我国个人信息保护的现状与前景
关键词 个人信息 自决权 保护
基金项目:本文系2017年烟台大学大学生科技创新基金立项研究成果。
作者简介:张瑞康,烟台大学法学院硕士研究生,研究方向:刑法学。
中图分类号:D923.8 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.03.099
“互联网+”给我们的生活带来了翻天覆地的变化:电话打得少了,聊天用网络;现金用得少了,付款用手机;以前要逛街购物,现在只需要在网上动动手指,心仪的商品随即快递到家。我们在享受信息技术带来的便捷的同时,也无时无刻不在承受着个人信息遭到泄露的风险。在使用支付类软件时,我们需要验证手机号码、绑定银行卡号,购物类软件上还需要设置收获地址、收货人姓名。上述信息一旦落入不法之徒手中,轻则遭遇电话轰炸、短信骚扰,重则遭受财产损失、甚至人身伤害。
云计算、大数据、移动支付已经成为中国信息产业蓬勃发展的代名词,但信息安全也面临日趋严峻的考验。面对肆意出售、窃取个人信息的现象,刑法与民法纷纷作出回应、联手打击。尤其是刑法的修正,降低了入罪门槛、加大了处罚力度,无异于对侵犯个人信息行为的当头棒喝。但在该罪的具体适用上,仍然存在争议问题需要继续研究。虽然我国加大了对侵犯公民个人信息犯罪的打击力度,但在立法层面还有继续完善的空间。一、立法概况
我国对于公民个人信息的保护起步较晚,且尚未制定专门的个人信息保护法,导致在该领域的法律规范较为分散。
(一) 刑事制裁
2005年通过的《刑法修正案(五)》增加了窃取、收买、非法提供信用卡信息罪,标志着刑法开始关注个人信息被不当获取、不当使用的行为。2009年通过的《刑法修正案(七)》增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。其中,出售、非法提供公民个人信息罪的犯罪主体只限于国家机关及金融、交通、教育、医疗等单位及其工作人员。刑法具有滞后性,其通常只会在某种行为对于刑法所保护的法益造成较为严重的损害时才将其纳入刑事制裁的范围。在2009年,信息技术还不如今日那般发达,网络化进程也不如今日那般深入,公民个人信息被泄露的案件大多发生于具有特定管理职能的单位或组织,因而立法者对于普通人侵犯公民个人信息的危害性估计不足,导致未利用职务便利出售、提供个人信息的行为难以得到惩处。近年来,“互联网+”的发展模式已波及各行各业、渗透千家万户,个人信息的使用频率飙升,愈发体现出信息资源的价值,随之而来的侵犯公民个人信息的案件数量也呈井喷之势。面对这一危机,2015年通过的《刑法修正案(九)》再次将侵犯个人信息犯罪纳入修改范围。首先,将“向他人出售或提供公民个人信息”的犯罪主体扩大为一般主体,“在履行职责或提供服务过程中”由入罪情节修改为从重处罚情节;其次,降低提供行为的入罪门槛,向他人提供公民个人信息构成犯罪的,不再以“非法”为前提;该罪的法定刑也有了明显提升,情节特别严重时最高可判处七年有期徒刑。此外,将原先的两个罪名合并为一个罪名,即“侵犯公民个人信息罪”。
2017年6月1日,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》生效实施,对该罪在司法适用中可能出现的问题作了细化规定,也使得长期以来存在较大争议的问题得到了解决。例如,对于个人信息的范围,该解释明确了要包括“自然人的行踪轨迹”,即能够反映特定自然人活动情况的信息也属于该罪所保护的对象;对于删除“非法”要件后“提供”行为的认定,该解释明确“通过信息网络发布”、“未经同意将合法收集的个人信息向他人提供”都属于“提供”的形式。
此外,对于备受关注的“情节严重”、“情节特别严重”的判断标准,该解释也以列举的方式予以明确。
