擅自处理公开的个人信息行为的刑法认定

擅自处理公开的个人信息行为的定性问题在刑法理论与司法实务中存在重大分歧。本文认为,该行为在刑事违法性层面符合侵犯公民个人信息罪的构成要件,在法益侵害性层面严重危及信息主体的个人信息自决权,符合侵犯公民个人信息罪构成要件。个人信息的安全保障与流通价值均不可偏废,公开的个人信息的流通利用价值尤其值得关注。实践中应当尽量减少对擅自处理公开的个人信息行为的刑事处置,限缩对侵犯公民个人信息罪的适用范围。具体路径为从严认定侵犯公民个人信息罪中的“违反国家有关规定”,将未履行告知义务的处理行为排除在犯罪圈外,严格限定“个人权益”和“重大影响”的范围。

公开的个人信息的认定与处理规则

公开的个人信息是合法公开能够为不特定第三人所访问的信息,包括个人自行公开和其他合法公开的个人信息两类。信息处理者不经信息主体的同意即可对公开的个人信息进一步处理,但信息处理者对公开信息的后续利用并非不受限制,必须控制在“合理范围”内,受目的限制原则拘束,否则可能引发信息存储、聚合、传播风险,侵害个人隐私和数据人格。信息处理者对公开的个人信息的后续利用受信息主体的明确拒绝和对个人权益的重大影响限制。在信息主体明确拒绝场景下,信息主体的拒绝权不是一项绝对性权利,需要容忍信息处理者兼容性目的下的合理使用;在对个人权益有重大影响场景下,信息处理者需要履行告知同意义务,重新取得个人同意。

已公开的个人信息的合理使用及其缩限

目前我国法律对已公开的个人信息的合理使用规定不够明确,已公开的个人信息合理使用的内涵与外延都存在被泛化和扩大化解释的趋势,其根本原因在于个人信息的可转让属性尚未厘清。个人信息因与原权益人的关联性而具有受限制的不可转让性,原权益人对已公开的个人信息仍然享有控制权益,已公开个人信息的合理使用范围需进行限缩解释。合理使用的判断标准应由“已公开标准”到“分离性标准”,以“二阶判断”方式确定处理行为对原权益人的利益关联效果,限缩可分离性的使用,可为合理使用边界的诠释提供逻辑基础和规范模式。

侵犯已公开的个人信息行为的刑法认定

处理获取的他人已公开的个人信息行为的刑法认定问题仍存在理论争议。有罪论着重保护信息主体的私域自主权益,认为个人信息的公开并不影响其受刑法保护地位;无罪论主张已公开的个人信息被排除在刑法保护范围之外,因此侵犯已公开的个人信息的处理行为不构成犯罪。本文以信息主体公开个人信息的情景脉络完整性为依据,主张要求处理行为在信息主体预设同意的范围内,否则可能构成侵犯公民个人信息罪。擅自处理已公开的个人信息的行为具有刑事违法性与实质法益侵害性。

生成式人工智能侵犯个人信息的刑法评价

无论是早期基于规则的算法,还是目前复杂的神经网络模型,生成式人工智能在其发展历程中始终依赖数据的高质量供给。生成式人工智能既可以通过网络爬虫等自动化脚本在网页中抓取数据,也可以在与用户的交互中获取数据,因此容易导致数据泄露问题的发生。生成式人工智能在不同维度都蕴含着侵犯公民个人信息的危险,致使个人信息处理中告知同意原则的虚置。刑法对生成式人工智能侵犯公民个人信息的规制,需要实现由事后惩治向事前预防兼顾、由国家垄断向多元主体协同的理念因应。在具体路径方面,应当重新审视侵犯公民个人信息罪的规范属性,实现《个人信息保护法》等前置性法律法规和刑法的规范衔接,确保收集、处理已公开个人信息的合规性,最大程度缓解生成式人工智能对数据的海量需求和公民个人信息保护之间的矛盾。

论公开的个人信息处理的法律规制

公开的个人信息包括自然人自行公开的个人信息以及其他已经合法公开的个人信息。我国法律没有将公开的个人信息排除在个人信息之外,而是在兼顾个人信息保护与利用的基础上,对公开的个人信息的处理作出了专门的规范。《民法典》第1036条与《个人信息保护法》第13条、第27条分别从免责事由与个人信息处理规则的角度对于公开的个人信息处理作出了规范,二者相互补充,合力实现个人信息权益保护与个人信息合理利用的协调。处理者只有合理处理公开的个人信息,才无需取得个人的同意,且免于承担民事责任,但除非法律或行政法规另有规定,其告知义务并不当然免除。公开的个人信息的处理活动必须是合法的并且是在合理的范围内进行的,对合理与否的判断应当依据必要原则与目的限制原则在权衡不同利益的基础上进行,尤其是要考虑个人信息的公开目的。

已公开裁判文书中个人信息的保护与合理利用

裁判文书的公开不可避免地会伴随当事人及其他诉讼参与人个人信息的公开。即使经过了去标识化处理,已公开裁判文书中的个人信息仍具有可识别性,故对其再利用须受到《个人信息保护法》及相关规则的规制。在合理范围内利用已公开裁判文书中的个人信息,一方面应以不得“对个人权益有重大影响”为内在限制,另一方面则应以合法、正当、必要、诚实信用原则及目的特定、最小处理原则为外部统合。在具体认定时需综合考虑个人信息的处理目的、处理方式、个人信息类型与传播范围等要素。就已公开裁判文书中个人信息在合理范围内的利用,除法定情形外,个人原则上享有拒绝权。

