为了保护个人信息不被滥用,《个人信息保护法》确立了“知情同意”作为处理个人信息的核心原则。既然前置法中的“知情同意”作为他人责任豁免的重要事由,在刑法中也应当积极承认其免责效果。虽然通说将其视为阻却违法性事由,但是目前将被害人承诺作为排除构成要件符合性事由加以看待的见解越来越有力,应当重新赋予其作为出罪事由的体系性地位。因此,处理经过他人同意的个人信息数据,因不符合构成要件符合性而予以出罪。对于已经公开的个人信息,不仅需要在理论中确定“已公开”“合理处理”等语词的规范含义,而且还需要通过推定的同意理论对其予以出罪。随着贵阳、上海、武汉、盐城、北京等地一批数据交易平台的逐步设立,数据产品作为交易的对象,已获得广泛认可。因此,无论是自然人还是企业等,对其价值都给予充分的重视。例如,欧盟的《通用数据保护条例》(GDPR)要求企业在数据收集前获得用户明确同意,并赋予用户删除数据的权利。中国的《个人信息保护法》也体现了对用户隐私保护的高度重视。此外,杭州互联网法院发布的数据权益司法保护案例,展示了中国在数据权益保护方面的具体实践。即便如此,一些非公开的抑或公开的个人信息数据的使用边界何在,也变得越来越模糊,久而久之,反而限制了数据的流通。因此,在现行立法背景之下,特别是在刑法介入个人信息数据的相关规定之中,首先涉及作为前置法的《个人信息保护法》与后置法的《刑法》之间的协调问题。众所周知,目前在个人信息数据保护中“知情同意”原则得到了较好的贯彻,《个人信息保护法》第13条明确规定,个人信息处理者在取得个人的同意后方可处理个人信息。但是在《刑法》之中,虽然2017年最高人民法院、最高人民检察院联合颁布施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息的解释》)第3条已经明确规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第253条之一规定的‘提供公民个人信息’”,该原则能否起到一定限制犯罪的作用,不无疑问。以下案例便可见一斑:案例1:被告人成某通过某软件下载以及通过向他人购买、交换等方式非法获取公民个人信息共计近9万条(包含已经公开的个人信息近2万条),随后将其出售牟利。经法院审理后判定,成某在未取得信息主体同意的情况下处理已公开的个人信息,无论是出售已公开的还是非公开的个人信息,均被视为侵犯公民个人信息罪。案例2:2016年1月至2017年5月,被告人宋某某、黄某将已开好了网络店铺的公民信息(含个人身份信息、支付软件账号及账户密码和绑定的银行卡等)在要求注册人签署同意转让店铺的协议后将其收购,并出售给被告人邓某某。随后邓某某在网络上搜寻买家,出售网络店铺并牟利。法院审理后认为,被告人上述行为,即使被出卖的个人信息是注册人同意且获得对价的,仍构成侵犯公民个人信息罪。案例3:自2017年5月开始,被告人肖某通过某社交软件渠道,从其他处理交通违章的中介那里获取了机动车驾驶人的姓名、身份证号码及手机号码,随后利用微信将这些信息传递给某分局的辅警仇某,由仇某将上述信息转发给辅警蔡某、范某。蔡某、范某收到信息后,在未核实驾驶人本人身份的情况下,私自登录市公安局网上服务中心为相关驾驶人非法办理实名认证。法院认为,“本案存在驾驶员为了卖分而自愿提供个人身份信息给中介办理实名认证的情况,因此,该部分不符合侵犯公民个人信息罪的构成要件和犯罪特征,应予以剔除”。值得肯定的是,目前随着《个人信息保护法》等相关法律的出台,关于个人信息的范畴已达成了广泛共识,即与已识别或可识别的自然人相关的所有信息都属于个人信息的范畴。根据案例1的裁判逻辑,“没有取得同意”是构成本罪的核心理由,即便对于已经公开的个人信息而言也是如此。根据案例2的裁判逻辑,“违反国家有关规定”是构成本罪的核心理由,即便对于已经取得同意的个人信息而言也是如此。根据案例3的裁判逻辑,“取得同意”是不构成本罪的核心理由,即便行为人同时违反了国家有关规定(非法代办交通违章处理)也是如此。从上述比较之中可以发现,“知情同意”是否是出罪事由,“知情同意”作为出罪事由是否具有绝对性,在关于“已公开个人信息”的场合“知情同意”能否出罪这三个问题在实践中依然存在争议。其原因则在于,“知情同意”作为阻却犯罪成立的体系地位尚处于混乱与不明之中。抛开上述案件定罪的正确与否,目前我国出台的《个人信息保护法》作为《刑法》的前置法而存在,在《刑法》罪名的认定中必然涉及与之如何衔接的问题。一方面,大数据的形成必然需要收集大量的个人信息数据,这是无法绕过的重要问题;另一方面,就目前有财产价值的数据而言,也必然是带有个人信息印记的数据。也就是说,个人信息权益本身蕴含着较大的财产价值。那么,在前置法中已经明确了“知情同意”是取得个人信息数据的正当理由的前提下,其在刑法中具有何种意义,则成为目前亟待解决的重要问题。“知情同意”原则原本来源于医疗领域,也即患者在面对复杂的病症时,拥有相应的知情权,并在该知情权的基础上同意医生进行进一步治疗。此后,随着信息化时代的到来,“知情同意”原则逐渐演变成对自己信息的控制权。该理论具有两个不同的来源,“一是个人信息自决权;二是隐私自我管理理论”。“这一认识的理论思路是,在一个保护公民自由的法律价值体系内,法律应当确保公民在法律范围内根据自己的价值观念和判断所行使的自主与自由权。”在信息主体参与原则所要求的诸多权利中,知情权的重要性不言而喻,然而,关于“同意”能否构成个人信息处理的正当性基础,在学界尚存争议。例如,有学者指出,个人信息处理中的“知情同意”作为一种非典型性的民事行为,是一种双方行为,而非一种单纯的“许可”或“授权”。另有学者进一步认为,“知情同意”主要是为了实现个人信息不对称时,经过一方告知后,个人信息的主体知晓自己的信息处理情况,从而避免因为双方信息的不对称而导致纠纷。因此,该学者否定“知情同意”作为个人信息处理的正当性基础时,列举了以下关键的理由:其一,“同意”基础的理论根基不牢固;其二,“同意”本身缺乏必要性和真实性;其三,例外规定的大量存在削弱了同意基础的效力。以上反对理由难以成立。首先,同意的基础理论根基并不如该学者所述的理论基础不牢固。为了弥补信息不对称而进行的同意要求,实质上对个人信息的处理方要求较高。也就是说,个人信息的处理方必须具备充分的自我决定能力和处理能力。就目前来说,自然人一般而言对个人信息具有决定能力和控制能力。对于网站或APP而言,它们在采集个人信息时,必须获得用户的同意,否则将被视为违规操作。然而,在实践中,在他人使用各种APP软件以及各大网络平台时,这些主体通常会设置隐私保护和个人信息使用的条款,这些条款多为APP软件和网络平台事先拟定,缺乏可协商性。如果选择了“不同意”的话,那么就意味着根本无法使用各种APP软件以及各大网络平台。此外,若拒绝此类软件服务转而选择其他替代软件,往往也会遇到相似的操作模式,而在当前数字化时代,不使用这些软件无疑会影响生活和出行的效率。因此,从整体上来看,行为人的承诺是建立在不平等的基础之上的同意。