【202210004】侵犯公民个人信息罪的罪刑样态
文/李楠
作者单位:浙江省宁波高新技术产业开发区人民法院
专题分类:个人信息保护
期刊栏目:本期策划——公民个人信息的刑事保护
编者按当前,数字经济时代到来,个人信息成为极其重要的资源和生产要素,对个人信息(权益)的保护也随之成为亟需解决的时代难题。在此背景下,《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》指出要“依法保护个人信息”。同时,2021年11月1日起个人信息保护法正式施行,刑法上保护公民个人信息的理论和实践逐渐成为各界关注的热门议题。例如,如何对非法获取公民个人信息加以理解和阐释?司法机关对侵犯公民个人信息行为采取了何种防控路径?网络爬虫等层出不穷的新兴手段是否会构成对公民个人信息权益的侵犯?凡此种种,都与公民个人信息的刑事保护这一时代命题密切相关。
为此,本期策划将展示理论界和实务界对上述问题的思考,以探索更妥善的公民个人信息刑事保护方案。
在数据化、智能化时代,针对网络平台用户的个人信息获取、网络行为追踪较之以往更为便利,非法收集、使用公民个人信息的行为日益猖獗,个人信息安全已上升至国家战略高度,如何有效规制侵犯公民个人信息犯罪,成为我国刑法理论及实务中亟待解决的重要课题。尽管刑法修正案(七)(九)和最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的出台使侵犯公民个人信息犯罪得到有效遏制,然而,面对繁复的司法现实,此类犯罪的刑事规制在立法及司法层面尚存诸多堵点,制约了刑事规制的成效。
一、现状:侵犯公民个人信息罪罪刑样态的实证考察
为真实反映我国侵犯公民个人信息犯罪的基本状况,笔者以浙江省宁波市的基层法院2017年~2021年共计166份刑事一审裁判文书为观察样本,以期管中窥豹,探明此类犯罪的趋势、特征及规制现状。
(一)侵犯公民个人信息犯罪的基本特征
1.案件数量呈总体增长态势
从结案时间来看,2017年7件,2018年35件,2019年44件,2020年38件,2021年42件。逐案分析可见,个案涉及的信息数量较大,信息类型涵盖几乎所有民生领域,其社会危害性已不容忽视。案件的总体增长可反映两方面问题:其一,高度网络化的社会为公民个人信息的非法获取、使用提供了土壤;其二,刑法修正案(七)(九)和《解释》对犯罪主体的扩展和刑罚标准的提升,为打击犯罪提供了依据,使愈来愈多侵犯公民个人信息行为被纳入刑事规制范畴。
2.个人信息监守自盗现象频发
从获取个人信息的手段来看,样本载明的采用购买、骗取、窃取等其他非法手段的共90件,通过职业便利获取个人信息的共37件。在通过职业便利获取个人信息的案件中,合法占有公民个人信息的国家机关工作人员、公司员工等与其他人员相互勾结,将公民个人信息出售牟利,对个人信息安全造成极大威胁。从《解释》第5条第1款第(8)项规定的对履行职责或提供服务中获取的个人信息出售或提供给他人的情形认定为情节严重的数量标准予以减半,可见立法已关注到因职业便利合法占有个人信息已成侵犯公民个人信息犯罪的重要源头。
3.获取经济利益成犯罪主要驱动力
从获取个人信息的用途来看,用于出售牟利的72件,用于商业推销的32件,非法提供给他人的29件,用于后续开展诈骗、盗窃、赌博等犯罪活动的8件,用于私人调查、非法跟踪他人的2件;从违法所得金额来看,在体现该情节的85份判决书中,违法所得共计352万余元,平均每件4.1万余元。借助互联网技术手段,犯罪人往往以几乎零成本的方式获取个人信息,再以高价出售给他人,体现出较强的牟利目的。
4.个人信息黑灰产业链条已形成
