许亚洁:个人信息安全风险调控的刑法模式
The following article is from 求是学刊杂志 Author 许亚洁
许亚洁
华东政法大学师资博士后
DOI编码:
10.19667/j.cnki.cn23-1070/c.2022.02.012
原文刊发于《求是学刊》2022年第2期第129-141页。为了阅读方便,省略了注释和参考文献。
摘要
大数据时代,个人信息面临巨大的安全风险,需要刑法积极介入应对。刑法应当采用预防性保护立法、兼顾个人信息权益保护与数据流通、秉持刑事一体化理念,从风险识别、风险分担和风险防控三方面应对个人信息安全风险。风险识别方面,个人信息分类分级是风险识别的基础,可以综合网络安全等级保护定级标准和个人信息涉及的法益类型,分类分级保护个人信息。风险分担方面,通过合理设置个人信息处理者的义务责任以及基于信息主体同意出罪事由,明确不同主体应当分担个人信息安全风险。风险防控方面,通过严密个人信息保护义务和厘清个人信息犯罪的入罪边界,有效衔接前置法与刑法,构建个人信息安全风险防控法律体系。
关键词:
个人信息;安全风险;刑法模式
正文
新冠肺炎疫情加速“大数据”时代的进程,尽管数据共享是数据经济发展的催化剂,但因此造成的数据泄露、数据滥用等数据安全问题日益凸显。2021 年国内外多次发生数据泄露事件,例如6 亿余条个人信息被犯罪团伙利用境外聊天工具贩卖、淘宝12 亿条客户信息遭爬取、Facebook 超5 亿用户个人数据遭到泄露等。个人信息是可以直接或间接识别个人的信息,与隐私、名誉等人格利益息息相关。当个人信息以数据的形式通过网络进行流通时,个人信息大量汇集和流动,就可以形成数据库。个人信息不仅局限于个人利益,更与公共秩序、国家安全相关联。因此,个人信息安全风险可能导致个人的人身财产安全受到侵害,还可能扰乱数据市场经济秩序,甚至可能危害国家安全。基于此,我国刑法在民法、行政法等前置法还不完善时积极干预,率先设置侵犯公民个人信息罪。尽管如此,在个人信息安全的法律保护上仍存在诸多争议。一是刑法对个人信息保护的积极立法是否有违刑法谦抑性原则,刑法应当采用何种立场和理念来保护个人信息。二是个人信息法益在法律上是何属性。如何对个人信息进行分类分级保护。三是个人信息流转过程中,各方主体的义务和责任如何确定。特别是在司法实践中如何确定刑事责任,以实现既不过度保护个人信息又不放纵个人信息犯罪的目标。
一
个人信息安全风险调控的刑法理念
个人信息的全方位挖掘和使用推动了数字经济和信息社会的发展,但也增加了个人信息的安全风险。个人信息的安全风险需要法律构建个人信息保护体系。法律体系的构建离不开价值理念的引导,可以说法律保护理念决定了个人信息法律保护体系的框架。刑法素来具有后置法地位,谦抑性、消极性原则是刑法的重要品格。那么,在个人信息安全风险急剧增加的情况下,刑法该以何种理念和立场来应对个人信息安全风险,这是需要首先明确的问题。
(一)个人信息安全的风险预防理念
预防性刑法理念更加契合个人信息安全法律保护。首先,大数据时代个人信息面临更大的滥用、泄露风险,可能造成个人人身财产安全、公共秩序和国家安全的严重危害。这一社会事实构成当下个人信息刑法保护研究的基本语境。有时,我们可以预见技术的使用将产生明显的不可取的后果,尽可能多的是,我们需要预见这些后果并制定政策,最大限度地减少新技术的有害影响。因此,应对个人信息安全问题不仅需要事后追责更需要事前防范,防范风险意味着在不知道结果如何的情况下事先采取措施降低非预期结果的危害,“预防”是风险防范的核心,个人信息需要“预防性”的法律保护。其次,行政法、刑法等公法具有风险防范的功能。原因在于,与公法比较来看,私法一般提供相对后置的救济手段。也就是说,只有当权利被侵害后,权利人才能诉诸法律以保障权利。而公法却可以通过不同的惩罚措施达到威慑和预防的功能,更加注重风险的防范。相比较权利侵害的事后救济,风险防范的预防观念与个人信息的公法保护更加契合。因此,个人信息不仅需要私法维护和权利救济,更需要公法防范和风险规制。事实上,世界上典型的个人信息保护立法最初都源于对国家和公共机构的制约。例如德国1970 年的《个人数据保护法》,就仅将调整范围限定为政府的数据处理行为。最后,公众对安全的强烈需求导致刑法价值取向的重大调整,刑法体系的预防目的被激发,功能主义刑法成为应对社会风险的重要工具。在日本,通说地位的相对报应刑论认为,刑罚的本质是报应,但刑罚的目的在于预防犯罪。德国学者认为,从19 世纪的自由法治国向20 世纪的社会福利国过渡的过程中,刑法的基本思想也从事后的镇压控制转向了事前的预防控制模式。安全问题构成风险社会理论与刑法体系之间的连接点,由此而使预防成为刑法的首要目的。因此,尽管刑法具有天然的后置性和谦抑性,但是个人信息安全风险需要刑法发挥自身的风险管控功能,实现个人信息的安全保障和有序流通。侵犯公民个人信息罪作为惩处个人信息犯罪的核心罪名由《刑法修正案(九)》修改实施。当时,个人信息还没有明确的法律权利属性,配套义务责任更不清晰。侵犯公民个人信息罪在前置法尚不完善的情况下率先将侵犯个人信息的行为入刑,可以说是预防性立法理念的直接体现。
(二)个人信息安全的利益平衡理念
