尚权推荐SHANGQUAN RECOMMENDATION

尚权推荐丨付玉明:大数据时代个人信息的刑法保护——基于日本法的比较分析

作者:尚权律所 时间:2022-12-18

摘要

在智慧时代,数字技术的发展和滥用导致个人信息遭到史无前例的安全威胁,而个人信息的泄露又进而影响到人民的生活安宁和信息安全。作为重视个人信息保护的传统型社会,日本通过直接保护和间接保护两种模式实现对信息泄露的社会治理。其中,日本《刑法》第134条泄露秘密罪和《个人信息保护法》在特定主体的范围内对侵犯个人信息的行为进行直接规制;而日本《刑法》第133条开拆信封罪、第163条之四准备非法制作支付用磁卡的电磁记录罪等,则是在保护非个人信息相关法益情况下的间接规制。我国刑法修正后增设并完善了第253条之一的侵犯公民个人信息罪,形成了对一般主体侵犯个人信息的有效刑事治理。但不论是日本还是中国,对个人信息的保护都有继续完善和进步的空间,需要师襄彼此、互相借鉴,完善相关法律体系,加强对智慧社会中信息犯罪的社会治理。

 /

关键词

泄露秘密罪;数字治理;个人信息保护法;日本

 /

 

问题的提出

人类社会已经迈入智慧时代,信息技术革命将当今世界的人类形象和社会要素分解量化为浩如烟海的电子数据,人们习以为常的物理世界逐渐转换为数字世界,个人信息在现代社会中的重要性不言而喻。但在这种数字化生存情境下,社会主体在享有网络带来的生活便利与进步的同时,也不得不提供大量个人信息来获得服务,而网络信息转移的迅捷性和不可控性极大增加了信息遭受非法侵害的可能性。因此,信息技术的广泛应用实际上是一把双刃剑,其在为人民生活提供迅捷服务,及对各种新型犯罪的防控治理提供有效渠道的同时,亦会虚化公民个人信息的权利内容,导致针对公民个人信息的犯罪越来越多。当下,个人信息保护已成为广大人民群众最关心、最直接、最现实的利益问题之一。根据南都个人信息保护研究中心发布的《个人信息安全年度报告(2019)》,公民个人信息存在严重的泄露问题。95%的受访者表示曾遭遇个人信息泄露,超过一半的受访者表示在注册应用程序(App)后收到骚扰或者推销电话。为此,2021年8月20日第十三届全国人大常委会第三十次会议表决通过《中华人民共和国个人信息保护法》,对敏感个人信息保护、法律的执行机构、行业自律机制、信息主体权利、跨境信息交流及刑事责任等问题进行了明确的规定。

与之相对应的是,尽管日本在信息技术的开发研究方面起步较早,比如风靡世界的二维码和比特币等电子货币都发端于日本,但是日本的社会结构具有巨大的保守性,对于信息技术的推广和应用较为克制。即使在新冠肺炎疫情全球暴发的大背景下,日本社会对于数据的采集和使用也仍然较为谨慎,在日常生活中更加注重对个人信息和公民隐私的保护,对公民个人行踪轨迹的监管并未广泛推广。在治理效率与法律价值之间,相比信息技术应用所带来的管理便利和商业效率,日本社会更加关注对于个人信息和隐私内容的法律保护,更加警惕信息技术的滥用风险,因此具有研究借鉴意义。

个人信息刑事保护的日本模式

在日本,有将“个人信息”作为直接保护对象的法律法规,例如《刑法》中的泄露秘密罪,还有专门保护个人信息的《个人信息保护法》等。除此之外,还通过间接的方式保护部分个人信息。但是,间接保护个人信息是打击某类犯罪所附随的内容,而并非是该类犯罪保护的直接法益,所以也导致这种个人信息保护的程度较低且不稳定。比如行为人拆开了他人的书信,但是书信中没有任何与个人信息相关的内容,此时行为人并不能泄露任何个人信息,也就不存在对个人信息的侵犯。因此,虽然直接保护模式通常是在限定的状况下对个人信息进行保护,覆盖面窄、内容少,但是在个人信息保护的刑事体系上仍然具有不可替代的重要意义。

1

直接保护模式

日本现行法除《刑法》第134条泄露秘密罪之外,各种职业人员守密义务和处罚措施也被规定在各种特别法中。其中,有接触个人秘密或者信息机会的职业者大多都有守密义务,而违反守密义务将会受到刑罚处罚。虽然对于个人信息进行直接保护的规范具有身份的限定,但是也基本覆盖了各种职业。大体上说,个人信息在日本受到广泛的保护。

