数字经济时代下侵犯公民个人信息的防控路径|至正研究
“我为群众办实事”是党史学习教育活动的重要内容,是践行全心全意为人民服务宗旨的重要举措。作为专研司法实务研究的公众号,“至正研究”致力于把党史学习同司法为民、公正司法结合起来,特开设#我为群众办实事话题,聚焦人民群众关心的法律问题,通过推送系列案例解析和法学文章,把实事办好,把好事办实。
沈言,上海市第二中级人民法院刑事审判庭沈言审判团队负责人,审判长。
焦舒,上海市第二中级人民法院实习助理,上海财经大学在读研究生。
【摘要】随着数字经济时代的到来,公民个人信息具有重要价值。根据全国人大2020年10月发布的《中华人民共和国个人信息保护法(草案)》的说明,截至2020年3月,我国互联网用户高达9亿多,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛,个人信息安全风险也大幅增加。统计分析上海法院近年审理的侵犯公民个人信息犯罪案件,该类案件呈现出被侵犯的信息种类繁多、数量庞大,“内鬼”成为重要犯罪主体,高科技手段不断涌现,侵犯公民个人信息已成为网络犯罪黑灰产业的关键环节等特征。针对侵犯公民个人信息罪在实践中的应用现状,结合《民法典》《个人信息保护法(草案)》的规定,对侵犯公民个人信息罪的入罪标准、数量认定等法律适用问题进行讨论。通过分析侵犯公民个人信息行为屡禁不止的原因,尝试提出侵犯公民个人信息的规制措施,谋求公民个人信息保护与数据经济发展的利益平衡。
关键词数字经济 公民个人信息 全方位监管
引言
党的十九届五中全会审议通过的“十四五规划”提出:要推进网络强国建设,加快建设数字经济;培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,促进共享经济、平台经济健康发展。在数据经济发展过程中,数据的价值与战略地位不断提升,数据安全问题也愈加凸显。2021年“3·15”晚会上曝光了大量商户使用万店掌摄像头收集消费者的人脸数据,智联招聘等大型线上招聘平台将获取的公民简历信息违规提供给他人,部分APP过度收集用户信息……数据泄露、数据滥用、非法买卖公民个人信息等安全问题层出不穷,任何侵犯公民个人信息的行为都可能造成对公民人格利益、财产利益与社会利益的侵犯。
《数据安全法》第三条规定,数据是指任何以电子或者其他方式对信息的记录。数据是信息的载体,经过加工处理后的数据是信息。个人信息具有个人和社会的双重属性,对个人信息的保护涉及复杂的利益平衡。信息保护是对公民个人隐私的保护和尊重,但是对公民个人信息过度保护可能会阻碍对数据的大规模的开发和应用。我国现有的法律采取的是利益衡量的进路,更为强调对数据科技产业及数据经济的保护与对社会秩序的控制。2009年《刑法修正案(七)》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,《刑法修正案(九)》将两罪合并为侵犯公民个人信息罪;2017年最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息犯罪司法解释》),就侵犯公民个人信息罪的司法适用问题作出解释。2021年1月《民法典》施行,打破了对公民个人信息保护“刑法先行”的局面,《个人信息保护法》也在制定中。公民个人信息保护存在刑事法规制不力,前置法法律不健全和管理不到位的局面。笔者通过案件统计,分析侵犯公民个人信息罪在实践中的适用效果,结合《民法典》《个人信息保护法(草案)》的规定,探索公民个人信息保护、信息自由流通、数据经济发展的利益平衡之路。
一、上海法院审理侵犯公民个人信息犯罪案件情况及案件特点
通过上海法院法官办案智能辅助系统(以下简称C2J系统)查询,2015年至2020年上海市各区法院就侵犯公民个人信息罪(非法获取公民个人信息罪或非法提供公民个人信息罪)作出的一审判决书共计523篇,2015年至2018年四年间侵犯公民个人信息案件数量呈上升趋势,其中2018年案件数量最多,达149件,2019年、2020年侵犯公民个人信息案件数量有所下降。
