大数据时代我国侵犯公民个人信息罪:从特点分析到完善建议
2021-03-31曾铮滢
何 群 , 曾铮滢
随着网络、大数据、AI等高科技在现代社会的广泛运用和快速发展,网络空间是否已成为与现实空间并行且独立的社会空间,已然成为近年来学界热议的话题。当然,不管持何种观点,一个不可否定的事实是:网络犯罪已经成为现代社会发展的新型犯罪。“网络犯罪可以分为以网络作为犯罪对象的网络犯罪(即计算机犯罪)、以网络作为犯罪工具的网络犯罪(即传统犯罪的网络异化)和以网络作为犯罪空间的网络犯罪三种形态。”①于志刚、郭旨龙著:《网络刑法的逻辑与经验》,中国法制出版社2015年版,第1~12页。在众多的网络犯罪中,有学者指出,侵犯公民个人信息罪属于我国刑法规定的狭义的信息网络犯罪的4个罪名之一。②关于狭义的信息网络犯罪,包括我国《刑法》规定的,253条之一侵犯公民个人信息罪,286条之一拒不履行信息网络安全管理义务罪,287条之一非法利用信息网络罪,287条之二帮助信息网络犯罪活动罪。参见敬力嘉著:《信息网络犯罪规制的预防转向与限度》,社会科学文献出版社2019年版,第51、第32页。狭义的信息网络犯罪,也被称为“纯正”网络犯罪,其所侵害的对象是互联网、信息系统及其所存储数据。③同上,第32页。近年来,为应对愈发猖獗的网络犯罪,立法与司法依靠实践的归纳与经验的积累不断扩张“公民个人信息”的法律概念,但对“公民个人信息”的构成认定仍只是停留在事实层面。④于志刚:《“公民个人信息”的权利属性与刑法保护思路》,载《浙江社会科学》2017年第10期,第7页。本文以侵犯公民个人信息罪为研究对象,结合该罪的特点,针对实践中存在的问题及其原因进行剖析,并提出了相关的完善建议,以期对网络时代的相关立法完善,有所裨益。
一、大数据时代侵犯公民个人信息罪之特点分析
当大数据集的二次使用可以逆转过去、现在甚至未来,以至于对隐私、机密性和身份造成侵犯时,现有的隐私保护集中于管理个人识别信息是不够的。①Daniel J. Solove, Introduction: Privacy Self-Management and the Consent Dilemma, Harvard Law Review. Vol.126,2013,pp1880-1881.数据主体与海量数据的匹配识别定位使得公民个人信息被裹挟在巨大经济利益与安全风险中。随着经济社会的不断发展,侵犯公民个人信息罪在实务中呈现出诸多新的特点,如犯罪总数激增;该类犯罪出现集团化、有组织化、产业化;基于数据的重要性和基础性,该罪成为其他犯罪的基础性犯罪。
(一)“公民个人信息”的内涵扩张,侵犯公民个人信息犯罪率激增
随着数字技术的快速发展和大数据的应用,信息共享与个人信息安全的冲突日益加剧,基于客观实践的需要,使得个人信息保护的概念、内容及其所涉及的相关制度都在潜移默化地改变。这种变化虽并非立法者刻意为之,但为夯实清晰有效的立法基础,立法应当及时对“公民个人信息”的概念进行澄清、更新。②周汉华:《个人信息保护观念演变的四个阶段》,https : //www.sohu.com/a/281451267_455313,下载日期:2020年5月29日。根据美国、英国、德国、欧盟和加拿大的现行立法,个人信息被称为直接或间接认可的显性的个人身份识别信息。③Chassang Gauthier . The impact of the EU general data protection regulation on scientific research. Ecancermedicalscience 11.(2017).https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5243137/pdf/can-11-709.pdf,下载日期:2020年9月25日。低成本的信息收集与匹配分析技术使得原本单一、微小的个人信息点能被轻易地收集网罗成整体信息,并精准匹配到个人。通过云计算,只要数据被采集到足够的量,数据计算就能反馈出我们的个人生活轨迹、健康状况、思想印迹、消费习惯。可识别性的不断提高,使得立法上对“公民个人信息”的概念内涵呈现出从狭义、隐私性质到广义的可识别、可还原性质的延伸。我国立法上也不断在更新“公民个人信息”的概念内涵,自《刑法修正案(七)》增设侵犯公民个人信息罪,到2012年《关于加强网络信息保护的决定》与2013年《关于依法惩处侵害公民个人信息犯罪活动的通知》,再到2017年《网络安全法》与两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称为《解释》),“公民个人信息”的认定范围由个人直接可识别的隐私信息扩张到与其他信息结合后可识别到特定主体的间接识别信息。④《解释》第1条通过“特征+列举”的方式,将“公民个人信息”的界定为“指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”,具体包括“包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”随着“公民个人信息”内涵的不断扩张,越来越多侵犯公民个人信息的行为被纳入刑事处罚的范围内。
(二)“公民个人信息”的属性多元化,促使犯罪有组织化、产业化
