时间:2024-07-06
王嘉璇
综合研究
论侵犯公民个人信息罪的立法完善
王嘉璇
(北京师范大学 刑事法律科学研究院,北京 100875)
随着信息技术发展,侵犯公民个人信息的犯罪日益增多,犯罪呈现了四方面特征:个人信息主要来源于网络,方式有员工泄露、技术入侵和网络交易;出售或利用个人信息盈利是主要的犯罪目的;海量涉案数据给计算受侵犯个人信息条数创造了困难;犯罪产业链的形成为获取犯罪工具和下游犯罪提供了便利。为降低信息时代的犯罪风险,保护公民个人信息权,《刑法修正案(九)》设立了侵犯公民个人信息罪。我国侵犯公民个人信息犯罪立法应从以下方面完善:第一,明确死者信息属于个人信息范畴及合法公开信息受刑法保护;第二,刑法第二百五十三条之一增设利用行为和拒不删除行为;第三,设立全国性的个人信息保护组织。
个人信息;侵犯公民个人信息罪;个人信息权;个人信息保护法
随着技术的进一步发展,个人信息的利用上升到了新高度,以信息的使用权换取便利成了一种新的生活模式。但是,个人信息的广泛使用也让犯罪风险进一步扩大,给公民、社会、国家带来了诸多安全隐患。首先,信息泄露及其引发的违法行为使公民人身、财产和隐私权益处于危险,如最高人民法院2017年典型案例丁亚光侵犯公民个人信息案中,被告人建立非法网站并对收费会员提供个人信息,导致近两千万条宾馆住宿记录信息(如姓名、身份证号、手机号等)处于暴露的危险中。[1]其次,该罪扰乱社会秩序,危害社会安全,有损政府权威;最后,个人信息犯罪频发会降低人民对新技术的信心,阻碍我国信息时代建设和法治国家进程。
在此背景下,《刑法修正案(九)》首次设立了侵犯公民个人信息罪。该罪是为了规制违反国家有关规定,向他人出售或提供公民个人信息情节严重,或窃取及其他非法获取公民个人信息的行为。[2]222为强化个人信息保护,2017年5月最高法、最高检发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,细化、全面地回应了有关侵犯公民个人信息罪的争议问题。2020年10月《个人信息保护法(草案)》征求意见稿也为刑事司法提供了重要参考。
相比于我国法律,部分国家个人信息保护的措施较为完善、立法较为超前,提供了许多可供借鉴的立法经验。德国出台了《联邦资料保护法》,明确了个人信息界定,建立了数据保护监管体系。日本出台了《个人信息保护法》,创造性规定了信息删除权和信息利用的目的。韩国亦出台《个人信息保护法》,明确信息保护的基本原则,提出保护公共机关信息权。我国个人信息保护立法不成熟,有必要借鉴国外先进经验并结合我国犯罪现状,提出有针对性的立法完善建议。
法学界十分重视“个人信息”研究,在北大法律信息网评选的23家法学核心期刊2019年度学术热点中“个人信息”位于第5位。①北大法宝.23家法学核心期刊2019年度学术热点分析,附23家期刊栏目设置及专题策划情况[EB/OL].(2020-03- 23)[2020-03-28]https://mp.weixin.qq.com/s/yjPHae3DdZEfHAOUHZ6PgA.目前国内学者针对侵犯公民个人信息罪的研究主要集中于五方面:一是个人信息的概念如何认定,二是规制何种犯罪行为,三是前置性条款“违反国家有关规定”相关问题,四是侵犯了何种法益,五是犯罪情节方面,如两高解释中关于侵犯个人信息的数量认定。
下文将从犯罪现状、我国刑事立法漏洞和域外保护个人信息的先进立法三个层面进行研究,最终形成完善我国立法的建议。
检索中国裁判文书网2017年6月1日至2020年3月1日发布的侵犯公民个人信息罪公开判决(下文简称“中国裁判文书网检索结果”)显示,共有4576篇一审法院刑事判决书,检索到的判决书主要集中于东部沿海省份,如浙江省、福建省。由于北京地区案件量适中,司法文明程度较高,经济水平高且人口较复杂,笔者选取了北京地区展开分析。北京地区共检索到107份判决书,排除不公开案件3篇和窝藏罪1篇,共有103份该罪的公开判决。虽然分析的判决书数量较少,但也能反映一定的情况,为初步研究提供一定参考。
通过分析判决书,可从信息来源、犯罪目的、证据获取和危害四方面初步归纳出犯罪现状,即我国侵犯公民个人信息犯罪中的涉案公民个人信息主要来源于网络,犯罪目的主要为盈利,犯罪产业链的形成扩大了犯罪危害。
网络具有快捷性和匿名性的特点,且网络数据库存储着大量个人信息。越来越多的犯罪分子选择网络作为获取个人信息的主要途径。通过检索及分析中国裁判文书网的公开判决,可以将个人信息的来源归纳为三种——员工泄露、黑客技术入侵和网络交易。②103份判决中员工泄露的24件(占比23.3%),技术入侵的28件(占比27.2%),其余个人信息主要来自网络交易,涉及使用微信、QQ的23件(占比22.3%)。员工泄露表现为在职或离职员工利用自己或他人的职务便利作案。技术入侵表现为利用技术手段如爬虫、撞库、植入木马等非法窃取个人信息。其余个人信息主要来自网上购买和交换,如使用微信、QQ交易交换个人信息。网络是主要的信息来源,仅个别案件未采用网络手段。
