尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨肖雅菁、郭旨龙:刑民衔接视角下侵犯公民个人信息罪的规范重构

作者:尚权律所 时间:2022-06-08

摘要

 

个人信息的司法保护最初呈现出“刑先民后”的特点,而刑事制裁思路的局限及民事法律规定的缺位始终制约刑事制裁法律效果的发挥。《民法典》设立单章对“隐私权和个人信息保护”进行规定,奠定了个人信息保护的正当化基础。《民法典》从确立个人信息权益属性、制定个人信息合理使用规则及明确处理个人信息的免责事由三个维度对个人信息提供全方位的民法保护。这不仅补强了个人信息的民事法律保护,也引发了个人信息在民法和刑法保护路径的衔接问题。为实现个人信息保护与数据流通之间的平衡,刑法上侵犯公民个人信息罪需在《民法典》对个人信息规范的框架内,从刑法法益、非法使用行为入刑及出罪事由三方面进行重新构建。

 

关键词:个人信息;民法典;刑民衔接;合理使用;数据流通

技术创新推动网络发展,而网络犯罪又与网络科技同步更迭,并呈现出明显的代际特征。在以计算机为“对象”的网络1.0时代和以网络为“工具”的网络2.0时代,个人信息以计算机为存储的介质,侵犯公民个人信息主要以“非法转移”(出售、提供、窃取、非法获取)为最主要的行为方式,而以人工智能为核心的网络3.0时代引发了新一轮的科技革命和产业变革。随着人工智能技术发展,个人信息泄露、数据算法歧视及用户画像等问题也相伴而生,以网络为“空间”的犯罪兴起。侵犯公民个人信息的方式从“非法转移”转变为“非法使用”,如通过强制打包授权、精准广告投放等,以获取经济利益。尽管刑法早在2009年就通过修正案新增罪名的方式开启了个人信息的刑法保护,然而以制裁“转移型侵害”思路的局限性及民事法律规定的缺位始终制约着刑法个人信息保护的法律效果。

 

2021年1月1日起施行的《民法典》在人格权篇中设立“隐私权和个人信息保护”一章,对个人信息的概念、个人信息使用原则及免责事由、自然人作为信息主体的权利及信息处理者应该履行的义务等进行了细化。《民法典》及时回应了在大数据时代个人信息保护与数据经济发展对于个人信息确定权利属性的迫切需要,而这也影响到刑法中侵犯公民个人信息罪的理解与适用。本文旨在以刑民衔接为视角对侵犯公民个人信息罪予以重构,使得个人信息在刑事领域和民事领域得以有效保护。

 

一、个人信息保护的刑事司法演变

 

在社会分工、数据收集和分析精细化的背景下,个人信息逐渐为人们所重视,并成为法律所要保护的对象。我国对个人信息的刑事司法保护大致经历了三个发展阶段:

 

第一阶段是依附于市场经济秩序的“信用卡信息”刑法保护模式。2005年《刑法修正案(五)》增设刑法第一百七十七条之一妨害信用卡管理罪,其中第二款“非法持有他人信用卡”、第四款“出售、购买、为他人提供伪造的信用卡的”以及窃取、收买、非法提供信用卡信息罪,将窃取、收买或者非法提供他人信用卡信息资料的行为纳入刑法视野,是我国法律上第一个关于侵犯公民个人信息犯罪的法律规定。该阶段的保护对象仅针对公民信用卡信息,规制的犯罪行为也只是窃取、收买和非法提供三种,范围较窄,保护力度有限。而此时,民事法律尚未对个人信息保护进行专门规定,而是在隐私权的范畴予以讨论。

 

