作者:郑泽星,中南大学法学院讲师,中南大学人权研究中心研究员。
来源:《政法论坛》2024年第5期。
摘要:用刑事手段规制非法处理公开个人信息的行为应当坚持必要性和谦抑性理念。确定公开个人信息刑法保护边界的应然进路是在公开个人信息类型化的基础上实现前置法规定与刑事法规范之间的融贯。以公开意愿为依据可以将公开个人信息区分为主动公开信息、被动公开信息以及非法公开信息。前置法的“合理处理”规则是义务性规范,违反“合理处理”规则无涉侵犯公民个人信息罪保护法益,可能导致民事责任或者行政责任;“明确拒绝”规则和“重大影响”规则是禁止性规范:主动公开的个人信息,权利人“明确拒绝”的,其恢复行使个人信息自决权;被动公开的个人信息,权利人“明确拒绝”的,其保留行使个人信息自决权。对上述信息的处理均可因侵害个人信息自决权法益而构成侵犯公民个人信息罪。处理公开个人信息违反前置法“重大影响”规则,使公民人身、财产安全受到重大损害或者具有重大损害风险的,仍可因侵犯公民信息安全法益而构成侵犯公民个人信息罪。
关键词:公开个人信息;前置法;义务性规范;禁止性规范;刑法保护
一、问题的提出
随着信息时代个人信息价值的日益凸显,个人信息保护状况也呈现多元态势:一方面,个人信息保护的法律规范日益完备,对个人信息的保护也日益精细和完善;另一方面,个人信息保护与个人信息合理利用呈现交织态势并且时常产生冲突,对于特定类型的个人信息保护仍待完善,公开个人信息保护的理论争议和实践困境即为明证。当前法规范背景下,公开个人信息应否受到刑法保护以及如何确定其刑法保护的边界,仍是值得探讨的问题。公开个人信息保护的司法困境在下述案例中可见一斑:
案例1:吴某在某企业登记信息网站上查询、下载已公开企业登记相关信息,经过分类、梳理后打包出售,共获利1万余元。后吴某被以侵犯公民个人信息罪诉至法院。民法典出台之后,检察机关建议公安机关撤销案件。
案例2:四名被告人结伙出资购买空白微信号,通过营销软件智能群发、加人、拉群以及通过网络购买他人求职信息(含姓名、性别、电话号码等公民基本身份信息)等方式,添加微信好友,将空白微信号制作成品微信号后出售,共获利20余万元。法院审理认为,收集作为已公开个人信息的微信号并出售牟利的行为,改变了他人公开个人信息的目的和用途,不属于“合理处理”,而被收集者同意其获取个人信息系法益处分目的上发生错误,该承诺无效,被告人仍然构成侵犯公民个人信息罪。
案例3:被告人王某通过“企查查”网站下载企业相关信息,并对上述信息进行删减,整理出包括姓名、电话、住址等公民个人信息,后通过QQ邮件将上述公民个人信息60余万条出售给他人。一、二审法院审理认为,被告人从“企查查”网站下载的信息主要来源于国家企业信用信息公示系统,该类信息公开属于公权力强制公开。被告人将通过上述渠道获取的个人信息经整理后提供给他人,则需征得被收集者同意,否则仍可以构成侵犯公民个人信息罪中“提供公民个人信息的行为”。
案例4:贝某某公司将中国裁判文书网上发布的四份伊某相关的法律文书转载至某网站,任何人均可从网站上搜索、查询上述文书。伊某曾要求该公司删除上述文书,该公司未及时删除。伊某遂诉至法院,主张被告侵犯其个人信息等人格权益。一审法院审理认为,贝某某公司的行为已侵犯了伊某的个人信息权。二审法院审理认为,伊某联系贝某某公司要求删除相关文书之前,该公司不存在非法公开他人个人信息的行为;伊某主张信息权益,对涉事公司提出删除文书要求之后,该公司仍拒绝执行,则其行为构成非法处理个人信息。
上述处理公开个人信息的案件中,案例1中行为人被作无罪处理;案例2中,行为人处理个人信息的目的和用途超出权利人公开信息的用途,因而仍然构成侵犯公民个人信息罪;案例3中,行为人未经信息权人同意将依法强制公开的个人信息提供给他人,仍然构成侵犯公民个人信息罪;案例4中,被告公司在信息主体明确表示拒绝的情形下仍然转载的行为则被认定为侵权,直接行为人仍可能构成侵犯公民个人信息罪。
可见,司法实践中对于如何规制非法处理公开个人信息行为存在较大分歧:无罪说主张,对公开个人信息的处理并不侵害侵犯公民个人信息罪的保护法益,因此,对该类信息的处理行为也就不构成侵犯公民个人信息罪。有罪说主张,非法处理公开个人信息行为仍然可能构成犯罪,在具体依照何种标准判断行为人是否构成犯罪时,有罪说内部存在公开目的说(案例2)、二次授权说(案例3)以及侵害重大权益说的分歧。也有学者指出,处理公开个人信息行为应否受到刑法规制,以民法典和个人信息保护法的出台为分水岭。两法通过之前,有罪说占据多数说的地位;两法通过之后,司法实践中出现了无罪化的处理倾向。上述案例1中,检察机关基于民法典的规定建议公安机关撤销案件,正是印证了司法机关的这一转变。值得追问的是,上述两法通过之后,以刑事手段规制非法处理公开个人信息的行为是否必要?刑事手段介入公开个人信息保护的边界何在?如何既充分发挥公开个人信息的流通价值,又避免基于公开个人信息的人身财产损害,不仅考验着司法者的智慧,也是教义学的重要任务。回答上述问题,是本文的主旨所在。
