商浩文,王嘉茗
(北京师范大学 法学院,北京 100089)
随着计算机和互联网技术的发展,我们的社会无时无刻不在经历着一种巨大的转变——从传统工业社会向现代“风险社会”的模式的转变。在这种背景下,公民的个人信息以数据的形式海量地被生成、储存、处理,而生成、处理、储存这些信息的主体通常不是信息内容所指向的自然人,而是出于特定管理需要的国家机关,以及通过网络平台、软件等形式提供服务的商业主体。网络平台经营者、手机软件运营者等商业主体在向用户提供服务之前,都会收集一些用户的个人信息。一项调查表明,超过70%的用户在接受商家提供的隐私政策之前,并不会阅读合同的内容。[1]因此多数用户在授权商业主体获取个人信息时,通常并不清楚自己授权的具体内容是什么,等到权益遭受损害时才发掘自己的个人信息遭到滥用,却申诉无门。
浙江绍兴的胡女士在携程软件上订购酒店房间后发现,自己的“会员身份”不仅没有像商家宣传中那样带来“8.5折优惠”,反而让自己支付了原价两倍的费用。这种现象被成为“大数据杀熟”。消费者与经营者之间的信息不对称、算法的专业性和隐蔽性以及算法形成的支配力和控制力,给商家利用大数据“杀熟”创造了基础条件。[2]经营者利用数据算法通过对其掌握的个人信息进行加工,可以对消费者的需求、喜好了如指掌,从而避开“市场支配地位”的要件,对消费者施加价格歧视,因此利用《垄断法》来规制大数据杀熟行为具有困难。由于缺乏必要的规制手段,被“杀熟”的信息主体只能通过提起民事诉讼的方式维护自己的合法权益,但是采用这种途径的个人通常面临着取证困难、商业主体格式合同对抗等障碍。此外,部分商业主体将收集到的用户真实姓名、身份证号、家庭住址等敏感信息打包出售给第三方,这些直接指向公民身份识别的重要信息的泄露,为电信诈骗犯罪提供了温床。商业主体滥用公民个人信息的行为严重侵犯公民的合法权益,为其他违法犯罪行为铺垫道路,其社会危害性已经达到需要刑法介入的地步。
商业主体侵犯公民个人信息的常见形式包括泄露、非法使用敏感个人信息,以及过度收集、分析个人信息。这些行为侵犯了信息主体对个人信息所享有的知情同意权、控制权,以及与信息内容相关的自然人人格利益。
1.“敏感个人信息”的法律术语界定
敏感是一个主观性很强的词语,在日常生活中用于强调主体对于某种事物反应很快、很强烈的特性。在法律上,何种个人信息可以被称为“敏感”?关于敏感个人信息的概念,一种说法认为,敏感个人信息是能够单独、直接识别特定个体身份的个人信息,如姓名、身份证号、家庭住址、手机号码、银行账号、微信号、支付宝账号等[3];另一种说法来源于《深圳经济特区数据条例》,该条例侧重于数据内容的隐私性、敏感性,将敏感个人数据定义为“一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据。”①需要特别说明的是,笔者认为“数据”是“信息”的载体,“数据”和“信息”是形式与内容、载体与信息的关系。因此在本文的语境下,对于“个人数据”的规定同样适用于“个人信息”。《个人信息保护法》对于“敏感个人信息”的规定与《深圳数据条例》对于信息“敏感性”的界定类似,肯定了敏感个人信息易导致主体遭受侵害的属性,还额外将未成年人的个人信息纳入范畴。前一种观点侧重信息的“唯一识别性”,而后者则指向敏感信息易于引发权益损害的属性。
关于个人信息“敏感性”的界定,笔者认为应当侧重信息内容的敏感属性,将其定义为与信息主体人身、财产权利以及其他权益紧密相关的属性,采用法定标准附加“场景式判断”的标准来认定。敏感个人信息判断的法定标准是指,以《个人信息保护法》第二十八条的规定为基础,结合其他行政法规、司法解释所确立的标准。[4]国内的场景式判断标准是美国学者尼森鲍姆“场景完整性理论”的本土化,即不采用一成不变的固定规则,而是以特定的场景为背景来具体判断某种信息是否构成“敏感个人信息”。采用混合的界定标准既保证对于敏感个人信息有统一、固定的判断模式,又平衡了个案中所需要的具体判断。
