风险识别阶段,个人信息的安全风险状况更加清晰地呈现出来,对于不同类型和等级的风险应当采用针对性的保护措施。刑法作为社会管理的强有力手段也需要发挥自身的作用。社会风险的不断升级累积,导致“风险”演变成“危险”再演变成“实害”的过程更易发生,造成的危害后果更加严重。因此,刑法选择对法益前置保护,提前介入危险,防范严重后果的发生。功能刑法下的积极立法观实现了风险预防的立法目标,对社会风险的提前介入和防范已经成为不争的事实,典型的是法定犯和危险犯的增多。但是,刑法的提前介入,应当具有一定的限度,才能合理兼顾自身对自由和安全价值的追求,平衡刑法谦抑性与功能性的冲突。如针对有危险性但侵害法益层级较低的行为,可采用实害犯的犯罪形态,并规定较高的法定刑幅度;针对某种危险性较大且侵犯的法益层级较高的行为,在用行政法规制无法有效预防的前提下,应当考虑采用具体危险犯的犯罪形态;如果仍无法达到预期效果,可考虑将刑法介入的时间点进一步提前,谨慎采用抽象危险犯模式。个人信息保护的刑事立法仍应当坚持刑法保障法的基本立场和相对消极的立法态度,应当多设置实害犯;而涉及公共安全和秩序法益时,刑法立法则需要能动和积极地设置危险犯,实现对社会风险防控的功能。在刑事司法上,对于采用危险犯等风险防控功能较强的个人信息犯罪立法模式解释时,应当坚持无罪推定的立场,从主观和客观两方面对“情节”“兜底条款”“罪量”等模糊性词语谨慎解释,对违法阻却事由加以细化和具体化,合理限制法定犯、危险犯的滥用。
(三)个人信息安全风险分担:注意义务分配
传统个人信息犯罪正在向网络渗透发展,即时通讯取代了现实空间的接触,让公民个人信息犯罪变得简单、快捷。在高达37%的利用即时通讯侵犯公民个人信息的案例中,公民个人信息在即时通讯软件上被随意地明码标价交易,甚至形成产业链,从信息源头到末端历经多次加价转手。①在这个犯罪链条中,多元主体参与其中,为了应对个人信息安全风险,风险责任的公平合理分配至关重要。应对风险的重要途径在于风险的分担,风险分担的目的在于参与风险项目的各个主体都需要根据自己的角色承担一定的风险,尽到合理的注意义务,实现整个项目和各个主体的互利共赢。为了防止个人信息的滥用,各个主体都应当承担相应的注意义务,这样才能将风险发生率降到最低。
与个人信息安全相关的主体主要涉及三类:一是信息主体本身,其产生了大量的个人信息。但信息主体作为网络使用者接受网络服务时,个人信息有可能会被他人获取和使用。二是互联网公司、大数据公司等网络服务提供者,为了更好地提供网络服务,实现精准营销,往往需要大量获取和使用个人信息。三是国家政府,一方面随着电子政务的普及,政府机构需要获取大量个人信息,同时政府作为社会管理者更需要加强自身信息系统安全以保护个人信息安全。个人信息的安全需要三者齐心协力共同维护,因此,三者需要根据自身的作用和特性承担不同的风险,尽到合理的义务。
须指出,目前我国相关法律法规更加注重网络服务提供者和政府机关的义务,却鲜少考虑信息主体的合理注意义务。信息主体作为个人信息的产生者和最终侵权行为的受害者,更应当谨慎对待自己的信息。如果信息主体本身对个人信息都“不以为意”,那就应当承担个人信息被滥用的风险。因此,在前置法律中可以适当增加信息主体应尽的合理义务,例如应当了解网络服务提供者的服务范围和隐私政策。在刑法理论上,被害人同意(承诺)可能成为犯罪行为的出罪或刑事责任减免的事由。尽管信息主体遭受损害,但如果个人信息收集或使用行为是经过信息主体同意的,则犯罪行为人可能不构成侵犯公民个人信息罪。
(四)个人信息安全风险控制:严密刑事法网
大数据作为战略资源的地位日益凸显,个人信息的价值更在于流通与共享。但是数据的无序流通与共享使得隐私、安全与共享利用之间的矛盾问题尤为突出,加之数据资产地位尚未确立、数据治理体系远未达成,导致了隐私保护和数据安全方面的重大风险。因此,现在急需针对互联网环境下的数据(包括个人信息)制定相应的法律法规。但与此同时,法律法规的增加意味着个人信息数据处理的合规性标准更加严格,势必会降低数据流通的速度和效率。如何兼顾发展和安全,在数据得到充分保护情况下不过分阻碍数据价值的挖掘,是数据立法需要重点关注的问题。
从法律制度角度来说,严密法网能够起到平衡作用。严密法网并不是行为范围的扩大,而是条文设置的细化。一方面,前置法应当细化权利义务的设置,将“法网”越织越密。
展开
