大數(shù)據(jù)時代個人信息刑法保護研究

唐 志 強,武 曉 紅

(甘肅政法大學(xué) 法學(xué)院,甘肅 蘭州 730070)

一、問題的提出

大數(shù)據(jù)是以容量大、類型多、存取速度快、應(yīng)用價值高為主要特征的數(shù)據(jù)集合①,大數(shù)據(jù)的產(chǎn)生與發(fā)展,推動了大數(shù)據(jù)時代的到來,而網(wǎng)絡(luò)技術(shù)的飛速發(fā)展在擴展互聯(lián)網(wǎng)應(yīng)用場景,密切聯(lián)系網(wǎng)絡(luò)與個人的同時,也讓個人信息不得不匯入到網(wǎng)絡(luò)的汪洋中。這些信息在傳遞和處理過程中,不可避免會被數(shù)據(jù)處理方獲得。同時,網(wǎng)絡(luò)服務(wù)供應(yīng)商、第三方平臺等也都在從人們的日常使用中獲取個人相關(guān)信息,加之我國相關(guān)行業(yè)的法律規(guī)范并不完備,個人信息安全面臨嚴峻挑戰(zhàn)。在中國裁判文書網(wǎng)以“侵犯公民個人信息罪”和“刑事案由”為關(guān)鍵詞檢索,可以看出2017年至2021年,案件數(shù)量一直保持高位,最低的年份相關(guān)案件數(shù)量也在1000件之上,多數(shù)侵犯公民個人信息行為使得當(dāng)事人成為詐騙犯罪的受害者。在中國大數(shù)據(jù)服務(wù)網(wǎng)以上述關(guān)鍵詞進行檢索分析,將案件時間設(shè)置為2017年至2023年,可以看出在經(jīng)濟發(fā)達省份如江蘇、浙江、廣東等案件數(shù)量明顯高于其他地區(qū),且數(shù)量都在1000件之上,我國個人信息的保護面臨著較為嚴峻的問題。

我國刑法未對個人信息的范圍做出明確規(guī)定,當(dāng)前刑事裁判采用的個人信息范圍是最高人民法院、最高人民檢察院在2017年出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下稱《解釋》),其中對個人信息的界定采用了傳統(tǒng)“描述+列舉”的方式進行說明②。但在大數(shù)據(jù)時代互聯(lián)網(wǎng)的高速發(fā)展下,公民個人信息內(nèi)容也在不斷地豐富,個人信息中不同內(nèi)容的價值衡量也發(fā)生著變化。而我國刑法在具體規(guī)定和法律銜接上目前尚有不足,例如在對侵犯公民個人信息罪犯罪情節(jié)的衡量上存在著標(biāo)準(zhǔn)不明確,在犯罪行為方式的認定上存在一定的欠缺以及未能與其他法律形成對個人信息的合力保護等問題。這就需要刑法適時進行考量,進而做出新情勢下個人信息的保護應(yīng)對。

二、我國刑法對個人信息保護的規(guī)定與問題

(一)我國刑法對個人信息問題的規(guī)定

1.刑法保護之變革

我國刑法對個人信息的保護比于西方國家起步較晚,從個人信息保護第一次在刑法出現(xiàn)開始,共有三部修正案和兩部司法解釋涉及個人信息保護的相關(guān)問題。從《刑法修正案(五)》開始,刑法對個人信息的保護呈不斷加強的趨勢,其中妨害信用卡管理罪可以看作是對個人信息保護的初涉③,在《刑法修正案(七)》中不但提出了“個人信息”一詞,而且增加了作為“侵犯公民個人信息罪”前身的刑法第二百五十三條之一的內(nèi)容④,在《關(guān)于執(zhí)行中華人民共和國刑法確定罪名的補充規(guī)定(四)》中規(guī)定的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩個罪名,第一次明確了刑法第二百五十三條之一的名稱。目前刑法對個人信息保護的規(guī)定源自2015年的《刑法修正案(九)》,這也是對個人信息保護內(nèi)容完善最大的一次,不但正式確定了刑法第二百五十三條之一為“侵犯公民個人信息罪”,而且加入了“情節(jié)特別嚴重”的處罰標(biāo)準(zhǔn),這一罪名的演變就此趨于穩(wěn)定,之后的修正案中也再未對此進行修改。

