杨楠
北京理工大学法学院助理教授;北京理工大学大湾区创新研究院研究员
随着社会数智化进程的加快,已公开个人信息的安全利用困境日益凸显。然而,该问题无论在学理上还是实务中均未达成共识。对于已公开个人信息是否属于侵犯公民个人信息罪的保护客体、信息公开行为是否属于默示同意、信息处理行为的“合理性”如何诠释等关键问题,有待进一步厘正。同时,对于已公开个人信息保护的规范衔接路径、差异化规制已公开与未公开信息的理论根源、信息保护与驱动信息价值之间的立场选择等命题,也值得省思。特别是,在个人信息体量持续跃升、数据挖掘产业对个人信息需求日增、信息数据犯罪不断翻新升级的现实背景下,明确已公开信息的范围、校准豁免同意的适用条件、廓清刑法的规制边界,就显得必要而紧迫。
一、已公开个人信息刑法规制的现状与困境
2017年3月20日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称:“两高”《个人信息解释》)第3条第2款规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于我国《刑法》第253条之一中的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。根据该规定,信息处理行为被拆分为处于上游的收集行为和处于下游的加工、出售与提供行为。行为人可以获取相关信息(包括公开可查取的个人信息)供自己使用,但不能在未取得“二次授权”或未匿名的情况下提供给他人。然而,此后颁布的我国《民法典》《个人信息保护法》与“两高”《个人信息解释》的规定并不一致。根据《民法典》第1036条和《个人信息保护法》第27条,合理处理已公开个人信息原则上可以豁免同意,除非“自然人明确拒绝”或“侵害重大利益”。2020年10月1日全国信息安全标准化技术委员会《信息安全技术个人信息安全规范》(GB/T35273-2017)也规定,对于自行向社会公众公开的信息、从合法公开披露的信息中收集的个人信息(合法新闻报道、政府信息公开等),信息业者进行处理时无须取得授权同意。不难发现,对已公开个人信息的保护,民事和行政法律规范较为松弛,“知情同意”的机能弱化,信息处理的合理性被作为考察的关键。这也进一步导致刑法中的不法与民事、行政法中不法的范围相比更广,陷入不违法的行为却可能成立犯罪的窘境,危及法秩序的统一。
上述规范龃龉也投射到了司法实践中。在“徐某某等侵犯公民个人信息案”中,被告人非法获取公民个人信息并出售获利,检察机关指控其构成侵犯公民个人信息罪。徐某某辩称,已公开的企业信息不是公民个人信息,收集此类信息后再出售或者提供的,不应要求“二次授权”。法院认为,公开性并非公民个人信息的排除事由;行为人可以通过特定系统查询收集相关信息供自己使用,但不能未经同意且在未匿名的情况下出售或提供给他人,徐某某构成侵犯公民个人信息罪。然而,司法实践中的处断结果不尽一致。在“王某侵犯公民个人信息案”中,检察机关指控被告人在未经被收集者同意、未做匿名处理、未剔除个人关联的情况下,交易在公开网站收集的信息,社会危害性严重;未经被收集者同意交易、交换其信息,属于“违反国家规定,提供公民信息”,构成侵犯公民个人信息罪。对此,法院却认为,法人代表或联系人的姓名、手机号是当事人自愿公开的,信息主体应当预见该信息有被他人使用(甚至不当使用)的可能;对“未经被收集者同意”的理解不可偏狭,在信息已经合法公开的情况下,仍要求行为人取得“二次授权”过于严苛。显然,本案法官认为,自愿合法公开信息这一行为,表明了主体在一定程度上对个人信息权利的放弃,因豁免同意而不存在不法。除了上述截然对立的两种处断思路外,还有一些案件采取较为折衷的路径。在“柯某侵犯公民个人信息案”中,针对检方的指控,被告人认为,网站上的房源信息已取得业主许可,系公开信息,处理行为属合理使用,无须另行授权。对此,法院认为,处理敏感个人信息须得到信息主体的明确同意和授权;对电话、姓名等非敏感个人信息,应当根据具体情况处理。信息主体自愿、主动公开的信息可以在不侵犯其利益的情况下合法、合理利用;但未经授权,处理限定用途和范围的已公开个人信息,就应负刑事责任。本案中,法官首先根据信息的重要程度进行类型化,对与人身和财产至关重要的敏感信息要求“二次授权”;而对于已公开的非敏感个人信息,只要不超出特定场景,可以不要求“二次授权”。需要特别注意的是,最高人民法院第194号指导性案例“熊昌恒等侵犯公民个人信息案”的裁判要旨指出,未经公民本人同意,或未具备法律授权等理由,通过购买、收受、交换等方式获取已公开的个人信息进行非法利用,且改变了公民公开个人信息的范围、目的和用途的,不属于“合理处理”,情节严重的构成侵犯公民个人信息罪。根据本要旨,对已公开信息的保护不能一概而论,应该通过考察个人信息公开的范围是否被扩大、公开的用途和目的是否变更等要素,判断信息处理行为是否遵循了合理性原则。该要旨与《民法典》和《个人信息保护法》保持一致,试图在确保规范有效衔接的基础上,平衡信息利用与信息保护之间的关系。
