張勇丨APP個人信息的刑法保護:以知情同意為視角

張勇 華東政法大學。

內容摘要

我國APP經營者違法違規收集、使用公民個人信息問題突出，APP用戶個人信息權益的法律保障不足，依賴個人信息安全和APP行業標準作為認定犯罪的前置性規範。個人信息蘊含著公民個體的具體人格權，同時具有社會公共法益屬性，個人信息自決權是公民個人信息的基礎權利，知情同意則是個人信息自決權的核心。刑法應處理好個人權利自由保護與價值利用的關係，在信息自由與信息安全之間予以利益平衡。基於個人信息知情同意保護原則，刑法應當參照《網絡安全法》及有關收集使用個人信息的行業規範，明確APP運營者對用戶知情同意保護義務，通過對侵犯公民個人信息罪中「違反國家有關規定」構成要件進行限制解釋，認定APP運營者非法獲取、使用用戶個人信息或提供給他人的刑事責任；同時，將APP用戶知情同意看作刑法上被害人同意的出罪事由，但其出罪功能應受到適度限制。

關鍵詞：個人信息 APP運營者 知情同意 違反國家有關規定 被害人同意

一、問題的提出

我國網民數量規模巨大，智慧型手機和APP（Application的簡稱，即移動智能終端應用軟體）已成為公眾日常生活必備，在帶來便利快捷的同時，也改變著社會行為規範和法律規則。隨之而來的是，一些網絡平臺經營者利用APP的虛擬性、間接性和隱蔽性的特點，採取強制授權、超限索權、過度使用等違法違規方式收集、使用APP用戶個人信息，導致用戶個人信息處於「裸奔」狀態，隱私權、名譽權等人格權益受到嚴重侵犯；這些被洩露和濫用的APP用戶個人信息往往被用於實施網絡詐騙等其他違法犯罪活動，從而產生更為嚴重的社會危害，呈現聚合放大的負面效應。

從2019年初開始，國家網際網路信息辦公室等部門聯合開展行動，對「超範圍收集與業務功能無關信息」「強制或頻繁索要與業務功能無關權限」「不合理要求或不合理免責條款」等違法違規收集、使用APP個人信息行為進行專項治理。2020年1月，中國信息通信研究院等機構發布的《移動網際網路應用個人信息安全報告》統計顯示，強制性、高頻次、過度性收集使用APP用戶個人信息成為「業界常態」，用戶向12321網絡不良與垃圾信息舉報受理中心投訴的問題主要包括：APP用戶信息的收集使用規則不透明、隱私政策條款不合理、無個性化服務選項、帳號難註銷、障礙設置多、數據共享不規範等諸多方面；在司法領域，近年來諸如瑞智華勝、螞蟻金服、「獵頭搜」「今日頭條」、魔蠍科技、新顏科技、公信寶、天翼徵信等企業機構因違法違規收集、使用個人信息而引發的不正當競爭、隱私權、名譽權等民事糾紛案件屢屢發生。另外，北大法寶司法案例編輯組的數據分析顯示，個人信息洩露和濫用成為詐騙、敲詐勒索等違法犯罪的重要源頭。據媒體報導，2019年11月，天津市公安機關破獲全國首例利用APP騙取公民個人信息的團夥犯罪案件。該團夥從2019年4月開始從事手機貸款APP業務經營活動，未經註冊用戶同意，非法採集用戶通訊錄、通話記錄和簡訊息等隱私信息近240餘萬條；據公安調查發現，負責運營該手機APP的網站備案公司、軟體著作公司、伺服器租賃公司均系該團夥所為，且分工明確，也很容易衍生「套路貸」等其他惡性犯罪。在網際網路背景下，個人信息不法交易逐漸發展成為「產業鏈條一條龍」態勢，上遊環節負責「源頭供貨」，非法獲取或向他人提供個人信息；中遊環節則對非法收集的信息進行處理和加工，用以出售或交換；下遊環節則將個人信息用於電信詐騙等二次違法犯罪，其負面效應成倍擴大。鑑於以上APP被洩露、濫用的現狀問題，運用刑事手段懲治和預防顯得十分必要。

從相關法律規定來看，從2012年開始，我國先後制定發布了《關於加強網絡信息保護的決定》《消費者權益保護法》《網絡安全法》《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息刑案解釋》）等法律、法規和司法解釋，逐步確立了公民個人信息保護的基本原則。新頒布的《民法典》人格權編第1035條也做出更具體的規定：處理個人信息應當遵循合法、正當、必要的原則，不得過度處理，應徵得該自然人或者監護人同意。另外，全國人大將《個人信息保護法》和《數據安全法》列入2020年立法規劃，體現出我國立法對個人信息法律保護的重視。此外，國家網際網路信息辦公室、全國信息安全標準化技術委員會等部門和機構也先後發布了《信息安全技術個人信息安全規範》（以下簡稱《安全規範》）及其修訂草案、《APP違法違規收集使用個人信息行為認定方法》（以下簡稱《APP認定辦法》）等國家行業標準，對於收集、使用APP個人信息規定了詳細的合規標準。2020年初以來，國家質量監督檢疫檢驗總局、全國信息安全標準化技術委員會、中央人民銀行等部門機構發布《信息安全技術個人信息告知同意指南（徵求意見稿）》（以下簡稱《告知同意指南》）、《信息安全技術移動網際網路應用（APP）收集個人信息基本規範（徵求意見稿）》（以下簡稱《APP基本規範》）、《網絡安全標準實踐指南——移動網際網路應用程式（APP）收集使用個人信息自評估指南（徵求意見稿）》《個人金融信息保護技術規範》等國家行業標準，顯示出我國政府與行業機構協力整治侵犯APP個人信息權益的違法違規亂象、保護個人權利、公共利益乃至國家安全的政策趨向。

總的來看，我國有關個人信息安全的法律法規和行業規範多頭迭出，能夠起到提綱挈領和體系協調作用的「個人信息保護法」尚未出臺，相對於網絡信息安全保障，在公民個人信息權益保護方面的立法顯得相對不足。在APP行業領域，對於APP經營者有關個人信息保護的法律義務缺乏明確規定，《刑法》與其他部門法及行業規範之間存在諸多不銜接、不協調問題。例如，作為國家行業標準的《安全規範》對《網絡安全法》有關個人信息保護的規定作出進一步細化，能夠為法律、行政法規的操作和應用提供具體規範和參考依據。但《安全規範》不是強制性法律標準，而是推薦性行業標準，對個人信息保護的要求也更為嚴格，用戶「同意」處於行業規範體系中的核心位置。上述行業規範能否作為認定侵犯公民個人信息罪的前置性規範、APP用戶知情同意可否作為出罪事由等，也是值得探討的問題。

