馬天一

（中國政法大學(xué)刑事司法學(xué)院，北京 100088）

1 引言

隨著移動互聯(lián)網(wǎng)的推廣，網(wǎng)絡(luò)服務(wù)提供者通過APP提供網(wǎng)絡(luò)服務(wù)，用戶在對其進行使用時往往會被收集使用個人信息，而此時也產(chǎn)生了個人信息收集使用的亂象。為了規(guī)范APP服務(wù)提供者對個人信息的收集使用，2019年始，國家開展APP違法違規(guī)收集使用個人信息專項治理工作，《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》《APP違法違規(guī)收集使用個人信息自評估指南》等文件相繼出臺，大量違法違規(guī)的APP服務(wù)提供者被行政手段進行制裁?？梢钥闯?，在處理涉APP服務(wù)提供者個人信息收集使用問題時，國家傾向于利用行政手段而非刑事手段進行解決。實際上，在個人信息保護領(lǐng)域，刑法的制定腳步明顯領(lǐng)先于民法、行政法等規(guī)范，2015年《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)服務(wù)提供者對個人信息的網(wǎng)絡(luò)信息安全義務(wù)，2017年《中華人民共和國民法總則》對個人信息的民法保護進行了明確，對此，“民先刑后”“民緊刑松”等將刑法后置化、取締通過刑法“以點帶面”的思路應(yīng)當(dāng)是現(xiàn)有法律體系下應(yīng)有之合力。

2 刑法視角下的個人信息保護

個人信息保護是近年來社會治理的熱點問題，與之相應(yīng)，侵犯公民個人信息罪成為了刑法中的“顯學(xué)”，理論界與實務(wù)界都不乏對侵犯公民個人信息罪的深入研究。但是，侵犯公民個人信息的行為就如同電信詐騙一樣，盡管國家不斷持續(xù)、深入地對相關(guān)行為進行打擊，但由于實施難度不高、可獲取利益較為客觀，侵犯個人信息與電信詐騙都成為了信息時代的常見危害行為。對于此類行為，國家立法、特別是刑法并非缺乏有效回應(yīng)。對侵犯公民個人信息的行為而言，2009年《中華人民共和國刑法修正案（七）》第253條增設(shè)出售、非法提供公民個人信息罪與非法獲取公民個人信息罪，2015年《中華人民共和國刑法修正案（九）》將前述罪名合并為侵犯公民個人信息罪，2017年兩高《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》出臺，完善了對侵犯公民個人信息罪適用的具體規(guī)范。作為與個人信息接觸最為密切的網(wǎng)絡(luò)服務(wù)提供者，其自然也應(yīng)為前述罪名的規(guī)制對象之一。

那么，規(guī)范APP服務(wù)提供者收集使用個人信息行為時，如何形成刑法與其他部門法的合力，即如何使侵犯公民個人信息罪既能夠?qū)PP服務(wù)提供者對個人信息的收集使用行為產(chǎn)生有效威懾，也能通過暢通的刑行銜接、刑民銜接發(fā)揮打擊犯罪的功能？對此，本文將在實證研究的基礎(chǔ)上，對近年來相關(guān)違法違規(guī)態(tài)勢與行業(yè)發(fā)展形勢進行總結(jié)梳理，進而探索在個人信息保護法律制度的大廈逐步搭建成型之際，侵犯公民個人信息罪面對個人信息收集使用時的應(yīng)有進路。

3 對違規(guī)違法收集使用個人信息行為的實證分析

隨著APP服務(wù)與個人生活黏度的不斷增強，APP整體數(shù)量正在不斷增加，但APP良莠不齊的現(xiàn)象也始終存在。從收集使用個人信息的違法違規(guī)態(tài)勢上看，APP服務(wù)提供者的部分行為與侵犯公民個人信息罪的規(guī)制對象存在關(guān)聯(lián)；從行業(yè)發(fā)展形勢上看，APP服務(wù)提供者對個人信息的收集使用規(guī)則或協(xié)議往往通過用戶協(xié)議與隱私政策體現(xiàn)。

