陳錄寧
時延安
王文華
勞東燕
喻海松
付立慶
崔聰聰
劉衛東
肖平輝
吳沈括
阿拉木斯
◎要依法嚴懲侵犯公民個人資訊犯罪;要兼顧個人資訊保護與大資料發展的需要;要通過綜合治理加強對個人資訊的保護。
◎法律也沒有賦予個人資訊的直接相關者具有限制個人資料擁有者佔有權的權利,充其量只有限制其他人濫用的權利。
◎實施個人資訊保護的前提是建立對個人資訊過度收集和過度披露的干預機制。
近年來,侵犯公民個人資訊犯罪處於高發態勢,引起了全社會的廣泛關注。為此,“兩高”於5月9日發佈《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》(下稱《解釋》)。近日,北京外國語大學法學院、檢察日報社理論部、北京冠衡刑辯研究院聯合召開了“個人資訊刑法保護與電子商務”研討會,就《解釋》的理解與適用,以及適用《解釋》與發展電子商務之間的協調進行了前瞻性探討。
《解釋》對個人資訊提供了較高水準的保護
“首先,要依法嚴懲侵犯公民個人資訊犯罪;其次,要兼顧個人資訊保護與大資料發展的需要;最後,要通過綜合治理加強對個人資訊的保護。”最高人民法院研究室博士喻海松就當前侵犯公民個人資訊犯罪的治理問題提出了個人意見。他表示,目前侵犯公民個人資訊犯罪呈高發多發態勢,涉及的個人資訊數量越來越大、類型越來越多。特別是,不少涉案公民個人資訊事關他人財產乃至人身安全,如行蹤軌跡、財產資訊等敏感資訊。基於當前侵犯公民個人資訊犯罪的態勢,應當根據刑法修正案(九)和《解釋》規定,加大對此類犯罪的懲治力度,加強對公民個人資訊的刑法保護,有效維護公民的人身、財產安全和生活安寧。當然,個人資訊資料的利用是大資料發展和應用的固有之義。在資料流程動、交易過程中如何保護公民個人資訊的安全,避免個人資訊擴散失控,乃至被非法用於違法犯罪活動,的確是發展大資料必須面對的問題。對此,必須尋求一個平衡點,在確保公民個人資訊安全的前提下依法促進大資料的發展。實際上,這個平衡點就是現行的法律框架。從長遠看,單靠刑法尚無法營造出良好的互聯網資訊秩序,還必須依靠各部門法多管齊下與社會綜合治理。因為,侵犯公民個人資訊罪實際上屬於行政犯,理想的狀況是先有前置的行政、民事法律規範,而後通過刑法加以保護。但是,實際情況是個人資訊保護一定程度上存在“刑法先行”。因此,在侵犯公民個人資訊罪刑法規定和司法解釋已經出臺的當下,更要看到前置的行政、民事法律規範供給亟待增強的問題。特別是,侵犯公民個人資訊罪司法適用中暴露出來的一些爭議問題,如“公民個人資訊”的範圍判斷、個人資訊匿名化處理的具體認定等,實際上與當前涉公民個人資訊的前置法律規範欠缺或者不明確相關。如何加快公民個人資訊民事、行政法律規範的完善,應當成為今後一段時間的重要任務。
中國人民大學刑事法律科學研究中心主任、教授時延安認為,資訊和資料之間是內容與載體的關係。從法律上看,無論是對資料化的資訊,還是以紙質、語音等形式記載的資訊,對某一主體以外的人而言,必須首先獲得這些資訊的載體,然後才能瞭解其中記載的資訊。進言之,從佔有的角度分析,對個人資料擁有佔有權的主體未必是個人資訊的直接相關者,而法律也沒有賦予個人資訊的直接相關者具有限制個人資料擁有者佔有權的權利,充其量只有限制其他人濫用的權利。厘清資訊與資料的關係,目的在於合理設計法律上的處理。自然人對本人資訊的佔有、使用以及對他人使用的限制,尚不能形成單獨的權利,如“個人資訊權”,因為個人資訊的形成是個互動的過程,作為互動的對方可以獲得對這一資訊的佔有權利和一定的使用權利。對個人資訊利益享有的保護,在民法上看,仍應以隱私權和安寧權來加以保護。具體可以從三個層面來論證:一是從存在論的層面分析,對個人資訊並不存在獨立的佔有,任何個人資訊都屬於交往過程中的相互知悉;二是從規範論上判斷,個人資訊只有與個人人身權利和財產權利相關時,才有法律規制的必要性,而這些利益目前完全可以通過既有的權利類型加以保護;三是從價值論上探討,如果將個人資訊的利益享有界定為獨立的權利類型,將極大地限制人們之間的資訊交流,同時也會限制資訊產業的發展。
