內(nèi)涵、外延與基準：公民個人信息的刑法保護

2019-02-19 14:51:30，

山東警察學院學報 2019年1期

關(guān)鍵詞：信息

，

(中國社會科學院法學研究所，北京 100720)

一、引言

隨著中國互聯(lián)網(wǎng)規(guī)模的擴大和用戶規(guī)模的增多，各種通訊、娛樂、財務等功能性網(wǎng)站和應用平臺也得到了迅速發(fā)展，伴隨而來的是人們在虛擬環(huán)境中面對的安全威脅。2018年爆出的Facebook用戶信息泄露影響美國總統(tǒng)大選的事件[注]一家名為劍橋分析(Cambridge Analytica)的數(shù)據(jù)公司竊取了5000萬Facebook用戶資料，根據(jù)每個用戶的日常喜好、性格特點、教育水平，預測他們的政治傾向，進行新聞的精準推送，間接促成了特朗普的當選。使得互聯(lián)網(wǎng)個人信息與網(wǎng)絡安全再次成為全民關(guān)注的輿論焦點。

2017年7月，備受關(guān)注的山東省“徐玉玉案”在山東省臨沂市中級人民法院進行了一審公開審理并當庭宣判，最終主犯陳文輝一審因詐騙罪、非法獲取公民個人信息罪被判處無期徒刑，沒收個人全部財產(chǎn)，其他6名被告人分別被判處3年到15年不等的有期徒刑并處罰金。在徐玉玉案宣判之后，同年8月24日，臨沂市羅莊區(qū)人民法院對向徐玉玉案被告人提供被害人個人信息的黑客杜某某進行了審判，以侵犯公民個人信息罪判處其有期徒刑6年，并處罰金人民幣6萬元。杜某某從2016年起利用網(wǎng)絡漏洞，通過植入木馬的方式非法侵入山東省2016年普通高等學校招生考試信息平臺網(wǎng)站，在獲取高考考生信息后通過各類平臺將其出售獲利。這種獲取信息的方式對于略懂計算機編程的人來說并非難事，而其成功后獲得的利益是巨大的。被害人高考生的特殊身份和被詐騙款項的特殊性質(zhì)使本案在社會上產(chǎn)生了極大的影響，也使很多人開始重視個人信息的泄露問題。因為在這個案件中，被告人達到詐騙目的最關(guān)鍵的是取得被害人的信任，本案的被害人之所以相信了對方的話語，就是因為對方準確說出了其姓名以及相關(guān)信息，而這些信息都是犯罪嫌疑人從網(wǎng)上買到的。這些買賣公民個人信息交易的背后，隱藏著一條巨大的黑色產(chǎn)業(yè)鏈。

隨著社會信息化的快速發(fā)展，由于侵犯公民個人信息類案件往往具有技術(shù)難度低、涉及范圍廣、犯罪金額大、犯罪行為人眾多等特點，侵犯公民個人信息犯罪的案件持續(xù)增多，成為違法犯罪的重災區(qū)。為了更好地管控和裁判這類行為，公安部、最高人民法院、最高人民檢察院先后單獨或聯(lián)合發(fā)布了侵犯公民個人信息典型案件。從這些案件中可以整理出如下幾類獲取公民個人信息的方式：通過網(wǎng)絡黑客侵入銀行、酒店等企業(yè)的內(nèi)部資料庫竊取員工和顧客信息，再通過撞庫行為非法獲取相關(guān)網(wǎng)絡賬號；通過偽基站發(fā)送釣魚鏈接獲取個人賬號、密碼等信息；內(nèi)部工作人員利用職務之便傳播、出售掌握的公民信息；通過網(wǎng)站平臺、注冊頁面等騙取公民提供個人信息；建立非法平臺、社交群組來交換甚至交易公民個人信息。

公民個人信息作為許多犯罪行為重要的初始資源，侵犯公民個人信息案件往往成為其他案件的前置案件，為犯罪行為人實施進一步的犯罪提供了“工具”，所以這類行為的影響力不僅限于對公民個人信息的泄露和傳播，更有可能造成人身傷害和財產(chǎn)損失。因此，需要刑事立法和司法予以重視和關(guān)注。在用刑法對侵犯公民個人信息的行為進行規(guī)制時，我們需要思考的是，在互聯(lián)網(wǎng)高速發(fā)展時期，面對新媒介帶來的新問題，刑法對其保護的邊界在哪里？刑法究竟何時可以介入，又如何以及以何種程度介入？本文從刑法對公民個人信息保護的立足點——法益入手，嘗試對刑法保護的范圍、權(quán)利屬性以及實踐中應當遵循的兩個原則與例外情形進行分析。

