大数据时代个人信息刑法保护研究

唐 志 强,武 晓 红

(甘肃政法大学 法学院,甘肃 兰州 730070)

一、问题的提出

大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合①,大数据的产生与发展,推动了大数据时代的到来,而网络技术的飞速发展在扩展互联网应用场景,密切联系网络与个人的同时,也让个人信息不得不汇入到网络的汪洋中。这些信息在传递和处理过程中,不可避免会被数据处理方获得。同时,网络服务供应商、第三方平台等也都在从人们的日常使用中获取个人相关信息,加之我国相关行业的法律规范并不完备,个人信息安全面临严峻挑战。在中国裁判文书网以“侵犯公民个人信息罪”和“刑事案由”为关键词检索,可以看出2017年至2021年,案件数量一直保持高位,最低的年份相关案件数量也在1000件之上,多数侵犯公民个人信息行为使得当事人成为诈骗犯罪的受害者。在中国大数据服务网以上述关键词进行检索分析,将案件时间设置为2017年至2023年,可以看出在经济发达省份如江苏、浙江、广东等案件数量明显高于其他地区,且数量都在1000件之上,我国个人信息的保护面临着较为严峻的问题。

我国刑法未对个人信息的范围做出明确规定,当前刑事裁判采用的个人信息范围是最高人民法院、最高人民检察院在2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》),其中对个人信息的界定采用了传统“描述+列举”的方式进行说明②。但在大数据时代互联网的高速发展下,公民个人信息内容也在不断地丰富,个人信息中不同内容的价值衡量也发生着变化。而我国刑法在具体规定和法律衔接上目前尚有不足,例如在对侵犯公民个人信息罪犯罪情节的衡量上存在着标准不明确,在犯罪行为方式的认定上存在一定的欠缺以及未能与其他法律形成对个人信息的合力保护等问题。这就需要刑法适时进行考量,进而做出新情势下个人信息的保护应对。

二、我国刑法对个人信息保护的规定与问题

(一)我国刑法对个人信息问题的规定

1.刑法保护之变革

我国刑法对个人信息的保护比于西方国家起步较晚,从个人信息保护第一次在刑法出现开始,共有三部修正案和两部司法解释涉及个人信息保护的相关问题。从《刑法修正案(五)》开始,刑法对个人信息的保护呈不断加强的趋势,其中妨害信用卡管理罪可以看作是对个人信息保护的初涉③,在《刑法修正案(七)》中不但提出了“个人信息”一词,而且增加了作为“侵犯公民个人信息罪”前身的刑法第二百五十三条之一的内容④,在《关于执行中华人民共和国刑法确定罪名的补充规定(四)》中规定的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名,第一次明确了刑法第二百五十三条之一的名称。目前刑法对个人信息保护的规定源自2015年的《刑法修正案(九)》,这也是对个人信息保护内容完善最大的一次,不但正式确定了刑法第二百五十三条之一为“侵犯公民个人信息罪”,而且加入了“情节特别严重”的处罚标准,这一罪名的演变就此趋于稳定,之后的修正案中也再未对此进行修改。

2.与之相关的刑法规定

我国刑法除了规定侵犯公民个人信息罪之外,其他关涉个人信息的保护规定主要集中在一些具体领域。主要包括金融、互联网以及教育考试领域,这些领域对个人信息的保护具有明显的针对性,与个人信息有所联系但是关联性较弱,实际上涉及个人信息的领域随着社会的发展在逐渐增多,这也从侧面反映了个人信息的保护不足。

从罪名设置来看,当前我国刑法对个人信息的保护可以分为直接和间接两种。直接保护即上文提到的侵犯公民个人信息罪,2017年最高人民法院、最高人民检察院发布的《解释》中也对个人信息从主体要件、范围到认定标准等进行了相应解释,但刑法对个人信息保护的直接规定仅此一条,不仅存在数量上的不足,而且在司法实践中依旧存在着入罪标准的适用性较差和对情节认定标准较为模糊等问题。随着大数据时代技术手段的创新和发展,当前的司法实践中又出现了如互联网爬虫技术中信息搜集范围界定此类的新情况,之前规定在处理新案件时也是力有不逮[1]。

