文|刘宪权
(本文刊载于《中国应用法学》2022年第5期)
—
内容提要: 擅自处理公开的个人信息行为的定性问题在刑法理论与司法实务中存在重大分歧。本文认为,该行为在刑事违法性层面符合侵犯公民个人信息罪的构成要件,在法益侵害性层面严重危及信息主体的个人信息自决权,符合侵犯公民个人信息罪构成。个人信息的安全保障与流通价值均不可偏废,公开的个人信息的流通利用价值尤其值得关注。实践中应当尽量减少对擅自处理公开的个人信息行为的刑事处置,限缩对侵犯公民个人信息罪的适用范围。具体路径为从严认定侵犯公民个人信息罪中的“违反国家有关规定”,将未履行告知义务的处理行为排除在犯罪圈外,严格限定“个人权益”和“重大影响”的范围。
关键词:擅自处理 公开的个人信息 侵犯公民个人信息罪 安全保障 流通价值
文 章 目 录 一、引言 二、罪与非罪:擅自处理公开的个人信息行为的定性之争 三、形式与实质:擅自处理公开的个人信息行为入罪分析 四、安全与流通:侵犯公民个人信息罪的限缩认定
公开的个人信息,是指信息主体个人自行公开或者其他已经合法公开的个人信息。近年来,司法实务中频繁出现未经信息主体个人同意倒卖公开的个人信息牟利的案件,相同案情在不同判决中处理结果截然不同。围绕擅自处理公开的个人信息行为的定性,刑法理论与司法实务中存在重大分歧意见。擅自处理公开的个人信息的行为是否需要刑法规制?应当如何进行刑法规制?如何兼顾公开的个人信息的安全保障与流通价值?这些问题均尚未形成统一定论,亟需我们进一步深入研究并提出解决路径。基于以上问题意识,本文以公开的个人信息为研究对象,以侵犯公民个人信息罪为研究视角,在厘清当前擅自处理公开的个人信息行为定性争议的前提下,从形式与实质两个方面论证该行为可能构成侵犯公民个人信息罪,并通过对公开的个人信息安全保障与流通价值的分析,探究限缩擅自处理公开的个人信息行为构成侵犯公民个人信息罪的具体路径。
对于擅自处理公开的个人信息行为的定性,理论与实务中存在有罪论与无罪论两种立场。
(一)有罪论及其论证模式
持有罪论者主张,公开的个人信息值得刑法保护,擅自将公开的个人信息出售或提供给他人的,构成侵犯公民个人信息罪。有罪论的基本思路是:在承认公开的个人信息属于侵犯公民个人信息罪的犯罪对象的基础上,论证擅自处理公开的个人信息行为违反了国家有关规定,符合《刑法》第253条之一的构成要件,侵犯了信息主体的私域自主权益,进而构成侵犯公民个人信息罪。
对于公开的个人信息的法律属性,持有罪论的学者主要着眼于个人信息的可识别性,认为公开的个人信息虽然不再具有隐私性,但仍然具有识别信息主体的功能,而可识别性是个人信息的本质属性,因此公开的个人信息属于法律意义上公民个人信息的范畴。司法实务中部分案例对此持相同观点。例如,在黄某、戴某侵犯公民个人信息案中,尽管辩护人提出,被告人提供给他人的是网上查询的信息,属于公民同意公开的个人信息,不属于侵犯公民个人信息罪侵害的犯罪对象,但法院最终认为,“未经被收集者同意,将合法收集的公民个人信息向他人提供的,均属于刑法规定的提供公民个人信息行为。”有罪论者在得出公开的个人信息与未公开的公民个人信息同样值得刑法保护结论之后,需要论证的就是擅自处理公开的个人信息行为违反了国家有关规定,符合侵犯公民个人信息罪的构成要件。在此过程中,由于对国家有关规定的理解存在差异,理论与实务中有三种论证模式:
其一,未经同意模式。2017年5月8日《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第3条第2款规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第253条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”据此可知,但凡向他人提供公民个人信息,必须要征得信息主体的同意,未经同意擅自向他人提供公民个人信息的行为,可能构成侵犯公民个人信息罪。由于公开的个人信息属于法律意义上公民个人信息的范畴,是侵犯公民个人信息罪的犯罪对象,因此,即使是向他人提供已经公开的个人信息,也必须征得信息主体的同意,倘若未经同意就将合法收集的已公开的个人信息擅自提供给他人的,同样符合侵犯公民个人信息罪的构成要件。前文所述的黄某、戴某侵犯公民个人信息案正是采取了这一论证模式。
