個人信息泄露風(fēng)險的源頭控制機(jī)制研究

韋思琦 江 雪

南京審計大學(xué)，江蘇 南京 211815

隨著大數(shù)據(jù)時代的到來，個人信息的商業(yè)價值被極大地發(fā)掘，針對公民個人信息的侵害手段層出不窮，犯罪案件日益興起。個人信息的保護(hù)也面臨著更多的挑戰(zhàn)與風(fēng)險。大學(xué)生由于缺乏自我保護(hù)意識，往往成為容易受害的群體，對大學(xué)生個人信息進(jìn)行有效的保護(hù)顯得日益重要。

一、國內(nèi)外關(guān)于個人信息保護(hù)的立法現(xiàn)狀

(一)我國立法現(xiàn)狀

我國關(guān)于公民個人信息的保護(hù)散見于民法總則、侵權(quán)責(zé)任法、刑法中，迄今為止沒有一部統(tǒng)一的個人信息保護(hù)法。

到2009年，《刑法修正案(七)》中增設(shè)了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩種侵犯公民個人信息的犯罪，將公民個人信息置于刑法的保護(hù)中。具體表述為第1款：“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金?！钡?款：“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的依照前款的規(guī)定處罰?！钡?款：“單位犯該罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！闭\然，這體現(xiàn)了我國立法機(jī)關(guān)對公民個人信息予以保護(hù)的立法精神，敘明罪狀的立法模式增強了司法實踐過程中的可操作性，但是有待進(jìn)一步完善。

《中華人民共和國刑法修正案(九)》針對此條的缺陷予以修訂，修訂的內(nèi)容主要是將本罪主體由特殊主體修改為一般主體，并規(guī)定對特殊主體要從重處罰。相比《刑法修正案(七)》擴(kuò)大了犯罪主體，其次對特殊主體(履行職責(zé)或者提供服務(wù))加重處罰。但是某些司法認(rèn)定問題仍然具有爭議。“非法”指獲取公民信息的手段或者行為非法，還是獲取公民個人信息的主體沒有獲取資格？公民個人信息的具體內(nèi)涵是什么？情節(jié)嚴(yán)重是否包括給他人造成危害結(jié)果？

種種大學(xué)生因個人信息泄露被騙的案件層出不窮，造成惡劣的社會影響。《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下文簡稱“兩高司法解釋”)也隨之出臺。在這次的司法解釋中，明確了公民個人信息的概念以及情節(jié)嚴(yán)重和情節(jié)特別嚴(yán)重的情形種類，但是這只能解決司法實踐中的認(rèn)定方面的問題，并不能有效的對公民個人信息予以事前控制。并且侵犯公民個人信息罪的成立以違反國家規(guī)定為前提，國家規(guī)定包括全國人大及其常委會制定的法律、國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施和發(fā)布的行政命令。因此侵犯公民個人信息的犯罪行為具備行政違法的法律性質(zhì)，應(yīng)當(dāng)在受到刑事處罰的同時承擔(dān)行政違法責(zé)任。但是目前我國并沒有統(tǒng)一、完備的行政法律制裁體系與刑事制裁相銜接，公民難以提起行政訴訟獲取救濟(jì)。若對信息泄露的源頭予以控制和規(guī)范，可以有效地規(guī)范信息傳遞的過程并減少不法分子使用個人信息借此牟利的情形出現(xiàn)。

(二)國外立法現(xiàn)狀

隨著經(jīng)濟(jì)全球化的發(fā)展，各國聯(lián)系日益加強，縱觀世界各國，個人信息泄露問題在國際社會的影響也越來越惡劣。、美國、歐盟、日本等發(fā)達(dá)國家或地區(qū)在個人信息保護(hù)在立法方面更加成熟和完善，值得為我國所借鑒。

美國形成了由憲法、制定法、普通法組成的結(jié)構(gòu)清晰、層次分明的個人信息保護(hù)法體系。更為重要的是，美國已建立了完善的個人信息數(shù)據(jù)庫。美國政府了解公民信息的渠道分為兩類：一類是美國的各級政府從DMV(機(jī)動車輛處)那里獲得公民信息；另一類是居民的社會保障記錄，這是由于在美國，所有的合法居民都有社會保障卡，社會保障卡與美國人的生活息息相關(guān)，就業(yè)、領(lǐng)工資、交稅以及領(lǐng)取社會保障等等都要通過社會保障卡實現(xiàn)。

