大數據背景下公民個人信息保護的刑法完善

趙寶玉

(中國人民公安大學 法學院,北京 100038)

大數據背景下公民個人信息保護的刑法完善

趙寶玉

(中國人民公安大學 法學院,北京 100038)

我國保護公民個人信息的刑法規(guī)范體系的構建應當以歐盟個人信息保護模式為樣板，在相關法律中確立公民的個人信息權，同時豐富我國現行刑法中相關罪狀的內容。還應當對侵犯公民個人信息之“侵犯”行為方式加以深入研究，使個人信息類犯罪的風險具體化。應當嚴格規(guī)范信息持有者的刑事責任，進而從源頭上遏制住侵犯個人信息犯罪的發(fā)生。

大數據；個人信息；刑法；完善

互聯網4.0時代的到來，最大的受益者當屬公民。網購、網約車、共享單車、O2O服務、P2P網絡借貸等一系列依托互聯網的新興產業(yè)正逐步改變我們的生活方式。公民在享受網絡服務便利性的同時產生了相互關聯的大量數據，這些數據被各有關單位搜集。大數據帶來的價值體現在社會的各個層面，當前對大數據的討論和相關技術變革也都是從“價值層面”展開。數據價值與傳統法律保護對象的本質性差別、數據法益的價值衡量困難、大數據技術相關犯罪對法益侵害結果的相對間接性都對傳統刑法制度提出了新的時代挑戰(zhàn)[1]。從“徐玉玉案”到P2P網貸行業(yè)借貸寶的裸條借貸10G泄露，從京東12G用戶信息泄露再到近期爆出的“個人信息數據產業(yè)鏈”無不深刻映射了個人信息范式保護模式變革的必要性和緊迫性。2015年《刑法修正案九》將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪合并為侵犯公民個人信息罪，并將該罪的犯罪主體由特殊主體擴大為一般主體，2017年5月最高人民法院、最高人民檢察院發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息司法解釋》)適當豐富了個人信息的內涵，明確了個人信息犯罪的定罪和量刑標準。然而，有關公民個人信息泄露的事件仍然層出不窮，刑法似乎并未遏制住公民個人信息泄露之“瘋”?？v觀當前我國公民個人信息法律保護體系可知，其整體上尚處于分散立法保護狀態(tài)。在《公民個人信息保護法》缺位，公民個人信息遭受侵害的“應然”法律保護層面和法律 “實然” 保護不足之間出現鴻溝的情形下探討公民個人信息刑法保護的完善路徑并對刑法保護的相關措施予以理性構建，必將助益當下我國打擊侵犯公民個人信息犯罪之現實需求。

一、個人信息概念的理性界定

(一)大數據背景下個人網絡數據與個人信息的界限日趨模糊

在大數據背景下，每個公民都將或多或少的被裹挾進數據這個虛擬世界之中。個人零散的網絡碎片信息經過大數據的技術手段：“識別”①和“重新識別”②之后，將以極高的精確度挖掘出帶有身份屬性、行為屬性的個人信息。因此應當將公民個人信息的界定建立在技術手段基礎之上。伴隨著移動終端4G網絡的推廣、網上購物的日常化、移動支付的常態(tài)化，越來越多的“個人基本信息”“個人軌跡信息”“個人終端信息”將通過互聯網實現數據化，在龐大的數據庫容量、廣泛的數據分享和多種類數據庫的深度融合之下，個人被“識別”出來，并不困難[2]。大數據之所以展現出強勁的發(fā)展趨勢就在于其簡易、迅捷的識別功能，任何人一旦與網絡“結緣”，其匿名防線即可能被突破。美國數據隱私專家指出，即使沒有傳統意義上的姓名、年齡等顯性個人信息，僅需性別、生日、郵編三個網絡個人數據就能對全美87%的人口實現“人肉搜索”。由此可見，個人信息與個人網絡數據已深度融合，二者之間的動態(tài)關系也趨于模糊不清。

(二)靜態(tài)層面：個人信息內涵

毫無疑問，刑法將侵犯公民個人信息的行為入罪，其保護的法益為公民的個人信息自主權，但對“個人信息”這一概念的內涵和外延并未通過刑事法律或者相關司法解釋加以明確。理論界有關“個人信息”概念的探討也從未停止過，但均從靜態(tài)層面對其加以定義，也即對個人信息的內涵在一定范圍內予以限縮，對個人信息界定實行“可識別”和“不可識別”的兩極化路徑，筆者認為這種定義太過死板，與大數據背景下個人數據與個人信息深度融合的動態(tài)變化識別模式大相徑庭。有關“個人信息”概念的靜態(tài)化定義大體上有以下幾種代表性觀點：