围绕规范冲突和实务分歧,学理上也展开了一系列探讨。首先,对于从《个人信息解释》中推导出的收集已公开信息后进行处理必须经过“二次授权”的结论,“二次授权必要说”主张,应对未经授权而处理已公开个人信息的行为一律入罪。对于已公开的具有明显个人属性的信息,即便不属于个人隐私也应以公民个人信息进行保护,不当使用此类信息构成侵犯公民个人信息罪。“二次授权不要说”则主张,授权公开个人信息是个人自主决定的结果,获取这些信息不侵犯信息自决权。既然作为源头的获取行为都不存在不法,那么作为出售、提供等的下游行为也不存在不法。针对前两种观点,也有学者主张通过判断信息处理行为的合理性来确定行为的法律属性。换言之,对于未征得自然人同意而获取、提供已公开个人信息的行为,只要行为人的获取、提供行为处于“合理”限度之内就不构成犯罪,除非该自然人明确拒绝。但是,在该理论内部,对于如何认定“合理处理”,也存在诸多学说。有观点主张通过信息公开的目的和功能进行实质判断,未偏离信息公开目的、没有改变用途的处理行为,不具有刑法规制的必要,但处理个人信息的行为损害重大利益的除外。也有人根据“情境脉络完整性”理论指出,当已公开个人信息的收集、出售和提供等行为能够评价为在同一场景中流动时,不构成犯罪;脱逸原始场景脉络,使信息从高风险场景向低风险场景流动的,也不构成犯罪;如果跳脱原始场景,使信息从低风险场景流入高风险场景时,就成立犯罪。还有学者提出了“客观开放程度标准”,即完全开放的个人信息实际获得了概括授权,处理该类个人信息通常无需刑法干预;对于限制公开的、违法公开的个人信息,应取得信息主体同意。不难发现,“二次授权必要说”与“二次授权不要说”均将信息处理行为拆分为收集行为和后续的处理行为,然而之后颁布的《民法典》和《个人信息保护法》未对其进行区分,这导致通过“二次授权”入罪的观点既与《民法典》和《个人信息保护法》相悖、丧失前置法依据,还会不当扩张刑法处罚范围;通过“二次授权”出罪也不无问题,即便是已公开个人信息,超出收集、利用方式和范围上的限制仍有可能构成犯罪,出罪路径过宽会轻纵犯罪。对已公开个人信息处理行为不法的判断引入了实质性标准或客观化场景,摆脱了绝对入罪或绝对出罪的桎梏,在认定上更精准。特别是在指导性案例要旨也采取折衷主义立场的情况下,该观点日益受到重视。但是,该观点中关于法益侵害性及程度的判断标准、信息公开的范围、目的和用途等核心问题,依然聚讼难休。
二、已公开个人信息刑法规制失准之症结
上述司法实践对已公开个人信息的规制发挥了一定的积极作用,学理上的各种观点也有其合理性。然而,这些裁判逻辑和理论学说还有待进一步讨论。
绝对入罪的观点值得商榷。绝对入罪意味着刑法对已公开信息与未公开信息采取相同的保护模式,但这并不合理。个人自愿公开其信息意味着允许相关信息在一定程度上脱离私人控制领域进入公共空间,而信息数据的特殊性就在于一经公开就很难(甚至不可能)再度回归私人控制,信息主体对此应当有所预见。对于信息利用者,既然信息主体已经自愿放弃对信息的控制,不能期待其通过合法手段对该类信息进行收集、整理和存储时仍取得信息主体的授权。否则知情同意出罪机能会被弱化,最终导致“在犯罪人以外的社会层面,刑事治理严重内卷而效果不彰”。同时,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》要求,充分释放数据要素价值、强化数据优质供给、促进数据合规流通。绝对入罪论不仅导致获取同意的频次增加,而且因信息主体难以溯源确认,实操性也不强。法律保护与信息利用的平衡关系在公开信息这一问题上体现得尤为明显,对个人信息的独占理念会催生过度的同意和被同意,阻滞对信息价值的挖掘和数据产业的发展。此外,“二次授权”往往要求信息主体明确同意甚至书面同意。但同意的方式并不止于此,默示同意、推定同意也能实现个人自决,并且在网络空间和数字社会,其应用场域和规范机能也不断拓展。特别是,在知情同意阻却不法的场合,就更不能对同意方式进行不当限制,因为“同意仍然在数据保护方面发挥着核心作用,它正在经历不断地改革和升级,不应被压制”。
