尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨 赵真:擅自处理已公开个人信息行为的刑事违法性判断

作者:尚权律所 时间:2023-12-04

摘要

 

已公开个人信息并未基于公开而丧失个人信息“可识别”特定自然人之根本属性,擅自处理已公开个人信息仍具有刑事违法风险,可能构成侵犯公民个人信息罪。当前对该行为刑事违法性的判断路径与认定标准尚未达成共识。为弥合分歧,需要从形式与实质两个维度予以重新审视:形式之维上,已公开个人信息应可识别或相关联特定自然人,且个人信息的公开应当具备合法性基础;“对个人权益产生重大影响”的侵害行为,可通过行为人的信息控制权限予以客观认定,从而排除前置法中的合法情形。实质之维上,应综合判断信息主体的人身财产安全是否遭受具体危险,是否存在信息主体对信息处理行为负有容忍义务之消极抗辩事由,是否已然达致规范的法益侵害程度,通过定性与定量之双重评价,进而厘清刑法的调控边界。

 

关键词:已公开的个人信息  个人信息保护法  侵犯公民个人信息罪  违反国家有关规定

 

一、问题的提出

 

擅自处理已公开个人信息行为,是指未经信息主体同意,私自对处于公开状态的个人信息进行收集、使用、加工、提供、传输等信息处理行为。从规范层面来看,对于擅自处理已公开个人信息行为的违法性判断,不同法域的回应是不同的。

 

在刑法规范视域下,基于对个人信息的本质认知不同,对于擅自处理已公开的个人信息是否构成侵犯公民个人信息罪这一问题存在对立观点。无罪论以秘密性作为个人信息的基本属性,认为该行为并不具有刑事违法风险,其将个人信息所承载的隐私权视为侵犯公民个人信息罪的保护法益,主张已公开的个人信息不应认定为刑法意义上的公民个人信息,更有实务判例以涉案信息为非公开的个人信息为由,直接认定获取行为或提供行为的不法性。有罪论以可识别性为个人信息的根本特征,认为该行为极可能具有刑事违法风险。首先,从2017年最高人民法院、最高人民检察院颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下文简称《侵犯个人信息案件解释》)第1条对“公民个人信息”的定义来看,公民个人信息并不局限于个人隐私,而公开的个人信息也未由于公开而丧失可识别性的根本属性,故已公开个人信息系刑法第253条之一规定的“公民个人信息”。其次,依据《侵犯个人信息案件解释》第3条第2款的规定,获取已公开个人信息的正当性,并不能直接推定被收集者默认同意可将信息随意提供给他人,二次处分仍需经由公民授权,否则将构成“非法提供”或“非法出售”。基于此,以“权利主体同意”作为刑事违法判断的必备要素的分析思路,也被扩展应用至“非法获取”类的侵犯公民个人信息案件中。实务中,尽管有上诉人提出,对于网络上已经公开的个人信息属于合法获取,客观上并没有实行违法行为,但法院基本上均认定该行为系“非法获取”公民个人信息。

 

而在民法与个保法规范视域下,擅自处理已公开个人信息行为却享有一定的自主空间。2020年出台的《中华人民共和国民法典》(下文简称《民法典》)第1036条第2项将合理处理已公开个人信息列为免责事由,只要信息主体未明确拒绝或未侵害其重大利益,行为人都可自行处理。2021年《中华人民共和国个人信息保护法》(下文简称“个保法”)正式施行,个保法在《民法典》的基础上,于第27条建构了已公开个人信息保护的具体规则:一是承认了合理范围内处理已公开个人信息行为的正当性,同时明确了信息主体仍享有拒绝权;二是限定了需要“权利主体同意”的唯一情形,即该信息处理行为“对个人权益产生重大影响”。简言之,只要在合理范围内处理已公开个人信息均属于合法的信息处理行为。

 

由此观之,对于擅自处理已公开个人信息的行为规制,在法律体系内部并未得到理顺,刑法与前置法存在规范错位。然而,对于整体法秩序下的合法性统一,在学理上已经不存在争议。依据法秩序统一性原理,法律秩序内部应当保证行为指引互不冲突、协调一致,被前置法所允许的行为就难以被刑法科处刑罚,否则将侵害国民的预测可能性,导致国民无所适从。尤其是基于侵犯公民个人信息罪的自身特性,其以“违反有关国家规定”为构成要件要素,故该罪首先依赖于前置法规范的形式违法评价,其次才需进行法益侵害性的实质违法判断。可见,随着我国个人信息保护法律秩序的逐步形成,上述的规范错位为擅自处理已公开个人信息的刑事违法性判断带来了认定疑难,《侵犯个人信息案件解释》的既有认定标准显得过于粗糙,纯粹的有罪论与无罪论都无法实现应有的法律机理。自此,实务界不乏有跳脱出现有刑法规范的裁判意见,理论界也将研究焦点转向于对刑法规制边界的厘清以及对具体入罪标准的明确。然而,受前置法规范的含义指向模糊等因素影响,当前对该行为的刑法认定尚未达成统一共识,如何为擅自处理已公开个人信息行为构建体系化的刑事违法判断标准成为本文的研究旨趣。

 

二、擅自处理已公开个人信息行为刑事违法性判断的争议与反思

 

(一)既有判断路径之考察

 

刑事领域的擅自处理已公开个人信息行为,大体上可划分为以下三类:A类案情为行为人获取公开的个人信息后用于违法犯罪。如,为实施电信网络诈骗,甲通过“天眼查”软件查询获取了大量公司法定代表人、联系电话等信息,再根据公示信息内容冒充各公司代表人向公司邮箱发送邮件,要求对方发送其公司内部员工的通讯录,而后进一步诈骗该公司的财务人员。B类案情为行为人获取公开的个人信息后用于公司经营。如,为拓展市场业务,乙通过黄页88网、中国网等网站搜索收集、向他人购买等方式获取客户资料,并将该信息进行分类整理后,分发给销售部员工使用,通过电话向客户推销公司项目。C类案情为行为人获取公开的个人信息后用于转售牟利。如,丙以“企查查”网站VIP会员身份,从该网站下载大量包含姓名、电话号码等公民个人信息后,利用微信和支付宝等网络工具,通过互联网向他人出售收集的公民个人信息。对于擅自处理已公开个人信息行为,当前刑法理论界与实务界主要聚焦于以下问题,即获取已公开个人信息或是向他人提供已公开个人信息是否属于“非法获取”或“非法提供(出售)”,该行为是否应受刑法处罚。

