【摘要】我国当前个人信息保护立法具有前数字经济时代与数字经济时代并存的特征。前数字经济时代个人信息保护体现为散在分布的碎片化立法,新旧规范重叠交错导致民事、行政与刑事保护标准不协调,立法存在衔接断层,而数字经济时代个人信息保护立法呈现爆发式增长态势,这既为个人信息保护提供了立法依据,也进一步加剧了立法碎片化。推动个人信息保护立法从刑事向行政及民事拓展,必须跳出“一法一部门”的部门法分立格局,进行法秩序统一原理下民行刑一体化的规范整合与领域性立法,以民事立法与行政立法补齐刑事立法预防功能的制度短板。基于民行刑一体化的领域性立法来构建数字经济时代个人信息保护制度,要清理与个人信息保护法存在重叠冲突的“过渡性”立法规范,修改对个人信息保护不周延的刑事立法。在数字经济时代释放个人信息的生产潜能,根据个人信息敏感程度与使用场景确立个人信息保护的审查标准,化解个人信息处理活动的法治风险。
【关键字】数字经济;个人信息保护;民行刑一体化;预防功能;刑事立法
以数据要素共享为基础的数字经济,既创设了经济发展的新形态,也加大了以数据为载体的个人信息泄露风险,而且呈现出规模化的泄露趋势。面对海量个人信息泄露风险,基于权利的个人信息保护模式无力实现法治的预防功能,而基于风险的个人信息保护模式随之兴起。2025年2月12日,国家互联网信息办公室发布《个人信息保护合规审计管理办法》,从平台治理角度对信息保护义务作出详尽规定。然而,该办法中的个人信息保护,仍然延续了传统“义务群”构成的混合方案,个人信息主体在“义务群”中处于被决策地位而丧失真实的“自决权”,而且该办法存在大量无相应法律责任的条款,因而只能被称为个人信息保护的“未完成方案”。在数字经济时代,构建以风险预防为导向的个人信息保护体系,关键在于如何从事后的刑事保护逐步过渡到事前的民事和行政保护,形成扩张但不过度的保护体系,为此需要基于民行刑一体化对个人信息保护体系进行重新审视。
一、数字经济时代个人信息保护立法的衔接断层与法治困局
数字化的深刻转型变迁赋予了个人信息丰富的社会意义,削弱了个人信息的自主决定性,从根本上改变了个人“信息产生、获得、使用、传播的方式……信息分享和利用已成为常态,个人信息因此具有社会属性,其现实基础在于信息由个人生产却脱离其控制”[1]。在数字经济时代,以数据为主要存在形式的个人信息不再专属于个人。鉴于个人信息具备强大的生产潜能,因此促进个人信息的流通共享与资源化利用,是构建以数据为关键要素的数字经济的重要环节。这意味着,数字经济时代个人信息的合理定位,必须兼顾国家层面的数据安全、社会(经济)层面的产业发展与个体层面的权利保护,在个人信息的个人属性与社会(经济)属性之间寻求平衡,[2]拓展个人信息保护的法治格局,由此也引发了个人信息保护与利用的制度平衡问题。在当前个人信息保护立法已经初步成型、司法执法加速演进的数字经济时代,如何构建个人信息保护体系成为破题之关键。
(一)碎片化立法阻碍个人信息保护体系的标准塑造
在前数字经济时代,我国关于个人信息保护的立法规定散布于各种规范性文件之中,立法的碎片化特征明显。事实上,涉及个人信息保护的规范性文件的数量虽然不少,但是这些规范性文件或仅宣示性地提及个人信息应当受保护,或同质化地规定个人信息保护的一般规则,缺乏具体可操作的实体规则,导致个人信息保护面临规范供给不足的困境。在数字经济时代,受个人信息资源化利用与企业规范化改革双重压力的传导与推动,有关个人信息保护的立法快速完善,尤其是在《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)颁布实施之后,与之相配套的行政法规、部门规章、地方规范性文件等呈现出爆发式增长态势,这为个人信息保护提供了立法依据,也在某种程度上加剧了立法的碎片化趋势。
事实上,当前碎片化的立法规范使得个人信息保护体系中的标准难以有效确立,特别是当下的个人信息保护立法呈现出前数字经济时代与数字经济时代并存的特性,立法规范之间罅隙丛生,导致个人信息保护法律难成体系。从现行有效的立法规范来看,涉及“个人信息”这一关键词的法律有146部、行政法规有159部、司法解释及司法解释性质文件有225部、部门规章及部门规范性文件有2882部,诸多规范在内容上交错重叠甚至彼此冲突。[3]例如,2019年3月2日国务院《快递暂行条例》、2019年4月10日公安部《互联网个人信息安全保护指南》等,均将个人信息主体同意甚至授权同意作为个人信息处理的基本原则,而《个人信息保护法》总则中并未直接规定同意原则,仅在第13条中将取得个人信息主体同意作为个人信息处理的合法性基础之一。换言之,《个人信息保护法》没有将个人信息主体同意上升到基本原则层面,意在为个人信息的流通共享留下充足空间。在《个人信息保护法》的具体实践中,较低标准的“推定同意”在个人信息处理中得到广泛运用,比如在自动化决策中收集非敏感个人信息、[4]人脸识别身份认证、[5]已公开个人信息的处理等场合,[6]根据其使用场景和处理个人信息的目的即可推定个人信息主体同意而无须经过现实同意。所谓“推定同意”实质上是一种立法预设,只要满足某些条件就类型性地认为个人信息主体存在“同意”,事实上降低了“同意”的标准,扩张了个人信息流通共享的空间。在此意义上,基于数字经济时代特性并充分激活个人信息流通共享价值的《个人信息保护法》在基本理念层面与之前的立法规范存在较大分歧。尽管基于新法优于旧法、上位法优于下位法的法理规则,《个人信息保护法》的颁布实施极大地缓和了立法碎片化带来的规范冲突问题,但由于目前尚未完成对旧法的整合清理,加之司法执法实践不断续造新兴规则,规范重叠与规范冲突问题并没有得到实质解决。
(二)个人信息保护立法断层导致保护标准之间脱节
在体系性考察民行刑法律规范之后可以发现,我国个人信息保护立法存在明显的立法断层,导致具体的保护标准在司法实践应用中存在脱节现象。从立法流变来看,我国个人信息保护立法总体呈现出“逆规律”的演进态势,即在前置法没有颁布实施的前提下,采取刑事立法先行的方案,率先通过刑事制裁打击严重侵犯个人信息权益的行为,而与之相对应的民事和行政立法却长期阙如,[7]因此刑法与民法、行政法在保护标准上难以形成有效衔接。事实上,我国从2003年就着手部署《个人信息保护法》起草工作,其间经过多次摇摆停滞,直至2021年《个人信息保护法》才得以颁布实施。期间,刑事立法早已完成侵犯个人信息行为的犯罪化,其中,2009年《中华人民共和国刑法修正案(七)》将出售、非法提供公民个人信息行为犯罪化,2015年《中华人民共和国刑法修正案(九)》增加了非法获取类型,将该罪修改完善为侵犯公民个人信息罪。换言之,刑法在民法和行政法没有规定个人信息权利及个人信息国家保护义务的情况下,提前完成了个人信息刑事保护标准的构建,而在缺乏民法与行政法提供前置性参照的前提下的标准设置则容易引发争议。从立法路径分析,个人信息首先作为私权利存在,[8]个人信息保护立法宜遵循先私法后公法的基本逻辑,刑法作为最后序列的保障法,本应在民法、行政法完善之后再行建构个人信息保护制度。先确立保障法后确立前置法的立法路径,确实为遏制严重侵犯个人信息权益的行为提供有效保障,“为保护公民的人身、财产和个人隐私及正常的工作、生活不受侵害和干扰,保护公民个人信息不被泄露”[9]发挥了重要作用。然而,没有私法作为支撑的个人信息犯罪化立法,功绩与弊端并存,它使得刑法成为“在先的管理法”,不仅在司法适用中存在诸多问题,而且随着后来民法、行政法的相继完善,民法与刑法、行政法与刑法之间的立法断层问题越发明显。
