黃祖帥

隨著網(wǎng)絡(luò),特別是移動互聯(lián)網(wǎng)的高速發(fā)展,個人信息與財產(chǎn)安全,甚至是人身安全等諸多切身利益聯(lián)系得更加緊密。與個人信息重要性日益增加相對應(yīng)的是,個人信息被泄露、非法獲取和非法利用的事件頻發(fā),個人信息安全也越來越受到關(guān)注。如何利用強制力最高的社會規(guī)范——法律保護個人信息,尤其是利用刑法打擊嚴重侵害個人信息的行為,完善個人信息保護的法律規(guī)制鏈條,是亟需解決的一個重要課題?！缎谭ㄐ拚?七)》增設(shè)了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩項罪名,正式將侵犯個人信息的行為納入刑法的規(guī)制范圍。這是中國個人信息刑法保護的重大突破,也從一個側(cè)面體現(xiàn)了刑法對公民人身權(quán)利保護更加全面。但無論如何,刑罰只能在犯罪行為發(fā)生以后才能使用,只是事后的制裁手段。刑法效力的發(fā)揮除了需要自身完備,還必須依賴配套法律的整體合力。個人信息刑法保護同樣不可或缺與刑法規(guī)定相匹配的前置法律,而中國在這方面還很薄弱,刑法對于個人信息保護的效力必然難以盡如人意。世界上對個人信息保護較好的國家和地區(qū),除了刑法的相關(guān)規(guī)定,都形成了較為完備的法律體系,特別是保證刑法效力發(fā)揮的前置法律。故此,要實現(xiàn)個人信息的刑法保護,不僅要完善對個人信息進行保護的刑事立法,同時還應(yīng)該逐步建立以刑法為最后屏障的立體個人信息保護法律體系。

一、個人信息刑法保護的社會基礎(chǔ)

(一)個人信息的法律屬性

從廣義上來說,在信息化社會,與個人相關(guān)的各種行為活動,都應(yīng)該屬于個人信息的范疇。據(jù)此,個人信息是個范圍寬廣的動態(tài)概念,可以包括：個人身份信息、個人金融信息以及個人動態(tài)行為等信息。

法律所要保護的個人信息是具有特定內(nèi)涵的個人信息,與作為詞匯使用的個人信息既有相同之處,也有一定區(qū)別。被認定為法律上的個人信息必須具有與法律保護的對象相同的權(quán)利屬性和現(xiàn)實必要性。雖然,在不同法域中,對個人信息的稱謂不同,但無論采用何種稱謂,個人信息所體現(xiàn)出的能夠識別個體的屬性都是共通的。如果個人信息具有人身屬性或者財產(chǎn)屬性,換言之,一條個人信息所具有的屬性屬于法律要保護的范疇,那么它就應(yīng)該被認定為法律意義上的個人信息,就應(yīng)當(dāng)考慮保護該種個人信息。否則,就只能是語義上的個人信息,而不是法律語境下的個人信息。所以,筆者認為,個人信息的認定標(biāo)準(zhǔn)是具有某種被法律保護的權(quán)利屬性或者現(xiàn)實緊迫性。

(二)個人信息的權(quán)利屬性

有學(xué)者認為,信息化社會的主要財產(chǎn)已經(jīng)變成了信息；①美國社會學(xué)家阿爾溫·托夫勒曾說過：“在第三次浪潮中,我們?nèi)匀恍枰恋?、機器這些有形財產(chǎn),但主要財產(chǎn)已經(jīng)變成了信息。如果說股票是象征符號,那么信息財產(chǎn)則是象征的象征,這樣一來,財產(chǎn)的概念面目全非了…” 轉(zhuǎn)引自陳英：《信息產(chǎn)權(quán)與知識產(chǎn)權(quán)的內(nèi)涵和外延的沖突》,載于《中國知識產(chǎn)權(quán)報》2003年10月16日。也有學(xué)者認為,在信息社會,個人可以通過信息或數(shù)據(jù)表示為一定的公共形象,具有“信息人格”或“數(shù)據(jù)人格”②[美]艾倫·托克音頓：《美國隱私法——學(xué)說、判例與立法》,馮建妹等譯,中國民主法制出版社2014年版,第207頁。。通過上述兩種具有典型性的論斷可以看出個人信息既具有財產(chǎn)權(quán)屬性,也具有人格權(quán)的屬性。個人信息的權(quán)利屬性是法律保護個人信息的主要原因。

1.個人信息保護的人格權(quán)分析

通常認為,人格權(quán)是個人信息權(quán)利屬性的核心,它決定了個人信息具有不受侵犯和自我決定兩種屬性。正是人格權(quán)的存在,使得法律對于個人信息的保護有著毋庸置疑的結(jié)論,即信息主體必然享有信息自決權(quán)?！八^信息自決權(quán)是指每個人有權(quán)自行決定是否將其個人信息交付利用。從另外一個角度來說,個人信息非經(jīng)本人許諾,不得任意收集、儲存、運用、傳遞,若基于公共利益的理由必須限制該權(quán)利,應(yīng)當(dāng)符合相關(guān)法律規(guī)定或者遵循民主法治原則?！雹蹍侨O弘：《個人信息的刑法保護研究》,華東政法大學(xué)2013年博士論文。信息自決權(quán)是個人信息人格權(quán)的集中體現(xiàn),而人格權(quán)又是人權(quán)的重要組成部分,因此法律對于個人信息自決權(quán)的保護應(yīng)該遵從人權(quán)保障的規(guī)定。然而,即便是人權(quán)保障也絕不是毫無限制的,個人信息自決權(quán)的邊界也應(yīng)由法律作出規(guī)定?！凹词故且匀烁駷榛A(chǔ)的信息也是社會現(xiàn)實的反映,而不能視為僅與所涉及的個人有關(guān)”。④朱曉峰：《作為一般人格權(quán)的人格尊嚴權(quán)——以德國侵權(quán)法中的一般人格權(quán)為參照》,《清華法學(xué)》2014年第1期。因此,當(dāng)個人信息自決權(quán)與社會公共利益,如國家安全、社會秩序等相沖突時,可以對其作出限制。這種限制同樣要由法律作出列舉性或描述性的規(guī)定,否則,便容易隨意擴大限制的范圍,破壞法律對個人信息自決權(quán)的保障。

2.個人信息保護的財產(chǎn)權(quán)分析

隨著互聯(lián)網(wǎng)和云計算的高速發(fā)展,個人信息的財產(chǎn)權(quán)屬性,或者說商品屬性越來越明顯。個人信息作為一種財產(chǎn)或者商品,具有了商品的特征,即具有使用價值和交換價值。在信息社會,個人信息的使用價值毋庸置疑,其直接或間接帶來的經(jīng)濟利益也顯而易見。“一般來說,收集個人信息的目的是為了將個人信息按一定的方式組成數(shù)據(jù)庫,以該數(shù)據(jù)庫所反映的某種群體的共性來滿足自身或其他數(shù)據(jù)庫使用人的需要。而且,越是細致化的個人信息,其被加工、開發(fā)的余地越大,增值的空間越大?！雹冽R愛民：《個人信息保護法總論》,北京大學(xué)出版社2014年版,第47頁。一旦能夠帶來經(jīng)濟利益,個人信息就會轉(zhuǎn)化成商品進入交易之中。直接出售個人信息、許可使用、信息交換都是個人信息變現(xiàn)的交易方式。由個人信息主體或者經(jīng)主體授權(quán)交易個人信息的情形是合法形式；而個人信息主體以外的信息持有人在未取得主體授權(quán)的情況下,交易個人信息的行為則是非法的。無論合法還是非法,個人信息交易都是個人信息財產(chǎn)化的體現(xiàn)。

