一、问题的提出 随着贵阳、上海、武汉、盐城、北京等地一批数据交易平台的逐步设立,数据产品作为交易的对象,已获得广泛认可。①因此,无论是自然人还是企业等,对其价值都给予充分的重视。例如,欧盟的《通用数据保护条例》(GDPR)要求企业在数据收集前获得用户明确同意,并赋予用户删除数据的权利。中国的《个人信息保护法》也体现了对用户隐私保护的高度重视。此外,杭州互联网法院发布的数据权益司法保护案例,展示了中国在数据权益保护方面的具体实践。即便如此,一些非公开的抑或公开的个人信息数据的使用边界何在,也变得越来越模糊,久而久之,反而限制了数据的流通。因此,在现行立法背景之下,特别是在刑法介入个人信息数据的相关规定之中,首先涉及作为前置法的《个人信息保护法》与后置法的《刑法》之间的协调问题。众所周知,目前在个人信息数据保护中“知情同意”原则得到了较好的贯彻,《个人信息保护法》第13条明确规定,个人信息处理者在取得个人的同意后方可处理个人信息。但是在《刑法》之中,虽然2017年最高人民法院、最高人民检察院联合颁布施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯公民个人信息的解释》)第3条已经明确规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第253条之一规定的‘提供公民个人信息’”,该原则能否起到一定限制犯罪的作用,不无疑问。以下案例便可见一斑: 案例1:被告人成某通过某软件下载以及通过向他人购买、交换等方式非法获取公民个人信息共计近9万条(包含已经公开的个人信息近2万条),随后将其出售牟利。经法院审理后判定,成某在未取得信息主体同意的情况下处理已公开的个人信息,无论是出售已公开的还是非公开的个人信息,均被视为侵犯公民个人信息罪。② 案例2:2016年1月至2017年5月,被告人宋某某、黄某将已开好了网络店铺的公民信息(含个人身份信息、支付软件账号及账户密码和绑定的银行卡等)在要求注册人签署同意转让店铺的协议后将其收购,并出售给被告人邓某某。随后邓某某在网络上搜寻买家,出售网络店铺并牟利。法院审理后认为,被告人上述行为,即使被出卖的个人信息是注册人同意且获得对价的,仍构成侵犯公民个人信息罪。③ 案例3:自2017年5月开始,被告人肖某通过某社交软件渠道,从其他处理交通违章的中介那里获取了机动车驾驶人的姓名、身份证号码及手机号码,随后利用微信将这些信息传递给某分局的辅警仇某,由仇某将上述信息转发给辅警蔡某、范某。蔡某、范某收到信息后,在未核实驾驶人本人身份的情况下,私自登录市公安局网上服务中心为相关驾驶人非法办理实名认证。法院认为,“本案存在驾驶员为了卖分而自愿提供个人身份信息给中介办理实名认证的情况,因此,该部分不符合侵犯公民个人信息罪的构成要件和犯罪特征,应予以剔除”。④ 值得肯定的是,目前随着《个人信息保护法》等相关法律的出台,关于个人信息的范畴已达成了广泛共识,即与已识别或可识别的自然人相关的所有信息都属于个人信息的范畴。⑤根据案例1的裁判逻辑,“没有取得同意”是构成本罪的核心理由,即便对于已经公开的个人信息而言也是如此。根据案例2的裁判逻辑,“违反国家有关规定”是构成本罪的核心理由,即便对于已经取得同意的个人信息而言也是如此。根据案例3的裁判逻辑,“取得同意”是不构成本罪的核心理由,即便行为人同时违反了国家有关规定(非法代办交通违章处理)也是如此。从上述比较之中可以发现,“知情同意”是否是出罪事由,“知情同意”作为出罪事由是否具有绝对性,在关于“已公开个人信息”的场合“知情同意”能否出罪这三个问题在实践中依然存在争议。其原因则在于,“知情同意”作为阻却犯罪成立的体系地位尚处于混乱与不明之中。抛开上述案件定罪的正确与否,目前我国出台的《个人信息保护法》作为《刑法》的前置法而存在,在《刑法》罪名的认定中必然涉及与之如何衔接的问题。一方面,大数据的形成必然需要收集大量的个人信息数据,这是无法绕过的重要问题;另一方面,就目前有财产价值的数据而言,也必然是带有个人信息印记的数据。也就是说,个人信息权益本身蕴含着较大的财产价值。那么,在前置法中已经明确了“知情同意”是取得个人信息数据的正当理由的前提下,其在刑法中具有何种意义,则成为目前亟待解决的重要问题。 二、个人信息保护法中的知情同意原则 “知情同意”原则原本来源于医疗领域,也即患者在面对复杂的病症时,拥有相应的知情权,并在该知情权的基础上同意医生进行进一步治疗。此后,随着信息化时代的到来,“知情同意”原则逐渐演变成对自己信息的控制权。该理论具有两个不同的来源,“一是个人信息自决权;二是隐私自我管理理论”。⑥“这一认识的理论思路是,在一个保护公民自由的法律价值体系内,法律应当确保公民在法律范围内根据自己的价值观念和判断所行使的自主与自由权。”⑦ 在信息主体参与原则所要求的诸多权利中,知情权的重要性不言而喻,⑧然而,关于“同意”能否构成个人信息处理的正当性基础,在学界尚存争议。例如,有学者指出,个人信息处理中的“知情同意”作为一种非典型性的民事行为,是一种双方行为,而非一种单纯的“许可”或“授权”。⑨另有学者进一步认为,“知情同意”主要是为了实现个人信息不对称时,经过一方告知后,个人信息的主体知晓自己的信息处理情况,从而避免因为双方信息的不对称而导致纠纷。因此,该学者否定“知情同意”作为个人信息处理的正当性基础时,列举了以下关键的理由:其一,“同意”基础的理论根基不牢固;其二,“同意”本身缺乏必要性和真实性;其三,例外规定的大量存在削弱了同意基础的效力。⑩
