⑴ 侵犯公民個人信息罪
一、引言
大數據技術的發展給科技進步、信息共享、商業發展帶來了巨大的變革,社會活動網路化的發展趨勢更給予了個人信息豐富的社會價值和經濟價值,使它成為對於國家、社會、組織乃至個人都具有重要意義的戰略資源。與此同時,與個人信息相關的犯罪活動也呈現出高發態勢。2009年《刑法修正案(七)》增設「出售、非法提供公民個人信息罪」和「非法獲取公民個人信息罪」。2015年《刑法修正案(九)》將兩個罪名整合為「侵犯公民個人信息罪」,並擴大了主體范圍,加大了處罰力度。2017年3月20日最高人民法院、最高人民檢察院《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《2017年解釋》)對侵犯公民個人信息罪的司法適用做出了具體規定。
筆者在中國裁判文書網,對判決結果包含「公民個人信息」的刑事一審判決逐年進行檢索,2009-2019年間各年份相關判決數如圖表 1所示。我國侵犯公民個人信息犯罪的發展可為四個階段:2009~2012年,此類判決數為零,與個人信息相關的犯罪案件在實踐中鮮有發生;2012~2016年,判決數量開始緩速增長,總量尚較少;2016~2017 年判決數量激增 214.6%,呈現出高發態勢;2016~2019年,犯罪數量增速放緩。
圖表 1
作為侵犯公民個人信息犯罪的行為對象,公民個人信息的內涵、范圍、判斷標准對立法和司法適用具有重要意義。《2017年解釋》第1條對其概念做了明確的規定,但實踐中對公民個人信息的界定仍存在一些模糊的地方。如,如何把握行蹤軌跡信息的范圍、如何把握財產信息的范圍和如何認定公民個人信息的可識別性等。由此觀之,要實現對侵犯公民個人信息罪的准確認定,我們應該對其行為對象的內涵、外延進行深入研究。本文擬對《刑法》二百五十三條「公民個人信息」的界定進行深入分析,希望能對司法實踐中該罪的認定提供有益參考。
二、刑法上公民個人信息合理保護限度的設定原則
信息網路時代,我們要在推動信息科技的發展應用和保護公民個人信息安全之間尋求適度的平衡。刑法對公民個人信息的保護力度過小或者過大,都不利於社會的正常發展。筆者認為,應當基於以下三項原則設定公民個人信息刑法保護的合理限度。
(一)刑法的謙抑性原則
刑法的謙抑性,是指刑法應合理設置處罰的范圍與程度,當適用其他法律足以打擊某種違法行為、保護相應合法權益時,就不應把該行為規定為犯罪;當適用較輕的制裁方式足以打擊某種犯罪、保護相應合法權益時,就不應規定更重的制裁方式。此原則同樣是刑法在對侵犯公民個人信息犯罪進行規制時應遵循的首要原則。
在我國個人信息保護法律體系尚未健全、前置法缺失的當下,刑法作為最後保障法首先介入個人信息保護領域對侵犯公民個人信息行為進行規制時,要格外注意秉持刑法的謙抑性原則,嚴格控制打擊范圍和力度。對於公民個人信息的認定,范圍過窄,會導致公民的合法權益得不到應有的保護,不能對侵犯公民個人信息的行為進行有效的打擊;范圍過寬,則會使刑法打擊面過大,導致國家刑罰資源的浪費、刑罰在實踐中可操作性的降低,阻礙信息正常的自由流通有違刑法的謙抑性原則。在實踐中,較常見的是認定范圍過寬的問題,如公民的姓名、性別等基礎性個人信息,雖能夠在一定程度上識別個人身份,但大多數人並不介意此類個人信息被公開,且即便造成了一定的危害結果,也不必動用刑罰手段,完全可以利用民法、行政法等前置法予以救濟。
(二)權利保護與信息流通相平衡原則
大數據時代,隨著信息價值的凸顯,個人信息保護與信息流通之間的價值沖突也逐漸凸顯。一方面,信息的自由流通給國家、社會、個人都帶來了多方面的便利,另一方面,也不可避免地對個人生命和財產安全、社會正常秩序甚至國家安全帶來了一定的威脅。
科技的進步和社會的需要使得數據的自由流通成為不可逆轉的趨勢,如何平衡好其與個人權益保護的關系,是運用刑法對侵犯公民個人信息行為進行規制時必須要考慮的問題。個人信息保護不足,則會導致信息流通的過度自由,使公民的人身、財產安全處於危險境地、社會的正常經濟秩序遭到破壞;保護過度,則又走入了另一個極端,妨礙了信息正常的自由流通,使社會成員成為一座座「信息孤島」,全社會也將成為一盤散沙,也將信息化可以帶來的巨大經濟效益拒之門外。
刑法要保護的應當僅僅是具有刑法保護的價值和必要,並且信息主體主動要求保護的個人信息。法的功能之一便是協調各種相互矛盾的利益關系,通過立法和司法,平衡好個人信息權利保護與信息自由流通,才可以實現雙贏。應努力構建完備的個人信息保護體系,既做到保障公民人身、財產權利不受侵犯,又可促進信息應有的自由流動,進而推動整個社會的發展與進步。
(三)個人利益與公共利益相協調原則
個人利益對公共利益做出適當讓渡是合理的且必須,因為公共利益往往涉及公共安全與社會秩序,同時也是實現個人利益的保障。但是這種讓渡的前提是所換取的公共利益是合法、正當的,並且不會對個人隱私和安全造成不應有的侵害。
公共安全是限制公民個人信息的典型事由。政府和司法部門因為社會管理的需要往往會進行一定程度的信息公開,信息網路的發展也使得大數據技術在社會安全管理活動中發揮著越來越重要的作用,但同時也不可避免地涉及到對於公民個人利益邊界的觸碰,由此產生公共管理需要與個人權益維護之間的沖突。相對於有國家機器做後盾的公權力,公民個人信息安全處於弱勢地位,讓個人信息的保護跟得上信息化的發展,是我們應該努力的方向。
