关键词:个人信息;刑法保护;立法完善;规范体系
法律所要保护的个人信息是具有特定内涵的个人信息,与作为词汇使用的个人信息既有相同之处,也有一定区别。被认定为法律上的个人信息必须具有与法律保护的对象相同的权利属性和现实必要性。虽然,在不同法域中,对个人信息的称谓不同,但无论采用何种称谓,个人信息所体现出的能够识别个体的属性都是共通的。如果个人信息具有人身属性或者财产属性,换言之,一条个人信息所具有的属性属于法律要保护的范畴,那么它就应该被认定为法律意义上的个人信息,就应当考虑保护该种个人信息。否则,就只能是语义上的个人信息,而不是法律语境下的个人信息。所以,笔者认为,个人信息的认定标准是具有某种被法律保护的权利属性或者现实紧迫性。
有学者认为,信息化社会的主要财产已经变成了信息;①美国社会学家阿尔温·托夫勒曾说过:“在第三次浪潮中,我们仍然需要土地、机器这些有形财产,但主要财产已经变成了信息。如果说股票是象征符号,那么信息财产则是象征的象征,这样一来,财产的概念面目全非了…”转引自陈英:《信息产权与知识产权的内涵和外延的冲突》,载于《中国知识产权报》2003年10月16日。也有学者认为,在信息社会,个人可以通过信息或数据表示为一定的公共形象,具有“信息人格”或“数据人格”②[美]艾伦·托克音顿:《美国隐私法——学说、判例与立法》,冯建妹等译,中国民主法制出版社2014年版,第207页。。通过上述两种具有典型性的论断可以看出个人信息既具有财产权属性,也具有人格权的属性。个人信息的权利属性是法律保护个人信息的主要原因。
1.个人信息保护的人格权分析
2.个人信息保护的财产权分析
1.美国对个人信息的刑法保护
二是其他有关个人信息保护的刑事立法。主要包括:1974年的《隐私权法》第9款:有权掌握或使用个人识别信息的单位工作人员,违反规定向无权获得之人泄露机关档案的,未按要求保管的以及以虚假身份申请获得有关个人档案材料的,均应被判为有罪;1970年的《公平信用报告法》将以故意欺诈为手段从消费者信用报告机构获取消费者信息规定为犯罪;1984年的《惩治计算机与滥用法》将“黑客”行为和非法入侵他人计算机并获取他人受限制或受保护数据的行为规定为犯罪;1986年的《电子通讯隐私法》也规定有刑事条款;1994年的《机动车驾驶员隐私保护法》对于明知超出机动车辆驾驶员的个人信息使用的合理范围仍使用的行为规定了刑罚。
2.德国对个人信息的刑法保护
德国刑法规定的侵犯个人信息犯罪主要体现在第十五章的侵害私人生活和秘密中,分别规定了侵害言论秘密、通信秘密、他人隐私、邮政或电讯秘密以及探知数据、利用他人秘密等罪名。这些规定保护的对象都是包含大量个人信息的个人隐私,保护的范围从言论、信件到电子数据,甚至还包括个人心理和意识形式存在的秘密,几乎涵盖了个人信息的各个方面。另外,在保护个人数据隐私为主题的刑法典条文中,立法者还对法人设置了保护,如利用他人秘密中规定,有保密义务之人,非法利用企业商业秘密的,处2年以下自由刑或罚金刑。
3.日本对个人信息的刑法保护
在日本《刑法典》中,针对个人信息的保护范围也很广泛,将开拆书信、泄露秘密、准备不正当制作支付用电磁卡电磁记录、使用电子计算机诈骗等行为均规定为犯罪。除此之外,还把公然指摘事实、毁损他人名誉的行为规定为犯罪。针对“黑客”行为,规定利用计算机程序非法侵入他人的计算机或网络,应处以刑罚。
通过研究美国、德国、日本三个国家个人信息的刑法保护,可以总结出以下几个方面的特点:
1.刑法介入广泛化
2.立法模式多样化
通过总结三个国家的立法模式,主要有三种类型:刑法典规定型、单行刑法规定型以及附属刑法规定型。“对由来已久的侵犯个人信息行为,各国普遍利用刑法典予以规制;而对于随着科技发展不断出现的侵犯个人信息行为,为了维护刑法典的稳定性,则通常采取单行刑法规定和附属刑法规定的方式予以规制。”①吴苌弘:《个人信息的刑法保护研究》,华东政法大学2013年博士学位论文,第71页。具体来看,作为英美法系代表国家的美国,普遍采用单行刑法,如直接针对身份盗窃的刑事立法和在其他单行法规中规定针对侵犯公民个人信息行为的刑事法条。而德国和日本作为大陆法系在欧洲和亚洲的国家代表,则采取了在刑法典增加罪名的基础上,在专门的个人信息保护法中附属刑法规定的形式,如在德国的《联邦数据法》、日本的《个人信息保护法》中均有条款对若干侵犯个人信息行为规定了刑罚。
3.保护范围扩大化
4.立法侧重差异化
1.从中国国情出发建立个人信息刑法保护体系
个人信息刑法保护受各国文化传统、历史习惯、法律传统等多种因素的影响,不仅立法侧重、保护范围不尽相同,模式和路径选择也存在差异。因此,学习、借鉴域外个人刑法信息保护的经验必须全面考察其立法基础和司法效果,决不能以几点或者部分相似而照搬照抄,而应该立足中国实际情况,对域外个人信息刑法保护进行深入的研究和分析,既要找出其中的优点,也要认清其中存在的问题和不足。既不妄自菲薄,也不闭门造车,充分利用域外立法的先进经验改进中国个人信息刑法保护的不足,逐步建立适合中国国情的个人信息保护法律体系。
