您對“處理已公開個人資訊行為的刑法規制”有何見解呢?關于本文的思考歡迎大家留言或投稿參與讨論。對于本微信公衆平台發送的原創稿件,将結合閱讀量酌情給予獎勵,湖南省刑事法治研究會每年還會對原創文章進行評獎并給予不同的等級獎勵。期待您的來稿!
投稿郵箱:[email protected]
摘要:目前實務界與理論界對于處理已公開個人資訊的行為是否構成犯罪尚存在争議,其根源在于未能厘清侵犯公民個人資訊罪的保護法益,以及刑法應當以何路徑進行救濟與規制才能做到罪刑适當。侵犯公民個人資訊罪的保護法益應認定為個人資訊自決權,其中蘊含的個人自治法益觀對于合理限定刑法上處理已公開個人資訊行為的規制範圍具有重要意義。對于擅自處理已公開個人資訊的定罪路徑,二次授權标準有違法秩序統一原則,合理目的性考察說以公開目的作為判斷依據具有模糊性,客觀開放程度路徑考察次元較為單一,場景化路徑缺乏可操作性。已公開個人資訊形式多樣,應當根據公開主體、公開範圍以及合法性依據的不同,以類型化思維劃定已公開個人資訊處理行為的刑事責任邊界。
關鍵詞:已公開個人資訊;侵犯公民個人資訊罪;個人資訊自決權;合理處理
一、問題的提出
在大資料時代,個人資訊的收集和應用變得無處不在,資料的挖掘和分析為社會帶來便利的同時,公民個人資訊也面臨着洩露和濫用的潛在風險。為了保護公民個人資訊,刑法規定了侵犯公民個人資訊罪。但在司法實務中,出現了已公開個人資訊是否屬于侵犯公民個人資訊罪的犯罪對象的分歧。例如,在“王某侵犯公民個人資訊案”中,王某将其收集到的包含個人姓名、電話等内容的七萬餘條涉案資訊出售給他人以擷取利益,其中六萬餘條資訊來源于百度、材料網、自助貿易網等商業網站中公開的法定代表人相關資訊;法院認為公開的個人資訊不是刑法上的個人資訊,不屬于侵犯公民個人資訊罪的行為對象,是以對六萬餘條已公開個人資訊未予認定。然而,在“李某侵犯公民個人資訊案”中,二審法院認為李某出售、提供在企查查、天眼查可公開查詢的公民個人資訊的行為已超出涉案公民個人資訊合理使用的目的和範圍,并且有對相關公民的安全、生活安甯等造成危害的可能,屬于出售、提供公民個人資訊的行為。在“吳某侵犯公民個人資訊案”中,吳某從天眼查、企查查等網站下載下傳各個地區公司公開的工商登記資訊進行出售并獲利,公安機關根據《關于辦理侵犯公民個人資訊刑事案件适用法律若幹問題的解釋》(以下簡稱《侵犯公民個人資訊刑事案件解釋》)第三條第二款的規定認定吳某的行為涉嫌侵犯公民個人資訊罪,檢察院在審查起訴中認為根據《民法典》中有關合理處理公開個人資訊的免責事由的規定,本案沒有證據證明吳某出售合法公開資訊的行為遭到權利人拒絕或者侵害其重大利益,不應當認定為構成侵犯公民個人資訊罪。
與此同時,理論界對于已公開個人資訊處理行為是否受刑法規制也存在争議,主要包括無罪說、有罪說以及限定說。無罪論者認為當個人資訊被合法且完全公開時,意味着任何人都可以合法獲知該個人資訊,“公開”的本質就是讓人知曉,依據個人資訊安全權說是以行為人處理已公開個人資訊未損害侵犯公民個人資訊罪的法益。有罪論者認為公民個人資訊具有可識别性,即使某些資訊已經公開不屬于個人隐私,但是隻要具有可識别性的特征就屬于公民個人資訊的範疇。限定說認為後續的資訊傳播以及利用應當限制在最初的情境脈絡内,判斷個人資訊處理行為是否合理,關鍵在于處理行為造成的影響是否能被資訊主體接受,或者是否符合資訊主體的合理預期。