2.與之相關(guān)的刑法規(guī)定

我國刑法除了規(guī)定侵犯公民個人信息罪之外,其他關(guān)涉?zhèn)€人信息的保護規(guī)定主要集中在一些具體領(lǐng)域。主要包括金融、互聯(lián)網(wǎng)以及教育考試領(lǐng)域,這些領(lǐng)域?qū)€人信息的保護具有明顯的針對性,與個人信息有所聯(lián)系但是關(guān)聯(lián)性較弱,實際上涉及個人信息的領(lǐng)域隨著社會的發(fā)展在逐漸增多,這也從側(cè)面反映了個人信息的保護不足。

從罪名設(shè)置來看,當(dāng)前我國刑法對個人信息的保護可以分為直接和間接兩種。直接保護即上文提到的侵犯公民個人信息罪,2017年最高人民法院、最高人民檢察院發(fā)布的《解釋》中也對個人信息從主體要件、范圍到認定標(biāo)準(zhǔn)等進行了相應(yīng)解釋,但刑法對個人信息保護的直接規(guī)定僅此一條,不僅存在數(shù)量上的不足,而且在司法實踐中依舊存在著入罪標(biāo)準(zhǔn)的適用性較差和對情節(jié)認定標(biāo)準(zhǔn)較為模糊等問題。隨著大數(shù)據(jù)時代技術(shù)手段的創(chuàng)新和發(fā)展,當(dāng)前的司法實踐中又出現(xiàn)了如互聯(lián)網(wǎng)爬蟲技術(shù)中信息搜集范圍界定此類的新情況,之前規(guī)定在處理新案件時也是力有不逮[1]。

總體來說,無論是從“侵犯公民個人信息罪”這一單獨的罪名演變過程而言,抑或是在對個人信息相關(guān)罪名的設(shè)置上來看,刑法對個人信息的保護始終是以侵犯公民個人信息罪這一直接保護為主,在之后的完善中輔之以針對性的金融和計算機網(wǎng)絡(luò)等關(guān)涉?zhèn)€人信息且信息敏感度較高領(lǐng)域的系列罪名間接保護,但明顯的問題在于大數(shù)據(jù)時代網(wǎng)絡(luò)與技術(shù)迭代下所產(chǎn)生的新型個人信息領(lǐng)域缺乏法律規(guī)定,對個人信息的保護尚未形成完整體系,而是零散見諸分則的個別罪名[2],應(yīng)對大數(shù)據(jù)時代的挑戰(zhàn),無論是個人信息的內(nèi)容更新,還是新網(wǎng)絡(luò)技術(shù)對個人信息侵入的邊界規(guī)制,個人信息的保護亟需完善。

(二)我國刑法中個人信息保護的不足

1.“情節(jié)嚴重”標(biāo)準(zhǔn)認定不明確

2017年5月發(fā)布的《解釋》第五條第一款雖然從價值和數(shù)量兩方面對刑法第二百五十三條之一規(guī)定的“情節(jié)嚴重”作出了說明,但在實踐適用上依舊存在著爭議。

首先,信息貶損之后的價值衡量問題。大數(shù)據(jù)技術(shù)的發(fā)展,使得信息的傳遞更加多元。犯罪分子獲得個人信息后,大多會利用互聯(lián)網(wǎng)進行傳播,隨著傳播范圍的擴大和次數(shù)的增加,信息價值不可避免會出現(xiàn)貶損,此情況下如何對其價值估算并不明確[3]。其次,信息折合比例過于機械。第六項提出在數(shù)量未達到前述三項條款所作規(guī)定時,按照相應(yīng)比例折合達到有關(guān)標(biāo)準(zhǔn)也屬于情節(jié)嚴重的情況,但是目前并沒有對折合比例進行明確。最后,違法所得范圍值得討論,即第七項違法所得的范圍是限于直接違法所得還是包括不可控的信息二次傳播后的間接所得。基于互聯(lián)網(wǎng)信息的公開性,一旦出現(xiàn)信息的首次傳播,之后的傳播便很難受傳播者控制,但傳播者依舊可以從此信息的傳播過程中獲利,那么在這一過程中的獲利是否屬于違法所得未做確定[4]。對此造成的影響以及間接所得是否應(yīng)該作為量刑標(biāo)準(zhǔn)也是值得考量的因素之一。

最重要的是根據(jù)我國司法實踐可以看出幾乎沒有因個人信息被侵犯而立案的案例。對侵犯公民個人信息罪的處罰一般還是在集體性信息泄露案件中,對危害性的衡量也更依賴于法官的自由裁量,因此造成對侵犯公民個人信息罪的打擊缺乏明確衡量標(biāo)準(zhǔn),罪與刑的適應(yīng)問題也更加突出。

