信息主体的人格利益,处理行为仍然会对信息主体的个人权益造成影响,尤其是相应的信息处理行为获取的信息数量庞大,其带来的社会危害性是不可控的,仅仅依靠民法和行政法显然不足以遏制其危害性。综上,已公开个人信息应当包含在公民个人信息中,属于侵犯公民个人信息罪的犯罪对象。

此外,作为侵犯公民个人信息罪的核心构成要件——违反国家有关规定,是形式层面需要准确界定的最重要的要素。基于法秩序统一性原理,民法典和个人信息保护法作为个人信息保护领域最重要最直接的规范,对已公开个人信息的相关处理行为之规定不容忽视。具言之,信息处理者在对公民自行公开或强制公开的个人信息进行处理时,除公民个人明确拒绝或处理行为侵害信息主体重大利益的情况外,只要爬取行为落入合理处理之范围,则即便爬取行为未征得信息主体的同意亦无须对此承担任何的责任。

2.实质之维:动态保护导向之个人信息权法益重释

仅仅归因于违反实定法规的形式违法性解释虽能满足普适的理解需求,却未能进一步考察爬取行为的违法程度,从而界定违法阻却事由之根据与范围。此外,随着数字经济时代的纵深发展,爬取已公开个人信息行为是否必然具备违法性,已然不能简单地通过形式违法性予以判断,超法规违法阻却事由如满足企业、个人发展需求而收集已公开个人信息的行为,并未被形式违法性所承认。因此,仍应在形式违法性后介入实质违法性,从而对本罪构成要件以及归责要素作出明确区分。如前所述,学界对于侵犯公民个人信息罪的保护法益存在诸多争议,其中以个人信息自决权为主流观点,但“旨在保障个人信息自决权的侵犯公民个人信息罪,其对信息自决权的保护范围相当之窄,基本上局限于数据收集环节的权利,当前的保护框架并没有对数据主体在数据收集之后的后续权利提供任何刑法上的保护”[18]。故基于个人信息自决权形塑的法益保护范围不仅极易导致在信息过剩的时代对个人信息权益保障不足的问题,而且容易导致少数主体从异化的信息社会中获益,而特定人群信息权益被损害的现实被漠视的结果。因此,侵犯公民个人信息罪的保护法益应确立为涵盖范围更为丰富的个人信息权,即以个人信息为权利保护客体,足以囊括各类信息、兼具积极使用并许可他人使用、消极防御他人侵害的权利。

而个人信息权的重塑与个人信息保护所折射出来的动态保护主义倾向息息相关。传统的在个人信息保护与处理规则上所采取的静态化与形式化的保护进路,已然难以还原法益保护的独立功能,过往对个人法益说或个人信息自决权内涵的解析亦多侧重于个人信息静态方面的保护需求,而忽视了在数字经济时代的背景下,个人信息面临的威胁绝不仅仅是信息自身的安全,而且是个人信息合理利用过程的动态安全,如信息收集、存储、交换过程中发生的信息被滥用的危机等。此外,附着于个人信息之上的各方权益的复杂性与复合性决定了对于侵犯公民个人信息罪法益内涵之确定,既要考量现有刑法体系内部的制度性安排,亦要有意识地摆脱部门法的狭隘,观照个人信息保护的整体法律框架作出相应的调整。

鉴于此,我国既有的个人信息保护立法体系框架内,个人信息保护法作为个人信息治理与个人信息保护的基本法律规范,对处于补充法、保障法位置的刑法规范具有塑造功能无可厚非。个人信息保护法的立法精神为“保护个人信息权益、促进个人信息合理利用”。此后,该法相应条款再次重申“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”。由此观之,个人信息保护法对个人信息保护权益的要求明显是对个人信息保护的静态安全和信息利用过程中的动态化安全保护。从关注个人信息的静态保护结果到保障个人信息合理利用,此一转向对于形塑刑事法律规范视域下的个人信息权内涵提供了指引。此外,“就个人信息权而言,由于个人信息处理的普遍性和复杂性,实际上较难清晰地将个人信息之上的全部利益都确定归属于信息主体”[19],个人信息权能的主体承担还须在具体适用中加以衡量。据此,个人信息权法益的重塑既契合了个人信息动态保护的发展趋势,又能实现对侵犯公民个人信息的周延保护。