员工泄露并利用通讯软件出售、提供信息典型体现在杜敬文侵犯公民个人信息案中。被告人杜敬文将其在瀚亚资本资产管理有限公司就职期间收集的公民个人信息在网上与他人进行交换,非法获取公民个人信息共计516万条,后通过QQ、微信等方式出售公民个人信息给他人,获利共计30余万元。③(2018)京0105刑初1603号北京市朝阳区人民法院刑事判决书。
网络交易的匿名性导致信息源头很难明确,为侦查制造了很大难度。[3]9-13侦查时常需结合计算机技术,这对侦查人员提出了一定要求。信息源头不明同样降低了惩处侵犯公民个人信息犯罪的效果。
盈利是侵犯公民个人信息罪的主要犯罪目的,盈利手段包含直接出售,以及利用个人信息侧面达到盈利目的,如企业经营、提升业绩、其他犯罪和追讨债务。④中国裁判文书网检索结果中非法出售数据盈利的48件(占比46.6%),非法提供数据给他人的6件(占比5.8%),用于公司合法经营或个人完成销售业务的17件(占比16.5%),用于从事违法或犯罪活动的5件(4.8%)。
犯罪团体出售或利用信息盈利典型体现为林伟文等侵犯公民个人信息案⑤(2017)京0108刑初1987号北京市海淀区人民法院刑事判决书。,本案涉及曾爱国和李明两个犯罪团体。2015年至2016年间,被告人曾爱国、贺炎非法获取个人信息共计1000余万条,并伙同肖必文、王海洋等人向考生发送诈骗信息,以谎称可以提供考试试题、考试答案、考试改分为由,实施电信网络诈骗犯罪。发送诈骗短信450万条,骗取人民币6万余元。2015年至2017年间,被告人李明为实施犯罪行为成立公司,租用办公场所,雇佣他人在广东省非法获取个人信息3000余万条,出售公民个人信息150余万条,非法获利人民币14000元。
行业中违法违规利用个人信息盈利也给个人信息安全造成了很大隐患,保险行业和销售行业常见利用个人信息进行精准营销提升业绩的情况。在田玉慧等侵犯公民个人信息案⑥(2019)京0105刑初1761号北京市朝阳区人民法院刑事判决书。中,员工为了扩展客户,通过网络获取了法人或负责人的姓名、电话等个人信息,并拨打电话推销法律服务。根据被告人田玉慧供述,自2015年起共加入过8个资料互换群,互换互传获取公民个人信息几万条。垃圾短信和骚扰电话涉及信息泄露,侵犯个人信息权同时还扰乱了公民私生活安宁。
侵害数据量,指的是受侵害个人信息的条数。侵害数据量可以直接反映行为的危害性,是重要的定罪量刑依据。中国裁判文书网检索的判决书中侵害数据量最高为4500万余条⑦(2018)京0112刑初461号北京市第三中级人民法院刑事判决书。,其中33件信息量超十万条,12件超百万条。巨大的侵害数据量背后是个人法益的严重受损。但是,侵犯公民个人信息罪中的涉案信息数量巨大且常保存在电脑中,重复、无效的个人信息因为混杂在海量数据中而难以分辨,从而阻碍了传统的证据采集和认定工作。
以林伟文等侵犯公民个人信息案⑧(2017)京0108刑初1987号北京市海淀区人民法院刑事判决书。为例,公诉机关计算个人信息数量采用了推算方式。公诉机关认为,首先电脑75.9M的空间中存有公民个人信息48万余条,其次曾爱国电脑中公民个人信息所占空间为1.96G,因此被告人电脑中所存公民个人信息达上千万条。这种推算的计算方法无法排除重复信息和无效信息,计算出的信息数量是否准确自然存在疑问。
中国裁判文书网检测结果中部分判决书未列出具体的信息量,或直接采用了公诉机关的认定,并没有在判决中进一步论证信息量的真实性和准确性。法院对数量计算的回避侧面反映了信息量的计算困难。
犯罪产业链指各个犯罪活动间由于存在一定的经济、技术关联而形成的犯罪链条。链条的犯罪主体呈团伙化、职业化。[4]51-56随着信息泄露程度增加,信息黑色产业逐渐形成。个人信息/犯罪工具提供者、倒卖牟利的中间商以及非法使用者逐步构成了一条犯罪产业链。
犯罪产业链的形成使得获取犯罪工具更加方便,犯罪危害扩大。山西京轩网络科技有限公司等侵犯公民个人信息案⑨(2018)京0108刑初1115号北京市海淀区人民法院刑事判决书。中,梁某搭建服务器及出售非法代码,帮助他人获取用户的手机号、IP地址等信息。2016年山西京轩网络科技有限公司网购代码并植入,非法获取用户个人信息10990条,并继续向他人出售权限及代码获利。截至查获,各网站、服务器中共利用梁某提供的代码抓取了访客信息1232270条。
除了泄露可能性扩大外,犯罪产业链的危害还体现在信息泄露为其他犯罪提供便利上。在Open law数据库检索的3350 篇个人信息罪公开判决中,利用公民个人信息实施其他犯罪的案件数量达715 件(占比 21.35%),诈骗罪的数量占总数一半。[5]3-5徐玉玉被电信诈骗案正是利用了个人信息实施精准诈骗。2016年徐玉玉在被骗走学费9900元后晕厥去世,这一悲剧的背后是大量考生信息的买卖。经查,2016年6月至8月,被告人陈文辉为实施电信诈骗购买了山东省高考学生信息10万余条。[6]由此可见,信息泄露会对人身、财产造成巨大威胁,信息犯罪产业链的危害应受警惕。
法律的生命力在于实施。随着规制侵犯公民个人信息刑事案件的司法实践增加,新的问题逐渐暴露,争议也随之产生。本章将分析我国侵犯公民个人信息罪的立法进程、构成要件及立法存在的问题,为相关立法的进一步完善提供新的视角。