3.1 違法違規(guī)態(tài)勢：APP服務(wù)提供者違法違規(guī)收集使用個人信息簡析

APP服務(wù)提供者對個人信息收集、使用的環(huán)節(jié)貫穿了用戶注冊驗證、實名認(rèn)證、發(fā)布信息、使用服務(wù)、終止服務(wù)等全部流程。對于其違法違規(guī)收集、使用個人信息的情形，《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法》進行了概括，為“未公開收集使用規(guī)則”“未明示收集使用個人信息的目的、方式和范圍”“未經(jīng)用戶同意收集使用個人信息”“違反必要原則，收集與其提供的服務(wù)無關(guān)的個人信息”“未經(jīng)用戶同意向他人提供個人信息”“未按法律規(guī)定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息”。在2020年“面部特征等生物特征信息收集使用不規(guī)范，APP后臺自啟動、關(guān)聯(lián)啟動、私自調(diào)用權(quán)限上傳個人信息，錄音、拍照等敏感權(quán)限濫用”等行為也成為新一輪治理工作的重點針對對象?？傮w而言，APP服務(wù)提供者存在積極違法違規(guī)（后統(tǒng)稱“積極行為”）與消極違法違規(guī)的行為，前者主要指收集、使用、提供的相關(guān)行為，后者則主要指未按規(guī)定進行相關(guān)規(guī)則公開或提供功能、渠道。積極行為與消極行為可能同時存在于某一APP服務(wù)提供者上，并且在《中華人民共和國網(wǎng)絡(luò)安全法》中統(tǒng)統(tǒng)被概括為“侵害個人信息依法得到保護的權(quán)利”，但是明顯積極行為對個人信息造成了直接侵害，而消極行為則間接對用戶行使個人信息的相關(guān)權(quán)利造成了侵害，從2020年新一輪治理工作的針對側(cè)重點看，可以印證對積極行為打擊的緊迫性、必要性。

從刑法角度來看，如果APP服務(wù)提供者實施消極行為，則其與侵犯公民個人信息罪中的“出售、提供、竊取、以其他方法非法獲取”等行為并無關(guān)聯(lián)，沒有可能構(gòu)成本罪。而積極行為則相反，APP服務(wù)提供者如果進行越權(quán)收集使用或提供等行為，其從行為模式上則可以構(gòu)成侵犯公民個人信息罪。因此，在下文對行業(yè)發(fā)展形勢，即對用戶協(xié)議與隱私政策進行分析時，將針對與積極行為有關(guān)的條款進行研究，而不會針對諸如“個人信息刪除”“閱讀訪問情況”等消極行為展開。

3.2 行業(yè)發(fā)展形勢：APP服務(wù)提供者用戶協(xié)議與隱私政策簡析

APP服務(wù)提供者對個人信息收集使用的發(fā)展現(xiàn)狀被濃縮在了用戶協(xié)議、隱私政策等公開文件中。為了更好地開展分析，必須先明確用戶協(xié)議、隱私政策的法律意義。用戶協(xié)議是用戶在使用網(wǎng)絡(luò)服務(wù)之前，需要閱讀并同意的格式合同，在行業(yè)實踐中，用戶注冊使用即視為同意該用戶協(xié)議。在個人信息方面，用戶協(xié)議包括了注冊相關(guān)條款、用戶對個人信息的權(quán)利、隱私政策指引等內(nèi)容。而隱私政策（個人信息保護政策）則通篇闡釋對個人信息的保護，包括APP服務(wù)提供者如何收集、使用、共享、轉(zhuǎn)讓、公開披露、保護、保存?zhèn)€人信息，以及例外情況等。隱私政策盡管具有告知功能和制約功能，但其性質(zhì)并不清晰，發(fā)生糾紛時也難以束縛企業(yè)。同時，用戶協(xié)議、隱私政策并不反映APP的代碼如何具體運作。但不可否認(rèn)的是，用戶協(xié)議與隱私政策成為了研究APP服務(wù)提供者對個人信息收集使用是否合法合規(guī)最為直接的依據(jù)。那么，用戶協(xié)議與隱私政策如何約束前述積極行為，即如何做到取得用戶對收集使用個人信息的同意、如何劃定與服務(wù)有關(guān)的個人信息范圍、如何約定向他人提供用戶個人信息的合法前提，對于APP服務(wù)提供者而言至關(guān)重要。