其二,侵害重大权益模式。我国《民法典》与《个人信息保护法》针对公开的个人信息均单独规定了处理规则。当处理行为在合理范围之内时,无须取得个人同意;当处理行为对个人权益有重大影响或者侵害个人重大利益时,则需要取得个人同意。据此,信息处理者擅自处理公开的个人信息的行为,如果没有侵害个人的重大利益,就可根据《民法典》第1036条第2项免除民事责任,也不违反《个人信息保护法》中的相关规定,既然民事侵权都无法构成,也就自然不能构成侵犯公民个人信息罪;但如果使个人的重大利益遭受侵害,就违反了《民法典》与《个人信息保护法》中的相关规定,进而符合《刑法》第253条之一的构成要件,可能构成侵犯公民个人信息罪。司法实务中,部分案件采纳了侵害重大权益模式,即基于擅自处理公开的个人信息没有侵害权利人的重大权益而免除行为人的法律责任。例如,吴某擅自出售在天眼查等平台上下载依法公开的企业工商登记信息1.8万余条,获利1万余元,尽管公安机关以涉嫌侵犯公民个人信息罪传唤吴某,但在检察院审查起诉阶段,检察官认为,吴某擅自出售公开的个人信息的行为没有遭到权利人的拒绝或侵害权利人的重大利益,因而不应认定为侵犯公民个人信息罪。
其三,超出公开用途模式。根据《民法典》第1038条第1款[ ]的规定可知,处理已公开的个人信息,仅在合理利用该信息的限度内不需要得到信息主体的同意,而合理利用信息的限度该如何确定?有学者注意到了《个人信息保护法草案二审稿》第28条第1款的规定,个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。据此,该学者提出,如果擅自处理公开的个人信息明显违背公开该信息的目的,改变该信息的用途的,就属于超出了合理利用公开个人信息的限度,进而无法根据《民法典》第1038条第1款免除民事责任。易言之,超出公开用途的擅自处理公开个人信息的行为违反了《民法典》的相关规定,进而符合《刑法》第253条之一的构成要件,可能构成侵犯公民个人信息罪。
应该看到,上述三种模式似乎都能顺利证成擅自处理公开个人信息的行为违反了国家有关规定,从而符合侵犯公民个人信息罪的构成要件。但是,三种模式对应的入罪门槛截然不同:在未经同意模式下,只要信息处理者实施了擅自处理公开个人信息的行为,无须进一步区分个人信息的种类、处理行为的用途及其对权利人的影响大小,就可以直接根据《解释》认定信息处理行为符合侵犯公民个人信息罪的构成要件;而在侵害重大权益模式与超出公开用途模式下,只有擅自处理公开个人信息的行为侵害了权利人的重大权益或者超出了个人信息公开时的用途,才能认定为违反国家有关规定,进而构成犯罪。笔者认为,未经同意模式对应的入罪门槛最低,侵害重大权益模式和超出公开用途模式的入罪门槛都相对较高。进一步分析,超出公开时用途的擅自处理行为不一定会使权利人的重大权益遭受损害,而使权利人的重大权益遭受损害的擅自处理行为一定会超出公开时的用途,据此,侵害重大权益模式所对应的入罪门槛似乎比超出公开用途模式的要高。不同的论证模式对应不同的入罪门槛,究竟何种论证模式是对侵犯公民个人信息罪中“违反国家有关规定”的正确理解?究竟何种入罪门槛既能实现保护个人信息安全又能保障信息流通价值?确实需要加以探究。
(二)无罪论及其主要理由
主张无罪论的学者则主要将着眼点放在对公开的个人信息法律属性的探讨上,认为公开的个人信息不属于刑法意义上的“公民个人信息”。由此,擅自处理公开的个人信息的行为就无法符合侵犯公民个人信息罪的构成要件。
