已公开个人信息的法律保护
01
引言
我国《民法典》《个人信息保护法》《数据安全法》《网络安全法》及《刑法》第253条之1均对公民个人信息的使用、保护、责任等做出了详细的规定。其中,个人信息如果在一定程度上公开,可通过某种途径查询,如企查查上的法人信息,此时为人通过获取公开个人信息,进行售卖获利的,是否犯罪呢?
对此,应注意“个人信息的保护要适当平衡信息主体的利益和数据共享利用之间的关系,避免妨害数据的共享、利用以及大数据产业在我国的发展” ,在有效保护个人信息的前提下兼顾促进信息自由流通和信息网络经济发展的现实需要。利用已公开个人信息获利的行为是否构成犯罪,需协调好刑法与前置法间的关系,只有在民事、行政违法的基础上,才能继续判断是否具有刑事违法性。
02
已公开个人信息的前置法保护
(一)“已公开”是合法途径向不特定人公开
根据《个人信息保护法》的规定,个人信息处理者在处理个人信息时,需遵循合法、正当、必要和诚信原则。必要性原则要求处理个人信息应当具体明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。公开透明原则要求,信息处理者应该公开个人信息处理规则,明示处理的目的、方式和范围。对个人信息的处理,只有符合上述原则,才是合法的。
《个人信息保护法》第25和27条的规定,将个人信息分为未公开的个人信息、已公开的个人信息。此处讨论的“已公开”的个人信息,主要指“合法”途经公开的个人信息,即初始公开必须是合法的。非法途径导致的公开,应属于“未公开的个人信息”的范畴,属于违法行为。“公开”指向“不特定”人公开,针对特定人的公开应属“未公开”。
如辽宁省沈阳经济技术开发区人民法院(2018)辽0191刑初418号刑事判决书显示:被告人利用能够通过二级密码登陆进入辽宁省工商行政管理一体化办公系统的便利条件,使用抓取软件,从该系统中批量获取企业工商登记信息共计219124条。法院认为虽然国家企业信用信息公示系统对社会公开,但是其分为内部系统与公式系统。内部系统是授权登录系统,不具有相应资格无法登陆查看,而公示系统是公开系统,面向社会,任何人都可以查看。本案被告人抓取的是内部系统的信息,不属于向全社会公开的信息。
(二)个人信息的处理原则
已公开的个人信息包括两类,一是个人自行公开的个人信息,即自然人遵循其意思自治,主动将自己的个人信息公之于众,属于行使信息自决的情形;二是被动公开的个人信息,主要源自法律法规或司法解释的强制性规定,不以个人的意志为转移,比如政府等责任主体依法向社会公开的个人信息,合法的新闻报导等,自然人对这类信息的公开不具有自决权。非公开的个人信息,采取“知情同意”原则;已公开的个人信息,采取“合理处理”规则。
1、知情同意原则
在信息收集环节,一般需征求信息主体的同意,该同意需由自然人在充分知情的前提下自愿、明确作出,并且需要充分告知信息处理者、个人信息处理的方式、目的、种类、保存期限等事项。除非具有《个人信息保护法》第13条规定的六种情形,主要是法律法规的规定、基于公共利益等需求,不需要取得个人的同意。在信息转移、提供给其他信息处理者环节,也需要取得自然人的同意。对未公开的个人信息,只有取得自然人的“单独”同意,个人信息处理者才能将处理的个人信息公开。对敏感个人信息的处理行为,需要取得自然人的“单独同意”,其中针对不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意。
在民法领域,个人信息的处理除了法律规定的例外情形下,均采取知情同意原则,充分尊重个人信息所有者的自由意志,其核心是个人信息的自决权益。因此,只要取得个人信息所有者真实有效的同意,并充分告知相关信息处理的内容,信息处理者后续的处理行为均阻却违法。
2、合理处理原则
对个人自行公开或其他已合法公开的个人信息,个人信息处理者可在合理范围内处理。但对个人权益有重大影响的,需要取得个人的同意,且个人有拒绝信息处理者处理自身已公开的个人信息的权利。已公开的个人信息与未公开的个人信息相比,由于具有更大的公共性与社会性,属于个人同意的例外,只要在合理范围内,且没有对个人权益造成重大影响,就构成合法处理。合理处理原则可以概括为:在合理范围内+对个人权益没有重大影响+个人没有选择拒绝。
