摘要:大数据时代的到来使网络数据的价值日益凸显,但同时也带来了一定的社会问题,其中个人信息安全问题显得尤为重要。在对概念界定的基础上,分析当前我国相关法律对公民个人信息保护的不足之处,并借鉴部分国家的刑事立法对此作出的相应规定,通过比较分析提出完善个人信息刑法保护法律体系、规范现有的侵犯公民个人信息罪、完善个人信息类犯罪的起诉模式、重构个人信息刑法保护的罪名体系等建议,为下一步更好地利用法律保护公民个人信息提供参考。
关键词:大数据时代;个人信息;刑法保护
一、相关概念界定
虽然有学者归纳出了大数据的特点[1],但我国目前并没有“大数据时代”这一概念确切统一的界定。大数据不是指一种新的产品或技术,它只是数字化时代出现的一种现象。当世间万物都能数据化,大数据给社会带来变革将会是根本性的[2]。在此背景下,法律制度的调整和变革在所难免。随着大数据时代的到来,个人信息进一步数据化、获取便捷性提高、经济价值凸显,此外,技术手段的进步也加大了个人信息受到侵害的可能性和严重性[3]。
(一)我国法律、法规对个人信息概念的界定
《中华人民共和国刑法》(以下简称《刑法》)长期以来并未对个人信息这一概念作出比较明确的界定,直到2017年两高的司法解释出台①,给出了个人信息的定义。该定义具有一定的科学性,采用了“识别性+价值性+客观真实性”的综合认定方式[4],明确了具有《刑法》保护价值内容的个人信息。不论是从法益保护的角度来看还是从实践中的操作性来看,都能合理地体现《刑法》所保护公民个人信息的范围,从而提高打击此类犯罪的精准性和高效性,使社会秩序得到保障。
(二)学界对于公民个人信息概念的界定
“公民”“个人信息”这两个概念如何界定,理论界一直存在着一定的争议。《中华人民共和国刑法修正案(九)》(以下简称《刑(九)》)依然沿用“公民”这一前置定语,空白罪状的设置依然不合理[5]。众所周知,中国公民是指具有中华人民共和国国籍的公民。然而,在大数据时代,大量的外国人和无国籍人的个人信息在我国同样会遭受侵害,这就引出这样一个问题:《刑法》条文这样的表述是否表明我国的《刑法》不对这些人群给予保护呢?这显然不符合立法的本意。因此,对于“公民”这一概念可以进行适度的扩张解释,将外国人和无国籍人的个人信息也纳入我国《刑法》保护的范畴[6]。另一方面,虽然在《解释》中对个人信息的概念给予了简单的界定,但目前理论界对于性质特征等方面的争议仍旧不断,其中最突出的主要有以下四种:(1)“关联说”认为“所有与个人相关的信息均属于个人信息的范畴”[7];(2)“隐私说”借鉴美国的做法,将个人信息界定为个人隐私[8];(3)“识别说”认为侵犯公民个人信息罪的侵犯对象必须具备一定的“识别性”,即“能够辨别公民个人身份的信息”[9];(4)“安宁说”采用了“私人生活安宁”的标准,即“行为人不论是利用还是泄露他人的个人信息,只要影响了他人私人生活的安宁,都需要接受《刑法》的制裁”[10]。
二、大数据时代我国《刑法》对公民个人信息保护之不足
(一)前置性法律规范的缺位
根据罪刑法定原则,侵犯公民个人信息罪需要具备“违反国家前置性法律规范”这一构罪条件,才可以对行为人实施法律制裁。令人不解的是,与该罪配套的法律法规却一直没有出台,《中华人民共和国个人信息保护法(草案)》在2005年就已呈报国务院,但由于种种原因,这部保护个人信息的专项立法至今也没有正式施行,导致了对个人信息的保障不完备,目前应当加快“个人信息保护法”的出台。
(二)该罪的行为方式不够全面《刑(九)》仅对出售、提供、窃取以及其他非法
获取的行为方式进行规制过于简单,概括式的表述致使对侵犯个人信息行为的认定存在诸多争议[11]。实践证明,真正导致人身安全和财产安全遭受巨大损失的是信息被泄露或者出卖后衍生出的下游违法犯罪行为。例如“徐玉玉案”中徐玉玉个人信息被盗后,犯罪分子利用其个人信息实施诈骗行为造成了更严重的后果。虽然行为人获取信息后的下游犯罪行为可以被定为诈骗罪、敲诈勒索罪等,但却不能完全规制非法使用个人信息的行为。
