儲陳城,魏培林

(安徽大學(xué) 法學(xué)院,安徽 合肥 230039)

一、引 言

時逢自媒體時代,民眾個性表達欲望強烈,用戶生成內(nèi)容眾多,已公開的個人信息極易未經(jīng)授權(quán)而被他人收集、加工和使用,對此行為是否構(gòu)罪,司法實務(wù)界和刑法理論界眾說紛紜。2022年12月26日最高人民法院發(fā)布的第35批四起指導(dǎo)性案例中第194號指導(dǎo)性案例,即“熊昌恒等侵犯公民個人信息罪”一案,對已公開個人信息后續(xù)利用行為是否構(gòu)罪問題有所回應(yīng)(1)參見江西省豐城市人民法院刑事判決書(2021)贛0981刑初376號。。該案的裁判要點強調(diào),未經(jīng)信息主體同意,或不具備法律授權(quán)等《中華人民共和國個人信息保護法》(2)我國法律規(guī)范全稱中均有“中華人民共和國”作定語,為行文簡潔,以下均省去該部分。規(guī)定的理由,運用購買、收受和交換等手段獲取已公開個人信息并予以非法利用,違背信息主體公開個人信息的目的、范圍和用途,不屬于刑法中對已公開個人信息的合理利用,而構(gòu)成侵犯公民個人信息罪。我國法律和司法解釋缺乏對已公開個人信息何種利用行為構(gòu)罪的明確規(guī)定,這可能導(dǎo)致類案異判的刑事處理結(jié)果。譬如,有的刑事判決認為,對公民已公開個人信息的收集、獲取和處理,即使未經(jīng)信息主體同意,也不構(gòu)成侵犯公民個人信息罪。比如,在“姚偉濤侵犯公民個人信息罪”一案中,法院就認為,企業(yè)工商登記中涉及的電話號碼等信息不屬于侵犯公民個人信息罪的保護對象(3)參見廣東省廣州市中級人民法院刑事裁定書(2019)粵01刑終2121號。。

已公開個人信息的后續(xù)利用是否受刑法規(guī)制,這在理論上亦面臨困境。有罪論者主張,對已公開個人信息的后續(xù)利用構(gòu)成侵犯公民個人信息罪。因為已公開的個人信息雖然已喪失隱私性而有異于個人隱私,但其本質(zhì)屬性仍然存在,即仍有識別特定個體的功能,對此類個人信息的不當(dāng)利用難免會危及民眾的私生活安寧[1]。當(dāng)然,對單個已公開個人信息的利用通常并無法益侵害性,但將已公開的“散落化”個人信息相互填補,個人性格特征便顯而易見,“用戶畫像”便愈加準確?！罢匣钡囊压_個人信息一旦被有不良意圖的人所掌握,極易對信息主體的人身財產(chǎn)安全形成威脅[2]。無罪論者從“被害人承諾”的視角出發(fā),主張信息主體的公開行為能阻卻已公開個人信息后續(xù)利用的違法性。此見解立足于美國的《統(tǒng)一個人數(shù)據(jù)保護法》,主張個人信息保護不包括可以公開獲取的信息,其根源在于對此類個人信息的利用能在不違背信息主體意志的前提下,通過信息流通提高社會效益。除單純有罪論和無罪論的觀點外,有學(xué)者從刑法具體規(guī)范的視角深入論證已公開個人信息的后續(xù)利用行為構(gòu)罪與否。我國《刑法》第253條規(guī)定“違反國家有關(guān)規(guī)定”,向他人出售或提供公民個人信息,情節(jié)嚴重的,構(gòu)成侵犯公民個人信息罪(4)參見我國《刑法》第253條:“違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。違反國家有關(guān)規(guī)定,將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規(guī)定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規(guī)定處罰。單位犯前三款罪的,對單位判處罰金,并對其直接負責(zé)的主管人員和其他直接責(zé)任人員,依照各該款的規(guī)定處罰。”。顯然,其中“違反國家有關(guān)規(guī)定”理應(yīng)是侵犯公民個人信息罪的重要構(gòu)罪前提。但鑒于地方性法規(guī)和部門規(guī)章認定標準不一且變動較為頻繁,因而此處的“國家有關(guān)規(guī)定”應(yīng)限于法律和行政法規(guī)[3]。正如我國《民法典》和《個人信息保護法》規(guī)定,當(dāng)已公開個人信息的后續(xù)利用在“合理范圍”時,無須信息主體同意,但當(dāng)其后續(xù)利用有損公民重大利益或?qū)穹ㄒ嬗兄卮笥绊憰r,則應(yīng)征得信息主體同意。簡言之,對已公開個人信息的后續(xù)利用,應(yīng)遵循“合理利用”的原則。

無論是單一有罪論和無罪論,還是已公開個人信息“合理利用”的限度界定,追本溯源都與侵犯公民個人信息罪保護的法益有關(guān),因為某一行為是否觸罪,往往取決于此罪名保護的法益何如。然而,對侵犯公民個人信息罪規(guī)制的法益,學(xué)界有所分歧,存在個人法益說和超個人法益說之爭。

