已公开个人信息刑法规制的分层建构

对未经授权而处理已公开个人信息的行为,刑法理论与实务中存在入罪论、出罪论和折衷论三种观点。入罪论所根据的“二次授权必要说”存在规范衔接错位之虞;出罪论所依据的“二次授权不要说”弱化了知情同意机制的功能;折衷论中,“合理处理”“公开目的”判断标准模糊,“场景理论”逻辑不周延,“一般可访问”标准考察维度较为单一且存在客观归罪之嫌。通过明确“已公开个人信息”的范围,并从公开的主体、范围和形式三重维度分层建构,不失为一条合理路径。据此,处理非法公开的个人信息具有法益侵害性;处理完全公开的个人信息一般无须征得信息主体同意;信息主体自愿在特定范围内公开个人信息的,信息业者只有在超越该范围进行处理时才有必要取得同意。处理依规定在特定范围内公开的个人信息,信息主体有权处分时应征得同意,信息主体无权处分时不得擅自处理;信息主体处分权限不完整时,应取得双重授权。

已公开个人信息的刑法保护界限

未经同意处理已公开个人信息是否构成犯罪在司法实务中存在争议。既有理论中,二次授权说违反法秩序统一原则,也过度限制了个人信息的合理运用;信息开放程度说则使知情同意的判断沦为形式。基于弱同意说,若未经同意的信息处理行为符合自愿公开个人信息的用途或情境,便是在合理范围内处理个人信息,因而不够成犯罪;即便不符合,只要信息主体未表示明确拒绝且未损害其重大利益,便不具有可罚的违法性因而不构成犯罪。由于依法必须公开的个人信息涉及公共利益,只要信息处理行为不以违法犯罪为目的便不应构成犯罪。对已公开个人信息的刑法保护需要侧重于打击非法使用个人信息的行为,为此应将其犯罪化。

爬取已公开个人信息行为的刑事归责研究——以侵犯公民个人信息罪为视角

爬取已公开个人信息行为于刑事归责层面存在同质化爬取场景异质化归责结果、同质化归责结果异质化归责路径的现象。这些归责困境的生成原因主要集中于犯罪对象的认定抵牾减损了归责结果的同一性、归责路径的错落适用增加了归责效果的离散性、法益内核的界定模糊削弱了归责结论的聚合性。基于类案裁判及规范归责分析,对爬取已公开个人信息行为归责路径界定时,应首先依循刑事违法性判断基准,即在形式之维界定已公开个人信息属于侵犯公民个人信息罪的犯罪对象并考察相应的归责要素,在实质之维提出在动态保护导向下重释个人信息权法益。此外,可引入情境脉络完整性理论厘清爬取行为的刑事归责边界,亦即遵循形式违法性层面的归责要素,基于场景化模式,厘清爬取行为是否符合个人信息公开时的合理预期、是否改变信息用途、是否具备法益侵害性进行全面衡量,从而建构爬取行为刑事归责模型。此种归责模型有助于厘清中立爬取行为、隐性爬取行为、显性爬取行为的刑事归责域界。

已公开个人信息合理使用的解释方式与司法认定——以自动化决策应用场景为例

《个人信息保护法》第13条将个人信息的公开作为知情同意规则适用的例外情形,但第27条等规定又对这种例外情形施加“合理的范围”等限制条件。而在实践中,如何解释“合理的范围”“合理使用”存在诸多争议。控制利益保留论、合理期待论、效率平衡论等学术主张在不同程度上忽视了对已公开个人信息保护理论的探讨,存在已公开个人信息保护强度弱于未公开个人信息的逻辑误区。结合国内“法先生滥用麦某公开个人信息案”来看,“合理使用”的认定标准应当以“合法、正当、诚信且必要”等基本原则为基础,结合处理目的、处理方式以及是否存在《个人信息保护法》第27条提及的“明确拒绝”等具体要素进行判断。在涉及评分推荐类自动化决策时,还需要结合“对个人权益存在重大影响”等要素予以明确。

侵犯公民个人信息的刑法边界研究——以已公开个人信息的保护为视角

已公开个人信息是否值得保护以及如何保护在刑法理论与司法实务中存在重大分歧。侵犯公民个人信息罪的法益应当确定为信息自决权,处理已公开个人信息的行为有侵犯信息自决权之可能,因此刑法应当对已公开个人信息进行保护。通过对大庆高新区人民检察院近三年办理侵犯公民个人信息案件的梳理,虽多为未公开信息,但也不乏存在已公开个人信息的情况,对于此部分信息应如何认定,在把握上存在分歧。本文认为,对已公开的个人信息应进行分类保护。具体而言,将已公开的个人信息分为自行公开与合法公开。对于自行公开的个人信息,除信息主体明确拒绝外,处理行为不宜入罪;对于合法公开的个人信息,除信息主体明确拒绝以及处理行为侵害重大利益外,处理行为不宜入罪。