此类情形虽然存在,但是也需要注意的是,各种APP以及其他网络平台等,都是相关的企业主体投入了大量的金钱所研发,其在倡导免费使用的同时,也需要他人对自己的权利作出一定的让步。而这并不影响企业必然需要经过他人同意后再采集的正当性。因为一旦他人不同意该APP以及其他网络平台使用,那么也意味着该APP以及其他网络平台不可能强制采集其个人信息。换言之,个人并非可以完全免费使用该APP以及其他网络平台,是在让渡自己部分权利基础上的有偿使用。由于它基于类似交易的使用情境,因此同意这一基础理论根基显得尤为坚实可靠。其次,该学者的观点所阐释的知情同意缺乏必要性与真实性,实则难以站稳脚跟。在我国目前侵犯个人信息现象屡禁不止的情况下,经过他人的同意不仅必要,而且也是杜绝类似犯罪的重要手段之一。因此,在我国目前阶段坚持“知情同意”非常有必要。就我国《个人信息保护法》规定的“知情同意”而言,也是真实存在的。知情同意作为我国个人信息保护的“帝王条款”而存在,一般而言包含了三个方面的内容:“其一,是否允许其个人信息被处理的自由;其二,选择信息处理者的自由;其三,决定信息处理者获取、处理其个人信息的范围和方式的自由。”也就是说,唯有在获得个人同意的前提下收集的信息数据,在民事法及其他相关法律中才具备正当性,反之则不然。再次,“知情同意”已经被很多国家的规范性文件或者法律所承认。随着大数据时代的到来,目前“知情同意”原则像民法中的诚实信用原则一样,逐渐成为“帝王条款”。也即,该原则在信息化立法中,得到了世界范围内的普遍认可和遵守。例如,早在20世纪80年代,在经济发展与合作组织(OECD)颁布的《有关隐私权保护及个人数据跨国流通的准则》中,就明确规定了经过当事人的同意后才能收集他人的个人数据。根据欧盟1995年《个人数据保护指令》第7(a)条,收集个人数据必须遵循当事人同意的原则。而2018年颁布的欧盟《通用数据保护条例》,更是在1995年颁布的《个人数据保护指令》的基础上,对知情同意作出了更加细致的规定。最后,就我国而言,个人信息基于其内在的“人格权”属性而要求“知情同意”成为相关法律法规设置取得规则的重要原则。个人信息与个人人格密不可分,主要体现的是一个人的各种人格特征,故个人信息权是一种新型的具体人格权。基于个人信息的“人格权”属性,“知情同意”成为其他主体取得个人信息的基础条件,而非“知情同意”方式取得个人信息的规定则必然受到各种各样的限制。一方面,就“知情同意”成为其他主体取得个人信息的基础条件而言,例如,2016年颁布的《网络安全法》第22条规定了收集个人信息的“明示”“同意”原则,是我国第一部将个人信息数据纳入保护的法律。此外,该法第41条明确规定,“网络运营者处理个人信息应当经过被征集者同意”。此后,《民法典》明确将“隐私权和个人信息保护”规定在“第四编人格权”当中,人格权不得放弃、转让或继承,但公民拥有将自己的姓名、肖像等许可他人使用的权利。显而易见,“知情同意”是公民行使这一权利的基本前提。《个人信息保护法》对此自然也有专门规定。例如,我国《个人信息保护法》第14条规定,无论是初始的数据收集阶段还是后续的数据利用阶段,均应当在数据主体明示同意的范围内进行。从此,便意味着我国在个人信息的收集上,依然要坚持“知情同意”这一原则。此外,在一些规范性文件中,也涉及“知情同意”这一原则。另一方面,就非“知情同意”方式取得个人信息的规定则必然受到各种各样的限制而言,例如,虽然《民法典》第999条规定了基于公共利益的例外而可以(不经同意)合理使用个人信息的条款,但也要求此种使用在“合理范围”的限制当中,若相关主体使用不合理侵害民事主体人格权的,应当依法承担民事责任。同样,在《个人信息保护法》第13条规定个人信息处理者处理个人信息的一般条件时,虽然其明确规定“依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第2项至第7项规定情形的,不需取得个人同意”。然而,除了兜底条款以外,该条第2项至第6项所规定的其他非“知情同意”方式处理个人信息的方式,或者要求是履行某一正当行为所“必需”的条件,或者要求必须在“合理范围”内进行,都存在一定的限制。而《个人信息保护法》第28条更是要求,若相关个人信息属于“敏感个人信息”,则个人信息处理者“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下”,方可处理敏感个人信息。通过以上对比可以发现,个人信息基于其内在的“人格权”属性,无论在理论上还是在立法上,都要求“知情同意”成为其他主体取得个人信息的重要原则,而其他方式(例外)则应当受到各种限制。此外,根据有的学者观察发现,很多APP以及网络平台在服务条款中“夹带私货”,用户明明已同意其使用,但平台却通过更隐蔽的条款,擅自将使用权扩展至不相关的第三方,这显然超出了用户同意的范畴。这种现象虽然存在,但是必须考察这种现象背后的真实原因为何。如前所论,很多企业为研发相关产品投入了数以亿计的资金,目的就是在其所研发产品便捷人们生活的同时,实现数据资产的最大化。因此,其在“同意”的设置上会附加一定的条件,将同意作为用户免费使用相应产品的基础。这与同意原则所赋予的效力并不相悖。毕竟,在用户选择不同意后,APP开发者不会强迫其同意,而仅仅是停止提供免费服务。因此,对于这种现象,不能简单地用“夹带私货”的表述予以评价。还有学者对落实“知情同意”原则产生担忧。在其看来,同意原则面临着数据技术发展带来的挑战,在当前大数据时代,受制于落后的生产方式与生活方式,个人的活动范围有限,所产生的个人信息数据的数量、种类较少,传播速度有限,且个人信息数据的效用有限等客观原因,使得同意有了现实基础。但是在20世纪末,以上三点客观基础均发生了较大的变化,其认为要在每个环节都需要征得数据主体的同意,不具有现实的可操作性。综上论述,也不难发现,该学者的担忧不能成立。首先,落实同意原则跟数据的增长量虽然呈一定的关联性,但是并不具有决定性。在我国当前数据量激增的背景下,不仅其他法律明确规定了知情同意原则的落实,而且技术上也提供了实现这一原则的多种手段。例如,区块链技术的进程化同意机制能够区分个人信息处理的不同阶段,确保信息权益人的同意得到具体和明确的体现。同时,《数据安全法》的实施为数据保护提供了法律依据,强调了数据分类管理的重要性,确保了数据安全的合规性。其次,数据量增长得越快,越需要通过同意原则来落实保护个人信息数据。如前所述,个人信息数据承载着诸如隐私权等各种信息,如果无需得到权利人的同意,就意味着他人可以随意地进行侵犯,那么该正当性的基础实质上存在问题,也不利于进一步对个人信息数据进行有效的保护。总而言之,虽然在目前司法实践中,确实存在不太规范的地方,但是并不能就此否定同意作为取得个人信息的基础,无论是在国外抑或我国,在规范性文件或者法律均有明确规定的情况下,否定论的观点自然不具有可取性。随着我国技术能力的提升,以及处理数据的水平上升,其他学者的过度担忧也是不能成立的。
