金文浩 張源

摘 要：大數(shù)據(jù)時代，避免過度犯罪化以及刑法規(guī)范的不精確性極為重要。從刑法保護角度出發(fā)對個人信息范圍進行限縮，合理劃定個人信息刑法保護的邊界；倡導(dǎo)個人信息保護與利用相結(jié)合的理念、信息主體“知情同意”理念、侵犯個人信息犯罪不起訴權(quán)適用理念。在刑事領(lǐng)域探索適用刑事被遺忘權(quán)，從案件適用類型、行使權(quán)利的方式等方面入手，在性犯罪、危害國家安全和恐怖主義等案件上限制被遺忘權(quán)的使用，建立“申請＋審查”的模式，在當(dāng)事人提出刪除的要求后，由特定的公權(quán)力機關(guān)進行審查。

關(guān)鍵詞：個人信息 刑法保護 自由意志 可識別性

中圖分類號：F126；D924.34 ?文獻標(biāo)識碼：A

文章編號：1004-4914（2023）07-039-03

隨著大數(shù)據(jù)在各個領(lǐng)域的深度使用，數(shù)據(jù)壁壘進一步被打通，個人信息濫用、誤用、泄露事件時有發(fā)生。因社會治理需求，法律從制度層面對個人信息保護予以積極回應(yīng)，擴張了個人信息的保護范圍。然而，對侵犯個人信息犯罪范圍不加以約束涉嫌違背罪刑法定原則。刑法在實現(xiàn)保護公民個人信息，懲治違法犯罪的同時，理應(yīng)對該罪的適用邊界予以明確，妥善解決個人利益與社會公共利益之間的緊張關(guān)系。

一、刑法所保護的公民個人信息范圍的限縮

《刑法修正案（九）》及《關(guān)于辦理侵犯公民個人信息刑事案件適用若干法律問題的解釋》（以下簡稱《解釋》）對我國侵犯公民個人信息犯罪進行了規(guī)定，積極對司法實踐中辦理該類案件存在的難點予以回應(yīng)，業(yè)已將公民個人信息納入刑法的保護范疇。但是，從目前《解釋》關(guān)于公民個人信息的界定看，其內(nèi)涵與外延顯然難以適應(yīng)大數(shù)據(jù)時代個人信息表現(xiàn)方式多樣性的特征，容易導(dǎo)致刑法所保護的公民個人信息過度擴張化，這與刑法謙抑原則明顯相違背。因此，在司法實踐中可通過提高入罪門檻的方式，倡導(dǎo)刑法保護理念的同時，對侵犯公民個人信息犯罪的使用范疇加以限制。

（一）信息主體的自由意志

亦即被害人的出罪同意規(guī)則。刑事法律在懲治違法犯罪的同時，亦倡導(dǎo)保障個人自由，公民個人對其信息享有“自決權(quán)”，只要不危害國家利益、公共利益及他人合法權(quán)益，即使公開的信息對公民個人的相關(guān)權(quán)利有所侵害，也是其自由意志的體現(xiàn)，在法律上應(yīng)當(dāng)予以認(rèn)可。據(jù)此，有學(xué)者主張個人信息的“選擇退出”機制，只要信息主體不反對使用個人信息，就推定其產(chǎn)生了默示許可的法律效力，對“被害人同意”的解釋亦更加寬泛。

（二）個人信息的可識別性

隨著現(xiàn)代社會生活范圍的日益擴大、生活方式逐漸多樣化的趨勢，許多與信息主體具有一定關(guān)聯(lián)程度的信息正慢慢地被不法分子加以利用，如飲食習(xí)慣、興趣愛好、出行方式等，其利用大數(shù)據(jù)技術(shù)將上述信息進行分析、結(jié)合，進而轉(zhuǎn)化為具有可識別性的身份信息，與個人信息主體之間密切相關(guān)。但并不是所有不法分子都具有對信息的控制和處理能力。同一信息，在掌握較強技術(shù)能力的行為人手中會轉(zhuǎn)化為可識別性的信息，在未掌握或技術(shù)較弱的人手中可能就只是一堆邊緣化的無用信息。因此，司法者在具體辦案中應(yīng)結(jié)合犯罪分子的具體情況判斷其行為是否構(gòu)成犯罪。

