民法专题

公民信息权的立法保护探讨

日期:2022-09-28
摘要:随着信息时代的发展,信息的交互已经越来越普及,随之而来的是公民信息的泄漏所带来的不便。因此,产生了一项新型的具体人格权——公民信息权,这项权能对于构建和谐社会、保护公民的生产生活秩序具有重要意义。本文论述了什么是公民信息权以及当前对于公民信息权的立法现状,并分析了公民个人信息权在法律保护存在问题,在此基础上,提出对公民信息权立法保护的完善措施。
关键词:公民信息权  保护
一、公民信息权概述
公民信息权作为一项具体权利是2017年出台的《民法总则》才予以明确下来的,但不可否认,在载入民法之前,公民信息权在事实上已经存在了很长时间了。但究竟什么是公民信息权,即使在写进民法之后,依然有着很大的争议,各方对于公民信息权的基本属性还存在不同的观点。
公民个人信息在学理上主要存在三种观点。观点一,一切与公民个人相关的信息,而且只要数据资料和信息与公民个人存在一定的联系,均可以认定为公民个人信息。这种界定方式称为关联性界定,它将公民信息界定的较为广泛。观点二认为,公民信息是指公民不愿为外界所知悉的自身信息,与隐私权有些类似,因此也称隐私型界定。观点三,将公民信息认定为与公民个人具有明显身份特征,只要能够通过个人信息将特定人识别出来的都属于公民信息,因此又叫识别型界定。
尽管学界对公民个人信息的概念有了大致的界定,但是仍然缺少一个令人信服,可以依靠的解释,直到20174月之后最高人民法院和最高人民检察院通过了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》才予以了明确。明确的说明了公民个人信息的范围,任何资料或者信息可以证明一个人的身份,或者可以表现出不同公民特殊身份,如身份证号,银行卡,家庭住址,工作单位,资产状况等等。[]
通过这个解释,我们可以清楚的看到我国司法部门对于公民个人信息的界定广泛且较为详细。首先,记录公民信息需要有载体,要求是可以记录保存的实体或者虚拟的介质。信息不同于物质,其价值体现于其所传达的内容,而信息的传递和保存均离不开载体的存在,因此,认定公民个人信息首先要找到载体。其次,这类信息内容不能是普通的内容,包括但不局限于司法解释中所规定的情形。这类信息都有着一个共同的特点,就是其内容都指向特定的自然人,反应了不同人的特点,不同人的特殊的生活方式,依据“等者等之”的原则,在认定其他公民个人信息的同时,同样也要遵循这样的标准。最后,可以根据具体信息确定到具体的人,可以是直接单独的识别,也可以是与其他信息结合从而指向特定人。为了更好的保证公民的安全,公民在社会生活中有权保证自己的信息安全,当特定具体的人的信息权遭到破坏时,公民的信息权益才需要被救济,而不特定多数人的信息遭受危害时,则应当视具体情况,以不正当的方式来盗取他人在网络上的个人信息应该受到法律的制裁。
尽管“两高”对公民个人信息的范围予以了较为明确的界定,但这也只是在办理刑事案件中才能予以适用,若在其他部门法中能否直接适用这一规定呢?笔者认为肯定是不能的,因为刑法及其司法解释制定的目的是为了保护法益,对不法行为人进行特殊预防,对普通公民进行一般预防,而其他各个部门法均有其存在的理由和特定的目的,如果直接适用这一司法解释,必然会导致部门法之间的不和谐。虽然不能直接适用,却值得借鉴。从这一司法解释可以看出,“两高”对公民个人信息的界定偏向于观点三,即识别型界定。因此,根据“两高”出台的这一司法解释,笔者通过借鉴将公民个人信息的主要内容归纳为:特定个体的专有个人数据,具有明显的、特殊的个人身份特征,在一定程度上,能够通过分析这些特定个人资料对特定人员进行识别和辨认。
二、公民信息权立法保护的现状