二、個人信息知情同意的保護法益

隨著我國APP技術的推廣應用，法律如何有效保護APP用戶個人信息權益，同時實現APP經營者對個人信息的合理使用，成為我國立法和司法上的「兩難」命題。這首先需要在界定個人信息權益屬性的基礎上，確定APP個人信息保護的法益內容，從中尋求解決問題的立足點和突破口。

（一）刑法中個人信息蘊含的法益性質和內容

根據我國《網絡安全法》第76條第5項規定，個人信息的本質屬性在於其可識別性，即能夠識別特定個人身份或者反映特定個人活動情況的各種信息，是「信息主體人格的外在標誌」。對於APP經營者所收集、使用的個人信息來說，除了相關法律法規明確列舉規定的出生日期、身份證號碼、個人生物識別信息、通信方式、住址、行蹤軌跡等個人信息類型之外，通過網絡平臺、電子數據記錄的信息，例如網絡身份標識、個人常用設備、用戶畫像、個人標籤等，也能識別個人身份或反映個人活動情況，同樣可能會被認定為「個人信息」，必要時也應納入法律保護範圍。《個人信息刑案解釋》將刑法中的「公民個人信息」區分為個人敏感信息與一般個人信息，兩者的不同之處在於，前者人格權屬性較強，一般是不可交易和被他人收集利用的；後者人格權屬性較弱，具有一定的財產性，是可以交易並由他人收集利用的，但須經過權利主體知情同意。個人信息作為一種權利客體或行為對象，所涉權益內容廣泛，從隱私權、名譽權逐漸發展成為一個權利系統，包括知情權、同意權、訪問權、可攜帶權、收益權、更正權、處理權、刪除權等一系列子權利。同時，在公民個人信息的收集和使用的過程中，初始權利主體逐漸不再擁有對個人信息完全的控制，信息權利主體也呈現多元化，從初始權利主體擴展至收集者、使用者及管理者。從我國民法上看，所謂「隱私權」過去並沒有被作為獨立的人格權看待，其實並不是一種法定權利，只是被納入名譽權的範圍，間接地受到有限法律保護。《民法典》人格編第1034條規定，個人信息中的私密信息，適用有關隱私權的規定，從而將隱私權作為獨立的人格權加以保護。關於隱私權與個人信息權的關係，在法學界和司法實踐中一直存在認識分歧，有的觀點認為，個人隱私與個人信息呈交叉關係，其中的交叉重疊部分就是個人敏感信息或者私密信息；有的觀點則認為，隱私權是一種民事權利，個人信息則是一種民事權益，隱私權作為高位階的權利，具有適用的優先性。本文同意後一種觀點。如前所述，個人信息權並不限於隱私權，儘管後者是其最重要、最核心的內容。比較來說，個人信息權的法律保護屬於弱保護，而隱私權的法律保護則屬於強保護，後者是公民人格權中涉及人格尊嚴的核心部分；一般個人信息大多不需要權利主體明示同意也可收集，但對於私密敏感信息不能僅僅通過知情同意權加以保護，而是應優先適用隱私權保護。然而，當個人私密、敏感信息經過去識別化「脫敏」技術處理之後，成為單純的個人數據，人格權屬性減弱，財產屬性和交易價值相應地增強，其社會公共屬性得以體現和凸顯。在網際網路和大數據背景下，個人信息所蘊含的保護法益內容逐漸呈現出複合性、多元化特徵，從個體的人格權擴展至公共利益、社會秩序和國家安全，法律將面臨如何在權利保護和價值利用、信息自由與信息安全方面進行利益平衡和價值選擇的問題。對此，有學者主張法律應著力保護「數據安全法益」，即數據的保密性、完整性和可用性的保護，維護數據在社會往來中的安全性和可信賴性；在從法律上明確規定對個人信息的基本人格權益加以保護的同時，積極鼓勵對個人信息的經濟價值進行有效利用，並實現兩者之間的平衡。

上述對個人信息所蘊含的法益屬性的認識，對於刑法中相關罪名的認定及區分彼罪來說是很關鍵的。在我國《刑法》中，侵犯公民個人信息罪被設置於分則第四章侵犯公民人身權利、民主權利罪，說明了刑法對該罪名的主要客體定位於公民個人的人身自由權益。有學者就此認為，侵犯公民個人信息罪所保護的法益就應當是公民個體權利，而絕非公共秩序或者社會利益。這種觀點值得商榷，因為其將刑法中的同類客體和直接客體簡單地予以等同，將前者直接替代後者予以認定，是不合理的。雖然侵犯公民個人信息罪歸屬於侵犯公民人身權利罪，只能說明其主要客體的性質是個人法益，而個罪所侵犯的直接客體應當具有其多樣化的個性特徵，因而並不排除其次要客體具有社會公共法益屬性。刑法對公民個人信息的保護不限於單一、平面的個人法益，而是包含了「超個人法益」，即個人信息所蘊含的公共利益、社會秩序乃至公共安全。比如《網絡安全法》中有關個人信息保護的內容，就是著重從保障信息網絡安全的角度作出的規定，該法對網絡運營者提出的義務要求，就不僅僅是出於對個人信息權利保護的角度考慮的，而《網絡安全法》作為《刑法》中侵犯公民個人信息罪等相關罪名的前置性法律規範，其法益保護價值取向也必然反映在這些罪名的構成要件要素當中。須指出，《個人信息刑案解釋》設定了侵犯公民個人信息罪「情節嚴重」「情節特別嚴重」的定罪標準，採取了「混合型」認定模式，列舉了包括個人信息的類型、數量、用途，犯罪行為違法所得等諸多方面，其中不乏人身危險性、社會影響惡劣等要素。然而，比較而言，公民個人法益的保護內容具體、明確，而社會公共法益內容概括、模糊，在區分罪與非罪的界限上，個人法益仍是主要考慮因素，正如有學者指出，「在各種考量中，人權和公民權利具有優先性」，對於公民個人信息的「超個人法益」，需要基於風險預防的刑法理念和刑法體系的角度，根據所涉個人信息安全的等級層次及其所可能遭受侵害的危險程度，從行為犯、危險犯、結果犯的不同層面，實行多層次、等級化的刑法應對。以此避免因追求社會公共安全而不當損害個體權利自由，這也是刑法謙抑性精神的體現。

