摘 要:法律保护是个人信息保护的重要组成部分。为推动个人信息保护法律体系的构建,加快《个人信息保护法》立法进程,通过文献分析和实证研究,系统梳理了个人信息保护的立法、司法、执法实践。认为我国的个人信息法律保护取得了显着成就,但同时也存在一些不容忽视的问题。一是法律规定分散、未能形成完整的个人信息保护法律体系,二是司法实践中刑法强、民法和行政法弱问题突出。应加快《个人信息保护法》立法进程、组建统一的行政执法队伍,创新个人信息保护司法机制,实现法律对个人信息的全面保护。
关键词:个人信息保护法;网络安全法;隐私权;人格权;信息安全。
一、问题的提出。
公民的个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等[1].由于个人信息兼具人格利益和财产利益,其上往往附带巨大的经济价值,这正是非法泄露、获取和利用个人信息案件呈现大幅度增长的主要原因[2].据统计,自2009年《刑法修正案(七)》增加侵犯个人信息罪到2016年12月,全国法院共审理出售、非法提供公民个人信息、非法获取个人信息刑事案件1433起,尤其是2015年11月《刑法修正案(九)》生效的1年间,审结个人信息犯罪案件464件[3].法律是社会秩序和正义的最后一道防线,发挥法律的强制作用对个人信息的保护至关重要。本文通过系统梳理我国个人信息法律保护的立法、司法和执法实践,总结经验与不足,以助力个人信息保护法律体系的完善。
二、个人信息保护的法律实践。
(一)个人信息保护的立法实践。
我国最早规定个人信息保护的法律文件是2004年1月1日实施的《居民身份证法》。之后的15年间,我国有近200部规章涉及个人信息保护,分属民法、行政法和刑法3个法律部门[4].
1.民法保护立法实践。
目前,我国涉及个人信息保护的民事法律包括《民法总则》《侵权责任法》和《消费者权益保护法》,其中《民法总则》和《消费者权益保护法》对个人信息采取直接保护,《侵权责任法》则以隐私权、肖像权、名誉权等形式对个人信息采取间接保护。2017年3月15日第十二届全国人民代表大会第五次会议通过的《民法总则》,是中国民法典的开篇之作,其规定的“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,为《个人信息保护法》的制定奠定了民法基础。2013年修订的《消费者权益保护法》规定了经营者收集、利用消费者个人信息的原则、方式、要求、保密义务和法律责任。该法第二十九条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。”《侵权责任法》第二条规定,侵害包括隐私权、姓名权、名誉权、肖像权在内的民事权益,应当依法承担侵权责任。此规定成为目前我国个人信息侵权司法裁判最直接的法律依据。第三十六条规定了网络侵权中被侵权人的权利,网络用户、网络服务提供者的法律责任、法律义务等。
2.刑法保护立法实践。
《刑法修正案(七)》首次将个人信息纳入保护范围,规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方式非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”.《最高人民法院、最高人民检察院关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》,进一步确定了侵犯公民个人信息犯罪的罪名,即“出售、非法提供公民个人信息罪和非法获取公民个人信息罪”.2015年《刑法修正案(九)》对《刑法修正案(七)》第二百五十三条关于个人信息犯罪的规定进行修改。一是删除“国家机关或者金融、电信、交通、教育、医疗等单位工作人员”表述,将特定主体修改为一般主体,扩大了法律规制范围;二是增加了“情节特别严重”情形的处罚规定;三是规定了将在履行职责或者提供服务过程中获取的公民个人信息,出售或者提供他人的,要从重处罚。可以看出《刑法修正案(九)》较《刑法修正案(七)》在个人信息犯罪上,既扩大了规制范围,又加大了打击力度。2017年6月,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步明确了“公民个人信息”的含义、“提供公民个人信息”“情节严重”“情节特别严重”“以其他方法非法获取公民个人信息”等情形的认定标准,为司法裁判提供了具体指导。
