大数据环境下的我们,从国家到个人,都陷入了互联网带来的安全焦虑中。面对侵犯公民个人信息犯罪面对的实然风险,我们在个案推动和舆论的裹挟下,习惯性地遵循了惯性思维,那就是从严从快打击具有“严重危害”的社会现象。然而,每一个时代都有自己面临的新型犯罪,刑事立法和司法都应当具备基于理性思考的前瞻视野,才能在保证刑法安定性,与适应社会发展变化之间取得良性平衡,不能一味求严求快。我国在今后对侵犯公民个人信息犯罪规范体系的完善中,应当从安全本位走向权利本位,在刑事立法和司法中,都要以具备实质权利内涵的法益保护目的为导向,完成刑法规范在大数据时代的优雅转身。
作者:敬力嘉,武汉大学法学院,弗堡大学法学院博士研究生
敬力嘉
侵犯公民个人信息犯罪体系构想
1
在明确认可侵犯公民个人信息罪的法益是信息专有权之后,对于以之为核心构建侵犯公民个人信息犯罪体系,也就有了初步构想。对于侵犯公民个人信息犯罪而言,非法获取个人信息,是整个行为链条的起点、源头,也应当是刑法规制的核心。
在我国语境下,对于非法获取公民个人信息罪,应当沿用情节严重的标准作为入罪门槛,和现有的刑罚设置幅度。同时,继续探索对公民个人信息进行类型化,以及在此基础上对数量标准的完善,便足以完成对非法获取公民个人信息行为的妥当评价。
2
对出售或提供公民个人信息行为社会危害性的评价,相对于非法获取公民个人信息要复杂得多。
出售或提供的个人信息类别和数量,还不足以成为“情节严重”“情节特别严重”的衡量标准。出售或提供公民个人信息行为的入罪,应当具备对个人信息被利用所造成严重后果的认识。
这一罪名应当设置为“非法提供或出售公民个人信息罪”,罪名表述应为“非法提供或出售公民个人信息,造成严重后果的”,可以沿用现行的量刑幅度。当行为人对所造成后果具备直接故意时,应直接认定为该严重后果所构成犯罪的共同正犯或帮助犯;当行为人具备间接故意或者过失时,应当认定构成本罪。可直接按照刑法第286条之1第3款的规定,网络服务提供者拒不履行信息网络安全管理义务,又构成其它犯罪的,直接按照处罚较重的罪名进行处罚。
明晰入罪标准
应明确啥是“情节严重”
所谓社会数据,是指关于公民活动、行为方式、兴趣爱好、与他人的关系等,能够识别公民个体社会属性的数据,这些数据的总量每18个月就会翻一倍。通过对社会数据的分析研究,企业可以实现对用户的行为规律、需求内容等的分析预测,以带来更高的生产率和用户盈余。对社会数据的需求加速推动着企业生产与经营的网络化,因此社会数据就是互联网时代的黄金。而在法规范视野中,社会数据是数据化了的个人信息,所以将这一进程纳入法秩序的规范是法治社会的应然要求。
对于社会数据或者说个人信息的搜集、处理、使用等行为,应当构建明确的法律规范框架。在刑法规范层面,应当明确“情节严重”和“情节特别严重”的构成要件行为所侵害的确切法益,而不只是作为所侵犯对象的公民个人信息,如此才能明晰本罪的入罪标准。
何为个人信息
各国界定不尽相同
侵犯公民个人信息罪法益属性的明确,需要以个人信息属性的明确为基础。世界各国对于“个人信息”的界定不尽相同,总体来说都以公民个体的识别性为标准。
有些国家将个人信息界定为可以有效识别公民个体身份,也就是个体属性的相关信息。例如美国的法律规定“个人信息”包括社会保障号码、银行账号、驾照号码或者其他国家授予的身份证件号码等。我国《网络安全法》第76条第5款中,对个人信息的内涵也做出了类似美国的界定。
也有国家将个人信息界定为能有效识别公民个体社会属性的相关信息。例如德国《联邦数据保护法》第3条第1款将个人数据界定为“有关已识别或可识别的自然人(或数据主体)个人或实际关系的个体数据”,即“社会数据”。
那么个人信息真的具备个体属性吗?其实不然。网络环境下,所谓“个人信息”都会牵涉到多方主体。个人信息流动的载体,也就是网络服务提供者,与搜集、使用和处理的主体,也就是其他公民个体、国家行政主体以及网络服务提供者,同它指向的对象,也就是公民个体并不一致。