总体来说,无论是从“侵犯公民个人信息罪”这一单独的罪名演变过程而言,抑或是在对个人信息相关罪名的设置上来看,刑法对个人信息的保护始终是以侵犯公民个人信息罪这一直接保护为主,在之后的完善中辅之以针对性的金融和计算机网络等关涉个人信息且信息敏感度较高领域的系列罪名间接保护,但明显的问题在于大数据时代网络与技术迭代下所产生的新型个人信息领域缺乏法律规定,对个人信息的保护尚未形成完整体系,而是零散见诸分则的个别罪名[2],应对大数据时代的挑战,无论是个人信息的内容更新,还是新网络技术对个人信息侵入的边界规制,个人信息的保护亟需完善。

(二)我国刑法中个人信息保护的不足

1.“情节严重”标准认定不明确

2017年5月发布的《解释》第五条第一款虽然从价值和数量两方面对刑法第二百五十三条之一规定的“情节严重”作出了说明,但在实践适用上依旧存在着争议。

首先,信息贬损之后的价值衡量问题。大数据技术的发展,使得信息的传递更加多元。犯罪分子获得个人信息后,大多会利用互联网进行传播,随着传播范围的扩大和次数的增加,信息价值不可避免会出现贬损,此情况下如何对其价值估算并不明确[3]。其次,信息折合比例过于机械。第六项提出在数量未达到前述三项条款所作规定时,按照相应比例折合达到有关标准也属于情节严重的情况,但是目前并没有对折合比例进行明确。最后,违法所得范围值得讨论,即第七项违法所得的范围是限于直接违法所得还是包括不可控的信息二次传播后的间接所得。基于互联网信息的公开性,一旦出现信息的首次传播,之后的传播便很难受传播者控制,但传播者依旧可以从此信息的传播过程中获利,那么在这一过程中的获利是否属于违法所得未做确定[4]。对此造成的影响以及间接所得是否应该作为量刑标准也是值得考量的因素之一。

最重要的是根据我国司法实践可以看出几乎没有因个人信息被侵犯而立案的案例。对侵犯公民个人信息罪的处罚一般还是在集体性信息泄露案件中,对危害性的衡量也更依赖于法官的自由裁量,因此造成对侵犯公民个人信息罪的打击缺乏明确衡量标准,罪与刑的适应问题也更加突出。

2.行为方式界限模糊

目前刑法规定的侵犯公民个人信息罪的行为方式客观上包括两种:一是违反国家有关规定向他人出售或者提供,二是窃取或者以其他方法非法获取。我国曾在《刑法修正案(九)》中将《刑法修正案(七)》中的“违反国家规定”修改为“违反国家有关规定”,这一修改在一定程度上借助了其他个人信息保护的法律法规。但在获取方法上,对“窃取和其他方法非法获取”中的“其他方法”就存在一定争议,即客观上“方法”的行为定性是否要求行为本身就具有非法性[5]。

在主观方面,对于过失行为导致的危害结果是否应该入罪没有做出规定。根据刑法第十五条第二款⑤及公法“法无授权即禁止”的思想,刑法对侵犯公民个人信息罪的过失犯罪不能进行惩罚。但在实践中,过失导致个人信息被犯罪分子获得并以此造成侵害的案件屡见不鲜,新闻中不乏有销售、电信、交通、宾馆、快递等服务行业在提供服务过程中,将获取的大量公民个人信息因缺乏管理责任意识或因保管不善等原因被犯罪分子获得,由此对公民的人身、财产造成了极大损害,但在中国司法大数据服务网以过失泄漏个人信息作为裁判要点的案件数量却为零。在2021年首届中国网络文明大会上中国社会科学院大学林维教授就根据相关数据指出目前侵犯公民个人信息等犯罪的设置,无法处罚相关主体基于过失而造成的海量公民个人信息泄露的行为,此类过失行为所导致的危害后果在客观上与故意侵犯行为所造成的后果没有任何区别⑥。

虽然过失犯罪的规定见诸刑法更多的在于重大法益,但是究其本质是对注意义务的违反。在当前不同主体对个人信息的保护义务尚未被明确之时,也就难以进行规制。另外从这一罪名的法益保护来讲,如果不对过失造成严重危害结果的行为进行惩罚,不仅对法益的保护有所欠缺,也是对受害者的不公。

