大数据发展与公民个人信息刑法保护的利益平衡
2019-03-05明文建杨诗文
明文建,杨诗文
(苏州市人民检察院,江苏 苏州 215008)
现代信息技术的发展将大量的数据联合在一起,一方面给公民生活带来了便利,另一方面也给公民个人信息的保护提出了挑战。近年来,我国泄露公民个人信息的案件层出不穷。公民个人信息的泄露不仅影响着每位公民的切身利益,甚至危及着国家安全。因此,公民个人信息保护刻不容缓。如何正确处理大数据发展与公民个人信息保护之间的关系,是我们需要面对的首要问题。
一、大数据与大数据发展的利益衡量
人类对数据统计的需求一直存在,早在7000多年前,人类的米索不达亚文明就用数据计算农作物和畜群的生长情况。随着现代科技的不断发展,新的数据统计方式层出不穷。互联网发展带来的信息爆炸对人类数据统计方法提出了新的要求。1990年,彼得·单宁在《美国科学家》上发表文章,指出信息流动的数量和速度对人类网络、储备系统及认知能力提出了新的挑战,并提出了人类要创造新的机器来快速处理大量数据流(large data streams),以避免数据流失带来的风险。一般认为,这篇文章第一次准确指出了大数据的概念。1997年,迈克尔·考克斯和大卫·埃尔斯沃思首先使用“大数据”(Big Data)一词形容海量信息对计算机系统的挑战,指出了大数据下的数据集甚至超出远程磁盘的容量。2013年,牛津英文词典首次收录“大数据”一词,意味着此概念被正式使用。大数据,即指数量巨大且复杂的数据流,这些数据流并不能被传统的数据软件处理,需要新的方法来处理。因此也有学者认为,大数据的全称应当是大数据分析(Big Data Analytics)。
(一)大数据的基本特征
2001年,META的一项研究报告指出了大数据的3V特征,即体量大(Volume)、速度快(Velocity)、多样化(Variety)。其后,一些机构又给大数据添加了一个新的特征,即真实性(Veracity)。还有学者认为,大数据还具有价值(Value)这一特征。
1.体量大。即大数据时代需要处理海量的数据。根据思科公司分析,全球互联网总流量将在2016年跨过1ZB大关,并将在2019年再翻一倍。国际数据统计机构IDC预估2011年和2012年的全球信息总量分别达到1.8ZB、2.8ZB,到2020年将是40ZB[1]。
2.速度快。即大数据时代数据更新、传播速度快。在2017年夏季达沃斯世界经济论坛上,IBM大中华区总裁陈黎明以医疗健康领域数据为例表示,20世纪50年代数据翻倍需要50年时间,20世纪80年代,数据翻倍时间减少到7年,至2015年,该数据只需3年就能翻倍,而到2030年,这一时间预计将进一步缩减至73天。信息技术的发展为数据传播提供了便捷的平台,数据一旦进入现代传播平台如互联网、云平台等,即可以迅速传播,并且一经上传往往留下痕迹,难以销毁。
3.多样化。即数据类型多样化。随着信息技术的发展,公民上传个人信息的途径越来越多,且信息类型也趋于多样化。除传统的互联网外,智能手机、各类可穿戴设备都将成为大数据时代处理数据的重要途径。
4.真实性。即大数据的处理对数据真实性要求较高,数据真实与否直接影响到大数据统计的效果。
5.价值。即所处理的数据具有一定的价值。对政府机关来说,这些数据可以规范社会管理,对民营企业来说,这些数据能够产生经济利益。价值特征也成为大数据越来越受到各国政府和企业重视的原因。
(二)大数据时代侵犯公民个人信息犯罪的特点
1.犯罪数量日益增多。伴随着个人信息数量日益增多,针对个人信息的犯罪数量也在逐年增加。以互联网为例,根据奇虎360《2016年网站泄露个人信息形势分析报告》统计显示,“2016年补天平台共收录可导致个人信息泄露的网站漏洞359个,这359个可导致个人信息泄露的网站漏洞,总计可能泄露个人信息60.5亿条,比2015年的55.3亿条增长了9.4%;平均每个漏洞可导致1685万条个人信息泄露,相比2015年的392万条增加了近三倍”。
