公民个人信息保护的刑法扩展路径及策略转变
时间:2021-02-01 22:15:54 来源:达达文档网 本文已影响 人
摘要:刑法对公民个人信息犯罪,经历了立法层面的间接保护到直接保护的模式转变,以及司法层面的个案探索与规范解释的交替进行的演变轨迹。其基本思路是规制场景的单一化与公民个人信息内涵的扩张。但这种类比隐私权的保护模式已不适应数据开放共享的时代要求以及信息不当滥用的泛化趋势,技术进步也使可识别性标准面临虚化危机。应当在侵犯公民个人信息罪的行为类型构造、规范射程等多方面进行调整,将犯罪的规制链条向全场景延伸。并引入优越利益原则,将其作为社会公共事件等紧急事态下个人信息开放的正当化免责机制。
关键词:公民个人信息;开放共享;自主控制;利益平衡
中图分类号:D922.7 文献标志码:A 文章编号:1001-862X(2020)03-0114-009
一、问题的提出
在信息化时代,海量的电子化数据每天不断在网上生成、存储、转移与被利用,数据的规模呈几何指数增长。据国际信息技术咨询企业国际数据公司(IDC)的报告,2020年全球数据存储量将达到44ZB,到2030年将达到2500ZB。[1]同时,得益于数据处理技术的进步,各类集合性数据、结构化数据和非结构化数据,成为商业机构追捧的热点。“个人数据是新型石油,也是21世纪最具价值的石油。”[2]数据管理不但是企业竞争力的核心指标之一,对提升国家社会治理和公共服务能力也有直接的价值和意义。在2020年的“新冠肺炎”疫情期间,一些互联网公司运用自己的数据分析能力,在传染人员筛查、传播路径跟踪、疫情发展模型、风险预警等方面为政府决策提供了大量数据支撑,为控制疫情作出了突出贡献。与此同时,疫情期间发生了大量的侵犯公民个人信息的行为也给我们提出了一个尖锐的话题:在发生国家重大突发公共事件或者其他紧急事态时,如何实现社会利益与个人利益的平衡?
如果抛开重大公共事件这样特殊的历史时期,而转入常态化视角,我们依然会发现,对公民个人信息的侵犯不但在数量与规模上呈现激增态势,伴随着技术场景的多元化,侵犯公民个人信息的行為样态上也出现明显的复杂化趋势。除了电话营销、精准诈骗这类传统的滋扰与侵害行为,如针对个人的数据画像、价格歧视、深度伪造、强制推送等等层出不穷,大有要将个人信息附着的最后一点油水榨干吃净的意味。近年来,民法、刑法、行政法等领域出台了各类保护公民个人信息的法律规范,意图形成部门间合力,但是至少在刑法领域,不但没有遏制住传统的信息不法流转型的犯罪行为,对于更新型的信息滥用型的犯罪更是束手无策。
公民个人信息刑法保护的现实困境不仅来自于罪刑规范的缺陷与不足,更深层次的原因在于大数据时代下刑法规制个人信息犯罪的基本立场和价值取向是什么?基于个人信息对数字经济、政务辅助决策的巨大作用,个人信息不再是排他性权利的承载者,而是一种特定公开、多元共享的可识别的信息形式。在保障个人信息中的个体人格利益的同时,又要给社会以信息利用的充分空间,实现社会公共利益与个体利益的平衡。
二、公民个人信息保护的刑法轨迹演变
整体来看,刑法对公民个人信息的保护策略或许可以满足传统互联网时代的规制需求,但是与人工智能、大数据时代需求相去甚远。
(一)立法层面:从间接保护到直接保护的模式转换
自1997年刑法以来,刑法对公民个人信息的保护,在保护模式上经历了从间接保护到直接保护的转变,在保护范围上经历了从单一内容保护到多元复合保护的转变。刑法保护策略的转变,是与公民个人信息法益内容的不断更新密不可分的。
1.1997年刑法:基于“身份盗窃”的个人信息间接保护模式
1997年刑法对公民个人信息的保护是一种基于身份盗窃的间接保护模式。“所谓身份盗窃,是指利用窃取他人身份所实施的危害他人人身、财产安全的行为。”[3]例如冒用他人身份上大学等。1997年刑法涉及身份盗窃的规定有第196条信用卡诈骗罪中的“冒用他人的信用卡的”,这显然侵犯了他人对个体信息的专属使用权。此外还包括刑法第224条合同诈骗罪中的“冒用他人名义签订合同的”等情形。不过,1997年刑法相关罪名在法益类型和具体对象上都有各自指向性,并非对个体法益的专属保护,更不是专门保护个人信息,个人信息附着于物理介质上,刑法实际保护的是信息载体而非信息本身。身份盗窃是公民个人信息的间接保护模式,而1997年刑法对身份盗窃也是一种间接保护思路,其时公民个人信息还处于非常边缘化的境地。