二、公开个人信息刑法保护的必要性追问
对于处理公开个人信息的行为能否构成犯罪,存在有罪说和无罪说的争议。公开个人信息刑法保护必要性的考察是以对无罪说的辩驳为前提的,因此,本部分笔者将在对无罪说展开检讨的基础上阐释公开个人信息刑法保护的必要性。
(一)无罪说缺乏合理理据
无罪说主张的基本理由如下:其一,个人信息公开是公民自由选择、自主决定的结果,对公开信息的收集、利用行为并未侵犯个人信息法益或者并未达到可处罚程度。其二,对公开个人信息的处理并未侵犯公民的信息流通知情权。其三,合法途径收集的公开个人信息并非侵犯公民个人信息罪的法益对象。其四,基于对暴露在公共领域的个人信息无需提供司法保护的立场,公开即意味着完全放弃权利。其五,合理利用公开个人信息在普通民众期待的范围之内,对于此种民法都不追责的行为,刑法的介入有违谦抑性要求,不当扩大了刑事责任的打击范围。
无罪说的上述前三种理由实际上都可以归结为处理公开个人信息行为无涉侵犯公民个人信息罪的保护法益,因而不成立犯罪。事实上,侵犯公民个人信息罪的保护法益在理论上仍是一个争议问题,无罪说所提出的上述法益主张并未形成共识。因此,以上述法益主张为理据的无罪说,也是值得商榷的。
“公开即意味着完全放弃权利”实际上体现了通过隐私权法律对个人信息进行保护的“美国模式”特色,其关于个人信息的立法在措辞上经常使用“隐私”一词,公开信息并不包含在“隐私”的语义之内而不受保护。此种观点一方面忽视了个人信息与个人隐私之间实际上存在实质区别,从而将个人隐私之外的个人信息排除在个人信息的保护范围之外;另一方面,上述观点忽视了在个人主动(自愿)公开的个人信息之外,仍然存在个人非自愿、非主动公开以及被非法公开的个人信息,如果适用“公开即意味着完全放弃权利”原则,则此类公开信息将被置于无从保护的境地。
关于上述“合理利用公开个人信息符合普通民众期待”的观点,笔者认为,合理利用公开个人信息,自然符合普通民众的期待。但是普通民众当然不会期待自己或者他人公开的个人信息被不合理处理,更不会期待对个人信息的处理过程导致信息权人人身、财产法益侵害或者侵害风险。因此,将合理利用之外的处理公开个人信息行为,尤其是侵害公民人身、财产安全或者具有人身、财产侵害风险的处理公开个人信息行为纳入到刑法规制范围,也符合民众的期待。甚至可以说,其非但没有不当扩大刑事责任的打击范围,反而体现了法律对公民个人信息权益全方位的保护。
值得注意的是,有学者虽持无罪观点,但仍认为在某些情况下,对于公开个人信息的处理仍可能构成犯罪:以获取公民隐私为目的,通过各种渠道征集、收集个人信息的,属于侵犯公民个人信息罪的“非法获取”;如有证据证明收集公开的具有可识别性的信息系用来从事违法犯罪活动,则仍应成立侵犯公民个人信息罪。
(二)非法处理公开个人信息行为具有法益侵害性
作为前置法的个人信息保护法规定,对公开个人信息的处理,依照该法第27条的规定进行,即应在合理范围内、信息权人没有明确拒绝以及没有对个人权益造成重大影响的限度内处理公开个人信息。可见,对于公开个人信息的处理,前置法划定了行为的范围,超过法定范围处理公开个人信息即为非法。基于犯罪规制是“前置法定性与刑事法定量相统一”的原理,前置法不认为是违法的行为,在刑事法上也无需予以规制;只有前置法所禁止的行为,才具有予以刑事规制的可能性和必要性。因此,依照前置法的规定,“超出合理范围处理、信息权人明确拒绝的情况下处理以及对信息权人个人权益造成重大影响情况下处理”已公开个人信息的行为在前置法上具有违法性,因而该类行为在刑事法上具有进一步受到刑法规制的可能性。而最终该类行为应否承担刑事责任,则需要判断其是否具有刑法上的法益侵害性。