“同意”在刑法之中也被称为“承诺”,也即具体法益的支配人,对他人侵害自己的法益时的一种允诺。被害人承诺,即被害人基于对自身法益的处分权限,允许他人侵害其可支配的权益,是一种阻却犯罪的行为。然而,这种承诺必须在不违背公序良俗等社会公德的前提下进行,且承诺者需具备相应的处分能力、真实意愿,并且承诺必须是事前作出且侵害行为不得超出承诺的范围。根据目前刑法的通说观点,被害人承诺一般具有多种效果,其一是承诺在刑法中的无效;其二是承诺作为阻却构成要件符合性的事由;其三是承诺作为违法性阻却的事由;其四是承诺作为减轻类型的事由。其实早在19世纪中期,意大利学者已经注意到其在不同情形中的作用并不一样。例如,在盗窃案件中,同意的存在排除了犯罪构成要件,而在其他案件中,同意阻却了行为的违法性。同样,在大陆法系中的德国,也基本延续了这种划分,特别是德国学者吉尔兹(Geerds)在其博士论文中明确提出了承诺只限于“阻却构成要件符合性的承诺”和“阻却违法性的承诺”两种类型之后,为了区分的方便,其将“阻却构成要件符合性的承诺”称为“合意”,将“阻却违法性的承诺”称为“同意”,由此而产生了“合意”与“同意”相区分的学说。该二分说对后世刑法学的发展产生了深远的影响。虽然目前,在德国以及日本,对吉尔兹以及罗克辛所主张的二分说的观点提出了猛烈的批评。但是无论是合意还是同意,该理论的出发点无非是排除犯罪性的问题,二者细微差别在于:究竟在哪个阶段排除犯罪性具有合理性。如前所论,目前在刑法理论之中主要存在“构成要件要素说”与“正当化事由说”两种观点的对立。构成要件要素说认为,应当将其作为该罪的构成要件要素予以对待,如果其行为尚未侵犯该罪所保护的法益,那么就不应将其视为需要刑法保护的对象。而正当化事由说则认为,应当将其合理使用作为正当化事由,也即在域外的三阶层理论中,应当作为排除违法性的事由而存在。被害人承诺,亦称“被害人的同意”,在现代国家的立法和司法实践中,被视为超法规的阻却违法性事由,其在特定条件下可以排除行为的违法性。早在罗马法时代,就有“经承诺的行为不违法”的法谚。目前在刑法中,对被害人承诺的正当化根据还存在“法律行为说”与“利益放弃说”等观点的争议。对此,有学者指出,被害人作为相应法益的主体,具有对个人法益的处分权,因此,存在被害人的有效同意便意味着实现了自主的处分权,就可以认为法益主体放弃了对该法益的保护,相应法益失去了保护必要性,这就是被害人同意阻却行为违法性的根据所在。因此,被害人的同意(承诺)多被理解为根据利益欠缺的原理而来的违法性阻却事由(正当化事由)。这类观点,其实都是在“利益衡量”的维度下思考同意的正当化根据,即相较被害人利益的损害而言,被害人的承诺属于更应当被保护的利益,而被损害的利益在此时则失去了保护必要性。然而,法益概念不仅是一个事实性的静态存在,也包含了动态的对法益的支配和使用,动态的法益支配是被害人对法益的自治的表现,而支配和利用法益就体现出被害人的自由意志。在法益处分自由决定着法益侵害的存在与否这个意义上,可以说法益处分自由是法益的构成要素。因此,既然法益处分自由是法益的内在组成部分,“法益处分自由(承诺)”与“法益”之间便是无法衡量的。由此也可以看出,被害人对法益的完全享有本身就足以证成“被害人承诺”—放弃法益的个人自由—阻却犯罪成立的正当性。然而,并非刑法设置了某个旨在保护个人法益的罪名,便意味着个人对该法益享有完全的个人处分自由,帮助自杀的行为也可以构成故意杀人罪即是例证。因而,被害人承诺并不必然阻却针对个人的犯罪的成立。考虑到保障个人自由的需要,法律对法益处分自由的限制应当提供理由,且必须具体地予以说明,而不能宽泛地统一划定。因此,法律为限制法益处分自由所提供的理由,无论是法律家长主义、道德伦理又或者其他理由,都是对具体个罪所对应的相关行为的理由,而无法笼统适用于整个刑法体系。就此而言,被害人承诺是否可以阻却犯罪,也只能是基于个罪的具体设置而议,而无法一概而论。倘若被害人同意在个罪中可以阻却犯罪成立,在其原因系阻却构成要件还是阻却违法的争论之中,目前德国以及日本等国,将被害人承诺作为排除构成要件符合性事由加以看待的见解越来越有力化。因为在实践中,被害人承诺并不总是能排除违法性,在一些特殊的罪名中,例如,非法侵入住宅罪中,被害人的承诺不仅排除行为的违法性,而且也排除构成要件符合性。如果进一步而论,刑法中绝大多数罪名因为被害人承诺而阻却构成要件符合性,例如对财产的犯罪、对名誉的犯罪等。此外,再排除一些承诺无效的罪名,例如,对放弃生命的承诺等。那么只剩下有限的罪名,因被害人承诺而阻却违法性,比如故意伤害罪。正如有学者所言,“只有在较少情形下,被害人的同意作为单独的正当化事由起作用。在此意义上,将被害人的同意原则上定位为构成要件该当性的问题,才比较易于理解”。也即,在存在被害人同意的情况下,其行为完全不必考虑,即该行为在传统社会秩序范畴内不存在典型的不法,因而也就意味着不存在构成要件该当的行为。由于被害人同意是否可以阻却犯罪,取决于法律是否以及如何对个人所完全享有的法益处分自由进行限制,而且,某一要素的缺乏是否阻却构成要件符合性,也需要考虑该要素是否可以被涵摄在某罪所规定的构成要件之下,因此,目前将被害人同意笼统地归于阻却违法性抑或阻却构成要件符合性的事由,均存在一定的不足。“也可以认为,若是认为由于法益主体的有效的同意使法益失去了要保护性的话,已然是法益侵害的存在本身被否定,构成要件该当性本身也被否定,这样被害人同意就成了构成要件不该当事由。”也就是说,被害人同意究竟属于何种性质,还需要根据具体的罪名进行综合的判定。罪名不同,可能阻却的阶段也存在差异。而为了探讨侵犯公民个人信息罪这一具体个罪中“被害人同意”能否出罪、如何出罪这个问题,则需要分别回答以下两个子问题:其一,本罪的保护法益为何,是否仅限于个人法益?其二,本罪的构成要件之中是否包含“被害人同意”的内容?一方面,如果本罪的法益被认为包括超个人法益等个人法益以外的法益,则即便公民对个人法益部分具有完全的处分自由,被害人同意的存在也不能必然导向出罪的结论。比如,有观点认为,侵犯公民个人信息罪的保护法益既包括个人法益,也包括超个人法益,而若行为人收集个人信息的行为侵犯了后者,即使个人信息主体同意收集,也不能阻却违法和责任。还有观点认为,本罪的保护法益应为法定主体的信息专有权,即个人信息控制主体(包括非本人的其他合法控制个人信息的主体)在法定授权范围内处理所控制个人信息的权限,因此即便处理个人信息的行为未获得信息来源主体的同意,但若此行为依然在其他信息控制主体的权限范围内,则依然不能构成犯罪。由此可见,当侵犯公民个人信息罪的保护法益包括其他个人法益以外的法益时,获得被害人同意的行为不能必然阻却犯罪,没有获得被害人同意的行为也不能必然构成犯罪。另一方面,侵犯公民个人信息罪的保护法益中不能被添加个人信息权以外的法益。