第一节 个人网络信息的概念
一、个人网络信息的内涵
个人信息是关于基本权利与自由的综合信息,体现的是公民的一般人格利益,以及因可利用性而带来的经济价值。构成个人信息的实质要素如肖像、姓名、身份证号码、学历、收入等,无论是否处于本人认知状态下,都体现了一定的人格价值,“公民生活越来越成为可见的、可计算的、可预期的”(1)。
一般认为,个人网络信息安全是指自然人享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种权利;也指禁止在网上泄露某些与个人相关的敏感信息,包括事实图像以及诽谤的意见等(2)。个人网络信息在某方面可看作是隐私权在网络上的一种延伸,但它的法律内涵较之隐私权更为广泛,而不仅仅停留于保护网络个人隐私的相关信息,这样显然更符合个人信息相关立法的目标和宗旨。从定义上看,我们可将个人网络信息表述为,自然人已经被识别或可以用来被识别的个人化网络信息资料。
具体来讲,个人网络信息安全包括以下内容:(1)信息收集知情权。在登陆网站时,经常需要用到使用者的个人信息资料,此时使用者有权了解他的何种信息被收集、信息内容及使用目的、是否会被网站公开等。(2)信息提供选择权。只有征得使用者的同意,网站才有权收集用户的个人信息资料,使用者还有权选择提供何种个人信息。(3)信息控制权。用户可以控制他人以合法途径访问本人信息,并对网站登载的错误个人信息有权提出异议并进行修改和补充,在丧失个人信息使用目的或约定到期时,有权要求网站对相关个人信息不予保留必须删除。(4)信息保护请求权。当网站拒绝用户基于权利,要求其采取相关措施手段对个人信息安全进行保护时,用户有权要求网站停止利用、根据协议申请仲裁或提起诉讼(3)。(5)范围限制权。用户可以基于权利限制网络服务商利用其个人信息时,必须在其许可范围内进行,当然,这对服务商而言也是一种义务。(6)追责权。当出现侵犯个人网络信息行为的危害后果时,用户有权追究网络服务商的相关责任,并要求其赔偿损失。
二、个人网络信息的特征及可发展方向
由于网络特点的加入,个人网络信息的特征,可以进行如下归纳:(1)人身性:个人信息是附属于个人人身的生物信息或社会信息,其存在载体是个人人身。(2)专属性:个人信息是专属于个人,个人对其拥有充分的占有和支配的权利。(3)关联性:个人信息能直接或间接与个人产生关系,并通过一定的路径识别个人。(4)价值性:个人信息相对于个人须产生一定的价值,无论其价值具体反映为物质,抑或其他客观外化的内容。(5)虚拟性:网络是一个虚拟的空间,并没有实体存在。虚拟性则意味着个人信息在网络的存在并没有实际载体,网络使用者可以自由选择隐蔽或公开自己的网络信息。易言之,隐蔽性让网络使用者对个人信息的把握有更充分的自由,可以随心所欲地利用网络(4)。(6)数字化:数字是构成网络环境最基本的元素。所有在网络环境中传递的信息都是以基本数字“0”和“1”形式存在。
随着信息时代的迅猛发展,个人网络信息还展现了未来发展的可能性:
(一)经济发展的可能性
在网络环境下,网络的开放性、资源共享性和高效性使得信息的大量搜集、加工成为可能,个人信息的供给变得轻而易举。同时,商企业可对搜集而来的大量个人网上活动所提供的信息进行分类整理,从中抽取具有商业价值的信息,从而了解特定消费人群的倾向与需求,以此为基础调整经营策略、修改相关营销计划,最终达到提升销售额,获取更大商业利润的目的。
(二)由被动转化为积极的可能性
在网络时代下,个人网络信息成为了一种具有巨大商业价值的信息资源,便为企业、网站经营者等主体争相掠夺。掠夺行为所带来的后果不仅表现为侵害了公民的人格利益,也表现为通过非法途径收集、利用、交易他人的网络信息来实现预期经济目的的行为,此举侵害了公民的经济利益。此时的个人信息权利主体需要通过行使相关积极权能来维护自己的经济利益和人身利益,如核查自己个人信息是否遭受篡改和删减、核实约定使用范围、对个人信息资料带来的正当利益进行收益以及对个人信息安全受到侵犯而进行自主救济等。
(3)加强数据保护的可能性
在网络环境下,个人的存在和活动都被转化为一系列的符号、代码或信息,但归根结底各类信息均表现为数据。网络的数字性特征决定了个人网络信息在互联网中是以数据为唯一载体的,由此可见数据保护的重要作用,因此,目前许多国家和地区都通过对数据的保护来实现对个人网络信息的保护。
