2021Vol.34No.2 Journal of Guangxi Police College
文立彬
(南宁师范大学,广西南宁530001)
[摘要]大数据时代,个人信息已从生产力要素上升至关系国家安全要素的高度。然而,互联网企业滥用个人信息呈现泛滥且严重之势,不仅引发多种二次犯罪,还严重阻碍了我国数据产业的良性发展。为此,应剖析我国互联网企业滥用个人信息的现状,审慎借鉴域外立法经验,建议细化个人信息处理规则,赋予互联网企业数据所有权,引入企业刑事合规制度,以期为我国数据产业的可持续发展保驾护航。
[关键词]大数据;个人信息;滥用治理;对策
[中图分类号]D918[文献标识码]A[文章编号]2096-4048(2021)02-0020-06
DOI:10.jcxyxb.2021.0203
一、大数据时代互联网企业滥用个人信息的现实状况
在数据产业发展规模持续扩大的背景下,我
国网络黑产从业人员已超过150万,数据黑产链条已经形成庞大规模。个人信息作为数据黑产链条的核心,个人信息犯罪呈现逐年递增、分布集中、罪犯年龄偏低、服务业发案率高的主要特点”有研究指出,互联网企业滥用个人信息的刑事追诉率与自然人相比显著偏低,互联网企业滥用个人信息呈现“有恃无恐”的状态,这在互联网企业中尤为突出,并且呈现愈演愈烈之趋势[1]o有数据表明,公安部“净网2018”专项行动共侦破个人信息类案件5千余件,抓获犯罪嫌疑人1.3万余名。针对手机软件(以下简称“APP”)违法违规乱象,公安机关共清理不法APP3.5万余款,依法查处相关互联网企业104家。据最高人民检察院信息,2018年全国检察机关共起诉侵犯公民个人信息犯罪5271人,同比上升20.2%。中国消费者协会在2018年11月发布的《100款APP个人信息收集与隐私政策测评报告》指出,有91款APP 存在过度收集手机用户个人信息的问题,其中以“位置信息”“通讯录信息”“手机号码”的过度收集或使用最为常见。由此可知,我国在治理个人信息滥用的违法犯罪问题上取得实质进展,但这也反映出个人信息滥用行为的严重性。在互联网、大数据和人工智能相互融合的背景下,有必要针对互联网企业滥用个人信息的问题展开深入研究,为我国数据产业的有序发展保驾护航。
收稿日期:2020-09-30
基金项目:2018年度海南省社会科学研究资助项目(HNSK[YB]18-89);2020年度广西高校中青年教师科研基础能力提升项目(2020KY09001);2019年度海南省教学改革一般项目(HNJP2019-122)
作者简介:文立彬(1987-),男,广西南宁人,南宁师范大学法学与社会学院讲师,法学博士,主要从事刑事法学研究。
二、大数据时代互联网企业滥用个人信息的治理困境
我国数据产业的蓬勃发展得益于拥有庞大的数据库,但在数据产业发展前期衍生出的产业乱象,尤其是互联网企业对个人信息的滥用,依然是制约我国数据产业良性发展的消极因素。因此,有必要深入探究大数据时代背景下互联网企业滥用个人信息的治理困境,这将为最终完善对策的提出奠定可靠基础。
(一)我国大数据技术发展与个人信息保护的内在关联
大数据技术高度依赖于数据储量,个人信息的充分利用正是人工智能深入学习的关键环节。在网络环境中,互联网企业过度搜集、不当储存、越界使用、相互交换个人信息的情况屡屡发生,显著加剧了侵犯个人信息的状况。个人信息作为信息化社会和数字经济产业的生产力要素,个人信息的保护与流通已上升至国家安全高度。在维护个人信息安全的同时促进个人信息的流通是发展人工智能的关键环节。在个人信息的安全保障层面,滥用个人信息导致个人信息遭到非法获取、非法交易,使个人信息权遭受直接损害。因此,治理个人信息滥用是我国治理个人信息犯罪问题的关键所在。个人信息滥用呈现出高科技犯罪、有组织犯罪、跨国家犯罪和多次生犯罪的特点,这增加了个人信息滥用刑事治理的难度。在个人信息流通层面,秉持刑法谦抑性原则,探讨个人信息的单位监管责任和出罪化事由,将促进我国数据产
