侵犯个人信息行为的刑法全流程规制模式研究

在个人信息行为规制方面,我国前置法与刑法之间存在明显差异,前置法通过处理规则的设计实现了全流程规制,而刑法只能对部分不法处理行为进行惩治。此种规范格局导致法律难以衔接并形成刑法保护的盲区,不利于全面保护个人信息权益。对此,应提倡个人信息的刑法全流程规制模式,通过间接罪名适用法和法益量刑评价法对不同类型处理行为进行合理规制。通过理论维度和规范维度的证成,可以验证全流程规制模式具有可操作性。应当适用刑法合理规制非法收集行为和非法存储行为,保障前期阶段信息处理安全;适用刑法精准规制非法加工行为、非法使用行为和非法流转行为,保障中期阶段信息处理安全;运用刑法适度规制非法披露行为和非法删除行为,保障后期阶段信息处理安全。

深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

侵犯公民个人信息罪中敏感个人信息的特殊保护研究

大数据时代,敏感个人信息与公民人身、财产安全直接相关且易受侵犯,故需作特殊保护。近年来,侵犯公民个人信息罪中敏感个人信息特殊保护的规范,经历了从无到有、从有到优、从粗到细的过程,并由此形成了比较完善的敏感个人信息分类保护规则、从严保护规则、弹性保护规则。侵犯公民个人信息罪中敏感个人信息的范围和分类,可基于刑法保护法益的独立性原则,作适当有别于《个人信息保护法》的评判。侵犯公民个人信息罪中高度敏感个人信息与低度敏感个人信息的区别保护模式应继续坚持,高度敏感个人信息和低度敏感个人信息的既有数量标准不宜调整,高度敏感个人信息的既有种类不宜增加,高度敏感个人信息的司法认定应坚持实质标准从严慎重判断。《个人信息保护法》施行后,应在坚持刑法保护敏感个人信息的模式不变、力度不减的基础上,着力通过《个人信息保护法》等前置法的严格实施,增强敏感个人信息法律保护的整体效能。

侵犯公民个人信息罪的法定犯意涵

个人信息刑法保护模式的选择离不开对侵犯公民个人信息罪本质属性的认识,目前多数学者将本罪理解为自然犯,但这种认识存在诸多误区。根据学界对自然犯/法定犯区分具有共识的三个标准:首先,从古代国家到现代国家、从现代社会到信息社会,个人信息在社会变迁中经历了“古今之变”,只有在信息社会中才得以获得法律的全面保护;其次,侵犯公民个人信息罪的保护法益兼具个人法益和超个人法益的双重面向,不应忽视个人信息作为社会交往之构成要素的集体法益维度;最后,侵犯公民个人信息罪中“违反国家有关规定”是法定犯的前置法律法规,其内涵是国家对个人信息处理者施加的合规义务。因此,侵犯公民个人信息罪是法定犯而非自然犯。以此为起点,开展以侵犯公民个人信息罪为代表的法定犯基础理论研究,是未来值得开拓的重要方向。

侵犯公民个人信息罪的法益界定及其路径

在法益二元论视域下,侵犯公民个人信息罪的保护法益并不符合集体法益的内涵特征,集体法益说存在一定的逻辑缺陷。侵犯公民个人信息罪的保护法益应当是基于公法法益观的个人法益——个人信息安全,兼顾个人信息的多元价值,回应网络社会保障公民个人信息合理利用之诉求。

科技定位技术滥用行为的刑法规制

科技定位技术滥用行为的刑法规制牵涉到的理论与实践问题,具有层次性、交叉性等特点。科技发展及数据红利导致对个人位置信息合法获取却滥用的行为难以通过技术规制,因此法律需要发挥效用。而对数据时代隐私权概念理解的滞后性导致学界在创设个人信息权之新权利的同时只能进行原则性保护。这就要求刑法走出对个人信息隐私权“限制转移”的规制逻辑,按照权利类型公平保护公民个人信息在各阶段的隐私权。侵犯公民个人信息罪的法益是个人隐私权,个人位置信息可描摹个人生活样貌,一旦滥用对隐私权侵害极大,从刑法法益评价及平衡刑法稳定性与实用性考虑,都应当对滥用个人位置信息行为予以刑法规制,而具体规制方式应以刑法谦抑性原则为指导。

