公民個人信息刑法保護(hù)的問題與研究

袁 菁

江蘇振強(qiáng)律師事務(wù)所，江蘇 江陰 214400

當(dāng)前，信息化發(fā)展為人們帶來了諸多便利，亦提高了人們生活體驗。同時，互聯(lián)網(wǎng)應(yīng)用中的各種信息普遍存在安全風(fēng)險，刑法學(xué)領(lǐng)域?qū)τ诠駛€人信息保護(hù)需要不斷完善，以適應(yīng)個人信息保護(hù)需求，進(jìn)而達(dá)到保護(hù)公共利益與個人利益的目標(biāo)。

一、公民個人信息工作開展面臨的問題

《網(wǎng)絡(luò)安全法》對侵犯公民個人信息的違法行為進(jìn)行了明確的界定，即非法收集、非法使用、非法銷售、非法提供、非法獲得。同時，非法出售、非法提供、非法取得是我國目前最常見的三種類型犯罪形式。侵犯公民個人信息罪僅針對信息流通過程，而對信息濫用卻未給予足夠的重視，因而構(gòu)成了一種預(yù)防流通的犯罪形態(tài)。數(shù)據(jù)的價值來源于信息的流通，是數(shù)字經(jīng)濟(jì)發(fā)展的基礎(chǔ)，因此，各國都十分關(guān)注數(shù)據(jù)的開放與共享[1]。我國很早以前就出臺了《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》，其中重點強(qiáng)調(diào)了要加快政府信息公開與共享，促進(jìn)信息資源的整合，提高政府的管理水平。在大數(shù)據(jù)時代，跨層次、跨地域、跨系統(tǒng)、跨部門的數(shù)據(jù)開放已經(jīng)成為發(fā)展的趨勢。然而，在信息的巨大價值誘惑下，公民的個人信息的違法流動依然非常嚴(yán)重，而且違法的信息使用情況也呈現(xiàn)出越來越嚴(yán)重的趨勢。

現(xiàn)代信息技術(shù)推動了數(shù)據(jù)的增值，但同時也讓每個人都被圈入“數(shù)字化”信息技術(shù)的龐大監(jiān)視網(wǎng)絡(luò)之中。戴維·?布林對“透明社會”的描寫與其說是虛幻，不如說是真實寫照。個人信息的需要，源于科技的發(fā)展，是對信息的價值認(rèn)同。但隨著技術(shù)的發(fā)展，人們對個人信息保護(hù)的陳規(guī)和標(biāo)準(zhǔn)也在逐漸瓦解，對于個人信息的保護(hù)顯得有些束手無策。

公民個人信息的識別日益呈現(xiàn)出一種情境上的相對性，科技的發(fā)展所造成的識別困難和常規(guī)的割裂，早晚會使公民個人信息的法律保護(hù)陷入如此困境。個人信息的范圍無法抑制地擴(kuò)展，從而導(dǎo)致了刑事法律規(guī)范的擴(kuò)展[2]。但它的膨脹也是有極限的，結(jié)果也有可能就像是一個黑洞，它會將周圍的所有物體都吞噬，然后自我瓦解。