3.行政法保护立法实践。
行政法领域涉及个人信息保护的现行法律法规包括《网络安全法》《行政诉讼法》《居民身份证法》《护照法》《统计法》《妇女权益保护法》《未成年人保护法》《商业银行法》《全国人大常委会关于加强网络信息保护的决定》《政府信息公开条例》《电信条例》等。部门规章中较为重要的有工业和信息化部的《电信和互联网用户个人信息保护规定》、国家标准化委员会的《信息安全技术公用及商用服务信息系统个人信息保护指南》等。
《网络安全法》是规范我国境内网络建设、运营、维护、使用以及网络安全的重要法律,通过六个条文规定了用户信息保密制度,网络运营者收集、使用个人信息应当遵循的原则,保证个人信息安全的措施和义务等。该法第七十六条确定了个人信息的含义。《全国人大常委会关于加强网络信息保护的决定》将能够识别公民个人身份和涉及公民个人隐私的电子信息纳入保护范围,提出了收集、使用公民个人信息应遵循“合法、正当、必要”的原则,明确了网络提供者对保护个人信息的义务。《居民身份证法》《护照法》《统计法》《政府信息公开条例》等法律法规规定了行政机关收集、处理、利用个人信息的原则、保密义务。《征信业管理条例》《电信条例》等行政法规,对行使公权力的非政府机关单位收集、处理、利用个人信息进行了规定。
(二)个人信息保护的司法实践。
为了研究个人信息的司法保护,作者以“个人信息”为关键词,通过北大法宝的“模糊”查询方式,查询了相关案例和裁判文书,共发现案例与裁判文书2034件,以案由分为:民事25件、刑事1983件、行政10件、知识产权16件。上述数据表明,在个人信息司法保护中,刑事手段占据主导地位,民事手段和行政手段相对较弱,刑事追责已经成为我国当前个人信息保护领域应用最广泛的法律手段。
1.民事保护司法实践。
目前,我国对个人信息的民事司法保护,主要基于侵权责任法路径进行救济[5].尽管2017年10月1日生效的《民法总则》以专门条文确立了个人信息的直接保护,但未能完成为个人信息保护提供完整请求权基础的任务[6].笔者通过中国法律应用数字网络服务平台(法信)以“个人信息”为关键词,对涉及个人信息的民事案件进行了检索,发现的五起相关案件判决结果均认定为侵害隐私权,或者同时侵害肖像权、名誉权和姓名权。实证表明,以具体人格权保护个人信息成为当前民事司法保护的最主要途径。
2.刑事保护司法实践。
个人信息的刑事司法保护主要通过司法(检察)建议、典型案例发布、案件裁判等方式进行。前两者属于事前保护,具有提醒、警示、教育、预防等功能;案件裁判则是通过法律适用对当事人进行事后保护。如针对上海市疾病预防控制中心工作人员韩某利用其工作便利,进入他人账户窃取新生婴儿及父母个人信息并出售牟利情况,上海市浦东新区检察院向上海市疾病预防控制中心发出检察建议,要求其从系统账号、密码专人专用,使用留痕,签订岗位保密协议,建立事后备查制度等方面进行整改完善,有效预防了类似案件再次发生[7].典型案件具有统一裁判尺度和宣传教育功能,最高人民法院、最高人民检察院为配合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》出台,分别于2017年5月9日和2017年6月3日发布侵犯公民个人信息犯罪典型案例13个,内容涉及国家工作人员将利用职务之便获取的个人信息出售牟利,通过网络非法获取、买卖公民个人信息,非法查询、出售银行征信信息,非法买卖学生信息、网购订单信息,非法提供住宿记录供他人查询牟利等典型案件。典型案件的发布反响强烈,起到了震慑和警示作用。
3.行政保护司法实践。
传统的个人信息行政法保护主要通过《政府信息公开条例》的例外规定来间接实现。此外尚有部分案例借助政府信息公开,通过“搭车”方式,实现个人信息权的保护。例如,在“戴某等十七人诉甘肃省人力资源厅案”(〔2011〕兰法初字第17号)中,原告的个人信息查询权以公民知情权名义通过《政府信息公开条例》,间接获得实现。在“孙某某与北京市海淀区人力资源和社会保障局其他案”(北京市第一中级人民法院〔2014〕一中行终字第10 896号]中,原告借助《政府信息公开条例》第二十五条第二款规定,实现了错误个人信息的更正,间接行使了个人信息更正权。在“上诉人诉被上诉人辽阳市文圣区人民政府信息公开案”(辽宁省辽阳市中级人民法院〔2015〕辽阳行终字第00014号)“中,原告”搭车“《政府信息公开条例》第十四条第四款、第二十三条规定,实现了个人信息自决权的保护[8].