本罪的法益虽然来源自一般性的人格尊严或人身自由,但如今它已从中分离出来成为独立的个人信息权,而个人信息权的分立此前得益于《民法总则》的确认,如今则是来源于《民法典》将个人信息保护规定在人格权编中的立法事实,因此个人信息权成为具体人格权。基于个人信息的“人格权”属性,以及侵犯公民个人信息罪被刑法规定在侵犯公民人身权利、民主权利罪这一章的两个前提,已经足以证明本罪的保护法益包括个人信息权这一个人法益。至于认为本罪包含其他法益的观点,实则来源于以下两个事实:一是侵犯公民个人信息的行为在实践中可能表现为侵害了其他人的利益、公共利益;二是获得被害人同意而获得、出售或者提供个人信息的行为也可能被判决成立侵害公民个人信息罪。然而,两个事实的存在并不足以为侵犯公民个人信息罪添加其他法益。就事实一而言,个人信息权以外的法益因为只是侵犯公民个人信息行为“偶然”侵犯的法益,所以不属于本罪所保护的法益。客观归责理论之所以会将不在规范保护目的之中的行为从结果归责中排除,是因为该行为与结果的发生之间即便具有因果关系,但该结果的发生却取决于不会动摇法秩序的偶然事件。同理,某一犯罪所保护的法益,也应当是该犯罪行为所必然侵犯的法益,具体案件中行为偶然引起的某种结果不能作为确定保护法益的依据。显而易见,侵犯公民个人信息的行为并不必然与其他利益比如商业利益、公共利益绑定在一起,因而不能因为侵犯公民个人信息的行为可能损害以上利益,而认为这些利益属于本罪的保护法益。因此,在前文提及的案例2中,法院以“本罪名侵犯的客体不仅仅是公民个人的人身权利和民主自由权利,还包括社会管理秩序,故即使被出卖个人信息的注册人是同意的且获得了对价,仍侵犯了本罪的客体”为由,论证取得同意出售个人信息的行为依然构成侵犯公民个人信息罪的观点,缺乏合理性。或许有学者会认为,以上观点会导致刑法产生处罚空白,而蕴含在公民个人信息之上的商业利益与公共利益等利益值得刑法保护。然而,以上担忧并无必要,因为要从对个人信息的处理中产生商业利益、公共利益等其他利益,则对个人信息的数量级存在一定要求,若个人信息的数量级达到一定程度,则可以直接基于大量个人信息的存在所呈现的“数据”形式,通过非法获取计算机信息系统数据罪等相关罪名对其进行规制。此时并不会产生处罚空白。就事实二而言,获得被害人同意而获得、出售或者提供个人信息的行为也可能被判决成立侵害公民个人信息罪的原因在于法律本身对个人信息权的限制,而非本罪的保护法益还包括其他法益。侵犯公民个人信息罪的保护法益仅是公民个人信息权这一个人法益,并不意味着被害人同意就具有必然出罪的效果。比如,生命属于个人法益,但从为了保护本人利益的“家长主义”立场出发,也可以肯定自杀具有违法性,因此参与自杀的行为也具有可罚性。因此,某一罪名在获得被害人同意的情况下也可能构成犯罪的事实,并不能证明某一罪名的保护法益包括其他法益。而法律可以限制公民个人信息权的理由,同样来源于个人信息的人格权属性。个人信息权属于具体人格权,被规定在《民法典》的人格权编中,而根据《民法典》第992条和第993条之规定,人格权属性的存在本身就使得个人信息的转让许可受到限制。《民法典》第1035条更是明确了“征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外”与“遵循合法、正当、必要原则,不得过度处理”是处理个人信息的“并列”条件。由此可知,在我国的法律体系之中,公民虽然具有个人信息权,但并不因此而对个人信息具有完全的处分自由——反映在《刑法》之中,即获得被害人同意的行为,也可能因为“违反国家有关规定”而构成犯罪。但这里所违反的国家有关规定,必须能够证成法律对个人自由信息权所施加的限制,进而否认“知情同意的效力”,由此才能构成犯罪。否则,法院就是将仅仅“违反国家有关规定但不符合构成要件符合性的行为”进行了入罪,违背罪刑法定原则。因此,在前文提及的案例3中,虽然被告人在取得同意获得个人信息后将信息用于非法代办交通违章处理(违反国家有关规定),但由于这种非法代办行为并不存在否认知情同意效力的合理理由,因此法院判定被告人不构成侵犯公民个人信息罪的判决是妥当的。其二,本罪的构成要件之中包含“被害人同意”的内容。《刑法》第253条之一规定的侵犯公民个人信息罪中,并没有将“同意”“承诺”或者“违反被害人意志”等作为本罪的构成要件要素。因此有观点认为,在APP违反隐私政策而过度收集用户个人信息的场合中,违反隐私政策(合同)的行为由于“违反国家有关规定”而符合构成要件,因此被害人同意仅在是否阻却违法性的意义上阻却本罪的成立。不可否认的是,由于本罪中存在“违反国家规定”和“其他方法非法获取……”的相应表述,本罪实则属于法定犯。而纵观《民法典》和《个人信息保护法》的相关规定可以看出,获得被害人的同意都是合法化处理个人信息行为的理由。因此,获得被害人同意的处理个人信息的行为,因为“符合国家有关规定”而不符合本罪的构成要件。由此亦可以得出,在侵犯公民个人信息罪中,被害人同意在可以出罪时,是阻却构成要件符合性的理由。其三,将“没有获得同意”作为侵犯公民个人信息罪的构成要件要素,相较将被害人同意或承诺作为阻却违法事由的设置,在实践中更能发挥限定侵犯公民个人信息罪的机能。第一,将“知情同意”的出罪定位为阻却构成要件还是阻却违法的区别在于,是否能够限定本罪的法益,从而对“违反国家有关规定”施加与“知情同意(个人信息的转移)”相关的内在限制。在将“同意”作为违法阻却事由时,侵犯公民个人信息罪的行为类型仅由“违反国家有关规定”和“获取、出售或者提供公民个人信息”两部分构成。一方面,“获取、出售或者提供公民个人信息”这一构成要件要素并不能起到限制本罪的法益的效果。其原因在于,在信息社会之中,数据、信息的流转是大量且常态化的,“个人信息的收集、分析和共享能力爆炸性增长”。因此仅凭“获取、出售或者提供公民个人信息”这一行为不能限制处罚范围——其要么无法表征出法益被侵犯,要么因为体现出利益之间的冲突而无法直接权衡违法性是否存在。另一方面,“违反国家有关规定”这一构成要件要素并不能起到限制本罪的法益的效果。“法定犯是单纯违反禁止规范的犯罪,是对国家规定的单纯不服从,并没有实质地侵害法益,其在法益侵害性的问题上存在先天不足。”“国家有关规定”的范围本身是极广的——由于“没有获得同意”从构成要件中被摘出,“国家有关规定”的范围不会因为同意而受到限制——这意味着本罪要么将单纯违反国家有关规定而没有实质地侵害法益的行为进行处罚,要么将侵犯了多类国家规定背后的多种法益的行为都以本罪进行处罚。而在刑法中,一个罪名能够保护更多的法益,并不一定是一个更优良的方案。因为构成要件所保护的法益的繁多性会反过来对构成要件的解释产生影响,研究者对该罪的解释将倾向于扩张乃至类推解释,以将侵犯多种法益的行为都涵盖在该罪的处罚范围之内。第二,在坚持“没有获得同意”是构成要件要素的时候,因为“没有获得同意”成为构成要件要素的理由是其被“违反国家有关规定”所包含,所以也可以同时将“国家有关规定”的范围限制在与“同意”相关的范畴内,进而限制本罪的处罚范围。