APP下载

内涵、外延与基准:公民个人信息的刑法保护

2019-02-19

山东警察学院学报 2019年1期
关键词:个人信息公民信息

(中国社会科学院法学研究所, 北京 100720)

一、引 言

随着中国互联网规模的扩大和用户规模的增多,各种通讯、娱乐、财务等功能性网站和应用平台也得到了迅速发展,伴随而来的是人们在虚拟环境中面对的安全威胁。2018年爆出的Facebook用户信息泄露影响美国总统大选的事件[注]一家名为剑桥分析(Cambridge Analytica)的数据公司窃取了5000万Facebook用户资料,根据每个用户的日常喜好、性格特点、教育水平,预测他们的政治倾向,进行新闻的精准推送,间接促成了特朗普的当选。使得互联网个人信息与网络安全再次成为全民关注的舆论焦点。

2017年7月,备受关注的山东省“徐玉玉案”在山东省临沂市中级人民法院进行了一审公开审理并当庭宣判,最终主犯陈文辉一审因诈骗罪、非法获取公民个人信息罪被判处无期徒刑,没收个人全部财产,其他6名被告人分别被判处3年到15年不等的有期徒刑并处罚金。在徐玉玉案宣判之后,同年8月24日,临沂市罗庄区人民法院对向徐玉玉案被告人提供被害人个人信息的黑客杜某某进行了审判,以侵犯公民个人信息罪判处其有期徒刑6年,并处罚金人民币6万元。杜某某从2016年起利用网络漏洞,通过植入木马的方式非法侵入山东省2016年普通高等学校招生考试信息平台网站,在获取高考考生信息后通过各类平台将其出售获利。这种获取信息的方式对于略懂计算机编程的人来说并非难事,而其成功后获得的利益是巨大的。被害人高考生的特殊身份和被诈骗款项的特殊性质使本案在社会上产生了极大的影响,也使很多人开始重视个人信息的泄露问题。因为在这个案件中,被告人达到诈骗目的最关键的是取得被害人的信任,本案的被害人之所以相信了对方的话语,就是因为对方准确说出了其姓名以及相关信息,而这些信息都是犯罪嫌疑人从网上买到的。这些买卖公民个人信息交易的背后,隐藏着一条巨大的黑色产业链。

随着社会信息化的快速发展,由于侵犯公民个人信息类案件往往具有技术难度低、涉及范围广、犯罪金额大、犯罪行为人众多等特点,侵犯公民个人信息犯罪的案件持续增多,成为违法犯罪的重灾区。为了更好地管控和裁判这类行为,公安部、最高人民法院、最高人民检察院先后单独或联合发布了侵犯公民个人信息典型案件。从这些案件中可以整理出如下几类获取公民个人信息的方式:通过网络黑客侵入银行、酒店等企业的内部资料库窃取员工和顾客信息,再通过撞库行为非法获取相关网络账号;通过伪基站发送钓鱼链接获取个人账号、密码等信息;内部工作人员利用职务之便传播、出售掌握的公民信息;通过网站平台、注册页面等骗取公民提供个人信息;建立非法平台、社交群组来交换甚至交易公民个人信息。

公民个人信息作为许多犯罪行为重要的初始资源,侵犯公民个人信息案件往往成为其他案件的前置案件,为犯罪行为人实施进一步的犯罪提供了“工具”,所以这类行为的影响力不仅限于对公民个人信息的泄露和传播,更有可能造成人身伤害和财产损失。因此,需要刑事立法和司法予以重视和关注。在用刑法对侵犯公民个人信息的行为进行规制时,我们需要思考的是,在互联网高速发展时期,面对新媒介带来的新问题,刑法对其保护的边界在哪里?刑法究竟何时可以介入,又如何以及以何种程度介入?本文从刑法对公民个人信息保护的立足点——法益入手,尝试对刑法保护的范围、权利属性以及实践中应当遵循的两个原则与例外情形进行分析。