2.《刑法修正案(五)》:从信用卡犯罪切入的直接保护模式
2005年《刑法修正案(五)》增设的刑法第177条之一妨害信用卡管理罪和窃取、收买、非法提供信用卡信息罪,表明在信用卡犯罪体系中,基本实现了对身份信息犯罪的独立规制。立法将信用卡犯罪的早期链条从信用卡犯罪中独立出去,“体现了从财产利益保护到信用工具制度保护再到卡身份信息的保护过程”[4]。也就是说,仅仅是侵犯他人信用卡信息资料的,就可以独立构罪,而不再依赖于下游的信用卡犯罪。两个罪的立法价值在于:立法开始重视个人信息的独立保护价值,这是直接保护模式的开端。
3.《刑法修正案(七)》和《刑法修正案(九)》:专门处罚条款的正式确立与完善
随着智能互联网时代的到来,数据的价值得到充分认可,社会商业主体对他人信息有着旺盛的需求,信息犯罪的危害已经由过去的某个点(信用卡信息)向整个面(全方位的个人信息)铺开,另外,信息犯罪也开始脱离身份盗窃,向身份盗窃的上游演进,因而有必要确立关于侵犯公民个人信息的专门处罚条款或罪名。《刑法修正案(七)》第7条增设了刑法第253条之一的出售、非法提供公民个人信息罪与非法获取公民个人信息罪。《刑法修正案(九)》将两个罪进行合并,扩充了犯罪主体,整合为侵犯公民个人信息罪,形成了目前的罪刑格局。
(二)司法层面:个案探索与规范解释的交替进行
行为类型的构造是由刑事立法实现的,但是“公民个人信息”的内涵探索,则是由司法完成的,2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的出台标志着上述探索的阶段化成果。
1.刑法司法解释:“身份认证信息”的确认
2011年“两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》引入了“身份认证信息”的概念,该解释第11条“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等。该司法解释虽然针对的是非法获取计算机信息系统数据、非法控制计算机信息系统罪等,但是由于身份认证信息是可以达到个人信息的“身份可识别性”标准的,它无形中扩展了“公民个人信息”的内涵。
2.刑法个案解释:“推定身份信息”的引入
司法实践对“公民个人信息”的外延也进行了积极探索。以《刑事审判参考》“谢某出售公民个人信息案”(1)和“胡某等非法获取公民个人信息案”(2)为例。在“谢某出售公民个人信息案”中,法院认为一旦公民的方位被他人知悉,相当于公民的活动就暴露在他人面前,因而公民所处位置就具有隐私性,对公民手机进行定位属于侵犯公民隐私的行为。[5]法院基于信息的隐私属性而将其认定为公民个人信息,体现了早期司法机关对公民个人信息属性的认识。而在“胡某等非法获取公民个人信息案”中,法院认为,“被告人获取的被害人的日常行动轨迹和活动地点等信息,具有个人专属性,能反映出该公民某些个人特征,且信息内容关系到公民日常生活的基本安全性,信息的泄露会使公民彻底失去安全感,严重影响其日常生活。”[6]法院的裁判理由不再止步于信息的隐私性,而是从安全性和个人专属性的角度出发论证个人信息保护的价值,是司法机关对个人信息价值认识的进一步深化。
手机定位信息和位置信息与公民其他信息相加,可以达到识别自然人个人身份的程度,属于“推定身份信息”,可以被纳入到公民个人信息的范畴中。司法个案的思维逻辑,在于承认推定身份信息作为公民个人信息范畴的价值。结合刑法典的规定,从1997年刑法修改至今,刑法中先后出现了“信用卡信息”“个人信息”“身份信息”“身份认证信息”“推定身份信息”“公民个人信息”等概念,刑法对公民个人信息内涵的认识不断丰富。
(三)公民个人信息保护的刑法轨迹的基本逻辑