“对个人权益有重大影响”,一般指“处理个人信息将侵害或威胁自然人的人身、财产、自由等公民个体社会交往利益的情形”。为了确保公开信息的流动和自由利用,防止在流转环节取得个人同意的成本过高的问题,个人不能通过“事先同意”的方式来控制个人信息的处理,但可以通过“事后拒绝”的方式,来否认同意,也即“默示同意”的“选择退出机制”。
(1)情景脉络完整性理论
在何为合理范围上,学界提倡 “情景脉络完整性理论”,即个人信息原始收集时的具体语境应得到尊重,其后续传播及利用不能超出原始的情景脉络范围,也即判断后续对个人信息的处理是否“情景合理”,是否在个人信息初始公开时的合理预期范围内。
因此只要信息处理者对个人主动公开的个人信息的处理,没有超出初始公开场景,符合合理预期范围、符合合理的目的与用途,并且没有对个人权益造成重大影响,个人没有拒绝的情况下,属于合法处理行为。
(2)被动公开与主动公开的差异
为了协调已公开个人信息的公共性和私权性,根据主动公开还是被动公开,合理范围上会有所差异,对此应进行“合法利益衡量”。对此有两种看法,一种看法认为对于被动公开的信息,特别是针对政府公开信息与搜索引擎公开的情况,“合理范围”应比主动公开认定的范围要更为宽泛,利益衡量的天平应当适当向数据处理者和公众倾斜。主动公开的合理范围,更为注重保护个人的意思自治,而被动公开的合理范围则更注重保护公共利益。另一种看法则认为被动公开时,信息主体只能被动接受公开的结果,不是自愿让渡部分信息自决权,因此所设置的个人信息处理风险容忍义务理应控制在最小区间,对此还根据主动公开与被动公开,设置不同的判断标准:
① 主动公开:符合个人的合理预期
主动公开的信息,由于涉及个人信息的自我决定,需充分尊重个人的意思自治。因此后续信息处理者的处理范围应符合信息主体的合理预期,能被信息主体所接受。
② 被动公开:符合比例原则
被动公开多数情形属于为了公共利益,合理范围的判断应遵循比例原则,即具有妥当性、必要性与均衡性,实现“目的正当、手段适当、损害最小、损益均衡”,即目的具有正当性,处理手段具有适当性并使信息主体所受损失保持在最小范围和最低程度,造成的损害不能超过实现处理目的所带来的收益。其中目的正当性,需符合个人信息被公开时的用途。
(3)具体认定
①尽量保持目的、用途的一致性
《个人信息保护法》第6条明确规定了必要性要求,处理个人信息需要具有明确、合理的目的;第22条、23条规定基于个人同意处理个人信息,信息处理的接收方变更原先的处理目的、处理方式的,应该重新取得个人同意。因此“合理处理原则”应尽量保持与初始公开信息时的目的、用途等相一致。
②目的、用途有差异时,进行利益衡量
为了使已公开的个人信息有序自由流动、合理有效利用,不应要求对已公开个人信息的处理必须与初始公开时的目的用途完全一致。有差异时,应对信息处理者的利益与信息主体的利益进行比较,当信息处理者的合法利益高于信息主体的合法利益时,应属于合理利用。
被动公开的个人信息,往往由于法律法规的强行性规定,基于公共利益的需要而公开,如工商营业执照信息。由于被动公开的个人信息具有的公共属性和社会属性更强,其公开的个人信息与公共利益关联更大,合理处理的判断上应更宽松。
主动公开的个人信息,主要判断是否符合信息主体公开时的心理预期,符合其意思自治;被动公开的个人信息,主要判断信息公开时的目的、用途,只要不是根本违反初始目的、用途,且利益衡量中符合比例原则的约束,就应当认定为属于合理处理。
03
已公开个人信息的刑法保护
(一)刑法的规制行为
《个人信息保护法》第10条规定了个人信息处理的禁止规定,包括非法收集、使用、加工、传输、买卖、提供、公开他人个人信息的行为,以及危害国家安全、公共利益的一个个人信息处理活动。而《刑法》第253条之1的规定,仅包括非法获取与提供环节,只处罚非法出售、非法提供、盗窃或以其他方法非法获取个人信息的行为。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条规定,向特定人提供公民个人信息、通过信息网络或者其他途径发布公民个人信息、未经被收集者同意将合法收集的公民个人信息向他人提供的行为,均属于非法提供的范畴。因此《个人信息保护法》中的“非法收集”对应刑法中的“窃取”和“以其他方法非法获取”的行为,“非法买卖”“非法提供”“非法公开”“非法传输”对应“非法出售”和“非法提供”的行为。“非法使用”“非法加工”及“非法传输”行为,不属于侵犯公民个人信息罪的规制对象。侵犯公民个人信息罪基本上局限于个人信息收集、提供环节,后续的个人信息使用等环节则无法直接适用本罪,实践中大量“滥用”个人信息的行为,无法成为本罪的规制对象。
