大数据时代个人信息保护与利用的刑法立场转换

作 者:

作者简介:
储陈城,安徽大学法学院副教授,法学博士,硕士生导师。

原文出处:
中国刑事法杂志

内容提要:

前大数据时代,基于个人信息泄露的客观现实和主观畏惧感,个人信息的严格保护成为法律尤其是刑法的基本立场,我国当前在个人信息刑法保护上呈现愈发严苛的趋势。然而,随着大数据逐渐展现出巨大社会价值,基于功利主义的价值考量,追求更好生活的哲学基础要求刑法在个人信息保护的立场上进行适当调整。包括德国、日本在内的域外各国,都在规则设计上保障个人信息的利用,限缩对侵犯公民个人信息行为的刑法适用空间。我国可以在借鉴相关国家立法的基础上,从匿名化处理规则、同意规则和优越利益规则三个方面,为我国个人信息的合理扩大利用提供制度空间。


期刊代号:D414
分类名称:刑事法学
复印期号:2020 年 01 期

字号:

       一、前大数据时代:立足于重视个人信息保护的传统刑法立场

       在信息保护领域,纵观各国相关学说发展和立法司法实践,以自己决定自身相关信息的处理为中心轴,信息的自己决定权或者自己控制权,以各自宪法为根基,曾有被扩大保护的趋向。这种倾向的背景是,随着网络化社会的迅猛发展,出现个人信息泄露的现象,引发公民对于个人信息被泄露以及被非法利用产生的不利后果的严重不安感。①正因如此,自20世纪末各国刑法也对个人信息的保护进行了积极介入。

       20世纪70年代,在信息化使得个人信息频繁被利用的背景下,德国各界认为,因电脑开始对大量信息进行处理,为了不再让市民权利受到来自各方的威胁,个人信息保护刑事法制的制定是必要的。在这一认识的背景下,1970年10月,德国黑森州成为世界上第一个制定个人信息保护法的地方。其后,德国联邦政府于1977年制定《联邦数据保护法》,作为个人信息保护的一般法。其后,1983年12月,联邦宪法法院作出了“人口普查案”判决,②自己的信息在何时何地公开由自己决定的“自己信息决定权”作为基本权被承认。根据该判决,人格的自由发展这一基本权利,是保障自己个人信息提供和使用由自己决定的个人权利,尤其是能够保障信息流通的透明性,个人的记录在秘密的传送过程中无法被隐藏,那么其手段必须由本人能够控制。基于这一判决,1990年《联邦数据保护法》被修改。1990年的法律当中主要修改事项是:(1)包括通过公共机构发生的人格权侵害,承认无过失损害赔偿责任。(2)民间机构的损害赔偿责任虽然不是无过失原则,但是在证明责任上由机构承担。

       而在刑法领域,1794年《普鲁士一般法》首次以法律的形式来对医生等特定职业者的保密义务进行规制,并通过刑罚来惩治泄露个人信息的行为。③这一规定,经过1851年的《普鲁士刑法》第155条、《北德意志刑法》第296条、1871年《莱比锡刑法》第300条的规定,于1975年被德国刑法典继承至今。现行《德国刑法》第203条规定的私人秘密侵害罪,④其所保护的是针对保持秘密的个人法益,是德国《基本法》第1条第1项(人类的尊严)以及相关的第2条第1项(人格自由)的具体化,是宪法上受到保障的“一般人格权”的一部分,即“信息自我决定权”。⑤

