刑法中“个人信息”含义的目的限制
2017-02-10彭文华焦孟
彭文华,焦孟
(苏州大学王健法学院,江苏苏州215006)
大数据应用技术对信息经济、科学发展与商业利益带来极大变革,同时也带来了一些问题。司法实践中,最典型的莫过于信息主体的信息资料被泄露、侵犯,导致个人权益受损。由此,强化对个人信息的保护力度在所难免。这就需要对个人信息保护与社会其他价值加以权衡,通过对个人信息去识别化,确保个人信息处于安全状态而不至于无故受到侵害。2017年6月份,最高人民法院、最高人民检察院颁布并实施了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,将“公民个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。但是,侵犯公民个人信息的犯罪形式变化多样,如果不能厘清“以其他方式记录”、“与其他信息结合识别”等个人信息的范围,就难以很好地保护大数据时代下公民个人的合法权益。本文拟从刑法教义学的角度,对侵犯公民个人信息罪中的“公民个人信息”的范畴加以理性分析和诠释,期待能为司法实践提供有益参考。
一、大数据背景下合理界定“个人信息”的现实意义
今日,民众参与许多社会活动,如联网使用、网络购物、杂志订阅、问卷填写、快递配送等,都被要求提供个人信息,才可以进行产品与服务的消费。而政府部门也利用计算机与网络发布各式信息,提供公共服务。这些与个人相关的资料与信息,透过大量在线与脱机的活动,不断地生成、传递与利用。根据统计,全球平均每一分钟即可产出1,700兆bytes(等同36万片DVD)的数据量,平均每人每天会产出6MB的数据量,数据量的暴增已是目前信息社会的常态。[1]
数据经济(Data Economics)已成为国际热烈讨论的议题,数据资料俨然与物质、能源并列为重要的经济资源。其与其他经济资源最大的差异,在于资料并不因为使用而消耗,反而可以不断地重组、再利用,而且越经使用其价值越高。当大量多元的数据与具备大量、快速与多元(Volume,Velocity,Variety,3Vs)的大数据统计分析应用技术(BigData Analytics)结合时,可将技术用于寻求各种结构化、非结构化或半结构化的数据间的关联性,或将各式统计分析应用至科学研发、医疗保健、组织管理、趋势预测等各领域的产品或服务。时下热门的大数据技术,大多是通过相关机构大量储存用户的使用纪录,例如在智能手机的产业链下,包括终端固有ID、位置信息、APP使用纪录等,将这些有系统的数据形态通过大数据分析(analytics)与数据探勘(data mining)方式,选取出有用或可供预测的信息,帮助机构了解使用者行为、进而发展新服务。[2]
这种大数据技术为信息经济与智能创新开创了新的时代,也为科学与商业带来莫大的利益,同时大数据也影响着国家政策制定的方向。譬如2015年《刑法修正案(九)》修改刑法第253条,扩大相关犯罪的主体范围。《刑法修正案(九)》施行以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量呈现显著增长态势。为保障法律正确、统一适用,最高人民法院会同最高人民检察院,在公安部等有关部门的大力支持下,经深入调查研究、广泛征求意见、反复论证完善,颁布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,加大了依法严厉惩治侵犯公民个人信息犯罪的力度。然而,这并不是说在保护公民个人信息上完全实现了法网恢恢、疏而不漏,事实上在理解、运用时依旧存在盲点。例如,信息主体在毫无察觉情况下被来自各方的大数据应用服务搜集其行为数据,因而产生数据完整性的破坏;倘若处理不善,亦可能造成规范上的冲击,严重者将损害信息经济,并抑制线上产品创意发展。[3]
