要写好一篇逻辑清晰的论文,离不开文献资料的查阅,小编为大家找来了《个人信息论文(精选5篇)》相关资料,欢迎阅读!2011年4月索尼游戏主机网络遭黑客入侵,全球7700万用户资料被窃取,包含姓名、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务,损失达1.7亿美元。7月底,在以实行网络实名制闻名的韩国,多个知名门户网站遭黑客攻击,约3500万名用户个人信息外泄,此事在韩国引发轩然大波。
人工智能算法个人信息利用刑法规制与个人信息安全刑法保护
摘要:在智能社会,刑法对个人信息的保护是以个人信息权入法为基础,将信息的私权保障与利用作为基本原则,导致了人工智能算法个人信息利用刑法规制的错位和提前。当人工智能利用个人信息进行算法分析,一方面,信息主体拥有个人信息权,另一方面,信息使用者也应当拥有信息用益权。个人信息的刑法保护必须从权利说出发并超越权利说,重新回到信息主体和信息使用者共同拥有个人信息安全法益的轨道。然而,刑法尚未明确规定个人信息安全法益,人工智能算法个人信息利用刑法规制与个人信息刑法保护应考虑信息主体和信息使用者对个人信息各自拥有的利益,从场景化行为主义规制的进路出发,对人工智能算法个人信息进行刑法保护和刑法规制。
关键词:人工智能;个人信息;刑法保护;刑法规制
文獻标识码:A
为了达到监管和改造罪犯的目的,1785年,英国哲学家杰里米·边沁设计并提出了新型监狱——“圆形监狱”。在这种圆形监狱中,狱警处在中心望塔,犯人却在中心望塔外围环形建筑之中,警察能够完全监视犯人的一举一动,犯人无隐私可言。虽然边沁的此一监狱设计未被当时的英国政府所采纳,但是并不能说边沁的此种想法在现实社会就不能实现。因为20世纪70年代,福柯在《规训与惩罚》中就提到“全景敞视主义”,认为“圆形监狱”理论应该适用在整个当代社会范围之中[1]。随着智能社会的到来,算法成为了驱动人工智能的驱动器[2],算法应用早已无处不在。但是,正如英国科学家贝尔纳所指出:“科学技术的发展本身既为我们揭开了改善人类生活的前景,也为我们开辟了毁灭人类的可能。”[3]人们通过海量数据的智能算法分析,实现了海量数据的智能挖掘,得到了高效、便捷和经济的决策根据。与此同时,人工智能算法的应用也产生了一系列法律和社会治理问题。其中,人工智能算法个人信息利用与个人信息安全的保护问题最为典型。
一、人工智能算法应用表征:法益增长与危机
英国科学家霍金断言:“人工智能也有可能是人类文明史的终结,除非我们学会如何避免危险。”[4]自人工智能算法在我国使用以来,其凭借技术优势迅速抢占了用户的注意力市场,远远超过了人工算法,相继在新闻领域、社交平台、短视频平台中被广泛运用。但是,人工智能算法的应用在为用户提供便捷的同时,也引发了人们对个人信息安全问题的大讨论。因为人工智能算法的应用使人“无往不在枷锁之中”。例如,“今日头条”向用户推荐的新闻界面是根据用户注册时使用的姓名、手机号等基本信息和用户点击浏览的相关类新闻的次数、停留时间等数据推算出用户的爱好后推荐的私人订制式新闻界面。也就是说,人工智能算法的实质是算法系统处理、利用用户存在于网络之中的个人信息。从这种意义上讲,算法系统类似于一座圆形监狱,算法作为中心望塔无时无刻不在读取并挖掘着个人信息。用户作为环形建筑中不断被监视下的犯人,面临着“天下谁人不识君”的尴尬场面,用户个人信息权益遭受损害,用户个人隐私也受到了极大的威胁。因此,有必要在理论上对人工智能算法个人信息利用刑法规制与个人信息安全的刑法保护进行前瞻性的研究。
(一)人工智能算法应用的价值剖析与法益的增长
人类社会的发展在进入21世纪之后呈现出了加速变革的态势,其表现就是人们在几乎没有做好准备之前就被迅速地推入智能社会。虽然智能社会借用“智能”来命名,但是,智能社会标志性的先进生产力是人工智能算法。那么,人工智能算法应用的巨大价值是如何体现的呢?从本质上讲,人工智能算法是智能社会中的超级力量,是智能社会的驱动器[2]。在智能社会,信息和数据是最重要的资源[5]。但是,互联网中海量的数据使有价值的信息变得极为分散,不能在有限的时间内抓取用户全面的数据。随着人工智能算法的广泛应用,蕴藏在网络空间中的海量个人信息(浏览记录、阅读兴趣、行为习惯、位置信息和消费记录等)像滚雪球般地急速增加,人工智能能够在极短的时间内通过算法统计挖掘分析信息,使数据成为了具有高度应用价值和商业价值的“数据黄金”[6]。其中,人工智能的商业价值尤为凸显。对商业环境的健康运行而言,个人信息至关重要[7]。例如,网站为了扩展自己的商业机会,通过算法推荐技术分析网站用户的个人消费习惯数据;网络购物网站通过算法对消费者以往的消费习惯进行分析后推荐同类的商品,这已经成为了各大购物网站的促销手段。再比如,在购物网站浏览图书或商品之后,紧接着登录“今日头条”等新闻平台时,平台会自动推荐之前浏览过的图书或商品甚至相关或类似的书籍。可以发现,人工智能算法应用已经充分发挥了个人信息在我们日常生活中的经济价值和社会价值。鉴于此,人工智能算法不仅推动了电子商务的变革,而且也转变了商业运营模式甚至有学者断言:“个人信息已经成为现代商业和政府运行的基础动力。”(参见Perri Six, Private Life and Public Policy, The Future o f Privacy,Vol.1, 1998,pp23)“在商业运行中,个人信息已经成为营销之目的而被广泛使用。”(参见戴恩·罗兰德、伊丽莎白·麦克唐纳德:《信息技术法》,武汉大学出版社2004年版,第298页),个人信息的经济价值和商业价值急剧膨胀,引发了个人信息使用者财产性法益的扩张。
(二)人工智能算法应用的危机与刑法关切
人工智能算法的本质是解决问题的数学过程[8]。人工智能算法独特的运行逻辑导致法律赖以存在和生存的社会场景发生变化[9],使人们日益被数据化和算法化[10],可能对个人权益甚至对公共安全法益带来风险。尤其是人工智能算法的应用提升了个人信息所具有的经济价值,使得针对个人信息的违法犯罪行为与日俱增。
1.个人信息整合后的不当利用造成隐私风险
对于大多数用户而言,人工智能算法如同一个“技术黑箱”[11],难以看清庐山真面目。根据2017年5月8日最高人民法院和最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条的规定《解释》第1条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”,公民个人信息是身份识别信息,身份识别的标准分为“单独识别”与“结合识别”。对于人工智能算法而言,任何可数字化的事物,都是信息[12],即涉及个人的可数字化的分散单一信息或行为痕迹,经过应用人工智能算法就会形成具有指向性的身份识别信息,故通过应用人工智能算法结合识别出来的个人信息就是信息性隐私根据我国民法学界通说,隐私大致可分为安宁性隐私和信息性隐私两大类。安宁性隐私要求私人住宅不被侵犯、秘密活动不被他人偷窥或监控;信息性隐私则要求个人秘密不被他人随意公开或滥用。(参见程啸:《侵权责任法》,法律出版社2015年版,第168-173页)。这种整合形成的整合型信息性隐私已经成为了隐私信息的常态现象[5]。例如,用户在购物平台中所点击、浏览或者购买过的各类商品都会被人工智能记录下来。虽然这些记录简单粗糙,但是,人工智能通过算法来推算出用户的兴趣。因此,人工智能算法在此就会被看作用户行为信息的收集器和分析器[13]。客观而言,这些通过应用人工智能算法整合后取得的信息,如果合理运用可以带来很多便利。例如,从用户对算法新闻认可度的调查来看,约40%的参与者认可人工智能算法应用在新闻分发领域;42%的参与者认为人工智能算法可以为用户提供全新的阅读习惯和信息获取模式;约41%的参与者认为人工智能算法节省了用户大量时间[14]。
智能社会多领域人工智能算法的创新应用对个人信息性隐私构成了严峻的冲击。根据学者的研究可知,约67%的参与者认为其隐私通过个人信息收集或浏览记录被披露并被他人利用[14]。人工智能在用户不知晓的情况下对用户信息进行追踪和密集收集,并对这些数据进行算法分析,挖掘了用户不愿为他人知晓的敏感信息,构建出了用户完整的人格图像[15]。更为严重的是,用户个人信息被许多企业二次或多次利用获取了一定的经济价值,例如广告投放等。传统个人信息保护架构其机制建构在“知情同意”(notice-and-consent framework)架构的基础上,其立法模式通常是“强同意”。但是,正如学者所言,“隐私声明远非为人类使用而设计”[16]。用户对信息获取者提供的冗长隐私声明仅仅是一瞥而过并点击“同意”,使隐私声明沦为一纸空文相关研究表明,用户仅阅读一年中使用的网络服务的隐私声明就要花费244小时的时间。(参见范为:《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期,第93页)。与此同时,“知情同意”架构在司法实践中也表现出了鲜明的弱化倾向。例如,在“百度公司与朱某隐私侵权纠纷案”中,法院根据“场景和风险导向”模式认为,网络服务提供者通过算法向用户提供的个性化推荐服务,并未是个人信息直接向第三方或公众展示或公开,不符合侵害个人信息隐私的行为。可见,此种现实和司法实践使得数据获得使用者逃脱了传统“知情同意”架构[17]。然而,这种告知义务和同意形式的放宽本身就存在个人信息被滥用的风险。
2.信息主体的控制力减弱
人工智能算法应用使个人信息作为基础性的生产资料,个人信息日益成为了企业提升竞争力的核心。人工智能在收集个人信息,通過算法使个人信息成为价值创造的源泉的同时,也重构了向去中心化方向发展的个人信息生态系统(personal data ecosystem)[18]。与此同时,在人工智能算法中,算法定义的对象逐渐变成被数据化和计算化的个人,客体个人可以被计算、被预测和被控制[19]。这种技术的异化导致的最终结果就是个人对自身信息的控制能力日益削弱,人与人之间的信任逐渐转向对机器和算法的信任[20]。
二、问题的提出:个人信息利用与刑法保护再平衡
人工智能算法是智能社会及其法律秩序的核心[2]。在智能社会,整个社会对人工智能算法的应用依赖和应用需求不断在增强,人工智能算法利用个人信息在不断增进个人和社会福祉的同时,也可能引起信息主体的权益受到威胁和侵害。由此,个人乃至整个社会都催生了个人信息保护的需要。但是,人工智能算法在利用个人信息时却又增加了信息使用者的利益,即增加了信息使用者合法、合理和安全使用个人信息的法益。面对彼此冲突化的个人信息生产者和信息使用者本文中的信息生产者是信息主体,信息使用者是信息企业。的利益,刑法必须在无限需求和有限资源之间寻求平衡的最佳机制,实现不同利益上下位阶的合理安排[7],而目前我国刑法尚未完成此种合理安排。
(一)信息私权化使人工智能算法个人信息利用刑法规制错位
人们已经从互联网、大数据时代进入到了智能时代。在智能时代,信息的开发和利用在很大程度上依赖于信息的共享,而信息使用者盈利的主要模式也是信息的共享。所以,智能时代信息采集和共享的方式在发生日新月异的变化。在智能时代,应用人工智能算法最大限度地获取了个人信息,既节省了成本,又创造了更大的社会效益,成为信息共享利用的一种重要方式。但是,现阶段信息刑法立法是以信息权入法为基础,将信息的私权保障与利用作为基本原则,轻信息使用者的利益、重信息主体的保护。所以,如不对个人信息私权化进行调整,除了抹杀信息的共享之外,更为严重的是会扼杀人工智能算法技术的继续发展,不利于合作、共享、繁荣社会的构建。
法律是时代的产物[21]。随着信息技术的发展,刑法作为“后置法”也开始回应信息和隐私威胁的持续蔓延[22]。我国以《刑法修正案(七)》《刑法修正案(九)》和《解释》为标志,正式设立了“侵犯公民个人信息罪”并扩大了犯罪主体和侵犯行为的范围,初步建立了个人信息的刑法保护体系。由此可知,目前我国刑事立法对大数据(信息)保护等方面的表现就是犯罪化[23]。除此之外,侵犯公民个人信息罪的法条设置属于典型的空白罪状立法模式,为了确保统一法秩序下公民个人信息的有效保护,法条中“个人信息”的认定无疑应以《民法典》在内的前置法为基础[24]。然而,一方面,我国《民法典》总则第五章第111条规定,“自然人的个人信息受法律保护”;另一方面,第四编人格权第六章第1034条至第1039条则对个人信息保护做了详细的规定。所以,在民法领域出现了个人信息是隐私权还是新型个人信息权之争。而我国民事司法实践则更倾向于在隐私权的框架内对公民个人信息的保护参见北京市第三中级人民法院(2016)京03民终9992号民事判决书;北京市第一中级人民法院(2017)京01民终509号民事判决书;广西壮族自治区百色市人民法院(2015)百中民一终字第1199号民事判决书。。但是,随着个人信息内容的不断扩充,“隐私性”不再是个人信息的构成要素2016年11月7日发布的《网络安全法》对个人信息的定义删除了“隐私信息”的描述,不再区分“能够识别公民个人身份”的信息与“涉及公民个人隐私”的信息,统称为“能够识别公民个人身份”的信息。(参见商希雪:《个人信息隐私利益与自决权益的权利实现路径》,《法律科学》2020年第3期,第72页)。与此同时,除了《民法典》明确并列规定个人信息保护和隐私权保护[25]之外,在网络信息技术迅猛发展之下,个人信息财产利益的保护需求也愈发强烈[17]。所以,个人信息权益在性质上属于一种集人格利益与财产利益于一体的综合性权利[26],即个人信息权。个人信息权起源于德国,作为不同类型和性质[27]的新型权利本文中的新型权利和新兴权利是同一概念。,个人信息权是指“个人依照法律控制自己的个人信息并决定是否收集和利用的权利”[28]。根据当今民法通说观点,“权利就是为了满足个人利益,由法律规范授予人的意思力”[29]。所以,个人信息权的基础是个人的自决权,权利人同意他人收集、利用都是权利人控制权的具体表现[30],其本身体现的就是一种私益[28]。所以,为了保护个人自身信息利益而产生的权利是个人信息权,由当事人决定个人信息权的行使和利用,其是当事人的一项私法权利[31],即绝对控制权。
