第二节 我国网络数据安全的刑法罪名投放与现实桎梏
在当前信息社会背景下,网络数据与公民个人信息的重要性与日俱增,关涉公民个人的隐私安全、人身财产安全乃至家庭安全。信息社会的突然来临,网络因素的突然介入,导致立法由正常的“步行速度”突然变为“跳跃”行进,“网络数据安全”“个人信息安全”成为刑法关注的重点,公民个人信息也相应成为刑法保护的重点,出售、非法提供公民个人信息和非法获取公民个人信息的行为实现了入罪化。
一、罪名体系的首次扩充:《刑法修正案(七)》的罪名解读
信息时代背景下,由于网络空间中信息传递的极度快捷化,包括刑事立法在内的整个法律体系对于公民个人信息安全的保护力度和范围陡然上升,快速实现了对于数据安全与个人信息安全的刑法保护。《刑法修正案(七)》在原有刑法的基础上增设了“非法获取计算机信息系统数据罪”、“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”,构建起我国数据安全与公民个人信息安全的刑法保护体系。《刑法修正案(七)》增设的“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”对于遏制非法泄露、非法获取公民个人信息犯罪行为,切断公民个人信息犯罪产业链具有重要意义。但是,由于立法规定的概括性和“应急性”,导致对于侵害公民个人信息犯罪的规定在司法操作过程中存在诸多困惑性问题,比如对于“个人信息”“情节严重”的认定尚无明确界定,为了有力打击侵犯公民个人信息违法犯罪行为,有必要对于打击此类行为的罪名进行优化与完善。
(一)立法动因解读:侵犯个人信息行为纳入刑法评价范围之内的必要性
在当前信息社会背景下,公民个人信息的重要性与日俱增,关涉公民个人的隐私安全、人身财产安全乃至家庭安全。侵害公民个人信息违法犯罪滋生的电信诈骗、敲诈勒索、绑架以及非法讨债等下游犯罪屡禁不止,社会危害严重。而传统法律将个人信息置于隐私权之下予以保护,但是随着信息时代背景下各种个人信息侵权犯罪案件的大量发生,对于个人信息的传统保护模式已经难以满足个人信息保护的要求。因此,在公民权利日益受到重视的社会背景下,在公民个人信息所代表和依附的社会利益和内容越来越多的社会趋势下,应当说,民众对于买卖个人信息行为的容忍度越来越低,以刑法手段来制裁非法交易公民个人信息行为已经越来越有必要。
在此背景下,由于信息社会的突然来临,网络因素的突然介入,导致立法由正常的“步行速度”突然变为“跳跃”行进,“个人信息安全”成为刑法关注的重点,公民个人信息也相应成为刑法保护的重点,出售、非法提供公民个人信息和非法获取公民个人信息的行为实现了入罪化。《刑法修正案(七)》第7条规定:“……国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员依照各该款的规定处罚。”刑法增设这一条,是为了有效应对越来越严重的非法泄露、非法获取、非法利用公民个人信息的社会现实,因此,对于非法提供公民个人信息的行为加以刑法制裁,以严厉打击目前日趋猖獗的个人信息犯罪行为,有助于切断信息犯罪的产业链。
(二)立法思路:严厉打击侵犯公民个人信息源头犯罪
如前所述,目前职业化地提供和出售公民个人信息已经成为网络诈骗、敲诈勒索等下游违法犯罪大幅上升的主要原因之一。从这个角度来看,《刑法修正案(七)》设立的“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”的立法目的之一某种程度上也可以解读为,在客观上达到了有力制裁和打击此种为网络诈骗等下游违法犯罪提供公民个人信息的犯罪行为的效果。具体而言,《刑法修正案(七)》扩展了侵犯公民个人信息犯罪的制裁范围,将刑法打击侵犯公民个人信息犯罪的时间介入点前移,将干预阶段向上游延伸,进一步严密了法网,增强了刑法的威慑力。详言之,对于出售、非法提供公民个人信息的人而言,即使只出售、非法提供了一件公民个人信息,如果获取信息的人利用这一信息实施了违法犯罪,当然属于“情节严重”,应当依法以“出售、非法提供公民个人信息罪”追究刑事责任。客观地讲,《刑法修正案(七)》将窃取、买卖个人信息的行为作为犯罪处理,对于网络上曾经一度逍遥法外的个人信息买卖来说,可以说是厄运当头,也必然对利用公民个人信息实施诈骗、敲诈勒索等下游犯罪产生震慑作用。[21]