1.《刑法》中的泄露秘密罪

根据日本《刑法》第134条泄露秘密罪的规定,医生、药剂师、医药品贩卖者、助产师、律师、辩护人、公证人,以及从事宗教、祈祷或者祭祀职业的人或者曾经从事此类职业的人,无正当理由,泄露因处理业务而知悉的他人的秘密时,应判处刑罚。该罪在日本为身份犯,犯罪主体仅限于法条中所列举的这些职业者;但是,即使是秘密的内容非常重要,秘密享有主体因为秘密泄露而利益受损,如果行为人不具有第134条规定的身份,也会因不符合本罪的构成要件从而无法依照本罪定罪处罚。另外,除《刑法》第134条中列举的身份者外,国家公务员、护士等特定职业者在各个与其职业相关的法律中也被施加了相应的保密义务。例如,日本《国家公务员法》第100条中规定,“职员在职务上不能泄露所知道的秘密。即使辞职后也同样适用”,《保健师助产师护士法》第42条之二、《地方公务员法》第34条1项等也有同样的规定。

但是,尽管泄露秘密罪对个人信息的保护覆盖面较广,甚至即便身份者退休后仍然在该罪的规制范围内,但在适用的过程中规制空白的问题仍然存在。行为人不符合泄露秘密罪的身份要件却实施了满足该罪其他构成要件行为的情况,也就是不具有保密义务身份的人公开了受保护的个人秘密和信息时应该如何处理,就成了问题。该问题在“最决平成24·1·13号案”的裁决过程中得以显露,本案在审理过程中对泄露秘密罪的适用讨论了三个具有争议的问题。

(1)关于主体身份的界定。本案涉及的是法条规定的“医生”身份如何解释。一方面,被告人及其辩护人承认被告人向记者C提供了信息这一客观事实,但是认为被告人作为保护事件的鉴定人,不符合本罪“医生”这一身份要件,因而被告人的行为不符合“泄露因处理业务而知悉的他人秘密”,属于正当的行为。并且被告方认为被告人的行为具有“正当的理由”,因为被告人是为了少年的利益而协助记者C进行采访,并让记者C阅览了供述调查书等文件,被告人目的正当,手段也是相当的,因而被告方主张阻却违法性。另一方面,法院第一审认为,本罪所谓的“医生”主体,应理解为通过医生国家考试、得到厚生劳动省大臣许可的人(《医生法》第2条),被告人明显符合这样的身份条件。而以医生许可为前提,如果以专门知识和经验为基础持续执行的事务涉及他人秘密的,就可以理解为“因处理业务而知悉的他人的秘密”,因此,被告人对A进行精神鉴定的行为相当于本罪中“医生”的业务。法院第一审对被告人做出了有期徒刑4个月缓刑3年的有罪判决。

(2)关于“秘密”的界定。被告人供记者C阅览的供述调查书等文件是否具有秘密性,即是否属于泄露秘密罪中的“秘密”,法院认为,本罪中的“秘密”是指非公知的事实,一般认为这些事实不被他人知晓是本人的权利。此时,对A的审判结果还未公布,案件本身、各种书面文件以及各种依据等事实及内容一般被认为是不为人知的。因此,少年A与亲生父亲B的关系,少年A的成长经历、精神鉴定的内容等,均属于与A和B的隐私密切相关的个人事项,这些内容当然是不为公知的。不被他人所知对A和B来说是他们的权利,因而供述的文件内容构成本罪所称之“秘密”。

(3)关于“正当理由”的界定,即被告人让记者C阅览文件的行为是否具有“正当的理由”首先,被告方认为,被告人的行为是在对外证明少年A没有杀人故意。但是,法院认为被告人虽存在这样的目的,但仅停留于主观上,他并没有向记者C提出那样报道的要求和提案,仅是认为记者C理解了自己的意图。另外,被告人以少年A的鉴定人的立场,将案件记录等重要文件在没有见证人且对象也不限定的情况下让记者C自由阅览和抄写,并交付了与鉴定书同样的抄本,是非常轻率的行为,不能认为被告人手段具有相当性。其次,对于被告方认为被告人为接受采访或者协助采访的人,因而具有正当理由的看法,法院不予认同。法院认为,在对接受采访或者协助采访的人是否成立泄露秘密罪的判断中,不应该因为其接受或协助采访的行为就直接认定阻却违法性,应该具体考虑采访行为的目的、手段以及方法的正当性来确定接受或协助采访人的立场、目的、行为的状态等,并结合作为泄露对象的秘密内容及秘密享有主体受到的不利影响,进行综合判断。如上所述,由于被告人为少年A利益考虑的想法仅限于主观上,并缺乏让记者C阅览文件手段上的相当性,因此被告人的行为被判定为“无正当理由”。

