构建社会信用体系背景下我国个人信息刑法保护
本文分析了中华人民共和国个人信息保护的刑法规范。 调查以个人资料为主题的刑事案件的执法实践趋势。 刑法对中国公民个人信息保护力度加大,是由于社会信用体系的出现。 本文探讨了社会信用体系运作的特点,以及该体系在数字化背景下对个人权利和自由的影响。 对所审议的制度的兴趣是由于中国对其他国家法律文化的形成产生了重大影响。 作者的结论是,国家对公民私人空间的重大入侵与保护个人信息的有效措施有关。 以中国为例,我们看到了国家保护公民个人数据的愿望,包括通过刑事法律手段。 与此同时,执法案件越来越普遍,特别是在刑法中。
关键词:社会信用体系;保密;识别;个人信息;识别信息;非法出售个人数据;身份盗窃;隐私;隐私;社会评级;黑名单。
1997年通过的《中华人民共和国刑法》最初没有规定保护个人资料的规范。 2009年,《中华人民共和国刑法典》第四章"侵害个人权利罪、公民民主权利罪"首次将"出售或者非法提供个人资料罪"列入<1>。 第十一届全国人民代表大会常务委员会通过了《刑法》第七修正案,规定了《中华人民共和国刑法》第二百五十三条第一项。 该修正案已成为我国保障隐私保护最广泛使用的法律文书<2>。
--------------------------------
<1>
<2>De Hert P.,Papakonstantinou诉中国的数据保护制度。 深入分析//布鲁塞尔隐私中心工作文件。 2015. 卷。 1. N4. 第15页。
中国法律学说积极评价2009年刑事立法在个人信息保护方面的变化。 特别指出,"刑法第七修正案扩大了对中国个人信息的保护。 目前,这是唯一规定保护个人信息的法律。 其他法律通常以非常一般的术语和一路上(用一句话或一句话)提到保护隐私的必要性,或者它们旨在保护某些类别的数据。" <3>
--------------------------------
<3>吴Y.电子政务中的个人数据保护:全球化还是全球化? 美国、德国和中国的比较研究,2010年。
《中华人民共和国刑法典》2009年版第253条(a)款规定,政府官员或者金融电信、交通、教育、医疗等机构的工作人员非法出售或者非法提供公民在执行职务或者提供服务过程中获得的个人信息,以及盗窃或者以其他方式非法接收上述信息的,应当承担刑事责任。
由于"个人信息"类别的立法定义仅在2017中在网络安全法<4>中给出,这引起了许多理论上的争议,以及关于该类别内容的实际问题。
--------------------------------
<4>根据该法第76条,"个人信息"一词是指以电子方式或其他方式记录的可以单独或与其他信息结合识别个人身份的各种信息,包括但不限于个人姓名、出生日期、身份证号码、生物特征信息、住址、电话号码等。
特别是,对于"个人信息"和"机密信息"的概念的内容是否相同,没有达成共识。 赵秉志教授指出<5>个人公开信息也可根据《中华人民共和国刑法典》第253(a)条受到刑法保护。 "尽管一些个人信息可能是公开的,但它仍然应该受到刑法的约束。 信息泄露的危害在于,非法使用个人信息的犯罪者可以通过"阻止"受害者,将其排除在各种社会关系之外。 刑法对个人信息的保护不仅仅是对隐私的保护,更重要的是保护公共秩序免受信息泄露可能造成的损害。" <6>
--------------------------------
<5>
<6>.