学理上关于侵犯公民个人信息罪的保护法益存在不同主张,场景化视域下的个人信息可以被区分为敏感个人信息、一般识别信息、复杂隐私信息和单纯隐私信息。一般识别信息场景中,侵犯公民个人信息行为通常侵害的法益是个人信息自决权;而在敏感个人信息和复杂隐私信息场景中,侵犯公民个人信息行为通常侵害的法益是公民信息安全。由此可以得出结论,侵犯公民个人信息罪的应然法益,既包含个人信息自决权法益,也包含公民信息安全法益。对于处理公开个人信息的行为,一方面,在“信息权人明确拒绝”的场合,对公开个人信息的处理仍然可能侵害个人信息自决权法益;另一方面,由于公开个人信息的可识别性,对于公开个人信息的处理仍然可能导致信息权人人身或者财产安全损害或者损害风险,因而侵害公民信息安全法益。场景化法益观视角下前置法规定与刑事法规范如何有序衔接,下文将展开论述。
综上所述,非法处理公开个人信息的行为不仅在前置法上具有违法性,而且在刑事法上仍然可以侵害侵犯公民个人信息罪的保护法益,因而具有刑事规制的必要性。
(三)公开个人信息的刑法保护具有现实必要性
个人信息公开是信息权人行使其信息自决权,而将信息置于不特定第三人均可获取的状态,但信息权人并不会因为公开而“放弃”个人信息上附着的权益。易言之,公开性并不会降低个人信息的可识别性,“公开仅是有限让渡权利”,公开信息仍具有可识别性,基于其可识别性,公开个人信息一方面影响着他人对信息主体的评价和判断,进而可能影响着信息主体的形象与声望;另一方面,公开个人信息仍会导致针对信息权人人身、财产的损害或者损害风险。事实上,只要具有识别性的信息,均可导致人身、财产损害和损害风险,甚至信息处理者仍可能通过比对挖掘形成新的敏感信息,从而对信息权人造成不可预测并且难以控制的新风险。就此种意义而言,公开个人信息、非公开个人信息甚至非法公开的个人信息在保护必要性上并无差别。因此,对于公开的个人信息,行为人虽然放任了他人对于个人信息的获取,但并未放任基于信息公开可能导致的现实风险,任何针对此类信息的非法处理行为都可能导致个人信息侵害基础上的人身、财产损害以及损害风险。因此,对于公开个人信息的刑法保护具有现实必要性。
三、公开个人信息刑法保护的待解问题与应然进路
学理上,非法处理公开个人信息有罪说占据主导地位,但是关于该行为构成犯罪的理据以及入罪的边界问题,则存在二次授权说、合目的性说、信息自决权说的分野。学说论争的焦点,反映了公开个人信息刑法保护的理论争点。
(一)二次授权说评析
二次授权说主张,处理已公开个人信息提供给他人的,应当获得信息权人的二次授权,否则仍可能构成犯罪。一般认为,二次授权说的实定法依据是2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第3条第2款的规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第253条之一规定的‘提供公民个人信息’”。
二次授权否定观点指出,《民法典》第1036条和《个人信息保护法》第27条的规定实际上是对二次授权方案的否定。在笔者看来,《民法典》第1036条、《个人信息保护法》第27条明确了处理公开个人信息的义务性规范和禁止性规范,《解释》第3条第2款则强调信息收集者妥善保管合法收集到的个人信息的义务。上述两法出台之前,既有法律规范并没有明确规定处理公开个人信息应当遵守何种规范,而依照《解释》将收集的公开个人信息解释为“合法收集的公民个人信息”,则是法规范阙如情形下对处理公开个人信息行为予以规制的权宜之举。上述《民法典》和《个人信息保护法》关于公开个人信息处理的规定,事实上补足了该类信息保护的规范真空状态,从而使对非法处理该类信息行为的规制无需权宜适用《解释》第3条第2款的规定,从而无需适用“二次授权”规则。
也有学者从个人信息权益角度论证二次授权说的合理性,主张未经信息权人同意而利用公开个人信息的行为虽没有侵犯信息控制权,但侵犯了信息利用权,所以依然属于侵权(犯罪)行为。应当说,以侵犯公民个人信息罪的保护法益为视角讨论处理公开个人信息行为刑法规制边界问题是值得肯定的,但本罪的保护法益是否如论者所言是信息控制权和信息利用权,仍需进一步讨论。此外,在公开个人信息的处理规则已经由民法典和个人信息保护法明文规定的前提下,罔顾实定法的规定而仍然论证二次授权说的合理性,则难免有缘木求鱼之嫌。
(二)合目的性说评析
合目的性说认为,应当综合考虑处理公开个人信息的目的和用途以确定该行为是否构成犯罪。具体而言,只有“明显违背信息公开目的”“明显改变信息用途”以及“利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为”的,才构成犯罪。合目的性说一定程度上契合了场景性公正理论(Contextual Integrity),该理论主张数据和信息的合理流通应当在具体场景中实现。具体到公开个人信息场合,对于公开信息的收集和利用应当尊重信息公开的原初场景与信息公开的目的,超出原初场景与目的而对公开个人信息的收集和处理,即可能构成侵权(犯罪)。应该说,场景化视角是讨论个人信息保护问题的合理视角,合目的性论者认为个人公开其信息的目的以及信息的用途属于法益内容,从而将场景化视角引入公开个人信息保护,是具有创见的。
