骆 群 戴晓东
摘 要:随着科学技术日新月异的发展,当今社会已经进入“风险社会”,信息的不安全成为风险社会的风险来源之一,信息安全问题也就成为风险社会的重要议题。我国《刑法修正案(七)》根据现实发展的境况,对风险社会作出了及时的回应,对保护国家安全和社会稳定具有重大的历史意义。但是,《刑法修正案(七)》并非十全十美,无论是从社会现实状况还是从立法技术角度,都给我们留下了一些不足的遗憾。
关键词:风险社会;刑法修正案(七);信息安全
中图分类号:D924.04 文献标志码:A 文章编号:1002-7408(2009)10-0086-03
人类社会已经步入21世纪,在发展的步伐日益呈加速度向前推进且给人类带来极大魅力的同时,也给人类自身的发展带来了极大的灾难和风险。核污染、环境破坏、交通事故、电脑“黑客”等,已经成为全球的顽症。2003年非典的来袭,2008年我国南方地区大面积的冰雪灾害、胶济铁路发生的惨剧以及四川汶川大地震,如今,禽流感[H5N1型流感]刚飞离不远,又跑来了猪流感[A(H1N1)型流感]。这些人为制造的或者自然的不需要我们具有相应的专门知识就能够感触到的风险已经环绕在我们的周围。为了做到未雨绸缪,尽量降低风险可能带来的损害,保护我们整体的安全,作为社会关系调节器的法律理应对其进行反思,其中作为最后保障的刑法也应亮出它锋利的剑刃。正如贝克所言,“法从产生之日起,它所具有的一个重要职能就是——保证共同体的安全,降低社会内部的风险。从这一点可以看出,所有国家的刑法都具有这个职能,如果离开这个职能,必然为社会带来安全的缺位——产生或增加危险或风险。”[1]
一、风险社会的来临
风险,简而言之,就是可能发生的危险。相对于人类发展的历程而言,风险现象是始终相伴于左右的,故风险现象也是社会历史现象。在远古时代,由于人类生产力水平的极度低下,在面对洪水猛兽、台风地震等来自自然界的侵袭时人类的表现是那样的脆弱,然而为了求得生存,冒险和探险成为一种自觉的生存方式。在进入农业社会时,人类才开始主动地利用自然,开荒耕地,定居生活,同时来增强自身的生存能力以及提高改造、控制自然的能力。至工业文明时代,随着科学技术的发展,人类改造、控制自然的能力达到空前的高度,然而接踵而至的人为制造的风险也成为新的课题,对风险的认识也越来越成为时代的焦点。
何谓风险社会,风险社会理论的首要开创者贝克首先赋予了风险新的涵义,认为“风险是个指明自然终结和传统终结的概念。或者换句话说:在自然和传统失去它们的无限效力并依赖于人的决定的地方,才谈得上风险。风险概念表明人们创造了一种文明,以便使自己的决定将会造成的不可预见的后果具备可预见性,从而控制不可控制的事情,通过有意采取的预防性行动以及相应的制度化的措施战胜种种(发展带来的)副作用。”[2]119据此可看出,贝克对风险的理解较传统意义上的风险涵义,更强调导致风险的人为的因素。这也正是人类对主体性的张扬,主张理性至上,特别是对科技理性的无限追求所导致的结果。在贝克看来风险社会就是“当今高科技迅猛发展条件下的全球化时代”,即在此背景下的“由于某些局部的或是突发的事件可能导致或引发的社会灾难”。[3]吉登斯、卢曼、道格拉斯等都对风险问题进行了研究,虽然从表面上看他们对风险的认识有些差异,但是,透过差异也能窥见他们之间的共识,即风险是现代性的后果,它预示着社会可能面临的危机状态和灾难性危险,是一种危险和灾难的可能性。如今在科技迅猛发展的全球化时代,我们已经由工业社会进入风险社会。
风险社会作为一个概念并不是历史分期意义上的,不是某个具体社会和国家发展的历史阶段,而是对目前人类所处时代特征的形象描绘。[4]也即风险社会是社会存在的客观状态。与传统的风险相比,现代风险表现出其独有的特性:一是风险人为化。人类决策与行为成为风险的主要来源,人为风险超过自然风险成为风险结构中的主导内容。二是风险兼具积极与消极意义。现代风险是中性概念,它会带来不确定性与危险,也具有开辟更多选择自由的效果。三是风险影响后果的延展性。现代风险在空间上超越地理与文化边界的限制呈现全球化态势,在时间上其影响具有持续性,不仅及于当代,还可能影响后代。四是风险影响途径不确定。现代风险形成有害影响的途径不稳定且不可预测,往往在人类认识能力之外运作。五是风险的建构本性。现代风险既是受概率和后果严重程度影响的一种客观实在,也是社会建构的产物,与文化感知及定义密切相关。它不仅通过技术应用被生产出来,而且在赋予意义的过程中由对潜在损害、危险或威胁的技术敏感所制造。[5]通过以工业化、信息化、城市化为标志的现代化发展,我国社会同样具有了“风险社会”的特征。
在现代的风险社会中,国家、组织以及个人的信息安全面临着前所未有的风险。在当今全球化的信息时代,由于信息外泄会造成难以想象的损害后果,所以,为了维护国家安全和社会稳定,加强对信息安全的保护既是时代发展的要求,也是国家应有的责任。我国于2009年2月28日召开的第十一届全国人民代表大会常务委员会第七次会议通过的《刑法修正案(七)》对《刑法》中的相应条款所作的修正,就是对风险社会的一个回应。
二、《刑法修正案(七)》的回应
“足不出户知天下”,在过去难以想象的情景如今已变为现实,并且不仅是“知”,办公、购物等也可“足不出户”已不是稀奇之事,一张无形的大网已将原有的空间格局无情地打破。在这张将社会勾连成一个整体的大网中,大到国防建设小到个人隐私等各种信息穿梭于其中,这里既有主动发布的信息,又有被外泄的信息。这些无形的信息给我们的工作、学习、生活带来前所未有的便利的同时,也对我们的精神、物质甚至人身的损害构成了威胁,成为骚扰、欺诈、勒索等违法犯罪行为的载体或工具,而目前对我们侵扰最大最普及的信息载体主要又是计算机和手机等通讯设备。作为风险社会表征之一的信息安全问题成为我们当今社会不能回避也无法回避的重要议题。我国这次《刑法修正案(七)》中就有两条直接对此问题进行了规制或完善。
1.非法提供个人信息罪的增设。《刑法修正案(七)》第七条规定,在刑法第二百五十三条后增加一条,作为第二百五十三条之一,共有三款构成,第一款为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”第二款为“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”第三款为“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”该条的规定,又给我国刑法罪名的大家族中增加了一个新的罪名,笔者称之为“非法提供个人信息罪”。在修正案草案公布时,有人称该条为“出售或非法提供个人信息罪”。[6]笔者认为,虽然条文中出现“出售”与“非法提供”并列的规定,但是,出售也是一种提供,只不过是一种有偿提供,故“出售”被包含于“提供”之内。至于出售又具有合法出售和非法出售之分,在如今个人信息产品化的时代,不排除虽然现在没有但是将来可能会出现经本人同意合法出售个人信息的情况,即便如此,“合法出售”不会构成犯罪,自不待言,那么构成犯罪的有偿提供只能是“非法出售”。所以,从罪名的精炼性来说,笔者认为将该条定为“非法提供个人信息罪”较妥。
个人信息作为现实生活中识别特定个人的一切信息,其范围相当广泛,既包括个人识别资料(如姓名、性别、年龄、身份证号码、固定及手机号码、家庭住址等情况),也包括个人背景(如职业、头衔、教育程度、收入状况、婚姻、家庭状况等)及其他个人资料(如个人健康医疗信息、银行资产、股东帐号等)。这些信息被不当或恶意地滥用都会给个人带来各方面受到损害的危险。正如在《关于〈中华人民共和国刑法修正案(七)(草案)〉的说明》中所述,“一些全国人大代表和有些部门提出,近年来,一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄漏的情况时有发生,对公民的人身、财产安全和个人隐私构成严重威胁。”而信息安全成为万众瞩目的焦点,央视2008年的“315晚会”具有一定的推动作用,在今年的央视“315晚会”上,个人信息安全问题不仅再次成为关注的焦点,并且晚会上还重点曝光了个人信息泄露的流程和产业链,使我们发自内心地问:“现在社会还安全吗?”。这些隐蔽的无时无处不在的危险已使我们无法选择地去面对“风险社会”,个人信息所导致的风险也已深深地镶嵌在社会结构之中。
由于应对如今风险社会的发展需要,我们对待个人信息的维护也从过去消极被动的“私生活不受干扰”发展为如今积极能动的“自己信息自己控制”,即:权利主体对自己的个人信息的收集、储存、传播、修改所享有的决定权;未经权利主体的同意,他人不得擅自收集、储存、传播本人的个人信息并对其进行修改;权利主体对他人收集、储存的有关自己的个人信息有审查修改的权利;对已经传播出去、不正确的个人信息有更正的权利;对个人信息的传播方式、传播范围有决定的权利。[7]但是,要使这些权利成为实在的现实权利,必须通过法律的规制予以保障。所以,为了应因风险社会中信息安全的需要,将个人信息作为保护对象的《个人信息保护法》的制定迫在眉睫。因为《刑法修正案(七)》虽然增设了“非法提供个人信息罪”,对如今的风险社会是一个及时的回应,但刑法毕竟是最后保障法,个人信息需全面系统地予以保护,还有待于专门的《个人信息保护法》的规制。
