侵犯公民个人信息的刑法边界研究
——以已公开个人信息的保护为视角
2024-06-01最高人民检察院检察应用理论研究课题组
最高人民检察院检察应用理论研究课题组
(大庆高新技术产业开发区人民检察院,黑龙江 大庆 163711)
步入大数据时代,数据本身承载着巨大的商业价值。已公开的个人信息,是指个人自行公开或者其他已经合法公开的个人信息。因已公开的个人信息在客观状态上能够被任何人获取且成本较低,因此不少人通过获取公民已公开的个人信息将其用作他用。这些信息或是被用来谋取利益,如拓展业务、推销产品等正常经营活动;亦或是被用来进一步实施违法犯罪活动,如实施电信诈骗、追踪定位等。侵犯公民个人信息案便是犯罪嫌疑人以获得的个人信息为基础编制话术,从而诈骗被害人。因已公开的个人信息涉及数据安全与数据利用两方面,因此,需要对已公开的个人信息进行更深一步的理解,为已公开的个人信息提供一个合理的保护路径。
一、已公开的个人信息应为个人法益,值得刑法保护
目前,法学界对于已公开的个人信息有“超个人法益”和“个人法益”两种不同认识。科学判断上述认识的正误,是对已公开的个人信息保护的基础和前提。
(一)超个人法益
超个人法益说论者认为,侵犯公民个人信息罪的法益是“‘公权(益)关联主体’对个人信息的保有”。这种观点认为,在“公民的个人信息与安全”与“个人隐私”的背后,必定隐含着在立法者看来更为重大和优先保护的利益。这些公权(益)关联主体在业务处理时依法获取的个人信息也事关国家和社会整体的公共利益。[1]同样持超个人法益说观点的学者认为,“在数据挖掘技术与信息内容变迁的双重推动下,个人信息早已不仅仅关涉个人,早已出现了超越个人性而向公共性转化的趋势。”在其看来,本罪保护的法益并非所谓个人的人身权利,而是社会的公共安全,既“公共信息安全”。[2]也有学者借鉴德国理论,以法定主体的“信息专有权”为本罪的法益。[3]所谓法定主体的“信息专有权”是指法定主体享有的对所占有的个人信息的处分权限。还有学者从侵犯公民个人信息罪案件特点出发,认为在非法获取个人信息的案件中,“群体性是侵犯公民个人信息罪的核心特征”,因此,“仅从保护个体被害人法益的角度难以对这些个人信息的法益作出全面的保护”。[4]超个人法益论者观点纷多,但是都认为当前有关侵犯公民个人信息的犯罪,仅保护个人不能实现保护个人信息权的目标。
(二)个人法益
个人法益说认为侵犯公民个人信息罪侵犯的是个人法益。具体而言,主要有如下几种观点:第一,公民的隐私权说。隐私权说是关于本罪较早的法益观点,有学者认为刑法保护个人信息,旨在禁止任何他人或单位非法侵入公民的个人信息领域,从而达到保护个人信息所体现的公民的隐私权。[5]第二,信息自决权说。信息自决权源于并发展与德国,“信息自决权”是指“个人享有决定其信息是否被处理,以及在何时、何地、以何种方式、在何种范围内被处理的权利”。信息自决权强调主体对信息的选择和决定权。第三,公民个人生活安宁。认为“刑法视野中的公民个人信息判断应当以‘私人生活安宁’为标准,即任何与公民个人相关的信息,一旦泄露,可能威胁到私人生活安宁的,都是公民个人信息。”[6]第四,个人信息权说。既认为本罪保护法益是公民个人的信息权,其内涵既包括个人隐私不受侵犯的权利,也包括限制他人非法收集、转让和出售他人信息的权利。”[7]
(三)对个人法益确定之证成
我国引入法益之概念,必须发挥其在刑法解释过程中应有的作用,必须能够发挥指导刑法解释的作用。就本罪,如将其确立为超个人法益,可能会缺少对个人主体权利的保护,但是,在利益衡量中,要“确保在各种考量中,人权与公民权利具有优先性。”