由此可知,目前實務界以及理論界對于處理已公開個人資訊行為的認定缺乏共識,該問題從深層次分析可細化為以下具體問題,一是對侵犯公民個人資訊罪的保護法益了解不一,以不同的保護法益為視角,針對已公開個人資訊是否為刑法所保護的對象這一問題,會得出不同的結論;二是應當采取何種标準界定已公開個人資訊的刑法保護範圍。是以,為了確定司法适用的統一,有必要探讨不同情形下已公開個人資訊的刑法保護邊界,在充分保障個人資訊安全的前提下,合理流通和利用公開個人資訊。
二、侵犯公民個人資訊罪保護法益之厘清
刑法法益,既是對前置法和刑法承載的憲法價值秩序之社會經驗事實進行價值發掘和規範承認的産物,又是對前置法和刑法按照憲法比例原則的要求對法益進行規範層級調整和比例配置設定保護的結果。司法實踐中對處理已公開個人資訊案件出現了同案不同判的結果,這表明對于此類行為的違法性判斷出現分歧,而行為是否具有實質違法性,應當基于是否對法益造成侵害進行評價。是以,關于已公開個人資訊是否屬于侵犯公民個人資訊罪的規制對象,産生争議的原因之一在于對該罪的保護法益了解不一。
(一)現有法益學說争議
目前學界關于侵犯公民個人資訊罪的保護法益可以分為個人法益說、超個人法益說以及雙重法益說三大類。個人法益說重視個人資訊的個體屬性,其内部包括隐私權說、一般人格權說、個人資訊自決權說以及公民個人安甯說四種:隐私權說沿襲美國個人資訊保護模式,認為本罪保護法益為隐私權;一般人格權說主張本罪法益為公民人格尊嚴與個人自由;個人資訊自決權說認為資訊主體對其個人資訊享有依法支配、控制和排除他人侵害的權利;公民個人安甯說以是否可能威脅到私人生活安甯為判斷标準。
超個人法益說認為個人資訊應當被視為公共物品進行規制,并且應由政府專門機構對個人資訊使用行為進行管理,其目的在于為了公共利益以及公共安全而推動個人資訊的流通共享。超個人法益說中的代表性觀點為資訊專有權說與公共資訊安全說。資訊專有權說認為該罪法益為集體法益,具體展現為法定主體對其所占有個人資訊的處分權,也就是資訊專有權。公共資訊安全說主張侵犯公民個人資訊罪的保護法益并非是個人的人身權利,而是社會的公共資訊安全。雙重法益說則認為該罪具有雙重法益屬性,即個人法益與超個人法益。
(二)個人法益說之提倡
對于上述學說争議,筆者贊同侵犯公民個人資訊罪的保護法益為個人法益觀中的個人資訊自決權說,下面将具體論述。
1. 超個人法益說的不足
盡管持超個人法益說者衆多,但不論是“公共資訊安全說”或是“資訊專有權”說,都存在以下不足之處。首先,超個人法益并不是個人法益在量上的積累,而是具有獨立于個人法益的地位。超個人法益在本質上表現為個人法益的不可還原性,包括使用上的非排他性、消耗上的非競争性以及不可配置設定性。然而,侵害公民個人資訊罪的保護法益并不具備超個人法益的特點。公民個人資訊是由特定個體生成并且屬于該個體的,是以将個人資訊視為可以為所有人共享且不與資訊主體相排斥是不合邏輯的。其次,從體系解釋的角度來看,侵犯公民個人資訊罪位于刑法分則第四章“侵犯公民人身權利、民主權利罪”中,那麼侵犯公民個人資訊罪的保護法益理應也在公民的人身和民主權利範圍内,故其保護法益應當為個人法益。最後,持超個人法益說的學者其實是混淆了侵犯公民個人資訊罪的保護法益和個人資訊的宏觀治理目标。超個人法益說認為為了公共利益應當推動個人資訊的流通共享,但是此種了解陷入了籠統地讨論資訊流通及利用問題的窠臼。個人資訊的宏觀治理目标并不能直接完全轉化為侵犯公民個人資訊罪保護法益的價值基礎,侵犯公民個人資訊罪位于“侵犯公民人身權利、民主權利罪”這一章節中,僅僅反映了個人法益保護這一次元的治理目标,而并不是為了同時推動資訊的流通與合理利用,否則将與其所在的章節體系産生沖突。
雙重法益說同樣也面臨以上類似的問題,該學說實質上是折中的政策,看似解決了問題,但實際上使答案變得更加不明确。雙重法益說同時兼顧個人資訊權利保護以及合理利用兩個方面,但這兩個目标在本質上可能互相抵觸,這使得該罪的法益内容也存在沖突,進而在行為性質的判定上也會出現不協調。此外,若将本罪法益了解為雙重法益,則當行為人以公衆利益的名義,無論是否侵害了公民個人權益,都可以在超個人法益的庇護之下逃脫刑事責任,是以雙重法益說有不當壓縮和限制公民正當權利之嫌。
2. 本罪的保護法益:個人資訊自決權
個人資訊的可識别性是确定公民個人資訊具有刑法意義的重要标準。隐私權說忽略了中美兩國法律體系之間的差異,個人隐私與個人資訊是兩個互不相同的概念,個人資訊偏重于可識别性,而個人隐私則更加側重私密性,個人隐私包括了一部分具有私密性的個人資訊,但是卻無法涵蓋因高度公開而不再具備私密性的個人資訊,是以隐私權說會導緻侵犯公民個人資訊罪法益内容的不當限縮。有學者認為侵犯公民個人資訊罪的個人資訊具有公共性,關系到社會利益,對于個人資訊的控制不應完全由個人自主決定。然而該觀點實際上混淆了資料和資訊兩個概念,在數字化時代,資料具有重要的公共價值,保護個人資料免遭洩露對于維護社會管理秩序至關重要。而刑法所保護的個人資訊具有可識别性的特征,能夠明确指向特定的公民個體,展現了強烈的個人自決屬性。
與此同時,個人資訊自決權作為一種具體的人格權,有前置法作為依據,更好地銜接了民刑之間的關系。大陸《個人資訊保護法》中第四十四條對資訊自決權進行了規定,明确資訊主體對其個人資訊的處理享有知情權、決定權,并有權限制或者拒絕他人對其個人資訊進行處理。資訊自決權是公民對其個人資訊所享有的基礎權利,将個人資訊自決權作為侵犯公民個人資訊罪的保護法益,是一般性的自我決定權在刑法具體個罪中的展現。
此外,基于不同部門法之間的功能與目的的考量,以及刑法本身的獨立性與謙抑性原則,對于個人資訊權中的諸多具體性權益是否均應當列入刑法保護法益之内,是探讨侵犯公民個人資訊罪保護法益所要讨論的問題。鑒于刑法的保障法地位,在刑民一體化的視角下,對于公民個人資訊保護模式的選擇上,刑法相較于前置法應當保有必要的克制;刑法對于公民個人資訊的保護範圍肯定要窄于民法的保護範圍。侵犯公民個人資訊罪的行為方式主要包括,在違反國家有關規定的情況下出售、提供、竊取、非法擷取公民個人資訊,這些行為都發生在收集、利用、處置個人資訊的過程中,資訊主體享有自主決定披露、使他人獲知并利用資訊的範圍以及方式的權利,這實質上賦予了資訊主體支配和控制其個人資訊的權利。
是以,從個人資訊自決權的角度來看,已公開個人資訊處于刑法的保護範圍之内。資訊主體有權決定是否處理其個人資訊,以及在何時間、何地點、在何範圍、以何種方式處理個人資訊,資訊自決權不會因個人資訊的公開而改變,即使個人資訊不再是隐私,擅自處理個人資訊也會侵犯資訊主體的資訊自決權。
