1. 问题的提出:法院对于“经被收集者同意”条款的理解各有不同
近年来,利用各种渠道收集公民个人信息出售以谋取利益的犯罪行为层出不穷,然而司法机关对此类行为的认定却往往标准不一,这让人值得深思。
被告人开发“黑爬虫”网站,利用前端的小额贷款平台,抓取公民个人借贷者身份信息,然后出售,获利近35万元。法院认为,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第三条第二款的规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于《刑法》第253条之一规定的“提供公民个人信息”。1
本案中,被告人非法获取他人私密信息,未经他人同意,出售他人信息进行牟利。触犯了刑法第二百五十三条之一,理应入罪。无独有偶,广东省佛山市中级人民法院对此类案件也持同样的态度。
被告人以互换的方式,非法获取他人已公开的信息,随后出售,获利800元。法院经审理,认定该被告人违反国家规定,未经个人同意,向他人出售、提供公民个人信息,情节严重,构成侵犯公民个人信息。2
由此两个案例可见,上述法院判断此类行为构成侵犯公民个人信息罪,均是从信息二次处理必须获得信息主体同意这一角度来出发的。但恰恰相反的是,某些法院偏重于公开个人信息中的“公开”二字,认定公开便意味着默示同意,不再拘泥于明示或者书面上的同意,将该处理行为置于特定环境来进行考察,比如:被告人通过社交软件收集、出售公民个人信息,其中包含有大量“企业信息”,而法院认为,该类公开网站中包含的信息应当是相关当事人自愿公开的,相关人员在将此类信息公开时,必然会预见有被他人使用甚至不当使用的可能性,在相关信息已经合法对外公开的情况下,要求行为人的收集、整理、交换等行为仍需得到“被收集者同意”的要求过于苛刻也不合理,相关信息应排除计算。3
类似于上述判决分歧的还有苏州中院和北京四中院关于“转载裁判文书网文书”是否违法与侵权的认定 [1] 。苏州中院认为,应尊重当事人对于其已被合法公开信息进行二次传播的个人意愿,赋予当事人应有的选择权利,未经同意不得进行公开信息的二次处理;而北京四中院则持相反意见,如果司法公开的数据经过审查后,其他社会机构不得再转载、利用,一方面会损害司法公开制度,违背公众所受保护的知情权、监督权等公共利益;另一方面,这样做会使得这些数据被司法机关独家垄断,与司法数据公有、共享的理念相悖。因此,我们应该支持对公开的信息数据进行二次利用。显然,两家法院在裁判底层理念上各有侧重:苏州中院更注重案件当事人对已公开个人信息后续利用的自决权,而北京四中院则看重裁判文书公开背后所蕴含的公共利益。
从这可以看出,对于犯罪行为中涉及侵犯公民个人信息的认定标准在实践中存在不一致的情况。仅仅依赖《解释》第三条第二款的规定难以对此类案件做到有效规制,机械援引该条款对任一信息处理者处理信息行为入罪,而不考虑该行为所处情境,只会使得法院判决难以“罚当其罪”。正如王海洋和郭春镇教授所言:“在信息主体明确拒绝场景下,信息主体的拒绝不是一项绝对性权利,需要容忍信息处理者兼容性目的下的合理使用。” [2]
而今,《民法典》与《个人信息保护法》颁布之后,刑法对于公开的个人信息保护愈发与之脱节。有学者提出,《民法典》显然对此给出了一种确定的态度,即抛却所谓的“二次授权”,对公开个人信息的利用采取消极态度,合理利用便可推定概括同意 [3] 。有学者认为“在网上获取这些已公开的个人信息是源头行为,出售和提供给他人是下游行为,源头行为合法,下游行为也不应入罪” [4] 。更有学者指出,随着前置法中合理利用规则的确立,从立法的角度来看,不再完全依赖“二次授权”规则,其规制理念逐渐从保护信息安全转变为促进信息合理利用。这对于未来刑事司法部门认定、裁量侵犯公民个人信息罪的司法适用会产生极大的影响 [5] 。为此,本人认为亟需对造成公开个人信息刑法保护困境的原因进行深刻的分析,立足于刑法规范来平衡信息利用和信息保护之间的关系,为之寻找规制路径。
