《《个人信息保护法》中“知情同意条款”的出罪功能.docx》由会员分享,可在线阅读,更多相关《《个人信息保护法》中“知情同意条款”的出罪功能.docx(52页珍藏版)》请在第一文库网上搜索。
1、个人信息保护法中“知情同意条款”的出罪功能2021年11月生效的中华人民共和国个人信息保护法(下文简称个人信息保护法)继承并进一步明确了知情同意原则。反观我国学界,对于知情同意原则所保护对象的范围,仍存在巨大争论。例如,个人信息主体享有的是“权利”还是“利益”;个人信息是否属于私法的保护对象;个人信息权与隐私权是否存在区分之必要。其中,关于个人信息权利是否存在的论争,虽在民法学界意义重大,但在刑法学中不存在深究的必要,因为法益概念可被视为“权利”和“利益”的统称,这与一些民法学者所主张的“个人信息权益”概念包括“本权权益”与保护“本权权益”的权利的观点不谋而合。然而,个人信息究竟属于公共物品还
2、是应由私权来保护这一问题,直接决定了侵犯公民个人信息罪的体系定位是否合理,这对刑法学研究来说颇具意义。个人信息权与隐私权之区分是否必要的问题,也会影响到侵犯公民个人信息罪的法益确定,进而左右相关出罪事由的讨论。故有必要在行文之前,对这两个前置性问题加以回应。首先,个人信息并非公共物品。虽然信息主体对其个人信息所拥有的权利,不具有物权的独占性(典型例证如,为了国家利益之需要可以收集个人信息),而且一旦将个人信息提供给个人信息处理者使用,信息主体就丧失了对其个人信息的实际控制与支配,但是,对于信息主体而言,个人信息具有人格自由与人格尊严价值,承载着多重法益(包括隐私、人身、财产利益),仍然属于民法
3、中私权的客体。在这个意义上,侵犯公民个人信息罪被规定在中华人民共和国刑法(下文简称刑法)第4章“侵犯公民人身权利、民主权利罪”中,是合理的。其次,个人信息保护法第4条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。其中既包括自然人不愿为他人所知的私密信息,也包括姓名、电话号码、政治面貌等在社会交往中必须向他人提供以确立自身人格外观的一般个人信息,所以个人信息(权益)与隐私(权)之间存在区别。刑法中侵犯公民个人信息罪中的犯罪对象是公民个人信息,根据法秩序统一原理,本罪的法益应当至少包括个人信息权益。认为本罪保护的是隐私权的观点,显然不当缩小了本罪的保护范围。在回
4、答了上述前置性问题之后,便可正式提出本文旨在解决的问题,即在个人信息处理者与用户的互动关系中,知情同意原则是否被视为侵犯公民个人信息罪的出罪事由。首先,本文以“移动应用程序”(下文简称APP”)为例,研究作为个人信息处理者与用户互动规范的隐私政策的属性。其次,针方案。再次,结合改善前后的知情同意原贝k探讨其与刑法语境下“被害人同意”的关系。对知情同意原则所临的现实困境提出应对第四,讨论将完善后的知情同意原则作为侵犯公民个人信息罪出罪事由的可行进路。最后,明确知情同意原则出罪功能的适用限制,以实现企业刑事合规与个体权益保障之间的平衡。、APP隐私政策的合同属性作为“典型”的个人信息处理者,APP
5、的经营主体在其与用户的互动关系中,主要通过隐私政策的文本设计与适用来落实知情同意原则。因此,对于APP隐私政策属性的认定,直接影响到知情同意原则与侵犯公民个人信息罪的关系。(一)我国APP隐私政策的现实样态与属性论争我国主流APP的隐私政策文本,基本上都倾向于将隐私政策视为用户与APP经营主体之间的合同。如支付宝隐私政策提示用户需要同意其按照该政策约定处理用户的信息。淘宝平台服务协议同样明确淘宝平台的隐私权政策是该协议的补充协议,与其不可分割且具有同等法律效力。据此,一般认为我国APP的隐私政策,是指用户与APP运营者之间的协议或约定,即合同。然而,现实样态却并非如此简单。以安卓系统客户端多款
