2.个人信息保护的目的是促进个人信息的合法流通和使用。作为惩治具有社会危害性行为的法律手段,刑法的目的是打击出售(提供)、购买(获取)包含个人身份信息、敏感信息的个人信息行为以及利用个人信息从事欺诈等犯罪的行为。因为包含身份信息的个人信息的买卖,不仅导致个人隐私的泄露,严重影响了公民的个人利益,而且还可能被用于不法目的,给个人人身和财产安全带来危害。
3.利用个人信息实施犯罪的行为与利用个人信息从事正当经营活动是两类不同性质的行为,前者的行为目的和行为本身具有非法性,而后者行为目的和行为本身是在法律授权范围内,二者应当区别对待。此外,合法经营活动中可能出现的危害个人信息的行为还应当从行为后果上考察,而不能单纯只从获取和使用行为本身来判定。
4.依据刑法,“违反法律规定”的“情节严重”的个人信息出售或提供行为即可入刑。目前,我国个人信息规范少且很原则,归纳起来主要是:个人信息收集和使用应征得个人同意,并遵循合法、正当和必要原则,确保个人信息的安全和防止信息的泄露、毁损和丢失。违反这法律规定的行为并不一定具有刑法意义上的社会危害性,许多可以通过民事责任和行政责任加以解决;而“情节严重”包括了信息类型、信息数量、获利数额等因素,容易将许多基于合法经营目的的个人信息使用行为也纳入刑法调整,妨碍了大数据应用和产业发展。
5.《刑法修正案(九)》将“违反国家规定”修改为“违反国家有关规定”,使部门规章成为定罪依据。这扩大了刑罚的依据,使入罪条件行政化、扩大化,不仅降低入刑的标准,也模糊了一般违法行为和犯罪行为的界线,混淆了个人信息的行政保护和刑事保护手段,导致刑法的泛化,背离刑法的谦抑性特性。本质上,只有具有严重社会危害性的个人信息获取和提供行为才能进入刑法调整。
1.我们认为,首先,刑法对个人信息的保护应当回归刑法的本位,打击和惩治具有社会危害性和严重侵害个人基本权利的行为。首先是明确可以入刑的侵犯个人信息的行为,再以情节轻重作为量刑轻重的因素。
其次,刑法规制的应当是买卖和非法提供个人信息的行为,这些行为可以直接联系到特定个人身份,而不是所有具有识别性的个人信息。经过去身份、去敏感处理的数据流通行为应是国家鼓励的数据利用行为。
再者,《刑法释2017》第四条所规定的“以其他方法非法获取”公民个人信息的行为,应当理解为相当于窃取违法性的手段,如虚构业务场景收集、强迫同意收集公民个人信息或采取诈骗手段获取公民个人信息等。企业、政府机关或社会组织在法律授权的正常业务场景中收集个人信息一般不应被解释为“以其他方法非法获取”。
第四,购买、收受、交换等基于民事行为获取公民个人信息的行为,需要结合数据使用目的及危害后果来确定其是否应由刑法调整;同样,为合法经营活动而购买、收受公民个人信息的行为,不能单纯以获利(5万元)作为入罪标准。
第五,出售和提供公民个人信息的行为原则上应当获取个人同意,但“同意”不能成为具有社会危害的个人信息收集和使用行为合法化的“武器”,成为这些行为不承担刑事责任的“挡箭牌”。反之亦然,“未经被收集者同意”也不是入刑的必要条件。未经被收集者同意向他人提供公民个人信息行为,只有侵害个人权利和造成社会危害后果的,才应被纳入刑法规制范畴。否则,只是违约、侵权等民事或行政责任问题。
建议
保护个人信息,明确合法的收集、处理、流通和使用个人信息的规则,培育数据应用服务市场是实施大数据战略的关键。刑法的作用是打击个人信息的非法利用,而不能担当其维护个人信息合理利用秩序的全部功能,我们必须充分利用民事、行政和刑事多种手段,建立起国家法治和行业自治协同的、全面的个人信息保护体系。为此,我们对我国个人信息保护体系的完善提出如下建议:
1.加快个人信息保护法的立法进程,建立民事、行政和刑事相协调的个人信息保护体系,制定明确的个人信息使用规范,厘清数据收集、流通和使用的合法边界,为个人信息的行政执法提供法律依据,为行政执法和刑事制裁的分工协作提供指引。