在大数据经济时代,数据实则成为一种资源。个人信息的使用,是信息披露与流通的结合,更是数据社会化利用不可剥离的重要组成部分。思科(CISCO)网络报告称,全球互联网协议“IP”流量在过去5年增长了4倍,到2017年,连接到IP网络的设备数量将是全球人口的近3倍。⑤Cisco Visual Networking Index: Forecast and Methodology, 2012-2017, Cisco 1 (May 29, 2013),http:// www.cisco.com/en/ US/solutions/collateral/ns341/ns525/ns537/ns705/ns827/white_ paper_c11-481360.pdf,下载日期:2020年9月20日。我国正迎来数据交易的重要战略机遇期,研究表明,我国2018年产生的数据量约7.6ZB,至2025年可高达48.6ZB⑥张汉青:《全球首家大数据交易所“涅槃重生”》,https://baijiahao.baidu.com/s?id=1630468288263179736,下载日期:2020年9月26日。,信息的利用成为了企业竞争和发展的关键基础⑦Manyika J,Chui M,Brown B,et al. Big data: The next Frontier for Innovation,Competition,and Productivity.2011, http: // www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_innovation,下载日期:2020年6月28日。,国家发布《国务院关于印发促进大数据发展行动纲要的通知》,积极引导个人数据分析技术与数据资源在社会活动中的利用,通过个人信息数据的分享、互换、许可使用,构建数字化经济发展模式。
个人信息的排他性效力在大数据时代逐渐被减弱,个人数据信息的主动或被动收集、分析并应用于各行业成为社会经济活动与政府社会治理的常态化操作。公民个人信息不仅具有人身属性和财产属性⑧叶良芳、应家赟:《非法获取公民个人信息罪之“公民个人信息”的教义学阐释——以<刑事审判参考>第1009号案例为样本》,载《浙江社会科学》2016第4期,第71~78页。,且随着公民个人信息的资源化发展,其已成为公共领域不可或缺的一部分,无论是实践层面抑或法律目的上,个人信息的社会属性都在不断增强。①项定宜:《个人信息的类型化分析及区分保护》,载《重庆邮电大学学报(社会科学版)》2017年第1期,第31~38页。高富平:《个人信息保护:从个人控制到社会控制》,载《法学研究》2018年第3期,第95页。个人信息的“价值化”使得以网络为空间、以网络为工具的涉众型网络犯罪的数量急剧上升,司法实践中的侵犯公民个人信息犯罪呈现出集团化、有组织化和产业化的特征,严重危及社会稳定与公民个人安全。
(三)“数据”与“公民个人信息”之间的密切关联,导致侵犯公民个人信息犯罪成为其它类罪的基础性行为
客观而言,单一、碎片化的少量个人信息的价值几乎可以忽略不计,但随着科学的第四范式②科学的第四范式(fourth paradigm of science):微软公司宣布了数据密集型科学的出现,并将数据作为经验主义、理论和计算范式之后的第四个继承者。描述了一门依靠新工具来存储、管理和分析大量数据的新科学的愿景,对海量数据的爆炸性增长,计算机将不仅仅能做模拟仿真,还能进行分析总结,得出理论。时代的到来,大数据挖掘模型对海量数据的需求激增。有别于以往信息收集的绝对目的性,当前采用的数据密集范式是海量数据的全本收集而非样本,并通过海量数据间的关联性进行分析、创新以打造产业链新的发展空间。孤立、碎片化的个人信息被成批量成种类的为特定行业、特定人群提供宏大的精准行为对象。③[英]维克托·迈尔·舍恩伯格著:《大数据时代》,周涛译,浙江人民出版社2012年版,第25~55页。数字产业化、产业数字化,“个人信息”成为一种流动的资产。相应地,网络犯罪率伴随着个人信息的“价值化”也逐年上涨。④根据最高人民法院发布的《司法大数据专题报告之网络犯罪特点和趋势》,2016年至2018年,人民法院审结网络犯罪案件4.8万余件,案件量及在全部刑事案件总量中的占比均呈逐年上升趋势。其中,2018年网络犯罪案件量显著增加,同比升幅为50.91%。笔者以“侵犯公民个人信息罪”为全文关键词和判决结果关键词在中国裁判文书网上进行案例检索筛选,自2015年9月至2020年5月,共搜集到判决书7276份,2015年22份,2016年394份,2017年1374份,2018年2338份,2019年2690份,2020年458份。其中,刑事一审7046件,二审223件,刑事再审6件。⑤中国裁判文书网,https://wenshu.court.gov.cn/,下载日期:2020年10月3日。通过数据显示可知:侵犯公民个人信息犯罪案件的数量不断增加,2017年《解释》出台后对更多的侵犯个人信息的行为类型做了入罪化处理。
我们的个人信息正越来越多地受到大数据推论和控制这些推论的公司的影响。随着企业操作大数据分析的手段和技能不断更新,相当大一部分使用大数据计算的机构正在以个人信息安全为代价不断增强和扩大影响,而这种变化是以我们尚未完全理解的方式进行的,网络为违法犯罪行为带来了新空间和新工具。与此同时,企业在大数据基础上利用复杂的算法榨取“消费者剩余”的经济利益,侵犯公民个人信息犯罪的主体中,单位犯罪、集团犯罪明显增加。在犯罪主体集团化和犯罪单位化的同时,侵犯公民个人信息犯罪也正成为其它类罪的基础性行为,进一步催生了网络空间中依托于侵犯公民个人信息罪的下游网络犯罪,如诈骗犯罪、敲诈勒索犯罪、暴力催收犯罪等,甚至发展成产业链,危害甚大。
二、侵犯公民个人信息罪惩处之司法困境分析
为了应对不断增加的侵犯公民个人信息犯罪,我国在《刑法修正案(九)》以及《解释》中不断完善规制内容。但数字技术与犯罪方法的不断更新使得司法实践中仍面临着诸多亟待解决的难题。在个人信息“窃取”和“非法使用”互联网黑色经济产业链运转下,多样化且隐蔽的侵犯公民个人信息的手段,使得刑罚对犯罪的阻遏作用一再被削弱。“刑先民后”的保护模式虽然让最为严重的侵犯公民个人信息的行为可以被纳入刑法的打击半径,但是,司法解释上“退十步进半步”的解释思路,导致刑法严重地自我剪切制裁半径,制裁极少数和放纵大多数,是一种客观现状。⑥于志刚:《“公民个人信息”的权利属性与刑法保护思路》,载《浙江社会科学》2017年第10期,第4页。目前关于侵犯公民个人信息犯罪的刑法条款数量较为有限、适用范围相对狭窄,且缺乏相应的前置性行政法律制裁规范以及个人信息管理机制,这直接导致司法实践中法律适用的模糊性与抽象性,加剧了侵犯公民个人信息犯罪治理的难度。