       在日本,《刑法》第134条中的泄露秘密罪规定:“医生、药剂师、医药商品贩卖业者、助产师、律师、公证人以及其他职业者”和“从事宗教、祈祷或者祭祀的人以及其他相关职业者”,没有“正当理由”,“将业务上所知悉的他人的秘密泄露”的场合下,将受到刑罚处罚,以此在限定的状况下对个人信息进行保护。《刑法》第134条泄露秘密罪之外,在特别法中也规定了各种职业人员守密义务和处罚措施。诸如此类,有接触个人秘密或者信息机会的职业,大多都有刑法或者其他关联法律所规定的伴有刑罚处罚的守密义务,在日常生活的层面,可见个人秘密或者信息受到广泛地保护。在鉴定人泄露秘密案中,作为精神科医生的被告人,在涉嫌现住建筑物等放火、杀人罪的少年犯甲的案件中,被法院委托对甲进行精神鉴定,期间接受杂志记者的采访,并将本案的记录副本、鉴定书等让记者阅览,因此被认为构成《刑法》第134条的秘密泄露罪。本案中,尽管辩护人认为,第一,作为鉴定人的被告人,并不构成本罪的“医生”这一身份,即便是作为医生的鉴定人在进行鉴定,则鉴定行为也不构成本罪中的“业务”行为。第二,被告人是为了少年犯的利益,即想将甲没有杀意的事实向外界传达,才配合记者的采访,让其阅览相关信息。因此,目的和手段是正当的,被告人的行为具有正当理由,阻却了违法性。但是法院并未采纳其中的辩护理由,认为记者通过从被告人处获得的信息出版专著,因此本少年犯罪案件、甲和其父亲乙之间的关系等家庭环境信息被广为人知,认定被告人有罪,判处惩役4个月,缓期3年。⑥

       回到我国本土语境,“目前我国刑事立法在……信息犯罪、大数据保护等方面的表现主要是犯罪化。”⑦2009年出台的《刑法修正案(七)》首次将出售、非法提供、非法获取公民个人信息的行为认定为犯罪,为保护公民个人信息奠定了刑法基础。2015年出台的《刑法修正案(九)》对本罪条文进行了修改,正式设立了“侵犯公民个人信息罪”,并扩大了犯罪主体和侵犯个人信息行为的范围。“在公民个人信息泄露严重、利用公民信息的违法犯罪活动猖獗、公民生活安宁得不到保障的社会背景下,本罪为公民个人信息的安全使用撑起了一把保护伞”。⑧

       从司法实践的角度来看,自《刑法修正案(九)》正式确立侵犯公民个人信息罪之后,相关刑事案件数量陡增。以无讼网裁判文书库为样本,2015年侵犯公民个人信息罪的裁判文书仅为31件,2016年为351件,2017年则达到1212件,2018年更是翻倍到2131件。其中不乏大量为了进行市场营销或者技术研发而获取、使用个人信息,进而触犯本罪的案件。

       前者例如:在安徽聚思文化传播有限公司、王某某侵犯公民个人信息一案中,被告公司为了拓展业务,公司在经营过程中,要求业务员广泛收集潜在客户信息(主要为安徽省内各企业管理人员的姓名、单位、职务和电话号码等信息),并授意业务员将所掌握的客户信息通过互联网与他人进行交换以获取更多客户信息。⑨

       后者则例如:在上海锐浩软件技术有限公司,肖江等侵犯公民个人信息一案中,2014年间,被告人肖江在担任Z公司总经理时,获悉CARRO公司具有通过进入全球GSM通信网络定位包括中国在内的GSM网络手机基站位置的技术(以下简称LBS技术),其即要求Z公司副总经理被告人严时浪接洽该公司,谈妥以每查询一次手机定位信息为1至4个点不等,每个点支付4英镑为报酬。被告人严时浪还在被告人肖江的授意下,负责研发中文查询界面与CARRO公司的查询界面实现同步对接,并先后六次向CARRO公司的境外账户支付共计美元11余万元(折合人民币70余万元),用以购买查询手机定位信息的点数。且LBS技术的使用者均为司法机关的办案部门。⑩

       综上所述,以时间为轴线,我们会发现无论是德国还是日本,自20世纪末开始到大数据时代来临之前,为了回应公民对于个人信息泄露的不安感,逐步加强对个人信息的保护力度。刑法作为保障法,亦对这一趋势做出了回应,无论是在立法上还是在司法上,都体现出对个人信息保护的姿态。而我国在20世纪并没有出现个人信息保护的立法动向,直至近十年才开始在立法上加以重视,司法实践中侵犯个人信息的入罪化现象也愈发普遍。由此可见“从现有的治理侵犯公民个人信息犯罪措施看,刑罚承担着主要角色,且是持一种严罚态度。”(11)随着《个人信息保护法》即将出台,可以预见我国立法在个人信息保护的程度上将更加严格。然而在大数据时代,我国当前对个人信息保护所采取的严苛立场,是否适应时代发展的需求,有必要进行进一步的分析。

原文参考文献:

  • 60

相关文章: