法學論文我國侵犯公民個人信息法學管理新條例

　　目前我國法律對侵犯公民個人信息行為的評價存在明顯疏漏,同時對部分行為進行評價時,又是不全面的,法規(guī)規(guī)范的效力等級偏低,評價后的救濟機制是不暢通的。因此,在現(xiàn)有法律體系下,我國侵犯公民個人信息犯罪的法律制裁成本較低。所以要加強對現(xiàn)在公民個人信息的保護管理條例，文章是一篇法學論文。

　　摘要：為了保證向侵害人主張民事權利,筆者認為應根據(jù)行為人身份的不同而確定不同的歸責原則。其一,對于公權力身份/如國家機關工作人員),適用無過錯原則,又稱嚴格責任原則。國家機關代表公權力履行社會管理服務職能,其背后依賴的是強大的國家機器,為了追求法治和公平,應該對國家機關實施的侵犯公民個人信息安全行為適用嚴格責任;其二,對于壟斷性公共服務機構(如國有銀行、證券公司的工作人員),適用舉證責任倒置的過錯原則。

　　關鍵詞：個人信息,法學條例,法學論文

　　一、基于犯罪“收益”的原因分析與對策

　　個人信息被譽為21世紀最有價值的資源,它不但可以為政府決策提供依據(jù),產(chǎn)生公共管理上的效率與效益,還可以產(chǎn)生商業(yè)利潤。⑵

　　(一)侵犯公民個人信息犯罪的高“收益”

　　行為人侵犯公民個人信息多以出售牟利為目的,在此情況下會產(chǎn)生“收益”。單一的個人信息也許價值有限,但如果將若干具有共同特征的主體個人信息按一定的方式組成數(shù)據(jù)庫,并通過該數(shù)據(jù)庫所反映的某種群體的共性來滿足自身或其他數(shù)據(jù)庫使用者的需要,其價值就是不可估量的。同時,個人信息的價值還在于可以無止境地被重復使用、重復獲取經(jīng)濟利益。⑶如美國的Boo.com網(wǎng)站2000年5月倒閉時就出賣了其保存的35萬份用戶資料,獲利25萬英鎊。⑷

　　可見,侵犯公民個人信息是“收益”期望值頗高的犯罪。

　　(二)降低犯罪“收益”的對策——側重民事救濟機制

　　公民個人信息的上位概念是個人隱私,屬于我國民法上人身權利的范疇。任何侵犯公民個人信息的犯罪行為都符合民事上的侵權之訴,即使侵害人承擔了行政或刑事責任,被侵權人仍有權向法院主張自己獲得民事賠償?shù)臋嗬�。民事救濟權利的實現(xiàn),既是對被侵權人利益的平復,也是對侵害人非法利益的一種剝奪,客觀上起到?jīng)_抵犯罪“收益”的作用。

　　法學論文：《福建法學》創(chuàng)刊于1982年，是由福建省法學會主辦的一部季刊，正文語種為簡體中文，出版地位于福建省福州市。

　　二、基于犯罪“成本”的原因分析與對策

　　侵犯公民個人信息犯罪可謂典型的低投入犯罪。⑸無論在行為成本、法律制裁成本和道德譴責成本上,均呈現(xiàn)低投入特征。

　　(一)侵犯公民個人信息犯罪的“行為成本”

　　1.“行為成本”較低的表現(xiàn)

