刑法视阈下已公开个人信息的合理利用
——以个人自治法益观为中心的探讨*

储陈城,魏培林

(安徽大学 法学院,安徽 合肥 230039)

一、引 言

时逢自媒体时代,民众个性表达欲望强烈,用户生成内容众多,已公开的个人信息极易未经授权而被他人收集、加工和使用,对此行为是否构罪,司法实务界和刑法理论界众说纷纭。2022年12月26日最高人民法院发布的第35批四起指导性案例中第194号指导性案例,即“熊昌恒等侵犯公民个人信息罪”一案,对已公开个人信息后续利用行为是否构罪问题有所回应(1)参见江西省丰城市人民法院刑事判决书(2021)赣0981刑初376号。。该案的裁判要点强调,未经信息主体同意,或不具备法律授权等《中华人民共和国个人信息保护法》(2)我国法律规范全称中均有“中华人民共和国”作定语,为行文简洁,以下均省去该部分。规定的理由,运用购买、收受和交换等手段获取已公开个人信息并予以非法利用,违背信息主体公开个人信息的目的、范围和用途,不属于刑法中对已公开个人信息的合理利用,而构成侵犯公民个人信息罪。我国法律和司法解释缺乏对已公开个人信息何种利用行为构罪的明确规定,这可能导致类案异判的刑事处理结果。譬如,有的刑事判决认为,对公民已公开个人信息的收集、获取和处理,即使未经信息主体同意,也不构成侵犯公民个人信息罪。比如,在“姚伟涛侵犯公民个人信息罪”一案中,法院就认为,企业工商登记中涉及的电话号码等信息不属于侵犯公民个人信息罪的保护对象(3)参见广东省广州市中级人民法院刑事裁定书(2019)粤01刑终2121号。。

已公开个人信息的后续利用是否受刑法规制,这在理论上亦面临困境。有罪论者主张,对已公开个人信息的后续利用构成侵犯公民个人信息罪。因为已公开的个人信息虽然已丧失隐私性而有异于个人隐私,但其本质属性仍然存在,即仍有识别特定个体的功能,对此类个人信息的不当利用难免会危及民众的私生活安宁[1]。当然,对单个已公开个人信息的利用通常并无法益侵害性,但将已公开的“散落化”个人信息相互填补,个人性格特征便显而易见,“用户画像”便愈加准确。“整合化”的已公开个人信息一旦被有不良意图的人所掌握,极易对信息主体的人身财产安全形成威胁[2]。无罪论者从“被害人承诺”的视角出发,主张信息主体的公开行为能阻却已公开个人信息后续利用的违法性。此见解立足于美国的《统一个人数据保护法》,主张个人信息保护不包括可以公开获取的信息,其根源在于对此类个人信息的利用能在不违背信息主体意志的前提下,通过信息流通提高社会效益。除单纯有罪论和无罪论的观点外,有学者从刑法具体规范的视角深入论证已公开个人信息的后续利用行为构罪与否。我国《刑法》第253条规定“违反国家有关规定”,向他人出售或提供公民个人信息,情节严重的,构成侵犯公民个人信息罪(4)参见我国《刑法》第253条:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”。显然,其中“违反国家有关规定”理应是侵犯公民个人信息罪的重要构罪前提。但鉴于地方性法规和部门规章认定标准不一且变动较为频繁,因而此处的“国家有关规定”应限于法律和行政法规[3]。正如我国《民法典》和《个人信息保护法》规定,当已公开个人信息的后续利用在“合理范围”时,无须信息主体同意,但当其后续利用有损公民重大利益或对公民法益有重大影响时,则应征得信息主体同意。简言之,对已公开个人信息的后续利用,应遵循“合理利用”的原则。

无论是单一有罪论和无罪论,还是已公开个人信息“合理利用”的限度界定,追本溯源都与侵犯公民个人信息罪保护的法益有关,因为某一行为是否触罪,往往取决于此罪名保护的法益何如。然而,对侵犯公民个人信息罪规制的法益,学界有所分歧,存在个人法益说和超个人法益说之争。

二、侵犯公民个人信息罪保护的法益分歧与评析

(一)个人法益说之提倡

侵犯公民个人信息罪被置于《刑法》“侵犯公民人身权利、民主权利罪”一章,处于“私自开拆、隐匿、毁弃邮件、电报罪”和“报复陷害罪”之间,此两罪规制的法益分别为公民的通信自由权及名誉权,均为个人法益,基于此,从刑法体系性的特征出发,持自然犯属性的侵犯公民个人信息罪保护的法益理应为个人法益[4]。哪怕有学者认为,如有证据证实具体个罪保护法益有违章节类罪规制法益,则可例外加以规定,但笔者认为此类特殊规定不宜过多,否则有损刑法的体系性[5]77。

持个人法益论者派系众多,有沿袭美国个人信息保护模式的隐私权说,有溯源于我国《宪法》的人格尊严和自由说[6],有以是否侵扰私生活安宁为判断准则的个人生活安宁说[7],有融合人身法益和财产法益产生的信息自决权说。多数学说各执一词,难免存有缺漏。隐私权说罔顾中美法系差异,忽视个人信息流动性与个人隐私私密性之迥异,使个人信息丧失社会性;人格尊严和自由说中的《宪法》依据并无具体权利,而且个人尊严和自由之概念因较为抽象而使法律适用极为随意[8];个人生活安宁说基于个体对安宁含义的理解有异,致使生活安宁的判断标准极为模糊。新型权利说即信息自决权说虽脱胎于人格尊严与自由说和财产权说,但始终尊崇人是目的而不是手段的原则,承载着自媒体时代信息主体的法益自由,重视保护信息主体对个人信息的掌控,因而更有利于平衡信息保护和流通之间的关系,其中社会公法益价值尤为卓著。

(二)超个人法益说之证伪

在预防刑法观看来,立足于家长主义的超个人法益说重视对公共信息安全下民众集体法益的维护。在自媒体时代,对公民个人信息的侵扰有可能对信息主体之外的社会公众产生不良影响,所以有学者基于《刑法》第253条中的“公民”内涵,认为信息时代公民个人信息关涉社会公法益,因而侵犯公民个人信息罪中的“公民”泛指包括具有中国国籍、外国国籍及无国籍等在内的所有民众,由此暗喻侵犯公民个人信息罪的超个人法益属性[9]。但是,超个人法益说现存众多纰漏,仅凭对《刑法》第253条“公民”内涵的片面理解就认为侵犯公民个人信息罪的保护法益为超个人法益,难免有失周延,何况单独的“公民”一词通常与“国家”概念相驳斥[5]78,对“公民”含义予以过分解读更有工具主义之嫌。详言之,《刑法》第253条的侵犯公民个人信息罪具体指“违反国家有关规定”,向他人出售或者提供公民个人信息,情节严重的行为。由于其特指“情节严重”,不难推知此罪应属情节犯,并非顺应风险社会而生的抽象危险犯[10]。

以维护超个人法益为意旨的抽象危险犯往往具有非排他性和公益性的特征[11],从超个人法益视角予以审视,抽象危险犯维护的法益是民众的公共利益,因而个体之间对公民个人信息的利用不应有所冲突。但实际上,具有私益内涵的公民个人信息因其可识别性特质而与超个人法益的非排他性特质相抵牾,公益性往往指向公民的集体享有,而公民个人信息通常因归属特定主体而与超个人法益的公益性相对立。总之,由风险社会中抽象危险犯衍生而来的超个人法益说与刑法理论和司法理念相违背,其僭越了社会治理现状,与刑法个罪法益维护相冲突,不符合侵犯公民个人信息罪的立法趋势。因此,侵犯公民个人信息罪的超个人法益说并无可行性。