值得注意的是,在民法与刑法之间,在先通过的刑法确立的保护标准乃基于社会管理向度,目的是管控无序化的个人信息处理行为,但这与立足于基本权利保护向度的民法确立的保护标准存在脱节。刑法作为公法,针对的是具有严重社会危害性的行为,从而实现对社会安全价值之维护;民法作为私法,以权利为本位,体现的是规范公权和保障私权的现代法治理念,[10]民法典也因此被称为民事权利的宣言书和保障书,民法典有关个人信息的规定系从私权视角为个人信息权利提供保护屏障。质言之,个人信息首先是私权利,其次才是公法益,涉及私权保护事项,理应由民法在先规定,在民法调整失灵或不足时才需要刑法以维护社会秩序为名加以介入规制。事实上,刑法率先介入导致了个人信息保护的标准与民法脱节,影响司法裁判的统一性。例如,在《个人信息保护法》通过之前,关于已公开个人信息是否属于个人信息,民事判决倾向于认为已公开的个人信息仍属于个人信息权的保护范畴,[11]而刑事判决则给出了否定性的结论,[12]这种标准上的脱节不仅导致民法的保护目的难以实现,还导致刑法的保护模式饱受争议。时至今日,民刑之间在规制对象和分类分级标准等方面仍然存在相当程度的不一致,这种标准上的不一致导致刑事司法实践中经常出现争议,有损刑法的谦抑性并导致民法、行政法上的其他社会治理手段趋于失效。[13]
(三)刑法提前设置罪名导致对个人信息保护不全面
从立法规制对象来看,《个人信息保护法》主要通过规制个人信息处理活动来保护个人信息,因而它既有“保护法”的特征,又有“规制法”的成分。与之相对,刑法由于提前设置罪名而未能对《个人信息保护法》的规定做出全面回应,导致刑法本应该作为后置法的保护范围不够全面,也无法契合个人信息分类分级成果而提供不同强度的刑法保护。事实上,根据《个人信息保护法》第4条第2款规定,所谓个人信息处理活动包括“个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”行为,涵盖了个人信息从产生到消灭的全生命周期。因为个人信息权利“除了直接用于行使信息自由的权利外,还包括一整套的‘邻近权利’,这些权利贯穿于个人信息处理活动的始终”[14],因此,只有覆盖个人信息的全生命周期,才能够建构起有效的个人信息保护制度。立法者显然意识到这一点,将个人信息处理活动全方位纳入个人信息保护法之中。与之相对,《刑法》第253条之一侵犯公民个人信息罪规制的行为类型只有三种,分别是非法获取、出售和非法提供,非法获取规制的是前端的个人信息流入行为,出售与非法提供规制的是后端的个人信息流出行为。在现行《刑法》以匿名性为核心构建的个人信息保护体系中,个人信息只有在不同主体之间流转才涉及侵犯匿名性的问题,因此,中间环节的非法使用个人信息行为并没有被规定为犯罪,这显然与《个人信息保护法》对个人信息处理活动进行全局规制的立法设计及制度安排不一致。
在司法实践中,刑法在设置罪名时没有参照《个人信息保护法》中对个人信息分类分级的规定,导致刑法保护强度不适应个人信息保护的实际情况。事实上,《个人信息保护法》将个人信息分为敏感个人信息和非敏感个人信息两个级别,其中,敏感个人信息由于与个人的人身、财产状况紧密联系,因此受保护程度更高。刑法没有对个人信息进行分类分级的直接规定,而2017年5月8日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯信息犯罪解释》)第5条却对侵犯公民个人信息入罪标准的规定体现出了分类分级思想,其将《刑法》第253条之一中的公民个人信息分为三个级别:第一级别是“轨迹信息、通信内容、征信信息、财产信息”,第二级别是“住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息”,第三级别是其他公民个人信息,该规定中的分级逻辑与层级数量均和个人信息保护法存在区别。在这三类个人信息中,敏感个人信息由于关涉到核心的人格利益,因而有必要予以强化保护。然而,对照两法规定,《个人信息保护法》中的敏感个人信息在《刑法》中未必能够得到强化保护。例如,生物识别信息在《个人信息保护法》中属于首要的敏感个人信息,但是在《刑法》中它并不属于第一级别的公民个人信息,至多属于第二级别的个人信息。[15]又如,作为《个人信息保护法》中敏感个人信息的宗教信仰信息并不在《刑法》规定的重要信息之列,仅属于第三级别的其他公民个人信息,其受保护程度相对较低。除此之外,《个人信息保护法》第28条特别规定,不满十四周岁未成年人的个人信息属于敏感个人信息,然而根据《侵犯信息犯罪解释》第5条规定,不满十四周岁未成年人的个人信息完全可能只是第三级别的其他公民个人信息而没有必要受到特别保护。简言之,分类分级标准的不一致,导致两法对同种个人信息的保护力度大相径庭,而这实际上归咎于《刑法》在《个人信息保护法》出台前设置了相应罪名,导致《刑法》无法依据前置的《个人信息保护法》来设置具体的犯罪构成要件。
(四)法律规定模糊导致入罪标准模式引发行刑倒挂
在行政法与刑法的衔接过程中,由于在个人信息领域存在国家监管跟进不及时的情形,导致一些轻微违反国家规定的行为可能被放大为刑事犯罪,引发“行刑倒挂”的阶段性异常现象,而这显然与犯罪圈的均衡化及刑罚的轻缓化的整体治理趋势相悖。[16]为了遏制新技术失范现象,大量新技术运用行为被界定为非法行为,在行政监管的缺位之处刑法积极补位,以最严厉的制裁手段加以遏制,于是一些在域外合法的新技术运用在我国却被认定为违法犯罪行为,造成了司法实践中对新技术运用的处罚明显伴随着扩大化倾向,有损公平正义。以网络爬虫入刑为例,在2017年上海晟品网络科技有限公司、H某某等非法获取计算机信息系统数据案中,法院将利用技术手段突破反爬虫措施获取公开数据的行为认定为非法获取计算机信息系统数据罪,[17]该案后来被评为2019年度人民法院十大刑事案件之一。从当下视角重新审视本案,虽然行为人突破了技术保护措施,所获取的数据中也包含了部分个人信息,但是既然涉案数据中的个人信息已经处于公开状态,那么除了个人信息主体特别声明不公开或不符合公开的用途之外,利用爬虫技术获取个人信息数据的行为就不应被认为侵犯了个人信息权益,更不宜上升到刑事责任的高度,仅能作为行政违法或不正当竞争行为处理。换言之,不甄别数据类型与数据状态,仅以是否突破反爬虫措施标准来判断网络爬虫的刑事责任,只会给使用爬虫技术的企业和个人带来不当的刑事风险,而当企业有意识地对所有数据设置反爬虫措施时,这一入罪逻辑无疑会影响以数据形式承载的个人信息正常流通共享。
