|
【202208063】已公开个人信息的刑法保护原理及其规则
文/李昱
作者单位:清华大学法学院
专题分类:个人信息保护
期刊栏目:案例评析
一、案情简介
2015年5月至6月,支某应白某要求长期利用自己的职务之便,通过QQ邮箱将某市工商企业注册登记信息中的108万余条相关公民个人信息发送给白某,其中含法人、负责人、联络员等人的姓名、传真、电话或手机号码,居民身份证号以及企业名称、住址、经营或产品范围等多项内容。白某先后给付支某人民币4500元,并将获取的上述公民个人信息长期对外出售牟利。其中,白某向吴某出售公民个人信息28万余条,获利约4000元。
2015年5月至2016年6月,吴某、黄某、郑某分别将通过QQ非法获取的公民个人信息存储在电脑硬盘或注册使用的云盘中,并按照分类命名建立文件夹。雷某将非法获取的公民个人信息建立文件夹,并通过QQ向黄某出售公民个人信息文件9个。王某通过QQ向黄某出售公民个人信息文件68个,共计6.7万余条,获利共计人民币8300元。黄某在网上发布买卖信息的广告,在买方将款项汇至其指定的账户后,通过QQ发送给买方所需要的信息。
二、评析
该案的争议焦点之一是已经公开的工商企业注册登记信息中的公民个人信息是否属于侵犯公民个人信息罪的保护对象,衍生问题是已公开个人信息是否仍受刑法保护。一种意见认为,支某向他人提供可通过计算机公共网络查询到的信息不属于公民个人信息,不应计算在个人信息条数中。另一种意见认为,工商企业注册登记信息虽然属于公开信息,但其中关于法人、负责人或联系人的姓名、电话号码等均能够单独或与其他信息结合识别特定自然人身份,属于法律规定的“个人信息”范畴,应受刑法保护。笔者赞同后一种意见。从法益保护的角度出发,应当得出已公开个人信息仍属于侵犯公民个人信息罪保护对象的结论;对已公开个人信息的刑法保护,应主要着眼于相关信息的流动性和场景性,进而准确划分“合理处理”与“非法处理”已公开个人信息的界限。
(一)出售、提供、非法获取已公开个人信息的行为具有法益侵害性
在信息网络与大数据时代,信息技术穿透围墙,不断挤压着公民的私域自主空间,个人私生活领域被迫向社会与国家开放。在此背景下,个人信息法律规范体系承担了在信息社会中保障个人私域自主的重大任务。只有通过法律对“个体匿名性”进行保障,才使个体保有自主支配的私人领域成为可能。[1]匿名性建构起来的私域自主,不仅对个体的自由至关重要,同时也是形成健康、有活力的公共领域的前提条件。基于此,侵犯公民个人信息罪的保护法益首先应立足于个体的“匿名性”进行解读,具体内容为个体在“匿名性”存在方面的权益,其包含社会权利层面的内容,也即匿名性所代表的将私人领域自主与公共领域之间相区分的社会秩序安排。匿名性权益指涉法益的个体权益属性,私人领域与公共领域之间的界分指涉法益的公共属性,二者是一体两面的关系。[2]个体匿名性存在方面的权益解释了公民个人信息为何以“可识别性”而非私密性作为定义标准,只有保证个体在网络中无法被随时任意识别,其私人生活方有安宁可言。匿名性所指向的私域与公域之间相区分的社会秩序安排则体现出“温和的家长主义”特征:即使个人信息已经公开,刑法仍然视其为受到保护的社群成员,继续防止其遭受来自他人、社会和国家的不当压制。需说明的是,个体匿名性权益及其私域自主的法益观与个人信息权之间不是排斥关系,而是包含关系。个体决定向他人或社会公众开放能够识别自身的信息,原本便是对私域自主做出处分或让渡的一种形式,也是行使信息自决权的体现。只不过,此种处分与让渡并不绝对性地产生其私域自主不受保护的结果。
