您好!欢迎来到刑事自诉案件资深律师网,我们竭诚为您提供卓越的法律服务!

13681086635

400-650-5090

QQ/微信号

1056606199

 刑事自诉案件资深律师网 > 公诉转自诉案件 > 侵犯公民个人信息

个人信息去识别化的刑法应对

信息来源:中国法学网  文章编辑:zm  发布时间:2022-03-31 14:13:03  

作者:张 勇

【中文关键词】 个人信息;可识别性;去识别化;再识别

【摘要】 个人信息去识别化即去除个人信息数据中可识别性的过程,包括去标识化和匿名化。可识别性是个人信息的本质属性,去识别个人信息仍具有人格权及其衍生的财产权益,也涉及到公共利益、秩序和安全的社会法益,两者均应纳入侵犯公民个人信息罪的法益保护范围。运用去识别与再识别技术收集个人信息,须承担防控个人信息和公共安全风险的法律义务,刑法规制须注重个人信息安全法律和行业规范的衔接协调;个人信息去识别行为的中立业务性质与信息主体授权同意可作为出罪事由。刑法应在个人信息去识别化的保护和利用、入罪与出罪之间寻求适当平衡。

【全文】

随着互联网的发展,个人信息安全风险不断增大,泄露和滥用他人信息乱象丛生。为保护个人信息的正当合法权益,我国立法积极介入加以保护,对侵犯公民个人信息的犯罪行为予以刑事惩治。然而,由于我国目前尚缺乏前置性的个人信息保护法,相关行政法又大多仅在事实层面对个人信息的保护范围加以规定,缺乏法律规范层面的权利定位;新修订的《民法总则》111条虽规定了个人信息受法律保护,但未明确其权利属性。国内外立法大多将个人信息视为人格权的客体对象,对个人隐私权或信息自决权进行对个人信息相关权利的保护,主要是通过限制采集和使用个人信息空间的方式,比较偏重或者说局限于个人隐私的保护。这种隐私权保护模式显然不利于个人信息的有效利用。随着大数据技术和互联网经济快速发展,个人信息的商业价值和公共属性凸显,个人信息的单纯私权保护模式已明显不合时宜。近年来,信息数据企业及从业者重视采用个人信息的“去识别化”(De-identification)技术手段,对个人信息进行“脱敏”或“漂白”,进行去识别化或匿名化处理成为普通的数据,用以大数据分析和商业促销推广活动,同时避免遭受侵犯个人隐私的刑事陷阱。在制度规范层面,《信息安全技术:个人信息去标识化指南(征求意见稿)》(以下简称《去标识化指南》)已于2017年9月发布,国家标准化管理委员会等相关机构制定的《信息安全技术:个人信息安全规范》(以下简称《安全规范》)也于2018年5月1日开始实施。然而,个人信息的“去识别化”也面临着“再识别化”或“重标识”的安全风险,即掌握去识别信息的主体仍可以采用数据关联、概率推理等技术手段,将去识别的个人信息重新关联到原始主体,这样也可能导致新的个人信息权益遭受不法侵害,从而必要对再识别行为进行有效的法律规制和风险防控。从刑法角度来看,去识别化之后的个人信息数据还可以称之为“个人信息”吗?其所蕴含的权利性质以及法益内容是什么、能否纳入侵犯公民个人信息罪的法益保护范围?个人信息去识别及再识别行为主体应承担何种法律义务?个人信息去识别化是否具有出罪功能?如何在出罪与入罪之间寻求适当的平衡?本文对上述问题加以研讨。

一、个人信息的可识别性本质特征

随着我国信息化程度的提升,个人信息保护问题日益突出,但不少学者指出我国个人信息保护规范存在着碎片化、保护利益不清晰、效力层级低、执法部门定位和权限不明确等问题。[1]在民事、行政等部门法律保护力度明显不足的情况下,立法者越来越注重运用刑事手段强化对个人信息的保护。在此过程中,个人信息的内涵与对象范围也在不断扩张。在相关立法和司法解释中先后出现了“身份信息”“个人信息”“信用卡信息”“推定身份信息”“身份认证信息”等各种概念,而“公民个人信息”成为刑法及司法解释的规范表述。然而,学界对个人信息的内涵及其本质属性存在不少争论,有必要加以探讨。

(一)个人信息保护立法及其可识别性

国外立法一般将可识别性(identification)作为判断个人信息的标准。例如,日本2017年施行的《个人信息保护法》修正案将个人信息的含义规定为:“被以文字、图片或电磁方式记录或存储的,或以声音、动作等方式表示的,能用于识别自然人个体或易与其他信息共同识别自然人个体的一切信息”;该修正案指出,凡是记录“个人信息识别符号”的一切信息都可称为个人信息,既包括DNA、视网膜特征、脸型、步态、声纹、手指静脉特征、指纹(掌纹)等数字化身体信息,也包括诸如护照号、保险号、驾照编号等社会信息。欧盟于2016年通过的《一般数据保护条例》第4.1条的规定:个人数据是指与一个已被识别或者可识别的自然人相连的任何信息,该可识别的自然人能够被直接或间接识别。美国对个人信息的保护是由隐私权法完成的,法律保护的标准都是个人可识别信息(Personal Identifiable Information,简称PII)。PII标准在实践中被广泛认可,学界也往往将其当作“个人信息”的代名词加以使用,具体包括社会保障号码;驾照号码或者其他国家授予的身份证件号码;银行账号、信用卡或借记卡号码,以及其他银行账号、信用卡号码等。[2]

在上述国外立法中,个人信息的可识别性主要是以个体身份为判断标准。从个人信息的类型划分来看,首先,根据信息识别内容的不同,个人信息可分为两种:直接个人信息(或称直接标识符,Direct-identification)与间接个人信息(或称间接标识符,Quasi-identification)。能否直接识别特定自然人是二者的划分标准。前者指在特定环境下可以单独识别信息主体的信息,后者是指需要同其他信息结合才能识别信息主体的信息,单独使用并不能够识别信息主体。一般情况下,侵害直接个人信息的行为比侵害间接个人信息的行为所造成的损害更为严重,因此,立法上对前者的限制就更为严格。实践中,需要对个人身份的可识别性及其程度做出具体判断。例如,对网络服务商而言,经过实名认证而注册的网络游戏账号就是已识别身份信息,但是对其他普通玩家而言,则只是存在识别身份的可能。法律不仅需要从客观上考虑信息事实本身存在的身份识别风险,还需要对行为人的信息识别能力作出区分,从而给予不同的注意义务。同时,不是所有个人身份都具有同样的保护价值,“身份”本身也需要具体标准来界定。其次,根据信息敏感程度的不同,个人信息可以分为一般个人信息和敏感个人信息。我国于2013年实施的信息安全技术行业标准《公共及商用服务信息系统个人信息保护指南》对“个人敏感信息”做出如下定义:一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。有学者认为,我国未来个人信息保护立法至少应将医疗及健康信息、性生活及性取向信息、身份识别号码、个人生物识别信息判断为敏感个人信息。[3]一般认为,侵害敏感个人信息的行为,主要侵害的是人格权益,财产权益次之;而侵害一般个人信息的行为,主要侵害的是财产权益,人格权益次之。