我国刑法早在2005年就开始间接规制侵犯个人信息行为。2005年《刑法修正案(五)》增加了“窃取、收买或者非法提供他人信用卡信息资料罪”。虽然立法的主要目的是保护信用卡管理秩序,但由于信用卡信息资料属于个人信息的范畴,因而也侧面对个人信息进行了保护。[7]201-237
2009年,刑法开始直接规制个人信息犯罪,在《刑法修正案(七)》在第253条之一增加了“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”。2015年《刑法修正案(九)》变更罪名为“侵犯公民个人信息罪”。定罪上取消了对主体的要求并扩大了侵犯个人信息行为的范畴,量刑上增加了从重处罚情节和“情节特别严重”情形。
2017年最高法、最高检发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“解释”)。解释有四方面的重要意义。一是明确了“个人信息”概念,界定了“违反国家有关规定”“提供公民个人信息”和“以其他方法非法获取公民个人信息”概念。二是统一定罪量刑标准,明确何种情况构成“情节严重”“情节特别严重”,同时规定了从宽处罚情形和罚金刑的适用。三是明确信息数量的计算方式。四是规定非法利用信息网络罪等相关犯罪处理。[8]35-40
基于现有立法运用四要件分析该罪构成要件可以得到以下结论:
首先,犯罪客观方面可以分为行为、犯罪对象、前置性条款和情节四部分。第一,行为上实施了出售、提供或非法获取公民个人信息的行为。第二,犯罪对象是“公民个人信息”,即姓名、住址、行踪轨迹等能识别公民信息或涉及隐私的数据资料。[9]921-922第三,“违反国家有关规定”的前置性条款。解释未明确国家有关规定的范围,但根据刑法第96条⑩第96条:本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。,国家有关规定应不包含地方政府制定发布的法规、规章及命令决定。第四,情节上应达到情节严重的情形。情节严重有五种,一是出售或提供的个人信息被他人用于犯罪,二是造成他人人身伤害或死亡的结果,三是造成重大经济损失或严重社会影响,四是侵害数据量或违法所得数额较大,五是造成其他严重后果。[9]921-922
其次,客体要件存在分歧,一种认为侵犯客体是个人信息权或隐私,另一种认为客体还包含社会管理秩序。有支持第二种观点的学者主张犯罪客体包含超个人法益,如社会公共利益、国家安全。[10]5-9
再次,侵犯公民个人信息罪主观表现为故意,含直接故意和间接故意。行为人明知侵犯个人信息的行为危害个人信息安全,希望或放任危害后果发生。
最后,《刑法修正案(九)》废除了对犯罪主体的限制。出售或非法提供个人信息的主体不限于国家机关或者金融、电信等单位的工作人员。目前侵犯公民个人信息犯罪的主体为年满16岁具有完全刑事责任能力的公民及单位。
2017年解释出台回应了一些争议问题,但是随着犯罪数量的增加和犯罪手段的升级,我国刑事立法暴露出了更多漏洞。侵犯公民个人信息的行为需要更加严厉的打击。
1.公民个人信息范畴不明确
刑法保护的个人信息应具有识别性和价值性。识别性指的是受保护的个人信息必须指向特定人。价值性指的是信息应当值得刑法保护,对个人信息的侵犯会损害信息主体的信息自主权,并可能影响财产权利和人身安全。
解释列举了姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况和行踪轨迹属于个人信息。但是,死者信息和合法公开信息法律规定缺失,是否属于刑法保护的范畴并不明确。
第一,死者信息是否被保护。“空姐遇害案”侦办期间,郑州公安局警务辅助人员郝某利将包含被害人身份信息的现场照片私发给朋友,其朋友又将照片转至微信群中,造成照片在网络上大量传播[11]。这件事情引发了笔者是否要对死者信息进行保护的思考。
是否保护死者信息存在很多争议。反对者认为,死者不属于公民,因而不享有个人信息权。他们主张自然人是延续生命活动的人,死者没有生命,不属于自然人,因而不构成公民。此外,民法总则规定自然人权利自死亡时丧失,个人信息权属于权利的一种,因而死后即丧失个人信息权。再次,侵犯死者信息的情况十分罕见,刑法具有谦抑性,必要时可以通过民法等其他法律保护。[12]最后,保护死者信息是基于保护其亲属的权益。[13]30
支持保护个人信息的人认为,保护死者信息可以保护亲属情感,从而维护社会秩序。部分法院判决中实际也承认了死者信息应被保护。张某某侵犯公民个人信息案⑪(2017)川0681刑初90号四川省广阳市人民法院刑事判决书。中,被告人张某某非法获取死亡人口数据4556条,其中包含死者姓名、身份证号码、入院原因、死亡时间等。四川省广汉市人民法院最终判定死者信息属于公民个人信息,但未深入论述原因。死者信息是否属于公民个人信息需要进一步讨论。
第二,合法公开信息是否被保护。关于合法公开信息是否受到刑法保护,我国刑法理论研究学者存在不同的学说。“关联说”认为,所有与个人相关的信息均可纳入个人信息的范畴,因而包含公开信息;“隐私说”认为,个人信息是公民不愿意公布或不会随意公布的、涉及公民个人隐私的信息,公开信息不属于“个人信息”;“安宁说”认为,刑法上认定个人信息应满足“私人生活安宁”,只要合法公开信息破坏他人生活安宁就需要受到刑法规制。[14]8-10