(二)判定方案:情景脉络完整性理念之规范诠释

情境脉络完整性理论(contextual integrity theovy)的核心理念以个人信息原始收集时的具体语境为依托,后续传播及利用应与原始的情境脉络联系起来。情境脉络完整性理论由以下四个要素组成,即信息规范(informational norms)、适当性(appropriateness)、信息主体(roles)、传播原则(principles of transmission)。信息规范是信息传播和使用时应受限制的特定时空因素,不存在不受信息规范制约的生活领域,不存在完全自由的信息领域,信息规范无法脱离特定时空的政治、习俗、经济、文明等背景,保护个人信息就是保护情境脉络的完整性不受控制,保证个人信息的有序流动。判断信息流动是否符合信息规范,应判断其是否符合适当性标准,故而离不开对信息规范要素即信息主体、信息类型、传播类型的综合判断。其中:信息主体是指信息传播中的不同实体,如信息的处理者、信息的控制者、信息的发送者等;信息类型是指相关信息的性质、类别等;传播原则是指信息流转中的约束条件[20]。

情境脉络完整性理论自诞生以来,随着大数据、互联网的发展,亦被学界纳入人工智能、大数据处理、搜索引擎等领域。近年来,随着个人信息的保护升级,我国学界将此理念纳入已公开个人信息的处理行为判定行列,相关判决亦有借鉴该理念之趋势。如有学者指出信息的内容、形式和性质因场景的更替而不断变化,为促进数据应用与信息流通,以信息自决权为导向的单一的、静态的个人信息定义已难以适应实践之需要,而应正视不同情境脉络下的价值维度和价值面向,构建本土化的个人信息的情境脉络判断[21]。亦有学者认为应将情境脉络模式应用到已公开个人信息的处理领域,其主张以个案判断的“情境模式”取消“知情同意”原则的限制,从而对个人信息是否合理处理之判断即回归到个人信息的性质和用途,以及处理行为所携带之风险是否在用户的可接受范围之内[22]。笔者赞同上述观点,然而遗憾的是前者未就如何构建本土化的情境脉络判定框架作出进一步论述,后者则过度关注已公开个人信息处理的动态过程,而忽视了对其静态情境下的判断。情境脉络完整性理论为个人信息安全保护与个人信息流通利用的紧张关系提供了解决方向,其将解答的关键定位在如何判定处理行为的合理使用上。相较于传统的个人信息静态化保护进路,情境脉络完整性理论不再侧重于对个人信息进行静态化分级分层保护,而是将关注点集中于信息流动的整个情境,以信息规范所含的信息主体、信息类型、传播原则等决定性要素,依据信息流转的具体情境,综合判断个人信息在流转过程中是否得到正当使用。情境脉络完整性理论既为商业主体合理使用个人信息提供了正当性理由,又为个人信息流转中个人信息权利的保障设置了适当的限制和保护性条件。该理论突破了传统的个人信息隐私权保护的一元化保护模式,以信息流转的具体情境寻求“实现信息收集或处理主体与信息主体之间的公平或合理的信息关系,仍然取决于相应制度是否能够在具体场景与信息关系中确立个人信息权利的合理边界”[23]。然而,该理论亦存在诸多瑕疵,我们仍应聚焦于如何通过本土法之规定,从静态和动态平衡之角度,在对已公开个人信息的处理行为领域,构建本土化的情境脉络判定标准。

(三)归责模式:情境脉络下爬取行为之边界厘清

民法典第1036 条第2 款和个人信息保护法第27 条均为已公开个人信息的合理处理设置了规则,且个人信息保护法第4 条第2 款规定了“个人信息的处理包括个人信息的收集、存储、使用、加工、公开、删除等”,网络爬虫抓取个人信息作为处理行为的特殊形态,显然应当受到该条款的限制。据此,关键问题在于如何在前置法规范的基础上,于刑事法律视域下构建刑事归责框架。对此,有学者指出应以前置法所设计的已公开个人信息合理处理规则为逻辑起点,在具体场景中以信息处理目的、信息使用用途、信息主体的重大利益来形塑合理处理的认定标准,划定处理已公开个人信息的刑法保护边界[24]。同样持该观点的学者亦认为“个人信息处理是否合理,取决于引发的影响能否为用户所接受,或是否符合用户的合理预期”[25]。但上述路径亦存在偏颇,理应在情境脉络完整性理论之下对上述观点予以修正,从而寻求爬取行为刑事归责更为周延之路径。