6、APP为例,其隐私政策大体分为两类:第一大类,如百度、抖音、淘宝、知乎等,用户下载安装后首次点开该APP时,隐私政策的链接就会出现。而其可以进一步细分为“要么同意,要么离开”类以及“注册需同意”类。属于前者的APP用户,如果不同意相关隐私政策,就根本不能使用该APP的任何服务。属于后者的APP用户,即便点击“不同意”也不会退出,仍能使用相关APP的部分服务(如知乎里游客模式下的浏览服务),但是如果想要使用相关APP的核心服务,就必须同意隐私政策,注册或登录后才能使用。在这种情况下,如果承认APP隐私政策属于合同,那么合同的双方显然是APP与注册用户,而不是仅仅使用浏览服务的“游客”。这就意味着
7、,如果承认APP隐私政策的性质属于合同,那么点击“同意”的用户与这一大类APP之间就会由此产生契约关系。第二大类,如拼多多,用户在下载安装完毕首次点开该APP之时,并不能直接看见隐私政策,在个人中心一设置中也不能看见隐私政策,而是需要注册登录之后,才能在APP的个人中心一设置中找到该APP的隐私政策。这就会导致一个看似矛盾的问题,即用户同意该类APP隐私政策的时间,甚至早于用户发现或浏览隐私政策内容的时间。拼多多APP隐私政策明确表示,一旦用户开始使用拼多多的各项产品或服务,即表示已充分理解并同意本政策。这就意味着用户只要安装该APP之后进入相关页面简单浏览,即等同于用户表示同意。然而,用户这
8、个时私政策内容一无所知。如此一来,如果认为此类APP隐私政策具有合同属性,那么该合同的成立生效时间显然早于合同一方当事人得知合同内容的时间。候尚未注册,对于后APP隐对此,我国学界存在两种观点。有学者认为经用户同意的隐私政策将在用户与网络服务提供者之间成立合同关系,其与网络服务协议是相互独立的两个合同,是网络服务协议的前置性协议,而不需要经用户同意的隐私政策属于企业自律规则。但从实践来看,在许多情形下,隐私政策需要经过用户同意才生效;有学者认为,经营性互联网信息服务网页上所载的隐私政策是网络经营主体与网络用户就收集、存储和使用用户个人信息的行为进行的约定,为格式条款合同。非经营性网站上所载的属
9、于告示类的隐私声明不是合同;还有学者从网络免费服务的本质出发,认为用户如果不授权企业对个人信息的使用则无法享受网络经营者的服务,个人信息的授权与企业的服务形成对价关系,企业发布隐私政策是要约,用户选择企业的服务,则表现为用户对隐私政策的同意。此外,隐私政策合同说还可以通过隐私政策的内容进一步证明。然而,有学者认为隐私政策根本不是合同,不具有合同属性,而是“具有社会承诺属性”,主要理由是消费者个人信息蕴含着社会价值,因而隐私政策必须符合公共利益;强调个人信息的社会控制意味着个人信息的使用应由社会决定,而非由个人决定;不管用户是否真正同意隐私政策,监管机构、媒体等都可以对企业的隐私政策反复评价,企
10、业的隐私政策因而代表了企业的社会形象;协议所应有的协商和合意在提供与接受隐私政策的过程中荡然无存,用户要么同意,要么离开。所以,隐私条款因具有社会属性而不再是APP经营主体与用户之间的合同。(二)APP隐私政策的民事合同性质本文认为,APP隐私政策属于个人信息处理者与个人信息主体之间缔结的民事合同。首先,不能以个人信息的社会控制论为依据否认隐私政策的合同属性。个人信息社会控制论否定信息主体对于个人信息绝对的、普遍的控制,提倡建立“以一般允许为原则,以个人控制(同意决定)为例外”的个人信息使用规则。也就是说,这种观点其实并不否认存在应当由用户个人控制或支配的个人信息。其次,隐私政策中依旧存在用户