合目的性说考察进路仍然存在如下问题:首先,合目的性论者没有阐明将合目的性考察作为判断处理公开个人信息行为应否承担刑事责任标准的实定法依据。如上文所述,合目的性理论一定程度上契合了场景性公正理论,甚至一定程度上可以认为合目的性理论渊源自场景性公正理论。但是,场景性公正理论和合目的性理论何以可以作为处理公开个人信息行为承担刑事责任的判断依据?上述论者并没有作出合理阐释。易言之,合目的性理论并未阐明其与公开个人信息保护的前置法规定以及刑事法规范之间的规范关联,合目的性考察缺乏作为违法性判断要素的规范理据。其次,合目的性说存在判断标准上的逻辑缺陷。合目的性说将“利用公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为”归入合目的性考察的范畴,这当然是可以成立的。但是合目的性判断标准在司法实践中面临着操作困境:一方面,基于信息公开目的和用途的多元性和模糊性,对于信息权人公开个人信息目的和用途的查明往往因为判断者判断视角、判断立场的不同而难以得出一致的结论,甚至信息权人也未必清晰认识到其公开个人信息的目的和用途,从而导致司法实践中信息公开目的和用途难以确定;另一方面,即便信息权人公开其个人信息的目的和用途可以查明,在具体的判断中也仍然面临着合目的性与合理性(合法性)、主观目的性与客观公正性之间的内在冲突,从而导致实际处断上的困境。因此,完全依照合目的性判断确定处理公开个人信息行为的刑事规制边界在某些情形下并不能得出合理结论。
(三)信息自决权说评析
信息自决权说主张权利人对公开个人信息仍享有自决权。具体而言:其一,个人信息应当在个人知情同意的情况下公开;其二,当后续处理活动偏离最初公开的目的或用途时,信息主体有权限制或拒绝对该个人信息的处理。持该主张的学者进一步认为,对公开个人信息的处理不仅应当符合信息公开目的,不能改变信息公开的用途,而且需要满足“未侵害信息主体的重大利益”条件。
个人信息权益属于民事权益中的人格权益,包括积极面向和消极面向,知情权和决定权是个人信息权益积极面向的核心性和基础性内容。以个人信息自决权为解释路径,无论对公开个人信息的保护还是对非公开个人信息的保护均具有解释力。上述信息自决权说仍然存在如下问题:其一,依照上述观点,信息权人有权限制和拒绝偏离信息公开目的、用途的公开个人信息处理行为。这一理解是值得商榷的:就实定法角度而言,民法典和个人信息保护法的基本态度均为,除非信息权人明确拒绝,信息处理人可以在合理范围内处理公开个人信息。易言之,信息权人行使拒绝权,并不以个人信息被不合理处理为前提,即便是合理范围内处理个人信息,信息权人也有权拒绝。其二,上述个人信息自决权说并没有体现不同公开类型的公开个人信息之间的保护差异与差异保护。依信息权人的公开意愿和公开方式可以将公开个人信息分为不同类型,虽然学理上对类型化的具体观点存有分歧,但不容否认的是,个人信息自决权的行使存在程度上的差异,不同程度的个人信息自决权行使决定了公开个人信息的不同类型,进而影响着对该类信息进行刑法保护的不同范式与应然边界。第三,上述个人信息自决权论者在信息自决权之外仍然强调对公开个人信息的处理不能“对信息主体的利益产生重大影响”,这一主张虽然同时照应了前置法的相关规定,但这种条件堆砌既缺乏教义学上的体系性,又缺乏内容上的融通性,未能实现前置法与刑事法的逻辑融贯与规范融合。
(四)反思:待解问题与讨论进路
公开个人信息刑法保护的探讨仍需解决公开个人信息分类以及保护进路的基础问题:
首先,信息权人对于个人信息公开的意愿和方式一定程度上影响着公开个人信息的保护方式以及保护限度。不同类型的个人信息公开展现了信息权人信息公开意愿以及个人信息自决权行使上的差异,可以导致“合理范围”“重大利益损害”“拒绝权行使及其例外”等规则具体适用上的不同,并进一步影响着公开个人信息场域刑法适用边界的确立。因此,确定公开个人信息刑法保护边界的前置条件即是对公开个人信息进行合理的类型化界分。
