大数据背景下公民个人信息刑法保护的问题
青法在线
更多精彩文章、实用类信息,欢迎同时关注公众号:青法在线
作者简介:王厦来,95后,法律硕士,检察“新兵”,生在厦门,长在上饶,学在北京。
目 录
一、技术背景:大数据背景下公民个人信息的概念厘清与刑法保护必要性
(一)大数据背景下的公民个人信息
(二)大数据背景下公民个人信息刑法保护的必要性
二、问题透视:我国刑法对公民个人信息的保护与面临的困境
(一)我国刑法对公民个人信息的保护
(二)我国公民个人信息刑法保护面临的困境
三、比较分析:域外公民个人信息刑法保护的考察与评析
(一)域外关于公民个人信息的刑法保护
(二)域外公民个人信息刑法保护的评析
四、范式变革:大数据背景下公民个人信息刑法保护的完善
(一)以个人信息权为基础调整保护模式
(二)“侵犯公民个人信息罪”的完善
(三)探索构建完备的罪名体系
【摘要】 大数据背景下,快捷高效的互联网服务极大地便利了人们的生产生活。然而不容忽视的是,人们在互联网上留下大量的个人信息,特别是此次新冠肺炎疫情期间,进一步放大了公民个人信息安全问题,伴随而生的一系列侵犯公民个人信息及其衍生的犯罪问题频现。对公民个人信息的保护,应当构建起明确具体的法律规范体系,其中就包括刑法规范。本文将侵犯公民个人信息犯罪的相关问题置于大数据背景下,首先,明确公民个人信息在大数据背景下及刑法语境中的应有之义和保护范围,并从现实和理论角度,阐述了我国在大数据背景下对公民个人信息刑法保护的必要性。其次,从侵犯公民个人信息犯罪的立法沿革出发,通过对大数据时代公民个人信息的权利属性、刑法第253条之一“侵犯公民个人信息罪”的规定、大数据背景下侵犯公民个人信息罪名体系的探讨,结合立法与司法实践中所面临的争议与困境,剖析我国当前对于侵犯公民个人信息犯罪刑法规制存在的不完善之处。再次,通过比较法研究,总结归纳美国、英国、德国、日本以及欧盟等国家和国际组织在个人信息刑法保护方面的实践经验及可借鉴之处。最后,针对我国现行立法与司法过程中存在的困境提出相应的对策,具体包括:以公民个人信息权为法益基础调整保护模式;通过健全前置性配套法律规范、拓宽入罪的行为方式、完善追诉形式来完善刑法第253条之一“侵犯公民个人信息罪”;在此基础上增设相关罪名形成“罪名群”,以期构建起有关公民个人信息刑法保护相对完善和全面的罪名体系。
【关键词】 大数据;个人信息;刑法保护;罪名体系
引 言
根据“中国互联网络信息中心”公布的第45次《中国互联网络发展状况统计报告》数据显示,截止到2020年3月,我国网民数量已达9.04亿的规模,2020年初,受新冠肺炎疫情影响,在线教育、在线政务、网络支付、网络视频、网络购物、即时通信、网络音乐、搜索引擎等应用的用户规模较2018年底增长迅速,增幅均在10%以上,可以说网络已经深入到我们日常的方方面面。与此同时,网络上的公民个人信息安全也面临严峻挑战。从P2P网贷行业借贷宝的10G“裸条”泄露到“徐玉玉被电信诈骗案”,从支付宝年度账单事件到“陌陌”被爆3000万条用户数据在暗网被售卖,从近日脱口秀演员“池子”(王越池)在微博中爆出中信银行配合笑果文化在其未知情的情况下打印其个人银行账户交易明细,再到此次新冠肺炎疫情期间大量个人信息遭大肆传播,无不深刻反映了公民个人信息保护的必要性和紧迫性。在此情形下,对公民个人信息进行保护的民法和行政法手段不可付之阙如,然而面对侵害公民个人信息情节严重的行为时上述两种救济途径较之于刑法手段难免显得相形见绌,成为“马奇诺防线”。刑法是“不得已”的恶,同时也是必要的恶,在保护公民权利上刑法不能越位,当然也无法缺位,加强网络信息数据安全以及完善对严重侵犯公民个人信息行为的刑法规制刻不容缓。
一、技术背景:大数据背景下公民个人信息的概念厘清与刑法保护必要性
随着利用信息网络技术推动产业革新,即智能化时代的第四次工业革命的来临,人类对自然和社会的探索与认识不断深入。移动支付、网购、网约车、共享单车、O2O服务和P2P网贷理财等各种以互联网特别是移动互联网为依托而产生的新兴服务和业态,正潜移默化地重塑人们的生活和认知方式,在此基础上产生了大量包含个人信息的网络数据,各种信息数据侵权事件也相伴而生,甚至给公民的人身和财产安全造成不可逆的侵害。大数据背景下,针对公民个人信息的刑法保护,需要厘清大数据以及公民个人信息的概念界定,同时对于现实中公民个人信息危机的现状,也催生了大数据背景下运用刑法手段保护公民个人信息必要性的探讨。
(一)大数据背景下的公民个人信息
互联网的发展促使网络用户数量急速扩张,在线数据呈现指数性暴增,大数据技术将在网络交互过程中获取的庞大数据信息进行深度挖掘和管理分析,5G网络大规模商用的不断推进也加速了数据的整合与传播。总体而言,包括个人信息在内我们所生活的空间正加速数据化,迈入“大数据”时代,我们的社会生活正具体而真实地被互联网、大数据、AI、区块链、生物和基因工程等高精尖科技而形成的“虚拟世界”所嵌入。习近平总书记多次强调大数据的发展与运用,其在十九大报告中提出“推动互联网、大数据、人工智能和实体经济深度融合”,在主持第十九届中共中央政治局第二次集体学习时指出“大数据是信息化发展的新阶段”。
大数据的出现与发展深刻地影响着经济发展、国家管理、社会治理和人民生活。在此次新冠肺炎疫情期间,各级政府与医疗机构借助大数据精准施策,借助航空、铁路、电信以及多家互联网企业提供的数据,令防疫工作在追踪传播路径、收集监控信息、定位疑似病例环节效果十分明显。健康码就是借助大数据分析评价个人健康状况及疫情风险,为公共决策和行动提供支撑。然而在传统农业和工业时代法律的保护对象与信息时代的数据价值之间存在质的差别,互联网和大数据带来的一系列观念、技术以及应用的革新,必将引起公民个人信息的表现形态、保护模式的变革,这也呼吁与之相适应的法律制度的跟进和完善。
大数据的广泛运用使得数据的价值在被不断聚合、分析和利用中愈加凸显,需要法律加以保护的个人信息的种类不断增加。我国在立法和司法解释的表述中,对于“信息”的相关概念有“身份信息”“信用卡信息”“个人信息”等,之后才逐渐产生“公民个人信息”的规范概念。从立法层面来看,2012年全国人大常委会通过《关于加强网络信息保护的决定》(下称“《决定》”),2013年“两高一部”发布《关于依法惩处侵害公民个人信息犯罪活动的通知》(下称“《通知》”),2013年工业和信息化部通过《电信和互联网用户个人信息保护规定》(下称“《规定》”),2016年全国人大常委会通过《网络安全法》,2017年“两高”发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“《解释》”),对“公民个人信息”作了具体的规定。
《决定》和《通知》均将“可识别性”和“隐私性”作为关键要素,对公民个人信息进行保护。《规定》和《网络安全法》对个人信息的界定并不强调隐私性,将与其他信息结合后能够识别特定主体身份的的信息纳入个人信息的范围,即采广义的可识别性。《解释》进一步修正和拓展了“公民个人信息”的概念表述与范围界定,在保留之前“广义的可识别性”的基础之上加入了“活动情况”的要素,并且通过列举增加了三种个人信息的类型,即“账号密码”“行踪轨迹”及“财产状况”。
事实上,在大数据的背景下能够反映特定自然人身份和活动状况的信息形态越来越多样化,司法解释并未也不可能详尽列举有关公民个人信息概念的外延,对公民个人信息的界定不宜过分收缩,如此才更有利于对其进行全面保护。关于公民个人信息,仍有待对其进行类型化研究,为刑法规范提供专门化和专业性的前置法依据。当然,这不是说为了保障信息安全,就无限制地扩大公民个人信息的外延和入罪门槛。刑法的谦抑性原则,要求对个人身份信息的判断应以广义的可识别性为基准,对可能影响公民人身安全和财产安全的个人信息,结合侵犯公民个人信息犯罪的法益保护合理界定个人信息的范围。
(二)大数据背景下公民个人信息刑法保护的必要性
1.大数据下的公民个人信息危机
大数据背景下,随着互联网的渗透和普及,人们的衣食住行、办公和学习等各个方面都开始与网络挂钩,个人信息也变得越来越数据化。于是各种要求实名制注册或者能记录个人信息的App在增多,人们在虚拟的网络上登记注册个人信息的几率不断增加。而网络环境又不是绝对安全的场所,各种垃圾短信和邮件、推销和诈骗电话充斥在我们生活中。社会上各种个人信息泄露事件也是层出不穷,影响恶劣。诚如狄更斯在《双城记》开篇所言:这是一个最好的时代,也是一个最坏的时代。
2016年6月,有关女大学生“裸条”借贷的新闻在社会上引发舆论的关注。与“裸贷”一齐被曝光的还有各种借“信用贷”“分期贷”“校园贷”等“套路贷”之名,进行侵犯公民个人信息、实施诈骗等行为,而个人信息泄露往往会成为电信诈骗等违法犯罪活动的滥觞。2016年8月发生在山东临沂的“徐玉玉被电信诈骗案”中,徐玉玉在被电信诈骗之后因心脏衰竭而导致死亡。如此肆意侵害公民个人信息的恶劣行径如不启动刑事程序对其予以制裁,势必会像本案中所发生的滋生其他侵害公民人身权、财产权的犯罪,危害社会和谐稳定。
中国消费者协会于2018年7月17日至8月13日组织开展的“App个人信息泄露情况”问卷调查结果显示,85.2%的人曾遭遇过个人信息泄露,个人信息泄露的总体情况十分严重。中国消费者协会于2018年11月28日通报的《100款App个人信息收集与隐私政策测评报告》显示,涉嫌过度收集用户“位置信息”“通讯录信息”“身份信息”“手机号码信息”的App分别有59款、28款、23款、22款。2018年6月至8月,顺丰、华住、A站、圆通等公司相继被曝出信息泄露,部分数据被打包在暗网出售。2018年12月,陌陌被爆3000万条用户数据在暗网被售卖。2019年3月15日在央视“3.15晚会”上曝光了一款名为“探针盒子”的电子产品,目前全国已有三万多台这种设备在非法收集包括用户的手机号码、性别和年龄等在内的公民个人信息。“2020年1月26日前后,即在此次新冠病毒肺炎疫情全面爆发后不久,有超过7000名武汉、湖北返乡者的个人信息被大肆泄露,这些信息精确到个人姓名、身份证号码、户籍地址、家庭住址、手机号、车牌号甚至车票航班信息等。”我们在一定程度上已经成为了“透明人”,大数据背景下公民个人信息安全正面临着空前的危机。
2.大数据时代发展的必然选择
科学技术的每一次发展与社会结构的重新组合以及法律规范的转型演进之间存在着微妙的互动关系,大数据时代同样如此。公民个人究竟是享受数据带来的便捷还是被数据红海所淹没,取决于法律规范在保护公民权益、抽象秩序和宏观安全上的范围和力度。侵害原则、法律道德主义、法律家长主义为刑法介入社会生活规制公民的行为提供了理论依据。其中,侵害原则为刑法对犯罪行为进行规制提供了正当性的支撑;“刑法家长主义”则从保护的视角出发,在“家长——子女”关系下刑法肩负保护大数据背景下公民个人信息不受侵犯以及对侵犯者施加刑罚制裁的职能;而道德主义体现在刑法通过特殊预防与一般预防功能的发挥,达到维护道德底线、保护公民个人信息免受侵害、规范和维系大数据社会关系的目的。对公民的个人信息安全加以保护,将严重侵犯公民个人信息的行为纳入刑法规制,是对公民权利的尊重,体现了法治理念的以人为本,在大数据时代具有重要意义。
法律对公民权利的保护是有梯度、体系化的立体保护,即以宪法作为最高保护纲领,从民法、行政法直至刑法作为最后防线的保护,公民个人信息的保护也不例外。“一旦公共权益被犯罪所侵害,这种侵害的程度越深,就越会提升人们犯罪的动力,因而就越需要用更为强劲有力的措施去制止这种犯罪行为。”大数据时代侵犯公民个人信息犯罪手段多、成本低、危害大,整个社会被带入到了一个有别于传统社会的“风险社会”之中。对于严重侵害公民个人信息的行为必须启用刑法手段进行打击,否则将会导致犯罪行为不断发展蔓延,增加社会不稳定因素。从我国信息网络犯罪的代际演变来看,前后分别形成了以网络作为“犯罪对象”“犯罪工具”以及“犯罪空间”这三个发展过程,当前网络犯罪的样态呈现出上述三种形式并存且交叉重叠的复杂状态,给公民个人信息安全和社会治理带来重大挑战。因此,将公民个人信息的保护结合社会网络化、数据化进程纳入法律特别是刑法的秩序规范,是大数据时代发展的必然选择,也是全面保护公民个人信息和构建安全高效的大数据社会的必然要求。
二、问题透视:我国刑法对公民个人信息的保护与面临的困境
现代各国都将个人信息保护置于重要地位,不少国家对个人信息的保护进行了专门立法。迄今为止我国并未出台专门性质的个人信息保护法,对个人信息的收集、处理、使用等环节的有关规定散见于相关的法律法规和司法解释,部门规范性文件和国家标准对相关问题作了进一步细化,共同规定了侵犯公民个人信息的民事、行政甚至刑事责任追究问题。但是从总体上看,虽然我国保护公民个人信息的法律法规在数量上不断增加,但多为间接保护,现有的“侵犯公民个人信息罪”在适用上存在一定的不足,对于不够罪的情形只能被科以民事、行政处罚,违法成本相对较低。通过对侵犯公民个人信息犯罪立法沿革的梳理可以发现,我国对于公民个人信息的保护以附属性保护为主,《刑法修正案(七))》(下称“《刑(七)》”)对侵犯公民个人信息犯罪有了直接的罪名规定,《刑法修正案(九)》(下称“《刑(九)》”)和“两高”发布的《解释》又作了相应的修改和细化。然而,大数据背景下我国公民个人信息的刑法保护方面依旧存在着诸多困境。
(一)我国刑法对公民个人信息的保护
1.侵犯公民个人信息犯罪的立法沿革
一直以来,我国刑法并未重点关注公民个人信息,对于其保护大多作为“附属性信息”依附于国家法益、社会法益以及公司商业秘密,而非单纯对公民个人信息进行保护,体现出的是刑法对其他相关犯罪的预防性和前置性立法思维。有关侵犯公民个人信息犯罪的相关规定,散见于刑法分则第三、第四和第六章,以及其他诸如《居民身份证法》《传染病防治法》《网络安全法》《电子商务法》等非刑事法中对侵犯公民个人信息造成严重后果的情形追究刑事责任的规定。
我国刑法有关侵犯公民个人信息犯罪的相关规定体现在:第一,附属于金融管理秩序。根据《刑法修正案(五)》增加的妨害信用卡管理罪和窃取、收买、非法提供信用卡信息罪,率先展开对公民个人信用卡信息资料的保护,信用卡资料中账号、密码和使用记录等属于公民的个人信息,且具有财产利益。第二,附属于公民人身权利、民主权利。刑法第245条规定了非法搜查罪和非法侵入住宅罪,该条主要是保护公民所享有的人格权、隐私权及个人的私生活安宁。第252条和253条规定了侵犯通信自由罪和私自开拆、隐匿、毁弃邮件、电报罪,这是对公民个人信息自由权和保密权的保护。第三,附属于社会管理秩序。刑法第284条规定的非法使用窃听、窃照专用器材罪,该条起到了保护公民的人格尊严和个人隐私信息的作用。根据《刑(七)》增加的非法获取计算机信息系统数据、非法控制计算机信息系统罪,刑法第286条规定的破坏计算机信息系统罪,以及此后根据《刑(九)》增加的拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪,均是对公民个人网络信息安全的保护。根据《刑(九)》增加的泄露不应公开的案件信息罪和披露、报道不应公开的案件信息罪,对公民涉案信息和个人隐私也起到了一定程度的保护作用。