从1997年刑法至今,刑法坚持了两条腿走路的公民个人信息保护的演变路径。一条路径是,在行为类型构造上,将侵犯公民个人信息的行为限定在不法流转这种单一场景中,无论是窃取、收买、非法提供信用卡信息还是出售、提供公民个人信息,立法高度关注个人对信息的自主可控性。尽管刑事立法从未涉及公民个人信息的权利性质之争,但是其和隐私权强调隐私的可控性、私密性,以及防范隐私不当转移的保护逻辑是内在相通的。这种逻辑在网络发展初期没有任何问题,但是已不适应大数据时代有序流转信息、充分利用信息、相对可控信息的要求了。特别是随着信息主体与信息控制者的分离,要求严格限制信息流转的做法不但在理论上不可行,在实践中也已经破产。例如,云计算平台的开放性、动态性,个人信息存储的泛云端化特性,已经完美绕开了侵犯公民个人信息罪的“侵犯行为”。
公民个人信息刑法保护的第二条路径是,通过扩展公民个人信息的范畴来扩大本罪的保护半径。公民个人信息当仁不让地成为整个刑法保护体系的关键词,并吸引了刑事司法的绝大多数精力。刑事司法对公民个人信息犯罪的打击,也主要聚焦于对公民个人信息的筛选和识别上,即对公民个人信息的“可识别性”的判断上。本质上这仍然是基于点的扩张,而非保护链条的拉长。并且,随着物联网和智能穿戴设备的普及,对个人信息的搜集将更加高效和频繁,预示着公民个人信息犯罪的危害性量级依然有较大的提升空间。借助大数据挖掘技术,多重来源的、碎片化的数据更易被拼接为完整的人体图像,不同属性和来源的数据更易被关联与聚合。数据开放和共享的场景下,诸如对个人的价格歧视、深度伪造等新的个人信息滥用场景不断涌现,已无法兼容现有的个人信息犯罪。
三、公民个人信息刑法保护的规范错位与规制之失
侵犯公民个人信息罪的法益保护立场依然是传统的隐私权保护路径,尽管理论上试图通过法益自决权、信息自决权、独立信息权利等概念调适本罪与数据开放时代的共享需求之间的矛盾,但任何理论的诠释都无法绕开基础罪刑规范的制约。侵犯公民个人信息罪的两个演变路径目前都受到现实的极大挑战。
(一)防范流转型的犯罪模式无法适应数据滥用的犯罪场景
“《网络安全法》确立的公民个人信息违法类型模式有五种,分别是非法收集、非法使用、非法出售、非法提供和非法获取,然而侵犯公民个人信息罪的行为模式只有三种:非法出售、非法提供和非法获取。”[7]侵犯公民个人信息罪只打击信息流转环节,對信息滥用则缺乏必要的关注,因此它是防范流转型的犯罪模式。数据的价值在于流动,数据是数字经济的基本燃料,为了抢占数据经济的产业高峰,世界各国高度重视数据开放共享工作。我国在2015年9月就发布了《促进大数据发展行动纲要》,提出“加快政府数据开放共享,推动资源整合,提升治理能力”。跨层级、跨地域、跨系统、跨部门的数据开放已成为大数据时代的发展导向。在新冠肺炎疫情期间,一些地方政府在本地大数据平台持续发布疫情统计数据,包括确诊病例的大致居住地域、活动轨迹等,这些颗粒度饱满的数据集不但满足了公众的知情权利,也让互联网公司据此开发了众多疫情查询、防范的小程序,实现了政府、产业界与社会公众的多方共赢。不过,开门迎客免不了混进来几只苍蝇,在信息巨大价值的诱惑下,公民个人信息的不法流转依然猖獗,而信息不当滥用行为更是大有“青出于蓝”的势头。
1.过度授权、强制授权等完美绕开了信息流转的知情同意原则。侵犯公民个人信息罪规定了“违反国家有关规定”的构成要件要素,国家有关规定是本罪的违法性根据。[8]这也决定了本罪作为法定犯的定位。依照《网络安全法》第41条的规定,公民个人信息的流转遵循“知情同意”原则,这也是包括欧盟《通用数据保护条例》(GDPR)在内的许多国家关于公民个人信息流转的共同规范。个人信息流转的另一个合法性依据是国家的强制性规定,例如《刑事诉讼法》第108条规定:“任何单位和个人发现有犯罪事实或者犯罪嫌疑人,有权利也有义务向公安机关、人民检察院或者人民法院报案或者举报。”但是在实践中,“知情同意”原则逐步走入虚置甚至名存实亡。随处可见的APP过度索权和过度读取用户信息,用户面临着“用隐私换便利”或者不接受服务的两难选择。大型网络服务商在采集个人信息时可能会使用弹性条款和概括性授权的方式,用户在垄断性网络服务面前的可选择权非常有限。[9]
