大数据背景下公民个人信息保护的刑法完善
2017-04-11赵宝玉
赵宝玉
(中国人民公安大学 法学院,北京 100038)
大数据背景下公民个人信息保护的刑法完善
赵宝玉
(中国人民公安大学 法学院,北京 100038)
我国保护公民个人信息的刑法规范体系的构建应当以欧盟个人信息保护模式为样板,在相关法律中确立公民的个人信息权,同时丰富我国现行刑法中相关罪状的内容。还应当对侵犯公民个人信息之“侵犯”行为方式加以深入研究,使个人信息类犯罪的风险具体化。应当严格规范信息持有者的刑事责任,进而从源头上遏制住侵犯个人信息犯罪的发生。
大数据;个人信息;刑法;完善
互联网4.0时代的到来,最大的受益者当属公民。网购、网约车、共享单车、O2O服务、P2P网络借贷等一系列依托互联网的新兴产业正逐步改变我们的生活方式。公民在享受网络服务便利性的同时产生了相互关联的大量数据,这些数据被各有关单位搜集。大数据带来的价值体现在社会的各个层面,当前对大数据的讨论和相关技术变革也都是从“价值层面”展开。数据价值与传统法律保护对象的本质性差别、数据法益的价值衡量困难、大数据技术相关犯罪对法益侵害结果的相对间接性都对传统刑法制度提出了新的时代挑战[1]。从“徐玉玉案”到P2P网贷行业借贷宝的裸条借贷10G泄露,从京东12G用户信息泄露再到近期爆出的“个人信息数据产业链”无不深刻映射了个人信息范式保护模式变革的必要性和紧迫性。2015年《刑法修正案九》将出售、非法提供公民个人信息罪和非法获取公民个人信息罪合并为侵犯公民个人信息罪,并将该罪的犯罪主体由特殊主体扩大为一般主体,2017年5月最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息司法解释》)适当丰富了个人信息的内涵,明确了个人信息犯罪的定罪和量刑标准。然而,有关公民个人信息泄露的事件仍然层出不穷,刑法似乎并未遏制住公民个人信息泄露之“疯”。纵观当前我国公民个人信息法律保护体系可知,其整体上尚处于分散立法保护状态。在《公民个人信息保护法》缺位,公民个人信息遭受侵害的“应然”法律保护层面和法律 “实然” 保护不足之间出现鸿沟的情形下探讨公民个人信息刑法保护的完善路径并对刑法保护的相关措施予以理性构建,必将助益当下我国打击侵犯公民个人信息犯罪之现实需求。
一、个人信息概念的理性界定
(一)大数据背景下个人网络数据与个人信息的界限日趋模糊
在大数据背景下,每个公民都将或多或少的被裹挟进数据这个虚拟世界之中。个人零散的网络碎片信息经过大数据的技术手段:“识别”①和“重新识别”②之后,将以极高的精确度挖掘出带有身份属性、行为属性的个人信息。因此应当将公民个人信息的界定建立在技术手段基础之上。伴随着移动终端4G网络的推广、网上购物的日常化、移动支付的常态化,越来越多的“个人基本信息”“个人轨迹信息”“个人终端信息”将通过互联网实现数据化,在庞大的数据库容量、广泛的数据分享和多种类数据库的深度融合之下,个人被“识别”出来,并不困难[2]。大数据之所以展现出强劲的发展趋势就在于其简易、迅捷的识别功能,任何人一旦与网络“结缘”,其匿名防线即可能被突破。美国数据隐私专家指出,即使没有传统意义上的姓名、年龄等显性个人信息,仅需性别、生日、邮编三个网络个人数据就能对全美87%的人口实现“人肉搜索”。由此可见,个人信息与个人网络数据已深度融合,二者之间的动态关系也趋于模糊不清。
(二)静态层面:个人信息内涵
毫无疑问,刑法将侵犯公民个人信息的行为入罪,其保护的法益为公民的个人信息自主权,但对“个人信息”这一概念的内涵和外延并未通过刑事法律或者相关司法解释加以明确。理论界有关“个人信息”概念的探讨也从未停止过,但均从静态层面对其加以定义,也即对个人信息的内涵在一定范围内予以限缩,对个人信息界定实行“可识别”和“不可识别”的两极化路径,笔者认为这种定义太过死板,与大数据背景下个人数据与个人信息深度融合的动态变化识别模式大相径庭。有关“个人信息”概念的静态化定义大体上有以下几种代表性观点:
1.广义说。主张此种观点的学者认为,以人为本源产生的一切信息都应当涵括在个人信息范畴内。还有学者认为,在侵犯公民个人信息罪中,应将所有的个人信息作为该罪的客体[3],其从信息实质层面对个人信息加以界定,而不再考虑其来源的特殊性。