（二）個人信息自決權與知情同意原則

所謂「知情同意」，即公民個人信息的收集或利用者應明確告知信息權利主體相關情況並徵得其同意，也有學者稱其為「告知同意」。從國外相關立法來看，2015年德國的《聯邦數據保護法》（BDSG）專門規定了數據主體的獲取答覆、被通知、更正、刪除、封鎖及反對的權利。2018年歐盟的《通用數據保護條例》（GDPR）較為全面地規定了歐盟公民享有對個人數據處理的各項權利，其中最重要的是個人知情同意的基礎權利。2018年美國加州消費者隱私立法創設的各項權利，與歐盟GDPR中數據權利的內容並無二致。在國際法領域，個人信息知情同意原則也在相關國際規範性文件中得到確認。如世界經濟合作與發展組織（OECD）頒布的《關於隱私保護和個人數據跨境流通的指南》指出，在多數情況下個人信息數據的收集行為不僅要獲得信息數據主體的同意，還要限於為實現徵求同意通知書中所表明的目的之必要的最小信息數據量，且該信息數據在沒有獲得新的同意時不得用於其他不相關的目的。

關於個人信息自決權的性質以及法律地位，有學者認為，侵犯公民個人信息罪的法益性質是個人信息自決權，而不是其他個人法益。有學者則認為，「個人信息自決權」在內並非是一種法律所規定並加以保護的權利，法律所保護的只是防止個人信息被濫用的「前置性保護規範」。後一種觀點是值得討論的。《網絡安全法》第41條規定，網絡運營者須經過個人信息主體同意之後，才能進行收集和使用。此條規定直接體現個人信息主體個人意志的「法益自決權」，即公民能夠自主決定同意他人對其本人信息進行收集、儲存、處理以及利用的權利，個人信息自決權的核心內容就是信息主體的知情同意權。也有學者認為，知情同意權不是獨立的民事權利，它本身並沒有分離或單獨轉讓的價值，只是個人信息權的具體權能；儘管知情同意原則的實現因技術上或人為的因素而遭遇到實際障礙，但仍是目前不可替代的最優選擇，「法律不能以個人信息用戶行使權利困難為由，虛置或拋棄個人信息知情同意的基本原則」。我國立法首先應將個人信息權確立為具體人格權，並進一步明確為個人信息主體的知情、同意、查詢、更正、補充、刪除、封鎖等權利內容。另外，關於知情同意的具體方式，《安全規範》修訂草案第4條明確了「選擇同意」原則，即區分基本功能和擴展功能，摒棄《安全規範》原規定的「概括同意」的方式，並通過交互界面或設計的方式，強化了「明示同意」的合規性要求。

須指出，法律並不是僅僅保護公民個人信息的知情同意權，而是要對個人信息的合理使用、分享和處理加以保護，這是信息網絡時代下的一種必然的選擇。如歐盟的《通用數據保護條例》規定了六種個人信息使用的合法性基礎，用戶知情同意只是其中一種情形，此外還包括符合用戶、企業及公共利益的需要等情形。除了《民法典》第1035條的規定之外，《網絡安全法》第41條規定，收集使用個人信息，除了法律規定的例外情形，必須是合法、正當、必要的，且須經權利主體同意。例如，甲某收到某職場類APP向其推送的商業廣告信息，但甲某並未註冊該APP，遂訴至法院，要求該款APP的運營方乙公司停止侵權並給予賠償。法院在審理中發現，原告甲曾在被告乙公司旗下註冊過另一款掃描類APP，而被告將原告的手機號碼信息「共享」給了同一公司的職場類APP。法院認為，被告未經原告同意將APP用戶信息進行內部「共享」，違反《消費者權益保護法》第29條的規定，但在原告明確表示不同意後，被告並未再次發送商業信息且未造成任何損失，故判決駁回原告的訴訟請求。原告某甲不服，提出上訴，二審法院認為，被告獲取原告個人信息是由原告主動提供的，被告獲取原告個人信息的方式並沒有違法性，不應認定為侵權，因而維持一審判決。本案中，一、二審法院的判決及理由其實並不妥當，也不利於公民個人信息權益的有效保障。《消費者權益保護法》等相關法律法規均明確規定，收集、使用公民個人信息者，未經本人同意不得提供給他人，其中也當然包括本案中APP運營公司內部之間的所謂「共享」行為，這種「共享」其實是過度濫用或不當洩露，既不正當又不合法。即便是同一公司下屬的不同APP之間實現用戶信息共享，也是屬於間接收集、使用個人信息的行為，應當採取明示的方式，事先取得用戶的同意。本案中被告的行為違反了個人信息知情同意原則，應具有侵權行為性質，情節嚴重的，也可能構成犯罪。

