告知同意在侵犯公民个人信息罪中的适用研究

2023-08-03 20:25韦婉
桂海论丛 2023年2期

韦婉

摘要:个人信息保护“刑法先行”模式缺乏前置法的支持,且一定程度上忽视了个人信息保护与利用的价值平衡,立足于整体法视角反思侵犯公民个人信息罪的合理边界具有必要性。告知同意是侵犯公民个人信息罪的重要补充规范,基于被害人同意的出罪功能,比照被害人同意有效要件完善告知同意的内涵,将完善后的告知同意作为被害人同意适用于侵犯公民个人信息罪,能够为本罪的出罪与从宽处罚机制研究提供新思路,实现刑法对个人信息的精准保护。

关键词:告知同意;被害人同意;侵犯公民个人信息罪

中图分类号:D924.34文献标识码:A文章编号:1004-1494(2023)02-0089-06

大数据时代,信息数据成为重要战略资源的同时,个人信息非法利用对信息流动社会秩序造成了严重干扰[1]。在其他部门法还未专门出台个人信息保护相关规范时,刑法就增设了侵犯公民个人信息罪进行个人信息刑法保护①,形成了个人信息保护“刑法先行”模式,但这种试图以规制“点”来保护“面”的做法缺乏整体法的系统性[2],因此立足于个人信息保护整体法律框架,探讨侵犯公民个人信息罪的刑法适用,重新审视本罪的责任承担范围具有必要性。告知同意作为个人信息处理基本规则②,为侵犯公民个人信息罪的适用提供了重要前置法依据,并且告知同意与被害人同意都具有免责功能,所以本罪合理边界的确定,可在被害人同意的视角下以告知同意的刑法适用为主题展开讨论。

告知同意是个人信息处理的基本规则,是指任何组织或个人在处理个人信息时都应当对信息主体(个人信息被处理的自然人)进行告知,并在取得同意后方可从事相应的个人信息处理活动,否则该等处理行为即属违法,除非法律另有规定[3]。在积极利用层面,告知同意是个人信息处理的正当法律根据之一,符合告知同意规则行为人即可开展个人信息处理活动;在消极防御层面,告知同意是免责事由,产生违法阻却效果[4]。

根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》)第二条规定,侵犯公民个人信息罪中的“违反国家有关规定”指违反法律、行政法规、部门规章有关公民个人信息保护的规定。告知同意,作为被《中华人民共和国民法典》(以下简称《民法典》)《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)这两部法律所明确规定的个人信息处理基本规则,当然属于关于公民个人信息保護的法律规定。可以认为,告知同意是本罪空白罪状的补充规范,属于本罪罪状中的“国家有关规定”的下位规则范畴[5]。

而本罪罪状中的“违反国家有关规定”不是可有可无的违法提示性用语,应将其认定为具有构成要件限定机能的构成要件要素。其原因在于,侵犯公民个人信息行为的刑事违法性根据多是来源于民法、行政法,如不依靠民法、行政法这些前置法规范就作出刑法上的独立判断,显然是相当困难的。并且,如果将“违反国家有关规定”认为是违法提示性用语,则否定了个人信息正常交易与流通的可能性,如此解释将违背信息社会与数字经济的发展规律。《司法解释》第四条规定③已经澄清,只有在违反国家有关规定的前提下购买、收受、交换个人信息才是非法获取公民个人信息行为,事实上承认了合法购买、收受、交换公民个人信息的可能性。所以,评价侵犯公民个人信息罪不仅需要考察刑法的规定,还需要参考其他法律、行政法规,将“违反国家有关规定”这一空白罪状解释为构成要件要素,是更为妥当的做法。

由于“违反国家有关规定”这一构成要件要素在构成要件阶层,告知同意在其下位范畴,所以告知同意在侵犯公民个人信息罪中的刑法位置也应当位于构成要件阶层。

二、告知同意在侵犯公民个人信息罪中的效力

当下并没有法律条文直接规定告知同意在侵犯公民个人信息罪中的效力,但把它与刑法上的被害人同意进行比较,并加以完善,则可以发现告知同意也有类似的法律效力。被害人同意,是指法益主体允许他人对自己的个人法益以一种刑法上的“侵害”方式予以处置[6],得到被害人同意的行为不为罪已是刑法学界共识。告知同意与被害人同意皆为权利人的同意,那么告知同意能否对标被害人同意在侵犯公民个人信息罪中发挥出罪机能?当前,学界已有观点认可告知同意可以视为刑法上的被害人同意,成为排除或是减轻侵犯公民个人信息罪刑事责任的根据[7],但是前置法规范中的告知同意与刑法上的被害人同意是否完全契合,仍缺乏讨论。