绝对出罪论也不无疑问。根据《民法典》第1036条和《个人信息保护法》第13条,已公开个人信息包括自然人自行公开的信息以及其他已经合法公开的信息,而对于依法公开的个人信息或许就存在信息主体并不自愿,但为了公共利益而强制公开的情形。对于这类信息,公民当然可以查阅和获取,如果进行加工、出售或提供给他人,则可能导致信息主体与信息处理者之间权利失衡,恐不符合信息公开的目的。如主张上述行为的法益侵害性阙如,则会导致同意豁免的范围过宽,不利于对个人信息权的保护。此外,无罪论中“如果源头行为合法,那么出售和提供等下游行为也合法”的观点,似乎存在逻辑缺陷。一方面,源头行为合法而下游行为不合法的情况确有其例。例如,根据2015年5月29日最高人民法院《关于审理掩饰、隐瞒犯罪所得、犯罪所得收益刑事案件适用法律若干问题的解释》,在上游行为不构成犯罪的情况下,掩饰、隐瞒犯罪所得也可定罪。另一方面,即使是行为人明确告知收集和获取信息的目的、方式等,并取得信息主体的明确授权,但在未取得进一步授权或不存在其他合法事由的情况下,将该信息向他人提供是违法的。举轻以明重,对于未经明确授权的征信信息、企业法人信息等依法公开的信息,信息处理者收集后进行加工、出售的,并不能排除不法,还应结合信息处理的目的、场域等具体考察。
折衷说总体看来较为合理,但具体判断标准值得商榷。对于处理个人信息须符合公开之目的和用途的观点存在适用上的困难。信息公开目的较为主观、易变,要求第三人在处理时对此进行准确判断的难度较大。特别是在公开信息的功能和目的较为概括时,就更难把握。何况,互联网上的一些已公开个人信息并非信息主体自行披露,在这种情况下,无论信息处理者如何根据信息的类型和内容、公开的场域和主体等客观要素进行推断,也难以得出准确的结论。知情同意本就面临同意被虚化的诘问,这种进一步加重信息处理者责任的机制更使其难堪重负。在前述的“王某侵犯公民信息案”中,王某所收集的信息大都来自“自助贸易网”“中国供应商网”“阿里巴巴天眼查”等网站中公开可查的信息。善意第三人不难得知上述网站的运营目的就是推广销售、服务采购、帮助企业搭建供应链,收集、整理该类信息并提供给他人用于生产经营,并不违反信息公开的初衷。然而,控方认为王某的目的在于贩卖和销售此类信息,既未考虑对该类信息的处理是否违背了信息公开的目的和用途,也不考察是否具有刑法保护的必要。同时,既然合理性是验证处理已公开个人信息不法的关键,那么目的不合理就可能被作为不成文的积极的构成要件要素。也就是说,刑法在保护已公开个人信息时会将侵犯公民个人信息罪作为目的犯,这一问题在“两高”《个人信息解释》第6条中已有所体现。有观点认为,作为一种目的性表述,“为合法经营活动”是区分行为人主观罪过程度及行为社会危害程度的重要指标,是定罪和量刑的重要依据,是判断侵犯公民个人信息罪成立与否的该当要素之一,属于判断不法的根据;司法实践中也有案例采取同样的观点。然而,这不仅会引发“为合法经营”这一合法目的属于定罪情节抑或量刑情节的争议,而且会导致司法适用中怠于解释兜底条款、扩张特定信息外延等问题。将特定目的用于判断已公开信息处理行为的不法,同样既不符合刑法条文的规定,也因公开目的的概括性和模糊性给司法认定带来困难。
根据情景脉络完整性理论而提出的“场景理论”也失之偏颇。该观点将应用场景类型化为“生活场景”“商业场景”“公共利益场景”“违法犯罪场景”。但其划分依据不明确,何况信息数据应用场景繁复,上述各种场景难以覆盖个人信息公开的全部情境。另外,上述场景之间也存在交叉。例如,一些公司企业人员或销售人员在日常生活中公开的个人信息也不能排除其商业用途,以电商网络销售平台尤为常见。并且“违法犯罪场景”和“非违法犯罪场景”属于一组话语范畴,“生活性场景”“商业性场景”“公共利益场景”均与“违法犯罪场景”存在竞合的可能。这也进一步导致,对于从低风险场景流入高风险场景成立犯罪、从高风险场景流入低风险场景不成立犯罪这一路径难以圆通。因为,关于场景风险高低的判定,除了合法场景流入非法场景容易认定为风险升高之外,其他场景之间因存在竞合很难厘清风险程度和等级。
根据德国的“一般可访问”理论所提出的“客观开放程度”标准也值得进一步探讨。该观点认为,处理依法自愿完全公开的个人信息不具有不法,限制公开的个人信息受到刑法保护;处理违法公开的个人信息应负刑事责任。该理论试图借助开放程度这一纯客观标准,摆脱合理性判断对主观目的的依赖。然而,开放程度只是对已公开信息一个维度的考察,公开主体、公开方式等关键因素未被考虑在内。此外,“一般可访问”理论“考察收集、存储和链接可公开访问数据是否会对数据主体的权利带来特定的风险,有必要评估数据主体披露其个人数据的目的,以及这些目的是否与实际处理的目的相一致,或者数据主体是否应该期待这种处理行为”;信息主体和处理者之间的利益平衡、相关人员的合理期待以及处理目的的可预见性,也是该理论无法回避的核心问题。可见,“一般可访问标准”也难以彻底摆脱对公开目的这一主观要素的依赖。再者,许多客观上完全公开或限制公开的信息并不合法,如果仅采用上述标准,信息业者在不知情时,则将违法公开的个人信息作为完全自愿公开的信息进行收集和处理也构成犯罪,这或许会陷入客观归罪的泥淖。最后,根据该观点,限制公开的信息具有刑法保护的必要,收集和提供该类信息可能构成侵犯公民个人信息罪。然而,如果信息业者依规收集此类信息,并在该限制公开的范围内符合目的的使用或提供,也就没有处罚的必要。因此,客观开放程度标准虽然在对处理自愿完全公开个人信息行为予以出罪的层面上恪守了刑法谦抑,但其将处理限制公开信息行为入罪,不当扩张了犯罪圈。