2.在现代信息场景下,滥用个人信息已不必然以非法获取他人信息为前置条件。例如,深度伪造是依托人工智能发展起来的一项新技术,行为本质是对个人生物识别信息的滥用。合适的算法加上充足的个人生物识别信息,就能完美创造出以假乱真的视频和声音来。而网络上也从来不缺乏公众人物的各类视频和图像信息的。在“张富等人侵犯公民个人信息案”中,张富等人从网络下载近2000万条公民个人信息,利用软件将公民头像制作成公民3D头像,通过支付宝人脸识别认证,再利用上述公民个人信息注册支付宝账户,从而获得相应的红包奖励。(3)法院或许认为虚假注册账户的行为不好评价,而认定张富等人构成侵犯公民个人信息罪,但是实际上,张富等人掌握的公民个人信息是从网上公开获得,并非侵犯公民个人信息罪的“侵犯行为”,其行为的不法性在于滥用这些信息。
3.不当滥用行为对公民个人信息的侵害不亚于非法流转。在“可识别性”的共同特质下,公民个人信息内部也有不同样态的划分。身份证号码、家庭住址等信息具有高度的人身依附性,其产生由法律授予或者自然产生,而对于个人生活轨迹、购物习惯数据等,个人只是信息的参与创造者,在法理上不具有对这类数据的独占权。欧盟虽然创造了可遗忘权、可携带权等概念,试图在信息的多元化利用中平衡个体的利益,但是此举又给网络运营者增加了沉重的合规成本。海量的数据集合犹如一个巨大的金矿,如果没有法律的约束,很难遏制住企业不当滥用信息的冲动。例如,堂而皇之地对个人进行数据画像,搞价格歧视等,还美其名曰是正常营销行为。实际上,这种信息的不当滥用还是很初级的阶段。在美国,一款名为“按使用保险”(UBI)的大数据汽车保险正在迅速抢占市场。它的原理在于将用户的驾驶数据引入风险评估模型,包括用户的里程数、车况、周边环境、急刹车次数、治安环境、是否开车接打电话等等所有可能想到的数据,然后据此给车主进行保险定价。一些人要么忍受极高的保费,要么不投保,这不仅给交通安全造成隐患,也架空了保险制度的功能,唯一得利的就是保险商。[10]
单纯的信息非法流转并不会直接侵害个人法益,而后续的不当滥用则将前端的非法流转的不法性现实化,通过惩治不法流转来遏制不当滥用,或可实现法律的规范目的,但是,随着强制授权、过度授权以及合法获取、不当利用现象的增多,制裁不法流转已经丧失了对不当利用的制约功能,独立惩治不当滥用的必要性显著升高。
(二)“公民个人信息”关键词的展开及困境
公民个人信息是刑法保护体系的关键词,在刑法对侵犯公民个人信息罪的行为类型构造相对固化之后,刑法司法解释期冀扩张公民个人信息的概念来强化对公民个人信息的保护,只是,在现代信息技术条件下这种做法同样困境重重。
1.公民个人信息的内涵:技术对可识别性标准的冲击
现代信息技术促进了数据价值的增长,却也让每个社会个体都可以被“数字化”,进入到信息技术包裹的巨大监控之网中,戴维·布林所描述的“透明社会”越来越趋近于现实,而非仅仅停留在幻想中。个人信息的保护需求,源自技术进步带来的对信息价值的认可,但是技术却也在不断消解个人信息保护的定型规范的内核,使个人信息保护的规范目的越来越难以实现。《网络安全法》确立的公民个人信息的直接识别和间接识别的标准被《解释》所继承(4),但是在现代信息技术的冲击下,这两个识别标准都面临着巨大的危机。
首先看直接识别。识别的本意,是区分和辨认,通过识别,信息和个人之间建立直接的通道,进而两者的形象完全等同和融合起来。因此识别还具有信息的筛选甄别功能,即将不具有识别性的信息从公民个人信息的范畴中排除出去。这样做的意义,一方面强化对个人信息自决权以及背后所代表的个人的价值与人格尊严的保护,另一方面,则是为社会充分运用非个人信息的数据提供了法律空间,这部分数据,尽管也受到其他法律的约束,但是其保护的强度毕竟显著弱于公民个人信息。然而,随着数据挖掘包括人工智能深度学习技术的进步,原先不具有识别性的数据可能也具有了识别性。例如,地铁、十字路口抓拍的个人面部图像,原来只有治安的监控功能和治安、刑事案件的证据法意义,而现在则基本实现了由场景监控到人的监控的转变。但身份可识别信息(identifiable)与身份不可识别信息(non-identifiable)之间的界限已经越来越模糊[11],技术进步对法律的挑战日趋明显。
