1. 问题的提出
随着信息社会快速发展,大数据分析、云计算、人工智能等技术逐渐成熟,人们生活也逐渐数据化,个人信息在社会生活和经济交往中的作用越来越重要,成为各类数字信息的综合体,其中蕴含的经济价值不言而喻。2020年4月国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》中就明确指出发展数字经济必须优化经济数据库,推进政府数据共享开放,提升数据价值,加强数据保护,促进数据流通和共享交换。也就是说,只有促进数据流通,实现资源共享,打破信息数据共享壁垒,才能促进数字经济向好发展。而个人信息正是数据组成的基础,个人信息是数据的内容和组成部分,数据是个人信息的集合。促进数据共享流通实际上也需要个人信息的流通,而放任个人信息的任意流通又可能侵犯公民个人信息,不利于对公民个人信息的保护;同样地,如若过于强调对个人信息的保护又将限制信息流通,不利于数字经济发展。因此,必须在信息的流通价值需求与信息保护需求之间求得一个均衡状态,才能在合理保护个人信息的基础上充分利用信息价值。其中,学界和实务届争议最大的就是已公开个人信息的刑法保护问题。
“大数据的价值不再单纯来源于它的基本用途,而更多源于它的二次利用。” [1] 《刑法修正案(九)》新增设“侵犯公民个人信息罪”,将“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的”认定犯罪,实际上认可了合法收集公民已公开信息的合法性。收集已公开的公民个人信息无需授权并且成本不高,因此有人利用网络爬虫等技术大量收集已公开的个人信息,通过将收集的个人信息出售、提供他人获取利益,这些信息有些用于商业营销、大数据分析,有些被用于电信诈骗、发送垃圾短信、跟踪定位他人等违法活动。因此2017年最高院、最高检联合出台的司法解释中规定合法获得的他人信息出售、提供的需要二次授权,必须经过被收集者同意,限制了对已公开个人信息的二次利用。但是2021年《个人信息保护法》出台,其中第二十七条:“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”与2017年司法解释的“二次授权规定”相矛盾,就导致司法实践中出现法律适用难题。为此,本文主要讨论一下三个问题:第一,已公开的个人信息是否属于刑法第二百三十五条之一“侵犯公民个人信息罪”中“个人信息”?其二,司法解释中“二次授权规则”是否是对公开信息的“过度化”保护,存在什么问题?第三,对于出售、提供已公开个人信息的行为,到底如何认定其罪与非罪,划定其犯罪边界?
2. 已公开个人信息属于“公民个人信息”
2.1. 基于公民个人信息的内涵及范围判断
社会不断发展,各种新信息类型不断更新,“公民个人信息”的内涵范围也不断扩张变化,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定:“‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”强调了公民个人信息的可识别性,并列举常见形式。《个人信息保护法》第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”与前者相比取消了“能够单独或者与其他信息结合识别”的表述,并且不再列举具体形式,但是依旧强调公民个人信息是具有可识别性的自然人信息。因此,个人信息必须与自然人相关联,而且与特定自然人相关联,同时具有识别性,即通过该信息已识别或者可识别特定自然人 [2]。“可识别性”是个人信息的核心和基础,只有可以直接识别或者结合其他信息识别自然人身份的信息,才是侵犯公民个人信息罪中的个人信息。至于该信息是否公开,是否具有隐蔽性则不在考虑范围内。所以对于已公开的个人信息,不论是行为人自行公开还是被强制公开,只要他人可以根据该信息识别自然人的特定身份,就属于本罪所指的“公民个人信息”。
2.2. 基于侵犯公民个人信息罪的法益判断