2.身份证明说。主张此种观点的学者认为个人信息限于能够通过与个人关联并对个人身份加以识别的那部分信息。“个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别的特定个人信息”[4]。
3.隐私权说。主张此观点的学者指出,侵犯公民个人信息的犯罪放置在刑法分则第四章中表明该罪保护的法益为公民的隐私权。“并非所有个人信息都是刑法的调整对象,只有个人信息中体现着个人隐私的那一部分信息才属于刑法保护的范围。”[5]
4.价值意义说。该说将与公民相关的个人信息分为有价值的信息和其他一般信息,只有对公民或者信息收集者来说该信息具有价值其才属于“公民个人信息”。赵秉志教授指出个人信息首先应当为个人专属所有6其次个人信息应当包括个人的人格权、财产权、尊严和人身安全[6]。
上述代表性观点中,广义说虽然有助于对个人信息加以全方位的保护,但其外延过广,导致实践中对个人信息的界定没有一个具体的标准。身份证明说、隐私权说、价值意义说均有以偏概全之嫌,只是每种学说的侧重点不一。例如,对于身份识别说而言,对于那些无法识别个人身份但对于个体来说确有重要价值的信息,比如个人支付密码,则无法实现对相关信息的保护,与侵犯公民个人信息犯罪的立法目的相悖。对于隐私权说而言,由上文可知,在大数据“识别”技术的支持下,任何匿名网络数据都可能直接关联到具体个人,无限扩张的个人信息将使个人隐私保护体系瓦解。“我们的物理实体(physical body)被笼罩在日益全面的数据实体(data body)中,这所引发是诸多问题诉诸空泛的隐私权是无法予以解决的。”[7]对于重要价值说而言,何为“价值”,“价值”的判断标准如何等都对公民个人信息的保护提出挑战。
(三)跨越收集层面和利用层面的个人信息内涵新界定
在数据犯罪日益猖獗,个人网络数据与个人信息深度融合的大背景下,仍侧重于从个人信息的收集层面对个人信息予以简单而空洞的解读恐怕无法面对日益复杂多变的数据信息链犯罪。2013年2月施行的《信息安全技术公共及商用服务信息系统个人信息保护指南》着眼于信息收集阶段,其关注的焦点集中在个人信息的实质内容上,这种限定模式使个人信息内涵走向静态化、单薄化。而大数据背景下个人信息实质内容的外延似乎一直在不断扩大。《个人信息司法解释》第一条对“公民个人信息”的概念做了阐释,即个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人情况的各种信息。从《个人信息司法解释》对“公民个人信息”概念的界定可以看出,司法机关扩大了个人信息的涵射范围,其中“以电子或者其他方式记录的”可以理解为从收集层面对个人信息内涵的阐释,“能够单独或者与其他信息结合识别特定自然人身份或者反映自然人情况”可以理解为从利用层面扩大了个人信息的外延。
此次司法解释将信息的利用阶段纳入个人信息内涵的考量过程中,说明单纯从信息收集层面界定个人信息已不足以应对日益高发的个人信息产业链犯罪,随着数据行业的专业化和产业化,建立在大数据基础上的信息利用或许将成为侵犯公民个人信息的主要方式,信息产业的利益重心将由信息收集阶段转移至信息利用阶段。个人信息的利用阶段包括利用目的和利用信息产生的结果。利用目的是指如果数据的“识别”是用来或可能用来评价个人或者将对个人产生影响,那么这些被“识别”的数据就与个人相关联,应当纳入个人信息范畴。利用信息产生的结果是指个人数据对个人物理实体产生的影响。将个人信息由单一的、静态的平面信息扩大为由目的到手段再到结果的三层动态的空间信息才能使公民个人信息的概念更加“充盈”,进而更好地满足大数据背景下刑事法律回应数据犯罪的现实需求。
二、公民个人信息刑法保护规范体系的发展及现有保护模式的完善
(一)以保护个人信息为核心的刑法规范体系已初现雏形
2015年《刑法修正案九》将刑法253条之一确立了侵犯公民个人信息罪,该罪名与其他间接保护公民个人信息的罪名共同形成了个人信息犯罪罪名体系,且该罪名在个人信息犯罪罪名体系中居于核心地位。该罪名的确立具有两方面的意义。一是在风险型社会背景下,从打击网络犯罪的纵向层面来看,刑法有限度地将刑罚介入的阶段前置化,合理地实现了刑法的预防功能。其目的在于减少因个人信息泄露而引发的大量电信诈骗类犯罪发生的概率,切断因个人信息不法利用而产生的犯罪链。二是个人信息这一理论性概念直接出现在刑法罪名之中,表明了法律保护个人信息的紧迫性和必要性,必将倒逼《个人信息保护法》的出台。