(一)行为方式认定标准不统一,造成司法评价差异化
通过中国裁判文书网、无讼案例网和北大法宝等案例平台,笔者对2016-2019年间侵犯公民个人信息罪的裁判文书进行梳理,其中“以其他方法非法获取”认定的比例极高,共搜集到2706个案件,其中2016年241件,2017年652件,2018年897件,2019年916件。通过对判决书内容的整理归类,发现当法院以“以其他方式非法获取”作为认定侵犯公民个人信息行为时,大多并未具体阐明如何界定“以非法方法获取”。绝大多数判决文书并未详细引述具体“国家有关规定”条文,而是简单概述而过,这导致被告方往往以其行为不属于“非法获取”为由进行抗辩。当前司法实务中,“以其他非法方法获取”的认定标准存在较大的争议。《解释》第4条虽然对“以其他方法非法获取”进行详细的规定,明确规定成立“以其他方法非法获取公民个人信息”,应以“违反国家有关规定”为前提,并列举了购买、收受、交换或在履职过程中收集的“其他方法”,“国家有关规定”具体指向涉及个人信息保护的法律、行政法规、部门规章。但目前司法实践中仍缺乏对“非法性”及“其他方法”的具体类型化认定标准。
侵犯公民个人信息行为的行政违法性是刑事违法性的前提,由于我国目前有关公民个人信息保护的法律、法规散见于涉及众多行业的法律法规中,尤其是个人信息法律保护缺乏对企业数据利用安全边界的明晰界定,对企业的数据利用行为进行监督和定责成为难点。且随着互联网技术的不断进步,侵犯公民个人信息罪更多地发生在网络空间中,传统的司法侦查手段根本无法准确认定信息来源;采用购买、收受、交换、在履职过程中收集等以外如网络爬虫、隐私政策授权方式等获取公民个人信息的,能否认定为“非法获取”的“其他方法”,司法实践尚无统一明确的标准。当前司法实践中对于侵犯公民个人信息罪的惩处以自然人犯罪为主,单位犯罪“纸面化”情形严重,尤其是当前网络服务提供者基于“一揽子授权”隐私条款下对于公民个人信息的收集行为与使用行为的“非法性”认定规则模糊,定性艰难,各地司法实践中的做法各不相同,这加大了各地司法部门可能做出差异化法律评价的可能性,使得人们对于公民个人信息利用活动的可预测性和确定性程度大幅降低,从而导致相关当事人的权利义务处于不确定的状态,有违司法正义的内在价值。
(二)“去标识化”标准不明,导致犯罪对象认定存疑
大数据时代透明度变得更加重要,大数据的力量很大程度上来自对数据集的二次使用,从而产生新的预测和推论。①Audrey Watters, What Does Privacy Mean in an Age of Big Data?, O"Reilly (Nov. 2, 2011) (documenting an interview with author Terence Craig on the importance of transparency in theage of big data),http://strata.oreilly.com/2011/11/privacy-big-data-transparency.html,下载日期:2020年9月 26日。意即,大数据时代很难实现绝对的数据匿名化,大数据运用的显著特征和方式就是对海量的数据进行深度挖掘。目前立法尚未对企业数据权的归属作出明确规定,数据匿名化处理②匿名化:“匿名化是指将个人数据移除可识别个人信息的部分,并且通过这一方法,数据主体不会再被识别。匿名化数据不属于个人数据,因此无须适用条例的相关要求,机构可以自由的处理匿名化数据.”匿名化处理技术通过泛化、分解、置换、干扰等数据计算方法消除用户的敏感身份信息,达到保护数据主体个人隐私权的目的。成为企业数据权归属确定的主要标准,欧盟一般数据保护条例(GDPR)认为匿名化数据权属分配核心在于“去识别化”的劳动,这才是数据交易合法性的逻辑基础。③石丹:《大数据时代数据权属及其保护路径研究》,载《西安交通大学学报(社会科学版)》2018年第3期,第80页。我国司法实践中,数据匿名化作为判断企业数据合法使用与占有的标准,《解释》中明确“经过处理无法识别特定个人且不能复原的信息”不作为《刑法》第253条的保护对象,市场监管总局实施的国家标准《信息安全技术:个人信息安全规范》(GB/T35273-2017)将对个人信息的处理利用进一步明确为去标识化技术。
由于统一的“去标识化”个人信息认定标准尚未出台,造成各地实践在个案中对于去识别化信息的认定存在较大差异。有学者提出,当前《刑法》不仅应当保护公民个人信息,更应当保护企业经相关信息主体授权并经去标识化处理后的信息数据权。①敬力嘉:《论企业信息权的刑法保护》,载《北方法学》2019年第5期,第74页。强调企业信息权的保护,进一步导致司法实践中对涉案个人信息数量的认定出现障碍。对于《解释》第5条中规定的50条、500条及5000条数量要求是“情节严重”的重要认定标准,在“去标识化”司法认定尚未统一标准时,各地司法实践对于涉案个人信息的清点以及认定不可避免会存在较大的差异,甚至会造成罪与非罪的认定偏差。如何认定去识别化技术,如何区分公民个人信息与企业信息专有权,对于绝大多数不具有此方面专业知识的法官而言,无疑在客观上加大案件办理的难度。即使是表面上已经排除了可识别性和关联性的数据,在与其他大量数据结合比对分析的基础上,往往也总能识别出特定的个人,即再识别化。再识别技术已可以实现对去标识化信息进行重新识别,是否应当将其纳入刑事规制的范围也是亟待解决的问题。
(三)企业信息“黑色产业链”行为入罪率不高
