随着信息时代个人信息价值的日益凸显,个人信息保护状况也呈现多元态势:一方面,个人信息保护的法律规范日益完备,对个人信息的保护也日益精细和完善;另一方面,个人信息保护与个人信息合理利用呈现交织态势并且时常产生冲突,对于特定类型的个人信息保护仍待完善,公开个人信息保护的理论争议和实践困境即为明证。合理确定刑事手段介入公开个人信息保护的边界,既充分发挥公开个人信息的流通价值,又避免基于公开个人信息的人身财产损害。
公开个人信息刑法保护的既有主张及评析
(一)二次授权说评析
二次授权说主张,处理已公开个人信息提供给他人的,应当获得信息权人的二次授权,否则仍可能构成犯罪。一般认为,二次授权说的实定法依据是最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第三条第2款的规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’。”民法典和个人信息保护法关于公开个人信息处理的规定,事实上补足了该类信息保护的规范真空状态,从而使对非法处理该类信息行为的规制无需权宜适用《解释》第三条第2款的规定,从而无需适用“二次授权”规则。
(二)合目的性说评析
合目的性说认为,应当综合考虑处理公开个人信息的目的和用途以确定该行为是否构成犯罪。具体而言,只有“明显违背信息公开目的”“明显改变信息用途”以及“利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为”的,才构成犯罪。合目的性说考察进路存在如下问题:首先,合目的性论者没有阐明将合目的性考察作为判断处理公开个人信息行为应否承担刑事责任标准的实定法依据;其次,合目的性说存在判断标准上的逻辑缺陷;最后,合目的性判断标准在司法实践中面临着操作困境。因此,完全依照合目的性判断确定处理公开个人信息行为的刑事规制边界在某些情形下并不能得出合理结论。
(三)信息自决权说评析
信息自决权说主张,权利人对公开个人信息仍享有自决权。具体而言,个人信息应当在个人知情同意的情况下公开;当后续处理活动偏离最初公开的目的或用途时,信息主体有权限制或拒绝对该个人信息的处理。信息自决权说存在如下问题:其一,信息权人行使拒绝权,并不以个人信息被不合理处理为前提,即便是合理范围内处理个人信息,信息权人也有权拒绝;其二,个人信息自决权说并没有体现不同公开类型的公开个人信息之间的保护差异与差异保护;其三,“对信息主体的利益产生重大影响”规则虽然同时照应了前置法的相关规定,但这种条件堆砌既缺乏教义学上的体系性,又缺乏内容上的融通性。
综上所述,公开个人信息刑法保护边界的确立,其前置条件是公开个人信息类型化界分。在前置违法条件业已确定的前提下,寻求前置法规定与刑事法规范的融贯,是探求公开个人信息刑法保护合理边界的应然进路。
公开个人信息刑法保护的前置条件:公开个人信息类型化
关于公开个人信息类型化界分的主要争议在于:其一,公开个人信息类型化应当采取公开意愿标准还是公开程度标准;其二,非法公开的个人信息应否作为一种信息类型进行保护。
关于第一个问题,信息公开程度不宜作为公开个人信息类型化的标准,其一,个人信息公开的方式和程度一般取决于信息权人的公开意愿;其二,个人公开意愿标准与个人信息自决权的行使密切相关,信息公开程度则是信息权人行使个人信息自决权的客观表现。而公开意愿标准能够反映信息权人行使个人信息自决权的程度,可以作为公开个人信息类型化的标准。关于第二个问题,相较于信息权人自愿公开和合法公开的个人信息,非法公开的个人信息更易受到侵害并且更容易导致信息权人人身损害或者财产损失的严重后果。此种意义上而言,非法公开个人信息的保护必要性甚至高于处于非公开状态的个人信息。因此,非法公开的个人信息是公开个人信息类型化的当然对象。