此外,合法公开信息是否属于“公民个人信息”在法律层面并没有明确规定。合法公开信息包含依据法律规定公开的信息和信息主体自愿公开的信息。[15]27合法公开信息是否属于“公民个人信息”讨论的焦点在于公开个人信息是否可以认定为同意使用。支持者认为信息权利人主动公开应推定其概括的同意了他人对信息的使用,构成授权。[16]3-7
李某某侵犯公民个人信息案⑫(2018)豫1426刑初324号河南省夏邑县人民法院刑事判决书。对这个问题进行了讨论。李某某的辩护律师指出,法律尚未明确规定某些经营信息的企业或个人通过网络搜索公开信息并整理出售的行为是否应该入罪。信息所有者自行将信息公布上网应当推定其同意公开。整理、出售公开信息的危害程度有限,且信息所有者可以预见到,因而不宜入罪。但是,法院对此持反对意见。法院认为,公民个人信息依法受法律保护,即便公民个人自愿公开他人也不得擅自出售、出租。虽然法院最终认定侵犯合法公开信息构成犯罪,但仅是个案判断,未对何种合法公开信息受保护做出明确区分。
2.犯罪行为方式规定不全面
刑法规定的侵犯公民个人信息罪的行为方式分为出售、窃取及其他非法获取、非法提供三种,有学者将其归纳为“交易型”犯罪行为、“刺探型”犯罪行为和“泄露型”犯罪行为。[17]83-84除了现有规定外,利用行为和拒不删除行为是否应被刑法规制值得进一步研究。
第一,侵犯公民个人信息罪规制了出售、提供和非法获取的上游行为,但对利用行为规制不足。[18]36利用行为指的是利用个人信息间接牟利的行为,如提升销售业绩、进行其他犯罪等。假如单位或自然人非法利用合法获取的公民个人信息,则不能向其追究刑事责任,可见非法利用不能完全包含在现有的三种行为方式中。
越权使用个人信息同样构成对个人信息的滥用,如骚扰电话、垃圾短信,网页跳转也可能构成越权使用信息。《移动应用(APP)数据安全与个人信息保护白皮书(2019)》(下文简称“白皮书(2019)”)[19]披露了APP运营者与第三方私自共享用户数据的风险。使用APP时跳转的网购类应用可能会过度使用用户个人信息、追踪用户行为等,从而导致用户数据被恶意散播。
利用行为加入刑法的讨论较多,早在《刑法修正案(七)》出台后就开始了,如赵秉志主张在“非法获取个人信息”后加入“非法利用”的行为。[20]117-127《民法典》第1035条规定处理个人信息应遵循合法、正当、必要的原则,明示处理目的、方式和范围,这为界定非法利用行为提供了法律基础。
第二,拒不删除行为会侵犯公民的个人信息权,但未规定在刑法规范中。拒不删除行为的讨论先要明确删除行为。《网络安全法》第43条规定,信息主体发现网络运营者违反法律法规或者约定收集、使用个人信息有权要求其删除。根据2019年4月发布的《互联网个人信息安全保护指南》[21],删除个人信息指的是在实现日常业务功能所涉及的系统中去除个人信息使其保持不可被检索、访问的状态的行为。 2019年11月出台的《APP违法违规收集使用个人信息行为认定方法》[22]第6条同样对APP运营者具体如何行使删除义务做出要求,即删除个人信息或注销账号不应设置不合理条件,应及时响应并在承诺期限内(15个工作日)处理完毕。
删除义务的履行有三个条件。一是信息主体请求删除。二是请求删除的信息有识别性,不删除可能危及个人信息权。三是信息持有者具有删除能力。满足条件后信息持有者要及时删除,且应事先创造条件保证删除权的行使。
目前信息主体删除权的行使存在障碍。以移动应用注销为例,白皮书(2019)指出我国移动应用存在“设置注销限制条件多,数据过度留存”的风险。报告指出,26.9%的移动应用注销流程繁杂,且需要额外提交更多敏感信息(如真实姓名、住址、身份证照片等)。[23]
相较于信息持有者,信息主体一般力量微小,维权难度大。刑法规制拒不删除的行为有利于保护个人信息删除权,建立被遗忘制度,阻止个人信息进一步扩散。但是,相比于其他行为拒不删除行为一般危害较小,因此入罪的讨论要更加谨慎。
3. 信息数量计算标准不确定
部分个人信息犯罪侵害数据量巨大,从海量数据中筛选出无重复的、真实的个人信息十分困难。在这种情况下,追求分毫不差的信息数量会给司法机关造成很大压力。但是,信息数量依然是重要的定罪量刑依据,计算标准应进行统一。虽然解释第十一条对如何获得相对准确的信息数量做出了规定,但仍存在一些问题。
第一,群发信息的数量计算标准不确定。解释第二款规定,向不同单位或个人分别出售、提供同一公民个人信息的累计计算个人信息条数。但是,为向特定人提供信息而在QQ、微信等软件的通讯组中群发消息的,是否属于向不同单位分别出售、提供,是否需要重复计算个人信息数,仍存在一定争议。
第二,推定主义的计算方式存在问题。解释第三款规定数量计算采用推定主义,批量公民个人信息的条数根据查获的数量直接认定,有证据证明信息不真实或者重复的除外。但是,规定并没有明确查获时如何确定信息数量。在实践中常采用抽样方法计算批量信息的数量,但采用的抽样手段和样本标准不统一。此外,推定主义给被告人一方造成了很大诉讼压力,不利于行使辩护权。