综上,日本《刑法》第134条泄露秘密罪规制的重点主体是具有特殊身份的人。该法条适用时也存在一些争议,例如“具有特殊身份的人”的何种行为算是其处理业务的行为,所谓的“正当理由”如何解释,秘密享有主体和秘密泄露主体是否需要具有委托关系和信赖关系等。同时,上述判例又显现出另外一个重要问题:没有保密义务的记者C公开个人信息的行为应如何处理?本案中,记者C因为积极促成有保守秘密义务的人泄露个人信息,作为“无身份的共犯”被起诉,但是由于理由不充分而遭到不起诉处理。因此像C这样唆使行为人泄露个人信息的,存在以共犯处罚的可能性。但问题是,记者C不仅要求被告人泄露秘密,而且还根据被告人提供的材料出版了书,公开了A和B的个人信息和秘密,向不特定的人泄露了自己掌握的A和B的个人信息,书的出版行为又造成了新的法益侵害。根据泄露秘密罪中主体身份的要求,像记者C这样不具有法定保密义务的个人进一步泄露秘密的行为,刑法无法进行规制。

2.《个人信息保护法》

(1)立法历程

1980年国际经济合作与发展组织(OECD)提出了《关于隐私保护与个人资料跨国流通的指针的建议》,附件中给出了OECD八原则——个人信息保护的基本原则。要求在落实个人信息保护法制化时参照美国、德国、法国的法律,在谋求个人信息保护的同时要考虑到个人信息自由流通的必要性,这是个人信息保护的国际基本原则。而OECD理事会要求加盟国在各自的国内法中予以回应,因此促使了想要成为加盟国的日本对个人信息保护法律制度进行自我检讨。

根据OECD《关于隐私保护与个人资料跨国流通的指针的建议》的要求,日本开始优先修整行政部门的个人信息保护法律制度,在1988年制定了《行政机关所持有的涉及计算机保存处理的个人信息保护法律》。与行政部门的个人信息保护法律制度的迅速颁布相比,有关民间个人信息保护一般法律的制定一直停滞不前。但是,随着日本社会个人信息泄露事件的相继发生,加之1995年欧盟发布了有关个人数据保护的指令,规定个人数据向第三国的转移仅在该第三国对个人信息履行充分保护措施的前提下才可以进行,日本政府快速制定出适用于本国同时又与国际个人信息保护法律体系相融合的相关法律。2000年10月,高度信息通信社会推进总部的个人信息保护法制化专门委员会提出了《个人信息保护基本法大纲》。在此大纲的基础上,2003年3月日本国会通过了5项个人信息保护相关法律草案,分别是《个人信息保护法律草案》《行政机关个人信息保护法律草案》《独立行政法人等个人信息保护法律草案》《信息公开——个人情报保护审查会设置法律草案》《行政机关保有个人信息保护法律草案》。2005年4月1日,“个人信息保护关联五法”开始实施。随着互联网技术的不断发展,2015年、2017年日本又相继对《个人信息保护法》进行大幅修正,修订后的《个人信息保护法》于2020年1月7日全面实施。

根据“个人信息保护关联五法”,日本采取混合型个人信息立法保护体系。《个人信息保护法》中,第1章到第3章是基本法部分,第4章到第7章是民间部门信息保护的一般法部分。因此,《个人信息保护法》第1章到第7章适用于民间部门,而国家以及实质上为政府一部分的法人除适用《个人信息保护法》第1章到第3章外,还适用《行政机关个人信息保护法》和《独立行政法人等个人信息保护法》。另外,地方公共团体适用《个人信息保护法》第1章到第3章和各个地方的个人信息保护条例。

(2)内容概述

首先,个人信息的内容界定。《个人信息保护法》第1款规定了“个人信息”的概念,除传统的姓名、出生年月、指纹和面部识别模式等生物信息,护照号码和驾驶执照号码等能够识别特定个人的信息外,增加了关于能够识别特定个人的识别符号的内容。第2款给出了关于“个人识别符号”的定义,这是当代多数国家都在采用的界定思路——“识别说”,即以是否能够识别特定个人作为判断的标准。这样一来,个人信息的范围就变得很宽泛,只要能与姓名、身份证号等信息组合、对照,进而识别出特定个人的信息就是该法保护的对象。除此之外,“个人数据库”和“个人数据”的概念并没有改变,“个人数据库”仍强调“为能够使用电子计算机检索特定的个人信息而构建形成的有体系性的个人信息集合”,而构成个人数据库的个人信息为“个人数据”。因此,《个人信息保护法》中个人信息和个人数据是相区分的概念,二者区分的理由是,“公开请求等的对象仅限于有体系地整理的、便于检索的个人信息”。而且,在现行法中,向第三方提供个人信息或以与取得时不同的目的使用时,原则上需要取得本人的同意。但是,如属于不能限定特定个人的信息,如一些个人数据,即使未经本人同意也可提供给第三方。

