馬改然

摘? ?要：大數(shù)據(jù)時(shí)代個(gè)人信息法律保護(hù)至關(guān)重要。通過對(duì)我國個(gè)人信息在刑法上的保護(hù)進(jìn)行分析，發(fā)現(xiàn)其面臨著諸多困境。為了更好地保護(hù)個(gè)人信息，刑法上宜增設(shè)非法傳輸、使用公民個(gè)人信息罪，同時(shí)宜采取舉證責(zé)任倒置及公自訴相結(jié)合的形式，并且應(yīng)增設(shè)資格刑。

關(guān)鍵詞：大數(shù)據(jù);個(gè)人信息;刑法保護(hù);出路

中圖分類號(hào)： D914? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： The legal protection of personal information is vitally important in the era of big data. Through the analysis of the protection of personal information in criminal law in China， it is found to face many difficulties. In order to better protect personal information， the crime of illegal transmission and use of citizens' personal information should be added， and the form of shifting burden of proof and the combination of public prosecution and private prosecution should be adopted， and the qualification penalty should be added in the criminal law.

Key words： the big data; personal information; criminal legal protection; solution

1 引言

侵犯公民個(gè)人信息的行為由來已久，但由于其在農(nóng)業(yè)社會(huì)和工業(yè)社會(huì)不具有普遍性，故并沒有引起人們重視。直到大數(shù)據(jù)時(shí)代，個(gè)人信息重要性驟然凸顯，可以與工業(yè)時(shí)代的石油相媲美，相應(yīng)的對(duì)其侵犯也日益增多。為了保護(hù)公民個(gè)人信息，在民法、行政法這些前置法還沒有反應(yīng)時(shí)，作為保障法的刑法不顧其謙抑性而身先士卒。在2009年《刑法修正案七》中規(guī)定了侵犯公民個(gè)人信息的相關(guān)罪名，預(yù)期能有效遏制侵犯公民個(gè)人信息的行為。但“刑法不是萬能的”，不僅沒有有效地遏制侵犯公民個(gè)人信息犯罪，反而愈演愈烈。

鑒于此種情況，2015年《刑法修正案九》修改相關(guān)法條，制定了“侵犯公民個(gè)人信息罪”，并加大了懲罰力度。2017年6月兩高頒布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡(jiǎn)稱《個(gè)人信息解釋》）進(jìn)一步細(xì)化了條文，實(shí)質(zhì)上使得法網(wǎng)更為嚴(yán)密，懲罰力度再次加大。如此一來侵犯公民個(gè)人信息犯罪愈演愈烈的趨勢(shì)是否得到遏制了，答案是否定的。

從官方數(shù)據(jù)來看，2016年全國公安機(jī)關(guān)偵破侵犯公民個(gè)人信息案件1886起，抓獲犯罪嫌疑人4261名[1];而2017年全國公安機(jī)關(guān)偵破侵犯公民個(gè)人信息案件4911起，抓獲犯罪嫌疑人15463名[2]。一年內(nèi)案件增長(zhǎng)了2.6倍而犯罪嫌疑人增長(zhǎng)了3.6倍，同時(shí)2018年全國檢察機(jī)關(guān)起訴侵犯公民個(gè)人信息犯罪5271人，同比上升20.2%[3];這就意味著，“互聯(lián)網(wǎng)時(shí)代，個(gè)人信息隨著可能被泄露?！?/p>

面對(duì)這種境況，就需要人們不得不反思，一味地加大處罰為什么效果不佳甚至?xí)鸱醋饔?。是立法原則導(dǎo)向有誤，還是具體法條規(guī)定沒有切中要害，又或者法律的一廂情愿只是自娛自樂。 為了解決這一問題，本文首先探究了個(gè)人信息刑法保護(hù)的困境為何，進(jìn)而提出破解困境的出路。

2 個(gè)人信息刑法保護(hù)的困境

雖然早在2009年個(gè)人信息就在刑法上得到了保護(hù)，而后在2015為了加大保護(hù)力度，又對(duì)相關(guān)條款進(jìn)行了修改，但有效的保護(hù)個(gè)人信息立法目的仍然沒有實(shí)現(xiàn)，究其原因體現(xiàn)在三個(gè)方面。