 

1.主观标准说

 

主观标准说认为,处理已公开个人信息可能由于违背个人信息的公开目的或用途而被入罪规制。其中,基于不同的出罪功能,又存在两派观点。一是认为“符合公开目的或公开用途”可以阻却构成要件符合性,如有实务观点认为,信息主体主动公开或自愿公开个人信息,可以合理推断出权利主体并不排斥个人信息的流通与共享,行为人获取后提供或出售给他人的,不属于违反国家有关规定的行为。但若为被动公开的个人信息,信息主体并无任何自主决定权,行为人仅可供自己使用,擅自向他人提供和出售该信息显然已超出涉案公民个人信息的合理预期,可能构成侵犯公民个人信息罪。但也有学者持相反意见,主张在自行公开的场合若仅是相对公开,则可能因为改变特定公开目的或用途而被追究刑事责任;而法定公开个人信息的目的是公共利益,只有明知他人将已公开信息用于实施违法犯罪的,才应被认定为个人信息犯罪。二是认为“符合公开目的或公开用途”可以阻却违法性,如有学者对“合理处理标准”进行了类型化解释,认为处理自行公开的个人信息应当符合信息主体合理预期,处理依法公开的个人信息则应当符合公开用途,前者基于被害人同意阻却违法性,后者则是通过合法利益豁免阻却违法性。

 

2. 客观标准说

 

客观标准说基于个人信息的公开范围之不同,确定该处理行为是否具有刑事违法风险。具言之,既然信息主体主动将个人信息向社会完全公开,则可据此推断出信息主体对他人合法获取并合理利用的概括同意;但对于在限定范围内公开的个人信息,若在未经信息主体另行授权的情况下进行获取或出售的,该获取行为或出售行为便具有不法属性。有学者参考了德国法上的一般可访问性标准,对擅自处理已公开个人信息行为的认定采取客观开放程度标准,认为对于完全开放的个人信息,一般不具有刑法介入保护之必要,只有存在信息主体明确拒绝或该行为有损信息主体的生命、身体、财产等利益时,才可能具有刑事可罚性;而对于限制开放的个人信息,不论基于自愿授权开放还是法律法规强制开放,他人都没有擅自处理的正当性,都应受到刑法规制。

 

(二)既有判断路径之反思

 

构成要件是违法性的存在根据,符合构成要件的行为原则上便具有违法性,只是在例外情况下可以阻却违法。在该当于构成要件后,只要不存在违法阻却事由,就可以认定该行为具有刑事违法性。但无论是基于法益性阙如的违法阻却事由,还是基于优越的利益原理的违法阻却事由,在擅自处理已公开个人信息行为刑事违法性判断上的考量意义并不大,因为这些行为在前置法规范上便不会被评价为违法,不符合“违反有关国家规定”的构成要件要素。故而,对于擅自处理已公开个人信息行为的刑事违法性判断,则应着重关注该行为是否具备侵犯公民个人信息罪的构成要件符合性。构成要件既然要发挥罪刑法定主义之机能,就必须要具备形式的性格,同时在法律形式的范围之内对其进行实质的解释,使得该当于构成要件的行为具有值得科处刑罚的法益侵害性。因此,擅自处理已公开个人信息行为的刑事违法性判断也要从形式违法性与实质违法性两个方面予以展开。在形式违法性上,主要考察该行为是否违反国家有关规定而构成“非法获取”“非法提供”或“非法出售”;在实质违法性上,则主要考察该行为侵害法益的保护必要性以及是否达致法益侵害程度。在此逻辑下,上述观点在形式违法与实质违法判断层面均存在一定缺欠。

 

1. 形式违法判断层面

 

首先,主观标准说可能导致司法认定疑难。从立法过程来看,个保法一审稿草案第28条,曾将擅自处理已公开个人信息的前提条件规定为“符合被公开时的用途”,但在二审稿修订时以及最终出台的法律文本中以“合理范围”加以取代,这其中便体现了立法者对法律适用的审慎考量。由于要求符合某种用途目的过于模糊难以判断,具体情境下的信息公开用途迥异,不确定性显著,若以信息主体的主观目的作为判断处理行为是否违法的准据,极易导致裁判结果不一,有失司法公正。私法法域以意思自治为基本原则,强调权利主体的个人意愿,而刑法则更注重法的安定性,因此,尽管违背信息主体意愿在前置法中具有一般违法性,但将其作为入罪事由并不妥适,主观标准对“合理范围”的解释似乎在评价是否成立犯罪时可能引发随意出入人罪的消极后果。此外,对于将“符合公开目的或用途”作为违法阻却事由的观点,存在判断逻辑错误。处理已公开个人信息行为基于“信息主体许可授权”“信息处理目的为社会公益”等事由未被入罪规制的,是因其在合理范围内进行,不具备“违反国家有关规定”的“非法”性,基于不该当于构成要件而不成立侵犯公民个人信息罪,无需在违法性阶层才予以实质出罪。

 