（三）APP個人信息知情同意保護的刑法理念

個人信息的權利保護和價值利用就像一枚硬幣的兩面，個人信息自由與信息安全的價值取向既是對立的，又統一於保護和利用的利益衡量當中。從廣泛的意義上說，信息自由不僅包括公民個體的權利自由，而且包括其他自然人、企業機構的信息使用權利和國家政府的管理職權；而信息安全實際上也包括國家、社會和個人不同層面的法益內涵，「個人信息安全權」也是公民個人信息權利的重要內容。在個人信息安全領域，自由與安全的二元價值在一定程度上形成較為緊張的關係，如何把握合理的風險調控力度與限度，既能保護公民個人信息的基本權利、核心利益（如隱私權），又能有效促進個人信息的價值利用，推動數據經濟發展，是我們在面對APP個人信息保護所要考慮的深層次問題。對此，有學者提出「兩頭強化」的理念，在強化個人敏感信息基本人格權保護的同時，又強化個人一般信息經濟價值的利用，強調「保護」與「利用」並重，實現個人、社會和國家多方利益平衡。由此聯想到，自今年初新型冠狀病毒感染肺炎疫情暴發以來，疫情信息時刻牽動著每個人的敏感神經，在朋友圈、微信群等自媒體和網絡空間，充斥著大量有關疫情的信息數據的文字、圖片和視頻，不少網民「人肉搜索」和曝光確診患者、疑似患者或密切接觸者本人甚至其家庭成員的個人隱私信息，對涉疫情「重點人員」進行區別對待、歧視甚至譴責。不少地方以防疫之名採取懸賞舉報等不當甚至極端的方式，違法違規收集使用個人信息問題突出，個人信息保護方面公共安全和個人利益的矛盾衝突問題被無限放大。例如，某地公安機關推出「疫情防控調查登記APP」但沒有得到統一使用；有的社區採用保險公司等機構提供的APP採集信息，有的則是用自己的PAD上門登記，這些由基層社區和單位收集和保存的個人信息數據基本處於無監管狀態。不少網際網路公司憑藉大數據技術能力，為政府部門防控疫情提供了海量的信息數據，其中當然也涉及到公民個人隱私信息保護問題。不可否認，當前防控疫情是政府部門面臨的首要任務，根據防疫需要可將公民個人信息作為疫情信息予以收集和使用，甚至作為公共疫情信息向社會公開，公民在必要時須讓渡個人信息權利、承擔公共安全保障義務和責任。政府部門和相關企業機構收集使用個人疫情信息，要依法保障公民個人的隱私權等基本人格權益，不能顧此失彼。

近年來，我國有關公民個人信息犯罪的刑事立法處於不斷擴張態勢，法益保護的鏈條不斷拉長，刑法修正立法較為頻繁，司法解釋趨於細密化，同時也離不開《網絡安全法》等非刑事法律法規作為認定犯罪的前置性規範，但《網絡安全法》主要是針對網絡經營者提出保障網絡安全的義務要求，網絡安全風險管控的價值取向明顯。受此管控型立法模式的影響，在個人信息權利保護方面自然存在不足；不同刑法規範、不同罪名之間也存在交叉競合和衝突等問題，尚未形成對公民個人信息權利完整的體系化保護。立足於現實刑事立法，如何確立個人信息刑法保護的體系化和整體性理念，處理好刑法與民法、行政法等部門法及其他制度規範之間的關係，克服立法「碎片化」的制度缺陷，實現個人權利自由和社會公共安全的雙層保護，促進個人信息保護和利用的利益平衡，顯得非常必要和有意義。總之，個人信息的法律保護應以信息自決權為核心，兼顧保護信息主體權利和促進信息流通利用的平衡。在APP個人信息的收集、使用過程中，APP經營者需要尊重用戶的知情同意權；同時，知情同意原則要受合法性、正當性、必要性原則的約束，如果APP經營者對用戶個人信息的收集、使用是經過其同意，並以正當、必要的方式進行的，同樣應受到包括刑法在內的法律保護。

三、APP運營者的保護義務及侵權行為定性

在我國《刑法》與個人信息保護相關的罪名當中，侵犯公民個人信息罪處於核心位置。根據《刑法》第253條之一的規定，該罪名屬於較為典型的「法定犯」。在APP用戶個人信息的刑法保護方面，應將刑法置於與民法、行政法緊密關聯的法律體系框架下，合理界定APP運營者個人信息保護義務，儘量將違法違規行為堵截在民事歸責或行政處罰階段進行處置，恰當地發揮刑法的懲治功效，同時也能保障其他部門法得到更好地運用。

（一）APP運營者保護用戶個人信息的義務規範

作為個人信息安全保護方面的國家標準，《安全規範》第5條至第8條及附錄C根據《網絡安全法》中確立的「正當、合法、必要」原則和「公開、明示、最少」原則，對收集、使用個人信息行為提出了具體要求，對個人信息生命周期過程如何處理也做了全面完整的規定，發揮著重要的行業規範的指引功能。《安全規範》也為APP運營者依法合規地收集使用個人信息提供了行為標準。2019年《安全規範》修訂草案增加了不得強迫收集個人信息的要求；修改了徵得授權同意的「例外」情形，修改了保障個人信息主體選擇同意權的方法；在區分基本業務和擴展業務兩種功能的基礎上規定了「告知和明示同意」的相關要求。《APP信息規範》則專門針對APP經營者收集個人信息行為做出了更加細化的管理要求和技術要求。根據《安全規範》《APP信息規範》的規定，APP運營者在收集、使用公民個人信息過程中的行為規範和保護義務主要包括以下情形：

APP運營者收集個人信息的義務要求。主要包括：（1）APP運營者收集個人信息行為應遵循合法性原則，不得採取欺詐、誘騙、誤導的方式進行收集，也不得隱瞞相關產品或服務本身所具有的收集個人信息的技術功能；行為人不得從不正當渠道間接獲取公民個人信息，也不得收集法律法規明令禁止收集的個人信息，也不得違背信息主體的自主意願，提出強制性收集個人信息的請求。（2）APP運營者在收集公民個人信息之前，應明確告知信息主體所提供APP產品或服務的業務功能及相關規則，並徵得其授權同意；間接獲取個人信息，應要求提供方說明個人信息的合法來源及授權範圍；收集個人信息超出該授權同意範圍或收集個人敏感信息，都應取得信息主體的明示同意，即使信息主體不同意，也不能以此為由停止提供APP核心業務功能等。（3）在保障信息主體選擇同意權方面，APP運營者應將基本業務功能和擴展業務功能區分開來。在基本業務功能開啟前，應通過彈窗、文字說明、填寫框等交互界面或設計，向信息主體告知，並通過信息主體對信息收集做出肯定性動作徵得其明示同意；在擴展業務功能首次使用前，應通過交互界面或設計向個人信息主體告知，並允許個人信息主體對擴展業務功能逐項選擇同意，也不能因為其不同意而拒絕提供基本業務功能或降低服務質量。（4）APP運營者應制定隱私政策，隱私政策所告知的信息應真實、準確、完整，內容清晰易懂，公開發布且易於訪問，在本條所載事項發生變化時，應及時更新隱私政策並重新告知個人信息主體等。