第二阶段是个人信息成为独立的刑法保护对象。伴随网络时代的兴起与普及,个人信息具备可识别性从而成为潜在的资源,可以满足不同市场需求而产生交易价值。但此阶段能够掌握到个人信息的主体,一般为具备一定公权力的垄断企业和利用合法渠道对公民个人信息进行收集的特定服务行业。因此,2009年《刑法修正案(七)》增设第二百五十三条之一出售、非法提供公民个人信息罪和非法获取公民个人信息罪。根据犯罪构成要件的不同,对出售、非法提供类型的犯罪主体限定为特殊主体,同时为了确保公民信息不进入市场流通,对其他手段非法获取的也作入罪处理。而2013年《消费者权益保护法》的修改,在原第十四条中增加消费者享有个人信息依法得到保护的权利,并在第五十条规定经营者侵犯个人信息应承担的法律责任,首次从民事权利的角度对个人信息作出规定。

 

第三阶段是侵犯公民个人信息罪的确立。互联网企业大量兴起后,各类互联网公司、网络服务者掌握海量个人信息,而原有的以特殊主体构成的出售、非法提供公民个人信息罪和从源头进行规制的非法获取公民个人信息罪已经无法有效预防和惩罚现实多发的侵害个人信息的行为。2015年《刑法修正案(九)》对《刑法》第二百五十三条之一作出修改,将原有的两个罪名合并为侵犯公民个人信息罪,并将特殊主体修改为一般主体,但对部分主体作为量刑情节从重处罚,成为不真正身份犯。此时,民事领域开始大力推动个人信息立法,2017年10月1日起施行的《民法总则》第一百一十一条规定,“自然人的个人信息受到法律保护”,标志着个人信息正式成为公民的一项民事权利(益)。2021年1月1日起施行的《民法典》也在人格权篇中确立了个人信息权。全国人民代表大会常务委员会于2021年8月20日通过的《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”),则从健全个人信息处理、跨境流动等方面做出规定。

 

二、《民法典》对个人信息保护的“三重”维度

 

《民法典》对个人信息的司法保护具有极其重要的影响,笔者认为,《民法典》对个人信息的保护可以从以下“三重”维度进行解读。

 

(一)将个人信息权定位于人格权项下

 

我国对个人信息权利属性的研究是从隐私权开始,并认为个人信息是隐私权的一部分,这也符合网络发展的代际变化。在网络1.0和2.0时代,个人信息的数据价值还未完全显现,个人信息主要体现其私密性和隐私性。进入网络时代后,个人信息的表现形式不断扩充,个人信息主体的所有权和使用权分离成为常态,且个人信息已经突破私密性的范畴,呈现“公开化”的趋势,隐私权已经无法涵盖个人信息的全部特征,个人信息的权属争议也随之开始。总体而言,分两类观点:

 

第一类是在人格权项下讨论个人信息权的保护。一种观点认为应当通过扩大隐私权的范围来保护个人信息,其借鉴的是美国个人信息保护模式。另一种观点认为个人信息权不同于隐私权。以“可识别性”为特征的个人信息远超出隐私信息的范围,应当将个人信息权单独规定。

 

第二类是认为个人信息权是一项独立的新型权利,是在大数据背景下发展起来的。该观点认为个人信息具有人格权益属性,同时承载着巨大的经济及公共利益价值,是一种综合性的权利。

 

《民法典》第一千零三十四条对个人信息的定义突出“可识别性”特征。隐私则被定义为自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。个人信息与隐私在内容上有交织,《民法典》明确个人信息中的私密信息适用有关隐私权的规定,没有规定的,适用有关个人信息保护的规定。由此,《民法典》确立了个人信息权是独立于隐私权的一项人格权益,并认可个人信息与隐私在内容上存在交叉,确立了隐私权优先的原则。

 

(二)制定个人信息合理使用规则

 

大数据、云计算、人工智能等新兴技术逐渐被开发和利用,数字经济依托于对大数据的收集、提炼及分析。在此过程中,个人信息保护和数据合理使用两者之间在不断的调和中。总体来说,《民法典》对个人信息合理使用的规定存在推定同意和明确同意两种类型。

 

推定同意即无须额外征得自然人的同意,可以直接使用公民个人信息。推定同意通常发生在特定领域,主要适用两类场景:一是处理已公开的信息,如《民法典》第一千零三十六条规定“合理处理该自然人自行公开的或者其他已经合法公开的信息”。二是为维护公共利益和自然人合法权益使用信息。如《民法典》第九百九十九条规定合理使用他人人格要素,“为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等”。第一千零三十六条规定“为维护公共利益或者该自然人合法权益,合理实施的其他行为”。