公眾人物的個人信息保護是此原則的另一重要體現,王利明教授將公眾人物劃分為政治性公眾人物和社會性公眾人物兩類。對於前者,可將其個人信息分為兩類:一類是與公民監督權或公共利益相關的個人信息,此類個人信息對公共利益做出適當的讓步是必須的;另一類是與工作無關的純個人隱私類信息,由於這部分個人信息與其政治性職務完全無關,所以應受與普通人一樣的完全的保護。對於社會性公眾人物,其部分個人信息是自己主動或是希望曝光的,其因此可獲得相應的交換利益,對於這部分信息,刑法不需要進行保護;也有部分信息,如身高、生日、喜好等雖然被公開,但符合人們對其職業的合理期待,且不會有損信息主體的利益,對於此類信息,也不在刑法保護范圍內;但對於這類信息主體的住址、行蹤軌跡等個人信息,因實踐中有很多狂熱的粉絲通過人肉搜索獲得明星的住址、行程信息,對明星的個人隱私進行偷窺、偷拍,此類嚴重影響個人生活安寧和基本權益的行為應當受到刑法的規制。
三、刑法上公民個人信息的概念、特徵及相關范疇
(一)公民個人信息的概念
「概念是解決法律問題必不可少的工具」。
1.「公民」的含義
中華人民共和國公民,是指具有我國國籍的人。侵犯公民個人信息犯罪的罪名和罪狀中都使用了「公民」一詞,對於其含義的一些爭議問題,筆者持以下觀點:
(1)應包括外國籍人和無國籍人
從字面上和常理來看,中國刑法中的「公民」似乎應專門指代「中國的公民」。但筆者認為,任何人的個人信息都可以成為該罪的犯罪對象,而不應當把我國刑法對公民個人信息的保護局限於中國公民。
第一,刑法一百五十三條採用的並非「中華人民共和國公民個人信息」的表述,而是了「公民個人信息」,對於刑法規范用語的理解和適用,我們不應人為地對其范圍進行不必要的限縮,在沒有明確指明是中華人民共和國公民的情況下,不應將「公民」限定為中國公民。
第二,全球互聯互通的信息化時代,將大量外國人、無國籍人的個人信息保護排除在我國刑法之外,會放縱犯罪,造成對外國籍人、無國籍人刑法保護的缺失,這既不合理,也使得實踐中同時涉及侵犯中國人和非中國人的個人信息的案件的處理難以操作。
第三,刑法分則第三章「侵犯公民人身權利、民主權利罪」並不限於僅對「中國公民」的保護,也同等地對外國籍人和無國籍人的此類權利進行保護。因此,處於我國刑法第三章的侵犯公民個人信息犯罪的保護對象,也包括外國籍人和無國籍人的個人信息,「我國對中國公民、處在中國境內的外國人和無國 籍人以及遭受中國領域內危害行為侵犯的外國人和無國籍人,一視同仁地提供刑法的保護,不主張有例外。」
(2)不應包括死者和法人
對於死者,由於其不再具有人格權,所以不能成為刑法上的主體。刑法領域上,正如對屍體的破壞不能構成故意殺人罪一樣,對於死者個人信息的侵犯,不應成立侵犯個人信息罪。對死者的個人信息可能涉及的名譽權、財產權,可以由死者的近親屬主張民法上的精神損害賠償或繼承財產來進行保護。
對於法人,同樣不能成為刑法上公民個人信息的信息主體。一方面,自然人具有人格權,而法人不具有人格權,其只是法律擬制概念,不會受到精神上的損害。另一方面,法人的信息雖然可能具有很大的商業價值和經濟效益,但是已有商業秘密等商法領域的規定對其進行保護。因此,法人的信息不適用公民個人信息的保護。
2.「個人信息」的含義
法學理論上對於公民個人信息的界定主要識別說、關聯說和隱私說。
識別說,是指將可以識別特定自然人身份或者反映特定自然人活動情況作為公民個人信息的關鍵屬性。可識別性根據識別的程度又可以分為兩種方式,即通過單個信息就能夠直接確認某人身份的直接識別,和通過與其他信息相結合或者通過信息對比分析來識別特定個人的間接識別。學界支持識別說觀點的學者大多指的是廣義的識別性,既包括直接識別,又包括間接識別。
關聯說認為所有與特定自然人有關的信息都屬於個人信息,包括「個人身份信息、個人財產情況、家庭基本情況、動態行為和個人觀點及他人對信息主體的相關評價」。根據關聯說的理論,信息只要與主體存在一定的關聯性,就屬於刑法意義上的公民個人信息。
隱私說認為,只有體現個人隱私的才屬於法律保障的個人信息內容。隱私說主要由美國學者提倡,主張個人信息是不願向他人公開,並對他人的知曉有排斥心理的信息。
筆者認為,通過識別說對刑法意義上的公民個人信息進行界定最為可取。關聯說導致了刑法保護個人信息的范圍過分擴大,而隱私說則只將個人信息局限在個人隱私信息的范圍內,忽略了不屬於個人隱私但同樣具有刑法保護價值的個人信息,同時由於對隱私的定義受個人主觀影響,所以在實踐中難以形成明確的界定標准。相比之下,識別說更為可取,不僅能反應需刑法保護的公民個人信息的根本屬性,又具有延展性,能更好的適應隨著信息技術的發展而導致的公民個人信息類型的不斷增多。
且通過梳理我國關於個人信息的立法、司法,識別說的觀點貫穿其中。
名稱
生效年份
對「個人信息」核心屬性的界定
《全國人大常委會關於加強網路信息保護的決定》
2012年
可識別性、隱私性
《關於依懲處侵害公民個人信息犯罪活動的通知》
2013年
可識別性、隱私性
《關於審理利用信息網路侵害人身權益民事糾紛案件適用法律若干問題的規定》
2014年
隱私性
《網路安全法》