2016年,在上海法院进行了一项科学和实践研究,研究主题是个人信息。 在分析125起关于非法使用个人信息的刑事案件时,得出以下结论<7>。
--------------------------------
<7>
1. 法院通过以复杂和多样化的方式定义公民的个人信息,几乎涵盖了私人生活的所有方面。 因此,法院将以下类型的信息视为个人信息:1)身份信息,包括姓名,电话号码,地址,家庭成员信息,移动登记信息;2)有关财产的信息,包括银行账户,车辆,房地产; 4)关于教育的信息,5)呼叫细节,6)关于交易和其他类型的信息的信息。
2. 中国法律学说中发展起来的许多个人信息概念可以以以下形式呈现:a)关联理论;b)保密理论和c)识别理论。
协会理论从广义上考虑个人信息-它是任何与人有关的任何信息。 这个概念涵盖了所有类型的社会关系,包括"个人信息"概念内容中最广泛的信息,例如,关于汽车或属于一个人的任何其他财产的信息。
隐私理论将个人信息定义为一个人不希望传播的机密性质的信息。 例如,对于大多数社会成员来说,他们自己的生物特征数据,例如身高或体重,不是分类信息。 但是,有些人倾向于对这些信息保密。
由于有些人认为某些信息是机密的,而另一些人则不反对其披露,因此"保密"标准不能作为个人信息定义的基础。
身份识别理论是指公民的个人信息识别公民身份的信息,如姓名、职业和职业、职位、年龄、婚姻状况、教育程度等。 因此,识别概念的使用反映了这一类最充分的(从刑法保护个人信息的角度来看)范围。
3. 直接或间接识别一个人的个人数据在识别程度上彼此不同。 在这方面,不是任何此类信息单独(让我们有条件地称之为"信息单位",例如,公民的10姓氏代表10个个人信息单位;一个人的家庭住址是1个信息单位)可以 因此,可以区分以下几组识别信息:
a)特定人员独有的信息(例如,身份证号码和生物特征数据)。 通过这些信息的一个单位,可以明确地识别个人。 显然,这种类型的信息具有最高的识别度;
b)属于特定人的信息,但具有被复制和重复的属性。 例如,姓名,电话号码,交易详细信息。 这种类型的信息具有很高的识别效率,但由于存在重复的可能性而不能准确地识别特定的人。 例如,使用姓名和电话号码,您可以识别某个区域内的人。 但当搜索范围增加时,此类信息的有效性将显着降低。 因此,由于没有准确的个人身份,这些信息的个别单位不受刑法保护。
司法实践表明,姓名和电话号码的组合是授予信息受法律保护的个人信息地位的最低要求;
c)将一个人定性为某些社会团体成员的信息。 例如,年龄,职业,教育等。 这类信息的识别效率最低。 因此,即使所讨论的信息类别结合了大量信息,其本身也不能满足可识别性的标准。
传统上,我国的刑法学说是建立在四要素语料库<8>的理论基础上的。 在这方面,考虑个人信息犯罪的客观和主观迹象似乎是合理的。
--------------------------------
<8>Moons H.the corpus delicti in the criminal law doctrine Of China//lex russica(俄罗斯法律)。 2016. N9. 第129-135页。
《中华人民共和国刑法典》第四章"危害个人权利罪和公民民主权利罪"确定了犯罪的构成,指出危害个人信息罪主要损害个人权利。 该立场似乎是正确的,根据该立场,所涉犯罪的直接对象是公民个人信息安全的权利<9>。 这项权利是隐私权的一个要素。 根据艺术。 中国民法典1034<10>关于隐私权的规定适用于个人信息。 尽管保护个人信息的目的除其他外,是为了防止信息泄露造成的进一步犯罪和侵犯公民权利,但"个人利益在个人信息犯罪中优先于公共和合法利益"<11>。
--------------------------------
<9>
<10>
<11>
《中华人民共和国刑法》第二百五十三条(一)项犯罪的客观方面,其特征在于以下替代行为:1)出售或非法提供个人信息,以及2)盗窃或其他非法获取个人信
根据官方司法解释<12>,非法提供个人信息包括在未经数据主体同意的情况下传播个人信息的任何情况。 此外,信息的提供是指在互联网上传播此类信息。
--------------------------------
<12>
展望未来,我们注意到2015年,《中华人民共和国刑法典》第九修正案在销售或提供信息方面排除了"非法"一词。 请注意,在没有合法依据和/或数据主体同意的情况下出售或提供个人信息是非法的。 因此,"非法"一词并不是指出售个人信息的方法或任何其他情况。