不难发现,以刑法司法解释所确立的“二次授权”规则,“二次授权必要说”和“二次授权不要说”均有待商榷,前者不当扩张处罚范围而后者轻纵犯罪;对于《民法典》《个人信息保护法》规定的“合理处理”规则,以信息公开目的为判定依据存在模糊性,场景风险标准的逻辑不周延,客观开放程度标准存在阻塞出罪通道的可能。因此,上述求解路径均有待进一步完善。
三、已公开个人信息刑法规制的教义学本质
信息社会的最大挑战是,如何实现以一种更加平衡的方式,解决诸如信息自由与经济利益、个人隐私与集体安全之间的各种法益冲突。因此,要纾解上述困境还必须探寻“知情同意”的理论根基、个人信息权的本质和数智化时代刑法的机能。
(一)“知情同意”的适用与限制
同意不生违法。同意制度建立在个人自决和自我负责理念之上,是个人自主发展和人格尊严的体现,以防止家长主义不当限制个人自由。近年来,在个人信息保护领域,自主决定权以信息自决权的形式表现出来,并通过信息主体的知情同意权来实现。一方面,“个人同意强调的是个人数据处理者在处理其个人数据前必须依法向个人履行告知义务并取得个人(或者其监护人)的同意,从而使个人数据的处理活动具有法律根据,排除该处理行为的非法性”。因此,作为一项消极防御权,未经权利主体知情同意,他人不得处理自己的信息。另一方面,作为一项积极许可权,信息主体可以决定是谁、出于何种目的、什么时间、在何种范围内使用自己的信息。
但是,知情同意规则不是判断不法的唯一指标,制度设计也应权衡好信息处理者与信息主体、个人权利与公共利益之间的关系。首先,同意必须以知情的方式作出,只有充分了解被决定事项,才有可能评估同意的后果并做出决定。然而,不同主体从事数字活动的条件不同,这些差异会导致不同地域、不同群体之间信息失衡,“数字弱势群体”往往难以预判决定的后果。例如,信息势差会导致授权合同中设定的内容不利于信息主体;授权合同内容庞杂晦涩,信息主体往往在没有仔细阅读的情况下给予同意;“App的运营者在用户安装协议中以模糊不清的表述,要求用户一揽子、概括地同意其收集范围根本没有得到清晰描述的各类个人信息……”如果信息主体对同意的内容欠缺清晰的认识,则会对其自愿选择造成影响,使同意不具备实质效力。甚至有观点指出,以知情同意原则保护个人信息不切实际,“获得同意是否在实际上属于个人信息自决权的表达形式,也值得怀疑”。如果在信息主体和信息处理者关系不对等的情况下使用同意制度,就会导致对于欠缺救济机制的同意而言,无非是拟制了一个看似健全的法律基础,却通过破坏信息自决的社会来源来损害公众利益。最后,知情同意并非判断信息处理行为法律属性的唯一要素。当信息主体自愿同意时,对信息进行处理具有合法性;而出于维护重要公共利益的需要,法律也可以允许特定主体不经告知同意而处理其信息。例如,根据《传染病防治法》第12条和第33条,为了防治传染病,国家疾病预防控制机构和医疗机构可以收集和处理与疫情防控有关的个人信息,甚至具备改变个人信息使用目的的法定授权。根据国家市场监督管理总局《市场监督管理行政处罚信息公示规定》第4条和第6条,市场监督管理部门可以在遵守个人信息保护有关规定的前提下,在行政处罚信息摘要中对行政处罚当事人的基本情况进行公开。
知情同意规则在实操中依然存在适用上的盲区和困境,仍有待完善或辅以其他制度补充;对于信息处理行为积极不法的判断,也不能将“知情同意”作为唯一标准,否则不仅动摇同意制度的理论根基,而且不利于对信息自决权的充分保护。
(二)信息自决权旨在保障自由
法是个人之力同化为社会之力、是个体社会化和私力公权化的产物。在传统以公法理念构建的刑事治理体系中,国家垄断对犯罪的治理权,个人在刑事诉讼中较为被动。为消解犯罪治理排斥个人参与、刑法权威受损等问题,刑法借鉴平等协商、修复补偿等私法理念,建构起刑事自诉、刑事和解、保安处分等一系列制度,实现犯罪治理多元化。“被害人同意”也是刑法私法化的教义学建构,同意是平等主体之间基于合意处分权益的行为,属于私权处置模式,国家将主体间对权利影响的认诺作为限制刑罚权发动的事由,显然是国家将一部分犯罪治理的权力让渡给个人。
以信息自决权为基础的知情同意机制是刑法私法化的体现。“自我决定权是个体自由的权利形态,也是个体自由的重要表现。”个人行为对于个人人格的发展理应自行决定,国家不宜干涉;当被侵害利益与法益主体自由决定利益相冲突时,应遵照法益主体的意思决定。因此,刑法中的被害人同意是对法律保护的放弃,是自我决定权的延伸。虽然学界对于被害人同意作为排除犯罪性事由这一结论不存在争议,但对其通过哪一阶层排除犯罪莫衷一是。“二元论”将“同意”分为“合意”(Einverständis)与“同意”(Einwilligung),前者阻却构成要件,而后者阻却违法;“一元论”则认为,被害人同意均属于排除构成要件符合性事由。本文认为,“一元论”相对合理。