二、概念厘清：刑法保護的個人信息的內(nèi)涵

1. 法律條文中個人信息概念的界定

個人數(shù)據(jù)、個人信息這些用語有區(qū)別嗎？不同國家的用語有一定差別，我國國內(nèi)的相關(guān)立法一直使用的是“信息”，有些國家采用“個人數(shù)據(jù)”、“個人資料”、“個人隱私”等用語，也有國家和我國相同，采用“個人信息”的概念。從保護目的和范圍的角度，不同用語的側(cè)重點各不相同。比如，歐盟從1995年《個人數(shù)據(jù)保護指令》開始，一直使用的是“數(shù)據(jù)”一詞。歐盟1995年《個人數(shù)據(jù)保護指令》(The Data Protection Directive)第2條規(guī)定，所謂個人數(shù)據(jù)，是指與一個身份已被識別或可識別之自然人(或稱數(shù)據(jù)主體)相關(guān)的任何數(shù)據(jù)；所謂可識別的人包括直接和間接地被識別的人，尤其是通過參照身份證號碼或一個或多個特定于其身體、生理、精神、經(jīng)濟、文化或社會身份因素的可識別之人。美國對于個人信息的保護和界定，主要是通過判例和部門立法模式進行的，針對不同的主體、行業(yè)有不同的規(guī)定，其核心內(nèi)容是對“個人識別信息”(Personally identifying information, PII)這一概念的不同詮釋。

在我國早期的相關(guān)法律規(guī)定中，個人信息和個人隱私是混同規(guī)定的。比如，《最高人民法院關(guān)于審理利用信息網(wǎng)絡侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》規(guī)定：“個人隱私和其他個人信息”包括“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動”。網(wǎng)絡技術(shù)發(fā)展后，權(quán)力部門對個人信息的核心特點有了進一步的認識，《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》就界定了以識別性作為核心的個人信息范圍。2013年最高人民法院、最高人民檢察院、公安部發(fā)布的《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》規(guī)定：“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料。”這個定義基本認可了個人信息的可識別性是個人信息概念和范圍界定的核心屬性。

2017年3月15日，全國人大正式通過《民法總則》。《民法總則》第111條專門規(guī)定了個人信息保護規(guī)則，首次從民事基本法層面提出了個人信息權(quán)，并明確了信息安全的保護，“不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”。但《民法總則》并沒有給出個人信息的準確定義，這個工作是由隨后的《網(wǎng)絡安全法》來完成的。

《網(wǎng)絡安全法》第76條將個人信息界定為“能夠識別自然人個人身份的各種信息”，顯然使用的是廣義的“身份識別信息”的概念，即既包括狹義的身份識別信息(能夠識別出特定自然人身份的信息)，也包括體現(xiàn)特定自然人活動情況的信息。

2. 個人信息的內(nèi)涵延伸

除現(xiàn)有條文規(guī)定的姓名、年齡、有效證件號碼、婚姻狀況等個人信息之外，我們認為還有一類信息也應當包括進來，即公民的基因信息。基因信息具有個人信息的關(guān)鍵特征，即可識別性，所以從性質(zhì)上可以納入。

相較于一般的隱私而言，基因隱私和遺傳信息相連，有著特殊之處。首先，一般隱私的內(nèi)容是權(quán)利人本人所熟知的，其范圍也往往是權(quán)利人自己定義的，而基因信息只有在借助專門的科技手段后才能為權(quán)利人所知，內(nèi)容和范圍并非由權(quán)利人自己創(chuàng)設。由于檢測機構(gòu)必然會早于權(quán)利人知道隱私內(nèi)容，所以對基因隱私保護很重要的一環(huán)就是禁止已經(jīng)被檢測出的基因信息的傳播。其次，基因信息內(nèi)容貫穿生老病死，所以它不僅表達了過去的權(quán)利內(nèi)容，還含有未來的權(quán)利內(nèi)容。最后，盡管基因信息為個體所有，但是一些致病基因和缺陷基因可能是一個家族的遺傳，所以這種隱私內(nèi)容的主體是一個家族或社群，這是不同于一般隱私權(quán)主體的。在就業(yè)、保險、科學研究、醫(yī)療甚至犯罪人DNA檢測等領(lǐng)域，都涉及到對基因信息的保護問題。因為權(quán)利人和侵權(quán)人可能地位懸殊，所以被侵權(quán)人很難找到證據(jù)，甚至有時候不知道侵權(quán)的發(fā)生。此外，基因信息一旦泄露，影響巨大，因為它不僅表達了過去的固有信息，還包含對未來趨勢的預測，這會給被侵權(quán)人造成難以估量的損害。此外，對基因信息的保護也和國家安全密切相關(guān)。20世紀90年代，在我國還沒有對各民族的基因信息采集予以足夠重視之前，美國有不少研究機構(gòu)到中國對不同年齡、性別、民族的群體進行了大規(guī)模的基因采集并帶回國進行研究。這種基因資源的流失不但會影響本國相關(guān)研究的發(fā)展，也埋下了安全隱患，比如基因病毒、基因武器等，所以對基因信息的保護應當是個人信息保護中很重要的一部分。

