公民个人信息刑法保护的问题与研究

2022-02-10袁菁

法制博览 2022年36期

袁菁

江苏振强律师事务所，江苏江阴 214400

当前，信息化发展为人们带来了诸多便利，亦提高了人们生活体验。同时，互联网应用中的各种信息普遍存在安全风险，刑法学领域对于公民个人信息保护需要不断完善，以适应个人信息保护需求，进而达到保护公共利益与个人利益的目标。

一、公民个人信息工作开展面临的问题

《网络安全法》对侵犯公民个人信息的违法行为进行了明确的界定，即非法收集、非法使用、非法销售、非法提供、非法获得。同时，非法出售、非法提供、非法取得是我国目前最常见的三种类型犯罪形式。侵犯公民个人信息罪仅针对信息流通过程，而对信息滥用却未给予足够的重视，因而构成了一种预防流通的犯罪形态。数据的价值来源于信息的流通，是数字经济发展的基础，因此，各国都十分关注数据的开放与共享[1]。我国很早以前就出台了《促进大数据发展行动纲要》，其中重点强调了要加快政府信息公开与共享，促进信息资源的整合，提高政府的管理水平。在大数据时代，跨层次、跨地域、跨系统、跨部门的数据开放已经成为发展的趋势。然而，在信息的巨大价值诱惑下，公民的个人信息的违法流动依然非常严重，而且违法的信息使用情况也呈现出越来越严重的趋势。

现代信息技术推动了数据的增值，但同时也让每个人都被圈入“数字化”信息技术的庞大监视网络之中。戴维· 布林对“透明社会”的描写与其说是虚幻，不如说是真实写照。个人信息的需要，源于科技的发展，是对信息的价值认同。但随着技术的发展，人们对个人信息保护的陈规和标准也在逐渐瓦解，对于个人信息的保护显得有些束手无策。

公民个人信息的识别日益呈现出一种情境上的相对性，科技的发展所造成的识别困难和常规的割裂，早晚会使公民个人信息的法律保护陷入如此困境。个人信息的范围无法抑制地扩展，从而导致了刑事法律规范的扩展[2]。但它的膨胀也是有极限的，结果也有可能就像是一个黑洞，它会将周围的所有物体都吞噬，然后自我瓦解。

二、公民个人信息刑法保护的研究

（一）从信息的自主控制转向信息的自主使用

如上所述，刑法解释超出了行政法的定义，意在积极扩大公民的个人信息的范畴，而在行为方式上，刑事立法则比行政法规要严格得多。行政法十分重视收集和非法利用私人信息，例如收集个人信息。《关于加强网络信息保护的决定》第一次确立了合法、正当和必要的原则，而《网络安全法》则进一步确认了民法领域中的七种非法形式：上述的收集、使用、加工、传输、买卖、提供、公开等活动贯穿于收集、流通和使用的全过程。而刑事法律则以个人信息的非法流通为重点。侵害公民个人信息犯罪是指非法出售、提供和获取个人信息的犯罪。而对未尽到信息网络的监管职责的惩罚，是一种因间接、蓄意的信息泄露而造成的“纵容”。侵犯公民个人信息罪不会对非法收集的个人信息进行惩罚，也不会对随后的滥用行为进行惩罚[3]。因此，强调对个人信息收集的控制就显得不那么重要了。除非个人信息被使用，将会对个人的人身和财产造成损害。应着重于怎样安全使用，并尽量减少对个人造成的不必要危害，即应该把刑法打击的链条向后延伸，把非法利用公民个人信息纳入到刑事打击的范畴，重点是控制和预防信息滥用的行为。数据犯罪和信息犯罪的区别在于，我国法律规定只对非法获取、出售、提供公民个人信息的行为予以处罚，而非法修改、删除、传播、使用个人信息等都不能列入信息犯罪的范畴，最终只能通过数据犯罪等手段加以规制。在目前的公民个人信息使用中，以“数据画像”为基础进行明目张胆的价格歧视、差别化营销，利用人体的生理特性进行伪造，造成社会治安混乱，这就更加突出了对公民个人信息进行全面介入的意义。

在大数据时代，公民个人信息是将个人的人格利益、经济利益与公益利益结合起来的。传统的隐私权、财产权等权利都不能容纳公民个人信息这一概念的范畴，因此，人们越来越关注将公民的个人信息作为一种全新的、独立自主的权益。但在大数据时代背景下，有序的信息流、多边共享、开放共享等需求，过于注重对信息的自主控制，而忽略了信息的自主使用，从而限制了数据价值的挖掘[4]。因此，我国刑法应该以积极的公民信息为主体，取代被动对抗的权利状态，适度减少对自主控制的保护力度，把范围延伸到对信息的不当滥用中去。

（二）公民个人信息概念的部门法统一

目前，我国公民个人信息的保护已成为我国民法、刑法、行政法等法律体系中的一个重要组成部分。我国《民法典》第一百一十一条规定指出：依法保障自然人的个人信息，这为我国民事立法提供了保障。从客观上讲，公民的个人信息具有扩张性、应用场景的复杂性和保护难度的增加，需要各个部门法的协同发展，然而，由于各个部门单独立法的状况，造成了立法与信息部门的分离，从而使法律法规的制定滞后于信息技术的实施[5]。回顾十余年来我国公民个人信息的立法发展，以及各部门法的颁布顺序，2017年10月1日起施行的原《民法总则》到2021年1月1日正式施行的《民法典》，2017年10月1日正式施行的《网络安全法》，而在我国的刑事领域，就算不谈1997年的刑事法律问题，从《刑法修正案（七）》规定了两个独立公民个人信息罪名算起，至今已有十年之久。因而，我国公民个人信息的保护，实际上是在“刑先民后”的道路上进行的。在我国相关法律法规刚刚起步的时候，我国刑法的提早介入可以提高公众对法律的认识，具有一定的警示作用。然而，仅仅依靠“威慑”并不能持久，既然我国颁布了《网络安全法》等有关法律、法规，刑法就应该回归到它的原点。从“刑先民后”改为“民先刑后”，其中最为关键的一点是将刑事法律与公民个人信息的概念有机地融合起来。

