個人信息保護法的頒布施行,不僅填補了侵犯公民個人信息罪在罪狀上的空白,而且從犯罪行為對象認定、行為違法性評價、出入罪邊界劃分等幾個方面化解了刑法修正案(九)頒布之后關于該罪名認定在司法實踐中的常見爭議,并進一步廓清了該罪所保護的法益。資深上海刑事律師認為,正確理解侵犯公民個人信息罪,應摒棄私法法益觀,轉采公法法益觀,以便精準打擊侵犯公民個人信息犯罪活動。
一是個人信息的概念與犯罪行為對象認定問題。
關于犯罪行為對象認定的常見爭議是,大量僅包含“姓名+電話號碼”、特定對象名單列表等簡單信息的資料是否構成該罪的犯罪行為對象。個人信息保護法第4條明確了個人信息是具有可識別性的信息,且不包括匿名化處理后的信息。因此,個人信息不等于私有信息和個人隱私,人們日常生活在公共交往空間中的活動,例如公園、地鐵站、超市、影院等公共場所會形成大量的關于個人出入登記、交易支付、活動軌跡、通訊記錄等內容,這些信息既不完全屬于個人隱私,也不由個人完全享有支配權,該罪保護的法益并非個人信息支配權。個人信息概念的可識別性標準揭示了侵犯公民個人信息罪保護的法益是社會公共安全和秩序,其目的是為了預防具有可能引發下游犯罪、危害公共秩序和安全等潛在社會公共風險,而不是針對個體對象私權益的具體風險。同時,將已經匿名化處理,不具有公開風險的信息排除在犯罪行為對象之外,可以防止刑罰打擊面無限擴張。
二是個人信息處理者責任與行為違法性評價問題。
關于行為違法性認定的常見爭議是在查獲下游犯罪時,大批量來源不明信息是信息持有人主動獲取還是意外獲取及信息的上游渠道等往往難以查明。個人信息保護法第51條規定:個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取相關管理、分類、加密、去標識、設定權限等措施確保個人信息處理活動符合法律、行政法規的規定,并防止泄露、篡改、丟失;第52條規定:處理個人信息達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人,負責對處理活動以及采取的保護措施等進行監督。以上規定強制賦予了上游源頭的相關信息處理者及相關平臺對于大量個人信息的安全處理和防止泄露的保障義務,加強了批量個人信息的源頭安全管控和公共平臺責任,從源頭防止信息泄露。此種信息安全保障義務并非信息處理者對于個人信息原始享有者的個體承諾,而是賦予信息處理者的公共責任。以上規定從判斷行為違法性的角度支持了侵犯個人信息犯罪行為所違反的義務并非私法上的義務,而是公法上的公共責任義務。
三是個人信息原始享有者的“同意”與出入罪邊界劃分問題。
關于出入罪邊界的常見爭議是對已公開信息二次搜集利用是否需要征得個人信息原始享有者的“同意”。個人信息原始享有者的“同意”是否是該罪絕對的出入罪要件,關鍵在于“同意權”與信息自決權之間的關系。在個人非公開信息的場合,一般應要求獲取“同意”,但對已經過一次公開之后的再次利用是否需要再次取得“同意”存在較大爭議。有的案件中,將在國家企業信息平臺等公共平臺的系統信息進行收集和編輯并再次利用,這種情形下是否仍以信息原始享有者的“同意”為出入罪標準則存在較大疑問。如果將個人信息原始享有者的“同意”視為信息自決權,則已經授權公開的信息再次利用仍需要經過二次同意。
盡管個人信息保護法第二章建立起了一系列以“告知—同意”為核心的個人信息處理規則,但不意味著該罪侵犯的法益是個人信息自決權,即使在取得個人同意的前提下信息處理也不得偏離信息搜集使用時所宣稱的合法目的,此外還必須受到個人信息保護法第24條規定對于利用個人信息進行自動化決策作出的限制。同時,該法第27條規定個人信息處理者可以在合理的范圍內處理個人自行公開或其他已經合法公開的個人信息,僅個人明確拒絕的除外,但對個人權益有重大影響的,應當取得個人同意。以上規定將信息二次利用的要求從取得同意降低為明確拒絕,僅對具有個人重大權益影響的情形予以保留,說明信息原始享有者的“同意”既不是絕對的入罪要件,也不是絕對的出罪要件,也說明了該罪名保護的法益并非個人信息自決權,而是信息利用所影響的公共秩序和公共安全利益。
網站首頁 
在線咨詢 
電話咨詢