李玥
摘 要:从《刑法修正案七》到《刑法修正案九》再到2017年6月《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件用法律若干问题的解释》的出台,我国公民个人信息保护领域也逐渐步入了一个全新的阶段。但对于互联网发展过快,产业更新换代的时间过短,特别是公民大量的信息流入到私人数据库的今天,仅仅依赖刑法的保护,是无法有效遏制当前信息泄露的问题。文章通过当前泄露状况,结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件用法律若干问题的解释》的相关规定,对其保护状态进行再分析。
关键词:公民个人信息;信息刑法保护;公民意识
从《刑法修正案七》到《刑法修正案九》再到2017年6月《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件用法律若干问题的解释》的出台,我国公民个人信息保护领域也逐渐步入了一个全新的阶段。但对于互联网发展过快,产业更新换代的时间过短的今天,仅仅依赖刑法的保护,是无法有效遏制当前信息泄露的问题。有学者认为,加强刑法对公民个人信息的保护,凸显了我国立法理念从"国家刑法"向"市民刑法"的倾斜。然而更需要注意的是,就刑法本身而言,刑法有着对其保护的必要性,但同样有着限度,刑法应当保护哪些个人信息,具有何种特性,是刑法不可忽略的问题。
一、大数据时代中个人信息存在的隐患
(一)数据所属单位成为最大的漏洞
众所周知,客户的信息、喜好、需求一直是企业的急需品,因此获得这些数据就能成为占领市场的主导,带来较大的利润。而这也成为了信息泄露一个重要的因素,当这些企业数据管理员工或可以接触数据的员工利用网络平台漏洞,将窃取的数据提供给他人获利,那么“大数据”就将成为侵犯公民个人信息的重灾区,继而影响到社会的各个层面。从“双十一”的成交量,我们可以看到大部分的公民将自己的信息录入了网购的平台。因此笔者认为,这是一个非常复杂,且存在很大漏洞的平台。
其一,我们在注册会员时会涉及到个人信息,他不仅仅是提供了用户的个人姓名、手机号、地址,更是让用户的基本信息与其财产信息形成一个具体的数据库,且这类信息均属于《解释》中所规定的个人信息的范畴。若网购平台经营者超出事先明确的适用范围,利用其注册时的个人信息进行牟利,则构成了侵害公民个人信息罪。
其二,在购物时,同样涉及到个人信息,因此作为信息的主体,用户应当拥有绝对的权利,如若网购平台经营者未经用户同意,肆意的向用户发送于交易无关的购物广告及电子邮件,用户应当有权拒绝。除此之外,从2018年起就出现多起支付软件被盗事件,这也意味着其平台应当加强监管。
其三,也是大数据时代最为典型的问题。如若是网络平台将其用户的信息进行牟利,我们可以要求其加强内部职工的管理以及数据隐私的保护。但第三个环节是最难以取证和确定的环节。购物结束后,公民的家庭住址,工作单位,电话号码,姓名流转到了私人商户的手中,若商户对其信息进行统计,再将其进行出售,势必会造成公民个人信息的大量泄漏。
(二)网上定位共享与信息保护难以制衡
每一个事物都没有绝对性的好与坏,如果将大数据造福公民生活这一口号变成了网站跟踪用户行踪的一个幌子,那么大数据将会逐渐凸显出它的风险:网上行为的定位,是否会存在风险?用户与其签订的信息保护协议是否真的有效?是否真的不具有其公民身份的识别性?近年来,多起案件通过定位服务获得了公民的定位信息并出售给他人,以此来获得利益。可见,信息保护与经济利益的失衡,直接导致的后果是公民的信息遭到泄露,而公司也会受到相应的处罚。如今,在大数据行业无法得到完整监管的今天,多数公司并没有公告其获取个人信息的状况,而从公民口中得知大数据获取信息时基本信息几乎全部录入,并未提及其公司可以对其身份可识别的问题采取措施。
个人身份可识别信息,一直是信息隐私领域最为核心的概念之一,很多相关的法律法规都以此来进行界定。例如在《解释》的第一条提出的是能够单独识别或者与其他信息结合进行识别的两种方法。但在司法实践中的案件中,多是认为“手机定位、手机通话清单相较于机主信息、户籍信息、暂住人口信息具有更大的隐秘性、更强的个人属性,单纯从犯罪对象看也具有更大的危害性。”且在《解释》中以此定为“情节严重”的情形。笔者不认同该观点,手机定位类似的行踪轨迹如若像规定中提出的它与其他信息结合识别出特定自然人的身份或反映特定自然人的活动这两种情况出现,其起到主导作用的因素是来自其特定自然人的静态信息,如个人基本信息、财产情况、电话号码等,这些信息都具备恒定静止的特征,而数据库中复杂的行踪定位是不具有恒定性的,仅仅想要凭借及时定位这一事实并无法直接识别被害人。例如,我们在旅游中通过某度地图进行定位,对周边环境进行一个了解,由此我们可以加快对一个陌生环境的了解速度。但这一定位数据与其他静态信息相比,识别度较弱,不应在案件中仅仅以出售他人手机定位这一单一的元素来对其进行惩治。因此笔者认为,网络定位不应当划为个人信息中,仅仅应当作为个人信息可识别的辅助内容。