侵犯公民个人信息犯罪案件呈现如下特点:
(一)侵犯公民个人信息种类多样、数量庞大通过案件统计发现,被告人通过非法手段提供或者获取的公民个人信息种类繁多,可以概括为以下几类信息:第一类系身份信息,主要包括公民姓名、手机号码、身份证号码等;第二类系财产信息,主要包括银行卡号、支付密码、交易记录、房屋产权信息等;第三类系通信信息,主要包括行踪信息、通讯记录、手机定位等信息。侵犯公民个人信息的数量庞大,侵犯公民个人信息数量五千条以上的案件共计424件,占案件总数的81%,其中侵犯五千条以上一万条以下的案件共计92 件,占案件总数的18%,侵犯一万条以上十万条以下的共计213件,占案件总数的41%;十万条以上一百万条以下的共计96件,占18%;一百万条以上的共计23件,占案件总数的4%。如被告人龚某通过技术手段连接并登陆“暗网中文交易论坛”向他人购买了“12306购票用户信息”50万余条,再如被告人茅某等人建立域名为91cf.com的网站,供他人查询或买卖公民个人信息共计630万余条,非法获利共计7万余元。
通过案件统计发现,部分被告人利用职务或工作便利,非法收集、交换、出售公民信息,从中牟利,此类案件共计有91例,占比为17%。“内鬼”涉及的职业主要有派出所民警或协警、保险公司员工、银行职员、航空公司职员、快递员等。虽然比例不是很高,但是“内鬼”掌握个人信息具有便利性,其泄露个人信息的危害性更高。例如,被告人陈某利用担任派出所特保人员的便利,违规使用民警的数字证书在公安内网上查询公民的开房记录、实际居住地等相关个人信息出售牟利,共计获利2.4万余元。再如,快递员林某非法登入快递系统后盗取客户个人信息(含收件人姓名、手机、地址等信息),后经由网络传递给张某某出售,共计获利2.9万余元。掌握个人信息的单位人员本是保护个人信息的主体,但“内鬼”利用其特殊身份,任意查询并非法提供、出售公民个人信息,使公民信息的“保护墙”形同虚设,其社会危害性极大,由此反映出相关从业人员道德欠缺、法制观念缺失,相关行业监管力度不足等问题。
(三)通过高科技手段获取海量公民个人信息近年来,被告人通过网络爬虫程序窃取网站或者APP用户信息;通过黑客手段攻击入侵网站,获取用户信息;通过建立网站吸引用户注册登录后获取用户信息;通过远程操控软件进入公司内网系统,下载公民个人信息等利用高科技手段侵犯公民个人信息的案件不断涌现。例如,被告人吴某编写爬虫软件,通过自动登录、批量下载、筛选整理的方式,非法获取住建委服务器中存储的从业人员信息;被告人钱某将路由器接入某银行内网系统,通过路由器发射出无线信号,由王某进入银行内部网络,登录央行征信中心网站系统,获取公民征信信息后出售牟利等。随着科技的发展,高科技手段也被部分犯罪分子予以利用,行为人能够在最短时间内能够获得海量公民个人信息,对个人、公司利益、社会数据安全构成了巨大威胁,同时高科技犯罪手段也为办案机关侦破案件带来了巨大的挑战。
(四)侵犯公民个人信息呈“团队化”犯罪模式近年来,在侵犯公民个人信息犯罪案件中,行为人呈现出明确的分工合作,在远程、非接触的状态下跨省、多地域借助网络平台实施侵犯公民个人信息犯罪,共同犯罪比例不断升高。主要包括以下几种类型:第一类,单位为提升公司业务而非法获取公民个人信息的单位犯罪。例如为开展经营业务,公司负责人授意员工将公司在经营过程中获取的简历与他人交换,以获取更多的公民个人信息用于拓展公司业务;第二类,高科技犯罪手段下的分工合作。该类案件一般由一名被告人负责攻击或者入侵网站或者APP获取用户信息,他人将获取的公民信息非法出售;第三类,单位“内鬼”与他人合谋,“内鬼”利用职务或工作便利获取公民个人信息,再由他人负责出售以牟取共同利益。