三、處理已公開個人資訊行為定性路徑分析
關于已公開資訊處理行為的定性,理論界與實務界對此有較多探讨,存在二次授權标準、合目的性考察說、客觀開放程度路徑以及場景化路徑,這些路徑雖都具備一定優勢,但也存在明顯缺陷。
(一)二次授權标準及其實踐難題
二次授權标準認為行為人處理公開的個人資訊必須取得資訊主體的授權,否則處理行為屬于違反國家規定,有可能構成侵犯公民個人資訊罪。二次授權标準的直接依據為《侵犯公民個人資訊刑事案件解釋》第三條的規定,該條第二款規定除了不具有可識别性的已公開個人資訊外,若未經資訊主體同意擅自将合法收集的公民個人資訊向他人提供,屬于侵犯公民個人資訊罪中的“提供”行為。
二次授權标準充分尊重了資訊主體的意願,最大限度地保護了公民的資訊自決權。但是,根據二次授權标準對已公開個人資訊處理行為進行判定既不符合大資料時代的發展,也不具備實踐中的可操作性。在現實生活中,個人資訊的交流與流通很頻繁,若要求所有提供已公開個人資訊的行為都需獲得資訊主體的二次授權,則過于限制對已公開個人資訊的處理利用。在當今的資料時代,資料公司等資料控制者每日都需處理龐大的資訊量,要求它們對每項資訊都征得資訊主體的二次授權是不切實際的。若僅基于資料集合中單個資訊的可識别性就肯定資訊主體對已公開個人資訊擁有完全控制權,将導緻大資料的發展應用受到阻礙。
此外,二次授權方案有違法秩序統一原則。刑法作為保障人們合法權益、維護社會安定的最後一道防線,如果其脫離了着重于補救和回複的前置法律規範,而直接采取最嚴厲的刑罰,這将不可避免地破壞法律制度的内在協調性以及安定性,進而會損害國民的預測可能性。大陸《刑法》中存在許多空白罪狀,其并未明确規定具體的犯罪構成要件,适用時需要由其它法律法規進行補充。是以,判斷犯罪是否成立,既需要進行刑法上獨立的判斷,也需要遵循法秩序相統一原則,在前置法規定的基礎上限制入罪範圍。具體來說,隻有在前置法中被認定為不合法的行為才可能具備刑事違法性,同時前置法上合法能夠作為刑法上的出罪事由。在《民法典》與《個人資訊保護法》規定可在合理範圍内處理公開個人資訊的情況下,在司法實踐中若采用二次授權标準,可能會将不違反前置法的合法行為認定為犯罪,這将不當擴大侵犯公民個人資訊罪的适用範圍。該沖突其實是個人資訊保護“先刑後民”的結果,是以目前置法對個人資訊保護規則進行規定調整後,在刑法适用中也可直接依據相關前置規定,在不對刑法規範和司法規則作出修改的情況下實作犯罪圈重置。
(二)合目的性考察說及其理論不足
“合目的性标準”從資訊公開的目的出發,認為若處理已公開個人資訊行為未超出該資訊公開的目的或用途時,則屬于合理處理,反之,若偏離資訊公開的目的或用途,或者損害資訊主體的人身或者财産安全時,則該處理行為侵害了資訊主體的資訊自決權,可能構成侵犯公民個人資訊罪。