首先,将侵犯公民个人信息罪的法益确定为超个人法益,无法与刑法理论中“被害人同意”和“被害人自陷风险”相契合,而这两个刑法理论在本罪中发挥着重要的出罪功能。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二款第三条确立了“二次授权”规则,虽然其将入罪门槛大大降低,但是,从该条文的表述中能够推出,如果被收集者同意,那么行为人处理公开的个人信息不构成犯罪。这说明被收集者的同意在侵犯公民个人信息罪中是发挥了出罪功能的,如果将本罪的法益确立为超个人法益,那么“被害人同意”是无法在本罪中发挥出罪功能的,因为“超个人法益是同意的禁区”。
其次,如将侵害公民信息罪的法益确定为超个人法益,也会形成处罚上的漏洞,意味着对于针对一个公民的个人信息,无论侵犯其个人信息权多么严重,都无入罪之可能,因为其在数量上只是“一”,无法达到群体性标准,这不利于对公民个人权利的保护。案件中公民数量的多少,乃“数量之变而非性质之变”,不能因涉案公民多,就“归入所谓社会法益范畴”。并且,案件往往成群体性并不能说明其保护法益应当为超个人法益。一个公民的个人信息被非法处理,因情节轻微,往往达不到处罚标准,所以只有当涉案公民信息达到情节严重时,才有处罚之必要。此时在这些个人信息之上并不存在一个值得保护的超个人利益,有的只是一个个值得保护的公民的个人权利。
最后,超个人法益中,往往都比较抽象,如所谓“公共信息安全”,无法指导刑法解释。抽象法益必然面临一个很关键的问题:即是否被侵犯无法确定。原因在于法益是精神层面的东西,其是否被侵犯是通过犯罪对象表现出来的。犯罪对象是指刑法分则条文规定的犯罪行为所作用的客观存在的具体人或具体物。对于抽象主体而言其法益是否被侵犯无法被客观的事物所呈现,因此在认定中,只要有某种行为即可认定为侵犯某种法益,这种做法不利于保障人权,有任意入罪之嫌。
综上所述,应当确立以个人法益为原则,构建侵犯公民个人信息罪的法益内容。因为个人法益中隐私权说已不再适应本罪要求。随着民法上对个人信息权研究日益深入,以及《民法典》明确将个人信息权作为一项单独的权利规定,说明个人信息权已经独立于隐私权成为一种新型权利,个人信息中的一些隐私信息被处理会侵犯隐私权,但是个人信息权的内涵难以被隐私权所包含,如果还以隐私权作为本罪保护的法益,那么会使处罚范围缩小,不利于打击犯罪。因此,对于公开的个人信息,应当建立一个能够衡平两者的保护机制。
二、已公开个人信息的保护问题及路径分析
公开的个人信息有其保护的价值,但是公开的个人信息相较于与未公开或限定公开的个人信息而言,有其特殊性,即已公开的个人信息“承载着信息主体与信息处理者的双重利益诉求”。[8]一方面,对于信息主体而言,虽然其个人信息已公开,但是有其个人信息处于安全状态的需求。另一方面,对于信息处理者而言,其通过合法手段,耗费精力收集已公开的个人信息,希望借此实现其利益。因此就公开的个人信息而言,值得刑法保护但应有界限,对其过度保护不符合数据时代对数据利用之需求。
(一)二次授权方案论证思路与理论缺陷
二次授权方案最直接的依据就是《解释》第三条第二款。基于此,行为人合法收集公开的个人信息,未经被收集者的二次授权,即构成犯罪。二次授权方案是在区分获取与提供行为的基础上,对合法获取行为不处罚,但是未经授权的提供行为,构成犯罪。
