完善個人信息保護體系 促進大數據產業發展

發布日期：2017-07-10 09:08:57  瀏覽次數：6981

本文作者：華東政法大學教授 大數據政策法律研究中心主任 高富平

為推進大數據應用和數據產業發展，“大數據流通與交易技術國家工程實驗室”于2016年經國家發改委批復，正式落戶上海。實驗室由上海數據交易中心有限公司、中國互聯網信息中心、中國聯通集團、復旦大學、中國信息通信研究院等單位聯合共建，圍繞大數據國家戰略和數字經濟發展，面向大數據關鍵共性技術、垂直行業、國家治理體系，開展數據流通應用的技術、標準和法律規范的協同研究。

個人信息保護是大數據應用的前提，實驗室下設的 “大數據政策法律研究中心”協同相關大數據行業組織，反復論證形成“完善個人信息保護體系，促進大數據產業發展”建議稿。在2017年7月6日上海靜安國際大數據論壇閉門專家會議上，建議稿經討論定稿，以上海共識名義向社會公開發布。

信息的價值在于使用

人類進入網絡化、數據化和智能化時代，大數據技術不僅帶來科技和商業模式的創新，還帶來管理決策方式的變革。在大數據時代，信息成為非常重要的資源，那些與個人有聯系、能夠識別出個人完整情況的信息（又稱個人數據）構成了大數據利用的重要組成部分?，F在，個人信息流動和社會化利用成為當今社會發展的必然趨勢，商務活動、政務活動、社會活動都離不開個人信息的收集和利用，進而催生出了專門的數據收集、加工處理等數據服務行業。

個人信息歸屬于個人，法律必須給予切實有效保護。企業在業務中獲取和使用個人信息應當遵循合法、正當、必要的原則，這是世界公認的行為準則。在遵守該準則的前提下，企業經營活動中收集客戶或用戶的個人信息，并用于合法經營目的或合同約定目的是正當的商業行為。超出該準則之外的行為，包括提供給合同外第三方使用（即流通），由于可能會導致個人信息受泄露、披露、公開或被不當使用、非法使用，甚至可能危害到公民人身和財產安全，就應當被禁止。世界各國紛紛制定個人信息保護法，對個人信息收集和使用行為予以規范，在保護個人基本權利的同時，促進個人信息流通使用。

中國目前尚未建立起對個人信息的民事和行政保護體系，尚只是在2009年的《刑法修正案（七）》上確立了侵犯公民個人信息罪，著重打擊非法提供（包括出售）和非法獲取個人信息（包括竊?。┬袨?，兩高發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，下稱《刑法釋2017》）進一步對侵犯個人信息犯罪行為和量刑作出更具體明確的規定，有利于厘清是否入刑的邊界，正確適用刑法。無疑，刑法的規定對于扼制日益猖獗的數據黑產，打擊利用個人信息的各種犯罪行為，保護個人基本權利，維護個人信息利用正當秩序具有非常重要的意義。但是，在現實應用場景中，許多個人信息利用行為的合法與非法、罪與非罪的邊界仍然不清，企業對個人信息的使用仍然面臨著法律上的模糊地帶。

2013年修訂后的《消費者權益保護法》將消費者個人信息保護歸為工商管理部門的職責。2016年6月1日，《網絡安全法》生效，個人信息被納入“網絡信息安全”范圍加以保護，一個國家網信部門統籌監管，電信、公安和其他有關機關分工協作的個人信息行政保護體系由此開始建立。

打擊個人信息的非法利用、保護公民基本權利與促進信息流動、掘取大數據紅利同樣重要。因為，信息的價值在于使用──不僅僅在于自己使用，更在于向社會開放，提供給他人使用。信息的流通是信息社會化利用的必然要求。為了促進大數據的應用，帶動我國產業的升級轉型，我們形成并發布本建議書。

共識

1.個人信息收集、流通和使用是大數據時代企業的生存發展模式，在給社會帶來福祉的同時也存在潛在危害，主要來自：（1）泄露、披露或公開個人信息可能侵害個人隱私，甚至被“不法分子”利用以實施各種犯罪；（2）不當收集、使用或濫用個人信息，例如在個人不知情的情形下，收集處理個人信息，對個人作出錯誤畫像，可能危害個人的尊嚴和自由，甚至帶來歧視。

2.個人信息保護的目的是促進個人信息的合法流通和使用。作為懲治具有社會危害性行為的法律手段，刑法的目的是打擊出售（提供）、購買（獲取）包含個人身份信息、敏感信息的個人信息行為以及利用個人信息從事欺詐等犯罪的行為。因為包含身份信息的個人信息的買賣，不僅導致個人隱私的泄露，嚴重影響了公民的個人利益，而且還可能被用于不法目的，給個人人身和財產安全帶來危害。

