侵犯公民个人信息罪中敏感个人信息的特殊保护研究

大数据时代,敏感个人信息与公民人身、财产安全直接相关且易受侵犯,故需作特殊保护。近年来,侵犯公民个人信息罪中敏感个人信息特殊保护的规范,经历了从无到有、从有到优、从粗到细的过程,并由此形成了比较完善的敏感个人信息分类保护规则、从严保护规则、弹性保护规则。侵犯公民个人信息罪中敏感个人信息的范围和分类,可基于刑法保护法益的独立性原则,作适当有别于《个人信息保护法》的评判。侵犯公民个人信息罪中高度敏感个人信息与低度敏感个人信息的区别保护模式应继续坚持,高度敏感个人信息和低度敏感个人信息的既有数量标准不宜调整,高度敏感个人信息的既有种类不宜增加,高度敏感个人信息的司法认定应坚持实质标准从严慎重判断。《个人信息保护法》施行后,应在坚持刑法保护敏感个人信息的模式不变、力度不减的基础上,着力通过《个人信息保护法》等前置法的严格实施,增强敏感个人信息法律保护的整体效能。

深度合成技术处理个人信息“合理范围”界定路径研究

个人信息安全是我国信息法治体系的核心。新一代深度合成技术采用无监督训练、多途径收集和自主式生成的研发逻辑处理个人信息。技术革新为社会生活带来便利的同时,也存在内部身份失窃、交互数据泄露以及制造、传播虚假个人信息等法律风险。深度合成技术处理个人信息亟待明确个人信息的合理范围。本文探讨“合理范围”的界定路径,即通过进行主体资格审查,以开放状态分类处理个人信息,再结合公开目的与处理方式展开实质审查,借助比例原则实现信息利用和信息保护的平衡。

侵犯公民个人信息罪的法益界定及其路径

在法益二元论视域下,侵犯公民个人信息罪的保护法益并不符合集体法益的内涵特征,集体法益说存在一定的逻辑缺陷。侵犯公民个人信息罪的保护法益应当是基于公法法益观的个人法益——个人信息安全,兼顾个人信息的多元价值,回应网络社会保障公民个人信息合理利用之诉求。

科技定位技术滥用行为的刑法规制

科技定位技术滥用行为的刑法规制牵涉到的理论与实践问题,具有层次性、交叉性等特点。科技发展及数据红利导致对个人位置信息合法获取却滥用的行为难以通过技术规制,因此法律需要发挥效用。而对数据时代隐私权概念理解的滞后性导致学界在创设个人信息权之新权利的同时只能进行原则性保护。这就要求刑法走出对个人信息隐私权“限制转移”的规制逻辑,按照权利类型公平保护公民个人信息在各阶段的隐私权。侵犯公民个人信息罪的法益是个人隐私权,个人位置信息可描摹个人生活样貌,一旦滥用对隐私权侵害极大,从刑法法益评价及平衡刑法稳定性与实用性考虑,都应当对滥用个人位置信息行为予以刑法规制,而具体规制方式应以刑法谦抑性原则为指导。

我国已公开个人数据刑法保护模式二元标准之提倡

在Web3.0时代,数据作为生产要素逐渐成为数字经济的直接驱动力,而对已公开个人数据的保护自然成为刑法研究不可回避的重要议题。我国刑法立法上的区分性保护使得行为本身的刑法定性跨越两个犯罪圈,人为地制造出法律适用障碍。侵犯公民个人信息罪在适用上存在口袋化趋势、司法解释碎片化严重、主观目的无法清晰判定等问题。当前的刑法保护模式分为两类即客观技术保护模式和主观目的保护模式。在我国,对已公开个人数据的刑法保护应当构建以客观公开标准为主、合目的性标准为辅的二元标准。客观公开标准强调公开且具有可访问性作为不法性判定的依据,合目的性标准主张数据处理行为应当符合具体数据犯罪立法的目的和社会相当性理论;前者重点在于入罪判定,后者重点在于罪数与量刑的评估。

