資深上海刑事律師以公法法益觀視角看個人隱私

　　個人信息保護(hù)法的頒布施行，不僅填補(bǔ)了侵犯公民個人信息罪在罪狀上的空白，而且從犯罪行為對象認(rèn)定、行為違法性評價、出入罪邊界劃分等幾個方面化解了刑法修正案（九）頒布之后關(guān)于該罪名認(rèn)定在司法實(shí)踐中的常見爭議，并進(jìn)一步廓清了該罪所保護(hù)的法益。資深上海刑事律師認(rèn)為，正確理解侵犯公民個人信息罪，應(yīng)摒棄私法法益觀，轉(zhuǎn)采公法法益觀，以便精準(zhǔn)打擊侵犯公民個人信息犯罪活動。

 

　　一是個人信息的概念與犯罪行為對象認(rèn)定問題。

　　關(guān)于犯罪行為對象認(rèn)定的常見爭議是，大量僅包含“姓名+電話號碼”、特定對象名單列表等簡單信息的資料是否構(gòu)成該罪的犯罪行為對象。個人信息保護(hù)法第4條明確了個人信息是具有可識別性的信息，且不包括匿名化處理后的信息。因此，個人信息不等于私有信息和個人隱私，人們?nèi)粘Ｉ钤诠步煌臻g中的活動，例如公園、地鐵站、超市、影院等公共場所會形成大量的關(guān)于個人出入登記、交易支付、活動軌跡、通訊記錄等內(nèi)容，這些信息既不完全屬于個人隱私，也不由個人完全享有支配權(quán)，該罪保護(hù)的法益并非個人信息支配權(quán)。個人信息概念的可識別性標(biāo)準(zhǔn)揭示了侵犯公民個人信息罪保護(hù)的法益是社會公共安全和秩序，其目的是為了預(yù)防具有可能引發(fā)下游犯罪、危害公共秩序和安全等潛在社會公共風(fēng)險，而不是針對個體對象私權(quán)益的具體風(fēng)險。同時，將已經(jīng)匿名化處理，不具有公開風(fēng)險的信息排除在犯罪行為對象之外，可以防止刑罰打擊面無限擴(kuò)張。
 

　　二是個人信息處理者責(zé)任與行為違法性評價問題。

　　關(guān)于行為違法性認(rèn)定的常見爭議是在查獲下游犯罪時，大批量來源不明信息是信息持有人主動獲取還是意外獲取及信息的上游渠道等往往難以查明。個人信息保護(hù)法第51條規(guī)定：個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)險等，采取相關(guān)管理、分類、加密、去標(biāo)識、設(shè)定權(quán)限等措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止泄露、篡改、丟失；第52條規(guī)定：處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護(hù)負(fù)責(zé)人，負(fù)責(zé)對處理活動以及采取的保護(hù)措施等進(jìn)行監(jiān)督。以上規(guī)定強(qiáng)制賦予了上游源頭的相關(guān)信息處理者及相關(guān)平臺對于大量個人信息的安全處理和防止泄露的保障義務(wù)，加強(qiáng)了批量個人信息的源頭安全管控和公共平臺責(zé)任，從源頭防止信息泄露。此種信息安全保障義務(wù)并非信息處理者對于個人信息原始享有者的個體承諾，而是賦予信息處理者的公共責(zé)任。以上規(guī)定從判斷行為違法性的角度支持了侵犯個人信息犯罪行為所違反的義務(wù)并非私法上的義務(wù)，而是公法上的公共責(zé)任義務(wù)。

 

　　三是個人信息原始享有者的“同意”與出入罪邊界劃分問題。

　　關(guān)于出入罪邊界的常見爭議是對已公開信息二次搜集利用是否需要征得個人信息原始享有者的“同意”。個人信息原始享有者的“同意”是否是該罪絕對的出入罪要件，關(guān)鍵在于“同意權(quán)”與信息自決權(quán)之間的關(guān)系。在個人非公開信息的場合，一般應(yīng)要求獲取“同意”，但對已經(jīng)過一次公開之后的再次利用是否需要再次取得“同意”存在較大爭議。有的案件中，將在國家企業(yè)信息平臺等公共平臺的系統(tǒng)信息進(jìn)行收集和編輯并再次利用，這種情形下是否仍以信息原始享有者的“同意”為出入罪標(biāo)準(zhǔn)則存在較大疑問。如果將個人信息原始享有者的“同意”視為信息自決權(quán)，則已經(jīng)授權(quán)公開的信息再次利用仍需要經(jīng)過二次同意。

       盡管個人信息保護(hù)法第二章建立起了一系列以“告知—同意”為核心的個人信息處理規(guī)則，但不意味著該罪侵犯的法益是個人信息自決權(quán)，即使在取得個人同意的前提下信息處理也不得偏離信息搜集使用時所宣稱的合法目的，此外還必須受到個人信息保護(hù)法第24條規(guī)定對于利用個人信息進(jìn)行自動化決策作出的限制。同時，該法第27條規(guī)定個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或其他已經(jīng)合法公開的個人信息，僅個人明確拒絕的除外，但對個人權(quán)益有重大影響的，應(yīng)當(dāng)取得個人同意。以上規(guī)定將信息二次利用的要求從取得同意降低為明確拒絕，僅對具有個人重大權(quán)益影響的情形予以保留，說明信息原始享有者的“同意”既不是絕對的入罪要件，也不是絕對的出罪要件，也說明了該罪名保護(hù)的法益并非個人信息自決權(quán)，而是信息利用所影響的公共秩序和公共安全利益。