馬改然
摘? ?要:大數(shù)據(jù)時代個人信息法律保護至關重要。通過對我國個人信息在刑法上的保護進行分析,發(fā)現(xiàn)其面臨著諸多困境。為了更好地保護個人信息,刑法上宜增設非法傳輸、使用公民個人信息罪,同時宜采取舉證責任倒置及公自訴相結合的形式,并且應增設資格刑。
關鍵詞:大數(shù)據(jù);個人信息;刑法保護;出路
中圖分類號: D914? ? ? ? ? 文獻標識碼:A
Abstract: The legal protection of personal information is vitally important in the era of big data. Through the analysis of the protection of personal information in criminal law in China, it is found to face many difficulties. In order to better protect personal information, the crime of illegal transmission and use of citizens' personal information should be added, and the form of shifting burden of proof and the combination of public prosecution and private prosecution should be adopted, and the qualification penalty should be added in the criminal law.
Key words: the big data; personal information; criminal legal protection; solution
1 引言
侵犯公民個人信息的行為由來已久,但由于其在農(nóng)業(yè)社會和工業(yè)社會不具有普遍性,故并沒有引起人們重視。直到大數(shù)據(jù)時代,個人信息重要性驟然凸顯,可以與工業(yè)時代的石油相媲美,相應的對其侵犯也日益增多。為了保護公民個人信息,在民法、行政法這些前置法還沒有反應時,作為保障法的刑法不顧其謙抑性而身先士卒。在2009年《刑法修正案七》中規(guī)定了侵犯公民個人信息的相關罪名,預期能有效遏制侵犯公民個人信息的行為。但“刑法不是萬能的”,不僅沒有有效地遏制侵犯公民個人信息犯罪,反而愈演愈烈。
鑒于此種情況,2015年《刑法修正案九》修改相關法條,制定了“侵犯公民個人信息罪”,并加大了懲罰力度。2017年6月兩高頒布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息解釋》)進一步細化了條文,實質上使得法網(wǎng)更為嚴密,懲罰力度再次加大。如此一來侵犯公民個人信息犯罪愈演愈烈的趨勢是否得到遏制了,答案是否定的。
從官方數(shù)據(jù)來看,2016年全國公安機關偵破侵犯公民個人信息案件1886起,抓獲犯罪嫌疑人4261名[1];而2017年全國公安機關偵破侵犯公民個人信息案件4911起,抓獲犯罪嫌疑人15463名[2]。一年內(nèi)案件增長了2.6倍而犯罪嫌疑人增長了3.6倍,同時2018年全國檢察機關起訴侵犯公民個人信息犯罪5271人,同比上升20.2%[3];這就意味著,“互聯(lián)網(wǎng)時代,個人信息隨著可能被泄露。”
面對這種境況,就需要人們不得不反思,一味地加大處罰為什么效果不佳甚至會起反作用。是立法原則導向有誤,還是具體法條規(guī)定沒有切中要害,又或者法律的一廂情愿只是自娛自樂。 為了解決這一問題,本文首先探究了個人信息刑法保護的困境為何,進而提出破解困境的出路。
2 個人信息刑法保護的困境
雖然早在2009年個人信息就在刑法上得到了保護,而后在2015為了加大保護力度,又對相關條款進行了修改,但有效的保護個人信息立法目的仍然沒有實現(xiàn),究其原因體現(xiàn)在三個方面。
2.1 無法有力遏制竊取公民個人信息行為