歐盟2018年最新頒布的《一般數(shù)據(jù)保護條例》(GDPR)第4條第13項定義了基因數(shù)據(jù)(genetic data)，即“關(guān)于一個自然人遺傳或后天基因特征的個人數(shù)據(jù)，提供了通過對生物樣本的分析得出的關(guān)于該自然人生理或健康的特別信息”，可見，將基因數(shù)據(jù)納入個人信息保護，已經(jīng)不再是紙上談兵。我國作為多民族的人口大國，更應當重視對基因數(shù)據(jù)的保護，這不僅涉及到每一個自然人的個人隱私權(quán)益，也關(guān)系到國家的基因多樣性安全問題。

三、權(quán)利屬性：刑法保護的個人信息的外延

隨著互聯(lián)網(wǎng)3.0時代[注]互聯(lián)網(wǎng)1.0時代指PC電腦端的信息互聯(lián)時代，互聯(lián)網(wǎng)2.0時代指智能手機端的社交關(guān)系互聯(lián)時代，互聯(lián)網(wǎng)3.0時代指人機交互的資產(chǎn)互聯(lián)時代。的來臨，網(wǎng)絡全面滲透到公民的日常生活和社會運行之中，云計算技術(shù)的發(fā)展意味著大數(shù)據(jù)成為網(wǎng)絡空間的主導，作為網(wǎng)絡數(shù)據(jù)之一的個人信息具有和其他網(wǎng)絡數(shù)據(jù)一樣的易取得性和防護脆弱的問題，其安全性成為焦點。在大數(shù)據(jù)時代，公民個人信息概念的外延在不斷擴展，其特有的廣泛而迅速傳播的特性也會影響刑法對其保護的范圍。這就涉及到對公民個人信息保護權(quán)利屬性的界定。

非法利用公民個人信息到底侵犯了何種權(quán)利？是人格權(quán)(比如隱私權(quán))，還是和公民個人信息相關(guān)的財產(chǎn)權(quán)，抑或有超出人格權(quán)、財產(chǎn)權(quán)這些個體權(quán)利的其他屬性？

首先，公民個人信息相關(guān)權(quán)利具有人格權(quán)的屬性，最直接的就是隱私權(quán)屬性，這也是公民個人信息保護和法律規(guī)制最初的切入點。隱私權(quán)即自然人享有的對其個人的與公共利益無關(guān)的信息、私人活動和私有領(lǐng)域進行支配的一種人格權(quán)。公民的個人信息會反映出一個人的生活狀態(tài)和社會網(wǎng)絡，必然屬于個人隱私的保護范圍。但相較于一般的隱私而言，法律保護下的公民個人信息有其特殊性。如果說傳統(tǒng)的個人隱私權(quán)更加關(guān)注個人意愿，那么個人信息權(quán)中的隱私權(quán)益則應被視為個人如何規(guī)劃其社會生活的權(quán)利。[1]一般隱私的內(nèi)容是權(quán)利人本人所熟知的，其范圍也往往是權(quán)利人自己定義的，而個人信息權(quán)的內(nèi)容和范圍并非由權(quán)利人自己創(chuàng)設，而是由法律規(guī)定，具有一定的客觀性。當然，隱私權(quán)不是個人信息權(quán)的全部，信息的自決權(quán)也是很重要的組成部分，個人信息具有特定性，所以作為特定享有者的主體，就擁有對相關(guān)信息使用、收益、處分等權(quán)利，這也是公民個人信息保護中前置性條件“知情同意”的基礎(chǔ)。

從域外的數(shù)據(jù)信息保護立法經(jīng)驗來看，通過刑法手段保護個人信息是各國立法認可的有效手段。美國采取的是以隱私權(quán)為基礎(chǔ)的判例制度，而歐盟則是將數(shù)據(jù)信息視為人格權(quán)的延伸，從人格權(quán)保護的角度進行立法。[2]美國沒有專門的個人信息保護立法，而是分散于不同的法案和判例之中，主要包括針對身份的盜竊以及對相關(guān)工作人員泄露個人識別信息的行為的入罪和處罰，德日則是通過專門立法+刑法典條文的方式對個人信息犯罪進行了全方位的規(guī)定。

