刑法视角里的公开个人信息保护

2023-04-03 14:32贺瑶
职工法律天地·上半月 2023年12期
关键词:法益个人信息刑法

贺瑶

各种网络技术的出现,有效地改变了信息传播以及人与人之间的沟通交流方式。移动互联网也使得人们能够向不特定的多数人发布其个人信息。互联网对信息的分享和获取产生了一定的积极影响,但其负面作用也不可低估。一个人自愿在其社交媒体上分享照片、行程轨迹等个人信息,但这并不意味着同意他人收集、整理甚至出售该信息。

一、公开个人信息有关犯罪的分类

在刑事判决中,对已公开个人信息有关犯罪的处理主要分为两类。第一类认为,既然个人信息已经公开,就无须再成为《中华人民共和国刑法》(以下简称《刑法》)保护的对象,未经信息主体同意的后续提供及出售行为也不再具有法益侵害性。在吴某涉嫌侵犯公民个人信息罪一案中,吴某在多个商业查询平台下载公开的企业工商登记信息,梳理分类后进行出售并获利,达到立案标准。公安部门以本罪立案,后检察院建议公安机关撤案,因为没有证据证实犯罪嫌疑人出售合法公开信息的行为是未经信息主体同意或侵害其利益的。

第二类认为,虽然个人信息已经公开,但其未经权利人二次授权而处理的行为仍然会构成本罪。例如,在范某等涉嫌侵犯公民个人信息罪一案中,范某通过制作“爬虫”软件从多个商业查询平台获取企业法人的联系方式等信息,整理后出售。犯罪嫌疑人辩称本案所涉信息属于公开信息,不应当认定为犯罪。而一、二审法院均认为构成犯罪,主要理由如下:一是该信息属于公民个人信息。公安向部分企业法人核实,没有人授权此类商业查询平台公布其联系方式,应认定为公民个人信息。二是虽然该信息已公开,但根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第三条第二款的规定,对被告的抗辩意见不予采纳。

基于此,不难发现,司法实务中对收集已公开的个人信息的行为不构成犯罪基本达成共识,但对后续不同场景下处理行为的定性仍然存在较大分歧。

二、已公开个人信息的定性

已公开个人信息是否仍然属于《刑法》保护的对象?世界各国对此问题存在不同的见解:美国对个人信息的保护以隐私权的方式,认为公开场合可获得的信息不属于受保护的信息范围,就此将已公开的个人信息排除在外;欧盟的《通用数据保护条例》规定,虽然个人信息已经公开,但信息主体仍然享有对其个人信息处理的权利,所以属于个人信息的范围。

(一)民事法律的有关规定

《中华人民共和国民法典》(以下简称《民法典》)第一千零三十四条明确了个人信息的概念,对个人信息采取“识别性”标准。《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第四条第一款使用“关联性”标准对个人信息的概念进行了界定。事实上,无论采用“识别性”抑或“关联性”标准,已公開的个人信息都理应涵盖在其保护范围之内,其仍然可以识别特定自然人,并且与信息主体有直接关系。而且,两部法律也没有将已公开的个人信息单独提及排除在外。

(二)刑事法律有关规定

1.形式分析

《解释》第一条对刑法中个人信息作出规定,根据该条内容,应受《刑法》保护的个人信息的根本属性为可识别性,对其公开性并无特殊要求。因此,只需符合上述要求就构成刑法上规定的个人信息。已公开个人信息符合上述要求且无相反规定,所以属于《刑法》保护的对象。

2.实质分析

行为对象所呈现的是事物的外部特征,而保护法益则是内在本质,二者是现象与本质的关系。德国法学家罗克辛教授指出,犯罪的本质是经验上可以把握的法益侵害。

当前,我国对本罪的法益内容主要分为以下两种观点。一是个人法益说,即本罪的法益是公民的个人信息权。内部又区分为私法法益说和公法法益说。私法法益说指出应为个人信息自决权;公法法益说指出应是个人信息受保护权。二是超个人法益说,其中包括公共信息安全说和信息专有权说,前者认为之所以构成本罪是因为侵害了公共信息安全,后者认为是有关权利主体对于其占有个人信息的处分权限。

回归本罪的立法目的,立法者指出公民个人信息的安全性越来越成为一个全社会关注的问题。保护公民个人信息本身的安全性是首要目的,进而兼顾社会秩序。观察本罪所属章节,本罪规定在《侵犯公民人身权利、民主权利》一章,本章的法益是公民的人身权利与民主权利。虽然行为人犯此罪一般情况下会获得经济利益,但财产权利不是本罪的法益,因为信息主体单独的个人信息不具备经济价值,是经过行为人的整合和处理才拥有,所以,无需考虑财产权问题。综上,可以初步确定,本罪的法益属于个人法益。

关于属于私法法益还是公法法益,笔者更倾向于公法法益。从法律规定的信息处理者的责任来看,信息安全保障义务不是处理者对于某个单独信息主体的承诺,而是其应当履行的公共责任。从判断行为违法性的角度支持了本罪的行为所违反的是公共责任义务。从法律规定本罪的前置性条件来看,前提为“违反国家有关规定”,也即行为是否构成本罪以违反国家规定为标准,无需考虑信息主体和信息处理者的意志,即使未经其同意也存在出罪事由。

已公开的个人信息涉及公民个人信息安全,并且并不减轻信息处理者的安全保障义务,处理已公开的个人信息也有可能违反国家规定。所以,已公开的个人信息仍然属于《刑法》保护的对象。