擅自处理已公开个人信息行为的刑事违法性判断

已公开个人信息并未基于公开而丧失个人信息“可识别”特定自然人之根本属性,擅自处理已公开个人信息仍具有刑事违法风险,可能构成侵犯公民个人信息罪。当前对该行为刑事违法性的判断路径与认定标准尚未达成共识。为弥合分歧,需要从形式与实质两个维度予以重新审视:形式之维上,已公开个人信息应可识别或相关联特定自然人,且个人信息的公开应当具备合法性基础;“对个人权益产生重大影响”的侵害行为,可通过行为人的信息控制权限予以客观认定,从而排除前置法中的合法情形。实质之维上,应综合判断信息主体的人身财产安全是否遭受具体危险,是否存在信息主体对信息处理行为负有容忍义务之消极抗辩事由,是否已然达致规范的法益侵害程度,通过定性与定量之双重评价,进而厘清刑法的调控边界。

论《个人信息保护法》对传媒活动的适用

绝大部分传媒活动本质上是个人信息处理活动,媒体开展传媒活动应当实现个人信息处理方面的规范化。媒体在加强个人信息保护宣传教育中应当发挥积极作用,充分调动人民群众参与个人信息保护社会治理的积极性。媒体为公共利益进行新闻报道、舆论监督等,可以不经个人同意,在合理范围内处理个人信息。媒体依照法律规定在合理范围内处理个人自行公开或者其他已经合法公开的个人信息,可以不经个人同意。媒体为维护公共利益处理个人信息,可以减轻或者不承担民事责任。

公共场所个人信息处理的告知同意规则适用研究

在处理公共场所的个人信息时要遵守《民法典》和《个人信息保护法》中个人信息处理的原则性规定——告知同意规则,如使信息处理者在所有情形下均要取得信息主体同意,无疑使其负担了过重的义务,由此产生了信息处理者和信息主体之间的利益冲突。由于在法定例外情形下,不能苛求信息处理者履行告知同意义务,因此需要从传统公共场所与网络空间两个“公共场所”的维度,选取传统公共场所“无意入镜者”以及网络空间个人信息二次利用的两大公共场所信息处理场景,对个人信息进行类型化区分,并基于此充分解释个人信息处理的“告知同意”规则,以明确个人信息处理者履行告知同意义务的前提,平衡双方利益关系。

处理得同意的公民个人信息行为的入罪边界——以权利束为研究视角

得同意的公民个人信息包括已公开的推定同意的公民个人信息和得到明确同意而被处理的公民个人信息。对于得授权的公民个人信息进行处理是否构成犯罪,实践中存在一定的争议,而自《个人信息保护法》出台以来,有罪判决仍占主流,并没有很好地落实“知情 同意”规则下个人同意的效力。这种矛盾的根本在于对本罪的保护法益没有确定统一的认知。而对于个人信息这一权益属性极度复杂的客体,不能拘泥于传统的“纯粹法益”视角,应当从“权利束”理论的角度出发,确定其保护法益为复合法益——个人信息生活的安定,进而确定个人“同意”的实质有效标准,肯定个人同意对行为违法性的阻却。同时据此认为公开个人信息的行为属于推定同意,在不产生权利人预期风险之外的危险的范围内适用同意规则进行保护。

“个人信息已公开”作为合法处理事由的法理基础和规则适用

《个人信息保护法》第13条将“个人信息已公开”列为可豁免于同意规则的合法处理事由,须阐明该事由的法理基础和规则适用,以解决其与个人信息保护体系掣肘、豁免弹性过大等问题。基于自愿公开或合法强制公开的处理分别以推定同意、与强制公开具有一致目的为正当性基础,符合立法者设置合法处理事由的一贯价值理念和规范逻辑。可作为合法处理事由的“公开”须具备信息处于公开状态与信息公开合法两个要件。“公开”为非场景性概念,指信息处于不特定第三人均可获取的开放状态。自愿公开要求个人明示公开或实施了独立的公开行为;强制公开须符合法律、行政法规的规定。“处理”须具有合理性,处理的客体仅及于信息,不包括数据等信息载体;处理目的须与公开目的客观一致,不完全排除个人信息处理者为获益进行的处理。个人明确拒绝处理的,发生合法性阻断的效力,但强制公开情形下,拒绝将导致公开目的不能实现的除外;处理存在较高权益侵害风险的,自始不能豁免于同意规则。

论个人信息自决权刑事司法保护的边界--以已公开个人信息为中心的分析

我国刑事司法实践中倾向于以未获得信息主体"二次授权"同意为由,对擅自向他人出售或提供已公开的个人信息行为一律入罪规制,该做法有过度犯罪化之虞。已公开的个人信息兼具信息自决与信息利用两个面向,同时承载着信息主体的安全保护诉求与信息处理者的价值利用诉求,两者之间难免发生利益冲突。以个人信息自决权为保护法益的侵犯公民个人信息罪应以追求利益平衡之价值取向重构规制逻辑,引入《民法典》《个人信息保护法》等前置法所设计的已公开的个人信息"合理处理规则"来构建本土化的利益平衡机制。在具体场景中应围绕处理目的、处理方式、处理结果三个层面,以符合个人信息公开的目的、没有改变个人信息被公开时确定的用途、未侵害信息主体的重大利益来形塑合理处理的认定标准,从而划定刑法对已公开的个人信息保护的司法边界。