网络时代下,企业越来越依赖于个人信息的获取、流通和利用,以实现服务的精准化和个性化。但刑法修正案(九)新修订“侵犯公民个人信息罪”,旨在规范获取、提供与出售个人信息的行为,个人信息的安全价值与经济价值之间存在着巨大的矛盾。立法对个人信息的严格保护,有过度妖魔化个人信息危险性和超体系解释特殊保护的嫌疑,导致互联网企业获取、利用个人信息以及相应的商业创新都有可能受到刑法制裁。对本罪构成要件进行限缩解释、引入主观要件和合法经营的阻却事由,是平衡个人隐私保护与鼓励互联网企业创新二者矛盾的可行路径。
一、问题的提出:换脸APP引发的个人信息恐慌
从2019年8月30日晚间开始,一款名为“ZAO”的应用软件火遍社交网络。通过这款软件,用户只需拍摄一张照片,就可以把自己的脸替换到影视作品的演员脸上。由于短时间内众多用户下载,“ZAO”次日下午在苹果应用商店免费App的下载排名中已跃居第二。不过,仅在一天之后,就有用户质疑“ZAO”涉嫌过度攫取用户授权。问题出在软件的用户协议里,该使用协议要求获得用户人脸照片“完全免费”且软件公司享有“可授权和可再许可的权利”。。。。。换言之,一旦用户使用该软件,就意味着软件公司不仅可以免费使用用户的人脸信息,而且也可以将该信息再次出售给三方。此后,“17万人脸数据遭公开售卖”的话题迅速上了微博热搜榜。对此,工信部就网路数据安全问题紧急约谈拥有该软件的北京陌陌科技有限公司,要求其组织自查整改,依法依规收集使用公民个人信息。同时,新华社记者跟进调查,指出换脸APP可能导致用户因使用该软件而让自己脸部信息被他人利用的风险:一是“刷脸”支付、远程签约等金融机构开设的人脸识别功能可能导致用户资金安全丢失;二是脸部信息可能被不法分子用于实施电信网络诈骗等个人身份确认领域的犯罪。
互联网产业是信息时代非公经济发展的重要一环。以“BAT”为代表的互联网企业凭借发达的信息技术迅猛发展,而海量的数据和用户信息也成为互联网企业的生产要素,以此实现了个性化、定制化的多元服务,既创造了商业价值,同时满足了客户的更深层次需求。与此同时,公民对大数据时代个人信息的保护也提出了更高要求。2009年刑法修正案(七)首次将侵犯公民个人信息行为入罪,2015年刑法修正案(九)进一步扩大了侵犯公民个人信息行为的刑事打击范围,特别是删除了原有条文中“非法提供”中的“非法”二字。公民个人信息充分的利用、处理的效益价值与个人隐私、人格尊严等基本权的安全价值之间,存在着不可调和的“鸿沟”。互联网企业的迅猛发展,不仅使得这条“鸿沟”更加深邃,同时也扩大了企业自身的刑事风险。在安全与效益之间,如何既稳控互联网企业为合法经营获取发展必须的数据资源的风险,又切实保护公民的个人隐私和人格尊严不受侵犯,正确的理解、适用侵犯公民个人信息罪是关键的破解之道。
二、严格立法:互联网时代公民个人信息的特别保护
互联网技术的发展和社会生活方式的改变,个人信息的经济价值和社会价值更加凸显。在此背景下,刑法对个人信息的获取、流转等行为予以规制,是法治回应时代发展的必然。近年来,刑法几经修正以及2017年6月两高颁布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“解释”),不断明确了个人信息严格保护的立法取向。相比传统企业,严格立法对互联网企业这类更依赖于个人信息的收集、利用的主体而言影响更甚。那么,互联网时代立法对个人信息予以严格保护,其可能超越体系解释和迎合风险社会大众需求的规范,是否必要且正确呢?