三、已公开个人信息的处理

(一)有罪说之质疑

有罪说认为个人信息即使公开,但其仍然具有可识别性,因此超出信息主体目的的处理行为仍然需要获得其同意。该观点较为有力的支撑来源于《解释》的第三条,这是认定处理已公开个人信息行为构成本罪的案例的依据,行为人没有取得信息主体的二次授权,因而构成犯罪。笔者认为如此即认定构成犯罪会导致《刑法》的涵盖范围过宽,未经信息主体同意的处理行为不一定会造成法益侵害,无法保持《刑法》的谦抑性。在数字化的今天,如果对信息的二次处理都需要信息主体的同意,会大大增加信息处理的成本,不利于信息的流通和大数据的发展。

(二)无罪说之批判

无罪说认为信息自决权是信息主体对其权利的自我决定,对信息主体同意公开的信息,除非特别要求再次获得同意,否则应推定存在概括同意。笔者认为此种认定方式亦不妥。因为信息主体在公开其个人信息无法预知到被处理的所有方式,根据理性一般人标准,没有信息主体会同意将其信息用作非法用途,因为这不仅包括个人信息的内容,更承载着信息主体的人格尊严。如果一概认定为存在概括故意,则对信息主体的注意义务要求过高,不符合社会常理。

(三)限定说之赞同

限定说的理论基础是“情境脉络完整性理论”,其主要内容为应当尊重最初收集个人信息时的具体情况,此后的信息处理不能超出原始的情境脉络。虽然这种标准看似取决于信息主体的主观认识,具有较大的不确定性,但可用一般理性人标准对此予以规制。如果将个人信息整合后提供给诈骗团伙用于对信息主体的诈骗,则这种处理方式可以认为该风险超出可接受范围。如果将个人信息提供给科学组织用作保密科学研究,则可以认为仍在可接受范围内,并且没有超出本罪保护法益的射程范围。《通用数据保护条例》规定了目的限制和存储限制。这一点至关重要,因为它为研究人员重新使用为其他目的收集的档案、登记册、统计数据等中的个人信息提供了可能性,而无需再次获得同意,也无需更新处理的法律依据。当然,这种方式的构成犯罪与否也是法官行使自由裁量权的一部分。

四、已公开个人信息的处理正当化事由

法秩序统一原理要求法律规范秩序不能相互矛盾,换言之,只有前置法所认为应当予以规制的行为,才有可能成为《刑法》意义上应当科处刑罚的行为。所以,在前置法已经将合理处理作为处理已公开个人信息的正当化事由的情况下,其也可以成为《刑法》中的正当化事由。对于合理处理的边界,笔者认为可以借鉴《民法典》《通用数据保护条例》以及《个人信息保护法》的要求进行判断,即“合法、正当”原则。

(一)合法

对“合法”的判断是正当化事由形式层面的判断。三部法律对“合法”规定了几个方面的具体含义。一是信息主体同意为了特定目的而处理,或是为了履行合同,即应当以个人可以理解的公开方式来处理个人信息。二是为了服从法律义务。服从法律义务本身就是合法的表现,是法与法之间秩序统一的体现。三是为了保护信息及第三人的切身利益。四是为了追求公共利益或他人的合法利益。

(二)正当

对“正当”的判断是正当化事由实质层面的判断。对自行公开的个人信息,信息主体的容忍义务较高。此类信息的标准在于“符合信息主体的心理预期”,因为此种情况下是信息主体对于法益的部分放弃。之所以将心理预期范围外的行为规定为违法,是因为其超出了信息主体的处分意思,从而产生了法益侵害性。对被动公開的个人信息,其标准在于“符合信息公开时的目的”。文书的公开,一方面是社会公众监督司法的体现,使其能明晰国家司法权的合法合理运用情况、当事人权利是否受到保护以及是否受到同等程度的保护和是否存在司法擅断的情况;另一方面也起到行为规范的作用.引导人们遵纪守法。

综上,对合理处理的判断,可以从形式上不违反法律规定出罪;在实质上区分自行和被动公开两种情况,自行公开的合理处理需要在信息主体的预期射程范围之内,被动公开的要求为符合被公开时的目的,意在将不侵害法益、不足以科处刑罚的行为排除,从而维护个案正义。

对已公开的个人信息的《刑法》保护的讨论,源于在司法实践中对类似行为的不同处理方式。所以,需要从各方面进行更为细致的研究,从而确定相对合理的标准。首先,对已公开的个人信息是否仍然是《刑法》保护的对象,形式上根据法律规定对此并未予以排除,实质上仍然有造成法益侵害的可能,得出结论其是《刑法》保护的对象。其次,对已公开个人信息的处理行为的规制,分别讨论了有罪说和无罪说的缺陷,笔者更加倾向于限定说,即根据不同场景确定是否构成犯罪。最后,对合理处理的边界从形式上分析应当符合法律规定,实质上又分为自行公开和被动公开分别设定了符合合理预期及公开时的用途。从刑法视角看,对已公开个人信息应当根据具体情形进行具体讨论,从而实现对已公开个人信息的精准保护。

(作者单位:澳门科技大学法学院)

猜你喜欢
法益个人信息刑法
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
过度刑法化的倾向及其纠正
警惕个人信息泄露
侵犯公民个人信息罪之法益研究
刑法立法向法益保护原则的体系性回归
法益中心主义的目的解释观之省思
论侵犯公民个人信息罪的法益
刑法适用与刑法教义学的向度
论刑法总则