必须说明的是,“敏感”的定义应当进行从生活用语到法律术语的转化:在个人信息保护法律体系中,敏感个人信息的“敏感性”形容的对象不应局限于信息的内容,因为用个人对于敏感的感受来界定敏感个人信息不能满足法律统一性的要求;这里的“敏感性”应当用于指“法律规制的高反应度”[5],亦即法律对于违规处理这类特殊个人信息的行为做出了较强的反应。司法解释也印证了这一观点:“两高”在解释侵犯公民个人信息罪的“情节严重”时,对具有“敏感个人信息”特征的行踪轨迹信息、通信内容、征信信息、财产信息等个人信息的入罪门槛数量明显高于其他个人信息。
2.泄露、非法使用敏感个人信息行为侵害的法益
敏感个人信息的性质特殊,泄露、非法使用敏感个人信息行为所侵害的权益不仅包括信息主体对个人信息享有的自决权、查阅权、复制权等权力,还可能涉及公民隐私权、人身安全以及财产权,甚至还有人格尊严的侵犯。《个人信息保护法》肯定了这一说法。在所侵害的权益内容上,敏感个人信息与一般个人信息所侵害的主体权益是相差无几的,敏感个人信息的特殊性在于侵害风险的可能性较高、造成损害的程度较大且多为不可逆的。例如在曾经引起舆论轰动的“人肉搜索第一案”,王某诉张某、凌云公司、天涯在线一案中,原告王某与姜某原系夫妻,姜某在自己的博客上发布了丈夫王某婚外情的信息,并附有王某的姓名、工作单位等个人信息。随后姜某自杀,被告张某(姜某的朋友)在姜某死后注册了与姜某博客名称相同的网站,供张某、姜某的亲友在上面发文纪念姜某,张某还将该网站与天涯网、新浪网进行链接。被告天涯公司和凌云公司运营的网络平台上,网民发起对原告王某的人肉搜索,将王某的家庭住址、电话号码、照片等个人信息公布在网络上,有部分网民在网站上对王某进行谩骂、人身攻击,更有甚者到王某家中进行骚扰、攻击,给王某的生活造成极大的困扰。[6]17王某的婚外情行为在道德上固然需要受到谴责,但是张某以网络平台公布其个人信息、任由网民对其进行网络暴力的行为严重侵害了王某相关权益,导致王某的隐私权、生活安宁受到侵犯,这种行为需要受到法律的规制。
1.过度收集和分析个人信息的行为界定
商业主体滥用公民个人信息的第二个行为类型就是对个人信息的过度收集和过度分析。过度收集个人信息是指商业主体超过提供服务所需的范围收集公民的个人信息,过度收集的信息来源包括直接由用户提供,和经过用户授权后从第三方数据主体处获得。紧随过度收集之后,商业主体超过用户同意,或者超过用户可能同意的范围对已经掌握的个人数据进行处理、加工,这个过程是对个人信息的过度分析。由此可见,对个人信息的过度收集和分析行为的“过度性”体现在两方面:一是超过提供服务所需要的范围,二是超过信息主体在充分知情了解后,可能同意的范围。商业主体过度收集、分析个人信息的一种常见形式就是,各种手机软件从用户安装的其他软件处获取大量个人信息、使用痕迹等数据,然后经过算法加工生成具有个性化特征的“用户画像”,再根据画像将使用者、消费者群体进行分类,对不同类别的用户推荐不同的产品或者服务。
2.过度收集、分析个人信息行为侵害的法益
过度收集、分析个人信息的行为侵犯了信息主体的知情同意权和数据可携权。信息主体的知情同意权是指,信息处理者在收集、使用个人信息之前应当获得信息主体的同意,自然人有权充分知晓其个人信息被他人通过使用、加工、传输等方式进行处理;“数据可携”的概念类似于物理上的空间转移行为,而信息主体的数据可携权的含义是一种个人能够将其个人数据和资料有偿或无偿地从一个信息服务者无阻碍地转移至另一个或几个信息服务者处的权利。[6]39