(一)公民个人信息被不法利用的社会恐慌
1.“侵犯公民个人信息罪”引发其他犯罪的原罪论
侵犯公民个人信息罪是“情节犯”。根据解释第5条的规定,“出售与非法提供”“非法获取”个人信息的数量是衡量情节是否严重的重要标准。刑法所保护的是多个个人信息累加后的群体性法益,而非个体性的信息安全。此外,个人信息的不法利用也将导致不特定的多数人的人身、财产受到侵害。解释同样将公民个人信息被用于其它犯罪以及造成严重后果,作为“情节严重”的评价标准。大量的个人信息被收集、利用可能为下游犯罪提供不法的养料,从而产生其他犯罪的连锁反应。特别是被利用于“电信诈骗”“非法侵入计算即系统罪”“提供非法侵入、非法控制计算机信息系统程序、工具罪”等犯罪。由此,极易产生“侵犯公民个人信息罪”是原罪的观点,即该罪犹如“潘多拉盒子”一样,一旦触犯就可能对不特定多数人和公共安全产生巨大危害。基于对风险社会中安全价值的追求,确保社会共同体安定生活的需要,打击侵犯公民个人信息罪上升到了维护公共秩序的价值高度。
2.“侵犯公民个人信息罪”危害的妖魔化
这一观点颇有“妖魔化”侵犯公民个人信息罪的嫌疑,夸大了该罪的风险范围。侵犯公民个人信息罪的危害性必然以犯罪的目的为基础,而不能够天马行空放肆想象。一方面,侵犯公民个人信息罪保护的是公民的人身、民主权利而非“公共安全”。以电信网络诈骗为例,其行为危害性在于威胁到不特定多数人的财产安全,但尚且规定在刑法第5章“侵犯财产罪”中,而不以侵犯公共安全法益论。从逻辑上看,一方面,公众基于对侵犯公民个人信息罪可能引发的后续犯罪的恐慌,而夸大该罪的公众性,不应成为刑法法益保护考量的依据;另一方面,制造可能的风险不等于现实的危险。非法获取、出售和提供公民个人信息的行为,如何能够对不特定的人之人身、财产安全造成现实的危险?一个大量持有非敏感个人信息的仅做商业推广的当事人之危害程度一定比少量掌握特定人敏感信息的窥私行为更有现实危险性吗?因此,仅以侵犯公民个人信息的行为而不依托于行为目的的考量,无法认定此行为对何种法益制造了何种程度的危险。
(二)体系解释中“公民个人信息”的特殊化
我国刑法侵犯公民个人信息罪仅针对“向他人出售或者提供”和“窃取或者以其他方式非法获取”两种行为予以打击。从文义上看,“非法”一词限定了获取行为的界限,即不论信息内容的种类、敏感程序,只要手段的不具合法性均为刑法所禁止。而对于“出售和提供”行为,刑法修正案(九)则特别取消了原有条文中的“非法”二字,意味着“公民个人信息”流通的全面禁止。纵观我国刑法,所有被禁止买卖、流通、交换的对象均有其显而易见的危险性,而公民个人信息是否具有同等危险性则不无疑问。
1.我国刑法禁止出售、流通标的物的共性
单纯的“出售和提供”民事交易并无刑事打击的必要,其本身是一种中性的行为,即便是不法的交易目的和不适当的标的也仅产生民法上无效、可撤销和效力待定等效力问题。刑事法律直接禁止的交易对象,无外乎标的物自身具有实际的危险性或者能够间接影响重大法益的情况。此类标的是刑法不问目的、手段和条件而绝对禁止的。其一,交易对象自身具有实际危险性。例如,“假药、劣药、伪劣产品、有毒有害食品”“毒品”等。客观上,物品自身的特性将可能对危害或威胁到公共安全或社会、个人安全。其二,交易对象涉及重大利益,虽然自身无实际的危害,但承载的内容一般会影响特定的法秩序和重大法益。例如,“妇女、儿童”“野生动植物”“假币”“试题和答案”“国家机关公文、证件”“专用间谍、窃听、窃照专业器材”等。需要说明的是,刑法中也有部分禁止买卖的标的物,但并非无条件禁止流通的。如“枪支、弹药、爆炸物以及危险物质”“警用装备”“淫秽物品”以及非法经营罪中的“烟草产品”等,上述标的物仅在国家管制、行为“非法”以及主观“非法”的情况下方构成犯罪。那么“,公民个人信息”何以能够成为刑法中绝对禁止流通的标的物呢?
2.“公民个人信息”绝对禁止流通不符合体系解释
公民个人信息是能够识别个体的信息,其特点在于此类信息能够识别特定个体的社会生活的情况,包括社会交往、社会活动等。个人信息既具有私人属性也有社会属性。个人信息常常与个人隐私相关联,也就赋予了公民有权许可或拒绝他人对个人信息的获取的权利。但仅从隐私的角度定义个人信息未免过于狭隘,个人信息不应要求具有隐私属性。因为个人信息不仅包括尚未公开的信息,也包括已经公开的信息。个人信息客观上没有直接的危险性,个人信息的社会性和公共性是否足以像“国家机关公文、证件”“妇女、儿童”一样成为影响特定的法秩序和重大法益的标的呢?
侵犯公民个人信息罪在刑法第4章“侵犯公民个人权利、民主权利”中,其所保护的法益应是公民的人身权和民主权利。目前,学界对该罪侵犯的法益有着较大的纷争,其中“超个人法益”说在近年来较为“主流”,但该观点可能有超第4章所涵盖的法益范围之嫌。在该章犯罪中,也存在着另外两项绝对不得买卖之“物”,即“妇女、儿童”与“人体器官”。相比上述两个“物”与人身权、健康权之重大法益的紧密联系程度,侵犯公民个人信息所联系的法益能否重大到也享有刑法绝对禁止流通的特殊保护?这在体系解释上是确实难以解释的。第一,该罪所处的刑法第253条,规定的是“侵犯通信自由”和“私自开拆、隐匿、毁弃邮件、电报罪”,其所联系的法益接近人格尊严和通信自由,但上述法益并不会直接对人身权造成威胁,难有“人”“器官”等所代表的法益重大;第二,公民个人信息是由私人属性和社会活动所形成的数据,在对社会秩序的影响上或许与“国家公文、印章”“身份证件”“试题和答案”等接近,但后者是一般是依托于国家机关而产生的,如买卖流通将损害国家机关的公信力,但“合法”个人信息的流通并不必然导致个人法益受损。第三,公民个人信息具有流通的价值性。不同于上述分析的任何一个物品,公民个人信息的利用和流通符合社会经济发展需要,并不会直接危害市场经济秩序,反而具有巨大的价值。
综上,从体系解释上看,个人信息无法成为刑法绝对化保护的对象。即便某种行为应当禁止,但不等于刑法应当出场。对“公民个人信息”流通的打击是刑罚制裁的特殊存在,这是否符合比例原则,确实有待商榷。
三、解释宽泛:互联网企业发展的高刑事风险
刑法第253条第3款和解释第3、4条对“出售、提供”型和“窃取和非法获取”型的侵犯公民个人信息犯罪予以了区分和规范。其中,“违反国家有关规定”“购买、收受、交换”“非法获取”等不确定法律概念成为判断构罪与否的核心。在从严打击的刑事政策和信息加速流通的时代背景下,二者直接碰撞将给互联网企业带来极高的入罪风险。
(一)“信息自决”下,个人信息获取的合法性问题
1.互联网企业个人信息收集模式易侵犯用户知情权
网络产品、服务的隐私政策一直是互联网企业在个人信息保护上的痛点问题。互联网企业在用户知情的情况下,经信息主体的同意,直接对个人信息进行收集和处理是解决该问题最直接的方式。一般认为,企业在充分告知,用户充分知情的情况下,基于用户的理性认知而进行信息自决,是适法的个人信息收集模式。形式上,用户一般通过点击“我同意”“我接受”等链接确定对企业收集行为的知悉和许可。但是从实际效果看,仅通过阅读、点击的行为很难认定是合意的形成或信息的处分行为。实践中,长篇大论的隐私政策往往晦涩难懂、专业且宽泛,用户常常或因时间问题一扫而过,或因文义难以理解望而却步,极少有认真阅读并理性认知的情况。对用户而言,企业的隐私政策的告知更像是“免责声明”而非是合同条款,因为若点击不同意等选项则无法继续浏览或接受服务,在双方地位、能力均不对等的情况下,根本无从掌握和监督企业收集个人信息的行为是否受到约束;另一方面,收集信息的范围和内容,即便有用户仔细阅读并同意,也无法避免企业为商业利益而无视隐私保护要求的行动。因此,如果将点击行为视为合同的订立,难以对用户的知情权予以合理且充分的保障。
