🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
查看原文
其他

公民个人信息保护的刑法扩展路径及策略转变

网络法学研究院 网络法学研究院 2023-01-13
收录于合集 #学术动态 52个

点击蓝字关注我们



作者及文章来源

     李怀胜,中国政法大学网络法学研究院副教授,法学博士。

本文受中国政法大学青年教师学术创新团队支持计划资助,同时是国家社科基金青年项目“数据开放的刑法边界研究”(17CFX022)的阶段性成果。本文原载于《江淮论坛》2020年第3期,因篇幅较长,已删去脚注。

摘要


刑法对公民个人信息犯罪,经历了立法层面的间接保护到直接保护的模式转变,以及司法层面的个人探索与规范解释的交替进行的演变轨迹。其基本思路是规制场景的单一化与公民个人信息内涵的扩张。但这种类比隐私权的保护模式已不适应数据开放共享的时代要求以及信息不当滥用的泛化趋势,技术进步也使可识别性标准面临虚化危机。应当在侵犯公民个人信息罪的行为类型构造、规范射程等多方面进行调整,将犯罪的规制链条向全场景延伸。并引入优越利益原则,作为社会公共卫生事件等紧急事态下个人信息开放的正当化免责机制。

关键词


公民个人信息  开放共享  自主控制  利益平衡


一、问题的提出

在信息化时代,海量的电子化数据每天不断在网上生成、存储、转移与利用,数据的规模呈几何指数般增长。据国际信息技术咨询企业国际数据公司(IDC)的报告,2020年全球数据存储量将达到44ZB,到2030年将达到2500ZB。同时得益于数据处理技术的进步,各类集合性数据、结构化数据和非结构化数据,成为商业机构追捧的重点。瑞士达沃斯世界经济论坛的报告毫不讳言地指出,“个人数据是新型石油,也是21世纪最具价值的石油”。数据管理不但是企业竞争力的核心指标之一,对提升国家社会治理和公共服务能力也有直接的价值和意义。在2020年的“新冠肺炎”疫情期间,一些互联网公司运用自己的数据分析能力,在传染人员筛查、传播路径跟踪、疫情发展模型、风险预警方面为政府决策提供了大量数据支撑,为控制疫情做出了突出贡献。但是同时,疫情期间大量存在的侵犯公民个人信息的行为也给我们提出了一个尖锐的话题:在发生国家重大突发公共事件或者其他紧急事态时,如何实现社会利益与个人利益的平衡,互联网公司承接政府数据的数据共享行为是否具有合法性?如果抛开公共卫生事件这样独特的历史时期,而转入常态化视角的话,我们依然会发现,对公民个人信息的侵犯不但在数量与规模上呈现激增态势,伴随着技术场景的多元化,侵犯公民个人信息的行为样态上也出现明显的复杂化趋势。除了电话营销、精准诈骗这类传统的滋扰与侵害行为,诸如针对个人的数据画像、价格歧视、深度伪造、强制推送等等层出不穷,大有要将个人信息附着的最后一点油水榨干吃净的意味。近年来,民法、刑法、行政法等领域出台了各类保护公民个人信息的法律规范,意图形成部门间合力,但是至少在刑法领域,刑法不但没有遏制住传统的信息不法流转型的犯罪行为,对于更新型的信息滥用型的犯罪更是束手无策。公民个人信息刑法保护的现实困境不仅来自于罪刑规范的缺陷与不足,更深层次的原因在于大数据时代下刑法规制个人信息犯罪的基本立场和价值取向是什么?基于个人信息对数字经济、政务辅助决策的巨大作用,个人信息不再是排他性权利的承载者,而是一种特定公开、多元共享的可识别的信息形式。在保障个人信息中的个体人格利益的同时,又要给社会以信息利用的充分空间,实现社会公共利益与个体利益的平衡。基于这样的目的,本文首先回溯刑法关于公民个人信息保护的演变轨迹,揭示其规制困境的症结和表现,并提出完善性思路,以构建数据主体、数据控制者、数据利用者多元共生的法律保护格局。

