作為我國個人信息保護體系建設(shè)的最新進展�����,總體而言�,在網(wǎng)絡(luò)安全法治框架下,立足信息安全的維度���,《個人信息安全規(guī)范》立足客觀保護主義立場厘定���、闡明了個人信息安全保護領(lǐng)域的諸多重要問題,例如“個人信息”這一術(shù)語的基本定義�����、個人信息安全的基本要求等等��,并且突出了個人信息全生命周期動態(tài)調(diào)節(jié)的機制特色���。
在目前我國個人信息處理規(guī)范相對不足的情況下����,可以認為,《個人信息安全規(guī)范》的出臺在技術(shù)性實操層面填補了諸多規(guī)則空白�,為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務(wù)參照����、新的行為指引。
標準是從管理�����、控制風(fēng)險的角度出發(fā)�����,其核心是在收集���、處理個人信息過程中,盡量降低對個人合法權(quán)益造成的不利影響�。
因此,《個人信息安全規(guī)范》將具備識別特定自然人或者在一般情況下可以關(guān)聯(lián)到自然人的信息納入“個人信息范疇”��,是給了參考列表。
此外�����,在《個人信息安全規(guī)范》的附錄中�,將Cookies、IMEI��、MAC地址等具體信息列入個人信息范疇��。
《個人信息安全規(guī)范》的附錄屬于“資料性附錄”�,而非“規(guī)范性附錄”。
需要注意的是���,“規(guī)范性附錄”是構(gòu)成標準整體的不可分割的部分���,其效力等同于標準的正文。“資料性附錄”僅限于提供一些參考的資料���,不具備與標準正文同等的效力�。
總體而言���,作為國家推薦性標準�����,國標的適用主體不僅僅限于網(wǎng)絡(luò)企業(yè)���,而是可以覆蓋所有的個人���、企事業(yè)單位和國家機關(guān)等等。
事實上���,《個人信息安全規(guī)范》更恰當(dāng)?shù)墓δ芏ㄎ粦?yīng)當(dāng)是一種有關(guān)個人信息處理業(yè)務(wù)合規(guī)指引的一攬子推薦性解決方案��,屬于公共產(chǎn)品的范疇�。
除非行為主體主動承諾���、有權(quán)機關(guān)明確援引或者法律規(guī)范直接認可��,其本身不直接產(chǎn)生行為約束力��,也并非行政性規(guī)范�,更不應(yīng)在刑事責(zé)任層面產(chǎn)生實質(zhì)性意義����。
尤其應(yīng)當(dāng)強調(diào)的是,個案思維和總體風(fēng)險可控是兩個維度的問題����,在《個人信息安全規(guī)范》的個案運用中,特別需要注意行為邊界的精準厘定��。
《個人信息安全規(guī)范》的實際價值需要在2018年5月1日正式施行后結(jié)合政府機關(guān)以及龍頭企業(yè)的示范效應(yīng)尤其是有權(quán)機關(guān)的執(zhí)法實踐做出進一步的跟蹤研判���,在此過程中��,還應(yīng)當(dāng)特別注意數(shù)據(jù)跨境語境下的國際博弈可能產(chǎn)生的反向影響�。
另一方面�,如果說《個人信息安全規(guī)范》更多體現(xiàn)了客觀主義保護的路徑趨向,同樣值得關(guān)注的個人信息保護規(guī)范演進態(tài)勢便是綜合主義保護趨向�,這一點尤其明顯地反映在刑事介入領(lǐng)域。
從當(dāng)下從刑事司法實務(wù)來看�,公民個人信息泄露、買賣位于整個網(wǎng)絡(luò)灰黑產(chǎn)業(yè)鏈的上游�,是導(dǎo)致部分犯罪“變異”甚至“嚴重”的重要因素,比如促使電信網(wǎng)絡(luò)詐騙逐漸向精準詐騙發(fā)展�����。
因此����,從刑事政策上講����,從嚴打擊侵犯公民個人信息犯罪����,從源頭上治理網(wǎng)絡(luò)灰黑產(chǎn)業(yè)鏈,堅持全面懲處原則����,才能有效實現(xiàn)刑罰目的。
