个人信息侵权中过错的认定及对侵权责任的影响

过错对判定个人信息侵权责任成立与明确损害赔偿金额具有重要意义。就归责原则而言,《个人信息保护法》与《民法典》体系衔接不畅,引发了个人信息处理者与非个人信息处理者适用过错推定责任抑或过错责任的法律适用难题。就过错程度而言,非法收集、使用、获取、买卖、公开、泄露个人信息等单纯侵害个人信息权益的行为,行为人主观上多为故意,过失侵权多发生于网络信息侵权及信息公开侵权;将个人信息用于刑事犯罪、商业营销及人格侵权等以个人信息为媒介侵害其他民事权益的行为,上游个人信息侵权人对下游损害承担责任以故意为要件,但上下游信息处理者之间存在合同勾连关系时,即便上游个人信息侵权人仅为过失,也需对下游损害承担相应责任。

侵犯个人信息行为的刑法全流程规制模式研究

在个人信息行为规制方面,我国前置法与刑法之间存在明显差异,前置法通过处理规则的设计实现了全流程规制,而刑法只能对部分不法处理行为进行惩治。此种规范格局导致法律难以衔接并形成刑法保护的盲区,不利于全面保护个人信息权益。对此,应提倡个人信息的刑法全流程规制模式,通过间接罪名适用法和法益量刑评价法对不同类型处理行为进行合理规制。通过理论维度和规范维度的证成,可以验证全流程规制模式具有可操作性。应当适用刑法合理规制非法收集行为和非法存储行为,保障前期阶段信息处理安全;适用刑法精准规制非法加工行为、非法使用行为和非法流转行为,保障中期阶段信息处理安全;运用刑法适度规制非法披露行为和非法删除行为,保障后期阶段信息处理安全。

侵犯公民个人信息罪中敏感个人信息的特殊保护研究

大数据时代,敏感个人信息与公民人身、财产安全直接相关且易受侵犯,故需作特殊保护。近年来,侵犯公民个人信息罪中敏感个人信息特殊保护的规范,经历了从无到有、从有到优、从粗到细的过程,并由此形成了比较完善的敏感个人信息分类保护规则、从严保护规则、弹性保护规则。侵犯公民个人信息罪中敏感个人信息的范围和分类,可基于刑法保护法益的独立性原则,作适当有别于《个人信息保护法》的评判。侵犯公民个人信息罪中高度敏感个人信息与低度敏感个人信息的区别保护模式应继续坚持,高度敏感个人信息和低度敏感个人信息的既有数量标准不宜调整,高度敏感个人信息的既有种类不宜增加,高度敏感个人信息的司法认定应坚持实质标准从严慎重判断。《个人信息保护法》施行后,应在坚持刑法保护敏感个人信息的模式不变、力度不减的基础上,着力通过《个人信息保护法》等前置法的严格实施,增强敏感个人信息法律保护的整体效能。

深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

个人信息侵权“违法性”的二阶构造及其规范进路

“违法性”具有平衡个人信息权益保护与商业利用的功能。个人信息侵权不以违反管理性规范为前提。违反管理性规范不一定会导致个人信息侵权。违反以保护他人为目的之法律规范的行为构成个人信息侵权行为。个人信息侵权中,在“保护他人”的侵权法实质内涵的基础之上,区分《个人信息保护法》中的管理性规范与保护性规范。个人信息侵权中,面临“遮蔽过错要素”的干扰,故在以过错为核心的保护性规范的基础上,明确个人信息侵权中侵权行为“违法性”的二阶构造,对个人信息侵权“违法性”采区分论。在存在“遮蔽过错要素行为”时,采“损害推定违法”,违法可以被推翻,从而实现个人信息侵权保护的周延性。

数据法益的阶层式还原路径与刑法适用

在既有刑事立法框架下,建构完整的数据法益保护体系首先需要将抽象的数据法益进行还原。耦合式法益还原路径以主体为导向进行数据法益的分配,容易使刑法陷入数据确权的难题之中,且无法回答数据法益与信息法益保护之间的关系。应以阶层式路径还原刑法中的数据法益,即数据载体法益、数据本体法益、信息法益。刑法对数据本体法益的保护实乃对信息法益的预防性保护,当行为人采取侵入性手段获取本就应当被公开的数据时,不必然构成非法获取计算机信息系统数据罪。刑法应当严密信息法益犯罪的法网,适当扩大针对信息法益犯罪罪名的适用。

