网法时空 公民个人信息的开U法保护思路 中国人民大学法学院副教授李怀胜 “公民个人 信息”的保 护范畴、信 息持有者的 不作为责任、 信息交易者 的主1率责任 是目前应当 予以充分重 视的问题。 102/2017 01 在信息化时代,公民个人信息犯罪 已成为危害公民个体权益、社会秩序乃 至的重要犯罪类型。个人信息 犯罪及其引发的后续犯罪的危害性不容 小觑,尤其是随着大数据时代的到来, 信息的搜集和处理相对便捷,信息犯罪 的门槛也逐步降低,这反过来促进了公 民个人信息犯罪危害性的激增,因而迫 切需要提出系统性的应对思路。可以说, 公民个人信息泄露或者信息盗窃及其衍 生的二次犯罪现象成为一个亟待解决的 社会问题。笔者认为,“公民个人信息” 的保护范畴、信息持有者的不作为责任、 信息交易者的主体责任是目前应当予以 充分重视的问题。 关注“公民个人信息”的核心范畴: 正视“公民个人信息”的扩张态势 自1997年刑法颁布以来,我国刑法 关于公民个人信息的保护一直处于扩张 的态势。1997年刑法没有对公民个人信 息直接保护的罪名,立法上主要是通过 保护社会信息问接保护公民个人信息, 如泄露内幕信息罪、侵犯商业秘密罪等。 2005年《刑法修正案(五)》增设了窃 取、收买、非法提供信用卡信息罪,将 他人的“信用卡信息资料”这一特定的 公民个人信息予以刑法保护。《刑法修 正案(七)》增设了出售、非法提供公 民个人信息罪,《刑法修正案(九)》 对本罪进行了修改,相应的,罪名调整 为侵犯公民个人信息罪。“公民个人信息” 从此成为刑法的规范概念。 依照2013年两高和《关于依 法惩处侵害公民个人信息犯罪活动的通 知》,公民个人信息包括“公民的姓名、 年龄、有效证件号码、婚姻状况、T作单 位、学历、履历、家庭住址、电话号码等 能够识别公民个人身份或者涉及公民个人 隐私的信息、数据资料。”,也就是说, 公民个人信息包括两类,分别是公民个人 身份信息和公民个人隐私信息。 除此之外,2011年两高《关于办理 危害计算机信息系统安全刑事案件应用 法律若干问题的解释》第11条引入了“身 份认证信息”的概念,即“身份认证信息” 是指用于确认用户在计算机信息系统上 操作权限的数据,包括账号、口令、密 码、数字证书等。根据陔解释,对支付 结算、证券交易、期货交易等网络金融 服务的身份认证信息的侵害,依照非法 获取计算机信息系统数据、非法控制计 算机信息系统罪以及提供侵入、非法控 制计算机信息系统的程序、T具罪处罚。 身份认证信息是可以达到个人信息的“身 份可识别性”标准的。 除Jtl:以外,司法实践对“公民个人 信息”的外延也进行了积极探索。在最 高人民的机关刊物《刑事审 ̄-ml ̄考》 刊载的第1009号案例“胡某等非法获 取公民个人信息案”中,被告人通过非 法跟踪他人行踪所获g.z了公民的日常活 网法时空 动信息,认定被告人犯非法获取公民个人信息 维护网络清朗空间方面具有其积极的方面和显著功 罪。本案中的“公民的日常活动信息”实际就是位 能。不过实名制导致的一个副作用就是:许多国家 置信息,位置信息与公民的其他信息相结合,也可 机关、商业机构和网络平台都掌握着海量的公民个 以达到识别自然人个人身份的程度,它可以被纳入 人信息,而这些机构一旦发生信息泄露事件,其造 到公民个人信息的范畴中,它是一种“推定身份信 成的社会影响和危害后果都是非常巨大的。2016年 息”。这样看来,从1997年刑法至今,刑法中先 后出现了“信用卡信息”一“个人信息”一“身份信 息”一“身份认证信息”一“推定身份信息”等概念, 刑法上关于公民个人信息的保护链条一直在拉长, 它何时会是尽头呢? 