陳志慧， 王小萍

(1.太原市公安局，山西 太原 030030； 2.山西財經(jīng)大學 法學院，山西 太原 030006)

《中華人民共和國民法典》(以下簡稱《民法典》)是我國第一部以“典”命名的基礎性法律，在我國法律體系中起著舉足輕重的作用?！睹穹ǖ洹访鞔_了個人信息保護的法益為個人信息權，個人信息權的確立依然是以信息自然人主體對信息的控制權為主，具有人身附屬性。本文主要探討大數(shù)據(jù)背景下批量信息背后對數(shù)據(jù)收集企業(yè)的權益保護。首先，筆者認可少量信息保護的法益為個人信息權。然而對于批量信息，個人信息權則無法平衡個人自由與信息安全之間的矛盾沖突。大數(shù)據(jù)時代背景下，批量信息是個人信息的集合，是脫離人身附屬性的一種新型財產(chǎn)性權益。對批量信息的侵犯必然會損害信息收集企業(yè)對合法占有的信息在市場經(jīng)濟秩序中自由流轉的安全，亦即對公共性利益的侵犯。然而將公共性利益這一抽象法益作為刑法保護的對象，喪失了法益對犯罪構成要件的解釋功能。因此，需要對個人信息權進行重新解讀，將數(shù)據(jù)控制者信息權納入刑法規(guī)制范圍，亦即個人信息權包含數(shù)據(jù)主體信息權和數(shù)據(jù)控制者信息權。數(shù)據(jù)控制者信息權是企業(yè)在合法收集批量信息的前提下享有對數(shù)據(jù)的轉讓、加工、流轉、共享等權益。數(shù)據(jù)主體信息權即信息自然人主體對信息的控制權。

一、國內外立法背景下個人信息權的確立

我國對于個人信息的保護是在國際立法的背景下結合我國實際立法需求，并順應大數(shù)據(jù)時代下個人信息商業(yè)化中逐步完善和更進的。個人信息保護模式已漸漸由個人隱私權轉向信息權，個人信息權已經(jīng)成為民法所保護的法益，是在大數(shù)據(jù)時代背景下獨立的、全新的權利。

(一)歐美個人信息保護的立法淵源

1973年美國制定的《隱私法》成為個人信息保護的立法源頭，美國學者將隱私權解釋為“免受外界打擾的、獨處的權利”，意在防范公共部門對于隱私權的侵害，將個人信息保護建立在人格自由的憲法權利之下，個人有免受他人打擾的權利。歐盟國家并未采用個人隱私概念，而是以從個人信息衍生的個人數(shù)據(jù)作為保護對象。歐洲委員會《個人數(shù)據(jù)自動處理中個人保護公約》明確宣布將個人數(shù)據(jù)置于保護公民人權的法律框架之下，將個人隱私和自由安全作為保護的基礎。在大數(shù)據(jù)背景下個人信息與人格權分離，逐漸由隱私權向保護權轉變，進而提出個人對于信息控制的信息權，其內涵不僅包括不容許他人對個人隱私的侵犯，還包括其他數(shù)據(jù)主體不得隨意轉讓、出售等權利。歐洲的《聯(lián)邦個人數(shù)據(jù)保護法》《個人數(shù)據(jù)指令》都將個人信息權作為保護法益，是基于人格尊嚴確立的個人信息不受侵犯的權利。2018年5月25日生效的《一般數(shù)據(jù)保護條例》(GDPR)保護數(shù)據(jù)主體的權利，加強和規(guī)范了信息主體“同意”原則，內容包含從信息自決權至信息被遺忘權，明確了信息權的內涵和外延。歐美國家對個人信息的權屬界定隨著個人信息數(shù)據(jù)化時代的到來，逐漸從個人隱私和自由權向個人信息控制權轉變。