应当看到,“可识别性”本身是一个难以界定的法律概念,倘若仅以身份可识别性作为法律保护范围的界定标准,其合理性不无疑问。网络服务平台海量地收集、获取并处理个人信息,以往看似无法识别的信息,都可能经技术手段轻易识别出信息主体。信息持有者处理信息并进行身份识别的能力取决于信息技术的发展程度,而身份可识别性是法律所规定的认定标准,具有相对性,两者很难实现同步发展。[4]尤其是在大数据环境下,许多看似不符合身份识别标准的信息经过处理运算后仍然能够实现个人身份的再识别化。因此,对符合身份识别标准的个人信息当然具有较高的法律保护价值,但个人信息的保护却无须完全依赖于身份识别标准。值得注意的是,《安全规范》附录A“个人信息示例”要求考虑“识别”和“关联”两种路径,实际上即是注意到了既有定义的不足,强调“特定自然人在其活动中产生的信息即为个人信息”。“我们不能因为网络空间是信息性的,权利内容或者侵权行为可以被信息化,就笃定相信应当由信息隐私法或者个人信息法来保护自己的利益,进而把身份识别当作必须适用的标准甚至是唯一标准”。[5]

(二)刑法中公民个人信息的可识别性

我国《刑法修正案(九)》17条将原刑法第253条之一修改为“侵犯公民个人信息罪”,凸显了立法者对个人信息全面强化保护的态度。最高人民法院、最高人民检察院于2017年5月公布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)将“公民个人信息”界定为:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”;同时,将行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等不同类型的公民个人信息,又分为高度敏感信息、一般敏感信息和普通个人信息,并分别设置了50条以上、500条以上、5000条以上的入罪标准。刑法学界对“公民个人信息”的本质属性存在认识分歧。有的学者认为,只要能够单独或与其他信息组合可以识别特定自然人个人身份的信息都属于公民个人信息;[6]有的认为,公民个人信息的范畴应限缩为可直接识别特定个人身份的信息;[7]有的提出,公民个人信息必须是具有法益关联性、强识别性的信息;[8]还有的指出,对于如何判断某类信息是否属于刑法中的“公民个人信息”,需要结合以下判断标准:一是需要结合的其他信息的程度;二是信息本身的重要程度;三是行为人主观目的。[9]

根据我国现行刑法和司法解释,公民个人信息的本质特征可归为个人身份或个体特征的“可识别性”,即相关信息与特定个体具有一定的专属性或关联性,而经由相关信息符号能够直接或间接将信息主体身份识别出来。能否直接完成特定自然人身份识别任务则是直接、间接识别的区分标准。个人信息的可识别性可归为具有如下特征:第一,个人信息须具有人格属性,即应与特定自然人有关。第二,个人信息须具有可再现性,即被存储在可再现的载体上,并且通过对载体上的个人信息进行再现处理能够直接或间接的完成特定自然人识别任务。第三,个人信息须具有个体属性,能够反映信息主体的个性特征。[10]换言之,若仅为个人兴趣爱好或特殊习惯等虽具有一定敏感性,但信息持有者却无法通过技术手段处理用以实现自然人身份之特定化的信息,则即使相关行为人实施了侵犯该类信息的行为,也无法真正对该特定自然人的个人隐私与人格尊严造成实际损害或威胁,根本不具有成立犯罪所需的严重社会危害性,因而该类信息也就不应该成为刑法中的“个人信息”。也即不具有可识别性的个人信息不能称为“个人信息”,而应属于一般“信息”。

由于我国专门的个人信息保护法尚未出台,《安全规范》将具备识别特定自然人功能或者在一般情况下可以关联到自然人的信息纳入个人信息范畴,如MAC地址、IMEI、Cookies等。可以看出,《解释》与《安全规范》中的个人信息概念存在一定差异,后者因属于行业规则,从风险管控角度出发,对个人信息处理的行为要求更高,对个人信息保护范围更为广泛。《安全规范》附录B对“敏感个人信息”的定义是:一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。而《解释》第5条中规定的高度敏感信息、一般敏感信息与《安全规范》附录所列的“敏感个人信息”的范围基本重合,但也存在差异。其中,对于电话号码、婚史、性取向、宗教信仰等个人信息,一旦纳入刑法意义上“敏感个人信息”的范围,将导致定罪量刑畸重的风险。同一种信息有的情况下属于高度敏感信息,有的情况下可能属于一般敏感信息或普通个人信息,单纯仅从信息类型上区分无法做出实质判断。在考虑是否有必要纳入刑事打击范围时,司法机关应当在区分公民个人信息类型的基础上进行实质性判断。因此,《安全规范》附录列举的“敏感个人信息”与“个人信息”在刑事违法性判断层面只具有参考意义,不能直接作为认定依据,仍需要结合具体情况进行实质考量,否则将会导致刑事打击面过宽。

总之,界定刑法中的公民个人信息是一种价值判断,而非单纯的技术判断。随着信息技术升级和大数据的应用,可识别与不可识别、隐私与公开的界限变得越来越模糊,司法机关在侵犯公民个人信息的犯罪圈划定问题上面临很大的困扰。司法关注的重点应单纯从公民个人信息的性质、类型转移到对非法获取公民个人信息之后的实际用途及其危害结果的评价上来,更多地注重对公民个人信息滥用风险的评估和控制,实现对侵犯公民个人信息犯罪的有效打击与惩治。

二、个人信息去识别化及法益保护

所谓个人信息去识别化,即数据保有者采用技术手段对其所保有的数据信息进行集中的筛查,将其中能够识别特定个人身份的数据信息予以删改的过程。通过对具有可识别性的个人数据信息进行删改,在保留信息特定用途价值内容的同时,也降低了去识别技术可能对信息主体的隐私造成的威胁或损害的风险。个人信息去识别化之后,无论是去标识化还是匿名化,均属于个人信息法律保护的范畴。目前,学界对于个人信息权利及法益性质存在认识分歧,这关涉到个人信息去识别化的法益保护内容的确定,更影响到对去识别化行为的刑法规制问题,有必要加以研讨。