(五)侵犯公民个人信息成为网络犯罪黑灰产业的关键环节当前,传统犯罪加速向网络空间蔓延。网络犯罪往往形成较为固定的犯罪利益链条:上游为犯罪团伙提供技术工具、收集个人信息等;中游实施诈骗或开设赌场等网络犯罪;下游利用支付通道“洗白”资金。数据显示,有四分之一的网络诈骗是在获取公民个人信息后“精准出手”,有针对性实施犯罪,侵犯公民个人信息已成为网络犯罪黑灰产业的关键环节。
二、侵犯公民个人信息罪的司法适用问题
上海法院2015年至2020年审理的侵犯公民个人信息罪案件中适用简易程序的案件共计348件,占案件总数的67%;适用普通程序的案件共计175件,占案件总数的33%,简易程序适用率较高。随着2021年1月1日起《民法典》的施行以及即将出台的《个人信息保护法》,侵犯公民个人信息罪作为法定犯,前置法的变化对于该罪的适用会产生一定影响,笔者将结合实践热点,分析具体法律适用问题。
(一)公民个人信息的范围信息化时代的“公民个人信息”,虽然首先是作为一连串的数据出现的,但却不仅止于此,它更是公民的一项权利,是公民对于自身的个人信息享有使用与不受侵犯的权利。侵犯公民个人信息罪作为法定犯,前置法的制定与修改对其法律适用具有重要影响。《民法典》《网络安全法》都采取了概括+列举的方式界定个人信息的范围,将“可识别性”作为判断是否属于公民个人信息的条件,《民法典》在列举中增加了电子邮箱和行踪信息,同时在疫情防控的大背景下,特别考虑到了公民健康信息的重要性和敏感性,也通过明确列举的方式确认公民健康信息为个人信息。《个人信息保护法(草案)》采取“已识别”或“关联说”—与公民个人有关的信息,未列举具体的信息类型。公民个人信息从“可识别性”发展到“关联性”,公民个人信息的范围有所扩大。前置法不断扩大公民个人信息的范围,是对公民个人信息保护强度的加大。
《个人信息犯罪司法解释》将公民个人信息概括为是“单独识别”或“结合识别”公民个人身份或者活动的信息,并列举了姓名、身份证件、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等具体信息类型;并将信息分为三类并设置了不同的入罪标准,第一类为与公民人身、财产直接相关的信息包括行踪轨迹信息、征信信息、财产信息;第二类为可能影响公民人身、财产安全的信息,包括住宿信息、通信信息、健康生理信息、交易信息等;第三类为除去上述信息以外的一般信息。《民法典》《个人信息保护法(草案)》对公民个人信息范围有所扩大,但刑法在适用时仍应当坚持罪刑法定原则,坚持“可识别性”标准,对于无法直接或者无法结合识别特定公民个人身份的信息不纳入刑法规制范围,而由民法、行政法予以调整,构建民、行、刑保护公民个人信息的纵深递进格局。
(二)公民个人信息的处理《个人信息犯罪司法解释》解释了“提供”与“获取”的含义,对于公民个人信息处理的具体形式包括购买、收受、交换、收集、窃取等。《民法典》第一千零三十五条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。在处理类型方面,《民法典》将信息的收集、传输、运用等信息处理的各个阶段纳入保护范围。刑法规定的“获取”“提供”,可以对应《民法典》规定的“收集”“提供”“公开”“传输”的行为,但是对于“存储”“利用”“加工”的行为,刑法并未纳入规制范围。根据罪刑法定的原则,不能将存储、利用、加工公民个人信息的行为按照“提供”或者“获取”的方式进行类推适用。对于实践中非法利用公民个人信息的行为可以通过刑法其他罪名予以规制。例如李某向他人购买在某购物网站发表差评的买家个人信息,后冒用买家身份,骗取客服审核通过后重置账号密码,登录购物网站内部评价系统删除相关差评。法院认为李某对计算机信息系统内存储的数据进行删除、修改、操作的行为,构成破坏计算机信息系统罪。笔者认为李某的行为实质是非法利用公民个人信息的行为,但是刑法没有将非法利用公民个人信息作为规制范围,法院认定其构成破坏计算机信息罪。若公民存储、利用、加工的公民个人信息是非法购买、收集的,或者利用、加工后非法提供给他人的可以根据侵犯公民个人信息罪定罪处罚。