2. 发现与反思:“经被收集者同意”条款解读分歧
正如前述问题中所提出的,在司法实践中,对于二次处理“公开个人信息”的行为的认定存在不一致的现象。出于对个人信息自决与信息公共利益的偏重失衡,其囿于目前刑事立法现状的桎梏,且无法通过解释联动前置法帮助规制,陷入无法自救的泥淖。而这,不可归责于司法者自身,反而应从当下的刑事立法中寻找问题。
2.1. “二次授权”对于未公开个人信息失灵
“经被收集者同意”条款的制定和适用,既是对于个人信息自决权的一种肯定,同时也限制了合法收集的个人信息后续流转。对于未公开的个人信息,信息处理者获取信息的合法性来自与信息主体的授权,但是该授权行为仅仅局限于本次收集行为,当该行为人要将信息提供、出售给他人时,必须要获得信息主体的“二次授权”,否则便符合本罪构成要件而构罪了。对于已经公开的个人信息,“二次授权”便彻底失灵了。已经公开的个人信息首次公开分为两种情况:一是信息主体自行公开,二是其他合法公开的个人信息。这些信息大多可以从政府公布信息的网站上查到,收集这些信息的过程中也并未进行单独的授权,那么后续信息的收集者对这些获取的公开的个人信息进行处理转让的过程中自不存在“二次授权”的问题。可见,在同一项条款中,面对两种保护对象,竟然得了两种截然不同的结论,这也进一步体现出本条款的内在矛盾之处与已公开个人信息刑法保护的必要性。
当今社会早已进入了大数据的变革时代,面对网上海量的公开个人信息,信息的发布者与信息的收集处理者往往相隔甚远,甚至从未谋面,此时要求信息收集者对于每一项收集到的公开信息都要获取信息主体的二次授权,似乎存在现实上的难度。如果现实中的司法机关面对此类案件,均以未获得信息主体的授权而处理了该信息入罪,不仅会造成公平理念的流失,也会大大降低司法公信力。因此,尽快修改或者重新解释“经被收集者同意条款”,迫在眉睫。
2.2. “知情同意绝对说”的过度适用
对于“经被收集者同意”条款的理解主要存在三种观点:一是“知情同意绝对说”,二是“知情同意否定说”,三是“知情同意相对说”。划分三种观点的分歧点在于:信息发布者对于信息处理者收集其信息后处理的授权对构成本罪的影响程度。也就是说,“知情同意绝对说”认为,无论是信息的收集还是后续信息的处理、流转都要获得信息主体的同意,没有授权或者不经同意便构成了侵犯个人信息罪的构成要件;“知情同意否定说”认为,信息主体是否同意或者授权并不影响侵犯公民个人信息罪的成立;“知情同意相对说”则认为经过信息主体同意的行为不可能构成犯罪,未经信息主体同意的行为是否构成犯罪,则要具体情况具体分析。而根据上文种提到的案例,基本都是信息处理者收集信息未获得授权,后续处理信息的行为也未获得二次授权,因此而入罪。可见,司法实务中对“经被收集者同意”条款基本采取“知情同意绝对说”的观点,忽视了“二次授权”在处理公开个人信息范畴内的可行性,严重压缩了公开个人信息的处理空间。为此,需要警惕“知情同意”的效力边界在公开个人信息领域不当扩张的趋势。
3. 提倡与适用:“情境脉络完整性”理论的提出与保护路径的构建
