李玥
摘 要:從《刑法修正案七》到《刑法修正案九》再到2017年6月《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件用法律若干問題的解釋》的出臺,我國公民個人信息保護領(lǐng)域也逐漸步入了一個全新的階段。但對于互聯(lián)網(wǎng)發(fā)展過快,產(chǎn)業(yè)更新?lián)Q代的時間過短,特別是公民大量的信息流入到私人數(shù)據(jù)庫的今天,僅僅依賴刑法的保護,是無法有效遏制當前信息泄露的問題。文章通過當前泄露狀況,結(jié)合《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件用法律若干問題的解釋》的相關(guān)規(guī)定,對其保護狀態(tài)進行再分析。
關(guān)鍵詞:公民個人信息;信息刑法保護;公民意識
從《刑法修正案七》到《刑法修正案九》再到2017年6月《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件用法律若干問題的解釋》的出臺,我國公民個人信息保護領(lǐng)域也逐漸步入了一個全新的階段。但對于互聯(lián)網(wǎng)發(fā)展過快,產(chǎn)業(yè)更新?lián)Q代的時間過短的今天,僅僅依賴刑法的保護,是無法有效遏制當前信息泄露的問題。有學者認為,加強刑法對公民個人信息的保護,凸顯了我國立法理念從"國家刑法"向"市民刑法"的傾斜。然而更需要注意的是,就刑法本身而言,刑法有著對其保護的必要性,但同樣有著限度,刑法應(yīng)當保護哪些個人信息,具有何種特性,是刑法不可忽略的問題。
一、大數(shù)據(jù)時代中個人信息存在的隱患
(一)數(shù)據(jù)所屬單位成為最大的漏洞
眾所周知,客戶的信息、喜好、需求一直是企業(yè)的急需品,因此獲得這些數(shù)據(jù)就能成為占領(lǐng)市場的主導(dǎo),帶來較大的利潤。而這也成為了信息泄露一個重要的因素,當這些企業(yè)數(shù)據(jù)管理員工或可以接觸數(shù)據(jù)的員工利用網(wǎng)絡(luò)平臺漏洞,將竊取的數(shù)據(jù)提供給他人獲利,那么“大數(shù)據(jù)”就將成為侵犯公民個人信息的重災(zāi)區(qū),繼而影響到社會的各個層面。從“雙十一”的成交量,我們可以看到大部分的公民將自己的信息錄入了網(wǎng)購的平臺。因此筆者認為,這是一個非常復(fù)雜,且存在很大漏洞的平臺。
其一,我們在注冊會員時會涉及到個人信息,他不僅僅是提供了用戶的個人姓名、手機號、地址,更是讓用戶的基本信息與其財產(chǎn)信息形成一個具體的數(shù)據(jù)庫,且這類信息均屬于《解釋》中所規(guī)定的個人信息的范疇。若網(wǎng)購平臺經(jīng)營者超出事先明確的適用范圍,利用其注冊時的個人信息進行牟利,則構(gòu)成了侵害公民個人信息罪。
其二,在購物時,同樣涉及到個人信息,因此作為信息的主體,用戶應(yīng)當擁有絕對的權(quán)利,如若網(wǎng)購平臺經(jīng)營者未經(jīng)用戶同意,肆意的向用戶發(fā)送于交易無關(guān)的購物廣告及電子郵件,用戶應(yīng)當有權(quán)拒絕。除此之外,從2018年起就出現(xiàn)多起支付軟件被盜事件,這也意味著其平臺應(yīng)當加強監(jiān)管。
