大数据时代公民个人信息安全的法律保护与检视

2020-12-02 01:25姜承宏

延边教育学院学报 2020年4期

姜承宏

姜承宏

（中国矿业大学，北京 100083）

公民个人信息在大数据时代已成为一种重要的经济资源，在利益的驱动下，各种非法收集、买卖、窃取等滥用个人信息的行为屡禁不绝，不仅造成了财产损失，甚至威胁着公民的生命安全。由于现行刑法对于公民个人信息保护模式没有将信息自主权视为本源性权利，导致对公民个人信息安全法益的保护尚不足以震慑违法滥用公民个人信息的犯罪行为，需要从延伸公民个人信息概念入手，明确合理的入罪边界，形成对非法转移型和违法滥用型信息犯罪的上下游犯罪一体化的全方位管制，构建完整的个人信息保护层面的法律体系。

个人信息犯罪；大数据；安全；规制

大数据时代数据资源正呈现爆发式、多样性的增长态势，并且由于数据聚合和挖掘技术的发展，对于公民个人信息的侵犯已经不再需要物理的、强制性的侵入，而是以更加隐蔽的方式广泛衍生，由此引发的个人信息安全风险也变得更为严重。当用户的个人信息成为商家利益追逐的所在时，不仅个人无法逃离商家盈利驱动的骚扰，数据本身的价值也会成为犯罪分子牟利的目标。特别是随着大数据技术的进一步发展，侵犯个人信息犯罪行为不仅在数量上急剧增长，而且逐步呈现新的行为模式，如强制推送、强制打包授权、“合法获取，不当滥用”等，导致刑事规制的严重失灵。基于刑法对于个人信息安全保护的底线性特征，面对滥用信息愈演愈烈的现象，有必要结合大数据时代发展情境对现行刑法的规制现状、困境等方面进行检视和反思，确保刑法规制的科学性与合理性。

一、大数据时代公民个人信息犯罪的全新趋势

在人类社会向大数据时代迈进时期，公民个人信息犯罪也随之进入全新阶段。当下，在思考公民个人信息安全的刑法保护之时，首先应当对大数据时代公民个人信息犯罪的趋势特征有清晰的认知。

1.犯罪形态更新：“点对点”成为犯罪主流

早期的侵害个人信息犯罪主要是少数精通计算机和网络技术的人员，重点入侵一些大型商业机构、政府机关等网络系统，获取用户或个人数据信息，在形式上表现为个人对机构挑战。根据安全情报供应商RBS的2019年数据泄露报告，黑客入侵导致公民个人信息泄露重大事件如下：

组织机构泄露数据数据类型泄露原因美国俄勒冈州公共服务部64.5万客户信息黑客攻击佐治亚理工学院130万师生信息非授权入侵 Inmediata Health Group157万患者信息搜索引擎设置错误 Dominion National296万会员信息非授权入侵梅西百货--用户信息黑客组织攻击丰田汽车公司310万车主信息黑客入侵

而随着互联网技术的发展与广泛运用，普通个体也可以通过网络获取技术支持，或将成为侵犯个人信息犯罪的重要主体，形成点对点的犯罪，即普通网络个体针对普通客体开始成为犯罪的主流，实现了从精英化向平民化的转变，随之而来的是侵犯个人信息犯罪数量的剧增和社会危害性的扩大。根据最高检发布的侵犯公民个人信息犯罪典型案例，犯罪主体多是普通网络个体。

2.犯罪工具更新：犯罪平台和总量扩张

在大数据时代背景下，侵犯个人信息犯罪不仅在犯罪形态上有新的体现，也实现了犯罪工具的更新，犯罪平台和总量随之扩张。网络在最初被使用时仅帮助公众接收各种信息和服务，促进信息交流，实质上是一个虚拟的信息媒介。但随着网络逐渐成为生活平台，个体的现实生活与网络的关系越来越密切，加之技术的进步使得电脑、手机等终端实现了功能的互动和信息共享，大大促进了网络运用范围。过去需要在计算机上实施的侵犯个人信息犯罪，用手机也可以实现，导致犯罪总量激增。根据《2019网民网络安全感满意度调查活动总报告》，个人信息保护和企业安全责任两指标得分较低，近40%的网民认为个人信息泄露情况严重。据统计，2019年我国一审法院判决的侵犯公民个人信息犯罪的案件数量为1907件，与2014年相比，侵犯个人信息犯罪案件总量增长了6.4倍。