（三）個人信息犯罪構(gòu)成要件的限縮解釋

1.對“違反國家有關(guān)規(guī)定”的限縮解釋。根據(jù)《解釋》第2條的規(guī)定，《刑法》第253條中“違反國家有關(guān)規(guī)定”是指違反了法律、行政法規(guī)、部門規(guī)章。因此，有必要進一步厘清“國家有關(guān)規(guī)定”的內(nèi)涵及外延，是將其范圍僅僅限定于法律與行政法規(guī)，還是拓展延伸至部門規(guī)章與地方性法規(guī)。對此，不同的學(xué)者持不同意見，有的認(rèn)為應(yīng)當(dāng)參照最高人民法院對有關(guān)“以國務(wù)院辦公廳名義頒發(fā)的文件”的相關(guān)規(guī)定，對其范圍予以適度拓展，延伸至部門規(guī)章。亦有學(xué)者主張為了實現(xiàn)對侵犯公民個人信息犯罪的限縮，應(yīng)當(dāng)將部門規(guī)章與地方性法規(guī)排除在外，以防止適用范疇過于寬泛所導(dǎo)致的適法不明。司法實踐中多采取后一種方式，將“國家有關(guān)規(guī)定”限制在法律與行政法規(guī)的范疇之內(nèi)。

2.對“特殊公民個人信息”的限縮解釋。首先，刑法的謙抑性要求其在介入社會管理時需保持理智與克讓，過度適用擴張解釋會在一定程度上抑制社會活力。公民個人信息集隱私、經(jīng)濟、文化資源于一體，對于社會發(fā)展具有重要的積極意義，倘使不對其財產(chǎn)信息加以限制，則難免會造成個人信息保護與信息自由流通之間的失衡。其次，根據(jù)《解釋》對個人信息保護設(shè)置的類型化梯度保護模式，不同類別、危害程度不同的信息在構(gòu)罪標(biāo)準(zhǔn)上存在差異。因此，司法實踐中理應(yīng)有效區(qū)分普通信息與涉及公民人身等極為隱秘信息之間的差別，只有當(dāng)通過公民個人信息能夠推斷出其基本信息及財產(chǎn)狀況時，才能將其納入財產(chǎn)信息的范疇。

二、個人信息保護的刑法理念

（一）個人信息保護與利用相結(jié)合的理念

如何妥善處理好個人信息保護與信息自由流通是立法及司法實踐中面臨的最大難題。一方面，在保障信息主體自由意志的同時，最大化實現(xiàn)個人信息的保護，合理把控、掌握好這兩者之間的限度。另一方面，在適用知情同意原則的同時，應(yīng)當(dāng)保障數(shù)據(jù)經(jīng)濟的穩(wěn)定向好發(fā)展。據(jù)此，應(yīng)當(dāng)從法律層面為個人信息數(shù)據(jù)的利用構(gòu)建相應(yīng)的豁免空間?！毒W(wǎng)絡(luò)信息安全法》對上述問題進行了一定程度的回應(yīng)，對司法實踐中適用知情同意規(guī)則進行了一定的區(qū)分，集中體現(xiàn)在第41條與第22條的規(guī)定中。收集個人信息的主體涉及方方面面，既可以是個人信息使用者、亦可以是網(wǎng)絡(luò)平臺及網(wǎng)絡(luò)服務(wù)的提供者等，個人信息所具有的公共屬性決定了其具有一定的流通性，在這一過程中，信息權(quán)利主體對個人信息的控制力逐步減弱，而收集使用者的影響力則日趨強化。質(zhì)言之，個人信息保護與有效利用之間存在著零和博弈。刑法在實現(xiàn)保護公民個人信息的同時，理應(yīng)從不同層面對不同信息主體的權(quán)利義務(wù)有所回應(yīng)，以實現(xiàn)個人信息的有效利用。