《民法典》第一千零三十五条明确了信息处理应当遵循合法、正当、必要的原则及“告知同意规则”—征得自然人或者其监护人同意的方可处理公民个人信息。违反上述原则(规则)是否构成刑法上的“违反国家有关规定”?笔者认为不应一概而论,对于擅自处理他人信息,违反“告知同意规则”和违反行政法规规定或者双方的约定获取、提供公民个人信息的,可以认定为符合刑法规定的“违反国家有关规定”;对于违反“必要”“正当”原则,笔者认为该原则过于笼统,应当根据社会危害程度,综合考量案件具体情况作出处理。
(三)获取或提供公开信息行为的定性我国现行的刑法规定及相关司法解释在入罪时并未考虑公开信息与非公开信息的界分,实践中对于行为人将工商网站企业负责人或者高管的信息下载整理后出售牟利,将房屋租售网站上公开的房屋权属信息整理后出售牟利的行为是否构成犯罪存在争议。《民法典》第1036条规定,合理处理自然人自行公开的或者其他已经合法公开的信息不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。即民法典将信息分为了公开信息与非公开信息,对于公民个人自行公开或者合法公开的信息,第三人可以不经过本人允许合理处理该信息。根据法秩序统一原理,民法规定的合法行为在刑法中不可能构成犯罪;反之可以成为刑法中的正当化事由。在办案过程中,行为人获取、出售公开信息的行为是否构成犯罪需要重新予以考量。
《民法典》对公开信息的处理有两个条件,第一信息是公民自行公开或者合法公开的。侵犯公民个人信息罪是故意犯罪,对于知道或者应当知道该信息不是行为人自行公开或者合法公开的信息仍然收集、提供给他人的,达到一定数量的,应当构成侵犯公民个人信息罪。第二个条件是,合理处理,除非该自然人明确拒绝或者损害该自然人的重大利益。那么“合理”的界限应当如何把握?如前述的案例,以牟利为目的,下载、整理网站公开的信息进行售卖的行为是否属于“合理处理”的情形,再次出售、提供的行为是否需要获得权利人的“二次授权”?笔者认为,对于已经公开的信息,已不再属于权利人的隐私,而成为社会公开信息,一种社会资源。行为人将该资源下载、整理的行为是对该资源价值的提高,并未损害任何一方合法利益,相反提高了社会资源利用率。售卖的牟利目的,是对其整理数据的劳动报酬,无可厚非。从保护信息自由流通的角度出发,要切实防止只要获取个人信息后进行盈利活动或者超越信息初始公开使用场景的,即认为超越了合理处理界限的规定。
(四)公民个人信息数量的认定实践中,犯罪行为人为获取更多利益,可能会将虚假的公民个人信息与真实的公民个人信息混杂。虚假的公民个人信息不能识别到特定的公民个人,显然不属于侵犯公民个人信息罪的规制范围,因此从理论上说计算涉案公民个人信息时应将虚假信息予以删除。但是实践中,涉案公民个人信息数量庞大、类型复杂,将所有涉案信息的真实性、有效性一一验证会耗费巨大的人力、物力成本,耗费司法资源,明显不具有可行性。因此《个人信息犯罪司法解释》第11条第3款规定:对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明该信息不真实或者重复的除外。
笔者筛选出上海市2019年、2020年法院判决的侵犯公民个人信息罪案件,其中涉案公民个人信息一万条以上的案例共计90件,绝大部分案件公安机关均会委托鉴定机构对涉案公民个人信息进行去重、筛查,将重复信息、不符合号码规则(手机号、身份证号、银行卡号等)的信息予以删除,统计涉案信息数量;其中有五例案件公安机关或者公诉机关利用抽样核查的方法,对涉案公民个人信息的真实性予以验证。公安机关在海量信息中抽取一部分进行真实性核验,根据核验结果得出涉案信息有效性的比例,再综合全案对涉案信息的数量予以认定。由此可见司法实践中,办案机关均会对涉案信息进行去重处理,由于信息真实性的核查成本高、技术难度大,办案机关对信息核查的案例并不多。