事实上,正是立法断层使得民事与刑事、行政与刑事交叉地带的保护标准趋于模糊,变相增加了企业风险,导致企业建构个人信息保护制度存在一定程度的盲目性。一些企业为了不触犯法律法规,在内部管理规范中要求自身及员工不仅要遵守现行法律法规,还要遵从诸多的商业伦理规范,以求最大化卸除所有违法犯罪责任。回归制度设计本质,表面上看,企业管理与企业发展之间存在矛盾,企业采取管理措施必然对一些性质不明朗的业务进行清理,然而从深层次来看,做好企业管理的根本目的是促进企业良性发展,企业不能为了过度追求管理而抑制自身发展。这种做法实质上是以限制企业发展为代价换取企业经营安全,这与营造法治化营商环境促进企业健康和可持续发展的企业管理改革制度初衷相违背。历史与现实反复证实,过高的标准根本无法实现,因为在正常的市场经济关系中,私人与私人之间的纠纷具有不可避免性,国家与私人之间的纠纷亦属于常态。正因为如此,侵犯个人信息权益的轻微民事违法及轻微行政违法行为在社会秩序容忍的范围内,在一些场景下,无论设置多高的保护标准,也无力阻止企业实施侵犯个人信息权益的失范行为,此时,需要反思的可能并非处理个人信息的企业本身,而应当是保护标准是否妥当。更何况,我国90%以上的市场主体都是中小微型企业,这些企业对个人信息的保护基础先天薄弱,对其而言,个人信息保护的边际效益不高,也根本没有做高标准保护的内在动力。对于这些企业而言,当保护标准设置得过高而足以影响企业正常运作时,企业对个人信息的保护很可能流于形式,换言之,盲目追求高保护标准将导致个人信息保护的目标落空,甚至会引发针对企业的趋利性执法司法行为,导致个人信息保护成为“远洋捕捞”行为的“护身符”。[18]
二、民行刑一体化:数字经济时代个人信息保护的范式转型
数字经济时代的《个人信息保护法》属于统筹个人信息权利(民法)、个人信息国家保护义务(行政法)以及涉个人信息犯罪(刑法)的领域立法,可以借此消除个人信息保护立法的碎片化趋势,[19]而由于民行刑之间具有内在一致性,因此一个侵犯公民个人信息的行为很有可能同时受到民法、行政法及刑法“三法”的否定性评价。这决定了数字经济时代的个人信息保护,本质上是一种民行刑一体化模式,而不能分割化处理。推进个人信息保护从刑事向行政及民事延伸、从事后向事前拓展,必须突破“一法一部门”的部门法分立格局,对个人信息保护立法进行一体化整合,并尊重各部门法构建的差序保护格局。
(一)以何为“规”:个人信息保护规范的民行刑一体化整合
长期以来,许多企业在管理个人信息过程中存在违法涉罪的现象,为了避免“办理一个案件,毁掉一个企业”,需要尽快完善个人信息保护制度督促企业合法经营管理。在内外双重压力下,快速立法成为个人信息保护改革推进的首选方案,然而,快速立法是在立法规范较为欠缺时期的权宜之计,这种模式可能过于追求立法效率而在一定程度上牺牲了立法质量,同时在方法论上延续的仍然是传统的部门法分立模式,实际上并不适合当前的数字经济语境。
当部门法分立形成“惯性”之后,立法者针对某种事项首先考虑的是其归属于何种法律部门。由于个人信息保护具有鲜明的跨部门法特征,立法者有意识地在该领域分解归类出了三个法律部门,即民事归民事、行政归行政、刑事归刑事。然而,不同部门法确立的个人信息保护标准并不完全一致,这种“各自为政”的状况进一步耗损了法的规范功能。民事保护主要考虑个人信息权益保护,一般采取知情同意规则,在涉及平台治理的场合甚至采取更高标准的“三重授权”原则。[20]行政保护强调根据个人信息保护法、数据安全法和网络安全法等规定,有关主体遵守个人信息处理的禁止性规范与义务性规范。[21]刑事保护侧重对个人信息匿名性的保护,它确立的标准既不同于民法的私权保护,又不同于行政法的秩序管制,而是兼有两者特征,因而在很多情况下,个人信息的刑事保护标准可能跳出了知情同意规则,往往以获取个人信息的行为是否具有侵入性作为治理与否的判断依据。事实上,当前个人信息保护立法难以做到法秩序统一性所要求的“协调的并且规范的价值标准所组成的有序的规范结构”[22],因此表象的立法繁荣似乎意味着个人信息保护“有法可依”“有规可循”,但在司法实践中并非如此。值得注意的是,法律规范的重复与冲突增加了理解与适用的难度,现有的关于个人信息保护的“条款已经制定出来,但并未有效传达该条款原本打算适用的对象”[23],个人信息处理者难以提炼出个人信息保护统一标准,即使遵循个人信息保护法及相关规范也可能存在管理“漏洞”而违法涉罪。例如,行为人向有简历购买资质的一方出售求职者简历,也可能由于不合法而被认定为侵犯公民个人信息罪。[24]简言之,这种法律规范上的不确定性削弱了刑法的威慑力,并让公众在处理个人信息时陷入“无法可依”的尴尬处境,而这实际上并不利于对个人信息的深度处理。
在数字经济时代,为了有效构建个人信息保护体系,可以从较为成熟的刑事保护视角归纳提炼基本思路。个人信息刑事保护主要是为了预防两类犯罪:一类是以个人信息为直接保护法益的核心犯罪,即《刑法》第253条之一侵犯公民个人信息罪;另一类是围绕在个人信息法益周边的外围犯罪,主要是间接侵犯个人信息法益的相关网络犯罪,包括帮助信息网络犯罪活动罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、非法利用信息网络罪等。个人信息刑事保护的主要目的是预防企业实施以上两类犯罪,或者在企业实施以上两类犯罪时,司法机关允许涉案企业通过整改及时补救。然而,由于侵犯公民个人信息罪兼具自然犯与法定犯的特性,它的设立一方面是为了保护私法上的个人信息权益,另一方面则是为了维护国家个人信息共享利用的管理秩序。同时,帮助信息网络犯罪活动罪等外围犯罪又以网络安全管理秩序为保护法益。因此,相关企业开展个人信息刑事保护预防以上犯罪的,必然也要预防侵犯个人信息权益的民事侵权行为以及违反有关国家规定的行政违法行为,做好民事保护与行政保护。在此意义上说,个人信息的刑事保护与民事保护、行政保护是一体化的,那么相应的不同领域的法律规范也应该具有内在衔接性。
为了防控个人信息保护风险,应从根本上通过运用民行刑等手段,集末端处理与前端治理于一体,从根本上促进个人信息保护的诉源治理。为此,应推动个人信息保护从刑事向行政及民事拓展,首要任务是对个人信息保护立法进行民行刑一体化整合。事实上,现代法律体系中“一法一部门”的部门法分立格局已经在很大程度上被另一种模式替代,民法也好,行政法也罢,不再局限于单纯的私法或公法领域,不仅私法与公法之间有相互融合趋势,[25]公法内部的行政法与刑法之间的联系也越发紧密,一部法律中可能同时涵盖民事、行政与刑事法律规范。按照国家最新的法律部门分类,个人信息保护法被归入经济法范畴,而经济法正是公私法融合最普遍、最深刻的法律部门,其中同时存在“私法公法化”和“公法私法化”现象。[26]具体而言,《个人信息保护法》第13条至第27条反复强调处理个人信息需要经过个人同意,体现了自由自治的私法理念;该法第60条至第65条规定了个人信息的国家保护义务,意在加强对个人信息流通共享的行政管理,第71条还规定了“违反本法规定……构成犯罪的,依法追究刑事责任”,与《刑法》中的侵犯公民个人信息罪及其他关联犯罪相呼应。由此来看,《个人信息保护法》中兼有民事、行政与刑事规范,具有较为鲜明的民行刑一体化特性。当然,对《个人信息保护法》进行民行刑一体化整合只是第一步,现阶段的重要任务是以《个人信息保护法》为核心与范本,对散在分布于民事、行政及刑事规范中的内容进行更加精细的二次整合。
(二)何以“守”规:个人信息保护从刑事向民事、行政拓展的法治逻辑
个人信息保护有预防和补救两大核心功能。一方面是面向未来的预防功能,即依法建立个人信息保护体系的企业,能够有效预防企业及其内部人员实施侵犯个人信息的违法犯罪。另一方面是面向过去的补救功能,即如果企业已经建立有效的管理机制仍然无法避免侵犯个人信息的违法犯罪发生,则对涉案企业可以进行减轻或免除责任,或者企业由于自身管理漏洞而涉嫌侵犯个人信息的违法犯罪,可以根据情况允许涉案企业进行整改,视整改效果确定具体处理方案。从实质上说,企业建立个人信息保护体系的最终目的在于形成一套实质上能够预防侵犯个人信息的违法犯罪的有效机制,及时发现和消除轻微的违规违法行为,建立守法依规的企业价值观念。
