论敏感信息二元同意规则的刑法构造
《个人信息保护法》与《民法典》都针对个人信息的“同意”做出了规定,如《民法典》第1033条、1035条及《个人信息保护法》第13条,两者都指出得“同意”后处理个人信息的行为方为合法行为。民事领域信息主体的知情同意原则构成了信息利用行为的正当性根据。不过,知情同意原则的应用范畴是否包含任何个人信息,其是存在疑问的。毕竟,个人信息有一般个人信息与敏感个人信息区分,法律规范对于这两种信息的保护态度也不同。例如,《个人信息保护法》中针对一般个人信息与敏感个人信息保护的规定就不同,相比较来说其对个人敏感信息的处理规则要更为严格。而且,学界对于一般个人信息与敏感个人信息的保护态度也不相同,一致主张应强化对敏感个人信息的保护。因此,这就决定了对于个人信息同意规则的构造也应当贯彻区分原则,尤其是对敏感个人信息的同意更应当严格把握。也即是说,一般个人信息的处理与敏感个人信息的处理在同意规则的适用上有所区分,其应当进行类型化的区分适用[1]76。
本文继续沿用个人信息二元分类模式的思路,主张在敏感个人信息内部建构敏感信息刑法同意的二元规则体系。《个人信息保护法》第32条为敏感信息的处理放开了限制,这就为同意规则在刑法领域的构造提供了根据。即该条体现出法律、行政法规对处理敏感个人信息有其他规则、限制的,依照其规定。并且,在刑法领域内建构个人信息同意规则也是健全个人信息规范保护体系的必经之路。
敏感信息二元同意规则建构的首要任务是论证这一规则构造的可行性及必要性,也即是从理论根据与现实必要两个角度展开对二元同意规则成立基础条件的探讨。
(一)二元同意规则的理论根据
二元同意规则的理论根据也即是该规则构造的内在品质,这一内在品质来源于刑法中的被害人同意理论。民事领域内的知情同意原则进入到刑法教义学内部后,又可称之为被害人同意理论。这两者具备相同的法理构造,即二者都主张“同意”作为行为正当化的关键条件。而且,两种理论都强调要考察主体的态度对行为的影响和评价,主体的肯定性态度甚至可以成为出罪事由使行为出罪。于是,在刑法内部探讨个人信息保护“同意”规则的适用问题,就需要借助被害人同意的相关理论。
被害人同意理论之所以能够在刑法中有着重要地位,源于其理论自身的优越性。该理论维持了权利行使自由与行为法律规制之间的动态平衡。在刑法内部,被害人同意视为被害人对自身法益处分的一种自由,国家不能无限制地干涉法益主体对于自身法益处分的自由。换言之,这种将自己对自身伤害都认定为犯罪的禁止并不科学,也无法令人接受[2]。不过,刑法中被害人同意的适用是有限制的,并非所有的行为一经同意都能够产生阻却违法的法律效果。因为被害人同意的主观任意性非常强,一概任其发挥也会破坏刑法的公信力及严肃性。因此,为了捍卫刑法的严肃形象,在刑法内部开始了对同意范围的划分工作。比如,在涉及到人身伤害的场合,就得以伤害的程度来判断同意的效力[3]313。还有学者指出对于非严重的人身伤害、常规的治疗以及法律许可的、合意的、具有人身伤害风险的行为一般承认同意的规范作用,比如:竞技体育运动、具有表演性的人身伤害等[4]129。此外,美国《模范刑法典》中也指出,对于伤害行为一般否定同意阻却违法的效力,但是也存在例外。由上可见,尽管理论界对于同意效力的具体划分范围存在争议,但对于被害人同意产生的法律效力都持肯定意见,这也就为敏感信息二元同意规则的构造提供了理论基础。
基于此,文章以被害人同意理论的基础构造为原型,在敏感信息内部建构敏感信息二元同意规则。本文通过将对一般伤害行为与重大伤害行为等情形的划分类比到一般敏感信息与高度敏感信息的分类中,通过对敏感信息敏感等级的划分来区分同意产生的规范效力。
除此之外,通过对被害人同意理论根据的探讨还能够为敏感信息二元同意规则理论根据的成立找到切入点。该理论之所以主张在敏感信息内部同意能够发挥阻却行为违法的作用,源于对被害人同意生效根据的借鉴。对于此,当下理论界一般主张以利益衡量说为根据,该学说主张利益主体放弃自身的法益是行使自由权利的体现,而这种人格自由权利本身也是一种法益,通过将这种人格自由权利与所放弃的权利相比较来认定同意的效力。这种衡量也是主体自由的一种体现,毕竟,法益主体对于自身的法益有决定如何处置的权利。比如,该说之所以认为得承诺的杀人也违法,就是考虑到人的生命法益在自由法益面前要更重要,故基于承诺的杀人不被允许。
利益衡量说为敏感信息二元同意规则的构造提供了法理基础,该学说主张的利益衡量符合信息时代信息的处理规则,即信息时代一方面要注重一般信息的利用价值属性,另一方面也要注重敏感信息的保护价值属性。事实上,法益主体的同意确实是法益主体自身利益衡量结果的一种体现,且这一体现在信息时代更为明显,尤其是考虑到信息利用价值和安全价值的动态平衡。但是,信息主体对于高度敏感信息的同意已经打破了这一平衡,即此时相对于信息收益价值来讲更应当注重的是对敏感信息安全价值的保护,因此才得以将对其同意的效力认定为无效。
(二)二元同意规则的现实必要
