周光权:侵犯公民个人信息罪的行为对象

选择字号:   本文共阅读 281 次 更新时间:2022-02-06 14:33:50

进入专题: 侵犯公民个人信息罪     可识别性     信息分类  

周光权  
在上述公开网络中存在的个人信息,既不涉及个人隐私,也包含着个人放弃权利的同意在内,即便法定代表人是自然人,但对与之相关的信息不应再视作个人信息,或者可以说成是“值得刑法保护的个人信息”并不存在,即使其中包含了个人的姓名、联系方式、手机号码等,也不属于本罪要保护的个人信息。

   此外,根据《征信业管理条例》(国务院2013年1月21日发布)第21条的规定,征信机构可以通过信息主体、企业交易对方、行业协会提供信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等渠道,采集企业信息。企业在经营过程所公开的相关信息被征信机构采集后,其中的个人信息也就属于企业公开征信信息的范畴。从这个意义上讲,不能将刑法意义上的公民个人信息与企业征信信息所包含的自然人姓名及联系方式等信息绝对等同。这一观点能够得到《征信业管理条例》第13条的印证。该条明确规定:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”这里的“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息”即明确否定了与公开的企业信息有关的自然人身份信息不属于个人信息。成立侵犯公民个人信息罪须以行为违反国家有关规定为前提。对于这种前置法不再保护的已公开信息中的个人信息,将其作为本罪对象就是不合适的,否则就会不当扩大打击面。

   最高人民检察院《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字[2018]13号)指出,对于企业工商登记等信息中所包含的手机、电话等号码信息,应该“明确该号码的用途”。由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。这一指引似乎仍然坚持了已公开的信息中属于个人的信息是本罪对象的观点,但缺乏可操作性。因为在实行实名制购买手机号码的今天,手机号码由公司购买的情形本来就难以做到,手机号码是否归公司使用就更难以判断,最终的结局是一旦发生侵权的情形,即便是公司购买的手机号码,被害单位也可能主张公司和个人混用,从而总是能够得出行为人成立侵犯个人信息罪的结论。

   (二)最新动向

   对于从已公开的企业信息中获取公民个人信息的行为总体上定罪的态势,在民法典通过之后似乎得到了一定程度的扭转。2020年5月至7月,吴某在天眼查、企查查等网站下载公开的各地企业工商登记信息,梳理分类后共出售1.8万余条信息,获利1万余元。公安机关以涉嫌侵犯公民个人信息罪传唤吴某,后该案被移送至江苏省泰州医药高新区检察院审查起诉。检察官认为,公安机关根据2017年《刑事案件司法解释》第3条规定的“未经被收集者同意,将合法收集的公民个人信息向他人提供的”,属于提供公民个人信息,从而认定吴某的行为涉嫌本罪。但民法典自2021年1月1日起正式施行,给案件处理带来了新变化。《民法典》第1036条规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任。但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。根据这一规定,既然没有证据证实吴某出售合法公开信息的行为遭到权利人拒绝或侵害其重大利益,就不应当认定为构成侵犯公民个人信息罪。为此,检察机关建议公安机关撤案。2021年1月7日,公安机关对吴某解除取保候审,并予以撤案。(30)

   虽然这一动向的持续效果如何还有待观察,但是,如果对于从已公开的企业信息中获取公民个人信息的行为一概作无罪处理,这样的思考方式显然太粗放,而应当结合处理公开信息的目的和用途思考。

   (三)合理的主张:获取、提供已公开的个人信息但改变信息公开的目的或者用途的可能成立本罪

   对于行为人在公开的网络上(包括“企查查”“天眼查”等企业信息查询网站、裁判文书网站等)爬取已公开的企业登记信息,从中获取个人信息,再对这些已公开的个人信息进行有偿转让、出售的,也全部都属于对已公开的个人信息的合法处理,均不应当构成侵犯个人信息的犯罪?答案是否定的。