在互联网时代,信息的传递更加方便,但是个人信息被侵犯的可能性也随之加大,建立公民个人信息权保护机制越来越成为我们面临的重大问题。从现有的法律体系来看,对侵犯公民个人信息权的行为,主要散见于民法、行政法和刑法之中来予以规制和调整,具体体现在对公开公民信息条件的限制和对侵犯公民信息行为的惩罚两个方面。从中可以看出,对于公民信息的保护,我国并没有专门的法律。虽然在2003年我国就起草了《公民个人信息保护法》,2005年就已经送审,但如今仍然没有出台。[]但是,与此相反的是,在《民法总则》第一百一十一条中规定:“自然人的信息安全受到法律的保护,任何人都不能采取任何方式去盗取或者未经同意使用或者公布他人的信息,应该通过正确的方式获取,但是不得随意修改,传输,出售个人信息。”[]这个规定也更加明确的保护了公民个人信息权。当然,这也只是私法上对公民个人信息权的保护现状,那么,目前我国对公民个人信息权保护在公法中的现状如何呢?笔者认为,主要可以从以下几部法律文件中得以体现。
《政府信息公开条例》第二十三条中规定了在政府信息公开的过程中,如果涉及到公民个人的信息时,影响到个人的利益,政府需要征得公民的书面同意后才可以公开。公民如果不同意公开我们不能强制公开。但是如果不公开会对公共社会造成巨大的影响时,在行政机关需要及时告知相关人员所需要公开的内容和公开的理由后再能公开。强制公开体现的是对公共利益的一种保护,也是行政合理性中比例原则的一种体现,政府在强制公开信息时必须要充分考虑其利弊关系,若果是因为公共的利益而损害了个人的信息,一定要权衡两者之间的关系,尽可能的减少产生的负面影响。[]这种做法也最大限度的保证了公民信息的安全性,最大程度的尊重相关人员的想法,强制公开为例外。此外,《政法信息公开条例》第十四条规定:“任何人不得以任何方式去了解公民的通信信息。除了因为公民影响到国家和社会的安危时,公安机关,司法机关在相应的法律规定下,持有相应的调查资料进行检查外,任何人任何单位都不得使用任何理由或者方法对公民的通信信息进行调查。”[]表现我国在管理公民个人信息中的权利义务以及相关法律责任。但是,这一条款仅仅是一种禁止性规定,当被违反后并没有明确规定需要承担何种责任。当然,对公民个人信息权的规制与调整并不是只有《政府信息公开条例》这一部法法规,其他法律中也存在少量条文对公民个人信息有所涉及。
其次,在诉讼法领域中也存在对公民个人信息的保护。在我国民事诉讼审理时,一般不进行不公开审理。在审理民事纠纷案件中,绝大多数是允许公民旁听、媒体报道的,但也存在一些特殊情情形,有时为了对当事人造成负面影响,在当事人不同意公开审理时,我们尊重当事人的意愿,进行不公开审理。我国《民事诉讼法》第120条明确规定:“我国在审理民事案件时,对于不涉及国家的隐私和个人隐私的案件应该公开进行审理;对于离婚案件或者涉及到商业机密的案件,可以根据当事人的意见考虑是否公开。”[]在法条的解释中可以明显的看出来,我国在有关个人信息的案件,若果当事人不想公开审理时,应该做出相应的解释,按照相应的程序申请保密。另外,不仅民事案件如此,刑事案件也相同。这也是最大限度的保证了公民个人信息隐私,避免在未来的生活,工作,学习中产生更多不利的影响。
此外,《刑法修正案(九)》对于盗取或者出售他人的个人信息也将会受到法律的制裁,接受刑事责任,这个条文是针对近年来高发的信息违法行为,为保护公民个人民主权利,而制定的打击犯罪的法律规范。但引入“侵犯公民个人信息罪”之后,在如何具体适用条文中所表述的行为及情节时,还存在着不完善之处。刑法的不完善将使得刑法司法实践在关于侵犯公民信息罪在定罪、量刑时常常陷入困惑或无所适从,这不仅表现于对应当打击的侵犯公民信息行为的“力不从心”,还包含对情节轻微危害不大的行为的“矫枉过正”。[]于是“两高”于2017年出台了《侵犯公民信息犯罪解释》,进一步细化了针对这类犯罪的认定依据,解释从犯罪的内容、数量、犯罪所得和造成损失等情节,细致的进行了阐释,于这类犯罪,已经逐步明确化、具体化。
