转自:北大法律信息网;来源:《人民检察》;
作者:吴沈括,北京师范大学刑事法律科学研究院暨法学院副教授、中国互联网协会研究中心秘书长。
【中文摘要】当前,聚焦个人信息处理领域,一方面,网络企业获得了新的技术支持,产生了新的应用内容。另一方面,其也面临新的技术要素、组织管理、在线内容等领域的风险。加强网络企业的个人信息保护,应在梳理相关政策规范框架体系的基础上,以具体的司法解释为指引,建立健全刑事风险管理机制,在个人信息的收集、保存、使用与对外提供等方面注重维护信息主体的个人信息安全。
【中文关键字】个人信息;刑法保护;政策规范;网络企业;风险管理
【全文】
开栏语 2018年1月,在国务院打击治理网络新型违法犯罪联席会议办公室指导下,蚂蚁金服联合公安部刑侦局、媒体等多方推出“天朗计划”,旨在通过协同打击、技术赋能、宣传震慑等方面实现网络空间真正的“天朗”。为进一步对互联网黑灰产实现事前预警、事中打击、事后宣传教育的全链路治理,共建网络安全生态体系,本刊与蚂蚁金服联合开设“互联网金融犯罪及相关问题研究专栏”,就相关理论与实践问题展开研究,敬请关注。
当前,新一代网络信息科学技术正系统地改造着社会经济生活的各个方面,与云计算、大数据、人工智能等相关的新技术新应用的发展普及,让广大民众与网络企业日益拥抱更多的发展机遇,同时也日渐面对来源更为广泛、程度更为深刻的安全风险。
一、个人信息治理的政策规范框架体系
聚焦个人信息处理领域,机遇与安全风险同在,时代呼唤与时俱进的个人信息治理进路。细加审视,可以认为我国当下有关个人信息保护与个人信息处理规制的政策规范整体框架主要体现在以下三个主干层面。
(一)涉及个人信息治理的政策战略
自2015年7月4日国务院发布《关于积极推进 “互联网+”行动的指导意见》(以下简称《指导意见》)以来,党和国家涉及网络空间治理、个人信息治理等系列政策战略的系统化建构呈现明显提速态势:首先,《指导意见》以及2015年国务院发布的《关于促进大数据发展行动纲要》等要求减少各种壁垒,推动数据信息资源的优化配置与集成作用,发挥其最大的乘数效应,进而加深产业融合,真正服务于包括传统产业在内的所有行业发展,同时革新理念思维,强化能力建设以求消除伴生的各类风险。其次,“中国制造2025”以及“‘十三五’国家信息化规划”等强调通过推进信息化与工业化深度融合、信息化引领全面创新,凭借数据信息资源的优化配置提高国家在制造业以及其他诸多领域的创新能力,构筑国家竞争优势,促进我国从网络大国迈向网络强国,成长为全球互联网引领者。再次,2016年国家互联网信息办公室发布的《国家网络空间安全战略》以及2017年外交部、国家互联网信息办公室发布的《网络空间国际合作战略》等以总体国家安全观为指导,强调贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标,可谓对数据信息的治理水平提出了更高要求。此外,2017年国务院《新一代人工智能发展规划》等以构建开放协同的智能科技创新体系、培育高端高效的智能经济和建设安全便捷的智能社会为重点建设任务,明确将制定促进发展的法律法规和伦理规范作为重点保障措施,凸显了国家对于新技术新应用的包容发展立场。
应当强调的是,这些与个人信息治理相关的系列政策战略实质上确立了我国有关个人信息保护与个人信息处理法律规制的核心价值立场,也即发展与安全并重、保护与流转并举的基本价值取向。
(二)涉及个人信息治理的法律规范
随着网络安全法于2017年6月1日起施行,有关网络空间治理的制度设计有了更为体系化的全面建构,在此图景下,涉及个人信息治理的法律规范也日益得到丰富和充实:
一方面,以网络安全法第四十条至第五十条规定为核心的系列制度设计奠定了我国个人信息治理的根本价值导向,即合法、正当、必要、透明和同意,同时也规定了从收集、使用到更正、删除等涉及个人信息处理各个环节的全链条动态规则,而且配置了从民事、行政到刑事多层次的立体责任。另一方面,在网络空间治理的特定部门例如电子商务领域,以即将于2019年1月1日正式施行的电子商务法为代表的诸多特别法也为个人信息保护与流转等问题提供了更为具体、明确的规范指引,而后续个人信息保护法、数据安全法等立法动议将为个人信息的法律治理勾勒出清晰、更具可操作性的行为规则。
与此同时,与网络治理专项立法几乎同步推进的传统法律部门的修改完善同样昭示着个人信息治理新时代的全面到来。作为典型示例,刑法修正案(九)通过修改侵犯公民个人信息罪(第二百五十三条之一),增补拒不履行信息网络安全管理义务罪(第二百八十六条之一)、非法利用信息网络罪(第二百八十七条之一)以及帮助信息网络犯罪活动罪(第二百八十七条之二)有效呼应了新技术新应用的发展态势,为促进个人信息自由有序流转、抗御处置包括网络黑产在内的各类新型威胁提供了更为全面的保障。而民法总则通过补充规制自然人个人信息(第一百一十一条)以及数据、网络虚拟财产(第一百二十七条),在民事法层面第一次确立了个人信息保护权,并且明确了数据与信息的法律地位,从而为数据权属等个人信息治理的核心问题提供了更为扎实的制度基础。