其次看间接识别。数据开放的先决条件是数据脱敏,即去除信息的可识别性,经过处理后的数据无法被指引到特定的个人。2018年5月1日起实施的《信息安全技术个人信息安全规范》将其具体又分为去标识化和匿名化。《解释》第3条将“经过处理无法识别特定个人且不能复原的”信息作為侵犯个人信息罪的出罪条件,为大数据的合理利用留下了合法空间。但是,在大数据环境下,任何所谓的“脱敏”“匿名”都是相对的。表面上已经去除了可识别性的信息经过大数据的挖掘尤其是与其他信息对比之后,依然可以重新建立对个人的数据画像。在所谓的“去识别”(de-identification)之后,通过一定的手段,特别是依赖公开来源信息,数据挖掘者可以实现“再识别”(re-identification)。[12]例如,美国在线曾经将用户搜索信息删除用户名称和用户地址后附加上唯一数字编码发布,记者通过这些数据却识别出了部分用户。[13]当然,对于再识别的个人信息也不是没有应对的方案,技术上的应对措施是要求对数据进行深度脱敏,彻底匿名化,不过这样做的代价可能是数据没有利用的价值;法律上的应对法案是再次获得用户的同意许可,不过这样做恐怕更加不现实。
即使是原本不属于公民个人信息的数据,也可能基于多个不同来源数据的组合、匹配与碰撞,而重新生成新的公民个人信息。在此情况下,还要不要获得个人的同意授权就成为疑问,且不说法律操作的可行性,这类数据不是直接从公民个人处获得,而是企业再加工和创造的产品,凝结了企业的智力与经济投入,个人的同意授权就不再具有天然的正当性。此外,企业对个人数据画像的合法性范围未必有明晰的认识,而很可能陷入无意识地侵权甚至犯罪中。公民个人信息的识别性越来越具有场景的相对性,技术不断进步带来的识别性难题与定型规范之间的撕裂迟早将公民个人信息的法律保护(包括刑法保护)推入这样的境地:个人信息的范围不可遏制地蔓延,并由此带来刑法规制范围的扩张,但是扩张肯定是有限度的,结果可能也像黑洞一样:在吞噬了周边的一切星体和物质后,最终走向自身的塌陷。
2.公民个人信息的外延:刑法与《网络安全法》的规制错位
我国目前关于公民个人信息保护的法律体系虽然不够系统且略显凌乱,但是其法律规范的数量却蔚为大观,《网络安全法》《民法总则》《消费者权益保护法》《电子商务法》等均有关于公民个人信息保护的规定。由于侵犯公民个人信息罪规定了“违反国家有关规定”的构成要件要素,上述民法和行政法律就成为侵犯公民个人信息罪的违法性根据。[8]这也决定了侵犯公民个人信息罪的法定犯的底色。不同于以保護人的自然情感和社会共同的伦理道德为目的的自然犯,法定犯是基于行政监管需要而设定的犯罪,它惩罚的是对行政义务的违反行为。对法定犯的处罚也是对其违反义务行为的矫正,不带有过多的伦理和道德非难因素。尽管自加罗法洛提出自然犯与法定犯的概念后,法定犯的概念得到了刑法学界的认可,且一百多年来法定犯在世界各国刑法典中均处于强势扩张状态。然而,刑法的最终目的是维护良善与有尊严的人类生活,保障公权力不过度和肆意侵入公民个人的空间。法定犯虽然为了保护行政秩序的有效运转,防范和处置违反行政义务的行为,具有立法上的正当性和必要性。但是,基于人权保障的客观需求,作为法定犯上位法依据的行政法律规范,对法定犯不但具有违法性的解释功能,还具有立法的指导功能和处罚范围的限缩功能。然而,由于刑法中的公民个人信息概念与《网络安全法》等行政法律中的规定并不一致,已违背法定犯的立法初衷。
