本文是一篇刑法论文,笔者认为“大数据”不单单意味着数据量的堆砌,还意味着应用数据的方式的变革,这种变革为人们带来了更多的经济效益,但有时也让人无所适从——数据量的猛增,使得信息主体的保护与利用之间产生矛盾,使得数据的敏感度和可识别性增加,使得信息主体和信息处理者的沟通成本上升,使得数据的获取途径多种多样。因此,信息立法停滞不前,数据风险难以预测,源头治理不合时宜。
第一章 绪论
1.1 研究背景和意义
1.1.1 研究背景
2021 年 7 月 2 日,滴滴出行接受网络安全和信息化委员会办公室发起的网络安全审查。 9 日,滴滴旗下 25 款应用软件被下架,这些应用软件被爆出存在严重违法违规、收集个人信息的问题。目前,网信办、公安部、国家安全部等 7 部门,联合进驻滴滴进行安全审查。
滴滴一案并非孤例,在当今社会,侵犯个人信息的行为数不胜数。一方面,个人信息常常以违反个人意愿的方式被收集。2021 年 3 月,工信部通报了 136 款侵害用户权益行为的应用软件,这些应用软件在合理运行的范围之外,过度地索取用户对个人信息的授权,如美化图片软件要求地理位置授权、短视频软件要求通讯录授权等。倘若用户拒绝授权,便无法使用该软件1。另一方面,个人信息又往往以人们无法预测的方式被应用。个人信息具有沉没成本的属性,人们对他人掌握的自身的个人信息几乎完全没有管理的能力。人们不知道自身的信息会被他人如何利用,个人信息可以被用于商业推广,也可能被用于诈骗、抢劫等危害人身、财产安全的的犯罪行为。
然而我们也应注意到,并不是所有的案件都具有如此浓厚的“互联网”或者“大数据”的气息。很多被定罪的案件中,行为人侵犯个人信息的行为可以是相当原始的,例如替他人代办手机卡,然后转卖在此过程中得知的个人信息。现如今被称之为“侵犯个人信息”的举动并非新鲜事物,侵犯公民个人信息罪却是新时代的新产物。
在大数据时代,刑法的注意力不再仅仅集中于个人信息泄露带来的人身、财产法益的损害,刑法开始兼顾关注信息自决法益本身。大数据技术使得个人信息可以被更高效地自动化处理,从而形成“用户画像”,使该个体在浑然不觉中遭受区别对待,从而丧失人格自由发展的机会。在日常生活中,网络平台常常使用“大数据杀熟”的手段,使用户在不经意间为了获得服务而付出比他人更高的代价。不仅如此,大数据技术使得个人信息的利用价值倍增,使得个人信息不当利用的风险也随之水涨船高。大数据技术使得个人信息的敏感性增强,信息主体的人身、财产等传统法益更容易受到侵害。总而言之,大数据技术使信息自决法益本身开始受到刑法的重视,并且侵犯个人信息行为对人身、财产等传统法益造成的威胁同样也在增加,这为新时代的刑法带来双重的挑战。
1.2 文献综述
1.2.1 国外研究现状
(1)个人信息的定义方面
在个人信息的定义方面,国外学者提出了隐私型和识别型两种定义。美国的隐私型定义将个人信息权视为信息隐私权,即他人享有的对关乎其自身信息的控制权2。而欧盟的识别型定义将个人信息定义为“任何与已识别或可识别的自然人相关的信息”。
(2)个人信息的保护原则方面
德国在个人信息保护方面发展出了领域理论,之后该理论又被信息自决理论取代。 在 1969 年的微型人口普查案中,德国联邦宪法法院确立了个人信息保护的领域理论。这一理论指出个人享有一个不可侵犯的“私密生活领域”,调查这一领域有可能会侵犯个人自决权,调查该领域之外的信息则不会4。
在 1983 年的人口普查案中,上述理论被德国联邦宪法法院推翻,取而代之的是信息自决权理论。这一理论认为当个人数据与其他数据组合时,将会产生出 “用户画像”。但是“用户画像”属于作为衍生数据,通常被掌握在信息处理者得手中,信息主体难以确保其真实性,无法阻止其被不当利用,甚至不能得知其存在。这时“用户画像”可能会形成对信息主体的刻板印象,从而压抑其心理,限制其活动5。
美国法在个人信息保护方面首先采用第三方原则,而后信息区分说和情境脉络完整性理论先后成为主流观点。
而美国在个人信息的保护方面起初秉持第三方原则,即自愿泄露私人事务于第三方就不再享有隐私保护6。随着网络技术的普遍应用,这一理论不再适用于网络领域,因为网络领域中的公私领域划分并不清晰。倘若将网络服务商认定为“第三方”,将大幅度地缩小隐私的边界。
第二章个人信息刑法保护的理论基础
2.1 侵犯个人信息行为的社会危害性
2.1.1 侵害个人信息行为对信息自决权的危害性
如前所述,基于信息自决权理论,个人信息的自动化处理将形成用户画像,形成刻板印象,这种刻板印象限制人格尊严与行动自由,从而直接危害信息主体的人格权。
