1. 个人信息概述
1.1. 个人信息概念
“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。个人信息更详细的可以分为一般个人信息、主要个人信息和保密个人信息。一般个人信息多是关于个人的基本信息,可以通过媒体或者网络合法获取。而主要个人信息是指与个人的身份和财产安全相关的信息,比如地址、手机号码、身份证号码等。此类信息遭到泄露可能对公民造成物质或者人身的伤害。保密个人信息是指只能依照法定程序,通过核准才能够获取的信息,比如公民的手机通话记录、支付密码等。如果这些信息被不法分子获取和使用,严重的情况可能构成犯罪 [1] 。
在我国,“个人信息”的相关权利是由民事法律进行保护,但由于当时的经济发展水平较为落后,有关“个人信息”的保护并未收到太多的重视,学界只是将其归于“隐私权”的范畴。随着科技的进步与经济的快速发展,公民对于个人信息的观念发生了变化,对个人信息保护的要求也在提高,个人信息与隐私权的差异慢慢显现,要求将个人信息作为独立的权利进行保护的呼声也越来越多。《刑法修正案(七)》回应了公众的呼声,将侵犯公民个人信息的行为纳入刑事制裁范围,但是却没有明确界定“个人信息”的概念。《关于加强网络信息保护的决定》1将个人信息界定为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,之后的《刑法修正案(九)》又对相关罪名进行了修改,进一步明确了“个人信息”的内涵与外延。《关于依法惩处侵害公民个人信息犯罪活动的通知》2将其定义为“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”而2016年通过的《网络安全法》3将“个人信息”定义为,“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,这一规定再次将“个人信息”的范围扩大。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》4在《网络安全法》规定的基础上继续对“个人信息”的概念与范围进行扩张,增加了“账号密码”、“财产状况”、“行踪轨迹”三种信息类型,公民的个人信息得到进一步的保护。2021年施行的《个人信息保护法》对于个人信息的界定范围相对于上述各法而言,进一步扩大了界定范围,将个人信息界定为,只要已经被识别或者有被识别的可能性就属于个人信息。
1.2. 个人信息的特征
1.2.1. 可识别性
可识别性是指,利用自身和信息内容参与者之间的某种客观关系,直观或间接地“认识”信息内容的主要内容。经过推敲确定、选择有辨别力的信息内容,人们才能大概的判断个人信息的主要内容。可识别性是个人信息显著的特征,一个人的信息应该和这个特定的自然人有密切的联系,以便别人可以根据这个信息来辨认这个人。个人信息一旦经过了匿名户的处理,已经根本无法识别到某一特定的自然人,并且无法复原,个人信息便失去了它的可识别性特征,尽管还可以反映自然人的活动情况,但是它也已经和特定的自然人失去了直接的关联,因此不属于公民个人信息的范畴。根据可识别性,又可以将公民个人信息分为直接识别信息和间接识别信息。直接识别信息是指直接指向特定个人的信息,如身份证号码、实名制手机号码等,此类信息比较容易被侵犯,对于此类信息认定的争议最小。例如,网店店主将网购用户的电话号码打包卖出的行为。间接识别信息是指单独通过该信息无法锁定特定的信息主体,需要将其他信息与此信息相结合才能指向特定对象的公民个人信息。直接识别信息和间接识别信息之间不存在绝对的界限,随着科技的发展,之前属于间接识别信息的虹膜信息已经转变为直接识别信息。
1.2.2. 有效性
个人信息必须是有效的,对于那些虽未经过匿名化处理,但是明显虚假、无效的信息,或者行为人以牟利为目的,反复提供一样的信息来凑数量的信息,或者个人信息已经过了数次传输,重复量高的信息等,由于无法与特定的公民相匹配,所以其信息的效力也就丧失了,因此不再是刑事法律所要保护的个人信息。
1.2.3. 可处理性
这是大数据时代下个人信息的独有特征。在传统时代,由于记录载体的限制,个人信息很难被他人知悉,更遑论加以利用。而在大数据时代,个人信息不再流于纸张,这也使得其更容易被信息使用者加工处理,提炼或者转化为其所需要的内容。“可处理性”属于大数据时代的产物。在信息技术手段急速发展的今天,仅用几个简单的词语来概括个人信息的范围是远远不够的,现有的技术手段已经可以做到仅凭几个看似毫无关联的数据信息,精准地定位到某个特定的人,使个人信息的范围越来越广,个人信息安全所面临的风险也越来越大。