个人信息保护法 | 侵犯公民个人信息罪 |
非法收集 | 盗窃、非法获取 |
非法使用 | × |
非法加工 | × |
非法传输 | 非法提供 |
非法买卖 | 非法出售 |
非法提供 | 非法提供 |
非法公开 | 非法提供 |
(二)已公开个人信息的构罪标准
已公开个人信息,由于任何人都可获取,不存在非法获取问题。只存在将已公开个人信息再出售或者提供给他人、从他人处获取已公开个人信息的行为,是否构成犯罪的问题。
1、符合“合理处理标准”,阻却违法
与前置法相同,只要符合“合理处理标准”,在没有超过初始公开时的合理目的、合理用途、合理范围内出售、提供个人信息,对个人权益没有重法影响的情形下,属于合理处理行为,阻却刑事违法性。
如2020年5月至7月,犯罪嫌疑人吴某在天眼查、企查查等网站下载公开的各地企业工商登记信息,梳理分类后共出售1.8万余条信息,获利1万余元。被公安机关以涉嫌侵犯公民个人信息罪移送至检察院。检察院以民法典第1036条:“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”的规定为由,认为既然没有证据证实吴某出售合法公开信息的行为遭到权利人拒绝或侵害其重大利益,就不应当认定为构成侵犯公民个人信息罪。
2、不符合初始公开目的、用途的,需进一步判断刑事违法性
(1)明显违背初始公开时的目的、用途,可能构成犯罪
当信息处理者超过了初始公开目的、用途时,具有前置法上的违法性,是否具有刑事违法性,需要进一步判断该行为是否具备刑罚处罚的必要性。主要判断是否与初始目的、用途具有“根本性”的改变,对个人权益造成重大影响。只有“明显违背”个人公开信息的目的、改变用途的,才可能构成犯罪。如将个人单纯公布在社交平台上的个人信息,收集出售给他人用于商业推广,甚至用于违法犯罪行为。
实践中,法院对超出个人信息用途预期,超出限定使用范围的公开个人信息的获取、提供行为,倾向于认定为侵犯公民个人信息罪。
如《最高人民检察院公报》检例第140号显示:“获取限定使用范围的信息需信息主体同意、授权。信息主体自愿、主动向社会完全公开的信息,可以认定同意他人获取,在不侵犯其合法利益的情况下可以合法、合理利用。但限定用途、范围的信息,如仅提供给中介供服务使用的,他人在未经另行授权的情况下,非法获取、出售,情节严重的,应当以侵犯公民个人信息罪追究刑事责任。”
江苏省徐州市鼓楼区人民法院(2018)苏0302刑初43号刑事判决书显示:被告人将自己从互联网上采集的公开的企业信息出售给他人,法院认为“信息持有人根据各自的用途在网络上公开个人信息,被告人未经信息持有人同意搜集信息后非法向他人提供,超出了信息持有人发布个人信息用途的预期,是侵犯公民个人信息的行为,具有社会危害性”。
河南省夏邑县人民法院(2018)苏0302刑初43号刑事判决书显示:被告人李某某利用电脑在阿里巴巴网站搜索淘宝卖家的店铺信息,复制卖家的旺旺名称,通过牵牛登陆平台输入默认密码登陆,从而获取淘宝店铺诚信通账号,并出售给曾某与李某某,后被曾某、李某某用于诈骗活动。法院认为:“公民个人信息依法受法律保护,即便公民个人自愿公示于众,他人也不得擅自出售、出租。”
(2)市场经营活动中的业务拓展,应适当予以出罪
有的行为虽不符合初始公开的目的、用途,但如果没有对个人权益造成重大影响的,不宜认定为犯罪,比如:将开展经济活动企业中已公开的个人信息进行大批量出售、提供,以供他人拓展业务、推销产品、为企业发展提供贷款等金融支撑的,应认定为符合企业公开信息时的经营目的,未违背个人信息公开的目的,也未改变信息用途。企业公开信息中的公民信息,应允许信息的适当流转,而不能一刀切只要违背其初始公开目的、用途,就是犯罪。
04
总结
对已公开个人信息的处置,应注意判断是否符合“合理处理”原则,使用目的、用途与公开时的目的、用途相一致的,则阻却违法。即使有不一致的情形,也应进一步进行利益衡量,只有对个人权益造成重大影响的才考虑犯罪,以平衡信息主体利益和数据共享利用之间的关系。
注释
(请滑动浏览信息)
[1] 喻海松:《<民法典>视域下侵犯公民个人信息罪的司法适用》,载《北京航空航天大学学报(社会科学版)》2020年第6期。 [2] 即为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;为履行法定职责或者法定义务所必需;为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;法律、行政法规规定的其他情形。 [3] 刘双阳:《“合理处理”与侵犯公民个人信息罪的出罪机制》,《华东政法大学学报》,2021年第6期, 第67页。 [4] 参见刘晓春:《已公开个人信息保护和利用的规则建构》,《环球法律评论》,2022年第2期,第63页。 [5] 张忆然:《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角》,《政治与法律》,2020年第6期,第60页。 [6] 参见刘晓春:《已公开个人信息保护和利用的规则建构》,《环球法律评论》,2022年第2期,第6页 [7] 参见刘双阳:《“合理处理”与侵犯公民个人信息罪的出罪机制》,《华东政法大学学报》,2021年第64期, 第72页。 [8] 参见《出卖公开的企业信息谋利:检察机关认定行为人不构成犯罪》,《检察日报》,2021年1月20日,https://www.spp.gov.cn/spp/zdgz/202101/t20210120_507016.shtml。 [9] 参见周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》,2021年第3期,第39页。 [10] 周光权:《侵犯公民个人信息罪的行为对象》,《清华法学》,2021年第3期,第40页。 |
参考文献
(请滑动浏览信息)
[1] 喻海松:《<民法典>视域下侵犯公民个人信息罪的司法适用》,载《北京航空航天大学学报(社会科学版)》2020年第6期。 [2]刘双阳:《“合理处理”与侵犯公民个人信息罪的出罪机制》,载《华东政法大学学报》2021年第6期。 [3] 刘晓春:《已公开个人信息保护和利用的规则建构》,载《环球法律评论》2022年第2期。 [4]张忆然:《大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角》,载《政治与法律》2020年第6期。 [5]《出卖公开的企业信息谋利:检察机关认定行为人不构成犯罪》,《检察日报》2021年1月20日,https://www.spp.gov.cn/spp/zdgz/202101/t20210120_507016.shtml。 [6]周光权:《侵犯公民个人信息罪的行为对象》,载《清华法学》2021年第3期。 |
作者简介
卞欢
专业领域:内幕交易、操纵市场、虚假陈述、集资诈骗、非法吸收公众存款等证券金融领域经济犯罪研究;
个人履历:曾在某省公安机关经侦系统任职十余年,办理各类经济案件近千起,并多次参办部、省级大要案件,具有丰富的经济案件侦办经验。曾代表省级公安机关参加全国经济犯罪研判比武并荣获亚军(证券领域),现转岗从事律师工作,办案之余,注重理论研究。
刘宇涵
上海政法学院刑法学研三在读,四川大学法学本科。专注于金融犯罪和网络犯罪领域的研究。曾获中国刑法学会全国刑事治理现代化研究生论文竞赛提名奖。
● 免责声明●
本文内容仅为提供信息之目的由上海问道有诚律师事务所制作,不应视为广告、招揽或法律意见。读者在就自身案件获得相关法域内执业律师的法律意见之前, 不要为任何目的依赖本文信息。上海问道有诚律师事务所明确不承担因基于对本文任何形式的使用而产生的一切责任、损失或损害。
编 辑 | 赵佳怡
推 荐 阅 读