1.廣義說。主張此種觀點的學者認為，以人為本源產生的一切信息都應當涵括在個人信息范疇內。還有學者認為，在侵犯公民個人信息罪中，應將所有的個人信息作為該罪的客體[3]，其從信息實質層面對個人信息加以界定，而不再考慮其來源的特殊性。

2.身份證明說。主張此種觀點的學者認為個人信息限于能夠通過與個人關聯并對個人身份加以識別的那部分信息?！皞€人信息是指個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨或與其他信息對照可以識別的特定個人信息”[4]。

3.隱私權說。主張此觀點的學者指出，侵犯公民個人信息的犯罪放置在刑法分則第四章中表明該罪保護的法益為公民的隱私權。“并非所有個人信息都是刑法的調整對象，只有個人信息中體現著個人隱私的那一部分信息才屬于刑法保護的范圍?！盵5]

4.價值意義說。該說將與公民相關的個人信息分為有價值的信息和其他一般信息，只有對公民或者信息收集者來說該信息具有價值其才屬于“公民個人信息”。趙秉志教授指出個人信息首先應當為個人專屬所有6其次個人信息應當包括個人的人格權、財產權、尊嚴和人身安全[6]。

上述代表性觀點中，廣義說雖然有助于對個人信息加以全方位的保護，但其外延過廣，導致實踐中對個人信息的界定沒有一個具體的標準。身份證明說、隱私權說、價值意義說均有以偏概全之嫌，只是每種學說的側重點不一。例如，對于身份識別說而言，對于那些無法識別個人身份但對于個體來說確有重要價值的信息，比如個人支付密碼，則無法實現對相關信息的保護，與侵犯公民個人信息犯罪的立法目的相悖。對于隱私權說而言，由上文可知，在大數據“識別”技術的支持下，任何匿名網絡數據都可能直接關聯到具體個人，無限擴張的個人信息將使個人隱私保護體系瓦解?！拔覀兊奈锢韺嶓w(physical body)被籠罩在日益全面的數據實體(data body)中，這所引發(fā)是諸多問題訴諸空泛的隱私權是無法予以解決的?！盵7]對于重要價值說而言，何為“價值”，“價值”的判斷標準如何等都對公民個人信息的保護提出挑戰(zhàn)。

(三)跨越收集層面和利用層面的個人信息內涵新界定

在數據犯罪日益猖獗，個人網絡數據與個人信息深度融合的大背景下，仍側重于從個人信息的收集層面對個人信息予以簡單而空洞的解讀恐怕無法面對日益復雜多變的數據信息鏈犯罪。2013年2月施行的《信息安全技術公共及商用服務信息系統個人信息保護指南》著眼于信息收集階段，其關注的焦點集中在個人信息的實質內容上，這種限定模式使個人信息內涵走向靜態(tài)化、單薄化。而大數據背景下個人信息實質內容的外延似乎一直在不斷擴大?！秱€人信息司法解釋》第一條對“公民個人信息”的概念做了闡釋，即個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人情況的各種信息。從《個人信息司法解釋》對“公民個人信息”概念的界定可以看出，司法機關擴大了個人信息的涵射范圍，其中“以電子或者其他方式記錄的”可以理解為從收集層面對個人信息內涵的闡釋，“能夠單獨或者與其他信息結合識別特定自然人身份或者反映自然人情況”可以理解為從利用層面擴大了個人信息的外延。

此次司法解釋將信息的利用階段納入個人信息內涵的考量過程中，說明單純從信息收集層面界定個人信息已不足以應對日益高發(fā)的個人信息產業(yè)鏈犯罪，隨著數據行業(yè)的專業(yè)化和產業(yè)化，建立在大數據基礎上的信息利用或許將成為侵犯公民個人信息的主要方式，信息產業(yè)的利益重心將由信息收集階段轉移至信息利用階段。個人信息的利用階段包括利用目的和利用信息產生的結果。利用目的是指如果數據的“識別”是用來或可能用來評價個人或者將對個人產生影響，那么這些被“識別”的數據就與個人相關聯，應當納入個人信息范疇。利用信息產生的結果是指個人數據對個人物理實體產生的影響。將個人信息由單一的、靜態(tài)的平面信息擴大為由目的到手段再到結果的三層動態(tài)的空間信息才能使公民個人信息的概念更加“充盈”，進而更好地滿足大數據背景下刑事法律回應數據犯罪的現實需求。