无罪论者的主要理由是:其一,就信息处理行为的正当性而言,由于权利人已经将信息公开,则意味着放弃自己对该信息的掌控,因此,对公开的个人信息的任何处理行为都在权利人预先同意的范围之内,不会侵犯权利人对信息的掌控。其二,就行为所引发的后果而言,由于个人信息已经公开于众,有些甚至公开在网络上,任何网民都可随意查询,因此,这些个人信息已经不再关涉个人隐私,对这些个人信息的处理不会对个人私域空间造成严重影响。其三,部分个人信息的公开是为实现一定的公共利益所需要的,对这类个人信息流转、使用的限制将与信息公开的目的相背离。例如,企业公布相关个人信息的目的就是为了便于公众对这些个人信息的掌握和合理利用,刑法不宜干涉对这类个人信息的处理行为。此观点也在相关行政法规中得到印证,根据《征信业管理条例》第13条的规定,采集个人信息应当经信息主体本人同意,而企业的董事、监事、高级管理人员与其履行职务相关的信息不作为个人信息。也即上述信息虽属于公司依法公开的信息,但并不作为《征信业管理条例》中的个人信息。因此,即使未经信息主体本人同意的采集这些信息,也不违反相关规定。对于这种前置法都不再保护的公开个人信息,更不适宜将其作为刑法的保护对象。
综上可知,围绕擅自处理公开的个人信息行为的定性问题存在重大的理论分歧。分歧点一,公开的个人信息是否值得刑法保护?易言之,公开的个人信息是否是侵犯公民个人信息罪的犯罪对象?如果答案是肯定的,紧接着就出现了分歧点二,应该采取何种模式论证擅自处理公开的个人信息的行为符合侵犯公民个人信息罪的构成要件?具体而言,擅自处理公开的个人信息违反了何种国家规定?究竟何种入罪门槛既能实现保护个人信息安全又能保障信息流通价值?
(一)擅自处理公开的个人信息行为具有刑事违法性特征
首先,侵犯公民个人信息罪的犯罪对象包含公开的个人信息。笔者认为,确立刑法对“公民个人信息”的保护范围,即明确侵犯公民个人信息罪中“公民个人信息”的定义,是考察公开的个人信息是否属于侵犯公民个人信息罪犯罪对象的前提。
《解释》第1条详细规定了“公民个人信息”的定义:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”这里需要注意的是,《解释》施行的时间是2017年6月,随着个人信息保护理论研究的深入与2021年《个人信息保护法》的出台,在法秩序统一性原理的指引下,侵犯公民个人信息罪中的“公民个人信息”的定义似乎也应发生一定的转变。《个人信息保护法》第4条将“个人信息”定义为:“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”这一定义与《解释》中的定义有三点不同:其一,两者规定的范围不同:《解释》规定个人信息范围包含“反映自然人活动情况的各种信息”,而《个人信息保护法》规定个人信息范围并不包含该类信息;其二,两者规定个人信息的本质特征不同:《解释》规定个人信息的特征为“能够单独识别”与“可以和其他信息结合识别”,而《个人信息保护法》规定个人信息的特征为“已识别”和“可识别”;其三,两者规定的识别对象不同:《解释》规定个人信息的识别对象是“自然人身份(及自然人活动情况)”,而《个人信息保护法》规定个人信息的识别对象则是“自然人”。
笔者认为,应当将《解释》与《个人信息保护法》中对个人信息的定义加以统一。具体而言,其一,《解释》对个人信息范围的规定应当与《个人信息保护法》保持一致。根据法秩序统一性原理,如果一个行为不受行政处罚,则自然更不应受刑罚处罚。刑法作为前置法的后盾与保障,只有在前置法不足以规制的情况下才能考虑介入,即只有极少数侵犯公民个人信息的行政违法行为才被刑法加以规制。因此,刑法中个人信息的范围至少不应广于《个人信息保护法》规定的个人信息的范围。当前《个人信息保护法》只包含具有识别性的个人信息,而《解释》所界定的个人信息的范围显然超出了《个人信息保护法》的定义范围,包含了“反映自然人活动情况的各种信息”,建议对此应予以协调性调整。