其次,客观标准说可能导致规制范围过宽。依据客观标准说,对于完全公开的个人信息与限制公开的个人信息存在两条保护路径。擅自处理完全公开的个人信息,原则上不宜评价为犯罪,只有在信息主体明确拒绝或者侵害其重大权益时才具有例外的刑事可罚性;而对于限制公开的个人信息,超出限制范围的处理行为则需要刑法介入。一方面,处理完全公开的个人信息时可能侵犯权利人重大权益之认定标准为何,论者似乎未能进行充分阐释,仅将这种例外理解为可能对个人造成生命、财产等利益损害。另一方面,依据《民法典》以及个保法相关规定,无论擅自处理何种类型的已公开个人信息,只要对个人权益造成侵害的,均具有形式违法性特征。只是客观上超出限制范围处理已公开个人信息,并不必然有损信息主体的个人权益,对于前置法规范中的合法行为刑法无需进行干预。公开范围与开放程度虽然可以影响对“合理范围”的判断,但不能直接决定该行为的刑事违法性。换言之,个人信息的开放范围仅能作为“合理范围”的判断要素之一,超出开放范围处理个人信息仍有可能属于合理的信息处理行为,如以公共卫生安全为目的超出特定范围处理限制公开的个人信息就不宜评价为犯罪。此外,持客观标准说的论者将处理违法公开以及合法公开的个人信息置于同一议题下讨论,尽管两者确实都具有刑法保护之必要性,但是违法公开的个人信息与合法公开的个人信息是否可基于同一路径予以保护,或者说两者分别作为侵害对象时对其侵害行为的刑事违法判断逻辑是否一致,还需予以仔细审视。

 

尽管主观标准说与客观标准说仍有不足,但均有可取之处,两者可进行优势互补。首先,主观标准中的“个人信息公开目的或用途”,虽然有不利于司法实务准确把握入罪边界之虞,但不排除某些个人信息在公开时便具备明确的公开用途,如中国裁判文书网中文书下方的《公告》就明确指出,“严禁任何单位和个人利用本裁判文书库信息牟取非法利益”,故此种情境下只要不以牟取非法利益为目的,便属于合理的信息处理行为。此外,在基于个人用途而公开的场合,若有充分证据证明该信息处理行为确实不违背信息主体的独立意志,当然可凭借符合公开用途之事由而达到出罪的实质效果。换言之,主观标准有助于考量各方利益平衡以及尊重个人意志自由,不应被完全摒弃。其次,客观标准中的“个人信息公开范围”,虽然在判断逻辑终点上不尽周延,但其判断逻辑起点却具有显著优势。刑法的制裁方法最为严厉,只有在其他部门法不能充分保护某种法益时,刑法才以保障法的姿态得以出现,故刑罚系保护法益的最后手段,应当理性限制刑罚的适用,不可随意扩张刑罚权。由此决定了不法行为的入罪标准不能恣意变动,在最大限度地保护法益的同时,也应最大限度地保障自由。对于已公开个人信息而言,自个人信息被公开伊始,其公开范围便是客观的、稳定的、明确的,不是主观的、波动的、模糊的,并非人为可以左右的,故而更加契合于刑法的保障机能。

 

综上所述,笔者认为,对于擅自处理已公开个人信息行为,应以客观标准为形式违法判断的逻辑起点,同时运用主观标准进行例外性的实质检验,整合主客观标准的自身优势,遵从客观上的形式入罪而主观上的实质出罪之判断逻辑,维护刑法之安定性,并坚守刑法之谦抑性。

 

2. 实质违法判断层面

 

主观标准说与客观标准说均认为构成侵犯公民个人信息罪的擅自处理已公开个人信息行为,应当对个人信息自决权造成侵害。虽然其奉行法秩序统一性原理值得肯定,但对个罪保护法益的认识存在偏差,可能引发刑罚范围的不当扩张,笔者对此不予赞同。

 

其一,整体法秩序下个人信息自决权存在固有缺陷。大数据时代个人信息公共属性的增强使其已然成为多元价值的集合体,其不仅承载了人格尊严与自由的私人权益,还承载着商业利用、公共管理等经济价值与社会价值,呈现出利益群体多元化之态势,如今对个人信息权益的公私法协同保护已成为学界共识。在协同的立场上,个人信息自决权的保护机制已然捉襟见肘。首先,在私法领域,以个人理性为基础构建的信息自决权无法有效回应大数据冲击下的信息侵害风险。一方面,“告知-同意”规则可能基于信息主体的有限理性而流于形式,信息主体能否依其真实意愿作出同意存疑。据中国消费者协会2018年发布的关于APP个人信息泄露的调查报告显示,占比26.2%的用户从不阅读授权需知或隐私政策,而且在这之中存在61.2%的受访者表示,由于不授权便无法正常使用该APP,故只能被迫接受用户协议。另一方面,个人信息侵权通常技术性较强且隐秘性较高,囿于信息不对称等因素影响,信息主体难以知晓个人信息是否遭受侵害或是如何被侵害。实践中不仅维权难度大,而且救济成本与收益也明显不均衡,私法权利救济效果不彰,导致陷入“数据泄露疲劳”或是“集体行动的困境”之中。其次,在公法领域,强调个人意志的信息自决权亦无法对抗不平等的信息处理主体。从义务主体来看,与民事权利主体对应的是其他平等的民事义务人,民事主体在无法律明文强制的情况下,可以依其自主意愿平等协商权利义务内容,旨在使冲突的私人权利通过互相限制从而达到和谐共存。但个人信息权益所对抗的主体还包括公权力机关以及平台企业等社会组织,这与民事法律关系构造显然存在巨大差异。个人与国家存在天然的“权利-权力”的不平等关系。而对于某些大型网络平台运营商,基于信息处理能力的根本性差异,数字鸿沟使得个人与其存在实质上的“非对称权力结构”。在这种准平等关系下,信息自决中的个人意志所起到的对抗效果更是微乎其微,故而个保法专章规定了违规处理个人信息的行政责任,以行政手段规制该类信息侵权。

 