二、發(fā)達國家個人信息刑法保護的借鑒

(一)發(fā)達國家個人信息的刑法保護規(guī)定

1.美國對個人信息的刑法保護

利用刑法保護個人信息在美國已經(jīng)有比較長的時間,與個人信息相關(guān)的隱私權(quán)法律制度也很發(fā)達。與英美法系立法模式直接相關(guān),美國對于個人信息保護的立法相當(dāng)分散,并沒有“法典式”的《個人信息保護法》。其對于個人信息的刑法保護,主要有以下方面：

一是直接針對身份盜竊的刑事立法。針對“身份盜竊”的立法主要包括《防止身份盜竊及假冒法》和《身份盜竊刑罰加重法案》。前者是1998年10月30日美國聯(lián)邦政府以聯(lián)邦立法的形式頒布的,后者是2004年7月美國國會通過的。《防止身份盜竊及假冒法》明確規(guī)定目的在于從事、教唆、協(xié)助或以其他方式參與構(gòu)成重罪的活動,未經(jīng)合法授權(quán),仍蓄意移轉(zhuǎn)、持有或使用他人身份證明材料的行為構(gòu)成身份盜竊罪；《身份盜竊刑罰加重法案》則是對以身份盜竊作為犯罪手段犯聯(lián)邦立法中288 種重罪,予以不同程度的加重處罰。

二是其他有關(guān)個人信息保護的刑事立法。主要包括：1974年的《隱私權(quán)法》第9 款：有權(quán)掌握或使用個人識別信息的單位工作人員,違反規(guī)定向無權(quán)獲得之人泄露機關(guān)檔案的,未按要求保管的以及以虛假身份申請獲得有關(guān)個人檔案材料的,均應(yīng)被判為有罪；1970年的《公平信用報告法》將以故意欺詐為手段從消費者信用報告機構(gòu)獲取消費者信息規(guī)定為犯罪；1984年的《懲治計算機與濫用法》將“黑客”行為和非法入侵他人計算機并獲取他人受限制或受保護數(shù)據(jù)的行為規(guī)定為犯罪；1986年的《電子通訊隱私法》也規(guī)定有刑事條款；1994年的《機動車駕駛員隱私保護法》對于明知超出機動車輛駕駛員的個人信息使用的合理范圍仍使用的行為規(guī)定了刑罰。

2.德國對個人信息的刑法保護

德國對于個人信息的刑法保護包括兩種形式：一種是在其專門的個人信息保護法中規(guī)定刑事違法條款；另外一種是在刑法典中規(guī)定個人信息犯罪。2003年通過的《聯(lián)邦數(shù)據(jù)保護法》是專門的個人信息保護法,該法將以牟利為目的或者意圖損害他人利益,未經(jīng)授權(quán)收集、處理、恢復(fù)、回復(fù)、以虛假陳述的方式騙取在通常情況無法獲取或者非向公眾公開的個人數(shù)據(jù)的行為規(guī)定為犯罪。

德國刑法規(guī)定的侵犯個人信息犯罪主要體現(xiàn)在第十五章的侵害私人生活和秘密中,分別規(guī)定了侵害言論秘密、通信秘密、他人隱私、郵政或電訊秘密以及探知數(shù)據(jù)、利用他人秘密等罪名。這些規(guī)定保護的對象都是包含大量個人信息的個人隱私,保護的范圍從言論、信件到電子數(shù)據(jù),甚至還包括個人心理和意識形式存在的秘密,幾乎涵蓋了個人信息的各個方面。另外,在保護個人數(shù)據(jù)隱私為主題的刑法典條文中,立法者還對法人設(shè)置了保護,如利用他人秘密中規(guī)定,有保密義務(wù)之人,非法利用企業(yè)商業(yè)秘密的,處2年以下自由刑或罰金刑。

3.日本對個人信息的刑法保護

與德國同屬大陸法系的日本,個人信息的刑法保護與德國有比較多的相似之處。日本也制定了專門的、完整的《個人信息保護法》,該法針對侵犯個人信息的獲取、利用、停止利用等諸多環(huán)節(jié),都規(guī)定了相應(yīng)刑罰。但日本《個人信息保護法》中對個人信息的刑事保護只是針對個人信息從業(yè)者,對于非個人信息從業(yè)者或者相關(guān)第三方都沒有具體的規(guī)定,更接近于個人信息相關(guān)行業(yè)的行業(yè)規(guī)范,這與德國的《聯(lián)邦數(shù)據(jù)保護法》有比較大的區(qū)別。

在日本《刑法典》中,針對個人信息的保護范圍也很廣泛,將開拆書信、泄露秘密、準(zhǔn)備不正當(dāng)制作支付用電磁卡電磁記錄、使用電子計算機詐騙等行為均規(guī)定為犯罪。除此之外,還把公然指摘事實、毀損他人名譽的行為規(guī)定為犯罪。針對“黑客”行為,規(guī)定利用計算機程序非法侵入他人的計算機或網(wǎng)絡(luò),應(yīng)處以刑罰。

(二)發(fā)達國家個人信息刑法保護的特點

通過研究美國、德國、日本三個國家個人信息的刑法保護,可以總結(jié)出以下幾個方面的特點：

1.刑法介入廣泛化

美、德、日三國個人信息保護的刑事立法都是基于本國的實際,或利用《刑法典》,或制定單行刑事法律,或制定專門的《個人信息保護法》規(guī)定刑事條款,分別介入了個人信息保護的各個環(huán)節(jié),包括獲取、收集、保管以及利用等環(huán)節(jié)。以美國為例,《防止身份盜竊及假冒法》介入的環(huán)節(jié)是個人信息的非法獲取,《隱私權(quán)法》、《公平信用報告法》、《懲治計算機與濫用法》、《電子通訊隱私法》等法律的介入環(huán)節(jié)是個人信息的獲取和保管環(huán)節(jié),《身份盜竊刑罰加重法》的介入環(huán)節(jié)是個人信息的非法利用。德國、日本的《聯(lián)邦數(shù)據(jù)保護法》、《刑法》均規(guī)定了個人信息保護的刑法介入是收集直至利用階段,并設(shè)置了各種刑罰。另外,刑法對個人信息保護的范圍也越來越廣泛,美國從身份盜竊開始,幾乎將所有與隱私相關(guān)的個人信息均納入刑法保護的范圍。

2.立法模式多樣化

通過總結(jié)三個國家的立法模式,主要有三種類型：刑法典規(guī)定型、單行刑法規(guī)定型以及附屬刑法規(guī)定型。“對由來已久的侵犯個人信息行為,各國普遍利用刑法典予以規(guī)制；而對于隨著科技發(fā)展不斷出現(xiàn)的侵犯個人信息行為,為了維護刑法典的穩(wěn)定性,則通常采取單行刑法規(guī)定和附屬刑法規(guī)定的方式予以規(guī)制?！雹賲侨O弘：《個人信息的刑法保護研究》,華東政法大學(xué)2013年博士學(xué)位論文,第71頁。具體來看,作為英美法系代表國家的美國,普遍采用單行刑法,如直接針對身份盜竊的刑事立法和在其他單行法規(guī)中規(guī)定針對侵犯公民個人信息行為的刑事法條。而德國和日本作為大陸法系在歐洲和亞洲的國家代表,則采取了在刑法典增加罪名的基礎(chǔ)上,在專門的個人信息保護法中附屬刑法規(guī)定的形式,如在德國的《聯(lián)邦數(shù)據(jù)法》、日本的《個人信息保護法》中均有條款對若干侵犯個人信息行為規(guī)定了刑罰。

