2009年2月28日,十一届全国人大常务委员会第七次会议通过了《刑法修正案》(七),明确规定了出售公民个人信息、非法提供公民个人信息以及非法获取公民个人信息3项罪名。《刑法修正案》(七)施行以来,司法机关逐步加大了对涉及公民个人信息犯罪的查处力度。据北京市海淀区检察院公诉一处林洁介绍,该院公诉部门2010年共受理该类案件31件41人,而这两个数字在2009年均为0,案件量呈现激增趋势。
但是,作为新型罪名,出售、非法提供和非法获取公民个人信息案件在法律和实践层面上仍存在诸多问题,给司法实践带来困惑,这在一定程度上影响了对此类犯罪的打击力度。散落在一些法律条款中的信息保护规定已无法适应公民尊严与权利的要求,中国亟需一部《个人信息保护法》,然而,相关立法工作却一直讳莫如深。
早在2003年初,国务院信息办委托中国社科院法学所研究员周汉华担任课题组负责人,研究草拟一份个人数据保护法的专家建议稿。历时两年,《中华人民共和国个人信息保护法》(专家意见稿)终于在2005年提交给国务院法制办等相关部门,“由于个人信息保护立法的重要性和紧迫性”,周汉华曾认为这部法律最终出台“不会用太久时间”。然而,6年过去了,这部让公众充满期待的法律仍迟迟“不肯露面”,全国两会政协委员依旧在为制定此法提交提案,公众在漫长的等待中也一再支付着成为“透明人”的代价。
目前,世界上已经有70多个国家和组织制定了个人信息保护相关法律法规,在互联网高度发达的当下,各国对个人信息保护进行单独立法,已经是大势所趋。作为判例法国家,美国于2005年通过了一批保护个人信息的法律,如《隐私权法》、《信息保护和安全法》、《网上隐私保护法》、《消费者隐私保护法》和《社会安全号码保护法》等。2011年4月,美国一些重量级的参议员又提出了关于在线综合信息保护立法的议案。
其他国家,如德国制定了《联邦数据保护法》,加拿大制定了《隐私保护法》和《个人信息保护及电子文档法案》,英国制定了《数据保护法》,日本制定了《个人信息保护法》等等。另外,欧盟先后制定了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于个人数据自动化处理之个人保护公约》和《关于保护自动化处理过程中个人数据的条例》。
现时法规缺乏可操作性
“个人信息”的边界有多大?
根据《刑法修正案》(七)第七条规定,公民个人信息是指国家机关或金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息。“该法条仅规定了公民个人信息的来源,却未对公民个人信息应当具有哪些要素作出规定。”林洁说。
据林洁介绍,有些信息属于显而易见的公民个人信息,即此类信息只能通过特定机关获取,如户籍底卡,通话记录、新生儿信息等。但在更多情况下,公民个人信息的来源并不确定,或者来源不能被法律列举的几类行业所涵括,但明显包含个人隐私信息,比如车主信息,实际上属于应当保护的公民信息,但它的来源可能是汽车4S店,而对4S店能否被交通业所涵括的认识不尽一致,导致实践中对此类案件的处理意见分歧很大。
来源于法律规定的上述行业的信息是否都可划入公民个人信息也存在疑问,例如,企业信息包括企业名称、地址、邮编、法定代表人的姓名及联系方式,这类信息可能是从工商部门获取,虽含有法定代表人的信息,但并非针对公民个人隐私,此类信息能否认定为“公民个人信息”也存有争议。
周汉华表示,刑法或司法解释并不能确定“公民个人信息”的边界,这应该是上游法解决的问题,具体来讲,那就是个人信息保护法。
如何认定“违反国家规定”?
从《刑法修正案》(七)第七条的表述来看,出售、非法提供、非法获取公民个人信息这3种行为入罪的关键点,都在于“违反国家规定”,这是确定行为“非法性”的前提。
但是,周汉华认为,单凭一句笼统抽象的“违反国家规定”,而没有具体的行政法律法规作为指引,在实践中,给如何认定出售、提供、获取公民个人信息行为的“非法性”造成了很大的困难。
据了解,目前中国实际上存在着民法通则、合同法、居民身份证法、档案法、民事诉讼法、刑事诉讼法、行政诉讼法、商业银行法、互联网电子邮件服务管理办法等一系列涉及个人信息保护的法律法规。但总体来看,这些法律法规中的相关规定不仅过于原则、缺乏可操作性,而且比较零散、缺乏系统性,同时还存在保护范围狭窄、缺乏统一主管机构等不足。
中国社科院法学所研究员刘仁文认为,如果没有专门的个人信息保护法作基础,如何认定违法将会是一个难题,如果问题的解决都依赖于刑法,很容易造成刑法执法工作的超负荷运转。$nextpage$
“情节严重”尺度何在?
