互联网企业个人信息泄露的刑法规制路径探寻
——以拒不履行信息网络安全管理义务罪的激活为视角*
2021-03-25范诗瑶
范诗瑶
(华东政法大学,上海 200333)
一、问题的提出:互联网企业个人信息泄露案件多发但法律规制不足
(一)互联网企业个人信息泄露案件多发
个人信息在大数据时代到来后,表现出了无法估量的经济效益与战略意义。作为无可替代的重要战略资源与资产,除行政管理机关基于管理需要收集个人信息以外,企业对个人信息收集、利用和流通的需求也空前膨胀。[1]但与此同时,企业却没有承担起足够的安全保护责任,致使个人信息泄露,为洗钱、电信诈骗等诸多的下游犯罪提供了便利,不仅严重侵害个人的隐私权、财产权,更甚者,对我国的市场秩序、金融环境造成了诸多的负面影响。根据第47次《中国互联网络发展状况统计报告》,截至2020年12月,网民所遭遇的网络安全问题中,信息泄露以21.9%的高比例位居各类网络安全问题榜首。[2]互联网行业在个人信息占有量上的优势地位,也导致该行业成为了个人信息泄露的高发区。譬如,甲骨文公司旗下的BlueKai对数据库保管不善,导致多达数十亿条个人信息泄露;[3]2020年7月圆通速递公司内部员工窃取内部运单信息,导致40万条个人信息泄露。[4]
(二)刑法介入的必要性与可行途径
如上所述,个人信息泄露已成为当前公民信息安全的重大威胁。基于积极的一般预防理论,我国法律不仅要注重事后的惩治,更要着重于事前的预防,在对法益的侵害尚未发生时,就介入个人信息保护中,实现更好的预防效果。事实上,我国早已在《刑法修正案(九)》(下文简称“刑修九”)中增设了拒不履行信息网络安全管理义务罪,为网络服务提供者设置了管理个人信息的刑法义务。“刑修九”已经出台了六年,那么本罪在实务中的适用情况如何?
搜集了2015年起截至2021年7月期间,裁判文书网公布的各级人民法院审结的企业泄露个人信息案件判决共计104例。①通过对以上裁判文书的整理分析,发现企业拒不履行管理义务所导致的过失泄露个人信息泄露案件鲜见于裁判当中:在19例刑事案件中,除却被判处诈骗罪与挪用资金罪两罪的,其它17例均为故意泄露个人信息。与此同时,搜集整理了2015年起截至2021年7月期间,裁判文书网所公布的以拒不履行信息网络安全管理义务罪作为裁判结果的判决,发现仅有两例,②且无涉个人信息安全保护,而是用于规制私人开展VPN业务的行为。易言之,在实务中互联网企业过失导致个人信息泄露的案件中,没有一例被判处拒不履行信息网络安全管理义务罪。对企业的个人信息保护义务的刑法规制不见于实践。在刑法已经明确规定企业需要承担个人信息保护义务的情况下,企业泄露个人信息的案件仍然频频发生,本文将在分析个人信息安全保护义务的刑法规制为何不足的基础上,尝试提出解决路径。
二、信息网络安全管理义务的刑法规制何以不足
(一)拒不履行信息网络安全管理义务罪保护目的不清
拒不履行信息网络安全管理义务罪的保护目的直接影响着本罪在实践中的应用与定位。现存学界观点中,有的将本罪的法益界定为特定(用户)信息专有权,[5]有的认为本罪的法益是企业信息权这一新型法益,[6]有的认为是信息网络安全管理秩序。[7]几种观点的重要区别在于对本罪保护目的的定位不同,分别侧重人身属性、经济属性与社会属性。