样本中,认定为共同犯罪的共29件,犯罪形态主要有两类:一是上游犯罪的共同犯罪,即行为人之间存在共同故意,共同实施了侵害公民个人信息的行为;二是下游犯罪的共同犯罪,即犯本罪行为主体与下游犯罪行为主体发生重合。从构成数罪的8案9人来看,涉及的其他罪名有盗窃、诈骗、帮助信息网络犯罪。黑灰产业链条的形成致使犯罪人实施的下游犯罪更为精准,危害性更为凸显。
5.犯罪行为渗透性、犯罪对象群体性特征明显
在对涉案个人信息数量作出认定的156份判决书中,个人信息总数达6.48亿条,平均每件涉及个人信息415万余条。从信息类型来看,业主房产信息68件,网络行为信息12件、车主信息11件、股票证券信息6件、财产信息12件、教育信息6件、户籍信息9件、定位信息3件、通讯信息3件。可见,侵犯公民个人信息犯罪已渗透至公民生活各个方面,受侵害的个人信息主体呈现群体性。
6.犯罪手段呈现非接触式特征
样本中,个人信息的批量转移、传输几乎均依托互联网进行,采用黑客手段等非法网络手段获取个人信息的17件。侵害公民个人信息行为多以社交网络为载体,个人信息传播途径迅速且隐蔽,且信息主体缺乏被害感知,犯罪人又往往隐匿真实身份,显著加大了查处难度,也使得公民维权愈加艰难。
(二)侵犯公民个人信息罪的刑罚样态
1.信息数量和违法所得为定罪量刑的重要情节
《解释》第5条、第6条将信息数量和违法所得金额作为认定情节严重和情节特别严重的主要标准。司法实践中,对二者加以综合判断方可对犯罪作出全面的刑法评价。经样本统计,具有数量情节的被告人共365人,具有违法所得金额情节的被告人共174人。
2.刑罚呈轻缓化态势
在408名被告人中,自然人被告人400人,单位被告人8个。在自然人被告人中,被判处缓刑人数312人,占78%。缓刑的适用与犯罪情节、退赔情节、再犯风险等因素直接相关,高缓刑适用率一方面体现出样本案件的犯罪严重程度尚未达到刑法第二百五十三条之一规定的情节特别严重;另一方面反映出此类犯罪刑罚呈现轻缓化态势。
3.单位的低刑事追诉率与犯罪实际尚存偏差
样本中,涉单位犯罪共8件,占4.8%,其中装修公司犯罪的7件,资产管理公司犯罪的1件。不少自然人犯罪案件中,其所在公司作为利益归属方却未受到刑事追诉。笔者推测该现象可能由于公司将相关责任归结于员工个人行为,或员工无法自证其犯本罪系受公司授意。个别单位犯罪主体系在当地有较高知名度的企业,犯罪行为人系公司高管,这体现出对企业的内部管理和外部监管亟待加强。
4.共同犯罪存在罪名争议
在共同犯罪的罪名适用中,对同一行为人非法获取个人信息又实施其他犯罪的,实践中存有争议。因宁波地区可考察样本不多,笔者经在中国裁判文书网作文书检索,发现有法院认定应实行本罪与后罪数罪并罚,[1]也有法院认定非法获取公民个人信息行为系其他犯罪行为的手段,二者存在牵连关系,应择一重罪定罪处罚。[2]可见,对于共同犯罪形态中本罪与下游犯罪之间关系的探讨尚有待深入。
5.罚金数额与违法所得的相关性不明显
侵犯公民个人信息犯罪具有明显牟利性,有必要通过财产刑的制裁以提高行为人的犯罪成本。《解释》第12条对罚金数额标准采取倍数罚金制,规定罚金数额一般在违法所得的1倍以上5倍以下。而在对违法所得作出认定的样本判决书中,罚金数额与违法所得之间的关系显得飘忽,在具有相似犯罪情节的情况下,判决的差异性不同程度存在。多数案件的罚金数额低于违法所得的2倍;在极少数判处5倍罚金的案件中,违法所得金额较低,罚金数额并不高;个别案件的罚金数额低于违法所得。
二、溯源:侵犯公民个人信息罪刑事规制成效受限的原因透视
通过对侵犯公民个人信息罪罪刑样态的实证观察可以发现,司法实践中,犯罪认定、司法理念、刑罚配置等方面均存在一定问题,造成这种现象的原因是多方面的。
(一)立法指引不足造成信息数量认定精细化和规范化有限