2.支付宝年度账单事件——非法获取个人信息之嫌
用户知情成本和自愿性与互联网企业收集信息以提供服务的必要性、约束力之间存在现实性冲突。诚然,这样的冲突并非一种“零和博弈”,且即便出现了企业违反对用户的承诺、不遵守隐私政策的行为,也可以通过民事手段对争议予以解决。但解释第4条为刑事法律跳过民事、行政法律大开方便之门,刑事法律扮演着将企业正当收集用户信息行为入罪化以及不当收集用户信息直接予以制裁的先锋角色。
以支付宝年度账单事件为例,2018年-2019年支付宝个人年度账单引发网友热议,移动支付数据通过智能分析可以将用户的消费习惯予以精细化的总结,并被用户纷纷转发分享。“刷屏”背后也有网民对个人信息安全的担忧。生成年度账单的操作中,默认勾选有“我同意芝麻服务协议”的选项,该选项字样以不显眼的字体在页面下方,若不注意,该默认选项将直接“允许支付宝收集用户的信息包括在第三方保存的信息”。该情况经主流媒体报道后,支付宝第一时间道歉并取消默认勾选,并通告已默认勾选用户取消授权的操作流程。从现行法律和司法解释看,类似的默认勾选,在用户不知情情况下收集用户个人信息的行为也可能构成刑事犯罪。
3.非“合法”即“非法”的解释漏洞
公民对其个人信息拥有控制权和自主决定权,能够自主决定信息是否被收集、被披露、决定信息如何被收集、处理和应用。换言之,个人信息,非经个人许诺,均不得任意搜集、储存、运用与传递。
支付宝收集的行为显然不能称为“合法获取”公民个人信息。那么,非合法获取即是非法获取吗?解释第4条规定,违反国家有关规定,提供服务过程中收集公民个人信息的属于“以其他方法非法获取公民个人信息”。可见有无“违反国家有关规定”是判断是否非法获取的前提。网络安全法第41条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经收集者同意。”根据我国法律规定,取得被收集者的授权同意是个人信息收集的必经程序。《信息安全规范》也规定,企业应当取得被收集者明示同意。用户在未注意下因系统默认勾选而同意,是企业代替用户做选择,而非用户明确的、主动的、肯定的授权行为,应认定为“非法获取”。从情节上看,支付宝作为移动支付工具和公共服务软件,拥有上亿用户的财产信息、社保、交通、民政等相关个人信息,无论是所涉信息的敏感程度还是数量之庞大,均满足解释第5条所规定的“情节严重”、甚至“情节特别严重”的标准。由该事件延伸,互联网企业未经用户明示同意或侵犯用户知情权、选择权而获取信息之行为,无论是否用于合法经营活动均属于“非法”。
(二)“共享经济”中个人信息流动的合法性问题
1.数据的利用与刑法禁止个人信息流动的矛盾
开放的数据是移动互联网的发展的技术基础。其不同于传统的土地、人力、设备等不可复制的生产资料,信息作为互联网企业的生产资料,具有可复制的特点,直接催生了“共享经济”的互联网生存、发展的商业模式。不仅如此,互联网的浪潮下,其所催生的云计算、大数据,都体现了信息生产力的本质,即包括个人信息在内的数据需以流动的、开放的形式聚集、分析,实现其聚集效益和规模效益。除前述直接从用户处收集个人信息,互联网数据也同样以一种隐蔽的方式在不断流动交易,存在着极高的刑事风险。