网络暴力场域中公民个人信息的刑法保护

网络暴力是指在信息网络上针对个人肆意发布谩骂侮辱、造谣诽谤、侵犯隐私等信息,损害他人名誉,扰乱网络秩序的行为。网络暴力与侵犯公民个人信息行为密切相关,实现刑法对公民个人信息的周全保护有利于削减网络暴力数量、抑制网络暴力产生、降低网络暴力危害。侵犯公民个人信息型网络暴力的行为类型主要为非法获取与非法提供,在满足其他要件的情况下构成侵犯公民个人信息罪;应纳入刑法规制范围的侮辱型网络暴力必须指向特定自然人,因而其中必然包含个人信息的非法泄露,后者应按照侵犯公民个人信息罪定罪处罚;提供他人真实信息的诽谤型网络暴力本身即为公民个人信息的非法提供,属于侵犯公民个人信息罪与诽谤罪的竞合。公开信息属于刑法中的公民个人信息,“人肉搜索”行为是否构罪取决于信息处理行为是否具有合理性;应在侵犯公民个人信息罪中增加“非法利用”行为要件,实现对单纯滋扰行为的有效规制;以拒不履行信息网络安全管理义务罪、非法利用信息网络罪等罪名追究网络暴力事件中平台的刑事责任,同时对其安全管理义务提出具体要求。

侵犯公民个人信息罪专题入库参考案例解读

人民法院案例库围绕侵犯公民个人信息犯罪专门收录了21件入库案例,进一步统一了类似案件的裁判尺度。在入库案例的编选理念方面做到了“三个坚持”:坚持宽严相济,确保罪刑均衡;坚持问题导向,细化法律适用标准;坚持综合治理,顺畅行刑衔接。本文所选取的7件代表性入库参考案例分别明确了涉公开个人信息案件的处理规则、行踪轨迹信息的认定规则、财产信息的认定规则、网络暴力型公开个人信息行为的定性规则、批量个人信息数量的计算规则,对类案审判具有参考、指引作用。

我国已公开个人数据刑法保护模式二元标准之提倡

在Web3.0时代,数据作为生产要素逐渐成为数字经济的直接驱动力,而对已公开个人数据的保护自然成为刑法研究不可回避的重要议题。我国刑法立法上的区分性保护使得行为本身的刑法定性跨越两个犯罪圈,人为地制造出法律适用障碍。侵犯公民个人信息罪在适用上存在口袋化趋势、司法解释碎片化严重、主观目的无法清晰判定等问题。当前的刑法保护模式分为两类即客观技术保护模式和主观目的保护模式。在我国,对已公开个人数据的刑法保护应当构建以客观公开标准为主、合目的性标准为辅的二元标准。客观公开标准强调公开且具有可访问性作为不法性判定的依据,合目的性标准主张数据处理行为应当符合具体数据犯罪立法的目的和社会相当性理论;前者重点在于入罪判定,后者重点在于罪数与量刑的评估。

处理已公开个人信息的入罪边界——基于对信息可访问程度的类型化考察

已公开个人信息仍然蕴含自然人的人格权益,应受法律保护,但个人信息一经合法公开就自动具有了社会属性,需要考虑信息的流动与利用。既有的合目的性考察与“二次同意”方案均有明显缺憾,故应当从客观标准入手进行类型化考察。因此,可将已公开个人信息的可访问程度作为尺度,由强到弱依次划分为:具备一般可访问性、具备局部可访问性和仅具备特殊可访问性。在此基础上,可以划定出相对客观且稳定的入罪边界,即处理具备一般可访问性的已公开个人信息不得侵犯人格权或用于犯罪活动;处理具备局部可访问性的已公开个人信息不得明显升高信息风险;处理仅具备特殊可访问性的已公开个人信息则需要获得权利人的二次同意。

侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界

在我国刑法中"公民个人信息"长期的附属保护模式,加之"刑先民后"的立法现状,使得"公民个人信息"的内涵外延以及法益属性未能得到清晰的界定,不利于侵犯公民个人信息罪的适用和"公民个人信息"的刑法保护。有必要立足于现有的刑法框架和司法解释,对当前"公民个人信息"的规范概念进行系统解读,进而明确"公民个人信息"的法益属性和刑法保护边界。刑法对于"公民个人信息"的保护思路应当是,在确认其人身属性、财产属性和相关法益依附属性的基础上,赋予其新型的权利地位。

非法取得或利用人脸识别信息行为刑法规制论

人脸识别信息具备识别特定自然人身份的属性,应属于《刑法》第253条之一规定中的“公民个人信息”。对于非法取得或利用人脸识别信息行为,现行刑法主要存在以下规制困境:一是尚未明确对非法获取、出售或者提供人脸识别信息的行为进行规制;二是尚未对非法存储、使用、加工人脸识别信息等可罚性较高的行为进行规制。人脸识别信息实际上可以归为《解释》所规定的“其他可能影响人身、财产安全的公民个人信息”。对于非法获取、出售或者提供人脸识别信息行为,应通过进一步明确相关司法解释的规定进而将其认定为侵犯公民个人信息罪。对于合法获取公民人脸识别信息后非法存储的行为,可认定为不作为的非法获取人脸识别信息行为,继而以侵犯公民个人信息罪定罪处罚。对于非法使用、加工人脸识别信息的行为,可通过扩大解释侵犯公民个人信息罪中“非法”的范畴甚或增设非法利用公民个人重要信息罪加以规制。

侵犯公民个人信息罪“行为类型”的教义分析——以“泛云端化”的信息现象为研究视角

在网络社会场域下,"泛云端化"信息现象已然成为个人信息存储、流转与使用的一种岿然态势。云端个人信息的侵犯行为要素解读,应当依托于侵犯公民个人信息罪法益类型的明定,进而循序渐进地进行类型化分析。将侵犯公民个人信息罪的法益类型界定为"个人信息自决权",是在具体考量云端化信息现象的侵犯行为手段的特质性而得出的结论。基于此,本文运用网络刑事立法的类型化思维,将侵犯公民个人信息犯罪行为类型划分为"交易型"、"刺探型"、"泄露型"三类,便于指导侵犯行为的教义学诠释,继而促使罪名的司法认定并实现文本规范形式与实质的良性互动与权威解读。

数据化时代“公民个人信息”的范围再界定

作为保护公民个人信息不受侵犯的有效途径,传统解释中的侵犯公民个人信息罪已然不能满足数据化时代的基本需求。为有效应对侵犯公民个人信息行为现阶段呈现出的新特点,需要对"公民个人信息"进行教义阐释,重新厘定公民个人信息实质内涵和法益保护重点,进而确定公民个人信息在数据化时代的具体涵义。为了加强个人信息保护并避免适用中的模糊性,应将个人隐私信息、生物识别信息、个人金融信息、个人信用信息等纳入公民个人信息的应然范畴,这不失为化解侵犯公民个人信息罪司法适用困境的有效途径。

民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及《民法总则》第111条为视角

为避免法益概念的抽象化并充分发挥法益限制处罚的机能,在已确定侵犯公民个人信息罪保护法益为个人信息权的前提下还应将之具体化。在民法编纂背景下,基于刑民一体化视角与法秩序统一性原理,并结合《民法总则》第111条的规定,侵犯公民个人信息罪的保护法益是个人信息权中的信息自决权。分析欧美两大模式个人信息保护的理论源头,个人信息的使用体现出信息主体的意志力,具有赋权效果,以信息自决权作为该罪法益可突出个人信息权在理论源头上与人的尊严和自由密切相关性。基于民法要扩张刑法要谦抑的理念,侵犯公民个人信息罪所保护的也不是等同于民事权利的个人信息权,而是其中最重要的权利即个人信息自决权;以信息自决权作为侵犯公民个人信息罪的保护法益,正是对刑法一般性的自我决定权的丰富和发展,并能充分发挥刑法保护公民自由等个人法益之机能。信息自决权司法实践中具有甄别值得处罚的侵犯公民个人信息行为的机能。

