大数据运用与公民个人信息保护的平衡

——评“合法收集的个人信息未经被收集者同意提供他人”入罪

周建伟*

摘要：大数据时代，保护公民个人信息与个人数据的开发利用需要一个平衡。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定，未经被收集者同意，将合法收集的公民个人信息向他人提供，属于刑法二百五十三条之一规定的“提供公民个人信息”。该解释将导致侵犯公民个人信息罪入罪要件扩大，且有补充行政立法不足之意。在司法实践中，该解释会导致打击范围过宽，有碍大数据时代正当合理的数据流转及其应用开发和创新。大数据时代，保护公民个人信息的传统知情同意机制实质虚置。公民个人信息的保护，应以行政规制和和行业自律为主。“未经被收集者同意，将合法收集的公民个人信息向他人提供”的行为，不具有刑法实质违法性，应作无罪化处理。如果目的非法，且具有严重社会危害性，那么擅自向他人提供个人信息应纳入刑法调整的对象。

关键词：侵犯公民个人信息 个人数据流转 实质违法性 个人信息保护法

一、公民个人信息在“裸奔”，两高司法解释用“重典”

国家十三五规划提出实施国家大数据战略，把大数据作为基础性战略资源，加快推动数据资源共享开放和开发应用，助力产业转型升级和社会治理创新。个人数据是大数据的重要组成部分。大数据时代离不开个人数据的采集、利用和流转。个人信息是无形资产，并且具有稀缺性。 个人信息数据已经成为企业的核心资产，是这些企业的形成和保持竞争力的关键。数据分析为企业运营提供了有效的依据。但是，同时带来了公民个人信息安全面临前所未有的风险。大数据时代，公民个人信息正面临全面失控的局面。 有戏言称现在大家都是“透明人”。2016年6月22日，中国互联网协会发布《中国网民权益保护调查报告2016》，54%的网民认为个人信息泄露严重，84%的网民亲身感受到由于个人信息泄露带来的不良影响。可是，我国保护公民个人信息的立法严重滞后于时代的要求。公民个人信息一直在“裸奔”。但是，近年来保护公民个人信息的立法工作明显加快了步伐。

民事法领域，将于2017年10月1日实施的《民法总则》第11条规定自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

行政法领域，工业和信息化部2013年9月1日实施《电信和互联网用户个人信息保护规定》，规定了在中国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的具体规则。2017年6月1日施行的《互联网安全法》明确规定了网络运营商应当建立健全用户信息保护制度，收集、使用个人信息必须遵循合法、正当、必要的原则。法律对互联网运营商保护公民个人信息提出了严格的要求，行政部门对互联网运营商保护公民个人信息有了监管的法律依据。除此，《邮政法》、《商业银行法》、《消费者权益保护法》等分散有保护公民个人信息的规定。但是，上述法规无法覆盖其他领域和其他行业。大量的企业游离于监管之外。我国亟待制定一部保护公民个人信息的基础性法律，个人信息保护法或个人数据保护法，覆盖所有行业和所有领域。目前《个人信息保护法》正在酝酿制定中。

刑事法领域，2009年2月《刑法修正案（七）》将非法提供出售公民个人信息入罪。2015年11月《刑法修正案（九）》将侵犯公民个人信息罪的主体扩大为一般主体。2017年7月1日实施《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“两高司法解释”）明确了公民个人信息的范围，将公民个人信息分为三类：一般公民个人信息、敏感公民个人信息和高度敏感公民个人信息。针对不同的个人信息类型，规定不同的构罪数量要求。买卖高度敏感信息50条，敏感信息500条，其他公民个人信息5000条即可入罪。堪称“乱世用重典”！

上述可见，我们目前尚没有颁布专门全面规制公民个人信息的法律。我国还是主要依赖刑事手段来保护公民个人信息。刑事手段是最严厉的，但也是最耗费社会资源的保护手段，过度依赖刑事手段保护公民个人信息，无法提供全面保护、常态化保护。