总体而言,可以认为,现阶段我国有关个人信息治理的法律规范在技术要素、组织管理和在线内容三个层次对于个人信息治理作出了系统性制度设计,这既反映了我国立法机关对于个人信息流转治理整体框架的深刻认识与特殊路径选择,也为网络企业开展与个人信息相关的风险控制(以下简称“风控”)合规工作划定了核心要素圈层。
(三)涉及个人信息治理的其他规范
在个人信息治理制度价值体系的基础上,不同部门、不同领域涉及个人信息治理的其他规范建设工作也在近年取得了长足的发展,这反映在国家网络信息管理部门所发布或者主导的各类部门规章、规范性文件以及国家标准等文件之中,也体现在最高司法机关渐次通过的诸多司法解释文件中。
1.就国家网络信息管理部门而言,包括以2014年“微信十条”、2015年“约谈十条”以及2016年“直播规定”[1]等为代表的侧重指向在线内容的垂直规范;以2016年与国家质量监督检验检疫总局、国家标准化管理委员会联合印发的《关于加强国家网络安全标准化工作的若干意见》、2017年《网络产品和服务安全审查办法(试行)》等为典型的侧重指向技术要素的特别规范;以2017年《互联网新闻信息服务管理规定》《互联网信息内容管理行政执法程序规定》等为代表的侧重指向组织管理的专项规范;以2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》和2018年5月1日实施的全国信息安全标准化技术委员会《信息安全技术个人信息安全规范》等为典型的专门规范。这一系列规范共同为个人信息的有效治理作出了顺应新技术快速演进变革的制度化、常态化应对方案。
2.就最高司法机关而言,现阶段具有突出指引价值的司法解释包括2016年最高人民法院、最高人民检察院、公安部《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(以下简称《意见》)、2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)、2017年最高人民法院、最高人民检察院《关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》(以下简称《无线电解释》)等。
一方面,《意见》从依法严惩电信网络诈骗犯罪切入,客观上也就个人信息刑事治理的诸多核心问题包括关联犯罪惩处、共同犯罪甄别、司法管辖界定、证据审查判断以及涉案财物处理等提供了一系列司法指引。另一方面,《个人信息解释》《无线电解释》在澄清个人信息刑法保护若干基本范畴、厘定有罪行为模式判定规则以及明确定罪量刑标准的同时,还更多地体现了司法机关对于严厉打击个人信息领域网络黑产的立场。
随着国家网络信息管理部门以及司法机关等持续推进个人信息治理其他规范体系的建设,个人信息治理规则体系的实践指引水平日益提升,为网络企业涉个人信息风控工作的科学合理开展提供了更多、更有效的操作性参考。
二、个人信息刑法保护与风险管理思维
2017年《个人信息解释》的发布是个人信息刑法保护的里程碑事件,构成了网络安全法的重要制度配套,体现了两者内在的逻辑互动,深刻反映了网络安全法对刑事司法走向的重大影响,其中若干基本问题具有高度的理论与实践意义。
(一)个人信息定义等基本问题的系统化设计
一方面,《个人信息解释》基于司法实务的迫切需要和民众认知水平的客观实际,对于反映特定自然人活动情况的信息例如行踪轨迹作了特别的提示性规定,强调公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这一定义进一步厘定了公民个人信息的范围,明确提示身份识别信息也包括特定自然人的活动情况信息,有效反映了网络技术的发展态势,顺应了打击犯罪的实践需求,也有利于受网络安全法约束的各单位主体正确判定合规对象。
另一方面,《个人信息解释》对于刑法第二百五十三条之一“国家有关规定”作出了列举式说明,明确“违反法律、行政法规、部门规章有关公民个人信息保护的规定的”,应当认定为刑法所规定的“违反国家有关规定”。这一解释明确将部门规章纳入刑事评价得以依据的规范范围,旨在应对个人信息保护领域现行规范供给相对短缺的实际情况,呼应了网络安全法有关技术要素、组织管理和在线内容三维整体安全观的精神内核,有利于受网络安全法约束的各单位主体在当代罪刑法定主义精神的指引下,对于可能产生刑事法意义的部门规章进行甄别追踪,提高风险管理的工作质量。