2.1 無法有力遏制竊取公民個(gè)人信息行為

雖然刑法規(guī)定了竊取公民個(gè)人信息屬于犯罪，并且為了加大懲罰力度，2015年《刑法修正案九》還對(duì)該條款進(jìn)行了修改，把條款中的“情節(jié)嚴(yán)重”刪除，使其由情節(jié)犯變?yōu)槌橄笪ｋU(xiǎn)犯，處罰范圍極度擴(kuò)張。但由于該類案件隱蔽性、技術(shù)性較強(qiáng)，故而偵查難度較大，并且傳統(tǒng)的舉證責(zé)任方式也加大了偵查難度，所以該類案件犯罪黑數(shù)很高。但該類案件危害性卻特別大，由于這類犯罪是個(gè)人信息犯罪的源頭，其他出售、提供、購買、收受、交換等行為，都有賴于它給提供新的個(gè)人信息。也就是說，一次竊取所泄露的公民個(gè)人信息，通過不斷的買賣、交換等行為，可能會(huì)引發(fā)成千上萬件案件的發(fā)生。

2.2 非法收集行為沒有受到實(shí)際的規(guī)制

雖然《個(gè)人信息解釋》第4條明確規(guī)定“收集公民個(gè)人信息的”屬于“其他非法獲取行為”。但就本文收集的案例中，幾乎沒有一例因收集公民個(gè)人信息而獲罪。這并不是說司法實(shí)踐中沒有非法收集公民個(gè)人信息的行為，恰恰相反，在司法實(shí)踐中幾乎所有的互聯(lián)網(wǎng)企業(yè)都在收集公民個(gè)人信息。雖然有些企業(yè)明示了“隱私條款”，但要求用戶同意獲取個(gè)人信息的條款隱藏在眾多的條款中，往往看不到，或者即使看到，這也是霸王條款，用戶要想獲得服務(wù)，不得不同意對(duì)方收集其個(gè)人信息。如果說這些因獲得用戶同意不構(gòu)成非法收集，那么那些沒有明示隱私條款的應(yīng)該就屬于非法收集，但這些企業(yè)沒有一個(gè)因此受到刑事追究。沒有收集，就沒有泄露。之所以有海量的個(gè)人信息進(jìn)入黑市，就是因?yàn)橛斜姸嗟钠髽I(yè)搜集了海量的個(gè)人信息。

2.3 對(duì)單位違反監(jiān)管職責(zé)沒有有效的刑罰條款

近些年來，泄露公民個(gè)人信息的報(bào)道此起彼伏，例如12306信息泄露、攜程信息泄露、網(wǎng)易郵箱信息泄露等，2018年又爆出華住集團(tuán)旗下包括漢庭、全季、美爵、桔子等酒店1.3億條身份信息、2.4億條開房記錄在暗網(wǎng)中銷售[4]。這些報(bào)道出來后，大部分企業(yè)要不保持沉默，要不聲稱是謠傳，即使事后被證明是真的，也沒有企業(yè)因此受到刑事處罰。雖然《刑法修正案九》新增了第286條拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，但該罪入罪門檻較高，它要求要有監(jiān)管部門的前置程序，要求改正仍不改正造成嚴(yán)重后果的才構(gòu)成犯罪。

根據(jù)前述，我國目前統(tǒng)一的監(jiān)管部門不存在，不同領(lǐng)域的主管部門的監(jiān)管職責(zé)，也不明確甚至沒有規(guī)定，導(dǎo)致事前很難做出責(zé)令改正的決定。沒有這個(gè)前置條件，單位即使沒有盡到管理義務(wù)而導(dǎo)致公民個(gè)人信息泄露也不構(gòu)成該罪。

所以，導(dǎo)致眾多單位尤其是規(guī)模以上的單位有恃無恐，進(jìn)而也沒有外部壓力要求其采取有力措施保護(hù)其持有的公民個(gè)人信息，例如2017年全國人大常委會(huì)開展網(wǎng)絡(luò)安全執(zhí)法檢查后所做的執(zhí)法報(bào)告中提到，有的互聯(lián)網(wǎng)公司和公共服務(wù)部門存儲(chǔ)了大量個(gè)人信息，但安防技術(shù)嚴(yán)重滯后，容易被不法分子竊取[5]。故很多單位被黑客采取撞庫、拖庫等攻擊手段竊取海量公民個(gè)人信息從而流入黑市。

