第一章 公民权利与民生保障
第一节 信息化时代公民个人信息的法律保护制度[1]
当代中国社会正处在从传统(熟人)社会向现代(陌生人)社会的转变中,同时又面临从传统工业社会向信息社会的转变,信息技术的突飞猛进、大数据时代的到来使得有关个人信息的收集、存储、加工、识别及传播技术面临前所未有的飞跃,个人因自我信息的失控而受到侵害的现象呈现出“井喷”增长。
“你们是怎么知道我的号码的?”这是很多人在接到一些莫名其妙的电话之后,脱口而出的愤怒话语,类似的被骚扰情况可以说不少人都经历过。不仅如此,这种侵犯个人信息的行为已经对公民的人身、财产安全和个人隐私构成严重威胁,对社会经济秩序造成明显破坏。2013年5月,在北京市公安局破获的一起冒充某人寿保险股份有限公司工作人员骗取客户资金案中,4名犯罪嫌疑人就是通过购买保险公司客户信息后联系投保客户实施诈骗,导致全国30个省市区的2000余名客户被骗,相关经济损失达300余万元。如何有效保护公民的个人信息已经成为我国法律目前所面临的重要课题。
一、个人信息的概念与特点
个人信息是一切可以识别本人并能够为他人所收集、存储、加工及传播、利用的信息的总和,包括一个人的生理、心理、智力、个体、社会、经济、文化、家庭等各个方面。个人信息的实质特征是“识别”,即是可以直接或间接识别本人的信息;其形式特征是可以固定和可以处理,即个人信息应当有载体,且必须以一定的方式得以查阅、检索和进行其他处理。
从历史角度来看,个人信息本身是客观存在的,对其的收集和利用也早已有之,但是将个人信息抽象化为一种权利并给予法律保护则是现代社会的产物。在这个过程中,两个因素对于个人信息的法律保护密切相关。一是以计算机技术和网络技术为代表的有关个人信息的大规模收集、存储、加工、识别及传播技术的出现和飞速发展,使得个人信息成为一种社会基础性资源并可能作为商品加以利用。另一个因素是现代国家对个人自由、人格尊严日益关注,普通个人在私人生活领域不受侵害、不受打扰被视为人格尊严与自由的基本内涵并在法律上获得确认,如美国将个人信息纳入隐私权范畴,德国则通过在法律中确立信息自主权的方式将个人信息纳入法律保护范围。
二、我国公民个人信息法律保护制度的基本内容
在现实生活中,我国目前所存在的侵害公民个人信息行为在客观上呈金字塔型,塔尖是源头行为,主要表现为一些部门与行业从业人员将获取的公民个人信息出售、非法提供给他人;塔中是“中间商”,他们主要是通过建立数据交易平台并大肆出售信息牟取暴利;塔底则是其他各类违法犯罪团伙,利用非法获取的个人信息,大肆进行违法犯罪活动。对于这些侵害公民个人信息的行为,由于我国目前尚没有统一的个人信息保护法,有关个人信息的法律保护主要是通过民事、行政及刑事法律相关条款来实现。
民事法律对个人信息的保护主要是通过将具有秘密性的个人信息纳入隐私权的保护来实现,这种方式的不足在于,它属于间接保护,没有在法律条款中明确列明“个人信息”字样,且由于是通过隐私权来保护,不具有秘密性的个人信息如电话号码、身份证号码等就无法纳入保护范围;行政法律制度对个人信息的保护主要通过在不同行政管理领域内的行政法律法规或规章中的具体条款来实现,如《居民身份证法》《艾滋病防治条例》《寄递服务用户个人信息安全管理规定》,其弱点在于属于分散性保护,力度与广度都十分有限。《刑法》是目前我国法律体系中唯一明确规定个人信息保护的基本法律。通过2009年刑法修正案(七)的增补,《刑法》初步建立了我国公民个人信息的刑法保护制度,侵犯公民个人信息行为可能受到以三年以下有期徒刑或者拘役的处罚(《刑法》第253条之一)。
根据刑法的规定,侵犯公民个人信息行为包括两种主要类型:
1.非法披露个人信息行为,即将在履行职责或提供服务过程中合法获取的个人信息违法披露(包括出售或非法提供)给他人,这类行为实质上是上述侵犯个人信息活动的“源头” 性行为。而根据获取个人信息的主体不同,它又包括两种亚类型:一是国家机关及其工作人员将在履行职责过程中合法获取的个人信息违法披露给他人,这些单位及个人是依据国家权力在履行法定职责的过程中获取公民个人信息,他们与个人信息的拥有者之间存在管理与被管理的关系,如公安机关、国家统计局及其相关工作人员等;另一类是金融、电信、交通、教育、医疗等单位及其工作人员将在提供服务过程中合法获取的个人信息违法披露给他人,这些单位与个人信息的拥有者之间存在的是平等主体的合同关系,他们获得个人信息所依据的不是国家权力而是合同上的权利。
2.以窃取或其他非法手段获取个人信息的行为,其主要方式是针对存有大量个人信息的“源头”部门进行黑客窃取或购买,这属于侵犯个人信息活动的“中间商”类型,犯罪人通过非法手段从“源头”部门不断获取信息,积累海量数据,构建兜售个人信息的数据平台,再转手卖给市场其他主体而牟利。与前一类行为是基于合法途径与手段获取个人信息不同,此类行为获取个人信息的手段具有的显著不法性,其恶劣程度更甚于前者。例如,广东省深圳市的黄某,自2009年9月起,通过互联网以低价从网上购得公民个人车辆、银行记录等信息后,再以高价出售,从中赚取差价,仅在2年内的非法获利就达28万余元。
三、刑法修正案(九)拟对公民个人信息刑法保护制度的修改