與美國強調(diào)個人信息的事后救濟(jì)不同，歐盟更注重事先控制，著力于制定統(tǒng)一的個人信息保護(hù)法，1995年，歐盟頒布了《關(guān)于個人信息處理保護(hù)及個人信息自由傳輸?shù)闹噶睢罚渲幸髿W盟各成員國均需要且至少設(shè)立一個個人信息保護(hù)的主管機(jī)構(gòu)，在有效保護(hù)個人信息安全的同時也加重了各成員國的運行成本。為此2016年歐盟開始實行創(chuàng)新式的一站式管理，集中管理。設(shè)立領(lǐng)導(dǎo)機(jī)構(gòu)(主要營業(yè)地)和相關(guān)機(jī)構(gòu)(非主要營業(yè)地)共同管理的規(guī)則，大大的縮減了各國的開支，實際效果目前沒有定論。

二、個人信息泄露的源頭分析

“兩高司法解釋”明確了公民個人信息的概念，根據(jù)該司法解釋，公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?，F(xiàn)代社會，個人信息更多的體現(xiàn)出商業(yè)化的色彩，生活中會經(jīng)常性的接到推銷房地產(chǎn)，辦理貸款等等電話，往往會令我們疑惑，我的個人信息怎么會被他人所知？換言之，他人是否有資格獲取個人信息？

(一)公民個人信息泄露源頭之一：信息申請人

通常來講，有權(quán)獲取個人信息的主體是得到個人授權(quán)或經(jīng)個人同意的。

參考德國《聯(lián)邦個人信息保護(hù)法》第29條，符合兩個條件，個人征信機(jī)構(gòu)始得向申請人傳遞其所掌握的其他個人的信用信息。第一，申請人必須證明自己對于知曉該他人的信用信息，具有“值得保護(hù)的合法利益”。第二，在擬傳遞的信用信息上，當(dāng)事人沒有值得法律保護(hù)的利益。

顯然，這兩個條件之間存在利益沖突。必須證明傳遞信息所追求的利益大于當(dāng)事人反對信息傳遞所追求的利益。何為值得保護(hù)的法益？何為不值得保護(hù)的法益？必須根據(jù)個案加以衡量。而這往往會導(dǎo)致司法實踐過程中同案不同判的出現(xiàn)，行為人無法對自己的行為做出預(yù)期判斷，增大了不確定性。因此，不妨從以下兩個方面予以明確有權(quán)獲取公民個人信息主體的資格。

首先，申請人只有在特定情形下才可以掌握到個人信息，這些特定情形具有共通之處：申請人承擔(dān)比被申請人更大的風(fēng)險。在金融領(lǐng)域，辦理住房按揭貸款時須向銀行提供一系列的材料。涉及身份證明、收入證明、征信報告是否單身等等信息，此時若信息主體拒絕提供基本信息，銀行就會面臨壞賬的風(fēng)險，長期以往，經(jīng)濟(jì)將陷入無序的狀態(tài)。

其次，申請獲得他人個人信息必須得到被申請人(個人信息主體)的同意。當(dāng)事人在國家公權(quán)力以及單位、機(jī)構(gòu)面前處于弱勢的地位。若忽視被申請人的意思表示，其合法權(quán)益得不到有效的保障。掌握個人信息的主體必須充分尊重被申請人的意愿，不得以任何方式脅迫信息主體同意。同意必須明示作出，不得以沉默、不作為等默示方式推定為同意。

事實上，在經(jīng)濟(jì)活動中，消費者是不得不同意。大量格式合同存在著“授權(quán)傳遞個人信息”的條款，對這種條款的同意往往是合同成立的前提，若一味地拒絕也不利于參與經(jīng)濟(jì)活動，獲取經(jīng)濟(jì)活動的機(jī)會將會因此大大削減。在這種情況下，當(dāng)事人已經(jīng)無法保證個人信息的隱秘性。為此須明確政府、行政機(jī)關(guān)及其他獲取個人信息的主體對個人信息保護(hù)的職責(zé)及義務(wù)保障個人信息的安全。

(二)公民個人信息泄露源頭之二：信息管理者

我國關(guān)于知情權(quán)和同意權(quán)(選擇權(quán))的概念首次出現(xiàn)在1993年10月31日頒布的《消費者權(quán)益保護(hù)法》中?！案嬷x務(wù)”是指擁有知情權(quán)的主體要求相對主體履行與之相關(guān)的告知的義務(wù)，這種告知義務(wù)可以是約定的，也可能是法定的。這里所指的履行“告知義務(wù)”的主體主要為公民個人信息管理者。

“知情同意”是指行為人在社會行為中特別是民事行為中，要求對對方信息的了解和知悉程度應(yīng)與對方對自己的了解和知悉相對稱，并在此基礎(chǔ)上選擇是否同意對方行為的權(quán)利。個人信息知情權(quán)，即信息主體有被告知其個人信息被收集處理及控制的權(quán)利。有權(quán)知道他人收集了哪些信息，信息的內(nèi)容是什么，以及這些信息的用途。

1.公民個人信息管理者的通知義務(wù)