二、概念厘清:刑法保护的个人信息的内涵

1. 法律条文中个人信息概念的界定

个人数据、个人信息这些用语有区别吗?不同国家的用语有一定差别,我国国内的相关立法一直使用的是“信息”,有些国家采用“个人数据”、“个人资料”、“个人隐私”等用语,也有国家和我国相同,采用“个人信息”的概念。从保护目的和范围的角度,不同用语的侧重点各不相同。比如,欧盟从1995年《个人数据保护指令》开始,一直使用的是“数据”一词。欧盟1995年《个人数据保护指令》(The Data Protection Directive)第2条规定,所谓个人数据,是指与一个身份已被识别或可识别之自然人(或称数据主体)相关的任何数据;所谓可识别的人包括直接和间接地被识别的人,尤其是通过参照身份证号码或一个或多个特定于其身体、生理、精神、经济、文化或社会身份因素的可识别之人。美国对于个人信息的保护和界定,主要是通过判例和部门立法模式进行的,针对不同的主体、行业有不同的规定,其核心内容是对“个人识别信息”(Personally identifying information, PII)这一概念的不同诠释。

在我国早期的相关法律规定中,个人信息和个人隐私是混同规定的。比如,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》规定:“个人隐私和其他个人信息”包括“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动”。网络技术发展后,权力部门对个人信息的核心特点有了进一步的认识,《电信和互联网用户个人信息保护规定》就界定了以识别性作为核心的个人信息范围。2013年最高人民法院、最高人民检察院、公安部发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”这个定义基本认可了个人信息的可识别性是个人信息概念和范围界定的核心属性。

2017年3月15日,全国人大正式通过《民法总则》。《民法总则》第111条专门规定了个人信息保护规则,首次从民事基本法层面提出了个人信息权,并明确了信息安全的保护,“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。但《民法总则》并没有给出个人信息的准确定义,这个工作是由随后的《网络安全法》来完成的。

《网络安全法》第76条将个人信息界定为“能够识别自然人个人身份的各种信息”,显然使用的是广义的“身份识别信息”的概念,即既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动情况的信息。

2. 个人信息的内涵延伸

除现有条文规定的姓名、年龄、有效证件号码、婚姻状况等个人信息之外,我们认为还有一类信息也应当包括进来,即公民的基因信息。基因信息具有个人信息的关键特征,即可识别性,所以从性质上可以纳入。

相较于一般的隐私而言,基因隐私和遗传信息相连,有着特殊之处。首先,一般隐私的内容是权利人本人所熟知的,其范围也往往是权利人自己定义的,而基因信息只有在借助专门的科技手段后才能为权利人所知,内容和范围并非由权利人自己创设。由于检测机构必然会早于权利人知道隐私内容,所以对基因隐私保护很重要的一环就是禁止已经被检测出的基因信息的传播。其次,基因信息内容贯穿生老病死,所以它不仅表达了过去的权利内容,还含有未来的权利内容。最后,尽管基因信息为个体所有,但是一些致病基因和缺陷基因可能是一个家族的遗传,所以这种隐私内容的主体是一个家族或社群,这是不同于一般隐私权主体的。在就业、保险、科学研究、医疗甚至犯罪人DNA检测等领域,都涉及到对基因信息的保护问题。因为权利人和侵权人可能地位悬殊,所以被侵权人很难找到证据,甚至有时候不知道侵权的发生。此外,基因信息一旦泄露,影响巨大,因为它不仅表达了过去的固有信息,还包含对未来趋势的预测,这会给被侵权人造成难以估量的损害。此外,对基因信息的保护也和国家安全密切相关。20世纪90年代,在我国还没有对各民族的基因信息采集予以足够重视之前,美国有不少研究机构到中国对不同年龄、性别、民族的群体进行了大规模的基因采集并带回国进行研究。这种基因资源的流失不但会影响本国相关研究的发展,也埋下了安全隐患,比如基因病毒、基因武器等,所以对基因信息的保护应当是个人信息保护中很重要的一部分。