首先,有学者倾向于以“个人数据权”这一新型人格权对个人信息进行保护,这就将该罪的保护目的定位为侧重人身属性,将保护目的建立在人格权的基础上,为个人赋予了更多的权利,体现了对个人保护的重视。[8]但一味重视人格权的保障,而对当前个人信息日益增长的经济价值闭目塞听的做法,会使个人信息保护成为社会发展的桎梏。其次,若认为本罪主要体现了保护财产权的倾向,这就将该罪的保护目的定位为侧重经济属性。通常认为除了直接包含个人银行账号等财产信息的个人信息,绝大部分的个人信息在经过收集处理前,不具有经济价值,其产生价值的过程在于对它的收集、处理。[9]也就是将个人信息经济价值的权属给予个人信息的收集者、处理者。这一做法有利于个人信息经济价值的发掘,但势必伴随着滥用个人信息的风险。不得不令人质疑,个人是否会成为这一过程的牺牲品。最后,一味注重个人信息的保护,而阻断个人信息的流通、交易,也会为数据规模化造成阻碍,无法实现其经济效益与社会效益。[10]这就将该罪的保护目的定位为侧重社会属性。在这个意义上,我们对个人信息的保护还需要将刑事政策纳入考量范围,但是根据权利的普遍法则:“凡是妨碍自由的事情都是错误的,任何方式的强制或强迫都是对自由的妨碍或抗拒”,[11]对个人信息所具有的超个人法益属性的确认,存在着将公共利益凌驾于私人权利之上的危险。以上的不同保护目的指向了不同的义务范畴,增加了本罪的适用难度。
厘清拒不履行信息网络安全管理义务罪的保护目的具有重要意义,这有助于我们明确该罪的本质,从而划定本罪的处罚边界。正是由于在理论及实践中该罪的保护目的不清,才导致了该罪在司法实践中的“虚置”。因此,要想“激活”拒不履行信息网络安全管理义务罪,首先必须从明确该罪保护目的入手。
(二)互联网企业内部控制制度构建不足
个人信息保护案件技术性强,具有专业壁垒,非本专业人员难以掌握技术情况,同时侵害的主体范围广,部分主体甚至不知道本人的个人信息遭到泄露的事实,也为取证造成困难。种种原因都导致了司法机关、行政机关在个人信息保护中力有未逮。互联网企业作为与政府一同承担网络治理任务的主体,是个人信息保护的关键角色。我国目前的个人信息保护也不得不依赖互联网企业的协助。但个人信息的利用与保护在一定程度上存在着矛盾之处。完备的个人信息安全保护内部控制制度的建立,需要企业制定内部的管理制度、加强技术保障、增加对员工的培训、设置相应的负责人或是机构等。这对于企业而言不得不说是一个额外的支出,增加了企业的经济压力。个人信息保护固然具有长远利益,但是对于大多数企业而言,节约支出、增加利润仍然是位于第一顺位的事情,更何况诸多企业的经营状况处于左支右绌的境地,要求其主动承担个人信息保护义务,无异于缘木求鱼。
在企业主观能动性不足的情况下,法律能否为其提供外部的驱动呢?有学者提出,拒不履行信息网络安全管理义务罪的设置是刑事合规进入刑法的体现,已然推动了企业内控的实践。目前所公认的刑事合规意为组织体自我管理的立法与实践,[12]这与本罪的前置法所设置的网络安全保护义务虽然有着一定的交叉重合之处,但实质并不相同。网络安全保护义务侧重于防范网络安全事件,保护网络安全管理秩序,内控制度的建设在本罪的前置法义务中只占据极小部分。本罪的设立对于推动企业内控实践并未起到关键性作用。
法律驱动作用不足的根源在于我国不同于他国的单位犯罪归责基础。纵观各国,无论是美国的“上级责任原则”和“同一视原则”[13]或是英国的“替代责任原则”和“预防失职模式”理论,[14]背后的根基均是法人拟制说,即单位不具有自己独立意志,而是从员工的意志与行为中归纳出单位的意志。“替代责任原则”对公司的犯罪故意以及对员工犯罪的明知,都不做要求,仅要求员工具有为单位谋取利益的主观目的,满足这一点就可以把员工责任转嫁给单位。“同一视原则”则以单位内部高级代理人的行为与思想来认定单位的意志。