王思衍
在网络时代,各类基于非法获取、使用个人信息而衍生出的电信网络诈骗、恶意人身骚扰等问题层出不穷。为适应这一形势变化,我国个人信息保护立法体系也开始逐步建立。其中,刑法先行一步:2009年的刑法修正案(七)增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪;2015年的刑法修正案(九)又将《中华人民共和国刑法》第253 条之一规定的上述两项罪名合并为侵犯公民个人信息罪。此后,《中华人民共和国网络安全法》《中华人民共和国民法典》和《中华人民共和国个人信息保护法》相继颁布。在我国个人信息保护立法从碎片化走向体系化的同时,此种并行保护、刑法先行的做法也显现出诸多问题,因个人信息的不同分类而引起的刑法适用困境便是其中之一。①夏伟:《个人信息嵌套保护模式的提出与构造》,《中国政法大学学报》2021年第5 期。
我国刑法规定,侵犯公民个人信息罪的入罪前提性条件为“违反国家有关规定”,获取公民个人信息的入罪前提为“非法获取”。2017年“两高”联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第4 条规定“非法获取公民个人信息”中的“非法”判定依据同样是“违反国家有关规定”,并在第2 条中将“违反国家有关规定”解释为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”。据此,刑事司法中,在判断是否属于“非法获取”公民个人信息时,需要将民法典、个人信息保护法等法律法规的相关内容作为依据。在我国有关个人信息保护法律法规中,判断是否“合法”获取信息的核心规则是“告知同意”规则,即获取信息应取得个人同意,这也是世界各国个人信息保护所普遍确立的规则。②张勇:《APP 个人信息的刑法保护:以知情同意为视角》,《法学》2020年第8 期。我国个人信息保护法沿袭了网络安全法和民法典的相关规定,以告知同意为规范个人信息保护的核心原则。但是,并非所有个人信息都适用这一规则,不同类别的个人信息有不同的信息处理规则。比如对于公开信息,民法典及个人信息保护法均规定了个人信息处理者可以在合理的范围内处理信息,除个人明确拒绝或对个人权益有重大影响外,无需适用告知同意规则。①张新宝:《个人信息收集:告知同意原则适用的限制》,《比较法研究》2019年第6 期。目前,民法典规定的个人信息类别有公开信息与非公开信息、私密信息与非私密信息;个人信息保护法规定了公开信息与非公开信息、敏感信息与非敏感信息;刑法规定了敏感信息、重要信息和一般信息。这些关于个人信息的分类并非泾渭分明,而是多有交叉。由此,厘清各部门法中个人信息类别间的关系,是刑事司法准确适用法律的重要前提。
公开信息与非公开信息在民法典和个人信息保护法中均有规定。对公开信息的解读将影响到刑法的适用。这主要包括两点:一是何为公开信息,二是公开信息的处理规则。
公开信息主要包括两种类型:一是“个人自行公开”的信息;二是“其他已经合法公开的信息”。需要指出的是,并非所有上述两种信息均属于法律认定的“公开信息”。在判定“个人自行公开”的信息是否属于公开信息时,需考量个人公开的对象、范围等。比如,个人通过朋友圈、其他社交媒体公开的个人信息,由于其公开是限于特定对象的,故结合具体情境分析,有时不宜认定为公开信息。“其他合法公开的信息”则需要判断信息公开的合法性。比如,通过黑客手段攻击中介网站获取房屋出售、出租等信息,并将其公布在网络上的,便不属于合法公开。此外,需要注意的是,由于侵犯公民个人信息罪属故意犯罪,如果某信息虽系非法公开,但无法证明被告人主观上知道或者应当知道其为非法公开的信息时,则应当按照有利于被告人的规则处理。②喻海松:《〈民法典〉视域下侵犯公民个人信息罪的司法适用》,《北京航空航天大学学报(社会科学版)》2020年第6期。