(二) 民事救济、行政处罚
我国在个人信息的保护上呈现出刑事立法先行,民事、行政保护滞后的特征,《民法通则》、《治安管理处罚法》中都没有关于个人信息保护的规定。在前置性法律缺失的情况下将侵犯个人信息的行为入罪,难免让人质疑与刑法的谦抑性要求不符。2017年3月,《民法总则》的通过弥补了这一立法缺陷。 有了民法总则作为支撑,刑法中侵犯公民个人信息罪便显得不再那么苍白,对于情节轻微、尚未达到刑事立案标准的案件,当事人在寻求民事救济时也更加理直气壮。
在行政法层面,《治安管理处罚法》也启动了修订程序,在2017年1月官方公布的征求意见稿中增加了对于侵犯个人信息行为的处罚条款。
可以预见的是,在新的《治安管理处罚法》生效实施后,我国会形成民事救济、行政处罚、刑事制裁相互衔接、共同保护公民个人信息的立法格局。二、侵犯公民个人信息罪的若干争议问题
虽然“两高”的解释已经为该罪名的适用提供了標杆,但面对瞬息万变的社会发展,仍然有些问题值得我们继续探讨。
(一) 对非法获取个人信息的理解
刑法对于非法获取公民个人信息行为方式的表述是“窃取或以其他方法非法获取”,如何界定“其他方法”在学界是有争议的。有观点认为,既然刑法将“窃取”与“其他方法”并列表述,而“窃取”本身即具有非法性,那么“其他方法”也应当具有非法性,如欺骗、胁迫等违反法律禁止性规定的手段。 笔者认为,只要行为人没有获取他人信息的合法依据或资格,即属于“非法获取”。每个人都应当享有信息自决权,即自己决定哪些信息可以向他人提供、可以被用于何处。获取他人信息的“非法”,并非在于获取行为本身,而是行为人既未征得信息主体的同意,也未取得法律法规的授权,擅自获取他人的个人信息、侵犯了他人的信息自决权。因此,购买、赠予等也可能成为非法获取公民个人信息的“其他方法”。
(二)牵连犯
行为人非法获取公民个人信息、构成犯罪后,又利用这些信息实施其他犯罪的,是否应当数罪并罚?这涉及我国刑法理论中对于牵连犯的处罚问题。所谓牵连犯,是指出于一个犯罪目的,实施数个犯罪行为,数个犯罪行为之间存在牵连关系(如手段行为与目的行为或原因行为与结果行为),分别触犯数个罪名的犯罪。 在侵犯公民个人信息类犯罪中,行为人获取个人信息的目的往往是实施其他不法行为,例如电信诈骗、敲诈勒索等,其前后行为之间具有手段行为与目的行为的牵连关系。我国刑法理论的通说认为,牵连犯属于处断的一罪,应当从一重罪处罚。但是,通说的观点受到了越来越多的质疑和抨击,将牵连犯按照数罪处罚作为一般性原则的呼声此起彼伏,我国台湾地区就删除了对牵连犯从一重罪处断的规定。在具体罪名中,大陆地区刑法对牵连犯的处罚规定不一,有的是数罪并罚 ,有的是从一重罪处罚 ,还有个别条文是从一重罪从重处罚 。
笔者认为,对于刑法分则没有明确规定如何处罚的牵连犯,应当数罪并罚。行为人实施的数个危害行为虽然具有牵连性,但分别符合特定犯罪的构成要件,牵连关系并未改变其行为符合数个犯罪构成的实质特征,因而已经触犯了不同罪名,承担数罪的刑事责任也是理所应当的。而且,牵连犯的社会危害性通常重于单纯的一罪,如果按照一罪处罚,再重也不能超出两罪中较重罪名的法定刑;而一旦数罪并罚,决定执行的刑期必然会高于单独一罪的量刑,因而从一重罪处断会导致对牵连犯的处罚偏轻、罪刑失衡。事实上,在严厉打击侵犯公民个人信息犯罪的刑事政策下,司法实践中对于非法获取个人信息后又实施电信诈骗等犯罪的,数罪并罚的判决居多,例如“徐玉玉案”。在最高检发布的典型案例“章某某等诈骗、侵犯公民个人信息案”中,法院对被告人也是按照数罪并罚处理的。
(三)过失泄露个人信息是否入罪