(一)个人信息去识别化的内涵

个人信息去识别化通常被认为是去除相关数据中可识别信息的过程。从国外立法来看,日本的《个人信息保护法修正案》将个人信息分为直接识别性和间接识别性两种情况,对个人信息去识别化(匿名加工情报)的界定也是在此认识基础之上。该修正案第2条第9项的规定,去识别化个人信息是指采取特定措施对个人信息进行加工处理,使其达到无法识别特定当事人之程度所产生的相关个人信息,而且无法被回复为原始状态;同时,该修正案第2条第10项还增设了“去识别化个人信息处理事业”的行为主体的概念,在原来的《个人信息保护法》第4章“个人信息处理事业义务”下,增设了“去识别化个人信息处理事业义务”专节,明文规定“去识别化个人信息处理事业”所应符合的相关规范。该修正案对于“个人信息去识别化”所展现的明确立场,即要求个人信息的去识别化,必须达到无法事后还原的程度,针对去识别化的具体操作,直接纳入个人信息保护立法当中,值得借鉴。在我国,个人信息“去识别化”尚未成为法律上的概念,与之相类似的概念是“经过处理无法识别特定个人”,在《网络安全法》42条、《解释》第3条第2款中都有所规定。在大数据时代,数据控制者对数据不断地收集、处理和利用,去识别化的过程就属于数据处理阶段。而数据处理的目的之一便是在分析的基础上去除个人可识别特征,以控制信息数据再利用的风险。有学者称之为“去身份化”,并将其定义为“数据控制者将信息数据中可识别个人身份的数据进行删除和改变的过程。”[11]如前所述,个人信息不可识别性的判断标准并不依赖于身份识别标准,将去识别个人信息等同于“去身份个人信息”,是基于将个人信息的本质特征归于身份可识别性的狭义理解,这是不可取的。

根据《安全规范》3.1的规定,个人信息去识别化可分为以下两种情况:(1)去标识化(De-identification)。《安全规范》3.14将去标识化定义为“将个人信息进行技术处理,使在不借助其他信息的情况下,无法通过经处理的信息识别到原信息主体的过程。”这里的“去标识化”相当于前述学者提出的“去身份化”,即建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术的手段替代对个人信息的标识。根据《安全规范》6.2的规定,去标识化处理的过程为:收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化的数据与可用于恢复识别个人的信息分开存储,并确保在后续的个人信息处理中不重新识别个人。对个人信息去识别化的过程中,对于直接标识符应予以删改,而对于间接标识符是否需要删改、删改幅度大小等问题则应谨慎把握。其一,由于仅对直接标识符进行删改还不足以完全避免信息保有者对所持有的个人信息进行识别或再识别的可能,因而在去识别化的过程中必须考虑是否应相应删改间接标识符。其二,如果对间接标识符的删改幅度过大将可能会影响数据信息的经济价值,因而应谨慎思考在多大程度上对间接标识符进行删改,才能实现数据信息的经济价值与数据信息的安全保护之间的平衡。(2)匿名化(anonymization)。《安全规范》3.13将匿名化定义为“通过技术处理,使得个人信息主体不仅无法被识别,并且不能被复原的过程”。可以看到,匿名化是比去标识化更为“彻底”的去识别化。无论去标识化还是匿名化,都属于个人信息去识别化的方式,区别的关键之处在于,个人信息匿名化之后不能复原,所得的信息也不属于个人信息;而个人信息去标识化之后仍可经技术手段再识别,因此仍属于个人信息的范畴。然而,也有学者提出,随着信息技术发展,匿名化信息变成了一个相对的概念,完全不能复原的匿名化信息是比较罕见的。而《安全规范》强调个人信息经匿名化处理后具有绝对不可识别性和复原性,显得有失偏颇。[12]由于预料到匿名化在技术上的不可能,欧盟《一般数据保护条例》并没有强调个人信息经匿名化处理后具有绝对不可识别性和复原性。可以说,匿名化只是去识别化的一种暂时方式,个人信息匿名化之后仍可以通过再识别化技术加以复原,具有可识别的可能性,具有个人信息可识别性特征。

(二)去识别个人信息的权利属性

目前,学界对个人信息的权利属性问题存在不同观点,主要包括隐私权说、人格权说、财产权说、信息自决权说等。传统的“隐私权说”主张,个人信息应属于隐私权之范畴,因此在公民个人信息受到侵犯时诉诸于隐私权的保护路径。对于个人信息与隐私权的关系,有的学者认为,个人信息与隐私所指向的对象是一种交叉关系,个人信息如果涉及私人生活的敏感之处,便可纳入隐私范畴,但若公开程度较高,则不应当认为是隐私。[13]有的认为,刑法不能对个人信息进行绝对化的保护,应仅限于个人信息所能体现的隐私权的那一部分,而与公共生活有关的部分应该排除出刑法规制范围。[14] “人格权说”主张个人信息权属于一种新型人格权;[15]侵犯公民个人信息罪的法益应当是人格尊严与个人自由,而隐私利益只是个人尊严保护的一项内容。[16]如前所述,个人信息去识别化之后,无论是去标识化还是匿名化,仍可以通过再识别化技术加以复原,都具有个人信息可识别性的本质特征,仍属于个人信息的范畴。从我国立法和司法解释中,个人信息涉及的权利范围整体而言超出了隐私权。如《解释》将“公民个人信息”分为“识别特定自然人身份”或“反映特定自然人活动情况”两类信息,明显不限于隐私权的范畴。之所以会产生上述认识分歧,原因是“公民个人信息”与“隐私信息”的概念一直纠缠不清,导致刑法长期以来侧重于消极防御,偏重于对个人隐私的保护。因此,更多学者主张,个人信息不仅具备人格属性,还是一种包含财产内容的人格权,由于该种财产内容可以同信息主体相互分离,并被应用于商业领域,因而个人信息还具备财产属性。[17]

除了上述有关个人信息人格权和财产权属性的论争之外,有些学者主张,应借鉴德国和欧盟关于信息自决权的理论与实践,将个人信息权利看做是一种信息自决权。所谓信息自决权,即信息主体出于自由意志,自我决定其自身信息能何时、何地、何种方式被他人特别是政府收集、储存、处理以及利用。[18]然而,批评者认为学理上的个人信息自决权是难以成立的。因为个人根本无法控制个人信息,倘若承认信息自决权,则犹如保护一种漫无边际的个人意志,使他人的行为没有预见可能性。[19]个人信息法并不以权利主体的自愿或者同意为保护要件,甚至在某些情况下,它还会设置义务,限制信息主体的同意权。[20]本文同意否定说。在上述理论中,信息自决权是核心概念,所有信息都是和人格尊严相关的,因此根本不存在所谓“不重要”的个人信息。即只要违反了当事人意志,无论信息收集、处理抑或是利用的行为,都将侵犯当事人的自决权。在信息时代,没有任何人能真正地拥有和控制全部个人信息,公民个人从对自身相关信息的拥有和使用,逐渐变成了信息网络中信息生成、变化和流转过程中的节点,而不再能够对个人信息予以完全的控制,并享有对个人信息的全部利益。

