公民个人信息安全的法律保护研究

方 媛 衡 亮

一、引言

加强对个人信息的保护,是一种对私权利的保障。伴随着科学技术的不断发展和社会的进步,人们对信息的需求日益增加。公民个人信息既与日常生活紧密相联,还蕴藏着企业能够挖掘的重要“商业价值”。我国《中华人民共和国宪法》《中华人民共和国刑法》《中华人民共和国公民身份识别法》《中华人民共和国侵权责任法》《中华人民共和国护照法》等法律中均涉及公民个人信息保护的条款。但是,随着互联网的快速发展,各类网络平台以及网络应用软件融入公民学习、工作与生活之中,涉及公民个人信息泄露及其不当使用的情形日益增多,我国当前的法律制度在公民信息保护方面仍存有亟需完善之处。

二、我国个人信息安全保护现状

(一)个人信息安全保护立法概况

1994年2月18日,国务院发布的《中华人民共和国计算机信息系统安全保护条例》第一次提到了个人信息保护问题。随着互联网的发展,相关的个人信息保护问题得到了更多关注。在这样的情况下,有关的法律和规定不断地出台,力求把对公民个人信息的保护纳入民法和刑法等综合性的法律体系之中,对其进行全面的保护,并不断地出台相应的法律法规。比如,2015年刑法修正案(9)中对个人信息保护进行了规定,2017年正式施行了《中华人民共和国网络安全法》,2019年正式出台了《中华人民共和国密码法》,并于2020年正式施行了《个人信息安全规范》。

(二)个人信息安全保护立法的相关规制

第一,是对人格权的保障。比如,《中华人民共和国宪法》第38条明确了公民的权利不可被侵害,而第40条又明确地将公民的通讯自由与通讯秘密列入法律保护范围,除了为维护国家安全,或者为了追究刑事责任,任何的组织与个人都不能以各种原因来侵害人民的通讯自由与通讯秘密。又例如,在《中华人民共和国护照法》第12条第3款中,签发护照的机构和工作人员,对在制作和签发护照过程中获得的公民的私人资料必须加以保密。

第二,是对侵权行为的规定。《中华人民共和国民法通则》(以下简称《民法通则》)第99条和101条均涉及公民的姓名权和肖像权,根据《民法通则》第99条和101条的规定,假如公民的姓名权、肖像权等相关权利受到侵害,可以据此提起诉讼。《关于贯彻执行中华人民共和国民法通则若干问题的意见》第140条指出:通过书面形式、口头形式宣扬他人的隐私,或以虚构的内容对他人人格进行公然侮辱,以及通过侮辱、诽谤等方法,对他人名誉造成损害,在社会上造成一定的影响,应当认定为对他人的名誉权的侵害。

三、互联网时代公民个人信息安全存在的问题

(一)互联网的发展导致个人信息泄露风险增加

根据第52次《中国互联网络发展状况统计报告》,截至2023年6月,我国网民规模达10.79亿人,互联网普及率达76.4%。网络给人们提供了极大的方便,但因此产生的信息安全方面的问题也越来越多。例如,人们在网络上无意中留下来的一些个人资料,泄露后可能会被犯罪分子所利用,从而对其人身和财产造成危害。据统计,截至2022年,全国检察机关起诉侵犯公民个人信息犯罪分子人数高达6033人,办理案件2459件,且我国公民仅2018年上半年遇到网络问题的人数就高达54%,其中个人信息泄露问题占比高达28.5%[1]。

究其原因,导致公民个人信息泄露风险增加的一个重要原因是网络实名制泛滥[2]。一些“钓鱼”网站、非法应用软件诱导公众使用,并以“合法规定”强制要求用户填写个人信息,否则不允许上网及使用软件功能。面对数量繁多、鱼目混珠的各种网站平台和应用软件,一些用户在未甄别其安全性下填写了相应信息后,其个人信息就容易泄露被转卖扩散。根据新华网的调查显示,现在网络上的信息倒卖现象比较严重,不法分子甚至以不同的价格对公民信息进行倒卖,如考研信息0.1元一条,快递信息0.5元到1元每条,户籍信息50元每条等[3]。由此可见,互联网的发展导致个人信息泄露风险增加,这是公民个人信息保护面临的客观现实。

