本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
当下网络时代,我们的出行、购物、社交均通过网络进行,这为生活带来方便的同时,也给个人信息安全带来了隐患。为了让个人信息得到更好的保护,相关部门相继出台了规范性文件。
一、三种手段为个人信息保驾护航
其一,隐私权保护个人信息
现代信息社会,个人信息保护在全球已经成为共识,即将于2017年施行的《民法通则》第111条明确规定,个人信息应当受到法律保护。我国《全国人大常务委员会关于加强网络信息保护的决定》也明确了个人信息的法律保护。可是,个人信息保护路径仍存在争议,有学者主张个人信息属于隐私权、人格权,也有学者主张个人信息归属于财产权,还有学者持折中观点,个人信息保护需兼顾企业利益。
学界的争鸣,不能影响个人信息的保护。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定,“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。”由此,个人信息中的基因信息、病例资料、健康检查记录、家庭住址、私人活动当然属于个人隐私。此外,公民姓名、电话号码等个人信息孤立的来看,属于社会交往中信息公示部分,但这些信息与其他信息相结合一旦指向了特定人,个人隐私空间便遭到威胁,生活安宁便受到影响。这时个人信息便属于隐私权的保护范围,理应受到保护。
其二,行政立法保障个人信息安全
2017年6月1日起施行的《网络安全法》解决了网络信息安全“有法可依”的问题,并将网络信息安全提升到了国家安全的地步。对于侵害个人信息的网络运营者,《网络安全法》规定了相应的惩罚措施,即“网络运营者、网络产品或者服务的提供者违反本法规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
2017年8月11日,国家网信办在官网上发布公告称,国家网信办指导北京市、广东省网信办分别对腾讯微信、新浪微博、百度贴吧立案,并依法展开调查。据报道,从目前执法案例中,各地网信部门主要处理网络运营者落实实名制、处置违法信息责任不到位等方面的问题,确保相关单位符合《网络安全法》相关规定,并通过惩治网络运营者、网络产品或者服务提供者,规范网络秩序。
其三,刑事司法预防侵犯个人信息犯罪
自徐玉玉被电信诈骗案报道以来,个人信息被侵犯案件屡见报端。据了解,自公安部部署开展打击整治黑客攻击和侵犯公民个人信息犯罪专项行动以来,全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起。此类案件主要呈现三个特点,一是黑客窃取与企事业单位人员非法泄露公民个人信息;二是中间人非法传播个人信息;三是下游违法活动非法利用公民个人信息。
为此,2017年5月9日,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称2017年《解释》),对侵犯公民个人信息犯罪的定罪量刑标准和法律适用问题做了全面、系统的规定,借以惩治、预防犯罪。
二、行政执法尚显薄弱
侵犯公民个人信息案件,难题在于黑客攻击、信息泄露与非法交易。虽然个人信息保护依旧属于多头监管,分属“九龙”,但是《网络安全法》就这三个问题已经做出明确规定,网络运营者应当按照网络安全等级保护制度,履行网络安全义务;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。
问题在于,《网络安全法》如何落地?网络时代之下,网络运营者、网络服务、产品提供者收集、存储的个人信息动辄上千万条,一旦遭遇泄露、攻击,其后果不堪设想,行政监管事先预防才是根本,而非恶劣影响出现之后的刑事惩罚。具体而言,第一,《网络安全法》尚待细化,给予行政监管部门明确的执法依据;第二,《网络安全法》需要求网络监管部门,常态监管网络服务提供者制定的网络安全管理制度、等级标准;第三,“九龙治水”导致部门与部门之间互相推诿,相关部门应在更高权力部门的统一布置下履行监管职责;第四,徒法不足以自行,执法部门应当将法律贯彻在实处,切实履行监管职责。
三、刑事保护扩张明显
1997年《刑法》没有对公民个人信息进行直接保护的罪名。刑法修正案(七)增设了出售、非法提供公民个人信息罪,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人……“窃取或者以其他方法非法获取上述信息……。刑法修正案(九)将其修改为:“违反国家有关规定,向他人出售或者提供公民个人信息……。2017年5月9日,《解释》出台,对侵犯公民个人信息罪进行了细化、明确。
