本报简介个人信息安全:大数据时代的基石
“徒法不足以自行”。“两高”出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,就“侵犯公民个人信息罪”的具体构成要素、定罪量刑标准进行了有利于实践操作的解释。
2016年8月,因个人信息泄露而导致的电信诈骗案,让处于花样年华的徐玉玉溘然离世,再次敲响了个人信息泄露的警钟。
信息时代,个人信息泄露屡见不鲜。但《刑法修正案(七)》《刑法修正案(九)》对“侵犯公民个人信息罪”的规定相对原则,尤其是犯罪客体、犯罪内容、定罪量刑均模糊不清,由此导致了法律适用的分歧。
为了化解目前“徒法不足以自行”的现状,2017年5月9日,“两高”出台《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),从该罪的具体构成要素、定罪量刑标准入手做出了有利于实践操作的解释。民主与法制社记者邀请山东工商学院教授王秀哲、西南政法大学教授高一飞对此进行了解读。
利于“定罪量刑”
记者:业界评价《解释》的出台是一场 “及时雨”。您认为,它将起到哪些作用?
王秀哲:首先,能够使刑法规定的“侵犯公民个人信息罪”的法律适用更为明确,有利于该罪的定罪量刑,在实践中发挥保护公民个人信息,惩处犯罪的目的。
其次,《解释》对“公民个人信息”的界定,有进一步明确个人信息法律保护范围的作用。在我国目前尚没有个人信息保护的专门法律,个人信息民法、行政法保护也不完善的背景下,个人信息的保护范围一直模糊不清。与本解释同一天生效的《网络安全法》是我国第一部明确界定个人信息的法律,该界定采取的是“识别自然人身份”的概括加具体列举个人信息的方式。《解释》采取了同样的方式,虽然在表述上增加了“反映特定自然人活动情况的各种信息”,但是特定自然人的使用,依然还是识别性标准。用“识别性”界定个人信息是各国个人信息立法保护的通行做法,也是个人信息法律保护的必要内容,《解释》中的这一界定,有助于推进我国个人信息法律保护的发展。
另外,《解释》适应网络化大数据处理的发展,能够从整合网络安全的目的出发惩处侵犯个人信息犯罪。它明确了设立网站、通讯群组侵犯公民个人信息行为的定性;与《网络安全法》的有关规定相结合,明确了拒不履行公民个人信息安全管理义务行为的处理。
记者:《解释》中第二条“违反国家有关规定”将部门规章囊括在内,您对此有何看法?
王秀哲:《解释》中第二条“违反国家有关规定”解释的是“有关公民个人信息保护的规定”,从保护公民个人信息的角度看,把部门规章囊括在内,有利于扩大公民个人信息法律保护的范围。由于我国并没有制定公民个人信息保护的专门法律,公民个人信息保护的规定散落在法律、法规、规章中,且总的内容并不多,所以这样的规定,能够最大限度实现我国目前公民个人信息的规范保护。
记者:《解释》第五条第二款对侵犯公民个人信息罪的“情节特别严重”的认定标准,也即“处三年以上七年以下有期徒刑”量刑档次的适用标准作了明确,主要涉及如下两个方面:一是数量数额标准,二是严重后果。您如何看这两个标准。
王秀哲:《解释》对侵犯公民个人信息罪的定罪量刑采取的是数量数额标准与严重后果两者并行选择的做法,《解释》第五条第二款的“情节特别严重”只是在数量数额标准和后果上做了加重规定。这两个标准的选择是从有利于实践操作的角度比较务实的规定。在一定程度上,可以解决刑法原规定的定罪量刑模糊无法操作的弊端。但《解释》中具体细化的规定在实际操作中也还有商榷和进一步解释的空间,比如,“造成重大经济损失或者恶劣社会影响的”这一规定,再如对个人信息数量的规定,采取的是分类列举的方式,不同层次分类的内容可能有交叉,而列举的弊端是无法穷尽所有内容。这些都会在实践操作中引发争议。追根究底,这些问题的出现还是因为前置的个人信息保护法律不健全,需要在今后个人信息法律保护的完善中解决。另外,《解释》无论如何明确具体,都需要法官的裁量决定,司法改革中法官的主体性地位的发挥也会影响解释的适用和命运。
识别“个人”与“公开”
记者:在大数据、云计算时代,怎样兼顾个人信息刑法保护和大数据的发展运用?
