姜承宏

大數(shù)據(jù)時代公民個人信息安全的法律保護(hù)與檢視

姜承宏

（中國礦業(yè)大學(xué)，北京 100083）

公民個人信息在大數(shù)據(jù)時代已成為一種重要的經(jīng)濟(jì)資源，在利益的驅(qū)動下，各種非法收集、買賣、竊取等濫用個人信息的行為屢禁不絕，不僅造成了財產(chǎn)損失，甚至威脅著公民的生命安全。由于現(xiàn)行刑法對于公民個人信息保護(hù)模式?jīng)]有將信息自主權(quán)視為本源性權(quán)利，導(dǎo)致對公民個人信息安全法益的保護(hù)尚不足以震懾違法濫用公民個人信息的犯罪行為，需要從延伸公民個人信息概念入手，明確合理的入罪邊界，形成對非法轉(zhuǎn)移型和違法濫用型信息犯罪的上下游犯罪一體化的全方位管制，構(gòu)建完整的個人信息保護(hù)層面的法律體系。

個人信息犯罪；大數(shù)據(jù)；安全；規(guī)制

大數(shù)據(jù)時代數(shù)據(jù)資源正呈現(xiàn)爆發(fā)式、多樣性的增長態(tài)勢，并且由于數(shù)據(jù)聚合和挖掘技術(shù)的發(fā)展，對于公民個人信息的侵犯已經(jīng)不再需要物理的、強(qiáng)制性的侵入，而是以更加隱蔽的方式廣泛衍生，由此引發(fā)的個人信息安全風(fēng)險也變得更為嚴(yán)重。當(dāng)用戶的個人信息成為商家利益追逐的所在時，不僅個人無法逃離商家盈利驅(qū)動的騷擾，數(shù)據(jù)本身的價值也會成為犯罪分子牟利的目標(biāo)。特別是隨著大數(shù)據(jù)技術(shù)的進(jìn)一步發(fā)展，侵犯個人信息犯罪行為不僅在數(shù)量上急劇增長，而且逐步呈現(xiàn)新的行為模式，如強(qiáng)制推送、強(qiáng)制打包授權(quán)、“合法獲取，不當(dāng)濫用”等，導(dǎo)致刑事規(guī)制的嚴(yán)重失靈?；谛谭▽τ趥€人信息安全保護(hù)的底線性特征，面對濫用信息愈演愈烈的現(xiàn)象，有必要結(jié)合大數(shù)據(jù)時代發(fā)展情境對現(xiàn)行刑法的規(guī)制現(xiàn)狀、困境等方面進(jìn)行檢視和反思，確保刑法規(guī)制的科學(xué)性與合理性。

一、大數(shù)據(jù)時代公民個人信息犯罪的全新趨勢

在人類社會向大數(shù)據(jù)時代邁進(jìn)時期，公民個人信息犯罪也隨之進(jìn)入全新階段。當(dāng)下，在思考公民個人信息安全的刑法保護(hù)之時，首先應(yīng)當(dāng)對大數(shù)據(jù)時代公民個人信息犯罪的趨勢特征有清晰的認(rèn)知。

1.犯罪形態(tài)更新：“點對點”成為犯罪主流

早期的侵害個人信息犯罪主要是少數(shù)精通計算機(jī)和網(wǎng)絡(luò)技術(shù)的人員，重點入侵一些大型商業(yè)機(jī)構(gòu)、政府機(jī)關(guān)等網(wǎng)絡(luò)系統(tǒng)，獲取用戶或個人數(shù)據(jù)信息，在形式上表現(xiàn)為個人對機(jī)構(gòu)挑戰(zhàn)。根據(jù)安全情報供應(yīng)商RBS的2019年數(shù)據(jù)泄露報告，黑客入侵導(dǎo)致公民個人信息泄露重大事件如下：

組織機(jī)構(gòu)泄露數(shù)據(jù)數(shù)據(jù)類型泄露原因 美國俄勒岡州公共服務(wù)部64.5萬客戶信息黑客攻擊 佐治亞理工學(xué)院130萬師生信息非授權(quán)入侵 Inmediata Health Group157萬患者信息搜索引擎設(shè)置錯誤 Dominion National296萬會員信息非授權(quán)入侵 梅西百貨--用戶信息黑客組織攻擊 豐田汽車公司310萬車主信息黑客入侵

而隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展與廣泛運(yùn)用，普通個體也可以通過網(wǎng)絡(luò)獲取技術(shù)支持，或?qū)⒊蔀榍址競€人信息犯罪的重要主體，形成點對點的犯罪，即普通網(wǎng)絡(luò)個體針對普通客體開始成為犯罪的主流，實現(xiàn)了從精英化向平民化的轉(zhuǎn)變，隨之而來的是侵犯個人信息犯罪數(shù)量的劇增和社會危害性的擴(kuò)大。根據(jù)最高檢發(fā)布的侵犯公民個人信息犯罪典型案例，犯罪主體多是普通網(wǎng)絡(luò)個體。

2.犯罪工具更新：犯罪平臺和總量擴(kuò)張

在大數(shù)據(jù)時代背景下，侵犯個人信息犯罪不僅在犯罪形態(tài)上有新的體現(xiàn)，也實現(xiàn)了犯罪工具的更新，犯罪平臺和總量隨之?dāng)U張。網(wǎng)絡(luò)在最初被使用時僅幫助公眾接收各種信息和服務(wù)，促進(jìn)信息交流，實質(zhì)上是一個虛擬的信息媒介。但隨著網(wǎng)絡(luò)逐漸成為生活平臺，個體的現(xiàn)實生活與網(wǎng)絡(luò)的關(guān)系越來越密切，加之技術(shù)的進(jìn)步使得電腦、手機(jī)等終端實現(xiàn)了功能的互動和信息共享，大大促進(jìn)了網(wǎng)絡(luò)運(yùn)用范圍。過去需要在計算機(jī)上實施的侵犯個人信息犯罪，用手機(jī)也可以實現(xiàn)，導(dǎo)致犯罪總量激增。根據(jù)《2019網(wǎng)民網(wǎng)絡(luò)安全感滿意度調(diào)查活動總報告》，個人信息保護(hù)和企業(yè)安全責(zé)任兩指標(biāo)得分較低，近40%的網(wǎng)民認(rèn)為個人信息泄露情況嚴(yán)重。據(jù)統(tǒng)計，2019年我國一審法院判決的侵犯公民個人信息犯罪的案件數(shù)量為1907件，與2014年相比，侵犯個人信息犯罪案件總量增長了6.4倍。

3.社會危害性加劇：衍生犯罪數(shù)量增加

在大數(shù)據(jù)時代，數(shù)據(jù)腳印無處不在，小到日常消費，大到健康、教育等重大決策，這些保存在不同系統(tǒng)中的數(shù)據(jù)腳印，可能構(gòu)不成太大傷害。但是一旦建立起集中的數(shù)據(jù)庫，經(jīng)過數(shù)據(jù)整合和信息加總，通過數(shù)據(jù)之間的印證和相互解釋，幾乎能夠把一個人的生活軌跡全部再現(xiàn)，個人信息的商業(yè)價值顯著增加，侵犯個人信息犯罪的危害性也隨之增加，尤其是衍生犯罪數(shù)量的不斷增加導(dǎo)致社會危害性加劇。當(dāng)前侵犯公民個人信息犯罪已經(jīng)成為很多其他類型犯罪的上游犯罪。個人信息被不當(dāng)采集、任意篡改、惡意使用甚至非法轉(zhuǎn)賣牟利等，成為綁架、網(wǎng)絡(luò)詐騙、敲詐勒索等犯罪的根源，其危害性已不僅僅限于對個體人身財產(chǎn)權(quán)益的侵害。以侵犯個人信息為中心的犯罪產(chǎn)業(yè)鏈的形成將對社會經(jīng)濟(jì)的發(fā)展產(chǎn)生重大不利影響并導(dǎo)致公民對社會的信任危機(jī)加劇。