2016年
可識別性
《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》
2017年
可識別性、可反映活動情況
圖表 2
《網路安全法》和《2017年解釋》中關於公民個人信息的界定無疑最具權威性。《網路安全法》採用了識別說的觀點,將可識別性規定為公民個人信息的核心屬性。而後者採用了廣義的「可識別性」的概念,既包括狹義可識別性 (識別出特定自然人身份) , 也包括體現特定自然人活動情況。兩者之所以採用了不同的表述,是因為《網路安全法》對公民個人信息做了整體而基礎性的保護,而《2017年解釋》考慮到,作為高度敏感信息的活動情況信息,隨著定位技術的不斷進步逐漸成為本罪保護的一個重點,因此在採用了狹義的身份識別信息概念的基礎之上,增加了對活動情況信息的強調性規定,但其本質仍是應涵括在身份識別信息之內的。
所以,應以可識別性作為判斷標准對公民個人信息進行界定。
(二)公民個人信息的特徵
刑法意義上的「公民個人信息」體現了其區別於廣義上的「公民個人信息」的刑法保護價值。明確刑法領域個人信息的特徵,有助於在司法中更好的對個人信息進行認定。
1.可識別性
這是公民個人信息的本質屬性。可識別是指可以通過信息確定特定的自然人的身份,具體包括直接識別和間接識別。直接識別,是指通過單一的信息即可直接指向特定的自然人,如身份證號、指紋、DNA等信息均可與特定自然人一一對應。間接識別,是指需要將某信息與其他信息相結合或者進行對比分析才能確定特定自然人,比如學習經歷、工作經歷、興趣愛好等信息均需要與其他信息相結合才能識別出特定的信息主體。
2.客觀真實性
客觀真實性是指公民個人信息必須是對信息主體的客觀真實的反映,。一方面,主觀上的個人信息對特定個人的識別難度極大;另一方面,現行刑法關於侮辱罪或誹謗罪的相關規定足以對此類主觀信息進行規制。司法實踐中,如何判斷信息的客觀真實性也是一個重要的問題,如何實現科學、高效鑒別個人信息客觀真實性,是司法機關應努力的方向。現有的隨機抽樣的方法有一定可取性,但不夠嚴謹。筆者認為,可以考慮採取舉證責任倒置的方式,若嫌疑人能證明其所侵犯的個人信息不具有客觀真實性,則不構成本罪。
3.價值性
刑法的兩大機能是保護法益和保障人權。從保護法益的機能出發,對於侵犯公民個人信息罪這一自然犯,只有侵犯到公民法益的行為,才能納入刑法規制的范圍。而判斷是否侵犯公民法益的關鍵就在於該信息是否具有價值。價值性不僅包括公民個人信息能夠產生的經濟利益,還包括公民的人身權利。從個人信息的人格權屬性角度分析,個人隱私類信息的公開,會侵犯公民的隱私權、名譽權,行蹤軌跡類信息的公開,會對公民人身安全帶來威脅。從個人信息的財產權屬性角度分析,信息化時代,信息就是社會的主要財產形式,能夠給人們帶來越來越大的經濟利益。「信息價值僅在當行為人主張其個人價值時才被考慮」,只有具有刑法保護價值的信息,才值得國家動用刑事司法資源對其進行保護。
(三)個人信息與相關概念的區分
很多國家和地區制定了專門的法律保護個人信息,但部分國家和地區沒有採用「個人信息」的概念,美國多採用「個人隱私」的概念,歐洲多採用「個人數據」的概念,而「個人信息」的表述則在亞洲較為常見。對於這三個概念是可以等同,存在觀點分歧。有觀點認為,個人信息與個人隱私有重合,但不能完全混同,也有觀點認為個人信息包含個人隱私,以個人數據為載體。筆者認為,有必要對三個概念進行明確區分。
1.個人信息與個人隱私
關於這兩個概念的關系,有學者主張前者包含後者,有學者主張後者包含前者,還有學者認為兩者並不是簡單的包含關系。筆者認為,個人信息與個人隱私相互交叉,個人信息包括一般信息和隱私信息,個人隱私包括隱私信息、私人活動和私人空間,所以兩者的交叉在於隱私信息。兩者制建有很大的區別,不能混淆。首先,私密程度不同,個人信息中除隱私信息以外的一般信息在一定程度上是需要信息主體進行公開的,如姓名、手機號、郵箱地址等,而個人隱私則具有高度的私密性,個人不願將其公開;其次,判斷標准不同,個人信息的判斷標準是完全客觀的,根據其是否具有識別性、真實性、價值性來進行判斷即可,而個人隱私在判斷上具有更多的主觀色彩,不同主體對個人隱私的界定是不同的;最後,個人信息既具有消極防禦侵犯的一面,也具有主動對外展示的一面,信息主體通過主動公開其部分個人信息,可能會獲得一定的利益,而個人隱私則側重消極防禦,主體的隱私信息和隱私活動不希望被公開,隱私空間不希望被侵犯。
2.個人信息與個人數據
筆者認為,個人信息(personal information)和個人數據(personal Data)的區別在於,個人數據是以電子信息系統為載體的對信息主體的客觀、未經過處理的原始記錄,如個人在醫院體檢後從自助機取出的血液化驗報告單;後者是指,數據中可對接收者產生一定影響、指導其決策的內容,或是數據經過處理和分析後可得到的上述內容,如血液化驗報告數據經系統或醫生的分析,形成的具有健康指導作用的結果報告,換言之,個人信息=個人數據+分析處理。
四、刑法上公民個人信息的司法認定
在司法實踐中,對於概念和原則的把握必然有一定的差異性,需要具體情況具體討論。在本部分,筆者對一般個人信息的認定進行總結歸納,並對一些存在爭議的情況進行分析。