3.法律衔接不畅

目前我国法律对个人信息的保护从根本上处于一盘散沙的状态。在传统信息类型的范围内,各个部门法都形成了一定的保护规定,但是在新兴的和难以界定的类型上并没有做到与时俱进。无论是《网络信息安全法》还是新出台的《个人信息保护法》,对个人信息的定义采用的都是原先的方式且内容上大同小异,对所保护的范围并没有作出明确的界定,对一些新型个人信息也未涉及,这就造成了新兴的个人信息类型犯罪中,是否可以据此进行保护的裁量就落到了承办法官的手中。

《民法典》出台之前,对个人信息的保护一度几乎是刑法“一力承当”。自2017年以来,我国侵犯个人信息的刑事案件数量增加较快,相比保持在一个较高的范围。《民法典》生效后,两者的规定在个人信息保护的范围上出现了交叉重合,目前也未有司法解释确立双方在保护范围上的界限,保护范围的冲突导致力量的分散,而《网络信息安全法》在相关问题上亦没有建设性的意见和规定。2021年出台的《个人信息保护法》中对个人信息的范围相较于其他法律得到了扩大,并且明确了信息收集和处理的规则,也提出了相应的处罚措施,但是依旧未能解决上述问题。

目前,我国各部门法对个人信息的保护欠缺明确的界定和分工,更多还是从部门法进行保护,缺乏整体范围和分工的划分,未能形成完备的保护体系。

三、个人信息保护的刑法应对

(一)构建合理完整的认定标准

我国刑法对侵犯公民个人信息罪的入罪采用“数量+情节”的模式,但在判决中不难看出仅对“情节严重”的认定还是更加依赖信息数量,盖因数量最为直观便捷,但是缺乏对犯罪行为后果的深层次探究,这便会导致评判标准有失偏颇,对侵犯公民个人信息罪而言主要存在的问题就在于认定标准的完善。

一是完善入罪的主客观因素考量,将过失造成严重后果的行为纳入考量因素。由于刑法并没有规定侵犯公民个人信息罪存在过失犯罪的情形,导致过失犯罪造成严重后果的行为难以受到处罚,这就给了以过失为由行故意之实的犯罪空间,将过失犯罪纳入进来既能更加全面地保护个人信息安全,也能够提高人们对于个人信息的重视程度。二是明确量刑标准,制定合理完善的价值认定标准。大数据产业的发展带来的信息交互导致对侵犯公民个人信息的数量和情节存在认定困难,所以对个人信息价值的衡量和侵犯个人信息的损失认定应该通过对互联网企业的调研,综合行业认定标准,从而确定刑法保护范围的标准,以便更好地衡量信息价值和个人损失。三是形成对个人信息价值确认的动态调整。据情况对标准进行适量修正,进而减少因社会发展带来的标准僵化[6]。

刑法对个人信息犯罪定罪标准的模式,在兼顾犯罪后果和主观恶性的同时,一定程度上可以达到对犯罪的确定。但是如何更好地落实到司法实践中,则需要进一步结合行业相关标准去发掘完善它的适应性,制定相应的对比标准,从而使其适用更加契合立法精神和司法实践的要求。

(二)探索行为方式的界定

刑法对这一罪名的行为方式分为泄露和非法获取两种。即泄露行为中的“出售”和“提供”,非法获取行为中的“窃取”和“其他方法”。2017年《解释》第三条和第四条分别对“提供”和“其他方法” 的常见行为进行了规定和列举,但也仅是对司法实践中特定问题的规定,并没有形成一个完善的界定标准。

侵犯个人信息行为的方式界定,不仅是理论中的难点,在实践中亦是问题的高发区。例如模块化犯罪方式下不同阶段参与人员的行为认定为罪或非罪的问题,基于网络实施的关联性犯罪行为的认定方式等问题都具有极其重要的现实意义[7]。同时,针对新出现的通过APP或者小程序的强制隐私授权搜集个人信息以及通过网络技术手段获得他人信息的行为也应该做出进一步规定[8]。值得关注的是,很多侵犯个人信息犯罪,逐渐与诈骗、盗窃等犯罪结合起来,其损害结果更多体现在信息被非法利用之后造成的损失,此种犯罪行为方式的认定则应进行具体分析。