二、侵犯個人信息犯罪刑事規(guī)制困局

當(dāng)前，我國尚未出臺專門的個人信息保護(hù)法，對于公民個人信息的保護(hù)主要零散分布在其他法律當(dāng)中，如《刑法》《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護(hù)法》《民法總則》《國家情報法》等。明確涉及公民個人信息安全的刑法保護(hù)的條文主要有：在《刑法修正案（五）》第177條增加“竊取、收買或者非法提供他人信用卡信息罪”；《刑法修正案（七）》第253條之一增加“出售、非法提供公民個人信息罪”“非法獲取公民個人信息罪”。《刑法修正案（九）》對253條之一規(guī)定進(jìn)行了修改，確立了“侵犯公民個人信息罪”罪名，并增設(shè)“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，強(qiáng)調(diào)信息控制主體對于個人信息的保護(hù)義務(wù)，重點在于防范信息控制主體對于公民個人信息的泄露型和轉(zhuǎn)移型侵害。根據(jù)當(dāng)前刑法對于公民個人信息安全的保護(hù)，在回應(yīng)大數(shù)據(jù)時代加強(qiáng)對數(shù)據(jù)安全保護(hù)方面存在不足。具體來說，主要在于對個人信息概念的認(rèn)定模式、公民個人信息的保護(hù)模式存在上升空間、法律規(guī)范的可操作性欠缺，嚴(yán)重影響對侵犯公民個人信息犯罪行為的打擊力度。

其一，個人信息概念界定的模糊不清阻斷了信息安全保護(hù)的延續(xù)性。個人信息是核心概念，刑法對法益保護(hù)的前提是所涉及的犯罪行為是否是侵犯了公民個人信息安全。如果不是，則不會構(gòu)成對個人權(quán)利的侵害。傳統(tǒng)上，對于個人信息的界定，一般以識別為標(biāo)準(zhǔn)，主要包括與個人相關(guān)的，能夠直接或間接識別特定自然人的信息。隨著大數(shù)據(jù)技術(shù)的發(fā)展，人們獲取信息的能力大大增強(qiáng)，這些技術(shù)進(jìn)步帶來的直接后果就是個人信息的邊界變得模糊。當(dāng)前立法對于個人信息的界定大多以保密性、完整性和可靠性為基點，在數(shù)據(jù)收集和利用的不同階段并未區(qū)分不同的個人信息風(fēng)險，導(dǎo)致無法為各階段具體的犯罪行為的細(xì)化提供必要的概念指導(dǎo)，必然導(dǎo)致前階段對個人信息的保護(hù)不周延，對后階段個人信息挖掘和濫用等侵害行為規(guī)制不力。

其二，以規(guī)制信息轉(zhuǎn)移為核心的保護(hù)重心破壞了保護(hù)體系的完整性。新頒布的《網(wǎng)絡(luò)安全法》對個人信息的界定超越了隱私的范圍，包括了公開的能夠識別個人身份的信息。然而，對個人信息安全的保護(hù)邏輯主要延續(xù)的是以往刑法對隱私權(quán)規(guī)制階段的保護(hù)模式，限制了對個人信息犯罪的刑法保護(hù)范圍，破壞了保護(hù)體系的完整性。從個人信息犯罪設(shè)立的目的來看，主要為了防范個人信息未經(jīng)許可進(jìn)行不當(dāng)泄露和轉(zhuǎn)移，而當(dāng)前很多不法主體利用個人信息主體與信息控制主體分離的特性，實施不法侵害行為，諸如分析用戶信息，獲取商業(yè)利益和數(shù)據(jù)價值。可以說，真正導(dǎo)致個人信息被侵害后果的，往往是獲取信息之后的利用行為?，F(xiàn)行刑法僅單純懲罰轉(zhuǎn)移型侵害行為，導(dǎo)致對濫用型侵害行為的規(guī)制失衡。

其三，相關(guān)罪刑表述不明加劇了自由裁量權(quán)濫用或量刑不均的風(fēng)險。根據(jù)刑法第253條之一規(guī)定，向他人出售或提供公民個人信息情節(jié)嚴(yán)重的，要科處刑罰，而何謂情節(jié)嚴(yán)重，2017年出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對于“非法獲取、出售或者提供”行為的情節(jié)，以列舉式方法進(jìn)行了明確。作為都具有中國特色的定性又定量的立法形式的表現(xiàn)，在刑法中規(guī)定情節(jié)犯有利于貫徹罪責(zé)刑相適應(yīng)原則，立法方式有其科學(xué)性。個人信息犯罪的法益是個人信息權(quán)，那么只要是嚴(yán)重侵害了個人信息權(quán)的主觀或客觀方面的內(nèi)容，都屬于本罪情節(jié)，但是要判斷濫用行為是否應(yīng)歸入情節(jié)嚴(yán)重或是認(rèn)定為數(shù)罪并罰，法律或司法解釋并未給出詳細(xì)的標(biāo)準(zhǔn)，會導(dǎo)致實踐中司法工作者不予立案而放縱犯罪，或行使自由裁量權(quán)時出現(xiàn)量刑不均的后果。