其次,整体法秩序的形成不仅要体现各部门法之间的差异性,还要在一定程度上达成理念、方法及制度等的共识。从既有文献来看,自民法典与个人信息保护法出台之后,学者们多借鉴上述前置法的相关规定确定对非法处理公开个人信息行为进行刑法规制的条件。法秩序统一视域下,侵犯公民个人信息罪的认定应当以前置法的规定为前提,但直接将违反前置法规定作为行为人承担刑事责任的依据,无疑抹杀了侵犯公民个人信息权益场域民事、行政、刑事责任界限,进而容易导致过度扩张刑事责任承担主体和承担范围的倾向。因此,公开个人信息刑法保护边界的确立,应当进一步揭示前置法规定与刑事法规范之间的关联,实现前置法禁止性规范与刑事法违法性要件之间的逻辑贯通,以实现公开个人信息刑法保护的逻辑规训与边界廓清。
综上所述,公开个人信息刑法保护边界的确立,其前置条件是公开个人信息类型化界分。在前置违法条件业已确定的前提下,寻求前置法规定与刑事法规范的融贯,是探求公开个人信息刑法保护合理边界的应然进路。
四、公开个人信息刑法保护的前置条件:公开个人信息类型化
(一)公开个人信息类型化的既有观点
一般认为,公开个人信息是指能够为不特定第三人所获取的信息,而对于公开个人信息应当如何类型化,则存在诸多不同观点:实定法层面,公开个人信息被区分为“个人自行公开”和“其他已经合法公开”的个人信息。其中,个人自行公开的信息包括个人主动公开和经个人同意公开的信息;其他合法公开的信息包括政府公开、媒体和舆论公开以及其他个人或企业公开等情形。学理上,关于公开个人信息的分类大致可以分为以公开意愿为标准的类型化和以公开程度为标准的类型化。公开意愿标准下,论者将公开个人信息划分为自愿(主动)公开信息和非自愿(非主动)公开信息。对于将自愿(主动)公开的个人信息整理后向他人提供的行为,可以推定行为人存在概括同意,不宜认定为侵犯公民个人信息罪;对于非自愿(非主动)公开的个人信息,行为人获取之后进行后续处理行为的,可以根据具体情况判断是否成立侵犯公民个人信息罪。信息开放程度标准下,论者将公开个人信息区分为完全公开的个人信息、限制公开的个人信息以及违法公开的个人信息。对完全公开个人信息的处理,通常不会侵犯个人信息权,理由在于存在基于个人同意或法律法规推定的概括授权;对于限制开放的个人信息,信息处理人不具有擅自处理该类信息的正当性;对于非法公开的个人信息,不论其客观上是完全开放还是限制开放,针对该类信息的非法处理行为(包括获取和提供)仍应受到刑法规制。
(二)既有观点的分歧厘定与评析
关于公开个人信息类型化界分的主要争议在于,公开个人信息类型化应当采公开意愿标准还是公开程度标准,以及非法公开的个人信息应否作为一种信息类型进行保护。
关于第一个问题,笔者认为,信息公开程度不宜作为公开个人信息类型化的标准。原因在于,其一,个人信息公开的方式和程度一般取决于信息权人的公开意愿:对于信息权人自愿公开的信息,其公开方式一般为权利人主动公开或者授权他人公开,就公开程度而言,此类信息一般处于完全公开的状态;而信息权人非自愿公开的信息,一般为依法公开或者依特定目的公开的信息,依照权利人的意愿,此类信息一般处于有限公开的状态,相较于完全公开的个人信息,对于此类信息的获取和处理,应当遵循更为严格的要求。其二,个人公开意愿标准与个人信息自决权的行使密切相关,信息公开程度则是信息权人行使个人信息自决权的客观表现。个人信息自决权的基本内涵是信息权人对个人信息的支配和自主决定,权利人自愿(主动)公开其个人信息体现了其对个人信息自决权的充分行使,而对于权利人非自愿公开的个人信息,权利人信息自决权的行使则受到一定限制。其三,信息开放程度标准缺乏可操作性。对于权利人主动公开或者被动公开的个人信息,即便某些信息的获取有注册或者实名制的要求,此类信息仍然属于能够为不特定第三人所获取的信息,属于公开个人信息。而信息公开程度论者将限制开放信息表述为“未向不特定主体无条件地一般性开放”的信息,笔者认为,此类信息并非公开个人信息,对其依照一般个人信息进行保护即可。
综上所述,公开个人信息类型化的目的在于区分信息权人自决权行使的不同程度从而区分保护的必要性,进而对公开个人信息予以区别保护。而公开意愿标准能够反映信息权人行使个人信息自决权的程度,可以作为公开个人信息类型化的标准。
关于第二个问题,非法公开个人信息是指未经权利人同意,非法获取、提供、散布公民个人信息,而使个人信息事实上处于公开状态的情形。当前法规范背景下,只有“个人自行公开的信息”和“其他合法公开的信息”才是法律规定可以进行合理处理的对象,处理非法公开的个人信息仍可能具有前置法和刑事法上的违法性。有观点认为,在具体案件的处理中需要具体审查涉案个人信息是否系合法公开的信息,这直接关系到罪与非罪的重大问题。事实上,根据前文所述,对于被非法公开的个人信息而言,信息权人并未行使也未丧失其对于该信息的自决权。相较于信息权人自愿公开和合法公开的个人信息,非法公开的个人信息更易受到侵害并且更容易导致信息权人人身损害或者财产损失的严重后果。此种意义上而言,非法公开个人信息的保护必要性甚至高于处于非公开状态的个人信息。因此,非法公开的个人信息是公开个人信息类型化的当然对象。
