【海检争鸣】侵犯公民个人信息罪之刑事治理困境和破解进路
发布时间:2024-09-14
作者:郭鹏飞 胡旭峰 于立君
载《犯罪学研究(第二辑)》
摘要:在大数据时代之前,个人信息从属于隐私权,我国刑法对其采取保护本位的立场。在大数据、互联网+的背景下,个人信息利用是一柄双刃剑,个人数据保护是变动的最为激烈的法律领域,刑法司法面临着法律保护范围不确定、追责困难、司法救济无力等实践困境,应当从动态、多元的角度把握大数据时代个人信息的刑法保护制度建构,既释放信息红利,又保障信息安全。
关键词:价值 立法 司法
在信息社会里,数据是信息的载体,信息是清洗、分析、处理后的数据输出,两个术语经常具有互换性。目前Web3.0时代的网络犯罪本质上是信息犯罪,网络为公民提供信息社会基础设施的同时也存在着个人信息被泄露的风险,精准诈骗的源头往往和公民个人信息泄露相关,比如2014年携程网技术漏洞泄露用户姓名、身份证号码、银行卡号和CVV码事件,又如2016年大学生徐玉玉被骗致死案等等。法不察民情则威不立,为了回应社会关切保障信息安全,我国《刑法修正案七》和《刑法修正案九》为公民信息撑起了双保护伞,但是现实是一方面刑法保护公民信息不断完善,对这类犯罪打击力度不断增强,另一方面是个人信息深度挖掘广泛应用的大数据时代背景下非法获取、交易、共享个人信息、电信诈骗、网络谣言等刑事案件陡增,近些年来侵犯个人信息愈演愈烈的严峻现实。这种力不从心的规制困境说明了刑事法制尚无法满足互联网+、大数据背景下个人信息保护的现实要求,需要结合实践做进一步反思。
一、大数据背景下侵犯个人信息的状况考察
(一)被侵犯个人信息的种类
网络时代不用敲开房门只要轻轻敲击鼠标就能获取存储于云端的个人信息,被侵犯的信息归结起来可以分为以下三类。一是身份信息,包括人脸识别的上百个信息点、身份证号码、户籍资料、工作单位、家庭住址等等。这类信息和人身安全关联度比较高,大数据背景下自媒体传播社会舆论的范围广效率高,泄露和滥用个人信息会衍生恶意人肉搜索等网络暴力现象。在大数据环境下,自媒体发布人、网络服务商、甚至行政监管部门都无法决定个人信息的走向,在特定事件中被害人的姓名、照片、工作单位、家庭住址等信息被曝光,在网络暴力中理性声音被埋没,偏激、激进的言论往往会占上风,网络上充斥着对素不相识的受害人的谩骂侮辱。个人信息遭泄露以后更常见的是会遭受营销性电话和垃圾短信的商业推广和宣传,甚至身份信息会被盗用被恶意透支,给个人的安宁权、健康权、隐私权造成损害。二是通信、行踪信息,包括手机定位和行踪轨迹、住宿信息、电话号码、手机开锁密码和通信录、微信服务密码和聊天内容等等。网络服务提供者会让用户在使用服务之前同意强制性的使用协议,面对着专业化的长篇累牍的使用协议,普通用户没有能力了解自己的哪些信息会被收集、以及在多大的范围内以何种方式被使用,而且如果不同意则无法使用该软件服务。比如使用高德地图等导航类APP具有缩短个体通勤时间,优化城市规划的商业效果,但是如果不同意服务商收集自己所处的位置信息便无法使用相关导航服务。在现实中,微信微博等社交平台是泄露通信信息的重灾区,这类平台上有大量的用户,下载这种社交使用者的发言都会被记录,相关信息也会被收集,用户就会被平台有针对性的精准推送广告,通信信息的经济价值不在于基本用途而在于二次利用,这些跨界使用、二次利用的通信信息往往具有很高的商业价值。三是财产信息,包括个人征信信息、房产信息、保险资料、银行卡卡号及密码、支付宝账号及密码等等。电信诈骗和侵犯个人信息有高度的关联性,在信息技术高速发展的现代社会里,这类财产信息往往具有广泛的用途和巨大的经济利益,不法分子所获取大量的个人经济信息可能成为诸多违法犯罪的源头, “近年来,因非法利用个人金融信息而导致侵犯公民人身权和财产权的违法犯罪案件频发,并促发了洗钱、电信诈骗等诸多下游犯罪,不仅严重侵害了个人隐私,也侵犯了公民的财产权,同时损害了金融机构的声誉,阻碍了金融业的发展。”“侵犯公民个人信息与电信诈骗,掩饰、隐瞒犯罪所得、犯罪所得收益等上下游犯罪相互交织、严重侵犯了公民人身、财产安全和其他法益。”