其三,也是大數(shù)據(jù)時代最為典型的問題。如若是網(wǎng)絡(luò)平臺將其用戶的信息進行牟利,我們可以要求其加強內(nèi)部職工的管理以及數(shù)據(jù)隱私的保護。但第三個環(huán)節(jié)是最難以取證和確定的環(huán)節(jié)。購物結(jié)束后,公民的家庭住址,工作單位,電話號碼,姓名流轉(zhuǎn)到了私人商戶的手中,若商戶對其信息進行統(tǒng)計,再將其進行出售,勢必會造成公民個人信息的大量泄漏。
(二)網(wǎng)上定位共享與信息保護難以制衡
每一個事物都沒有絕對性的好與壞,如果將大數(shù)據(jù)造福公民生活這一口號變成了網(wǎng)站跟蹤用戶行蹤的一個幌子,那么大數(shù)據(jù)將會逐漸凸顯出它的風險:網(wǎng)上行為的定位,是否會存在風險?用戶與其簽訂的信息保護協(xié)議是否真的有效?是否真的不具有其公民身份的識別性?近年來,多起案件通過定位服務(wù)獲得了公民的定位信息并出售給他人,以此來獲得利益。可見,信息保護與經(jīng)濟利益的失衡,直接導(dǎo)致的后果是公民的信息遭到泄露,而公司也會受到相應(yīng)的處罰。如今,在大數(shù)據(jù)行業(yè)無法得到完整監(jiān)管的今天,多數(shù)公司并沒有公告其獲取個人信息的狀況,而從公民口中得知大數(shù)據(jù)獲取信息時基本信息幾乎全部錄入,并未提及其公司可以對其身份可識別的問題采取措施。
個人身份可識別信息,一直是信息隱私領(lǐng)域最為核心的概念之一,很多相關(guān)的法律法規(guī)都以此來進行界定。例如在《解釋》的第一條提出的是能夠單獨識別或者與其他信息結(jié)合進行識別的兩種方法。但在司法實踐中的案件中,多是認為“手機定位、手機通話清單相較于機主信息、戶籍信息、暫住人口信息具有更大的隱秘性、更強的個人屬性,單純從犯罪對象看也具有更大的危害性?!鼻以凇督忉尅分幸源硕椤扒楣?jié)嚴重”的情形。筆者不認同該觀點,手機定位類似的行蹤軌跡如若像規(guī)定中提出的它與其他信息結(jié)合識別出特定自然人的身份或反映特定自然人的活動這兩種情況出現(xiàn),其起到主導(dǎo)作用的因素是來自其特定自然人的靜態(tài)信息,如個人基本信息、財產(chǎn)情況、電話號碼等,這些信息都具備恒定靜止的特征,而數(shù)據(jù)庫中復(fù)雜的行蹤定位是不具有恒定性的,僅僅想要憑借及時定位這一事實并無法直接識別被害人。例如,我們在旅游中通過某度地圖進行定位,對周邊環(huán)境進行一個了解,由此我們可以加快對一個陌生環(huán)境的了解速度。但這一定位數(shù)據(jù)與其他靜態(tài)信息相比,識別度較弱,不應(yīng)在案件中僅僅以出售他人手機定位這一單一的元素來對其進行懲治。因此筆者認為,網(wǎng)絡(luò)定位不應(yīng)當劃為個人信息中,僅僅應(yīng)當作為個人信息可識別的輔助內(nèi)容。
二、個人信息保護之原因分析
(一)使用大數(shù)據(jù)的方式過于極端化
大數(shù)據(jù)的發(fā)展已經(jīng)經(jīng)歷了一個階段,這也讓長期生活在其中的公民對個人信息泄露有所警惕,那為何這些案件仍然頻繁的發(fā)生呢?大數(shù)據(jù)時代對于公民而言,存在著太多的未知性,對于是否愿意提供個人信息以獲得便利服務(wù)這一問題上,公民與企業(yè)的態(tài)度都過于極端化,要么完全拒絕,要么就無所顧忌,無法保持好其使用和個人信息保護之間的一個平衡。
