个人信息保护问题一直是公众关注的焦点。2017年5月9日“两高”发布关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,为刑法第253条的实际适用提供了明确的依据。但是,个人信息的保护并不仅仅是一个简单的法律问题,还涉及诸如公众的知情权、舆论监督等诸多因素,同时也与信息技术密切相关,因此,无论是刑法还是该司法解释,都需要进一步改进和完善。记者根据北京师范大学法学院教授、亚太网络法律研究中心主任刘德良进行的“刑法侵犯个人信息犯罪及其司法解释的理解与检讨”研究,做了问答整理。
大数据背景下立法更应关注对数据的利用
Q:在大数据背景下,如何准确理解个人信息
刘德良:司法解释第一条对个人信息的界定不符合学术界对个人信息的一般理解,尤其是它把反映自然人活动情况的各种信息也纳入个人信息范畴,混淆“个人信息”和“与个人有关的信息”,不当地扩大了个人信息的范围。按照解释第一条的规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。理论上讲,个人信息只是能够识别出某一特定自然人身份的信息,“身份的可识别性”是个人信息概念的核心。而“反映自然人活动情况的各种信息”则属于“与人有关的信息”,它并不强调“可识别性”,而是强调“关联性”。因此,该解释把个人信息界定为身份识别信息和反映个人活动情况的各种信息的做法不符合理论上一般对个人信息的理解和界定,不当地扩大了个人信息的范围。
所谓识别的相对性,是指作为识别的主体,他/她之前是否对被识别人熟悉或认识;对于一个之前熟悉或认识的人来说,一看(听或闻)到某些信息(如照片或声音、气味)就可以直接识别出某个特定的人,或者将其与某个特定的自然人联系在一起;而同样的信息,如果之前不熟悉或不认识的,可能就不会据此识别出某个特定的自然人,或者不会将该信息与某个特定的自然人联系起来。另外,利用人的感官识别不出来的,可以利用计算机或人工智能技术识别出来;在大数据技术之前识别不出来的话,在大数据背景下可能就没有问题了。
个人信息是能够直接或间接识别出一个人的信息或信息的组合。值得注意的是,在互联网背景下,个人信息是碎片化(以数据形式)存在的,它是由N个数据片断组合而成的,N个片断的组合在一起(整体)才是某个人的个人信息,那么即使是N – 1个片断,由于不是完整的,所以不能识别出特定自然人,因此也就不能称为个人信息。同时,个人信息在网络环境下也是动态存在的,即同一个人的个人信息在不同的使用网络(购物、浏览网页等)条件下所呈现出来的形态或表现形式是不尽相同的。现在商家通过互联网所收集的消费者的消费偏好等数据,(这些被大部分人称作个人信息,)实际上并不是个人信息,最多只能算是与个人有关的数据。在商家眼里,一般来说,它并不关心某个消费者是张三,还是李四;他只关心他们有何种偏好即可,这样便于它做有针对性的营销。
在大数据技术出现之前,界定个人信息不仅具有重大的理论意义,还具有重要的现实意义。但是,在大数据时代背景下,对个人信息下定义也就仅仅具有理论意义了,其现实意义已经所剩无几了。这是因为,只要有足够多的数据,就一定能够识别出特定的自然人。这就意味着在大数据时代的今天,乃至未来,我们之前关注个人信息的识别性特征已经失去了意义,即我们的理论和立法更应该关注对个人信息的利用环节,而不是收集和加工环节。换言之,收集、加工或处理的目的就是利用,而这些难以发现和规范的收集、加工或处理阶段只是利用前的过程,利用才是目的;一般来说,除了法律意义上的隐私(直接攸关主体的名誉或尊严但又与公共利益和社会利益无直接关系的个人信息)外,也只有利用才会对主体构成伤害或消极影响。因此,在大数据背景下,立法更应该关注的是对数据的利用,而不应该是利用前的收集、加工和处理环节了。
个人信息法律保护制度的实施效果很差