应当看到,在大数据时代,法律对于个人信息已经不再只是一味地强调对它单纯地进行保护,而是不断挖掘其中的潜在价值,促进其合理使用,从单一的“保护”转变为“保护”与“利用”并重。在对个人信息进行去识别化时需要注意实现数据信息经济价值与数据信息安全保护之间的衡平,在追求对数据信息安全保护的同时,也应在去识别化过程中保留数据信息的经济价值。个人信息兼具人格与财产双重属性,这就决定了需要通过对体现人格属性内容的标识符进行删改,从而防止在对数据信息利用时不当损害公民个人信息之合法权利。而对于已去除体现人格属性标识符的个人数据信息则应允许数据行业对其进行充分的开发利用,在法律允许的范围内实现个人数据信息经济效益的最大化利用。不难发现,在个人信息的保护与利用间存在着零和博弈关系,如果过于重视对个人数据信息安全的保护,则必然会影响对其在经济方面的利用。反之,如果过于重视对个人数据信息经济利益的开发,则又容易忽略对个人数据信息安全的保护。显然,通过对个人信息去识别化的方式将个人数据信息中所内涵的人格属性与财产属性进行适当分离,并有针对性的就体现人格属性内容的标识符进行法律保护,而就体现财产属性内容的标识符进行经济开发,便能够有效实现个人数据信息保护与数据开发之间的平衡。

(三)去识别个人信息的法益结构

个人信息保护和价值利用是一枚硬币的两面,去识别化技术能够防止用户敏感数据被泄露,同时又能保证发布数据的真实性。《去标识化指南》规定,去标识化目标包括:一是对直接标识符和准标识符进行删除或变换,避免攻击者识别出原始个人信息主体;二是控制重标识的风险,确保重标识风险不会增加;三是在控制重标识风险的前提下,确保去标识化后的数据集尽量满足其预期目的。个人信息的流动和商业利用使得个人信息的社会公共属性得以体现和凸显。在大数据环境下,对海量数据的搜集与分析,是其商业模式的基础。基于网络空间流动性的特质,个人信息一旦进入信息流动链条,公民个体再无施加影响的可能。就去识别个人信息社会公共法益的维护而言,公民个体、网络服务提供者和国家行政主体,不同主体在个人信息流动的链条中,都在某一环节具有处分个人信息的权利,刑法规范需要在法益保护的范围内,对不同主体处分个人信息的权利和应承担的保护义务进行适当分配;个人信息流动的起点是公民个体,而个人信息的流动又会涉及通信自由、科研自由、信息利用自由等牵涉多方主体的基本自由,法律需要在个人选择与行为自由,同各类基本自由之间进行衡量,明确所保护的具体范围。个人信息去识别化不仅仅直接影响着公民个人信息权利,而且关系到社会公共秩序、信息主权甚至于国家的安全。去识别个人信息的保护法益可分为两部分:一是传统法益,即传统的特定自然人的个人权利,即人格权及衍生的财产权;二是新型法益,经过个人身份“去识别化”得到凸显和增强的社会公共属性,主要体现在涉及个人法益的数量为不特定或者多数,涉及国家和社会的公共利益、安全或秩序。有学者主张,应当加大刑法的保护力度,将个人信息的法益内涵构建为不具备实质内涵的集体法益。[21]因此,去识别个人信息的法益应被理解为具有一种人格权及其衍生的财产权属性;同时,个人信息的流动和商业利用使得个人信息的社会公共属性得以凸显。去识别化技术既能够防止个人隐私信息的泄露和滥用,又能保证信息数据的真实性和有效利用;去识别化之后的个人信息虽然不同程度地脱离了自然人身份的附属依赖性,但仍具有法益保护的必要性。具体来说,体现在以下两个方面:

一方面,去识别个人信息仍蕴含着人格利益及其衍生的财产权益。首先,刑法之所以将侵犯公民个人信息的行为犯罪化,就在于这种行为威胁或损害了个人隐私在内的人格尊严和个人信息自决的自由。与普通的个人信息一样,去识别化个人信息的法益主要指一种人格权,可将其作为侵犯公民个人信息罪的主要客体,实体上包括隐私权、肖像权、姓名权等,形式上则表现为个人信息自决权,即去识别信息的权利主体(包括数据企业和用户)对他人收集利用本人拥有的去识别个人信息拥有是否同意的选择权。同时,应将去识别个人信息确认为一种具体人格权,并通过单行法的形式,明确信息权利主体的知情、同意、查询、更正、补充、删除、封锁等权利,以及他人在持有、收集、存储、加工、传输、开发、利用、公开去识别个人信息的过程中的具体权利义务规则。[22]对于侵犯公民个人信息的行为,如果将其做为具体人格权,一方面,能够保证不会因为个人身份的差异而导致计算方式上有所区别,从而维护了人格平等这一宗旨;另一方面,还能依据《侵权责任法》22条主张精神损害赔偿。其次,去识别个人信息的法益具有一定程度的财产权属性,其财产利益是现代社会精神性人格利益商业化的典型。“大数据时代,数据发展为一种新型资产,能创造巨大价值,越来越受商业重视”,[23]去识别个人信息的商业利用行为也能为社会伦理观念所接受。个人信息的商业化利用程度受到信息网络技术的制约,并且在个人信息商业化利用过程中更多的使用的是已去除人格属性内容标识符的个人信息,更多地凸显出个人信息的财产属性。因而,刑法要遏制侵犯公民个人信息的行为,就必须加大其犯罪成本,最有效的做法就是承认去识别个人信息的财产属性,将其中的人格权与财产权分开,并追究侵权行为的刑事责任;在刑事附带民事诉讼中,去识别个人信息的权利主体既可以申请精神损害赔偿,也可以申请财产侵害赔偿。

另一方面,个人信息去识别化不仅仅直接影响着公民个人信息权利的行使,而且关系到社会公共秩序、信息主权甚至于国家的安全。在大数据环境下,对海量数据的搜集与分析,是其商业模式的基础。基于网络空间流动性的特质,个人信息一旦进入信息流动链条,公民个体再无施加影响的可能。[24]无论网络用户还是网络服务商都不具备对信息的绝对控制能力,传统意义上的隐私空间其实是不存在的。[25]就个人信息的范围而言,个人与数据企业以及社会之间围绕信息的提供、使用、挖掘、变现、跨境流动形成复杂的法律关系。在个人信息去识别化的流动链条中,公民个体、网络服务提供者和行政机关等在某一环节具有处分个人信息的权利,法律需要对不同主体的权利和义务进行合理分配。有学者指出,个人信息的法益保护也出现了公共化的趋势,逐渐向“超个人法益”的方向扩展。所谓“超个人法益”,是指在法益概念中与个人法益相区别的、又具有某种关联性的那部分利益,强调自身是全部个人法益的集合。[26]近些年来,我国倾向于将抽象危险犯等预防性刑法条款适用于具有“超个人法益”的犯罪领域,法益功能从出罪化转变为入罪化,[27]基于个人信息的社会公共属性,侵犯公民个人信息所产生的危害结果,兼具个体性与公共性。刑法保护公民个人信息,并非保护信息本身,而是保护其关涉主体的相关权利。这一方面,在相关刑事立法和司法解释中也得到反映。《解释》第5条第2款规定,非法获取、出售、提供公民个人信息“造成重大经济损失或者恶劣社会影响的”,应当认定为《刑法》253条之一第1款规定的“情节特别严重”,这在某种程度上体现了本罪的超个人法益属性。另外,《解释》将诸如“出售或者提供行踪轨迹信息,被他人用于犯罪的”、“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”、“造成重大损失或者恶劣社会影响的”作为认定本罪“情节严重”的因素,而这些因素明显已经超出传统个人法益所能涵盖的范围。须指出,《刑法修正案(九)》虽然对侵犯公民个人信息罪的犯罪主体、行为类型都进行了大幅度扩张,但认识不到其社会公共利益属性,在具体解释适用时,必然面临尴尬境地。正确的刑事立法方向不是将本罪所保护的法益解释为个人法益,进而通过加强个人信息的个体关联性,限缩本罪的处罚范围,而是以个人信息的社会公共利益属性为前提,明晰本罪应当保护的法益,从而明确本罪适用的范围,达到限缩处罚范围的效果。