刑法中的侵犯公民个人信息罪,其行为方式为出售、提供及非法获取,行为人的主观方面都是故意。而负有信息监管、维护职责的国家工作人员或信息从业人员,由于工作原因掌握着大量的个人信息,如果因为自身严重不负责任造成个人信息大范围泄露,其社会危害丝毫不亚于向他人提供个人信息的行为。但是行为人的主观方面只是过失,因而在造成严重后果时才有必要定罪处罚,而且法定刑也应低于相应的故意犯罪。前不久,在鹿晗与关晓彤的恋情公开后,网上很快散布出关晓彤的个人户籍资料。虽然其真实性还有待认证,但也提醒户籍部门要加强对公民户籍资料的监管。我国台湾地区的“个人资料保护法”中有“个人资料保全”之规定,即负责保管个人资料的机构应安排专人办理安全维护事项,防止个人资料被窃取、篡改。 为了确保存储中的个人信息不会轻易遭到泄露,笔者建议在《刑法》第二百五十三条之一中增加一款:具有信息监管、维护职责的工作人员由于自身的重大过失,导致所管理的个人信息被他人窃取、造成严重后果的,处拘役。三、我国个人信息保护法的立法前景
(一) 国际立法经验
由于个人信息的处理方式向数字化转变,世界在享受信息数字化便利的同时,也面临着其带来的风险。近半个世纪以来,各国陆续开始通过立法的形式规制信息资源的流通与使用。纵观各国的立法情况,对于个人信息的保护存在分散立法与专门立法两种模式,分别以美国和欧盟为代表。
1.分散立法
美国没有统一的个人信息保护法,而是根据行业特征分别立法。美国在颁布了针对政府机构的信息法案后,又发现某些商业部门也在经常性地使用和处理个人信息,因而又将信息法案的保护范围扩展至商业机构。 分散立法考虑到了不同主体在信息收集和利用方面的差异,保护手段更有针对性,体现了经营者自律的精神。但其缺点也很明显,繁杂的法律规范导致个人信息保护缺乏统一标准、甚至相互冲突,增加了司法成本不说,对立法技术的要求也极为苛刻。
2.专门立法
1970年德国的《黑森州数据法》开创了专门针对个人信息立法的先河;1973年的《瑞典数据法》是世界上第一部全国性的个人信息保护法。 1995年,欧盟通过了《个人数据保护指令》,将公共管理部门和市场经济主体一并纳入法律调控范围。专门立法能够为个人信息提供系统、完整的保护,避免了分散立法标准不一、执行无序的缺陷,侧重于国家层面对个人信息保护的宏观调控。
(二) 制定专门的个人信息保护法是大势所趋
我国刑法中出售或提供公民个人信息行为的入罪前提是“违反国家有关规定”,但当前该领域的立法进程与社会发展并不匹配。虽然社科院的课题组曾受国务院的委托起草了专家建议稿,但迄今为止我国仍然没有关于个人信息保护的专门性法律规范出台。纵使刑法分则和民法总则中都规定了个人信息的保护条款,近些年也陆续颁布了一些专门性的行政法规、部门规章,但不同的法律规范难以形成有机统一的整体,个别条款之间甚至相互冲突,造成了司法适用中的混乱。 因此,制定专门的《个人信息保护法》,整合我国在个人信息保护方面取得的立法成果,提高个人信息保护在我国立法体系中的地位,能够保障我国信息资源的有序流通,推动我国信息产业的健康发展,对于提升我国在相关领域的治理水平也具有重要意义。
(三)个人信息保护法应当立足于私权保护
我国的个人信息保护法之所以“难产”,很大程度上是因为学界对于该部法律的基本定位仍然存在较大分歧。行政法学者认为,公民的信息权是一项宪法权利,而非民事权利。个人信息保护制度是有关个人信息处理者的管理法,是通过法律手段督促有资质的个人信息处理者合法且妥当地处理个人信息。 而民法学者则认为,应当从私权的角度对个人信息加以保护。个人信息权属于民事权益中人格权的范畴,只有对个人信息提供充分的私权保护,才能从根本上满足公共利益的需要。 笔者认为,个人是自身利益的最佳維护者,个人应当享有对自身信息的控制权、即信息自决权,有权选择是否向信息收集者提供个人信息、提供哪些信息。所谓个人信息保护法,其主要调整由于个人信息的收集与使用而产生的权利义务关系,而信息自决权体现的是人格权益,因而立足于私权保护更为妥当。当然,由于个人信息具有社会性与公共性,行政管理中也经常涉及对公民信息的处理与使用,因而政府部门不能游离于个人信息保护法的调整范围之外,也应受其约束。在这方面,我国台湾地区的“个人资料保护法”或许值得借鉴。