三、公民個人信息安全法律保護(hù)的完善對策

在我國，對個人信息的刑法保護(hù)僅僅依據(jù)現(xiàn)有的法律制度，考慮到司法實踐的現(xiàn)實問題和法律規(guī)范本身的技術(shù)不足，確實無法更好地滿足現(xiàn)實的需要，而對個人信息的保護(hù)在當(dāng)前的大數(shù)據(jù)時代卻日益重要，這兩方面的矛盾構(gòu)成了完善刑法保護(hù)的必要性。

1.延伸公民個人信息概念，促進(jìn)法律保護(hù)的罪名完善

要想構(gòu)建公民個人信息的刑法保護(hù)體系，首先要厘清公民個人信息概念，并加以適當(dāng)延伸，以更好地制裁上下游的數(shù)據(jù)犯罪，形成對公民個人信息的完整保護(hù)。從目前圍繞個人信息概念的討論來看，學(xué)界主流觀點認(rèn)為對個人信息的界定應(yīng)當(dāng)是動態(tài)的，而不是靜止的，應(yīng)當(dāng)依據(jù)其收集和使用的場景，如數(shù)據(jù)類型、數(shù)據(jù)涉及的實體、收集方法、應(yīng)用和使用以及各方之間的而價值交換，而不是對信息的性質(zhì)進(jìn)行預(yù)先判斷。具體而言，個人信息包括兩類，即“已識別身份”的信息和“可能識別身份”的信息，應(yīng)當(dāng)給予不同的法律保護(hù)。對于已識別身份的信息，應(yīng)當(dāng)完全適用嚴(yán)格的信息保護(hù)法則；對于可能識別身份的信息，則應(yīng)當(dāng)選擇適用部分信息保護(hù)法治，例如在信息使用方面必須遵循的知情同意原則、數(shù)據(jù)最小化原則以及信息披露限制原則可適度放松要求。與之相對應(yīng)，刑法的保護(hù)也應(yīng)當(dāng)對概念要素進(jìn)行細(xì)致分析，設(shè)置不同側(cè)重的行為規(guī)范。目前，刑法的保護(hù)對象主要是“可識別身份”的信息，而隨著技術(shù)的不斷發(fā)展，數(shù)據(jù)的聚合能力不斷增強(qiáng)，任何非個人信息都可能被轉(zhuǎn)化為個人信息，立法應(yīng)當(dāng)對此點予以預(yù)見，并留出一定空間。例如，合法獲取數(shù)據(jù)的公司將去識別性的數(shù)據(jù)提供給第三方，它就應(yīng)當(dāng)履行禁止第三方試圖再次對數(shù)據(jù)進(jìn)行識別的義務(wù)，否則應(yīng)當(dāng)相應(yīng)的法律責(zé)任如拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