3.保護范圍擴大化

通過對美、德、日三國個人信息刑法保護的分析,可以看出,保護的范圍不斷擴大,邊界不斷延伸。一是針對個人信息犯罪的手段和方式越來越多樣,立法多以增加罪狀及罪名的方式加以規(guī)制。如日本《刑法》,針對制造計算機病毒程序并非法侵入他人的計算機或網(wǎng)絡(luò),以及幫助非法侵入的行為,均規(guī)定單獨的罪名；德國刑法針對個人隱私,分別規(guī)定了侵害言論秘密罪、侵害通信秘密罪、利用他人秘密罪等罪名。二是針對被侵犯的個人信息形式和內(nèi)容日益多樣,不斷擴大刑法中個人信息的解釋。如美國,盜竊身份罪中的身份信息已經(jīng)從最初的姓名、社會保障卡號、信用卡號、密碼等具有物理載體的實體內(nèi)容,逐步延伸到了任何能夠確定一個特殊主體的身份識別信息,包括任何一種獨有的身份識別數(shù)據(jù)、生物特征識別數(shù)據(jù)、電子身份識別碼、地址或者路徑選擇碼以及電信識別信息(電話號碼)或連接數(shù)據(jù)(帳戶號碼或者密碼)。

4.立法側(cè)重差異化

雖然,美、德、日等國均利用刑法介入了個人信息保護的全部環(huán)節(jié),保護的范圍也都從個人隱私擴展到了幾乎所有與個人行為相關(guān)的信息,但由于價值取向或者實際情況的差異,立法側(cè)重也有所不同。美國不僅直接打擊侵犯個人信息的犯罪,還對侵犯個人信息犯罪的上下游進行刑法規(guī)制,不僅制定了《身份盜竊刑罰加重法》對利用盜竊的身份犯其他罪的加重處罰,還將為侵犯個人信息犯罪提供便利、創(chuàng)造條件的行為規(guī)定為犯罪。同時,對于為侵犯個人信息犯罪提供便利、創(chuàng)造條件的行為,并不以侵犯個人信息犯罪的幫助犯、未遂或預(yù)備來處罰,而是直接以個人信息犯罪的新罪名予以規(guī)制。這樣的立法理念源于對現(xiàn)實狀況的反思,既嚴密了刑事法網(wǎng),同時也加強了對個人信息犯罪的打擊力度。反觀德國和日本,個人信息刑法保護的重點仍然是打擊直接針對個人信息的犯罪行為,如個人信息的非法獲取、不當(dāng)保管和非法利用,但從實際效果來看,效果還不能盡如人意,對于侵犯個人信息犯罪的上下游行為關(guān)注較少。近年來美國大力發(fā)展的云計算對隱私保護提出了更高要求,因而對侵犯網(wǎng)絡(luò)個人隱私的相關(guān)違法行為做犯罪化處理是必然的；而日本等國針對個人信息應(yīng)用領(lǐng)域的日益廣泛,通過制定專門性法律,擴充其個人信息保護的范圍。

(三)借鑒發(fā)達國家做法建立中國的個人信息刑法保護體系

1.從中國國情出發(fā)建立個人信息刑法保護體系

個人信息刑法保護受各國文化傳統(tǒng)、歷史習(xí)慣、法律傳統(tǒng)等多種因素的影響,不僅立法側(cè)重、保護范圍不盡相同,模式和路徑選擇也存在差異。因此,學(xué)習(xí)、借鑒域外個人刑法信息保護的經(jīng)驗必須全面考察其立法基礎(chǔ)和司法效果,決不能以幾點或者部分相似而照搬照抄,而應(yīng)該立足中國實際情況,對域外個人信息刑法保護進行深入的研究和分析,既要找出其中的優(yōu)點,也要認清其中存在的問題和不足。既不妄自菲薄,也不閉門造車,充分利用域外立法的先進經(jīng)驗改進中國個人信息刑法保護的不足,逐步建立適合中國國情的個人信息保護法律體系。

2.從立法現(xiàn)狀出發(fā)完善侵犯個人信息相關(guān)罪名

經(jīng)過比較中國與國外侵犯個人信息犯罪的標(biāo)準(zhǔn),以下幾個方面具有借鑒意義：一是明確限定犯罪主體。德國、日本的刑法都針對不同的個人信息侵犯行為規(guī)定了較為適當(dāng)且詳細的主體范圍,既包括個人信息從業(yè)者,也包括普通人,甚至單位。而中國刑法以所在單位及行業(yè)領(lǐng)域來劃分,犯罪主體屬于特殊主體。二是針對犯罪方式和手段日益多樣,增設(shè)相應(yīng)的罪名。中國刑法僅規(guī)定了“非法提供”和“非法獲取”公民個人信息的行為可構(gòu)成犯罪外,對于使用及傳播的行為缺乏相關(guān)規(guī)定。三是主觀要件應(yīng)包括重大過失,德國和日本刑法均在某些環(huán)節(jié)規(guī)定了重大過失也屬于犯罪,而中國個人信息犯罪的主觀要件均為故意?，F(xiàn)實生活中,因重大過失導(dǎo)致的個人信息泄露侵犯他人合法權(quán)益的事件時有發(fā)生,對于此類行為,刑法無法進行規(guī)制。這種情況的存在,也極容易造成一個問題：已經(jīng)造成了侵犯個人信息的結(jié)果,但主觀方面無法區(qū)別是間接故意還是重大過失時,只能按重大過失處理,客觀上助長了侵犯個人信息犯罪的發(fā)生。四是明確定罪標(biāo)準(zhǔn),美國、德國、日本刑法對構(gòu)成個人信息犯罪的標(biāo)準(zhǔn)均有著比較明確的規(guī)定,而中國刑法的表述“情節(jié)嚴重”,比較籠統(tǒng)、模糊,而且也缺乏相應(yīng)的法律解釋,在司法實踐中不易把握。

3.從社會、行業(yè)、個人三個層面出發(fā)建立個人信息刑法保護體系

從對個人信息刑法保護的發(fā)展進程可以看出,個人信息刑法保護往往始于個人隱私,并逐步發(fā)展到全面保護。如美國對公民個人身份信息的刑事立法保護就是從偏重于對公民個人隱私的保護,到包括對公民財產(chǎn)權(quán)等各項權(quán)利的全面保護。德國、日本也都制定了有別于各自刑法規(guī)定的補充性法律。隨著個人信息重要性的不斷凸顯,中國也可借鑒其他國家、地區(qū)的做法,將侵犯中國公民個人信息的犯罪分別從保護社會管理秩序、規(guī)范行業(yè)發(fā)展和保護個人人格權(quán)及財產(chǎn)權(quán)的三個層面出發(fā),同時根據(jù)社會發(fā)展以及侵犯公民個人信息犯罪發(fā)展的趨勢,把一些常見多發(fā)的行為納入刑法保護中來,并逐步形成完善的個人信息刑法保護體系。