其次，公民個人信息權(quán)也具有財產(chǎn)權(quán)的屬性。網(wǎng)絡和信息科技的發(fā)展賦予了個人信息商業(yè)化的特性，大數(shù)據(jù)時代使得傳統(tǒng)模式下無法大量而快速收集和傳播的個人信息成為可能，使得個人信息具備了許多現(xiàn)代財產(chǎn)的法律屬性和價值特征。例如，它可被人占有、交易，可被排他性使用，可被消費、修改、銷毀等，甚至能被繼承、贈與、遺贈，因而可被定義為財產(chǎn)，從經(jīng)濟學角度來說，“只要市場存在，信息就是有價值的”。[3]也有學者將其表述為“財產(chǎn)人格權(quán)”，即原有的人格權(quán)保護的客體部分地轉(zhuǎn)化為經(jīng)濟活動客體，具有經(jīng)濟利益，可被商業(yè)利用。[4]如果我們不承認個人信息的這種財產(chǎn)權(quán)屬性，就會導致個人信息無法得到全方位的保護。同時我們也不同意將個人信息權(quán)定義為財產(chǎn)人格權(quán)，因為人格權(quán)具有專屬性，不得讓與，且不能作為交易的客體，如果用擴張人格權(quán)的方式將財產(chǎn)保護納入其中，會造成和傳統(tǒng)理論的沖突，也會造成人格-財產(chǎn)二元劃分體系的崩毀，所以最好的方式就是對個人信息權(quán)中的具體權(quán)利進行劃分，分別用人格權(quán)和財產(chǎn)權(quán)的原則和方法進行保護。公民個人信息的擁有和使用并不是一種有形的財產(chǎn)權(quán)，但它具有獨立的存在和使用價值，所以從這個角度來看，對公民個人信息的保護不能僅僅立足于個人隱私權(quán)的范疇，也要看到這一法益的可變現(xiàn)性，個人信息具有的交換價值使其能轉(zhuǎn)化為可交易的商品，進而會出現(xiàn)經(jīng)過主體同意和授權(quán)的交易和未經(jīng)過同意和授權(quán)的交易兩種情況。比如，咨詢公司在進行市場分析的時候，需要對相應市場的消費者的個人信息進行收集，再通過大數(shù)據(jù)分析總結(jié)消費者的偏好和經(jīng)濟能力，為公司進一步的發(fā)展方向提供參考。在這個過程中，如果咨詢公司利用收集到的個人信息產(chǎn)出了成果并獲得報酬，那么這種利用就應當向原始的數(shù)據(jù)提供者，即個人信息所有者取得許可并支付相應的費用，這就是一個個人信息變現(xiàn)的過程。我們認為，在公民個人信息保護法尚未出臺，相關(guān)的保護模式?jīng)]有清晰的時候，這種財產(chǎn)性的保護可以參考著作權(quán)保護的思路。著作權(quán)就是具有人格權(quán)和財產(chǎn)權(quán)雙重性質(zhì)的權(quán)利，且從財產(chǎn)權(quán)角度來看，其是無形的財產(chǎn)權(quán)，具有排他性。作者對著作權(quán)享有支配權(quán)，如果他人要使用其作品，除了特殊情況，都必須得到著作權(quán)人的同意；作者對著作權(quán)也享有獨占權(quán)，作品發(fā)表后的收益歸作者享有。公民個人信息在被二次傳播和使用的時候，需要得到信息所有權(quán)人的知情和同意，并應當支付一定的報酬，這種權(quán)利的行使就類似于著作權(quán)保護中的許可使用權(quán)與獲得報酬權(quán)。

最后，對公民個人信息的刑法保護是否有超出人格權(quán)、財產(chǎn)權(quán)這些個體權(quán)利的屬性？從《刑法修正案(七)》開始，侵犯公民個人信息類的犯罪一直被放在第四章侵犯公民人身權(quán)利、民主權(quán)利罪之中，除此之外，還有與之相關(guān)的第177條之一竊取、收買、非法提供信用卡信息罪第4款“竊取、收買或者非法提供他人信用卡信息資料的”、第286條之一拒不履行信息網(wǎng)絡安全管理義務罪第2款“致使用戶信息泄露，造成嚴重后果的”等相關(guān)條款分別規(guī)定于第三章破壞社會主義市場經(jīng)濟秩序罪和第六章妨害社會管理秩序罪中。從這點可以看出，對公民個人信息的保護并不是個體視角下人格權(quán)、甚至財產(chǎn)權(quán)的保護那么簡單，而是涉及到國家對社會安全、集體利益、網(wǎng)絡運行環(huán)境保護的整體管理。首先，公民個人信息的保護關(guān)系到網(wǎng)絡環(huán)境的凈化和網(wǎng)絡經(jīng)濟活動的發(fā)展，如果沒有規(guī)范的信息使用方法，也沒有健全的司法救濟途徑，就會導致侵犯個人信息行為愈發(fā)猖獗，影響網(wǎng)絡運行，干擾正常的經(jīng)濟秩序。其次，公民個人信息的保護也有可能上升到國家安全、社會保護層面。《網(wǎng)絡安全法》的出臺就體現(xiàn)了國家對中國公民個人信息保護與國家信息安全問題之間聯(lián)系的認識。網(wǎng)絡空間作為海洋、陸地、天空、外空之外的第五空間，國家主權(quán)也存在于這一虛擬空間中。個人信息的泄露可能會威脅到國家安全，如政府和大型企業(yè)用于存儲用戶個人信息的數(shù)據(jù)庫一旦遭到泄露，可能導致網(wǎng)絡監(jiān)聽、網(wǎng)絡攻擊甚至網(wǎng)絡恐怖主義行為的發(fā)生。對個人信息尤其是關(guān)鍵信息的保護，已經(jīng)是各國的共識，對個人信息、重要數(shù)據(jù)，除非確有必要，不應當流出境外。關(guān)鍵信息基礎(chǔ)設施已經(jīng)成為能源、金融、交通、通信的關(guān)鍵問題，成為國家的命脈，《網(wǎng)絡安全法》就規(guī)定，“關(guān)鍵信息基礎(chǔ)設施的運營者在中華人民共和國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應該在境內(nèi)存儲”[5]。由此可見，在信息化時代，個人信息安全已經(jīng)成為和國家安全、社會發(fā)展、公眾利益息息相關(guān)的重大問題。