(三)公开个人信息类型化尝试
对公开个人信息进行合理界分,应当以信息权人公开个人信息的意愿为依据:信息权人的信息公开意愿反映了信息权人行使信息自决权的程度,进而决定了应当对公开个人信息采取何种程度的保护措施。对于权利人主动公开信息或者经权利人同意公开信息的场合,信息权人已经充分行使个人信息自决权,刑法不涉及个人信息自决权的保护,而仅涉及公民信息安全的保护,即当处理公开个人信息的行为侵害公民信息安全法益时,行为依然可以构成侵犯公民个人信息罪;对于权利人被动公开个人信息的场合,信息权人的个人信息自决权并未得到完全行使,刑法对于此类信息的保护既涉及到个人信息自决权法益又涉及到公民信息安全法益;对于非法公开的个人信息,信息权人并没有行使个人信息自决权,其所要保护的法益既包括个人信息自决权法益也包括公民信息安全法益。
基于此,宜以信息权人的公开意愿为依据,将公开个人信息划分为主动公开的个人信息、被动公开的个人信息以及非法公开的个人信息。主动公开的个人信息包括权利人主动公开或者经权利人同意公开的信息;被动公开的个人信息主要指依法、依规公开的信息;非法公开的个人信息则指未经信息权人同意,也没有合法理由而被公开的信息。对于权利人主动公开或者经权利人同意公开的个人信息,可以认为权利人的个人信息自决权得到充分行使;对于依法、依规公开的个人信息,可以认为个人信息自决权在一定程度上得到行使;对于非法公开的个人信息,个人信息自决权并未得到行使。
五、公开个人信息刑法保护的边界:基于前置法与刑事法的融贯
(一)前置法与刑事法的规范关联
个人信息保护是个人信息利用利益与保护利益的博弈,不同于非公开个人信息场合中个人信息的保护利益优先于利用利益,在公开个人信息场合,个人信息的利用利益则优先于保护利益。因此,就公开个人信息的刑法保护而言,既要预防通过公开个人信息而针对信息权人人身、财产的侵害以及侵害风险;更应充分发挥公开个人信息的流通优势,促进公开个人信息的流通和合理利用。一言以蔽之,对于公开个人信息的刑法保护,应当在坚守刑法谦抑性的前提下,实现前置法与刑事法的有序衔接和规范关联。
刑事手段介入公开个人信息的保护,应当坚守刑法的谦抑性。谦抑性已经成为我国刑法在相当一段时期内的发展方向,刑法的谦抑性表现为只有宪法价值秩序下重要的公民个人法益和实现公民自由发展而必要的社会、国家法益才能被确立为刑法法益;只有穷尽前置法的制裁手段才能将达到或者接近达到前置法法律责任程度上限的不法行为规定为犯罪;前置法所规定的责任形式的上限与刑事法所规定的刑事责任的下限合比例地有机承接。基于上述认识,对于公开个人信息的刑法保护而言,前置法所保护利益中的重要法益以及对实现公民自由发展所必要的社会、国家法益才能被确立为侵犯公民个人信息罪的保护法益;能够通过前置法的民事、行政制裁手段予以规制的非法处理公开个人信息行为,无需动用刑事制裁手段予以规制。就前置法与刑事法的衔接而言,前置法的规定并不能直接作为刑法上判断行为是否构成犯罪的依据:一方面,前置法的禁止性规定作为刑法规范开放性的补充而成为认定行为是否构成犯罪的重要依据;另一方面,前置法规定的责任上限与刑事法规定的责任下限应当“合比例地有机承接”。作为前置法的民法、行政法规定与刑法规范有机衔接的中间桥梁即为法益理论:只有侵害刑法保护法益的前置法违法行为才构成犯罪。因此,对前置法的禁止性规定与刑事法规范之间的规范关联可以作如下概括:如果违反前置法禁止性规定的行为没有侵害刑法规范的保护法益,则行为人只承担民事责任或者行政责任;如果违反前置法禁止性规定的行为同时侵害刑法规范所保护的法益,行为才能被纳入到刑法规制的范围,行为人才具有承担刑事责任的可能。
基于上述认识,下文将首先对前置法中公开个人信息处理规则进行辨析,之后在刑法规范保护法益的视野下考察违反前置法禁止性规定的行为与刑法保护法益之间的规范关联,进而阐释不同类型公开个人信息刑法保护的应然边界。
(二)前置法与刑事法的融贯
对于公开个人信息的处理,民法典和个人信息保护法设定了“合理范围内处理”“权利人未明确拒绝”以及“未对权利人权益产生重大影响”规则(以下简称“合理处理”“明确拒绝”“重大影响”规则)。从性质上来看,“合理处理”规则为义务性规范,“明确拒绝”规则和“重大影响”规则为禁止性规范。义务性规范指示了行为人应当如何行为,禁止性规范指示了主体不得做出一定行为,并且通常与责任相伴随。