第二节 个人网络信息的保护现状
一、国外个人网络信息保护的现存机制
纵观世界各国,如何在保障网络信息交流畅通稳定的同时,兼顾信息的完整性、安全性、真实性等问题,已成为各个国家广泛关注的热点。各个国家的保护机制虽然不尽相同,但都一定程度上保证了网络侵权甚至网络犯罪的减少。
(一)美国
美国是世界上第一个引入网络信息战概念和将网络信息安全运用于现实军事、文化、和经济领域的国家,其网络信息安全法律规范体系较完善,且具有连续性(5)。对于个人网络信息安全的保护,美国向来以行业自律为主导。其自律模式所采取的重要手段有:(1)行业指引:如美国的在线隐私联盟(OPA)曾公布的在线隐私指引,要求联盟内成员同意采纳其个人信息隐私政策,但对执行情况只进行鼓励和引导,并不监督成员是否遵守。(2)认证标志:要求被许可张贴个人信息隐私认证标志的网站必须遵守其行为规则。这种认证标志往往具有权威性,对于用户来说更具信服力,是一种品牌效应。(3)软件提醒模式:通过技术研发的专门信息保护提示软件会提醒使用者网站信息收集的范围,以此方式预防使用者的信息在不知情情况下泄露。(4)签署保密协议:美国曾在2000年与欧盟签署了关于个人信息资料保护的相关保密协议。该协议要求收集到欧洲消费者个人信息资料的美国商家有责任确保该资料的保密性,并且应告知欧洲消费者相关资料的使用目的,在得到消费者的肯定答复后才能予以使用。商家只要遵守有关要求,就可以免责,否则被视为从事商业欺诈行为。
同时,美国法院还通过大量判例,确立了个人网络信息保护的界限、标准,为司法实践提供了可供遵循的原则。
(二)欧盟
欧盟是由数十个国家组成的政治经济联盟,欧盟在网络时代对个人信息安全的保护比美国更加主动。欧盟成员国绝大多数为大陆法系国家,所以欧盟采取了立法保护个人信息的模式。
《欧盟数据保护指令》是当今世界上第一个给个人信息和数据保护提供全面保护的法律制度(它涵盖了所有部门和所有类型的数据处理)。为达成指令目标和宗旨,每个国家都制定了符合本国实际的具体数据保护法。欧盟数据保护指令特别规定,除非欧盟以外国家的信息安全保护完备,否则不允许个人信息数据流通超出欧盟范围。欧盟通过上述一系列规章指令,构建起了一套相应的法律保护框架。
(三)韩国
“网络实名制”是韩国目前采用的个人网络信息保护机制,主要指在网络上发帖、跟帖以及上传照片和动态影像时需要确认居民身份证和本人真名的制度。但鉴于目前网络行业对于网络实名制的认识还处于比较表面浅显的阶段,因而没有一个权威的准确定义。而实施网络实名制的目的,概括来说,主要在于净化网络环境、抑制网络犯罪(6)。2006年韩国通过的《促进利用信息通信网及个人信息保护有关法律(修正案)》,规定在点击量较大的网站进行有关个人信息发布的相关操作时必须进行真实身份验证才能进行。韩国的实名制有“可变通”的特点,也就是指允许网民在通过居民身份认证后,不强制其使用真实姓名进行网上操作而可换做其他名称予以取代,即“限制性本人确认制”。这种方式既可保证网络管理者对署名人有迹可循,又能保护其个人信息的隐蔽性。
上述国家的立法各具特色,各有利弊,值得我国借鉴。欧盟通过立法手段来规范网络运营商对于用户个人信息资料的收集,让侵害用户个人网络信息的行为有了制裁可能性,这对维持网络秩序、降低纠纷发生是有利的;并且,由于立法往往具有稳定性和强制性的特点,因此它比自律制度更有强制力和威慑力。但是,法律在带来稳定的同时,往往不可避免会遭遇滞后的尴尬境地,面对高速发展的网络及其不断出现的新产物,法律对某些新出现的个人信息保护问题不能快速提供有效救济,而是需要一段时间进行相关自我补充、完善。以行业自律为主导的美国,为网络与电子商务的发展提供更为灵活宽松的政策,在应对变化万千的网络环境时可进行迅速有效的调整,有利于鼓励和促进行业的发展,但由于行业自律缺乏强制力,对网络市场主体的约束力有限,用户个人网络信息安全无法得到最有力的保护。韩国的网络实名制对于我国司法是一个具有实践意义的参考,“网络实名制,不但不会限制自由,恰恰是对自由的保护。”(7)这正如法律为了保护人们的自由而限制人们的绝对自由一样,而实名制则背负着人们对于公平、诚信、安全、和谐社会的期待。
