其他
人民法院报|吴沈括:司法提升数字时代个人信息的刑法保护水平
吴沈括
北京师范大学法学院博士生导师
中国互联网协会研究中心副主任
【按语】2022年12月末,最高人民法院发布第35批共4件指导性案例,均为公民个人信息保护刑事案例。该批案例分别涉及人脸识别信息、居民身份证信息、微信等社交媒体账号、手机验证码等刑法保护的公民个人信息范围、性质,对于明确类案裁判规则,依法保护公民个人信息具有重要的指导意义。笔者应邀就该批指导性案例作重点点评:
随着我国各行业各领域的数字化转型步入快车道,数字经济和数字社会正呈现蓬勃发展态势。特别是在以数据(个人信息)驱动的各类新型经济模式和商业应用的发展过程中,个人信息的价值日益凸显,已构成最重要的基础性要素。同时也滋生了对各类个人信息以及个人权益的侵害行为,特别是公民个人信息被非法收集、处理和滥用等的违法违规案件时有发生,成为行政监管和刑事司法的红线区域。近年刑事司法裁判大数据显示,网络空间与数字环境是侵犯公民个人信息罪发生的首要领域,如何与时俱进通过科学、有效的司法裁判提升数字时代个人信息的刑法保护水平已是重大的时代命题。
自《网络安全法》《数据安全法》特别是《个人信息保护法》等新一代数字立法相继颁布施行以来,我国与数据治理和个人信息保护相关的法律规则设计日益完善,在信息安全保障、法定权益保护以及流转利用秩序等各个方面形成了整体的规范体系。而近年有关个人信息保护的刑事司法遵循保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用的立法精神,持续丰富类案裁判规则,为个人信息与个人权益的全面保障提供更具实效的操作指引。对此,具有突出典型意义的是近期最高人民法院发布的第35批指导性案例:
一、助益界定社交媒体场景中的犯罪构成典型行为
我国《刑法》引入第二百五十三条之一后,针对侵犯公民个人信息罪在犯罪构成要件层面主要规定了四类典型行为,也即“违反国家有关规定,向他人出售或者提供公民个人信息”,以及“窃取或者以其他方法非法获取公民个人信息”。而刑法的高度类型化规定,在缤纷多样的数字化环境中,面对着如何准确适用于具体场景的持续追问。为此,2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称:《解释》),通过专条就“提供公民个人信息”和“以其他方法非法获取公民个人信息”等语辞含义做出了明文阐释,便利司法机关在实务中对于各种典型行为的裁量判断。
此次发布的指导性案例194号《熊昌恒等侵犯公民个人信息案》则专门针对社交媒体的应用场景,特别明确了违反国家有关规定,购买微信等社交媒体账号后,非法制作带有公民个人信息的社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为。在社交媒体领域的生态结构日趋复杂的当下,公民个人信息的侵犯风险更为突出,该案例有助于在涉及社交媒体账号信息流转的特殊场景中,为司法机关提供有效的裁判指引,进而精准界定符合侵犯公民个人信息罪的典型行为样态。
二、助益明确已公开个人信息刑法保护的专门规则
在目前数字网络语境下,已公开个人信息具有相当的数量占比,是具有特殊意义的数据类型,其使用和流转规则长期属于理论和实务的争鸣焦点。2021年《个人信息保护法》在强调不得非法买卖、提供或者公开他人个人信息的同时,特别针对已公开个人信息,规定“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。”由此以“合理范围内的处理”为准则,划定了我国有关已公开个人信息保护的法律基线。
事实上,此次发布的指导性案例194号《熊昌恒等侵犯公民个人信息案》,一方面专门指出在案件中未经公民本人同意或具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,不属于“法律规定的合理处理”,从而明确了处理已公开个人信息的合法与非法界线,建立了《刑法》与《个人信息保护法》之间制度性呼应的桥梁。另一方面,还特别认定案件中的此等行为属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为,情节严重的,构成侵犯公民个人信息罪,从而明确了此种情形的入罪门槛,亦表明了已公开个人信息刑法保护的特别实现方式。