二、公民个人信息保护的刑法轨迹演变

整体来看,刑法对公民个人信息的保护策略,或许可以满足传统互联网时代的规制需求,但是与人工智能与大数据时代则渐行渐远。(一)立法层面:从间接保护到直接保护的模式转换自1997年刑法以来,刑法对公民个人信息的保护,在保护模式上经历了从间接保护到直接保护的转变,在保护范围上经历了从单一内容保护到多元复合保护的转变。刑法保护策略的转变,是与公民个人信息法益内容的不断更新密不可分的。1.1997年刑法:基于“身份盗窃”的个人信息间接保护模式1997年刑法对公民个人信息的保护是一种基于身份盗窃的间接保护模式。“所谓身份盗窃,是指利用窃取他人身份所实施的危害他人人身、财产安全的行为。”例如冒用他人身份上大学等。1997年刑法涉及身份盗窃的规定有第196条信用卡诈骗罪中的“冒用他人的信用卡的”,这显然侵犯了他人对个体信息的专属使用权。此外还包括刑法第224条合同诈骗罪中的“冒用他人名义签订合同的”等情形。不过,1997年刑法相关罪名在法益类型和具体对象上都有各自指向性,并非对个体法益的专属保护,更不是专门保护个人信息,个人信息附着于物理介质上,刑法实际保护的是信息载体而非信息本身。身份盗窃是公民个人信息的间接保护模式,而1997年刑法对身份盗窃也是一种间接保护思路,其时公民个人信息还处于非常边缘化的境地。2.《刑法修正案(五)》:从信用卡犯罪切入的直接保护模式2005年《刑法修正案(五)》增设的刑法第177条之一妨害信用卡管理罪和窃取、收买、非法提供信用卡信息罪,表明在信用卡犯罪体系中,基本实现了对身份信息犯罪的独立规制。立法将信用卡犯罪的早期链条从信用卡犯罪中独立出去,“体现了从财产利益保护到信用工具制度保护再到卡身份信息的保护过程。”也就是说,仅仅是侵犯他人信用卡信息资料的,就可以独立构罪,而不再依赖于下游的信用卡犯罪。两个罪的立法价值在于:立法开始重视个人信息的独立保护价值,这是直接保护模式的开端。3.《刑法修正案(七)》和《刑法修正案(九)》:公民个人信息犯罪的正式确立与完善随着智能互联网时代的到来,数据的价值得到充分认可,社会商业主体对他人信息有着旺盛的需求,信息犯罪的危害已经由过去的某个点(信用卡信息)向整个面(全方位的个人信息)铺开,另外,信息犯罪也开始脱离身份盗窃,向身份盗窃的上游演进,因而有必要确立关于侵犯公民个人信息的专门处罚条款或罪名。《刑法修正案(七)》第七条增设了刑法第253条之一的出售、非法提供公民个人信息罪与非法获取公民个人信息罪。《刑法修正案(九)》将两个罪进行合并,扩充了犯罪主体,整合为侵犯公民个人信息罪,形成了目前的罪刑格局。(二)司法层面:个案探索与规范解释的交替进行行为类型的构造是由刑事立法实现的,但是“公民个人信息”的内涵探索,则是由司法完成的, 2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的出台标志着上述探索的阶段化成果。1.刑法司法解释:“身份认证信息”的确认2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》引入了“身份认证信息”的概念,该解释第11条,“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。该司法解释虽然针对的是非法获取计算机信息系统数据、非法控制计算机信息系统罪等,但是由于身份认证信息是可以达到个人信息的“身份可识别性”标准的,它无形中扩展了“公民个人信息”的内涵。2.刑法个案解释:“推定身份信息”的引入司法实践对“公民个人信息”的外延也进行了积极探索。在《刑事审判参考》总第83集上刊登的第741号案例(谢某出售公民个人信息案)中,法院认为一旦公民的方位被他人知悉,相当于公民的活动就暴露在他人面前,因而公民所处位置就具有隐私性,对公民手机进行定位属于侵犯公民隐私的行为。法院基于信息的隐私属性而将其认定为公民个人信息,体现了早期司法机关对公民个人信息属性的认识。另外,在《刑事审判参考》总第99集上刊登的第1009号案例(胡某等非法获取公民个人信息案)中,法院认为,“被告人获取的被害人的日常行动轨迹和活动地点等信息,具有个人专属性,能反映出该公民某些个人特征,且信息内容关系到公民日常生活的基本安全性,信息的泄露会使公民彻底失去安全感,严重影响其日常生活。”法院的裁判理由不再止步于信息的隐私性,而是从安全性和个人专属性的角度出发论证个人信息保护的价值,是司法机关对个人信息价值认识的进一步深化。手机定位信息和位置信息与公民其他信息相加,可以达到识别自然人个人身份的程度,属于“推定身份信息”,可以被纳入到公民个人信息的范畴中。司法个案的思维逻辑,在于承认推定身份信息作为公民个人信息范畴的价值。结合刑法典的规定,从1997年刑法修改至今,刑法中先后出现了“信用卡信息”-“个人信息”-“身份信息”-“身份认证信息”-“推定身份信息”-“公民个人信息”等概念,刑法不断丰富对公民个人信息内涵的认识。(三)公民个人信息保护的刑法轨迹的基本逻辑从1997年刑法至今,刑法坚持了两条腿走路的公民个人信息保护的演变路径。一条路径是,在行为类型构造上,将侵犯公民个人信息的行为限定在不法流转这种单一场景中,无论是窃取、收买、非法提供信用卡信息还是出售、提供公民个人信息,立法高度关注个人对信息的自主可控性。尽管刑事立法从未涉及公民个人信息的权利性质之争,但是其和隐私权强调隐私的可控性、私密性,以及防范隐私不当转移的保护逻辑是内在相通的。这种逻辑在网络发展初期是没有任何问题,但是已不适应大数据时代有序流转信息、充分利用信息、相对可控信息的要求了。特别是随着信息主体与信息控制者的分离,要求严格限制信息流转的做法不但在理论上不可行,在实践中也已经破产。例如,云计算平台的开放性、动态性,个人信息存储的泛云端化特性,已经完美绕开了侵犯公民个人信息罪的“侵犯行为”。公民个人信息刑法保护的第二条路径是,通过扩展公民个人信息的范畴来扩大本罪的保护半径。公民个人信息当仁不让地成为整个刑法保护体系的关键词,并吸引了刑事司法的绝大多数精力。刑事司法对公民个人信息犯罪的打击,也主要聚焦于对公民个人信息的筛选和识别上,即对公民个人信息的“可识别性”的判断上。本质上这仍然是基于点的扩张,而非保护链条的拉长。并且,随着物联网和智能穿戴设备的普及,对个人信息的搜集将更加高效和频繁,预示着公民个人信息犯罪的危害性量级依然有较大的提升空间;借助大数据挖掘技术,多重来源的、碎片化的数据更易被拼接为完整的人体图像,不同属性和来源的数据更易被关联与聚合;数据开放和共享的场景下,诸如对个人的价格歧视、深度伪造等新的个人信息滥用场景不断涌现,已无法兼容现有的个人信息犯罪。