此外,还有其他一些非刑事法中的规定。如《居民身份证法》第20条规定人民警察非法变更或者泄露在履行职责的过程中获知的公民个人信息情节严重构成犯罪的,依法追究刑事责任。《传染病防治法》第69条规定医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、资料构成犯罪的,依法追究刑事责任。2017年6月1日开始实施的《网络安全法》在第四章“网络信息安全”中,规定了任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息等一系列保护公民网络信息安全的条款;第74条规定违反该法的规定构成犯罪的,依法追究刑事责任。2019年1月1日开始实施的《电子商务法》第23条规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定;第32条规定电子商务平台经营者应明确个人信息保护等方面的权利和义务,第88条规定违反该法的规定构成犯罪的,依法追究刑事责任。
2.现行刑法对侵犯公民个人信息罪的规制
我国在《刑(七)》公布施行之后,逐步开始对侵犯公民个人信息犯罪进行直接的规制。《刑(七)》中增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名,后经《刑(九)》和“两高”发布的《解释》对侵犯公民个人信息犯罪的修改完善使其更加明确和细化,构成了我国现行刑事法对侵犯公民个人信息犯罪的主要规范。《刑(九)》对侵犯公民个人信息罪的修改,具体而言:第一,犯罪主体扩大,将侵犯公民个人信息罪的犯罪主体扩大为一般主体。第二,规范条文用语,删去了提供公民个人信息行为的“非法”二字的前缀。第三,犯罪对象扩大,将原法条表述中的“上述信息”修改为“公民个人信息”。第四,细化量刑配置,增加了“情节特别严重”的量刑规定。第五,特殊主体从重处罚,增加了违反国家有关规定,将在履职或是提供服务的过程中所获个人信息出售或者提供给他人从重处罚的情形。
《解释》对刑法条文中的“公民个人信息”“违反国家有关规定”“提供公民个人信息”“以其他方法非法获取公民个人信息”、非法获取、出售或者提供公民个人信息以及为合法经营活动而非法购买、收受《解释》第五条第一款第三项、第四项规定以外的公民个人信息“情节严重”和“情节特别严重”的情形作了进一步的阐释,并对同时构成侵犯公民个人信息罪与非法利用信息网络罪、拒不履行信息网络安全管理义务罪如何定罪处罚、从宽处罚及不起诉或者免予刑事处罚、公民个人信息条数的重复计算、判处罚金及数额等问题作了更加细致的规定,以期依法惩治侵犯公民个人信息犯罪活动,保护公民个人信息安全和合法权益。当然,对于该罪还存在可修改完善之处。
(二)我国公民个人信息刑法保护面临的困境
1.大数据时代个人信息的权利属性不明
大数据背景下我国侵犯公民个人信息的犯罪案件持续增多,保护公民个人信息的形势日益严峻,我国的立法和司法也在不断地跟进。然而,综观当前我国的立法及司法解释,并没有在规范层次对公民个人信息的权利属性进行宏观的思考,只是在事实层次上对其内涵和外延进行界定。“公民个人信息”权利属性的不同,对其保护机制也就不同,民法、行政法与刑法等不同部门法之间的价值目标难以实现平衡和统一,最终导致公民个人信息保护体系化、全面性、实效性也就存在很大差异。因此,我们首先需要思考和解决“公民个人信息”权利属性的认定问题。
学界对公民个人信息权利属性认定大致可以总结为三种不同进路,分别是将公民个人信息归属于财产权、人格权以及隐私权。但是,这三种进路均有失偏颇。财产权说是把公民个人信息认定为财产权,关注的是其中的商业价值,忽略了“公民个人信息”本身的保护,势必会导致“在商言商”,妨害“公民个人”人格上的平等性。人格权说的不足之处在于,自然人的人格权具有一定的专属特性和不可交易性,即使在某些方面可以产生经济价值,也不能将其视为财产,否则自然人所具有的人格意义将会遭到贬损。隐私权说中的“隐私”属于个人私密性信息,其对于信息的保护模式呈现出的是“绝对性”的保护,侧重的是消极防御,而这不符合大数据时代公民个人信息的收集和使用现状,而且隐私权的概念本身具有模糊性。因此,不能将对个人信息权利的保护与隐私权保护划等号。
2.“侵犯公民个人信息罪”存在不足
(1)刑事处罚缺乏前置性法律规定
《刑(七)》增加了两个有关侵犯公民个人信息犯罪的罪名,在民法和行政法作出相关的具体规定之前,首先规定了公民个人信息的刑法保护,由此形成了我国公民个人信息保护“刑法先行”的尴尬处境。《刑(九)》对《刑(七)》的相关规定进行了修改,将“违反国家规定”改为“违法国家有关规定”。对于“违反国家规定”,刑法第96条有明确的解释。但我国目前尚缺乏“法律”层次的《个人信息保护法》,对于公民个人信息的保护分散规定在一些相关的法律法规之中,“违反国家规定”的适用范围有限,将其修改为“违法国家有关规定”在一定程度上拓宽了刑法适用的前置法规定。然而,我国对公民个人信息保护的刑法规制仍然存在前置性法律规范不足且较为分散的问题。
通过整理,《民法总则》《消费者权益保护法》《网络安全法》和《刑法》共同架构起了当前我国有关公民个人信息保护的基本法律框架。其中,《民法总则》在公民个人信息的保护方面实际上发挥着基础性功能。《民法总则》第111条规定了“自然人的个人信息受法律保护”,将自然人的个人信息保护区别于隐私保护,使得个人信息的保护独立出来,从民事基本法的高度赋予自然人以个人信息保护的权利。然而,《民法总则》仅作了宣示性的表述,对公民个人信息的保护缺乏具体的规定。《消费者权益保护法》和《网络安全法》所保护的信息与刑法所保护的“公民个人信息”是交叉关系,保护范围并不完全一致,无法构成公民个人信息保护刑法规制完整的体系化的前置性法律规定。
我国现行法律框架体系明确规制和保护七类信息,即国家情报、军事秘密、国家秘密、商业秘密、网络运营商收集的用户信息、公民个人信息以及消费者信息。主要法律规范包括《保守国家秘密法》《中国人民解放军保密条例》《民法总则》《网络安全法》《反不正当竞争法》《消费者权益保护法》《电子商务法》等。其中,对“公民个人信息”的保护起步较晚、发展程度低,“刑法先行”的保护模式存在的制裁少数放纵多数的弊端以及前置性法律规范的缺失,使得公民个人信息的保护成为我国现行信息保护法律制度中较为薄弱的环节,也落后于其他国家和地区。实际上我国在2003年就有学者开始着手并于2005年初完成了《个人信息保护法》(专家建议稿)的起草工作,国务院有关部门也于2005年启动了立法程序,但由于各种因素最终并未出台相应的立法。
(2)入罪行为方式单薄