其次,该法规制的主体界定。该法从第四章开始是专门针对民间部门的规定。第四章规定的是,“个人信息处理经营者”和“匿名加工信息处理经营者”应遵守个人信息保护的义务。“匿名加工信息处理经营者”是2017年新法增加的主体,用以规制运用新的个人信息处理手段的从业者。“匿名加工信息,是降低个人特定性的信息,但不一定需要排除识别可能性。例如删除了姓名等直接指定个人的信息,删除了地址中门牌号和街道名称的信息。”因为其与“个人信息处理经营者”的工作内容等有所不同,所以新法增加了专门一节来规定该主体的义务。另外,对于“个人信息处理经营者”中被排除的人员,新法删除了旧法中所谓的“政令规定者”(旧法第2条第3款第5项),“政令规定者”指,从处理个人信息的数量以及利用方法来看,由政令规定的损害个人权利可能性较小的人,因而不属于本法规制的主体。但是新法将该项对主体的限制删除,“其结果是中小规模经营者(包括个体营业的理发店和饮食店)也需要与大规模经营者具有同等的个人信息保护”,表明从处理个人信息数量的角度,并不能体现损害利益的可能性的程度,也可以说本法扩大了规制主体的范围,以确保公民个人信息的绝对安全进而来保障公民生活的安稳。

最后,关于该法的罚则部分。第82条中提到第72条的主体是委员长、委员、专门委员及事务局的职员;第83条到第85条处罚的主体是个人信息处理经营者及其相关人员;第87条则强调,即使是法人的代表人、自然人的代表人违反了第83条到第85条的规定,法人和自然人也要受到相应处罚,类似单位犯罪中采取的双罚制。从法律修改的前后对比来看,增加第83条丰富了对从业者的处罚模式,不再仅仅是因为其违反相关命令而受到处罚,而是如果从业者因为谋取不正当利益而提供或盗用与其业务有关的个人信息数据库就会直接受到相应的惩处。但是,《个人信息保护法》本质上还是一部对持有和处理个人信息的企事业单位和相关从业人员的规制法。该法的规制主体虽然包含自然人和单位,但是自然人也是从事相关业务的职业者,并不包含一般的个人,因而一般国民的行为只能依靠民法来规制。

2

间接保护

1.《刑法》中的开拆书信罪

《刑法》第133条处罚无正当理由开拆他人封缄书信的行为。关于本罪的法律性质,大塚仁、大谷实、曾根威彦等认为是“对个人秘密的抽象危险犯”;而松宫孝明、山口厚则认为是对所谓“封缄的书信”的秘密的形式,或者“书信不被随意打开的利益”的侵害犯。如果采用后者的观点,书信的内容就不必是秘密性的,即使内容为单纯事务性的联络事项,或者并不具有任何实质意义,行为人在开拆书信的时刻就达到了既遂。对于本罪中“书信”往来双方是否仅限于特定的个人也存在争议。从本罪是针对个人法益的犯罪来看,有论者认为应该排除国家或公共团体相互间的书信;也有论者认为,本罪不应该只保护个人的利益,保守书信内容的利益不仅仅是个人享有,法人、国家或者公共团体也应该享有。不管采用哪种观点,只要是国家或公共团体与个人之间交换的信件,其内容就会包含个人信息,因此本罪就是以书信为条件保护个人信息的犯罪类型。并且,由于本罪是当开拆信件时就构成犯罪,因而与泄露秘密罪不同,与书信有关的人员没有保守书信内容的义务。从这个意义上来说,在书信的范围内,个人的秘密和信息可以得到广泛的保护,但是尽管本罪能覆盖探知书信秘密的行为,但向他人公开书信内容的行为就不再属于本罪的评价范围。

2.《刑法》中准备非法制作支付用磁卡的电磁记录罪

《刑法》第163条之四规定,以供第163条之二第1款规定的犯罪行为之用为目的,(1)取得该款规定的电磁记录信息的,或者知情而提供该信息的;(2)保管非法取得的第163条之二第1款规定的电磁记录的;(3)准备器械或者原材料的,构成准备非法制作支付用磁卡的电磁记录罪。该罪是对预备犯的处罚,属于具有信息盗窃性质的犯罪类型。行为人通过“快速读取”行为非法获取磁卡的电磁记录来伪造磁卡,然后利用伪造的磁卡进行商品购买等行为,此类有关支付用电磁记录的犯罪就是为了应对这样的事态而新设的。本罪的对象是电磁记录信息,其储存于使用支付卡支付的系统中,一般被认为是信息处理对象的一组信息。信息的“取得”是通过“快速读取”非法获取的行为,或者是通过得到记录介质而获得被记录在记录介质上的磁卡信息的行为等,也有将自己支配下的信息转移的行为。因此,虽然盗取个人磁卡信息的行为成了处罚对象,但是有关支付用磁卡电磁信息的犯罪是对构成支付用磁卡电磁信息的真实性以及社会对使用支付卡支付的支付系统的信赖的保护即该类罪的直接保护法益并不是个人信息的利益,个人的磁卡信息只不过是反射性的保护。