侵犯公民个人信息罪属于典型的情节犯,《解释》对信息数量的构罪标准规定了具体的认定规则,对于区分罪与非罪、罪轻与罪重提供了指引。尽管对于本罪的认定不唯数量而论,对于出售、提供公民个人信息用于他人犯罪、曾因侵犯公民个人信息被刑事处罚或2年内受行政处罚、造成严重后果等情形,可不考虑信息数量情节而直接认定为情节严重和情节特别严重,但信息数量仍在很大程度上反映被告人的主观恶性和社会危害性,应作为量刑的主要考量因素。笔者分析样本发现,有的判决书仅将信息数量描述为大量,有的判决书回避了对信息数量的阐述,仅有极少数判决书载明涉案信息核定的程序和结果。[3]《解释》将信息数量单位表述为条,而有的判决书表述为份,二者存在计算或认定标准上的微妙差异。由此推之,法院在认定个人信息数量上或许存在一定困惑,引致在信息数量达到情节严重、情节特别严重标准后,在司法认定中存在避难就易的倾向。在立法层面,《解释》第5条第1款第(6)项规定的比例计算规则仍然不够明确,在司法实践中存在解释空间;《解释》第11条第1款、第2款对信息条数的累计计算规则作了明确,而第11条第3款规定的对批量信息条数的认定缺乏证明标准,尚不能为司法认定提供直接指引,亦成为导致同案不同判的重要因素,有必要就信息数量的认定规则作进一步探讨。
(二)承继于隐私权保护模式的规制思路导致对信息滥用行为涵摄不足
我国个人信息保护最初以隐私权保护为核心,个人信息保护的重点在于其私密性和可控性,侵害个人信息的行为类型主要体现为未经许可而获取他人个人信息的信息转移行为。侵犯公民个人信息罪的规制思路亦主要以制裁非法转移型侵害行为为主。随着互联网环境的深度发展,个人信息的共享性特征愈发凸显,个人信息已呈现区别于个人隐私的非独占排他、公开分享的独立特性,对个人信息已不能简单通过保护隐私权的规制手段进行保障。[4]在个人信息的商业价值逐步显现的时代背景下,商业主体通过打包授权、第三方接转等隐蔽手段而合法取得个人信息并予以滥用的情形日益普遍。目前刑法规制的个人信息侵害形态包括出售、提供、窃取及以其他方法非法获取个人信息,体现为以转移型侵害为核心的个人信息刑事规制逻辑,忽视了信息主体对信息的自主控制和自主使用,无法满足对个人信息权全面保护的需求,致使以信息滥用为表现形式的侵害行为无法纳入刑事规制的范畴。譬如,商业主体往往最大限度获取用户个人信息,并设置隐蔽条款诱使信息主体进行自主授权或提供第三方授权接口,以实现商业反复套利,而此种情形下却难以追究商业主体诱使信息主体自主授权及信息泄露的刑事责任。
(三)单位犯罪认定的不确定性引致刑法打击不力
刑法第二百五十三条之一明确单位可构成侵犯公民个人信息罪,体现了刑法惩治个人信息领域单位犯罪的初衷。而分析样本发现,在利用职业便利的公司业务员犯罪中,将犯罪人所在公司认定为单位犯罪的屈指可数。刑法第三十条仅对单位犯罪应当追究刑事责任进行宣示性规定,未能揭示单位犯罪的本质属性,导致对于单位人员实施的犯罪究竟应归责于单位还是自然人缺乏界分标准,使得对单位犯罪司法认定处于不确定状态。如此将至少引致两方面问题:一是加剧单位侵犯公民个人信息行为。样本中,不少被告人系公司业务员,其通过购买、同行交换等方式获取个人信息系出于商业推广的目的,而公司作为利益的主要享有者,在承担责任时却隐于幕后,即使在个别案件中被追究刑事责任,依照刑法规定也仅是单处罚金,犯罪收益与成本严重失衡;二是破坏健康有序的市场环境。信息时代不少企业业务均可为其带来获取个人信息的便利,其以个人信息为桥梁实施的商业行为多涉及不正当竞争,对市场环境影响恶劣。单位犯罪规制力度的缺失将导致自然人犯罪以获取单位非法利益的行为愈演愈烈。刑法修正案(九)增设了禁业限制规定,确定对于利用职业便利实施本罪的,可剥夺其一定时期之内从事相关职业的资格,体现了报应与预防并合主义的刑罚目的观,可一定程度上减轻单位犯罪规制的弊端。实践中,单位负责人及工作人员实施本罪往往利用职务便利,而样本中无一例对该类主体适用禁业限制规定,该条款几乎沦为虚置。
