APP違法違規收集使用個人信息的刑事責任邊界

馬天一

（中國政法大學刑事司法學院，北京 100088）

1 引言

隨著移動互聯網的推廣，網絡服務提供者通過APP提供網絡服務，用戶在對其進行使用時往往會被收集使用個人信息，而此時也產生了個人信息收集使用的亂象。為了規范APP服務提供者對個人信息的收集使用，2019年始，國家開展APP違法違規收集使用個人信息專項治理工作，《APP違法違規收集使用個人信息行為認定方法》《APP違法違規收集使用個人信息自評估指南》等文件相繼出臺，大量違法違規的APP服務提供者被行政手段進行制裁?？梢钥闯?，在處理涉APP服務提供者個人信息收集使用問題時，國家傾向于利用行政手段而非刑事手段進行解決。實際上，在個人信息保護領域，刑法的制定腳步明顯領先于民法、行政法等規范，2015年《中華人民共和國網絡安全法》規定了網絡服務提供者對個人信息的網絡信息安全義務，2017年《中華人民共和國民法總則》對個人信息的民法保護進行了明確，對此，“民先刑后”“民緊刑松”等將刑法后置化、取締通過刑法“以點帶面”的思路應當是現有法律體系下應有之合力。

2 刑法視角下的個人信息保護

個人信息保護是近年來社會治理的熱點問題，與之相應，侵犯公民個人信息罪成為了刑法中的“顯學”，理論界與實務界都不乏對侵犯公民個人信息罪的深入研究。但是，侵犯公民個人信息的行為就如同電信詐騙一樣，盡管國家不斷持續、深入地對相關行為進行打擊，但由于實施難度不高、可獲取利益較為客觀，侵犯個人信息與電信詐騙都成為了信息時代的常見危害行為。對于此類行為，國家立法、特別是刑法并非缺乏有效回應。對侵犯公民個人信息的行為而言，2009年《中華人民共和國刑法修正案（七）》第253條增設出售、非法提供公民個人信息罪與非法獲取公民個人信息罪，2015年《中華人民共和國刑法修正案（九）》將前述罪名合并為侵犯公民個人信息罪，2017年兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》出臺，完善了對侵犯公民個人信息罪適用的具體規范。作為與個人信息接觸最為密切的網絡服務提供者，其自然也應為前述罪名的規制對象之一。

那么，規范APP服務提供者收集使用個人信息行為時，如何形成刑法與其他部門法的合力，即如何使侵犯公民個人信息罪既能夠對APP服務提供者對個人信息的收集使用行為產生有效威懾，也能通過暢通的刑行銜接、刑民銜接發揮打擊犯罪的功能？對此，本文將在實證研究的基礎上，對近年來相關違法違規態勢與行業發展形勢進行總結梳理，進而探索在個人信息保護法律制度的大廈逐步搭建成型之際，侵犯公民個人信息罪面對個人信息收集使用時的應有進路。

3 對違規違法收集使用個人信息行為的實證分析

隨著APP服務與個人生活黏度的不斷增強，APP整體數量正在不斷增加，但APP良莠不齊的現象也始終存在。從收集使用個人信息的違法違規態勢上看，APP服務提供者的部分行為與侵犯公民個人信息罪的規制對象存在關聯；從行業發展形勢上看，APP服務提供者對個人信息的收集使用規則或協議往往通過用戶協議與隱私政策體現。

3.1 違法違規態勢：APP服務提供者違法違規收集使用個人信息簡析

APP服務提供者對個人信息收集、使用的環節貫穿了用戶注冊驗證、實名認證、發布信息、使用服務、終止服務等全部流程。對于其違法違規收集、使用個人信息的情形，《APP違法違規收集使用個人信息行為認定方法》進行了概括，為“未公開收集使用規則”“未明示收集使用個人信息的目的、方式和范圍”“未經用戶同意收集使用個人信息”“違反必要原則，收集與其提供的服務無關的個人信息”“未經用戶同意向他人提供個人信息”“未按法律規定提供刪除或更正個人信息功能或未公布投訴、舉報方式等信息”。在2020年“面部特征等生物特征信息收集使用不規范，APP后臺自啟動、關聯啟動、私自調用權限上傳個人信息，錄音、拍照等敏感權限濫用”等行為也成為新一輪治理工作的重點針對對象?？傮w而言，APP服務提供者存在積極違法違規（后統稱“積極行為”）與消極違法違規的行為，前者主要指收集、使用、提供的相關行為，后者則主要指未按規定進行相關規則公開或提供功能、渠道。積極行為與消極行為可能同時存在于某一APP服務提供者上，并且在《中華人民共和國網絡安全法》中統統被概括為“侵害個人信息依法得到保護的權利”，但是明顯積極行為對個人信息造成了直接侵害，而消極行為則間接對用戶行使個人信息的相關權利造成了侵害，從2020年新一輪治理工作的針對側重點看，可以印證對積極行為打擊的緊迫性、必要性。