虽然二次授权方案有法律依据,但是其不足之处也显而易见。首先,与《民法典》《信息保护法》规定相冲突。按照《民法典》规定,对于公开的个人信息,在合理范围内处理不需要再经过权利人同意。既然同一行为不负民事责任,根据法秩序同一原理,也当然不负刑事责任。其次,如果对已公开的个人信息都要求二次授权,那么会极大降低信息的流通。在信息化时代,公开的个人信息在量上是惊人的,在传播和利用率上也是极高的,如果每次处理公开的个人信息都必须经过权利人的二次同意,将会花费巨大精力,并且在操作的可行性上也是难以令人接受的。并且如果每有人处理公开的个人信息,就去询问权利人是否同意,对于权利人而言也是一种骚扰。最后,未经同意的获取行为也应当是非法的,虽然收集公开的个人信息手段是合法的,但是未经权利人同意,其在性质上也是非法获取,因为处理行为不仅包含提供行为,也包括获取行为。
(二)合目的性考察逻辑与实践难题
合目的性考察并未关注之后系列的处理行为是否得到同意,而是看其是否符合该个人信息被公开时的用途。该理论从《民法典》和《个人信息保护法》出发,在“合理”范围内处理公开的个人信息,不需权利人的同意。那么问题就在于如何认定“合理”?合目的性考察理论认为“合理”的确认,依据《个人信息保护法》第六条规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关采取对个人权益影响最小的方式。将“合理”的含义限定在“未偏离该信息公开的目的,没有改变其用途。”[9]
能够看出,相较于二次授权理论,合目的性考察不再囿于权利人同意,而是将判断依据放在处理行为的目的、用途与该信息公开时的目的、用途是否相一致。但是目的性考察理论存在着实践难题。首先,个人信息公开的目的、用途具有模糊性、复杂性。信息处于被公开的客观状态,但是导致其公开的因素却有多种,一些信息很难查明其公开的目的究竟为何。其次,主观目的性与客观公开性之间存在一定冲突。因为对于客观上处于公开状态,不特定人都可以获取的信息,因其处理行为违背特定的主观目的而具有违法之可能。这样的立法安排或有不妥。因为目的属于主观方面,虽然存在一些情形可以通过客观条件推出主观目的,但是不免存在通过客观方面无法推出主观目的之情形。最后,合目的性考察理论并不能有效指导实践。在涉案信息庞大的案件中,要求查明信息目的、用途与该信息公开时的目的、用途,会给司法实务带来很大困扰,当处理信息主体自愿公开的行为并未侵犯到信息自决权时,此时将这种处理行为纳入刑法规制范围内显然是不合理的。
(三)客观开放程度标准思路与不足
客观开放程度标准将个人信息开放程度分为“完全开放”“限制开放”“被违法公开”三种,对于“完全开放个人信息的处理”除自然人明确拒绝或者处理信息处理行为侵犯权利人重大利益外,一般不宜作为犯罪处理;对于“限制开放个人信息的处理”如果违反程序获取的条件而提供这类信息,就可能构成犯罪;对于“被违法公开个人信息的处理”如果个人信息系他人违反相关法律而公开,那么信息处理行为仍应受到被刑法制约。
客观开放程度标准,以客观要素作为判断标准,克服了合目的性考察理论所带来的不便。问题在于,完全开放的个人信息也分为行为人自愿公开和非自愿合法公开两种情形,对这两种完全开放的个人信息采同一标准恐有不妥。因为两者所体现的信息主体的信息自决权有差异,对于自愿公开的个人信息,刑法对其进行弱保护,但是对于非自愿合法公开的个人信息,在公开时其信息自决权因公共利益之所需,已经被弱化,因此,对于后续的处理行为应重视信息主体的信息自决权,但是客观开放程度标准并未对其进行区分。
(四)路径确认:以法益为判断标准的分类保护机制
根据《民法典》1036条以及《个人信息保护法》第13条,对公开的个人信息按照自愿性标准划分为自行公开与合法公开,在确定类型标准后,针对不同类型的已公开的个人信息,可进行如下具体操作。