“合目的性标準”看似能夠充分保護資訊主體的個人資訊自決權,但是,首先,個人資訊公開的目的與用途通常具有不确定性以及複雜性,進而在司法實踐中難以對其準确判定。例如,資訊主體在社交軟體上分享個人資訊,往往自己也不确定公開個人資訊的目的為何,而寬泛的社會交往目标難以起到實質的限定作用。并且随着時間的推移,個人資訊公開的目的與用途也可能會發生變化,這種變化将進一步導緻公開目的與用途的模糊性。其次,在個人資訊公開的目的或用途本身就難以認定的情況下,要求行為人在處理資訊時對其進行準确判斷存在一定困難。并且,依據主觀上的内在目的判斷資訊處理者是否構成犯罪将增加刑法定罪的不穩定性。最後,即使資訊主體公開個人資訊的目的清晰,主觀上的公開目的與客觀公開之間也可能存在沖突。若資訊主體聲稱公開個人資訊具有特定目的,但是個人資訊卻處于完全公開的場景中,此時資訊處理者很難判斷其主觀目的,若将不符合主觀目的的資訊處理行為都認定為犯罪,則會過分限縮已公開個人資訊的自由處理空間。
(三)客觀開放程度路徑及其局限性
客觀開放程度路徑将已公開個人資訊分為完全開放的個人資訊、限制開放的個人資訊以及被違法公開的個人資訊,完全開放的個人資訊實際上獲得了概括授權,通常不會侵犯個人資訊權,不需要刑法對其進行規制,但是在自然人明确拒絕或者資訊處理行為侵犯權利人重大利益時除外;而處理限制開放的個人資訊以及違法公開的個人資訊則需要獲得資訊主體的同意。“客觀開放标準”基于資訊開放程度判斷資訊處理行為是否屬于合理處理,彌補了合目的性标準在實踐操作中的局限性。然而,開放程度隻是對已公開個人資訊一個方面的考察,而公開主體、公開方式等重要因素未被納入考量之中,忽略了個人資訊公開場景的複雜化,并不适合處理具有靈活性的個人資訊案件。許多資訊雖然完全公開或者限制公開,但是其為非法公開的個人資訊,如果采取此标準,資訊處理者在并不知情的情況下将非法公開的個人資訊作為合法公開的個人資訊進行處理也構成犯罪,這将陷入客觀歸罪的困境。
(四)場景化路徑及其反思
立足于情境脈絡完整性理論提出的“場景理論”認為已公開個人資訊是否被合理處理,需要綜合考慮個人資訊原始收集時的具體語境,資訊後續傳播以及利用不能超出最初的情景脈絡。場景理論結合具體場景對合理處理進行判斷,有助于在個案中界定合理處理的範圍,但是該說也存在一定缺陷。該說将個人資訊的公開場景劃分為“生活性場景”“商業性場景”“公共利益場景”以及“違法犯罪場景”,但是個人資訊的應用場景複雜多變,以上分類也難以全面涵蓋所有公開場景,且它們之間存在交叉關系。場景理論主張資訊處理行為從高風險場景流向低風險場景的并不屬于違法犯罪,而使公開個人資訊從低風險場景流向高風險場景的則可能構成侵犯公民個人資訊罪;然而,除了從合法場景流向違法犯罪場景可以認定為風險提高之外,其他場景之間由于存在競合關系很難判斷風險的高低。
四、處理已公開個人資訊行為的類型化規制
已公開個人資訊由于在公開主體、目的和對象等方面存在差别,是以該類案件十分複雜。鑒于上述路徑的缺憾,筆者認為較為合理的路徑是采取前置法規定的合理處理規則對已公開個人資訊處理行為性質進行認定,根據已公開個人資訊的公開主體、公開範圍以及合法性依據的不同對其進行類型化區分,并結合公開資訊的具體情況建構不同的判斷标準。
(一)已公開個人資訊的類型化區分
基于資訊公開的合法性依據的有無,已公開個人資訊首先可以類型化為合法公開個人資訊與非法公開個人資訊。在合法公開個人資訊内部,由于公開主體的差異,可分為自願公開個人資訊與強制公開個人資訊;同時,根據公開範圍的不同,可劃分為完全公開個人資訊與限制公開個人資訊。在不同的公開場景下,公開狀态所展現的公開合法性依據以及公開價值等存在不同,後續處理行為可能對資訊主體所造成的人身、财産權利損害也存在差異,是以其所反映的個人資訊保護的重點亦不同。
