非法获取个人数据犯罪分析

编者按：

近日，人大官微回应部分学生信息被非法获取的情况。在此次事件中，对相关行为人应科处何种刑罚，值得讨论。尤其在刑法积极介入社会治理的当下，对该种行为应否予以犯罪化需要进行深入分析，而本篇文章无疑具有参考价值。

作者简介

于润芝,清华大学法学院博士研究生,主要从事刑法学研究。

基金项目：国家留学基金委“国家建设高水平大学公派研究生项目”(202106210296)

文章原题为《非法获取个人数据犯罪的法益分析及处罚限定》，载《大连理工大学学报(社会科学版)》2023年第2期，第56-64页。

（引用及参考文献已省略，如需要，请下载原文）

摘要:个人信息权益、数据权益、信息管理秩序、数据安全秩序,是大数据时代下刑法保护的新兴法益。侵犯公民个人信息罪保护个人信息权益,非法获取计算机信息系统数据罪保护数据权益,二者都应作为个人法益保护。一方面,侵犯公民个人信息罪中“同意”要件的规范化构造,以刑法对个人信息的保护程度为基础,在因“同意”而产生的合理预期范围内由信息主体承担信息社会的风险。另一方面,以私法上个人数据确权理论为依据,非法获取计算机信息系统数据罪的对象应包含个人数据所承载的数据控制者的数据权益,处罚范围取决于个人数据上的企业投入及合法获取。非法获取个人数据的行为,可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合。

关键词:个人数据;个人信息;数据权益;想象竞合

一、问题的提出

随着存储技术、计算技术、网络技术的持续发展,大数据、云计算、物联网促成了第三次信息化浪潮。数据的快速增长使人类社会进入信息时代、大数据时代,私人领域的生活消费、社会领域的舆情分析、金融领域的信用评级、电商领域的客户预测等都离不开数据。数据的掌控与利益的增长呈现出滚雪球式效应,利益驱动导致数据违法犯罪活动愈演愈烈,尤其是针对个人数据的非法获取成为侵扰人们生活的重要因素。2021年8月20日,十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,自2021年11月1日开始施行,对个人信息的保护进行了体系化的规定。在此背景下,严峻的个人数据安全问题需要刑法的回应,刑法要有选择性地处罚严重侵犯个人数据的行为;信息技术让社会生活中各种价值和性质均相异的事物都以数据的形式存在和流转,刑法不得不重新审视既有条文的解释和适用。

对于非法获取个人数据的行为,《中华人民共和国刑法修正案(七)》(下文简称《刑法修正案(七)》)增设了非法获取公民个人信息罪和非法获取计算机信息系统数据罪,《中华人民共和国刑法修正案(九)》(下文简称《刑法修正案(九)》)修订设立侵犯公民个人信息罪。一方面,非法获取个人数据的犯罪行为究竟是侵犯个人法益抑或集体法益,存在争论。如果主张集体法益,需要回答选取的集体法益是否具有正当根据以及如何指导构成要件解释;如果主张个人法益,需要明确作为权利主体的个人与作为权利客体的个人数据之间的哪一部分利益关联值得刑罚保护,还要回应集体法益主张者对于直接保护个人数据权益的诸多顾虑。个人法益与集体法益争论的根本,在于刑法对个人数据这一新兴事物的态度:处罚非法获取个人数据行为,究竟是在预防个人的传统权利免受信息社会中新事物的威胁,还是将个人数据定位于新兴权利的基础上予以保护。不同立场的选择,直接决定了刑事司法实践对于个人数据保护的边界。

另一方面,个人数据的载体随着存储技术的发展而多样化,由此导致数据上相关权利主体众多,承载的利益也变得复杂化。现有刑法理论似乎并未过多在意数据上的利益纠葛,而是简洁地将数据犯罪区分为侵犯传统法益与侵犯数据法益。问题在于,承载传统法益的数据同样会保留着独立的数据法益,而传统法益该归属于谁、数据法益又该归属于谁,如果受到侵害的法益主体不再一致,罪名的择用标准显然不是二分解决的。非法获取计算机信息系统数据罪和侵犯公民个人信息罪,二者均是刑法对个人数据在“不被他人非法获取”意义上的保护。社会生活中非法获取个人数据的案件层出不穷,案件的发生经常会波及多方利益主体,带来连锁的损害。因此,为了协调个人数据的个人权利主体、数据掌控者、数据使用者等多方的利益,回应个人数据安全的需求和信息社会发展的保障,需要在厘清保护法益、同意机制、数据范围等基础上,确立两罪的适用场景及关系。

