1. 已公开个人信息刑法保护必要性
现代社会科学技术飞速发展,已然进入数字经济时代,毫无疑问,数据已经成为了社会进步和经济发展的最重要要素之一。从历史实践中我们可以得到,数据的流通是数据价值的最大化实现的方式,也是数据的天然属性,只有将数据进行一定程度的流通与共享才能最大程度上促进数字经济进一步发展。信息是数据的内容,数据是信息的形式 [1] 。在这个数据社会中,个人信息充斥在每一项数据之中,大数据的生成无疑来自于个人信息的集合,因此对个人信息进行保护也就十分必要。自《个人信息保护法》生效以来,国家对个人信息的保护迈上一个新的台阶,其中,在最终正式通过的个人信息保护法中对先前的草案一审稿、二审稿中关于“已公开个人信息”规则进行了推翻,确立了现行个人信息保护法第27条之内容,足以证实国家对个人信息尤其是已公开个人信息的关注。
根据《个人信息保护法》及《民法典》的相关规定,对已公开个人信息的处理要在合理范围内且个人未行使拒绝权,且目前我国刑法针对个人信息保护存在有侵犯公民个人信息罪,但在行文中仅表述“公民个人信息”,未明确标明对“已公开个人信息”的保护,因此探究已公开的个人信息是否仍受刑法保护就成为一个问题。当前我国刑事法律所采取的是温和的家长主义,在已公开个人信息保护领域可以体现为虽然个人信息已经处于公开状态,但刑法仍将其看为社群成员,给与其保护,以防止其受到来自各方(例如他人、社会和国家)的不当压制 [2] 。
2. 侵犯公民个人信息罪保护法益
根据我国刑法关于分则罪名的规定,我国对犯罪的本质采取法益侵害说,即从法益侵害的角度对形势不法行为进行评价,将“法益侵害”认为是犯罪的本质内涵,因此研究一项罪名,首先要确定该罪名所要保护的法益(亦即犯罪客体),即研究刑法所要保护怎样的社会关系不被不法行为侵害或威胁。只有行为对法益造成侵害或引起危险时,我们才认为行为具有社会危害性,要用刑法予以规制。
(一) 理论争议
关于侵犯公民个人信息罪所保护的法益,我国理论界进行过一个发展的过程。
1) 隐私权法益
在较早期,有理论主张侵犯公民个人信息罪所保护的法益是公民的隐私权,依据此种观点,刑法不保护客观上已经处于公开状态的个人信息,因为其已经不具备隐私性。但随着学界对隐私权及个人信息等的认识逐步加深,这种观点已经被时代淘汰。
首先,若想充分地保护与公民信息相关的权利,认定保护法益是隐私权是不行的,即使信息处于已公开状态,信息主体个人对信息也应当有一定程度上的控制的权利,例如,了解信息向公众传播的程度、他人使用和处理信息的目的和目标受众,等等 [3] 。其次,民法典人格权编已经将隐私权的保护和个人信息权利的保护进行了明确的区分,对二者的判断标准、范围和保护方式等有不完全相同的规定 [4] ,在这种背景下,隐私权不宜再认定为刑法中侵犯公民个人信息罪的保护法益。
2) 可识别性标准
随着相关立法的完善,个人信息的认定标准及侵犯公民个人信息罪保护法益逐渐从“隐私权”转变为“可识别性”。《民法典》对个人信息的定义是可识别性,这与隐私权是不同的。可识别性是指可以通过信息识别特定自然人的身份,只要该信息具有这种效力,就被视为个人信息,可以受到刑法的保护。基于这一标准,公开的个人信息使信息的私密状态收到爱了影响,产生了变化,但是依旧可以指向特定自然人 [5] 。
然而,需要注意的是,虽然可识别性的判断较隐私权有一定进步,但不能依此认为所有的信息(包括可以直接识别或者可以间接识别公民个人身份的)都应纳入刑法保护范围,事实上,可识别性是行为人构成侵犯公民个人信息罪的必要不充分条件 [6] 。
3) 个人信息权
伴随着学界探讨刑法上保护个人信息的具体罪名究竟侵犯的是怎样的法益的逐步加深,特别是在民法典明确了个人信息权利的背景下,将个人信息权作为具体保护法益的呼声越来越高。在这种语境下,处理已公开个人信息是否具有刑事上的可罚性,就要看行为是否侵犯了公民的个人信息权。对此,有学者认为,法益处分自由也应当属于法益概念本身的一部分,所以公开的目的以及信息公开后的用途都是其中的一部分,若行为人对个人信息的处理行为违背了公民公开的上述要件,就侵犯了个人信息权,又构成侵犯公民个人信息罪的可能 [7] 。
(二) 本罪的保护法益
