1. 引言
公民的各类个人信息在如今的大数据时代越发具有复杂、多样的特点,其中敏感个人信息的保护问题也逐渐受到公民的一致重视。由于敏感个人信息具有高度人身依附性和财产关联性,例如行踪轨迹信息、生物识别信息,一旦受到不法分子侵犯,公民的人身和财产必然会受到损害,甚至连人格尊严也会受到贬低。因此,在《个人信息保护法》的指引下,刑法领域也应当积极回应现实需求,完善对敏感个人信息的特殊保护。
2. 敏感个人信息概述
(一) 敏感个人信息的定义
法律规范和法律制度的构建缺少不了法律概念这一建筑材料。要想构建敏感个人信息的特殊保护体系,首先要先明确敏感个人信息这一法律概念的内涵所在。纵观我国现有的个人信息保护体系,主要分析《个人信息保护法》第28条规定可以看出,我国对于敏感个人信息的定义采取的模式是“概括 + 非穷尽式列举”,其中“概括”是指法律如何下定义,“列举”则是包括行为如何罗列 [1] 。敏感个人信息被定义:倘若被非法使用并泄漏,将会导致信息主体在人身、财产、人格尊严等方面受到侵害。例如特定身份、金融账户、宗教信仰、生物识别、行踪轨迹、医疗健康,以及未满十四周岁未成年人的个人信息。1该条文一方面以根据信息的具体内容作为区分个人信息的标准,另一方面也创新性地将年龄纳入了个人信息的分类标准。
《个人信息保护法》作为敏感个人信息保护体系的核心,其下位还还有一些已颁布的行政法规、法律规范来予以辅助。例如《信息安全技术个人信息安全规范》、《民法典》以及《信息安全技术公共及商用服务信息系统个人信息保护指南》等等,共同构成完整的保护体系。这些规范中已有敏感个人信息的基本概念基础,虽然采取的定义模式相同,但是上述规范性文件更倾向于保障有关人身和财产安全的信息类型,罗列的信息类型也不尽相同。
目前国内法对于敏感个人信息的定义对于实践活动有着指导意义,也为未来社会发展下可能出现的新型数据形式预留了一定的空间,然而缺乏了法律秩序的统一性,容易出现法律冲突适用,同时敏感个人信息的边界也存在一定模糊性,并不能依靠列举穷尽所有的风险来源。
(二) 敏感个人信息的界定标准
由于现有法律规范中并没有对敏感个人信息的定义形成统一的观点,使得敏感个人信息与公民的一般个人信息、私密信息难以明确的辨明其边界。法学界有观点认为私密信息的确与敏感个人信息有范围重合的地方,两者应当时相互交叉的关系 [2] 。类似的观点还有,认为敏感个人信息应当被包含在私密信息的边界之内 [3] 。所以目前对于敏感个人信息的界定众说纷纭,没有统一观点。针对敏感个人信息的认定,应当首先把握其基本的判断标准,避免对个人信息“敏感性”的判断陷入个人主观的认识因素中去。
判断所有个人信息有一个共同的认定标准,也就是可识别性。敏感个人信息也不例外,可以用该标准进行判断。换而言之,披露此类信息可以直接分析得知公民的具体身份或行为信息。除此之外,在《解释》第5条第1款第4项中还创新性地采取了财产安全标准和人身安全标准 [4] 。前者区分一般个人信息和敏感个人信息的标准主要是判断该信息与自然人财产安全的联系是否达到了紧密的程度。例如第4项中所涉及的交易信息,此类交易信息一旦被他人非法获取,就能直接接触到公民的财产信息、信用卡信息等重要内容,从而用于从事犯罪活动。某案中被告人利用互联网途径非法购买上万条他人的财产信息,并用于之后的电信诈骗活动,给众多被害人造成了极大经济损失。2而人身安全标准则是同样地考虑个人信息与公民生命权、健康权之间联系的紧密程度。例如在第3项中被突出保护的行踪轨迹信息就是完全依照该标准划分出来的特殊个人信息,公民的行踪轨迹往往与个人生命息息相关。目前违规收集公民行踪轨迹信息的事例越来越多,如滴滴被罚案中曝出该app存在严重的违法收集个人行踪轨迹信息的情形。3这类信息一旦泄漏或被有心之人利用,就很有可能为信息主体带来人身安全的隐患。