2.行為方式界限模糊

目前刑法規(guī)定的侵犯公民個人信息罪的行為方式客觀上包括兩種:一是違反國家有關(guān)規(guī)定向他人出售或者提供,二是竊取或者以其他方法非法獲取。我國曾在《刑法修正案(九)》中將《刑法修正案(七)》中的“違反國家規(guī)定”修改為“違反國家有關(guān)規(guī)定”,這一修改在一定程度上借助了其他個人信息保護的法律法規(guī)。但在獲取方法上,對“竊取和其他方法非法獲取”中的“其他方法”就存在一定爭議,即客觀上“方法”的行為定性是否要求行為本身就具有非法性[5]。

在主觀方面,對于過失行為導(dǎo)致的危害結(jié)果是否應(yīng)該入罪沒有做出規(guī)定。根據(jù)刑法第十五條第二款⑤及公法“法無授權(quán)即禁止”的思想,刑法對侵犯公民個人信息罪的過失犯罪不能進行懲罰。但在實踐中,過失導(dǎo)致個人信息被犯罪分子獲得并以此造成侵害的案件屢見不鮮,新聞中不乏有銷售、電信、交通、賓館、快遞等服務(wù)行業(yè)在提供服務(wù)過程中,將獲取的大量公民個人信息因缺乏管理責(zé)任意識或因保管不善等原因被犯罪分子獲得,由此對公民的人身、財產(chǎn)造成了極大損害,但在中國司法大數(shù)據(jù)服務(wù)網(wǎng)以過失泄漏個人信息作為裁判要點的案件數(shù)量卻為零。在2021年首屆中國網(wǎng)絡(luò)文明大會上中國社會科學(xué)院大學(xué)林維教授就根據(jù)相關(guān)數(shù)據(jù)指出目前侵犯公民個人信息等犯罪的設(shè)置,無法處罰相關(guān)主體基于過失而造成的海量公民個人信息泄露的行為,此類過失行為所導(dǎo)致的危害后果在客觀上與故意侵犯行為所造成的后果沒有任何區(qū)別⑥。

雖然過失犯罪的規(guī)定見諸刑法更多的在于重大法益,但是究其本質(zhì)是對注意義務(wù)的違反。在當(dāng)前不同主體對個人信息的保護義務(wù)尚未被明確之時,也就難以進行規(guī)制。另外從這一罪名的法益保護來講,如果不對過失造成嚴重危害結(jié)果的行為進行懲罰,不僅對法益的保護有所欠缺,也是對受害者的不公。

3.法律銜接不暢

目前我國法律對個人信息的保護從根本上處于一盤散沙的狀態(tài)。在傳統(tǒng)信息類型的范圍內(nèi),各個部門法都形成了一定的保護規(guī)定,但是在新興的和難以界定的類型上并沒有做到與時俱進。無論是《網(wǎng)絡(luò)信息安全法》還是新出臺的《個人信息保護法》,對個人信息的定義采用的都是原先的方式且內(nèi)容上大同小異,對所保護的范圍并沒有作出明確的界定,對一些新型個人信息也未涉及,這就造成了新興的個人信息類型犯罪中,是否可以據(jù)此進行保護的裁量就落到了承辦法官的手中。

《民法典》出臺之前,對個人信息的保護一度幾乎是刑法“一力承當(dāng)”。自2017年以來,我國侵犯個人信息的刑事案件數(shù)量增加較快,相比保持在一個較高的范圍。《民法典》生效后,兩者的規(guī)定在個人信息保護的范圍上出現(xiàn)了交叉重合,目前也未有司法解釋確立雙方在保護范圍上的界限,保護范圍的沖突導(dǎo)致力量的分散,而《網(wǎng)絡(luò)信息安全法》在相關(guān)問題上亦沒有建設(shè)性的意見和規(guī)定。2021年出臺的《個人信息保護法》中對個人信息的范圍相較于其他法律得到了擴大,并且明確了信息收集和處理的規(guī)則,也提出了相應(yīng)的處罰措施,但是依舊未能解決上述問題。

目前,我國各部門法對個人信息的保護欠缺明確的界定和分工,更多還是從部門法進行保護,缺乏整體范圍和分工的劃分,未能形成完備的保護體系。

三、個人信息保護的刑法應(yīng)對

(一)構(gòu)建合理完整的認定標(biāo)準(zhǔn)