(二)单位主体刑事风险管理机制的图谱指南
在网络安全法总体制度的指引下,司法解释成为网络企业管理日常运营工作、处理个人信息相关刑事问题更具针对性的法律指南。
首先,司法解释对于刑法条文具体概念的明确定性,有助于各类单位主体精确厘定业务对象的范围。根据《个人信息解释》第一条对于“公民个人信息”的范围框定和第二条对于“国家有关规定”的规范确认,各类单位主体可以确定业务运营中涉及的个人信息类型以及评估相应的信息处理操作要求,从而对明确的业务对象开展有针对性、符合网络安全法的业务活动。其次,《个人信息解释》对于相关犯罪定罪量刑标准的精确规定,有助于各类单位主体提高业务模式的风险管理水平。《个人信息解释》第三条明确“提供公民个人信息”包括“向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息”和“未经被收集者同意,将合法收集的公民个人信息向他人提供的”等行为模式;第四条指出“以其他方法非法获取公民个人信息”包含“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息”等行为方式;第五条和第六条分别规定了“非法获取、出售或者提供公民个人信息”和“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息”这两种行为的情节严重情形。
上述内容与网络安全法有关个人信息处理的制度规则有着高度的逻辑衔接,有助于各类单位主体在网络安全法一般制度要求的基础上进一步构建与公民个人信息的提供、购买、收受以及交换等行为相关的风险管理机制,在刑事法律底线内合理使用个人信息、开展业务活动。
三、个人信息刑法保护与流程管控思维
毋庸置疑,当下各种新的网络业务模式造就了新的数据信息流转样态,与此同时,个人信息刑法保护呈现出围绕数据信息流转全生命周期的流程式动态保护趋势。不难发现,现阶段的多层次法律规范为个人数据信息的流转提供了一系列实在法依据。
(一)保护个人信息安全的基本原则
在保护个人信息安全的过程中,需要坚持多方共同参与,积极发挥公民以及其他主体的能动性,个人信息控制者(网络企业)应当遵循的基本原则和安全要求包括:权责一致、目的明确、选择同意、最少够用、公开透明、确保安全、主体参与等。其间尤其应当尊重个人信息主体的真实意愿,保障个人信息主体的访问、更正以及删除其个人信息的权利,并且采取适当的管理措施和技术手段保护个人信息的保密性、完整性和可用性,切实承担相应的义务与责任。
(二)个人信息的收集环节
在信息收集方面,网络企业需要时刻检视以下几点业务要旨:一是合法性,也即在法律法规规定的范围内采用合法的手段,在征得个人信息主体同意的前提下收集个人信息或者要求个人信息主体提供个人信息。二是最小化,也即个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。在能达到所需目的前提下,只处理最少的个人信息类型和数量。三是授权同意,也即处理个人信息时的目的、方式、范围以及相关规则,均应经过个人信息主体的授权同意。事实上,这一要求贯穿个人信息处理全链条,涵盖对个人信息的保存、使用以及委托处理、共享、转让、公开披露等。
(三)个人信息的保存环节
针对个人信息的保存,网络企业需要特别注意信息保存的时间最小化要求与去标识化处理要求,有义务采取技术措施和其他必要措施,确保其收集的个人信息足够安全,防止信息泄露、毁损、丢失。一是时间最小化,也即信息的保存时间应与使用目的保持程度上的一致,应满足一定的必要性,在超过保存期限后,即应对信息作出删除或匿名化处理。二是去标识化处理,是对信息主体的技术性保护,也即将收集到的信息去除识别性特征,并避免该数据被二次复原,妥善地保管收集到的各类数据。
(四)个人信息的使用与对外提供环节
一方面,在个人信息使用过程中,需要充分履行各项主体责任,诸如数据访问控制、个人信息的展示限制以及使用限制等,同时切实尊重各项主体权利,尤其是个人信息主体的访问、更正、删除、撤回同意、注销账户以及获取个人信息副本的权利。
另一方面,在向外提供个人信息也即委托处理、共享、转让以及公开披露等过程中,应当严格限制在法律以及信息主体授权的范围内,并且不仅要对个人信息安全进行评估,也要对相关第三人实施一定方式的监督,对个人信息提供情况如实加以记录,其间还需要切实尊重个人信息主体的知情、同意、选择权。
【注释】
本文是国家社会科学基金项目(编号:15CFX035)的阶段性研究成果。
[1]即国家互联网信息办公室发布的《即时通信工具公众信息服务发展管理暂行规定》《互联网新闻信息服务单位约谈工作规定》《互联网直播服务管理规定》。
发表评论