|
【202210014】数字经济时代侵犯公民个人信息的防控路径
文/沈言;焦舒
作者单位:上海市第二中级人民法院
专题分类:个人信息保护
期刊栏目:本期策划——公民个人信息的刑事保护
党的十九届五中全会审议通过的“十四五规划”提出:要推进网络强国建设,加快建设数字经济;培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,促进共享经济、平台经济健康发展。在数字经济发展过程中,数据的价值与战略地位不断提升,数据安全问题也愈加凸显。2021年“3·15”晚会上曝光了大量商户使用万店掌摄像头收集消费者的人脸数据,智联招聘等大型线上招聘平台将获取的公民简历信息违规提供给他人,部分APP过度收集用户信息……数据泄露、数据滥用、非法买卖公民个人信息等安全问题层出不穷,任何侵犯公民个人信息的行为都可能造成对公民人格利益、财产利益与社会利益的侵犯。[1]
数据安全法第三条规定,数据是指任何以电子或者其他方式对信息的记录。数据是信息的载体,经过加工处理后的数据是信息。个人信息具有个人和社会的双重属性,对个人信息的保护涉及复杂的利益平衡。信息保护是对公民个人隐私的保护和尊重,但是对公民个人信息过度保护可能会阻碍对数据的大规模开发和应用。[2]我国现行法律采取的是利益衡量进路,更为强调对数据科技产业及数据经济的保护与对社会秩序的控制。[3]2009年刑法修正案(七)增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,刑法修正案(九)将两罪合并为侵犯公民个人信息罪;2017年最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息犯罪司法解释》),就侵犯公民个人信息罪的司法适用问题作出解释。2021年1月1日民法典施行,打破了对公民个人信息保护“刑法先行”的局面。2021年8月20日,十三届全国人大常委会第三十次会议通过了个人信息保护法,构建了以“告知-同意”为核心的处理规则。但是,我国目前对公民个人信息的保护仍存在刑事法规制不力、前置法法律不健全和管理不到位的局面。笔者通过案件统计,分析侵犯公民个人信息罪在实践中的适用效果,结合民法典、个人信息保护法的规定,探索公民个人信息保护、信息自由流通、数字经济发展的利益平衡之路。
一、上海法院审理侵犯公民个人信息犯罪案件情况及案件特点
通过上海法院法官办案智能辅助系统(以下简称C2J系统)查询,2015年至2021年上海市各区法院就侵犯公民个人信息罪(非法获取公民个人信息罪或非法提供公民个人信息罪)作出的一审判决书共计631篇(截至2021年2月21日,笔者在上海法院法官办案智能辅助系统查询到2015年1月1日至2021年12月31日期间非法获取公民个人信息罪、非法提供公民个人信息罪、侵犯公民个人信息罪一审案件共计631件)。
2015年至2018年4年间侵犯公民个人信息案件数量呈上升趋势,其中2018年案件数量最多,达149件,2019年、2020年侵犯公民个人信息案件数量有所下降,但是2021年案件数量又有所上升。
侵犯公民个人信息犯罪案件呈现如下特点:
(一)侵犯公民个人信息种类多样、数量庞大
通过案件统计发现,被告人通过非法手段提供或者获取的公民个人信息种类繁多,可以概括为以下几类:第一类系身份信息,主要包括公民姓名、手机号码、身份证号码等;第二类系财产信息,主要包括银行卡号、支付密码、交易记录、房屋产权信息等;第三类系通信信息,主要包括行踪信息、通讯记录、手机定位等信息。侵犯公民个人信息的数量庞大,侵犯公民个人信息数量5千条以上的案件共计511件,占案件总数的81%。其中侵犯5千条以上1万条以下的案件共计114件,占案件总数的18%,侵犯1万条以上10万条以下的共计259件,占案件总数的41%;10万条以上100万条以下的共计114件,占案件总数的18%;100万条以上的共计25件,占案件总数的4%。如被告人龚某通过技术手段连接并登陆“暗网中文交易论坛”向他人购买了12306购票用户信息50万余条,再如被告人茅某等人建立域名为91cf.com的网站,供他人查询或买卖公民个人信息共计630万余条,非法获利共计7万余元。