非法公開的個人資訊為未經資訊主體同意或者違背其意願的情況下擅自公開的個人資訊,通常包括以下兩種情形:其一是第三人的法益損害行為,如非法披露個人資訊導緻資訊被公開;其二是國家機關違反比例原則強制公開個人資訊,這兩種行為在不同程度上都侵犯了資訊主體的個人資訊自決權。
自願公開個人資訊在本質上展現了資訊主體較為強烈的意志與目的,例如在小紅書平台上公開自己的生活日常以塑造個人形象,或者在求職軟體上公開個人基本資訊以擷取工作機會,其合法性來源于在于個人資訊自決權的行使,此類資訊公開隐含了資訊主體在一定範圍和程度上對資訊處理行為的知情同意。強制公開個人資訊為基于法定理由而予以公開,此類資訊主要包括三種情形,一是公權力機關在依法履行職責過程中公開的個人資訊,二是新聞報道和輿論監督過程中公開的個人資訊,三是人們法院在裁判文書中公開的個人資訊;前兩類資訊的公開目的是確定公民的知情權得以實作,第三類資訊公開則是為了維護司法公正。是以,此類資訊公開的合法性依據在于個人資訊管理中權利保護方面向合理利用方面做出了一定的讓步。處理強制公開個人資訊案件時,應當兼顧個人權利保護與資訊合法利用的雙重資訊治理目标,以保證資訊主體能夠充分行使資訊權利,同時也最大限度發揮資訊的流通價值。
對于合法公開個人資訊公開程度的判斷,可以借鑒德國所采用的“客觀可通路标準”,即完全公開個人資訊為不具備實質通路條件設定并旨在向公衆提供的資訊。也就是說,完全公開個人資訊是公衆通過一般方法,不需要投入大量财力和時間精力即可擷取的資訊。比如資訊主體在微網誌、小紅書等社交平台上,使用者隻需注冊賬戶就可以通路所有公開狀态的内容,對于浏覽、擷取他人資訊并沒有設定任何實質的限制。而限制公開的個人資訊則表現為設定了實質通路的限制條件,需要滿足特定的限制條件才能擷取的資訊,例如在微信群聊或者朋友圈中分享的個人資訊,隻有群成員或者微信好友才能獲悉以上資訊。
(二)處理已公開個人資訊行為的具體規制路徑
1、處理非法公開個人資訊的行為
處理非法公開的個人資訊行為原則上具有法益侵害性。未經資訊主體同意而公開其個人資訊,意味着其公開性中沒有資訊主體同意的背書;而超越法律授權公開個人資訊的,由于過分強調公共利益而對資訊主體的權益造成了違反比例原則的損害,屬于“違反國家有關規定”。是以,此類行為會對個人權益造成侵害,屬于前置法中的違法行為,不能作為後續資訊處理行為的合法依據,處理該資訊的行為可能構成侵犯公民個人資訊罪。但是,該類資訊雖然為非法公開,但其公開狀态為客觀存在的,資訊處理者對此類資訊的處理行為并不一定因為公開行為的法益侵害性就完全排除出罪可能性。行為人對資訊公開違法不具有認識可能性時,非法公開導緻的後果不應由資訊處理者承擔,此時沒有必要對資訊處理者進行非難;若行為人明知是違法公開個人資訊而擅自處理,情節嚴重的,應負刑事責任。
2、處理自願公開個人資訊的行為
資訊主體自願公開個人資訊是對個人資訊自決權的處分,是以行為人在對個人資訊進行再次處理時,不得損害資訊主體關于資訊在何範圍内進行流通的決定權。行為人處理此類資訊是否構成犯罪,需要根據資訊公開範圍的不同分别進行讨論。
