作者:周光权(清华大学法学院教授)
来源:法治日报法学院(2021年9月29日第9版)
在《获取已公开个人信息并出售牟利的定罪争议》(《法治日报》2021年9月22日9版)一文中,笔者指出,对于行为人在公开的网络上(包括企业征信网、“企查查”“天眼查”等企业信息查询网站、裁判文书网站等)爬取已公开的企业登记信息,从中获取个人信息,再对这些已公开的个人信息进行有偿转让、出售的,实务中基本都按侵犯个人信息罪予以定罪处罚。但是,这一做法是值得商榷的。对此,需要关注民法典及个人信息保护法的相关规定。
民法典第一千零三十六条强调,如果行为系对已公开人的个人信息进行不合理处理的,仍然应当承担侵权责任。换言之,并不是所有对已公开人的个人信息的处理行为都合法,法律对于“不合理地处理”已公开的个人信息的行为仍然持反对态度。
对于已公开的个人信息必须合理处理的进路,在个人信息保护法中得到了坚持。该法第六条第1款规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。第十三条第6项规定,“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”的,个人信息处理者可以处理个人信息,不需要取得个人同意。本条也特别强调仅在“合理的范围内”对于个人信息的获取、提供行为,不需要取得个人同意。第十四条第2款规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。第二十七条规定,个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。
必须承认,个人公开其信息的目的以及信息的用途属于侵犯公民个人信息罪保护法益的一部分,而非法益之外的东西。虽然企业法人的信息属于企业应当对社会公众公开的登记或企业运行信息,对于其中所涉及的已公开个人信息,他人可以通过工商登记网站对此类信息进行查询,但是,个人选择在企业公开的信息中,对于自己的姓名、通讯方式等予以公开有特定目的:使自己所在的企业的设立和运行符合国家行政主管机关的要求,为企业合法获取商业利益创造机会。
因此,已公开的个人信息中,信息的内容成为刑法保护的对象,基于特定目的对信息的处分自由(对信息的最终决定权)也是法益的一部分。那么,对于处理已公开的个人信息且未偏离该信息公开的目的,没有改变其用途的行为,没有侵害法益主体的法益处分自由,对于这种尊重信息公开目的前提下的对个人信息的合理处理,民法典、网络安全法、个人信息保护法等部门法均不反对,该个人信息是权利主体自愿放弃保护的财物,且处分行为没有违背其处分财物的意思,不属于刑法所保护的行为对象。
按照民法典、个人信息保护法的相关规定,处理已公开的个人信息,仅在合理利用该信息的限度内不需要得到信息主体的同意,如果处理该信息侵害其重大利益的,就应当得到或重新取得个人的同意。“在有的情况下,自然人的个人信息虽然是自己主动公开或者是通过其他合法方式公开的,但若处理这些个人信息的行为损害该自然人重大利益的,行为人仍不能免除责任。例如,某人对外公开了自己的电话号码,但行为人却利用这些电话号码频频向某人发送垃圾短信或者拨打电话,严重滋扰了某人的生活安宁,此时,行为人仍应承担民事责任”(参见黄薇主编:《中华人民共和国民法典释义及适用指南(下册)》,中国民主法制出版社2020年版,第1551页)。
因此,处理个人信息明显违背个人公开其信息的目的,改变已公开信息的用途的,都有可能构成本罪。例如,互联网公司工作人员将其在工作中获取的个人已公开信息出售给体检机构,以便于后者拓展客源的,显然改变了个人公开其信息的目的和用途,可以构成本罪;再比如,通过公开征信系统获得他人手机号码之后对个人进行追踪定位的,使他人的生命、身体陷入危险,也违背了他人公开其信息的目的和用途,该信息仍然属于本罪对象。
考虑到信息公开目的对于定罪的实质影响,笔者认为,对于处理个人已公开的信息有以下情形的,不宜定罪:
(1)针对已公开的个人信息仅实施单纯获取或爬取、持有等行为的。由于行为人还没有将该信息予以批量出售、提供的,很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同,也无法确定信息的用途是否被改变,难以得出行为人侵害被害人法益处分自由的唯一结论。
(2)获取、提供他人已公开的个人信息的目的是帮助行为人拓展业务的情形。企业注册登记或者将其信息在征信系统中收录,其目的是为了企业自身发展。行为人处理企业公开信息中包含的个人信息,如果与该企业的经营发展目的相一致的,应当认定该处理信息行为具有合理性。
例如,某些特定行业的从业人员为扩展业务范围、推销产品、开展市场营销,大量收集或向他人购买特定行业的企业注册登记信息(包括企业法定代表人的姓名、工作单位、手机号码等),或者与他人交换上述信息的,实务上倾向于认为个人信息被侵犯。此外,实务上将为了寻找潜在客户而获取、提供公开的个人信息的行为认定为犯罪的情形为数不少。但是,在上述案件中,行为人为了企业利益获取他人信息,但已公开信息所在企业也是为了开展市场营销等经济活动而存在的,因此,行为人获取、使用个人信息的行为与信息主体的目的之间具有大致相同性,其对信息的处理相对具有合理性。因此,不宜将为了扩展业务范围、推销产品、开展市场营销寻找潜在客户而获取、提供公开的个人信息的行为认定为犯罪。
(3)获取、提供他人已公开的个人信息的目的是为企业发展提供贷款等金融支撑的情形。企业的发展需要使用支付、结算器械,向企业推销此类产品不违背企业设立的目的。
例如,对于为了推销POS机业务而接受罗某发送的邮件,其中包含公民个人征信信息共计456条的,法院认定被告人构成本罪。但是,这一定罪结论是否妥当还需要推敲。企业存在的目的是开展市场交易活动,为此,需要金融结算工具的支持。行为人获取企业登记信息然后向其推销POS机,不宜认定为违背企业公开其个人信息的经营目的,并未侵害个人的信息自主权。
归结起来讲,对于获取企业注册登记信息、征信信息等公开信息中的个人信息,然后将其提供、交换给他人的,仅将信息数量作为区分罪与非罪标准的思考方法过于简单化。获取、提供、交换、出售已公开的个人信息,明显违背信息公开目的,或者明显改变已公开个人信息的用途以及利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为的,才有可能构成侵犯公民个人信息罪。
分享到:
免责声明:本网部分文章和信息来源于国际互联网,本网转载出于传递更多信息和学习之目的。如转载稿涉及版权等问题,请立即联系网站所有人,我们会予以更改或删除相关文章,保证您的权利。