(二)单位“内鬼”成为侵犯公民个人信息犯罪的重要主体
通过案件统计发现,部分被告人利用职务或工作便利,非法收集、交换、出售公民信息,从中牟利。此类案件共计有108例,占比为17%。“内鬼”涉及的职业主要有保险公司员工、银行职员、航空公司职员、快递员等,虽然比例不是很高,但是“内鬼”掌握个人信息具有便利性,其泄露个人信息的危害性更高。例如,被告人陈某利用担任派出所特保人员的便利,违规使用民警的数字证书在公安内网上查询公民开房记录、实际居住地等相关个人信息出售牟利,共计获利2.4万余元。再如,快递员林某非法登入快递系统后盗取客户个人信息(含收件人姓名、手机、地址等信息),后经由网络传递给张某某出售,共计获利2.9万余元。掌握个人信息的单位人员本是保护个人信息的主体,但“内鬼”利用其特殊身份,任意查询并非法提供、出售公民个人信息,使公民信息的“保护墙”形同虚设,其社会危害性极大,由此反映出相关从业人员道德欠缺、法治观念缺失,相关行业监管力度不足等问题。
(三)通过高科技手段获取海量公民个人信息
近年来,被告人通过网络爬虫程序窃取网站或者APP用户信息,通过黑客手段攻击入侵网站获取用户信息;建立网站吸引用户注册登录后获取用户信息;通过远程操控软件进入公司内网系统,下载公民个人信息等利用高科技手段侵犯公民个人信息的案件不断涌现。例如,被告人吴某编写爬虫软件,通过自动登录、批量下载、筛选整理的方式,非法获取住建委服务器中存储的从业人员信息;被告人钱某将路由器接入某银行内网系统,通过路由器发射出无线信号,由王某进入银行内部网络,登录央行征信中心网站系统,获取公民征信信息后出售牟利等。随着科技的发展,高科技手段也被部分犯罪分子利用,行为人能够在最短时间内获得海量公民个人信息,对个人、公司利益、社会数据安全构成了巨大威胁,同时高科技犯罪手段也给办案机关侦破案件带来了巨大的挑战。
(四)侵犯公民个人信息呈团队化犯罪模式
近年来,在侵犯公民个人信息犯罪案件中,行为人呈现出明确的分工合作,在远程、非接触的状态下跨省、多地域借助网络平台实施侵犯公民个人信息犯罪,共同犯罪比例不断升高。主要包括以下几种类型:第一类,单位为提升公司业务而非法获取公民个人信息的单位犯罪。例如为开展经营业务,公司负责人授意员工将公司在经营过程中获取的简历与他人交换,以获取更多的公民个人信息用于拓展公司业务。第二类,高科技犯罪手段下的分工合作。该类案件一般由一名被告人负责攻击入侵网站或者通过APP获取用户信息,他人将获取的公民信息非法出售。第三类,单位“内鬼”与他人合谋,“内鬼”利用职务或工作便利获取公民个人信息,再由他人负责出售以牟取共同利益。
(五)侵犯公民个人信息成为网络犯罪黑灰产业的关键环节
当前,传统犯罪加速向网络空间蔓延,网络犯罪往往形成较为固定的犯罪利益链条:上游为犯罪团伙提供技术工具、收集个人信息等;中游实施诈骗或开设赌场等网络犯罪;下游利用支付通道“洗白”资金。数据显示,有1/4的网络诈骗是在获取公民个人信息后“精准出手”,有针对性地实施犯罪,侵犯公民个人信息已成为网络犯罪黑灰产业的关键环节。
二、侵犯公民个人信息罪的司法适用
上海法院2015年至2021年审理的侵犯公民个人信息罪案件中适用速裁和简易程序的共计423件,占案件总数的67%;适用普通程序的共计208件,占案件总数的33%,速裁和简易程序适用率较高。随着2021年1月1日起民法典的施行以及2021年11月1日起个人信息保护法的施行,侵犯公民个人信息罪作为法定犯,前置法的变化对于该罪的适用会产生一定影响,笔者将结合实践热点,分析具体法律适用问题。