2019年《网络犯罪治理防范白皮书》指出:侵犯公民个人信息已经逐渐形成了“源头——中间商——非法使用”的庞大地下黑色产业链。相较于传统个人身份识别类静态个人信息,个人活动类动态个人信息的比重开始增加;获取手段也从诱骗、脱库向非法爬取数据等方式转变。如下图所示,企业内鬼、数据中间商也在这条黑色产业链中扮演着重要角色。数据服务商从企业内鬼和数据中间商处获取数据,用于商业行为;而数据中间商则负责对数据进行清洗、验证,然后出售给下游的非法数据利用者,由他们实施敲诈勒索、暴力催收等犯罪。
存证取证难、犯罪跨平台且资金流向分散、内外勾结等特点带来了网络黑产的治理困境,司法实务中认定自然人犯罪比例较高,对于企业侵犯公民个人信息犯罪的制裁为极少数。笔者以“侵犯公民个人信息罪”和“单位犯罪”为全文关键词进行检索,2015年9月至2020年5月期间的刑事判决书,共141份。其中2016年4份,2017年21份,2018年61份,2019年48份,2020年7份。通过对141份裁判文书的再梳理,通过中国裁判文书网的高级检索功能,以“单位犯罪”为判决理由关键词、“公司”为当事人段关键词,以“侵犯公民个人信息罪”为全文和判决结果关键词进行二次筛选检索,搜集到单位侵犯公民个人信息罪的刑事判决书共40份,其中刑事一审判决书37份,刑事二审判决书3份。②中国裁判文书网,https://wenshu.court.gov.cn/,下载日期:2020年10月3日。侵犯公民个人信息罪中单位犯罪案件仅占上文统计的侵犯公民个人信息罪案件总数的0.55%。尽管近年来,诸多学者批评《刑法修正案(九)》所增设的拒不履行信息网络安全管理义务罪、帮助信息网络犯罪活动罪是对刑事处罚范围的过度扩张。①参见周光权:《网络服务商的刑事责任范围》,载《中国法律评论》2015年第2期,第 175~178页;车浩:《刑事立法的法教义学反思——基于<刑法修正案(九)的分析>》,载《法学》2015年第10期,第 3~16页;刘宪权:《刑事立法应力戒情绪——以<刑法修正案(九)为视角>》,载《法学评论》2016年第1期,第 86~97页;刘艳红:《网络中立帮助行为可罚性的流变及批判——以德日的理论和实务为比较基准》,载《法学评论》2016年第5期,第40~49页;何荣功:《预防刑法的扩张及其限度》,载《法学研究》2017年第4期,第138~154页。但是,相对于无比强大且人类尚缺乏足够认知的网络世界,基于对风险的防范和控制,加大惩罚力度是必要的。特别是作为基础性犯罪的侵犯公民个人信息罪应当严密刑事法网,加大惩罚力度。尤其对于专门对公民个人信息进行海量挖掘,搭建“榨干式”非法利用产业链利益关系,以进行违法犯罪活动的相关组织,应当从严惩处。
三、侵犯公民个人信息犯罪治理效果不佳之原因剖析
根据中消协《App个人信息泄露情况调查报告》显示,有高达85.2%的公民存在个人信息泄露的情况,互联网企业对个人信息非法利用行为、企业经营者未经授权收集个人信息和合法收集数据后非法故意泄露信息是个人信息泄露的主要途径。②数据源于2018年8月29日中国消费者协会发布《APP个人信息泄露情况调查报告》,http://www.cca.org.cn/jmxf/detail/28180.html,下载日期:2020年10月3日。但是司法实践中,由于传统刑事规制不够周延、被侵害个体举证困难及司法认定标准模糊等因素,相较于被侵犯滥用的公民个人信息数量,只有极少数的侵犯公民个人信息犯罪得到惩治。
(一)公民个人信息侵权救济渠道不畅通
在传统的集中化框架下,个体用户往往面临较为尴尬的处境。与拥有各种现代数据挖掘和分析技术的公司和组织相比,其个人信息似乎是“透明的”,技术的不对称使得个体用户处于被动地位,无法实现自主的数据隐私保护。③Hina Vaghashia and Amit Ganatra “A survey: privacy preservation techniques in data mining.”International Journal of Computer Applica tions ,vol.119,2015,pp.20-26.侵犯公民个人信息犯罪由于其隐蔽性、技术性等特征导致公权力机关的追诉打击具有一定的滞后且容易被忽略,造成实践中大量的侵犯公民个人信息犯罪无法得到惩治。侵犯公民个人信息罪属于刑法分则第四章规定的罪名,对被告人可能判处3年以下有期徒刑刑罚,符合《刑事诉讼法》中提起刑事自诉的相关规定。然而,从现有的救济途径来看,绝大多数的侵犯公民个人信息犯罪呈现以公权力机关主动打击为主的特点。实际上公民个人往往是最早意识到其“个人信息”被非法侵犯,但司法实践中个人向公安机关主动报案或向法院提起自诉的情况为极少数。
笔者设置“侵犯公民个人信息罪”“自诉”等关键词于中国裁判文书网上检索,只获得侵犯公民个人信息罪的自诉案例24件,除去同一案件的二审、申诉文书,仅得到有效案例8件,且有效案例的判决结果均为因证据不足而被驳回。由此可以看出,尽管公民饱受个人信息被泄露和被非法提供的困扰,但报案动机不强,究其根本原因在于,实践中个人信息被非法使用的公民,维权实则缺乏有力的制度支撑。立法中侵犯公民个人信息罪的具体规则是以公权力机关为主体进行设置的,公民对于侵犯其个人信息行为的自我维权实则缺乏相应的配套机制。这就导致实践中公民对于侵犯其个人信息的犯罪行为往往因其自身举证能力不够、证据不足而被公安部门不予受理或被法院驳回起诉。
(二)现有类型化行为方式难以满足实践的需求
