返回上一页 文章阅读 登录

劳东燕:个人数据的刑法保护模式

更新时间:2020-09-12 23:33:22
作者: 劳东燕  
也大体上能得出是持个人数据作为私权之物的立场。尤其是,个人数据中具有可识别性的部分,即个人信息,已被明文规定为属于个人的权利。在我国,个人信息的权利属性最早由《刑法》所确认。2009年《刑法修正案(七)》增设非法获取公民个人信息罪(《刑法》第253条之一),该条规定为2015年《刑法修正案(九)》所修正,罪名变更为侵犯公民个人信息罪。民法的相关规定,包括2013年修订的《消费者权益保护法》、2017年施行的《民法总则》第111条,以及2020年通过的《民法典》人格权编中设立“隐私权和个人信息保护”专章,也均确认公民对个人信息的私权属性。自然,这并不意味着,个人数据只具有个人信息意义上的权利属性,它同时被认为具有财产的属性,尤其是对于合法控制与处理个人数据的主体而言。除了人身权利与财产属性之外,根据我国的《网络安全法》等行政法规,对个人数据的法律保护,还会涉及网络空间主权、国家安全与社会公共利益。归结而言,个人数据之上的权益并不是一项简单的权利,而是一种权利集合,它囊括了不同主体在相同客体上所涉及的人格、隐私、财产、主权等多方面的权利。

  

   三、刑法对个人数据的保护框架

  

   汇聚于个人数据之上的权益的集合性与多维性,自然会在我国刑法的保护框架中有所体现。本部分先对我国现行法律在个人数据保护方面的基本立场做出交待,在此基础上对现有的刑法保护模式进行梳理与归纳。

  

   (一)利益衡量进路的立场

  

   我国现行法律对个人数据的保护,与美国的“隐私权保护+行业自律”导向的保护模式差异较大,从相应表述来看,似乎与欧盟的《通用数据保护条例》的立场较为接近。比如,法律界对于个人数据的权利主要用的是个人信息权而非隐私权的表述,对个人信息权的具体内容的解读,也主要参照《通用数据保护条例》的相关规定,并在个人控制与自我决定的意义上来界定个人信息权的本质。在这其中,尤其受到源自德国的信息自决权理论的重大影响。不过,我国对个人数据的法律保护,至少在两个方面上明显不同于《通用数据保护条例》。

  

   一方面,我国的个人信息权基本上是在自我决定的意义上来理解与界定,而这种自我决定主要体现在收集环节的征求同意与信息告知上,并且主要限于直接从数据主体处收集个人数据信息的场合。《通用数据保护条例》所规定的后续的权利内容(即第15条至第21条),包括数据主体的数据访问权、纠正权、限制处理权、移植权与拒绝权等,尤其是数据主体向独立监管机构以及司法机构提起诉讼的权利,基本上没有被吸纳入我国现行的法律规定之中;同时,我国现行法律也没有像《通用数据保护条例》第9条的规定那样,对包括显示种族或民族出身、政治观点、宗教或哲学信仰与生物数据等特殊种类的个人数据处理,作出特殊的原则性限制。这意味着,在我国,数据主体对于个人数据享有的权利内容,要较《通用数据保护条例》所规定的范围要窄得多。而即便是要求数据控制者与处理者承担的征求同意与信息告知的义务,也流于法律层面的宣示,在实践中并未得到严格的执行。

  

   另一方面,政府在其中扮演的不仅是强监管者的角色,更发挥着主导者的作用。它不只是以数据主体的保护者或利益冲突的调解者的面目出现,同时也是作为重要的个人数据的控制主体与处理主体而存在。包括国家网信办与各级公安、安全等部门在内的公权力机关,其工作内容本身就涉及对大范围的海量个人数据的收集、保管与使用。这与《通用数据保护条例》为政府所设定的角色有很大的不同。

  

