“网络与法律对话”沙龙第三十一期
侵犯个人信息犯罪及其司法解释的理解与检讨
2017年5月18日晚,“网络与法律对话”系列沙龙第三十一期“侵犯个人信息犯罪及其司法解释的理解与检讨”在北京师范大学法学院举办。
本次沙龙由亚太网络法律研究中心主办,由北京师范大学法学院、北京亚太网信咨询有限责任公司和北京立新盈企大数据技术股份有限公司联合支持。与会嘉宾有:最高人民法院应用法学研究所刑事法室主任,互联网司法研究中心秘书长、研究员李玉萍女士,中国互联网协会研究中心胡钢秘书长,赛迪研究院政法所陈全思助理研究员,京东集团法律研究中心主任丁道勤博士,北京师范大学新闻传播学院徐敬宏教授,北京师范大学刑事法律科学研究院王志祥教授,北京师范大学刑事法律科学研究院彭新林教授,北京师范大学刑事法律科学研究院阴建峰教授,以及亚太网络法律研究中心主任、北京师范大学法学院刘德良教授。此外,法治周末、蚂蚁金服、法制日报等各大企业、媒体的朋友们也应邀参加。对此话题感兴趣的校内同学以及北京其他高校的同学也积极参与了沙龙研讨。
沙龙伊始,陈全思研究员首先发表了自己的观点。陈研究员所属部门是行政机关下属部门,因此从行政法的角度结合实际工作经验谈了自己的看法。
一方面,现实生活中,有大量案件涉及信息权保护,而走司法途径只是很小的一部分;行政机关在这方面能够发挥很大的作用,只是它们的作用并没有得到充分发挥,如何发挥行政机关的作用应该得到关注。另一方面,理论探讨个人信息保护是因为能够获取个人信息的主体大多而且是无序的,没有一个规范。陈研究员建议可以尝试一种模式,将真实的个人信息和虚拟身份信息做分离,真实个人信息只由国家统一采集,而其他单位需要采集真实的信息都需要向识别单位申请,由识别中心根据程序提供虚拟的身份编码,从而安全性更高,降低被滥用的可能性。
随后,徐敬宏教授阐述了自己的观点。徐教授关注的领域是新闻传播领域的隐私权以及个人信息保护问题。对个人信息的“出售”,无意识的帮忙“提供”以及被收集者是否主观同意等对量刑的影响应该予以考虑。如出售牟利的行为则可以借鉴版权法。
其次,徐教授认为有必要对司法解释中的行为轨迹和行为记录进行区别。因为从字面上看,行为的轨迹就是一个物理世界中客观存在的事实,而行为记录则是对这个客观事实的记录和统计,而现在主要是指电子化的记录和统计。
谈到隐私权,徐教授认为,在新闻传播学领域,与隐私权对应的就是知情权,怎样平衡两者的关系是问题的关键。从权利角度来讲,作为公众人物和政治人物,他们应该让渡一部分隐私权。跟他们相比,普通人的隐私权应该受到更加严格的保护。因此,如果基于舆论监督和公众的知情权,网上披露公众人物、政治人物乃至违法者的各种个人信息,如果仅是网上一般性的披露,没有太严重的后果的话,是不应该适用司法解释的。
接下来,阴建峰教授从个人信息的界定,司法解释的第二条“将行政法规、部门规章也视为违反国家规定的合理性合法性问题”,以及“非法获取个人信息”的理解等三个方面分享了自己的观点。
阴教授指出,关于本次司法解释,个人信息的界定是一个非常核心的问题。但是纵观两高公布的司法解释存在一个问题:解释关于个人信息的界定是否与网络安全法第76条的规定存在冲突?对此,阴教授进行了全面的对比与分析。阴教授表示,两高关于公民个人身份信息的界定是合理的,它合乎了司法实践的需要,但却又是不合法的。因为这一界定意味着,《网络安全法》在还未生效的情况下,其中关于重要术语的界定就已经被司法解释所架空。这直接影响到了《网络安全法》这部法律的尊严和权威。同时阴教授对于《网络安全法》将个人信息做如此狭窄的界定表示存疑。