在大数据时代,有限的国家司法资源与激增的侵犯公民个人信息犯罪之间存在着难以短期逾越的现实障碍,数据识别算法可以进行完整的自我学习。原始数据挖掘新的信息,既增加了个人隐私暴露的危险,又使市场竞争乃至社会安全、国家安全暴露在危险之中。④国瀚文:《互联网企业数据识别反垄断法律监管规制》,载《重庆邮电大学学报(社会科学版)》2019年第2期,第40页。我国《刑法》目前规定的侵犯公民个人信息罪,采单一罪名模式,统一规制买卖、提供与非法获取个人信息的行为。①根据我国《刑法》253条之一的规定,违反国家有关规定,出售或者提供公民个人信息,窃取或者以其它方法非法获取公民个人信息的,达到“情节严重”的程度,即可以入罪。违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,构成犯罪;第3 款规定,非法获取公民个人信息,情节严重的,构成犯罪。该条文一共规定了3种行为方式,即非法获取、提供以及出售个人信息。提供,可以是对特定人提供,也可以是通过信息网络或者其他途径发布个人信息,与非法披露意思相近。作为一个典型的法定犯,需要以违反国家有关规定为前提。同时,根据《刑法》谦抑性原则,在入罪方面,设置了“情节严重”“情节特别严重”的入罪门槛。在法定刑设置方面,该罪尽量做到考虑周全,既考虑避免刑罚的滥用,又尽量做到对侵犯公民个人信息行为的有效打击。
但是,具体而言,我国立法只规定了非法获取、非法出售或者非法提供公民个人信息行为的违法性。在行为的类型化方面,立法尽管极力穷尽实践中可能的侵犯公民个人信息的行为方式,但是,行为的类型化明显不足,难以适应实践的具体需求。有学者指出,“当前我国《刑法》对侵犯公民个人信息只规定了非法获取、出售和提供三种行为类型,刑事手段无法实现对个人信息的周延保护,无法有效规制实践中最为严重的非法使用公民个人信息这一行为类型。”②刘仁文:《论非法使用公民个人信息行为的入罪》,载《法学论坛》2019年第6期,第118页。当前,侵犯公民个人信息犯罪往往成为其他犯罪的基础性、服务性犯罪,很多情况下造成公民合法权益受到侵犯的并不是出售、提供、非法获取行为本身,而是通过对于信息的非法使用、非法处理乃至非法公开而导致公民信息流转过程中滋生大量其他犯罪。个人信息的非法使用已经成为侵犯公民个人信息犯罪体系中的核心行为,其日渐独立于获取、出售、提供等犯罪行为方式,已不再局限于“下游犯罪”。
(三)前置性规定标准不明
近年来,个人信息被非法传播和使用的案件层出不穷,为遏制泛滥的侵犯公民个人信息犯罪,《刑法修正案(七)》《刑法修正案(九)》不断扩张侵犯公民个人信息犯罪的刑事制裁范围,并出台《解释》及时回应实务中存在的诸多问题。然而,侵犯公民个人信息罪是法定犯、行政犯,其与相关个人信息保护的行政法律法规的联系十分紧密。前置性规定标准不明,使得治理侵犯公民个人信息犯罪的实践效果不佳。从“违反国家规定”到“违反国家有关规定”,使得更多的法律主体拥有对于该罪的解释权,实际上扩大了刑事处罚的边界。“违反国家有关规定”作为该罪的法定空白罪状,赋予其他行政法律法规部分违法性的判断职能。对侵犯公民个人信息行为的入罪刑罚边界确定也有着重要的意义。侵犯公民个人信息的行为是否具有刑事违法性,必然以行政违法性的判断为前提。当前“公民个人信息”主要是由《刑法》第253条的侵犯公民个人信息罪,配合着民法上的隐私权制度和分散于各行政法规与规范性文件中保护个人信息条款进行保护,更多的是依靠经验归纳,这使得司法实践中,在对于侵犯公民个人信息行为进行入罪化认定时,容易出现畸重畸轻的差异化评价,不利于实现刑法的稳定性。且对于该罪犯罪行为方式的认定,也建立在前置性行政规范的判断基础之上。实务部门在工作中发现涉嫌侵犯公民个人信息的行为,往往因无法准确定性而按照行政违法案件处理,客观导致了放纵犯罪的结果。前置性行政法律法规的模糊在一定程度上影响《刑法》第253条刑罚权的发动,使得司法实践中无法明确同一的、适当的侵犯公民个人信息的行为的入罪可罚性的边界。
四、规制侵犯公民个人信息犯罪的域外经验及启示
个人信息保护已成为大数据时代世界各国共同面临的一项全新挑战,世界上主要的国家与地区都形成了较为完善的个人信息保护法律体系,确立了侵犯公民个人信息犯罪的刑事制裁规则。大数据时代,个人信息内涵的不断扩张、信息关联性对比普遍性发展以及信息匿名再识别的新风险使得我国现有法律适用面临着极大的不确定性,域外主要国家与地区对于个人信息保护立法大致可分为三种类型:全方位个人信息保护模式、仅适用于特定产业的个人信息保护以及欠缺个人信息保护特定法制。①翁清坤:《大数据对于个人资料保护之挑战与因应之道》,载《东吴法律学报》2019年第3期,第107页。域外个人信息保护的立法模式为我国进一步周延个人信息刑法保护提供新的思路。
(一)立法呈现风险防控导向
不少国家和地区对于个人信息犯罪的规定体现了严密法网、风险控制、提前预防的思路,提前了法益保护的时间。如德国,刑事立法中规定的数据犯罪包罗了数据流通的各个环节,《刑法典》还通过预备行为实行化,对个别严重罪行的未遂犯,如303a条的变更数据罪和303b条的破坏计算机罪亦进行刑事惩罚,扩大对个人信息犯罪的打击范围,以实现对个人信息犯罪风险的更好控制。我国台湾地区的个人信息保护刑事条款也强调对个人信息犯罪的风险控制,新“个人资料保护法”中“罚则”第41-46条相较于旧法提高了法定刑,加大了处罚力度,并扩展了管辖适用的范围。“刑法典”中帮助行为正犯化、预备行为实行化,设置抽象危险犯等相关措施更是体现积极预防的刑罚理念②汪东升著:《个人信息的刑法保护》,法律出版社2019年版,第80页。,如“刑法典”第315条妨害秘密罪将意图营利供给场所、工具或设备的帮助行为独立入罪,第358条入侵计算机或相关设备罪将非法入侵计算机或其他设备这种典型的预备行为正犯化处理,都体现了风险控制与阻却实质危险的立法本意。澳门特别行政区在刑事立法中有多个罪名是以行为犯的方式规定的,并不要求发生损害后果,如“违反保密义务罪”“不当查阅个人资料罪”等,若造成损害结果则进一步加重处罚,此外还规定了多种附加刑以实现对个人信息的积极保护。
(二)对个人信息的保护建构了严密的法律体系