二、公民個人信息刑法保護(hù)的研究

（一）從信息的自主控制轉(zhuǎn)向信息的自主使用

如上所述，刑法解釋超出了行政法的定義，意在積極擴(kuò)大公民的個人信息的范疇，而在行為方式上，刑事立法則比行政法規(guī)要嚴(yán)格得多。行政法十分重視收集和非法利用私人信息，例如收集個人信息?！蛾P(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第一次確立了合法、正當(dāng)和必要的原則，而《網(wǎng)絡(luò)安全法》則進(jìn)一步確認(rèn)了民法領(lǐng)域中的七種非法形式：上述的收集、使用、加工、傳輸、買賣、提供、公開等活動貫穿于收集、流通和使用的全過程。而刑事法律則以個人信息的非法流通為重點。侵害公民個人信息犯罪是指非法出售、提供和獲取個人信息的犯罪。而對未盡到信息網(wǎng)絡(luò)的監(jiān)管職責(zé)的懲罰，是一種因間接、蓄意的信息泄露而造成的“縱容”。侵犯公民個人信息罪不會對非法收集的個人信息進(jìn)行懲罰，也不會對隨后的濫用行為進(jìn)行懲罰[3]。因此，強(qiáng)調(diào)對個人信息收集的控制就顯得不那么重要了。除非個人信息被使用，將會對個人的人身和財產(chǎn)造成損害。應(yīng)著重于怎樣安全使用，并盡量減少對個人造成的不必要危害，即應(yīng)該把刑法打擊的鏈條向后延伸，把非法利用公民個人信息納入到刑事打擊的范疇，重點是控制和預(yù)防信息濫用的行為。數(shù)據(jù)犯罪和信息犯罪的區(qū)別在于，我國法律規(guī)定只對非法獲取、出售、提供公民個人信息的行為予以處罰，而非法修改、刪除、傳播、使用個人信息等都不能列入信息犯罪的范疇，最終只能通過數(shù)據(jù)犯罪等手段加以規(guī)制。在目前的公民個人信息使用中，以“數(shù)據(jù)畫像”為基礎(chǔ)進(jìn)行明目張膽的價格歧視、差別化營銷，利用人體的生理特性進(jìn)行偽造，造成社會治安混亂，這就更加突出了對公民個人信息進(jìn)行全面介入的意義。

在大數(shù)據(jù)時代，公民個人信息是將個人的人格利益、經(jīng)濟(jì)利益與公益利益結(jié)合起來的。傳統(tǒng)的隱私權(quán)、財產(chǎn)權(quán)等權(quán)利都不能容納公民個人信息這一概念的范疇，因此，人們越來越關(guān)注將公民的個人信息作為一種全新的、獨立自主的權(quán)益。但在大數(shù)據(jù)時代背景下，有序的信息流、多邊共享、開放共享等需求，過于注重對信息的自主控制，而忽略了信息的自主使用，從而限制了數(shù)據(jù)價值的挖掘[4]。因此，我國刑法應(yīng)該以積極的公民信息為主體，取代被動對抗的權(quán)利狀態(tài)，適度減少對自主控制的保護(hù)力度，把范圍延伸到對信息的不當(dāng)濫用中去。

（二）公民個人信息概念的部門法統(tǒng)一

目前，我國公民個人信息的保護(hù)已成為我國民法、刑法、行政法等法律體系中的一個重要組成部分。我國《民法典》第一百一十一條規(guī)定指出：依法保障自然人的個人信息，這為我國民事立法提供了保障。從客觀上講，公民的個人信息具有擴(kuò)張性、應(yīng)用場景的復(fù)雜性和保護(hù)難度的增加，需要各個部門法的協(xié)同發(fā)展，然而，由于各個部門單獨立法的狀況，造成了立法與信息部門的分離，從而使法律法規(guī)的制定滯后于信息技術(shù)的實施[5]。回顧十余年來我國公民個人信息的立法發(fā)展，以及各部門法的頒布順序，2017年10月1日起施行的原《民法總則》到2021年1月1日正式施行的《民法典》，2017年10月1日正式施行的《網(wǎng)絡(luò)安全法》，而在我國的刑事領(lǐng)域，就算不談1997年的刑事法律問題，從《刑法修正案（七）》規(guī)定了兩個獨立公民個人信息罪名算起，至今已有十年之久。因而，我國公民個人信息的保護(hù)，實際上是在“刑先民后”的道路上進(jìn)行的。在我國相關(guān)法律法規(guī)剛剛起步的時候，我國刑法的提早介入可以提高公眾對法律的認(rèn)識，具有一定的警示作用。然而，僅僅依靠“威懾”并不能持久，既然我國頒布了《網(wǎng)絡(luò)安全法》等有關(guān)法律、法規(guī)，刑法就應(yīng)該回歸到它的原點。從“刑先民后”改為“民先刑后”，其中最為關(guān)鍵的一點是將刑事法律與公民個人信息的概念有機(jī)地融合起來。