二、我国个人网络信息安全保护的现状
(一)立法方面的现状
由于历史的原因,我国对个人信息的保护较为淡漠,还没有形成完整的法律体系,仅在一些法律法规中有些许分散、零碎的规定。尽管我国立法对网络社会中公民的个人信息安全能够给予保护,但是,保护力度明显不足,尚未形成一套完整的法律体系,有待进一步补充。由于我国在法治进程中存在长期轻视个人人身权的情况,因此有关个人网络信息保护的现实执行存在一定难度。虽然我国有关个人网络信息安全保护的立法处于起步阶段,与当前网络发展要求和国外较成熟的保护模式相比都有着较大差距,但我们可以充分借鉴吸收国外的有利经验,并根据本国国情考虑实际需要加快相关立法,并不断加以充实、完善,增强其可操作性。
(二)行业自律的现状
中国互联网协会是由我国从事互联网行业的相关企业及科研、教育机构等70多家互联网从业者共同发起成立的全国性的非营利性社会组织,其于02年制定的《中国互联网行业自律公约》是我国网络行业内的第一份自律文件。其中第8条做出了不能侵犯用户个人信息安全的规定。该协会还于2011年发布了《互联网终端软件服务行业自律公约》,《公约》特别强调要保护用户合法权益,建立健全用户个人信息安全保护管理制度,采取有效技术措施,保障用户个人信息安全,防止用户个人信息丢失、泄露。(8)
在国际先进网络信息保护理念的影响下,我国大部分网站会在网站页面上标明有关信息安全保护的政策或者声明。(9)但是,这些信息安全保护政策或者声明规定通常比较繁复,还包含有大量专业术语,因而很难引起普通用户的注意而缺乏应有的提示作用。并且,综合我国各大网站现行的个人信息安全保护政策,可以发现它们的制订标准几乎各行一套、参差不齐,而更为关键的是,没有任何一家网站对自己违反个人信息保护政策将要承担的法律责任作出约定。在我国没有个人网络信息安全立法的情况下,个人信息保护政策的制约功能因没有强制效力而不能充分发挥作用,告知功能也只流于形式。
第一节 保护范围界定模糊
一、“个人网络信息”具有不确定性
众所周知,在所有的法律制裁措施中,刑罚当属最为严厉的一种。作为惩戒犯罪的主要法律手段,刑罚兼具积极与消极的两重性。正如德国著名刑法学家耶林所言:“刑罚如两刃之剑,用之不得其当,则国家与个人两受其害。”(10)犯罪化是实现个人网络信息刑法保护的必经之路,对侵犯个人网络信息入罪化还要考虑到犯罪化的困境。就严重危害个人网络信息行为的犯罪化而言,无论是确定其社会危害性的严重程度,还是确定其具体行为种类,以明确该行为刑事处罚的必要性,都会遭遇个人网络信息不确定性所招致的种种困境。
同时,我们还需审慎考虑,如何控制侵犯个人网络信息行为犯罪化的范围不宜过宽以及保证个人信息的自由流动不受影响。在现代社会中,由于信息处理技术的发展,特别是互联网搜索和链接技术的发展,一些个人的信息无需费力便能在网络上收集,如果侵犯个人信息行为犯罪化,很容易导致将这些行为入罪,从而不利于信息的传播。但是,在保证信息畅通的同时,我们还应注重对个人信息安全的保护,特别是对敏感的、会影响到个人生活发展的个人信息,因此,对涉及敏感个人信息侵犯的行为应入罪化。
个人网络信息的范围难以界定,其所及的范围应当以是否属于个人生活领域为准,而所谓的个人生活领域却不存在明显的边界,从而导致个人网络信息的边界也非常模糊且容易迁变。(11)因此,如何制定标准来明确个人网络信息的范围以及进而确定某行为是否构成对他人网络信息安全的侵害,将颇具难度。如果限定范围不能确定将必然导致侵犯个人网络信息类犯罪亦无法详细罗列。另外,随着网络时代的来临,加速了个人网络信息侵害的变化可能性,导致了个人网络信息内涵将随时代变化而不断更新。而法律的滞后性将无法适应个人网络信息范围的变化,而落后于时代的步伐,并因此使该犯罪化迅速丧失意义。
二、“人肉搜索”行为难以入罪
在现实生活中,具有严重危害后果的侵犯个人网络信息安全的行为不能入罪予以规制的情况不胜枚举。如近年来大热的“人肉搜索”行为,尽管其能够对个人信息构成致命威胁而被称为个人信息安全的“天敌”,但在网络社会中,其首先仍然是公民表达自由权的一种重要表现形式,基于公民基本权利不能对此行为进行过分压制;其次,“人肉搜索”行为通常是民众因为社会道德问题而发起的讨伐,基本上是以针砭时弊、惩恶扬善为主旨,是以社会公益为根本出发点的,也获得了极大多数主流观念的认可,并被认为是法律之外公民自发的“捍卫伦理”活动。即便通常的“人肉搜索”行为可能会危及个人信息安全,但将其入罪予以规制既不符合社会伦理,也难以获得民众的普遍认同。当然,在实践中并不能排除存在一些极端性的“人肉搜索”行为,此类行为往往只图一己私利而不顾公益限制,最终严重侵犯到他人信息安全,这种违反社会公德超越自由表达合理界限的行为,亦为社会伦理所不容。因此,从个人信息安全公共政策之角度来看,“人肉搜索”行为的入罪难免会遭遇左右为难的境地,既不能直接在立法上将其犯罪化,又不能完全排除在特殊情况下需对其进行刑事制裁的可能性。对此如何取舍,显然是个人网络信息刑法保护研究中需要认真思考的难题。
第二节 电子证据取证困难
通过互联网这种形式侵犯公民个人信息的犯罪,危害程度正逐渐增大,传统证据的运作方式也随之改变,电子证据作为侵害个人网络信息犯罪的最主要的证据形式之一,直接影响到相关犯罪的定罪量刑。2012年发布的新刑诉法第一次在法律层面上赋予“电子数据”独立于传统证据之外的法律地位,这应该说是证据种类立法之进步,从这种意义上讲,新刑诉法赋予了电子证据以独立的法律地位。这是人们对电子信息技术认识程度加深的结果,更是司法实务中对证据依据标准确立的迫切需要。
新刑事诉讼法第48条第2款规定,证据包括“视听资料、电子数据”。所谓“电子数据”即电子形式的数据信息,所强调的是记录数据的方式而非内容。以电子数据为基础的各种存在形式都可成为电子证据的来源,但只有能够证明一定案件事实的电子数据才能称为“电子证据”。对于电子证据的概念,理论界已达成以下共识:即电子证据的产生、存储和传输均离不开计算机技术、存储技术和网络技术的支持;经过现代化计算工具和信息处理设备的加工,电子证据具有独特的存在形式。
与同样大小的纸张相比,电脉冲或磁性材料存储的数据量是纸张的数十万倍甚至数十亿倍。(12)这一特点,首先导致了电子取证的范围在无形中大幅度扩大,对证据的审查、判断构成了巨大挑战。由于电子证据具有分散性、形式多样性、脆弱性、海量储存性等特征,在实际取证过程中,往往出现以下问题:
一、取证过程不规范
电子证据的技术性、隐蔽性和易篡改等特点,对侦查人员收集证据的程序是否合乎规范有着严格的要求。电子证据的取证目前虽没有统一的规定,但根据公安部的《计算机犯罪现场勘验与电子证据检查规则》,电子证据的采集涉及犯罪现场的勘验,应当严格按规范进行,但实践中部分办案人员未按相关规定取证,致使证据的真实性和完整性难以得到保证。
二、取证不及时
电子证据使用电磁介质,储存的数据具有易修改的特点,特别是一些网络信息,数据篡改破坏更为方便和迅捷,部分信息在保留一定期限后,也会因数据更新而被覆盖灭失,若不及时获取,事后难以收集,而部分侦查人员忽视电子证据取证的及时性要求,造成电子证据被删除破坏。(13)如在审查办理某开设网络赌场一案中,检察人员拟对疑犯使用的电脑进行审查,寻找能够证明犯罪事实的相关信息。但审查发现由于侦查人员的过失,导致涉案的电脑未能立即扣押封存,待要取证时才发现所有电脑信息资料均已被删除,虽然采取紧急措施进行了数据恢复,但大量关键涉案信息已彻底流失,并最终对此案的定案案值和量刑产生了重大的影响。
三、取证不全面
电子取证范围的确定应谨慎,因为一旦有所遗漏,相关电子证据很容易遭到毁损,再也无法重现和获取。电子证据的取证要求是证据能够全面、客观地反映案件的实际情况,从而形成有效的证据链,重现或重构犯罪过程。由于一些侦查人员取证能力薄弱,导致一些案件收集的电子证据不够完整、全面,甚至是割裂的、分散的,大大影响了案件的审查判断。
四、固定保全措施不到位
从“两个证据规定”(14)所界定的电子证据的范围来看,电子证据实际上是电子数据,具有无形性,由于电子数据是以数据的形式存在的,数据容易被人为改变,数据被人为篡改后,如果没有可资对照的副本、映像文件就难以查清、难以判断。(15)在实际取证过程中,应当考虑到电子证据的脆弱性和易篡改的特点,及时进行封存,防止证据被改写污染,并应严格按照规定制作提取、固定、封存电子证据记录等文书,以证明记录电子证据来源和形成的时间、地点、方式及其储存、变更等使用保管情况。而在实际办案中接收到的电脑、移动电话等电子设备通常没有采取或没有立即采取封存措施,也缺乏完整全面的记录文书,固定保全措施的不到位会使证据的真实性和完整性受到质疑。相对于传统证据形式,司法工作人员可能更需要关注电子证据的保管主体、存储环境、交接过程等,不能将眼光仅囿于电子证据本身,而应及于其外在环境和条件。