其一,對于自願完全公開的個人資訊來說,隻要處理行為未經資訊主體明确拒絕或者侵害其重大利益即不具有刑事可罰性。此類資訊為資訊權利人自願公布于公共領域,是以可以認為資訊主體對于後續資訊處理行為具有默示同意。事實上,資訊主體的公開行為實質上是對後續資訊處理行為的概括同意,意味着資訊主體對他人擷取、使用其資訊的許可。在這種情況下,資訊主體的同意相當于被害人承諾,是以資訊處理者的行為不具有違法性,即行為人擷取、提供資訊主體自願公開個人資訊的行為不具有法益侵害性。
其二,對于資訊主體自願在一定範圍内公開的個人資訊,資訊處理者應當在資訊主體開放的範圍内處理該資訊,若超出了此範圍則應當獲得資訊主體的授權,否則侵害了其個人資訊自決權,處理行為具有刑事可罰性。需要注意的是,對于資訊公開範圍的界定,應當将其限定在同一場域内,而不能擴充至同類場域。資訊主體在特定範圍公開其個人資訊,并不意味着願意在同類平台上公開這些資訊,是以行為人應當在征得資訊主體的同意的前提下處理個人資訊。例如,在“柯某某侵犯公民個人資訊案”中,被告人柯某某建立“房利幫”軟體,從房産中介人員處收購房源資訊,并安排從業人員冒充房産中介人員從微信群以及其他網站等處套取房源資訊、聯系電話,後再以會員套餐方式在“房利幫”網站上打包出售。該案中,涉案房源資訊由房東挂牌至房産中介處,其僅向特定範圍公開,房源資訊經“房利幫”網站釋出後,導緻涉案資訊由特定範圍公開轉變為向全社會公開,侵害了資訊主體的個人資訊自決權。
3、處理依法強制公開個人資訊的行為
依法強制公開的個人資訊在實踐之中往往會涉及資訊主體與公權力機關之間意志關系的綜合展現,此時的資訊權利人為了社會公共利益讓渡了一部分自己的資訊自決權,讓自己的資訊進入了公共領域,此時資訊權利人對于自己的公開資訊的控制被削弱,但是法律對于這些公開個人資訊的保護不應當被削弱,應當盡可能降低個人資訊被濫用的風險。
首先,對于依法強制完全公開的個人資訊,在權利人未明确拒絕或者未對個人權益造成重大影響的情況下,資訊處理行為不應該成立犯罪。國家機關可以出于不同部分的合法事由公開公民個人資訊,在該種情形下,個人資訊的公開甚至可能是違背資訊主體的意願,比如裁判文書中公開的公民個人資訊以及司法機關公布失信被執行人的基本資訊等。強制公開個人資訊被公開的法律依據在于公共利益的考量,是進行利益權衡的結果。此類資訊承載着公共知情權、資訊流通等公共利益,資訊主體對于後續處理行為應當承擔較高容忍義務。從嚴格的法益保護角度出發,該類行為似乎侵犯了侵犯公民個人資訊罪的保護法益,即個人資訊自決權。但是将這些行為納入刑法規制範圍顯然與資訊治理的要求不符,也不當限制了資訊的自由流通。針對該類案件,應當作為符合違法阻卻事由的情形,進而在違法性層面作出罪處理。例如,在前文所提及的“吳某侵犯公民個人資訊案”中,行為人收集工商資訊登記網絡上完全公開的公民個人資訊後,向有業務拓展需求的群體提供,雖然其主觀目的是為了獲利,但是依法公開的個人資訊具有更多公共領域色彩,資訊處理行為也未被明确拒絕或者給資訊主體造成重大損害,是以屬于合理處理行為,不構成侵犯公民個人罪。
另外,對于依法強制在一定範圍内公開的個人資訊,需要根據資訊主體的處分權限進行差異化處理。當資訊主體擁有處分權時,可以完整行使個人資訊自決權時,行為人在處理資訊前應進行告知并取得授權;在公共利益絕對優先,資訊主體無法行使自決權的情況下,該類資訊往往不得處理;此外,當資訊主體處分權限不完整時,應當征得有關部門以及資訊主體的雙重同意。
五、結語