侵犯公民个人信息罪的法定犯意涵

个人信息刑法保护模式的选择离不开对侵犯公民个人信息罪本质属性的认识,目前多数学者将本罪理解为自然犯,但这种认识存在诸多误区。根据学界对自然犯/法定犯区分具有共识的三个标准:首先,从古代国家到现代国家、从现代社会到信息社会,个人信息在社会变迁中经历了“古今之变”,只有在信息社会中才得以获得法律的全面保护;其次,侵犯公民个人信息罪的保护法益兼具个人法益和超个人法益的双重面向,不应忽视个人信息作为社会交往之构成要素的集体法益维度;最后,侵犯公民个人信息罪中“违反国家有关规定”是法定犯的前置法律法规,其内涵是国家对个人信息处理者施加的合规义务。因此,侵犯公民个人信息罪是法定犯而非自然犯。以此为起点,开展以侵犯公民个人信息罪为代表的法定犯基础理论研究,是未来值得开拓的重要方向。

处理已公开个人信息的入罪边界——基于对信息可访问程度的类型化考察

已公开个人信息仍然蕴含自然人的人格权益,应受法律保护,但个人信息一经合法公开就自动具有了社会属性,需要考虑信息的流动与利用。既有的合目的性考察与“二次同意”方案均有明显缺憾,故应当从客观标准入手进行类型化考察。因此,可将已公开个人信息的可访问程度作为尺度,由强到弱依次划分为:具备一般可访问性、具备局部可访问性和仅具备特殊可访问性。在此基础上,可以划定出相对客观且稳定的入罪边界,即处理具备一般可访问性的已公开个人信息不得侵犯人格权或用于犯罪活动;处理具备局部可访问性的已公开个人信息不得明显升高信息风险;处理仅具备特殊可访问性的已公开个人信息则需要获得权利人的二次同意。

大数据时代刑法介入公民个人信息保护的视域限缩

大数据时代,信息以数据为载体实现传输共享,高效利用的信息在产生巨大效益的同时不可避免地导致侵犯公民个人信息犯罪活动持续猖獗。在此背景下,我国刑事立法在公民个人信息保护中采取了积极介入的立场,体现了风险时代下的积极主义刑法观,但运用效果不佳且存在适用范围、罪名界定不清等弊端,由此产生的社会治理刑法化问题值得深思。此类问题的本质在于对个人信息保护和利用这对动态平衡的法益认识不足,由此产生对刑法在社会治理层面的消极定位认识不当。在公民个人信息保护的刑事立法中,仍应以法益作为成立犯罪的必要考察条件,纵向构建分层治理体系,基于刑法的谦抑性,充分发挥民商经济法的保护效用;内部建立多元排除机制,贯彻刑法在社会治理体系中兜底的消极定位,限缩刑法介入公民个人信息保护的视域,对公民个人信息进行体系化保护。

法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入

个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现,成为当前刑事治理的重点领域。在司法实践中,混用个人信息与相关概念的现象屡屡发生,影响对侵犯公民个人信息罪犯罪构成要件的理解,也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象,是刑民规范聚合的必然产物。因此,应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念:在形式上,以《民法典》的相关规定为基础,采取狭义的个人信息认定方式,将个人信息与个人数据、隐私进行明确区分;在实质上,深刻把握侵犯公民个人信息罪的法益内核,个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质,从而为实现信息主体的选择权和决定权提供坚实基础。

侵犯公民个人信息罪司法裁量的实证研究

通过对2009年2月至2021年7月间全国法院审结的侵犯公民个人信息罪案件进行量化分析后发现,我国法院裁量侵犯公民个人信息罪案件的实践与规范之间存在偏离现象,主要体现在法院实际判处的刑罚畸轻和未能准确识别个人信息的敏感程度。侵犯公民个人信息罪的设置过于注重预防功能和个人信息分级分类制度不健全,是导致司法裁量与应然规范出现偏离的原因。在数据安全形势不容乐观和个人信息行政法保护体系与民法保护体系逐步完善背景下,完善侵犯公民个人信息罪的立法方向,应包括调整定罪标准和细化敏感个人信息类型两个方面。未来应当以健全个人信息多部门法协同保护为目标,适时调整各部门法的保护边界,实现刑法与其他部门法的有效衔接,进而实现法律手段与其他规制手段的协同治理。