个人信息权法益形塑了个人信息的静态保护和动态保护双层保护范式,故而有必要修正过往单纯注重事后防御的单一的消极防御权能,实现消极防御与积极控制为主导的路径转变,调整单一的法权进路及利益衡量进路的归责模式,转向以情境脉络完整性为导向的并基于前置法所设置的处理规则,形成本土化的刑事归责路径。

一方面,爬取已公开个人信息的行为应当符合个人信息公开时的合理预期。根据个人信息保护法第6 条的规定,处理个人信息应当具有明确、合理的目的,且应与处理目的直接相关。无论个人信息是在自愿公开抑或强制公开的场景,信息主体公开其信息往往具有特定的目的和预期。前者如个人在求职网站公开个人简历所涉及的姓名、联系方式、住址、毕业院校等,信息主体系为获得求职机会、取得应聘通知。后者如公布失信被执行人名单,则常常带有督促被执行人履行义务的目的。鉴于此,认定爬取行为是否具有合理性,应与个人信息被爬取场景下的目的与公开时的客观目的一致为考察要素。其理由在于:一是为实现个人信息的静态保护,需保证信息主体在其信息公开后依旧享有的合理预期与控制,而推定爬取行为是否属于合理范畴亦应以公开目的是否实现为基础;二是即便是基于强制而公开的个人信息,为保障个人利益与公共利益的平衡,也应当对处理行为予以公开时的目的限制。换言之,爬取已公开个人信息的行为在具体的爬取场景下若符合信息主体公开个人信息时的合理预期,则相应的爬取行为所带来的法益侵害威胁仍属于信息主体可容许之范围,基于被害人承诺,符合信息主体公开的目的。即便没有作出明示的同意,也能据此推定信息主体默示同意提供或利用其已公开的个人信息,从而认定该爬取行为因欠缺法益侵害性而不会构成侵犯公民个人信息罪。反之,若相应的爬取行为背离个人信息公开时的目的,危及信息主体的重大利益,则基于对信息主体静态保护之权能,理应重新征得信息主体同意。此外,是否符合主观目的除应考察相应的爬取行为在客观上是否有助于公开目的的实现外,也不排斥信息处理者处理时追求其他主观目的。在正常的经济活动或社会交往中,为实现正当目的,擅自向他人出售或提供已公开的个人信息不会侵犯信息主体的人格尊严与自由发展,并不具有实质违法性[26]。另一方面,爬取方式并未改变个人信息被公开时的用途,且爬取行为所导致的结果不侵害信息主体的重大利益。根据情境脉络完整性理论,个人信息被公开时的具体场景应当得到尊重,后续的流转利用不得超出最初的情境脉络,亦即爬取行为不得与信息公开时的用途存在根本抵触,不得侵害信息主体的重大利益。

四、爬取已公开个人信息行为归责路径之可适性检验

聚焦于上述规制方案的研讨,通过梳理当前利用网络爬虫爬取已公开个人信息的行为类型,结合司法实践中的判例样本,可将爬取已公开的个人信息的行为分为三种类型,即显性爬取行为、隐性爬取行为和中立爬取行为。立基于该分类,笔者从规范归责的角度出发,以情境脉络完整性理论,设立形式判断依据和实质判断依据,划定爬取行为的刑事规制边界,以期裨益于网络爬虫行为运用的刑事归责认定和理论研究。

(一)显性爬取行为:侵害个人信息权

从其爬取的预期目的来看,显性爬取行为的特点和价值在于为下游犯罪提供帮助。该爬取个人已公开的信息行为本身就蕴含着高度的法益侵害危险,严重侵犯了信息主体的个人信息权。典型的如突破技术网站保护措施的爬取行为、利用网站本身的系统漏洞的爬取行为、违反网站合约授权的爬取行为、超越权限范围的爬取行为等。再如利用系统本身存在的漏洞而爬取储存在网站中的公开个人信息的行为,行为人在实施爬取行为时,其行为本身就表征出明显的法益侵害特质。该类爬取行为爬取的对象虽然是已经合法公开的个人信息,但是信息主体选择公开的这些个人信息是为了实现特定的目的。虽然该类信息主体允许他人查看此类信息,但是在未经信息主体同意的情况下爬取此类信息,并将其出售或者提供给他人以获取利益,用于下游犯罪,下游犯罪行为应当受到刑法的规制,爬取的源头行为也应具有法益侵害属性,而受到刑法的规制。行为人在爬取之初便是为了将获得的信息用于谋取利益,显然这已经违背了行为人选择公开其信息的合理预期,行为人的爬取行为本身已经包含着对个人信息进行破坏或侵害的目的。就爬取行为而言,已经在客观上缺乏了社会一般公众对其的合理期待,超越了网络爬虫这一中立的技术支持行为的“社会相当性”范畴,从而侵害了信息主体的个人信息权。