通過對司法實踐中的案例進行分析,發現侵犯已公開個人資訊行為的刑法認定存在同案不同判的現象,同時在理論界也存在定性分歧。為了解決現實問題,首先明确侵犯公民個人資訊罪的保護法益是個人法益,個人資訊自決權能夠契合刑法設立侵犯公民個人資訊罪的目的,作為侵犯公民個人資訊罪的保護法益具有合理性。關于處理已公開個人資訊行為定性路徑的選擇,二次授權标準既不符合大資料時代的發展,也不具備實踐中的可操作性;合目的性考察說由于難以準确認定資訊公開的目的與用途,進而使得這一判斷标準難以發揮穩定作用;客觀開放程度路徑考察次元較為單一且存在客觀歸罪之嫌;此外場景化路徑的觀點難以全面涵蓋所有公開場景,無法準确判斷資訊面臨風險的高低。本文認為對于已公開個人資訊處理行為,應當根據公開主體、公開方式以及公開範圍的不同進行分類讨論。具體來說,處理非法公開的個人資訊通常具有法益侵害性,構成侵犯公民個人資訊罪。處理自願完全公開的個人資訊無須取得資訊主體同意,隻要未被明确拒絕或者未侵害資訊主體重大利益就不具有法益侵害性;資訊主體自願在特定範圍内公開個人資訊的,行為人在該範圍内處理此資訊不具有刑事可罰性,超越該範圍進行處理時應取得資訊主體的授權許可。處理依法強制完全公開個人資訊行為不具有刑法可罰性,但資訊主體明确拒絕或者對其個人權益有重大影響除外;處理依法強制在一定範圍内公開的個人資訊,資訊主體享有處分權時應征得其同意,資訊主體無權處分時該類資訊不得處理,資訊主體處分權不完整時應當征得雙重授權。
參 考 文 獻
[1]蔡雲.公民個人資訊的司法内涵[J].人民司法,2020(02).
[2]張憶然.大資料時代“個人資訊”的權利變遷與刑法保護的教義學限縮——以“資料财産權”與“資訊自決權”的二分為視角[J].政治與法律,2020(06).
[3]儲陳城,魏培林.刑法視阈下已公開個人資訊的合理利用——以個人自治法益觀為中心的探讨[J].重慶郵電大學學報(社會科學版),2023(5).
[4]高富平,王文祥.出售或提供公民個人資訊入罪的邊界——以侵犯公民個人資訊罪所保護的法益為視角[J].政治與法律,2017(02).
[5]劉豔紅.侵犯公民個人資訊罪法益:個人法益及新型權利之确證——以《個人資訊保護法(草案)》為視角之分析[J].中國刑事法雜志,2019(05).
[6]高楚南.刑法視野下公民個人資訊法益重析及範圍擴充[J].中國刑事法雜志,2019(02).
[7]吳偉光.大資料技術下個人資料資訊私權保護論批判[J].政治與法律,2016(07).
[8]敬力嘉.大資料環境下侵犯公民個人資訊罪法益的應然轉向[J].法學評論,2018(02).
[9]皮勇,王肅之.大資料環境下侵犯個人資訊犯罪的法益和危害行為問題[J].海南大學學報(人文社會科學版),2017(05).
[10]喻海松.“刑法先行”路徑下侵犯公民個人資訊罪犯罪圈的調适[J].中國法律評論,2022(06).
[11]周光權.侵犯公民個人資訊罪的行為對象[J].清華法學,2021(03).
[12]王華偉.已公開個人資訊的刑法保護[J].法學研究,2022(02).
監制:張永江
作者:艾頌霞,湘潭大學法學院2023級法律(法學)研究所學生
編輯:艾頌霞
責編:廖佩蕾
稽核:李蘭
微信公衆号| 湖南省刑事法治研究會
新浪微網誌| @湖南省刑事法治研究會
今日頭條| 湖南省刑事法治研究會