3.《刑法》中有关非法指令电磁记录的犯罪

随着电脑病毒攻击计算机行为的增多,为了防止滥用电脑病毒等的犯罪行为,应对犯罪的国际化、组织化以及信息处理的高度化,2004年2月20日日本国会提出了刑法部分修正案,直到2011年刑法修正中设立了“有关非法指令电磁记录的犯罪”。《刑法》第168条之二“制作非法指令电磁记录等罪”处罚无正当理由,以供他人的电子计算机运行之目的,制作或者提供某些电磁记录或者其他记录的行为;第168条之三“取得非法指令电磁记录等罪”处罚无正当理由取得或者保管电脑病毒的行为。这类犯罪是为了防止电脑病毒导致信息泄露而设立的,与其说该类犯罪是为了保护个人信息这一法益,不如说是为了保护“计算机程序在安全性和健全性上的公共信用这种社会法益而设立的抽象危险犯”。因此本罪中个人信息不被计算机病毒泄露的利益间接性地得到了保护,但是,制作、提供电脑病毒等行为是否实际造成了个人信息的泄露,并不在本罪的法律评价范围内。

4.《禁止非法链接法》

为了应对因网络世界的快速发展而产生的威胁计算机使用安全的行为,比如针对计算机的非法链接或者“黑客”行为,日本在2009年8月制定了《关于禁止非法链接等行为的法律》。该法第3条规定,“无论何人,均不得实施非法链接行为”。第8条规定了违反这一规定所应判处的刑罚。该法第2条第4款对何为“非法入侵行为”进行了说明。(1)通过电信线路,对链接控制机能的特定计算机,输入与该链接控制机能有关的他人的识别符号启动该电子计算机,使得由该链接控制机能所限制的特定利用处于可以利用之状态的行为。(2)通过电信线路,对链接控制机能的特定计算机,输入能够解除由该链接控制机能所限制的特定利用的信息(识别符号除外)或者指令启动该计算机,使得由该链接控制机能所限制的特定利用处于可以利用之状态的行为。(3)通过电信线路链接到其他特定计算机上,对存在由链接限制机能所限制的特定利用范围的特定计算机,经电信线路输入能够解除限制的信息或指令启用该计算机,使得由该链接控制机能所限制的特定利用处于可以利用的状态。简言之,禁止“非法入侵行为”就是禁止直接或者通过网络利用他人的账号或者密码冒充他人,从而链接他人的计算机,或者利用计算机的弱点(例如安全漏洞)进行非法链接,使他人计算机处于能够利用的状态的行为。该法第4条规定:“禁止实施提供他人识别符号(账号或密码)等非法链接的帮助行为。”综上,直接或者通过网络利用他人的账号或密码冒充他人的,或者利用计算机的弱点(安全漏洞)进行非法链接,使他人的计算机处于可利用状态的行为(非法链接罪),提供他人的识别符号(账号和密码)等非法链接的帮助行为(帮助非法链接罪),都是《禁止非法链接法》所禁止的。

通过处罚非法链接行为以及帮助非法链接的行为,可以防止计算机信息被非法获取。但是,该法的目的是“维护与电信有关的秩序,为高度信息化通信社会的健康发展做贡献”。而且,该法的保护对象是链接网络后通过账号和密码等识别符号来识别网络的使用权人,以及仅当输入了该识别符号时才被允许使用的计算机,因而通过非法访问而取得信息不是非法链接罪的成立要件。即使是在非法链接后进行个人信息的非法获取,这种行为也不在《禁止非法链接法》所评价的范围内。因此,“《禁止非法链接法》保护的法益是社会对认证系统依据账号和密码等担保访问控制的信赖,即正当的使用权人对访问控制系统能正确识别自己的信赖”,其保护的也是社会的法益。

个人信息刑法保护“日本模式”的总结检视

由上观之,在历经了近20年的发展和完善后,一次规范和二次规范行刑并举,直接保护和间接保护相得益彰的“日本模式”已初现端倪。但是,囿于信息技术不断发展所导致的侵犯公民个人信息违法手段日益多样,该立法模式的时代性之缺陷也逐渐显现。

第一,日本《刑法》中泄露秘密罪的直接规制模式存在处罚漏洞。日本《刑法》第134条泄露秘密罪对于个人信息或秘密予以直接保护,该罪规制的主体是各类具有保守秘密义务的职业者。可以肯定的是,泄露信息等不正当的行为大多由这些能够接触到个人信息的职业者实施,所以刑法在规制侵犯个人信息的行为时,最先注意到的群体就是这些具有身份的从业者,毕竟在传统社会里,能接触到个人信息的人是有限的。但是在大数据背景下,互联网技术的发展带来的信息存储和信息获取的新型手段层出不穷,导致犯罪的行为手段也日益更新,泄露秘密罪因为其身份犯的限制而不能全面保护法益的问题也就日益凸显。例如前述判例中出现的记者C,其要求被告人提供信息,又根据被告人提供的信息出版了书,却并没有被认定为泄露秘密罪的教唆犯或者帮助犯而受到处罚。因为泄露秘密罪对主体身份的要求,如果不具有身份的人以某种方式获得了个人秘密之后泄露了秘密,进而侵害了秘密主体的利益,也无法对其进行处罚。