首先,对于自愿公开的个人信息,除信息主体明确表示拒绝,处理这类公开的个人信息,不宜入罪。理由是:信息主体将个人信息公开于不特定人可获取的平台之上,信息处理者无论实施怎样的处理行为都未侵犯到信息主体的信息自决权。根据“被害人同意”与“被害人自陷风险”原则,信息处理者自愿将信息公之于众意味着默许其他人可以对其信息进行处理,并且在信息主体预测到其公开行为会招致其他人不合理利用之风险,仍将其进行公开,表明信息主体愿意承担这种风险,因此不宜入罪。
就处理行为而言,究其本质,“这类行为只是居间促进了完全开放数据的进一步流通,即使没有这类行为,用户仍然可以获取这些数据,只是效率较低而已”。刑法处罚一个行为要求其具备一定的法益侵害性,对公开的个人信息的处理行为特别是获取行为,完全不具备法益侵害性,其只是起到一个汇总作用,并没有侵犯到新的法益或者是使原有法益陷入到更危急的境地。既然处理行为并不具有法益侵害性,刑法就没有理由对其进行规制。“处理该信息侵害其重大利益”不应作为处理自行公开的个人信息的入罪事由。《民法典》对处理公开的个人信息提供了两种例外情形,即“自然人明确拒绝”与“侵害重大利益”。自然人明确拒绝表明其对“同意”的撤回,如信息处理者不顾自然人拒绝仍对其公开的个人信息处理(包括收集、提供等各种处理行为),必会侵犯信息主体的信息自决权,刑法以此罪处罚这种行为在情理之中。但是对“侵害重大利益”的处理行为直接以侵犯公民个人信息罪处罚,会扩大本罪的处罚范围。如果并未侵犯到公民的信息自决权,就不能以此罪定罪处罚。这也是罪刑法定的要求。
其次,对于合法公开的个人信息,刑法应当予以适当保护,除信息主体明确拒绝或侵害其重大利益外,不宜入罪。理由是:对于合法公开的个人信息,相较于信息主体自行公开的个人信息而言,因公共利益之需要,合法公开的个人信息在公开之际所体现的公民信息自决权的程度就比较弱,对其保护力度要高于自行公开的个人信息,但毕竟其属于面向不特定人公开的个人信息,对其保护不仅要站在信息权利人一侧,还要站在信息处理者一侧。因此,不仅信息处理者在权利人明确拒绝后仍实施处理行为可能构成本罪,如果信息处理者的处理行为侵害到权利人重大利益的,也要构成本罪,因为后一行为也侵犯到了公民的信息自决权。
对于合法公开的个人信息,应当认为不侵害其重大利益的处理行为都属于“合理处理”行为。理论上讲,对于合法公开的个人信息,其已经在公开时进行妥协,应当将其公开的个人信息限定在一定用途之内,并且其对于之后的处理行为都应享有知情权、决定权。但是该信息客观上处于被公开的状态,而数据共享与数据安全是数据治理的目标,同时兼顾数据安全与数据共享的刑法保护模式,才是值得倡导的治理模式。
最后,按照这种路径处罚处理已公开的个人信息行为,能避免合目的性考察中难以确定其目的的困境,个人信息是行为人自行公开还是合法公开既可以通过客观的标准进行判断,也能够弥补客观开放程度标准中对信息自决权重视不足的情形,根据信息主体公开信息时的自愿性程度来划分类型,更能发挥法益在判断行为违法性时所发挥的作用。
三、结语
侵犯公民个人信息罪所保护的法益应当确定为信息自决权,处理公开的个人信息的行为是否构成犯罪关键在于看其处理行为是否侵犯公民的信息自决权。自行公开的个人信息与合法公开的个人信息处理规则不同,但从实质来看,还是判断其处理行为是否对信息自决权造成侵害。对于自行公开的个人信息,除信息主体明确拒绝外,处理该类信息不宜入罪;对于合法公开的个人信息,除信息主体明确拒绝以及为侵害其重大权益外,处理该类信息不宜入罪。总的来讲,我国社会因网络技术驱动性与普及性已经进入了区别于传统社会的网络社会形态,这对社会治理体系与治理能力提出了新的挑战。应在网络时代社会治理提倡科学刑法观,减少乃至杜绝不当刑法治理对已公开个人信息处理的弊端。