（二）信息主體“知情同意”理念

根據(jù)《個人信息保護法》第14條之規(guī)定，同意行為的作出應(yīng)當(dāng)在充分知情的前提下。倘使個人自愿、明確同意，則可以據(jù)此推定信息處理活動的合法性，反之則涉嫌違法。一方面，個人信息的知情同意應(yīng)當(dāng)以明示方式作出，只有在法律明確規(guī)定的極少數(shù)特定場景下，才允許信息主體的默示同意。《個人信息保護法》所規(guī)定的“明確同意”，究其實質(zhì)并不是一種同意的類型，而是對同意行為的規(guī)范性限制。“明確”要求信息主體的意思表示必須明白無誤、清晰明了，顯然默示方式的同意并不符合該要義。但是在特殊場域，默示方式的同意也許更加契合日常生活習(xí)慣。然而，默示同意在解釋路徑上不符合“明確性”的要求，存在一定的瑕疵，所以對于個人信息保護，一般不允許默示同意的適用。尤其是在大數(shù)據(jù)、網(wǎng)絡(luò)等領(lǐng)域，默示同意往往容易產(chǎn)生歧義，且難以明確界定其含義。譬如：倘使某一網(wǎng)站設(shè)置了隱私條款，用戶的接續(xù)訪問行為是否意味者其“明確同意”？一般情況下，網(wǎng)絡(luò)用戶不會詳細閱讀該隱私條款，或者即使看到也不置可否，甚至在絕大多數(shù)情形下其并不知曉個人信息已經(jīng)被收集。據(jù)此，基本可以肯定的是默示同意在網(wǎng)絡(luò)領(lǐng)域很難找到統(tǒng)一的判斷基準(zhǔn)。相較而言，通過選項勾選等方式明示同意更加明晰、無歧義。有學(xué)者指出，擬制同意可以化解知情同意規(guī)則因僵化、苛刻而造成的弊端。擬制同意作為一種立法技術(shù)手段，是在特定情形下將沉默視為同意，雖然其法律效果與明示同意并無差異，但是從意思表示的自由程度而言，卻以法律的強制性規(guī)定代替了當(dāng)事人的意思表達，顯然與知情同意的自愿性、明確性要求相悖。

雖然關(guān)于被害人同意（承諾）的出罪功能在學(xué)界尚存在一定爭議，但認(rèn)同者居于多數(shù)。在大數(shù)據(jù)時代，不同的經(jīng)營者利用個人信息進行經(jīng)營活動比比皆是，如果不從法律上確定其權(quán)利義務(wù)，則難以實現(xiàn)對不同需求的最大化保護。在公民個人信息保護領(lǐng)域肯定“被害人同意”出罪事由的基礎(chǔ)上，還應(yīng)當(dāng)進一步厘清其能夠產(chǎn)生的法律效果。在收集、獲取與公民個人身份及財產(chǎn)全貌有關(guān)的敏感信息時，應(yīng)當(dāng)取得信息主體的明示同意，這已經(jīng)在法律上予以明確，但是對于一般信息的授權(quán)方式卻并未予明確，但從個人信息的使用特征及利用效率來看，默示同意更加契合一般個人信息“利用+共享”的實踐需求。