綜上可見，刑法層面上的個人信息權(quán)利保護，是一個復雜或者說是綜合的權(quán)利集合，其最終要在個人信息的保護與社會信息共享、信息自由交流與國家安全之間找到平衡。

三、原則與例外：刑法保護個人信息權(quán)的基準

1．責任主義原則的堅持和例外

在網(wǎng)絡犯罪中，對幫助行為人，如網(wǎng)絡平臺的經(jīng)營者、服務器的運營者等追究刑事責任已經(jīng)成為打擊網(wǎng)絡黑灰產(chǎn)業(yè)鏈的重要部分。對在侵犯公民個人信息犯罪中提供了幫助的行為人，2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)明確了其刑事責任。[注]當然，在幫助信息網(wǎng)絡犯罪活動罪等規(guī)定中，行為人的行為是所謂的中立行為，而本罪的幫助行為顯然并不“中立”，所以本罪行為的性質(zhì)和中立行為入罪的情況也不同。

一方面，《解釋》規(guī)定了責任主義原則成立的情形。依據(jù)《解釋》第5條第1款第2項“知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或提供的”屬于“情節(jié)嚴重”的規(guī)定，在行為人主觀明知的時候?qū)嵤┝饲址杆藗€人信息的行為，就需要承擔相應的責任。同時，這也是一種幫助行為的正犯化，那么何時成立具體罪名的幫助犯與本罪正犯的想象競合，何時認定為單純的具體犯罪幫助犯？這需要依據(jù)主觀認識上是否有特定的故意和認識來區(qū)分，“如果行為人主觀上僅知道或者應當知道他人將利用個人信息實施犯罪行為，但對于實施何種犯罪、如何實施以及犯罪的時間、地點并沒有認識，則不能成立具體犯罪的幫助犯，但可依據(jù)本項定罪處罰，如果行為人對他人即將實施的犯罪存在具體的認識，依然向他人提供個人信息的，后他人果然利用其提供的個人信息實施了具體的犯罪行為，則行為人應當構(gòu)成具體罪名的幫助犯與本罪正犯的想象競合，擇一重罪處罰。”[6]對于本項中“犯罪”的范圍，有學者認為在進行目的性限縮解釋的情況下，不應當包括本罪。[7]我們認為應當包括出售或提供公民個人信息的行為。因為從利用公民個人信息的黑色產(chǎn)業(yè)鏈來看，對個人信息的獲取和傳播有時會經(jīng)過多重層級，最終流向不同的犯罪行為終端，所以在這個過程中，任何一級都可以依據(jù)本條成立侵犯公民個人信息罪。

另一方面，《解釋》還規(guī)定了責任主義的例外情形。《解釋》第5條第1款規(guī)定，“出售或者提供行蹤軌跡信息，被他人用于犯罪的”，可被認定為情節(jié)嚴重。對比其他條款可以看出，對于這類行為，無需判斷主觀上是否知道或應當知道涉案信息被用于犯罪。這主要是為了解決司法實踐中取證難的問題而設立的條款，可以說是實踐推動規(guī)則制定的直接反映，但從理論角度，這樣的規(guī)定是否合適還有待商榷。對《解釋》中這一款的處罰正當性的解釋，可能需要引入大陸法系客觀處罰條件理論或英美法系的嚴格責任理論才能解決。我們曾試圖用大陸法系客觀處罰條件理論[注]在特定情況下，除了不法行為的責任之外還必須存在其他情況才能成立刑事可罰性，這種附加在有責的不法行為中并能夠引發(fā)刑事可罰性的情況被德國刑法學家稱為“客觀的處罰條件”或“刑事可罰性的客觀條件”。參見[德]克勞斯·羅克辛.德國刑法學總論(第1卷)[M].王世洲，譯.北京：法律出版社,2005.290.對《解釋》中這一款的處罰正當性進行解釋，但發(fā)現(xiàn)該理論中的客觀處罰條件大部分時候都表現(xiàn)為處罰限制功能，只有在少數(shù)狀態(tài)下具有刑罰加重功能。[8]而《解釋》中的這一款顯然不是為了減輕被告人的刑罰，所以是一種不純正的客觀處罰條件，實際上也是不法構(gòu)成要件，只是與故意過失相分離。而且我國刑法學界對客觀處罰條件的概念、定義以及在我國的適用爭議很大，因此，筆者認為，與其采用爭議較大的客觀處罰條件理論來解釋，不如采用英美的嚴格責任理論可能更為簡便。嚴格責任立法本就出于功利主義立場，為減輕控方的犯意證明責任而設，實際上是為保護多數(shù)人的最大利益而對少數(shù)人利益的犧牲，這其實和《解釋》第5條第1款的立法原意是一致的。