另外,需要探讨的是,既然个人信息的可识别性具有程度强弱之分,那么,去识别个人信息是否必须具备较强的识别性或法益关联性?应当看到,个人信息可识别性的强弱并不能决定其保护法益关联性大小。实践中,完全有可能出现虽然个人信息可识别性较弱、但对法益造成的威胁或损害反而更严重,或者虽具有较强可识别性却无法对法益造成足够侵害的情况。因此,去识别个人信息只需要具备可识别性特征即可,不要求其具有较强可识别性和法益关联性,不是所有具有可识别性的个人信息都需要纳入刑法保护范围。[28]除了个人信息可识别性的强弱程度以外,还包括行为人非法获取个人信息的数量规模、行为方式和用途去向、被害人个体心理感受、对国家信息安全、社会公共利益的影响等。[29]诸如事关公共生活的个人信息、非专有个人信息、无效的个人信息等,除非能够识别特定用户的身份或个体特征的,一般不需要纳入刑法中公民个人信息范畴。

基于以上分析,对于去识别个人信息的法益性质,不应仅从微观层面加以认识,同时应将个人信息的法益内涵扩展至信息领域的社会公共利益和秩序,在必要的情况下转向国家信息安全。[30]同时,也应当看到,个人信息的新型法益由于其内容过于抽象和模糊,在限制刑罚处罚方面的解释机能趋于弱化;而传统个人法益具有限制刑罚发动和处罚范围的机能;刑法对传统个人法益的保护仍是主要的,对新型法益中社会利益和公共安全的保护范围和力度应当受到限制,避免产生刑罚惩治不力或过度滥用。

三、个人信息去识别化的入罪根据

个人信息去识别化是平衡个人信息数据保护与经济价值的技术手段,而只要是技术手段,理论上就存在相应的反向技术措施予以破解的可能,即个人信息的“再识别化”或“重识别化”。在大数据时代,通过去识别化技术,结合再识别风险管理,是保护个人隐私的合理有效途径。[31]然而,个人信息去识别化面临着再识别化技术的挑战。在个人信息利用与流通中,如何合理控制去识别信息的再识别化,也成为个人信息法律保护方面的重要课题。

(一)个人信息去识别行为的法律义务

根据《网络安全法》的规定,网络服务经营者在运用去识别化技术收集个人信息时,应经过被收集者同意,遵循合法、正当、必要的原则。同时,不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息。否则,即属于刑法规定的“以其他方法非法获取公民个人信息”。然而,《网络安全法》的规定较为笼统,缺乏操作性,相对来说,《安全规范》则更为细化,其对于收集个人信息行为提出了更为具体的合规标准。《安全规范》对去识别个人信息的收集行为提出了以下原则:第一,合法性原则。如个人信息控制者不得采用欺诈等手段强迫信息主体提供个人信息,不得经非法途径获取个人信息等。第二,必要性原则。即收集去识别个人信息应遵循比例原则,与实现产品或服务的业务功能有直接关联,限于能够满足业务与功能的最低频率与最少数量。第三,明示同意原则。除特殊情况外,收集去识别个人信息应当经过信息主体的明示同意,且应提供合格的明示同意方式,具体包括:清晰、准确且便于用户发现、阅读的隐私政策、保障用户充分了解收集信息的类型、数量、用途等措施、用户在充分理解被收集信息的类型与用途后,通过主动动作做出的清晰表达等。

然而,应当看到,《安全规范》在个人信息收集规则方面的规定或不够现实,保护不足,或过于严苛。根据《安全规范》第5.3条a款,个人信息控制者收集个人信息前“应征得个人信息主体的授权同意”,同时根据第3.6条(明示同意)和第5.5条(收集个人敏感信息时的明示同意)的规定,原则上对个人信息的收集默示同意即为已足。据此,个人信息控制者仍然可以通过默示条款的方式,使得信息主体可能完全不知道自身的信息正在被收集。与之相较,欧盟《一般数据保护条例》则通过强调“同意”是指数据主体通过声明或明确肯定的行为(a clear affirmative action)做出的指示,排斥了默示同意的合法性效力。新加坡等国家法律考虑到通过对大量非敏感信息的收集和处理也是可以识别个人的敏感信息的,甚至取消了个人敏感信息和非敏感信息的差别保护要求,一致要求个人信息收集时的明确同意。与之相对,《安全规范》第5.3条b款规定,如果企业从第三方渠道间接收集个人信息,应当核实第三方收集、转让个人信息的合法性,这就要求企业必须对信息来源进行尽职调查。但在数据交易当中,尤其在跨境数据交易当中,第5.3条b款是否施以间接收集个人信息者过高的注意义务,该义务又应当如何具体运作,尚需实践检验。另外,《安全规范》第10条较完整地建立了企业的个人信息安全管理制度,要求企业明确责任主体,设定专门的管理机构、加强人员管理和培训、应急处置以及向信息主体的告知义务,使得信息数据处理等每个环节都能够满足规范要求。一般来说,法律应重点规制信息的交易行为,因为只有个人身份信息的公开才会导致个人隐私的风险,而无论个人信息是否具有可识别性。

(二)个人信息再识别行为的法律规制

去识别化的关键问题是对信息主体被再识别的风险控制与管理。所谓再识别,即通过技术手段把去识别化的数据重新关联到信息主体的过程。一般而言,为了做到对个人信息的充分保护,信息数据的保有者在发布相关数据前须对其进行全面审查,对其中直接标识符进行完全删改,对间接标识符进行适度删改,以消除通过其所发布数据信息直接进行信息主体个人身份识别化的可能。然而,只要是技术就总会存在相应的反向技术予以破解,掌控反向技术的人员能够通过对已被删改数据进行再识别化处理,以数据关联、概率推理等方法析出能够对信息主体进行特定化的身份信息,并在原本已去识别化的数据信息与原数据主体间重新建立起联系。此外,个人数据信息的非法获取者除通过反向措施进行数据的再识别化处理外,还可能通过侵入发布者的计算机信息系统,盗取能够体现信息主体人格属性的数据信息,如出生地址、出生日期等个人信息,然后再与已去识别化的数据信息间建立联系,不正当地实现个人信息的再识别化。根据《去标识化指南》4.3.2的规定,重标识攻击行为主要包括:重标识一条记录属于一个特定个人信息主体;重标识一条特定记录的个人信息主体;尽可能多的将记录和其对应的个人信息主体关联;判定一个特定的个人信息主体在数据集中是否存在;推断和一组其它属性关联的敏感属性。