(三)个人信息保护的执法实践。
目前我国尚未建立统一的个人信息保护执法队伍,相关执法任务由工业和信息化部、公安部、国家统计局等部门分别承担。其中以公安部门打击整治针对网络侵犯公民个人信息犯罪专项行动力度最大、影响最为广泛。该行动始于2016年4月,至2017年12月底结束。据全国人大常委会网络安全执法检查报告,该行动共侦破侵犯个人信息犯罪案件3700余起,抓获犯罪嫌疑人11 000余名,有力打击和震慑了网络个人信息犯罪活动[9].
三、个人信息保护法律实践之检视。
自2004年我国第一部保护个人信息的法律《居民身份证法》实施以来,我国在个人信息保护方面的法律实践取得了显着成就。一是个人信息保护的民法、刑法、行政法等相关法律法规框架基本建立。法律、法规、规章、标准(指南)组成的保护政策体系日渐完善,尤其是《民法总则》《刑法修正案(九)》和《网络安全法》的陆续颁布,为个人信息的法律保护奠定了基础。二是强化司法解释,使书面上的法变成生活中的法。司法机关积极发挥司法能动性,通过《最高人民法院 最高人民检察院关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律问题的解释》 等司法解释文件,进一步明确、细化了个人信息的含义、情节严重及情节特别严重情形的认定等司法裁判中的关键问题,为案件审理提供了明确指导。三是以公安部门牵头,加大对网络中侵犯个人信息犯罪的执法力度。工业和信息化部内部的网络个人信息行政保护管理体制开始建立[10].但同时也还存在一些不容忽视的问题。
(一)总体问题。
1.立法层面,法律规定分散、未能形成完整的个人信息保护法律体系。
我国尚未出台保护个人信息的专门法律,个人信息保护的立法目标、价值理念、实现途径等缺乏统一规定[11].不同法律之间由于目标不同,适用范围有异,无法进行合理衔接。比如针对侵害他人个人信息权益的法律责任,《刑法》中规定了刑事责任,《全国人大常委会关于加强网络信息保护的决定》和《网络安全法》在一定程度上规定了行政责任,但民事责任仍然处于空缺状态。虽然倒卖个人信息在《刑法》中被列为一类犯罪行为,但对那些尚未达到犯罪程度的侵犯个人信息的行为,则面临着规则缺位,致使在保护个人信息方面,刑法与行政法、民法出现空档现象[12].
2.司法方面,刑法强、民法和行政法弱问题突出。
由于《刑法》关于个人信息犯罪的规定清晰、认定标准明确,使裁判效率大幅提高,加之《刑法》采用直接保护方式,使之成为目前我国个人信息保护中最为有效的方式。相反,民法和行政法对个人信息的保护均以间接方式为主,受害人面临信息泄露主体难确定、举证难度大、维权成本高、获赔标准低、损失确定难等问题,造成维权动力不足。据中国社会科学院法学所研究员吕艳滨2009年进行的一项4城市调查,因个人信息泄露而导致被犯罪分子侵害的被调查者中,仅有4%的人进行过投诉或提起诉讼。
其中仅8.1%的人获得了救济,因此得出了”在个人信息保护方面,通过民事诉讼维权效果有限“的结论。[13]笔者认为,个人信息保护的目的是对个人权利的保护,归根到底是对人的保护,避免个人信息遭受不法侵害,应注重对个人信息的收集和处理环节的控制。要在制定个人信息保护法律规则基础上,通过行政监管、民事救济等途径强化个人信息的保护,改变我国目前司法保护中刑事追责”一枝独大“的局面,实现民事、刑事、行政保护齐头并进。
(二)部门法问题。
1.民法。
