侵犯公民个人信息罪作为目前有且仅有的针对个人信息法益予以直接保护的罪名规范条目,其意义与价值重大,两高也发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)以指导司法裁判。数字经济背景下,司法裁判该如何发挥司法能动性,加强个人信息的保护与利用,值得我们深入思考。
笔者在中国裁判文书网,对近年来侵犯公民个人信息罪相关案件进行检索,发现多数案件在裁判说理部分对“违反国家有关规定”“情节严重”“同意”等条款的论述较少。笔者认为,上述问题产生的共性原因在于,司法实践在侵害公民个人信息罪的构成要件、民刑责任边界、“同意”标准认定等方面尚有分歧。
一、理念证成:知情同意原则之适用价值
《解释》中的转致性条款表明刑法应在个人信息保护领域加强与其他规范体系的链接。笔者以为,知情同意原则应是当下能够有效衔接立法与司法、刑法与其他部门法的有力桥梁。
(一)宏观:满足法秩序统一性之要求
纵观我国个人信息保护的立法进程,知情同意原则已成为其建构核心。知情同意原则是基于行为模式本身的合法性判断,《解释》第三条第二款规定的“同意”要素就是知情同意原则在刑事规范体系中的具体体现。因此,适用知情同意原则以校准侵犯公民个人信息罪的司法裁判是对法秩序统一性要求的满足,不仅符合立法机关的本意,具有正当性与合理性,还能避免过度犯罪化问题的产生,使民法上有效的法律行为不具有刑事违法性,避免以所谓的“实质违法性分析”绕开“违反国家有关规定”“情节严重”等要素的构成要件功能进而入罪。
(二)中观:契合侵犯公民个人信息罪法益保护之需要
侵犯公民个人信息罪作为我国个人信息保护法律制度在刑法上的重要抓手,根本上是为了服务于个人信息法律保护这个大前提而存在的,而这个大前提的核心要义即在于保护公民个人信息权益与社会公共利益间的平衡。因此,笔者以为,包括《个人信息保护法》在内的法律法规作为前置法所产生的不同的合法性基础将使得侵犯公民个人信息罪发挥综合性的法益保护功能。
而适用知情同意原则恰能契合侵犯公民个人信息罪法益保护之需要,实现对公民个人权益与社会公共利益等多方权益的综合性平衡保护。知情同意原则脱胎于“信息自决权”这一理念,其自始就不是一项绝对控制权,而是要因公共利益等原因而被限缩的权利,是被保护免受个人数据被无限处理的权利,我国《个人信息保护法》第13条也规定了包括同意在内的七大合法性事由,这种兼具“同意”与其他合法性事由的立法架构充分体现了立法者对多方利益的综合考量。同时,这种基于个人信息的敏感与重要程度不同而产生的差异化保护标准也能有效矫正目前侵犯公民个人信息罪司法裁判中出现的犯罪化不足问题。
(三)微观:实现类案裁判标准之统一
目前司法裁判中最为突出的问题即是裁判标准不统一,笔者认为,对有效同意的判定应聚焦于三大要素,即知情、自愿、明确。
1.要素一:知情
在获取同意之前应当告知信息主体对其做出选择至关重要的信息,如处理者身份、处理目的、可能风险等,且同意请求应以可清楚区别于其他事项的清晰易懂的形式和语言表达,避免信息主体耗费大量时间在纷繁复杂的条款中寻觅。
2.要素二:自愿
“自愿”同意意味着信息主体应能在不受损害地拒绝作出同意的前提下,真正遵从内心意愿、自由地作出同意,对这一要素的判定则主要与权力关系是否失衡以及是否要求信息主体同意处理与合同履行所不必要的信息有关。
3.要素三:明确
所谓“明确”同意,指个人应清晰地表示同意。在具体方式上,同意一般分为明示和默示两种情况,特殊情境下也可以是沉默。
知情同意原则的核心三要素——知情、自愿、明确,宛如繁茂大树的三部分——树根、树干、树枝,唯有三要素齐备,才可让知情同意原则释放出源源不断的生命活力:
“知情”如树根,是知情同意原则的基础。“知情”是“自愿”的必要不充分条件,无“知情”必无“自愿”,但“自愿”包括但不限于“知情”。