(三)对争议焦点的回应

明确侵犯公民个人信息罪的保护法益,不但有助于厘清罪与非罪、此罪与彼罪的界限,更能在个人信息流通和保护之间寻求平衡。笔者赞成侵犯公民个人信息罪的保护法益为个人法益中的信息自决权,而顺应积极刑法观产生的超个人法益说并非仅仅注重对社会管理秩序的维护,其在社会秩序法益下尤其重视对背后个体法益的保护。因为抽象的超个人法益倘若与行政犯一般只维护社会管理秩序的危险状态,罔顾危险状态中法益个体的实在内容,将会偏向单纯的规范违反[12]。因此,且不说侵犯公民个人信息罪的保护法益应当为个人法益说中的信息自决权,哪怕本罪维护的法益应当是社会管理秩序,其社会管理秩序内核也与个体法益息息相关,所以,无论是超个人法益说还是个人法益说,最后都难以逃脱公民信息自决权的视阈。质言之,刑法中已公开个人信息的“合理利用”应取决于公民信息自决权行使的正当限度。那么,何为公民信息自决权?怎样通过公民信息自决权透视已公开个人信息的后续利用在何种情形下应受刑法保护?对这些问题的回答,无疑有助于实现社会效益的最大化。

三、个人自治法益理念基础上公民自决权之检视

(一)公民自决权的意蕴

施泰姆勒在1971年德国《联邦个人信息保护法草案》中提出“信息人格自决权”的概念,意指民众有自由决定自己思想和行为的能力。此后德国于1982年推行《人口普查法》,对广大民众的职业与住所等个人信息进行调查,在此过程中有民众以政府的行为违反宪法、侵犯公民的信息自决权为由提起诉讼,随之此案以政府行为违宪终止,确认了公民个人信息自决权的宪法权利地位[13]。何为公民信息自决权?其基于自决理念,意指无论在个人信息公开前抑或是公开后,信息主体都有权决定个人信息的公开方式和程度,都有权对其个人信息予以处置。然而,溯源于侵犯公民个人信息罪保护法益的公民自决权,在法益概念中又有何种效用,尚需斟酌。

(二)个人自治法益概念的厘清

根据法益之中的公民自决即公民个人意志的不同作用,可将其分为事实性的法益与个人自治的法益[14]。

事实性的法益概念立足于一元的国家法益概念,着重从客观性的、静态的视角,通过规制行为客体的客观存续状态,对法益概念予以建构。此观点认为,财产类犯罪维护的法益是财产的完好性,公民人身类犯罪维护的法益是身体的完整性,这种见解完全摒弃对主观要素的考量,着力于维护刑法的客观性。但此见解尚存不足,倘若法益仅仅指客体的完好存续状态,那么理论上具有法益侵害性的自杀行为也应被科以刑罚,但此举必然会对公众的道德直觉造成冲击。此外,事实性的法益概念往往与刑法的目的相悖,重视刑法客体存续状态的事实性法益概念通常与刑罚的价值理念格格不入。因为刑法并无保障客体存续状态的功能,质言之,哪怕并无针对人类身体和财物的法益侵害发生,经过一定的岁月洗礼,身体的损伤和物体的丧失也会出现,此种自然进程通常并非刑法所规制。诚然,刑法中的法益概念必定与其权利人的意志相关,比如刑法罪名中通常有故意犯罪和过失犯罪之分,二者的刑罚往往轻重各异;而以融入权利人意志将会致使法益概念主观化为由,进而证成事实性的法益概念者,通常容易深陷教条主义之中。因此,厘定刑法具体法益时,将其客观状态和行为人的主观意志予以同时考虑,不仅满足刑法教义学研究之需,更符合民众的道德直觉之感。

