李丹妮
(西北政法大学,陕西 西安 710063)
随着信息化与社会发展持续深度融合,网络已成为生产生活的新空间和主阵地。 根据中国网络空间研究院2022 年11 月9 日发布的《中国互联网发展报告2022》蓝皮书,截至2022 年6 月,中国网民规模达到10.51 亿,互联网普及率达到74.4%,已建成全球规模最大的5G 网络,充分体现了我国数字化、网络化发展的惊人速度。 网络的快速发展极大地提高了人民生产生活的便利性,但也意味着公民走进了个人信息透明化的困境,几乎每注册一个应用软件或登录一个网页,必定要授权隐私条款使用个人信息,可获得公民个人信息的主体越来越多。同时,最高人民检察院发布的数据显示(如图1),个人信息保护案件数量攀升,公民面临个人信息等隐私透明化、公开化的困境。
图1 全国检察机关办理个人信息保护案件数量
随着个人信息保护领域矛盾日益增多,我国对个人信息保护的相关研究逐渐增多,大部分主要集中于大数据时代个人信息保护的特征、漏洞以及国外先进保护模式,并提出相应的解决对策,但较少有人通过分析司法大数据,结合我国的司法实践现状和事实样态,对公民个人信息保护进行研究。 文章基于对公民个人信息保护领域司法大数据的分析,归纳我国现阶段个人信息案件的主要特征和原因,探讨个人信息保护的问题所在,针对司法实践和案件现实样态提出保护个人信息的对策,以期通过多元化的途径和方式保护个人信息权益,促进个人信息合理利用。
在中国司法大数据服务网以“个人信息”为关键词进行检索,对2010 年至2022 年期间全国法院审结的案件进行识别,并多次调整案件类型、审级等搜索项,对个人信息保护领域的司法数据进行多角度的分析和解读。
以“个人信息”为关键词在全网进行检索,对2010 年至2022 年期间全国各级法院一审审结的案件进行识别,可以发现,涉个人信息案件中,民事案件类型占比最大,为69.53%,刑事案件占27.74%,还有2.72%的行政案件,无执行和赔偿案件。 首先,从案件类型不难发现,由个人信息保护引发的纠纷大多较轻微,仅构成民法上的侵权,属于违法行为,但过去十三年间也有近三成的涉个人信息案件为侵犯公民个人信息的刑事犯罪,同时,也有极少的情形是因行政主体引起的行政诉讼。 由此可见,我国现阶段侵犯公民个人信息的犯罪行为高发、侵害主体有所扩大,且情节严重的案件较多。
其次,通过对每年个人信息领域刑事案件和民事案件各自占比的分析(图2),不难发现,在《中华人民共和国民法典》(以下简称《民法典》)和《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)实施以前,个人信息领域民事案件占比较大,且多年间都未有大幅波动,几乎保持在60%至65%之间;在2017 年,刑事案件占比攀升至顶点,此后开始下降,民事案件占比逐渐呈上升趋势,在2021 年和2022 年升至顶峰,将近九成案件为民事案件。 结合相关法律的实施可以推测出,2017 年《中华人民共和国网络安全法》(以下简称《网络安全法》)施行后,对相关主体起到了一定的威慑作用,减少了个人信息领域的犯罪率。 2021 年《民法典》和《个人信息保护法》相继施行后,我国个人信息保护体系更加完善,从刑事、民事以及行政领域均对其进行了保护与规制,同时,也意味着除了《中华人民共和国刑法》(以下简称《刑法》)和《网络安全法》,公民还可以依据《民法典》和《个人信息保护法》进行救济,相较而言,一些情节并不是很严重的侵权行为可以不入罪,而依据民事法律进行裁判,因此,案件类型的变化可能受到了新法施行的影响。