--------------------------------
<13>
非法获取个人信息的其他方法(盗窃除外)包括其购买,无偿接收,交换以及收集个人信息,例如,在提供服务的过程中。
2009年修订的《中华人民共和国刑法典》第253条(a)项所涉刑事侵占的主体可以是个人;金融电信、交通、教育、医疗等机构的公务员或雇员,以及从事这些行业的法律实体。 所涉罪行的主观方面的特点是故意有罪。
《中华人民共和国刑法典》第253条(a)项下的第一起刑事案件<14>于2009年对来自珠海的被告H.发起,他非法获取当地政府官员的电话记录,然后将其出售给欺诈者。 后者通过电话冒充据称处于紧急情况的官员,收到受害者朋友或亲属的汇款。 Kh. 被判处有期徒刑18个月,并处罚金。
--------------------------------
<14>Greenleaf G.亚洲数据隐私法-贸易和人权观点。 牛津大学出版社,2014年。 第199页。
2009年修订的《中华人民共和国刑法》第253条(a)项的内容具有不确定性,进一步完善了该规范。
首先,如上所述,在引入有关语料库时,对公民个人信息的保护范围没有准确的理解。
其次,执法实践中的问题是由可能受到刑事禁令的公司活动开放清单("政府,金融,电信,运输,教育和医疗机构等)引起的。"). 对于这份清单是否应只包括所列法律实体的活动领域,还是应包括向公众提供服务的其他类型的机构,没有任何理解。 对此,中国法学家周汉华指出<15>,在不同地区的司法实践中,对所研究犯罪的理解是异质的。 在一些地区,使用了一种解释,根据这种解释,该主题仅限于本条所列的活动领域。 这当然限制了个人信息的保护。 与此同时,在司法实践中,也出现了相反的做法<16>,将《中华人民共和国刑法》第253(a)条的范围扩大到该条中未直接命名的公司的活动领域(例如,快递)。
--------------------------------
<15>
<16>Livingston S.,Greenleaf G.中国为什么和Wherfores-根据中国法律非法提供和获取个人信息,2014。
因此,《中华人民共和国刑法》第253条(a)项措词的不完善,有必要对其作出澄清。 刑法禁令的不确定性对司法实践的一致性产生了负面影响,并造成了资格问题。
在以下情况下,确定受刑法禁令约束的公司活动领域的问题导致了对犯罪行为的不准确定性。 因此,Peter Humphrey和他的妻子根据《中华人民共和国刑法》第253(a)条被定罪<17>。 彼得是ChinaWhys Co的负责人,这是一家专门提供咨询服务的公司。 2013年7月,警方拘留了这对夫妇,然后指控他们非法获取个人信息。 据称,这对夫妇从营销公司获得了个人信息,这些信息随后以为他们准备的报告的形式提供给他们的客户。 这些信息包括256条个人信息(每次800-2,000元),包括有关户口(居留证),移动和位置的信息。
--------------------------------
<17>Livingston S.,Greenleaf G.Op.cit。 第1页。
这对夫妇因非法获取个人信息而被判有罪。 指控中没有"非法提供或出售",这正是法律的不准确性所解释的。 因此,营销公司超越了2009年版第253(a)条所涵盖的行业。
彼得*汉弗莱被判处两年半监禁,罚款20万元人民币(约合3.2万美元)。 他的妻子于英增被判处两年有期徒刑,并处罚金15万元人民币(2.4万美元)。
2015年11月1日,《中华人民共和国刑法第九修正案<18>》生效,加强了对个人信息的保护。 首先,刑法禁令的范围扩大到公共和私人机构的所有领域(如上所述,2009年版的相关文章确定了确定刑事责任的公司活动领域清单)。 其次,如果犯罪情节特别严重,修正案将最高刑罚提高到七年监禁。
--------------------------------
<18>
因此,2015年修订的《中华人民共和国刑法》第253-1条对非法向第三方出售或者提供在执行职务或者提供服务过程中获得的公民个人信息,盗窃或者以其他方式非法获取公民个人信息的行为规定了刑事责任。
上述行为在情节严重的情况下构成犯罪,可判处3年以下有期徒刑、逮捕或罚款(作为附加或主要惩罚)。 在情节特别严重的情况下,可判处7年监禁<19>。
