关键词:大数据时代;个人信息;刑法保护
虽然有学者归纳出了大数据的特点[1],但我国目前并没有“大数据时代”这一概念确切统一的界定。大数据不是指一种新的产品或技术,它只是数字化时代出现的一种现象。当世间万物都能数据化,大数据给社会带来变革将会是根本性的[2]。在此背景下,法律制度的调整和变革在所难免。随着大数据时代的到来,个人信息进一步数据化、获取便捷性提高、经济价值凸显,此外,技术手段的进步也加大了个人信息受到侵害的可能性和严重性[3]。
(一)我国法律、法规对个人信息概念的界定
《中华人民共和国刑法》(以下简称《刑法》)长期以来并未对个人信息这一概念作出比较明确的界定,直到2017年两高的司法解释出台①,给出了个人信息的定义。该定义具有一定的科学性,采用了“识别性+价值性+客观真实性”的综合认定方式[4],明确了具有《刑法》保护价值内容的个人信息。不论是从法益保护的角度来看还是从实践中的操作性来看,都能合理地体现《刑法》所保护公民个人信息的范围,从而提高打击此类犯罪的精准性和高效性,使社会秩序得到保障。
(二)学界对于公民个人信息概念的界定
二、大数据时代我国《刑法》对公民个人信息保护之不足
(一)前置性法律规范的缺位
根据罪刑法定原则,侵犯公民个人信息罪需要具备“违反国家前置性法律规范”这一构罪条件,才可以对行为人实施法律制裁。令人不解的是,与该罪配套的法律法规却一直没有出台,《中华人民共和国个人信息保护法(草案)》在2005年就已呈报国务院,但由于种种原因,这部保护个人信息的专项立法至今也没有正式施行,导致了对个人信息的保障不完备,目前应当加快“个人信息保护法”的出台。
(二)该罪的行为方式不够全面《刑(九)》仅对出售、提供、窃取以及其他非法
获取的行为方式进行规制过于简单,概括式的表述致使对侵犯个人信息行为的认定存在诸多争议[11]。实践证明,真正导致人身安全和财产安全遭受巨大损失的是信息被泄露或者出卖后衍生出的下游违法犯罪行为。例如“徐玉玉案”中徐玉玉个人信息被盗后,犯罪分子利用其个人信息实施诈骗行为造成了更严重的后果。虽然行为人获取信息后的下游犯罪行为可以被定为诈骗罪、敲诈勒索罪等,但却不能完全规制非法使用个人信息的行为。
(三)该罪起诉模式不合理
纵观各国关于个人信息保护的法律规定,该罪的起诉模式各有不同:在芬兰为自诉方式,只有危害了公共利益,公诉人才能提出指控。英国的《数据保护法》中规定为公诉方式,依法提起诉讼应经注册员或检察长同意。而我国的亲告罪并没有设置侵犯公民个人信息罪,起诉模式单一。(四)罪名体系不完整虽然“非法获取公民个人信息罪”的处罚方式、法定刑参照“出售、非法提供公民个人信息罪”,但仍可以明确区分两者。而《刑(九)》在《中华人民共和国刑法修正案(七)》(以下简称《刑(七)》)的基础上将两罪合并之后,其所包含的还是之前的两种行为方式,除了简化罪名以外,并没有实质性的变化。其他侵犯公民个人信息的行为例如毁坏、泄露、收集之后非法使用等,没有法律的明确规定,就无法认定构成此罪,形成了法律规制的空白。
(一)大陆法系国家关于个人信息保护的规定
(二)英美法系国家关于个人信息保护的规定
1.英国关于个人信息保护的规定在英国,《数据保护法》这部法律以间接立法保护的模式,形成了较为完善的个人信息法律保护体系。该法设置了数据保护专员,能够有效管理和监督个人数据的保护。另外,该法从目的、质量等层面对他人收集、使用、利用个人信息进行明确限制,确定了保护对象须具备“可识别性”。2.美国关于个人信息保护的规定美国采取分散立法的模式,有关个人隐私保护方面的规定散见于40多部涉及个人信息保护的法律法规之中。这样的设置方式,优点是保护的内容广泛、涉及法律众多,缺点是没有完整、严密的法律保护体系,实践中容易出现部门规范、判例法之间无法形成良好的协调沟通衔接而导致法律适用问题的窘境。由此可见,建立完善统一的个人信息刑事立法体系十分必要。