二、非法获取个人数据犯罪的法益定位

1.集体法益的实体内容与正当证成:还原个人法益

刑事立法一方面前置处罚法益侵害尚未现实发生的行为,同时也扩大处罚至许多新型的社会领域,如此一来,集体法益不可避免成为规范目的。坚持法益教义学的同时,通过稀释(法益理论)与实定法“和解”,这种观点只要在人们认为还是必要的情形下,就还是可以主张的[1]。集体法益不能与个人法益处于紧张关系,还要具备能够衡量损害和解释构成要件的实体,若非如此,集体法益难免沦为预防目的的借口。因此,集体法益的确立需要以具有“经验实在性”的实体作为实质内容。即使承认集体法益的正当性,也不会以集体之名推翻人的法益概念,主流观点坚持将法益的最终目标导向服务于个体、保障个体生活所必要。也就是说,集体法益的实体内容要回归到其与个人的联系。如此一来,建立起集体法益与个人之间的实质联系,既是确立集体法益的实体内容,也是在证成其自身的正当性。

诚然,不可能将集体法益量化地拆分为个人法益,二者之间实质联系的建立也不是简单的相加。具体而言,即使是表面上保护集体法益的犯罪,如果直接作用于个人而发生,就要尽可能作为对个人法益的侵害而理解。方法是,试着抽取出集体法益中的具体个人要素,检讨构成要件中是否预先设定了对这种个人法益的侵害或危险。例如寻衅滋事罪,虽然规定在扰乱公共秩序罪中,但只以“公共秩序”作为法益显然无法指导该罪的解释与适用。对此,张明楷根据该罪的不同行为类型,将构成要件行为指向具体的个人,“与公共秩序相关联的个人身体安全”“一般人在公共生活中的行动自由和名誉”等就是该罪的法益[2]。如此一来,犯罪成立范围就限定在以对个人的侵害为基础的可视性要素中。但是,如果无法从构成要件描述的行为模式中抽取出明确的个人法益,就要将问题聚焦于,集体法益在什么意义上前置性、间接性地保护了个人法益。此时进行的还原,实质上就是揭示集体法益如何服务于个人法益,这一中间过程必须是明确的、可视化的。例如,刑法管制淫秽物品的制作、复制等行为,是以社会的性秩序作为保护法益,如果社会的性秩序受到损害,会损害人们的性羞耻心,还会形成有害青少年成长的环境,甚至导致对女性的差别对待,与性相关的商业发展还会促成犯罪集团的不良资金链,等等[3]。因此,集体法益独立地作为罪刑规范目的的必要性,在于其具有个人法益无法实现的独立作用,那么就不能只是个人法益的简单相加,对其还原的工作也不会是简单拆分。反之,如果可以直接从构成要件中抽取出明确的个人法益,就没有另行提出集体法益的必要,否则就是舍本逐末。“在从个人出发的命题下,讨论法益保护之际,如果以个人法益能够说明的东西应当全部作为个人法益保护而说明,就应回避超个人法益概念。”[4]也就是说,必须确立个人法益概念相对于集体法益的优先顺位。

2.侵犯公民个人信息罪的法益分析

关于侵犯公民个人信息罪的法益,个人法益说以个人信息权这一新兴权利作为保护法益,而作为集体法益的信息管理秩序只是附带保护的法益。集体法益说认为,该罪的法益是社会公共安全,具体是信息管理秩序。如果将信息管理秩序作为集体法益,需要通过“还原个人法益”的程序来检验其正当性和必要性。

具体而言,集体法益说的观点认为,一方面,数据具有流通性、分享性的特点,个人数据不具有个体属性,不宜作为排他性的私权保护,否则会妨害个人数据的合理使用,影响信息社会的发展;另一方面,个人数据犯罪的危害性在于可能致使相关个人信息被用于其他犯罪,存在侵害其他人身与财产权利的风险,因此,个人信息本身的保护不是目的,而是为了规避信息滥用导致的社会风险。“个人信息保护规则所保护的并非个人信息本身,也非个人针对信息享有的民法人格权,而是个人信息处理活动中可能受到威胁的相关个人的合法权益。”[5]信息管理秩序法益的实体内容在与个人的联系上,即使能够导出个人信息权益,也只是作为中间性阶段,最终只能追溯到一般人身财产安全,却不会涉及个人信息权益的保护。具体而言,主张信息管理秩序这一集体法益的观点,都会强调后续非法利用信息的危害,也会注重该罪本身的预防作用,认为“侵犯公民个人信息罪的处罚模式是预防性处罚,而非实害性处罚”[6]。这就印证了主张信息管理秩序作为保护法益,是从预防公众人身财产安全的意义出发,而不是着眼于对个人信息权益的保护。

个人法益与集体法益的争论,在于对个人数据在事实形态和价值取向上的论断不同。如此一来,两种立场对于刑法保护个人数据应有姿态的定位也不同。在事实性特征上,如果认为个人数据的界定只能受制于天然具有流动性和共享性特征的数据形式,只有控制的利益而没有归属的意义,那么自然只能引导出工具性价值。在价值取向上,问题在于个人数据的保护究竟是作为防控其他社会风险的手段,还是在认可个人信息权益独立价值的基础上将数据的保护本身作为目的。如果目的在于前者,显然不是通过保护单个主体的权益能够实现的;如果目的在于后者,那么即使否认了个人信息的权利性质,也要将重点放在其作为个人所属的权益。

