1、 法学研究重庆大学学报(社会科学版)年第 卷第 期 ().:欢迎按以下格式引用:刘双阳,李川大数据时代个人信息法益刑法保护的应然转向 以规制非法使用个人信息为重点重庆大学学报(社会科学版),():,:(),():基金项目:国家社会科学基金一般项目“网络智能时代个人信息泛在泄露与刑法有效保护研究”();南京市法学会法学研究课题“个人信息保护法视角下侵犯公民个人信息犯罪问题研究”();中国政法大学网络法学研究院 年度网络法治理论研究项目作者简介:刘双阳,中国政法大学刑事司法学院,:;李川,东南大学法学院教授。大数据时代个人信息法益刑法保护的应然转向 以规制非法使用个人信息为重点刘双阳,李 川(中国
2、政法大学 刑事司法学院,北京;东南大学 法学院,江苏 南京)摘要:我国刑法第 条之一侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,造成刑事规制出现漏洞,体现了将个人信息自主片面地理解为转移自主、忽视使用自主的法益认识缺陷,进而仅以防范非法转移个人信息为入罪逻辑,使得个人信息法益刑法保护不周延。当前个人信息已然成为网络犯罪中的关键要素,非法使用个人信息现象愈演愈烈,侵犯公民个人信息犯罪已经逐渐形成“提供者中间商非法使用”的完整黑色产业链,各环节分工明确、组织严密,通过非法使用个人信息实施违法犯罪活动,进而变现牟利是诱发个
3、人信息泛在泄露以及违法交易激增的根源,刑法单纯打击制裁非法转移个人信息行为只能是治标之策,导致侵犯个人信息犯罪刑事治理效果欠佳。随着进入大数据深度挖掘应用阶段,数字经济蓬勃发展背景下根植于个人信息的人身性、财产性、公共性等复合法益属性的使用价值日益凸显,使得个人信息使用自主相较于个人信息转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节。非法使用个人信息属于下游行为,对公民的人身财产安全以及社会管理秩序造成极大损害或威胁,与处于上游的非法转移个人信息行为相比,非法使用个人信息行为具有更为严重的法益侵害性,表现为法益侵害的根源性、直接性和精准性。因此,刑事立法应以需求端为
4、导向,有必要在遵循刑法谦抑性原则的前提下合理确定非法使用个人信息行为的入罪要件与出罪事由,即以未征得信息主体同意且情节严重为危害行为,以非经匿名化处理的个人信息为行为对象,以符合个人信息合理使用 重庆大学学报(社会科学版)年第 卷第 期 的情形为违法阻却事由,既从源头上规范个人信息使用行为,又限定非法使用个人信息行为刑事入罪的边界,在保护个人信息安全的同时促进个人信息有序自由流动、合理有效利用,平衡信息主体的使用自主利益与信息处理者的正当使用利益,为数字经济高质量发展提供强有力的刑事法治保障。关键词:个人信息;非法使用;使用自主;法益侵害;入罪要件;出罪事由中图分类号:.文献标志码:文章编号:
5、()随着奠定数字社会基石的 移动通信、大数据、物联网、云计算、人工智能等新兴网络信息技术的快速发展,数字化生存已然成为当下最活跃的社会生活方式,像空气和水一样自然,由此开启一个全新的“赋权”时代。从原子到比特的数字化过程意味着利用数据量化一切,记录、分析和重组对客观事物的描述,其中能够识别或关联到特定自然人身份或活动情况的数据被称为个人信息,即个人生活在数据空间的镜像。大数据环境下,通过收集处理、深度挖掘记录自然人一言一行的个人信息,可以准确分析并勾勒出其在社会交往过程中形成的以数据为基础的公共形象如生物特征、健康状况、教育背景、经济能力、兴趣喜好等,即创建“数字化人格”,并以此作为高效分析社
6、会需求、辅助业务决策的工具。个人信息的应用价值和商业价值使得其在社会治理乃至经济发展中的作用日益凸显,成为一座储藏于网络空间、被竞相开采的“富矿”。然而,法谚有云:“有利益的地方就有犯罪人。”个人信息不可避免地成为网络犯罪觊觎的目标,遭受不法侵害的风险陡然剧增。是故,“我们要坚持以人民安全为宗旨”,“完善国家安全法治体系”。一、问题的提出:个人信息使用自主刑法保护阙如数字经济时代,作为个人信息载体的数据与土地、劳动力、资本、技术等一道被纳入生产要素的范畴,通过深化要素市场化配置,促进数据自主有序流动,提升数据资源的价值。在此背景下,越来越多的市场主体参与大数据产业,投入巨额人力、物力、财力加工