 

明确同意则体现在《民法典》第一千零三十五条规定,“征得该自然人或者其他监护人同意”等内容。无论是推定同意还是明确同意,个人信息的使用都必须满足比例原则,即需在“合理”的限度之内,《民法典》在对个人信息保护中规定“处理个人信息的,应当遵循合法、正当、必要原则”也充分体现出个人利益与公共利益的平衡,即在数据流动的合理限度内使用公民个人信息。

 

(三)明确处理个人信息的免责事由

 

《民法典》第一千零三十六条明确了处理个人信息的免责事由,即在区分已公开信息和未公开信息的前提下,确立不同的免责标准。一是对于已自行公开或者合法公开的信息,确立“合理使用”原则;二是对于未公开信息,确立以“知情—同意”规则为基础,以维护公共利益和自然人合法权益为例外的原则。

 

“知情—同意”原则是处理个人信息的最基本的免责事由,公民对个人信息有决定是否被使用的权利。而如何理解“同意”成为关键所在,在数据经济发展中,对于体量庞大的个人信息在处理环节一旦未遵循“知情-同意”原则,就可能会承担民事责任。然而不区分信息种类、信息流通的不同环节、处理信息的不同角色而简单地以“知情-同意”作为标准来入罪,一方面将大大加重数据流转的成本,严重阻碍数据经济的发展,另一方面也会使得“知情-同意”原则迫于流转需求陷入形式化,反而无法真正体现信息主体的主体地位。因此,《民法典》要求个人信息的使用须经自然人或者其监护人的“同意”,而在隐私权中则规定,要求必须经过“权利人明确同意”,两者对比之后,可知处理个人信息中的“知情—同意”是一种弱同意,即不一定取得权利人明示的同意,也包括默示的同意。

 

总之,《民法典》对个人信息的保护通过确定权益属性、制定合理使用规则及确立免责事由三个维度进行规定,及时回应了大数据时代个人信息安全保护和信息经济发展的需要。

 

三、侵犯公民个人信息罪的“刑”“民”衔接

 

在刑事领域中,对公民个人信息的刑事保护主要通过适用侵犯公民个人信息罪,而该罪以“违反国家有关规定”为前置构成要件,《民法典》对个人信息保护的规定也将引发侵犯公民个人信息罪适用时的“刑”“民”衔接问题。

 

(一)民事权利与刑法法益的衔接

 

《民法典》将个人信息置于人格权篇,并定位于一项人格权益,强调保护公民的人格尊严和人格自由。此外,《民法典》第一千零三十四条对个人信息的定义中突出“可识别性”的特征,都是强调个人的信息主体地位。因此,在前置法律逐步完善的同时,侵犯公民个人信息罪也应当结合《民法典》等前置法之规定,合理划定犯罪圈,避免出现民事合法而刑事违法的尴尬局面。

 