   对此,需要特别关注民法典的相关规定。《民法典》第1036条强调,如果行为系对已公开的个人信息进行不合理处理的,仍然应当承担侵权责任。换言之,并不是所有对已公开的个人信息的处理行为都合法,法律对于“不合理地处理”已公开的个人信息的行为仍然持反对态度。

   对于已公开的个人信息必须合理处理的进路,在个人信息保护法草案(二审稿)中得到了坚持。该法第6条规定,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,并采取对个人权益影响最小的方式。第13条第5项规定,“依照本法规定在合理的范围内处理已公开的个人信息”的,不需要取得个人同意。本条也特别强调仅在“合理的范围内”对于个人信息的获取、提供行为,不需要取得个人同意。第14条第2款规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人的同意。第28条更为明确地规定,个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。

   1.个人公开其信息的目的以及信息的用途属于法益的内容

   罗克辛教授认为,犯罪的本质是经验上可以把握的法益侵害,这样的理解会使得犯罪的现实形象不被冲淡,刑法的社会治理任务也就更易于完成。(31)也就是说,法益与我们所能够感知的实存事物有紧密关联,如果没有能呼吸的个体、个人的身体行动、财物等具体概念,就不可能产生出生命法益、身体法益、自由法益、财产法益等概念。因此,有必要肯定实存的法益概念对于具体犯罪认定的意义。但是,是不是由此就必须将“法益处分的自由”理解为法益之外的东西,认为其与法益不同是一个有争议的问题。传统上通常坚持狭义的法益概念。例如,在行为人有意放弃特定法益时,通说就认为此时不存在法益关系错误,原则上就应该肯定被害人的承诺有效,违法性被阻却。如果一定要否定承诺效果去对被告人定罪,就不是相应的法益值得刑法所保护,而是法益之外的法益处分自由(意思决定的自由)本身被相应构成要件所保护。

   近年来,有学者对此提出了质疑,认为法益处分自由也应包含在法益概念之中。例如,山口厚教授就认为,法益处分自由本身就是法益的构成要素,而不是全然不同于法益的其他东西。比如,在支付对价的场合实施欺骗的,也可能成立诈骗罪,就可以明确看出“法益处分自由”被作为财产法益的内容而受到保护。(32)

   按照这种逻辑可以认为,个人公开其信息的目的、信息的用途属于法益的一部分,而非法益之外的东西。按照民法学上的主流观点,个人信息权包括对信息的占有权、决定权、保护权、知情权、更正权、锁定权、遗忘权等内容。(33)其中的知情权,是指信息主体对于任何组织或者个人如何处理个人信息的知晓权,如果已公开信息被不合理处理,包括被改变公开目的或者用途,但未取得个人同意的,都是对其知情权的侵害,既属于对个人信息权的损害,也属于对个人的法益处分自由的侵害。虽然企业法人的信息属于企业应当对社会公众公开的登记或企业运行信息,对于其中所涉及的已公开个人信息,他人可以通过工商登记网站对此类信息进行查询,但是,个人选择在企业公开的信息中,对于自己的姓名、通讯方式等予以公开有特定目的:使自己所在的企业的设立和运行符合国家行政主管机关的要求,为企业合法获取商业利益创造机会。因此,已公开的个人信息中,信息的内容成为法益保护对象,基于特定目的对信息的处分自由(对信息的最终决定权)也是法益的一部分。不可否定的是,“个人信息的失控将会打破社会交往过程的‘防火墙’,威胁与个人信息自决权相关的人身安全、财产安全及隐私安全等公民个体社会交往利益。《司法解释》第5条涉及的人身、财产安危危险及实害后果的特别罪量规定,正是充分体现了对信息失控后的公民个体社会交往利益威胁的附随保护”。(34)