正如前述所分析,司法实务中,多数法院过度依赖“经被收集者同意”条款,严格采取“知情同意规则”,认定行为人非经“二次授权”而进行的信息处理均以入罪认定,而这,均是刑事立法的滞后所导致的。《解释》颁布于2017年6月1日,在当时,《民法典》和《个人信息保护法》并未颁布,《解释》的出台一解规制此类行为的燃眉之急。在当时,侵犯信息类犯罪并未有今日这般繁多,其严格采用“知情同意规则”,把控信息的后续流转,意义重大。
3.1. “合理利用”理念的引入与完善
然而目前,随着信息社会的快速发展,人们的生活与信息结合的越发紧密。日常支付的支付信息后续可能会成为法庭上质证的证据;短视频平台上的一段爆款视频,极有可能成为后续诸多用户二次创作的材料,而点击率和关注度将会直接决定该用户的视频收入;合同的双方远隔千山万水,如果通过邮寄的方式签署合同,极有可能会推迟双方的合作计划,影响公司某产品的推出,这个时候,通过传真或者电子合同的方式,将极大地提供便利……在信息流转如此密集的当下,刑事立法中仍采用严格的“未经收集者同意”条款,似乎略显不当。有学者提出,前置法中采用“合理处理”来限制“二次授权”,完全可以在此基础之上,秉持利益平衡理念,围绕处理目的、处理方式、处理结果三个层面予以细化,构建出一整套相对明确的标准模型,来帮助司法实务部门更好地处理此类案件 [5] 。笔者认为,该观点有待商榷。《民法典》《个人信息保护法》等前置法中规定了个人信息的合理处理原则,同时以“个人明确拒绝”“重大影响须取得个人同意”作为例外补充,相较于《解释》第三条中的知情同意才可处理,显然更为合理,更能迎合当今社会的信息处理需求。但是围绕“处理目的、处理方式、处理结果”细分的路径构建模式并非最合适的解决路径。就“处理目的”来说,正如王华伟学者所指出的:“即使在法律法规作出强制性要求的场合,信息公开的目的或用途也不一定能准确认定”“主观的目的性与客观的公开性之间存在一定的内在冲突。如果个人信息客观上处于人人皆可获取的一般化公开状态,将违背特定主观目的的处理信息的行为都认定为民事侵权甚至刑事犯罪,并不十分妥当” [6] 。处理目的的确定标准过于模糊,静态地判断处理目的缺乏合理性,且大多时候,信息处理者的处理目的并不与信息主体发布信息时主观目的相一致,并不利于司法实践中的援引;相反,若严格采用“处理目的”必须一致的观点,反而不利于信息的流转。比如,裁判文书网公布司法文书的目的,是促进法律的正确实施;督促法官依法裁判;为专业交流提供了平台;更是增加法院审判透明度的重要举措。但信息处理者收集裁判文书,统计总结再予以转载,其目的可能仅为了自身论文材料的证明说理,并不与裁判文书网公布裁判文书的目的相一致,却对原始信息发布的目的更具加功作用。
由此,笔者认为,《民法典》《个人信息保护法》中的“合理处理”原则不妨可以作为未来规制公开个人信息犯罪的一种准则,但在此之下,仍需要再次进行分类细化,确定“合理处理”的标准,以帮助司法实务机关准确定罪量刑。
3.2. “情景脉络完整性”理论的提出
2004年,来自纽约康奈尔大学的Helen Nissenbaum提出了情境脉络完整性理论(Contextual Integrity Theovy,以下简称:CI理论),该理论主要讨论在网络环境下,个体的信息在传播过程中所面临的隐私问题,并回答了此类隐私问题出现的原因 [7] 。个人可能会在社交网络上传播一些他们并不太在意或敏感的信息。然而,一旦这些信息传播出去后,个体往往会感到自己的隐私受到侵犯,即使没有达到实际侵犯的程度,也会在情感上感到不舒服。而CI理论为我们提供了一个视角,用于理解和评估这种隐私问题。CI理论主要包含两个方面。