11、与APP之间的协商与合意,“不同意,就退出”的现象实际上是不存在的。从形式上看,某些APP的用户的确只有选择同意全部隐私政策,才能进入相关页面,否则将被迫退出。但事实上,即便用户选择接受,仍然可以通过在设置中行使默认不开启的权限等方式,对APP隐私政策中的某些条款做出后续调整。也即,对于隐私政策中涉及个人信息采集的关键条款,用户仍然可以自主选择同意或不同意。例如支付宝的隐私政策虽然建议用户为了更安全、便捷地登录,可选择刷脸登录服务,并向支付宝方面提供脸部图像或视频,以核验用户身份。但用户如果选择不同意,并不会被强制退出。在这个意义上,“要么同意,要么离开”的情况并不全然或绝对存在。毕竟几乎所有
12、APP隐私政策条款都规定,如用户不同意提供前述信息,将无法完成(上述)特定操作,但不影响使用其他服务等内容,例如,淘宝用户如果拒绝提供上述信息,虽然无法注册淘宝平台账户,但仍可以使用浏览、搜索服务。换言之,存在某种用户选择空间。因此,本文认为隐私政策就是个人信息处理者与个人信息主体在互动关系中形成的以个人信息处理与保护为主要内容的合同。判断APP II私政策属性的意义在于:隐私政策的属性决定了用户的知情同意是否可以成为侵犯公民个人信息罪的出罪事由。如果APP隐私政策构成个人信息处理者与个人信息主体之间的合同,那么尽管APP隐私政策可能存在违背现行管理性法律规范的条款,但是对于这些条款用户仍可以
13、同意,即经同意的此类条款仍属于有效的合同条款。而所谓管理性强制规定是指,法律没有规定违反该强制性规定将导致合同无效,违反该规定亦不损害国家利益和社会公共利益,只是损害当事人利益。违反管理性规定承担的是被管理一方的管理责任或行政处罚。由此可见,中华人民共和国民法典(下文简称民法典)第1035条或个人信息保护法第5条规定的个人信息处理的必要原则属于管理性规定。我国现行法律、行政法规等禁止APP过度收集用户个人信息,但是在APP隐私政策是合同的前提下,在隐私政策中约定的过度收集个人信息的条款虽然违反强制性管理性规定,但经过用户同意,过度收集条款仍然有效,即用户对违反强制性管理性规定的条款之同意有效。
14、所以按照隐私政策(合同)中过度收集条款实施的过度收集行为,虽然“违反国家有关规定”,侵犯了公民个人信息不被过度收集的个人信息权,因而该当侵犯公民个人信息罪的构成要件,但是可以在违法性判断意义上研究用户知情同意是否阻却违法性。然而,如果隐私政策是APP经营主体的自律规则,鉴于企业自律标准不应该低于现行国家有关规定中个人信息保护标准以及国家标准,所以在隐私政策中不能规定有违反国家有关规定收集或提供个人信息的条款。而且,因为自律规则不需要经过用户同意,故不可能存在用户同意是否阻却“违反国家有关规定”的收集或提供行为违法性的问题。如果隐私政策是自律规则,那么本文所研究的知情同意与侵犯公民个人信息罪的关系则毫无意义。正因如此,本文于正文之首,直截了当提出隐私政策属性之疑问。二、知情同意原则功能失灵的应对通说认为,知情同意原则是指信息经营主体在收集个人信息之时,应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知,并征得信息主体明确同意的原则。知情同意权是个人信息权的积极权能之一,可分为知情权和同意权。知情权是指数据主体有权知道与其数据将被处理的一切相关资讯,包括数据控制人的身份、拟处理数据的范围、处理依据,等等。在这个意义上,知情是同意的前提,同意是知情的目的,同意的对象是一切形式的数据处理。还有论者认为,告知是同意的内在规范要求。但在另一方面,知情同意原