何为自治?自治意味着有行为能力和权利能力的理性自然人根据其真实意愿,进行自我管理的行为。个人自治的法益概念认为,刑法维护的是权利人对其权利物所具有的支配行为,由于只有维护这些权利物的完整性才能进一步被权利人自由利用,权利人对权利物自由使用和支配的自由理应成为法益概念的一部分。只有当行为人的行为对权利人的自由意志有所侵扰时,才应当肯定其行为的刑事违法性。但在个人自治的法益概念内部,观点仍不统一,可分为潜在意志说和自由意志说。潜在意志说强调权利人对权利物随时加以利用的潜在意志,行为人一旦对权利物造成侵害就会侵扰权利人对权利物潜在的支配力,由此行为人的行为必然具有法益侵害性,此见解会致使刑罚权扩张,有违刑法谦抑性。自由意志说在潜在意志说的基础上予以完善,认为刑法的目的在于通过对权利人权利物存续完整性的维持,实现权利人自主决定的权利。换言之,刑法对法益客体的保护是为了充分保障权利人对法益客体的支配权利。而行为人只有当损毁了权利人本可以自由支配的法益客体之时,才具有刑事违法性。诚然,法益侵害必须对权利人的权利物造成了实质侵害,从而致使权利人的自主决定权受到侵扰。此观点着重对法益客体的损害及权利人自主决定的自由予以综合考察,有助于促进主客观相统一。

有鉴于此,刑法保护的法益指的是囊括权利人自由意志的法益客体客观完备的存续状态,当权利人同意行为人对其法益造成损害的行为时,由于行为人的行为非但没有违背权利人的意志而且能促成权利人欲实现的目的,因此并无法益侵害性。正如侵犯公民个人信息罪保护的法益并非信息的完备状态,而是公民的信息自决权,即信息主体有权对其已公开或未公开的个人信息加以支配利用的决定权。针对已公开的个人信息,信息主体有权决定个人信息利用的用途和目的。

(三)个人自治法益观中公民自决权的审视

正如卢梭在《社会契约论》中所言,“人生而自由,却无往不在枷锁之中”;责任和自治往往是一个硬币的两面[15]。再如,美国法律允许公民持有、使用枪支以维护自身安全,但由于枪支杀伤力大,其被民众随意持有亦有可能造成社会动荡。因此,自治并非权利人绝对的自我决定,由于外在客观条件的制约,每个人都无法完全自由地支配自我,譬如法律在某些情况下会发挥家长主义功能以否认公民的意思自治。鉴于公民个人信息的后续利用价值相较于初始价值而言,往往有更为巨大的能量,因此对公民已公开个人信息予以保护为应有之义。然而在公民信息自决权中,公民对信息的收集和后续的利用有绝对掌控权显然与自媒体时代信息流通的必要性相悖,此种对公民意志漫无边界的保护会使得其他民众诚惶诚恐,从而阻碍社会发展。基于此,公民信息自决权作为一种相对性的权利,在行使的过程中应当受到目的限制原则、比例原则与法律保留原则的制约。对已公开公民个人信息更是如此,其后续的利用需要在具体情景中考量信息主体个人法益和社会公益间的利害关系。

根据公开的方式不同,已公开的公民个人信息可分为权利人主动公开的信息和权利人被动公开的信息。权利人主动公开的信息中信息主体自治的范畴较广,因而对其合理利用范畴的界定应在尊重信息主体自治法益的基础上,依据《刑法》第253条的规定,在前置法的相关规定前提下寻求其刑法合理利用路径。主动公开的个人信息通常与信息主体的意志关联度较高,其公开往往有预期的目的,所以信息处理者的后续利用行为不能逾越此初始目的[16]89-90。而被动公开的个人信息或是违背信息主体意志的非法公开型个人信息,或是承载着公共利益的强制公开型个人信息。针对非法公开型的个人信息进行后续利用显然为不合理利用,但鉴于信息处理者在此类案件中通常并无违法认识可能性,所以信息处理者无须对此类已公开个人信息后续利用导致的不良后果承担法律责任,而针对强制公开型的个人信息,信息主体需对此类已公开个人信息的后续利用行为承担较高的容忍义务,因此信息处理者的行为倘若契合比例原则则无须受到法律规制[17]。有鉴于此,信息主体对被动公开的个人信息后续利用的管理权限通常较小,所以笔者暂不讨论其后续利用的刑法合理限度。而权利人主动公开的个人信息的后续利用是否符合刑法要求,则需在法秩序统一原理下,基于个人自治法益观即信息自决权来探求其合理利用的路径。

