作者:赵桐 ,山东威海人,中国政法大学刑事司法学院助理研究员、博士后,法学博士,研究方向:刑法学。
来源:《东南大学学报(哲学社会科学版)》2024年第4期。
本公众号发布的所有内容均为学习交流,不具有盈利目的。如有版权者不同意发布、转载、摘编等,敬请后台告知编辑,本公众号将及时撤文删除,为您带来不便抱歉。
内容摘要:个人信息兼具人身与社会双重权利属性,但信息安全法益的根本来源是个人信息自由,应受限于信息自决权法益。 刑法对个人信息的保护应从信息自决权出发,以“ 私密-授权” 为双重考核标准,构建以信息自决权为基础,兼具信息安全的“ 三级信息圈层保护” 治理模式。 其中,根据私密程度由高到低,从形式上区分个人信息的靶心圈、基本圈、辐射圈,而根据权利人的授权,从实质上调整各圈层的具体范围。 对于“ 靶心圈” 公民隐私领域或拒绝公开的核心信息,实行严格的信息自决权保护。 对于“ 基本圈” 公民有限授权的一般信息,结合比例原则与客观合目的性原则判断合理使用的范围。 对于“ 辐射圈” 完全公开的公共信息,转向被害人教义学下的信息流通风险的防范与维护。
关键词:个人信息;信息犯罪;信息自决人权;数据安全
《 刑法修正案( 七) 》 增设侵犯公民个人信息罪以来,对公民个人信息的保护逐渐加强,此后《 民法典》 明确将个人信息作为人格权编的保护对象,也为个人信息保护提供了私法上的定性与根据。但是,在侵犯公民个人信息罪适用的过程中存在诸多问题,主要集中在对象、行为、情节三个构成要件的认定上,与实践认定难相对应,理论中对信息犯罪所保护的法益和具体构造也存在较大争议。
例如,在实践中,涉案信息往往既包括公民的姓名、联系方式、住址等核心隐私信息,又包含了车主的车牌号、车型等一般信息,如何确定“ 个人信息” 的边界成为多数案件的争议重点。而行为的认定上,利用合法渠道购买他人信息是否构成非法获取,处置他人已公开信息是否具有法益侵害性,这类问题理论与实践中仍未达成共识,意味着本罪的行为构成边界也有待确认。而由于行为对象与行为方式都具有认定的模糊性,个人信息刑法保护的情节要件也缺乏具体的判断标准。
针对上述侵犯公民个人信息罪构成要件解释边界模糊的问题,学界作出了多种尝试。最初有学者从社会公共利益与国家安全角度提出信息主权维护观点,主张通过保护公共信息安全来保护信息。但近年来,越来越多学者意识到了个人数据对于私主体自由维护的意义,转而以个人法益保护的角度提出个人信息刑法保护方案。其中,领域理论提出了强有力的分类认定个人信息的标准:按照私密性高低区分为最核心层的隐私领域数据、中间层的私人领域数据、最外层的社会领域数据。 但是,形式上的私密程度区分无法涵盖现实中大量的数据种类,同一类数据对不同主体而言,所涉及的隐私性并不相同,领域理论提出的以隐私范围界定为导向的个人信息保护方案,难以应对场景复杂化的趋势。 场景化理论转而对个人信息进行更为综合的分类,按照信息主体、信息处理者、第三方主体、信息性质、处理目的等要素,区分个人信息被处理的不同场景,按照不同的处理场景施加不同的保护力度。 场景化理论是一种行为模式下的个人信息保护,近来进一步演化出风险场景化理论,为个人信息分层分级保护提供了有益启发。 不过,这种实质化的“ 处理场景” 判断,也有必要进一步限定相关标准。
web3.0时代,网络犯罪主要指向以大数据为特征的智能化网络科技犯罪。总体而言,理论与实践中之所以存在以上争议,本质上也是因为数字经济时代的大数据流通带来的信息权利概念异变,个人信息的受保护根据不再是传统研究思路下的单一制私权,也就产生了分类分级这一必然讨论思路。因而,有必要调和个人信息形式与实质的分类方案,围绕侵犯公民个人信息罪的处罚根据,确定个人信息保护的判断标准。首先,确认侵犯公民个人信息罪所保护的复合法益类型,由此划定本罪所保护的信息对象。其次,根据个人信息上体现出人格权的需保护性程度不同,区分讨论指向信息对象的行为手段的认定标准。 最后,构建圈层性个人信息保护体系,以法益分层为主线,以“ 私密-授权” 作为二元判断标准,解决对象、行为、情节构成要件的具体判断问题。
侵犯公民个人信息罪的保护法益决定了个人信息被保护的范围与界限。目前对于个人信息的法益属性讨论主要集中在个人法益与超个人法益两大对立阵营中,但是,个人信息兼具人身属性与社会属性,无法被直接划入个人法益或超个人法益阵营。同时,个人法益与超个人法益本就不是非此即彼的关系,超个人法益的正当性根据来源于个人法益,个人法益也限制了超个人法益。所以个人信息上的刑法法益是一种以自决权为基础、兼具信息安全秩序的复合法益,需要首先保障个人信息按照公民的授权流转,然后以信息的系统性安全为信息秩序的整体调控补充。