已公开个人信息保护视角下人肉搜索涉罪行为研究

关于“合法收集,二次公开”的人肉搜索能否为侵犯公民个人信息罪所评价,当前刑法学界和司法实务中存有较大争议,但随着网络暴力的蔓延愈加猖獗,对此值得予以探讨。首先,应当明确的是《刑法》第253条之一的法益包含了具有可识别性的非隐私信息及其所反映的人身财产利益在内的个人信息权保护;其次,“将已公开个人信息再次公布”属于“提供”的范畴,当公开行为符合违法阻却事由的限制规定时就具备了“违法”前提,并且当违法性的量达到法益现实侵害时即构成犯罪。

刑法视阈下已公开个人信息的合理利用——以个人自治法益观为中心的探讨

基于自媒体时代较强的交互性,已公开的个人信息虽已丧失私密性,但其后续利用行为仍应遵循合理性要求,合理性的剖析应以信息处理者的行为是否构成犯罪为基准。而当前理论界和实务界对已公开个人信息的后续利用行为是否构成犯罪尚无定论,其根源在于未能厘清侵犯公民个人信息罪的保护法益,即界定已公开个人信息的利用是否构罪,需判断信息处理者的行为是否侵犯该罪规制的法益。经论证发现,侵犯公民个人信息罪规制的法益应为公民信息自决权,而公民信息自决权中蕴含的个人自治法益观对于正确限定刑法上已公开个人信息合理利用的界限有重要意义。基于个罪中超个人法益必然导向背后具体个人法益之考量,为界定刑法中已公开个人信息合理利用的范畴,应提倡以尊崇个人自治的法益观为前提,以激活信息自决权的行使为手段,依据《刑法》第253条的规定,在法秩序统一原理下,通过辩证性审视前置法相关规定中已公开个人信息合理利用路径的优劣,创新性地提出“场景式判断+知情同意”融合式刑法规制举措。即根据已公开个人信息的后续利用是否从低风险场景僭越到高风险场景进行判断,如若不是,则信息处理者的行为属于合理利用;如若是,则需进一步判断信息处理者的行为是否取得信息主体同意,一旦涉及受欺骗的信息主体同意,则应考量信息主体是否对处分的法益有清晰认知,即信息处理者的行为是否符合信息主体的法益处分目的。刑法视阈下已公开个人信息合理利用的此种界定路径,具有重要的理论意义和司法价值。

已公开个人信息刑法规制的边界

已公开个人信息的刑法规制欠缺合理界限,司法实务中的部分裁判不仅对已公开个人信息的属性、范围和体系地位定位错误,而且忽视信息公开场景的不同,未对相关行为进行类型化分析。刑法保护已公开个人信息的边界是一个综合性的存在,涉及已公开个人信息的保护范围、保护目的和具体方案等三方面问题。在保护范围上,基于“可识别性”的界定标准以及“信息状态”的分类依据,已公开个人信息属于个人信息的下位类型,其范围应划定为完全对外开放的个人信息。在保护目的上,刑法侵犯公民个人信息罪的保护法益应理解为个人法益,即个人信息自由与安全,对已公开个人信息案件的处理不能脱离法益论的指导。在具体方案上,提出“类型化公开标准说”,已公开个人信息案件内部应当分为非法公开、自愿公开和强制公开三类,并应分别从违法性认识、信息控制权范围以及利益衡量这三个角度进行考察。此外,在《个人信息保护法》出台的背景下,对相关案件的处理更应当重视与前置法的衔接。

已公开个人信息弱化保护的视角拨正

在功利主义理念的影响下,我国在已公开个人信息的利用和保护实践上,对基于信息主体的个人权益保护逐渐减弱,甚至不断挤压其生存空间,而代之以信息处理者所倾向的“公益”。已公开的个人信息具有个人和社会两个层面的价值,且二者并非完全对立。因此,适度调整当前在已公开个人信息保护中过分关注公共利益而轻视个人利益,甚至忽视个人利益的观念十分有必要。这样才能在充分尊重信息主体的已公开个人信息自决权的前提下,用符合人格尊严的方式处理已公开个人信息,并平衡其蕴含的公共利益价值与个人权益,维护信息主体的尊严。通过分析我国目前在立法和司法实践中关于已公开个人信息的保护现状,厘清该类信息的保护地位,从已公开个人信息的内在价值属性与保护策略存在的弊端出发,揭示调整保护视角的必要性,将已公开个人信息保护理念从过度偏于保护公共利益往保护个人利益方向适当拨正,为我国已公开个人信息利用和保护功能发挥及目标实现提供帮助。

