本文作者:华东政法大学教授 大数据政策法律研究中心主任 高富平
为推进大数据应用和数据产业发展,“大数据流通与交易技术国家工程实验室”于2016年经国家发改委批复,正式落户上海。实验室由上海数据交易中心有限公司、中国互联网信息中心、中国联通集团、复旦大学、中国信息通信研究院等单位联合共建,围绕大数据国家战略和数字经济发展,面向大数据关键共性技术、垂直行业、国家治理体系,开展数据流通应用的技术、标准和法律规范的协同研究。
个人信息保护是大数据应用的前提,实验室下设的 “大数据政策法律研究中心”协同相关大数据行业组织,反复论证形成“完善个人信息保护体系,促进大数据产业发展”建议稿。在2017年7月6日上海静安国际大数据论坛闭门专家会议上,建议稿经讨论定稿,以上海共识名义向社会公开发布。
信息的价值在于使用
人类进入网络化、数据化和智能化时代,大数据技术不仅带来科技和商业模式的创新,还带来管理决策方式的变革。在大数据时代,信息成为非常重要的资源,那些与个人有联系、能够识别出个人完整情况的信息(又称个人数据)构成了大数据利用的重要组成部分。现在,个人信息流动和社会化利用成为当今社会发展的必然趋势,商务活动、政务活动、社会活动都离不开个人信息的收集和利用,进而催生出了专门的数据收集、加工处理等数据服务行业。
个人信息归属于个人,法律必须给予切实有效保护。企业在业务中获取和使用个人信息应当遵循合法、正当、必要的原则,这是世界公认的行为准则。在遵守该准则的前提下,企业经营活动中收集客户或用户的个人信息,并用于合法经营目的或合同约定目的是正当的商业行为。超出该准则之外的行为,包括提供给合同外第三方使用(即流通),由于可能会导致个人信息受泄露、披露、公开或被不当使用、非法使用,甚至可能危害到公民人身和财产安全,就应当被禁止。世界各国纷纷制定个人信息保护法,对个人信息收集和使用行为予以规范,在保护个人基本权利的同时,促进个人信息流通使用。
中国目前尚未建立起对个人信息的民事和行政保护体系,尚只是在2009年的《刑法修正案(七)》上确立了侵犯公民个人信息罪,着重打击非法提供(包括出售)和非法获取个人信息(包括窃取)行为,两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,下称《刑法释2017》)进一步对侵犯个人信息犯罪行为和量刑作出更具体明确的规定,有利于厘清是否入刑的边界,正确适用刑法。无疑,刑法的规定对于扼制日益猖獗的数据黑产,打击利用个人信息的各种犯罪行为,保护个人基本权利,维护个人信息利用正当秩序具有非常重要的意义。但是,在现实应用场景中,许多个人信息利用行为的合法与非法、罪与非罪的边界仍然不清,企业对个人信息的使用仍然面临着法律上的模糊地带。
2013年修订后的《消费者权益保护法》将消费者个人信息保护归为工商管理部门的职责。2016年6月1日,《网络安全法》生效,个人信息被纳入“网络信息安全”范围加以保护,一个国家网信部门统筹监管,电信、公安和其他有关机关分工协作的个人信息行政保护体系由此开始建立。
打击个人信息的非法利用、保护公民基本权利与促进信息流动、掘取大数据红利同样重要。因为,信息的价值在于使用──不仅仅在于自己使用,更在于向社会开放,提供给他人使用。信息的流通是信息社会化利用的必然要求。为了促进大数据的应用,带动我国产业的升级转型,我们形成并发布本建议书。
共识
1.个人信息收集、流通和使用是大数据时代企业的生存发展模式,在给社会带来福祉的同时也存在潜在危害,主要来自:(1)泄露、披露或公开个人信息可能侵害个人隐私,甚至被“不法分子”利用以实施各种犯罪;(2)不当收集、使用或滥用个人信息,例如在个人不知情的情形下,收集处理个人信息,对个人作出错误画像,可能危害个人的尊严和自由,甚至带来歧视。
2.个人信息保护的目的是促进个人信息的合法流通和使用。作为惩治具有社会危害性行为的法律手段,刑法的目的是打击出售(提供)、购买(获取)包含个人身份信息、敏感信息的个人信息行为以及利用个人信息从事欺诈等犯罪的行为。因为包含身份信息的个人信息的买卖,不仅导致个人隐私的泄露,严重影响了公民的个人利益,而且还可能被用于不法目的,给个人人身和财产安全带来危害。