(一)公民个人信息的范围
信息化时代的公民个人信息,虽然首先是作为一连串的数据出现的,但却不仅止于此,它更是公民的一项权利,是公民对于自身的个人信息享有使用与不受侵犯的权利。侵犯公民个人信息罪作为法定犯,前置法的制定与修改对其法律适用具有重要影响。民法典、网络安全法都采取了概括+列举的方式界定个人信息的范围,将可识别性作为判断是否属于公民个人信息的条件。民法典在列举中增加了电子邮箱和行踪信息,同时在疫情防控的大背景下,特别考虑到了公民健康信息的重要性和敏感性,也通过明确列举的方式确认公民健康信息为个人信息;个人信息保护法采取“已识别”或“关联说”——与公民个人有关的信息,未列举具体的信息类型。公民个人信息从可识别性发展到关联性,公民个人信息的范围有所扩大。前置法不断扩大公民个人信息的范围,是对公民个人信息保护强度的加大。
《个人信息犯罪司法解释》将公民个人信息概括为是单独识别或结合识别公民个人身份或者活动的信息,并列举了姓名、身份证件、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等具体信息类型。《个人信息犯罪司法解释》将信息分为3类并设置了不同的入罪标准:第一类为与公民人身、财产直接相关的信息,包括行踪轨迹信息、征信信息、财产信息;第二类为可能影响公民人身、财产安全的信息,包括住宿信息、通信信息、健康生理信息、交易信息等;第三类为除去上述信息以外的一般信息。民法典、个人信息保护法对公民个人信息范围有所扩大,但刑法在适用时仍应当坚持罪刑法定原则,坚持可识别性标准,对于无法直接或者无法结合识别特定公民个人身份的信息不纳入刑法规制范围,而由民法、行政法予以调整,构建民、行、刑保护公民个人信息的纵深递进格局。
(二)公民个人信息的处理
《个人信息犯罪司法解释》解释了提供与获取的含义,对于公民个人信息处理的具体形式包括购买、收受、交换、收集、窃取等。民法典第一千零三十五条规定,个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。在处理类型方面,民法典将信息的收集、传输、运用等信息处理的各个阶段纳入保护范围。刑法规定的获取、提供,可以对应民法典规定的收集、提供、公开、传输行为,但是对于存储、利用、加工行为,刑法并未将其纳入规制范围。根据罪刑法定原则,不能将存储、利用、加工公民个人信息的行为按照提供或者获取的方式进行类推适用。对于实践中非法利用公民个人信息的行为,可以通过刑法其他罪名予以规制。例如李某向他人购买在某购物网站发表差评的买家个人信息,后冒用买家身份,骗取客服审核通过后重置账号密码,登录购物网站内部评价系统,删除相关差评。法院认为李某对计算机信息系统内存储的数据进行删除、修改、操作的行为,构成破坏计算机信息系统罪。[4]笔者认为,李某的行为实质是非法利用公民个人信息的行为,但是刑法没有将非法利用公民个人信息列入规制范围,法院认定其构成破坏计算机信息罪。若行为人存储、利用、加工的公民个人信息是非法购买、收集的,或者利用、加工后非法提供给他人的,可以以侵犯公民个人信息罪定罪处罚。
民法典第一千零三十五条明确了信息处理应当遵循合法、正当、必要的原则及告知同意规则,征得自然人或者其监护人同意的方可处理公民个人信息。违反上述原则(规则)是否构成刑法上的“违反国家有关规定”?笔者认为,不应一概而论,对于擅自处理他人信息,违反告知同意规则和行政法规规定或者双方的约定获取、提供公民个人信息的,可以认定为符合刑法规定的“违反国家有关规定”;对于违反必要、正当原则,笔者认为,该原则过于笼统,应当根据社会危害程度,综合考量案件具体情况作出处理。
(三)获取或提供公开信息行为的定性