二、侵犯公民個人信息罪保護的法益分歧與評析

(一)個人法益說之提倡

侵犯公民個人信息罪被置于《刑法》“侵犯公民人身權(quán)利、民主權(quán)利罪”一章,處于“私自開拆、隱匿、毀棄郵件、電報罪”和“報復(fù)陷害罪”之間,此兩罪規(guī)制的法益分別為公民的通信自由權(quán)及名譽權(quán),均為個人法益,基于此,從刑法體系性的特征出發(fā),持自然犯屬性的侵犯公民個人信息罪保護的法益理應(yīng)為個人法益[4]。哪怕有學(xué)者認為,如有證據(jù)證實具體個罪保護法益有違章節(jié)類罪規(guī)制法益,則可例外加以規(guī)定,但筆者認為此類特殊規(guī)定不宜過多,否則有損刑法的體系性[5]77。

持個人法益論者派系眾多,有沿襲美國個人信息保護模式的隱私權(quán)說,有溯源于我國《憲法》的人格尊嚴和自由說[6],有以是否侵擾私生活安寧為判斷準則的個人生活安寧說[7],有融合人身法益和財產(chǎn)法益產(chǎn)生的信息自決權(quán)說。多數(shù)學(xué)說各執(zhí)一詞,難免存有缺漏。隱私權(quán)說罔顧中美法系差異,忽視個人信息流動性與個人隱私私密性之迥異,使個人信息喪失社會性;人格尊嚴和自由說中的《憲法》依據(jù)并無具體權(quán)利,而且個人尊嚴和自由之概念因較為抽象而使法律適用極為隨意[8];個人生活安寧說基于個體對安寧含義的理解有異,致使生活安寧的判斷標準極為模糊。新型權(quán)利說即信息自決權(quán)說雖脫胎于人格尊嚴與自由說和財產(chǎn)權(quán)說,但始終尊崇人是目的而不是手段的原則,承載著自媒體時代信息主體的法益自由,重視保護信息主體對個人信息的掌控,因而更有利于平衡信息保護和流通之間的關(guān)系,其中社會公法益價值尤為卓著。

(二)超個人法益說之證偽

在預(yù)防刑法觀看來,立足于家長主義的超個人法益說重視對公共信息安全下民眾集體法益的維護。在自媒體時代,對公民個人信息的侵擾有可能對信息主體之外的社會公眾產(chǎn)生不良影響,所以有學(xué)者基于《刑法》第253條中的“公民”內(nèi)涵,認為信息時代公民個人信息關(guān)涉社會公法益,因而侵犯公民個人信息罪中的“公民”泛指包括具有中國國籍、外國國籍及無國籍等在內(nèi)的所有民眾,由此暗喻侵犯公民個人信息罪的超個人法益屬性[9]。但是,超個人法益說現(xiàn)存眾多紕漏,僅憑對《刑法》第253條“公民”內(nèi)涵的片面理解就認為侵犯公民個人信息罪的保護法益為超個人法益,難免有失周延,何況單獨的“公民”一詞通常與“國家”概念相駁斥[5]78,對“公民”含義予以過分解讀更有工具主義之嫌。詳言之,《刑法》第253條的侵犯公民個人信息罪具體指“違反國家有關(guān)規(guī)定”,向他人出售或者提供公民個人信息,情節(jié)嚴重的行為。由于其特指“情節(jié)嚴重”,不難推知此罪應(yīng)屬情節(jié)犯,并非順應(yīng)風(fēng)險社會而生的抽象危險犯[10]。

以維護超個人法益為意旨的抽象危險犯往往具有非排他性和公益性的特征[11],從超個人法益視角予以審視,抽象危險犯維護的法益是民眾的公共利益,因而個體之間對公民個人信息的利用不應(yīng)有所沖突。但實際上,具有私益內(nèi)涵的公民個人信息因其可識別性特質(zhì)而與超個人法益的非排他性特質(zhì)相抵牾,公益性往往指向公民的集體享有,而公民個人信息通常因歸屬特定主體而與超個人法益的公益性相對立。總之,由風(fēng)險社會中抽象危險犯衍生而來的超個人法益說與刑法理論和司法理念相違背,其僭越了社會治理現(xiàn)狀,與刑法個罪法益維護相沖突,不符合侵犯公民個人信息罪的立法趨勢。因此,侵犯公民個人信息罪的超個人法益說并無可行性。

(三)對爭議焦點的回應(yīng)