侵犯公民个人信息罪中,“个人信息”所包括的内容成为侵犯公民个人信息罪的构成要件之一,所以,民法中对“个人信息”权利的私权性认定则成为侵犯公民个人信息罪的违法性根据[32]。这也决定了侵犯公民个人信息罪是法定犯[33]。对于法定犯而言,要确定行为违法性的前提是确定行为人是否实施了违反前置法的行为[34]。根据民法关于个人信息控制权属性的认定,个人信息权与物权一样属于民法中的绝对权[28],信息使用者在收集、利用个人信息时必须尽到最大的注意义务[34]。鉴于此,为了明确“个人信息”所包含的内容,使信息收集、利用者能够更好地履行注意义务,刑法在不断扩大“个人信息”的范围。根据《刑法》第253条“违反国家有关规定”此表述,该条文的前置法并不仅仅局限于民法,作为行政法的《网络安全法》可以是另一个前置法。我国2017年颁布实施的《网络安全法》第76条规定了个人信息的范围《网络安全法》第76条第5款规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。。与此同时,《解释》第1条也明确规定了个人信息的范围。但是,个人信息的范围大于《网络安全法》的规定,即增加了“账号密码、财产状况、行踪轨迹等”。然而,刑法中的个人信息概念与《网络安全法》规定的不一致的现象,已经违背了法定犯的立法初衷[33]。所以,如果刑法在保护个人信息中完全以个人信息主体对信息的私权保护为原则,则极有可能造成对人工智能算法行为处罚范围的扩大就《刑法》适用而言,办理侵犯公民个人信息刑事案件,特别是对相关获取、提供公民个人信息行为定性时,要对标《民法典》的相关规定,坚决防止将符合《民法典》规定的行为认定为“违反国家有关规定”,甚至按照犯罪处罚。,导致应用人工智能算法只要分析个人任何一类信息就有可能构成犯罪,此为刑法规制的错位。如果此种趋势继续发展,则必然导致个人信息的共享利用会遇到根本上的难题首先,信息越关联越有价值,但是,“个人信息”内容的扩大不利于破解地域性、狭隘性、封闭式的运营模式;其次,信息不能被独占,不能有绝对排他性状态存在,如果“个人信息”内容不断扩大,则必然导致信息领域新型“公地悲剧”的出现。(参见任颖:《数据立法转向:从数据权利入法到数据法益保护》,《政治与法律》2020年第6期,第136页)。
(二)信息私权化使人工智能算法个人信息利用刑法规制提前
如前所述,在信息已经成为“黄金”的时代,人工智能算法将从以能源、资本为核心的工业时代的经济发展模式转变为以网络信息为核心的经济发展模式,其正在成为一种创造财富的手段。特别是信息使用者(数据控制者)信息控制者又称为数据控制者,数据控制者来源于欧洲委员会的《个人数据自动化处理中的个人保护公约》,其使用“档案控制人”,之后的《个人数据保护令》《通用数据保护条例》都采用了数据控制人,用来涵盖所有可以决定数据处理或使用目的的主体,并非实际控制个人数据者。因此,信息使用者和数据控制者可以互换使用。通过人工智能算法增长着自己对数据的财产权益数据经济是一种双向动态结构,且在生产重要经济价值的数据收集、存储、加工、利用等环节中,用户授权或协议同意数据经营者进行数据采集,数据经营者则通过开展集合加工等活动实现数据的资产化。(参见刘新宇:《大数据时代数据权属分析及其体系构建》,《上海大学学报(社会科学版)》2019年第6期,第20页)。然而,《刑法》第253条“侵犯公民个人信息罪”的空白罪状特征,使得民法领域对个人信息作为一种新型权利即个人信息权的认定影响到了刑法对个人信息的保护,其结果就是除了扩大侵犯对象“个人信息”所包含的内容之外,更为重要的是又导致侵犯公民个人信息罪客观构成要件行为的扩大化。
根据我国《刑法》第253条第1款的规定,侵犯公民个人信息罪的客观构成要件是“违反国家有关规定,向他人出售或者提供公民个人信息”。民法作为前置法,个人信息权在民法领域不断被承认导致我国《刑法》对个人信息的保护从以转移型侵害为核心的刑法规制思路当前,个人信息专门刑法规定只对非法提供(出售)、获取、泄露个人信息的转移信息型行为处以刑事责任。扩大到包括信息滥用在内的行为的刑法规制上。尤其是我国《刑法》对“合法取得,不当滥用”个人信息行为尚未作明确规定,难以通过刑法规制加以有效防范,导致刑法的严重失灵。所以,《解释》第3条就规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法253条之一规定的‘提供公民个人信息’。”但是,《解釋》无法适应数据流动和利用的巨大市场需求,除了抬高个人信息使用的门槛之外,还加速了侵犯公民个人信息罪的成立,即只要信息使用者(数据控制者)未经信息主体同意而使用他人信息,就能认定信息主体的信息自决权受到侵犯,信息使用者(数据控制者)的行为构成侵犯个人信息罪。进一步说,“同意规则”一般化的法律效果就是个人信息被刑法所保护,其目的就是防范因个人信息被滥用而可能产生的抽象危险,因为侵犯个人信息的行为具有造成个人隐私权受侵害、名誉受损或财产损失的潜在危险性。可以说,在刑法犯罪构成要件中规定行为与结果之间具有典型的危险关系,不考察行为是否实际侵犯了法益或制造了法益侵害
危险的犯罪就是抽象危险犯。所以,侵犯个人信息罪是一种抽象危险犯。在刑法学界,刑法为什么规定抽象危险犯?笔者认为,除了体系内因素,即“抽象危险犯是对法益保护的前置化措施”[35]之外,还有一个体系外因素,就是现代性风险控制逻辑与抽象危险犯理论结构相互暗合。具体到信息时代,网络技术的发展使得个人信息生态系统朝着去中心化方向发展,个人信息主体除了与服务提供者之间产生直接的联系之外,还要面对信息间接使用者和信息后续利用者对信息的使用。因此,信息主体对个人信息的控制能力日益削弱。更为严重的是,随着人工智能算法技术的出现,信息使用者(数据控制者)通过算法更容易获得他人不愿让人知晓的明暗信息,为个人带来了不安、困扰,乃至造成财产损失。所以,为了让个人能更好地控制自身个人信息,在积极的个人信息支配权的影响下,刑法秉承了大数据时代个人信息利用的严格控制,并制定了相关规定。但是,这些规定在信息主体利益保护方面具有严重的规制超前性《解释》意在强调,侵犯公民个人信息罪不是针对结果,而是对行为人进行非难,只要求行为人明知自己提供或购买个人信息就构成犯罪。,其极容易忽视数据使用者(数据控制者)的合法利益。
三、新型法益的证成:人工智能算法个人信息利用与个人信息刑法保护之法益
侵犯公民个人信息罪作为刑法分则侵犯公民人身权利、民主权利罪中的具体罪名,其侵犯的是公民最基本、最重要的个人专属权利。就目前来讲,在新型权利——个人信息权的影响下,刑法对信息主体赋予了权利,对信息使用者(数据控制者)则增加了义务。但是,这种脱胎于隐私保护、以个人自决为核心的个人信息权,其强调个人对自身信息的控制美国学者认为,隐私必须被重新界定为“个人、群体或机构对自身信息在何时、何地以及在什么程度与他人沟通的主张,导致个人对自身信息控制的独立意义”。(参见Alan Westin,Privacy and Freedom,Atheneum Press,1967,pp7)德国理论界认为,通过“小普查案”和“人口普查案”等案例,德国已经确立了个人信息自决权。(参见彭礼堂、饶传平:《网络隐私权的属性:从传统人格权到资讯自决权》,《法学评论》2006年第1期,第60页),在理论上有一定的缺陷。
首先,个人信息权不具有周延性。从个人信息权在西方提出的社会背景和立法轨迹来看,电子计算机出现并广泛应用是个人信息权出现的前提,即个人信息权是电子计算机技术的产物。所以,个人信息权仅仅适用于电子网络环境下的个人信息的控制,并不能适用于日常生活和传统媒体的信息控制,也不能成为一种普遍适用的权利。
其次,在以个人信息权为基础的个人信息保护规则中,并不能找到个人信息为个人所独占《通用数据保护条例》第1条第2款明确规定:“本条例保护自然人的基本权利和自由,特别是保护自然人享有的个人数据保护的权利。”该条文明确表明了个人享有个人数据而非独占。,并能排除他人合理使用、分享和流通的相关规则。立法确立个人信息权的目的似乎更多倾向于有效阻止个人信息被非法滥用。
最后,个人信息权忽视了大量个人信息已经被他人分享的现实,无法保证信息使用者(数据控制者)的利益。在智能社会,个人信息使用者(数据控制者)利用算法对个人信息进行分析,从而生产出更受大众欢迎的产品,如果个人信息再依“权利说”成为信息主体的“专属品”,则不能刺激个人信息使用者(数据控制者)保护个人信息安全的积极性,不利于个人信息使用者(数据控制者)利益的保护。
法律是为保护利益而生,法所保护的利益即为法益,在立法中,保护利益的手段之一是创设权利。所以,有些学者指出,现今新型权利的研究“仅仅将重心放在外在经验的生活化描述上”[36],少有本质的探讨。具体到人工智能算法技术下个人信息的刑法保护,其本质是共同保护信息主体和信息使用者(数据控制者)的利益,所以,必须从权利说出发并超越权利说,即从作为权利上位概念的法益[37]角度来平衡人工智能算法个人信息利用与个人信息刑法保护之间的利益冲突。
(一)信息用益权是人工智能算法信息使用者利益的基础
在物理世界,个人特征与特定主体不可分离,即个人特征必须依附着某个特定主体。但是,在互联网时代,个人特征的表现形式则转换成为数据并广泛存在于网络世界中[38]。当下,随着互联网和新一代信息技术的发展,人类又进入了网络信息时代,数据已经成为创造和捕获价值的新经济资源,成为财产权的客体。例如,我国《民法典》第127条明确规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”但是,我国《民法典》对数据和个人信息做了明确的区分,即上述表明个人特征的数据在《民法典》第四编人格权中称为个人信息,并通过第1034条至第1039条对个人信息权进行了较为详尽的保护。所以,在我国《民法典》中,表述个人特征的个人数据被称为个人信息,这与其他类型的数据是相互区分的,具有不同的权利属性。当下,民法作为前置法深深地影响着刑法,特别是对我国《刑法》第253条之一“侵犯公民个人信息罪”的影响尤为深刻。民法中数据与个人信息两者权利属性的不同认定,在《刑法》第253条之一“侵犯公民个人信息罪”中出现了单一赋权思维模式,即侵犯公民个人信息罪仅保护人格权下信息主体的个人信息权,并造成了信息主体与信息使用者之间利益的失衡。为此,刑法必须调整思路,重新构建个人信息权利体系,以便信息使用者利益的有效保护。
刑法在保护个人信息时出现信息使用者和信息主体利益的失衡,其问题的根本在于对个人信息属性的认定。根据我国《民法典》的规定,无论是隐私权还是新型个人信息权,都属于人格权下的權利我国《民法典》中个人信息的保护条款体现在第四编人格权编中。,所以,其不具有财产权属性。其中,隐私权倡导者认为,对任何数据的控制都会对个人信息控制造成风险,如果信息使用者通过财产权来控制个人数据,则不可能保护隐私权。此种推理的结果就是个人数据等于个人信息[39]。但是,笔者认为,个人信息并不等同于个人数据,因为:一是数据是人类发明的一种符号,而信息是人对这种符号的认识,具有一定的主观性,信息是经过加工处理后的数据[40]。除此之外,在互联网信息时代,许多单个零星的个人数据并不必然是个人信息。尤其是通过人工智能算法应用取得的相关个人信息更不是简单的个人数据。如果把侵犯公民个人信息罪中的个人信息简单等同于个人数据,那么,不属于个人信息的个人数据就不能被纳入到保护范围中。二是通过人工智能算法应用取得的个人信息。根据洛克所倡导的劳动论,利用人工智能算法的信息使用者在对个人数据进行分析的过程中付出了劳动,享有劳动产品的财产权。有鉴于此,个人信息的实际控制者是信息使用者,那么,在人工智能技术下,信息使用者对个人信息的实际控制其权利属性是什么?笔者认为,在网络信息时代,大多数信息使用者通过授权协议取得相关个人数据并通过人工智能算法分析出所需要的个人信息。所以,信息使用者除了具有使用该信息的权利,还拥有通过信息获益的权利。此种具有利用和收益两种权能的权利就是一种用益权[41]。
用益权制度发端于罗马法,并对后世民法典产生了重大影响。在大陆法系的传统意义上,用益权属于人役权的范畴,是为了特定人的利益而设立。所以,对权利主体、权利行使等方面作了较大的限制,其体现在“人役权不可转移原则”上。但是,网络信息时代,特别是当下与数字经济相结合的网络信息时代,作为信息所有人的信息主体只能支配着作为信息基础的数据,尚不发生网络信息时代意义上的信息的利用和收益问题。所以,为促进信息权益的畅通流转并确保各方的交易安全,构建信息用益权制度尤为重要。与此同时,信息用益权显然不能等同于我国立法上的“用益物权”。信息用益权是围绕着信息管理和利用所形成的一种兼容性财产权[39]。信息用益权的出现并不违反物权法定原则。根据《民法典》第三分编用益物权第323条的规定,对“他人所有的不动产或者动产都可以设定占有、使用和收益的权利”。所以,对他人个人数据权可以设定信息使用者对信息使用和收益的用益权。有鉴于此,在民法领域应该确认信息使用者所拥有的信息用益权,其中,个人信息权属于作为信息来源的信息主体,而用益权则属于信息使用者。只有民法中信息用益权的确立,才能使刑法中形成个人信息保护的“个人信息权+用益权”的两权分立模式。当信息使用者对信息具有控制、开发、许可和转让等用益权时,刑法才能保护信息使用者的合法权益,侵犯公民个人信息罪才能在保护信息使用者和信息主体利益方面达到平衡。
(二)个人信息安全是侵犯公民个人信息罪中保护的法益
随着信息用益权的提出而形成的对个人信息保护的“个人信息权+用益权”的两权分立模式,使得刑法在侵犯公民个人信息罪中所要保护的不仅仅是信息主体的利益,而且也应该包括合法拥有公民个人信息的信息使用者(数据控制者)的利益。而要达到这一目的,就必须对刑法中公民个人信息罪保护的法益进行重新定义,以使其能够促成个人信息刑法保护体系的形成。
1.刑法应从局部特殊保护到整体同等保护
