近些年來(lái),在信息化數(shù)據(jù)化的大背景下,個(gè)人信息被非法傳播和使用的案件層出不窮。民法、行政法以及刑法等所構(gòu)建的法律體系對(duì)于公民個(gè)人信息安全的保護(hù)也實(shí)為必要。
刑法體系
2009年2月28日,全國(guó)人大常委會(huì)《刑法修正案(七)》增設(shè)了“侵犯公民個(gè)人信息罪”,2015年8月29日全國(guó)人大常委會(huì)《刑法修正案(九)》第十七條修訂,將該罪主體由特殊主體修改為一般主體,增設(shè)了從重處罰的規(guī)定,并將本罪法定最高刑由三年有期徒刑提高到了七年有期徒刑。
為精準(zhǔn)打擊侵犯公民個(gè)人信息犯罪,2017年5月9日,最高人民法院、最高人民檢察院聯(lián)合發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(下稱《解釋》),自2017年6月1日起施行。從企業(yè)“合規(guī)”的角度而言,如何利用大數(shù)據(jù)技術(shù)采集使用個(gè)人信息,甚至在銷毀時(shí)如何做到徹底的“脫敏”處理,成為了各企業(yè)“合規(guī)”的重要方面。
三維度劍指合規(guī)
首先,明確“公民個(gè)人信息”的范圍。《解釋》對(duì)“公民個(gè)人信息”的范圍予以了明確規(guī)定:“指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息,包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。”
筆者認(rèn)為,刑法上“公民個(gè)人信息”的界定與其他法律并不沖突,“等”字以兜底的方式明確了全面信息保護(hù)的現(xiàn)實(shí)需要,同時(shí)要符合前述“可識(shí)別性”的本質(zhì)特征。根據(jù)《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》(2014)、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》(2013)等相關(guān)規(guī)定,受法律保護(hù)的個(gè)人信息包括:其一,自然人姓名、出生日期、身份證件號(hào)碼、住址、聯(lián)系方式、賬號(hào)和密碼等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別用戶的信息以及用戶使用服務(wù)的時(shí)間、地點(diǎn)等信息;其二,基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息。對(duì)于金融消費(fèi)者來(lái)說(shuō),根據(jù)國(guó)家工商行政管理總局的相關(guān)規(guī)定,消費(fèi)者的性別、職業(yè)、收入和財(cái)產(chǎn)狀況、健康狀況、消費(fèi)情況等能夠單獨(dú)或者與其他信息結(jié)合識(shí)別消費(fèi)者的信息的都屬于法律保護(hù)范圍。
其次,“內(nèi)鬼”入罪門檻降低。《解釋》第五條規(guī)定:“將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息出售或者提供給他人,數(shù)量或者數(shù)額達(dá)到司法解釋規(guī)定的相關(guān)標(biāo)準(zhǔn)一半以上的,即可認(rèn)定為‘情節(jié)嚴(yán)重’,構(gòu)成犯罪。”針對(duì)銀行、工商、電信以及證券、快遞等行業(yè)內(nèi)部人員泄露數(shù)據(jù)的行為提供了更為容易打擊的法律基礎(chǔ)。
同時(shí),《解釋》還明確了網(wǎng)絡(luò)服務(wù)者應(yīng)有的信息網(wǎng)絡(luò)安全管理義務(wù),“網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù),經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正,致使用戶的公民個(gè)人信息泄露,造成嚴(yán)重后果的,應(yīng)當(dāng)依照刑法第二百八十六條之一的規(guī)定,以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。”網(wǎng)絡(luò)服務(wù)者擁有強(qiáng)大的信息綜合實(shí)力,其具有信息聚合的優(yōu)勢(shì),則應(yīng)在“技術(shù)可能性”即根據(jù)特有的網(wǎng)絡(luò)技術(shù)環(huán)境以及現(xiàn)有的網(wǎng)絡(luò)技術(shù),確實(shí)可以客觀完成的情況下,履行相應(yīng)的信息網(wǎng)絡(luò)安全管理義務(wù)。
第三,罰金力度加大。《解釋》第十二條規(guī)定:“對(duì)于侵犯公民個(gè)人信息犯罪,應(yīng)當(dāng)綜合考慮犯罪的危害程度、犯罪的違法所得數(shù)額以及被告人的前科情況、認(rèn)罪悔罪態(tài)度等,依法判處罰金。罰金數(shù)額一般在違法所得的一倍以上五倍以下。”由于侵犯公民個(gè)人信息的行為大多主觀目的為非法謀取利益,因此,財(cái)產(chǎn)刑力度的加大可以有效剝奪其犯罪的經(jīng)濟(jì)基礎(chǔ)。
值得注意的是,侵犯公民個(gè)人信息罪與第二百八十五條“非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪”存在想象競(jìng)合,從一重罪處罰的情況。根據(jù)《關(guān)于辦理危害計(jì)算機(jī)信息系統(tǒng)安全刑事案件應(yīng)用法律若干問(wèn)題的解釋》的規(guī)定:“(一)非法獲取支付結(jié)算、證券交易、期貨交易等網(wǎng)絡(luò)金融服務(wù)的身份認(rèn)證信息10組以上的;(二)獲取第(一)項(xiàng)以外的身份認(rèn)證信息500組以上的”認(rèn)定為“情節(jié)嚴(yán)重”情形。因此,在金融服務(wù)領(lǐng)域,如何區(qū)分身份認(rèn)證信息與公民個(gè)人信息,如何界定行為人客觀行為是否構(gòu)成相應(yīng)法益的侵害,如何判斷行為人的主觀目的都將成為界定此罪與彼罪的關(guān)鍵。
(作者單位:北京大成律師事務(wù)所)
京公網(wǎng)安備 11010502049343號(hào)