第一,如果将个人信息的保护作为预防社会风险的手段,侵犯公民个人信息罪就会变成抽象危险犯,但相对于公民人身财产的安全状态而言,信息安全管理秩序的侵害只会造成风险,而其实害化的过程是难以测定的。信息管理秩序和公众人身财产安全的关系与药品管理秩序和公众生命健康之间的关系是不同的。在后者场景中,假药在市场上的存在、流通会给人的健康带来直接危险;而在前者场景中,泄露的个人信息究竟会以什么样的方式产生侵害人身财产的效果,尚未可知,甚至未达到诸如非法利用信息网络罪作为被实行化的预备行为的程度,最多只是一种风险。风险不同于刑法中的危险,危险转向法益侵害的现实化过程是因果关系的主要内容,而风险的实现却是难以衡量和精确描述的。因此,如果将信息管理秩序作为法益,其实体内容要么会导向信息秩序本身的效力,不可避免导致与个人权利的紧张关系;要么只是涉及人们对于人身财产安全感,但这种安全感并不能证成刑罚的正当性。

第二,信息管理秩序作为集体法益,却不能等同于对个人信息权益的保护,实际上是舍弃了个人而直接保护集体。首先,非法获取公民个人信息的行为对象是个人信息,一定是对个人信息的侵害在前,而对信息管理秩序的损害在后。换言之,该罪的构成要件中可以抽取出明确的个人利益损害。其次,非法获取个人信息的行为是否达到了侵害信息管理秩序的程度,最终仍然是以个人信息的数量作为判定标准,等于是说,信息管理秩序的法益可以拆分为确定数量的个人信息利益。以上两点说明,以信息管理秩序作为侵犯公民个人信息罪的集体法益的正当性存在疑问。最后,跳过个人信息权益而径行保护信息管理秩序的后果是:不存在对个人信息的侵害时,仍有可能归为信息管理秩序损害;即使有特定的个人信息受到侵犯,却会因没有达到多数而认为信息秩序未被侵害。

第三,在快速发展的信息社会背景下,我国的立法现状已经明确承认了个人信息权益的独立性重要地位。《中华人民共和国民法典》第四编人格权中第六章对于隐私权和个人信息保护作出了专门规定,第1034条规定“自然人的个人信息受法律保护”,这不仅意味着个人信息的独立保护,同时还反映出个人信息是作为权益、利益而保护;新颁布的《个人信息保护法》第1条中规定“为了保护个人信息权益”,第2条规定“任何组织、个人不得侵害自然人的个人信息权益”,第四章还专门规定了个人在个人信息处理活动中的权利。在私法理论中,因认识到传统人格权、隐私权、财产权等保护模式无法满足个人信息在新环境下的规制需求,于是将之定性为新型权利。即使认为个人信息作为电子数据具备流通性、分享性,因而难以作为排他性占有的权利客体,也不能否认控制个人数据的个体针对个人数据享有的利益。也就是说,个人数据属于个人利益的性质是无法被否定的。刑法理论也强调,个人信息权益是容纳了人格利益、隐私利益、财产利益等多种权益的综合性新型权利,因而在刑法上应作为独立的法益内容予以保护。既然个人信息是作为人格权的内容得到独立的保护,在尊重人权、保障人的尊严的意义上具有重要意义,而不仅仅是为了促进数据行业的发展。

诚然,以信息管理秩序前置性保护公民人身、财产安全的设想并无不妥,增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪之时,就是为了通过维护公民信息安全以保护公民的人身和财产安全,预防利用个人信息实施诈骗、洗钱等犯罪活动。设立侵犯公民个人信息罪之后,司法解释将财产状况、行踪轨迹等不具有识别性但可能会影响人身财产安全的个人信息纳入保护范围之内,个人信息的外延逐渐扩张。个人信息的外延扩张正是说明,公民对个人信息的支配控制和不受他人侵犯,紧密地关涉到人身财产安全。那么,与其通过另行创设信息管理秩序法益寻求对公民人身安全的保护,不如直接通过对个人信息权益的保护作为架设到人身财产安全的预防性桥梁。不仅如此,越来越多的观点主张继续扩展个人信息的范围,还应当包括虽然不具有识别性但是涉及个人隐私的信息。这说明,个人信息权益不仅承载着对人身财产安全的预防保护作用,还关系到对个人隐私权的保护。这就体现了个人信息权益的社会重要意义的双重价值,只有将个人信息权益作为独立保护的法益,才能通过侵犯公民个人信息罪的适用实现这种双重作用。