三、公民个人信息刑法保护的规范错位与规制之失

侵犯公民个人信息罪的法益保护立场依然是传统的隐私权保护路径,尽管理论上试图通过法益自决权、信息自决权、独立信息权利等概念调适本罪与数据开放时代的共享需求之间的矛盾,但任何理论的诠释都无法绕开基础罪刑规范的制约。侵犯公民个人信息罪的两个演变路径目前都受到现实罪情的极大挑战。  (一)防范流转型的犯罪模式无法适应数据滥用的犯罪场景   “《网络安全法》确立的公民个人信息违法类型模式有五种,分别是非法收集、非法使用、非法出售、非法提供和非法获取,然而侵犯公民个人信息罪的行为模式只有三种:非法出售、非法提供和非法获取。”侵犯公民个人信息罪只打击信息流转环节,对信息滥用则缺乏必要的关注,因此它是防范流转型的犯罪模式。数据的价值在于流动而不在于保存,数据是数字经济的基本燃料,为了抢占数据经济的产业高峰,世界各国高度重视数据开放共享工作。我国在2015年9月就发布了《促进大数据发展行动纲要》,提出“加快政府数据开放共享,推动资源整合,提升治理能力”。跨层级、跨地域、跨系统、跨部门的数据开放已成为大数据时代的发展导向。在新冠肺炎疫情期间,一些地方政府在本地大数据平台持续发布疫情统计数据,包括确诊病例的大致居住地域、活动轨迹等,这些颗粒度饱满的数据集不但满足了公众的知情权利,也让互联网公司据此开发了众多疫情查询、防范的小程序,实现了政府、产业界与社会公众的多方共赢。不过,开门迎客免不了混进来几只苍蝇,在信息巨大价值的诱惑下,公民个人信息的不法流转依然猖獗,而信息不当滥用行为更是大有“青出于蓝”的势头。

    1.过度授权、强制授权等完美绕开了信息流转的知情同意原则

侵犯公民个人信息罪规定了“违反国家有关规定”的构成要件要素,国家有关规定是本罪的违法性根据。这也决定了本罪作为法定犯的定位。依照《网络安全法》第41条的规定,公民个人信息的流转遵循“知情同意”原则,这也是包括GDPR在内的许多国家公民个人信息流转的共同规范。个人信息流转的另一个合法性依据是国家的强制性规定,例如《刑事诉讼法》第108条规定,“任何单位和个人发现有犯罪事实或者犯罪嫌疑人,有权利也有义务向公安机关、人民检察院或者人民法院报案或者举报。”但是在实践中,“知情同意”原则逐步走入虚置甚至名存实亡。随处可见的APP过度索权和过度读取用户信息,用户面临着“用隐私换便利”或者不接受服务的两难选择。大型网络服务商在采集个人信息时可能会使用弹性条款和概括性授权的方式,用户在垄断性网络服务面前的可选择权非常有限。