我国现行刑法及相关司法解释并未考虑公开信息与非公开信息的界分,实践中对于行为人将工商网站企业负责人或者高管的信息下载整理后出售牟利、将房屋租售网站上公开的房屋权属信息整理后出售牟利的行为是否构成犯罪存在争议。民法典第一千零三十六条规定,合理处理自然人自行公开的或者其他已经合法公开的信息不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外,即民法典将信息分为公开信息与非公开信息,对于公民个人自行公开或者合法公开的信息,第三人可以不经过本人允许合理处理该信息。根据法秩序统一原理,民法规定的合法行为在刑法中不可能构成犯罪,反之可以成为刑法中的正当化事由。[5]在办案过程中,行为人获取、出售公开信息的行为是否构成犯罪,需要重新予以考量。
民法典对公开信息的处理有两个条件:第一,信息是公民自行公开或者合法公开的。侵犯公民个人信息罪是故意犯罪,对于知道或者应当知道该信息不是行为人自行公开或者合法公开的信息仍然收集、提供给他人,达到一定数量的,应当构成侵犯公民个人信息罪。第二,合理处理,除非该自然人明确拒绝或者损害该自然人的重大利益。那么合理的界限应当如何把握?如前述案例,以牟利为目的,下载、整理网站公开的信息进行售卖的行为是否属于合理处理的情形?再次出售、提供的行为是否需要获得权利人的二次授权?笔者认为,已经公开的信息不再属于权利人的隐私,而成为社会公开信息,是一种社会资源。行为人将该资源下载、整理的行为是对该资源价值的提高,并未损害任何一方合法利益,相反提高了社会资源利用率。售卖的牟利目的,是其整理数据的劳动报酬,无可厚非。从保护信息自由流通的角度出发,要切实防止只要获取个人信息后进行盈利活动或者超越信息初始公开使用场景,即认为超越了合理处理界限的规定。
(四)公民个人信息数量的认定
实践中,犯罪行为人为获取更多利益,可能会将虚假的公民个人信息与真实的公民个人信息混杂。虚假的公民个人信息不能识别到特定的公民个人,显然不属于侵犯公民个人信息罪的规制范围,因此从理论上说计算涉案公民个人信息时应将虚假信息予以删除。但是实践中,涉案公民个人信息数量庞大、类型复杂,将所有涉案信息的真实性、有效性一一验证会耗费巨大的人力、物力成本,耗费司法资源,明显不具有可行性。因此《个人信息犯罪司法解释》第11条第3款规定:对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明该信息不真实或者重复的除外。
笔者筛选出上海市2020年、2021年法院判决的侵犯公民个人信息罪案件,其中涉案公民个人信息1万条以上的案例共计90件,绝大部分案件公安机关均会委托鉴定机构对涉案公民个人信息进行去重、筛查,将重复信息、不符合号码规则(手机号、身份证号、银行卡号等)的信息予以删除后统计涉案信息数量;其中有5例案件公安机关或者公诉机关利用抽样核查的方法,对涉案公民个人信息的真实性予以验证。公安机关在海量信息中抽取一部分进行真实性核验,根据核验结果得出涉案信息有效性的比例,再综合全案对涉案信息的数量予以认定。由此可见司法实践中,办案机关均会对涉案信息进行去重处理,但由于信息真实性的核查成本高、技术难度大,办案机关进行信息核查的案例并不多。
侵犯公民个人信息罪中对涉案公民个人信息数量认定对于是否达到《信息犯罪司法解释》规定的“情节严重”“情节特别严重”具有重要影响,是认定被告人有罪或无罪、罪轻、罪重的重要标准。对于信息真实性的证明标准,2018年11月最高人民检察院发布检察机关办理侵犯公民个人信息案件指引,其中规定关于信息真实性的证据包括被害人陈述、被害人提供的原始信息资料、公安机关或相关单位出具的涉案公民个人信息与权威数据库内信息同一性的比对说明。但是对于百万、千万条海量信息进行比对明显是不可能的。2021年1月最高人民检察院发布的《人民检察院办理网络犯罪案件规定》第22条规定,对于数量众多的同类证据材料,在证明是否具有同样的性质、特征或者功能时,因客观条件不能全部验证的,可以进行抽样验证。