二、侵犯公民个人信息罪的违法性要件

侵犯公民个人信息罪，是指违反国家有关规定向他人出售或者提供公民个人信息，或者将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人以及窃取或者以其他方法非法获取公民个人信息情节严重的行为。

根据《刑法》第二百五十三条之一的规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。　违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。　窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

从上述规定看，违法性是本罪成立的前提。在此基础上，如果情节严重的，以侵犯公民个人信息罪定罪量刑。两高司法解释的出台，对公民个人信息的范围、违法性、非法性作出了具体规定，不同的信息类型规定了不同的入罪门槛。特别是违法性、非法性的具体界定值得引起关注。

（一）违法性要件

两高司法解释第二条规定，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

两高司法解释第四条规定，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

上述两条规定，是侵犯公民个人信息罪的违法性要件。

（二）未经被收集者同意—违法性要件的特别规定

两高司法解释第三条规定了提供公民个人信息的三种情形：一是向特定人提供公民个人信息，二是通过信息网络或者其他途径发布公民个人信息的”；三是未经被收集者同意，将合法收集的公民个人信息向他人提供。

未经被收集者同意，是两高司法解释对提供公民个人信息入罪的特别规定，似有越权解释的嫌疑。根据刑法二百五十三条之一的规定，违反国家有关规定是入罪要件。根据《互联网安全法》的规定，非经被收集者同意不得向他人提供经合法收集的个人信息。因此，在互联网运营行业，两高司法解释有法律依据。但是，在其他多数行业和领域，尚缺乏法律明确规定。在覆盖所有行业和所有领域的保护公民个人数据的《个人信息保护法》出台前，两高司法解释特别规定未经收集者同意作为违法性的规定，似有补充行政立法不足的用意。

三、“合法收集的个人信息未经被收集者同意提供他人”不具有刑法实质违法性

（一）知情同意——公民个人信息保护的经典原则

个人信息权本质上是对其个人信息处理和控制权。传统法理认为个人信息的收集和利用必须经个人的事先同意。1970年德国黑森州颁布《个人数据保护法》，这是世界上第一部保护公民个人信息安全的国内法。这是德国人经历了纳粹统治后痛定思痛，更加珍惜重视个人的自由和权利的结果。1977年德国制定统一的《联邦个人数据保护法》，而后又通过德国宪法法院判决确认个人信息自决权。根据个人信息自决权，公民能自由决定如何利用自己的个人信息和谁可以利用他的个人信息，并确立了禁止法律许可的保留原则。任何一项对个人信息自决权的法律限制都必须合宪。 日本2005年4月1日实施《个人信息保护法》，这是一部规制企事业单位获取利用个人信息的基础性法律，规制对象是全部持有和处理个人信息的企事业单位。 日本对企事业单位使用个人信息设定了八项原则，其中目的明确化原则和利用限制原则，对企业对个人数据的使用目的进行了严格规定，企业不得使用个人数据进行任何违法活动，不经数据主体同意，不得向任何第三人提供数据主体的信息。 2013年10月22日通过《欧盟数据保护基本条例》实施更为严格的个人数据保护制度，其中一大亮点是增设删除权，个人可行使删除权，并赋予控诉、起诉权。 美国1974年《隐私权法》规范公共部门的个人信息处理行为，防范公权力对公民隐私的侵害，其正当信息通则为私人领域广泛接受，成为美国保护个人信息的一般原则。 其中二项基本原则是个人有权知道自己被记录的个人信息及其使用情况；为某一目的而采集的公民个人信息，未经本人许可，不得用于其他目的。

综上所述，德国、日本、欧盟、美国保护公民个人信息制度的建构是以知情同意机制为基本法律框架。

（二）大数据时代知情同意规则如同虚置。未经被收集者同意作为入罪要件缺乏现实基础

在大数据时代，数据已经成为一种生产资料，成为企业保持、提升竞争力的核心资产。个人信息的收集、流转、比对、再利用是价值创造的重要源泉。 在这种背景下，企业在收集个人信息前，须告知用户信息的处理状况，通常就是人们常见的隐私权政策声明之类的告知。用户在政策文稿末尾，选择同意或不同意，选择了同意就代表了用户进行了合法授权。

