尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨张朝霞、练虹怡:多元视角下的公民个人信息保护

作者:尚权律所 时间:2021-06-18

互联网大数据时代的到来,从根本上改变了人与人之间的交流方式,也带来了新的思考与挑战。基于现代信息技术的发展,越来越多的信息交互发生在网络空间,如互联网金融、即时通讯、跨境贸易等。这些信息交互都伴随着公民个人信息的传递与使用。如何既保障公民享受互联网时代红利,又最大限度地降低公民个人信息传播带来的风险,是目前需要解决的问题。

 

一、历史回溯:我国公民个人信息保护的立法进程

 

2020年10月21日,全国人大常委会法制工作委员会就《中华人民共和国个人信息保护法(草案)》公开向社会征求意见,引起全社会对公民个人信息保护的新一轮关注。近年来,社会各界对公民个人信息保护的讨论热度持续上涨,相关领域的研究也日渐深入。虽然与国外相比,我国关于公民个人信息的专门立法起步较晚,但从近年来的关注程度看,公民个人信息保护研究伴随互联网时代的发展,呈现较快的前进趋势。

 

在这一过程中,我国陆续制定或修改了多部法律法规,确保公民个人信息保护在各领域都能落实到位。比如,2012年12月28日,第十一届全国人大常委会第三十次会议通过的《关于加强网络信息保护的决定》,对公民个人电子信息提出了明确的保护要求。2015年刑法修正案(九)规定了侵犯公民个人信息罪。2016年11月7日,第十二届全国人大常委会第二十四次会议通过的网络安全法,对网络信息安全、公民个人信息收集使用及法律责任等作了明确规定。2020年5月28日,十三届全国人大三次会议通过的民法典更是在总则编与人格权编分别提出对公民个人信息进行保护。可以说,我国对公民个人信息的立法保护虽起步较晚,但重视程度日益凸显。

 

二、多元领域需求:单一法保护的局限性

 

(一)刑事领域

 

在传统保护手段中,刑法对公民个人信息的保护最为直接。2015年刑法修正案(九)规定了侵犯公民个人信息罪,2017年相关司法解释也“隆重登场”,可以说,国家在刑法领域不断强化对公民个人信息的保护,对相关侵犯公民个人信息行为采取最严厉的打击措施。笔者对中国裁判文书网近三年来公开的关于侵犯公民个人信息罪的裁判文书(共1.1万余份)进行梳理分析,发现基层法院判决及裁定数占到总数的近75%。分析已公开的数据可以发现几个趋势:第一,侵犯公民个人信息案件的发生率并不低,从2017年至2020年的发案情况来看,侵犯公民个人信息案件呈现逐年增加的趋势,2021年虽然较前两年有所下降,但仍有大量案件存在。第二,侵犯公民个人信息罪的认定存在诸多问题,在案件定性、证据标准的把握上存在一定争议,部分案件因证据认定分歧,被上级法院撤销原判,发回重审。第三,结合司法实务情况来看,进入审查起诉环节的案件数量相较于侦查机关提请审查逮捕的案件数量并不高。在审查逮捕环节,检察机关通过分析证据对案件进行分流,即:对于证据不足的案件,确保在证据达到起诉标准之前不进入审查起诉环节;对于情节轻微的案件,依法从轻处理,避免适用羁押性强制措施。总体而言,当前对侵犯公民个人信息罪的打击力度较大,但案发情况仍未呈现显著下降的趋势。且从结果上看,刑法给予的是刑事惩罚与制裁,对于被侵犯的公民权益而言,很难直接达到恢复原状或消除不良影响的效果。

 

从犯罪审查与认定的角度看,司法实践中对侵犯公民个人信息罪的认定也存在一定分歧。如,中介机构或人员通过购买、交换或其他非法方式获取包含业主姓名、联系方式、住址(包括楼号、单元号、房号)等在内的信息,这类信息涉及房屋位置、所属小区等具体细节,而房屋位置与房产价值息息相关,直接关联业主个人财产情况,在此情况下,是否能够从整体上把握,将以上信息认定为个人财产信息,便成为一个有争议的问题。再如,位置信息与行踪轨迹信息的认定同样值得深思。如非法获取的位置信息属于静态定位信息,而这种静态信息能否直接认定为行踪轨迹信息,实践中存在较大争议。因此,虽然国家在刑法领域不断强化对公民个人信息的保护,但由于互联网大数据涉及的公民个人信息已不仅仅是传统的姓名与联系方式等的组合,还包括GPS定位、财产信息、人脸信息、指纹信息等多种新型信息形式,如何在这样的大数据信息背景下准确把握刑事犯罪的审查与认定,是司法实践面临的挑战。且由于互联网的特殊性,一旦发生大量个人信息泄露事件,不仅关系公民个人利益,也可能引发危及社会公共利益的严重后果。因此,仅仅依靠刑事手段对公民个人信息进行保护已不能完全满足互联网时代的社会治理需求。