敏感信息二元同意规则的刑法构造存在现实必要性。首先,这是受《个人信息保护法》的启发,尤其是该法做出的对敏感信息保护的单独规定。该法一方面强调了个人信息的保护价值,另一方面也注重对个人信息利用价值的挖掘。具体到敏感个人信息内部来说,《个人信息保护法》对敏感信息的态度为兼顾敏感信息的利用与保护,当然更侧重于对敏感信息的保护,比如,该法在第二章第二节针对敏感信息的处理进行了专章规定。同时,其在第32条中也指出对敏感信息的保护可以由其他法律规范供给,即所谓的“法律对处理敏感信息做出其他限制的”当然可以指刑法规范对敏感信息同意问题的限制性规定。侵犯敏感个人信息的行为相比较一般行为所带来的后果更为严重[5]。而且,敏感个人信息因为高度关联人格尊严、人身以及财产安全,刑事立法等相关规定应加大对敏感个人信息的保护[6]。域外理论界也认识到保护敏感信息的重要性,因此尤其强调在未来实践做法中对信息去敏感性的处理以及保护[7]。
其次,刑法分则为敏感信息同意规则的刑法构造提供了根据。《刑法》第253条之一强调刑法应当保护公民的个人信息,这其中当然包括个人敏感信息,尤其是还要考虑到当下刑法体系中针对个人信息保护的规定单薄、体系不健全等缺陷,因此,刑法在这基础上强化对敏感信息的保护(即敏感信息同意规则的构造)有理有据。再者,敏感信息毕竟属于个人主体的信息,这就意味着其应当先以尊重信息主体的使用意愿为主,如若不考虑信息主体的意见,似有违背宪法规定之嫌疑,毕竟这也是个人处分自身权利之自由意志的体现。不过,倘若针对个人信息无限制的主张同意阻却违法,势必会破坏第253条之一的法律适用,甚至会使得其沦落为僵尸法条,也不利于对公民个人信息的刑法保护。因此,需要注意的是同意并非都能产生法律效果或该效果并非都是积极的,比如,针对盗窃行为被害人的事后态度并不会影响到对行为违法性的评价[8],故在刑法内部更有必要建构敏感信息的二元同意规则。
再次,这是贯彻刑法作为最后手段原则的必经之路。之所以采用二元的设立规则,是因为在前置法规中也存在针对敏感信息保护的规定,在刑法与其前置法针对同一对象都存在保护诉求的情况下,当然应先尊重前置法的态度。因此,对于一般敏感信息的处理,根据刑法最后手段的诉求应当以《个人信息保护法》《民法典》中的规定优先。而对于高度敏感信息则应当通过《个人信息保护法》第32条开放式的规定引渡到刑法规范中,这样能够合理地照顾到刑法与其他前置法的关系,也是按需分配的一种体现。
最后,同意规则的刑法构造也是为了实现与《个人信息保护法》责任规定上的衔接。同时,这更是为了回应宪法保护个人信息的要求,在个人信息保护上强化与其他部门法之间的互动,进而形成一套规范有效的体系[9]。《个人信息保护法》中详细规定了个人信息同意规则的适用情形,尤其是对敏感个人信息的处理更是单独做出了“同意”上的规定,而且还为其他法律的进入留置了空间。此时,倘若行为人违规处理个人信息,构成犯罪的,当然需要追究行为人的刑事责任。因此,刑法内部针对个人信息同意的适用就突显出重要意义,因为这直接影响到对行为的法律评价。假如在刑事规范中并不存在违反个人信息同意规则后果的禁止性规定,那么《个人信息保护法》中第71条的责任转换就无法完成,刑法也就失去了作为最后保障手段的作用。
综上来看,刑法内部构造敏感信息同意规则具备充足的现实必要性。而且,这一举措属于健全个人信息刑法保护的必经之路。同时,这还强化了信息时代公民个人对敏感信息保护价值重要性的认知。
敏感信息同意规则的刑法构造满足了基础条件后,接下来的任务应当是对该规则内部具体构造的探讨。这项工作的展开需要以厘清敏感信息的法益属性为前提,这也是被害人同意理论下利益衡量说的要求。而后,根据一般恐惧理论标准筛选出不同敏感等级的敏感个人信息,以此为基础得出针对高度敏感个人信息同意无效的结论。
(一)二元同意规则构造的前提
个人信息的法益属性影响到对同意范围以及效力的划分,即个人信息的法益属性影响到同意边界的划分。比如,倘若个人信息以财产属性为主,则相比较以隐私法益为主的个人信息在同意范围的认定上较为宽泛,毕竟通过利益衡量后可以得出人身法益的重要性要大于财产法益。因此,敏感信息同意规则的刑法构造首先要以界定个人信息的法益属性为必要前提。关于个人信息法益属性的探讨,学界主要纠结于其属于个人法益抑或是超个人法益。个人法益主要包括个人生活安宁权说、财产权说、隐私权说[10]以及个人信息权说[11];而超个人法益主要是有公共信息安全说、社会新型管理秩序说[12]。
在本文看来,关于个人信息法益的归属应当在个人法益属性中探讨。毕竟,从文义解释的角度看,个人信息属于公民个人的信息,信息的主体自然是公民个人。因此,无论如何也无法将其视为超个人法益。而且,《刑法》第253条之一所处的体系位置也主张其为个人的法益,即其位于“侵犯公民人身权利、民主权利罪”章节中,显然立法者的意思也是将其纳入到个人法益之下。此外,主张超个人法益中的公共信息安全说认为,当侵犯的公民个人信息达到一定数量进而给公共信息安全带来损害时,刑法才可以为其提供保护。该说存在的问题是,其将个人信息视为一种公共法益,模糊了公民个人法益和公共法益之间的界限,且彻底打开了公民个人信息的私人边界。实际上,这一学说体现了公法与私法之间是一种对立的关系,然而,公法与私法之间不应当是全然对立的关系,法律规范之间是相互联系的整体。