德国宪法法院的相关判决指出,为了实现国家赋予的保护责任,立法者有义务动用刑法手段来保护人民共同有效的生活。但是,立法者动用刑罚必须具有宪法上的正当性,即当刑法是共同生活保护的最后手段时才能允许动用刑罚[42]。这明确确立并形成了刑法与其他部门法之间的规范分工和结构安排,即在宪法价值秩序的指引下,刑法之外的前置法确立了法律保护的生活利益即法益,所以,前置法应作为调整性规范调整性规范以法律权利和义务的设定为内容,以假定和处理为形式。。而刑法包含着责任和制裁形式,对调整性规范确立的法益给予了保护,所以,刑法应该具有保护性规范保护性规范以法律责任的设定为内容,以假定和制裁为形式。的任务。虽然前置法也包含着一定的保护性规范,即第一保护性规范,但是,通过第一保护性规范来实现责任的强度和严厉性终究有限,难以有效恢复重要的调整性法益,通过刑事责任的追究与制裁的实施来对第一保护性规范予以强力增援就只能是作为第二保护性规范的刑法的任务。具体到人工智能算法技術下个人信息的刑法保护问题而言,作为前置法第一保护性规范的我国民法对信息用益权尚未作明确规定我国《民法典》规定,用益物权包括土地承包经营权、建设用地使用权、宅基地使用权、居住权和地役权等。,导致了作为前置法的民法对信息使用者信息用益权的保护滞后。同时,作为最严厉、对前置法的利益保护起到增援作用的刑法,在前置法的影响下也同样不能保护信息使用者的利益。所以,在刑法对前置法起到增援作用的同时,必须把保护的范围从仅仅保护信息主体利益的局部特殊保护扩大到包含信息使用的利益的范围,以便达到信息主体和信息使用者利益整体的同等保护。
2.刑法应从权利保护转变为信息安全法益的保护
利益作为事实概念,是法益的“前生”,而法益是规范概念,是利益的“来世”[43]。刑法法益的来源是经验事实,即利益,而刑法保护利益的手段之一就是在立法中创设权利。但是,刑法并非保护权利,而是保护利益,即在刑法中通过规范评价被称为法益的利益。有鉴于此,《刑法》第253条之一“侵犯公民个人信息罪”中刑法保护的利益是信息主体的法益和信息使用者的法益,而两者的法益都涉及信息利用、使用和收益等有关信息安全的问题。所以,重视个人信息自身安全或许能够满足信息主体个人信息权利和信息使用者信息用益权保护的双重需求。所以,刑法对个人信息的保护应从新型权利转变为新型法益,即个人信息安全法益。
个人信息安全法益是法律所识别、确认、保护的信息安全利益。个人信息安全法益不同于个人信息权利,两者之间的差异是刑法信息立法从新型权利保障转向新型法益保护,并为个人信息安全法益的保护奠定了法理基础。从功能方面看,个人信息安全法益的刑法保障是刑法对特定主体(信息使用者和信息主体)信息利益的认可。正如哈赛默所说:
“构成合法法益基础的是单个的个人利益,而非群体的和国家的利益。”[44]“刑法的任务是法益保护”[45],这是现代刑法学的核心概念。而个人信息权利则强调的是信息权利人(信息主体)的自由意志以及由此而来的选择自由[46]不被非法干预。从价值方面看,个人信息安全法益既保护公益又保护私益,而个人信息权以信息私益保护为侧重点,忽视了社会共同信息秩序的维护。从应用方面看,个人信息安全法益除了可以保护信息主体和信息使用者的利益之外,还可以保护信息间接使用者等多主体的利益。因此,个人信息安全法益的适用前提是多样化的信息利益的衡量。而信息权利的适用则是单向度的,即仅仅保护信息主体的利益。从总体上看,刑法中个人信息安全法益的确立不仅具备现实基础,而且还有深刻的理论基础。首先,刑法确立个人信息安全法益源于刑法对多样化的信息利益保护的现实需求。作为社会的实在利益,个人信息安全法益的存在对个人乃至社会具有有用性和有益性。特别是在人工智能算法技术下,对于信息主体而言,个人信息安全的保障有利于个人人身权和财产权的保障,而对信息使用者而言,其通过算法使个人信息成为争夺市场占有率的新型手段参见山东省泰安市中级人民法院(2014)泰刑终字第27号刑事裁决书。。在此基础上,个人信息安全法益应当成为独立的法律保护对象,“个人信息法益可以成为刑法法益的新内容,并成为独立的刑法保护对象”[47]。其次,个人信息安全法益应成为刑法信息保护立法的核心。一是个人信息安全法益在刑法信息保护中的确立可以破解刑法个人信息保护的私权化,避免刑法规制错位现象的出现。个人信息安全法益是数字经济背景下的新型法益[48]。正如有些学者指出的,信息“不能归入表彰民事权利的客体”“也不宜将其独立视作财产”。但是,随着前置法民法对个人信息权利的不断承认,片面认为个人信息是个人信息权的客体,个人对自身个人信息具有绝对排他权,使刑法个人信息保护私权化,导致了刑法个人信息规制的错位,即不管什么原因,未经信息生产者同意使用个人信息都受刑法的追究。个人信息安全法益的确立赋予了信息使用者刑法法益保障,形成了二元刑法保护模式,避免了刑法规制错位的出现。二是个人信息安全法益在刑法中的确立使侵犯公民个人信息犯罪成为具体危险犯。“刑法是以强制措施来威慑危害社会的行为,从而维系社会秩序的重要手段。”[49]但是,刑法介入并成为维系社会秩序的重要手段必须具有正当性。即,刑法“除了维系社会秩序之外,在规范保护层面还有规制的必要性”[50]。所以,刑法在规范层面规定,只要有“出售或者提供”行为,就构成侵犯公民个人信息罪,使侵犯个人信息罪成了抽象危险犯。但是,刑法中个人信息安全法益的确立给予了信息使用者使用和收益的利益,信息使用者只有通过非法收集信息、非法交易信息获取利益时,才能受到刑法否定性评价。即只有信息使用者的行为产生具体的危险时,才能承担侵犯公民个人信息罪的刑事责任。
四、场景化行为主义规制:个人信息安全刑法保护与人工智能算法个人信息利用刑法规制
“刑法在国家对公民权利的所有干涉中是最严厉的一种,只有在比较轻缓的手段不能充分保证效果的情况下,才允许适用刑法。”[51]有鉴于此,刑法并不保护所有的法益,刑法只保护其他前置法不能给予充分保护的法益,即刑法向前置法保护法益提供增援。所以,根据罪刑法定原则,刑法所保护的法益必须在刑法中明文规定。现阶段,我国刑法在侵犯公民个人信息罪中承认的遭到破坏的法益是个人的人身权利。对新型个人信息安全法益,刑法尚未给予承认。虽然如此,但是这不能成为我们坐以待毙的理由,出现问题必须勇敢面对并予以解决。通过对人工智能个人信息利用与个人信息刑法保护之间紧张关系的分析了解到,两者之间的主要问题在于个人信息主体与信息使用者在个人信息利用和收益方面的利益冲突。所以,笔者认为,首先,刑法个人信息安全问题不能通过个人信息权来解决。侵犯公民个人信息罪的核心是通过重点防控个人信息非法获取、泄露的行为来保护个人信息本身的保密性、完整性和可用性等静态安全问题[52]。但是,随着人工智能算法技术的迅猛发展,个人信息安全在形式、内容上均有了不断的异化,尤其是信息使用者通过算法分析个人信息,不断提供各类新产品,推动着数字经济乃至社会经济的发展。信息使用者与个人信息之间有密切的财产联系,此种趋势给现行刑法对侵犯公民个人信息罪的评价治理模式带来了新的挑战。其次,人工智能算法技术承认个人信息使用者在个人信息方面的利用和收益的用益权,如不做好监管,则必然会导致过度采集目标用户的基本信息、上网习惯、消费记录、位置信息等,给个人信息生产者的个人信息安全带来风险。例如,2018年的美国Facebook数据泄露事件等。由此可见,大数据信息的庞大性、复杂性容易造成信息的泄露和受损,一旦作为信息使用者的企业等对信息利用安全的控制力度不足,就会带来信息的滥用风险[53]。所以,必须对信息使用者设定大量的数据安全保障义务,确立信息使用者的保证人地位。总之,互联网信息时代,人工智能算法技术下个人信息的刑法保护问题的来源及出现的各类问题的根源都在于人们对信息使用者利用个人信息的恐惧,其解决问题的路径是在不损害信息使用者合法利益的前提下,合理规制信息利用的算法行为,不对信息主体的个人信息安全造成损害。笔者认为,考虑到信息主体和信息使用者对个人信息各自具有的利益,从行为主义规制的进路出发,在个人信息使用的不同阶段和不同场景分不同的情况进行刑法规制和保护。场景化行为主义规制不同于刑法上的行为主义规制,刑法上某些行为被确定为犯罪之后,该行为在任何一类场景中都会被认定为犯罪。场景化行为主义规制是指对行为进行规制的必要性和合理性完全取决于不同的场景,即行为的规制高度场景化。人工智能算法个人信息利用的刑法规制和个人信息的刑法保护都与个人信息安全有关,使得个人信息方面存有多重权益。正因为这种多重权益的存在,使人工智能算法个人信息利用刑法规制和个人信息刑法保护不能制定出统一或单一的规制和保护标准。为了保护个人信息和促进信息使用者的权益,刑法必定要重点考虑行为实施的场景变化。
(一)个人信息安全的刑法行为主义保护
人工智能算法是指“网络服务提供者对网络用户在一定时间内已经做出的历史选择记录、评论以及相关辅助信息进行分析后发现网络用户所关注的信息并进行个性化推送信息的技术”[54]。所以,在人工智能算法中,信息(数据)成为了基础原料,信息(数据)在人工智能算法下得到了进一步的分析并产生出了新的信息(数据)。但是,随着人工智能算法的不断推广应用,个人信息保护方面的风险在日益增加。例如,信息使用者未经个人信息生产者同意,擅自使用他们的信息,侵犯信息主体个人信息权的行为不断出现。因此,个人信息的刑法保护应根据不同行为所可能侵犯的信息主体与信息使用者的权益而进行不同程度的规制。
信息收集阶段,对个人信息的保护应采取相对宽松的刑事政策。侵犯个人信息罪的源头是信息的收集行为。但是,在智能社会,个人大量信息已经被他人分享,个人信息被他人所收集已成为普遍行為。为此,如若在个人信息的收集阶段,刑法采取的是严格保护个人信息的刑事政策,那么,必然会阻碍个人信息的合理使用、分享和流通,造成信息使用者法益受损。所以,在信息收集阶段,信息收集者只要不使用欺诈或胁迫等刑法禁止的行为,其收集信息的行为则不构成犯罪。即使在信息收集阶段个人信息拥有者和收集者之间发生争议,也要尽量使用前置法(民法或行政法)来解决争议。
相比起个人信息的收集,个人信息的处理会直接造成信息主体法益的受损,所以,在个人信息的分析处理阶段应采取严格、区分的刑事政策。信息使用者具有合理使用、分享和流通信息的权益,但此种权益不能滥用。所以,刑法必须在保护信息使用者合法权益的同时,也要严格限制并处罚信息使用者的滥用权益行为。为此,必须对我国《刑法》第253条之一“侵犯公民个人信息罪”进行修订。根据我国《刑法》第253条之一“侵犯公民个人信息罪”的规定,该条文并没有明确“向他人出售或者提供的公民个人信息”是经过算法分析的可识别性个人信息还是原始取得的非可识别性个人信息。这种不区分直接导致的结果就是只要向他人提供任何一类个人信息都可能构成“侵犯公民个人信息罪”。所以,为了保护信息使用者的合法权益,同时又不失去权益滥用行为的刑法处罚,《刑法》第253条之一“侵犯公民个人信息罪”就要进一步明确“向他人提供的个人信息”的类型。
(二)人工智能算法个人信息利用的刑法行为主义规制
2019年发布的《数据安全管理办法(征求意见稿)》第17条规定:“网络运营者以营利为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。”人工智能从某种意义上说是一种能够自主学习、判断的算法[55]。智能社会,人类把选择权和决策权让渡于算法,算法取得了决策权和控制权。但是,算法的高度技术性,使算法的运行往往掌握在专业人士手中,这使得技术中立原则早已消失,算法并非绝对中立。在信息利用者通过人工智能算法分析信息生产者的个人信息时,刑法规制的中心应当立足于人工智能算法利用者的主观故意或过失。
具有主观故意并实施行为是构成侵犯公民个人信息罪的重要构成要件。信息使用者利用人工智能算法技术分析他人个人信息时,不得有故意侵犯信息主体个人信息的主观故意并实施行为,如果明知是属于他人敏感个人信息还继续使用并进行算法分析,应构成侵犯公民个人信息罪。如果因过错利用了他人敏感信息并进行分析,在收到他人的通知之后应立即停止对个人信息的进一步算法分析,收到通知之后仍不停止算法分析行为,信息使用者的行为应构成侵犯公民个人信息罪。
我国《刑法》第253条之一“侵犯公民个人信息罪”的规定并没有区分行为人在实施行为时是故意、过失还是过错,即“向他人提供公民个人信息时”对信息使用者的主观条件没有进行区分。此种对信息使用者主观条件的不区分直接导致的结果就是只要向他人提供了公民个人信息,即提供行为不管是故意、过失还是过错都构成侵犯公民个人信息罪。在智能社会,为了算法技术的发展和信息使用者信息利用权益的保护,不应扩大信息使用者行为的处罚范围。所以,我国《刑法》第253条之一“侵犯公民个人信息罪”应明确主观条件。
五、结语
智能社会,算法早已是社会发展的驱动器。人工智能算法的应用除创造了新的法益之外,还对个人信息安全造成了恐惧和不安。
所以,“加强个人信息保护已成为社会共识”[56]。
刑法作为最严厉的法,对人工智能算法技术下个人信息的保护问题也作出了回应。但是,我国刑法侵犯公民个人信息罪以个人信息权入法为基础,以信息的私权保障与利用为基本原则,导致了人工智能算法个人信息利用刑法规制的错位和刑法规制的提前。笔者认为,人工智能算法个人信息利用与个人信息安全刑法保护之间的此种紧张关系可通过以下路径加以解决。
第一,人工智能算法技术下个人信息的刑法保护,其本质是共同保护信息主体和信息使用者的利益。
第二,个人信息的拥有并非信息主体的绝对控制权,信息使用者也有安全使用信息的权益。所以,侵犯个人信息罪的传统法益应从权利转变为法益,即个人信息安全法益。
第三,刑法中的法益应在刑法中明文规定,在刑法尚未对个人信息安全法益作明文规定的情况下,考虑到信息主体和信息使用者对个人信息具有的利益,对人工智能算法个人信息利用的刑法规制和个人信息安全的刑法保护应从行为主义规制的进路出发,在个人信息利用的不同阶段和不同场景分不同的情况进行刑法规制。
首先,在信息利用的不同阶段,刑法应采取不同的刑事政策。在个人信息的收集阶段,为了使个人信息合理使用、分享和流通,进而保护信息使用者的合法权益,刑法应采取相对宽松的刑事政策。在个人信息的分析和处理阶段,刑法应采取严格、区分的刑事政策,即除了限制信息使用者滥用权益行为之外,还要保护信息使用者的合法权益。为此,对《刑法》第253条之一“侵犯公民个人信息”中的“向他人提供的个人信息”的类型进行进一步明确。
其次,根据信息利用的不同场景,区分信息使用者的故意或过失。但是,《刑法》第253条之一“侵犯公民个人信息罪”的规定并没有区分行为人在实施行为时是故意、过失还是过错,即“向他人提供公民个人信息时”对信息使用者的主观条件没有进行区分。所以,我国《刑法》第253条之一“侵犯公民个人信息罪”应明确主观条件。
参考文献:
[1]米歇尔·福柯.规训与惩罚[M].刘北成,杨远婴,译.北京:生活·读书·新知三联书店,2013:2.