(一)公民個人信息可識別性的認定
「可識別性是指個人信息能夠直接或者間接地指向確定的主體。」經過上文中的討論,根據《網路安全法》和《2017年解釋》對公民個人信息的定義,我們能夠得出,「識別性」是公民個人信息的核心屬性,解釋第3條第2款印證了這一觀點。對於能夠單獨識別特定自然人的個人信息,往往比較容易判斷,而對於需要與其他信息結合來間接識別特定自然人身份或反映特定自然人活動情況的信息,往往是個案中控辯雙方爭議的焦點,也是本罪的認定中最為復雜的問題。面對實踐中的具體案情,對於部分關聯信息是否可以認定為「公民個人信息」時,可從行為人主觀目、信息對特定自然人的人身和財產安全的重要程度和信息需要結合的其他信息的程度三個方面綜合分析加以判斷。
以此案為例:某地一醫葯代表為了對醫生給予用葯回扣,非法獲取了某醫院某科室有關病床的病床號、病情和葯品使用情況。此案中所涉及的非法獲取的信息不宜納入刑法中「公民個人信息」的范疇。首先,從行為人主觀目的上看,並沒有識別到特定自然人的目的,而僅僅是為了獲取用葯情況;其次,從以上信息對病人的人身安全、財產安全以及生活安寧的重要性上來看,行為人獲取以上信息並不會對病人權益造成侵犯;最後,從這些信息需要與其他信息結合的程度來看,病床號、用葯情況等信息並不能直接識別到個人,需要結合病人的身份證號等才能起到直接識別的作用。所以,此案中的涉案信息不屬於刑法所保護的「公民個人信息」。
(二)敏感個人信息的認定
《2017年解釋》第五條根據信息的重要程度、敏感程度,即信息對公民人身、財產安全的影響程度,將「公民個人信息」分為三類,並設置了不同的定罪量刑標准。
類別
列舉
「情節嚴重」標准
(非法獲取、出售或提供)
「情節特別嚴重「標准(非法獲取、出售或提供)
特別敏感信息
蹤軌跡信息、通信內容、徵信信息、財產信息
五十條以上
五百條以上
敏感信息
住宿記錄、通信記錄、健康生理信息、交易信息
五百條以上
五千條以上
其他信息
五千條以上
五萬條以上
圖表 3
但是在司法實踐中,仍存在對標准適用的爭議,主要表現在對敏感個人信息的認定。
1.如何把握「行蹤軌跡信息」的范圍
行蹤軌跡信息敏感程度極高,一旦信息主體的行蹤軌跡信息被非法利用,可能會對權利人的人身安全造成緊迫的威脅。《2017年解釋》中對於行蹤軌跡信息入罪標準的規定是最低的:「非法獲取、出售或者提供行蹤軌跡信息50以上」的,即構成犯罪。由於《2017年解釋》中對行蹤軌跡信息規定了極低的入罪標准,所以司法認定時應對其范圍做嚴格把控,應將其范圍限制在能直接定位特定自然人具體位置的信息,如車輛軌跡信息和GPS定位信息等。實踐中,信息的交易價格也可以作為判定其是否屬於「行蹤軌跡信息」的參考,因為行蹤軌跡信息的價格通常最為昂貴。
對於行為人獲取他人車票信息後判斷出他人的行蹤的情況,載於車票的信息不宜被認定為《2017年解釋》所規定的「行蹤軌跡信息」,因為該信息只能讓行為人知道信息主體大概的活動軌跡,並不能對其進行准確定位。
2.如何把握「財產信息」的范圍
財產信息是指房產、存款等能夠反映公民個人財產狀況的信息。對於財產信息的判斷,可以從兩方面進行把握:一是要綜合考量主客觀因素,因為犯罪應是主客觀相統一的結果;而是考慮到敏感個人信息的入罪門檻已經極低,實踐中應嚴格把握其范圍。
以此案為例:行為人為了推銷車輛保險,從車輛管理機構非法獲取了車主姓名、電話、車型等信息。此案中的信息不宜認定為「財產信息」。因為行為人的主觀目的不是侵犯信息主體的人身、財產安全,最多隻會對行為人的生活安寧帶來一定的影響,因而應適用非敏感公民個人信息的入罪標准。
(三)不宜納入本罪保護對象的公開的個人信息的認定
信息主體已經公開的個人信息是否屬於 「公民個人信息」的范疇,理論界存在觀點分歧。筆者認為,「公民個人信息」不以隱私性為必要特徵,因為《2017年解釋》第1條並為採用「涉及個人隱私信息」的表述,而是以識別性作為判斷標准。因此,信息的公開與否並不影響其是否可以被認定為「公民個人信息」。
對於權利人主動公開的個人信息,行為人獲取相關信息的行為顯然合法,且其後出售、提供的行為,當前也不宜認定為犯罪。理由如下:第一,在我國的立法和司法中,曾以「隱私性」作為界定公民個人信息的核心屬性,可見公民個人信息在一定程度上是從隱私權中分離出來的權利,所以侵犯公民個人信息罪側重於對公民隱私和生活安寧的保護。權利人之所以自願甚至主動公開其個人信息,說明這部分信息即便被獲取、出售,也通常不會對其個人隱私和生活安寧造成侵犯,因此不應納入刑法保護范圍內;第二,根據刑法第253條之一的規定,向他人出售或提供公民個人信息,只有在違反國家有關規定的前提下才構成犯罪。對於已經公開的公民個人信息,行為人獲取後向他人出售或提供的行為在我國缺乏相關法律規定的情況下,應推定為存在權利人的概括同意,不需要二次授權,也就是說不應認定行為人對獲取的已經由權利人公開的個人信息的出售和提供行為系「違法國家有關規定」。第三,在我國個人信息保護機制尚未健全、侵犯公民個人信息犯罪高發的背景下,應將實踐中較為多發的侵犯權利人未公開的個人信息的案件作為打擊的重點。