具体到个人法益属性中,关于个人信息法益属性的探讨各学说的观点也并不一致。个人生活安宁权说认为,侵犯个人信息的行为将会威胁到个人生活安宁,公民的个人信息一经泄露将会受到各种骚扰,进而影响到信息主体生活的安宁,故该说主张以行为是否侵犯到公民安宁为标准判断行为是否构成犯罪。但是,该说存在以下问题,即侵犯个人信息的行为达到什么样的程度时才会扰乱个人生活的安宁,换言之,该说没有为信息与安宁权的关联程度提供明确的认定标准。同时,该说在对侵犯个人信息行为入罪方面还存在障碍,因为,这种侵犯公民个人生活安宁的程度无法把握,个人生活安宁是否受到侵犯也因人而异,即其一般都是公民个人的主观判断。安宁权是一个口袋化的概念,对安宁的侵犯也只是形式上的表现,即对任何法益的侵害所表现出的现象,大都以安宁权的破坏为表征。例如,财产法益与人身法益受到侵害后,形式上也会表现为对财产安宁和人身安宁的破坏。因此,以安宁权来保护个人信息太过于笼统,似乎是违背了罪刑法定原则中的明确化诉求,最终难以做到此罪与彼罪之间的区分。
财产权说认为信息属于一种财产权益,其将信息视为一种可以买卖的财物,公民掌握的信息对其来说就是财产的象征。按照该说主张,对侵犯个人信息的行为应当以相关的财产犯罪来规制。该说存在的问题是,一则,个人信息是否符合侵犯财产罪中财物的特征,答案显然是否定的。作为法律上的财物应当具备稀缺性的特征[13],但是反观数据时代信息的数量并不符合财物稀缺性的这一关键性特征。二则,财产权说反而不利于对个人信息的保护,其存在违背平等原则的嫌疑。按照财产权说的逻辑,侵犯公民个人信息的行为应当以财产类犯罪进行保护,个人信息像物一样可以有偿转让和进行收益。这就意味着富人可以花钱买卖有关的个人信息,我们的生活时刻处在有钱人的监控之下。三则,若公民的个人信息可以作为财产,为何在继承等场合却不予承认,这就体现了该说的自相矛盾之处。
个人信息权说认为,公民个人依法享有对自己信息占有、使用、收益、处分以及排除妨害的权利。个人信息权产生于大数据时代背景下,但是,以个人信息权说作为刑法中的法益,却存在着如下的障碍。其一,这种个人信息权的权源缺乏根据。有学者主张个人信息权权利根据来源于宪法[14],该种主张主要是根据《宪法》第33条中“国家尊重和保障人权”推导出来的,认为公民的个人信息权属于人权的一种。但是,《宪法》第33条所指的人权只是一种宣示性的条款,并没有具体的内容[15],故将其作为推导根据不具备充足的说服力。其二,《个人信息保护法》中并未明确形成“个人信息权利”的概念,也仅仅只是提到“个人信息权益”这一概念,即便是在《民法典》中也未出现个人信息权利的概念,因此,个人信息权并不属于法律规范上的正式权利。
隐私权说主张个人信息背后寄托的是隐私权的法益属性,个人信息实际上就是个人隐私的一种体现。本文对此持赞成态度,理由主要如下。
其一,《个人信息保护法》以及《民法典》都认可了个人信息的法益属性为隐私权。《个人信息保护法》体现出与隐私权相同的法理,即有关个人信息的处理除在极少数例外情形下,其余都应当建立在告知信息主体与获得信息主体同意的情形下展开,并且在信息主体出现异议或者更改决定时,个人信息处理者应当及时进行配合。而一般情况下对于隐私权的保护亦是如此,一方面要尤其注重对隐私权主体态度的考察,另一方面还要十分配合隐私权主体的决定。尤其是该法第26条规定中指出的在公共场所采集个人信息的正当目的等限制情形,一般只有借助隐私权的权能才能发挥约束力。而且,《民法典》在体系安排上默认了个人信息背后是隐私权的主张,《民法典》第1034条中指出个人信息中的私密信息适用隐私权的规定,具体到刑法来讲,刑法所意欲保护的正是这一部分私密信息。因为寄托于隐私权的私密信息往往都是敏感信息,这种信息一经泄露便会侵犯信息主体的隐私,因此,隐私权说更符合大数据时代下个人信息保护的诉求。
其二,大数据时代下信息主体对信息的绝对自治权只有依托隐私权才能将其体现出来,即隐私权强调对个人隐私的绝对支配,并排除他人的干涉。而且,数据时代下对个人信息的侵犯背后往往都体现了对人格尊严的挑战,信息主体的这种隐私信息一旦被无关第三人知晓以后,将严重损害公民的人格尊严,而隐私权作为与人格尊严相关联的权利能够为其提供保护[16]。之所以为其提供法律上的保护,是因为这种信息的泄露导致将信息主体暴露在公共生活的视野下,然而信息主体只是想将该部分个人信息的公开与否控制在一定范围之内,故从其主观意愿来看隐私权说能满足其要求。