(四)罚金刑失之于宽限制惩罚与预防功能的发挥
刑罚轻缓化作为法治国家刑罚体制改革和人道主义思潮的必然产物,主要体现为人身自由刑的轻缓化,侵犯公民个人信息罪的高缓刑适用率可明显反映该趋势。刑罚轻缓化的另一面则是更为凸显罚金刑和资格刑的刑罚结构,而实践中,罚金刑却似乎也呈现轻缓化趋势,通过罚金刑增加犯罪成本的效用发挥不明显。在立法层面,侵犯公民个人信息罪被归属于刑法分则第四章,个人对自身特定的可识别信息的自主权为本罪的保护法益,[5]隐含着侧重于保护人身权利的预设,对财产权利的保护相对弱化,导致罚金数额整体不高。同时,立法对罚金数额的规定区间较为宽泛,各地法院对罚金量刑标准把握不一,导致同地区之间的量刑不均衡。尽管《解释》第12条对罚金数额与违法所得的倍数关系采用了一般的措辞,且观察其他应处罚金刑的犯罪,判决罚金数额达到违法所得3倍至5倍的也并不多见,但笔者之所以在本罪领域对该问题着重讨论,缘于绝大多数侵犯公民个人信息犯罪均以获取经济利益为目的,提升罚金数额的必要性尤为突出。特别是在本罪缓刑适用率居高不下的当下,加大罚金刑的处罚力度、具体化罚金刑的裁量标准已成必须。
(五)维权途径欠缺加大信息安全风险
在公民个体与社会空间日趋融合的背景下,个人信息的收集无处不在,个人信息的公共流通愈加频繁。在拥有各种数据挖掘和分析技术的商业主体面前,信息主体几乎无抵御之力。在与公民生活息息相关的房屋装饰装修、手机应用软件使用、商品购买等需要提供个人信息的日常活动中,信息安全只能寄希望于相关主体的职业道德。加之信息侵害具有隐蔽性,信息主体往往后知后觉,侵害行为所导致的后果已然产生,又将在网络传播中愈发失控而难以弥补。当公民诉诸公安、司法机关时,往往又因举证能力欠缺而难以实现有效救济。民事诉讼法第五十八条虽规定了民事公益诉讼制度,但目前个人信息保护民事公益诉讼寥寥,已有实践多系人民检察院在履行监督职责中发现案件线索而提起公益诉讼。公民欲实现其权利救济,几乎只能依靠公权力机关的主动作为。侵犯公民个人信息犯罪与电信诈骗等犯罪活动联系紧密,公民是最易发现自己个人信息被侵害的主体,应注重发挥信息主体的自我救济在侵犯公民个人信息罪刑事规制中的重要作用,构筑和畅通信息主体有效维权渠道。
三、探寻:侵犯公民个人信息罪刑事规制优化之路径
侵犯公民个人信息犯罪呈现的多端样态及刑事司法治理中存在的种种问题,对侵犯公民个人信息犯罪的规制提出更高要求。实现刑事规制的预期价值目标,应从司法理念、刑罚配置、制度优化等多维度入手,推动此类犯罪刑事规制有力有效。
(一)强化刑事司法与前置性规范的有机衔接
1.犯罪认定之衔接
为维护法秩序的统一性,避免前置法与刑法评价之间的断层,或前置法未界定为违法的行为反而被刑法僭越评价,应对刑法第二百五十三条之一中的国家有关规定予以明确。《解释》第2条明确国家有关规定包括法律、行政法规、部门规章。可见,唯有国家层面的规定方能成为侵犯公民个人信息犯罪的前置性规范,不能扩大解释到地方性规章等,以防止刑法适用的不准确。我国对公民个人信息立法采用分散立法模式,通过民法典和刑法条文,以及数据安全法、网络安全法、个人信息保护法等单行法,形成统一的个人信息保护法律体系。因相关条款相对零散且各有侧重、互有交叉,在依照前置法进行行为界定时,应注重把握各个条款之间的协调及协同适用。在个人信息处理者违法行为的明确上,个人信息保护法涵盖了个人信息的所有处理过程,明确了个人信息处理者的义务和法律责任,能为入罪的行为类型认定勾勒轮廓。在个人信息数量认定上,民法典、网络安全法、个人信息保护法均试图明确个人信息概念,将身份可识别性作为厘定个人信息的范围边界已成共识,故刑法中的个人信息概念亦应要求可识别性。实践中存在匿名化技术差异及识别认定标准不一的问题,导致对本罪的犯罪对象与数量的认定存在争议,应在前置性规范基础上进一步细化相关认定标准,并随着社会的发展变化动态调整和丰富个人信息的种类和内涵,以益于对侵犯公民个人信息犯罪对象与数量的准确查证。