对涉案海量的公民个人信息数量的认定,笔者建议采取抽样核查的方法验证信息的有效性,可采用简单随记抽样、等距抽样、分层抽样等方法。[6]但是要注意以下问题:第一,侦查机关应当根据鉴定机构去重后的信息进行抽样核查。第二,在核查过程中要注意遵循程序公正,操作规范。例如应当保证有两位办案人员进行核查工作,制作核查清单与核查报告等。第三,抽样应当对信息进行分类。对于一般公民信息,如手机号、身份证号码等应当分别抽样统计;财产信息、活动轨迹、生物识别信息,由于该类信息只要非法获取或者交易50条以上就可以构成情节严重,因此应当谨慎适用抽样核查方法。对该类信息一般应当一一验证真实性,在明显不可行的情形下,可以采取抽样核查的方法,但是抽样的比例应当高于一般信息的抽样比例。
三、侵犯公民个人信息行为屡禁不止的原因
数字经济下,个人信息背后存在着巨大的经济利益。个人与企业对利益的追求,网络犯罪的虚拟性、技术性,低成本的投入与高收益的回报等条件可能会使行为人走上犯罪的道路;刑事法律规制不力、行政法制与行政监管的缺位导致侵犯公民个人信息行为的泛滥。
(一)大数据时代下的利益驱动
大数据时代下,个人信息作为一种资源具有巨大的经济价值,公民的行踪轨迹、消费记录、财产情况等信息经过分析与处理后能够为行为人带来巨大的利益。在信息源头方面,“内鬼”利用其职务便利非法收集公民个人信息后出售或者提供给他人,其非法获利普遍高于普通交易公民个人信息行为;部分企业亦会将业务过程中获取的客户信息、简历信息等出售牟利;在信息流通方面,信息通常以电子形式储存,复制简单、传播迅速,犯罪行为人往往会在QQ群、微信群等线上渠道发送(买卖)公民个人信息。该种情形下,操作简便、犯罪成本低,短期即可获得高额收益。由此可见,在投入较低的经济与时间成本下,即可获得高额的收益,公民个人信息本身具有的重要经济价值驱使行为人以身试法,以谋取非法利益。
在数字经济时代,对于企业来说信息意味着机遇与财富。企业获取的公民个人信息越多,潜在的客户便越多,意味着具有更高的盈利可能性。实践中,中介公司、保险公司、培训机构等企业为提高公司业绩,公司负责人往往会授意员工获取公民个人信息,进行产品营销、保险业务推广等。因此,许多公司为了盈利,可能会非法获取公民个人信息进行市场推广。实践中亦存在一类企业,以交易公民个人信息为主要业务,例如设立网站为他人提供数据交易平台;将掌握的公民个人信息导入网站数据库,提供收费查询的服务等。该类企业无正常的业务经营活动,其瞄准市场对公民个人信息的需求,利用公民个人信息本身巨大的经济价值,交易公民个人信息获取非法利益。
(二)信息保护意识不强
公民对个人信息保护意识淡薄。数据具有非排他性、非独占性等特点,可以反复使用、共享,这使得信息控制者对个人数据保护远不如对其他私有财产保护重视,容易产生各种疏忽现象,随意丢弃快递单号、在公共场所连接陌生WiFi等情况屡见不鲜,从而使得个人信息被不法分子收集利用。其次,互联网的发展给人们的生活带来极大的便利,信息查询、购物交易甚至金钱借贷都可以在线上进行,部分公民个人信息保护意识不强,在非正规APP或者网站上注册个人信息,从而被不法分子收集利用。例如犯罪行为人建立股票咨询网站,通过用户的注册行为获取公民的手机号码、银行卡号码、投资意向等信息,非法出售给财富管理公司。再者,现行法律规定对于被侵犯个人信息的公民救济措施有限,公民难以证明侵犯个人信息行为造成的损失,维权成本高、收益低,导致公民个人信息保护缺乏动力。
企业经营过程中的第一要素是盈利,在这过程中企业将用户体验、信息保护等要求劣后盈利目标,甚至根本没有保护公民信息的意识。例如APP在注册使用过程中,往往会要求用户对位置信息、设备信息、通讯录信息进行授权,尽管部分授权对使用该APP根本无关,仅为了盈利目标而过度收集用户信息;2021年3月10日,工信部通报的2021年2批次183款APP中,有162款所涉问题是违规收集/使用个人信息,占比约88%。其中较为知名的应用包括相机360、芒果TV等。再者,掌握海量公民信息的企业对信息的风险管控不到位,“内鬼”们窃取企业信息,造成大量信息泄露流向市场交易。
