大數據時代下公民個人信息濫用的刑法規制

河北經貿大學法學院 周月月

引言

數據被稱為新型石油，足見其寶貴性。谷歌在利用大數據方面可謂走在了前列，谷歌翻譯對于數據不問質量的包羅，谷歌街景將數據擴展性利用到了極致。然而，公民個人信息所面臨的風險也是空前的，如通過淘寶網站購買商品后，買家受到店家短信的騷擾，各網站開始推送相關商品信息。“大數據時代沒有隱私”一時竟致眾人惶惶，究其本質，在于大數據時代帶來的個人信息濫用問題在刑法中未有一席之地。

1 濫用的表現

個人信息的商業價值不言而喻，市場主體的逐利性驅使其無限度挖掘個人信息背后的價值。數據的使用才是利益產生的方式，數據價值的關鍵在于無限度的再利用。再利用的一種可能性就是將數據授權給第三方，已經合法取得個人信息的數據持有者與其他信息數據持有者共享，或者將其授權給第三方使用。對于共享與授權，信息主體多處于不知情的狀態下，或者知情但并非情愿。該情形如服務提供者利用壟斷地位在格式條款中加入授權第三方使用的條款，信息主體基于不可選的境地不得已而讓渡部分信息權利，同意該授權。

強制推送是利用個人信息價值的另一手段。個人的網絡行為在網絡服務提供者處是完全透明的。某一網頁的瀏覽時間，個人定位，甚至于移動ID盡在其掌握；對個人的興趣愛好，行為習慣等服務提供者也了如指掌。服務提供者通常利用瀏覽器Cookies的記錄，進行針對性的廣告投放；對app內瀏覽記錄、購買記錄的分析，實施精準營銷。

利用信息價值的前提是收集信息。近年來，在注冊各app時個人被要求填寫多種信息，被要求獲取手機通訊錄等權限。值得深究的是，網絡服務提供者要求填寫的信息，所要求開放的權限并非全部必要。其要求信息主體在使用服務前提供非必要的信息、做不必需的授權的寬授權行為實質上是對公民個人信息的侵犯。

2 目前規制的困境及必要性

2.1 規制的困境

在2009年的《刑法修正案（七）》中，個人信息第一次進入刑法保護范圍。《刑法修正案（九）》以及《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》修改補充了個人信息保護條款。但是，上述法律僅僅規制了非法出售、提供以及獲取公民個人信息的行為，對處于大數據環境下的信息濫用，存在空缺。

個人信息與信息主體有著密切不可分離的關系，故信息主體對個人信息應有自主控制的權利。自主控制權不僅在于轉移信息權，更在于使用權。出售、提供以及獲取屬于個人信息的轉移，濫用屬于信息的使用。在大數據時代之前，非法轉移個人信息現象多發黑客侵入網絡系統竊取數據，信息持有者出售個人信息牟利，此類信息轉移犯罪隨著刑法對個人信息犯罪的補充完善，已經得到充分的遏制。大數據時代到來后，更多的是個人信息合法持有者使用持有的個人信息，“合法”地侵犯信息主體的信息權利。

個人信息的使用價值愈加突顯，個人信息不再局限于隱私范圍，公開的個人信息同樣應得到保護。此外，信息使用作為信息轉移的目標，信息使用權逐漸成為信息自主權的核心。反觀目前的刑法未觸及核心問題，對于信息濫用束手無策。

2.2 規制的必要性

刑事立法上需要多方考慮，才能將某一行為定為犯罪。刑法具有謙抑性，刑事制裁具嚴厲性，非必要不應采取刑法來抑制違法行為。

一方面，個人信息的濫用侵害了信息主體的合法權利，使得個人信息權利處于弱勢地位，威脅了個人信息自主的秩序。大規模的濫用行為所產生的社會危害性不言而喻，大部分人難以容忍。

另一方面，只有當其他法律不足以抑止違法行為時，才能適用刑法。雖然民法與行政法對于信息濫用有所規定，但是規定過于原則，相應的責任機制缺乏，致使并未對濫用行為產生防范作用，甚至在利益的驅使下，濫用行為日益猖獗。對這種行為施以刑事制裁符合刑法之目的，合理確定入罪范圍，既行之有效，也不會出現殺雞牛刀之事。

3 濫用的針對性規制

基于刑法的謙抑性，即使將濫用行為入罪，也應謹慎定罪，防止過度犯罪化發生。那么，一方面，需要對濫用行為進行客觀認定，這是前提；另一方面是需要具體濫用行為具體規制。

3.1 濫用的認定

“濫用”一詞過于抽象，如不進行界定將導致法律適用困難。那么，何為濫用？“濫用”作為一般漢語名詞解釋為“胡亂、過多地使用”。《網絡安全法》第41條規定，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。參考該法可將“濫用”限定為兩種情況：一是未經合法授權而非法使用，包括收集與所提供的服務無關的個人信息后的使用，和未明示使用范圍（格式條款中的超越提供服務需要的使用范圍不屬于明示）而直接使用；二是雖然經過授權但超越了使用規則、目的、方式和范圍的使用。值得注意的是，濫用的前提是合法取得，因此非法取得后的使用不屬于濫用。

3.2 兩種常見濫用行為的針對性規制

網絡服務提供者使用信息主體的信息，不得不承認，某些方面確實方便快捷。濫用入刑一定程度上阻礙了大數據時代的發展，但是發展不應建立在侵害他人合法權益之上，在阻礙發展與信息自主之間尋找一平衡點才是解決這一矛盾的方法，既不阻礙發展又充分保護了個人的信息自主權。

（1）Facebook一案引起了軒然大波，其共享個人信息的行為顯然挑起了公眾的不滿，引起了公眾對信息泄露的擔憂。服務提供者（即信息持有者）之間的共享與授權，若共享與授權之前已經明示，或者征得了信息主體的同意則屬于合法使用。但是，當未明示或未經同意時，服務提供者暗地將信息向其他人提供時，涉及面廣、受侵害者眾多，破壞了信息自主的秩序，情節嚴重，應當入罪。其中，利用壟斷地位的格式條款及默認、難以引起注意的明示不屬于此處要求的明示。不過，濫用信息者雖有濫用行為但行為涉及面窄，造成的實際損害輕微時不宜認定為犯罪。

此外，第三方利用管理或技術漏洞非法獲取其他信息持有者的信息時，由于信息持有者無直接或間接故意，不應認定為犯罪。

（2）強制推送雖然易導致公眾的抗拒心理，但部分情況下是一種便利公眾之舉。針對此情況，應當加強立法上的銜接，民法行政法上可借鑒國外，在收集個人信息時即詢問個人是否同意在某一方面使用其某一信息；規范服務提供者收集信息的行為，在現有原則性規定基礎上設定相應的責任條款。刑法則處理惡意收集、惡意推送的情節嚴重的濫用行為，避免出現模糊地帶，避免出現漏洞空缺。

4 結語

大數據技術的發展，在帶來便利的同時，也帶來了個人信息濫用的隱患。信息濫用入罪不可避免，若想真正抑制違法行為，并平衡大數據技術發展與個人信息保護之間的關系，應當謹慎立法，加強立法銜接。