2.刑罚配置之衔接
在罚金刑方面。我国刑法上的罚金刑与行政法上的罚款,虽然适用前提迥异,但均系对行为人的金钱制裁措施。《解释》第12条规定了倍数罚金制,而一些行政法律、法规中对行政罚款规定了限额标准,如个人信息保护法第六十六条、网络安全法第六十四条等,致使在金钱制裁方面,侵犯公民个人信息罪的刑事责任可能比行政责任更轻。笔者认为,对于罚金刑和罚款的严厉性差异,在立法中应有所体现。倍数罚金制以行为人违法所得作为基数,在适用上有相对明确的标尺。而衡量此类犯罪的情节需考量多维度要素,包含信息数量、违法所得、主观动因、行为次数、犯罪后果等,无逐利意图的侵犯公民个人信息行为仍然存在。因而,确定罚金刑数额不能唯违法所得金额论,应分类处之。对于无违法所得的,或单纯违法所得情节未达到构罪标准的,在充分考虑与行政法律、法规规定的行政违法行为之同质性的情形下,参照上述条款处一定数值区间的罚金;对于有违法所得,或单一违法所得情节达到构罪标准的,则可适用《解释》第12条的倍数罚金制,至于1倍至5倍之间的具体数额确定,应综合衡量其他情节。
在自由刑方面。观察我国立法中涉侵害公民个人信息的行政处罚条款,网络安全法第六十七条规定了对网络运营者处以行政拘留的期限;个人信息保护法第七十一条规定对违反该法构成违反治安管理行为的,依法给予治安管理处罚。此外,涉公民个人信息条款规定的行政处罚主要有对单位主体责令改正、没收违法所得、罚款、停业整顿,对主要责任人罚款。从剥夺人身自由的期限来看,行政拘留期限不超过15日,侵犯公民个人信息罪最低自由刑即拘役的最低期限为1个月,出现了责任承担中的空隙,而这种断层在目前立法体系下实属无法避免。应在相关行政法律条文中将处以行政拘留的主体扩展至网络运营者之外的一般主体,以尽可能缩小行政责任与刑事责任之间的差距。
(二)将信息滥用型侵害行为纳入刑事规制范畴
1.滥用个人信息行为的具象化
罪刑法定原则要求对入罪行为的规定应明确、具体,侵犯公民个人信息罪作为法定犯,要求入罪行为必须以违反国家有关规定作为前提。根据个人信息保护法第十三条、第十四条、第十七条,网络安全法第四十一条的规定,处理个人信息须取得信息主体的明示同意,并以真实、准确、完整的方式向信息主体告知处理目的、处理方式、处理的信息种类等。由此可确定滥用个人信息行为应包括以下类型:一是未经信息主体明示同意而使用其个人信息;二是虽经信息主体明示同意,但未以显著方式、清晰易懂的语言向信息主体告知使用目的、方式及范围;三是虽向信息主体明确告知使用目的、方式及范围,但超出此前约定的使用目的、方式及范围而使用个人信息的行为。
2.情节严重的界定
为准确界分信息滥用的犯罪行为与一般违法行为,应以情节严重作为犯罪构成要素。《解释》第5条从侵害行为涉及的信息数量、种类、违法所得、信息流向等方面对侵犯公民个人信息罪中的情节严重提供了相对明确的单独及混合认定标准,这些标准都可为确定信息滥用行为的入罪标准提供参考。实践中,信息滥用的主要行为形态,如恶意隐瞒使用目的、采用欺诈手段获取同意、批量信息滥用、依职务之便获取后滥用等,体现出较之于个人信息保护法、网络安全法中规定的不当处理情形更为严重的社会危害性。上述行为形态可与《解释》第5条规定的认定要素共同构成认定信息滥用行为情节严重的具体标准。