但是,集体法益说对于通过将个人信息权益归属于个体予以保护的顾虑不无道理。一方面,通过“同意”行使信息自决权存在现实困境:公民在信息流通技术的弱势地位、信息获取方提供的复杂专业的使用协议、提供信息与接收服务的强制关系等[7]。另一方面,公民个人信息具备公共属性,采用公共秩序法益有利于兼顾信息共享,而将个人信息在归属的意义上予以权利化的进路可能会妨碍信息的流通和利用。但这些顾虑,可以通过限制性地保护个人信息权益来解决。

3.非法获取计算机信息系统数据罪的法益分析

个人数据在侵犯公民个人信息罪的语境下,是注重内容的个人信息,但是不会改变其作为数据的本质形态。单就非法获取数据而言,还会涉及非法获取计算机信息系统数据罪的适用。传统观点认为本罪的法益是计算机信息系统安全,这是将数据与系统看作完全对应的内容与载体的关系。虽然从法条描述与司法解释规定来看,该罪的行为对象限于计算机信息系统内部的数据,即使保护身份认证信息也是考虑到计算机信息系统的访问控制。但是,云计算技术的发展使得数据呈现为虚拟化存储和多用户分布,数据不仅与计算机系统分离,更是逐渐与物理设备分离,数据在存在形态上的独立性愈发明显,“以数据为对象”成为现代社会中普遍的行为方式。于是,不论是理论对于“计算机信息系统”的解释,还是实务对该罪的适用,都不再局限于物理意义上的计算机信息系统。

对于非法获取计算机信息系统数据罪,一种观点是将数据犯罪的保护法益定位为数据安全,而非法获取计算机信息系统数据罪则是侵害了数据安全中保密性的要求[8]。这一观点具有合理性。非法获取计算机信息系统数据罪在司法实务中的适用并不限于考察危害计算机信息系统安全的可能,而是已经表现出对于数据本身的保护的关注。例如在“白帽子”案中,被告人袁某系“白帽子”(又称正面黑客),其识别计算机系统或网络系统的漏洞后,并不恶意攻击或非法利用,而是将该漏洞信息发布至乌云网(位于厂商和安全研究者之间的安全问题反馈平台),运营商就可以据此进行修补。袁某在一次照常行动中,由于其侵入网站服务器时使用的软件自带缓存功能,查找漏洞的同时获取了大量身份认证信息,由此被认定为非法获取计算机信息系统数据罪[9]。本案中,袁某的行为对于计算机信息系统安全有益无害,作为处罚对象的客观行为与主观故意的认定,都是以“获取数据”为核心。另一方面,非法获取计算机信息系统数据罪的手段行为,并不局限于处罚通过终端设备对他人计算机信息系统进行侵入,利用钓鱼网站诱骗被害人注册登记后盗取账号密码的,仍然属于该罪构成要件中的“其他技术手段”。在后者场景中,行为人通过ARP欺骗技术建立假网关,让被欺骗的个人电脑向假网关中发送数据,从而窃取他人的数据。换言之,在这个过程中,行为人不需要“侵入”和“控制”他人的计算机信息系统。因此,不论是通过远程登录攻击指令、撞库攻击、木马截获等入侵计算机系统的手段,还是利用钓鱼网站的欺骗手段,都是指向对于他人处于保密状态下的数据的非法获取。

由于数据载体的发展而导致保护模式的改变,同样发生在日本。关于数据的非法获取,日本以前是作为信息盗窃而论处,窃取信息同时伴随着物质转移,继而从妨害权利者使用的角度认定为盗窃罪。但是,由于信息的可复制性和信息载体的虚拟化,对数据的侵害扩展到盗窃罪不能解释的领域。2000年日本开始施行《不正访问行为禁止法》,将侵入连接电信通讯线路并且设置有访问限制机能的计算机的行为定义为“不正访问”,处一年以下徒刑或者50万日元以下罚金;将他人的身份认证信息提供给第三者以帮助不正访问的,处30万日元以下罚金。不正访问禁止法以访问控制机能来表示对数据的管理和支配,其保护法益是对管理和支配数据的基础权限[10]。但是,不正访问所保护的保密性与数据安全的保密性不同:前者是确保只有权利访问人才能访问数据,后者是数据不被未授权人探知和获取。不正访问禁止法并不直接禁止非法获取数据的行为,而是在处罚不正侵入行为之后,作为结果处罚了对于数据的不法获取。与之相对,我国则是直接以数据的非法获取作为构成要件行为,但并不处罚对于普通计算机信息系统的单纯侵入。值得注意的是,不正访问禁止法对数据的保护与数据的内容无关,这是具有借鉴意义的,因为只有抛开内容转而直接保护数据本身,才是数据安全法益的应有之义。但是,按照司法解释的规定,非法获取计算机信息系统数据罪以身份认证信息作为保护对象,使得有观点认为该罪的保护对象是具有内容意义的信息[11];也不乏有观点认为,该罪保护的是以计算机信息系统安全为核心的公共秩序[12];还有观点直接将数据安全定位于公共秩序意义上的集体法益[13]。