--------------------------------
<19>Lotus R.递减权利:中国的数据法律法规。 澳大利亚战略政策研究所,2018年。 第7-9页。
根据《中华人民共和国刑法典》第三十条,公司是刑事责任主体<20>。 在这方面,如果上述罪行是由公司犯下的,则处以罚款作为惩罚,并在该条规定的制裁范围内独立惩罚直接负责实施行为的个人。
--------------------------------
<20>根据《中华人民共和国刑法典》第三十条,公司、企业、组织、事业单位、集体从事危害社会的活动,依据《中华人民共和国刑法典》对组织、事业单位实施的犯罪定
刑法保护个人信息领域的一个重要事件是2017年5月9日的出版物。 最高人民法院和中国最高人民检察院就滥用公民个人信息刑事案件适用法律问题作出了联合澄清。
--------------------------------
<21>
澄清第1条规定,公民的个人信息是以电子或其他形式提供的信息,通过这些信息可以直接识别个人,或者通过这些信息可以结合其他信息识别个人,特别是姓名、身份证件号码、联系信息、地址、帐户密码、财产状况、地点等。 从所提供的定义可以看出,中华人民共和国最高国家当局对个人数据的解释选择了相当广泛的方法。
严重的情况下,其中有一个语料库delicti的存在,包括以下<22>:
1)第三方为犯罪活动提供个人信息;
(二)非法接收或者提供被害人所在地、信用信息或者财产等个人信息五十条以上的;
3)非法接收或提供超过500条个人信息(如居住地、健康状况、交易等信息)。);
4)非法接收或提供超过5,000条不符合上述标准的个人信息;
5)销售或提供个人信息违法所得超过5000元;
6)出售或提供在执行公务或提供公共服务中获得的个人信息,其单位数量超过第2-4款规定的上限的一半;
(七)因违反公民个人信息法律制度而受到行政责任或者刑事处罚的人在两年内多次参与的。
--------------------------------
<22>应该指出的是,这种情况的清单是开放的,其定义由法院自行决定。
数据保护领域的研究员杨峰指出,中国刑法保护个人信息的一个显着特点是对滥用个人数据进行刑事定罪的门槛较低。 因此,根据司法解释,非法接收或者提供50多条个人信息是违法犯罪的严重情节。 这是关于受害者的位置,信用信息或财产的信息。 对于不太重要的数据,从中国立法者的角度来看,例如关于居住地,健康状况和金融交易的信息,已经确定了刑事起诉所需的增加的最低金额-500单位。 其他个人资料的最低金额为5,000个单位。 如果罪犯是政府机构的雇员或提供公共服务,门槛甚至更低。 对于他们来说,最小数据量是指定最小数据量<23>的一半。
--------------------------------
<23>Feng Y.中国个人数据保护法的未来:挑战与前景//亚太法律评论。 2019. 卷。 27. N1. 第62-82页。
根据解释,在下列情况下,情节被认为特别严重:
(一)造成严重后果的,例如死亡、严重危害健康、精神障碍或者绑架受害者;
(二)造成重大财产损失或者社会不良后果的;
(三)个人信息单位数量超过情节严重的阈值的十倍以上;
(四)其他情节特别严重的情形。
根据《说明》第十一条,公民个人资料被非法接收后再出售的,其单位数量不计算两次。 但是,如果将相同的个人信息出售给不同的公司或个人,则这些信息的单位数是累积计算的。
法院考虑到犯罪造成的损害数额,由于犯罪而获得的非法收入数额,被告的犯罪记录的存在,悔罪的存在和其他情况,任命惩罚。
因此,可以注意到,中国目前正在做出越来越多的努力来保护公民的个人信息,包括通过对个人信息的刑事侵占实施相当严格的制裁。
例如,2016年,周滨成获取了超过193万条学生个人信息。 他后来以6.54万元的价格出售了这些信息。 平湖市人民法院考虑到供述,判处周滨成有期徒刑一年十一个月,并处罚金四万元。 那些购买学生个人资料的人也被判处监禁和罚款<24>。
--------------------------------
<24>
在另一个案例中,夏富晓<25>出售了关于包含公民姓名,送货地址,手机号码和其他信息的在线购买的个人数据。 罪犯非法牟利约5万元。 绍兴市人民法院判处夏福晓有期徒刑两年,并处罚金2000元。
--------------------------------
<25>