（三）侵犯個人信息犯罪不起訴權(quán)適用理念

實踐中，司法機關(guān)應(yīng)當(dāng)將辦案重點聚焦于利用個人信息實施違法活動及倒賣牟利的情形，以合理把控個人信息保護的刑法邊界。對于利用個人信息進行合法經(jīng)營且未對公民個人造成實質(zhì)損害的，應(yīng)當(dāng)依法正確行使不起訴權(quán)，在依法懲治犯罪的同時，最大化引導(dǎo)實現(xiàn)個人信息的有序流通。首先，我國關(guān)于公民個人信息保護的法律法規(guī)尚有待完善，如果過于強調(diào)刑法的懲治作用，則不可避免出現(xiàn)社會治理過度刑法化的問題。其次，從個人信息犯罪所保護法益來看，不起訴權(quán)的合理適用可以合理把控刑法的適用邊界，在個人信息保護與利用之間尋求最大“公約數(shù)”。從司法辦案情況來看，一些中小企業(yè)收集、購買個人信息并非是為了違法犯罪或者倒賣牟利，而是通過大數(shù)據(jù)分析客戶的需求，從而提供更加精準(zhǔn)的服務(wù)。上述行為雖然在犯罪構(gòu)成要件上達到了構(gòu)罪的標(biāo)準(zhǔn)，但其并未對公民合法權(quán)益產(chǎn)生實質(zhì)性損害，在主觀惡性及社會危害性上遠小于倒賣牟利等違法行為，如果機械司法以購買個人信息數(shù)量達標(biāo)就簡單予以定罪，其社會效果及法律效果并不佳。此時，檢察機關(guān)可以探索穩(wěn)妥適用不起訴權(quán)，并及時向公安機關(guān)制發(fā)檢察建議，能通過行政處罰解決的盡量不進入訴訟程序，實現(xiàn)刑事處罰與刑事犯罪的有效銜接。

三、個人信息保護視角下的刑事被遺忘權(quán)

（一）被遺忘權(quán)概述及運用現(xiàn)狀

信息時代如何為個人信息保護“上鎖”，成為日前立法機關(guān)研究的焦點。在此，被遺忘權(quán)作為一項新興權(quán)利應(yīng)運而生，在許多國家和地區(qū)早已被接受，出現(xiàn)在各國法律中。被遺忘權(quán)最初出現(xiàn)于1995年《歐洲數(shù)據(jù)保護指令》，是指公民個人對自己的信息可以請求刪除。將其運用于司法領(lǐng)域是在“岡薩雷斯訴谷歌”一案中，對被遺忘權(quán)的概念進行了界定。美國加州也于2013年頒布“橡皮”法律，要求互聯(lián)網(wǎng)企業(yè)公司刪除涉及個人隱私的數(shù)據(jù)。盡管我國法律并未正式提出被遺忘權(quán)，但2015年百度公司名譽權(quán)糾紛案被視為我國首例“被遺忘權(quán)”案，審理法院首次將被遺忘權(quán)視為人格利益。

被遺忘權(quán)最主要的一個特點是當(dāng)事人要求被遺忘的對象是已經(jīng)公開的個人信息，權(quán)利行使目的是保護網(wǎng)絡(luò)時代背景下的人格利益，是個人信息權(quán)的一種重要表現(xiàn)形式，即要求刪除或者屏蔽網(wǎng)頁、自媒體等信息傳播源頭上與權(quán)利人個人信息相關(guān)的信息，從而阻止個人信息在網(wǎng)絡(luò)上進一步擴散而被大眾所知。由于法人與非法人組織并非享有完全的人格權(quán)，因此，被遺忘權(quán)的主體僅為自然人。

（二）被遺忘權(quán)在刑事司法領(lǐng)域的探索適用

信息社會催生出被遺忘權(quán)，在刑事司法領(lǐng)域即可被運用，即“刑事被遺忘權(quán)”。任何人的個人信息都應(yīng)當(dāng)被重視，不論是普通的社會公眾還是罪犯，都是享有信息保護的主體，均可主張被遺忘權(quán)。追根溯源，刑事被遺忘權(quán)在我國法律中也有體現(xiàn)：如我國《刑事訴訟法》中關(guān)于未成年人犯罪記錄封存的規(guī)定就為在刑事司法領(lǐng)域中確立被遺忘權(quán)打下了制度基礎(chǔ)。

合理運用刑事被遺忘權(quán)，從實體和程序兩個視角研究，平衡各項法律價值，是在刑事司法領(lǐng)域中確立被遺忘權(quán)制度的前提條件。互聯(lián)網(wǎng)、區(qū)塊鏈技術(shù)的發(fā)展，使得以大數(shù)據(jù)為核心的個人信息保護遭受了前所未有的沖擊。作為部門法的刑法，該如何在著眼于整個法律體系的同時，通過內(nèi)部調(diào)適對個人信息實現(xiàn)全面保護便顯得尤為重要。筆者建議刑事被遺忘權(quán)可從案件適用的類型、行使權(quán)利的方式等方面入手：一方面在案件適用類型上，針對一些特殊案件，如性犯罪、危害國家安全和恐怖主義等案件上限制被遺忘權(quán)的使用；另一方面在權(quán)利的行使上建立“申請＋審查”的模式，在當(dāng)事人提出刪除的要求后，由特定的公權(quán)力機關(guān)進行審查。

