APP违法违规收集使用个人信息的刑事责任边界

马天一

（中国政法大学刑事司法学院，北京 100088）

1 引言

随着移动互联网的推广，网络服务提供者通过APP提供网络服务，用户在对其进行使用时往往会被收集使用个人信息，而此时也产生了个人信息收集使用的乱象。为了规范APP服务提供者对个人信息的收集使用，2019年始，国家开展APP违法违规收集使用个人信息专项治理工作，《APP违法违规收集使用个人信息行为认定方法》《APP违法违规收集使用个人信息自评估指南》等文件相继出台，大量违法违规的APP服务提供者被行政手段进行制裁。可以看出，在处理涉APP服务提供者个人信息收集使用问题时，国家倾向于利用行政手段而非刑事手段进行解决。实际上，在个人信息保护领域，刑法的制定脚步明显领先于民法、行政法等规范，2015年《中华人民共和国网络安全法》规定了网络服务提供者对个人信息的网络信息安全义务，2017年《中华人民共和国民法总则》对个人信息的民法保护进行了明确，对此，“民先刑后”“民紧刑松”等将刑法后置化、取缔通过刑法“以点带面”的思路应当是现有法律体系下应有之合力。

2 刑法视角下的个人信息保护

个人信息保护是近年来社会治理的热点问题，与之相应，侵犯公民个人信息罪成为了刑法中的“显学”，理论界与实务界都不乏对侵犯公民个人信息罪的深入研究。但是，侵犯公民个人信息的行为就如同电信诈骗一样，尽管国家不断持续、深入地对相关行为进行打击，但由于实施难度不高、可获取利益较为客观，侵犯个人信息与电信诈骗都成为了信息时代的常见危害行为。对于此类行为，国家立法、特别是刑法并非缺乏有效回应。对侵犯公民个人信息的行为而言，2009年《中华人民共和国刑法修正案（七）》第253条增设出售、非法提供公民个人信息罪与非法获取公民个人信息罪，2015年《中华人民共和国刑法修正案（九）》将前述罪名合并为侵犯公民个人信息罪，2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》出台，完善了对侵犯公民个人信息罪适用的具体规范。作为与个人信息接触最为密切的网络服务提供者，其自然也应为前述罪名的规制对象之一。

那么，规范APP服务提供者收集使用个人信息行为时，如何形成刑法与其他部门法的合力，即如何使侵犯公民个人信息罪既能够对APP服务提供者对个人信息的收集使用行为产生有效威慑，也能通过畅通的刑行衔接、刑民衔接发挥打击犯罪的功能？对此，本文将在实证研究的基础上，对近年来相关违法违规态势与行业发展形势进行总结梳理，进而探索在个人信息保护法律制度的大厦逐步搭建成型之际，侵犯公民个人信息罪面对个人信息收集使用时的应有进路。

3 对违规违法收集使用个人信息行为的实证分析

随着APP服务与个人生活黏度的不断增强，APP整体数量正在不断增加，但APP良莠不齐的现象也始终存在。从收集使用个人信息的违法违规态势上看，APP服务提供者的部分行为与侵犯公民个人信息罪的规制对象存在关联；从行业发展形势上看，APP服务提供者对个人信息的收集使用规则或协议往往通过用户协议与隐私政策体现。

3.1 违法违规态势：APP服务提供者违法违规收集使用个人信息简析

APP服务提供者对个人信息收集、使用的环节贯穿了用户注册验证、实名认证、发布信息、使用服务、终止服务等全部流程。对于其违法违规收集、使用个人信息的情形，《APP违法违规收集使用个人信息行为认定方法》进行了概括，为“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”“违反必要原则，收集与其提供的服务无关的个人信息”“未经用户同意向他人提供个人信息”“未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息”。在2020年“面部特征等生物特征信息收集使用不规范，APP后台自启动、关联启动、私自调用权限上传个人信息，录音、拍照等敏感权限滥用”等行为也成为新一轮治理工作的重点针对对象。总体而言，APP服务提供者存在积极违法违规（后统称“积极行为”）与消极违法违规的行为，前者主要指收集、使用、提供的相关行为，后者则主要指未按规定进行相关规则公开或提供功能、渠道。积极行为与消极行为可能同时存在于某一APP服务提供者上，并且在《中华人民共和国网络安全法》中统统被概括为“侵害个人信息依法得到保护的权利”，但是明显积极行为对个人信息造成了直接侵害，而消极行为则间接对用户行使个人信息的相关权利造成了侵害，从2020年新一轮治理工作的针对侧重点看，可以印证对积极行为打击的紧迫性、必要性。