公开信息的处理规则与告知同意规则不同。对于公开信息,权利人明确拒绝的,不得处理;处理信息会对个人权益有重大影响的,应当取得个人同意;其他公开信息,行为人可以在合理的范围内处理。在民法典颁行前,司法界对获取业已公开的信息后再次对外提供、出售时是否需要获得二次授权同意的问题多有争议。由于涉及公开信息的案件通常信息数量大、违法所得多,因而成为打击的重点。民法典明确了对已公开的信息除权利人明确拒绝以及处理信息会侵害其重大利益外,无需再次获得同意,从而在一定程度上扭转了对从已公开的企业信息中获取、提供公民个人信息行为定罪的态势。③周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》2021年第3 期。
虽然二次授权问题已基本得到解决,但何为“合理处理”仍无定论。有学者认为,为保护信息自由流通,法律法规没有明确禁止的处理行为均可认定为合理处理。特别是在适用刑法时,不宜将法律、法规未明确禁止的行为认定为“违反国家有关规定非法处理”而入罪。④喻海松:《侵犯公民个人信息罪司法适用微探》,《中国应用法学》2017年第4 期。也有学者认为,处理公开信息时改变信息公开时的目的、用途的,有可能构成侵犯公民个人信息罪。笔者认为,在有关公开信息的公开目的、用途明确可知时,信息处理者不应超出此范围处理信息。个人信息保护法草案(二审稿)第28 条也曾规定,处理公开信息应当符合该信息被公开时的用途,超出该用途相关合理范围内的,应当取得个人同意。虽然正式颁行的个人信息保护法删除了这一规定,但从保护个人信息权益的角度出发,如果信息处理者改变了信息用途且对信息主体权益造成一定影响的,应认定为不属于“合理处理”。
在隐私权和个人信息保护的规范上,我国民法典“人格权编”的第六章借鉴了欧盟将个人信息纳入人格权编而与隐私权并列予以规范的体例。隐私权重在强调隐匿性、私密性,个人信息的认定在于其可识别性,二者的重合部分则为私密信息。如图1所示,我国现行法中私密信息在类别上属于个人信息而非隐私权,但在法律适用时却优先适用隐私权的规定,而非个人信息保护的规定。然而,民法典并未对何为私密信息做出明确界定。因此,准确适用私密信息的相关规定,其一需要将私密信息与非私密信息、私密信息与隐私权做出有效区分,其二需要正确理解私密信息的处理规则。
图1 个人信息与隐私权的关系
1.私密信息的认定。私密信息与非私密信息的界分在民法典中并无规定,学界提出了一些有参考价值的划分标准。有学者主张划分纯粹的个人隐私、隐私性信息和纯粹的个人信息,隐私性信息即为私密信息;①李永军:《论〈民法总则〉中个人隐私与信息的 “二元制”保护及请求权基础》,《浙江工商大学学报》2017年第3期。有学者认为,私密信息应具备“隐”与“私”二重属性,前者指不为人知的秘密性,后者指与公共利益及他人利益无关的私人性。②张璐:《何为私密信息?——基于〈民法典〉隐私权与个人信息保护交叉部分的探讨》,《甘肃政法大学学报》2021年第1 期。笔者认为,由于私密信息适用于隐私权的规定,属于具有隐私利益的个人信息,因此,在界分私密信息与非私密信息时应当同时参考借鉴理论与实务中对于隐私权的认定标准。
国际上对隐私权的认定与保护主要存在两种模式:一是以美国为代表的包括信息自决权和私生活不受干扰权的大隐私权模式,救济的实现以个人利益受到侵害为前提,依靠普通法获得;③高富平:《个人信息保护:从个人控制到社会控制》,《法学研究》2018年第3 期。另一种是欧洲为代表的模式,其重在保护个人尊严,强调个人数据由个人自主控制。④James Whitman,“The Two Western Cultures of Privacy: Dignity Versus Liberty”,Yale Law Journal,Vol.113,2004,pp.1151-1121.我国隐私权的法律保护则经历了较为曲折的发展,从最早作为名誉权的一部分纳入法律保护,到被规定为“其他人格利益”,并最终于2009年在侵权责任法中被确定为独立的人格权。经过不断发展,我国现行法中隐私权的概念既包含了“不愿为他人知晓”这一主观标准,也包括“私人生活”即与公共利益无涉的客观标准。私密信息作为隐私权与个人信息的重合部分,其与非私密信息的判定应当参考隐私权的认定条件,即同时参照主观与客观两方面的标准。首先,由于私密信息具有私密性,认定时应当考量权利主体是否有“不愿为人知晓”的主观意愿;其次,由于与非私密信息的保护机制不同,判断时应当考量该信息对权利主体的重要程度、社会公众对该信息作为私密信息的认知程度等客观标准。