其三,隐私权说更符合个人信息的保护诉求。在早期司法实践中对个人信息的保护是借助隐私权的法理所展开的[17]。实际上,后续对个人信息的保护还是延续了这一做法,如《民法典》中隐私权与个人信息保护的体系位置就能证明这一点。其实,信息主体的个人信息遭到侵犯后,首先破坏的是信息主体的安宁权,而安宁权正是以隐私为根基的权利,即信息主体的安宁来源于对隐私的绝对保护和不受侵犯。“隐私”一词主要指的是为了防止个人免受他人的不当冒犯,保护个人免受第三人的打扰[18]。因此,对于破坏信息主体安宁的行为,隐私权更符合其本质诉求。综上所述,隐私权说在规制大数据时代下侵犯公民个人信息的行为上,更能提供全面的保护。
(二)二元同意规则构造的标准
敏感个人信息同意规则的构造还要考虑到个人信息的分类。个人信息的类型化构成了对同意规则边界划分的基础,即首先要区分何种信息属于敏感个人信息,而后才涉及到同意规则的适用。并且,个人信息的分类还会影响到对《刑法》第253条之一中“情节严重”等的判断[19]。也即是说,个人信息的分类会影响到信息内部对敏感信息的刑法保护。因此,这就要首先对个人信息进行分类界定。其实,在个人信息同意效力的规范构造上学界出现过分类探讨的主张,例如,有学者主张通过区分一般信息与敏感信息进而区别适用同意规则[1]76。针对个人信息的分类,本文也主张采用一般信息与敏感信息之二分法。《民法典》与《个人信息保护法》都采取了这一分类方法,比如《个人信息保护法》第二章第二节中针对敏感个人信息处理规则的规定就体现了部分信息可以被划分为敏感信息的分类方法。除此之外,《民法典》第1034条第3款的规定中也包含着这种二分法的思想。
所谓一般个人信息,即是指姓名、出生日期、购物信息、上网浏览记录等,该种信息强调以信息自身的利用价值利益为主[20],即便是受到侵犯也不会给信息主体带来较大的损失,至多是打扰到了信息主体生活的一般安宁。并且,法律规范也要注重信息业者对一般个人信息搜集分析所带来的效益与价值。因此,同意规则的适用在一般个人信息中的研究通常持开放的态度。相比之下,敏感信息则是指隐私性非常强的个人信息,例如就医记录、银行卡密码、性生活记录等[21],对于该种类型的信息,一经受到侵犯会给信息主体带来无法消解的影响。
敏感信息二元同意规则主张并非是所有的敏感信息都值得被刑法关注,毕竟,刑法也要考虑到《个人信息保护法》的诉求,即关注敏感信息的利用价值。倘若一概将敏感信息都纳入到刑法同意规则适用中,则会无视《个人信息保护法》中敏感信息同意规则适用的规定,导致其沦落为僵尸条款。因此,较为稳妥的做法应当是对敏感信息进行分类,通过划分一般敏感信息与高度敏感信息的方法,对高度敏感信息同意规则的适用进行刑法规制,即把敏感级别极高的信息纳入到刑法同意规则的管控范围内。对于此,学界早有观点指出应当根据敏感信息敏感程度的不同提供差别化的规范保护[22]。也有学者指出,对于个人信息应当优先其安全价值,并应当成为当下紧迫且必要的任务[23]。在本文看来,这部分格外注重其安全价值的信息应当是高度敏感的个人信息。实际上,这种划分信息敏感等级的方式在刑法实践早已有所应用。例如,“两高”在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中就体现了这种分级保护的思路,其在《解释》第5条中列举了针对不同种类信息的入罪标准,比如“财产信息”等种类的信息入罪数量是50条以上,“住宿信息、通信记录”等种类的信息则是500条以上,除上述两种类以外的信息入罪数量则是5000条以上。这些在入罪要求上规定的不同种类的信息都是根据敏感级别的不同划分的,可以看出,入罪标准是50条的“财产信息”,其敏感级别要高于入罪标准是500条的“住宿信息”,以此类推。可见,这种划分信息敏感等级的做法具备可行性,其能够应用到敏感信息同意规则的建构上。
既然明确了敏感信息存在敏感等级划分的必要性,接下来便是针对敏感等级划分标准的确定。对此,有学者曾实证调查研究过敏感信息程度的分类,诸如个人通讯资料、金融信息、刑事记录等都属于极度敏感的个人信息,而教育程度、种族或者民族起源都属于一般敏感信息,在此基础上,该学者将健康信息、性生活和性取向归为高私密信息等[24]。也有学者在敏感信息的确定方式上提出了场景抽离和场景融入的双重路径[25],这也为敏感信息层级的认定提供了思路。
本文认为,既然主张个人信息背后寄托着隐私权的权益,那么在敏感层级的划分中应当以此为出发点,通过与隐私权高度关联的一般恐惧理论来作为划分敏感层级的标准。具体来说,结合前述“场景理论”可以看出,在不同场景下侵犯不同种类的敏感信息产生的对隐私权的侵犯感受程度也不同,而公民的隐私权受到侵害后往往会带来恐惧感,即引起了信息主体的一般恐惧。一般恐惧产生于侵害行为的实施,且这种恐惧感的产生并非仅是因为信息主体的隐私信息受到侵犯,还有对这种原本由规范维持的权利不受侵害的平静在当下被打破以后产生的恐惧。这种恐惧感的大小会随着隐私权的强弱而发生变化,即一般敏感信息与高度敏感信息敏感程度的不同影响着恐惧感的认定,这就类似于对故意伤害人身体的行为进行伤害等级的划分。因此,以一般恐惧理论作为划分敏感层级的标准具备一定操作的可能性,根据恐惧感的不同划分敏感信息的强弱,这是当下划分《个人信息保护法》与刑法对敏感信息保护边界的有效手段。诸如像个人就医记录、性生活记录这种信息无论是在何种场景中被侵犯后都能够产生高度恐惧感,故其应当被划分为高度敏感的个人信息。而诸如个人手机号码这种信息无论是在何种场景下被侵犯后产生的恐惧感不大,甚至可以忽略不计,因此,将其认定为一般个人信息较为妥当。当然,针对一般恐惧理论可能存在属于主观判断的争论,实则不然,一般恐惧理论本身作为一种权利就是客观存在的[26],而且其判断基础来源于现实的信息,即其具备客观的判断资料,并非是信息主体凭空捏造出的恐惧感。
