讲座综述 | 已公开个人信息的刑法保护·全国青年刑法学者系列讲座第二季之十
主讲人:王华伟(北京大学法学院助理教授)
与谈人:劳东燕(清华大学法学院教授)
欧阳本祺(东南大学法学院教授)
马永强(大连海事大学法学院讲师)
主持人:于改之(《法学》编辑)
2022年6月16日,第二季“全国青年刑法学者在线讲座”之十《已公开个人信息的刑法保护》顺利开讲。本次讲座由北京大学法学院王华伟老师担任主讲人,清华大学法学院劳东燕教授、东南大学法学院欧阳本祺教授、大连海事大学法学院马永强老师担任与谈人,由《法学》编辑于改之教授担任主持人。本次讲座共吸引近三千人次在线收看。
主持人于改之教授首先对主讲人和与谈人作了介绍,之后由王华伟老师开始主讲。
一、王华伟老师主讲
主讲人王华伟老师首先对讲座主题的背景作了简要说明。当前,信息获取渠道的拓宽及数据处理技术的发展使得海量个人信息频繁暴露于公共视野之下,而对此类已公开信息的收集、提供行为应当如何评价也成为困扰理论及实务的一大难题。借由对三个实务案例的考察,王华伟老师指出,对这一问题的回答,在根本上涉及到如何协调个人信息保护与数据流通自由之间的内在关系。
第一部分:现有解决方案之不足
王华伟老师首先简要梳理了现有的二次授权方案及合目的性考察路径的理论内容与基本逻辑,并对其各自的合理性提出了质疑。
二次授权方案以“两高”的司法解释为规范依据,区分评价对已公开个人信息的获取行为和二次提供行为,并将未经二次授权的提供行为认定为侵犯公民个人信息罪。但是,非法获取与非法提供作为并列的行为类型,在法益侵害性上没有实质差异,该方案对于区别对待两者的理由未予充分说明。而且,司法解释的规定仅仅是对“提供个人信息”内涵的细化,将其转用于对处理已公开个人信息行为的定性纯属误读。此外,二次授权方案不仅在技术层面上难以操作,而且会导致生活中常见的信息提供行为进入到刑法的评价视野,进而降低数据流动的效率。
合目的性考察路径依托个人信息保护法草案一审稿、二审稿的规定,将处理已公开个人信息行为的可罚性限缩于未经授权且违背信息公开目的和用途的范围内。较之于二次授权方案,合目的性考察路径完成了对获取行为与提供行为的统一评价,并建立了更为实质化的判断标准,由此实现了对出罪路径的拓宽以及对民法典中免责条款的限定解释。然而,该方案在实践中仍然面临以下难题:首先,个人信息公开的目的和用途具有多元性、复杂性和模糊性,难以为司法认定提供明确标准;其次,主观目的性与客观公开性之间存在内在冲突,将偏离主观目的的信息处理行为入罪不仅会压缩数据加工的自由空间,也会使侵犯公民个人信息罪在一定程度上转变为特殊的非法定目的犯;最后,从立法过程来看,正式通过的个人信息保护法并未采取二审稿中的合目的性考察路径,足以表明这一严格标准在事实上难以为继。
第二部分:客观开放程度标准之提倡
随后,王华伟老师通过检视德国关于个人数据保护的立法沿革及实务立场,阐明了德国法上的一般可访问性标准及其设定理由,亦即,为保障作为实现言论自由前提的信息获取自由,在数据具有客观可访问性且缺乏实质获取限制的情况下,排除数据处理行为的可罚性。在此基础上,王老师以这一标准为借镜,并依次从法益辨析、类型划分和规范分析三个维度逐步建构基于客观开放程度标准的解决方案。
第一,从法益保护的基点来看,隐私权标准的概念界定存在模糊性,不仅与民法典的规定格不相入,也难以在信息时代下充分保护个人信息背后所暗含的人格利益。而识别性标准仅仅是认定侵犯公民个人信息行为刑事责任的必要但不充分条件,无法单独证成已公开个人信息的需保护性。主流的个人信息权标准虽然已经触及问题核心,但个人信息在依法强制公开或自愿公开的场合,难以说明对此类信息的处理侵害了权利人的法益处分自由。据此,对侵犯公民个人信息罪法益侵害性的判断,宜采取相对客观化的标准。
第二,从个人信息的类型划分来看,已公开个人信息可被划分为三种类型:非法公开、依法公开及自愿公开。在此基础上,以客观开放程度为标准进一步界定信息处理行为的刑事责任边界既在司法实践上易于准确把握,也能避免对信息自由的过度限制,更能统一对不同行为类型的适用标准。
第三,从前置法规的规范分析来看,对侵犯公民个人信息罪中“违反国家有关规定”的理解存在免除同意及符合用途两种模式。鉴于用途模式存在难以操作、过分压缩信息处理的自由空间等弊端,宜采用以民法典第1036条、个人信息保护法第27条所设定的免除同意模式。