其二,《解释》对个人信息特征的规定应当与《个人信息保护法》保持一致。《解释》将个人信息特征定义为“能够单独识别”以及“可以和其他信息结合识别”的提法实际上存在一定的缺陷。事实上,我们难以仅通过一条个人信息便对特定的自然人或自然人身份进行识别。因而,应当修正《解释》中个人信息特征的相关表述。最后,《解释》对个人信息识别对象的表述应当与《个人信息保护法》保持一致。《解释》将个人信息的识别对象规定为“自然人身份”,而《个人信息保护法》将个人信息的识别对象规定为“自然人”,“自然人身份”可以有很多个,而“自然人”则是特指的。相较而言,“自然人”较“自然人身份”更值得刑法保护,由此应当将《解释》中“自然人身份”的表述修改为“自然人”。综上,侵犯公民个人信息罪中的“公民个人信息”应是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。”
如前所述,个人信息的主要特征在于可识别性而非私密性,我国并非通过隐私权来实现对个人信息的保护。因此,即便个人信息被公开后其已不再可能属于个人隐私的范畴,这些个人信息也仍蕴含一定的人格权益,可以适用有关个人信息保护的规定。诚然,相较于私密的个人信息而言,公开的个人信息所承载的流通价值相对较高,人格价值相对较低。但是,特定自然人允许他人对自身个人信息的收集和使用并不表明该自然人放弃了其对个人信息所享有的一切权益,对公开的个人信息而言,相关主体依然对个人信息享有一定的人格权益。因此,公开的个人信息与私密信息无异,均属于侵犯公民个人信息罪的“公民个人信息”的内容。
其次,擅自处理公开的个人信息违反“国家有关规定”。“违反国家有关规定”是侵犯公民个人信息罪的重要构成要件。只有确认擅自处理公开的个人信息的行为违反了“国家有关规定”,我们才能认为该行为有可能构成侵犯公民个人信息罪,而明确“违反国家有关规定”中的“国家有关规定”的范围则是上述论断的关键前提条件。根据《解释》第2条的规定,违反法律、行政法规、部门规章有关个人信息保护的规定的,应当认定为刑法第253条之一规定的“违反国家有关规定”。据此,有学者提出,根据《最高人民法院关于准确理解和适用刑法中“国家规定”的有关问题的通知》,只要部门规章与相关法律、行政法规不相抵触,就可以视为“国家有关规定”。也有观点认为,“违反国家有关规定”只宜限于法律和行政法规,由此可防止宽泛、抽象的前置法导致侵犯公民个人信息罪适用范围的不明确。笔者认为,一方面,刑法追求的是安定性,而部门规章和地方性法规的变动频繁,故不宜认为“国家有关规定”包含部门规章和地方性法规;另一方面,不同部门规章与地方性法规对侵犯公民个人信息行为的认定标准可能存在不一致的情形,如此则容易导致司法工作人员在认定侵犯公民个人信息罪时标准不一。所以,将“国家有关规定”限于法律和行政法规是更为妥当的。
如前所述,由于对“国家有关规定”的理解存在差异,未经同意模式、侵害重大权益模式与超出公开用途模式中的论证路径均不相同。未经同意模式并未交代擅自处理行为所违反的前置法,而是直接依据《解释》第3条第2款得出擅自处理行为符合侵犯公民个人信息罪构成要件的结论;侵害重大权益模式与超出公开用途模式中擅自处理行为所违反的“国家有关规定”包括《民法典》与《个人信息保护法》,但在具体条文的理解适用上并不一致,进而导致入罪门槛存在差异。有鉴于此,准确厘清擅自处理公开的个人信息的行为所违反的前置法规定显得十分必要。随着《民法典》与《个人信息保护法》的相继出台,规制公开的个人信息处理行为的前置法规范历经了一个不断变化的过程。2020年5月《民法典》公布,其中第1036条第2项就公开的个人信息处理规则专门从事后责任承担的角度作出规定:“合理处理自然人自行公开的或者其他已经合法公开的信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。”之所以作此规定,是考虑到信息处理者在合理范围之内处理这些信息,即使给信息主体造成一定影响,也是在信息主体的接受范围之内,因而不需要承担民事责任;换言之,公开的个人信息实际上意味着或推定信息主体在一定程度上同意他人对这些信息进行处理。当然,如果处理行为给信息主体的重大权益造成侵害,仍然不可避免地需要承担责任。与此同时,尽管个人信息主体自愿公开个人信息,也并不意味着信息主体完全丧失对该信息处理的决定权,只要明确表示反对,无论处理行为是否合理,信息处理者都不得处理,否则就要承担责任。2021年8月《个人信息保护法》公布,其中第27条就公开的个人信息的处理规则专门从事前行为规范的角度作出规定:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”据此,信息处理者在处理信息之前应当对处理行为的影响进行评估,确定处理行为是否会对信息主体个人权益产生重大影响。如果会产生重大影响,那么就必须事先取得个人同意。
可见,《民法典》和《个人信息保护法》分别从事后责任免除与事前行为规范的角度对公开的个人信息之处理规则做出规定。在未经同意的情形下,行为人擅自处理公开个人信息且对信息主体产生重大影响或侵害其重大权益时,相关行为既违反了《个人信息保护法》中的公开个人信息处理行为规范,又无法依据《民法典》进行责任免除。因此,侵害重大权益模式有关侵犯公民个人信息行为定性的论证路径是可取的,即擅自处理公开个人信息的行为违反了《民法典》与《个人信息保护法》的相关规定,符合侵犯公民个人信息罪构成要件内容的需要。
未经同意模式与超出公开用途的论证路径由于没有综合考量前置法,因而具有片面性。未经同意模式的论证大前提是《解释》第3条第2款,而对《解释》第3条第2款的准确理解与适用则有必要结合《民法典》与《个人信息保护法》的相关规定加以综合考虑。《民法典》第1038条第1款明确指出,未经自然人同意,不得向他人非法提供其个人信息。《个人信息保护法》第23条的规定也同样表明,个人信息处理者向他人提供其处理的个人信息时,应当向个人告知接收方信息、处理目的等内容,并取得个人的单独同意。可见,与《解释》第3条第2款相同,《民法典》与《个人信息保护法》均要求,个人信息处理者只有在征得信息主体的同意后才能向他人提供个人信息。然而,需要特别指出的是,《民法典》第1038条第1款与《个人信息保护法》第23条中的个人信息实则并不包括公开的个人信息,这是因为《民法典》与《个人信息保护法》均就公开的个人信息的处理规则另外进行了单独规定。对于公开的个人信息而言,只要在合理的范围内处理(包括提供给他人),就无须征得信息主体同意。未经同意合理提供公开的个人信息给他人的行为连民事责任都不必承担,更何谈构成侵犯公民个人信息罪。因此,《解释》第3条第2款中的个人信息不应该包括公开的个人信息,即公开的个人信息不适用《解释》第3条第2款的处理规则。易言之,未经同意模式失去了成立的规范基础。超出公开用途模式尽管注意到了《民法典》与《个人信息保护法草案二审稿》的规定,但由于《个人信息保护法》在《个人信息保护法草案二审稿》的基础上进行了修改,不得擅自处理公开的个人信息的前提从“超出公开时的用途”修改为“对个人权益有重大影响”,因此其论证路径似乎也存在问题。
(二)擅自处理公开的个人信息行为具有法益侵害性特征
侵犯公民个人信息罪侵害的法益是个人信息自决权,擅自出售、提供等处理公开的个人信息的行为严重侵犯了信息主体的个人信息自决权,具有实质的法益侵害性。
关于侵犯公民个人信息罪所侵害的法益,刑法学界众说纷纭,莫衷一是。有观点认为,该罪侵害的法益是诸如人格权、隐私权、公共利益等传统法益;也有观点认为,该罪侵害的法益是诸如个人信息自决权、个人信息安全、个人信息受保护权等新兴法益。之所以侵犯公民个人信息罪侵害的法益至今尚未达成共识,主要存在两个方面的原因:其一,学界对法益的概念、功能以及界定规则等尚未达成统一;其二,刑法条文与《解释》中有关个人信息的相关规定较为模糊,从而无法准确反映出个人信息所承载的权利内容。