我国正处于全面推进企业改革的关键阶段,许多企业由于历史原因未能建立有效预防违法犯罪的常态化防范机制,因此,不少企业系被动开展个人信息保护。在很多案件中,个人信息的刑事保护与民事保护、行政保护是紧密联结在一起的,需要在保护过程中首先进行犯罪原因的诊断与风险堵截,然后展开涉案企业与人员的依法处置,最后进行风险防范长效机制的建立与运行,不仅需要事后“补救型”的刑事保护,也需要事前“预防型”的民事保护与行政保护。鉴于此,对三种保护进行一体化分析,未来个人信息保护的重心应当是“补救型”的刑事保护与“预防型”的民事保护、行政保护的共同协力,这也是企业数据与个人信息保护从刑事向行政及民事拓展的题中应有之义。
从法理逻辑来看,刑事保护其实是一种“底线保护”,因此,单纯的刑事保护不能有效预防轻微违法行为,轻微违法行为的长期累积仍然可能会引发刑事犯罪风险。因此,即使认为刑事保护能够预防犯罪,其预防功能也是极其有限的,需要民事保护与行政保护予以补充。目前理论界和实务界都强调企业信息保护“行刑衔接”的重要性,认为做好前端的行政保护预防行政违法行为,就能够避免企业因违法行为累积而陷入犯罪境地。由于企业所涉的犯罪绝大多数都是行政犯,从行政不法与刑事不法的梯度关系来看,做好行政保护确实能够在多数情况下实现企业犯罪的源头治理,对于预防犯罪具有积极的意义。然而,仅有行政保护和刑事保护可能并不能完全预防个人信息犯罪,根本原因在于,侵犯个人信息罪首要的保护法益是私法益即个人信息权益,虽然本罪以“违反国家有关规定”作为构成要件,具有行政犯的痕迹,但其在本质上仍然是自然犯。由于我国当前与个人信息有关的国家规定广泛存在,几乎只要行为人未经同意处理个人信息即满足“违反国家有关规定”的要件,因此,在侵犯公民个人信息罪中,几乎无法通过限缩“违反国家有关规定”这一行政犯要件来出罪。
以侵犯公民个人信息罪和出售、非法提供公民个人信息罪为关键词在中国裁判文书网进行检索,交叉检索判决结果为“无罪”的裁判文书,并没有检索到任何1例以不符合“违反国家有关规定”而出罪的判例,都是以行为人非法获取、非法出售或非法提供的信息并非刑法上的个人信息为理由出罪的。例如,“企业根据法律规定或为经营所需而公开的企业信息,即使包含了个人姓名、联系方式,亦不属于刑法意义上的公民个人信息”[27],“起诉书所涉33.5万条单纯手机号码的信息无法识别特定自然人身份或者反映特定自然人活动情况,不构成侵犯公民个人信息罪范畴内的公民个人信息”[28];等等。如此看来,是否“违反国家有关规定”这一行政犯要件,在预防侵犯公民个人信息罪中所起到的作用较小。与之相对,有关信息是否属于刑法意义上的个人信息这一要素,在侵犯公民个人信息罪的出罪实践中得到广泛运用。在此情况下,个人信息保护中行政监管的源头治理功能被大大削弱。此外,认定涉案企业是否构成侵犯公民个人信息罪,还需要回归到私法视角,判断有关信息是否为个人信息以及个人信息处理是否经过同意等。个人信息刑事保护所涉及的犯罪,在相关民事、行政法律中都有对应的规范,而且后者往往提出了更高的规范要求。换言之,个人信息保护中的民事、行政法规范不仅构成了刑事保护的内容,同时也弥补了刑事保护所难以实现的犯罪预防功能。在个人信息刑事保护中,无论是作为核心犯罪的侵犯公民个人信息罪,还是作为边缘犯罪的非法获取计算机信息系统数据罪、非法利用信息网络罪、拒不履行网络安全管理义务罪等罪名,其成立都以违反国家有关规定为前提,而这些国家规定主要是指相关行政法规范。此外,侵犯公民个人信息罪的保护法益中还包含了个人信息权这一私法益,因此构建有效的个人信息犯罪预防体系,需要民法与行政法协力提供规范保障。
事实上,在个人信息保护中强调民法保护与行政法保护“虽然本身并不能完全确保公司治理合法,但它作为一种补充机制,加强了道德价值观的影响,并创造了有利于公司治理的客观条件”[29]。企业可以在事前设置专门的法律监管机制,将民法、行政法中关于个人信息保护的规定转化为一系列行为准则,形成规范化处理个人信息的企业文化氛围,如此才能称之为有效的个人信息法律监管机制。退言之,尽管这一事前设置的法律监管机制不能预防所有的违法犯罪,但是它为最大化避免违法犯罪发生提供了有效方案,并且在企业有关人员涉罪之后,为卸除企业责任提供了依据,并在企业涉罪之后为争取宽大处理提供了可能。
域外立法对“预防型”的事前法律监管机制和“补救型”的事后法律监管机制进行了区分,并给予了不同的法律评价。在域外,事前制定的法律监管机制往往作为企业卸除刑事责任的重要依据。例如,英国在《2010年反贿赂法》第7条规定,如果商业组织能够证明其已经制定了充分程序来预防贿赂犯罪,防止与其有关联的人员实施贿赂行为,则该商业组织不构成预防行贿失职罪。与之相对,企业事前没有预先设置法律监管机制或者事前的法律监管机制失效的,在案件发生之后进行事后补救的,通常并不能免除刑事责任而仅能作为量刑的考量因素。为了实现事前法律监管机制的犯罪预防功能,企业通常不仅需要遵守刑事法律,还要遵守与之关联的民事、经济及行政法和相关政策规定等,甚至需要符合企业商业伦理等“软法”的价值理念,才能被视为有效的法律监管机制。
从制度现实角度分析,法律监管机制都是随着立法、政策及有关规范的变化不断处于动态调整之中,在各种规范中,刑法以稳定自居而相对变动较小,但刑法不变并不意味着法律监管机制的标准就不会变动。作为刑法前置法的行政法往往处于动态变化中,随着社会经济发展和立法技术条件成熟,诸如《中华人民共和国道路交通安全法》、《中华人民共和国食品安全法》(以下简称《食品安全法》)、《个人信息保护法》等部门行政管理法规范才逐步形成,各项法律标准走向系统化,[30]而这则会影响刑法的监管模式。例如,《个人信息保护法》将生物识别信息作为敏感个人信息,使得一些过去不作为犯罪处理的如无感抓拍、深度伪造等行为,可能随之进入刑法视野,成为刑事治理的对象。更何况,有效的法律监管机制其实都强调源头治理,其以预防较为轻微的民事违法和行政违法为基本目标。为了实现这一目标,必须确保监管过程中包含对涉案企业的有效制裁功能,对于最终不予起诉的涉案企业不能仅一改了之,而应当做好反向的民刑衔接、行刑衔接,[31]要求侵犯个人信息权益、违反个人信息保护义务的企业依法承担相应的民事、行政责任。
三、面向数字经济时代个人信息保护的民行刑一体化构建路径
个人信息保护机制跨越了多个部门法,其有效构建需要民事、行政与刑事立法的共同协力,因此要清理整合现行法中与个人信息保护法存在竞合的立法,修正完善个人信息保护中刑事立法漏洞,以形成个人信息的核心层、中间层与外围层的差序保护格局,促进个人信息有序共享。
(一)基于民行刑一体化的个人信息保护立法修正