一方面,我们所生活的环境并不能简单地划分为公共领域和私人领域,而是包含了许多不同的个人场景。在家庭中与亲人交流、在工作场所、医院或者与律师、银行人员的交谈等各种日常生活场景中,信息的分享与传递都需要按照一定的规范进行。如果将信息从特定的情境中抽离出来放到另一个情境中,就会破坏信息的完整性。
第二个方面是,在每个具体情境下,都存在着明确可见或模糊可见的规范。情境中的规范受到历史、文化、法律和惯例等多种因素的影响和塑造,同时,这些规范也限制并塑造着个人在情境中所扮演的角色、采取的行动和持有的期望。如果改变情境的背景,信息就无法符合新情境中的规范,从而导致信息传播不恰当。
根据CI理论,不同的情境脉络塑造了不同场景下的资讯流动规范,这些规范又决定了什么样的信息使用行为能够被评价为是适当的。具体而言,情境关联的资讯规范由以下三个要素构成,即资讯主体(actor)、信息类型(information type)和传播原则(transmission principle)。
“资讯主体是指信息交换的行为人,包括信息的发送者、接受者和归属者。资讯主体在不同的情境脉络中被赋予了特定的能力、角色或行为准则,进而影响者隐私内涵在具体场景中的认定;信息类型是指有关信息的属性、类别或本质,且这一性质会随着情景脉络的转换而不断变化;传播原则是对信息流动的约束或限制,以确定信息在特定情境下所应具有的传递方式。一个常见的传播原则如私密性原则,禁止信息向公共领域流动,或控制性原则,当获得当事人的同意后才能进行信息传递。除此之外,在某些情形下传播原则还可能是双向性的,甚至强制要求信息的披露。” [8]
她认为信息流动过程是否合理的判断就要围绕这三个方面展开判断:信息的类型是什么、信息与何者相关、流动过程,流动的条件或限制。不得不说,这种摒弃孤立式判断个人信息类型、抽象式预设个人信息流通规则的动态化评估模型,有助于具象化地判断不同种类的个人信息在相关场景中是否合理流动。
3.3. “双轨制”保护模型的建立
“情景脉络完整性”理论并没有将处理者的处理目的、处理方式以及处理结果从原始情境中抽离出来进行评价,反而主张对具体案件进行场景化的个别判断。结合公开个人信息的具体场景和“情景脉络完整性”理论模型的三大要素,应当对信息处理者的处理目的或者处理用途、该公开个人信息的具体类型以及处理者处理前后该信息的用途是否一致等方面进行综合判断;结合《个人信息保护法》第十三条第六项的已有分类,分别对自行公开的个人信息和其他已经合法公开的个人信息展开保护路径的构建。
对于前者,其公开的场景多见于各种社交媒体软件、求职招聘软件以及线下的信息资料填写等。信息主体公布这些信息的目的,多半是为了满足自身某方面的需求,比如通过拍摄并分享自己的视频来获得满足感;通过注册填写个人信息进行求职;通过回复网友表达自己的意见等等,但是,不管是哪种具体目的,都表明信息主体对于自愿披露的这些信息有着非常具体的使用要求和强烈的专有使用需求。假如行为人在获取个人自行公开的个人信息后,随意改变了信息的发布目的或超越信息主体对公开个人信息处理的合理预期,显然,这不仅不符合“合理使用”的处理原则,某些境况下,还会给当事人带来人身或财产上的损失 [9] 。比如下面的案例:被告人吕某假借公司招聘的名义通过电话、短信等方式骗取大量前来应聘人员的个人信息,包括手机号码、身份证号码、身高体重、遗传病史等等,后续将收集到的应聘者的全部信息出售给买家,进而牟利。4裁判观点认为应聘者前来应聘填写的信息属于自行公开的个人信息,就其信息公开的目的,仅限于招聘者予以录用参考,即仅在特定范围内进行公开。然而,行为人后续的收集、处理行为显然违背了信息主体最初公开发布自己信息的目的,并且出售信息所导致的后果就是造成信息主体的信息泄露,给当事人带来财产和人身上的巨大隐患。由此可以推断出,法官在实际的判案说理中也就阐明了“合理处理”信息主体自行公开个人信息的判断路径:明示信息的类型——探究信息主体发布信息时的目的——判断处理信息后续结果是否和信息公开发布的目的相吻合。