第二,根据刑法谦抑原则,法秩序统一视野下的间接规制模式,可能会导致罪责刑不均衡的问题,需要在立法过程中加以关注和修正。“个人信息保护五联法”在立法过程中,个人信息保护研讨部和个人信息保护法制化专门委员会进行了多次讨论,其中对于侵害个人信息设置的罚则问题,双方都持刑法谦抑性的观点,提倡先运用其他部门法进行保护。但是专门委员会对民事责任的有效性持怀疑的态度,因而对启用刑事手段规制侵害个人信息行为的态度比较积极。专门委员会虽然在讨论阶段提出根据个人信息的“性质”和“行为方式”制定罚则的想法,但是最后大纲中提出的仍是间接惩罚这种宽泛而轻缓的处罚方式。在此基础之上形成了平成十五年(2003年)5月30日法律第57号中的罚则内容。出现不能通过投诉处理系统得到解决的情况时,管理个人信息处理经营者业务的主务大臣能够对相关单位或者个人采取征收报告、建议、劝告、命令中止违反行为及纠正其他违反行为的必要措施。个人信息处理经营者在不服从以上要求进行改正的前提下才第一次判刑,而非发生违反行为就直接进行刑事处罚,因而是一种间接的处罚方式。但是根据个人信息保护法中“个人信息”的定义,个人信息的范围非常广泛,包括从姓名、住址、电话号码、出生日期等基本信息,到职业、年收入、信用信息、学历、兴趣爱好等涉及个人人格的信息。根据信息性质的不同保护的方式也应不同,个人信息处理经营者应遵守的义务也因涉及业务的不同而呈现多样化。

与个人信息的性质各异和保存与利用方式的多样化相对比,罚则仅规定在违反主务大臣命令的情况下进行统一处罚的间接处罚方式在显得过于粗糙,也会导致罪责刑不均衡。对重要性高的信息的重大侵害与重要性低的信息的轻微侵害一律适用同样的条款,可能造成显失公平。因此在新版《个人信息保护法》中,增加了第82条和第83条,规定相关人员泄露、提供和盗用个人信息的行为罚则,并且与间接处罚模式相比设置了较重的刑罚,算是“行为方式”构成要件化的实现,进而在一定程度上弥补了统一处罚过于宽泛和轻缓产生的不足。虽然将个人信息的“性质”和“行为方式”等具体情况进行构成要件化存在很大的困难,但是从充分保护公民个人信息和更好发挥法律的预防功能的角度考虑,还是具有继续讨论和落实的必要性。

第三,在个人信息保护的刑事立法中要注意罪名的设立和衔接问题。开拆信封罪是对个人信息的具有抽象危险的犯罪,不管其保护的是信函的秘密形式还是书信不可被随意拆开的利益,其只有在书信的范围内对个人秘密具有保护作用,是一种宏观意义的保护,并不是直接的、明确的保护个人秘密的罪名。并且,该罪与泄露秘密罪在个人信息保护的范畴内存在一个共同的问题,即“秘密”和“个人信息”不是相同的概念,因而作为“秘密”的部分保护对象并不属于“个人信息”,换个角度讲,这两个罪名的保护射程并不能涵盖所有的“个人信息”,因而,泄露秘密罪和开拆信封罪对侵害个人信息的行为的规制也是片面的。一方面,有关非法指令电磁记录的犯罪和《禁止非法链接法》所保护的都是社会法益而非与个人信息相关的个人法益,行为人在使用病毒侵害计算机或者进行非法链接后的行为并不会影响对这两类犯罪的定罪量刑,也就是说,即使行为人在攻击计算机之后获取了个人信息并将其另作他用,在现有法律的范围内也只符合以上两罪的构成要件。另一方面,准备非法制作支付用磁卡的电磁记录罪中的行为手段虽然有盗用电磁记录的表述,但是该罪直接指向的也不是卡片信息本身,而是为了维护社会对使用新型支付方式和相关系统的信赖和保持电磁记录的真实性。因而以上罪名对个人信息都是间接的、反射性的保护。

综上,一方面日本现行法表现出对个人信息的重视,尤其是“个人信息保护关联五法”,义务内容详实又根据国际标准制定和修改,但可惜的是,保护的方法却是片面的、不完善的,并没有从个人信息本身作为法益的角度进行考虑来完善相关法律。《个人信息保护法》中没有区分对待不同性质的个人信息和各种侵害信息的方式,更没有注意到随着互联网信息技术的发展和侵害个人信息的主体变化,与处理个人信息事务完全无关的个人也可以做出侵害行为,因而也就产生了大量的处罚漏洞,使得有效的应对变得困难。另一方面,现行法律对个人信息的保护虽然大多表现为宏观和间接,但是从宏观保护的角度来看,专门针对破坏网络数据安全的犯罪规制有所欠缺。既然《个人信息保护法》对“个人数据库”和“个人数据”都给出了定义,说明已经认识到信息存在形式的改变和数据的重要性,但是并没有在此基础之上对法律规制模式和结构做出进一步的完善,这是有必要思考的问题。