四、基于个人自治法益观证成已公开个人信息的合理利用路径

对已公开个人信息后续利用的具体举措,《刑法》并无明确的规制路径,与此相关的仅有《刑法》第253条对侵犯公民个人信息罪的描述,其以“违反国家有关规定”为条件,表明向他人出售或者提供公民个人信息之情节严重的行为是个人信息不合理利用的前提。诚然,对刑法上已公开个人信息的合理利用,必须从个人自治的法益观出发,并通过超越个人自治的法益观,回到信息主体和信息处理者共同拥有信息安全法益之轨道[18]。因此,基于法秩序统一原理,界定刑法中已公开个人信息的合理利用范畴应当以前置法中的相关规定为基准。前置法中关涉已公开个人信息合理利用行为的界定有多种规则,比如合目的性规则、客观开放程度性规则、法益衡量规则和知情同意规则等,这些规则都将公民自决权融入其中,从而体现公民个人自治,但刑法视角中对已公开个人信息后续利用的合理性界定应采取何种规则,目前尚需探究。

(一)合目的性规则的辨析及缺陷

在立法过程中,我国《个人信息保护法(草案)》第28条曾规定,个人信息处理者对已公开个人信息的处理,应符合个人信息被公开时的用途,超出该用途合理范围的,信息处理者应当告知信息主体并取得其同意(5)参见《个人信息保护法(草案)》第28条:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的,应当依照本法规定向个人告知并取得其同意。”。该草案将已公开个人信息公开时的目的作为判断其后续利用是否合理的重要因素,此谓之合目的性规则。此条款赋予信息处理者以注意义务来防止公民个人信息被滥用,即当已公开个人信息的初始目的明确时,信息处理者的后续处理行为不得偏离该目的;当已公开个人信息的目的不明晰时,作为理性人的信息处理者应恪守注意义务以合理谨慎的态度进行个人信息的后续利用[16]97。譬如,公民为求职而将自己的简历公布于人才招聘网,此时向其发送录用通知以及向其发送推荐工作的广告具有正当性,而给其发送骚扰信息则不符合合目的性规则的初衷。不难发现,法益概念往往蕴含着法益处分自由,正如个人信息公开的初始目的和用途理应是个人信息法益的组成部分,如果信息处理者的行为违反了信息公开的初始目的,则个人信息处理的有效同意随之丧失,信息处理者的行为便具备了法益侵害性,侵犯了公民的个人信息自决权。鉴于个人信息公开后信息主体仍对其有合理的期待,所以在已公开个人信息的收集阶段,信息处理者应当采取合法的手段;在已公开个人信息的后续利用阶段,信息处理者也不得随意增加删改其内容和结构,不得歪曲信息主体人格形象。

然而,个人信息公开的初始目的和用途往往具有模糊性和复杂性,因而难以准确认定。信息处理者通常为了牟利而罔顾信息合理使用的限度,信息主体在公开其个人信息时也没有明确目的,譬如基于社交需要而将个人信息公之于众的情况。退言之,哪怕信息主体有清晰的目的,其主观目的和客观公开之间也可能存在冲突。倘若信息主体称其有特定的目的,而个人信息却处于完全公开的态势,此时信息处理者往往极难判断信息主体的目的;如果信息处理者的后续利用行为与信息主体的主观目的不符将构成违法犯罪,则会过分限缩已公开个人信息的处理范围,致使已公开个人信息的合理利用罔顾客观情况而偏向极端的主观主义。

有学者从刑法教义学的角度通过对合目的性规则的批判,提出客观开放程度性规则,即以信息的客观开放程度,而不是信息处理的合目的性,来规定已公开个人信息处理者的刑事责任边界。但客观开放性标准对已公开个人信息的保护依赖于技术限制,因而此学说在逻辑结构上与个人法益立场相抵牾,且信息主体在表达同意时通常无法知晓信息处理者的具体处置措施,所以,给普通人苛以较高要求的客观开放程度性规则尚存不足[19]。