明确侵犯公民个人信息罪“个人信息”的内涵和范围,必须正确理解其法益性质。对于侵犯公民个人信息罪的法益认定,刑法学界主要存在以下三种观点:个人法益说、超个人法益说以及双重法益说。个人法益说中又分为一般人格权说、隐私权说以及信息自决权说四种:一般人格权说认为本罪的保护法益是公民的人身自由和人格尊严 [3];隐私权说认为应该基于传统法益重塑隐私权,确认本罪法益为隐私权 [4];个人信息权说认为本罪法益既不是传统人格权也不是隐私权,而是个人信息权,是一种更加综合的权利,包含物质、精神、隐私权,包含信息控制权和利用权两个方面 [5];信息自决权说认为超个人法益说认为应该对本罪法益做限缩解释,缩小个人信息权的范围,精确到对个人信息的控制,不包含对个人信息的利用权 [6]。超个人法益说主要包含信息专有权说、公共信息安全说以及社会管理秩序说三种:信息专有权说认为本罪法益并非是信息自决权而是自然人对占有信息享有的处分权 [7];公共信息安全说认为法益是公共信息安全,只有行为人的行为威胁到社会公共信息安全才构成本罪;社会管理秩序说认为本罪并非对个人的单纯保护,更体现在对社会信息秩序的保护。双重法益说认为本罪法益不应局限于个人法益,而应该包含对集体利益的保护,既包含个人法益也包含超个人法益。
因此,明确侵犯公民个人信息罪的法益,首先要明确其是个人法益、超个人法益还是双重法益。根据《刑法修正案(九)》、2017年司法解释、《民法典》以及《个人信息保护法》对个人信息的界定和侵犯公民个人信息行为的表述,可以看出立法者设立侵犯公民个人信息罪是为了保护公民个人信息以及与公民个人信息相关联的财产、人身、隐私安全,并不涉及对公共信息安全或者对社会秩序的保护。再加上刑法将本罪置于第四章中,可以见得本罪法益应属于“侵犯公民人身权利、民主权利”之中,不可能是超个人法益,是典型的个人法益。在个人法益四种观点中,笔者更赞同信息自决权说。因为个人信息自决权的法益观最为契合《个人信息保护法》等前置法的规定以及侵犯公民个人信息罪的法律规定 [8]。刑法是其他法律的保障法,应该具有谦抑性,因此刑法不得也不该创设其他法律没有规定的法益,应该与其他法律的法益保持一致。《个人信息保护法》对侵犯公民个人信息的行为认定,主要在于行为人的行为是否侵犯公民知情同意权,强调对于获取公民个人信息、处理公民个人信息都应该是在公民知情同意的基础上。而知情同意实际上就体现了行为人对个人信息的控制权,也即信息自决权。对于已公开的个人信息,并不意味着自然人已经放弃对该信息的自决权,其依旧享有决定该信息是否被他人处理,用何种方式处理、在何种时间地点处理的权利,这些权利并不因为个人信息隐蔽性的丧失而丧失,因此获取他人以公开信息并进行违法行为的,依旧构成本罪,已公开信息属于本罪中的“公民个人信息”。
3. “二次授权规则”及其存在的问题
3.1. 司法解释“二次授权规则”由来
对于公民个人信息的保护立法模式,不同于以往法定犯民法、行政法等前置法先行,刑法后置兜底的形式,是在我国民法、行政法均为对侵犯公民个人信息的行为作出规制的情况下,为保护个人信息防止滥用损害公民利益,由刑法率先规制出售或者提供他人个人信息的行为,在《刑法修正案(九)》中新增侵犯公民个人信息罪。又在2017年最高法、最高检出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条第二款中规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”确立了以自然人是否知情、同意为认定标准的判断准则,并且要求即使是将合法收集的个人信息提供给他人的,也应该经过被收集者同意。因此,在司法实践中就以“二次授权”作为判断行为人提供出售合法获得的他人个人信息是否构成犯罪的规则。
但是《民法典》第1036条第二项以及《个人信息保护法》第二十七条实际上否定了“二次授权规则”:对于二次使用合法获得的他人个人信息的行为,不要求必须获得他人同意,只要权利人没有明确拒绝或者未侵犯其重大利益即可。在法秩序统一视角下,刑法作为保障法应该与前置法规定保持一致,其保护范围应该小于前置法。因此需要重新审视“二次授权规则”在司法实务中的作用。
3.2. “二次授权规则”存在的问题
