刑事审判参考(2022年第2辑,总第132辑)
[第1487号]王某侵犯公民个人信息案--公开信息的刑法保护规则
节选裁判说理部分,仅为个人学习、研究和说明问题,如有侵权,立即删除
二、主要问题
行为人收集并出售、提供他人自愿在公开网站上发布的信息是否构成侵犯公民个人信息罪?
三、裁判理由
(一) 争议行为不构成侵犯公民个人信息罪
根据刑法第二百五十三条之一第一款、第三款,构成侵犯公民个信息罪必须以“违反国家有关规定”为前提。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若于问题解释》(以下简称《解释》)的规定,所谓“违反国家有关规定”指是“违反法律、行政法规、部门规章有关保护公民个人信息”的规定基于前置国家有关规定的考量,对本案中所涉公开信息的收集后出售、交换、提供行为,不应认定为侵犯公民个人信息罪。
1.对“违反国家有关规定”的理解
本案中,公诉机关以未经被收集者同意为由,认定被告人的行为构成本罪,其逻辑是在判断争议行为是否属于“违反国家有关规定”时“未经被收集者明示同意”作为唯一的考量因素。本案判决时,民法典及个人信息保护法尚未出台,对于公民个人信息保护的规定散见于侵权责任法、民法总则等法律中。当时的法条多为针对个人信息的“受法律保护”“不得非法收集、加工”等宣示、概括性的表述。除此以外,网络安全法等法律、法规细化调整一些涉及特定领域的具体行为类型,但总体上并未发展到形成对个人信息保护的细密“法网”,尚难供司法人员较为直接地判断实践中的某些行为类型是否违法。因此,在判断某些争议行为是否“违反国家有关规定”时,司法人员虽然可以引用上述概括性法条,但前提必须是在概括性法条的价值引导下,结合信息类型、信息主体的意愿、行为人的使用目的、对信息主体的影响等具体因素进行综合评判。在此情况下,信息主体的意愿当然是需要考虑的重要因素,但仅将“未经被收集者同意”甚至是“明示同意”作为认定争议行为是否具有违法性的唯一考虑因素。而不考虑信息的已公开程度及其对信息主体可能造成的影响等问题,则易失之偏颇。
2.信息主体的“默示同意”
在大数据时代,法律认可对某些类型个人信息进行商业化利用的合法性。信息主体基于商业目的将个人信息公开前,必然会在信息公开流通与排他性支配之间进行权衡取舍,其通过公开个人信息获得商业利益必然以对信息排他性支配的削弱甚至丧失为代价。因此,在理解信息主体基于商业目的公开其个人信息的法律意义时,就应当认为其中包含着“默示同意”他人可以进行一般性的收集和使用,不需要再作出二次授权。所以,所谓“未经被收集者同意”不能笼统、狭隘地理解为不管信息是否已公开及公开程度,只要未征得信息主体的明示同意,都不能向他人提供或通过购买、交换从他人处获取。如果一定要将“未经被收集者同意”理解为信息主体明示同意,则信息的流通性势必大打折扣,不仅在实践中无法操作,也必然背离信息主体商业推广的目的。当然,如果是基于特定犯罪目的收集、提供有关人员公开的个人信息,则有可能构成特定犯罪的预备行为或共犯行为,但此时违法性的意义乃是作为目的的后续犯罪行为赋予的,并且显然也超出了“默示同意的许可使用范围,不能被“默示同意”涵盖。
3.对本案争议行为是否具有违法性的具体、综合判断
首先,具体到本案,涉案第二类信息提取自公开的商业网站中企业介绍自己生产、经营、销售产品状况的广告信息,其中包含的法定代表人或联系人姓名、手机号码显然是当事人出于便于商业联系、扩大商业影响需要自愿公开的,信息主体在将此类信息公开时,必然能够预见他人可能会基于商业目的对信息进行收集和使用,应当认为其公开行为即包含对他人一般性收集和使用相关信息的“默示同意”。