APP運營者使用個人信息的規範和義務。主要包括：（1）APP運營者在使用用戶個人信息時，除目的所必需外，應適當進行去識別化處理，避免指向或定位到特定個人，對APP用戶個人信息的處理權限應在原來收集個人信息時信息主體的授權同意的範圍之內；確實需要超出授權範圍的，應再次徵得用戶個人的明示同意才能進行。（2）APP運營者應向用戶提供訪問和了解其所持有的關於該用戶個人信息來源、用途目的等相關信息的途徑和方法；如果APP用戶發現運營者所持有的個人信息有誤，後者應為其提供請求更正或補充信息的方法。（3）APP運營者如果違法違規或雙方約定使用用戶個人信息，後者要求刪除的，應立即停止共享、轉讓、披露等違法違規行為，並通知第三方及時刪除相應的個人信息，並向用戶撤回同意授權提供途徑和方法等。（4）除了收購、兼併、重組原因之外，APP運營者共享、轉讓個人信息的，應向用戶告知其使用目的以及接收方的情況，徵得其授權同意；如果涉及用戶個人敏感信息，必須向其明確告知並徵得其明示同意；當APP運營者發生收購、兼併、重組等變更的情況，應向用戶告知有關情況，如果變更個人信息使用目的，應重新取得用戶的明示同意。（5）個人信息原則上不得公開披露。APP運營者經法律授權或具備合理事由確需公開披露時，應充分重視風險，向用戶告知公開披露個人信息的目的、類型，並事先徵得其明示同意；公開披露用戶個人敏感信息，還應向用戶告知涉及的個人敏感信息的內容。（6）當APP運營者與第三方為共同個人信息控制者時，應通過合同等形式與第三方共同確定應滿足的個人信息安全要求，以及自身和第三方應分別承擔的責任和義務，並向用戶明確告知。

另外，《APP認定方法》列舉了違法違規收集、使用APP個人信息的具體行為類型，其中大多涉及侵犯APP用戶個人知情同意的基本權利。主要包括：未公開收集使用規則；未明示收集使用個人信息的目的、方式和範圍；未經用戶同意收集使用個人信息；違反必要原則收集與其提供的服務無關的個人信息；未經同意向他人提供個人信息；未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息等。須指出，與《安全規範》《APP基本規範》一樣，《認定方法》不具有法律效力，不能直接作為認定APP運營者違法違規收集使用個人信息的行為是否構成犯罪的前置性規範。上述未經APP用戶知情同意而收集使用個人信息的行為也不必然違反刑法意義上的保護義務，反之，APP用戶知情同意也不必然能夠成為排除上述行為的刑事違法性的事由。

（二）侵犯APP個人信息行為的刑事違法性判斷

基於「法秩序統一性」原理，從刑法與民法、行政法等各部門法銜接協調的角度，對於侵犯公民個人信息犯罪的刑事違法性判斷，須把握以下幾點：其一，在民法或行政法中屬於合法的行為，就不可能判斷其具有刑事違法性，不可能得出相互矛盾的結論，民法或行政法中的合法性可作為排除刑事違法性的事由；其二，在民法或行政中規定屬於違法的行為，具備刑事違法性的前提，但不必然具有刑事違法性，須符合刑法所規定的犯罪構成要件；其三，在民法或行政法中沒有規定或不違法的行為，不需要民事或行政違法性判斷為前提，可依據刑法規定直接認定其具有刑事違法性；其四，在民法或行政法的規定存在衝突、違法性判斷不一致的情況下，可依據第一、二種判斷規則，予以刑事違法性判斷。

對於侵犯公民個人信息罪而言，要判斷某行為是否具有刑事違法性，須以行為人違反前置性法律法規為前提。目前以《網絡安全法》為主要依據。目前，《網絡安全法》等相關立法對信息網絡服務者、經營者保護公民個人信息的法律義務規定得尚不明確，難以為認定其是否具有侵犯公民個人信息罪的刑事違法性提供必要和充分的依據。相對來說，諸如《安全規範》等國家行業標準文件對公民個人信息的保護範圍更為廣泛，對收集、利用個人信息行為的要求更為嚴格。如何在參照國家行業標準的基礎上，對「違反國家有關規定」進行違法性判斷，合理界定APP運營者保護個人信息的作為義務，是認定其構成侵犯公民個人信息罪及承擔刑事責任的前提和關鍵。作為個人信息安全方面的國家行業標準，《安全規範》及附錄C對於《網絡安全法》中「正當、合法、必要」以及「公開、明示、最少」收集個人信息的義務要求做了具體描述，對個人信息生命周期的處理同樣做了完整的規定，在一定程度上發揮了替代規制功能。2019年的《安全規範》修訂草案在原有規範文本的基礎上，增加規定了「不得強迫收集個人信息的要求」；修改了保障個人信息主體選擇同意權的方法，修改了徵得授權同意的「例外」情形，增加了基本業務功能、擴展業務功能的告知和明示同意等內容。在此基礎上，《APP基本規範》針對APP運營者收集用戶個人信息提出了更為細化、嚴格的合規要求。如前所述，《安全規範》及修訂草案、《APP基本規範》為APP運營者收集、使用個人信息行為提出了較為具體的合規標準，但這些行業規範不能直接作為判斷其行為是否具有刑事違法性的依據。應當在準確理解《刑法》第253條之一侵犯公民個人信息罪構成要件的基礎上，把握好個人信息刑法保護的「最小安全基線」。

另外，關於《刑法》第253條之一中的「國家有關規定」是否包括地方性法規、部門規章，認識並不一致。有的觀點認為，在加入「有關」兩字後，侵犯公民個人信息罪的前置性規範的範圍應當擴大至地方性法規、國家部門規章和地方政府規章。反對者則批評指出，這意味著司法機關在解決具體個案時要花費巨大的司法成本查明紛繁複雜的各種法規、規章。而且，基於侵犯公民個人信息違法犯罪的跨地域性，不同地區、不同層級的法規和規章該如何協調也將成為難題。根據《個人信息刑案解釋》第2條規定，「國家有關規定」不局限於國家法律、行政性法規，還應包括部門規章。同時，基於罪刑法定和刑法謙抑性原則，應將《刑法》第253條之一「國家有關規定」作限制解釋，排除同級地方性法規和地方行政規章，只應限定在國務院所屬的各部、委員會制定的部門規章範圍內。有學者從限制解釋的角度，主張部門規章只有在相關法律、行政法規對個人信息保護做出明確、細化規定的情況下，才能與法律、行政法規一起作為判斷行為是否「違反國家有關規定」的標準，本文認為，參照上述最高人民法院對有關「以國務院辦公廳名義制發的文件」做出的界定，只要部門規章同相關法律、行政法規不相牴觸，就可以視為「國家有關規定」，而不必以法律、行政法規有明確規定為前提。