除此之外,还可以参考和学习域外对于敏感信息的认定方法,如欧姆所主张的综合指标法,即综合考虑伤害的可能性、特定信任关系、公众关注度以及伤害概率来判断该信息是否具备“敏感性”。
3. 敏感个人信息需要刑法特别保护
(一) 侵犯敏感个人信息会造成严重社会危害性
敏感个人信息的组成部分在《个人信息保护法》第28条中被分类为三个要素,即容易侵害人格尊严的个人信息、14周岁以下未成年人信息以及容易侵害人身、财产安全的个人信息。例如最典型的敏感个人信息——生物识别信息,一直以来受到公众热议。相较于其他个人信息或私密信息而言,生物识别信息与公民的人身有着极强依附性,公民的人格尊严与这些敏感信息息息相关,需要严格保护。此前互联网的AI换脸风波就是利用手机、电脑摄像头的漏洞,通过非法软件收集公民面部识别信息,从而替换到其他完全不相关的图片或视频之上进行诈骗、骚扰行为。除了人格尊严受侵犯以外,换脸视频也曾被利用去进行近亲属诈骗活动,使得公民的财产安全也收到威胁。
由此分析可知,敏感个人信息具有高度的人身依附性、财产关联性以及儿童特殊性,与公民最为关注的权益紧密相关,一旦此类个人信息受到侵犯,将会对信息主体的人身权、财产权造成更加严重的危害后果。例如,利用非法软件周某非法获取了300余条女生个人信息和裸贷照片4。该案中这些敏感的个人信息一旦泄露,就已对这些受害人的心理健康和名誉权造成难以弥补的伤害,甚至会招致他人的歧视和言语重伤。在快速发展的大数据时代,敏感个人信息越发具有复杂、多样的时代特点,仅仅依靠目前的行政法规、规范性文件难以给予全面的保护,同时对于上述严重侵犯他人权益的行为亟需给予与之相匹配的重视和保障,有必要将敏感个人信息纳入刑法的保护范围,来应对日益复杂的社会环境。
(二) 敏感个人信息的法律规范不足
目前国内法中对敏感个人信息的保护规定集中规定在《个人信息保护法》中,此外在《民法典》、《个人信息安全规范》和《个人信息保护指南》也有部分有关规定。虽然敏感个人信息的保护体系已初见雏形,但并没有维持统一的法律秩序。这些规范对于敏感个人信息的定义和类型划分都不尽相同,背后所运用的理论基础也存在差异,导致敏感个人信息与私密信息、隐私权等概念难以辨明,实践中难以形成统一的认知。
同时,已有的法律规范中关于敏感个人信息的处理规则也存在缺陷。以《个人信息保护法》中第29条至32条为例,该条文首次细致规定了敏感个人信息的基本处理规则,可以概括称为同意处理规则,并在此基础上列举了例外情形 [5] 。换而言之,原则上允许信息处理者使用敏感个人信息,但应当征求信息主体的同意,在特殊情况下禁止信息处理。这一处理规则看似严格,但在实践中存在较大的适用空间,给予了信息处理者随意利用的自主空间,使得信息主体的信息保护流于形式。一方面,目前敏感个人信息的保护规范不够具体、明确,缺少可操作性,另一方面,这些法律规范的效力不及刑法及司法解释,难以实现全方面的、有效的信息保障。
(三) 有助于维持统一的法秩序