其二,前置法秩序中个人信息自决权未得到充分肯认。对于侵犯公民个人信息罪的保护法益,刑法学界展开了旷日持久的争论,但在《民法典》颁布之后持个人信息自决权的观点居多,其主要是基于刑民一体化视角以及法秩序统一性原理,认为应当依照前置法对刑法保护法益进行丰富发展。笔者认为,该观点对前置法领域理论产生了误读。个人信息自决权主张,信息主体对其一切个人信息的处理享有决定权与控制权。但信息主体与信息处理者之间本是双向性的信息关系,以信息主体的单方意志作为信息处理之原则要求,将导致过高的制度成本以及失衡的利益分配结果。故在比较视野下,个人信息自决权的立法模式早已饱受批判。德国学者称其为一种“乌托邦”式的权利,纵观欧盟的《一般数据保护条例》(GDPR),其对个人信息自决创设了过多的例外,导致其无法发挥规则本身的规范作用。德国学者认为,个人信息保护法乃是作为事先防御机制防范个人信息被滥用的抽象危险,并非保护个人对信息的绝对控制,而《联邦个人信息保护法》的若干条款在性质上属于保护性规范,也几乎成为德国通说。事实上,我国民法学者亦对“个人信息作为权利客体”进行了系统性的批判反思,反对赋权保护模式,提倡在法益保护模式下进路。而且在本土立法中,我国法律也未采纳个人信息自决的权利表述。《民法典》的总则编第111条以及人格权编第1034条 “自然人的个人信息受法律保护”之规定,意味着《民法典》将个人信息视为一种法益进行保护。而个保法全篇也未出现个人信息自决权,而是以“个人信息权益”作为规范表述。

 

其三,刑法秩序中规范保护法益应进行独立考察。笔者认为,持本罪保护法益为个人信息自决权之观点,有拿来主义之嫌。首先,刑法规范的保护法益必须与利益相关,但不必然与前置法上的权利保持一致,权利是法定的,而利益是自然的。例如盗窃他人财物之后,所有权以及返还请求权并不会基于盗窃行为而丧失,权利人在法律上的财产权并未遭受侵害,仍旧可以对不法行为人主张权利。刑罚制裁的严厉性与刑法发动的补充性也决定了刑法保护法益的特性在于国家整体法秩序遭受侵害时的消极救济,而非基于个人自由意志的积极主张。故权利不是刑法保护法益的合理表述,将信息自决权作为个罪保护法益并不妥适。其次,虽然只要前置法规范认定为合法行为,刑法的干预就不具备规范正义,但不能据此认为刑法要从属于前置法,前置法规范无法为刑事违法性判断提供“质”的根据。而刑事违法性之本质便在于对法益的侵害或威胁,故刑法保护法益也应站位刑法规范目的本身予以独立审视。尽管时有刑事违法性判断与一般违法性判断结论相同,但这仅仅是基于前置法规范与刑法所保护的法益碰巧一致,决定违法性的并不是前置法,而是国家整体法秩序。换言之,刑法直接维护的便是国家整体法秩序,同时在这过程之中,间接保护权利主体个人的法益。可见,刑事违法性判断并不完全依赖于前置法上的一般违法性判断,而是根据特定的目的评价对违反其他法律的行为给予刑事制裁。在此意义上,以私法法域的个人意志遭受侵害作为发动刑法的根本依据也是不合理的。故而,擅自处理已公开个人信息行为是否具备实质的法益侵害性,也应在法秩序统一视野下相对独立地予以审慎考量。

 

三、擅自处理已公开个人信息行为刑事违法性的形式判断

 

侵犯公民个人信息罪以“违反国家有关规定”为必备构成要件要素,值得被科处刑罚的擅自处理已公开个人信息行为,首先需要具备“违反国家有关规定”的形式违法性。依据《刑法》第96条,“国家规定”仅包括法律与行政法规,虽然《侵犯个人信息案件解释》第2条将“国家有关规定”的范围进行了扩张,部门规章也被涵盖其中,但却不尽合理。其一,有违罪刑法定主义。刑法分则中对于判断犯罪成立与否的构成要件之规定,属于法律保留的事项,部门规章的法律位阶过低,故不能作为刑法的补充性法源。其二,有违刑法谦抑性原则。司法解释对构成要件形式要素的范围扩张,造成了犯罪圈的任意扩大,与刑法解释的基本要求并不相符。由此,侵犯公民个人信息罪的前置法范围仅能限定为法律与行政法规。在新法相继颁布实施的背景下,为贯彻法律优先原则,《民法典》与个保法应作为被重点关注的前置法规范。下文对擅自处理已公开个人信息行为的违法性分析,也主要结合上述法律规范予以展开。

 

(一)侵害对象的判断标准

 

明确行为对象是判断行为是否具有刑事违法性之首要环节。擅自处理已公开个人信息的行为对象为“公开的个人信息”,为此需先对其具体内涵进行界定。

 

1. 侵害对象可识别或相关联特定自然人

 

“公开的个人信息”仍属于“公民个人信息”。笔者认为,我国刑法中的“公民个人信息”并非仅包括个人隐私信息,而是对公开的个人信息以及私密的个人信息予以一体式保护,两者所受侵害风险程度并没有质的差距,只限定为私密信息并不利于实现对侵犯公民个人信息行为进行全面规制。从合理隐私期待维度上,个人信息大体可划分为三个层次:一是社会一般认知下的私密信息,如性生活、疾病史、未公开的违法犯罪记录等;二是不具备私密性的一般信息;三是兼具防御性期待及积极利用期待的个人信息。因此,个人信息的范畴要远大于个人隐私,理论界中强调个人信息秘密性的观点已逐渐淡出视野,且从相关立法中也能体现中这一价值导向。当前,对个人信息的定义主要存在“识别说”与“关联说”两种路径。“识别”路径是从信息到个人,认为只有可以直接或间接识别特定自然人的信息才能被认定为个人信息。如《民法典》第1034条第2款以及《网络安全法》第76条第5项对个人信息的定义,便属于“识别说”的界定思路。“关联”路径是从个人到信息,即在已知既定个人的情形下,与既定个人相关的信息均属于个人信息。换言之,若信息处理者已经知晓特定自然人A,则无需再以该信息是否可识别出特定自然人身份作为判断依据,此时自然人A的个人信息为与其有关的所有信息。由此可见,较之“识别说”,“关联说”所界定的个人信息涵盖范围更广,个人信息保护力度更强。

 

那么,侵犯公民个人信息罪中的“公民个人信息”应采取何种认定标准呢?有观点认为,《侵犯个人信息案件解释》中个人信息的识别对象为“自然人及其活动情况”,而个保法仅包含识别性的个人信息,识别对象为“自然人”,故《侵犯个人信息案件解释》所调整的范围大于个保法,应予以修正。笔者对此不予赞同。事实上,无论采取何种定义,个人信息的核心特征仍旧是“可识别性”,只不过“识别说”是从目标信息识别特定个人,而“关联说”是从特定个人识别目标信息。从法律文本的表述来看,个保法第4条以及《侵犯个人信息案件解释》第1条,均采取了“识别+关联”界定路径:首先,个人信息应为“已识别或者可识别自然人”或“能够识别特定自然人”的信息;其次,“与特定自然人有关”或“反映特定自然人活动”的信息也属于个人信息。故刑法规范与个保法规范保持一致,并不存在法域之间的冲突,无需进行调整。申言之,只要该公开信息可识别特定自然人或与该自然人相关,均属于《刑法》第253条之一中的“公民个人信息”。

 

2. 侵害对象的公开应当具备合法性基础

 

个人信息的公开应存在合法依据,非法公开的个人信息不属于“公开的个人信息”。依照个保法现行规定,“公开”属于个人信息处理活动之一,以是否具备信息处理的正当性为划分标准,公开的个人信息可分为合法公开的个人信息以及非法公开的个人信息。基于个保法第27条赋予了信息处理主体合理限度内的行为自由,因此,个人信息的公开必须具备合法性基础。

 

合法公开又可细分为自主公开、意定公开、法定公开三种途径。自主公开以个保法第13条第1款第1项为依据,是指权利人依其自主意愿通过积极行为对外披露个人信息。意定公开是指个保法第25条所规定的情形,即信息处理者经由个人单独同意而公开个人信息。法定公开个人信息以个保法第13条第1款第2-7项为依据,主要包括政府信息公开、企业信息公示、证券发行中的信息披露等依据行政行为的强制公开,以及依据司法行为的强制公开,如《最高人民法院关于人民法院在互联网公布裁判文书的规定》明确指出,自然人姓名、出生日期、住所地所属县、区等个人信息应当在裁判文书中保留。另外,为公共利益所实施的新闻报道、舆论监督或者在突发公共卫生事件中,也涉及合理范围内的个人信息公开。

 

除上述三种情形外,诸如被他人泄露等其他公开行为,因不具备处理个人信息的合法依据,故属于非法公开。非法公开的个人信息之公开状态与个人意志相悖,直接侵害个人信息权益,不太具有取得权利人同意而进一步处理的可能性,与真正意义上的已公开个人信息所适用的保护规则并不相同。故刑事违法性判断逻辑与标准亦有所不同,非法公开的个人信息之本质更偏向于未公开的个人信息,两者不适宜一并讨论。

 

(二)侵害行为的判断标准

 

对于擅自处理已公开个人信息行为是否“违反国家有关规定”而构成“非法获取”、“非法提供”或“非法出售”,必须结合前置法规范进行综合认定。

 

1. “对个人权益产生重大影响”的信息处理行为属于“违反国家有关规定”

 

从法律规范的表述上看,《民法典》第1036条第2项与个保法第27条略有不同。《民法典》中的“重大利益”强调实质的损害结果,而个保法中的“重大影响”强调存在侵害危险,至于是否发生了实际损害在所不问。此外,“权益”本身涵摄“利益”,其意涵为“权利”加之“未上升为权利的利益”,显然“个人权益”的保护范围要更为宽泛。但鉴于两者立法视角上的差异,个保法与《民法典》并不相互抵牾。《民法典》站位民事责任的免责事由,侧重实害性;个保法则站位个人信息处理规则,侧重预防性,旨在规范个人信息处理活动,为信息处理者预先判断“是否需要重新取得信息主体同意”提供指引。总体而言,从行为规制的全面性来看,个保法的相关规定更为可取。由此,擅自处理已公开个人信息行为对个人权益产生重大影响的,应认定该行为“违反国家有关规定”。当然,在个人拒绝处理但行为人擅自处理之情形,亦属于“违反国家有关规定”的行为。只是法条原文表述为“个人明确拒绝”,则可理解为此种场合需存在充分的证据证明信息主体确实表达了否定意愿,因此不太能产生适用歧义,本文不再予以展开。

 

而对于个保法第27条中“合理范围”与“重大影响”而言,两者应属互斥关系,实际应用中难以存在重合范畴。从行为规制角度来说,为减轻法律适用负担,对于“重大影响”的界定某种程度上等置于“合理范围”的厘清,这对司法认定具有积极的实践意义。但何谓“重大影响”难以判断,现有观点大多将其理解为可能产生侵权后果,并未形成明确的判断标准。笔者认为,“对个人权益有重大影响”的信息处理活动之所以必须取得信息主体授权,根本原因在于该类行为存在侵害个人权益的重大风险,因此应当着重关注何种情境下具有更高的风险兑现概率。若该信息处理行为存在抬高风险的可能,理论上都需取得权利主体同意。个保法中个人同意包括明确同意、单独同意、书面同意三种类型。其中,由于单独同意是对特定事项的专门同意,与一般的概括同意相比规范更为严苛,要求信息处理者在取得信息主体同意时,不得掺杂其他个人信息处理事项。因此从个保法第23条、第25条、第26条、第29条、第39条所规定的适用单独同意的情形来看,其均属于可能对个人权益产生重大影响的情形。此外,上述条款也与个保法第55条所列举的需要事前进行个人信息保护影响评估的事项基本吻合,这为体系性判断第27条的“重大影响”提供了一定依据。

 

2. “对个人权益产生重大影响”的侵害行为指超出客观控制权限的信息处理

 

“对个人权益产生重大影响”的刑法解释,虽然要区别于前置法的规范意涵,但前置法规定仍具有相当意义上的参考价值。通过梳理个保法规定中适用单独同意与事前影响评估的情形,可以推断信息控制主体的扩大加剧了个人信息的侵害风险,如向他人提供、委托他人处理、向境外提供,均属于对个人权益有重大影响的信息处理活动之列。但在该信息属于已公开个人信息的前提下,也许会得到相反的答案。如若P与Q本就享有对该个人信息的控制权限,那么P未经个人同意获取信息后又向Q提供的,此时P的获取行为与提供行为可能由于没有创设或抬高信息主体权益受侵害的风险,而不会对个人权益产生重大影响。由此可见,通过区分个人信息的完全公开与限定公开,可以识别行为人是否享有信息控制权,继而可发现公开信息被滥用的风险并非处于同一水平线上。

 

对于完全公开的个人信息来说,任何人无需特定条件都可通过合法途径实现对该信息的控制。而对于限定公开的个人信息,则存在具体条件约束,用以限制或排斥不特定对象控制该信息。首先是特定的身份资格限制。如依据个保法第13条第1款第2项采集的员工个人信息,尽管公开该信息属于依法公开无需员工个人同意,但仅能在签订劳动合同与实施人力资源管理所必要时再次处理该信息,故应认为员工个人信息的公开仅为单位的内部公开,只有单位内部人员才具有信息控制权限。其次是特殊的技术手段限制。如需要信息处理者使用特定的内部引擎进行检索,否则无法获取个人信息的,可以视为限定范围内公开的个人信息。而对于利用平台网页漏洞,绕开平台设置的IP限制、验证码验证等网络安全措施,通过爬虫程序,在网上自动抓取个人数据的,属于以非法技术手段获取个人信息,并非此处的特殊技术手段,反而应受刑法规制。需要说明的是,若仅出于技术上的因素或管理上的考虑,对信息的访问要借助一些形式条件的,并非为限定特定主体。例如国家企业信用信息公示系统中的涉及个人的公示信息,有观点认为基于该系统合法收集工商企业信息后依法公开,可推定该信息在被系统公开前,企业法定代表人仅同意在该系统内部公开。但公示公信系统上涉及的个人信息,是经过市场监督管理部门筛选的、可供社会查询的公示信息,只要用户注册账号就能获取,任何人均可查看,因此该信息应属于完全公开的个人信息。

 

综上,从个保法的现行规定来看,信息处理者越多则侵害风险越高。行为人若超出客观的公开范围擅自处理个人信息,由于不具备信息控制权限,极易对个人权益产生重大影响,故基于违反国家有关规定而具备形式违法性。而对于行为人具备信息控制权限之情形,则属于合理范围内的信息处理活动,由此,前置法上的合法化将阻断构成要件符合性。具体可阐述为以下两点结论:其一,处理限定公开的个人信息的违法性不可一概而论,只有在两种情形下才会提高信息滥用风险:一是向限定范围以外的主体提供个人信息;二是超出限定范围的主体获取甚至使用该信息。此时若未经个人同意,使得不享有信息控制权限的主体控制个人信息的,将导致个人权益遭受重大影响,属于“违反国家有关规定”的行为。其二,对于完全公开的个人信息而言,基于任何社会主体对于该信息的占有均具有正当性,信息滥用风险并未因行为人的获取或提供行为而升高,故原则上获取与提供完全公开的个人信息都是合法的。

 

当然,如前所述,仅以个人信息公开范围这一客观要素作为刑事违法判断依据,虽然便于司法机关认定,但事实上是过于严苛的,至于擅自处理已公开个人信息行为是否值得被科处刑罚,仍须经由实质违法性检验。

 

四、擅自处理已公开个人信息行为刑事违法性的实质判断

 

刑事违法性之实质即对刑法法益造成了侵害或威胁,而刑法法益具有“质与量两方面的规定性”,故对于擅自处理已公开个人信息行为的实质违法性判断,一方面应厘清侵犯公民个人信息罪的保护法益,判断法益保护之必要性;另一方面由于该罪以“情节严重”为犯罪成立的要件,还需在定性侵害法益的基础上进行定量考察。

 

(一)实质违法的定性评价:信息主体的人身财产安全遭受具体危险

 

首先,侵犯公民个人信息罪的保护法益系个人法益。当前对于侵犯公民个人信息罪的保护法益争讼繁多,主要存在集体法益论与个人法益论两派观点。笔者认为,将本罪保护法益定位为集体法益并不妥适。

 

一方面,本罪保护法益并不符合集体法益的普遍特征。集体法益一般都具备以下三个特点:一是所有主体均可利用该利益;二是该利益不可分配给特定主体;三是该利益不会因个别不法行为而丧失,只会基于多数不法行为而丧失,即属于累积犯的犯罪类型。然而,尽管个人信息的公共属性有所增强,但原则上仍由信息主体个人支配,只是例外的允许他人对个人信息的合理利用,故每个信息主体的个人信息所承载的法益,不可能被所有公民平等利用,更无法分配给所有公民。与此同时,侵犯公民个人信息的行为也不是通过数个符合构成要件的行为共同作用,才会对信息主体的个人权益造成损害,刑事认定中只需对个别的符合构成要件的行为进行违法评价。

 

另一方面,将本罪保护法益论证为集体法益的逻辑链条断裂。持有集体法益观点的学者,认为个人信息非个人独享,以个人信息的社会公共属性为基点,强调法益的社会公共脉络,其中较为典型的逻辑问题如下:其一,公共信息安全说认为只有多数公民的信息安全遭受侵害时,才具有了刑法介入的相当程度。尽管本罪存在“达到一定信息数量”的情节要素之规定,但不存在“达到一定信息主体数量”之规定,因此,本罪的个人信息数量并不能当然解释为“多数公民的个人信息”,“少数主体的批量个人信息 ”仍旧受本罪保护。其二,信息专有权说强调社会主体间的交换过程,认为本罪所保护的系信息主体对个人信息的处分权限,其作为适格的集体法益可以间接保护公民个人的信息自决权。但依据个保法的现行规定,个人信息主体、个人信息处理者以及个人信息处理的相关限定词分别为“权利”或“权益”、“义务”、“规则”。故在此立法导向的基础上,个人信息所承载的首要利益应为私人利益,为在保护个人权益的同时也能够促进公共利益,才设定了行为规则,规范所谓的“信息交换”活动。因此,即使承认个人信息的处分权,其规范立场也在于个人,不在于集体,信息交换与信息处分无法推导出本罪系集体法益。其三,社会管理秩序说认为刑法立法初衷仅仅是出于社会管理秩序的考量,无关公民个人信息权益的保护。然而,刑法保护法益的本质内涵即为“人的生活利益”,即使是集体法益亦应建立在个人的实体性利益基础之上,与个人不相关联的利益不能称之为法益。综上,从论证内容与论证逻辑两个角度来看,集体法益并不能成为本罪的应然选择。

 

其次,在个人法益立场下,侵犯公民个人信息罪的保护法益系信息主体的人身与财产安全。持个人法益论的主流观点主要为个人信息权或信息自决权说,通过上文对既有观点的反思,笔者对其进行了驳斥,在此不再赘述。笔者认为,个人信息上所附带的人身财产安全才是本罪的规范保护目的。可以说,其他部门法是对现实生活秩序的确认,发挥法的引导功能以塑造理想的规则范式,而刑法是对前置法已经确立的现有法秩序的再确认,刑法秩序外延并未脱离前置法秩序范畴。任何利益都是由其他部门法予以先行保护,只有在法益遭受严重侵害,但其他部门法规范不足以维护国家整体法秩序时,为保障其他部门法之有效性,刑法的价值功能才得以展现。个人信息兼具私益属性与公益属性,分别对应个人信息保护所追求的安全价值与流通价值,而信息的合理流通利用在前置法上系合法行为,不该当于构成要件,故个人法益论下的个人信息刑法保护是以安全保障为价值目标的。个人信息之所以应受刑法保护,并非基于信息主体对信息的自主控制,因为个人信息本身不具备物的特性,仅是对排除信息主体对个人信息的绝对支配,虽可能会基于有违主体意愿而具有一般违法性,但没有必要动用刑罚手段进行规制。申言之,真正值得刑法保护的是个人信息所附带的人身与财产的安全状态,即与信息主体直接相关的人身利益与财产利益等客观实在,只有客观实在才可能被不法行为侵害,才可能具有社会损害性,才可能危及国家整体法秩序。例如,尽管在个人明确拒绝的情况下处理完全公开的个人信息,可以认为“违反国家有关规定”而具备形式违法性,但如果该处理行为并未使得信息主体的人身或财产之客观安全受损,就不值得科处刑罚,依托前置法规范便足以进行规制。

 

最后,构成侵犯公民个人信息罪的擅自处理已公开个人信息行为,应当使得人身财产安全遭受现实侵害。虽然在擅自处理已公开个人信息行为的一般违法性认定中,“对个人权益有重大影响”包含损害与危险,但对于刑事违法性判断而言,不能仅仅基于该行为具备重大的侵害风险而将其评价为侵犯公民个人信息罪。有学者认为,侵犯公民个人信息罪系具体危险犯,一定程度上属于信息领域中的人身与财产犯罪之预备行为正犯化。笔者对此予以肯定,在个人法益论的立场下,刑法无需提前介入至法益侵害危险阶段,应以该行为致使信息主体的人身或财产安全遭受现实侵害为必要条件,以此实现对犯罪圈的必要限缩。

 

(二)实质违法的消极抗辩:信息主体负有容忍义务

 

刑事抗辩事由有积极与消极之分。其中,积极抗辩事由阻却行为的违法性与有责性,而消极抗辩事由则对抗构成要件的符合性。在实质解释的立场下,构成要件包含了形式违法性与实质违法性的双重判断,就擅自处理已公开个人信息是否该当于犯罪构成要件而言,一方面可以通过“违反国家有关规定”而形式入罪,另一方面还可通过“符合国家有关规定”而实质出罪。如前所述,在形式入罪上,采超出信息处理者控制权限的客观标准,判断个人信息是否遭受侵害风险。但个人信息侵害风险的创设或抬高并不必然导致信息处理活动的不法性,还需考量信息主体是否负担容忍义务,即使超出客观范围处理已公开个人信息被认定为形式违法,仍可通过举证信息主体负有容忍义务而予以实质出罪。申言之,在信息主体负有容忍义务的情境下,擅自处理已公开个人信息行为乃“合理范围内”的信息处理活动,可以此作为犯罪的消极抗辩事由,为判断法益保护之必要性提供认定思路。

 

信息主体对信息处理行为容忍义务的高低,主要取决于个人信息的处理目的为公益目的还是私益目的。若是为社会安全、教育研究、新闻报道等公益目的,信息主体理应承担更高的容忍义务,即使个人信息的处理活动存在较高风险,其也无权反对。较之公益目的,为私益目的而擅自处理已公开个人信息的,信息主体容忍的程度存在差异,需要在具体案件中进行妥适把握。对于以合法的商业利用为目的而擅自处理已公开个人信息的,如拓展市场业务、挖掘潜在客户等,基于信息合理流通与利用的价值目标,笔者认为信息主体应当负担一定的容忍义务,实务中也有判例对此表示肯定。但这并不意味着该类行为必然的正当化,只是个保法已经针对不同情节的违规信息处理行为设定了对应的行政处罚措施,因此刑法也应为前置法规范留有一定空间,保障前置法规则不至于被架空。具体操作上,应当以该经营活动是否在合法范围内开展为依据。例如,行为人为开展网络借款信息中介服务,从公开的商业网站上获取个人信息后,在未依法履行对出借人与借款人的资格条件、融资项目的真实性等必要审核义务的情况下,将诸多来历不明的网贷平台推介给借款意向的个人。由于该经营活动本身就存在巨大的交易风险,故不能将其认定为合理范围内的信息处理活动,不可作为犯罪的消极抗辩事由。

 