生成“用户画像”的行为可能导致两种类型的侵害:一是算法操纵,即商业主体通过偏向性地提供服务,使用户处于“信息茧房”之中,干预用户的自由选择[7];更有甚者控制用户的信息接受,潜移默化地影响用户的价值观、世界观,挑起不同群体的对立,造成社会群体沟通失灵的现象。二是算法歧视,即商业主体根据“用户画像”,给不同的用户群体贴上特定的“标签”,对具有不同“标签”的用户群体推荐不同价格类别的产品或者服务,甚至对同一产品向不同用户收取不同的价格,这一现象又被成为“大数据杀熟”。《个人信息保护法》第二十四条禁止商业主体在进行自动化决策时对用户进行差别待遇,并且规定商家应当尊重用户对于自动化决策的选择权。然而实践中很多软件都会默认用户接受自动化决策,有些甚至没有关掉自动化决策的设置,侵犯用户对于获取信息和接受服务的选择权。
《中华人民共和国个人信息保护法》出台之前,我国的对个人信息保护的法律规定分散在《民法典》《消费者保护法》《网络安全法》以及《数据安全法》中,其中关于信息处理者侵权行为责任的规定包括了民事责任和行政责任,如《消费者权益保护法》第五十条中规定了经营者侵害消费者个人信息依法得到保护的权利的,应当承担停止侵害、赔偿损失等相应的侵权责任;《网络安全法》第六十四条规定了网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,将会根据情节面临警告、没收违法所得和罚款的行政处罚。《个人信息保护法》的出台是我国个人信息保护法律的进步,该法系统性地规定了信息处理者的义务和责任、信息主体享有的权利、信息处理的规则。
在个人信息保护领域,存在着“刑事先行”的现象,即刑事法律先将侵害公民个人信息行为规定为犯罪,随后才有关于个人信息保护的单行部门法。笔者认为这样的立法模式印证了侵犯公民个人信息罪是自然犯的观点,而非像部分学者所说的法定犯。然而对于个人信息的保护规定,这样“刑事先行”的立法模式使得刑法与个人信息保护的规定存在不协调的地方,也导致刑法规制中遗漏了一些社会危害严重的行为。
当前我国对于犯罪对象为“个人信息”的刑法规制仅有刑法第二百五十三条侵犯公民个人信息罪、第二百八十五条和二百八十六条针对计算机系统的犯罪,以及第二百八十七条非法利用信息网络犯罪。除了“侵犯公民个人信息罪”可以涵盖侵犯个人信息的犯罪行为,其他罪名的犯罪客体并非“个人信息依法得到保护的权利”,保护的法益也是公法益,不能算作针对个人信息犯罪的刑法规制。已有的条文是否能够满足对个人信息犯罪规制的需求?我国是否需要以规制信息网络犯罪、数据犯罪为主题的单行刑法?
计算机、网络和数据化在一定程度上颠覆了传统犯罪的方法,一大批通过信息网络实施的新型犯罪涌现,因此有学者认为,我们需要制定专门的网络犯罪刑事法律,以全方位应对打击日益猖獗的信息网络和数据犯罪的需求。[8]单行刑法是我国刑法的重要渊源。大多数单行刑法已全部被1997刑法典收纳,形成完整的刑罚体系。尽管单行刑法具有较强的灵活性、专业性、相对的独立性,能够及时应对打击新型的系统性犯罪的要求,但是单行刑法的弊端也十分明显:(1)立法随意性较大,不能满足刑法的人权保障功能;(2)实质上损害刑法的稳定性;(3)与刑法典不易协调。[9]