从刑法角度来看，如果APP服务提供者实施消极行为，则其与侵犯公民个人信息罪中的“出售、提供、窃取、以其他方法非法获取”等行为并无关联，没有可能构成本罪。而积极行为则相反，APP服务提供者如果进行越权收集使用或提供等行为，其从行为模式上则可以构成侵犯公民个人信息罪。因此，在下文对行业发展形势，即对用户协议与隐私政策进行分析时，将针对与积极行为有关的条款进行研究，而不会针对诸如“个人信息删除”“阅读访问情况”等消极行为展开。

3.2 行业发展形势：APP服务提供者用户协议与隐私政策简析

APP服务提供者对个人信息收集使用的发展现状被浓缩在了用户协议、隐私政策等公开文件中。为了更好地开展分析，必须先明确用户协议、隐私政策的法律意义。用户协议是用户在使用网络服务之前，需要阅读并同意的格式合同，在行业实践中，用户注册使用即视为同意该用户协议。在个人信息方面，用户协议包括了注册相关条款、用户对个人信息的权利、隐私政策指引等内容。而隐私政策（个人信息保护政策）则通篇阐释对个人信息的保护，包括APP服务提供者如何收集、使用、共享、转让、公开披露、保护、保存个人信息，以及例外情况等。隐私政策尽管具有告知功能和制约功能，但其性质并不清晰，发生纠纷时也难以束缚企业。同时，用户协议、隐私政策并不反映APP的代码如何具体运作。但不可否认的是，用户协议与隐私政策成为了研究APP服务提供者对个人信息收集使用是否合法合规最为直接的依据。那么，用户协议与隐私政策如何约束前述积极行为，即如何做到取得用户对收集使用个人信息的同意、如何划定与服务有关的个人信息范围、如何约定向他人提供用户个人信息的合法前提，对于APP服务提供者而言至关重要。

通过对目前市面上APP的用户协议与隐私政策进行分析，可以总结出行业实践规则。（1）在如何取得用户同意的方面，APP往往会明示收集使用个人信息的场景/服务环节，并明确协议外单独征求授权，以及征得同意的例外。（2）在与服务有关个人信息范围上，APP往往会结合前述场景/服务环节，在各类个人信息的收集使用场景/服务环节基础上进行具体明确。（3）在约定向他人提供个人信息上，主要包括经用户同意提供、基于业务提供（与关联公司、合作伙伴共享、基于协议约定或商业习惯等）、以及个人信息合法转让等情形。

那么，前述APP的用户协议与隐私政策在个人信息的收集使用环节扮演何种角色？其属于合同？公告？亦或是基于商业实践为个人信息收集使用划定的一般界限？应当明确的是，无论其属于何种性质：一方面，APP服务提供者如果超越用户协议与隐私政策的文本内容收集使用个人信息，当然很有可能因实施积极行为而违规收集使用个人信息；另一方面，APP服务提供者按照用户协议与隐私政策收集使用个人信息，但是如果用户协议或隐私政策本身就对用户的个人信息相关权益构成侵害，即使其严格按照文本内容实施行为，APP服务提供者对个人信息的收集使用也符合积极行为的本质属性，即具有法律上的可罚性。

4 侵犯公民个人信息罪在APP个人信息治理活动中的功能定位

刑法作为保障法、最后法，应当成为国家保护个人信息的最后一道屏障，其介入APP违法违规收集使用个人信息的治理具有必要性。对于APP违法违规收集使用个人信息而言，从构成要件上看，侵犯公民个人信息罪可以评价APP服务提供者实施的积极行为。明确这一罪名在APP治理活动中的功能定位，可以更好地促进刑法与其他部门法的衔接，保障司法机关、执法机关科学地根据刑法开展治理工作。首先，应当对侵犯公民个人信息罪的实质进行分析，综合结合立法、司法等环节，把握其在个人信息保护中的功能属性；之后，将分析这一罪名在APP治理中的应然定位，为探索APP违法违规收集使用个人信息的刑事责任边界奠定基础。

4.1 侵犯公民个人信息罪实质分析

如前所述，刑法增设个人信息保护罪名使其在个人信息保护领域走在了其他部门法前面，但经过十多年的变迁，个人信息保护罪名所处环境发生了巨大变化，新的犯罪类型、新的个人信息类别、新的行业实践、新的管理制度相继出现，为了保证这一罪名与其他部门法良好衔接，进而规范行业发展，遏制犯罪态势，对侵犯公民个人信息罪的实质进行把握尤为重要。