[2]张文显.构建智能社会的法律秩序[J].东方法学,2020(5):7.
[3]贝尔纳 J D.科学的社会功能[M].陈体芳,译.北京:商务印书馆,1982:317.
[4]霍金.让人工智能造福人类及其赖以生存的家园[J].科技中国,2017(6):87.
[5]顾理平.无感伤害:大数据时代隐私侵权的新特点[J].新闻大学,2019(2):25.
[6]维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州:浙江人民出版社,2013:57.
[7]张宝新.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3):46.
[8]VALENTINE S. Impoverished Algorithms: Misguided Governments, Flawed Technologies, and Social Control[J]. Fordham Urban Law Journal,2019(2):365.
[9]齐延平.论人工智能时代法律场景的变迁[J].法律科学,2018(4):38.
[10]郑智航.人工智能算法的伦理危机与法律规制[J].法律科学,2021(1):15.
[11]陈昌凤,霍婕.权力迁移与人本精神:算法式新闻分发的技术伦理[J].新闻与写作,2018(1):63.
[12]卡尔·夏皮罗,哈尔·R·范里安.信息规则:网络经济的策略指导[M].孟邵莉,牛露晴,译.北京:中国人民大学出版社,2017:2.
[13]莫雅娴.算法推荐新闻与个人信息保护的冲突和平衡[J].编辑学刊,2019(5):41.
[14]黄忻渊.用户对于算法新闻的认知与态度研究——基于1075名算法推荐资讯平台使用者的实证调查[J].编辑之友,2019(6):65.
[15]范为.大数据时代個人信息保护的路径重构[J].环球法律评论,2016(5):93.
[16]LANDAU S. Control use of data to protect privacy[J].Science,2015(6221):504-506.
[17]张忆然.大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角[J].政治与法律,2020(6):63.
[18]The World Economic Forum. Rethinking Personal Data: Trust and Context in User-Centred Data Ecosystems[R/OL] (2014-05-01)[2020-01-12].http://www3.weforum.org/docs/WEF_Rethinking Personal Data_Trustand Context_Report_2014.pdf.
[19]CHENEY-LIPPOLD J. We Are Data: Algorithms and the Making of Our Digital Selves[M]. New York: New York University Press,2017:141.
[20]LUSTIG C,NARDI B. Algorithmic Authority: The Case of Bitcoin [J].Hawaii International Conference on System Sciences,2015(48):743.
[21]喻海松.《民法典》視域下侵犯公民个人信息罪的司法适用[J].北京航空航天大学学报,2020(11):2.
[22]DODD J D. Data Security Law-State Statutory Requirements for Protecting Personal Data[J].American Journal of Trial Advocacy,2015(38):623.
[23]刘艳红.以科学立法促进刑法话语体系发展[J].学术月刊,2019(4):94.
[24]程啸.民法典编纂视野下的个人信息保护[J].社会科学文摘,2019(11):71-73.
[25]李永军.论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础[J].浙江工商大学学报,2017(3):10.
[26]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(7):66.
[27]姚建宗.新兴权利研究[M].北京:中国人民大学出版社,2011:7.
[28]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012(6):70.
[29]程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):111.
[30]李震山.人性尊严与人权保障[M].台北:元照出版有限公司,2000:288.
[31]严鸿雁.论个人信息权益的民事权利性质与立法路径——兼评《个人信息保护法》(专家建议稿)的不足[J].情报理论与实践,2013(4):44.
[32]刘艳红.侵犯公民个人信息罪法益:个人法益及新型权利之确证[J].中国刑事法杂志,2019(5):24.
[33]李怀胜.公民个人信息保护的刑法扩展路径及策略转变[J].江淮论坛,2020(3):118.
[34]蒋玲.刑法中“违反国家规定”的理解与适用[J].中国刑事杂志,2012(7):30-37.
[35]王皇玉.论贩卖毒品罪[J].正大法学评论,2005(84):225-275.
[36]周赟.新兴权利的逻辑基础[J].江汉论坛,2017(5):115.
[37]孙山.寻找被遗忘的法益[J].法律科学,2011(1):60.
[38]周斯佳.个人数据权与个人信息权关系的厘清[J].华东政法大学学报,2020(2):89.
[39]申卫星.论数据用益权[J].中国社会科学,2020(11):110-131,207.
[40]李建新.两岸四地的个人信息保护与行政信息公开[J].法学,2013(7):95-104.
[41]李永军.论我国民法典上用益物权的内涵与外延[J].清华法学,2020(3):85.
[42]徐凯.抽象危险犯正当性问题研究——以德国法为视角[M].北京:中国政法大学出版社,2014:135.
[43]田宏杰.刑法法益:现代刑法的正当根基和规制边界[J].法商研究,2020(6):78.
[44]京特·雅各布斯.保护法益?——论刑法的合法性[G]//当代德国刑事法研究:第1卷.赵书鸿,译.北京:法律出版社,2016:13.
[45]伊沃·阿佩尔.通过刑法进行法益保护?——以宪法为视角的评注[G]//当代德国刑事法研究:第1卷.马寅翔,译.北京:法律出版社,2016:49.
[46]陈景辉.权利的规范力:一个对利益论的批判[J].中外法学,2019(3):585.
[47]赵秉志.中国刑法改革与适用研究:上册[M].北京:中国人民公安大学出版社,2016:454.
[48]任颖.数据立法转向:从数据权利入法到数据法益保护[J].政治与法律,2020(6):140.
[49]凯尔森.法与国家的一般理论[M].沈宗灵,译.北京:商务印书馆,2013:49.
[50]姚万勤.高利转贷除罪化实证研究[J].政治与法律,2018(3):39.
[51]克劳斯·罗克辛.德国刑法学 总论:第1卷——犯罪原理的基础构造[M].王世洲,译.北京:法律出版社,2005:23.
[52]于冲.数据安全犯罪的迭代异化与刑法规制路径——以刑事合规计划的引入为视角[J].西北大学学报(哲学社会科学版),2020(5):94.
[53]张尼,张云勇,胡坤.大数据安全:技术与应用[M].北京:人民邮电出版社,2014:62-72.
[54]熊琦.“算法推送”与网络服务提供者共同侵权认定规则[J].中国应用法学,2020(4):126.
[55]郑戈.算法的法律与法律的算法[J].中国法律评论,2018(2):77.
[56]张力,黄鑫.大数据背景下个人信息保护的公私法衔接[J].重庆邮电大学学报(社会科学版),2021(1):47.
Artificial Intelligence Algorithm Personal Information Utilization Criminal
Regulations and Personal Information Security Criminal Law Protection:
From New Rights to New Legal Interests
MAIMAITI Usman1, ABUDUMIJITI Wumaier2
(1. School of Management, Xinjiang Agricultural University, Urumqi 830052, China;
2. School of Politics and Law, Xinjiang Normal University, Urumqi 830054, China)
In the intelligent society, the protection of personal information in criminal law is based on the entry of personal information right into the law, and takes the protection and utilization of private rights of information as the basic principle, which leads to the dislocation and advance of the regulation of criminal law on the utilization of personal information by artificial intelligence algorithm. When artificial intelligence uses personal information for algorithm analysis, in addition to the personal information right, the information user should also have the information usufruct. Therefore, the criminal protection of personal information must start from the right theory and go beyond the right theory, and return to the personal information security legal interests shared by the information subject and the information user. However, the criminal law has not clearly stipulated the legal interests of personal information security. The criminal law regulation and criminal law protection of artificial intelligence algorithm personal information utilization should consider the respective interests of information subjects and information users on personal information, and carry out criminal law protection and criminal law regulation on personal information and artificial intelligence algorithm personal information utilization from the perspective of situational behaviorism regulation.
(編辑:刘仲秋)
收稿日期:2021-02-21修订日期:2021-06-15
基金项目:新疆维吾尔自治区文科基地重点项目:新疆未成年人犯罪早期预防机制研究(XJEDU2017RI014)
作者简介:
麦买提·乌斯曼,副教授,法学博士(博士后),主要从事人权法和刑法学研究,E-mail:mamat2002@163.com;
阿不都米吉提·吾买尔,副教授,法学博士,主要从事刑事诉讼法研究,E-mail:23600348@qq.com。
作者:麦买提·乌斯曼,阿不都米吉提·吾买尔
摘 要:比较个人信息、个人数据和个人资料这三个近义术语才能厘清《民法典》术语“个人信息”的名称与内涵。“个人信息”之“实”主要反映在立法文本中“个人信息”的定义之中,作者分析了个人信息的权利属性、定义方式、定义要素以及主体权利的内容,从词典、立法文本以及中文法学著作和论文三个层面考察“个人信息”之“名”,发现信息/数据/资料的名称在《民法典》中有着统一且有规律的表述,且在通用汉语词典释义中未造成混淆。个人信息、个人数据和个人资料在中国大陆立法文本中具有一定使用规律,但是在中文法学著作和论文中三个术语彼此干扰、互相混淆的情况较为明显。文章总结出干扰原因主要有三个,同时挖掘出这类术语在中文立法文本中的使用规律,为中国地方立法以及中国大陆学者在著作和论文中引用域外法规提供指引。
关键词:中文变体;个人数据;个人资料;权利属性;个人信息权益
On Name and Nature of Personal Information as a Legal Term in The Civil Code:Discrimination of Chinese Synonyms Personal Xinxi/Shuju/Ziliao//YE Xiang
收稿日期:2021-05-05
基金項目:国家社会科学基金重大项目“一带一路沿线国家法律文本翻译、研究及数据库建设”(18ZDA157);山东省社会科学规划研究项目“《毛泽东选集》平行语料库的中国政治制度特色话语英译研究”(19CWZJ36);山东省高等学校人文社会科学研究项目“基于语料库的《毛泽东选集(1-5卷)》汉英翻译量化分析与对比研究”(J18RB202)
引言
习总书记在中共中央第十四个五年规划和二〇三五年远景目标的建议中提出“加快数字化发展”战略规划[1]。数字化战略和信息科技改变社会生态,个人信息在网络空间易获取,个人信息权益亟须得到保护。《民法典》第一编总则第111条、第127条和第四编人格权编第999条、第1029条、第1030条、第1034条至第1039条共11个条文回应了自然人、法人和非法人该如何在法律框架内合规处理网络空间中泛在的个人信息。为了保护个人信息权益,近年各国掀起不断修订个人信息/数据/资料保护法的热潮,我国也不例外。2020年10月21日公布的《个人信息保护法(草案)》衔接《民法典》,对个人信息保护做了细化规定,由此,“个人信息”之“实”得以框定。