因此,宜以信息权人的公开意愿为依据,将公开个人信息划分为主动公开的个人信息、被动公开的个人信息以及非法公开的个人信息。主动公开的个人信息包括权利人主动公开或者经权利人同意公开的信息;被动公开的个人信息主要指依法、依规公开的信息;非法公开的个人信息则指未经信息权人同意,也未有合法理由而被公开的信息。
公开个人信息刑法保护的边界:基于前置法与刑事法的融贯
对于公开个人信息的处理,民法典和个人信息保护法设定了“合理处理”“明确拒绝”“重大影响”规则。从性质上来看,“合理处理”规则为义务性规范,“明确拒绝”规则和“重大影响”规则为禁止性规范。义务性规范指示了行为人应当如何行为,禁止性规范指示了主体不得作出一定行为,并且通常与责任相伴随。
第一,违反“合理处理”规则的行为不具有法益侵害性。“合理处理”规则语义下,对于“导致何种结果”面向的理解应仅限于尚未“对个人权益产生重大影响”情形。对于“合理范围内处理”的应然理解是基于合理的目的,采取恰当的方式处理个人信息,并且处理行为未对个人权益产生重大影响的情形。对于主动公开和被动公开的个人信息,如果权利人没有明确拒绝,则视为权利人对信息处理行为已经“概括同意”,违反“合理处理”规则而对其进行不合理处理的行为不侵害个人信息自决权法益而无涉刑事责任,无需动用刑罚进行处罚;对于非法公开的个人信息,权利人并未行使其对个人信息的信息自决权,可以依照侵害未公开个人信息予以保护,非法处理此类信息的行为仍可以构成侵犯公民个人信息罪。
第二,违反“明确拒绝”禁止性规则的行为侵犯个人信息自决权法益。个人信息保护法第二十七条将个人明确拒绝规定为处理公开个人信息的禁止性要件,即肯定了权利人对他人处理其公开个人信息的拒绝权。对于行为人合理处理公开个人信息的情形,可以认为权利人已经充分行使了其个人信息自决权,只要信息处理人依默认规则处理公开个人信息,即不会侵犯信息权人的个人信息自决权。权利人明确拒绝即是其对于默认规则的否定,当信息权人明确表示拒绝时,相当于其“撤回同意”,除非信息处理者有其他合法处理个人信息的理由,否则其处理活动将不再具有合法性基础。对于被动公开的个人信息,权利人有限行使其个人信息自决权,如果权利人明确拒绝,则可以认为其保留了对个人信息自决权的行使。此时,如果信息处理人仍然继续处理该公开个人信息,则仍可能侵害个人信息自决权法益。
第三,违反“重大影响”禁止性规则的行为侵犯公民信息安全法益。对于公开个人信息的处理,个人信息保护法设定了不得“对个人权益有重大影响”的禁止性规则。无论行为人主动公开还是被动公开的个人信息,只要权利人没有明确拒绝,则对该类信息的处理就不会侵害个人信息自决权法益。但如果信息处理行为可能损害权利人的重大利益,即处理公开个人信息使公民人身、财产安全遭受重大损害或者具有重大损害风险,则个人信息处理行为仍可能因侵害公民信息安全法益而构成侵犯公民个人信息罪。
结语
公开个人信息在展现其流通效能的同时,由于其识别性特征而蕴含着对信息权人人身和财产侵害的风险。因此,一方面以刑事手段规制非法处理公开个人信息的行为依然必要,另一方面刑法对公开个人信息的保护应当保持谦抑性。适宜的进路是在前置法和刑事法的融合之间寻求公开个人信息刑法保护的边界:单纯不合理处理公开个人信息的行为无涉侵犯公民个人信息罪法益,而可导致民事责任和行政责任;“权利人明确拒绝”的前置法禁止性规则违反可能导致个人信息自决权法益的侵害;“未对权利人权益产生重大影响”的前置法禁止性规则违反可能导致公民信息安全法益的侵害。这一进路既能实现前置法规范与刑事法规范的融贯,又能在坚守刑法谦抑性的基础上实现刑事责任与民事责任、行政责任的协调,是公开个人信息刑法保护的适宜方案。
(原文刊载于《政法论坛》2024年第5期)