7、处理和分析应用个人信息,“它们的终点线是让所有收集到的数据产生业务价值,或者说商业利润”,个人信息主体成为被观察、分析和监测的对象。此外,网络空间信息流转的迅捷性和不可控性放大了个人信息遭受不法侵害的可能性,使得个人信息面临前所未有的泄漏与滥用风险。例如,为疫情防控、疾病防治而收集使用的密切接触者的姓名、电话、身份证号码、个人详细居住地址等信息在微信群组被不当传播扩散,产生超越时空的不良社会影响。在暴利驱动下,现实中已经形成一条分工明确、精细完整的数据交易黑色产业链,个人信息被明码标价,上游“中间商”负责非法获取、出售、提供个人信息,下游需求群体则购买并利用个人信息实施各种违法犯罪活动,诸如使
8、用他人个人信息恶意注册互联网账号“刷单炒信”、冒用个人信息申请信用贷款或逃税、盗用个人信息破解生物识别身份认证系统、滥用个人信息拨打虚假营销类骚扰电话或定向推送有毒有害信息等现象愈演愈烈。以“侵犯公民个人信息罪”“刑事案件”“一审程序”三个关键词在中国裁判文书网上进行检索发现,年侵犯公民个人信息的刑事案件分别为 件、件、件、件、件。当前侵害个人信息犯罪呈高发态势,其中不少案件涉及的个人信息数量惊人、影响范围甚广,引发的盗窃、诈骗等次生犯罪危害也日益严重。年 月 日,中共中央、国务院印发的关于构建更加完善的要素市场化配置体制机制的意见明确提出“加快培育数据要素市场”。刘双阳,等 大数据时代个人信
9、息法益刑法保护的应然转向 以规制非法使用个人信息为重点从数据信息的流动链条和生命周期来看,获取、出售、提供都属于个人信息的转移方式,而转移个人信息的最终目的在于利用,如此才能创造价值或收益。非法使用个人信息牟利无疑是诱发当前个人信息泛在泄露以及违法交易激增的根源,已成为整个侵害个人信息犯罪产业链的核心环节。对个人信息深度挖掘应用所带来的侵害风险要求大数据时代个人信息保护的重点应从转移环节转向使用环节。如何从需求端确保信息处理者遵循合法、正当、必要的原则,合规使用个人信息就显得尤为重要。我国涉及个人信息保护的民法和行政法规范中均有“不得非法收集、使用、出售、提供公民个人信息”的相关规定,将个人信
10、息的使用行为作为一种独立的行为类型与获取、出售、提供行为并列规定。然而,刑法分则中的侵犯公民个人信息罪却并未将非法使用个人信息行为纳入本罪的构成要件类型,仅仅是按照犯罪行为的自然延伸来解释,使得刑法保护个人信息法益不周延,并与其他部门法规范不协调。出现这一“真空地带”的主要原因在于立法者对侵犯公民个人信息犯罪所保护的法益 个人信息自主的理解不够全面,将保护个人信息自主简单地等同于保护个人信息转移自主,以防范非法转移个人信息为入罪逻辑,一定程度上忽视了对个人信息使用自主的保护。以信息交换与共享为主要特征的互联网思维已深深嵌入当下社会生活的方方面面,人们在享受网络带来的便捷生活的同时,不得不让渡部
11、分个人信息权益作为获得相关产品和服务的“对价”,“当网络化和数据交换不断扩大时,相应地,信息网络犯罪也侵入到更多区域”。近年来,非法使用个人信息事件频频见诸报端,尤其是个体指向性较强的敏感信息的靶向使用,如利用个人身份信息实施精准电信网络诈骗,给公民的人身和财产安全造成严重威胁或损害,引起社会的普遍关注。中国通信研究院发布的移动互联网应用个人信息安全报告(年)显示,有关个人信息使用问题的投诉已占网络不良与垃圾信息举报受理中心收到的用户 投诉数量的。随着公众个人信息保护意识的觉醒与增强,对不法分子违规使用个人信息侵害用户权益的感受日益强烈,因此,个人信息使用自主作为信息社会产生的新价值形式亟需刑