(二)我國個人信息保護的立法淵源

“我國個人信息保護是建立在憲法規(guī)定的公民基本權利基礎上，是履行國家尊重和保障人權的基本義務，保護公民的人格尊嚴、人身自由的權利。”[1]我國頒布的《關于加強網(wǎng)絡信息保護的決定》和《關于依法懲處侵害公民個人信息犯罪活動的通知》中關于信息的認定依然是建立在隱私權基礎上對公民身份識別的信息。隨著《網(wǎng)絡安全法》的出臺，個人信息的外延進行了擴張，將“可識別性”作為判斷個人信息的標準，“可識別性”強調的是結果性特征，而個人隱私強調權利屬性，個人信息的認定標準不再將個人隱私特征單獨加以規(guī)定，而將個人信息擴張到具有身份的可識別性”[2]，沖破了人格權的界限，具有了社會屬性。大數(shù)據(jù)背景下個人數(shù)據(jù)的流通、共享使得個人信息超越人格權具有了公共性和社會性，個人信息的侵犯帶來了嚴重的社會危害性，信息保護和控制成為權屬的重點，亦即信息權成為網(wǎng)絡時代超越隱私權的一種新型權利。2017年公布的《個人信息保護法(草案)》第十一條明確規(guī)定了個人信息權：“自然人的個人信息權包括信息決定、信息保密、信息查詢、信息更正、信息封鎖、信息刪除、信息可攜、被遺忘，依法對自己的個人信息所享有的支配、控制并排除他人侵害的權利?！惫駛€人信息在隱私權和人格權的基礎上，“為了適應數(shù)據(jù)收集和利用的需要，日益突破其人格權的消極防御性質，而賦予其積極的自決權利”[3]，亦即個人信息權屬從隱私權轉向了控制權。

《民法典》中關于個人信息的保護已然吸收了國內外立法經(jīng)驗，沖破了個人隱私權和人格權的人身附屬性，賦予其新的權屬——個人信息權?！睹穹ǖ洹返谝磺Я闳臈l規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”對個人信息的概念基本沿用了《網(wǎng)絡安全法》的規(guī)定，賦予了信息自然人主體決定、刪除、更正、保密等信息權，亦即個人信息權。

二、 數(shù)據(jù)控制者信息權入刑必要性分析

在國內外立法背景下，《民法典》中個人信息權是在民法所調整的社會關系下制定的，重在強調對個人信息的保護。而在刑法規(guī)制范圍內，信息保護要從社會整體評價入手，不能忽視大數(shù)據(jù)背景下批量信息背后公共性法益的保護。

(一)數(shù)據(jù)控制者對信息享有占有權

1.批量信息商業(yè)化

大數(shù)據(jù)時代背景下，數(shù)據(jù)控制者利用網(wǎng)絡對海量個人信息進行收集和整理，并經(jīng)過二次開發(fā)生成具有市場價值的商業(yè)資料，是個人信息的實際控制者?！皵?shù)據(jù)控制者對海量信息的收集、存儲和開發(fā)處理為自身發(fā)展而對用戶進行精細分析發(fā)掘其商業(yè)價值外，也會出于商業(yè)合作而對外轉移和出售。”[4]可見在大數(shù)據(jù)時代，數(shù)據(jù)控制者對于海量的個人信息的控制權已大于數(shù)據(jù)主體的權利，數(shù)據(jù)主體與個人信息的分離導致個人信息權與數(shù)據(jù)控制者之間的矛盾日益凸顯?！皞€人信息商品化區(qū)別于人格權，不再是關于人的價值權利，而是一種人格物化后付諸商業(yè)使用的權利”[5]，數(shù)據(jù)控制者在批量收集大量信息經(jīng)過二次加工處理后享有對信息商業(yè)價值使用權，賦予了其脫離數(shù)據(jù)主體的財產(chǎn)權益。因此，在個人信息商業(yè)化的背景下，數(shù)據(jù)控制者在合法的前提下享有對數(shù)據(jù)的處理、轉讓、加工、流轉、共享等信息權。