就本罪而言,其法益应当为个人法益。首先,本罪的罪名是侵犯公民个人信息罪,在分则条款明文规定其犯罪对象为公民个人信息的情况下,将其法益视为超个人法益并无法律根据。其次,本罪规定在《刑法》第四章侵犯公民人身权利与民主权利罪一章中,其构成要件中虽然规定了“违反国家有关规定”作为前置条件,但结合全章来看应当将其认定为自然犯更为适宜。诚然,与自然犯相对应的行政犯通常保护公共利益,但是典型的自然犯如故意杀人罪罪状中也只是对“违反国家有关规定”进行了省略,换言之,符合国家有关规定剥夺他人生命的行为当然不构成此罪。因此,不能以条文中是否规定“违反国家有关规定”作为区分自然犯和行政犯的标准。此外,自然犯通常系结果犯,即侵害到法益并且造成损害结果才认定为犯罪既遂。如将本罪法益认定为超个人法益,则只能将本罪视为抽象危险犯,但这并不符合该罪的行为类型,即明明已经有特定公民个人信息遭受到了现实的侵害,却在刑法中仅评价为产生了对社会的危险,难免与客观事实不符。再次,持超个人法益论者普遍关注实践多发的大批量个人信息非法转移对公共秩序、公共利益造成的不利影响,进而将本罪法益认定为超个人法益,但此种观点并未解决为何侵犯特定自然人信息也符合本罪的入罪条件。如2017年5月5日两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)中规定出售公民个人信息违法所得五千元以上、曾因侵犯公民个人信息受到刑事处罚或者二年内受过行政处罚再实施的,系“情节严重”情形,而上述两种行为客观上完全可能侵犯的只是特定公民个人信息。因此,持超个人法益者不免存在为社会治理需要,将侵犯特定被害人犯罪视为对公共利益造成侵害的危险从而入罪,明显弱化了刑法保护公民个人对信息的权利主体地位,存在不妥。最后,法益理论发展趋势就要求尽可能明确,否则仅以社会关系或社会危害性概括分则具体罪状法益即可,如此则任何犯罪法益保护皆为超个人法益,使法益概念丧失构成要件指导功能。所谓“超个人法益”也是在能够回溯并最终保护到个人法益的情况下才具备刑法上的可保护性。因此,在将个人法益作为本罪法益已经能够有效保护公民个人信息权时,就应放弃超个人法益立场,从而避免造成个人与超个人之间的紧张关系。

 

(二)《民法典》对个人信息合理使用的规范和刑法规定的衔接

 

《民法典》对个人信息的使用要求“应当遵循合法、正当、必要原则,不得过度处理”“合理实施”等,且第一千零三十五条的规定涵盖了使用个人信息链条的各个流转环节。个人信息兼具消极防御和积极使用两项权能。随着数据经济兴起,网络服务商通过优惠活动等利益引导的方式换取公民个人信息,而收集公民个人信息后仅仅占有、分析或者流转,并不会直接侵害到公民切身权益,恰恰是非法使用行为才是直接侵害公民权益的行为方式。如在“朱某诉北京百度网讯科技公司隐私权纠纷”案件中,百度公司通过对cookie技术收集的个人偏好信息进行精准广告投放等。《民法典》在非法使用个人信息的规制上提供了明确的指引,这对于大数据时代治理个人信息被非法使用具有现实的指导作用。而我国《刑法》第二百五十三条之一侵犯公民个人信息罪仅规定了违法出售个人信息、违法提供个人信息及窃取或以其他方式非法获取个人信息三种行为方式,即对应《民法典》中的“收集”“提供”,均属于源头获取行为,对于“使用”“加工”“传输”等中间环节则没有规定相应的刑事制裁方式。

 

刑法对个人信息的非法使用的评价则出现“真空”,当网络服务者对合法收集的个人信息进行非法使用时,现阶段只能通过民事、行政的制裁方式予以规制。总体来说,“我国《刑法》对个人信息的规定还只能适应网络时代前期对个人信息以扩散型侵害为主要特征时有针对性保护意义,但在信息技术与社会生活深度融合的大数据时代,信息非法使用成为典型侵害形式时,就会显得规制不足”。

 

(三)民法免责事由和刑法出罪事由的衔接

 

民法与刑法虽属于不同部门法,但都处于国家整体法秩序之下。不同法律对行为违法性的判断标准也不尽相同,这就引发出法律适用的难题。如行政不法、民事违法行为在刑事领域该如何判断?针对不同法律之间的违法性判断关系,当前主要有缓和的违法一元论、违法相对论及违法多元论。违法多元论基本排斥“违法的统一性”,不利于引导公民的行为及法秩序统一性的构建,因而多有弊端。缓和的违法一元论和违法相对论都主张在法秩序统一的背景下,探讨各个法律的违法适用。虽然两种观点在违法性判断的顺序、细节上有所不同,但主要争论点都集中在民法或行政法禁止的行为在刑法上如何评价其违法性,而对于民法或行政法所允许的行为,两种观点都认为必然不具有刑事违法性,即正当化事由应根据法秩序的统一性确定。因而,符合构成要件该当性的行为若在民法领域是合法的行为,那么刑法也应当认定其正当性;而民法、行政法所禁止的行为,在刑事判断上,需要以法益侵害性独立予以判断,不一定具有违法性。