3 個(gè)人信息刑法保護(hù)之出路

作為法律甚或國家的最后一道防線，刑法本應(yīng)處于謙隱的地位，但在個(gè)人信息保護(hù)方面卻反其道而行之，在很長(zhǎng)一段時(shí)間內(nèi)扮演了急先鋒的角色。在許多民眾都還不知“個(gè)人信息”為何物的時(shí)候，在民法、行政法對(duì)其還處于討論階段時(shí)，刑法就規(guī)定了個(gè)人信息犯罪。在大多民眾遭受個(gè)人信息犯罪侵?jǐn)_，進(jìn)而導(dǎo)致財(cái)產(chǎn)損失或付出生命代價(jià)的時(shí)候，為了安撫民眾的憤怒情緒，刑法再次對(duì)個(gè)人信息犯罪做了重大修改，擴(kuò)大犯罪圈，加大懲罰力度。但一切的努力換來的卻是犯罪率持續(xù)走高，預(yù)防犯罪的目的終成鏡花水月，立法的實(shí)效毫無體現(xiàn)。其原因何在，是象征性立法，又或者法益的確立出現(xiàn)偏差，危害行為類型有遺漏，還是刑事責(zé)任無力，本文認(rèn)為這些因素都存在。

3.1 法益的確立

在大數(shù)據(jù)時(shí)代，由于個(gè)人信息性質(zhì)的新穎性以及法律屬性的復(fù)雜性，個(gè)人信息犯罪的法益，截止到目前為止，仍然是謎一樣的存在，吸引著諸多學(xué)者對(duì)其進(jìn)行探討。早期，個(gè)人信息犯罪的法益多是從人格權(quán)角度來論證，例如隱私權(quán)說，認(rèn)為個(gè)人信息犯罪的法益是公民的隱私權(quán)[6];而后隨著個(gè)人信息權(quán)在不同部門法的興起，有學(xué)者認(rèn)為個(gè)人信息權(quán)[7]或信息專有權(quán)[8]是個(gè)人信息犯罪的法益;同時(shí)，鑒于個(gè)人信息的個(gè)體性和公共性，有學(xué)者認(rèn)為個(gè)人信息犯罪的法益是公共信息安全[9]。

當(dāng)前，隱私權(quán)說呈沒落的趨勢(shì)，而個(gè)人信息權(quán)和公共信息安全尤其是公共信息安全支持者在上升?？紤]個(gè)人信息犯罪的法益，不能忽略時(shí)代背景。在大數(shù)據(jù)時(shí)代，人們已經(jīng)身處信息社會(huì)，作為信息社會(huì)的首要要素—個(gè)人信息，對(duì)其既要保護(hù)也要利用，所以個(gè)人信息保護(hù)和利用的平衡是一個(gè)理想的狀態(tài)。而單一的個(gè)人信息權(quán)對(duì)個(gè)人信息保護(hù)有余而利用不足，而公共信息安全則對(duì)個(gè)人信息保護(hù)不足而利用有余，故可以對(duì)個(gè)人信息進(jìn)行分類后根據(jù)不同類型的個(gè)人信息采取不同的法益。具體思路是把個(gè)人信息分為一般個(gè)人信息和敏感個(gè)人信息。一般個(gè)人信息側(cè)重于利用，而敏感個(gè)人信息側(cè)重于保護(hù)。

3.2 個(gè)人信息犯罪行為類型的規(guī)制

當(dāng)前，雖然有《刑法修正案九》和《個(gè)人信息解釋》對(duì)侵犯?jìng)€(gè)人信息權(quán)行為的規(guī)制，但是《刑法修正案九》及相關(guān)司法解釋針對(duì)個(gè)人信息犯罪的行為類型規(guī)制有缺陷，包括規(guī)制行為類型有遺漏、已規(guī)定的行為類型無法發(fā)揮實(shí)效。所以，應(yīng)在上述法益理念的支配下，對(duì)個(gè)人信息犯罪的行為類型進(jìn)行全面、有效的規(guī)制。

3.2.1 收集環(huán)節(jié)