2.數(shù)據(jù)控制者對其合法收集的信息享有占有權

大數(shù)據(jù)背景下批量的個人信息具有了商業(yè)價值，事實上已經(jīng)發(fā)揮出維護數(shù)據(jù)主體財產(chǎn)利益的功能，顯現(xiàn)出一種新型的“財產(chǎn)權”。然而在缺乏立法支撐的前提下數(shù)據(jù)控制者是否享有所有權存在爭議。有人認為正是在大數(shù)據(jù)背景下數(shù)據(jù)的流通和共享才挖掘出數(shù)據(jù)的價值，因此具有商業(yè)價值的數(shù)據(jù)歸數(shù)據(jù)控制者所有?！霸谛畔⒇敭a(chǎn)權爆發(fā)的時代，信息財產(chǎn)權作為一種新型財產(chǎn)權益，企業(yè)對其所有的信息具有了完全的控制權和排他權，享有財產(chǎn)的所有權，對財產(chǎn)的保護只是為了挖掘更多高質量的信息?！盵6]筆者認為這種觀點忽視了數(shù)據(jù)主體的人身附屬性和同意原則。姬蕾蕾認為“個人信息具有精神和物質兩個層面的價值。精神價值的法哲學基礎在于人格論，物質價值的法哲學基礎在于勞動所創(chuàng)造的財富權利，根據(jù)人權理論，個人天然對記載自身信息的數(shù)據(jù)享有所有權”[7]?！睹穹ǖ洹穫€人信息保護的相關法條也印證了數(shù)據(jù)控制者在行使轉讓、共享等權利時需經(jīng)過數(shù)據(jù)主體的同意，“知情同意原則本身就是權利人對其個人信息獨占性支配權的體現(xiàn)，個人信息的權利不可能完全轉讓，數(shù)據(jù)控制者不能隨意共享個人信息”[8]。因此數(shù)據(jù)控制者在個人信息商業(yè)化背景下享有新型財產(chǎn)權的占有權，其在行使權利的過程中需要受到前置法的約束和知情同意原則的限制。

(二)數(shù)據(jù)主體信息權與數(shù)據(jù)控制者信息權關系的厘清

周斯佳認為，“數(shù)據(jù)主體信息權和數(shù)據(jù)控制者信息權在邏輯上是交叉關系，也可以看作是內容和形式的關系”[9]，這一論述是以個人資料為背景，將不具備識別身份的個人信息囊括在內，得出數(shù)據(jù)主體信息不必然包含數(shù)據(jù)控制者信息的論斷。本文是在刑法規(guī)制下探討個人信息保護，所以個人信息應限制在具備識別身份的前提之下，具備刑法法益保護的必要性。首先，在刑法規(guī)制下數(shù)據(jù)主體信息權與數(shù)據(jù)控制者信息權在內容上是內涵和外延的關系，數(shù)據(jù)主體的信息在內容上天然包含數(shù)據(jù)控制者的信息，兩者之間是包含關系。當刑法將數(shù)據(jù)主體的個人信息權作為保護的對象，數(shù)據(jù)控制者的信息權也當然屬于刑法規(guī)制的范圍，這是犯罪客體在法益保護內容上運用邏輯學加以佐證的關系。其次，在信息商業(yè)化的浪潮中，數(shù)據(jù)控制者享有的是新型財產(chǎn)權，而數(shù)據(jù)主體對信息享有的是人格權。雖然數(shù)據(jù)控制者在大數(shù)據(jù)時代下收集的大量信息所產(chǎn)生的財產(chǎn)資源與信息主體是分離的，但在內容上卻不能脫離人格權的附屬，因為信息是天然生成的，數(shù)據(jù)控制者收集的信息仍以個人信息為基礎。再次，侵犯公民個人信息罪的《司法解釋》中個人信息的概念與《民法典》不同，《司法解釋》在此基礎上增加了具有財產(chǎn)屬性的“賬號密碼和財產(chǎn)狀況”，亦即刑法規(guī)制下將數(shù)據(jù)控制者的財產(chǎn)權包含在內，將財產(chǎn)性權益作為其保護的對象，因此刑法規(guī)制下的個人信息保護應包含具有財產(chǎn)屬性的數(shù)據(jù)控制者信息權。