概念词语的调整不是一种语言游戏，而是涉及法律规范的定位、法律规制的范畴等一大批问题。例如，要使我国的公民个人信息犯罪成为现实，充分利用行政法在侵犯公民个人信息罪的上位法定化作用和违法性审查功能，使其恢复到侵犯公民个人信息罪的法定犯本质。剔除公民的个人信息中“账号密码”“财产状况”等没有识别性功能的信息。虽然此类信息的滥用的确会损害公民的个人利益，但这种以信息为基础的罪行却可以通过其他的罪名来加以有效控制。将其纳入公民个人信息，尽管它保持着事前实施、法益保障的理念，但是，为了保障这些信息而使用侵害公民个人信息的犯罪，违背了信息自主权利的法律意义。[6]

（三）法益边界衔接：公民个人信息的分类立法保护

识别性概念是把所有公民的个人信息都集中到自己的手中，而事实上，当他们的个人信息范围越来越广的时候，不同类型的公民个人信息受到的保护在必要性角度也会有所不同，相应在保护的程度上也会有区别。在其他部门法中，无论是对公民个人信息的定义，还是对特定情况下的保护，都对公民的个人信息进行了分级、分类的保护。《信息安全技术个人信息安全规范》中“个人信息”一项，对“个人敏感信息”作了明确的界定，即：泄露、非法提供或滥用，有可能危及个人的生命、财产安全，使名誉、身心健康遭受损害或歧视[7]。《信息安全技术个人信息安全规范》对收集、传输和共享的敏感信息有特殊的规定。此外，在《居民身份证法》《反恐怖主义法》《征信业管理条例》等个人信息场景应用方面的相关法律法规中，还特别制定了个人的生物识别信息的利用和管理。在行政法律中，对公民的个人信息进行分级、分类的保护是十分有意义的。同时，我国《刑法》对公民个人信息的法律保护，从“信用卡信息”“个人信息”“身份信息”“身份认证信息”“推定身份信息”“公民个人信息”等立法规定的具体实施途径，也隐含着对公民个人信息实行分类保护的可能性。

我国现行的刑事法律对公民的个人信息进行了分级的规定：不同种类的个人信息所具有的价值是有差别的。如果“可识别性”整体受到保护，那么，本应该加强的信息类型就有可能没有受到足够的保护，而那些应该考虑到数据运用需要和公共利益的信息类型，也不能给予社会足够的自由。人们普遍认为，个人信息的法律依据来源于《世界人权宣言》第十二条，该条款规定，个人有自由决定个人生活、拥有免遭别人侵害或损害的权利。所以，虽然“可识别性”在理论上屡次遭到批判，但在现代信息技术的冲击下仍然存在，因为它具有足够的可识别能力，使信息能够直接地指向某个特定的对象，并使它与其他对象分离。对个人信息的保护，就是要保障信息主体的利益，使主体不受侵犯，自主决断，受到平等对待。在这种情况下，人们研究发现，可以单独识别的个人信息，越是不依靠其他的信息，越是和个人的身份有着密切的联系，那么它就越接近于个人信息保护的原始价值。因此，对于这类信息必须加强刑法的保护。反之，越是需要对现代信息科技的深入发掘，越需要与其他相关信息结合起来加以关联辨识的信息，反而给它留出了正当的合法余地，因此，这类信息必须以利益均衡为原则，建构适当的刑事保护法则。

虽然个人信息的高度匿名化和对个人信息的敏感性处理，可以避免“识别性”技术上的限制，但同时也会使个人信息的使用价值下降，这对未来的大数据和技术经济发展都会产生不利影响。同时，我们应该注意到，即使是匿名的、零散的数据，也可以通过数据挖掘技术重现或还原，完全的数据去敏感处理是不现实的，这也会扼杀产业的生命力。最好的办法就是限制公民的个人信息范围，把经过合理的脱敏化处理，但仍然可以发现的信息，从公民的个人信息中剔除出去。从表面上看，这样做会削弱公民个人信息的力度和刚性，但却更具有科学性和有效性，有利于提高法律的权威性。事实上，欧盟和日本等许多国家都在强调一次确认公民个人信息的标准。欧盟1995号《数据保护指令》第二十六条前言规定：如果控制者和其他人在使用一切合理的可能方法，也不能将某一特定个人的信息识别，确认为匿名性信息。我们可以看到，尽管欧洲把隐私权放在了最关键的位置，但对于匿名问题，它并没有对每个人都作出充分的让步。这也是迫于技术和产业界的压力。

（四）优越利益衡量：紧急事态下知情同意原则的豁免

在两种不同的价值观之间产生矛盾时，通常的做法是将二者的利益进行比较，以保证更大的利益为优先考虑，在类似情况中，作出的价值折中可以成为最好的实现方案，也是免除责任的理由。在解决相似的法律价值矛盾时，优越利益衡量是最基本的原则。为了维护国家安全、维护社会公共利益、打击犯罪等利益，必须对相关部门、个人进行公开。例如，《反恐怖主义法》第二十一条规定：电信、互联网、金融、住宿、长途客运、汽车租赁等业务经营者和服务提供者，必须检查顾客的身份信息。如果没有明确的身份或者拒不接受检查，将无法为其提供任何服务。这就需要在享有特定服务的过程中，不仅要履行自己的信息公开责任，而且要承担起与之对应的保护责任。