业的行业自律和落实互联网企业的监管责任。从大数据技术发展和个人信息保护的关系来看,我国大数据技术及数据产业发展势头强劲得益于较为宽松的个人信息保护策略。此外,我国现行个人信息滥用的犯罪刑事立法参照欧盟立法将防治个人信息泄露作为重心,阻碍了犯罪的追诉与惩处,应予以修正。因此,基于域内外不同国情特点深入剖析企业滥用个人信息的治理对策,具有重大的现实意义。
(二)我国治理企业滥用个人信息的现状分析
2009—2015年,个人信息滥用违法犯罪治理的重点工作是处理非法出售公民个人信息、非法获取公民个人信息的案件。2015年,《中华人民共和国刑法修正案(九)》修改和确立了“侵犯公民个人信息罪”,对个人信息滥用犯罪的刑事规制范畴进行了扩大,并且就不同的法定情节设置了有区别的量刑区间,贯彻了罪责刑相适应的刑法基本原则。2017年,最咼人民法院、最咼人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步明确了“情节严重”和“情节特别严重”的适用条件,加上公安部开展的专项整治行动,侦破了一批大案要案,因此侦破个人信息滥用犯罪案件数量在2017-2019年呈现显著增长趋势。发案地域主要分布在沿海区域,原因在于沿海区域聚集了数量较多的互联网企业,相应的黑产业链条也随之孕育、发展,并不断扩大其影响的半径。研究指出,自然人犯罪占绝大多数,法人犯罪追诉较低,仅占不到1%。从司法判决中可知,一些企业员工为提升销售业绩而非法买卖和使用他人个人信息,而作为最终受益的企业则几乎不需要承担责任叫互联网企业往往将责任归结于员工个人,这导致个人信息保护的法人监管责任流于形式,故有必要深入探讨企业监管责任的问题。
(三)我国治理企业滥用个人信息现象的困境剖析
其一,在涉及诸如垃圾信息、骚扰电话、身份假冒和滥用等最为突出的个人信息或数据滥用问题上,我国立法呈现出断层现象。这导致公民将个人信息的滥用问题归咎于个人信息的泄露或公开,并把解决问题的希望寄托在严格的个人信息源头保护上。对此,完善立法的方向应是防治个人信息滥用,而不是防治个人信息的非法收集或泄露。
其二,个人信息分类滞后、互联网企业数据所有权未明确,以致于阻碍了个人信息的流转和利用。我国现行的个人信息保护立法多借鉴欧盟的立法模式,对个人信息的分类标准仍停留在欧盟1995年制定的《欧盟个人数据保护指令》(下文简称“95指令”),即将个人信息分为直接识别型和间接识别型。研究指出,即使是匿名化处理过的个人信息也能够被用以识别具体个人,完全不可识别的个人信息仅存在理论可能,因此认为区分个人信息的可识别性意义不大叫在欧盟的个人信息保护立法模式中,将个人信息自决权作为保护法益,强调个人对本人信息的控制权和政府对个人信息安全的保障。在美国的个人信息保护立法模
2021Vol.34No.2 Journal of Guangxi Police College
式中,则将个人信息保护纳入隐私权中,在个人信息保护中强调政府干预的最小化,一方面通过公、私部门法律对个人信息保护加以规范,另一方面依靠行业自律实现个人信息的有序流转叽我国网络安全法
侵害公民个人信息依据个人信息的可识别程度,将个人信息分为可识别信息和不可识别信息,立法思路参考自欧盟“95指令”,重点防范个人信息的被识别。对互联网企业而言,通过对个人信息的收集、加工、使用形成数据,才是企业的核心竞争力,因此立法重心应倾向于对互联网企业的数据确权与追责方式。此外,以强调个人信息控制为特的欧盟模式在我国难以实施,原因在于其与我国国情脱节。我国目前人工智能产业和数据产业得以迅速发展的主要原因之一在于较为宽松的个人信息保护政策。在大数据时代,信息传播的成本相当低廉,而控制信息的成本则上不封顶。因此,以控制信息为宗旨的欧盟立法模式在我国缺乏持续性和操作性。