刑法介入个人信息保护应当兼顾促进信息流动和保障信息安全的平衡理念。信息流通带来的经济发展不容忽视,从某种程度而言,脱离了数据的开发和利用,当前的社会和技术将会停滞不前。但同时其带来的负面效应也不容小觑。隐私被严重侵犯,衍生的利益也受到严重威胁。个人信息被侵害的范围及程度已经达到需要刑法介入的条件,但是刑法介入的程度需要合理控制。只有基于法益平衡的理念才能为科学的刑事立法提供正确的引导。刑事立法对个人信息风险的防控如何能恰如其分地促进信息流通同时又能保护信息权利?这是刑事立法所要解决的难点问题。平衡点的寻找需要根据不同领域、不同主体权利进行统筹考量。这就需要借助法益分析、利益衡量等方法具体实现刑事立法在两者上的平衡。这种平衡理念应当体现在:一方面,法益侵害程度是刑法规制的起点。也即,为了给信息流动提供良好的法治环境,应当在侵犯个人信息行为达到一定危害程度,才能被纳入刑法规制。例如,2019 年3·15 曝光的网络平台“小红书”“泄露”个人信息案件,属于未充分履行采取技术手段或必要措施义务,未完全尽到防止消费者个人信息泄露的责任。为此,嘉定区市场监管局对“小红书”作出行政处罚,责令当事人改正上述违法行为,并罚款人民币5 万元整。在这个案件中,当事人尽管对个人信息保护未尽到相关义务,但尚未达到刑法要求的法益危害程度,因此,当事人仅受到行政处罚而不是刑事处罚。另一方面,个人信息的刑法保护需要更加全面。在信息时代,个人面对的将不只是单个网络服务提供者的违约或违规行为,而是必须接受个人信息被收集和利用的社会规则。个人信息的提取与利用正向自动化、瞬间处理的方向发展。随着人工智能应用的普及,个人信息的挖掘将由人工智能设备自动完成。人工智能完全可能会被运用到侵犯个人信息犯罪当中,造成的危害结果无法预计。因此,科学技术的发展会使犯罪呈现出新手段、新类型、重结果的特征。刑法需要构建严密的法网,充分考虑科学技术的发展,为个人信息提供全面的刑法保障。
(三)个人信息安全刑事一体化保护理念
刑事一体化要求刑法与其他部门法之间突破一定程度的理论壁垒,才能实现法律保护的效应最大化。个人信息安全风险不仅需要刑法的积极介入,更需要刑法与其他法律协调衔接。首先,个人信息法益保护仅靠刑法远远不够,需要各个部门法通力合作。随着网络技术不断更新迭代,侵犯个人信息造成的社会危害性越来越严重,仅通过刑法这部后置性法律无法全面实现维护数据市场秩序、保护个人信息权利的双重功能。因此,我国立法机关先后颁布生效了《数据安全法》《个人信息保护法》,《民法典》中也有个人信息的相关规定。可见,除刑法外,前置法有关个人信息的立法也日趋完善。尽管多部法律的出台会使个人信息的法律保护更加完备,但法律的生命力在于实施,多头立法也会造成司法、执法中法律适用模糊、相矛盾等问题。因此,个人信息保护不仅需要全面立法,还需要协调明确各个法律法规之间的关系,使各个部门法在司法和执法中各司其职,相辅相成。其次,与个人信息相关的犯罪类型多以法定犯的形式存在,例如侵犯公民个人信息罪的构成要件之一就是“违反国家有关规定”,这使个人信息法益的刑法保护与前置法之间的关系更加紧密。法定犯往往以违反相关非刑事法律中的个人信息保护义务为前提,因此刑法对个人信息的保护一定程度上依赖前置法的相关规定。但是刑事治理的超前与其他部门法衔接不顺畅的问题客观存在。其中,刑法与行政法之间的衔接更加需要重视,原因在于刑法和行政法同属公法,调整范围上具有一定的重合性。正是基于此相似性,两者在权力划分、责任衔接、违法判断等方面都存在争议。一方面,刑法需要依赖行政法中的规定才能准确认定行为的违法性;另一方面,刑法与行政法之间也需要界分标准,才能发挥独立的价值。两者这种既相互依赖又需要独立的关系,容易导致刑法与行政法之间的界限不清。因此,如何既能发挥行政法对刑法体系的积极作用,同时规避刑法对行政违法行为的不当介入,是值得研究的重要问题。从这个角度研究个人信息法益的保护可以准确找到当前信息法益刑法保护的不足及完善途径。
二
个人信息安全风险识别与分类分级
根据风险管理的一般理论,风险应对可以从风险识别、风险分担、风险的防控等方面展开。那么刑法也需要从风险管理角度构建应对个人信息安全风险的体系模式。风险识别是对已经发生或潜在的风险加以判断、归类整理,并对风险的性质进行鉴别的过程。个人信息安全的风险识别即是甄别个人信息安全风险类型及属性。
(一)个人信息分类分级:风险识别的前提基础