清華大學法學院教授勞東燕認為,《解釋》將侵犯公民個人資訊的數量當作重要的定罪量刑情節,並對“情節嚴重”與“情節特別嚴重”的情形分別作了明文的列舉,同時,對單位犯罪與自然人犯罪的定罪量刑標準予以統一化,有助於扭轉當前對個人資訊的刑法保護力度不足的問題。
個人資訊保護的具體內容可作進一步明確
《解釋》對實踐中爭議較大的一些問題進行了明確界定,具有創新性和實際操作性,有利於及時、有效地保護公民個人資訊安全,保護、促進電子商務等互聯網企業的創新發展。北京外國語大學法學院副院長、教授王文華認為,目前,應當注重對公民個人資訊進行類型化研究。《解釋》第5條針對“公民個人資訊”作了區分:例如“行蹤軌跡資訊、通信內容、征信資訊、財產資訊”為重要資訊,“住宿資訊、通信記錄、健康生理資訊、交易資訊”等為敏感資訊,其他的為一般資訊,這種分類值得肯定。然而,在適用《解釋》第9條時,網路服務提供者的行為究竟滿足何種條件,就應當被認定為“拒不履行法律、行政法規規定的資訊網路安全管理義務,經監管部門責令採取改正措施而拒不改正,致使使用者的公民個人資訊洩露,造成嚴重後果”,並依照刑法第286條之一的規定,以拒不履行資訊網路安全管理義務罪定罪處罰,仍然有待於類型化處理。例如,儘管互聯網服務接入商(ISP)、互聯網內容提供者(ICP)都是“網路服務提供者”,然而一個是服務接入商、一個是內容提供者,它們對公民個人資訊保護的義務與責任程度並不相同,是否構成網路資訊侵權的認定標準也不同,在刑法上是否構成拒不履行資訊網路安全管理義務罪,也需結合其他法律和互聯網的特點進行綜合判斷,不可一概而論。
中國人民大學法學院教授付立慶表示,《解釋》關於個人資訊範圍、“違反國家規定”、“提供”的含義,以及購買是否屬於“其他方法”等的界定,都體現出對個人資訊的強化保護。為尋求法益保護和被告人權利保障之間平衡,適用《解釋》時有必要適當限縮。比如,《解釋》第5條第1款第1項中的“出售或者提供行蹤軌跡資訊,被他人用於犯罪”,儘管出售或者提供者對此種資訊可能被用於犯罪常會存在一種“概括認識”,但在其明確知悉對方獲取此種資訊僅是用於其他場合(比如捉姦),根據第1項,也可能因事後該資訊被他人用於犯罪而被認定為“情節嚴重”。為盡可能保持處罰合理性,或許有必要將“被他人用於犯罪”限定為“被他人用於實施嚴重犯罪”。同樣,《解釋》第5條第2款第1項規定的“造成被害人死亡、重傷……等嚴重後果的”,也應該排除被害人自殺、自殘的場合。否則,僅因被害人自身的原因而出現嚴重後果時也加重對被告人的處罰,顯失公平。因此,在具體理解與適用《解釋》時,必須要強調法益保護與被告人權利保障之間的平衡。
“《解釋》第1條明確了個人資訊的內涵和外延。在具體適用過程中建議將自然人身份理解為自然人本人,因為身份一詞無法涵蓋所有的個人資訊。同時就個人資訊的外延,建議增加搜索記錄、流覽記錄、位置資訊等行為資訊。”北京郵電大學互聯網治理與法律研究中心副主任崔聰聰補充說。
個人資訊刑法保護與電子商務發展
“隨著互聯網的不斷發展,我國立法進程不斷推進,對公民個人資訊保護的力度也在不斷提升,這既是社會主義法治體系健全完善的標誌,也是國家尊重和保障人權的具體體現。但是,在實踐中要切實把握好度。”北京冠衡刑辯研究院院長劉衛東表示,作為現代社會重要特徵的大資料是一把雙刃劍。可以幫助我們做很多判斷和預測,協助我們把社會管理得更好,發現很多隱藏的商機,但大資料也會使諸多公民個人資訊被暴露和收集。