我国界定公民个人信息的行政法律,主要有2012年全国人大常委会通过的《关于加强网络信息保护的决定》(以下简称《决定》)和《网络安全法》。《决定》第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”可以看出,《决定》采取了“识别性”+“隐私”的双标准模式界定公民个人信息(法条表述是“公民个人电子信息”),体现出我国早期立法尚未完全明了个人信息与个人隐私信息的各自内涵,因而较为保守地将识别性和隐私性共同作为公民个人信息的标准。《决定》作为我国首部规定公民个人信息的专门性法律,其立法的前期探索意义值得肯定。《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”该定义较之《决定》的进步意义在于:不再将个人信息局限于电子化方式,以任何形式记录的个人信息均是法律保护的对象;其次,不再强调公民个人信息的隐私性,而是采用了单一的识别性标准;再次,将识别性标准由狭义扩展到广义,识别性包括直接识别和间接识别。
《解释》的颁布时间正值《网络安全法》生效前夕,但是《解释》显然没有打算对《网络安全法》“照搬照抄”,而是基于自身独立的规范目的和惩处犯罪需求设立了独立的“公民个人信息”的界定模式。《解释》第1条认可了《网络安全法》的广义可识别性标准,但是同时又附加了“活动情况”信息。再结合《解释》第5条的规定,所谓的“活动情况”信息其实是一旦泄露可能影响人身、财产安全的各类信息,包括“行踪轨迹”、“财产状况”、“账号密码”等,如果说“行踪轨迹”还好理解,将“财产状况”和“账号密码”也纳入到公民个人信息范畴中就令人费解了。司法者从打击犯罪的目的出发,基于相关信息被他人滥用造成的后续的严重社会危害性而借助于公民个人信息犯罪实现前端的处置,却忽视了可识别性对公民个人的框定功能,造成处罚范围的不当扩大。
四、关于公民个人信息刑法保护的策略转换
在《解释》出台之前,刑事司法领域还有一个司法解释性文件对公民个人信息作出界定,即2013年“两高”和公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》),从刑事立法到刑事司法,从《通知》到《解释》,刑法花费了大量笔墨去探索和界定“公民个人信息”的核心语义,除了明确处罚范围之外,未尝没有限缩侵犯公民个人信息罪处罚范围的动机,然而,技术进步带来的公民个人信息范畴的泛化趋势警示我们,应当将注意力转移到个人信息滥用的后果上,注重对信息滥用风险的控制和评价[14],而不是仅仅拘泥于公民个人信息的范围。
(一)行为类型构造:从信息的自主控制转向信息的自主使用
如前所述,刑法解释超越行政法的界定,大力拓展公民个人信息的范畴,而在行为模式上,刑事立法又远较行政法限缩。行政法高度关注个人信息的收集和不法使用,如在个人信息的收集方面,《决定》最先确立了合法、正当、必要的原则,此后又被《网络安全法》确认,《民法总则》明确了对个人信息的七种不法形式:收集、使用、加工、传输、买卖、提供、公开,贯穿个人信息的收集、流转和使用所有环节。而刑法主要打击个人信息的不法流转环节。侵犯公民个人信息罪规定的是非法出售、提供和获取个人信息的积极转移信息行为,拒不履行信息网络安全管理义务罪制裁的是间接故意造成信息泄露的放任信息转移行为。[15]侵犯公民个人信息罪不处罚个人信息的不法收集环节,也不处罚信息的后续滥用环节。当然,重视对个人信息收集的控制变得越来越没有意义,除非个人信息一经使用即会给个人带来人身或财产上危害,否则应当将规范重点放置于如何安全使用上,减少使用给个人带来不必要的风险。[16]也就是说,应当将刑法打击的链条向后延伸,将对公民个人信息的不法使用纳入刑法的打击范围中,侧重对信息滥用后果的规制与防范。数据犯罪与信息犯罪界限的表征之一,就在于刑法只处罚针对公民个人信息的非法获取、出售和提供行为,其他诸如非法修改、非法删除、非法传播、非法使用个人信息的行为无法纳入公民个人信息犯罪的框架中,最后只能借助数据犯罪或者其他犯罪予以规制。而当前公民个人信息利用中,基于个人“数据画像”对个人进行堂而皇之的价格歧视、个性化营销,运用个人生物识别信息进行“深度伪造”,扰乱社会秩序等行为大行其道,更凸显了对公民个人信息进行全流程干预的必要性。
大数据时代的公民个人信息,糅合了个体人格利益、经济价值、社会公共利益等属性,传统的隐私权、财产权等权利属性均无法完全包容公民个人信息,故而将公民个人信息视为一种新型的独立权利的观念越来越受欢迎。另一方面,大数据时代要求信息有序流动、多边共有、开放共享,过于强调信息的自主控制而忽视自主使用的观念将禁锢数据价值的发掘。因此,刑法应当以公民个人信息的积极趋利替代消极抗争的权利姿态,适当降低自主控制的保护强度,同时将保护的延长线拉伸到信息的不当滥用。