欧盟2018年最新颁布的《一般数据保护条例》(GDPR)第4条第13项定义了基因数据(genetic data),即“关于一个自然人遗传或后天基因特征的个人数据,提供了通过对生物样本的分析得出的关于该自然人生理或健康的特别信息”,可见,将基因数据纳入个人信息保护,已经不再是纸上谈兵。我国作为多民族的人口大国,更应当重视对基因数据的保护,这不仅涉及到每一个自然人的个人隐私权益,也关系到国家的基因多样性安全问题。

三、权利属性:刑法保护的个人信息的外延

随着互联网3.0时代[注]互联网1.0时代指PC电脑端的信息互联时代,互联网2.0时代指智能手机端的社交关系互联时代,互联网3.0时代指人机交互的资产互联时代。的来临,网络全面渗透到公民的日常生活和社会运行之中,云计算技术的发展意味着大数据成为网络空间的主导,作为网络数据之一的个人信息具有和其他网络数据一样的易取得性和防护脆弱的问题,其安全性成为焦点。在大数据时代,公民个人信息概念的外延在不断扩展,其特有的广泛而迅速传播的特性也会影响刑法对其保护的范围。这就涉及到对公民个人信息保护权利属性的界定。

非法利用公民个人信息到底侵犯了何种权利?是人格权(比如隐私权),还是和公民个人信息相关的财产权,抑或有超出人格权、财产权这些个体权利的其他属性?

首先,公民个人信息相关权利具有人格权的属性,最直接的就是隐私权属性,这也是公民个人信息保护和法律规制最初的切入点。隐私权即自然人享有的对其个人的与公共利益无关的信息、私人活动和私有领域进行支配的一种人格权。公民的个人信息会反映出一个人的生活状态和社会网络,必然属于个人隐私的保护范围。但相较于一般的隐私而言,法律保护下的公民个人信息有其特殊性。如果说传统的个人隐私权更加关注个人意愿,那么个人信息权中的隐私权益则应被视为个人如何规划其社会生活的权利。[1]一般隐私的内容是权利人本人所熟知的,其范围也往往是权利人自己定义的,而个人信息权的内容和范围并非由权利人自己创设,而是由法律规定,具有一定的客观性。当然,隐私权不是个人信息权的全部,信息的自决权也是很重要的组成部分,个人信息具有特定性,所以作为特定享有者的主体,就拥有对相关信息使用、收益、处分等权利,这也是公民个人信息保护中前置性条件“知情同意”的基础。

从域外的数据信息保护立法经验来看,通过刑法手段保护个人信息是各国立法认可的有效手段。美国采取的是以隐私权为基础的判例制度,而欧盟则是将数据信息视为人格权的延伸,从人格权保护的角度进行立法。[2]美国没有专门的个人信息保护立法,而是分散于不同的法案和判例之中,主要包括针对身份的盗窃以及对相关工作人员泄露个人识别信息的行为的入罪和处罚,德日则是通过专门立法+刑法典条文的方式对个人信息犯罪进行了全方位的规定。