对这个问题的回答需要明确两点:第一,在大 数据时代,随着移动互联网的普及、智能穿戴设备 的广泛适用,特别是全网用户实名制的推行,个人 信息的搜集更加频繁和密集;第二,借助大数据分 析和挖掘技术,多重来源的、碎片化的个人信息也 可以拼出完整的个体形象,实现身份的精准定位和 识别。软件算法和分析学的发展使得大量数据更易 被关联和聚合,大大增强了人们将非个人信息转化 为个人信息的能力。因此,技术的进步会使“公民 个人信息”的概念不断模糊化,探索个人信息的精 准定义既无必要,也不合时宜。期待通过x,t“公民 个人信息”这一构成要素做出明确界定,来侵 犯公民个人信息罪处罚范围的做法已不适应保护公 民个人信息的现实需求。因此司法上应将侵犯公民 个人信息罪规制的重点,从公民个人信息的范围转 移到个人信息滥用的后果上来,注重对信息滥用风 险的控制和评价。此外,着眼于公民个人信息保护 的世界性发展趋势,应当将一切与公民隐私有关的 信息都纳入到公民个人信息的保护框架中来。 关注网络平台的不作为责任:正视信息持有者 “权责”的失衡态势 毋庸讳言,公民个人信息被如此频繁地侵犯, 源于我们有太多的信息被他人所掌握。国家基于行 政管理和维护公共安全的需要,在许多领域都开展 了强制的实名制,例如银行储蓄、就医、网吧服务、 出行和住宿、手机通信等。实名制在遏制网络犯罪、 12月,拥有9000万用户的国家电网传出了掌上电 力APP、电e宝APP用户信息被泄露的消息,不过 国家电网随后对该信息予以了否认。即使是普通的 商业性购物性网站,网站为了减低受欺诈的可能, 维护交易XY.7 ̄的信誉,通常也会要求交易x,/ ̄x,j-网 站提供真实的注册信息,因而在互联网时代,公民 个人信息的释放渠道是非常多的。这些机构既然拥 有这么多的公民个人信息,并且可以利用公民个人 信息创造附加价值,那么在享受利益的同时也应当 敬畏自己的责任。 无论是《刑法修正案(七)》增设的出售、非 法提供公民个人信息罪,还是《刑法修正案(九)》 修改后的侵犯公民个人信息罪,刑法主要强调的是 对以积极方式向他人出售或者提供公民个人信息行 为予以打击,也就是信息持有者的作为责任。但是 对于信息持有者的不作为责任,也应当予以充分重 视。《刑法修正案(九)》为了强化平台责任,增 设了拒不履行信息网络安全管理义务罪,即刑法第 286条之一: “网络服务提供者不履行法律、行政 法规规定的信息网络安全管理义务,经监管部门责 令采取改正措施而拒不改正,有下列情形之一的, 处三年以下有期徒刑、拘役或者管制,并处或者单 处罚金:(一)致使违法信息大量传播的;(二) 致使用户信息泄露,造成严重后果的;(三)致使 刑事案件证据灭失,情节严重的;(四)有其他严 重情节的。”按照本罪的规定,对于网络服务提供 者拒不履行法律、行规规定的信息网络安全管 理义务,致使用户信息泄露,造成严重后果的,构 成本罪,但是本罪还附设了另一个条件,即必须“经 监管部门责令采取改正措施而拒不改正”的,才能 构成此罪。关于网络服务提供者的信息网络安全管 理义务,2012年全国常委会《关于加强网络信 2017 01/103 网法时空 关注大数据交易的主体责任:正视大数据交易 其他企业事业单位应当采取技术措施和其他必要措 对公民个人信息的冲击 息保护的决定》第4条指出: “网络服务提供者和 施,确保信息安全,防止在业务活动中收集的公民 大数据时代,数据就是财富,这已成为共识, 个人电子信息泄露、毁损、丢失。