　　(1)信息獲取的成本。計算機和網(wǎng)絡技術的飛速發(fā)展,使得原本看來非常困難的信息獲取變得輕而易舉。在合法獲取中,國家政府機關和向公眾提供公共服務的公司、企事業(yè)單位和團體都采用現(xiàn)代化的辦公手段,提高服務效率,信息的采集可以直接通過互聯(lián)網(wǎng)用專門的信息采集軟件完成,即使是現(xiàn)實生活中通過調(diào)查訪問采集到的信息,也會轉(zhuǎn)化為電子資料的形式,形成數(shù)據(jù)庫,方便管理與分析。在非法獲取中,沒有人會將竊取理解為破門而人盜竊紙質(zhì)的檔案信息材料,而是通過智能或交易手段輕松完成。例如1994年2月,一個名不見經(jīng)傳的普通網(wǎng)民在美國互聯(lián)網(wǎng)的許多主機和骨干網(wǎng)絡設備上安裝了網(wǎng)絡監(jiān)聽軟件,利用它對美國骨干互聯(lián)網(wǎng)和軍方網(wǎng)絡進行監(jiān)聽,并竊取了超過10萬個有效的用戶名和密碼。⑹如今,界面友好、操作簡易的網(wǎng)絡監(jiān)聽軟件在互聯(lián)網(wǎng)上信手拈來。此外,通過非法交易也能夠輕易而廉價地獲取大量公民個人信息。例如在某資料網(wǎng)站上赫然寫著出售“1萬多個沈陽股民的詳細資料”,并聲稱這些都是高度保密文件,一般人不可能拿到,信息內(nèi)容包括股民姓名、性別、地址、郵編、電話和手機等,只需要匯款200元錢,24小時之內(nèi)就能拿到光盤。⑺

　　(2)信息處理的成本。計算機軟硬件的發(fā)展和在個人信息處理方面的應用,使個人信息的數(shù)據(jù)分析進入半自動甚至全自動化階段。⑻當行為人采取出售牟利的信息處理方式時,行為人的一切銷售行為都可以通過互聯(lián)網(wǎng)完成,成本至多是一張光盤(市值2.5元人民幣)。當行為人采取非法披露、提供等手段時,行為人只需將公民個人信息放在一個公共網(wǎng)站的布告欄上,便能夠向全世界披露相關信息,并且這些信息會迅速傳播蔓延。如美國在線公司的一名員工將公司掌握的65.8萬美國用戶從2006年3月1日到31日之間的“私人搜索信息”發(fā)表在一個學術網(wǎng)站上,當美國在線意識到問題的嚴重性,并試圖將上述信息撤下來的時候,卻驚訝地發(fā)現(xiàn)這些信息已經(jīng)迅速在網(wǎng)絡世界中“生根發(fā)芽”,無法消除了。⑼而所有這些信息處理行為,可能只需要侵犯公民個人信息的行為人坐在電腦前,輕擊鼠標,就能瞬間完成了。

　　2.提高“行為成本”的對策——側重技術防控手段

　　計算機技術的發(fā)展是一把雙刃劍,從一定意義上講,其使公民個人信息安全處于最危險的邊緣,但同時技術手段上的防控是保護公民個人信息最直接的屏障。在國家政策和市場需求的引導下,技術部門應加大力度進行與公民個人信息保護有關的技術研發(fā),如加密技術、網(wǎng)絡安全過濾技術、反監(jiān)控技術和網(wǎng)絡追蹤技術等。加密技術和反監(jiān)控技術的演進,將會使電子化的公民個人信息處境更為安全,不易被侵害人惡意獲取,降低保管不善的風險;網(wǎng)絡安全過濾屏蔽技術的發(fā)展,能夠切斷非法出售、超目的使用和披露的渠道,降低可能帶來的不法侵害。總之,技術防控手段能夠提高行為人獲取信息和處理信息的成本,是防控侵犯公民個人信息犯罪的重要舉措之一,不容忽視。

　　(二)侵犯公民個人信息犯罪的“法律制裁成本”

　　1.“法律制裁成本”較低的表現(xiàn)

　　第一,現(xiàn)有規(guī)范散見在不同法律文件中,缺乏統(tǒng)一立法。德國在1977年通過了《聯(lián)邦個人資料保護法》,美國在1986年通過了《聯(lián)邦電子通訊隱私法案》,日本在2005年通過了《個人信息保護法》。與之相比,我國的《個人信息保護法》雖已納入立法計劃數(shù)載,卻一直沒有正式出臺。在尚無統(tǒng)一立法的情況下,為了應對個人信息保護的需要,相關立法中紛紛出現(xiàn)個人信息安全條款,筆者搜索到此類相關法律文件24部,其中有20部是2005年以來頒布的。我國關于公民個人信息保護的條文散落在不同的法律文件中,沒有個人信息概念的完整定義,侵害行為界定不清,除刑法規(guī)定外,主體的限定性很強,局限在人民政府統(tǒng)計機構、人民警察、社會保險機構和銀行等少數(shù)國家機關或壟斷性公共服務機構,遠沒有達到個人信息保護所要求的水平。

