在个人信息保护与电子商务发展间适用刑法

时延安

王文华

劳东燕

喻海松

付立庆

崔聪聪

刘卫东

肖平辉

吴沈括

阿拉木斯

◎要依法严惩侵犯公民个人信息犯罪；要兼顾个人信息保护与大数据发展的需要；要通过综合治理加强对个人信息的保护。

◎法律也没有赋予个人信息的直接相关者具有限制个人数据拥有者占有权的权利，充其量只有限制其他人滥用的权利。

◎实施个人信息保护的前提是建立对个人信息过度收集和过度披露的干预机制。

近年来，侵犯公民个人信息犯罪处于高发态势，引起了全社会的广泛关注。为此，“两高”于5月9日发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）。近日，北京外国语大学法学院、检察日报社理论部、北京冠衡刑辩研究院联合召开了“个人信息刑法保护与电子商务”研讨会，就《解释》的理解与适用，以及适用《解释》与发展电子商务之间的协调进行了前瞻性探讨。

　　《解释》对个人信息提供了较高水准的保护

“首先，要依法严惩侵犯公民个人信息犯罪；其次，要兼顾个人信息保护与大数据发展的需要；最后，要通过综合治理加强对个人信息的保护。”最高人民法院研究室博士喻海松就当前侵犯公民个人信息犯罪的治理问题提出了个人意见。他表示，目前侵犯公民个人信息犯罪呈高发多发态势，涉及的个人信息数量越来越大、类型越来越多。特别是，不少涉案公民个人信息事关他人财产乃至人身安全，如行踪轨迹、财产信息等敏感信息。基于当前侵犯公民个人信息犯罪的态势，应当根据刑法修正案（九）和《解释》规定，加大对此类犯罪的惩治力度，加强对公民个人信息的刑法保护，有效维护公民的人身、财产安全和生活安宁。当然，个人信息数据的利用是大数据发展和应用的固有之义。在数据流动、交易过程中如何保护公民个人信息的安全，避免个人信息扩散失控，乃至被非法用于违法犯罪活动，的确是发展大数据必须面对的问题。对此，必须寻求一个平衡点，在确保公民个人信息安全的前提下依法促进大数据的发展。实际上，这个平衡点就是现行的法律框架。从长远看，单靠刑法尚无法营造出良好的互联网信息秩序，还必须依靠各部门法多管齐下与社会综合治理。因为，侵犯公民个人信息罪实际上属于行政犯，理想的状况是先有前置的行政、民事法律规范，而后通过刑法加以保护。但是，实际情况是个人信息保护一定程度上存在“刑法先行”。因此，在侵犯公民个人信息罪刑法规定和司法解释已经出台的当下，更要看到前置的行政、民事法律规范供给亟待增强的问题。特别是，侵犯公民个人信息罪司法适用中暴露出来的一些争议问题，如“公民个人信息”的范围判断、个人信息匿名化处理的具体认定等，实际上与当前涉公民个人信息的前置法律规范欠缺或者不明确相关。如何加快公民个人信息民事、行政法律规范的完善，应当成为今后一段时间的重要任务。

中国人民大学刑事法律科学研究中心主任、教授时延安认为，信息和数据之间是内容与载体的关系。从法律上看，无论是对数据化的信息，还是以纸质、语音等形式记载的信息，对某一主体以外的人而言，必须首先获得这些信息的载体，然后才能了解其中记载的信息。进言之，从占有的角度分析，对个人数据拥有占有权的主体未必是个人信息的直接相关者，而法律也没有赋予个人信息的直接相关者具有限制个人数据拥有者占有权的权利，充其量只有限制其他人滥用的权利。厘清信息与数据的关系，目的在于合理设计法律上的处理。自然人对本人信息的占有、使用以及对他人使用的限制，尚不能形成单独的权利，如“个人信息权”，因为个人信息的形成是个互动的过程，作为互动的对方可以获得对这一信息的占有权利和一定的使用权利。对个人信息利益享有的保护，在民法上看，仍应以隐私权和安宁权来加以保护。具体可以从三个层面来论证：一是从存在论的层面分析，对个人信息并不存在独立的占有，任何个人信息都属于交往过程中的相互知悉；二是从规范论上判断，个人信息只有与个人人身权利和财产权利相关时，才有法律规制的必要性，而这些利益目前完全可以通过既有的权利类型加以保护；三是从价值论上探讨，如果将个人信息的利益享有界定为独立的权利类型，将极大地限制人们之间的信息交流，同时也会限制信息产业的发展。