（三）未經用戶同意收集使用APP個人信息的定性

在前面探討侵犯APP個人信息行為的刑事違法性判斷標準基礎上，接下來針對實踐中出現的未經APP用戶同意收集使用個人信息、侵犯其知情同意權行為的刑法認定問題展開具體分析。

根據《刑法》253條之一第3款的規定，竊取或者以其他方法非法獲取公民個人信息的行為，依照侵犯公民個人信息罪定罪處罰。有學者對竊取APP個人信息的行為定性進行了分析，認為如果行為人合法進入APP系統竊取公民個人信息，應認定為侵犯公民個人信息罪；如果非法進入APP系統竊取公民個人信息，同時也侵犯計算機系統安全和信息安全，則可能構成《刑法》中的非法獲取計算機信息系統數據罪和非法侵入計算機信息系統罪。以上涉及侵犯公民個人信息行為的罪數問題，應根據案件實際情況予以判定，並不是本文研究的重點。這裡，有必要就253條之一第3款中的「非法獲取」行為做進一步的理解和把握。根據該條款規定，「非法獲取」公民個人信息，不需要具備「違反國家有關規定」的前置性條件，只要違反了有關個人信息知情同意保護的原則性規定，即視為其對信息主體的具體人格權造成了侵犯，從而具有刑法所要求的「非法性」，而不需要對其違法性再進行具體判斷。假如行為人未經個人信息主體同意，獲取隱私、敏感信息以外的一般信息，則需要再對其「違法性」作出具體判斷，即認定其侵犯的具體人格權實質內容。有學者主張，「非法獲取」行為的違法性判斷應當與《個人信息刑案解釋》第4條保持一致，以是否違反國家有關規定作為判斷標準。然而，體系解釋並不意味著對不同條款中的相同概念進行同一解釋，而是應當聯繫此法條與其他法條的相互關係進行實質合理性解讀。根據《網絡安全法》第41條規定，「非法獲取公民個人信息」包括違反「法律、行政法規的規定」和違反「雙方的約定」兩種情況，前者具有行政違法性，後者則具有民事違法性，將其納入法律規制範圍，更能夠保護信息權利人的同意權或自決權。如果APP經營者收集用戶個人信息的行為違反法律法規或雙方約定的，都可認定為「非法獲取」。這種理解能夠實現《刑法》與《網絡安全法》的銜接，也更符合刑法體系解釋的原理。另外，實踐中往往存在這樣的情況，行為人收集個人信息的時候並無意用作其他用途，但最終產生了很多具有創新性的用途，原始的個人信息提供者無法對這種尚未可知的用途使用表示是否同意。在此情況下，要求任何包含個人信息的使用都需要徵得個人同意，實際上是難以操作的。一般來說，對於個人信息初始主體的知情同意權，法律應予以嚴格保護，APP經營者一開始收集、利用個人信息的，必須經用戶知情同意；但在個人信息利用、流通過程中，個人信息知情同意權的法律保護可逐漸放寬，收集者、利用者的信息權利相應地加以保護，在個人信息主體的隱私權等人格基本權利之外，知情同意可不必採取明示方式，以有利於海量個人信息流通和有效利用。

以下試舉例進行分析。某甲成立一家信息諮詢服務公司，經營網站、APP研發等業務，以獎勵方式向在網站、APP註冊會員的房產中介人員收購房源信息，並安排公司話務人員冒充房產中介人員，對上述信息進行電話核實，套取房主準確房源地址、聯繫電話，獲取個人房源信息30萬餘條，再以包月等套餐價格在所經營的網站上打包出售給房產中介會員，共出售獲利人民幣100餘萬元。本案中，甲向其在網站、APP註冊會員的房產中介人員收購的房源信息，是房主為了售賣房屋通過房產中介發布房源信息，但一般不會直接向社會公開具體詳細的房屋地址、公開自己的姓名、手機號碼等個人身份信息。這種簡單反映房源真實存在的信息不屬於刑法中的「公民個人信息」，而是屬於房屋中介人員擁有並可以支配和使用的商業信息。然而，甲安排公司話務人員冒充房屋中介人員向持有房源信息的房屋中介人員套取、收集房主準確的房源地址、聯繫電話，則屬於刑法中「公民個人信息」，根據《解釋》第1條的規定，「通信通訊聯繫方式、住址」應屬於能夠識別特定自然人身份的個人隱私、敏感信息。相對於一般信息，對個人隱私、敏感信息的法律保護應更加嚴格，個人信息權利主體的知情同意權應得到法律的充分保護。犯罪嫌疑人未經房東同意收集房源地址、聯繫電話等個人隱私、敏感信息，即侵犯了房東的個人信息知情同意權，其行為屬於《刑法》第253條之一規定的「以其他方法」非法獲取公民個人信息的行為。在此案中，甲以非法獲利為目的，向網站會員出售的房源信息包含了房主沒有向社會公開的房源地址、手機號碼等個人信息，在侵犯了房主作為個人信息主體知情同意權的同時，也侵犯了個人信息所附著的隱私權等具體人格權。將這種出售公民個人信息的行為認定為犯罪，需要具備「違反國家有關規定」的前置性條件，僅僅違反個人信息知情同意保護的原則性規定，並不足以符合該罪的犯罪構成，還要判斷違反了何種前置性法律規範，即行為人違反了哪一條「禁止同意出售個人信息」的「國家有關規定」。如果能夠認定行為人出售房主客戶個人信息的行為違反了「國家有關規定」，即使取得房主客戶的個人同意，也應認為具有「違法性」，具備構罪的前提。掌握房東的準確房源地址、手機號碼的房屋中介人員，未經房主個人同意，向甲提供房主的私密敏感信息，就屬於《刑法》中的「提供公民個人信息」的行為。如果達到構罪的情節標準，因其屬於將從事房屋中介服務過程中所獲得的個人信息出售或者提供給他人，根據《刑法》第253條之一第2款的規定，應予以從重處罰。另外，侵犯公民個人信息罪是否包括「非法使用」行為？實踐中，經常發生非法「使用」公民個人信息的行為，具有嚴重的社會危害性，有必要運用刑法手段予以規制。但無論是《刑法》還是《個人信息刑案解釋》都沒有對「使用」行為作出規定。如果將來能夠通過司法解釋的途徑，將個人信息的使用行為作為獨立的行為類型與獲取、出售、提供行為並列規定。將非法使用個人信息行為納入刑法規制範圍，既能與民法、行政法等前置法規保持一致，從而實現法秩序的統一，又能更加周延地保護侵犯公民個人信息罪的法益，彌補先前的漏洞，是十分可取的。