此環(huán)節(jié)分為合法收集和非法收集，合法收集自然不會(huì)進(jìn)入刑法視野。根據(jù)刑法規(guī)定，“竊取或者以其他方法非法獲取公民個(gè)人信息的”都屬于非法收集。竊取個(gè)人信息毫無疑問屬于非法收集，關(guān)鍵是“以其他方法非法獲取”中的“其他方法”如何解釋。根據(jù)《個(gè)人信息解釋》第4條的規(guī)定，違犯國家有關(guān)規(guī)定，購買、收受、交換和收集都屬于“其他方法”。本文并不贊同這種解釋。因?yàn)槭紫仍摻忉屵`反了體系解釋，根據(jù)體系解釋，“其他方法”應(yīng)該與“竊取”具有相當(dāng)性，但 “購買、收受、交換、收集”等這些中性詞，顯然無法與竊取相提并論;其次，由于沒有前置法，雖然該解釋有“違反國家有關(guān)規(guī)定”的限制，但是在司法實(shí)踐中，只要沒有信息主體的明示同意，“購買、收受”等行為都被認(rèn)定為犯罪，這明顯地阻礙了個(gè)人信息的利用，進(jìn)而影響信息社會(huì)的發(fā)展。

故本文建議，針對(duì)一般個(gè)人信息，在免費(fèi)模式下，即使沒有信息主體的同意，也應(yīng)該允許“購買、收受、交換和收集”，上述行為不構(gòu)成犯罪;而針對(duì)敏感信息，則必須在信息主體明示同意的情況下才可以收集，否則即使是中性行為也構(gòu)成犯罪。

3.2.2 處理環(huán)節(jié)

在此環(huán)節(jié)，我國對(duì)侵犯?jìng)€(gè)人信息的行為類型有遺漏。第一，針對(duì)個(gè)人信息，收集都應(yīng)有特定的目的，如果在收集后進(jìn)行超目的的使用，則應(yīng)需對(duì)其進(jìn)行刑事規(guī)制;第二，對(duì)于收集的個(gè)人信息，信息持有的個(gè)人或單位負(fù)有保障信息正確、安全的義務(wù)，如果沒有采取審慎的措施，導(dǎo)致個(gè)人信息被扭曲或泄露，應(yīng)負(fù)擔(dān)刑事責(zé)任，尤其是面對(duì)目前愈演愈烈的個(gè)人信息泄露事件。由于拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪有行政前置程序，導(dǎo)致事實(shí)上根本無法發(fā)揮實(shí)效，故應(yīng)規(guī)定過失泄露個(gè)人信息這一行為類型來懲治信息保有單位或個(gè)人。

3.2.3 交易環(huán)節(jié)

在此環(huán)節(jié)，我國刑法規(guī)定了非法交易的行為類型，即禁止違反國家有關(guān)規(guī)定，出售或提供公民個(gè)人信息。其實(shí)，《個(gè)人信息解釋》中對(duì)“其他方法”解釋為“購買、收受、交換”這三種行為，也可以理解為“交易”。本文在此持同意的觀點(diǎn)，即不能一刀切地禁止交易。針對(duì)一般個(gè)人信息，在免費(fèi)模式下，即使沒有信息主體的授權(quán)也可以進(jìn)行交易，而針對(duì)敏感個(gè)人信息，則必須取得信息主體的明確授權(quán)才可以交易。在此環(huán)節(jié)，我國刑法還遺漏了一行為類型，即跨國傳輸個(gè)人信息。個(gè)人信息除了與個(gè)人利益有關(guān)外，還直接影響到國家的信息安全，故針對(duì)個(gè)人信息如果沒有相關(guān)部門的審批不得跨國傳輸，否則會(huì)損害國家利益。

3.2.4 應(yīng)用環(huán)節(jié)

在此環(huán)節(jié)，個(gè)人信息被非法使用是否應(yīng)受刑事處罰，目前有兩種截然相反的觀點(diǎn)。有學(xué)者認(rèn)為，鑒于使用行為的危害性應(yīng)將其入罪[10];有學(xué)者認(rèn)為，侵犯公民個(gè)人信息罪其實(shí)采取的是“外圍規(guī)制”，故沒有必要將使用行為入罪[11]。本文認(rèn)為個(gè)人信息必定和賣淫、毒品不同，采取外圍規(guī)制無法有效規(guī)制侵犯?jìng)€(gè)人信息，故應(yīng)增設(shè)非法使用公民個(gè)人信息罪這一行為類型。