在大資料時代如何保護個人資訊保安？

個人資訊保護問題一直是公眾關注的焦點。2017年5月9日“兩高”釋出關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋，為刑法第253條的實際適用提供了明確的依據。但是，個人資訊的保護並不僅僅是一個簡單的法律問題，還涉及諸如公眾的知情權、輿論監督等諸多因素，同時也與資訊科技密切相關，因此，無論是刑法還是該司法解釋，都需要進一步改進和完善。記者根據北京師範大學法學院教授、亞太網路法律研究中心主任劉德良進行的“刑法侵犯個人資訊犯罪及其司法解釋的理解與檢討”研究，做了問答整理。

大資料背景下立法更應關注對資料的利用

Q：在大資料背景下，如何準確理解個人資訊

劉德良：司法解釋第一條對個人資訊的界定不符合學術界對個人資訊的一般理解，尤其是它把反映自然人活動情況的各種資訊也納入個人資訊範疇，混淆“個人資訊”和“與個人有關的資訊”，不當地擴大了個人資訊的範圍。按照解釋第一條的規定，“公民個人資訊”是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別特定自然人身份或者反映特定自然人活動情況的各種資訊，包括姓名、身份證件號碼、通訊通訊聯絡方式、住址、賬號密碼、財產狀況、行蹤軌跡等。理論上講，個人資訊只是能夠識別出某一特定自然人身份的資訊，“身份的可識別性”是個人資訊概念的核心。而“反映自然人活動情況的各種資訊”則屬於“與人有關的資訊”，它並不強調“可識別性”，而是強調“關聯性”。因此，該解釋把個人資訊界定為身份識別資訊和反映個人活動情況的各種資訊的做法不符合理論上一般對個人資訊的理解和界定，不當地擴大了個人資訊的範圍。

所謂識別的相對性，是指作為識別的主體，他/她之前是否對被識別人熟悉或認識;對於一個之前熟悉或認識的人來說，一看(聽或聞)到某些資訊(如照片或聲音、氣味)就可以直接識別出某個特定的人，或者將其與某個特定的自然人聯絡在一起;而同樣的資訊，如果之前不熟悉或不認識的，可能就不會據此識別出某個特定的自然人，或者不會將該資訊與某個特定的自然人聯絡起來。另外，利用人的感官識別不出來的，可以利用計算機或人工智慧技術識別出來;在大資料技術之前識別不出來的話，在大資料背景下可能就沒有問題了。

個人資訊是能夠直接或間接識別出一個人的資訊或資訊的組合。值得注意的是，在網際網路背景下，個人資訊是碎片化(以資料形式)存在的，它是由N個資料片斷組合而成的，N個片斷的組合在一起(整體)才是某個人的個人資訊，那麼即使是N – 1個片斷，由於不是完整的，所以不能識別出特定自然人，因此也就不能稱為個人資訊。同時，個人資訊在網路環境下也是動態存在的，即同一個人的個人資訊在不同的使用網路(購物、瀏覽網頁等)條件下所呈現出來的形態或表現形式是不盡相同的。現在商家通過網際網路所收集的消費者的消費偏好等資料，(這些被大部分人稱作個人資訊，)實際上並不是個人資訊，最多隻能算是與個人有關的資料。在商家眼裡，一般來說，它並不關心某個消費者是張三，還是李四;他只關心他們有何種偏好即可，這樣便於它做有針對性的營銷。

在大資料技術出現之前，界定個人資訊不僅具有重大的理論意義，還具有重要的現實意義。但是，在大資料時代背景下，對個人資訊下定義也就僅僅具有理論意義了，其現實意義已經所剩無幾了。這是因為，只要有足夠多的資料，就一定能夠識別出特定的自然人。這就意味著在大資料時代的今天，乃至未來，我們之前關注個人資訊的識別性特徵已經失去了意義，即我們的理論和立法更應該關注對個人資訊的利用環節，而不是收集和加工環節。換言之，收集、加工或處理的目的就是利用，而這些難以發現和規範的收集、加工或處理階段只是利用前的過程，利用才是目的;一般來說，除了法律意義上的隱私(直接攸關主體的名譽或尊嚴但又與公共利益和社會利益無直接關係的個人資訊)外，也只有利用才會對主體構成傷害或消極影響。因此，在大資料背景下，立法更應該關注的是對資料的利用，而不應該是利用前的收集、加工和處理環節了。