台湾地区的“个人资料保护法”属于行政法类规范,分为总则、公务机关对个人资料之收集、处理及应用、非公务机关对个人资料之收集、处理及利用、损害赔偿及诉讼管辖、罚则等章节,虽然只有56条,却同时涵盖实体法与程序法之内容,可谓麻雀虽小、五脏俱全。总则部分阐述了立法目的,解释了相关术语的法律定义,规定了个人资料收集者要告知当事人收集目的及利用之期间、地点、对象、方式,并通过列举的方式明确了不得收集、处理或利用的个人资料。在收集、利用个人资料时,除了法定必要范围及公共利益需要,还多次出现“经当事人同意”、“对当事人权益无侵害或有利于当事人权益”之表述,也印证了立法目的中“避免人格权受侵害”之规定。虽然属于行政法类规范,但该法第四章规定了当事人的损害赔偿请求权及诉讼管辖,第五章规定了侵害个人资料所承担的刑事责任,这也使得台湾地区的“个人资料保护法”具备较强的操作性与威慑力。虽然台湾地区在立法模式上与大陆地区有显著区别,但该法中的某些条款还是具有参考价值。例如,该法第7条规定“收集者就本法所称经当事人同意之事实,应负举证责任”,以保护当事人的信息自决权;再如,该法第45条规定“本章之罪,须告诉乃论”,即侵犯个人资料的犯罪以自诉为原则,当事人有权决定是否寻求司法救济,这也体现了个人资料的私权属性。
四、结语
近日,笔者在登录某购物软件时,弹出一个对话框,内容大体是:本软件会严格保密所收集到的用户个人信息,若需要向第三方提供,会事先征求用戶的同意。这表明经营者也已经意识到潜在的法律风险,试图通过技术手段拧紧信息安全的保险阀。随着《刑法修正案(九)》与《民法总则》的生效实施,我国将个人信息的保护提升至前所未有的高度。然而,诸如“江歌妈妈”为讨公道在网上公开刘鑫的个人信息,以及长沙辅警处置伤人金毛犬遭网友“人肉”等事件的发生,反映出当前公民对个人信息的保护意识还有待加强,我国在个人信息的保护上也有很长的路要走。如何平衡个人信息保护与信息资源利用的关系,是今后立法与司法中需要继续思考并妥善解决的问题。
注释:
《民法总则》第111条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
赵秉志.公民个人信息刑法保护问题研究.华东政法大学学报.2014(1).124.
王作富.刑法(第五版).中国人民大学出版社.2011.151.
例如第120条:组织、领导、参加恐怖组织,又实施杀人、爆炸、绑架等犯罪的。
例如第399条:徇私枉法,又有索贿、受贿行为的。
例如第253条:私自开拆邮件,又从中窃取财物的。
检察日报.2017年5月17日,第2版.
台湾地区“个人资料保护法”第18条.
齐爱民.拯救信息社会中的人格:个人信息保护法总论.北京大学出版社.2009.182-183.
张新宝.从隐私到个人信息:利益再衡量的理论与制度安排.中国法学.2015(3).43.
杨震、徐雷.大数据时代我国个人信息保护立法研究.南京邮电大学学报(自然科学版).2016,36(2).6.
周汉华.个人信息保护法(专家建议稿)及立法研究报告.法律出版社.2006.65.
王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013,35(4).70.
参考文献:
[1]陈聪富.月旦小六法.台北:元照出版公司.2016.