對於權利人被動公開的個人信息,行為人獲取相關信息的行為可以認定為合法,但如果後續的出售或提供行為違背了權利人意願,侵犯到了其個人隱私和生活安寧,或是對權利人人身安全、財產安全造成了威脅,則應根據實際情況以侵犯公民個人信息罪論處。
對於權利人被動公開的個人信息,行為人對相關信息的獲取一般來說是合法的,但是獲取信息之後的出售、提供行為如果對信息主體的人身安全、財產安全或是私生活安寧造成了侵犯,且信息主體對其相關個人信息有強烈保護意願,則應據其情節認定為侵犯公民個人信息犯罪。
五、結語
大數據時代,個人信息對個人、組織、社會乃至國家均具有重要價值,由此也滋生了越來越多的侵犯個人信息犯罪。「公民個人信息」作為侵犯公民個人信息罪的犯罪對象,其概念界定、特徵分析、與相關概念的區分以及司法認定對於打擊相關犯罪、保護公民個人信息具有重要意義。通過本文的研究,形成以下結論性的認識:第一,界定公民個人信息的原則。一是應遵循刑法的謙抑性原則,保證打擊范圍既不過寬而導致國家刑罰資源的浪費和可操作性的降低,也不過窄而使公民個人信息權益得不到應有的保障。二是應遵循權利保護與信息流通相平衡原則,在保障公民人身、財產權利不受侵犯的同時不妨礙信息正常的流通。三是應遵個人利益與公眾利益相協調原則,允許個人利益對公共利益做出適當讓步,但杜絕對個人利益的侵害和過度限制。第二,公民個人信息之「公民」應包括外國籍人和無國籍人,不應包括死者和法人。公民個人信息之「個人信息」應採取「識別說」進行界定,可以識別特定自然人是刑法上公民個人信息的根本屬性。除了可識別性,刑法意義上的公民個人信息還應具有客觀真實性、價值性等特徵可作為輔助判斷標准。還應注意個人信息與個人隱私、個人數據等相關概念的區分,避免在司法實踐中出現混淆。第三,一般個人信息的認定。「可識別性」是其判斷的難點,可以從行為人主觀目的、信息對其主體人身和財產安全的重要程度和信息需與其他信息的結合程度這三個方面綜合分析判斷;對於行蹤軌跡信息、財產信息等敏感個人信息,由於其入罪門檻低、處罰力度大,應嚴格把控其范圍並結合行為人主觀心理態度進行考量;對於信息主體已經公開的個人信息,應分情況討論,對於信息主體主動公開的個人信息,行為人對其獲取、出售和提供,不應認定為侵犯公民個人信息罪,對於信息主體被動公開的個人信息,行為人對信息的獲取是合法的,但其後出售、提供的行為,可以依實際情況以侵犯公民個人信息犯罪論處。
希望本文的論述能夠對我國個人信息保護體系的完善貢獻微小的力量。
⑵ 微博如何回應被立案調查
8月11日國家網信辦發布消息,微博等三網站因存在有用戶傳播 暴 力 恐 怖、虛 假 謠 言、淫 穢 色 情 等危害國家安全、公共安全、社會秩序的信息,涉嫌違反《網路安全法》等法律法規。北京市、廣東省網信辦已依法展開調查,並將發布案件後續進展情況。
微博深知所背負的責任和擔當。下一步,微博將通過產品、技術和運營的持續創新,不斷升級技術和人工防控措施,堅持打擊謠言信息、暴恐信息、色情信息等不良內容,持續提升對不良信息的發現和處置能力,引導和鼓勵網友舉報,並加大舉報處理力度,為網友營造清朗、健康、有序的網路空間。
希望微博能夠早日解決此事,保障用戶的正常使用。
⑶ 滴滴的危機,酒店業的「審判」還遠嗎
當頭一棒,沒有人預想到事情會進展得那麼快。
7月4號晚上,國家互聯網信息辦公室依據《中華人民共和國網路安全法》,通知所有應用商店下架「滴滴出行」APP。
眾所周知, 旅遊 酒店業此前也頻爆「數據泄露」丑聞。「數據安全」話題再次提到一個新的高度, 旅遊 酒店行業的數據監管還遠嗎?
01
數據的安全
沒有一個企業是無辜的
昨天網路公示的新聞稱,將對「滴滴出行」實施網路安全審查,審查期間「滴滴出行」停止新用戶注冊,滴滴回應將積極配合網路安全審查。理論上這個審查需要60個工作日才能了結,沒想到才過了2天,就來了個斬立決。
官網截圖
酒店行業以旁觀者看「滴滴」,殊不知酒店行業的當下已是「火燒眉毛」的處境。
近年來,攻擊者已經入侵了多家大型連鎖酒店的網路,暴露泄漏了數億客人的信息。根據最近的行業報告,在2020年因網路安全漏洞而受到影響的行業中,酒店業排名第三,酒店行業遭受的攻擊事件占總數的13%。
這些漏洞中約有三分之二是對酒店企業伺服器的攻擊,因為這些伺服器通常存儲來賓信息並與現場財產管理系統進行通信。此類網路攻擊行為可能損害酒店企業聲譽,破壞運營並造成巨大的財務損失。
事實上,統計萬豪、洲際、希爾頓、凱悅、文華東方和華住等酒店集團均遭遇過用戶數據泄露事件,涵蓋用戶數量已近10億人次。以下是最近幾年發生在酒店行業的部分數據泄漏事件:
2014年和2015年: 希爾頓酒店集團,泄露信息涉及超過36萬條支付卡數據;
2017年4月: 洲際酒店集團,數據泄露涉及超過全球1000家酒店;
2017年10月: 凱悅酒店集團,泄露數據涉及全球的41家凱悅酒店。
2018年8月: 華住酒店集團,泄露5億條數據,並在暗網被售賣;
2018年10月: 麗笙(Radisson)酒店,具體泄露數據量未公布;
2018年11月: 萬豪酒店,數據泄露520萬酒店客戶個人信息;
2019年: 美高梅度假村的數據泄漏事件所帶來的影響遠比最初報道的要大,截至目前,已影響超過1.42億酒店客人,不僅僅是媒體最初於2020年2月初報告的1060萬人人數。
02
想得太簡單
數據危機在哪裡?