这可以通过以下案例进行展现:一方面,在“同意”作为阻却违法事由的场合,前文所提及的案例2的裁判理由将会成立:侵犯公民个人信息罪的保护法益不仅是公民个人的人身权利和民主自由权利,还包括社会管理秩序。因此,即便“同意”可以在“个人利益”层面阻却违法性,也不能在“社会管理秩序”层面阻却违法性,行为人获取、出售公民个人信息的行为即便违反了与个人利益无关的国家有关规定也足以奠定刑事可罚性。由此可见,因为侵犯公民个人信息罪的“法定犯属性”所蕴含的“保护多种法益”的可能性,将“同意”作为阻却违法事由,难以对侵犯公民个人信息罪的处罚范围进行限制。另一方面,在“同意”作为构成要件要素的场合,前文所提及的案例3的裁判理由能够得到体系一致的说明。案例3的核心观点是认为“知情同意获得个人信息”的行为不能构成侵犯公民个人信息罪,即便行为人同时“违反国家有关规定”。然而,这一结论如何与司法实践中所存在的具有知情同意也构成犯罪的案例协调?例如,在黄某辉等侵犯公民个人信息案(下称“案例4”)中,法院判决被告人构成犯罪的理由在于:公民个人信息首先是一种人格权,人格、身份具有强烈的人身属性,不能随意买卖,本案中各被告人均是通过购买或变相购买的方式获取公民个人信息,且再次向他人售卖,严重扰乱社会管理秩序,故即使经同意购买他人身份信息,同样构成侵犯公民个人信息罪。可以看到的是,案例4中法院虽然也提到了“严重扰乱社会管理秩序”,但其否定知情同意的出罪效力的理由则在于“个人信息基于其人格权属性而不能随意买卖”,回归个人信息本身。换言之,案例4中行为人所违反的“国家有关规定”是“限制同意个人信息买卖的国家有关规定”,而非其他不相干的国家有关规定。而案例3之所以无罪,则是因为案例3所违反的“国家有关规定”是“交通事故卖分”的相关规范,而与“同意买卖个人信息”无关——个人信息的提供是为达成“卖分”的目的而必然具有的过程。因此可知,就“违反国家有关规定而经同意获取个人信息”这一行为而言,之所以案例3的无罪结论和案例4的有罪结论在体系上不相互矛盾,是因为前者所违反的“国家有关规定”与个人信息转移的“知情同意”无关,而后者有关。简而言之,基于侵犯公民个人信息罪的“法定犯属性”与“个人信息流转的常态性”,“违反国家有关规定”和“获取、出售或者提供公民个人信息”这两个构成要件要素难以限定处罚范围。因此,就侵犯公民个人信息罪而言,将“同意”阻却犯罪成立的体系地位定位于阻却构成要件还是阻却违法,就具有了“前者较后者更能发挥限定侵犯公民个人信息罪的机能”之区别。综上,将“没有获得同意”作为侵犯公民个人信息罪的构成要件要素予以对待较为妥当,个人信息主体的“同意”只是“违反国家有关规定”的下位概念,这也意味着“同意”是侵犯公民个人信息罪的可能出罪事由之一。也就是说,一方面,在不被法律限制法益处分自由的场合,如果他人利用个人信息主体已经同意公开的个人信息,则该行为因为不具有构成要件符合性而不构成犯罪;另一方面,如果他人利用个人信息主体不同意公开的个人信息,该行为也可能因为符合其他法律规定的理由(如为应对突发公共卫生事件)而不具有构成要件符合性所以不构成犯罪。
有效的“同意”应当包含哪些要件呢?在德国学者罗克辛看来,至少存在四个要件:其一,同意要求真实性。至少要求通过语言或行为使其外观上可以被认识。其二,同意要求作出同意的人具有判断能力或者整体的观察能力,具有理性,且能明确知道自己行为的效果。其三,同意有效要求不存在行为人意思瑕疵的情况。其四,同意的内容不得违反公序良俗原则。具体到民事领域及其他法律范畴,尽管知情同意是获取个人信息的基石,但在众多情境中,这种同意往往徒具形式,鲜有人能真正阅读并理解完整的协议内容,多数人的选择实则出于无奈。至少可以说,这种“同意”在民法上以及其他法领域是存在瑕疵的。“由于刑法的构成要件设计上存在缩小处罚范围的政策考虑,也由于刑法主要在与公民人身、财产权利相关联的意义上把握个人信息,因此,前置法上的违法行为中只有极小部分最终被作为犯罪处理,刑法上必须做相对独立性的违法性判断。”因此,还有必要继续探讨刑法中该类行为的性质。在涉及个人信息的情况下,如果他人通过这种形式化的要件采集到他人信息后,再随意地转让给其他人的行为该如何认定呢?在理论中,便涉及对同意对象的探讨,也即刑法中“同意”的对象究竟是行为还是结果?一般而言,“同意”的对象只限于个人的法益,不仅包含对行为的“同意”,也包含对结果的“同意”。正如山口厚教授所言,“认定有效的同意,特别是对结果有无同意具有决定性意义。仅对行为具有同意,尚不能肯定对于所引起的法益侵害具备了同意”。换言之,权利人对行为和结果都能进行同意,但是对行为的同意,不能视为对该行为造成的一切法益结果都存在同意。因此,此处涉及两个核心问题,一是个人信息本人再承诺行为的性质;二是其他不相关的第三人是否有权使用的问题。以下分别予以探讨。第一,个人信息的本人再承诺行为该如何认定其性质。例如,个人信息的权利人不断地使用各种APP,如果在某款APP服务条款中明确规定允许自己抓取他人已经获取的个人信息,那么,对于该行为性质该如何认定呢?较为典型的包括“微某条案”“腾某诉抖某、多某案”等。在“微某条案”中,争议的焦点是,个人发布在新某企业的内容到底属于哪方主体?如果个人同意第三方服务者也能提取其信息,是否侵犯了新某企业的利益。在法院看来,个人发布在新某上的个人信息数据并非属于个人所有,因为该内容是新某企业投入了相当多的资源和服务形成的竞争性利益,因此,他人不能随意地再对第三方进行承诺。在“腾某诉抖某、多某案”中,争议的焦点是:腾某用户授权抖某、多某抓取其微信头像与昵称等个人信息,是否侵犯了腾某的权益。法院审理后最终认为,腾某公司已经为积累该类数据投入了大量的商业资源,并使其成为能带来商业价值的优势,因而支持了腾某公司的诉讼请求。比较上述两个案例,大致可以看出,一旦其他企业对个人信息等形成了竞争性利益时,即便其取得的个人信息经过了权利主体的同意,也不具有阻却犯罪的效力,也即其他企业如果通过不正当的方式获取了他人的利益,也能构成相应的犯罪。需要指出的是,虽然获得被害人同意的处理个人信息的行为也可能构成犯罪,但其理由不能被定位于其他企业对个人信息形成了“竞争性利益”这一点上。在承认侵犯公民个人信息罪的法益包括其他关联主体的私益或公共利益时,可以以“竞争性利益”被侵犯为由入罪。然而,前文已经反驳了这一点。因此,获得被害人同意的、处理个人信息的行为虽然可能构成犯罪,但可能构成犯罪的原因来源于此时法律对个人处分自由进行了限制,而非来源于企业对相关个人信息具有竞争性利益。举例而言,由于《个人信息保护法》第28条对敏感个人信息进行了特别限制:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”因此,在没有充分必要的情况下,这类敏感个人信息便应当仅保留在一家或少数几家企业之中,而不能因为被害人同意而肆意扩散到其他企业。虽然这可能表现为刑法对一家或少数几家企业的竞争性利益进行了保护,但必须明确,对竞争性利益的保护并不是这类行为入罪的真正理由。