对于后者,多见于:包含个人信息的企业信息公示、包含个人信息的政府信息公开、包含当事人信息的裁判文书公开、其他为公共利益的实现而必须公开的信息,比如包含有个人信息的新闻报道、舆论监督等等。其他已经合法公开个人信息又被称为法定公开的信息,其不同于自行公开个人信息的是法定公开的信息用途大多关涉社会的公共利益、重大利益,信息的原始主体必须对行为人后续的处理利用行为承担容忍的义务,但反之,行为人对公开个人信息的后续处理不得违背最初公开时的场景 [10] 。比如下面的案例:第三人为了拓展公司业务而向被告人索取信息,被告人在提供给第三人信息的时候,该信息中部分来自于“国家企业信用信息公示系统”,可在网上查询到企业的名称、法定代表人姓名、生产经营地点等,法院依据《解释》第三条第二款,认定被告人属于未经被收集者同意,将合法收集的公民个人信息向他人提供,因此将在公示系统中获取提供的信息纳入侵犯公民个人信息的数量之中 [11] 。企业工商信息属于法律规定必须予以公示的信息,正如《企业信息公示暂行条例》第一条中所规定的:“为了保障公平竞争,促进企业诚信自律,规范企业信息公示,强化企业信用约束,维护交易安全,提高政府监管效能,扩大社会监督”,企业信息的公示既给与了社会各个主体监督的机会和渠道,也促进了企业与企业之间的商业交易。行为人在收集这些企业信息后,将之提供给需要业务拓展的第三人,其目的就是为了盈利,且并未给公开个人信息的保护创设任何风险,相关信息的流转的用途与企业信息的公示的用途及企业自身追求商业经营发展的目的并不相悖。除此之外,在某种程度上,这种信息的获取和交流过程有可能带来全新的商业机遇,对于企业自身也是有好处的。因此,相对于个人自行公开的个人信息而言,法定公开个人信息更加注重公共利益的考虑。在后续处理过程中,需要与信息公开时的用途相一致,可以按照以下步骤来判断“合理处理”法定公开个人信息:首先,明确法定公开个人信息的公示目的;其次,确定信息处理者处理该信息的具体目的;最后,评估公示目的与信息流转目的之间是否存在积极的正向关联。
4. 结语
风险社会下,积极的刑法观应被树立和遵从,出于风险控制的需要,刑法的保护范围应不断扩大,预防式的刑事立法应渐渐增多。而对于已公开的个人信息,刑法在保护的过程中,并不加以区分,相反过分强调对于信息流转的控制,这样固然可以将侵犯信息权的犯罪行为扼杀在萌芽之中,保证信息流转过程中的安全性,但与此同时也会导致实践中对此类案件进行处理时的僵化。《解释》之后公布的前置法均不再秉持“信息自决”“知情同意”等价值偏向,反而强调“合理处理”为原则,“侵犯重大利益”为例外,大大促进了信息的流转与商业的繁荣,迎合了时代的发展。刑法也理应作出改变,基于“法秩序统一性原理”,做好民刑衔接,适当采纳“情景脉络完整性”理论,按照个人自行公开与其他已经合法公开两种形式探索出平衡利用与妥善保护关系的路径。
NOTES
1江苏省淮安市中级人民法院刑事裁定书(2019)苏08刑终216号。
2广东省佛山市中级人民法院刑事裁定书(2021)粤06刑终345号。
3广东省深圳市龙华区人民法院刑事判决书(2020)粤0309刑初727号。
4黑龙江省牡丹江市东安区人民法院刑事判决书(2021)黑1002刑初176号。