三、公民信息权立法保护存在的障碍
上文对公民信息权立法保护的现状进行了大致梳理,可以看出,我国在民事、行政以及刑事领域,均对公民个人信息权采取了保护,重视程度不言而喻。但是,对于公民个人信息的保护并不是十分完善的,仍然存在诸多问题,在立法领域的保护尤为突出。下面笔者将从如下几个方面来探析公民信息权在立法保护中存在的障碍。
(一) 公民信息权界定不明
公民信息权如果界限不明,往往会导致立法保护的无所适从,进而导致相关部门无法对公民信息作出准确的监督和保护。一些不值得法律保护的公民信息或本不应保护的公民信息,进入司法机关的视野,白白浪费了宝贵的司法资源。尽管一些法律对于个人信息的规定进行了完善,明确了它所涉及的范围,但这也仅仅针对的是刑事案件采取这一标准,在民事和行政领域仍然属于空白。因此,明确公民信息权的法律边界,意义非凡,在保护公民的个人信息时起到了至关重要的作用。
(二) 政府部门权责混乱
在互联网时代,公民的个人信息往往处于裸露的状态下,许多人为了谋取暴利,不惜铤而走险,盗取他人信息进行一些非法活动,不仅侵犯了公民的个人信息权,还严重危害了他们的人身和财产权利,徐玉玉案就是最好的例证。20168月,刚刚考入大学的徐玉玉接到了骗子打来的诈骗电话,因为骗子准确的了解到了徐玉玉的各种信息,从而获得了徐玉玉的信任,对于一个刚刚踏入社会,经验不足的年轻女孩并没有考虑那么多,把仅有学费打入了骗子提供的账户。当他发现自己被骗的时候已经来不及悔恨,她的内心是非常难过,在警察局报过案后,走在回家的路上,可能是因为伤心过度,或者是不能接受这么大的打击的原因,她最终还是倒下了,就这样一个年轻的生命在她即将踏入大学校门那一刻离开了。案发后查明,诈骗嫌疑犯团伙陈文辉等人正是从黑客杜天禹手中买到徐玉玉的个人信息,才使得诈骗得手,悲剧发生。最终也因为他非法盗取出售公民的个人信息而落入法网。[]在我们伤心难过的同时,是曾想过造成这种悲剧的原因何在?笔者认为,其中最主要的原因就是政府部门权责混乱。我国缺少专门的机构和人员去管理和监督公民的个人信息,政府部门之间权责尚不明确,有时还会出现重叠和空白现象。加之许多政府部门行政不作为,对侵犯公民信息的行为往往睁一只眼闭一只眼,互相推诿,不愿承担自己的职责,只有当事件影响足够大时才开始介入调查。当前我国享用监督权的政府部门不多,但其职权分配上却十分混乱。例如银监会在《银行业消费权益保护工作指引》中规定银行业金融机构不得在未经银行业消费者授权或者同意的情况下向第三方提供个人金融信息。人社部、财政部两部委办公厅在《关于在就业补助资金使用信息公开中进一步加强个人信息保护的通知》指出,各地务必高度重视,将个人信息保护与资金规范管理、信息公开公示等工作放在同等重要的位置上考虑,处理好政府信息公开与个人信息保护的关系。教育部在《关于全面清理和规范学生资助公示信息的紧急通知》中要求全面清理和规范学生资助公示信息,发现仍存在信息公示问题将严肃追究相关人员责任,并予以通报。此外,工信部在《电信和互联网用户个人信息保护规定》中规定,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
从上述部门出台的规章和规范性文件中不难看出,政府部门在对个人信息保护上都仅仅是针对特定群体和特定范围(如银监会保护的群体只有银行业消费者,教育部针对的主要是学生,工信部保护的主要是网络用户)。各部门之间均有权在自己的职权范围内对侵犯公民个人信息的行为进行监管,但监管效果并不理想,经常出现多个部门过度实行自己的监督权或者相互推诿两种极端现象,从而导致公民个人信息权在公法保护上出现障碍,无法更好的保证公民信息在这个网络时代不被非法分子盗取。
() 法律法规体系尚不完善