   那么,对于处理已公开的个人信息且未偏离该信息公开的目的,没有改变其用途的行为,没有侵害法益主体的法益处分自由,对于这种尊重信息公开目的前提下的对个人信息的合理处理,民法典、网络安全法、个人信息保护法等前置法均不反对,该个人信息是权利主体自愿放弃保护的财物,且处分行为没有违背其处分财物的意思,其在刑法上的要保护性丧失,不属于刑法所保护的行为对象。

   2.处理已公开的个人信息可以定罪的情形

   按照民法典、个人信息保护法草案(二审稿)的相关规定,处理已公开的个人信息,仅在合理利用该信息的限度内不需要得到信息主体的同意,如果“处理该信息侵害其重大利益的”,就应当得到或重新取得个人的同意。“在有的情况下,自然人的个人信息虽然是自己主动公开或者是通过其他合法方式公开的,但若处理这些个人信息的行为损害该自然人重大利益的,行为人仍不能免除责任。例如,某人对外公开了自己的电话号码,但行为人却利用这些电话号码频频向某人发送垃圾短信或者拨打电话,严重滋扰了某人的生活安宁,此时,行为人仍应承担民事责任”。(35)因此,处理个人信息明显违背个人公开其信息的目的,改变已公开信息的用途的,都有可能构成本罪。例如,互联网公司工作人员将其在工作中获取的个人已公开信息出售给体检机构,以便于后者拓展客源的,显然改变了个人公开其信息的目的和用途,可以构成本罪;再比如,通过公开征信系统获得他人手机号之后对个人进行追踪定位的,使他人的生命、身体陷入危险,也违背了他人公开其信息的目的和用途,该信息仍然属于本罪对象。

   此时,再争论该已公开的个人信息是否属于个人隐私、注册登记是不是阻却违法,以及能否将处理已公开的个人信息推论为2017年《刑事司法解释》第3条规定的“未经被收集者同意”等,都没有意义。问题的关键是:个人基于何种目的放弃法益保护?如果个人信息根据政府有关部门的要求公开,被他人以非专业的技术手段轻易获取之后,用于电信诈骗业务,对该公开信息的处理既违反国家有关规定,也违背信息主体的处分意思,对于该信息仍然有利用刑法予以保护的必要。

   3.实务上不宜定罪的情形

   笔者认为,对于处理个人已公开的信息有以下情形的,不宜定罪:

   第一,针对已公开的个人信息仅实施单纯获取或爬取、持有等行为的。由于行为人还没有将该信息予以批量出售、提供,很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同,也无法确定信息的用途是否被改变,难以得出行为人侵害被害人法益处分自由的唯一结论。

   第二,获取、提供他人已公开的个人信息的目的是帮助行为人拓展业务的情形。企业注册登记或者将其信息在征信系统中收录,其目的是为了企业自身发展。行为人处理企业公开信息中包含的个人信息,如果与该企业的经营发展目的相一致的,应当认定该处理信息行为具有合理性。

例如,某些特定行业的从业人员为扩展业务范围、推销产品、开展市场营销,大量收集或向他人购买特定行业的企业注册登记信息(包括企业法定代表人的姓名、工作单位、手机号码等),或者与他人交换上述信息的,实务上倾向于认为个人信息被侵犯。(36)此外,实务上将为了寻找潜在客户而获取、提供公开的个人信息的行为认定为犯罪的情形为数不少。(37)但是,在上述案件中,行为人为了企业利益获取他人信息,但已公开信息所在企业也是为了开展市场营销等经济活动而存在的,因此,行为人获取、使用个人信息的行为与信息主体的目的之间具有大致相同性,其对信息的处理相对具有合理性。因此,不宜将为了扩展业务范围、推销产品、开展市场营销寻找潜在客户而获取、提供公开的个人信息的行为认定为犯罪。(点击此处阅读下一页)

    进入专题: 侵犯公民个人信息罪     可识别性     信息分类  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 刑法学
本文链接:http://www.aisixiang.com/data/131365.html
文章来源:《清华法学》(京)2021年第2021第3期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统