为了准确界定侵犯公民个人信息罪所侵害的法益,笔者认为,应在明确侵犯公民个人信息罪构成要件的基础上,进一步结合《个人信息保护法》的规定对该罪的法益进行推导。如前所述,《个人信息保护法》是我国近年来颁布的关于个人信息保护最新且最为全面的行政法律,因此侵犯公民个人信息罪成立的前提是对个人信息处理的行为触犯了《个人信息保护法》的有关规定。纵观《个人信息保护法》,“个人同意”的字样多达27处,这充分表明,对侵犯公民个人信息行政违法行为认定的关键在于判断信息处理者是否获得了信息主体的知情同意,而信息主体的知情同意体现的正是信息主体个人对其信息的控制权与自决权。对侵犯公民个人信息罪的认定中,无论是非法获取、非法提供还是非法出售行为,关键均在于未获得信息主体的知情同意,也即不法行为直接对信息主体个人对其信息的控制权与自决权造成侵犯。由此可见,《个人信息保护法》与《刑法》的规定均重视维护个人的知情同意,易言之,《个人信息保护法》所规定的侵犯公民个人信息违法行为与《刑法》所规定的侵犯公民个人信息罪的保护法益均是个人信息自决权。需要进一步强调的是,侵犯公开个人信息罪的侵害法益是个人信息自决权与前述提到有关侵犯公民个人信息行为定性应采纳侵害重大权益模式的命题并不矛盾。虽然行为人未经信息主体同意处理个人信息并不一定意味着该行为属于侵犯公民个人信息违法行为,也就更不应该被认定为犯罪(如法律规定在不侵犯信息主体重大权益时,可未经同意处理公开的个人信息),但是反过来看,侵犯公民个人信息罪的成立一定是以行为人未经信息主体同意为前提条件的,因为在获得信息主体的同意前提下,即便行为人侵犯信息主体的重大权益,相关个人信息处理行为也不构成犯罪。由此至少可以证明,侵犯公民个人信息罪的成立必定是以行为人侵犯信息主体个人信息自决权为基础的。
从体系解释的角度出发,我们同样可以得出侵犯公民个人信息罪的保护法益是个人信息自决权。首先,侵犯公民个人信息罪规定在刑法分则第四章“侵犯公民人身权利、民主权利罪”中,该罪侵害的法益是信息主体的个人权益而非公共利益。其次,如果认为侵害的法益是其他诸如财产权、个人信息安全或公共利益等法益,则将导致侵犯公民个人信息罪与其他涉个人信息犯罪的适用范围和边界模糊不清的问题。鉴于我国刑法已然设立非法获取计算机信息系统数据罪、侵犯商业秘密罪、非法获取国家秘密、情报罪罪等罪名,已经构建了对与个人信息相关联的财产权、市场经济秩序、国家安全等重要法益的保护体系,如果侵犯公民个人信息罪的侵害的法益为上述任意单一法益,则将导致侵犯公民个人信息罪与其他涉信息数据犯罪重复规定,显然这样的理解并不合理。最后,侵犯公民个人信息罪与其他涉信息数据犯罪最大的区别在于侵犯公民个人信息罪着重侵害信息主体对信息的控制与利用,因而,侵犯公民个人信息罪侵害的法益理应是个人信息自决权。当然,单纯的个人信息自决权法益观过于宽泛,有必要将侵犯公民个人信息罪侵害的法益限定为与人格权、财产权紧密关联的个人信息自决权,而赋予个人对信息的自主决定权主要是为了防止个人人格权和财产权等权利受到不法侵犯。倘若侵犯公民个人信息的行为根本无法侵害个人人格权或财产权,那么即使该行为侵犯了公民个人信息自决权,也不应受到刑法规制。