(二)部分公民“个人信息合理使用”的观念不强

“合理使用”是《著作权法》中提出的概念。作者享有其作品著作权,没有作者的允许,任何人都不能随意地发布著作信息。著作者的权利权益得到了保障,出版和创作得到了规范。个人信息的正当使用是在特定的情况下无需经过权利人的许可,无需付费,但“一定条件”却对个人信息使用进行了限定。

当自己的个人信息泄露以后,人们可以通过法律手段来保护自己的合法权益。但是在现实生活中,由于缺乏法制观念,很多人不能很好地行使自己的权利,不能很好地利用法律的手段来维护自己的合法利益。目前,我国公民的法律观念比较薄弱,具体体现为对公民个人信息的相关法律、法规不了解,也不懂得采取什么方式来维护自己的权利。尽管我国的法制建设已有了一些基础,但多数的立法都比较专业化。真的懂法且知道如何运用法律来保护自己的权利的人并不多,更多的人认为法律只是一种比较专业的东西,与他们的日常生活有着很大的距离。法律只是与律师、检察官存在关系,对于许多切实保障自身权利的法规只限于知晓法律名称的层面,而对于具体的保护范围却不甚了解。

(三)公民信息安全法律保护体系不够健全

维护公民信息安全首先需要有较为完善的法律保护体系。虽然《中华人民共和国民法典》(以下简称《民法典》)对个人信息的保护进行了比较全面的规定,但个人信息的保护并非“完成时”,因为随着我国人工智能、大数据的进一步发展,个人信息保护层面一定会面临更多新情况、新问题,需要的不仅仅是《民法典》的保护,而是需要以专项立法的形式保护公民个人信息,从而提高对公民个人信息的保护效果[4]。

当然,2020年公布的《中华人民共和国个人信息保护法》也正在为此努力,其宗旨是保护个人的信息权益,由此可见,我们的立法机关正在将个人信息保护上升到具体的个人信息权这一层面,从而为公民个人信息保护拓展更宽的领域。在我国法治建设的进程中,许多专家学者提出要在国家层面上构建个人信用系统,最重要的就是要有比较详细的公民信息记录,同时还要有相关的保障制度,让这个信用系统具备一定的可信度,这将会在未来的法治建设中起到很大的作用,这是一个循序渐进的过程。

四、完善公民个人信息安全法律保护的路径

(一)科学规范地推行网络实名制

由于当今互联网的发展速度超出了大家的想象,与之而来的也有种种问题。针对这些问题,国家从法律层面提出了不少解决方案,其中一个举措便是推行网络实名制。当然,推行网络实名制可以让相关部门在开展工作的过程中更精确、高效地获取自己需要的信息,有利于净化网络环境,增强网民自律,并进一步挤压网络违法犯罪的滋生土壤,对妄图窃取他人隐私、危害他人利益的不法分子起到了一定的震慑作用。但由于监管不到位,也使得很多的平台运营机构借助公民进行实名制这一契机盗取公民的个人信息获利。由此我们能够看出,推广实名制这一举措是需要加以完善的,如果完全杜绝实名制这一举措,可能会带来更加严重的问题。因此,一方面应该允许网络实名制存在着一定的局限性,另一方面也应该对这种侵权行为进行及时的规范。例如,网络运营商以及平台在进行实名制认证时,都会让公民勾选某种知情承诺书,司法机构可以重点对这些承诺书进行考察,观察其是否合法,以及相关平台是否真正履行了上述条款。

(二)明确个人信息合理使用的范畴

在对公民个人信息进行法律保护的过程中,明确究竟什么是“个人信息合理使用”是十分重要的。这种重要性既应该体现在民事法律以及行政法的制定中,也应该体现在刑事案件的办理过程中。在各行各业推行大数据分析作出决策基础的背景下,公民的个人信息可以说有了更好的利用价值,企业可以利用这些个人信息来提高自身的核心竞争力,以满足公众的市场需求,对于公民个人信息的使用并不都是有害的或者无意义的。因此,要对“个人信息合理使用”的范畴进行界定,这样司法部门对案件进行处理时也会有更加详细的依据,当公民向司法机构提起相关的诉讼时,司法机构应该对公民个人信息权的侵犯有一个清晰的界定,应该能够对企业是否合法使用公民的个人信息有一个清晰的标准,这样才不会有失公允。

