《民法典》区分非公开的个人信息与公开的个人信息,就在于两类个人信息的处理规则有异:对于非公开的个人信息,根据《民法典》第1035条第1款的规定,除法律、行政法规另有规定的外,处理相关信息需要征得该自然人或者其监护人同意;对于公开的个人信息,根据《民法典》第1036条第2项的规定,除自然人明确拒绝或者处理相关信息侵害其重大利益的外,合理处理相关信息不需要征得该自然人或者其监护人的同意。可见,《民法典》关于公开的个人信息的保护强度要明显弱于非公开的个人信息。《民法典》的上述规定,为刑法适用中涉公开的个人信息案件定性的若干争议问题厘清了前置法规定。
在以往的刑事司法实践中,对于公开的个人信息,由于信息已经处于公开状况,获取无须征得同意,对此应无疑义;但是,在获取相关公开信息后进而提供的行为,是否需要取得“二次授权”(即在获取相关信息后,提供相关信息需要告知同意),则存在较大争议。可以说,《民法典》为这一争议问题作了明晰,即否定“二次授权”的规则。民法典第1038条第1款规定:“信息处理者……未经自然人同意,不得向他人非法提供其个人信息……”此处的“二次授权”,明显是针对于非公开的个人信息而言。根据《民法典》第1036条第2项的规定,对公开的个人信息的合理处理可以推定自然人概括同意,即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外,不需要通知和征得该自然人或者其监护人同意。据此,在处理相关刑事案件时,对于未通知并征得自然人同意而获取、提供公开的个人信息的案件,只要行为人的获取、提供行为处于“合理”限度之内,除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益的外,应当认为相关获取、提供的行为属于合法行为,不属于“违反国家有关规定”获取、提供公民个人信息的行为,更不应当认定为构成侵犯公民个人信息罪。
值得探讨的是,对于《民法典》第1036条第2项规定的“合理处理”的认定,应当采用相对宽泛的理解。原则上,只要法律、法规没有明确禁止的处理行为,均可以认定为“合理处理”,至少不能认定为犯罪。特别是,从保护信息自由流通的角度出发,要切实防止只要获取个人信息后进行营利活动或者超越信息初始公开使用场景的,即认为超越了合理处理界限的极端认识。例如,部分工商企业信息中包含有法定代表人姓名、联系电话等内容,属于公民个人信息的范畴。相关信息可以在“国家企业信用信息公示系统”中查询,已处于合法公开的状况。从初始的公开使用场景而言,确实限于在国家企业信用信息公示系统公开,方便民众查询以确认企业信息是否真实有效。以往刑事司法实践中,一些收集工商登记信息,未经自然人同意超越初始公开场景使用的情形,被认定构成侵犯公民个人信息罪。对此,笔者曾主张:“鉴于此类案件具有相当普遍性,未来的公民个人信息保护法和相关法律法规宜对公民个人公开信息的问题作出明确规定,以便利相关案件的处理。”在《民法典》对公开的个人信息的处理规则作出明确规定的情况下,对于上述案件,如果相关信息在公开时没有明确限定公开场景(即没有明确拒绝他人收集后在其他场景下使用),则对于收集并在未通知和征得该自然人同意情况下提供相关信息的行为,宜认为仍在“合理处理”的范畴之内。
总而言之,根据《民法典》关于界分公开个人信息和非公开个人信息的相关规定,要求刑法适用中妥当处理涉公开的个人信息的案件。一般而言,由于公开个人信息的案件侦办难度相对较小且涉案信息数量、违法所得等往往巨大,司法实践易以此类案件为打击重点。可以说,《民法典》的相关规定对于扭转这一趋势奠定了基础。在中国侵犯公民个人信息违法犯罪泛滥和公民个人信息保护水平整体不高的当下,对标《民法典》的相关规定,侵犯公民个人信息罪的司法适用应当以涉非公开个人信息的案件为重点,严厉惩治非法获取、提供非公开个人信息的案件,切实强化对公民个人信息的保护。
来源:喻海松 《民法典》视域下侵犯公民个人信息罪的司法适用