河北公安警察职业学院学报
Journal of Hebei Vocational College of Public Security Police
2021年3月Mar.2021第21卷第1期
Vol.21No.1
一、问题的提出
随着经济社会的高速发展和信息化时代的不断进步,对于个人信息的保护在立法方面愈来愈受到重视。刑事层面与公民个人信息相关的正式立法最早开始于以刑法修正案(七)在刑法第253条之一增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两项罪名,其中前罪以国家机关、涉及公共服务或利益的单位的工作人员作为主体。随着个人信息应用领域的逐渐活跃,2015年11月起施行的刑法修正案(九)将罪名整合为侵犯公民个人信息罪以促进立法的精简,删去了对“出售、非法提供公民个人信息罪”所设置的特殊主体要求,并将其调整为从重处罚的量刑情节。此外,还将法定刑作了提升,设置“情节特别严重”的情形。而面对侵犯个人信息犯罪方法和模式的千变万化,该罪在司法实践具体定罪量刑的过程中,亟需统一法律适用标准,因此,由两高颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)以解决这一混乱状态。回顾与个人信息有关的刑事立法
进程,不难发现,我国在个人信息的刑法保护方面已经取得了一定的进展,但是由于个人信息作为“数据黄金”,在大数据时代的背景下对于各行业,特别是互联网行业有着高度的应用价值和商业价值。在巨大的利益诱惑面前,一条关于个人信息的分工明确、精细完整的黑产业链逐渐形成,包括对个人信息的非法获取、利用、出售或提供等环节,除对个人信息非法利用之外,另外两个环节已纳入刑法规制范畴。然而,近年来,对于个人信息的侵犯甚至愈演愈烈,案件数量呈井喷式急剧增长,并且随着信息技术的深度发展以及施害者规避法律的经验
积累而逐渐呈现出“合法获取、不当利用”的新典型特征,比如个人信息拼图式获用、强制打包授权、有针对性地强制推送等新花样层出不穷[1],这一严峻现实对于个人信息的刑事立法提出了新的要求。
二、非法利用个人信息行为入罪的必要性(一)非法利用个人信息行为具有严重法益侵害性侵犯公民个人信息罪的法益属性在刑法学界尚有分歧,大致分为“个人法益论”、“超个人法益论”和“复合法益折中论”三种观点,这也导致了在司法实践中罪名适用的混乱,笔者以“个人信息”一词作为检索内容,在中国裁判文书网中进行全文检索,得到共计30564份相关刑事判决书,而其中以“侵犯个人信息罪”作为案由的仅5816份,而余下六分之五的文书多适用侵犯财产罪、破坏社会主义市场经济秩序罪、妨害社会秩序管理罪等章节下的具体罪名。①而笔者更赞同以“个人法益论”进行分析,支持这一观点的理由主要有两点:其一,从罪名的章节安排来看,侵犯公民个人信息作为刑法第253条之一被安排在刑法分则第四章,关注公民人身权利与民主权利,并且第253条为侵犯公民通信自由和隐私权益的私自开
拆、隐匿、毁弃邮件、电报罪,出于逻辑的统一性和相契性,其法益属性应当只涉及个人相关权益而不应是社会利益或公共秩序;其二,基于刑法保障法的地位和谦抑性的原则,其不应创设新型法益,而应当坚持法秩序的统一性,与前置法所保障的客体保持一致,结合《中华人民共和国民法典》将个人信息保护的相关规定编入人格编中的做法,侵犯公民个人信息罪所保护的法益也应为公民的个人权益。这一个人法益应当是以信息自决权为核心的爱花都
论非法利用个人信息行为入罪
寿宁静
(华东政法大学,上海
200042)
摘要:侵犯个人信息犯罪形势愈加严峻,我国刑法目前对其所设置的“外围式立法”模式面对这
一形势出现了一定的刑法漏洞,罪名无法涵盖非法利用个人信息行为,特别是其中“合法获取、不当利用”的模式为犯罪分子提供可趁之机。因此,出于非法利用个人信息行为对法益侵害的严重性、其行为模式的独立性以及民行层面的力所不逮,应当将其纳入刑法的规制范围,并注重信息利用价值和信息保护价值的平衡,以促进大数据时代的健康持续发展。游戏排行榜2022手游
关键词:个人信息;非法利用;入罪路径中图分类号:D924.34
4月14号是什么情人节文献标识码:A
文章编号:1672-6405(2021)01-0051-03