1.2.4. 公共性
通常认为个人信息来源于个人,也应当全属于个人,同时社会大众也已经认识到个人信息应当得到保护,“个人”属性愈发突出。但是,个人信息也会在公共领域流转,要主要其本身“信息”这一属性,例如通过合同或事先承诺等方式使得个人信息被合法收集与利用,这就使得我们的个人信息得以允许自由流通和共享,此时个人信息的流通并不会侵害我们的个人利益,反而有利于增加信息价值。信息本身具有的公共属性让信息得以合理使用,故不能对其全部私有化。
2. 进行个人信息保护的必要性
2.1. 前置法对个人信息的保护
《宪法》的人格尊严条款和通信自由条款对于个人信息保护作出了原则性的保护,尽管这些条款并没有明确界定对个人信息保护的范围,但是对于个人信息权利的保护有着非常大的价值。
在《民法典》第111条5将自然人的个人信息纳入民法保护范围之内以前,我国民法中关于个人信息的保护更多的是处于对公民隐私权的保护,而在我国民法中,关于隐私权的定义并不是很清晰,主要是参照对公民名誉权保护的相关规定,这样做的后果就是相对忽略其他财产权利和人格权利的保障。《民法典》第111条规定,使得个人信息成为了民事权利的一种,从隐私权保护的范畴独立出来,对于个人信息的保护有着重大意义。
行政法对个人信息的保护体现在行政机关处理公民个人信息的时候,处理行为牵涉到对信息的获取、使用、存储和保密等,行政法必须规范行政机关的相关行为,既是为了促使行政机关便捷高效的履行职责,还应对公民的个人信息,尤其是对其最关键的隐私信息进行严密的保护,《政府信息公开条例》不允许行政机关公开与公民私人生活密切相关或可能影响第三方合法权益的国家信息。另外,在行政复议、行政处罚、行政诉讼等方面,还对公民的个人信息进行了专门的保护。然而,行政法规更注重保护信息网络的公共安全而不是个人信息的自由,导致其在保护个人信息的方面并不完善。行政机关是个人信息的重要处理者,他们需要收集大量的个人信息,以履行其在社会管理方面的各种职能,而公民从出生到死亡的所有信息都牢牢掌握在公共行政机关手中。这就导致实践中,很多合法收集的个人数据被非法披露给他人,而对行政机关工作人员的处罚却过于轻微,难以有效解决此类行为。
整体看来,刑法与司法解释、刑法与民法、行政法等相关法律条文间仍然存在着界限模糊、难以有效衔接的问题,这种分散的保护具有很大局限性,为处理侵犯公民个人信息问题造成了许多困难。在其他法律保护不足以有效保护个人信息时,有必要让刑法发挥严厉作用。
2.2. 前置法保护个人信息存在的问题
宪法对个人信息的保护规定过于原则化,并没有在某一条文中明确的界定个人信息的概念,以及对个人信息如何进行保护,使得现实生活中的个人信息权利难以得到贯彻落实。
民法对于侵犯个人信息的行为,主要是通过经济补偿的方式来进行处罚,单纯注重财产补偿,很难对个人信息进行全面的保障。公民的个人信息与公民的人格有密切的关联,不能只是通过单纯的经济补偿来处罚个人信息受到的侵害,无法通过金钱计算个人信息受到侵害时人格遭受的损害。在现实生活中,大部分情况下,对信息主体的侵权只是程度较小的的侵权,信息主体只会受到一些的骚扰短信和骚扰电话等,并不会对其日常的生活产生太大的干扰。但也不乏一些严重的情况,信息主体因信息遭受侵害而使得其人格受到极大影响,这种影响是金钱无法衡量的,就比如山东单县的高考志愿篡改案6。
行政法律处罚侵犯个人信息的行为主要通过行政处罚,《治安管理处罚法》所规定的上限十五天行政拘留处罚,适用于上述对信息主体具有轻微影响的情况是完全没有问题的,但对于严重侵害主体利益,对主体造成重大影响的案件来说,这种处罚的力度过轻。仍以篡改高考志愿为例,如果仅以行政手段对行为人的侵害行为进行制裁,那么十五天的行政拘留相对于被害人所受的终生的负面影响明显不合理,在对行为后果进行处罚时,刑法的介入具有不可避免性。