应当明确的是,法律具有稳定性的特征,规定犯罪与刑罚的刑事法律尤是如此,才能持续地给公民提供正确的行为指引。对于新事物给传统刑法体系所带来的挑战,如果对现有条文进行解释就足以很好地处理个人数据犯罪,那么就没有必要动用立法手段;即使在采取刑事立法路径应对网络犯罪时,如果能够通过增设行为方式或犯罪对象的形式使罪刑相适应,就没有必要,也不应当制定所谓“网络刑法”。[10]就以个人信息为对象的新型犯罪而言,即使犯罪的手段、目的、对象等要素随着信息网络的发展经历了变化,很多犯罪的构成要件并没有超出刑法的传统犯罪理论。如刑法中“传播淫秽物品罪”的传统犯罪形式主要包括传播“淫秽书刊、影片、音像、图片或者其他淫秽物品”[11]607,而两高针对淫秽物品犯罪的解释中,将“在利用互联网建立的群组中传播淫秽电子信息”的行为归纳为传播淫秽物品罪的表现形式,实质上扩充了“淫秽物品”的概念。如同“数据”的概念一样,法律所使用的很多术语都经历了内涵和外延的变化,以适应社会发展给法律稳定性所带来的挑战。法律术语含义的变化并不等同于法律本身的改变,换言之,规则所指向的对象内涵的变化不代表规则本身需要发生变化。例如盗窃罪中“财物”的概念就经历了从仅指有形物到涵盖无形财产的变化,行为人无论是盗窃价值五千元的手表还是盗窃他人银行账户中的五千元,都符合盗窃罪的构成要件,按照盗窃五千元既遂判处刑罚。商业主体滥用个人信息的行为形式看似前所未有,实质上是符合刑法中传统的犯罪构成框架的,只是犯罪客体变成了“个人信息”,或者犯罪是通过信息网络实施的。针对个人信息的犯罪对刑法典的依附性较强,故不足以独立形成单行刑法体系。
1.忽视“滥用个人信息行为”的危害性
尽管民法和个人信息保护法规定了信息主体对个人信息享有的相关权利,但是刑法领域对于这些权益的相关理论并没有跟上,导致当前我国司法实务对个人信息性质的认定类似于所属之物的范畴,将个人信息视为经过技术劳动所产生的“劳动成果”,特别是对于以数据形式呈现的个人信息,按照传统的占有主义理论来保护信息主体权益。[12]因此我国刑法对于个人信息犯罪的规定基本上都是套用传统财产犯罪构成的思路,将重点放在“打破合法占有”上,对非法获取个人信息行为进行规制。以侵犯公民个人信息罪为例,该罪的表现形式包括违反国家规定向他人出售或提供公民个人信息,情节严重的;窃取或者以其他方法非法获取公民个人信息,情节严重的。[11]480无论是“非法获取”还是“违规出售、提供”,两种行为方式的侧重点都是对他人“占有”的破坏:非法获取行为破坏了信息主体对个人信息的占有;违规出售和提供破坏则未经信息主体的同意,将信息由第三人占有。但是考虑到数据共享性、再生性的特点,数据形式的个人信息在性质上与传统的财物有本质的不同,对个人数据(信息)的滥用行为同样可以具有严重的社会危害性,有些滥用行为的危害性甚至更甚于非法获取的危害性,因此我们有必要重新审视对滥用个人信息行为的规制。
2.对信息主体权益保障的缺位
除了“侵犯公民个人信息罪”设置在刑法的“侵犯公民人身权利、民主权利罪”这一章节,其他对个人信息或者个人数据的犯罪都“着眼于对经济秩序和网络空间中管理秩序的考量”[13],被放置在侵犯公共法益的章节里。“我国刑法对个人数据的保护,呈现出秩序利益至上,产业发展利益次之,个体权利再次之的格局;”“除了在非法获取或提供个人数据的场合,其他大量的对个人数据的侵犯行为,都并非因为侵犯数据主体的合法权益本身,而是因为其涉及对经济秩序或网络空间秩序的扰乱,从而被认为需要予以处罚。”[13]毋庸置疑,在大数据时代,个人信息犯罪所侵害的利益不仅是信息主体的权益,公共利益和国家安全亦被牵扯其中,但是刑法对于这三者的保护并不是矛盾的。信息主体是个人信息犯罪最直接的受害者,我们应当完善刑法的相关规定,以保障信息主体的权益。
针对上诉问题,笔者认为对于商业主体滥用数据优势地位、侵害公民个人信息权益的行为,应当以明确个人信息法益的概念和属性、修正刑法第二百五十三条“侵犯公民个人信息罪”的刑法规制手段来保障信息主体权益。
1.个人信息权概念的明晰
