中国社会科学院国际法研究所是中国国际法学的研究重镇。她的前身是中国社会科学院国际法研究中心、中国社会科学院法学研究所国际法研究室和最早时的中国社会科学院法学研究所国际法组。
联合党委书记主持所务工作
小
中
大
关键词:公民个人信息;网络犯罪;侵犯公民个人信息罪;同意原则;
1.法律条文中个人信息概念的界定
2017年3月15日,全国人大正式通过《民法总则》。《民法总则》第111条专门规定了个人信息保护规则,首次从民事基本法层面提出了个人信息权,并明确了信息安全的保护,“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。但《民法总则》并没有给出个人信息的准确定义,这个工作是由随后的《网络安全法》来完成的。
《网络安全法》第76条将个人信息界定为“能够识别自然人个人身份的各种信息”,显然使用的是广义的“身份识别信息”的概念,即既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括体现特定自然人活动情况的信息。
2.个人信息的内涵延伸
除现有条文规定的姓名、年龄、有效证件号码、婚姻状况等个人信息之外,我们认为还有一类信息也应当包括进来,即公民的基因信息。基因信息具有个人信息的关键特征,即可识别性,所以从性质上可以纳入。
欧盟2018年最新颁布的《一般数据保护条例》(GDPR)第4条第13项定义了基因数据(geneticdata),即“关于一个自然人遗传或后天基因特征的个人数据,提供了通过对生物样本的分析得出的关于该自然人生理或健康的特别信息”,可见,将基因数据纳入个人信息保护,已经不再是纸上谈兵。我国作为多民族的人口大国,更应当重视对基因数据的保护,这不仅涉及到每一个自然人的个人隐私权益,也关系到国家的基因多样性安全问题。
随着互联网3.0时代2的来临,网络全面渗透到公民的日常生活和社会运行之中,云计算技术的发展意味着大数据成为网络空间的主导,作为网络数据之一的个人信息具有和其他网络数据一样的易取得性和防护脆弱的问题,其安全性成为焦点。在大数据时代,公民个人信息概念的外延在不断扩展,其特有的广泛而迅速传播的特性也会影响刑法对其保护的范围。这就涉及到对公民个人信息保护权利属性的界定。
综上可见,刑法层面上的个人信息权利保护,是一个复杂或者说是综合的权利集合,其最终要在个人信息的保护与社会信息共享、信息自由交流与国家安全之间找到平衡。
1.责任主义原则的坚持和例外
在网络犯罪中,对帮助行为人,如网络平台的经营者、服务器的运营者等追究刑事责任已经成为打击网络黑灰产业链的重要部分。对在侵犯公民个人信息犯罪中提供了帮助的行为人,2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)明确了其刑事责任。3
2.同意原则的坚持与例外
公众信息共享和个人信息保护之间的冲突是互联网时代所有网络活动无法回避的问题,互联网发展至今,信息持有者的知情和同意已经成为网络主体对公民个人信息所有利用行为开展的前提,也是对公民个人信息的最低保护要求,信息持有者有权了解自己的信息被哪些机构持有、处理和利用,也有权了解具体的利用进程,对于可能不利于信息持有者的利用行为有知情权。知情同意包含两个权利范畴:一是知情权,即信息主体有获取有关本人信息及其被收集、处理和利用等情况的权利;二是同意权,即除法律规定的例外情况,任何人要收集、处理或使用个人信息必须经信息主体本人同意。[9]一般而言,这种同意不能是默示作出的,即数据主体以简单的不作为表示同意是不够的,还必须以某种作为形成明示同意,但有默示同意成立的情况,如将个人数据用于直销目的的情形。[10]
早在1978年经济合作与发展组织(OrganizationforEconomicCooperationandDevelopment,OECD)就成立了跨境数据障碍和隐私保护的专家团,并于1980年通过了《关于隐私保护与个人数据国际流动的指针的建议书》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData,OECD.EOC.C58final)。该建议书提出了保护个人信息的八项基本原则,其中附条件地规定了数据收集与利用的同意原则。[9]
我国台湾地区的“个人资料保护法”和日本的《个人信息保护法》也规定了信息所有者的同意权,但仅限于采集阶段,对于之后的使用阶段,只要使用目的与收集目的相符就无需征得信息主体的同意。因为日本在制定《个人信息保护法》过程中认为,如果像欧洲那样设立对任何领域都拥有管理权限的个人信息保护机关,则可能大幅度限制非公共部门本应自由的活动,这不符合日本的国情,与其行政改革和放松管制的潮流也相悖,因而应构建富有成效的事后救济体系。[9]