2.非法侵入计算机信息系统罪的修正。我国现行《刑法》第二百八十五条规定了“非法侵入计算机信息系统罪”,即“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”《刑法修正案(七)》第九条规定在此条中增加两款作为第二款和第三款,即第二款为“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”第三款为“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。”如此一来,我国对非法侵入计算机信息系统行为的治罪不再局限于“国家事务、国防建设、尖端科学技术”领域的计算机信息系统,而是扩展到所有领域的计算机信息系统,并且还增加了“非法控制”计算机信息系统的犯罪行为以及“提供”实施侵入、非法控制计算机信息系统的程序、工具的行为。
1946年初,世界上第一台电子计算机ENIAC在美国研制成功,标志着电子信息处理工具的产生。随后其更新换代的速度越来越快,并已应用到我们生活的各个领域。1993年3月9日,中美之间开通了互联网之间的连接,自此中国开始有了和全球互联网开端性的连接。直至今日,无纸化办公的普及和个人使用习惯的变化,带来数据的海量增长,无论是个人用户、中小企业用户还是国家事务、国防建设等,现在比以往任何时候都更加依赖于数据信息,同时这些数据信息的安全也成为困扰我们的头等大事。而在网络环境下的信息安全,即计算机信息系统的安全是其关键。所谓计算机信息系统,按照《中华人民共和国计算机信息系统安全保护条例》第2条的规定,是指“由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”计算机系统安全包括计算机系统功能的正常发挥和计算机资源的安全。具体而言,所谓计算机信息系统功能的正常发挥,是指计算机信息系统的各种功能能够按照设计要求正常发挥,不受自然的或者人为的因素的影响或丧失,如计算机访问控制功能能够阻止非授权人员访问计算机信息系统中的各种资源。所谓计算机资源安全,是指计算机硬件系统或称计算机实体资源不被损坏而失去其应有的功能,以及计算机信息资源包括计算机程序和计算机数据不被非授权的删除、修改、增加。简而言之,计算机系统安全包括计算机数据和计算机系统的完整性、可用性和保密性。[8]100
现如今,网络“黑客”对计算机信息系统的侵入与控制,轻而易举地就能获得用户的网银账号,从而实施财产的盗取。不仅通过远程控制能够破坏计算机信息系统的软件,就是使硬件遭到破坏也不是太大的难事。可以毫不夸张地说,现在计算机信息系统遭受侵入和控制所造成的破坏可以是毁灭性的。正因为计算机信息系统遭受非法侵入和控制,在生活中不仅能够导致人们的精神损害、物质损失,甚至还能够带来人身的伤害,具有严重的社会危害性,故这次《刑法修正案(七)》将所有计算机信息系统都纳入“侵入和非法控制”的范围,而不局限于“国家事务、国防建设、尖端科学技术”领域的计算机信息系统,这也是对当今计算机作为主要的危险源特别是对信息安全的威胁的风险社会的一个理性回应。
三、余音:留有遗憾的不足
信息安全问题,其意义更多的不在于信息本身,而在于由此引发的各种社会问题,其波及面渗透于社会的各个角落,影响力触及到社会的各个领域。故信息安全问题也是风险社会的首要问题之一。为了契合风险社会发展的内在要求,我国此次《刑法修正案(七)》通过信息安全保护的规制对风险社会作出了及时的回应,增设“非法提供个人信息罪”和对“非法侵入计算机信息系统罪”进行修正,无疑成为此次修正案的亮点之一,对保护国家安全和社会稳定具有重大的历史意义。但是,《刑法修正案(七)》也并非十全十美,仅从第七条和第九条来看,无论是从社会现实状况还是立法技术角度都存在着一些遗憾。主要体现在以下几个方面:
首先,关于第七条的规定,也即“非法提供个人信息罪”,将主体限制为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,缩小了非法提供个人信息的主体范围。不可否认,以上这些单位和工作人员是掌握最多也是最易于获取个人信息的单位和个人,所以也是目前个人信息被泄露的主要提供者,但除此之外一些机构,如商场、书店、美容美发店、酒店等通过办理会员卡等方式也可获取个人信息,也能够将个人信息非法提供给信息需求者,从信息需求者通过个人信息给社会造成的危害来说,它们之间并无区别,只是获取个人信息的渠道不同而已。所以笔者认为,对非法提供个人信息罪的主体不应加以限制规定。同样是该条的第三款,“依照各该款的规定处罚”不符合用语习惯。其本意可以看出是“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照相应条款的规定处罚”。所以笔者认为,“依照相应条款的规定处罚”或者如我国《刑法》第151条第5款中“依照本条各款的规定处罚”比“依照各该款的规定处罚”在用语上更加妥贴。