《个人信息保护法》自颁布以来就被认为是打击侵犯公民个人信息罪的重要前置法,在目前敏感个人信息的保护体系中,该法对于敏感个人信息的含义和处理规则的规定是最具前瞻性、严密性的,对其他法律规范、行政法规的完善有着指导意义 [6] 。在该法中对个人信息采取了分级保护模式,强调了对敏感个人信息的特殊保障。侵犯公民个人信息罪作为我国刑法分则中的法定犯之一,根本目的就是为了打击违反国家规定、侵犯公民信息安全的犯罪行为。由于刑法的最后性,它主要就是通过对民事、行政等领域所确立的权利进行二次保障,来发挥刑法对前置性法律的根本作用 [7] 。倘若前置性法律规定在立法上存在制度缺陷或是缺少理论支撑,势必会刑法的连锁反应,从而影响刑法规范在制度设置上的宏观思考,影响对个人信息保护的理论基础 [8] 。因此,随着《个人信息保护法》等前置性法律日益完善的发展背景下,侵犯公民个人信息罪也需要不断地进行修订和进步。《个人信息保护法》中有关敏感个人信息的细致规定和理论依据具有一定合理性,可以作为在刑法领域完善对此类信息特殊保护的重要参考。这一举措有助于增强《个人信息保护法》与刑法、民法等其他法律规范的有限衔接,从宏观上维持法律秩序的统一。
4. 刑法对敏感个人信息保护的现有规定
(一) 刑法中敏感个人信息的内涵
目前我国刑法中关于个人信息的保护仅仅是专门设立了侵犯公民个人信息犯罪,虽然分析刑法通篇条文并没有使用“敏感个人信息”的这一法律概念,但在在其他罪名的构建要件中涉及了敏感个人信息的内容。例如非法提供信用卡信息罪、冒名顶替罪以及伪造、变造、买卖身份证件罪中5,所涉及的信用卡信息和特定身份信息就属于敏感个人信息,从本质上看这类犯罪应当归属于侵犯公民敏感个人信息的犯罪,但是由于这些犯罪所侧重想要保护的法益不同,如财产法益和社会管理秩序法益,因而被分散在刑法分则的第三和第六章中。
侵犯公民个人信息罪被设立在刑法分则第四章中,一方面该章节所侧重保护的是公民人身权利这一法益,另一方面在该罪名的有关条文中也并未使用“敏感个人信息”这一用词,因此无法分析得知敏感个人信息是否受到刑法分则的特别保护。由此可见,目前我国刑法条文的设置并没有将重点放置于公民敏感个人信息的保护上,侵犯公民个人信息罪的立法初衷是为了更好地维护社会管理秩序,而并不是将个人信息安全作为其保护法益。
(二) 《解释》对敏感个人信息的保护
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)是在公民信息逐步受到广泛重视的大背景下由两高于2017年联合颁布的专项司法解释。该法明确地对个人信息采取了分类分级模式,一方面在实体上给予了不同类型的个人信息不同程度的保护力度,另一方面在事实上也有助于区分一般个人信息与敏感个人信息之间的差异 [9] 。值得一提的是,对于公民个人信息受侵犯的现实需求,该法首次以司法解释的形式对此类案件如何适用法律给出了明确、具体的实践指导。
对于公民个人信息的类型,《解释》中依旧采取了“分级 + 列举”的模式,其中列举的信息类型存在归属于敏感个人信息的内容,与《个人信息保护法》存在相同重叠之处。但两法之间也有许多差异之处,例如最明显的差异就是《解释》对个人信息采取了完全不同于《个人信息保护法》的分级标准。敏感个人信息在《解释》中被分为两个级别的信息类型,分析第5条第1款可以得知第一级包含了财产信息、通信信息、行踪轨迹信息和征信信息,第二级则是将可能影响人身、财产安全的个人信息归于一类,如通信信息、交易信息以及住宿信息等6。该法先是对不同类型的个人信息进行分级,然后对不同级别的个人信息给予不同程度的证明标准,即侵犯公民个人信息行为是否达到“情节严重”要先判断属于哪一级别,进而适用不同的判断标准。相比而言,《个人信息保护法》中仅仅对敏感个人信息采取了分类模式,并未采用刑法领域中的分级方法,这就凸显了该法更加侧重于对所有敏感个人信息给予同等的关注和保护。除此之外,《解释》对未成年人个人信息和生物识别信息的保护范围、规定方式上也与《个人信息保护法》有所不同。