(一)信息自决权是法益保护的基础
个人信息上所体现的法益是双重法益,其中信息自决权是信息在私域中被保护的正当性来源,而信息秩序安全则填补了信息在公域中流通的保护空缺。 正如个人法益是超个人法益的正当性根据并对其具有限制作用一样,信息自决权也是信息犯罪的法益保护的首要目标,应当围绕公民信息的私密程度与授权范围,提出信息分级保护的标准。
公民对信息的授权是信息在后续流通过程中被利用的权利根本来源,信息自决权的明确存在,是信息得到合理利用、确保各方利益得到合理分配的绝对前提。从个人信息的产生原理来看,个人信息表征着公民个人属性的外化,即公民个人的延伸。也就是说,对个人信息的保护本身就是对公民个人的保护,公民有权对自己的信息进行处置,这应当是宪法所保护的基本权利。而信息在公开场合的利用规则,也必须还原到公民个人对信息的处置方式上,即信息必须按照公民所授权的方式流通。所以,信息自决权是侵犯公民个人信息罪所保护的基础法益,公民对个人信息的授权范围,决定了何种程度的非法利用个人信息应当被规制,同时提供了社会信息治理的正当性根据,为个人信息在社会中流通秩序的维护提供了前置性基础。
与之相对,信息自决权也划定了个人信息的受保护范围。一方面,对于那些已经被授权使用的个人信息,倘若使用者按照授权范围合理使用,信息的产生和所有者就不能再主张使用者侵犯了其信息自决权;另一方面,在确定信息流通的秩序规则时,也需要以公民对信息的授权为制定基础,围绕保护信息自决权来维护流通秩序。
(二)信息安全填补公域中的保护法益
信息的人身属性和公共属性之间的关系,与个人法益和超个人法益之间的对立统一关系相似。对信息自决权的绝对性保护会限制信息在公共领域的流通,进而限制信息本身的价值发挥,因而有必要调控信息自决权和信息秩序的规范价值取舍,而信息秩序的维护本质上是信息安全法益的保护,即信息在社会领域转移与公开的规则,以及对信息泄露风险的系统性防范。
对比自决权的保护而言,对信息安全法益的保护是填补性的。首先,对信息自决权的保护本身就意味着对信息安全的保护,公民对自己信息被使用或传播的授权行为就是公民决定信息安全流通方式的体现;其次,在信息已经被公开后,即使信息处于公共领域也仍然涉及信息主体的问题,如信息的合法使用者、互联网平台、政府部门等,此时已经无需考虑公民自决权,而应当从维护集体信息法益的角度确立流通规则;最后,在公共利益与个人自决权相冲突的情况下,例如政府机关收集公民个人信息时,则应当以公民的自决权为优先考虑对象,同时使用比例原则调控具体的判断标准,除非涉及重大社会利益,否则公民有权拒绝提供个人信息。
(三) “ 私密-授权” 型法益圈层保护标准
信息犯罪主要侵犯的是信息主体的人格权,而不同类别的个人信息所反映出的信息主体隐私不同,法益侵害程度不同也就导致了行为可罚性不同,这势必导向个人信息的分级与行为的分类治理。司法解释与实践认定中,主要以私密程度这一形式判断方案来解决信息保护力度问题,但也因为隐私范围的难以界定而引发争议。 场景化理论以“ 个人信息被处理的不同场景” 为实质区分标准,但是这种完全个性化的实质判断也存在客观化的必要。 依循从形式到实质的判断方式,个人信息的受保护程度一方面由以身份可识别性为客观体现的私密程度所决定,另一方面也由权利人的自决权使用程度所决定。其中,私密程度由高到低的判断是划定个人信息圈层的标准,而权利人授权使用程度则是在圈层架构中,进一步划分个人信息需保护性的实质判断依据。
信息的私密程度影响到信息的人身属性,进而影响到刑法对该个人信息的应保护性程度,因而应当成为信息分级保护的首要标准。这一观点主要来源于领域理论(Sphärentheorie) ,领域理论将个人信息按照私密性高低区分为最核心层的隐私领域数据、中间层的私人领域数据、最外层的社会领域数据。其中,隐私领域是人格尊严最核心的部分,受到绝对的保护,而私人领域和社会领域中,需要平衡考察特定人格权受保护范围、侵害程度、侵害正当性衡量。我国侵犯公民个人信息罪的司法解释中实际上也提出了以信息的私密程度为核心的分级标准:在“ 情节严重” 的认定标准中,非法获取、出售或者提供行踪轨迹信息、通信信息、征信信息、财产信息五十条以上即可构成;而非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,需五百条以上才能构成;非法获取、出售或者提供以上个人信息之外的信息,则需五千条以上才能构成。这种划分方式的原理是随着个人信息的私密性不同,其体现出的公民个人属性也不同,泄露后对人身、财产安全的危险也不同,因而个人信息的受保护程度应当不同。
而在信息的私密程度之外,还有必要添加对公民的授权范围的判断,进而考察刑法对该个人信息的需保护性。刑法的最后手段性要求刑法司法必须对法律条文进行实质解释,将不具备处罚必要性的行为排除在犯罪之外,以保障刑法司法的公正性。因而,即使个人信息直接体现了权利人的核心隐私,倘若权利人自己决定将其公开或授权他人使用,那么该个人信息的需保护性也会大大降低。例如,隐私领域的信息数据在被公民授权进入社会领域后,对其保护的程度也需要进行相应调整,这种保护程度则取决于公民的授权是完全公开、有条件使用还是针对特定主体的授权等。公民的授权直接影响了该个人信息的需保护性,倘若公民同意公开数据并未对他人的使用设置条件和阻碍,那么该个人信息的需保护性也会相应降低,刑法作为保障法无需过多介入。
因此,个人信息的保护目的是以信息自决权为核心的整体信息安全,体现为首要保障个人信息按照公民的授权流转,其次以信息的系统性安全为信息秩序的整体调控补充。由于个人信息具有多重法益,无法采用单一制私权保护体系,必须通过身份可识别性的客观标准和权利人决定的主观标准,结合信息权利人的授权范围与具体授权内容,对个人信息进行分级考察,进而推导出实践中具体的刑法保护规则。 在规范层面,这种保护规则的确定还涉及个人信息的需保护性和应保护性的实质判断,以及如何平衡信息自由与安全、个人法益与超个人法益的方案设定。
由于个人信息的私密性和公民授权程度直接影响到个人信息的需保护性和应保护性,本文主张以二者作为判断标准,将信息分为三级圈层:“ 靶心圈” 核心信息、“ 基本圈” 一般信息、“ 辐射圈” 公开信息。随着公民对个人信息的授权与公开程度增强,个人信息的人身属性逐渐降低,而社会属性逐渐增强,对个人信息的刑法保护实际上就是在自由与安全二者价值之间作平衡考量,这也可以进一步推导出指向三级圈层信息的非法行为的不同认定标准。
核心信息大致包括自然人的行踪信息、健康信息、性取向信息、私密部位信息等。因其与自然人的行踪、健康状况、性取向、私密部位等隐私事实联系紧密,故而处于个人的私密领域,应受更高程度的保护。实践中,这类个人信息具有较高的身份可识别性,通常情况下也会被权利人采用保护措施所隐匿,只有在权利人特殊授权的情况下才有可能成为一般信息或公开信息。对此,具体的判断标准在于,该信息是否从未被公开、是否未被授权给行为人,权利人是否设置了特别的保护。
(一) 核心信息的私密性与授权性
1. 形式认定标准:未经公开
核心个人信息必须是未经公开的,例如行踪轨迹信息或通信内容,具有极强的人身属性,在普遍情况下,自权利人产生信息后就没有其他人知晓。在多数情况下,个人生活中最核心的隐私领域都属于未公开的个人信息,这一核心隐私领域具有高度的自治性,而社会性极低,代表了人的尊严,是个人完全不受任何社会关系影响的领域。因而,一方面,权利人有绝对的信息处置自由权,另一方面,刑法对这类个人信息的保护强度应当最高。
但是,倘若权利人自行将其隐私信息公开,例如权利人通过直播等方式将自己的行踪轨迹公布到互联网上,或者某些情况下权利人的隐私信息产生于公开的渠道,例如权利人在公开场合不经加密地通信,此时相当于权利人自行放弃了对该信息的绝对保护,个人信息就由核心的隐私领域转移到公开流通的公共领域。也就是说,即使是同一条信息,也可能因为权利人的处置方式不同而具有不同的需保护性与应保护性,核心个人信息除了内容体现个人生活中最核心的隐私领域,也必须尚未进入公共领域流通。
此外,与“ 未公开” 要求一样,为了确保个人信息具有需保护性和应保护性,还需要行为人未被授权处理数据。通常情况下,行踪轨迹或通信、财产等核心信息直接产生于公民处,只有公民授权后他人才能使用或进一步转移。而当公民授权他人处理后,该信息的隐私性就随之降低了。 倘若信息原本就是公民授权由行为人收集并储存的,那么行为人就享有对该信息的处置权和转移权限。此时公民也相当于转移了部分对个人信息的处置权,不再享有绝对的自由权,个人信息从最核心的隐私领域转移到相对隐私的个人领域。
当然,个人信息本身属性所推导出的分级范围是对行为对象的分析,而在具体认定行为人是否构成侵犯信息行为时,则还需要结合具体的授权判断。例如,倘若行为人只被授权在特定时刻或特殊范围内使用个人信息,那么虽然个人信息在被授权后已经不属于核心性隐私信息,但是行为人越权使用或超出使用权限使用时仍然构成对信息的侵犯。对个人信息进行分级讨论的目的是确认数据保护和流通的平衡点,并不意味着对行为的评价。
2. 实质认定标准:存在特别保护
除了未被公开或未被授权他人处理的隐私信息之外,权利人设置了特别保护的信息也属于核心个人信息的范畴。数据被特别保护意味着,除权利人之外的其他人无法轻易地访问、获取、转移该数据。特别保护并不要求高强度的技术操作,如设置密码、防火墙,或者将数据秘密储存在不易被获得的磁盘中等,都可以被看作存在特别保护。
存在特别保护实际上象征着权利人对个人信息已经实施了私力保护,刑法作为保障法,只有在权利人无法私力救济的情况下才有干预的必要。如果个人信息的权利人具有较高的自我保护可能性,而怠于行使自我保护,进而导致法益侵害的结果,那么刑法也就不应介入对其法益予以直接保护。因此,对于最核心的、需保护等级最高的个人信息,权利人应当具备一定的特殊保护,以保证个人信息被储存在私密领域,具有最高程度的处置自由。
可以看出,权利人具有最高等级权利的核心个人信息,首先产生于最为隐私的个人领域,同时尚未被权利人公开或授权他人处置,且权利人实施了一定程度的特殊保护。实际上,按照这样的实质判断标准,该类数据的需保护性最高,同时权利人的自我保护可能性最低,因而从等级上看也就最需要刑法进行偏斜保护。
(二) 同意决定论下的自决权保护范畴
核心信息中涉及公民最核心的隐私领域,公民或以不公开的方式显示该信息的私密性,或以设置保护措施以防止他人不当获取或使用的方式,行使个人信息权。因而,应当对这一类个人信息设立严格的信息权保护,对他人未经授权或突破保护措施非法获取个人信息的行为,按照刑法第二百五十三条之一规定的“ 窃取或者以其他方法非法获取公民个人信息” 处以刑罚。
对于涉及公民隐私的个人信息而言,其社会价值和社会属性相对最低,而保密价值和人身属性相对最高,既然这类信息的产生与使用不具有外部性,那么基于对公民人格自由发展权和隐私权的保护,公民信息权在隐私领域应当属于绝对权,他人无权窥探或使用这类信息,刑法通过保护公民这一绝对性权利,进而保护公民在私人领域不受打扰。这一绝对权具有对世效力,政府、企业或个人有义务在获取或处理该类信息时请求公民的授权与同意。
此外,在公民没有明确表达,而需要推定公民是否“同意授权” 核心信息的场合,应当坚持隐私领域的“同意决定论” 。实践中通常认为,公民同意将个人信息公开在政务系统等网络平台中的行为,不意味着同意第三方行为人使用或处理,进而认定第三方行为人的信息获取或收集行为构成犯罪。如徐国成等侵犯公民个人信息案中,被告通过国家企业信息公示系统收集企业法人的手机号等个人信息,未经同意公布在自己的网站上供人查询,这一行为就被法院认定为构成侵犯公民个人信息罪。对此有学者指出,这种做法过度犯罪化,公民已经同意公开的信息无需“二次授权” ,也不符合《民法典》和司法解释对“同意” 的体系性解释。实际上,在公民明确同意将信息公开之后,无论该信息是否涉及公民隐私内容,都已经由隐私领域转至公共领域,不再需要被绝对性地保护。值得讨论的是,在公民没有明确表示同意或拒绝的情况下,能否推定同意或拒绝,以及在什么情况下推定同意、什么情况下推定拒绝,这是讨论隐私领域的“同意决定论” 的关键问题。
本文认为,出于对隐私领域公民信息权的周延保护的规范目的,隐私信息只有在公民明示同意授权或公开的前提下,才能由隐私领域转入一般领域或公共领域,从而被进一步获取或使用。这种“原则禁止+例外允许”的模式也是域外敏感个人信息处理规则的通行模式。同时,具体个人信息客观上是否具有私密性,有利于辅助司法实践中推定判断公民是否同意授权,通常情况下,客观上具有私密性的个人信息,在公民并未表示同意或拒绝时,只能依照客观情况推定公民“不同意授权” ,而不能推定同意。而对于客观上不具有私密性的个人信息,在公民采用防护措施予以保护时,应当推定公民的防护行为本身就表示其“不同意授权” ,进而对该信息也应当进行绝对化保护。
因此,倘若具体的个人信息涉及个人隐私,那么信息的每一次处理都必须经过公民的授权或同意,在公民没有意思表示时,不能推定其同意;倘若具体的个人信息客观上不涉及个人隐私,但是公民采用了一定的措施予以保护,那么也应当推定该个人信息属于公民的隐私领域,信息的每一次使用和处理都必须得到公民的明示同意或授权,否则行为人突破防护措施而获取信息的行为就属于“非法获取信息” 。
(三) 人身属性为核心的法益侵害性判断
由于对核心信息实行严格保护,在判断行为人非法获取核心信息的法益侵害性时,也应当采取形式的判断标准,即认为非法获取的行为方式就已充足构成要件,不要求存在实际损害。信息自决权虽然与隐私权同为人格权发展而来的分支权利,但隐私权是一种消极的、防御性的权利,在权利遭受侵害之前,个人无法积极主动地行使该权利,而信息自决权是一种主动性权利,不要求存在实际损害。
首先,对于隐私性核心信息而言,无论行为人采取怎样的手段,未经授权而获取信息的行为都应当属于非法获取信息。如上所述,公民对于隐私性核心数据的信息权是绝对权,信息的每一次处理都必须经过公民授权或同意,在公民没有表示同意或拒绝时,只能推定为拒绝,因而行为人无论采取的手段是侵入计算机系统等破坏性行为,抑或秘密窃取信息等平和性行为,都属于非法获取信息。而行为人对于隐私性核心数据的进一步处理或利用,也构成向他人出售或提供公民个人信息的行为,即使该行为没有造成损失,也有必要予以刑事处罚。
其次,对于非隐私性信息但公民设置了相关防护措施的信息而言,行为人突破防护措施的行为构成非法获取。对于非隐私性数据而言,其成为核心数据的前提是公民设置了相关保护措施,出于对公民的信息自决权的保护,在公民设置保护措施表达了非公开或拒绝授权的意愿之后,应当对其赋予绝对受保护的权利。所以,在行为人突破该保护措施时,行为违背了公民的非公开或拒绝授权意愿,进而具有了法益侵害性。
最后,针对《刑法》 第二百五十三条之一所要求的“情节严重”,正如有学者所主张的,“情节严重”既可以包括发生实际损失,也可以包括非法获取信息数量巨大的情况。对此,两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条列举了“ 情节严重” 的具体情形,其中第三款至第六款就是对非法获取个人信息数量的规定,按照个人信息的私密程度或与人身财产安全的关联性程度不同,分别采用了不同的数量标准。结合实践中的认定情况而言,大部分核心信息都应当属于第三款所规定的范围之内,即非法获取、出售、提供五十条以上就构成“情节严重”,并不涉及具体损失,而司法解释第七款所规定的“违法所得五千元以上”,也是从行为人违法所得的角度,而非被害人损失数额的角度予以认定。这样的认定方式一方面体现了个人信息权的主动性,另一方面也符合信息被非法获取后难以认定损失的实践现状。
综上所述,对于核心信息的绝对保护源于其社会属性最低而人身属性最高,基于这种绝对保护,个人信息的处理必须经过公民的明示同意,而非法获取此类信息的法益侵害性也应采取形式的判断标准,不要求存在实际损害。可以说,在个人信息安全与信息流通价值之间,对于核心个人信息而言,体现出的大部分是个人信息安全,也有必要采取更为周延广泛的保护模式。
一般信息主要是指被公民授权给政府或者他人使用、处理的个人信息,这类信息既具有较高的身份可识别性,又属于有限授权的非公开信息。随着我国《民法典》和《个人信息保护法》的施行,无限制地收集、使用交易个人信息的“数据掠夺” 时期已经结束。无论是政府还是个人,在使用与处理这类数据时都必须符合“合理使用” 的范围,因而对一般信息的法益侵害性主要依靠对行为人是否“合理使用” 的判断。而在一般信息类犯罪中,大多涉及信息公共流通价值与公民私人信息权的衡量,可依靠比例原则与客观合目的性原则,推出具体的判断标准。
(一) 一般信息的中间性与有限性
有限授权的一般个人信息的权利人通常情况下都是在一定范围内授权他人使用,或者限定在某段时间内或某种特殊用途。这类信息一般产生于具有交互性的平台,如住宿信息产生于用户和酒店平台之间、交易信息产生于消费者与销售平台之间等,因而大多涉及用户和网络运营商之间的授权约定。对此,《网络安全法》第四十一条至第四十三条规定,网络运营者必须在其提供的服务范围内收集用户信息,同时未经允许不能向他人提供,用户发现网络运营者在约定范围之外收集或使用信息的,也有权利要求其删除或修正。
由于已经被授权他人处理,有限授权的一般个人信息已经体现了公民信息自决,因而有必要被保护的已经不再是公民完全的处置自由,而是公民对信息的处理方案。正因如此,有限授权的一般个人信息的保护性也主要依靠授权范围来判断,倘若某一项信息已经被完全授权,在任意情况下都可以被使用或转移,那么数据主体对该个人信息所享有的权利也相应最低,被授权人的进一步数据处置行为不受限制或处罚。而倘若某一项信息只被授权用于特殊用途,或被要求不能进一步转移或加工,那么大部分信息处置权限仍被掌握在数据主体手中,被授权人突破授权范围所进行的操作行为都构成侵犯公民信息。
此外,与受保护的核心个人信息相似,有限授权的个人信息也具有非公开性。 在对“未公开” 的判断问题上,本文认为,即使个人信息被授权他人使用,也不能认为该信息已经被公开,有指向性的授权仍属于“未公开” 的范畴。 “公开” 是指将信息直接发布到互联网公共领域,以至于其他任意主体都可以自由使用该信息。公开的意义在于,权利人向外界彰示其对信息的绝对处置权的用尽,进而免除了他人对该信息不得任意获取的义务。 并不是所有的个人信息都应当得到同等程度的保护,也并不是所有的同类信息保护程度就一定相同,这取决于权利人的保密意志,以及该意志是否为外界所识别。而信息的公开就体现了权利人对保密的放弃,此时刑法对信息的保护也相应最低。