其三,APP滥用加剧了对个人信息的侵犯,相关的监管责任有待落实。在传统经济下,用户有不同意的选择,但在大数据背景下,交易规则变成了一种“硬性规定”,若用户拒绝某些权限的申请,则无法正常使用该APP。对用户而言,以个人信息换取便利属于无奈之举。APP滥用个人信息的背后,反映了以国家规制为主的治理模式存在诸多弊端,进而有必要将单一的治理模式向多元化的治理模式转变。
三、域外国家治理企业滥用个人信息的有益经验及理性反思
欧美国家在数据治理层面耕耘数十年,出台的法律法规在全世界范围内产生深远影响,故有必要进一步研究域外国家在治理企业滥用个人信息方面的有益经验。
(一)以刑事合规、行业自律为特点的美国治理模式
其一,建立企业个人信息监管的刑事合规制度,从企业内部形成个人信息保护屏障。源于美国的企业合规制度旨在通过激励性的内部监督来弥补外力监督的不足,其包含的犯罪预防措施、犯罪应对方法和报告程序已形成体系,被誉为“惩治经济犯罪的刑法替代模式”。对于涉及个人信息相关的企业,刑事合规制度明确规定了个人信息的收集、使用和流转制度,落实个人监管责任,以确保个人信息被用于合法合规的途径。
其二,依靠行业自律,在不同行业间构建个人信息保护屏障,同时尽量避免国家公权力的介入。美国将市场经济视为社会的重要基石,在此之上重视将个人信息安全保障依托于行业自律规范和技术保护。美国在个人信息保护层面亦遵从行业自律,注重自律规范具有的灵活性和敏感性,允许并鼓励涉及个人信息业务的企业就个人信息的流转和保护寻求利益平衡机制。同时认为个人信息保护最为有效的方法不是严防死守个人信息泄露,而是放权给信息主体自行采取行动,在市场经济中寻求个人信息利用和保护间的良性发展路径。
(二)以严格立法、严密防控为特的欧盟治理模式
其一,欧盟通过修订法律,将严重的个人信息滥用行为归入法律规制范畴。个人信息自决权在1995年《欧盟个人数据保护指令》中得以确立,并经由2016年欧盟《通用数据保护条例》(GDPR)加以完善。欧盟的个人信息自决权源于人格权,是人格权在个人信息层面具体化的表现。欧盟治理模式对个人
信息实施事前全面一体的保护,较为容易成为信息流通的障碍叫以严格立法为主导介入个人信息保护,说明了欧盟治理模式异于美国,欧盟政府被视为信息个体的保护者,而非市场原理下的第三方。进而,在个人信息安全保护层面,欧盟各国政府多是承担积极应对的角。当信息保护拥护者认定个人信息自决权为公民的基本权利时,个人信息的流通价值和安全价值则较难协调,因此在欧盟模式下的个人信息保护立法呈现出规范详细、保护严密和责任严格的特点。随之而来的是个人信息商业价值利用率的降低和个人信息管理成本的上升。面对同样问题,美国则倾向于采用成本效益的分析模式来寻求协调发展之策。总之,欧盟通过严格个人信息立法维护法律权威,促使企业认真遵循规范,推动企业重视个人信息处理方式的合法合规。
其二,对个人信息处理者、控制者和处理数据
全流程,GDPR制定了安全保护和防控条款。要求企业在着手数据从处理之前进行相关的风险评估,发现处理内容存在哪些问题,进而进行有效的数据风险防控。同时,GDPR规定企业应设立专门
的监管人员负责监管个人信息利用行为,此项规定被学者认为是统一监管与自律监管的结合问。在处理数据的过程中,GDPR要求企业遵循数据匿名化和数据最小化原则等原则,以确保处理过程中的数据安全。数据经过匿名化处理,丧失了可识别性,企业可以依据自身意识来处理此类数据。数据最小化原则要求企业只收集并储存达到其目标的最少量的个人信息,相反,过多的数据量不仅会增加企业的信息管
理成本,还会增加企业数据泄露风险。在数据处理后的阶段,GDPR第32条规定数据相关企业应具有数据恢复能力,一旦发生数据泄露事件,有一套完整的应对方案,并且监管机构也会及时介入oGDPR作为“最严数据法”,其防治个人信息滥用的方式对世界主要国家的个人信息保护立法产生了重要影响,该立法不但唤醒了欧盟民众对个人信息流转方式合法化的重视,而且对企业合规制度的实施和完善起到了强有力的推动作用。