　　第二,現(xiàn)有規(guī)范的效力等級較低,保護力度不夠。筆者搜索到的24個法律文件中,屬于國家法律的僅有3部,屬于行政法規(guī)的僅有1部,屬于司法解釋的2部,其余的18部均為行政規(guī)章。在規(guī)范侵犯公民個人信息犯罪的法律和行政法規(guī)等效力較高的法律文件先天不足的情況下,部門規(guī)章的作用受限于上位法律,也很難有用武之地。

　　第三,現(xiàn)有規(guī)范僅是一種宣告式立法,救濟渠道受阻�！缎谭ㄐ拚�案(七)》明確規(guī)定了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的法定刑,而24部行政法中,只有半數(shù)對侵犯公民個人信息行為規(guī)定了行政處罰,其余都是作為一種宣告式的保護,沒有明確規(guī)定違反后的法律后果,這種法律條文的規(guī)范效果和社會效果都有待進一步驗證。在現(xiàn)有情況下,法律規(guī)范數(shù)目有限,僅有的條文表述又具有模糊性,直接造成了法律執(zhí)行力弱化,救濟渠道不暢的局面。根據(jù)中國社會科學院法學研究所課題組的調(diào)查,個人信息曾遭受濫用的被調(diào)查者中,僅有4%左右的人進行過投訴或者提起過訴訟。無法確定哪些機構應承擔責任、無法確定向什么機構投訴或者以誰為對象提起訴訟、無法獲得有力的證據(jù)、投訴或者訴訟成本過高等是導致公眾不愿意投訴、提起訴訟的重要因素。⑽

　　第四,現(xiàn)有規(guī)范沒有涵蓋所有侵犯公民個人信息犯罪行為�，F(xiàn)有法律文件中的規(guī)定往往是零星的、不全面的,如擅自披露、超目的使用和冒用等侵害行為并不在評價范圍之內(nèi)。

　　2.提高“法律制裁成本”的對策——側重行政處罰措施

　　法國是保護公民個人信息頗有成效的國家之一,其早在計算機和網(wǎng)絡剛剛出現(xiàn)、尚未普及的1978年1月6日,就通過了《信息與自由法》。同時,法國還創(chuàng)建了一個專門保證個人自由不受網(wǎng)絡侵害的機構——法國國家信息自由委員會(簡稱CNIL)。CNIL為獨立行政當局,⑾其使命是保障信息與自由法的實施,保護公民的個人隱私、個人或公共自由,防止其遭受現(xiàn)代信息技術的侵害。具體任務包括教育、咨詢、監(jiān)管文檔和保證法律實施等等。更為重要的是,CNIL有權直接做出多種檔次的制裁,如警告、催告、上限為30萬歐元的經(jīng)濟制裁、勒令停止處理等。CNIL主席可以緊急向有關司法機關提出救濟,以便采取一切必要的安全措施。他也有權以CNIL的名義向共和國檢察官檢舉違法情形。

　　綜合我國法律傳統(tǒng)與他國經(jīng)驗,行政處罰應是懲治侵犯公民個人信息行為的最主要法律制裁手段。他山之石可以攻玉,我國應積極借鑒法國先進經(jīng)驗,完善我國對個人信息的行政法保護。行政處罰措施原本是防治侵犯公民個人信息犯罪的“重鎮(zhèn)”,可上文提到我國現(xiàn)行行政法的種種不足,明顯不能滿足保護個人信息的要求。面對現(xiàn)實的拷問,我國應加大改革的步子,加速《個人信息保護法》的出臺,將公民個人信息安全保護提升到基本人權保障的高度,仿照法國成立專門的管理委員會,結合中國自身特色,全面推進相關工作。

　　(三)侵犯公民個人信息犯罪的“道德譴責成本”

　　1.“道德譴責成本”較低的表現(xiàn)