筆者認為,這是因為網(wǎng)站、應(yīng)用的訪問者對其獲取信息的性質(zhì)缺乏必要的認知,絕大多數(shù)的用戶僅僅只是了解自身的個人信息遭到了竊取,卻未能意識到這些信息是由于自己訪問網(wǎng)站、應(yīng)用而被他人收集的。這大多是源于大數(shù)據(jù)產(chǎn)業(yè)為使用者提供的信息安全保護幾乎只有完全接受或拒絕兩個選擇,這就意味著一旦使用者選擇了拒絕,那么就無法使用該公司的產(chǎn)品與服務(wù),而一旦完全接受就只能默認接受該公司對自己進行數(shù)據(jù)信息收集、處理數(shù)據(jù),而無法進行更多的討價還價。筆者認為,目前大數(shù)據(jù)產(chǎn)業(yè)的這一標準讓公司在運營中獲得了最大額的利益,但這也埋藏了一顆危險的定時炸彈,一旦這個行業(yè)規(guī)律被鎖定成了該標準,那么所有的大數(shù)據(jù)產(chǎn)業(yè)都會依照此來進行管理和運行,那么這些信息安全保護的措施反而成了公司收集信息和利用信息的一塊擋板。
(二)偏重于懲罰的法律力不從心
在大數(shù)據(jù)的背景下,及時細化多項有關(guān)于公民個人信息的規(guī)定,對于我國公民個人信息的保護是一個新的進步,但其中部分有關(guān)于公民個人信息的規(guī)定,例如,在《解釋》中規(guī)定了“25條以上”即可定罪的標準;“2500元以上”的違法所得即可定罪的標準;筆者認為實施的過于苛刻,且不考慮其與《刑法》中的“情節(jié)顯著輕微”或相對于其他更嚴重的罪的處罰而言,是否會出現(xiàn)刑罰失衡的現(xiàn)象。因此,犯罪的防控不能僅僅依靠法律的建立,更需要多種手段的綜合運用才能到達最佳效果,如果僅僅將定罪標準規(guī)定于此,而不做相應(yīng)的輔助辦法,那么在司法實踐中該規(guī)定很可能會出現(xiàn)難以進行操作,或出現(xiàn)案件數(shù)量大增,導(dǎo)致司法資源難以滿足的情況。
此外,在《解釋》的第五條中對“情節(jié)嚴重”進行的說明,規(guī)定非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的,非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的情形視為情節(jié)嚴重。2014年針對公民個人信息保護在司法機關(guān)的走訪問談中,也了解到實踐中侵害公民個人信息案件的取證異常困難,一方面是信息來源較為難找,行為手段的非法性存在爭議,另一方面是技術(shù)上的難度。
面對大數(shù)據(jù)分析,虛擬的網(wǎng)絡(luò)身份更加存在著對個人信息保護傳統(tǒng)架構(gòu)的沖擊,而這也必然會影響刑法作用的發(fā)揮。從個人信息錄入的真實性,使用情況,再到事發(fā)。整個利益鏈條的時間、環(huán)節(jié)都不確定,甚至出現(xiàn)公民個人信息被反復(fù)倒賣的情況,難以確定次數(shù)。因此筆者認為這是否會存在徒法不足以自行的現(xiàn)象。
三、完善公民個人信息保護的建議與對策
(一)把握大數(shù)據(jù)與公民個人信息保護的平衡
從公民角度來看,要合理把控對于大數(shù)據(jù)工具的使用,不能過于依賴,又不能完全排斥。筆者認為,大數(shù)據(jù)的廣泛利用不應(yīng)當作為公民可以肆意放任信息在具有較強危險性場所或無監(jiān)管系統(tǒng)的理由,只有真正的意識到這些現(xiàn)象背后潛在的風險,有意識地保護個人信息,才能盡量避免個人信息的泄露及盜用的現(xiàn)象。