明確侵犯公民個人信息罪的保護法益,不但有助于厘清罪與非罪、此罪與彼罪的界限,更能在個人信息流通和保護之間尋求平衡。筆者贊成侵犯公民個人信息罪的保護法益為個人法益中的信息自決權(quán),而順應(yīng)積極刑法觀產(chǎn)生的超個人法益說并非僅僅注重對社會管理秩序的維護,其在社會秩序法益下尤其重視對背后個體法益的保護。因為抽象的超個人法益倘若與行政犯一般只維護社會管理秩序的危險狀態(tài),罔顧危險狀態(tài)中法益?zhèn)€體的實在內(nèi)容,將會偏向單純的規(guī)范違反[12]。因此,且不說侵犯公民個人信息罪的保護法益應(yīng)當(dāng)為個人法益說中的信息自決權(quán),哪怕本罪維護的法益應(yīng)當(dāng)是社會管理秩序,其社會管理秩序內(nèi)核也與個體法益息息相關(guān),所以,無論是超個人法益說還是個人法益說,最后都難以逃脫公民信息自決權(quán)的視閾。質(zhì)言之,刑法中已公開個人信息的“合理利用”應(yīng)取決于公民信息自決權(quán)行使的正當(dāng)限度。那么,何為公民信息自決權(quán)?怎樣通過公民信息自決權(quán)透視已公開個人信息的后續(xù)利用在何種情形下應(yīng)受刑法保護?對這些問題的回答,無疑有助于實現(xiàn)社會效益的最大化。

三、個人自治法益理念基礎(chǔ)上公民自決權(quán)之檢視

(一)公民自決權(quán)的意蘊

施泰姆勒在1971年德國《聯(lián)邦個人信息保護法草案》中提出“信息人格自決權(quán)”的概念,意指民眾有自由決定自己思想和行為的能力。此后德國于1982年推行《人口普查法》,對廣大民眾的職業(yè)與住所等個人信息進行調(diào)查,在此過程中有民眾以政府的行為違反憲法、侵犯公民的信息自決權(quán)為由提起訴訟,隨之此案以政府行為違憲終止,確認了公民個人信息自決權(quán)的憲法權(quán)利地位[13]。何為公民信息自決權(quán)?其基于自決理念,意指無論在個人信息公開前抑或是公開后,信息主體都有權(quán)決定個人信息的公開方式和程度,都有權(quán)對其個人信息予以處置。然而,溯源于侵犯公民個人信息罪保護法益的公民自決權(quán),在法益概念中又有何種效用,尚需斟酌。

(二)個人自治法益概念的厘清

根據(jù)法益之中的公民自決即公民個人意志的不同作用,可將其分為事實性的法益與個人自治的法益[14]。

事實性的法益概念立足于一元的國家法益概念,著重從客觀性的、靜態(tài)的視角,通過規(guī)制行為客體的客觀存續(xù)狀態(tài),對法益概念予以建構(gòu)。此觀點認為,財產(chǎn)類犯罪維護的法益是財產(chǎn)的完好性,公民人身類犯罪維護的法益是身體的完整性,這種見解完全摒棄對主觀要素的考量,著力于維護刑法的客觀性。但此見解尚存不足,倘若法益僅僅指客體的完好存續(xù)狀態(tài),那么理論上具有法益侵害性的自殺行為也應(yīng)被科以刑罰,但此舉必然會對公眾的道德直覺造成沖擊。此外,事實性的法益概念往往與刑法的目的相悖,重視刑法客體存續(xù)狀態(tài)的事實性法益概念通常與刑罰的價值理念格格不入。因為刑法并無保障客體存續(xù)狀態(tài)的功能,質(zhì)言之,哪怕并無針對人類身體和財物的法益侵害發(fā)生,經(jīng)過一定的歲月洗禮,身體的損傷和物體的喪失也會出現(xiàn),此種自然進程通常并非刑法所規(guī)制。誠然,刑法中的法益概念必定與其權(quán)利人的意志相關(guān),比如刑法罪名中通常有故意犯罪和過失犯罪之分,二者的刑罰往往輕重各異;而以融入權(quán)利人意志將會致使法益概念主觀化為由,進而證成事實性的法益概念者,通常容易深陷教條主義之中。因此,厘定刑法具體法益時,將其客觀狀態(tài)和行為人的主觀意志予以同時考慮,不僅滿足刑法教義學(xué)研究之需,更符合民眾的道德直覺之感。

何為自治?自治意味著有行為能力和權(quán)利能力的理性自然人根據(jù)其真實意愿,進行自我管理的行為。個人自治的法益概念認為,刑法維護的是權(quán)利人對其權(quán)利物所具有的支配行為,由于只有維護這些權(quán)利物的完整性才能進一步被權(quán)利人自由利用,權(quán)利人對權(quán)利物自由使用和支配的自由理應(yīng)成為法益概念的一部分。只有當(dāng)行為人的行為對權(quán)利人的自由意志有所侵擾時,才應(yīng)當(dāng)肯定其行為的刑事違法性。但在個人自治的法益概念內(nèi)部,觀點仍不統(tǒng)一,可分為潛在意志說和自由意志說。潛在意志說強調(diào)權(quán)利人對權(quán)利物隨時加以利用的潛在意志,行為人一旦對權(quán)利物造成侵害就會侵擾權(quán)利人對權(quán)利物潛在的支配力,由此行為人的行為必然具有法益侵害性,此見解會致使刑罰權(quán)擴張,有違刑法謙抑性。自由意志說在潛在意志說的基礎(chǔ)上予以完善,認為刑法的目的在于通過對權(quán)利人權(quán)利物存續(xù)完整性的維持,實現(xiàn)權(quán)利人自主決定的權(quán)利。換言之,刑法對法益客體的保護是為了充分保障權(quán)利人對法益客體的支配權(quán)利。而行為人只有當(dāng)損毀了權(quán)利人本可以自由支配的法益客體之時,才具有刑事違法性。誠然,法益侵害必須對權(quán)利人的權(quán)利物造成了實質(zhì)侵害,從而致使權(quán)利人的自主決定權(quán)受到侵擾。此觀點著重對法益客體的損害及權(quán)利人自主決定的自由予以綜合考察,有助于促進主客觀相統(tǒng)一。