在各法律的功能定位方面,私法自治是一直民法的基本原则;行政法则更强调效率、秩序;而刑法更加重视对法益的保护。三者在功能定位上的差异性使得公民个人信息的刑法保护相对于民法及行政法的保护具有一定的优势,刑法能够实现对法益的强力保护。目前我国较重视民法和行政法在公民个人信息保护领域的应用,对法益的有效保护往往是欠缺的。在当今社会,个人信息蕴含着的经济价值,当行为对信息主体造成轻微的、无关紧要的侵害时,作为民法赋予权利的信息主体根本不屑于花费时间和精力来为维护自己的利益。互联网企业是当之无愧的信息泄露大户,为了自身的经济利益,这些企业常常无视行政法的处罚,在缴纳着罚款的同时,仍不停止泄露信息获取收益。可见,民法的原则和行政法的目标在信息保护领域不是万能的,必须通过刑法保护,对行为人非法侵犯个人信息安全的行为逐一考量评价,才能加强对个人信息安全的保障。
2.3. 个人信息刑法保护必要性
2.3.1. 个人信息遭受侵害高发
信息技术的普及与科技的进步为信息高速流动提供了技术手段、给人们的生活带来许多便利的同时,也给不法分子创造了一定的条件。当今,个人信息作为一种信息资源,蕴含着巨大的经济价值。在实践中,侵犯个人信息之后可能为诈骗、绑架、敲诈勒索等犯罪提供帮助,导致侵害个人信息犯罪处于高发状态。据相关数据统计,中国有超过80%的网民受到个人信息泄露的影响,仅2015年一年全国网民因个人信息泄露而受到垃圾信息、诈骗信息与骚扰信息等影响而产生的损失约为805亿元7。此外,一些因公民个人信息受侵害而产生的后果的严峻性也成为刑法规制此类犯罪的重要原因之一。例如,2019年,江苏南通市公安局发现林某多次在非法交易平台出售银行开户、手机注册等公民个人信息,数量高达500余万条,非法牟利70余万元,严重损害经济社会秩序8。
2.3.2. 前置法对个人信息保护具有局限性
如前所述,前置法在保护个人信息权利的时候存在难以实现有效保护的情况。在中国法律体系中,刑罚是国家罪严厉的惩治手段,当前置法无法有效保护个人信息权利时,才能够运用刑事法律手段进行保护 [2] 。在侵害公民个人信息的案件中,该类犯罪的成本低、行为隐蔽但回报收益大的特点,导致此类犯罪行为不断滋生且发展逐渐成熟。例如,在实践中经常出现批量盗取个人信息进行贩卖进而获益的行为,或者通过技术手段非法获取公民个人信息后,利用相关数据实施网络电信诈骗或进行其他违法犯罪活动。当所侵害的公民个人信息过于庞大而对社会秩序造成严重影响时,如果仅依靠民法领域的停止侵害、排除妨害、赔偿损失等要求行为人承担责任,不仅难以起到震慑作用,而且难以计算所受损失的范围。鉴于此,为了实现对严重侵害公民个人信息行为的规制,从刑法领域对其进行保护必不可少。
3. 个人信息刑法保护的现状及存在的问题
3.1. 个人信息刑法保护现状
在信息网络给人们生活带来便利的同时,也使得个人信息可能遭受侵害,侵犯个人信息对公民的日常生活、社会的和谐稳定造成了潜在威胁,面对频频发生的个人信息遭受侵犯现象,迫使刑法将其纳入规制范围。
在2009年之前,我国刑法中还没有侵犯公民个人信息犯罪的单独罪名,而是在一些零散的规定中体现出对个人信息的保护例如侵犯通信自由罪保护公民合法的通信权利等等。直到2009年,《刑法修正案(七)》才将个人信息的非法获取、出售、提供行为明确纳入法律条文,这一修订直接有力地保护了公民的个人信息权利。但此规定也存在不足之处,对于主体的规定,范围限定为国家机关或者者金融、电信、交通、教育、医疗等单位的工作人员,对“单位”的列举虽然较为全面,但是随着社会不断变化发展,出现了新的工作类型和性质,此限定范围遗漏了部分个体,不利于保护个人信息权利。
2015年《刑法修正案(九)》的出台,一定程度上弥补了《刑法修正案(七)》存在的不足。将犯罪主体的范围从特定的“单位”扩展到一般自然人,只要其身份符合一般犯罪主体的条件,就能够构成侵犯公民个人信息罪,更有利于对个人信息的权利的保护。同时,最新的修正案将该罪行的最高法定刑罚提高到七年有期徒刑,并根据犯罪情节确定具体的处罚类型和期限,使犯罪者得到与其行为造成的危害相称的惩罚。在这方面,本次刑法修正案在这一刑事犯罪方面取得了较大进展。
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》》第一次将个人信息的概念定义为兼具可识别和综合性的实体,目的是在科学的基础上进一步合理处理与个人信息有关的犯罪,尽可能强调概念的一致性。尽可能地明确“非法获取”等所包含的犯罪形式、侵犯公民个人信息的处罚情形等情况的具体解释。解决了《刑法修正案(九)》中需要解决的问题,用明示方式说明了司法适用中需要解决的某些难题,使个人信息保护在刑法保护方面取得更好的发展趋势。
3.2. 个人信息刑法保护存在的问题
3.2.1. 犯罪行为方式规定单一