(三)我国法人犯罪法律与域外立法经验的比较
美国通过将个人信息安全监管义务上升至刑事注意义务,促使企业制定和落实内部管理制度,从而降低企业刑事风险和节约国家司法成本。欧盟通过立法详细规定了个人信息全流程的操作要点和法律责任,推动企业重视个人信息处理方式的合法性。欧盟成员国在各国刑法中规定了企业滥用个人信息的犯罪。其中,法国较早和较全面地规定了法人犯罪。如《法国刑法典》规定了因数据收集或信息处理产生的人之权利罪,即掌握个人数据信息的任何人,在其记录、分类、传输或其他各种形式的信息处理过程中,擅自改变法律、条例或者国家信息技术与自由委员会批准信息处理之决定对信息规定之用途的,或者擅自改变处理前预先声明之信息用途的,处5年监禁并处罚金30万欧元。并且上述犯罪可由法人构成。此外,该法还以专节明确规定了法人犯罪的刑事责任,只要机构或者代表是为了法人的利益实施犯罪,就要同时追究自然人正犯、共犯和法人的刑事责任叫在刑责减免与企业合规的关系上,作为使用大陆法系的法国引入了美国式的暂缓起诉协议制度,并为企业合规确立了刑法上的激励机制[8]o在德国,企业合
规计划在制裁裁量中发挥着关键的作用,有效的企业合规计划能够作为一个减轻情节在制裁裁量中加以权衡叫需注意的是,德国法规定公司不能被处以刑罚,而只能被处以,企业合规的意义在于减免刑事责任㈣。在中国,个人信息滥用的犯罪立法具有先刑后民的特点,因此从刑法角度考查企业滥用个人信息状况具有合理性。我国刑法规定,单位犯罪(的主体)可由公司、企业、事业单位、机关、团体构成。个人信息滥用犯罪是指刑法第二百五十三条之一规定的侵犯公民个人信息罪,该罪明文规定了可由单位构成。依据我国刑法相关规定,企业只能以作为方式构成个人信息滥用犯罪,即要同时满足两点要求:一是侵犯公民信息行为是经单位全体成员或单位决策机构集体做出决定的,排除了单位中的某个人以个人名义擅自做出决定的情形;二是侵犯公民个人信息所得非法利益归单位所有。在司法实践中,一些企业往往为牟利而放任员工实施侵犯他人个人信息的违法犯罪行为,在案发后多将行为责任归结于员工个人,以致于该罪适用于企业的情形甚少,未能起到有效预防单位犯罪的作用。我国现行个人信息滥用犯罪立法受欧盟立法影响,重在防范个人信息泄露,这与国情需求差之甚远。受益于较为宽松的数据政策,我国数据产业在近年来得以迅速发展,而个人信息的过度收集和越权使用已成为我国数据产业优化升级所面临的最大障碍。对此,国内一些知名企业已在完善互联网企业内部的个人信息保护细则,如腾讯公司在2018年发布的《腾讯隐私保护白皮书》中指出,已经制定了隐私保护制度,并将数据保护策略制度化、数据管理流程规划化,通过数据加密、数据脱敏、去识别化等技术手段为数据安全提供全流程保障。解决个人信息滥用的普遍性和严重性问题,应重点把控规模以上互联网企业的数据安全风险,不仅在刑事责任分配上可以审慎借鉴美国经验,将互联网企业内部监管制度的制定和执行情况作为刑事责任有无及高低的标准,而且也可学习欧盟立法经验,落实数据处理原则和互联网企业数据所有权。
四、治理互联网企业滥用个人信息的可行路径
站在“发展与安全并重、保护与流转并举”的个人信息保护立法基本立场,并审慎反思域外有
2021Vol.34No.2 Journal of Guangxi Police College
关经验,提出以下两方面的优化路径。
(-)细化个人信息处理规则,赋予互联网企业数据所有权
