转自:北大法律信息网;源于:微信公众号:肖飒lawyer;作者:肖飒,垂直“科技+金融”的深度法律服务者,中国互联网金融协会申诉委员、中国银行法学研究会理事、中国社会科学院产业金融研究基地特约研究员、中国政法大学法律硕士学院兼职导师、金融科技与共享金融100人论坛首批成员、人民创投区块链研究院委员会特聘委员、工信部信息中心《中国区块链产业白皮书》编写委员会委员。被评为五道口金融学院未央网最佳专栏作者,互金通讯社、巴比特、财新、证券时报、新浪财经、凤凰财经专栏作家。
数据合规的关键之一便是以书面形式征得c端用户对其数据处理的同意,通常认为,充分的同意足以抵挡各类法律风险。但是,作为社会底线的刑法实务似乎不这么认为,广东省2018年生效的一则刑事判决指出:征得用户同意的数据处理行为,仍然具有构成侵犯公民个人信息罪的可能性。
为数据合规的顺利开展,飒姐团队旨在对此判决争议焦点展开讨论,以供各位读者参考。
基本案情
2016年1月至2017年5月,在征得某宝店铺所有人同意的基础上,被告人宋某、黄某将该某宝店铺(店铺中含个人身份信息、支付宝账号、支付宝账号密码和绑定的银行卡等个人信息)出售给被告人邓某牟利,被告人邓某随后在网络上搜寻买家,将某宝店铺出售牟利。2017年7月7日及同月19日,公安民警分别将被告人邓某及宋某、黄某抓获,从三人住处缴获作案用的电脑、手机一批。经检查提取,从被告人邓某电脑提取了5096组公民个人信息,从黄某的电脑提取了715组公民个人信息,从宋某的电脑提取了1312组公民个人信息,期间,被告人宋某获利约20000元,黄某获利约10000元。
案件焦点
飒姐团队认为,本案的争议焦点系定性问题,即:
在公民同意的基础上,三被告人处理其信息数据的行为是否构成侵犯公民个人信息罪?
判决结果
一审法院广东省开平市人民法院作出的(2018)粤0783刑初215号判决书载明:三被告人均构成侵犯公民个人信息罪。量刑为11个月至1年有期徒刑不等,并处罚金。
二审法院广东省江门市中级人民法院在(2018)粤07刑终267号刑事裁定书指出“原审判决认定事实清楚,定罪和适用法律正确,量刑适当,审判程序合法”,允许上诉人撤诉。
法院观点:超个人法益
本案一审法院对于争议焦点作出的解释是:“本罪名侵犯的客体不仅仅是公民个人的人身权利和民主自由权利,还包括社会管理秩序,故即使被出卖个人信息的注册人是同意的、且有获得对价,仍侵犯了本罪的客体。”
从《刑法》第二百五十三条之一侵犯公民个人信息罪的文义来看,法条以“违反国家有关规定”为前提,并无“未经公民同意”等表述,据此,法院将本罪保护的法益从个人法益扩张至社会管理秩序,即超个人法益。
历史渊源的误导
《刑法修正案(九)》(草案一次审议稿)规定侵犯公民个人信息罪的前提条件系“未经公民本人同意”,而非现在的“违反国家有关规定”。
有些法律实务工作者将这一变化理解为:即便经过公民本人同意,只要违反国家有关规定,仍然可以构成犯罪。这也是法院扩张本罪保护法益范畴的历史原因所在。
事实上,据飒姐团队判断,这一变化的目的是出罪,而非入罪,即,未经公民本人同意,只要数据处理的行为未违反国家有关规定,行为人就不构成侵犯公民个人信息罪。
飒姐团队提出这样观点的原因主要在于对本罪法益的理解,我们将在下文与各位分享。
侵犯公民个人信息罪的法益分析
如前所述,飒姐团队对法院观点持保留意见。诚然,本罪的创设确实含有公法的影子:一方面,本罪以“违反国家有关规定”为前提,而不以“侵害公民合法权益,造成损失”为前提,可见,本罪体现出的是公法法益观;另一方面,本罪“情节严重”的标准不考虑个人对其信息的控制程度,均以数量作为标准,更是印证了这一点。
但需要明确,本罪涉及的公法法益观是用于保护个人信息权的,而不是用于保护信息公共安全的某种超个人法益。
在刑法上,公共安全的解释极为有限,通常认为,“公共”系不特定人或多数人,“安全”系生命健康权与重大财产权。侵犯公民个人信息罪显然可以仅针对特定个人成立,这一客观情况与将法益理解为超个人法益的解释相矛盾。因此,将信息公共安全作为本罪的法益保护对象是缺乏依据的。飒姐团队认为,在征得公民同意的基础上,对信息的处理不应构成犯罪。
写在最后
设立《刑法》的目的除了维护社会秩序之外,还有保障个人合法权益。将一切个人权利解释进社会管理秩序的倾向,不利于个人合法权益的保障。飒姐团队衷心希望,这样的倾向在侵犯公民个人信息罪的司法实践中能够少出现一些。如充分告知与征得同意不能有效限制刑法风险,数据合规工作的困难将更上一层楼。
发表评论