深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

大数据时代隐私权的刑法保护模式重构

大数据促进了生活的便捷,带动了新兴行业的高速发展,但超出合理边界的数据滥用行为,也对公民的隐私安全带来了现实威胁。伴随大数据时代的纵深发展,个人隐私的保护从传统个人本位向社会本位发生转变,隐私权的法益内涵在大数据时代应当进行重新审视。随着信息保护的日渐重视,隐私权的价值应与个人信息权一样受到同等重视,刑法应当为大数据时代隐私权的保护开辟新路径,采取直接保护与间接保护并行的双轨制保护模式,重构个人信息的刑法定义,引入“弱可识别性+隐私性”标准,同时继续加强针对隐私权犯罪的积极预防,通过刑法调整来应对当前公民隐私权被侵害的现实。

数据法益的阶层式还原路径与刑法适用

在既有刑事立法框架下,建构完整的数据法益保护体系首先需要将抽象的数据法益进行还原。耦合式法益还原路径以主体为导向进行数据法益的分配,容易使刑法陷入数据确权的难题之中,且无法回答数据法益与信息法益保护之间的关系。应以阶层式路径还原刑法中的数据法益,即数据载体法益、数据本体法益、信息法益。刑法对数据本体法益的保护实乃对信息法益的预防性保护,当行为人采取侵入性手段获取本就应当被公开的数据时,不必然构成非法获取计算机信息系统数据罪。刑法应当严密信息法益犯罪的法网,适当扩大针对信息法益犯罪罪名的适用。

已公开个人信息的刑法保护界限

未经同意处理已公开个人信息是否构成犯罪在司法实务中存在争议。既有理论中,二次授权说违反法秩序统一原则,也过度限制了个人信息的合理运用;信息开放程度说则使知情同意的判断沦为形式。基于弱同意说,若未经同意的信息处理行为符合自愿公开个人信息的用途或情境,便是在合理范围内处理个人信息,因而不够成犯罪;即便不符合,只要信息主体未表示明确拒绝且未损害其重大利益,便不具有可罚的违法性因而不构成犯罪。由于依法必须公开的个人信息涉及公共利益,只要信息处理行为不以违法犯罪为目的便不应构成犯罪。对已公开个人信息的刑法保护需要侧重于打击非法使用个人信息的行为,为此应将其犯罪化。

科技定位技术滥用行为的刑法规制

科技定位技术滥用行为的刑法规制牵涉到的理论与实践问题,具有层次性、交叉性等特点。科技发展及数据红利导致对个人位置信息合法获取却滥用的行为难以通过技术规制,因此法律需要发挥效用。而对数据时代隐私权概念理解的滞后性导致学界在创设个人信息权之新权利的同时只能进行原则性保护。这就要求刑法走出对个人信息隐私权“限制转移”的规制逻辑,按照权利类型公平保护公民个人信息在各阶段的隐私权。侵犯公民个人信息罪的法益是个人隐私权,个人位置信息可描摹个人生活样貌,一旦滥用对隐私权侵害极大,从刑法法益评价及平衡刑法稳定性与实用性考虑,都应当对滥用个人位置信息行为予以刑法规制,而具体规制方式应以刑法谦抑性原则为指导。

人脸识别信息侵害行为的刑法规制

人脸识别信息具有独特性、综合性、易采集性的特征,属于刑事立法规定中的公民个人信息。司法实践中,将人脸识别信息认定为公民个人信息虽已成为司法共识,但也存在人脸识别信息定位不明确、入罪标准不统一、规制行为范围狭窄的问题,应当从明确人脸识别信息属于公民个人信息、利用兜底条款确定入罪标准和扩充规制的行为类型等方面予以完善。