清华大学法学院教授劳东燕认为，《解释》将侵犯公民个人信息的数量当作重要的定罪量刑情节，并对“情节严重”与“情节特别严重”的情形分别作了明文的列举，同时，对单位犯罪与自然人犯罪的定罪量刑标准予以统一化，有助于扭转当前对个人信息的刑法保护力度不足的问题。

　　个人信息保护的具体内容可作进一步明确

《解释》对实践中争议较大的一些问题进行了明确界定，具有创新性和实际操作性，有利于及时、有效地保护公民个人信息安全，保护、促进电子商务等互联网企业的创新发展。北京外国语大学法学院副院长、教授王文华认为，目前，应当注重对公民个人信息进行类型化研究。《解释》第5条针对“公民个人信息”作了区分：例如“行踪轨迹信息、通信内容、征信信息、财产信息”为重要信息，“住宿信息、通信记录、健康生理信息、交易信息”等为敏感信息，其他的为一般信息，这种分类值得肯定。然而，在适用《解释》第9条时，网络服务提供者的行为究竟满足何种条件，就应当被认定为“拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果”，并依照刑法第286条之一的规定,以拒不履行信息网络安全管理义务罪定罪处罚，仍然有待于类型化处理。例如，尽管互联网服务接入商（ISP）、互联网内容提供商（ICP）都是“网络服务提供者”，然而一个是服务接入商、一个是内容提供商，它们对公民个人信息保护的义务与责任程度并不相同，是否构成网络信息侵权的认定标准也不同，在刑法上是否构成拒不履行信息网络安全管理义务罪，也需结合其他法律和互联网的特点进行综合判断，不可一概而论。

中国人民大学法学院教授付立庆表示，《解释》关于个人信息范围、“违反国家规定”、“提供”的含义，以及购买是否属于“其他方法”等的界定，都体现出对个人信息的强化保护。为寻求法益保护和被告人权利保障之间平衡，适用《解释》时有必要适当限缩。比如，《解释》第5条第1款第1项中的“出售或者提供行踪轨迹信息，被他人用于犯罪”，尽管出售或者提供者对此种信息可能被用于犯罪常会存在一种“概括认识”，但在其明确知悉对方获取此种信息仅是用于其他场合（比如捉奸），根据第1项，也可能因事后该信息被他人用于犯罪而被认定为“情节严重”。为尽可能保持处罚合理性，或许有必要将“被他人用于犯罪”限定为“被他人用于实施严重犯罪”。同样，《解释》第5条第2款第1项规定的“造成被害人死亡、重伤……等严重后果的”，也应该排除被害人自杀、自残的场合。否则，仅因被害人自身的原因而出现严重后果时也加重对被告人的处罚，显失公平。因此，在具体理解与适用《解释》时，必须要强调法益保护与被告人权利保障之间的平衡。

“《解释》第1条明确了个人信息的内涵和外延。在具体适用过程中建议将自然人身份理解为自然人本人，因为身份一词无法涵盖所有的个人信息。同时就个人信息的外延，建议增加搜索记录、浏览记录、位置信息等行为信息。”北京邮电大学互联网治理与法律研究中心副主任崔聪聪补充说。