總之，數(shù)據(jù)控制者收集的批量信息具有了新型財產(chǎn)權利，已囊括在刑法規(guī)制范圍內。但是海量信息是個人信息的集合，其在內容上依然以具有人格權的個人信息為基礎，其外延小于個人信息，兩者在內容上是包含關系。

(三)數(shù)據(jù)控制者信息權入刑必要性

隨著網(wǎng)絡和科技的發(fā)展，大數(shù)據(jù)時代以用戶為中心建立起來的信息流成為當今社會重要的社會資源，數(shù)據(jù)控制者收集的大量信息在網(wǎng)絡世界進行流轉和共享時創(chuàng)設了一個虛擬的真實世界，在對信息進行轉讓、處理、共享時必須在市場經(jīng)濟秩序的調整下進行。網(wǎng)絡世界的開創(chuàng)在給人們帶來便利的同時也帶來了巨大的風險和威脅。因此，數(shù)據(jù)控制者在行使權利的過程中必然受到國家法律的制約，因而具有了對社會管理公共性法益的威脅?！霸谇址競€人信息罪產(chǎn)業(yè)鏈的背景下個人信息的法益已經(jīng)不再局限于個人，而是其背后關乎國家和社會的公共利益，突破了法條表面規(guī)定的局限?！盵10]從刑事立法的角度分析，近年來隨著網(wǎng)絡的發(fā)展，侵犯公民個人信息的犯罪日益增長，并由此滋長了電信詐騙等一系列犯罪，嚴重影響了人民安全和社會穩(wěn)定。于是突破了“先民后刑”的立法規(guī)則，增設了侵犯公民個人信息罪，意在保護信息安全和國家社會管理秩序，而不僅僅是保護隱私和自由的人格權?！胺ㄒ娴恼w應當是法益承載的內容+法益的刑法評價，只有經(jīng)過刑法的整體評價，才具有刑法保護的價值”[11]，因此在對數(shù)據(jù)控制者信息權的分析不能陷入字面解釋的旋渦，而應從刑法整體評價入手認定具有社會公共性。筆者上述論證并不是印證刑法規(guī)制下個人信息保護的法益是社會管理秩序。雖然現(xiàn)今刑事立法對風險刑法理論產(chǎn)生嚴重依賴，但是風險刑法理論產(chǎn)生的預防性刑法導致法益抽象化和模糊化，其落腳點是風險的防控而不是法益的救濟，有違刑法謙抑性原則。筆者認為侵犯公民個人信息罪保護的法益應包含具有公共性法益的數(shù)據(jù)控制者信息權，而信息權與信息安全、社會管理秩序等公共性法益之間的關系將在下文進行詳細論述。

保護人身自由的數(shù)據(jù)主體信息權與以社會公共性利益作為法益的數(shù)據(jù)控制者信息權之間的利益相沖突時，需要尋求一種解決沖突的權衡路徑。商希雪認為“基于《歐盟一般數(shù)據(jù)保護條例》框架下在個人利益和公共利益博弈之間，在數(shù)據(jù)權益位階上得出，國家和社會公共利益大于個人數(shù)據(jù)主體權益和自由”[12]。因此個人信息權要讓位于在合法性利益基礎上的公共性權益，在法益位階上國家和社會的公共利益要大于個人利益，所以數(shù)據(jù)控制者信息權應屬于刑法規(guī)制的范疇。

概言之，在大數(shù)據(jù)時代背景下，海量個人信息具有了商業(yè)價值被數(shù)據(jù)控制者合法占有，在合目的性法益下收集的個人信息具有了脫離人格權而成為一種具有社會屬性的新型財產(chǎn)性權益，即數(shù)據(jù)控制者信息權。數(shù)據(jù)控制者在對信息進行流轉和共享的商業(yè)活動中必然要在市場經(jīng)濟秩序的調整下進行，對市場經(jīng)濟秩序的威脅和破壞必然要受到刑法的規(guī)制，因而具備了保護公共性法益的前提，在法益位階上個人利益必須讓位于公共利益。因此，侵害數(shù)據(jù)控制者信息權就有了入刑的必要性。