此规制模式也在“罗某某等侵犯公民个人信息案”得到体现,法院在裁判文本中指出,“企查查”等网站向他人提供查询的含有法定代表人姓名、联系方式等企业相关信息,以及通过QQ 群获取的群成员信息确属可公开查询的信息,但被告人将从上述渠道获取的公开信息在未经被收集者同意的情况下进行整合、整理,并用于实施电信网络诈骗犯罪,足以威胁他人人身、财产安全,具有社会危害性,该行为应认定为非法获取行为①详见广西壮族自治区宾阳县人民法院(2020)桂0126 刑初104 号刑事判决书。。就本案而言,基于情境脉络规制模式亦能得出相同结论。信息权利人在“企查查”等网站公开自己的个人信息,其目的是进行商业推广,从而依照法律的相关规定公开个人基本信息,其合理预期并不包括为自己招致不合理的个人信息权被侵犯的威胁。行为人爬取上述公开信息时,并非为了商业化地使用或了解企业相关信息,而是抱着为下游犯罪提供信息的目的,爬取行为已远远超过了行为人的原始公开目的,且其使用行为亦未保持信息公开的情境脉络完整状态,故而应当认为该爬取行为侵害了信息主体的个人信息权。该公开信息在“情境脉络”模式下具有被侵害的相当风险,因而值得刑法保护,其行为构成侵犯公民个人信息罪。

(二)隐性爬取行为:超过被害人承诺范围予以刑事归责

隐性爬取行为在技术特征上兼具针对合法行为与犯罪行为的双重促进效果,且对犯罪行为的促进效果是其重要技术面向。只是针对显性爬取行为而言,隐性的爬取行为被下游犯罪利用的可能性有所降低,但仍高于中立的爬取行为,或者是一般的技术中立行为。基于保护必要性阙如原理,信息主体授权同意他人查看抓取公开的个人信息,意味着其放弃了刑法对于此类信息的保护,在刑法教义学层面该行为被称为“被害人承诺”,属于违法阻却事由。但是,隐性的爬取行为却隐含着对犯罪的支持作用,其不仅触及前置法规范,具备了构成要件符合性,并且因其对爬取到的信息本身的不当处理具备了法益侵害性,从而不应当被认为属于被害人承诺的范围,而应当认为其是被害人承诺之例外而予以归责。具言之,根据情境脉络完整性理论,一旦公开的信息是在特定的范围针对特定的对象公开的,如果行为人在未经授权的情况下收集信息,并且将其运用于完全不同的情境,则该爬取行为超过了一定的限制,超过了被害人承诺的范围,因而具备非法性构成犯罪。

此一规制思路在“李某、张某侵犯公民个人信息”一案中有所体现,本案中被告人通过网络抓取、购买企业、工商户等个人合法公开的信息,并通过QQ 在线发送的方式与他人进行信息交换,涉案信息数量巨大。行为人及其辩护人辩称涉案公民个人信息是为公司合法经营搜集,属职务行为,且所抓取的信息属公开信息,没有谋取个人利益,但法院认为公民个人信息安全依法受法律保护,行为人违反国家有关规定,实施非法获取和向他人出售或提供公民个人信息,属于侵犯公民个人信息的行为。本案中,行为人抓取涉及公民个人信息的资料,并将其用于交换或出售,无论行为人是否谋取个人利益或是否系为公司合法经营使用,均不影响犯罪行为的认定①详见河南省济源市人民法院(2018)豫9001 刑初396 号刑事判决书。。此案中,虽然行为人爬取的是他人合法公开的工商登记信息,信息主体对自己所公开的这些信息被查看、获取是可以预见的,甚至应当认为信息主体对此结果是乐见其成的,但是权利主体对该信息被获取利用的范围,其同意被使用的范围和程度并不包含信息利用者将其用于谋取利益。这已经远远超过了被害人承诺之范畴,行为人的爬取行为显著升高了法益侵害的危险,应当被认为是被害人承诺的例外,理应被纳入刑事规制范围。