(二)規范射程界定:公民个人信息概念的部门法统一
当前,公民个人信息保护已经成为贯穿民法、刑法、行政法、网络法等各个部门法的高频词汇。《民法总则》第111条关于“自然人的个人信息受法律保护”的表述确立了公民个人信息民法保护的基础。客观上,公民个人信息概念的扩张性、应用场景的复杂性、保护难度的递增性等特点要求不同部门法协调并进,但是各部门分别立法的现状又导致了立法部分与相关信息部门之间隔离,进而引起法律的规制落后于信息技术的实践。[17]回顾十几年来公民个人信息保护的法律进展和不同部门法出台的先后次序,《民法总则》在2017年10月1日生效实施,《网络安全法》在2017年6月1日生效实施,而在刑法领域,即使不考虑1997年刑法的先期探索,从《刑法修正案(七)》确立两个独立公民个人信息罪名算起,迄今也有十年时间了。因此,公民个人信息保护实际上走了一条“刑先民后”的发展路径。在相关规范初创的时期,刑法的提前介入有助于提升社会公众的规范意识,起到敲山震虎的作用。但是,仅靠声势夺人是不能长久的,在《网络安全法》等其他部门法的相关规范陆续建立的背景下,刑法应当回归其本源地位,由公民个人信息保护的“刑先民后”变更为“民先刑后”,其最关键的做法就是公民个人信息的刑法概念与行政法概念的统一。
概念术语的调整并非语言游戏,它牵涉法律规范的定位、法律的规制范围等一系列问题。例如,真正激活侵犯公民个人信息罪中“违反国家有关规定”的犯罪构成要件要素,发挥行政法对侵犯公民个人信息罪的上位法定型功能和违法性审查功能,回归侵犯公民个人信息罪的法定犯本色。将“账号秘密”“财产状况”等不具有识别性功能的信息从公民个人信息中排除。尽管这类信息的滥用确实会造成公民个人权益的受损,但是这类基于信息的后续犯罪行为完全可以使用其他罪名予以有效规制。将其纳入到公民个人信息范畴中,虽然坚持了预备行为实行化和法益保护前置的思想,但是运用侵犯公民个人信息罪保护这类信息,不符合信息自决权的法益初衷。
(三)法益边界衔接:公民个人信息的分类立法保护
识别性概念将所有的公民个人信息聚合在自己麾下,实际上,随着公民个人信息范围的扩大,公民个人信息内部不同类别信息的保护必要性强度是有差别的,保护力度也是可以有区分的。在其他部门法中,无论是公民个人信息的界定,还是具体场景下的保护要求,都开始进行公民个人信息的分级分类保护的探索。《信息安全技术个人信息安全规范》在“个人信息”的条目下,规定了“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”,即“个人敏感信息”。《信息安全技术个人信息安全规范》对敏感信息提出了收集、传输、信息共享等方面的特殊要求。另在个人信息场景应用方面,《居民身份证法》《反恐主义法》《征信业管理条例》等法律法规又做出了针对个人生物识别信息利用和管理的专门性规定。在行政法中对公民个人信息进行分级分类保护是必要的,而我国公民个人信息刑法保护规范中,“信用卡信息”—“个人信息”—“身份信息”—“身份认证信息”—“推定身份信息”—“公民个人信息”的立法传导路径也暗含了公民个人信息分类保护的路径是可行的。
公民个人信息刑法分类保护的基础是:不同类别的个人信息承载的价值(人的尊严价值、信息的经济价值)是不同的,如果在“可识别性”的大旗下一体保护,则可能出现本该强化保护的信息类别没有得到充分保护,本该兼顾数据使用需求和公共利益的信息类别也没有赋予社会充分自由。理论上一般认为,个人信息保护的法律基础源自《世界人权宣言》第12条,即个人有权自主决定个人生活,并享受不被他人侵犯和冒犯的权利。因此,尽管“可识别性”一再受到理论界的批评和现代信息技术的冲击而依然屹立不倒,就在于可识别性能够让信息指向特定主体,并将特定主体从其他主体剥离出去。保护个人信息,就是保护信息指向的主体利益,保护主体不受侵犯、自主决定、平等对待的权利。在此前提下我们会发现,越是不依赖其他信息而能够单独识别的个人信息,越是与个人的身份高度绑定,就越是趋近个人信息保护的本源价值。对这些信息,需要刑法予以强保护。相反,越是需要现代信息技术深度挖掘,越是需要与其他信息结合进行关联识别的信息,反而为其腾出社会合理使用的法律空间,对这些信息,就应当在利益平衡的基础上,建立刑法的适度保护规则。