针对司法解释的第二条,阴教授认为司法解释将行政法规、部门规章视为“违反国家有关规定”,不是“违反国家规定”的解释是合理的。阴教授指出“违反国家规定”和“违反国家有关规定”的表述实际上是立法的变化问题。结合我国相关法律的现状,阴教授觉得这种变化是契合司法实践状况的,是合理的也是合乎立法原意的。
最后阴教授谈了把“购买”个人信息理解为“非法获取”的问题,他认为是可行的,也是合理的,并给出了自己的解释。
王志祥教授从公民个人信息保护过程中的利益平衡、本次司法解释的缺陷以及相关的其他问题等方面给出了解答并提出了自己的疑问。
首先王教授指出在公民个人信息保护过程中,利益冲突表现得特别激烈。如,我们一方面要对公民的个人信息进行保护,另一方面要建构信息社会:即如果对公民个人信息保护过度的话,就很不利于大数据时代的到来,不利于信息时代的建构。因此,王教授表示,应该注重信息的合理利用问题,不能因公民个人信息保护的形势很严峻导致噎废食,忽略对其他合法利益保护。对公民信息的保护,应该坚持一个适度的立场;不坚持一个保护适度的立场,最终就会抑制国家和社会的正常发展。
其次,本次出台的是对于公民个人信息犯罪的司法解释,即是侧重于刑事立法方面,而刑法本身是一种后盾性的法律。在我们国家没有出台个人信息保护法的情况下,在刑法中对侵犯公民个人信息的犯罪加以规定,存在越俎代庖的问题。目前其他法律没有规定的前提下,公民个人信息的前置性法律缺失,本次司法解释的立场,将行政规章纳入依据,相当于以行政规章的方式创设犯罪,这是非常危险的,违背罪刑法定原则。因此,王教授倡议,公民个人信息保护法应当尽快出台。但同时,王教授也指出,最新的司法解释立足于新问题的导向,很多规定是相当接地气的,确实便于司法操作。
最后,王教授也分享了他关于侵犯公民个人信息罪与利用个人信息实施诈骗犯罪之间存在竞合的问题的看法,并在最后指出犯罪圈的扩张越来越成为一种趋势,建议我们应该要防微杜渐,勿以善小而不为,勿以恶小而为之。
李玉萍女士则针对本次司法解释出台的背景以及司法实务中存在的问题等内容与在座专家学者进行了探讨。
首先,李女士解读了本次司法解释出台的背景,让大家对于本次司法解释出台的必要性有了一个更加深入的了解。其中,李女士特别举例到,理论中侵害公民个人信息罪是一个情节犯,必须达到情节严重的标准,才能构成犯罪。到底什么样的情节算严重的情节,是数量、还是信息的危险程度、敏感、重要程度,还是违法所得的数额?在司法实务中存在这上述问题。虽然会有一些文件对此有所规定,但这些文件的效力,包括它在全国各地的执行度和认知度是不一样的。在这样一个背景下,司法解释应该是千呼万唤始出来。
其次,根据自己的实务经历,李女士提出,实务中在认定事实的时候,会发现正是因为法律规定的不清晰导致没有办法把案件落实下来;包括大家普遍反映侵犯公民个人信息定罪量刑过程中量刑偏轻的问题,这个问题特别严重,在本次司法解释出台之前,这些问题的解决都很难。同时,李女士还提到了随着两高司法解释的发布,最高法院和最高检察院相继发布的关于侵犯公民个人信息的典型案例,这些案例对于辅助理解本次司法解释,甚至是司法实务都是十分有意义的。
最后,以罚金刑适用存在的问题为例,李女士提出,立法是特别讲究完美的,理论上也讲究完美,自洽性,但是,不管是立法还是完美的理论,到了实践中会产生这样那样的偏差,产生问题的原因到底有哪些,这种偏差应该是值得我们每一个关心法律、关心法治的人认真思考的,并呼吁理论研究者加以关注。