四、大数据时代我国公民个人信息刑法保护完善建议
(一)完善个人信息刑法保护法律体系
1.完善《刑法》与前置性法律的衔接我国现行的涉及公民个人信息保护的法律散见于各项法律法规之中,例如《中华人民共和国网络安全法》《中华人民共和国身份证法》《中华人民共和国未成年人保护法》等,这些法律法规之间缺乏统一的体系和规划,无法与《刑法》形成良好的过渡与衔接,导致个人信息保障效果不理想,应尽快完善前置性法律体系,起到足够的衔接作用。2.尽快出台“个人信息保护法”目前理论界之所以对侵犯公民个人信息罪存在的各种问题争议不断,“个人信息保护法”的缺位难辞其咎。我国应该从源头上防患于未然,强化公民的个人信息保护意识。此外,我国对于个人信息的保护也要遵循典型的成文法国家的做法,即通过制定明确的法律来进行规范。
(二)规范现有的侵犯公民个人信息罪
1.明确规定本罪的犯罪对象如前所述,《解释》第一条针对“公民个人信息”进行了定义,并且规定了其包含的范围,在一定程度上解决了本罪犯罪对象认定的问题。但此定义仍然没有做到面面俱到,例如个人的奖惩记录、家庭状况、婚姻状况等信息并没有被明确地列举出来。这些信息该如何界定,还必须依靠法官的自主裁量,因此仍亟须对本罪的犯罪对象作出更为明确的规定。2.增加其他行为方式虽然《解释》第四条已经对该罪的行为方式作出了补充①,但仍可以增设其他侵犯个人信息犯罪的罪名,并且“设置兜底性条款,将可能的行为方式设置为侵犯公民个人信息罪”[13]。可以将现存的罪名划分为“出售公民个人信息罪”“非法获取公民个人信息罪”“非法提供公民个人信息罪”等,最后再设置“兜底条款”,如“其他侵犯公民个人信息的行为,参照上述罪名定罪处罚……”
(三)完善个人信息类犯罪的起诉模式
当前我国侵犯公民个人信息犯罪的提起只能依靠公诉机关以提起公诉方式进行,如此单一的起诉方式无法充分考虑被害人的意见。实际上,与追溯犯罪行为人相比,被害人的隐私似乎是更重要和更值得保护的法益。侵犯个人信息的行为在大数据时代下愈演愈烈,但倘若被害人在其个人信息遭受侵害之后,并不愿意使这一情况为人所知,在这种情况下,国家公权力机关也不应该主动进行追溯。我国可以借鉴芬兰和我国有些地区的做法,增加侵犯个人信息犯罪的起诉模式,将其设置成不纯正亲告罪,形成以自诉为主、公诉为辅的保护模式。
(四)重构个人信息刑法保护的罪名体系
参考文献:
[1]陶茂丽,王泽成.大数据时代的个人信息保护机制研究[J].情报探索,2016(1):12-19.
[2]马建光,姜巍.大数据的概念、特征及其应用[J].国防科技,2013,34(2):10-15.
[3]李玮.侵犯公民个人信息罪研究[D].武汉:武汉大学,2017.
[4]陈珺.侵犯公民个人信息罪中公民个人信息的认定[D].合肥:安徽财经大学,2017.
[5]薛文龙.侵犯公民个人信息罪司法疑难问题研究[D].上海:上海师范大学,2017.
[6]李燕.论我国个人信息刑法保护之不足与完善[D].烟台:烟台大学,2019.
[7]赵秉志,王东阳.信息时代更应强化人权保障[N].法制日报,2009-03-04(3).
[8]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006:48.
[9]张明楷.刑法学[M].北京:法律出版社,2016:921.
[10]胡胜.侵犯公民个人信息罪的犯罪对象[J].人间司法,2015(7):39-43.
[11]张妍.论我国个人信息刑法保护之不足与完善[D].长春:吉林大学,2017.
[12]拉伦茨.德国民法通论[M].王晓晔,译.北京:法律出版社,2003:113.
[13]杨圣楠.论我国个人信息的刑法保护[D].合肥:安徽财经大学,2017.