2.个人信息传播速度快,犯罪影响深远。在大数据和云计算时代,包括个人信息在内的数据,只有充分地流动、共享、交易,才能实现集聚与规模效应,最大程度地发挥价值。与传统的侵犯公民个人信息的案件不同,大数据时代涉及公民个人信息案件往往牵涉面较广,信息传播速度极快,犯罪影响深远。在公安部发布的侵犯公民个人信息十大典型案例中,有5件涉及个人信息数量达千万条以上。2016年3月,江苏淮安公安机关网络安全保卫部门侦破的一起侵犯公民个人信息案,查获的公民个人信息更是达到了20亿条。
3.个人信息表现形式更为多样化,犯罪手段和犯罪对象日益复杂。大数据时代所搜集的个人信息形式更为多样化,除传统的姓名、地址、银行卡号等信息外,还包括位置信息、网页浏览信息、个人搜索偏好等,有学者将这些信息称为间接可识别信息[2]。与之相对应的,涉及个人信息的犯罪手段、犯罪对象也比较复杂,导致案件处理困难。
(三)大数据的现代意义与负面影响
大数据时代的到来是历史的必然。人类日益增多的数据需求要求我们采用更快更便捷的数据处理方式。信息发展深刻改变了公民生活方式(如手机支付替代现金支付),同时信息发展程度也代表着一个国家的核心竞争力。正因为如此,基于信息化的大数据成为各国政府、各个企业充分考量的内容。2013年3月,美国政府整合6个部门投资2亿美元启动“大数据研究和发展计划”。同年,Gartener公司预测,到2015年,采用大数据和海量信息管理的公司将在各项财务指标上,超过未做准备的竞争对手20%[3]。我国政府也多次强调信息化和大数据发展的重要性。中共中央办公厅、国务院办公厅于2016年3月28日下发《2006--2020年国家信息化发展战略》,指出:“大力推进信息化,是覆盖我国现代化建设全局的战略举措,是贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会和建设创新型国家的迫切需要和必然选择。”
然而,大数据带来利益的同时,也带来了负面影响。大数据的基本特征揭示了大数据时代的价值取向,即数据基础量要大、数据处理速度要快、数据收集要便捷、数据内容要真实。从这个层面来说,大数据时代需要公民个人信息具有公开性、传播便利性,这势必对公民个人信息的保护形成挑战。
二、公民个人信息与刑法保护的利益衡量
(一)公民个人信息的特征
两高在2017年年3月下发《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),该《解释》第一条规定,“公民个人信息”包括身份识别信息和活动情况信息,即“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。笔者认为,这是现阶段我国法律中最为科学的关于个人信息的概念。该概念特别强调了公民个人信息的以下几个特征。
1.公民个人信息应当有载体予以记录,且电子载体是重要表现方式。公民个人信息有载体是国际法律的共识,如《德国联邦数据保护法》第三条即规定,无论对个人数据采用哪种处理方式,为了进一步使用,要将个人数据搜集后记录或者储存在载体上。且移动个人存储和数据媒体的是数据载体。这是因为可搜集的公民个人信息才有价值,而没有载体记录的公民个人信息无法搜集,侵犯此类信息也有可能对公民及社会产生伤害,但其伤害性往往较小且难以衡量。故无载体的公民个人信息一般不认定为法律意义上的公民个人信息。
2.公民个人信息应当具有身份识别性,即无论是单独还是多个信息结合后能识别特定自然人身份的,都应当认为是公民个人信息。如电话号码本身并不一定能指向特定自然人,但电话号码与地址、工作单位等信息结合在一起后,即有可能指向特定自然人,这种信息也应当认为是公民个人信息。
3.公民个人信息不限于传统的身份信息,反映公民活动状态的信息也应当认为是公民个人信息。传统的公民个人信息往往只包括姓名、住址、电话等常规内容,而现代智能设备的发展给公民信息附加了许多新的内容。在传统互联网用户大量使用智能手机、平板设备后,近年来,可穿戴设备的使用率也日益增多,这些智能设备往往会暴露公民的行动轨迹等非传统信息。现代社会针对公民个人信息的商业行为等往往针对的就是此类信息。正如谷歌的一位工程师在解释“为什么不收集与人的名字相关的信息”的时候说道,“我们根本就不需要名字,名字对我们来说完全多余。谷歌数据库中记录有网民搜索记录、位置信息、个人喜好等大量信息,这足以让谷歌间接地了解一个人”[4]。从这个意义上说,将非传统意义上的公民个人信息纳入法律规制的范畴十分必要。