首先,非法获取计算机信息系统数据罪的保护对象是数据,而非信息。例如首例爬虫技术获取数据入罪案,侵害者抓取被害公司服务器中存储的视频数据,造成被害单位损失技术服务费2万元。此案中,相关视频在被害单位的网站上是可以公开播放的,视频数据体现的信息内容是公开的;但是,这些视频不能下载,并非是视频,而是视频的数据被设置了安全措施保密[14]。由此看出,该罪所保护的只是数据本身,而非数据所承载的内容。

其次,虽然专门保护身份认证信息,但实际上仍然是在预防利用身份认证信息侵入他人计算机信息系统后对数据进行非法获取。侵入他人的计算机系统主要有两种方式:“第一种是使用他人的识别符号访问网络(识别符号盗用型);第二种是突破防御的弱点进行不正访问(攻击安全防御型)”[15]。因此,保护作为识别符号的身份认证信息,在防止他人非法侵入的意义上维护了计算机信息系统安全。但是,如前所述,我国的数据保护模式不同于日本,单纯侵入普通计算机信息系统的行为不被处罚,因此,之所以将身份认证信息这一具有特殊内容的信息作为保护对象,着眼的仍然是侵入后对数据的非法获取。

最后,数据安全的本质在于权利主体对于数据在保密状态下的掌控,从每一份数据来看的话,还是要作为个人法益进行保护。大数据时代下,包含个人数据在内的数据本身具有重要的意义,在效用价值、侵害方式、保护路径等方面均区别于强调信息内容的个人信息权益,数据安全与个人信息安全是个人法益的层次中两个不同的问题。非法获取计算机信息系统数据罪被规定在妨害社会管理秩序罪中,只是因为其与非法侵入计算机信息系统罪等具有内容上的关联性,并不意味着其只能采取秩序性法益。实际上,该罪的性质是能够进行补正解释的。例如,引诱未成年人聚众淫乱罪,虽然被规定在扰乱公共秩序罪中,但应该补正解释为对个人法益的犯罪。因此,既然数据权益与个人信息权益一样都是以个人数据作为权利客体,而受到侵害的终归是某一具体个体,个体的数据权益也值得刑法保护,该罪的保护法益属于个人法益。

三、非法获取个人数据犯罪的处罚限定

1.信息主体对个人数据的同意机制建构

(1)个人法益观下同意机制的必要性侵犯公民个人信息罪中,集体法益说不会承认信息主体的“同意”具有阻却犯罪成立的作用,而个人法益说则会认可个人所具有的法益自决权,“同意”实际上是作为被害人承诺而发挥作用。其中,所谓折中路径,即认为本罪的主要客体是个人法益、次要客体是公共利益,同意权的行使不能与社会公共利益冲突[16],实际上是在被害人承诺的正当根据问题上采取了社会相当性观点。但是,在被害人承诺有效性的判断中,只要不涉及生命及重要的身体法益,对法益主体自己决定的尊重理应优先于社会相当性,就不能以欠缺社会相当性为由否认同意的有效性。与之相对,纯粹的集体法益说直接认为个人信息的权益并非得以处分的客体,主要理由则是同意规则存在现实困境。但是,在肯定个人信息权益作为目的而被保护的前提下,全盘否认同意规则并不可取。

一方面,个人在信息技术上的弱势地位不能成为刑法对其提供绝对保护的正当理由。否定个人对于个人信息进行自我决定,是刑法父权主义的表现。刑法父权主义分为两种:一种基于权利主体的意思决定瑕疵而否认其任意地处分了法益;另一种避免本人的意思决定造成不可恢复的形式丧失生命等重大法益[17]。但是,第一,个人信息权益毕竟不是构成自我决定基础的重大法益,如果信息主体毫不在乎地、轻率地处分个人信息,刑法是否还有必要对之保护就存在疑问;第二,不能因为司法机关确认众多信息主体真实意愿困难,而允许削弱权利主体处置权限的效力,“在私人生活领域,只要不影响公共利益,就应当尊重个人对其私人生活的判断和决定,这也是保障个人私人生活安宁和个人幸福生活的重要内容”[18];第三,根据《个人信息保护法》第13条规定,除了涉及公共利益和已公开的事项外,处理个人信息应当取得个人的同意;反之,只要取得了个人的同意,就可以收集和利用个人信息。即使同意规则存在种种困境,刑法以外的其他部门法理论也在努力建构缓解这种困境的机制。刑法作为保护个人信息的一环,不应以全盘否认的姿态回避完善同意机制的工作,更不能因为司法机关确认众多信息主体真实意愿困难而允许削弱权利主体的处置权限,正确的方向应是寻求如何避免同意机制内在缺陷导致的处罚漏洞。