隨著個人數據的價值越來越大,加上酒店在個人信息數據的管理和使用上存在風險和漏洞,使其成為黑客攻擊的主要目標,數據泄露頻繁發生,談論酒店行業數據風波的警醒意義,都顯得有些許無力。
酒店業雖然是住宿業態,但是它有非常原始的一手數據,比如你的姓名,手機號,常去的地址,入住酒店的頻率,例如嗜好,習慣,職業,興趣愛好,灰色事宜等等。如果把這些信息匯總起來,大體可以勾畫出你這個人的人物形象。
對於普通老百姓來說,這些信息除了增加資料庫儲存空間以外,沒有任何價值,但是一些敏感的人物和地點就完全不一樣了。
舉個例子,在官方地圖上,某塊區域是一片空白,但是總有那麼幾個固定的注冊用戶,會定時往返這個區域,那麼大家認為這個區域會用來幹嘛?
再或者若干位特定用戶,比如參加國家級的某場會議的手機號集中出現在了某地,但當地近期並無召開會議的安排,那很有可能是一些重大且敏感的變化。
這些數據的珍貴程度超乎想像。未來一段時間中國將面臨嚴重的泄密風險。
現在中國這些互聯網壟斷企業,掌握了大量的用戶信息,而這些線上信息和線下的用戶行為是息息相關的,只要對手願意提供輔助演算法,絕對可以模擬出真實的 社會 環境。以各位的智商,這個「對手」與「風險」是誰,就不用我多說了吧。
03
數據的安全
酒店業需要提早預見
鑒於酒店行業屢次犯錯的事實,必須在對用戶信息的管理上,樹立起絕對的紅線。酒店業的星級評定標准,也該及時升級,將資料庫的防護水平納入考量范圍,倒逼酒店加大信息安全投入。
個人信息泄漏事件,無疑將重大影響酒店品牌的形象,也消耗了業主的信任,甚至影響到財務安全業務的開展。
在加強培訓和優化系統之餘,酒店當前最需要完成的是對信息安全的保障及信任框架的建立。對之前已發生過數據泄露的酒店而言,對數據的保護尤其重要。同時消費者應該擁有知情權,知道獲取信息的目的及個人信息的明確用途,巧立名目獲取與服務無關信息的商家,必將失去消費者的信任。
您可能覺得酒店管理系統沒那麼脆弱,實際上比您想像中的更脆弱,像搖搖欲墜的牆,只差人去推一把。酒店IT人員一般不會去推的,他們往往比較辛苦,但是實話說酒店行業IT待遇太差,所以高手一般都不願呆在那兒,入門人員和混日子的IT人也沒有水平和心思琢磨這些。他們寧願讓廠商來維護,而廠商的人員會在自家的管理系統中埋個邏輯炸彈么?當然有可能,特別是想讓酒店續費或升級之時。不過也不要以為酒店管理系統的工程師水平有多高超,就是系統支持,弄台伺服器,安裝個伺服器端軟體,搞個培訓嘛!沒事兒折騰那東西干什麼?產品中設置一個授權時間,到時報警或停用不就得了,用得了下邏輯炸彈?
留給行業的問題是:這個成本誰來買單呢?
⑷ 我國頒布了幾部關於網路的法律法規
我國頒布了關於網路的法律法規主要有以下四部。
國家和網路安全職能部門下發的有關網路安全的政策及法律:
《中華人民共和國網路安全法》
介紹:2017年6月1日,《中華人民共和國網路安全法》正式實施,作為我國第一部全面規范網路空間安全管理方面問題的基礎性法律,《網路安全法》是我國網路空間法治建設的重要里程碑,是依法治網、化解網路風險的法律重器,是讓互聯網在法治軌道上健康運行的重要保障。
《互聯網新聞信息服務管理規定》
介紹:《互聯網新聞信息服務管理規定》最初由2005年9月25日實施,由於個別組織和個人在通過新媒體方式提供新聞信息服務時,存在肆意篡改、嫁接、虛構新聞信息等情況,2017年5月2日國家互聯網信息辦公室對外公布新版本,正式實施時間是2017年6月1日。
《公安機關互聯網安全監督檢查規定》
介紹:2018年11月1日,公安部發布《公安機關互聯網安全監督檢查規定》。根據規定,公安機關應當根據網路安全防範需要和網路安全風險隱患的具體情況,對互聯網服務提供者和聯網使用單位開展監督檢查。
《互聯網網路安全突發事件應急預案》
介紹:2017年11月23日,工業和信息化部印發《公共互聯網網路安全突發事件應急預案》。要求部應急辦和各省(自治區、直轄市)通信管理局應當及時匯總分析突發事件隱患和預警信息。
(4)網路安全法審判是哪一日涉嫌的擴展閱讀:
最高人民法院關於互聯網法院審理案件若干問題的規定
為規范互聯網法院訴訟活動,保護當事人及其他訴訟參與人合法權益,確保公正高效審理案件,根據《中華人民共和國民事訴訟法》《中華人民共和國行政訴訟法》等法律,結合人民法院審判工作實際,就互聯網法院審理案件相關問題規定如下。
第一條 互聯網法院採取在線方式審理案件,案件的受理、送達、調解、證據交換、庭前准備、庭審、宣判等訴訟環節一般應當在線上完成。
根據當事人申請或者案件審理需要,互聯網法院可以決定在線下完成部分訴訟環節。第五條 互聯網法院應當建設互聯網訴訟平台(以下簡稱訴訟平台),作為法院辦理案件和當事人及其他訴訟參與人實施訴訟行為的專用平台。通過訴訟平台作出的訴訟行為,具有法律效力。
互聯網法院審理案件所需涉案數據,電子商務平台經營者、網路服務提供商、相關國家機關應當提供,並有序接入訴訟平台,由互聯網法院在線核實、實時固定、安全管理。訴訟平台對涉案數據的存儲和使用,應當符合《中華人民共和國網路安全法》等法律法規的規定。