第三节 个人网络信息保护的相关法律缺位
一、“个人网络信息”概念应明确
只有“个人网络信息”的内涵在相关法律中得以明晰,才能引导人们向正确认识个人网络信息安全保护的方向迈进。在网络时代的今天,在高度重视人权保障的当今社会,面对我国长期的封建历史残余和忽视法治建设导致的法制不健全状况,我们不能只简单通过将“个人网络信息安全”入罪的方式来向人们强调其重要性,而应从思想理念上进行根本转变,通过法治教育让民众从心底认同保护个人网络信息是我们的基本权利之一。法律文化的传播需要法律意识的培养和法律实践的证明,只有国家将个人网络信息的概念和内涵明确写入法律法规进行保护时,人们才会将其看成是自己和他人神圣的权利,才会懂得侵犯他人网络信息安全是多么严重的危害行为。这将是民众个人信息安全意识的觉醒,是中华文明的又一次提升。只有将个人网络信息安全作为一项明确的权益来对待时,才会真正唤起人们对信息安全保护的心声,才会真正促进相关立法、司法的完善和发展。
二、现行法律难以适应发展需要
在我国的法律规范中,涉及到网络信息安全的法律有《宪法》、《商标法》、《专利法》、《著作权法》等等。当然,以上这些法律只是个别条款涉及网络及其网络行为的原则性的零星的规范而已。如果仅就网络及其行为而制定的专门法律而言,有全国人大常委会于2000年发布的《关于维护互联网安全的决定》,于2004年发布的《电子签名法》,国务院颁布的《计算机信息系统安全保护条例》、《计算机软件保护条例》《计算机信息网络国际联网管理暂行规定》等等。虽然这些规定零散、抽象,现实中普遍缺乏可操作性。但已经通过摸索的方式为我国未来个人网络信息相关立法的出台奠定了一定的理论和实践基础,已经是个人网络信息立法保护上的一大进步。但是,这些规定只停留在行政法规和部门规章上,尚未建立专门法律进行约束,难以适应个人网络信息安全的发展需要,若要通过这些规定对个人网络信息安全系统地加以保护,不是它们所能胜任的。
由于上面介绍的规定和办法对个人网络信息的立法保护是以不同方式展开的,因此他们之间存在着无法避免的弊端和缺陷。我国对公民个人网络信息权利的保护标准较低,基本上是一种无法可依的状态,法律基础与环境也是相当薄弱的,有待于在立法层面做出进一步完善。
三、专门立法的优势
针对个人网络信息保护而制定专门的个人信息保护法是当前世界上各国保护网络环境下个人信息安全所采取的主要立法手段。(16)不仅是欧盟,我国台湾地区、香港地区也都相继制定了相关法律。
专门立法的优势有:(l)避免各职能部门因立法方式不同而导致的职能冲突,改变当前国内个人网络信息相关法规之间的杂乱状况,调整法律不同层级间的搭配,实现法规的和谐统一。(2)更具专业性,内容上较之普通立法更为详尽,能够为个人网络信息的保护提供完整的规范。(3)顺应形势,利于沟通。个人网络信息资料通过网络途径而在世界范围内进行交流,是网络信息时代发展的大势所趋。为了保护信息资料在交流过程中不受侵害,主要发达国家或者地区都制定了相应的专门法律进行保护,以此鼓励和保障本国同世界各国间的信息交流。但是,我国在个人网络信息资料保护方面的滞后,己经阻碍了世界范围内个人信息交流的开展(欧盟数据保护指令禁止其数据流入没有“充分数据保护的国家”,而中国就在此列)。我国应努力转变当前的被动局面,积极参与国际间信息交流活动,尽快缩小与发达国家在立法保护上的差距,万不能顾此失彼而成为信息时代的“孤岛”,或沦为发达国家“信息霸权”的附庸。《个人信息保护法》初稿虽已出台多年,但至今没有面世,应加快相关立法议程。
第一节 加强刑法保护的几项措施
一、制定专门的法律进行规范
对于侵犯公民个人信息犯罪而言,明确本罪侵犯的对象即何为公民个人信息,对于刑法的准确适用非常关键,无怪乎几乎所有关注此罪的学者和刑事实践部门的人员,均强烈要求立法上明确界定个人信息的内涵和外延。但是,采取何种形式来加以明确界定呢?有学者建议,通过颁布司法解释的形式明确个人信息的内容;比较多的学者主张,在将来制定的《个人信息保护法》中专门增加一款,明确规定“公民个人信息”的概念与范围。