随后,丁道勤博士从四个方面阐述了自己的观点:
第一,关于个人信息数据的范围问题,丁道勤博士认同王志祥教授的观点,即大数据背景下个人信息如何保护是一个利益平衡的问题。如果保护过于严格,会造成寸步难行的情境这一极端的情况。
第二,针对个人信息保护问题,丁道勤博士同样指出,现在我们国家个人信息保护是刑法先行,而刑法具有谦抑性,是有底线的,不是任何事情都能触动刑法进行保护的。那么在个人信息保护这一块,应该怎样跟民法进行衔接?为什么中国的个人信息受到侵犯的现象如此猖獗?问题出在什么地方?丁博士谈到,私法一直在被动地给予保护,民事诉讼关于个人信息的保护也比较少,相关的行政案件也不多。各行各业都有相应的主管部门,唯独在个人信息保护上没有相应的主管部门,工信部仅仅是在电信和互联网行业对个人信息进行保护,也不是一般社会性的行业保护的监管部门。我们国家个人信息保护刑法先行,但从2009年颁布到现在,从2012年工商局发布的数据显示,个人信息的侵犯活动不减反增。立法到底出现了什么问题,应该深思。
第三,关于本次司法解释涉及到的“行踪轨迹”的问题。丁博士谈到,两高的司法解释把它放在了一个高度敏感信息的程度。但是行踪轨迹包括物理之间的行踪轨迹,还是也包括互联网上的行踪轨迹?这个行踪轨迹是一个持续性的位置期间,还是其他?并没有说的很清晰。
第四,以徐玉玉案等类似的案件为例,丁博士提出疑问:个人信息泄露和滥用的源头在什么地方,什么部门掌握更多的个人信息?在互联网高速发展的时代,很多私主体也掌握了大量的个人信息。公权力机关的个人信息保护技术水平是不是比其他市场主体的保护水平更高?如果在大数据的条件下,立法中个人信息的范围越来越宽广,那么怎么样能够建立一个个人信息合理使用的规则?丁博士就以上问题与在座专家学者进行了探讨。
胡钢律师回应了前几位专家的发言,并从两个方面针对议题陈述了自己的观点:
一、高度评价司法解释对于防范遏制侵犯公民个人信息犯罪的重要现实意义和重大理论突破。
1、该解释中界定“公民个人信息”包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。“通信通讯联系方式”是新出现的,顺应了当前三网合一的技术发展趋势,值得点赞。“账号密码”一词也应因其巨大弹性,足以响应网络经济的拓展。此解释中的“行踪轨迹”,是在以前的法律体系中没有出现过的,是一个重大突破,适应了当下基于位置信息服务(LBS)的普遍和迅猛发展。
2、关于前面提到的罚金刑,以前的规定太过笼统,而此解释对罚金刑的范围做了一个比较清晰的界定,是非常好的,是依法治国的具体表现。
3、刑法中的公民个人信息定义不应混同于民法或行政法中的定义,未来可逐渐统一。
4、明确了过度收集个人信息的刑法责任。
二、建议完善我国个人信息保护法律体系
1、尽快制定《个人信息保护法》。
2、网络经济应该是创新驱动,而非隐私驱动。
3、需要尽快明确侵害公民个人信息的民事赔偿标准,建议最低五百元。
4、尽快明确个人信息保护的专责机关。
彭新林教授结合议题发表了观点。
第一,在大数据背景之下,两高的司法解释把公民个人信息的含义概括成“身份识别信息”和“活动情况信息”,这背后体现了价值平衡的理念:一是充分保护公民个人信息安全,二是保障大数据产业的发展。他认为,两高司法解释关于公民个人信息含义的界定,体现了这两种价值理念平衡的基础上实行个人信息保护优位的价值原则。
