search
尋找貓咪~QQ 地點 桃園市桃園區 Taoyuan , Taoyuan

中國人民公安大學李懷勝:公民個人信息的刑法保護思路|網法時空

在信息化時代,公民個人信息犯罪已成為危害公民個體權益、社會秩序乃至國家安全的重要犯罪類型。個人信息犯罪及其引發的後續犯罪的危害性不容小覷,尤其是隨著大數據時代的到來,信息的搜集和處理相對便捷,信息犯罪的門檻也逐步降低,這反過來促進了公民個人信息犯罪危害性的激增,因而迫切需要提出系統性的應對思路。可以說,公民個人信息泄露或者信息盜竊及其衍生的二次犯罪現象成為一個亟待解決的社會問題。筆者認為,「公民個人信息」的保護範疇、信息持有者的不作為責任、信息交易者的主體責任是目前應當予以充分重視的問題。

關注「公民個人信息」的核心範疇:正視「公民個人信息」的擴張態勢

自1997年刑法頒布以來,刑法關於公民個人信息的保護一直處於擴張的態勢。1997年刑法沒有對公民個人信息直接保護的罪名,立法上主要是通過保護社會信息間接保護公民個人信息,如泄露內幕信息罪、侵犯商業秘密罪等。2005年《刑法修正案(五)》增設了竊取、收買、非法提供信用卡信息罪,將他人的「信用卡信息資料」這一特定的公民個人信息予以刑法保護。《刑法修正案(七)》增設了出售、非法提供公民個人信息罪,《刑法修正案(九)》對本罪進行了修改,相應的,罪名調整為侵犯公民個人信息罪。「公民個人信息」從此成為刑法的規範概念。

依照2013年兩高和公安部《關於依法懲處侵害公民個人信息犯罪活動的通知》,公民個人信息包括「公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料。」,也就是說,公民個人信息包括兩類,分別是公民個人身份信息和公民個人隱私信息。

除此之外,2011年兩高《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第11條引入了「身份認證信息」的概念,即「身份認證信息」是指用於確認用戶在計算機信息系統上操作許可權的數據,包括賬號、口令、密碼、數字證書等。根據該解釋,對支付結算、證券交易、期貨交易等網路金融服務的身份認證信息的侵害,依照非法獲取計算機信息系統數據、非法控制計算機信息系統罪以及提供侵入、非法控制計算機信息系統的程序、工具罪處罰。身份認證信息是可以達到個人信息的「身份可識別性」標準的。

除此以外,司法實踐對「公民個人信息」的外延也進行了積極探索。在最高人民法院的機關刊物《刑事審判參考》刊載的第1009號案例「胡某等非法獲取公民個人信息案」中, 被告人通過非法跟蹤他人行蹤所獲取了公民的日常活動信息,法院認定被告人犯非法獲取公民個人信息罪。本案中的「公民的日常活動信息」實際就是位置信息,位置信息與公民的其他信息相結合,也可以達到識別自然人個人身份的程度,它可以被納入到公民個人信息的範疇中,它是一種「推定身份信息」。這樣看來,從1997年刑法至今,刑法中先後出現了「信用卡信息」-「個人信息」-「身份信息」 -「身份認證信息」-「推定身份信息」等概念,刑法上關於公民個人信息的保護鏈條一直在拉長,它何時會是盡頭呢?

對這個問題的回答需要明確兩點:第一,在大數據時代,隨著移動互聯網的普及、智能穿戴設備的廣泛適用,特別是全網用戶實名制的推行,個人信息的搜集更加頻繁和密集; 第二,藉助大數據分析和挖掘技術,多重來源的、碎片化的個人信息也可以拼出完整的個體形象,實現身份的精準定位和識別。軟體演算法和分析學的發展使得大量數據更易被關聯和聚合,大大增強了人們將非個人信息轉化為個人信息的能力。 因此,技術的進步會使「公民個人信息」的概念不斷模糊化,探索個人信息的精準定義既無必要,也不合時宜。期待通過對「公民個人信息」這一構成要素做出明確界定,來限制侵犯公民個人信息罪處罰範圍的做法已不適應保護公民個人信息的現實需求。因此司法上應將侵犯公民個人信息罪規制的重點,從公民個人信息的範圍轉移到個人信息濫用的後果上來,注重對信息濫用風險的控制和評價。此外,著眼於公民個人信息保護的世界性發展趨勢,應當將一切與公民隱私有關的信息都納入到公民個人信息的保護框架中來。

關注網路平台的不作為責任:正視信息持有者「權責」的失衡態勢

毋庸諱言,公民個人信息被如此頻繁地侵犯,源於我們有太多的信息被他人所掌握。國家基於行政管理和維護公共安全的需要,在許多領域都開展了強制的實名制,例如銀行儲蓄、就醫、網吧服務、出行和住宿、手機通信等。實名制在遏制網路犯罪、維護網路清朗空間方面具有其積極的方面和顯著功能。不過實名制導致的一個副作用就是:許多國家機關、商業機構和網路平台都掌握著海量的公民個人信息,而這些機構一旦發生信息泄露事件,其造成的社會影響和危害後果都是非常巨大的。2016年12月,擁有9000萬用戶的國家電網傳出了掌上電力APP、電e寶APP用戶信息被泄露的消息,不過國家電網隨後對該信息予以了否認。即使是普通的商業性購物性網站,網站為了減低受欺詐的可能,維護交易雙方的信譽,通常也會要求交易對手對網站提供真實的註冊信息,因而在互聯網時代,公民個人信息的釋放渠道是非常多的。這些機構既然擁有這麼多的公民個人信息,並且可以利用公民個人信息創造附加價值,那麼在享受利益的同時也應當敬畏自己的責任。