3.利用個人信息實施犯罪的行為與利用個人信息從事正當經營活動是兩類不同性質的行為，前者的行為目的和行為本身具有非法性，而后者行為目的和行為本身是在法律授權范圍內，二者應當區別對待。此外，合法經營活動中可能出現的危害個人信息的行為還應當從行為后果上考察，而不能單純只從獲取和使用行為本身來判定。

4.依據刑法，“違反法律規定”的“情節嚴重”的個人信息出售或提供行為即可入刑。目前，我國個人信息規范少且很原則，歸納起來主要是：個人信息收集和使用應征得個人同意，并遵循合法、正當和必要原則，確保個人信息的安全和防止信息的泄露、毀損和丟失。違反這法律規定的行為并不一定具有刑法意義上的社會危害性，許多可以通過民事責任和行政責任加以解決；而“情節嚴重”包括了信息類型、信息數量、獲利數額等因素，容易將許多基于合法經營目的的個人信息使用行為也納入刑法調整，妨礙了大數據應用和產業發展。

5.《刑法修正案（九）》將“違反國家規定”修改為“違反國家有關規定”，使部門規章成為定罪依據。這擴大了刑罰的依據，使入罪條件行政化、擴大化，不僅降低入刑的標準，也模糊了一般違法行為和犯罪行為的界線，混淆了個人信息的行政保護和刑事保護手段，導致刑法的泛化，背離刑法的謙抑性特性。本質上，只有具有嚴重社會危害性的個人信息獲取和提供行為才能進入刑法調整。

1.我們認為，首先，刑法對個人信息的保護應當回歸刑法的本位，打擊和懲治具有社會危害性和嚴重侵害個人基本權利的行為。首先是明確可以入刑的侵犯個人信息的行為，再以情節輕重作為量刑輕重的因素。

其次，刑法規制的應當是買賣和非法提供個人信息的行為，這些行為可以直接聯系到特定個人身份，而不是所有具有識別性的個人信息。經過去身份、去敏感處理的數據流通行為應是國家鼓勵的數據利用行為。

再者，《刑法釋2017》第四條所規定的“以其他方法非法獲取”公民個人信息的行為，應當理解為相當于竊取違法性的手段，如虛構業務場景收集、強迫同意收集公民個人信息或采取詐騙手段獲取公民個人信息等。企業、政府機關或社會組織在法律授權的正常業務場景中收集個人信息一般不應被解釋為“以其他方法非法獲取”。

第四，購買、收受、交換等基于民事行為獲取公民個人信息的行為，需要結合數據使用目的及危害后果來確定其是否應由刑法調整；同樣，為合法經營活動而購買、收受公民個人信息的行為，不能單純以獲利（5萬元）作為入罪標準。

第五，出售和提供公民個人信息的行為原則上應當獲取個人同意，但“同意”不能成為具有社會危害的個人信息收集和使用行為合法化的“武器”，成為這些行為不承擔刑事責任的“擋箭牌”。反之亦然，“未經被收集者同意”也不是入刑的必要條件。未經被收集者同意向他人提供公民個人信息行為，只有侵害個人權利和造成社會危害后果的，才應被納入刑法規制范疇。否則，只是違約、侵權等民事或行政責任問題。

建議

保護個人信息，明確合法的收集、處理、流通和使用個人信息的規則，培育數據應用服務市場是實施大數據戰略的關鍵。刑法的作用是打擊個人信息的非法利用，而不能擔當其維護個人信息合理利用秩序的全部功能，我們必須充分利用民事、行政和刑事多種手段，建立起國家法治和行業自治協同的、全面的個人信息保護體系。為此，我們對我國個人信息保護體系的完善提出如下建議：

1.加快個人信息保護法的立法進程，建立民事、行政和刑事相協調的個人信息保護體系，制定明確的個人信息使用規范，厘清數據收集、流通和使用的合法邊界，為個人信息的行政執法提供法律依據，為行政執法和刑事制裁的分工協作提供指引。

2.建立單一的個人信息管理部門，統一執法，加強個人信息違法使用的行政監管，對不宜入刑的侵害個人權益的個人信息流通使用行為，由主管行政部門給予相應的行政處罰。

3.強化刑法對非法的數據黑產和利用個人信息實施違法犯罪的行為的打擊，對于具有社會危害性的侵犯個人信息的犯罪行為，應加大刑罰力度，提高最高刑期。

4.鼓勵制定出既能切實保護個人信息、又能實現個人信息流通使用的行業準則，分行業制定個人信息流通安全標準、個人信息使用準則等，為行業合規合法使用數據提供行為指引。

學術支持：大數據流通與交易技術國家工程實驗室大數據政策法律研究中心、中國信息通信研究院互聯網法律研究中心、華東政法大學數據法律研究中心、國家社科基金重大項目“信息服務和信息交易法律制度研究”課題組