通过对主要国家与地区相关立法例的梳理,无论是采用分散立法保护模式抑或统一立法模式,各国均实现了对个人信息的统一周延保护。如德国1990年《联邦数据保护法》采用人格权制度,在一部法律中规定了统一个人信息保护规则,在刑事层面,德国采用刑法典与单行法相结合的个人信息犯罪打击体系,《德国刑法典》第202a、202b、202c、202d、303a等条款集中设置关于个人信息保护的相关罪名,与《联邦数据保护法》第44条相互衔接,较为系统和全面构建德国个人信息法律保护体系。③《德国刑法典》,徐久生、庄敬华译,中国方正出版社2004年版,第22~23、第104~107页。美国采用分散立法保护模式,适用隐私权制度对个人信息进行保护,如《隐私权法》《消费者保护法》《电子通讯隐私法》《信息安全保护法》《网络隐私保护法》等联邦、州两级立法体系以及判例法、行政法的补充,使得隐私权制度实现对个人信息的周延保护,在刑法保护方面,美国制定了如《禁止身份盗窃及假冒法》《身份盗窃刑法加重法》等专门的法规,针对打击利用个人信息进行相关的上下游犯罪,共同保护消费者信息免于被滥用,同时强调合理个人信息利用下的更大价值实现。④周汉华主编:《个人信息保护前沿问题研究》,法律出版社2006年版,第11~12页。我国台湾地区一直致力于完善个人信息法律保护体系,“个人资料保护法”通过增加保护客体,扩大保护义务适用主体,明确告知义务以及当事人拒绝权等具体条款设置,不断加大对公民个人信息的保护力度,并通过减免诉讼费、鼓励团体诉讼、在侵犯个人信息的纠纷中,由收集信息的一方承担举证责任等具体措施保障个人权益。在刑事“立法”上,主要体现为“刑法典”与“附属刑法”相结合的模式,“电脑处理个人资料保护法”“通讯保障及监察法”“个人资料保护法”等法律法规中都分布了一些作为附属刑法而存在的隐私权刑法保护规范,与“刑法典”共同构成了完备的个人信息法律保护体系。澳门地区同台湾地区相似,也采用刑法典与附属刑法相结合的模式,散见于《澳门个人资料保护法》《打击电脑犯罪法》《通讯保密及隐私保护法》等单行法中的刑事条款与《澳门刑法典》形成统一的个人信息保护法律体系。
(三)立法精细、可操作性强
1. 清晰界定犯罪主体与保护对象
为实现对侵犯公民个人信息犯罪的精准打击,域外诸多国家地区的立法均对犯罪主体与保护对象进行明确的分类。如美国有直接针对身份盗窃的刑事立法,《防止身份盗窃及假冒法》和《身份盗窃刑罚加重法》以及各州立法准确打击。并在《隐私权法》《公平信用报告法》《电子通讯隐私法》等法律中明确其他侵犯公民个人信息犯罪的主体及保护对象。①周汉华主编:《域外个人数据保护法汇编》,法律出版社2006年版,第316页。《德国刑法典》在第15章侵害私人生活和秘密第201-206条清晰界分了信息传输、信息接入、信息提供过程中的犯罪主体与保护客体,设置了侵害言论秘密罪、侵害通信秘密罪、探知数据罪、侵害他人隐私罪、利用他人秘密罪、侵害邮政或电讯秘密罪等详细罪名,主体明确,保护范围广。日本《个人信息保护法》第6章“罚则”在第56条至第59条中,明确规制对象主要是个人信息处理业者,并有清晰的主体界定标准。《日本刑法典》以及其他相关的刑事法规对犯罪主体和保护客体都作出了明确的规定,如对律师、医生、公证员等特殊职业身份的犯罪主体犯泄露秘密罪苛以较高的有期徒刑或罚金刑②张凌、于秀峰编译:《日本刑法及特别刑法总览》,人民法院出版社2017年版,第30、第52页。。在《国家公务员法》中规定了对因职务获取的个人信息行为的处罚。③[日]西田典之著:《日本刑法格伦》,刘明祥、王昭武译,法律出版社2013年版,第107页。《法国刑法典》在罪名设置中明确犯罪主体,有一般自然人主体,同时也有法人主体,并规定部分犯罪的特殊主体范围,并详细列举了犯罪对象,包括机密性情报资料、邮件、通信信件、记名信息资料、记名数据资料等。我国台湾地区也对犯罪主体与保护客体做了明确细分,追求周延的保护对象设置。新“个人资料保护法”通过“概括+列举”方式划定个人资料范围,并列出了对敏感个人信息的特别保护。④台湾地区“个人资料保护法”第6条规定“医疗、基因、性生活、健康检查及犯罪前科”五类个人资料为特种资料,对于特种资料之收集、处理或利用应较一般资料更为严格。第41条至第46条规定了不同主体违反该法相关规定犯罪、意图营利违反相关规定犯罪、意图为不法利益犯罪以及公职人员利用职权犯罪等应当承担的相应刑事法律责任。此外“刑法典”第28章“妨害秘密罪”与第36章“妨害计算机使用罪”都直接或间接体现对不同客体隐私权的保护。大部分国家和地区都在刑法或相关性法律中对于侵犯公民个人信息的犯罪主体与保护客体作出具体性规定,便于司法适用,使个人信息在日常生活中得到尽可能广泛保护。
2. 对入罪的行为方式进行详细类型化归纳
域外国家与地区的立法通过不断完善对犯罪行为方式的类型化认定,实现对侵犯公民个人信息犯罪的全面制裁。德国《联邦数据保护法》第44条规定涉及的行为方式有7种,包含非法利用行为。《德国刑法典》更是细致规定了非法私拆他人信件、履职中非法利用或侵犯他人秘密、未经授权非法泄密等具体的个人信息犯罪的行为类型方式。美国对于隐私权保护理论完备,立法细致,刑事责任规定在各单行法中,如《公平信用报告法》规定了恶意欺诈手段获取或披露信息的犯罪方式;《模范刑法典》严厉打击如非法窃听、非法监视以及侵害他人通信秘密等侵犯个人隐私犯罪。英国在《数据保护法案》中,根据不同的犯罪行为方式大致划分为:非法获取、出售或披露个人数据类犯罪、侵犯或利用数据主体访问权类犯罪、重新识别去标识化信息类犯罪等几类侵犯个人信息罪群。⑤陈梦寻:《中英个人信息犯罪比较研究》,载《重庆邮电大学学报》2019年第6期,第43页。我国台湾地区刑法也是通过加强罪状实现对侵犯公民个人信息犯罪的规制,“刑法典”第28章中专门规定了妨害秘密罪,包括7种⑥台湾地区“刑法典”第28章妨碍秘密罪具体包括:妨害书信秘密罪、窥视窃听窃录罪、便利窥视窃听窃录罪、泄漏业务上知悉的他人秘密罪、泄漏业务上知悉的工商秘密罪、泄漏公务上知悉的工商秘密罪、泄漏因利用计算机或其它相关设备知悉或持有他人秘密罪等7种犯罪。实践中高发的犯罪行为;第36章专门将计算机领域的相关犯罪行为方式加以类型化确认,如358条入侵电脑或相关设备罪、359条无故取得、删除或变更电磁记录罪等,对犯罪行为方式的准确归纳,便于司法适用。我国澳门地区采用行为犯模式,以犯罪行为方式设置相关的罪名,《澳门个人资料保护法》第37-41条中具体规定了5种犯罪行为方式,《澳门刑法典》中对于侵犯私人生活的犯罪、侵犯通信工具的犯罪以及违反保密及弃职方面的犯罪罪状与行为方式也均作出了详细的阐明。①王立志:《澳门地区隐私权刑法保护及其评析》,载《学术交流》2014年第7期,第83~87页;刘荣等:《我国港澳台地区个人资料保护立法体系比较研究》,载《征信》2012年第4期,第72~75页。