但是,现行刑法中的“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”,尽管可以在某种程度上和一定范围内给予侵犯公民个人信息犯罪行为加以刑法评价和制裁,能够适度地抑制侵犯公民个人信息违法犯罪行为的增加泛滥速度,但是,要从根本上实现对信息犯罪行为的刑法制裁,还是要继续完善现有罪名,并适度扩张现有罪名的打击范围。
二、个人信息安全的强化保护:《刑法修正案(九)》的罪名解读
《刑法修正案(七)》增设的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”中,对于本罪的犯罪对象(公民个人信息)设置了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的”来源限定,这种列举式的条文表述看似为本条保护的对象进行了界定,也凸显了刑法对于国家工作人员或者社会公共单位工作人员出售或者非法提供公民个人信息行为的重点防范,但是,此种列举式规定导致司法实践中公民个人信息的界定存在诸多困惑。因此,为了加强对公民个人信息的刑法保护,2015年《刑法修正案(九)》将《刑法》第253条之一修改为:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
由此可见,《刑法修正案(九)》扩大了相关犯罪的主体范围,不再对本罪的犯罪主体进行限制。概言之,《刑法修正案(九)》对于公民个人信息保护的立法调整已经趋近成熟。不仅在现实效果上对现实危害严重且日趋增长的数据犯罪及时作出了回应,而且在制裁方向上,重点选取了对内部数据犯罪和数据犯罪下游非法产业链两个关键点,有效到位地建立了刑事法网。在立法技术上,明确以“公民个人信息”这一核心概念作为整个体系的基础,正确合理地扩张了犯罪主体及对象的范围,回应了现实情况,也充分契合未来可能的解释需求。
三、整体性反思:我国数据安全保护体系的现实缺憾
随着网络信息技术、电子商务的发展,公民个人信息背后所承载的价值利益也在与日俱增,针对公民个人信息实施的违法犯罪行为呈现出高发态势。《刑法修正案(七)》增设的“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”对于遏制非法泄露、非法获取公民个人信息犯罪行为,切断公民个人信息犯罪产业链具有重要意义。但是,立法规定的概括性和“应急性”,导致对于侵害公民个人信息犯罪的规定在司法操作过程中存在诸多困惑性问题,比如对“个人信息”“情节严重”的认定尚无明确界定,为了有力打击侵犯公民个人信息违法犯罪行为,有必要对打击此类行为的罪名进行优化与完善。大数据时代,现有刑法规范已经远远无法满足网络数据和公民个人信息保护的现实需要,现有罪名面临着新的解释和适用问题,迫切需要现有罪名的完善与更张。
(一)网络数据保护的全面滞后与缺失
整体来讲,我国刑法呈现出以公民个人信息保护为核心的规范体系,出售、非法提供公民个人信息罪以及非法窃取公民个人信息罪,成为我国现行刑法保护公民个人信息的核心罪名。这种立法现状表明我国刑法对公民个人信息的不断重视,但也表明现有立法滞后于大数据时代数据安全保护的现实需求。在网络数据安全亟须刑法全面保护的时代背景下,现行刑法以“档案记录”为导向的公民个人信息保护模式略显滞后和僵化。对此有学者指出,对于从网络上收集、整理他人个人信息予以出卖或者非法利用,情节严重的情形,现有罪名体系就完全无法予以应对。因此,现有刑法对于网络数据保护的关注不足,势必成为今后数据安全与公民信息安全保护的桎梏。因此,网络数据的保护有必要回溯到大数据时代网络转型——从“计算网络”向“数据网络”转型的时代背景——进行反思。换言之,在“数据网络”时代,刑法对于数据安全的罪名投放,应当以“数据”为立足点实现走向数据刑法的范式变革,公民个人信息的保护应选取以数据安全防护为核心的立法模式。
详言之,网络数据的重要特征表现为其数据形式的多样性、非结构性,网络数据的这种特征本身在创造巨大价值潜力的同时,也蕴含着数据隐私的巨大风险。大数据不同于传统的关系型数据库,基于扩展的新的非结构化数据资源而主导商业决策。依托于新一代架构和技术,大数据用于更经济、有效地从高频率、大容量、不同结构和不同类型数据中获取价值,与传统基于事务的数据仓库系统相比,大数据能在智能分析的基础上进行更大容量数据和非结构化数据的处理。数据分析不再局限于企业内部数据,而是移动终端、互联网等外部数据源,在人类掌握的全部数据中,大约有20%是结构化数据,80%是半结构化和非结构化数据。而大数据所依托的基础技术——NoSQL(非关系型数据库)内在安全机制不完善,即缺乏保密性和完整性特质,同时对来自不同系统、不同应用程序及不同活动的数据进行关联,也加大了隐私泄露的风险。