由此,刑法修正案(七)增设出售、非法提供公民个人信息罪和非法获取公民个人信息罪;刑法修正案(九)则在此基础上,扩大了出售或者非法提供的主体范围,并将之整合为侵犯公民个人信息罪;《解释》则进一步对侵犯公民个人信息罪进行了明确,可以看出侵犯公民个人信息罪刑事立法、司法的扩张。
其一,罪状扩张、犯罪主体扩张
在侵犯公民个人信息罪之外,刑法修正案(九)还增设了拒不履行网络安全管理义务罪,刑事罪名呈扩大化。
相较于刑法修正案(七),刑法修正案(九)规定的侵犯公民个人信息罪中犯罪主体进一步扩大,出售或者非法提供公民个人信息的犯罪主体已经不限于身份犯,即非国家机关或者金融、电信、交通、教育、医疗等单位的工作人员同样可以构成侵犯公民个人信息罪。
其二,个人信息范围的扩张
关于个人信息的范围,理论界存在关联说、识别说、隐私说,隐私说范围狭窄,关联说范围宽泛,但是2017年《解释》显然放弃了隐私说,而通过识别说与关联说界定个人信息的范围。2013年4月23日,最高法、最高检、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》规定,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。2017年《解释》则进一步明确“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。两相对比,“识别公民身份或者涉及公民隐私的信息”变为“识别身份或者反映特定人活动情况的信息”,公然个人信息的范围已然扩张到了关联特定人活动的信息,也即同特定人相关联的自然人活动情况的各种信息也被纳入到侵犯公民个人信息罪的保护之中。
其三,将部门规章纳入空白罪状之中
我国《刑法》第96条规定,“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”试看侵犯公民个人信息罪将罪状描述为“违反国家有关规定”,显然,这是侵犯公民个人信息罪中的特别规定。2017年《解释》第二条对其进一步明确,部门规章也属于国家有关规定,由此侵犯公民个人信息罪实现了将部门规章纳入到空白罪状之中。
可想而知,今后国务院下属相关部委出台的规范性文件,均成为刑法评价行为人是否构成本罪的依据,这已经超越了只有行政法规、决定、命令可以成为刑法评价的先例。
四、互联网企业需规范自身风险
行政监管越发常态,刑事司法明显扩张显然是当下的网络环境。在这种背景之下,互联网企业收集、处理、加工、共享信息、数据应当格外重视个人信息保护、网络信息安全。
其一,网络信息安全日常维护,制定信息安全管理制度和操作规程。信息泄露造成的危害可谓贻害无穷,《网络安全法》赋予了网络运营者、网络产品、服务提供者更高的网络信息安全义务,并且刑法修正案(九)将拒不履行网络安全管理义务的网络服务提供者规定了相应的刑罚。
其二,收集、处理信息应明示告知被收集者,并取得同意。《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。目前通行的做法,是互联网企业制定隐私政策,概括收集信息的目的,经过用户一揽子同意,显然这种做法已经不符合《网络安全法》的要求。未经明示告知某条信息被收集的目的、使用方式,均属于未经被收集者同意,因此,网络服务提供者今后收集、处理信息应当具备更高的要求。
其三,搭建内部防控体系,阻断个人责任与单位责任。对于互联网企业而言,其所面临的最大风险在于卷入侵犯公民个人信息罪之中,为此企业需要制定相关员工行为规范,进行定岗定责,明确员工权限,对员工行为进行监管、培训、教育。此外,企业应制定相关内部政策,切割个人责任与单位责任,防控单位主体刑事风险,特别是注意防范单位决策意志与单位管理责任,也就是单位成员存在违法行为之时,负有管理责任、监督责任的单位主管人员是否对这种违法行为存在默许、纵容、甚至动员的情况。值得注意的是,曾经一度沸沸扬扬的雀巢中国公司旗下6名员工侵犯公民个人信息案,2017年5月31日兰州市中级人民法院维持原判,6名员工均构成侵犯公民个人信息罪,不属于单位犯罪。从该判决中,一方面可以看出雀巢公司的内控制度存在问题,值得警惕;另一方面则显示了雀巢公司制定的《员工行为规范》及相关政策包含“雀巢公司禁止员工从事侵犯公民个人信息的违法犯罪行为”等内容,确保了企业不构成单位犯罪,这种内部防控体系又值得效仿。
编排/李九如
责编/孙亚超 微信号:elesun724