法治号
复旦大学法学院张忆然在《中国刑事法杂志》2023年第6期上发表题为《滥用已公开个人信息行为的刑法规制》的文章中指出:
在现行立法条文框架之下,如何在遵循刑法教义学解释方法的前提下将滥用已公开个人信息的行为纳入处罚范围以减少处罚漏洞,成为亟待解决的问题。
个人信息被公开虽然意味着信息内容丧失了要保护性,但并不意味着数据载体本身丧失了要保护性,应区分个人信息自决权、数据安全法益与数据财产权益。当前,刑法上最受关注、讨论最广泛的滥用已公开个人信息的行为主要有三类:
一是在个人信息收集、获取阶段,通过网络爬虫等技术手段批量爬取已公开的个人信息如何定性。首先,个人信息的公开性并不能完全等同于个人数据的公开性;其次,网络爬虫的侵入性特征奠定了行为不法;最后,爬取已公开信息的行为如果仍然侵害了数据的机密性,则意味着具备了非法获取计算机信息系统数据罪的结果不法。
二是在个人信息出售、提供阶段,后行为人是否应当为前行为人非法公开个人信息的行为负责。基于非法性的“无因性”,后行为人原则上不承担刑事责任;当后行为人是大型网络平台时,则可基于自愿承担了对于个人信息自决权这一脆弱法益的信义义务,或者先前的系统设置与功能设计形成了合规性风险的危险前行为而居于保证人地位,成立侵犯公民个人信息罪的不纯正不作为犯。
三是在个人信息利用阶段,末端信息使用者违背信息公开的原初目的、用途,任意使用个人信息是否具有违法性。对于背离已公开个人信息的原初目的、用途的下游滥用行为,信息主体由于受到信息公开目的、用途的欺骗,对于其原初同意产生了错误:对于基于法定事由公开的公共数据,应当允许自由流通,故目的、用途的错误不影响同意效力;对于一般的私权数据,在遵循场景一致原则的前提下符合被害人的合理期待,在此范围内的目的、用途变更亦不影响同意效力;对于人脸识别等敏感个人信息,应当严格遵循原初目的、用途予以利用,在公共场所获取的人脸识别信息只能用于维护公共安全的目的,否则同意无效。
编辑:武卓立