另外,需要特别对以下两种情形作出具体说明:其一,对于所有为私益目的而处理已公开个人信息的行为,信息主体都可基于拒绝权而无需负担容忍义务。即便该行为人享有控制权限且该行为仅处于低风险场景,行为人也不可对已公开个人信息作出处理,但不能据此介入刑法规制。其原因在于个人的主观意愿与个人的人身财产安全并不必然挂钩,无法排除法益性阙如之场合,法益性阙如也可能阻却构成要件的符合性。其二,以实施犯罪为目的而获取或提供已公开个人信息的,信息主体也无需负担容忍义务,该行为应评价为侵犯公民个人信息罪。但在此情形下该行为入罪的根本理由并非基于个人的容忍义务缺位,而是不法行为对公民个人的人身财产安全造成了具体危险。以近年来频发的电信网络诈骗为例,获取公民个人信息是行为人进行精准诈骗的关键一环。行为人无论是通过木马病毒截取等非法渠道获取公民个人信息的,还是事先从商业网站等合法渠道自行下载公民个人信息的,由于主观恶性较大,且此时个人信息权益暴露于高度危险之境地,故即使处理对象为完全公开的个人信息,该行为仍具有不法属性。依据相关司法解释,该获取行为还可能与诈骗行为进行数罪并罚。

 

一言以蔽之,判断擅自处理已公开个人信息行为的实质违法性之根本,仍是信息主体的人身与财产安全是否遭受具体危险,信息主体负有容忍义务虽然可以作为实质出罪的消极抗辩事由,但信息主体不负有容忍义务不可作为实质入罪的直接依据。

 

(三)实质违法的定量描述:个人信息数量达致规范的法益侵害程度

 

实质违法的定量描述主要体现为《侵犯个人信息案件解释》第5条中的可量化情节要素。一类是个人信息的数量,如第5条第1款第2项规定行踪轨迹信息的入罪门槛为“50条”;另一类是所获经济利益的数额,如第5条第1款第7项规定的“违法所得5千元”即达致情节严重标准。但所获利益的数额并不能表征法益侵害程度。原因在于,本罪的保护法益为信息主体的人身财产安全,而行为人所获利益的数额大小与信息主体的人身财产安全并不存在必然联系。实践中不乏侵犯个人信息的体量庞大但违法所得数额较少的情形,单独使用该情节定罪,极易造成刑法处罚范围的过宽或过窄。因此,个人信息数量才是定量判断擅自处理已公开个人信息行为的法益侵害程度之依据所在。现有规范按照个人信息敏感级别的不同设置了不同的入罪标准。个人信息的敏感级别越高,则与个人的人身、财产安全之关联性越强,此时起刑点所设置的个人信息数量就越少;反之,对于敏感级别较低的个人信息,信息主体所受法益侵害风险较小,只有侵害个人信息数量足够多时,才应受刑罚处罚,故起刑点所设置的个人信息数量较高。

 

然而,基于我国个人信息保护的立法实践采取了刑法先行的探索进路,在前置法规范逐步完善的背景下,《侵犯个人信息案件解释》中信息分级与信息数量的情节要素规定稍显不足。如“生物识别信息”在个保法中予以强保护,被列为敏感个人信息;但在《侵犯个人信息案件解释》中,由于保护力度最强的第一级别信息类型采取完全列举方式,要素范围区间固定,该信息无法纳入其中,而第二级别中的“健康生理信息”也不能与“生物识别信息”完全等同。对此,有两种方案可加以完善。一是在现有结构设置的基础上进行调适,如将“合法经营”的情形增设为第四层级并设置为“50000条以上”的数量标准,同时将“生物识别信息”增加至第一层级,并延展第二层级的认定标准;二是重构现有的结构设置,直接采用个保法的信息分类模式,将侵犯敏感个人信息与一般个人信息的入罪门槛分别设置为“50条”与“5000”条。

 

无论采取何种完善方案,在现行规范尚存缺欠且还未进行修订的情形下,对于擅自处理已公开个人信息的刑事违法认定,除了不同类别信息的比例折算、批量个人信息的真伪筛选等量化工作外,司法机关更应当坚持对个罪构成要件的实质解释,立足于法益保护,充分发挥其价值评判功能,从规范目的角度,合理认定擅自处理已公开个人信息行为的实质违法性。

 

结  语

 

擅自处理已公开个人信息的行为规制横跨多个法域,需要法律部门之间充分发挥联动效应。对于擅自处理已公开个人信息行为的刑事违法性判断,应以整体法秩序统一为视野进行全局考察,在秉持刑法谦抑品格的基础上,尽量避免不同法域之间的矛盾冲突,理性审视前置法规范在违法性判断上所发挥的价值功能,相对独立地构建刑事违法性判断标准。构成要件与违法性并非形式违法与实质违法的对应关系,该当于构成要件的不法行为必须具备实质的法益侵害性,故构成要件本就兼具形式与实质的双重品格。加之法益性阙如以及法益衡量的违法阻却事由系前置法的合法化行为,故擅自处理已公开个人信息行为没有必要在违法性阶层进行实质出罪,仅在构成要件符合性阶层即可实现形式违法与实质违法的整体评价。在形式违法层面,需着重关注侵害对象与侵害行为的不法判断。其一,已公开的个人信息应可识别特定自然人或与特定自然人相关联;其二,个人信息的公开应存在合法依据,违法公开的个人信息与合法公开的个人信息之刑事违法判断路径并不相同;其三,个保法中的“对个人权益产生重大影响”系判断行为不法的重要量尺;其四,刑法上的“对个人权益产生重大影响”侵害行为可解释为信息处理者超出客观的控制权限处理已公开个人信息。在实质违法层面,需综合考量侵害法益的定性与法益侵害程度的定量。首先,侵犯公民个人信息罪的保护法益系信息主体的人身财产安全,在个人法益的立场下本罪系具体危险犯;其次,可将信息主体负有容忍义务作为犯罪的消极抗辩事由,通过主观标准的实质出罪,以弥合客观标准形式入罪的过于严苛,合理限缩刑法的规制边界;最后,犯罪所获利益的数额与个人人身财产安全并不直接挂钩,应以侵害个人信息的数量作为法益侵害程度的重要表征。形式违法性与实质违法性的结合更有助于阐释违法性之本质,只有同时符合形式违法性与实质违法性的擅自处理已公开个人信息行为,才能被评价为侵犯公民个人信息罪。

 

 

来源:《研究生法学》2023年第2期,第53-66页

作者:赵真,山西财经大学法学院法律(非法学)专业2021级硕士研究生