3.利用个人信息实施犯罪的行为与利用个人信息从事正当经营活动是两类不同性质的行为,前者的行为目的和行为本身具有非法性,而后者行为目的和行为本身是在法律授权范围内,二者应当区别对待。此外,合法经营活动中可能出现的危害个人信息的行为还应当从行为后果上考察,而不能单纯只从获取和使用行为本身来判定。
4.依据刑法,“违反法律规定”的“情节严重”的个人信息出售或提供行为即可入刑。目前,我国个人信息规范少且很原则,归纳起来主要是:个人信息收集和使用应征得个人同意,并遵循合法、正当和必要原则,确保个人信息的安全和防止信息的泄露、毁损和丢失。违反这法律规定的行为并不一定具有刑法意义上的社会危害性,许多可以通过民事责任和行政责任加以解决;而“情节严重”包括了信息类型、信息数量、获利数额等因素,容易将许多基于合法经营目的的个人信息使用行为也纳入刑法调整,妨碍了大数据应用和产业发展。
5.《刑法修正案(九)》将“违反国家规定”修改为“违反国家有关规定”,使部门规章成为定罪依据。这扩大了刑罚的依据,使入罪条件行政化、扩大化,不仅降低入刑的标准,也模糊了一般违法行为和犯罪行为的界线,混淆了个人信息的行政保护和刑事保护手段,导致刑法的泛化,背离刑法的谦抑性特性。本质上,只有具有严重社会危害性的个人信息获取和提供行为才能进入刑法调整。
1.我们认为,首先,刑法对个人信息的保护应当回归刑法的本位,打击和惩治具有社会危害性和严重侵害个人基本权利的行为。首先是明确可以入刑的侵犯个人信息的行为,再以情节轻重作为量刑轻重的因素。
其次,刑法规制的应当是买卖和非法提供个人信息的行为,这些行为可以直接联系到特定个人身份,而不是所有具有识别性的个人信息。经过去身份、去敏感处理的数据流通行为应是国家鼓励的数据利用行为。
再者,《刑法释2017》第四条所规定的“以其他方法非法获取”公民个人信息的行为,应当理解为相当于窃取违法性的手段,如虚构业务场景收集、强迫同意收集公民个人信息或采取诈骗手段获取公民个人信息等。企业、政府机关或社会组织在法律授权的正常业务场景中收集个人信息一般不应被解释为“以其他方法非法获取”。
第四,购买、收受、交换等基于民事行为获取公民个人信息的行为,需要结合数据使用目的及危害后果来确定其是否应由刑法调整;同样,为合法经营活动而购买、收受公民个人信息的行为,不能单纯以获利(5万元)作为入罪标准。
第五,出售和提供公民个人信息的行为原则上应当获取个人同意,但“同意”不能成为具有社会危害的个人信息收集和使用行为合法化的“武器”,成为这些行为不承担刑事责任的“挡箭牌”。反之亦然,“未经被收集者同意”也不是入刑的必要条件。未经被收集者同意向他人提供公民个人信息行为,只有侵害个人权利和造成社会危害后果的,才应被纳入刑法规制范畴。否则,只是违约、侵权等民事或行政责任问题。
建议
保护个人信息,明确合法的收集、处理、流通和使用个人信息的规则,培育数据应用服务市场是实施大数据战略的关键。刑法的作用是打击个人信息的非法利用,而不能担当其维护个人信息合理利用秩序的全部功能,我们必须充分利用民事、行政和刑事多种手段,建立起国家法治和行业自治协同的、全面的个人信息保护体系。为此,我们对我国个人信息保护体系的完善提出如下建议:
1.加快个人信息保护法的立法进程,建立民事、行政和刑事相协调的个人信息保护体系,制定明确的个人信息使用规范,厘清数据收集、流通和使用的合法边界,为个人信息的行政执法提供法律依据,为行政执法和刑事制裁的分工协作提供指引。
2.建立单一的个人信息管理部门,统一执法,加强个人信息违法使用的行政监管,对不宜入刑的侵害个人权益的个人信息流通使用行为,由主管行政部门给予相应的行政处罚。
3.强化刑法对非法的数据黑产和利用个人信息实施违法犯罪的行为的打击,对于具有社会危害性的侵犯个人信息的犯罪行为,应加大刑罚力度,提高高刑期。
4.鼓励制定出既能切实保护个人信息、又能实现个人信息流通使用的行业准则,分行业制定个人信息流通安全标准、个人信息使用准则等,为行业合规合法使用数据提供行为指引。
学术支持:大数据流通与交易技术国家工程实验室大数据政策法律研究中心、中国信息通信研究院互联网法律研究中心、华东政法大学数据法律研究中心、国家社科基金重大项目“信息服务和信息交易法律制度研究”课题组