个人信息保护的分类分级制度是风险识别的重要基础。原因在于:第一,个人信息安全风险类型与流通阶段密不可分。大数据时代,海量数据市场的优势将会延伸到每个具体行业,大大减少非理性决策,重塑所有类型的市场。但是,个人信息流动的生命周期包括采集、加工、保存、使用等阶段,负面影响因处理阶段不同而不同,以多种方式影响个人权利和自由。个人信息面临不同程度的安全风险。在采集阶段,个人信息可能被网络服务者或其他信息采集者违法采集,信息主体的人格权可能被侵害;在保存或使用阶段,网络服务者或其他信息采集者本身可能泄露或滥用个人信息,同时还可能遭到其他第三方个人信息处理者的非法获取、违法使用等。在跨境流动时,个人信息还涉及国家数据主权问题,与国家安全休戚相关。第二,个人信息安全风险程度与个人信息类型息息相关。根据不同标准,个人信息可以分为很多种类。目前我国法律法规主要根据信息遭到侵害后所产生的影响和危害,按照敏感程度,将个人信息分为敏感个人信息和一般个人信息。例如在《信息安全技术 个人信息安全规范》(GB/T 35273—2020)中,明确规定个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。在我国《个人信息保护法》中,也明确规定敏感个人信息是指“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。敏感个人信息被侵害后产生的危害程度比一般个人信息更高,法律法规对敏感个人信息安全的风险防范程度更高而对一般个人信息适当放宽,这样能够实现个人信息的多元价值与个人信息利用的多维需求,实现个人信息保护体系的周延性和自足性,明确不同信息之间的根本差异,保证个人信息在市场中的开放性和流动性。
我国个人信息的分类分级保护制度仍停留在较为抽象的阶段。《个人信息保护法》仅对敏感个人信息的处理规则严格限制,但并未就分级保护作出规定。我国《数据安全法》明确规定对数据实行分级分类保护,但尚未言明具体如何分类分级。目前,个人信息可以分为一般个人信息和敏感个人信息两类,敏感个人信息比一般个人信息的保护级别更高,但是在两者内部如何进行分级保护是亟待解决的问题。个人信息的分类分级制度只有确定具体、可衡量的标准才能落地,而标准应当回归于个人信息的概念和法益属性。
(二)个人信息法益属性:风险识别的判断标准
个人信息具有人格法益属性且可识别性是重要衡量要素。在信息网络社会,几乎每个人都会留下信息的痕迹。这些信息组成了有关一个人纷繁复杂的信息碎片,关涉个人生活的方方面面,彰显了一个人的生活习惯、消费习惯、性格特征等等,随着大数据技术的发展,综合这些碎片化的信息完全能够成为现实生活中个体的信息化形象。而这个形象与现实生活中的个人息息相关,一一对应。《民法典》中将个人信息保护放入人格权编,可见,个人信息的人格属性已被法律确认。《刑法》第四章侵犯公民人身权利、民主权利罪是保护具体人格权法益的一章,也就是说这一章里规定的罪名侵犯的主要法益是具体的人格权及其他民主权利。目前用来保护个人信息的专门性罪名——侵犯公民个人信息罪就被放在此章。可见,个人信息具有刑法上的人格权法益属性。此外,《个人信息保护法》明确规定个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。2017 年两高联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。不管是民法领域还是刑法领域,判定某种信息是否属于个人信息的最重要标准是可以直接或者间接识别个人。个人信息的可识别特征表征了一个人独一无二的人格,应当受到人格权的保护。个人信息的可识别性程度越高,对应的人格属性越强,被非法获取或利用时造成的危害程度越高。因此,可识别性是个人信息人格属性遭受侵害时,人身安全危害程度的重要衡量标准。
个人信息具有财产属性、知识产权属性且规模性是重要的衡量要素。信息资源的经济价值不用赘述,信息处理者收集大量个人信息后形成的数据库已经成为他们盈利的核心资源。个人信息具有可计量经济价值,应当属于法律上的财产。但目前在立法中尚未明确个人信息的财产权属性,因此很难适用财产类犯罪。而当前信息处理者之间关于数据权益的纠纷是通过反不正当竞争法或其他知识产权类法律加以处理。例如,在某平台与南京某网络科技有限公司等不正当竞争案中,被告南京某网络科技有限公司未经原告同意,擅自获取原告平台数据建立自身数据库并用于商业开发和合作。被告网站抓取原告网站数据后建立的自身网站甚至可以直接替代原告网站的部分功能,导致原告网站用户流失,损害了原告利益,并且并不能证明有利于市场效率和社会利益;被告将原告平台公布的商家数据直接用于其网站,也超过了合理限度,被告行为违反了公认的商业道德,构成不正当竞争。基于刑法天然的谦抑性,在通过反不正当竞争法、侵权法等前置法足以规制违法行为、救济受害人的情况,刑法不应过度干预。只有侵犯信息的违法行为的社会危害性达到需要刑法予以规制的程度,才可以启动刑法。在知识产权方面,基于信息的商业价值,信息处理者根据自身业务范围将某种不为公众所知悉的信息数据采取保密措施作为商业秘密加以保护。例如,客户账户、个人资料等有利于精准营销的信息。此时,这类信息数据上承载的是信息处理者的商业秘密权,如果非法获取、披露或使用商业秘密的,就可能构成侵犯商业秘密罪。在财产属性方面,尽管前置法对个人信息的财产权尚未明确,但个人信息数据库仍有可能被认定为虚拟财产,从而适用盗窃罪、诈骗罪等财产类犯罪。不管个人信息数据库作为财产还是知识产权保护的客体或对象,司法实践中个人信息的数量都是衡量危害性的重要标准。因为数据数量越大,对应的经济价值越高,被非法获取或利用时造成的损失也越严重。因此,规模性要素是财产安全、经济安全危害程度的重要衡量标准。
