深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

已公开个人信息刑法规制的分层建构

对未经授权而处理已公开个人信息的行为,刑法理论与实务中存在入罪论、出罪论和折衷论三种观点。入罪论所根据的“二次授权必要说”存在规范衔接错位之虞;出罪论所依据的“二次授权不要说”弱化了知情同意机制的功能;折衷论中,“合理处理”“公开目的”判断标准模糊,“场景理论”逻辑不周延,“一般可访问”标准考察维度较为单一且存在客观归罪之嫌。通过明确“已公开个人信息”的范围,并从公开的主体、范围和形式三重维度分层建构,不失为一条合理路径。据此,处理非法公开的个人信息具有法益侵害性;处理完全公开的个人信息一般无须征得信息主体同意;信息主体自愿在特定范围内公开个人信息的,信息业者只有在超越该范围进行处理时才有必要取得同意。处理依规定在特定范围内公开的个人信息,信息主体有权处分时应征得同意,信息主体无权处分时不得擅自处理;信息主体处分权限不完整时,应取得双重授权。

已公开个人信息的刑法保护界限

未经同意处理已公开个人信息是否构成犯罪在司法实务中存在争议。既有理论中,二次授权说违反法秩序统一原则,也过度限制了个人信息的合理运用;信息开放程度说则使知情同意的判断沦为形式。基于弱同意说,若未经同意的信息处理行为符合自愿公开个人信息的用途或情境,便是在合理范围内处理个人信息,因而不够成犯罪;即便不符合,只要信息主体未表示明确拒绝且未损害其重大利益,便不具有可罚的违法性因而不构成犯罪。由于依法必须公开的个人信息涉及公共利益,只要信息处理行为不以违法犯罪为目的便不应构成犯罪。对已公开个人信息的刑法保护需要侧重于打击非法使用个人信息的行为,为此应将其犯罪化。

我国数据犯罪立法的反思和重整

《数据安全法》与刑法之间存在宏观理念不协调、具体制度的代际落差、面向数据与信息“二元”立法的整体预案落空等规范“脱钩”问题。应统筹把握立法的主要内容、排列立法的重难点及主次逻辑、科学处理两法衔接的标尺与边界等。具体立法清单为:宜增设第151条之一暨数据、个人信息非法出境罪;增设第226条之一暨扰乱数据交易管理秩序罪;增设第231条之三暨妨害数据正当竞争罪;修改第285条第1款暨破坏重要数据、敏感个人信息安全罪;修改第285条第2款暨非法获取数据、个人信息罪;修改第286条之一暨拒不履行个人信息、数据安全管理义务罪;增设第286条之二暨破坏数据、个人信息安全罪。

科技定位技术滥用行为的刑法规制

科技定位技术滥用行为的刑法规制牵涉到的理论与实践问题,具有层次性、交叉性等特点。科技发展及数据红利导致对个人位置信息合法获取却滥用的行为难以通过技术规制,因此法律需要发挥效用。而对数据时代隐私权概念理解的滞后性导致学界在创设个人信息权之新权利的同时只能进行原则性保护。这就要求刑法走出对个人信息隐私权“限制转移”的规制逻辑,按照权利类型公平保护公民个人信息在各阶段的隐私权。侵犯公民个人信息罪的法益是个人隐私权,个人位置信息可描摹个人生活样貌,一旦滥用对隐私权侵害极大,从刑法法益评价及平衡刑法稳定性与实用性考虑,都应当对滥用个人位置信息行为予以刑法规制,而具体规制方式应以刑法谦抑性原则为指导。

刑事诉讼领域个人信息保护问题研究

刑事诉讼领域对公民个人信息保护依赖于现有刑事诉讼程序的执行,缺乏独立性。现行《刑事诉讼法》对公民个人信息采用的是被动保护的方式,完全依靠司法机关履行义务,公民无法积极主动保护个人信息,有悖于《公民个人信息保护法》中公民个人信息权的积极主动性质。刑事诉讼的私密性、公权性特征以及大数据技术使得刑事诉讼对公民个人信息的干涉程度加深;加强对司法人员的培训,促进司法人员树立保护公民个人信息的司法理念。结合《公民个人信息保护法》的规定,先行出台司法解释,时机成熟后再修法。

侵犯公民个人信息罪的法定犯意涵

个人信息刑法保护模式的选择离不开对侵犯公民个人信息罪本质属性的认识,目前多数学者将本罪理解为自然犯,但这种认识存在诸多误区。根据学界对自然犯/法定犯区分具有共识的三个标准:首先,从古代国家到现代国家、从现代社会到信息社会,个人信息在社会变迁中经历了“古今之变”,只有在信息社会中才得以获得法律的全面保护;其次,侵犯公民个人信息罪的保护法益兼具个人法益和超个人法益的双重面向,不应忽视个人信息作为社会交往之构成要素的集体法益维度;最后,侵犯公民个人信息罪中“违反国家有关规定”是法定犯的前置法律法规,其内涵是国家对个人信息处理者施加的合规义务。因此,侵犯公民个人信息罪是法定犯而非自然犯。以此为起点,开展以侵犯公民个人信息罪为代表的法定犯基础理论研究,是未来值得开拓的重要方向。

