已公开个人信息弱化保护的解释论矫正

弱化保护已公开个人信息既是我国的司法实践传统,也是平衡信息保护负担的务实选择,但若不释明处理已公开个人信息的合理范围,必将削弱个人信息保护的制度意义和私法意涵,减损对个人信息自决权的有效保障。已公开的个人信息应限于向不特定多数人发布、无需借助特殊手段即可从公开渠道合法获得的信息。若信息处理将对信息主体权益有重大影响,需适用告知同意规则。合理处理范围应基于信息主体意愿界定,除非该处理是法定的公共利益所必需。处理者应提供有效的表意机制,未提供而个人未明示拒绝信息处理的,应视为默示拒绝。个人的拒绝信息被处理权不可被格式条款排除。     

侵犯公民个人信息罪犯罪圈的“收缩”与出罪化路径——基于个人信息多元化属性的思考

侵犯公民个人信息罪的增设与修正,以及司法解释对个人信息保护范围的扩张,不断彰显出刑法对于个人信息保护的力度。梳理个人信息的刑法保护历程可以发现,自97年刑法以来,个人信息多是以附属于其他法益受到刑法的保护,这恰恰是个人信息多元化属性下刑法评价模式的体现。在权利属性上,个人信息同时具有了人格权属性、财产属性、数据属性、信息安全属性、公共属性等"信息复合属性";在权利外延上,个人信息同时涵盖了信息决定、信息保密、信息查询、信息更正、信息删除、信息可携、被遗忘等权利类型。因此,刑法对个人信息的保护,应当将数据属性、信息安全属性等剥离出个人信息之外,在个人利益与公共利益平衡的基础上,确立侵犯公民个人信息犯罪的豁免事由,实现个人信息合法应用与保护的刑法兼顾。     

论网络空间中个人信息的刑法保护

面对民事法律、行政法律保护力度的不足,刑法对网络空间中个人信息的保护作用日益受到立法者重视。合理设置个人信息保护之刑法规范的前提是准确界定个人信息。从实质内涵上分析,个人信息应具有真实性、可识别性、载体性和价值性;从司法认定的角度看,个人信息还应具备关联性和目的性。刑法对侵犯个人信息行为的惩治体现了对公共安全的保护,因而侵犯公民个人信息罪的法益具有公共安全性。为强化网络空间中个人信息的刑法保护,应当完善侵犯公民个人信息罪的刑法规定,在客观方面增加非法利用行为、明确主管人员的替代者责任以及网络信息控制者的不作为责任等,并且对影响定罪量刑的因素进行调整,真正实现量刑规范化。     

侵犯公民个人信息罪中的“外围”立法与解释进路

侵犯公民个人信息罪没有将“非法利用公民个人信息”这一核心行为纳入犯罪圈,而是通过刑法对非法获取和泄露个人信息的行为进行规制.这种立法模式称为“外围规制”,它旨在实现刑事立法的妥当性与效率.“外围规制”是一种立法技术,这种立法模式避免了对“非法利用个人信息”行为定型化的弊端,而是通过截断信息的传递减少对公民个人信息的侵犯,符合司法功利主义和司法便利主义的要求.但是,在对侵犯公民个人信息罪进行解释的过程中,应当以“非法利用”为解释的核心与落脚点,将“非法”理解为“以非法利用的目的”,从而将合法取得非法利用信息的行为纳入到本罪的调整范围中.另外,应当采用吸收犯的原理妥善地处理本罪与其他罪名的罪数关系.     

我国公民个人信息跨境流动的刑法保护

近年来，公民信息跨境刑事案件以及由其所引发的重大电信诈骗案件不断增多，在我国缺乏专门的信息法和跨境合作渠道的背景下，跨境案件的刑法保护必不可少。有鉴于此，首先借鉴其他国家刑法严格保护公民信息的标准，构建以人格权为核心的个人信息概念、去除“50条”的量刑起点要求、纳入对名誉权损害的考量、增设“非法利用、处理公民个人信息罪”等机制，其次提出建立专业警务合作、司法协作机构以及侵犯个人信息犯罪案件的情报共享平台等具体措施，以增强我国跨境信息案件的刑事司法合作能力。     