也因此,在法律不需要对个人处分自由进行限制的场合,即便企业对相关的个人信息享有竞争性利益,其他企业获得被害人同意而收集相关个人信息的行为也不能构成侵犯公民个人信息罪(不排除构成其他数据相关犯罪的可能)。第二,经过他人同意后,其他不相关的第三人是否有权使用其个人信息。如前所述,在很多情况下,服务主体在其授权协议中增设了允许不相关的第三方使用条款,这种授权极有可能并非基于他人真实的意愿,那么这种“同意”是否有效力呢?是否具有效力不可一概而论,需要区分不同的情形予以讨论。一是,需要明确服务者在协议中增设该条款的性质。显然,根据民法及相关法律规定,对于明显不利于权利人的条款,服务者负有告知义务。若未履行此义务,权利人则有权撤销该条款。二是,权利人“同意”的效力为何。根据被害人承诺理论的要求,行为人应当具有真实的承诺才可。然而,如果权利人尚不明知这一条款的存在,那么该承诺可能因缺乏必要的自愿性和明确性而被认定为无效。那么,值得探讨的是,该行为是否符合“推定的承诺”要件呢?“推定的承诺”的核心在于,完全从权利人的利益考量,并在事后一定能得到权利人的同意。就这种扩张性授权而言,不仅未能完全考虑权利人的利益,而且在事后他人是否同意也存在不确定性。因此,并不符合“推定的承诺”的要件。总而言之,这种情形下的扩张性的效力仅仅止于企业的利益保护问题,也即企业的财产权因为存在这种授权,不能视为侵害。但是,并不意味着他人的个人信息就一定没有受到侵害。如果他人个人信息的利益受到侵害,那么就不能排除行为人构成侵犯公民个人信息罪。值得注意的是,目前司法机关在认定同意的有效性时,还特别强调该“同意”是在他人充分知情的前提下作出的,也即采用隐瞒信息真实用途、真实去向,或者以利诱、蒙骗等方式骗取信息持有者“同意”获取信息的,也应该认定为“未经被收集人同意”,因为该“同意”并非在满足个人的充分知情权之下自愿作出的,也不能真实反映被收集人的内心意愿。对此,司法机关在认定是否构成犯罪的过程中,均否定了该“同意”的效力。陈某钦侵犯公民个人信息罪便是适例。被告人陈某钦为获取非法利益,自2020年5月开始,利用其在位于吴川市的翔某通讯手机店上班的便利,获取在该手机店开卡或者充值等客户的手机号码和验证码,再将获取到的公民手机号码和验证码发到微信群中给他人在京某等平台上注册新账户并获取优惠券,获取非法利益3918元。公诉机关认为,被告人陈某钦违反国家有关规定,向他人提供公民个人信息,并从中获取非法利益,情节严重,其行为已触犯《刑法》第253条之一的规定。被告人陈某钦以及辩护人认为有部分客人是知情的,对该部分的犯罪事实有异议,认为其无罪。法院审理后认为,被告人陈某钦日常职责为零售、维修通讯器材及代办移动通信业务,其利用工作上的便利,在为他人充值手机话费的过程中,窃取大量的公民个人信息出售以获利,其行为已构成侵犯公民个人信息罪。在另外的案件中,其他法院也持有类似的立场。例如,被告人通过开发APP供他人正常使用后获取个人通讯录、短信、定位等个人隐私信息,并且为了获取不法利益将上述个人隐私信息提供给他人使用。法院最终认为,虽然被告人及辩护人提出的信息需要本人同意后才能获取,而根据查明的事实,涉案APP具有明显的欺骗性,意图引导操作人员点击“同意”后成功获取相关信息,设置选择只是为了掩饰其非法目的,故选择程序设置的同意不能阻却本案被告人行为的违法性,因而认为构成侵犯公民个人信息罪。这些足以表明,司法机关对该种假借他人知情同意的名义,实质上却行犯罪之实的情况均持否定的立场。从目前案发的实际情况来看,除了他人非法获取的个人信息之外,也出现了大量“已公开”信息的再侵犯问题。一般来说,一旦个人信息被公开,其保密性和隐私性在一定程度上便不复存在,因此,在他人进行合理使用的情况下,对该信息法益的侵害性自然减弱。基于法益保护必要性阙如的理论可以明确,可以对已公开的个人数据进行合理使用。对此,《个人信息保护法》第13条第1款第6项明确规定,“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,并不需要取得个人的同意。众所周知,“同意”在刑法领域存在“明确同意”与“推定同意”两种基本类型。那么,这是否意味着个人信息处于“已公开”状态均可以推定其已经同意他人合理使用其信息呢?显然不可一概而论。因此,对于“已公开”的信息,不仅需要进一步辨析“已公开”“合理处理”的内涵和外延,而且还需要根据“推定同意”进一步明确出罪范围。
一旦个人信息被公开,其保密性和隐私性便不复存在,因此,在他人进行合理使用的情况下,对该信息法益的侵害性自然减弱。基于法益保护必要性阙如的理论,可知对已公开的个人数据进行合理使用是必要的。对此,《个人信息保护法》第13条第1款第6项明确规定,“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”,并不需要取得个人的同意。这也表明,只要合理使用已公开的个人信息,就可以豁免于同意。那么,何为“已公开”“合理处理”,则需要进一步予以明确。
该如何判断个人信息属于“已公开”的个人信息,目前还存在较大的争议。一方面为了更好地保护公民个人的信息,另一方面也为了不影响对个人信息数据的再加工,可以从以下路径判断是否属于“已经公开的个人信息数据”。第一,应当以“该信息是否向社会一般公众公开”作为判断的基本标准。如果社会中的一般人可以通过社会公开的途径获得该信息,那么就应当承认该数据的公开性。例如,从政府公开的企业信息中进行归纳整理的法定代表人的个人信息,一般人均可通过公开途径轻易获取此类信息,则应视为已公开的信息较为合理。该类数据既无保密性,也无排他性,允许一般人进行获取、使用乃至转让。相反,如果仅仅是某些特定处理场景内的人才能获得的他人个人信息数据,如某类APP软件平台收集的特定的如家庭住址等个人数据,该类数据并不能被一般的社会公众知悉,不将其视为已公开的信息较为妥当。因为该APP软件平台是收集数据的权利主体,对数据的持有和使用均具有一定的排他性。第二,在公开的方式上,根据自愿类型而应当视为“已公开”的范畴。自愿类型具体可以分为三类:第一类是权利主体完全自愿公开的个人信息数据;第二类是权利主体非完全自愿但出于无奈而公开的个人信息数据;第三类是权利主体被动公开的个人信息数据,包括依照法律规定强制公开的他人个人信息数据。例如,《个人信息保护法》第13条规定的“在紧急情况下为保护自然人的生命健康和财产安全所必需”而公开的他人个人信息。以及根据我国《民法典》和《政府信息公开条例》等相关法律法规依法强制公开的信息,均应视为“已公开”。此外,我国学界普遍认为,通过新闻报道等合法途径公开的个人信息,在适度范围内,也应被视作已公开的个人信息数据。数据是否已公开应当以受保护的法益是否存在为标准,而不是数据是否公开的客观状态。公民完全自愿公开的个人信息数据在合法性上并不存在多大争议,这是公民对自身合法权利的自愿让渡。如果是非法泄露的个人数据,即便处于公开的状态,也不能视为“已经公开的信息”。