深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

数据法益的阶层式还原路径与刑法适用

在既有刑事立法框架下,建构完整的数据法益保护体系首先需要将抽象的数据法益进行还原。耦合式法益还原路径以主体为导向进行数据法益的分配,容易使刑法陷入数据确权的难题之中,且无法回答数据法益与信息法益保护之间的关系。应以阶层式路径还原刑法中的数据法益,即数据载体法益、数据本体法益、信息法益。刑法对数据本体法益的保护实乃对信息法益的预防性保护,当行为人采取侵入性手段获取本就应当被公开的数据时,不必然构成非法获取计算机信息系统数据罪。刑法应当严密信息法益犯罪的法网,适当扩大针对信息法益犯罪罪名的适用。

被害人同意视角下侵犯公民个人信息罪的适用限度

被害人同意理论强调了被害人在信息流通中的重要作用,并且能够消解个人信息保护与利用之间的对立,维持刑法的最后法地位,因此需要在侵犯公民个人信息罪中加以适用。但实务中并未完全将被害人同意理论进行贯彻,在被害人同意的具体内容、明确程度和法律效果等方面存在较大分歧。被害人同意的主体应当具有风险识别能力是被害人意思自决的当然前提。被害人同意的内容应当是行为人的危害行为而非具体结果,并且弱同意模式应当在信息流通过程中得到承认,以维护个人信息的高效利用。因此在侵犯公民个人信息罪中具体适用被害人同意理论时,应当否定信息弱势群体的单独同意以加强法律保护。在同意内容方面,被害人能够预见信息用途的同意即可作为出罪事由。在同意形式方面,行为人在被害人公开范围内获取利用其个人信息的行为,不构成侵犯公民个人信息罪。

侵犯公民个人信息罪专题入库参考案例解读

人民法院案例库围绕侵犯公民个人信息犯罪专门收录了21件入库案例,进一步统一了类似案件的裁判尺度。在入库案例的编选理念方面做到了“三个坚持”:坚持宽严相济,确保罪刑均衡;坚持问题导向,细化法律适用标准;坚持综合治理,顺畅行刑衔接。本文所选取的7件代表性入库参考案例分别明确了涉公开个人信息案件的处理规则、行踪轨迹信息的认定规则、财产信息的认定规则、网络暴力型公开个人信息行为的定性规则、批量个人信息数量的计算规则,对类案审判具有参考、指引作用。

人脸识别信息侵害行为的刑法规制

人脸识别信息具有独特性、综合性、易采集性的特征,属于刑事立法规定中的公民个人信息。司法实践中,将人脸识别信息认定为公民个人信息虽已成为司法共识,但也存在人脸识别信息定位不明确、入罪标准不统一、规制行为范围狭窄的问题,应当从明确人脸识别信息属于公民个人信息、利用兜底条款确定入罪标准和扩充规制的行为类型等方面予以完善。

功能主义刑法观视角下侵犯公民个人信息罪的保护研究

数字经济时代下信息保护诉求的日益高涨,合理界定信息利用与保护的行为边界而实现形式逻辑与价值逻辑的内外一致,已然成为侵犯公民个人信息罪研究的法益核心。相较于传统刑法解释论,功能主义刑法观畅通了刑法体系与刑事政策的交互渠道,严肃审视了犯罪要素构成的司法解释范畴,实质性推动了法教义学逻辑自洽与公共价值的整合与规训,进而积极有效地回应了社会实用主义的价值诉求,打破了法教义学内在视角对侵犯公民个人信息罪的审视束缚,为刑法概念的目的性解释提供了限缩或扩张的想象空间。为打破信息利用与保护的“利维坦”困境,本文立足于功能主义刑法观的适用性考察,围绕公开性公民个人信息的法益困境、侵犯公民个人信息罪的法益检视及刑罚边界下信息行为的法益厘定等基本维度,深入研讨了侵犯公民个人信息罪的法理价值而论证了法益保护实然与应然状态的司法偏差。基于此,应在兼顾刑法体系严密性与开放性的合目的前提下,结合功能主义的实用价值诉求,形塑司法裁量应然与实然的反思性辨析、个人信息嵌套保护模式的体系构造及个人信息保护合规的体系建构导向的“三位一体框架”,审慎讨论罪刑法定的因果联系,依托功能主义的方法论深化本罪法益的规则之治,为完善侵犯公民个人信息罪的勾勒性解释与适应性调整描绘清晰图景。