党的二十大报告指出,要“加强重点领域、新兴领域、涉外领域立法,统筹推进国内法治和涉外法治,以良法促进发展、保障善治”[32],数字经济时代的个人信息保护涉及国家重点领域、新兴领域,应当贯彻领域法治思维,而领域法治要求对法规范进行民行刑一体化整合,以弥补部门法分立的缺陷。我国当前有关个人信息保护立法存在明显的碎片化问题,不同部门法之间衔接断层,为了构建有效的个人信息保护机制,首先需要对现有的个人信息保护立法进行必要统合。在民行刑一体化框架下对个人信息保护的相关规范进行整合,宜以《个人信息保护法》为参照调整相关的法律规范。这种修正思路在近期相关立法调整中得到了实践,2025年10月28日,第十四届全国人民代表大会常务委员会第十八次会议通过《关于修改〈中华人民共和国网络安全法〉的决定》,对《中华人民共和国网络安全法》(以下简称《网络安全法》)中侵犯个人信息行为的行政责任对照《个人信息保护法》作出调整。《网络安全法》第64条原本规定,违反本法有关规定,“窃取或者以其他非法方法获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的”,给予相应的行政处罚。由于《个人信息保护法》2021年11月1日实施之后,《网络安全法》中该条规定的行政处罚与《个人信息保护法》的有关规定不完全一致,鉴于此,修订将之改为转致性规定,即“窃取或者以其他非法方法获取、非法出售或者非法向他人提供个人信息”的行为,“依照有关法律、行政法规的规定处罚”。这一修改在个人信息保护法框架内统一了窃取或者以其他非法方法获取、非法出售或者非法向他人提供个人信息等违法行为的行政处罚模式。
基于民行刑一体化逻辑确立个人信息保护机制,需要对当前相关立法进行必要的修正完善。一是对碎片化的立法进行必要的清理和整合,减少法律规范的重复和同一部门法内部的冲突。在复杂的法律系统中,部分子系统的法律冲突与矛盾的情形普遍存在,需要发挥法律系统内部共通性的核心概念的协调机能,保证法律制度的统一落实。[33]二是对在先通过的刑法进行修改,弥补刑事立法先行所导致的刑法与个人信息保护法衔接错位。刑法的稳定性相对重要,但为了与新兴领域的立法制度相协调,也需要进行适当调整,以维护法秩序的统一。
1.民行刑一体化逻辑下清理与整合碎片化立法
在个人信息保护法颁布实施之前,我国通过了大量涉及个人信息保护的规范,包括最近修改的《网络安全法》,这些规范在专门立法欠缺时共同发挥着规范与保护个人信息及其处理活动的重要作用。从立法演进来看,这些散在分布的立法在保护个人信息方面具有鲜明的过渡性和试验性。这里的过渡性体现在,它们只是临时适用,随着《个人信息保护法》的颁布实施,《个人信息保护法》的适用将替代这类法规,导致后者在司法执法中将逐渐处于休眠状态。这里的试验性体现在,这些立法中很多规定还不成熟,彼此之间甚至存在冲突,一些先试先行的制度也逐渐在新法适用中被实质修改。例如,2013年我国首个个人信息保护国家标准《信息安全技术 公共及商用服务信息系统个人信息保护指南》实施,该指南将默许同意作为个人一般信息的处理规则,即“在个人信息主体无明确反对的情况下,认为个人信息主体同意”。显然,默许同意与《个人信息保护法》第13条的告知同意存在明显区别,该规则随着个人信息保护法的实施而在个人信息保护实践中被实质替代。
在数字经济时代,为了贯彻领域法治思维构建个人信息保护体系,确立个人信息保护的统一标准,则需要将与《个人信息保护法》相重复、抵触和无用的规范进行清理。个人信息保护是一个涉及民事、行政、刑事的综合领域,但它只是一个领域,容不下过多的规则。从个别规范到领域法的个人信息保护立法进路表明,领域法治模式所追求的民行刑一体化实质上是一项“立法减法”工作,而不是“立法加法”。自2003年我国着手部署个人信息保护立法工作以来,个人信息保护进入了加速立法时期,随着《个人信息保护法》的颁布实施,原本应当部署规范的整合、清理工作,然而加速立法趋势不仅没有停止,反而不断累积和增加规范。时至今日,个人信息保护立法似乎不再是一个领域,反而是一个无所不包、事无巨细的法律系统,凡是与个人信息有关的事项都可以进行立法。个人信息保护立法的复杂化,导致两个难以解决的问题:一是立法系统的复杂化使得大量宣示性规范进入法条之中,这些规范无法建立对个人信息法律监管机制的义务要求,缺乏作为法规范的实际价值;二是保护规则的扩张与保护“义务群”的形成,导致企业的信息保护制度难以符合立法设计的复杂标准。
党的二十大报告提出,“完善以宪法为核心的中国特色社会主义法律体系”要“统筹立改废释纂,增强立法系统性、整体性、协同性、时效性”。总体观察,当前个人信息保护立法在“立改释”层面都很发达,“纂”主要体现为将个人信息权在《民法典》中确立为民事权利,相对而言,“废”则始终未有实质推进。基于个人信息保护立法的系统性、整体性、协同性、时效性考量,应该及时调整与《个人信息保护法》相冲突的立法,并及时废除重复性立法。例如,对行政法规中涉及行政责任的条款,可以调整为转致性规定,即:行为违反有关个人信息保护规定的,“依照有关法律、行政法规的规定处罚”;再如,对与个人信息保护法大量重复的部门规章、地方规范性文件宜清理废除,避免个人信息保护立法体系过于冗杂而削弱实效性。
在数字经济时代,个人信息面临个体属性的削弱与社会属性的强化,因此个人信息保护既不能采取最严格的民事私权利保护标准,也不能采取刑事的底线保护标准,应当选择中间维度的保护标准,并以此构建信息保护的“义务群”。在信息保护“义务群”中,应当区分核心义务、其他义务与关联义务。第一,核心义务是可以同时诱发民事、行政、刑事所有责任的义务类型,其包含个人信息保护中最重要的义务,《个人信息保护法》第13条关于个人信息处理者的义务即为典型示例。第二,其他义务是指涉及更广泛的个人信息权利保护,但并未引发刑事责任的义务,如网络平台没有提供个人信息同意撤回的方式,可能引发民事纠纷与行政责任。第三,关联义务是指与合作方共同处理个人信息时应当遵循的义务,其构成了个人信息保护第三方关联责任的主体内容。
2.民行刑一体化逻辑下完善刑事立法推动衔接
企业建立个人信息保护体系,首要目的是切割刑事责任,而这需要以科学的个人信息保护刑事立法为基础。由于《刑法》率先将侵犯个人信息的行为犯罪化,在民法、个人信息保护法通过之后,难免与这些前置法存在脱节,《个人信息保护法》中着重规制的使用行为在《刑法》中没有得到规制,《个人信息保护法》中特别保护的敏感个人信息在《刑法》中也没有得到特别保护。为了确保个人信息保护立法的形式一致与实质统一,建议及时对《刑法》及相关司法解释作出相应的修改。
第一,《刑法》宜将非法使用个人信息行为犯罪化。《个人信息保护法》的74个条文中共有222处涉及个人信息的“处理”,因此,虽然该法以“保护法”为名,但是其本质上是“个人信息处理行为规制法”。事实上,使用是一种重要的个人信息处理方式,它是个人信息价值实现的过程,不合法的使用行为实质地侵犯了个人信息权益,并为立法所禁止。根据《个人信息保护法》第10条规定,任何组织、个人不得非法使用个人信息;第28条规定,敏感个人信息一旦被非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害,因此,规范使用行为是个人信息保护中的基础性义务。非法使用个人信息行为的社会危害性并不比非法提供和非法获取个人信息行为的社会危害性低,而且非法提供与非法获取行为的最终目的也都是非法使用,因此,基于民行刑衔接全面一体化保护公民个人信息的立场,可以考虑将非法使用个人信息行为犯罪化。但由于《刑法》并没有将与非法获取、非法出售、非法提供等危害性相当的非法使用行为犯罪化,导致刑法处罚的不周延。现有的侵犯公民个人信息罪在罪名文义上完全能够容纳非法使用个人信息的行为,《刑法》根据《个人信息保护法》的规定,在不增设新罪的情况下将非法使用个人信息的行为纳入侵犯公民个人信息罪,实现了立法的统一性。