二、公民個人信息刑法保護規(guī)范體系的發(fā)展及現有保護模式的完善

(一)以保護個人信息為核心的刑法規(guī)范體系已初現雛形

2015年《刑法修正案九》將刑法253條之一確立了侵犯公民個人信息罪，該罪名與其他間接保護公民個人信息的罪名共同形成了個人信息犯罪罪名體系，且該罪名在個人信息犯罪罪名體系中居于核心地位。該罪名的確立具有兩方面的意義。一是在風險型社會背景下，從打擊網絡犯罪的縱向層面來看，刑法有限度地將刑罰介入的階段前置化，合理地實現了刑法的預防功能。其目的在于減少因個人信息泄露而引發(fā)的大量電信詐騙類犯罪發(fā)生的概率，切斷因個人信息不法利用而產生的犯罪鏈。二是個人信息這一理論性概念直接出現在刑法罪名之中，表明了法律保護個人信息的緊迫性和必要性，必將倒逼《個人信息保護法》的出臺。

(二)公民個人信息保護模式的完善——基于歐盟個人數據保護模式的思考

1.歐盟個人數據保護路徑。歐盟對個人信息的保護著眼于信息本身，確立了一個基礎性的權利，將與個人相關的網絡數據即個人信息權作為一項基本人權加以保護?！皞€人對與其關聯密切的數據和信息擁有對數據和信息本身的保密、支配權利，這已經成為歐盟法律框架下一項新興的基本人權?！盵8]歐盟對個人信息的保護模式是在參考隱私權保護模式的基礎之上構建起來的，但個人信息權和隱私權是兩個完全分離的概念。信息權強調自治，信息主體有權決定將信息交某人利用，有權對信息做必要的審查和對錯誤信息做以更正。

2.現階段我國個人信息刑法保護模式。與上文有關個人信息的靜態(tài)內涵相對應，我國公民個人信息的刑法保護模式主要有兩種，即財產權模式和身份、隱私權模式。我國對個人信息的保護并未從信息主體的權利本身出發(fā)，而是將其依附于其他權利作為保護進路。筆者認為，應該從以下兩方面對個人信息保護模式予以完善。一是個人信息權的理性構建。隱私權、財產權、人格權為民法中公民個人的基本權利，信息權作為大數據背景下的“新生”權利還只處在理論探索層面，并未在任何相關法律中出現過。目前我國刑法將個人對信息的控制權類比為隱私權、人格權或者財產權加以保護，對個人信息采取主觀靜態(tài)或者動產化保護思路，導致刑法在個人信息權利救濟上無統一法益標準。這似乎與刑法設置侵犯公民個人信息罪這一罪名的初衷相違背。刑法對個人信息的保護是為了防止個人信息泄露或者個人信息被濫用，其保護的法益為信息安全。信息安全的核心是確保個人信息處于安全可控的狀態(tài)，即個人對信息的自主控制權。[9]公民對信息的自主控制權無法訴諸單一靜態(tài)的隱私權、財產權或者人格權予以保護，其不能處于含糊不清的籠統地位，而應當確立獨立的信息權作為公民的一項基本權利。針對大數據對于刑法的時代沖擊[10]，筆者認為，信息權合法化的時機已經成熟。首先需要在民法典中將信息權確立為一項公民的基本權利。2016年6月27日，十二屆全國人大常委會第二十一次會議上，人大法工委主任李適時做了《關于<中華人民共和國民法總則(草案)>的說明》，明確了民法典編篡的時間表。信息權合法化地位亟需確立的大背景下，恰逢民法典編篡，將個人信息權列為與生命權、健康權同等地位的個人基本權利，能化解大數據時代公民個人信息泄露訴求無門的司法尷尬，為公民個人信息權利的正當化訴求提供合理出路。其次，需要完善我國《個人信息保護法》的相關內容，并加快該法的貫徹實施。德國1790頒布了世界上第一部個人信息保護法《資料保護法》，歐盟的《個人數據保護指令》、德國的《聯邦數據保護法》、法國的《國內數據保護法令》都對公民個人信息的范圍予以詳細界定并規(guī)定了具體的權利的救濟措施。相比之下，由于尚未出臺一部統一的《個人信息保護法》，導致我國在個人信息立法保護方面具有先天的缺陷。筆者認為，應當將個人信息權作為《個人信息保護法》貫徹實施的權利基礎，圍繞個人信息權構建一部兼具信息權地位、信息權行使、信息權救濟的完整《個人信息保護法》。二是對“經過處理無法識別特定個人且不能復原”這一豁免規(guī)則予以細化。2017年6月1日起施行的《個人信息司法解釋》第3條第2款規(guī)定：“未經被收集者同意，將合法收集的公民個人信息向他人非法提供的，屬于刑法第二百五十三條之一規(guī)定的‘提供公民個人信息’，但是經過處理無法識別特定個人且不能復原的除外?！?017年5月9日，最高人民法院、最高人民檢察院召開的新聞發(fā)布會上，最高人民法院研究室主任顏茂昆在回答如何權衡個人信息保護與大數據發(fā)展之間的關系的問題時，將向他人提供 “經過處理無法識別特定個人且不能復原的”信息的行為排除在向他人非法提供公民個人信息之外，為大數據交易主體提供了類似“安全港”的豁免規(guī)則。