3.从社会、行业、个人三个层面出发建立个人信息刑法保护体系
从对个人信息刑法保护的发展进程可以看出,个人信息刑法保护往往始于个人隐私,并逐步发展到全面保护。如美国对公民个人身份信息的刑事立法保护就是从偏重于对公民个人隐私的保护,到包括对公民财产权等各项权利的全面保护。德国、日本也都制定了有别于各自刑法规定的补充性法律。随着个人信息重要性的不断凸显,中国也可借鉴其他国家、地区的做法,将侵犯中国公民个人信息的犯罪分别从保护社会管理秩序、规范行业发展和保护个人人格权及财产权的三个层面出发,同时根据社会发展以及侵犯公民个人信息犯罪发展的趋势,把一些常见多发的行为纳入刑法保护中来,并逐步形成完善的个人信息刑法保护体系。
个人信息已经成为中国经济发展的主要资源和结构转型的重要推动力,其本身的价值越来越大,同时也能为信息收集者、使用者、处理者带来巨大的利益,这就不可避免地引发一些侵犯个人信息的行为,给公民个人乃至社会造成严重影响。
1.侵犯个人信息的行为越来越猖獗
2.侵犯个人信息的行为手段不断翻新
3.侵犯个人信息的动机和原因日趋复杂
《刑法修正案(七)》首次将侵犯公民个人信息的行为入罪,在刑法第253条后增加1条,作为第253条之一。②即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”随后,最高人民法院、最高人民检察院联合发布了《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》,确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”两个罪名。除此之外,《刑法修正案(五)》也曾在刑法第177条中增加了第177条之一,其中的第2款窃取、收买、非法提供他人信用卡信息罪同样是用于惩治严重侵犯个人信息的行为。虽然,中国刑法针对个人信息犯罪有了明确、具体的规定,但与公民对个人信息保护的诉求和严重侵犯个人信息造成的后果相比,仍然存在较大的不足。
1.个人信息的刑法属性界定还不清晰
《刑法》第253条规定的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的犯罪对象均为个人信息。但与刑法规定不相符合的是,中国并没有法律对个人信息的定义作出明确的解释或者列举描述。刑法是最为严谨的法律,如果条文中使用了没有明确内涵和具体范围的概念,而且这个概念还是关于罪与非罪、此罪与彼罪的重要概念,必将导致该条文在司法实践中引起争议,造成适用的混乱和困惑。个人信息界定不清,必然给《刑法》第253条的实施带来很大的难度和不确定性。
2012年12月28日全国人大常委会通过了《关于加强网络信息保护的决定》,③《关于加强网络信息保护的决定》第一条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”在其中将法律保护的个人信息的内容界定为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,这一规定有助于对个人信息在法律语境中的解读,但由于中国法律对于隐私没有明确的定义,所以这样定义个人信息仍然具有很大的不确定性。该规定还将个人信息限定为电子信息,将生物信息等新型个人信息排除在保护范围之外,这是明显的缺陷,与现实脱节。目前,中国虽然有一些法律法规的个别条款对个人信息进行了界定,但这些分散的规定和不同的表述显然不能适应公民对于个人信息保护的要求,亟需权威部门通过法律或者法律解释明确个人信息的定义。
2.刑法典对于个人信息的保护还有欠缺
3.没有形成与刑法典相连接的保护体系
《刑法修正案(七)》的出台标志着中国在个人信息刑法保护上取得了重大突破,然而在对于侵犯个人信息的现实紧迫性来看,还显得比较单薄。对于打击侵犯个人信息犯罪往往也有力不从心之感。而且,随着大数据时代的到来,个人信息的重要性更加突出,利用刑法对个人信息进行更加全面、更加深入的保护是大势所趋。要适应这种趋势,单靠刑法典的规定是不够的,必须建立以刑法典为中心,连接保护个人信息的各种规范,建立社会、行业和个人三个层次的个人信息刑法保护体系。
虽然中国的个人信息刑法保护已经走出了关键的一步,但是还存在比较多的基础性和系统性问题,主要是个人信息的刑法界定不清晰、配套法律不完善、刑法与其他法律之间的衔接机制不健全等。这些问题的存在,极大地限制了个人信息刑法保护的范围和力度。解决这些问题,决不能用“头疼医头、脚疼医脚”的办法,而是要系统、全面认识个人信息刑法保护体系的重要性,逐步建立以刑法为中心的涉及多个部门法的社会规范体系。
1.对刑法保护的个人信息进行明确界定