个人信息具有国家安全法益属性且流动性是重要的衡量要素。全球数字化经济背景下,数据跨境流动是带动业务流、贸易流、资本流、技术流全球自由配置的重要牵引。大规模和复杂的个人信息跨境流动成为全球常态。但数据流动中也蕴含了巨大的数据安全风险。2018 年10 月,我国科学技术部在其官方网站公布了八份时间跨度从2015—2020 年的行政处罚决定,这些罚单均涉及“人类遗传资源采集、收集、买卖、出口、出境审批”等未经授权将部分人类遗传资源信息通过互联网传输到境外的行为。一方面,个人信息的跨境流动可能存在泄露、滥用等安全风险危害国家安全。例如,Vault 7 事件,维基解密曾公布了美国中央情报局关于黑客入侵技术的最高机密。根据泄密文档,该组织不仅能够入侵iPhone 手机、Android 手机和智能电视,而且还可以入侵攻击Windows、Mac 和Linux操作系统,甚至可以控制智能汽车发起暗杀活动。因此,个人信息可能被恐怖组织或其他组织非法获取或滥用,为实现恐怖目的或政治目的,实施危害国家安全的行为。另一方面,个人信息的跨境流动涉及数据主权问题,与国家主权、国家安全息息相关。随着大数据的发展,国家间围绕数据控制和利用的博弈日益激烈。由于各国对数据安全风险保护理念、制度设计不同,产生了数据主权边界的问题,例如,美国CLOUD 法案规定了“长臂管辖”原则,为美国执法机构访问在美国境内运营的企业存储在海外的用户数据提供明确授权。而对于外国政府机构调取存储于美国的数据,CLOUD 法案规定只有“符合资格的外国政府”才有权调取。我国《数据安全法》第36 条规定,外国司法或者执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。不难看出国家之间有关数据主权的博弈。因此,在个人信息跨境流动场景下个人信息安全与国家安全息息相关,可能涉及危害国家安全罪、故意泄露国家秘密罪、过失泄露国,家秘密罪、间谍罪等与国家安全有关的犯罪类型,流动性要素是国家安全受到危害风险的重要衡量标准。
(三)个人信息分类分级的具体方式
根据个人信息涉及的法益类型,可识别性、规模性和流动性是判定个人信息安全风险程度高低的基本要素。因此,个人信息的分级保护也应当以这三个要素为基准。《信息安全技术 网络安全等级保护定级指南(GB/T22240—2020)》根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏,丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,将保护对象的安全保护等级分为五级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。综合网络安全等级保护的定级标准和方法以及个人信息安全风险的基本要素,可以将个人信息按照以下方式分级保护。
第一级,个人信息受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;第二级,个人信息受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;第三级,个人信息受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;第四级,个人信息受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;第五级,个人信息受到破坏后,会对国家安全造成特别严重危害。其中,一般损害、严重损害和特别严重损害的判断标准应当综合考虑个人信息的可识别性、规模性和流动性要素。当个人信息的可识别性较强,但规模性较小和流动性较弱时,可判定为第一级;当个人信息的可识别性很强或规模性较大,但流动性较弱时,可判定为第二级;当个人信息的规模性很大或流动性较强时,可判定为第三级;当个人信息的规模性特别大或流动性很强时,可判定为第四级;当个人信息可识别性很强、规模性特别大且流动性特别强时,可判定为第五级。
三
个人信息安全风险分担与责任分配
在侵犯个人信息犯罪链条中,多元主体参与其中,风险责任的公平合理分配至关重要。风险分担的目的在于参与风险项目的各个主体都需要根据自己的角色承担一定的风险,尽到合理注意义务,实现整个项目和各个主体的互利共赢。在个人信息安全领域,互联网把参与个人信息处理的各个主体连接起来,为了防止个人信息的滥用,各个主体都应当承担相应的注意义务和责任,这样才能将风险发生率降到最低。
(一)个人信息相关主体的类型
个人信息安全风险应当根据个人信息流转的场景和主体进行转嫁和分配。法律应当公平合理分配多元相关主体的义务和法律责任,督促各个相关主体都尽到注意义务,降低个人信息安全风险的发生率。与个人信息安全相关的主体主要有两类:一是信息主体本身,其个人信息可能被信息处理者获取和使用。尽管信息主体是个人信息的权利主体,但是由于个人信息处理的告知同意规则,信息主体仍应审慎处理自身信息。原因在于《个人信息保护法》虽未直接将告知同意规定为个人信息保护的原则,但“立法说明”仍然认为,告知同意是个人信息处理规则的核心,即个人信息处理者需要取得信息主体的授权才可以处理个人信息。但如果信息主体缺少信息保护的意识、忽视个人信息的处理规则,随意授权个人信息处理者,那么个人信息被滥用的风险会大大增加。