(二)法益衡量规则的适用及不足

《民法典》第1036条规定,信息处理者合理处理自然人自行公开和其他依法公开的信息,不用承担民事责任,但信息主体明确拒绝或侵犯信息主体重大利益的除外。此条款作为个人信息后续利用的免责事由,基于法益衡量规则予以确证公民个人信息后续利用与信息主体人身和财产之间的价值判断,认为只有当已公开个人信息的后续利用对公民的权益造成损害时,才认定信息处理者的行为具有法益侵害性(6)参见《民法典》第1036条:“处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。”。依据《个人信息保护法》第27条规定,信息处理者可以处理信息主体自行公开和其他依法公开的个人信息,个人明确拒绝的除外,且当处理行为对信息主体个人权益有重大影响时,也应取得信息主体同意(7)参见《个人信息保护法》第27条:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”。此条款要求行为人预先判断已公开个人信息的后续处理是否对权利人的法益有重大影响,基于此判断来确定是否需要征求信息主体的同意[16]95-96。无论是以“侵害权利人重大法益”为由对行为人予以违法规制的《民法典》,抑或是当已公开个人信息的处理对“个人法益有重大影响”而应征得信息主体同意的《个人信息保护法》,两者都关涉法益衡量规则。法益衡量规则下,已公开个人信息的利用需综合考量信息公开所带来的社会公共利益与信息主体的利益维护之间,何者为更优越的利益。

关于已公开个人信息的合理利用问题,无论是《民法典》中规定的“不得侵害重大利益”,抑或是《个人信息保护法》中规定的“不得对个人权益造成重大影响”,其实都关涉信息主体法益是否受损的讨论。不同的是,“不得损害重大利益”是从社会大众的客观法益视角予以审视,而“不得对个人权益造成重大影响”是从信息主体主观法益视角予以判断。何为重大法益呢?道德主义视野中人身法益往往优于财产法益,但是当价值很大的财产损失和损害较小的人身伤害相比又当如何抉择,不同的人会有不同的见解。换言之,法益概念常常因为缺乏确定可操作的具体标准而不具有普适性。因此,对已公开个人信息的后续利用是否合理,不应以“是否侵害重大法益”这一不确定的主观判断为基准[20]。

《个人信息保护法》规定,倘若个人信息处理者的后续利用对个人法益产生重大影响则应征得信息主体同意,此规定虽然关涉信息主体法益的衡量,但由于融入了信息主体同意这一要件,因此不难推知,此规定欲保护的并非仅仅是客观法益不受损害,而且包括信息主体对客观法益的支配力,一定程度上来讲此规定更接近知情同意规则。而《民法典》在对于已公开个人信息合理利用的规定中,倘若将“不得侵害重大利益”这一要件去掉,那么,此条款关涉已公开个人信息的合理利用问题,也仅仅留下以“权利人明确拒绝”为主的主观判断。所以,鉴于法益衡量原则在已公开个人信息合理利用判断中存在缺陷,不难推知,信息主体的主观意志即“拒绝”或“同意”,对已公开个人信息的后续利用有决定性意义。

(三)知情同意规则的思路及扬弃

《民法典》第1036条和《个人信息保护法》第27条都蕴含了知情同意规则的理念。《民法典》第1036条第2款规定行为人合理处理权利人自行公开或合法公开的信息可不承担民事责任,但是权利人明确拒绝或信息处理侵害权利人重大利益的除外。《个人信息保护法》第27条规定个人信息处理者处理对个人法益有重大影响的已公开的个人信息,应当征得信息主体同意。以上规定将信息主体明确拒绝、对公众或信息主体法益造成侵扰作为知情同意的要件,说明未经信息主体同意的信息处理行为可能是构罪的基础。个人信息的处理必须建立在信息主体经过理性判断做出的有效承诺基础上。