Q:刑法第253条自2009年颁布以来,全国进入法院的有关案件和判刑的人数分别是1464件和2112人。这些数字和个人信息保护的现实对比说明了什么 为何会如此
刘德良:这些数字说明了现行有关个人信息法律保护制度的实施效果很差,缺乏可操作性。实际上,与天文数量级别的所谓个人信息泄露数字相比,这些数字几乎可以忽略不计。我们每个人都会遇到很多次所谓的个人信息泄露,从升学、找工作,再到买房、租房等都会遇到所谓的个人信息泄露问题,我们每天都会接到很多垃圾短信和骚扰电话,但这些个人信息泄露问题几乎没有被公安发现,没有被作为刑事案件立案、侦查和起诉到法院。为什么呢 因为没有人会到公安机关去报案;为什么没有人愿意去报案呢 是因为个人去报案时公安机关十有八九会以没有什么危害或者以我们的(证明信息泄露的出处)证据不足为由而拒绝受理。而实际上,如果没有引起社会的强烈关注或没有出现人命关天的事件时,公安机关一般是不会主动介入的。这也可以从既有的案例中得到印证。因此,仅仅凭借司法解释是无法改变这种现状的,毕竟司法解释的适用前提是案件进入司法程序。
Q:互联网企业利用合同条款分享其所收集到的个人数据及企业的合并、分立等都会涉及到所谓的“收受”、“交换”,这些情形能否适用该解释
刘德良:司法解释第四条规定,违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。
在互联网企业领域,通过格式合同条款或者所谓的隐私政策条款对于收集的用户数据(有些甚至就是个人信息)的分享做出规定是惯例。一般情况下,用户实际上根本没有机会看到这些条款,因此其所谓的同意和知情实际上是一句空话。在此情况下,互联网企业通过合同条款分享用户的个人信息(数据)比较盛行。按照司法解释的规定,互联网企业之间对基于格式合同获取的个人信息(数据)相互分享行为是否属于该条规定 如果属于,这不仅对互联网产业的发展是一个极大的打击,也会对大数据战略的实施带来法律障碍。
Q:是否应该区分“提供”与“出售”行为 行为人的主观目的是否影响对行为的性质认定
刘德良:在我看来,从逻辑和语义上看,既然解释要把“提供”和“出售”区别开来,说明二者确实是有区别的。实际上,出售是以营利为目的的行为,而提供则不是基于营利目的。司法解释第三条却规定向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”。显然,司法解释的这条规定忽略了很多基于知情权和舆论监督目的在网络上公开那些严重违法、违纪行为人的有关个人信息的正当性、合理性和必要性。如果将这条解释付诸实施的话,就没有人敢在网络上公开那些贪官污吏的违法违纪行为了;我们的反腐倡廉政策、国民的检举揭发权利就在很大程度上变成一句空话了;其实施后果无异于为那些贪官污吏提供法律上的庇护伞。因此,一般人认为,以后网络上所谓的“人肉搜索”行为是违反刑法的行为,可以构成犯罪。
另外,从刑法理论上讲,行为人的主观目的不仅会影响到对行为的性质认定,而且也会对刑事责任的具体适用产生影响。从行为的目的上看,如果仅仅是提供行为,其目的又具有合理性,比如向媒体采访者或者应当事人的同学、朋友索要提供电话号码以便采访、联系需要,那么,即使未征得当事人的同意,也不具有可责性,更谈不上可罚性。从罚金刑适用的理念来看,它主要是针对财产性犯罪的,因此,即使要对提供行为定罪,也不能适用罚金,而对于出售行为,则可以适用罚金刑。显然,司法解释未做上述区分的做法是值得商榷的。
个人信息保护要考虑公众知情权和舆论监督
Q:该解释将行踪轨迹信息、通信内容、征信信息、财产信息与住宿信息、通信记录、健康生理信息、交易信息等区别对待的依据何在