由事后惩治向事前合规:侵犯公民个人信息罪的治理模式转型

随着互联网大数据时代的快速发展,个人信息保护问题已然成为人民群众利益保护的核心议题。面对愈演愈烈的个人信息相关违法犯罪案件的激增态势,我国刑事立法不断地使制裁范围更加严密,司法实践也在贯彻从严惩治政策,试图通过纯粹的刑事制裁机制来实现对侵犯公民个人信息犯罪的有效治理。但是,当前我国治理侵犯公民个人信息犯罪存在过分依赖国家公权保护、强化刑法事后惩治性的威慑预防、偏颇定位个人信息保护法益等问题,这导致了事前合规式风险防控机制缺失,不利于个人信息协同保护机制的建立与完善。刑事合规通过前置侵犯公民个人信息罪的风险控制基点、构建多元化防控机制、提升企业治理的激励性方式,将合规的事前规划式激励预防与刑法的事后惩治性威慑预防融为一体,有利于实现侵犯公民个人信息罪治理模式的转型。在理论层面,合规计划融入侵犯公民个人信息罪治理符合可能、必要且可期待等标准。在实体法层面,应增设侵犯公民个人信息罪的前置性免责程序条款,发挥行政处罚程序的出罪功能,同时将单位认罪认罚作为量刑从宽情节,赋予刑事合规影响侵犯公民个人信息罪构罪和量刑的双重功能。在程序法层面,应严格限制涉罪企业合规的适用条件,完善单位犯罪附条件不起诉制度,肯定企业刑事合规的缓诉和免诉功能。

侵犯公民个人信息罪的法益界定及其路径

在法益二元论视域下,侵犯公民个人信息罪的保护法益并不符合集体法益的内涵特征,集体法益说存在一定的逻辑缺陷。侵犯公民个人信息罪的保护法益应当是基于公法法益观的个人法益——个人信息安全,兼顾个人信息的多元价值,回应网络社会保障公民个人信息合理利用之诉求。

我国已公开个人数据刑法保护模式二元标准之提倡

在Web3.0时代,数据作为生产要素逐渐成为数字经济的直接驱动力,而对已公开个人数据的保护自然成为刑法研究不可回避的重要议题。我国刑法立法上的区分性保护使得行为本身的刑法定性跨越两个犯罪圈,人为地制造出法律适用障碍。侵犯公民个人信息罪在适用上存在口袋化趋势、司法解释碎片化严重、主观目的无法清晰判定等问题。当前的刑法保护模式分为两类即客观技术保护模式和主观目的保护模式。在我国,对已公开个人数据的刑法保护应当构建以客观公开标准为主、合目的性标准为辅的二元标准。客观公开标准强调公开且具有可访问性作为不法性判定的依据,合目的性标准主张数据处理行为应当符合具体数据犯罪立法的目的和社会相当性理论;前者重点在于入罪判定,后者重点在于罪数与量刑的评估。

侵犯公民个人信息罪的法定犯意涵

个人信息刑法保护模式的选择离不开对侵犯公民个人信息罪本质属性的认识,目前多数学者将本罪理解为自然犯,但这种认识存在诸多误区。根据学界对自然犯/法定犯区分具有共识的三个标准:首先,从古代国家到现代国家、从现代社会到信息社会,个人信息在社会变迁中经历了“古今之变”,只有在信息社会中才得以获得法律的全面保护;其次,侵犯公民个人信息罪的保护法益兼具个人法益和超个人法益的双重面向,不应忽视个人信息作为社会交往之构成要素的集体法益维度;最后,侵犯公民个人信息罪中“违反国家有关规定”是法定犯的前置法律法规,其内涵是国家对个人信息处理者施加的合规义务。因此,侵犯公民个人信息罪是法定犯而非自然犯。以此为起点,开展以侵犯公民个人信息罪为代表的法定犯基础理论研究,是未来值得开拓的重要方向。

爬虫技术下非法获取计算机信息系统数据罪与侵犯著作权罪的关系

【目的】研究非法获取计算机信息系统数据罪与侵犯著作权犯罪的区别与联系,在实现数据法益刑法保护的同时,让其与传统罪名良好衔接。【方法】通过对爬虫技术下非法获取计算机信息系统数据罪、侵犯著作权犯罪以及涉及两罪的相关案例进行实证研究,分析两罪保护的法益与其实行行为的差异,进而研究两罪关系。【结果】在司法实践中非法获取计算机信息系统数据罪与侵犯著作权罪不是非A即B的关系。【结论】将数据犯罪与传统犯罪区分是必然的,但不应将数据犯罪与传统犯罪相排斥,非法获取计算机信息系统数据罪与侵犯著作权罪可以数罪并罚。

