个人信息保护法的颁布施行,不仅填补了侵犯公民个人信息罪在罪状上的空白,而且从犯罪行为对象认定、行为违法性评价、出入罪边界划分等几个方面化解了刑法修正案(九)颁布之后关于该罪名认定在司法实践中的常见争议,并进一步廓清了该罪所保护的法益。笔者认为,正确理解侵犯公民个人信息罪,应摒弃私法法益观,转采公法法益观,以便精准打击侵犯公民个人信息犯罪活动。
一是个人信息的概念与犯罪行为对象认定问题。关于犯罪行为对象认定的常见争议是,大量仅包含“姓名+电话号码”、特定对象名单列表等简单信息的资料是否构成该罪的犯罪行为对象。个人信息保护法第4条明确了个人信息是具有可识别性的信息,且不包括匿名化处理后的信息。因此,个人信息不等于私有信息和个人隐私,人们日常生活在公共交往空间中的活动,例如公园、地铁站、超市、影院等公共场所会形成大量的关于个人出入登记、交易支付、活动轨迹、通讯记录等内容,这些信息既不完全属于个人隐私,也不由个人完全享有支配权,该罪保护的法益并非个人信息支配权。个人信息概念的可识别性标准揭示了侵犯公民个人信息罪保护的法益是社会公共安全和秩序,其目的是为了预防具有可能引发下游犯罪、危害公共秩序和安全等潜在社会公共风险,而不是针对个体对象私权益的具体风险。同时,将已经匿名化处理,不具有公开风险的信息排除在犯罪行为对象之外,可以防止刑罚打击面无限扩张。
二是个人信息处理者责任与行为违法性评价问题。关于行为违法性认定的常见争议是在查获下游犯罪时,大批量来源不明信息是信息持有人主动获取还是意外获取及信息的上游渠道等往往难以查明。个人信息保护法第51条规定:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取相关管理、分类、加密、去标识、设定权限等措施确保个人信息处理活动符合法律、行政法规的规定,并防止泄露、篡改、丢失;第52条规定:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对处理活动以及采取的保护措施等进行监督。以上规定强制赋予了上游源头的相关信息处理者及相关平台对于大量个人信息的安全处理和防止泄露的保障义务,加强了批量个人信息的源头安全管控和公共平台责任,从源头防止信息泄露。此种信息安全保障义务并非信息处理者对于个人信息原始享有者的个体承诺,而是赋予信息处理者的公共责任。以上规定从判断行为违法性的角度支持了侵犯个人信息犯罪行为所违反的义务并非私法上的义务,而是公法上的公共责任义务。
三是个人信息原始享有者的“同意”与出入罪边界划分问题。关于出入罪边界的常见争议是对已公开信息二次搜集利用是否需要征得个人信息原始享有者的“同意”。个人信息原始享有者的“同意”是否是该罪绝对的出入罪要件,关键在于“同意权”与信息自决权之间的关系。在个人非公开信息的场合,一般应要求获取“同意”,但对已经过一次公开之后的再次利用是否需要再次取得“同意”存在较大争议。有的案件中,将在国家企业信息平台等公共平台的系统信息进行收集和编辑并再次利用,这种情形下是否仍以信息原始享有者的“同意”为出入罪标准则存在较大疑问。如果将个人信息原始享有者的“同意”视为信息自决权,则已经授权公开的信息再次利用仍需要经过二次同意。尽管个人信息保护法第二章建立起了一系列以“告知—同意”为核心的个人信息处理规则,但不意味着该罪侵犯的法益是个人信息自决权,即使在取得个人同意的前提下信息处理也不得偏离信息搜集使用时所宣称的合法目的,此外还必须受到个人信息保护法第24条规定对于利用个人信息进行自动化决策作出的限制。同时,该法第27条规定个人信息处理者可以在合理的范围内处理个人自行公开或其他已经合法公开的个人信息,仅个人明确拒绝的除外,但对个人权益有重大影响的,应当取得个人同意。以上规定将信息二次利用的要求从取得同意降低为明确拒绝,仅对具有个人重大权益影响的情形予以保留,说明信息原始享有者的“同意”既不是绝对的入罪要件,也不是绝对的出罪要件,也说明了该罪名保护的法益并非个人信息自决权,而是信息利用所影响的公共秩序和公共安全利益。
(作者为华东政法大学公共法律服务研究院教授 杨凯)