（三）被遺忘權(quán)在我國司法領(lǐng)域的展開

《個人信息保護法》第47條確定了我國個人信息刪除制度。從立法之初，刪除權(quán)與被遺忘權(quán)就在學(xué)者之間爭論較大。主要存在相同說、相異說與包含說三種觀點。相同說主張刪除權(quán)與被遺忘權(quán)兩者并無差異，在內(nèi)涵與外延上幾乎重疊。具體而言，個人信息遺忘權(quán)所產(chǎn)生之法律后果就是將個人信息在相關(guān)環(huán)境及平臺上被人們遺忘，與行使刪除權(quán)所產(chǎn)生的法律后果幾乎一致。相異說主張遺忘權(quán)與刪除權(quán)之間存在本質(zhì)差異，不應(yīng)簡單等同視之。在權(quán)利行使主體上，被遺忘權(quán)的權(quán)利主體較為特定，而刪除權(quán)的權(quán)利行使主體為一般主體；在權(quán)利行使對象上，被遺忘權(quán)所針對的是合法收集、適用的個人信息，只是由于信息不準(zhǔn)確或者過時而需要在檢索時進行限制。刪除權(quán)的對象則較為寬泛，既包括合法信息，亦包括違法信息；就適用條件而言，被遺忘權(quán)的行使條件則更為復(fù)雜，需要個人信息具有身份上的可識別性，存在的時間較長，且在當(dāng)下失去了其語境含義；并對個人產(chǎn)生了負面影響。刪除權(quán)則只需出現(xiàn)違法事項或者雙方約定的情形即可。包含說認(rèn)為被遺忘權(quán)與刪除權(quán)之間是從屬關(guān)系或被遺忘權(quán)是對刪除權(quán)的擴張。

被遺忘權(quán)制度背后所暗含的多重價值，需在立法及司法過程中合理進行價值平衡。如何妥善解決被遺忘權(quán)與言論自由、經(jīng)濟社會發(fā)展需求之間的矛盾是重中之重。我國應(yīng)當(dāng)通過頂層設(shè)計的方式協(xié)調(diào)這些價值沖突，特殊情況下亦可在司法實踐中采取個案協(xié)調(diào)的方式，科學(xué)設(shè)定被遺忘權(quán)行使的條件及范圍。雖然《個人信息保護法》對刪除權(quán)進行了明確規(guī)定，但其依然為被遺忘權(quán)預(yù)留了一定的制度空間。我國可在刪除權(quán)的基礎(chǔ)上，引入有限的被遺忘權(quán)規(guī)則。

參考文獻：

[1] 張勇.APP個人信息的刑法保護：以知情同意為視角[J].法學(xué)，2020（08）：113-126.

[2] 冀洋.法益自決權(quán)與侵犯公民個人信息罪的司法邊界[J].中國法學(xué)，2019（04）：66-83.

[3] 蔡星月.數(shù)據(jù)主體的“弱同意”及其規(guī)范結(jié)構(gòu)[J].比較法研究，2019（04）：71-86.

（作者單位：蘭州大學(xué)，蘭州鐵路檢察院，甘肅政法大學(xué) 甘肅蘭州 730000）

[作者簡介：金文浩，蘭州大學(xué)哲學(xué)社會學(xué)院，甘肅政法大學(xué)甘肅省依法推進社會治理研究中心助理研究員；張源，甘肅省人民檢察院蘭州鐵路運輸分院法律政策研究室檢察官，甘肅政法大學(xué)甘肅省依法推進社會治理研究中心研究員。]

（責(zé)編：若佳）