2014年10月,全国人大常委会在其网站上发布刑法修正案(九)草案并征求公众的意见。该草案第16条拟对刑法现行的侵犯公民个人信息犯罪条款进行修改,主要包括两个部分:
1. 拟修改出售、非法提供公民个人信息犯罪的规定,扩大犯罪主体的范围。具体来说,根据现行刑法的规定,只有国家机关或者金融、电信、交通、教育、医疗等单位的工作人员将在履职和服务过程中获得的信息出售或者非法提供给他人才构成犯罪,但在互联网与大数据时代,实际上却并不只有上述机关及其工作人员才能够获得公民个人信息,许多从事现代服务的企业如淘宝、京东等电商;联邦、中通等快递服务商;家乐福、国美等零售商依托电子信息技术都可能并已经获得了海量个人信息数据,但现行刑法却并未将其纳入规制范围,这就在刑法保护体系上留下了明显的缺口,草案拟去掉上述限制,将所有因履行职责或者提供服务而可能获得大量的公民个人信息的单位及工作人员都纳入到刑法调整的范围。
2.拟将单纯的出售或者提供公民个人信息行为也作为犯罪处理,具体来说就是,任何个人或者组织,即使其不是因为履行职责或提供服务而获得公民个人信息,也没有以窃取或其他方法非法获得公民个人信息,但只要未经公民本人同意,向他人出售或者非法提供其所知晓的公民个人信息,情节严重的,也构成犯罪。这一条款的基本意图显然是严密刑事法网,将所有未经公民本人同意而出售或提供个人信息行为都纳入刑法的禁止性规定中(与前条的区别只是分不同主体而规定了不同的法定刑)。如果该条款最终获得通过,必将大大扩展刑法在个人信息保护方面的适用范围。
四、构建公民个人信息法律保护体制的建议
虽然我国已经初步建立起有关个人信息的法律保护机制,但根据目前法律实践及现实需要,我们在相关法律制度的以下三个方面尚需完善。
1.尽快制定统一的个人信息保护法律或法规。我国目前没有一部统一的个人信息保护法,相关规定散见于不同的规范性文件,但没有任何一部法律或法规明确了到底何为公民个人信息,其基本特征与具体范围是什么,这就为随意执法或懒惰执法留下了空间,非常不利于法治的统一。解决这一问题,从国家层面来看,应当尽早整合现行法律及法规、规章中的相关规定,出台统一的个人信息保护法,明确有关个人信息的基本涵义与覆盖范围,以应对互联网时代与大数据背景下个人信息的保护;从地方层面来看,在国家法律暂时无法出台的情况下,省一级地方立法部门可以根据《立法法》的规定先行制定统一的个人信息保护条例,为本区域内的公民个人信息保护活动提供统一的法律依据,同时也可为未来国家立法提供经验。
2.强化其他非刑事法律、法规与刑法之间的配套与支撑。在现代法治社会中,刑法并不是一个与其他法律相隔绝的制度,而是处于国家整体法律体系之中,大量违法行为首先是由民法、行政法等非刑事法律来进行调整,只有它们无法调整与遏制的严重违法行为,刑法才会进行干预和调整,因此,其他非刑事法律是刑法得以有效运行的基础与前提。然而,在公民个人信息保护方面,除了在《居民身份证法》《执业医师法》《商业银行法》《电信和互联网用户个人信息保护规定》等少部分领域的行政法律、法规中零散涉及以外,民事基本法和行政法对此方面的规定并不太多;同时,即使非刑事法律、法规已有的相关保护个人信息的规定,也不是有关部门执法与督查的重点,这就使得现行《刑法》规定缺乏非刑事法律体系的制度支撑,可能出现独木难支的局面,这一点尤其是在《刑法修正案(九)》拟扩大刑罚处罚范围的情况下体现得更为明显。解决这一问题的关键应当在两个方面予以强化和改善:一是应当将个人信息作为一种个人重大利益在我国的基本法律中予以明确规定,具体来说就是,结合民法典的制定,在人身权法或侵权责任法中将个人信息作为基本民事权利予以确定和保护;通过修订《治安管理处罚法》,将侵害个人信息尚不成立犯罪的违法行为纳入治安处罚的范围,以强化个人信息的非刑事法保护;二是强化相关法律、法规中已有的个人信息保护条款的执法与督查,特别是在电信、医疗、金融等领域有关个人信息保护条款的执法,通过及时与严格的执法以及行政执法与刑事司法程序的有效衔接强化个人信息的非刑事法保护。
3.细化侵犯公民个人信息行为中“情节严重”的判断标准。根据刑法的规定,侵犯公民个人信息的行为必须是情节严重才构成犯罪,这是此类犯罪行为与普通违法行为的重要区别。但由于目前我国相关机关并未未对何为“情节严重”做出具体解释,这就导致在不同地区,有关确定行为是否构成犯罪的标准可能存在不一致的情况。根据司法实践与学理分析,可以从以下三个方面对何为“情节严重”进行判断:其一,非法获取或披露公民个人信息行为所涉及的规模与程度,包括行为所涉及的交易量;行为实施和存在的时间长度;行为实施和存在的地理空间广度。其二,犯罪人通过侵害公民个人信息而获得的利益的大小,一般来讲,犯罪人通过犯罪行为所获利益越大,其犯罪行为危害程度就越大。其三,侵害公民个人信息行为对权利主体所造成的客观损害越大,其行为的情节就越严重,这种损失不仅包括因为该行为的实施而导致的客观物质损失,也应当包括因该行为使权利人所遭受的精神损害与生活安宁的损害。相关司法机关有必要及时出台解释文件及指导性案例,引导广大下级司法机关及工作人员正确判断行为的“情节严重”与否。