五、我国侵犯公民个人信息罪之完善建议
2019《中国互联网络发展状况统计报告》显示, 至2018年12月,我国互联网普及率高达59.6%,手机移动终端上网占比98.6%,网民规模达到8.29亿,手机网民规模达8.17亿。②中国互联网络信息中心(CNNIC):第43次《中国互联网络发展状况统计报告》,http://www.cac.gov.cn/2019-02/28/c_1124175677.htm,下载日期:2020年9月25日。不管网络空间是否构成独立的社会生活空间,但从目前的状况看,网络空间已经成为民众日常生活中不可或缺的一部分,正与传统的社会生活领域发生线上与线下的混同。相应地,网络犯罪由最传统的以网络为对象,发展到以网络为工具,再演变为以网络为空间。近年来,关于刑罚权的发动,以及刑罚的合适配置等问题,不断有学者主张引入行政法中的比例原则,以追寻更为理性的罪刑模式,弥补现行刑法基本原则的不足。③陈晓明:《刑法上比例原则应用之探讨》,载《法治研究》2012年第9期,第91~100页;姜涛:《追寻理性的罪刑模式:把比例原则植入刑法理论》,载《法律科学》2013年第1期,第100~109页。然而侵犯公民个人信息罪,是目前所处的以网络为空间的犯罪中的纯正的网络犯罪。对于该罪的惩处,本文认为,应当加大惩处力度,继续严密刑事法网。
(一)严密法网,完善相关法律法规
随着社会数字化的生存需求越发依赖信息全面分享,数据不再简单存储于计算机信息系统中,而是处在活跃的交换传输状态。传统构筑在隐私权基础之上的公民个人信息保护已经不能适应当前异常复杂的网络世界,更无法回应新型网络犯罪下个人保护的现实需求,甚至导致司法实践中出现一些争议和分歧。如前文所述,我国关于公民个人信息保护的统一立法尚未出台,前置性行政规范的缺位导致以“违反国家有关规定”为前提的犯罪认定存在争议;“以其他方法非法获取”的立法列举不完善、认定标准的粗泛化,导致司法实践中证明犯罪嫌疑人信息来源的非法性存在困难。
我国应当进一步严密法网,完善法律解释以及构建合理的刑事追诉制度来解决司法认定中存在的问题,以《解释》第2条规定为基础,将现有的法律法规,国务院的决定措施以及行业标准进行统一整合,为司法实务提供明确的公民个人信息认定标准以及获取公民个人信息的具体法律依据、授权和资格指引。主要包括以下几个方面的完善:第一,进一步明确企业信息安全义务。《网络安全法》与《信息安全技术个人信息安全规范》(以下简称为《规范》)中,虽系统的设置了网络平台对个人信息的保护责任,要求企业对信息安全事件采取记录、评估、上报、告知等四类风险防控措施,并设置个人信息安全影响评估机制,指引企业处置报告信息安全事件。但由于《规范》并非国家强制性标准,而是国家推荐性标准,其对于相关平台的约束力很难得到保证,这将导致《规范》无法起到预想的规制效果。④戴正:《数据企业的个人信息保护责任:从GDPR到中国》,载《经济研究导刊》2018年第36期,第19页。因此有必要引入企业信息安全义务的更严格标准,便于司法界定企业自身实施的犯罪、企业客观帮助实施的犯罪和不履行信息网络安全管理义务的犯罪。第二,明确“去标识化”的认定标准。基于“公民个人信息”的多元属性以及信息“匿名化”处理标准不一与“再识别化”的风险,立法对于企业信息专有权的态度较为模糊。两高《解释》中规定“经过处理无法识别特定个人且不能复原的信息”不属于侵犯公民个人信息罪的保护对象,但实践中去识别化技术水平的差异化以及认定标准不一使得在司法实践中对于侵犯公民个人信息犯罪的对象与数量认定上存在困难。应当进一步修订完善相关认定标准,对于拥有公民个人信息的互联网企业、网络平台以及其他组织专有信息的认定标准加以明确,以利于司法实践中侵犯公民个人信息犯罪对象与数量的准确查证。第三,明确个人信息利用行政违法行为类型。《刑法》第253条规定的“违反国家有关规定”是该罪的法定构成要件,实践中空白罪状无法得到具体的明确,使得对于侵犯公民个人信息犯罪的入罪化处理存在很大障碍。因此,在行政法律法规上明确个人信息利用行为的违法类型,能有效为刑事司法工作提供确切依据,更有助于合理地确立侵犯公民个人信息行为的入罪刑罚边界。
(二)进一步类型化侵害行为
我国《刑法》“对个人信息的规制经历了附属他权保护、数据安全保护、专门规制保护三个阶段,但在规制逻辑上却延续了基于隐私保护模式的仅制裁转移型侵害的狭窄思路,仅入罪规制非法提供、获取或泄露个人信息的转移型行为,无法将滥用信息行为纳入规制范围,导致对大数据环境下 ‘合法获取、不当滥用’的典型问题束手无策。”①李川:《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》,载《中国刑事法杂志》2019年第5期,第40页。当前,尤其是互联网企业非法利用个人信息的行为已成为监管的核心难题,由于立法上的关于个人信息非法使用的规定存在缺位,导致诸如非法广告联盟、第三方信息买卖等违法行为在司法适用过程如何定罪存在争议。与其继续参照实务中以“非法经营罪”等口袋罪牵强适用的传统做法,不如从立法上回应这一现实问题,将非法使用个人信息的行为类型化入罪,将实践中形式多样的个人信息非法使用行为统一纳入个人信息非法使用的行为框架下。