由于网络环境下的个人信息保护涉及到诸多方面的问题,为此,笔者更倾向于制定一部专门的法律对网络环境下的个人信息安全加以全面的保护。鉴于世界各国愈渐倾向于为个人信息安全设立专门的保护模式,(17)我们可以借鉴发达国家“先综合立法后分别立法”的立法模式,结合中国现今实际,通过预先制定信息保护的综合性规范专门法律——《个人信息保护法》来保护公民的个人信息安全。该法应当明确规定个人对其信息资料的权利,各具体利益主体收集、储存、处理、使用和传播个人信息的条件和程序,侵犯个人信息的法律责任及救济措施等内容。由于个人网络信息安全的保护范围较广、涉及到的领域比较多,且网络技术和计算机技术更新换代迅速,想要达到保护效果的最大值就需要在建立综合性立法的基础上,再根据实践中的具体情况,分别制定相关特别法性质的法律、法规。
值得一提的是,虽然现在在全国范围内尚没有确立有关个人网络信息安全的单行法律,但杭州市人大已于2009年发布了互联网新法规,开创了国内先例。该法规不但要求“网络论坛实行实名制”,而且“严禁恶意评论”,要求服务提供商登记用户信息,还规定了违反法规要求造成危害后果的相应法律责任。(18)杭州市的这一地方性法规的颁布,在我国尚属首例,对我国相关法律的制定也起了借鉴和推动作用。同样,2012年12月举行的第十一届全国人大常委会第三十次会议,审议并通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《决定》),这一《决定》旨在为互联网时代的个人信息保护装上“法律的盾牌”。有关专家和权威人士表示,该《决定》以法律形式保护公民个人及法人信息安全,确立网络身份管理制度,明确网络服务提供者的义务和责任,并赋予政府主管部门必要的监管手段,重点解决了我国网络信息安全立法滞后的问题。
二、明确刑法条文的规定
《刑法修正案(七)》规定,“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金。”(19)我国对侵犯个人信息行为的犯罪化是顺应信息社会发展的结果,满足了对该行为的危害性进行抑制的需求,符合我国刑法有关犯罪圈设定的合理标准。但是,现行刑法对于侵犯个人信息犯罪的规定可操作性不强,尚待进一步完善。
(一)适当地扩大犯罪主体的范围
在现实生活中,诸多利益主体乃至网络用户在基于各种目的利用用户个人信息并造成严重危害后果的情况已经大量出现。对公民个人信息负有保护义务的远不止条款中规定的单位,近年来,股市、期货、房地产行业、各种服务中介等机构都掌握了相当多的公民个人信息。对此类侵权主体的长远发展来看,适当扩大本罪的犯罪主体范围是不可避免的。根据日本著名学者大谷实的见解,犯罪化包括立法上的犯罪化和刑罚法规解释适用上的犯罪化。前者的含义勿需解释;后者亦即司法上的犯罪化,是指“在适用刑法时,将迄今为止没有适用刑法作为犯罪处理的行为,通过新的解释将其作为犯,罪处理”,“没有伸缩性的概念,就没有裁量的空间,不足以实现正义”。(20)概言之,具有伸缩性的抽象性、一般性规定,不仅使司法上的犯罪化完全成为可能,而且能够使司法上的犯罪化没有超过刑法的抽象性、一般性概念的约束。”因此这并不表示笔者不认同《刑法修正案(七)》相关条款对该罪犯罪主体的规定,因为仔细研究该罪条款并可发现这是一个开放性的规定,即仍保留着无需修改现有法律规定即可对其他一般主体符合犯罪圈设定之侵害行为予以入罪的可能性。可见,有关该罪犯罪主体的规定就是一个类型性、伸缩性的概念描述。随着网络信息时代的到来,其他主体侵犯个人信息的行为将逐渐增多,社会危害性也将随之增强,特别是随着个人信息保护相关法律法规的日益健全和完善,法律工作者在实际考虑可行性和必要性的需要下,通过立法或司法途径适时颁布相关立法、司法解释,将非特定主体纳入刑法视野以完成对该罪主体要件的补充,从而满足刑事调整的需求。
(二)健全和完善刑事追究程序