第二,对于是否应该区分“提供”和“出售”行为的问题,刑法条文对此做出了区分。彭教授认为这种区分是有必要的,因为“提供”和“出售”是两种不同的行为方式,尽管如此,这两种行为方式侵害的法益和社会危害程度是相当的,所以刑法修正案九把以前的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合成一个罪,即“侵犯公民个人信息罪”。
第三,彭教授对于一些问题给出了回复:一,对于 “行为的主观目的能否影响对行为性质的认定”,彭教授认为这是当然的,对此可以比照刑法中的拐卖儿童罪和拐骗儿童罪。二,对于“侵犯个人信息犯罪与利用个人信息实施的诈骗、盗窃、绑架有关犯罪之前是否存在竞合”,答案是肯定的。三,对于“基于公众的知情权和舆论监督权,在网络上披露公众人物,政治人物和违法者个人信息是否是用这个解释”的问题,彭教授认为这个从理论上讲没有任何问题。我们所说的知情权和舆论监督权与公众人物的隐私权之间的关系,也有一个价值平衡的问题。四,对于此次司法解释把行政法规、部门规章也视为国家规定是否有合理性或者合法性,彭教授认为是值得商榷的。彭教授认为“违反国家规定”和“违反国家有关规定”是不同的表述,值得强调的是,刑法中“违反国家规定”与“违反国家有关规定”的表述虽有所不同,但核心意涵是一致的。违反国家有关规定就是违反国家规定,违反国家规定只能理解为违反国家有关规定,两者是从不同层面上讲的。就这一点,彭教授表示对阴教授的观点持保留态度。
最后,针对两高发布的《侵犯公民个人信息犯罪的司法解释》,刘德良教授针对其中的问题,通过以两方面进行了解答:
1.在大数据背景下,如何准确理解个人信息?
虽然理论上将个人信息界定为“据此能够直接或间接识别出某一特定自然人身份的信息或信息的组合”基本上没有太大的争议,但是,实际上在某个特定情形下判断某些数据或信息是不是个人信息时往往容易出现偏差。这是因为,能否识别出来往往是与识别的主体、识别的技术或手段有关的,这就是个人信息定义中“识别”的相对性。
所谓识别的相对性,是指作为识别的主体,他/她之前是否对被识别人熟悉或认识;对于一个之前熟悉或认识的人来说,一看到某些信息(如照片或声音)就可以直接识别出某个特定的人,或者将其与某个特定的自然人联系在一起;而同样的信息,如果之前不熟悉或不认识的,可能就不会据此识别出某个特定的自然人,或者将该信息与某个特定的自然人联系起来。另外,利用人眼识别不出来的,可以利用计算机或人工智能技术识别出来;在大数据技术之前,识别不出来的话,那么在大数据背景下可能就没有问题了。
尤其值得注意的是,在互联网背景下,个人信息是碎片化(以数据形式)存在的,它是由N个数据片断组合而成的,N个片断的组合在一起才是某个人的个人信息,那么即使是N -1个片断的,也不是完整的,不能识别出特定自然人,也就不是个人信息了。同时,个人信息在网络环境下也是动态存在的,即在不同的使用网络(购物、浏览网页等)条件下每个人的个人信息是不尽相同的。因此,在此次司法解释的条文中,所涉及到的财务信息、账号、行为轨迹等内容,如果仅仅是这些“信息”(准确地讲,应该被称作“数据”)本身,由于它们不能识别出特定自然人,所以根本不是个人信息;如果是除了这些数据之外还有其他诸如身份证号码、姓名等信息的话,这些信息组合在一起可以构成某个人的财务信息或者行为轨迹。