三、中國個人信息刑法保護的必要性和存在的主要問題

(一)利用刑法保護個人信息的現(xiàn)實緊迫性

個人信息已經(jīng)成為中國經(jīng)濟發(fā)展的主要資源和結(jié)構(gòu)轉(zhuǎn)型的重要推動力,其本身的價值越來越大,同時也能為信息收集者、使用者、處理者帶來巨大的利益,這就不可避免地引發(fā)一些侵犯個人信息的行為,給公民個人乃至社會造成嚴重影響。

1.侵犯個人信息的行為越來越猖獗

2012－2013年,公安部連續(xù)開展三次打擊侵犯公民個人信息行動,共抓獲涉嫌出售、非法提供和非法獲取公民個人信息的犯罪嫌疑人4115 名,破獲侵犯個人信息案件4382 起,涉案的個人信息近50 億條,打掉利用非法獲取的公民信息實施犯罪的985 個團伙,破獲綁架、敲詐勒索、暴力追債、電信詐騙、非法調(diào)查等犯罪案件上萬起。①《公安部部署新一輪打擊侵害公民個人信息犯罪行動》,http：/ /www.mps.gov.cn/n16/n1237/n1342/n803715/3867346.html從以上數(shù)據(jù)不難看出,目前中國侵犯公民個人信息犯罪依然高發(fā),在數(shù)量上成級數(shù)增長,并且涉案人數(shù)多、環(huán)節(jié)多,侵犯的公民個人信息數(shù)量也越來越多。2015年央視“3·15 晚會”上,對利用公共場所wifi 信號盜取個人信息,通過網(wǎng)絡(luò)購買身份證到銀行開卡“洗錢”,電信運營商利用用戶身份信息重復(fù)激活開卡銷售給犯罪分子等侵犯個人信息的情況進行了曝光。但曝光的問題也僅僅是侵犯個人信息犯罪高發(fā)的一個縮影,利用互聯(lián)網(wǎng)侵犯個人信息的行為越來越猖獗,在整條個人信息犯罪鏈上,那些掌握著龐大的個人信息資源、處于個人信息犯罪源頭的罪魁禍?zhǔn)兹匀粵]有收斂的跡象。這樣肆意侵犯個人信息的行為如果不動用刑罰予以制裁,勢必又將滋生其他犯罪,嚴重危害社會穩(wěn)定。

2.侵犯個人信息的行為手段不斷翻新

隨著互聯(lián)網(wǎng)技術(shù),特別是移動互聯(lián)網(wǎng)的快速發(fā)展以及個人信息應(yīng)用的日益廣泛,侵犯個人信息犯罪的手段和形式也越來越多樣,并且隱蔽性也越來越強,有時甚至披著合法的外衣。時至今日,個人信息犯罪的手段主要包括以下幾種：一是竊取,這是一種比較原始的犯罪手段,即通過盜竊他人具有個人信息的各類具有物理實體的身份證件,或者通過使用一定的技術(shù)手段竊取以電子數(shù)據(jù)形式存在的個人信息。在中國,比較典型的竊取個人信息的手段是利用在ATM 機上安裝針孔攝像頭,或是用微型讀卡器在顧客結(jié)賬時迅速獲得信用卡信息等。二是收買,即通過支付費用向有權(quán)收集個人信息的機關(guān)、企事業(yè)單位相關(guān)人員收買個人信息,這已經(jīng)成了個人信息犯罪的重要形式。央視“3·15 晚會”曾曝光多起電信運營商的工作人員出賣個人信息的案例。三是網(wǎng)絡(luò)釣魚,通過網(wǎng)絡(luò)釣魚形式獲取個人信息已經(jīng)從最初的利用電話騙取他人個人信息,發(fā)展到網(wǎng)絡(luò)上遍地可見的“釣魚”軟件,不法分子假冒各類官方網(wǎng)站或電子郵件,誘騙網(wǎng)絡(luò)用戶透露他們的銀行和金融賬戶信息或其他個人信息。②《六成釣魚網(wǎng)站集中電商領(lǐng)域》,http：/ /finance.eastmoney.com/news/1363,20121213263447523.html四是非法的網(wǎng)絡(luò)手段,即網(wǎng)絡(luò)黑客利用掌握的計算機網(wǎng)絡(luò)技術(shù)非法侵入他人網(wǎng)絡(luò)終端設(shè)備獲取他人個人信息,通過互聯(lián)網(wǎng),黑客使用惡意軟件竊取用戶的郵件、信用卡、重要文件等個人重要信息。

3.侵犯個人信息的動機和原因日趨復(fù)雜

侵犯公民個人信息犯罪的三個主要環(huán)節(jié)是：一是將合法獲取的公民個人信息非法出售、提供給他人；二是以非法獲取的個人信息為基礎(chǔ),建立網(wǎng)絡(luò)數(shù)據(jù)交易平臺；三是利用非法獲取的公民個人信息進行其他違法犯罪活動。與這三個環(huán)節(jié)相對應(yīng)的是,各個環(huán)節(jié)上的犯罪目的不盡相同。第一個環(huán)節(jié)的犯罪目的,主要是利用履行職責(zé)的便利獲取非法利益；第二個環(huán)節(jié)的犯罪方式是將碎片化的個人信息集中起來,目的是為了牟取暴利；而第三個環(huán)節(jié)目的就是為違法犯罪活動創(chuàng)造條件?！胺缸锓肿荧@取個人信息,主要進行電信詐騙、網(wǎng)絡(luò)詐騙等新型、非接觸式犯罪,搶劫、敲詐勒索等嚴重暴力犯罪,非法商業(yè)競爭以及婚姻調(diào)查、非法討債等違法活動?！雹畚虒O哲：《個人信息的刑法保護探析》,《犯罪研究》2014年第1期。與侵犯個人信息的環(huán)節(jié)和動機相對應(yīng)的是侵犯個人信息行為高發(fā)的原因日趨復(fù)雜。筆者認為主要是以下三個方面的原因：一是行業(yè)監(jiān)管不力,掌握個人信息的單位和工作人員易受利益驅(qū)使。除傳統(tǒng)的醫(yī)院、民航、銀行、電信等行業(yè)外,有越來越多的行業(yè),如快遞、賓館等行業(yè),掌握了大量的公民個人信息,但這些行業(yè)的監(jiān)管普遍存在漏洞,甚至有些行業(yè)根本沒有監(jiān)管。加之,從業(yè)人員龐雜,相關(guān)教育培訓(xùn)缺失,很多從業(yè)人員法律意識不強,非法提供、出售個人信息謀取利益的行為相當(dāng)普遍。二是個人信息保護意識弱。由于中國的互聯(lián)網(wǎng)發(fā)展迅猛,網(wǎng)民對于個人信息被泄露、被利用的風(fēng)險認識普遍不夠。在日常生活和網(wǎng)絡(luò)上,都存在隨意填寫個人信息的行為,冒用、盜用他人信息的行為也時有發(fā)生?！傲硗?公民的維權(quán)意識還比較差,調(diào)查顯示,93.8%的人有過因個人信息泄露帶來的困擾。在個人信息曾被濫用的被調(diào)查者中,僅有4%左右的人進行過投訴?！雹偕蛄A：《刑法對公民個人信息保護現(xiàn)狀及改進建議》,《江蘇經(jīng)濟報》2014年11月27日第三版三是違法成本較低。對于侵犯公民個人信息的犯罪行為,中國還缺乏全面的法律制約,導(dǎo)致侵犯個人信息的違法成本較低。違法成本較低,甚至違法行為不會受到追究,就會使侵犯個人信息的行為愈演愈烈,極容易由一種不自覺的侵害行為而演變成一種自覺的犯罪行為。

(二)中國個人信息刑法保護的主要問題

《刑法修正案(七)》首次將侵犯公民個人信息的行為入罪,在刑法第253 條后增加1 條,作為第253 條之一。②即“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,違反國家規(guī)定,將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息,出售或者非法提供給他人,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。竊取或者以其他方法非法獲取上述信息,情節(jié)嚴重的,依照前款的規(guī)定處罰。單位犯前兩款罪的,對單位判處罰金,并對其直接負責(zé)的主管人員和其他直接責(zé)任人員,依照各該款的規(guī)定處罰。”隨后,最高人民法院、最高人民檢察院聯(lián)合發(fā)布了《關(guān)于執(zhí)行〈中華人民共和國刑法〉確定罪名的補充規(guī)定(四)》,確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”兩個罪名。除此之外,《刑法修正案(五)》也曾在刑法第177 條中增加了第177 條之一,其中的第2 款竊取、收買、非法提供他人信用卡信息罪同樣是用于懲治嚴重侵犯個人信息的行為。雖然,中國刑法針對個人信息犯罪有了明確、具體的規(guī)定,但與公民對個人信息保護的訴求和嚴重侵犯個人信息造成的后果相比,仍然存在較大的不足。

1.個人信息的刑法屬性界定還不清晰

《刑法》第253 條規(guī)定的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的犯罪對象均為個人信息。但與刑法規(guī)定不相符合的是,中國并沒有法律對個人信息的定義作出明確的解釋或者列舉描述。刑法是最為嚴謹?shù)姆?如果條文中使用了沒有明確內(nèi)涵和具體范圍的概念,而且這個概念還是關(guān)于罪與非罪、此罪與彼罪的重要概念,必將導(dǎo)致該條文在司法實踐中引起爭議,造成適用的混亂和困惑。個人信息界定不清,必然給《刑法》第253 條的實施帶來很大的難度和不確定性。

2012年12月28日全國人大常委會通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》,③《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第一條規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息,不得出售或者非法向他人提供公民個人電子信息?！痹谄渲袑⒎杀Ｗo的個人信息的內(nèi)容界定為“能夠識別公民個人身份和涉及公民個人隱私的電子信息”,這一規(guī)定有助于對個人信息在法律語境中的解讀,但由于中國法律對于隱私?jīng)]有明確的定義,所以這樣定義個人信息仍然具有很大的不確定性。該規(guī)定還將個人信息限定為電子信息,將生物信息等新型個人信息排除在保護范圍之外,這是明顯的缺陷,與現(xiàn)實脫節(jié)。目前,中國雖然有一些法律法規(guī)的個別條款對個人信息進行了界定,但這些分散的規(guī)定和不同的表述顯然不能適應(yīng)公民對于個人信息保護的要求,亟需權(quán)威部門通過法律或者法律解釋明確個人信息的定義。

2.刑法典對于個人信息的保護還有欠缺

相對于中國刑法對國家信息、軍事信息、企業(yè)商業(yè)信息的保護和設(shè)立的罪名,對個人信息的保護顯得單薄而脆弱。在《刑法修正案(七)》之前,僅有關(guān)于侵犯公民個人計算機信息、信用卡信息等方面的規(guī)定,保護范圍很窄,適用的對象也是特殊人群,罪名只有177 條規(guī)定的“竊取、收買、非法提供他人信用卡信息罪”等寥寥幾個。《刑法》第253 條雖然擴大了個人信息保護的范圍,增加規(guī)定了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩個罪名,但對個人信息的刑法保護來說,這為數(shù)不多的罪名顯然是不夠的。除了罪名單一以外,《刑法》253 條存在主體范圍過窄、行為方式單一和違反國家規(guī)定的限制三個比較明顯的不足。將“出售、非法提供公民個人信息罪”的犯罪主體限制規(guī)定為國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員,但事實上,能夠大量收集他人個人信息的單位遠不局限于上述行業(yè),在實踐中出售、非法提供公民個人信息也不僅僅局限于這些行業(yè)和單位的工作人員；《刑法》253 條規(guī)定的行為方式是“出售”、“非法提供”或者“非法獲取”兩類,冒用、未經(jīng)同意而利用等可能造成更為嚴重后果的行為沒有規(guī)定在內(nèi)；《刑法》253 條還將違反國家規(guī)定設(shè)定為犯罪的前提條件,但中國現(xiàn)在還沒有專門的、完整的《個人信息保護法》,各種關(guān)于個人信息的法律法規(guī)還無法涵蓋所有可能出現(xiàn)侵犯公民個人信息的行業(yè),這種限定還可能使一些地方性法規(guī)、行業(yè)規(guī)定等成為空文,使法律的適用出現(xiàn)障礙,形成一種雖有明文規(guī)定卻無據(jù)可循的怪圈。

3.沒有形成與刑法典相連接的保護體系

《刑法》253 條將違反國家規(guī)定設(shè)定為犯罪的前提條件,如果犯罪主體出售或提供他人個人信息的行為沒有違反相關(guān)法律法規(guī)的禁止性規(guī)定,則不成立犯罪。因此,要讓《刑法》第253 條充分發(fā)揮其應(yīng)有的作用,必須完善相關(guān)配套立法。但是,中國關(guān)于個人信息的相關(guān)法律、法規(guī)還不健全。第一,沒有出臺完善的個人信息保護法,中國的《個人信息保護法》(草案)仍然在國務(wù)院審議階段。借鑒國外經(jīng)驗,制定專門的個人信息保護法勢在必行。例如,美國沒有個人信息保護法,但有相應(yīng)的隱私權(quán)保護法,起到對公民個人信息進行有力保護的作用。第二,中國現(xiàn)行的個人信息保護法律法規(guī)等各成一家,沒有與刑法形成有效的鏈接?！缎谭ā逢P(guān)于個人信息犯罪的相關(guān)規(guī)定表明中國在個人信息保護的刑事立法上取得新突破,因此也需要與其他民事及相關(guān)配套立法相呼應(yīng),故現(xiàn)行的立法已經(jīng)不能滿足刑法關(guān)于個人信息保護的相關(guān)要求,在沒有制定《個人信息保護法》的情況下,只能對現(xiàn)有分散規(guī)定的相關(guān)配套立法進行修訂和完善,以適應(yīng)、配合《刑法》的規(guī)定。

四、完善中國個人信息刑法保護的思考

《刑法修正案(七)》的出臺標(biāo)志著中國在個人信息刑法保護上取得了重大突破,然而在對于侵犯個人信息的現(xiàn)實緊迫性來看,還顯得比較單薄。對于打擊侵犯個人信息犯罪往往也有力不從心之感。而且,隨著大數(shù)據(jù)時代的到來,個人信息的重要性更加突出,利用刑法對個人信息進行更加全面、更加深入的保護是大勢所趨。要適應(yīng)這種趨勢,單靠刑法典的規(guī)定是不夠的,必須建立以刑法典為中心,連接保護個人信息的各種規(guī)范,建立社會、行業(yè)和個人三個層次的個人信息刑法保護體系。