数据未被合法公开,该数据应受保护的法益并未消失,其后续被非法获取、使用、转让行为都不应排除犯罪。那么,违背公民意愿的强制公开是否合理呢?根据《民法典》规定,为维护公共利益或者该自然人合法权益而处理个人信息的,行为人不承担民事责任。根据《个人信息保护法》第13条规定,为了应对突发公共卫生事件、为公共利益实施新闻报道、舆论监督等行为或者基于法律法规的规定,信息处理者可以处理他人的个人信息。由此可见,公民的个人信息利益在必要时候需要让位于公共利益,在个人利益与公共利益产生冲突的时候,即使公民个人并不自愿,由于法律已经有强制性规定,那么该信息依然属于已公开的个人信息的范畴。对于公民不完全自愿公开的个人信息而言,并不当然属于已公开的信息。公民对个人数据的公开拥有决定权,然而,众多网络平台却强制要求用户勾选同意条款以换取服务使用权,这些格式合同往往倾向于免除网络平台自身的责任,并要求用户广泛授权网络平台对个人数据的后续利用。如果公民的同意存在瑕疵,不能直接排除不法。因此,数据是否处于正常的已公开状态以及该数据后续的获取、使用和转让行为性质都是存疑的,则需要判断网络平台是否突破数据权利限制。若平台对个人信息的公开程度合理,则其行为具有合法性。总而言之,那些面向社会公开,普通民众能够通过正规渠道轻易获取的信息数据,以及个人基于自愿且符合法律规定所公开的信息,均应视为已公开的信息。对于公民不完全自愿公开个人数据,对其是否属于“已公开”还需要通过是否属于“合理使用”进行进一步判断。
就“合理处理”的判断标准而言,目前存在“中性使用说”“场景合理说”以及“合法性说”等观点。在个人信息保护领域,由于公开方式的不同,法益的保护程度也应当有所区别。因此,“合理处理”原则并非仅仅依靠上述任一理论就能得以妥善解决,而应当坚持“主客观相统一原则”进行综合判断。具体而言,一方面,在判断立场上,应当坚持行为人标准说,也即从行为人的立场出发,具体判断行为人利用个人信息数据时主观上是否存在合理利用的意图。如果其主观上已经预见到了该处理会超出合理的预期,那么该利用行为就不应作为合理处理对待。另一方面,采取客观说来具体判断该行为是否属于“合理处理”。在“合理处理”的判断上,可以参照《个人信息保护法》历次审议稿中“用途”标准,如果超出了“被公开时的用途”范围,应当属于不合理的范畴。例如,前文提及的案例1中,被告人辩解,其通过网络公共平台天眼查获取合法、公开的公民个人信息应予以扣除。然而,由于其系收集信息后转卖给他人,并没有将已公开信息的后续使用限定在“被公开时的用途”的范围内,因此,法院判定其因未取得同意而构成侵犯公民个人信息罪的判决显然是妥当的。对于公民不完全自愿公开的个人信息数据,由于涉及个人信息数据主体和数据处理人的双方利益冲突,所以信息合理处理首先取决于信息是否被合法公开。针对公民非完全自愿公开的个人信息数据,即便数据处理者已经获得了数据主体的同意,并基于其原始请求行为取得了数据处理权。然而,在此情形下,依然需要进一步限制“合理处理”,原因有二:一方面,基于意思瑕疵原理,公民的个人信息数据授权有所限制。不能以概括同意直接合理化所有的个人信息数据的公开。另一方面,使用者公开数据的授权对象是特定网络平台。网络平台是数据权利主体,该数据只能面向特定主体而非社会一般人。因此,网络平台并不完整地享有个人信息的数据权利。为了平衡数据主体和数据处理人的双方利益冲突,应当引入合理利益豁免机制较为妥当,也即当处理的数据是数据处理者利益所必需,且在业务相关范围内处理,应当认定为合理使用。此外,若处理行为超出了一般人的容忍程度,应视为违背了网络服务使用者的合理预期,此时个人信息数据应当视为未公开,后续的获取、使用及转让行为均构成对个人信息数据权益的持续侵犯。主观上存在利用已公开信息牟利的目的,是否应直接排除在合理处理之外?答案是否定的。一方面,公开的个人信息数据不具备很强的排他性,且《个人信息保护法》第13条的立法目的是确定对信息处理目的是否合法,所以不能单纯地因为牟利就认为是非法使用。另一方面,对于完全向社会公开的个人信息,因不具备保密性,只要采取了一定的方式处理后,一般人都能成为数据的权利主体。如前述案例,行为人对政府公开的法定代表人等信息进行整合并以此牟利,整合过程中数据的完整性得以保持,同时,该行为还实现了信息的集中,使得公众能够更便捷地获取,从而促进了数据的流通与共享。因此,不能因为他人主观上具有牟利目的就否认行为的合法性。对于是否在合理使用范围内,仍要将目光聚焦于数据法益的本质,应当以行为人的行为是否侵害或可能侵害数据法益为判断标准。
个人信息数据权益配置的理想化状态是数据处于决然的两分状态——纯粹的个人信息和不具有再识别风险的匿名个人信息数据。然而,现实中这种状态几乎难以存在。因为随着科学技术的不断发展,只要具有足够强大的算法工具,那么在浩瀚的数据中也可能找到个人信息的蛛丝马迹。所以这种绝对的匿名化个人信息数据只具有相对性。当然,基于隐私权保护的需要,对公民个人信息提供刑法保护是目前发达国家通行的做法,例如法国、美国、德国和日本等国都有相应的法律来保护个人信息。然而,这并不意味着对个人信息的保护是盲目的,而是应当结合行业自律和立法规定,在确保个人信息安全的同时,促进互联网产业的健康发展。盲目扩大个人信息保护范围,不仅会阻碍数据共享,也会降低对个人数据的保护水平。因此,对数据的保护依然涉及价值判断的问题。唯有将真正值得刑法保护的数据纳入保护范畴,方能切实实现刑法惩罚犯罪、保护法益的终极目的。对于已经公开的个人信息数据,在刑法中,是否就一定会得到相应的保护呢?这仍需进一步深究。众所周知,在刑法理论中既存在明示的同意,也存在被害人虽未明示,但是可以认为在被害人知道该情形时就当然会给予同意,从而推定其意思所实施的行为的情形。也就是说,不存在被害人的现实承诺,但在被害人知道了事实后当然会作出承诺的情形下,推定被害人同意的行为即为有效。不得不说,推定的同意与被害人自己放弃法益这一实际存在的同意,是不同性质的东西。那么,又是基于何种理由将两者等同视之呢?在目前的刑法理论中,“被允许的危险说”逐渐兴起。该说认为,只要法益侵害行为符合法益主体的意思的事前的、高度的客观盖然性,就算被害人的现实意志与侵害法益相对立的危险,也可以侵害被害人的法益。对此,有观点认为,就推定同意的理论基础而言,“优越利益说”认为,推定的同意的根据是所实施的侵害法益行为在事前看具有与法益主体意思一致的高度盖然性;“被允许的危险说”认为,推定的同意只是对被害人知情后会同意的一种“盖然性判断”,要冒一定的风险,只能根据被允许的风险之原理加以正当化,因此二者都聚焦于“存在符合法益主体意思的事前的盖然性”这一点上,然而,“违法阻却事由的盖然性”的存在不等于“违法阻却事由”的存在。而“无知之幕”恰恰可以避免这种“盖然性”的推断。换言之,“无知之幕”可以论证出是被害人在面对危难之时,自己作出了此种抉择,即“我认为我在此情况下会如此行动”,来源于被害人本身的“同意”,因此这种推定同意才能够在效力上等同于现实的“被害人承诺”。