第二,《刑法》应该增加生物识别、宗教信仰、儿童个人信息作为重要个人信息,并对此予以特别保护。《侵犯信息犯罪解释》制定于2017年,其参考依据主要是2016年的《网络安全法》及相关规范。但在2020年《中华人民共和国民法典》颁布之后,个人信息保护立法日新月异,一些新的制度被创新性构建,而一些旧的制度被修改替代,直到《个人信息保护法》出台后才趋于稳定。在此期间,理论与实务界围绕哪些信息属于需要特别保护的敏感个人信息展开了广泛争论。在《个人信息保护法》中,生物识别、宗教信仰、儿童个人信息均属于敏感个人信息范畴,而根据《侵犯信息犯罪解释》第5条规定,这些信息可能仅属于第三级别的“其他公民个人信息”。基于法秩序统一性原理,刑法的规定虽然未必需要与前置法即《个人信息保护法》完全保持一致,但是当刑法存在明显的规范漏洞时,前置法的规定将是保持刑法科学性的重要参考。为了保证分类分级的统一性与科学性,宜对《侵犯信息犯罪解释》作出修改,将以上三类个人信息规定在该解释的第一级别个人信息中加以保护。[34]
第三,《刑法》应当妥善修改侵犯公民个人信息罪的入罪标准。《侵犯信息犯罪解释》第5条规定了三种情形的量化标准作为侵犯公民个人信息罪“情节严重”的判断标准,分别是“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上”“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上”以及其他个人信息五千条以上。但是在数字经济时代,个人信息的利用成为与保护相并列的另一主题,海量个人信息的流通共享意味着这一数量标准极易达成,刑事立法陷入了“一违法即构罪”的尴尬境地。鉴于此,为了避免大规模的犯罪化,可以考虑在本罪中增加规定行政前置程序,即将违反有关国家规定并受到行政处罚作为前置程序,从而摆脱单纯数量标准带来的出罪困境。
总之,《个人信息保护法》实质是领域法,数字经济时代的个人信息保护体系既要反映数字化、信息化的时代特征,考虑个人信息的整体处理系统及其环境对应用与保护模式的影响,[35]避免单向度地从严把握保护标准而抑制个人信息数据要素的流通共享,也要贯彻领域法治的基本逻辑,对个人信息保护立法进行民行刑一体化整合,在立法层面廓清从刑事保护向民事保护、行政保护的可行路径。
(二)基于民行刑一体化的个人信息保护实践审查
《个人信息保护法》第五章规定了个人信息处理者的义务,包括制定内部管理制度和操作规程,采取加密、去标识化等安全技术措施等,其中最为关键的是对个人信息进行分类分级。在《个人信息保护法》中,个人信息分为敏感个人信息和一般个人信息,这种划分考虑到了不同个人信息中蕴含的个人属性成分差异,具有鲜明的私法色彩,用以指导个人信息保护标准建构,同时又打上了公法印记,对于行政保护与刑事保护的差异化构建具有基础性意义。此外,影响个人信息处理保护的另一重要因素是使用场景,在不同场景下同种个人信息的保护标准可能存在实质差异,场景完整性将为个人信息提供充分的法律保护,因此在特定场景下的法律规范需要对个人信息收集和传播进行调整,并促使企业遵守这类法律规范。[36]鉴于此,个人信息保护的民行刑一体化推进,需要在实践中确立个人信息敏感程度与使用场景双向度的审查标准。
1.立足敏感程度与适用场景双向度的审查标准
虽然《个人信息保护法》将个人信息分为敏感个人信息与一般个人信息,但是结合《民法典》关于隐私权的规定,敏感个人信息可能包含着深层次的个人隐私信息,这些信息是与私人生活安宁密切相关的私密信息。故在现有法律体系下,个人信息实际上分为三个层次,即个人隐私信息、敏感个人信息及一般个人信息,而不同层次信息对应的审查标准也会根据信息内涵与适用场景差异加以调整。
首先,对于个人隐私信息,需要采取最高的审查标准,要求“非授权同意禁止使用”且“一场景一授权”。个人信息与隐私并非对立关系,个人信息中最核心的部分属于隐私的范畴,因此,《民法典》1034条第3款规定,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。个人信息中的隐私信息与非隐私信息存在相互转化的空间,例如个人档案属于隐私范畴,而完整的档案包括姓名、电话号码、身份证号以及个人经历等信息,这些信息单独来看可能都并非隐私的个人信息。对于属于隐私范畴的个人信息,由于其具有强烈的人格属性,原则上也应当严格限制流通。[37]原因在于,个人隐私信息具有高度的人格属性,其受到私法更加严格的保护,相应地其流通共享应当受到更高的私法限制。基于私法与公法的规范关联,在刑法中个人隐私信息也要受到更全面的保护。具言之,侵犯个人隐私信息除了涉嫌侵犯公民个人信息罪和帮助信息网络犯罪活动罪、非法利用信息网络罪等罪之外,还非常容易触犯侮辱罪、诽谤罪等关联性罪名,如果对个人隐私信息保护不设立最高的保护标准,便可能存在制度性漏洞。因此,除了《个人信息保护法》第13条规定的情形以外,其他任何场景处理个人隐私信息都应当经过个人信息主体授权同意,而且应当遵循“一场景一授权”的原则,超出授权场景的个人隐私信息处理行为即为违规甚至违法。
其次,对于个人隐私信息以外的敏感个人信息,原则上需告知同意,但两种特殊场景下应采取特殊的保护标准。这两种特殊场景下的保护标准,一是对敏感个人信息存在特别政策规定的,需要将该政策纳入保护考量范围。根据《个人信息保护法》第28条规定,不满十四周岁未成年人的个人信息均属于敏感个人信息。立法作此规定,是基于对儿童个人信息的特别保护,有其特殊的政策考量因素,因此在处理儿童个人信息的过程中必须遵循这一保护标准。例如有判决认为,处理儿童个人信息需要制定《儿童个人信息/隐私保护政策》和《儿童个人用户协议》,建立专门的儿童个人信息保护池,采取加密存储措施,并且只有在儿童监护人单独授权同意的情况下,才能够基于自动化决策算法将含有儿童用户个人信息的短视频向其他用户进行推送,否则视为违法。[38]二是具有社会相当性的敏感个人信息处理行为,即使没有取得明确同意,一般也不认定为违法行为。以生物识别信息为例,生物识别信息属于敏感个人信息范畴,但是在特定场景下,未经告知同意处理个人信息的行为已经为社会秩序所接受,此时该行为因具备社会相当性而阻却违法。例如,短视频拍摄者创作时不可避免地会拍摄到他人的人脸,在上传至短视频平台通常也并未做匿名化处理,考虑到这些人脸识别信息的获取和使用不可能取得个人信息主体同意,因此如果不考虑具体场景,这类行为必然涉嫌违法乃至犯罪,可能会在刑法没有修改的情况下造成大规模的犯罪化,变相限制了个人信息的流通共享。法律应当适当容忍这种没有违背公序良俗的行为,作为一般规则的例外补充。
最后,一般个人信息具有极低的可识别性或不具有独立的可识别性,其处理标准较低,一般适用推定同意规则。有学者称这类个人信息为间接个人信息,“与直接个人信息相比,间接个人信息并非不具备可识别性,而是不具有直接识别的可能性。某种单个信息可能不能识别特定自然人身份及其活动情况,将不同信息组合起来就具有可识别性”[39]。例如个人浏览网页时产生的浏览记录、发表评论等,系个人活动产生的有关信息。一般个人信息通常并不触及个人信息主体利益,也不会损害公共利益,其定位更接近于“数据”,侧重于共享而非特别保护,只要个人信息主体没有明确反对或者存在法律法规规定的禁止性情形,即可推定经过同意或者采取“概括性授权”策略。
2.构建基于(大型)互联网平台责任为重心的保护体系