(1)扩大犯罪主体范围。“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”是特殊主体,其范围过窄。实际情况中,这个范围早已被突破,并日益扩大。为解决与实际不符的矛盾,应将本罪的犯罪主体范围扩大为一般主体,并规定单位也可以成为本罪的主体。而针对本罪中现在规定的特殊主体犯本罪的,可以从重处罚。
(2)变公诉为自诉为主。本罪的位置设定在刑法第四章“侵犯公民人身权利、民主权利”中,则可见立法本意还是为了保护公民自身的合法利益。本罪的刑罚也符合“针对可能判处3年以下有期徒刑、不需要经过专门侦查的侵犯个人信息权犯罪案件”这个自诉案件的条件。因此,本罪宜采用自诉为主的追诉方式,只有行为人采用侵犯个人信息数据库等行为,涉及侵犯社会秩序甚至国家利益的时候,才能以公诉的形式进行追诉。这种以“自诉为主,公诉为辅”的追诉方式既符合刑法的谦抑性,又可以使被害人参与到刑事诉讼中,有利于打击犯罪,化解社会矛盾。
(3)将非法收集、利用个人信息的行为规定为犯罪,并设置新的罪名。非法收集个人信息的行为虽然不直接侵犯个人信息,但这类行为的现实危害性显而易见,而且已经成为侵犯个人信息犯罪的源头。如果不利用刑法对其进行规制,必将导致侵犯个人信息犯罪的泛滥。中国对于非法利用个人信息的行为,一般以其后续行为的性质进行规制,忽略非法利用个人信息本身已经构成了犯罪。设置非法利用个人信息罪,有助于防止侵犯个人信息的行为向其他违法犯罪行为蔓延,并倒逼其他侵害个人信息犯罪行为的终止。
3.完善个人信息刑法保护的民事、行政保护的衔接机制
4.尽快出台专门的《个人信息保护法》
(3)电信行业。中国电信行业已实行实名入网制,但在电信行业发展的过程中,由于行业规范不健全,实名制带来的个人信息泄露等问题相当严重,并由此引发了电信诈骗等一系列犯罪行为。电信行业个人信息保护应针对“入口”和“端口”制定更为完善的规范。在“入口”处,对加盟商、代理商建立严格的资格审查制度,确保每一张SIM卡都有真实、明确的出处和使用人;加强对端口的管理和控制,利用技术手段防止使用呼出号码修改装置等违法设备的语音、文字等信息进入通讯网络,堵住电信诈骗的端口。同时,与数据安全机构建立协作机制,对于经过验证核实的用于违法犯罪活动的号码及时注销,并将使用人信息留存备查。
3.建立统一的个人信息保护和行业监管机构
1.积极回应保护个人信息刑法保护诉求
2.强化个人信息刑法保护的意识
其实,树立个人信息维护的意识才是最重要的,我们应当改变传统的安全观念和认知,提高我们自身的信息保护意识。欧盟等国已发布《提高信息安全意识》公告,要求欧盟各国政府宣传和提高其公民对于个人信息保护的意识和认知。中国也应当加强对于个人信息维护的宣传教育,展开基层普法工作,让公民树立自觉维护信息安全的意识。
3.调和个人信息保护与公共利益需求矛盾
TheResearchofCriminalLawLegislationofPersonalInformationinChina
HUANGZu-shuai
Abstract:TheinfringementonpersonalinformationisbecomingmorerampantwiththewideuseofpersonalinformationintheInternetera.Thereisaloudcallfromthepeopleforusingthecriminallawtoprotectpersonalinformation,sinceChina’scriminallawlegislationisrelativelyweakforprotectingpersonalinformation.Thisessaybeginswithadiscussionofthegeneraltheoryofpersonalinformationbeforelookingintothecriminallawlegislationforprotectingpersonalinformationinanumberofmajordevelopedcountries.Itpointsoutthewayforwardforimprovingthepresentlegislationbasedontheaboveanalysis.Finally,itelaboratesonatripartitestructureofthecountry’slawforsettingupmechanismsforpersonalinformationprotection.
Keywords:personalinformation;criminallawprotection;perfectinglegislation;standardizedsystem
作者简介:黄祖帅,男,辽宁铁岭人,中国政法大学博士研究生。(北京100088)