三、化解法益沖突的應然路徑——數(shù)據(jù)控制者信息權

從上述對數(shù)據(jù)控制者信息權入刑必要性分析中可以看出，批量信息數(shù)據(jù)控制者信息權是建立在個人信息權基礎之上，在與信息自然人主體弱化分離的情況下，具備了保護信息安全和社會管理秩序這一公共性法益的功能。數(shù)據(jù)控制者信息權納入刑法規(guī)制范圍，使得公共法益有了實害危險性，能夠化解個人自由與信息安全之間的權益矛盾沖突。下文將對沖突化解的應然路徑進行解釋。

(一)法益沖突的刑法解釋路徑

學界對于本罪法益權屬的爭議一直不斷，主要有“個人法益說”和“超個人法益說”兩種。支持“個人法益說”觀點的人認為，侵犯公民個人信息罪的法益依然建立在人格權基礎之上。同時指出“超個人法益說”的觀點“拋棄以經(jīng)驗性把握并有助于解釋法律保護對象的法益于不顧，無法發(fā)揮犯罪構成要件解釋機能的作用，忽視了法益在構成要件當中的作用，摒棄了以實害和具體危險為構成要件基礎的陳述”[13]?！俺瑐€人法益說”則認為，隨著信息網(wǎng)絡的發(fā)展，特別是大數(shù)據(jù)背景下個人信息已然脫離了人格權而具有了社會屬性，“使得隱私權等學說出現(xiàn)了難以解釋現(xiàn)實的尷尬，于是能夠解釋現(xiàn)實、規(guī)范現(xiàn)實的個人信息權理論就具有了現(xiàn)實意義”[14]。個人信息權是一種新型的權利學說，兼具了人格利益與社會財產(chǎn)利益的綜合保護。堅持“超個人法益說”的人意識到“個人法益說”依然是建立在隱私權基礎之上，無法解釋大數(shù)據(jù)時代背景下大量個人信息的集體法益所具有的公共性。而且“個人法益權說”以知情同意原則為基礎，數(shù)據(jù)主體的強同意不利于信息的流通，增加了信息成本，阻礙了經(jīng)濟的發(fā)展?！肮駛€人信息不僅關系個人的隱私和安全自由，更關乎社會公共利益和國家安全，需要從社會和國家的角度進行分析和解釋?！盵15]因此，在大數(shù)據(jù)時代背景下公民個人信息已不再局限于“個人”，取而代之的是個人法益背后的公共安全。

“超個人法益說”是以風險刑法理論為基礎，將預防刑法提至實質危害出現(xiàn)之前，以社會風險和公共安全作為防范標準?！邦A防刑法通過增設抽象危險犯從而對危險實害進行控制，致使我國二元制裁結構受到?jīng)_擊”[16]，在司法實踐過程中由于法益的模糊和抽象而難以把握入罪邊界，喪失了法益對刑法邊界和具體罪名的解釋功能，有違法益保護原則之嫌?！俺瑐€人法益說”與“個人法益說”爭議焦點在于將侵犯公民個人信息罪的法益認定為公共性法益，無法在刑法路徑上與人格權作出應然解釋，亦即對于公共安全風險的損害不必然造成對公民個人信息的侵害，彼此之間沒有高度蓋然性，也無法化解安全和自由之間的權利沖突。已有學者發(fā)現(xiàn)了彼此之間無法化解的矛盾，敬力嘉提出信息專有權的概念，意在安全和自由之間“尋找可行路徑為本罪構建出能夠間接保護憲法法益、公民個體享有的信息自決權，而且具備實質內涵的信息權類型，作為本罪保護的刑事集體法益，立足于本罪法益應有的個人屬性，妥善評價侵犯公民個人信息危害后果的公共性”[17]。這似乎是在自由和安全法益沖突之間尋找合理的刑法解釋路徑，但是并沒有解決自然犯和法定犯之間的法益矛盾，是一種變相“超個人法益說”。

