张勇|敏感个人信息的公私法一体化保护
要目
一、问题的提出:以“人脸信息”为例二、敏感个人信息的内涵与多元法益属性三、公私法融合与敏感个人信息保护一体化四、侵犯敏感个人信息犯罪的一体化认定结语随着个人生物识别技术的应用,非法收集、泄露和滥用人脸信息的违法犯罪问题凸显。包括人脸信息在内的敏感个人信息的可识别性是其本质特征,对其敏感性及其程度,应从形式与实质、静态与动态相结合角度加以判断。作为权利客体和行为对象,敏感个人信息的法益内涵不限于公民个人的人格权益,而且包括社会利益、公共秩序和国家安全,受到公法和私法的多元化、多层次保护。在公私法融合的背景下,基于法秩序统一性和公私法一体化保护理念,对敏感个人信息应当实行强化保护和分类分级保护。在刑法层面,以个人信息保护法等前置法为参照,对侵犯敏感个人信息的行为对象范围及入罪标准予以具体认定。
一、问题的提出:以“人脸信息”为例
在互联网和大数据背景下,如何在合理利用个人信息的同时防范其面临的安全风险,在信息技术发展与个人权益保护之间寻求平衡,成为当今信息网络治理中的法律和政策难题。例如,人脸、指纹、视虹膜、基因等个人生物信息通过智能技术被收集、存储,从而广泛应用到国境边防、社会治安、公共交通、医疗卫生、疫情防控等方面,并扩展到人工智能、区块链商业应用的新领域。人脸识别的主要特征在于非接触性、主体唯一性和不易复制性,同时也具有无须携带、易于采集、成本低廉等特点,通过设置普通摄像头等传感器,无须接触人体便可实现人脸信息的抓取与存储。人脸识别的广泛应用为人们的社会生活带来了很大便利,然而,人脸信息数据存储、传输流程存在严重的隐私侵权和安全受损风险,刷脸系统在公共场景中的应用往往突破“同意使用”原则,强制授权、过度授权、超范围收集和泄露个人信息等现象大量存在,引发社会公众的普遍担忧。司法实践中,与人脸信息相关的侵权违法犯罪案件多发,并且与网络电信诈骗、敲诈勒索、绑架等下游犯罪相结合,其侵害行为所造成的损害及风险呈现增大扩散态势。
从立法上看,我国过去比较侧重于公民个人的人身权和财产权,通过认定非法收集和利用个人信息行为对公民个体权益所造成的实际侵害,追究其民事侵权或行政违法责任,或者认定其是否构成犯罪及其所承担刑事责任大小。在人脸信息保护方面,根据《个人信息安全规范》第3.2条的规定,生物识别信息应属于个人敏感信息。而人脸信息属于敏感个人信息的类型之一。该行业规范在2017年旧版的基础上,细化与完善了个人生物识别信息在收集、存储和共享三个方面的保护要求,对于人脸识别技术的合规使用具有重要的指引作用。《人脸信息规范》3.1规定,“人脸识别”即基于人脸特征对个体自然人进行识别的过程。通过人脸识别技术获得的、能够识别自然人身份或行为特征的个人信息,即为人脸信息。最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称人脸识别民案规定)第1条规定,人脸信息属于民法典第1034条规定的“生物识别信息”;第2条至第9条明确了滥用人脸识别技术处理人脸信息行为的侵权性质及法律责任。然而,由于个人信息法益的多元化和复杂性,不同法律规范文件的调整对象和适用范围存在交叉重合。将人脸信息视为个人生物识别信息,纳入敏感个人信息的保护范围,并予以强化保护。在大数据时代,在个人信息保护法律领域出现了公法与私法交叉融合的趋势。在此立法背景下,如何对包括人脸信息在内的敏感个人信息实行体系化法律保护?笔者对此加以研讨。
二、敏感个人信息的内涵与多元法益属性
在理论上和立法中,对于敏感个人信息的分类标准不一,在概念表述上也存在差异。正确认识和把握敏感个人信息的内涵和分类属性,是对其进行界定和法益保护的首要前提。
关于敏感个人信息的界定,个人信息保护法第28条第1款使用了“敏感个人信息”的定义,而未采纳民法典的“私密信息”概念。相比之下,“私密信息”的范畴较为宽泛,可涵盖所有未公开的个人信息,而“敏感信息”的对象范围更为明确具体,在比较法上属于通行概念。民法典和个人信息保护法对个人信息的定义虽然在表述上有所差异,但均认为,“可识别性”是个人信息的本质特征。我国学界也普遍将可识别性界定为个人信息的本质特征。绝对不可识别的个人信息是不存在的,个人信息的可识别性只存在强弱程度之分。与直接个人信息相比,间接个人信息并非不具备可识别性,而是不具有直接识别的可能性。某种单个信息可能不能识别特定自然人身份及其活动情况,将不同信息组合起来就具有可识别性。而离开了信息组合的关联性,就不能成为“间接个人信息”。传统的个人信息处理方法较为简单,直接识别成为主要方式。但在大数据背景下,间接个人信息越来越发挥重要的识别作用。对于间接个人信息来说,与特定自然人身份及活动情况的关联性必须达到一定的紧密程度,从这一点来说,间接个人信息也可能具有较强的可识别性,只不过需要借助于其他信息加以综合分析判断。因此,不能因为间接个人信息的“间接性”而忽视对其进行规制和保护,只不过不再像以往一样依赖隐私权保护模式,而是要通过个人信息权的保护加以实现。