(一)告知同意与被害人同意的比较

1.理论基础的比较

在理论基础上,被害人同意与告知同意的理论依据相通。被害人同意的正当性根据在于自决权,体现了法益主体对法益的自由支配。告知同意作为前置法中的免责事由,同样建立在公民的自我决定权基础上,它所强调的是公民的个人信息处理决策自由。所以,被害人同意与告知同意的理论价值基础都建立在了个人自决权上,应当承认前置法中的告知同意与刑法上的被害人同意这两项免责事由的理论依据是相通的。

2.体系定位的比较

在体系定位上,被害人同意与告知同意的刑法体系定位相同。如前所述,告知同意属于侵犯公民个人信息罪中的构成要件阶层。在本罪视域下,被害人同意的体系位置也应当定位于构成要件阶层。基于告知同意规则属于“国家有关规定”下位规则范畴,违背作为信息主体的被害人在个人信息处理方面的意志自由属于“违反国家有关规定”,由于“违反国家有关规定”是本罪的构成要件要素之一,所以违背作为信息主体的被害人意志实际上相当于本罪的一个构成要件要素,未取得或违背被害人同意,向他人出售或者提供公民个人信息,或是非法获取公民个人信息的行为则具备构成要件符合性,取得被害人同意的行为阻却了构成要件的形成,更阻却了该行为的刑事责任。以同样将被害人意志作为构成要件要素的强奸罪为类比,不违背被害人同意的性行为自始就不具备构成要件符合性,在构成要件阶层就应当排除此行为的刑事违法性。所以本罪中告知同意与被害人同意都属于构成要件阶层。

3.有效要件的比较

在有效要件上,被害人同意与告知同意存在一定差异。被害人同意的有效条件包括六个方面:一是被害人对侵害的法益具有处分权限;二是被害人具有同意能力;三是被害人对同意的内容、意义和后果具备明确的认识;四是被害人的同意是自愿且真实的;五是同意时间最迟在结果发生时;六是经同意实施的行为不超过同意范围[8]。根据《个人信息保护法》,告知同意的有效要件包括三个方面:一是信息处理者充分履行告知义务。在告知形式上应当以显著方式、清晰易懂的语言真实、准确、完整地进行告知;在告知内容上,在形式方面应当包括个人信息处理者的基本信息、个人信息的处理目的、处理方式、程序,处理的个人信息种类、保存期限、行使权利的方式与程序,以及其他法律法规规定的事项;在实质方面应当符合合法、正当、诚信、必要原则。二是信息主体具备同意能力。三是信息主体的同意是自愿、明确的。

4.告知同意与被害人同意差异的分析

通过上述比较可以发现,告知同意与被害人同意的有效要件相类似,但也存在一定差异。第一,被害人同意与告知同意的生效要件在处分权限要求上不完全一致。有效的被害人同意要求被害人对侵害的法益有处分权限,而告知同意的有效要件中并没有明确指出处分权限的要求。告知同意虽然并未强调这一点,但告知同意中信息主体的同意针对的是自己的个人信息所附带的人身、财产安全,没有涉及其重大身体健康法益、生命法益以及国家、公共利益和他人利益,这并不会超出被害人同意的一般范围限度,所以告知同意是符合被害人同意關于处分权限这一成立要件要求的。第二,被害人同意与告知同意的生效要件在同意内容上不完全一致。有效的被害人同意要求被害人能够对同意的内容、意义和后果都有正确的认识[9]。如果被害人只是同意行为,没有同意结果,则不能认为被害人同意有效。根据《个人信息保护法》第十七条④,告知同意要求个人信息处理者告知的内容没有明确包括个人信息处理的风险与结果,那么信息主体所同意的内容也就不包括个人信息处理的风险和结果。所以告知同意无法完全满足被害人同意关于同意内容的生效要件。第三,被害人同意与告知同意的生效要件在同意的明确性上不完全一致。被害人同意也可以是默示的同意。告知同意中的同意要求必须是明确的同意,也就是个人通过言语、文字等积极的行为表明同意[4]。虽然两者要求不完全一致,但告知同意完全能够符合被害人同意的有效要件。第四,被害人同意与告知同意的生效要件在行为超过的同意范围方面不完全一致。根据《个人信息保护法》第六条⑤,告知同意中的同意限于处理目的的最小范围,而被害人同意要求只能在同意的行为与结果范围之内实施行为。即使行为结果是在同意目的相关的最小限度范围内,但只要行为结果超出被害人同意的结果范畴,被害人同意即无效。所以在行为超过的同意范围方面,告知同意无法满足被害人同意的有效要件。