根据“二元论”,同意的类型究竟是“合意”还是“同意”,应根据对构成要件的解释来确定。但是,对于构成要件本身是否包含违反被害人意志这一要素,往往存在不同的结论,这便导致“合意”与“同意”边界模糊。正如学者指出的:“分则中旨在保护个人法益的每一个构成要件,都概念性地内涵了符合构成要件的行为必然违反了被害人的意志,而个别构成要件中明确指示违反他人意志或者未经本人同意,旨在提示适用者特别注意审查是否存在违背他人意志的事实存在。”此外,构成要件具有违法推定机能。经被害人同意的行为不仅不存在损害法益主体自由发展的可能,而且可能是个人自主发展的途径,不属于刑法禁止的行为,也无需通过构成要件发挥行为规制机能。将“同意”分为“合意”和“同意”既不合理,也无必要。最后,根据证明规则,控方应对构成要件要素负举证责任,其证明标准相对较高。将被害人同意视为构成要件要素,显然更有利于保护被告人利益。因此,刑法教义学中的被害人同意是自我决定权的体现,它通过阻却构成要件该当性而排除不法。
法律保护公民个人信息的目的在于维护信息自决权,而知情同意机制正是实现该权利的重要途经。首先,个人信息是虚拟人格对现实人格的指征。公民在知情的前提下自主决定是否同意他人处理自己信息。倘若知情同意机制缺位,公民不对个人信息的披露、收集、处理以及交易享有决定权,那么他人违背信息主体意志不当处理其个人信息的行为,必然会对信息主体的人格利益造成损害。其次,根据《刑法》规定,侵犯公民个人信息罪的不法行为是,非法获取、非法出售或提供公民个人信息。《个人信息解释》第3条第2款明确将信息主体同意与否作为判断“提供”行为的依据,而对于收集和出售行为的认定,知情同意也通过“国家有关规定”参与到对构成要件符合性的判断中。最后,2018年11月9日最高人民检察院《检察机关办理侵犯公民个人信息案件指引》第2条指出,办理侵犯公民个人信息案件时,应对犯罪嫌疑人“违反国家有关规定”进行举证。这种举证责任上的要求,证实了司法机关同样将“违反国家有关规定”视为构成要件要素。因此,作为“国家有关规定”内容之一的知情同意,也当然对构成要件符合性的判断发挥作用。由此可见,无论是在理论基础还是在规范机能上,知情同意机制与刑法中的被害人同意理论别无二致。个人信息保护中的知情同意机制也是为了实现法益主体的自我决定权;知情同意之于侵犯公民个人信息罪,与被害人同意之于犯罪成立理论的机能相同,通过排除构成要件符合性发挥出罪机能。
信息保护必须适应数字文明,法律对自由的限制应以保障自由为旨归。“国家治理现代化和刑事治理现代化要求轻缓的刑罚”,只有在不法行为对公民个人信息法益的侵犯不得不动用刑法的情况下,刑事治理才具备正当性。在数字网络与信息科技融合发展的背景下,对于个人信息的刑法保护,更应不断强化民事和行政法律规范的机能,谨防刑法越位。
四、已公开个人信息刑法规制的路径完善
通过前述论证,已经可以对已公开个人信息的刑法保护问题进行求解。已公开个人信息首先可以类型化为合法公开的个人信息和非法公开的个人信息,其中合法公开的个人信息较为复杂,仍需通过不同维度进行考察。对于合法已公开个人信息,在公开程度上,可分为完全公开的个人信息和限制公开的个人信息;在公开方式上,又可分为自愿公开的个人信息和依规定公开的个人信息。因此,需要对自愿完全公开的个人信息、依法完全公开的个人信息、自愿限制公开的个人信息、依法限制公开的个人信息四种情形,逐一展开分析。
(一)已公开个人信息基本范畴之框定
对于非法公开的个人信息,首先需要对“法”的范围进行界定。关于前置违法性的判断,主要依据《刑法》第93条和《个人信息解释》第2条,后者因纳入了“部门规章”而导致涵摄范围较前者更宽。但是,非法公开的个人信息在刑法中往往用于判断积极不法,应以法律和行政法规为限。据此,非法公开的个人信息包括违背信息主体意愿而公开的个人信息和未依法公开的个人信息两种。前者例如,小区物业出于管理需要,未经同意将业主姓名、居住楼栋、住房面积和联系电话等信息发布在业主群中;后者例如,在公共卫生事件应急处理过程中,居民委员会未经政府授权,擅自将辖区居民的行踪轨迹予以公开。
首先,对于合法公开的个人信息,应明确公开程度的判断标准。公开包含向不特定多数人完全公开和在一定范围内公开两种情形。对于信息公开及其程度的判断可以借助德国的“客观可访问”标准,完全公开个人信息是指在技术上适当并旨在向公众提供的信息。易言之,完全公开的个人信息是普通人采取一般性的方法,无须耗费财力和大量时间、精力所能获得的信息。例如,公司企业为营销推广,在报刊杂志或公开网站上发布的包括公司名称、主营业务、法人姓名、地址、联系方式在内的一系列信息等。限制公开的信息则在客观上表现为,需要满足特定条件才可获取的信息,包括主体具备准入资格、缴纳费用、注册时必须同意信息使用范围等。例如,“钉钉”用户经过认证并进入群组后,可查阅本群组成员的姓名、照片、工号、部门和职务等信息,其他人员无法通过认证进入该群组,也无法知悉上述信息。