有鑒于此,刑法保護的法益指的是囊括權(quán)利人自由意志的法益客體客觀完備的存續(xù)狀態(tài),當(dāng)權(quán)利人同意行為人對其法益造成損害的行為時,由于行為人的行為非但沒有違背權(quán)利人的意志而且能促成權(quán)利人欲實現(xiàn)的目的,因此并無法益侵害性。正如侵犯公民個人信息罪保護的法益并非信息的完備狀態(tài),而是公民的信息自決權(quán),即信息主體有權(quán)對其已公開或未公開的個人信息加以支配利用的決定權(quán)。針對已公開的個人信息,信息主體有權(quán)決定個人信息利用的用途和目的。

(三)個人自治法益觀中公民自決權(quán)的審視

正如盧梭在《社會契約論》中所言,“人生而自由,卻無往不在枷鎖之中”;責(zé)任和自治往往是一個硬幣的兩面[15]。再如,美國法律允許公民持有、使用槍支以維護自身安全,但由于槍支殺傷力大,其被民眾隨意持有亦有可能造成社會動蕩。因此,自治并非權(quán)利人絕對的自我決定,由于外在客觀條件的制約,每個人都無法完全自由地支配自我,譬如法律在某些情況下會發(fā)揮家長主義功能以否認公民的意思自治。鑒于公民個人信息的后續(xù)利用價值相較于初始價值而言,往往有更為巨大的能量,因此對公民已公開個人信息予以保護為應(yīng)有之義。然而在公民信息自決權(quán)中,公民對信息的收集和后續(xù)的利用有絕對掌控權(quán)顯然與自媒體時代信息流通的必要性相悖,此種對公民意志漫無邊界的保護會使得其他民眾誠惶誠恐,從而阻礙社會發(fā)展。基于此,公民信息自決權(quán)作為一種相對性的權(quán)利,在行使的過程中應(yīng)當(dāng)受到目的限制原則、比例原則與法律保留原則的制約。對已公開公民個人信息更是如此,其后續(xù)的利用需要在具體情景中考量信息主體個人法益和社會公益間的利害關(guān)系。

根據(jù)公開的方式不同,已公開的公民個人信息可分為權(quán)利人主動公開的信息和權(quán)利人被動公開的信息。權(quán)利人主動公開的信息中信息主體自治的范疇較廣,因而對其合理利用范疇的界定應(yīng)在尊重信息主體自治法益的基礎(chǔ)上,依據(jù)《刑法》第253條的規(guī)定,在前置法的相關(guān)規(guī)定前提下尋求其刑法合理利用路徑。主動公開的個人信息通常與信息主體的意志關(guān)聯(lián)度較高,其公開往往有預(yù)期的目的,所以信息處理者的后續(xù)利用行為不能逾越此初始目的[16]89-90。而被動公開的個人信息或是違背信息主體意志的非法公開型個人信息,或是承載著公共利益的強制公開型個人信息。針對非法公開型的個人信息進行后續(xù)利用顯然為不合理利用,但鑒于信息處理者在此類案件中通常并無違法認識可能性,所以信息處理者無須對此類已公開個人信息后續(xù)利用導(dǎo)致的不良后果承擔(dān)法律責(zé)任,而針對強制公開型的個人信息,信息主體需對此類已公開個人信息的后續(xù)利用行為承擔(dān)較高的容忍義務(wù),因此信息處理者的行為倘若契合比例原則則無須受到法律規(guī)制[17]。有鑒于此,信息主體對被動公開的個人信息后續(xù)利用的管理權(quán)限通常較小,所以筆者暫不討論其后續(xù)利用的刑法合理限度。而權(quán)利人主動公開的個人信息的后續(xù)利用是否符合刑法要求,則需在法秩序統(tǒng)一原理下,基于個人自治法益觀即信息自決權(quán)來探求其合理利用的路徑。