第六條 當事人及其他訴訟參與人使用訴訟平台實施訴訟行為的,應當通過證件證照比對、生物特徵識別或者國家統一身份認證平台認證等在線方式完成身份認證,並取得登錄訴訟平台的專用賬號。
使用專用賬號登錄訴訟平台所作出的行為,視為被認證人本人行為,但因訴訟平台技術原因導致系統錯誤,或者被認證人能夠證明訴訟平台賬號被盜用的除外
⑸ 2017年6月1日起實施的法律
一、《中華人民共和國網路安全法》
《網路安全法》2016年11月7日由第十二屆全國人民代表大會常務委員會第二十四次會議通過,自2017年6月1日起施行,是我國網路領域的基礎性法律。明確加強對個人信息保護;對攻擊、破壞我國關鍵信息基礎設施的境外組織和個人規定相應的懲治措施;增加懲治網路詐騙等新型網路違法犯罪活動的規定等。
二、《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》
《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》分別於2017年3月20日由最高人民法院審判委員會第1712次會議、2017年4月26日由最高人民檢察院第十二屆檢察委員會第63次會議通過,自2017年6月1日起施行,是「兩高」首次就打擊侵犯公民個人信息犯罪出台司法解釋。規定非法獲取、出售或者提供50條以上即入罪,在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到司法解釋規定的相關標准一半以上的,即可構成犯罪。首次明確「人肉搜索」案件中,行為人未經權利人同意即將其身份、照片、姓名、生活細節等個人信息公布於眾,情節嚴重的,處三年以下有期徒刑或者拘役。
三、《民用無人駕駛航空器實名制登記管理規定》
《民用無人駕駛航空器實名制登記管理規定》於2017年5月16日由中國民用航空局航空器適航審定司發布,要求自2017年6月1日起,民用無人機製造商和民用無人機擁有者必須在「中國民用航空局民用無人機實名登記系統」(https://uas.caac.gov.cn)上申請賬戶,對於最大起飛重量為 250 克以上(含 250 克)的民用無人機,製造商在系統中填報其所有產品的信息,擁有者在該系統實名登記其個人及其擁有的產品的信息,並將系統給定的登記標志粘貼在無人機上。
四、新修訂的《農葯管理條例》
修訂後的《農葯管理條例》於2017年6月1日起施行,國家鼓勵和支持研製、生產、使用安全、高效、經濟的農葯,推進農葯專業化使用,促進農葯產業升級。農葯生產企業、農葯經營者應當對其生產、經營的農葯的安全性、有效性負責,自覺接受政府監管和社會監督。
五、《互聯網新聞信息服務許可管理實施細則》
《互聯網新聞信息服務許可管理實施細則》由國家互聯網信息辦公室5月22日公布,自2017年6月1日起施行。明確通過互聯網站、應用程序、論壇、博客、微博客、公眾賬號、即時通信工具、網路直播等形式向社會公眾提供互聯網新聞信息服務,應當取得互聯網新聞信息服務許可,禁止未經許可或超越許可范圍開展互聯網新聞信息服務活動。《互聯網新聞信息服務許可證》有效期為三年。
六、《網路產品和服務安全審查辦法(試行)》
《網路產品和服務安全審查辦法(試行)》自2017年6月1日起實施,關系國家安全的網路和信息系統采購的重要網路產品和服務,應當經過網路安全審查。
七、《互聯網信息內容管理行政執法程序規定》
《互聯網信息內容管理行政執法程序規定》自2017年6月1日起正式施行。旨在規范和保障互聯網信息內容管理部門依法履行行政執法職責,正確實施行政處罰,保護公民、法人和其他組織的合法權益,促進互聯網信息服務健康有序發展。
八、《海關總署關於暫不予放行旅客行李物品暫存有關事項的公告》
《關於暫不予放行旅客行李物品暫存有關事項的公告》由海關總署2016年3月15日發布,於2017年6月1日正式施行。明確規定了5類不能入境的行李:(1)旅客不能當場繳納進境物品稅款的;(2)進出境的物品屬於許可證件管理的范圍,但旅客不能當場提交的;(3)進出境的物品超出自用合理數量,按規定應當辦理貨物報關手續或其他海關手續,其尚未辦理的;(4)對進出境物品的屬性、內容存疑,需要由有關主管部門進行認定、鑒定、驗核的;(5)按規定暫不予以放行的其他行李物品。不予以放行的行李物品,可以暫存。(附件:海關暫不予放行旅客行李物品暫存憑單.doc)
九、新版《大中型水利水電工程建設征地補償和移民安置條例》
《國務院關於修改〈大中型水利水電工程建設征地補償和移民安置條例〉的決定》,自2017年6月1日起施行。大中型水利水電工程建設徵收土地的土地補償費和安置補助費,實行與鐵路等基礎設施項目用地同等補償標准,按照被徵收土地所在省、自治區、直轄市規定的標准執行。
⑹ 中華人民共和國網路安全法的涉及內容