(2)同意机制缺陷下同意的有效性判断

问题就在于,在同意机制存在内在缺陷的情况下,怎样才能将信息主体的同意评价为有效。个人信息的收集和处理过程中,信息主体与信息处理者处于不对等的地位,因此,不能以形式上是否存在个人对于信息收集的同意表示而认定同意有效。《个人信息保护法》第14条第1款规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”也就是说,“充分知情”“自愿”“明确”构成了认定同意有效性的必要条件。“自愿”是对同意作出时的意志心态的要求,即不能使得个人陷入为了获取某种必需的服务而没有选择自由的境地(当然,若获取相应的个人信息是提供服务的必要前提的情形除外)。“明确”则要求个人作出了明示的同意,而不是默示的或推定的同意。至于个人是否作出了“自愿”和“明确”的同意,往往取决于信息收集者获取个人信息所使用的方式。在被害人承诺的理论中,刑法对于主观性价值的保护向来是有限度的,因而无法要求有效的同意必须是不含任何瑕疵的真意。但是,在形式上,至少要求信息收集者履行了社会一般人认知能力下能够接收和理解的提示义务。如果没有达到这一形式要求,即使信息主体作出同意,也不能认定为有效;但另一方面,由于信息网络中数据需求量的巨大以及涉及权利主体的众多,只要信息收集者履行了相应的义务,不能因为个人对于提示的疏忽大意而否定同意的效力。在实质上,根据《个人信息保护法》第6条规定:“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。”也就是说,信息收集者应当限于真实目的所需的范围内获取个人信息,超出这一范围的部分,等同于信息主体对之没有作出同意。

最重要的在于对“充分知情”的解释,这就涉及信息主体作出同意时需要认识的内容。同意必须是对具体内容作出,而不能采取概括性授权条款,具体内容必须包括什么,不仅决定了信息收集者在获取同意时应尽的告知义务,也决定了刑法对于个人信息权益的保护界限。《个人信息保护法》第44条规定,公民对于个人信息的处理享有知情权、决定权,具体包括查阅、复制、更正、补充、删除等个人信息在存储、流通和使用中的各项权益。刑法理论中很多观点将信息自决权作为该罪所侵犯的具体法益类型[19]。信息自决权即对于个人信息的知悉状态的控制,包括知悉个人数据是否被他人收集、处理与利用及以何种方式、目的、范围收集、处理与利用。从周延保护个人信息的角度来说,“同意的范围不仅包括对个人数据的收集、存储与处理行为,也包含数据收集的目的、同意的意思作出方式、同意效力覆盖的阶段等”[20]。但是,侵犯公民个人信息罪的提供、出售、非法获取的构成要件行为,无涉个人信息的处理方式和使用目的,只是破坏了个人信息主体所掌控的个人信息“不被他人知悉”的状态。因此,阻却侵犯公民个人信息罪的同意,区别于其他法领域,需要在同意的内容上作出限定,即限于获取信息的主体、信息内容、公开范围。

具体而言,信息主体自愿提供个人信息,即使受到欺骗没有获得约定的对价服务或利益,只要个人信息的知悉状态没有超出作出同意时的合理预期,就不构成侵犯公民个人信息罪。例如,李某某等人制作虚假广告页面,浏览者如果想要免费领取产品,需要提供姓名、住址、联系方式等个人信息,但是该产品的效果是虚假的。李某某获取个人信息后继续采用电话推销的模式虚假宣传、销售获利。一审以虚假广告罪和侵犯公民个人信息罪数据罪并罚,二审改判虚假广告罪[21]。本案中,李某某采取了虚假广告的欺骗方式获取公民提供个人信息的同意,但是,用户对于个人信息将会被广告发布者获取这一点,没有任何认识错误,个人信息是由用户自愿提供,事实上,该案中李某某等人也没有另行泄露个人信息。总之,用户合理预期到其个人信息将会被广告发布者知悉,其个人信息事实上也只是被广告发布者掌控,个人信息的知悉状态始终都在用户的掌控之中。二审的改判是正确的。