2.關(guān)注個人信息整體保護(hù)，全方位規(guī)制完整犯罪鏈條

在傳統(tǒng)媒體時代，個人信息的保護(hù)是以個人信息自決為核心的告知和許可。在大數(shù)據(jù)時代，告知和許可成為不可能，由于數(shù)據(jù)越來越多，數(shù)據(jù)處理的綜合效益輕易就突破了匿名化保護(hù)個人信息的做法。因而，大數(shù)據(jù)時代對公民信息的刑法保護(hù)應(yīng)當(dāng)更著重于數(shù)據(jù)使用者為其行為承擔(dān)責(zé)任，而不是將重心放在收集數(shù)據(jù)需要取得個人同意上。大數(shù)據(jù)時代正在削弱個人信息自主決定權(quán)，為適應(yīng)這種變化，個人信息自決權(quán)應(yīng)當(dāng)轉(zhuǎn)變?yōu)閭€人信息自控權(quán)，即使個人沒有被告知而被使用了個人信息，從保護(hù)個人人格尊嚴(yán)的角度出發(fā)，個人始終有控制個人信息合法合理使用、個人信息不被濫用的權(quán)利，即個人對自己信息的收集使用有知情、參與和控制的權(quán)利?；诖?，刑法對侵害個人信息法益行為的規(guī)制，應(yīng)當(dāng)充分考慮此點，改變原有的沿用保護(hù)公民隱私權(quán)的規(guī)制模式。當(dāng)前，非法出售、提供和獲取等非法轉(zhuǎn)移公民個人信息問題經(jīng)在民事、行政和刑事的多重管制下得到遏制，但個人信息濫用這一侵害行為卻被嚴(yán)重忽視，現(xiàn)有的刑法規(guī)定為未將濫用個人信息行為納入規(guī)制范圍，導(dǎo)致個人信息使用自主權(quán)遭到嚴(yán)重侵害，因此，需要通過擴(kuò)大刑法管控范圍，對濫用個人信息行為追究刑事責(zé)任，彌補(bǔ)現(xiàn)有規(guī)制漏洞，實現(xiàn)從非法獲取、出售、提供個人信息的上游犯罪到濫用公民個人信息的下游犯罪的全方位規(guī)制和管控。

3.明確侵害行為入罪邊界，建立不同層次的罪責(zé)刑罰

根據(jù)罪責(zé)刑相適應(yīng)的原則要求，在刑法中合理地設(shè)置每個侵害公民個人信息犯罪的法定刑，對于侵犯公民個人信息犯罪罪刑關(guān)系的法定化、均衡化，實現(xiàn)罪之明確化與刑之精確化，增強(qiáng)定罪量刑標(biāo)準(zhǔn)的可操作性，有效限制法官濫用自由裁量權(quán)，具有十分重要作用。一方面，在認(rèn)定個人信息侵權(quán)行為的罪與非罪的時候，應(yīng)當(dāng)注重發(fā)揮刑法的謙抑性原則，嚴(yán)格控制犯罪圈，對模糊行為盡量進(jìn)行非犯罪化和非刑法化處理，實現(xiàn)刑罰的嚴(yán)而不厲。另一方面，要通過完善立法或出臺司法解釋，合理確定犯罪邊界，嚴(yán)禁將一般違法侵權(quán)行為隨意犯罪化，在民事、行政等非刑事法律手段能發(fā)揮作用的場合，避免刑法的優(yōu)先適用。具體來說，首先要對非法侵犯公民個人信息行為的特征進(jìn)行明確，確定入罪的具體罪狀形態(tài)。當(dāng)前，刑法明確了非法提供、獲取、買賣的侵犯行為，但對濫用的行為缺乏規(guī)制，濫用本身的內(nèi)涵需要予以進(jìn)一步明確，具體可參考《網(wǎng)絡(luò)安全法》規(guī)定進(jìn)行解釋。其次要對情節(jié)嚴(yán)重的具體標(biāo)準(zhǔn)予以明確，由于濫用型侵害在行為屬性上有獨特性，主要以行為性質(zhì)的惡劣程度來區(qū)分是否不當(dāng)使用，因此，未來立法應(yīng)當(dāng)根據(jù)此特點來確定情節(jié)嚴(yán)重的標(biāo)準(zhǔn)，如隱瞞型濫用、大規(guī)模反復(fù)濫用等。

[1]李源粒.網(wǎng)絡(luò)數(shù)據(jù)安全與公民個人信息保護(hù)的刑法完善[J].中國政法大學(xué)學(xué)報，2015（4）：64-78.

[2]李川.個人信息犯罪的規(guī)制困境與對策完善—從大數(shù)據(jù)環(huán)境下濫用信息問題切入[J].中國刑事法雜志，2019（5）：34-47.

[3]石聚航.侵犯公民個人信息罪“情節(jié)嚴(yán)重”的法理重述[J].法學(xué)研究，2018（2）：62-75.

[4]敬力嘉.大數(shù)據(jù)環(huán)境下侵犯公民個人信息罪法益的應(yīng)然轉(zhuǎn)向[J].法學(xué)評論，2018（2）：116-127.

2020—05—09

姜承宏（1994—），男，重慶渝北人，漢族，中國礦業(yè)大學(xué)2018級法碩，研究方向：刑法。

D924

A

1673-4564（2020）04-0057-04