    2.在现代信息场景下,滥用个人信息已不必然以非法获取他人信息为前置条件

深度伪造是依托人工智能发展起来的一项新技术,行为本质是对个人生物识别信息的滥用。合适的算法加上充足的个人生物识别信息,就能完美创造出以假乱真的视频和声音来。而网络上也从来不缺乏公众人物的各类视频和图像信息的。在张富等人侵犯公民个人信息案中,张富等人从网络下载近2000万条公民个人信息,利用软件将公民头像制作成公民3D头像,通过支付宝人脸识别认证,再利用上述公民个人信息注册支付宝账户,从而获得相应的红包奖励。法院或许认为虚假注册账户的行为不好评价,而认定张富等人构成侵犯公民个人信息罪,但是实际上,张富等人掌握的公民个人信息是从网上公开获得,并非侵犯公民个人信息罪的“侵犯行为”,其行为的不法性在于滥用这些信息。3.不当滥用行为对公民个人信息的侵害不亚于非法流转在“可识别性”的共同特质下,公民个人信息内部也有不同样态的划分。身份证号码、家庭住址等信息具有高度的人身依附性,其产生由法律授予或者自然产生,而对于个人生活轨迹、购物习惯数据等,个人只是信息的参与创造者,在法理上不具有对这类数据的独占权。欧盟虽然创造了可遗忘权、可携带权等概念,试图在信息的多元化利用中平衡个体的利益,但是此举又给网络运营者增加了沉重的合规成本。海量的数据集合犹如一个巨大的金矿,如果没有法律的约束,很难遏制住企业不当滥用信息的冲动。例如,堂而皇之地对个人进行数据画像,搞价格歧视等,还美其名曰是正常营销行为。实际上,这种信息的不当滥用还是很低级的阶段。在美国,一款名为“按使用保险”(UBI)的大数据汽车保险正在迅速抢占市场。它的原理在于将用户的驾驶数据引入风险评估模型,包括用户的里程数、车况、周边环境、急刹车次数、治安环境、是否开车接打电话等等所有可能想到的数据,然后据此给车主进行保险定价。一些人要么忍受极高的保费,要么不投保,这不仅给交通安全造成隐患,也架空了保险制度的功能,唯一得利的就是保险商。单纯的信息非法流转并不会直接侵害个人法益,而后续的不当滥用则将前端的非法流转的不法性现实化,通过惩治不法流转来遏制不当滥用,或可实现法律的规范目的,但是,随着强制授权、过度授权以及合法获取、不当利用现象的增多,制裁不法流转已经丧失了对不当利用的制约功能,独立惩治不当滥用的必要性显著升高。(二)“公民个人信息”关键词的展开及困境

     公民个人信息是刑法保护体系的关键词,在刑法对侵犯公民个人信息罪的行为类型构造相对固化之后,刑法司法解释期冀扩张公民个人信息的概念来强化对公民个人信息的保护,只是,在现代信息技术条件下这种做法同样困境重重。

    1.公民个人信息的内涵:技术对可识别性标准的冲击

现代信息技术促进了数据价值的增长,却也让每个社会个体都可以被“数字化”,进入到信息技术包裹的巨大监控之网中,戴维·布林所描述的“透明社会”越来越趋近于现实,而非仅仅停留在幻想中。个人信息的保护需求,源自技术进步带来的对信息价值的认可,但是技术却也在不断消解个人信息保护的定型规范的内核,使个人信息保护的规范目的越来越难以实现。《网络安全法》确立的公民个人信息的直接识别和间接识别的标准被《解释》所继承,但是在现代信息技术的冲击下,这两个识别标准都面临着巨大的危机。首先看直接识别。识别的本意,是区分和辨认,通过识别,信息和个人之间建立直接的通道,进而两者的形象完全等同和融合起来。因此识别还具有信息的筛选甄别功能,即将不具有识别性的信息从公民个人信息的范畴中排除出去。这样做的意义,一方面强化对个人信息自决权以及背后所代表的个人的价值与人格尊严的保护,另一方面,则是为社会充分运用非个人信息的数据提供了法律空间,这部分数据,尽管也受到其他法律的约束,但是其保护的强度毕竟显著弱于公民个人信息。然而,随着数据挖掘包括人工智能深度学习技术的进步,原先不具有识别性的数据可能也具有了识别性。例如,地铁、十字路口抓拍的个人面部图像,原有只有治安的监控功能和治安、刑事案件的证据法意义,然而现在则基本实现了由场景监控到人的监控的转变。但身份可识别信息(identifiable)与身份不可识别信息(non-identifiable)之间的界限已经越来越模糊,技术进步对法律的挑战日趋明显。其次看间接识别。数据开放的先决条件是数据脱敏,即去除信息的可识别性,经过处理后的数据无法被指引到特定的个人。2018年5月1日起实施的《信息安全技术个人信息安全规范》将其具体又分为去标识化和匿名化。《解释》第3条将“经过处理无法识别特定个人且不能复原的”信息作为侵犯个人信息罪的出罪条件,为大数据的合理利用留下了合法空间。但是,在大数据环境下,任何所谓的“脱敏”“匿名”都是相对的。表面上已经去除了可识别性的信息经过大数据的挖掘尤其是与其他信息对比之后,依然可以重新建立对个人的数据画像。在所谓的“去识别”(de-identification)之后,通过一定的手段,特别是依赖公开来源信息,数据挖掘者可以实现“再识别”(re-identification)。例如,美国在线曾经将用户搜索信息删除用户名称和用户地址后附加上唯一数字编码发布,记者通过这些数据却识别出了部分用户。当然,对于再识别的个人信息也不是没有应对的方案,技术上的应对措施是要求对数据进行深度脱敏,彻底匿名化,不过这样做的代价可能是数据没有利用的价值;法律上的应对法案是再次获得用户的同意许可,不过这样做恐怕更加不现实。即使是原本不属于公民个人信息的数据,也可能基于多个不同来源数据的组合、匹配与碰撞,而重新生成新的公民个人信息。在此情况下,还要不要获得个人的同意授权就成为疑问,且不说法律操作的可行性,这类数据不是直接从公民个人处获得,而是企业再加工和创造的产品,凝结了企业的智力与经济投入,个人的同意授权就不再具有天然的正当性。此外,企业对个人数据画像的合法性范围未必有明晰的人认识,而很可能陷入无意识地侵权甚至犯罪中。公民个人信息的识别性越来越具有场景的相对性,技术不断进步带来的识别性难题与定型规范之间的撕裂迟早将公民个人信息的法律保护(包括刑法保护)推入这样的境地:个人信息的范围不可遏制地蔓延,并由此带来刑法规制范围的扩张,但是扩张的肯定是有限度的,结果可能也像黑洞一样:在吞噬了周边的一切星体和物质后,最终走向自身的塌陷。2.公民个人信息的外延:刑法与《网络安全法》的规制错位

