侵犯公民个人信息罪的法益证成与处罚条件限定

自侵犯公民个人信息罪设置以来,该罪之法益究竟是什么,刑法学界始终存在巨大的分歧。较为常见的做法是,通过对构成要件的解释来确定该罪的法益,但如此一来会使该罪的法益证成侧重于形式层面,进而导致其法益证成出现循环论证现象。如果根据实质法益之立场确定该罪法益的话,就不难发现:一方面,集体法益观将个人信息的社会属性凌驾于私人属性之上,违背了个人信息刑法保护的个人本位;另一方面,个人信息的社会属性的日益增长,个人法益观主张的信息自决权不能满足实质法益的自由保护要求。对此,应当在公民人格权的基础上,构建符合个人信息双重属性的个人信息受保护权;同时,为保障个人信息的自由流通及合理使用,有必要对个人信息刑法保护范围进行限缩,重构个人信息受保护权的同意机制,实现侵犯公民个人信息罪处罚条件的实质性限定。

侵犯公民个人信息罪中敏感个人信息的特殊保护研究

大数据时代,敏感个人信息与公民人身、财产安全直接相关且易受侵犯,故需作特殊保护。近年来,侵犯公民个人信息罪中敏感个人信息特殊保护的规范,经历了从无到有、从有到优、从粗到细的过程,并由此形成了比较完善的敏感个人信息分类保护规则、从严保护规则、弹性保护规则。侵犯公民个人信息罪中敏感个人信息的范围和分类,可基于刑法保护法益的独立性原则,作适当有别于《个人信息保护法》的评判。侵犯公民个人信息罪中高度敏感个人信息与低度敏感个人信息的区别保护模式应继续坚持,高度敏感个人信息和低度敏感个人信息的既有数量标准不宜调整,高度敏感个人信息的既有种类不宜增加,高度敏感个人信息的司法认定应坚持实质标准从严慎重判断。《个人信息保护法》施行后,应在坚持刑法保护敏感个人信息的模式不变、力度不减的基础上,着力通过《个人信息保护法》等前置法的严格实施,增强敏感个人信息法律保护的整体效能。

法益二元论视野下侵犯公民个人信息罪之法益内涵与规制路径

侵犯公民个人信息罪的法益内涵存在个人法益论和集体法益论的争论,但个人信息兼具私人性和公共性,单一的个人法益论或集体法益论均无法统摄本罪的法益内涵。这也进一步导致当前本罪的保护模式存在集体法益与个人法益保护不均、行为规制范围过窄、与前置法衔接不畅等问题。构建侵犯公民个人信息罪的整体法益构造,应立足于个人信息的属性,厘清本罪的复合法益性质,明确刑法的保护目的不仅在于保障个人信息权,更在于确保个人信息的安全与流通,规避个人信息流通风险。完善本罪的规制进路,需借助“场景一致性”理论,以类型化思维区分个案保护法益,并通过扩充行为类型、明确行为对象等手段实现刑法与前置法的衔接,在教义学上植入比例性思维以控制集体法益的不当扩张,坚持实质出罪,避免刑法成为社会发展的掣肘。

由事后惩治向事前合规:侵犯公民个人信息罪的治理模式转型

随着互联网大数据时代的快速发展,个人信息保护问题已然成为人民群众利益保护的核心议题。面对愈演愈烈的个人信息相关违法犯罪案件的激增态势,我国刑事立法不断地使制裁范围更加严密,司法实践也在贯彻从严惩治政策,试图通过纯粹的刑事制裁机制来实现对侵犯公民个人信息犯罪的有效治理。但是,当前我国治理侵犯公民个人信息犯罪存在过分依赖国家公权保护、强化刑法事后惩治性的威慑预防、偏颇定位个人信息保护法益等问题,这导致了事前合规式风险防控机制缺失,不利于个人信息协同保护机制的建立与完善。刑事合规通过前置侵犯公民个人信息罪的风险控制基点、构建多元化防控机制、提升企业治理的激励性方式,将合规的事前规划式激励预防与刑法的事后惩治性威慑预防融为一体,有利于实现侵犯公民个人信息罪治理模式的转型。在理论层面,合规计划融入侵犯公民个人信息罪治理符合可能、必要且可期待等标准。在实体法层面,应增设侵犯公民个人信息罪的前置性免责程序条款,发挥行政处罚程序的出罪功能,同时将单位认罪认罚作为量刑从宽情节,赋予刑事合规影响侵犯公民个人信息罪构罪和量刑的双重功能。在程序法层面,应严格限制涉罪企业合规的适用条件,完善单位犯罪附条件不起诉制度,肯定企业刑事合规的缓诉和免诉功能。