然而,“个人信息”之“名”却因为法律术语“个人信息”“个人数据”和“个人资料”界限不清,给中国大陆推进相关的地方立法、海内外就个人信息/数据/资料保护为主题进行的学术交流造成较大的困扰。在中国大陆中文语境的日常语域中,“信息”“数据”“资料”三个术语在通用汉语词典中界限分明,而合成词“个人信息”“个人数据”“个人资料”属于法律术语,也属于新词,多数通用汉语词典尚未收录。在中国大陆的中文立法文本中,已区分“信息”“数据”“资料”;中国港澳台地区的立法文本,高频使用“個人资料”,中等频率使用“个人资讯”,很少使用“个人数据”。再者,“信息”“数据”“资料”在中文法学论著与论文中纠缠不清,尤其是中国大陆法学学者之间术语使用不统一,个别学者早年和现在使用同一术语时前后期不统一;同时中国台湾地区的法学学者之间术语使用不统一。而两岸法学学者彼此进行学理切磋时,又加剧了这种术语混用的局面。造成这一局面的根本原因是翻译在法律引介和移植过程中规范性(prescriptive)功能不足,描述性(descriptive)功能溢出。
有学者从易于遵循法律、实现保护人格权法益目的、扩大保护效果优于立法术语的字斟句酌等善意的角度,提醒“立法时不宜严格区分数据与信息”[2]。这从最合理地利用有限的立法资源角度来说很恰切。但是,如果能探寻出“个人信息”“个人数据”和“个人资料”在中文法学论著与论文中纠缠不清的原因,在中文立法文本中呈现出来的渐趋清晰的使用规律,实现术语的界清名正、名实两得,这或许让人们更易于遵循法律、实现保护人格权法益的目的。名不正,则言不顺,所以从语言学和法学角度厘清术语“个人信息/数据/资料”名称和定义的内涵、外延的区别以及造成区别的原因,具有学理意义。我们以《民法典》“个人信息”术语的名称和定义为考察中心,以我国大陆和台湾、香港、澳门地区个人信息保护法、新加坡2012年《个人数据保护法令》、欧盟2018年《通用数据保护条例》(GDPR)、美国1974年《隐私权法》等特别法中的“个人信息”或相近的术语为对比参照物,探究中文法学著作与论文中术语纠缠不清的原因,中文立法文本中术语的使用规律,为后续立法、修法扩张中定名正名提供依据。
1 “个人信息”之实
1.1 《民法典》中的个人信息权益
《民法典》作为法律语域中的一个独立语篇,从权利属性上对“信息”和“数据”做了区分,即从“信息”和“数据”语义结构的社会意义上区分了这两个名称的语言形式。从《民法典》的框架来看,在总则编中,“信息”和“数据”分别放在第111条和第127条,分属人格权和财产权之下的具体权利,那么个人信息涉及一种具体的人格权,数据财产涉及一种具体的财产权,个人数据财产也有财产权属性。从是否涉及用益物权的角度,“个人信息”并不必然涉及用益权,也不强调该权益,而“个人数据”的落脚点则在用益物权上。区分“信息”与“数据”涉及的法律权利就可以界定“个人信息”与“个人数据”在用益物权上的不同导向。数据用益权包括控制、开发、许可、转让四项积极权能和相应的消极防御权能,在公平、合理、非歧视原则下行使各项权能可以平衡数据财产权保护与数据充分利用两种价值[3]。
《民法典》第111条关于个人信息和第127条关于数据的条款对自然人而言,是民事权利的宣誓性规定,更是确权性规定[4]。尽管《民法总则》自2017年10月1日起施行后,有学者呼吁在立法中规定个人信息权,“出于维护民事权利理论与制度体系完整性与一贯性的考虑,我国宜采用大陆法系国家的通行做法,在民法等部门法中设立独立的具体人格权实现对人格利益的保护”;《民法典》生效前,学者对个人信息权的定位有三种看法:人格权、财产权或双重属性权利,但“多数学者认同其是一项独立的民事权利”[4]。虽然我国《民法典》和《个人信息保护法(草案)》(仍在公开征集意见过程中)未明确规定“个人信息权”,但是围绕个人信息和数据分别独立确权,而不是停留在权能层面的思路已渐趋清晰,探索性的操作路径也逐渐明晰:个人利益为主、财产利益为辅的二元结构个人信息权;所有权与用益权分离的二元结构数据财产权;个人数据的权利不是可积极利用的绝对权,而数据企业的数据权是绝对权[3-5]。
《民法典》适应新的数字化经济业态,将数据看作独立权利客体,往数据财产权贴合,使个人数据从个人信息中剥离出来。《民法总则》未区分“个人数据”和“个人信息”,《民法典》首次从立法上区分“个人数据”和“个人信息”,实际上是将涉财产权的个人数据从个人信息中独立出来,建构个人数据财产权并予以确权的第一步。《民法典》将个人信息与数据(不是个人数据)分置于体系位置稍远的两个条款的设计构成了“差序结构”,以权利属性区分信息与数据具有建构权利新样态雏形的初始意义[3]。
虽然《民法典》没有规定个人信息权,但是法典却从权利属性这一内涵上区分了“个人信息”和“个人数据”,又从外延的涵盖范围确定了“个人信息”与“个人数据”是包含和被包含关系;体现在权利属性上,个人信息权益处兼有具体人格权和具体财产权的双重属性,这种区分实际上不仅扩张了“个人信息”的权属内涵,而且还扩张了其外延。《民法典》对个人信息含义做扩张处理的法律意义体现在个人信息损害赔偿立法及其理论上可谓比较重大。《民法典》出台前,我国“个人信息保护立法未明确侵害个人信息控制权的损害赔偿额,个人信息控制权的法律属性为人格权”,个人信息遭受侵害后“只能依照《侵权责任法》第20条和第22条的规定确定损害赔偿额”[6]。“个人信息权直接保护的利益是个人利益,因而个人信息权是人格权的一种”,也是“新型的精神性具体人格权”[7]。王利明教授主张的精神损害赔偿加财产救济的方法在2020年10月发布的我国《个人信息保护法(草案)》第65条已实现[8]。该条明确了因个人信息处理活动侵害个人信息权益的,按照个人因此受到的损失或者个人信息处理者因此获得的利益承担赔偿责任;个人因此受到的损失和个人信息处理者因此获得的利益难以确定的,由人民法院根据实际情况确定赔偿数额。“高度可能性”的证明标准可用来证明侵害个人信息的行为,由法官结合案件事实并综合考虑相应的因素加以确定;侵害个人信息给受害人造成的财产损失无法证明时,应当适用法定数额的赔偿[9]。
1.2 “个人信息”定义的互文性
“个人信息”的定义出现在多部法律法规中,构成篇际互文,分析互文性(intertextuality)对理解“个人信息”定义内涵的历时变化具有重要意义,便于了解《民法典》的“个人信息”定义从其他法规中借鉴了哪些元素。任何文本都有其他文本的痕迹(traces),一个文本中的其他文本就是互文本(an intertext)[10]。“文本间相互对话、置换”,“个人信息”的定义出现在不同法律法规中,这是法律文本的一种对话方式,也是法律文本译入译出时以法律移植、置换表现出的文本的“本质特征”[11-12]。《民法典》第四编第六章中的“个人信息”定义汲取之前法律法规的痕迹非常明显,是一种立法推进过程中意义的“建构”,也是法律文本的另一种本质特征[12]。
篇际互文性(interdiscursivity)强调对语篇资源的混合、内嵌和移植[13]。我国《民法典》和《个人信息保护法(草案)》中的“个人信息”与各国英文版法律法规中的personal information/data/material,恰好符合广义互文性与篇际互文性对文本内外身份、主体、意义、社会历史现实以及不同法系和中英双语间的动态联系与转换。
在中文法律文本中,《民法典》“个人信息”定义借鉴了其他法条中“个人信息”的定义或表述,通过对比不同的定义,找寻《民法典》定义中的互文本并分析法律借鉴背后的原因,探究互文性对把握“个人信息”定义中语义要素的作用,对理解该定义的文本内涵有着非比寻常的意义。
规定有“个人信息”的法律、全国人民代表大会常务委员会的决定、行政法规、部门规章、部门规范性文件、国家标准、最高人民法院和最高人民检察院的司法解释及规范性文件多达数十部(个),计数百个条文[14-16]。经过逐一梳理对比,《民法典》“个人信息”的定义从内容相似度来看,亲缘关系最近的有2016年11月7日出台的《网络安全法》和2017年6月1日施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《网络安全法》兼有公法私法性质,司法解释针对公民,而《民法典》保护客体为自然人。《民法典》第1034条对个人信息的定义是“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。在《民法典》颁布之前个人信息的界定,“最为权威的当属(2016年11月7日出台的)《网络安全法》”第76条的规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”司法解释中的定义:“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者和反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
与《网络安全法》相比较,《民法典》的定义增加了“特定、电子邮箱、健康信息、行踪信息”共14个字,删掉了“但不限于”4个字。删除“但不限于”是出于精简考虑,因为立法技术上“等”字已实现兜底目的。“特定”自然人是指自然人个体的确定性,也指个体的可识别性,反映了该定义内涵的本质要素:可识别。该定义是概括加列举式结构,列举项中增加了“电子邮箱、健康信息、行踪信息”3项,反映了从《网络安全法》到《民法典》4年期间识别自然人的新增要项,也反映了社会生态的变化,侧面实录了新冠肺炎公共防疫大背景下让渡部分个人利益确保社会公共利益的关系。从内涵的要素扩张上看,健康信息、行踪信息从事关个人身体状况、人身安全的信息多增了一项要素:事关社会公共卫生安全的信息;数年前“行踪轨迹信息显然难以纳入狭义的‘身份识别信息’的范畴”,现在已成为通过个人行为习惯识别个人身份的一块信息肖像拼图[16]。
对比该司法解释,《民法典》上述增添的其中2项信息“电子邮箱”“行踪信息”,已在司法解释的定义中以略微不同的表述但内涵大不相同的“通信联系方式”“行踪轨迹”出现。《民法典》的定义对通信联系方式从种类上进行了限缩,对行踪轨迹从内涵上进行了扩张。当前基于高速互联信息技术的通信联系方式纷繁多样,视频即时交互、一对多直播、不指定对象约附近陌生人以及自动搜索批量加好友的通信联系方式很受当下各个年龄段群体青睐,但是《民法典》将其限缩至正式程度高、联系目的明确的电子邮箱,体现了《民法典》第1032条保护自然人私人生活安宁和不愿为他人知晓的私密性用意,也反映了第1034条保护信息主体免受识别的用意,避免其身份被信息科技、数据挖掘加工技术轻易识别出来。扩张行踪轨迹为行踪信息,也同样包含了保护信息主体安宁、私密、免受识别的三层用意。两相比较,行踪信息样态中增加了虚拟空间、虚拟加现实交叉印证的混合空间。虚拟空间和混合空间样态的行踪信息最典型的是“个人网络行为轨迹信息”,包括但不限于浏览器搜索關键词,用户操作记录(网站登录记录、软件使用记录、点击记录),通过互联网观看、收听、阅读一切视听内容的记录,支付软件的交易记录,软件翻译记录,位置踪迹,网购足迹,智能穿戴设备收集的身体体征信息,系统错误报告信息,用户改善计划等[17]。这些样态的行踪信息与个人信息权益相关,与刑法上出于保护主体人身财产安全的行踪轨迹在保护信息主体的权利属性上非常不同。
1.3 术语的定义方式、要素及主体权利
中英文法条中“个人信息/数据/资料”定义方式、定义要素以及个人信息/数据/资料的主体权利会有差别。首先,定义方式或定义的结构是定义内涵的一部分。《民法典》的定义方式采用概括加列举式,与欧盟《通用数据保护条例》等4部法律法规的定义方式相同。概括方式可以确保定义的框架架构和内涵的开放性,法律适用时可以将社会生态变化的部分纳入定义的释义。而列举方式可以明确定义的重点。《民法典》作为一般法采用这种定义方式可以发挥与时俱进、明晰重点的优势。
其次,可识别是表1中各部法律法规定义中都包含的定义要素,也是必备要素,表明可识别性是衡量人格尊严价值和个人信息/数据/资料权益是否受损的首要要素。此外,表1定义中包含个人信息/数据/资料主体权利的有《个人资料(私隐)条例》(中国香港)和《个人数据保护法令》(新加坡),前者包含了所有的权利,后者仅包含了查阅权。表1中其他法律法规是在定义以外的法条中列明主体权利的。《民法典》的个人信息主体权利全部是基于请求权,而特别法《个人信息保护法(草案)》接续《民法典》加以补充,增加了知情、决定、限制和拒绝4项权能。两部法律共同编织了保护个人信息权益的严密法网。
2 “个人信息”之名
2.1 从词典释义出发
中国大陆的汉语词典构成了观察日常生活语境中大陆普通人是否混用、如何区分“信息”“数据”“资料”的日常语域。依据《汉语大词典》,信息在现代科学中指“事物发出的消息、指令、数据、符号等所包含的内容”;“人通过获得、识别自然界和社会的不同信息来区别不同事物,得以认识和改造世界;在一切通讯和控制系统中,信息是一种普遍联系的形式”。由此,信息既是一种载体承载的内容,也是识别、认识、改造世界的手段,更是普遍联系的形式。同样依据《汉语大词典》,数据指“进行各种统计、计算、科学研究或技术设计等所依据的数值”。资料指“用做依据的材料”。
中国大陆的另一部词典《现代汉语词典(第6版)》并没有混用“信息”“数据”“资料”。对数据的定义与《汉语大词典》的定义一字不差,但对信息的定义范围很窄,仅从信息论视角出发,指“用符号传送的报道,报道的内容是接受符号者预先不知道的”,只强调符号传送过程中接受方对新内容的需求,远远未包含信息产业中泛在的符号生产、流通、应用方面。而“资料”指“用作参考或依据的材料”,比《汉语大词典》的定义在资料的功能上多了“参考”这一功能。分别基于两个语素的“信息”与“数据”衍生的复合合成词“信息库”与“数据库”在《汉语大词典》中未列出,但在《现代汉语词典》中列出并予以定义①。信息库指“储存某类信息,供查检分析用的资料库(多用计算机存储)”,该定义强调储存分门别类的内容,还强调了常见的存储方式。数据库指“存放在计算机存储器中,按照一定格式编成的相互关联的各种数据的集合,供用户迅速有效地进行数据处理”,该定义强调存储载体。尽管“资料库”概念出现在“信息库”定义中,会造成混用的可能,但资料库在中文语境中使用频率非常低,而且资料库的存储方式是传统的纸本、微缩胶片等形式,与现代科学疏离感很强,所以定义中以资料库解释信息库造成“资料”与“信息”在中文语境中混用的可能性极低。
简而言之,在中国大陆的中文语境中,信息是现代科学范畴中的内容,具有识别、认识、改造和联系功能。数据是与现代科学和技术相关的数值。资料是弱化时代特征、去科学技术属性、隐去载体形式的、用于构建因果逻辑关系的宽泛材料。“信息”“数据”“资料”三者界限分明。主流汉语词典没有用一个概念(术语)定义另一个概念(术语),即术语定义中没有出现近义的另外两个术语。这两本权威且流行的汉语词典为普通人在日常语域中正确使用“信息”“数据”“资料”起到了该有的正名划界的作用。
2.2 从立法文本出发
2.2.1 《民法典》中术语的能指与所指
以《民法典》中文语篇为分析对象,可考察中文名称的能指与所指关系;以《民法典》中英双语语篇为分析对象,可考察中文名称到英文名称翻译过程中,中文语境中的能指与所指的对应关系在英文语境中是否会发生变化。法条中术语名称的法律内容和语言形式通过翻译移植;而在法律术语移植中,翻译通过重新搭建能指(形式)与所指(内容)的连接关系,能起到法律术语的内容在新的语言形式下的调适(adaptation)作用。我们以《民法典》中文本及其英译本(全国人大法工委译本、北大法宝译本)为考察对象,探索跨语言借鉴过程中,信息、数据、资料、information、data、material 6个术语,能指(形式)与所指(内容)的对应关系。
我们将能指和所指关系的讨论范围限缩在特定语篇《民法典》中,甄别上述中英文6个术语的本质要素就更加具有针对性,区分术语内涵(connotation)的目的就能够实现。从表2中可以发现中文能指与中文所指的对应关系有一对一(信息)、一对二(数据)、一对四(资料)的情形,《民法典》在区分中文术语信息、数据、资料的内涵上,逻辑清晰程度由高至低排序分别为“信息”“数据”和“资料”。