随着网络全球化的到来,信息技术也在不断的提高,它对我们生活、学习和工作的方方面面都产生着影响。我们在享受信息技术带给我们便利的同时,如何去保证公民个人信息也是我们需要关注的热点问题。我们清楚知道,只有通过法律强制力才能解决公民个人信息被侵犯的现象。但是我国现有的法律体系中对公民个人信息的法律条款并不齐全和完备,散落于各种法律、法规和部门规章之中,而且大多是针对特定行业或领域所作的规定,保护范围不够广泛,惩罚力度也完全不够,在刑事和行政领域体现的尤为突出。
以刑法为例,为了减少泄露公民信息的行为,增大处罚力度,2009228日《刑法修正案(七)》第7条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”;此后,2015829日《刑法修正案(九)》第17条又将上述两罪修订为一个“侵犯公民个人信息罪”;201758日最高人民法院和最高人民检察院又颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。上面的法律对于公民个人信息进行了进一步的保障,但也存在一些缺陷。问题一,只有当“情节严重”时,刑法才能予以调整和保护,当对社会没有造成恶劣的影响,情节并不严重时,将不再适用刑法的相关规定了。这不禁让我想到了徐玉玉案,倘若徐玉玉内心足够强大,在学费被骗走之后并没有因此死亡,或者说徐玉玉十分机智并没有被骗走学费,那么,对出卖徐玉玉个人信息的不法行为就不再适用刑法的相关条款了?在确定罪与非罪的问题上立法上有待进一步完善。问题二,对于公民信息的属性法律部门并没有给出明确的解释,并不清楚他到底属于人格权或者是属于财产权,或者是属于其他的权利?相关部门并没有作出解读,而是避而不谈。我们知道,权利属性的不同,对公民个人信息的保护方式也就会存在差异,进而也会影响该项权利能否得到更加圆满的保护。
此外,行政法规和部门规章中也存在诸多缺陷。第一,行政法规和部门规章中涉及公民个人信息方面的许多条款,都仅仅只是一种禁止性规定,当被违反后并没有明确需要承担何种责任,《政法信息公开条例》第十四条就是最好的例证。基于“法无明文规定不可为”的行政原则,行政机关面临侵犯公民个人信息的行为就显得有点束手无策了,没有法律后果的保护条款就如同没有牙齿的野兽,看似严苛,实则形同虚设。第二,大多部门规章中有关公民个人信息方面的条款往往只针对特定行业或领域,虽然对于公民个人信息实施保护,但是保护并不是十分完善的,经常出现交叉重叠或空白的现象,这对于公民信息的保护是存在弊端的,可能会使不法分子钻了空子,不利于我们的保护。
四、公民信息权立法保护的完善
在这个互联网发展迅速的时代,各方面的信息都在网上流通,但是网络信息的流通给人们带来许多方便的同时,也让我们显得无所适从。社会的发展和进步决不能以牺牲公民个人信息为代价,相反,在信息发达的时代,保护公民个人信息愈发重要。前文笔者对公民个人信息权公法保护的现状以及障碍进行了剖析,针对这些问题提出自己的完善建议,期望能在公民信息保护领域作出力所能及的贡献。
(一) 明确个人信息的法律属性
关于公民个人信息的法律属性,学界存在主要存在三种观点,第一种是财产属性,即将公民个人信息视为一项新型财产,随着市场的需要,个人信息可以在大数据时代的催化下逐步成为交易对象,使其具有一定的商业价值;第二种是人格属性,即公民个人信息不但包括个人数据,也包括他人隐私,具有一定的个人利益,当这些个人利益被加以利用和处理时,极其容易造成侵害个人信息的行为出现,损害了自然人的隐私利益,扰乱了公民的生活和工作。对于非隐私部分的个人信息的侵害,同样会对自然人专属的支配权利造成影响,因为这些非隐私部分的个人信息仍然专属于自然人本身。这些都说明,个人信息体现着人格利益,具有人格属性。[]第三种观点是既具有财产属性又具备人格属性,即个人信息兼具精神价值和财产价值两种维度,这就使得个人信息具有自身较为独特的法律属性。[]笔者支持第三种观点即公民个人信息权兼具财产和人格双重属性。现实生活中,我们能够通过各种信息来确定具体个人,与此同时,每个人都有自身独特的信息特质。而这些以数据、资料形式呈现出来的个人信息是存在人格利益的,因此个人信息是具有人格属性的。此外,在互联网时代,个人信息已经被视为一种极具价值的资源。它在带给社会效率的同时,也促进了信息产业、技术的发展,在不断商业化的同时,也不断财产化。因此,个人信息也具有财产的属性。