“經過處理無法識別特定個人且不能復原的”，這一表述在司法實踐中具體運用時往往要求司法人員具備相關的數據技術知識，司法工作人員相關知識的欠缺，極易導致該規(guī)定的認定及適用模糊，進而無法追究數據主體的刑事責任。應當對經過處理無法識別特定個人及不能復原這兩個認定因素予以細化。具體而言，無法識別特定個人的數據應當是在大數據技術的支持下，將處理過的數據經過大數據一定算法而無法再關聯到個人，為了保障公民個人信息的安全，大數據應當濾掉個人關聯，經過一定算法提取集體性特征[11]；不能復原是指通過大數據技術處理過的相關個人數據徹底無法還原，徹底剔除了個人關聯，如果僅僅是為了逃避法律追究而通過技術手段對個人數據進行處理，又通過一定算法提取了個人關聯的數據不能將其定義為不能復原的數據。

三、我國刑法中侵犯公民個人信息行為方式的完善——以作為和不作為兩種侵犯方式為研究路徑

(一)豐富侵犯公民個人信息罪之“侵犯”行為方式

我國在刑法分則中直接規(guī)定了侵犯個人信息罪，表明了立法者對個人信息保護的重視，但該罪名罪狀存在嚴重的瑕疵，導致個人信息犯罪的行為的方式認定缺乏規(guī)范化和具體化的統一標準，為司法工作人員適用該罪名留足了臆想空間。 “在對實質的公民個人信息法益進行規(guī)范化的過程中，需要準確而精致的界定行為?！盵12]然而該罪名中列舉的侵犯公民個人信息的行為方式太過單薄，僅包括 “向他人出售”“提供”“竊取”“以其他方法非法獲取”，這四種帶有片面性、模糊性的行為方式似乎無法滿足個人信息和個人數據深度融合大背景下構建打擊數據犯罪刑罰大廈的現實需要。導致刑法在適用過程中對于游走于侵犯個人信息犯罪邊緣的違法行為的規(guī)制陷入尷尬境地，嚴重影響了刑法的嚴厲性和穩(wěn)定性。筆者認為應當從多個角度對“侵犯“的行為方式加以豐富，具體而言可以從個人信息支配控制權、個人信息的處理程序、適用目的、準許、使用、數據的歸納整合、錯誤的數據作為義務這幾個方面，使個人信息犯罪的風險具體化。具體行為方式可以設定為以下幾種：對無權支配的個人信息的收集；處理；依托大數據平臺整合個人信息；調取或者幫助他人收集、整合個人信息；捏造虛假事實騙取他人提供個人信息；違反數據使用協議，將收集的個人信息投放到廣告、市場調查中用來盈利的；信息持有者不及時、不全面、不正確的履行作為義務。

(二)內部數據利用層面：加強信息持有者的不作為責任認定

個人信息濫用很大一部分來自于信息持有者內部。在剛剛過去的2016年，我們似乎一直都在信息泄露的陰云籠罩下度過，幾乎每個月都有信息泄露的大事件發(fā)生，影響比較大的幾個事件為：誠信人壽客戶信息泄露事件；新型安全漏洞“水牢漏洞“導致的我國數十家網站個人用戶信息泄露；山東濟南20萬精確到家庭門牌號的兒童信息被打包出售；湖南某銀行支行行長販賣賬號導致257萬條公民銀行個人信息泄露；京東電商平臺的12G數據包在網絡上流傳。[13]

筆者認為，可以將個人信息濫用的模式歸結為四類：一是運營者對其經營過程中收集的用戶個人信息，在安全管理上不作為；二是運營者買賣其所掌握的個人信息獲取非法利益，形成隱蔽的地下犯罪鏈條；三是運營者對其所收集的個人信息進行整合，歸結具有價值的個人信息進行定制推銷；四是經營者利用收集的個人信息進行其他犯罪活動。由此可將信息持有者濫用個人信息的行為分為兩個階段，即信息的收集階段和信息的利用、處理、濫用階段。這兩個階段，由于潛藏著巨大信息安全風險，因此應當賦予此時的信息持有者保障信息安全的責任和義務。