　　第一,濃重的官本位思想與權力界限的模糊性。在當前的社會中,“官本位”只是一種潛文化,并不為主流意識形態(tài)所承認和提倡,但其作為一種文化思想深深地影響著中國人的思維和行動方式。官本位思想造就一種對權力和官員的崇拜與敬畏,進而導致了長官意志與依附意識。此外,公權力主體具有國家監(jiān)管和社會管理的職權,要求掌握一定程度的公民個人信息,如我國《居民身份證法》明確規(guī)定國家有權力對居民姓名、性別、民族等諸多項目進行登記。甚至,當國家監(jiān)管的權力與公民個人信息安全權利沖突時,后者要做出讓位。⑿這種公權力與私權利之間的界限本來就不是絕對的、涇渭分明的,在實踐中不可能一刀切。

　　公權力機關及其工作人員和壟斷性公共服務機構及其工作人員是侵犯公民個人信息犯罪的主體,壟斷性公共服務機構又被稱為“準公權力”,因此這些犯罪人都是“官”。在官本位思想的支配下,我國公民的權利圈不斷在縮小,權力圈擴大,社會輿論甚至認為公權力的侵入是理所當然的。如《個人信息保護現(xiàn)狀調(diào)研報告》中提到,有一部分接受調(diào)查的公眾就認為自己無權拒絕提供自己的個人信息,這樣就助長了“官”主體侵犯公民個人信息的可能。

　　第二,正在形成的人權理念。西方的人權理論將人權視為國家權力的最終來源和根本目的,在道德上,人權絕對具有超越國家權力的優(yōu)越性。而在我國古代思想中,個人私利不僅有損于“公”,而且有礙于一個人立德成圣。隨著人權全球化的浪潮,開放的中國正以博大的胸懷汲取人權理念的養(yǎng)料,但就現(xiàn)階段而言,民眾的人權理念還是比較淡薄的。反映在侵犯公民個人信息犯罪上,大部分公民沒有認識到個人信息保護是基本人權的一部分,個人信息資料是神圣不可侵犯的。如果侵犯個人信息行為沒有嚴重干擾民眾的生活,被害人沒有感受到行為的存在,那么被害人對過度采集信息、出售信息和非法披露信息的行為,往往會選擇聽之任之,更不會拿起法律武器。

　　2.提高“道德譴責成本”的對策——側重樹立道德意識與職業(yè)道德自律

　　(1)使公民形成對個人信息權利的尊重。具體到如何逐漸樹立公民對個人信息安全的權利意識問題,筆者認為,公眾整體意識的養(yǎng)成不是一朝一夕的事,相關規(guī)范的確立、責任追究機制的健全、懲處的透明及時等都有助于權利意識的養(yǎng)成。就當前而論,應大力加強公民個人信息安全意識的教育宣傳工作。鑒于我國個人信息保護處于起步階段,應盡快完善制度建設,考慮在我國成立獨立的行政機構,全面統(tǒng)籌公民個人信息安全保護工作,其中加大對市民和相關主體的宣傳教育是核心工作之一。而在制度缺失階段,應該發(fā)揮現(xiàn)有資源,開展宣傳教育工作。筆者認為,實施侵犯公民個人信息犯罪的前提是信息的占有,而大部分信息占有發(fā)生在主體向公民提供服務的過程中,可以強化相關主體在服務過程中的合規(guī)意識和法制觀念,工作人員有義務向公民說明信息安全的權利,在工作場所應懸掛提醒公民注意“個人信息安全”的警示語等。對于公權力身份主體和壟斷性公共服務主體均有對應的監(jiān)管部門、機構,對于非壟斷性公共服務主體,工商管理部門可以發(fā)揮監(jiān)管職能,監(jiān)督服務機構工作過程與質(zhì)量,并同時自主開展相關宣傳推廣活動。

　　(2)明確職業(yè)道德要求,落實行業(yè)處罰。就目前階段而言,我國行業(yè)自律已具備一定組織基礎,雖有的團體具有較強的行政性,但不影響自律機能的發(fā)揮。對壟斷性公共服務部門,政府的不同分管部門設有專門的管理組織,如中國銀行業(yè)監(jiān)管委員會、中國證券業(yè)監(jiān)管委員會、中國保險業(yè)監(jiān)管委員會、中華全國律師協(xié)會等;對非壟斷性公共服務部門,在中華全國工商業(yè)聯(lián)合會統(tǒng)管下也成立了相關民間自律組織。在完善組織的機構建設的同時,要加強民間監(jiān)管職能的發(fā)揮落實,自覺地將公民個人信息安全的行業(yè)監(jiān)管作為核心工作之一。要明確各企事業(yè)單位依法采集、妥善保管、合理使用公民個人信息的義務;提供國家保護公民個人信息的政策咨詢,根據(jù)本行業(yè)特點和適用情況及時調(diào)整、完善關于個人信息保護的行業(yè)準則,完善相關機制以保證準則的遵守和執(zhí)行;對于侵犯公民個人信息安全權的相關單位,適用具有本行業(yè)特色的、合理合法的處罰手段。