基于上述论述,当前学术界已基本达成共识,即侵犯公民个人信息罪所保护的法益是个人信息权,而其中个人信息权的核心是信息自决权 [8] 。
信息自决权是自然人主体对个人信息的支配和自主决定,作为一种基础权利,自决权的本质在于信息主体能够做到对自身信息的选择与控制,也就是说,信息主体能有权利决定其信息被他人收集、储存、处理、利用的时间、地点以及方式。根据我国关于“知情同意规则”的规定,在此规定下,只有在充分尊重信息主体的知情同意权时,才能够利用信息,亦即,在尊重用户获取权的前提下利用个人信息,更正甚至删除错误的信息 [9] 。
3. 已公开个人信息的认定
(一) 已公开个人信息的公开性认定
关于已公开个人信息究竟是怎样的信息,就涉及到了讨论公开性的个人信息究竟如何认定的问题。在过去的司法实践中,有二次授权分析方案、合目的性考察路径,以及后来提出的客观开放程度标准说,但是他们都存在着些许的不足。
1) 理论学说
二次授权分析思路是指在行为人向第三方提供其所收集的信息时,若不想违反国家规定,则必须获得来自权利人的二次授权,也就是说,要对已经处于公开状态的个人信息的获取行为及再次提供行为进行区别性评价。但是,在实务中,如果权利人没有对授权的层次进行明确的约定或者作出具体的说明,就很难分辨权利人究竟授权了几个层次,区分一次授权与二次授权就失去了充分的理由。同时,二次授权的要求会给实务操作来来很大的不便,数据在流通中获得价值,要求数量庞大的数据逐个获得来自权利人的二次授权,会在很大程度上压缩处理已公开个人信息的空间。
合目的性考察路径要求行为人对信息的处理要符合权利人公开信息时的目的、用途。合目的性考察路径主要是在我国个人信息保护法草案中处理已公开个人信息所采用的规则。1但是,由于人的复杂性,造成了权利人在公开个人信息时对其目的及用途的多元性,哪怕是法律法规强制性要求的场合,也难以确认准确的公开用途和目的,因此在实践中采取这一处理标准存在一定的困难。
客观开放程度标准说,是近年来有学者在传统的二次授权方案和合目的性考察方案之外提出的处理已公开个人信息的规则方式 [6] ,这种方案侧重于统一根据信息的客观开放性程度对已公开个人信息的处理者进行刑事责任边界划分,可以一定程度上弥补二次授权方案和合目的性方案的不足之处,但是也存在一定的问题。例如,采取客观状态决定再处理行为的合法评价过于绝对,不具有灵活性处理相关案件的条件,容易忽视场景多元化复杂化在公开个人信息时的表现。
2) 已公开个人信息界定
笔者认同另一新的观点,即已公开个人信息是完全对外公开的信息 [5] 。已公开个人信息应当是任何公众都可以通过正规渠道获取到的信息,如果是限制开放的个人信息则不能认定为已公开个人信息,因为这些信息或只能被内部少数人获取、或内部渠道获取与外部渠道获取的信息具有一定范围上的差异,不能被任何公众通过简单合法手段和正规渠道获取。同时,判断一个信息是否具有公开性时,不应考虑其价值判断,而应从客观事实上进行判断,亦即,公开的状态(即信息是否已被公开)不受信息公开来源和权利人主观意志的影响,这就意味着,有目的的公开信息不会造成公开状态的改变。不过,在实务中,需要有相关证据证明信息已经处于公开状态,而不是模糊笼统认定,这样做也有利于法院精确认定判断。
(二) 已公开个人信息的类型化构建
作为一类特殊化的个人信息,在不同的公开性场景下,根据其所表征的公开目的、公开合法性来源等等的不同,已公开个人信息需要进行区分,可以通过进行类型化分析,构建已公开个人信息的处理体系。由于信息的事实要素以及规范性要素的不同,可以将已公开个人信息分为自愿公开、强制公开和非法公开三种类型。
1) 自愿公开
自愿公开的主体一般是信息权利人本人,其合法性依据在于权利人行使自己的个人信息权利,在特定场景下处分自己的法益,一般不涉及公共利益。其场景多是权利人为了实现自己的个人目的而公开,比如公开个人信息以求职招聘、公开个人信息用于相亲交友等等。对这类已公开个人信息,对其后续的处理主要在考察信息控制权。
权利人自愿公开个人信息,可以明示公开,也可以是默示公开 [10] ,是对自身个人信息的自由处分,是行使处分权的表现,因此信息处理者在处理这类已公开的个人信息时,要确保其二次处理在合理范围内,是合理处理,不违背信息主体对其个人信息的处分状态。采取严格保护个人权利的态度,因为个人虽自愿公开了信息,并不代表其放弃了个人利益而向公共利益让渡,由于“可识别性”带来的信息自由依旧要受到法律的保护,有其信息不被非法利用的期待可能。