對此,中國人民大學食品安全治理協同創新中心研究員肖平輝認為,實施個人資訊保護的前提是建立對個人資訊過度收集和過度披露的干預機制。就互聯網平臺而言,個人資訊的收集和披露實際上已經涵蓋了資訊生命週期的兩個重要節點,即資訊通過平臺的一進一出。首先是個人資訊的過度收集。個人資訊被過度收集且能通過不明途徑流入詐騙行為實施者手中也是重大誘因。目前並沒有法律約束這些資訊收集,而相關的技術保護機制也不明朗。建議國務院出臺相關行政立法對個人資訊適當類型化,這包括個人資訊本身的類型化和使用場景的類型化。這種類型化可以有效防止過度收集資訊,增強個人資訊保護的可操作性。其次是個人資訊的過度披露。電商平臺是否可以以個人資訊保護為由拒絕過度披露?其中的標準又是什麼?從目前的情況來看,這些平臺有不少拒絕理由,其中之一就是政府要求提供的資訊有讓平臺過度披露的嫌疑,同時政府職能部門可能(有意或無意)洩漏平臺的個人資訊。這造成平臺和職能部門之間出現拉鋸戰。目前,平臺和職能部門在個人資訊問題上缺乏信任,跟沒有建立個人資訊披露機制有關。如果事先我們確定一定的披露標準,這個問題就能得到有效解決。
針對目前個人資訊行政保護規則供給相對短缺的實際情況,中國互聯網協會研究中心秘書長吳沈括表示,《解釋》明確將部門規章納入刑事評價的範圍,將促使電子商務網路運營者在當代罪刑法定主義精神的指引下對可能產生刑事意義的部門規章給予更進一步的甄別追蹤,以提高刑事風控工作品質。《解釋》的規則設計事實上為電子商務網路運營者的刑事合規與風控工作提供了諸多有益的工作抓手:一方面,有助於電商企業精確厘定業務對象的範圍,尤其是圍繞《解釋》第1條、第2條確定業務運營中涉及的個人資訊類型劃分以及評估相應的資訊處理操作要求。另一方面,有助於電子商務網路運營者提高指向業務模式的刑事合規水準,特別是基於《解釋》第3條、第4條、第5條、第6條的規定,設計與個人資訊提供、購買、收受以及交換等行為相關的業務合規策略。
此外,還有助於電子商務網路運營者建設刑事風險的防禦架構,包括在《解釋》第7條、第10條規定的基礎上建立單位刑事責任的阻隔機制,在第12條規定的基礎上建立有關罰金刑的風險管控機制,以及在第8條、第9條規定的基礎上建立有關拒不履行資訊網路安全管理義務罪、非法利用資訊網路罪等關聯犯罪的反制機制等。
阿拉木斯
◎要依法嚴懲侵犯公民個人資訊犯罪;要兼顧個人資訊保護與大資料發展的需要;要通過綜合治理加強對個人資訊的保護。
◎法律也沒有賦予個人資訊的直接相關者具有限制個人資料擁有者佔有權的權利,充其量只有限制其他人濫用的權利。
◎實施個人資訊保護的前提是建立對個人資訊過度收集和過度披露的干預機制。
近年來,侵犯公民個人資訊犯罪處於高發態勢,引起了全社會的廣泛關注。為此,“兩高”於5月9日發佈《關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》(下稱《解釋》)。近日,北京外國語大學法學院、檢察日報社理論部、北京冠衡刑辯研究院聯合召開了“個人資訊刑法保護與電子商務”研討會,就《解釋》的理解與適用,以及適用《解釋》與發展電子商務之間的協調進行了前瞻性探討。
《解釋》對個人資訊提供了較高水準的保護
“首先,要依法嚴懲侵犯公民個人資訊犯罪;其次,要兼顧個人資訊保護與大資料發展的需要;最後,要通過綜合治理加強對個人資訊的保護。”最高人民法院研究室博士喻海松就當前侵犯公民個人資訊犯罪的治理問題提出了個人意見。他表示,目前侵犯公民個人資訊犯罪呈高發多發態勢,涉及的個人資訊數量越來越大、類型越來越多。特別是,不少涉案公民個人資訊事關他人財產乃至人身安全,如行蹤軌跡、財產資訊等敏感資訊。基於當前侵犯公民個人資訊犯罪的態勢,應當根據刑法修正案(九)和《解釋》規定,加大對此類犯罪的懲治力度,加強對公民個人資訊的刑法保護,有效維護公民的人身、財產安全和生活安寧。當然,個人資訊資料的利用是大資料發展和應用的固有之義。在資料流程動、交易過程中如何保護公民個人資訊的安全,避免個人資訊擴散失控,乃至被非法用於違法犯罪活動,的確是發展大資料必須面對的問題。對此,必須尋求一個平衡點,在確保公民個人資訊安全的前提下依法促進大資料的發展。實際上,這個平衡點就是現行的法律框架。