基金项目:本文系2017年烟台大学大学生科技创新基金立项研究成果。
作者简介:张瑞康,烟台大学法学院硕士研究生,研究方向:刑法学。
中图分类号:D923.8 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.03.099
“互联网+”给我们的生活带来了翻天覆地的变化:电话打得少了,聊天用网络;现金用得少了,付款用手机;以前要逛街购物,现在只需要在网上动动手指,心仪的商品随即快递到家。我们在享受信息技术带来的便捷的同时,也无时无刻不在承受着个人信息遭到泄露的风险。在使用支付类软件时,我们需要验证手机号码、绑定银行卡号,购物类软件上还需要设置收获地址、收货人姓名。上述信息一旦落入不法之徒手中,轻则遭遇电话轰炸、短信骚扰,重则遭受财产损失、甚至人身伤害。
云计算、大数据、移动支付已经成为中国信息产业蓬勃发展的代名词,但信息安全也面临日趋严峻的考验。面对肆意出售、窃取个人信息的现象,刑法与民法纷纷作出回应、联手打击。尤其是刑法的修正,降低了入罪门槛、加大了处罚力度,无异于对侵犯个人信息行为的当头棒喝。但在该罪的具体适用上,仍然存在争议问题需要继续研究。虽然我国加大了对侵犯公民个人信息犯罪的打击力度,但在立法层面还有继续完善的空间。一、立法概况
我国对于公民个人信息的保护起步较晚,且尚未制定专门的个人信息保护法,导致在该领域的法律规范较为分散。
(一) 刑事制裁
2005年通过的《刑法修正案(五)》增加了窃取、收买、非法提供信用卡信息罪,标志着刑法开始关注个人信息被不当获取、不当使用的行为。2009年通过的《刑法修正案(七)》增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。其中,出售、非法提供公民个人信息罪的犯罪主体只限于国家机关及金融、交通、教育、医疗等单位及其工作人员。刑法具有滞后性,其通常只会在某种行为对于刑法所保护的法益造成较为严重的损害时才将其纳入刑事制裁的范围。在2009年,信息技术还不如今日那般发达,网络化进程也不如今日那般深入,公民个人信息被泄露的案件大多发生于具有特定管理职能的单位或组织,因而立法者对于普通人侵犯公民个人信息的危害性估计不足,导致未利用职务便利出售、提供个人信息的行为难以得到惩处。近年来,“互联网+”的发展模式已波及各行各业、渗透千家万户,个人信息的使用频率飙升,愈发体现出信息资源的价值,随之而来的侵犯公民个人信息的案件数量也呈井喷之势。面对这一危机,2015年通过的《刑法修正案(九)》再次将侵犯个人信息犯罪纳入修改范围。首先,将“向他人出售或提供公民个人信息”的犯罪主体扩大为一般主体,“在履行职责或提供服务过程中”由入罪情节修改为从重处罚情节;其次,降低提供行为的入罪门槛,向他人提供公民个人信息构成犯罪的,不再以“非法”为前提;该罪的法定刑也有了明显提升,情节特别严重时最高可判处七年有期徒刑。此外,将原先的两个罪名合并为一个罪名,即“侵犯公民个人信息罪”。
2017年6月1日,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》生效实施,对该罪在司法适用中可能出现的问题作了细化规定,也使得长期以来存在较大争议的问题得到了解决。例如,对于个人信息的范围,该解释明确了要包括“自然人的行踪轨迹”,即能够反映特定自然人活动情况的信息也属于该罪所保护的对象;对于删除“非法”要件后“提供”行为的认定,该解释明确“通过信息网络发布”、“未经同意将合法收集的个人信息向他人提供”都属于“提供”的形式。
此外,对于备受关注的“情节严重”、“情节特别严重”的判断标准,该解释也以列举的方式予以明确。
