個人信息保護中的民刑協(xié)同
隨著數(shù)字經(jīng)濟的發(fā)展,數(shù)據(jù)大爆炸的時代已經(jīng)到來。個人信息的保護關(guān)乎個人的尊嚴(yán)與自由,關(guān)于經(jīng)濟與社會的發(fā)展,甚至關(guān)乎國家主權(quán)安全。2021年8月20日,十三屆全國人大常委會第三十次會議通過了《中華人民共和國個人信息保護法》(以下簡稱《信保法》),該法將于2021年11月1日正式施行。我國對個人信息的保護歷來非常重視,個人信息保護不僅在《信保法》、《民法典》中加以保護,在此以前,多部法律法規(guī)也對此有所涉及,例如《數(shù)據(jù)安全法》(2021年6月10日通過,2021年9月1日施行),《網(wǎng)絡(luò)安全審查辦法》(2020年4月發(fā)布,2020年6月實施),《網(wǎng)絡(luò)安全法》(2016年11月7日通過,2017年6月1日施行)等。與此配套的,最高法頒布了《關(guān)于審理人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》(2021年6月8日通過,2021年8月1日施行),《關(guān)于審理信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》(2020年12月29日通過,2021年1月1日施行),國務(wù)院頒布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(2021年4月27日通過,2021年9有1日實施),最高檢頒布了《關(guān)于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》,由此說明我國正在積極建立保護信息數(shù)據(jù)安全,維護網(wǎng)絡(luò)秩序的法律系統(tǒng)。
除以上民事法律規(guī)范外,我國《刑法》還規(guī)定了侵犯公民個人信息罪(《刑法》第二百五十三條)、非法利用網(wǎng)絡(luò)信息罪(《刑法》第二百八十七條)、拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪(《刑法》第二百八十六條)等罪罰,以刑事處罰的方式對侵犯公民個人信息的行為加以打擊。在民刑兼?zhèn)涞那闆r下,如何厘清邊界,區(qū)分不同規(guī)定的適用情形,做到刑法與民法的銜接,是我們需要探討的問題。
1、明確個人信息的定義
要認定侵犯公民個人信息犯罪,首先應(yīng)是準(zhǔn)確界定“公民個人信息”的內(nèi)涵和范圍。在《信保法》出臺之前,根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號,以下簡稱《解釋》)第一條的定義,公民個人信息為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。”而根據(jù)《信保法》第四條第1款,個人信息指的是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。”根據(jù)《刑法》第九十六條規(guī)定,所謂“違反國家規(guī)定”是指“違反全國人民代表大會及其常務(wù)委員會制定的法律和決定,國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”,其中自然包括《信保法》,因此《信保法》對于“個人信息”的定義使得《刑法》的保護客體內(nèi)涵和外延更加豐富。
2、個人信息保護的刑法銜接
《信保法》在個人信息處理、跨境、權(quán)責(zé)分配、擔(dān)責(zé)機關(guān)等問題上均有創(chuàng)設(shè)性規(guī)定,這一方面有利于相關(guān)義務(wù)人明確職責(zé)范圍,更好地履行保護個人信息的義務(wù),另一方面,也將使不法侵害個人信息的行為更加清晰地暴露于《刑法》之下,增加入罪的明確性。
舉例而言,如個人信息處理者委托處理個人信息,而受托人擅自轉(zhuǎn)委托的,無論是否盈利,無論個人信息是否因此向不特定人泄露,其行為均違背了《信保法》第二十一條第3款的規(guī)定,根據(jù)個人信息種類的不同,在提供信息達至一定數(shù)量后,受托人將有可能因此涉嫌侵犯公民個人信息罪。
3、個人信息保護中的“告知-同意”
《信保法》確立“告知-同意”為個人信息保護核心規(guī)則,要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意?!缎谭ā分星址腹駛€人信息罪的兩種實行行為,其前提均為“未經(jīng)同意”,該要素屬于不成文的構(gòu)成要件要素,因此該原則是民刑保護的基礎(chǔ)性規(guī)則。
同時,《信保法》第十三條第1款第(二)至(七)項規(guī)也定了例外情形。比如第(二)項規(guī)定“實施人力資源管理所必需”的個人信息的處理不需取得個人同意,前提是“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同”。
但是,不同于傳統(tǒng)意義上的“告知-同意”體系,在《信保法》出臺后,個人信息處理者即使事先取得了用戶同意,也有可能違反法律法規(guī)。如《信保法》第二十四條第1款明確規(guī)定,“個人信息處理者利用個人信息進行自動化決策,應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。”這意味著,一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習(xí)慣、價格敏感程度等信息進行自動化決策,對消費者在交易價格等方面實行歧視性的差別待遇,也即俗稱的“大數(shù)據(jù)殺熟”行為,將被禁止。違反該規(guī)定,達到相應(yīng)嚴(yán)重程度后,個人信息處理者仍將可能因此涉嫌犯罪。
4、違法處理個人信息行為的罰則
《信保法》根據(jù)個人信息處理的不同情況,對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰。對未造成嚴(yán)重后果的輕微或一般違法行為,可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得,對拒不改正的最高可處一百萬元罰款;對情節(jié)嚴(yán)重的違法行為,最高可處五千萬元或上一年度營業(yè)額百分之五的罰款,并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。同時,《信保法》還專門規(guī)定,對違法處理個人信息的應(yīng)用程序,可以責(zé)令暫?;蚪K止提供服務(wù)。
在民事責(zé)任方面,《信保法》明確,處理個人信息侵害個人信息權(quán)益造成損害的,以及個人信息處理者的過錯推定責(zé)任(個人信息處理者如不能證明自己沒有過錯的,應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任)。
在刑事責(zé)任方面,犯侵犯公民個人信息罪的將根據(jù)情節(jié)嚴(yán)重程度處三年以下有期徒刑或拘役,或三年以上七年以下有期徒刑。犯拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪,或犯非法利用信息網(wǎng)絡(luò)罪的,可被判處三年以下有期徒刑、拘役或者管制。
5、個人訴訟與公益訴訟
《信保法》第七十條規(guī)定:“個人信息處理者違反本法規(guī)定處理個人信息,侵害眾多個人的權(quán)益的,人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。”該法條將檢察機關(guān)和消費者協(xié)會納入到訴訟主體范圍內(nèi),檢察機關(guān)也將個人信息保護作為拓展公益訴訟案件范圍的新領(lǐng)域重點部署推進。2021年8月21日,最高人民檢察院下發(fā)《關(guān)于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》,將個人信息保護納入檢察公益訴訟新領(lǐng)域,對檢察機關(guān)辦理此類案件的立案標(biāo)準(zhǔn)、起訴條件、訴訟請求等實體和程序問題加以規(guī)范。
結(jié)語:
《個人信息保護法》將個人信息保護帶入了一個新紀(jì)元。在積極保護公民個人信息、嚴(yán)厲打擊侵犯公民個人信息行為的同時,也區(qū)分不同的適用情形,做到刑法與民法的銜接,力求更全面地保護公民個人信息,維護社會秩序,打擊違法犯罪行為。
特別鳴謝:北京高文律師事務(wù)所
李明燕律師