⑤程啸:《论我国个人信息保护法中的个人信息处理规则》,《清华法学》2021年第3 期。依据上述标准,涉及个人私生活的信息,如婚姻状况、健康状况、行踪轨迹、财产信息、个人经历等属于私密信息;其他已高度公开的信息,如姓名、性别等则属于个人信息中的非私密信息。⑥李卫华:《民法典时代政府信息公开中个人私密信息保护研究》,《政治与法律》2021年第10 期。私密信息与隐私权的区别主要在于私密信息具备个人信息可识别性的特征。正是由于具备可识别性特征,私密信息在分类上属于个人信息而非隐私权。在实务层面,由于民法典规定私密信息优先于隐私权的适用,因而区分二者的实践意义有限。
2.私密信息的处理规则。较之一般个人信息而言,私密信息的保护更为严格。这主要体现在两方面:其一,处理私密信息需参照隐私权的规定,需要权利人明确同意,即应取得权利人清晰、明确、单独的意思表示,而非告知同意规则中的一般笼统、概括性的意思表示。①程啸:《我国〈民法典〉个人信息保护制度的创新与发展》,《财经法学》2020年第4 期。比如,在现代网络社会中,互联网产品常常给用户提供了内容庞杂的格式条款,通过客户对所有内容的勾选取得处理个人信息的同意。在实务中,这种取得同意的方式多被认定为符合告知同意规则,但若涉及私密信息,则难以认定其符合“明确同意”的要求。由于民法典是刑法中侵犯公民个人信息罪的前置法,这种差异也因此体现在刑法的入罪标准上。
其二,同隐私权一样,私密信息的保护也适用于法律保留原则,即仅可通过法律对其加以限制。从法理上讲,隐私权虽与生命权等权利同属绝对权,但就其性质而言并非绝对不可克减。正如19世纪美国大法官布兰代斯所言,隐私权并不禁止公开涉及公共利益或普遍利益的事项。②[美]路易斯·D.布兰代斯等:《隐私权》,宦盛奎译,北京大学出版社 2014年版。不过,此种对隐私权的限制必须受到来自于立法机关制定的法律的约束。我国民法典也明确了这一原则,规定对隐私权及个人私密信息保护的限制只涉及“法律另有规定”及“权利人明确同意”等两种情形,且此处的“法律”仅指狭义的法律,即全国人大及其常务委员会制定的规范性文件。值得讨论的是,在疫情背景下,对法律保留原则的深刻理解和准确适用对于合理、合法处理个人私密信息尤为重要。在涉及新冠感染者相关信息公开时,其行程轨迹因具备私密性而属于个人私密信息,其信息处理主体、信息收集范围、信息公开方式等均应由法律明确规定。但我国目前在这一领域尚无成熟的配套法律,国务院颁行的政府信息公开条例对于涉及隐私的信息仅要求“不得公开”,但“第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开”。这一条款实际上将是否公开涉及个人隐私的政府信息的决定权下放到了行政机关,与前述民法典所确立的隐私权法律保留原则有一定的冲突。在现行法的框架下,各地政府在公开涉疫相关信息时,在公开的方式、范围等方面均有不同。一些地方公布的过于详细的个人信息甚至引发了全民网络搜索、讨论,给相关人员带来了很大的困扰。在疫情防控常态化的当下,应当尽快完善政府信息公开中的个人私密信息保护制度,细化相关信息的公开标准和范围,在保护公共利益与个人权益之间做出恰当的平衡。
相比民法典,个人信息保护法增加了敏感个人信息这一类别,并以“概念+列举”的方式进行界定。从概念上看,敏感个人信息的内涵以“损害风险”为核心,被定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”的个人信息。此处的损害涵盖了身体损害、物质损害与非物质损害,并强调了敏感个人信息与非敏感信息的一个区分标准在于损害发生的更大可能性和严重性。③谢琳、王漩:《我国个人敏感信息的内涵与外延》,《电子知识产权》2020年第9 期。在明确内涵之后,法条又列举了“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等,以及不满十四周岁未成年人的个人信息”作为可供参考的敏感个人信息。