(二) 民事救济、行政处罚
我国在个人信息的保护上呈现出刑事立法先行,民事、行政保护滞后的特征,《民法通则》、《治安管理处罚法》中都没有关于个人信息保护的规定。在前置性法律缺失的情况下将侵犯个人信息的行为入罪,难免让人质疑与刑法的谦抑性要求不符。2017年3月,《民法总则》的通过弥补了这一立法缺陷。 有了民法总则作为支撑,刑法中侵犯公民个人信息罪便显得不再那么苍白,对于情节轻微、尚未达到刑事立案标准的案件,当事人在寻求民事救济时也更加理直气壮。
在行政法层面,《治安管理处罚法》也启动了修订程序,在2017年1月官方公布的征求意见稿中增加了对于侵犯个人信息行为的处罚条款。
可以预见的是,在新的《治安管理处罚法》生效实施后,我国会形成民事救济、行政处罚、刑事制裁相互衔接、共同保护公民个人信息的立法格局。二、侵犯公民个人信息罪的若干争议问题
虽然“两高”的解释已经为该罪名的适用提供了標杆,但面对瞬息万变的社会发展,仍然有些问题值得我们继续探讨。
(一) 对非法获取个人信息的理解
刑法对于非法获取公民个人信息行为方式的表述是“窃取或以其他方法非法获取”,如何界定“其他方法”在学界是有争议的。有观点认为,既然刑法将“窃取”与“其他方法”并列表述,而“窃取”本身即具有非法性,那么“其他方法”也应当具有非法性,如欺骗、胁迫等违反法律禁止性规定的手段。 笔者认为,只要行为人没有获取他人信息的合法依据或资格,即属于“非法获取”。每个人都应当享有信息自决权,即自己决定哪些信息可以向他人提供、可以被用于何处。获取他人信息的“非法”,并非在于获取行为本身,而是行为人既未征得信息主体的同意,也未取得法律法规的授权,擅自获取他人的个人信息、侵犯了他人的信息自决权。因此,购买、赠予等也可能成为非法获取公民个人信息的“其他方法”。
(二)牵连犯
行为人非法获取公民个人信息、构成犯罪后,又利用这些信息实施其他犯罪的,是否应当数罪并罚?这涉及我国刑法理论中对于牵连犯的处罚问题。所谓牵连犯,是指出于一个犯罪目的,实施数个犯罪行为,数个犯罪行为之间存在牵连关系(如手段行为与目的行为或原因行为与结果行为),分别触犯数个罪名的犯罪。 在侵犯公民个人信息类犯罪中,行为人获取个人信息的目的往往是实施其他不法行为,例如电信诈骗、敲诈勒索等,其前后行为之间具有手段行为与目的行为的牵连关系。我国刑法理论的通说认为,牵连犯属于处断的一罪,应当从一重罪处罚。但是,通说的观点受到了越来越多的质疑和抨击,将牵连犯按照数罪处罚作为一般性原则的呼声此起彼伏,我国台湾地区就删除了对牵连犯从一重罪处断的规定。在具体罪名中,大陆地区刑法对牵连犯的处罚规定不一,有的是数罪并罚 ,有的是从一重罪处罚 ,还有个别条文是从一重罪从重处罚 。
笔者认为,对于刑法分则没有明确规定如何处罚的牵连犯,应当数罪并罚。行为人实施的数个危害行为虽然具有牵连性,但分别符合特定犯罪的构成要件,牵连关系并未改变其行为符合数个犯罪构成的实质特征,因而已经触犯了不同罪名,承担数罪的刑事责任也是理所应当的。而且,牵连犯的社会危害性通常重于单纯的一罪,如果按照一罪处罚,再重也不能超出两罪中较重罪名的法定刑;而一旦数罪并罚,决定执行的刑期必然会高于单独一罪的量刑,因而从一重罪处断会导致对牵连犯的处罚偏轻、罪刑失衡。事实上,在严厉打击侵犯公民个人信息犯罪的刑事政策下,司法实践中对于非法获取个人信息后又实施电信诈骗等犯罪的,数罪并罚的判决居多,例如“徐玉玉案”。在最高检发布的典型案例“章某某等诈骗、侵犯公民个人信息案”中,法院对被告人也是按照数罪并罚处理的。
(三)过失泄露个人信息是否入罪