(二)针对该罪的现行法律规范
不同国家对“个人信息”内涵外延的界定不尽相同,总体而言都是以个体可识别性为标准。“美国对个人信息的保护是由《隐私权法》完成,……(1)社会保障号码;(2)驾照号码或者其他国家授予的身份证号码;(3)银行卡号、信用卡或者借记卡号码,以及其他银行账号、信用卡号码(其与任何必须的安全码、存取码或者密码结合可以获取个人资料账户访问权限)。我国《网络安全法》第75条第5款中,对个人信息的内涵做出类似的规定。”该款规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人身份的各种信息,包括但不限于自然人姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。2017年5月两高联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)对个人信息作出如下定义:以电子或者其他方式记录的能够单独或者与其他信息相结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。《民法典》第1034条对个人信息的内涵界定上沿袭了《网络安全法》和《解释》中的可识别标准,外延上加入了电子邮箱、健康信息、行踪信息。
79刑法对侵犯公民个人信息的行为均未有专门罪行条文,97刑法典第253条和286条分别规定了邮政工作人员毁弃、隐匿邮件电报罪和侵犯计算机信息系统罪,前者专门规制邮政工作人员,从该罪的罪名、罪状不难看出该条刑文主要是保障公民的隐私权,后者是针对黑客利用技术手段非法侵入国防建设、国家事务、尖端科学技术领域内的计算机信息系统的行为进行制裁,以达到对关乎国家重要利益的信息安全进行保护的目的,还没有维护个人数据的意识。在个人信息数据化程度不高的互联网时代初期,个人信息转移相对繁琐,刑法第253条尚能在一定程度上保障公民隐私权和通信自由。但是随着网络时代的到来,个人信息数据权的重要性开始凸显出来,网络的开放性和数据传输的快速性使得个人信息的安全性和可控性大大的降低了,以前具有专享性私密性个人信息后来在很多领域内都有重要的商业价值和应用价值,因为个人信息泄露导致的电信诈骗等犯罪屡屡发生,非法获取、非法提供个人信息的现实情况已经远远超出了刑法第253条和286条所规定的犯罪范畴。在大数据的环境下很多违法犯罪的源头都是个人信息储存、使用中被侵入和买卖。为了适应大数据环境和数字化时代对个人信息的保护要求,2009年《刑法修正案七》第7条首次将侵犯公民个人信息纳入刑法规制范围,设置了出售、非法提供公民信息罪的罪名,自此在刑法上确立普通公民数据权,并将犯罪主体扩展为网络信息安全具有保障义务的金融、电信、医疗等单位及其工作人员,从立法上加强了对上游犯罪的打击力度。“在我国信息化程度迅速提高的背景下,个人信息被非法传播的速度和广度都被无限放大。”犯罪主体已经从金融、电信、交通等掌握大量公民个人信息的特定单位的公职人员转变为中介机构、社交、购物网站等普通主体,而且形成了非法获取、分析、买卖、使用的完整产业链,原有的《刑法修正案七》第7条已不能完全应对日益猖獗的侵犯个人信息的蔓延之势。2015年《刑法修正案九》所规定第17条对该罪做出了重大修改:一是将罪名设置为侵犯公民个人信息罪,二是将该罪的主体由数据信息“监守自盗”的特殊主体扩展为一般主体,三是对罪状做出修改,“取消了‘非法提供’中的‘非法’,将入刑的行为确定为‘出售或者提供公民个人信息’‘窃取或者以其他方法非法获取公民个人信息’两种行为”,也就是把该罪限定为两个端点阶段的行为,四是提高了法定刑。从而进一步扩大了上游犯罪的处罚对象,明确了规制情形,在立法上加强了个人信息的保护。根据个人信息的可识别程度和法益的关联程度的,《解释》又把个人信息分为高度敏感信息、一般敏感信息、普通信息,非别设置了50条以上、500条以上、5000条以上的入罪标准,明确划定了犯罪圈。