《刑法修正案(九)》虽然将之前的出售、非法提供个人信息和非法获取个人信息合并为侵犯公民个人信息罪,但是犯罪行为方式仍与之前保持大概一致,并未在实质上增加新的行为方式。在科技飞速发展、资讯多元化的今天,侵害公民个人信息的行为方式更是日新月异,令人防不胜防。仅有的几种行为方式根本无法覆盖所有的侵害行为,在形形色色的权方式下,必须与时俱进,拓展本罪的行为方式,以实现对个人信息更全面的保护。例如非法使用、利用公民个人信息的行为,司法实践中的大量案件都说明,真正对公民的人身和财产安全造成侵害的并非单纯地提供信息行为,而是取得信息后的非法使用行为。罗彩霞冒名顶替上了大学,是因为非法使用了他人的个人信息;众所周知的“人肉搜索”行为极其容易被错误舆论所引导,行为人违法使用别人的个人信息从事特定的业务,会给信息主体带来极大的损害。从这一角度可以看出我国现行的侵犯公民个人信息罪行为方式存在的缺陷。
3.2.2. 司法救济方式较为单一
公民的个人信息遭到泄露后,虽然可以利用法律的武器来保护自己,但是,目前我国公民对于个人信息受到侵犯时,所提供的救济方式较为单一。一般的情况下,公民只能通过提起诉讼的方式保护自己的个人信息权利,虽然这种方式能够强有力地捍卫自己的合法权益,但有时候的维权周期过长,要花费大量的时间和精力,有时还不能够获得乐观的结果。正因为当前人们处于信息网络时代,侵犯公民个人信息的操作一般是通过网络进行。公民所提供的证据,可能并不满足法律对证据的要求。而法律的审判讲究的是“程序公正”,并非感情用事,所以,通过上述方式很难有效解决广大人民群众的隐私保护问题。当公民个人信息泄露成为一种常态,人民群众对那些陌生短信、突然来电也习以为常,在个人信息泄露没有对公民生活造成严重损害的情况下,大多都不会选择维护自己的权益。
3.2.3. “情节严重”的认定不明确
对侵犯公民个人信息犯罪“情节严重”的认定是司法实践领域难以回避的问题,虽然在2017年两高所发布的司法解释中对“情节严重”的认定标准进行了明确,但仍存在一些问题。一方面,虽然司法解释规定了对侵害公民个人信息“情节严重”的认定要采用综合认定形式,但由于信息数量的易获取性与对数额标准判定的简单性,使得在司法实践中对“情节严重”进行认定时,通常以信息数量与违法所得作为量刑标准,该种唯数量论的量刑形式不仅架空了其他认定要素,使司法解释形同虚设,而且在大数据时代,数据库存储的信息通常难以计算,如果仅以特定信息数量作为认定标准,则难以确保罪行统一性。另一方面,对“情节严重”的认定存在双重评价的问题。由于公民个人信息所蕴含的巨大经济价值,在实践中行为人通常会通过窃取、打包出售给其他犯罪主体来进行诈骗、传销等犯罪活动,即侵害公民个人信息通常与电信诈骗、传销等犯罪活动并发,可能不仅将其以“情节严重”进行认定,而且将其作为单独刑事犯罪进行定罪量刑,出现同一行为两次认定的双重评价问题 [3] 。
4. 完善公民个人信息刑法保护的建议
4.1. 增加侵犯个人信息犯罪的行为方式
现有的非法获取、提供等行为方式已不能满足目前打击信息犯罪的需要 [4] 。非法使用、利用个人信息的行为同样会对公民个人信息权利造成侵害,非法使用、利用行为处于非法获取、出售及提供行为之后,是信息犯罪的后续行为,对他人的信息权益造成二次伤害,是目的性的行为,更具社会危害性。骗子往往利用个人信息去进行非法活动,比如利用别人的信息,伪造成为自己的身份,以此来达到欺骗的效果。除此之外,有学者指出,犯罪分子违法利用公民个人信息,有利于隐藏自己的犯罪活动,逃避警方的侦查,妨碍案件的侦破,扰乱治安秩序,为警方精准打击犯罪制造困难和障碍 [5] 。
非法篡改、毁损公民个人信息的行为当今社会越来越常见,网络技术的飞速 展促使人们的个人信息以数据的形式保存与计算机中,这为不法分子侵犯公民个人信息的形式提供了一种新的思路,公民的个人信息在网络交流和储存的过程中极易被非法篡改或损毁。实务中出现有篡改同学高考志愿,导致该名考生错过了自己心仪大学的案件9,虽然篡改同学志愿的行为对其同学的个人信息造成了严重的侵犯,但最终检察院对行为人作出了不起诉的决定,原因是刑法缺乏对该行为的明确的处罚规定,因此不承担刑事责任。为尽量减少实务中类似现象的发生,亟需刑法对计算机中的个人数据安全予以保护,将篡改、毁损个人信息的犯罪行为方式归入侵犯公民个人信息罪的制约。如再发生上述案件,可以对侵犯个人信息的行为做单独评价,与侵犯计算机系统类的犯罪数罪并罚,增强对个人信息和数据的保护。
4.2. 丰富司法救济的方式