作者简介:寿宁静(1997-),女,浙江绍兴人,华东政法大学刑事法学院2019级刑法学硕士研究生,研究方向为刑法学。收稿日期:2021-01-15
51
个人信息权,信息自决权是指信息主体能够在自主意志之下,积极控制并支配其个人信息的决定权。非法利用个人信息行为则阻碍了公民决定其个人信息是否被其他个体或单位利用以及如何利用的自由,因其对信息自决权的侵犯而具备法益侵害性。
非法利用个人信息行为的法益侵害性与目前刑法已有规定的两种非法流转类的外围行为的法益侵害性相比,可以说是有过之而无不及,应当作犯罪化处理。第一,非法利用个人信息行为对法益的侵害更为实质且直接。个人信息最重要的特征在于可识别性,公民个人信息与其信息主体存在一一对应关系,因此对于个人信息的非法收集、利用和处理都将对信息主体的权益产生侵害。需要注意的是,虽然两类外围行为也会损害公民所享有的信息自决权,但是无论是获取还是出售或提供都属于对个人信
息的物理或空间上的转移,即使经手的主体再多,通常也只会对法益产生形式上的抽象危险。与之相较,非法利用个人信息行为则将切实地对个人信息背后指向的个体的名誉、财产或征信等方面产生直接损害或威胁。第二,非法利用个人信息行为对法益的侵害更为本源。个人信息的利用价值应当是个人信息的核心价值所在,非法利用个人信息是侵犯个人信息犯罪的最终归宿与落脚点,在整个黑产业链当中出于原动力的地位。以大数据时代为背景,个人信息的价值与其背后的利益不言而喻,施害者对于个人信息利用价值的追求将作用于其对个人信息的疯狂获取和流转,导致恶性循环,使侵犯个人信息犯罪的治理和规制难上加难。
(二)非法利用个人信息行为具有独立性
我国刑法所规定的侵犯公民个人信息罪目前只规制非法获取和出售或非法提供行为,而未直接将非法利用行为纳入刑法规制范畴,有学者将其称为“外围式立法模式”,[2]立法者主要是基于已规定的两类外围行为与非法利用个人信息行为之间存在必然联系,但是这一观点是应当受到质疑的,非法利用信息行为与两类外围行为之间并不存在必然关系,无法被二者所涵盖。
第一,就其对法益的侵害而言,如前文所述,非法利用个人信息行为具有更为严重的法益侵害性。
第二,就其行为自身内涵而言,非法获取是指通过胁迫、买卖、骗取、夺取等方式从无到有得到他人的个人信息,非法出售或提供则是使他人能够得以知悉个人信息的行为,二者都是在行为双方之间的
流转。而非法利用个人信息则是违反国家有关规定对个人信息的单向利用和操控,与前二者的含义存在明显的区别。
前置法中对个人信息行为模式的规定
法律法规名称
《中华人民共和国
民法典》(2021)
《中华人民共和国电子
商务法》(2019)《中华人民共和国网络
安全法》(2017)《中华人民共和国消费者权益保护法》(2014)
条文
第111条、
第1035条
第2款
感人电影排行榜前十名第23条
第41条
第29条
第1款
行为模式
收集、存储、使用、
加工、传输、提供、
买卖、公开等
收集、使用
收集、使用、提供
收集、使用
第三,无论是从前置法的规定还是与其他罪名的比较来看,非法利用个人信息行为在处理个人信息的整个过程当中都具有相当的独立性。首先拥有类似罪名构成的侵犯商业秘密罪被规定在刑法第219条,而其将非法利用、非法获取和非法披露三类行为相当而并列规制,体现出非法利用行为在涉及侵犯信息类犯罪中的独立地位。而出于法秩序的统一性与刑法的谦抑性,关于个人信息的立法规定应当与前置法规定相辅相成,笔者将近年来涉及个人信息的部分前置法规定作了一定的总结(如下表所示),都将利用与获取、提供行为进行了区分而单独描述。
第四,就目前社会现状来看,“合法获取,不当利用”的现象频发,尤其是在互联网应用领域更是普遍。各类App往往采用设置强制条款或隐蔽性条款的宽口径授权模式或者以优惠券、兑换现金红包等作为交换条件的擦边球授权模式以获取公民在注册登记时所填写的相关个人信息,通过在公民同意与授权下的合法获取方式以防止其满足侵犯公民个人信息犯罪的构成要件和《解释》中所规定的拒不履行信息网络安全管理义务罪的情形,这为其对个人信息的非法利用提供了便利条件,设下了隐患。
而非法利用个人信息行为也无法被其他罪名所完全涵盖。有学者提出非法利用个人信息的行为对于施害者来说通常只是罪、合同罪等罪名的手段,以下游犯罪对其进行定罪处罚即可,虽然确实存在竞合的情况,但是这一观点存在偏颇之处。首先,以所保护的法益来看,罪等罪名以公民财
产作为法益,而侵犯个人信息犯罪从前文的论述中已知,应当是以个人信息权这一人格利益作为法益,仅以罪等下游犯罪对其进行评价,往往不够全面,特别是施害者以第三人的个人信息对被害人进行其他犯罪时,会导致法益保护的不周全。其次,当非法利用个人信息行为涉及譬如轰炸式推送等非犯罪活动时,对个人信息权已造成严重损害或威胁,但适用其他犯罪明显存在困难。
(三)民事和行政层面难以抑制
我国对于个人信息立法的关注是持续且多面的,如前文所整理,我国在民事和行政层面都已有关于个人信息的相关立法,而即将于2021年1月1日正式施行的《中华人民共和国民法典》对于个人信息保护的规定更为严格,非法利用行为都被规定为基本行为模式之一,这对抑制非法利用个人信息行为的高发形势具有一定的积极作用,这是不可否认的。但是民事和行政层面的规制存在以下问题:第一,民事和行政层面关于个人信息保护的相关规定比较笼统,适用标准上比较模糊,且以私人力量在举证和到侵权方上存在困难,导致信息主体往往陷入难以维权的泥淖之中,耗费大量的时间成本却可能控诉无门。第二,民事和行政层面法律法规的救济手段相对单一,且缺少威慑力。比较典型的有,根据《网络安全法》第43条和《民法典》第1037条的规定,自然人在发现个人信息被非法或违约处理时,可以请求及时删除相关信息,如果有误可以请求更正。但是对于个人信息被非法或违约处理后所造成的损害和影响应当如何救济等都缺乏相应规定,且难以起到长期遏制非法利用个人信息行为的效果。因此,面对民事和行政法律法规难以有效且长期抑制个人信息被非法利用的严峻形势,应当将其纳入
刑法视野,多管齐下,刑法将以其威慑力,发挥一般预防和特殊预防的等多重功能,缓解非法利用个人信息持续高发的突出问题。
三、非法使用个人信息行为入罪的具体路径
(一)入罪设计
前文已论证了非法利用个人信息行为应当被刑法规制的必要性,但基于大数据被普遍应用的时代背景,在对其入罪作具体设计时应当注重把握个人信息利用价值与个人信息保护价值
52
之间的平衡,时刻提防过度犯罪化。在罪名的选择上,由于非法利用与非法获取、出售或非法提供是相并列的行为,不用再单独入罪,在原有的侵犯个人信息犯罪的基础上以刑法修正案的方式增设新的行为内容即可,也可在一定程度上提高司法成本的利用效率。在罪状的描述上,主要需要解决的问题有:第一是关于非法利用的理解,笔者认为分为未经授权而利用与超过授权范围、目的、方式而利用两类,而对其中比较特别的宽口径授权与擦边球授权,应当以理性人的标准进行个案判断是否符合信息主体的合理预期。第二是应当将“情节严重”作为入罪的基本要求,《解释》中第5条第1款举例了10种“情节严重”的情形(包含兜底条款),考虑的要素主要包括侵犯信息的用途和流向、侵犯信息类型
、侵犯信息数量、违反犯罪数额以及犯罪主体特征。在对非法利用个人信息行为进行例举时也应当采用综合认定的模式,另外还可根据非法利用个人信息法益侵害的直接性,增设危害结果作为综合认定的要素之一对“情节严重”的情形进行例举,比如非法利用公民个人信息从事违法犯罪活动而导致其征信、名誉和财产受到严重损害或威胁的。最后在法定刑的设置上,有观点认为非法利用个人信息行为与另两类外围行为相比对法益会造成更加严重的侵害,应当提高针对该行为的法定刑。[3]与之相对,有观点认为侵犯公民个人信息罪原条文规定的两档法定刑,区间幅度较大,无需对于非法利用行为设置新的更重的法定刑,只需根据在现有的法定刑内根据对法益侵害的严重程度进行选择即可。[4]而笔者更赞同后者的观点,这一做法能够一定程度上维护刑法的稳定性并更好地包容非法利用个人信息行为。
(二)出罪事由
三八节是法定假日吗综合目前的立法和司法解释可得侵犯公民个人信息罪的违法阻却事由主要有三种:知情原则、匿名化处理和优越利益。在非法利用个人信息行为入罪之后,三项出罪事由仍可适用。但值得注意的是,笔者认为面对大数据井喷的现状,对于出罪事由的理解不应当僵化固定,而应当根据个案进行动态的判断,特别是知情原则应当注意与“情境脉络完整性”理论的结合。在个人信息保护领域引入“情境脉络完整性”理论可以理解为个人信息在最初被授权和收集时的具体情境应当被贯彻,其后续的利用或提供都不应超出信息主体在最初的情境脉络下的合理期待。这一做法主要是为了适应数据快速流转和处理海