四、APP用戶作為被害人同意的出罪事由

如前所述，我國相關法律、行政法規及行業規範均確立了收集、使用個人信息的知情同意原則，並且除法律規定的特殊情況之外，收集、使用個人信息應經過信息主體的明示同意。刑法理論上，APP用戶個人的知情同意可以被看作是一種被害人同意或承諾，具有一定的出罪功能，未經APP用戶知情同意而收集使用個人信息的行為，也不必然違反刑法意義上的保護義務，反之，APP用戶知情同意也不必然能夠成為排除刑事違法性的事由，但可以成為阻卻或減輕個人信息侵權行為刑事責任的根據。

（一）個人信息的法益權衡：被害人同意的出罪功能

在個人信息的收集使用過程中，信息流動的起點是公民個體，而在信息流動過程中會涉及個人信息使用者、網絡平臺經營者和服務者等多方主體的相應權利，使其社會公共屬性得以體現和凸顯。相應地，信息權利主體對初始個人信息的控制力會逐漸減弱，甚至再無施加影響的可能。可以說，個人信息的權利保護和價值利用在一定程度上存在著零和博弈關係。法律不能一味強調對個人信息進行單純的保護，而是對不同信息主體的權利和義務進行合理分配，在法律允許範圍內實現個人信息價值的有效利用，實現個人、信息業者和國家三方利益平衡。

在學界，被害人同意（承諾）的出罪功能得到很多學者的認同，但也不乏爭議。關於被害人同意的正當化根據，存在諸多認識分歧，主要有社會相當性說、法律行為說、利益衡量說、利益放棄說、法律保護放棄說等。其中，比較有力的是「利益衡量說」，該學說比較重視個體對法益的自由支配和自決權,將被害人同意看作其行使人格自由權利的表現，「同意」則表明其行使人格自由這種法益比放棄的法益相比更為優越。應當說，將「利益衡量」作為被害人同意的正當化根據是比較合理的。從利益衡量的角度，如果收集使用個人信息的行為雖然形式上是違法違規的，但並沒有妨礙個人信息主體的權利行使，甚至有利於其個人信息財產價值的實現，從實質上說就不存在法益侵害。既然如此，如果信息主體對法益保護的主觀態度為消極負面的價值評價、對收集使用個人信息的行為明確表示同意，那麼，這種自我放棄法益保護的「同意」行為就應當在一定程度和範圍內得到法律的承認或許可。有學者基於「法益權衡」的立場觀點認為，被害人同意的功能取決於哪一種法益是需要優先保護的法益。同時，如果這種法益是法益主體可支配的，被害人同意就具有出罪功能，相反，則不具有出罪功能。況且，個人信息保護領域的社會公共利益、秩序和安全的「超個人法益」是不可得到「被害人」同意的；個體的生命權和身體健康權一般也屬於不可自由支配或支配權受限的個人法益。例如，對於侵犯公民個人信息罪來說，該罪名被設置在侵犯公民人身權利、民主權利的章節，表明刑法優先保護的法益是公民個人名譽、隱私的人格權益，是個人信息權利主體所能自由支配的法益，在該罪名的法益結構中居於主要地位；而涉及國家和社會公共利益、秩序和安全的「超個人」信息法益則居於次要地位，並且是信息權利主體不可支配的法益。如果在信息權利主體同意他人收集使用其個人信息，且沒有遭受洩露或濫用等不當侵害，就具備了「被害人同意」的出罪事由，阻卻收集使用個人信息行為的刑事違法性。再如，《刑法》第286條之一規定的拒不履行信息網絡安全管理義務罪，該罪名規定於刑法分則妨害社會管理秩序罪一章，表明社會公共利益、秩序和安全居於優勢法益的地位，並且這種「超個人」法益是信息權利主體不可支配的，不是後者同意的對象。即使信息權利主體同意信息網絡服務者放棄履行其保護義務，也不能成為出罪事由，對被害人同意不能實行絕對的、無限度的保護。須指出，經個人信息主體同意的行為並不意味著當然地阻卻刑事違法性，知情同意權的行使不能逾越法律的界限，不能與國家和社會公共利益相衝突。如果收集、使用個人信息的行為違反了前置性法律法規或部門規章，那麼，即便個人信息主體作出同意的意思表示，也不能被認定是有效的，不能排除其刑事違法性。此時，「被害人同意」不能作為免罪根據，但可作為量刑情節加以考慮；即使認定非法收集使用個人信息的行為構成侵犯公民個人信息罪，也可以相應地減輕其刑事責任。總之，刑法需要對不同主體處分個人信息的權利和應承擔的保護義務進行利益衡量和分配，在法律允許的範圍內實現個人信息數據經濟效益的最大化利用。例如，近年來出現不法分子通過QQ「卡商群」和交易網站「叫賣」電商帳號（網絡店鋪），「叫賣者」尋找願意出售個人信息者註冊網絡店鋪帳號，再將帳號註冊人的身份證、銀行卡等一整套個人信息打包為「產品」，明碼標價轉賣給他人，後大多被用於售假、詐騙等違法犯罪活動。「叫賣者」通常會讓出售人籤訂「個人信息轉讓授權書」，即出售人同意購買者使用其身份信息。在此案中，即使帳號註冊人同意「叫賣者」出賣自己的個人信息，也不能作為「叫賣者」的出罪事由。其次，這種行為違反了《網絡商品交易及有關服務行為管理暫行辦法》關於實名開店、帳號實名制等網絡空間的安全性規定，具有行政違法性。在此情況下，所謂「被害人同意」就不能作為出罪事由，不能排除「叫賣者」行為的刑事違法性。但在本案中，作為「被害人」的出售人出賣自己的身份證信息，其行為違反了《居民身份證法》有關「出租、出借、轉讓居民身份證」的禁止性規定，儘管受到一定程度的欺騙，但主觀上確實存在被害人過錯因素，可以作為「叫賣者」侵犯公民個人信息罪的量刑情節加以考慮；即使認定其行為構成犯罪，也可以相應地減輕其刑事責任。