四、基于個人自治法益觀證成已公開個人信息的合理利用路徑

對已公開個人信息后續(xù)利用的具體舉措,《刑法》并無明確的規(guī)制路徑,與此相關(guān)的僅有《刑法》第253條對侵犯公民個人信息罪的描述,其以“違反國家有關(guān)規(guī)定”為條件,表明向他人出售或者提供公民個人信息之情節(jié)嚴重的行為是個人信息不合理利用的前提。誠然,對刑法上已公開個人信息的合理利用,必須從個人自治的法益觀出發(fā),并通過超越個人自治的法益觀,回到信息主體和信息處理者共同擁有信息安全法益之軌道[18]。因此,基于法秩序統(tǒng)一原理,界定刑法中已公開個人信息的合理利用范疇應(yīng)當(dāng)以前置法中的相關(guān)規(guī)定為基準。前置法中關(guān)涉已公開個人信息合理利用行為的界定有多種規(guī)則,比如合目的性規(guī)則、客觀開放程度性規(guī)則、法益衡量規(guī)則和知情同意規(guī)則等,這些規(guī)則都將公民自決權(quán)融入其中,從而體現(xiàn)公民個人自治,但刑法視角中對已公開個人信息后續(xù)利用的合理性界定應(yīng)采取何種規(guī)則,目前尚需探究。

(一)合目的性規(guī)則的辨析及缺陷

在立法過程中,我國《個人信息保護法(草案)》第28條曾規(guī)定,個人信息處理者對已公開個人信息的處理,應(yīng)符合個人信息被公開時的用途,超出該用途合理范圍的,信息處理者應(yīng)當(dāng)告知信息主體并取得其同意(5)參見《個人信息保護法(草案)》第28條:“個人信息處理者處理已公開的個人信息,應(yīng)當(dāng)符合該個人信息被公開時的用途;超出與該用途相關(guān)的合理范圍的,應(yīng)當(dāng)依照本法規(guī)定向個人告知并取得其同意。”。該草案將已公開個人信息公開時的目的作為判斷其后續(xù)利用是否合理的重要因素,此謂之合目的性規(guī)則。此條款賦予信息處理者以注意義務(wù)來防止公民個人信息被濫用,即當(dāng)已公開個人信息的初始目的明確時,信息處理者的后續(xù)處理行為不得偏離該目的;當(dāng)已公開個人信息的目的不明晰時,作為理性人的信息處理者應(yīng)恪守注意義務(wù)以合理謹慎的態(tài)度進行個人信息的后續(xù)利用[16]97。譬如,公民為求職而將自己的簡歷公布于人才招聘網(wǎng),此時向其發(fā)送錄用通知以及向其發(fā)送推薦工作的廣告具有正當(dāng)性,而給其發(fā)送騷擾信息則不符合合目的性規(guī)則的初衷。不難發(fā)現(xiàn),法益概念往往蘊含著法益處分自由,正如個人信息公開的初始目的和用途理應(yīng)是個人信息法益的組成部分,如果信息處理者的行為違反了信息公開的初始目的,則個人信息處理的有效同意隨之喪失,信息處理者的行為便具備了法益侵害性,侵犯了公民的個人信息自決權(quán)。鑒于個人信息公開后信息主體仍對其有合理的期待,所以在已公開個人信息的收集階段,信息處理者應(yīng)當(dāng)采取合法的手段;在已公開個人信息的后續(xù)利用階段,信息處理者也不得隨意增加刪改其內(nèi)容和結(jié)構(gòu),不得歪曲信息主體人格形象。

然而,個人信息公開的初始目的和用途往往具有模糊性和復(fù)雜性,因而難以準確認定。信息處理者通常為了牟利而罔顧信息合理使用的限度,信息主體在公開其個人信息時也沒有明確目的,譬如基于社交需要而將個人信息公之于眾的情況。退言之,哪怕信息主體有清晰的目的,其主觀目的和客觀公開之間也可能存在沖突。倘若信息主體稱其有特定的目的,而個人信息卻處于完全公開的態(tài)勢,此時信息處理者往往極難判斷信息主體的目的;如果信息處理者的后續(xù)利用行為與信息主體的主觀目的不符將構(gòu)成違法犯罪,則會過分限縮已公開個人信息的處理范圍,致使已公開個人信息的合理利用罔顧客觀情況而偏向極端的主觀主義。

有學(xué)者從刑法教義學(xué)的角度通過對合目的性規(guī)則的批判,提出客觀開放程度性規(guī)則,即以信息的客觀開放程度,而不是信息處理的合目的性,來規(guī)定已公開個人信息處理者的刑事責(zé)任邊界。但客觀開放性標準對已公開個人信息的保護依賴于技術(shù)限制,因而此學(xué)說在邏輯結(jié)構(gòu)上與個人法益立場相抵牾,且信息主體在表達同意時通常無法知曉信息處理者的具體處置措施,所以,給普通人苛以較高要求的客觀開放程度性規(guī)則尚存不足[19]。