3.社会危害性加剧：衍生犯罪数量增加

在大数据时代，数据脚印无处不在，小到日常消费，大到健康、教育等重大决策，这些保存在不同系统中的数据脚印，可能构不成太大伤害。但是一旦建立起集中的数据库，经过数据整合和信息加总，通过数据之间的印证和相互解释，几乎能够把一个人的生活轨迹全部再现，个人信息的商业价值显著增加，侵犯个人信息犯罪的危害性也随之增加，尤其是衍生犯罪数量的不断增加导致社会危害性加剧。当前侵犯公民个人信息犯罪已经成为很多其他类型犯罪的上游犯罪。个人信息被不当采集、任意篡改、恶意使用甚至非法转卖牟利等，成为绑架、网络诈骗、敲诈勒索等犯罪的根源，其危害性已不仅仅限于对个体人身财产权益的侵害。以侵犯个人信息为中心的犯罪产业链的形成将对社会经济的发展产生重大不利影响并导致公民对社会的信任危机加剧。

二、侵犯个人信息犯罪刑事规制困局

当前，我国尚未出台专门的个人信息保护法，对于公民个人信息的保护主要零散分布在其他法律当中，如《刑法》《网络安全法》《消费者权益保护法》《民法总则》《国家情报法》等。明确涉及公民个人信息安全的刑法保护的条文主要有：在《刑法修正案（五）》第177条增加“窃取、收买或者非法提供他人信用卡信息罪”；《刑法修正案（七）》第253条之一增加“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”。《刑法修正案（九）》对253条之一规定进行了修改，确立了“侵犯公民个人信息罪”罪名，并增设“拒不履行信息网络安全管理义务罪”，强调信息控制主体对于个人信息的保护义务，重点在于防范信息控制主体对于公民个人信息的泄露型和转移型侵害。根据当前刑法对于公民个人信息安全的保护，在回应大数据时代加强对数据安全保护方面存在不足。具体来说，主要在于对个人信息概念的认定模式、公民个人信息的保护模式存在上升空间、法律规范的可操作性欠缺，严重影响对侵犯公民个人信息犯罪行为的打击力度。

其一，个人信息概念界定的模糊不清阻断了信息安全保护的延续性。个人信息是核心概念，刑法对法益保护的前提是所涉及的犯罪行为是否是侵犯了公民个人信息安全。如果不是，则不会构成对个人权利的侵害。传统上，对于个人信息的界定，一般以识别为标准，主要包括与个人相关的，能够直接或间接识别特定自然人的信息。随着大数据技术的发展，人们获取信息的能力大大增强，这些技术进步带来的直接后果就是个人信息的边界变得模糊。当前立法对于个人信息的界定大多以保密性、完整性和可靠性为基点，在数据收集和利用的不同阶段并未区分不同的个人信息风险，导致无法为各阶段具体的犯罪行为的细化提供必要的概念指导，必然导致前阶段对个人信息的保护不周延，对后阶段个人信息挖掘和滥用等侵害行为规制不力。

其二，以规制信息转移为核心的保护重心破坏了保护体系的完整性。新颁布的《网络安全法》对个人信息的界定超越了隐私的范围，包括了公开的能够识别个人身份的信息。然而，对个人信息安全的保护逻辑主要延续的是以往刑法对隐私权规制阶段的保护模式，限制了对个人信息犯罪的刑法保护范围，破坏了保护体系的完整性。从个人信息犯罪设立的目的来看，主要为了防范个人信息未经许可进行不当泄露和转移，而当前很多不法主体利用个人信息主体与信息控制主体分离的特性，实施不法侵害行为，诸如分析用户信息，获取商业利益和数据价值。可以说，真正导致个人信息被侵害后果的，往往是获取信息之后的利用行为。现行刑法仅单纯惩罚转移型侵害行为，导致对滥用型侵害行为的规制失衡。

其三，相关罪刑表述不明加剧了自由裁量权滥用或量刑不均的风险。根据刑法第253条之一规定，向他人出售或提供公民个人信息情节严重的，要科处刑罚，而何谓情节严重，2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对于“非法获取、出售或者提供”行为的情节，以列举式方法进行了明确。作为都具有中国特色的定性又定量的立法形式的表现，在刑法中规定情节犯有利于贯彻罪责刑相适应原则，立法方式有其科学性。个人信息犯罪的法益是个人信息权，那么只要是严重侵害了个人信息权的主观或客观方面的内容，都属于本罪情节，但是要判断滥用行为是否应归入情节严重或是认定为数罪并罚，法律或司法解释并未给出详细的标准，会导致实践中司法工作者不予立案而放纵犯罪，或行使自由裁量权时出现量刑不均的后果。

三、公民个人信息安全法律保护的完善对策

在我国，对个人信息的刑法保护仅仅依据现有的法律制度，考虑到司法实践的现实问题和法律规范本身的技术不足，确实无法更好地满足现实的需要，而对个人信息的保护在当前的大数据时代却日益重要，这两方面的矛盾构成了完善刑法保护的必要性。