首先，应明确侵犯公民个人信息罪的法益保护范围与具体规制对象。在信息时代，公民个人信息具有人身特性、经济属性和社会属性的多重维度，对公民个人信息的侵害，可以威胁到包括人身、财产、社会管理秩序等多方面的法益。对于社会管理秩序而言，刑法通过设立拒不履行信息网络安全管理义务罪将网络服务提供者对个人信息的网络安全管理义务进行了明确。而在人身、财产方面，随着立法、司法解释等对个人信息“可识别性”这一核心特征的明确，侵犯公民个人信息罪保护公民人格利益以及信息财产利益等人身民主财产权利的侧重点更加明晰。具体到APP收集使用个人信息上，侵犯公民个人信息罪将对个人信息的非法获取、提供、出售视为侵害法益的行为，因而本罪的规制对象既包括提供服务过程中的非法获取行为，也包括对用户提供服务之外的对外提供、出售之行为。

在进行法条分析的同时，考察司法机关对本罪的适用情况可以更好地探究侵犯公民个人信息罪的实质。本文在裁判文书网检索案由为侵犯公民个人信息罪的一审刑事判决书，通过“提供服务”“科技有限公司”“授权”等关键词精确检索结果，对大量判决书进行分析，得出三条结论。（1）绝大部分在提供服务过程中获取的行为发生在非APP业务中，例如国家机关、通信公司、房地产企业、银行开展线下业务等，网络服务提供者入罪数量占比极小。（2）网络服务提供者因非法获取个人信息获罪，既有在开展业务过程中实施犯罪，也有在开展业务外非法获取个人信息：前者主要体现为引诱被害人在APP软件填写个人信息注册，从而非法获取公民个人信息，详见浙江省绍兴市越城区人民法院刑事判决书（2019）浙0602刑初151号、浙江省绍兴市越城区人民法院刑事判决书（2019）浙0602刑初850号等；后者可以体现为犯罪人暴库，即从他人数据库处窃取个人信息，导入公司服务器，详见湖北省崇阳县人民法院刑事判决书（2018）鄂1223刑初370号。（3）网络服务提供者因出售、提供等行为受到刑罚处罚，原因在于其具有后续非法利用个人信息之目的，例如犯罪人将其通过APP等网络服务获取的个人信息转卖牟利，详见广西壮族自治区陆川县人民法院刑事判决书（2019）桂0922刑初370号、山东省桓台县人民法院刑事判决书（2019）鲁0321刑初41号、浙江省嘉兴市南湖区人民法院刑事判决书（2018）浙0402刑初205号等。

以上结果可以从一定程度上反映司法机关、执法机关等公权力机构对本罪的理解与适用：对于网络服务提供者而言，在非法向他人提供或出售方面，如果其具有恶意利用个人信息的目的，则属于可能被科处刑罚的危害行为；在非法获取个人信息方面，如果其以恶意目的为驱动非法收集公民个人信息，或以非收集的方式从他处获取，则属于可能被科处刑法的危害行为。

4.2 侵犯公民个人信息罪的应然定位

侵犯公民个人信息罪的实质体现出充分的刑法谦抑性。从立法、司法两个维度上看，除非APP服务提供者欲以个人信息本身获得非法利益（如将个人信息作为买卖对象，或为业务开展创造不当便利而获取个人信息），否则侵犯公民个人信息罪并不介入APP违法违规收集使用个人信息。因此，对前述具有社会危害性的积极行为入罪化处理是侵犯公民个人信息罪的应有之意。

但是，APP违法违规收集使用个人信息正在不断涌现出新的方式，如违法收集生物识别信息、私自上传通讯录、向关联公司提供个人信息等。从刑法角度看，侵犯公民个人信息罪对前述行为的适用尚有模糊之处。例如，APP服务提供者根据用户协议向关联公司提供个人信息时，如何界定关联公司的范围？用户协议或隐私政策中声明是否可被视为得到用户授权？再如，为了APP自身业务更好开展而越权收集生物识别信息，是否能够触发侵犯公民个人信息罪？结合前述侵犯公民个人信息罪的应有功能。本文认为，在APP收集使用个人信息新形式不断展现的背景下，相比于积极地介入对违法违规行为的评价，侵犯公民个人信息罪应当以“达摩科沃斯之剑”的形式展现在APP服务提供者面前。其原因在于，对APP违法违规收集使用个人信息而言，如果动辄动用刑法，不仅不利于企业生存与用户权益保障，也会造成选择性执法的局面。但是，如果能够让侵犯公民个人信息罪成为时刻敦促APP服务提供者合法合规开展业务的罪名，则可以在网络平台合规计划的配合下，实现用户个人信息安全、APP服务提供者法律风险预防的双赢局面。同时，APP服务提供者实施企业刑事合规计划，也可以更好地预防和及时发现犯罪，避免内部工作人员利用职务便利侵害用户个人信息。因此，对具有社会危害性的积极行为入罪化处理，以及敦促APP服务提供者开展合规计划，是个人信息保护重要性不断提高背景下，侵犯公民个人信息罪的应然定位。