从国外立法来看,欧盟《统一数据保护条例》中明确了身份再识别行为的规制,此外部分欧盟成员国的立法中也有相应规定。例如德国《联邦数据保护法》第3节第5项规定了“保持匿名状态”(Rendering Anonymous)。它是指为保护信息安全,数据控制者在对外发布数据前,应通过删除直接标识符、适当处理准标识等手段切断数据与主体之前的关联关系,从而使得无法从已公布的数据中识别出原数据主体。然而,蓄意攻击者仍可通过概率推理、数据关联等技术手段将去标识化的数据重新关联到原数据主体。除了获取已经发布的数据外,攻击者还可以多维度获取信息以锁定原数据主体,如部分数据主体的生日、出生地址、邮编号码等,甚至能够破解去标识化的技术方法。《刑法修正案(九)》规定了非法出售和提供个人信息罪、非法获取个人信息罪;《解释》第4条规定违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法规定的“以其他方法非法获取公民个人信息”。以上规定可将个人信息再识别行为纳入刑法规制适用范围。

从目前情况看,通过对去识别化技术的合理适用,并制定具有妥善性、可操作性的再识别风险防范规则,去识别化仍是个人信息保护的重要且有效的方法。[32]其实,法律关心的并不是个人信息是否具有可识别性,而是关注这些具有可识别性的个人信息是否会未经信息主体授权而被擅自公开传播或运用于商业活动,并因此造成对个人合法权益的严重危害。一般来说,数据保有者在数据发布或使用前通过全面审查,将直接标识符予以完全删除、间接标识符予以适度删除,便能够实现个人数据信息保护的目的。因而在制定完善相应措施约束信息保有者与发布者的行为之后,另一亟待解决的问题是应设置何种风险防范规则,以合理控制滥用再识别化技术的行为。首先,应注意处理好道德与法律的关系,对擅自实施信息再识别化行为的企业或个人纳入社会信用黑名单并进行网上公示,对其形成社会舆论压力;其次,通过民法、行政法及刑法等部分法律明确规定对个人信息进行再识别化的前提,在明确擅自进行个人信息再识别化法律责任主体的同时规定相应的惩处措施等。在私法领域,人们可通过签订数据使用、共享等协议,依据协议约定使用人不得从事去识别或再识别行为,否则将承担协议中的违约责任;在公法领域,应通过行政法规或刑事法律明确去识别化是个人信息再利用的前提,禁止未经去识别化的个人信息进入流通领域,否则相关责任主体应承担行政处罚或刑事责任。

(三)个人信息安全规范与刑法的衔接

《安全规范》是贯彻《网络安全法》中个人信息安全要求的重要配套规范,其性质相当于标准文件。在个人信息保护法尚未出台的情形下,《安全规范》的颁布实施对准确认定“个人信息”提供了有益指引,一定程度上发挥了替代规制功能,对侵犯公民个人信息罪犯罪构成的认定提供参照标准。根据刑法及《解释》的相关规定,侵犯公民个人信息罪涉及非法出售、提供、获取等环节以及窃取公民个人信息的行为,而《安全规范》对个人信息从收集到销毁的生命周期的处理同样做了完整的规定,两者关联度和衔接性十分紧密。《安全规范》从管控风险的角度出发,将可识别特定自然人或者在一般情况下可以关联到自然人的信息纳入个人信息范畴;在附录中就将Cookies、IMEI、MAC地址等具体信息列入个人信息范畴。比较来说,《安全规范》从行业规则角度出发,对个人信息保护范围更为广泛,对个人信息处理的行为要求更高,并不是个人信息合规的“最小安全基线”。而刑法从控制犯罪角度出发,在精准打击泄露和滥用个人信息的同时,须防止刑事打击面过度扩张。《安全规范》对于个人信息的认定与处理要求,不宜直接将其作为认定刑事违法性的依据,否则将导致刑事打击范围过大的问题。

需要探讨的问题是,《安全规范》中规定的个人信息去识别和再识别行为的合规标准,能否作为刑法上判断其是否“违反国家有关规定”的依据。《刑法》253条之一第1款和第2款都作出了“违反国家有关规定”的前置性规定。侵犯公民个人信息罪的“国家有关规定”属于弱意义的构成要件,主要是从泛义层面来理解的,一般需要法律做出具体规定;没有专门性明确规定、有一般性规定的也可以予以认定。《解释》第4条规定:“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于《刑法》253条之一第3款规定的‘以其他方法非法获取公民个人信息’。”对于行为人通过再识别技术获取公民个人信息的“非法性”的理解,不应仅限于《解释》本身的条文规定,而是应当结合《网络安全法》进行系统解释。《网络安全法》41条规定,“非法获取公民个人信息”包括违反“法律、行政法规的规定”和违反“双方的约定”两种情况,前者具有行政违法性,后者则具有民事违法性。因此,《刑法》非法获取公民个人信息的“非法性”,也应包括这两种情况,比“违反国家有关规定”范围更为宽泛。对于个人信息的再识别行为来说,如果通过再识别技术收集的个人信息违反法律法规或双方约定的,可认定为“非法获取”;如果行为人采取“静默收集”的手段,则不宜认定为“非法获取”。这种理解能够实现《刑法》与《网络安全法》的衔接,也更符合体系解释的原理。

四、个人信息去识别化的出罪事由

如前所述,个人信息去识别化是信息数据企业或机构为了降低和避免侵犯个人信息权利的刑事法律风险、扩大个人信息商业价值利用的技术行为。因此,去识别化可以被视为一个数据利用过程中的除罪化行为,具有中立业务性质;经过原个人信息权利主体的授权同意,即使造成了个人权利的损害,理论上也可看作具有“被害人同意”的出罪事由。