無論是《刑法修正案(七)》增設的出售、非法提供公民個人信息罪,還是《刑法修正案(九)》修改後的侵犯公民個人信息罪,刑法主要強調的是對以積極方式向他人出售或者提供公民個人信息行為予以打擊,也就是信息持有者的作為責任。但是對於信息持有者的不作為責任,也應當予以充分重視。《刑法修正案(九)》為了強化平台責任,增設了拒不履行信息網路安全管理義務罪,即刑法第286條之一:「網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,經監管部門責令採取改正措施而拒不改正,有下列情形之一的,處三年以下有期徒刑、拘役或者管制,並處或者單處罰金:(一)致使違法信息大量傳播的;(二)致使用戶信息泄露,造成嚴重後果的;(三)致使刑事案件證據滅失,情節嚴重的;(四)有其他嚴重情節的。」按照本罪的規定,對於網路服務提供者拒不履行法律、行政法規規定的信息網路安全管理義務,致使用戶信息泄露,造成嚴重後果的,構成本罪,但是本罪還附設了另一個條件,即必須「經監管部門責令採取改正措施而拒不改正」的,才能構成此罪。關於網路服務提供者的信息網路安全管理義務,2012年全國人大常委會《關於加強網路信息保護的決定》第4條指出:「網路服務提供者和其他企業事業單位應當採取技術措施和其他必要措施,確保信息安全,防止在業務活動中收集的公民個人電子信息泄露、毀損、丟失。在發生或者可能發生信息泄露、毀損、丟失的情況時,應當立即採取補救措施。」本決定第5條指出:「網路服務提供者應當加強對其用戶發布的信息的管理,發現法律、法規禁止發布或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,保存有關記錄,並向有關主管部門報告。」既然法律已經明確設定了網路服務提供者的管理業務,掌握了大量公民個人信息的網路服務提供者,難道不該積極主動地去履行網路安全管理義務,並直接地承擔相應的法律責任嗎?在當前的互聯網產業中,大型互聯網公司對自己的數據安全以及網路安全運行現狀是高度重視的,因而這與企業的社會聲譽和商業信譽直接相關。但是對於中小互聯網企業,特別是處於創業期的互聯網企業而言,較高的網路安全管理義務意味著較高的技術、人員和成本投入,基於商業成本的考量,小型互聯網企業並沒有足夠動力提升網路安全防護標準,而更樂意構建處於行業中流水平的,說得過去的安全標準,這對其存儲的公民個人信息就構成潛在威脅。即使對於大型互聯網企業而言,有些企業對於自己網站技術架構中存在的某些漏洞也沒有引起充分的重視,往往是不良後果發生了才想辦法彌補。因此,是否真的有必要設定「經監管部門責令採取改正措施而拒不改正」這一構成要素?如果按照該邏輯進一步推論的話,監管部門沒有積極履行自己的監管義務,是否應當承擔瀆職責任?筆者認為,如果立法者真的想限制本罪的處罰範圍,只需要將網路安全管理義務設定為注意義務而不是結果避免義務就可以了。目前的規定模式,極易造成這個罪名「備而不用」甚至「備而無用」。公民個人信息犯罪的體系中,信息保管者權利格局的失衡是客觀存在而且必須要進行調整的。

關注大數據交易的主體責任:正視大數據交易對公民個人信息的衝擊

大數據時代,數據就是財富,這已成為共識,因此很多地方嘗試建立大數據交易中心,試圖搶佔這一先機。當前大數據交易過程中對個人信息的保護主要來源於交易主體的自我約束和剋制,以及交易平台的第三方監管。2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過《中華人民共和國網路安全法》第42條規定:「網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。網路運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。」本條確立了數據持有者進行數據交易的基本規則,即或者經過被收集者同意,或者剔除了個人關聯,數據搜集者就可以向他人提供數據。大數據經過一定演算法提取了個人關聯。對於有些用戶數據,商業公司只能通過採集公民個人信息的方式來搜集到,例如病人的健康數據。為了保障公民個人信息的安全,大數據應當濾掉個人關聯,經過一定演算法提取集體性特徵。但是問題在於,剔除了個人關聯的大數據,往往是價值貶損的大數據,需求方看重的就是大數據背後的精準營銷。在司法實踐中,許多侵犯公民個人信息的案例中,犯罪人都是藉助大數據的名義進行,而他們的具體做法則完全是一種小數據模式,即針對特定群體或者個人進行小數據分析,再對個人展開具體的服務模式,這種商業模式背後都存在著對公民個人信息濫用的可能。如何保證交易各方切實履行網路安全法的義務,防止大數據交易蛻變為對公民個人信息的系統性侵害,應是監管者格外注意的問題。(本文刊登於《信息安全》2017年第1期)

更多網路安全專家原創文章

「信息安全」公眾號



熱門推薦

本文由 yidianzixun 提供 原文連結

寵物協尋 相信 終究能找到回家的路
寫了7763篇文章,獲得2次喜歡
留言回覆
回覆
精彩推薦