总体而言,告知同意与被害人同意是一种交叉关系,二者不可直接等同。交叉关系体现在,二者的理论依据都是自决权,体系位置也都位于侵犯公民个人信息罪的构成要件阶层,但二者在有效要件上不尽相同,具有影响同意效力的重要差异体现在同意内容与行为超过的同意范围方面。

(二)告知同意的完善及其与被害人同意的效力契合

由于告知同意与有效的被害人同意在有效要件上仍存在一定差异,如果要将告知同意作为被害人同意适用于侵犯公民个人信息罪中,必须对照二者有效要件的差异对告知同意进行改进,才能使之与被害人同意完全契合。

告知同意的完善。第一,需要扩充告知同意的告知内容,将个人信息处理的风险与结果纳入其中[10]。具体而言,告知同意中同意内容的确定来源于告知内容,为了与被害人同意中同意对象须为法益侵害结果这一要求相吻合,告知同意中的告知内容,除了前置法规定的个人信息处理者的基本信息、个人信息处理目的等事项,更为重要的是,还必须包括个人信息处理的风险与结果。信息处理者只有充分告知个人信息处理的风险程度与结果,信息主体才能对个人信息处理带来的人身、财产安全法益的风险程度有清楚的认识,并且明确意识到所放弃法益的本质、意义及影响,从而对个人信息处理的法益侵害结果作出有效的同意。第二,告知同意需要明确经同意实施的行为不得超过同意的风险、结果范畴。由于被害人同意中行为超出被害人同意范围则同意无效,根据法益保护原则,可以推导出同意范围指的是同意的法益侵害结果范围,所以告知同意要满足被害人同意的生效要件,必须明确个人信息处理行为不得超出同意的法益侵害风险与结果的范围,而不能仅要求限于目的的最小范围,如果个人信息处理行为范围过宽,个人信息处理中的告知同意就无法被评价为有效的被害人同意。所以,告知同意的完善路径如下:一是告知内容需要包括个人信息处理的风险与结果。二是明确个人信息处理者只能在个人同意的个人信息处理风险、结果的范围内实施个人信息处理行为。

经过完善的告知同意可以视为有效的被害人同意。在有效性层面,经过完善的告知同意完全符合被害人同意的生效要件。在理论基础层面,经完善的告知同意通过扩充告知内容、限制经同意实施的行为范围,进一步明确了个人同意的法益内容,体现了对作为同意基础的自决权的尊重,所以经完善的告知同意依然是根植于自决权的产物,其根本内涵没有发生变化,与被害人同意的理论正当基础具有同一性。在刑法适用层面,经完善的告知同意的刑法体系位置仍然处于构成要件阶层,属于“违反国家有关规定”的项下范畴,对告知同意的改造只是对其有效要件进行了完善与补充,没有减少其原有的构成要件,不影响告知同意的刑法体系位置。如前文所述,侵犯公民个人信息罪中的被害人同意定位于构成要件阶层,所以,经完善的告知同意与被害人同意的刑法适用的逻辑顺序是相同的。

笔者将在不同适用条件与适用路径的背景下讨论侵犯公民个人信息罪视域下告知同意作为被害人同意的出罪机制,以及事后同意作为瑕疵被害人同意的从宽处罚机制。本部分所指的“告知同意”皆为经过完善的告知同意,所指的“事后同意”是指没有满足时间要件的“告知同意”。

(一)告知同意作为被害人同意的出罪机制

1.适用前提

告知同意作为被害人同意适用于侵犯公民个人信息罪发挥出罪作用的前提是本罪保护法益为个人法益,因为被害人作为法益主体只能对自决权导出的法益进行自由支配[11],被害人同意仅适用于个人法益犯罪,不适用于超个人法益犯罪。

应当认为,侵犯公民个人信息罪的保护法益内容为个人信息安全,即刑法在保护公民个人信息不被非法使用的基础上而附带保障的公民人身、财产安全[12],个人信息安全属于保障公民个人人身、财产权利的个人法益。司法实践证实,犯罪分子侵犯公民个人信息往往是为了从事相关下游犯罪谋取非法利益,这种行为影响到了公民的人身与财产安全。例如,备受社会关注的女大学生徐玉玉信息泄露被骗自杀案⑥,信息的泄露间接让被害人受到人身、财产损害,所以刑法需要保护个人信息所附带的公民个人人身、财产安全。至于个人信息本身,实际上,大数据时代公民个人也难以完全地控制与决定,进一步而言,公民的个人信息自决权无从谈起,刑法无法对其进行真实的保护,更不用说通过刑法法益的确定赋予公民个人信息权。并且,个人信息权在刑法的前置法规范民法当中也并没有得到确认,《民法典》只是说明个人信息受到法律保护,而未将其特定化为一种权利,刑法作为补充法,前置化保护民法所没有确认的权利,可能会违背法秩序统一性原理。