由于各式各样的信息,包括个人健康纪录、位置数据、个人基本数据等,越来越容易被复制且被分享至全球各地,使得维护信息安全与保障隐私变得越来越困难,同时也产生数据测写(profiling)、特定族群歧视、刻意排除或丧失数据自我控制等负面影响。一般而言,去识别化(de-identification)被视为利用数据分析技术的一种,同时也能保护个人隐私,成为获取资料、利益的有力途径。不过,也有技术专家指出,即便数据已去除个人资料的识别性,但仍可以透过技术将去识别的数据“再识别”(re-identified)。[4]根据这种观点,在大数据时代,数据大量产生后将会被有目的地搜集与连结,因数据源的广泛性使得可供比对的数量大量增加,加上信息技术的发展与数据辨识能力的大幅提升,使得数据越来越难以保持匿名化状态,而这种再识别科技的发展将可能摧毁我们对匿名所想达到个人信息保护的信心。
显而易见,大数据的发展对隐私权带来极大冲击,也滋生了形形色色的侵犯公民个人信息的犯罪。在此情形下,“两高”的司法解释对“个人信息”虽然有所解释,但仍有不十分清楚之处,这显然不利于司法实践的操作,也给犯罪分子侵犯公民个人信息留下了可乘之机。在大数据分析技术影响下,个人信息的定义应作何种调整似乎有必要进一步厘清。当然,无论如何对“个人信息”定义加以调整,都应当建立在不至于制约相关信息产业发展的前提下,建立在有利于加大对公民个人信息的保护力度的基础上。
二、个人信息保护的域外经验
在大数据巨大商业利益的驱使下,企业将以最大程度搜集、处理、利用个人资料作为提升其产业竞争力的重要手段。数据处理丧失原有的“情境脉络”(context)情况下,由于个人信息拥有者本身对于信息遭他人搜集后进行何种方式的利用往往不知情,且大数据之数据分析所建构、追求的个性化服务,也对数据主体的隐私造成莫大威胁。这就是为什么司法实践中侵犯公民个人信息犯罪的主要原因所在,时下常见的如敲诈勒索、电信诈骗等犯罪,就往往以非法获取个人信息为前提。
不管是美国还是欧盟,对于大数据所带来的积极或潜在利益或商机,大都是乐观其成或积极追求,且认为大数据各种应用应该要注意信息隐私、个人资料保护,甚至还包括对其他基本人权的保护。然而这些国家或地区,对于个人信息的范畴的认识和界定,既有共识也有分歧,诸如隐私威胁程度的评估也有些许不同,相对应要采取保护的手段也有所不同。[5]不过,各国大多赞同大数据应用的发展前提是,注意信息隐私与个人资料保护问题,并且足以取得民众的信赖。
大数据对个人隐私可能的造成侵害,造成公众个人信息被侵害等一系列问题,这些问题往往超越对隐私权保护本身。大数据应用本身具有法定或营业上的机密,因此在衡量大数据预测与其对人们所带来之影响时,我们欠缺必要的透明度。值得注意的是,目前大数据应用倾向有利于政府或机关组织更胜于个人,然而大数据所带来的巨大利益,却来自于个人本身的贡献。
大数据应用本质上追求数据开发的价值最大化,而个人信息保护的最终目的在于保障个人对于个人信息的自主控制。这两者价值各异,实无须放置于同一天平上衡量其轻重。然倘若这两者价值间产生交错时,孰轻孰重仍应按法益衡量方式,寻求利益最大化之解。欧盟的基本人权宪章(The Charter of Fundamental Rights of the European Union)明确指出隐私权与个人信息保护的重要性。[6]该宪章第7条规定,任何人皆须尊重他人私人生活、家庭活动与个人通讯;第8条规定,任何人皆有权利享有关于其个人的资料信息受到法律保护。
上述欧盟与美国皆承认个人信息保护属于宪法上所保障的基本权利,但隐私权与个人信息保护则必须与社会其他利益,包括国家安全、公共卫生、政府执法、环境保护、经济效益,甚至言论自由等,进行利益权衡,非属绝对性的权利。而大数据所展现的社会利益,同样也必须与其所对个人隐私造成侵害的风险进行权衡。为使数据正向利用与个人隐私保护有所平衡,法律制定者必须在隐私权的基本概念下,重新审视包括可识别的个人信息(PersonallyIdentifiable Information)、当事人同意与使用目的限制,以及数据最小搜集等原则。