侵犯公民个人信息罪中对涉案公民个人信息数量认定对于是否达到《信息犯罪司法解释》规定的“情节严重”、“情节特别严重”具有重要影响,是认定被告人有罪或无罪、罪轻、罪重的重要标准。对于信息真实性的证明标准,2018年11月最高人民检察院发布《检察机关办理侵犯公民个人信息案件指引》中规定关于信息真实性的证据包括被害人陈述、被害人提供的原始信息资料、公安机关或相关单位出具的涉案公民个人信息与权威数据库内信息同一性的比对说明。但是对于百万、千万条海量信息进行比对明显是不可能的。2021年1月最高人民检察院发布《人民检察院办理网络犯罪案件规定》第22条规定,对于数量众多的同类证据材料,在证明是否具有同样的性质、特征或者功能时,因客观条件不能全部验证的,可以进行抽样验证。对涉案海量的公民个人信息数量的认定,笔者建议采取抽样核查的方法验证信息的有效性,可采用简单随记抽样、等距抽样、分层抽样等方法,但是要注意以下问题:第一,侦查机关应当根据鉴定机构去重后的信息进行抽样核查;第二,在核查过程中要注意遵循程序公正,操作规范。例如应当保证有两位办案人员进行核查工作,制作核查清单与核查报告等;第三,抽样应当对信息进行分类。对于一般公民信息,如手机号、身份证号码等应当分别抽样统计;财产信息、活动轨迹、生物识别信息,由于该类信息只要非法获取或者交易“50条以上”就可以构成“情节严重”,因此应当谨慎适用抽样核查方法。对该类信息一般应当一一验证真实性,在明显不可行的情形下,可以采取抽样核查的方法,但是抽样的比例应当高于一般信息的抽样比例。
三、侵犯公民个人信息行为屡禁不止的原因
数字经济下,个人信息背后存在着巨大的经济利益。个人与企业对利益的追求,网络犯罪的“虚拟性”、“技术性”,低成本的投入与高收益的回报等条件可能会使行为人走上犯罪的道路;刑事法律规制不力,行政法制与行政监管的缺位导致了侵犯公民个人信息行为的泛滥。
(一)大数据时代下的利益驱动大数据时代下,个人信息作为一种资源具有巨大的经济价值,公民的行踪轨迹、消费记录、财产情况等信息经过分析与处理后能够为行为人带来巨大的利益。在信息源头方面,“内鬼”利用其职务便利非法收集公民个人信息后出售或者提供给他人,其非法获利普遍高于普通交易公民个人信息行为;部分企业将业务过程中获取的客户信息、简历信息等出售牟利;在信息流通方面,信息通常以电子形式储存,复制简单、传播迅速,犯罪行为人往往会在QQ群、微信群等线上渠道发送(买卖)公民个人信息。该种情形下,操作简便、犯罪成本低,短期即可获得高额收益。由此可见,在投入较低的经济与时间成本下,即可获得高额的收益;公民个人信息本身具有的重要经济价值驱使行为人以身试法,以谋取非法利益。
在数字经济时代,对于企业来说信息意味着机遇与财富。企业获取的公民个人信息越多,即潜在的客户便越多,意味着具有更高的盈利可能性。实践中,中介公司、保险公司、培训机构等企业为提高公司业绩,公司负责人往往会授意员工获取公民个人信息,进行产品营销、保险业务推广等。因此,许多公司为了盈利可能会以身试法非法获取公民个人信息进行市场推广。实践中亦存在一类企业,以交易公民个人信息为主要业务,例如设立网站为他人提供数据交易平台;将掌握的公民个人信息导入网站数据库,提供收费查询的服务等。该类企业无正常的业务经营活动,其瞄准市场对公民个人信息的需求,利用公民个人信息本身巨大的经济价值,交易公民个人信息获取非法利益。
(二)信息保护意识不强公民对个人信息保护意识淡薄。数据具有非排他性、非独占性等特点,可以反复使用、共享,这使得信息控制者对个人数据保护远不如对其他私有财产保护重视,容易产生各种疏忽现象,随意丢弃快递单号、在公共场所连接陌生WiFi等情况屡见不鲜,从而使得个人信息被不法分子收集利用。其次,互联网上的发展给人们的生活带来极大的便利,信息查询、购物交易甚至金钱借贷都可以在线上进行,部分公民个人信息保护意识不强,在非正规APP或者网站上注册个人信息,从而被不法分子收集利用。例如犯罪行为人建立股票咨询网站,通过用户的注册行为获取公民的手机号码、银行卡号码、投资意向等信息,非法出售给财富管理公司。再者,现行法律规定对于被侵犯个人信息的公民救济措施有限,公民难以证明侵犯个人信息的行为造成的损失,维权成本高、收益低,这导致公民个人信息保护缺乏动力。