除了应该与前置法保持一致,“二次授权规则”本身也存在一些适用上的问题。第一,“二次授权规则”会导致侵犯公民个人信息罪适用范围扩大,压缩公开信息利用的空间,限制信息共享和流通,不利于数字化社会发展。根据“二次授权规则”,行为人在合法获取他人个人信息后,需要再次获得权利人同意才能处理该信息。而这在信息化时代是很难做到的,一方面数据数量庞大,获取大量合法信息后再逐一获取他人授权难度非常大,实际生活中很难做到;另一方面,二次授权实际上否定了一次授权的效果,合法获取但不能二次利用限制了信息利用和使用的范围,对于那些需要二次利用获取信息的企业、个体而言,获取行为本身没有太大意义,而征求所有信息主体的同意又会导致成本增加,如果严格遵守二次授权标准,大批信息服务提供商将很难完全合法地开展业务,处理公开信息的空间会被严重挤压 [9]。第二,“二次授权规则”的不明确也会导致司法实务中出现同案不同判的现象,不利于实现司法公正。在赵海军、曾惜等侵犯公民个人信息罪一审刑事判决书中,法院认为李琼提供的工商企业信息应该认定为公民个人信息,向赵海军等人提供企业信息的行为未获得被收集者同意,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的规定,应该构成侵犯公民个人信息罪;但是在部分案件中,比如吴某侵犯公民个人信息一案中,检查机关发出的《要求说明立案理由通知书》中就指出吴某出售合法公开的公民个人信息时,权利人并未明确表示拒绝,且出售提供的行为没有侵犯权利人重大利益,因此不应认定为侵犯公民个人信息罪,监督公安机关作撤案处理。
4. 基于类型化分析的司法认定标准
根据前文,合法获取他人已公开个人信息的行为不构成侵犯公民个人信息罪是不言而喻的。学界产生分歧的地方主要在于:到底该如何认定未经他人二次授权就擅自处理已公开个人信息行为的责任界限?笔者认为,已公开的个人信息有其特殊性,存在多样化的公开情形,并且各类情形对于擅自处理他人已公开信息的行为是否构成犯罪有不同的影响,因此应该对该种行为进行类型化分析,按照公开是否自愿,将已公开个人信息分为自行公开和被动公开两大类。
4.1. 自行公开的个人信息
随着信息时代到来,社交媒体和网络技术发展迅速,通过社交媒体在网络空间分享、展示个人信息已经成为大多数人的生活常态。越来越多的个人信息基于自愿展示在公共网络平台,就为他人获取整理相关信息提供了便利。这些信息的展示一方面满足分享生活的心理需求,另一方面也是进行社会交往的一部分,帮助分享者建立良好的社交环境。例如在微信朋友圈、QQ空间、微博、小红书、抖音等平台公布自己的电话号码等联系方式、照片视频、行动轨迹甚至是身份证号码信息。此类信息完全是基于信息所有者真实意思公布,如果他人通过对该种信息进行收集整理并且提供给他人,收集者的行为是否构成犯罪?收集之后提供的行为如果不经过被收集者同意,又是否构成犯罪?
信息自决权最核心的内容就是自然人对自己个人信息的控制权,因此强调他人收集、利用个人信息必须遵循知情同意原则,也即该被收集者对于行为人的行为是一种明示或者默示同意。这种“知情同意”在刑法教义学中也即是“被害人承诺”。是指个人对于自己能够合法支配的权益,可以基于自己的决定放弃,从而阻却犯罪成立。因此权利人根据自己的真实意思表示将个人信息公布,就表明允许他人获取该信息,对于他人获取并合法使用该信息的行为认定为默示同意,从而阻却该种行为的非法性。但是需要注意,通过法律将信息主体自行公开个人信息的行为推定为默示同意的意思表示是对私人自治的一种平衡,实质是以法律的意志来代替当事人的意志 [10]。权利人自行公开其个人信息构成默示同意并不意味着其完全放弃了对该信息的信息自决权,而是有限度的让渡一部分权利,权利人依旧保留明确拒绝的权利。
此外,对于何种公开行为可以认为信息所有权人构成默示同意呢?笔者认为可以引进德国一般可访问性标准进行判断:在数据具有客观可访问性的基础上,只有对数据设定了某种法律上的实质访问条件限制,该数据才可能属于非一般可访问性个人数据;如果没有这种实质性限制,则排除相关数据处理行为的刑事可罚性。也就是说,信息公开人发布个人信息的平台、网站如果设定了实质访问的限制条件,他人必须通过该限制条件才能访问并获取信息公开人的个人信息,那么此种信息就不属于一般可访问的信息,不能推定信息公开人对他人获取、利用该信息的默示同意。比如,在微信群、微信朋友圈公开的个人信息,实际上设置了访问条件,即他人只有加入该群聊或者通过好友验证才能获取该公开信息,因此可以观看该信息的微信群用户以及朋友圈好友仅有权获取该信息而不能擅自将该信息提供、出售给没有观看权限的第三人。而在微博、抖音、小红书等平台,只要注册账号即可浏览平台内所有公开内容,此种注册账号的行为,只要提供注册信息即可通过,对于获取、观看他人发布的个人信息并无实质性限制条件,即可推定信息发布人对于随机他人获取其公开信息是默示同意的。因此,可以将权利人自愿公开其个人信息,且发布平台没有实质限制作为行为人获取、提供该公开行为的出罪事由。