(二)公民个人信息保护模式的完善——基于欧盟个人数据保护模式的思考
1.欧盟个人数据保护路径。欧盟对个人信息的保护着眼于信息本身,确立了一个基础性的权利,将与个人相关的网络数据即个人信息权作为一项基本人权加以保护。“个人对与其关联密切的数据和信息拥有对数据和信息本身的保密、支配权利,这已经成为欧盟法律框架下一项新兴的基本人权。”[8]欧盟对个人信息的保护模式是在参考隐私权保护模式的基础之上构建起来的,但个人信息权和隐私权是两个完全分离的概念。信息权强调自治,信息主体有权决定将信息交某人利用,有权对信息做必要的审查和对错误信息做以更正。
2.现阶段我国个人信息刑法保护模式。与上文有关个人信息的静态内涵相对应,我国公民个人信息的刑法保护模式主要有两种,即财产权模式和身份、隐私权模式。我国对个人信息的保护并未从信息主体的权利本身出发,而是将其依附于其他权利作为保护进路。笔者认为,应该从以下两方面对个人信息保护模式予以完善。一是个人信息权的理性构建。隐私权、财产权、人格权为民法中公民个人的基本权利,信息权作为大数据背景下的“新生”权利还只处在理论探索层面,并未在任何相关法律中出现过。目前我国刑法将个人对信息的控制权类比为隐私权、人格权或者财产权加以保护,对个人信息采取主观静态或者动产化保护思路,导致刑法在个人信息权利救济上无统一法益标准。这似乎与刑法设置侵犯公民个人信息罪这一罪名的初衷相违背。刑法对个人信息的保护是为了防止个人信息泄露或者个人信息被滥用,其保护的法益为信息安全。信息安全的核心是确保个人信息处于安全可控的状态,即个人对信息的自主控制权。[9]公民对信息的自主控制权无法诉诸单一静态的隐私权、财产权或者人格权予以保护,其不能处于含糊不清的笼统地位,而应当确立独立的信息权作为公民的一项基本权利。针对大数据对于刑法的时代冲击[10],笔者认为,信息权合法化的时机已经成熟。首先需要在民法典中将信息权确立为一项公民的基本权利。2016年6月27日,十二届全国人大常委会第二十一次会议上,人大法工委主任李适时做了《关于<中华人民共和国民法总则(草案)>的说明》,明确了民法典编篡的时间表。信息权合法化地位亟需确立的大背景下,恰逢民法典编篡,将个人信息权列为与生命权、健康权同等地位的个人基本权利,能化解大数据时代公民个人信息泄露诉求无门的司法尴尬,为公民个人信息权利的正当化诉求提供合理出路。其次,需要完善我国《个人信息保护法》的相关内容,并加快该法的贯彻实施。德国1790颁布了世界上第一部个人信息保护法《资料保护法》,欧盟的《个人数据保护指令》、德国的《联邦数据保护法》、法国的《国内数据保护法令》都对公民个人信息的范围予以详细界定并规定了具体的权利的救济措施。相比之下,由于尚未出台一部统一的《个人信息保护法》,导致我国在个人信息立法保护方面具有先天的缺陷。笔者认为,应当将个人信息权作为《个人信息保护法》贯彻实施的权利基础,围绕个人信息权构建一部兼具信息权地位、信息权行使、信息权救济的完整《个人信息保护法》。二是对“经过处理无法识别特定个人且不能复原”这一豁免规则予以细化。2017年6月1日起施行的《个人信息司法解释》第3条第2款规定:“未经被收集者同意,将合法收集的公民个人信息向他人非法提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”2017年5月9日,最高人民法院、最高人民检察院召开的新闻发布会上,最高人民法院研究室主任颜茂昆在回答如何权衡个人信息保护与大数据发展之间的关系的问题时,将向他人提供 “经过处理无法识别特定个人且不能复原的”信息的行为排除在向他人非法提供公民个人信息之外,为大数据交易主体提供了类似“安全港”的豁免规则。
“经过处理无法识别特定个人且不能复原的”,这一表述在司法实践中具体运用时往往要求司法人员具备相关的数据技术知识,司法工作人员相关知识的欠缺,极易导致该规定的认定及适用模糊,进而无法追究数据主体的刑事责任。应当对经过处理无法识别特定个人及不能复原这两个认定因素予以细化。具体而言,无法识别特定个人的数据应当是在大数据技术的支持下,将处理过的数据经过大数据一定算法而无法再关联到个人,为了保障公民个人信息的安全,大数据应当滤掉个人关联,经过一定算法提取集体性特征[11];不能复原是指通过大数据技术处理过的相关个人数据彻底无法还原,彻底剔除了个人关联,如果仅仅是为了逃避法律追究而通过技术手段对个人数据进行处理,又通过一定算法提取了个人关联的数据不能将其定义为不能复原的数据。