但是,有限授权的信息仍然在有限区域内流通,或者大多数情况下只在权利人和被授权人之间流通,权利人仍然保留对该信息的处置权,如被授权人之外的第三人有不得侵犯该信息的义务,被授权人有在授权范围内使用该信息的义务,权利人有取消授权或授权他人的处置权利。因此,对于有限授权的个人信息而言,重要的是保护“未公开” 的部分,也即权利人所保留的处置权部分。
总之,对于有限授权的一般个人信息而言,信息产生时就具有身份可识别性,能够指向具体的公民个人,同时公民对他人的信息授权是有条件和范围的,被授权人只能在该授权许可的范围内获取或使用个人信息,此外这类信息同样是非公开的,刑法对非公开部分的信息的保护所体现的就是对公民人格权的尊重与保护。
(二) “合理使用” 的模式选择
政府与互联网平台或公司对有限授权的一般信息的使用应当遵循公民的信息处理目的,其中,倘若使用行为明显违背了公民公开信息的目的和用途,则这种行为直接侵犯了公民的信息自决权,构成侵犯公民个人信息罪。而对于公民概括授权的部分,如何判断使用行为在合理范围内,则需要结合比例原则与客观合目的性原则。
比例原则是公法中的“ 帝王原则” ,在数字产业化、价值化的背景下,社会权力成为新的人权威胁力量,许多大型技术公司和商业平台行使着“ 准立法权” “ 准行政权” “ 准司法权” 。因而在互联网平台企业与私主体之间使用比例原则对设定信息使用边界、保护个人信息权益、平衡公私利益等具有必要性与可行性。对此,欧盟在《 通用数据保护条例》(GDPR)中也提出了数据使用的“ 最小必要原则” ,以此规范数据处理活动,要求数据使用者必须采取有效且侵害最小的数据使用措施,同时衡量使用措施目标的重要性和现实性,考察收益与成本是否成比例。最典型的例子是疫情期间对公民核酸检测信息的使用,这一使用行为对社会公共利益的维护高于对公民隐私权的维护,且具有必要性,可以认为是“ 合理使用” 。
客观合目的性原则是以侵犯公民个人信息罪保护法益为核心的实质标准。一方面,法益处分自由本身也应当包含在法益概念之中,因而违背公民目的的信息使用行为可以构成侵犯公民个人信息罪;另一方面,由于公民对信息的使用目的具有较高的抽象性与主观性,客观合目的性原则也提出了实质判断标准,即倘若信息的收集和使用者明确告知公民其收集和使用信息的目的、方式、范围等情况,同时在信息处理过程中遵循这一目的或用途,保障了公民的知情权与选择权,那么其在信息使用中的行为就无法构成侵犯公民个人信息罪。此外,倘若公民没有明确表示拒绝信息收集与使用,而收集与使用行为又符合社会一般用途,那么也不应认为构成侵犯公民个人信息罪。
从概念与权利本质上来说,公开信息是全社会共享的公共资源,社会公众有权获取已公开的个人信息。但是,数据的开放与流通也会带来篡改与滥用等不法侵害的风险。《国民经济和社会发展第十四个五年规划和2035年远景目标纲要》 指出,建立健全国家公共数据资源体系,确保公共数据安全。对于公开信息的管理与保护应当以风险调控为导向,维护数据在公共空间的安全管理秩序。且即使信息已被公开,其后续使用也需遵循公民的公开目的。
(一) 公开信息流通中的公民自决权贯彻
当个人信息的权利人选择将信息完全公开流通时,就意味着允许他人自由获取该信息。如上所述,公民信息自决权本质上是由隐私权发展而来的,因而其受保护原理在于,公民在公共领域和私人领域之间划定了界限,他人无权在未经同意的情况下侵入该私人领域。正因如此,公民必须以外界可感知的方式将这种“ 免遭打扰” 的态度公之于众,以使得他人能够识别出这种气氛。所以,信息被公开的行为已经彰显了,公民概括性授权公众获取其信息。正因如此,公开信息具有公共属性,在以私密程度为形式判断标准的圈层保护中,公开信息由于私密程度最低而仅处于最外围的辐射圈。
不过,公开信息的本质仍然是个人信息,公开信息的个人属性主要体现在信息被公开并不意味着可被任意使用或再次授权、再加工。根据两高《关于办理公民个人信息刑事案件适用法律若干问题的解释》,未经被收集者同意,将以合法方式获取的他人信息提供给他人的行为也构成犯罪。 但是关于何时认定行为为非法使用行为,实践中仍存在争议。例如同样是收集并出售公开的企业信息,江苏省扬州市中院认为该行为构成侵犯公民个人信息罪,而江苏省泰州医药高新区检察院则监督公安机关作出了撤案处理。学界对已公开信息的再次使用行为是否应当入罪以及其入罪根据和界限也存在争议。入罪说认为,个人信息的受保护依据是身份可识别性,因而即使被公开仍然具有受保护性,后续使用行为需要公民“二次授权” 或“合目的性考察” “客观开放程度标准” ;出罪说则认为,既然信息已经被公开,那么行为人在网上获取该信息的行为就不具有法益侵害性,而倘若获取行为作为上游行为都不具有法益侵害性,那么作为下游行为的再次使用、转卖等行为也不应当被作为犯罪处理。