但是,国家安全对个人信息保护可能的侵犯和企业对个人信息的利用还是有所区别的。首先,国家安全部门对个人信息的获取较之企业更为全面,比如纳税、户籍等信息,是企业通过软件程序无法得到的。其次,国家安全部门获取个人信息的目的并不在于盈利,更不会用于违法犯罪行为,这一点是和企业或其他第三方机构有所区别的。最后,国家安全部门是个人信息收集的终端,不会二次传播。所以安全部门享有一定的豁免权,在国家安全和个人安全的价值位阶对比中,显然国家安全具有更高的优先级。
公民个人信息从早期作为其他法益保护的一部分进入刑法规定到现在的独立保护,其保护体系愈发完善,内涵外延不断丰富,但同时也存在隐忧———刑法在将网络犯罪领域出现的新违法行为入罪规制方面表现得过于积极,有些地方越过民法和行政法,走得很远。而从司法实践来看,对这一类行为的处罚普遍较轻,不少案件虽然涉案人数众多,但很少有判处3年以上刑期的,大多都是几个月到1年有期徒刑并缓刑,并处的罚金与违法所得金额相比甚微。这难免使人产生疑问,这样的刑罚对侵犯个人信息的违法行为是否必要,采取民事或行政措施是否更为有效刑法作为最后一道防线,应当在其他部门法措施规制无效时才启动,但在个人信息保护领域,民事、行政措施,与其说是调控无效,不如说是尚未完善,有心无力———民事措施偏重对隐私权的保护,对个人信息的其他权利属性鞭长莫及,而在缺少单行专门立法的行政制裁领域,其措施严厉有余,辐射范围不足。在这样的情况下,能不能直接进入刑法层面
笔者认为,针对网络时代犯罪行为发展快、数量多、影响广、损失大等情况,刑法先积极作为,划定最低的行为界限,并非不可,至少可以形成一定的威慑力。但从整体的法律规制体系逻辑来看,刑法的任务并不是针对具体侵犯公民个人信息权利的行为去鉴定其是否合法或违法,这个任务应当由民法或行政法去完成。只有对侵犯公民个人信息已达到相当严重程度、具有相当社会危害性的违法行为才能动用刑法,以避免刑法“代行”民法或行政法等其他部门法的职能。这样才能搭建一个刑、民、行交叉的整体保护框架,实现大数据时代对公民个人信息的全方位保护。
参考文献:
[1][英]维克托迈尔-舍恩伯格.删除:大数据取舍之道[M].袁杰,译.杭州:浙江人民出版社,2013.171.
[2]来小鹏.数据信息法律保护模式思考[J].中国审判,2017,(3).
[3]易继明.评财产权劳动学说[J].法学研究,2000,(3).
[4]黄立.民法债编总论[M].北京:中国政法大学出版社,2002.55.
[5]聚焦《国家网络空间安全战略》:筑起个人信息安全防火墙[N].人民日报,2017-01-03(09).
[6][7]赵忠东,黄田万.运用体系解释界定侵犯公民个人信息犯罪[N].检察日报,2017-08-09(03).
[8][德]汉斯海因里希耶塞克,等.德国刑法教科书[M].徐久生,译.北京:中国法制出版社,2001.669.
[9][11][15]李朝晖.个人征信法律问题研究[M].北京:社会科学文献出版社,2008.135-140.122-124.98.
[10][德]ChristopherKuner.欧洲数据保护法:公司遵守与管制(第2版)[M].旷野,杨会永,等译.北京:法律出版社,2008.73.
[12]ARTICLE29DATAPROTECTIONWORKINGPARTY:Opinion15/2011onthedefinitionofconsent.转引自梅夏英,刘明.大数据时代下的个人信息范围界定[J].中国法学,2013,(7).
[13]范为.大数据时代个人信息保护的新路径[A].中国网络空间安全发展报告(2016)[C].北京:社会科学文献出版社,2016.294.
注释:
[1]一家名为剑桥分析(CambridgeAnalytica)的数据公司窃取了5000万Facebook用户资料,根据每个用户的日常喜好、性格特点、教育水平,预测他们的政治倾向,进行新闻的精准推送,间接促成了特朗普的当选。
[2]互联网1.0时代指PC电脑端的信息互联时代,互联网2.0时代指智能手机端的社交关系互联时代,互联网3.0时代指人机交互的资产互联时代。
[3]当然,在帮助信息网络犯罪活动罪等规定中,行为人的行为是所谓的中立行为,而本罪的帮助行为显然并不“中立”,所以本罪行为的性质和中立行为入罪的情况也不同。
[4]在特定情况下,除了不法行为的责任之外还必须存在其他情况才能成立刑事可罚性,这种附加在有责的不法行为中并能够引发刑事可罚性的情况被德国刑法学家称为“客观的处罚条件”或“刑事可罚性的客观条件”。参见[德]克劳斯罗克辛.德国刑法学总论(第1卷)[M].王世洲,译.北京:法律出版社,2005.290.