(三)二元同意规则构造的结果
在前述工作基础之上,基本可以得出在敏感信息二元同意规则的适用中,针对高度敏感个人信息同意的效力应认定为无效的结果,理由如下。
其一,高度敏感的个人信息背后密切关联人格尊严、寄托着强烈的隐私权保护诉求,并且,侵犯这种隐私权还能够产生普遍恐惧。《个人信息保护法》第28条明确指出敏感信息关联到人格尊严,敏感信息的泄露侵犯的是信息主体的人格尊严。诸如性生活、医疗记录这种高度的敏感信息往往更是触及到人格尊严的核心[27]。这种伤害到人格尊严的行为引发的恐惧感就类似于情节犯中行为达到了“情节严重”的情形,上升到必须发动刑法手段予以规制的地步。尽管《民法典》中也针对隐私权的保护做出了规定,但是对于高度敏感信息背后隐私权的侵犯已经突破了民法规范所能规制的“量”,这甚至是严重侵犯人格尊严的一种体现。此时,就突显出刑法手段规制的优越性与必要性,即侵犯高度敏感信息也是一种伤害行为,其触及到了人格尊严的核心。而对于人格尊严的同意,刑法往往不承认其同意的效力。比如,之所以主张将帮助自杀的行为依然认定为犯罪,正是因为这一行为触及到了被害人的人格尊严[4]140-142。
其二,信息主体对高度敏感信息的同意未完全具备同意生效所要求的全部要件。同意的生效前提之一是同意主体必须要对所同意的事项有充分的认识和了解,然而,大数据时代下这一要求很难被实现,即信息主体对同意的内容并未被充分告知与掌握。毕竟,大数据时代公民的个人信息网络庞大且复杂,信息主体很难完全理解其信息所能够产生的现实意义,进而对处理后的信息所带来的风险也无法预测。更为关键的是,信息主体与信息控制者本身所掌握的信息就不平等,信息控制者往往并不会充分告知这些信息经过处理后所带来的后果,甚至多数情况下并未完全履行自己的告知义务。因此,信息主体的这种同意可以被看作是没有经过充分告知或者是并不具备充分理解能力情况下做出的同意,尤其是针对高度敏感的个人信息,故对于这种情形下做出的同意,其效力结果可想而知。
其三,信息主体对于高度敏感信息的同意还不符合同意生效所要求的现实性的条件。被害人同意理论还要求被害人做出的承诺必须是现实的。对此,通说意思表示说认为,同意必须以外界人可以知晓的方式做出,未表示等同于不存在[3]319。《民法典》第1033条也指出,同意必须以明确的方式做出。而在大数据时代下,信息主体一般都是被推定为默示同意。故对这种以沉默方式做出的同意法律效力的认定,在大数据时代原则上应当谨慎判断[28]。并且,很多情况下用户都是被同意或者说是受到“胁迫”而同意,否则会受到使用以及体验上的限制。比如,大多数APP都存在这样一种现象,如若不同意其提供的信息授权协议就会限制用户的使用功能,甚至是无法使用该APP,这种情况下同意的法律效力可想而知[29]。
其四,从合同的角度来看,这种以出卖人格尊严为内容的合同在合同效力及同意效力的认定上应为无效。尽管信息主体与信息买家之间存在着信息买卖合同,形式上存在着合法性的根据,这种因合同而产生的正当化行为刑法似乎不应该进行干涉[30]。但是,一则,这种合同是否有效存在着疑问。前述提到高度敏感信息背后所寄托的是以人格尊严为核心的隐私权,而这种以出卖自己隐私(或者人格尊严)而签订的合同实际上违背了合同法中的公序良俗原则,因此这种合同是无效的,故其失去了正当化的根据。二则,即便是存在有效的合同,刑法是否应当完全尊重当事人的意思自治,答案显然是否定的。比如,刑法中规定的合同诈骗罪、贷款诈骗罪以及集资诈骗罪从表面上看都有合同的外衣,似乎都存在合法性的根据,但是刑法还是要对其进行规制。毕竟,刑法应当立足于整体法秩序的立场,对行为合法性与否要做出实质性的判断[31]。三则,这种合同还有可能存在着重大误解。以运动员签订运动条款为例,大数据时代下信息数量庞杂,这就导致信息主体在面对如此多数量的信息时很难在第一时间做到正确理解出卖这些信息所带来的后果,大多数情况下其甚至对于合同条款都没有耐心读完[32]。因此,信息主体对于基于此签订的信息买卖、转让合同难免存在重大误解。
综上来看,对于高度敏感的个人信息做出的同意在刑法上应当认定为无效,这也就打开了《刑法》第253条之一的适用空间,并且与《个人信息保护法》《民法典》中针对公民个人信息保护的规定无缝衔接。同时,二元同意规则的构造以信息同意理论为切入点,在个人信息保护同意场景的建设中完善了个人信息保护体系。
既然对于高度敏感信息的同意应当认定为无效,那么接下来的任务应当是明确对同意无效后行为的刑法规制,也即是对二元同意规则刑法后续保障的研究。本部分旨在立足于当下《刑法》分则第253条之一的现状,而后从司法以及立法上提出完善建议。