如果信息主体作出第一次同意时,认识到信息处于公众或者一定范围内皆可知悉的状态,即使第三方未经个人的再次同意,采用违法手段另行获取,只要个人信息的知悉状态没有超过最初预期的公开范围,不构成犯罪。如上所述,这也是否定社会相当性作为被害人承诺正当根据的应有之义,即行为手段不具有社会相当性并不能排除被害人承诺阻却特定犯罪成立的作用。也就是说,只要信息主体作出了有效的同意,信息收集的主体、方式及范围没有超出同意时的合理预期范围,即使获取信息的方式违法(例如买卖网络店铺的账号),此种违法性也并非侵犯公民个人信息罪意欲规制的对象。因此,“非法获取”的认定,并不以违反国家规定为前置要件,而是围绕信息主体作出同意时的合理预期判断。目前,掌握大量用户数据的数据控制者常常采取OpenAPI的开发合作模式,供第三方获取其平台内的个人信息。初次信息收集者获取同意时可能会采取隐蔽条款提示后续的转授权甚至擅自转授权,对此,私法领域提出“三重授权原则”或“一事一同意原则”,要求在每次改变个人信息数据的控制主体或者使用目的、方式等变化时,需要重新获取用户同意。但是,对于刑法而言,只要转授权以及第三方对信息的获取没有改变个人对信息的应然知悉状态的合理预期,不论是第三方利用爬虫技术获取,还是数据控制者主动提供给第三方,都不宜认定为犯罪。例如,新浪诉脉脉案中,既然本案中的个人信息已经由用户同意提供给新浪微博从而处于社会公众皆可知悉的状态,即使第三方利用爬虫技术非法获取,并没有破坏权利人合理预期内的个人信息知悉状态,不宜认定为犯罪。

信息社会的发展依赖于对数据价值的不断挖掘,过度的刑罚介入会成为信息数据流通的阻碍。刑法保护范围的确定,需要结合刑罚措施的特点进行利益衡量,协调数据资产开发与个人权利保障之间的平衡。在其他法域已经规定了较为完善的个人信息保护措施背景下,刑法的保护有必要限制在最基础的环节。

2.数据控制者对个人数据的权利证成及范围限定

(1)数据控制者对个人数据享有值得保护的利益

个人数据不仅由个人生成、与个人利益紧密关联,同样是企业经营的重要资源。个人数据承载的利益具有多元性和复杂性,这是其在私法上的确权问题一直未有定论的重要原因。日本以不正访问禁止法保护信息数据,而对侵害信息内容的问题与对信息的外形访问问题,则不做区分,这实际上是在财产性信息盗窃的延长线上考虑问题,因为财产性信息中承载信息的有体物与享有信息内容的主体是一致的[10]174。但是,大数据时代下信息技术带来数据存储技术、流通方式的改变,享有个人数据内容价值的主体与对个人数据进行管理和支配的主体分离,云计算技术的发展甚至还使得对处理个人数据的有体物的管理支配、数据的管理支配、信息内容的归属出现区分。

大数据时代刑法理论应对数据犯罪的主要困境,在于数据犯罪与传统犯罪出现重合。于是,现有理论通过区分以数据为工具侵犯传统法益的犯罪与直接侵犯数据法益的犯罪分而治之。这种区分确实缓解了非法获取计算机信息系统数据罪越发口袋化的困境,但是,却忽略了个人数据本身所具有利益的多元性,问题在于,非法获取的个人数据一方面承载着传统法益,也会表征数据的本体权益。个人数据所承载的利益,绝非传统上一份权利一份义务的单线关系,产生数据的个人、数据掌控者、数据使用者等多方主体均介入个人数据的生成、存储、流转、运用中。因此,刑法理论应该注意到私法对个人数据确权时提出的权利关系与利益划分,在厘清个人数据利益关系基础上,才能确立处罚的边界和处罚的方式。

不同于信息领域中根据数据的技术特征进行分类,法学理论的分析是从数据的规范利益关系展开的。一种路径是,区分数据和信息,二者分别指向不同的权利客体,数据指向的是财产权,个人信息则指向人格权,但具有人格利益的信息也具有一定的财产属性[22]。也就是,将数据权益与个人信息权益完全二分。另一种路径是,在数据内部进行利益划分,将数据权利的保护对象区分个人信息和数据资产,前者是与公民自身人格利益和财产权益相关的个人信息权利,后者是由市场主体通过合同或授权方式获得个人数据后,通过对数据的进一步集合、加工而形成的大数据权利[23]。实际上,两种路径殊途同归,都是旨在区分个人数据上承载的信息主体的个人信息权益与数据控制者的数据权益。进而,数据的权利主体,则区分为作为信息内容享有者的普通公民,以及依法开展数据处理活动的数据控制者。

(2)个人数据中数据安全法益的保护限定

一方面,要考察数据控制者对于个人数据的资源投入。刑法不宜承认控制者享有对于原始数据的控制利益,少量分散未经加工的个人数据对数据企业而言,通常不会产生应用价值。相较于原始数据,衍生数据才具有更加重要的财产性价值。诸如姓名、年龄、电话号码、身份证件号码、住址等,此类基本个人信息的形成完全是由个人提交,很难认可数据控制者对之享有额外的权益;但如果是诸如消费、就诊等各种生活记录以及根据这些记录而做出的进一步的分析和预测,为了形成、存储以及开发这些数据,数据企业投入了一定的资本和劳动,这些数据的存在本身和使用价值离不开数据企业的技术加工,应当承认数据企业对这些数据的掌控享有权益。并且还需要警惕的是,“当超级网络平台收集海量数据后,此时数据的潜在垄断就会成为可能。如果赋予此类平台过强的数据保护,其结果就可能出现所谓的数据垄断,无法实现数据共享。”[24]