3.直接故意的主观要件
刑法及《解释》规制的侵犯公民个人信息罪行为均体现出积极追求的特征,信息滥用行为一般表现出主观心态上的恶意欺诈、隐瞒等,故应将直接故意作为其主观要件。较为突出的信息滥用行为系商业主体通过隐蔽方式不当使用个人信息致使信息失控,其最为严重的危害性体现为公民对信息的失控,以及信息控制主体对第三方隐蔽赋权之后公民对信息的失控。对于此种情形,如信息控制主体与第三方达成共同犯意,积极追求滥用后果发生,则应以侵犯公民个人信息罪定罪;如信息控制主体对第三方使用个人信息的方式、范围、用途等未尽监管义务,放任其滥用,可将其纳入拒不履行信息网络安全管理义务罪予以规制。
(三)加大对单位犯罪的打击力度
1.明确个人信息单位犯罪与自然人犯罪的界限
尽管刑法对单位犯罪规定的刑罚局限于罚金刑,震慑力相对有限,但在个人信息犯罪领域讨论单位犯罪和自然人犯罪的界分,除却犯罪主体与犯罪归责和刑罚配置之逻辑关联的普遍意义之外,还有其现实迫切性。商家因管理不当而泄露个人信息、因追逐利益而主动向他人提供个人信息,抑或依托个人信息进行业务扩张的现象层出不穷。单位作为主体侵犯的个人信息数量和被害人数量往往更为庞大,进而体现出更为显著的社会危害性。理论界关于单位犯罪与自然人犯罪界分的标准聚讼纷纭,[6]笔者认为,二者之界分应从主客观方面综合考虑:一是犯罪行为体现单位意志。应主要审查犯罪行为是否体现单位决策机构或负责人的意志,经上述主体决策或同意。若行为人实施的行为未经决策或同意,但符合单位操作规定或习惯,也应视为体现单位意志。二是应以为单位牟取不正当利益为目的。此处的利益类型不仅包括经济利益,也包括减少支出、压缩成本等。
2.激活单位犯罪从业禁止条款
刑法第三十七条之一规定了从业禁止的非刑罚处置措施。刑法修正案(九)规定人民法院可以根据犯罪情况和预防再犯罪的需要适用从业禁止,为法院保留了利益衡量的空间。而样本中,从业禁止的适用却无人问津。笔者推测有两方面原因:一是在适用该条款时,法官需首先明晰行业对从业者的义务性规定,散落在各单行法中的条款增加了适法难度和司法压力;二是立法并未将从业禁止的适用作为必须,属授权性的利益分配模式。[7]从域外立法来看,法国、西班牙、俄罗斯在刑法典中规定从业禁止为附加刑,对其适用表述为“应当”而非“可以”。[8]面对个人信息领域监守自盗现象日益凸显的态势,法院应从刑事领域诉源治理的角度出发,能动作出价值选择,在审慎分析从业禁止必要性的前提下,加大该措施的适用,引导易接触个人信息者恪守职业道德规范。在适用主体上,应明确从业禁止可在遵循必要性和适当性原则的前提下适用于单位,弥补单位罚金刑的不足,有效消除单位再犯条件。
(四)构筑公民个人信息维权渠道
1.保障信息主体的自诉救济
笔者通过裁判文书检索,发现此类犯罪中被害人提起自诉的寥寥无几,且均以缺乏罪证、[9]不属于法院受理的自诉案件范围为由被法院裁定不予受理。[10]侵犯公民个人信息罪与刑法规定的亲告罪所保护的法益本质上均属于受公法保护的私人权利,考虑到侵犯公民个人信息犯罪的高隐蔽性,应赋予被害人自诉的权利,从而为其权利恢复寻求最佳方案。在举证责任方面,刑事诉讼法第二百一十条规定刑事自诉案件中的被害人应承担举证责任,而在侵犯公民个人信息犯罪案件中,公权力机关调查取证尚且存在难度,更不要说作为被害者的信息主体。因此,对于此类犯罪自诉案件的证明标准应予以降低,如设置一定条件下的举证责任倒置规则,促使信息主体在发现其个人信息受到侵害时及时提起自诉,弥补公权力机关主动发现和惩治犯罪的滞后性。
2.推动个人信息公益诉讼的实质化运作