作为民法基本法的《民法总则》,首次将个人信息纳入直接保护范围,改变了以往只能以隐私权、名誉权、姓名权、肖像权等具体人格权进行间接保护的现状。这在个人信息的民法保护上是一个巨大进步,为配套法规、规章的制定奠定了基础。但从现有法律规定看尚有较大改进空间。(1)未明确个人信息的内涵和外延。尽管《网络安全法》和《信息安全技术公共及商用服务信息系统个人信息保护指南》规定了个人信息的概念,但前者过于笼统而后者仅局限于计算机数据,不能全面、完整诠释个人信息的内涵和外延,给司法认定造成困难。(2)未厘清个人信息和隐私的边界。关于个人信息和隐私的关系学界并未取得统一认识,目前主要存在区分说与交叉说两种观点。区分说认为从内容上看个人信息与隐私有一部分重合,而从整体的角度讲个人信息的范畴大大超过了隐私信息,因此应将个人信息权单独加以规定,不能将其置于隐私权保护内容之中[14].交叉说认为二者所指的对象存在交叉关系,有的隐私应当属于个人信息的范畴,而有的则不然。个人信息涉及私人生活敏感之处的则属于隐私范畴,但是个人信息公开程度比较高的,则不再属于隐私范畴[15]实务界的通行做法是通过保护隐私权的方式对个人信息权利进行救济。《民法总则》�用了二元保护模式,第一百一十条规定了隐私保护,第一百一十一条规定了个人信息保护,二者并存但又未能厘清二者界限的情况下,法律适用无所适从。(3)法律规定过于概括和原则。如《侵权责任法》规定,网络提供者接到被侵权人通知后未及时采取措施,应承担连带责任,但”及时“的具体时间含义法律并未明确。同时,侵权的赔偿标准和计算方法缺乏规定,司法实践中存在”同罪不同罚“现象。
2.刑法。
从《刑法修正案(七)》到《刑法修正案(九)》,我国《刑法》在保护个人信息方面取得了明显进步,但仍有不足和有待提高之处。(1)保护范围过窄。现行《刑法》将个人信息保护限定在”公民“范围,而”公民“是一个严格的法律概念,系指具有某一国国籍,并根据该国法律规定享有权利和承担义务的人。因此,现行《刑法》并未将外国人和无国籍人的个人信息纳入保护范围,这与国际个人信息保护趋势不符。如果通过扩张解释的方法,将”公民“解释为包括外国人、无国籍人在内的任何人,又严重扭曲了”公民“本来概念[16].(2)个人信息定义模式落后。《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对个人信息的定义采用了传统的”识别性“定义模式,然而已进入大数据时代的今天,信息收集方式已经从网络时代的精准收集转向信息碎片的互联集成,有的数据表面看并不是个人信息,但经过大数据处理就可以追溯到个人了[17].因此,大数据时代个人信息的定义应突出”关联性“特征,否则用户访问记录、购物记录等信息无法纳入保护范围。(3)个人信息犯罪行为方式的规定有缺陷。
现行《刑法》规定的个人信息犯罪行为方式仅限于”违法出售“”违法提供“”窃取“和”违法获得“四种情形,对社会现实中广泛存在的非法利用个人信息行为未列入法律规制范围。如饱受诟病的乱发垃圾短信问题,就是个别网络运营商利用个人信息扰民的典型案例。
3.行政法。
(1)目前涉及个人信息保护的行政法规数量较多,但多为规制某个领域的规范,且主要以对个人隐私的间接保护为主,直接对个人信息保护的法律较少。(2)法律条文零散、抽象,缺乏系统性和可操作性。当个人信息发生泄露时,经常面临无直接法规依据可寻的尴尬局面。(3)义务性规定多,相应罚则少,致使许多规定流于形式,难以起到法律的强制作用。
四、我国个人信息保护的法律应对。
(一)加快《个人信息保护法》立法进程,构建统一的个人信息保护法律体系。
针对我国个人信息保护形势严峻和立法分散、滞后的现实,应加快《个人信息保护法》的立法进程,明确个人信息的内涵和外延、个人信息保护基本原则、个人信息权的权能及子权利体系、个人信息保护监管等,规定政府机关、服务单位、网络运营商收集、加工、使用个人信息的原则、范围、条件、程序、保密和保护义务以及相应的法律责任,建立统一的个人信息保护法律价值目标及理念。在此基础上,修订完善现有法律、法规,强化对尚未达到”情节严重“侵犯个人信息行为的民事和行政法律规制,构建民事责任、行政责任、刑事责任相互补充、系统完善的法律责任体系。同时,依据《网络安全法》尽快制定《关键信息基础设施安全保护条例》和《网络安全等级保护条例》,形成法律-法规-规章-标准(指南)相配套的个人信息保护体系[18].