对敏感个人信息的保护和利用是个人信息保护法规定的重要内容。我国个人信息保护法与《安全规范》对“敏感个人信息”均作了相似的界定和列举。“敏感”在英文中的含义之一是“高度反应或易受影响”。国内有学者认为,在法律语境下,“敏感”就是法律规制的“高反应度”。敏感个人信息就是使人敏感的个人信息,个人信息的“敏感度”所描述的是“个人信息对信息主体造成伤害或影响的程度”。个人信息保护法特别强调低龄未成年人的个人信息也属于敏感个人信息,该法第31条规定,处理此类个人信息,应当取得未成年人的父母或其他监护人的同意,并制定专门的处理规则。从域外立法来看,许多国家均规定了“敏感个人信息”的定义,并采取列举方式限定个人信息的范围。例如,2012年欧盟《一般数据保护条例》(GDPR)第4条以“识别或可识别”对个人信息予以界定,其内涵和范围与我国个人信息保护法中“个人信息”的定义基本相同。美国2015年《消费者隐私权利法案(草案)》(CPBR)规定了“敏感个人可识别信息”,并将保障其安全作为该立法的主要任务。比较来看,无论是美国的隐私保护立法草案还是欧盟的GDPR,差别不大,均包含“生物识别数据”。2021年美国统一法律委员会通过了统一个人数据保护法(UPDPA),该示范法案在对“敏感数据”作出界定的基础上规定了“假名数据”的概念,即“没有直接标识符的个人数据”。与可识别的个人数据相比,假名数据受到的限制更少。UPDPA中规定的消费者权利(访问和更正)不适用于假名数据,但可适用于“敏感”假名数据,只要它可检索并以进行个性化沟通为目的,这一点显然比欧盟的GDPR要宽泛得多。
在国外立法中,欧盟采取了隐私与个人信息区分的模式,“个人数据受保护权”成为独立于隐私权的重要权利。与欧盟不同,美国立法则是将“可识别的个人信息”与“隐私”有机联系起来,对隐私权和个人信息实行一元化保护。根据我国民法典人格权编第六章的规定,个人信息与个人隐私之间存在交叉之处,“隐私中的个人私密信息属于个人信息的范畴”。隐私权保护强调个人私生活的安宁不被干扰。而个人信息保护关注的不仅仅限于个人隐私,而是信息处理中对个人信息人格、财产和安全造成的威胁。或者说,无论个人信息主体是否愿意为他人知晓,都不影响某一信息客观上是否属于敏感个人信息。如果个人私密信息具有一定程度的可识别性,也可被视为个人信息,并可纳入敏感个人信息的范围。例如,行踪轨迹、健康信息、手机定位等信息,可以认为其属于隐私,当其与个人的姓名、手机号码有关联时,其又属于敏感个人信息。个人隐私信息属于人格利益但不包含财产属性,不具有任何财产属性的交易价值,不可利用且受法律绝对保护。刑法上的“公民个人信息”既包括可以识别身份的个人信息,也包括极少数能够识别个人的隐私信息,只不过这种能够识别个人的隐私信息在《刑案解释》中被表述为“反映特定自然人活动情况的各种信息”而已。例如,李某、王某某倒卖他人QQ账号案。在网上倒卖他人QQ账号从中获利。QQ账号注册不需要实名,不具有直接识别性。但倒卖他人QQ账号意味着将账号中留存的各种隐私信息处于随时被知悉的状态,法院认定被告人构成侵犯公民个人信息罪,显然也是考虑到了对隐私信息的权益保护。
关于如何判断某种个人信息的敏感性及程度,美国学者PaulOhm将敏感信息分为本质、推断、工具敏感信息,并提出了“多重因素检测”的方法,认为敏感个人信息包含四个判断因素,即伤害的可能性、引发伤害的几率、信任关系的存在、是否属多数人关心的风险。这种观点立足于风险预防观念,采取损害严重性、发生可能性和公众认可度等衡量标准,值得借鉴。具体认定中,应关注个人信息主体的人格尊严以及人身、财产安全是否容易遭受实际损害或引起下游损害,以及个人权益遭受侵害的风险程度,注意把握以下两个方面:1.形式与实质相统一。从形式角度,以某种信息与特定自然人的关联度、多数人对该信息的敏感度作为客观标准。由于“敏感性”的主观性较强,敏感度完全可能因不同的主体而完全不同,但并非完全无法认识和把握,可以社会一般人的认识标准加以判定,减少和消除其不确定性因素。同时,从实质角度,并非所有具有敏感性的个人信息均为敏感个人信息,而是有其特殊的“权益侵害风险”法律基准。敏感个人信息是一旦被泄露或非法使用后将使信息主体的人格权或财产权益遭受实际损害的重要个人信息,权益侵害风险程度相对较高,应当受到强化保护,对于一般个人信息则可以采取相对宽松的保护措施。2.静态与动态相结合。个人信息的处理活动包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等各个环节。