侵犯公民个人信息罪的法益界定及其路径

在法益二元论视域下,侵犯公民个人信息罪的保护法益并不符合集体法益的内涵特征,集体法益说存在一定的逻辑缺陷。侵犯公民个人信息罪的保护法益应当是基于公法法益观的个人法益——个人信息安全,兼顾个人信息的多元价值,回应网络社会保障公民个人信息合理利用之诉求。

我国已公开个人数据刑法保护模式二元标准之提倡

在Web3.0时代,数据作为生产要素逐渐成为数字经济的直接驱动力,而对已公开个人数据的保护自然成为刑法研究不可回避的重要议题。我国刑法立法上的区分性保护使得行为本身的刑法定性跨越两个犯罪圈,人为地制造出法律适用障碍。侵犯公民个人信息罪在适用上存在口袋化趋势、司法解释碎片化严重、主观目的无法清晰判定等问题。当前的刑法保护模式分为两类即客观技术保护模式和主观目的保护模式。在我国,对已公开个人数据的刑法保护应当构建以客观公开标准为主、合目的性标准为辅的二元标准。客观公开标准强调公开且具有可访问性作为不法性判定的依据,合目的性标准主张数据处理行为应当符合具体数据犯罪立法的目的和社会相当性理论;前者重点在于入罪判定,后者重点在于罪数与量刑的评估。

信息时代公民个人信息保护的刑法消极回应

在信息时代,刑法积极回应公民个人信息保护已成为主流,然而这在一定程度上也破坏了公民个人信息保护的完整性和系统性。公民个人信息的保护仍然需要以罪刑法定原则、刑法谦抑性为基础的刑法消极回应。刑法的消极回应是公民个人信息刑法治理和刑法规制稳定的需要。在预防公民个人信息危险时,应当在坚守多元治理规范框架的前提下,将侵犯公民个人信息罪中的公民个人信息限缩解释为可直接识别特定个人身份的公民个人信息。

大数据时代刑法介入公民个人信息保护的视域限缩

大数据时代,信息以数据为载体实现传输共享,高效利用的信息在产生巨大效益的同时不可避免地导致侵犯公民个人信息犯罪活动持续猖獗。在此背景下,我国刑事立法在公民个人信息保护中采取了积极介入的立场,体现了风险时代下的积极主义刑法观,但运用效果不佳且存在适用范围、罪名界定不清等弊端,由此产生的社会治理刑法化问题值得深思。此类问题的本质在于对个人信息保护和利用这对动态平衡的法益认识不足,由此产生对刑法在社会治理层面的消极定位认识不当。在公民个人信息保护的刑事立法中,仍应以法益作为成立犯罪的必要考察条件,纵向构建分层治理体系,基于刑法的谦抑性,充分发挥民商经济法的保护效用;内部建立多元排除机制,贯彻刑法在社会治理体系中兜底的消极定位,限缩刑法介入公民个人信息保护的视域,对公民个人信息进行体系化保护。

法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入

个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现,成为当前刑事治理的重点领域。在司法实践中,混用个人信息与相关概念的现象屡屡发生,影响对侵犯公民个人信息罪犯罪构成要件的理解,也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象,是刑民规范聚合的必然产物。因此,应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念:在形式上,以《民法典》的相关规定为基础,采取狭义的个人信息认定方式,将个人信息与个人数据、隐私进行明确区分;在实质上,深刻把握侵犯公民个人信息罪的法益内核,个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质,从而为实现信息主体的选择权和决定权提供坚实基础。

ChatGPT在犯罪中的潜在应用分析及执法应对策略初探

ChatGPT甫一问世即引发广泛关注。本文以ChatGPT为例,简述了大语言模型的用途、技术特点和优势,并对当前面临的争议、伦理困境和信息安全风险进行了梳理分析。本文重点分析了大语言模型在犯罪中的可能应用场景,从利用ChatGPT辅助犯罪技能获取、实施网络犯罪、网络钓鱼攻击、散布虚假信息等方面进行探讨。本文还对执法层面利用ChatGPT服务犯罪打击、犯罪预防、执法决策、执法能力建设等进行了探析。本文认为,执法部门应保持开放态度,密切关注以ChatGPT为代表的人工智能技术应用对犯罪的影响,加强研究跟进,从“积极”和“消极”两个方面做好应对,应用新技术助力执法、提升效能。

侵犯公民个人信息罪司法裁量的实证研究

通过对2009年2月至2021年7月间全国法院审结的侵犯公民个人信息罪案件进行量化分析后发现,我国法院裁量侵犯公民个人信息罪案件的实践与规范之间存在偏离现象,主要体现在法院实际判处的刑罚畸轻和未能准确识别个人信息的敏感程度。侵犯公民个人信息罪的设置过于注重预防功能和个人信息分级分类制度不健全,是导致司法裁量与应然规范出现偏离的原因。在数据安全形势不容乐观和个人信息行政法保护体系与民法保护体系逐步完善背景下,完善侵犯公民个人信息罪的立法方向,应包括调整定罪标准和细化敏感个人信息类型两个方面。未来应当以健全个人信息多部门法协同保护为目标,适时调整各部门法的保护边界,实现刑法与其他部门法的有效衔接,进而实现法律手段与其他规制手段的协同治理。