刘德良:根据解释第五条之(三)规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。按照这种规定,似乎行踪轨迹信息、通信内容、征信信息、财产信息要远比住宿信息、通信记录、健康生理信息、交易信息更加重要。不知道司法解释的制定者为何做出如此规定,其重要性区分的标准是什么 财产信息,尤其是官员、公众人物的财产信息攸关公众的知情权和舆论监督权,司法解释做如此规定显然没有考虑到这些。至于征信信息,它对于构建诚信社会具有重要意义,把征信信息作为重要的需要保密的个人信息,也是不利于制约失信人,不利于构建诚信社会。
Q:基于公众的知情权和舆论监督,在网络上披露公众人物、政治人物乃至违法者的个人信息也应该适用该解释
刘德良:司法解释第五条规定,非法获取、出售或者提供行踪轨迹信息、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于刑法第二百五十三条之一规定。显然,这种解释忽略了社会公众的知情权、舆论监督权,因为政治人物的健康状况、财产信息、住宿信息和交易信息都可能攸关权力滥用与腐败,因此他们的行为应该接受社会公众的舆论监督,社会公众也有权知悉其有关信息。公众人物由于从社会公众的关注中获得利益,因此社会公众对其健康状况、财产信息、交易信息等享有知情权。对于某些违法行为人,尤其是对于一些被判定有罪的人,社会公众(基于自身安全)享有某种程度的知情权也具有一定的正当性。反之,如果放任了司法解释的这种做法,社会公众的知情权、舆论监督权将受到极大限制,不利于监督权力滥用和预防腐败。
应增加“个人信息滥用罪”“侵犯个人信息财产罪”
Q:如何从本次司法解释看未来立法的修改与完善问题
刘德良:从刑七修正案(2009年)开始设立个人信息犯罪条款以来的立法、司法实践和侵犯个人信息的实际状况来看,所谓的个人信息的非法泄露、买卖和提供行为几乎无处不在、无时不有,但作为公诉案件,公安机关很少主动发现和立案侦查;而个人又很少去报案,即使有报案的,公安机关也基本上(认为危害很小而)不予理会。而垃圾信息和骚扰电话问题盛行不减,身份假冒和滥用问题十分猖獗。这说明我们的立法导向出现了问题:本应该将立法的重点放在打击对个人信息的非法利用方面,而不是所谓的泄露和非法获取、提供等行为。
未来立法在理论上应该区分两类不同性质的个人信息并分别采取不同的规制方法,即对于那些直接攸关名誉或尊严又与公共利益和社会利益无直接关系的个人信息(法律上的隐私)需要保密,禁止非法刺探、搜集、传播和滥用;对于那些与名誉或尊严无直接关系的个人信息,立法规制的重心在于防止滥用。同时,立法应该确立个人信息商业价值的独立法律地位,未经允许,擅自出售他人个人信息的行为视为一种独立的财产侵权行为。
根据上述分析,未来刑法有关个人信息犯罪的规定应该作如下完善:一是在侵犯人身权利罪一章中增加侵犯隐私罪,即禁止非法刺探、搜集、传播他人隐私,违者视为犯罪。同时考虑到侵犯隐私罪所侵害的主要是个人(人格)利益,因此把侵犯隐私罪作为自诉案件处理。当然,这里的隐私不是目前学术界所谓的隐私,而是借鉴我国传统阴私观念而来的,是指与公共利益和社会利益无直接关系,同时又直接攸关名誉或尊严的个人信息,它包括但不限于裸照、性生活信息等。二是把侵犯个人信息商业价值的行为(即非法出售个人信息行为)纳入侵犯财产罪中予以规范。
具体而言,就是在现行刑法第五章“侵犯财产罪”中增加一条“侵犯个人信息财产罪”,把那些未经许可擅自对个人信息进行商业化利用的行为(比如未经授权擅自对他人的肖像、姓名、声音等个人信息进行商业化利用的行为)、非法出售个人信息的行为(仅仅规范非法出售个人信息行为,而无需规范购买或获取行为)纳入其中予以规范。考虑到非法侵害个人信息财产(权)罪在本质上属于侵害个人财产权益的犯罪,因此可以比照现行刑法第270条的侵占罪对侵害个人信息财产(权)作为自诉案件处理。三是在现行刑法第六章妨害社会管理秩序罪中增加一章“个人信息滥用罪”囊括有关发送垃圾信息罪、骚扰电话罪、身份假冒和滥用罪等罪名。这样,我们目前所担心的个人信息保护问题都可以得到真正的解决。