因此,静态、固化地认识和判断个人信息是否具有可识别性显然是不够的。需要从个人信息处理的动态过程中对其类型特征进行识别,对其存在的风险进行评估判断。对此,美国学者尼森鲍姆提出了“场景完整性”理论,即将某种个人信息与所处的具体场景关联在一起,将其转变为个人信息披露和流通是否符合特定场景的问题进行讨论。欧盟GDPR的绪言也指出,对个人敏感信息予以特别保护的原因在于,处理此类信息的场景对基本权利和自由将带来重大损害风险。在不同的具体场景中,敏感与非敏感的标准因人、因事而异。因此,有必要借鉴国外“场景”理论与相关立法,兼采静态和动态认定方法,兼顾敏感个人信息利用的情景、目的等变量因素,动态分析信息主体面临权益损害的风险程度,从而对个人信息的敏感度作出准确判定。实际上,个人信息的敏感性本身就是一个模糊性概念,即使从静态上判断仍然面临变量因素多而难以把握的难题。而在动态过程中着重认定难度还可能会增大,需要发挥司法的裁量权进行实质解释和利益衡量,以实现个案公正,而不能一味依赖国家司法机关通过制定规范性司法解释条文将变量固化为定量。
民法典对个人信息的界定采取了“个人信息权益”的表述方式,表明“个人信息权”仍然只是一种新型人格权,其内容涵盖人格权利和利益,而非法定权利。正如有学者所说,权利和法益具有同源性,都是法规范所确证的利益。有学者将个人信息权益分为“本权权益”与保护“本权权益”的权利:前者主要包括人格尊严、人身财产安全以及通信自由和通信秘密等利益,但不包括财产利益。后者主要包括同意(或拒绝)的权利以及知情、查阅、复制、转移、更正、补充、删除、请求解释说明等权利。必须指出的是,个人信息法益主体并非仅指“个人”,“个人信息仅在概念上关联到个人,并不意味着该种信息的权益也完全归属于个人”,那种认为个人针对其个人信息享有所有权或决定权的观点其实是一种误读。
个人信息作为权利客体或行为对象,其所蕴含的法益具有多元属性,具有权利、权益和利益三种形态,包括个人法益、公共法益和国家法益三个层次:个人信息初始权利主体、个人信息处理主体的人格权益(隐私权、名誉权等)、财产权益(人格权衍生的财产权益),社会秩序和公共利益,国家安全利益,以及个人、公共或国家法益的复合体。“个人信息权利保护的法益既包括防御性的隐私权益,也包括人格尊严、财产权益、安全权益以及增强个人便利或个人信息能力的信息控制权”。具体来说,个人信息法益包括私法益与公法益两种类型,公法益其实是私法益的集合体,“个人只有作为公民共同体的部分才具有价值”,在两者的关系上,公法益必须能够还原为私法益,包括刑法在内的公法才能予以保护。就敏感个人信息来说,从法益保护角度,判断某种个人信息的敏感程度及其是否应当纳入法律保护范围,应着重考量其所蕴含的人格权属性、与之关联的财产权属性。有学者指出,隐私权、个人信息权与个人数据权存在权利竞合,并呈现出人身属性逐次弱化、其他属性强化的态势。比较来说,敏感个人信息所蕴含的法益性质与一般个人信息并无不同,主要是公民个人的人格、财产权益和人身安全。两者的区别主要体现在风险程度上,即权益侵害程度和风险概率。有学者指出,民法典第1034条规定的个人信息权涉及身体的信息,如生物识别信息、健康信息、行踪信息等,与身体权有交叉和重叠。个人信息所蕴含的“身体信息权”属于公民个人的基本权利。作为一种权利客体或行为对象,个人信息只是映射某种法益的客观存在,因此,敏感个人信息的分类只是判断信息处理行为是否侵犯法益的前提。以个人生物识别信息为例,其所涉及的社会利益关系不限于公民个体,已经不能仅仅用传统民法上的某种单一权利加以限定。个人生物识别信息天然地具备快捷、直接识别公民个人身份的效果,因而被广泛用于社会公共管理领域。政府部门基于维护公共安全的目的,在公共场所安装人脸识别系统,强制性地采集个人生物识别信息,并且发挥着跟踪公民个人行动轨迹的监控功能。这使得个人生物识别信息不仅具有自身的人格权益和财产价值,而且还具有极强的公共管理利益属性。随着生物信息资源的跨境转移和利用,一些国家通过多种途径收集个人生物信息,进行人类遗传信息资源的控制与争夺,输出国遗传信息资源流失的风险不断增大,个人生物识别信息也被赋予了公共秩序和国家安全的法益属性。
三、公私法融合与敏感个人信息保护一体化
基于敏感个人信息所蕴含法益的多元性,从法秩序统一性角度实行公私法一体化保护,是十分必要的。有学者指出:“个人信息保护法中设置了大量的私法规范,确立了知情同意的原则性架构、过错推定侵权责任及公益诉讼等私法性救济机制,体现了公私法融合的立法趋势。”相关法律法规也针对敏感个人信息规定了强化保护规则和分类分级保护制度。以下从公私法保护一体化的角度予以研讨。