(三)制度与监管的缺位
在制度方面,我国对公民个人信息采取的是“先刑后民”的保护模式,在行政、民事制度方面缺乏对公民个人信息的保护。2009年2月刑法修正案(七)增设了非法获取公民个人信息罪和出售、非法提供公民个人信息罪;2015年8月刑法修正案(九)将上述两罪合并,规定为侵犯公民个人信息罪。侵犯公民个人信息罪作为法定犯,在适用时没有相关的前置法。直至2016年网络安全法出台,针对网络运营者收集、使用个人信息提出了具体的要求,2021年1月生效的民法典在人格权编规定了个人信息保护制度。侵犯公民个人信息罪的前置法不断完善,但是这些规定仍然过于原则,监管部门、企业难以适用。
由于缺少相关行政法规,刑法长期代替其它执法机制位于监管的第一位,监管效果不甚理想。刑法具有较高的入罪门槛,对于具有严重社会危害性的行为才予以规制;对于企业的一般违规行为,例如过度收集公民个人信息,未经用户同意分析、利用收集的数据等行为,刑法无法介入监管。缺少具体的规定、部门规章、相关标准的行政部门难以实施相关监管措施,对个人信息的事前保护、事中保护、事后保护不足甚至缺位。其次,犯罪手段高科技化情形下,传统的执法手段难以实现监管。随着科技的发展,行为人一般在线上非法收集或交易公民个人信息,难以做到实时监控并予以惩罚;针对非法收集人脸信息的情况亦同,行政机关难以直接判断摄像头是否具有人脸识别功能,只有被曝光或者发生危害后果时,行政机关才能采取事后拆除、罚款等措施。因此,我国监管现状是重后果责任追究,轻过程规范,轻综合治理,由于技术限制等原因,监管领域有限,执法效果不佳。
四、侵犯公民个人信息行为的规制措施
行政法、民法长期缺位,外部执法威慑机制越位、缺位与错位并存的情况下,对公民信息保护效果不甚理想,因此要构建民、行、刑全方位监管格局,民法注重对公民的私力救济,行政部门应当在监管的一线,刑法应保持谦抑性,发挥事后保障作用。
(一)疏通公民个人私力救济的渠道
建议出台相关司法解释,借鉴消费者权益保护法修改的经验,加大民事责任追究力度,降低民事维权的成本。公民认为企业、平台的行为损害了其合法权益,导致其人身、财产或者精神损害的,可以依法直接向人民法院起诉,要求停止侵害、消除影响、赔偿损失。2021年11月1日起施行的个人信息保护法规定:“个人信息处理者不能证明自己没有过错的,应承担损害赔偿等侵权责任”,实行举证责任倒置,即信息处理者只有证明自己没有过错或者存在法律规定的抗辩事由才可以免责,大大降低了公民个人的维权成本;针对损失的认定,根据公民个人的损失或者侵权人因此获得的利益确定,难以确定个人损失或非法获利金额的,由法官根据实际情况确定赔偿数额。同时,公民个人也应当增强个人信息保护意识,降低被侵害的可能性。例如在正规软件、网站浏览信息,不在来源不明网站注册信息,不随意丢弃载有个人信息的文件、材料等。有关部门亦应当加强外部宣传,提升个人对信息安全的保护能力。
(二)完善行政监管
个人信息保护的有效性必然依赖于国家的规制,实践中站在维权第一线的往往是监管者而非个人。[7]个人信息保护法明确了国家网信部门负责个人信息保护工作的统筹协调和监督管理,同时规定国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