2) 强制公开
强制公开一般是国家机关公开发布个人信息,一般是信息主体不知情甚至是违背其个人意愿的,多见于政府信息公开和裁判文书对公民个人信息的公开。很显然,其合法性来自于对公共利益的一定程度的维护,是个人信息保护向信息合理利用以维护公共目的的一定程度上的让步,是利益衡量与博弈的结果。对其后续的处理主要要从利益衡量视角进行考察。
需要注意的是,尽管这类信息的公开有了一定的“官方色彩”,并不意味着这类信息可以被无限制地处理利用,要做到不得对个人权益造成重大影响,要求在处理这类信息时,要具体审查其处理的目的是否正当、是否与公开目的一致。以已公开裁判文书中的个人信息为例,司法公开的目的在于保障人民群众知情权、参与权、表达权和监督权,促进提升司法为民、公正司法能力2,因此在处理这类信息时要使处理与裁判文书公开的目的相关,综合考量目的与公共联系的紧密度,越是与个人相关就越应谨慎 [11] 。
3) 非法公开
非法公开的个人信息是指由信息权利人以外的第三人或者国家机关擅自进行的侵犯了信息主体利益的公开行为。首先要明确的是,非法公开的个人信息仍然属于已公开的个人信息,虽然《个人信息保护法》第27条中只表述了对“合法公开”的保护,但并不意味着被非法公开的个人信息就可以被后续肆意利用。信息虽然被非法公开,但已确实处于公开状态,在行为人对信息公开的违法不知情也不具备认知可能性的情况下,也具有一定的出罪可能性,例如行为人基于对国家机关的信赖,未质疑信息公开的合法性,这种情形下导致的不利后果就不应当由信息处理者来承担。
4. 具体保护路径
(一) 明确“合理处理”
刑法中对侵犯公民信息罪的表述为“违反国家有关规定”,其中的“有关规定”即是刑法进行规制的前置法,前置法一般是指《民法典》与《个人信息保护法》中关于已公开个人信息的相关规定。我们可以注意到,在这些条文中,均出现了“合理”字样,由此可以得出,正确解释“合理处理”是用刑法保护已公开个人信息的关键,也是其相比于未公开的个人信息保护在刑法上的差异性。
首先,要对“合理处理”的范围严格限定,遵循类型化思维,进行差异性保护。其次,对“合理处理”的理解,可以通过场景构建来进行辨别 [2] 根据已公开个人信息的存在场景不同,可以将其进行“生活性场景”、“公共利益场景”、“商业性场景”、“违法性场景”等的区分,若对信息的处理使相应个人信息进行了跨场景流动,或者从低风险场景向高风险场景流动,或者其处理行为使已公开的个人信息的流动失控,则可以认为其处理行为其行为实质性的提高了信息主体的风险,是不合理的处理行为,需要受到惩罚。
(二) 刑事责任认定
我国刑法中侵犯公民个人信息罪主要惩罚的时“获取”、“出售”和“提供”的行为,可以看出,单纯的收集行为并不具备法益侵害性,不应承担刑事责任。
信息处理者应当保持谨慎义务,对已公开个人信息的后续处理要保证不具有侵犯信息主体的人格权的风险 [12] 一方面,谨慎义务要求信息使用及披露要合理,不得侵犯信息主体的利益或违反其合理预期;另一方面,信息控制者要确保个人信息的下游使用是合理合法的,这也是谨慎义务的体现 [13] 。
5. 结语
个人信息是社会经济价值的来源之一,但在带来效益的同时,也有产生法益侵害的风险可能。在《民法典》生效后,我国相关保护立法逐渐深入,特别是《个人信息保护法》出台后,我国具备了相较之前更加完备的治理规范体系。在刑法方面,也应当逐渐转换“先刑后民” [14] 的治理状态,对侵犯公民个人信息罪中已公开个人信息的规制机制做出适当调整,用“刑民并重”的方式实现对个人信息特别是已公开个人信息的进一步保护。
NOTES
1草案一审稿第28条与草案二审稿第28条的规定类似。草案二审稿第28条规定:“个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途,超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。”
2最高人民法院《关于进一步深化司法公开的意见》,法发[2018] 20号,2018年11月20日发布。