公民个人信息公开与否,并非判断提供、出售、非法获取个人信息之行为违法性的最终根据。因为公民个人信息并不是基于对相关信息的占有和控制而受到保护,[3]自然也不会因为公开“放弃”个人信息上附着的权益而丧失保护。判断的关键是相应行为是否具有显著升高个体匿名性丧失以及公民私域自主的权益受到侵犯的实质风险。相比于保持较强匿名性的个体来说,自愿公开或依法公开个人信息的个体,其匿名性方面的权益一定程度上被削减,但其作为受法律保护的主体,在网络社会中仍然享有不被任意打扰的私人空间的权利。具体到该案,支某提供的信息虽然包含部分已经在企业信用信息公示系统中公开的姓名、联系电话等公民个人信息,但并不意味着相应的个人信息便与公民的匿名性权益与私域自主完全“脱钩”。相反,支某利用职务便利长期、大量向倒卖个人信息牟利的白某提供此类信息的行为,使依法、依规公开个人信息的公民始终面临着广告推销、恶意电话骚扰甚至电信诈骗的实质风险,危及个体原本享有的私域自主权利和人身、财产安全,具有严重的法益侵害性与社会危害性。
(二)流动性与场景性:已公开个人信息刑法保护的着眼点
已公开个人信息虽然仍是侵犯公民个人信息罪的保护对象,但其相比于未公开的公民个人信息,在受刑法保护的程度上存在差异。这种差异反映在对已公开个人信息的“合理处理”方面,体现出刑法对个人信息上附着的个体利益、社会利益与国家利益的平衡。民法典第1036条规定,合理处理自然人自行公开的或者其他已经合法公开的信息,除非该自然人明确拒绝或者处理行为侵害其重大利益的,行为人不承担民事责任。个人信息保护法第27条亦规定,在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的,除了个人明确拒绝或者该信息对个人权益有重大影响的情形外,个人信息处理者无需取得个人同意。既然前置法规定了“合理处理”可以免除个人信息处理者民法和行政法上的责任,刑法自然应当予以承认。问题在于,“合理处理”的刑法边界是什么?该案中支某向倒卖个人信息牟利的“信息贩子”出售、提供已公开个人信息,能否主张是“合理处理”?
对此,可以从侵犯公民个人信息罪的规制模式中获得启发。易于发现,侵犯公民个人信息罪的实行行为涉及个人信息流动与传播的全过程。结合该罪的保护法益可知,立法者的本意显然在于通过遏制个人信息的异常流动和传播,以防范个体匿名性权益及私域自主遭受可能的损害。这表达了一种预防性的立场,只要行为人故意使公民个人信息流向对法益具有实质性风险的领域,即使具体的损害后果未能查证或尚未发生,仍具有可罚性。同时,这也体现了刑法在个人信息保护问题上立足于事前性质的风险而非事后性质的损害的规制态度。
于是,对已公开个人信息“合理处理”的边界便呈现出基本轮廓:信息处理者在处理的过程中,不得因为自身的获取、出售和提供行为而使已公开的个人信息流向可能显著升高个体匿名性权益丧失以及私域自主被打破风险的领域。此种动态性的视角和对个人信息流动性的关注,与“场景理论”有异曲同工之妙。场景理论是指个人信息原始收集时的具体语境应该得到尊重,其后续传播以及利用不得超出原始的情境脉络。[4]场景理论以用户为中心,其核心在于考察个人信息的处理行为给用户带来的后果,特别是对隐私的影响。在场景理论的脉络下,个人信息处理是否合理,取决于引发的影响能否为用户所接受,或者是否符合用户的合理预期。[5]目前,这一理论已被个人信息保护的立法实践所接受。如,欧盟《一般数据保护条例》第64条规定,当处理的目的并非建立在个人数据被收集时数据主体所同意的基础时,需要确定个人信息进一步处理目的是否与收集个人数据的最初目的相一致。其中,尤其要将数据主体的合理期待作为考量因素。据此,刑法对已公开个人信息的保护也应立足于个人信息流动过程中的场景变换。具体到该案中要考察的重点是,支某利用职务便利批量向白某出售、提供已公开个人信息的行为是否已导致相应信息所处的场景和面临的风险发生实质变化,并因此超出数据主体的事前合理期待。
(三)已公开个人信息刑法保护的类型化建构
立足于侵犯公民个人信息罪的风险预防属性与场景理论,刑法对已公开个人信息的保护应遵循如下规则:第一,同一场景脉络之中的获取、出售与提供。总体而言,基于个体公开其个人信息的目的、用途与合理预期,可以将已公开个人信息的存在场景区分为“生活性场景”“商业性场景”“公共利益场景”和“违法犯罪场景”。当然,场景的界定并不是泾渭分明的,而要根据个体发布信息的方式、用途和目的进行综合认定。