12、法的保护。但需要格外注意的是,基于刑法保障公民权利自由的最后手段性定位,在通过入罪方式规范互联网经营者的个人信息使用行为时,须秉持刑法谦抑性原则,合理确定非法使用个人信息行为刑事规制的边界,审慎发动刑罚权,使信息主体与信息处理者的利益平衡映射在大数据时代的法律规则之中。二、复合法益语境下个人信息使用利益的界分网络智能时代个人信息呈现泛在泄露的趋势,由非法使用个人信息所引发的社会问题层出不穷,法益保护链条不断拉长,从刑法层面规范个人信息使用行为、加强对个人信息使用自主的保护逐渐取得社会共识。刑法的谦抑性要求刑法只在必要性意义上制裁最危险、对法益容易造成最严重侵害的行为,因此在区分罪与非罪的界限的
13、关键领域厘清个人信息的法益属性与权利边界是刑法审慎介入保护个人信息使用利益的先决条件,有助于恰当处理个人信息保护与利用的冲突及协我国民法典第 条规定:“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”网络安全法第 条规定:“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。”第 条规定:“未经被收集者同意,不得向他人提供个人信息。”消费者权益保护法第 条规定:“经营者不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人
14、提供。”个人信息保护法第 条规定:“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”重庆大学学报(社会科学版)年第 卷第 期 调问题。(一)个人信息的复合法益属性关于个人信息的法益属性,因对个人信息的内容范围和应用价值理解不同,学者们的观点存在诸多差异。当前学界主要有以人格权说(人格尊严与个人自由)、财产权说(经济价值与商业利益)为代表的个人法益论,以及以公共产品说(公共利益与社会秩序)为代表的超个人法益论,但都有失偏颇,未能全面阐释个人信息的法益属性。当下,网络信息技术影响和改变着社会生活,个人信息逐步成为一种重要权利,所蕴含的权益内容也日
15、益丰富,形成了包含决定权、保密权、访问权、更正权、可携权、封锁权、删除权和被遗忘权等一系列子权利的权利系统。同时,在个人信息的流动和使用过程中,初始权利主体逐渐不再拥有对个人信息的完全控制,信息权利主体也呈现多元化,从信息主体扩展至收集者、使用者及处理者。因此,个人信息权益内容呈现复合化特征,既包含个体的人格权及其衍生的财产权,又涉及公共利益、社会秩序和国家安全。人身属性、财产属性和公共属性共同构成个人信息的法律内核,这是由个人信息的不同内容及其作为特殊资源的使用价值所决定的。相应地,个人信息权利法律保护具有信息自由与信息安全的多元价值。例如,为了运用大数据联防联控新冠肺炎疫情,需要收集和使用
16、有关确诊或疑似病患者及其他相关自然人的个人信息,这一过程是对公共安全与个人自由的利益衡量,公民的个人信息权利受到一定程度的限制,不可避免地要让渡部分个人信息使用利益,承担公共卫生安全保障义务和法律责任。数字化疫情防控背景下,被授权收集和利用个人信息的部门和机构拥有信息使用权,社会公众有获悉和分享个人信息的知情权,政府机关则行使披露和发布疫情公共数据的权力。概言之,个人信息的法益属性具有复合性特征,不仅包括初始信息主体的权利自由,而且包括其他依法收集和使用个人信息的主体享有的信息权利;同时,个人信息安全也是个人信息权的重要内容,个人信息法益不仅包括公民个人信息安全,更涉及公共卫生健康安全乃至国家安全。个人信息刑法保护所追求的价值目标也有信息自由和信息安全两个方面:一是传统法益或个人法益,即公民个体的人格权和财产权,这是由个人信息来源于特定自然人所决定的;二是新型法益或超个人法益,即信息领域的国家和社会公共利益、安全或秩序,这来自个人信息广泛应用于商业经济、行政管理、教育科研等领域,为经济发展、社会治理、风险防控提供决策参考。(二)个人信息承载的使用利益识别个人信息法益识别包括两层含义:一