解決上述學說沖突，需要將數(shù)據(jù)控制者信息權的實質危害納入刑法的規(guī)制范疇，厘清數(shù)據(jù)主體信息權與數(shù)據(jù)控制者信息權、人身自由與信息安全之間的關系，才能在自由與安全、風險與實害之間尋找可行性路徑。

(二) 數(shù)據(jù)控制者信息權權益分析

1.法益視角下數(shù)據(jù)主體信息權與數(shù)據(jù)控制者信息權的關系

上文已經(jīng)從內容的角度論述了數(shù)據(jù)主體信息權與數(shù)據(jù)控制者信息權之間的關系是包含關系。從法益的角度分析，數(shù)據(jù)控制者的法益除了具有人格權屬性之外，還涵蓋社會管理秩序、公共安全等公共性法益。因此，數(shù)據(jù)控制者的信息權外延大于數(shù)據(jù)主體信息權，數(shù)據(jù)控制者信息權的法益包含數(shù)據(jù)主體信息權的法益，他們之間也是包含關系，綜合看兩者之間是占有和所有的關系。(1)厘清關系能夠為二者之間未重合的公共信息提供刑法規(guī)制的理論依據(jù)。公共信息基于信息個體的同意而被排除在刑法的處罰范圍外，導致非法獲取、提供公共信息行為泛濫而不符合社會效果和人民預期。而將數(shù)據(jù)控制者合法占有的公共信息的控制和處置權規(guī)制在刑法保護的法益范圍內，能夠有效打擊非法獲取公共信息的行為，維護社會秩序進而規(guī)范刑法的處罰范圍，不致過度限縮導致處罰不均的現(xiàn)象出現(xiàn)。(2)厘清關系能夠明晰公共性法益的邊界。從法益上看數(shù)據(jù)控制者的信息權似乎擴大了處罰范圍，但是內容上數(shù)據(jù)控制者的信息權依然依賴人格權基礎上個人信息的集合，并未擴大處罰范圍。而且將數(shù)據(jù)控制者信息權納入刑法規(guī)制范圍，更符合法益整體評價性。公共性利益是一種價值，不是法益。將其作為侵犯公民個人信息罪的法益，因過度介入社會管理秩序中導致抽象的公共性利益模糊處罰邊界而失去解釋功能。然而，對于數(shù)據(jù)控制者信息權的確認使得公共性法益的侵犯行為具有了實害性和具體的危險性，能夠明晰公共性法益的處罰邊界，避免了自由與安全、風險與實害之間的權益沖突。

2.數(shù)據(jù)控制者信息權內部權益辨析

數(shù)據(jù)控制者信息權是人格權和公共性權益的集合，二者之間的關系并不是相斥或者是沖突的。在信息化時代，數(shù)據(jù)信息成為一種生產(chǎn)資料被數(shù)據(jù)控制者合法占有并賦予其處分權。但是信息的財產(chǎn)屬性并不等同于財物能隨意轉讓和出售，不能否認信息主體的所有權，不能忽視信息權是建立在人格權基礎之上的，其人身附屬性只是弱化而不是消失。因此，個人信息權受到法律和知情同意原則的限制，需要在合法授權的情況下行使。大數(shù)據(jù)環(huán)境下，數(shù)據(jù)多方主體控制著大量的信息背后是個人法益的集合，反映的是集體法益和公共性利益。信息交易秩序的自由和信息安全的保護是由國家和法律來維護的，對于批量信息的侵害必然破壞社會公共秩序和威脅信息安全，甚至國家安全。人格權與公共性利益之間在數(shù)據(jù)控制者信息權內部的關系不能簡單形容為包含關系，也不是法益的位階關系，而是一種內容和形式的關系，二者在刑法規(guī)制的范圍內法益侵害性是重合的。亦即對數(shù)據(jù)控制者信息權的侵犯，內容上是個人隱私和人格的侵犯，形式上則反映出對社會管理秩序、國家安全等公共性利益的威脅。因此將數(shù)據(jù)控制者信息權的實害性或實質危險性置于刑法規(guī)制范圍內，能夠在刑法解釋路徑上解決風險理論所帶來的困惑，能清晰確定公共性法益的邊界。