個人資訊法律保護制度的實施效果很差

Q：刑法第253條自2009年頒佈以來，全國進入法院的有關案件和判刑的人數分別是1464件和2112人。這些數字和個人資訊保護的現實對比說明了什麼 為何會如此

劉德良：這些數字說明了現行有關個人資訊法律保護制度的實施效果很差，缺乏可操作性。實際上，與天文數量級別的所謂個人資訊洩露數字相比，這些數字幾乎可以忽略不計。我們每個人都會遇到很多次所謂的個人資訊洩露，從升學、找工作，再到買房、租房等都會遇到所謂的個人資訊洩露問題，我們每天都會接到很多垃圾簡訊和騷擾電話，但這些個人資訊洩露問題幾乎沒有被公安發現，沒有被作為刑事案件立案、偵查和起訴到法院。為什麼呢 因為沒有人會到公安機關去報案;為什麼沒有人願意去報案呢 是因為個人去報案時公安機關十有八九會以沒有什麼危害或者以我們的(證明資訊洩露的出處)證據不足為由而拒絕受理。而實際上，如果沒有引起社會的強烈關注或沒有出現人命關天的事件時，公安機關一般是不會主動介入的。這也可以從既有的案例中得到印證。因此，僅僅憑藉司法解釋是無法改變這種現狀的，畢竟司法解釋的適用前提是案件進入司法程式。

Q：網際網路企業利用合同條款分享其所收集到的個人資料及企業的合併、分立等都會涉及到所謂的“收受”、“交換”，這些情形能否適用該解釋

劉德良：司法解釋第四條規定，違反國家有關規定，通過購買、收受、交換等方式獲取公民個人資訊，或者在履行職責、提供服務過程中收集公民個人資訊的，屬於刑法第二百五十三條之一第三款規定的“以其他方法非法獲取公民個人資訊”。

在網際網路企業領域，通過格式合同條款或者所謂的隱私政策條款對於收集的使用者資料(有些甚至就是個人資訊)的分享做出規定是慣例。一般情況下，使用者實際上根本沒有機會看到這些條款，因此其所謂的同意和知情實際上是一句空話。在此情況下，網際網路企業通過合同條款分享使用者的個人資訊(資料)比較盛行。按照司法解釋的規定，網際網路企業之間對基於格式合同獲取的個人資訊(資料)相互分享行為是否屬於該條規定 如果屬於，這不僅對網際網路產業的發展是一個極大的打擊，也會對大資料戰略的實施帶來法律障礙。

Q：是否應該區分“提供”與“出售”行為 行為人的主觀目的是否影響對行為的性質認定

劉德良：在我看來，從邏輯和語義上看，既然解釋要把“提供”和“出售”區別開來，說明二者確實是有區別的。實際上，出售是以營利為目的的行為，而提供則不是基於營利目的。司法解釋第三條卻規定向特定人提供公民個人資訊，以及通過資訊網路或者其他途徑釋出公民個人資訊的，應當認定為刑法第二百五十三條之一規定的“提供公民個人資訊”。顯然，司法解釋的這條規定忽略了很多基於知情權和輿論監督目的在網路上公開那些嚴重違法、違紀行為人的有關個人資訊的正當性、合理性和必要性。如果將這條解釋付諸實施的話，就沒有人敢在網路上公開那些貪官汙吏的違法違紀行為了;我們的反腐倡廉政策、國民的檢舉揭發權利就在很大程度上變成一句空話了;其實施後果無異於為那些貪官汙吏提供法律上的庇護傘。因此，一般人認為，以後網路上所謂的“人肉搜尋”行為是違反刑法的行為，可以構成犯罪。

另外，從刑法理論上講，行為人的主觀目的不僅會影響到對行為的性質認定，而且也會對刑事責任的具體適用產生影響。從行為的目的上看，如果僅僅是提供行為，其目的又具有合理性，比如向媒體採訪者或者應當事人的同學、朋友索要提供電話號碼以便採訪、聯絡需要，那麼，即使未徵得當事人的同意，也不具有可責性，更談不上可罰性。從罰金刑適用的理念來看，它主要是針對財產性犯罪的，因此，即使要對提供行為定罪，也不能適用罰金，而對於出售行為，則可以適用罰金刑。顯然，司法解釋未做上述區分的做法是值得商榷的。

個人資訊保護要考慮公眾知情權和輿論監督

Q：該解釋將行蹤軌跡資訊、通訊內容、徵信資訊、財產資訊與住宿資訊、通訊記錄、健康生理資訊、交易資訊等區別對待的依據何在

劉德良：根據解釋第五條之(三)規定，非法獲取、出售或者提供行蹤軌跡資訊、通訊內容、徵信資訊、財產資訊五十條以上的;(四)非法獲取、出售或者提供住宿資訊、通訊記錄、健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊五百條以上的;(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人資訊五千條以上的。按照這種規定，似乎行蹤軌跡資訊、通訊內容、徵信資訊、財產資訊要遠比住宿資訊、通訊記錄、健康生理資訊、交易資訊更加重要。不知道司法解釋的制定者為何做出如此規定，其重要性區分的標準是什麼 財產資訊，尤其是官員、公眾人物的財產資訊攸關公眾的知情權和輿論監督權，司法解釋做如此規定顯然沒有考慮到這些。至於徵信資訊，它對於構建誠信社會具有重要意義，把徵信資訊作為重要的需要保密的個人資訊，也是不利於制約失信人，不利於構建誠信社會。