购买、收受、交换是解释中列明的非法获取公民个人信息的方式。有学者认为个人信息的法律内核是“人身属性+财产属性+其他法益关联属性”,因为其包括了基于人身属性的“可识别性”身份信息、基于财产属性的财产类和账号类信息、相关法益具有关联性的其他信息。这一复杂的权利属性决定了个人信息不能直接成为民事法律关系的客体。但在大数据时代,数据、信息是计算和决策的核心,仅通过自行收集的个人难以支撑其庞大、精准的网络服务,通过其他外部渠道获取所需数据势在必行。然而,现实却是用户信息的分享、交换、许可使用都可能是违法犯罪行为。
2.互联网企业并购潮——购置股权以获取个人信息
为充分利用数据,互联网企业有了“明修栈道,暗度陈仓”的方式,即通过其他合法方式取得信息的使用资质。近年来,以互联网企业并购数量不胜枚举,部分并购案以及购置股权反映了互联网生态链布局和信息共享的灵活处理机制。以阿里巴巴公司为例,从2012年来大举通过购买股份的方式扩张商业版图。阿里巴巴曾以近3亿美元价格收购高德软件公司股份,成为最大股东。通过股权购置强强联合的目的在于“为用户提供一体化生活服务以及为生活服务商户提供信息发布、搜索、数据挖掘、支付等电子商务服务”。从目的上看,阿里与高德并购旨在通过技术和信息的深度融合打造新型的服务模式,这唯有依托于两大公司在用户“消费信息”和“出行信息”上进行数据共享,甚至包括更多用户个人敏感信息的交易和流动。不仅如此,在阿里与新浪的股权购置案中,甚至明确指出了目的就是在用户账户互通、数据交换、在线支付、网络营销等领域进行深入合作。可以说,股份并购构建了一个表面合法的个人信息流通的渠道,以主体身份的可交易性间接获取个人信息,使得个人信息在公民自己不知情的情况下进行了二次、乃至多次的转移与流通。
3.解释中“购买、收受、交换”的打击范围过于广泛
为获取用户个人信息资源而进行的股权收购,以变相的方式发挥了信息的经济价值,也有可能触碰刑事法律。诚然,从行为对象上看,股权购置的客体并非个人信息,明显不符侵犯公民个人信息罪的构成要件。实质上看,即便获得互联网企业股东地位,分享、交换用户个人信息的行为也未必是于法有据的。首先,股东身份不享有对公司经营所需的财物、资金、数据的使用权。股东对公司经营活动享有知情权,但公司法明确将公司经营权与股权分离,防止股东为私利损害公司利益,因此享有股权,即便是享有公司实际支配地位的股东也无权直接获取和使用公司所持有的用户数据。其次,公司法人的独立地位决定了,股东公司与其出资企业仍属不同主体。股权购置不等同于公司合并,这意味上述数据交换、共享并非企业的内部行为,仍是两个企业间的数据交易。最后,利用股东地位分享、交换个人数据仍属解释中“购买、收受、交换”。即便股权购置规避了“购买公民个人信息”行为的违法性,但此后的用户信息共享、交换的对象也无法规避个人信息在不同企业间流通的实质。综上,解释中“购买、收受、交换”几乎禁止了大多数互联网企业间的数据共享,这对“共享经济”下互联网企业运营成本和专业大数据交易服务机构的落地服务带来了严峻的挑战。
四、实质判断:严格侵犯公民个人信息罪入罪边界
互联网企业在严格立法的特殊保护和宽泛司法的扩大解释的背景下,极易被卷入到不必要的刑事程序中去,理性构建侵犯公民个人信息犯罪规范体系已刻不容缓。
(一)完善“两法衔接”,厘清“非法”的界定问题
1.“违反国家有关规定”和“非法”的关系