本章选取了德国、日本和韩国三个大陆法系中个人信息立法保护较完善的国家,研究其个人信息保护法和刑法规定,为我国立法完善提供参考。
德国保护个人信息的法律体系包含《联邦数据保护法》、联邦和州指定的特别法和欧盟法律文件。[24]61《联邦数据保护法》是德国保护个人信息的典型法律,出台于1977年,现行法颁布于2015年。《德国刑法典》与侵犯公民个人信息罪相关的罪名规定在第203条及第204条。《联邦数据保护法》和《德国刑法典》在个人信息界定和监管方面为我国完善立法提供了参考。
1.死者信息受刑法保护
德国《联邦数据保护法》保护自然人的数据,包含关于个人的信息和已识别或可识别数据主体客观情况的信息。[24]63该法第44条规定,为自身或他人谋取利益故意实施无授权收集、处理信息,或上述行为侵害了他人利益的,可判处2年以下有期徒刑或罚金。《联邦数据保护法》保护的个人数据类似个人信息,受保护的数据应具有识别性,不排除死者数据。
《德国刑法典》规定了侵害他人秘密罪和利用他人秘密罪。第203条侵害他人秘密罪指因特定身份被告知或知悉他人秘密且无授权泄露该秘密。身份包含医生,心理学家,财务机关,保险职员等,秘密包含私生活秘密、企业秘密和商业秘密。如果身份为公务员、专家、代理人员等,执行行政职务获得的他人资料视同秘密。该条例外是法律许可的因公共行政目的向其他机构主体转移数据。第204条利用他人秘密罪指与侵害他人秘密罪同身份的人无授权利用他人秘密构成犯罪的行为。
侵犯他人秘密罪和利用他人秘密罪明确规定保护死者秘密。侵犯他人秘密罪中,行为人未经授权公开死者秘密构成犯罪的,如公开秘密目的是牟利或公开损害他人利益,将加重处罚。德国刑法第205条规定上述两种犯罪告诉才处理,被害人死亡的告诉权转移给亲属或继承人。[25]70-74以上规定可以看出德国刑法保护死者秘密。由于秘密是具有隐私性的信息,保护秘密同样是对信息的保护。
2.建立数据保护监管体系
《联邦数据保护法》设计了内外两种监管体系。内部监管方面,公共机构或私法主体需书面任命数据保护官,数据保护官有获取信息权、起诉权和拒绝作证权。[24]68公共机关和私法主体应为数据保护官工作提供便利,保护官要有一定的专业知识和任职必须的责任感,并向公共机关和私法主体的领导负责。没有特殊约定的情形下,保护官对数据有保密义务。
外部监管方面,该法设立了国家监管组织监督本法的执行。如果国家监管组织组织认为行为构成严重违法,应通知行业监督机构参考行业法规做出反应。[24]69
2018年5月,《欧盟通用数据保护条例》(GDPR)和《新德国隐私法》(BDSG-new)实行。新隐私法目的是在德国国内实行GDPR,补充了GDPR的开放条款并做出了一定修改。[26]由于细化了私主体保护数据的要求,如要求私人设立的数据处理操作机构(DPO)至少包含十个人常规参与到个人数据处理过程中,新隐私法对实行《联邦数据保护法》起到了积极作用。
日本《个人信息保护法》2003年实施并于2017年修订,该法是日本保护个人信息的基本法。[27]78-80《个人信息保护法》规定了利用目的和删除权,为我国界定个人信息范畴和行为方式起到了参考作用。
刑法上,日本在第134条、135条规定了泄露秘密罪。泄露指的是向不知道秘密者告知秘密,不区分具体的方法,且对方要具有知悉的可能。秘密带有隐私的成分。该罪保护对象有自然人、法人和其他社会团体。[28]147-153
1.确立信息删除权
日本《个人信息保护法》确立了删除权。如果从业者违法处理个人数据或数据取得违法,信息主体可以请求停止利用或消去该信息。个人信息处理业者查明请求合理的必须及时在必要范围内采取措施。但是,如果删除、停止等措施花费高额费用或措施较为困难,个人信息处理业者也可以不停止或删除而采取其他措施。
个人信息处理业者采取或不采取停止措施必须及时告知信息所有者。若个人信息处理业者通知其不予采取相应措施或者采取不同措施的,必须尽可能向本人说明理由。[29]83
我国民法典第1036条和《个人信息保护法(草案)》第47条对删除权做出了规定。相较于日本法律,我国额外规定了违反双方约定时自然人享有删除权。但是,在数据取得违法时自然人享有删除权方面日本法律规定更加先进,值得我国加以借鉴。
2.规定信息利用目的
日本《个人信息保护法》对利用目的做出了严格规定。保护利用目的可分为前中后三阶段。个人信息处理业者处理个人信息前须尽可能特定利用目的。处理个人信息时未经信息主体事先同意,不得超出实现利用目的必需的范围。如从业者变更利用目的,变更的利用目的不得超出被合理认定为与前利用目的具有相当关联性的范围。[30]226-227假如信息处理业者超出利用目的利用个人信息,信息主体可以选择停止信息使用或删除信息的救济手段。
日本《个人信息保护法》还规定了利用目的的通知、公布义务及例外情形。个人信息处理业者取得个人信息或变更利用目的的,必须尽快将利用目的通知本人或者公布。通知、公布利用目的的例外有四种。一是可能危害到第三人的生命、身体、财产及其他权益。二是可能危害到个人信息处理业者的权利或者正当利益。三是可能有碍于协助国家机关或者地方公共团体完成法令规定事务的。四是个人信息取得的情形可以认定该利用目的极为明确的。