(一)二元同意规则的司法启示
尽管我国目前诸多立法都体现出对个人信息保护的决心,即目的是为了维护信息主体的人身、财产安全,比如《居民身份证法》《统计法》等[33]。但是,反观我国当下对于个人信息保护的刑法体系,明显不够完备。具体来看,《刑法》内部仅有的第253条之一并无法涵盖所有侵犯公民个人信息的行为,在外部又不能够实现与《个人信息保护法》规定的刑事责任上的过渡。而且,《刑法》第253条之一在司法实践应用中也出现了问题。因此,有必要对个人信息的刑法保护体系进行重新审视,进而为信息保护提出完善建议。
二元同意规则的司法启示主要体现在对《刑法》第253条之一“情节严重”的司法解释中,即对侵犯高度敏感行为“情节严重”的入罪判断。“情节严重”作为该罪的入罪门槛起着关键的作用,对于该罪来说只有满足了该标准才可以将行为认定为犯罪。《解释》中对“情节严重”的判断采取了混合认定的模式,即以数额(量)和性质双重认定行为是否构成犯罪。这种模式容易造成对犯罪评价的次序错位,导致该法条走向风险防控的误区。实践中有些信息或许其本身并未给信息主体带来风险以及损害结果(判决中更是没有说明),但因为在数额上达到了定罪量刑的标准,司法实践中就采取避重就轻的模式将其认定为犯罪。而像这种高度敏感的个人信息虽然在数量上未达入罪要求,但是此类信息确实也给信息主体带来了严重损害,其已经达到了“情节严重”的入罪标准,但根据当下《解释》很难将其入罪。这样以数额作为认定行为入罪的门槛,并没有正确解释个人信息背后的法益属性。也即是说,既然认为个人信息背后依托的是隐私权法益,则不宜再以数额(量)来作为入罪标准。诸如侵犯高度敏感的个人信息虽未在数额、数量上达到标准,但是此类信息毕竟高度关联人格尊严这一隐私,其确实会给信息主体带来严重损害,不过,按照该《解释》很难将其评价为“情节严重”,除非适用兜底性条款。此外,混合认定模式下对“情节严重”的判断还违背了平等原则,比如甲和乙所出售的公民个人信息的数量(信息的性质在此不做探讨)均未达到定罪量刑标准,但是由于甲出售信息获利万元,乙却只有几百的收入,按照当下司法实践的逻辑,甲很有可能被认定为犯罪,而乙的行为因为未达到入罪数额却难以从刑法的角度做出评价。
针对侵犯高度敏感信息入罪标准的探讨,既然已经明确了对于该类信息具备刑法保护的必要性,就不应当在入罪数额(量)上继续做更为严苛的规定,否则这是对个人敏感信息保护底线的突破。侵犯高度敏感信息的行为入罪应当以《解释》第6条为突破口,不需要在入罪上特别注重数量要求。即对《解释》中“情节严重”的认定应当抽离出“数额”等认定因素,反而要格外强调借助对法益的侵犯程度来认定“情节严重”的量[34]。其实,对“情节严重”判断的问题在阶层论体系的指导下很容易解决。具言之,在刑法规范的逻辑框架内,大部分刑法禁止规范都可以表述为:任何人实施行为X,则会受到S的处罚,但是存在特殊事由D的除外,体现在公式上便是:S=X-D[35]。在阶层论犯罪体系下,所谓的“情节严重”应当处于X的位置,属于对犯罪该当性的判断,而对该当性的判断往往是借助行为对法益的侵害程度来实现。侵犯高度敏感个人信息的行为已经触及到了人格尊严且严重伤害到了个人法益,因此,对于该种类型行为的入罪不必再拘泥于是否达到量的要求。其实,这种通过对法益的客观侵害为“情节严重”判断的标准在“两高”发布的指导性案例中已有所体现,如在邵某等侵犯公民个人信息案中,法院在裁判结果中就指出犯罪人向他人出售个人征信、旅馆住宿等信息的行为达到了情节严重的标准,因此构成犯罪。而上述信息在本文看来大都是高度敏感的信息,因此,对于侵犯敏感信息的行为,尤其是高度敏感信息不必执着于数量、数额上是否达到标准,完全可以通过《解释》第6条或者第10条的兜底条款来缓解当下这一不合理的现状。
(二)二元同意规则的立法启示
二元同意规则的立法启示主要是体现在对刑法分则中侵犯公民个人信息行为规定的完善上,即以增设“滥用公民个人信息罪”为补充的保护路径的完善。当下,刑法在对规制侵犯公民个人信息行为的规定上不全面,在最后手段原则内部诉求的指导下其还应当增设“滥用公民个人信息罪”。此处的“滥用行为”多是指无任何积极价值的行为,比如随意散发、张贴等。实际上,“滥用公民个人信息行为”与“侵犯公民个人信息行为”之间的法理与“盗窃财物行为”与“故意毁坏财物行为”的法理类似,即盗窃财物的行为不会破坏被盗窃财物本身的价值,而故意毁坏财物的行为于财物本身而言毫无价值性,这更应当被谴责。同理,滥用公民个人信息的行为相比较侵犯行为更具备可责性。除此之外,将“滥用行为”入罪还有以下几点理由。
第一,《刑法》第253条之一所列举的行为不全面,且难以实现与《个人信息保护法》等保护规定的衔接。就目前侵犯个人信息的行为方式来看,法条确实出现了行为列举上的遗漏。《刑法》第253条之一、“两高”《解释》所列举的行为方式中,不包括对个人信息滥用行为的规定,即分则只列举了出售和提供行为,对于其他行为并未提及,其将关注的重点放在了信息的获取上,由此造成了立法上的漏洞。而且,《个人信息保护法》所列举的行为中,也不仅是出售和提供两种行为。比如,该法第10条列举的行为包括收集、使用、加工及传输行为等。因此,为了实现与《个人信息保护法》在立法保护上的衔接,《刑法》第253条之一应当对侵犯公民个人信息的行为适时做出细化和调整。