首先,解決該類案件頻繁發(fā)生的首要辦法,是提高個人信息保護的認知度,了解清楚這些現(xiàn)象背后的潛在風險。但從上述的分析來看,只有極少數(shù)人能夠真正意識到這些現(xiàn)象背后的潛在風險,因此提高公民的保護意識,急需要公共媒體、政府、有關(guān)部門加強對信息保護的相關(guān)宣傳。在日常生活中,公民常常登錄無監(jiān)管、無注冊許可、無備案的網(wǎng)站,或在三無網(wǎng)購平臺上購買廉價商品,這為不法分子帶來了極大的機會。因此公民應(yīng)當減少或避免瀏覽其網(wǎng)頁,以防他人利用該平臺竊取公民信息。與此同時,信息安全中心也應(yīng)當加強對網(wǎng)頁的管理和檢索,以防止不法網(wǎng)站的頻頻出現(xiàn)。
從行業(yè)自我監(jiān)管來看,可以從三方面出發(fā),一是提高行業(yè)的準入門檻,對大數(shù)據(jù)行業(yè)的技術(shù)進行要求,對企業(yè)的負責人進行嚴格的考核。二是提高單位工作人員的基本素質(zhì),進行崗前信息安全培訓,配備優(yōu)質(zhì)的數(shù)據(jù)技術(shù)設(shè)備,簽署數(shù)據(jù)保密協(xié)議,實現(xiàn)企業(yè)從上而下的內(nèi)部監(jiān)管模式。三是不斷的跟新安全技術(shù)手段,對自身數(shù)據(jù)庫進行定期的檢查和更新,全面構(gòu)建內(nèi)部數(shù)據(jù)庫安全系統(tǒng),為個人信息安全提供優(yōu)質(zhì)的技術(shù)保證。只要企業(yè)能夠做好全面的數(shù)據(jù)安全工作,不僅讓大數(shù)據(jù)企業(yè)的信用度提高,也為公民創(chuàng)造了良好便捷的生活環(huán)境,同時也提高了法律的威懾力。
(二)制定《個人信息保護法》的必要性
在我國,公民個人信息保護的問題一直都散見于不同的法律當中,雖然我國在這方面的立法進程不斷地在進步,不斷地契合實際,但針對侵害公民個人信息的行為應(yīng)當采取專門的規(guī)制和限定,使得侵害公民個人信息的案件獲得更好法律依據(jù),遭受侵害的公民能夠切實的維護好自身的相關(guān)權(quán)利。而另一方面,新增的信息保護法條例,以及《網(wǎng)絡(luò)安全法》的更新雖然也提出了諸多個人信息在多個領(lǐng)域的保護,但這僅僅局限于特定的信息保護層面,例如《網(wǎng)絡(luò)安全法》的制訂是為了避免互聯(lián)網(wǎng)對個人信息帶來的威脅,且更注重的在于第三方監(jiān)管層面。因此,一部系統(tǒng)的、統(tǒng)一的《公民個人信息保護法》在我國有著存在的必要依據(jù)。
(三)完善刑法相關(guān)的規(guī)定
(1)刑法保護的應(yīng)然定位
從刑法的任務(wù)及目的來看,我國主要是以保護法益為主的。但對于公民個人信息而言,其內(nèi)容和范圍都過于廣泛、復(fù)雜,如果對其不加以區(qū)分的納入刑法的保護范圍,則會出現(xiàn)上述分析中呈現(xiàn)的,大數(shù)據(jù)共享與信息保護難以制衡,信息無法得到合理流通、傳播和利用的現(xiàn)象。因此筆者認為,應(yīng)該先從民法、行政法的角度,或者專門立法來防止公民個人信息泄露,而不是僅僅依靠刑法來進行保護。對于部分對公民個人隱私和相關(guān)法益影響較小的個人信息,民事和行政立法層面的規(guī)制已經(jīng)足夠,刑法沒有介入的必要性。然而,對于一些造成嚴重后果的、涉及詐騙等嚴重的下游刑事犯罪或者對公民人身、財產(chǎn)法益造成了重大侵害的個人信息則應(yīng)當納入刑法的規(guī)制范圍。“法無明文規(guī)定不為罪,法無明文規(guī)定不處罰”。因此,在司法實踐中必須存在責任原則,而這就意味著刑罰不得過度,在保護個人信息的層面也應(yīng)如此。在司法實踐中,侵犯個人信息的行為具有較高的復(fù)雜性。經(jīng)過行政法和民法這兩道防線的規(guī)制之后,刑法作為懲治侵犯公民個人信息行為的最后一道防線,應(yīng)當及時介入,主動出擊。因此筆者認為可以將公民個人信息分為三種層次,對于不同的信息采取不同程度的刑事保護力度,這種做法可以滿足現(xiàn)階段大數(shù)據(jù)的發(fā)展。