据中华人民共和国公安部统计,2020年,共登记侵犯公民个人信息刑事案件3100余件<26>。
--------------------------------
<26>
根据对中华人民共和国立法的分析和适用《中华人民共和国刑法》第253-1条的实践,可以得出对公民个人信息提供刑事保护的既定方法的结论。 与此同时,似乎这种方法出现的原因是由于社会信用体系(以下简称SCS)的出现,该系统大量积累了公民的个人数据。 根据获得的数据,公民的行为要么受到鼓励,要么受到限制。 社会信用体系的启动于2014年正式宣布。 在《2014-2020年社会信用体系建设规划》<27>中。
--------------------------------
<27>2014年6月14日,国务院下发《国务院关于印发社会信用体系建设规划(2014-2020年)的通知》。 与国务院2007年的文件相比,2014年的文件对统一社会信用体系的建设给出了更详细的图景。 应该指出的是,直到2014年,中国在区域层面实施了试点社会信贷计划。 例如,在2010中,进行了一项"大规模贷款"实验,该实验测量和评估了个人行为。 最初,向公民发放了1,000个信用点,这些信用点可能因违反某些法律,行政和道德规范而被注销。 例如,酒后驾车花费50分,没有计划生育许可的孩子花费35分,不偿还贷款费用从30到50分。 丢失的积分可以在一段时间后恢复:从两年到五年,具体取决于违反的规则和违规的严重程度。 根据收到的分数,公民被分为从A到D的类别。 中国的社会信用体系:一个不断发展的控制实践. 第10页。
SCS与其他国家存在的信用评级有一些相似之处,但它可以让您获得与中国公民几乎所有生活领域相关的信息。 "该系统旨在评估"可靠性"符合法律和道德规范,专业和道德标准"<28>。
--------------------------------
<28>Chen Y.,Cheung A.The Transparent Self Under Big Data Profiling:Privacy and Chinese Legislation on The Social Credit System//比较法杂志。 2017. 卷。 12. N2. 第356页。
由于"社会信用"一词没有单一的立法定义<29>,对其解释有许多理论方法。 湘潭大学律师顾明康指出<30>,从广义上讲,社会信用是指公民履行社会义务的客观能力和主观意愿。
--------------------------------
<29>Drinhausen K.,Brussee诉2021年中国社会信用体系:从碎片化走向一体化,2021年。
<30>
在SCS框架内,公共当局和私营公司交换有关违规者的信用信息。 这种互动的机制,以及对违规行为的一些后果(限制出境,购买房地产,乘坐高速列车,住在标准以上的酒店)是由中华人民共和国国务院于2016年在一项法令"关于联合惩戒制度"<31>(所谓的联合惩戒机制)中建立的。
--------------------------------
<31>
联合惩罚机制的实质在于,在一个部门的活动领域违反信任并被列入黑名单的公民被其他机构或公司拒绝服务。 例如,这种伙伴关系的结果是,到2017年初,615万公民被剥夺了购买机票的机会。 由于被列入黑名单,违规者不仅取消了商业交易,而且还因声誉的破坏而分手了婚姻<32>。
--------------------------------
<32>Chen Y.,Cheung A.The Transparent Self Under Big Data Profiling:Privacy and Chinese Legislation on The Social Credit System//比较法杂志。 2017. 卷。 12. 没有2。 第366-367页。
在不评估中国正在发展的社会信用体系的情况下,我们强调公民的个人资料是公众和国家密切关注的对象。 将公民列入黑名单的决定是由政府机构根据个人信息做出的,这需要一些负面限制。 似乎这些趋势促使立法者更加重视个人数据的保护,包括通过刑事法律手段。
因此,可以得出结论,中国公民个人信息刑事保护的增加是由于社会信用体系的出现。 该系统涉及公共和私营部门与中国公民生活各个领域相关的信息积累。 国家对公民私人空间的严重侵犯与保护个人信息的有效措施有关。 以中国为例,我们看到了国家保护公民个人数据的愿望,包括通过刑事法律手段。