1.违反“合理处理”规则的行为不具有法益侵害性
关于“合理处理”应当作何理解,学理上存在不同认识:处理方式说主张,选择处理公开个人信息的方式时,信息处理者应当在诸多处理方式中选取对权利人影响最小的方式。中性处理方式说主张,对公开个人信息的中性使用是指信息处理行为并非为了谋求私利,且没有增加信息被进一步传播风险的使用方式。处理结果说则主张,刑法意义上的不合理处理主要是指信息权人没有明确拒绝并且没有对公民重大法益造成影响的情形。信息用途/场景合理说主张,信息处理合理与否取决于信息处理与信息原初用途是否一致。
笔者认为,基于信息处理方式和信息处理用途理解“合理处理”公开个人信息是恰当的。理由在于,首先,从信息处理的自然行为来看,行为人对于公开个人信息的处理大致可以分解为三个面向:行为人基于何种目的、采取何种方式处理个人信息,并最终导致何种结果。在前置法明确规定“对个人权益有重大影响”作为处理公开个人信息的禁止性规则的情况下,“合理处理”规则语义下,对于“导致何种结果”面向的理解应仅限于尚未“对个人权益产生重大影响”情形。因此,对于“合理范围内处理”的应然理解是基于合理的目的,采取恰当的方式处理个人信息,并且处理行为未对个人权益产生重大影响的情形。申言之,“合理处理”语义下所涉的不合理处理公开个人信息情形,仅指未对权利人权益产生重大影响的不合理利用情形。上述“处理结果说”中,“权利人明确拒绝”和“对权利人权益有重大影响”是前置法在合理处理之外规定的另外两种禁止性规则,如果以之作为“合理处理”的内涵,显然在逻辑上是不能自洽的。其次,从公开个人信息合理利用制度的价值来看,该制度设立的目的在于最大限度发挥信息的流通效能,促进信息的合理利用。公开个人信息的处理无需经由信息权人事先同意,因此对其处理也就难以受到信息权人的控制。此种背景下,信息权人之所以仍然能够自愿公开其信息,原因在于信息权人对其将要公开的个人信息被合理处理、利用具有合理期待,即期待其个人信息将被基于合理目的、以合理方式处理。就具体内涵而言,合理目的宜理解为符合公民的合理预期,合理方式宜理解为信息处理方式符合比例原则,单纯处理公开个人信息并且获利的行为,不宜认为是不合理处理。
基于前述公开个人信息的分类,对于信息权人主动、自愿公开的个人信息,可以视为信息权人对信息占有具有概括的同意,而对行为无需进行刑法上的苛责。因此,对于权利人主动公开或者经权利人同意公开的个人信息,权利人充分行使了个人信息自决权;对于依法、依规公开的个人信息,权利人在一定限度内行使了个人信息自决权。司法实践中,倘若对信息权人公开其个人信息的意愿进行一一甄别,一方面因为工作量巨大而难以实现,另一方面也不利于已公开个人信息的流通和利用。适宜的原则是,只要权利人没有明确拒绝,则可以认为权利人充分行使了其个人信息自决权。因此,对于主动公开和被动公开的个人信息,如果权利人没有明确拒绝,则视为权利人对信息处理行为已经“概括同意”,违反“合理处理”规则而对其进行不合理处理的行为不侵害个人信息自决权法益而无涉刑事责任,而无需动用刑罚进行处罚。而对于非法公开的个人信息,权利人并未行使其对个人信息的信息自决权,可以依照侵害未公开个人信息予以保护,非法处理此类信息的行为仍可以构成侵犯公民个人信息罪。
2.违反“明确拒绝”禁止性规则的行为侵犯个人信息自决权法益
《个人信息保护法》第27条将个人明确拒绝规定为处理公开个人信息的禁止性要件,即肯定了权利人对他人处理其公开个人信息的拒绝权。前述“合理处理”规则实际上预设了信息主体与信息处理者之间的权利义务关系,从而构建了处理公开个人信息的默认规则。基于此,对于行为人合理处理公开个人信息的情形,可以认为权利人已经充分行使了其个人信息自决权,只要信息处理人依默认规则处理公开个人信息,即不会侵犯信息权人的个人信息自决权。权利人明确拒绝即是其对于默认规则的否定,当信息权人明确表示拒绝时,相当于其“撤回同意”,除非信息处理者有其他合法处理个人信息的理由,否则其处理活动将不再具有合法性基础。应当注意的是,明确拒绝既可以是事前明确拒绝(如在信息公开页面予以注明),也可以是事后拒绝(如在发现已公开的个人信息被处理时提出拒绝)。可以说,信息主体通过明确拒绝的方式改变默示同意规则,此时,对于该公开个人信息的处理不再适用“可以在合理范围内处理”的规定,权利人进而可以恢复行使个人信息自决权。此种情形下,如果行为人继续处理该公开的个人信息,则仍可能因为侵害个人信息自决权法益而构成犯罪。对于被动公开的个人信息,权利人有限行使其个人信息自决权,如果权利人明确拒绝,则可以认为其保留了对个人信息自决权的行使。此时,如果信息处理人仍然继续处理该公开个人信息,则仍可能侵害个人信息自决权法益。