侵犯公民个人信息罪的法定犯意涵

个人信息刑法保护模式的选择离不开对侵犯公民个人信息罪本质属性的认识,目前多数学者将本罪理解为自然犯,但这种认识存在诸多误区。根据学界对自然犯/法定犯区分具有共识的三个标准:首先,从古代国家到现代国家、从现代社会到信息社会,个人信息在社会变迁中经历了“古今之变”,只有在信息社会中才得以获得法律的全面保护;其次,侵犯公民个人信息罪的保护法益兼具个人法益和超个人法益的双重面向,不应忽视个人信息作为社会交往之构成要素的集体法益维度;最后,侵犯公民个人信息罪中“违反国家有关规定”是法定犯的前置法律法规,其内涵是国家对个人信息处理者施加的合规义务。因此,侵犯公民个人信息罪是法定犯而非自然犯。以此为起点,开展以侵犯公民个人信息罪为代表的法定犯基础理论研究,是未来值得开拓的重要方向。

侵犯公民个人信息罪的法益界定及其路径

在法益二元论视域下,侵犯公民个人信息罪的保护法益并不符合集体法益的内涵特征,集体法益说存在一定的逻辑缺陷。侵犯公民个人信息罪的保护法益应当是基于公法法益观的个人法益——个人信息安全,兼顾个人信息的多元价值,回应网络社会保障公民个人信息合理利用之诉求。

侵犯公民个人信息罪专题入库参考案例解读

人民法院案例库围绕侵犯公民个人信息犯罪专门收录了21件入库案例,进一步统一了类似案件的裁判尺度。在入库案例的编选理念方面做到了“三个坚持”:坚持宽严相济,确保罪刑均衡;坚持问题导向,细化法律适用标准;坚持综合治理,顺畅行刑衔接。本文所选取的7件代表性入库参考案例分别明确了涉公开个人信息案件的处理规则、行踪轨迹信息的认定规则、财产信息的认定规则、网络暴力型公开个人信息行为的定性规则、批量个人信息数量的计算规则,对类案审判具有参考、指引作用。

被害人同意视角下侵犯公民个人信息罪的适用限度

被害人同意理论强调了被害人在信息流通中的重要作用,并且能够消解个人信息保护与利用之间的对立,维持刑法的最后法地位,因此需要在侵犯公民个人信息罪中加以适用。但实务中并未完全将被害人同意理论进行贯彻,在被害人同意的具体内容、明确程度和法律效果等方面存在较大分歧。被害人同意的主体应当具有风险识别能力是被害人意思自决的当然前提。被害人同意的内容应当是行为人的危害行为而非具体结果,并且弱同意模式应当在信息流通过程中得到承认,以维护个人信息的高效利用。因此在侵犯公民个人信息罪中具体适用被害人同意理论时,应当否定信息弱势群体的单独同意以加强法律保护。在同意内容方面,被害人能够预见信息用途的同意即可作为出罪事由。在同意形式方面,行为人在被害人公开范围内获取利用其个人信息的行为,不构成侵犯公民个人信息罪。

爬取已公开个人信息行为的刑事归责研究——以侵犯公民个人信息罪为视角

爬取已公开个人信息行为于刑事归责层面存在同质化爬取场景异质化归责结果、同质化归责结果异质化归责路径的现象。这些归责困境的生成原因主要集中于犯罪对象的认定抵牾减损了归责结果的同一性、归责路径的错落适用增加了归责效果的离散性、法益内核的界定模糊削弱了归责结论的聚合性。基于类案裁判及规范归责分析,对爬取已公开个人信息行为归责路径界定时,应首先依循刑事违法性判断基准,即在形式之维界定已公开个人信息属于侵犯公民个人信息罪的犯罪对象并考察相应的归责要素,在实质之维提出在动态保护导向下重释个人信息权法益。此外,可引入情境脉络完整性理论厘清爬取行为的刑事归责边界,亦即遵循形式违法性层面的归责要素,基于场景化模式,厘清爬取行为是否符合个人信息公开时的合理预期、是否改变信息用途、是否具备法益侵害性进行全面衡量,从而建构爬取行为刑事归责模型。此种归责模型有助于厘清中立爬取行为、隐性爬取行为、显性爬取行为的刑事归责域界。