中英个人信息犯罪比较研究

中英个人信息犯罪的差异表现在诸多方面。立法模式上，英国采罪群模式，《2018数据保护法案》共规定了13个罪名，可分为四大罪群；我国采单一罪名模式，《刑法》以侵犯公民个人信息罪统一规制买卖、提供与非法获取个人信息的行为。定罪模式上，英国检察官与ICO均有权起诉，警告是案件分流的重要措施；我国以司法解释细化侵犯公民个人信息罪的追诉标准，“情节严重”的才构成犯罪。犯罪构成上，两国在个人信息的定义、犯罪主体、行为方式、主观过错上存在异同。刑事责任上，英国只配置了罚金刑，我国配置了自由刑和罚金刑。未来，个人信息犯罪将围绕具体的个人信息权利、义务不断完善。     

侵犯公民个人信息犯罪的司法困境及其解决

随着网络信息技术、电子商务的发展,公民个人信息背后所承载的价值利益也在与日俱增,针对公民个人信息实施的违法犯罪行为呈现出高发态势。《刑法修正案(七)》增设的"非法获取公民个人信息罪"和"出售、非法提供公民个人信息罪"对于遏制非法泄漏、非法获取公民个人信息犯罪行为,切断公民个人信息犯罪产业链具有重要意义。但是,由于立法规定的概括性和"应急性",导致对于侵害公民个人信息犯罪的规定在司法操作过程中存在诸多困惑性问题,诸如对于"个人信息"、"情节严重"的认定尚无明确界定,为了有力打击侵犯公民个人信息违法犯罪行为,有必要对于打击此类行为的罪名进行优化与完善。     

侵犯公民个人信息犯罪行刑衔接的困境与出路

《个人信息保护法》与《刑法》之间存在对违法处理个人信息行为的入罪边界划定不清、行政处罚与刑事措施混用等行刑衔接问题。原因在于：一是行政法与刑法在保护法益、个人信息范围以及行为方式等实体内容上存在立法脱节;二是案件监管移送、证据转化及法律监督的程序规则缺乏协同。为保障侵犯公民个人信息犯罪的良好行刑衔接和推进《个人信息保护法》的有效实施,需要基于实体与程序的双重维度,建立刑事法与前置行政法规范的协调衔接体系。在实体衔接层面,要坚持法秩序统一原则,实现两法在保护法益、个人信息范围、分级标准以及不法行为要素的联系协调,合理界定侵犯公民个人信息罪边界。在程序衔接层面,要强化行政监管主体的协同配合,细化案件的双向衔接程序,规范证据转化制度,发挥社会监督与检察监督的协同功能。     

大数据背景下侵犯公民个人信息罪的界定研究

随着互联网4.0时代的到来,公民个人信息在大数据时代因其商业价值而处于前所未有的风险之中。而仅靠民事和行政手段显然不足以充分保护公民个人信息。2009年《刑法修正案(七)》和2015年《刑法修正案(九)》增设并完善了侵犯公民个人信息罪,从刑事层面保护个人信息。然而其中尚有诸多不尽完善之处,需要进一步完善修订,更好地构建个人信息法律保护体系。     

公民生物识别信息的刑法保护

人脸识别的广泛应用在推动社会发展的同时产生了公民个人信息被非法收集、人脸识别黑产泛滥等问题.生物识别信息具有直接识别性、不可更改性、易采集性、法益特殊性以及不可匿名性等特征.现行刑法在生物识别信息保护方面存在侵犯公民个人信息罪立法及司法解释滞后、无法有效规制非法使用公民生物识别信息行为等问题.可通过完善侵犯公民个人信息...     