大数据时代刑法介入公民个人信息保护的视域限缩

大数据时代,信息以数据为载体实现传输共享,高效利用的信息在产生巨大效益的同时不可避免地导致侵犯公民个人信息犯罪活动持续猖獗。在此背景下,我国刑事立法在公民个人信息保护中采取了积极介入的立场,体现了风险时代下的积极主义刑法观,但运用效果不佳且存在适用范围、罪名界定不清等弊端,由此产生的社会治理刑法化问题值得深思。此类问题的本质在于对个人信息保护和利用这对动态平衡的法益认识不足,由此产生对刑法在社会治理层面的消极定位认识不当。在公民个人信息保护的刑事立法中,仍应以法益作为成立犯罪的必要考察条件,纵向构建分层治理体系,基于刑法的谦抑性,充分发挥民商经济法的保护效用;内部建立多元排除机制,贯彻刑法在社会治理体系中兜底的消极定位,限缩刑法介入公民个人信息保护的视域,对公民个人信息进行体系化保护。

非法获取型侵犯公民个人信息罪中“其他方法”的规范判断

刑法为侵犯公民个人信息罪规定了“以其他方法非法获取”,缺乏行为定型性,难以准确认定本罪中的非法获取行为,司法认定过于宽泛,需要确定实质判断规则。非法获取公民个人信息的规范实质在于个人信息利用主体范围的扩大,公民个人信息权益由于转移手段的非法性而升高被非法利用的危险。手段的非法性作为实质理解非法获取行为的抓手,其实质根据在于手段的法益侵害性,本罪的保护法益是公民个人信息之上的人身财产权益和公共信息安全流通秩序,前者既是本罪保护的核心法益,也是对后者的侵犯是否达到实质可罚程度的重要判断依据。对“以其他方法非法获取”的判断,形式上要违反前置法规范,产生信息权益利用主体扩大的效果,实质上需要进一步结合获取目的和后续处理活动等判断其行为非法性是否达到实质可罚程度。

侵犯已公开的个人信息行为的刑法认定

处理获取的他人已公开的个人信息行为的刑法认定问题仍存在理论争议。有罪论着重保护信息主体的私域自主权益,认为个人信息的公开并不影响其受刑法保护地位;无罪论主张已公开的个人信息被排除在刑法保护范围之外,因此侵犯已公开的个人信息的处理行为不构成犯罪。本文以信息主体公开个人信息的情景脉络完整性为依据,主张要求处理行为在信息主体预设同意的范围内,否则可能构成侵犯公民个人信息罪。擅自处理已公开的个人信息的行为具有刑事违法性与实质法益侵害性。

非法使用人脸识别信息的刑法应对

人脸识别信息的使用价值日益凸显,大量的生活场景都可以通过“刷脸”来实现,但实践中涉及使用人脸识别信息有关的犯罪事件频发,甚至助长了侵犯人身、财产有关的犯罪,其风险不可小觑。当前,域外以刑事制裁手段打击人脸识别信息使用行为较为普遍,体现了对人脸识别信息进行特殊保护的共同价值追求。基于此,我们有必要明确该类信息的法律属性,从刑法角度确定非法使用人脸识别信息行为的入罪问题,完善“情节严重”的认定标准,从而实现大数据时代背景下对公民个人信息的严格保护。