信息技术的快速发展以及大数据的深入运用使得侵犯公民个人信息的行为方式变得日趋多样,“在对实质的公民个人信息法益进行规范化的过程中,需要准确而精致地界定行为”。然而,《刑(九)》只规定了向他人“出售”“提供”“窃取”“以其他方法非法获取”公民个人信息这四种入罪的行为方式。虽然《解释》进一步将“以其他方法非法获取”明确规定为“购买、收受、交换等方式”,或者“在履行职责、提供服务过程中收集公民个人信息”,明确了“以其他方法非法获取”公民个人信息行为的司法适用。但是,侵犯公民个人信息罪的入罪行为方式的打击面仍略显单薄。对于公民个人信息的刑法规制,既要注意促进包括个人信息在内的数据高效流通以及各类大数据应用的产生、创新,保护个人信息的正当收集和使用,又要严惩各种严重侵犯公民个人信息的犯罪行为。
就网络上频频发生的非法散布公民个人信息的事件而言,将某个热点新闻中的相关当事人的身份信息、工作单位、联系电话、家庭住址甚至是家人的信息散布到网络或者通讯群组中,一些不理智的网民在网络上对其进行口诛笔伐的行为,极易演变成人身攻击或是网络暴力,对公民的个人信息安全以及私生活安宁造成严重侵扰。在司法实践中,除了上述法条明确规定的四种对公民个人信息造成侵犯的行为之外,实际上还大量存在如恶意篡改、毁损以及非法散布等侵犯公民个人信息的行为。这些行为均将公民个人信息置于一种危险的境地,一旦被不法利用极有可能对公民的人身权、财产权造成现实的损害,成为其他犯罪的滥觞,引发盗窃、诈骗、敲诈勒索以及绑架等一系列严重的下游犯罪,甚至从上游到下游形成一条黑色个人信息利益产业链。并且“侵犯公民个人信息罪”中的“侵犯”行为,从概念上作为一个具有概括性的法律行为,本应包含多种行为方式。
(3)追诉形式不合理
对侵犯公民个人信息罪,刑法只规定了由公权机关提起公诉这一单一的追诉形式,这并不利于对公民个人信息进行及时全面的保护。“完全由国家独占追诉权,往往会造成在运用追诉权时出现官僚化,导致行使追诉权时背离被害人和市民法律的感情。”因此,刑法设置了告诉才处理的亲告罪制度,通过这一制度设定体现维护被害人某些合法权益的特殊性,含有“犯罪性质上要尊重被害人的名誉与由于是轻微的犯罪将诉追委于被害人”的意思,给了被害人在自身某些权益受到侵害后以更大的选择权和利益考量的维度空间。
侵犯公民个人信息罪与侮辱罪、诽谤罪等5个亲告罪的罪名所侵犯的法益存在相似之处和内在的价值相通性,从权利的本质上看都是受公法保护的公民的具体私权利。由于公民的某些个人信息被侵犯之后可能损害其人格尊严,如果此时将侵犯行为一律归入公权力救济的范围,就极易把公民某些不愿意公开化的信息通过合法的公诉程序公之于众,对公民的身心无疑会造成更大的二次伤害。同时,在某些情况下被害人所遭受的犯罪行为造成的侵害结果是间接性的、无形的,不能通过适用某种客观标准来加以衡量,从而界定罪与非罪,侵害行为的有无、造成的损害大小很大程度上受到被害人个人精神上、心理上的承受水平的影响。因此,对某些侵犯公民个人信息行为无法予以衡量的情况下,将“告诉”的权利垄断在公诉机关无法有效地实现刑法的价值追求。
“刑罚同时具有积极作用和消极作用,如果适用面过宽,则不仅削弱刑罚的效果,而且有害于国家与公民。”因此,对国家刑罚权应该给予必要的关注和一定的限制,否则可能会使公民的基本人权遭到非法削弱或剥削。在当前“宽严相济”的刑事政策和罪责刑相适应原则的指引和要求下,惩罚犯罪不能成为限制公民权利的正当理由。公诉机关代表公民,对严重侵犯公民个人信息的行为提起公诉,这无疑是一种有效保障公民权利的手段。但是,公民个人信息法律属性具有其特殊性,侵犯公民个人信息的行为主要表现为对公民私权利的损害,一般并不涉及社会秩序和公共利益。此时单纯依靠公权力进行追诉而不顾被害人的意志选择,就有悖于“宽严相济”刑事政策所要求的宽严有度、罚当其罪。
3.大数据背景下侵犯个人信息罪名体系不完备
由前文的梳理可知,《刑(九)》将之前侵犯公民个人信息类犯罪合并为一个侵犯公民个人信息罪,合并后的该罪名在行为方式上依旧是之前的四种行为方式,诸如帮助侵犯公民个人信息以及泄露、非法使用等其他侵犯个人信息情节严重的行为,因无明确的法律规定而无法入罪。立法者在立法时,也并不是把该罪作为可以涵盖一切侵犯公民个人信息犯罪行为的一个兜底性条文。在司法实践中,行为人在侵犯公民个人信息时往往伴随着下游犯罪行为,如掩饰、隐瞒犯罪所得、盗窃、敲诈勒索、诈骗等。而非法使用公民个人信息的行为有时也被法院科以刑事处罚,这说明实践中“非法使用”行为也可以成为独立的侵犯公民个人信息的行为方式。为了遏制日益猖獗的侵犯公民个人信息的下游犯罪,有必要从源头上打击其上游犯罪即侵犯公民个人信息犯罪。
实践中侵犯公民个人信息犯罪主要包含“收集——处理——使用”三个环节,即第一,通过窃取或者以其他方法非法获取公民个人信息;第二,将所掌握的公民个人信息作为网络数据交易的基础,帮助进行个人信息的中转和交易;第三,向他人非法出售、提供公民个人信息及非法使用公民个人信息进行其他违法犯罪活动。当前我国刑法只规定了收集阶段的非法获取和使用阶段的出售、提供这两个环节的罪名,对于上述三个环节中的处理和使用环节的其他方式尚未规定具体罪名加以规制。因此,为了填补刑法规制的真空地带,还应设置其他罪名,与该罪形成“罪名群”,构建起相对全面和完善的公民个人信息刑法保护的罪名体系。
三、比较分析:域外公民个人信息刑法保护的考察与评析
(一)域外关于公民个人信息的刑法保护
从比较法的视野来看,美国采分散立法同时结合行业自律的模式,从20世纪70年代初期开始就制定了相关的隐私权法,1974年颁布的《隐私权法》第9款规定了相关的刑事处罚。其后又通过《信息自由法》《财务隐私法》《电子通讯隐私法》《健康保险转移性和责任法》《消费者网上隐私法》《儿童在线隐私保护法》等法律法规,对各行业特别是某些较敏感的领域进行保护。同时,又从行业自律方面保护个人信息,各行业在政府部门的指导下结合自身发展状况制定各自的标准,对其自身的个人信息处理行为进行规范。2018年6月28日,美国加利福尼亚州议会在没有反对票的情况下通过了《2018加州消费者隐私法案》。该法案旨在加强对数据安全和消费者隐私权的保护,被称为是美国国内“最严厉、最全面的个人隐私保护法案”,定于2020年1月1日生效。
英国有集大成的《个人数据保护法》,明确规定掌握和披露个人数据的相关规则。其中对个人信息的刑法保护规定有:第5条对未经登记许可掌握私人数据的行为进行规制,除出于经营电脑社的需要或者其他数据使用者在得到登记许可之后外,任何人不得掌握私人数据,并进一步规定了获得登记许可的数据使用者禁止实施的行为以及构成犯罪的情形;第15条对电脑服务未经授权的数据披露行为进行规制,电脑服务社不得披露与其提供的服务相关的被服务者的个人数据,除非得到被服务者的预先许可;第19条规定了上述罪名的刑事处罚,区分经由公诉程序和简易程序予以判决的情形,分别处以相应的罚金;第20条规定了相应的法人责任。此外,英国1990年《计算机滥用法》还对与计算机有关的个人信息进行刑法保护。
德国黑森州于1970年就制定了世界上第一部综合性个人数据保护法案,联邦层次的《联邦数据保护法》也与1977年相继出台。德国学者施泰姆勒于1971年在德国学界最早提出“信息自决权”①的概念,从1983年德国“人口普查案”在联邦宪法法院作出判决开始,“信息自决权”作为宪法所保障的一项基本人权逐步形成。德国《联邦数据保护法》在2003年通过修订,其中第44条规定了侵犯个人数据的刑事处罚条款,通过附属刑法的方式对个人数据作专门的刑法保护。欧盟GDPR新法案通过后,德国于2017年7月正式通过《新联邦数据保护法》,该法规结合了德国本国法律和欧盟新数据保护法,和欧盟GDPR在同一天正式生效。《德国刑法典》第十五章从第201条到第206条分别对侵害私人生活和秘密的各种犯罪作了规定,如对侵害言论秘密、探知数据、侵害通信秘密、利用他人秘密、侵害他人隐私、侵害电信或邮政秘密等侵犯个人信息行为的认定和处罚措施。
