公民个人信息保护检察初探
刘雷 王桂欣*
当今世界,数字经济蓬勃发展,信息技术革命日新月异,网络数据的大规模收集、处理、应用在给人们带来便利的同时,数据安全风险日益凸显,个人信息泄露事件时有发生,保护公民个人信息安全,成为世界各国需要共同面对的重要课题。
由于智能终端的数据与移动支付、用户隐私等重要信息密切相连,其潜在的巨大经济利益也将吸引众多黑客开发恶意程序,这为个人信息的保护带来了极大的挑战。此外,国人的购物偏好由淘宝、京东和亚马逊等购物网站监控;微博、微信等社交软件记录着我们的社交关系网,这些个人信息的收集、处理和使用者,却不是信息的产生者。换而言之,个人信息的产生者却不是信息的控制主体,个人信息的产生者无从知晓其个人信息究竟在何处被谁处理,亦无从知晓这些个人信息究竟会流向何处。这种情况下极易导致信息失控。
2017年5月8日,最高检会同最高法颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,作为对个人信息安全刑事立法的重要补充,为追究和惩治侵犯个人信息犯罪提供了有力法律武器。
一、个人信息的概念
概念界定是任何法律研究的起点,具有“特定价值之承认、共识、储藏,减轻后来者为实现该特定价值所必须之思维以及说服的工作负担”之功能。因此,准确把握个人信息的概念,厘清个人信息的内涵和外延,正确认识其法律保护背后的价值冲突,意义重大。
(一)个人信息与相关概念的区分
不同国家对个人信息的用语并不相同,欧盟一直使用的是“个人数据”一词,而我国一直使用的是“信息”。英语语境中,数据为“data”,个人数据是指对个体状态的客观记录,是未经过处理的个人原始记录,它不能脱离电子信息系统这个载体而独立存在;而信息为“information”,个人信息是指个人数据经过加工处理后,从而形成的具有一定使用价值的内容,并且它可以脱离电子信息这个载体而独立存在,其可以是电子状态,也可以是纸质状态。大数据时代进行个人信息保护,法律更应该关心的是具有使用价值的个人信息,而不是所有的个人数据。我国2017年6月施行的《网络安全法》在界定个人信息的同时,也指出了个人信息与个人数据的不同。
美国将个人信息称为个人隐私,我国也长期将个人信息和个人隐私混同规定。直到2017年《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)将个人信息定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这一规定明显拉开了个人信息与个人隐私的距离,今年颁布的民法典人格篇中对个人信息的规定则指出了个人信息包括个人隐私,隐私信息并非公民个人信息的平行概念而是公民个人信息的下位概念。
(二)个人信息的特征
1.可识别性。个人信息的可识别性是指基于个人信息的具体内容,可以有效地定位到信息中所描绘的自然人(即信息主体)之可能性。可识别性既可以是直接识别,也可以是间接识别。所谓直接识别是指利用某项信息即可识别出信息主体的身份,比如身份证号,而间接识别是指某项信息通过与其他信息进行对比即可识别信息主体身份,比如电子邮箱注册账号+密码。
2.关联性。公民个人信息的关联性是指个人信息与信息主体之间的联系,通过某种相关性能够锁定特定的自然人。比如通过手机号码结合一定的个人活动信息,就比较容易锁定到特定人。
(三)公民个人信息权的权利属性
大数据时代下,随着信息技术的快速发展,非法获取个人信息越来越容易,个人信息的快速传播性大大增加了个人信息安全受威胁的可能性,在这种情况下,准确界定公民个人信息的权利属性,明确刑法中个人信息的保护范围尤为重要。
1.个人信息权的人身权利属性。个人信息体现着特定自然人的人格利益。即信息主体的自然人属性决定了个人信息主体的唯一性,使得个人信息能够发挥出主体识别的功能。民法典将个人信息保护置于人格权篇,也是自然人享有基于人身自由和人格尊严产生的其他人格权益的体现。