 

(二)民事领域

 

民法典从实体与程序两个维度为公民个人信息提供了新的“保护屏障”。

 

实体方面,民法典在总则编第五章“民事权利”中,将公民个人信息作为一种权益进行保护。民法典第一百一十一条规定,自然人的个人信息受法律保护,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。但是,对于上述个人信息权的属性,目前仍有诸多争议。原因之一是民法典在人格权编的第六章“隐私权和个人信息保护”中同样规定了公民个人信息的相关问题,但未将公民个人信息以“权利”或其他明确权益形式予以规定,笔者将在后文中对该问题进行探讨。

 

程序方面,民法典为民事诉讼提供了坚实的权利基础。首先,民法典人格权编第六章“隐私权和个人信息保护”用了八条规定,明确民事侵权问题。比如,民法典第一千零三十八条第一款规定,信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但经过加工无法识别特定个人且不能复原的除外。其次,民法典对于不需要承担民事责任的个人信息处理行为也进行了规定,对侵权行为与合法行为作出了区分。如,民法典第一千零三十六条规定,处理个人信息,有下列情形之一的,行为人不承担民事责任:(一)在该自然人或者其监护人同意的范围内合理实施的行为;(二)合理处理该自然人自行公开的或者其他已经合法公开的信息,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外;(三)为维护公共利益或者该自然人合法权益,合理实施的其他行为。再次,民法典对私密信息与非私密信息适用法律的规定作出了区分。私密信息是自然人不愿意为他人知晓的信息,且该信息与公共利益等无关。因此,民法典对个人信息私密性的区分,某种程度上也有利于判断相关行为是否侵犯了公共利益,是否符合公益诉讼条件。

 

但在民法领域对公民个人信息进行保护也存在诸多困难。困难之一在于,当前在民法典范围内,公民个人信息的定位并不绝对地以个人权益为唯一属性,对于公民个人信息究竟应作为一种权利还是一种法益来保护,存在较大争议。即使将个人信息认定为公民个人的法益,但当大量公民个人信息被非法处理时,涉及的人员范围必然极广,且很难查明或在法庭上证明侵权行为人。因此,对于普通公民而言,如果自行提起民事诉讼,将面临取证难、诉讼周期长等多方面的压力。困难之二在于,从民事诉讼角度出发,权利人仅能主张信息泄露给自己的民事权益造成的损害,如财产损失、人格侮辱等能够明显评价的损害,但在个人信息被传播、非法使用等情况下,权利人则很难从民事请求权的角度明确自己的损失与遭受的侵害。正如部分学者所言,依据传统民法中损害的差额说理论,受害人甚至连所遭受的损害究竟是什么都无法证明。因此,将侵犯公民个人信息的行为交由被侵权人通过民事侵权诉讼来处理,本身并不能涵盖所有侵权情况。困难之三在于,当被侵权人范围广、案件影响大时,或许提起诉讼较为容易,但如果仅有极个别被侵权人想要提起诉讼,就需要以一己之力面对侵犯本人个人信息的人员或企业。这样的结果是,被侵权人有时过于势单力薄,很难实现相关诉讼目的。

 

(三)行政领域

 

在我国已颁布的涉及公民个人信息使用及保护的相关法律法规中,几乎都能找到关于违反个人信息保护规定的法律责任。可以认为,从行政监管的角度看,对公民个人信息的违法使用存在监管依据。如,消费者权益保护法中明确规定经营主体对所收集的消费者个人信息负有保密义务,不得泄露、出售或者非法向他人提供。对于中介、培训机构等出售客户信息,或者手机软件开发或运营人员利用软件程序违规收集客户信息等行为,在行政监管领域都能找到相对应的处罚依据。实践中也存在行政机关对违法收集、滥用公民个人信息的企业或软件开发运营单位给予行政处罚的情况。如,2020年5月山东省青岛市便有这样一则案例。青岛市市场监督管理局在执法检查过程中发现某楼盘销售公司存在违规收集、使用未经消费者同意使用的个人信息的行为,后青岛市市场监督管理局根据消费者权益保护法,对该公司处以人民币5万元的行政处罚。

 

实践中,行政监管也能实现对公民个人信息的保护,但这种手段存在明显的弱势。最突出的问题在于,行政处罚即使处罚了违法行为人,但对于公民个人信息的复原,或者说在公民个人信息权益救济实现上,并没有较好的效果。因为行政处罚不能像民事诉讼那样,提出明确的损害赔偿请求或恢复原状请求,并且与刑事处罚相比,处罚力度也不够重。如上述案件中,虽然涉事公司被罚款5万元人民币,得到了应有的惩罚,但对于这类销售公司而言,罚款所带来的惩戒作用并不能达到与民事赔偿、刑事制裁等相近的惩罚、教育效果。