　　三、基于犯罪“風險”的原因分析與對策

　　美國心理學家卡尼曼對人類在風險條件下如何做出選擇的問題,給出了經(jīng)濟學解釋,即預期理論,他也因此得到了2002年的諾貝爾經(jīng)濟學獎。他指出,人們面臨條件相當?shù)挠�利時,更傾向于接受確定的盈利(風險規(guī)避)。⒀可見,在風險不得規(guī)避,行為注定失敗被迫責的情況下,犯罪人很有可能選擇放棄。

　　(一)侵犯公民個人信息犯罪的低“風險”

　　侵犯公民個人信息犯罪,由于其自身的隱蔽性和特殊性,責任追究難度大,行為人往往能夠規(guī)避風險。

　　1.行為隱蔽,被害人不易察覺,偵查難度大

　　侵犯公民個人信息罪的客觀方面表現(xiàn)為將合法持有或竊取的公民個人信息出售或者非牟利致害使用。在行為人合法持有公民個人信息并非法處理的情況下,信息權利人基于一定的法定事由或約定事由將信息交給犯罪人,其有理由相信犯罪人會合法使用相關信息,權利人對信息處理的過程很難監(jiān)督,因而也難以發(fā)現(xiàn)其出售、披露、超目的使用和保管不善丟失等不法行為。當行為人竊取公民個人信息時,竊取行為本身是秘密的,不動聲色的,網(wǎng)絡上的破譯密鑰和編程技術等手法具有典型的隱秘特征,而且信息具有可復制性,丟失后不會造成被害人物件的毀損缺漏,被害人往往對竊取行為不得而知。此外,犯罪人的出售和致害使用行為往往通過互聯(lián)網(wǎng)完成,互聯(lián)網(wǎng)犯罪具有無現(xiàn)場性:⒁互聯(lián)網(wǎng)上的犯罪實施于虛擬空間,沒有目擊者、扭送者、追捕者目睹、擒拿人犯視力所及的“現(xiàn)場”可言。這種“無現(xiàn)場”或“虛擬現(xiàn)場”很有可能根本不在受害人所在的刑事司法管轄領域內(nèi)。行為隱蔽性、被害人無意識、無現(xiàn)場性和技術型智能犯罪,都對公安機關的偵查工作提出了較大挑戰(zhàn)。很多犯罪發(fā)生后,無人報案,或者根本無法破獲,使得侵犯公民個人信息犯罪存在大量的犯罪黑數(shù)。

　　2.大部分主體身份特定,責任落實難度大

　　國家機關及其工作人員以及“準公權力”機構及其工作人員是犯罪主體的重要組成部分。國家機關應否承擔刑事責任和如何承擔刑事責任歷來存有疑問,“準公權力”機構是壟斷性的經(jīng)濟實體,能在多大程度上擔負刑事、行政責任呢?有人提出了刑法中侵犯公民個人信息犯罪的條款可能被既得利益集團在實踐中架空的擔憂。例如2009年中央電視臺3·15晚會上曝光了中國移動山東省公司出售用戶個人信息,當時《刑法修正案(七)》已經(jīng)生效,但司法機關從未追究這一“罪行”。⒂

　　(二)提高犯罪“風險”的對策——側重刑事制裁措施

　　刑事制裁是防治犯罪必不可少的最后保障,刑罰的確定性和及時性能夠最大程度使犯罪人認識到風險不可回避,但這須以刑法規(guī)范明確、完備為前提。以法國刑法為參照,我國《刑法修正案(七)》中的相關規(guī)定仍有立法完善的空間。