针对司法救济方式单一的问题,可以考虑让政府相关部门或者司法机关提前介入,在发现公民个人信息权利受到侵害的同时着手处理,或者通过政府协商的方式,使公民在不用诉讼的情况下,获得相应的补偿,以此捍卫自己的权利。在实践中可以通过明确合理收集信息的范围,一旦抄超出限定的范围,就可以启动公法路径下的执法程序,对违法者予以惩戒。或者通过缩短诉讼程序期限,减少公民为了维护个人信息权利所花费的金钱与时间,提升公民保护权利的积极性。
4.3. 完善“情节严重”的标准
在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》采用违法所得数额标准,但违法所得数额是判断经济类犯罪的主要依据,侵犯个人信息并非经济类犯罪,而且违法所得数额并不能直接反映法益受到侵害的程度,直接采取这一标准或存在不妥之处。在实践中,该标准容易对侦查取证方向造成错误的导向,导致个案量刑的不均衡等问题。关于特定主体身份的标准,《刑法》对执行公务或者提服务的主体侵犯个人信息的要“从重处罚”,使得特定主体需要承担了更加严厉的刑事责任,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将此类犯罪主体的犯罪门槛予以降低,与我国现行的刑事立法存在着矛盾。关于恶劣社会影响的认定标准。“恶劣社会影响”的内涵很难明确,其认定依据的基本事实常常超越了侵害人的犯罪要件,造成了对主观因素的误认。侵害公民个人信息罪有被故意放大的危险。以“情节严重”为要件的本来就存在着一些不确定因素,用这种模棱两可的定义去阐释刑法中的含糊不清的观念,在方法上也并非明智之举。本文认为,应当采取一个综合性的认定标准,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》采取的是单一认定标准,存在不足。在实际生活中,个人信息的性质、范围以及侵权的手段都是多样的,有些行为采取一种判断方式不一定准确,所以,可以采用以单一标准为主,综合性标准为辅的原则,共同服务于“情节严重”的认定。统一的准则必须以判断一项罪行的行为是否达到统一的准则为基础。单一性标准应优先考虑,当某行为不符合单一标准,且按照综合性的指标,该行为的社会危害性被认为与犯罪相当,则应根据综合标准进行评估。由于适用范围广,法官的自由裁量权大,综合标准应受到严格限制,以防止刑事制裁的范围任意扩大 [6] 。
5. 结语
侵犯个人信息犯罪屡屡发生,尽管两部刑法修正案以及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》一直在不断完善对相关犯罪行为的具体规定,但还是有许多需要改进的地方。虽然本文对个人信息的刑法保护方面着重进行了分析,但要确保公民的个人信息的安全,光靠刑法的完善是远远不够的,必须要通过各个部门的合作,加强各个部门的监督和自律,通过多方合作,建立起科学、合理、多元、互惠互利的个人信息保护机制。
NOTES
1《关于加强网络信息保护的决定》第1条规定:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
2《关于依法惩处侵害公民个人信息犯罪活动的通知》规定:公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。
3《网络安全法》第76条规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
4《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。
5《中华人民共和国民法典》第111条:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
6山东省菏泽市单县某中学毕业生陈某,偷偷篡改了四名同班同学的高考志愿,导致他们无法进入心仪的高校就读,造成了恶劣的社会影响。澎湃新闻:《山东4考生的人生路口:被志愿遭篡改高校录取,盼原高校补录》,2016年8月18日。
7中国网信网:《网民权益报告:网络侵权致中国网民人均损失124元》,2015年7月22日。
8公安部网安局:《“公安2021”年终盘点打击侵犯公民个人信息犯罪这一年:公安部公布十大典型案例》,2022年1月10日。
9澎湃新闻:《山东篡改同学高考志愿案嫌疑人郭某某被释放,检方决定不起诉》,2016年9月30日。