① “信息自决权”理论发源并发展于德国,如德国《联邦数据保护法》第1条规定:“本法制定的目的是保护个人隐私权使其不因个人资料的处理而受到侵害”(“The purpose of this Act is to protect individual against his right to privacy being impaired through the handling of his personal data”)。又如,德国联邦宪法法院将“Census decision信息自决权”作为隐私权的内容。这似乎表明德国法中未严格区分个人信息与隐私,但在实践中,仍是将两者区别开来的。参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期,第63页。
日本从20世纪70年代中期开始逐步加强对个人信息的保护,其《个人信息保护法》于2005年4月1日起施行,随着近年来互联网信息技术的快速发展和积极利用,从2015年开始该法进行了大幅度的修改,并于2017年5月30日起施行。在个人信息的利用方面,该法从获取、保存、提供、记录及罚则上规定了一系列的安全保障措施。2016年1月,日本还设立了具有高度独立性的个人信息保护委员会作为保护个人信息的专职监督机关。《日本刑法典》中也有诸多涉及个人信息保护的条款。②此外,针对特殊身份犯罪和计算机系统的非法侵入或网络“黑客”行为,日本还出台了如《禁止垄断法》《公认会计士法》《禁止非法侵入法》等法律规范。
② 诸如“第130条规制侵入住宅的行为;第133条规制擅自开拆他人书信的行为,第135条将本罪规定为亲告罪;第134条规定对从事特定职业的人,泄露由于履行职责而获知的他人秘密又无正当理由的,要处以相应的刑罚,第135条将本罪规定为亲告罪;第163条之四规制准备不正当制作支付用电磁卡电磁记录的行为;第246条之二规制使用电子计算机诈骗的行为;第230条对名誉犯罪进行了规定,第230条之二又进一步规定了特例;第259条规制毁弃私用文书的行为;第263条规制隐匿书信的行为。”参见王立志:《日本刑法对隐私权的保护及其评析》,《云南大学学报(法学版)》2010年第5期,第50页。
欧盟在公民个人信息保护的立法和制度建设上堪称模范和先驱,在成立不久之后,便决定在推进一体化的进程下统一个人数据保护立法。从1995年制定《个人数据保护指令》开始,欧盟逐步构建起了一套个人信息保护方面相对系统完备的法律体制。同时欧洲议会于2018年10月4日投票通过《非个人数据自由流动框架条例》,以协调个人数据保护与欧盟单一市场战略下打造富有竞争力的数字经济之间的关系。欧盟着眼于信息本身,公民个人信息权被确立为一项基础性的独立的权利由公民自身所享有,在欧盟法律制度框架下,其业已成为一项新兴的基本人权。2018年5月25日,欧盟GDPR正式生效,堪称世界史上最严格的数据保护法律。在个人信息的保护模式方面,不同于美国主要采“消费者保护模式”侧重维护交易秩序与交易安全,防止企业从事不公平交易和欺诈行为,欧洲主要采“数据保护模式”,侧重于强化数据主体对个人数据的控制,同时施行较为严厉的监管,以保护个人信息。
(二)域外公民个人信息刑法保护的评析
由以上的比较考察可以得知,大数据背景下域外国家对侵犯公民个人信息的刑法规制,都是结合本国社会发展及司法实践的实际情况,在立法中分别从个人信息的收集、处理和使用等不同环节介入。公民个人信息在网络化和大数据的语境中所涉内容愈发广泛和复杂,其所包含的法益更加丰富,侵犯公民个人信息犯罪也出现了日趋多样的行为手段,域外国家也相应地在逐渐扩张公民个人信息的刑法保护范围。针对侵犯公民个人信息犯罪侵犯对象和行为手段的多样复杂性,各国立法多以对公民个人信息的定义进行扩大解释和增加罪状及罪名的方式加以规制。各国对公民个人信息的刑法保护条文并非笼统的、模糊的,与此相反,对个人信息的表述越来越细致化,对个人信息的界定越来越明确具体。总体而言,各国都较注重刑法的二次规范性,在民法、行政法保护的基础之上,对于侵犯公民个人信息情节严重的行为再进行刑法规制,相关法律法规之间协调衔接,共同建构起公民个人信息保护的法律制度体系。
域外公民个人信息的刑法保护方面存在诸多值得我国借鉴的内容:第一,在公民个人信息的权利属性上,合理吸收借鉴“信息自决权”理念,提出一种符合我国实际的兼具人格权和财产权的新型权利类型,即个人信息权,以此作为法益基础对公民个人信息展开保护。第二,在立法形式上,大多数国家都制定有专门性质的个人信息保护法,我国也应加快个人信息保护法及刑法前置法的出台,从而对公民个人信息进行专业化、系统化的保护。第三,在相关罪名的内容上,我国“侵犯公民个人信息罪”还存在改进的空间,通过学习借鉴域外国家的相关规定,进一步拓宽入罪的行为方式,合理扩张刑法对侵犯公民个人信息行为的打击面。第四,在追诉形式上,对于侵犯公民个人信息犯罪的追诉形式不应局限于公诉模式,可以参考《德国刑法典》中规定的侵害通信秘密罪、探知数据罪、利用他人秘密罪,以及《日本刑法典》中规定的泄露秘密罪和开拆书信罪等侵犯公民个人信息类的犯罪,均规定为亲告罪的实践,完善我国对于侵犯公民个人信息犯罪的追诉形式。第五,在罪名体系上,以完善我国现有罪名为基础,学习借鉴域外国家对公民个人信息从获取到处理再到使用进行的全流程、全周期的保护,通过增设相关罪名的方式探索构建起我国公民个人信息刑法保护相对完备的罪名体系。
四、范式变革:大数据背景下公民个人信息刑法保护的完善
大数据背景下,要针对前述我国当前对于侵犯公民个人信息犯罪刑法规制的不完善之处,诸如大数据时代公民个人信息的权利属性认定存在财产权、人格权以及隐私权等不同进路,刑法第253条之一“侵犯公民个人信息罪”缺乏前置性法律规定、入罪行为方式单薄、追诉形式不合理,大数据背景下侵犯公民个人信息罪名体系不完备等问题,因情施策,同时结合域外各国在立法和司法实践中的有益经验,进一步完善我国公民个人信息的刑法保护。
(一)以个人信息权为基础调整保护模式
通过对比我国“公民个人信息”的概念定义和权利性质可以发现,一方面,我国在立法和司法层面都仅是依据实践经验的归纳与积累,缺乏对“公民个人信息”整体的权利塑造和制度设计。另一方面,关于“公民个人信息”的权利性质难以形成一个合理的理论。在大数据时代,公民个人信息不止于是一系列的数据,其更应被视为是一项公民权,是公民享有、使用、处分同时又不受侵犯的权利。当其作为公民的一项基本权利时,包括刑法在内的法律就能更全面高效地对其进行保护,这也是贯彻宪法规定的“国家尊重和保障人权”的要求。“基于和谐的法律理念,我们应当关注社会现象,确定它们保持和谐的法律以及它们急需的一些秩序原则”。刑事违法性的实质在于侵害或者威胁刑法所保护的利益,即法益,而恰当地设定法益能够让刑法保障更加安全、高效。因此,可以绕开现有讨论,尝试提出一种新的法益基础来调整保护模式。
