在不受时空限制的网络空间,个人信息无异于“裸奔”,数据壁垒的打通,进一步加剧了个人信息被误用、滥用以及泄露等问题。法律扩张公民个人信息保护范围,是对于信息时代侵犯公民个人信息犯罪的积极回应,但没有框架限制和原则指导的扩张亦存在违背罪刑法定原则之嫌。在积极保护公民个人信息、严厉打击侵犯公民个人信息行为的同时,亦须明确罪名适用的边界,不能忽视个人法益和公共利益之间的紧张关系。
刑法所保护的公民个人信息的范围界定
刑法修正案(九)及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)作为我国现行刑事法对侵犯公民个人信息犯罪的主要规范,为回应司法实务中办理侵犯公民个人信息案件的需求,已经考虑到将行为所针对的信息是否应纳入刑法保护的范围作为入罪的标准之一。仅从《解释》对公民个人信息内涵和外延的界定,现已无法适用于大数据时代多样化的个人信息。司法实践中,办案人员必须从刑法保护的角度出发,多通过以下两方面对个人信息范围进行界定:
信息主体的自由意志。作为个人信息主体的自由意志,即公民是否同意与其相关的信息被他人收集、使用是实践中判断行为的标准。此即被害人同意出罪原则。一旦公民表示同意,该信息处于何种状态将与信息主体的意志紧密相关,系权利人自由处分的结果,即使信息符合《解释》规定的公民个人信息的范围,被授权人的相关行为也可能不构成犯罪。保障个人自由是刑事法律设置的初衷,信息主体对其个人信息的公开虽有可能导致自己所享有的相关权利被侵害,但被害人的选择是其作为权益享有者的意志体现,应当得到法秩序的认可。甚至有观点提出个人信息的“选择退出”机制,将原本由使用人承担的特定义务转移至权利人身上,赋予“被害人同意”更为宽泛的解释。一旦权利人未声明信息不能使用,行为人即获得使用的许可,具有默示同意的法律效果。
个人信息的可识别性。个人信息的可识别性亦应作为界定个人信息刑法保护范围的重要因素。由于民法典将个人信息外延扩大到具有身份可识别性,《解释》也规定了“与其他信息结合”这一间接识别标准,这就涉及结合程度的问题,即与其他信息何种程度的结合能使该个人信息具有刑法上的可保护性。个人信息若需要通过多次转化,或须与其他多项信息相互结合才具有可识别性,就不应进入刑法保护的范围。
个人信息知情同意保护的刑法理念
侵犯公民个人信息罪属刑法第四章规定的侵犯公民人身权利、民主权利犯罪,故有学者就此认为,侵犯公民个人信息罪仅保护的是公民个人权利,与社会利益并无关联。笔者认为这种观点值得商榷,侵犯公民个人信息罪所归属的刑法具体章节,只能说明该罪侵犯的主要客体在于个人法益,并不代表该罪不侵犯社会的法益,二者并存也并不存在矛盾。同时,《解释》所确定的侵犯公民个人信息罪的定罪标准,系从个人信息的类型及数量、营利程度与社会危害性三方面因素予以考虑,亦能反映该罪侵害的社会法益。但须指出,个人法益在该罪中较社会法益具有优先性,作为信息主体的被害人的权利自由即信息自由仍是司法实践考虑的主要因素。
个人信息的权利保护和价值利用就像一枚硬币的两面,个人信息自由与信息安全的价值取向既是对立的,又统一于保护和利用的利益衡量当中。如何处理好信息自由和信息安全之间的关系,在保障信息主体的自由意志和注重社会整体信息安全上如何把握合理限度是目前个人信息领域关注的主要问题。现代社会数据经济蓬勃发展,如若僵化适用知情同意原则,信息活动将受到最大程度的束缚,数据经济抑或举步维艰。为了实现信息活动和数据经济之前的平衡,刑法应当为整个数据活动保留法律豁免空间。因此,有学者提出了“两头强化”的理念,在强化个人敏感信息基本人格权保护的同时,又强化个人一般信息经济价值的利用,强调“保护”与“利用”并重,实现个人、社会和国家多方利益平衡。网络安全法似乎是意识到了上述问题,其基于信息活动对适用知情同意原则进行了一定区分,第41条、第42条分别对个人信息的收集、使用和转让作出规定:收集和使用个人信息必须满足知情同意原则的要求,而转让匿名化个人信息时则不需要征得用户的明确同意。这是网络安全法通过平衡个人信息保护和个人信息使用之间的关系,从而推动数据经济活动的发展。总之,个人信息的法律保护应以信息自由为主,尊重被害人自由选择的权利,经过被害人同意的个人信息加之以正当方式予以使用,就应受到包括刑法在内的法律保护。
我国日前尚未建立全面的个人信息保护体系,除在刑事立法加以规制外,非刑罚性的保护分散于各部门法律中。而完善对个人信息的行政法、民事法保护,应首要区分犯罪行为与行政违法行为、民事纠纷的界线。然而实践中,民事纠纷易被区分,但行政违法行为与刑事犯罪行为间因二者多存在重叠,较易混淆难懂。因此,正在制定的个人信息保护法,尤其需要对行为的具体情节、后果等方面综合考量予以明确规定进行区分。与此同时,应完善个人信息的行政保护机制,强化行政管理机关对个人信息保护的职责亦是扭转刑法触角过分延伸的方式。从权利救济角度出发,完善侵犯个人信息的民事侵权责任,则要求对个人信息侵权责任的构成、承担方式以及免责事由等作出设计,立法者有必要结合各地实践制定配套的个人信息侵权配套机制,以有效处理个人信息纠纷案件。