通過對目前市面上APP的用戶協(xié)議與隱私政策進行分析，可以總結(jié)出行業(yè)實踐規(guī)則。（1）在如何取得用戶同意的方面，APP往往會明示收集使用個人信息的場景/服務(wù)環(huán)節(jié)，并明確協(xié)議外單獨征求授權(quán)，以及征得同意的例外。（2）在與服務(wù)有關(guān)個人信息范圍上，APP往往會結(jié)合前述場景/服務(wù)環(huán)節(jié)，在各類個人信息的收集使用場景/服務(wù)環(huán)節(jié)基礎(chǔ)上進行具體明確。（3）在約定向他人提供個人信息上，主要包括經(jīng)用戶同意提供、基于業(yè)務(wù)提供（與關(guān)聯(lián)公司、合作伙伴共享、基于協(xié)議約定或商業(yè)習(xí)慣等）、以及個人信息合法轉(zhuǎn)讓等情形。

那么，前述APP的用戶協(xié)議與隱私政策在個人信息的收集使用環(huán)節(jié)扮演何種角色？其屬于合同？公告？亦或是基于商業(yè)實踐為個人信息收集使用劃定的一般界限？應(yīng)當(dāng)明確的是，無論其屬于何種性質(zhì)：一方面，APP服務(wù)提供者如果超越用戶協(xié)議與隱私政策的文本內(nèi)容收集使用個人信息，當(dāng)然很有可能因?qū)嵤┓e極行為而違規(guī)收集使用個人信息；另一方面，APP服務(wù)提供者按照用戶協(xié)議與隱私政策收集使用個人信息，但是如果用戶協(xié)議或隱私政策本身就對用戶的個人信息相關(guān)權(quán)益構(gòu)成侵害，即使其嚴(yán)格按照文本內(nèi)容實施行為，APP服務(wù)提供者對個人信息的收集使用也符合積極行為的本質(zhì)屬性，即具有法律上的可罰性。

4 侵犯公民個人信息罪在APP個人信息治理活動中的功能定位

刑法作為保障法、最后法，應(yīng)當(dāng)成為國家保護個人信息的最后一道屏障，其介入APP違法違規(guī)收集使用個人信息的治理具有必要性。對于APP違法違規(guī)收集使用個人信息而言，從構(gòu)成要件上看，侵犯公民個人信息罪可以評價APP服務(wù)提供者實施的積極行為。明確這一罪名在APP治理活動中的功能定位，可以更好地促進刑法與其他部門法的銜接，保障司法機關(guān)、執(zhí)法機關(guān)科學(xué)地根據(jù)刑法開展治理工作。首先，應(yīng)當(dāng)對侵犯公民個人信息罪的實質(zhì)進行分析，綜合結(jié)合立法、司法等環(huán)節(jié)，把握其在個人信息保護中的功能屬性；之后，將分析這一罪名在APP治理中的應(yīng)然定位，為探索APP違法違規(guī)收集使用個人信息的刑事責(zé)任邊界奠定基礎(chǔ)。

4.1 侵犯公民個人信息罪實質(zhì)分析

如前所述，刑法增設(shè)個人信息保護罪名使其在個人信息保護領(lǐng)域走在了其他部門法前面，但經(jīng)過十多年的變遷，個人信息保護罪名所處環(huán)境發(fā)生了巨大變化，新的犯罪類型、新的個人信息類別、新的行業(yè)實踐、新的管理制度相繼出現(xiàn)，為了保證這一罪名與其他部門法良好銜接，進而規(guī)范行業(yè)發(fā)展，遏制犯罪態(tài)勢，對侵犯公民個人信息罪的實質(zhì)進行把握尤為重要。