(二)建立统一的个人信息保护行政执法机构,强化个人信息保护的行政效用。
改变目前我国个人信息保护多头执法、多部门监管的现状,整合个人信息保护中的相关执法职能,设立以工业和信息化部现有机构为主的跨部门个人信息保护机构,统筹个人信息保护中的预防、监管、投诉处理、行政责任追究等职责[19].互联网时代,个人信息违法和侵权案件呈井喷式爆发,个人信息的保护阶段需要提前,保护方式必须扩展。只有通过专责机关事前监察、事中调控、事后调查与处罚相结合的途径,方能全方位和多角度保障个人信息主体权益免遭侵害并丰富其遭受侵害后可供选择的救济途径[20].
(三)创新个人信息保护司法机制,不断完善个人信息侵权的司法保护。
通过民事法律和行政法律的修订与完善,将个人信息侵权案件纳入各级人民法院的民事和行政涉案范围进行直接保护,在各级人民法院民事、行政审判组织中试点设立信息专业审判法庭,建立个人信息的司法保全制度、司法确权制度、司法定损机制、司法取证制度、证据保全和证据鉴定制度、民事赔偿制度等,完善个人信息侵权的民事和行政救济途径,有效提高个人信息侵权的司法保护水平。
参考文献:
[1]周加海,邹涛,喻海松.《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的理解与适用[J].人民司法,2017(9):31-37.
[2]郝思洋.个人信息权确立的双重价值:兼评《民法总则》第111条[J].河北法学,2017(10):128-139.
[3]何波.我国个人信息保护立法路在何方?[N].人民邮电,2017-08-04(06).
[4]蒋平.我国个人信息法律保护现状及完善路径[J].公安研究,2013(8):49-58.
[5]冉克平,丁超俊.隐私权与个人信息权的界分:以司法判决为中心的分析[J].天津法学,2016(3):38-44.
[6]杨翱宇.我国个人信息保护的立法实践与路径走向[J].重庆邮电大学学报(社会科学版),2017(6):42-51.
[7]最高人民检察院发布6起侵犯公民个人信息犯罪典型案例 [OL/EB].[2017-12-28]http://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170516_190645_3.shtml.
[8]肖登辉,张文杰.个人信息权利保护的现实困境与破解之道:以若干司法案例为切入点[J].情报理论与实践,2017(2):51-55.
[9]蒲晓磊.加快个人信息保护立法进程[N].法制日报,2017-12-25(02).
[10]马志刚.个人信息保护[J].数据通信,2014(4):52-54.
[11]靳丽君.公民个人信息,法律该如何保护?[N].检察日报,2014-10-22(04).
[12]王峰.艰难维权:五起个人信息泄露案件分析[N].21世纪经济报道,2015-01-19(02).
[13]刘志光,潘玲霞.从个人信息安全防护看征信安全管理[J].征信,2018(2):38-41.
[14]王立明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学与社会科学版),2012(6):68-75.
[15]张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[N].中国法学,2015(3):38-59.
[16]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报,2014(1):117-127.
[17]张茂月.大数据时代公民个人信息数据面临的风险与应对[J].情报理论与实践,2015(6):57-61.
[18]郭庆祥,张颖君.征信信息保护与风险防范探讨[J].
征信,2018(11):44-47.
[19]张建军,向光俊,苏海燕.个人征信信息权益保护机制探究[J].征信,2018(11):48-51.
[20]薛峰.个人信息保护的国际比较及启示[J].征信,2018(8):32-35.