個人信息保護(hù)中的民刑協(xié)同

發(fā)布日期：2021-09-03 15:26 信息來源：中心

隨著數(shù)字經(jīng)濟(jì)的發(fā)展，數(shù)據(jù)大爆炸的時代已經(jīng)到來。個人信息的保護(hù)關(guān)乎個人的尊嚴(yán)與自由，關(guān)于經(jīng)濟(jì)與社會的發(fā)展，甚至關(guān)乎國家主權(quán)安全。2021年8月20日，十三屆全國人大常委會第三十次會議通過了《中華人民共和國個人信息保護(hù)法》（以下簡稱《信保法》），該法將于2021年11月1日正式施行。我國對個人信息的保護(hù)歷來非常重視，個人信息保護(hù)不僅在《信保法》、《民法典》中加以保護(hù)，在此以前，多部法律法規(guī)也對此有所涉及，例如《數(shù)據(jù)安全法》（2021年6月10日通過，2021年9月1日施行），《網(wǎng)絡(luò)安全審查辦法》（2020年4月發(fā)布，2020年6月實施），《網(wǎng)絡(luò)安全法》（2016年11月7日通過，2017年6月1日施行）等。與此配套的，最高法頒布了《關(guān)于審理人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》（2021年6月8日通過，2021年8月1日施行），《關(guān)于審理信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（2020年12月29日通過，2021年1月1日施行），國務(wù)院頒布了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（2021年4月27日通過，2021年9有1日實施），最高檢頒布了《關(guān)于貫徹執(zhí)行個人信息保護(hù)法推進(jìn)個人信息保護(hù)公益訴訟檢察工作的通知》，由此說明我國正在積極建立保護(hù)信息數(shù)據(jù)安全，維護(hù)網(wǎng)絡(luò)秩序的法律系統(tǒng)。

除以上民事法律規(guī)范外，我國《刑法》還規(guī)定了侵犯公民個人信息罪（《刑法》第二百五十三條）、非法利用網(wǎng)絡(luò)信息罪（《刑法》第二百八十七條）、拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪（《刑法》第二百八十六條）等罪罰，以刑事處罰的方式對侵犯公民個人信息的行為加以打擊。在民刑兼?zhèn)涞那闆r下，如何厘清邊界，區(qū)分不同規(guī)定的適用情形，做到刑法與民法的銜接，是我們需要探討的問題。

1、明確個人信息的定義

要認(rèn)定侵犯公民個人信息犯罪，首先應(yīng)是準(zhǔn)確界定“公民個人信息”的內(nèi)涵和范圍。在《信保法》出臺之前，根據(jù)《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，以下簡稱《解釋》）第一條的定義，公民個人信息為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。”而根據(jù)《信保法》第四條第1款，個人信息指的是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。”根據(jù)《刑法》第九十六條規(guī)定，所謂“違反國家規(guī)定”是指“違反全國人民代表大會及其常務(wù)委員會制定的法律和決定，國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”，其中自然包括《信保法》，因此《信保法》對于“個人信息”的定義使得《刑法》的保護(hù)客體內(nèi)涵和外延更加豐富。

2、個人信息保護(hù)的刑法銜接

《信保法》在個人信息處理、跨境、權(quán)責(zé)分配、擔(dān)責(zé)機關(guān)等問題上均有創(chuàng)設(shè)性規(guī)定，這一方面有利于相關(guān)義務(wù)人明確職責(zé)范圍，更好地履行保護(hù)個人信息的義務(wù)，另一方面，也將使不法侵害個人信息的行為更加清晰地暴露于《刑法》之下，增加入罪的明確性。

舉例而言，如個人信息處理者委托處理個人信息，而受托人擅自轉(zhuǎn)委托的，無論是否盈利，無論個人信息是否因此向不特定人泄露，其行為均違背了《信保法》第二十一條第3款的規(guī)定，根據(jù)個人信息種類的不同，在提供信息達(dá)至一定數(shù)量后，受托人將有可能因此涉嫌侵犯公民個人信息罪。

3、個人信息保護(hù)中的“告知-同意”