企业经营过程中的第一要素是盈利,在这过程中企业将用户体验、信息保护等要求劣后盈利目标,甚至根本没有保护公民信息的意识。例如APP在注册使用过程中,往往会要求用户对位置信息、设备信息、通讯录信息进行授权,尽管部分授权对使用该APP根本无关,仅为了盈利目标而过度收集用户信息;3月10日,工信部通报的2021年2批次183款APP中,有162款所涉问题是“违规收集/使用个人信息”,占比约88%。其中较为知名的应用包括相机360、芒果TV等。再者,掌握海量公民信息的企业对信息的风险管控不到位,“内鬼”们窃取企业信息,造成大量信息泄露流向市场交易。
(三)制度与监管的缺位在制度方面,我国对公民个人信息采取的是“先刑后民”的保护模式,在行政、民事制度方面缺乏对公民个人信息的保护。2009年2月《刑法修正案(七)》增设了非法获取公民个人信息罪和出售、非法提供公民个人信息罪;2015年8月《刑法修正案(九)》将上述两罪合并,规定为侵犯公民个人信息罪。侵犯公民个人信息罪作为法定犯,在适用时没有相关的前置法。直至2016年《网络安全法》出台,针对网络运营者收集、使用个人信息提出了具体的要求,2021年1月生效的《民法典》在人格权编规定了个人信息保护制度;侵犯公民个人信息罪的前置法不断完善,但是这些规定仍然过于原则,监管部门、企业难以适用。再者,我国目前还未出台专门的《个人信息保护法》,缺乏对公民个人信息保护的直接法律规定。
由于缺少相关行政法规,刑法长期代替其他执法机制在监管的第一位,监管效果不甚理想。刑法具有较高的入罪门槛,对于具有严重社会危害性的行为才予以规制;对于企业的一般的违规行为,例如过度收集公民个人信息,未经用户同意分析、利用收集的数据等行为,刑法无法介入监管。缺少具体的规定、部门规章、相关标准等行政部门难以实施相关监管措施,对个人信息的事前保护、事中保护、事后保护不足甚至缺位。其次,犯罪手段高科技化下,传统的执法手段难以实现监管。随着科技的发展,行为人一般在线上非法收集或交易公民个人信息,难以做到实时监控予以惩罚;针对非法收集人脸信息的情况亦同,行政机关难以直接判断摄像头是否具有人脸识别功能,只有被曝光或者发生危害后果时,行政机关才能采取事后拆除、罚款等措施。因此,我国现行的监管现状是重后果责任追究,轻过程规范,轻综合治理,由于技术限制等原因,监管领域有限、效果不佳。
四、侵犯公民个人信息行为的规制措施
行政法、民法长期缺位,外部执法威慑机制越位、缺位与错位并存的情况下,对公民信息保护效果不甚理想。因此要构建民、行、刑全方位监管格局,民法注重对公民的私力救济,行政部门应当在监管的一线,刑法应保持谦抑性,发挥事后保障作用。
(一)疏通公民个人私力救济的渠道建议出台相关司法解释,借鉴消费者权益保护法修改的经验,加大民事责任追究力度,降低民事维权的成本。公民认为企业、平台的行为损害了其合法权益,导致其人身、财产或者精神损害的,可以依法直接向人民法院起诉,要求停止侵害、消除影响、赔偿损失;2021年4月29日发布的《个人信息保护法(草案)》将一审稿中“个人信息处理者能够证明自己没有过错的,可以减轻或免除责任”修改为“个人信息处理者不能证明自己没有过错的,应承担损害赔偿责任”,将个人信息侵权修改为过错推定责任——举证责任倒置,即信息处理者只有证明自己没有过错或者存在法律规定的抗辩事由才可以免责,大大降低了公民个人的维权成本;针对损失的认定,根据公民个人的损失或者侵权人的非法所得确定,难以确认个人损失或非法获利金额的,由法官酌定赔偿金额。同时,公民个人也应当增强个人信息保护意识,降低被侵害的可能性。例如在正规软件、网站浏览信息,不在来源不明网站注册信息;不随意丢弃载有个人信息的文件、材料等;有关部门亦应当加强外部宣传,提升个人对信息安全的保护能力。