需要特别说明的是,虽然一些网站需要通过手机号、微信或者邮箱等注册后才能进入访问或显示网站的全部内容,看似属于限制公开的信息,但这种登记准入并未设置特别条件,在实质上不对访问主体进行限制,所以这些信息应被视为是完全公开的。其次,对于信息是否公开及其程度,应采取以社会一般人为原则、以特殊主体应当具备的认识能力为例外的标准。这种例外主要体现在:以一般人的认知判定为完全公开的个人信息,而信息处理者基于专业技能可以轻易知晓该信息并不出于自愿或依法完全公开状态时,不能以完全公开的个人信息进行处理;以一般人的认知判定为限制公开的个人信息,而信息处理者基于其个人优势认为其应属完全公开时,也应以社会一般人标准为判断依据。
对于合法公开的个人信息,还应明确自愿公开和依规定公开的关系。自愿公开和依规定公开看似互相对立,即只有在不自愿公开的情况下才存在适用强制性规范的余地,同意和法定正当事由难以共存,但这种观点有待商榷。两者的关系可以理解为,如果信息主体自愿公开其个人信息,则自始不存在法律强制其公开的必要,但往往还是以依规定公开的形式表现出来;如果出于维护公共利益的目的,则在信息主体不愿意公开或不具备公开条件的情况下国家也可以对之强制公开。换言之,虽然属于合法公开,也是通过依规定公开的方式提供,但信息主体的真实意愿存在多种可能性。在这种情况下,特别是获取信息后进一步处理时,就应尽可能地关照信息主体的意愿,谨防私权过度让位于公益。另外,对于前置法的界定,由于合法公开的个人信息往往用于排除不法,而出罪体系具有开放性,所以依照法律、行政法规、部门规章甚至其他规范性文件而公开的个人信息均属于合法公开的个人信息。例如,《公共交通企业信息公开规定》第9条规定,道路班车客运、道路客运站运营企业应当主动公开企业名称、驾驶员姓名和从业资格证号、票价、里程表、乘车规则等道路班车客运运营服务信息;《学校食品安全与营养健康管理规定》第27条第2款要求学校食堂从业人员在学校食堂显著位置统一公示健康证明;《卫生部关于加强血站信息公开工作的通知》第2条要求血站主动向社会公开医护人员的执业注册情况及相关资质,等等。根据上述行政规章和部门规范性文件公开个人信息的,也属于依规定公开。
(二)已公开个人信息刑法规制的进路
对于已公开信息的刑法规制,本文不赞同“二次授权”理论,采用“合理处理”规则。“二次授权”源自“两高”《个人信息解释》第3条第2款,但该解释是对非法提供个人信息行为的解释,并不直接针对已公开个人信息。适用其判定处理已公开个人信息行为不法的逻辑是,收集行为均是合法的,据此才可以推出向他人提供或出售该信息应经过信息主体的同意。然而,这一逻辑并不周延。有些信息是完全公开的,但信息主体或平台明确禁止他人爬取有关个人信息。对于限制公开的个人信息,未被授权的人对该信息进行收集当然也不合法。可见,在收集已公开信息并不全然合法的情况下,“二次授权”的逻辑前提不周延,将处理已公开信息的行为切分为源头的收集行为和下游的提供或出售行为欠缺理论根据。何况,即使采用“二次授权”规则,信息业者经信息主体同意,将合法收集的已公开个人信息出售给他人也未必合法。例如,信息业者明知他人意图利用个人信息实施犯罪而向其出售的,依然构成犯罪;信息业者出售的行踪轨迹信息被他人用来实施犯罪,属于情节严重,构成侵犯公民个人信息罪。因此,“二次授权”规则难以对已公开信息的合法性做出准确判断。同时,知情同意理论本就存在因信息势差所导致的同意虚化、同意成本增加等问题,信息主体越广泛、多样,以合理成本和时间实现告知同意的难度就越大。“数据的价值不在于支配控制,而是在流通和共享的环节中才能实现数据价值,因此促进数据流通共享是数据保护的核心理念。”要求信息主体对他人处理已公开个人信息的行为尽数同意,会阻碍公开信息的获取和利用、导致刑法处罚范围扩张,影响信息共享深度、广度和聚集效应的实现。并且,法律规定信息主体明确拒绝时不得处理,这一选择退出机制也可以确保信息自决权的实现。在位阶更高的《民法典》和《个人信息保护法》对已公开信息的保护问题做出明文规定的情况下,采取“合理处理”规则不仅能最大限度地消弭理论误区和实践困境,确保整体法秩序的统一,而且可以规避知情同意机制的固有缺陷。
第一,处理非法公开的个人信息原则上具有法益侵害性。未经他人同意而公开其个人信息或超越权限公开个人信息的行为违背了知情同意规则,未履行“社会团结义务”;超越法律授权公开个人信息的,因过度关照公共利益而给信息主体带来了不相称的不利益,属于“违反国家有关规定”。因此,收集、提供和出售非法公开的个人信息,构成侵犯公民个人信息罪。但需要注意的是,当被非法公开的个人信息处于完全公开状态,根据社会一般人的认知无法预见其属于非法公开信息的,对信息处理者没有非难的必要,谨防客观归罪;如果信息处理者具备专业知识和机能,则明知此类信息为非法公开的信息还进行收集、处理时,应负刑事责任。
第二,处理完全自愿公开和依法完全公开的个人信息无须信息主体同意,只要未被明确拒绝或者未侵害信息主体重大利益就不具有法益侵害性,不构成犯罪。首先,自愿公开个人信息属于默示同意,依规定公开也是一种有效同意,均不存在授权的必要。《民法典》未对同意的方式予以规定,《个人信息保护法》第14条规定,对于同意应当明确作出意思表示。此外,一些部门规章和其他规范性法律文件中也存在类似规定。有观点认为,处理出于商业目的的信息以明示同意为前提,处理非商业目的的信息可适用默示同意,除非信息主体明示拒绝。也有人主张,默示同意仅在法律规定、当事人约定或符合当事人之间交易习惯时才可视为意思表示;应借鉴欧洲有关法律规范,针对敏感信息采用“明确同意”标准。根据欧盟《通用数据保护条例》(GDPR),同意一般采取明示方式,只要不涉及敏感数据,也允许默示同意。被害人同意属于消极不法要素,是排除犯罪性事由,如果只允许明示同意而反对默示同意,显然就会使被害人同意的不法排除机能被不当削减。并且,我国有关个人信息保护的法律均未禁止默示同意,为保障出罪机制的有效运行,应对默示同意予以肯认。同时,刑法既有补充性也有独立性,刑法也不能如民法学者所主张的那样,只对非敏感信息适用默示同意规则,否则也是对被害人同意理论的矮化。但仍需探讨的问题是,在前述部门规章和其他规范性文件均明确禁止对个人信息的采集和处理采取默示同意的情况下,如果刑法对默示同意予以认可,是否欠缺前置法依据、危殆整体法秩序的统一?答案是否定的。法秩序中的矛盾主要有“规范矛盾”“评价矛盾”“技术矛盾”“原则矛盾”。默示同意适用中的矛盾属于规范矛盾,在规范冲突的场合一般以上位法优于下位法、特殊法优于一般法以及新法优于旧法为原则。《民法典》和《个人信息保护法》并未禁止对个人信息的授权同意以默示的方式做出,基于刑法谦抑和实质出罪的需要,肯认默示同意无论在形式上抑或实质上均有正当性。司法实践中还存在将公开信息的行为视为推定同意的情况。根据表达方式的不同,可将同意分为明示同意和默示同意。明示同意是主体在理性、知情且有意的情况下,对放弃权利、服从法律等事项所作的自愿性宣誓;默示同意则是主体对同意意愿的不明确表达,他人往往只能从行为或者沉默中认识。根据发生方式的不同,可将同意分为现实同意、推定同意(mutmaßlichen Einwilligung)和假定同意(hypothetischen Einwilligung)。现实同意是真实发生的同意,是社会交往的实际过程中客观存在的同意;而假定同意和推定同意都属于“同意替代”(Einwilligungssurrogat),是在无法取得被害人事实上同意的情况下,理性地衡量客观情状,推测被害人若知悉相关事实也会予以认诺的同意。因此,虽然没有明确表达让第三人知晓,但默示同意也是主体在理性和知情的前提下有意作出的,属于现实同意;假定同意不是真实发生的同意,是对权利主体真实意愿可能性的判断,它只是具有与现实同意类似的效力,且具有明显的补充性。所以,推定同意和假设同意均不是默示同意。由于推定同意要求“要么是建立在维护相关法益中法益主体利益的基础上,要么是建立在关系个人的特别理由基础之上”,而假设同意也要求“在客观上保护了更优越的法益”,行为人对已公开信息的收集和处理既无涉牺牲一部分利益而保全另一部分利益,也无需在保全利益与牺牲利益之间进行权衡,自然不具备认定为任何形式的“同意替代”的前提。既然不满足推定同意的适用条件,以主动公开个人信息的行为无法推知信息主体有效同意而证明行为违法,就存在逻辑上的疏漏。其实,信息主体自愿公开个人信息应属现实同意,公开个人这一行为已客观清晰地表达了信息主体对他人阅取、存储、使用个人信息的许可,只是这种现实同意没有通过直接、明确、要式的方式做出罢了。因此,自愿公开个人信息的行为属于默示同意,是信息主体对他人通过合法手段获取和处理特定信息的现实同意。
对于依规定强制向不特定多数人公开的个人信息,在信息主体未明确表示不得处理、未侵犯信息主体重大利益时,行为人处理该类信息也不具有刑法上的可罚性。依规定强制公开个人信息往往出于维护公共利益的需要,而在这种情况下,立法通常已经考虑了公益与私权的平衡,只向公众公开非重要、非敏感的一般个人信息。例如,根据《公务员法》第32条第1款和第48条,对拟招录公务员个人信息的公开主要包括准考证号、姓名、性别、拟录用岗位等;对拟晋升公务员的公示主要包括姓名、性别和履历等。此外,根据2013年7月1日最高人民法院《关于公布失信被执行人名单信息的若干规定》第6条,记载和公布的失信被执行人信息包含,法定代表人或者负责人姓名,被执行自然人姓名、性别、年龄、身份证号,被执行人失信行为等。上述强制公开的个人信息均为一般个人信息,通常不会对自然人的人身、财产安全造成严重危害,可以实现公益与私权之间的平衡。此外,国家公职人员、法定代表人等被依法强制公开信息的特定主体,理应知晓对其信息公开的基本情况,诸如个人信息公开的范围、事项、周期、方式等,对他人获取和使用该类信息也应有预见。因此,在依法强制公开个人信息且信息主体未明确拒绝他人收集和处理的情况下,对信息业者课以过重的注意义务也于理无据。
第三,处理限制公开的个人信息,应根据公开的主体和方式分情况而论。
首先,信息主体自愿在特定范围内公开个人信息的,信息业者在该范围内处理此信息,原则上不具有可罚性;超越该范围进行处理时,应获得信息主体的授权许可。信息主体在特定范围内公开有关信息可视为对他人处理该信息的默示同意;然而超越这一范围使用、提供个人信息时,信息业者的告知同意义务不能被免除,否则危及主体的信息自决权。此处仍需讨论的问题是,公开范围是指同一场域,还是可以扩张至同类场域?本文的答案是否定的。一方面,在上述情况下往往涉及个人信息的跨平台流动,由此导致自愿限制公开的信息游离于某特定场域,在同类应用场景发生交换。但是,信息主体在某一特定范围公开个人信息并不代表在同类平台上也愿意公开此信息,信息业者必须履行告知义务并征得同意。另一方面,倘若将信息公开的场域从“同一”扩张至“同类”,则既无法绕开对信息处理目的的考量,还会受到前述“场景理论”的干扰。对于目的的考量本就棘手,特别是在目的较为概括的情况下就更难辨识;此外,类型化不周延是“场景理论”的固有缺陷,该理论还会导致个人信息在同类场域流动因未升高风险而不存在不法的结论,这与知情同意理论相悖。
其次,对于依规定在特定范围内公开的个人信息,也不能一概而论。在信息主体有处分权限时,应予告知并取得授权;在信息主体自始无处分权限时,通常不得处理;在信息主体处分权限不完整时,应征得双重同意。依规定在特定范围内公开的信息较为敏感、重要,被不当使用后所造成的后果严重,往往遵循“内部公开”制度。例如,2014年3月3日国务院《关于改进加强中央财政科研项目和资金管理的若干意见》规定,项目承担单位应当在单位内部公开项目立项、主要研究人员、资金使用、大型仪器设备购置以及项目研究成果等情况,接受内部监督。该规定中所涉的个人信息,不仅包括科研项目主持人和参与人的基本情况,而且涉及资金账目、招标采购等财务信息,相关科研事项还可能涉密。又如,最高人民法院、最高人民检察院、公安部《关于对涉及重要国家机密的案犯不公开审判问题的通知》规定,对于了解国家重要政治机密、军事机密、经济机密和国防尖端及科学技术重大机密的犯罪分子,原则上不公开审理、不公开宣判,如确有必要在内部公开处理时,不得泄露国家机密。该通知中所涉的个人信息更为关键,这些信息一旦泄露或被不当使用,势必对国家利益或公共利益造成不可挽回的损失,应予严格管控。在这种情况下,信息主体的自决权应让位于公共利益。因此,在处理特定范围内依规定公开的个人信息时,首先需要分辨信息主体是否可以完整地行使自决权,如果答案是肯定的,则应在信息主体授权范围内处理有关个人信息;倘若信息主体无法完整行使自决权,则应在经由有关部门批准并获得信息主体同意的前提下处理该类信息;在公共利益绝对优位时,信息主体无法行使自决权,对于该类具有多重价值属性的关键个人信息通常不得收集和处理。
五、结语
已公开个人信息的刑法规制问题不仅涉及经济社会数字化转型背景下刑事治理的边界,而且关乎新技术、新业态和新应用领域刑事治理模式的构建。“中国刑法应该走自由刑法发展之路,安全刑法的发展应该限定在适度的范围内,在维护国家与社会安全的同时,更要维护作为法治国基础的公民权利与自由,要树立以保障公民自由为前提的安全观,并以自由刑法的理念主动审视安全刑法的合理性与正当性。”对于已公开个人信息的刑法保护而言,不可置信息主体的自决权于不顾,因为“信息数据保护旨在通过强化公民权利,规范由于使用现代技术而日益加固的国家权力”。但也不宜将知情同意奉为铁则,因为“作为一种法律授权,它对数据控制者来说充满陷阱,而且往往不切实际”。较为合理的路径是,通过公开信息的主体、范围和形式等三重维度分情况进行探讨。处理非法公开的个人信息通常具有法益侵害性,构成侵犯公民个人信息罪;处理完全自愿公开和依法完全公开的个人信息无须取得信息主体同意,只要未被明确拒绝或者未侵害信息主体重大利益就不具有法益侵害性,不构成犯罪;信息主体自愿在特定范围内公开个人信息的,信息业者在该范围内处理此信息原则上不具有可罚性,超越该范围进行处理时应取得信息主体的授权许可。处理依规定在特定范围内公开的个人信息时,信息主体有处分权限的,应告知并取得授权;信息主体无处分权限的,通常不能擅自处理;信息主体处分权限不完整的,应同时取得有关部门和信息主体的授权。“信息数据的法律价值不能与任何其他事物的法律价值相提并论。”在深度数字化时代,刑事法治应以确保信息安全使用为基本立场,驱动信息价值、增强经济发展新动能、构筑国家竞争新优势,助推数字经济高质量发展。
(原文刊载于《政治与法律》2024年第5期)
《数字法治》专题由上海市法学会数字法学研究会特约供稿,专题统筹:秦前松。