在发生或者可能 发生信息泄露、毁损、丢失的情况时,应当立即采 取补救措施。”本决定第5条指出: “网络服务提 供者应当加强对其用户发布的信息的管理,发现法 律、法规禁止发布或者传输的信息的,应当立即停 止传输该信息,采取消除等处置措施,保存有关记 录,并向有关主管部门报告。”既然我国法律已经 明确设定了网络服务提供者的管理业务,掌握了大 量公民个人信息的网络服务提供者,难道不该积极 主动地去履行网络安全管理义务,并直接地承担相 应的法律责任吗?在当前的互联网产业中,大型互 联网公司对自己的数据安全以及网络安全运行现状 是高度重视的,因而这与企业的社会声誉和商业信 誉直接相关。但是对于中小互联网企业,特别是处 于创业期的互联网企业而言,较高的网络安全管理 义务意味着较高的技术、人员和成本投入,基于商 业成本的考量,小型互联网企业并没有足够动力提 升网络安全防护标准,而更乐意构建处于行业中流 水平的,说得过去的安全标准,这对其存储的公民 个人信息就构成潜在威胁。即使对于大型互联网企 业而言,有些企业对于自己网站技术架构中存在的 某些漏洞也没有引起充分的重视,往往是不良后果 发生了才想办法弥补。因此,是否真的有必要设定“经 监管部门责令采取改正措施而拒不改正”这一构成 要素?如果按照该逻辑进一步推论的话,监管部门 没有积极履行自己的监管义务,是否应当承担渎职 责任?笔者认为,如果立法者真的想本罪的处 罚范围,只需要将网络安全管理义务设定为注意义 务而不是结果避免义务就可以了。目前的规定模式, 极易造成这个罪名“备而不用”甚至“备而无用”。 公民个人信息犯罪的体系中,信息保管者权利格局 的失衡是客观存在而且必须要进行调整的。 因此很多地方尝试建立大数据交易中心,试图抢占 这一先机。当前大数据交易过程中对个人信息的保 护主要来源于交易主体的自我约束和克制,以及交 易平台的第三方监管。2016年11月7日第十二届 全国人民代表大会常务委员会第二十四次会议通过 《中华人民共和国网络安全法》第42条规定:“网 络运营者不得泄露、篡改、毁损其收集的个人信息; 未经被收集者同意,不得向他人提供个人信息。但 是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确 保其收集的个人信息安全,防止信息泄露、毁损、 丢失。在发生或者可能发生个人信息泄露、毁损、 丢失的情况时,应当立即采取补救措施,按照规定 及时告知用户并向有关主管部门报告。”本条确立 了数据持有者进行数据交易的基本规则,即或者经 过被收集者同意,或者剔除了个人关联,数据搜集 者就可以向他人提供数据。大数据经过一定算法提 取了个人关联。对于有些用户数据,商业公司只能 通过采集公民个人信息的方式来搜集到,例如病人 的健康数据。为了保障公民个人信息的安全,大数 据应当滤掉个人关联,经过一定算法提取集体性特 征。但是问题在于,剔除了个人关联的大数据,往 往是价值贬损的大数据,需求方看重的就是大数据 背后的精准营销。在司法实践中,许多侵犯公民个 人信息的案例中,犯罪人都是借助大数据的名义进 行,而他们的具体做法则完全是一种小数据模式, 即针对特定群体或者个人进行小数据分析,再对个 人展开具体的服务模式,这种商业模式背后都存在 着对公民个人信息滥用的可能。如何保证交易各方 切实履行网络安全法的义务,防止大数据交易蜕变 为对公民个人信息的系统性侵害,应是监管者格外 注意的问题。 (本栏责编:李鑫)
