全媒首发 | 张洪铭:从滴滴网络安全审查谈侵犯个人信息刑法规制的问题
(感谢南开大学法学院校友安尧题字)
张洪铭 | 中国政法大学证据学博士;靖之霖(北京)律师事务所律师。在北京某检察院工作期间,主办大量网络犯罪案件。
感谢张博士授权“司法兰亭会”全媒体范围首发。
滴滴公司到底是否涉嫌侵犯公民个人信息罪呢?这个罪名,随着时代的发展,是否应当作出一些改变了呢?
问题一:如何理解侵犯公民个人信息罪中的“非法获取”?
刑法253条之一第三款规定“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。” 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第4条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
根据该条规定,判定“非法获取”,核心就是看行为方式是否违反了国家规定。关于行为方式,《解释》作了列举:第一大类是购买、收受、交换等,第二类是在履行职责、提供服务过程中收集。列举是直观的,很容易理解。
所以在判定是否符合刑法上所规定的“非法获取”客观行为要件,关键是看有无“违反国家有关规定”。关于“违反国家有关规定”,《解释》第二条明确:违反法律、行政法规、部门规章有关公民个人信息保护的规定的,应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。所以,只要是个人信息获取方式违反了法律、行政法规、部门规章中的有关规定,都属于“非法获取”。
问题二:被披露的滴滴公司违法行为是否构成刑法上的“非法获取”?
“经查证,滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。”
第一项,行政机关已经认定滴滴“违法收集”用户手机相册中的截图信息,势必属于“违反国家有关规定”。除非,行政机关所依据的“法”在《解释》所规定的法律、行政法规、部门规章范围之外。而这显然是不可能的。在披露中,行政机关并没有详述滴滴“违法收集”的行为方式,因不了解案情不作具体评论。
第二项至第五项,执法机关使用的概念是“过度收集”,过度收集违法不违法?是否属于《解释》规定的“违反国家有关规定”?
2016年出台的《网络安全法》规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”。
2021年国家网信办、公安部等4部门出台《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称《规定》)。细化了《网络安全法》的上述原则性规定,该规定第5条明确规定了“常见类型APP的必要个人信息范围”。
翻遍全文,在任何一种APP类型中,“必要个人信息范围”内确实都没有找到上述的人脸识别信息、年龄段信息、职业信息、亲情关系信息、学历信息等。
那么问题来了,如果《规定》属于部门规章,就属于《解释》中的“有关国家规定”,进而带来认定犯罪的可能。那么,《规定》是不是规章呢?
根据我国《立法法》的规定,“国务院各部、委员会、中国人民银行、审计署和具有行政管理职能的直属机构,可以根据法律和国务院的行政法规、决定、命令,在本部门的权限范围内,制定规章。”“涉及两个以上国务院部门职权范围的事项,应当提请国务院制定行政法规或者由国务院有关部门联合制定规章。”“部门规章规定的事项应当属于执行法律或者国务院的行政法规、决定、命令的事项。”
从制定主体上看:《规定》是国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局,四部门联合制定,共同发布;
从制定目的上来看:《规定》是为贯彻落实《网络安全法》关于“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定。
因此,从制定主体、目的和内容上看,均符合《立法法》关于部门规章的要求。据此,笔者认为《规定》应当属于部门规章。
于是,可得出结论:“过度收集”违反了部门规章,属于《解释》规定的“违反国家有关规定”,应当认定为“非法获取”。
第六、七、八项属于在收集公民个人信息后的处理、使用,不在本文讨论范围,在此不论。
问题三:对滴滴公司是否应该追究刑事责任?
从犯罪构成上来说,笔者认为答案是肯定的。
如前所述,滴滴违法收集、过度收集公民个人信息的行为,已满足:(1)“违反国家规定”;(2)“在履行职责、提供服务过程中收集公民个人信息”;(3)非法获取个人信息条数达到《解释》“情节特别严重”标准这三个要件要素。客观上已符合刑法规定的客观要件。
从主观要件上来说,行为人明知自己不应当采用非法方法获取相关公民个人信息而予以获取,属于直接故意。当然,如果说这些获取行为,行为人不明知,或者是因为在运用相关技术抓取数据时不了解程序功能,计算机信息系统以及相关软件在行为人不知情的情况下,自动获取了公民个人信息数据,有可能不被认定为明知。然而,这种可能性似乎微乎其微。
《个人信息保护法》第71条,“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”行政执法机关在行政执法过程中发现涉嫌刑事犯罪的,应当移交公安机关处理。所以,靴子有没有全部落地,从法律上来说,还尚未可知。
问题四:反思刑法——刑法关于侵犯公民个人信息罪的规定是否过于严苛?