雖然刑法規(guī)定了竊取公民個人信息屬于犯罪,并且為了加大懲罰力度,2015年《刑法修正案九》還對該條款進行了修改,把條款中的“情節(jié)嚴重”刪除,使其由情節(jié)犯變?yōu)槌橄笪kU犯,處罰范圍極度擴張。但由于該類案件隱蔽性、技術性較強,故而偵查難度較大,并且傳統(tǒng)的舉證責任方式也加大了偵查難度,所以該類案件犯罪黑數(shù)很高。但該類案件危害性卻特別大,由于這類犯罪是個人信息犯罪的源頭,其他出售、提供、購買、收受、交換等行為,都有賴于它給提供新的個人信息。也就是說,一次竊取所泄露的公民個人信息,通過不斷的買賣、交換等行為,可能會引發(fā)成千上萬件案件的發(fā)生。
2.2 非法收集行為沒有受到實際的規(guī)制
雖然《個人信息解釋》第4條明確規(guī)定“收集公民個人信息的”屬于“其他非法獲取行為”。但就本文收集的案例中,幾乎沒有一例因收集公民個人信息而獲罪。這并不是說司法實踐中沒有非法收集公民個人信息的行為,恰恰相反,在司法實踐中幾乎所有的互聯(lián)網(wǎng)企業(yè)都在收集公民個人信息。雖然有些企業(yè)明示了“隱私條款”,但要求用戶同意獲取個人信息的條款隱藏在眾多的條款中,往往看不到,或者即使看到,這也是霸王條款,用戶要想獲得服務,不得不同意對方收集其個人信息。如果說這些因獲得用戶同意不構成非法收集,那么那些沒有明示隱私條款的應該就屬于非法收集,但這些企業(yè)沒有一個因此受到刑事追究。沒有收集,就沒有泄露。之所以有海量的個人信息進入黑市,就是因為有眾多的企業(yè)搜集了海量的個人信息。
2.3 對單位違反監(jiān)管職責沒有有效的刑罰條款
近些年來,泄露公民個人信息的報道此起彼伏,例如12306信息泄露、攜程信息泄露、網(wǎng)易郵箱信息泄露等,2018年又爆出華住集團旗下包括漢庭、全季、美爵、桔子等酒店1.3億條身份信息、2.4億條開房記錄在暗網(wǎng)中銷售[4]。這些報道出來后,大部分企業(yè)要不保持沉默,要不聲稱是謠傳,即使事后被證明是真的,也沒有企業(yè)因此受到刑事處罰。雖然《刑法修正案九》新增了第286條拒不履行信息網(wǎng)絡安全管理義務罪,但該罪入罪門檻較高,它要求要有監(jiān)管部門的前置程序,要求改正仍不改正造成嚴重后果的才構成犯罪。
根據(jù)前述,我國目前統(tǒng)一的監(jiān)管部門不存在,不同領域的主管部門的監(jiān)管職責,也不明確甚至沒有規(guī)定,導致事前很難做出責令改正的決定。沒有這個前置條件,單位即使沒有盡到管理義務而導致公民個人信息泄露也不構成該罪。
所以,導致眾多單位尤其是規(guī)模以上的單位有恃無恐,進而也沒有外部壓力要求其采取有力措施保護其持有的公民個人信息,例如2017年全國人大常委會開展網(wǎng)絡安全執(zhí)法檢查后所做的執(zhí)法報告中提到,有的互聯(lián)網(wǎng)公司和公共服務部門存儲了大量個人信息,但安防技術嚴重滯后,容易被不法分子竊取[5]。故很多單位被黑客采取撞庫、拖庫等攻擊手段竊取海量公民個人信息從而流入黑市。
3 個人信息刑法保護之出路
作為法律甚或國家的最后一道防線,刑法本應處于謙隱的地位,但在個人信息保護方面卻反其道而行之,在很長一段時間內(nèi)扮演了急先鋒的角色。在許多民眾都還不知“個人信息”為何物的時候,在民法、行政法對其還處于討論階段時,刑法就規(guī)定了個人信息犯罪。在大多民眾遭受個人信息犯罪侵擾,進而導致財產(chǎn)損失或付出生命代價的時候,為了安撫民眾的憤怒情緒,刑法再次對個人信息犯罪做了重大修改,擴大犯罪圈,加大懲罰力度。但一切的努力換來的卻是犯罪率持續(xù)走高,預防犯罪的目的終成鏡花水月,立法的實效毫無體現(xiàn)。其原因何在,是象征性立法,又或者法益的確立出現(xiàn)偏差,危害行為類型有遺漏,還是刑事責任無力,本文認為這些因素都存在。
3.1 法益的確立
在大數(shù)據(jù)時代,由于個人信息性質的新穎性以及法律屬性的復雜性,個人信息犯罪的法益,截止到目前為止,仍然是謎一樣的存在,吸引著諸多學者對其進行探討。早期,個人信息犯罪的法益多是從人格權角度來論證,例如隱私權說,認為個人信息犯罪的法益是公民的隱私權[6];而后隨著個人信息權在不同部門法的興起,有學者認為個人信息權[7]或信息專有權[8]是個人信息犯罪的法益;同時,鑒于個人信息的個體性和公共性,有學者認為個人信息犯罪的法益是公共信息安全[9]。