   前述两个方面的不同,可能源于《通用数据保护条例》与我国现行法律在基本价值取向上的差异。《通用数据保护条例》有一条明显的主线,那就是强化数据主体对于数据的控制权,并通过兼顾人格权与财产权的方式予以保护。这种强化,不仅表现为保护范围的拓展,将公开的个人信息也包括在内,而且表现为保护方式的升级,由强制事后补救的消极防御转向事前防范式的主动防护。基本上,它采取的是法权保护进路,表现出优先保护个人数据权利的倾向,据此而对数据的控制者与处理者设定了相当高的合规义务。尤其是,《通用数据保护条例》没有赋予数据主体以完全自由交易的权利和赋予企业等实体以数据所有者的权利;在很多规定上,《通用数据保护条例》采取了基本权利的进路,赋予数据以某些不可转让的特征。

  

   与之不同,我国现有的法律采取的是利益衡量的进路,更为强调对数据科技产业及数据经济的保护与对社会秩序的控制。利益衡量进路也为法学界所广泛支持。这使得国家主导、行业自律与个人参与的数据治理模式受到较多的推崇。对此,有论者明确主张,通过对个人敏感隐私信息强化保护,以及强化个人一般信息的商业利用和国家基于公共管理目的的利用,实现个人、信息业者和国家三方利益平衡。这一“两头强化,三方平衡”理论,应当作为我国个人信息保护法的理论基础。这意味着,在我国现有的法律框架中,数据主体对个人数据所享有的权益名为权利,实质上只是作为单纯的利益而存在,它往往很容易被其他利益所超越。由此而言,我国现行的法律框架显然采取的是优先保护国家与社会利益的价值立场。对于数据主体的个人信息权,只有在不影响科技产业与数据经济的发展,不危及社会秩序稳定的前提下,才有可能得到有限度的法律保护。我国刑法对于个人数据的保护,也只有置于这样的制度语境之中,才能获得较为准确的理解;缺乏此种参照,便难以洞悉法条字面规定背后的真实本质。

  

   (二)四种保护模式的归纳

  

   从我国现行《刑法》的规定与实务的相应做法来看,涉及对个人数据的保护的罪名,主要包括:(1)规定在分则第三章破坏社会主义市场经济秩序罪中的两个罪名,即窃取、收买、非法提供信用卡信息罪(第177条之一第2款)与侵犯商业秘密罪(第219条),前罪位于第四节破坏金融管理秩序罪,后罪属于第七节侵犯知识产权罪;(2)规定在分则第四章侵犯公民人身权利、民主权利罪中的两个罪名,即侵犯通讯自由罪(第252条)与侵犯公民个人信息罪(第253条);(3)规定在分则第一章侵犯财产罪中的两个罪名,即盗窃罪(第264—265条)与诈骗罪(第266条);(4)规定在分则第六章妨害社会管理秩序罪第一节扰乱公共秩序罪中的两个罪名,即非法获取计算机信息系统数据罪(第285条第2款)与破坏计算机信息系统罪(第286条第2款)。

  

   由于我国刑法基本上是按所侵害的法益类型来安排相应罪名的位置,从前述所列的相关法条而言,可以将我国刑法对于个人数据的保护归纳为四种模式。

  

   1.经济秩序保护模式

  

   窃取、收买、非法提供信用卡信息罪惩罚的是窃取、收买或者非法提供他人信息卡信息资料的行为。他人的信息卡信息资料显然属于个人信息的范围。从该罪位于破坏金融秩序罪之中来看,表明立法主要是要保护金融秩序的利益。因而,就本罪所保护的法益而言,金融安全的风险防控是作为首要法益,而对个人信息权益的保护则作为次要的法益。侵犯商业秘密罪的行为对象中也可能涉及个人数据,像客户名单之类的个人数据,如果控制主体采取保密措施从而满足商业秘密的成立要求,则行为人实施以不正当的手段获取或者超越权限而披露、使用或允许他人使用权利人的商业秘密的,便可能成立本罪。从其在立法中所处的位置与构成要件来看,商业秘密罪保护的并非作为数据主体的自然人的个人数据,而保护的是对相应的个人数据具有控制与处理权限的主体的经济利益。当然,更确切地说,是通过保护权利人的经济利益来实现对公平的市场秩序的保护。归结而言,无论是窃取、收买、非法提供信用卡信息罪还是侵犯商业秘密罪,都是作为侵犯经济秩序利益的犯罪而存在,这样一种为个人数据所提供的刑法保护,可称为经济秩序保护模式。