(一)建立個人信息刑法保護的社會規(guī)范體系

雖然中國的個人信息刑法保護已經(jīng)走出了關(guān)鍵的一步,但是還存在比較多的基礎(chǔ)性和系統(tǒng)性問題,主要是個人信息的刑法界定不清晰、配套法律不完善、刑法與其他法律之間的銜接機制不健全等。這些問題的存在,極大地限制了個人信息刑法保護的范圍和力度。解決這些問題,決不能用“頭疼醫(yī)頭、腳疼醫(yī)腳”的辦法,而是要系統(tǒng)、全面認識個人信息刑法保護體系的重要性,逐步建立以刑法為中心的涉及多個部門法的社會規(guī)范體系。

1.對刑法保護的個人信息進行明確界定

個人信息的所指較為寬泛,涉及面廣。信息安全內(nèi)容常因人而異。因此對于下游犯罪的影響也有差異。筆者認為,個人信息的邊界界定會影響罪與非罪及量刑的裁量。個人信息受刑法保護范圍的界定主要從以下兩方面著手：第一,立法目的。根據(jù)立法者將侵犯個人信息犯罪放置于刑法典中的位置,進而通過保護的法益可以推斷出立法者的價值取向,并依據(jù)此處透露出的立法意圖界定《刑法》中“個人信息”的范圍。第二,刑法的二次制裁性?！皩τ谝恍耠[私性和安全性影響較小的個人信息,利用民事或行政手段進行規(guī)制已足夠,而對于一些特別重要的、涉及金融詐騙等嚴重刑事犯罪或與危害國家安全等下游犯罪密切相關(guān)的個人信息則應(yīng)當(dāng)納入刑法的規(guī)制范圍?！雹俣儤悖骸豆駛€人信息安全犯罪防控研究——以多元體參與信息時代保護公民隱私為視角》,《公安研究》2014年第5期。因此,《刑法》中個人信息的范圍與行政、民事法律應(yīng)有所不同,公民個人信息的刑法認定既要由行政、民事法律作為前置和基礎(chǔ),又不能完全等同于二者對個人信息的概念界定,而應(yīng)當(dāng)由刑法本身或者專門的法律對此做出明確界定。這也是合理確定犯罪圈、縮小刑法打擊面的一個有效措施。因此,筆者認為,對于需要利用刑法保護的個人信息應(yīng)該是：任何單獨或與其他信息一起使用以確認某一特定個人身份的信息以及涉及個人隱私的信息,具體包括：姓名、地址、出生日期、具有身份識別功能的證件號碼、生物學(xué)特征以及個人社會活動記錄等均應(yīng)屬于刑法保護的個人信息。

2.對現(xiàn)有相關(guān)立法罪名進行完善

(1)擴大犯罪主體范圍?！皣覚C關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”是特殊主體,其范圍過窄。實際情況中,這個范圍早已被突破,并日益擴大。為解決與實際不符的矛盾,應(yīng)將本罪的犯罪主體范圍擴大為一般主體,并規(guī)定單位也可以成為本罪的主體。而針對本罪中現(xiàn)在規(guī)定的特殊主體犯本罪的,可以從重處罰。

(2)變公訴為自訴為主。本罪的位置設(shè)定在刑法第四章“侵犯公民人身權(quán)利、民主權(quán)利”中,則可見立法本意還是為了保護公民自身的合法利益。本罪的刑罰也符合“針對可能判處3年以下有期徒刑、不需要經(jīng)過專門偵查的侵犯個人信息權(quán)犯罪案件”這個自訴案件的條件。因此,本罪宜采用自訴為主的追訴方式,只有行為人采用侵犯個人信息數(shù)據(jù)庫等行為,涉及侵犯社會秩序甚至國家利益的時候,才能以公訴的形式進行追訴。這種以“自訴為主,公訴為輔”的追訴方式既符合刑法的謙抑性,又可以使被害人參與到刑事訴訟中,有利于打擊犯罪,化解社會矛盾。

(3)將非法收集、利用個人信息的行為規(guī)定為犯罪,并設(shè)置新的罪名。非法收集個人信息的行為雖然不直接侵犯個人信息,但這類行為的現(xiàn)實危害性顯而易見,而且已經(jīng)成為侵犯個人信息犯罪的源頭。如果不利用刑法對其進行規(guī)制,必將導(dǎo)致侵犯個人信息犯罪的泛濫。中國對于非法利用個人信息的行為,一般以其后續(xù)行為的性質(zhì)進行規(guī)制,忽略非法利用個人信息本身已經(jīng)構(gòu)成了犯罪。設(shè)置非法利用個人信息罪,有助于防止侵犯個人信息的行為向其他違法犯罪行為蔓延,并倒逼其他侵害個人信息犯罪行為的終止。

3.完善個人信息刑法保護的民事、行政保護的銜接機制

《刑法》253 條規(guī)定,違反國家規(guī)定是出售、非法提供公民個人信息罪成立的前提。盡管中國《刑法》對于“國家規(guī)定”的表述比較寬泛,包括“全國人民代表大會及其常務(wù)委員會制定的法律和決定,國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”。但是,針對個人信息保護,全國人大及其常委會并沒有頒行統(tǒng)一的法律,相關(guān)的決定也很少。“有研究認為,中國大陸目前有24 個法律或者規(guī)范性文件各自從某方面涉及對公民個人信息的保護,且均具有行政法律法規(guī)的性質(zhì)?！雹俦R建平：《我國侵犯公民個人信息犯罪的治理》,《法律適用》2013年第4期。由此可見,對于個人信息的保護主要還是依靠行政手段。然而,對侵犯公民個人信息之行為,中國尚未確立統(tǒng)一、完備的行政法律制裁體系與刑事制裁相銜接?！斑B《治安管理處罰法》都未將侵犯公民個人信息的行為作為行政違法行為規(guī)定處罰的措施。這就使得中國《刑法》第253 條之一所規(guī)定的兩種犯罪成為非典型的行政犯,也使得《刑法修正案( 七)》第7 條的規(guī)定成為一種法定犯時代之下頗為尷尬的立法?！雹趨侨O弘：《個人信息的刑法保護研究》,華東政法大學(xué)2013年博士論文。

4.盡快出臺專門的《個人信息保護法》

中國現(xiàn)行法律對于個人信息保護的規(guī)定比較分散,在民法、刑法、訴訟法等各個部門法都有相關(guān)規(guī)定,缺乏系統(tǒng)有效的整合。另外,在刑法中,侵犯個人信息犯罪的前提也是以違反國家規(guī)定為前提,那么制定一部完整的、專門的《個人信息保護法》就顯得尤為必要和緊迫。

首先,打擊侵犯個人信息犯罪的行為僅僅依靠《刑法》是不夠的。《刑法》是社會規(guī)范的最后一道防線,其性質(zhì)決定了刑法的規(guī)制對象只能是已然發(fā)生的嚴重侵害個人信息的行為。雖然,刑法也具有預(yù)防犯罪的功能,但對于個人信息保護來說,通過制定專門的《個人信息保護法》,明確個人信息界定、信息主體權(quán)利義務(wù)、刑法保護的主要原則和要求、相關(guān)部門的職責(zé)義務(wù)協(xié)調(diào)機制、合作機制和法律責(zé)任等內(nèi)容,從源頭上預(yù)防未然犯罪行為的產(chǎn)生應(yīng)該是更為重要的。其次,保護個人信息的現(xiàn)實急迫性也決定了中國在對侵犯個人信息犯罪控制的法律體系的完善中需要一個效力層次高、內(nèi)容全面、具有前瞻性的法律來總體規(guī)范和協(xié)調(diào)保護個人信息的順利進行,使其成為中國保護個人信息的主要法律依據(jù),并為預(yù)防和控制個人信息犯罪奠定堅實的基礎(chǔ)。再次,制定《個人信息保護法》在宏觀上是全面推進依法治國的具體表現(xiàn),不僅有利于穩(wěn)定社會秩序,也能夠促進經(jīng)濟發(fā)展和科技進步,并逐步改變公民的認識,實現(xiàn)社會和諧。在微觀上,有利于司法實踐中對《刑法》253 條等法條的適用,保證法律適用的確定性和統(tǒng)一性；有利于行政處罰和刑事制裁的銜接,保證對侵犯個人信息行為的全面打擊；有利于規(guī)范與個人信息相關(guān)的行業(yè),促進行業(yè)發(fā)展。