概念詞語的調(diào)整不是一種語言游戲，而是涉及法律規(guī)范的定位、法律規(guī)制的范疇等一大批問題。例如，要使我國的公民個人信息犯罪成為現(xiàn)實，充分利用行政法在侵犯公民個人信息罪的上位法定化作用和違法性審查功能，使其恢復(fù)到侵犯公民個人信息罪的法定犯本質(zhì)。剔除公民的個人信息中“賬號密碼”“財產(chǎn)狀況”等沒有識別性功能的信息。雖然此類信息的濫用的確會損害公民的個人利益，但這種以信息為基礎(chǔ)的罪行卻可以通過其他的罪名來加以有效控制。將其納入公民個人信息，盡管它保持著事前實施、法益保障的理念，但是，為了保障這些信息而使用侵害公民個人信息的犯罪，違背了信息自主權(quán)利的法律意義。[6]

（三）法益邊界銜接：公民個人信息的分類立法保護(hù)

識別性概念是把所有公民的個人信息都集中到自己的手中，而事實上，當(dāng)他們的個人信息范圍越來越廣的時候，不同類型的公民個人信息受到的保護(hù)在必要性角度也會有所不同，相應(yīng)在保護(hù)的程度上也會有區(qū)別。在其他部門法中，無論是對公民個人信息的定義，還是對特定情況下的保護(hù)，都對公民的個人信息進(jìn)行了分級、分類的保護(hù)?！缎畔踩夹g(shù)個人信息安全規(guī)范》中“個人信息”一項，對“個人敏感信息”作了明確的界定，即：泄露、非法提供或濫用，有可能危及個人的生命、財產(chǎn)安全，使名譽(yù)、身心健康遭受損害或歧視[7]?！缎畔踩夹g(shù)個人信息安全規(guī)范》對收集、傳輸和共享的敏感信息有特殊的規(guī)定。此外，在《居民身份證法》《反恐怖主義法》《征信業(yè)管理條例》等個人信息場景應(yīng)用方面的相關(guān)法律法規(guī)中，還特別制定了個人的生物識別信息的利用和管理。在行政法律中，對公民的個人信息進(jìn)行分級、分類的保護(hù)是十分有意義的。同時，我國《刑法》對公民個人信息的法律保護(hù)，從“信用卡信息”“個人信息”“身份信息”“身份認(rèn)證信息”“推定身份信息”“公民個人信息”等立法規(guī)定的具體實施途徑，也隱含著對公民個人信息實行分類保護(hù)的可能性。

我國現(xiàn)行的刑事法律對公民的個人信息進(jìn)行了分級的規(guī)定：不同種類的個人信息所具有的價值是有差別的。如果“可識別性”整體受到保護(hù)，那么，本應(yīng)該加強(qiáng)的信息類型就有可能沒有受到足夠的保護(hù)，而那些應(yīng)該考慮到數(shù)據(jù)運(yùn)用需要和公共利益的信息類型，也不能給予社會足夠的自由。人們普遍認(rèn)為，個人信息的法律依據(jù)來源于《世界人權(quán)宣言》第十二條，該條款規(guī)定，個人有自由決定個人生活、擁有免遭別人侵害或損害的權(quán)利。所以，雖然“可識別性”在理論上屢次遭到批判，但在現(xiàn)代信息技術(shù)的沖擊下仍然存在，因為它具有足夠的可識別能力，使信息能夠直接地指向某個特定的對象，并使它與其他對象分離。對個人信息的保護(hù)，就是要保障信息主體的利益，使主體不受侵犯，自主決斷，受到平等對待。在這種情況下，人們研究發(fā)現(xiàn)，可以單獨識別的個人信息，越是不依靠其他的信息，越是和個人的身份有著密切的聯(lián)系，那么它就越接近于個人信息保護(hù)的原始價值。因此，對于這類信息必須加強(qiáng)刑法的保護(hù)。反之，越是需要對現(xiàn)代信息科技的深入發(fā)掘，越需要與其他相關(guān)信息結(jié)合起來加以關(guān)聯(lián)辨識的信息，反而給它留出了正當(dāng)?shù)暮戏ㄓ嗟兀虼?，這類信息必須以利益均衡為原則，建構(gòu)適當(dāng)?shù)男淌卤Ｗo(hù)法則。