　　个人信息刑法保护与电子商务发展

“随着互联网的不断发展，我国立法进程不断推进，对公民个人信息保护的力度也在不断提升，这既是社会主义法治体系健全完善的标志，也是国家尊重和保障人权的具体体现。但是，在实践中要切实把握好度。”北京冠衡刑辩研究院院长刘卫东表示，作为现代社会重要特征的大数据是一把双刃剑。可以帮助我们做很多判断和预测，协助我们把社会管理得更好，发现很多隐藏的商机，但大数据也会使诸多公民个人信息被暴露和收集。

对此，中国人民大学食品安全治理协同创新中心研究员肖平辉认为，实施个人信息保护的前提是建立对个人信息过度收集和过度披露的干预机制。就互联网平台而言，个人信息的收集和披露实际上已经涵盖了信息生命周期的两个重要节点，即信息通过平台的一进一出。首先是个人信息的过度收集。个人信息被过度收集且能通过不明途径流入诈骗行为实施者手中也是重大诱因。目前并没有法律约束这些信息收集，而相关的技术保护机制也不明朗。建议国务院出台相关行政立法对个人信息适当类型化，这包括个人信息本身的类型化和使用场景的类型化。这种类型化可以有效防止过度收集信息，增强个人信息保护的可操作性。其次是个人信息的过度披露。电商平台是否可以以个人信息保护为由拒绝过度披露？其中的标准又是什么？从目前的情况来看，这些平台有不少拒绝理由，其中之一就是政府要求提供的信息有让平台过度披露的嫌疑，同时政府职能部门可能（有意或无意）泄漏平台的个人信息。这造成平台和职能部门之间出现拉锯战。目前，平台和职能部门在个人信息问题上缺乏信任，跟没有建立个人信息披露机制有关。如果事先我们确定一定的披露标准，这个问题就能得到有效解决。

针对目前个人信息行政保护规则供给相对短缺的实际情况，中国互联网协会研究中心秘书长吴沈括表示，《解释》明确将部门规章纳入刑事评价的范围，将促使电子商务网络运营者在当代罪刑法定主义精神的指引下对可能产生刑事意义的部门规章给予更进一步的甄别追踪，以提高刑事风控工作质量。《解释》的规则设计事实上为电子商务网络运营者的刑事合规与风控工作提供了诸多有益的工作抓手：一方面，有助于电商企业精确厘定业务对象的范围，尤其是围绕《解释》第1条、第2条确定业务运营中涉及的个人信息类型划分以及评估相应的信息处理操作要求。另一方面，有助于电子商务网络运营者提高指向业务模式的刑事合规水平，特别是基于《解释》第3条、第4条、第5条、第6条的规定，设计与个人信息提供、购买、收受以及交换等行为相关的业务合规策略。

此外，还有助于电子商务网络运营者建设刑事风险的防御架构，包括在《解释》第7条、第10条规定的基础上建立单位刑事责任的阻隔机制，在第12条规定的基础上建立有关罚金刑的风险管控机制，以及在第8条、第9条规定的基础上建立有关拒不履行信息网络安全管理义务罪、非法利用信息网络罪等关联犯罪的反制机制等。

中国电子商务协会政策法律委员会副主任阿拉木斯认为，互联网产业本身就是建立在个人信息收集和利用的基础之上的，这也是互联网服务为什么可以做得更好的最大奥秘。个人信息，除了那些直接识别个人的关键信息和敏感信息外，我们每天上网浏览、购物、交流、发帖，都会产生大量的一般个人信息，这些个人信息对个人的价值并不大，应该允许这些信息被收集利用，或者用于交换商家给予的各种优惠或礼品，这种互动是互联网服务变得越来越好的根源。从博客、网商、微博到微信，大部分互联网时代的个人信息已经脱离了个人的本质，大多带有更强的社会性和商业色彩，意味着更大的公开性，不宜再从单纯个人的角度给予更强的保护。所以，在保护公民个人信息的同时，也要注重保护互联网行业的正常发展。

责任编辑：马尧