在一国法律体系中,根据所调整法律关系的不同、保护法益的差别等标准,部门法可分为公法与私法。随着社会发展和法律关系日益复杂,公法与私法交错融合,出现了“公法私法化”和“私法公法化”两种趋势。有的学者主张,公法和私法之间应有明确的界限,“公法的归公法,私法的归私法”,两者各自独立,互不介入。也有学者认为,公法与私法的界分并非绝对的,而是相对的、多元的,不能将两者完全割裂开来,私法规范渗入公法领域也不是无条件、无原则的,公法不能被私法规模化渗入。公私法的交叉融合仍然是私法体系内部的一种局部调整,并不影响两者仍具有各自独立的法域。我国过去的个人信息保护立法因缺少统一的单行法,采取公私法并行模式,各部门法之间不可避免地存在矛盾冲突,难以实现法律体系的整体功能。在法秩序的统一性观念下,在某种程度上打破公私法二元化划分的传统观念,让公私法之间走向交叉融合发展的趋势,这既是法秩序统一性原理的内在要求,又是个人信息多元化法益保护的现实需要。另一方面,所谓“私法公法化”和“公法私法化”并非是相互替代,而是带有强制性的公法规范渗入私法领域,对私法自治进行适当限制。反过来,具有合同契约性质的私法规范融入公法领域,运用民事手段调整行政关系或发挥刑法的前置性规范作用。在私法或公法领域,仍属于个别现象,私法与公法的分立仍是基础和根本,各部门法都是法律体系的有机组成部分,公私法分立更有利于部门法的分工和协作,共同实现自治和管制的双重目标。因此,要防止将过多的带有公法性质的强制性法律条款植入私法体系,应确保私法体系既能运行自治有序,又能免遭过度强制。
个人信息保护涉及信息的收集、储存、处理、使用、传递、标注、封存、删除、披露、泄露等一系列行为的法律规制,传统立法对于个人信息的保护主要侧重于个人的人身权和财产权,通过认定非法收集和利用个人信息行为对公民个体权益所造成的实际侵害,追究其民事侵权或行政违法责任,或者认定其是否构成犯罪及其所承担刑事责任大小。然而,由于个人信息天然的公共价值属性,个人信息的私法保护显得限制有余而保护不足。相对于个人信息的私法保护,个人信息保护的公法规范相对较少,主要涉及国家保护义务、国家机关处理个人信息的特别规定、个人信息跨境提供的规则及相关法律责任等条款。公共利益是公法秩序赖以建立和形成的核心价值基础,面对大数据时代信息安全风险,出于管控国家网络信息安全、维护承载于个人信息上的公共利益的需要,公法介入个人信息数据保护势在必行。
在我国个人信息保护法律领域,过去一直没有专门制定个人信息保护法,各部门法采取“散在式”立法模式,专门化、板块化、碎片化问题突出,司法机关只能从相关法律法规及司法解释中找法,由于公私法规范的立法目的、法益保护内容与方式大相径庭,相互之间的交叉竞合与冲突在所难免。同时,也存在公私法融合的现象和趋势。例如,我国民法典第1035条、第1038条、第1039条等具有行政法属性的条款赋予了个人对抗信息处理者、国家机关及工作人员的手段和途径,充分体现了“公法私法化”的特点。刑法第253条之一侵犯公民个人信息罪以及《刑案解释》对“公民个人信息”的界定,与民法中个人信息的内涵及法益属性保持了一致性。我国个人信息保护法,主要通过约束信息处理者的行为对个人信息权益进行保护。个人信息保护法同时包含公法规范与私法规范,具有公法与私法的“混合法”属性。从性质来看,个人信息保护法不是私法,但也不完全属于公法,而是专门规范个人信息处理活动和权益保护的单行法,属于民法与行政法的“交叉型法律”。其主要是私法规范,兼具公法规范,具有公私法融合的特点。公法介入个人信息保护不能矫枉过正,不能完全采取以公法为主导的保护模式。在公私法领域相互交错的背景下,单一私法保护和完全公法规制之间仍存在折衷地带—建构公私法一体化保护模式。近年来有学者提出“行业法”的概念,认为我国“拼盘式”单行立法具有行业属性,“如果说部门法是法律体系的‘块’,那么行业法就是法律体系的‘条’”,一国法律体系应当做到“条”“块”结合。个人信息保护法就是这样一部保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用的行业法、单行法和综合法。从系统论角度,某一行业领域的法律法规都是由各个部门法组成的,并且形成多元层次。公私法规范以一定的结构形式形成一个整体。就个人信息保护立法来说,个人信息保护法本身是其整个个人信息保护法律体系的子系统,既以其自身独有的规范结构,又同民法、刑法、行政法、行业规范等相关联,既有内部封闭性又有外部开放性,而个人信息保护法在个人信息保护法律规范体系中居于“基本法”的地位,可以发挥内外部衔接协调的体系功能。在个人信息保护法颁布实施的背景下,立足于体系解释,使其与民法典、数据安全法、网络安全法、刑法以及其他法律法规相衔接协调,从法律规范体系内部到外部,从立法到司法,实现法秩序统一和个人信息公私法一体化保护。