正是涉及利益平衡,各国法律对于个人信息的定义各有不同。例如,欧盟数据保护指令所谓的个人信息,是指能用以辨识特定自然人或具备辨识可能性的任何数据;在美国,个人信息是指能够区别特定个人身份或连结到特定个人的信息(见《联邦个人资料法》);在德国,个人信息保护法中的个人信息,则是指任何有关于该个人的信息或已识别或可识别的个人(即信息主体)的实质情形。[7]不难看出,上述对个人信息的定义是存在明显差异的。
根据上述欧盟数据保护指令的规定,可识别个人是指某一个人通过身份证号码或专属于其个人身份的信息,包括其个人的身体、精神、心理、经济、文化或社会地位,可直接或间接被他人所识别。根据2016年新颁布的欧盟一般个人信息保护规则(EUGeneral Data Protection Regulation)的第4条规定,个人信息是指已识别或可识别该自然人(或称信息主体)的任何信息。所谓可识别自然人,是指通过姓名、身份证号码、位置数据、在线识别信息或其他专属于其个人身份的身体、精神、基因、心理、经济、文化等信息,而可直接或间接识别的自然人。
由上可知,各国的立法通例保护的“个人信息”,必须是具有特定个人的识别性,原则上数据管理人或其他人必须尽一切方法(take account ofall the means)以该数据为依据或线索以识别出、连结到或确认该个人的存在。举例来说,倘若是单纯的中奖号码,因无从识别特定个人,就不属于“个人信息”的范畴。当该信息主体已不可被识别,则该不明信息来源不适用于个人信息保护法的保护对象。
关于以“间接方式”识别特定个人,参考欧洲理事会关于欧盟数据指令的建议案,倘若必须以不合理的时间、成本或人力才能识别该个人,则该个人信息不得被认为是“可识别”的(identifiable)。另根据日本个人资料保护法规定,个人资料系指可藉由姓名、出生日期或其他可描述该个人的数据,或有些数据虽未直接指名道姓,但一经调查足以识别为某一特定人,而且该数据容易与其他数据为对照、组合,而藉此识别出特定个人。[7]
由于国际间并未对于个人信息的定义与判断标准给予统一、清楚的规定,按前述欧盟数据保护指令与新颁布的一般个人资料保护规则的定义,仅给予较为抽象的判断标准,其具体内容在解释上有很大的弹性空间(如表1),藉以应对未来技术发展所面临的情形。而我国关于个人信息保护的司法解释采取列举式的方式规定“个人信息”的定义,也解决其定义模糊性的问题,这使得实务操作上存在困扰,需要采取适当的解释方法确定其具体内涵。
表1“个人信息”的不同定义
三、个人信息的目的限定
(一)我国个人信息保护法应采用目的解释
随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。与此同时,个人信息泄露问题严重,个人信息安全成为一个全社会高度关注的问题。为保护公民个人信息,2009年2月28日起施行的《刑法修正案(七)》增设了刑法第253条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。为加大对公民个人信息的保护力度,2015年11月1日起施行的《刑法修正案(九)》对刑法第253条之一作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。
但是,在司法实践中,实务工作者和学者均发现侵犯公民个人信息罪的定罪量刑标准,不易把握;另有一些法律适用问题存在认识分歧,影响了案件办理。为强化对公民个人信息的保护,维护人民群众个人信息安全以及财产、人身权益,最高人民法院会同最高人民检察院,于2012年6月1日颁布并实施了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》),对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。
