肖颯
近些年來, 在資訊化資料化的大背景下, 個人資訊被非法傳播和使用的案件層出不窮。 民法、行政法以及刑法等所構建的法律體系對於公民個人資訊安全的保護也實為必要。
刑法體系
2009年2月28日, 全國人大常委會《刑法修正案(七)》增設了“侵犯公民個人資訊罪”, 2015年8月29日全國人大常委會《刑法修正案(九)》第十七條修訂, 將該罪主體由特殊主體修改為一般主體, 增設了從重處罰的規定, 並將本罪法定最高刑由三年有期徒刑提高到了七年有期徒刑。
為精准打擊侵犯公民個人資訊犯罪, 2017年5月9日, 最高人民法院、最高人民檢察院聯合發佈《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》(下稱《解釋》), 自2017年6月1日起施行。 從企業“合規”的角度而言, 如何利用大資料技術採集使用個人資訊, 甚至在銷毀時如何做到徹底的“脫敏”處理, 成為了各企業“合規”的重要方面。
三維度劍指合規
首先, 明確“公民個人資訊”的範圍。 《解釋》對“公民個人資訊”的範圍予以了明確規定:“指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的各種資訊, 包括姓名、身份證件號碼、通信通訊聯繫方式、住址、帳號密碼、財產狀況、行蹤軌跡等。 ”
筆者認為, 刑法上“公民個人資訊”的界定與其他法律並不衝突, “等”字以兜底的方式明確了全面資訊保護的現實需要, 同時要符合前述“可識別性”的本質特徵。 根據《最高人民法院關於審理利用資訊網路侵害人身權益民事糾紛案件適用法律若干問題的規定》(2014)、《電信和互聯網使用者個人資訊保護規定》(2013)等相關規定,
其次, “內鬼”入罪門檻降低。 《解釋》第五條規定:“將在履行職責或者提供服務過程中獲得的公民個人資訊出售或者提供給他人,
同時, 《解釋》還明確了網路服務者應有的資訊網路安全管理義務, “網路服務提供者拒不履行法律、行政法規規定的資訊網路安全管理義務, 經監管部門責令採取改正措施而拒不改正, 致使使用者的公民個人資訊洩露, 造成嚴重後果的, 應當依照刑法第二百八十六條之一的規定, 以拒不履行資訊網路安全管理義務罪定罪處罰。 ”網路服務者擁有強大的資訊綜合實力, 其具有資訊聚合的優勢, 則應在“技術可能性”即根據特有的網路技術環境以及現有的網路技術,
第三, 罰金力度加大。 《解釋》第十二條規定:“對於侵犯公民個人資訊犯罪, 應當綜合考慮犯罪的危害程度、犯罪的違法所得數額以及被告人的前科情況、認罪悔罪態度等, 依法判處罰金。 罰金數額一般在違法所得的一倍以上五倍以下。 ”由於侵犯公民個人資訊的行為大多主觀目的為非法謀取利益, 因此, 財產刑力度的加大可以有效剝奪其犯罪的經濟基礎。
值得注意的是, 侵犯公民個人資訊罪與第二百八十五條“非法獲取電腦資訊系統資料罪”存在想像競合, 從一重罪處罰的情況。 根據《關於辦理危害電腦資訊系統安全刑事案件應用法律若干問題的解釋》的規定:“(一)非法獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證資訊10組以上的;(二)獲取第(一)項以外的身份認證資訊500組以上的”認定為“情節嚴重”情形。 因此,在金融服務領域,如何區分身份認證資訊與公民個人資訊,如何界定行為人客觀行為是否構成相應法益的侵害,如何判斷行為人的主觀目的都將成為界定此罪與彼罪的關鍵。
(作者單位:北京大成律師事務所)
因此,在金融服務領域,如何區分身份認證資訊與公民個人資訊,如何界定行為人客觀行為是否構成相應法益的侵害,如何判斷行為人的主觀目的都將成為界定此罪與彼罪的關鍵。(作者單位:北京大成律師事務所)