  

   2.人格权保护模式

  

   侵犯通信自由罪针对的是隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利的行为。该罪保护的法益是公民的通信自由。从解释论的角度而言,电子邮箱中的邮件与手机上的短信或微信中的留言、音频与视频等通讯信息,均有解释为“信件”的余地。只有这样来解释其构成根据,该罪的存在才有现实意义,不然势必成为废弃的罪名。从实务的处理来看,也是倾向于对“信件”概念作扩张性的解释,从而使该罪的构成要件在网络时代得以与时俱进而仍有适用的价值。与侵犯通信自由罪只限于对通信过程中的个人信息予以保护相比,侵犯公民个人信息罪对个人信息的保护要全面与宽泛得多,其中的个人信息只要单独或结合其他信息具有可识别性即可。侵犯公民个人信息罪包括两类行为:一是违反国家规定出售或提供个人信息,二是窃取或者以其他方法非法获取个人信息。刑法理论上对侵犯公民个人信息罪保护的是公法益还是私法益的问题存在一些争论,不过,多数观点倾向于认为它保护的是独立的个人信息权,尽管对信息权的具体内容与范围尚未取得共识。由于通信自由与个人信息权都被归于个体的人格权之下,故侵犯通信自由罪与侵犯公民个人信息罪所提供的刑法保护,可称为人格权保护模式。

  

   3.物权保护模式

  

   盗窃罪与诈骗罪的保护对象都是财物,尽管前者往往作为保护特定财产权利(主要是所有权)的犯罪而存在,而后者被认为是侵犯作为整体的财产的犯罪。因而,盗窃罪的行为对象限于物(包括有形物与无形物),而诈骗罪的行为对象则既包括狭义的财物,也包括债权等财产性利益。不过,无论是盗窃罪还是诈骗罪,作为其行为对象最终指向的物品,都具有稀缺性,在占有与使用上具有排他性。也正是基于此,中国刑法对这两个财产犯罪均配置了很高的法定刑,盗窃罪与诈骗罪的法定最高刑均为无期徒刑。网络时代财产存在形态与使用形态发生重大的变化,包括银行账户、支付宝账户与微信账户在内的财产账户中的电子数据,都可能成为犯罪的对象。比如,利用欺诈的手段而诱使他人进行转账,或者直接侵入他人财产账户窜改电子财产数据等,成为新型的犯罪手段。此类行为在我国,通常是以盗窃罪与诈骗罪等财产犯罪来进行惩罚。由于电子财产数据也属于个人数据的范围,相应行为最终导致被害人对电子财产数据所指向的货币丧失占有,而货币被认为是具有稀缺性与排他性的财物,故以传统财产犯罪为个人的电子财产数据提供刑法保护的模式,不妨称为物权保护模式。从我国司法实务来看,对于窃取他人游戏账号、游戏装备与游戏币等虚拟财产的行为,有不少是按盗窃罪与诈骗罪等财产犯罪来予以处罚。这样的立场,甚至得到最高人民法院相关业务庭的肯定。

  

   4.公共秩序保护模式

  

非法获取计算机信息系统数据罪与破坏计算机信息系统罪(其中《刑法》第286条第2款专门针对数据与应用程序)均作为保护数据安全的犯罪而存在。前者处罚的是非法获取计算机信息系统中存储、处理或传输的数据的行为,后者针对的是非法对计算机信息系统中存储、处理或传输的数据和应用程序进行删除、修改、增加的操作的行为。从我国司法实务来看,由于包括个人电脑、手机与iPad等联网设备均被认为是计算机信息系统,故而非法获取储存于其中的个人数据,(点击此处阅读下一页)

本文责编:陈冬冬
发信站:爱思想(http://m.aisixiang.com)
本文链接:http://m.aisixiang.com/data/122856.html
文章来源:《比较法研究》2020年第5期
收藏