综上,王华伟老师认为,应依据信息客观开放程度的标准,对不同类型的公开个人信息处理设置不同要求。首先,除非权利人明确拒绝或处理行为侵害其重大利益,对依法和自愿完全开放个人信息的处理可依概括授权而排除可罚性;其次,限制开放的个人信息在刑法上仍然具有需保护性;最后,对违法公开个人信息的处理,不论其开放程度如何,均应受到刑法规制。
第三部分:信息公开标准之反思
最后,王华伟老师沿袭前述思考路径,对当前个人信息的公开标准展开了教义学之外的反思。王老师指出,当前处理已公开个人信息乱象的成因并非仅来自处于下游的信息处理者,还应包括处于上游的信息公开者。以裁判文书网为例,司法文书公开的实质目标在于促进司法公正,但部分个人信息的公开不仅于此无益,也难以满足实质关联的比例性标准。
二、与谈环节
(一)欧阳本祺教授与谈
欧阳本祺教授首先对王华伟老师报告内容的说理逻辑与严谨论证予以肯定,之后从以下三个方面提出商榷意见。
第一,报告中论述的隐私权标准、可识别标准以及个人信息权标准不属于同一讨论层面,可识别标准实际上是对行为对象的界定,而非对法益内容的界定。关于个人信息权标准,在学界存在着私法法益观及公法法益观的分野,两者在目的及特征上存在显著差异,但王华伟老师在报告中并未对个人信息权的公私属性这一问题展开讨论。
第二,依据司法解释规定的入罪标准,实际上可以将个人信息区分为三种类型:核心隐私领域、中间层私人领域及外层社会领域,刑法的保护力度随之递减。因此,报告还有待进一步丰富个人信息的划分类型。
第三,侵犯公民个人信息罪的行为类型包括非法获取与非法提供,两者的入罪门槛应当有所区别,将一般可访问性作为认定获取行为和提供行为可罚性的统一标准是否妥当,值得商榷。
(二)马永强老师与谈
马永强老师从以下几个方面提出了自己的看法。
第一,二次授权方案的缺陷更多来源于当前技术标准的限制,但在部分特殊场景下,二次授权方案仍然具有可行性。例如,针对大型互联网平台的数据处理行为,以及处于上游的信息公开者,可以建立二次授权的标准,并科以相应的义务。
第二,从犯罪发生学的角度来看,与公民个人信息相关的上下游犯罪具有复杂性和不可逆性。在当前的网络环境下,部分个人信息看似处于未公开状态,实则隐藏着被披露及难以溯源的技术风险,尤其在涉及平台方犯罪时,采取一般可访问性这类宽松标准可能会不当地弱化对个人法益的保护。
第三,适用侵犯公民个人信息罪的关键问题在于,对已公开的个人信息的非法利用能否包括在本罪的构成要件范围内,这也是在教义学层面上有待解决的问题。当前数字经济时代的信息利用必须建立在个人信息安全的基础上,在涉及数据权益严重不对等的场景时,应当尽可能通过对侵犯公民个人信息罪的扩张解释,缓解信息个体与技术拥有者之间利益失衡的局面。
(三)劳东燕教授与谈
劳东燕教授对王华伟老师报告中的理论创新给予了高度评价,并对其报告内容提出了四点意见。
第一,报告对侵犯公民个人信息罪的法益采取了个人信息自决权的立场,值得商榷。首先,个人信息权产生于社会沟通,其并非主体导向的自决权;其次,该立场会导致“未经同意”成为侵犯公民个人信息罪的不成文构成要件要素;最后,个人信息自决权无法解释本罪的行政犯属性。王华伟老师所提出的客观开放性标准虽然具有可操作性,但是,该标准认为对信息的保护程度依赖于技术限制,在体系逻辑上与其所坚持的个人法益立场相矛盾;而且,本罪属于行政犯,不应局限于对民刑关系的讨论。
第二,个体在表达同意时往往无法预知数据收集者的技术水平及处置措施,所以,客观开放性标准对于普通人而言实际上提出了过高的要求。
第三,随着数据处理技术的发展,以往不受保护的个人信息也可能纳入到保护范围内,而当前设定的标准具有静态性,无法与刑法保护的动态性保持同步。
第四,在当前的社会环境中,同意机制无法周全保护个体法益,反而使公民个人承担了不必要的自我保护责任,故有必要在价值取向上实现从个体的同意机制向数据处理者的合规义务机制的转变。
三、答疑
在答疑环节,王华伟老师对与谈人以及观众提出的疑问予以积极回应与解答,并针对“侵犯公民个人信息罪的前置法规范”“数据处理者的合规义务”等问题同与谈人作了进一步的交流与探讨。
讲座末尾,主持人于改之教授对主讲人、与谈人所作的精彩报告及点评表示感谢与赞许,并对讲座活动的幕后团队表达了感谢。
(综述人:钱日彤)
来源:刑事法判解