(三)该罪起诉模式不合理
纵观各国关于个人信息保护的法律规定,该罪的起诉模式各有不同:在芬兰为自诉方式,只有危害了公共利益,公诉人才能提出指控。英国的《数据保护法》中规定为公诉方式,依法提起诉讼应经注册员或检察长同意。而我国的亲告罪并没有设置侵犯公民个人信息罪,起诉模式单一。(四)罪名体系不完整虽然“非法获取公民个人信息罪”的处罚方式、法定刑参照“出售、非法提供公民个人信息罪”,但仍可以明确区分两者。而《刑(九)》在《中华人民共和国刑法修正案(七)》(以下简称《刑(七)》)的基础上将两罪合并之后,其所包含的还是之前的两种行为方式,除了简化罪名以外,并没有实质性的变化。其他侵犯公民个人信息的行为例如毁坏、泄露、收集之后非法使用等,没有法律的明确规定,就无法认定构成此罪,形成了法律规制的空白。
三、域外公民个人信息相关立法保护对我国的借鉴意义
(一)大陆法系国家关于个人信息保护的规定
1.日本关于个人信息保护的规定日本在刑罚处罚方面的设计具有一定的合理性,对我国的立法工作也有所裨益。其在罚金方面设定了一定的额度,又将主体限制为从事信息处理业的相关职工,环节涉及到从信息收集到利用等多个步骤。其立法模式是对公权力部门和私权利部门分别予以规范,并且详细规定了不同部门收集、适用个人信息的基本规定。日本在个人信息刑罚保护方面结构框架设置的合理性值得我们借鉴和学习[10]。2.德国关于个人信息保护的规定德国的《联邦数据保护法》强调“识别性”,若受保护的个人信息不具备通过信息识别出特定主体的功能,则不属于受保护的范围[10]。另外,德国刑法典将侵犯公民个人信息单独设置成一个章节,囊括了各种罪名的认定及其处罚标准。并且,联邦宪法法院认为,信息的采集这一行为同样会对公民的信息自决权构成侵犯,该行为作为信息处理的上一步程序,亦应受到法律的保护[12]。最后,德国将非法使用、传播等出现较为频繁的几种新行为纳入刑法保护范畴,同时将罪过形式扩大到过失等同样值得我国借鉴。
(二)英美法系国家关于个人信息保护的规定
1.英国关于个人信息保护的规定在英国,《数据保护法》这部法律以间接立法保护的模式,形成了较为完善的个人信息法律保护体系。该法设置了数据保护专员,能够有效管理和监督个人数据的保护。另外,该法从目的、质量等层面对他人收集、使用、利用个人信息进行明确限制,确定了保护对象须具备“可识别性”。2.美国关于个人信息保护的规定美国采取分散立法的模式,有关个人隐私保护方面的规定散见于40多部涉及个人信息保护的法律法规之中。这样的设置方式,优点是保护的内容广泛、涉及法律众多,缺点是没有完整、严密的法律保护体系,实践中容易出现部门规范、判例法之间无法形成良好的协调沟通衔接而导致法律适用问题的窘境。由此可见,建立完善统一的个人信息刑事立法体系十分必要。
四、大数据时代我国公民个人信息刑法保护完善建议
(一)完善个人信息刑法保护法律体系
1.完善《刑法》与前置性法律的衔接我国现行的涉及公民个人信息保护的法律散见于各项法律法规之中,例如《中华人民共和国网络安全法》《中华人民共和国身份证法》《中华人民共和国未成年人保护法》等,这些法律法规之间缺乏统一的体系和规划,无法与《刑法》形成良好的过渡与衔接,导致个人信息保障效果不理想,应尽快完善前置性法律体系,起到足够的衔接作用。2.尽快出台“个人信息保护法”目前理论界之所以对侵犯公民个人信息罪存在的各种问题争议不断,“个人信息保护法”的缺位难辞其咎。我国应该从源头上防患于未然,强化公民的个人信息保护意识。此外,我国对于个人信息的保护也要遵循典型的成文法国家的做法,即通过制定明确的法律来进行规范。
(二)规范现有的侵犯公民个人信息罪