(2)加強個人身份識別性的認定
在刑法保護層面,筆者認為可以加強對個人身份可識別性的認定。上述在網(wǎng)絡(luò)定位中提出,應(yīng)當細化個人身份可識別信息的標準,筆者認為是必要的。但在大數(shù)據(jù)時代里,這一概念就會逐漸變得難以界定。如若該概念過窄,就會導(dǎo)致個人信息的保護過于無效或缺少時效性,但如果定位過于寬泛,則會出現(xiàn)太多的信息都被囊括于個人信息的概念下,這樣的行為會導(dǎo)致所有信息都將受到規(guī)制,而顯得過于臃腫不堪。
首先要堅持個人信息的可識別性,它必須與具體的個人聯(lián)系起來,才能存在相應(yīng)的侵害風險,在《解釋》中就多種信息結(jié)合可以識別特定自然人的說法,顯現(xiàn)出來個人身份識別性的內(nèi)涵。其次,在確定該核心內(nèi)涵的情況下,我們需考慮到這樣的侵害是否應(yīng)當局限于某個特定單一的個體上。隨著信息技術(shù)的逐步推進,看似沒有對特定個體造成侵害的現(xiàn)象,其實會對社會帶來極大的風險,通過大數(shù)據(jù)的再識別,公民身份的在追蹤等方法,將會帶來大面積的侵害。因此,個人信息識別的定義不應(yīng)局限于某個單一個體的侵害,也要與其對社會帶來的傷害進行相應(yīng)的識別。最后是把握好個人身份可識別信息的標準,制定出一個與我國司法現(xiàn)狀較為契合的標準,可以讓法官更能夠有效的行使自由裁量權(quán),同時也可以減少司法資源的重復(fù)使用。
參考文獻
[1] 齊愛民.中國信息立法研究[M].武漢,武漢大學出版社, 2009年版.
[2] 齊愛民.個人資料保護法原理及其跨國流通法律問題[M].武漢大學出版社,2004年版.
[3] 連玉明.大數(shù)據(jù)發(fā)展報告No.1[M].北京:社會科學文獻出版社,2017年版.
[4] 吳萇弘.個人信息的刑法保護研究[M].上海:上海社會科學院出版社,2014年版.
[5] 陳軍君主編.大數(shù)據(jù)應(yīng)用藍皮書:中國大數(shù)據(jù)應(yīng)用發(fā)展報告No.1(2017)[M].北京:社會科學文獻出版社,2017年版.
[6] [英]維克托·邁爾·舍恩伯格.大數(shù)據(jù)時代[M].浙江人民出版社,2012年12月版.
[7] 惠志斌.網(wǎng)絡(luò)空間安全藍皮書[M].北京:社會科學文獻出版社,2017年版,第292頁.
[8] 于志剛.“‘公民個人信息的權(quán)利屬性與刑法保護思路”[J].浙江社會科學,2017年第10期.
[9]皮勇,王肅之等.“大數(shù)據(jù)環(huán)境下侵犯個人信息犯罪的法益和危害行為問題”[M].海南大學學報,2017年第5期.
[10] 劉仁文.刑法修正案:亮點與期扮并存[J].人民檢察,2008年8月27曰,第1版.
[11] 公民個人信息刑法保護情況的調(diào)研報告.法治中國[N].上海法制報,2014年1月13日,第A07版.
基金項目:文章為2018年度貴州民族大學人文科技學院基金科研項目成果(編號 18rwjs008)。