2．同意原則的堅持與例外

我們的日常生活已經(jīng)離不開網(wǎng)絡，每天都有無數(shù)的數(shù)據(jù)傳播行為發(fā)生，尤其是在智能手機普及之后，同意某一應用軟件使用公民個人信息已經(jīng)成為了一種常態(tài)，需要通過將個人信息相關(guān)情形告知信息持有者并以賦予其一定處置權(quán)的方式在虛擬網(wǎng)絡世界中設立第一重保護，使得當個人信息被侵犯時，當事人有權(quán)并有途徑進行究責，維護自身權(quán)益。

公眾信息共享和個人信息保護之間的沖突是互聯(lián)網(wǎng)時代所有網(wǎng)絡活動無法回避的問題，互聯(lián)網(wǎng)發(fā)展至今，信息持有者的知情和同意已經(jīng)成為網(wǎng)絡主體對公民個人信息所有利用行為開展的前提，也是對公民個人信息的最低保護要求，信息持有者有權(quán)了解自己的信息被哪些機構(gòu)持有、處理和利用，也有權(quán)了解具體的利用進程，對于可能不利于信息持有者的利用行為有知情權(quán)。知情同意包含兩個權(quán)利范疇：一是知情權(quán)，即信息主體有獲取有關(guān)本人信息及其被收集、處理和利用等情況的權(quán)利；二是同意權(quán)，即除法律規(guī)定的例外情況，任何人要收集、處理或使用個人信息必須經(jīng)信息主體本人同意。[9]一般而言，這種同意不能是默示作出的，即數(shù)據(jù)主體以簡單的不作為表示同意是不夠的，還必須以某種作為形成明示同意，但有默示同意成立的情況，如將個人數(shù)據(jù)用于直銷目的的情形。[10]

早在1978年經(jīng)濟合作與發(fā)展組織(Organization for Economic Cooperation and Development, OECD)就成立了跨境數(shù)據(jù)障礙和隱私保護的專家團，并于1980年通過了《關(guān)于隱私保護與個人數(shù)據(jù)國際流動的指針的建議書》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, OECD.EOC.C58 final)。該建議書提出了保護個人信息的八項基本原則，其中附條件地規(guī)定了數(shù)據(jù)收集與利用的同意原則。[11]

是否支持信息所有者的同意權(quán)和各國的價值衡量相關(guān)。美國更加強調(diào)信息的自由流動，認為交流與利用是信息的價值所在，不支持用同意權(quán)來為流動設限，妨礙相關(guān)行業(yè)的健康發(fā)展。與之相反，歐盟各國更為強調(diào)對個人數(shù)據(jù)安全的保護，禁止個人數(shù)據(jù)的隨意流失，在消除歐盟境內(nèi)數(shù)據(jù)流動障礙的同時尋求更高層次的保護，將同意權(quán)明確列入數(shù)據(jù)保護的相關(guān)文件之中。

根據(jù)歐盟第29條工作組的觀點，信息主體的同意必須是在信息充分的情況下基于自由意志做出，且明確具體。[12]傳統(tǒng)的個人信息保護結(jié)構(gòu)來自歐盟《個人數(shù)據(jù)保護指令》，眾多國家的立法均以此為藍本，其“知情同意”結(jié)構(gòu)要求機構(gòu)在收集用戶信息前，告知用戶信息處理的情況，在網(wǎng)絡服務的語境中通常表現(xiàn)為發(fā)布隱私聲明，用戶在閱讀聲明后做出同意的意思表示作為對個人信息收集及利用的合法授權(quán)，然而此種控制機制在信息時代尤其是大數(shù)據(jù)時代遭到嚴重沖擊。[13]2016年歐盟《一般數(shù)據(jù)保護條例》(GDPR)強化了對公民知情權(quán)和同意權(quán)的規(guī)定。根據(jù)該法，居民能夠查詢個人信息的存儲和處理情況，一旦發(fā)生數(shù)據(jù)泄露事件，信息所有者有權(quán)第一時間被告知。在2018年最新的《一般數(shù)據(jù)保護條例》中進一步強調(diào)了對信息所有者的保護，在使用其數(shù)據(jù)的時候，不僅需要告知和取得其同意，同時所有者還有反對權(quán)和擦除權(quán)，一經(jīng)反對使用或要求“擦除”，企業(yè)就必須馬上停止一切使用。由此可見，歐盟的個人數(shù)據(jù)保護是雙重的，即既在采集階段保護，也在采集后的整個使用階段嚴格控制。歐盟各成員國本國的數(shù)據(jù)保護法也有關(guān)于同意權(quán)的規(guī)定。如德國2003年《聯(lián)邦數(shù)據(jù)保護法》第4條規(guī)定了只有在法律允許或數(shù)據(jù)主體同意的時候才能收集、處理和使用個人數(shù)據(jù)，且這種同意是書面且針對特定事項的。法國《數(shù)據(jù)處理、數(shù)據(jù)文件及個人自由法》也規(guī)定了對個人數(shù)據(jù)處理的同意權(quán)及其例外情況。