第二,滥用行为无法通过合理的法律解释方法被内化到现有行为的规定中,并且,细化分则中的“侵犯”行为也是罪行法定原则明确化诉求的体现。滥用个人信息的行为无法通过合适的刑法解释方法为其找到恰当的归宿,滥用行为不同于出售、提供或者窃取行为。并且,第253条之一第3款中的“以其他方法”也无法将滥用行为囊括在内,原因是这里的“以其他方法”被后缀“非法获取公民个人信息”所限制,毕竟其还要遵循同类解释的要求。也就是说,“以其他方法”仅限于获取公民个人信息的方法,而滥用行为显然是第二位阶上的行为,即只有在获取个人信息后才会有滥用行为的产生。而且,根据刑法罪刑法定原则明确化的要求,也应当细化侵犯公民个人信息罪的行为方式,“侵犯”一词更偏向于口袋化的概念,即几乎任何行为都能够与侵犯行为擦边。
第三,滥用行为与现存规定列举的行为侧重点及自身特性并不一致。之所以建议将滥用个人信息的行为单独列罪,原因是滥用行为并不同于现有的几种行为。滥用行为关注的是个人信息的不当使用,其不强调对信息的获取,只关注对信息获取后的不当使用,而分则列举的行为更强调信息的获取。相比较而言前者更不具备任何价值利益。并且,在入罪标准的判断上两种行为也不一致,分则列举的行为能够借助信息自身的价值来完成入罪的判断,即以出售的价格或者数量能够实现,而滥用行为只得以信息自身性质来做出入罪上的判断,毕竟这一行为不具备任何价值。若将这两类不属于同一位阶关系的行为置放到同一法律条文下,难免会引起在入罪行为分析上的混乱。这就类似于《刑法》第258条和第259条之间的关系一样,将破坏军婚罪的行为区别于重婚罪的行为,目的是为体现出主体的特殊性,故并没有将军人婚姻这一特殊性吸收到重婚罪的条文中。同理滥用个人信息罪体现的正是滥用行为的特殊性。因此,滥用个人信息罪的具体条文构想如下:“违反国家有关规定,滥用公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
数据时代对敏感信息同意规则的构造无疑是信息保护的进步之举。刑法对敏感个人信息的保护一方面要尊重信息时代的本质特征,不能忽视信息自身的利用价值。另一方面还要严格恪守刑法最后手段原则,避免对信息时代征表出的现象表现得过于兴奋,坚守缓和的积极主义刑法观思想[36]。还应注意的是,敏感个人信息因为高度触及到人格尊严的核心,如若对其彻底打开信息同意的边界,则会使信息主体完全无隐私可言,这不应当是信息社会进步所呈现出的现象,即数据时代下更应当注重对个人信息的保护,尤其是注重保护高度敏感的个人隐私信息。此外,在对滥用个人信息行为的规定上,应当以信息主体为中心,可进一步细化、类型化滥用行为的表现方式,这样方可突显个人信息的主体性特征。
注释:
①关于被害人同意生效的理论根据,学界目前有以下几种学说:法律行为说、利益放弃说、法的保护放弃说以及法政策说(利益衡量说),因为本文是以被害人同意理论为基础理论展开的关于敏感信息同意规则构造的探讨,所以,文章的重点不在于探讨该理论内部学说的具体争议,故不对上述几种学说展开过多赘述,仅选择学界通行的利益衡量说为模板展开探讨。关于各种学说的详细介绍具体参见张明楷:《刑法格言的展开》,北京大学出版社2013年版,第305-306页。
②参见《个人信息保护法》第32条:法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者做出其他限制的,从其规定。
③美海军陆战队队员之父诉雅虎公司一案:一美海军陆战队队员之父在其儿子死后,向雅虎公司要求继承其儿子邮箱中的照片等资料,雅虎公司最终予以拒绝,理由是这侵犯了用户的隐私权,并且这一拒绝的理由也得到了法院的支持。参见李伟民:《“个人信息权”性质之辨与立法模式研究——以互联网新型权利为视角》,《上海师范大学学报(哲学社会科学版)》2018年第3期,第68页。
④关于告知义务的规定:《消费者权益保护法》第29条、《网络安全法》第41条规定信息控制者应当向信息主体告知其搜集、利用信息的目的、方式以及范围,等等。欧盟“个人数据保护工作组”对此也做出了更为详细的固定,即信息控制者取得有效同意的前提是(1)表明控制者的身份、(2)告知搜集具体信息的目的、(3)告知所搜集信息的范围、(4)信息主体的撤回同意的权利等。参见陆青:《个人信息保护中“同意”规则的规范构造》,《武汉大学学报(哲学社会科学版)》2019年第5期,第125页。
⑤1月3日,支付宝用户可以在客户端查看自己的一年一度的账单,在2017年账单首页入口处,有一行不起眼的小字“我同意《芝麻服务协议》”,同时默认已经选择“同意”。网址参见:http://www.jpm.cn/article-49314-1.html.