合理使用已公开个人信息作为出罪事由的规则适用

个人信息合理使用属于正当化事由,其正当性依据是社会团结义务。在合理使用已公开个人信息的成立条件中,已公开的个人信息是指不特定的人均可以通过合法途径获取的信息,此处的公开不限于信息主体自行公开的情况,但必须是合法的公开。在个案中,已公开个人信息的范围会受到行为人的身份等场景要素的影响。合理处理要求后续处理的目的和用途不能超出信息主体的合理预期,处理方式符合比例原则,且不会影响信息主体的重大利益。在具体场景中,如果后续处理被信息主体明确拒绝或者构成转换性使用,则该处理不属于合理处理。只有基于特定的目的和充分的必要性才可以处理已公开的敏感个人信息,但信息处理者是否具有营利目的并不重要。

涉疫信息安全法益的刑法保护之检视及对策探析

通过分析涉疫信息的特征及其安全法益的独特保护价值,结合《刑法》与其司法解释有关侵犯公民个人信息行为的条款,得出《刑法》对数据信息类犯罪的规制存在空缺、其司法解释未与以涉疫信息敏感性界分的前置性行政法律规范在法秩序统一性原理层面达成一致,以及侵犯公民个人信息罪在公共卫生领域对数据的正向利用未给予合理解释空间,使得信息活用存在刑事风险的问题。针对上述困境提出:明晰计算机信息系统、数据及信息安全法益间的独立关系、对涉疫信息分类分级进行刑事保护并设立侵害公共数据罪,以及增设为疫情防控、远程医疗与药物临床分析等合理使用涉疫信息特定人群的豁免条款的建议。

侵犯公民个人信息罪情节严重的法教义学阐释

基于侵犯公民个人信息罪的情节犯属性,确定“情节严重”的标准是本罪罪与非罪的界限。立足于《个人信息保护法》新修订的背景,在法秩序统一视野下对侵犯公民个人信息罪的情节严重标准进行重新界定,着重于信息分层保护机制,突出对敏感个人信息的重点保护、对未成年人信息的特殊保护以及互联网经营主体的特殊监管职责,出罪路径一是知情同意的授权许可,二是“情境脉络”的判断方法排除合理的信息利用行为,对滥用信息行为需入罪处理。

“信息网络传播型”侵犯著作权罪的法教义学研究

《刑法修正案(十一)》新增了通过信息网络传播侵犯著作权的行为类型,是刑法应对知识产权客观治理现状的应然之举。伴随数字技术的发展,著作权保护的公共政策需求不断强化,侵犯著作权罪法益秩序化造成了著作权刑事和民事保护体系衔接的断裂。基于法秩序统一原理,确立以财产权利作为侵犯著作权罪主要法益,以此为基础对侵犯著作权罪中信息网络传播行为予以限缩解释。从传播形式上,本罪信息网络传播行为应严格以信息网络传播权为边界,仅指交互式传播而不包括非交互传播。从传播性质上,明确信息网络传播行为的可罚性在于作品提供行为,进而将提供网络服务的间接传播行为排除本罪的规制范围。通过对信息网络传播行为的形式和实质的限缩,在满足刑法积极回应著作权保护社会治理现实需求的同时,剔除与规范目的不相契合的内容,实现信息网络传播型侵犯著作权罪的准确合理适用。

人脸识别信息侵害行为的刑法应对

人脸识别信息侵害行为呈现出法益侵害的精准化、链条化,具有法益侵害的直接指向性。当前,人脸识别信息侵害行为存在入罪标准不明、对涉人脸识别犯罪部分环节评价不足的刑法规制困境。对人脸识别信息侵害行为的刑事应对策略,应当明确入罪标准,构建个人信息二分保护体系。对于非法存储行为,可用不作为的侵犯公民个人信息罪或者拒不履行网络安全管理义务罪规制;对于非法加工行为,可用帮助信息网络犯罪活动罪规制;对于非法利用人脸识别信息侵害行为,应当通过扩充侵犯公民个人信息罪构成要件行为方式的做法实现其入罪化。