网络数据来源具有分散性、开放性的特征,个人网络数据几乎可以来源于互联网、移动互联网、物联网等各种渠道。由各种终端产生的网络数据记录了方方面面的事实和情形,并通过数据收集过程进入大数据的动态分析系统中,成为数据—信息—知识生产过程的元数据,这种普适收集(ubiquitous collection)给数据和信息保护带来了前所未有的挑战。2014年10月,IT行业权威的市场研究公司Gartner公布了2015年十大IT趋势预测,其中包括物联网(IoT)[22],被公认为继计算机、互联网之后世界信息化发展的第三次浪潮,其通过信息传感设备(射频识别、红外感应、卫星定位、激光扫描和视频监控等),按照约定的协议,把物品和互联网连接起来,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理。物联网的技术主要借助于传感器,以RFID技术为核心,并与移动网络融合。从技术上[23]以及终端与个人和个人生活的紧密相融来看,这都将对现有的数据和信息保护制度产生巨大的冲击。这导致一个新的技术设施时代到来,给整个法律体系尤其是刑法带来了巨大的挑战。大数据技术连同万联网的传感装置,侵入到许多原本是隐私的空间。[24]物联网与移动互联网的融合工信部2014年研究指出,物联网数据具有实时、动态、海量、颗粒性和碎片化的特点,物联网数据通常带有时间、位置、环境和行为等信息;物联泛终端不断演化,并且物联网与移动互联网在终端、网络、平台及架构上融合发展,新型、多形态终端并存,趋向网络统一跨平台支撑。[25]
(二)公民个人信息保护的外延不足与“单薄”
客观地讲,鉴于当前信息网络背景下侵犯公民个人信息犯罪日益猖獗,各地司法机关均采取了一系列有效的应对措施,并在司法实践中积累了一定的成果和经验。但是,目前面临的问题在于,尽管公安机关破获了大量侵害公民个人信息的违法犯罪案件,但由于《刑法修正案(七)》增设的出售、非法提供公民个人信息罪和非法获取公民个人信息罪的构成要件,目前尚缺乏明确的解释性规定,以致司法实践中对于此类犯罪的办理存在诸多问题,在一定程度上影响了对此类案件的打击力度。有鉴于此,2015年《刑法修正案(九)》删除了出售、非法提供公民个人信息罪的主体范围限制,但对于公民个人信息的保护范围仍然捉襟见肘。
1.公民个人信息界定的理论争议
公民个人作为社会中的一员,其每时每刻都在与社会发生着各种交往关系,与之相伴的是,相关个人也在时刻向外界提供本人的个人信息,比如网络购物需要提供消费者本人住址、电话号码等信息,购买保险需要提供本人相关信息,购买汽车需要提供车主信息,等等。对于此类包含公民姓名、住址、联系电话等与公民个人存在紧密关联的个人信息,一旦对外泄露就会给当事人的正常生活带来影响,对于此类信息是否应纳入本罪名保护的范围之内,目前尚无官方的正式解释。有观点认为,从侵犯公民个人信息犯罪法益的角度出发,不宜将侵害上述信息的行为纳入本罪的打击范围之内,理由在于本罪保护的法益“并非公民个人的信息自由和安全,而是公权及公权(益)关联主体对公民个人信息的保有,也就是说国家机关以及金融、电信、交通、教育、医疗等单位以外的,与公权或公益无任何事实关联的普通单位,其对公民个人信息的保有,并不是刑法的保护对象”[26]。还有类似的观点认为:“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位,违反法律规定的保密义务的应负的刑事责任……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采取的一切单位和个人。”[27]此外,对于出售、非法提供公民个人信息罪的主体,有学者认为:《刑法》第253条之一出售、非法提供公民个人信息罪中所谓“国家机关或者金融、电信、交通、教育、医疗等单位”中的“等”,“表示未尽列举之意……只要其单位性质决定其能够较为系统地接触和获取到公民信息的,都属于本罪的单位之列,如酒店、从事商业经营的公司、网站等”。