从我国个人信息保护立法的进程中,不难看出刑事立法与司法解释规定的概括性和“应急性”,使得侵害公民个人信息犯罪的现有条文存在滞后与不足。虽然《解释》第1条对“个人信息”作了定义,但是其中关于“以其他方式记录”、“与其他信息结合识别”的范围仍是十分模糊的。在借鉴国外立法经验,需对该“兜底条款”的范围作出进一步解释,在不影响相关信息产业发展的前提下,体现对公民个人信息的大力保护。
《解释》第1条对“侵犯公民个人信息罪”中“个人信息”的定义遵循了文义解释的要求,尽可能地涵盖了所有值得刑法保护的个人信息内容。但是,这样一种宽泛的总括性的定义,势必带来实践中操作不便的弊端,还有可能导致不应当保护的信息受到司法机关的关注,浪费司法资源。在这种情况下,无论是文义解释、体系解释,抑或是其他解释,都难以应对大数据应用下对“个人信息”的解释需要。“在进行刑法解释时,结局是必须考虑刑法是为了实现何种目的,必须进行合适其目的的合理解释。”[8]这样,判断此种条款中已列举或他种条款中未列举的个人信息是否属于保护范围,有必要通过判断该信息与特定个人之间的“(可)识别性”来界定。可以说,“(可)识别性”就是对“个人信息”定义中目的解释的具体体现。本文认为,在遵循罪刑法定的刑法基本原则的前提下,应当对我国“个人信息”之定义采取目的解释,探寻最符合个人信息保护法之意思的“个人信息”保护范围。
(二)“个人信息”的目的限定及其路径
《解释》第1条规定及刑法第253条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。其中“与其他信息结合识别”是指保有该数据的公务或非公务单位仅以该数据不能直接识别,须与其他数据对照、组合、链接等,才能识别该特定个人。
由于国际间并未对于个人信息的定义与判断标准给予统一、清楚的规定,按前述欧盟数据保护指令与新颁布的一般个人信息保护规则在定义个人信息上,仅给予较为抽象的判断标准,在解释上有很大的弹性空间,以应未来技术发展所面临的情形。而我国法律采取列举方式规定个人信息的定义,也未完全解决其定义模糊性的问题。
根据我国法律规定,对个人信息可以以直接或间接方式识别该个人(自然人)的数据即属于个人信息,具体是指法律列举的几种情形。这种偏向静态、列举式的定义,易引发争议。传统个人信息与非个人信息的“二分法”,其标准是“能否识别”,只要可加以识别,无论直接或间接,皆适用相关个人信息保护的法律规定;反之,若无法被识别,则无需适用。在此大前提下,通过大数据应用技术而大量储存或分析个人信息,按原则只要将可识别个人的信息剔除,或使该个人信息无法被识别,该项数据即属于非个人信息的范畴。然而信息比对和识别技术日新月异,尤其是目前再识别技术极容易应用于去识别的信息资料。
从刑法与司法解释的规定来看,个人信息的定义强调数据对于个人识别可能与否,但对于数据的“关联性”或“连接性”却极少触及。此类数据本身无独特性,仅可能知晓是关于何人的,此时数据并非足以区分信息主体的识别要素,而是作为充实其个人侧写的要素,用以增强资料的累积效应。也因此,能相互链接的数据量越多,可识别出特定个人的可能性也越高。故判断一笔数据是否构成个人信息,必须在具体情境脉络中进行个案权衡(case bycase analysis)而无法跳脱情境作抽象、静态的考虑。[5]
因此,本文认为,在大数据应用之下,传统以静态、列举式界定个人信息有必要加以调整,具体可以从“去识别化”、“数据最小搜集原则”、“去识别后再识别的议题”,以及“从设计着手保护隐私的架构设计”等方面,对个人信息加以理解和厘定,以下分别论述。
1.去识别化
根据欧盟数据保护指令(Directive 95/46/EC)规定,个人信息的去识别化是指对个人信息移除足够的识别因子的处理方式,使得数据管理者或他人无从透过合理方式识别特定个人之操作。我国对于去识别化还没有较为明确的规定。传统上对个人信息进行去识别化的方式,不外乎匿名化(anonymization)、加密(encryption)与转换代码(key-coding),这几种方式通常被视为允许企业用以利用数据分析技术同时还能够保护个人隐私的最佳途径。例如Google透过移除链接(de-link)以去除个人信息中的特殊识别因子(identifiable factors),亦即直接辨识的数据,尽可能移除和降低直接指向某一特定主体的数据集片段的“连续性”,让数据尽量分散,使其变为足够小的片段,让搜寻到完整数据的可能性大幅降低。然而这种操作在实务上却有相当高的难度。