經(jīng)申請人請求后，掌握個人信息的機(jī)關(guān)、單位和社會團(tuán)體等有義務(wù)將傳遞信息的種類、申請人的身份等必要的信息通知當(dāng)事人，除非當(dāng)事人明知上述信息。通知不限于書面形式。若違反此項義務(wù)將承擔(dān)行政法意義上的不利后果。若給當(dāng)事人造成損失，依據(jù)《侵權(quán)責(zé)任法》判斷是否應(yīng)承擔(dān)侵權(quán)責(zé)任。因違反此項義務(wù)構(gòu)成情節(jié)嚴(yán)重甚至特別嚴(yán)重的情形，參照刑法規(guī)定侵犯公民個人信息罪中單位犯罪的處罰，對掌握個人信息的機(jī)構(gòu)、單位和社會團(tuán)體等直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員定罪處罰，并對未履行通知義務(wù)的機(jī)構(gòu)、單位和社會團(tuán)體判處罰金。貫徹公民的知情權(quán)的實際落實。

2.公民個人信息管理者的豁免權(quán)

當(dāng)然，對個人信息的傳遞予以嚴(yán)格控制不利于信息的自由流動，無可置疑信息的自由流動會為社會帶來巨大的利益，但在信息自由流動的同時，隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，個人信息易被收集，若是對這種行為認(rèn)定犯罪行為，必然不利于信息的傳播。為此需要建立針對侵犯個人信息的豁免制度，在限定情形下，對掌握個人信息的主體侵犯個人信息的行為予以免除法律責(zé)任的權(quán)利。“特定情形”的解釋不宜隨意擴(kuò)大，應(yīng)限制在為了公共利益及其他特定的事由中。有以下對公民個人信息管理者予以免責(zé)的特定情形：

(1)信息主體事先同意個人信息被傳遞的，事后以侵犯個人信息權(quán)為由主張獲取救濟(jì)的，不予支持。

(2)為了國家安全或者社會利益，需要使用或者提供個人信息的，免除掌握信息主體的責(zé)任。

為了保護(hù)國家安全或者維護(hù)社會利益，在我國的刑事訴訟領(lǐng)域，立案后，對于危害國家安全案件犯罪、恐怖活動犯罪、黑社會性質(zhì)的組織犯罪、重大毒品犯罪或者其他嚴(yán)重危害社會的犯罪案件，根據(jù)偵查犯罪的需要，經(jīng)過嚴(yán)格的批準(zhǔn)手續(xù)，可以采取技術(shù)偵查措施(電話偵聽、秘密跟蹤、秘密搜查等等手段)。當(dāng)然技術(shù)偵查措施要遵循嚴(yán)格的法定主義原則，只有在刑事案件立案之后才能適用。而且，該項措施只在確有必要的的情況下采用，為了更好的規(guī)范偵查技術(shù)措施的使用，還需要進(jìn)行嚴(yán)格的審批手續(xù)。這一手段對迅速查清犯罪事實，發(fā)揮刑事訴訟懲罰犯罪的功能具有極為重要的意義。

(3)信息主體實施不法行為，損害了利害關(guān)系人的合法權(quán)益，此時主管機(jī)關(guān)可以根據(jù)利害關(guān)系人的申請?zhí)峁┻m當(dāng)?shù)男畔⒅黧w的相關(guān)信息借此維護(hù)利害關(guān)系人的權(quán)益。

三、完善公民個人信息源頭控制的建議

(一)設(shè)置當(dāng)事人自助查詢的程序

我國目前的《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》第15條規(guī)定：“征信服務(wù)中心可以根據(jù)個人申請有償提供其本人信用報告?！薄翱梢浴币辉~并不足以說明個人信用中心負(fù)有提供信用信息的義務(wù)。甚至可以拒絕提供。實踐中，政府部門及行政機(jī)關(guān)拒絕提供個人信息查詢的現(xiàn)象屢見不鮮。并且我國國家機(jī)關(guān)或者電信、交通、教育、醫(yī)療等單位在設(shè)置當(dāng)事人自助查詢程序方面仍然有所欠缺。這種情況下，毋庸置疑信息主體的權(quán)益得不到保障。為此，針對這一情況不妨建立統(tǒng)一的信息查詢體系供信息主體查詢，加大力度建立統(tǒng)一個人信息數(shù)據(jù)庫，以保證數(shù)據(jù)的準(zhǔn)確性與一致性。這樣不僅能提高行政效率，降低行政成本，同時也能體現(xiàn)在新時代下政府職能由管理職能向服務(wù)職能的轉(zhuǎn)變，加快由管制型政府向服務(wù)型政府的轉(zhuǎn)變進(jìn)程，提升公共服務(wù)水平。保障了信息主體對其個人信息擁有全面的知情權(quán)。