Q：基於公眾的知情權和輿論監督，在網路上披露公眾人物、政治人物乃至違法者的個人資訊也應該適用該解釋

劉德良：司法解釋第五條規定，非法獲取、出售或者提供行蹤軌跡資訊、徵信資訊、財產資訊、住宿資訊、通訊記錄、健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊屬於刑法第二百五十三條之一規定。顯然，這種解釋忽略了社會公眾的知情權、輿論監督權，因為政治人物的健康狀況、財產資訊、住宿資訊和交易資訊都可能攸關權力濫用與腐敗，因此他們的行為應該接受社會公眾的輿論監督，社會公眾也有權知悉其有關資訊。公眾人物由於從社會公眾的關注中獲得利益，因此社會公眾對其健康狀況、財產資訊、交易資訊等享有知情權。對於某些違法行為人，尤其是對於一些被判定有罪的人，社會公眾(基於自身安全)享有某種程度的知情權也具有一定的正當性。反之，如果放任了司法解釋的這種做法，社會公眾的知情權、輿論監督權將受到極大限制，不利於監督權力濫用和預防腐敗。

應增加“個人資訊濫用罪”“侵犯個人資訊財產罪”

Q：如何從本次司法解釋看未來立法的修改與完善問題

劉德良：從刑七修正案(2009年)開始設立個人資訊犯罪條款以來的立法、司法實踐和侵犯個人資訊的實際狀況來看，所謂的個人資訊的非法洩露、買賣和提供行為幾乎無處不在、無時不有，但作為公訴案件，公安機關很少主動發現和立案偵查;而個人又很少去報案，即使有報案的，公安機關也基本上(認為危害很小而)不予理會。而垃圾資訊和騷擾電話問題盛行不減，身份假冒和濫用問題十分猖獗。這說明我們的立法導向出現了問題：本應該將立法的重點放在打擊對個人資訊的非法利用方面，而不是所謂的洩露和非法獲取、提供等行為。

未來立法在理論上應該區分兩類不同性質的個人資訊並分別採取不同的規制方法，即對於那些直接攸關名譽或尊嚴又與公共利益和社會利益無直接關係的個人資訊(法律上的隱私)需要保密，禁止非法刺探、蒐集、傳播和濫用;對於那些與名譽或尊嚴無直接關係的個人資訊，立法規制的重心在於防止濫用。同時，立法應該確立個人資訊商業價值的獨立法律地位，未經允許，擅自出售他人個人資訊的行為視為一種獨立的財產侵權行為。

根據上述分析，未來刑法有關個人資訊犯罪的規定應該作如下完善：一是在侵犯人身權利罪一章中增加侵犯隱私罪，即禁止非法刺探、蒐集、傳播他人隱私，違者視為犯罪。同時考慮到侵犯隱私罪所侵害的主要是個人(人格)利益，因此把侵犯隱私罪作為自訴案件處理。當然，這裡的隱私不是目前學術界所謂的隱私，而是借鑑我國傳統陰私觀念而來的，是指與公共利益和社會利益無直接關係，同時又直接攸關名譽或尊嚴的個人資訊，它包括但不限於裸照、性生活資訊等。二是把侵犯個人資訊商業價值的行為(即非法出售個人資訊行為)納入侵犯財產罪中予以規範。

具體而言，就是在現行刑法第五章“侵犯財產罪”中增加一條“侵犯個人資訊財產罪”，把那些未經許可擅自對個人資訊進行商業化利用的行為(比如未經授權擅自對他人的肖像、姓名、聲音等個人資訊進行商業化利用的行為)、非法出售個人資訊的行為(僅僅規範非法出售個人資訊行為，而無需規範購買或獲取行為)納入其中予以規範。考慮到非法侵害個人資訊財產(權)罪在本質上屬於侵害個人財產權益的犯罪，因此可以比照現行刑法第270條的侵佔罪對侵害個人資訊財產(權)作為自訴案件處理。三是在現行刑法第六章妨害社會管理秩序罪中增加一章“個人資訊濫用罪”囊括有關傳送垃圾資訊罪、騷擾電話罪、身份假冒和濫用罪等罪名。這樣，我們目前所擔心的個人資訊保護問題都可以得到真正的解決。

本文出處：暢享網

本文來自雲棲社群合作伙伴暢享網，瞭解相關資訊可以關注vsharing.com網站。