个人信息刑事保护的中国路径

我国刑法现有对个人信息的规制保护是逐步演进的,随着个人信息在网络环境下内涵的丰富化与权能的复杂化,对其保护需求也日益演变,经历了附属于其他权利的保护、通过数据安全保护以及个人信息专属保护三个规制阶段,体现出刑法对个人信息保护渐趋直接化与专门化的规制态势。

1

个人信息的立法现状

随着电子信息化的发展,我国对个人信息的保护也逐渐重视。侵犯个人信息的行为在某种意义上是对个人隐私权、人格权的侵害,进而是对个人人权的侵犯。随着个人信息的意义越来越重大,我国相关部门陆续修改、出台了相关法律,发布的相关行政法律法规有针对性地对各行各业的个人信息保护提出了要求,如2013年的《征信业管理条例》规定在征信业务办理时采集个人信息应当经信息主体本人同意,未经本人同意不得采集;2017年实施的《网络安全法》第四章中对网络运营者处理个人信息时应当遵守的义务和承担的责任做出了明确的规定,并且该法还对“个人信息”做出了定义;2020年通过的《民法典》在第1034条规定:“自然人的个人信息受法律保护。”2021年8月通过,11月1日起施行的《个人信息保护法》则是一部专门保护个人信息的法律。《个人信息保护法》对于个人信息的处理行为进行了全方位的规范。首先,构建了以“告知—同意”为核心的个人信息处理规则,同时通过充分赋予个人权利、强化个人信息处理者义务的方式对个人信息处理中各方的权责做出了明确规定。其次,针对现实中存在的问题,包括“大数据杀熟”“人脸识别”“个人敏感信息”“跨境信息交流”等多个方面均进行了规制。最后,通过公益诉讼等方式畅通个人信息救济渠道,并规定了严厉的法律责任。由于《民法典》已将“个人信息”规定在“人格权编”,这在某种程度上也表明了其人格权属性,而作为最后的保护手段的刑法,也在秉持谦抑性和相对灵活性的平衡中,对个人信息保护做出了回应。

我国对个人信息的保护起步较晚,在刑事法律方面,1979年《刑法典》和1997年《刑法典》中设置了专门条款直接指向侵犯个人信息的行为,但只有侵犯通信自由罪能在一定的范围内对个人信息做出一定的保护。直到2009年2月,国家立法机关才在《刑法修正案(七)》中增设了第253条之一的侵犯公民个人信息罪,开启了刑法对个人信息的明确的、直接的保护。但当时该条文规定的主体范围过窄,个人信息的范围界定不明确,“情节严重”和“情节特别严重”在认定上缺乏统一的标准;同时相关行政法规散乱分布、不统一导致刑法和行政法无法进行明确的衔接。因而,2015年通过的《刑法修正案(九)》为响应公众对保护个人信息的迫切需要和弥补法律自身存在的问题,对相关条文进行了修改和完善。

《刑法修正案(九)》在原刑法第253条之一的基础上,首先删除了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的规定,直接对“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重”的行为进行规制,使犯罪主体的限制被解除,将特殊主体改为一般主体,有效回应现实,全方位地对个人信息进行保护。同时第2款规定了特殊主体触犯该罪应该从重处罚,体现了罪责刑相适应的刑法原则。其次,在立法用语上一方面将“违反国家规定”改为“违反国家有关规定”。因为“国家规定”一般指全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令,而我国暂时并没有符合条件的个人信息保护的国家规定,这就使得刑法和行政法无法衔接,导致“违反国家规定”虚置,而将其修改为“违反国家有关规定”之后,其范围显著扩大,凡是有权机关的规定都在可适用的范围之内,避免了空白条文的尴尬。另一方面,删去了“非法提供”中的“非法”二字。“非法”一般被认为是“违反法律的禁止性规定”,如上所述,由于前置法的缺失,要求“非法提供”会导致行为难以甚至无法被认定。将行为方式表述为“出售或者提供”可以在立法层面明确行为方式,以便在司法实践中进行操作。最后,扩大了犯罪对象的范围。原《刑法修正案(七)》中“窃取、非法获取公民个人信息罪”的犯罪对象是“上述信息”,而所谓的“上述信息”是指第1款中的“在履行职责或者提供服务过程中获得的公民个人信息”,即国家机关或者金融机构等的工作人员所掌握、处理的公民个人信息。而个人信息已经不仅局限于此,对犯罪对象的限制无疑不利于对个人信息的全面保护。因此《刑法修正案(九)》将“上述信息”改为“公民个人信息”,扩大了犯罪对象的范围,促使公民个人信息能够得到更全面的保护。