2.2.2 中国大陆法规对个人信息/数据的区分
包含“个人信息”名称并设专条予以定义的中国大陆重要的法律法规有以下几类。第一,《刑法》第253条之一规定的“公民个人信息”以及2017年6月1日施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条列明的“公民个人信息”范围,这是从公法意义上界定涉及人身财产安全、隐私的公民个人信息。第二,《民法典》第111条从民法意义上界定关乎人格权的自然人个人信息。第三,特别法对个人信息的界定,例如《个人信息保护法(草案)》第4条以及《网络安全法》第76条。此外,部门规章从部门或行业类别角度界定个人信息,包括《电信和互聯网用户个人信息保护规定》第4条“用户个人信息”,部门规范性文件有《寄递服务用户个人信息安全管理规定》第3条“寄递用户个人信息”,国家标准有《信息安全技术个人信息安全规范(GB/T 35273—2017)》第3条之一“个人信息”和《信息安全技术公共及商用服务信息系统个人信息保护指南(GB/Z 28828—2012)》第3条之二“个人信息”。
在中国大陆立法文本中涉及“个人数据”的法规主要有2020年7月15日发布的地方性法规《深圳经济特区数据条例(征求意见稿)》,兼及“个人信息的数据活动”的法规有2020年8月30日发布的《数据安全法(草案)》。前者第101条第2款规定“个人数据包括个人信息数据和隐私数据”,即包括识别自然人身份的数据和关乎自然人安宁与私密的数据,将“个人信息”做了限缩解释,框定在识别个人身份的内容范围内。后者以国家主权、安全、发展为立法目的,未出现术语“个人数据”,但在第49条规定“涉及国家秘密或个人信息的数据活动,遵守相关法律法规的规定”。
2.2.3 术语译入对名称的形塑作用
我们有必要考察各国家/地区/组织“个人信息/数据/资料”在特别法中的名称(表3),探索立法文件翻译对术语名称的规范性或描述性形塑作用。个人信息保护法所保护的客体,其名称仅在中文、英文表述上可谓形形色色,但背后并非无规律可循。
从表3中,可以发现地域惯习、大国或重要组织的影响力、译者的选词以及法律语域之外语言的影响是名称表述得以固定下来的四大重要因素。首先,特别法中个人信息保护法所保护的客体的名称呈现出较为明显的地域特征。欧洲倾向使用data(但俄罗斯使用information),北美、大洋洲使用privacy,亚洲主要使用information(中国大陆、日、韩)和data(中国港澳台、新加坡使用data;但菲律宾使用privacy)。其次,可以看到美国对经济合作与发展组织、以色列、菲律宾立法名称上的影响。
再者,法律移植过程中,术语译入中国大陆对术语的中文名称定名影响较大。我们利用翻译引介了数十部个人信息/数据/资料法规,国内立法服务③。以德国联邦层面Datenschutzgesetz (Data Protection Act)的名称为例,1977年制定,1994、1997年分别修正,2001年5月再次修正(旧版BDSG,Bundesdatenschutzgesetz),2018年5月25日生效的新版BDSG。2002月1月,旧版BDSG全文由冉德勇译为中文,译者选择《德国联邦数据保护法》这一名称[19]。新版BDSG的中文名继续沿用《联邦数据保护法》,其中第46条即为“个人数据(personenbezogene Daten)”的定义④。不过,2004年学者齐爱民撰文时选择了《德国联邦个人资料保护法》的名称,还介绍该法的正式名称是《防止个人资料处理滥用法》,人们习惯称其为《个人资料保护法》[20]。2005年开始,齐爱民以“个人信息”指称中国大陆的personal information,以“个人资料”指称“personal data”,改变之前仅以“个人资料”笼统指称对应的多个外文术语[21-23]。此外,翻译规范性不足使得不同近义名称之间的界限变得模糊,降低了法律名称的严谨性。欧盟官网下的“欧盟法律”多语数据库收录了多达24个语种的General Data Protection Regulation(GDPR)全文,但是未收录中文译本,所以这部法律被随意指称,尽管data被统一译为“数据”,但是中文译名有3个:通用数据保护条例(维基百科和百度百科;也是学界常用译名)、一般数据保护条例(知乎)、一般数据保护法(国家金融IC卡安全检测中心安全实验室提供了GDPR全文译文)[15]。
2.2.4 港澳台中文变体与外文对照本对名称的影响
中国大陆、台湾、香港、澳门的中文立法文件中,与术语名称的简繁体相对应的是四个地域衍生出不同的中文变体,这对术语跨地域、跨法域互通互用造成很大的干扰。从特别法立法文本术语内涵来看,大陆简体中文双语素合成词“信息”对应中国台湾地区繁体的双语素合成词“資訊”。此外,中国港澳台地区使用的繁体字“資料”(如表4)与大陆使用的简体字“资料”反而在法律效应上不等效,在大陆与之等效的是简体字“信息”和“数据”。
港澳台地区个人资料保护法的官方外文文本作为中文本的对照文本,虽然为法律翻译提供了便捷的参考来源,但是却赋予了翻译描述性功能在立法文本翻译中扩张适用的正当理由。术语名称英译中呈现一对多情形,“data”可译为“资料”“数据”,“information”可译为“资讯”“信息”,造成大陆中文立法术语在名称上负荷过重,增添干扰名称。
2.3 从中文法学著作和论文出发
2.3.1 中国大陆学者基于信息论区分术语
中国大陆中文法学著作和论文中流行的术语名称有三个:个人信息、个人资料和个人数据,代表性学者分别为梅绍祖与周汉华、(2004年以前的)齐爱民和程啸[5,23,25-27]。由于我国学界关于个人信息保护问题的研究起步较晚,21世纪头十年仍是初始阶段,所以部分代表性学者肩负引介并翻译国外个人信息/数据/资料保护法及理论的同时,一直在法学著作和论文中修正、调适自己对个人信息/数据/资料内涵、外延的认识。齐爱民继详细区分“个人资料”与“个人信息”后,扬前一个名称抑后一个名称,后来又认为“个人资料和个人信息应该是可以通用的概念”,重新兼用二者[22,27]。梅绍祖先使用“个人数据”,认为个人数据就属于个人信息;一年后的2005年以是否加工处理区分两个名称,倾向使用“个人信息”[25,28]。1950年,信息论和控制论的创始人之一维纳(Norbert Wiener)在论文《时间序列的内插、外推和平滑化》和著作《控制论》确定“信息”的当代含义:“信息是人们在适应客观世界,并使这种适应被客观世界感受的过程中与客观世界进行交换的内容的名称。[1]”维纳定义中的“适应”与“感受客观世界”、主体人与客体世界“交换的内容”,包含了传播学语域中的主观与客观、主体与客体、内容与形式、某种加工处理的适应方式等要素,成为后来众多法学学者借鉴用来区分“信息”“数据”和“资料”的类型范式。郎庆斌等从加工处理维度区分“个人信息”与“个人数据”[29]。徐丽枝、申卫星从内容与形式加以区分[30-31]。肖登辉从主观与客观来区分[7]。归纳以上几位法学学者的论点,可以辨析出:信息是加工处理过的、具有主观性的内容;数据是未加工处理过的、具有客观性的形式。资料的主观和客观属性兼有,记录在有形(tangible)或无形媒介上,有时仅特指记录在有形媒介上的内容。
2.3.2 中国台湾地区的学者对术语的区分
中国大陆、台湾、香港、澳门的中文构成了中文的变体(variations),中国港澳台地区的中文变体对大陆中文中的法律术语的使用造成了一定影响。我们以台湾地区为例,在该地区法学著作和论文中,低频次术语“个人资讯(information)”对高频次术语“个人资料(data)”构成一定的干扰;“个人数据”几乎未造成干扰。由于中国台湾地区有多达261个法律法规包含术语“个人资料”,所以台湾学者在著作和论文中引用这些法律法规时,频繁使用术语“个人资料”。中国台湾地区的月旦知识库主要收录在台湾发行的期刊和出版的著作,依据该库,“个人资料”在期刊中出现频次达305次、在论著中达48次;“个人资讯”在期刊和论著中出现频次分别为75次、6次;“个人数据”在期刊和论著中出现频次分別为4次、1次。
具体来说,中国台湾地区许文义倾向区分“资料(data)”与“资讯(information)”,资讯是资料经过处理后的产物,只有被人认为具有意义时资料才会成为资讯,立法应当采取“个人资料”名称[32]。范姜真媺支持“个人资讯”,周惠莲与陈起行主张使用“资讯隐私”[33-35]。
3 结语
在《民法典》第四编第六章中放置“个人信息”条款及其前后条款的放置逻辑,加上《个人信息保护法(草案)》,已经在立法文本中对“个人信息”之“实”做了清晰的释义。而“个人信息”之“名”则是在与“个人数据”“个人资料”辨析后得以正名划界的。在中国大陆中文语境中,术语“个人信息”“个人数据”和“个人资料”在通用汉语词典释义中未造成混淆,在中国大陆立法文本中具有一定使用规律,但是在中文法学著作和论文中三个术语彼此干扰、互相混淆的情况较为明显。在局部的法律语域中造成干扰的原因有三个:中文变体的影响;翻译在法律引介和移植过程中规范性功能不足,描述性功能溢出;法学学者区分术语的角度不同。
我们分析了干扰术语划界定名的原因后,挖掘出术语在立法文本中具有一定的使用规律,希冀对中国地方立法以及中国大陆学者著作、论文中引用域外法规时有所助益。首先,保护人格权和隐私权为主,兼及财产权,可使用术语“个人信息”,中华人民共和国《民法典》与《个人信息保护法(草案)立法》文本的名称为地方立法树立典范,形成隐性规范。其次,中国港澳台以中文为立法语言,在大陆引用港澳台的中文特别法,可使用术语“个人资料”“政府资讯”。再次,引用各国、组织的相关特别法,由于中文不是立法语言,引用外译中的立法文本时,可使用“个人数据”。中英文为官方语言、英语为立法语言的新加坡,尽管新加坡个人资料保护委员会(Personal Data Protection Commission, PDPC)使用“个人资料”引称2012年《个人资料保护法令》,但是出于立法语言考量,在中国大陆中文语境使用“个人数据”可能比“个人资料”更合适[36]。从事立法文本翻译的学者已经关注到这点,引介新加坡法律进入中国大陆中文语境时,慎重地以《个人数据保护法令》《个人数据保护规例》来处理[18,37]。此外,复合合成词“个人信息”与“个人数据”之间的使用规律比双语素合成词“信息”与“数据”之间的使用规律要明晰。最后,涉及网络空间安全类立法,“数据安全”比“信息安全”更加贴近法律语域,立法中“数据安全”往往与国家安全和国家数据主权挂钩,“信息安全”偏向于计算机、通信语域。
注释
① 罗培新援引了《现代汉语词典》(第5版),对比了“信息”与“数据”的定义,同时捕捉到“信息库”与“数据库”混用的现象,但未深入挖掘定义强调的要素、复合合成词混用是否影响合成词的混用[2]。
② 特别法的部分中文译名参见周汉华:《域外个人信息保护法名录》,载《个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,96-103页。
③ 1970年10月7日德国黑森州(Land of Hesse)出台的Datenschutzgesetz(Data Protection Act)问世,成为全球个人信息保护立法的嚆矢。该法较早的中文译名为《德国黑森州资料保护法》,参见齐爱民:《大数据时代个人信息保护法国际比较研究》,法律出版社2015年版封底页。紧跟其后颁布的国家和地区有瑞典(1973世界上第一部国家层面的立法,1998)、美国(1974)、德国(1977、2001、2018)、法国(1978,2018)、挪威(1978)、卢森堡(1979)、以色列(1981)、加拿大(1982,2001)、荷兰(1988,2000)、爱尔兰(1988)、澳大利亚(1988)、比利时(1992)、瑞士(1992)、匈牙利(1992)、新西兰(1993、2000)、韩国(1994)、欧盟(1995,2016)、中国台湾地区(1995)、俄罗斯(1995)、中国香港(1996)、希腊(1997,欧盟最后一个制定)、葡萄牙(1998)、英国(1998)、芬兰(1999)、智利(1999,拉美第一个制定)、冰岛(2000)、奥地利(2000)、丹麦(2000)、日本(2003)、突尼斯(2004,非洲第一个制定)、新加坡(2012,2020年5月14日公布修订草案)等。
④ 第46条“个人数据”的德文定义:personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identitt dieser Person sind, identifiziert werden kann。笔者译为中文:“个人数据”是指与已识别或可识别的自然人(数据主体)相关的任何信息,而可识别是指可以直接或间接识别自然人,特别是指通过诸如姓名、识别号、位置数据、在线识别符以及一个或多个表征该自然人的身体、生理、遗传、心理、经济、文化或社会身份的特定特征來识别自然人。
参考文献
[1] 习近平.中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议[EB/OL]. (2020-11-03)[2021-03-08]. http://www.xinhuanet.com/politics/2020-11/03/c_1126693293.html.
[2] 罗培新.数据立法的基本范畴:数据权属及数据处理的头部、中部及尾部规则[EB/OL]. 中国法律评论微信公众号(2021-04-29)[2021-04-29].
[3] 申卫星.论数据用益权[J].中国社会科学,2020(11):110,112,118.
[4] 叶名怡.论个人信息权的基本范畴[J].清华法学,2018,12(5):149-150.
[5] 程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3):102.
[6] 崔聪聪,巩姗姗,李仪,等.个人信息保护法研究[M].北京:北京邮电大学出版社,2015:25.
[7] 肖登辉.行政法中的个人信息保护问题探究[M].武汉:湖北人民出版社,2011:16-17,39.
[8] 王利明.论个人信息权的法律保护:以个人信息权与隐私权的界分为中心[J].现代法学,2013,35(4):62.
[9] 程啸.论侵害个人信息的民事责任[J].暨南学报:哲学社会科学版,2020,42(2):39.
[10] 童明.互文性[J].外国文学,2015(3):86.
[11] 李正亚.孔帕尼翁“引用”互文性理论与汉英翻译作品研究[J].上海翻译,2016(1):65.
[12] 何瑞清.翻译研究中的互文性误读、误用与滥用[J].上海翻译,2018(6):2-3.
[13] 甄晓非.篇际互文性研究的动态系统理论进路[J].外语学刊,2016(6):46.
[14] 王秀哲.信息社会公法保护研究[M].北京:中国民主法制出版社,2016:170-172.
[15] 皮勇,王肃之.智慧社会环境下个人信息的刑法保护[M].北京:人民出版社,2018:246-283.
[16] 喻海松.侵犯公民个人信息罪司法解释:理解与适用[M].北京:中国法制出版社,2018:19.
[17] 韩新远.个人网络行为轨迹信息的民法典定位与分类保护[N].人民法院报,2020-10-15(005).
[18] 屈文生,万立.新加坡个人数据保护法令(2012年)[C]//上海市法学会.《上海法学研究》集刊(2020年第10卷 总第34卷):华东政法大学文集.上海:上海市法学会,2020:285.