“情节严重”是出售、非法提供、非法获取公民个人信息罪的入罪首要条件,但这让很多办案人员头疼,“没有任何法律对《刑法修正案》(七)第七条所称的‘情节’进行界定,何为‘严重’,也没有具体的标准加以规定,只能靠办案人员自由裁量,尺度很不好把握。”林洁说。
尽管如此,司法机关又不能因噎废食,“我们也是边做边总结,在实践中,获取目的、信息数量以及危害后果都可以作为认定‘情节严重’的要素。”林洁告诉记者。
问题也随之而来。首先,实践中最通常的认定标准是信息的条数,但达到多少条才能够认定为情节严重?法律没有明确规定;其次,从获取目的来看,有些案件的犯罪嫌疑人仅为个人使用,并未侵犯他人权益,如为了调查研究机动车消费市场而购买信息,此种情况应否入罪?再次,非法获取行为造成的严重后果达到何种程度?实践中缺少指导标准。
破解之道
专家建议,应加快公民个人信息保护立法,明确公民个人信息使用过程中的相关权利和义务。律师孙威认为,“打蛇打七寸”,除了法律需要完善外,金融、电信、交通、教育、医疗等掌握大量公民个人信息的单位完善内部控制才是杜绝个人信息泄露的治本之策。他建议,首先要严格限制有权限查询个人信息人员的数量。有关单位应当建立、健全公民信息分类保存、分级查询制度,严格按照工作需要,确定有权使用、查询公民个人信息的人员,并划分不同的权限,明确责任追究制度;其次,应保存查询、使用过程中的完整详细的记录,以备事后检查;再次,应保证公民的知情权,在查询、使用公民信息后,应及时以适当形式告知公民信息查询情况。
“我的建议是,在个人信息保护法没有出台之前,用‘两条腿走路’的方法来解决司法中遇到的问题。”周汉华说。他对此的解释是,一方面,司法机关在个案处理上,可以总结一些规律性做法,比如说对“情节严重”的认定标准;另一方面,最高人民法院、最高人民检察院、公安部可以在大量典型案例的基础上,共同研究出台相关的司法解释,就《刑法修正案》(七)第七条中的“模糊地带”进行释法。
林洁所持观点也基本相似,不过她给出了更为具体的建议。首先应完善相关法律,明确定罪标准。立法机关尽快酝酿出台配套规定,以进一步明确出售、非法提供、非法获取公民个人信息罪的定罪标准及法律适用;对于公民个人信息的界限以及“情节严重”的认定,应当提出具有可操作性的标准;与此同时,司法机关在汇总各地相关案例、总结经验的基础上,可针对本罪制定司法解释,以进行普遍性指导,也可以对典型案例加以编纂,以供办案人员参考。另外,上级司法机关也应加强对疑难案件的个案指导。
加强内外沟通,统一执法标准。目前对于出售、非法提供、非法获取公民个人信息罪的理解存在诸多分歧,实践中公检法三家掌握的证据标准也并不统一,在相关法律规定尚未出台的情况下,公检法三部门应就证据标准等问题加强沟通,确定统一的标准。
密切多方配合,破解取证难题。司法机关要加强和相关部门的配合,以保证证据的调取和核实。一是加强与银行、医院等信息来源单位的配合,以核实信息的真实性;二是加强与司法鉴定机构的配合,研究能够认定信息数量的技术手段;三是加强与网络公司等交易媒介的配合,一方面有利于查处上家,以确定信息来源和深挖犯罪线索,另一方面,通过相互沟通,能够督促网络公司制定并采取信息审核措施,预防涉及公民个人信息犯罪的发生。
不过,在周汉华看来,保护公民个人信息安全,最好的办法还是尽快出台个人信息保护法。但在个人信息保护法出台之前,司法机关应发挥能动司法的作用,加强对典型案例的总结,尽快出台相关的司法解释,“这其实也是一个‘两条腿走路’的过程。”周汉华说。
深圳拟立法保护个人信息