侵犯公民个人信息犯罪现状与治理对策

侵犯公民个人信息犯罪呈高位运行态势,案件数量持续高速增长;个人信息泄露范围广泛,规模巨大;发案区域集中于东南沿海地区;已形成"金字塔"型黑色产业链。侵犯公民个人信息犯罪主要有网络黑客侵入网站数据库,内部人员泄露个人信息,利用移动设备端收集公民个人信息三种手段。对此,应严密法律法规,遏制犯罪高发态势;重点打击"内鬼",铲除犯罪产业链;加强行业监管,封堵个人信息泄露源头。

侵犯公民个人信息罪中“个人信息”的限定

刑法司法解释对个人信息保护范围的扩大化规定具有刑法解释扩张化的倾向。侵犯公民个人信息罪所保护的核心法益是个人信息人格权中的信息自决权,个人信息自决权包括个人信息公开的自决权以及个人信息使用范围自决权,不具有可识别性个人信息不在个人信息自决权的法益保护范围之内。司法解释对不具有可识别性个人信息进行保护的目的主要是对抽象的公共利益的保护。司法解释将不具有可识别性的个人信息纳入侵犯公民个人信息罪中个人信息的范围既容易导致刑法的立场不明确,不利于保障个人利益与公共利益的平衡,也不具有必要性。

论侵犯公民个人信息罪与帮助信息网络犯罪活动罪的竞合

对公民个人信息的刑法保护及对帮助信息网络犯罪活动的有效规制,依赖于对《刑法》第287条之二第3款“从一重罪处断”条款罪数形态的澄清。对此,学界尚存在较大争议,有学者坚持法条竞合观点,也有学者提出了大竞合论的学说。然而法条竞合的观点只看到了构成要件的形式侧面,缺少实质性的理解,且不符合全面评价的原则。大竞合论则会掩盖犯罪行为所侵犯的法益,亦不可取。通过考察刑法的立法目的、按照刑法规范的解释规律、遵照罪刑均衡原则可知,帮助信息网络犯罪活动罪“从一重罪处断”条款只能是对想象竞合的规定。

侵犯公民个人信息罪的行为构造

不断普遍化、复杂化的侵犯公民个人信息犯罪给立法、司法带来挑战,从客观行为角度对其进行类型化研究具有必要性和紧迫性。根据我国刑法和司法解释规定,侵犯公民个人信息犯罪行为可分为"非法提供型"和"非法获取型"两大类。"非法提供型"行为以"出售"为典型方式,与"出售"行为并列的还有违反国家有关规定向特定、不特定的多数人提供、发布公民个人信息,未经信息权利人同意而向他人提供合法收集的公民个人信息等"非法提供"行为。"非法获取型"行为以"窃取"为典型方式,法律规定的"以其他方式非法获取"属于兜底型概括性规定,用于规制与窃取公民个人信息社会危害性相当的行为。

侵犯公民个人信息罪“情节严重”中信息分级保护的结构重塑

司法解释根据刑法保护必要性与紧迫性程度的不同将个人信息划分为三个层级并设置高低有别的入罪门槛,形成了公民个人信息的分级保护模式。这种模式最能直接反映行为的危害性程度与刑法对不同类型信息的保护力度,但其亦存在第一层级要素范围过窄、第二层级认定标准单一、第三层级行为类型欠缺的弊端。因此应对现行分级保护体系予以调整与完善。具体而言,应在第一层级中增加“生物识别信息”及“与性相关的信息”;将第二层级的认定标准延展至“可能导致个人受到歧视”,并且增加列举个人联系方式、个人经历信息、网络关联信息等常见的信息类型;为《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条设置“5万条以上”的信息数量标准,使其被纳入分级保护体系并作为第四层级。