從刑法角度來看，如果APP服務提供者實施消極行為，則其與侵犯公民個人信息罪中的“出售、提供、竊取、以其他方法非法獲取”等行為并無關聯，沒有可能構成本罪。而積極行為則相反，APP服務提供者如果進行越權收集使用或提供等行為，其從行為模式上則可以構成侵犯公民個人信息罪。因此，在下文對行業發展形勢，即對用戶協議與隱私政策進行分析時，將針對與積極行為有關的條款進行研究，而不會針對諸如“個人信息刪除”“閱讀訪問情況”等消極行為展開。

3.2 行業發展形勢：APP服務提供者用戶協議與隱私政策簡析

APP服務提供者對個人信息收集使用的發展現狀被濃縮在了用戶協議、隱私政策等公開文件中。為了更好地開展分析，必須先明確用戶協議、隱私政策的法律意義。用戶協議是用戶在使用網絡服務之前，需要閱讀并同意的格式合同，在行業實踐中，用戶注冊使用即視為同意該用戶協議。在個人信息方面，用戶協議包括了注冊相關條款、用戶對個人信息的權利、隱私政策指引等內容。而隱私政策（個人信息保護政策）則通篇闡釋對個人信息的保護，包括APP服務提供者如何收集、使用、共享、轉讓、公開披露、保護、保存個人信息，以及例外情況等。隱私政策盡管具有告知功能和制約功能，但其性質并不清晰，發生糾紛時也難以束縛企業。同時，用戶協議、隱私政策并不反映APP的代碼如何具體運作。但不可否認的是，用戶協議與隱私政策成為了研究APP服務提供者對個人信息收集使用是否合法合規最為直接的依據。那么，用戶協議與隱私政策如何約束前述積極行為，即如何做到取得用戶對收集使用個人信息的同意、如何劃定與服務有關的個人信息范圍、如何約定向他人提供用戶個人信息的合法前提，對于APP服務提供者而言至關重要。

通過對目前市面上APP的用戶協議與隱私政策進行分析，可以總結出行業實踐規則。（1）在如何取得用戶同意的方面，APP往往會明示收集使用個人信息的場景/服務環節，并明確協議外單獨征求授權，以及征得同意的例外。（2）在與服務有關個人信息范圍上，APP往往會結合前述場景/服務環節，在各類個人信息的收集使用場景/服務環節基礎上進行具體明確。（3）在約定向他人提供個人信息上，主要包括經用戶同意提供、基于業務提供（與關聯公司、合作伙伴共享、基于協議約定或商業習慣等）、以及個人信息合法轉讓等情形。

那么，前述APP的用戶協議與隱私政策在個人信息的收集使用環節扮演何種角色？其屬于合同？公告？亦或是基于商業實踐為個人信息收集使用劃定的一般界限？應當明確的是，無論其屬于何種性質：一方面，APP服務提供者如果超越用戶協議與隱私政策的文本內容收集使用個人信息，當然很有可能因實施積極行為而違規收集使用個人信息；另一方面，APP服務提供者按照用戶協議與隱私政策收集使用個人信息，但是如果用戶協議或隱私政策本身就對用戶的個人信息相關權益構成侵害，即使其嚴格按照文本內容實施行為，APP服務提供者對個人信息的收集使用也符合積極行為的本質屬性，即具有法律上的可罰性。

4 侵犯公民個人信息罪在APP個人信息治理活動中的功能定位

刑法作為保障法、最后法，應當成為國家保護個人信息的最后一道屏障，其介入APP違法違規收集使用個人信息的治理具有必要性。對于APP違法違規收集使用個人信息而言，從構成要件上看，侵犯公民個人信息罪可以評價APP服務提供者實施的積極行為。明確這一罪名在APP治理活動中的功能定位，可以更好地促進刑法與其他部門法的銜接，保障司法機關、執法機關科學地根據刑法開展治理工作。首先，應當對侵犯公民個人信息罪的實質進行分析，綜合結合立法、司法等環節，把握其在個人信息保護中的功能屬性；之后，將分析這一罪名在APP治理中的應然定位，為探索APP違法違規收集使用個人信息的刑事責任邊界奠定基礎。

4.1 侵犯公民個人信息罪實質分析

如前所述，刑法增設個人信息保護罪名使其在個人信息保護領域走在了其他部門法前面，但經過十多年的變遷，個人信息保護罪名所處環境發生了巨大變化，新的犯罪類型、新的個人信息類別、新的行業實踐、新的管理制度相繼出現，為了保證這一罪名與其他部門法良好銜接，進而規范行業發展，遏制犯罪態勢，對侵犯公民個人信息罪的實質進行把握尤為重要。