首先,在保障个人信息保护法正确施行的基础之上,通过精细化立法适用等方式来完善个人信息保护制度标准。2021年6月10日数据安全法出台,明确提出国家建立数据分类分级保护制度,根据数据在社会经济发展中的重要程度,以及数据被泄露、非法获取或利用后对相关主体合法权益的危害程度为标准进行分类分级保护。相关部门应当根据数据安全法确立的重要数据分类分级原则,建立重要数据具体目录,对于与公民个人身份密切相关的信息应当作为重要数据予以保护。个人信息保护法出台后,各地区、各行业主管部门应当根据行业发展变化制定实施细则,细化落实各项信息保护制度;针对实践中存在的严重侵犯公民个人信息的行为,出台相关规定回应社会关切。例如,针对APP超范围收集个人信息问题,2021年3月国家互联网信息办公室、工信部等四部门联合发布常见类型移动互联网应用程序必要个人信息范围规定,明确列举了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息的范围,移动应用程序不得因为用户不同意提供非必要个人信息,而禁止用户使用其基本功能服务。
其次,实行场景化监管,对政府部门与非政府部门获取人脸识别信息进行差异化规制,并且在不同场景下对行为人收集信息设置不同的标准与程序,[8]进行分类、分级管理。以收集人脸识别信息为例,政府部门在公共领域收集人脸信息可以识别违法犯罪活动的行为人,扩大公安机关的执法和取证能力等,从公共利益角度出发不宜设置过多限制;但是在私主体如商业领域,应当对信息的收集、使用、处理等行为作出规定。可以实行事前监管,对图像识别摄像头的生产、销售、购买实行登记备案制,从源头上管理收集人脸信息的行为;限制留存实时生成的人脸数据文件的时间,降低泄露概率;应用人脸信息收集时,应当执行知情同意原则作为约束,明确展示说明摄像头和终端的功能。
再次,提升信息技术能力,提高网络执法水平。传统的执法手段难以快速识别不良信息,执法效果的准确性受到影响,而信息精准识别分析等筛查手段则能高效分辨不良信息。下一步需要在确保安全前提下,积极探索利用信息管理系统,大规模扩展网络空间规范领域,从多角度多层次规范网络空间。运用人工智能、大数据等新技术手段,实现对软件、APP的技术检测广度与深度。再者,政府部门也应当对官方网站加强安全防护建设,防止行为人侵入非法获取公民个人信息、企业信息甚至国家安全信息。法律对技术最合理的回应是参与技术的重构过程,[9]推进国家与互联网企业的合作,互联网企业提供技术支持,建立政企合作的常态化机制。
(三)加强行业监管与自律监管
政府的强力监管对于减少、消除企业侵犯公民个人信息行为作用显著,但是由于政府与企业之间地位、信息的不对称,政府的直接介入可能会抑止企业的发展。因此,可以鼓励与企业联系密切的行业协会针对本行业发展过程的特征,对个人信息的保护制定行业规则与标准,形成行业内统一的行为规范,降低新兴信息技术的安全风险。[10]新出台的数据安全法第十条规定,相关行业组织依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护。行业标准在应对场景多变、技术迭代较快且专业度较高的信息安全保护方面起到了积极作用,鼓励企业参与行业组织标准讨论,并以行业最佳实践标准为指导推进企业内部的个人信息合规建设。
同时,企业应加强自律监管,进一步强化个人信息保护红线意识,将用户权益保护作为企业发展的生命线。鼓励企业从源头上实现对个人信息保护的程序设计,将个人信息保护前置到产品设计环节,结合科技发展水平、标准实施成本以及个人信息处理行为的性质、范围、环境和目的进行规范,并确保在默认设置中,个人信息受到适当的保护;鼓励对个人信息脱敏化、匿名化处理,明确匿名信息不受个人信息保护相关法律的规制,最大程度地促进大数据的利用与发展。建立一体化的安全与责任底线,例如安装人脸识别系统需要向相关部门申请批准,并定期进行检测;对收集、传输、储存人脸信息的过程进行加密,并建立可追踪的技术体系等。个人信息保护法规定企业对个人信息保护所要承担的义务与社会责任,对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的信息处理企业,要成立主要由外部成员组成的独立机构,定期发布个人信息保护社会责任报告,接受独立机构与社会的双重监督,倒逼企业将个人信息保护作为业务发展的一项基本原则,贯穿业务发展全流程。