个人信息的过度匿名化和脱敏处理固然可以绕开“识别性”的技术局限,但是也面临个人信息的利用价值降低等问题,长远来看并不利于大数据产业和技术经济的发展。而且也应看到,再匿名化和碎片化的数据,都可能经由数据挖掘技术再现或者复原,追求绝对的数据脱敏处理不现实,也可能扼杀产业的活力。可行的做法是适当限缩公民个人信息的范围,将那些已经通过合理手段进行脱敏化处理,但是依然有可能挖掘出个人信息的数据排除在公民个人信息范畴外。表面上,这降低了公民个人信息保护的强度和刚性,但是更加科学有效,更有助于法律权威性的提升。事实上,欧盟、日本等国家和地区都对公民个人信息坚持了一次识别标准。欧盟1995年《数据保护指令》前言第26条规定,控制者和任何人采取所有合理的可能措施,也无法识别特定个人的信息即为匿名信息。可以看出,欧盟即使将隐私权置于至关重要的地位,在匿名化的问题上也没有完全迁就个人,还是考虑了技术现实以及产业界的经营负担的。故而对我国《解释》第3条关于“但是经过处理无法识别特定个人且不能复原的除外”的数据脱敏化标准,司法实践不宜做过于硬性的要求,只要是通过正常、合理手段无法重新识别和重新复原的信息,即使事后通过特别技术手段再次还原的,依然要排除在公民个人信息的范畴外。
[7]陈璐.个人信息刑法保护之界限研究[J].河南大学学报,2018,(3):72-78.
[8]刘艳红.侵犯公民个人信息罪法益:个人法益及新型权利之确证[J].中国刑事法杂志,2019,(5):19-33.
[9]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,(5):92-115.
[10]Subramanian Arumugam and R.Bhargavi,A survey on driving behavior analysis in usage based insurance using big data[EB/OL],http://creat iveco mmons .org/licen ses/by/4.0/.
[11]岳林.超越身份識别标准——从侵犯公民个人信息罪出发[J].法律适用,2018,(7):36-42.
[12]P.Schwartz &D.Solove,“The PII Problem:Privacy and a New Concept of Personally Identifiable Information”,New York University Law Review,Vol.86 (2011),p.1845.
[13]储陈城.大数据时代个人信息保护与利用的刑法立场转换——基于比较法视野的考察[J].中国刑事法杂志,2019,(5):48-62.
[14]李怀胜.公民个人信息的刑法保护思路[J].中国信息安全,2017,(1):102-104.
[15]李川.个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入[J].中国刑事法杂志,2019,(5):34-47.
[16]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,(3):84-101.
[17]张文亮.个人数据保护立法的要义与进路[J].江西社会科学,2018,(3):169-176.
[18]Health Insurance Portability and Accountability Act of 1996 (HIPAA) [EB/OL].https://www.cdc.gov/phlp/publications/topic/hipaa.html.
(责任编辑 吴 楠)