在大数据、云计算、物联网以及人工智能等新一代信息技术迅速普及推广的当下,网络安全语境下的个人信息与数据治理日益凸显其战略意义,包括2018年《信息安全技术个人信息安全规范》(GB/T 35273-2017)(以下简称《个人信息安全规范》)在内的一系列政策战略、法律法规以及其他规范相继颁布施行,充分反映了主管机关对民众权益、产业发展和国家利益的高度重视,也折射了当下中国个人信息保护所追求的多元价值集合的鲜明路径特色,反映了新时代客观综合保护的规范趋势。
作为我国个人信息保护体系建设的较新进展,总体而言,在网络安全法治框架下,立足信息安全的维度,《个人信息安全规范》立足客观保护主义立场厘定、阐明了个人信息安全保护领域的诸多重要问题,例如“个人信息”这一术语的基本定义、个人信息安全的基本要求等等,并且突出了个人信息全生命周期动态调节的机制特色。在目前我国个人信息处理规范相对不足的情况下,可以认为,《个人信息安全规范》的出台在技术性实操层面填补了诸多规则空白,为提升公民意识、企业合规和国家监管水平提供了新的业务参照、新的行为指引。
标准是从管理、控制风险的角度出发,其核心是在收集、处理个人信息过程中,尽量降低对个人合法权益造成的不利影响。因此,《个人信息安全规范》将具备识别特定自然人或者在一般情况下可以关联到自然人的信息纳入“个人信息范畴”,是给了参考列表。
此外,在《个人信息安全规范》的附录中,将Cookies、IMEI、MAC地址等具体信息列入个人信息范畴。《个人信息安全规范》的附录属于“资料性附录”,而非“规范性附录”。需要注意的是,“规范性附录”是构成标准整体的不可分割的部分,其效力等同于标准的正文。“资料性附录”仅限于提供一些参考的资料,不具备与标准正文同等的效力。
总体而言,作为国家推荐性标准,国标的适用主体不仅仅限于网络企业,而是可以覆盖所有的个人、企事业单位和国家机关等等。事实上,《个人信息安全规范》更恰当的功能定位应当是一种有关个人信息处理业务合规指引的一揽子推荐性解决方案,属于公共产品的范畴。除非行为主体主动承诺、有权机关明确援引或者法律规范直接认可,其本身不直接产生行为约束力,也并非行政性规范,更不应在刑事责任层面产生实质性意义。尤其应当强调的是,个案思维和总体风险可控是两个维度的问题,在《个人信息安全规范》的个案运用中,特别需要注意行为边界的精准厘定。
《个人信息安全规范》的实际价值需要在2018年5月1日正式施行后结合政府机关以及龙头企业的示范效应尤其是有权机关的执法实践做出进一步的跟踪研判,在此过程中,还应当特别注意数据跨境语境下的国际博弈可能产生的反向影响。
另一方面,如果说《个人信息安全规范》更多体现了客观主义保护的路径趋向,同样值得关注的个人信息保护规范演进态势便是综合主义保护趋向,这一点尤其明显地反映在刑事介入领域。
从当下从刑事司法实务来看,公民个人信息泄露、买卖位于整个网络灰黑产业链的上游,是导致部分犯罪“变异”甚至“严重”的重要因素,比如促使电信网络诈骗逐渐向精准诈骗发展。因此,从刑事政策上讲,从严打击侵犯公民个人信息犯罪,从源头上治理网络灰黑产业链,坚持全面惩处原则,才能有效实现刑罚目的。
关于行为人非法获取公民个人信息后,又将这些信息用于实施电信网络诈骗犯罪的情形下,是定一罪还是数罪并罚,2017年两高“侵犯公民个人信息刑事司法解释”对此未做明确规定,理论和司法实务中争议较大。一种观点认为,应当从一重罪处断。理由是,在法无明文规定按照数罪处理的情况下,应当遵循刑法中关于牵连犯的要求,从一重罪进行处罚,即当行为人通过非法获取公民个人信息实施其他犯罪时,获取公民个人信息行为就成为其他犯罪的手段行为,此时虽然行为人实施了两个行为,但是仍应按照从一重罪处罚原则定罪处罚。另一种观点认为,依照相关规范性法律文件,此种情形应当数罪并罚。2013年4月23日,两高一部《关于依法惩处侵害公民个人信息犯罪活动的通知》明确规定,对于窃取或者以购买等方法非法获取公民个人信息数量较大,或者违法所得数额较大,或者造成其他严重后果的,应当依法以非法获取公民个人信息罪(注:现改为侵害公民个人信息罪)追究刑事责任。对使用非法获取的个人信息,实施其他犯罪行为,构成数罪的,应当依法予以并罚。2016年12月20日,两高一部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》重申了上述观点。因此,使用非法获取的公民个人信息实施电信网络诈骗犯罪的,依法予以数罪并罚,具有法理依据和实践基础。
我们认为,行为人非法获取公民个人信息后,又将这些信息用于实施电信网络诈骗犯罪的,应当数罪并罚。首先,非法获取公民个人信息的行为与诈骗行为之间是否属于牵连关系,值得进一步研究。一般而言,牵连犯是指数行为之间有手段和目的、原因和结果关系,其中手段行为或者结果行为触犯了其他罪名的场合,成立牵连犯。因此,牵连犯分为手段牵连和结果牵连。如何认定牵连关系,应根据社会相当性的一般标准以及一望而知的普通生活经验中的认识标准来确定(经验上的类型)。如果只是一种偶然的手段与目的、原因与结果的关系,则不是牵连犯,因此必须对牵连关系类型化。在非法获取公民个人信息后利用上述信息实施电信诈骗犯罪,由于侵犯公民个人信息与电信网络诈骗之间不具有经验意义上的手段与目的之间的关联,因此不宜认定为牵连犯。即便认定为牵连犯,对于牵连犯采用数罪并罚亦有国内和国外立法先例。更重要的是,目前我国司法实践对侵犯公民个人信息罪进行独立评价有更为积极的意义。我国公民对个人信息保护意识不强,个人信息长期被滥用,收集、倒卖个人信息已经形成庞大产业链,侵犯公民个人信息犯罪具有严重的社会危害性,必须从严打击。同时,对公民个人信息所包括的身份信息、个人信息及敏感信息的法律保护尤其是刑法保护,在公民个人主体权利意识不断强化的今天,更具现实意义。
应当强调的是,随着未来新技术的不断革新应用,数据尤其是具有核心价值的个人信息成为信息社会建设和网络产业发展战略要素的趋势不断得到强化。与此同时,与个人信息相关的网络犯罪迅速蔓延,构建更为全面的综合防治策略已然成为国家、产业和公众高度关切的重大命题,面对纷繁交织的权益格局,如何在刑事司法层面确保侵害个人信息网络犯罪的有效惩治,对公民权利的全面保障和网络空间的综合治理有着深远的重大影响,在此意义上更需要我们进一步及时转变应对思路、理性阐释规范体系以及科学创新裁断机制,进而真正提升刑事法治的法益保护水平。