《信保法》確立“告知-同意”為個人信息保護(hù)核心規(guī)則，要求處理個人信息應(yīng)當(dāng)在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發(fā)生變更的應(yīng)當(dāng)重新向個人告知并取得同意?！缎谭ā分星址腹駛€人信息罪的兩種實行行為，其前提均為“未經(jīng)同意”，該要素屬于不成文的構(gòu)成要件要素，因此該原則是民刑保護(hù)的基礎(chǔ)性規(guī)則。

同時，《信保法》第十三條第1款第（二）至（七）項規(guī)也定了例外情形。比如第（二）項規(guī)定“實施人力資源管理所必需”的個人信息的處理不需取得個人同意，前提是“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同”。

但是，不同于傳統(tǒng)意義上的“告知-同意”體系，在《信保法》出臺后，個人信息處理者即使事先取得了用戶同意，也有可能違反法律法規(guī)。如《信保法》第二十四條第1款明確規(guī)定，“個人信息處理者利用個人信息進(jìn)行自動化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。”這意味著，一些企業(yè)通過掌握消費者的經(jīng)濟(jì)狀況、消費習(xí)慣、價格敏感程度等信息進(jìn)行自動化決策，對消費者在交易價格等方面實行歧視性的差別待遇，也即俗稱的“大數(shù)據(jù)殺熟”行為，將被禁止。違反該規(guī)定，達(dá)到相應(yīng)嚴(yán)重程度后，個人信息處理者仍將可能因此涉嫌犯罪。

4、違法處理個人信息行為的罰則

《信保法》根據(jù)個人信息處理的不同情況，對違法處理個人信息的行為設(shè)置了不同梯次的行政處罰。對未造成嚴(yán)重后果的輕微或一般違法行為，可由執(zhí)法部門責(zé)令改正、給予警告、沒收違法所得，對拒不改正的最高可處一百萬元罰款；對情節(jié)嚴(yán)重的違法行為，最高可處五千萬元或上一年度營業(yè)額百分之五的罰款，并可以對相關(guān)責(zé)任人員作出相關(guān)從業(yè)禁止的處罰。同時，《信保法》還專門規(guī)定，對違法處理個人信息的應(yīng)用程序，可以責(zé)令暫?；蚪K止提供服務(wù)。

在民事責(zé)任方面，《信保法》明確，處理個人信息侵害個人信息權(quán)益造成損害的，以及個人信息處理者的過錯推定責(zé)任（個人信息處理者如不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)損害賠償?shù)惹謾?quán)責(zé)任）。

在刑事責(zé)任方面，犯侵犯公民個人信息罪的將根據(jù)情節(jié)嚴(yán)重程度處三年以下有期徒刑或拘役，或三年以上七年以下有期徒刑。犯拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，或犯非法利用信息網(wǎng)絡(luò)罪的，可被判處三年以下有期徒刑、拘役或者管制。

5、個人訴訟與公益訴訟

《信保法》第七十條規(guī)定：“個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權(quán)益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。”該法條將檢察機關(guān)和消費者協(xié)會納入到訴訟主體范圍內(nèi)，檢察機關(guān)也將個人信息保護(hù)作為拓展公益訴訟案件范圍的新領(lǐng)域重點部署推進(jìn)。2021年8月21日，最高人民檢察院下發(fā)《關(guān)于貫徹執(zhí)行個人信息保護(hù)法推進(jìn)個人信息保護(hù)公益訴訟檢察工作的通知》，將個人信息保護(hù)納入檢察公益訴訟新領(lǐng)域，對檢察機關(guān)辦理此類案件的立案標(biāo)準(zhǔn)、起訴條件、訴訟請求等實體和程序問題加以規(guī)范。

結(jié)語：

《個人信息保護(hù)法》將個人信息保護(hù)帶入了一個新紀(jì)元。在積極保護(hù)公民個人信息、嚴(yán)厲打擊侵犯公民個人信息行為的同時，也區(qū)分不同的適用情形，做到刑法與民法的銜接，力求更全面地保護(hù)公民個人信息，維護(hù)社會秩序，打擊違法犯罪行為。

特別鳴謝：北京高文律師事務(wù)所

李明燕律師