敏感个人信息的处理规则比“知情同意”规则更为严格。首先,个人信息保护法第28 条第2 款规定了处理敏感个人信息的前提条件,即仅在“具有特定目的和充分的必要性,并采取严格保护措施的情形下”,方可被处理。其次,第29 条规定了处理敏感个人信息需要取得权利人的单独同意,在法律、行政法规规定应当取得权利人书面同意时,从其规定。再次,该法第30 条还规定了敏感个人信息处理者应当履行更严格的告知义务,即应当向个人告知处理相关信息的必要性以及对个人权益的影响。
可以看出,虽然民法典中的私密信息与个人信息保护法中的敏感个人信息有所不同,但实务中却容易混淆,因此,对二者做出进一步区分非常必要。其一,两类信息的分类目的不同。敏感个人信息与非敏感个人信息的区分目的及意义在于,对于泄露后更容易造成损害、造成损害的程度更大的信息,应当对信息处理者提出更为严格的处理要求,以加强对敏感个人信息的保护力度。私密信息与非私密信息的划分目的在于区分民事权益保护的方法。私密信息因为其具有一定的隐密属性,优先适用隐私权的保护方法,非私密信息则适用个人信息的保护方法。其二,由于划分的目的不同,两类信息划分的标准也大有所异。对是否属于敏感信息的判断主要基于损害风险的不同,划分标准更强调从客观角度出发去判断信息泄露后是否容易发生较为严重的损害后果。私密信息的判断标准包括了对信息隐秘性的考量,因而除却客观标准,也需从主观角度出发判断个人是否有不愿为他人知晓的主观意愿。其三,两类信息划分的适用对象不同。①程啸:《论我国个人信息保护法中的个人信息处理规则》,《清华法学》2021年第3 期。敏感个人信息的划分主要针对信息处理者,因此在涉及信息处理者时适用此种分类;而自然人因家庭事务等原因处理信息时则不适用。私密信息适用于隐私权的保护方法,因而任何未经同意处理私密信息的行为都属于对隐私权的侵犯,而不限于信息处理者。
最后,应当认识到,敏感个人信息与私密信息是交叉并存的:有些信息既具备较高的损害风险,又具备信息主体不愿为人知晓且被侵害后会影响个人安宁的特性,因而既属于敏感信息也属于私密信息,如医疗健康信息等;有的信息属于敏感个人信息但不具备私密性,不属于私密信息,如宗教信仰、政治主张等;还有的信息属于私密信息,但其损害风险较低,因而不属于敏感信息,比如个人嗜好等。
刑法中的“个人信息”概念与其他部门法有所不同。在网络安全法、民法典及个人信息保护法中,有关个人信息概念的核心均为对自然人身份具有“可识别性”;但在2013年最高人民法院、最高人民检察院、公安部颁布的《关于依法惩处侵害公民个人信息犯罪活动的通知》及2017年颁布的《侵犯公民个人信息罪解释》中,除了强调可识别性外,还包含了“涉及公民个人隐私”或“反映特定自然人活动情况”。②周加海、邹涛、喻海松:《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》,《人民司法》2017年第19 期。有学者认为,刑法与其他部门法在个人信息外延方面存在差异,是因为各部门法规范目的不同,属于正常现象。但在司法适用时,应当把握以下两点:其一,基于法秩序统一的原理,刑事上予以处罚的行为应当在民法、行政法上具有违法性,“民事上不保护的利益,如果在刑事上将针对此利益的行为定性为犯罪,公众的行动自由就会不当受限”。③周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》2021年第3 期。因此,各前置法中的个人信息范畴,为刑法定罪提供支撑,同时也应是刑法中个人信息范畴的最大边界。其二,民事、行政上的违法性并不都构成刑事违法性,只有当其达到一定程度时方可认定刑事违法性。在此种意义上,刑法实务上认定的个人信息范围小于前置法中的范围。④王昭武:《法秩序统一性视野下违法判断的相对性》,《中外法学》2015年第1 期。