(三)中立爬取行为:遵循前置法规范构成免责

中立的信息爬取行为本身并不具有犯罪的特征,不应将其纳入犯罪构成要件的考量中。网络爬虫作为中立技术,其和网络爬虫的关系实为工具和利用工具的逻辑关系,正如菜刀和使用菜刀之间的关联性。人类在主观层面上对菜刀作为工具时的判断只有性能优劣之分,并无价值判断之好坏,但菜刀因被不同人使用便在客观效用上呈现出善恶之分[27]。从技术层面来看,一旦信息主体选择了公开个人信息,则意味着其授权允许他人查看和有限利用,中立的爬取行为本身为信息的加速流通与利用起到促进作用,提升信息获取的速率是其主要的价值所在,并未改变公开信息的存在状态,因不能准确界定其爬取信息的行为的目的和爬取信息的用途是否具备非法性,故无法判断中立爬取行为的危险性,或者说爬取行为本身本就存在极低的危险性,因而无法直接对其予以刑事归责。具言之,在整体法秩序原理下,对中立爬取行为进行评价,如果发现其完全遵循了前置法规范,符合信息主体公开信息时的原始目的和场景,便可直接认为该爬取行为构成免责。

此规制思路在“王某侵犯公民个人信息案”中有所体现,本案的争议焦点为被告人交易交换的能够从公开商业网站获取的企业信息中提取的包含法定代表人或联系人姓名、手机号码的信息是否属于侵犯公民个人信息罪中所调整的“公民个人信息”范围。法院审理认为,涉案信息提取自公开的商业网站中企业介绍自己生产、经营、销售产品状况的广告信息,其中包含的法定代表人或联系人姓名、手机号码应当是相关当事人自愿公开的,相关人员在将此类信息公开时,必然会预见有被他人使用甚至不当使用的可能性。不能笼统、狭隘地将“未经被收集者同意”理解为只要权利人不同意,不管信息已公开与否,不论是否合法途径获取,都不能被使用。在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”的要求过于苛刻也不合理,故应当认为此类信息不属于侵犯公民个人信息罪所调整的“公民个人信息”范围①详见苏州市姑苏区人民法院(2018)苏0508 刑初40 号刑事判决书。。在情境脉络模式下,该公开信息在此情境下不具有被侵害的社会相当性,行为人的爬取行为不符合前置法规范直接构成免责,因而该信息不具有刑法意义上的值得保护的性质,不应该予以刑事规制。

结语

因应信息时代网络爬虫技术的运用和信息流通共享的需求,有必要对爬取已公开个人信息的行为予以刑事规制。司法实践中对爬虫技术规制的扩大化,一定程度上抬升了爬取行为在侵犯公民个人信息罪视域下入罪的可能性,前置法规范的不断完善能为出罪提供正当化事由。回归个人信息权法益构建立场可以有效缓解爬取已公开个人信息刑事归责的困境,同时通过刑法与前置法规范的有效衔接,可以在法秩序统一性理论下补全学界传统归责路径的论证瑕疵。此外,情境脉络完整性理论能够在此基础上通过区分不同变量,协调网络爬虫技术运用与个人信息保护的紧张关系,助力个人信息治理目标的实现。简言之,面对网络爬虫从单纯的中立技术运用向犯罪工具转变现象的多发,数字技术异化应用引发的法益侵害风险在实践和理论中不应被忽视。既有刑法理论亦应对此犯罪现象进行体系调适,以应对信息技术迭代衍生的挑战。本文希冀通过爬取已公开个人信息行为问题的实践反思与学理应对,为爬取行为之刑事归责边界厘清提供化解方案。

猜你喜欢

爬虫法益个人信息
利用网络爬虫技术验证房地产灰犀牛之说
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
基于Python的网络爬虫和反爬虫技术研究
警惕个人信息泄露
侵犯公民个人信息罪之法益研究
刑法立法向法益保护原则的体系性回归
法益中心主义的目的解释观之省思
利用爬虫技术的Geo-Gnutel la VANET流量采集
论侵犯公民个人信息罪的法益