(二)法益衡量規(guī)則的適用及不足

《民法典》第1036條規(guī)定,信息處理者合理處理自然人自行公開和其他依法公開的信息,不用承擔(dān)民事責(zé)任,但信息主體明確拒絕或侵犯信息主體重大利益的除外。此條款作為個人信息后續(xù)利用的免責(zé)事由,基于法益衡量規(guī)則予以確證公民個人信息后續(xù)利用與信息主體人身和財產(chǎn)之間的價值判斷,認為只有當(dāng)已公開個人信息的后續(xù)利用對公民的權(quán)益造成損害時,才認定信息處理者的行為具有法益侵害性(6)參見《民法典》第1036條:“處理個人信息,有下列情形之一的,行為人不承擔(dān)民事責(zé)任:(一)在該自然人或者其監(jiān)護人同意的范圍內(nèi)合理實施的行為;(二)合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息,但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外;(三)為維護公共利益或者該自然人合法權(quán)益,合理實施的其他行為?！?。依據(jù)《個人信息保護法》第27條規(guī)定,信息處理者可以處理信息主體自行公開和其他依法公開的個人信息,個人明確拒絕的除外,且當(dāng)處理行為對信息主體個人權(quán)益有重大影響時,也應(yīng)取得信息主體同意(7)參見《個人信息保護法》第27條:“個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息;個人明確拒絕的除外。個人信息處理者處理已公開的個人信息,對個人權(quán)益有重大影響的,應(yīng)當(dāng)依照本法規(guī)定取得個人同意?！薄４藯l款要求行為人預(yù)先判斷已公開個人信息的后續(xù)處理是否對權(quán)利人的法益有重大影響,基于此判斷來確定是否需要征求信息主體的同意[16]95-96。無論是以“侵害權(quán)利人重大法益”為由對行為人予以違法規(guī)制的《民法典》,抑或是當(dāng)已公開個人信息的處理對“個人法益有重大影響”而應(yīng)征得信息主體同意的《個人信息保護法》,兩者都關(guān)涉法益衡量規(guī)則。法益衡量規(guī)則下,已公開個人信息的利用需綜合考量信息公開所帶來的社會公共利益與信息主體的利益維護之間,何者為更優(yōu)越的利益。

關(guān)于已公開個人信息的合理利用問題,無論是《民法典》中規(guī)定的“不得侵害重大利益”,抑或是《個人信息保護法》中規(guī)定的“不得對個人權(quán)益造成重大影響”,其實都關(guān)涉信息主體法益是否受損的討論。不同的是,“不得損害重大利益”是從社會大眾的客觀法益視角予以審視,而“不得對個人權(quán)益造成重大影響”是從信息主體主觀法益視角予以判斷。何為重大法益呢?道德主義視野中人身法益往往優(yōu)于財產(chǎn)法益,但是當(dāng)價值很大的財產(chǎn)損失和損害較小的人身傷害相比又當(dāng)如何抉擇,不同的人會有不同的見解。換言之,法益概念常常因為缺乏確定可操作的具體標準而不具有普適性。因此,對已公開個人信息的后續(xù)利用是否合理,不應(yīng)以“是否侵害重大法益”這一不確定的主觀判斷為基準[20]。

《個人信息保護法》規(guī)定,倘若個人信息處理者的后續(xù)利用對個人法益產(chǎn)生重大影響則應(yīng)征得信息主體同意,此規(guī)定雖然關(guān)涉信息主體法益的衡量,但由于融入了信息主體同意這一要件,因此不難推知,此規(guī)定欲保護的并非僅僅是客觀法益不受損害,而且包括信息主體對客觀法益的支配力,一定程度上來講此規(guī)定更接近知情同意規(guī)則。而《民法典》在對于已公開個人信息合理利用的規(guī)定中,倘若將“不得侵害重大利益”這一要件去掉,那么,此條款關(guān)涉已公開個人信息的合理利用問題,也僅僅留下以“權(quán)利人明確拒絕”為主的主觀判斷。所以,鑒于法益衡量原則在已公開個人信息合理利用判斷中存在缺陷,不難推知,信息主體的主觀意志即“拒絕”或“同意”,對已公開個人信息的后續(xù)利用有決定性意義。

(三)知情同意規(guī)則的思路及揚棄

《民法典》第1036條和《個人信息保護法》第27條都蘊含了知情同意規(guī)則的理念?！睹穹ǖ洹返?036條第2款規(guī)定行為人合理處理權(quán)利人自行公開或合法公開的信息可不承擔(dān)民事責(zé)任,但是權(quán)利人明確拒絕或信息處理侵害權(quán)利人重大利益的除外?！秱€人信息保護法》第27條規(guī)定個人信息處理者處理對個人法益有重大影響的已公開的個人信息,應(yīng)當(dāng)征得信息主體同意。以上規(guī)定將信息主體明確拒絕、對公眾或信息主體法益造成侵擾作為知情同意的要件,說明未經(jīng)信息主體同意的信息處理行為可能是構(gòu)罪的基礎(chǔ)。個人信息的處理必須建立在信息主體經(jīng)過理性判斷做出的有效承諾基礎(chǔ)上。