合理使用已公开个人信息作为出罪事由的规则适用

个人信息合理使用属于正当化事由,其正当性依据是社会团结义务。在合理使用已公开个人信息的成立条件中,已公开的个人信息是指不特定的人均可以通过合法途径获取的信息,此处的公开不限于信息主体自行公开的情况,但必须是合法的公开。在个案中,已公开个人信息的范围会受到行为人的身份等场景要素的影响。合理处理要求后续处理的目的和用途不能超出信息主体的合理预期,处理方式符合比例原则,且不会影响信息主体的重大利益。在具体场景中,如果后续处理被信息主体明确拒绝或者构成转换性使用,则该处理不属于合理处理。只有基于特定的目的和充分的必要性才可以处理已公开的敏感个人信息,但信息处理者是否具有营利目的并不重要。

涉疫信息安全法益的刑法保护之检视及对策探析

通过分析涉疫信息的特征及其安全法益的独特保护价值,结合《刑法》与其司法解释有关侵犯公民个人信息行为的条款,得出《刑法》对数据信息类犯罪的规制存在空缺、其司法解释未与以涉疫信息敏感性界分的前置性行政法律规范在法秩序统一性原理层面达成一致,以及侵犯公民个人信息罪在公共卫生领域对数据的正向利用未给予合理解释空间,使得信息活用存在刑事风险的问题。针对上述困境提出:明晰计算机信息系统、数据及信息安全法益间的独立关系、对涉疫信息分类分级进行刑事保护并设立侵害公共数据罪,以及增设为疫情防控、远程医疗与药物临床分析等合理使用涉疫信息特定人群的豁免条款的建议。

人脸识别信息侵害行为的刑法应对

人脸识别信息侵害行为呈现出法益侵害的精准化、链条化,具有法益侵害的直接指向性。当前,人脸识别信息侵害行为存在入罪标准不明、对涉人脸识别犯罪部分环节评价不足的刑法规制困境。对人脸识别信息侵害行为的刑事应对策略,应当明确入罪标准,构建个人信息二分保护体系。对于非法存储行为,可用不作为的侵犯公民个人信息罪或者拒不履行网络安全管理义务罪规制;对于非法加工行为,可用帮助信息网络犯罪活动罪规制;对于非法利用人脸识别信息侵害行为,应当通过扩充侵犯公民个人信息罪构成要件行为方式的做法实现其入罪化。

个人基因信息的刑法保护路径研究——兼论侵犯公民个人信息罪所涉的法益

“基因”与“基因信息”是不同概念,前者是指后者的原初物质载体;后者所指应当与个人健康信息、健康生理信息、生物识别信息相区分;个人基因信息在主体、性质及其应用方面的特点,决定了侵犯公民个人信息罪的法益是具有公法属性的个人法益;在适用该罪所规制的侵犯个人基因信息的行为时,应当将部门规章纳入“违反国家有关规定”的范围;对“情节严重”可以从立法与法理解释上进行完善。

大数据时代侵犯公民个人信息罪之纠偏

大数据时代,信息技术的更新换代使得侵犯公民个人信息罪中个人信息的法律内涵与外延呈现出不断扩张的态势。与此同时,个人信息背后所潜藏的经济价值也在急剧攀升。由此而来的是,传统刑法体系暴露出公民个人信息范畴界定不明晰、隐私权法益保护不合理、下游行为规制不完备等诸多不足。为适应大数据时代的技术变革,当前刑事立法亟需针对侵犯公民个人信息罪的这种结构性嬗变作出相应调整,有必要将公民个人信息扩大解释为公民个人数据,赋予公民个人信息以个人信息权法益,同时将侵犯公民个人信息的下游犯罪行为也一并纳入刑法的“打击半径”,以此形成公民个人信息在收集(获取)、储存(利用)、处理(提供)以及下游犯罪阶段的一整条“生态保护链”。

侵犯公民个人信息罪的认定

刑法中侵犯公民个人信息罪的认定标准应当与《个人信息保护法》相协调。在界定公民个人信息的内涵方面,应站在体系化的角度全面进行分析,可参考《个人信息保护法》对公民个人信息“二分法”的分类方式,并运用“概括+列举”式的规定,将公民个人信息分为敏感个人信息和一般个人信息。在限定“违反国家有关规定”方面,应对“国家有关规定”作限缩解释,仅包括法律和行政法规。在认定行为方式内容方面,应及时调整侵犯公民个人信息罪的行为方式内容,将更具社会危害性的合法获取个人信息后非法使用的行为,纳入侵犯公民个人信息罪的行为方式内容之中。