三、助益丰富刑法规范视野下的个人信息保护范围
从《网络安全法》《民法典》到《个人信息保护法》,我国现行法律法规主要以“识别性”为标准勾画个人信息的法定范围,特别是《个人信息保护法》明文规定个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,从而涵盖了直接识别和间接识别两种具体情形。当然,在现今大数据环境下,由于数据间的多重关联广泛存在,这种宽口径的立法模式,也往往伴随司法实务中具体认定的困扰。
此次发布的指导性案例194号《熊昌恒等侵犯公民个人信息案》明确认为,微信号和手机实名绑定,与银行卡绑定,和自然人一一对应,按照有关司法解释的规定个人信息包括账号密码,因此微信号可认为是公民个人信息。而指导性案例195号《罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案》则专门指出,服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息。这些案例和论断,在2017年《解释》所引入的个人信息分类体系的基础上,为刑事司法中“间接识别型”个人信息的厘定提供了方法论依据。
引申言之,着眼网络空间生态治理的维度,此次发布的指导性案例的更深层启示意义在于,侵害公民个人信息犯罪的防治乃至涉数据刑事合规风控体系的建立和完善,应当以刑事责任预防为起点,对各类数据技术运用的机理特质、应用场景、伴随情状等要素做出具体的类型化研判,在全面建立数据治理框架的基础上,追踪司法裁判案例、比对个人信息的处理情形与司法案例的定性,分析可能受到侵害的法益内容以及相应的法律风险属性,提炼并遵从现行法律规范确立的各项合法性依据,进而设计和引入与业务生态相匹配的刑事合规举措。
— END —
吴沈括 黄诗亮|美国智库CNAS《数字监控生态系统》报告解析
“数据二十条”政策解读|吴沈括:构筑面向数字化和全球化的数据跨境流通生态
聚焦网络法治 护航数字经济:2022年世界互联网大会乌镇峰会网络法治论坛在浙江乌镇举行
动向|欧洲2023年立法议程:数字立法位于第二位
美国要求互联网公司研发针对中国电信设备的攻击武器 外交部回应“中国+中亚五国”数据安全合作倡议
前沿瞭望|美国首次公布联邦《数据隐私与保护法案》(全文)
动向|美国推动的"印太经济框架" 想做什么?动向|拜登宣布启动"印太经济框架" 日韩澳印等13国加入洞察|欧盟-美国有关未来数字治理的立场异同欧洲EDPS与EDPB关于欧盟数据法案的联合意见(5月5日)
高端视野|吴沈括 李涛:流量劫持的的刑法应对
吴沈括|数据要素市场建设中的公共数据与政企合作吴沈括|欧盟2022年《数字服务法案》:平台新治理的欧洲样板
吴沈括|欧盟2022年《数据治理法案》:数据要素流转利用的欧洲方案
美欧就跨大西洋数据隐私框架达成原则性协议(含监管历史演进梳理)光明网 | 吴沈括:强化数字安全助力数字经济高质量发展重磅|欧盟《数据法案》(Data Act)草案(中译本)重磅|欧盟《数据法案》(Data Act)草案全文
高端视野|吴沈括 Deuse Clément:欧盟数字主权与《数据法案》立法进程高端视野 | 吴沈括 S. Boutillier:网络空间国际规则与《巴黎倡议》高端视野|吴沈括 L. Valenti:数据跨境调取与布达佩斯公约第二补充议定书高端视野|吴沈括 H. MANZOOR:数字安全与联合国打击网络犯罪公约高端视野|吴沈括 Elena Scarpelli:欧盟数据主权与《电子证据条例》立法高端视野|吴沈括 Andrea Fusi:欧盟数字转型与《数字权利和原则宣言》高端视野 | 欧盟委员会《欧洲数据治理条例》提案研究数字治理全球洞察 | 跨境数据治理前沿系列:【研究报告】数据跨境治理国别规则(10):澳大利亚【研究报告】数据跨境治理国别规则(9):俄罗斯
【研究报告】数据跨境治理国别规则(8):印度
【研究报告】数据跨境治理国别规则(7):马来西亚
【研究报告】数据跨境治理国别规则(6):新加坡