韩国《个人信息保护法》2011年9月29日实施,强调了“实现目的必要范围”,以及公开、安全、守法等原则。《个人信息保护法》的出台打破了韩国针对公共部门和私营部门分别制定个人信息保护法律的局面,增强了预防和救济阶段保护个人信息的重视程度。[31]68-74
1999年修订的《公共机关个人信息保护法》规定了如何刑事打击侵犯个人信息犯罪。该法保护公共机关信息权,规制的行为方式包含变更个人信息、删除个人信息和无权限处理个人信息。该法规为我国完善行为方式提供了参考。《公共机关个人信息保护法》制定目的是保护公共机关利用计算机处理的个人信息,从而保证公共事务正常完成。
由于制定目的限制,《公共机关个人信息保护法》规制的行为种类十分有限。规制行为包含为阻碍业务变更或者删除个人信息,泄露信息,无权限处理信息,为不当目的非法提供信息,以欺诈或其他不正当手段从公共机关获得信息的行为,以及对国家公共机关的个人信息权做出侵犯及其他不正当行为。
处罚上该法规定了双罚制。如代理人及雇员侵犯个人信息的目的是实现法人或个人的业务,除处罚行为人外也应对法人或个人处以罚金。[32]
此外,《公共机关个人信息保护法》也对公共机关信息权做出了一定限制,如公共机关收集、处理个人信息的种类、方式,事先通报制度,信息处理人员的义务,信息主体的权利行使等。
结合犯罪现状、立法漏洞和国外经验,本章将从个人信息范畴、行为方式、保护机构及儿童信息保护方面为完善立法提出建议。
根据解释,刑法保护的个人信息应具有识别性和价值性。与此同时,刑法又具有谦抑性的特征,对于社会危害性较小且民事、行政手段可以足够规制的个人信息,不应得到刑法保护。基于以上原则对死者信息和公开信息应当分别进行认定。
1.明确死者信息属于公民个人信息
死者信息应受刑法保护。首先,民法上存在自然人死亡人格权未丧失的情形,如英烈的名誉权,因此死者离世后的一定期间内个人信息权可以继续存续,刑法也能进行保护。其次,公民的认定不应过于狭隘,正如外国人和无国籍人也可以认定为公民,具有个人信息权的死者也可认定为公民。最后,国际上存在立法保护死者的先例,如刑法发展较完善的德国刑法对死者信息进行了保护。国内社科院起草的民法典草案稿亦将死者信息纳入了人格权范畴。[33]54-75
侵害死者信息同样可能造成严重影响。侵犯死者信息有违我国传统的价值观,俗语云“死者为大”“入土为安”,中国古代具有尊重死者的历史传统。此外,侵害死者信息可能会给家属的情感造成二次伤害,并会破坏社会秩序。此外,部分死者信息如家庭住址、财产信息、电话号码等可能给共同居住的亲属及财产继承人造成影响。
综上,建议出台法律解释明确死者信息属于公民个人信息。保护死者信息时可以比照自然人规定,从信息数量、违法所得、经济损失、社会影响等方面进行定罪量刑,其中经济损失计算以亲属或继承人的经济损失为准。
2.明确合法公开信息受刑法保护
信息主体公开信息时一般有特定的公开目的,超出公开目的使用信息会损害个人信息权。因而,未经本人事先同意,信息持有者使用信息时不得超出目的的范围,否则可能会承担刑事风险。《个人信息保护法(草案)》第28条同样规定,个人信息处理者处理已公开的个人信息应当符合该个人信息被公开时的用途;超出与该用途相关的合理范围的应当依照本法规定向个人告知并取得其同意。个人信息被公开时的用途不明确的,个人信息处理者应当合理、谨慎地处理已公开的个人信息。利用已公开的个人信息从事对个人有重大影响的活动,应当依照本法规定向个人告知并取得其同意。
受刑法保护的合法公开信息应满足一定条件。合法公开信息的保护可以参考日本信息保护法,原则上只要超出目的范围使用合法公开信息都应进行保护,并设立例外情形。因此,公开信息受刑法保护的基础是存在侵犯个人信息自主权的可能,由此首先存在三个例外情形:一是信息主体明示同意使用公开后的信息。二是依照法律法规或保护公共利益的需要。三是信息不具有识别性,如经过特殊处理且不能复原。
此外,参考日本信息保护法,为保护人的生命、身体或财产,且通知效率低无法及时联系到信息主体的,提供及其他涉嫌侵犯公开信息的行为可构成紧急避险,不认为是犯罪。
综上,建议我国出台法律解释明确合法公开信息受刑法保护,并规定保护合法公开信息的条件。
现有立法未将利用行为和拒不删除行为包含在侵犯公民个人信息罪中。利用行为会直接损害个人信息自由,而拒不删除行为会对信息主体保护个人信息创造障碍。下文将分别讨论是否需要用刑法规制这两种行为。
1.规制利用公民个人信息行为
一种行为可以加入到侵犯公民个人信息罪中应符合三个条件:第一,该行为具有普遍性,不属于突发、偶发的情形。第二,危害上该行为和现有三种行为达到等价程度,应受刑法规制。第三,处罚存在可行性,定罪上标准明晰,量刑上行为的危害程度可衡量。接下来将以此为基础进行分析。