[15]“集合责任原理”集合了员工对于违法行为的认识,将这一集合认定为单位意志。[16]而我国单位犯罪规则基础以法人实在说为理论根基,在单位犯罪的规定中,[17]将法人的意志与内部成员的意志做了较为彻底的切割,只有经过规定的决策路径所形成的意志可以成为企业的意志,非单位自身意志不能成立单位犯罪,客观上减轻了单位的法律责任负担。在这一归责基础的指导下,司法实践中对于企业内部员工泄露个人信息的案件,仅针对员工定罪惩处,企业往往因为在主观上不存在明知,得以脱罪。那么,互联网企业只需要装聋作哑,不制定内控制度,不构建信息泄露的发现机制,就可以保持对个人信息泄露不明知的状态,从而逃脱法律的制裁。此种认定方式无疑会助长企业漠视个人信息的安全管理义务,对员工泄露个人信息的行为不制定任何的防范机制。
(三)义务边界的不明确性导致义务承担的客观障碍
在确定了互联网企业需要承担预防责任之后,下一步需要明确的是互联网企业需要承担何种个人信息安全管理义务。但《刑法》对此没有给出明确的回答,而是选择将这一问题交给前置法来解决。目前,前置法的规定散落在各个法律文件当中,呈现出无序的状态。这使得个人信息安全管理义务边界不明确,进而导致了互联网企业义务承担的客观障碍。
为了明确互联网企业的义务边界,理论界做出了各种各样的努力。有学者尝试对拒不履行信息网络安全管理义务罪的义务进行类型化处理,从而明晰本罪中所指安全管理义务的内容。首先,这一做法根据网络服务提供者对个人信息的控制力,将其区分为通道服务提供者、自动缓存服务提供者、存储服务提供者、内容提供者和网络平台等。其次,对义务进行类型化处理,分为违法信息、用户个人信息、刑事犯罪证据信息等。最后,将不同的信息管理义务匹配不同的网络服务提供主体。[18]但是此种对于网络服务提供者的义务划分于法无据。以“服务提供者”与“个人信息”为关键字,在北大法宝进行搜索,③在所得到的法律文件中,并没有区分网络服务提供者的具体类型,既然如此,那么对网络服务提供者的义务进行划分仅在立法论层面具有借鉴意义,在解释论层面无法与既有的法律体系进行衔接,缺少解释依据。[19]
另外,也有学者直接采用保证人理论来探究网络服务提供者的作为义务。他们认为,保证人理论可以通过直接支配标准,来判断具体情境中的网络服务提供者是否具有刑事责任,从而划定网络服务提供者的义务边界。一方面,拒不履行信息网络安全管理义务罪作为纯正不作为犯,不宜直接运用保证人理论。拒不履行信息网络安全管理义务罪的构成要件是由法律明确规定,它面临的问题是对规范的解释,即使规范本身是模糊的,它终究存在一个明确的范畴。[20]而保证人理论所解决不是规范解释的问题,而是法律适用的问题。因此,在拒不履行信息网络安全管理义务罪中,不能直接适用保证人理论。另一方面,直接运用保证人理论作为判断网络服务提供者作为义务的界定标准显得过于空泛。我们需要依据法律的直接规定来明确该罪的义务边界,而不是忽视法律规定,转而去关注作为义务的实质。过于空泛的界定标准并不能给我们很多帮助,反而还会使该罪的义务边界变得更加模糊不清。
三、信息网络安全管理义务刑法规制的加强路径
(一)拒不履行信息网络安全管理义务罪具有多重保护目的