(二)公民个人信息的刑法解释
在信息化时代,对个人信息的保护已经成为各国法律重点关注的问题。到2017年,世界上已经有120个国家制定了关于个人信息保护的法律,这120个国家关于个人信息保护的法律涵盖了公共领域和私营领域。
上世纪90年代,我国就致力于信息化工作的建设,并先后出台多部与公民个人信息有关的法律法规,比较有代表性的法律法规主要有《计算机信息网络国际联网安全保护管理办法》《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《电信和互联网用户个人信息保护规定》《信息安全技术 公用及商用服务信息系统个人信息保护指南》《网络安全法》《刑法修正案七》《刑法修正案九》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。其中,刑事法律法规层面,首次提出公民个人信息概念的是2013年公安部下发的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》),该《通知》规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”该定义方式对公民个人信息的形式进行了罗列,却没有指出公民个人信息的属性,不能应对实践中的复杂情形。同年,工业和信息化部下发《电信和互联网用户个人信息保护规定》(以下简称《规定》),该《规定》指出:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”关于行政机关的解释是否可以在刑事诉讼中使用的问题,存在争议。但毋庸置疑的是,在刑事诉讼中很多专业性的术语必须依赖于行政机关的解释。如走私案件中关于完税价格的解释就必须依照海关的解释予以认定。当然,笔者认为,由于行政机关不是刑事法律解释机关,且行政机关的解释受到多种因素影响,变化较快,在具体应用过程中是否采纳行政机关的解释要视情况而定。关于公民个人信息的解释,我国多个判例均引用了该《规定》对公民个人信息的解释。与《通知》相比,《规定》对公民个人信息的解释更为科学,提出了公民个人信息包含直接识别用户的信息和结合后间接识别用户的信息。
(三)公民个人信息的属性与刑法保护的利益衡量
公民个人信息可以识别个人身份及活动情况,其人格权属性不言而喻。现代社会所挖掘的公民个人信息内容已经涵盖生活的方方面面。从早期的表象数据(姓名、住址、电话)到如今的内在数据(个人偏好、个人需求),从早期的静态数据到如今的动态数据(运行轨迹、位置信息),个人信息实现了从摇篮到坟墓全记录[5]。因此,在国外,更多地将公民个人信息与隐私权挂钩予以保护。欧盟2002年2002/58/EC指令要求成员国保护自然人在数据处理方面的权利和自由,尤其是他们的隐私权。《德国联邦数据保护法》第一条即规定,“本法的目的在于防止个人隐私权在数据处理中受到侵害”[6]。美国则是将个人隐私法等同于公民个人信息的保护。由此可见,公民个人信息的人格权属性是各国立法首要考虑的问题,也是我们寻求利益衡量的基础。
公民个人信息具有经济属性是毋庸置疑的,公民个人信息会产生不可小觑的财产型利益是现代社会的共识。不少公司通过获取公民个人信息制定市场计划,如利用公民个人偏好投放广告可以实现较大的经济回报。同时应当看到,虽然公民个人信息的经济属性成为犯罪多发的诱因,但其也是促进商业社会快速发展的因素,合理利用公民个人信息的经济价值有利于社会良性发展。正因为如此,公民需要适当让渡个人信息,保证经济社会发展。如南京市中级人民法院终审的朱烨与北京百度网讯科技公司隐私权纠纷上诉案即认为,网络服务提供者利用社会公众偏好而投放广告,不构成侵犯隐私权。