首先,利用行为非常普遍。第一章的检索结果中总计21.3%的案件犯罪目的涉及利用。解释中同样认识到了利用行为的普遍,对合法利用做出了特殊规定。其次,利用行为的危害体现在个人信息存在反复滥用的可能,利用不被刑法规制导致侵害信息后信息数不能重复计算,量刑较轻助长了非法获取等行为。根据解释第11条,如果购入或非法获取个人信息后反复利用信息条数只能记为一次。最后,利用行为的定罪和量刑可以参考非法获取、出售或者提供行为,根据信息条数、违法所得、主观恶意等确定。基于以上考虑,利用行为可以加入到侵犯公民个人信息罪中。
刑法规制的利用行为应满足以下条件。形式上,利用行为应当违反国家有关规定,构成滥用信息。实质上,利用行为的危害应当与买卖、非法提供、窃取及其他非法获取三种行为达到同等程度,即严重损害公民的信息自主权或对人身和财产安全造成威胁。
综上,建议在刑法第253条之一加入“利用公民个人信息”,并出台司法解释明确何种利用行为构成滥用个人信息。
2.规制拒不删除公民个人信息行为
我国尚未出台个人信息保护法,但民法典第1036条明确规定自然人享有信息删除请求权。自然人发现信息控制者违反法律、行政法规或约定收集、处理个人信息的,有权请求及时删除信息。此外,部分行业规定也涉及到了删除行为。有关立法提供了前置性规定,刑事规制拒不删除行为的时机已经成熟。
拒不删除行为是不作为犯罪,首先应明确删除义务。删除义务是指信息持有者应在收到信息主体请求后的合理期限内删除个人信息,并采取一定措施防止信息恢复的义务。信息持有者删除个人信息后应及时通知信息主体。
删除义务的履行应存在例外情形。若请求删除的信息经过处理不具有识别性且不能复原,或者在信息主体同意下信息持有者采取了其他合理手段,又或删除会给公共利益造成损害的,删除义务可以不履行。
参考《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第9条,如果信息持有者不履行删除义务,经监管部门责令改正而拒不改正,致使用户的个人信息泄露造成严重后果的,构成拒不删除行为,应承担刑事责任。不履行删除义务同时构成拒不履行信息网络安全管理义务罪的,择一重罪处罚。
国际上个人信息保护可分为三种模式。第一种是信息持有者主导,行业制定行为准则,消费者偏好起到激励作用。第二种是信息主体主导,主体具有访问权、被告知权、更正权、质疑权和获得补偿权。第三种是第三方介入,强调预防作用,监管机构审查和指导个人信息保护。[34]21-43
参考《个人信息保护法(草案)》第56条,履行个人信息保护职责的国家部门是国家网信部门、国务院有关部门以及国家规定的县级以上地方人民政府有关部门。设立保护个人信息的专门机构可以明确划分职责范围,落实信息保护立法,为公民提供更加有效、便利的救济和保障。司法上,设立专门机构有助于加强对个人信息保护工作的监督,统一信息量计算标准,降低司法机关认定信息条数的技术负担。
除国家机构外,建议设立保护公民个人信息权益的全国性组织配合政府工作。组织工作上采用集中领导与分级管理结合的原则。该组织是信息保护方面权威的、独立的第三方机构,可以宏观指导信息保护工作,对信息持有者及政府收集、利用、保护个人信息的活动进行社会监督,并可对信息持有者和政府提出工作建议。基层上组织可设立联络站,帮助信息主体行使个人信息权并寻求司法救济。
信息保护组织可以负责组织技术培训和信息安全培训工作,提升执法人员筛选海量数据的能力。培训时信息保护组织可以统一信息数量确定的手段,如争议问题如何处理和如何进行样本选择。
信息时代的到来给个人信息造成了很大隐患,针对个人信息的犯罪不仅损害公民的信息自主权,还可能降低公民对新技术的信任,不利于信息产业的发展。随着案件增多和犯罪手段升级,我国立法需进一步完善。德国、日本和韩国个人信息保护法律较成熟,为我国立法提供了重要参考。结合我国侵犯公民个人信息犯罪的现状及国外先进立法的研究成果,可得出以下完善侵犯公民个人信息罪的建议:第一,明确死者信息和合法公开信息应受刑法保护,死者信息保护比照自然人规定并设立保护合法公开信息的条件。第二,完善行为方式,在刑法中增设利用行为和拒不删除行为。第三,建立信息保护第三方机构,协助及监督信息保护工作。
鉴于死者信息和拒不删除行为的学术研究较少,希望本文可以为侵犯公民个人信息罪研究的深入化开展起到一定参考价值。
大数据时代对个人信息保护提出了很多挑战。例如,数据加工技术使得碎片化个人信息的识别性提升,通过传统的直观感受或经验判断个人信息范围的难度大。[35]2刑法如何适应数据时代的新变化需要继续思考。个人信息保护涉及到民事、行政、刑事和国际合作多个维度。本文主要研究个人信息刑事保护,研究方面有限。真正解决个人信息犯罪问题需要在多维度建立完善的个人信息保护体系,这也是未来努力的方向。最后,《个人信息保护法(草案)》对跨境提供个人信息提出了新要求,第十二条也提出了国家要积极参与个人信息保护国际规则制定,推动与其他国家、地区及国际组织间信息保护规则和标准的互认。如何开展国际合作,共同保护个人信息值得进一步研究。
[1]中国法院网.侵犯公民个人信息犯罪典型案例[EB/OL].(2017-05-09)[2020-03-29]https://www.chinacourt.org/article/detail/2017/05/id/2852365.shtml.