關(guān)于行為人非法獲取公民個人信息后����,又將這些信息用于實施電信網(wǎng)絡(luò)詐騙犯罪的情形下,是定一罪還是數(shù)罪并罰��,2017年兩高“侵犯公民個人信息刑事司法解釋”對此未做明確規(guī)定��,理論和司法實務(wù)中爭議較大��。一種觀點認為�����,應(yīng)當(dāng)從一重罪處斷���。
理由是�����,在法無明文規(guī)定按照數(shù)罪處理的情況下�����,應(yīng)當(dāng)遵循刑法中關(guān)于牽連犯的要求��,從一重罪進行處罰�����,即當(dāng)行為人通過非法獲取公民個人信息實施其他犯罪時��,獲取公民個人信息行為就成為其他犯罪的手段行為�����,此時雖然行為人實施了兩個行為�����,但是仍應(yīng)按照從一重罪處罰原則定罪處罰�。
另一種觀點認為,依照相關(guān)規(guī)范性法律文件�����,此種情形應(yīng)當(dāng)數(shù)罪并罰�。
2013年4月23日,兩高一部《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》明確規(guī)定�,對于竊取或者以購買等方法非法獲取公民個人信息數(shù)量較大,或者違法所得數(shù)額較大����,或者造成其他嚴重后果的,應(yīng)當(dāng)依法以非法獲取公民個人信息罪(注:現(xiàn)改為侵害公民個人信息罪)追究刑事責(zé)任�����。
對使用非法獲取的個人信息����,實施其他犯罪行為,構(gòu)成數(shù)罪的��,應(yīng)當(dāng)依法予以并罰。
2016年12月20日���,兩高一部《關(guān)于辦理電信網(wǎng)絡(luò)詐騙等刑事案件適用法律若干問題的意見》重申了上述觀點����。
因此�,使用非法獲取的公民個人信息實施電信網(wǎng)絡(luò)詐騙犯罪的����,依法予以數(shù)罪并罰,具有法理依據(jù)和實踐基礎(chǔ)���。
我們認為��,行為人非法獲取公民個人信息后�����,又將這些信息用于實施電信網(wǎng)絡(luò)詐騙犯罪的�����,應(yīng)當(dāng)數(shù)罪并罰�。
首先,非法獲取公民個人信息的行為與詐騙行為之間是否屬于牽連關(guān)系�,值得進一步研究。
一般而言����,牽連犯是指數(shù)行為之間有手段和目的、原因和結(jié)果關(guān)系����,其中手段行為或者結(jié)果行為觸犯了其他罪名的場合,成立牽連犯�。
因此,牽連犯分為手段牽連和結(jié)果牽連����。
如何認定牽連關(guān)系,應(yīng)根據(jù)社會相當(dāng)性的一般標準以及一望而知的普通生活經(jīng)驗中的認識標準來確定(經(jīng)驗上的類型)��。
如果只是一種偶然的手段與目的���、原因與結(jié)果的關(guān)系�,則不是牽連犯�����,因此必須對牽連關(guān)系類型化。
在非法獲取公民個人信息后利用上述信息實施電信詐騙犯罪����,由于侵犯公民個人信息與電信網(wǎng)絡(luò)詐騙之間不具有經(jīng)驗意義上的手段與目的之間的關(guān)聯(lián),因此不宜認定為牽連犯��。
即便認定為牽連犯��,對于牽連犯采用數(shù)罪并罰亦有國內(nèi)和國外立法先例�����。
更重要的是���,目前我國司法實踐對侵犯公民個人信息罪進行獨立評價有更為積極的意義。
我國公民對個人信息保護意識不強����,個人信息長期被濫用,收集����、倒賣個人信息已經(jīng)形成龐大產(chǎn)業(yè)鏈,侵犯公民個人信息犯罪具有嚴重的社會危害性����,必須從嚴打擊�����。
同時�,對公民個人信息所包括的身份信息���、個人信息及敏感信息的法律保護尤其是刑法保護�,在公民個人主體權(quán)利意識不斷強化的今天��,更具現(xiàn)實意義��。