可能“法不责众”是国民心中普遍存在的一种认知。当我国进入互联网时代以后,由于前期行业的野蛮生长,我们的公民个人信息又已经在网上裸奔了这么多年。于是,网络服务的使用者“摆烂”了,网络服务的提供者“放肆”了。
对于企业来说,当大家一起不守法的时候,大家就都是安全的。而对于法律从业者来说,身处此境无疑是悲哀的。而因为公民个人信息泄露被次生犯罪侵害的人来说,则更为可怜。
我们看到,《解释》出台于2017年。该《解释》的出台,2016年发生在山东的“徐玉玉案”起到了极为重要的推动作用。所以,这部《解释》出台的时机决定了它具有“从严从重”的倾向。从行文上来看,也确实如此,代表了当时的政策导向。
现在回头看,这部《解释》中规定的内容,有些地方是否值得推敲呢?《解释》中规定的“非法获取”范围是否过于宽泛,以至于遏制了互联网“互联互通”、解放和发展生产力、推进数字经济发展的功用呢?又或者因为太过于严格,导致执法机关无法做到有刑必依、有案必查,导致了事实上的“法不责众”呢?
法律永远是价值的选择、利弊的权衡,刑法要把侵犯公民个人信息管到什么程度,是一个值得探讨的问题。但我们不要忘记的是,我们还有行政执法和民事救济。
问题五:反思执法——侵犯公民个人信息罪的犯罪黑数到底有多大,行刑衔接如何回应关切?
按照前文的分析,侵公犯罪的犯罪黑数应该是非常之大的。主要原因有二:
第一,此类犯罪被害人在受到进一步其他犯罪侵害之前,基本上无感知,所以很少向公安机关报案,因此没有案件来源;
第二,如果严格按照目前刑法的规定,无论从入罪标准——涉案公民个人信息的条数亦或获取公民个人信息的方式方法上来看,涉及公民个人信息处理的企业均很容易构成该罪。
正是刑法从严的规定以及犯罪黑数,可能导致刑事司法上和行政执法上的两个后果:
一是大量的侵犯公民个人信息罪得不到有效查处。如果回头看看,历年“净网行动”以及网信、公安、工信等部门联合执法中披露的互联网企业违法违规收集公民个人信息等问题,是不是都已经符合了刑法中侵犯公民个人信息罪的犯罪构成?贝卡利亚曾经说过,刑罚的威慑力不在于刑罚的严酷性,而在于其不可避免性。如果现实中大量的同类案件,因为种种原因没有依照刑法查处,立法落空,则可能导致犯罪更加猖獗。
二是将严重挤压行政执法的空间。在公民个人信息保护领域,行政执法应当发挥更加重要的作用,也可以发挥重要的作用。因为刑法是社会的底线,针对的是最严重的违法行为——犯罪。带来的后果也很严重,行为人会失去自由、财产甚至生命。一旦企业遇到了刑事处罚,往往是案件办完、企业“玩完”。经济和数字经济的大小主体及整体盘受到影响,最终损害的还是公民、社会和国家的福祉。
而行政执法则相对具有灵活性,不至于让企业一击致命。刑法过于扩张的粗疏规制,会让行政执法没有空间。但我们又不得不承认,如果有刑不依,又会带来“以罚代刑、罚酒三杯”的社会质疑。
所以,笔者认为,在近些年来行政法规不断织密织严,互联网企业渐入规范、合规后,在公民个人信息保护领域,是否该考虑“刑退行进”了?
以下点击可读:
电子证据系列 | 张洪铭:专业、深入、有效审查,让电子数据鉴定意见的问题无处遁形
刘品新、石鹏、高显嵩、张洪铭、安柯颖、侯爱文、彭文昌、王华伟、于冲、朱桐辉 | 周泰研究院电子数据法与网络法研讨观点集锦
吴宏耀、刘静坤、钱列阳、黄祥青、贝金欣、王新、高显嵩、谢登科、张洪铭、朱桐辉:金融犯罪证明问题,电子数据取证、审查、鉴真及鉴定。
高显嵩、张洪铭、白浩、朱桐辉:外挂案件的技术原理及罪名辨析 | 电子证据与网络法讲坛第五期
孙坤铭:法网恢恢,“滴滴”不漏——为何赴美上市的滴滴网络安全审查难过关?
数据合规系列 | 孙坤铭:阿里云被停6个月,云计算合规敲警钟
数据合规系列 | 陈鹏、高洁:新旧《网络安全审查办法》逐条对比及修订亮点
数据合规系列 | 蒋安杰:合规不是一套书面的计划,也不是做一套纸面的规章制度
高显嵩、李敦、朱桐辉:《个人信息保护法》与《汽车数据规定》中的关键技术与规则 | 电子证据与网络法讲坛第四期
编辑 | 南开大学法学院副教授 朱桐辉