判断前述的支付宝年度账单事件涉罪与否的关键在于对“非法”二字的解释。侵犯公民个人信息罪是“行政犯”,刑法第253条规定“违反国家有关规定”和“非法”是构罪的前提。有观点认为,应当将“违反国家有关规定”“非法”视为“弱意义”构成要件,不具有犯罪构成认定的实际价值,这完全忽视了侵犯公民个人信息罪“行政犯”的本质。刑法修正案一方面将提供行为的“非法”二字删除,同时保留了违反行政法规的前置性条款,也将“违反国家规定”改为“违反国家有关规定”。那么,从文本上看,为何对于“出售和提供”型侵犯公民个人信息不要求“非法”,但仍前置“违反国家有关规定”?司法解释在定义“窃取和非法获取”型侵犯公民个人信息时却将“违反国家有关规定”与“非法获取”相联系?那么,“非法”和“违反国家有关规定”是否是同一概念?厘清上述概念,是正确解释“非法”的核心问题。
有学者认为,“非法”与“违反国家有关规定”是不同概念,二者是“种属关系”而非“等同关系”。即“违反国家有关规定”包含“非法”,但“非法”未必“违反国家有关规定”。按照这一观点,解释定义“窃取和非法获取”时仍前置“违反国家有关规定”确有画蛇添足之嫌。如果“非法”程度低于“违反国家有关规定”,那么解释第4条无疑拔高了入罪的门槛。从体系上看,“违反国家有关规定”应该是对“非法”的实质解释,二者间不应有程度的差别,前者是后者判断标准的依据,后者是前者判断结果的统称,即在“违反国家有关规定”一定是“非法”,一定是“违反国家有关规定”。因此,准确界定“违反国家有关规定”本身要依赖于相关法律、法规立法质量的高低。
2.适用宽泛的“合法”获取、流转解释路径
让互联网企业规避“非法”首先应当明确列举“合法”的行为模式。可以明确的是,合法获取和流转个人信息,必然建立在对用户有充分的告知并赋予其充分选择权的基础之上。但也必须承认的是,个体间对个人信息的敏感程度不尽相同,这意味着互联网企业很难设置整齐划一的标准,明确合法界限。对法律法规而言就更是如此。有学者梳理,我国对个人信息保护的“国家有关规定”的法律法规包括《互联网信息服务管理办法》《个人存款账户实名制规定》《关于加强网络信息保护的决定》《征信业管理条例》《电信与互联网用户个人信息保护规定》《用户个人信息安全管理规定》网络安全法等三十余部法律。这些法律法规是侵犯公民个人信息罪的构罪前提,其中多数规定也尚不明确。即便在大数据背景下,个人信息被收集、利用后将呈现怎样的运算结果,目前不得而知,因分析、挖掘可能衍生出更多能够识别特定个人的信息也极有可能。换言之,绝对化的保护近乎奢望。因此,“合法”的评价标准不应着眼于实质判断,而在乎获取过程形式的完整。互联网企业可以采取“分层告知”的方式,将企业隐私政策的内容以表格或者其他标准化的方式加以公布,由此来确保用户对企业所涉个人信息事项具有更良好的可阅读性。此外,互联网企业可以根据所提供服务对用户信息依赖的不同程度,区分为核心业务和非核心业务,对不同附加功能是否收集用户个人信息的主动权完全交付用户个人,这一规定也可见于2018年起实施的国家标准《信息安全技术个人信息安全规范》(GB/T35273-2017)。法律法规可以参照互联网行业的技术标准,设置“分层告知”+“附加功能”等合法路径。即便是用户碎片式的阅读模式,也应以“简单粗暴”的告知方式直接提醒用户有关获取的目的、结果等必知项目。由此,可以构建宽泛的“合法”获取、流转解释路径,规避“非法”在宽泛解释下的不当适用。
(二)引入“主观要件”区分合法经营和犯罪目的
1.“正当目的”是个人信息流转入罪的阻却事由
解释第6条“为合法经营而非法购买的行为”之规定,系侵犯公民个人罪中少有与主观相涉的出罪要件,由此为合法经营行为获取个人信息设置了更高的入罪门槛。但客观而言,因个人信息在互联网时代用于合法经营活动的规模化和常态化,对“获取方式”予以更为宽泛的界定可以为个人信息的流通和利用留下空间。