首先，應明確侵犯公民個人信息罪的法益保護范圍與具體規制對象。在信息時代，公民個人信息具有人身特性、經濟屬性和社會屬性的多重維度，對公民個人信息的侵害，可以威脅到包括人身、財產、社會管理秩序等多方面的法益。對于社會管理秩序而言，刑法通過設立拒不履行信息網絡安全管理義務罪將網絡服務提供者對個人信息的網絡安全管理義務進行了明確。而在人身、財產方面，隨著立法、司法解釋等對個人信息“可識別性”這一核心特征的明確，侵犯公民個人信息罪保護公民人格利益以及信息財產利益等人身民主財產權利的側重點更加明晰。具體到APP收集使用個人信息上，侵犯公民個人信息罪將對個人信息的非法獲取、提供、出售視為侵害法益的行為，因而本罪的規制對象既包括提供服務過程中的非法獲取行為，也包括對用戶提供服務之外的對外提供、出售之行為。

在進行法條分析的同時，考察司法機關對本罪的適用情況可以更好地探究侵犯公民個人信息罪的實質。本文在裁判文書網檢索案由為侵犯公民個人信息罪的一審刑事判決書，通過“提供服務”“科技有限公司”“授權”等關鍵詞精確檢索結果，對大量判決書進行分析，得出三條結論。（1）絕大部分在提供服務過程中獲取的行為發生在非APP業務中，例如國家機關、通信公司、房地產企業、銀行開展線下業務等，網絡服務提供者入罪數量占比極小。（2）網絡服務提供者因非法獲取個人信息獲罪，既有在開展業務過程中實施犯罪，也有在開展業務外非法獲取個人信息：前者主要體現為引誘被害人在APP軟件填寫個人信息注冊，從而非法獲取公民個人信息，詳見浙江省紹興市越城區人民法院刑事判決書（2019）浙0602刑初151號、浙江省紹興市越城區人民法院刑事判決書（2019）浙0602刑初850號等；后者可以體現為犯罪人暴庫，即從他人數據庫處竊取個人信息，導入公司服務器，詳見湖北省崇陽縣人民法院刑事判決書（2018）鄂1223刑初370號。（3）網絡服務提供者因出售、提供等行為受到刑罰處罰，原因在于其具有后續非法利用個人信息之目的，例如犯罪人將其通過APP等網絡服務獲取的個人信息轉賣牟利，詳見廣西壯族自治區陸川縣人民法院刑事判決書（2019）桂0922刑初370號、山東省桓臺縣人民法院刑事判決書（2019）魯0321刑初41號、浙江省嘉興市南湖區人民法院刑事判決書（2018）浙0402刑初205號等。

以上結果可以從一定程度上反映司法機關、執法機關等公權力機構對本罪的理解與適用：對于網絡服務提供者而言，在非法向他人提供或出售方面，如果其具有惡意利用個人信息的目的，則屬于可能被科處刑罰的危害行為；在非法獲取個人信息方面，如果其以惡意目的為驅動非法收集公民個人信息，或以非收集的方式從他處獲取，則屬于可能被科處刑法的危害行為。

4.2 侵犯公民個人信息罪的應然定位

侵犯公民個人信息罪的實質體現出充分的刑法謙抑性。從立法、司法兩個維度上看，除非APP服務提供者欲以個人信息本身獲得非法利益（如將個人信息作為買賣對象，或為業務開展創造不當便利而獲取個人信息），否則侵犯公民個人信息罪并不介入APP違法違規收集使用個人信息。因此，對前述具有社會危害性的積極行為入罪化處理是侵犯公民個人信息罪的應有之意。

但是，APP違法違規收集使用個人信息正在不斷涌現出新的方式，如違法收集生物識別信息、私自上傳通訊錄、向關聯公司提供個人信息等。從刑法角度看，侵犯公民個人信息罪對前述行為的適用尚有模糊之處。例如，APP服務提供者根據用戶協議向關聯公司提供個人信息時，如何界定關聯公司的范圍？用戶協議或隱私政策中聲明是否可被視為得到用戶授權？再如，為了APP自身業務更好開展而越權收集生物識別信息，是否能夠觸發侵犯公民個人信息罪？結合前述侵犯公民個人信息罪的應有功能。本文認為，在APP收集使用個人信息新形式不斷展現的背景下，相比于積極地介入對違法違規行為的評價，侵犯公民個人信息罪應當以“達摩科沃斯之劍”的形式展現在APP服務提供者面前。其原因在于，對APP違法違規收集使用個人信息而言，如果動輒動用刑法，不僅不利于企業生存與用戶權益保障，也會造成選擇性執法的局面。但是，如果能夠讓侵犯公民個人信息罪成為時刻敦促APP服務提供者合法合規開展業務的罪名，則可以在網絡平臺合規計劃的配合下，實現用戶個人信息安全、APP服務提供者法律風險預防的雙贏局面。同時，APP服務提供者實施企業刑事合規計劃，也可以更好地預防和及時發現犯罪，避免內部工作人員利用職務便利侵害用戶個人信息。因此，對具有社會危害性的積極行為入罪化處理，以及敦促APP服務提供者開展合規計劃，是個人信息保護重要性不斷提高背景下，侵犯公民個人信息罪的應然定位。