2.个人信息权的财产权利属性。信息技术的发展使得个人信息具有商业化的特征。个人信息可以被人占有、交易,可被排他使用,可被消费、修改、销毁等,甚至能被继承、赠与、遗赠,个人信息具备了许多现代财产的法律属性和价值特征。
3.个人信息权的超个人法益属性。当今世界,“个人信息已经成为现代商业和政府运行的基础动力”。对社会而言,信息失控会导致包括犯罪事件陡增在内的大量社会问题,可能会引发公共危机,危害社会的稳定和发展;对国家而言,信息失控则意味着国家安全的危机和信息主权的丧失。个人信息安全是国家信息安全的重要组成部分,国家信息安全关乎国家的各个方面。因此,公民个人信息权保护不仅仅是对个人的人格权、财产权的保护,更是涉及到国家对社会安全、集体利益、网络运行环境保护的整体管理。
二、个人信息保护存在的问题
伴随着信息技术的迅猛发展,侵犯个人信息的行为方式不断翻新,波及范围越来越大,犯罪后果日趋严重,个人信息保护面临前所未有的困境。
(一)法律体系不完备,法律适用难
1.缺乏统一的个人信息保护法。我国没有专门的个人信息保护法,新颁布的民法典虽然有涉及个人信息保护的条文规定,但针对侵害个人信息的民事责任只有两条免责事由的规定,缺乏侵害个人信息民事责任的归责原则、构成要件、侵权责任等具体规定。其他保护公民个人信息的行政法规和部门规章之间缺乏内在联系甚至存在规范冲突,极大影响了公民个人信息的保护效果。
2.公民个人信息保护的行政法规与刑法衔接不畅。首先,刑法中的侵犯个人信息罪是以“违反国家规定”为前提的,但由于没有专门的个人信息保护法,现有的行政法规零散且缺乏联系性,要明确犯罪嫌疑人违法了哪一个“国家规定”,易造成混乱或冲突。其次《网络安全法》对侵犯个人信息违法行为,最高可处违法所得的10倍或者100万罚款,而按照刑法第253条之一的规定罚金数额是违法所得1倍以上5倍以下,在实践中容易产生同一行为刑罚轻于行政处罚的不合理情形,造成刑罚与行政处罚的失调。
3.刑事法律适用存在疑难问题。侵犯个人信息罪的行为方式包括出售、非法提供、窃取和以其他非法方法获取,对于在履职过程中合法获取的公民个人信息,没有出售或者非法提供,比如非法公开或传播、恶意删减、变更或者篡改信息的行为没有进行规制。同时对于已经公开的个人信息是否属于侵犯个人信息罪的犯罪对象,违法所得与获利是否需要扣除成本等问题都没有进一步的解释。
(二)电子数据信息的收集、取证难度大
1.侦查取证难。电子数据的易失性、无形性、脆弱性、精确性等显著特点,决定了其与物证、书证等传统证据存在着诸多差异之处。一是证据体系庞杂。侵犯公民个人信息的行为主体涉案范围广,涉案人员关联性弱,侵犯的公民信息数量庞大,信息流入领域范围广。二是侵害公民个人信息的手段犯罪具有高科技、虚拟化的特点,反侦查方法不断迭代更新。犯罪嫌疑人为逃避打击,通常会定期清理聊天记录、销毁存储介质或采用动态网址、加密技术、不断变换域名等手段躲避侦查。三是取证切入点难以把握。侵害公民个人信息犯罪通常与网络金融犯罪、电信网络诈骗犯罪等发生竞合,造成取证的切入点难以把握。四是取证时间长。电子信息数据的取证工作通常需要与网络服务提供者进行长时间的沟通协商,影响办案效率。
2.审查认定难。一是个人信息的获取和分析能力不足。在侵犯公民个人信息的案件办理中,通常需要对大量的电子数据进行审查,有时还要对大量的被害人、上下游关联人进行查证,尤其对批量信息真实性的辨别,会耗费大量办案精力。此外,专业化办案人才缺乏,一些检察官在大数据、电子证据、计算机网络等方面的专业知识不足,增加了办案难度。二是取证不规范、认定标准不一。针对侵犯公民个人信息犯罪的电子数据的提取、认定以及个人信息的分类、计算、查重等问题没有统一标准,导致认定难。
(三)检察机关法律监督职能发挥不充分
1.检察机关综合运用法律监督手段不充分。一是保护手段有限,保护力度不足。实践中检察机关多运用刑事手段保护,民事行政检察和公益诉讼检察保护手段运用少,没有综合运用检察建议、纠正违法、典型宣传等手段,从源头上惩治犯罪。二是事后打击为主,事前保护不足。目前,检察机关对于个人信息的保护主要体现在事后对违法犯罪行为的打击和法律监督方面,线索发现主要依赖于公民个人控告或者公安机关等相关机关的移送,对侵犯公民个人信息涉及的黑灰产业链,尤其对上下游犯罪,没能及时提前介入,引导公安机关加强侦查。