个人信息保护法第七十条正式将个人信息保护纳入公益诉讼法定领域。笔者在文书检索中发现个人信息公益诉讼多以刑事附带民事公益诉讼的形式出现,检察院在起诉主体上占据绝对比重,案件线索基本由检察院在办理刑事案件或开展专项监督行动中获得,存在问题线索发现渠道单一、刑事高证明标准限制公益诉讼适用前提等问题,公益诉讼制度在个人信息保护领域的效果发挥极为有限。我国立法未赋予公民、企业提起公益诉讼的主体资格,而信息主体往往较之于消费者组织等更具亲历性和利益相关性,由其参与公共利益的决策过程,更符合实质正义要求。应为公民、企业等社会个体参与公共利益决策构建理性协商论辩的制度机制,通过构建个人信息公益诉讼线索举报平台、畅通问题发现反馈渠道,使更多案件进入有起诉资格主体的视野,使个人信息保护法中的个人信息公益诉讼制度发挥实效。
(五)构建企业个人信息使用合规机制
1.优化互联网企业隐私政策
个人信息保护法第五条规定,处理个人信息应当遵循合法、正当、必要和诚信原则。正当与必要的要求尚无具体解释,而通过制定隐私政策来履行对信息主体的告知义务,俨然已成为互联网企业成本最低的免责方式。应用软件隐私政策需要在手机上安装后或者安装过程中才能显示,用户一般需要勾选同意该隐私政策才能进一步完成安装。尽管隐私政策会提供同意或不同意的选项,但若用户选择不同意,则下一步极有可能是退出或重新选择,从而使不同意选项形同虚设。[11]这种通过冗长而晦涩的条文获取用户的形式同意,或通过让用户打勾以一站式获得用户授权的方式,实质上剥夺了用户的事先知情权和选择权。在隐私政策的内容设计上,企业应注重政策文本的全面、准确以及语言的通俗化,以更为显著的方式让用户了解企业处理个人信息的流程和规则。同时,企业应充分认识到隐私政策绝不是收集和使用用户个人信息的免责条款,而应将其作为企业自我制约的规范,保持对用户隐私的充分尊重。
2.弥补个人信息监管漏洞
在保障信息主体的知情权和选择权的同时,企业应强化隐私风险意识,完善技术保障,避免个人信息遭到泄露之后产生难以修复的损害后果。应做好客户信息使用的全流程把关,建立合规审计、风险预警等内部监管机制,并通过技术赋能不断实现对用户信息匿名化操作的优化升级。应注重培育企业个人信息使用合规文化氛围,将个人信息使用合规意识培养纳入员工培训体系,强化该领域法律知识的普及。行业组织可针对行业特点,制定该行业的场景化隐私风险评估工具,为企业在信息收集、使用、存储等全流程中的隐私风险避免提供指引。
【注释】
作者单位:浙江省宁波高新技术产业开发区人民法院
[1]参见福建省安溪县人民法院(2016)闽0524刑初300号刑事判决书。
[2]参见广东省茂名市电白区人民法院(2015)茂电法刑初字第858号刑事判决书。
[3]参见浙江省慈溪市人民法院(2019)浙0282刑初133号刑事判决书、浙江省宁波市北仑区人民法院(2020)浙0206刑初284号刑事判决书。
[4]李婕:“刑法如何保护隐私——兼评刑法修正案(九)个人信息保护条款”,载《暨南学报(哲学社会科学版)》2016年第12期。
[5]周光权:“侵犯公民个人信息罪的行为对象”,载《清华法学》2021年第3期。
[6]杨国章:“单位犯罪与自然人犯罪的界分”,载《东方法学》2011年第29期。
[7]张斌:《利益衡量论——以个人主义方法论为视角的现代立法研究》,海天出版社2015年版,第145~146页。
[8]罗丽、朱李越:“侵犯公民个人信息罪的司法困境与立法完善”,载《中州学刊》2021年第4期。
[9]参见河南省郑州市二七区人民法院(2020)豫0103刑初386号刑事裁定书。
[10]参见广东省深圳市坪山区人民法院(2020)粤0310刑初180号刑事裁定书。
[11]李延舜:“我国移动应用软件隐私政策的合规审查及完善——基于49例隐私政策的文本考察”,载《法商研究》2019年第5期。
|