但是,信息处理者往往通过爬虫技术对众多已公开的个人信息予以利用,倘若海量信息的处理都需征求信息主体的同意,将会因为搜寻和谈判成本过高而影响信息流通的效率,并会对信息处理者施以过重的义务[21]223。在自媒体时代,哪怕每条个人信息在公开时都征得了信息主体的授权同意,但基于后续信息利用的复杂性,信息主体对已公开个人信息也无法完全得以掌控。且知情同意原则往往只从形式上对信息主体的主观意志予以审视,而罔顾信息处理者的行为是否造成了实质的法益侵害。从实务角度出发,倘若信息处理者对个人信息的利用并未造成信息主体法益受损的风险,则信息主体未必有时间和精力对信息处理者处理个人信息的行为予以干涉。换言之,哪怕知情同意规则得以有效贯彻,信息主体受欺骗后的同意承诺是否有效,也需深入探讨。

(四)基于场景理论解构刑法中已公开个人信息的合理利用

通过上述对合目的性规则、客观开放程度性规则、法益衡量规则和知情同意规则的剖析,可以发现,此四种规制已公开个人信息合理利用的路径都有失周延,而海伦·尼森鲍姆根据已公开个人信息的利用不得违反其初始的具体语境而提出的场景理论可以弥补四种规则的缺憾。单独运用知情同意规则,往往因成本昂贵和程序繁琐而缺乏可行性。对大部分已公开的海量个人信息的利用是否合理,倘若依据场景理论予以判断及规制,那么需要信息主体予以同意才可利用的已公开个人信息则会大幅减少。只有当场景式理论判断无法界定已公开个人信息是否属于刑法上合理利用的范畴时,再将已公开个人信息如何利用的决定权交由信息主体,此举不仅不会因为成本过高而危及信息的流通效率,更能在已公开个人信息利用的过程中融入信息主体的法益自由,故具有重要的理论和实践价值。质言之,对已公开个人信息合理利用进行规制的目的在于促进资源的合理配置,实现个人信息保护和利用的衡平[22]。

1.场景理论的滥觞

何为场景理论?出于对隐私权的保护,海伦·尼森鲍姆认为个人信息保护理应是高度依赖场景的、动态发展的过程,即脱离场景的个人信息预判式保护是不可取的[23]。详言之,场景理论主张将信息主体、信息处理者、信息特质、信息处理目的及其后果等因素皆作为考量信息利用是否合理的基准,其中信息处理目的是界定信息利用是否合理的关键因素,对法益侵害风险的认定有决定性作用[23]。有鉴于此,欧盟的《一般数据保护条例》第64条规定:“当处理的目的并非建立在个人数据被收集时数据主体所同意的基础时,需要确定个人信息进一步处理目的是否与收集个人数据的最初目的相一致。”据此可知,欧盟对已公开个人信息的后续利用是否合理,重点以已公开个人信息中信息主体的合理期待为考量对象[24]64-65。美国的场景理论则依据后续的信息利用行为是否符合信息主体的“合理隐私期待”,来判断信息处理者对已公开个人信息的利用行为合法与否[21]217。两种针对场景理论存在的构思都从信息处理者的行为是否符合信息公开的初始目的,转向对信息处理者的行为是否有违信息主体的合理预期,此动态化转变契合信息自由流通的实践现状。