综上,立法者在制定关于保护公民个人信息法律法规时,应当明确个人信息的法律属性,只有这样法律法规的制定才会更加科学和完善。
(二)制定专门的《个人信息保护法》
在法学领域,公民个人信息保护成为了众多部门法研究的对象,在公法领域尤为突出。在众多的法律规定当中,随着社会的发展和进步,对于公民信息的法律规范的完善是调整的最多的,但大多只是在各个部门的职权范围内针对特定领域和特定行业制定的,没有体系,经常出现交叉重复和空白两种极端现象。进而导致政府部门权责混乱,行政不作为或行政权力过度行使现象时有发生,对于保护公民个人信息是没有好处的,可能会经常出现不利的因素。正如拉伦茨说过,“这些规范并不是单独的存在,他们内部都有着相互的联系。”[]因此,组织一个相互合作,分工明确,权责清晰的个人信息法律保护的框架体系是互联网时代下公民个人信息保护的必然要求。在信息产业高速发展的时代,社会分工愈发明确,立法者应当将各个部门法甚至程序法中的相关规范整合在一部专门的法律规范中,在法律的基础上更好的对我国公民个人信息实行更好的保护。基于我国当前的立法现状,对我国公民个人信息保护法律的出台是非常有必要的。我国在2003年就已经起草了《个人信息保护法》,但由于各种因素至今为止仍没有出台。尽管阻力很大,但是《个人信息保护法》在我国立法体系中的地位以及现实意义是不言而喻的,它的出台对打击、制止非法收集、贩卖、盗窃和使用个人信息的现象具有巨大作用,对保护公民个人信息方面的合法权益也是不言而喻的。此外,尽管我国刑法已经对公民信息权保护予以了较为完善的规定,但是只有在不法行为人侵犯公民信息权情节足够严重,侵害的法益值得科处刑罚时才能适用。换言之,刑法保护是公民信息权不被侵害的最后一道防线。仅仅依靠刑法对公民信息权进行保护是远远不够的,在尚未触犯刑法底线时,有必要对侵犯公民信息权予以民事和行政上的保护。因此,制定一部专门的《个人信息保护法》是非常必要的。
但是在制定专门的《个人信息保护法》之前,有必要先明确个人信息的权利边界,即公民个人信息予以明确的界定。前文已经提到关于公民个人信息权的界定至今仍然不够明确,我国目前也仅仅只是在刑事领域这块对公民个人信息予以了明确的界定,但, 在民事和行政领域仍然空白。有学者主张,民事和行政领域也可以适用刑事领域关于公民个人信息的定义,很明显,这种主张肯定是存在问题的。刑事案件关于公民个人信息的界定是为了更好的定罪和量刑,避免在问题发生时,没有相关法律的规定,法院无法依法进行案件的审理,违反罪刑法定这一基本原则。刑事领域关于公民个人信息的定义与民事和行政领域是存在本质区别的。因此,在其他领域明确公民个人信息权的法律边界和具体内容,让公民依法享有个人信息权,充分保护他们的个人信息方面的合法权益是十分必要的。考虑到在大数据时代,数据数量庞大、种类繁多、形式多样的特殊背景下,笔者认为采用识别型界定的方式定义个人信息也是最恰当的。因为隐私型界定范围太窄,如果个人信息不是隐私,而自己又愿意分享出来或者同意他人分享出来,是可以允许自我披露以及允许他人披露;此外,关联型界定范围又太大,有些信息片段、信息碎片也许也可属于个人信息范畴,但是不管从信息本身价值来看,还是从法律保护的角度来看,未必具有保护的价值。[]
()公民信息权刑法保护的立法完善