三、我国刑法中侵犯公民个人信息行为方式的完善——以作为和不作为两种侵犯方式为研究路径
(一)丰富侵犯公民个人信息罪之“侵犯”行为方式
我国在刑法分则中直接规定了侵犯个人信息罪,表明了立法者对个人信息保护的重视,但该罪名罪状存在严重的瑕疵,导致个人信息犯罪的行为的方式认定缺乏规范化和具体化的统一标准,为司法工作人员适用该罪名留足了臆想空间。 “在对实质的公民个人信息法益进行规范化的过程中,需要准确而精致的界定行为。”[12]然而该罪名中列举的侵犯公民个人信息的行为方式太过单薄,仅包括 “向他人出售”“提供”“窃取”“以其他方法非法获取”,这四种带有片面性、模糊性的行为方式似乎无法满足个人信息和个人数据深度融合大背景下构建打击数据犯罪刑罚大厦的现实需要。导致刑法在适用过程中对于游走于侵犯个人信息犯罪边缘的违法行为的规制陷入尴尬境地,严重影响了刑法的严厉性和稳定性。笔者认为应当从多个角度对“侵犯“的行为方式加以丰富,具体而言可以从个人信息支配控制权、个人信息的处理程序、适用目的、准许、使用、数据的归纳整合、错误的数据作为义务这几个方面,使个人信息犯罪的风险具体化。具体行为方式可以设定为以下几种:对无权支配的个人信息的收集;处理;依托大数据平台整合个人信息;调取或者帮助他人收集、整合个人信息;捏造虚假事实骗取他人提供个人信息;违反数据使用协议,将收集的个人信息投放到广告、市场调查中用来盈利的;信息持有者不及时、不全面、不正确的履行作为义务。
(二)内部数据利用层面:加强信息持有者的不作为责任认定
个人信息滥用很大一部分来自于信息持有者内部。在刚刚过去的2016年,我们似乎一直都在信息泄露的阴云笼罩下度过,几乎每个月都有信息泄露的大事件发生,影响比较大的几个事件为:诚信人寿客户信息泄露事件;新型安全漏洞“水牢漏洞“导致的我国数十家网站个人用户信息泄露;山东济南20万精确到家庭门牌号的儿童信息被打包出售;湖南某银行支行行长贩卖账号导致257万条公民银行个人信息泄露;京东电商平台的12G数据包在网络上流传。[13]
笔者认为,可以将个人信息滥用的模式归结为四类:一是运营者对其经营过程中收集的用户个人信息,在安全管理上不作为;二是运营者买卖其所掌握的个人信息获取非法利益,形成隐蔽的地下犯罪链条;三是运营者对其所收集的个人信息进行整合,归结具有价值的个人信息进行定制推销;四是经营者利用收集的个人信息进行其他犯罪活动。由此可将信息持有者滥用个人信息的行为分为两个阶段,即信息的收集阶段和信息的利用、处理、滥用阶段。这两个阶段,由于潜藏着巨大信息安全风险,因此应当赋予此时的信息持有者保障信息安全的责任和义务。
首先个人信息被经营者采集之后,个人对其信息基本上失去了“自主权”,对信息的控制力较弱,而经营者对信息的使用则无任何障碍,且犯罪成本较低,如果对经营者的适用界限不加限制,面对巨大的利益诱惑,其极易走向犯罪之路。其次,信息持有者的不作为责任极易引发大量的下游犯罪。2016年震惊全国的“徐玉玉案”即是典型的例证。表面上看信息泄露侵犯的是公民个人的信息控制权,但信息买入方往往带有诈骗、侮辱、敲诈勒索等不法目的。因此应当从源头上遏制住信息泄露,强化信息持有者之责任。最后,信息持有者滥用个人信息的行为不单单损坏的是公民个人信息所有权。“与个人用户存在信任的公司或其他单位,在履行职务或者提供服务过程中滥用数据侵犯个人信息隐私,除了一般的数据犯罪危害之外,还有背信之主观恶性,因此应当重点予以打击。”[14]
四、结语
在信息时代,应当将个人信息纳入公民权利的范畴予以保护,2017年3月15日发布的《中华人民共和国民法总则》(以下简称“民法总则”)在宏观层面为个人信息的获得方式划分出了合法和非法的界限。对于个人信息权这一新生权利的保护,应当以民法总则为基础,以行政法、刑法为支撑,通过公民个人信息的专门立法实现民、行、刑的有效衔接。其中,在个人信息的刑法保护层面,应当把握以下几点:第一,结合《个人信息司法解释》,探索侵犯公民个人信息罪的合理入罪机制,进一步扩大刑法保护个人信息的范围。第二,将自然人和法人囊括在与个人信息相关的罪名主体范围内,将故意与过失、作为与不作为、实行行为与帮助行为作为行为人刑事责任考量因素。第三,寻求个人信息保护与个人信息合理利用的法理边界,既要考虑到个人信息对于科学研究、统计活动的重要意义,也应当为法律禁止和制裁信息滥用留下足够空间。[15]