侵犯公民个人信息罪的司法适用——以《网络安全法》为视角

《刑法修正案(九)》修正了侵犯公民个人信息罪,进一步强化了对公民个人信息的刑法保护。与此同时,变动后的刑法条款在适用过程中仍存在不少基础性的问题。近期通过的《网络安全法》对个人信息保护的相关内容有更清晰的界定,侵犯公民个人信息犯罪司法适用过程中应当结合《网络安全法》的规定,对"公民个人信息"、"违反国家有关规定"等概念进行准确理解和运用,以达到刑法和相关法律法规的协调统一。但是,《网络安全法》只是暂时的替代品,为了实现对公民个人信息的全面保护,应当尽快出台《个人信息保护法》。

治理侵犯公民个人信息犯罪之刑罚替代措施

从现有的治理侵犯公民个人信息犯罪措施看,刑罚承担着主要角色,且是持一种严罚态度。严罚对侵犯公民个人信息犯罪的威慑作用有限。为了实现治理侵犯公民个人信息犯罪的最佳效果,需深入研究该种犯罪的生成模式,分析刑罚规制之不足,并从中寻找刑罚替代措施。不同的刑罚替代措施在治理侵犯公民个人信息犯罪过程中所起的作用存在差异。刑罚替代措施的不彻底性决定了侵犯公民个人信息犯罪在信息社会存在的必然性和不可避免性。治理侵犯公民个人信息犯罪的对策只能定位为控制犯罪,而非消灭犯罪;在适用刑罚替代措施的时候,需进行"成本—效益"评估;治理侵犯公民个人信息犯罪应重视公众参与。在对侵犯公民个人信息犯罪予以刑罚规制的时候,应有所宽容、有所例外。

法秩序统一性视域下“违反国家有关规定”的应然解释——《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条评析

合宪性解释是刑法解释的一种方法,对刑法解释结论的正当性具有最高检验标准的功能。对于刑法第253条之一的"违反国家有关规定",根据文义解释方法,可以得出包括"违反法律、行政法规和部门规章的规定"的解释结论,并且可以通过目的解释方法得到补强。但是,根据合宪性解释,如果采用这一结论,则将导致整体法秩序统一性被破坏,因而应当否定这一结论。

侵犯公民个人信息罪的精准解释

侵犯公民个人信息罪新近立法情势、大数据时代犯罪治理思维变革趋势、新时代我国司法公正供需矛盾态势蕴含着侵犯公民个人信息罪精准解释的迫切需求。最高司法机关联合颁布司法解释,以解读立法关键词的方式,以精细规定谋求精准解释,在不同信息类型差别评价、不同信息比例合计评价、批量信息数量灵活评价、合法经营要素单独评价等方面竭力创新,既为侵犯公民个人信息罪精准司法提供了遵循,又留下了适用困惑和想象空间。优化侵犯公民个人信息罪精准解释,应注重综合把握犯罪成立条件,防止精准解释碎片化;系统解读兜底条款规定,防止精准解释空泛化;科学树立精准解释理念,防止精准解释数字化。

侵犯公民个人信息罪的司法困境与立法完善

近年来,侵犯公民个人信息的行为有增无减,社会危害性日益凸显。我国《刑法》明确了侵犯公民个人信息罪的构成要件,但在该罪保护法益和刑罚等方面的规定不够精准。为保护公民个人信息安全及合法权益,我国最高司法机关发布了司法解释,但仍难以解决司法实践中对侵犯公民个人信息罪在定罪量刑和其他法律适用方面存在的问题。综合考察我国《刑法》《民法典》等法律和司法解释中关于保护公民个人信息的规定,可以从妥当司法的角度,在《刑法》中明确个人信息权为法益,明确规定侵犯公民个人信息罪的限额罚金刑,并且明确规定该罪适用“从业禁止”,以构筑多层次、全方位的个人信息保护刑事法律体系。