(二)完善行政监管个人信息保护的有效性必然依赖于国家的规制,实践中站在维权第一线的往往是监管者而非个人。《个人信息保护法(草案)》明确了国家网信部门负责个人信息保护工作的统筹协调和监督管理,同时规定国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
首先,在进一步推动《个人信息保护法》制定出台的基础之上,通过精细化立法适用等方式来完善个人信息保护制度标准。2021年6月10日《数据安全法》出台,明确提出国家建立数据分类分级保护制度,根据数据在社会经济发展中的重要程度,以及数据被泄露、非法获取后对相关主体合法权益的危害程度为标准进行分类分级保护。相关部门应该根据《数据安全法》确立的重要数据分类分级原则,建立重要数据具体目录,对于与公民个人身份密切相关的信息应当作为重要数据予以保护。《个人信息保护法》出台后,各地区、各行业主管部门应当根据行业发展变化制定实施细则,细化落实各项信息保护制度;针对事件中存在的严重侵犯公民个人信息的行为,出台相关规定回应社会关切。例如,针对APP超范围收集个人信息问题,2021年3月国家互联网信息办公室、工信部等四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确列举了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息的范围,移动应用程序不得要求用户提供非必要个人信息,而禁止用户使用APP基本功能服务。
其次,实行场景化监管,对政府部门与非政府部门获取人脸识别信息进行差异化规制,并且在不同场景下对行为人收集信息设置不同的标准与程序,进行分类、分级管理。以收集人脸识别信息为例,政府部门在公共领域收集人脸信息可以识别违法、犯罪活动的行为人,扩大公安机关的执法和取证能力等,从公共利益角度出发不宜设置过多限制;但是在私主体如商业领域,应当对信息的收集、使用、处理等行为作出规定。可以实行事前监管,对图像识别摄像头的生产、销售、购买实行登记备案制,从源头上管理收集人脸信息的行为;限制留存实时生成的人脸数据文件的时间,降低泄露概率;应用人脸信息收集时,应当执行知情同意原则作为约束,明确展示说明摄像头和终端的功能。
再次,提升信息技术能力,提高网络执法水平。传统的执法手段难以快速识别不良信息,执法效果的准确性受到影响,而信息精准识别分析等筛查手段则能高效迅速分辨不良信息。下一步需要在确保安全前提下,积极探索利用信息管理系统,大规模扩展网络空间规范领域,从多角度多层次规范网络空间。运用人工智能、大数据等新技术手段,实现对软件、APP的技术检测广度与深度。再者,政府部门也应当对官方网站加强安全防护建设,防止行为人侵入非法获取公民个人信息、企业信息甚至国家安全信息。法律对技术最合理的回应是参与技术的重构过程,推进国家与互联网企业的合作,互联网企业提供技术支持,建立政企合作的常态化机制。
(三)加强行业监管与自律监管政府的强力监管对于减少、消除企业侵犯公民个人信息行为作用显著,但是囿于政府与企业之间地位、信息的不对称,政府的直接介入可能会抑止企业的发展。因此,可以鼓励与企业联系密切的行业协会针对本行业发展过程的特征,对个人信息的保护制定行业规则与标准,形成行业内统一的行为规范,降低新兴信息技术的安全风险。新出台的《数据安全法》第十条规定,相关行业组织依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护。行业标准在应对场景多变、技术迭代较快且专业度较高的信息安全保护方面起到了积极作用,鼓励企业参与行业组织标准讨论,并以行业最佳实践标准为指导推进企业内部的个人信息合规建设。