3.违反“重大影响”禁止性规则的行为侵犯公民信息安全法益
如前文所述,公开个人信息合理处理的制度价值在于发挥信息的流通效能,促进信息的流通和利用。同时,基于比例原则,信息流通和利用应当满足目的正当性、手段的适当性、最小侵害性和均衡性要求,发挥信息流通效能所获得的收益不能大于对信息权人所造成的损害。如果对于公开个人信息的处理导致信息权人权益受到重大损害或者有重大损害风险,则应当禁止该处理行为。因此,对于公开个人信息的处理,《个人信息保护法》设定了不得“对个人权益有重大影响”的禁止性规则。违反该禁止性规则,则可能导致民事责任、行政责任甚至刑事责任的承担。对权利人权益产生重大影响既包括对权利人人身权益的影响,也包括对权利人财产权益的影响;既包括已经对权益造成的实际影响,也包括可能造成的权益损害,前者如收集公示的扶贫信息提供给犯罪团伙进行扶贫款诈骗;后者如将律师公开的个人信息打包在暗网出售等。
基于上文对公开个人信息的分类,无论行为人主动公开还是被动公开的个人信息,只要权利人没有明确拒绝,则对该类信息的处理就不会侵害个人信息自决权法益。但如果信息处理行为可能损害权利人的重大利益,即处理公开个人信息使公民人身、财产安全遭受重大损害或者具有重大损害风险,则个人信息处理行为仍可能因侵害公民信息安全法益而构成侵犯公民个人信息罪。
(三)实践立场:基于前述案例的演示
前述分析已经展示了公开个人信息刑法保护一般进路,下文将结合本文开篇展示的案例,阐明公开个人信息刑法保护的实践立场。
案例1中,行为人吴某在某企业登记信息网站上下载的公开个人信息为被动公开的个人信息,但是信息权人并未明确拒绝他人对该类信息的处理,因此,吴某的行为并不侵害个人信息自决权法益。吴某将经梳理分类的上述信息出售,如果出售行为未对权利人利益产生重大影响,则行为无涉公民信息安全法益,不构成侵犯公民个人信息罪;如果后续行为侵害公民信息安全法益,则行为人仍可构成侵犯公民个人信息罪。案例2中,法院审理认为,行为人通过智能群发、加人、拉群等方式获取的他人姓名、性别、电话号码、微信号码等个人信息属于公开个人信息。事实上,公开个人信息是指能够为不特定第三人所获取的个人信息,上述信息只能为特定的微信好友、群友获取,而并不能为不特定第三人随时获取,宜依照一般个人信息予以保护。非法获取、处理上述信息,仍可能构成侵犯公民个人信息罪。案例3中,行为人通过“企查查”网站下载并整理的包括姓名、电话、住址等公民个人信息,属于被动公开的个人信息。依照上文确定的规则,被动公开个人信息场合,信息权人部分行使个人信息自决权,对该类信息的处理,权利人没有明确拒绝的,则不侵害个人信息自决权法益;如果行为人的信息处理行为可能侵害公民信息安全法益,则其处理公开个人信息的行为仍可以构成侵犯公民个人信息罪。案例4中,就信息公开类型而言,裁判文书网公开裁判文书中的个人信息属于被动公开的个人信息,可以视为权利人有限行使了个人信息自决权。如果权利人没有明确拒绝对该公开个人信息的处理,则信息处理行为不侵害个人信息自决权法益,行为人也就不构成侵犯公民个人信息罪;如果权利人明确拒绝对该公开个人信息的处理,则可以认为权利人保留了个人信息自决权的行使,此时,如果仍然处理该公开个人信息,则仍可能侵害个人信息自决权法益。本案中,贝某某公司在伊某明确提出拒绝的情况下仍然继续处理其公开的个人信息,则仍可因侵害个人信息自决权法益而构成侵犯公民个人信息罪。
结语
公开个人信息在展现其流通效能的同时,由于其识别性特征而蕴含着对信息权人人身和财产侵害的风险。因此,一方面以刑事手段规制非法处理公开个人信息的行为依然必要,另一方面刑法对公开个人信息的保护应当保持谦抑性。适宜的进路是在前置法和刑事法的融合之间寻求公开个人信息刑法保护的边界:单纯不合理处理公开个人信息的行为无涉侵犯公民个人信息罪法益,而可导致民事责任和行政责任;“权利人明确拒绝”的前置法禁止性规则违反可能导致个人信息自决权法益的侵害;“未对权利人权益产生重大影响”的前置法禁止性规则违反可能导致公民信息安全法益的侵害。这一进路既能实现前置法规范与刑事法规范的融贯,又能在坚守刑法谦抑性的基础上实现刑事责任与民事责任、行政责任的协调,既能保护公开个人信息相关联的个人人身、财产安全,又能促进公开个人信息的流通、利用,是公开个人信息刑法保护的适宜方案。