论已公开个人信息的刑法保护

已公开个人信息属于侵犯公民个人信息罪“公民个人信息”,我国司法实践中对擅自处理已公开个人信息的行为按照“二次授权规则”处理,要求行为人在处理时必须征得权利人许可,未获得许可的按照侵犯公民个人信息罪处理,是对公民个人信息的过度保护,不利于信息流通共享和数字经济发展。同时,已公开个人信息形式多样,需要以类型化的思维对本罪认定标准进行分析。对自行公开的个人信息,采用一般可访问性作为判断标准;对于被动公开的个人信息引入前置法“合理处理规则”,从处理目的、处理方式和处理结果三方面进行分析。

已公开个人信息的刑法规制

我国《民法典》于2021年1月1日起施行,《个人信息保护法》于2021年11月1日起施行,在此背景下,我国个人信息的法律保护体系日趋完善,已公开个人信息作为个人信息中重要的组成部分之一,需要被重点关注,但目前我国刑法中未对这部分作出明确规定,因此有必要对其进行关注。刑法中针对个人信息也有相应的规定,具体罪名主要集中于“侵犯公民个人信息罪”,其保护的法益是以信息自决权为核心的个人信息权。已公开个人信息是完全对外公开的个人信息,根据其类型不同,可以分为自愿公开、强制公开和非法公开三类。对于已公开的个人信息,可以通过场景构建明确“合理处理”的范围,并且基于谨慎义务确定刑事责任的认定。

已公开个人信息的刑法保护边界

相较于尚未公开的信息,尽管已公开的个人信息不再具有隐私性的特点,但是相关的法律规范并未将其排除于“个人信息”的范畴之外,因此刑法对已公开个人信息的保护不仅是对我国法律规范的合理解读,也是对公民个人信息自决权合理诉求的有效回应。然而,在划定处理已公开个人信息的刑事责任边界问题上,司法实务和刑法理论的考察路径不尽相同。本文主要立足于相关的立法规定,结合理论与实务分歧对未经同意模式、超出公开用途模式以及侵犯重大权益模式进行对比分析,认为对于处理已公开个人信息行为性质的判断,应当以个人信息自决权为基础,限缩“对个人权益造成重大影响”的认定范围,按照类型化思维划定已公开信息处理行为的刑事责任边界。

已公开个人信息二次处理的规制完善——基于《个人信息保护法》第27条的考量

当前已公开个人信息不当的二次处理和过度传播对个人信息主体权益造成侵害之余,更催生了深层次的社会问题。《个人信息保护法》第27条首次专条明确了已公开个人信息的处理规则,但囿于条文保护模式的局限与相关标准的模糊性,其保护力度与实效性有待商榷。笔者认为首先可以参照GDPR等域外先例,引入数据处理主体二元划分的模式;其次解释并调整专门条款27条的规则内容,破除“合理范围+主体拒绝”的保护模式,合理运用知情同意规则,细化具体标准;最后通过专条赋予个人信息主体拒绝权和提供去标识化技术,为已公开个人信息提供补充性的保障措施,平衡已公开个人信息的处理价值与个人信息主体权益的保护。

已公开个人信息处理的刑法规制

刑法和司法解释均未将已公开信息排除在侵犯个人信息罪中的“个人信息”的定义之外,公民的个人信息自决权受到刑法的保护,而该权利的保护不受信息是否已经公开的影响.在入罪阶段,应严格解读侵犯公民个人信息罪的构成要件,尤其是“违反国家有关规定”这一重要构成要件.同时,应基于法秩序统一性原理,充分考量前置法中规定的正当化事由,构建合理的出罪机制.

擅自处理已公开个人信息行为的刑事违法性判断

已公开个人信息并未基于公开而丧失个人信息“可识别”特定自然人之根本属性,擅自处理已公开个人信息仍具有刑事违法风险,可能构成侵犯公民个人信息罪。当前对该行为刑事违法性的判断路径与认定标准尚未达成共识。为弥合分歧,需要从形式与实质两个维度予以重新审视:形式之维上,已公开个人信息应可识别或相关联特定自然人,且个人信息的公开应当具备合法性基础;“对个人权益产生重大影响”的侵害行为,可通过行为人的信息控制权限予以客观认定,从而排除前置法中的合法情形。实质之维上,应综合判断信息主体的人身财产安全是否遭受具体危险,是否存在信息主体对信息处理行为负有容忍义务之消极抗辩事由,是否已然达致规范的法益侵害程度,通过定性与定量之双重评价,进而厘清刑法的调控边界。