4.2. 被动公开的个人信息
被动公开的个人信息主要有两类,一类是被他人违法公开的个人信息,另一类是被依法强制公开的个人信息。被他人违法公开的个人信息,是指他人在权利人不知情的情况下,非法获取、非法提供、展示、出售权利人个人信息的行为,导致权利人在没有公开意思和行为的情况下,使得权利人个人信息已经处于事实上的公开状态。对于此种非法公开的行为,必然是针对其直接非法获取或者他人非法获取后又提供、出售的个人信息,因此该种获取行为已经符合刑法第二百五十三条之一第三款的规定,构成侵犯公民个人信息罪。
依法强制公开的个人信息,是指依照法律法规,以维护公共利益为主要目的,由政府或其他单位合法公开的自然人个人信息。例如裁判文书网中公布的法院行政、民商事、刑事判决书、裁定书中包含的律师、当事人等公民的姓名、身份证号码、住址、工作单位等身份信息;公务员考试录用公示信息中的个人信息;疫情期间向社会公布的确诊人住址信息及行程轨迹信息;依据企业信息公示条例向社会公示的注册登记信息、备案信息等。此种已公开信息并未获得权利人同意,只是基于对社会公共利益的保护和法律法规的强制性规定而公开,甚至是违背权利人自身意愿的,无法适用前述“权利人默示同意”规则。对于此种信息,行为人收集并出售、提供他人的是否构成侵犯公民个人信息罪呢?
权利人的个人信息被强制公开后就进入公共领域,允许他人浏览、获取该信息。但是被强制公开的个人信息并不意味直接剥夺权利人的信息自决权,依旧需要对被公开信息的流动和用途进行一定的限制,从而保护个人信息不被滥用,实施违法犯罪。但同时,信息收集者花费时间、人力等成本,汇集个人信息形成综合数据,也需要进行保护,从而使个人信息实现相对自由流通,促进数字市场发展。刑法的根基是保障公民的自由权利,个人自由权的行使是法秩序的最高准则,为确保实现公民幸福生活的至善国家目的,刑罚权的行使必须在法律的必要限度以内。因此,刑法不应该过于强调对权利人个人信息的保护,“一刀切”地对他人提供已公开信息的行为认定为侵犯公民个人信息罪。而应该合理分配被强制公开的个人信息的相关利益,在保护信息安全和实现信息利用价值二者间找到平衡,一方面规避利用被强制公开信息进行违法行为,导致权利人损失的风险,另一方面保护对已公开个人信息的合理利用,促进数据信息流通。
《个人信息保护法》、《民法典》等前置法中都对他人处理权利人已经被合法公开的个人信息设置了“合理处理规则”,明确在合理处理范围内,无需经过权利人同意即可处理该信息。根据法秩序统一原则,也应在刑法中引入“合理处理规则”。需要注意以下三个方面:第一,处理目的应该具有正当性且符合公开目的。一方面,处理依法强制公开的个人信息必须具有正当性,不能用于违法犯罪,用于违法犯罪的行为不论是否征得权利人同意,是否违背被公开的用途都构成犯罪。另一方面,处理目的还应该符合公开目的。依法强制公开的个人信息一般都具有特定的目的,如果他人处理权利人个人信息的行为与权利人合理预期相符,那么即可认为其可能产生的侵害风险应在信息主体容许范围之内,即便没有经过权利人明示同意,也可以推定该利用行为因缺乏法益侵害性而阻却犯罪。第二,处理方式不该背离被公开时的用途。也就是说行为人的后续处理活动出售、交换、提供、使用等行为须与个人信息被公开时的用途没有根本性抵触,不得用于实施违法犯罪活动或侵害信息主体的基本权利 [11]。但是对于是否背离被公开时的用途的判断,应该做一定的扩大解释。不能要求行为人利用已公开个人信息的用途与原本强制公开时的用途完全一致,只要与公开时的用途不矛盾,且不违反法律规定即可。第三,处理结果未对权利人有重大影响。根据《个人信息保护法》第二十七条“个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。”,行为人利用已公开个人信息未获得权利人同意授权的,不能对权利人产生重大影响,损害权利人利益。因此行为人处理已公开信息应该在可以实现其处理目的的前提下,采取对权利人合法权益影响最小的处理方式,避免损害权利人合法利益。