个人信息以保护性为底色,以保护性立法为依据。回顾立法演进,不论是民法、行政法还是刑法,在个人信息的保护性上都有加强趋势。保护性的性质决定了个人信息主体之外的人员、组织处理个人信息,除了必须履行法定义务外,其不再具有类似“责任避风港”的责任排除空间。2013年7月工信部出台的《电信和互联网用户个人信息保护规定》充分揭示了这种转变,该部门规章仅保留了个人信息合法处理唯一的“责任避风港”,即取得个人信息主体同意,原则上未经个人信息主体同意处理个人信息的行为均为非法行为。不仅如此,该规章重点对电信业务经营者、互联网信息服务提供者设置了大量的义务性规范,其第5条规定网络服务提供者“收集、使用用户个人信息,应当遵循合法、正当、必要的原则”,而且设专章规定网络服务提供者应当做好防止用户个人信息泄露、毁损、篡改或者丢失的“安全保障措施”,在个人信息泄露、毁损、丢失后应当采取补救措施,以及在造成或可能造成严重后果的情形下有义务配合有关部门调查。这种围绕“安全保障义务”确立的个人信息保护标准,在之后的立法规范如《网络安全法》《网络预约出租汽车经营服务管理暂行办法》等中得以延续和强化。
事实上,个人信息保护从设置“责任避风港”到承担“安全保障义务”的转变,系基于网络服务提供者与个人信息主体之间的关系变动而进行的权利义务调整。随着互联网从Web1.0发展到Web2.0时代,网络服务提供者已经从单纯提供技术和通道支持、不干涉内容和权利保护措施的中立性角色,转变为提供高度交互性、社会性内容的新角色。网络服务提供者积极参与制定网络空间交往规则而成为事实上的“内容框架提供者”,[40]除了为网络用户提供接入、缓存、存储等工具服务之外,还参与内容的形成过程、制定交互规则,因而需要主动承担起对隐私、个人信息等承载私权利的要素进行审查和保护的注意义务。据此,网络服务提供者应当“保障个人信息数据足够的安全性,以避免遭遇网络安全攻击和个人信息数据的滥用给用户造成损失,否则网络服务提供商将要承担法律责任”[41]。
从本质上说,互联网平台是从网络服务提供者进化而来的,它是一种特殊类型的网络服务提供者,既提供基础服务又制定活动规则。[42]互联网平台在其版图扩张过程中通过集聚海量数据而获取竞争优势,这种数据优势赋予了其数字经济基础设施的独特地位,成为数字经济发展的组织中心,负责组织协调各方参与者的利益分配,资源聚集性与高度支配力是当下互联网平台的突出特征。[43]
为了抑制互联网平台本能的垄断和扩张倾向,公共部门下意识地寄希望于以“强监管”规范平台的运行过程,于是大量依“强监管”逻辑制定的法律法规应运而生。比如《网络预约出租汽车经营服务管理暂行办法》《互联网广告管理暂行办法》以及新修订的《中华人民共和国广告法》《食品安全法》等都以强化平台问责、规范平台运行的“强监管”为立法趋势,这些立法“多以禁止性规定为主,单方面强化了平台义务”[44]。“强监管”的目的在于纠正市场外部性、信息不对称等不公平问题,促进互联网平台中的公平竞争与资源优化配置,“具备强制规范性、刚性执法与普遍性约束的鲜明特征”[45]。事实上,“强监管”涵括了平台的事前准入、事中审查与事后追责的全流程,在互联网平台初生的“制度空白期”与新技术新业态扩张的“野蛮生长期”具有明确平台运行法度与纠正失范行为的约束功能。然而,“强监管”模式只是立法与制度不成熟时期的权宜之计,其在规范与制度安排上存在两个难以克服的缺陷:其一是互联网平台被动地配合监管部门履行职责,双方难以达成合作治理的良性关系,而互联网平台的技术壁垒与信息壁垒又使得监管力量难以深入渗透平台运行,难以避免产生监管盲区。其二是“强监管”设置了过高的合法运行标准,互联网平台承担更多的责任而少有合法活动空间,变相抑制了互联网平台的创新力,与当下促进数字经济发展的政策目标存在违和之处。总之,“强监管”模式过度依赖单一的政府监管职能,未能洞悉互联网平台的复杂性特质与监管主体的多元性,难以保障“平台善治”。
在数字经济时代,互联网平台天然是最好的监管者。互联网平台制定运行规则,因此没有哪个主体比平台更了解自身的运行规则;其虽然属于私人组织的范畴,但具有超越传统私人组织的公共服务属性,因此负有保障公共服务质量的内在义务。实践证明,平台治理的最佳模式是走向协同监管,并通过协同监管为数字平台参与全球数字经济竞争提供法律保障。[46]2022年12月19日,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》强调,要发挥互联网平台的带动作用,“形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构”。在这种模式下,平台既是被监管者,作为市场参与者必须遵守有关法律法规,不得滥用其数据资源、信息和用户等集聚优势;又是监管者,它组织建构了小型的“公共市场”,充当着“类政府”的角色,因而有义务为维护平台的市场秩序与公共利益采取监管行动。[47]在这种双重角色导向下,互联网平台“既是裁判者又是参与者”的“守门人”义务得以生成。[48]
在此基础上,如何赋予个人信息主体“真实”的自决权,是数字经济时代(大型)互联网平台义务配置的关键问题。《个人信息保护合规审计管理办法》第26条对重要互联网平台设置了相应的审查与监管义务,其中重点包括“平台规则是否与法律、行政法规相抵触”“平台规则个人信息保护条款的有效性”以及“平台规则的执行情况”,同时也要审查独立监督机构履职情况,从而对平台实现全方位的法律监管。鉴于数字经济发展以极其隐秘的方式剥夺了个人信息主体对其个人信息自决权的大部分,因此互联网平台需要在运行过程中积极落实上述个人信息保护的规定,增强监管义务规范的可执行性,作为“守门人”的平台应该基于实际需求而合理地设置个人信息数据集,并在获取个人信息前取得用户“真实”的同意。因此,通过赋予用户“真实”的自决权以约束互联网平台的权力,并配套规定与互联网平台违规行为相称的法律责任条款,是个人信息保护民行刑一体化推进中的重点内容。
四、结语
为了跨越个人信息保护体系的“立法鸿沟”,我国大约从2009年开始进入了立法的快车道,立法数量的快速增长似乎是为了迎接个人信息保护制度化、体系化的到来。然而,在个人信息保护立法发达的背后,更应当看到前数字经济时代与数字经济时代立法并存对个人信息保护机制建构的潜在威胁,立法的断层使得个人信息保护陷入“有规难依”“有法难循”的尴尬境地。法的“立改释”易、“废”及相关清理整合难,这是因为跨越部门法的整合必然涉及某个部门法或多个部门法的妥协让步,而这正是部门法分立逻辑下各部门法相互竞争的当然结果。在加强个人信息保护的背景下,跳出部门法分立逻辑走向民行刑一体化,据以整合民事、行政与刑事立法并指导个人信息保护机制构建,可勾勒出个人信息领域从事后向事前、从刑事向行政及民事拓展的有效路径。
【作者简介】
刘艳红,中国政法大学刑事司法学院教授,法学博士。
【注释】
[1]申卫星:《数字权利体系再造:迈向隐私、信息与数据的差序格局》,载《政法论坛》2022年第3期,第91页。
[2]See Yu Xiaolan&Zhao Yun,“Dualism in Data Protection:Balancing the Right to Personal Data and the Data Property Right”,35 Computer Law&Security Review1,1-2(2019)。