对于已公开个人信息的收集、出售和提供等行为,如果能够评价为在同一场景中流动,则不应构成犯罪,而是构成“合理处理”。原因在于,这种未超越原初场景的信息流动符合个体的合理预期,与信息主体自行公开或依法公开个人信息的目的与用途保持了一致,甚至有助于信息主体传播自己的信息。此外,既然个人信息已然公开,说明信息主体在经过权衡之后一定程度上向社会和国家让渡了部分私域自主,由此便不得禁止其他主体对该公开信息的合理使用。如,行为人为了拓展合法业务而获取、出售、提供企业公开信息中包含的个人信息,与该企业的经营发展目的相一致的,应当认定该处理行为具有合理性。[6]因此,该案中如果白某自行查阅企业公开信息中的个人信息,并仅用于与相应企业开展正常商业合作的,便属于“合理处理”的情形,不具有刑事可罚性。
第二,超越原始场景脉络的获取、出售与提供。对于超越原始场景获取、出售、提供已公开个人信息的行为,需要结合个人信息被初次公开时的用途和目的,对已公开个人信息的流向具体查证。如果相应行为使信息从高风险场景向低风险场景流动的,并不会实质性地升高公民个体匿名性丧失以及私域自主被打破的风险。虽然侵犯公民个人信息罪具有预防主义的气质,但对于此种与法益侵害之间的关联极为稀薄的行为,不应认定为犯罪,而应坚守刑法谦抑性与补充性的立场。相反,如果相应行为已经使或者极有可能使已公开个人信息从低风险场景向高风险场景流动的,应当取得信息主体的二次授权同意,否则便可能构成侵犯公民个人信息罪。如,行为人将自行下载的已公开工商企业代表人信息出售、提供给电信网络诈骗团伙,用于违法犯罪活动的,鉴于相关信息已经从商业性场景流入风险性极高的违法犯罪场景,信息主体也因此面临着遭受电信网络诈骗的风险,其匿名性权益以及私域自主被暴露于高度危险的境地,此时应当认为行为人构成侵犯公民个人信息罪。实际上,只要行为人故意将他人已公开的个人信息出售、提供到专门实施违法犯罪活动之场景,无论相关信息的原始场景为何,均可构成侵犯公民个人信息罪。申言之,在合理处理已公开个人信息的过程中,侵犯公民个人信息罪的罪刑规范为行为人强制性地附加了风险控制义务,行为人必须尽到谨慎的审查义务,防止已公开个人信息因自身的信息处理活动而流向对信息主体的匿名性与私域自主具有高度风险的场景。
根据上述类型化规则,可以认为该案中支某向白某出售、提供已公开个人信息的行为,已经使相应信息从低风险场景大规模流向了高风险场景,不属于“合理处理”,而属于“非法处理”。原因在于,支某在明知白某事实上将获取的个人信息用于倒卖、转售牟利的场合,仍然利用职务便利大批量、多次向白某出售、提供具有高度可识别性的个人信息。这种行为导致案涉已公开个人信息的流动完全失去控制,使得原本公开于商业性场景与公共利益场景中的个人信息具备了恣意流向违法犯罪场景的高度可能性,明显超出了信息主体依法公开相关信息时的目的与合理预期,实质性地升高了信息主体匿名性丧失的风险,也违背了法律规范对个体私域自主的安排,具备法益侵害性。因此,该案中涉及的已公开信息应当计算在个人信息条数之内。并且,支某将履行职责过程中获得的共计108万余条公民个人信息出售、提供给白某,根据最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条的规定,属于“情节特别严重”的情形。
[编辑:张倩见习编辑:王小飞]
【注释】
*清华大学法学院博士研究生。
[1]参见劳东燕:《个人信息法律保护体系的基本目标与归责机制》,载《政法论坛》2021年第6期。
[2]参见劳东燕:《个人信息法律保护体系的基本目标与归责机制》,载《政法论坛》2021年第6期。
[3]参见欧阳本祺:《侵犯公民个人信息罪的法益重构:从私法权利回归公法权利》,载《比较法研究》2021年第3期。
[4]HelenNissenbaum,PrivacyasContextualIntegrity,79Wash.L.Rev.119(2004).
[5]参见范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期。
[6]参见刘双阳:《“合理处理”与侵犯公民个人信息罪的出罪机制》,载《华东政法大学学报》2021年第6期。
|