    我国目前关于公民个人信息保护的法律体系虽然不够系统且略显凌乱,但是其法律规范的数量却蔚为大观,《网络安全法》《民法总则》《消费者权益保护法》《电子商务法》等均有关于公民个人信息保护的规定。由于侵犯公民个人信息罪规定了“违反国家有关规定”的构成要件要素,上述民法和行政法律就成为侵犯公民个人信息罪的违法性根据。这也决定了侵犯公民个人信息罪的法定犯的底色。不同于以保护人的自然情感和社会共同的伦理道德为目的的自然犯,法定犯是基于行政监管需要而设定的犯罪,它惩罚的是对行政义务的违反行为。对法定犯的处罚也是对其违反义务行为的矫正,不带有过多的伦理和道德非难因素。尽管自加罗法洛提出自然犯与法定犯的概念后,法定犯的概念得到了刑法学界的认可,且一百多年来法定犯在世界各国刑法典中均处于强势扩张状态。然而,刑法的最终目的是维护良善与有尊严的人类生活,保障公权力不过度和肆意侵入公民个人的空间。法定犯虽然为了保护行政秩序的有效运转,防范和处置违反行政义务的行为,具有立法上的正当性和必要性。但是,基于人权保障的客观需求,作为法定犯上位法依据的行政法律规范,对法定犯不但具有违法性的解释功能,还具有立法的指导功能和处罚范围的限缩功能。然而,由于刑法中的公民个人信息概念与《网络安全法》等行政法律中的规定并不一致,已违背法定犯的立法初衷。

我国界定公民个人信息的行政法律,主要有2012年全国人大常委会通过的《关于加强网络信息保护的决定》(以下简称《决定》)和《网络安全法》。《决定》第1条规定,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”可以看出,《决定》采取了“识别性”+“隐私”的双标准模式界定公民个人信息(法条表述是“公民个人电子信息”),体现出我国早期立法尚未完全明了个人信息与个人隐私信息的各自内涵,因而较为保守地将识别性和隐私性共同作为公民个人信息的标准。《决定》作为我国首部规定公民个人信息的专门性法律,其立法的前期探索意义值得肯定。《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”该定义较之《决定》的进步意义在于:不再将个人信息局限于电子化方式,以任何形式记录的个人信息均是法律保护的对象;其次,不再强调公民个人信息的隐私性,而是采用了单一的识别性标准;再次,将识别性标准由狭义扩展到广义,识别性包括直接识别和间接识别。《解释》的颁布时间正值《网络安全法》生效前夕,但是《解释》显然没有打算对《网络安全法》“照搬照抄”,而是基于自身独立的规范目的和惩处犯罪需求设立了独立的“公民个人信息”的界定模式。《解释》第1条认可了《网络安全法》的广义可识别性标准,但是同时又附加了“活动情况”信息。再结合《解释》第5条的规定,所谓的“活动情况”信息其实是一旦泄露可能影响人身、财产安全的各类信息,包括“行踪轨迹”、“财产状况”、“账号密码”等,如果说“行踪轨迹”还好理解,将“财产状况”和“账号密码”也纳入到公民个人信息范畴中就令人费解了。司法者从打击犯罪的功利目的出发,基于相关信息被他人滥用造成的后续的严重社会危害性而借助于公民个人信息犯罪实现前端的处置,却忽视了可识别性对公民个人的框定功能,造成处罚范围的不当扩大。