 

三、新的机遇与探索:公共利益保护与诉讼实践的结合

 

公民个人信息违法使用、传播等问题涉及面广、影响大,对于这类案件,被侵权主体无论选择刑事程序、民事程序,还是求助于行政保护,都是以个人角色参与法律程序,一定程度上加大了其维权难度。实际上,上述行为损害的是全体公民的利益,将公民个人信息保护视为公共利益予以维护并无不妥。

 

(一)公益诉讼与公共利益

 

2018年,最高人民法院、最高人民检察院《关于检察公益诉讼案件适用法律若干问题的解释》第二十条第二款规定:“人民检察院提起的刑事附带民事公益诉讼案件由审理刑事案件的人民法院管辖。”这不仅赋予检察机关在刑事办案过程中提起公益诉讼的法定权力,也为刑事附带民事公益诉讼的开展奠定了良好的程序基础。作为公共利益的代表,近年来检察机关积极稳妥拓展公益诉讼案件范围,尝试在侵犯公民个人信息案件中提起刑事附带民事公益诉讼,在提起公诉追究被告人刑事责任的同时,通过民事公益诉讼切实保护公民个人信息安全。这种做法不仅增加了公民个人信息保护的维度与广度,更为民法典与刑法的衔接提供了新的探索动力,是对公民个人信息保护的有益补充。随着互联网大数据时代的到来,这种多部门法律叠加保护的需求得到了前所未有的增强,同时,多部门法律叠加适用保护公民个人信息的良好效应也日益凸显。

 

党的十九届四中全会明确提出“拓展公益诉讼案件范围”,最高检也多次强调要积极办理群众反映强烈的其他领域公益诉讼案件,这些都表明检察机关在公益诉讼领域大有可为,也应当勇于作为。司法实践中,全国多地检察机关在公益诉讼“等”外领域已进行了积极探索,在公民个人信息保护方面也有新成绩。如,2019年6月,上海市检察机关针对某些手机软件开发运营企业违法收集、使用、处置用户信息的问题,组织开展专项调查,最后依法向相关企业制发检察建议10余件,明确指出问题,提出整改建议,通过释法说理要求企业积极整改,依法监督并促进了公民个人信息的有效保护。再如,浙江省诸暨市检察院针对公民买房后信息遭到泄露等问题,向诸暨市市场监督管理局发出诉前检察建议,从源头上防范侵犯公民个人信息违法犯罪行为的发生。这些都是公民个人信息保护领域公益诉讼探索的全新尝试。

 

公民个人信息作为私人权益的一部分,能否作为公共利益以公益诉讼方式提出保护请求,存在争议。民法典实施之前,关于公民个人信息的法律定位已存在争议,如清华大学法学院教授张明楷认为,公民个人信息属于公民的隐私权范畴,侵犯公民个人信息罪侵犯的法益是公民的名誉隐私权,公民个人信息也因此限于包括公民姓名、年龄等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。而北京大学法学院教授陈兴良则认为,侵犯公民个人信息罪所侵犯的法益是公民的自由、安全和隐私权,该观点在隐私权的基础上提出了包括其他权益的概念。也有观点认为公民个人信息所代表的是公民的个人生活安宁。除此之外,清华大学法学院教授黎宏则提出了公民个人信息权益的独立性,认为侵犯公民个人信息罪所保护的法益是“公民的个人信息权”,其内涵包括个人隐私不受侵犯的权利,也包括限制他人非法收集、转让和出售个人信息的权利。相较于传统上将公民个人信息认定为隐私权的观点而言,该观点将公民个人信息权作为一种独立的权益进行保护。

 

总体而言,上述观点皆将侵犯公民个人信息罪保护的法益认定为个人法益。但除此之外,还有另一种观点,如中国政法大学刑事司法学院教授曲新久将侵犯公民个人信息罪所保护的法益认定为超个人法益,即公民个人信息并非仅关系公民个人信息安全或个人生活,更关系社会公共利益、国家安全、信息主权。笔者认为,互联网时代公民个人信息的交互已经遍布全球,用传统的民法私权观点来看待公民个人信息难以为公民个人信息提供全面的保护。对于公民个人信息权益的认定,既应看到其个人权益的一面,也应看到侵犯公民个人信息行为给全社会公共利益造成损害的一面。因此,应当从社会角度出发,对公民个人信息提出更全面的保护要求。

 

(二)合法使用与非法处理的区分

 