（二）用戶知情同意下APP運營者的出罪化路徑

在大數據時代背景下，APP運營者所能收集到的個人信息數量呈指數式增長，如果不能妥善界定個人信息收集者、使用者的法律義務，則難以對用戶的合法權利予以有效保護。在肯定APP用戶知情同意可以作為「被害人同意」的出罪事由基礎上，需要討論的是，這種知情同意所能夠產生出罪化法律效果的有效方式如何。《安全規範》第3.6條、第5.5條規定，收集個人敏感信息時應當取得信息主體的明示同意，但是對於個人一般信息的授權同意方式並沒有明確規定，因而只需要默示同意即可。作為民法中同意的意思表示方式，默示同意更能契合「共享+開放」的網際網路經濟特徵，是值得肯定的。實踐中，有些APP運營者設置默示同意條款，列出冗長艱澀的隱私聲明，致使APP用戶很難做到「審慎閱讀」，除了點擊「同意」之外別無選擇，這實際上架空了用戶對知情同意權的行使，這也是不可取的。在APP運營者收集、使用個人信息過程中，只要經用戶本人明示同意，且沒有遭受洩露或濫用等不當侵害，其行為就具備了「被害人同意」的出罪化事由。刑法優先保護的是公民個人的人格權益，在侵犯公民個人信息罪的法益結構中居於主要地位；所謂「超個人」信息法益則居於次要地位，是個人信息權利主體不可支配的法益；對於後者，即使個人信息主體同意收集、使用者不履行其保護義務，也不能因此阻卻違法和責任。

例如，甲公司與政府官方授權的乙公司籤訂了《公民身份認證服務合同》，所掌握的個人信息來源合法，並可在登記範圍內提供公民個人信息服務；而甲公司的服務範圍涵蓋了網際網路金融和電信運營商等行業。同時，甲公司與處於下遊的乙公司籤訂的服務協議中均約定對方不得將認證結果下載、保存、列印，並設置了下遊公司繳納保證金的制度予以約束。處於下遊的乙公司涉嫌在無授權的情況下，利用數據接口產品與終端網際網路公司丙籤訂銷售合同，從中賺取差價，以及非法緩存海量公民個人信息，然後予以出售或非法提供，為他人非法提供身份證返照查詢業務數千萬次，導致公民個人信息大多流向網絡小貸公司用於「拉客戶」或者「軟暴力」催收。本案中，乙公司未經授權同意非法緩存公民個人信息，並將海量的個人信息提供、出售給他人，其行為應構成侵犯公民個人信息罪，定性上不存在什麼疑問。但值得討論的是，甲公司向乙公司提供其合法掌握的公民個人信息的服務行為是否也構成侵犯公民個人信息罪？有學者認為，認定該罪名成立的關鍵在於，甲公司的「提供」個人信息的行為是否經過被收集者的同意，如果是經過被收集者同意，就可以認為至少存在被害人同意，具備出罪根據。本案中，甲公司沒有違反被收集者個人的同意，也盡到了形式上的審查義務，不存在客觀上的侵權行為，也就不構成侵犯公民個人信息罪。對此觀點，本文並不完全同意。如前所述，知情同意原則也要受到合法、正當、必要原則的限制，不能簡單地以知情同意原則作為任何情況下不當收集使用個人信息的合格抗辯。本案中，認定甲公司提供公民個人信息的服務行為是否構成犯罪，尚需要根據具體案情從法益層面進行實質判斷。無論甲公司提供給乙公司的是隱私敏感信息還是一般個人信息，只要涉及信息安全、公共利益和社會秩序，即使甲公司的行為沒有違反被收集者的同意，也盡到了形式上的審查義務，也不能免除其履行「超個人法益」的保護義務，被收集者的「同意」也不能成為出罪事由。

五、結語

近年來，越來越多的APP運營企業和機構為了主動適應信息網絡發展的需要，逐步改變過去一鍵式授權隱私政策，按照法律法規和行業規範的合規要求，調整向用戶告知方式，增加了彈窗等增強式告知方式、增加了即時提示，對開啟具體業務功能的單獨告知；在獲取用戶的同意方面，也改變過去一攬子協議強迫用戶同意的做法，強調用戶通過書面聲明或主動做出肯定性動作，作出明確授權。通過上述合規措施，充分保障用戶的知情同意權，在個人信息保護方面實現了由「自發」到「自覺」的轉變。在立法層面，將來的「個人信息保護法」應確立知情同意保護原則，以個人信息權利保護為導向，兼顧公民個人法益和社會公共法益的協調，在信息權利主體與信息使用主體之間取得利益平衡。雖然民法、行政法、刑法等部門立法的價值目標各有側重，但從系統論角度，個人信息保護的法律規範應當是銜接協調的，共同構築相關侵權行為的法律責任和制裁體系，在刑法體系內外部實行多層次的法益保護。需要特別強調的是，個人信息安全行業標準與刑法規範之間有效銜接問題。雖然兩者的出發點都是對個人信息權進行保護，但保護的目的和方式不同。刑法是從懲治犯罪活動角度出發，所規制的入罪門檻必須是個人信息保護的「最低安全基線」。因此，行業規範對於APP用戶知情同意的規定，可以作為界定APP運營者個人信息法益保護的前置性依據，但不宜直接將其作為判斷刑事違法性的依據，否則將導致刑事打擊範圍過大，不利於個人信息權益的保護。至於其中哪些行業標準設定的義務要求可以成為刑法中APP用戶個人信息知情同意的保護義務，有待最高司法機關出臺相應司法解釋予以明確規定，在此不贅述。

朱孝清：刑事正當程序視野下的認罪認罰從寬制度

上海市法學會歡迎您的投稿

fxhgzh@vip.163.com

相關連結

原標題：《張勇丨APP個人信息的刑法保護：以知情同意為視角》

閱讀原文