5 APP侵犯個人信息的入罪阻卻事由

盡管打擊侵犯公民個人信息的刑事法網正在不斷收緊，但是對APP服務提供者而言，為了推動APP行業高質量發展、鼓勵創新商業模式、避免選擇性執法，應當更多地選擇用行政手段對APP收集使用個人信息進行規范，做到普遍的“刑松”而“行緊”。在對APP服務提供者收集使用個人信息進行刑事責任判斷時，應當對其惡意目的進行充分考量，即其是否具有以個人信息本身獲得非法利益的動機。同時，為了實現侵犯公民個人信息罪的應有功能，應當為APP侵犯個人信息入罪的阻卻事由進行明確，以此劃定違法違規收集使用個人信息的入罪邊界。

5.1 刑事合規阻卻刑法適用

實際上，APP的用戶協議與隱私政策都是防范刑事風險的重要合規工作內容。這些文本在個人信息的收集、對外提供等方面都應具有出罪功能。如果文本本身合法合規，并且APP按照文本內容對個人信息進行收集使用，那么無論結果如何，其都不應當進入刑法的視線。例如，目前我國對關聯企業并未有法律上的一致概念，因而司法實踐中會造成對關聯企業認定的不一致，進言之，若APP服務提供者完全依照合法合規的用戶協議與隱私政策將其所收集的個人信息提供給關聯企業，就應當從最寬泛的角度解釋關聯企業，避免因個人信息被提供方因未被認定為關聯企業而導致“非法提供”的認定。再如，對于APP服務提供者收集個人信息與提供服務內容的關聯，在完全依照用戶協議與隱私政策收集的情況下，如果涉及到刑事責任層面的判斷，應當為其中關聯性保留最大限度彈性空間。進而，上述入罪阻卻事由作為執行刑事合規計劃的獎勵，能夠更好地推動APP用戶協議與隱私政策的文本完善與執行完善。當然，當APP的用戶協議與隱私政策本身違法違規，或APP服務提供者在實際操作中超越文本內容進而違法違規，則不能依照前述刑事合規的視角進行出罪。

5.2 信息自決權阻卻刑法適用

隨著個人信息保護理論的不斷發展完善，應從信息自決權角度出發，盡量限縮APP違法違規收集使用個人信息的入罪邊界。根據從APP用戶協議與隱私政策總結出的行業實踐規則，APP服務提供者的用戶協議與隱私政策的核心是獲得用戶對其收集使用個人信息的授權，即滿足用戶個人信息自決權。在侵犯公民個人信息罪視角中，這一權利體現為信息主體自行決定是否以及在何種范圍內披露、使他人知悉并利用個人信息。在用戶協議與隱私政策中，無論是用戶授權APP服務提供者收集個人信息條款，還是授權其根據用戶協議與隱私政策對外提供條款，其本質都是利用信息自決權而規避法律風險。在《刑法》上，信息自決權對于刑事違法性的判斷更具有重要意義：信息自決權人同意可以被視為《刑法》上的“被害人承諾”，因而對個人信息的收集使用行為能夠獲得犯罪意義上的違法阻卻。因此，APP服務提供者可以以通過用戶協議與隱私政策獲得了用戶授權為由，主張刑事責任的免除。當然，這種免責條件只能針對一般的違法違規收集使用個人信息的行為，例如超越服務范圍收集個人信息等。如果其具有前文中提到的惡意目的，那么則不能基于用戶協議與隱私政策進行免責。例如，在經同意買賣個人信息進而盈利的案件中，信息出賣者因為信息自決權的存在而不具有刑事違法性，但信息購買者并不因出賣人同意便能夠從刑法層面免責。

6 結束語

在APP治理工作中，行政法律規范應處于當之無愧的核心地位，但兼顧保障功能極強的刑事法律規范可以讓APP治理效果更加顯著。為了科學地把握APP服務提供者的入罪邊界，使其權責相適應，并避免刑法對APP服務提供者過于嚴苛，既應對其入罪原因進行充分考量，在其非具有惡意目的之情形下不以犯罪論處；也要對其出罪機理進一步明確，結合當下APP行業實踐，重視APP用戶協議與隱私政策的入罪阻卻功能，以《刑法》為達摩科沃斯之劍，推動APP行業發展的法治化與規范化。