同时,企业应加强自律监管,进一步强化个人信息保护红线意识,将用户权益保护作为企业发展的生命线。鼓励企业从源头上实现对个人信息保护的程序设计,将个人信息保护前置到产品设计环节,结合科技发展水平、标准实施成本以及个人信息处理行为的性质、范围、环境和目的进行规范,并确保在默认设置中,个人信息受到适当的保护;鼓励对个人信息脱敏化、匿名化处理,明确匿名信息不受个人信息保护相关法律的规制,最大程度地促进大数据的利用与发展。建立一体化的安全与责任底线,例如安装人脸识别系统需要向相关部门申请批准,并定期进行检测;对收集、传输、储存人脸信息的过程进行加密,并建立可追踪的技术体系等。《个人信息保护法(草案)》二审稿新增企业对个人信息保护所要承担的义务与社会责任,对于提供基础性互联网平台服务、用户数量巨大、业务类型复杂的信息处理企业,要成立主要由外部成员组成的独立机构,定期发布个人信息保护作为业务发展的一项基本原则,贯穿业务发展全流程。
(四)刑事制裁提供坚实的后盾与保障刑事制裁手段的严厉性和刑事责任承担后果的不可修复性,作为补充手段的刑事法律规范应当保持足够的谦抑性,但是这并不意味着刑事立法和司法对社会面临的一系列社会问题采取漠视的态度,刑事立法与司法在必要时也应当作出一定的回应并表明立场,为保障社会稳定提供坚实的后盾与保障。
首先,重点打击信息源头泄露。“内鬼”成为侵犯公民个人信息的重要主体,应当对该类主体从重处罚。掌握海量信息的企业亦应当构建内部信息保护体系,落实信息保护的责任制度。有的学者也提出,法律对单位“内鬼”侵犯个人信息有明确规定,但是没有确立对其领导实行责任追究机制,建议确立单位主体的连带责任,倒逼企业建立落实企业内部信息保护制度。
其次,注意识别“假冒”创新企业的违法行为。对披着合法经营外衣暗中进行信息窃取、交易的公司进行查处,依法打击涉及买卖公民个人信息的互联网企业。对于企业使用新型技术获取信息的性质的判断,技术中立具有相对性,其使用不可超过法律的界限,否则中立就会转化为非法,技术的使用要充分保护尊重信息权益的要求。若企业收集数据的行为违反了《民法典》《网络安全法》等相关法律规定,则可以被认定为“违反国家有关规定”,具有非法性,后再对技术行为是取得权限,获得信息是否能够识别特定自然人身份进行实质性判断,综合判断是否符合侵犯公民个人信息罪的犯罪构成。
再次,仍应坚持罪刑法定原则。针对《民法典》关于个人信息权益保护的规定,在认定侵犯公民个人信息罪时做出相应调整,但是仍应当坚持罪刑法定原则,不能类推适用。例如《民法典》行为人对公开信息的处理,只要权利人未明确反对或者严重侵害权利人的利益即认为合法。从法秩序统一的角度出发,《民法典》对非公开信息的保护明显强于公开信息,因此刑法也应当将保护重点转移至更加敏感的非公开信息,尤其是与公民身份、财产、活动更加密切的非公开信息。关于公民个人信息的范围,在刑法适用过程中可以通过法律解释的方式将数据经济时代的新型风险纳入传统的立法范围,化解司法适用的困境与尴尬。
结语
通过案件分析发现,侵犯公民个人信息罪的司法适用在保护公民个人信息方面发挥了积极作用,但是刑法先行的举措只能治标,尚难治本,应当回归个人信息保护民法优先的应然状态。随着前置法的出台与完善,刑法应当保持谦抑性,保障其他部门法的实施。要疏通公民个人私力救济的渠道;政府部门积极履行职能,将监管重心放在过程治理,同时也要加强外部执法的威慑力度,提高违法成本。在坚持国家整体数据安全、维护个人合法权益、保障产业利益等前提下,通过合理的制度设计保障具体场景下的数据安全,最大程度取得数字经济的发展利益和安全利益。公民个人信息保护的目标是安全与发展。发展是目标,安全是实现目标的保障,应当对信息保护采取激励相容的制度,平衡个人利益的保护与信息产业的发展。刑法要发挥好最后保障作用,从而形成民、行、刑全方位的公民个人信息监管与保护格局。
*为方便网络发布,已删除脚注。