據他介紹,去年自己公司的一個網路信息數據被人非法竊取,給公司帶來經濟損失。為追責任他啟動了調查程序,發現存在兩個尷尬問題:一是當前的互聯網信息,沒有完善齊備的立法保護,這導致追責困難。二是公司的知識產權信息被竊取外泄,涉嫌被侵權卻無法維權。
鑒於此,劉偉針對互聯網安全信息,進行了一番調研。據其介紹我國是名副其實的網路大國,但同時也是遭受網路攻擊最嚴重的國家之一。網路信息泄露和濫用、垃圾廣告簡訊干擾等事件層出不窮,黑客攻擊、網路詐騙等違法犯罪日益猖獗。網路安全已成為廣大網民的一塊「心病」。數據顯示,有74%的網民在過去半年內遇到網路安全事件。
網路安全問題不僅干擾企業、網民的正常生產和生活秩序,而且也威脅到國家安全。
網路安全立法存在短板
劉偉表示,法律是治國之重器。隨著網路安全問題越演越烈,國家應意識到只有立法才是有效解決網路安全的根本出路。黨的十八大四中全會曾明確提出「加強互聯網領域立法」,接著國家也陸續制定了一些規范網路安全方面的法律法規和規范性文件,但整體來看仍存在許多短板,具體表現在三個方面。
一是立法理念落後。過於注重從行政管理、刑事制裁角度保護網路安全,而保護公民信息安全權利的內容不足;重管理輕服務,重視收費、審批以及事後追究、處罰,對於服務條款規定較少。二是立法結構不合理,網路安全基本法缺位,而層級較低的部門規章佔比過高。三是規定之間協調性不足,操作性不強。如網路安全與個人隱私保護之間的爭議至今尚未有效解決。
劉偉稱,美國國會早就通過了《網路安全法》(2009),還從加強網路基礎設施保護,打擊網路犯罪、規范網路信息搜集等方面頒布了一系列法律。而日本也於2014年通過了《網路安全基本法》還將《刑法》的內容延伸到網路領域,增加計算機犯罪條款等。他表示,為更好保護國家網路與信息安全,應該盡快制定《中華人民共和國網路安全法》。
⑺ 滴滴被罰款80.26億元,程維、柳青各罰100萬元,這是為什麼呢
2022年7月21日,國家互聯網信息辦公室依據《網路安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規,對滴滴全球股份有限公司處人民幣80.26億元罰款,對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。那麼問題來了,滴滴為什麼被處以巨額罰款呢?
滴滴存在16項違法事實
國家互聯網信息辦公室有關負責人介紹,2021年7月,為防範國家數據安全風險,維護國家安全,保障公共利益,依據《國家安全法》《網路安全法》,網路安全審查辦公室按照《網路安全審查辦法》對滴滴公司實施網路安全審查。
綜合考慮滴滴公司違法行為的性質、持續時間、危害及情形,對滴滴公司作出網路安全審查相關行政處罰的決定的主要依據是《網路安全法》《數據安全法》《個人信息保護法》《行政處罰法》等有關規定。滴滴公司董事長兼CEO程維、總裁柳青,對違法行為負主管責任。
⑻ 迷你世界和我的世界打官司,到底誰會贏
誰會贏現在還不能確定,因為最終審判還未下來,不過根據報道,應該是我的世界勝算更大一點。
以下是我的世界的相關介紹:
《我的世界》是由MojangStudios開發,在中國由網易代理的沙盒式建造游戲,游戲於2017年8月8日在中國大陸獨家運營。
游戲創始人為馬庫斯·佩爾松,也稱為notch,其靈感源於《無盡礦工》、《矮人要塞》和《地下城守護者》。
玩家可以在游戲中的三維空間里創造和破壞林林總總的方塊,甚至在多人伺服器與單人世界中體驗不同的游戲模式,在高度的自由中,玩家們也自己創作出了大大小小的玩法,打造精美的建築物,創造物和藝術品。且游戲平台已囊括了移動設備和游戲主機。
游戲著重於讓玩家去探索、交互、並且改變一個由一立方米大小的方塊動態生成的地圖。除了方塊以外,環境單體還包括植物、生物與物品。游戲里的各種活動包括採集礦石、與敵對生物戰斗、合成新的方塊與收集各種在游戲中找到的資源的工具。
以上資料參考網路——我的世界
⑼ 「跑分平台為套路貸」洗錢一案,涉案人員會面臨什麼刑法
這些涉案人員一旦面臨被抓捕了,那麼就會引受到相關法律的制裁,因為操作者他是代替人收錢也就是收款。而這些收款來的錢,可能就被用於洗錢啊,或者是其他的一些電信網路詐騙的懶違法交易使用。
而他們卻不知道,如果犯罪平台跑路,那麼他們賬戶將遭受經濟損失。
其實在簡單點說,“跑分平台”就是利用自己的網路支付收款碼,替別人代收款,從而收取中間價。
所以在平常生活當中,自己的一些二維碼,支付寶之類的一些支付的一些二維碼千萬不要出售或者說出借給別人。因為這是自己個人的一個金融賬戶,它裡麵包含了我們自己的一些銀行卡號,還有一些手機的一些支付密碼,還有提現的一些渠道啊之類的。一旦一賣給別人的話,那麼那些人可能就會利用我們的這些行為信息去犯罪。到時候的話,不僅自己的一些銀行卡上的錢會受到損失,可能還會引起一些糾紛。
所以無論是個人還是做生意的夥伴們,一定要注意這方面的一些意識。千萬不要貪圖小便宜,或者說為了幾百塊錢就把自己的信息隨便賣給別人。