出罪|公民个人信息保护的刑法边界

2021-03-04
一、公民个人信息保护的特殊现象:刑法先行,民行滞后
侵犯公民个人信息罪,规定在我国《刑法》的第253条之一,该罪演化于2009年2月的《刑法修正案(七)》和2015年8月的《刑法修正案(九)》,最终将出售、非法提供公民个人信息罪和非法获取公民个人信息的行为整合为侵犯公民个人信息罪。本罪是电信诈骗被严厉打击后,才慢慢突显。公民个人信息,往往被作为违法犯罪的上游资源,经常被非法获取,出售和非法提供。
从刑法条文的罪状可以看出,该罪是属于典型的空白罪状立法模式。结果就是,罪状中的两个构成要件要素就严重依赖其他法律的规定,例如关于“违反国家有关规定”和“公民个人信息”的内涵的外延,就需要以前置的法律、法规和部门规章作为基础。
目前而言,本罪的重点参考依据除了《刑法》及司法解释(如:两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》法释〔2017〕10号和最高检的《检察机关办理侵犯公民个人信息案件指引》高检发侦监字〔2018〕13号),而行政法律的《网络安全法》2017年才出台,《民法典》2020年才出台。
这也看出关于公民个人信息保护的特殊现象,就是刑法先行,行政法和民法滞后。
二、刑法保护的类型化行为
本罪的核心认定要点的有两个,一个是“个人信息的范围界定”,另一个是“个人信息处理规则”,本文只讨论后者。
个人信息处理规则中被刑法评价为犯罪行为的两种类型。对于“个人信息处理规则”,“处理”的范围可以参考《民法典》第1035条第2款的规定:“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”
而《刑法》作为兜底保护的法律,目前只对其中的两类行为纳入刑事评价,将侵犯公民个人信息罪的行为类型化为”获取”和”提供”两大类行为。
第一,非法获取,根据《刑法》第253条之一第3款和《侵犯公民个人信息罪解释》第4条,非法获取包括:
1、窃取;
2、违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的
第二,非法提供,根据《刑法》第253条之一第1款、第2款和《侵犯公民个人信息罪解释》)第3条“非法提供”还包括:
1、出售,属于有偿提供,是提供的常见类型。
2、通过信息网络或者其他途径发布。
3、未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’”认定行为人涉嫌侵犯公民个人信息罪
三、反向解释厘清类型化行为的边界
第一,对于不属于公民个人信息的获取和出售行为,不应纳入刑法评价。
民法典第1036条指出,“处理个人信息,有下列情形之一的,行为人不承担民事责任:……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”
举轻以明重,上述行为不构成民事责任,则实质上对于自然人自行公开的信息则,则于获取和出售行为,更不应纳入刑法评价。
例如,有当事人将在天眼查、企查查等网站下载公开的各地企业工商登记信息梳理分类后出售获利的行为,被检察院认定不构成犯罪。(参见:《出卖公开的企业信息谋利:检察机关认定行为人不构成犯罪》,载《检察日报》2021年01月20日第01版)
第二,当事人经信息权利人同意,向其接受服务范围内必要合作第三人提供非公开信息,应当也不受刑法评价。
公民个人信息保护固然重要,但是公民个人信息在服务范围内的必要流通也非常重要,在刑法介入时,也应当参考相关国家行业标准,例如国家市场监督管理总局和国家标准化管理委员会发布的 GB/T 35273—2020《信息安全技术个人信息安全规范》。
其中就细化了,对于“公民个人信息”的共享、转让、委托处理、公开披露等行为进行细化规定,其中规定指出:
9.2 个人信息共享、转让
个人信息控制者共享、转让个人信息时,应充分重视风险。共享、转让个人信息,非因收购、兼并、重组、破产原因的,应符合以下要求:
a) 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;
b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型以及可能产生的后果,并事先征得个人信息主体的授权同意。共享、转让经去标识化处理的个人信息,且确保数据接收方无法重新识别或者关联个人信息主体的除外;
c) 共享、转让个人敏感信息前,除 b)中告知的内容外,还应向个人信息主体告知涉及的个人敏感信息类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意;
d) 通过合同等方式规定数据接收方的责任和义务;
e) 准确记录和存储个人信息的共享、转让情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;
f) 个人信息控制者发现数据接收方违反法律法规要求或双方约定处理个人信息的,应立即要求数据接收方停止相关行为,且采取或要求数据接收方采取有效补救措施(如更改口令、回收权限、断开网络连接等)控制或消除个人信息面临的安全风险;必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息;
g) 因共享、转让个人信息发生安全事件而对个人信息主体合法权益造成损害的,个人信息控制者应承担相应的责任;
h) 帮助个人信息主体了解数据接收方对个人信息的存储、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等;
i) 个人生物识别信息原则上不应共享、转让。因业务需要,确需共享、转让的,应单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。”

上述标准也可以看出,公民的个人信息也不是绝对不能对外提供和转让,提前是在必要流程情况下,符合相关规定的,也是允许对外提供和转让。
四、结语

公民个人信息的保护当然非常重要,但是在刑法保护的过程中,要注意类型化行为的边界,对于不属于公民个人信息的获取和出售行为,不应纳入刑法评价;同样,对于符合国家规定的,当事人经信息权利人同意,向其接受服务范围内必要合作第三人提供和转让非公开信息的行为,应当也不受刑法评价。


——作者简介——
郑泳彬律师,盈科广州刑事部副主任,广州律师协会职务犯罪刑事法律专业委员会委员,刑法学硕士,具有证券投资基金从业资格,人民大学律师学院第七、九期刑辩高级研修班成员。曾获2019年度盈科全国优秀刑辩律师;广州律协2019年度业务成果奖、2018年度理论成果奖、2017年度“业务成果奖”和“理论成果奖”。以严谨细致,专业实干,办理多起重大、疑难、复杂案件,取得了让当事人称赞的理想效果。





阅读59
分享