⑥比如在运动领域,运动员要想参加比赛,事前要与运动组织签订合同,而这些合同中就包含着“同意条款”,运动员签署后方可参加比赛。由此可见,很多时候我们做出的“同意”并不自愿,尤其是在大数据时代下,公民都卷入了“被同意化”的浪潮中。参见杨春然:《论大数据模式下运动员隐私的保护》,《体育科学》2018年第2期,第86页。
⑦在曾某侵犯公民个人信息案中,被告人曾某利用担任协警的职务之便,非法获取公民个人信息后将其出售,获利万元,法院以被告人违法所得达到5 000元以上的标准,认为其行为构成侵犯公民个人信息罪。法院在定罪量刑时并未指明其所侵犯信息的种类和性质,仅仅依据数额对其进行定罪量刑,从法理上来看欠缺妥当性。参见石聚航:《侵犯公民个人信息罪“情节严重”的法理重述》,《法学研究》2018年第2期,第66页。
参考文献:
[1]汤敏.论同意在个人信息处理中的作用——基于个人敏感信息和个人一般信息二维视角[J].天府新论,2018(2).
[2]MARKUS D,HORNLE T.Criminal law:a comparative approach[M].Oxford University Press,2014:103-105,116-118.
[3]张明楷.刑法格言的展开[M].北京:北京大学出版社,2013.
[4]杨春然.论被伤害权对同意效力范围的限制——兼论被害人同意在三阶层犯罪论体系中的位置[J].清华法学,2013(3).
[5]孙清白.敏感个人信息保护的特殊制度逻辑及其规制策略[J].行政法学研究,2022(1):124.
[6]刘宪权.敏感个人信息的刑法特殊保护研究[J].法学评论,2022(3):1.
[7]RUBINSTEIN I S,HARTZOG W.Anonymization and Risk[J].Washington Law Review,2015:703.
[8]杨春然.欺诈:违约、侵权抑或犯罪?——以民刑边界理论为中心展开[J].刑法论丛,2017(1):298.
[9]王锡锌,彭錞.个人信息保护法律体系的宪法基础[J].清华法学,2021(3):20.
[10]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界[J].政治与法律,2018(4):19.
[11]陈梦寻.论侵犯公民个人信息罪的法益[J].刑法论丛,2018(1):234.
[12]刘艳红.侵犯公民个人信息罪法益:个人法益及新型权利之确证——以《个人信息保护法(草案)》为视角之分析[J].中国刑事法杂志,2019(5):21.
[13]张俊浩.民法学原理[M].北京:中国政法大学出版社,2000:12-13.
[14]郭明龙.个人信息权利的侵权法保护[M].北京:中国法制出版社,2012:44.
[15]李伟民.“个人信息权”性质之辨与立法模式研究——以互联网新型权利为视角[J].上海师范大学学报(哲学社会科学版),2018(3):67.
[16]王学辉,赵昕.隐私权之公私法整合保护探索——以“大数据时代”个人信息隐私为分析视点[J].河北法学,2015(5):66.
[17]彭诚信.论个人信息的双重法律属性[J].清华法学,2021(6):85.
[18]范伯格.刑法的道德界限:第2卷[M].方泉,译.北京:商务印书馆,2014:25.
[19]刘宪权,何阳阳.《个人信息保护法》视角下侵犯公民个人信息罪要件的调整[J].华南师范大学学报(社会科学版),2022(1):141.
[20]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):50.
[21]PAUL O.Sensitive information[J].Southern California law review,2015(5):1144-1150.
[22]宋亚辉.个人信息的私法保护模式研究——《民法总则》第111条的解释论[J].比较法研究,2019(2):100.
[23]凌霞.安全价值优先:大数据时代个人信息保护的法律路径[J].湖南社会科学,2021(6):84.
[24]胡文涛.我国个人敏感信息界定之构想[J].中国法学,2018(5):250-252.
[25]宁园.敏感个人信息的法律基准与范畴界定——以《个人信息保护法》第28条第1款为中心[J].比较法研究,2021(5):33.
[26]杨春然.论划分刑法边界的标准[J].中国刑事法杂志,2012(8):38-39.
[27]杨芳.隐私权保护与个人信息保护法———对个人信息保护立法潮流的反思[M].北京:法律出版社,2016:16-17.
[28]陆青.个人信息保护中“同意”规则的规范构造[J].武汉大学学报(哲学社会科学版),2019(5):123-24.
[29]李立丰.《个人信息保护法》中“知情同意条款”的出罪功能[J].武汉大学学报(哲学社会科学版),2022(1):144.
[30]佐伯仁志,道垣内弘人.刑法与民法的对话[M].于改之,张小宁,译.北京:北京大学出版社,2012:299.
[31]高艳东.经同意买卖个人信息也属违法犯罪[N].检察日报,2018-08-15(3).
[32]杨春然.论大数据模式下运动员隐私的保护[J].体育科学,2018(2):86.
[33]高富平.个人信息保护立法研究[M].北京:光明日报出版社,2021:195.
[34]石聚航.侵犯公民个人信息罪“情节严重”的法理重述[J].法学研究,2018(2):70-72.
[35]杨春然.正当化事由与免责事由——兼论行为规范与裁判规范的解构[J].中国刑事法杂志,2015(2):29-30.
[36]王俊松.网络智能时代的刑事立法观:理念回应与路径优化[J].重庆邮电大学学报(社会科学版),2022(4):45.