大数据时代个人信息的特殊保护
2023-01-21张思瑾
文|张思瑾
大数据时代,公民的各种信息成为经济社会发展的重要资源之一,不法分子为谋求私利,用各种手段非法获取公民的个人信息。同时,互联网时代大数据处理信息等技术的飞速发展,敏感个人信息一旦泄露也更容易在网络传播,给电信诈骗等犯罪提供温床。在此背景下,我国刑事法律应尽快回应社会需求,实现对敏感个人信息的特殊保护。
一、对敏感个人信息特殊保护的必要性
(一)敏感个人信息具有极强人身关联性
敏感个人信息较一般个人信息具有极强的人身关联性,这类信息一旦被不法分子非法获取,自然人的人身安全及人格尊严将处于极度危险状态。早在2019年,换脸软件“ZAO”横空出世,该软件只需上传一张照片,就可以将照片中的人脸置换到其他图片或视频上,这款软件迅速掀起了一波“换脸”风潮,但这种随意收集人脸信息并使用的技术也引发了人们对个人信息泄露的担心。依托便捷的互联网技术,生物识别信息极其容易被非法获取,手机、电脑摄像头都能在自然人不知情的情况下获取其人脸信息。这些人脸信息可以通过“AI”换脸技术被置换到其他视频中,比如前段时间出现的将女明星的脸置换到视频上并发布在公开平台上的情形。这种行为不仅构成侵犯公民个人信息罪,还有可能构成侮辱罪。这种非法获取并使用生物识别信息的行为,给自然人的人格尊严造成极大伤害。
(二)敏感个人信息具有极强财产关联性
敏感个人信息和公民的财产有着紧密的联结,其中金融账户信息包含自然人的交易信息、存款状况等信息,这类信息若被不当收集并使用,极有可能引发一系列财产性犯罪,带来财产损失。仍以前文提到的生物识别信息为例,指纹或人脸信息如今作为实践中常用的移动支付密码,与自然人财产联系紧密。实践中就曾出现过利用人脸识别信息盗取他人支付宝资金的案件,2014年周某利用互联网搜索到桑某动态头像及其支付宝账号,周某利用该头像登录并修改了桑某支付宝密码,将其账户内资金转入自己账户。
(三)大数据时代敏感个人信息更易被侵犯
大数据时代互联网技术高度发达,数据收集技术不断创新,手机、电脑、各种蓝牙设备成为新的数据收集来源。日常生活中登录APP、报名社会考试,甚至疫情期间出入公共场所,都要收集个人信息,这无疑会增加信息泄露的风险。更有不法分子利用新型电子手段不法收集信息,比如说生活中会出现的点击不明链接即泄露信息、APP后台非法收集数据、利用摄像头获取人脸信息等,防不胜防。在这种背景下,我们几乎生活在一个随时被收集信息的空间中,敏感个人信息泄露的可能性大大增加。
二、对敏感个人信息特殊保护的可行性
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)与《个人信息保护法》都规定了公民个人信息的定义、分类、保护措施,尽管二者有很多相似之处,但将二者对比,可以发现二者对敏感个人信息的规定有以下几点不同之处。
其一,对于生物识别信息与未满14周岁的未成年人的个人信息,《个人信息保护法》予以了特殊的保护。《解释》在明确侵犯公民个人信息行为的“情节严重”要件时,列举了一些个人信息,例如行踪轨迹信息、财产信息等,但并列举生物识别信息与未成年人个人信息,因此在实践中行为人侵犯上述两种公民个人信息时,考量其有没有达到“情节严重”标准存在争议。文章认为,生物识别与未成年人个人信息极易受到侵犯,更容易对自然人的人身、财产安全造成伤害,因此对其的保护力度应与行踪轨迹、财产信息等相同。但是《解释》在规定侵犯公民个人信息罪的构成要件时,仅列举了行踪轨迹信息、通信内容、征信信息、财产信息,且后面并未加上“等”字。这种规定方式存在争议,即未被列举的生物识别信息等受到侵犯是否符合该罪“情节严重”的标准,也可以看出,《解释》并未给与生物识别信息及未成年人个人信息应有的保护力度,这并不利于对上述信息的保护。和《解释》中的区别性规定不同的是,《个人信息保护法》在为敏感个人信息下定义时,列举了生物识别信息与未成年人个人信息,并且将生物识别信息放在首位。生物识别信息因本身特性在被非法获取并使用后给自然人带来的人身财产伤害更大,又因为大数据时代信息传播方式多元化导致极易被窃取,进而引发其他犯罪。因此,对自然人的生物识别信息应进行突出保护,保护公民的合法权益。同时,《解释》中并未提及14周岁以下未成年人的个人信息,没有体现出其特殊性,不利于对未成年人的关爱。但《个人信息保护法》将其作为敏感个人信息的一种类型列举出来,这样的规定体现了对未成年人的特殊保护。14周岁以下的未成年人尚处于心理发育不完全阶段,其个人信息被窃取并使用,可能造成其作出不理智决定,受到严重的精神伤害,进而导致一些犯罪的发生。总之,《个人信息保护法》列举了生物识别信息与未满14周岁的未成年人个人信息,这样的规定体现了对上述信息的特殊保护,加强了其保护力度。