笔者认为,公民个人信息还具有社会管理属性,公民个人信息采集是现代政府进行社会管理的重要事项。我国也在致力于现代电子政务建设。国家信息领导小组发布的《关于我国电子政务建设指导意见》指出,我国将启动人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库、宏观经济数据库的建设。根据联合国电子政务调查报告,2016年我国电子政务全球排名63位,较2014年的70位上升7位,国际排名稳步上升,目前中国电子政务发展水平已处于全球中等偏上水平。但鉴于政府机关对公民个人信息的采集并不是本文讨论的对象,故对此属性不作展开论述。
从公民个人信息的属性出发,我们不难发现公民个人信息刑法保护的利益衡量。由于公民个人信息的人格权属性,其作为人身基本权利,应当受到较为全面、完善的保护,尤其应当保护更为全面的公民公民个人信息内容,严厉打击侵犯公民公民个人信息的行为。同时考虑社会需求,合理限缩刑法保护的范围。
三、大数据时代公民个人信息刑法保护的侧重点
在分析了大数据发展和公民公民个人信息刑法保护的利益衡量后,我们不难发现,两者存在着利益冲突。如何调和大数据发展对数据需求和公民基本权利保护之间的矛盾是我们要考虑的问题。笔者认为,应当遵循统筹兼顾略有侧重的基本原则,既要考虑公民公民个人信息的人身权属性,同时兼顾两者之间的利益平衡。具体来说,大数据时代我国对公民个人信息刑法保护应当考虑以下几个内容:
1.合理配置纳入刑法保护的公民公民个人信息的范围。刑法调整侵犯公民公民个人信息的行为应当全面、合理。从《解释》来看,我国刑法所处理的侵犯公民公民个人信息的行为仅包括提供、购买、出售、收受、交换等行为,而实践中涉及侵犯公民公民个人信息的行为更为复杂,常见的包括修改、删除、检索、比对等一系列行为均没有规定,这必将不利于公民公民个人信息的保护。同时,对于公民公民个人信息中的敏感信息如何保护也没有具体规定,如涉及未成年信息、个人医疗信息等。当然从信息化社会发展需求来看,刑法保护公民个人信息的范围也不能过广,否则不符合信息社会快速发展的需求。具体来说,应当构建公民个人信息刑法和宪法保护、行政法保护、民法保护的良性体系,严重影响公民个人信息的行为才需要纳入刑法保护的范畴。
2.法律规定应全面考虑大数据时代犯罪手段的特征。如前文所述,大数据时代涉及公民个人信息的犯罪具有手段复杂、传播速度快等特征,导致案件侦查、认定困难。因此,立法者在保护公民个人信息方面考虑应当更加全面。如为了更好地打击跨区域性的诈骗等案件,2011年4月两高与公安部、国安部、工信部、中国人民银行、中国银监会联合印发了《关于办理流动性团伙性跨区域性犯罪案件有关问题的意见》(以下简称《意见》),该《意见》就将“犯罪行为发生地”扩展为被害人接到诈骗、敲诈勒索电话、短信息、电子邮件、信件、传真等犯罪信息的地方,以及犯罪行为持续发生的开始地、流转地、结束地;“犯罪结果发生地”扩展为被害人向犯罪嫌疑人、被告人指定的账户转账或存款的地方,以及犯罪所得的实际取得地、藏匿地、转移地、使用地、销售地。该《意见》提出了一个适应信息时代发展要求的解释思路,对我们处理公民个人信息犯罪的案件有极大的帮助。
3.充分考虑不同利益主体在公民个人信息利用中的作用。在公民个人信息利用中,公民、营利性组织(如公司)、政府扮演着不同的角色。《解释》对营利性组织在刑法规制中的角色没有充分的阐述,导致我们对公民个人信息的保护还停留在传统的信息买卖这一层面上。而行政机关在这一方面已经走在前面,2019年9月24日,中央网信办、工信部、公安部、国家标准委等四部门联合公布了隐私条款专项工作评审结果,参与评审的十家企业共同发布了《个人信息保护倡议书》,对尊重用户知情权、控制权,保障用户信息安全,保障产品和服务的安全可信等做出承诺。参与评审的企业涉及到购物、出行、旅游等各个领域。营利性组织对公民个人信息损害的范围更广、手段更为复杂,有刑法调整之必要。研究营利性组织行为对公民个人信息的影响,对完善公民个人信息的刑法保护具有十分重要的意义。