 

《民法典》构建起“知情—同意”和合理利用规则的免责事由。该免责事由强调公民的自我决定权的运用及法益衡量原则,这与刑法中的“被害人同意”相通,具备出罪的功能。“民法中的意思表示不同于刑法中的被害人同意,但无论是作为民法中的免责事由,还是刑法中的出罪事由,二者的理据应该是共通的,都是建立在人的自我决定权基础上的。”因此,在《民法典》对使用公民个人信息做出民事免责事由的前提下,需要对侵犯公民个人信息罪的刑法出罪事由进行细化的构建,进而在法秩序的统一性和违法判断的相对性、数据流动和公民个人信息保护之间找到合适的平衡点。

 

四、侵犯公民个人信息罪的规范构建

 

在个人信息保护初期,前置法的缺位使得刑法对个人信息保护呈现扩张的态势。2013年4月23日两高《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)规定,对公民个人信息举例还限于传统的个人信息事项,并与隐私权呈现交织状态。时隔四年后,《解释》第1条对公民个人信息的范围进一步扩张,较之于2013年《通知》来说,一方面将个人信息从隐私权当中剥离开,赋予其独立于隐私权的内涵,另一方面将“活动情况”并列于“识别性”同等的位置,并将“账号密码”“财产状况”“行踪轨迹”三种类型的个人信息纳入其中,该三类个人信息较之于传统个人信息,其人格属性明显减弱,立法者更多考量的是其身后的可能影响到自然人的财产安全利益。

 

基于上述分析,侵犯公民个人信息罪通过对个人信息范围的扩大,进而扩张其刑事制裁半径,但行为方式仍以制裁“转移型”侵害为主,因而刑事法律保护未达到预期效果。在《民法典》颁布后,刑法则应当根据自身特点细化个人信息保护的刑法路径,结合《民法典》对侵犯公民个人信息罪进行规范构建,使之在网络3.0时代,更好地保障公民个人信息,促进数据的合理流动。

 

(一)法益构建:信息自决权

 

《民法典》第一千零三十七条明确规定自然人拥有个人信息决定权,即自然人对其个人信息有查阅、复制、提出异议、要求更正及删除等权利,《个人信息保护法》第四十四、四十五、四十六条规定个人对其个人信息享有知情、决定、查阅、复制、补充、更正等权利。该规定与《民法典》中对个人信息决定权的细化相一致,都将个人信息权的核心定位于信息主体对信息的决定权。

 

根据域外法律规定,个人信息被称为“信息自决权”,早在1971年德国学者Wilhelm Steinmuller和Bernd Lutterbeck便提出了个人信息保护对于人格自由发展的重要性,随后,1976年Christoph Mallmann第一次提出了“信息自决权”的概念。《德国联邦个人信息保护法》保护的是“个人信息权”(Recht am eignen Datum),即个人信息自决权,是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利”。美国的隐私权概念也逐渐过渡到“维持对个人信息的内在领域和对某人身体和能力的一定程度的控制和权利”。强调个人的自主控制权能。

 

《民法典》和域外立法经验都将个人信息权的主要权能规定为个人对信息的决定及控制权,均以具体个人权益为视角,强调个人人格利益。刑法中侵犯公民个人信息权的法益构建则需在《民法典》对个人信息权细化的基础上进行,将信息自决权作为侵犯公民个人信息罪的保护法益:

 