首先個人信息被經營者采集之后，個人對其信息基本上失去了“自主權”，對信息的控制力較弱，而經營者對信息的使用則無任何障礙，且犯罪成本較低，如果對經營者的適用界限不加限制，面對巨大的利益誘惑，其極易走向犯罪之路。其次，信息持有者的不作為責任極易引發(fā)大量的下游犯罪。2016年震驚全國的“徐玉玉案”即是典型的例證。表面上看信息泄露侵犯的是公民個人的信息控制權，但信息買入方往往帶有詐騙、侮辱、敲詐勒索等不法目的。因此應當從源頭上遏制住信息泄露，強化信息持有者之責任。最后，信息持有者濫用個人信息的行為不單單損壞的是公民個人信息所有權。“與個人用戶存在信任的公司或其他單位，在履行職務或者提供服務過程中濫用數據侵犯個人信息隱私，除了一般的數據犯罪危害之外，還有背信之主觀惡性，因此應當重點予以打擊?！盵14]

四、結語

在信息時代，應當將個人信息納入公民權利的范疇予以保護，2017年3月15日發(fā)布的《中華人民共和國民法總則》(以下簡稱“民法總則”)在宏觀層面為個人信息的獲得方式劃分出了合法和非法的界限。對于個人信息權這一新生權利的保護，應當以民法總則為基礎，以行政法、刑法為支撐，通過公民個人信息的專門立法實現民、行、刑的有效銜接。其中，在個人信息的刑法保護層面，應當把握以下幾點：第一，結合《個人信息司法解釋》，探索侵犯公民個人信息罪的合理入罪機制，進一步擴大刑法保護個人信息的范圍。第二，將自然人和法人囊括在與個人信息相關的罪名主體范圍內，將故意與過失、作為與不作為、實行行為與幫助行為作為行為人刑事責任考量因素。第三，尋求個人信息保護與個人信息合理利用的法理邊界，既要考慮到個人信息對于科學研究、統計活動的重要意義，也應當為法律禁止和制裁信息濫用留下足夠空間。[15]

注釋：

①識別，又稱模式識別，是20世紀60年代以來在信號處理、人工智能、控制論、計算機技術學等學科基礎上發(fā)展起來的新型學科，以其速度快、準確性高、效率高等顯著特點，對大數據處理方面有其獨特的優(yōu)勢。

②重新識別建立在去匿名化技術之上，去匿名化是指一種數據挖掘策略，其中的匿名數據和其他數據來源相互對照來重新識別匿名的數據來源。

[1][10][12]于志剛，李源粒.大數據時代數據犯罪的類型化與制裁思路 [J].政治與法律，2016，(9).

[2][7][8][9][14]李源粒.網絡數據安全和公民個人信息保護的刑法完善[J].中國政法大學學報，2015，(4)：64-78.

[3]潘度文.如何認定侵犯公民個人信息犯罪[J].人民檢察，2012，16.

[4]周漢華.中華人民共和國個人信息保護法(專家建議稿)及立法研究報告[M].北京：法律出版社，2006.

[5]蔡軍.侵犯個人信息犯罪立法的理性分析——兼論對該罪立法的反思與展望[J].現代法學，2010，(07)：108.

[6]趙秉志.公民個人信息刑法保護研究.[J].華東政法大學學報，2014，(1)：117—127.

[11]李懷勝.公民個人信息的刑法保護思路[J].中國信息安全，2017，(1)，104.

[13]2016年我國信息泄露大事件盤點.[EB/OL].http//news.idcquan.com/anquan/105883.shtml.

[15]王淵，劉傳稿.在個人信息合法保護和合理利用之間尋求平衡[N].檢查日報，2017-03-29.

(責任編輯：杜婕)

The Humble Opinion on the Criminal Law Perfection For Personal Information Protection under the Background Of Big Data

ZHAO Bao-yu

( Chinese People's Public Security University, Beijing 100038, China )

The construction of our country's personal information criminal law should take the personal information protection model of the European Union as a model, establish the citizen's right of personal information in the relevant law, and enrich the content of relevant criminal counts in our country's current criminal law. It is also necessary to conduct in-depth research on the "violation" of the personal information crime, and to make the risk of personal information crime specific.We should also strictly regulate the criminal liability of information holders, and then curb the invasion of personal information crime from the source.

big data; personal information; criminal Law; perfection

2017-05-23

趙寶玉(1990-)，男，河南周口人，碩士研究生，主要從事刑法學研究。

D924.34

A

1008-7605(2017)04-0087-05