由事后惩治向事前合规：侵犯公民个人信息罪的治理模式转型

随着互联网大数据时代的快速发展,个人信息保护问题已然成为人民群众利益保护的核心议题。面对愈演愈烈的个人信息相关违法犯罪案件的激增态势,我国刑事立法不断地使制裁范围更加严密,司法实践也在贯彻从严惩治政策,试图通过纯粹的刑事制裁机制来实现对侵犯公民个人信息犯罪的有效治理。但是,当前我国治理侵犯公民个人信息犯罪存在过分依赖国家公权保护、强化刑法事后惩治性的威慑预防、偏颇定位个人信息保护法益等问题,这导致了事前合规式风险防控机制缺失,不利于个人信息协同保护机制的建立与完善。刑事合规通过前置侵犯公民个人信息罪的风险控制基点、构建多元化防控机制、提升企业治理的激励性方式,将合规的事前规划式激励预防与刑法的事后惩治性威慑预防融为一体,有利于实现侵犯公民个人信息罪治理模式的转型。在理论层面,合规计划融入侵犯公民个人信息罪治理符合可能、必要且可期待等标准。在实体法层面,应增设侵犯公民个人信息罪的前置性免责程序条款,发挥行政处罚程序的出罪功能,同时将单位认罪认罚作为量刑从宽情节,赋予刑事合规影响侵犯公民个人信息罪构罪和量刑的双重功能。在程序法层面,应严格限制涉罪企业合规的适用条件,完善单位犯罪附条件不起诉...     

网络社会中个人信息的保护——构建侵犯公民个人信息罪的规范意蕴

网络社会语境下侵犯公民个人信息呈现出膨胀和多元的态势,“偷拍”“偷录”等能够被评价为侵犯公民个人信息罪.“违反国家有关规定”是“违反国家规定”的另外一种表达,旨在突出规定的相关性和广泛性,但是并不降低国家规定的主体是全国人大及其常委会、国务院的定位.个人信息是指与个人有关的信息,不要求可识别性.个人信息与个人隐私不是对立关系,个人隐私在内容上是个人信息的一部分.个人信息可以分为四种类型:个人生物信息和个人社会信息、个体信息和涉众信息、动态信息(行为信息)和静态信息、识别信息和非识别信息.对个人信息进行多种分类,可以为以后新类型信息识别打开通道.在侵犯公民个人信息罪中,“公民”是一个泛称概念,包括所有自然人,也包括死者.     

走出侵犯公民个人信息罪的法益保护之迷思——超个人法益之提倡

大数据时代，公民个人信息安全岌岌可危，对侵犯公民个人信息罪的研究也越发重要，而关于该罪的法益属性存在诸多争议。本文认为，个人信息应该作为超个人法益进行保护。首先，从刑法教义学角度分析，不能得出该罪保护的法益为个人法益的结论，而是保护个人法益之上的超个人法益；其次，个人信息权是一种被“泛化”的权利，不宜作为刑法法益。大数据时代，个人信息的非个人控制性导致个人信息权的实现没有可行性基础，且个人信息具有巨大的商业价值和公共管理价值，强行保护公民个人信息权的成本过高。     

从分类到分级：我国公民个人信息的刑法保护

《关于办理公民个人信息刑事案件适用法律若干问题的解释》对公民个人信息进行分类并对不同种类的信息设定不同的适用数量，再将不同的数量与侵犯公民个人信息罪的“情节严重”挂钩，以刑法和司法解释的联动方式，形成了我国刑事立法中特有的公民个人信息分类保护的双层次模式。《民法典》《个人信息保护法》和我国学术界亦对公民个人信息进行了不同的分类。但上述分类在多个方面均存在缺陷，以至于无法对公民个人信息提供充足和合理的保护。有必要吸取相关经验教训，先确立公民个人信息的分类根据，再据此将其分为三级信息，以该新型分类法重构双层次模式的分类并修正《解释》第5条第1款第3-5项，在刑法层面充分、合理地保护我国公民的个人信息。     

论《个人信息保护法》中的删除权

删除权是个人在个人信息处理活动中的一项重要权利,该权利是个人对其个人信息处理活动享有决定权的具体体现,也是对目的限制原则与合法原则的贯彻落实。在我国法已经对删除权、网络侵权责任中通知删除规则以及对合法公开的个人信息的处理等作出了明确规定的情形下,无需规定被遗忘权。删除权不同于自然人撤回同意以及网络侵权责任中的通知删除规则。删除权的权利主体是个人,义务主体是个人信息处理者。在符合《个人信息保护法》第47条规定的情形时,个人信息处理者应当主动删除个人信息,个人也有权请求处理者删除。如果法律、行政法规规定的保存期限尚未届满或者删除个人信息从技术上难以实现的,个人不得行使删除权,但是个人信息处理者应当停止除储存和采取必要的安全保护措施以外的处理活动。如果个人信息处理者拒绝个人行使删除权的请求,个人可以向法院提起诉讼,从而实现对删除权的司法保护。     