然而，这种做法实质上又是虚置的。试问，有多少人会耐心阅读隐私权政策声明。有人作过测算，如果耐心阅读，用户仅阅读一年网络服务中的隐私权政策声明就要花费244小时的时间。显然，这是不现实的。实际做法一般是快速浏览的末尾，直接在同意选项打钩。在网络语境下，为使用互联网产品或服务，用户除了点击同意，别无选择。这样实际上其实是架空了用户的权利。另外，在个人信息密集收集与多方流转的过程中，用户根本无法知情。因此，传统知情同意机制失灵，对个人信息保护带来新的挑战。

面对大数据分析技术对个人信息保护带来的新挑战，大数据时代，仍然坚持同意原则是不现实的。各国政府已经在重新审视既有法律架构的有效性，加强对个人信息的保护力度，甚至提升至数据主权与国家安全的高度。 未来个人数据或者个人信息的保护在维持知情同意制度的同时，将在信息维护、信息安全、动态风险控制措施上予以加强。

（三）未经被收集者同意作为入罪要件，将导致刑事手段打击范围太广，可能阻碍数据价值的开发利用

大数据时代个人数据流转已是常态，合法收集后未经被收集者同意向他人提供实际具有一定普遍性。个人信息的流转创造了巨大的价值。一方面有助于政府提高社会治理水平、另一方面也有助于企业形成竞争力和保持竞争力。不少企业，在提供服务或者商品的过程中自行收集个人信息数据的同时，通过分享、合作、许可等方式引入外部数据、第三方数据。也已经出现了第三方专门从事大数据交易的服务机构，这些数据服务机构，通过搭建数据交易平台，推进着数据的开发利用。 。在个人数据流转过程中，行政部门可通过查询机制、补偿机制、删除机制，以及经济行政手段等事后救济途径来规制个人数据的流转过程，从而保护个人信息安全。刑法不应完全禁止出售或提供公民个人信息的行为。  如果将未经被收集者同意作为入罪要件，那么必然会导致刑法打击面太宽，阻碍个人信息数据价值的开发利用。

（四）司法实践中，未经被收集者同意作为入罪要件面临司法困境

大数据时代，企业对个人信息的收集、流转、利用创造价值的同时，个人信息生态系统已经朝着去中心化的方向重构。 在去中心化的个人信息生态系统中，信息处理主体多元化，并且信息处理主体与信息个人的直接联系已经缺失。个人信息的被收集者形式上点击过同意选项,但是，实质上当时点击同意按钮也是别无选择，不点同意，不能获得互联网产品或者其他服务。因此，这种同意的有效性毫无疑问是要受到质疑的。而且，众所周知，在刑法上事实的认定轻形式重实质，那么在这种情况下，就会带来一个形式上同意而实质上无法得知是否同意的尴尬局面。由此，可能带来两个结局，未经被收集者同意的事实无法认定或者被扩大认定。

（五）保护公民个人信息，应以行政规制和和行业自律为主

大数据背景下如何保护公民个人信息？数据时代，大数据的运用必然影响公民个人信息权。在大数据运用和公民个人信息保护之间取得平衡是关键。个人信息的使用不得侵犯个人的人格尊严和自由。公民个人信息保护的目的在于促进个人信息的合法使用和安全流通。保护公民个人信息主要应通过行政规制、行业自律为主，以及公民自身通过民事权利救济途径来保护。行政规制是公民个人信息保护的政府责任，行政部门应通过加强立法，提供安全机制、查询机制、补偿机制、删除机制以及其他经济行政手段等来保障公民个人信息的完整性、安全性和自主性，同时严格执法，通过合规审查、信用评级、征信记录等手段促进机关企事业单位公民个人信息保护制度的建立和落实。大数据时代，保护公民个人信息，应以行政规制和和行业自律为主。