互联网企业以提供产品、数据服务为目的,即便以“出售或提供”为方式流转个人用户数据也应予以出罪,即“以非法目的向他人出售或提供”方是构罪要件。基于正当的目的,如企业间用于业务往来的个人信息交换、共享不应直接进行刑事打击。即便确有侵权行为发生,也完全可以以民事、行政途径予以救济。让企业承担民事责任足以补偿、恢复被害人因隐私、人格尊严受到侵犯所受损失。将个人信息抽离出刑法绝对不可予以流通之标的物,注入至民法中利用真正的个人信息自决权,尊重个体以信息为信息时代的“一般等价物”换取更好的服务,与当前社会发展的现实相契合。可是,当前解释对侵犯个人信息罪的主观要件的规定是非体系化的,结果归责导向明显。以解释第5条第1款第(1)项和第(2)项的规定为例,其中“出售或提供行踪轨迹信息被他人用于犯罪的”的行为类型中未要求“应当知道”,但对于危害性更大的“向他人出售或提供个人信息被利用实施犯罪的”,却规定有“知道或应当知道”。因此,将主观要件引入该罪中,有利于弥合当前该罪结果归责的错误取向。同时也有利于打击部分为实施诈骗及其他非法行为进行个人信息流转的互联网企业,对实质违法行为予以刑事打击。
2.“合法经营”的形式化证成
互联网企业为合法经营可以进行个人信息分享、流转。如前述阿里巴巴及其子公司,甚至合作伙伴间也可进行数据出售。特别是对集团公司、母子公司的数据往来,主客观上均不会产生实质违法,可以全面予以脱罪处理。正常商事行为中,以实现合法经营为目的将合法收集的个人信息予以流转也可以适时予以脱罪。“合法经营”的判断也应基于特定目的予以判断,其前提应当是“不违反国家规定”且不会“严重扰乱社会秩序”。需具备下列要件之一:(1)公司、企业获取个人信息获取之行业有法律、行政法规明文规定;(2)原公司企业与当事人有合同或者其他合同的关系,且已采取适当的安全措施;(3)公司、企业流转当事人自行公开或其他已合法公开的个人信息;(4)信息流转之公司、企业的隐私政策的核心条款与信息获取时的告知一致;(5)经当事人同意;(6)企业确有增进公共利益的必要;(7)个人信息取自于一般可获取的来源。但是当事人对该信息要求禁止处理、利用的除外;(8)对当事人权益无侵害。当有当事人对个人信息有禁止处理或利用的情况,且收集或处理企业经当事人通知,应当立即删除或停止处理或利用相关个人资料,以确保当事人个人信息的自决权。
互联网时代,公众对“数据利维坦”的恐惧已经达到了“草木皆兵”的地步。2016年的徐玉玉电信诈骗案,犯罪嫌疑人盗窃被害人个人信息而实施精准诈骗,最终导致被害人心脏衰竭而死。该案引发了社会轰动,直接推动了电信网络诈骗和侵犯公民个人信息罪等司法解释的出台。在社会舆论的宣传和个案的推动下,立法和司法实践均对个人信息的获取、流通和利用予以严厉打击。但是,一律从严打击的刑事理念与社会发展的趋势并不契合,特别是以互联网技术为特征的新经济型态的迅猛发展。信息流转在给公众带来了隐私上安全焦虑的同时,客观上也为民众生活便利和社会经济发展提供了新的支持和动力。刑法上不断严格的立法保护与越发宽泛的司法解释,是否为公民个人信息保护所必需,而司法实践层面所透露出的机械执法导致的互联网企业人人自危的状况是否又符合当初修法的初衷,则不无疑问。本文从个人信息的获取方式、主观要件的限缩解释以及合法经营的阻却事由入手,对本罪的司法适用进行了解构与重塑,希望能够引发更多思考与研究,以达到理性构建符合互联网经济实际的侵犯公民个人信息犯罪体系之目的。
如发现本站有涉嫌抄袭侵权/违法违规等内容,请联系我们举报!一经查实,本站将立刻删除。