(二)建立健全針對個人信息管理者的監(jiān)督機(jī)制

1.內(nèi)部自主監(jiān)督

一般來說，行政系統(tǒng)內(nèi)部監(jiān)督對其自身的行政違法和不當(dāng)行為發(fā)覺最快，具有靈活性、及時性、直接性的特征。從自身角度來說，在行政機(jī)關(guān)內(nèi)設(shè)置專門監(jiān)督機(jī)關(guān)實施的法律監(jiān)督。對其所屬各職能部門、主管機(jī)關(guān)、隸屬機(jī)關(guān)的行為進(jìn)行監(jiān)督。與此同時，完善內(nèi)部監(jiān)督體系，明確監(jiān)督主體與被監(jiān)督主體的權(quán)利與義務(wù)。行政機(jī)關(guān)對自身的監(jiān)督權(quán)力包括：對行政權(quán)力違法運用結(jié)果的撤銷權(quán)或變更權(quán)、對違法違紀(jì)公務(wù)人員的行政處分以及其他人事處理權(quán)、專門的行政監(jiān)察、審計權(quán)等。

2.外部獨立監(jiān)督

在我國，對于行政機(jī)關(guān)的外部監(jiān)督主要是我國的權(quán)力機(jī)關(guān)對其予以監(jiān)督。但權(quán)力機(jī)關(guān)對行政主體的監(jiān)督存在滯后性，不能及時有效的對其進(jìn)行監(jiān)督。只有獨立的監(jiān)督機(jī)關(guān)才能真正做到技術(shù)同步，達(dá)到良好的監(jiān)督效果。不妨建立專門針對個人信息管理者的高水平專業(yè)化的獨立監(jiān)督機(jī)構(gòu)，并且賦予其權(quán)力，使其有權(quán)對泄露公民個人信息的相關(guān)個人信息管理者進(jìn)行處罰。

3.對主要責(zé)任人或單位終生追責(zé)制度的建立

有權(quán)必有責(zé)，個人信息管理者在有權(quán)力對公民個人信息進(jìn)行管理的同時，必須承擔(dān)相應(yīng)的責(zé)任，一旦泄露，終生追責(zé)。為了體現(xiàn)終生追責(zé)制度的強制性，迫切需要將其寫入相關(guān)法律法規(guī)，以法律的形式將其固定下來，明確規(guī)定追責(zé)的情形，如：將為謀求個人利益，將公民個人信息對外出售。

四、總結(jié)

通過對各國關(guān)于個人信息保護(hù)問題的研究發(fā)現(xiàn)，國外對個人信息的保護(hù)從國家根本法憲法的層面，到制定法、普通法的規(guī)定，再到專門的、針對性的個人信息保護(hù)法的出臺，形成一套完善的個人信息保護(hù)體系。反觀我國，關(guān)于個人信息的保護(hù)，從立法層面上沒有出臺統(tǒng)一的個人信息保護(hù)法，對個人信息缺乏有效統(tǒng)一的保護(hù)。因此，從我國的國情出發(fā)，盡快出臺統(tǒng)一的個人信息保護(hù)法，明確個人信息的范圍、政府對個人信息保護(hù)的職責(zé)和義務(wù)以及行政機(jī)關(guān)收集、使用管理的職責(zé)和義務(wù)，形成以預(yù)防為主，救濟(jì)為輔的法律體系。并設(shè)置專門的機(jī)構(gòu)負(fù)責(zé)、監(jiān)督及保護(hù)個人信息的使用，完善個人信息保護(hù)的救濟(jì)程序。與此同時，也要加強公民的自我保護(hù)意識，運用法律的武器維護(hù)自身的合法權(quán)益。

[1]趙秉志.公民個人信息刑法保護(hù)研究[J].華東政法大學(xué)學(xué)報，2014-01-20.

[2]趙秉志.公民個人信息刑法保護(hù)研究[J].華東政法大學(xué)學(xué)報，2014-01-20.

[3]張瑩.個人信息保護(hù)行政監(jiān)督機(jī)制研究[D].長春理工大學(xué)，2008.

[4]隱私權(quán)保護(hù)與個人信息保護(hù)法[M].北京：法律出版社，2016：110.

[5]服務(wù)型政府構(gòu)建中的行政人格塑造[D].河北師范大學(xué)，2016.

[6]朱維究，王成棟.一般行政法原理[M].北京：高等教育出版社，2005：452.

[7]琳琳.論環(huán)境行政不作為的行政監(jiān)督制度[D].中國政法大學(xué)，2013.

[8]陳珺珺.我國行政法治精神及完善研究[D].華東師范大學(xué)，2013.

[9]陸宇池.論國家權(quán)力機(jī)關(guān)對行政主體的監(jiān)督路徑[J].理論觀察，2016，122(8)：1.

[10]張瑩.個人信息保護(hù)行政監(jiān)督機(jī)制研究[D].長春理工大學(xué)，2008.