但问题在于,这种危害性是抽象的还是现实的?或者说,这种危害性是否严重到足以科刑处罚的程度呢?人格图像为人们带来的压力并不是大数据时代独有的事物。刘金瑞认为人格图像并非新鲜事物,人们自古以来便生活在人格图像赋予的压力之下,人格图像不一定是个人不需要、对人不利的,因而将个人信息权建立在反对刻板印象对行为自由的限制之上是缺乏说服力的24。
在过去,刻板印象往往只存在于熟人之间或者特定的群体之间。但是在大数据时代,大数据技术可以给每一个个体创建用户画像,从而让素不相识的陌生人通过这种画像来相互了解,人们在日常生活的诸多方面都受制于算法的决策。数据画像时时刻刻左右着人们的境遇,错误的刻板印象有时会使当事人陷入相当不利的处境。在一些出行软件中,司机可以为乘客添加标签,这种标签在某种程度上就是一种用户画像。一些司机会为女性乘客添加不雅的标签,从而使其遭受骚扰,甚至蒙受人身威胁。在网络购物的情景中,一旦用户被贴上“富有”的标签,那么他面对就可能是性价比更低的产品。在填报高考志愿的场景中,一旦高考志愿被他人恶意篡改,那么考生将有可能蒙受终生的损失。山 东单县高考志愿篡改案便是一个典型的例证。因此,既然侵犯个人信息的行为有可能对信息主体造成极严重的不利影响,那么将上述入罪无损于刑法的谦抑性。
2.2 刑法介入的不可避免性
2.2.1 信息主体和信息处理者之间的不平等性
民法调节平等主体之间的人身关系和财产关系。倘若主体之间具有明显的不平等性,那么在调整其法律关系时,公法的介入便不可避免。
在大数据时代,信息主体与信息收集者之间的关系往往表现为用户与互联网企业之间的关系。绝大多数的用户在互联网企业面前处于弱势的地位。用户往往缺少议价的能力,被迫接受互联网企业的隐私政策。用户也往往缺少维权的能力,面对互联网企业专业的法务团队力不从心。用户和互联网企业之间存在着信息上的不对等,常常不能知晓自身的个人信息被收集甚至滥用的情况。因此,公民难以保护自身的个人信息利益,公法的介入不可避免。
2.2.2 民商法与行政法规制的局限性
民商法以金钱赔偿为主要的法律手段,而行政法以行政处罚为主要的法律手段。 从金钱赔偿的数额上看,以民商法对个人信息进行全面保护往往难以奏效,因为个人信息事关人格,人格受到的侵犯难以用金钱准确地衡量。在绝大多数的案件中,侵犯 个人信息行为对信息主体的侵害是轻微的,信息主体可能仅仅收到一些骚扰短信或者骚 扰电话,日常生活基本不受影响。在另一些情况下,信息主体的人格有可能受到极大的 影响,这种影响却难以用金钱来计算损失,在前文中提到的山东单县高考志愿篡改案中, 这种影响便是难以用金钱衡量的。
从行政处罚的力度上看,行政手段也不足以遏制侵犯个人信息的行为。如前所述, 侵犯个人信息的行为,无论是直接侵犯信息自决权,还是通过侵犯信息自决权的方式来 间接侵犯其它法益,均有可能造成极严重的后果,然而《治安管理处罚法》所规定的处 罚力度的上限是 15 天行政拘留,这在力度上不足以遏制侵犯个人信息的行为。仍以篡 改高考志愿为例,倘若行为人篡改他人高考志愿致使其落榜的行为不以刑事手段制裁而 以行政手段制裁,那么 15 天的行政拘留相对于被害人所受的终生的负面影响显然是畸 轻的,刑法的介入因而具有不可避免性。
第三章 大数据时代个人信息刑法保护的现状与问题 ............... 10
3.1 大数据的技术特征 ........................... 10
3.1.1 大量化 ...................................... 10
3.1.2 多样化 ........................... 10
第四章 域外个人信息刑法保护的立法启示 ................ 16
4.1 美国个人信息刑法保护的立法 ............................ 16
4.1.1 美国个人信息保护的思想线索 .......................... 16
4.1.2 受到刑法规制的具体行为 ........................ 18
第五章 大数据时代完善个人信息刑法保护的建议 .......................... 22
5.1 重议个人信息的范围与层级 ...................................... 22
5.1.1 应当采取实质标准判断个人信息 ..................................... 22
5.1.2 个人信息的层级应在个案中判断 ....................... 22
第五章 大数据时代完善个人信息刑法保护的建议
5.1 重议个人信息的范围与层级
5.1.1 应当采取实质标准判断个人信息
如前所述,个人信息的自动化处理的程度不同,使得同一种类的信息,其可识别性和关联性的有无强弱存在差异。个人信息被应用的场景的不同,使得