其次,根据《解释》对不同类型信息在构罪数量上的区别保护,涉案的姓名和手机号码属于一般个人信息,根据日常经验,一般性使用该类信息至多对信息主体的日常生活产生轻微的滋扰,如拨打推销电话发送推销短信等,不会对信息主体造成或增加明显不利的影响,这也是信息主体在公开其个人电话时能够预见的后果。
最后,被告人王某及其下家提供、获取涉案信息的目的在于赚取一定的利益,并非以帮助他人实施特定犯罪为目的,对信息主体的重要法益也不会造成具体、现实的危险。综上,根据涉案信息的类型(系一般个人信息)、已公开程度(系商业网站公开信息)、对信息主体可能产生的不利影响( 可能对其日常生产生轻微滋扰)、被告人的目的 (系单纯的信息交易而非帮助犯罪),以及可推定的信息主体“默示同意”,应当认为本案争议行为不具有刑事违法性,不构成侵犯公民个人信息罪。
(二)民法典、个人信息保护法视角下对公开信息刑法保护的再判断
本案系于2019年12月27日作出判决。自2021年1月1起施行的民法典和2021年11月1日起施行的个人信息保护法对公开个人信息处理规则作出明确规定,在法秩序统一性原理的视野下,前置法的规定必然会在-定程度上影响刑事违法性的判断。因此,对涉公开个人信息案件的处理应当准确把握前置法的相关规定,审慎划定罪与非罪的界限。
民法典第一千零三十六条规定:“处理个人信息,有下列情形之一的,行为人不承担民事责任:.....(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外......”(个人信息保护法第十三条、第二十七条有类似规定。)可见,对于自然人自行公开的或者其他已经合法公开的信息,前置法将“合理处理”作为无须征得该自然人同意的免责事由,例外情形是“该自然人明确拒绝或者处理该信息侵害其重大利益”。基于此,信息主体出于商业目的自愿公开其个人信息后,只要其事先未以明示的方式表示拒绝(或限制已公开信息的用途),行为人收集上述信息并出售、提供给他人的行为,只要属于“合理处理”的范畴,且未侵害信息主体重大利益的,则不宜认定为侵犯公民个人信息罪。需要注意的是,对于“合理处理”“侵害重大利益”,应当作出妥当把握。就“合理使用”而言,需要法官根据信息类型、用途、对当靠人的米影响等因素进行综合评判。特别是在市场经济背景下,个人信息所的商业意义日益显现,为取得市场推广,商家不仅需要获得更多客户信息同样需要将自己企业的信息对外公开(其中势必包含经营人员的个人信),个人信息流通与保护之间必然存在需要结合具体行为类型予以动态平衡之处。在法律、法规没有明确禁止的情况下,认定是否属于“合理处理”,是否“侵害重大利益”,更需要遵循刑法的谦抑性。基于此,在判断相关行为是否属于“合理使用”时,必须以是否严重侵犯信息主体的重大利益为核心,遵循“法无禁止即可行”原则。对“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为合理处理,至少不应认定为犯罪。
综上,即使在民法典、个人信息保护法施行后,对于本案中信息主体出于商业目的自愿公开姓名、电话等个人信息,行为人基于单纯获利目的出售、提供、交换,未对信息主体的人身、财产或人格利益造成具体、重大风险,未违反法律、法规禁止性规定的,亦不应当认定为侵犯公民个人信息罪。
(三) 对侵犯公民个人信息罪的惩治应当彰显源头治理的导向
从司法实践看,行业内部人员泄露信息是非法获取公民信息的主要来源,造成危害最大的也主要是内部人员的泄露信息行为。基于此,从治理犯罪的角度来说,侵犯公民个人信息罪的惩治重点对象应当是源头人员。本案被告人的行为虽然构成侵犯公民个人信息罪,但其属于非法交易利益链的下游人员,结合本案的其他量刑情节,人民法院对其适用缓刑,符合罪责刑相适应原则,体现了宽严相济刑事政策。
(撰稿:江苏省苏州市姑苏区人民法院 张 捷 许雅璐
审编:最高人民法院刑二庭 张 杰)