從長遠看,單靠刑法尚無法營造出良好的互聯網資訊秩序,還必須依靠各部門法多管齊下與社會綜合治理。因為,侵犯公民個人資訊罪實際上屬於行政犯,理想的狀況是先有前置的行政、民事法律規範,而後通過刑法加以保護。但是,實際情況是個人資訊保護一定程度上存在“刑法先行”。因此,在侵犯公民個人資訊罪刑法規定和司法解釋已經出臺的當下,更要看到前置的行政、民事法律規範供給亟待增強的問題。特別是,侵犯公民個人資訊罪司法適用中暴露出來的一些爭議問題,如“公民個人資訊”的範圍判斷、個人資訊匿名化處理的具體認定等,實際上與當前涉公民個人資訊的前置法律規範欠缺或者不明確相關。如何加快公民個人資訊民事、行政法律規範的完善,應當成為今後一段時間的重要任務。
中國人民大學刑事法律科學研究中心主任、教授時延安認為,資訊和資料之間是內容與載體的關係。從法律上看,無論是對資料化的資訊,還是以紙質、語音等形式記載的資訊,對某一主體以外的人而言,必須首先獲得這些資訊的載體,然後才能瞭解其中記載的資訊。進言之,從佔有的角度分析,對個人資料擁有佔有權的主體未必是個人資訊的直接相關者,而法律也沒有賦予個人資訊的直接相關者具有限制個人資料擁有者佔有權的權利,充其量只有限制其他人濫用的權利。厘清資訊與資料的關係,目的在於合理設計法律上的處理。自然人對本人資訊的佔有、使用以及對他人使用的限制,尚不能形成單獨的權利,如“個人資訊權”,因為個人資訊的形成是個互動的過程,作為互動的對方可以獲得對這一資訊的佔有權利和一定的使用權利。對個人資訊利益享有的保護,在民法上看,仍應以隱私權和安寧權來加以保護。具體可以從三個層面來論證:一是從存在論的層面分析,對個人資訊並不存在獨立的佔有,任何個人資訊都屬於交往過程中的相互知悉;二是從規範論上判斷,個人資訊只有與個人人身權利和財產權利相關時,才有法律規制的必要性,而這些利益目前完全可以通過既有的權利類型加以保護;三是從價值論上探討,如果將個人資訊的利益享有界定為獨立的權利類型,將極大地限制人們之間的資訊交流,同時也會限制資訊產業的發展。
清華大學法學院教授勞東燕認為,《解釋》將侵犯公民個人資訊的數量當作重要的定罪量刑情節,並對“情節嚴重”與“情節特別嚴重”的情形分別作了明文的列舉,同時,對單位犯罪與自然人犯罪的定罪量刑標準予以統一化,有助於扭轉當前對個人資訊的刑法保護力度不足的問題。
個人資訊保護的具體內容可作進一步明確
《解釋》對實踐中爭議較大的一些問題進行了明確界定,具有創新性和實際操作性,有利於及時、有效地保護公民個人資訊安全,保護、促進電子商務等互聯網企業的創新發展。北京外國語大學法學院副院長、教授王文華認為,目前,應當注重對公民個人資訊進行類型化研究。《解釋》第5條針對“公民個人資訊”作了區分:例如“行蹤軌跡資訊、通信內容、征信資訊、財產資訊”為重要資訊,“住宿資訊、通信記錄、健康生理資訊、交易資訊”等為敏感資訊,其他的為一般資訊,這種分類值得肯定。然而,在適用《解釋》第9條時,網路服務提供者的行為究竟滿足何種條件,就應當被認定為“拒不履行法律、行政法規規定的資訊網路安全管理義務,經監管部門責令採取改正措施而拒不改正,致使使用者的公民個人資訊洩露,造成嚴重後果”,並依照刑法第286條之一的規定,以拒不履行資訊網路安全管理義務罪定罪處罰,仍然有待於類型化處理。例如,儘管互聯網服務接入商(ISP)、互聯網內容提供者(ICP)都是“網路服務提供者”,然而一個是服務接入商、一個是內容提供者,它們對公民個人資訊保護的義務與責任程度並不相同,是否構成網路資訊侵權的認定標準也不同,在刑法上是否構成拒不履行資訊網路安全管理義務罪,也需結合其他法律和互聯網的特點進行綜合判斷,不可一概而論。