(一)去识别化行为的中立业务性质

应当注意到,在大数据时代,法律不再一味强调对个人信息进行单纯的保护,而是对其合理利用,进而不断挖掘其潜在价值。换言之,法律对于个人信息已从单一的“保护”关系转变为“保护”与“合理利用”并重。如果信息数据企业或机构并非追求针对特定信息主体“一对一”利用个人信息,例如,将个人信息用于定向营销、数据库营销和商务智能分析,去除个人身份识别要素并不影响信息业者对消费者群体特征的分析,就可以在其收集、存储、处理和利用个人信息的过程中进行去识别化处理。个人信息经去识别化处理之后,虽然改变或去除了部分可识别到特定个体的标识符,但所保留的标识符仍具有资产价值。在防范泄露隐私风险、不侵害他人隐私利益的前提下,通过分离个人信息中隐私与资产二者的属性,去识别后个人信息的商业价值可为数据行业充分挖掘。实际上,在大数据环境中,对个人信息的利用并非建立于数据的可识别性之上,而是对去识别后的信息数据进行分析和处理,从而实现信息数据价值的增值。个人隐私保护与数据利用就像天平的两端,存在着博弈论上的零和博弈。去除个人信息识别的标识符,数据便可由数据主体根据数据许可使用协议为特定目的所共享,并实现了通过较少的控制为更多公众利用和共享的目的。就此而言,个人信息去识别化是一种旨在协调隐私保护和数据公开,平衡个人利益和社会利益的工具。有学者提出,在新的利益衡量格局下,我国的个人信息保护法应以“两头强化,三方平衡”理论为基础,通过对个人敏感隐私信息强化保护,以及强化个人一般信息的商业利用和国家基于公共管理目的的利用,实现个人、信息业者和国家三方利益平衡。[33]

基于上述价值衡量的角度,个人信息去识别化本质上是一种中性业务的技术行为。在网络服务领域,从事互联网接入、服务器托管、网络存储、通讯传输、网络广告推广、互联网支付与结算等信息网络技术支持、帮助的行为,基本上都是由专业机构及其从业人员提供的有偿服务,除了专门为犯罪活动实施帮助的情形之外,大多是无差别地针对所有的互联网用户而并非特定化的犯罪实行者,具有典型的中立业务性质。在刑法理论中,认定正当业务行为的关键是行为所制造的风险若是法律所允许、所容忍的,则应当认为具有正当业务性质,不应当予以犯罪化,只能归咎于实行犯罪的主体滥用社会经济生活中的技术与机制创新。相反,制造法律所不允许的风险是中性业务行为归责的客观基础。[34]《去标识化指南》4.1条规定了去标识化的目标,主要包括:对直接标识符和准标识符进行删除或变换,避免攻击者识别出原始个人信息主体;控制重标识的风险,确保重标识风险不会增加;在控制重标识风险的前提下,确保去标识化后的数据集尽量满足其预期目的。对于个人信息去识别处理主体来说,如果明知他人实施犯罪活动,而仍然为其提供个人信息去识别化的技术服务,该业务行为与犯罪活动的实施就产生了密切关联,失去了业务行为的独立性,制造了法律不允许的风险,具有可罚性。刑法的目的除了控制利用信息网络犯罪,还应当避免成为去识别化技术和创新发展的阻碍。这就需要相关行政法律法规作为刑法的前置性规范,制定个人信息去识别化的业务规范或者经营规则,为从事去识别化服务的个人和组织提供安全操作规范和法律风险底线。由于我国尚未制定个人信息保护法作为刑法的前置性规范,作为行业标准的《安全规范》起到了规制个人信息处理行为的功能。实践中,个人信息去识别化也可能为他人信息网络犯罪活动提供技术支持帮助,扩大其社会危害的负面效应。对此,我国《刑法》287条之二的“帮助信息网络犯罪活动罪”规定了提供信息网络技术支持、帮助行为的刑事责任体系,个人信息去识别化当然也存在触犯帮助信息网络犯罪活动罪的刑事风险。然而,目前我国并没有建立完善的个人信息去识别化业务规则,在司法实践中难以确定中性业务行为与违法犯罪的标准。虽然正当业务行为抗辩尚不能成为阻却违法事由,但仍可以作为限制犯罪认定的依据在解释客观构成要件中得到运用,从而有助于实现信息网络犯罪规制与信息网络技术创新保护的均衡。

(二)个人信息权利主体的授权同意

在现有法律框架下,个人信息的获取、使用受到严格限制,其中,授权同意原则便是最重要的限制性原则。《网络安全法》41条规定,未经被收集者同意,网络运营者不得收集、使用和向他人提供被收集者个人信息。《安全规范》第4条规定了个人信息安全基本原则,个人信息控制者开展个人信息处理活动,应当遵循“选择同意”原则;同时,第5.3条规定了收集个人信息的授权同意的原则。《解释》第3条第2款规定,“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第253条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”在个人信息去识别化过程中,如果信息处理主体获得了个人信息主体的授权,则属于正当业务行为;反之,如果未经授权同意,对个人信息进行去识别化处理,即使降低了可识别的风险,但仍属于侵犯公民个人信息的行为。

刑法理论上,个人信息主体的授权同意可以被看做被害人同意(承诺)的出罪事由加以解释。学界对于被害人同意的正当化根据存在不同观点,主要有利益衡量说、法律行为说、利益放弃说、法律保护放弃说等。[35]其中,利益衡量理论重视个人对法益的主观评价,它将“同意”看成是被害人自己行使人格权的自由,表明被害人主观上认为行使人格自由比放弃的法益更优;如果出于意思自由的放弃,那么就无所谓法益侵害。根据《安全规范》第5.3条a款规定,个人信息控制者收集个人信息前“应征得个人信息主体的授权同意”,然而除了规定收集个人敏感信息时应当取得信息主体的明示同意外,对于个人一般信息的授权同意方式并没有明确规定。因此,对于个人一般信息的授权同意只需要默示同意即可。例如,淘宝网在《淘宝平台服务协议》中的提示条款规定,客户在申请注册流程中点击同意本协议之前,应当审慎阅读、充分理解各条款内容,特别是免除或者限制责任的条款、法律适用和争议解决条款(以粗体下划线标识);当客户按照注册页面提示填写信息、阅读并同意本协议且完成全部注册程序后,即表示已充分阅读、理解并接受本协议的全部内容,并与淘宝达成一致,成为淘宝平台“用户”。同时,该协议书中有关签约主体的条款规定,如用户使用新增的淘宝平台服务的,视为用户同意新增的淘宝平台经营者与其共同履行本协议。上述协议书即规定了明示和默示两种授权同意方式。但问题是,个人信息控制者通过默示条款收集信息,而信息主体可能完全不知情;平台机构往往列出冗长艰涩的隐私声明,也给用户阅读带来沉重负担,难以做到“审慎阅读”全部提示条款。为使用产品或服务,用户往往除点击同意之外并无其他选择,实质上架空了用户的权利。有学者甚至认为,在大数据时代,用户对其个人信息面临全面失控的局面,传统的知情同意框架面临穷途末路。[36]对此,欧盟《一般数据保护条例》否认默示同意的效力,其强调“同意”是指数据主体通过声明或明确肯定的行为。另外,新加坡等国家考虑到敏感信息与非敏感信息本身区分标准的主观性和模糊性,统一了个人敏感信息和一般信息的保护标准,并且都强调了明示同意。