四、公民个人信息刑法保护的策略转换

在《解释》出台之前,刑事司法领域还有一个司法解释性文件对公民个人信息做出界定,即2013年“两高”和公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》),从刑事立法到刑事司法,从《通知》到《解释》,刑法花费了大量笔墨去探索和界定“公民个人信息”的核心语义,除了明确处罚范围之外,未尝没有限缩侵犯公民个人信息罪处罚范围的动机,然而,技术进步带来的公民个人信息范畴的泛化趋势警示我们,应当将注意力转移到个人信息滥用的后果上,注重对信息滥用风险的控制和评价,而不是仅仅拘泥于公民个人信息的范围。(一)行为类型构造:从信息的自主控制转向信息的自主使用如前所述,刑法解释超越行政法的界定,大力拓展公民个人信息的范畴,而在行为模式上,刑事立法又远较行政法限缩。行政法高度关注个人信息的收集和不法使用,如在个人信息的收集方面,《决定》最先确立了合法、正当、必要的原则,此后又被《网络安全法》确认,《民法总则》明确了对个人信息的七种不法形式:收集、使用、加工、传输、买卖、提供、公开,贯穿个人信息的收集、流转和使用所有环节。而刑法主要打击个人信息的不法流转环节。侵犯公民个人信息罪规定的是非法出售、提供和获取个人信息的积极转移信息行为,拒不履行信息网络安全管理义务罪制裁的是间接故意造成信息泄露的放任信息转移行为。侵犯公民个人信息罪不处罚个人信息的不法收集环节,也不处罚信息的后续滥用环节。当然,重视对个人信息收集的控制变得越来越没有意义,除非个人信息一经使用即会给个人带来人身或财产上危害,否则应当将规范重点放置于如何安全使用上,减少使用给个人带来不必要的风险。也就是说,应当将刑法打击的链条向后延伸,将对公民个人信息的不法使用纳入刑法的打击范围中,侧重对信息滥用后果的规制与防范。数据犯罪与信息犯罪界限的表征之一,就在于刑法只处罚针对公民个人信息的非法获取、出售和提供行为,其他诸如非法修改、非法删除、非法传播、非法使用个人信息的行为无法纳入公民个人信息犯罪的框架中,最后只能借助数据犯罪或者其他犯罪予以规制。而当前公民个人信息利用中,基于个人“数据画像”对个人进行堂而皇之的价格歧视、个性化营销,运用个人生物识别信息进行“深度伪造”,扰乱社会秩序等行为大行其道,更凸显了对公民个人信息进行全流程干预的必要性。大数据时代的公民个人信息,糅合了个体人格利益、经济价值、社会公共利益等属性,传统的隐私权、财产权等权利属性均无法完全包容公民个人信息,故而将公民个人信息视为一种新型的独立权利的观念越来越受欢迎。另一方面,大数据时代要求信息有序流动、多边共有、开放共享,过于强调信息的自主控制而忽视自主使用的观念将禁锢数据价值的发掘。因此,刑法应当以公民个人信息的积极趋利替代消极抗争的权利姿态,适当降低自主控制的保护强度,同时将保护的延长线拉伸到信息的不当滥用。(二)规范射程界定:公民个人信息概念的部门法统一当前,公民个人信息保护已经成为贯穿民法、刑法、行政法、网络法等各个部门法的高频词汇。《民法总则》第111条关于“自然人的个人信息受法律保护”的表述确立了公民个人信息民法保护的基础。客观上,公民个人信息概念的扩张性、应用场景的复杂性、保护难度的递增性等特点要求不同部门法协调并进,但是各部门分别立法的现状又导致了立法部分与相关信息部门之间隔离,进而引起法律的规制落后于信息技术的实践。回顾十几年来公民个人信息保护的法律进展和不同部门法出台的先后次序,《民法总则》在2017年10月1日才生效实施,《网络安全法》在2017年6月1日生效实施,而在刑法领域,即使不考虑1997年刑法的先期探索,即使从《刑法修正案(七)》确立两个独立公民个人信息罪名算起,迄今也有十年时间了。因此,公民个人信息保护实际上走了一条“刑先民后”的发展路径。在相关规范初创的时期,刑法的提前介入有助于提升社会公众的规范意识,起到敲山震虎的作用。但是,仅靠声势夺人是不能长久的,在《网络安全法》等其他部门法的相关规范陆续建立的背景下,刑法应当回归其本源地位,由公民个人信息保护的“刑先民后”变更为“民先刑后”,其最关键的做法就是公民个人信息的刑法概念与行政法概念的统一。概念术语的调整并非语言游戏,它牵涉法律规范的定位、法律的规制范围等一系列问题。例如,真正激活侵犯公民个人信息罪中“违反国家有关规定”的犯罪构成要件要素,发挥行政法对侵犯公民个人信息罪的上位法定型功能和违法性审查功能,回归侵犯公民个人信息罪的法定犯本色。