由于匿名数据经常会被再识别而将该数据指向特定个人,因此去识别化数据其实只是一种暂时的状态,且经常引起个人信息权被侵犯的顾虑。当然,也可将所有数据视为可识别的个人信息而受到法律规范。然而学者欧姆(Ohm)认为这种将可识别之“个人信息(PII)”定义扩大解释,难免会让使用数据的一方放弃去识别化的作为,反而增加隐私与数据安全的风险;更进一步的风险是,随着扩张PII的解释范围将使得个人隐私信息保护显得难以执行。我们无法确切得知某一数据会真的与特定个人有所关联,因此各种数据集尽可能越多不确定性,越可能确保其匿名性。[4]
通常,基于个人信息是否可被识别的“可识别”与“无法识别”的二分法,其实无助于保障个人隐私,而且不可避免会导致“去识别”与“再识别”的无效率竞赛。因此,要想避免其弊端,对于个人信息的定义,应考虑其风险高低、故意与否以及再识别的潜在结果[5],以及数据本身是否因变质或遗失所造成完整性、正确性以及价值性的问题,并与其他社会利益相互衡量。
个人信息去识别化的处理方法很多,但必须考虑许多因素(例如去识别化的目的、信息字段、所要串接的数据是否可能链接导致重新识别等)才能决定。正因如此,在对于个人信息去识别化时,需要在技术上建立一套验证标准给予规范,以供人们遵循。
2.资料最小搜集原则
资料最小搜集原则一直是隐私法制中相当重要的原则,可透过许多不同方式执行,包括对于个人信息的搜集、使用、揭露、保留、识别性、敏感性加以限制,如此可在一定程度上规避两项与隐私有关的风险。其一是储存数据量越多,越可能成为数据窃贼的攻击目标,包括组织内与组织外,并对消费者带来潜在伤害;其二,倘若企业搜集并保留大量数据,则利用数据本身将会增加风险,悖离消费者对于隐私的合理期待。因此企业必须删除那些基于特定目的所搜集到却不再利用的数据,且对于可识别的个人信息的保留必须遵循严格的规定。在大数据时代,数据最小搜集原则似乎难以成为保护个人信息权的做法,因为大数据商业模式基本上就是尽可能在更长的时间内搜集更多的资料,特别是集中在资料的二次利用(secondary use)上,今日企业和公司通过各种渠道,包括网络、行动装置、传感器、影音、电子邮件以及社交网络等工具,搜集并保留个人资料信息,而搜集信息的企业直接从个人或第三人搜集资料,并且从私人、半公开(例如微博)或公开(例如登记名册)数据源中撷取数据。数据最小搜集原则已然不适用在现今商业市场型态,而应该用另一种方式来阐释:当企业有必要对数据进行去识别时,应要求企业必须在合乎保障个人隐私与社会利益之下,执行合理的安全措施,并限制数据的使用。
不难看出,资料最小搜集原则事实上要求目标企业承担起个人信息安全保护的义务,一旦企业有所不作为,导致公民个人信息受到侵害,目标企业将承担不作为的法律责任,乃至于构成犯罪。
3.去识别后再识别的问题
个人信息与匿名信息的判断依赖于相关的情境脉络,不能作抽象界定,在特定情境下有效的去识别化数据,可能因情境变化而重新变成个人信息,此为去识别化后再识别的议题。由于匿名信息数据随时可能因被再识别而落入相关法律的适用范围,因此在鉴别去识别化的有效性上,其实就是对去识别化进行风险评估。首应考虑匿名数据的使用目的,或数据接收者有无利用个人信息的动机。由于企业对匿名资料的二次利用通常不同于资料初始的使用目的,因此从目的角度切入去识别化是否合乎“善意不知情”,可成为较为有效的判断方式。[9]当间接识别数据(或数据集)对于识别特定个人太过于困难,抑或该资料根本无法协助识别以至于不构成合理的隐私期待,因此,这类资料或数据集在我国法律适用上也应有所限制。
四、结语