我国《刑法修正案(七)》和《刑法修正案(九)》有关侵犯公民个人信息权犯罪的增设、修改和补充是值得肯定的,它不仅是我国在保护公民个人信息权方面的巨大进步,同时也是我国“尊重和保障人权”这一宪法原则的重要体现。但是,两部刑法修正案在公民个人信息权的可救济性上也存在实际难题,我们应该更加深入的考虑和研究这一问题,提出合理的解决方案。我认为对于公民信息的法律体系的完善应该考虑到以下的几个方面。
第一,将刑法与行政法规进行协调和衔接。处理好刑法与其他行政法规之间的关系,首先应明确刑法保护中罪与非罪的边界。刑法之所以先设立对公民信息权的保护,是因为我国刑法明确规定了罪刑法定原则,即“法无明文规定不为罪”、“法无明文规定不处罚”。换言之,如果刑法对公民个人信息权未作规定,则不能对侵犯公民信息权的不法行为科处刑罚。其次,从犯罪性质上看,侵犯公民个人信息的犯罪行为必须以违反相应法律法规为前提,如果没有违反相应的法律法规,也就不可能存在犯罪的问题。也就是说,行政的违法性是其刑事违法性的前提,当一个行为构成侵犯个人信息方面的犯罪时,它一定也违反了相关行政法规或部门规章。但是就目前来看,我国刑法规定只有“情节严重”的才构成犯罪,对于情节显著轻微的,则不能科处刑法,这体现了刑法的谦抑性,但由于我国关于个人信息的行政法规尚不完善,而且大多没有规定违反后应承担何种法律后果,因此也导致了刑法与行政法规之间存在不协调之处,容易产生要么不追究,要么就上刑的现象。这对刑法的权威性以及执行的法律效果大打折扣。故而笔者建议应当加快个人信息单行法规的制定,尽可能的做好刑法与行政法规之间的衔接和协调工作,处理好罪与非罪之间的关系。
第二,加大对侵犯公民信息权的刑法保护力度,实行“预备行为实行化”的司法举措。不法行为人非法获取个人信息时是一个侵犯公民个人信息的行为,而对于该信息加以利用则可能构成另一罪名(如诈骗罪)。此时,对这两个行为如何处理存在争议,有人主张应按吸收犯或者牵连犯直接以一个罪名进行定罪和量刑。笔者存在不同观点,为了有力打击侵犯公民个人信息犯罪和更好的保护公民信息权益,有必要将前面非法获取个人信息这一行为单独定罪,然后在实行数罪并罚。因为从刑法自身的逻辑来看,行为人前后两个行为触犯了不同的罪名,侵犯了不同的法益。实行数罪并罚具有宣誓效果,能够让不法行为人清楚知道自己触犯了哪些具体的罪名,这样可以起到更好的预防效果,让不法行为人和普通民众更好的理解非法获取公民个人信息是构成犯罪的。
综上所述是我对于公民个人信息权保护的一些看法和简单的见解。公民个人信息权的保护仍然任重而道远,需要我们付出诚挚的努力,相信在不就得将来公民信息权的法律保护会更加完善。

参考文献
著作类:
[1] []维克托·迈尔舍恩伯格、肯尼思·库克耶:《大数据时代》,盛杨燕、周涛译,浙江人民出版社2014年版。
[2] 马荣春:《刑法完善论》,群众出版社2008年版。
[3] []E·博登海默:《法理学法律哲学及其方法》,邓正来译,中国政法大学出版社2004年版。
论文类:
[1] 刘宪权、方晋晔:《个人信息权刑法保护的立法及完善》,《华东政法大学学报》,2009年第3期。
[2] 马拓:《大数据时代个人信息立法保护初探》,湘潭大学,20175月。
[3] 齐爱民:《论个人信息的法律保护》,《苏州大学学报(哲学社会科学版)》,2005年第2期。
[4] 王春晖:《个人信息权是公民的基本民事权利》,《检察日报》,2017420日第3版。
[5] 江薇:《公民个人信息权的含义及其保护的现实意义》,《青春岁月》,201411期。
[6] 卢建平、常秀娇:《我国侵犯公民个人信息犯罪的治理》,《法律适用》,2013年第4期。
[7] 邱瑜:《公民信息权的公法保护研究》,《法制与社会》,2007年第1期。
[8] 王玉洁:《大数据时代个人信息权民法保护研究》,南昌大学,20175月。
 
我们将尽快回复(24小时内)
重新获取验证码