[2]赵秉志,李希慧,等.刑法各论(第三版)[M].北京:中国人民大学出版社,2016.
[3]最高人民检察院检察理论研究所课题组.互联网领域侵犯公民个人信息犯罪问题研究[J].人民检察,2017(2).
[4]姚智帅.电信网络诈骗黑色产业链共治模式研究[J].河南科技学院学报,2019(5).
[5]朱李越.侵犯公民个人信息罪的相关法律问题研究[D].北京:北京理工大学,2019.
[6]山东省人民检察院.“徐玉玉被电信诈骗案”一审宣判(附判决书)[N/OL].(2017-07-19)[2020- 04-09]https://news.qq.com/a/20170719/030274.htm.
[7]喻海松.网络犯罪二十讲[M].北京:法律出版社,2018.
[8]缐杰,宋丹.《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》理解与适用[J].人民检察,2017(16).
[9]张明楷.刑法学下(第五版)[M].北京:法律出版社,2016.
[10]曲新久.论侵犯公民个人信息犯罪的超个人法益属性[J].人民检察,2015(11).
[11]新华社.擅自传播“空姐被害案”现场照片郑州:5人被依法刑拘[N/OL].(2018-05-14)[2020-04-12]http://www.xinhuanet.com/legal/2018-05/13/c_129871141.htm.
[12]解得鹏.浅析死者个人信息不属于公民个人信息[EB/OL]. (2019-01-25)[2020-04-20]https://zhu anlan.zhihu.com/p/55708535.
[13]吴苌弘.个人信息的刑法保护研究[D].上海:华东政法大学,2013.
[14]陈珺.侵犯公民个人信息罪中公民个人信息的认定[D].蚌埠:安徽财经大学,2017.
[15]蔡金燕.论侵犯公民个人信息罪之“公民个人信息”[D].杭州:浙江大学,2018.
[16]徐州市人民检察院课题组,鲍书华.侵犯公民个人信息犯罪相关问题探析[J].中国检察官,2019(16).
[17]马改然.个人信息犯罪研究[M].北京:法律出版社,2015.
[18]李玮.侵犯公民个人信息罪研究[D].武汉:武汉大学,2017.
[19]中国信通院.《移动应用(App)数据安全与个人信息保护白皮书(2019年)》正式发布[EB/OL]. (2019-12-30)[2020-04-14] https://www.cebnet.com.cn/20191230/102628679.html.
[20]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报,2014(1).
[21]全国互联网安全管理服务平台.公安部《互联网个人信息安全保护指南》全文[EB/OL]. (2019-04-19)[2002-04-23]https://www.secrss.com/articles/10063.
[22]中国网信网.关于印发《App违法违规收集使用个人信息行为认定方法》的通知[EB/OL].(2019-12-30)[2020-04-14]http://www.cac.gov.cn/2019-12/27/c_1578986455686625.htm.
[23]中国信通院.《移动应用(App)数据安全与个人信息保护白皮书(2019年)》正式发布[EB/OL].(2019-12-30)[2020-04-14]https://www.cebnet.com.cn/20191230/102628679.html.
[24]任文倩.德国《联邦数据保护法》介绍[J].网络法律评论,2016(1).
[25]王立志.德国刑法对隐私权的保护及其评析[J].河南财经政法大学学报,2009(6).
[26]Sontje Julia Hilberg.The new German Privacy Act[EB/OL].[2020-04-27]https://www2.deloitte.com/dl/en/pages/legal/art icles/neues-bundesdatenschutzgesetz.html.
[27]个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.
[28]山口厚.刑法各论(第2版)[M].王昭武,译.北京:中国人民大学出版社,2011.
[29]方禹.日本个人信息保护法(2017)解读[J].中国信息安全,2019(5).
[30]Alan Charles Raul.The Privacy,Data Protection and Cybersecurity Law Review[M].Fifth Edition. London:Law Business Research Ltd,2018.
[31]康贞花.韩国《个人信息保护法》的主要特色及对中国的立法启示[J].延边大学学报:社会科学版,2012(4).
[32]吕艳滨.韩国公共机关个人信息保护法[EB/OL].[2020-04-16]http://www.iolaw.org.cn/ showNews.aspx?id=12425.
[33]张新宝.《民法总则》个人信息保护条文研究[J].中外法学,2019(1).
[34]Chan-Mo Chung,Ilsoon Shin.On-Line Data Protection and Cyberlaws in Korea[J].Korean Journal of International and Comparative Law,1999(27).
[35]雷澜珺.大数据时代下公民个人信息风险及其刑事司法应对[D].上海:华东政法大学,2019.
D920.4
A
1673-2030(2021)01-0112-11
2020-12-16
王嘉旋(1998—),女,河北黄骅市人,北京师范大学刑事法律科学研究院刑法学硕士,研究方向为刑法学。
(责任编辑:朱艳红)
我们致力于保护作者版权,注重分享,被刊用文章因无法核实真实出处,未能及时与作者取得联系,或有版权异议的,请联系管理员,我们会立即处理! 部分文章是来自各大过期杂志,内容仅供学习参考,不准确地方联系删除处理!