个人信息权的概念虽未在法律上明文规定,但是在学理上经常被使用,用以代指自然人信息主体对于个人信息所享有的一系列权利的总和。《民法典》第一千零三十七条规定了个人信息主体享有的权利,包括请求查阅、复制的权利,发现个人信息有误请求采取相应措施的权利,以及对违规或违约处理信息的信息处理者享有请求即使删除的权利;《个人信息保护法》从信息处理活动的角度出发,规定了信息主体对信息处理活动的知情权、决定权、限制权和拒绝权。个人信息主体对个人信息享有的权利多为救济性的权利,无论是《民法典》还是《个人信息保护法》都没有规定个人信息主体主动支配、处分个人信息的权利。由此可以看出,法律并没有赋予个人信息主体对于个人信息的绝对的支配权利,个体对于个人信息的权益依然需要让步于公共管理的需求,甚至是商业活动、技术开发的需要。为了回应不断扩张的“个人信息”概念,为了补强信息法律保护体系中的薄弱环节信息,我们应当进一步确立个人信息权的概念,并且明确该权利的属性。[13]
关于个人信息权的权利性质,学界有不同的看法:有人认为个人信息权是信息主体人格权的延伸;有人认为在大数据时代背景下,个人信息可以作商业用途而具有经济价值[14];还有人认为个人信息权应当是一种隐私权,公民的个人信息权益受到侵犯时可以根据隐私权的规定寻求救济。[15]笔者认为个人信息的权利属性不是单一的,个人信息权同时具有人格权和财产权利的属性。“个人信息指向信息主体,能够显现个人的生活轨迹,勾勒出个人人格形象,作为信息主体人格的外在标志,形成个人‘信息化形象’。”[15]个人信息内容指向信息主体,这决定了个人信息必然包含这信息主体的尊严价值。个人信息的商业价值也应当得到肯定,如同明星的肖像权、姓名权,信息能够给信息主体带来经济收益,明确数据主体对个人数据享有财产利益能够更好地保护主体利益,使得数据主体在遭受侵害后可以请求赔偿财产损失,这是现代社会精神性人格利益商业化的典型。[16]
在特定情况下,个人信息也可以具有隐私的性质,比如我们的家庭住址、一个病人感染了艾滋病诊断,此时反映隐私内容的个人信息和个人隐私的内涵重叠,该隐私信息按照隐私权保护模式受到法律保护,而无需强调所有个人信息都具有隐私属性。如果承认个人信息的隐私性质将会不利于个人信息在商业用途和公共管理中的正常使用,而且会将本身就模糊的“隐私”的概念拓展到个人信息的范畴中,使个人信息的判断主观化,信息是否具有隐私的属性全凭信息主体做主。
2.侵犯公民个人信息罪的个人法益属性
对于侵犯公民个人信息罪而言,作为犯罪客体的个人信息法益究竟是个人法益还是超个人法益,学界有不同的认识。个人法益说认为,侵犯公民个人信息罪侵害的客体是公民对于个人信息享有的相关权益,具体侵犯的是何种权益又分别有隐私权说、生活安宁说、个人信息权说和个人信息自决权说;超个人法益说认为,个人信息承载的内容不仅是信息主体的权益,还包括公共秩序、国家安全等公共法益,因此侵犯公民个人信息罪的客体是公法益性质。
侵犯公民个人信息罪位于刑法的第四章,属于侵犯公民人身权利、民主权利犯罪,本章的犯罪客体具有明显的个人法益属性。固然大数量个人信息的集合会与公共安全、国家安全相关联,因此《网络安全法》对广泛收集个人信息的网络运营者规定了保密义务和建立信息安全保护制度的义务。“滴滴出行app事件”①“滴滴出行”是一款集出租车、专车、大巴车等多项业务的出行平台。通过用户对通讯信息、相册、摄像机等信息的授权获取,以及对用户出行信息的收集、利用,滴滴出行掌握了大量公民的个人信息。2021年7月4日,“滴滴出行app”因存在严重违法违规收集、使用用户个人信息问题被国家互联网信息办公室通知下架。随后,国家网信办发布公告,宣布将针对“滴滴出行”依照《中华人民共和国国家安全法》和《中华人民共和国网络安全法》启动安全审查。就很好第印证了公民个人信息与国家安全息息相关的观点。但是我们同样应当认识到,不是所有大量个人信息的集合都能够承载公共秩序保护的内容,像“滴滴出行事件”这样侵犯公民个人信息权益的同时还危及国家安全的案件仍属于少数,换言之公共秩序和国家安全的受损在侵犯公民个人信息罪中的出现具有随机性,只有以反应特定信息内容的大量个人信息的集合为犯罪对象,才有可能危机公共秩序和国家安全。因此笔者认为超个人法益属性说的理论基础存在缺陷,侵犯公民个人信息罪的犯罪客体应当是以公民个人信息权未基础的个人法益。