当然,上述结论也进一步证明笔者认为侵犯公民公开的个人信息行为定性应采纳侵害重大权益模式的论断是正确的,即只有当个人信息处理行为侵犯公民个人信息自决权,且这种对个人信息自决权的侵犯又进一步导致公民重大权益受到威胁时,相关行为才具备入罪的可能性。笔者认为,如果在提供或出售公开的个人信息会对信息主体产生重大影响或侵害信息主体重大权益时,那么未经信息主体个人同意的擅自处理行为必然造成个人信息自决权被侵害。如前所述,《个人信息保护法》对知情同意规则的建构体现了对个人信息自决权的尊重,而赋予个人对信息的自主决定权主要是为了防止个人人格权、财产权等权利受到不法侵犯。由此,在擅自处理公开的个人信息的行为既破坏了知情同意规则,又造成信息主体个人人格权和财产权等权利遭受不法侵害时,该种行为必然侵害信息主体的个人信息自决权。根据《民法典》第1036条第2项与《个人信息保护法》第27条的规定,当信息处理者处理公开的个人信息,对个人权益产生重大影响或侵害信息主体重大权益时,应当取得信息主体的个人同意。显然,未经信息主体同意,擅自提供或出售公开个人信息,并对信息主体产生重大影响或侵害信息主体重大权益的,一方面将违反《个人信息保护法》第27条的规定,破坏该法所建构的信息处理知情同意规则;另一方面对信息主体的个人权益造成重大损害,包括人格权、财产权等。可见,擅自提供或出售公开的个人信息的行为可能会使个人信息自决权遭到破坏,具有实质的法益侵害性。
需要讨论的是,获取行为也是侵犯公民个人信息犯罪行为中的一种表现方式,那么从非法提供或出售者处获取公开的个人信息的行为,是否侵犯了信息主体的个人信息自决权进而是否有可能构成侵犯公民个人信息罪?笔者认为,任何形式的获取公开个人信息的行为均不可能侵犯信息主体的个人信息自决权,这是因为公开个人信息的目的就是为了便于或至少不反对他人获取,他人获取公开的个人信息在信息主体的预料范围之内,甚至是信息主体期待他人实施的行为。无论以何种方式获得该信息、无论从何处获得该信息,对信息的获取结果不会超过信息主体的预料范围,相关行为就不会侵害信息主体对信息的自我决定权。既然获取行为不具有实质的法益侵害性,自然也无法构成侵犯公民个人信息罪。当然,如果以盗窃、侵入计算机信息系统等非法手段获取公开的个人信息,手段行为构成非法侵入计算机信息系统罪等罪名的,依照相关罪名论处;如果获取公开的个人信息之后用于犯罪的,也只要依照后继的罪名认定即可。
为了保护个人信息安全,避免信息主体的人格权、财产权等权利遭受侵犯,时下,个人信息保护理论采取的是个人控制论,即信息主体个人对信息处理行为具有一定程度的控制权与决定权。其论证逻辑是:个人信息是个人的延伸,人是具有自由意志、独立自主的个体,因而对自我的个人信息具有控制权与决定权。基于对个人信息的控制权与决定权,信息主体可以参与到各种信息处理活动之中,保护个人信息的安全性,避免个人信息处于风险之中,进而避免个人权益遭受各种损害。由此可见,个人控制论赋予信息主体对自身个人信息的控制权和决定权,保障的核心价值是信息安全。
当然,许多学者认为,个人控制论的观点不能绝对化而须加以限制,应当看到信息流通利用的巨大价值,因为在当下,个人信息作为一种生产要素,是重要的社会资源。通过对个人信息的社会化分析,可以社会治理、科学研究以及商业决策的重要参考。正因如此,绝对的个人信息控制论的质疑者人数在逐渐上升。质疑者认为,信息的本质属性是信息的流通与利用,个人信息本质上不应当被控制,而应当为人所用,这样才能发挥信息流通与利用(如进行社会治理、推动科学研究、促使商业发展等)的功用。另外,个人的理性是极为有限的,即使赋予个人对个人信息的控制权,个人所作出的决策也不一定能使个人的利益最大化。在很多情况下,个人根本没有能力对信息的利用价值与风险进行有效地评估,因而个人的自我决定权往往是没有价值与意义的,既不一定能保障信息安全,又可能阻碍了信息的流通与利用价值。我们应遵循《个人信息保护法》第1条所规定的“保护个人信息权益,促进个人信息合理利用”立法目标。
在对公开的个人信息的处理过程中,信息安全保障与流通利用价值之间不可避免地存在冲突。如果基于对信息安全的保障与个人信息自决权的保护,则刑法应当较为全面地规制擅自处理公开的个人信息的行为;如果基于对公开个人信息流通价值的促进与利用,则刑法应当抬高对擅自处理公开个人信息的行为进行定罪处罚的门槛。笔者认为,正因为个人信息的安全保障与流通价值均不可偏废,而公开的个人信息的流通利用价值尤其值得注重,因此,有必要结合《民法典》与《个人信息保护法》的相关规定,尽量减少对擅自处理公开个人信息行为的定罪处罚,限缩对侵犯公民个人信息罪的适用。