但是,信息處理者往往通過爬蟲技術(shù)對眾多已公開的個人信息予以利用,倘若海量信息的處理都需征求信息主體的同意,將會因為搜尋和談判成本過高而影響信息流通的效率,并會對信息處理者施以過重的義務(wù)[21]223。在自媒體時代,哪怕每條個人信息在公開時都征得了信息主體的授權(quán)同意,但基于后續(xù)信息利用的復(fù)雜性,信息主體對已公開個人信息也無法完全得以掌控。且知情同意原則往往只從形式上對信息主體的主觀意志予以審視,而罔顧信息處理者的行為是否造成了實質(zhì)的法益侵害。從實務(wù)角度出發(fā),倘若信息處理者對個人信息的利用并未造成信息主體法益受損的風(fēng)險,則信息主體未必有時間和精力對信息處理者處理個人信息的行為予以干涉。換言之,哪怕知情同意規(guī)則得以有效貫徹,信息主體受欺騙后的同意承諾是否有效,也需深入探討。

(四)基于場景理論解構(gòu)刑法中已公開個人信息的合理利用

通過上述對合目的性規(guī)則、客觀開放程度性規(guī)則、法益衡量規(guī)則和知情同意規(guī)則的剖析,可以發(fā)現(xiàn),此四種規(guī)制已公開個人信息合理利用的路徑都有失周延,而海倫·尼森鮑姆根據(jù)已公開個人信息的利用不得違反其初始的具體語境而提出的場景理論可以彌補四種規(guī)則的缺憾。單獨運用知情同意規(guī)則,往往因成本昂貴和程序繁瑣而缺乏可行性。對大部分已公開的海量個人信息的利用是否合理,倘若依據(jù)場景理論予以判斷及規(guī)制,那么需要信息主體予以同意才可利用的已公開個人信息則會大幅減少。只有當(dāng)場景式理論判斷無法界定已公開個人信息是否屬于刑法上合理利用的范疇時,再將已公開個人信息如何利用的決定權(quán)交由信息主體,此舉不僅不會因為成本過高而危及信息的流通效率,更能在已公開個人信息利用的過程中融入信息主體的法益自由,故具有重要的理論和實踐價值。質(zhì)言之,對已公開個人信息合理利用進行規(guī)制的目的在于促進資源的合理配置,實現(xiàn)個人信息保護和利用的衡平[22]。

1.場景理論的濫觴

何為場景理論?出于對隱私權(quán)的保護,海倫·尼森鮑姆認為個人信息保護理應(yīng)是高度依賴場景的、動態(tài)發(fā)展的過程,即脫離場景的個人信息預(yù)判式保護是不可取的[23]。詳言之,場景理論主張將信息主體、信息處理者、信息特質(zhì)、信息處理目的及其后果等因素皆作為考量信息利用是否合理的基準,其中信息處理目的是界定信息利用是否合理的關(guān)鍵因素,對法益侵害風(fēng)險的認定有決定性作用[23]。有鑒于此,歐盟的《一般數(shù)據(jù)保護條例》第64條規(guī)定:“當(dāng)處理的目的并非建立在個人數(shù)據(jù)被收集時數(shù)據(jù)主體所同意的基礎(chǔ)時,需要確定個人信息進一步處理目的是否與收集個人數(shù)據(jù)的最初目的相一致。”據(jù)此可知,歐盟對已公開個人信息的后續(xù)利用是否合理,重點以已公開個人信息中信息主體的合理期待為考量對象[24]64-65。美國的場景理論則依據(jù)后續(xù)的信息利用行為是否符合信息主體的“合理隱私期待”,來判斷信息處理者對已公開個人信息的利用行為合法與否[21]217。兩種針對場景理論存在的構(gòu)思都從信息處理者的行為是否符合信息公開的初始目的,轉(zhuǎn)向?qū)π畔⑻幚碚叩男袨槭欠裼羞`信息主體的合理預(yù)期,此動態(tài)化轉(zhuǎn)變契合信息自由流通的實踐現(xiàn)狀。