我国数据犯罪立法的反思和重整

《数据安全法》与刑法之间存在宏观理念不协调、具体制度的代际落差、面向数据与信息“二元”立法的整体预案落空等规范“脱钩”问题。应统筹把握立法的主要内容、排列立法的重难点及主次逻辑、科学处理两法衔接的标尺与边界等。具体立法清单为:宜增设第151条之一暨数据、个人信息非法出境罪;增设第226条之一暨扰乱数据交易管理秩序罪;增设第231条之三暨妨害数据正当竞争罪;修改第285条第1款暨破坏重要数据、敏感个人信息安全罪;修改第285条第2款暨非法获取数据、个人信息罪;修改第286条之一暨拒不履行个人信息、数据安全管理义务罪;增设第286条之二暨破坏数据、个人信息安全罪。

由事后惩治向事前合规:侵犯公民个人信息罪的治理模式转型

随着互联网大数据时代的快速发展,个人信息保护问题已然成为人民群众利益保护的核心议题。面对愈演愈烈的个人信息相关违法犯罪案件的激增态势,我国刑事立法不断地使制裁范围更加严密,司法实践也在贯彻从严惩治政策,试图通过纯粹的刑事制裁机制来实现对侵犯公民个人信息犯罪的有效治理。但是,当前我国治理侵犯公民个人信息犯罪存在过分依赖国家公权保护、强化刑法事后惩治性的威慑预防、偏颇定位个人信息保护法益等问题,这导致了事前合规式风险防控机制缺失,不利于个人信息协同保护机制的建立与完善。刑事合规通过前置侵犯公民个人信息罪的风险控制基点、构建多元化防控机制、提升企业治理的激励性方式,将合规的事前规划式激励预防与刑法的事后惩治性威慑预防融为一体,有利于实现侵犯公民个人信息罪治理模式的转型。在理论层面,合规计划融入侵犯公民个人信息罪治理符合可能、必要且可期待等标准。在实体法层面,应增设侵犯公民个人信息罪的前置性免责程序条款,发挥行政处罚程序的出罪功能,同时将单位认罪认罚作为量刑从宽情节,赋予刑事合规影响侵犯公民个人信息罪构罪和量刑的双重功能。在程序法层面,应严格限制涉罪企业合规的适用条件,完善单位犯罪附条件不起诉制度,肯定企业刑事合规的缓诉和免诉功能。

已公开个人信息刑法规制的分层建构

对未经授权而处理已公开个人信息的行为,刑法理论与实务中存在入罪论、出罪论和折衷论三种观点。入罪论所根据的“二次授权必要说”存在规范衔接错位之虞;出罪论所依据的“二次授权不要说”弱化了知情同意机制的功能;折衷论中,“合理处理”“公开目的”判断标准模糊,“场景理论”逻辑不周延,“一般可访问”标准考察维度较为单一且存在客观归罪之嫌。通过明确“已公开个人信息”的范围,并从公开的主体、范围和形式三重维度分层建构,不失为一条合理路径。据此,处理非法公开的个人信息具有法益侵害性;处理完全公开的个人信息一般无须征得信息主体同意;信息主体自愿在特定范围内公开个人信息的,信息业者只有在超越该范围进行处理时才有必要取得同意。处理依规定在特定范围内公开的个人信息,信息主体有权处分时应征得同意,信息主体无权处分时不得擅自处理;信息主体处分权限不完整时,应取得双重授权。

侵犯公民个人信息罪的法益界定及其路径

在法益二元论视域下,侵犯公民个人信息罪的保护法益并不符合集体法益的内涵特征,集体法益说存在一定的逻辑缺陷。侵犯公民个人信息罪的保护法益应当是基于公法法益观的个人法益——个人信息安全,兼顾个人信息的多元价值,回应网络社会保障公民个人信息合理利用之诉求。

已公开个人信息的刑法保护界限

未经同意处理已公开个人信息是否构成犯罪在司法实务中存在争议。既有理论中,二次授权说违反法秩序统一原则,也过度限制了个人信息的合理运用;信息开放程度说则使知情同意的判断沦为形式。基于弱同意说,若未经同意的信息处理行为符合自愿公开个人信息的用途或情境,便是在合理范围内处理个人信息,因而不够成犯罪;即便不符合,只要信息主体未表示明确拒绝且未损害其重大利益,便不具有可罚的违法性因而不构成犯罪。由于依法必须公开的个人信息涉及公共利益,只要信息处理行为不以违法犯罪为目的便不应构成犯罪。对已公开个人信息的刑法保护需要侧重于打击非法使用个人信息的行为,为此应将其犯罪化。

侵犯公民个人信息罪的法定犯意涵

个人信息刑法保护模式的选择离不开对侵犯公民个人信息罪本质属性的认识,目前多数学者将本罪理解为自然犯,但这种认识存在诸多误区。根据学界对自然犯/法定犯区分具有共识的三个标准:首先,从古代国家到现代国家、从现代社会到信息社会,个人信息在社会变迁中经历了“古今之变”,只有在信息社会中才得以获得法律的全面保护;其次,侵犯公民个人信息罪的保护法益兼具个人法益和超个人法益的双重面向,不应忽视个人信息作为社会交往之构成要素的集体法益维度;最后,侵犯公民个人信息罪中“违反国家有关规定”是法定犯的前置法律法规,其内涵是国家对个人信息处理者施加的合规义务。因此,侵犯公民个人信息罪是法定犯而非自然犯。以此为起点,开展以侵犯公民个人信息罪为代表的法定犯基础理论研究,是未来值得开拓的重要方向。

科技定位技术滥用行为的刑法规制

科技定位技术滥用行为的刑法规制牵涉到的理论与实践问题,具有层次性、交叉性等特点。科技发展及数据红利导致对个人位置信息合法获取却滥用的行为难以通过技术规制,因此法律需要发挥效用。而对数据时代隐私权概念理解的滞后性导致学界在创设个人信息权之新权利的同时只能进行原则性保护。这就要求刑法走出对个人信息隐私权“限制转移”的规制逻辑,按照权利类型公平保护公民个人信息在各阶段的隐私权。侵犯公民个人信息罪的法益是个人隐私权,个人位置信息可描摹个人生活样貌,一旦滥用对隐私权侵害极大,从刑法法益评价及平衡刑法稳定性与实用性考虑,都应当对滥用个人位置信息行为予以刑法规制,而具体规制方式应以刑法谦抑性原则为指导。

网络暴力场域中公民个人信息的刑法保护

网络暴力是指在信息网络上针对个人肆意发布谩骂侮辱、造谣诽谤、侵犯隐私等信息,损害他人名誉,扰乱网络秩序的行为。网络暴力与侵犯公民个人信息行为密切相关,实现刑法对公民个人信息的周全保护有利于削减网络暴力数量、抑制网络暴力产生、降低网络暴力危害。侵犯公民个人信息型网络暴力的行为类型主要为非法获取与非法提供,在满足其他要件的情况下构成侵犯公民个人信息罪;应纳入刑法规制范围的侮辱型网络暴力必须指向特定自然人,因而其中必然包含个人信息的非法泄露,后者应按照侵犯公民个人信息罪定罪处罚;提供他人真实信息的诽谤型网络暴力本身即为公民个人信息的非法提供,属于侵犯公民个人信息罪与诽谤罪的竞合。公开信息属于刑法中的公民个人信息,“人肉搜索”行为是否构罪取决于信息处理行为是否具有合理性;应在侵犯公民个人信息罪中增加“非法利用”行为要件,实现对单纯滋扰行为的有效规制;以拒不履行信息网络安全管理义务罪、非法利用信息网络罪等罪名追究网络暴力事件中平台的刑事责任,同时对其安全管理义务提出具体要求。

侵犯公民个人信息罪专题入库参考案例解读

人民法院案例库围绕侵犯公民个人信息犯罪专门收录了21件入库案例,进一步统一了类似案件的裁判尺度。在入库案例的编选理念方面做到了“三个坚持”:坚持宽严相济,确保罪刑均衡;坚持问题导向,细化法律适用标准;坚持综合治理,顺畅行刑衔接。本文所选取的7件代表性入库参考案例分别明确了涉公开个人信息案件的处理规则、行踪轨迹信息的认定规则、财产信息的认定规则、网络暴力型公开个人信息行为的定性规则、批量个人信息数量的计算规则,对类案审判具有参考、指引作用。

我国已公开个人数据刑法保护模式二元标准之提倡

在Web3.0时代,数据作为生产要素逐渐成为数字经济的直接驱动力,而对已公开个人数据的保护自然成为刑法研究不可回避的重要议题。我国刑法立法上的区分性保护使得行为本身的刑法定性跨越两个犯罪圈,人为地制造出法律适用障碍。侵犯公民个人信息罪在适用上存在口袋化趋势、司法解释碎片化严重、主观目的无法清晰判定等问题。当前的刑法保护模式分为两类即客观技术保护模式和主观目的保护模式。在我国,对已公开个人数据的刑法保护应当构建以客观公开标准为主、合目的性标准为辅的二元标准。客观公开标准强调公开且具有可访问性作为不法性判定的依据,合目的性标准主张数据处理行为应当符合具体数据犯罪立法的目的和社会相当性理论;前者重点在于入罪判定,后者重点在于罪数与量刑的评估。

单位侵犯公民个人信息犯罪治理的优化路径——以刑事合规为视角

单位是获取和使用公民个人信息的重要主体,其所涉侵犯公民个人信息案件存在犯罪查处率较低、涉案行业覆盖面广、侵犯个人信息规模大、受处罚标准不一等问题,这表明当前刑法在治理单位侵犯个人信息方面效果欠佳。刑事合规作为国家倡导的治理单位犯罪的重要手段,通过激励单位建立有效的风险防范机制,促进单位规范经营,有利于从源头上治理单位犯罪。因此,以当前单位侵犯公民个人信息犯罪基本态势和问题为出发点,从明确信息使用合规标准、倒逼单位进行合规建设、依据法益侵害程度开展刑事合规三方面优化侵犯公民个人信息的刑事合规制度,构建更具针对性的刑事合规治理模式,有利于从源头上保障公民个人信息的安全。

处理已公开个人信息的入罪边界——基于对信息可访问程度的类型化考察

已公开个人信息仍然蕴含自然人的人格权益,应受法律保护,但个人信息一经合法公开就自动具有了社会属性,需要考虑信息的流动与利用。既有的合目的性考察与“二次同意”方案均有明显缺憾,故应当从客观标准入手进行类型化考察。因此,可将已公开个人信息的可访问程度作为尺度,由强到弱依次划分为:具备一般可访问性、具备局部可访问性和仅具备特殊可访问性。在此基础上,可以划定出相对客观且稳定的入罪边界,即处理具备一般可访问性的已公开个人信息不得侵犯人格权或用于犯罪活动;处理具备局部可访问性的已公开个人信息不得明显升高信息风险;处理仅具备特殊可访问性的已公开个人信息则需要获得权利人的二次同意。

被害人同意视角下侵犯公民个人信息罪的适用限度

被害人同意理论强调了被害人在信息流通中的重要作用,并且能够消解个人信息保护与利用之间的对立,维持刑法的最后法地位,因此需要在侵犯公民个人信息罪中加以适用。但实务中并未完全将被害人同意理论进行贯彻,在被害人同意的具体内容、明确程度和法律效果等方面存在较大分歧。被害人同意的主体应当具有风险识别能力是被害人意思自决的当然前提。被害人同意的内容应当是行为人的危害行为而非具体结果,并且弱同意模式应当在信息流通过程中得到承认,以维护个人信息的高效利用。因此在侵犯公民个人信息罪中具体适用被害人同意理论时,应当否定信息弱势群体的单独同意以加强法律保护。在同意内容方面,被害人能够预见信息用途的同意即可作为出罪事由。在同意形式方面,行为人在被害人公开范围内获取利用其个人信息的行为,不构成侵犯公民个人信息罪。

出售个人数据的刑法规制路径

出售未经去识别化、匿名化个人数据的行为在实践中广泛存在,可能涉及的主要罪名是侵犯公民个人信息罪。刑法定性可能存在争议的,主要是出售内容已公开个人数据与实名认证社交平台账户两种情形。对于前者,二次授权说、合目的性考察说、客观开放程度说等既有观点多仅以已公开个人信息为行为对象,对于后者,司法实践的判决仅以通讯录好友个人信息为对象,忽视了数据权益的维度,难以对出售行为是否构成本罪提供妥当的判断标准。超越本罪仅保护信息主体个人信息权益的认识,基于不同的个人信息处理场景,可准确识别出售行为在前述两种情形下分别对信息主体的个人信息自决权造成了实害结果,给社交平台好友的人身、财产权益造成了抽象危险。应将出售个人数据的行为纳入本罪的规制范围,并通过司法解释与刑事立法的进一步审慎完善,实现对关联主体合法权益的妥当保护。