3.數(shù)據(jù)控制者信息自決權之否定

有學者認為“基于刑法謙抑性理論基礎之上，需要在獨立權益的信息權上進一步明確為信息自決權，因為信息權是一種寬泛的權利，其法益邊界較為模糊和抽象，不利于法益的確定。個人信息自決權是信息權的核心，侵犯這項權利實質是對個人自由權利的侵犯”[18]。筆者認為信息自決權理論太過絕對，依然以自由為權利核心，忽視了批量信息的社會屬性。數(shù)據(jù)控制者的權益為信息權，理由如下：首先，信息自決理論以自決為核心，強調個人的同意原則，不利于信息的共享和流轉，知情同意原則在大數(shù)據(jù)背景下對于數(shù)據(jù)控制者收集用戶的個人信息不易操作，致使該原則形同虛設；其次，信息自決權理論依然以人格權為核心，將個人信息的自由和安全置于首位，忽視了大數(shù)據(jù)背景下海量信息的財產(chǎn)屬性，無法對具有商業(yè)價值的信息進行區(qū)別化保護；再次，信息權理論符合刑民一體化標準和法秩序統(tǒng)一原理，《民法典》已經(jīng)將個人信息權作為法益的保護對象，并未將信息自決權作為獨立的法益進行羅列，信息自決權有違刑民一體化原則；最后，信息自決權理論縮小了處罰范圍，如果將法益限制在自決權概念之上將會限縮刑法的處罰邊界，對于公開信息的處罰缺失理論支持，也不符合刑事立法精神。

四、“集體同意”理論的規(guī)范結構

(一)“集體同意”理論提出的必要性

知情同意原則是指數(shù)據(jù)控制者在向數(shù)據(jù)主體履行了告知義務，在明確獲得數(shù)據(jù)主體同意和授權的情況下才能收集和使用信息。知情同意制度的制定影響了數(shù)據(jù)的流通和自由，然而在大數(shù)據(jù)時代背景下，面對批量的信息知情同意制度也逐漸暴露其問題，“在以自決權為核心的同意制度實現(xiàn)過程中，過高的體系性地位將同意奉行為數(shù)據(jù)保護的核心，帶來數(shù)據(jù)流通效率和信息自由的問題”[19]，使得告知形同虛設，數(shù)據(jù)主體的同意難以實現(xiàn)。于是“弱同意”制度和“情景脈絡”模式出現(xiàn)，意在通過弱化數(shù)據(jù)主體的自決權試圖在同意原則和信息流轉之間尋找刑法解釋路徑，進而平衡彼此間的利益沖突。也有學者提出“面對海量數(shù)據(jù)處理的需要和中間流轉主體的多元性，難以一一征得權利人的同意，數(shù)據(jù)控制者的行為是否合法不再取決于數(shù)據(jù)主體的同意，而是取決于該信息的性質和用途，以及是否屬于風險的可接受范圍內”[3]60，然而這種理論卻存在推定之嫌，違背了無罪推定理論和責任主義原則。