(三)保护个人数据信息的困境
大数据时代,个人是数据的生产者,每个人都是一堆数据,随身携带的移动终端、公共场所的摄像头都时时刻刻的把个人数据化,个人的行为活动都在网络中被记录,巨量的碎片化的数据被传输到私营部门进行分析挖掘和商业利用,现代法治的核心内容是保护权利,大数据背景下个人信息数据的法律保护具有如下困境:
1.数据主体自决权的弱化
数据信息自决权是指信息主体自己决定自身数据在何种范围内以何种方式被收集、分析、应用的权利。在大数据、云计算的背景下,网络用户脆弱无助,信息主体不知道自己的信息被谁以多大范围被收集分析,并以何种方式被挖掘应用,更不能分享个人数据产生的收益。在现实中,很多平台公司在收集使用个人信息时并未履行告知义务,对自身数据的处理应用情况权利人大多不知情,碎片化的信息虽不具有识别性,但是通过数据挖掘技术就可以追溯到个人。而且很多信息数据未作匿名化处理,具有较明显的身份指向性,获取别人的隐私甚至成为致富、成名的手段,应用这类数据会形成实质意义上的隐私侵害,数据主体将受到不公正待遇。很多侵害个人信息的事件都未被公众察觉,刑事立案的很少。
2.大机构、大平台公司对数据垄断更易造成对个人信息的侵犯
在大数据、云计算的背景下,移动智能终端平台、电子商务平台、大型网络社交平台往往利用手机、电脑其他电子产品利用相配套的APP收集着个人信息,从而据掌握、聚合着巨量数据,“亚马逊监视着我们的购物习惯,谷歌监视着我们的网页浏览,Twitter窃听到了我们心中的TA,facebook似乎什么都知道,包括我们的社交网。”而且这些大型网络基础设施的提供者将巨量数据集中存储形成数据信息共享中心,原来匿名形式存在的个人隐私信息数据在网络空间中变得相对透明了,数据库中巨量的数据可能被不法分子利用黑客技术所窥测、挖掘甚至是监控,这样个人数据被大规模的窃取、泄露、破坏的可能性增大了,而且危害后果不可逆的,比如2013年非法窃取个人数据的棱镜门事件引爆了网络安全危机。
3.数据泄露途径多样化
互联网企业在收集、分析、应用多个环节上用户数据都可能被泄露,这也是保护个人数据的难点所在,信息管理人员监守自盗、黑客利用技术手段入侵都可能会造成信息泄露,特别是存储环节是数据泄露的重要风险点,如果存放于公有云服务器,被非法获取的风险就更大了。有的是用户缺乏信息安全意识造成了信息泄露,比如在钓鱼网站上填写自己的真实信息,轻率的用微信扫描二维码,使得相关人员通过技术后台轻易获得了个人信息,为自己的财产安全埋下了安全隐患。
二、造成困境的原因
(一)数据应用的经济价值和安全保护的平衡的现实因素
面对着保护个人信息安全和保障信息合理利用这一对矛盾命题,刑法在划定侵犯个人信息罪的犯罪圈时面临着较大困扰:既不能单纯的强调个人信息的自决权忽视了信息交流应用的重要性,也不能因为数据的实际用途而忽视对信息主体可能造成的现实危险。在互联网+的背景下平台公司对巨量信息的收集分析应用是其商业模式的基础,“特别是进入信息深度挖掘应用的大数据时代,集成个人信息的海量数据成为高效分析社会需求、辅助社会决策的基础工具,个人信息因此成为充满高度应用价值和商业价值的数据黄金。”“2015年4月,贵州省贵阳市成立了首家大数据交易所,自此开启了我国数据交易正规化、产业化的新篇章。”平台公司可以通过大数据人工智能技术从个人浏览过的在线商店、网购地址、和浏览网页中分析出消费者的爱好和需求,从而挖掘出客户的消费潜力。十几年以来,受到互联网创新技术的推动,巨量信息在网上被收集、分析、应用,诞生了不少新型商业模式和新型经济产业,增加了就业税收,创造了具有巨大的经济价值。又如,在新冠疫情的防控中不可避免的需要挖掘个人的行踪信息,分析相关数据的关联性进行疫情预警,从而促进决策的实现。不顾社会发展需要用阻碍信息交流的方法片面保护信息自决权的做法是刑法所不取的。