近日,深圳市律师协会(下称律协)召开个人信息保护立法初步调研成果发布会,项目组组长、深圳市律协党委书记张勇表示,目前,《关于深圳市个人信息保护立法的可行性和必要性调研报告》已经提交深圳市人大审阅,如果调研成果获得市人大认可,进入立法程序,最快可以在年底制定出深圳个人信息保护立法草案。
据了解,2010年深圳两会期间,深圳市律协党委副书记、个人信息立法项目组具体负责人张丽杰等14名人大代表联名提交了《关于深圳市个人信息保护立法的议案》,该议案得到了深圳市人大常委会的高度重视。市人大常委会本着科学立法、民主立法的精神,于2010年12月委托深圳律协党委进行立法调研,并于今年4月签订委托合同,而这在全国也是第一次由专业律师团队进行的立法调研。
张丽杰介绍,接受调研任务后,律协党委选拔了专业能力强及政治素质过硬的30多名资深执业律师组成立法调研项目组,项目组根据项目特点和律师成员的专业优势,细分成综合组、社会调查组和法律论证组3个小组,展开深入调查。
调研团队一方面通过“深圳律协网”、“奥一网”、“人才在线”等各大网络平台面向社会公众进行网络问卷调查,另一方面赴深圳市法院系统、检察系统、市场监督管理局、市消费者委员会、腾讯、迈科龙等单位,以书面问卷、座谈会等形式了解相关单位在个人信息保护领域的实践情况,并征集意见。
深圳市人大法制委一名负责人表示,如果市人大否决,个人信息保护立法就到此为止;如果获得市人大认可,进入立法程序,按照深圳经济特区立法程序,将由调研组以及提出议案的联名人大代表共同起草法律草案,市人大将通过一审、二审和三审三道程序,完成立法的审议工作。同时,如果按照较大市立法程序,则还要增加一道程序,即交由广东省层面审议通过。
个人信心频遭泄露,立法将如何保护?多名参与调研的律师表示,草案的方向将以约束、监管公权部门为主,规范相关收集、存储个人信息的政府部门以及企业,从源头上保护公众的个人信息。
对于泄露、出卖个人信息的情况,首先要追究相关部门领导人以及当事人的行政责任;而被泄露信息的个人也可通过法律诉讼途径,起诉相关部门和当事人,要求民事赔偿。同时,对于情节严重的泄露个人信息案件,检察部门将追究相关人员的刑事责任。
如果进入立法程序,个人信息保护立法草案何时出炉?张勇表示,在前期的调研过程中,他们掌握了大量的信息,收集了国内外相关法律法规、国外判例等资料以及法律文本,草案年底就可以制定出来,供市人大立法参考。
香港:个人资料私隐专员公署
2010年7月26日,香港八达通公司承认,曾将200多万客户资料转售给其他公司,非法获利4400万港元。消息传出,全港哗然,香港特区个人资料私隐专员公署介入调查。
香港个人资料私隐专员公署是亚洲唯一一家公营的独立隐私监管机构,成立于1996年,其职能涉及监察个人资料(私隐)条例的施行,包括所有政府部门,且不受任何政府部门的指示和管辖。通过教育、宣传和推广,培养香港公众尊重个人资料隐私的文化,监察和督导个人资料隐私获得保障等。近年来,香港警队、特区入境处、医院管理局等机构都曾因个人资料处理失当接受过公署的质询。
平时私隐公署用办讲座、发放宣传资料、制作视频等多种方式向市民推广保护个人隐私的重要性。私隐专员公署下设政策部、法律部、审查部、执行部等7个部门,业务职员只有30多人,规模为香港同类公营机构中最小,却担负着保障全港700多万人个人资料隐私的责任,工作十分繁重。
据介绍,接到投诉、核实投诉人的身份后,私隐专员公署首先辨别证据真伪,再展开调解,或正式调查,如举报属实,私隐专员发出执行通知,要求违规者改进,若不遵守,当事人最高可被处以罚款5万元及入狱两年。
【欢迎转载 请注明来源】