已公开个人信息的认定规则与处理限度

已公开个人信息是经过合法公开且可以被他人使用的信息,包括个人主动公开和个人被动公开两种类型。信息使用者原则上可以直接处理已公开个人信息,但其处理行为并不是毫无限制的,需要控制在“合理范围”内,同时要遵循目的限制原则,否则可能引发信息储存、集合、流通的风险,损害个人信息权益。信息使用者处理已公开个人信息也要受个人明确拒绝和对个人有重大影响的限制。当个人明确拒绝时,个人的拒绝权并不是一项绝对性权利,需要包容信息使用者的合理行为;当对个人有重大影响时,信息使用者必须履行告知同意义务,再次取得个人的同意。

处理已公开个人信息的入罪边界——基于对信息可访问程度的类型化考察

已公开个人信息仍然蕴含自然人的人格权益,应受法律保护,但个人信息一经合法公开就自动具有了社会属性,需要考虑信息的流动与利用。既有的合目的性考察与“二次同意”方案均有明显缺憾,故应当从客观标准入手进行类型化考察。因此,可将已公开个人信息的可访问程度作为尺度,由强到弱依次划分为:具备一般可访问性、具备局部可访问性和仅具备特殊可访问性。在此基础上,可以划定出相对客观且稳定的入罪边界,即处理具备一般可访问性的已公开个人信息不得侵犯人格权或用于犯罪活动;处理具备局部可访问性的已公开个人信息不得明显升高信息风险;处理仅具备特殊可访问性的已公开个人信息则需要获得权利人的二次同意。

滥用已公开个人信息行为的刑法规制

个人信息被公开虽然意味着信息内容丧失了要保护性,但并不意味着数据载体本身丧失了要保护性,应区分个人信息自决权、数据安全法益与数据财产权益。通过技术手段批量爬取已公开个人信息具有侵入性特征,若侵害了数据的机密性,仍可成立非法获取计算机信息系统数据罪。对于出售、提供等处理非法公开的个人信息的行为,基于非法性的“无因性”,后行为人原则上不承担刑事责任;当后行为人是大型网络平台时,则可基于自愿承担了对于个人信息自决权这一脆弱法益的信义义务,或者先前的系统设置与功能设计形成了合规性风险的危险前行为而居于保证人地位,成立侵犯公民个人信息罪的不纯正不作为犯。对于背离已公开个人信息的原初目的、用途的下游滥用行为,信息主体由于受到信息公开目的、用途的欺骗,对于其原初同意产生了错误:对于基于法定事由公开的公共数据,应当允许自由流通,故目的、用途的错误不影响同意效力;对于一般的私权数据,在遵循场景一致原则的前提下符合被害人的合理期待,在此范围内的目的、用途变更亦不影响同意效力;对于人脸识别等敏感个人信息,应当严格遵循原初目的、用途予以利用,在公共场所获取的人脸识别信息只能用于维护公共安全的目的,否则同意无效。

处理得同意的公民个人信息行为的入罪边界——以权利束为研究视角

得同意的公民个人信息包括已公开的推定同意的公民个人信息和得到明确同意而被处理的公民个人信息。对于得授权的公民个人信息进行处理是否构成犯罪,实践中存在一定的争议,而自《个人信息保护法》出台以来,有罪判决仍占主流,并没有很好地落实“知情 同意”规则下个人同意的效力。这种矛盾的根本在于对本罪的保护法益没有确定统一的认知。而对于个人信息这一权益属性极度复杂的客体,不能拘泥于传统的“纯粹法益”视角,应当从“权利束”理论的角度出发,确定其保护法益为复合法益——个人信息生活的安定,进而确定个人“同意”的实质有效标准,肯定个人同意对行为违法性的阻却。同时据此认为公开个人信息的行为属于推定同意,在不产生权利人预期风险之外的危险的范围内适用同意规则进行保护。

已公开的个人信息的合理使用及其缩限

目前我国法律对已公开的个人信息的合理使用规定不够明确,已公开的个人信息合理使用的内涵与外延都存在被泛化和扩大化解释的趋势,其根本原因在于个人信息的可转让属性尚未厘清。个人信息因与原权益人的关联性而具有受限制的不可转让性,原权益人对已公开的个人信息仍然享有控制权益,已公开个人信息的合理使用范围需进行限缩解释。合理使用的判断标准应由“已公开标准”到“分离性标准”,以“二阶判断”方式确定处理行为对原权益人的利益关联效果,限缩可分离性的使用,可为合理使用边界的诠释提供逻辑基础和规范模式。