2022-08-17

郭耀天:立足目的价值确定网络服务提供者刑责

个人信息保护法规定了个人信息的定义、分类等框架性内容,与此同时,民法典、刑法等增加了关于个人信息保护的规定,数据安全法等关于新兴权利保护的法律也相继出台。笔者认为,在此形势下,司法实践中关于非法获取公民个人信息等不法行为认定方式已不能满足新情况新要求,只有立足于个人信息保护的规范目的价值判断与体系性认定,才能正确认定个人信息保护中网络服务提供者的刑事责任。

根据“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)规定,网络服务提供者的可罚性前提包括:第一,作为直接实行行为人,实施非法出售、提供公民个人信息等行为;第二,作为间接实行行为人,非法出售、提供公民个人信息用于他人实施犯罪;第三,作为间接实行行为人,实施建立侵犯个人信息犯罪用的通讯群组、网站等非法利用信息网络的行为或拒不履行网络安全管理义务。由此可见,网络服务提供者构成侵犯公民个人信息罪和拒不履行网络安全管理义务罪的正犯时,既可以实施直接正犯之行为,又可以实施帮助行为或其他非正犯的促进行为。因而,网络服务提供者在侵犯公民个人信息罪中的可罚性基础相较于传统犯罪者来说存在较大变化,不再要求物理上或者因果链条上网络服务提供者和犯罪行为之间的直接性、必要性,而仅仅要求关联性、促进性。在一定程度上,该变化符合网络空间内发生的犯罪对传统犯罪样态的冲击,体现了网络犯罪的独特性。

此外,就个人信息作为刑法之保护法益应采取何种标准的问题,直接影响网络服务提供者刑事责任的边界。目前刑事司法实践中,对侵犯公民个人信息罪的认定难以归入统一的个人信息法益概念之下,这就造成了当前的主流观点即“场景说”的出现。“场景说”认为,刑法是否处罚特定样态的处理公民个人信息之行为,需要依据该个人信息在特定场景下的功能、目的、作用等进行实质认定。司法实践中,对特定场景的公民个人信息是否应当受到刑法保护存在不同看法。首先,从我国司法机关公布的有关侵犯公民个人信息犯罪案例来看,场景的作用并不大,法律、司法解释规定的手段及情节才是定罪的主要依据。其次,场景应用的思路沿用于数据法的相关研究,数据和个人信息尽管存在包含关系,但前者的使用场景对于其类型化而言相当重要,后者的使用场景并无本质上的重要意义。再次,场景应用简单化处理了利益衡量在个人信息保护中的作用,场景差异背后的实质是个人信息在多个数据或其他法益复合中的位阶不同。但是,一方面,同一场景下,个人信息是否受到保护并不完全取决于该情境,知情同意、隐私权范围等仍然发挥着较为主导的作用;另一方面,偏置场景的司法认定模式不仅取消了利益衡量方法在司法实践中的重要作用,还替代了个人信息权利边界的类型固定作用。最后,场景应用难以与司法解释有效对接。有学者在说明《解释》时提供的公民个人信息定义依据主要是网络安全法,但并不囿于其形式规定,而是认为行踪轨迹信息明显难以纳入狭义的“身份识别信息”的范畴。如果认为网络安全法将此类信息排除在“个人信息”的范围外,恐难以为一般人所认同,也不符合保护公民个人信息的立法精神。合理的解释应当是,网络安全法是广义上使用“身份识别信息”这一概念,亦即也包括个人活动情况信息在内。

可见,基于我国刑事司法实践,对侵犯公民个人信息罪的理解应当寻求场景之外的根据,这应当从网络服务提供者刑事责任的构成要件样态变化入手,而不是从保护法益开始探讨。

首先,个人信息保护法及《解释》等规范性文件表明,我国对于公民信息的法律保护持整体性的态度。自网络安全法为个人信息设定“可识别性”的标准以来,我国的相关法律是以公民个人信息保护作为独立领域为倾向的,这不仅直接否定了场景化的做法,还强调围绕公民个人信息的法律标准、手段均具有独立性。例如,公民个人信息的定义中应当同时包括个人可支配性、可识别性、非匿名性等特征,可支配性对应公民个人信息处理的知情同意原则、非公益本质等,可识别性对应公民个人信息处理中的一般形式化标准,非匿名性对应公民个人信息处理的豁免规则等。网络服务提供者承担刑事责任的判断,并非逆向地先考察是否实施了针对数据的不当处理行为,再分析该数据在特定场景下是否应当纳入受保护的公民个人信息范畴;而是正向判断,即首先认定网络服务提供者获取、收集、存储、出售或提供的是受到保护的公民个人信息,然后判断其行为是否为刑法所禁止的犯罪行为。公民个人信息的判断,是法律体系中的独立部分,应当根据我国法律规定,同时考察公民信息的可支配性、可识别性、非匿名性等核心特征。

其次,网络服务提供者不同类型行为的同质性。可罚性根据的核心在于,不同样态的构成要件行为在同一罪名和法定刑之下,本质上具有刑法评价的一致性。但是,《解释》将直接实行行为和间接实行行为均作为网络服务提供者承担刑事责任的前提,与传统的自然犯存在极大差异。因为,网络服务提供者的身份相较于自然犯中的个人而言,拥有更大的能力收集、存储、获得并处理公民个人信息,这一客观状况打破了原本行为与结果之间的因果直接性壁垒,提升了整个构成要件对公民个人信息的风险程度。一方面,网络服务提供者自身保有海量的公民个人信息并可以绝对支配性地处理;另一方面,网络服务提供者相较于个人而言,可以使用具备更大算力、更强算法的工具采取交叉识别、撞库等方式非法采集、还原个人数据。此外,网络服务提供者的其他看似中立的技术应用行为侵害公民个人信息的风险系数也较高,例如社区服务搭建了个人信息买卖的便利、网盘存储成为个人信息交易的有效手段之一等,甚至未尽到安全管理义务,网络服务提供者在收集个人信息的网站中留有安全漏洞、后门等也能造成他人非法爬虫获得数据之便利。可见,网络服务提供者的身份、能力等客观情况,共同造就了构成要件要素的壁垒打破和关系重塑,推动着构成要件整体可罚性判断方式在我国刑事司法实践中的应用。

再次,实质认定和价值判断并重。一是可罚性要件的识别。只有具备了一定的可罚性要件,网络服务提供者的刑事责任才有论证的空间。目前《解释》中确定的可罚性要件有营利目的、非法处理个人信息的直接行为、非法处理个人信息的促进行为、网络安全管理义务的履行行为、个人信息的核心程度、个人信息的处理数量、个人信息处理的后果等,根据司法实践中的通常做法,尚未被明确规定为可罚性要件的,很难被纳入刑事责任边界之内。二是可罚性要件的位阶和补足。由于因果关系的直接性标准被扩张为关联性标准,网络服务提供者的可罚性要件类型变多,但同质性判断要求在位阶存在差异时应当补足,如《解释》第5条提供了按照个人信息的核心程度由主到次排列之后,需要个人信息的数量由少到多的补充。三是可罚性要件的排除。需要注意的是,可罚性代表着实质认定和价值判断,结合公民个人信息面临的风险或者受到的损害是否升高或增加,应当排除外观上看似为可罚性要件,实际上并未有任何风险升高的行为,例如《解释》第11条规定的重复或不真实个人信息,应当予以排除。

综上,个人信息保护中网络服务提供者刑事责任的基础,不应当是针对场景的灵活性判断,而是虽然有所扩张,但仍然聚焦于个人信息的整体性判断,同时刑事可罚性的同质要求限缩了网络服务提供行为的入罪范围。