(二)建立個人信息刑法保護的行業(yè)規(guī)范體系

1.加快推進“互聯(lián)網(wǎng)＋”背景下個人信息相關(guān)行業(yè)規(guī)范的建立

重點打擊網(wǎng)絡(luò)上侵犯個人信息的行為,完善刑事立法,以IPHONE4 在中國上市為標(biāo)志,中國的移動互聯(lián)網(wǎng)進入一個新的時代,手機APP 也呈現(xiàn)出井噴的態(tài)勢。短短幾年時間,移動互聯(lián)網(wǎng)已經(jīng)成為網(wǎng)絡(luò)的主流,從打車到叫外賣、從買電影票到買股票基金、從嵌入式地圖到專業(yè)導(dǎo)航,手機移動端應(yīng)用已經(jīng)滲透進了人們?nèi)粘Ｉ畹拿恳粋€方面。于是越來越多的手機應(yīng)用要求實名制,用戶提交的個人信息也從最基本的身份證號、職業(yè)、年齡等,逐步演變到興趣愛好、位置跟蹤,甚至作息習(xí)慣。網(wǎng)絡(luò)上侵犯個人信息的行為,已經(jīng)從PC互聯(lián)網(wǎng)時代常見的“人肉搜索”,發(fā)展為通過手機等客戶端尋找、發(fā)現(xiàn)、收集個人信息,最終出賣而獲得利益。對于這類行為,《刑法》253 條的規(guī)定,就顯得無能為力,進而放縱了一部分侵犯公民個人信息的違法犯罪行為。“而這在一定意義上也表明,國家立法機關(guān)對侵犯公民個人信息之網(wǎng)絡(luò)行為的普遍危害性及其嚴重程度顯然缺乏充分的重視和足夠的前瞻,造成了現(xiàn)行規(guī)定對網(wǎng)絡(luò)上日益加劇的嚴重侵犯公民個人信息之危害行為難以予以刑事制裁的窘境?！雹仝w秉志：《公民個人信息刑法保護問題研究》,《華東政法大學(xué)學(xué)報》2014年第1期。2014年3月15日修訂后的《消費者權(quán)益保護法》(以下簡稱“新《消法》”)正式開始實施,第十四條規(guī)定,“消費者……享有個人信息依法受到保護的權(quán)利”；第二十九條規(guī)定,經(jīng)營者收集、使用消費者個人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,明示收集、使用信息的目的、方式和范圍,應(yīng)當(dāng)公開其收集、使用規(guī)則,不得違反法律、法規(guī)的規(guī)定和雙方的約定,并對收集的個人信息嚴格保密、確保信息安全；第五十條規(guī)定,“經(jīng)營者……侵害消費者個人信息依法得到保護的權(quán)利的,應(yīng)當(dāng)停止侵害、恢復(fù)名譽、消除影響、賠禮道歉并賠償損失?！毙隆断ā返囊?guī)定為個人信息相關(guān)的行業(yè)制定保護個人信息的行業(yè)規(guī)范提供了基本原則,也為建立個人信息刑法保護的行業(yè)規(guī)范體系指明了方向。筆者認為,在國家大力實施“互聯(lián)網(wǎng)＋”的戰(zhàn)略背景下,以下行業(yè)尤其迫切需要建立和完善與個人信息相關(guān)的行業(yè)規(guī)范。

(1)移動互聯(lián)網(wǎng)行業(yè)。移動互聯(lián)網(wǎng)行業(yè)應(yīng)針對移動互聯(lián)網(wǎng)產(chǎn)業(yè)鏈各主體,制定更為細致的制度規(guī)范。對于App 開發(fā)者、App 移動應(yīng)用商店運營者、智能手機制造商、操作系統(tǒng)提供商、廣告主分別明確特定的個人信息保護義務(wù)與責(zé)任；最大程度地向用戶明示隱私保障規(guī)則,為用戶提供隱私控制面板,提供方便的修改方式；遵循數(shù)據(jù)最小化、目的限制原則,僅收集對于執(zhí)行功能嚴格必要的數(shù)據(jù),嚴格限制對于執(zhí)行功能以外的用戶位置信息、通信信息等敏感信息收集；遵循隱私保護設(shè)計原則,在APP 的設(shè)計、實施、刪除的各個階段,采取有效措施保護個人隱私,設(shè)置恰當(dāng)?shù)姆雷o措施保護所處理的個人信息。

(2)金融行業(yè)。金融行業(yè)的個人信息直接與財產(chǎn)相關(guān),儲戶存款被盜、信用卡被盜刷等案件頻發(fā)的背后,映射著該行業(yè)個人信息保護規(guī)范頗多漏洞和不完善之處。金融行業(yè)個人信息保護規(guī)范應(yīng)從收集、轉(zhuǎn)移、互通和審查等環(huán)節(jié),制定更為嚴格的行業(yè)規(guī)范。在個人信息的收集環(huán)節(jié),要嚴把“入口”,堵住冒用、盜用、虛假個人信息進入各相關(guān)系統(tǒng)；在轉(zhuǎn)移環(huán)節(jié),要強化數(shù)據(jù)安全措施,對沒有必要轉(zhuǎn)移到網(wǎng)絡(luò)和移動數(shù)據(jù)端的個人信息,要采取物理隔絕措施在獨立系統(tǒng)中進行保存；在互通環(huán)節(jié),要建立以人民銀行、銀監(jiān)會、證監(jiān)會等機構(gòu)為核心的不同行業(yè)、不同機構(gòu)之間個人信息共享和隔離協(xié)議；在審查環(huán)節(jié),建立定期審查和特定情況及時審查規(guī)范,防止信息泄露和非法使用情況的發(fā)生。

(3)電信行業(yè)。中國電信行業(yè)已實行實名入網(wǎng)制,但在電信行業(yè)發(fā)展的過程中,由于行業(yè)規(guī)范不健全,實名制帶來的個人信息泄露等問題相當(dāng)嚴重,并由此引發(fā)了電信詐騙等一系列犯罪行為。電信行業(yè)個人信息保護應(yīng)針對“入口”和“端口”制定更為完善的規(guī)范。在“入口”處,對加盟商、代理商建立嚴格的資格審查制度,確保每一張SIM 卡都有真實、明確的出處和使用人；加強對端口的管理和控制,利用技術(shù)手段防止使用呼出號碼修改裝置等違法設(shè)備的語音、文字等信息進入通訊網(wǎng)絡(luò),堵住電信詐騙的端口。同時,與數(shù)據(jù)安全機構(gòu)建立協(xié)作機制,對于經(jīng)過驗證核實的用于違法犯罪活動的號碼及時注銷,并將使用人信息留存?zhèn)洳椤?/p>