(二)技术已先行,立法仍滞后
目前个人数据有两种保护模式,一是以美国为代表的行业自律,二是以欧盟为代表的法律统一保护。立法对快速发展的数据行业没有足够的准备,立法缺少处理新兴的大数据行业中违法犯罪问题的经验。我国目前尚未制定完整的个人数据保护法,保障数据信息合理使用的外部监督缺失内部监督乏力,大数据发展中存在的问题都可以反映立法相对滞后的问题。刑法对新形势下的大数据行业的侵权犯罪缺少较为准确的判罚依据,对于出售或者提供个人的哪些信息以及何种违法获取具有实质违法性没有统一的法律表述;法律保护范围不全面,侵犯公民个人信息的样态逐渐增多,但是在划定犯罪圈时没有做进一步完善;刑法也没有明确哪些获取个人信息的行为因为没有实质违法性应当被排除在调整范围之外;个人信息刑法保护缺乏前置性条件,民事违法和刑事犯罪的边界也是一个需要解决的实践和理论问题。如果把大数据比作极具航运价值大河,个人信息泄露就是一个个的暗礁,有不少的暗礁隐患还没有被甄别和标注出来,对航运安全产生了危险。
(三)难以追究法律责任的执法因素
在云计算、大数据的背景下,一是侵犯个人信息可能存在于数据的生产、提取、分析、交换、应用、传输、销毁各个环节,涉及权利人、数据控制者、处理者等多方参与主体,多元化责任主体使得难以查清法律责任。另外数据共享的模式呈现出数据接口的多样性,这样更难以辨识出责任主体。二是侵害个人信息具有隐蔽性和高技术性,往往是在被害人不知情的情况下被侵害的,难以追查到犯罪地和侵害时间,调查取证困难。三是由于法律规定模糊保护范围不确定,司法机关定罪量刑依据往往是情节和后果,这会造成法律适用结果不统一。
三、完善保护个人信息的刑法规则
(一)理性确立个人数据保护的价值取向
本罪罪名是非法侵犯公民个人信息,非法是纳入刑法规制的关键。认定为非法应当做出两方面的限制性规定,一是获取、共享信息的目的性,二是有无采取必要的保障信息安全的措施。既然合理、正当的信息共享和应用具有潜在的巨大的效益,就不应追究利用该技术创造社会价值的人得刑事责任,就应当缩限范围,不能把所有的获取、出卖、共享个人信息的行为都认为是违法犯罪,需要根据目的和结果进一步分析获取、出卖、提供哪些个人信息具有社会危害性实质违法性。如前所述,在大数据和互联网+背景下,分析应用个人信息带来的福祉使得刑法的立场发生了转变,从单纯的保护个人信息安全转变为保障大数据合理利用。保护个人信息的边界就涉及到科研自由的规则和信息合理利用的边界,应当摸索出大数据合理利用的法则和合法性的基础。 “而在保障个人信息安全的基础上,为个人信息的利用设置一些能够为民众所接受的条件,为大数据的应用创造出一定空间,体现出法律(刑法)对技术发展的关切,或许就能够为我国大数据时代各个领域 发展服下一颗定心丸。”刑法界定个人信息的保护范围不但是一个事实判断也是一个价值判断,挖掘个人数据的过程既可能导致非法利用个人信息,也可能推动大数据产业的发展,在立法和司法实践中,保护个人信息和大数据有效利用之间的平衡点大大的往后了,刑法划定犯罪圈时应当保障个人信息在流通应用过程中不给权利人造成损害的前提下,通过较少的法律控制实现数据共享,保障大数据技术的合理应用和迅速发展。一般认为,大数据中心获取、共享个人信息是合法的,“大数据交易打破个行业领域间的信息壁垒,原始数据经过源经过清洗、整理、建模后得出的数据分析结果成为可交易的对象,在具有交易需求并达成协议的双方企业之间流转。”