【研究报告】数据跨境治理国别规则(5):韩国
【研究报告】数据跨境治理国别规则(4):日本
【研究报告】数据跨境治理国别规则(3):德国
【研究报告】数据跨境治理国别规则(2):爱尔兰
【研究报告】数据跨境治理国别规则(1):欧盟
数据跨境|欧-美数据隐私框架充分性决定草案:认可美国数据保护水平
数据跨境|英国就韩国达成数据跨境充分性认定 助力实现双边经济增长
数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)
数据跨境|拜登《关于加强美国信号情报活动保障的行政命令》(中译本)高端视野|吴沈括 孙鹏程:《数据出境安全评估办法》下的出境合规准备工作重磅 | 国家互联网信息办公室《数据出境安全评估办法》(全文)
重磅 | 国家互联网信息办公室公布《数据出境安全评估办法》(附答记者问)
速递|欧洲数据保护委员会关于欧美跨大西洋数据隐私框架协议的声明动向|欧盟与美国有望在2022年春季达成新的数据跨境传输协议高端视野|吴沈括 蔡佩原:欧盟《数据法案》(草案)的非个人数据跨境制度高端视野 | 吴沈括 邓立山:WTO框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:OECD框架下的数据跨境规则研究高端视野 | 吴沈括 邓立山:DEPA框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:G20框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:CPTPP框架下的数据跨境规则研究
高端视野|吴沈括 邓立山:RCEP框架下的数据跨境规则研究
高端视野 | 吴沈括 邓立山:APEC框架下的数据跨境规则研究高端视野|吴沈括 邓立山:APEC框架下关于数据跨境的CBPR规则研究数字治理全球洞察 | 数据治理前沿系列:速递|最高人民法院发布第35批指导性案例 强化个人信息刑法保护
吴沈括|全面落实上位法律规范 培育数据安全管理生态
重磅|工信部《工业和信息化领域数据安全管理办法(试行)》(全文)
数据司法|欧盟法院:如果个人信息“明显不准确” 有权要求搜索引擎移除搜索结果
最高检发布5件依法惩治侵犯公民个人信息犯罪典型案例
《“十四五”全民健康信息化规划》:医院核心信息全国互通 强化网络与数据安全
汽车数据处理、个人信息安全工程指南等14项国家标准发布
EDPB:执法资源不足导致个人数据保护的监管面临风险
速递|印尼国会审议通过《个人数据保护法》高端视野|吴沈括:《企业涉个人信息刑事风险合规风控》研究报告重磅|中央深改委通过《关于构建数据基础制度更好发挥数据要素作用的意见》
瞭望|英国公布2022年《数据改革法案》具体计划 称为“脱欧后的胜利”数据执法|法国数据监管机关:对谷歌分析工具的整改不会让它变得合法高端视野 | 跨国企业数据保护官(DPO)设置研究(上篇)国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告观点|阻碍医疗数据研究革命的是法律问题,而不是基础设施
检察日报|吴沈括 李涛:数字经济语境下流量劫持的刑事治理数据监管|匈牙利就AI数据处理侵权对布达佩斯银行科处高额罚款数据监管|法国数据保护机关就健康数据泄露处罚生物公司150万欧元
欧洲数据保护委员会(EDPB)关于执法合作的声明(4月28日)
速递|欧洲数据保护委员会关于比利时数据保护机关独立地位的质疑关切数据监管|芬兰数据保护机关因诊所实现数据主体权利不力科处行政罚款数据监管|欧洲数据保护专员(EDPS):是时候瞄准在线广告了!数据监管|爱尔兰数据保护委员会宣布对Meta(脸书)处罚1700万欧元数据监管|意大利数据保护机关就面部识别处罚美国Clearview公司2000万欧元数据监管|波兰数据保护机关就员工造成数据泄露对公司处以创纪录罚款数字治理全球洞察 | 网络安全治理前沿系列:吴沈括 黄诗亮|美国智库CNAS《开放未来:5G的未来之路》报告解析
速递|美国禁止华为中兴等5家中企在美销售设备
英国延后华为临时禁令 但2027年底前全面移除5G设备不变