刑事手段应是最后的手段，而且由于刑事资源的有限性，保护公民个人信息过于依赖刑事手段有其明显的局限性。根据刑法二百五十三条之一的规定，违反国家有关规定是侵犯公民个人信息罪的前提，该罪具有行政犯的特征。对侵犯公民个人信息的行为，应当建立统一的、完备的行政规制体系与刑法相衔接。 两高司法解释将经合法收集的公民个人信息未经被收集者同意向他人提供的行为予以入罪，是直接将本应由行政规制的行为交给了刑罚处理。

（六）刑法实质违法性是侵犯公民个人信息罪入罪边界

刑事手段是公民权利保护的最后一道防线。鉴于刑法的严厉性和谦抑性，不可能也不必要将所有侵犯公民个人信息的行为纳入刑事处罚的范围。只有具有实质违法性的侵犯公民个人信息的行为才是刑法调整的对象。刑法规定侵犯公民个人信息罪，其所保护的法益应当是公民人格尊严与个人自由，刑法控制的是对个人人格尊严和自由有严重侵害的行为。

根据刑法《刑法》第二百五十三条之一的规定，侵犯公民个人信息罪的成立以违法国家有关规定或者非法为前提。违法性是该罪成立的构成要件。经合法收集的个人信息，未经被收集人同意提供他人，违反被收集者知情同意原则，违反互联网安全等行政管理性法律法规，行政规制是主要手段。大数据时代，人们已经离不开个人数据的利用，个人信息数据正常流转已经不可避免，而且具有巨大的经济价值。向他人提供经合法收集的个人信息或许有潜在的社会危害性，其社会危害性取决于接受方的后续行为。接受方的后续行为是否损害公民的人格尊严和自由，是判断实质违法性的基础。更重要的是，没有共同的故意，提供方也不应对接收方的实质违法性行为负责。因此，单纯未经被收集者同意向他人提供经合法收集的个人信息并无刑法上的社会危害性，不应是刑罚处罚的对象。

刑法保护个人信息既不能缺位，也不能越位，应当回归刑事本位，惩治具有严重社会危害性，严重侵害公民个人信息权的行为。司法解释规定的提供公民个人信息行为，是否入罪？应考虑向他人提供公民个人信息的目的和现实的社会危害性。如果提供目的合法，合法收集的公民个人信息未经被收集者同意向他人提供应属于违约行为、侵权行为、或者行政违法行为。当事人可通过民事手段或行政手段让违法者承担民事责任、行政责任。如果目的非法，且具有严重社会危害性，那么擅自向他人提供个人信息应纳入刑法调整的对象。

结语

大数据时代，保护公民个人信息与个人数据的开发利用需要一个平衡。既要保护公民个人信息，又要不妨碍个人数据的开发利用，两者之间如何兼顾，如何平衡是大数据时代面临的全新课题。刑法侵犯公民信息罪的规定以及两高司法解释提供了公民个人信息安全的刑法保护，但是，刑法作为公民个人信息保护是最后的一道屏障。鉴于刑罚的严厉性和刑事资源的稀缺性，必须保持刑法的谦抑性。“未经被收集者同意，将合法收集的公民个人信息向他人提供的行为”，如果目的合法，无现实社会危害性，应作无罪化处理。刑事手段有明显的局限性，保护公民个人信息不能过度依赖刑事手段。保护公民个人信息，亟待加强行政保护的力度，参照国外立法，结合中国大数据运用的先进经验，需要尽早出台覆盖全社会的中国版《个人信息保护法》或者《个人数据保护法》。通过制度安排，加大收集主体、使用主体、存储主体、处理主体的责任立法。既做到保护公民个人信息，又保障个人数据的正常流转，实现两者的动态平衡和价值利用的最大化。