高一飞:这个问题很重要,《解释》规定,未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,但是经过处理无法识别特定个人且不能复原的除外。我认为,这里要注意两个问题:
一是,《解释》规定“通过大数据处理时无法识别特定个人且不能复原的除外”。对可以识别特定个人但是属于网络公开的信息是合法公开的或是否为合法公开不明确的,我认为不应当认定为犯罪。在打击犯罪时,要保证公民的信息获取和交流的权利。
二是,对于公职人员的公开信息整理,不应当认定为违法犯罪。如各地在媒体统一公开的公安局长电话、各地公共机构在大厅公开其工作人员的姓名、照片、办公电话、办公室房间号等,收集并公开这些信息不应当规定为犯罪。因为公共机构的人员信息是广义政府公开的内容,公开这些信息是政府责任,以单个还是整体、批量获取这些信息,是公民的自由。
公共信息还包括公民个人因为公共事务而产生的信息,如被追诉人信息、公开审判中当事人的信息。也包括公众人物参加公共活动的信息,如明星什么时候会出现在什么地方参加演出或聚会。公共信息还包括私人事务中涉及公共利益的信息,如私营企业家的活动可能与一起环境污染事件有关等。
这次《解释》是由刑事追诉机构和审判机构出台的,最大的问题在于没有更多征求宪法学者和信息公开专家的意见,没有严格区分公共信息和个人信息,忽视了个人信息中包含的公共信息。信息自由在过去被作为言论自由的一部分,现在逐渐成为独立的权利,是重要的基本人权,是实现表达自由的基础:只有知道和获取相关信息才能有意义地进行表达。
政府:个人信息的最大消费者
记者:《解释》致力于全面系统、明确具体,但实践情况非常复杂且不断变化,您觉得就个人信息保护方面还有哪些问题需要进一步深入研究呢?
王秀哲:第一,个人信息的保护范围依然不明确。随着大数据的发展,“识别个人身份”的界定方法面临严峻挑战,不仅“识别个人身份”有“已经识别”与“可能识别”“直接识别”与“间接识别”的区分,而且“识别”这一性质,在大数据技术下已经无法明确把握。因为有些信息表面上看不属于“可以识别个人身份”的信息,或者经过了匿名化处理,但是通过计算机转换或者云计算,这些信息完全可以变成“可以识别个人身份”的信息。关于这一问题,国外学者已有详细研究。
第二,个人信息的收集、利用原则和标准不明确。《解释》对侵犯个人信息罪的提供、获取、买卖等犯罪手段做了明确详细的规定和列举。但制裁侵犯个人信息的犯罪必须建立在社会已经形成明确个人信息收集、利用的秩序和规则基础上。如果社会主体对个人信息的收集、利用混乱不清,单凭刑法确定个人信息收集利用的非法情形,并不能改变个人信息无序利用的现实,而个人信息的无序化,会不断产生刑法以及《解释》无法应对的危害社会的情形。
第三,个人信息收集利用中的政府责任。大数据时代,政府是个人信息的最大消费者,政府权力行使需要收集利用大量的个人信息。同时,个人信息的社会利用也需要政府进行监管。如何保证政府利用个人信息不侵权、还能承担好保护个人信息的责任,是大数据时代各国都必须面对的新课题。尤其是在反恐高压、公共安全危机不断的现代社会,个人信息保护中的两种政府责任是非常现实的法律问题。
总之,面对大数据时代信息自由流动与个人信息保护的矛盾,个人信息保护的基本原理、权利权力关系、具体的收集利用规则、法律责任承担等组成了个人信息法律保护的主要内容。由于我国个人信息法律保护整体不完善,刑法只是对个人信息侵权的社会后果的应急反应,期待通过刑法惩处个人信息犯罪来发挥保护个人信息的社会效用并不现实,个人信息的法律保护研究必须全面深入展开。
记者:就个人信息安全而言,除了法律法规所进行的保护,社会和个人还应做哪些努力?
王秀哲:维护个人信息安全是大数据时代社会发展的基石,个人应该善于利用技术手段做好个人信息安全防护,也要有维权意识。社会组织的责任更重大,因为大数据时代的商业和社会交往离不开个人信息的收集和利用,企业利用个人信息数据进行行业营销已经成为常态,个人信息的利用和挖掘决定企业的核心竞争力。企业社会责任的承担不是道德教化能起作用的,在法律法规规制之外,通过行业自律的方式、在市场竞争检验中发挥作用至关重要,这其中政府要做好正面引导。