　　第一,法國刑法與《信息與自由法》高度銜接,特別關注敏感個人信息。我國《刑法修正案(七)》在條文中有“違反國家規(guī)定”的表述,這是與行政法的對接,但目前《個人信息保護法》尚未出臺,這樣的規(guī)定很容易將刑法關于入罪的規(guī)定架空。對此在司法實踐中應靈活把握,切實發(fā)揮刑法打擊嚴重侵犯公民個人信息犯罪的作用。我國現(xiàn)行刑法沒有就信息的內(nèi)容和重要性進行劃分,侵犯公民個人信息的重要性和敏感程度不同,其所體現(xiàn)的社會危害性也不同,立法上應有區(qū)別對待,司法實踐中在把握“情節(jié)嚴重”時也可區(qū)別考慮。

　　第二,法國刑法犯罪主體包括自然人和法人;主觀方面包括故意和過失;刑法保護的范圍很廣,全面覆蓋個人信息的采集、處理、保管、使用、期限等問題,客觀方面既有本人的實行行為,也有指使他人進行信息處理的行為;既有作為,也有不作為。相比之下,我國刑法在立法上貫徹“宜粗不宜細”原則,刑法修正案中區(qū)區(qū)188個字的法條規(guī)定,確實過于粗糙,保護的范圍過窄,沒有涵蓋所有信息處理方式,亟待相關立法解釋和司法解釋的跟進。

　　第三,2004年法國刑法修訂明顯體現(xiàn)了從嚴懲處侵犯公民個人信息犯罪的精神。我國《刑法修正案(七)》規(guī)定的法定刑為“3年以下有期徒刑或者拘役,并處或者單處罰金”,基本符合我國當前打擊侵犯公民個人信息犯罪的需求。然而隨著我國人權觀念的傳播、個人信息安全意識的養(yǎng)成,民事行政等防治手段的健全,在侵犯公民個人信息犯罪形勢惡化的情況下,不排除刑法上提高法定刑的可能。

　　四、結論

　　犯罪收益高、成本低和風險小,加上技術因素、文化因素和法律因素的共同作用,形成多元的犯罪原因體系,如同“聚能環(huán)”一樣不斷催生侵犯公民個人信息犯罪的發(fā)生。因此,欲有效治理侵犯公民個人信息犯罪,要在降低犯罪收益、提高犯罪成本和加大犯罪風險上著力,具體體現(xiàn)為樹立道德意識、行業(yè)規(guī)范自律、技術防控、民事救濟、行政處罰和刑事制裁等手段的綜合運用。固然各種手段在應對侵犯個人信息犯罪時有其針對性和局限性,但一旦對諸手段加以綜合運用,其功效就能放大,呈現(xiàn)“1+1>2”的特點。如技術防控手段,其一方面能夠提高犯罪的“行為成本”,另一方面,也能夠通過網(wǎng)絡追蹤技術的進步等,降低互聯(lián)網(wǎng)上的偵查難度,協(xié)助捕獲犯罪人,加大犯罪的“風險”。無論采取哪種舉措,功能上或者是為了提高犯罪成本、或者為了降低犯罪收益高、或者為了加大犯罪風險,最終目的均是弱化“聚能環(huán)”的作用,防控侵犯公民個人信息犯罪的發(fā)生,修復犯罪對社會關系帶來的損害。

　　刑法打擊犯罪的方法注重事后的懲罰和打擊,刑事政策治理犯罪的方法更側重于從道德、倫理、宗教、經(jīng)濟、政治等各方面考察犯罪,系統(tǒng)地、理性地看待、解決犯罪問題,注重的是對公眾的教育和對犯罪的預防和綜合治理。刑事政策力求在刑法啟動之前窮盡各種治理手段,把犯罪發(fā)生的幾率以及對社會造成的不良影響降到最低。⒃治理侵犯公民個人信息犯罪,應納入到廣義刑事政策的視角,依靠綜合治理。筆者結合文中采用的對策手段,按照重點區(qū)分原則⒄以及預防和懲處并重原則,⒅搭建了治理侵犯公民個人信息犯罪的綜合治理體系;在這個模型中,以時間為橫軸,危害程度為縱軸,整體分為預防階段和處罰階段。此處的犯罪預防指狹義的預防概念,并不包括特殊預防,因此,以行為人犯罪為劃分兩個階段的臨界點。