因此,个人信息主体在同意之前应当充分了解个人信息处理者的资质信息、隐私政策、安全保障等制度,这不仅是对自身个人信息的保护,也可以有效从源头上控制个人信息滥用的风险。二是个人信息处理者。个人信息的应用场景越来越复杂,个人信息处理者的类型也越来越多样。大数据时代,个人信息处理离不开网络,线上线下融合的经济模式使得网络服务提供者是个人信息处理者的最重要组成部分。但是网络服务提供者的含义在法律法规中缺乏统一权威的规定,其义务类型设置也存在概括化、模糊化和不适当等方面的不足。对网络服务提供者的划分主要是为了合理设定不同的义务责任。服务类型、服务对象和服务方式是影响网络服务提供者义务责任的重要因素,因此网络服务提供者的类型划分应当综合考虑这三个要素。就目前网络服务提供者的服务类型和法律法规中对网络服务提供者已有的划分,可以将网络服务提供者分为中间服务提供者、互联网信息服务提供者和第三方交易平台服务提供者。中间服务提供者是指网络接入、服务器托管、网络存储、虚拟空间租用、通信传输等纯粹的网络技术的服务提供者。互联网信息服务提供者通常是指网络内容服务商,其基于自身的主动性提供各种各样的可以被公众获取的信息。第三方交易平台服务提供者是具有中立性质的,为网络商品交易、金融交易等经济市场双方提供信息交换场所的服务提供者。这类平台主要为网络用户提供中介服务,具有相当的中立性,但是也具有较高的网络活动参与度。
(二)个人信息处理者的义务及刑事责任
根据我国相关法律法规,网络服务提供者承担的义务类型有技术支持与协助、数据留存、个人信息保护、管理发现违法信息、主动审查含有恐怖主义和极端主义内容信息、身份验证等。但是,立法并没有根据不同类型的网络服务提供者规定有梯度的义务范围,所有类型的服务者承担的义务基本相同。这会导致网络服务提供者的类型与义务设置不匹配,可能存在过度或不足的情况。也即,有的义务设置可能超出其本身的合理业务承担。例如,要求互联网接入、信息存储和缓存等服务提供者承担管理审查违法信息的义务,这不仅超出了其业务范围,也必然阻碍我国社会信息化的发展。有的义务设置不够完善,例如,第三方交易平台服务提供者的权利和义务十分不对等。第三方平台因其服务内容而拥有巨量用户信息,本应承担一定的管理义务,但是其仅负有留存用户信息和交易信息的义务。
就个人信息犯罪而言,首先,互联网信息服务提供者因其是信息内容的发布者,对发布内容直接可控,受众广泛,因此其对提供的所有内容都应当具有合法性的审查义务和监管义务,同时自身也应当承担最广泛的义务,可以说这类主体的义务程度和范围应当是三类中最高的。因此,互联网信息提供者对用户的个人信息应当具有审慎的管理义务。如果其利用自身的业务活动和网络技术对个人信息进行非法获取、对外发布、出售等犯罪行为,造成严重后果的,应当承担有关个人信息犯罪的单独犯责任。其次,中间服务提供者主要为搭建网络社会提供技术、程序、工具等辅助行为。就其在业务范围内的行为而言,要求这类主体对违法信息内容履行较高的监管义务是十分不合理的,同时还有可能阻碍社会的发展,可以说这类主体是三类网络服务提供者中义务承担最少的。正如有学者指出,网络服务提供者提供合法的和有社会妥当性的通讯连接或者提供存储空间的行为具有很高的社会效用,是人们高度期望的,有时甚至是被国家所促进的,因此他们的这类行为应当被认定为消极的不作为,原则上至多由于未提供适当控制措施的不作为受到谴责。因此,中间服务提供者的刑事责任一般可能是帮助犯或者构成帮助信息网络犯罪活动罪。如果要认定该类主体作为信息犯罪的单独犯,则需要更高的要求。例如,在行政法中明确规定中间服务提供者应当承担个人信息保护义务、数据留存义务等管理义务。如果中间服务提供者不履行前置义务,经监管部门责令采取改正措施而拒不改正,造成个人信息大量泄露的,有可能承担单独的刑事责任。在司法上,应当审查前置的义务范围,考量中立行为的违法阻却事由。仅在有较高证明力证据证明该类主体的违法犯罪行为与严重危害结果之间具有紧密因果关系的情况下,才能将该类主体入罪。最后,第三方交易平台服务提供者作为部分介入网络内容生成的主体,管理信息秩序的能力也很强。因此法律法规对其义务和责任的程度设定应当轻于互联网信息服务提供者而重于其他网络中间服务商。这类主体不应当是置身事外的中立平台而应当设置更细致更具体的义务类型,但是不应当超过其技术和业务能力。网络平台服务提供者由于类型众多,经营模式不一,服务提供行为也各有特色,所以责任类型较多也较为多元。
(三)个人信息主体分担风险的方式