现有刑法规定的侵犯公民个人信息罪的行为方式仅包括“违反国家规定向他人出售或者提供公民个人信息”,而实践中出现的其他严重侵犯公民个人信息权行为没有包含在行为方式中。因此笔者认为应当修改刑法侵犯公民个人信息罪的客观构成要件,增加“非法使用个人信息,情节严重的”和“违反国家规定滥用个人信息,造成严重后果的”两种行为方式。
1.非法使用个人信息
“非法使用”个人信息是指,信息主体或者信息(数据)处理者、控制者违反《个人信息保护法》《网络安全法》《数据安全法》等前置法对于信息(数据)处理活动的规定使用个人信息。非法使用个人信息的具体形式包括泄露、非法使用敏感个人信息。非法使用个人数据需要达到情节严重的程度,才能达到本罪的入罪门槛。“非法”一词本身就包含了违反法律的含义,因此不用重复规定“违反国家规定”的要件。最高人民法院、最高人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对侵犯公民个人信息罪的“情节严重”做出了详细解释。《解释》第五条的部分条款以非法获取、出售的数据数量来衡量行为的严重程度,并且根据所承载的信息类型的不同对个人信息进行分类,对不同类型的个人信息规定了不同的数量标准。但是司法实践中存在的这种单纯使用信息数量的多少来定罪量刑的现象,判断标准过于单一,并不能很好地实现罪责刑均衡原则,不能平衡犯罪与刑罚、责任。立法者也注意到“唯数额论”判断标准的缺陷,越来越注重在构成要件中增加行为危害性判断的实质性要素。《刑法修正案(九)》就针对贪污受贿犯罪定罪量刑标准的“数额中心论”弊端进行了修正,改用“概括数额+情节”的标准,更为精确地反映出不同个案中受贿行为人主观恶性和社会危害性,由此实现对行为人定罪使的立体化考量和量刑时的复合式评价。[17]机械的判断标准会导致僵化的司法判断,脱离了生活经验的法律不能使公民感受到公平正义,因此侵犯公民个人信息罪的定罪量刑标准亦应采纳多元化判断标准,司法人员应当综合数据数量、犯罪所得数据以及犯罪情节来定罪量刑。
2.滥用个人信息
滥用个人信息的具体形式包括过度收集、分析个人信息。滥用合法获取的个人信息,需要造成严重后果才能构成本罪。仅从行为性质来看,“滥用”的危害性明显小于“非法使用”,故刑法对“滥用”行为的规制十分谨慎。现行刑法对滥用行为的惩罚存在于主体为国家机关工作人员、司法工作人员、国有公司、企业的工作人员以及军人的犯罪,这些犯罪主体都负有特定的职责或者义务,客观方面要求造成重大损失等严重后果才构成犯罪,可见滥用行为入罪的门槛较高。判断一个行为是否构成“滥用”个人数据,应当综合行为人的主观认知与行为所造成的危害结果。行为人主观上要认识到其数据处理活动是违反国家规定的,或者是没有经过信息主体同意、超过信息主体同意的内容的。从事数据处理活动的主体一般都具有特殊的技术知识,因此我们应当默认行为人对于个人信息保护的相关规定有特殊认知,从而不接受行为人用“不了解相关法律规定”或者“不知道要获取信息主体同意”为由的抗辩。滥用行为主体的主观恶行较非法使用较小,因此应由行为所造成的危害后果的严重来补足主观方面的欠缺,即只有造成“被害人伤亡、精神失常,重大经济损失或恶劣社会影响,数据数量或者非法获利金额巨大的”,才能构成本罪。