由于侵犯公民个人信息罪的保护法益为个人信息安全这一个人法益,所以告知同意在本罪中发挥出罪作用的前提条件是自然得到满足的,告知同意作为被害人同意适用于本罪具有理论正当性。

2.适用条件

告知同意作为被害人同意在本罪发挥出罪功能需要满足以下条件。第一,信息主体具备同意能力。具备同意能力要求信息主体能够对个人信息处理的同意事项的内容、范围与结果以及意义有相应的理解能力、意思能力,可能还需要一定的行为能力,另外,同意能力的判断并不必然以《个人信息保护法》规定的同意年龄为准,也需要参考《民法典》关于民事行为能力的规定。第二,信息主体明确认识同意的内容、意义和后果。告知同意要作为被害人同意发挥出罪作用,必须最终落脚于信息主体对个人信息处理事项同意的内容、意义和后果的明确认识。第三,同意自愿真实。信息主体作出的同意必须出于其真意,出于虚伪或者被胁迫或其他原因作出的同意,都不发生效力。若信息主体是出于垄断等原因而被迫作出的同意,不属于自愿真实的同意。第四,同意时间最迟在结果发生时。信息主体在结果发生前变更同意的,原来的同意无效。第五,行为不超出同意范围。个人信息处理者所实施的个人信息处理活动,不能超出信息主体所同意的风险、结果范畴。

3.适用路径

在侵犯公民个人信息罪中,告知同意出罪路径的展开,是作为构成要件阻却事由阻却构成要件该当性,从而阻却本罪的刑事责任。从构成要件表征不法性的角度来看,只要个人信息处理者取得了有效的告知同意,就相当于取得了有效的被害人同意,不属于违反国家有关规定,不能将其视为刑法意义上的实行行为,直接就在构成要件阶层予以出罪。从法益角度看,构成要件不法性的实质在于对法益的侵害,而有效的告知同意代表信息主体已经放弃刑法对其个人信息安全法益的保护,基于信息主体的有效同意所实施的行为则不能被认为是侵害法益,不具备构成要件意义上的刑事违法性,应当作出罪处理。

(二)事后同意作为瑕疵被害人同意的从宽处罚机制

在告知同意未满足被害人同意全部生效条件导致无法发挥出罪功能时,事后同意作为有瑕疵的被害人同意还有可能发挥从宽处罚功能,“有瑕疵的被害人同意”指的是虽然没有完全满足被害人同意的适用条件但仍然具有刑法效力的被害人同意。

1.適用情形

事后同意可以作为瑕疵被害人同意发挥从宽处罚作用。在侵犯公民个人信息罪的讨论语境下,事后同意是个人信息处理者对信息主体的个人信息处理结果产生之后,信息主体才表示同意的情形。需要明确的是,事后同意属于追认的范围,民法上可能予以承认,但在刑法上事后同意并不会发生溯及既往的效力,同意时间最迟在结果发生时是告知同意发挥出罪作用的生效条件之一,所以事后同意是没有出罪效力的。但是,事后同意对于刑罚从宽裁量的意义是被普遍承认的。具体而言,事后同意也是一种对自身法益的处分,事后同意使得法益侵害性有所降低,所以在刑罚论中事后同意具备刑罚从宽作用。并且,事后同意说明被告人的犯罪行为对于被害人的法益侵害或是利益影响并不严重,表明了被害人与被告人之间对立矛盾的缓解甚至消除,所以,在刑事诉讼中,事后同意存在着积极价值[13]。在定罪层面,事后同意由于不满足被害人同意所要求的时间要件,不能发挥在侵犯公民个人信息罪中的出罪功能,但在量刑层面,事后同意仍具有刑罚从宽功能。

在侵犯公民个人信息罪视域下,事后同意发挥从宽作用的适用前提与告知同意发挥出罪功能的前提一致,皆为本罪保护法益为个人信息安全法益,其适用条件是告知同意作为被害人同意发挥出罪功能条件中除却同意时间条件的其他全部适用条件。