我国目前的法律法规关于“公民个人信息”概念的界定,事实上已经突破了可识别性的限定,也超越了隐私保护的范畴,其实际保护范围涵盖了可识别性信息以及可能影响人身、财产安全的个人信息。而对于“公民个人信息”的权利性质的探讨,可以得出“公民个人信息”具有复合性质,即一方面其具有人格要素,其具有明确的内涵核清楚的外延,能够为他人的行为设定禁区,可以成为一项人格权;另一方面其又兼含财产利益,构成数据财产权的基础和前提。大数据背景下,以数据经济环境的依存性为基础,作为初始数据的公民个人信息,体现出双重价值面向,即人格性和财产性。在此基础上,提出一种涵盖可识别性信息以及可能影响人身、财产安全的个人信息,包括对他人侵害的消极防御和积极使用并授权他人使用,兼具人格权和财产权的新的权利类型,即个人信息权。
个人信息权应具备如下特征:第一,在权利内涵方面:个人以自身的信息作为权利客体,其不同于纯粹的商品,而是人格的一个重要部分。第二,在权利内容方面:包括消极防御他人侵害的权利和积极使用并授权他人使用的权利。与传统的隐私权保护不同,在大数据时代,对于个人信息应从单纯的“保护”转变成“保护”和“利用”并行。如有学者提出了“两头强化”的路径,即对“个人一般信息”强化利用,对“个人敏感信息”强化保护。用户与网络运营者基于当前“普遍免费服务模式”的现状,可以尝试增加“个别付费模式”的机制设计。第三,在权利性质方面,其兼具人格权和财产权的特点。个人信息和人格尊严以及人格发展密切联系,同时个人信息的积极使用又能够为信息主体带来经济价值。
在当前大数据的背景下,我们都不可避免地受到互联网引发的信息安全焦虑的影响,面对风险社会日益严重的侵犯公民个人信息犯罪,从严惩处的态势明显。然而,在面对社会不断出现的包括大数据犯罪在内的新型犯罪时,刑事立法和司法还应该具备立足理性思考基础之上的前瞻性的视野,而非采用“头痛医头,脚痛医脚”式的“打补丁”进行修补,在刑法的安定性与社会变化发展的适应性中间谋求理性平衡。我国刑罚的目的不仅具有层次性,而且是层次性的统一,犯罪的本质是对法益的侵犯,而保护法益正是刑法的任务和刑罚的根本目的,也是我国刑事立法和刑事司法活动的最终目标。在大数据背景下,侵犯公民个人信息犯罪规范体系进行的完善,应从安全本位向权利本位转变,在刑事立法和司法中要以具备实质权利内涵的个人信息权这一保护法益为导向,以期促进大数据时代刑法规范的配套、完整与统一。
(二)“侵犯公民个人信息罪”的完善
1.健全前置性配套法律规范
结合前述梳理可以看出,我国公民个人信息保护相关规定的发展呈现出“刑法先行”的状况。通常认为,刑法作为二次法、其他部门法的保障法,其在作相关规定时应有其他法律法规作为前置条件。特别是对于根据某个时期特定背景下所形成的形势政策的需要,由刑法将那些违反行政法律法规并符合犯罪构成要件的行为纳入刑事处罚对象的“行政犯”而言,行政不法事实与犯罪事实是处于两个不同位阶的法律事实,无论是在证据证明还是事实认定标准上都存在着实质性的差异。在运用行政法的手段对违法行为的严重危害性难以有效规制时,刑法始得介入并开始发挥作用,作为部门法强有力的后盾。然而,由于各种原因,公民个人信息保护的民事、行政规定整体“供给不足”,而是否违反相应法律、行政法规、部门规章是侵犯公民个人信息的行为构成犯罪与否的前提。
大数据背景下,非法获取、出售、提供公民个人信息的违法犯罪行为层出不穷,产生了日益严重的社会危害。此时,刑法通过主动出击率先封住侵犯公民个人信息行为的底线,先于其他部门法对该类犯罪的界限予以明确,通过刑法积极适用防止该类犯罪行为的持续蔓延,为系统治理侵犯公民个人信息乱象奠定了基础。然而,健全公民个人信息刑法规制的相关前置性配套法律规范,避免“刑法先行”的尴尬处境也是势在必行。2018年9月10日,《个人信息保护法》和《数据安全法》作为第一类项目被列入十三届全国人大常委会发布的立法规划当中。期待相关立法加快步伐,从“供给侧”构建起公民个人信息民法、行政法、刑法的全方位保护体系,促进“刑行衔接”“刑民衔接”,以期“一引起纲,万目皆张”,系统治理侵犯公民个人信息的违法犯罪行为。
2.拓宽入罪的行为方式
对公民个人信息的支配行为通常包括收集、使用以及对外提供,而我国刑法第253条之一规定和明确的犯罪行为所对应的是信息的收集和对外提供,并未涉及使用过程中较为常见的非法篡改、毁损及非法散布等行为。非法篡改、毁损公民个人信息,即违法国家有关规定,将合法真实的公民个人信息进行增删、修改、不当整合或者毁损,改变、歪曲信息原本的真正含义甚至是恶意毁损的行为。在大数据的背景下,信息交流日趋频繁,而个人信息的使用又必须建立在真实、完整的基础之上。只有真实、完整的个人信息才能体现主体的差异性,从而满足信息提供者希望得到特定的服务或者其他目的。从公民个人信息权的权利性质来看,个人信息权体现的是人身和财产的双重属性,其归属于特定信息主体,不允许他人肆意歪曲、篡改甚至是毁损。对非法篡改、毁损他人信息,严重侵犯公民个人信息权的行为,刑法应该加以规制。
非法散布公民个人信息,即违法国家有关规定,向不特定多数对象广泛传播公民个人信息的行为。与出售、提供、窃取、以其他方法非法获取等行为方式的不同之处在于,上述行为方式都存在一个对公民个人信息的需求方,而非法散布的行为则不要求接收信息的主体具有主观需求,其目的在于通过散布的行为使得公民的个人信息被不特定多数人所知悉,且通常针对的是某个特定个人的相关信息,通过传单、通讯群组、互联网等形式进行散布。公民的个人信息具有身份识别功能,而且其中很大一部分涉及公民的隐私权益,如个人的政治信仰、病历信息以及犯罪记录等,如果这些信息被广泛传播,可想而知会严重侵犯公民的隐私权,给信息主体的生活安宁造成极大的侵扰。不同于向特定的人提供公民个人信息,非法散布的行为认定为“提供”行为有待商榷。对非法散布他人信息,严重侵犯公民个人信息权的行为,应作为独立的行为类型纳入刑法的规制范围。
3.完善追诉形式
在侵犯公民个人信息罪中,如果立法者的主要目的是维护社会秩序和国家利益,则诉讼模式应当以公诉为主,但从体系解释的角度来看,本罪位于刑法第四章“侵犯公民人身权利、民主权利罪”中,作为刑法第253条之一,其保护法益应与第253条规定的“私自开拆、隐匿、毁弃邮件、电报罪”相协调,故公民的个人法益才是本罪的主要保护法益。由于侵犯公民个人信息罪与侮辱罪、诽谤罪等5个亲告罪的罪名所侵犯的法益存在相似之处,从权利的本质上看都是受公法保护的公民的私权利。我国刑法规定的5个亲告罪中公民行使自诉权的范围都限定在轻罪之内,而侵犯公民个人信息罪“情节严重的,处三年以下有期徒刑或者拘役”,这也体现了本罪与亲告罪在立法与司法适用上的适应性和内在契合性。
因此,对于可能判处三年以下有期徒刑、不需要经过公安机关专门侦查的侵犯公民个人信息类犯罪案件,其追诉形式应设置成以“告诉才处理”的自诉为主,只有当侵犯公民个人信息的行为严重危害社会秩序和国家利益时,才以公诉的形式追诉。此种自诉为主、公诉为辅的双重追诉模式,符合刑法谦抑性原则和“宽严相济”的刑事政策的要求,体现国家对公民个人信息权以及被害人主体地位与合法权益的尊重和保护,一定程度上节约了司法资源,符合诉讼经济与效率的原则。在侵犯公民个人信息罪中采用亲告罪为主的追诉制度,允许被害人先通过其他适当的方式解决纠纷,将是否起诉的权利赋予被害人,当被害人提起刑事自诉要求司法保护时刑法再行介入,此时被害人的合法权益同样能够获得保障,同时又有利于维护和谐稳定的社会关系。
(三)探索构建完备的罪名体系