“自愿”如树干,是知情同意原则的核心。“知情”和“明确”根本上都是为保障公民能够“自愿”作出是否处理其个人信息的决定。
“明确”如树枝,是知情同意原则的延伸。“明确”可反佐“自愿”,对两者关系的理解可以民法上的“意思表示”作为其理论骨架,即信息主体作出的同意越“明确”,也就意味着“同意”的意思表示越真实,“自愿”程度越高。
二、路径实践:同意“四步法”校准侵犯公民个人信息罪司法裁判
笔者认为,同意“四步法”可作为实践指引,为侵犯公民个人信息罪的司法裁判提供具有现实意义的方法论。
(一)前提判定:同意是处理个人信息的合法性基础
为保证方法论的周延性和司法裁判的审慎性,应首先认定处理涉案信息的合法性基础是“取得个人的同意”还是其余六项法定事由。在此前提判定中,可首先考量同意中的的“自愿”要素,因为对这一要素的判定往往可以较低成本分辨出处理信息的合法性基础为何。唯有在合法性基础是同意的前提下,才涉及到后续判定环节。此外,若非出于公共利益等法定事由,则同意也具有重要的罪名定位功能。
(二)出罪判定:有效同意阻却构成要件符合性
“违反国家有关规定”作为构成要件之一,“同意”可指导出罪判断。信息主体的有效同意等同于被害人承诺,从而会导致刑法保护的法益阙如,阻却侵犯公民个人信息罪的构成要件符合性,同意因而具有排除刑罚干涉的机能。故当被告人声称以取得信息主体的同意为由处理其个人信息时,法官应对同意的有效性进行判断。
对有效性与否的判定应综合考量三要素,但在出罪判定阶段,笔者认为更应重点关注“知情”与“自愿”要素。根据我国的立法与司法裁判现状,此二者相较于“明确”要素而言,属于效力性判定要素,将直接影响定罪。换言之,如被告人符合知情同意原则中的“知情”与“自愿”要求,就不会构成侵犯公民个人信息罪。
(三)入罪判定:同意使“情节严重”认定清晰化
“情节严重”作为构成要件之二,“同意”可指导入罪理由清晰化。当同意是被告人处理公民个人信息的合法性基础且未取得信息主体的有效同意时,该行为并不当然构成侵犯公民个人信息罪,需保持刑法的谦抑性,以是否符合“情节严重”作为构成要件的要求进行入罪判断。而通过对不同信息类型的差异化同意要求的明确,可以有效地指导入罪理由的清晰化。
需要注意的是,对敏感个人信息的入罪判定应重点关注“明确”要素。法官除了需要对清晰的“单独”或“书面”同意标准加以判定外,还应考量被告人对其处理行为的明确程度。
(四)量刑判定:同意质量影响具体量刑
在满足入罪标准后,应进一步考量未达到“有效”标准的瑕疵同意对量刑会产生的影响。虽然“情节严重”是构成要件,但客观上同意质量一定会影响法官量刑时的自由心证,因此,对同意质量的认定极为重要。
具体而言,应综合考量三要素的重要性程度及其瑕疵程度以确定同意质量。由于“自愿”是作为知情同意原则理论基础的信息自决权的核心,而“知情”又是“自愿”的前提且其可量化性程度较高,故笔者认为,应按照“知情—自愿—明确”的逻辑顺序综合考虑各因素对量刑产生的具体影响。而三要素累积产生的瑕疵程度应与被告人量刑轻重呈正相关。
(五)小结
图1 同意“四步法”步骤流程图
结 语
以知情同意原则校准侵犯公民个人信息罪的司法裁判思路,能够满足法秩序统一性之要求,契合侵犯公民个人信息罪法益保护之需要。在具体方法上,以 “前提—出罪—入罪—量刑”进行递进式判定:当且仅当同意是个人信息处理的合法性基础(第一步)、未取得有效同意(第二步)、构成“情节严重”(第三步)时,才能适用本方法论并得出被告人构成侵犯公民个人信息罪的结论,且在此基础上考量同意质量对量刑的影响(第四步)。
(本文由原作者根据在全国法院第三十四届学术讨论会上荣获优秀奖的《知情同意原则对侵犯公民个人信息罪司法裁判的校准》改写)