刑法中的个人信息分类主要体现在《解释》中,其规范目的主要在于通过对涉案信息的重要程度做出区分,以制定相应的入罪标准。整体而言,刑法中对于侵犯公民个人信息罪的定罪采取“定性+定量”的逻辑。定性是指对所涉及的个人信息种类依其重要程度不同而做出划分,重要程度越高,则入罪时对数量的要求越低。按照个人信息重要程度的不同,《解释》将个人信息划分为敏感信息、重要信息和一般信息。对于敏感信息,非法获取、出售或提供五十条以上的,即构成刑法第253 条之一规定的“情节严重”;对于重要信息,数量需达到五百条以上;对于一般信息,数量需达到五千条以上。与个人信息保护法不同,刑法中并未对敏感信息采取“概念+列举”的定义方式,而是仅罗列了行踪轨迹信息、通信内容、征信信息、财产信息为敏感信息。重要信息则包括“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”,其他的公民个人信息属于一般信息。
1.其他部门法个人信息类别及信息处理规则梳理。由于各类个人信息的处理规则均有所不同,在司法实务中,对涉案信息进行准确分类便成为判定信息处理者是否“违反国家有关规定”的前提条件。表1梳理了前述各类个人信息的法律界定及信息处理规则。需注意的是,这些分类并非泾渭分明,而是时有交叉并存的情况。比如,敏感信息由于以泄露后的损害风险为划分标准,因此与公开信息、私密信息都可能相互并存。如某人的医疗信息可能既是敏感信息也是私密信息,此时的处理规则应当依照保护更为严格的敏感信息处理规则。相比之下,公开信息与私密信息则由于公开性与私密性相互冲突,因而鲜有并存的情形。
表1 关于个人信息的法律界定与处理规则①基于个人信息保护法是特别法,而民法典是普通法,故对于民法典及个人信息保护法中均有规定的内容,如个人信息的界定、公开信息的处理规则等,在表1中均以个人信息保护法为准。
2.个人信息类别对刑法适用的影响。首先,刑法中的敏感信息、重要信息、一般信息,与民法典、个人信息保护法中的信息类别均不存在严格对应的情况。特别是容易引起混淆的个人信息保护法中的“敏感信息”与刑法中的“敏感信息”,其范围有交叉但并不完全重合。个人信息保护法中的“敏感信息”涵盖生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息,以及其他一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到损害的个人信息。刑法中的“敏感信息”则仅包括“踪迹轨迹信息、通信内容、征信信息、财产信息”。
其次,依据我国刑法及《解释》的文义,刑法中的个人信息类别是判定是否构成侵犯公民个人信息罪中“情节严重”及“情节特别严重”的标准,而各前置法中的信息类别则影响到“违反国家有关规定”的判定标准,二者在司法适用时的适用场景不同。比如,当涉及宗教信仰的信息泄露时,由于宗教信仰属于个人信息保护法的敏感信息,因此在判定行为人是否“违法国家有关规定”而获取信息时,应当判断其是否具有充分的必要性和特定的目的,是否采取了严格保护措施,是否取得了单独同意,是否恰当地履行了告知义务。如若未达到以上要求,则可认定为“违反国家有关规定”获取个人信息。但是,在判断是否达到“情节严重”时,由于宗教信仰目前不属于刑法中的“敏感信息”,因此不应适用“五十条以上”的入罪标准。
最后,为维护法秩序的统一,刑事司法解释未来应当制定更为科学、更好地与前置法衔接的个人信息分类。目前的分类由于缺乏必要的概念界定,司法实务中对相关个人信息的认定存在难点。比如,在刑法中财产信息属于敏感信息,交易信息属于重要信息,二者的界分大多较为清楚,但结合具体案情时常常存在认定困难的问题。①喻海松:《侵犯公民个人信息罪的司法适用态势与争议焦点探析》,《法律适用》2018年第7 期。此外,刑法中的分类与前置法分类不一致的情形也容易引起法律适用上的混乱。因此,未来的刑事司法解释可以考虑采取个人信息保护法中的分类,采取敏感信息与非敏感信息的分类方式。
为实现个人信息保护,促进海量数据有效流通、利用,我国已逐步建立起民、行、刑并行的个人信息保护立法体系,但在各部门法之间仍存在立法不统一、难以有序衔接等问题。为更准确地在刑事司法中适用法律,更好地发挥刑法“保障法”的作用,需要在现行立法背景下继续厘清其他部门法规定对刑法适用的影响,比如个人信息保护法规制的、通过“强制同意”获取个人信息的方式是否属于刑法中的“非法获取”等问题;同时,还应不断推进、完善个人信息保护的刑事立法,消除部门法之间的规则冲突,实现刑法与前置法的有序衔接及法秩序的统一。