其次,公民个人信息权也具有财产权的属性。网络和信息科技的发展赋予了个人信息商业化的特性,大数据时代使得传统模式下无法大量而快速收集和传播的个人信息成为可能,使得个人信息具备了许多现代财产的法律属性和价值特征。例如,它可被人占有、交易,可被排他性使用,可被消费、修改、销毁等,甚至能被继承、赠与、遗赠,因而可被定义为财产,从经济学角度来说,“只要市场存在,信息就是有价值的”。[3]也有学者将其表述为“财产人格权”,即原有的人格权保护的客体部分地转化为经济活动客体,具有经济利益,可被商业利用。[4]如果我们不承认个人信息的这种财产权属性,就会导致个人信息无法得到全方位的保护。同时我们也不同意将个人信息权定义为财产人格权,因为人格权具有专属性,不得让与,且不能作为交易的客体,如果用扩张人格权的方式将财产保护纳入其中,会造成和传统理论的冲突,也会造成人格-财产二元划分体系的崩毁,所以最好的方式就是对个人信息权中的具体权利进行划分,分别用人格权和财产权的原则和方法进行保护。公民个人信息的拥有和使用并不是一种有形的财产权,但它具有独立的存在和使用价值,所以从这个角度来看,对公民个人信息的保护不能仅仅立足于个人隐私权的范畴,也要看到这一法益的可变现性,个人信息具有的交换价值使其能转化为可交易的商品,进而会出现经过主体同意和授权的交易和未经过同意和授权的交易两种情况。比如,咨询公司在进行市场分析的时候,需要对相应市场的消费者的个人信息进行收集,再通过大数据分析总结消费者的偏好和经济能力,为公司进一步的发展方向提供参考。在这个过程中,如果咨询公司利用收集到的个人信息产出了成果并获得报酬,那么这种利用就应当向原始的数据提供者,即个人信息所有者取得许可并支付相应的费用,这就是一个个人信息变现的过程。我们认为,在公民个人信息保护法尚未出台,相关的保护模式没有清晰的时候,这种财产性的保护可以参考著作权保护的思路。著作权就是具有人格权和财产权双重性质的权利,且从财产权角度来看,其是无形的财产权,具有排他性。作者对著作权享有支配权,如果他人要使用其作品,除了特殊情况,都必须得到著作权人的同意;作者对著作权也享有独占权,作品发表后的收益归作者享有。公民个人信息在被二次传播和使用的时候,需要得到信息所有权人的知情和同意,并应当支付一定的报酬,这种权利的行使就类似于著作权保护中的许可使用权与获得报酬权。

最后,对公民个人信息的刑法保护是否有超出人格权、财产权这些个体权利的属性?从《刑法修正案(七)》开始,侵犯公民个人信息类的犯罪一直被放在第四章侵犯公民人身权利、民主权利罪之中,除此之外,还有与之相关的第177条之一窃取、收买、非法提供信用卡信息罪第4款“窃取、收买或者非法提供他人信用卡信息资料的”、第286条之一拒不履行信息网络安全管理义务罪第2款“致使用户信息泄露,造成严重后果的”等相关条款分别规定于第三章破坏社会主义市场经济秩序罪和第六章妨害社会管理秩序罪中。从这点可以看出,对公民个人信息的保护并不是个体视角下人格权、甚至财产权的保护那么简单,而是涉及到国家对社会安全、集体利益、网络运行环境保护的整体管理。首先,公民个人信息的保护关系到网络环境的净化和网络经济活动的发展,如果没有规范的信息使用方法,也没有健全的司法救济途径,就会导致侵犯个人信息行为愈发猖獗,影响网络运行,干扰正常的经济秩序。其次,公民个人信息的保护也有可能上升到国家安全、社会保护层面。《网络安全法》的出台就体现了国家对中国公民个人信息保护与国家信息安全问题之间联系的认识。网络空间作为海洋、陆地、天空、外空之外的第五空间,国家主权也存在于这一虚拟空间中。个人信息的泄露可能会威胁到国家安全,如政府和大型企业用于存储用户个人信息的数据库一旦遭到泄露,可能导致网络监听、网络攻击甚至网络恐怖主义行为的发生。对个人信息尤其是关键信息的保护,已经是各国的共识,对个人信息、重要数据,除非确有必要,不应当流出境外。关键信息基础设施已经成为能源、金融、交通、通信的关键问题,成为国家的命脉,《网络安全法》就规定,“关键信息基础设施的运营者在中华人民共和国境内收集和产生的个人信息和重要数据应该在境内存储”[5]。由此可见,在信息化时代,个人信息安全已经成为和国家安全、社会发展、公众利益息息相关的重大问题。