个人基因信息的刑法保护路径研究——兼论侵犯公民个人信息罪所涉的法益

“基因”与“基因信息”是不同概念,前者是指后者的原初物质载体;后者所指应当与个人健康信息、健康生理信息、生物识别信息相区分;个人基因信息在主体、性质及其应用方面的特点,决定了侵犯公民个人信息罪的法益是具有公法属性的个人法益;在适用该罪所规制的侵犯个人基因信息的行为时,应当将部门规章纳入“违反国家有关规定”的范围;对“情节严重”可以从立法与法理解释上进行完善。

侵犯公民个人信息罪的犯罪经济学分析

针对目前我国侵犯公民个人信息罪多发高发的态势,借用犯罪经济学的需求弹性理论和成本-收益模型,对2021年中国裁判文书网中580份侵犯公民个人信息罪刑事判决书进行实证分析研究得出,目前我国侵犯公民个人信息的犯罪活动对惩罚价格的反应在立法实践和司法实践中存在一定“弹性”差异,犯罪收益可观而犯罪成本甚微是此类犯罪多发高发的主要原因。为有效治理侵犯公民个人信息罪,应从减少犯罪收益、增加犯罪成本角度入手,持续加强对此类犯罪的司法打击力度,进一步明晰“公民个人信息”概念范围,适当扩充侵犯公民个人信息罪犯罪圈,促使侵犯公民个人信息罪治理由“缺乏弹性”向“富有弹性”转变。

APP侵犯公民个人信息行为的刑法规制及其合理边界

APP所具有的天然属性——相悖的二元功能面向,使得个人信息保护与利用之间的博弈更加明显,因此应寻求二者之间的平衡。未经用户同意的恶意APP与越权APP,在满足其他要件的情况下,容易构成侵犯公民个人信息罪。格式化授权与提供非民生所必需之服务的“非允即退”式授权不影响用户同意之效力;提供民生所必需之服务的“非允即退”式授权足以压制用户意思自由,同意无效。在同意被撤回之后,APP运营商拒不停止处理信息的行为属于“未经授权”的情形,广义的“获取”包括初始取得信息的动作与之后的持有行为。因此,APP运营商拒绝用户的删除申请、继续持有信息的行为属于“非法获取”。为避免犯罪评价半径过于扩张与刑事制裁措施过度使用,在强调适用侵犯公民个人信息罪的同时还应关注出罪化事由,主要包括处理匿名化信息、用户知情同意、处理公开信息、维护公共利益等。

双层社会下短信嗅探犯罪刑法规制研究

在双层社会背景下,针对短信嗅探犯罪的刑法规制陷入困局,由于保护法益范畴不明,导致无法对技术作出合理的刑法解释,并且适用的罪名存在竞合。短信嗅探犯罪的保护法益包括财产法益和公民个人信息法益,所以应该适用双重法益说。由于受双层社会场域特征的影响,短信嗅探犯罪实行行为的认定标准和刑法解释发生异化,应该基于保护公民个人信息法益来解释实行行为。在具体规制路径的选择上,应该适用盗窃罪来保护财产法益,与侵犯公民个人信息罪数罪并罚,并在量刑标准上“升维”,保持刑法谦抑性。

论《中华人民共和国刑法》第253条之一“公民个人信息”的认定

公民个人信息认定在刑事司法中存在扩张风险。公民个人信息不包含隐私权保护内容。作为法定犯,侵犯公民个人信息罪需兼具形式的前置法违反性和实质的法益侵害性。“自然人活动情况”不应突破前置法的范围。已公开个人信息应区分自愿公开和强制公开,自愿公开存在特定事由可阻却违法性。高度敏感信息的范围宜作限缩,排除“多次结合”与“结合中作用小”的情形。