一是将个人信息权作为刑法保护本罪的法益,指导分则适用的功能并不明显。就如同将非法侵入住宅罪的法益认定为住宅权、将毒品犯罪的法益认定为对毒品的管理秩序、将生产、销售伪劣产品罪的法益认定为国家对商品的生产管理秩序一般。笔者认为在可以进一步明确各罪具体法益的时候,应当尽可能明确核心而不能以上位概念替代,否则刑法分则各罪的法益直接统一认定为社会危害性即可。二是以信息自决权作为侵犯公民个人信息罪的保护法益,符合该罪构成要件所规定的行为方式。《刑法》对侵犯公民个人信息的行为方式规定为“出售”“提供”“窃取或以其他方式非法获取”三类,都是违背信息主体对信息流转的自我决定权。三是刑法作为最后保障法的地位决定并不是任何违反《民法典》规定的侵害个人信息权的行为都要做入罪处理。换言之,只有针对严重侵犯公民个人信息权的行为,刑法的介入才具备正当性。如上所述,个人信息权中最核心的权能便是个人对信息的决定及控制权,对后者的侵害更为突出,损害结果更为严重。在《民法典》第一千零三十七条明确规定了个人信息决定权的情况下,刑法应该对此进行确认并将其作为本罪法益。一方面与该罪个人法益的定位相符,可有效指导本罪构成要件;另一方面将法益限定为信息自决权,符合“个人自治”中法益作为人的自由发展和自我实现的条件这一基本的内涵,具有正当性基础。

 

(二)行为构建:非法使用行为入罪化

 

大数据经济的发展导致网络空间与现实空间共同构建成“双层社会”,个人信息及数据在互联网中经常呈现“裸奔”状态。侵犯个人信息的行为也随之进入新的阶段,信息主体面临自己的信息被合法采集却非法使用的风险。与之对应,刑法应对侵犯公民个人信息罪进行扩容,将非法使用个人信息行为纳入刑法的规制范围,以实现对个人信息处理全链条的有效保护。而难题是如何将个人信息非法使用行为类型化进行有效刑法规制,具体来说,可从三方面来细化:

 

一是将“违反国家有关规定”作为前置违法判断。现行侵犯公民个人信息罪以“违反国家有关规定”为前置判断条件,无论是对信息自主转移的侵犯,抑或是对信息使用自主的侵犯,都是侵犯公民的信息自决权。因此,将非法使用信息行为入罪仍要保持与现有侵犯信息自主转移入罪一致的前置违法性判断,维护法秩序统一。

 

二是细化非法使用信息的行为方式。个人信息非法使用行为入刑,应当与《民法典》《网络安全法》规定的合理使用公民个人信息相对应,可细分为未经同意违法使用及超越目的、方法及范围两类。对于第一类违法使用入罪可包括:将公民个人信息用于违法犯罪活动的(推定未经同意,否则公民本身可能涉嫌犯罪);通过网络、传单、广告、邮件等方式将公民个人信息传播的,如人肉搜索;冒用、修改公民信息的,如篡改他人信息导致他人利益受损。对于第二类超越目的、方式和范围的使用可包括:超出合同约定将公民信息用于市场投放、推送广告、推送特定信息及服务的;超出合同约定将一定数量的公民信息进行整合和分析;其他超出约定将他人信息用于个人用途的等。

 

三是确立“情节严重”的入罪标准及法定刑升格标准。《解释》对非法获取、出售或者提供公民个人信息“情节严重”细化为十项,通过区分个人信息类型、违法所得数额、受过刑事处罚或行政处罚又实施等入罪;“情节特别严重”则通过数量、数额、造成重大经济损失、恶劣社会影响等入罪。非法使用信息的入罪标准一方面可以考虑与非法获取、出售或者提供公民个人信息保持统一,继续沿用情节加数额定量标准;另一方面基于非法使用信息通常会对公民人身、财产权益造成更为恶劣的影响,因此需要对非法使用的常见行为方式造成的危害后果类型化,如欺诈性非法使用、改变目的非法使用、大规模反复非法使用;对情节恶劣可能影响法定刑升格的情形如人肉搜索导致他人自杀或者精神失常的;将公民信息用于违法犯罪活动的获利或者导致公民被追究相关责任的;冒用、修改公民个人信息,造成严重后果的;非法使用公民个人信息,导致他人损失数额巨大的等。

 

(三)出罪事由构建:“知情同意”原则及场景化判断

 