个人信息处理者不履行个人信息保护义务应当承担相应的刑事责任,可见其承担了防控个人信息安全风险的义务和责任。那么信息主体作为个人信息处理过程的参与者,如何分担个人信息安全风险?尽管信息主体审慎处理自身信息并不是义务,但会减轻个人信息处理者的责任。因为在告知同意规则下,个人信息处理者告知并获得信息主体同意后处理个人信息具有合法性,这可以作为个人信息处理者刑事责任的违法阻却事由。《个人信息保护法》中明确了既要保护个人信息权益又要保障个人信息依法有序自由流动的原则,并在第13 条规定了个人信息处理者合法处理个人信息的情形,其中包括“取得个人的同意”。欧盟《一般数据保护法案》(GDPR)第六条也明确规定,“数据主体同意他或她的个人信息为一个或多个特定目的而处理”视为处理合法。被害人同意可以排除对行为人行为的不法评价以及作为一种排除犯罪性的出罪事由,学说上基本没有任何反对意见,得到了刑法理论的普遍认可。信息主体的同意可以使个人信息处理者的责任得以减免,可见个人信息主体也间接承担了个人信息安全风险。因此信息主体应当谨慎处分个人信息,否则个人信息安全的风险将可能由自己承担。被害人同意作为一种出罪事由在司法认定中需要谨慎对待,才能实现行为人与被害人之间的公平公正。一方面,刑法基于对个人自由和自我决定权的尊重认可这一出罪事由;另一方面,为了防止这种出罪事由被滥用,刑法也应当对被害人同意的有效要件和范围进行审查和限定。例如,当被害人同意是基于认识错误或被胁迫做出时,这种有瑕疵的同意是否可以作为出罪事由,需要进一步的严格审查和认定。侵犯个人信息犯罪被害人同意的成立需要确定同意的对象和被害人的主观方面。也即,被害人同意的对象是行为还是结果亦或行为和结果。例如,被害人为了盈利在某网络平台上理财,该网络平台未经被害人同意在后台自动收集和使用被害人的个人信息为其推荐理财产品同时将信息提供给其他机构营销使用,被害人在该平台上确实获得盈利。此时,被害人仅同意了“结果”而未同意“行为”,是否可以作为行为人出罪事由?当被害人的同意存在“瑕疵”时,行为人是否还可以出罪?这将在下文具体展开。
四
个人信息安全风险防控与刑行衔接
目前,个人信息相关的罪名多以法定犯的方式存在。前置法中个人信息的保护义务是判断犯罪构成要件的重要要素。根据刑事一体化的理念,个人信息安全风险需要系统化的法律体系进行防控。因此,保护个人信息安全不仅需要前置法律法规持续完备、刑事法律积极介入,更需要两者协调衔接。
(一)个人信息刑法保护的前置法问题
我国前置法与刑法之间存在断层现象,导致个人信息相关犯罪构成要件判断困难。第一,前置法律法规中个人信息保护义务设置比较抽象。目前,个人信息保护主要以《个人信息保护法》为核心、行业性立法为补充。不管是《个人信息保护法》还是行业性立法,个人信息保护义务都不够细化。例如,《网络安全法》第41 条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。尽管此条确立了“告知同意”的收集、使用规则,但是并没有进一步明确具体标准,这导致司法实践中很难确认网络运营者是否违反该义务。由于国家层面的法律比较原则,需要由国务院各部门规章、地方性法规对个人信息相关的范围、程序等进行具体确定。效力层级较低的部门规章是否属于侵犯公民个人信息罪中的“违法国家有关规定”尚存争议,因此尽管各个领域的部门规章规定比较详尽,但是否可以被侵犯公民个人信息罪援引值得商榷。第二,行政法中有关个人信息的规定与刑事法不一致。例如,《个人信息保护法》中规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。而在两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定,“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。可见,司法解释中,个人信息除包括识别性信息外,还包括反映特定自然人活动情况的信息,范围明显大于《个人信息保护法》中个人信息的范围。同样,《刑法修正案(九)》中的“侵犯公民个人信息罪”中的“个人信息”,“并不仅限定在网络空间中以电子方式记录的网络个人信息,也包括在现实空间中以其他方式记录的信息”。相关规定的不一致,以何为准?再如,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中没有明确给出敏感个人信息的定义,仅列举了具体类型。但是在《个人信息保护法》中敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14 周岁未成年人的个人信息。可见,两者对敏感个人信息的范围定义不同。以人脸识别信息为例,人脸信息具有直接识别性、不可更改性、易采集性、不可匿名性等特征。可见,人脸识别信息属于《个人信息保护法》中的敏感个人信息,但不属于《个人信息司法解释》中的敏感信息的列举类型,反而与重要信息中“健康生理信息”更相近。这就涉及前置法与刑法中个人信息类型不一致的问题。可见,个人信息安全保护的前置法与刑法之间衔接不畅,需要从前置法和刑法两方面共同完善健全个人信息保护的法律体系,全面防控个人信息安全风险。
(二)个人信息处理者保护义务的细化