从国外立法来看,许多国家立法都以禁止处理敏感个人信息为原则,但禁止范围及法律效力存在差别。例如,欧盟相关立法所禁止的范围覆盖从信息收集到信息处理的全过程,最大限度保护消费者个人信息的安全。然而,这样就使得消费者和经营者处于不对等地位,对消费者敏感信息的严格保护也显得比较困难,在个人信息权利保护方面设置了一个“真空地带”。美国消费者隐私权利法案(草案)(CPBR)也从个人信息的动态管理过程中,一方面扩大消费者的相关权利,另一方面加重经营者的保护义务,强化消费者对个人信息的控制。
无论国外或国内立法,较一般个人信息而言,对敏感个人信息的法律保护力度更大、也更为全面。有学者主张“两头强化”理论,分别强化对个人敏感隐私信息的保护和对个人一般信息的利用,协调个人信息保护与利用的之间的利益冲突。在我国,除了民法典、网络安全法、个人信息保护法等法律法规之外,《生物信息保护要求》《安全规范》等行业规范文件对于敏感个人信息的强化保护发挥着重要的参考作用。例如,《安全规范》第5.4条规定,网络运营者收集个人生物识别信息应征得个人信息主体的明示同意。即使已取得个人信息主体的同意,网络运营者仍应仅收集达到目的所需的最少个人生物识别信息,以最大限度降低损害风险。第9.2条对个人金融信息特定类别作了特殊规定:网络运营者确因业务需要,确需共享、转让的,应单独向个人信息主体告知目的并征得其明示同意、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等。可见,《安全规范》以“不应共享、转让”为原则,只有当出现业务需要或满足“告知同意”要求的例外情形时,网络运营者方可进行个人生物识别信息的共享或转让,且应当采取加密安全措施或进行安全评估。《生物信息保护要求》第5.1条提出了“强化保护”的三项原则:一是保密性。在生物特征数据的存储和传输过程中,应当使用SM2或SM4加密算法对信息数据进行保密处理,未经信息主体授权不得访问或披露;二是完整性,生物特征识别系统应通过访问控制来实现数据的完整性保护,防止未经授权访问生物特征数据,或通过使用加密技术进行完整性检查;三是可更新性与可撤销性。如果攻击者非法获取、泄露或未经授权访问生物特征参考样本、模板或模型,如护照上的面部图像,须撤销和更新受侵害者的参考,并将合法的数据主体与新的生物特征参考联系起来。
个人信息保护法第二章第二节在个人信息处理一般规定的基础上,专门规定了敏感个人信息的处理规则,突出表现了对其强化保护的立法导向。具体来说:其一,以禁止处理敏感个人信息为原则。与一般个人信息处理采取概括同意不同,对于个人敏感信息的处理应当取得个人的单独同意。如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,要从其规定。其二,严格限定信息主体告知同意原则。个人信息保护法第29、30条规定,处理敏感个人信息的,应当取得个人的单独同意。除该法第17条第1款规定的向个人告知一般事项之外,还应当向个人告知处理敏感个人信息的必要性以及对个人的影响。人脸识别民案规定第4条规定,如果强迫或者变相强迫自然人同意处理其人脸信息,该等情形下的同意并非信息主体的真实意思表示故不被认可,不能作为企业处理人脸信息的合法性基础,该等抗辩将不予支持。《安全规范》第3.6和3.7条规定,对于涉及个人敏感信息的,须“明确标识”或“突出显示”。收集个人敏感信息前,应征得个人信息主体的“明示同意”。其三,确立特定目的、必要性的处理规则。根据个人信息保护法第28条的规定,只有在特定的目的的指引下,具有充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。其四,敏感个人信息权利救济和责任承担。个人信息保护法第四章的有关规定,在敏感个人信息处理的整个过程中,信息主体享有知情权、决定权;查阅、复制权;请求更正、补充权,请求删除权;要求解释说明权等。个人信息保护法第50条规定了处理者负有防止未经授权的访问以及个人信息泄漏或者被窃取、篡改、删除等义务。第51条强制性要求信息处理者建立健全相应的管理制度和操作规程,对个人信息进行分级分类管理并采取加密等安全技术措施,制定个人信息安全事件的应急预案,公布个人信息保护负责人的联系方式等。人脸识别民案规定第3条规定,法院认定信息处理者承担侵害自然人人格权益的民事责任,应当适用民法典第998条的规定,并结合案件具体情况综合考量受害人是否为未成年人、告知同意情况以及信息处理的必要程度等因素。其四,敏感个人信息强化保护的例外情形。根据个人信息保护法第27条的规定,如果权利人同意,即便对其有重大影响处理者亦可处理,以使其与民法典第1035条规定个人信息处理的合法、正当、必要原则保持一致。《人脸识别民案规定》第5条规定,为应对突发公共卫生事件或紧急情况下、为维护公共安全和以公共利益为目的、在自然人或者其监护人同意的范围内合理处理人脸信息、或者具有符合法律、行政法规规定的其他情形,信息处理者主张其不承担民事责任的,法院依法予以支持。