(4)電子商務(wù)及相關(guān)行業(yè)。電子商務(wù)及其下游的物流行業(yè)以消費者的網(wǎng)絡(luò)消費行為為基礎(chǔ)掌握了越來越多的個人信息,并成為了電子商務(wù)平臺構(gòu)建大數(shù)據(jù)系統(tǒng)的基礎(chǔ)。建立、完善電子商務(wù)及相關(guān)行業(yè)個人信息保護規(guī)范,應(yīng)從以下幾個方面入手：一是規(guī)范電子商務(wù)平臺利用個人信息的行為,個人身份信息、消費數(shù)據(jù),以及以此為基礎(chǔ)建立的個人信用、消費報告和數(shù)據(jù)模型,在未得到消費者同意或請求下,絕不允許向他人公開。二是規(guī)范電子商務(wù)從業(yè)者收集、利用個人信息的行為,電子商務(wù)從業(yè)者掌握的個人信息只能為消費者本人提供服務(wù),不得將個人信息泄露給他人,也不得利用掌握的個人信息推送商業(yè)信息。三是規(guī)范物流行業(yè)收集、利用個人信息的行為,物流行業(yè)除了保護個人信息不被泄露外,還要建立個人信息定期封存和銷毀機制,防止大量個人信息被非法利用。

2.建立個人信息相關(guān)行業(yè)規(guī)范與刑法保護的銜接機制

行業(yè)規(guī)范,即便是監(jiān)管機構(gòu),如工業(yè)和信息化部制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》,也只是法律階位較低的部門規(guī)章,與全國人大及其常委會制定的刑法之間存在比較大的階差。行業(yè)規(guī)范和刑法都具有保護個人信息的功能,如欲充分發(fā)揮其功能,還需要建立有效的銜接機制。中國《刑法修正案(七)》中個人信息保護的前置性特征,可以說是為建立銜接機制留下的對接“端口”。要將相關(guān)行業(yè)規(guī)范上升為國家規(guī)定,大量掌握個人信息的行業(yè),必須由有權(quán)機關(guān)以法律、法規(guī)或者規(guī)章的形式制定,如前述的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》。這種做法既有利于規(guī)范相關(guān)行業(yè)對個人信息的保護,也能夠順利地使刑法、特別是《刑法》第253 條的規(guī)定落地。

3.建立統(tǒng)一的個人信息保護和行業(yè)監(jiān)管機構(gòu)

成立專門負責(zé)個人數(shù)據(jù)保護的機構(gòu)是各國的普遍做法,中國目前還未成立專門的個人信息保護機構(gòu)。各機構(gòu)是在傳統(tǒng)的監(jiān)管職責(zé)中延伸管理各自行業(yè)、部門的個人信息保護問題。從長遠來看,建立專門的個人信息保護和行業(yè)監(jiān)管機構(gòu)有利于利用刑法保護個人信息,規(guī)范相關(guān)行業(yè)收集、利用個人信息的行為,也有利于各行業(yè)履行個人信息保護管理職責(zé)。從個人信息保護現(xiàn)狀和發(fā)展趨勢來看,統(tǒng)一的個人信息保護和行業(yè)監(jiān)管機構(gòu)可以由工業(yè)和信息化部牽頭,聯(lián)合最高人民法院、最高人民檢察院、公安部、中國人民銀行、商務(wù)部、衛(wèi)生計生委、銀監(jiān)會、證監(jiān)會、國家郵政局等具有個人信息保護和行業(yè)監(jiān)管職責(zé)的機構(gòu)成立個人信息保護和行業(yè)監(jiān)管辦公室,并建立聯(lián)席會議制度,以發(fā)布司法解釋、部門規(guī)章等形式,理順刑法保護個人信息的制度機制。

(三)建立個人信息刑法保護的個人規(guī)范體系

移動互聯(lián)網(wǎng)時代的到來,使得個人信息保護需求更加強烈,而現(xiàn)有的保護系統(tǒng)卻更加脆弱。同時,各種與個人信息相關(guān)的新型犯罪屢屢出乎人們的預(yù)料,現(xiàn)有立法與犯罪的現(xiàn)狀和發(fā)展趨勢存在著較大的差距。

1.積極回應(yīng)保護個人信息刑法保護訴求

由于中國公民對個人信息保護的意識不斷提升,需要國家出臺相關(guān)法律保護個人信息安全的需求也逐漸增強,特別是對利用刑罰手段打擊嚴重侵害個人信息行為的呼聲越來越高。在刑法上對公民個人信息給予保護是對個人信息包含的公民權(quán)利最高規(guī)格的尊重,反映了以人為本的法治理念,具有時代進步意義。然而,刑法在任何時候都只能是法律救濟最后的屏障,如果試圖僅僅依靠刑法中為數(shù)不多的法律條文對公民個人信息進行保護,那必然是顧此失彼、因小失大。我們要繼續(xù)增強大眾的個人信息保護意識,制定相關(guān)法律法規(guī)保障個人信息安全的同時,發(fā)動社會力量織就信息保護網(wǎng)絡(luò),鞏固刑法保護的底線,做到對個人信息犯罪行為嚴厲打擊的同時,適當(dāng)對個人信息安全受到侵害的個體進行救濟。只有雙管齊下,才能在保障個人信息安全的道路上穩(wěn)步向前,最終取得滿意效果。

2.強化個人信息刑法保護的意識

其實,樹立個人信息維護的意識才是最重要的,我們應(yīng)當(dāng)改變傳統(tǒng)的安全觀念和認知,提高我們自身的信息保護意識。歐盟等國已發(fā)布《提高信息安全意識》公告,要求歐盟各國政府宣傳和提高其公民對于個人信息保護的意識和認知。中國也應(yīng)當(dāng)加強對于個人信息維護的宣傳教育,展開基層普法工作,讓公民樹立自覺維護信息安全的意識。

3.調(diào)和個人信息保護與公共利益需求矛盾

要處理好個人信息保護與公共信息公開的關(guān)系。政府在實施公共管理過程中收集的數(shù)據(jù)屬于公共數(shù)據(jù),但敏感個人信息(隱私)不應(yīng)當(dāng)屬于公開范圍,除非不公開會影響重大公共利益。此外,公共信息中包含一般個人信息的,應(yīng)當(dāng)采取匿名化、模糊化技術(shù)手段。隨著中國反腐敗力度不斷加大,網(wǎng)絡(luò)反腐已經(jīng)成為一種響應(yīng)迅速、影響全面的輿論監(jiān)督模式。然而,這種代表了一定公共利益需求的反腐方式,在很多時候是以侵犯個人信息為基礎(chǔ)的,這對個人信息保護法律制度,尤其是刑法保護提出了挑戰(zhàn)。輿論監(jiān)督反映了公民對于公共利益的關(guān)注,需要在法律法規(guī)的保障下順利進行。因此,在網(wǎng)絡(luò)監(jiān)督中,對個人隱私的披露只能針對享有公權(quán)力并行使公權(quán)力的人。當(dāng)然,作為行使公權(quán)力的人,也理應(yīng)放棄部分隱私權(quán)。但放棄的限度不可能沒有底線,對于那些與腐敗行為或腐敗行為實施者無關(guān)聯(lián)的行使公權(quán)力人的信息,勢必要進行法律保護。所以,法律中關(guān)于公權(quán)力行使者個人信息暴露的尺度,需要進一步明確,從而能更好地保障網(wǎng)絡(luò)言論自由,減少不必要的來自于公共利益及個人信息安全的矛盾。