侵犯公民个人信息犯罪主要包含的“收集——处理——使用”三个环节中,我国刑法只规定了个人信息收集环节的非法获取和使用环节的出售、提供行为的相关罪名,对于其中的处理和使用环节的其他方式还欠缺具体的罪名规定。法律本应当是一种合乎社会目的的存在,为适应风险社会的规范性要求,刑事立法应以积极介入、追求预防效果以及注重灵活回应为导向,与社会现实应形成良性的互动而不是裹足不前。制定法和它的内在内容是活生生的和可变的,并由此具有适应能力。大数据背景下,获取公民个人信息之后又将其用于其他犯罪的危险性显著提高,从整个纵向个人信息犯罪产业链的结构来看,围绕个人信息的收集、处理、使用及用于后续实行如电信网络诈骗等犯罪行为,呈现出一个串联的动态体系。因此,有必要在现有罪名体系上增设相关的处理和利用环节的罪名,形成完整的刑罚制裁体系从而全面有效地打击侵犯公民个人信息犯罪。
1.增设“帮助侵犯公民个人信息罪”
在大数据背景下,信息网络犯罪呈现大肆蔓延之势,其犯罪行为方式也出现了更产业化、精细化的分工,从木马病毒等恶意程序制作传播并非法获取个人信息数据,到个人信息非法中转和交易,再到个人信息的非法使用等各个环节形成了“流水式作业”的黑色产业链。其中,尤其是为个人信息非法中转和交易提供服务的“中间商”,在整个个人信息犯罪产业链条中发挥了关键性的作用。大数据背景下的侵犯公民个人信息的帮助行为(特别是技术帮助行为)的危害性时常比实行行为更严重,基于社会危害性视角下的帮助行为主从关系图式可以表达为“(从作用)正犯<(主作用)帮助犯<(主作用)正犯”。而且,其独立性形态相较于传统的从属地位已经有所突破,往往表现为“一对多”甚至是“多对多”帮助的样态。
因此,对于帮助侵犯公民个人信息情节严重的行为在个人信息犯罪中所体现出的危害性、独立性特征,刑法应该有所回应。对于侵犯公民个人信息犯罪在网络大数据环境中的多样形态引发的刑法评价真空,应当适时调整犯罪形态的评价规则,采用“实质共犯论”下的共犯独立性思路,对单个犯罪链节点进行独立评价,将侵犯公民个人信息的帮助行为予以正犯化,以提前刑法对于侵犯公民个人信息犯罪的打击时点。《刑(九)》第287条之二增设了“帮助信息网络犯罪活动罪”,将技术帮助、广告宣传以及金融服务等三种“帮助行为”独立为新的“实行行为”,进行单独定罪量刑即正犯化。《刑(九)》的修改反映了在风险社会与大数据时代齐集嵌入的背景下,“以刑罚早期化、适当的犯罪化、立法的预防性倾向等为代表的积极刑法立法观已现端倪”。
在侵犯公民个人信息的处理环节,可以参考“帮助信息网络犯罪活动罪”这一信息网络犯罪帮助行为正犯化典型实践的规定,增设“帮助侵犯公民个人信息罪”,实现对该帮助行为的定罪谴责与犯罪预防。对明知他人实施侵犯公民个人信息犯罪,而为其犯罪提供信息来源、互联网接入、信息存储、通讯传输等技术支持行为,或者提供广告推广、支付结算等帮助行为,情节严重的,科以相应的刑罚。单位犯罪的,对单位及其直接负责的主管人员和其他直接责任人员实行“双罚制”。同时符合其它犯罪构成要件的,依照“从一重”处断的规则进行定罪处罚。③
③ 该条文可以表述为:“明知他人实施侵犯公民个人信息犯罪,为其犯罪提供信息来源、互联网接入、信息存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其它犯罪的,依照处罚较重的规定定罪处罚”。
2.增设“过失泄露公民个人信息罪”
当前刑法规定“向他人出售”“提供”“窃取”“以其他方法非法获取”公民个人信息在主观上都是出于故意,只将主观故意明显且情节严重的行为入罪。然而,现实中还大量存在过失泄露公民个人信息情节严重的情形,对此“过失泄露”的行为也应进行刑事处罚。德国《联邦数据保护法》第44条规定的侵犯个人数据的刑事处罚条款中,就将过失行为纳入其中。此外对于此类犯罪主体应进行一定的限制,如可以考虑将国家机关或者企业、事业单位及其工作人员在履行职责或者提供服务过程中,对于合法获得的公民个人信息,违反国家有关公民个人信息安全管理义务的规定造成严重后果的行为入罪。
就此次新冠肺炎疫情而言,在流行病学史上,新冠肺炎患者以及密切接触者的个人信息,比如健康信息、地理位置、行踪轨迹、住宿信息等,是疫情传播分析和疫情有效防控的基础数据。虽然《传染病防治法》与《突发公共卫生事件应急条例》规定了公民上报疫情数据的法定义务,但信息收集机关也应尽到审慎的公民个人信息安全管理义务,避免造成感染者以及密切接触者个人信息的大肆泄露。此次新冠肺炎疫情暴发以来,大量的有武汉或者湖北旅居史的人、感染者以及密切接触者的个人信息被曝光,在各类社群中疯转,致使公众的个人信息权、人身和财产安全受到严重威胁甚至是现实损害。在武汉、湖北返乡者“污名化”事件中,各地公安、卫生等疫情防控机构及基层防疫信息采集人员在数据采集、比对汇总、对外公布等环节缺乏个人信息保护法律意识,致使返乡者个人信息在微信群外传后迅速扩散至整个网络,造成极其恶劣的社会影响与信任危机。
因此,建议增设“过失泄露公民个人信息罪”。针对国家机关或者企业、事业单位及其工作人员,对其在履行职责或者提供服务过程中获知的公民个人信息,违反国家有关公民个人信息安全管理义务的规定,造成公民个人信息泄露,情节严重的,科以相应的刑罚。单位犯罪的,对单位及其直接负责的主管人员和其他直接责任人员实行“双罚制”。④同时,法院可以根据案件情况和预防再犯罪的需要,根据《刑(九)》新增的禁业限制的规定,自假释或者刑罚执行完毕之日起三至五年内禁止行为人从事收集、处理和使用公民个人信息的相关职业。
④ 该条文可以表述为:“国家机关或者企业、事业单位及其工作人员,对在履行职责或者提供服务过程中获知的公民个人信息,违反国家有关公民个人信息安全管理义务的规定,造成公民个人信息泄露,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚”。
3.增设“非法使用公民个人信息罪”
在公民个人信息保护的利益链条上,如何安全使用信息也应当成为规范的重点。非法使用行为与非法获取、出售或者提供行为的区别在于,后者通常是以数据库的形式提供大批量的公民个人信息,而非法使用通常针对的是某个特定个人的信息,系直接接触特定信息主体权益的行为,对公民个人的名誉、征信和财产等更容易造成严重的侵害。非法使用公民个人信息应当是指违反国家有关规定或者未经许可,非法使用合法获取或者非法获取的公民个人信息以期实现特定目的,诸如使用公民个人信息办理信用卡⑤、注册公司、在电商领域虚假注册用户和店铺从事违法犯罪活动,以及冒用公民个人信息或者利用公民个人信息进行骚扰恐吓等行为。由于非法使用公民个人信息侵犯的是公民的个人信息权,而个人信息权中又包含了人格权,其性质与侮辱罪、诽谤罪这两个亲告罪相类似,故本罪除严重危害社会秩序和国家利益的外,应当以告诉才处理的自诉形式为主。
⑤ 例如2008年底被曝光的“西电卡门事件”,西安电子科技大学财务处在米经学生同意的情况下,利用掌握的学生身份证号码、家庭详细住址等个人资料,为一万多名学生集体办理了“中国工商银行牡丹圆梦学生卡”。然而,这一万余名学生对自己拥有该信用卡却一无所知。由于此事影响颇广,最终以学校公开致歉并注销信用卡结束。参见王作富主编:《刑法分则实务研究》(中),北京:中国方正出版社,2013年,第857页。