由此可见,《解释》已初步呈现出对敏感个人信息保护的立法倾向,但是由于其与《个人信息保护法》中内容规定的差异性,就必然会使得敏感个人信息难以从刑法领域实现全方位、有效的保护。
5. 完善刑法对敏感个人信息的特殊保护
目前在刑法领域,已经存在保护敏感个人信息的初步制度基础,如《解释》中对敏感个人信息的分级模式,以及刑法中部分罪名所涉及的保护法益。在此背景下,应当将关注点侧重于如何强调和突出刑法规范中对于敏感个人信息的保护,在构建敏感个人信息的制度基础时可以考察《个人信息保护法》中的相关规定,积极解决现实需求。
(一) 明确敏感个人信息的概念
《个人信息保护法》处于敏感个人信息保护体系中的核心地位,对构建敏感个人信息的刑法特殊保护有着不可忽视的指导意义。不仅仅是因为个人信息保护法对于公民个人信息的保护规则是目前最具严密性、先进性的,更是因为该法相比民法典、其他行政法规而言,它的规定更加细致、全面,已经超越了现有规范中的规定 [10] 。例如,分析个人信息保护法第28条可以看出7,该法采取了多种界定标准将敏感个人信息与其他个人信息予以区分,包括了人格尊严标准、人身安全和财产安全标准,以及受到广泛关注的未成年人标准,不仅符合社会现实需求,更是具有前瞻性的实践指引价值。因此,刑法规范中,尤其是《解释》中可以参考个人信息保护法中对于敏感个人信息的定义以及界定标准,在条文中增加对敏感个人信息的概念释明,实现《个人信息保护法》与刑法、民法典等法律规范对个人信息保护的合理衔接。
(二) 取消敏感个人信息的分级
分析《解释》与《个人信息保护法》中的差异之处,可以发现《解释》对于敏感个人信息所采取的分级方法缺少合理性 [11] 。该法通过简单分级就将应当予以同等保护的敏感个人信息进行了区分,并没有给出合理的分级标准,那么如何实现所有敏感个人信息同等地受到保护就成了新的问题。因此,出于以下两方面的考虑,应当取消《解释》中对于敏感个人信息的分级。
首先,所有类型的敏感个人信息不应差别对待,而是应当给予同等的保护力度。分析《解释》第5条第1款第1项和第2项的规定,凸显出行踪轨迹信息受到了该法的重点保护8。虽然第1项和第2项都要求侵犯个人信息的犯罪行为要达到“情节严重”的情形,但是针对行踪轨迹信息,行为人一旦出售或提供给他人用于犯罪,就直接构成侵犯公民个人信息罪,而针对一般个人信息该法还增加了额外的犯罪构成要件,即心理因素上额外要求行为人“知道或应当知道”他人用于犯罪。这就使得公民的一般个人信息与行踪轨迹信息受到差异化的保护,提高了侵犯一般个人信息犯罪行为的证明标准。
第二,以重要性高低为标准进行分级缺少合理性,容易出现重合问题。随着大数据时代的到来,信息类型逐渐多样化、复杂化,不同类型的个人信息具有的重要性难以限定在特定背景下去衡量。例如,行踪轨迹信息有时并不当然具有突出重要性,如在窃取信用卡信息犯罪中,参见刑法第177条之一可以发现行踪轨迹信息的重要性明显不及交易信息,因为在此类犯罪背景下行踪轨迹信息被盗用并不会直接泄漏他人信用卡信息,不会造成他人的财产损失。由此可见,不同信息类型在不同的犯罪之中,所呈现的重要性并不固定。除此之外,《解释》第5条第3项和第4款所涉及的财产信息和交易信息也存在概念重合的地方。
(三) 调整侵犯敏感个人信息犯罪的入罪标准