对公共利益与个人权益的区分,应当注意公民个人信息数据资源合法使用与公民个人信息保护的边界,这种边界的界定对于判断公民个人信息的使用究竟是违法犯罪行为还是合法合规行为有着重要的参考意义。也正因为公民个人信息保护的边界需要清晰,才要求司法机关在处理相关问题时需把握好公共利益保护与个人权益保护的尺度,避免为保护公共利益而损害个人权益,也避免为保护个人权益而损害公共利益。这里涉及两个常见问题:

 

一是互联网背景下对“公共空间”的认定。前文已述,如果违法使用公民个人信息的行为在公共空间范围内造成了不良影响,可以认定为需要保护的公共利益。由此,公共空间的认定便成了需要关注的问题。基于互联网的特点,信息只要在网络上出现便容易造成信息传播与泄露。因此,似乎只要是网络空间,便是一种开放的“公共空间”。但笔者认为,即使互联网传播速度极快,也仍然要坚持“公共”属性的认定,以此判断对信息的使用是否超出个人处分权的范畴。比如,许多公民都有家庭内部聊天群,在群内发布的信息仅视为对家庭成员公开,个人信息也是如此。因此,如果是仅仅借助了互联网平台发布信息,但信息所处空间仍然为私密空间的,这一空间便不具备对外开放的属性,则不能将其认定为公共空间。在这样的空间范围内,即使存在个人利益受损,也仅能从民法私权角度出发进行保护,不能从公共利益角度越界保护。

 

二是信息的授权使用。民法典明确规定了公民个人信息处理的免责事由。但在刑事领域,有一个问题不可回避,即哪些要素能够成为行为人出罪的正当化事由。刑法虽然没有明文规定被害人承诺这一阻却事由,但这一事由在实践中经常被运用。一般而言,对于财产法益,允许被害人承诺放弃,但对于生命健康权,则并非被害人的所有承诺都能够阻却犯罪成立。由于公民个人信息在民法上的属性仍存在一定争议,目前无法直接得出其是一种权利还是一种法益的结论。这一争议也关系到信息在经权利人授权使用后,能否及于第二手、第三手甚至更远层次的信息使用人来获取使用。但即便如此,就被害人承诺这一事由而言,个人信息权益属于公民个人能够处分的权益之一,与生命健康权益不完全相同。因此,无论个人信息的属性如何,都应在刑法上认可公民对个人信息的授权使用这一“承诺”行为的有效性。但这一承诺的有效范围,可以根据具体信息使用的背景来判断,严格地仅以被害人直接对使用权人本人的授权作为判断标准,并不完全符合当今互联网社会的生活方式,因为被害人授权的对象包括使用权本人,还有可能拓展到第三人。比如,在部分手机软件的使用许可中,运营商会明确询问是否授权使用相关信息,并且可能根据需要授权给第三方使用,一旦权利人点击“同意”,这种授权便很可能及于第三方使用人,因此也无法认定这种授权是违法的。综上,公民个人信息的合理使用,需要结合信息使用的背景来具体判断,如果仅因互联网的特性就认定所有转授权都是非法的,并不符合现在网络信息的使用情况,也容易造成处罚范围过大,不利于信息化时代的发展。

 

对于合法收集的公民个人信息,使用者与保管者应当注重对这些信息的保护,在相关信息使用结束后,严格封存或依法销毁相关记录,防止因信息保管或使用不当,致使信息流入公共区域,造成大量信息泄露甚至被他人非法利用。

 

四、公民个人信息保护的未来:多元领域的综合力量

 

互联网时代,面对极易受损的公民个人信息,刑事制裁始终是最强大的保护屏障。在认定侵犯公民个人信息犯罪的问题上,应坚守罪刑法定原则,不能出于保护公民个人信息的目的而将不构成犯罪的违法或侵权行为认定为犯罪行为。但仅从刑法领域给予处罚不能形成完整的惩戒机制。民法典的出台与公益诉讼职能的有效发挥,便是对刑事惩罚机制的有益补充。借助民事诉讼与公益诉讼的力量共同构建互联网时代侵犯公民个人信息行为的综合治理框架,是一种全新的探索。一方面,公民个人可以传统维权方式通过提起民事诉讼保护自己的合法权益;另一方面,检察机关通过指控犯罪和提起公益诉讼,发挥刑事检察与公益诉讼检察两项职能作用,在打击侵犯公民个人信息犯罪中创新刑事附带民事公益诉讼,践行公共利益守护者的初心与使命。这种多元领域的法律保护,不仅能够较好地实现对侵犯公民个人信息行为的有效处罚与惩治,更能在互联网时代带来新的司法生机与活力。这不仅是公民个人信息保护的落脚点,更是民法典时代的全新出发点。

 

来源:2021年《人民检察》第10期

作者:张朝霞  北京市朝阳区人民检察院检察长,一级高级检察官

作者:练虹怡  北京市朝阳区人民检察院第一检察部副主任,一级检察官