综上可见,刑法层面上的个人信息权利保护,是一个复杂或者说是综合的权利集合,其最终要在个人信息的保护与社会信息共享、信息自由交流与国家安全之间找到平衡。

三、原则与例外:刑法保护个人信息权的基准

1.责任主义原则的坚持和例外

在网络犯罪中,对帮助行为人,如网络平台的经营者、服务器的运营者等追究刑事责任已经成为打击网络黑灰产业链的重要部分。对在侵犯公民个人信息犯罪中提供了帮助的行为人,2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)明确了其刑事责任。[注]当然,在帮助信息网络犯罪活动罪等规定中,行为人的行为是所谓的中立行为,而本罪的帮助行为显然并不“中立”,所以本罪行为的性质和中立行为入罪的情况也不同。

一方面,《解释》规定了责任主义原则成立的情形。依据《解释》第5条第1款第2项“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或提供的”属于“情节严重”的规定,在行为人主观明知的时候实施了侵犯他人个人信息的行为,就需要承担相应的责任。同时,这也是一种帮助行为的正犯化,那么何时成立具体罪名的帮助犯与本罪正犯的想象竞合,何时认定为单纯的具体犯罪帮助犯?这需要依据主观认识上是否有特定的故意和认识来区分,“如果行为人主观上仅知道或者应当知道他人将利用个人信息实施犯罪行为,但对于实施何种犯罪、如何实施以及犯罪的时间、地点并没有认识,则不能成立具体犯罪的帮助犯,但可依据本项定罪处罚,如果行为人对他人即将实施的犯罪存在具体的认识,依然向他人提供个人信息的,后他人果然利用其提供的个人信息实施了具体的犯罪行为,则行为人应当构成具体罪名的帮助犯与本罪正犯的想象竞合,择一重罪处罚。”[6]对于本项中“犯罪”的范围,有学者认为在进行目的性限缩解释的情况下,不应当包括本罪。[7]我们认为应当包括出售或提供公民个人信息的行为。因为从利用公民个人信息的黑色产业链来看,对个人信息的获取和传播有时会经过多重层级,最终流向不同的犯罪行为终端,所以在这个过程中,任何一级都可以依据本条成立侵犯公民个人信息罪。

另一方面,《解释》还规定了责任主义的例外情形。《解释》第5条第1款规定,“出售或者提供行踪轨迹信息,被他人用于犯罪的”,可被认定为情节严重。对比其他条款可以看出,对于这类行为,无需判断主观上是否知道或应当知道涉案信息被用于犯罪。这主要是为了解决司法实践中取证难的问题而设立的条款,可以说是实践推动规则制定的直接反映,但从理论角度,这样的规定是否合适还有待商榷。对《解释》中这一款的处罚正当性的解释,可能需要引入大陆法系客观处罚条件理论或英美法系的严格责任理论才能解决。我们曾试图用大陆法系客观处罚条件理论[注]在特定情况下,除了不法行为的责任之外还必须存在其他情况才能成立刑事可罚性,这种附加在有责的不法行为中并能够引发刑事可罚性的情况被德国刑法学家称为“客观的处罚条件”或“刑事可罚性的客观条件”。参见[德]克劳斯·罗克辛.德国刑法学总论(第1卷)[M].王世洲,译.北京:法律出版社,2005.290.对《解释》中这一款的处罚正当性进行解释,但发现该理论中的客观处罚条件大部分时候都表现为处罚限制功能,只有在少数状态下具有刑罚加重功能。[8]而《解释》中的这一款显然不是为了减轻被告人的刑罚,所以是一种不纯正的客观处罚条件,实际上也是不法构成要件,只是与故意过失相分离。而且我国刑法学界对客观处罚条件的概念、定义以及在我国的适用争议很大,因此,笔者认为,与其采用争议较大的客观处罚条件理论来解释,不如采用英美的严格责任理论可能更为简便。严格责任立法本就出于功利主义立场,为减轻控方的犯意证明责任而设,实际上是为保护多数人的最大利益而对少数人利益的牺牲,这其实和《解释》第5条第1款的立法原意是一致的。