大数据应用在商业利益驱使下对于人类文明的进步有着关键性的作用,但大数据本身却对于人们所熟知的隐私与个人信息保障制度,特别是“知情同意”、“目的限定”以及“数据最小搜集原则”等基础原则产生颠覆性的冲击。当数据在丧失原有使用环境下,数据利用者籍由“去识别化”取得信息利用的正当性,同时信息主体也丧失对个人信息的主导性。更令一般人难以置信的是,数据再识别技术越来越进步,通过大数据分析,可将零散、非结构化数据信息拼凑出特定个人的具体特征。
因此,原有的以“识别可能与否”作为个人信息定义的二分法,将凸显出个人信息保护相关法律悖离现实的窘况,同时恐将引发众人对于信息数据利用价值的非理性责难。因此,本文认为,并非所有与个人有关的信息皆属值得法律保护的个人信息范畴,特别是不可合理期待的隐私信息,或经适度“去识别化”后可供利用的信息,应允许运用于大数据时代下的数据探勘与分析。可见,传统以静态、列举式的个人信息定义实有必要加以检讨和改进。
虽然去识别化并不足以提供可靠的隐私保障,甚或被认为数据去识别与保留数据价值两者间已然水火不容,但是,不能因去识别化存在某种程度的风险而因噎废食,正因现行相关法律所欲保障的价值同时包括隐私权和个人信息保障与促进个人信息合理利用两项内容,掌握合理的隐私和个人信息范围定义确可达到二者双赢,而有效地去识别化正是实现双赢的利器。在大数据时代下,重点已非是否要将数据去识别化,而是如何实现有效的去识别化。
本文认为,去识别化并不仅仅作为合法利用个人信息的理由,尚可作为数据留存及处理等各项环节中提供有效的隐私保障、降低数据在储存及传输等环节中的外泄风险的工具,例如在“数据使用前”或应用程序“下载安装前”,将不作为义务明确写于隐私权政策内容中,作为数据用户的责任。同时,大数据应用对于法律规范也产生了巨大的影响,首当其冲便是关于公民个人信息的定义,本文仅就公民个人信息的定义进行再解释,进而试着解释个人信息的范围。然而,在相关法律规范领域内仍存在不少问题,例如告知同意原则之适用,也是相当棘手的问题,因而,关于数据合理利用与个人信息隐私保护兼顾,仍有很多问题值得学者进一步研究。
[1]European Commission.FrequentlyAsked Questions:Public-Private Partnership(PPP)for BigData[EB/OL].[2015-07-30].http: //europa.eu/rapid/press-release_MEMO-14-583_en.htm.
[2]范姜真媺.个人资料保护法关于个人资料保护范围之检讨[J].东海大学法学研究,2013,41(8):97.
[3]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5):93.
[4]OHMPaul.Broken Promises ofPrivacy:Respondingtothe SurprisingFailure ofAnonymization[J].UCLAL.Rev,2010,17(1).
[5]SCHWARTZ P M,SOLOVE D J.The PII Problem:Privacy and a NewConcept of Personally Identifiable Information[J].Social Science Electronic Publishing,2011,86(6):1814-1894.
[6]Charter ofFundamental Rights ofthe European Union[EB/OL].[2015-09-20].http://www.europarl.europa.eu/charter/pdf/text_e n.pdf.
[7]叶志良.大数据应用下个人资料定义的检讨:以我国法院判决为例[J].咨询社会研究,2016(31):8.
[8]梁根林.罪刑法定视域中的刑法适用解释[J].中国法学,2004(3):130.
[9]刘定基.个人资料的定义、保护原则与个人资料保护法适用的例外—以监控录像为例[J].月旦法学教室,2012(115):42-54.