流通知情权与侵犯公民个人信息罪的法益及其刑事保护边界

侵犯公民个人信息的犯罪行为持续发生,而刑法所保护的法益在理论上尚未明确,导致刑事保护的界限模糊、教义规则明确性不足。现有侵犯公民个人信息罪的法益研究表明,以“侵犯”为经验基础与条文不符,在方法论上存在偏差,无法实现构成要件的解释目的。按照刑事不法的构成要件符合性和违法性阶层思维,应先明确形式法益,再利用实质法益方法进行遴选。从法条出发,明确“流通”的经验基础,结合文义解释和自然法方法,可得出信息流通权这一形式法益;再以个人信息保护法为背景作必要性遴选,可知所保护的法益为流通知情权。运用自然法方法检验证明侵犯公民个人信息罪系自然犯,而“违反国家有关规定”只是提示性的规定。必要性方法否定滥用行为是刑事规制的必要,而限制解释“获取”“提供”等行为要件为依法打击侵犯个人信息的新型犯罪行为提供个案适用空间。

守护“前途安全”:冒名顶替行为的刑法规制--以《刑法修正案(十一)》第三十二条为视角

先前我国刑法采取“附随打击”进路应对冒名顶替行为,即以打击伴随犯罪的方式遏制该行为的实施并实现对行为人的处罚。“附随打击”进路在未进行刑法修改时具有积极意义,但也存在其固有局限。为回应社会公众对“前途安全”的关切,《中华人民共和国刑法修正案(十一)》第三十二条将冒名顶替行为纳入刑法规制范围,规定为冒名顶替罪,其符合立法趋势与现实需求,具有重要意义。关于冒名顶替罪的理解与适用,“盗用”必然未获得权利人同意,“冒用”存在共谋的情形,二者属于交叉关系,在身份盗窃范围内重合。“顶替”强调由于行为人对相关资格或待遇的获取而导致被害人权利的丧失,是一种非此即彼的状态。冒名顶替罪的犯罪对象为“他人取得的高等学历教育入学资格、公务员录用资格、就业安置待遇”。“组织、指使”包括以言语或行动指挥、唆使他人实施某行为以及从事冒名顶替的经营行为。“国家工作人员”是指从事公务的人员,包含高校校长、招生办负责人等学校管理人员。

侵犯公民个人信息罪中“公民个人信息”的界定——以手机APP收集并使用公民个人信息为切入点

侵犯公民个人信息罪中“公民个人信息”的内涵和外延,在互联网大数据普及的背景下未能得到明确的界定,不利于司法实践中对侵犯公民个人信息罪的适用。手机APP过度收集和使用个人信息的行为中,对于公民个人信息的认定关系到此种行为是否构成犯罪。因此,有必要完善公民个人信息的分类,分析个人信息的法益属性,认定去识别化信息与再识别行为,从而寻求权衡公民权利法益保护和信息数据商业化利用的最佳点,使手机APP在便捷服务公众的同时不触犯到刑法所保护的权益,是大数据时代下刑法立法与司法活动的正确走向。

侵犯公民个人信息罪中“违反国家有关规定”的解释逻辑

我国《刑法》第253条之一中的"违反国家有关规定"对于侵犯公民个人信息罪具有构成要件意义。肯定司法解释将违反部门规章的行为纳入"违反国家有关规定"范围的观点不具有合理的解释逻辑;《刑法》对于公民个人信息保护的扩大趋势并不必然等同于"违反国家有关规定"范围的扩大。对于"违反国家有关规定"的解释,可以从我国《刑法》第96条的规范意义和体系解释的角度出发。司法解释对"违反国家有关规定"的界定有突破罪刑法定原则之嫌,在实践中应当限缩适用。

APP违法违规收集使用个人信息的刑事责任边界

APP违法违规收集使用个人信息的有效治理需要刑法与其他部门法形成合力。从APP服务提供者违法违规态势看,其实施的积极行为是侵犯公民个人信息罪的关注对象;从行业发展形势看,APP的用户协议与隐私政策体现出个人信息收集使用的行业实践规则。侵犯公民个人信息罪,在打击利用个人信息本身获得非法利益之恶意行为的同时,应被用以促进APP服务提供者实施合规计划。在刑事责任阻却上,一方面刑事合规应当成为APP侵犯个人信息入罪的阻却事由,另一方面结合行业实践规则,应基于信息自决权限缩APP违法违规收集使用个人信息的入罪边界。