人工智能技术的发展,促进生活便利的同时亦带来信息过载和数据安全等问题。新科技带来的人为风险危害已经超过自然风险危害,以制度形式把控新科技、新技术的负面效应刻不容缓。通过信息处理规则的细化、互联网企业数据所有权的明确,引导数据产业朝良性方向发展。在处理个人信息层面,互联网企业首先应遵循数据最小化和数据匿名化原则,把握好用户数据利用和保护之间的关系。数据最小化要求互联网企业明确收集和使用个人信息的界限。数据匿名化则要求互联网企业实现数据的去识别性,降低互联网企业的数据滥用风险和拓宽数据盈利空间,有助于“数据产权制度”的构建。在实践中,互联网企业应就自身的数据匿名状况、数据交易方再度识别个人信息的风险进行第三方评估,以确保数据所有权的合法使用和数据交易风险的可控性。同时,公权力机关应重点监管和打击个人身份再识别行为,即通过数据使用许可协议,限制个人信息的使用与披露,在发现违反使用许可协议时,依行为性质追究信
息再识别行为人的法律责任。此外,面对APP滥用个人信息的严峻形势,我们不仅应正视“知情一同意”原则的形式化弊端,而且应设置“知情一同意”原则的豁免规定。一方面,通过可期待性修正“知情一同意”原则,在立法上预留弹性空间,从而提升司法实践的可操作性。简言之,即使用户阅读并同意了APP的隐私协议,但如果APP 运营商越权收集和使用了用户个人信息,属于违背用户个人信息运用的合理期待,依然可以被认定为侵犯个人信息行为并须承担相应责任。另一方面,推进数据活动正当性事由的多样化。全国信息安全标准化技术委员会发布的《信息安全技术个人信息安全规范》(章节5.4)规定了在特殊情况下,可以不征得同意即可合法收集个人信息,符合个人信息权法益的价值取向,体现了大数据时代互联网企业对智能产品深度开发和应用的真实需求,将有助于我国数据产业和人工智能技术的发展。然而,该规范规定的无需征得同意的特殊情形相对有限,“知情一同意”原则过度限制了个人信息的利用,因此有必要逐步扩大个人信息收集、使用和转让过程中的正当化事由的范围。
互联网企业在对个人信息进行上述处理后,可以豁免某些相关义务,这意味着拥有这些数据的互联网企业不必再征得用户的同意,就拥有了占有、使用、转让数据并从中收益的权利,即享有数据所有权。在大数据时代,个人信息的广泛搜集和深度发掘有利于实现更为精准的预测,这对于互联网企业,甚至国家而言都是核心竞争力。个人信息权法益的确立,本质在于将个人信息所包含的人身权、隐私权和财产权进行综合保护,立法宗旨也从单一保护转向保护与利用兼顾叩。因此,赋予互联网企业数据所有权,允许其利用和保护经合法处理的个人信息,在法律允许的范围内实现个人信息经济效益的最大化,这有
利于互联网企业完善自身数据保护制度和技术,更有利于数据的深度发掘和依法流转,促进数据产业的良性发展。
(二)引入企业刑事合规制度,激励企业强化内部管理
合规管理制度源于风险社会理论,旨在降低互联网企业管理风险和积极影响刑事责任承担,最终作用于企业商业价值的提升。相较于传统的犯罪治理模式,企业刑事合规制度体现的合作治理模式,意味着企业内部自我管理与外部治理的合作,将责任落实至个人,克服传统模式的单一外部规制和效率低下的弊端。从立法实践来看,我国刑法第二百八十六条之一规定的拒不履行信息网络安全管理义务罪,说明了立法者认可采取刑法手段推动企业内控的方式,反映了刑事合规的部分理念。在国家管理者看来,企业刑事合规制度的实施意味着司法效率的提升。网络安全法的颁布施行,为网络服务商提供了行为指引和责任分配,但行政处罚责任的威慑力限制了其预防个人信息滥用作用的发挥。因此,有必要通过刑事立法方式有效促进企业履行内部管理义务。具体而言,企业的刑事合规与责任承担、注意义务违反等问题存在内在关联,以刑罚激励企业自我规制是可行路径。简言之,通过管理过失和刑罚激励,赋予特定人员保证人义务等方式,对企业合规管理实现缜密规划问。企业落实合规管理,举证说明自身已经尽到了合理的注意和结果回避义务,不仅可以作为刑罚减轻的依据,还可以作为阻却刑罚的事由。
企业刑事合规制度在我国的本土化路径上还应当注意以下三方面的问题。其一,企业是否落实
发布评论