首先，應(yīng)明確侵犯公民個人信息罪的法益保護范圍與具體規(guī)制對象。在信息時代，公民個人信息具有人身特性、經(jīng)濟屬性和社會屬性的多重維度，對公民個人信息的侵害，可以威脅到包括人身、財產(chǎn)、社會管理秩序等多方面的法益。對于社會管理秩序而言，刑法通過設(shè)立拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪將網(wǎng)絡(luò)服務(wù)提供者對個人信息的網(wǎng)絡(luò)安全管理義務(wù)進行了明確。而在人身、財產(chǎn)方面，隨著立法、司法解釋等對個人信息“可識別性”這一核心特征的明確，侵犯公民個人信息罪保護公民人格利益以及信息財產(chǎn)利益等人身民主財產(chǎn)權(quán)利的側(cè)重點更加明晰。具體到APP收集使用個人信息上，侵犯公民個人信息罪將對個人信息的非法獲取、提供、出售視為侵害法益的行為，因而本罪的規(guī)制對象既包括提供服務(wù)過程中的非法獲取行為，也包括對用戶提供服務(wù)之外的對外提供、出售之行為。

在進行法條分析的同時，考察司法機關(guān)對本罪的適用情況可以更好地探究侵犯公民個人信息罪的實質(zhì)。本文在裁判文書網(wǎng)檢索案由為侵犯公民個人信息罪的一審刑事判決書，通過“提供服務(wù)”“科技有限公司”“授權(quán)”等關(guān)鍵詞精確檢索結(jié)果，對大量判決書進行分析，得出三條結(jié)論。（1）絕大部分在提供服務(wù)過程中獲取的行為發(fā)生在非APP業(yè)務(wù)中，例如國家機關(guān)、通信公司、房地產(chǎn)企業(yè)、銀行開展線下業(yè)務(wù)等，網(wǎng)絡(luò)服務(wù)提供者入罪數(shù)量占比極小。（2）網(wǎng)絡(luò)服務(wù)提供者因非法獲取個人信息獲罪，既有在開展業(yè)務(wù)過程中實施犯罪，也有在開展業(yè)務(wù)外非法獲取個人信息：前者主要體現(xiàn)為引誘被害人在APP軟件填寫個人信息注冊，從而非法獲取公民個人信息，詳見浙江省紹興市越城區(qū)人民法院刑事判決書（2019）浙0602刑初151號、浙江省紹興市越城區(qū)人民法院刑事判決書（2019）浙0602刑初850號等；后者可以體現(xiàn)為犯罪人暴庫，即從他人數(shù)據(jù)庫處竊取個人信息，導(dǎo)入公司服務(wù)器，詳見湖北省崇陽縣人民法院刑事判決書（2018）鄂1223刑初370號。（3）網(wǎng)絡(luò)服務(wù)提供者因出售、提供等行為受到刑罰處罰，原因在于其具有后續(xù)非法利用個人信息之目的，例如犯罪人將其通過APP等網(wǎng)絡(luò)服務(wù)獲取的個人信息轉(zhuǎn)賣牟利，詳見廣西壯族自治區(qū)陸川縣人民法院刑事判決書（2019）桂0922刑初370號、山東省桓臺縣人民法院刑事判決書（2019）魯0321刑初41號、浙江省嘉興市南湖區(qū)人民法院刑事判決書（2018）浙0402刑初205號等。

以上結(jié)果可以從一定程度上反映司法機關(guān)、執(zhí)法機關(guān)等公權(quán)力機構(gòu)對本罪的理解與適用：對于網(wǎng)絡(luò)服務(wù)提供者而言，在非法向他人提供或出售方面，如果其具有惡意利用個人信息的目的，則屬于可能被科處刑罰的危害行為；在非法獲取個人信息方面，如果其以惡意目的為驅(qū)動非法收集公民個人信息，或以非收集的方式從他處獲取，則屬于可能被科處刑法的危害行為。

4.2 侵犯公民個人信息罪的應(yīng)然定位

侵犯公民個人信息罪的實質(zhì)體現(xiàn)出充分的刑法謙抑性。從立法、司法兩個維度上看，除非APP服務(wù)提供者欲以個人信息本身獲得非法利益（如將個人信息作為買賣對象，或為業(yè)務(wù)開展創(chuàng)造不當(dāng)便利而獲取個人信息），否則侵犯公民個人信息罪并不介入APP違法違規(guī)收集使用個人信息。因此，對前述具有社會危害性的積極行為入罪化處理是侵犯公民個人信息罪的應(yīng)有之意。