现有的关于侵犯公民个人信息犯罪的起刑点分别是非法提供信息五十条以上、五百条以上以及五千条以上,这一规定集中在《解释》第5条第1款。值得一提的是,该条款中第3、第4项所列举的个人信息类型应当可以认定为是敏感个人信息。这与个人信息保护法中所确定的敏感个人信息类型范围基本一致 [12] 。如果按照上述的完善建议取消个人信息的分级,将《解释》中所列举的个人信息类型统一替换为敏感个人信息,那么有必要相应地提高将侵犯敏感个人信息犯罪的起刑标准。一方面,设置起刑点不应过低,否则将很容易出现涉及公民个人信息的一般违法违纪行为也被纳入刑事犯罪,倘若侵犯敏感个人信息犯罪成为了一种口袋罪,势必会致使司法权过度行使,甚至是超过了《个人信息保护法》的打击力度;另一方面,量刑起点也不宜过高,那又必然会导致对公民敏感个人信息的保护力度不够,使得一些非法利用他人敏感信息的犯罪行为逃脱法律的制裁,反而为这些犯罪分子提供了出罪途径。所以,在调整和完善现有刑法领域的法律规范时,应当重点解决如何平衡敏感个人信息的保护力度问题。
在调整敏感个人信息犯罪行为的起刑点时,应当参考《个人信息保护法》中的有关规定并保持技术、用语上的一致。目前《解释》中将非法获取、出售或提供敏感个人信息的最低量刑起点为五十条以上,最低起刑点代表着最强的刑法保护力度,因而有必要继续延续《解释》的最低起刑点。倘若能够实现最低起刑点的延续,将侵犯敏感个人信息行为的量刑数量设立为五十条以上,那么根据现有《解释》中的规定,侵犯公民一般个人信息的起刑点为5000条以上,即是前者的一百倍以上,更加能够凸显刑法对于敏感个人信息的特殊保护,对该类信息给予了与之重要性程度相适应的最强保护力度 [13] 。
6. 结语
随着网络信息技术的发展,大数据时代的到来已是大势所趋。然而,在享受数据传输的便捷时,公民个人信息的保护也刻不容缓,尤其是对敏感个人信息的特殊保护。我国现有立法和解释中已经有对敏感个人信息保护的规定,但仍需在刑法中进行完善,例如调整侵犯敏感个人信息犯罪的入罪标准等。只有适当增加犯罪成本,才能更好地保护公民敏感个人信息不受侵犯。在刑法视野下,公民敏感个人信息的保护任重道远。
NOTES
1《中华人民共和国个人信息保护法》第28条第1款。
2参见(2021)赣0302刑初79号刑事判决书。
3《关于下架“滴滴出行”App的通报》,http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm。
4参见(2019)苏02刑终528号刑事判决书。
5刑法第177条之一第2款规定,窃取、收买或者非法提供他人信用卡信息资料的,依照前款规定处罚;刑法第280条之一第1款规定,在依照国家规定应当提供身份证明的活动中,使用伪造、变造的或者盗用他人的居民身份证、护照、社会保障卡、驾驶证等依法可以用于证明身份的证件,情节严重的,处拘役或者管制,并处或者单处罚金。
6《解释》第5条第1款第3项规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,应认定为“情节严重”;该条该款第4项规定,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的,应认定为“情节严重”;该条该款第5项规定,非法获取、出售或者提供第3项、第4项规定以外的公民个人信息5000条以上的,应认定为“情节严重”。
7《个人信息保护法》第28条第1款规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
8《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第1款规定,非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:(一) 出售或者提供行踪轨迹信息,被他人用于犯罪的;(二) 知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的。