我国立法机关先后颁布实施了网络安全法、数据安全法和个人信息保护法,分别承担着保护网络安全、数据安全、信息安全的基本法职能,彼此之间也存在交叉重合关系。在不同层级的立法中,不同类型个人信息的法益属性和保护重心是不一样的,个人信息分类分级具有重要的法益识别和风险防范功能。我国立法一直都比较重视对信息数据和网络安全的分类分级保护,个人信息保护法第51条原则性规定了个人信息处理者对个人信息实行分类管理的义务。第58条将提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者界定为重要平台企业,并赋予其比一般平台更多的“守门人”义务。值得关注的是,有关部门也制定出台了一系列有关信息数据分类分级管理的行业规范文件。《信息安全事件分类分级指南》(征求意见稿)附录A规定,某个信息安全事件的严重级别不仅取决于业务,还取决于该事件的性质,诸如故意性、目标性、时机、量级。就个人信息分类与分级的关系来看,两者属于不同维度、但密不可分。从逻辑顺序上,应当是先“分类”后“分级”,两者结合起来完成对数据法益的识别和判断。受侵害的客体与对客体的侵害程度包含着许多变量因素,同一类的受侵害客体,所遭受侵害程度不同,保护等级也会有不同情况。不同类的受侵害客体,虽然法益性质轻重有别,但由于所遭受侵害程度也有轻重差别,也可能处于同一保护级别。同样地,同一种类的信息数据由于定级要素的变化,可能处于不同保护等级。反之,不同种类的信息数据,由于客体所遭受侵害程度相同,也可能得到相同级别的保护。参照上述规定,对信息数据安全的法律保护应当在对不同领域的信息数据进行分类的基础上,综合考虑影响分级的各种定级要素,确定不同的保护层级,并有针对性地选择不同法律、采取不同方式加以保护。
如前所述,与个人信息法益多元化形态相应,公私法保护也出现交叉融合趋势,个人信息保护法作为单行法、综合法,更是兼具公私法规范特点。因此,个人信息保护有必要在界定个人、社会、国家法益层级的基础上,实行分类分级保护,以实现个人信息法益的一体化保护和法秩序的统一。有学者主张,依据个人信息数据的具体类型和不同场景中所涉及的权益性质,有针对性地采取不同的保护模式。上述观点值得肯定。在对公私法领域的个人信息进行分类的基础上,应综合考虑影响分级的各种定级要素,确定不同的保护层级,并有针对性地选择不同法律、采取不同方式加以保护。具体来说,对于敏感个人信息的公私法益可从以下几个方面予以分级保护:一是强等级保护。对于具有隐私信息性质的人脸信息,应强调其私密性,强化其防御性保护,首先要遵循当事人主观意愿,非特定情形不得处理。与其他层级的个人信息在收集、存储、使用、加工、传输、提供、公开等方面形成相区别的授权同意、技术安全、信息处理之规范等。二是次强等级保护。对于不具有隐私信息属性的人脸信息,可给予敏感个人信息的法律保护。收集该类信息数据必须获得权利主体明示同意,个人信息的处理目的、处理方式等要符合合法、正当、必要原则。信息权利主体享有查询、更正、删除、撤回同意等权利。三是弱等级保护。除了以上两种情况之外,对人脸信息可给予一般个人信息的保护强度,其保护强度弱于敏感信息。“弱”主要体现在数据控制者收集该类数据只需获得数据主体默示同意即可。默示方式指行为人虽没有以语言或文字等明示方式做出意思表示,但以特定作为或不作为的沉默方式做出了意思表示。比如,阅读“使用即同意”的条款、浏览默认勾选的对话框等。但个人信息处理者仍遵循合法收集、目的限制、最小够用等原则,数据主体享有查询、更正、删除、撤回同意等权利。人脸识别的运用涉及多方法益,从比例原则来考察,即当人脸识别技术的运用有法益侵害性时,也须在获取效益和侵害法益之间进行衡量。若适用人脸识别技术获取的效益显著大于所侵法益,则运用人脸识别的行为可以阻却违法性。
四、侵犯敏感个人信息犯罪的一体化认定
根据我国刑法的规定,对于非法获取敏感个人信息的行为可能触犯侵犯公民个人信息罪、侵犯商业秘密罪、非法获取国家秘密、情报罪以及非法获取军事秘密罪等多个罪名。若某种数据不在上述罪名保护的对象范围之内,则可考虑是否认定为数据犯罪。对于不同种类的个人信息来说,应当适用何种定罪标准。对于侵犯敏感个人信息行为的定罪量刑,相关法律法规、司法解释以及行业规范对本罪认定有何作用,对于上述问题,有必要加以深入研讨。