但是，APP違法違規(guī)收集使用個人信息正在不斷涌現(xiàn)出新的方式，如違法收集生物識別信息、私自上傳通訊錄、向關(guān)聯(lián)公司提供個人信息等。從刑法角度看，侵犯公民個人信息罪對前述行為的適用尚有模糊之處。例如，APP服務(wù)提供者根據(jù)用戶協(xié)議向關(guān)聯(lián)公司提供個人信息時，如何界定關(guān)聯(lián)公司的范圍？用戶協(xié)議或隱私政策中聲明是否可被視為得到用戶授權(quán)？再如，為了APP自身業(yè)務(wù)更好開展而越權(quán)收集生物識別信息，是否能夠觸發(fā)侵犯公民個人信息罪？結(jié)合前述侵犯公民個人信息罪的應(yīng)有功能。本文認(rèn)為，在APP收集使用個人信息新形式不斷展現(xiàn)的背景下，相比于積極地介入對違法違規(guī)行為的評價，侵犯公民個人信息罪應(yīng)當(dāng)以“達摩科沃斯之劍”的形式展現(xiàn)在APP服務(wù)提供者面前。其原因在于，對APP違法違規(guī)收集使用個人信息而言，如果動輒動用刑法，不僅不利于企業(yè)生存與用戶權(quán)益保障，也會造成選擇性執(zhí)法的局面。但是，如果能夠讓侵犯公民個人信息罪成為時刻敦促APP服務(wù)提供者合法合規(guī)開展業(yè)務(wù)的罪名，則可以在網(wǎng)絡(luò)平臺合規(guī)計劃的配合下，實現(xiàn)用戶個人信息安全、APP服務(wù)提供者法律風(fēng)險預(yù)防的雙贏局面。同時，APP服務(wù)提供者實施企業(yè)刑事合規(guī)計劃，也可以更好地預(yù)防和及時發(fā)現(xiàn)犯罪，避免內(nèi)部工作人員利用職務(wù)便利侵害用戶個人信息。因此，對具有社會危害性的積極行為入罪化處理，以及敦促APP服務(wù)提供者開展合規(guī)計劃，是個人信息保護重要性不斷提高背景下，侵犯公民個人信息罪的應(yīng)然定位。

5 APP侵犯個人信息的入罪阻卻事由

盡管打擊侵犯公民個人信息的刑事法網(wǎng)正在不斷收緊，但是對APP服務(wù)提供者而言，為了推動APP行業(yè)高質(zhì)量發(fā)展、鼓勵創(chuàng)新商業(yè)模式、避免選擇性執(zhí)法，應(yīng)當(dāng)更多地選擇用行政手段對APP收集使用個人信息進行規(guī)范，做到普遍的“刑松”而“行緊”。在對APP服務(wù)提供者收集使用個人信息進行刑事責(zé)任判斷時，應(yīng)當(dāng)對其惡意目的進行充分考量，即其是否具有以個人信息本身獲得非法利益的動機。同時，為了實現(xiàn)侵犯公民個人信息罪的應(yīng)有功能，應(yīng)當(dāng)為APP侵犯個人信息入罪的阻卻事由進行明確，以此劃定違法違規(guī)收集使用個人信息的入罪邊界。