个人信息保护的法律规制与法治路径

数据是信息的主要表现和转换形式，数据共享已成为个人信息利用的一种极为快捷便利的有效方式。需要建立对个人信息严密保护的数据共享机制，建立以数据为核心的数据所有权保护制度，构建个人信息“权利束”保护的工具性体系。个人信息权保护的法律规制主要体现在四个方面:个人信息私法保护的法律规制，个人信息正当处置的法律规制，个人信息合法删除的法律规制，侵害个人信息权益的法律规制。个人信息权保护的法治路径集中反映在三个方面:对已经公开的个人信息适用刑法保护，对侵犯个人信息的犯罪行为追究刑事责任，个人信息权益保护适用公益诉讼。     

为合法经营活动而侵犯公民个人信息的刑法规制

最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条对为合法经营活动而侵犯公民个人信息行为进行独立规制,是新型犯罪罪状表述抽象化与罪状解释具体化、信息时代信息价值多元化与危害行为多样化、现代社会犯罪治理精细化与刑法评价精准化的内在要求.为合法经营活动而侵犯公民个人信息行为相关规范要素中的“为合法经营活动”应理解为主观超过要素,“获利五万元”应作严格解释,“曾因侵犯公民个人信息”应作广义解释,“其他情节严重”应包括信息数量标准.     

公开个人信息处理中的企业合规

《个人信息保护法》对公开的个人信息呈现出弱化保护态势，但这并不意味着无需保护。公开个人信息承载了自然人的人格尊严和自由权益，企业处理公开个人信息仍需遵守《个人信息保护法》等法律法规。公开个人信息处理的合法性依据是以法定许可为原则，以个人同意为例外。公开的个人信息，并不是泛指任何处于公开状态的个人信息，它仅限于合法、绝对公开的个人信息。公开个人信息处理应限于合理范围之内，且应尊重信息权人的拒绝权。公开个人信息处理，虽然通常会因其公开性具有阻却违法、阻却责任的法律效果，但若违法处理也会让企业面临行政处罚和刑事追诉的合规风险。这主要包括欠缺合法性根据的合规风险，处理对象不适格的合规风险，处理方式不合理的合规风险三类。为防范公开个人信息处理中的合规风险，企业有必要建立公开个人信息处理中的合规方案，将其纳入数据保护专项合规计划之中，在数据业务中正确识别个人信息类型和公开个人信息类型，建立公开个人信息处理的影响评估机制。     

论公共行政领域个人信息权的保护

网络的来临与新技术的突飞猛进,使人类社会步入了一个电子卷宗的社会.个人信息权的保护问题日益引人关注.在公共行政领域中,关键的便是要处理好政府信息公开与个人信息保护的问题,特别是协调好公民知情权与个人信息权之间的冲突.同时,针对行政机构在处理个人信息的过程中对信息主体常见的侵权行为,提出对行政机关处理个人信息行为的规则原则以及当事人可以采取的行政复议、行政诉讼、行政赔偿三种行政救济途径.“无法律即无行政”公共行政机关必须在法律的授权范围内来处理个人信息,其行为理应受法律的约束.     

侵犯公民个人信息罪刑事判决实证研究——以2015-2018年335份相关生效判决为样本

经过两部刑法修正案和一部司法解释的修订与细化，侵犯公民个人信息罪的保护法益、罪状模式和刑罚规则已较为完整。然而随着数据产业的深入发展，通过对该罪335份生效刑事判决的实证分析可知，个人信息犯罪刑事规制存在保护法益滞后、法人责任追诉缺失、信息认定规则模糊、罚金刑适用差距大和缓刑适用不确定性高等主要问题。对此，应确立个人信息权为保护法益、优化法人责任结构、细化信息认定规则、完善罚金刑裁量标准和为缓刑适用注入确定性，以期进一步提升侵犯公民个人信息犯罪刑事规制的实效性与法治性。