论我国数据法益刑法保护之法益内涵

在我国随着大数据时代的到来,对数据法益的保护成为法学界关注的热点问题。在刑法领域,通过保护计算机信息系统进而保护数据的传统立法方式存在失焦的可能,而对公民个人信息的保护也只属于数据保护的部分内容,因此当前数据法益的刑法保护尚不完善。愈发猖獗的涉数据犯罪对我国的国家安全造成了严重威胁,建立起更加完善的数据法益刑法保护机制是行之有效的应对之策。对数据法益的认识模糊使得相关立法、司法尺度不一,可以从定性、定量两个角度结合数据法益的公私双重属性,对数据的不同类型、不同数据的入罪门槛进行详细界分,进一步厘清数据法益的内涵,为数据法益的刑法保护框定合适的范围。

信息分级视域下侵犯公民个人信息罪的量刑梯度研究

侵犯公民个人信息罪的法益兼具聚合性与隐私性。聚合性体现为涉案个人信息的危害程度,直观体现为信息数量;隐私性体现为法益内容的敏感与私密,侧面反映信息级别。随着信息分级制度发展日益成熟,侵犯公民个人信息罪量刑梯度应当重点关注信息等级这一要素,同时修改《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中以个人信息数量的绝对倍比为标准设置的量刑梯度。关于涉案个人信息数量的计算,可以先根据交易金额和单价确定基本数量,结合当前信息分级制度背景,充分考虑涉案个人信息的敏感程度、关联程度和重要程度,再结合信息处理的场景,判定信息等级并确定调整系数,从而计算涉案个人信息的修正数量。在此基础上,进一步确定入罪标准和量刑起点,并结合其他量刑情节,调整基准刑,确定宣告刑。

大数据时代刑法介入公民个人信息保护的视域限缩

大数据时代,信息以数据为载体实现传输共享,高效利用的信息在产生巨大效益的同时不可避免地导致侵犯公民个人信息犯罪活动持续猖獗。在此背景下,我国刑事立法在公民个人信息保护中采取了积极介入的立场,体现了风险时代下的积极主义刑法观,但运用效果不佳且存在适用范围、罪名界定不清等弊端,由此产生的社会治理刑法化问题值得深思。此类问题的本质在于对个人信息保护和利用这对动态平衡的法益认识不足,由此产生对刑法在社会治理层面的消极定位认识不当。在公民个人信息保护的刑事立法中,仍应以法益作为成立犯罪的必要考察条件,纵向构建分层治理体系,基于刑法的谦抑性,充分发挥民商经济法的保护效用;内部建立多元排除机制,贯彻刑法在社会治理体系中兜底的消极定位,限缩刑法介入公民个人信息保护的视域,对公民个人信息进行体系化保护。

论个人信息保护机制的衔接路径

面对多元的个人信息保护机制,宜遵循融合性、互补性和优劣顺位的基本路径构建衔接方案。针对刑事制裁与民事公益诉讼并行适用的实践乱象,应修正民事公益诉讼的适用逻辑并限缩其适用范围。针对违法处理信息与违反安全保护义务两种情形配置不同的行刑衔接方案,对于前者构建多层次规制体系,对于后者限缩适用刑事责任。根据信息侵害危险是否具有紧迫性、持续性选择适用行政监管或行政公益诉讼制度。消费者组织或者国家网信部门确定的组织宜通过与检察机关或者行政机关建立联动机制发挥作用。应区分个人信息民事公益诉讼与一般侵权诉讼的适用情形与责任配置,采用行为规制进路的行政监管可以补足以损害或者风险为导向的侵权保护模式。