中國人民大學法學院教授付立慶表示,《解釋》關於個人資訊範圍、“違反國家規定”、“提供”的含義,以及購買是否屬於“其他方法”等的界定,都體現出對個人資訊的強化保護。為尋求法益保護和被告人權利保障之間平衡,適用《解釋》時有必要適當限縮。比如,《解釋》第5條第1款第1項中的“出售或者提供行蹤軌跡資訊,被他人用於犯罪”,儘管出售或者提供者對此種資訊可能被用於犯罪常會存在一種“概括認識”,但在其明確知悉對方獲取此種資訊僅是用於其他場合(比如捉姦),根據第1項,也可能因事後該資訊被他人用於犯罪而被認定為“情節嚴重”。為盡可能保持處罰合理性,或許有必要將“被他人用於犯罪”限定為“被他人用於實施嚴重犯罪”。同樣,《解釋》第5條第2款第1項規定的“造成被害人死亡、重傷……等嚴重後果的”,也應該排除被害人自殺、自殘的場合。否則,僅因被害人自身的原因而出現嚴重後果時也加重對被告人的處罰,顯失公平。因此,在具體理解與適用《解釋》時,必須要強調法益保護與被告人權利保障之間的平衡。
“《解釋》第1條明確了個人資訊的內涵和外延。在具體適用過程中建議將自然人身份理解為自然人本人,因為身份一詞無法涵蓋所有的個人資訊。同時就個人資訊的外延,建議增加搜索記錄、流覽記錄、位置資訊等行為資訊。”北京郵電大學互聯網治理與法律研究中心副主任崔聰聰補充說。
個人資訊刑法保護與電子商務發展
“隨著互聯網的不斷發展,我國立法進程不斷推進,對公民個人資訊保護的力度也在不斷提升,這既是社會主義法治體系健全完善的標誌,也是國家尊重和保障人權的具體體現。但是,在實踐中要切實把握好度。”北京冠衡刑辯研究院院長劉衛東表示,作為現代社會重要特徵的大資料是一把雙刃劍。可以幫助我們做很多判斷和預測,協助我們把社會管理得更好,發現很多隱藏的商機,但大資料也會使諸多公民個人資訊被暴露和收集。
對此,中國人民大學食品安全治理協同創新中心研究員肖平輝認為,實施個人資訊保護的前提是建立對個人資訊過度收集和過度披露的干預機制。就互聯網平臺而言,個人資訊的收集和披露實際上已經涵蓋了資訊生命週期的兩個重要節點,即資訊通過平臺的一進一出。首先是個人資訊的過度收集。個人資訊被過度收集且能通過不明途徑流入詐騙行為實施者手中也是重大誘因。目前並沒有法律約束這些資訊收集,而相關的技術保護機制也不明朗。建議國務院出臺相關行政立法對個人資訊適當類型化,這包括個人資訊本身的類型化和使用場景的類型化。這種類型化可以有效防止過度收集資訊,增強個人資訊保護的可操作性。其次是個人資訊的過度披露。電商平臺是否可以以個人資訊保護為由拒絕過度披露?其中的標準又是什麼?從目前的情況來看,這些平臺有不少拒絕理由,其中之一就是政府要求提供的資訊有讓平臺過度披露的嫌疑,同時政府職能部門可能(有意或無意)洩漏平臺的個人資訊。這造成平臺和職能部門之間出現拉鋸戰。目前,平臺和職能部門在個人資訊問題上缺乏信任,跟沒有建立個人資訊披露機制有關。如果事先我們確定一定的披露標準,這個問題就能得到有效解決。
針對目前個人資訊行政保護規則供給相對短缺的實際情況,中國互聯網協會研究中心秘書長吳沈括表示,《解釋》明確將部門規章納入刑事評價的範圍,將促使電子商務網路運營者在當代罪刑法定主義精神的指引下對可能產生刑事意義的部門規章給予更進一步的甄別追蹤,以提高刑事風控工作品質。《解釋》的規則設計事實上為電子商務網路運營者的刑事合規與風控工作提供了諸多有益的工作抓手:一方面,有助於電商企業精確厘定業務對象的範圍,尤其是圍繞《解釋》第1條、第2條確定業務運營中涉及的個人資訊類型劃分以及評估相應的資訊處理操作要求。另一方面,有助於電子商務網路運營者提高指向業務模式的刑事合規水準,特別是基於《解釋》第3條、第4條、第5條、第6條的規定,設計與個人資訊提供、購買、收受以及交換等行為相關的業務合規策略。
此外,還有助於電子商務網路運營者建設刑事風險的防禦架構,包括在《解釋》第7條、第10條規定的基礎上建立單位刑事責任的阻隔機制,在第12條規定的基礎上建立有關罰金刑的風險管控機制,以及在第8條、第9條規定的基礎上建立有關拒不履行資訊網路安全管理義務罪、非法利用資訊網路罪等關聯犯罪的反制機制等。