刑法中的侵犯公民个人信息罪,其行为方式为出售、提供及非法获取,行为人的主观方面都是故意。而负有信息监管、维护职责的国家工作人员或信息从业人员,由于工作原因掌握着大量的个人信息,如果因为自身严重不负责任造成个人信息大范围泄露,其社会危害丝毫不亚于向他人提供个人信息的行为。但是行为人的主观方面只是过失,因而在造成严重后果时才有必要定罪处罚,而且法定刑也应低于相应的故意犯罪。前不久,在鹿晗与关晓彤的恋情公开后,网上很快散布出关晓彤的个人户籍资料。虽然其真实性还有待认证,但也提醒户籍部门要加强对公民户籍资料的监管。我国台湾地区的“个人资料保护法”中有“个人资料保全”之规定,即负责保管个人资料的机构应安排专人办理安全维护事项,防止个人资料被窃取、篡改。 为了确保存储中的个人信息不会轻易遭到泄露,笔者建议在《刑法》第二百五十三条之一中增加一款:具有信息监管、维护职责的工作人员由于自身的重大过失,导致所管理的个人信息被他人窃取、造成严重后果的,处拘役。三、我国个人信息保护法的立法前景
(一) 国际立法经验
由于个人信息的处理方式向数字化转变,世界在享受信息数字化便利的同时,也面临着其带来的风险。近半个世纪以来,各国陆续开始通过立法的形式规制信息资源的流通与使用。纵观各国的立法情况,对于个人信息的保护存在分散立法与专门立法两种模式,分别以美国和欧盟为代表。
1.分散立法
美国没有统一的个人信息保护法,而是根据行业特征分别立法。美国在颁布了针对政府机构的信息法案后,又发现某些商业部门也在经常性地使用和处理个人信息,因而又将信息法案的保护范围扩展至商业机构。 分散立法考虑到了不同主体在信息收集和利用方面的差异,保护手段更有针对性,体现了经营者自律的精神。但其缺点也很明显,繁杂的法律规范导致个人信息保护缺乏统一标准、甚至相互冲突,增加了司法成本不说,对立法技术的要求也极为苛刻。
2.专门立法
1970年德国的《黑森州数据法》开创了专门针对个人信息立法的先河;1973年的《瑞典数据法》是世界上第一部全国性的个人信息保护法。 1995年,欧盟通过了《个人数据保护指令》,将公共管理部门和市场经济主体一并纳入法律调控范围。专门立法能够为个人信息提供系统、完整的保护,避免了分散立法标准不一、执行无序的缺陷,侧重于国家层面对个人信息保护的宏观调控。
(二) 制定专门的个人信息保护法是大势所趋
我国刑法中出售或提供公民个人信息行为的入罪前提是“违反国家有关规定”,但当前该领域的立法进程与社会发展并不匹配。虽然社科院的课题组曾受国务院的委托起草了专家建议稿,但迄今为止我国仍然没有关于个人信息保护的专门性法律规范出台。纵使刑法分则和民法总则中都规定了个人信息的保护条款,近些年也陆续颁布了一些专门性的行政法规、部门规章,但不同的法律规范难以形成有机统一的整体,个别条款之间甚至相互冲突,造成了司法适用中的混乱。 因此,制定专门的《个人信息保护法》,整合我国在个人信息保护方面取得的立法成果,提高个人信息保护在我国立法体系中的地位,能够保障我国信息资源的有序流通,推动我国信息产业的健康发展,对于提升我国在相关领域的治理水平也具有重要意义。
(三)个人信息保护法应当立足于私权保护
我国的个人信息保护法之所以“难产”,很大程度上是因为学界对于该部法律的基本定位仍然存在较大分歧。行政法学者认为,公民的信息权是一项宪法权利,而非民事权利。个人信息保护制度是有关个人信息处理者的管理法,是通过法律手段督促有资质的个人信息处理者合法且妥当地处理个人信息。 而民法学者则认为,应当从私权的角度对个人信息加以保护。个人信息权属于民事权益中人格权的范畴,只有对个人信息提供充分的私权保护,才能从根本上满足公共利益的需要。 笔者认为,个人是自身利益的最佳維护者,个人应当享有对自身信息的控制权、即信息自决权,有权选择是否向信息收集者提供个人信息、提供哪些信息。所谓个人信息保护法,其主要调整由于个人信息的收集与使用而产生的权利义务关系,而信息自决权体现的是人格权益,因而立足于私权保护更为妥当。当然,由于个人信息具有社会性与公共性,行政管理中也经常涉及对公民信息的处理与使用,因而政府部门不能游离于个人信息保护法的调整范围之外,也应受其约束。在这方面,我国台湾地区的“个人资料保护法”或许值得借鉴。