當前,隱私權說呈沒落的趨勢,而個人信息權和公共信息安全尤其是公共信息安全支持者在上升。考慮個人信息犯罪的法益,不能忽略時代背景。在大數(shù)據(jù)時代,人們已經(jīng)身處信息社會,作為信息社會的首要要素—個人信息,對其既要保護也要利用,所以個人信息保護和利用的平衡是一個理想的狀態(tài)。而單一的個人信息權對個人信息保護有余而利用不足,而公共信息安全則對個人信息保護不足而利用有余,故可以對個人信息進行分類后根據(jù)不同類型的個人信息采取不同的法益。具體思路是把個人信息分為一般個人信息和敏感個人信息。一般個人信息側重于利用,而敏感個人信息側重于保護。
3.2 個人信息犯罪行為類型的規(guī)制
當前,雖然有《刑法修正案九》和《個人信息解釋》對侵犯個人信息權行為的規(guī)制,但是《刑法修正案九》及相關司法解釋針對個人信息犯罪的行為類型規(guī)制有缺陷,包括規(guī)制行為類型有遺漏、已規(guī)定的行為類型無法發(fā)揮實效。所以,應在上述法益理念的支配下,對個人信息犯罪的行為類型進行全面、有效的規(guī)制。
3.2.1 收集環(huán)節(jié)
此環(huán)節(jié)分為合法收集和非法收集,合法收集自然不會進入刑法視野。根據(jù)刑法規(guī)定,“竊取或者以其他方法非法獲取公民個人信息的”都屬于非法收集。竊取個人信息毫無疑問屬于非法收集,關鍵是“以其他方法非法獲取”中的“其他方法”如何解釋。根據(jù)《個人信息解釋》第4條的規(guī)定,違犯國家有關規(guī)定,購買、收受、交換和收集都屬于“其他方法”。本文并不贊同這種解釋。因為首先該解釋違反了體系解釋,根據(jù)體系解釋,“其他方法”應該與“竊取”具有相當性,但 “購買、收受、交換、收集”等這些中性詞,顯然無法與竊取相提并論;其次,由于沒有前置法,雖然該解釋有“違反國家有關規(guī)定”的限制,但是在司法實踐中,只要沒有信息主體的明示同意,“購買、收受”等行為都被認定為犯罪,這明顯地阻礙了個人信息的利用,進而影響信息社會的發(fā)展。
故本文建議,針對一般個人信息,在免費模式下,即使沒有信息主體的同意,也應該允許“購買、收受、交換和收集”,上述行為不構成犯罪;而針對敏感信息,則必須在信息主體明示同意的情況下才可以收集,否則即使是中性行為也構成犯罪。
3.2.2 處理環(huán)節(jié)
在此環(huán)節(jié),我國對侵犯個人信息的行為類型有遺漏。第一,針對個人信息,收集都應有特定的目的,如果在收集后進行超目的的使用,則應需對其進行刑事規(guī)制;第二,對于收集的個人信息,信息持有的個人或單位負有保障信息正確、安全的義務,如果沒有采取審慎的措施,導致個人信息被扭曲或泄露,應負擔刑事責任,尤其是面對目前愈演愈烈的個人信息泄露事件。由于拒不履行信息網(wǎng)絡安全管理義務罪有行政前置程序,導致事實上根本無法發(fā)揮實效,故應規(guī)定過失泄露個人信息這一行為類型來懲治信息保有單位或個人。
3.2.3 交易環(huán)節(jié)
在此環(huán)節(jié),我國刑法規(guī)定了非法交易的行為類型,即禁止違反國家有關規(guī)定,出售或提供公民個人信息。其實,《個人信息解釋》中對“其他方法”解釋為“購買、收受、交換”這三種行為,也可以理解為“交易”。本文在此持同意的觀點,即不能一刀切地禁止交易。針對一般個人信息,在免費模式下,即使沒有信息主體的授權也可以進行交易,而針對敏感個人信息,則必須取得信息主體的明確授權才可以交易。在此環(huán)節(jié),我國刑法還遺漏了一行為類型,即跨國傳輸個人信息。個人信息除了與個人利益有關外,還直接影響到國家的信息安全,故針對個人信息如果沒有相關部門的審批不得跨國傳輸,否則會損害國家利益。
3.2.4 應用環(huán)節(jié)
在此環(huán)節(jié),個人信息被非法使用是否應受刑事處罰,目前有兩種截然相反的觀點。有學者認為,鑒于使用行為的危害性應將其入罪[10];有學者認為,侵犯公民個人信息罪其實采取的是“外圍規(guī)制”,故沒有必要將使用行為入罪[11]。本文認為個人信息必定和賣淫、毒品不同,采取外圍規(guī)制無法有效規(guī)制侵犯個人信息,故應增設非法使用公民個人信息罪這一行為類型。