二、个人信息保护之原因分析
(一)使用大数据的方式过于极端化
大数据的发展已经经历了一个阶段,这也让长期生活在其中的公民对个人信息泄露有所警惕,那为何这些案件仍然频繁的发生呢?大数据时代对于公民而言,存在着太多的未知性,对于是否愿意提供个人信息以获得便利服务这一问题上,公民与企业的态度都过于极端化,要么完全拒绝,要么就无所顾忌,无法保持好其使用和个人信息保护之间的一个平衡。
笔者认为,这是因为网站、应用的访问者对其获取信息的性质缺乏必要的认知,绝大多数的用户仅仅只是了解自身的个人信息遭到了窃取,却未能意识到这些信息是由于自己访问网站、应用而被他人收集的。这大多是源于大数据产业为使用者提供的信息安全保护几乎只有完全接受或拒绝两个选择,这就意味着一旦使用者选择了拒绝,那么就无法使用该公司的产品与服务,而一旦完全接受就只能默认接受该公司对自己进行数据信息收集、处理数据,而无法进行更多的讨价还价。笔者认为,目前大数据产业的这一标准让公司在运营中获得了最大额的利益,但这也埋藏了一颗危险的定时炸弹,一旦这个行业规律被锁定成了该标准,那么所有的大数据产业都会依照此来进行管理和運行,那么这些信息安全保护的措施反而成了公司收集信息和利用信息的一块挡板。
(二)偏重于惩罚的法律力不从心
在大数据的背景下,及时细化多项有关于公民个人信息的规定,对于我国公民个人信息的保护是一个新的进步,但其中部分有关于公民个人信息的规定,例如,在《解释》中规定了“25条以上”即可定罪的标准;“2500元以上”的违法所得即可定罪的标准;笔者认为实施的过于苛刻,且不考虑其与《刑法》中的“情节显著轻微”或相对于其他更严重的罪的处罚而言,是否会出现刑罚失衡的现象。因此,犯罪的防控不能仅仅依靠法律的建立,更需要多种手段的综合运用才能到达最佳效果,如果仅仅将定罪标准规定于此,而不做相应的辅助办法,那么在司法实践中该规定很可能会出现难以进行操作,或出现案件数量大增,导致司法资源难以满足的情况。
此外,在《解释》的第五条中对“情节严重”进行的说明,规定非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的情形视为情节严重。2014年针对公民个人信息保护在司法机关的走访问谈中,也了解到实践中侵害公民个人信息案件的取证异常困难,一方面是信息来源较为难找,行为手段的非法性存在争议,另一方面是技术上的难度。
面对大数据分析,虚拟的网络身份更加存在着对个人信息保护传统架构的冲击,而这也必然会影响刑法作用的发挥。从个人信息录入的真实性,使用情况,再到事发。整个利益链条的时间、环节都不确定,甚至出现公民个人信息被反复倒卖的情况,难以确定次数。因此笔者认为这是否会存在徒法不足以自行的现象。
三、完善公民个人信息保护的建议与对策
(一)把握大数据与公民个人信息保护的平衡
从公民角度来看,要合理把控对于大数据工具的使用,不能过于依赖,又不能完全排斥。笔者认为,大数据的广泛利用不应当作为公民可以肆意放任信息在具有较强危险性场所或无监管系统的理由,只有真正的意识到这些現象背后潜在的风险,有意识地保护个人信息,才能尽量避免个人信息的泄露及盗用的现象。
首先,解决该类案件频繁发生的首要办法,是提高个人信息保护的认知度,了解清楚这些现象背后的潜在风险。但从上述的分析来看,只有极少数人能够真正意识到这些现象背后的潜在风险,因此提高公民的保护意识,急需要公共媒体、政府、有关部门加强对信息保护的相关宣传。在日常生活中,公民常常登录无监管、无注册许可、无备案的网站,或在三无网购平台上购买廉价商品,这为不法分子带来了极大的机会。因此公民应当减少或避免浏览其网页,以防他人利用该平台窃取公民信息。与此同时,信息安全中心也应当加强对网页的管理和检索,以防止不法网站的频频出现。
从行业自我监管来看,可以从三方面出发,一是提高行业的准入门槛,对大数据行业的技术进行要求,对企业的负责人进行严格的考核。二是提高单位工作人员的基本素质,进行岗前信息安全培训,配备优质的数据技术设备,签署数据保密协议,实现企业从上而下的内部监管模式。三是不断的跟新安全技术手段,对自身数据库进行定期的检查和更新,全面构建内部数据库安全系统,为个人信息安全提供优质的技术保证。只要企业能够做好全面的数据安全工作,不仅让大数据企业的信用度提高,也为公民创造了良好便捷的生活环境,同时也提高了法律的威慑力。