推定的承诺具有补充性质,仅当被害人的现实同意无法实现时,方可考虑适用推定的承诺。具体而言,“根据行为当时的客观状况,基于高度的盖然性能够推定,如果法益主体对情况存在正确的认识,想必也会同意的情形下,从对法益主体的自律性的补充这种角度来看,就应该认定阻却构成要件该当性或者阻却违法性。推定的同意,是根据当时的客观状况而试图补充自律性。因此,即便法益主体事后表达了反对意见,该行为依然是合法的”。当然,也有学者认为,在推定同意的场合,也需要排除法益主体的意思相关的行为人的“判断错误”的情形,因为既然不是基于现实的被害人意思而行动的,就应该由行为人一方来承担不利的后果才为妥当。但这种观点值得商榷。因为既然推定的同意与同意具有相同的法律效果,那么就算在判断错误的情况下,也不应当将该风险归于行为人。因为在通常的情况下,“被害人当然会作出承诺”的判断标准是理性行为人的平均标准。以公开的个人信息为例。一旦个人的信息主体主动公开其个人信息,自愿、主动地削弱对个人信息的控制,就理应预见并承担难以避免的风险。在他人出售其个人信息的前提下,即便权利人事后予以否认并表示不同意,也不能就此认为行为人要承担相应的刑事责任。然而,如前所论,在司法实践中,对于已经公开的个人信息,是否存在通过刑法保护的必要性,不同法院的做法莫衷一是,有的将其认定为有罪,而有的认定为无罪。支持有罪说的理由是,“个人已公开的信息不再具有隐私特性,但仍不失其识别个人的功能,获取或者利用这样的信息仍然可能侵害个人私生活的安宁,危及公民的人身或者财产权利,因此,从市场主体信息中剥离出来的个人姓名及身份证件号码、家庭住址、通讯方式等信息,仍然具有个人信息的本质属性”。也就是说,虽然被害人公开了自己的个人信息,且存在推定同意的可能性,但是也不排除成立犯罪。这在“百某公司与朱某隐私权纠纷案”中也有具体的体现。根据朱某诉称,其在百某公司搜索引擎上检索了相关的信息,再进入其他网站,其他网站便推送与之前检索相同的内容,朱某因此感到极度不安,认为这种行为进一步侵犯了他的个人隐私权。百某公司辩称:该种情况是因为采用了Cookie技术,其目的是提供个性化的服务,该技术具有记忆功能,所以在其他的网站上推送的内容与其检索的内容高度相关。有的法院认为这种推定的同意显然不利于对个人信息的保护,因而在司法实践中直接否定了其正当性。例如,在关某甲、关某乙侵犯公民个人信息案中,虽然辩护人提出:“融资客户签署融资租赁合同的时候,许可融资租赁公司获得公民个人信息、车辆轨迹信息;许可融资租赁公司在融资租赁合同目的范围内处理公民个人信息;融资租赁公司及获得授权的关某甲、关某乙不构成侵犯公民个人信息罪。”然而,这一辩护意见并未得到法院的支持,法院最终仍然判决其构成侵犯公民个人信息罪。有罪论的观点在较早时期是学界的主流观点,但是目前司法机关在认定的过程中有逐渐松动的迹象,也即有的法院目前积极承认推定的同意在此类判决中的合理性。因为推定的同意作为同意的一种类型,在个人信息保护中也不应否定其应有的价值和地位。推定的同意并非没有任何表示均可以推定其同意,只有被害人公开了自己的个人信息,并且能预见到他人会使用自己的个人信息,才能承认成立默示的同意。但必须进一步强调的是,被害人明示与默示信息被公开,与推定被害人同意其他主体对合法公开的个人信息进行处理,是两个环节。无论个人明示或者默示地自愿公开个人信息,都可以推定其同意他人的处理行为。但是,如果这种处理行为超出了最初同意的目的或内容,不具有合理必要目的,或者处理信息时存在其他违法犯罪目的等,则可以否认推定同意的存在。例如,被告人李某自2016年起,在网上通过QQ、微信等方式向他人贩卖公民个人信息。2017年3月,刘某、黄某向李某购买公民个人信息用于犯罪后案发。法院审理后认为,被告人出售的信息中包含公司名称、法定代表人姓名、手机号码、公司地址等,这些信息能够单独识别特定自然人身份,根据《民法典》第1032条和《个人信息保护法》的规定,这些信息属于公民个人信息。被告人未经被收集者同意,将合法收集的公民个人信息出售给他人,构成侵犯公民个人信息罪。被告人不服,提起上诉。二审法院认为,企业依法律法规或经营需要所公开的信息,即便内含个人姓名及联系方式,亦不构成刑法所界定的公民个人信息范畴,原审对此类信息的认定存在偏差,遂以事实不清,适用法律错误为由,裁定撤销原判,发回重审。而在另外的案件中,司法机关针对他人从公开的司法审计书中挖掘出了法定代表人的个人信息,虽然也涉及个人信息,依然认为不应属于公民个人信息而予以排除。即便在被害人对已经公开的个人信息存在推定同意的情形下,司法机关的判罚也较为慎重。因为根据推定同意的类型来看,主要包括“为权利人利益而推定的同意”“为第三人利益而推定的同意”和“为自己利益而推定的同意”三种。那么,对他人已经公开信息的再利用,显然不是为了权利人的利益考虑,因而也就导致了某些司法机关较为谨慎的态度。所以,某些司法机关针对已经公开的法定代表人的个人信息认为,行为人收集、出售的信息中包含了个人姓名及联系方式,并据此认定该信息属于公民的个人信息,即使是其主动予以公开的信息也应构成犯罪。但是实现保障个人信息权的目的并不需要坚持限制出罪的立场。“正确地运用出罪理论,不仅不会放纵应受刑罚处罚的犯罪人,而且还会让犯罪化的边界更加清晰。”“基于自愿公开的处理,应当以推定同意为正当性基础。”针对被告人收集的对象是企业在互联网中公开的包含自然人姓名及联系方式的企业信息,该类公开的企业信息中包含自然人姓名及联系方式或者为符合法律规定,或者是经营所需,该自然人信息应属于企业信息范围,不存在法益保护的需要,应属于刑法规定的公民个人信息的例外。因此,对于该类情形应当认为符合推定同意的实质要件,不应通过刑法予以保护,较为妥当。随着大数据时代的到来,数据呈现出爆炸状态,如此体量的数据也呈现出低密度以及低价值等特征。信息社会的最大挑战是,如何通过一种更加平衡的方式来解决各类法益主体之间的冲突,就目前来说,我国学者也进行了多方尝试,有的学者建议直接修改《刑法》的相关规定,将《刑法》中的个人信息数据进行一揽子规定,从而使我国立法保护的对象扩展到个人数据上。如果上述立法建议获得立法机关通过的话,那么就意味着我国在个人数据刑法保护上将更加周延。因为个人信息所承载的信息价值可以成为刑法保护的对象,且信息的客体——数据也能成为刑法保护的对象。如此周延保护的立法建议尚未得到采纳。总体上来说,对于个人信息数据的刑法保护,尽管我国刑法中已经设立了侵犯公民个人信息罪,但该罪名的适用范围和保护力度存在一定的局限性。特别是在数据成为生产要素的背景之下,对任何数据都不能合理使用的话,就意味着难以进一步激发数据的价值。所以,要想激发个人信息数据本身的价值,让数据成为新型的生产要素,我们不仅在刑法中需要确立相应的“知情同意”的出罪机制,而且需要对已公开的数据进行合理使用。梅傲|数字贸易制度型开放的基石:数字信任体系之构建齐萌|人工智能强制责任保险的法律构造——以智能驾驶为例