另一方面,要考虑获取个人数据的合法性,关键在于获取方式的合法性。个人数据不同于财产性数据和知识产权数据的重要特征在于,具有专属性的人格利益。因此,虽然个人数据中信息主体的个人信息权益与企业对于个人数据享有的权益,二者相互独立,但公民的个人信息权益具有优先性,这也是掌控个人数据的企业能够成为侵犯公民个人信息罪主体的原因。并且,个人的敏感信息还要优先适用隐私权的保护路径。因此,数据控制者只有对合法取得的个人数据才能享有数据权益,也只有其合法获取的个人数据,才能成为非法获取计算机信息系统数据罪的保护客体。具体而言,例如不得收集与业务开展无关的数据,在收集个人信息时获得信息主体有效的同意,或者采用数据库加密、数据脱敏等数据库安全技术,保护敏感隐私数据。

3.罪数关系的处理

刑法中,关于信息主体的个人信息权益保护,是由侵犯公民个人信息罪承担;关于数据控制者对于个人数据享有权益的保护,是由非法获取计算机信息系统数据罪承担。有观点认为,在以非法获取计算机信息系统数据罪为代表的数据犯罪与侵犯公民个人信息罪之间形成了一般法与特别法的关系[25]。“法条竞合是指,虽然犯罪事实表面上触犯了数个刑罚法规,但是根据这些刑罚法规之间的关系,最终只能适用其中一个法规的场合。”[3]523但是,个人数据表征的两种权益的发生原因、法益主体、权益性质(个人信息权益体现的是人格权,而数据权益则更接近于财产权)均不相同,非法获取的侵犯行为就不只是侵犯了一种法益,而是造成两种法益侵害事实,不能成立法条竞合关系。既然个人数据既具有巨大价值也会产生诸多利益纠纷,那么,在对数据进行保护时,不仅要注意协调各方的利益平衡,也要注意周延保护各方的权益,使得刑法充分发挥行为规范的指引作用。

因此,就侵犯公民个人信息罪与非法获取计算机信息系统数据罪的关系而言,如果信息主体与数据控制者均对数据享有值得刑法保护的权益,虽然只有一个非法获取行为,成立两个犯罪的想象竞合。但是,上述讨论是以数据上承载的利益在主体和性质上根本不同的场合。如果对于数据本身的控制利益与对于数据信息内容的利益在主体与性质上重合时,例如信息主体作为其个人数据的控制者时,更为典型的是财产性数据或者知识产权数据的场合,数据控制者就是数据表征权益的享有人,数据安全权益与传统权益合二为一作为权利主体的利益。此时,数据犯罪与传统犯罪则构成法条竞合的关系,相较于具体的传统利益,数据安全法益作为前置性保护的形式体现,其实质,或者说具体的数据安全值得为刑法保护的实质价值,则体现为个人信息权、知识产权、财产权益等传统利益。《刑法》第287条规定,利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。该款作为注意规定并没有绝对地排除具体案件中第285条与第286条的构成要件符合性,只是提示司法人员要判断以数据为对象的犯罪行为实质上侵犯的价值类型,合理地归纳法条竞合与想象竞合的情形,以做到罪刑相适应。

四、结语

大数据时代,数据具有巨大的价值,同时也包含着多元利益关系。个人数据因个人信息主体与数据控制主体的分立,呈现出更为复杂的利益纠葛。一方面,要厘清个人数据承载的利益关系,妥善保护各方主体的权利;另一方面,也要努力协调可能会导致冲突的利益关系。为了顺应现代社会的发展,我国刑法对于个人数据犯罪的规制,需要从信息管理秩序和计算机信息系统公共秩序的保护,转向立足于个体权益的保护。侵犯公民个人信息罪与非法获取计算机信息系统数据罪,分别保护个人信息权益和数据权益两种不同的个人法益,从不同的视角和路径对非法获取个人数据的行为进行处罚,形成了较为合理的保护体系。但是,对于个人数据而言,侵犯方式不仅有非法获取,删改、破坏等行为同样侵犯了个人信息权利。例如修改他人高考志愿的案例,同样给信息主体的权益带来损害,但是并不能构成侵犯公民个人信息罪;即使按照破坏计算机信息系统罪处理,仍然不是在维护信息主体的权益,毕竟数据犯罪不能涵盖个人信息权益的保护。因此,对于个人数据这一新兴事物而言,不论是其中的个人信息权益,还是数据权益,都期待着立法更为周延与合理的保护措施。

本文责编 ✎ 稻壳豚