作为民法中的许可方式,默示许可能够弥补明示许可之不足,也能够更好地契合“共享+开放”的网络时代特征。须注意的是,将个人信息纳入默示许可的适用范围内还存在一些问题需要解决,在实践操作中需要谨慎把握默示许可的使用限度。由于网络世界中信息数量的爆炸式增长,各类网络信息收集者、使用者所能够接触到的个人信息数量也呈指数式增长,如果不能够通过法律途径妥善界定网络信息收集者、使用者等主体注意义务,将会使司法者在网络信息收集者、使用者误用或滥用所掌握的个人信息追究其法律责任时,出现适用难题,必然难以对信息主体的合法权益进行全面保护。网络信息收集者、使用者等主体运用默示许可进行个人信息收集时,须适用如下规则限制其使用限度。首先,在适用默示许可前,必须已有格式文本列明所收集个人信息范围、类型等,且该格式文本已向信息主体出示,在实际信息收集过程中也应严格约束收集行为,不能够超越格式文本所载明范围进行收集。当然,信息主体在默示同意前是否真正阅读过格式文本并不重要。其次,网络信息收集者、使用者在收集或使用个人信息时,须严格审查是否超越原格式文本载明的授权范围,若超越该授权范围则必须获取信息主体的明示授权,或者向该信息主体出示新的格式文本供其查阅,并取得其默示同意。否则,默示许可并不能成为相关主体误用、滥用信息主体个人信息行为的抗辩事由。再次,网络信息收集者、使用者提供的格式文本中所载明的授权事项必须符合法律法规规定,凡是违反法律规定之事项自动无效,也不得成为抗辩事由。最后,应将默示许可视为补充性制度予以使用,只有当其他制度并不存在,且默示授权内容、程序等完全合法时才能加以使用。

结语

在大数据环境下,面对个人信息遭受非法收集和滥用的安全风险,立法和司法习惯性地予以从严打击,对各种侵犯公民个人信息行为予以刑事惩治。然而,个人信息去识别化本质上是信息数据加工处理的过程,去识别个人信息依然具有可复制、可传播的性质,个人信息控制者在个人信息去识别化过程中对数据价值进行了挖掘和增值,应对此享有一定的财产利益。[37]为了应对大数据时代对个人信息的冲击,挖掘数据流通与利用中的商业价值,将来的个人信息保护立法应进行适当的价值转向,确立个人信息流通使用过程中去识别化的原则和规则,以去识别个人信息权利保护为导向,兼顾个人利益和公共利益的协调,保证数据权利主体、控制者、使用者之间的法律关系取得良性平衡。

(责任编辑:郭莉)

【注释】 作者简介:张勇,华东政法大学教授、博士生导师。

*本文系国家社会科学基金重大项目“涉信息网络违法犯罪行为法律规制研究”(14ZDB147)的阶段性成果。2016年度上海市哲学社会科学规划一般课题“信息网络技术服务的刑事规制研究”(2016BFX001)的阶段性成果。上海市高校一流学科(华东政法大学刑法学)建设计划项目资助。

[1] 参见齐爱民:《信息法原论》,武汉大学出版社2010年版,第33页。

[2] Bruce Radke, and Michael Waters,“Selected State Laws Governing the Safeguarding and Disposing of Personal Information,”J. Marshall J. Info. Tech.& Privacy L. no.31(2015):487.

[3] 参见韩旭至:《个人信息类型化研究》,《重庆邮电大学学报》(社会科学版)2017年第4期。

[4] 参见岳林:《个人信息的身份识别标准》,《上海大学学报》(社会科学版)2017年第6期。

[5] 同前注[4]。

[6] 参见胡胜:《侵犯公民个人信息罪的犯罪对象》,《人民司法》2015年第7期。

[7] 参见高富平、王文祥:《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》,《政治与法律》2017年第2期。

[8] 参见叶良芳:《非法获取公民个人信息罪之“公民个人信息”的教义学阐释》,《浙江社会科学》2016年第4期。

[9] 参见周加海、邹涛、喻海松:《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》,《人民司法》2017年第19期。

[10] 参见项定宜:《个人信息的类型化分析及区分保护》,《重庆邮电大学学报》(社会科学版)2017年第1期。

[11] 金耀:《个人信息去身份的法理基础与规范重塑》,《法学评论》2017年第3期。

[12] Paul Ohm,“Broken promises of privacy:Responding to the surprising failure of anonymization.” Ucla L.Rev. no.57(2009):1701.

[13] 参见张新宝:《从隐私到个人信息——利益再衡量的理论与制度安排》,《中国法学》2015年第3期。

[14] 参见王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,《法学》2009年第12期。

[15] 参见王利明:《论个人信息权在人格权法中的地位》,《苏州大学学报》2012年第6期。

[16] 同前注[7]。

[17] 参见杨惟钦:《价值维度中的个人信息权属模式考察——以利益属性分析切入》,《法学评论》2016年第4期。

[18] 参见赵宏:《从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题》,《比较法研究》2017年第2期。

[19] 参见杨芳:《个人信息保护法保护客体之辨——兼论个人信息保护法和民法适用上之关系》,《比较法研究》2017年第5期。

[20] 参见杨芳:《隐私权保护与个人信息保护法:对个人信息保护立法潮流的反思》,法律出版社2016年版,第71-74页。

[21] 参见孙道萃:《网络刑法知识转型与立法回应》,《现代法学》2017年第1期。

[22] 同前注[17]。

[23] 龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》2017年第4期。

[24] Vgl. Hans Peter Bull, Hat die informationelle Selbstbestimmung eine Zukunft? in:Stiftung Datenschutz(Hrsg.), Zukunft der informationelle Selbstbestimmung, Erich Schmidt Verlag,2016, S.18 ff.

[25] 参见[美]劳伦斯·莱斯格:《代码2.0:网络空间中的法律》,李旭、沈伟伟译,清华大学出版社2009年版,第218-251页。

[26] 参见王永茜:《论集体法益的刑法保护》,《环球法律评论》2013年第4期。

[27] 参见何荣功:《预防刑法的扩张及其限度》,《法学研究》2017年第4期。

[28] 参见杨燮蛟、张怡静:《大数据时代个人信息刑法保护新探——以刑法修正案(九)为视角》,《浙江工业大学学报》(社会科学版)2016年第4期。

[29] 同前注[6]。

[30] 参见于志刚、李源粒:《大数据时代数据犯罪的类型化与制裁思路》,《政治与法律》2016年第9期。

[31] 参见卢建平:《我国侵犯公民个人信息犯罪的治理》,《法律适用》2013年第4期。

[32] 同前注[31]。

[33] 同前注[13]。

[34] 参见刘宪权:《论信息网络技术滥用行为的刑事责任——刑法修正案(九)相关条款的理解与适用》,《政法论坛》2015年第6期。

[35] 参见方军:《被害人同意:根据、定位与界限》,《当代法学》2015年第5期。

[36] 参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。

[37] 同前注[11]。

【期刊名称】《国家检察官学院学报》【期刊年份】 2018年 【期号】 4



注:本文转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系我们,我们会及时删除。
刑事自诉案件资深律师网 版权所有 京ICP备16000443号-25