1.延伸公民个人信息概念，促进法律保护的罪名完善

要想构建公民个人信息的刑法保护体系，首先要厘清公民个人信息概念，并加以适当延伸，以更好地制裁上下游的数据犯罪，形成对公民个人信息的完整保护。从目前围绕个人信息概念的讨论来看，学界主流观点认为对个人信息的界定应当是动态的，而不是静止的，应当依据其收集和使用的场景，如数据类型、数据涉及的实体、收集方法、应用和使用以及各方之间的而价值交换，而不是对信息的性质进行预先判断。具体而言，个人信息包括两类，即“已识别身份”的信息和“可能识别身份”的信息，应当给予不同的法律保护。对于已识别身份的信息，应当完全适用严格的信息保护法则；对于可能识别身份的信息，则应当选择适用部分信息保护法治，例如在信息使用方面必须遵循的知情同意原则、数据最小化原则以及信息披露限制原则可适度放松要求。与之相对应，刑法的保护也应当对概念要素进行细致分析，设置不同侧重的行为规范。目前，刑法的保护对象主要是“可识别身份”的信息，而随着技术的不断发展，数据的聚合能力不断增强，任何非个人信息都可能被转化为个人信息，立法应当对此点予以预见，并留出一定空间。例如，合法获取数据的公司将去识别性的数据提供给第三方，它就应当履行禁止第三方试图再次对数据进行识别的义务，否则应当相应的法律责任如拒不履行信息网络安全管理义务罪。

2.关注个人信息整体保护，全方位规制完整犯罪链条

在传统媒体时代，个人信息的保护是以个人信息自决为核心的告知和许可。在大数据时代，告知和许可成为不可能，由于数据越来越多，数据处理的综合效益轻易就突破了匿名化保护个人信息的做法。因而，大数据时代对公民信息的刑法保护应当更着重于数据使用者为其行为承担责任，而不是将重心放在收集数据需要取得个人同意上。大数据时代正在削弱个人信息自主决定权，为适应这种变化，个人信息自决权应当转变为个人信息自控权，即使个人没有被告知而被使用了个人信息，从保护个人人格尊严的角度出发，个人始终有控制个人信息合法合理使用、个人信息不被滥用的权利，即个人对自己信息的收集使用有知情、参与和控制的权利。基于此，刑法对侵害个人信息法益行为的规制，应当充分考虑此点，改变原有的沿用保护公民隐私权的规制模式。当前，非法出售、提供和获取等非法转移公民个人信息问题经在民事、行政和刑事的多重管制下得到遏制，但个人信息滥用这一侵害行为却被严重忽视，现有的刑法规定为未将滥用个人信息行为纳入规制范围，导致个人信息使用自主权遭到严重侵害，因此，需要通过扩大刑法管控范围，对滥用个人信息行为追究刑事责任，弥补现有规制漏洞，实现从非法获取、出售、提供个人信息的上游犯罪到滥用公民个人信息的下游犯罪的全方位规制和管控。

3.明确侵害行为入罪边界，建立不同层次的罪责刑罚

根据罪责刑相适应的原则要求，在刑法中合理地设置每个侵害公民个人信息犯罪的法定刑，对于侵犯公民个人信息犯罪罪刑关系的法定化、均衡化，实现罪之明确化与刑之精确化，增强定罪量刑标准的可操作性，有效限制法官滥用自由裁量权，具有十分重要作用。一方面，在认定个人信息侵权行为的罪与非罪的时候，应当注重发挥刑法的谦抑性原则，严格控制犯罪圈，对模糊行为尽量进行非犯罪化和非刑法化处理，实现刑罚的严而不厉。另一方面，要通过完善立法或出台司法解释，合理确定犯罪边界，严禁将一般违法侵权行为随意犯罪化，在民事、行政等非刑事法律手段能发挥作用的场合，避免刑法的优先适用。具体来说，首先要对非法侵犯公民个人信息行为的特征进行明确，确定入罪的具体罪状形态。当前，刑法明确了非法提供、获取、买卖的侵犯行为，但对滥用的行为缺乏规制，滥用本身的内涵需要予以进一步明确，具体可参考《网络安全法》规定进行解释。其次要对情节严重的具体标准予以明确，由于滥用型侵害在行为属性上有独特性，主要以行为性质的恶劣程度来区分是否不当使用，因此，未来立法应当根据此特点来确定情节严重的标准，如隐瞒型滥用、大规模反复滥用等。

[1]李源粒.网络数据安全与公民个人信息保护的刑法完善[J].中国政法大学学报，2015（4）：64-78.

[2]李川.个人信息犯罪的规制困境与对策完善—从大数据环境下滥用信息问题切入[J].中国刑事法杂志，2019（5）：34-47.

[3]石聚航.侵犯公民个人信息罪“情节严重”的法理重述[J].法学研究，2018（2）：62-75.

[4]敬力嘉.大数据环境下侵犯公民个人信息罪法益的应然转向[J].法学评论，2018（2）：116-127.

2020—05—09

姜承宏（1994—），男，重庆渝北人，汉族，中国矿业大学2018级法硕，研究方向：刑法。

D924

1673-4564（2020）04-0057-04