我國刑法對侵犯公民個人信息罪的入罪采用“數(shù)量+情節(jié)”的模式,但在判決中不難看出僅對“情節(jié)嚴重”的認定還是更加依賴信息數(shù)量,蓋因數(shù)量最為直觀便捷,但是缺乏對犯罪行為后果的深層次探究,這便會導(dǎo)致評判標(biāo)準(zhǔn)有失偏頗,對侵犯公民個人信息罪而言主要存在的問題就在于認定標(biāo)準(zhǔn)的完善。

一是完善入罪的主客觀因素考量,將過失造成嚴重后果的行為納入考量因素。由于刑法并沒有規(guī)定侵犯公民個人信息罪存在過失犯罪的情形,導(dǎo)致過失犯罪造成嚴重后果的行為難以受到處罰,這就給了以過失為由行故意之實的犯罪空間,將過失犯罪納入進來既能更加全面地保護個人信息安全,也能夠提高人們對于個人信息的重視程度。二是明確量刑標(biāo)準(zhǔn),制定合理完善的價值認定標(biāo)準(zhǔn)。大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展帶來的信息交互導(dǎo)致對侵犯公民個人信息的數(shù)量和情節(jié)存在認定困難,所以對個人信息價值的衡量和侵犯個人信息的損失認定應(yīng)該通過對互聯(lián)網(wǎng)企業(yè)的調(diào)研,綜合行業(yè)認定標(biāo)準(zhǔn),從而確定刑法保護范圍的標(biāo)準(zhǔn),以便更好地衡量信息價值和個人損失。三是形成對個人信息價值確認的動態(tài)調(diào)整。據(jù)情況對標(biāo)準(zhǔn)進行適量修正,進而減少因社會發(fā)展帶來的標(biāo)準(zhǔn)僵化[6]。

刑法對個人信息犯罪定罪標(biāo)準(zhǔn)的模式,在兼顧犯罪后果和主觀惡性的同時,一定程度上可以達到對犯罪的確定。但是如何更好地落實到司法實踐中,則需要進一步結(jié)合行業(yè)相關(guān)標(biāo)準(zhǔn)去發(fā)掘完善它的適應(yīng)性,制定相應(yīng)的對比標(biāo)準(zhǔn),從而使其適用更加契合立法精神和司法實踐的要求。

(二)探索行為方式的界定

刑法對這一罪名的行為方式分為泄露和非法獲取兩種。即泄露行為中的“出售”和“提供”,非法獲取行為中的“竊取”和“其他方法”。2017年《解釋》第三條和第四條分別對“提供”和“其他方法” 的常見行為進行了規(guī)定和列舉,但也僅是對司法實踐中特定問題的規(guī)定,并沒有形成一個完善的界定標(biāo)準(zhǔn)。

侵犯個人信息行為的方式界定,不僅是理論中的難點,在實踐中亦是問題的高發(fā)區(qū)。例如模塊化犯罪方式下不同階段參與人員的行為認定為罪或非罪的問題,基于網(wǎng)絡(luò)實施的關(guān)聯(lián)性犯罪行為的認定方式等問題都具有極其重要的現(xiàn)實意義[7]。同時,針對新出現(xiàn)的通過APP或者小程序的強制隱私授權(quán)搜集個人信息以及通過網(wǎng)絡(luò)技術(shù)手段獲得他人信息的行為也應(yīng)該做出進一步規(guī)定[8]。值得關(guān)注的是,很多侵犯個人信息犯罪,逐漸與詐騙、盜竊等犯罪結(jié)合起來,其損害結(jié)果更多體現(xiàn)在信息被非法利用之后造成的損失,此種犯罪行為方式的認定則應(yīng)進行具體分析。

首先,明確特定主體與一般主體的責(zé)任,對負有信息管理義務(wù)的人員,應(yīng)當(dāng)設(shè)置嚴格的信息管理責(zé)任。對一般主體的責(zé)任則需要根據(jù)其職業(yè)特性和注意義務(wù)判斷其行為的可罰性,這也是對過失行為進行處罰的基礎(chǔ)。其次,明確過失行為的處罰。針對過失造成個人信息泄露以及其他嚴重人身傷害和財產(chǎn)損失的行為,應(yīng)納入侵犯公民個人信息罪的行為方式中去,過失行為同樣會造成客觀上的損失。對過失行為的處罰也具有現(xiàn)實意義,不能以過失為由而置被害人的切身利益于不顧。同時將過失犯罪納入進來也能進一步打擊以過失為由行故意侵犯之實,加強對侵犯公民個人信息犯罪的打擊。