梳理上述观点,本书倾向于后者,即只要其单位性质决定其能够较为系统地接触和获取到公民信息的,都属于本罪的单位之列。《刑法》第253条之一对刑法保护的公民个人信息进行了来源条件的界定,列举了“国家机关或者金融、电信、交通、教育、医疗等单位”,法律条文中“等”字的表述给予司法机关一定自由裁量空间。根据刑法条文的目的解释和整体性解释方法,从本罪所在的章节来看,其被置于侵犯公民人身权利、民主权利罪一章,保护的法益是公民个人的信息安全。在公民现实生活中,除了金融、电信、交通、教育、医疗等单位之外,诸如网络购物、物流快递、房产、保险等服务性行业单位,与社会公众也具有紧密的联系,这些单位掌握着大量的公民个人信息。而且由于此类单位对于公民个人信息关系的漏洞,某种程度上也成为违法犯罪分子重点觊觎的对象。如果仅仅将刑法对公民个人信息的保护限定在金融、电信、交通等刑法明确列举的单位,势必不利于对公民人身权利的保护,也违背了刑法当初设定该罪名打击非法获取公民个人信息、侵害公民人身权利行为的立法目的。而且国外立法例中,对于侵害公民个人信息犯罪的刑法规定也没有设定过多的限制,比如《法国刑法典》第226条规定,采用欺诈、不正当手段或非法手段,收集数据,或者不顾某人基于合法原因提出的反对,对有关该人的记名信息资料进行处理的,处5年监禁并科300000 欧元罚金。[28]由此可见,《法国刑法典》中对于侵害公民个人信息犯罪的行为,并没有对犯罪主体设定限制。因此,《刑法修正案(九)》扩大了侵害公民个人信息的犯罪主体,但是对于公民个人信息的内容并无明确界定,这更大程度上是因为我国“个人信息保护法”立法的缺失,但在司法实践中造成了困惑,已经无法满足对公民个人信息的保护。
2.公民个人信息认定的司法困惑
同样的问题和争论也普遍存在于司法实践中,公民个人信息犯罪的源头更多的属于交通运输、网购网站、物流快递等单位。《刑法》第253条之一仅规定了公民个人信息的来源,但未对公民个人信息应当具有哪些要素作出规定。一般情况下,诸如户籍底卡、档案等显然属于公民个人信息,但是更多情况下被非法侵犯的并不属于此类信息,而且往往没有被涵括进法律所列举的上述几类行业中。比如,车主信息、购物网站用户信息明显包含了公民的个人隐私信息,但其是否属于刑法保护的个人信息在司法实践中意见分歧比较大。比如,在上海市公安局网安总队2012年11月破获的某公司员工泄露用户信息案中,大量公民个人信息被泄露,严重侵犯了公民的个人信息权利,如果对于此类单位工作人员实施的出售、非法提供公民个人信息的行为不纳入刑法的打击半径之内,势必会严重损害公民的合法权益。
3.“情节严重”认定难以操作
根据《刑法》第253条之一的规定,出售、非法提供公民个人信息罪和非法获取公民个人信息罪的成立除了符合基本的犯罪构成之外,还需要符合情节严重。因此,实施侵害公民个人信息的行为只有其社会危害性达到了应受刑罚处罚的程度时,才构成犯罪,因此,“情节严重”是本罪成立的构成要件,但何为“情节严重”,目前尚无依据可循。司法实践中,对于本罪“情节严重”的认定,主要从非法获取信息的手段、用途、危害后果以及非法获取的次数、数量等方面进行判断。但是,由于缺乏明确的规定,各地区对于“情节严重”标准的把握仍然存在诸多问题。比如,非法获取他人信息需要造成何种程度的严重成果才能构成犯罪,非法获取信息的数量应达到多少才应纳入刑法打击半径,对于此类问题的界定在司法实践中存在着无据可依的司法困惑。
同时,由于非法窃取公民个人信息的行为对象一般属于计算机存储的数据,其数量往往十分巨大,动辄数万条,甚至有的能够达到上亿条。对于如此大量的个人信息,其有效性和真实性的认定存在诸多困难。比如,在网络购物账号信息中,由于网络注册用户的重复性使得同一个人可能持有数个网络账号,因而存在较大概率的信息重复。此外,在数量庞大的信息中,并非所有的信息都是公民个人的真实信息,对于个人姓名、家庭住址、联系电话等内容不完整的信息应如何计算,这些问题在司法实践中均面临操作上的困难。值得注意的是,尽管目前尚没有对于侵害公民个人信息犯罪情节严重的明确解释,但2011年9月1日起施行的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《信息系统安全的解释》)第1条对非法获取计算机信息系统数据或者非法控制计算机信息系统罪的“情节严重”作出了解释:“(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;(二)获取第(一)项以外的身份认证信息五百组以上的……”其中,对于身份认证信息进行了较为明确的规定,对于此后司法实践中确定侵犯公民个人信息犯罪的情节严重的认定具有一定的借鉴意义。