图2 个人信息领域刑事、民事案件占比
通过对中国司法大数据网统计的争议焦点进行分析,可以发现有225 件案件对“侵权”和“侵权行为”存在争议,129 件案件对赔偿问题存有争议,80件案件对“个人信息”存在争议。 调整审级为“二审”后,可以发现,因为对侵权的认定存在争议而上诉的案件有63 件。 从以上数据可以看出,涉个人信息案件的主要争议焦点在于对侵权的认定,在裁判中,界定是否构成侵权、如何构成侵权是当事人容易产生分歧之处。 另外,无论是“赔偿损失”还是“精神损害赔偿”,实际都可以归纳为对赔偿问题存在争议,由此可以发现,对赔偿问题的认定构成了涉个人信息案件的第二大争议焦点。
首先,根据《刑法》第二百五十三条,“情节严重”是个人信息领域犯罪行为和侵权行为的分界线,但新法的施行可能会更新个人信息侵权行为中的刑事犯罪行为和民事侵权行为间的界线。 《民法典》和《个人信息保护法》出台后,法官对“情节严重”的判断和综合衡量是否会受到影响,我们不得而知。 因此,如何协调个人保护信息领域刑事法律和民事法律之间的关系,以及刑事法律、民事法律与其他部门法之间该如何协调才能维护法律体系的整体性与协调性值得深入研究。
其次,根据我国立法现状,《个人信息保护法》施行后,我国形成了一定的个人信息保护体系(表1)。 对从业者来说,四部法律的处罚内容、处罚形式常常重复交叉。
表1 个人信息保护体系四部法律的对比
最后,仍有部分涉及公民个人信息保护的法律法规散落在其他领域的法律中,“并未形成一个独立且成系统的个人信息保护体系,对个人信息进行专门保护,这就造成我国在该领域出现‘九龙治水'的尴尬局面。”[1]也正是这种横纵关联、相互交叉的立法体系,使得公民在寻求救济时,易出现引用、查询、论证等不统一、不一致的现象,在司法实践中,各地法官在对案件定性、法律适用和裁判时也极易出现不统一的情形,容易出现同案不同判的现象,不利于对个人信息的保护[2],还可能危害法律的公正和权威。
由于个人信息种类内容较多,形式复杂多样,其侵权形式也多种多样。 我国法律以列举的形式规定了侵犯公民个人信息的行为,但只是对现阶段常见的以及潜在的侵权行为进行了规定。 时代在发展,而法律本身具有滞后性,不可能完全预判到新的侵权形式并进行穷尽列举,不能以实践的复杂性来解构法律的基本内核。 因此,在实践中,是否侵权需要法官结合具体案情自行判断,也使得对侵权行为的认定极易引起当事人的争论和纠纷。
首先,《民法典》和《网络安全法》仅仅规定了民事责任,赔偿损失作为民事责任的一种,并未有相关法律规范对其进行详细规定,导致其在实践中缺乏一定的可操作性。 检索结果显示,赔偿损失作为供当事人和法官选择的民事责任的一种,常常受到原告方的青睐,多数原告会选择让被告赔偿损失。 但由于法律未明确赔偿数额、损害结果不好界定等客观原因,双方当事人常因赔偿损失发生争议。 从司法大数据平台的数据来看,有三成的上诉案件是因为对赔偿问题有争议而引起的。
其次,公民个人信息遭受侵害的案件层出不穷,究其原因是我国法治环境和公民意识仍不够成熟,法律对侵害个人信息的行为惩罚力度较轻,相关违法犯罪成本过低,违法犯罪分子不惜铤而走险。《刑法》第二百五十三条之一规定,情节严重的侵犯公民个人信息的行为,处拘役或者不超过三年的有期徒刑,情节特别严重的,处三年至七年有期徒刑,且都可以处罚金刑。 单从刑期来看,对侵犯公民个人信息的刑事犯罪处罚刑期较短,对犯罪分子的威慑力可能较小,违法成本较低。 在民事损害赔偿领域,赔偿数额较低,无法引起相关人员的重视。