另外,可能存在的疑问是,前置法规范上的告知同意是否可以直接发挥从宽处罚机能?笔者认为答案是否定的。因为刑法对事后同意作从宽评价的根本原因在于法益侵害性的降低,前置法规范上的告知同意没有强制要求信息主体对个人信息处理事项关涉的法益风险结果表示同意,所以个人信息处理者即使按照前置法规范中的告知同意规则履行其告知义务并获取信息主体同意,对个人法益的侵害性也并不会当然减少,事后同意也就不会当然成为减轻侵犯公民个人信息罪刑事责任的根据。事后同意发挥从宽处罚作用,也必须要经过完善,体现出刑法对法益保护的重视,所以,事后同意中个人信息处理者的告知内容也与告知同意的内容范围一致,如此才能起达到刑罚从宽的效果。

2.适用路径

在我国,被害人同意多被认为是一种超法规正当事由,所以,事后同意作为有瑕疵的被害人同意适用于侵犯公民个人信息罪发挥刑罚从宽机能,只能是以酌定量刑情节的定位发挥作用,而不能以法定量刑情节的定位。

有瑕疵的被害人同意,与法律规范中的被害人谅解、和解类似,都是取得了被害人在某种意义上的理解与宽恕。参考《最高人民法院、最高人民检察院关于常见犯罪的量刑指导意见(试行)》中关于取得被害人谅解的量刑规定⑦,告知同意作为酌定量刑情节,起码可以促使量刑减少基准刑的20%以下,但是具体的量刑裁判还是需要法官根据案件情况综合审查。

总体而言,本文尝试较为精细化地构建侵犯公民个人信息罪中告知同意的出罪机制与事后同意的从宽处罚机制,两者分别在不同的适用条件与适用路径的背景下展开刑法适用。刑法应对未侵害到本罪保护法益的情形作出罪处理,对法益侵害性低的情形应从宽处理,如此界定有助于丰富告知同意在侵犯公民个人信息罪中的刑法适用,在完善侵犯公民个人信息罪的责任认定与承担的理论依据的同时,为个人信息的合理利用提供刑法解释路径。

①《中华人民共和国刑法》第二百五十三条之一:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”

②《中华人民共和国个人信息保护法》第十三条:“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意”。

③《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’。”

④《中华人民共和国个人信息保护法》第十七条:“个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:(一)个人信息处理者的名称或者姓名和联系方式;(二)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;(三)个人行使本法规定权利的方式和程序;(四)法律、行政法规规定应当告知的其他事项。”

⑤《中华人民共和国个人信息保护法》第六条:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”

⑥山东省临沂市中级人民法院(2017)鲁13刑初26号刑事判决书。

⑦《最高人民法院、最高人民检察院关于常见犯罪的量刑指导意见(试行)》(法发〔2021〕21号):“(十一)对于积极赔偿被害人经济损失并取得谅解的,综合考虑犯罪性质、赔偿数额、赔偿能力以及认罪悔罪表现等情况,可以减少基准刑的40%以下;积极赔偿但没有取得谅解的,可以減少基准刑的30%以下;尽管没有赔偿,但取得谅解的,可以减少基准刑的20%以下。”

[1]汪东升.个人信息的刑法保护[M].北京:法律出版社,2019:1-2.

[2]于志刚.“公民个人信息”的权利属性与刑法保护思路[J].浙江社会科学,2017(10):4-14,155.

[3]王利明,程啸,朱虎.中华人民共和国民法典人格权编释义[M].北京:中国法制出版社,2020:419.

[4]程啸.论个人信息处理中的个人同意[J].环球法律评论,2021(6):40-55.

[5]劳东燕.个人信息法律保护体系的基本目标与归责机制[J].政法论坛,2021(6):3-17.

[6]车浩.论被害人同意在故意伤害罪中的界限以我国刑法第234条款中段为中心[J].中外法学,2008(5):708-727.

[7]张勇.APP个人信息的刑法保护:以知情同意为视角[J].法学,2020(8):113-126.

[8]张明楷.刑法学:第六版[M].北京:法律出版社,2021:297-300.

[9]黎宏.刑法学总论:第二版[M].北京:法律出版社,2016:154.

[10]李立丰.《个人信息保护法》中“知情同意条款”的出罪功能[J].武汉大学学报(哲学社会科学版),2022(1):143-156.

[11]方军.被害人同意:根据、定位与界限[J].当代法学,2015(5):41-53.

[12]姜涛.新罪之保护法益的证成规则:以侵犯公民个人信息罪的保护法益论证为例[J].中国刑事法杂志,2021(3):37-55.

[13]李蓉,黄小龙.论被害人事后承诺的法律效力[J].西南政法大学学报,2021(1):115-125.

责任编辑兰文华