台湾地区的“个人资料保护法”属于行政法类规范,分为总则、公务机关对个人资料之收集、处理及应用、非公务机关对个人资料之收集、处理及利用、损害赔偿及诉讼管辖、罚则等章节,虽然只有56条,却同时涵盖实体法与程序法之内容,可谓麻雀虽小、五脏俱全。总则部分阐述了立法目的,解释了相关术语的法律定义,规定了个人资料收集者要告知当事人收集目的及利用之期间、地点、对象、方式,并通过列举的方式明确了不得收集、处理或利用的个人资料。在收集、利用个人资料时,除了法定必要范围及公共利益需要,还多次出现“经当事人同意”、“对当事人权益无侵害或有利于当事人权益”之表述,也印证了立法目的中“避免人格权受侵害”之规定。虽然属于行政法类规范,但该法第四章规定了当事人的损害赔偿请求权及诉讼管辖,第五章规定了侵害个人资料所承担的刑事责任,这也使得台湾地区的“个人资料保护法”具备较强的操作性与威慑力。虽然台湾地区在立法模式上与大陆地区有显著区别,但该法中的某些条款还是具有参考价值。例如,该法第7条规定“收集者就本法所称经当事人同意之事实,应负举证责任”,以保护当事人的信息自决权;再如,该法第45条规定“本章之罪,须告诉乃论”,即侵犯个人资料的犯罪以自诉为原则,当事人有权决定是否寻求司法救济,这也体现了个人资料的私权属性。
四、结语
近日,笔者在登录某购物软件时,弹出一个对话框,内容大体是:本软件会严格保密所收集到的用户个人信息,若需要向第三方提供,会事先征求用戶的同意。这表明经营者也已经意识到潜在的法律风险,试图通过技术手段拧紧信息安全的保险阀。随着《刑法修正案(九)》与《民法总则》的生效实施,我国将个人信息的保护提升至前所未有的高度。然而,诸如“江歌妈妈”为讨公道在网上公开刘鑫的个人信息,以及长沙辅警处置伤人金毛犬遭网友“人肉”等事件的发生,反映出当前公民对个人信息的保护意识还有待加强,我国在个人信息的保护上也有很长的路要走。如何平衡个人信息保护与信息资源利用的关系,是今后立法与司法中需要继续思考并妥善解决的问题。
注释:
《民法总则》第111条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
赵秉志.公民个人信息刑法保护问题研究.华东政法大学学报.2014(1).124.
王作富.刑法(第五版).中国人民大学出版社.2011.151.
例如第120条:组织、领导、参加恐怖组织,又实施杀人、爆炸、绑架等犯罪的。
例如第399条:徇私枉法,又有索贿、受贿行为的。
例如第253条:私自开拆邮件,又从中窃取财物的。
检察日报.2017年5月17日,第2版.
台湾地区“个人资料保护法”第18条.
齐爱民.拯救信息社会中的人格:个人信息保护法总论.北京大学出版社.2009.182-183.
张新宝.从隐私到个人信息:利益再衡量的理论与制度安排.中国法学.2015(3).43.
杨震、徐雷.大数据时代我国个人信息保护立法研究.南京邮电大学学报(自然科学版).2016,36(2).6.
周汉华.个人信息保护法(专家建议稿)及立法研究报告.法律出版社.2006.65.
王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013,35(4).70.
参考文献:
[1]陈聪富.月旦小六法.台北:元照出版公司.2016.