世界各国对此类犯罪采取的追诉方式各有偏重,有的以公诉方式为主,有的则把权利交于受害者选择自主追诉。考虑到个人信息的概念内涵及侵犯个人信息犯罪的法益和社会危害性,若按《刑法修正案(七)》将此类犯罪一概设定为公诉案件似有不妥,可以根据我国实际并参考国外相关立法经验作出更合理、灵活的变动。由于侵犯个人信息犯罪在通常情况下,主要侵犯的是公民个人的相关人格权利益,这个时候的权益主体应有权主张是否对该犯罪行为进行追诉,享有自诉追诉权。而不一定必须接受刑法公权力的强制介入。当然,在有些情况下侵犯个人信息犯罪的行为还会产生严重破坏国家利益和社会公共利益的危害后果,这时就需要国家主动行使公诉权进入强制追究。侵犯个人网络信息犯罪,即是在网络环境下的侵犯个人信息犯罪,也可参照此种模式,这种“以自诉为主,公诉为辅”的告诉方式,既切实尊重并有效保护了被害人的个人权益,体现了人权精神,又兼顾了国家与社会的公共利益。
三、建立豁免制度
如前所述,对侵犯个人信息的行为入罪是为了保护公民的基本人格权,但是,由于鼓励个人信息的交流有助于提高交易活动的效率刺激商业发展,帮助社会公共利益的实现和维护社会秩序的稳定,因此,不排除基于特定的公共利益需要或其他特定理由而出现侵犯公民个人信息的情况,此时,应该针对该类特殊情形建立豁免制度,使侵犯人不因其侵犯行为必然受到刑法的制裁。但是为了避免豁免制度在实践中成为为犯罪分子开脱的工具,需要对豁免制度进行严谨的设计,应严格限定公共利益或其他特定理由的范围。
(一)为了国家安全或者社会利益,需要使用或提供个人信息的;2000年7月,英国议会通过了《调查权力管理法案》的立法议案,同意通过立法对电话、网络通讯以及加密的网上信息进行监控,允许警察机关在需要的情况下,可以解开被监视者网络上的加密信息,包括个人银行账号密码等。(21)
(二)使用单位或个人在使用他人信息前,已经进行预先审批程序的:因其性质、范围、目的和处理技术,某些资料处理更容易侵害资料当事人的基本权利和自由,如致使个人无法行使某些权利、享受某些利益与缔结合同等。
(三)信息所有人进行了不法或严重不当行为,而信息使用者有必要利用信息所有人的信息来维护自己的权利。
(四)为了防止对任何人的健康的伤害或者损害,在紧急状况下要求的透露。特别是在对携带传染性病毒的犯罪嫌疑人的通缉和抓捕中,警方为避免更多的人遭受伤害,有必要向社会公布犯罪嫌疑人的感染等具体情况。
(五)对所有人相关信息公开之前已征得行为人同意,但所有人事后反悔,犯罪嫌疑人有证据证明之前取得所有人同意的。
四、实行网络实名制
在我国当前的网络环境下,实行网络实名制无疑是具有可行性的。首先,应建立健全网络实名立法制度。其实网络实名制在我国早有渊源,已颁布实施的一系列的规定足以构成一部专门的《网络实名管理法》。其次,实行限制性本人确认制。没有规矩,难成方圆,事物都是相对地存在的,任何一个社会中的个体都没有绝对的自由。如果将居民身份证管理系统与实名认证系统结合在一起,既可以明确绑定本人身份,又可减少因技术问题带来的巨大成本。
近年来,网络实名制在我国开始逐渐步入司法实践,自2011年12月以来,北京、上海、天津、广州、深圳等5城市试点推行了微博用户用真实身份信息注册工作,对打击网上违法犯罪活动、净化网络环境、强化网民责任意识、推动诚信社会建设,起到了积极作用。
2012年6月7日中国工业和信息化部发布了《互联网信息服务管理办法(修订草案征求意见稿)》,对实名制、网站准入条件、公民个人信息安全等问题做出了明确规定。意见稿明确了使用论坛、博客、微博客等互动服务的用户用真实身份信息注册的要求,规定在这个办法施行前已经从事提供由互联网用户向公众发布信息的服务,或者提供互联网信息搜索服务的,应当依照办法的规定办理许可手续;对网站规定了统一的基本准入条件;还规定互联网信息服务提供者、互联网接入服务提供者对用户身份信息、日志信息等个人信息负有保密义务,不得出售、篡改、故意泄露或违法使用用户个人信息。(22)
第一节 加强行业自律监管
“徒法不能以自行”,网络社会要做到有法必依,必须加强网络安全秩序的监管,对合法者给予充分保护,对违法者予以限制和惩罚。大量事实表明,对于互联网行业而言,网络生态环境已经发生极大的变化。在法律法规还不能及时到位和完善的今天,网络相关行业必须承担相应的责任进行自我监管。
(一)成立联合保护协会