其二,《解释》与《个人信息保护法》对个人信息分级不同。《解释》在规定侵犯公民个人信息罪的“情节严重”要件时,对个人信息进行了分级。按照认定“情节严重”的标准将其分成三级,侵犯每种类型的信息是否构成“情节严重”的起刑点不同,并且在这种分类模式中,敏感个人信息被拆分为两种级别的信息,也即《解释》对不同的敏感个人信息规定的入罪标准是不同的,存在着不同的保护力度。这种规定方式导致各种等级的信息边界不明确,对融合性较强的信息如何定性存在争议,不利于对敏感个人信息的系统性保护。和该分类方式不同的是,《个人信息保护法》并未进行进一步的细分,列举出的所有信息都被同等程度保护。这样的规定避免了融合性较强的信息难以分辨的争议性问题,显然更具实用性。
从以上分析可以看出,《解释》与《个人信息保护法》存在诸多差异,后者作为侵犯公民个人信息罪的前置法,在规定上对敏感个人信息实行了特殊的保护,根据法秩序统一的原理,刑事法律对敏感个人信息的保护可以参考前置法的规定,使二者衔接更加顺畅,建立全方位保护公民个人信息的法律体系,保护公民的个人权益不受侵犯。
三、对敏感个人信息特殊保护的新路径
(一)取消敏感个人信息的分级
《个人信息保护法》颁布之后,重新考量《解释》中的个人信息分级制度,可以看出该制度确实存在缺陷。因此文章在此建议,取消敏感个人信息的分级,对敏感个人信息采取同等的保护力度。这样修订的原因有二:首先,对不同敏感个人信息的保护应保持力度一致。从《解释》第五条第一项与第二项可以看出,《解释》对行踪轨迹信息与其他敏感个人信息的保护力度存在较大差异,对于行踪轨迹信息而言,行为人出售或提供他人,他人用于犯罪的,则构成侵犯公民个人信息罪,但是对于除行踪轨迹信息的其他个人信息,则要知道或应当知道他人要用于犯罪并出售或提供才构成该罪。这样的差异化规定为侵犯其他信息的行为提高了证明要求,也就是提高了入罪标准,体现了《解释》对不同敏感个人信息保护力度的不同。但是在司法实践中,侵犯公民行踪轨迹信息与侵犯其他敏感个人信息对公民带来的损害基本上无法区分高低,每种敏感个人信息都有可能被他人用于犯罪。比如说在一个行为中,犯罪人获取了他人的行踪轨迹信息与生物识别信息,知悉了他人不在家的时间与门锁的指纹密码,然后实施入室盗窃。那此时,我们还要区分这两种敏感个人信息的来源,对于出售或提供这两种信息的人以是否明知来区分,用不同的入罪标准来衡量,无疑是不妥的。因为在这个犯罪行为中,这两种敏感个人信息的获得对犯罪人实施犯罪所起到的作用无法区分大小,那么对这两种信息的保护力度进行区分也没有必要。其次,《个人信息保护法》是侵犯公民个人信息罪的重要的前置法,《解释》中规定需要与《个人信息保护法》相协调。《解释》对敏感个人信息进行分级并区别对待,将敏感个人信息分成不同层级,比如在《个人信息保护法》中,行踪轨迹信息作为敏感个人信息与其他敏感个人信息享有同等保护力度,但是在《解释》中,行踪轨迹信息则被以较强的保护力度保护,入罪标准相较于其他敏感个人信息更低,非法获取、出售或者提供行踪轨迹信息的“情节严重”标准是五十条,侵犯其他一部分敏感个人信息的“情节严重”标准则是五百条。这样看来,《个人信息保护法》对敏感个人信息不分级别,采取同一保护力度,这样可以避免融合性较高的信息定性争议,因此我们在探索敏感个人信息保护路径时,可以摒弃以往的分级制度,对敏感个人信息同等保护。
(二)调整侵犯敏感个人信息的起刑点
《解释》第三项与第四项对侵犯不同敏感个人信息的行为规定了不同的起刑点,分别为五十条与五十条。那么,在前文中我们提到建议以敏感个人信息直接代替《解释》中列举的各项信息,这就引发了新的问题,敏感个人信息的起刑点如何设置?对于这个问题,文章建议将侵犯敏感个人信息的起刑点设置为五百条。在确实起刑点时,我们既要考虑有效保护敏感个人信息不受侵犯,又要考虑不能压缩前置法的空间,同时还应注意体现出敏感个人信息与一般个人信息的区分。因此,这个起刑点不应该设置太高,因为太高会导致入罪门槛升高,敏感个人信息得不到应有保护,同时也不能设置太低,因为起刑点太低会导致前置法如《个人信息保护法》失去适用区间,而刑法上罪名适用范围太大。因此文章建议将侵犯公民敏感个人信息的起刑点设置为“五十条及以上”,这个起刑点是《解释》中为第一层级的信息设置的,代表着最强的保护力度,同时不至于过度压缩前置法的适用区间。而对于侵犯公民一般个人信息的行为,可以将起刑点设置为“五百条及以上”,这样有效拉开一般与敏感个人信息的差距,对两种个人信息有效保护。