再次,将“账号秘密”、“财产状况”等不具有识别性功能的信息从公民个人信息中排除出去。尽管这类信息的滥用确实会造成公民个人权益的受损,但是这类基于信息的后续犯罪行为完全可以借助其他罪名予以有效规制。将其纳入到公民个人信息范畴中,虽然坚持了预备行为实行化和法益保护前置的思想,但是运用侵犯公民个人信息罪保护这类信息,不符合信息自决权的法益初衷。(三)法益边界衔接:公民个人信息的分类立法保护识别性概念将所有的公民个人信息聚合在自己麾下,实际上,随着公民个人信息范围的扩大,公民个人信息内部不同类别信息的保护必要性强度是有差别的,保护力度也是可以有区分的。在其他部门法中,无论是公民个人信息的界定,还是具体场景下的保护要求,都开始进行公民个人信息的分级分类保护的探索。《信息安全技术个人信息安全规范》在“个人信息”的条目下,规定了“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”,即“个人敏感信息”。《信息安全技术个人信息安全规范》对敏感信息提出了收集、传输、信息共享等方面的特殊要求。另在个人信息场景应用方面,《居民身份证法》《反恐主义法》《征信业管理条例》等法律法规又做出了针对个人生物识别信息利用和管理的专门性规定。在行政法中对公民个人信息进行分级分类保护是必要的,而我国公民个人信息刑法保护规范中,“信用卡信息”-“个人信息”-“身份信息”-“身份认证信息”-“推定身份信息”-“公民个人信息”的立法传导路径也暗含了公民个人信息分类保护的路径是可行的。公民个人信息刑法分类保护的基础是,不同类别的个人信息承载的价值(人的尊严价值、信息的经济价值)是不同的,如果在“可识别性”的大旗下一体保护,则可能出现本该强化保护的信息类别没有得到充分保护,本该兼顾数据使用需求和公共利益的信息类别也没有赋予社会充分自由。理论上一般认为,个人信息保护的法律基础源自《世界人权宣言》第12条,也就是说,个人有权决定自主决定个人生活,并享受不被他人侵犯和冒犯的权利。因此,尽管“可识别性”一再受到理论界的批评和现代信息技术的冲击而依然屹立不倒,就在于可识别性能够让信息指向特定主体,并将特定主体从其他主体剥离出去。保护个人信息,就是保护信息指向的主体利益,保护主体不受侵犯、自主决定、平等对待的权利。在此前提下我们会发现,越是不依赖其他信息而能够单独识别的个人信息,越是与个人的身份高度绑定,就越是趋近个人信息保护的本源价值。对这些信息,需要刑法予以强保护。相反,越是需要现代信息技术深度挖掘,越是需要与其他信息结合进行关联识别的信息,反而为其腾出社会合理使用的法律空间,对这些信息,就应当在利益平衡的基础上,建立刑法的适度保护规则。个人信息的过度匿名化和脱敏处理固然可以绕开“识别性”的技术局限,但是也面临个人信息的利用价值降低等问题,长远来看并不利于大数据产业和技术经济的发展。而且也应看到,再匿名化和碎片化的数据,都可能经由数据挖掘技术再现或者复原,追求绝对的数据脱敏处理不现实,也可能扼杀产业的活力。可行的做法,是适当限缩公民个人信息的范围,将那些已经通过合理手段进行脱敏化处理,但是依然有可能挖掘出个人信息的数据排除在公民个人信息范畴中。表面上,这降低了公民个人信息保护的强度和刚性,但是更科学有效的法律规则实际上更有助于法律权威性的提升。事实上,欧盟、日本等国家和地区都对公民个人信息坚持了一次识别标准。欧盟1995年《数据保护指令》前言第26条规定控制者和任何人采取所有合理的可能措施,也无法识别特定个人的信息即为匿名信息。可以看出,欧盟即使将隐私权至于至关重要的地位,在匿名化的问题上也没有完全迁就个人,还是考虑了技术现实以及产业界的经营负担的。故而对我国《解释》第3条关于“但是经过处理无法识别特定个人且不能复原的除外”的数据脱敏化标准,司法实践不宜做过于硬性的要求,只要是通过正常、合理手段无法重新识别和重新复原的信息,即使事后通过特别技术手段再次还原的,依然要排除在公民个人信息的范畴外。(四)优越利益衡量:紧急事态下知情同意原则的豁免在两种不同的价值利益发生冲突时,一般的做法是比较两者利益的大小,优先保障较大的利益,在这种情况下做出的价值取舍能做实现利益的最优解,是免责的正当化事由。优越利益衡量是处理类似法律价值冲突的基本规则。