我国民法典、个人信息保护法、反不正当竞争法、保守国家秘密法、国家情报法、中国人民解放军保密条例等法律法规分别对个人信息、商业秘密、内幕信息、国家秘密、国家情报、军事秘密等予以保护。另外,信息安全、数据安全领域存在诸多行业规范,对相关单位或个人个人信息处理活动具有较强的指导作用,但它们并不具有法律效力。相对来说,对信息处理者的安全保护义务要求更高,而刑法所规制的入罪门槛必须是法益保护的最低安全基线,与行业规范设置的安全标准存在差异,不能等同。对于侵犯敏感个人信息法益的犯罪,选择适用何种罪名,则离不开数据安全法、网络安全法等前置法律规范的参照系作用。如果以个人信息保护法为参照,从个人信息权益保护角度,非法获取计算机信息系统数据罪属于“特别法”规定的罪名。但如果以网络安全法为参照,从计算机信息系统安全法益保护的角度,前两种数据犯罪为“一般法”所规定的罪名,侵犯公民个人信息罪则为“特别法”所规定的罪名。如果以个人信息保护法为参照,以个人信息权益保护为重心,则于上述情况刚好相反。将某种信息数据处理行为所涉及的法益性质界定为个人法益、公共法益还是国家法益,将直接决定或影响着刑法中相关罪名的认定。
敏感个人信息保护法益的多元化决定了法益识别判断的复杂性。对个人信息数据的非法获取、破坏和滥用行为不但会对个体权益造成严重侵害,还会对公共利益、社会秩序和国家安全造成实际侵害或危险。从安全法益角度,个人信息安全往往也意味着公共安全、国家安全,信息安全与数据安全、网络安全之间也存在交叉重叠之处。从立法上看,数据安全法、个人信息保护法与网络安全法所调整的对象具有重合性。个人信息保护法第10条个人信息处理活动的禁止性规定,就纳入了公共安全和国家安全的考量因素。在对敏感个人处理活动所涉及的法益识别中,应当将不同的立法参照系加以对比和衡量,根据法益保护内容的重要性程度,选择其中一种法律法规作为主要参照系,其他相关法律法规及行业规范则作为补充,以使数据法益识别和判断结论得到更好的印证。例如,侵犯公民个人信息罪的成立“以违反国家有关规定”为前提,认定该罪名应当以相关行政法律规范及行业标准为参照,对敏感个人信息处理行为所侵犯的法益性质予以识别,妥当适用具体罪名。
从法秩序统一性角度,敏感个人信息法益保护需要依靠各种法律手段共同发挥作用,刑法更秉持谦抑性精神,尽量少介入私法领域,介入的前提是行为人违反了敏感个人信息保护的前置性法律法规,并且刑法规范本身有明确规定。个人信息权益在民法典中的规定,为刑法填补了前置法根据。在对侵犯敏感个人信息法益的行为进行刑事违法性评价,必须先进行民事违法性判断,即“双层违法性判断”。除了刑事违法性的形式判断之外,更重要的是社会危害性的实质判断,从主观和客观综合予以考察,具有严重的社会危害性和刑事可罚性,才能认定为犯罪。同时,司法机关应将某种侵犯敏感个人信息法益的违法犯罪行为放置在整个法律保护体系之中加以考量,进行违法性的层次性判断,形成刑民关系、刑行关系的衔接协调;同时,也应当注意不同前置法规范之间的衔接协调问题。
除了刑事违法性的形式判断之外,更重要的是社会危害性的实质判断,从主观和客观综合予以考察,具有严重的社会危害性和刑事可罚性,才能认定为犯罪。有学者指出,刑法对前置法的关注,更多是从“出罪”的角度讲的,在“入罪”时,不能唯前置法马首是瞻,在犯罪认定时绝对地从属于前置法,或者在质上从属于前置法。刑法对于敏感个人信息的把握在很大程度上要小于民法典等前置法所划定的范围,前置法上的违法行为中也只有一部分最终被作为本罪处理。例如,民法典与个人信息保护法所确立的告知同意原则是个人信息主体的核心权益,对于在个人信息处理中违反有关告知同意规则的行为,可以认定为属于侵犯公民个人信息罪构成要件中的“违反国家有关规定”的行为。但对于违反必要性、公开性的相关规则获取、提供个人一般信息的,则未必单纯从形式判断角度将其纳入“违反国家有关规定”的认定范围。即使对于敏感个人信息或个人私密信息来说,亦应根据具体情况作出实质判断,这也体现了刑事违法性的相对性、独立性。由于民法典和个人信息保护法对于个人私密信息和敏感个人信息在保护力度上明显强于个人一般信息。因此,在刑事案件中认定敏感个人信息处理行为是否“违反国家有关规定”时,应相应地采用区别于一般个人信息的刑事违法性判断规则。
《刑案解释》第5条第1款第3项至第5项根据敏感性程度的不同,分别设置了高度敏感、一般敏感、非敏感个人信息三种定罪数量标准,与个人信息保护法、安全规范中的敏感个人信息类型范围基本一致,但也有差异。例如,个人信息保护法将个人生物特征明确规定为敏感个人信息。但在《刑案解释》中并无生物识别信息的相关规定。又如,《刑案解释》将账号密码、财产状况明确列举为高度敏感信息,个人信息保护法则规定“金融账户”是敏感个人信息,但民法典第1034条第2款并未明确列举账号密码、财产状况。有学者指出,这样的差异基本上是无关紧要的。个人信息保护法或民法典作了列举规定、而《刑案解释》未明确列举的信息类型如个人健康信息、生物识别信息、账号密码、财产状况等,并不意味着对其一律不能予以刑事处罚。如果行为人非法获取上述个人信息后,进一步侵犯公民个人的财产权甚至人身权,达到严重的社会危害程度,也应当追究其刑事责任。