[19] 冉德勇.德国联邦数据保护法[EB/OL]. (2014-12-17)[2021-01-09]. http://blog.sina.com.cn/s/blog_663a8b800102vlln.html.
[20] 齐爱民.德国个人资料保护法简论[J].武汉大学学报(人文科学版),2004(4):465.
[21] 齐爱民.大数据时代个人信息保护法国际比较研究[M].法律出版社,2015:6,195,201.
[22] 齐爱民.论个人信息的法律保护[J].苏州大学学报,2005(2):30,35-36.
[23] 齐爱民.论个人资料[J].法学,2003(8):80.
[24] EU.General Data Protection Regulation[EB/OL].(2016-04-27)[2021-01-09]. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1552662547490&uri=CELEX%3A32016R0679.
[25] 梅绍祖.个人信息保护的基础性问题研究[J].苏州大学学报,2005(2):25-26.
[26] 周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006:1.
[27] 齊爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004:3-4,6.
[28] 梅绍祖.中国信息化趋势报告(十六)中国隐私权和个人数据保护的现状与原则[J].中国信息界,2004(11):10.
[29] 郎庆斌,孙毅,杨莉.个人信息保护概论[M].北京:北京邮电大学出版社,2008:11-12.
[30] 徐丽枝.政府信息公开中的个人隐私保护问题研究[M].北京:法律出版社,2019:44.
[31] 申卫星.论数据用益权[J].中国社会科学,2020(11):110.
[32] 许文义.个人资料保护法论[M].台北:三民书局,2001:18-20.
[33] 范姜真媺.政府资讯公开法与个人资讯保护法之交错适用[J].铭传大学法学论丛,2005(4):105.
[34] 周惠莲.资讯隐私保护争议之国际化[J].月旦法学杂志,2004(104):112.
[35] 陈起行.资讯隐私权法理探讨:以美国法为中心[J].政大法学评论,2000(64):297.
[36] 新加坡个人资料保护委员会及新加坡资讯通信发展管理局. 资料保护自查核对表[EB/OL]. [2021-01-10].https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF%20Files/Resource%20for%20Organisation/Business-Checklist-v20-Chi.
[37] 屈文生.新加坡个人数据保护规例(2014年)[C]//上海市法学会.《上海法学研究》集刊(2020年第10卷 总第34卷):华东政法大学文集.上海:上海市法学会, 2020:317.
作者简介:叶湘(1980—),男,华东政法大学法律学院博士研究生,山东理工大学外国语学院英语系副教授。主持山东省社会科学规划研究项目、教育部人文社会科学研究规划基金项目子课题、山东省高等学校人文社会科学研究项目、上海市自贸区项目等15个法学与翻译学项目,在《中国流通经济》《中国外语》等CSSCI期刊发表论文3篇,在美国纽约市华尔街金融区佩斯大学任教2年。主要研究方向为法律翻译、网络空间法、自贸区外国法查明、欧盟语言政策、中美条约史。通信方式:yexianghello@126.com。
作者:叶湘
2011年4月索尼游戏主机网络遭黑客入侵,全球7700万用户资料被窃取,包含姓名、信用卡号等。这一黑客攻击事件导致索尼被迫关闭了该服务,损失达1.7亿美元。
7月底,在以实行网络实名制闻名的韩国,多个知名门户网站遭黑客攻击,约3500万名用户个人信息外泄,此事在韩国引发轩然大波。韩国行政安全部称,出于保护网络用户个人信息安全考虑,政府拟分阶段逐步取消网络实名。
中国政府决心推行网络实名制,其主要范本正是韩国,然而韩国的新动向,有关部门似乎视而未见。2011年12月16日,北京市多个政府部门联合制定了《北京市微博客发展管理若干规定》,要求任何组织或者个人注册微博客账号,应当使用真实身份信息。其后,广州、深圳、上海等地也正式实施微博实名认证制。
正是在这个当口,中国的互联网世界上演了一出史上规模最大的泄密事件。12月21日,国内最大的开发者社区CSDN600万用户账号和密码遭黑客泄露;旋即,天涯有4000万用户密码流出。“泄露门”从论坛社区很快蔓延到人人网、开心网等多个社交、游戏网站,再到京东、当当、淘宝等电子商务网站。传闻还波及支付宝、工商银行、民生银行及交通银行等支付和金融机构。政府网站也未能幸免,广东省出入境政务服务网站的444万条用户信息,在2011年12月30日被证实泄露。
金山网络反病毒工程师李铁军12月30日接受财新《新世纪》记者采访时则表示,根据他们从网上下载的数据库,剔除重复信息之后,有超过1亿条用户信息在此次事件中泄露。泄密已演化成席卷整个中国互联网的大事件。
此次“泄露门”暴露出中国互联网在网络安全上的多个“命门”:
首先,即使国内一些看似很大的网站,在安全防御上也漏洞百出,很难应付黑客攻击。例如,匪夷所思的是,大型网站居然采用明文存储密码,甚至像CSDN这样以程序员和开发者为核心的大型社区也犯这种低级错误,如此这般违背常识,如何指望能够保护用户安全?
其次,从用户方面来看,非常多的网民习惯为邮箱、微博、游戏、网上支付等账号设置相同密码,一旦密码被泄露,很有可能导致网上支付等重要账号一并失窃,从而遭到更大程度的泄密及财产损失。即使规模如此之大的泄密之后,用户的安全意识也未见有多大提高。CSDN董事长蒋涛说,在密码泄露事件后,经多次提醒,仅有30%用户修改了密码。
但最关键的是,用户信息大量泄露后,个人权益无法得到保障,也没有明确的用户赔偿机制。在索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。而中国用户提交个人信息既难以得到有效的保护,发生泄密后,也无法使用法律追究泄密责任。在缺乏强有力外在约束的情况下,那些互联网企业没有谁愿意花大量资金投入网络安全,从而给黑客留下了可乘之机。出事了,大家只有面面相觑,问:“下一个被黑的是谁?”
随着微博实名制规定的出台及实名制向其他网站扩大化的可能,用户私人信息大量泄漏的风险更加巨大,一旦出现这种情况,将不仅成为一场网络个人隐私灾难。而且,伴随电子商务在互联网经济中日渐突出的重要性,这样的个人隐私灾难也意味着一场经济上的重创。
大规模泄密事件,也暴露了互联网江湖中最为隐秘的黑色产业链——数据交易。有网络安全人士估算,目前互联网地下数据交易产业规模已达到上千亿元。个人隐私保护从来就非单纯的技术问题,而是事关利益的博弈。《个人信息保护法》迟迟不能出台,本身就与信息滥用业已形成巨大产业链,有关各方难以“忍痛割爱”相关。
在今天的中国社会,个人信息成了利益筹码被随意倒卖,滥用个人信息达到触目惊心的程度,滥用者包括形形色色的机构:银行、保险公司、汽车销售商、医院、学校和各种各样服务代理商都卷入其中。中国社会科学院发布的2009年《法治蓝皮书》指出,随着信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。但据调查,仅有4%左右的人对个人信息被滥用进行过投诉或提起过诉讼。究其根源,在于目前个人信息保护尚缺乏专门性规定。社科院认为,通过设定刑事责任来加大对滥用个人信息的打击力度固然重要,但如果不能确立个人信息保护的基本制度来对个人信息处理行为进行有效的管制,则很难从根本上遏制滥用个人信息的问题。为此,必须抓紧对隐私、个人数据保护进行专门立法。
作者:胡泳
摘要:为了提高行政效率,也为了促使决策的科学、合理,政府信息共享这一手段被越来越广泛的重视和运用,并随着技术的进步得到了进一步的发展。在政府信息共享给政府带来便利给公民带来实惠的同时,也给个人信息保护也带来了风险。在信息共享的各个环节,增加了信息被泄露和滥用的可能。本文试从政府信息共享的相关概念出发,分析实践中出现的问题及原因,探讨政府信息共享与个人信息保护的关系,以及在政府信息共享中实现个人信息保护的路径。
关键词:政府信息 政府信息共享 个人信息保护 路径
政府信息共享在我国迅速发展,并随着技术的进步得到进一步的深化。政府信息共享对于提高行政效率,促进决策的科学和合理起到了重要的作用。政府部门收集和共享各领域的相关信息,为自己履行职责提供依据和支撑,同时,公民也从合理、科学的决策有有效率的行政中得到了实惠。但是,我们也应当看到,在信息共享的过程中,因为相关法律不完善、相关制度不健全等原因,出现了政府信息共享不利个人信息保护的情况。一些个人信息被重复收集、过度利用,还出现了信息泄露等情形,影响了信息主体的生活。那么,如何在政府信息共享中体现对个人信息的保护,如何实现二者的平衡呢?本文试从相关概念出发,分析政府信息共享实践中出现的个人信息保护不力的表现及原因,以寻求在信息共享中实现个人信息保护的途径。
1 政府信息共享
1.1政府信息
《中华人民共和国政府信息公开条例》第二条:“政府信息,是指行政机关在履行职责过程中制作或者获取的,以一定形式记录、保存的信息。”根据法条,政府信息包括行政机关在履行职责过程中所收集、产生、保存的所有信息。既包括公司、企业等法人信息,又包括公民个人的信息。行政机关通过收集信息,一方面以此为依据履行职责,提供服务,一方面以这些信息为参考,作出行政指导和其它相关行政决定。可以说,行政机关履行职责不可缺少必要的信息,政府信息对依法行政、合理行政都有重要的作用。
1.2政府信息共享
每个行政机关在履行职责的过程中都能收集到各种信息。各个行政机关所需要的信息可能有交叉和重合,重复收集一方面会导致行政机关效率的下降和行政成本的增加,另一方面也会给引起被收集信息的主体的反感。同时,不同的行政机关术业有专攻,在各自为政的情况下,会导致信息收集不全面,从而影响决策的作出和政策的制定。为了提高行政效率、节约行政成本,更为了获得全面、充分的资料作出合理的决策,政府信息共享就成为了一个很有效的措施。
政府信息共享是指信息在政府部门间的流动。[1]对于“政府信息共享”这一概念,有不同的界定,而基于不同的界定,“政府信息共享”所包括的主体和内容也不尽相同。本文意在探讨行政机关间的信息共享,取最狭义概念。本文所指的信息共享的主体仅指行政机关,共享的范围仅指信息在行政机关内部的流动,不包括信息公开等对外内容。
2 政府信息共享中个人信息保护不利的表现及原因
全国各地都陆续进行了政府信息共享的尝试,经过十多年的建设,我国的政府信息共享建设也已初见成效。但是,在建设政府信息共享的过程中也出现了一些问题,对个人信息保护不利就是其中之一。在为政府信息共享建立的制度中较少涉及个人信息保护规则,实践中,在对个人信息的收集、传递、储存、利用的过程中,出现了以下一些问题。
2.1表现
2.1.1信息的内容
政府信息共享中“信息”所包含的范围没有明确的规定和限制,因此收集信息的广度和深度不统一、有限制,在个人信息领域,对于哪些信息可以收集,哪些信息可以共享没有明确规定。这会导致一些不应被收集和共享的信息被不合理的纳入到共享的范围,或者一些只应在小范围、用于特定用途的信息被更大范围的共享,不利于个人信息、个人隐私的保护。
2.1.2信息的收集
信息收集的权责划分不明确,一方面,掌握信息的部门不愿意共享资源,导致信息的重复收集,加大了信息泄露的风险;另一方面,收集主体的众多又导致没有具体的部门对所收集的信息负责,存在信息不准确的情况,从而对信息主体产生不利的影响。
2.1.3信息的管理和储存
大量信息要安全的集中、安全储存,一方面依赖先进的技术支持,要通过严密的系统设计安全储存信息;另一方面,在技术之外,人的管理也非常重要。但是,因为现行制度较为缺乏对管理者责任的规定,从而存在管理疏漏的可能,导致个人信息处于一个危险的境地。
2.2原因
2.2.1政府信息共享方面法律的不完备
政府信息共享相关的法律不全面、不具体,多为原则性、抽象的条款,缺乏具体的规定和措施。第一,在“信息”的内涵没有明确,哪些信息应当被收集和共享不明确;第二,权责不明确,哪些机关承担收集和更新信息的责任,由谁负责信息的管理和储存以及未履行职责的行政机关应当承担什么责任都没有完整、细致的规定;第三,在共享机制的构建和选择上没有具体的程序设计,对于如何共享信息、更新信息没有可操作性的规定;第四,欠缺对个人信息保护和被收集信息的主体的权利的规定,难以从信息主体的角度进行监督和制约。
2.2.2個人信息保护方面的法律不健全
没有全国范围内、效力较高的、规定全面的个人信息保护法,不能从个人信息保护的法律法规中寻找到相关的法律支持。
关于个人信息保护,主要通过隐私权保护的方式进行,没有专门的立法,零星规定散见于《互联网电子服务管理规定》《计算机信息网络国际联网安全保护管理办法》《计算机信息网络国际联网管理暂行规定实施办法》《关于加强网络信息保护的决定》《信息安全技术 公共及商用服务信息系统个人信息保护指南》等法律规定和文件中,且主要集中在互联网领域,位阶较低。难以对政府信息共享中的个人信息保护提供有针对性的、全面具体的保护。
2.2.3组织体制的特点
纵向上,上下级之间逐级上报,层级越多,信息传递的中间阶段越多,时间越长,信息泄露的风险增大,信息的准确度下降。我国行政层级是中央-省-县市-乡镇四级,实践中逐步形成了中央-省-地市-县市-乡镇五级,加上一些副省级、副地级市,行政层级长达六级。[2]中央和乡镇难以直接沟通,必须通过中间管理层进行逐级上情下达和下情上呈,中间经过的层级越多,信息传递的速度越慢,信息被过滤和扭曲的可能性就越大。[3]
横向上,各行政机关职能分工,出于部门利益的考量,又缺乏相关制度的制约和可得利益的刺激,可能会出现各自为政的局面,导致信息共享不畅,出现重复收集、多头管理,甚至无人管理的情况。
3 政府信息共享中个人信息保护的实现路径
要实现信息共享过程中对个人信息的保护,首先要厘清个人信息保护与政府信息共享之间的关系。政府信息共享与个人信息保护之间并非非此即彼的对立关系,通过政府信息共享,能避免信息被重复收集,避免无人管理、多头管理,降低了信息被过分共享和泄露的风险,同时,通过政府信息共享,个人信息在各部门间得以流动,实现了对个人信息的合理利用。相对的,个人信息保护也能降低信息主体的疑虑,帮助政府获得需要的信息,推动信息共享制度的完善和深化。问题的关键是如何在政府信息共享的同时实现个人信息的保护,如何实现二者的平衡。笔者认为可以先从以下几方面入手:
3.1完善相关立法
3.1.1建立和完善个人信息保护相关立法
我国在法律层级上没有专门的个人信息保护法律,涉及到个人信息保护内容的法律也较少,规定也不具体,在信息技术飞速发展,个人信息屡被侵犯的情况下,很难切实保障信息主体的权利,进行专门立法具有必要性和紧迫性。要通过个人信息保护的专门立法确立个人在个人信息保护中的权利和救济渠道,确立个人信息保护的基本原则,设立共享原则、规则和范围,指导具体领域中相关个人信息保护制度和规则的设立。
3.1.2建立和完善政府信息共享的立法
第一,明确可共享的信息的内涵及可共享的范围。明确“信息”的范围,确定哪些信息是应当共享的信息,哪些是可以共享的信息。同时,根据每种信息涉及个人隐私的程度,对此种个人信息可供共享的范围作出限制。以此防止对个人信息的过分收集和利用。例如《广东省政务信息资源共享管理试行办法》就将政务信息资源根据保密级别、需要性、共享能力等因素,分为枪支共享类、条件共享类和不予共享类,就是很好的示范。
第二,明确责任主体,厘清权责关系,建立追究机制。一是,对各类信息由谁收集、更新和共享进行明确;二是,对共享和储存由谁负责管理进行明确;三是,对各主体不能完成职责应当承担的法律责任进行规定;四是,设立追责机制,对不履行职责的主体追责。这样,通过对各环节责任主体的明确,以及相应追究机制的规定,制约行政机关,以达到保护个人信息的目的。
第三,赋予信息主体权利,确立相关原则。在目前的实践中,地方关于政府信息共享的法律法规赋予了信息主体一定的权利,但是范围很窄,常见的为查询权和更正权。应当同一立法,除了查询权和更正权之外,还应当赋予信息主体知情同意权、提出异议的权利、申请删除的权利、获得救济的权利,并建立相关的监督和救济机制,切实保障信息主体能行使权利。
第四,明確主管机关及责任。从我国的实际来看,国家信息化领导小组是我国电子政务的主管部门。可以授权其监督和检查行政机关信息共享的过程,并对过程中的相关问题(如哪些信息要共享、共享范围大小、选用的共享程序等)进行解释,同时对信息共享的整个过程进行部门间的协调。还可以赋予其对政府机构与信息主体间的纠纷裁决权等等。
3.2建立科学的政府信息共享机制
第一,具体设计政府信息共享制度,做出具体的,具有可操作性的制度设计。现行的有关政府信息共享的法律规定缺乏具体规定,不既有可操作性,例如《证券法》第185条规定国务院证券监督管理机构应当与国务院其他金融监督管理机构建立监督管理信息共享机制,《税收征收管理法实施细则》规定地方各级人民政府应当积极支持税务系统信息化建设并组织有关部门实现相关信息的共享等。这样的规定只能体现原则和理念,无法切实落到实处。要确实建立更加有效的信息共享程序,必须有统一、详实、科学、细节的制度设计,通过有效的共享机制的建立,规范政府对个人信息的使用。
第二,重构政府信息共享的组织体制。在共享程序的选择上,要设计打破不同部门之间的“壁垒”的程序,同时考虑纵向共享中逐级上报可能带来的效率的损失。从横向上来说,要设计可以提供横向共享的程序和平台,为相关应当提供共享信息的机构设计一定的激励机制,调动其共享的积极性,以实现打破“壁垒”的目的;从纵向上来说,可以综合考虑共享平台统一调度的方式使信息快速流通,还可以综合信息的重要程度、需要的紧迫程度等,作出不同的程序安排。
3.3社会监督
社会监督也是一种强大的力量。社会团体、新闻媒体和普通公民可以监督政府对于信息的共享和利用,通过社会舆论的力量促进政府信息共享中的个人信息保护。
4 小结
科学、完善的政府信息共享既是对个人信息的合理利用,更能促进对个人信息的保护,相对的,保护个人信息也能推动政府信息信息共享制度的进步,推动信息共享的深化。二者实际上密切联系,并且相互促进。相信通过完善立法、建立相关制度、明确权责等措施,能够促进政府信息共享中个人信息保护的实现,既为依法行政、合理行政提供支撑,又使公民的权利得到切实的保护。
参考文献:
[1] 关键.论我国政府信息共享机制的组建[J].行政论坛,2011(3).