在公民个人信息保护中,为了国家安全、社会公共利益和侦查犯罪等需要,需要有关部门或者个人主动披露数据。例如《反恐怖主义法》第21条规定,“电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者,应当对客户身份进行查验。对身份不明或者拒绝身份查验的,不得提供服务。”这就要求在享受某些服务时,同时履行个人的信息披露义务。以2020年初的新冠肺炎疫情为例,在疫情发生初期的公民个人信息泄露事件是对个人信息最直接的侵害,刑法对此类行为的制裁是明确而具体的,但是除此之外还存在大量的边缘性的、可供商榷的行为。例如,一些地方为识别返城人员的传染风险,推行健康码制度。健康码制度的初衷,在于更高效、更有针对性识别高风险人员(密切接触者)。利用数字技术,对个人身份信息和健康风险进行识别,并据此分类管理,赋予个人不同的行动自由。在重大公共卫生事件中,这类做法不失为有效的社会治理工具,降低了社会传染几率。健康码制度肇始于杭州,随后国内多个城市都陆续推行。健康码的运行机理,在于个人授权程序调出自己的身份信息、空间信息(是否到过疫情高发地区)、时间信息(何时到过疫情高发地区)、关系信息(亲属有无感染者)等,据此判断个人的感染风险。可以看出,健康码运用的结果是,个人的权利受制于AI和模型算法,个人的知情同意原则实际上让位于被迫同意原则。尽管为了防控疫情的需要,这种做法是必要的,但是,在健康码显示状态和本人实际情况不一致时,例如,健康码基于错误信息来源判定个人近期接触过患者,会升高个人的风险等级从而给出行自由造成限制,此时应当赋予个人申诉和抗辩的权利。此外,在诸如新冠肺炎疫情这样的重大社会公共事件中,个人信息权益的限缩也是世界各国的共同做法。不过,这不等于可以肆无忌惮侵害个人信息,也不等于个人信息保护的豁免不需要事先明确的,有效的法律规则。例如,欧盟GDPR虽然确立了一般情况下个人的知情同意原则,但是GDPR第六条也规定了六种不需要数据主体同意即可处理的情形,包括处理是数据控制者为了公共利益或基于官方权威、处理对于保护数据主体或另一个自然人的核心利益所必要等。美国的《健康保险可携带性和责任法案》(health insurance portability and accountability act,简称HIPAA)也规定,在12种涉及公共利益的情形,可以直接披露或使用健康信息而不经个人同意,其中包括公共卫生活动、卫生监管活动、预防或降低对健康或安全的严重威胁等。一般而言,在各类突发公共事件中,存在着三方的利益诉求:一是突发公共事件应急管理机构,他们基于应对突发公共事件的需要,需要搜集大量的个人数据,以便开展应急管理和灾害救助工作,例如公共卫生事件中的患者个人情况、行踪轨迹等;二是突发公共事件中的直接受害者,一方面他们有义务主动披露个人的相关信息以配合救助,另一方面又具有个人隐私保护的需求;三是社会公众,有权及时和全面了解事件信息,便于准确评估事件后果并决定自我防护的等级。可以看出,在重大公共事件中,主要存在两对利益冲突,即直接受害者权益和事件应急管理的矛盾,直接受害者权益与公众知情权利的矛盾。在不特定社会成员的生命健康利益面临严重而迫切的威胁时,对直接受害者相关数据的跟踪性研究和披露有助于突发公共事件的有效应对的,直接受害者的知情同意原则就要受到一定程度的限制。例如在公共卫生事件中,我国的《传染病防治法》第12条以及《突发公共卫生事件应急条例》第21条赋予了预防控制机构、医疗机构、以及其他主体基于防控目的的数据共享与开放行为,它们可以作为未经个人同意的数据共享行为的正当化事由。当然,相关主体运用数据仍应当坚持数据处理的公平性、最小性原则,力图对个人权益的损害压缩到最低限度。

延伸阅读

1.李怀胜:《滥用个人生物识别信息的刑事制裁思路——以人工智能“深度伪造”为例》,载《政法论坛》2020年第4期。

2.郭旨龙:《中国刑法何以预防人工智能犯罪》,载《当代法学》2020年第2期。

3.郭旨龙:《网络中立行为犯罪化的反思与重构——以英美的理论和实务为比较》,载《江汉论坛》2020年第7期。

4.张婷:《犯罪产业链背景下“技术中立原则” 对犯罪定性的干扰和反思 ——以“侵犯公民个人信息犯罪”为视角》,载《青海社会科学》2018年第2期。




您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存