5 APP侵犯个人信息的入罪阻却事由

尽管打击侵犯公民个人信息的刑事法网正在不断收紧，但是对APP服务提供者而言，为了推动APP行业高质量发展、鼓励创新商业模式、避免选择性执法，应当更多地选择用行政手段对APP收集使用个人信息进行规范，做到普遍的“刑松”而“行紧”。在对APP服务提供者收集使用个人信息进行刑事责任判断时，应当对其恶意目的进行充分考量，即其是否具有以个人信息本身获得非法利益的动机。同时，为了实现侵犯公民个人信息罪的应有功能，应当为APP侵犯个人信息入罪的阻却事由进行明确，以此划定违法违规收集使用个人信息的入罪边界。

5.1 刑事合规阻却刑法适用

实际上，APP的用户协议与隐私政策都是防范刑事风险的重要合规工作内容。这些文本在个人信息的收集、对外提供等方面都应具有出罪功能。如果文本本身合法合规，并且APP按照文本内容对个人信息进行收集使用，那么无论结果如何，其都不应当进入刑法的视线。例如，目前我国对关联企业并未有法律上的一致概念，因而司法实践中会造成对关联企业认定的不一致，进言之，若APP服务提供者完全依照合法合规的用户协议与隐私政策将其所收集的个人信息提供给关联企业，就应当从最宽泛的角度解释关联企业，避免因个人信息被提供方因未被认定为关联企业而导致“非法提供”的认定。再如，对于APP服务提供者收集个人信息与提供服务内容的关联，在完全依照用户协议与隐私政策收集的情况下，如果涉及到刑事责任层面的判断，应当为其中关联性保留最大限度弹性空间。进而，上述入罪阻却事由作为执行刑事合规计划的奖励，能够更好地推动APP用户协议与隐私政策的文本完善与执行完善。当然，当APP的用户协议与隐私政策本身违法违规，或APP服务提供者在实际操作中超越文本内容进而违法违规，则不能依照前述刑事合规的视角进行出罪。

5.2 信息自决权阻却刑法适用

随着个人信息保护理论的不断发展完善，应从信息自决权角度出发，尽量限缩APP违法违规收集使用个人信息的入罪边界。根据从APP用户协议与隐私政策总结出的行业实践规则，APP服务提供者的用户协议与隐私政策的核心是获得用户对其收集使用个人信息的授权，即满足用户个人信息自决权。在侵犯公民个人信息罪视角中，这一权利体现为信息主体自行决定是否以及在何种范围内披露、使他人知悉并利用个人信息。在用户协议与隐私政策中，无论是用户授权APP服务提供者收集个人信息条款，还是授权其根据用户协议与隐私政策对外提供条款，其本质都是利用信息自决权而规避法律风险。在《刑法》上，信息自决权对于刑事违法性的判断更具有重要意义：信息自决权人同意可以被视为《刑法》上的“被害人承诺”，因而对个人信息的收集使用行为能够获得犯罪意义上的违法阻却。因此，APP服务提供者可以以通过用户协议与隐私政策获得了用户授权为由，主张刑事责任的免除。当然，这种免责条件只能针对一般的违法违规收集使用个人信息的行为，例如超越服务范围收集个人信息等。如果其具有前文中提到的恶意目的，那么则不能基于用户协议与隐私政策进行免责。例如，在经同意买卖个人信息进而盈利的案件中，信息出卖者因为信息自决权的存在而不具有刑事违法性，但信息购买者并不因出卖人同意便能够从刑法层面免责。

6 结束语

在APP治理工作中，行政法律规范应处于当之无愧的核心地位，但兼顾保障功能极强的刑事法律规范可以让APP治理效果更加显著。为了科学地把握APP服务提供者的入罪边界，使其权责相适应，并避免刑法对APP服务提供者过于严苛，既应对其入罪原因进行充分考量，在其非具有恶意目的之情形下不以犯罪论处；也要对其出罪机理进一步明确，结合当下APP行业实践，重视APP用户协议与隐私政策的入罪阻却功能，以《刑法》为达摩科沃斯之剑，推动APP行业发展的法治化与规范化。