不同于歐盟嚴格的數(shù)據(jù)管控，美國對個人信息的利用則采取寬容的態(tài)度，沒有制定統(tǒng)一適用于各種機構(gòu)的個人信息保護法，而是在《隱私權(quán)法》等相關(guān)法律中以條文形式作出具體規(guī)定。比如，《隱私權(quán)法》規(guī)定了信息提供者的知情權(quán)以及對非法定原因信息披露的同意權(quán)，但美國法律中規(guī)定的同意權(quán)范圍非常窄，和歐盟的一般性保護有所區(qū)別。2015年美國在《消費者隱私權(quán)利法案(草案) 》中規(guī)定了大量的排除條款，如將合法公開可得的信息、經(jīng)去識別化處理的信息、雇員信息、網(wǎng)絡安全信息等排除出個人信息的范圍。同時在適用主體方面，較歐盟數(shù)據(jù)保護指令作出更多例外性規(guī)定，給個人信息的利用留出了靈活空間。

在企業(yè)信息使用的管控中，各國表現(xiàn)出了不同的管控理念。作為互聯(lián)網(wǎng)大國，美國為了鼓勵企業(yè)發(fā)展，對企業(yè)信息使用沒有設置太多的障礙，尤其是對個人信息這一決定企業(yè)程序設計、用戶體驗的關(guān)鍵數(shù)據(jù)更是沒有設置太多的使用障礙，但由于歐盟本土幾乎沒有大型的互聯(lián)網(wǎng)企業(yè)，在對外國企業(yè)的準入過程中，自然會設立壁壘來保護本國利益。比如，歐盟隱私監(jiān)管機構(gòu)對WhatsApp和Facebook的警告和調(diào)查，認為“雖然WhatsApp試圖獲得用戶的同意，與Facebook分享他們的信息，但是又告知用戶如果不同意數(shù)據(jù)分享條款就無法繼續(xù)使用該服務，對此，監(jiān)管機構(gòu)表示‘同意或者離開’的策略沒有給用戶充足的自由選擇權(quán)，應當加以修改，但Facebook對此尚未采取行動”；再如，歐盟第29條工作組對Google展開的合規(guī)性調(diào)查，2012年向谷歌發(fā)出通告，要求其在4個月內(nèi)按要求修改隱私政策，但谷歌對此置之不理，于是第二年(2013年)法國的數(shù)據(jù)保護監(jiān)管機構(gòu)——國家信息自由委員會(CNIL)于當?shù)貢r間2013年4月2日宣布，歐洲六國的隱私保護部門將聯(lián)合對谷歌加強限制。[14]這兩個案件側(cè)面表明了歐盟通過嚴格的數(shù)據(jù)管理規(guī)則遏制美國互聯(lián)網(wǎng)霸權(quán)的目的。

我國臺灣地區(qū)的“個人資料保護法”和日本的《個人信息保護法》也規(guī)定了信息所有者的同意權(quán)，但僅限于采集階段，對于之后的使用階段，只要使用目的與收集目的相符就無需征得信息主體的同意。因為日本在制定《個人信息保護法》過程中認為，如果像歐洲那樣設立對任何領(lǐng)域都擁有管理權(quán)限的個人信息保護機關(guān)，則可能大幅度限制非公共部門本應自由的活動，這不符合日本的國情，與其行政改革和放松管制的潮流也相悖，因而應構(gòu)建富有成效的事后救濟體系。[15]

我國2017年新出臺的《民法總則》和《網(wǎng)絡安全法》也順應國際潮流，強化了用戶的知情權(quán)和同意權(quán)。《民法總則》規(guī)定了公民個人信息保護的一般原則是告知與同意原則，雖然沒有明確界定“告知”和“同意”的標準，但可以通過其他相關(guān)立法規(guī)定明確。如《網(wǎng)絡安全法》第22條規(guī)定了網(wǎng)絡服務提供者的告知義務，“發(fā)現(xiàn)其網(wǎng)絡產(chǎn)品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告”；第42條第1款表達了對公民同意作為合法化前提的支持，該條規(guī)定對網(wǎng)絡運營者收集的公民個人信息，“未經(jīng)被收集者同意，不得向他人提供”，并規(guī)定了一個例外，即經(jīng)過處理無法識別特定個人且不能復原的情況下，可以不經(jīng)過同意對外提供。這種前置的同意原則和歐盟的數(shù)據(jù)管理立法思想是類似的。2017年出臺的《解釋》第3款也從刑法層面呼應了同意原則，規(guī)定“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于《刑法》第253條之一規(guī)定的‘提供公民個人信息’，但是經(jīng)過處理無法識別特定個人且不能復原的除外。”