量数据的需要,更好地平衡个人信息的利用价值和保护价值,促进数据流通效率,更好地发挥“数据黄金”的真正价值。
(三)罪数问题
由于个人信息流通的快速性和其犯罪过程的复杂性,将非法利用个人信息入罪之后往往会遇到如何解决其罪数的问题,笔者认为可以分为以下三类情形对此进行讨论:其一,非法利用行为与两类外围行为之间,出于侵害法益的同一性考虑,应当仅以侵犯公民个人信息罪对其定罪量刑并因其涉及多类行为而从重处罚,但是其所侵犯的信息数量不再重复计算。其二,非法利用行为与下游其他犯罪之间,分辨究竟应当以数罪还是一罪进行定罪量刑的关键之处在于犯罪行为的数量,在此类情形下,通常施害者只实施了非法利用个人信息行为,同时符合侵犯公民个人信息罪与下游其他犯罪的构成要件,应当以想象竞合,从一重罪处罚的原则处理。值得一提的是,若施害者是以第三人的个人信息针对被害人实施其他犯罪,虽然犯罪行为仍然只有一个,但出于法益保护的周延性,可作为从重处罚的情节进行评价。其三,非法利用行为、两类外围行为与下游其他犯罪之间比较复杂,应当“两步走”。首先,以想象竞合,从一重罪的原则判断非法利用个人信息这一行为应当选择哪一罪名。在这一判断的基础之上再分情况讨论,若是应当选择侵犯公民个人信息罪,则按照第一种情形处理;若是应当以下游其他犯罪定罪量刑,则根据两类外围行为的顺序不同作相区别的罪数处理,非法获取个人信息行为通常因与其存在牵连关系而从一重罪处理,出售或非法提供个人信息行为应当与其数罪并罚。
四、结语
大数据时代的来临和高速发展,对于我国的价值无疑是两面性的,这既是一次能够促进我国经济与技术迅速发展的机遇,也是对个人信息和权益保护的一次严峻挑战,这就要求我国在立法时应当注重平衡信息利用价值和信息保护价值,以此促进信息社会的良性循环。潜藏着巨大价值的个人信息成为了各行各业的“珍馐”,特别是在互联网行业往往以各种方式寻求用户对个人信息利用的授权,但这一过程也因为企业的逐利性不可避免地滋生了犯罪,而能够通过识别而拼凑出完整个体的个人信息被侵犯其危害性不言而喻,在刑事立法上应当受到充分的正视。虽然我国目前刑法对于个人信息的规制已经取得了不小的进步,但是随着信息社会日新月异的变化,侵犯个人信息犯罪新的形式如雨后春笋般不断冒头,“外围式立法”的方式逐渐失灵。而2020年的新冠疫情防控也对个人信息的保护提出了更高的要求,为了更好地合法有效利用个人信息以维护社会运转,更应当对于非法利用个人信息行为进行明确。因此,出于非法利用个人信息行为的法益侵害性、其行为模式在侵犯个人信息过程中的独立性以及目前民事、行政层面立法的力有不逮,应当将非法利用个人信息行为增设到侵犯公民个人信息犯罪中对其进行全程打击。当然,为了使得大数据产业能够健康持续地发展,除了完善刑法之外,还应当继续健全民法、行政法等前置法规定,各部门法之间相互衔接、配合,各司其职,以此实现对公民个人信息的周全保护。
注释:
①中国裁判文书网检索页:v/ website/wenshu/181217BMTKHNT2W0/index.html?pageId= 6b5f5310e90f442664c98a9217134f49&s21=%E4%B8%AA% E4%BA%BA%E4%BF%A1%E6%81%AF&s8=02&s6=01最后访问时间:2020年7月18日20时38分。
参考文献:
[1]李川.个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入[J].中国刑事法杂志,2019(5):35. [2]刘仁文.论非法使用公民个人信息行为的入罪[J].法学论坛,2019(6):119.
[3]王肃之.侵犯公民个人信息罪行为体系的完善[J].河北法学,2017(7):158.
[4]黄陈辰.大数据时代侵犯公民个人信息罪行为规制模式的应然转向——以“AI换脸”类淫秽视频为切入[J].华中科技大学学报,2020(2):111.
手机流量管理[编辑:李永新]
53
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论