在大数据时代,只要掌握足量的信息体量,就可以将原本并不具备可识别性的信息通过多角度全方位分析后使其具备可识别性,因此可预见到将会有越来越多的信息被纳入个人信息的范畴。《民法典》通过对已公开信息和未公开信息适用不同的免责事由,《刑法》中对侵犯公民个人信息的违法性判断应当结合《民法典》的规定区分场景进行,合理地分配自然人及信息处理者的权利义务,而不能一味以未经自然人同意而流转等同于“违反国家有关规定”进而入罪。

 

第一,对于公民个人信息的初始收集,应该严格遵守“知情同意”原则。自然人对该个人信息拥有完全的信息自决权,即信息主体有权决定其个人信息能否被他人使用以及被使用的方式、范围等。之所以在收集阶段需要完全履行相关义务,是因为公民信息一旦被他人收集,便已然处于非独占性状态,公民对自身信息的占有不再排他。因此,信息处理者在收集信息时必须取得公民同意,未经同意而获取应当评价为侵犯公民个人信息的行为。

 

第二,对于公民个人信息后续的流转环节,应适用“场景化”判断。个人信息被合法收集汇总分析为信息大数据后,大数据本身产生了市场交易价值,该数据产生了新的占有主体即数据企业。数据企业拥有对大数据集合的数据财产权。对个人信息和信息数据两者的区分有利于数据流动和大数据时代数据经济的发展,并导致信息自决权和数据财产权两种权利合理产生且前者对后者产生制约,实现信息人格权益和经济利益的动态平衡。由于出现新的数据权利和数据信息占有主体,其与公民个人对信息的占有关系如何协调便成为重点。笔者认为可以引入场景判断的方式,弱化“知情-同意”原则的适用,即只要确保信息处理过程通过“情景合理”测试,则无须明示同意也可构成与明示效果相同的合法处理。“情景脉络完整性”理论最初由美国纽约大学的尼森鲍姆教授提出,属于情景调控模式的理论,相同的信息在不同的语境中有不同的规范,将该理论运用在个人信息保护上,也就是个人信息原始收集时的具体语境应得到尊重,其后续传播及利用不得超出原始的情景脉络。

 

第三,场景判断模式应符合《民法典》第一千零三十五条“处理个人信息应遵循合法、正当、必要原则,符合处理信息的目的、方式、范围及双方的约定”。即在个人信息的后续流转中,要对个人信息的“出售”“提供”等流转行为是否超出自然人第一次授权让渡其个人信息的“目的”“范围”等进行实质判断,从而认定是否属于同一场景。如在“人人网收购案”中,人人网将其合法获取的个人用户数据及社交平台业务以2000万美金的现金对价出售给北京多牛传媒,由于自然人让渡其个人信息给人人网是基于扩展社交圈及分享的需求,且北京多牛传媒与人人网都是社交网络平台,在北京多牛传媒遵守个人信息保护的相关规则下接收人人网的个人用户数据,并没有超过用户最初授权给人人网的范围和约定,因此人人网售卖个人用户数据的行为不构成侵犯公民个人信息罪。当然,基于用户对自身个人信息拥有自决权,若用户向北京多牛传媒要求删除其个人信息,北京多牛传媒应当进行删除。

 

五、结语

 

对个人信息的保护应当采用公法与私法并重的综合性保护方法,并做好公法与私法在个人信息保护上的衔接。《民法典》通过人格权益的保护路径来规制侵犯公民个人信息的行为,侧重于保障公民对个人信息的主导地位,可在一定程度上扭转自然人在大数据经济发展中所处的弱势地位。在刑法语境中,应该结合《民法典》中个人信息的人格权益属性,明确侵犯公民个人信息罪的法益是个人法益,并定位于信息自决权。同时,与《民法典》中对个人信息合理使用相配套,应将非法使用个人信息行为纳入刑法的打击半径。最后,根据《民法典》的免责事由合理构建侵犯公民个人信息罪的出罪事由,实现公民个人信息保护与数据合理流动的平衡。

来源:《江西师范大学学报(哲学社会科学版)》2021年第5期

作者:肖雅菁,中国政法大学刑事司法学院博士研究生

         郭旨龙,中国政法大学刑事司法学院讲师