由于个人信息犯罪多采用法定犯的形式,因此前置法中的义务设置对刑事责任的认定十分重要。个人信息保护义务设置需要类型化和具体化。是否合法履行个人信息保护义务是判断是否构成相关犯罪的前提。根据个人信息的流转周期,主要义务可以分为收集阶段的义务、存储阶段的义务和使用阶段的义务。就收集阶段来说,个人信息处理者获取公开个人信息应遵守的义务有待进一步明确。根据《个人信息保护法》第13 条规定,个人信息处理者可以依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。第27 条规定,个人信息处理者处理已公开的个人信息,对个人权益有重大影响的,应当依照本法规定取得个人同意。即,除对个人权益有重大影响需要取得个人同意外,个人信息处理者“合理”处理公开信息不需取得他人同意。可见,“合理范围”“对个人权益有重大影响”是判断个人信息处理者获取公开个人信息义务的重要要素。但是《个人信息保护法》中并未明确“合理范围”“重大影响”的具体判断标准。个人信息公开有其目的和用途,那么任何个人信息处理者不能超出信息本身公开的目的、用途处理已公开的个人信息,因此,“合理范围”可以以目的原则为限制,只有在公开目的范围内处理个人信息才是“合理范围”。而“重大影响”的认定可以从个人信息的人格属性、财产属性角度进行明确,即当个人信息处理者处理个人信息可能造成个人生命、身体、名誉等人格权遭受严重侵害,或造成个人财产严重损失的,可以认定为“对个人权益有重大影响”。
同时,还需要注意是否侵害了其他个人信息处理者的合法利益,比如是否构成不正当竞争、是否违反Robots 协议等。综上,个人信息处理者在获取公开个人信息时,不得超出信息公开目的处理信息,不得侵犯其他处理者的合法利益,在处理对个人权益有重大影响的个人信息时还需要取得个人同意。
就存储阶段来说,个人信息处理者的泄露报告义务需要进一步细化。个人信息处理者作为直接相关者与责任者有信息泄露报告义务,但是我国法律法规对数据泄露通知的规定过于简单并存在冲突。例如,《个人信息保护法》要求“个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人”。《网络安全法》要求“网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”。可见,法律法规对报告的部门和对象并不明确。同时,法律法规也未设置任何时间限制。由于没有时间的限制,个人信息处理者为了逃避法律责任,完全有可能不通知或在事件发生很久之后再通知相关部门,无法防止损害后果的进一步扩大。因此,应当明确规定信息泄露报告义务履行的条件和方式。当信息泄露范围较小、涉及人数不多或可能对小范围人群造成重大危急影响时,个人信息处理者只需要通过电邮、短信等方式一一通知。而当信息泄露范围较大、涉及人数众多或可能造成大范围重大危急影响的情况下,应当报告主管部门和公众。当信息泄露可能对其他网络服务者业务产生重大影响的,还应当及时通知对方。同时,根据信息泄露的范围、涉及人数和影响,通过实际统计和调研,法律法规应当设置科学并有梯度的标准,以明确通知对象的类型。例如,美国的《卫生信息技术促进经济和临床健康法案》(Health Information Technology for Economic and Clinical Health Act)规定,如果涉及人数少于500 人,则只需提供书面通知。对于更大规模的信息泄露,需要通过知名媒体发布通知。同时,尽管泄露行为涉及不到500 人,也必须通知卫生部部长。法律法规还应当明确规定通知期限,通知义务具有时效性,只有及时履行该义务才能达到及时止损的效果。例如美国华盛顿州的《数据泄露通知法》规定,企业在发现泄露后的30 天内通知受影响的居民和州检察长。
就使用阶段而言,个人信息处理者在向第三方提供个人信息的情况下的告知义务需要进一步明确。《个人信息保护法》第25 条规定需要取得单独同意,即个人信息处理者在向第三方提供个人信息需要履行单独告知义务。但是《个人信息保护法》中并未明确何为“单独同意”,是否包括默示同意?如果要求个人信息处理者一一告知并获得明示同意是否可行?“第三方”是否包含母子公司、总分公司等关联企业?此外,第三方基于个人同意获取个人信息后,是否还需要获得个人信息处理者的同意?这都关系到个人信息处理者如何履行对外提供告知义务。基于共同促进个人信息保护和流通的原则,从可行性出发,《个人信息保护法》中的“单独同意”缺乏实操性。个人信息处理者可以采用“反向同意”的方式取得信息主体的同意,即个人信息处理者应当详细告知信息主体第三方的身份、使用目的和规则,约定在特定时间内信息主体如不提出异议视为同意。需要注意的是,如果第三方变更原先的处理目的、处理方式的,应当重新向个人告知并取得其同意。同时,如果第三方是个人信息处理者的关联企业,需要判断两者是否是一个法人主体。如果同属于一个法人主体,则不需要另行获得个人的同意。除此之外,个人信息处理者仍需履行相应的告知义务。
(三)侵犯个人信息行为的刑事责任限度