雖然個人信息的高度匿名化和對個人信息的敏感性處理，可以避免“識別性”技術(shù)上的限制，但同時也會使個人信息的使用價值下降，這對未來的大數(shù)據(jù)和技術(shù)經(jīng)濟(jì)發(fā)展都會產(chǎn)生不利影響。同時，我們應(yīng)該注意到，即使是匿名的、零散的數(shù)據(jù)，也可以通過數(shù)據(jù)挖掘技術(shù)重現(xiàn)或還原，完全的數(shù)據(jù)去敏感處理是不現(xiàn)實的，這也會扼殺產(chǎn)業(yè)的生命力。最好的辦法就是限制公民的個人信息范圍，把經(jīng)過合理的脫敏化處理，但仍然可以發(fā)現(xiàn)的信息，從公民的個人信息中剔除出去。從表面上看，這樣做會削弱公民個人信息的力度和剛性，但卻更具有科學(xué)性和有效性，有利于提高法律的權(quán)威性。事實上，歐盟和日本等許多國家都在強(qiáng)調(diào)一次確認(rèn)公民個人信息的標(biāo)準(zhǔn)。歐盟1995號《數(shù)據(jù)保護(hù)指令》第二十六條前言規(guī)定：如果控制者和其他人在使用一切合理的可能方法，也不能將某一特定個人的信息識別，確認(rèn)為匿名性信息。我們可以看到，盡管歐洲把隱私權(quán)放在了最關(guān)鍵的位置，但對于匿名問題，它并沒有對每個人都作出充分的讓步。這也是迫于技術(shù)和產(chǎn)業(yè)界的壓力。

（四）優(yōu)越利益衡量：緊急事態(tài)下知情同意原則的豁免

在兩種不同的價值觀之間產(chǎn)生矛盾時，通常的做法是將二者的利益進(jìn)行比較，以保證更大的利益為優(yōu)先考慮，在類似情況中，作出的價值折中可以成為最好的實現(xiàn)方案，也是免除責(zé)任的理由。在解決相似的法律價值矛盾時，優(yōu)越利益衡量是最基本的原則。為了維護(hù)國家安全、維護(hù)社會公共利益、打擊犯罪等利益，必須對相關(guān)部門、個人進(jìn)行公開。例如，《反恐怖主義法》第二十一條規(guī)定：電信、互聯(lián)網(wǎng)、金融、住宿、長途客運(yùn)、汽車租賃等業(yè)務(wù)經(jīng)營者和服務(wù)提供者，必須檢查顧客的身份信息。如果沒有明確的身份或者拒不接受檢查，將無法為其提供任何服務(wù)。這就需要在享有特定服務(wù)的過程中，不僅要履行自己的信息公開責(zé)任，而且要承擔(dān)起與之對應(yīng)的保護(hù)責(zé)任。

三、結(jié)束語

可見，如果不能加強(qiáng)對保護(hù)公民個人信息在刑法領(lǐng)域的完善，可能對個人甚至社會的利益造成損害。所以，要加強(qiáng)信息自主使用，保證公民信息的法律概念、適用的統(tǒng)一；要將個人信息詳盡分類，細(xì)化保護(hù)內(nèi)容，建立利益衡量制度，從多角度完善公民個人信息保護(hù)。