[3]以“个人信息”为检索词在北大法宝数据库中进行全文检索可得到上述数据,数据统计截至2025年10月8日。
[4]参见江苏省南京市中级人民法院(2014)宁民终字第5028号民事判决书。
[5]参见江苏省苏州市姑苏区人民法院(2022)苏0508民初5316号民事判决书。
[6]参见江苏省苏州市中级人民法院(2019)苏05民终4745号民事判决书。
[7]参见夏伟:《个人信息嵌套保护模式的提出与构造》,载《中国政法大学学报》2021年第5期,第238—239页。
[8]参见张新宝:《论个人信息保护请求权的行使》,载《政法论坛》2023年第2期,第26页。
[9]全国人大常委会法制工作委员会刑法室:《中华人民共和国刑法条文说明、立法理由及相关规定》,北京大学出版社2009年版,第518页。
[10]参见刘艳红:《民刑共治:中国式现代犯罪治理新模式》,载《中国法学》2022年第6期,第41—45页。
[11]参见北京市第四中级人民法院(2021)京04民终71号民事判决书。
[12]参见浙江省台州市中级人民法院(2019)浙10刑终458号刑事判决书。
[13]参见张明楷:《刑法的基本立场》(修订本),商务印书馆2019年版,第140页。
[14]Oleg Gennadievich Danilyan et al.,“Personal Information Right and Freedoms Within the Modern Society”,51 Informatologia24,29(2018)。
[15]参见上海市奉贤区(县)人民法院(2021)沪0120刑初828号刑事判决书,本案同时为最高人民法院192号指导性案例。
[16]参见刘艳红:《犯罪圈均衡化与刑罚轻缓化:轻罪时代我国刑事立法发展方向》,载《中国刑事法杂志》2024年第1期,第17页。
[17]参见北京市海淀区人民法院(2017)京0108刑初2384号刑事判决书。
[18]参见刘艳红:《以有利于被告解释对抗趋利性司法和执法》,载《中国刑事法杂志》2025年第1期,第55页。
[19]参见周佑勇:《从部门立法到领域立法:数字时代国家立法新趋势》,载《现代法学》2024年第5期,第1页。
[20]参见程啸:《个人数据授权机制的民法阐释》,载《政法论坛》2023年第6期,第77—89页。
[21]参见周佑勇:《企业行政合规的制度定位及其构建路径》,载《比较法研究》2024年第3期,第1—18页。
[22][德]伯恩·魏德仕:《法理学》,丁晓春、吴越译,法律出版社2013年版,第316页。
[23][英]杰米里·边沁:《论道德与立法的原则》,程立显、宇文利译,陕西人民出版社2009年版,第132页。
[24]参见北京市第三中级人民法院(2019)京03刑终800号刑事判决书。
[25]参见刘艳红:《网络暴力治理的法治化转型及立法体系建构》,载《法学研究》2023年第5期,第90—91页。
[26]参见吕忠梅、廖华:《论社会利益及其法律调控——对经济法基础的再认识》,载《郑州大学学报(哲学社会科学版)》2003年第1期,第83—90页。
[27]浙江省台州市中级人民法院(2019)浙10刑终458号刑事判决书。
[28]福建省永泰县人民法院(2019)闽0125刑初44号刑事判决书。
[29]Maria Fotaki et al.,“Ethos is Destiny:Organizational Values and Compliance in Corporate Governance”,166 Journal of Business Ethics19,23-24(2019)。
[30]参见周佑勇:《中国行政基本法典的精神气质》,载《政法论坛》2022年第3期,第64页。
[31]参见刘艳红:《实质法益保护理念下行政犯行刑反向衔接机制的展开》,载《中国法学》2025年第2期,第264—283页。
[32]习近平:《高举中国特色社会主义伟大旗帜 为全面建设社会主义现代化国家而团结奋斗——在中国共产党第二十次全国代表大会上的报告》,载《人民日报》2022年10月26日第1版。
[33]参见周佑勇:《中国行政法学学术体系的构造》,载《中国社会科学》2022年第5期,第117—118页。
[34]参见李川、杨胜刚:《法益重塑与模式更新:场景化视域下个人信息刑法保护的动态转向》,载《广西大学学报(哲学社会科学版)》2023年第6期,第115页。
[35]参见[德]拉尔夫·波歇尔:《数据保护权是一项权利吗——基于欧盟和美国的考察》,周遵友、余云霞译,载《苏州大学学报(法学版)》2024年第2期,第153页。
[36]See Helen Nissenbaum“,Privacy as Contextual Integrity”,79 Washington Law Review119,119(2004)。
[37]参见顾理平:《面子里的人格尊严:智媒时代公民的隐私保护》,载《南京师大学报(社会科学版)》2022年第4期,第131—135页。
[38]参见杭州互联网法院(2020)浙0192民初10993号民事判决书。
[39]张勇:《敏感个人信息的公私法一体化保护》,载《东方法学》2022年第1期,第67页。
[40]See Kaya Mehmet Bedii1,“The Regulation of Internet Intermediaries under Turkish Law:Is There a Delicate Balance between Rights and Obligations?”,32 Computer Law&Security Review759,759-763(2016)。
[41]Ni Ketut Supasti Dharmawan et al.“Personal Data Protection and Liability of Internet Service Provider:A Comparative Approach”,9 International Journal of Electrical and Computer Engineering3175,3175(2019)。
[42]参见褚婧一:《“用户—平台”关系中告知同意规则修正的路径选择》,载《苏州大学学报(法学版)》2023年第2期,第62—63页。
[43]参见门中敬、李瑾:《数据安全风险的社会自我规制及其合宪性控制》,载《法学论坛》2024年第2期,第82页。
[44]赵轩:《互联网平台监管模式的转变——基于法经济分析方法的立法透视》,载陈金钊、谢晖主编:《法律方法》(第22卷),中国法制出版社2017年版,第390页。
[45]杨学敏等:《互联网平台协同监管模式构建:从单一化到整体性——基于复杂适应性系统理论》,载《电子政务》2023年第3期,第20页。
[46]参见刘艳红:《网络犯罪向数字犯罪的迭代升级与刑事法应对》,载《比较法研究》2025年第1期,第11—13页。
[47]See Joseph Farrell,“Integration and Independent Innovation on A Network”,93 American Economic Review420,420-424(2003)。
[48]参见杨志琼:《搜索引擎处理个人信息的法律风险及其应对》,载《法学论坛》2023年第6期,第53页。