在我国《刑法》《网络安全法》《民法典》和《个人信息保护法》共同构筑的个人信息保护体系下,应将其统一汇总进保护个人信息的专门法律中,并对所有可能侵犯个人信息的潜在主体进行规范,而不仅仅是信息处理者和相应的监督管理者,个人和其他单位也应由这部专门法律直接规制。 其规制的侵害行为也应尽可能全面,法律责任和处罚形式应科学合理,个人侵害公民个人信息应追究其民事责任和刑事责任,信息处理者、网络运营者等从业者及其监督管理部门应承担民事责任、行政责任和刑事责任,其他单位或机构也应承担以上三种责任。 只是情节严重的侵害行为才需承担刑事责任,无论何种主体均应承担民事责任。
既然侵权行为不能列举穷尽,则可用法律类型思维对其进行类型化的概括。 用拉伦茨的话来说就是:“当抽象——一般概念及其逻辑体系不足以掌握某生活现象或意义的多样表现形态时,大家首先会想到的是补助思考形式是‘类型'[3]。”所谓法律类型思维,是指当无法用单个的概念或标准概括或统摄有着多种因素的事务时,便可以用“类”来代替“个”或者“种”,也就是用一组相关又相似的概念或案例,甚至其他多种形式来表达的一种思维方式[4]。 民法的发展常常采用类型化的办法,如欧根·埃利希总结的那样:家庭法自身经历了发展,这意味着今天的家庭法与中世纪的相一致,只是现在的夫妻关系、父母与子女间的关系与以前相比有了不同的印记;土地所有权也经过了一个发展过程,因为与土地相关的另一类物权与债权已形成,加之农民和大地产占有人间的经济体制也发生了变化,导致存在着一种不同的体制;契约法也有所发展,这种发展建立一种较新的基础上,即新的契约类型和传统契约类型具有不同内容[5]。 在个人信息保护的法律规范中,运用类型化的思维对侵权行为进行定义或描述,从而为法官和当事人提供清晰、明确的法律规则,不失为一种合理的思路,不仅能维持法律应有的稳定性与严密性,而且能及时补充需要补充的内容。
首先,应提高侵害公民个人信息违法行为成本。除了美国,欧盟也对侵犯公民个人信息的违法行为实施了高额赔偿和罚款的处罚措施[6]。 欧盟对企业侵犯个人信息的行为惩罚较为严格,设置了较高的定额罚款和百分比制的罚款标准,无论是直接标明数额的千万欧元的罚款额,还是以营业额为基准的百分比制的罚款,其犯罪成本都以高昂著称。 美国加利福尼亚州也有类似的严格规定,只要企业违反了保护个人信息的相关法案,对每位用户的赔偿额最高可达七百五十美元和七千五百美元,如果企业的用户人数众多,将会出现数额巨大的罚款和赔偿金[7]。 从民事责任角度来看,要想提升侵权行为的违法成本,需要使行为人承担的侵权责任,高于其违法后可获得的经济利益,形成与《个人信息保护法》或《民法典》配套的个人信息赔偿标准,以补充立法、修改法律或司法解释的形式,明确此类违法行为的赔偿数额。 完善惩罚性赔偿制度,提高侵权成本,威慑潜在犯罪分子,从根源上减少侵权行为的发生。 其次,应适当增加此类犯罪的刑事处罚。 公民个人信息权益作为人格权的一种,其与生命权、身体权和健康权均属于公民的合法权益,其重要性不言而喻,应当受到法律的平等保护[8]。 应重视对个人信息权利的保护,适当加大对侵害个人信息行为的惩罚打击力度,科学研判后延长刑期,提高侵权人的侵权成本。
通过对司法大数据的分析,可以发现在我国的司法实践中,个人信息保护领域仍存在诸多问题。应透过问题窥见其背后的原因,对现阶段法律体系和司法裁判进行反思,对个人信息领域法律体系的完善、法律的理解与适用提供相应的建议,从而更好地保障公民的合法权益。