注释:
①识别,又称模式识别,是20世纪60年代以来在信号处理、人工智能、控制论、计算机技术学等学科基础上发展起来的新型学科,以其速度快、准确性高、效率高等显著特点,对大数据处理方面有其独特的优势。
②重新识别建立在去匿名化技术之上,去匿名化是指一种数据挖掘策略,其中的匿名数据和其他数据来源相互对照来重新识别匿名的数据来源。
[1][10][12]于志刚,李源粒.大数据时代数据犯罪的类型化与制裁思路 [J].政治与法律,2016,(9).
[2][7][8][9][14]李源粒.网络数据安全和公民个人信息保护的刑法完善[J].中国政法大学学报,2015,(4):64-78.
[3]潘度文.如何认定侵犯公民个人信息犯罪[J].人民检察,2012,16.
[4]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
[5]蔡军.侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望[J].现代法学,2010,(07):108.
[6]赵秉志.公民个人信息刑法保护研究.[J].华东政法大学学报,2014,(1):117—127.
[11]李怀胜.公民个人信息的刑法保护思路[J].中国信息安全,2017,(1),104.
[13]2016年我国信息泄露大事件盘点.[EB/OL].http//news.idcquan.com/anquan/105883.shtml.
[15]王渊,刘传稿.在个人信息合法保护和合理利用之间寻求平衡[N].检查日报,2017-03-29.
(责任编辑:杜婕)
The Humble Opinion on the Criminal Law Perfection For Personal Information Protection under the Background Of Big Data
ZHAO Bao-yu
( Chinese People's Public Security University, Beijing 100038, China )
The construction of our country's personal information criminal law should take the personal information protection model of the European Union as a model, establish the citizen's right of personal information in the relevant law, and enrich the content of relevant criminal counts in our country's current criminal law. It is also necessary to conduct in-depth research on the "violation" of the personal information crime, and to make the risk of personal information crime specific.We should also strictly regulate the criminal liability of information holders, and then curb the invasion of personal information crime from the source.
big data; personal information; criminal Law; perfection
2017-05-23
赵宝玉(1990-),男,河南周口人,硕士研究生,主要从事刑法学研究。
D924.34
A
1008-7605(2017)04-0087-05