侵犯公民个人信息罪的法益之反思与完善

侵犯公民个人信息罪的保护法益兼具个人法益与超个人法益的双重属性。“个人法益说”“集体法益说”的共同缺陷在于与现行刑法规范体系相悖,二者均立足于古典自由主义刑法观的基本立场,与社会发展现状不符。为完善其法益,在思想基础上,应当改变传统古典自由主义的刑法观,转向至善自由主义的主张;在规范依据上,应当采用综合评价模式,根据法秩序统一性原理,对侵犯公民个人信息罪进行综合评价;在具体举措上,应当坚持以信息利用权为核心来构建和解释相应的规范体系,以实现自由、安全和经济发展之间的平衡。

侵犯财产信息型公民个人信息罪的目的犯性质辨析

对侵犯财产信息型公民个人信息罪的认定争议,源自于相关司法解释中梯度分级标准和个人信息分类概念的不明确性,以及理论上对该罪构成要件行为性质定性不明的问题。该类型罪名应当定性为目的犯,其符合短缩的二行为犯的外在表现与内在逻辑,并且从保护法益的角度出发,可以证成该罪名属于非法定的短缩二行为犯,要求行为人主观上具有利用涉财产公民个人信息以侵害财产利益的目的,且客观上侵犯的公民个人信息具备涉财产属性时,才能认定行为人侵犯的公民个人信息属于司法解释中所规定的“财产信息”,构成侵犯财产信息型公民个人信息罪。

侵犯公民个人信息罪“个人信息”概念的限缩——以个人信息权与数据产权的界分为前提

我国个人信息保护面临前置法区分立法的科学性与概念使用的混淆性之间的矛盾,以及刑事法个人信息概念外延宽泛导致个人信息犯罪圈扩张的问题。有必要在对个人信息权与数据产权进行界分的前提下对侵犯公民个人信息罪的犯罪圈进行限缩。个人信息权是一项具体人格权,数据产权则具体包括数据资源权益与数据产品权利,二者在权利客体、权利属性、权利内容、保护优先性等方面均存在差异。可以从关联性标准的再解释、间接识别性标准的确立、信息匿名化认定规则的完善、敏感个人信息的合理认定四个方面对于个人信息与个人数据进行分离,从而实现刑事法“个人信息”概念的限缩。

出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角

自2009年《刑法修正案(七)》将个人信息纳入刑法保护以来,侵犯公民个人信息罪的范围一直存在争议。侵犯公民个人信息罪所保护的法益是公民人格尊严与个人自由,从出售或提供公民个人信息行为的实质违法性角度出发,应当将个人信息限缩在具有危害该法益的"公民个人信息"内,且应当将行为目的作为该罪的必要要件。这一结论不仅对现行刑法的正确适用具有指导价值,而且对刑法进一步修订提出了期待;其要求在有效打击我国侵犯公民个人信息犯罪行为的同时,为大数据应用提供宽松的环境。

侵犯公民个人信息罪“行为类型”的教义分析——以“泛云端化”的信息现象为研究视角

在网络社会场域下,"泛云端化"信息现象已然成为个人信息存储、流转与使用的一种岿然态势。云端个人信息的侵犯行为要素解读,应当依托于侵犯公民个人信息罪法益类型的明定,进而循序渐进地进行类型化分析。将侵犯公民个人信息罪的法益类型界定为"个人信息自决权",是在具体考量云端化信息现象的侵犯行为手段的特质性而得出的结论。基于此,本文运用网络刑事立法的类型化思维,将侵犯公民个人信息犯罪行为类型划分为"交易型"、"刺探型"、"泄露型"三类,便于指导侵犯行为的教义学诠释,继而促使罪名的司法认定并实现文本规范形式与实质的良性互动与权威解读。

民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及《民法总则》第111条为视角

为避免法益概念的抽象化并充分发挥法益限制处罚的机能,在已确定侵犯公民个人信息罪保护法益为个人信息权的前提下还应将之具体化。在民法编纂背景下,基于刑民一体化视角与法秩序统一性原理,并结合《民法总则》第111条的规定,侵犯公民个人信息罪的保护法益是个人信息权中的信息自决权。分析欧美两大模式个人信息保护的理论源头,个人信息的使用体现出信息主体的意志力,具有赋权效果,以信息自决权作为该罪法益可突出个人信息权在理论源头上与人的尊严和自由密切相关性。基于民法要扩张刑法要谦抑的理念,侵犯公民个人信息罪所保护的也不是等同于民事权利的个人信息权,而是其中最重要的权利即个人信息自决权;以信息自决权作为侵犯公民个人信息罪的保护法益,正是对刑法一般性的自我决定权的丰富和发展,并能充分发挥刑法保护公民自由等个人法益之机能。信息自决权司法实践中具有甄别值得处罚的侵犯公民个人信息行为的机能。

侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界

在我国刑法中"公民个人信息"长期的附属保护模式,加之"刑先民后"的立法现状,使得"公民个人信息"的内涵外延以及法益属性未能得到清晰的界定,不利于侵犯公民个人信息罪的适用和"公民个人信息"的刑法保护。有必要立足于现有的刑法框架和司法解释,对当前"公民个人信息"的规范概念进行系统解读,进而明确"公民个人信息"的法益属性和刑法保护边界。刑法对于"公民个人信息"的保护思路应当是,在确认其人身属性、财产属性和相关法益依附属性的基础上,赋予其新型的权利地位。

被害人教义学核心原则的发展——基于侵犯公民个人信息罪法益的反思

随着侵犯个人信息犯罪的增多,我国《刑法》增设了侵犯公民个人信息罪,但法条中未能对该罪的法益作出提示。被害人教义学的核心原则为被害人的保护可能性与需保护性,这一原则在解释德国与个人信息有关的犯罪中具有合理性,但是在用于解释我国《刑法》侵犯公民个人信息罪法益的过程中却发现原有的解释路径需要修正。在最终得出侵犯公民个人信息罪的法益为公共信息安全的同时,也实现了被害人教义学的核心原则判断路径由平面结构向纵向结构转变的理论发展。

侵犯公民个人信息罪中“违反国家有关规定”的限缩解释——兼对侵犯个人信息刑事案件法律适用司法解释第2条之质疑

根据我国刑法,"违反国家有关规定"是判断行为构成侵犯公民个人信息罪的前提。为了明确"违反国家有关规定"的含义,侵犯个人信息刑事案件法律适用司法解释第2条将部门规章与法律、行政法规一并纳入其中,该司法解释的这一扩张性规定虽然契合了惩治公民个人信息犯罪的现实需要,却背离了罪刑法定原则的要求。为此,应当对该司法解释第2条的内容作限缩解释,即"违反国家有关规定"仅限于违反法律、行政法规关于公民个人信息保护的规定,部门规章只有在对法律、行政法规中的规定予以明确、细化的情况下,才能与法律、行政法规一起作为判断行为是否"违反国家有关规定"的标准。

论“非法获取公民个人信息罪”的司法认定——基于190件案例样本的分析

"非法获取公民个人信息罪"的设立虽然表明了我国在打击信息犯罪、维护公民个人信息权益上的立法决心,但立法语言的模糊性却引发了理论界与实务界的诸多论争。其中争议的焦点在于如何界定"公民个人信息"、"情节严重"以及"非法获取"这三个概念。通过对190件案例样本的微观分析发现,理论界与实务界、立法机关与司法机关在上述问题上存在着不小的分歧,司法认定标准的不统一也在一定程度上造成了"同案不同判"。为此,我国司法机关应当分析借鉴样本判决与理论成果,提炼出具有指导意义的司法认定标准,并在实践中进行检验、完善。

侵犯公民个人信息罪犯罪圈的“收缩”与出罪化路径--基于个人信息多元化属性的思考

侵犯公民个人信息罪的增设与修正,以及司法解释对个人信息保护范围的扩张,不断彰显出刑法对于个人信息保护的力度。梳理个人信息的刑法保护历程可以发现,自97年刑法以来,个人信息多是以附属于其他法益受到刑法的保护,这恰恰是个人信息多元化属性下刑法评价模式的体现。在权利属性上,个人信息同时具有了人格权属性、财产属性、数据属性、信息安全属性、公共属性等“信息复合属性”;在权利外延上,个人信息同时涵盖了信息决定、信息保密、信息查询、信息更正、信息删除、信息可携、被遗忘等权利类型。因此,刑法对个人信息的保护,应当将数据属性、信息安全属性等剥离出个人信息之外,在个人利益与公共利益平衡的基础上,确立侵犯公民个人信息犯罪的豁免事由,实现个人信息合法应用与保护的刑法兼顾。