目前,欧盟对“个人信息合理使用”加以界定,为相关部门更好地运用和更好地实现其应有的价值提供依据。我国还缺乏相关概念的明晰说明和规定。在欧盟的个人信息保护法中,“个人信息”与“个人数据”具有相同的内涵,其权利的主体被称作“信息主体”,其义务主体为个人信息控制者与处理者。对个人信息控制者与处理者而言,应对权利内容进行系统性和综合性的规定,构建严格的跨境个人信息转移规则,建立严格的监督机制与惩罚制度。笔者认为,“个人信息合理使用”一方面是指公民应该明确自己拥有的权利,在权利受损时利用法律武器来维护自身权利。另一方面,公民也应该明白自己不能滥用权利,比如不能在公开场合肆意发表一些不当言论。

(三)健全公民个人信息安全的民法保护

对大众来说,大众所熟知也最接近日常生活的正是民法,所以,利用民法来保护个人信息安全,有着非常重要的意义。以《民法典》第1032条为例,其对公民的隐私权利进行了明确的界定。任何团体和个人,均不可以刺探、骚扰、泄露等方式侵犯他人的隐私。在民法的支持下,可以构建更为完善的个人信息保护体系,特别是在轻度的侵害方面,可以通过民法来发挥更为直接的作用。而且,与其他的法律相比,民事诉讼的费用要低得多,这也大大减少了维权的成本。这就能让更多的人愿意和敢于维护自己的合法权益。《民法通则》第134条明确了10种民事侵权责任的赔偿方法,《侵权责任法》第15条也明确了8种赔偿方法,尽管《侵权责任法》第2条列举了民事权益的范围,但尚无明确的公民信息权规定。笔者建议将公民信息权纳入《民法通则》,并将其纳入《侵权责任法》的第2条之中,以便于在发生侵权行为时,对其进行赔偿,从而形成完善的体系。

(四)加强公民个人信息安全的行政法保护

等级保护是信息安全体系中的一种重要制度,也是我国强化对公民个人资料的行政法保障的一种有效措施[5]。笔者认为,从信息主体的角度来看,对于个体在各个层面上的信息,其所需的保障程度是不一样的。从性别角度来说,妇女应当受到较高层面的保护。就年龄层面而言,未满14周岁及超过65周岁者需更高程度的保护。就其职业层面而言,公共属性较高的大众知识分子、社会活动家等,其个人隐私保护等级要低得多,必须对“机密资料”采取特殊措施。这类资料通常会有一个人的名字、身份证号码、 IP地址等,与信息主体的身份信息关联度比较高,受到的保护等级也随之提高。其次为购物、上网、薪资等行为资料。对于诸如忠诚度和兴趣之类的派生信息,其保护等级可以比较低。若将较高级的私人信息当作普通的私人资讯加以保障,则私人信息因防护不力而被泄露的危险就会增加。反之,又会加大资讯的流动成本,对公民的言论自由造成过分的制约。

(五)完善公民个人信息安全的《刑法》保护

《刑法》是我们国家的法律中最严谨的一环,也是我们国家的最后一道防护壁垒,所以,我们在制定《刑法》的时候,一定要慎重,而且要全面考虑[6]。由于现行刑事立法对个人信息保护规定的缺失,故有必要对其加以完善。“情节严重”是《刑法》规定的非法获取公民信息的犯罪构成要件,而《刑法》对这一点却没有具体规定,司法实务中也难以形成统一的认识。在认定违法行为的轻重时,应当将以下几个方面加以考虑:非法利用公民信息的数量和获利的数额,数量达到100条或更多、金额在5000元以上的情况下,均可视为是情节严重。这取决于犯罪分子给社会造成了多大的危害,还要考虑犯罪分子做过多少违法的事情。

五、结语

随着网络信息技术的发展,各类网络平台和应用程序迅猛增长,公民个人信息被违法违规使用的问题增多,极大损害了公民信息权益。为了提升公民个人信息安全,我国需要健全公民个人信息保护相关法律规定,构建公民个人信息保护机制,加强对违法犯罪行为的打击力度,同时加大公民个人信息保护法律宣传力度,帮助公民提高个人信息保护法律意识,维护个人信息权益。