(二)制定《个人信息保护法》的必要性
在我国,公民个人信息保护的问题一直都散见于不同的法律当中,虽然我国在这方面的立法进程不断地在进步,不断地契合实际,但针对侵害公民个人信息的行为应当采取专门的规制和限定,使得侵害公民个人信息的案件获得更好法律依据,遭受侵害的公民能够切实的维护好自身的相关权利。而另一方面,新增的信息保护法条例,以及《网络安全法》的更新虽然也提出了诸多个人信息在多个领域的保护,但这仅仅局限于特定的信息保护层面,例如《网络安全法》的制订是为了避免互联网对个人信息带来的威胁,且更注重的在于第三方监管层面。因此,一部系统的、统一的《公民个人信息保护法》在我国有着存在的必要依据。
(三)完善刑法相关的规定
(1)刑法保护的应然定位
从刑法的任务及目的来看,我国主要是以保护法益为主的。但对于公民个人信息而言,其内容和范围都过于广泛、复杂,如果对其不加以区分的纳入刑法的保护范围,则会出现上述分析中呈现的,大数据共享与信息保护难以制衡,信息无法得到合理流通、传播和利用的现象。因此笔者认为,应该先从民法、行政法的角度,或者专门立法来防止公民个人信息泄露,而不是仅仅依靠刑法来进行保护。对于部分对公民个人隐私和相关法益影响较小的个人信息,民事和行政立法层面的规制已经足够,刑法没有介入的必要性。然而,对于一些造成严重后果的、涉及诈骗等严重的下游刑事犯罪或者对公民人身、财产法益造成了重大侵害的个人信息则应当纳入刑法的规制范围。“法无明文规定不为罪,法无明文规定不处罚”。因此,在司法实践中必须存在责任原则,而这就意味着刑罚不得过度,在保护个人信息的层面也应如此。在司法实践中,侵犯个人信息的行为具有较高的复杂性。经过行政法和民法这两道防线的规制之后,刑法作为惩治侵犯公民个人信息行为的最后一道防线,应当及时介入,主动出击。因此笔者认为可以将公民个人信息分为三种层次,对于不同的信息采取不同程度的刑事保护力度,这种做法可以满足现阶段大数据的发展。
(2)加强个人身份识别性的认定
在刑法保护层面,笔者认为可以加强对个人身份可识别性的认定。上述在网络定位中提出,应当细化个人身份可识别信息的标准,笔者认为是必要的。但在大数据时代里,这一概念就会逐渐变得难以界定。如若该概念过窄,就会导致个人信息的保护过于无效或缺少时效性,但如果定位过于宽泛,则会出现太多的信息都被囊括于个人信息的概念下,这样的行为会导致所有信息都将受到规制,而显得过于臃肿不堪。
首先要坚持个人信息的可识别性,它必须与具体的个人联系起来,才能存在相应的侵害风险,在《解释》中就多种信息结合可以识别特定自然人的说法,显现出来个人身份识别性的内涵。其次,在确定该核心内涵的情况下,我们需考虑到这样的侵害是否应当局限于某个特定单一的个体上。随着信息技术的逐步推进,看似没有对特定个体造成侵害的现象,其实会对社会带来极大的风险,通过大数据的再识别,公民身份的在追踪等方法,将会带来大面积的侵害。因此,个人信息识别的定义不应局限于某个单一个体的侵害,也要与其对社会带来的伤害进行相应的识别。最后是把握好个人身份可识别信息的标准,制定出一个与我国司法现状较为契合的标准,可以让法官更能够有效的行使自由裁量权,同时也可以减少司法资源的重复使用。
参考文献
[1] 齐爱民.中國信息立法研究[M].武汉,武汉大学出版社, 2009年版.
[2] 齐爱民.个人资料保护法原理及其跨国流通法律问题[M].武汉大学出版社,2004年版.
[3] 连玉明.大数据发展报告No.1[M].北京:社会科学文献出版社,2017年版.
[4] 吴苌弘.个人信息的刑法保护研究[M].上海:上海社会科学院出版社,2014年版.
[5] 陈军君主编.大数据应用蓝皮书:中国大数据应用发展报告No.1(2017)[M].北京:社会科学文献出版社,2017年版.
[6] [英]维克托·迈尔·舍恩伯格.大数据时代[M].浙江人民出版社,2012年12月版.
[7] 惠志斌.网络空间安全蓝皮书[M].北京:社会科学文献出版社,2017年版,第292页.
[8] 于志刚.“‘公民个人信息的权利属性与刑法保护思路”[J].浙江社会科学,2017年第10期.
[9]皮勇,王肃之等.“大数据环境下侵犯个人信息犯罪的法益和危害行为问题”[M].海南大学学报,2017年第5期.
[10] 刘仁文.刑法修正案:亮点与期扮并存[J].人民检察,2008年8月27曰,第1版.
[11] 公民个人信息刑法保护情况的调研报告.法治中国[N].上海法制报,2014年1月13日,第A07版.
基金项目:文章为2018年度贵州民族大学人文科技学院基金科研项目成果(编号 18rwjs008)。