2.检察机关专业化程度有待提高。目前检察机关高端复合型的检察人才缺乏,检察人员大数据运用能力不足,善于从关联数据信息中发现问题、判断趋势、策划解决办案的水平不够,科技力量在履行检察保护职能中尚未得到充分发挥等,制约了检察机关法律监督作用的发挥。
3.检察机关跨境跨区域合作有待加强。近年来,借助发达的现代通讯网络和便捷的支付结算手段,网络犯罪在空间上大范围、大跨度作案已呈常态化,呈现出类型多样、区域转移和组织化特征突出等特点。跨境信息网络诈骗等犯罪频发,犯罪分子更多在境外对我国公民开展犯罪活动,不但侵害我国公民合法权益,还可能威胁到国家安全和地区稳定。
但是,跨境互联网犯罪的治理极其困难,网络犯罪的无界限性和执法司法的有界限性之间的客观矛盾,是造成当下跨境网络犯罪治理困难的重要原因之一。同时各国之间的法律政策和司法制度的差异,有时会被不法分子利用。犯罪成本低廉而跨境抓捕成本巨大,执法、司法程序上不同国家之间的证据标准不一,刑罚轻重差异较大等现实问题,在实践中也会一定程度影响跨境互联网犯罪的治理效果。
三、公民个人信息保护的路径与对策
(一)完善公民个人信息法律保护体系
1.加快出台个人信息保护法。制定国家专门统一的个人信息保护法是我国未来发展的必然选择。2020年5月25日第十三届全国人大三次会议将制定个人信息保护法列入主要工作安排,个人信息保护法的出台指日可待。个人信息法应当统一规定个人信息的内涵外延、权利属性、个人信息保护的基本原则、权利和义务、处理个人信息应当遵循的规则和法律责任等,为加强个人信息权利保护,促进信息产业健康发展提供有效的法律保障。同时应当尽快全面梳理个人信息保护法律法规,对涉及个人信息的法律法规进行排查,及时清理现行法律法规和规范性文件中有关公民个人信息保护不协调甚至互相矛盾的内容,保障法律的统一实施。
2.完善公民个人信息保护刑事立法。首先,目前刑法对于非法利用他人个人信息从事违法活动构成相关犯罪的行为规定了非法利用信息网络罪和帮助信息网络犯罪活动罪,但是对于非法利用他人信息尚未构成犯罪但造成严重后果的行为却无法追究刑事责任。其次,针对非法公开他人个人信息,导致他人信息被广泛传播引发严重后果的行为,比如人肉搜索,也未纳入刑法的保护范围。因此,建议增设“非法利用个人信息罪”,并将非法公开他人个人信息的行为纳入到侵犯公民个人信息罪的打击范围。
3.完善司法解释,加强司法实践。针对司法实践中遇到的一系列法律适用难的问题,各级检察机关也针对此类犯罪涉及面广、电子证据多、侦查难度大等特点,建立提前介入侦查机制,就侦查方向、证据规格、法律适用等提出专业性、针对性较强的意见,引导公安机关依法全面客观收集和固定证据,同时应当尽快完善相关司法解释,更全面系统地保障我国公民个人信息安全及合法权益。
(二)协调发展“四大检察”职能,全面保护公民个人信息安全
1.做优刑事检察,加大侵害公民个人信息安全犯罪的打击力度。一是建立跨区域协调办案机制。基于网络的迅速传播性,侵犯公民个人信息的犯罪打破了传统犯罪的地域界限,网络虚拟空间中的刑事管辖权的合理确定,应当是以传统的刑事管辖权为基础、基于谦抑原则的略有扩张。因此,应当建立侵害公民个人信息等犯罪的跨区域协调办案机制,及时研究解决管辖问题,推动实现侦、诉、审管辖的一致性和一体化,确保刑事诉讼顺利进行。二是全面贯彻证据裁判规则。对于网络犯罪的控制,最大的问题就在于犯罪证据收集的困难性,而且随着计算标准和数据格式的成倍增加,获取并处理这样的电子数据变得非常困难,证明力更加薄弱。检察机关应当牢固树立证据裁判理念,加大证据审查力度,积极采取提前介入机制,加强对侦查取证活动的引导,发挥起诉前对取证工作的主导作用。三是加强智慧检务建设,依托大数据平台,提升取证能力和办案水平,将大数据技术、人工智能和检察办案工作紧密结合,为电子取证提供技术支撑。