通過責(zé)任確定以及將過失犯罪納入考量,在處理主體責(zé)任基礎(chǔ)上,進一步完善對侵犯個人信息的行為認定,并通過這一標(biāo)準(zhǔn)指引信息處理者在處理有關(guān)個人信息時規(guī)范自身的行為,達到對侵犯個人信息行為的準(zhǔn)確打擊。

(三)針對性調(diào)整保護范圍

個人信息在大數(shù)據(jù)時代的重要性不言而喻,但刑法在保護時也不能一味擴張,而要嚴守其謙抑性,在適應(yīng)社會發(fā)展和法律完善的基礎(chǔ)上有增有減。在這之前首先要對個人信息進行關(guān)聯(lián)性劃分,即先根據(jù)“可識別性”區(qū)分出不同層級的個人信息,在此基礎(chǔ)上調(diào)整刑法的保護范圍[9]。

“一增”是立足當(dāng)前社會的發(fā)展,面向個人信息領(lǐng)域的發(fā)展擴充新出現(xiàn),但又與個人信息安全緊密相關(guān)的內(nèi)容。例如當(dāng)前被廣泛應(yīng)用于手機和移動支付的指紋、虹膜等生物識別信息以及互聯(lián)網(wǎng)發(fā)展所帶來的各種電子網(wǎng)絡(luò)信息等。大數(shù)據(jù)的廣泛應(yīng)用提升了個人信息界定的困難性,各種信息之間的邊界愈加模糊,使得一部分游走于邊界的犯罪行為無法得到懲治,刑法應(yīng)該采取積極態(tài)度應(yīng)對這些新出現(xiàn)個人信息類型。增加個人信息的保護內(nèi)容并不是刑法要在個人信息保護問題上走在所有法律的最前面,而是將這些對個人兼具敏感性與重要性的新興內(nèi)容納入保護體系中來,同時引導(dǎo)人們認識到這些內(nèi)容的重要程度?！耙粶p”則是根據(jù)關(guān)聯(lián)性的劃分,從刑法的調(diào)整范圍內(nèi)剔除已經(jīng)由其他部門法保護且識別性較低的內(nèi)容,以控制刑法的打擊范圍。這既是對刑法謙抑性的貫徹,也是刑法嚴厲性的體現(xiàn)。有增有減不僅不會對個人信息的保護造成影響,反而能夠更加精準(zhǔn)地打擊涉及個人信息的嚴重犯罪,從而提高刑法對個人信息的保護力度[10]。

總的來說,刑法對個人信息的保護內(nèi)容不應(yīng)該一成不變,要在適應(yīng)經(jīng)濟社會發(fā)展上做到與時俱進,在完善自身的基礎(chǔ)上,進一步提高與其他部門法的銜接,從而更好保護公民個人信息。

四、結(jié)語

大數(shù)據(jù)時代帶來的不僅是簡單的信息量上的增加,更是信息交互的多樣性和信息應(yīng)用方式的改變,以此帶來的信息保護與利用的矛盾也日漸突出。在此情況下對個人信息的獲取和利用比之前也更為容易。個人信息的保護,在大數(shù)據(jù)時代具有了更加深刻的意義,刑法對個人信息保護的范圍界定是刑法保護的根基,也是刑法與其他部門法銜接配合的關(guān)鍵,這就需要適當(dāng)調(diào)整范圍,并以此構(gòu)建合理完整的認定標(biāo)準(zhǔn)以及進一步探索行為方式的認定。刑法根據(jù)現(xiàn)今情形做出適應(yīng)性改變,更好地保護個人信息的安全,既是刑法在保障法益上的合理應(yīng)對,亦是刑法自身進步完善的重要內(nèi)容。在此基礎(chǔ)上也能做到與其他部門法分工明確,形成法律之間的合力。

【注釋】

① 參見國發(fā)〔2015〕50號《國務(wù)院關(guān)于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》http://www.scio.gov.cn.html.

② 參見最高人民法院、最高人民檢察院2017年《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條。

③ 參見《刑法修正案(五)》第一條。

④ 參見《刑法修正案(七)》第七條。

⑤ 參見刑法第十五條第二款。

⑥ 參見法治網(wǎng)首屆中國網(wǎng)絡(luò)文明大會網(wǎng)絡(luò)法治論壇http://www.legaldaily.com.cn。