换言之,公民个人信息是关于公民个体的信息,而非属于公民个体的信息,个人信息不具备个体属性。
使用协议艰涩难懂
信息“一不留神”被搜集
我国通过《刑法修正案(七)》,在刑法分则中设立了出售、非法提供公民信息罪。2015年《中华人民共和国刑法修正案(九)》,将本罪重新设置为侵犯公民个人信息罪,将犯罪主体扩大到一般主体,取消了“非法提供”中的“非法”,将入刑的行为确定为“出售或提供公民个人信息”和“窃取或者以其他方法非法获取公民个人信息”两种行为,体现出我国刑事立法对公民个人信息保护力度的加强。
法益决定刑罚权适用的边界,是对刑法中罪名进行具体解释适用的应然起点。鉴于本罪规定在我国《刑法》第四章“侵犯公民人身权利、民主权利罪”中,本罪法益原则上属于公民的人身权利,以公民个体的信息自决权作为本罪法益,似乎并无不妥。但在大数据环境下,个人信息的社会属性决定了公民个体不直接享有对个人信息的自决权。
因为在网络服务提供者的角度,海量社会数据已然成为了基本的生产资料,为企业的发展与经营所必需。这样的背景下,网络服务提供者现行的做法,就是在用户使用其服务之前让用户同意使用协议。这些使用协议看似确保了公民个体的信息自决权,实质却是公民是放弃信息自决权的声明:长篇累牍与专业化的使用协议,让一般民众很难完全了解哪些有关自己的个人信息将会被搜集、又将如何被使用。而公民如果不同意使用协议,通常便无法使用相应的服务。
公民个人信息的社会属性,决定了侵犯公民个人信息罪的法益应同时考量个体性与公共性。将本罪法益完全构建为个人法益或者公共法益的努力,均已证明不可行。
法律保护“对象”
应该是信息专有权
德国通过《联邦数据保护法》第44条规定,以附属刑法的形式对个人数据进行专门的刑法保护。该条规定,以牟利或损害他人为目的,故意以本法第43条第2款规定的方式6侵害个人数据的,处2年以下自由刑或罚金刑。从表述来看,这个罪名所保护的法益无疑是信息专有权。除却侵犯公民个人信息罪之外,我国《刑法》第286条之1规定的拒不履行网络安全管理义务罪中,对于网络服务提供者“致使用户信息泄露”的处罚,所保护的也是网络服务提供者对于用户个人信息的专有权。
那么,德国刑法中的信息专有权,是否能够为我国所借鉴?就侵犯公民个人信息的行为链条而言,获取行为是起点,也是规制的核心。对于所规制的获取行为,我国《刑法》第253条之1第3款表述为“窃取或以其它方法非法获取公民个人信息”。“窃取”所指的当然是在不具备个人信息处分权限也就是信息专有权的情形下,占有了相关的公民个人信息,体现了我国《刑法》对信息专有权的认可。
而从体系解释的协调性来看,“以其它方法非法获取”的解释,应当同“窃取”具有相当性。同时,应当将“非法”解释为“违反法律、行政法规、部门规章有关法定主体信息专有权的保护规定”。因为获取公民个人信息的行为的实质违法性根据在于情节,在《解释》中具体体现为所获取公民个人信息的类别、条数与借此获得的经济利益,对“非法”进行这样的明确,不会导致入罪门槛降低,处罚范围扩大,同时能让《刑法》为获取公民个人信息的行为提供明确的禁止性边界。
对于所规制出售和提供公民个人信息的行为,基本条款规定在侵犯公民个人信息罪第1款,表述为“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重”,第2款是特别条款,规定“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的”,要按照前款规定从重处罚。
总体来讲,将信息专有权作为侵犯公民个人信息罪保护的法益,也作为刑法有关公民个人信息所保护的核心法益,在我国现行刑法规范中具备正当性与可行性。
本文固定连接:http://www.andaike.com/news/67856.html
本文标签: 大数据