利用刑罚手段打击个人信息犯罪是最严厉的法律手段,过度使用刑罚手段不利于个人信息的市场流通,而消极使用刑罚手段则无法保障个人信息安全。因此需谨慎使用刑罚应对个人信息安全风险,设定个人信息犯罪的入罪门槛。入罪和出罪在刑事司法活动中应该是两个相互对立又有机组合的裁判活动。入罪方面,明确行政违法与刑事违法的界限是判断侵犯个人信息的违法行为是否构成犯罪的重要前提。根据违法相对论,行政违法与刑事违法之间是相对独立的关系。以犯罪构成三阶层论为基础,第一,法定犯在构成要件符合性上具有从属性。在判断构成要件符合性时都无法脱离前置行政法规的规定,这也是法定犯区别于自然犯的重要标志。因此,在这一阶段需要依赖行政法,发挥行政法的“门槛”作用,积极识别行政义务,即只有违反行政法义务的才能符合构成要件,在行政法上合法的行为不符合构成要件。在侵犯公民个人信息罪中,判断“违反国家有关规定”构成要件时,需要查找《个人信息保护法》《网络安全法》《数据安全法》等相关前置法律法规,以判断行为人的行为是否违反了相关义务。第二,法定犯在违法性判断上具有独立性。“违法性判断”是与构成要件符合性、有责性共同判断犯罪是否成立的一个阶层。因此,刑事违法性判断应当包含构成要件符合性和违法性判断。只有同时符合两个阶层,才能具有刑事违法性。违法性判断主要审查案件中是否存在排除违法的事由。在我国刑法体系下,违法阻却事由可以分为法益性阙如原理的违法阻却事由和基于优越的利益原理的违法阻却事由,前者如被害人承诺,后者如正当防卫、紧急避险。违法性判断是控制入罪范围的重要步骤,也是实质判断刑事违法的重要标准。因此,法定犯的违法性判断应当根据案件事实、刑法规定、法益保护原则等进行判断,是有别于行政法的独立判断。因此,刑法中的刑事违法性判断确实具有相对性,在构成要件符合性上具有从属性而在违法性判断上具有独立性。在判断侵犯个人信息行为是否构成犯罪时,不仅需要通过前置法识别义务类型来判断是否具有构成要件符合性,还需要基于刑法条文对违法性进行独立判断。例如,个人信息处理者为了保护个人的人身和财产安全,未经个人同意对外提供个人信息的,未造成个人信息相关权益受损,则不应当入罪。
同时,应当搭建个人信息犯罪的出罪路径。首先,个人信息处理者的中立帮助行为应当出罪。由于拒不履行信息网络安全管理义务罪与帮助信息网络活动罪的增设,中立帮助行为入罪的可能性增加。但是如果将中立的技术行为、义务行为等一律入罪,那么只会阻碍网络经济和数据经济的发展。因此应当通过主观和客观两方面判断个人信息处理者的中立帮助行为是否入罪。客观方面,从前置法律法规上的义务和社会中一般人认识到的事项为标准进行事后判断综合评价行为是否制造了法所不允许的危险。同时还需要判断行为引起的结果是否是需要刑法评价的结果,是否在义务范围之内。主观方面,要求行为人符合“明知”标准才具有有责性。“明知”的判断标准应当根据行为人需要承担的义务范围来认定。例如,当网络中立帮助行为属于正常的业务行为且其所帮助的犯罪行为不在其审查义务范围之内的,中立帮助行为“明知”就需要达到“确知”的标准。当网络中立帮助行为属于其应当承担的审查、监督和管理义务之内的,“明知”可以适用“确知”和“应知”两种标准。司法机关应当根据个人信息处理者的业务范围和规模、内部管理机制和审查机制等方面综合评价行为人是否对犯罪行为“应知”。
其次,基于信息主体同意的行为应当出罪。为了防止这种出罪事由被滥用,刑法也应当对被害人同意的有效要件进行审查。“同意”不应当存在意思缺陷(欺诈、错误以及强制)等因素。“同意”应当视为心理状态和外部行为的统一。“同意”的判断应具有双重标准。在客观归属的判断方面,需要考虑行为人同意时的行为能力、同意的认识。只有被害人具有意思表示和判断的行为能力,同时对自己即将放弃的法益具有认识时才能将行为和结果归属于被害人。在主观归属方面,需要考察同意时的意志自由,可以从同意动机、同意能力、理性选择的可能性等因素加以判断。只有同时满足客观和主观两方面,才能认定“同意”的有效性。
最后,个人信息处理者违法性错误应当出罪。个人信息相关的犯罪多是以法定犯的形式存在,法定犯的违法性认识的认定具有复杂性。但是基于法定犯的特殊性质,仍能找出比较抽象的底线性原则,可以从违法性认识错误可避免性审查着手。可避免性的审查应当从主观和客观两方面进行判断。第一,专门领域里专业人员避免违法性认识错误的可能性更高。法定犯都是以违反相关义务为前提的犯罪,当行为人处于专门的行业领域之内,应当具有他人所不具有的专业性知识,应当更加明确地认知自身的义务,因此证明这类行为人具有违法性认识错误的要求更高。第二,当行为人的行为已经具有明显的危害性和违法性,即使行为人声称自己不知道刑法的具体规定,也不能认定行为人不具有违法性认识。第三,当行为人对行为是否违法存疑时,应当在自身能力可达到的范围内通过权威途径对行为的性质进行“验证”。如果行为人未采取任何措施,不能认定行为人具有违法性认识错误;如果行为人经过“验证”后,仍认为行为不是犯罪行为的,可以认定其具有违法性认识错误。
结
语
大数据作为战略资源地位日益凸显,个人信息的价值更在于流通与共享。但是数据的无序流通会使得隐私、安全与共享利用之间的矛盾问题尤为突出,数据资产地位尚未确立、数据治理体系远未达成,导致隐私保护和数据安全方面的重大风险。个人信息安全风险随着数据应用场景的多元会更加复杂,更需要刑事立法和司法作理念作出适度转变。预防性刑法应当发挥风险调控的功能积极应对个人信息违法犯罪风险,但也需要设定限度以保持谦抑本色。这更需要协调个人信息违法行为的行政责任与刑事责任。未来前置立法应当细化个人信息处理者的义务以及明确个人信息分类分级保护制度,保证前置法与刑法之间衔接顺畅,同时又要划清两者界限,才能实现既保障个人信息相关权利又促进个人信息合法流通的价值目标。
相关阅读
商品书目
微信号 : DigitalLaw_ECUPL
探寻数字法治逻辑
展望数字正义图景
战略合作伙伴:上海中联律师事务所