这种正常的数据获取、分析、共享是信息技术高速发展的必要条件,不能认定为非法侵犯。对于不但无益于增进社会福祉、还可能给公民财产安全、个人隐私、生活安宁造成危险的滥用行为应当认定为犯罪实行者。除了目的正当以外,获取、共享数据的主体还应当采取必要的措施保障公民数据安全,如果在合法商业交往和正常业务往来中没能采取必要措施保障“信息流”的安全造成了严重危害后果,比如保险经纪公司和保险代理公司把在业务活动中收集到的个人金融信息泄露出去,被不法分子盗用伪造并伪造信用卡进行无节制的奢侈消费,这种上游的泄露信息行为同样具有刑法上的可责性,过失犯依然可以构成本罪。
(二)确立符合国情的个人数据保护的立法模式
个人数据保护应当建立在实践基础上,一是刑法应当对个人信息保护范围做出全面揭示,立法应当摸索出一套数据开放的安全分类、个人数据开发利用的边界、数据流动、隐私保护的制度体系,对侵犯个人信息行为需要承担的行政法责任、民事责任、刑事责任做出明确区分,立法应当明确侵犯个人信息行为应当承担的民事责任、行政责任、刑事责任的有序衔接和互相助益。个人信息法律保护不能只依靠刑法,而是要多种法律手段综合发挥作用。我国信息行业主体的个人信息保护意识没有很好的培育,甚至信息产业发达的美国也没有得到很好的解决,因此刑法应当保持谦抑性,对于获取个人信息的行为合法与非法、罪与非罪仔细推敲、审慎对待,厘清行政处罚、民事赔偿与刑罚的界限。二是刑法应当对侵犯个人信息的样态做出不同的规范制约,对非法侵入、非法利用、非法破坏等犯罪形式作出区分,对一些新型的犯罪形式,比如,利用指纹识别人脸识别虹膜生物识别技术、物流快递所获取的个人信息也纳入刑法调整范围。三是由于互联网的快速发展和社会环境的变化,而刑法具有滞后性的特点,加之侵害样态具有多样性,应当设置兜底条款对个人信息犯罪的空白之处进行补充。
(三)兼顾行业发展和信息保护的司法实践
一是个人信息保护应当适度,应当注重行业发展,不应当保护过度,对于情节轻微未造成严重后果的案件尽量适用取保候审、不起诉、免予刑事责任、缓刑、罚金刑等刑事处遇。二是明确大数据中心、网络服务平台公司的安全保护义务和责任倒查制度,发现侵害公民信息安全的违法行为和黑色产业链应当向司法机关举报的法律责任。很多网络攻击和网络犯罪对作为“个人信息集散地”的数据中心、平台公司的依赖性很强,如果这些机构加强对个人信息保护的制度建设,上下游的侵害个人信息以及网络犯罪就会减少很多。因此,应当加强大数据中心、网络服务平台公司的内部监督责任以及管理人员的责任倒查制度,如果因疏于管理大量信息泄露尚未造成严重后果的,平台公司的管理人员和直接责任人员应当因为内控体系不完善而承担相应行政责任;很多网络犯罪都需要充分了解侵害对象的基本情况,因而对获取个人信息有极强的依赖性,如果疏于管理大量信息泄露被不法分子所利用造成严重后果,数据中心、平台公司的管理人员和直接责任人员应当承担过失犯罪的刑事责任;如果向不法人员提供、出卖公民个人信息或者参与黑色产业链的应当承担故意犯罪的刑事责任。三是注重司法机关与互联网科技公司的协作,利用技术支持加强调查取证工作。互联网技术是查处侵害个人信息犯罪的利器,司法机关应当与互联网科技公司密切合作加强交流,及时提取、固定电子证据,强化案件的调查取证工作。
大数据的本质要素是数据,数据信息的流动和共享推动了社会发展,但也产生了风险和问题。“正所谓没有买卖就没有伤害”,侵犯个人信息犯罪是个预防性的犯罪,控制住了个人信息泄露就减少了下游的许多侵害财产犯罪和侵犯人身权犯罪。刑法规制大数据互联网背景下侵犯公民个人信息行为肇始于2009年《刑法修正案七》, 2015年《刑法修正案九》做了进一步完善,个人信息保护是一个未竞的事业,立法、司法应当以实践为基础回应技术创新产生的规制难题。