(四)刑事制裁提供坚实的后盾与保障
刑事制裁手段的严厉性和刑事责任承担后果的不可修复性,作为补充手段的刑事法律规范应当保持足够的谦抑性,但是这并不意味着刑事立法和司法对社会面临的一系列社会问题采取漠视的态度,刑事立法与司法在必要时也应当作出一定的回应并表明立场,为保障社会稳定提供坚实的后盾与保障。
首先,重点打击信息源头泄露。“内鬼”成为侵犯公民个人信息的重要主体,应当对该类主体从重处罚。掌握海量信息的企业亦应当构建内部信息保护体系,落实信息保护的责任制度。有的学者也提出,法律对单位“内鬼”侵犯个人信息有明确规定,但是没有确立对其领导实行责任追究机制,建议确立单位主体的连带责任,[11]倒逼企业建立落实企业内部信息保护制度。
其次,注意识别假冒创新企业的违法行为。对披着合法经营外衣暗中进行信息窃取、交易的公司进行查处,依法打击涉及买卖公民个人信息的互联网企业。技术中立具有相对性,其使用不可超过法律的界限,否则中立就会转化为非法,[12]技术的使用要充分保护尊重信息权益的要求。若企业收集数据的行为违反了民法典、网络安全法等相关法律规定,则可以被认定为“违反国家有关规定”,具有非法性,之后再对技术行为是否取得权限、获得信息是否能够识别特定自然人身份进行实质性判断,综合判断是否符合侵犯公民个人信息罪的犯罪构成。
再次,应坚持罪刑法定原则。针对民法典关于个人信息权益保护的规定,在认定侵犯公民个人信息罪时作出相应调整,但是仍应当坚持罪刑法定原则,不能类推适用。例如民法典关于行为人对公开信息的处理,只要权利人未明确反对或者严重侵害权利人的利益即认为合法。从法秩序统一的角度出发,民法典对非公开信息的保护明显强于公开信息,因此刑法也应当将保护重点转移至更加敏感的非公开信息,尤其是与公民身份、财产、活动更加密切的非公开信息。关于公民个人信息的范围,在刑法适用过程中可以通过法律解释的方式将数字经济时代的新型风险纳入传统的立法范围,化解司法适用的困境与尴尬。[13]
【注释】
作者单位:上海市第二中级人民法院
[1]刘艳红:“侵犯公民个人信息罪法益:个人法益新型权利之确证——以《个人信息保护法(草案)》为视角之分析”,载《中国刑事法杂志》2019年第5期。
[2]彭诚信、史晓宇:“个人信息识别标准的域外考察和在我国的转进——基于欧美国家制度互动的分析”,载《河南社会科学》2020年第11期。
[3]劳东燕:“个人数据的刑法保护模式”,载《比较法研究》2020年第5期。
[4]参见最高人民检察院典型案例第34号、第九批指导性案例。
[5]陈兴良:“民法对刑法的影响与刑法对民法的回应”,载《法商研究》2021年第2期。
[6]寇建东:“侵犯公民个人信息罪的抽样证明”,载《人民司法》2020年第13期。
[7]张新宝:“我国个人信息保护立法主要矛盾研讨”,载《吉林大学社会科学学报》2018年第5期。
[8]邢会强:“人脸识别的法律规制”,载《比较法研究》2020年第5期。
[9]郑玉双:“破解技术中立难题——法律与科技之间的法理学再思”,载《华东政法大学学报》2018年第1期。
[10]赵精武:“《民法典》视野下人脸识别信息的权益归属与保护路径”,载《北京航空航天大学学报(社会科学版)》2020年第5期。
[11]陈小彪、李瑞华:“‘互联网+’时代侵犯公民个人信息犯罪的防控路径”,载《湖北警官学院学报》2018年第6期。
[12]刘艳红:“网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角”,载《政治与法律》2019年第11期。
[13]陈伟、宋坤鹏:“数据化时代‘公民个人信息’的范围再界定”,载《西北民族大学学报(哲学社会科学版)》2021年第2期。
|