2

个人信息保护的问题面向

我国刑法一直在不断完善个人信息保护的相关规定,但是仍然存在一些亟待解决的问题。

1.核心概念界定不明。对于侵犯公民个人信息罪,何为“公民个人信息”一直都存在争议,不管是学术界中个体特征说、个人数据说和生理特征与社会特征信息说等学说,还是实务界出台的各种解释都没有统一公民个人信息的认定标准。例如2013年最高人民法院、最高人民检察院和公安部出台的《关于依法惩处侵害公民个人信息犯罪活动的通知》中将公民个人信息规定为姓名、年龄、有效证件号码、婚姻状况等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。而2017年最高人民法院、最高人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中对“公民个人信息”的定义是,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。核心概念的定义难以确定和统一会导致罪名认定的困难,犯罪对象的范围根据定义的不同而不同,罪与非罪的界限也会因此而有差别。而司法解释采用的“识别说”虽然使得个人信息的概念具有了一定的弹性,但是也会导致个人信息的范围过于宽泛,在司法实践中的可操作性不是很强,还需要提出进一步的判断标准来限定具有可能性的对象范畴。

2.我国虽然出台了《个人信息保护法》,但如何实现其与刑法的有效衔接成为问题。根据《刑法》第253条之一,侵犯公民个人信息罪的适用以行为人违反国家有关规定为前提,然而,新出台的《个人信息保护法》并不能为侵犯公民个人信息罪的适用提供明确的前置法基础。一方面,在公法与私法二分的视野下,《个人信息保护法》虽然具有公法与私法的双重属性,但从内容来看,其私法属性更为突出。在私法尤其是民事法领域,行为人之间的协商一致扮演着重要角色,而此次《个人信息保护法》中“知情—同意”规则以及相关救济措施多是民事规则的体现,虽然具体,却无法成为《刑法》第253条之一适用的前提。另一方面,虽然《个人信息保护法》也具有公法属性,但仅存在体量较小的行政法规范,而这些行政法规范应当被作为侵犯公民个人信息罪适用的直接前置规范。然而事实上,“《个人信息保护法》中的公法规范大多为不完全法条,在未来有赖于行政法规和规章予以具体贯彻落实,本身难以在司法中直接适用”。因此,如何实现《个人信息保护法》与刑法的有效衔接仍旧是立法部门以及理论界后继需要直面的问题。

3.网络数据不但数量庞大,包含的内容也各式各样,例如与个人信息具有关联性的用户身份信息、属性信息和行为信息等,这些数据的安全往往会直接关系到公民个人信息的安全。宏观角度来看,对网络数据的侵害在某种程度上会对公民个人信息利益产生威胁;而从微观角度来看,个人网络数据与个人信息存在重叠部分,例如2011年《关于办理危害计算机信息系统安全刑事案件适用法律若干问题的解释》第1条规定“获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上”以及“获取以外的其他身份认证信息五百组以上的”,被认定为“非法获取计算机信息系统数据罪”的“情节严重”的情形,而该司法解释第11条指明“所谓身份认证信息指用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字认证等”。因此,怎样通过完善网络数据的刑法保护而在宏观层面保障个人数据的安全,以及在区分个人数据和个人信息的前提下实现在刑法内部完成个人数据和个人信息的联动对接,进而构建符合大数据背景下的个人信息保护模式,是值得深思的问题。

结语

日本和我国从各自国家的国情和社会现实出发,依托于各自的法律体系,为应对层出不穷的侵犯个人信息的行为都做出了相应的努力。日本的侧重点在于不断修改、完善与个人信息保护有关的法律条文;而我国刑法虽然率先对个人信息进行了保护,但《个人信息保护法》的出台,更凸显出通过民事和行政手段对个人信息进行保护的倾向。虽然是通过不同的施力点解决不同的问题,但都体现出两国对信息时代社会问题的关注和积极地依靠法治来解决社会问题,以确保社会发展的稳定。

日本虽然拥有统一的个人信息保护法律,但是由于其针对的是专门的主体,所以现有的保护模式对于不具有身份者和非相关从业者侵害个人信息的行为显得无能为力。而我国虽然由于侵犯公民个人信息罪的主体为一般主体,在保护的全面性上不存在障碍,但由于作为侵犯个人信息罪直接前置规范的《个人信息保护法》未能明确相关概念的范围和判断标准,因此需要更加体系化和规范化的解释或规定来解决刑法与行政法的衔接问题。另外,日本《个人信息保护法》的具体内容也有可取之处,其对“个人信息”“个人识别符号”“个人数据”等做出了符合国际通行标准的定义,并且区分了“个人信息”和“个人数据”的概念。而我国《个人信息保护法》对于“大数据杀熟”“人脸识别”“个人敏感信息”等现实问题的回应则是法治社会内在要求的体现。我国和日本都需要深入思考和探索的是,如何在网络数据的范围内区分个人信息和个人数据的同时又能实现二者的关联保护,构建完整的网络数据信息保护模式。