侵犯公民个人信息罪司法裁量的实证研究

通过对2009年2月至2021年7月间全国法院审结的侵犯公民个人信息罪案件进行量化分析后发现,我国法院裁量侵犯公民个人信息罪案件的实践与规范之间存在偏离现象,主要体现在法院实际判处的刑罚畸轻和未能准确识别个人信息的敏感程度。侵犯公民个人信息罪的设置过于注重预防功能和个人信息分级分类制度不健全,是导致司法裁量与应然规范出现偏离的原因。在数据安全形势不容乐观和个人信息行政法保护体系与民法保护体系逐步完善背景下,完善侵犯公民个人信息罪的立法方向,应包括调整定罪标准和细化敏感个人信息类型两个方面。未来应当以健全个人信息多部门法协同保护为目标,适时调整各部门法的保护边界,实现刑法与其他部门法的有效衔接,进而实现法律手段与其他规制手段的协同治理。

法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入

个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现,成为当前刑事治理的重点领域。在司法实践中,混用个人信息与相关概念的现象屡屡发生,影响对侵犯公民个人信息罪犯罪构成要件的理解,也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象,是刑民规范聚合的必然产物。因此,应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念:在形式上,以《民法典》的相关规定为基础,采取狭义的个人信息认定方式,将个人信息与个人数据、隐私进行明确区分;在实质上,深刻把握侵犯公民个人信息罪的法益内核,个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质,从而为实现信息主体的选择权和决定权提供坚实基础。

人脸识别的刑法规制研究

人脸识别是一把双刃剑,既提高了身份认证核实效率实现了迅速便捷,却也产生了安全威胁的担忧与隐私泄露的顾虑。人脸识别的正当使用为社会生活带来了方便,但不正当使用人脸识别不但侵犯了个人自由,甚至严重危害到了财产、人身安全。通过考察2017~2022年28个涉人脸识别的刑事案件及其司法认定,对于具有严重社会危害性的不正当使用人脸识别的行为,目前前置法应对乏力存在不足,应当通过刑法予以规制和补足。人脸识别以人脸信息为主要内容,但侵犯公民个人信息罪无法有效规制不正当使用人脸识别的行为。借鉴国外对人脸识别的规制路径与我国司法实践中积累的成熟经验,我国应从立法和司法两个角度,依据民法、行政法等前置法的规定界定刑法所保护的人脸信息范围,辨析人脸识别涉及的法益属性,类型化分析不正当使用人脸识别行为的罪名认定,调整和完善相应量刑幅度,平衡人脸识别技术发展与规制不正当使用人脸识别行为的利益冲突。

抢劫公民个人信息行为刑法规制的困境与疏解——以樊某等抢劫微信账号密码案为切入

抢劫公民个人信息行为是指以暴力、胁迫或其他具有相当性的方法非法获取公民个人信息的行为。由于不符合等质性要求、罪名的单一法益保护与行为的双重法益侵害间存在冲突、“情节严重”标准不匹配等原因,无法将“抢劫”解释入《刑法》第253条之一第3款的“其他方法”,侵犯公民个人信息罪不适用。另外,个人信息不具备管理、移转可能性与价值性,不符合刑法上“财物”的认定标准,即使账号密码类个人信息与数据企业收集整理的结构化数据亦是如此,因此抢劫罪不适用。在当前立法尚未修改的情况下,将抢劫公民个人信息行为拆解,分类探求刑法应对方法是相对合理的选择。但在未来必要时刻,当出现大量此类行为而现行刑法无法满足规制需要时,应考虑增设抢劫公民个人信息罪,以实现对公民个人信息权益的周全保护。

合理使用已公开个人信息作为出罪事由的规则适用

个人信息合理使用属于正当化事由,其正当性依据是社会团结义务。在合理使用已公开个人信息的成立条件中,已公开的个人信息是指不特定的人均可以通过合法途径获取的信息,此处的公开不限于信息主体自行公开的情况,但必须是合法的公开。在个案中,已公开个人信息的范围会受到行为人的身份等场景要素的影响。合理处理要求后续处理的目的和用途不能超出信息主体的合理预期,处理方式符合比例原则,且不会影响信息主体的重大利益。在具体场景中,如果后续处理被信息主体明确拒绝或者构成转换性使用,则该处理不属于合理处理。只有基于特定的目的和充分的必要性才可以处理已公开的敏感个人信息,但信息处理者是否具有营利目的并不重要。