首先,明确特定主体与一般主体的责任,对负有信息管理义务的人员,应当设置严格的信息管理责任。对一般主体的责任则需要根据其职业特性和注意义务判断其行为的可罚性,这也是对过失行为进行处罚的基础。其次,明确过失行为的处罚。针对过失造成个人信息泄露以及其他严重人身伤害和财产损失的行为,应纳入侵犯公民个人信息罪的行为方式中去,过失行为同样会造成客观上的损失。对过失行为的处罚也具有现实意义,不能以过失为由而置被害人的切身利益于不顾。同时将过失犯罪纳入进来也能进一步打击以过失为由行故意侵犯之实,加强对侵犯公民个人信息犯罪的打击。

通过责任确定以及将过失犯罪纳入考量,在处理主体责任基础上,进一步完善对侵犯个人信息的行为认定,并通过这一标准指引信息处理者在处理有关个人信息时规范自身的行为,达到对侵犯个人信息行为的准确打击。

(三)针对性调整保护范围

个人信息在大数据时代的重要性不言而喻,但刑法在保护时也不能一味扩张,而要严守其谦抑性,在适应社会发展和法律完善的基础上有增有减。在这之前首先要对个人信息进行关联性划分,即先根据“可识别性”区分出不同层级的个人信息,在此基础上调整刑法的保护范围[9]。

“一增”是立足当前社会的发展,面向个人信息领域的发展扩充新出现,但又与个人信息安全紧密相关的内容。例如当前被广泛应用于手机和移动支付的指纹、虹膜等生物识别信息以及互联网发展所带来的各种电子网络信息等。大数据的广泛应用提升了个人信息界定的困难性,各种信息之间的边界愈加模糊,使得一部分游走于边界的犯罪行为无法得到惩治,刑法应该采取积极态度应对这些新出现个人信息类型。增加个人信息的保护内容并不是刑法要在个人信息保护问题上走在所有法律的最前面,而是将这些对个人兼具敏感性与重要性的新兴内容纳入保护体系中来,同时引导人们认识到这些内容的重要程度。“一减”则是根据关联性的划分,从刑法的调整范围内剔除已经由其他部门法保护且识别性较低的内容,以控制刑法的打击范围。这既是对刑法谦抑性的贯彻,也是刑法严厉性的体现。有增有减不仅不会对个人信息的保护造成影响,反而能够更加精准地打击涉及个人信息的严重犯罪,从而提高刑法对个人信息的保护力度[10]。

总的来说,刑法对个人信息的保护内容不应该一成不变,要在适应经济社会发展上做到与时俱进,在完善自身的基础上,进一步提高与其他部门法的衔接,从而更好保护公民个人信息。

四、结语

大数据时代带来的不仅是简单的信息量上的增加,更是信息交互的多样性和信息应用方式的改变,以此带来的信息保护与利用的矛盾也日渐突出。在此情况下对个人信息的获取和利用比之前也更为容易。个人信息的保护,在大数据时代具有了更加深刻的意义,刑法对个人信息保护的范围界定是刑法保护的根基,也是刑法与其他部门法衔接配合的关键,这就需要适当调整范围,并以此构建合理完整的认定标准以及进一步探索行为方式的认定。刑法根据现今情形做出适应性改变,更好地保护个人信息的安全,既是刑法在保障法益上的合理应对,亦是刑法自身进步完善的重要内容。在此基础上也能做到与其他部门法分工明确,形成法律之间的合力。

【注释】

① 参见国发〔2015〕50号《国务院关于印发促进大数据发展行动纲要的通知》http://www.scio.gov.cn.html.

② 参见最高人民法院、最高人民检察院2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条。

③ 参见《刑法修正案(五)》第一条。

④ 参见《刑法修正案(七)》第七条。

⑤ 参见刑法第十五条第二款。

⑥ 参见法治网首届中国网络文明大会网络法治论坛http://www.legaldaily.com.cn。