知情同意權(quán)的推行首先遇到的阻礙就來自大數(shù)據(jù)時代經(jīng)濟發(fā)展對個人信息的海量需求。由于大數(shù)據(jù)時代用戶與網(wǎng)絡服務提供者之間的聯(lián)系不再單一，而是一個多重網(wǎng)絡，所以對公民個人信息的自我控制能力減弱，知情權(quán)和同意權(quán)的實現(xiàn)也變得更為困難，同時也規(guī)定得更為嚴格。有學者指出，知情同意機制已然失靈，知情同意的基礎(chǔ)地位不保，一方面，在大數(shù)據(jù)背景下信息主體權(quán)利已被架空，另一方面，其加重企業(yè)成本，從而阻礙信息高效使用。[16]需要注意的是，公民個人信息保護的需求和國家治理的安全需求之間存在矛盾，和企業(yè)發(fā)展的大數(shù)據(jù)分析需求之間也存在沖突。如何平衡好這兩對關(guān)系，涉及到同意原則適用的范圍。從企業(yè)發(fā)展角度看，中國互聯(lián)網(wǎng)企業(yè)之所以能在短短數(shù)十年內(nèi)迅猛發(fā)展，離不開中國龐大的網(wǎng)民群體的信息支持，只有通過足夠數(shù)量的大數(shù)據(jù)分析，才能夠?qū)崿F(xiàn)更為個性化的服務，提供更好的用戶體驗。如果對網(wǎng)民個人信息的使用規(guī)定得過于嚴格，企業(yè)就不能進行數(shù)據(jù)挖掘和分析工作，服務質(zhì)量就下降，相應地會影響到企業(yè)在市場中的占有份額。從個人信息安全角度而言，如歐洲數(shù)據(jù)保護規(guī)則一般要求企業(yè)集中用戶信息以方便用戶查閱和授權(quán)，未嘗不會形成新的安全隱患，反向地給黑客攻擊網(wǎng)站獲取信息降低了成本，原本分散的信息可能需要多次攻擊才能獲取，現(xiàn)在只需要一次就能獲得全部。所以，在適用同意原則對企業(yè)個人信息的獲取設置門檻的時候，也不能過分強調(diào)個人權(quán)益，在掌握信息讓渡的決定權(quán)的同時也要給企業(yè)一定的自主權(quán)。比如，在對信息進行去識別化處理后在一定范圍內(nèi)可以不經(jīng)提供者的同意進行使用。

但是，國家安全對個人信息保護可能的侵犯和企業(yè)對個人信息的利用還是有所區(qū)別的。首先，國家安全部門對個人信息的獲取較之企業(yè)更為全面，比如納稅、戶籍等信息，是企業(yè)通過軟件程序無法得到的。其次，國家安全部門獲取個人信息的目的并不在于盈利，更不會用于違法犯罪行為，這一點是和企業(yè)或其他第三方機構(gòu)有所區(qū)別的。最后，國家安全部門是個人信息收集的終端，不會二次傳播。所以安全部門享有一定的豁免權(quán)，在國家安全和個人安全的價值位階對比中，顯然國家安全具有更高的優(yōu)先級。

四、余論

公民個人信息從早期作為其他法益保護的一部分進入刑法規(guī)定到現(xiàn)在的獨立保護，其保護體系愈發(fā)完善，內(nèi)涵外延不斷豐富，但同時也存在隱憂——刑法在將網(wǎng)絡犯罪領(lǐng)域出現(xiàn)的新違法行為入罪規(guī)制方面表現(xiàn)得過于積極，有些地方越過民法和行政法，走得很遠。而從司法實踐來看，對這一類行為的處罰普遍較輕，不少案件雖然涉案人數(shù)眾多，但很少有判處3年以上刑期的，大多都是幾個月到1年有期徒刑并緩刑，并處的罰金與違法所得金額相比甚微。這難免使人產(chǎn)生疑問，這樣的刑罰對侵犯個人信息的違法行為是否必要，采取民事或行政措施是否更為有效？刑法作為最后一道防線，應當在其他部門法措施規(guī)制無效時才啟動，但在個人信息保護領(lǐng)域，民事、行政措施，與其說是調(diào)控無效，不如說是尚未完善，有心無力——民事措施偏重對隱私權(quán)的保護，對個人信息的其他權(quán)利屬性鞭長莫及，而在缺少單行專門立法的行政制裁領(lǐng)域，其措施嚴厲有余，輻射范圍不足。在這樣的情況下，能不能直接進入刑法層面？