2.做强民事检察,为个人信息保障提供更为准确等法律依据。《民法典》明确了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等,并明确了处理自然人个人信息应遵循的基本原则,即合法原则、正当原则和必要原则。同时还明确了信息处理者的主要义务,包括:一是“不得泄露、篡改其收集、存储的个人信息”的义务。二是“不得向他人非法提供其个人信息”的义务。除非经过信息权利人同意,否则,不得向他人提供个人信息。三是确保其收集、存储的个人信息安全的义务。四是个人信息泄露、篡改、丢失后的报告义务。可以说,《民法典》等颁布为民事检察在个人信息案件处理方面提供个更加完善准确的实体法依据。
3.做实行政检察,对个人信息保护领域进行全方位司法保护。检察机关发现个人信息保护领域确有错误的行政判决或裁定,应当依法提出抗诉或检察建议。同时,建立与相关职能部门的有效联系机制,及时发现侵犯个人信息行为的相关线索,加强侵犯个人信息犯罪的源头治理、系统治理、综合治理。例如,加强与网络服务商的协作,督促电信网络等数据掌握者积极履行责任,配合司法机关调查取证。
4.做好公益诉讼检察,维护公民个人信息的合法权益。侵害公民个人信息的受害主体众多,且由于信息技术的复杂性使得公众对维护个人信息安全时出现维权难的情况。国外大多数国家主要负责检察的机关,都可以作为适合原告而提起公益诉讼,这是因为维护国家和社会公共利益是其根本宗旨之一。检察机关作为社会公共利益的维护者,应当发挥好公益诉讼检察职能,充分维护公民的个人信息安全。一是通过支持起诉、督促起诉、提起诉讼和刑事附带民事或行政公益诉讼的方式参与公益诉讼。二是构建多方衔接机制,充分挖掘公益诉讼线索。实践中,公益诉讼检察部门可以主动对接其他检察业务部门,充分挖掘可能涉及侵害公民个人信息的公益诉讼线索。同时,充分利用“两法衔接”机制,积极开展走访调研,与市场监督管理部门、网络监管部门等对公民个人信息负有监管义务的部门建立信息共享机制,从多渠道发现侵害公民个人信息的线索。
(三)完善其他配套制度,提升公民个人信息保护意识
1.建立完善侵害公民个人信息保护典型案例发布机制。“一个案例胜过一打文件。”2017年5月,最高检发布六起侵犯公民个人信息犯罪典型案例,这批典型案例是为了配合《解释》的出台,深入理解和准确把握《解释》的基本精神和主要内容,确保刑法的正确实施,6个案例从不同角度反映检察机关依法履行审查批捕、审查起诉、立案监督等检察职能,严把案件事实关、证据关和法律适用关,准确指控犯罪,有力惩治侵犯公民个人信息的犯罪,并取得良好的法律效果和社会效果。今后各级检察机关应当建立完善对侵害公民个人信息保护典型案例发布机制,及时总结典型案例对典型意义,对办理此类案件,正确适用法律和司法解释,规范统一司法,提供更好的参考价值。
2.落实普法责任制。落实“谁执法谁普法”普法责任制的要求,检察机关作为执法机关,要把个人信息保护普法工作作为一项推进法治建设的基础性工作来抓,纳入本部门工作总体布局,做到与其他业务工作同部署、同落实。在日常司法办案中加大释法说理力度,探索运用公开送达法律文书、举办法治宣讲课、参加典型案件庭审观摩等方式,讲解法律知识和维权途径。充分利用传统媒体和新媒体,加强对个人信息保护政策法律的解读,增强公民保护个人信息的意识。
笔者认为,包括中央网信办、公安部、最高人民法院、最高人民检察院、工业部、国家市场监督管理总局等国家各职能部门,应持续保持对侵犯公民个人信息犯罪的高压严打态势,从源头上治理公民个人信息被泄露、隐私被侵犯的安全隐患,促进、提高行政机关、企事业单位对公民个人信息和数据安全的保护能力,形成源头治理、综合治理、系统治理的工作格局,建立打击危害公民个人信息和数据安全违法犯罪长效机制。各级检察机关也应立足本岗,积极探索个人信息保护领域的民事、行政、公益诉讼检察工作,促进对公民个人信息全方位司法保护。