将非法使用行为进行独立评价,有利于实现刑法与其前置法的协调衔接,并增强刑法内部逻辑体系的自洽性。《民法总则》《网络安全法》以及《规定》等均将公民个人信息的使用行为与获取、出售或者提供行为并列,作为一种独立的行为类型。刑法中的侵犯商业秘密罪也将使用商业秘密的行为与获取、披露商业秘密的行为并列规制,更何况公民个人信息不仅具有商业秘密所含的财产性,其还具有人身属性,按照入罪“举轻以明重”的原则,应当将非法使用公民个人信息的行为纳入刑法的规制范围。因此,建议增设“非法使用公民个人信息罪”。对违反国家有关规定或者未经公民个人授权,非法使用公民个人信息,分情节严重和情节特别严重两种情形,设置两个法定刑幅度科以相应的刑罚。单位犯罪的,对单位及其直接负责的主管人员和其他直接责任人员实行“双罚制”。除严重危害社会秩序和国家利益的情形外,将本罪纳入告诉才处理的“亲告罪”范围。⑥
⑥ 该条文可以表述为:“违反国家有关规定或者未经公民个人授权,非法使用公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。前款罪,告诉的才处理,但是严重危害社会秩序和国家利益的除外。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。”
参考文献:
(下滑查看)
一、著作及译著类
[1] 马克昌:《比较刑法原理》,武汉:武汉大学出版社,2002年。
[2] 王作富主编:《刑法分则实务研究》(中),北京:中国方正出版社,2013年。
[3] 张明楷:《刑法的基础观念》,北京:中国检察出版社,1995年。
[4] [德]乌尔里希·贝克:《风险社会》,何博闻译,江苏:译林出版社,2004年。
[5] [美]本杰明·卡多佐:《司法过程的性质》,苏力译,北京:商务印书馆,1998年。
[6] [日]西田典之:《日本刑法各论》,刘明祥、王昭武译,北京:中国人民大学出版社,2007年。
[7] [意]切萨雷·贝卡利亚:《论犯罪与刑罚》,黄风译,北京:中国法制出版社,2005年。
二、期刊类
[1] 车浩:《自我决定权与刑法家长主义》,《中国法学》2012年第1期。
[2] 陈兵:《抗击新冠肺炎疫情中个人信息保护的法治慎思》,《社会科学辑刊》2020年第2期。
[3] 陈瑞华:《行政不法事实与犯罪事实的层次性理论》,《中外法学》2019年第1期。
[4] 高铭暄、孙道萃:《预防性刑法观及其教义学思考》,《中国法学》2018年第1期。
[5] 高铭暄、王红:《互联网+人工智能全新时代的刑事风险与犯罪类型化分析》,《暨南学报(哲学社会科学版)》2018年第9期。
[6] 高全喜:《虚拟世界的法律化问题》,《现代法学》2019年第1期。
[7] 韩轶:《刑罚目的层次性辩说——兼论刑罚的最终目的》,《法商研究》2004年第4期。
[8] 韩轶:《论法益保护与罪刑均衡》,《刑法论丛》2016年第1期。
[9] 敬力嘉:《大数据环境下侵犯公民个人信息罪法益的应然转向》,《法学评论》2018年第2期。
[10] 劳东燕:《风险社会与功能主义的刑法立法观》,《法学评论》2017年第6期。
[11] 李源粒:《网络数据安全和公民个人信息保护的刑罚完善》,《中国政法大学学报》2015年第4期。
[12] 龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017年第4期。
[13] 陆敏:《“帮助犯正犯化”立法实践的教义学展开》,《山西农业大学学报(社会科学版)》2017年第11期。
[14] 王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。
[15] 王立志:《日本刑法对隐私权的保护及其评析》,《云南大学学报(法学版)》2010年第5期。
[16] 王肃之:《从回应式到前瞻式:网络犯罪刑法立法思路的应然转向——兼评<刑法修正案>(九)相关立法规定》,《河北法学》2016年第8期。
[17] 王文华:《网络时代公民个人信息的刑法保护》,《人民检察》2017年第20期。
[18] 王叶刚:《网络隐私政策法律调整与个人信息保护:美国实践及其启示》,《环球法律评论》2020年第2期。
[19] 叶名怡:《论个人信息权的基本范畴》,《清华法学》2018年第5期。
[20] 于冲:《网络犯罪帮助行为正犯化的规范解读与理论省思》,《中国刑事法杂志》2017年第1期。
[21] 于冲:《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》,《政治与法律》2018年第4期。
[22] 喻海松:《侵犯公民个人信息罪司法疑难之案解》,《人民司法》2018年第32期。
[23] 于志刚:《共犯行为正犯化的立法探索与理论梳理——以“帮助信息网络犯罪活动罪”立法定位为角度的分析》,《法律科学(西北政法大学学报)》2017年第3期。
[24] 于志刚:《中国网络犯罪的代际演变、刑法样本与理论贡献》,《法学论坛》2019年第2期。
[25] 于志刚、李源粒:《大数据时代数据犯罪的类型化与制裁思路》,《政治与法律》2016年第9期。
[26] 查云飞:《健康码:个人疫情风险的自动化评级与利用》,《浙江学刊》2020年第3期。
[27] 张新宝:《我国个人信息保护法立法主要矛盾研讨》,《吉林大学社会科学学报》2018年第5期。
[28] Brandeis/Warren,The Right to Privacy, Harvard Law Review, 4(1890).
[29] Graham Pearce&Nicholas Platten,Achieving Personal Data Protection in the European Union,Journal of common Market Studies,Vol.36,No.4,532 (1998).
[30] Paul M. Schwartz&Daniel J.Solove,Information Privacy Law, Aspen Publishers,9 (2006).
三、报纸类
[1] 《习近平:审时度势精心谋划超前布局力争主动 实施国家大数据战略加快建设数宇中国》,《人民日报》2017年12月10日。
[2] 张新宝:《互联网时代个人信息保护的双重模式》,《光明日报》2018年5月2日。
[3] 洪乾贺、刘仁文:《“非法使用公民个人信息”也宜入罪》,《检察日报》2019年1月31日。
[4] 周光权:《侵犯公民个人信息与妥当的刑罚处罚》,《检察日报》2020年1月13日。
[5] 刘学涛:《新冠肺炎疫情防控与个人信息保护如何平衡》,《民主与法制时报》2020年2月29日。
[6] [日]梶田幸雄:《日本个人信息保护法概要》,柴裕红译,《人民法院报》2018年6月29日。
四、学位论文类
[1] 吴苌弘:《个人信息的刑法保护研究》,博士学位论文,华东政法大学,2013年3月。
[2] 童园园:《大数据时代下刑法对个人信息的保护》,硕士学位论文,华东政法大学,2014年4月。
[3] 张妍:《论我国个人信息刑法保护之不足与完善》,硕士学位论文,吉林大学,2017年5月。
推荐阅读
投稿邮箱:qmfmbjb@sina.com
主题;篇幅;体例
青苗学人交流群
长按扫描二维码添加青苗微信号,加入青苗学人交流群,一同交流、分享!
本文责编 ✎ 泽宇
本期编辑 ✎ Ben