2.同意原则的坚持与例外

我们的日常生活已经离不开网络,每天都有无数的数据传播行为发生,尤其是在智能手机普及之后,同意某一应用软件使用公民个人信息已经成为了一种常态,需要通过将个人信息相关情形告知信息持有者并以赋予其一定处置权的方式在虚拟网络世界中设立第一重保护,使得当个人信息被侵犯时,当事人有权并有途径进行究责,维护自身权益。

公众信息共享和个人信息保护之间的冲突是互联网时代所有网络活动无法回避的问题,互联网发展至今,信息持有者的知情和同意已经成为网络主体对公民个人信息所有利用行为开展的前提,也是对公民个人信息的最低保护要求,信息持有者有权了解自己的信息被哪些机构持有、处理和利用,也有权了解具体的利用进程,对于可能不利于信息持有者的利用行为有知情权。知情同意包含两个权利范畴:一是知情权,即信息主体有获取有关本人信息及其被收集、处理和利用等情况的权利;二是同意权,即除法律规定的例外情况,任何人要收集、处理或使用个人信息必须经信息主体本人同意。[9]一般而言,这种同意不能是默示作出的,即数据主体以简单的不作为表示同意是不够的,还必须以某种作为形成明示同意,但有默示同意成立的情况,如将个人数据用于直销目的的情形。[10]

早在1978年经济合作与发展组织(Organization for Economic Cooperation and Development, OECD)就成立了跨境数据障碍和隐私保护的专家团,并于1980年通过了《关于隐私保护与个人数据国际流动的指针的建议书》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, OECD.EOC.C58 final)。该建议书提出了保护个人信息的八项基本原则,其中附条件地规定了数据收集与利用的同意原则。[11]

是否支持信息所有者的同意权和各国的价值衡量相关。美国更加强调信息的自由流动,认为交流与利用是信息的价值所在,不支持用同意权来为流动设限,妨碍相关行业的健康发展。与之相反,欧盟各国更为强调对个人数据安全的保护,禁止个人数据的随意流失,在消除欧盟境内数据流动障碍的同时寻求更高层次的保护,将同意权明确列入数据保护的相关文件之中。

根据欧盟第29条工作组的观点,信息主体的同意必须是在信息充分的情况下基于自由意志做出,且明确具体。[12]传统的个人信息保护结构来自欧盟《个人数据保护指令》,众多国家的立法均以此为蓝本,其“知情同意”结构要求机构在收集用户信息前,告知用户信息处理的情况,在网络服务的语境中通常表现为发布隐私声明,用户在阅读声明后做出同意的意思表示作为对个人信息收集及利用的合法授权,然而此种控制机制在信息时代尤其是大数据时代遭到严重冲击。[13]2016年欧盟《一般数据保护条例》(GDPR)强化了对公民知情权和同意权的规定。根据该法,居民能够查询个人信息的存储和处理情况,一旦发生数据泄露事件,信息所有者有权第一时间被告知。在2018年最新的《一般数据保护条例》中进一步强调了对信息所有者的保护,在使用其数据的时候,不仅需要告知和取得其同意,同时所有者还有反对权和擦除权,一经反对使用或要求“擦除”,企业就必须马上停止一切使用。由此可见,欧盟的个人数据保护是双重的,即既在采集阶段保护,也在采集后的整个使用阶段严格控制。欧盟各成员国本国的数据保护法也有关于同意权的规定。如德国2003年《联邦数据保护法》第4条规定了只有在法律允许或数据主体同意的时候才能收集、处理和使用个人数据,且这种同意是书面且针对特定事项的。法国《数据处理、数据文件及个人自由法》也规定了对个人数据处理的同意权及其例外情况。

不同于欧盟严格的数据管控,美国对个人信息的利用则采取宽容的态度,没有制定统一适用于各种机构的个人信息保护法,而是在《隐私权法》等相关法律中以条文形式作出具体规定。比如,《隐私权法》规定了信息提供者的知情权以及对非法定原因信息披露的同意权,但美国法律中规定的同意权范围非常窄,和欧盟的一般性保护有所区别。2015年美国在《消费者隐私权利法案(草案) 》中规定了大量的排除条款,如将合法公开可得的信息、经去识别化处理的信息、雇员信息、网络安全信息等排除出个人信息的范围。同时在适用主体方面,较欧盟数据保护指令作出更多例外性规定,给个人信息的利用留出了灵活空间。

在企业信息使用的管控中,各国表现出了不同的管控理念。作为互联网大国,美国为了鼓励企业发展,对企业信息使用没有设置太多的障碍,尤其是对个人信息这一决定企业程序设计、用户体验的关键数据更是没有设置太多的使用障碍,但由于欧盟本土几乎没有大型的互联网企业,在对外国企业的准入过程中,自然会设立壁垒来保护本国利益。比如,欧盟隐私监管机构对WhatsApp和Facebook的警告和调查,认为“虽然WhatsApp试图获得用户的同意,与Facebook分享他们的信息,但是又告知用户如果不同意数据分享条款就无法继续使用该服务,对此,监管机构表示‘同意或者离开’的策略没有给用户充足的自由选择权,应当加以修改,但Facebook对此尚未采取行动”;再如,欧盟第29条工作组对Google展开的合规性调查,2012年向谷歌发出通告,要求其在4个月内按要求修改隐私政策,但谷歌对此置之不理,于是第二年(2013年)法国的数据保护监管机构——国家信息自由委员会(CNIL)于当地时间2013年4月2日宣布,欧洲六国的隐私保护部门将联合对谷歌加强限制。[14]这两个案件侧面表明了欧盟通过严格的数据管理规则遏制美国互联网霸权的目的。

我国台湾地区的“个人资料保护法”和日本的《个人信息保护法》也规定了信息所有者的同意权,但仅限于采集阶段,对于之后的使用阶段,只要使用目的与收集目的相符就无需征得信息主体的同意。因为日本在制定《个人信息保护法》过程中认为,如果像欧洲那样设立对任何领域都拥有管理权限的个人信息保护机关,则可能大幅度限制非公共部门本应自由的活动,这不符合日本的国情,与其行政改革和放松管制的潮流也相悖,因而应构建富有成效的事后救济体系。[15]

我国2017年新出台的《民法总则》和《网络安全法》也顺应国际潮流,强化了用户的知情权和同意权。《民法总则》规定了公民个人信息保护的一般原则是告知与同意原则,虽然没有明确界定“告知”和“同意”的标准,但可以通过其他相关立法规定明确。如《网络安全法》第22条规定了网络服务提供者的告知义务,“发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”;第42条第1款表达了对公民同意作为合法化前提的支持,该条规定对网络运营者收集的公民个人信息,“未经被收集者同意,不得向他人提供”,并规定了一个例外,即经过处理无法识别特定个人且不能复原的情况下,可以不经过同意对外提供。这种前置的同意原则和欧盟的数据管理立法思想是类似的。2017年出台的《解释》第3款也从刑法层面呼应了同意原则,规定“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于《刑法》第253条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”

知情同意权的推行首先遇到的阻碍就来自大数据时代经济发展对个人信息的海量需求。由于大数据时代用户与网络服务提供者之间的联系不再单一,而是一个多重网络,所以对公民个人信息的自我控制能力减弱,知情权和同意权的实现也变得更为困难,同时也规定得更为严格。有学者指出,知情同意机制已然失灵,知情同意的基础地位不保,一方面,在大数据背景下信息主体权利已被架空,另一方面,其加重企业成本,从而阻碍信息高效使用。[16]需要注意的是,公民个人信息保护的需求和国家治理的安全需求之间存在矛盾,和企业发展的大数据分析需求之间也存在冲突。如何平衡好这两对关系,涉及到同意原则适用的范围。从企业发展角度看,中国互联网企业之所以能在短短数十年内迅猛发展,离不开中国庞大的网民群体的信息支持,只有通过足够数量的大数据分析,才能够实现更为个性化的服务,提供更好的用户体验。如果对网民个人信息的使用规定得过于严格,企业就不能进行数据挖掘和分析工作,服务质量就下降,相应地会影响到企业在市场中的占有份额。从个人信息安全角度而言,如欧洲数据保护规则一般要求企业集中用户信息以方便用户查阅和授权,未尝不会形成新的安全隐患,反向地给黑客攻击网站获取信息降低了成本,原本分散的信息可能需要多次攻击才能获取,现在只需要一次就能获得全部。所以,在适用同意原则对企业个人信息的获取设置门槛的时候,也不能过分强调个人权益,在掌握信息让渡的决定权的同时也要给企业一定的自主权。比如,在对信息进行去识别化处理后在一定范围内可以不经提供者的同意进行使用。

但是,国家安全对个人信息保护可能的侵犯和企业对个人信息的利用还是有所区别的。首先,国家安全部门对个人信息的获取较之企业更为全面,比如纳税、户籍等信息,是企业通过软件程序无法得到的。其次,国家安全部门获取个人信息的目的并不在于盈利,更不会用于违法犯罪行为,这一点是和企业或其他第三方机构有所区别的。最后,国家安全部门是个人信息收集的终端,不会二次传播。所以安全部门享有一定的豁免权,在国家安全和个人安全的价值位阶对比中,显然国家安全具有更高的优先级。

四、余论

公民个人信息从早期作为其他法益保护的一部分进入刑法规定到现在的独立保护,其保护体系愈发完善,内涵外延不断丰富,但同时也存在隐忧——刑法在将网络犯罪领域出现的新违法行为入罪规制方面表现得过于积极,有些地方越过民法和行政法,走得很远。而从司法实践来看,对这一类行为的处罚普遍较轻,不少案件虽然涉案人数众多,但很少有判处3年以上刑期的,大多都是几个月到1年有期徒刑并缓刑,并处的罚金与违法所得金额相比甚微。这难免使人产生疑问,这样的刑罚对侵犯个人信息的违法行为是否必要,采取民事或行政措施是否更为有效?刑法作为最后一道防线,应当在其他部门法措施规制无效时才启动,但在个人信息保护领域,民事、行政措施,与其说是调控无效,不如说是尚未完善,有心无力——民事措施偏重对隐私权的保护,对个人信息的其他权利属性鞭长莫及,而在缺少单行专门立法的行政制裁领域,其措施严厉有余,辐射范围不足。在这样的情况下,能不能直接进入刑法层面?

笔者认为,针对网络时代犯罪行为发展快、数量多、影响广、损失大等情况,刑法先积极作为,划定最低的行为界限,并非不可,至少可以形成一定的威慑力。但从整体的法律规制体系逻辑来看,刑法的任务并不是针对具体侵犯公民个人信息权利的行为去鉴定其是否合法或违法,这个任务应当由民法或行政法去完成。只有对侵犯公民个人信息已达到相当严重程度、具有相当社会危害性的违法行为才能动用刑法,以避免刑法“代行”民法或行政法等其他部门法的职能。这样才能搭建一个刑、民、行交叉的整体保护框架,实现大数据时代对公民个人信息的全方位保护。

猜你喜欢

个人信息公民信息
我是小小公民科学家
如何保护劳动者的个人信息?
论公民美育
个人信息保护进入“法时代”
警惕个人信息泄露
订阅信息
十二公民
展会信息
个人信息保护等6项通信行业标准征求意见
公民选举权的平等保护