如前所述,个人信息受保护的根据在于公民自决权,因而行为是否具有法益侵害性的判断标准也应当结合公民对信息的处理目的来确定。应当承认的是,公民在决定公开信息时已经向公众概括性地授予了使用权限,但公民自决权是一项多维的集合性权利,不仅包含了信息公开,还包括拒绝他人对信息处理的拒绝权、知悉他人对信息处理情况的知情权、修改与增删信息记录的修改权、删除信息记录的删除权与封锁权等。所以即使公民决定将信息公开,也不意味着信息自决权已经用尽,当行为人使用信息的行为违背了公民的处理目的时,仍应当认为行为人侵犯了公民的信息自决权,进而处理信息的行为具有法益侵害性。
信息自决权这一受保护法益决定了已公开信息受保护范围的确定应当以信息处理目的作标准,但是这一标准存在过于主观的问题,需要进一步客观化。根据《民法典》第一千零三十六条的规定,在权利人同意的范围内合理实施的,或对权利人自行公开或已经公开的信息的处理行为不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。 因而在判断刑事责任时,也应当以权利人“明确拒绝” 或者“具有重大利益损失” 为客观判断标准。应当认为,信息公开行为本身就意味着概括性授权,通常的使用行为都处于可期待的合理使用范围,符合公民处理信息的目的,只有该公民明确提出拒绝,或由于存在重大利益损失而能够推断该公民拒绝此种处理时,该处理行为才违背了公民的信息自决权,从而具有法益侵害性。
(二) 公开信息流通中的秩序法益保护
1. 确立被害人教义学在信息犯罪中的应用
被害人的保护可能性与需保护性的判断是被害人教义学中提出的对法益侵害性判断的两项标准。 如果被害人具有较强的自我保护可能性,而怠于进行自我保护,那么刑法就不应介入对法益的直接保护。在判断被害人无力实现自我保护的基础上,再判断被害人是否具有需保护性,即该个体的法益具有刑法上值得被保护的地位。被害人教义学是刑法构成要件规定范围内的一种解释原则,或者说是刑法目的论解释(teleologische Auslegung) 的一种解释方法,补充分则中刑法构成要件的解释。在信息犯罪中,尤其是在公民自我决定公开或授权信息被他人使用的场合,公民的被保护可能性与需保护性也应当成为补充构成要件解释的法益侵害侵害性判断标准。
信息社会中,公民个人信息随时存在泄露的风险,尤其是大数据技术发展后,个人外部联系与信息安全呈现逆相关,可以说,个人与社会的联系越强,个人信息的泄露风险越高,信息的安全程度越弱。因此,公民只要置身于信息社会,个人信息的保护可能性就都处于较低境地。尤其在公共领域,已经公开的信息可以被任何人自由获得,公民对该信息的自我保护可能性尤为微弱。但是,从需保护性的角度而言,公民自我决定公开其信息,并令其信息进入公共领域中自由流通时,已经彰示了对信息保密性的放弃。同时,如上所述,公民概括性授权了他人处理其信息,除非明确拒绝或存在重大利益损失,否则他人的信息处理行为都属于公民同意的范畴之内。因而,对比使用了保护措施的核心信息、有限授权的一般信息,在完全公开流通的公共信息中,公民自己的公开决定导致刑法上的需保护性大幅度降低。
虽然公共信息中公民个体的需保护性最低,但是这并不意味着公共信息本身不具有需保护性。正如个人法益与超个人法益,信息中的公共属性与私人属性也存在此消彼长的关系,当信息被公民公开并在公共空间流通时,其承载的法益就由公民个体的人格权转为公共信息安全秩序,因而此时对公共信息的需保护性考察应当从秩序维护的角度进行。 正因如此,有学者指出,被害人教义学在信息社会崛起的当下语境中,应当突破仅仅基于侵犯个人法益的犯罪范畴进行理论分析,发展到侵犯公共法益的犯罪中,同样发挥被害人教义学核心原则的作用。而站在维护信息秩序的公共法益的角度,即使公民已经概括性同意了他人获取、使用信息的行为,对信息的获取、使用行为也应当遵循信息安全有序流通的合理方式,刑法有必要对这种秩序法益进行保护。
2. 确立数字治理理念下的风险预防规范
公开信息的流通一方面遵循公开该信息的公民的目的,一方面也需遵循一定的秩序规范。 随着信息流通性与公开性的增强,对公共信息刑法保护的研究范式必须摆脱固有的对公民个体消极信息防御权的分析,转向以数据治理为理念的风险预防。
首先,由于信息存在大量分享和快速流转的趋势,个人信息主体和信息控制主体的分立已经成为常态现象,单纯保护信息主体个人的法益已经无法适应这一现实情况。 如上所述,由于信息本身存在的易传播性,个人信息具有较强的社会属性,尤其在信息被公开之后,大部分有价值的公民信息会被企业或平台收集,进而处理或分析,而信息又可能在各个平台之间流转,因而个人信息可能同时存在多个实际控制者,这也是个人信息难以确权的首要原因。而随着同一信息数据上的权利主体的增加,对产生信息的公民而言,其信息被不当使用的风险也相应增高,因而确立并维护数据流通秩序的同时也避免了对信息法益的抽象危险。
其次,《民法典》《网络安全法》等前置法为秩序维护角度的信息保护提供了基础。《民法典》第一千零三十五条规定,应当遵循合法、正当、必要的原则处理个人信息,《网络安全法》 则进一步从维护网络运行安全的角度,为网络运营者、网络服务商、相关行业组织提出了具体的义务,例如,网络运营者不得收集与其提供的服务无关的个人信息,应当依照法律、行政法规的规定和与用户的约定处理其保存的个人信息。由此可见,前置法中已经为个人信息的流通与处理使用提供了具体保护方案,公民公开信息的行为并不代表着个人信息在公共领域随意流通,无论是企业或个人对个人信息的使用处理行为仍需按照一定的秩序与义务。
最后,以安全维护为本位的个人信息保护模式也有利于保护集体信息安全,防止我国国民信息被泄露或不当使用。 随着信息技术与统计学、数据分析技术的结合,政府和公共服务机构通过广泛收集个人信息,可以有效分析社情民意,并借此作出科学有效的决策,推进公共服务和公共治理工作,这也是“数字政府” “服务政府” 的构建基础。数据在带来公共价值的同时,也带来了系统性的泄露风险,尤其是关于国民医疗、教育、民生等方面的个人信息,能够在一定程度上反映政府的决策方向与国家的经济走向,即使公民授权将其公开,也有必要维护其在安全范围内有序流通。
综上所述,对于完全公开的信息而言,公民的概括性同意能够免除他人获取信息的责任,但是刑法仍然有必要保护已公开信息在公共领域的流通秩序,通过对数据使用和处理方的义务设定,实现信息安全的风险调控。
侵犯公民个人信息罪的具体构成要件是理论与实践中认定的模糊地带,一方面,应当限缩行为方式的认定范围,防止其衍生为新的“ 口袋罪” ,另一方面,也必须充分考察各类信息数据的属性与应保护性,防止公民信息权遭到侵犯。个人信息领域的争议,根本上来源于其所兼具的人身属性与社会属性,个人信息所具备的法益是一种以自决权为基础、兼具信息安全秩序的复合法益,需要首先保障个人信息按照公民的授权流转,然后以信息的系统性安全为信息秩序的整体调控补充。
影响信息自决权的保护程度的要素主要是信息的私密程度和公民授权的范围,其中,信息的私密程度决定了刑法对信息的需保护性,公民授权或公开的程度决定了刑法对信息的应保护性。以二者为标准,可将信息分为三级圈层:“ 靶心圈” 核心信息、“ 基本圈” 一般信息、“ 辐射圈” 公开信息。
靶心圈的核心信息必须是涉及公民核心隐私领域的或者公民拒绝授权与公开使用的信息。 刑法对公民的核心信息应当进行严格的保护,核心信息只有在公民明示同意授权或公开的前提下,才能被他人获取或使用。在公民并未表示同意或拒绝时,只能依照客观情况推定公民“不同意授权” ,而不能推定同意。此外,对核心信息的法益侵害性应当使用形式判断标准,在他人非法获取核心信息的情形下,无需造成实际损害即可认定存在法益侵害。
基本圈的一般信息是指具有一定身份可识别性的、公民部分授权他人使用的信息。 在针对一般信息的犯罪中,涉及信息公共流通价值与公民个人信息权的衡量。 应当根据比例原则,衡量信息使用的目标重要性和现实性,考察收益与成本是否成比例,判断行为是否在“ 合理使用” 的范畴中。同时结合客观合目的性原则,在信息的收集和使用者明确告知公民其收集和使用信息的目的并遵循这一目的时,或者公民没有明确表示拒绝信息收集与使用,而收集与使用行为又符合社会一般用途时,可以阻却使用者的责任。
辐射圈的公开信息是指已经被公民公开而进入公共互联网领域的信息。公开信息是全社会共享的公共资源,社会公众有权获取已公开的个人信息,因而刑法应当侧重于从秩序维护的角度保护公共信息,转向风险预防的理念。而在个人信息权保护层面,则应当认为对于公开信息的通常使用行为都处于可期待的合理使用范围,符合公民处理信息的目的,只有该公民明确提出拒绝,或由于存在重大利益损失而能够推断该公民拒绝此种处理时,该处理行为才违背了公民的信息自决权,从而具有法益侵害性。