应该看到,《民法典》第1036条第2项和《个人信息保护法》第27条分别从事后责任免除与事前行为规范的角度对公开的个人信息的处理规则作出规定,只要是在合理的范围内处理公开的个人信息,即使未经信息主体同意,也是被允许的,无须承担民事责任。据此,理论上有观点认为,应当将《民法典》和《个人信息保护法》中规定的“合理处理”作为违法阻却事由,构建擅自处理公开个人信息行为的实质出罪机制,从而以前置法限制侵犯公民个人信息罪的适用。笔者对此观点并不认同。实质出罪机制构建的前提是已经在形式上符合构成要件,但是否所有的擅自处理公开个人信息的行为均在形式上符合侵犯公民个人信息罪的构成要件,实际上是存在疑问的。根据《民法典》与《个人信息保护法》规定,只有信息主体明确拒绝或对信息主体个人权益有重大影响时,对公开的个人信息的处理行为才需征得信息主体同意。即便“合理处理”公开的个人信息行为没有经过信息主体的同意,但该行为仍然不违反前置法的有关规定,从而更不符合侵犯公民个人信息罪的构成要件。既然未经信息主体同意的“合理处理”公开的个人信息行为不符合侵犯公民个人信息罪的形式构成要件,又何谈以“合理处理”作为违法阻却事由构建实质出罪机制?笔者认为,限缩侵犯公民个人信息罪适用的正确思路应当是在入罪阶段对构成要件进行严格解读,由于“违反国家有关规定”是侵犯公民个人信息罪的重要构成要件,有必要结合前置法的规定,从严认定“违反国家有关规定”。
基于对侵犯公民个人信息罪的限缩适用,不能将所有违反前置法的行为均认定为刑法上的“违反国家有关规定”。《个人信息保护法》规定了信息处理者的告知义务,但公开个人信息的处理者处理信息时未履行告知义务并不属于《刑法》第253条之一所规定的“违反国家规定”。因为告知义务保障的是信息主体的知情权,并不直接关涉信息主体对信息的控制权与自决权,而“违反国家有关规定”作为侵犯公民个人信息罪的重要构成要件,需要为违法性提供实质根据,即为侵犯个人信息自决权提供实质根据。因此,即使信息处理者在处理信息时违反了《个人信息保护法》的规定未履行告知义务,由于无法为侵犯个人信息自决权提供实质根据,也不应该将其归入侵犯公民个人信息罪构成要件中的“违反国家有关规定”之中。
根据《民法典》第1036条第2项和《个人信息保护法》第27条的规定,当公开个人信息的处理行为会给个人权益造成重大影响时,需要取得信息主体同意,未经同意的擅自处理行为侵犯了个人信息自决权,属于《刑法》第253条之一所规定的“违反国家规定”。笔者认为,为了促进公开个人信息的流通与利用,限缩侵犯公民个人信息罪的适用,应当对给个人权益造成重大影响的认定进行严格限制。具体可作如下限制:一是严格限定个人权益的范围。刑法通过侵犯公民个人信息罪保护个人信息自决权的根本目的在于防止个人人身权益与财产权益遭受不法侵害,当擅自处理行为并不可能侵犯与个人直接相关的重大权利时,赋予信息主体自主决定权的必要性就大大减弱。如果说在《个人信息保护法》层面尚可将个人权益理解为与个人相关的一切权利,但在刑法层面,基于其严厉性与保障性,我们只能将个人权益理解为生命权、身体权、人格权、财产权等与个人直接相关的人身权益或财产权益。二是严格限定重大影响的范围。只有当个人人身权益或财产权益等受侵害的严重程度本身值得动用刑法加以保护时,通过侵犯公民个人信息罪保护个人信息自决权进而保护人身权益或财产权益才具有正当性。因此,重大影响仅限于使信息主体的个人权益受到重大侵害,达到可能构成犯罪的严重程度。例如,擅自将已公开的个人面部信息提供给黄色网站或者黑灰产网站,并致使信息主体个人的人格尊严等个人权益可能遭受严重侵犯时,擅自处理公开的个人信息行为才有适用侵犯公民个人信息罪刑法规定的可能性。