个人信息保护中的民刑协同
随着数字经济的发展,数据大爆炸的时代已经到来。个人信息的保护关乎个人的尊严与自由,关于经济与社会的发展,甚至关乎国家主权安全。2021年8月20日,十三届全国人大常委会第三十次会议通过了《中华人民共和国个人信息保护法》(以下简称《信保法》),该法将于2021年11月1日正式施行。我国对个人信息的保护历来非常重视,个人信息保护不仅在《信保法》、《民法典》中加以保护,在此以前,多部法律法规也对此有所涉及,例如《数据安全法》(2021年6月10日通过,2021年9月1日施行),《网络安全审查办法》(2020年4月发布,2020年6月实施),《网络安全法》(2016年11月7日通过,2017年6月1日施行)等。与此配套的,最高法颁布了《关于审理人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年6月8日通过,2021年8月1日施行),《关于审理信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(2020年12月29日通过,2021年1月1日施行),国务院颁布了《关键信息基础设施安全保护条例》(2021年4月27日通过,2021年9有1日实施),最高检颁布了《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,由此说明我国正在积极建立保护信息数据安全,维护网络秩序的法律系统。
除以上民事法律规范外,我国《刑法》还规定了侵犯公民个人信息罪(《刑法》第二百五十三条)、非法利用网络信息罪(《刑法》第二百八十七条)、拒不履行网络安全管理义务罪(《刑法》第二百八十六条)等罪罚,以刑事处罚的方式对侵犯公民个人信息的行为加以打击。在民刑兼备的情况下,如何厘清边界,区分不同规定的适用情形,做到刑法与民法的衔接,是我们需要探讨的问题。
1、明确个人信息的定义
要认定侵犯公民个人信息犯罪,首先应是准确界定“公民个人信息”的内涵和范围。在《信保法》出台之前,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《解释》)第一条的定义,公民个人信息为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”而根据《信保法》第四条第1款,个人信息指的是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”根据《刑法》第九十六条规定,所谓“违反国家规定”是指“违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令”,其中自然包括《信保法》,因此《信保法》对于“个人信息”的定义使得《刑法》的保护客体内涵和外延更加丰富。
2、个人信息保护的刑法衔接
《信保法》在个人信息处理、跨境、权责分配、担责机关等问题上均有创设性规定,这一方面有利于相关义务人明确职责范围,更好地履行保护个人信息的义务,另一方面,也将使不法侵害个人信息的行为更加清晰地暴露于《刑法》之下,增加入罪的明确性。
举例而言,如个人信息处理者委托处理个人信息,而受托人擅自转委托的,无论是否盈利,无论个人信息是否因此向不特定人泄露,其行为均违背了《信保法》第二十一条第3款的规定,根据个人信息种类的不同,在提供信息达至一定数量后,受托人将有可能因此涉嫌侵犯公民个人信息罪。
3、个人信息保护中的“告知-同意”
《信保法》确立“告知-同意”为个人信息保护核心规则,要求处理个人信息应当在事先充分告知的前提下取得个人同意,个人信息处理的重要事项发生变更的应当重新向个人告知并取得同意。《刑法》中侵犯公民个人信息罪的两种实行行为,其前提均为“未经同意”,该要素属于不成文的构成要件要素,因此该原则是民刑保护的基础性规则。
同时,《信保法》第十三条第1款第(二)至(七)项规也定了例外情形。比如第(二)项规定“实施人力资源管理所必需”的个人信息的处理不需取得个人同意,前提是“按照依法制定的劳动规章制度和依法签订的集体合同”。
但是,不同于传统意义上的“告知-同意”体系,在《信保法》出台后,个人信息处理者即使事先取得了用户同意,也有可能违反法律法规。如《信保法》第二十四条第1款明确规定,“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。”这意味着,一些企业通过掌握消费者的经济状况、消费习惯、价格敏感程度等信息进行自动化决策,对消费者在交易价格等方面实行歧视性的差别待遇,也即俗称的“大数据杀熟”行为,将被禁止。违反该规定,达到相应严重程度后,个人信息处理者仍将可能因此涉嫌犯罪。
4、违法处理个人信息行为的罚则
《信保法》根据个人信息处理的不同情况,对违法处理个人信息的行为设置了不同梯次的行政处罚。对未造成严重后果的轻微或一般违法行为,可由执法部门责令改正、给予警告、没收违法所得,对拒不改正的最高可处一百万元罚款;对情节严重的违法行为,最高可处五千万元或上一年度营业额百分之五的罚款,并可以对相关责任人员作出相关从业禁止的处罚。同时,《信保法》还专门规定,对违法处理个人信息的应用程序,可以责令暂停或终止提供服务。
在民事责任方面,《信保法》明确,处理个人信息侵害个人信息权益造成损害的,以及个人信息处理者的过错推定责任(个人信息处理者如不能证明自己没有过错的,应当承担损害赔偿等侵权责任)。
在刑事责任方面,犯侵犯公民个人信息罪的将根据情节严重程度处三年以下有期徒刑或拘役,或三年以上七年以下有期徒刑。犯拒不履行信息网络安全管理义务罪,或犯非法利用信息网络罪的,可被判处三年以下有期徒刑、拘役或者管制。
5、个人诉讼与公益诉讼
《信保法》第七十条规定:“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”该法条将检察机关和消费者协会纳入到诉讼主体范围内,检察机关也将个人信息保护作为拓展公益诉讼案件范围的新领域重点部署推进。2021年8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,将个人信息保护纳入检察公益诉讼新领域,对检察机关办理此类案件的立案标准、起诉条件、诉讼请求等实体和程序问题加以规范。
结语:
《个人信息保护法》将个人信息保护带入了一个新纪元。在积极保护公民个人信息、严厉打击侵犯公民个人信息行为的同时,也区分不同的适用情形,做到刑法与民法的衔接,力求更全面地保护公民个人信息,维护社会秩序,打击违法犯罪行为。
特别鸣谢:北京高文律师事务所
李明燕律师