-司法-司法提升数字时代个人信息的刑法保护水平
司法培训资讯网:
随着我国各行业各领域的数字化转型步入快车道,数字经济和数字社会正呈现蓬勃发展态势。特别是在以数据(个人信息)驱动的各类新型经济模式和商业应用的发展过程中,个人信息的价值日益凸显,已构成最重要的基础性要素。同时也滋生了对各类个人信息以及个人权益的侵害行为,特别是公民个人信息被非法收集、处理和滥用等的违法违规案件时有发生,成为行政监管和刑事司法的红线区域。近年刑事司法裁判大数据显示,网络空间与数字环境是侵犯公民个人信息罪发生的首要领域,如何与时俱进通过科学、有效的司法裁判提升数字时代个人信息的刑法保护水平已是重大的时代命题。
自《网络安全法》《数据安全法》特别是《个人信息保护法》等新一代数字立法相继颁布施行以来,我国与数据治理和个人信息保护相关的法律规则设计日益完善,在信息安全保障、法定权益保护以及流转利用秩序等各个方面形成了整体的规范体系。而近年有关个人信息保护的刑事司法遵循保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用的立法精神,持续丰富类案裁判规则,为个人信息与个人权益的全面保障提供更具实效的操作指引。对此,具有突出典型意义的是近期最高人民法院发布的第35批指导性案例:
一、助益界定社交媒体场景中的犯罪构成典型行为
我国《刑法》引入第二百五十三条之一后,针对侵犯公民个人信息罪在犯罪构成要件层面主要规定了四类典型行为,也即“违反国家有关规定,向他人出售或者提供公民个人信息”,以及“窃取或者以其他方法非法获取公民个人信息”。而刑法的高度类型化规定,在缤纷多样的数字化环境中,面对着如何准确适用于具体场景的持续追问。为此,2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称:《解释》),通过专条就“提供公民个人信息”和“以其他方法非法获取公民个人信息”等语辞含义做出了明文阐释,便利司法机关在实务中对于各种典型行为的裁量判断。
此次发布的指导性案例194号《熊昌恒等侵犯公民个人信息案》则专门针对社交媒体的应用场景,特别明确了违反国家有关规定,购买微信等社交媒体账号后,非法制作带有公民个人信息的社交媒体账号出售、提供给他人,情节严重的,属于刑法第二百五十三条之一第一款规定的“违反国家有关规定,向他人出售或者提供公民个人信息”行为。在社交媒体领域的生态结构日趋复杂的当下,公民个人信息的侵犯风险更为突出,该案例有助于在涉及社交媒体账号信息流转的特殊场景中,为司法机关提供有效的裁判指引,进而精准界定符合侵犯公民个人信息罪的典型行为样态。
二、助益明确已公开个人信息刑法保护的专门规则
在目前数字网络语境下,已公开个人信息具有相当的数量占比,是具有特殊意义的数据类型,其使用和流转规则长期属于理论和实务的争鸣焦点。2021年《个人信息保护法》在强调不得非法买卖、提供或者公开他人个人信息的同时,特别针对已公开个人信息,规定“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;个人明确拒绝的除外。”由此以“合理范围内的处理”为准则,划定了我国有关已公开个人信息保护的法律基线。
事实上,此次发布的指导性案例194号《熊昌恒等侵犯公民个人信息案》,一方面专门指出在案件中未经公民本人同意或具有法律授权等个人信息保护法规定的理由,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用,改变了公民公开个人信息的范围、目的和用途,不属于“法律规定的合理处理”,从而明确了处理已公开个人信息的合法与非法界线,建立了《刑法》与《个人信息保护法》之间制度性呼应的桥梁。另一方面,还特别认定案件中的此等行为属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为,情节严重的,构成侵犯公民个人信息罪,从而明确了此种情形的入罪门槛,亦表明了已公开个人信息刑法保护的特别实现方式。
三、助益丰富刑法规范视野下的个人信息保护范围
从《网络安全法》《民法典》到《个人信息保护法》,我国现行法律法规主要以“识别性”为标准勾画个人信息的法定范围,特别是《个人信息保护法》明文规定个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”,从而涵盖了直接识别和间接识别两种具体情形。当然,在现今大数据环境下,由于数据间的多重关联广泛存在,这种宽口径的立法模式,也往往伴随司法实务中具体认定的困扰。
此次发布的指导性案例194号《熊昌恒等侵犯公民个人信息案》明确认为,微信号和手机实名绑定,与银行卡绑定,和自然人一一对应,按照有关司法解释的规定个人信息包括账号密码,因此微信号可认为是公民个人信息。而指导性案例195号《罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案》则专门指出,服务提供者专门发给特定手机号码的数字、字母等单独或者其组合构成的验证码具有独特性、隐秘性,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于刑法规定的公民个人信息。这些案例和论断,在2017年《解释》所引入的个人信息分类体系的基础上,为刑事司法中“间接识别型”个人信息的厘定提供了方法论依据。
引申言之,着眼网络空间生态治理的维度,此次发布的指导性案例的更深层启示意义在于,侵害公民个人信息犯罪的防治乃至涉数据刑事合规风控体系的建立和完善,应当以刑事责任预防为起点,对各类数据技术运用的机理特质、应用场景、伴随情状等要素做出具体的类型化研判,在全面建立数据治理框架的基础上,追踪司法裁判案例、比对个人信息的处理情形与司法案例的定性,分析可能受到侵害的法益内容以及相应的法律风险属性,提炼并遵从现行法律规范确立的各项合法性依据,进而设计和引入与业务生态相匹配的刑事合规举措。