2.“場景式判斷+知情同意”規(guī)則的深層邏輯

在海倫·尼森鮑姆提出的場景理論基礎(chǔ)上,結(jié)合歐盟和美國對場景理論的實踐運用,筆者創(chuàng)新性地構(gòu)建出符合我國司法制度的場景式判斷規(guī)則藍圖,即應(yīng)以信息主體為中心,賦予信息處理者審慎的審查義務(wù),著重考察信息處理者處理已公開個人信息的行為是否符合信息主體的合理預(yù)期而為信息主體所接受。具體而言,以場景理論為背景,在已公開個人信息合理利用的過程中,應(yīng)根據(jù)不同的信息主體和信息處理者施以不同的信息流通判斷規(guī)則。綜合考量信息主體公開個人信息的初始用途和目的以及合理預(yù)期,將已公開個人信息存在的場景予以具體劃分,譬如將其劃分為“共享性場景”“盈利性場景”和“違法犯罪性場景”。已公開個人信息的后續(xù)利用如果能和信息公開時的初始狀態(tài)位于同一場景中,便必然不構(gòu)罪,因為此種利用行為不僅與信息公開的初始目的相契合,更有利于信息的流通。然而,信息后續(xù)利用的場景若不同于信息公開的初始狀態(tài)所位于的場景,也并非一定構(gòu)罪。倘若信息公開的初始狀態(tài)位于高風(fēng)險場景,而信息后續(xù)利用轉(zhuǎn)化到低風(fēng)險場景,根據(jù)風(fēng)險降低理論,此種情況下信息后續(xù)利用的行為并不會對信息主體產(chǎn)生實質(zhì)性法益侵害,基于刑法的謙抑性,此行為當(dāng)然無罪。然而,如果信息公開的初始狀態(tài)位于低風(fēng)險場景,而信息處理者的后續(xù)利用行為將其置于高風(fēng)險場景中,則需重新取得信息主體的授權(quán)同意,否則便可能構(gòu)罪[24]65。事實上,一旦信息處理者的后續(xù)利用行為進入“違法犯罪性場景”,便必然構(gòu)罪。譬如,陳某甲于2018年通過微信承攬“私家偵探”業(yè)務(wù),隨之,閔某將妻子郭某的個人信息交予陳某甲,并委托其找人,經(jīng)兩次尋人,閔某于2021年將其妻郭某殘忍殺害,后支付陳某甲等人傭金。經(jīng)審查逮捕起訴,柳林縣人民法院以侵犯公民個人信息罪,判處陳某甲等人三年以內(nèi)有期徒刑不等,并處罰金(8)參見2022年12月2日最高人民檢察院發(fā)布的5件依法懲治侵犯公民個人信息犯罪典型案例中的陳某甲、于某、陳某乙侵犯公民個人信息案。。

當(dāng)場景式理論判斷無法界定已公開個人信息的利用是否屬于合理范疇時,需要知情同意規(guī)則來進行規(guī)制,即將已公開個人信息如何利用的決定權(quán)交由信息主體。但是信息主體因他人欺騙而作出無法體現(xiàn)其真實意志的決定時,其做出的同意承諾是否有效,可能關(guān)涉到受欺騙的被害人承諾是否有效的討論。對于被害人受欺騙后作出承諾的效力問題,司法實務(wù)和理論中有不同觀點,譬如德國的全面無效說、日本的主觀真意說、法益關(guān)系錯誤說以及法益處分目的視域下的法益關(guān)系錯誤說。德國的全面無效說認為,被害人承諾中的意思自治能阻卻違法,當(dāng)被害人由于受欺騙喪失意志自由時便喪失了被害人的自治,此時被害人做出的承諾應(yīng)全部歸于無效[25]。但此學(xué)說會導(dǎo)致刑罰權(quán)的無限擴大,并不可取。日本的主觀真意說以被害人的主觀意思為主,認為倘若只要被害人知道事實真相便不處分法益即可認定被害人承諾無效,此學(xué)說也會導(dǎo)致處罰范圍的擴大。法益關(guān)系錯誤說認為,只要行為人對法益侵害的方式、種類和范圍等可能對法益存在實質(zhì)影響的因素有認識錯誤,那么被害人承諾將歸于無效[26]。按照這一理論,關(guān)涉被害人承諾的絕大多數(shù)案件都能得到妥當(dāng)處理,然而對于類似于器官移植類案件的處置,卻有捉襟見肘之嫌。法益處分目的視域下的法益關(guān)系錯誤說認為,倘若行為人對某種法益的處分具有一定的目的性,則該目的性是否能夠?qū)崿F(xiàn)便應(yīng)當(dāng)成為法益的組成部分,當(dāng)?shù)谌藢嵤┑钠垓_行為使行為人的目的無法實現(xiàn)時,被害人的承諾便會歸于無效。此學(xué)說作為法益關(guān)系錯誤說的修正理論,在處理具體案件時應(yīng)有層次地進行判斷,首先應(yīng)判斷行為人對其法益的處理是否有明晰的認知,如果沒有,則行為人做出的被害人承諾無效;如果有,則進一步判斷行為人的法益處分目的能否實現(xiàn),進而判斷行為人的承諾是否有效。此學(xué)說脫胎于法益關(guān)系錯誤說,并將行為人的法益處分目的融入其中,無疑是目前最為合理的學(xué)說。綜上,刑法在利用知情同意規(guī)則處理已公開個人信息合理利用的過程中,涉及到受欺騙的被害人承諾時,應(yīng)堅持法益處分目的視域下的法益關(guān)系錯誤說[27]。

簡言之,場景式判斷規(guī)則應(yīng)有層次性地對已公開個人信息的合理利用予以規(guī)制,根據(jù)已公開個人信息的后續(xù)利用是否從低風(fēng)險場景僭越到高風(fēng)險場景來進行鑒定。如果不是,則信息處理者的行為屬于合理利用;如果是,則需進一步判斷信息處理者的行為能否取得信息主體的同意,倘若取得信息主體的同意則屬合理利用范疇,倘若未取得同意則有可能構(gòu)成侵犯公民個人信息罪。在此過程中,如若涉及受欺騙的被害人承諾,則應(yīng)考察信息主體是否對其處分的法益有清晰認知,以及信息處理者的行為是否符合信息主體的法益處分目的。