企业通常以过度保护个人信息将会削弱个人信息经济活力为自己的利用行为做辩护。但是在当前社会实践中存在的问题不是个人信息保护过度,导致信息流通不畅。恰恰相反,多发的个人信息泄露案件,说明了当前的问题正是个人信息保护不足。作为对社会弱势群体的扶助与对社会问题的纠偏,本罪的保护目的重心所在必然不是个人信息的收集者与利用者对个人信息的财产权。本罪的立法意图就是使互联网企业承担更多的个人信息安全保护义务,以纠正当前个人信息乱象。考察我国立法沿革,2012年所颁行的《关于加强网络信息保护的决定》对自然人的个人信息进行了较高程度的保护,给予其类似人格权的地位;在2020年所通过的《中华人民共和国民法典》中,个人信息被置于人格权篇中,事实上承认了个人信息权作为人格权的地位,也体现了重保障的立法倾向。将个人信息作为人格权进行保障,是一种更为尊重人的主体性的做法,[21]也是笔者所赞同的做法。至于个人信息所具有的社会属性,笔者无意否定。事实上,按照体系解释,本罪位于《刑法》中公共秩序章,必然带有公共秩序属性。笔者所想要澄清的是本罪保护目的的多样性,并强调本罪的人身属性。
如果将本罪的保护目的仅认定为公共属性,就会造成本罪保护范围的不当限缩。譬如,有学者认为本罪的规范保护目的是网络安全管理秩序这一公共法益,进而认为线下的生命财产安全不属于本罪的保护目的。[22]更为妥当的做法是将人身属性的法益也纳入本罪的保护目的,将因互联网企业泄露个人信息所导致的个人线下的人身财产伤害置于本罪的保护目的之中,可以使本罪司法解释中“造成他人死亡、重伤、精神失常或者被绑架等严重后果”这一规定回归本意。
(二)以归责模式的改变与刑事合规的引入倒逼内控机制的建立
目前,学界试图通过引入刑事合规制度,达到建立企业内控机制的目的。在引进过程中,不能忽略国外的刑事合规制度的产生有着不同于我国的单位犯罪归责背景。正是因为国外的单位承担了重于我国的替代责任,才促进了刑事合规制度的产生,以此为企业进行松绑。如果忽视这一背景,在我国单位犯罪归责门槛低于国外时贸然嫁接刑事合规制度,非但不会实现倒逼企业建立内控机制的目的,反而更加减轻了单位的责任承担,使单位进一步地降低履行个人信息安全保护义务的意愿。因此,有学者提出应当引入替代责任制度,以改变我国目前的单位犯罪归责模式。[23]也有学者提出应当引入同一视理论作为我国单位犯罪的刑事责任归责根据。[24]这两种归责模式均以法人拟制说为理论基础,秉持着扩大单位责任范围的目的,区别主要在于前者将普通员工视作单位责任的来源,后者则将来源限缩在具有决策权的领导集体上。无论是法人拟制说还是法人实在说,其核心问题在于将何种意志认定为单位意志。基于加重单位责任的考虑,势必需要改变当前的认定方式,增加单位意志认定的范围。
可以借鉴英国的“预防失职模式”理论全面引入刑事合规制度,也就是赋予企业就单位内部员工实施犯罪的预防义务。当员工实施了犯罪,而企业没有履行自身的预防义务,企业就构成了特定的失职犯罪。[25]拒不履行信息网络安全管理义务罪可以成为引入预防失职理论的法律进路。本罪与该模式有着类似的理论构造,为单位附加了监督义务。当企业没有履行前置法所要求的义务时,即构成失职罪,达到阻断企业以自己对犯罪行为不存在明知进行辩护的效果,倒逼企业建立内控机制。此外,合规计划还有助于辅助认定企业安全管理义务的认定。根据企业所制订的合规计划,以及其合规计划的实施情况,可以明确企业是否在经营过程中遵循了前置法中所列明的规定。
(三)前置法中安全管理义务的梳理与选择
对检索得到的法律文件中所涉及的网络服务提供者个人信息的安全保护义务进行了梳理。(以“服务提供者”“网络平台”为关键字在北大法宝进行法规搜索,得到12份有关法律文件)法律文件的规定从禁止性规范以及命令性规范两个层面展开。其中,禁止性规范规定多见于有关违法性的规定,就个人信息安全保护而言,法律文件中要求服务提供者不得设置用户对自身信息的权利障碍;而命令性规范更为详尽,将其按照流程分为事前阶段、收集阶段、加工阶段、存储阶段、流转阶段以及事后阶段等义务,对其归纳如下:
在事前阶段,对服务提供者提出了应当取得相应的行政许可、进行登记备案、设置专门负责人并报送有关部门等要求。并要求其在制度构建方面有所建树,制订发展计划、技术方案、应急预案等,针对部分信息存储量较大的公司,还需要建立健全的合规制度。
在收集阶段,服务提供者需要向用户充分告知信息用途,经过用户的同意方可收集,此外还需要对信息进行类型评估。
在加工阶段,对个人信息处理者提出了公开要求规定了处理限制,要求其公开处理信息的规则、目的、方式和范围等,同时其信息处理应当合法、正当且必要。
在存储阶段,要求信息处理者以分类管理、采取安全技术措施的方式避免信息泄露,并对从业人员进行培训,设置操作权限。除此之外,要求其配合用户对个人信息进行查阅、复制和更正。
在流转阶段,个人信息处理者不能随意泄露、篡改、损毁或向他人出售个人信息,其提供行为需要征求自然人的同意,并在进行交易时说明数据来源、做好记录的留存工作。
在事后阶段,面对个人信息的泄露、篡改、丢失,个人信息处理者应当立即采取补救措施,并履行通知义务。即使在个人信息没有发生以上危险的情况下,也需要定期履行合规审计义务与风险评估义务。
本罪关涉个人信息保护的条款中,明确指出了该条所规制的情况是个人信息泄露所造成的危害结果。那么,只有增加了个人信息泄露风险,会对本罪所保护的法益造成威胁的行为才具有刑法价值,才对本罪的成立具有意义。在前述所归纳的各项义务当中:面向用户的禁止性规范、事前阶段的行政管理类义务、在加工阶段对信息处理规则的公开义务实际上都不会增加个人信息泄露的风险。那么这一类义务就自然不能够纳入本罪的义务范畴。除此以外的各项义务的违反均会导致泄露风险的增加,威胁着本罪所保护的法益,是本罪所意图规制的对象。根据现行法律对义务进行梳理能够弥补前述根据保证人理论进行义务定型化处理这一做法的弊端,符合纯正不作为犯的定位。也能够规避对网络服务提供者进行类型化处理分配义务的做法的短处,使对义务的限制于法有据。
四、结语
本文试图针对实践中互联网企业屡屡泄露个人信息的问题进行深挖,探寻解决方法。既然前置法无法单独完成个人信息的保护任务,刑法需要当仁不让地兜底个人信息安全保护。作为赋予企业个人信息安全保护义务的率先尝试,实践中可以通过唤醒拒不履行信息网络安全管理义务罪达到企业与国家协同保护个人信息的效果。唤醒拒不履行信息网络安全管理义务罪的措施主要分为三项:第一,澄清拒不履行信息网络安全管理义务罪的保护目的兼具社会属性与人身属性,具有人身属性的法益也属于本罪的保护范围;第二,借助拒不履行信息网络安全管理义务罪,引入预防失职模式,为单位施加更严格的责任,同时引入刑事合规制度完善单位的内控制度;第三,梳理前置法中的互联网企业个人信息安全保护义务,根据本罪的法益,对义务进行筛选,达到明确安全保护义务边界的目的。
注释:
① 通过搜索“企业”与“个人信息泄露”两个关键词锁定上述判决书并下载,其中,78例民事案件,19例刑事案件,7例行政案件。
② 通过搜索“拒不履行信息网络安全管理义务罪”,并排除以侵犯公民个人信息罪作为裁判结果的案例。
③ 包括《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等7部法律,《关键信息基础设施安全保护条例》等5部行政法规以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等司法解释。