1.明确规定本罪的犯罪对象如前所述,《解释》第一条针对“公民个人信息”进行了定义,并且规定了其包含的范围,在一定程度上解决了本罪犯罪对象认定的问题。但此定义仍然没有做到面面俱到,例如个人的奖惩记录、家庭状况、婚姻状况等信息并没有被明确地列举出来。这些信息该如何界定,还必须依靠法官的自主裁量,因此仍亟须对本罪的犯罪对象作出更为明确的规定。2.增加其他行为方式虽然《解释》第四条已经对该罪的行为方式作出了补充①,但仍可以增设其他侵犯个人信息犯罪的罪名,并且“设置兜底性条款,将可能的行为方式设置为侵犯公民个人信息罪”[13]。可以将现存的罪名划分为“出售公民个人信息罪”“非法获取公民个人信息罪”“非法提供公民个人信息罪”等,最后再设置“兜底条款”,如“其他侵犯公民个人信息的行为,参照上述罪名定罪处罚……”
(三)完善个人信息类犯罪的起诉模式
当前我国侵犯公民个人信息犯罪的提起只能依靠公诉机关以提起公诉方式进行,如此单一的起诉方式无法充分考虑被害人的意见。实际上,与追溯犯罪行为人相比,被害人的隐私似乎是更重要和更值得保护的法益。侵犯个人信息的行为在大数据时代下愈演愈烈,但倘若被害人在其个人信息遭受侵害之后,并不愿意使这一情况为人所知,在这种情况下,国家公权力机关也不应该主动进行追溯。我国可以借鉴芬兰和我国有些地区的做法,增加侵犯个人信息犯罪的起诉模式,将其设置成不纯正亲告罪,形成以自诉为主、公诉为辅的保护模式。
(四)重构个人信息刑法保护的罪名体系
1.设置过失泄露个人信息罪从理论角度来看,该罪在主观要件上显然包含过失,但我国目前设置的个人信息犯罪中的主观要件均为故意,且我国司法实践中将过失侵犯公民个人信息的行为认定为无罪,这种认定方法的合理性值得商榷。当今社会,有许多单位和机构每天都要大量地接触公民个人信息,一旦这些单位和机构的个别人员出现重大过失行为,很可能会造成公民个人信息的大面积泄露,致使犯罪分子有机可乘,给众多公民带来极大损失和严重伤害。因此泄露公民个人信息且未能及时采取有效补救措施而造成严重后果的信息泄露行为,应当受到《刑法》的规制。2.设置非法使用个人信息罪如前所述,真正导致信息所有人利益遭受巨大损害的是犯罪分子实施的下游违法犯罪行为。在实践中,不仅非法获取的个人信息容易被非法使用,合法获取的公民个人信息同样存在被非法使用的情况。因此,设置非法使用个人信息罪来规制此类现象十分有必要。3.设置篡改、损毁个人信息罪不仅是前文提到的“徐玉玉案”,考生因高考信息被篡改而与理想的学府失之交臂的情况时有发生,如“齐玉苓案”“罗彩霞案”等。涉事考生的受教育权遭受了侵犯,但依据刑法罪定原则,《刑法》没有明文规定,就无法对行为人追究刑事责任。大数据时代下,个人网络存储信息行为不断便捷化的同时,其面临的信息被篡改、毁损的风险同样不容小觑,其造成的损害也十分严重。因此,设置此罪同样非常必要。
参考文献:
[1]陶茂丽,王泽成.大数据时代的个人信息保护机制研究[J].情报探索,2016(1):12-19.
[2]马建光,姜巍.大数据的概念、特征及其应用[J].国防科技,2013,34(2):10-15.
[3]李玮.侵犯公民个人信息罪研究[D].武汉:武汉大学,2017.
[4]陈珺.侵犯公民个人信息罪中公民个人信息的认定[D].合肥:安徽财经大学,2017.
[5]薛文龙.侵犯公民个人信息罪司法疑难问题研究[D].上海:上海师范大学,2017.
[6]李燕.论我国个人信息刑法保护之不足与完善[D].烟台:烟台大学,2019.
[7]赵秉志,王东阳.信息时代更应强化人权保障[N].法制日报,2009-03-04(3).
[8]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006:48.
[9]张明楷.刑法学[M].北京:法律出版社,2016:921.
[10]胡胜.侵犯公民个人信息罪的犯罪对象[J].人间司法,2015(7):39-43.
[11]张妍.论我国个人信息刑法保护之不足与完善[D].长春:吉林大学,2017.
[12]拉伦茨.德国民法通论[M].王晓晔,译.北京:法律出版社,2003:113.
[13]杨圣楠.论我国个人信息的刑法保护[D].合肥:安徽财经大学,2017.
作者:董泽宇 单位:中国人民警察大学 研究生院