2.“场景式判断+知情同意”规则的深层逻辑

在海伦·尼森鲍姆提出的场景理论基础上,结合欧盟和美国对场景理论的实践运用,笔者创新性地构建出符合我国司法制度的场景式判断规则蓝图,即应以信息主体为中心,赋予信息处理者审慎的审查义务,着重考察信息处理者处理已公开个人信息的行为是否符合信息主体的合理预期而为信息主体所接受。具体而言,以场景理论为背景,在已公开个人信息合理利用的过程中,应根据不同的信息主体和信息处理者施以不同的信息流通判断规则。综合考量信息主体公开个人信息的初始用途和目的以及合理预期,将已公开个人信息存在的场景予以具体划分,譬如将其划分为“共享性场景”“盈利性场景”和“违法犯罪性场景”。已公开个人信息的后续利用如果能和信息公开时的初始状态位于同一场景中,便必然不构罪,因为此种利用行为不仅与信息公开的初始目的相契合,更有利于信息的流通。然而,信息后续利用的场景若不同于信息公开的初始状态所位于的场景,也并非一定构罪。倘若信息公开的初始状态位于高风险场景,而信息后续利用转化到低风险场景,根据风险降低理论,此种情况下信息后续利用的行为并不会对信息主体产生实质性法益侵害,基于刑法的谦抑性,此行为当然无罪。然而,如果信息公开的初始状态位于低风险场景,而信息处理者的后续利用行为将其置于高风险场景中,则需重新取得信息主体的授权同意,否则便可能构罪[24]65。事实上,一旦信息处理者的后续利用行为进入“违法犯罪性场景”,便必然构罪。譬如,陈某甲于2018年通过微信承揽“私家侦探”业务,随之,闵某将妻子郭某的个人信息交予陈某甲,并委托其找人,经两次寻人,闵某于2021年将其妻郭某残忍杀害,后支付陈某甲等人佣金。经审查逮捕起诉,柳林县人民法院以侵犯公民个人信息罪,判处陈某甲等人三年以内有期徒刑不等,并处罚金(8)参见2022年12月2日最高人民检察院发布的5件依法惩治侵犯公民个人信息犯罪典型案例中的陈某甲、于某、陈某乙侵犯公民个人信息案。。

当场景式理论判断无法界定已公开个人信息的利用是否属于合理范畴时,需要知情同意规则来进行规制,即将已公开个人信息如何利用的决定权交由信息主体。但是信息主体因他人欺骗而作出无法体现其真实意志的决定时,其做出的同意承诺是否有效,可能关涉到受欺骗的被害人承诺是否有效的讨论。对于被害人受欺骗后作出承诺的效力问题,司法实务和理论中有不同观点,譬如德国的全面无效说、日本的主观真意说、法益关系错误说以及法益处分目的视域下的法益关系错误说。德国的全面无效说认为,被害人承诺中的意思自治能阻却违法,当被害人由于受欺骗丧失意志自由时便丧失了被害人的自治,此时被害人做出的承诺应全部归于无效[25]。但此学说会导致刑罚权的无限扩大,并不可取。日本的主观真意说以被害人的主观意思为主,认为倘若只要被害人知道事实真相便不处分法益即可认定被害人承诺无效,此学说也会导致处罚范围的扩大。法益关系错误说认为,只要行为人对法益侵害的方式、种类和范围等可能对法益存在实质影响的因素有认识错误,那么被害人承诺将归于无效[26]。按照这一理论,关涉被害人承诺的绝大多数案件都能得到妥当处理,然而对于类似于器官移植类案件的处置,却有捉襟见肘之嫌。法益处分目的视域下的法益关系错误说认为,倘若行为人对某种法益的处分具有一定的目的性,则该目的性是否能够实现便应当成为法益的组成部分,当第三人实施的欺骗行为使行为人的目的无法实现时,被害人的承诺便会归于无效。此学说作为法益关系错误说的修正理论,在处理具体案件时应有层次地进行判断,首先应判断行为人对其法益的处理是否有明晰的认知,如果没有,则行为人做出的被害人承诺无效;如果有,则进一步判断行为人的法益处分目的能否实现,进而判断行为人的承诺是否有效。此学说脱胎于法益关系错误说,并将行为人的法益处分目的融入其中,无疑是目前最为合理的学说。综上,刑法在利用知情同意规则处理已公开个人信息合理利用的过程中,涉及到受欺骗的被害人承诺时,应坚持法益处分目的视域下的法益关系错误说[27]。

简言之,场景式判断规则应有层次性地对已公开个人信息的合理利用予以规制,根据已公开个人信息的后续利用是否从低风险场景僭越到高风险场景来进行鉴定。如果不是,则信息处理者的行为属于合理利用;如果是,则需进一步判断信息处理者的行为能否取得信息主体的同意,倘若取得信息主体的同意则属合理利用范畴,倘若未取得同意则有可能构成侵犯公民个人信息罪。在此过程中,如若涉及受欺骗的被害人承诺,则应考察信息主体是否对其处分的法益有清晰认知,以及信息处理者的行为是否符合信息主体的法益处分目的。