[2] 胡建淼、高知鸣.我国政府信息共享的现状、困境和出路——以行政法学为视角[J].浙江大学学报,2012(3).
[3] 石红心.治理、信息与行政公开[J].中外法学,2003(1).
[4]周汉华.个人信息保护前沿问题研究[C].法律出版社,2006.
[5]陈传夫、刘雅琦.公共部门信息增值利用中的个人信息保护[J].情报科学,2010(10).
[6]李宇.网络时代政府信息资源共享瓶颈因素分析[J].背景行政学院学报,2014(3).
作者:徐争
摘要:在知识经济时代,信息早已成为珍贵的资源,个人面临的信息资源呈爆炸式增长。社保卡中的个人信息愈来愈丰富和繁杂。怎样有效运用社会保险卡中的个人信息,怎样有效储存社会保险卡中的个人信息,本文将以此进行探讨。
关键词:信息管理;社保卡;个人信息
一、社保卡个人信息管理的过程
(一)社保卡个人信息采集
社会保险卡信息采集是符合要求的群众通过电话与本地服务站约定,或是直接向服务站申请办理社会保险卡。申请者在电話预定时,必须告诉自己的身份证号和名字。接着,服务站通过信息互换平台从信息服务中心下载有关信息。确定下载的信息,与申请者电话沟通身份证号和名字信息一致后,服务站和申请者约好正式申请办理时间。申请者向便民服务站申请办理时,填好《社保卡申请办理备案表》,进行社保卡信息收集步骤。在搜集社保卡信息时,要特别注意防止搜集不正确,提升社保卡信息采集质量。针对社保卡持卡人来说,完成信息的“被采集”,也是针对个人信息进行管理的过程,如何将自己的个人信息准确无误地“被采集”,这就需要持卡人具有一定的个人信息管理意识,具有一定的信息素养能力,能够准确有效有组织地将个人的身份证号、图像信息、参加工作时间、婚姻状况等信息反映到《社保卡申领登记表》上,进而人社主管部门能够将个人的与社保卡相关的个人信息准确有效地加载到个人的社保卡上。
(二)社保卡个人信息组织
组织社保卡信息,首先将《社保卡申请办理表》的相关内容与申请者核查的身份證件、户口簿或居住证明信息对比公安机关人口数量基本信息。其中,社会保险卡的基本信息卡的名称、身份证号、性別是至关重要的数据项目,在比较过程中,第一,在结果一致的情形下,将搜集到无误的信息上传到社会保险卡的官方数据库,第二,关键的数据一致,非关键的数据不一致,有照片。需要升级社会保险的非关键数据项目,获取照片,最后传送到社会保险卡的官方数据库,第三,关键数据和非关键数据一致,但没有照片。此时,为了更好地处理社会保险卡问题,需要将其迁移到临时性数据库。经人工认证后,保证数据恰当准确无误后,可转到社保卡正式数据库;第四,当关键数据和非关键数据不一致时,也会将其传送到临时性数据库,便于处理社保卡问题。假如这些数据在人工认证后依然不确定性,则需要在人工认证后传送到数据库开展处理。
(三)社保卡个人信息存储
社保卡信息的储存不但能够便捷查找和增加社保卡信息资源的使用使用寿命,还能够提升社保卡信息的使用效率,有利于共享资源和管理。因此,储存社保卡收集的信息具有关键的实际意义。
(四)社保卡个人信息开发利用
社保卡在采集、组织、存储的基础上还需要被更好的开发利用。社保卡信息资源开发利用是指将经过采集、加工并存储的社保卡个人信息资源提供给相关组织或者个人,以满足其信息需求的过程。社保卡是劳动者在劳动保障领域办事的电子凭证,持卡人可以凭卡就医,进行医疗保险个人账户结算;可以凭卡办理养老保险事务;可以凭卡申请劳动能力鉴定和申领享受工伤保险待遇:可以凭卡到相关部门办理求职登记和失业登记手续,申领失业保险金,申请参加就业培训等。
二、社保卡持卡人个人信息管理存在的问题
(一)社保卡持卡人缺乏对社保卡相关的个人信息分类整理意识
部分社保卡持卡人未能就社保卡中加载的基础信息(如公民的身份证号码、姓名、性别等信息)和相关的业务信息(如持卡人的养老保险费、失业保险费、医疗保险费、住房公积金缴纳情况等信息)进行有效的分类和整理。社保卡持卡人对社保卡中相关的个人信息分类和整理意识的缺乏会直接导致社保卡个人信息管理的低效率和混乱无序,不利于实现有效的个人信息管理。
(二)社保卡中相关的个人信息“二次回收利用”现象严重
部分社保卡持卡人以及一些非营利性的公益团体在使用持卡人个人信息时未能做到合理有效的保护,例如在公开一些个人的社会保险费用的缴纳或者领取信息时,连带公布了过多的附加信息,如身份证号码、工作单位等信息。此外,部分社保中心的橱窗上展示有招领的遗失社保卡,上面的个人社保编码,身份证号码等信息可以一览无余,在社保证明打印自助终端机旁边的垃圾袋中装满了被丢弃的社保单据:社保卡持卡人在使用公用电脑登陆社保卡个人查询界面时未能及时退出已经登陆的界面或者保存了个人的账号和密码信息等,这些现象都有可能造成持卡人的相关个人信息被不法分子“二次回收利用”,将这些“二次回收”回来的持卡人个人信息当做商品,出售给买家。持卡人的个人信息被“二次回收利用”严重损害了持卡人的利益,也是当前社保卡中相关的个人信息保护面临的一大难题。
(三)社保卡持卡人对社保卡相关的个人信息安全保护观念淡薄
许多调查者经常遭遇或偶尔遭遇关于社保卡的个人信息安全危机。遭遇过社保卡个人信息危机,并没有能够引起社保卡持卡人对社保卡中相关的个人信息安全的重视,社保卡持卡人对社保卡中相关的个人信息安全的保护观念淡薄。社保卡中加载了许多关于持卡人的个人信息,其信息价值也在不断增加,如何维护持卡人的社保卡中相关的个人信息的安全性需要引起所有社保卡持卡人的重视。只有持卡人在十分安全地使用社保卡中个人信息的前提下才能实现社保卡个人信息的有效使用和管理。
三、建议对策
(一)加强对社保卡中相关的个人信息的分级分类保护
社保卡中加载的有姓名、性别、身份证号码、社保缴费记录等等众多个人信息,要对这些个人信息进行高效的管理,就要对社保卡中相关的个人信息进行合理的分类和整理。首先要对社保卡中相关的个人信息依据内容进行分类,再根据各类信息的价值和安全风险给予不同程度的保护。一方面,公民可以根据社保卡中相关的个人信息类别将其划分为卡面基本信息和卡内加载信息。卡面基本信息为持卡人基本信息、性别、公民身份证号码等,开内记载了持卡人的个人状态、社会保险缴费情况等信息。持卡人可以根据卡面基本信息和卡内记载信息对社保卡的个人信息进行分类和整理,这能够有效地提高社保卡个人信息管理的效率。另一方面,持卡人可以根据社保卡中各类信息的价值和安全风险对社保卡的个人信息进行分类,主要考虑一下四个方面的因素:能否依据该信息直接识别出特定的持卡人;与持卡人线下工作生活的紧密程度;能否通过该信息获得其他相关联的信息以及信息安全风险。综合以上四个方面的因素对社保卡中个人信息保护程度进行分级,对身份信息的保护要优先于卡内缴费记录等相关日志信息。
(二)把握好社保卡中相关的个人信息公开的尺度
信息二次回收利用的主要原因是信息没有获得合理适度的披露,不应该披露的信息水平被不由自主地披露,違法者被有机运用。合理、适度地披露社会保障卡信息,不但能够大大的缓解人力资源和社会保障单位员工的工作量,并且能够有效地保护持卡人的个人信息。因此,有意或不经意披露社会保障卡个人信息的个人和机构应该马上给予关心和教育,并在披露信息时坚持客观和合理的原则。不需要披露的信息始终不可能被披露,也不会披露过多多余的信息。
(三)全面增强社保卡持卡人的个人信息管理意识
要全面增强社保卡持卡人的个人信息管理意识,首先需要加强对社保卡持卡人关于个人信息管理(PIM) 一般理论知识的学习,主要包括个人信息和个人信息管理的基本概念和内涵,个入信息管理的过程、技术和方法、个入信息安全管理、
移动环境下的个人信息管理等。社会保险卡所有者能够使用一般的个人信息管理知识来指导社会保险卡的个人信息管理实践。社会保险卡所有者能够有效使用、共享资源、管理很多混乱、有价值、分散化的社会保险卡个人信息,提升所有者对社会保险卡个人信息的应对能力和应对速率,有效保护与社会保险卡有关的个人信息。其次,持卡人务必提升社会保障卡个人信息管理的关键宣传教育。使所有社会保险卡所有者恰当有效地认识到社会保险卡个人信息管理的必要性,明确社会保险卡个人信息管理的目标和企业愿景。推动各社会保险卡所有者积极主动管理社会保险卡的个人信息。社会保障卡个人信息管理关系到每一个持卡人的合法权益。高效的社会保险卡个人信息管理有有助于每一个社会保险卡所有者能够更好地维护保养自己的社会安全权益。社会保障卡安装金融作用后,也将对持卡人的经济权益产生积极影响。
参考文献
[1]毛洪参保人员的贴身伴侣一社保卡[J].天津社会保险.2011 (02) .
[2]朱纯朋.XX市社保卡安全系统设计[D].北京:北京邮电大学2009.
[3]王东岩.社保卡的应用与发展[J].中国信用卡.2001 (09) : 3-7.
[4]社保卡的管理结构及应用系统[J].中国防伪报道.2009 (04) :45-48.
作者简介:
第一作者:杨晨希 ,2000-12-07,男,黑龙江省黑河市,信息管理与信息系统
第二作者:杨宏光 ,1999-12-27 ,辽宁省大连市,信息管理与信息系统
作者:杨晨希 杨宏光
推荐阅读:
个人信息权09-09
签证个人信息表07-22
个人信息资料表107-01
电子病历个人信息安全07-19
信息化先进个人材料06-25
信息技术培训个人计划07-04
志愿者个人信息档案07-23
信息化个人先进事迹09-21
信息技术与学科融合个人研修计划06-22
教师信息员个人工作计划07-14