现在商家通过互联网所收集的消费者的消费偏好等数据,(这些被大部分人称作个人信息,)实际上并不是个人信息,最多只能算是与个人有关的数据。在商家眼里,其实,它并不关心某个消费者是张三,还是李四;他只关心他们有何种偏好即可,这样便于它做有针对性的营销。个人信息是能够直接或间接识别出一个人的信息或信息的组合,所以,任何不能识别出特定自然人身份的N-M(M<N)个数据由于其不足以识别出某一自然人,故而是不能称之为(某一用户或消费者的)个人信息。实际上,商家知道“某一用户的”行为偏好数据对买卖双方都是有好处的,节省了双方交易的成本。我们很多人(从欧盟立法和判例那里学来的)反对商家利用诸如cookie之类的技术收集用户数据的行为,认为这是对个人隐私的侵犯。这种观点实际上是对个人信息认识上的误解,这种观点把一个本来不是问题的问题(伪问题)炒作成为了真问题!因此,商家收集的没有经过精细化处理的数据,并不会特定精准的指向谁,只是数据而已并非个人信息。
值得注意的是,在大数据技术出现之前,我们界定个人信息不仅具有重大意义,还具有重要的现实意义。但是,在大数据时代背景下,对个人信息下定义也就仅仅具有理论意义了,其现实意义已经所剩无几了。这是因为,尽管只要有足够多的数据,就一定能够识别出特定的自然人。这就意味着在大数据时代的今天,乃至未来,我们之前关注个人信息的识别性特征已经失去了意义,即我们的理论和立法更应该关注对个人信息的利用环节,而不是收集和加工环节。换言之,收集、加工或处理的目的就是利用,而这些难以发现和规范的收集、加工或处理阶段只是利用前的过程,利用才是目的;也只有利用才会对主体构成伤害或消极影响。因此,在大数据背景下,立法更应该关注的是对数据的利用,而不应该是利用前的环节了。
2、刑法第253条自颁布(2009年)以来,全国进入法院的有关案件和判刑的人数分别是1464件和2112人。这些数字和个人信息保护的现实对比说明了什么?为何会如此?
这些数字说明了现行的有关个人信息保护的法律制度缺乏可操作性,或者说,其实施效果很差。实际上,与天文数量级别的个人信息泄露数字相比,这些数字几乎可以忽略不计。我们每个人都会遇到很多次所谓的个人信息泄露,从升学、找工作,再到买房、租房等都会遇到所谓的个人信息泄露问题,我们每天都会接到很多垃圾短信和骚扰电话。但我们这些个人信息泄露问题几乎没有被公安发现,没有作为刑事案件被立案、侦查和起诉到法院。为什么呢,因为我们没有人会到公安机关去报案;我们为什么没有人愿意去报案呢,是因为我们个人去报案时公安机关十有八九会以没有什么危害或者以我们的(证明信息泄露的出处)证据不足为由而拒绝受理(本人2年前曾经报过案到现在仍然未立案、未给予答复)。而实际上,如果没有引起社会的强烈关注或没有出现人命关天的事件时,公安机关一般是不会主动介入的。这也可以从既有的案例中得到印证。
整个沙龙期间,几位嘉宾进行了热烈的交流与讨论,参加沙龙的校内外同学进行了积极提问,并得到了各位专家教授的耐心解答。其中,来自河南科技大学的李延舜老师从其研究的法理学角度与大家分享了自己的观点并进行了相关讨论。沙龙期间,各位专家、教授各抒己见,与会同学也积极发表个人观点,就侵犯个人信息犯罪及其司法解释相关法律问题进行了热烈的讨论。
【沙龙简介】
“网络与法律对话”学术沙龙由亚太网络法律研究中心主办,由北京师范大学法学院、北京亚太网信咨询有限责任公司和北京立新盈企大数据技术股份有限公司联合支持,专注于网络和信息法学问题,为广大网络和信息法学爱好者搭建的学术交流平台。了解更多网络和信息法律前沿热点和沙龙活动,请访问亚太网络法律研究中心网站(http://www.apcyber-law.com )。