在此筆者提出“集體同意”理論，其內涵是批量信息流轉共享過程中無需征得每個數(shù)據(jù)主體的同意，而是將個人同意的集合整合成數(shù)據(jù)控制者的概括同意。在網(wǎng)絡信息快速流轉的時代，一般個人信息的人身附屬性逐漸弱化，甚至與個體分離。企業(yè)在收集海量個人信息時，用戶為了獲得服務讓渡了自己一部分的信息權，致使一些個人信息不再屬于可能影響用戶安全的敏感信息，從而使得用戶面對這些信息時自決權弱化。然而這些弱化人身附屬性的個人信息對于企業(yè)來說卻具有巨大的市場價值和財產(chǎn)價值。于是面對海量的個人信息，個體的同意逐漸弱化而信息收集主體的自決權變得越來越重要?！凹w同意”理論的核心是數(shù)據(jù)控制者信息自決權的履行。例如公開信息是否應置于刑法的規(guī)制范圍內一直是理論界爭論的焦點，有學者認為公開信息已獲得數(shù)據(jù)主體的同意，故而是合法的，不構成犯罪。這種理論忽視了大數(shù)據(jù)環(huán)境下，信息和人格權的分離致使部分公開信息也具備識別個人身份的功能，存在侵犯公民個人信息的風險和實害，導致處罰范圍的過度限縮。同時，公開信息的獲取行為合法化之后會導致網(wǎng)絡秩序的混亂，獲取公開信息進行售賣獲取利益的行為泛濫，儼然不符合人民的預期。而“集體同意”理論則無需過度依賴個人同意，以數(shù)據(jù)控制者的意志為中心，當獲取公開信息的行為沒有經(jīng)過數(shù)據(jù)控制者同意時，依然可能構成犯罪。

(二)“集體同意”理論的實質性分析

“集體同意”理論并不意味著數(shù)據(jù)控制主體對任何信息均能概括同意，也不是任何處理行為均是合法的，“集體同意”理論的行使需要受到限制，要進行實質性分析。一是敏感信息應排除在外。盡管隨著大數(shù)據(jù)的到來，人格權與個體趨于分離狀態(tài)，但是敏感信息與個體附屬性依然很緊密，不能用集體概念概括，這樣可能威脅到個人的自由和安全。如何區(qū)分敏感信息則需要從人身安全和財產(chǎn)安全兩個維度考慮，比如賬號密碼、賬戶信息、軌跡信息等均屬于敏感信息。二是合同規(guī)制數(shù)據(jù)控制者的權利行使。在我國關于個人信息保護的相關法律缺失的情況下，信息收集企業(yè)與用戶之間是基于合同建立的信賴機制。對于提供和獲取行為是否合法的認定，只需要看其行為是否違反合同的約定即可。因此我國需盡快出臺個人信息保護法并明確數(shù)據(jù)控制主體的權利和義務，進而明晰“集體同意”的界限。三是“集體同意”理論的核心是數(shù)據(jù)控制者信息自決權。筆者提出“集體同意”理論是基于上述數(shù)據(jù)控制者信息權的基礎之上，現(xiàn)行法律對于個人信息的保護都在強調人格權益位階至上理論，筆者并不是否定人格權的地位，而是由于忽略了數(shù)據(jù)控制者合法占有信息的權利，導致處罰范圍過度限縮進而不能達到遏制利用信息實施犯罪的行為，也不符合刑事立法的宗旨。而數(shù)據(jù)控制者信息自決權重在強調批量信息收集主體對信息的控制和支配權，進而凈化網(wǎng)絡環(huán)境，保障信息流轉的自由和安全，促進經(jīng)濟的發(fā)展。

五、 結語

大數(shù)據(jù)時代背景下，民法調整的范圍主要是以個人為主，而刑法規(guī)制下的法益保護則需要從社會的整體評價入手。因此，刑法需將批量信息在市場中自由流轉和共享的秩序安全和數(shù)據(jù)收集企業(yè)的合法權益保護納入調整范圍。數(shù)據(jù)控制者信息權的提出是以人格權為基礎建立的，意在調整自由和安全之間的法益沖突。在司法實踐過程中，面對批量信息的侵害時應更多考慮數(shù)據(jù)控制者信息權的維護，弱化信息主體的強同意，而把信息集合的“集體同意”作為化解法益沖突的解釋路徑。