上述行政法规中的敏感个人信息是否等同于刑法意义上的敏感个人信息,以及适用何种定罪标准存在认识分歧,有必要具体分析:(1)生物识别信息。同公民的姓名、电话号码、家庭住址等个人信息相似,人脸、指纹、虹膜等人体生物识别信息对公民而言是独一无二的,并且也是可以明确指向特定自然人的,一旦被恶意使用,其造成的损失后果也是难以估量的,因此应对其进行更高规格的法律保护。《刑案解释》第1条虽未列举生物识别信息,但可通过第1条中“等”字,将生物识别信息列入公民个人信息。(2)房产交易信息。按照《刑案解释》的规定,财产信息属于刑法上的高度敏感信息,交易信息则属于一般敏感信息,但在有的情形下两者难以界分。例如,对于房产交易信息是财产信息还是交易信息存在不同认识,一般来说,可以将房产信息一般作为交易信息而非财产信息看待,非法获取、出售或者提供记载公民房产的信息500条以上的,才能构成犯罪。但在有些案件中,有的房产信息内容十分详细,有的信息内容可能影响公民人身、财产安全,如果获取类似房屋信息实际上就掌握了所有人的财产状况。在此情况下,将房产信息认定为敏感信息也是合理的,非法获取、出售或者提供50条以上的即可入罪。(3)住宿信息。按照《刑案解释》的规定,住宿信息是可能影响人身、财产安全的一般敏感信息;住址信息则属于一般个人信息。但如果该信息是特定个人长时间内出入住该酒店的情况及其活动规律,则可能属于行踪轨迹信息,系刑法中的高度敏感信息。(4)网络浏览记录。在网页浏览记录中,可能被保存的个人信息包括:帐号密码等身份认证信息(例如,保存登录的用户名与密码)、支付信息、访问页面信息。对于前两种信息可以分别归属于“网络身份标识信息”与“支付信息”,认定为刑法意义上的“敏感个人信息”。而对于访问页面信息,一般来说,虽然其有可能涉及个人隐私,但是通常不会造成公民人格权利和财产权益的严重侵害,因此可归入“非敏感个人信息”的范畴,5000条以上的入罪标准。(5)行踪轨迹信息。司法实践中对于手机位置信息的认定存在困惑。如果行为人通过一定程序能够获取未经个人授权的手机号码位置信息的,该信息既属于行踪轨迹信息,也属于通讯记录,应当将其作为高度敏感信息予以保护。又如,邓某等非法购买车辆行驶轨迹信息案件。生效裁判认为,公民车辆行驶轨迹信息可以认定为《刑案解释》规定的“行踪轨迹信息”。(6)个人简历信息。一般来说,简历系包含公民姓名、出生年月、通信通讯联系方式、教育背景、履职信息及求职意向等信息集合,简历信息被泄露后多被用于电话营销等活动,一般不会直接威胁到公民的人身、财产安全。从敏感重要性程度等方面考虑,个人简历信息应被视为非敏感个人信息。
总之,不同的部门法所调整的对象范围和价值目标自然是不同的,民法的重心是保障个人权利自由,行政法的重心在于维护社会秩序,刑法的重心在于惩治犯罪,实现保障和保护的双面机能。而作为信息安全技术规范,《安全规范》的规制重点是从管理、控制风险的角度出发,对个人信息处理者的义务要求相对比较高。刑法基于特定规范目的考虑,据此作出不同于行政法、民法及行业规范的分类本无可厚非,因而没有必要过于追求不同立法中敏感个人信息的含义完全一致,这与法秩序统一性并不矛盾。只要各个部门法发挥好职能作用,做到衔接协调,共同完成权利保障和行为规范的目标即可。司法机关应当从控制犯罪角度出发,需要防止打击面过度扩张,对不同类型个人信息的认定需要更加严谨,予以区别对待,将没有必要予以刑法调整的个人信息类型排除在相关罪名的对象范围之外。
结语
当下,个人信息权益保护和价值利用变得同样重要,不可偏废其一。司法机关应依据个人信息法益识别的立法参照系,明确不同种类个人信息的法益保护重点和层次,能够准确适用相关部门法,认定刑法中的相关罪名。个人信息保护法的出台,凸显了对敏感个人信息的分类和强化保护,对个人信息敏感性程度的认识和判断,成为法益识别的关键和司法适用难点。对于人脸信息等敏感个人信息来说,需要以民法典、刑法及司法解释为基础,以个人信息保护法、数据安全法、网络安全法等前置性法律法规为参照系,在对其进行分类分级的基础上予以法益识别,准确认定对侵犯敏感个人信息权益行为的罪质和罪量,并适用侵犯个人信息罪以及数据网络犯罪等相关罪名。同时,从法秩序统一性和公私法一体化保护的视角,根据敏感个人信息所涉及的法益性质、内容及其遭受不法侵害的危害程度,运用民事、行政和刑事制裁手段,构建敏感个人信息保护的法律体系。
往期精彩回顾
《东方法学》2021年总目录
沈国明|论中华法系文化要素的发掘与发展
郝铁川|论中华法系的创造性转化
张生|中华法系的现代意义:以律典统编体系的演进为中心
王利明|论个人信息删除权
刘宪权|涉智能网联汽车犯罪的刑法理论与适用
上海市法学会官网
http://www.sls.org.cn