如前文所述,公民个人信息已经成为其他犯罪的常见工具与犯罪基础,非法使用、非法散布公民个人信息的行为是当前最直接的、个体法益侵害最精准的行为类型,尤其是企业在数据海量共享与多元化传播环境下滥用个人信息的行为已成为一种社会常态。为实现对个人信息的更周延保护,笔者认为应当对《刑法》第253条的侵害方式进一步类型化扩充,依据实践情况不断加强对新兴犯罪行为方式的规制。行为方式的类型化扩充,既能与相关的前置法协调衔接适用,且使得刑法规范的内在逻辑形成闭环,非法使用个人信息行为的入罪化处理能更好地实现社会、企业和个人对个人信息安全的合理保护,同时也为个人信息被非法使用的公民维权提供有力的法律支持。
(三)构筑公民个人信息侵权的有效维权路径
随着大数据时代下网络技术迭代更新,借助互联网实现的侵犯公民个人信息的犯罪将愈发呈现出隐蔽性、灵活性、复杂性的特点,侦查机关发现犯罪、调查取证、证明定罪都具有一定难度,且极易遗漏。公民是最可能及时发现个人信息被侵犯的,因此构筑公民个人信息维权的有效路径是实现周延保护公民个人信息所必不可少的。“公诉+自诉”的混合救济模式是当前应对复杂的个人信息犯罪的最佳方案。笔者通过对仅有的8个自诉案例进行分析,发现自诉案件中对侵犯公民个人信息罪的相关证明责任标准仍是参照公权力机关为主体进行设置的。这就导致,公民自诉有可能因举证能力不够、证据不足而被公安部门不予受理或被法院驳回起诉。因此,应当制定一个相对低的自诉证明标准,如设置一定限制条件下举证责任倒置规则,构建公民个人信息侵权的报案、记录以及后续处理的一体化维权机制,使得受到侵害的权利主体能够在发现违法犯罪行为时,及时依据自身掌握的证据,在维权机制的有效运转下,向人民法院提起刑事自诉,及时高效地实现自身权利救济,弥补公安机关在主动发现打击犯罪时的忽略与滞后,又能避免过长的追诉时间与复杂程序导致的公民维权效率低下,打击公民维权的积极性。
(四)创设企业刑事合规制度,有效预防单位犯罪
大数据时代,有限的国家司法资源与日益纷繁复杂的企业信息犯罪控制之间存在着难以短期逾越的现实障碍。在扩大网络信息安全犯罪圈的同时,有效地引导行业自律是新网络空间下要探讨的另一个问题。实践中,单位犯罪的发生往往并不仅是由单位内部自然人的某个决定引起,更多的是由于单位管理体制和监督机制有缺陷导致的。①黎宏:《单位犯罪中单位意思的界定》,载《法学》2013年第12期,第153~160页。在有效规制侵犯公民个人信息罪之单位犯罪方面,可以考虑创设刑事合规制度,具体包括建立和完善企业使用客户信息合规准则,以及搭建企业个人信息保护的合规体系两个方面。
1. 建立和完善企业使用客户信息合规准则
企业信息数据合规的内容应全方位、多维度考虑维护各方利益。从维护国家安全与公共利益的层面上,企业要建立数据留存、数据境内外传输、数据执法协助等多方面的合规机制,依照法律法规,配合网信部门和其他政府部门的有关业务需求对企业数据进行安全管理;立足公民权利本位,企业应制定用户隐私服务政策、数据使用协议和合规数据技术处理流程,维护公民的合法权益;市场竞争关系下应及时关注、规避企业间不正当商业竞争、数据垄断行为,在保护自身商业秘密的同时抵御外来商业风险。企业刑事合规要进行顶层制度和体系设计,完成事前防范、事中控制和事后应对的三大模块行动指南设计。
首先要做好事前的防范,依照宪法、法律法规和其他规范性文件制定的企业用户信息使用准则,结合企业经营特点建立个人信息使用的合规评估体系,将经营活动中必然或可能会面临的一般刑事风险和特殊刑事风险进行准确“定位”,明确信息收集活动中每一步行为的边界并进行员工信息合规培训。其次,严格监控企业的信息收集活动,做到全流程把关,建立大数据保护合规审计、合规报告、24小时举报等多种信息活动的内部监管机制,并在技术层面不断实现对用户信息分级管理与匿名化操作的优化升级。最后,要完善企业的事后应对机制。应以具体章程明确当个人信息数据侵犯用户信息权时,企业如何进行内部调查、漏洞整改、违规人员处理、如何保障个人信息安全的损害最小化等一系列具体的应对措施。
2. 搭建企业个人信息保护的合规体系
企业数据安全管理中,人是最大的风险,也是最好的尺度,但目前合规文化的重要性仍处于被忽视的状态。要实现企业对个人信息的真正保护,缓解技术对法律的冲击,不仅要提升企业的风险责任意识,更要重视对企业员工合规意识的培养。因此要构筑企业个人信息保护的合规组织体系,建立企业内部的信息合规专门部门或相关的管理委员会,任命首席合规官并以其为牵头,实现企业管理层自上而下、以身作则、率先垂范,严格遵循企业个人信息数据处理活动的指南,并定期进行全体员工的合规培训,加强法律知识的普及,以提高职员的数据合规、隐私保护意识。
六、结语
正如科德·戴维斯在他的《大数据伦理学》一书中所言,“意外后果所带来的潜在危害,可能很快就会超过大数据创新的价值。”②Kord Davis & Doug Patterson, Ethics of Big Data,2012,p.5.数字化时代,人们既依赖数据收集使用下的巨大价值创造,也恐慌着高度数据化带来的巨大风险。个人信息犯罪日益猖獗,对个人信息的非法收集、非法使用触发了一系列以网络为空间、网络为工具的违法犯罪。因此,妥善的解释和适用相关侵犯公民个人信息罪行规范是当前迫切需要的。当然解释应当在文义的可能含义范围内和目的解释的诉求下进行。③林贵文:《轮奸成立学说的法教义学批判与证成》,载《法律科学(西北政法大学学报)》2019年第6期,第56页。通过对实践中侵犯公民个人信息罪适用分析,并借鉴域外立法例的相关有益思路,尽快实现我国个人信息保护的法律规范体系构建,完善相关行政法律法规,与《刑法》相协调,为个人信息保护提供有力的依据。在秉持刑法谦抑性原则的基础上,严密法网,进一步类型化侵犯公民个人信息犯罪行为方式,并适当开放自诉渠道。在刑罚积极预防思路下,建议引入刑事合规计划,进一步阻断企业侵犯公民个人信息的途径,使个人信息权利和企业数据利益得到有效保障。