美国网络安全禁令生效,限制向中国等国家共享网络漏洞重磅|欧盟委员会2022年《网络安全条例》提案(全文)重磅|欧盟委员会2022年《信息安全条例》提案(全文)数字治理全球洞察 | 网络平台治理前沿系列:数据监管|Tiktok因在线跟踪缺陷被法国处罚500万欧元
速递|工信部征求意见:提升移动互联网应用服务能力,强化全流程个人信息保护
重磅|市场监管总局对知网滥用市场支配地位罚款8760万元并责令全面整改(附行政处罚决定书)
重磅|中央网信办秘书局 中国证监会办公厅《非法证券活动网上信息内容治理工作方案》(全文)
重磅|国家网信办、工信部、公安部《互联网信息服务深度合成管理规定》(全文)
国家六部门:网约车平台采集个人信息应在中国内地存储使用 保存不少于2年
重磅|反不正当竞争法(修订草案征求意见稿)禁止利用数据算法不正当竞争
国家互联网信息办公室修订《互联网跟帖评论服务管理规定》发布施行
EDPB通过有关TikTok的法律文书 TikTok停更个性化广告的法律基础重磅|国家广电总局、文旅部《网络主播行为规范》(全文)
重磅|中央深改委:将平台企业支付和其他金融活动纳入监管 服务实体经济
国家网信办《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(全文)全国人大常委会法工委披露反垄断法、反电信网络诈骗法二审稿修改内容
重磅|国家网信办修订发布《移动互联网应用程序信息服务管理规定》(全文)
数字治理全球洞察 | 数字政府治理前沿系列:吴沈括 黄诗亮|美国智库New America《数字政府建设路径》报告解析
重磅|国务院《关于加强数字政府建设的指导意见》(全文)数字治理全球洞察 | 未成年人保护前沿系列:光明网|吴沈括:未成年人网络保护面临技术、组织、内容三重风险
数字治理全球洞察 | 电信网络诈骗治理前沿系列:2022年电信网络诈骗治理报告:以短视频平台为样本的研究
发布反电信网络诈骗倡议!北师大主办2022年世界互联网大会乌镇峰会网络法治论坛
吴沈括 黄诗亮|《反电信网络诈骗法》的治理要旨与合规启示英译本|《中华人民共和国反电信网络诈骗法》(全文)重磅|《中华人民共和国反电信网络诈骗法》(全文)重磅 | 《反电信网络诈骗法(草案二次审议稿)》(全文)数字治理全球洞察 | 数据跨境取证前沿系列:重磅|司法部明确涉诉数据信息的跨境调取规则数据跨境取证|吴沈括 蔡佩原:英国-美国《数据访问协议》中译本(2022-10-03施行)数字治理全球洞察 | 数据认证前沿系列:高端视野|吴沈括:个人信息保护认证的制度意义与实践价值
吴沈括 邱芷蕙|美国TrustArc隐私与数据治理框架(P&DG)要览吴沈括 周奕达|美国TRUSTe企业隐私认证的机制概要与价值启示前沿|EDPB批准德国州数据保护机关有关数据保护认证计划的意见数字治理全球洞察 | 数据要素市场前沿系列:重磅|工信部等十六部门关于促进数据安全产业发展的指导意见
Meta将个人数据用于广告投放 被欧盟罚款3.9亿欧元
数据要素市场|厦门公布《厦门经济特区数据条例》(全文)
《四川省数据条例》获表决通过 2023年1月1日起实施
数据要素立法|《陕西省大数据条例》(全文)数字治理全球洞察 | 人工智能治理前沿系列:重磅 | 中国关于加强人工智能伦理治理的立场文件
速递|美国总统拜登签署《人工智能培训法案》
EDPS:欧洲委员会《人工智能公约》谈判应当加强基本权利保护数字治理全球洞察 | 数字经济治理前沿系列:动向|美国议员鼓动强化对美在中国投资审查
吴沈括|构筑面向数字化和全球化的数据跨境流通生态
美国PCAOB:现行合作框架满足对中概股审计底稿核查的要求
数据资产|财政部:企业应按规定披露不同类型数据资源
吴沈括 崔鑫铭|《北京市数字经济促进条例》助力建设全球数字经济标杆
重磅|《北京市数字经济促进条例》通过 重点培育数字经济核心产业
数字治理全球洞察 | 国别研究系列(美国):吴沈括 黄诗亮|美国智库CNAS《数字监控生态系统》报告解析吴沈括 黄诗亮|美国智库New America《数字政府建设路径》报告解析
吴沈括 黄诗亮|美国智库CNAS《开放未来:5G的未来之路》报告解析