5.1 刑事合規(guī)阻卻刑法適用

實際上，APP的用戶協(xié)議與隱私政策都是防范刑事風(fēng)險的重要合規(guī)工作內(nèi)容。這些文本在個人信息的收集、對外提供等方面都應(yīng)具有出罪功能。如果文本本身合法合規(guī)，并且APP按照文本內(nèi)容對個人信息進行收集使用，那么無論結(jié)果如何，其都不應(yīng)當(dāng)進入刑法的視線。例如，目前我國對關(guān)聯(lián)企業(yè)并未有法律上的一致概念，因而司法實踐中會造成對關(guān)聯(lián)企業(yè)認(rèn)定的不一致，進言之，若APP服務(wù)提供者完全依照合法合規(guī)的用戶協(xié)議與隱私政策將其所收集的個人信息提供給關(guān)聯(lián)企業(yè)，就應(yīng)當(dāng)從最寬泛的角度解釋關(guān)聯(lián)企業(yè)，避免因個人信息被提供方因未被認(rèn)定為關(guān)聯(lián)企業(yè)而導(dǎo)致“非法提供”的認(rèn)定。再如，對于APP服務(wù)提供者收集個人信息與提供服務(wù)內(nèi)容的關(guān)聯(lián)，在完全依照用戶協(xié)議與隱私政策收集的情況下，如果涉及到刑事責(zé)任層面的判斷，應(yīng)當(dāng)為其中關(guān)聯(lián)性保留最大限度彈性空間。進而，上述入罪阻卻事由作為執(zhí)行刑事合規(guī)計劃的獎勵，能夠更好地推動APP用戶協(xié)議與隱私政策的文本完善與執(zhí)行完善。當(dāng)然，當(dāng)APP的用戶協(xié)議與隱私政策本身違法違規(guī)，或APP服務(wù)提供者在實際操作中超越文本內(nèi)容進而違法違規(guī)，則不能依照前述刑事合規(guī)的視角進行出罪。

5.2 信息自決權(quán)阻卻刑法適用

隨著個人信息保護理論的不斷發(fā)展完善，應(yīng)從信息自決權(quán)角度出發(fā)，盡量限縮APP違法違規(guī)收集使用個人信息的入罪邊界。根據(jù)從APP用戶協(xié)議與隱私政策總結(jié)出的行業(yè)實踐規(guī)則，APP服務(wù)提供者的用戶協(xié)議與隱私政策的核心是獲得用戶對其收集使用個人信息的授權(quán)，即滿足用戶個人信息自決權(quán)。在侵犯公民個人信息罪視角中，這一權(quán)利體現(xiàn)為信息主體自行決定是否以及在何種范圍內(nèi)披露、使他人知悉并利用個人信息。在用戶協(xié)議與隱私政策中，無論是用戶授權(quán)APP服務(wù)提供者收集個人信息條款，還是授權(quán)其根據(jù)用戶協(xié)議與隱私政策對外提供條款，其本質(zhì)都是利用信息自決權(quán)而規(guī)避法律風(fēng)險。在《刑法》上，信息自決權(quán)對于刑事違法性的判斷更具有重要意義：信息自決權(quán)人同意可以被視為《刑法》上的“被害人承諾”，因而對個人信息的收集使用行為能夠獲得犯罪意義上的違法阻卻。因此，APP服務(wù)提供者可以以通過用戶協(xié)議與隱私政策獲得了用戶授權(quán)為由，主張刑事責(zé)任的免除。當(dāng)然，這種免責(zé)條件只能針對一般的違法違規(guī)收集使用個人信息的行為，例如超越服務(wù)范圍收集個人信息等。如果其具有前文中提到的惡意目的，那么則不能基于用戶協(xié)議與隱私政策進行免責(zé)。例如，在經(jīng)同意買賣個人信息進而盈利的案件中，信息出賣者因為信息自決權(quán)的存在而不具有刑事違法性，但信息購買者并不因出賣人同意便能夠從刑法層面免責(zé)。

6 結(jié)束語

在APP治理工作中，行政法律規(guī)范應(yīng)處于當(dāng)之無愧的核心地位，但兼顧保障功能極強的刑事法律規(guī)范可以讓APP治理效果更加顯著。為了科學(xué)地把握APP服務(wù)提供者的入罪邊界，使其權(quán)責(zé)相適應(yīng)，并避免刑法對APP服務(wù)提供者過于嚴(yán)苛，既應(yīng)對其入罪原因進行充分考量，在其非具有惡意目的之情形下不以犯罪論處；也要對其出罪機理進一步明確，結(jié)合當(dāng)下APP行業(yè)實踐，重視APP用戶協(xié)議與隱私政策的入罪阻卻功能，以《刑法》為達摩科沃斯之劍，推動APP行業(yè)發(fā)展的法治化與規(guī)范化。