成立由网站服务商、ISP、ICP(23)、IT公司等联合组成的行业个人信息保护协会,对申请加入协会的企业进行资格审查,只有制定了比较完善的个人网络信息保护制度的企业才准与加入,对不符合条件或者有其他违规行为的随时取消其会员资格。同时,还要保证该协会的独立性和非官方性,避免成为大企业的“跟班”或政府的办事机构。协会还可依协定制定出行业指引,该指引应主要包括以下两方面内容:(1)制定内部个人信息资料安全维护计划,保证个人信息资料在网络运作过程中的安全性。(2)要求各网站制定个人信息保护政策,并标识在网站主页的醒目位置。
(二)成立第三方认证机构
由商务部、信息产业部和个人信息保护协会联合成立第三方认证机构——个人网络信息保护认证机构,该机构可依职权对各网站制定的个人信息保护政策的执行情况进行监督、审查、评估和认证,并授权通过考核认证的网络运营商使用其认证标志。无论是否为协会会员都一律按统一标准接受评级认定的认证考察,根据网站实际情况进行高低不等的评估,不符合考评标准的企业不予认可,达到评级标准的准予使用相关的证明标识。(24)在一般情况下,受到评级证明的企业仍需每年接受考核,若考核结果为不通过,则会受到认证机构予以降低认证等级或取消认证资格的处罚。
(三)发展网络信息中介机构
网络信息中介机构的职能在于,一方面与用户签订信息资料运用及保密的相关合同,并向用户进行资料收集;另一方面根据签订合同的用户要求,代表用户有选择的向网络服务商提供个人信息资料,从而为用户提供其感兴趣的个性服务。(25)据了解,深圳拟设“深圳市互联网行业协会”来加强行业自律,除制定行业规范等基本职责外,协会还要开展行业调查,反映互联网信息服务提供者的要求;调解网站之间、网站与用户之间的纠纷,对网站违规行为进行处理等,这将是我国互联网行业自律监管具有积极意义的一次尝试。
第二节 注重引导网络伦理道德建设
(一)社会道德标准应成为首要准则
一个新生的社会事物出现之时,法律对此的反映往往是滞后的。网络的虚拟性、开放性在发展广阔的个人网络空间的同时,也滋生了许多现有法律无法涉及的问题。在缺少相关的法律予以规制的情况下,社会的道德标准就成为约束个人行为的首要准则。首先,高度重视对网民进行引导式教育。网络各参与主体在利用他人网络信息资料时应对该行为进行自我约束,以不侵害社会公德与他人合法权益为底限,以达到自由与法律的平衡。其次,建立责任自负的机制,对于故意利用个人网络信息实施危害行为的人,应要求其负起相关责任。与此同时,还必须依法规范网上言论。侵害个人网络信息而引发的网络言语暴力的形成源于虚拟和现实社会因素的综合作用,既有网络自身管理体制的不健全,也有现实社会中不良因素的影响。众所周知,网络的本质只是一个舆论平台,它本身并无情感无法发表任何评论,而操控舆论走向的往往是网民自身,只有提高网民的整体道德素养,引导其规范自身网上言论,才能创造宽容、开放、健康、有序的网络交流环境。
(二)建立新道德规范体系
网络世界是以基本数字“0”和“1”为载体构成的数据空间,它的数据化特征让网络使用者得以隐藏在数据背后而无需与其他主体进行面对面的直接交流。在此情形下,强调对网络使用者的自我道德约束是有着根本意义的。在现代社会,我们应根据传统伦理基础和发展中的网络环境,建立起一套可以自我约束网民行为、维护网络社会秩序的新道德规范体系,使人们在自我观念中自觉遵守伦理道德的基本要求,从而控制自己的行为。而在新道德规范体系的建设中,我国古代的儒家思想仍值得我们学习和借鉴。儒家伦理仁爱贵和的思想、自律的道德修养方法、德智双修的教育模式为网络伦理问题的解决提供了独特的视角。网络不仅是信息时代的产物,是高新技术成果,也是一种新文化的诞生,为了防止网络社会的混乱和异变,从个人观念上根本抑制不合伦理道德的行为,甚至是犯罪的发生,我们应该站在社会伦理道德为基础的出发点,建构网络社会应有的伦理道德规约体系。为此,应展开全社会关于网络伦理道德的深入研究和广泛讨论,相关教育从小抓起,逐步提高民众对于网络信息的基本认知和网络技术的基本学习,从而建立起较完整的网络道德体系,确立公民的自律意识和责任意识。只有树立了新的网络伦理观念,在此基础上建立的法律制度才能更易被认同和得以更有效的实施,从而有效减少因网络伦理意识的缺乏而产生的种种问题。
年取得中南财经政法大学法律硕士学位,现工作于广西桂林市临桂县人民法院。
来源:http://law.law-star.com/cac/3235091268.htm