國家信息安全視閾下的白俄羅斯個人信息保護制度

文/孫慶祥 張興豪

互聯(lián)網(wǎng)技術的縱深發(fā)展加快了信息化與經(jīng)濟社會持續(xù)深度融合，互聯(lián)網(wǎng)用戶數(shù)量不斷增加，個人信息的收集和使用場景愈發(fā)廣泛。白俄羅斯位于歐亞大陸中心，是“絲綢之路”經(jīng)濟帶上的重要支點。在復雜的地緣政治環(huán)境下，白俄羅斯個人信息保護法律制度的發(fā)展有其特殊性。

白俄羅斯信息安全發(fā)展概況

白俄羅斯擁有較為雄厚的信息技術基礎。早在蘇聯(lián)時代，就建立起培養(yǎng)數(shù)學家、工程師和程序員的專業(yè)教育體系，蘇聯(lián)解體后仍延續(xù)這一傳統(tǒng)。目前在白俄羅斯有幾乎四分之一的大學生在攻讀 STEM（即科學、技術、工程和數(shù)學專業(yè)）相關專業(yè)。根據(jù)國際電信聯(lián)盟2017 年Measuring Information Society Report（即《信息社會測評報告》）評估，白俄羅斯ICT（即信息與通信技術）發(fā)展水平在世界列第32 位。截至 2019 年底，信息與通信行業(yè)產(chǎn)值占白俄羅斯GDP（國內(nèi)生產(chǎn)總值）的 6.2%，IT（信息技術）行業(yè)相關公司90%的產(chǎn)品主要用于出口。

政治危機期間警察個人信息被反對派發(fā)布在互聯(lián)網(wǎng)上

長期以來，由于自身國家市場容量有限，白俄羅斯并未對信息安全制度建設予以重視。但近幾年隨著克里米亞危機等事件導致白俄羅斯周邊地區(qū)安全狀況急轉(zhuǎn)直下，歐盟也于2018 年推出《通用數(shù)據(jù)保護條例》（General Data Protection Regulation，簡稱GDPR）著力加強信息安全保護，白俄羅斯遂開始著手加強信息安全的頂層設計。經(jīng)過長期醞釀討論，2019 年3 月白俄羅斯國家安全理事會通過了《白俄羅斯共和國信息安全構想》，共26 章105 條，詳細規(guī)劃了個人信息安全、互聯(lián)網(wǎng)安全的法律監(jiān)管、打擊信息高科技犯罪相關的各個方面的構想，并明確了國家信息系統(tǒng)、信息基礎設施、信息空間等關鍵概念的定義，其中最核心的是明確了白俄羅斯共和國的信息主權。信息主權被規(guī)定為國家不可剝奪的排他性法律權力，由國家獨立決定信息資源的所有權、使用權和處置規(guī)則，國家實行獨立的對外和對內(nèi)信息政策，構建國家信息基礎設施，確保信息安全。白俄羅斯總統(tǒng)管理學院副院長亞歷山大·伊萬諾夫斯基認為，白俄羅斯居于眾多發(fā)動信息戰(zhàn)的潛在國家之間，有必要規(guī)劃制定出符合自身特點的信息安全戰(zhàn)略。白俄羅斯總統(tǒng)府下屬行動分析中心專家葉甫蓋尼·利普里亞寧則強調(diào)，隨著國家信息安全構想的出臺，白俄羅斯將按照信息安全系統(tǒng)SOC（Security Operations Center）概念建立國家信息中心，類似的機構已經(jīng)在周邊國家的實踐中證明了可行性。

2020年白俄羅斯政治危機中暴露的個人信息安全問題

《白俄羅斯共和國信息安全構想》發(fā)布后，有關部門并未及時出臺相關法律。在2020 年由白俄羅斯總統(tǒng)大選引發(fā)的政治危機中，相關專家設想的“信息戰(zhàn)”成為現(xiàn)實：反對派組織境外黑客，通過網(wǎng)絡對政府網(wǎng)站進行了一系列攻擊。其中包括運用各種手段入侵政府部門數(shù)據(jù)庫，竊取個人信息，尤其是親政府的警察和軍人的隱私信息，包括白俄羅斯警察部門、安全部門部長和高級領導人的身份、住址信息均被公布在互聯(lián)網(wǎng)上，嚴重干擾、破壞了警察和軍隊的工作。綜合白俄羅斯的媒體報道，筆者整理了相關案例。

案例一：2020 年12 月，明斯克市法庭審判了一起案件。戈梅爾州國家郵政公司一名郵遞員，由于“對國內(nèi)局勢感到不安”，政治危機期間在網(wǎng)絡聊天室中，向管理員發(fā)送了帶有警務人員家庭住址的文檔，導致警務人員信息泄露。隨后相關警務人員家庭郵箱中收到有關個人隱私以及造謠污蔑的傳單，致使多名警務人員的家庭和鄰里關系受到影響進而辭職。在法庭上，該人辯解，其并非主動泄露。根據(jù)白俄羅斯法律，鑒于該人并無主觀明顯故意，并且沒有散布傳播的行為，法院只得將其保釋。

案例二：2020 年6 月，白俄羅斯內(nèi)務部有組織犯罪調(diào)查機構對一名曾在警務部門工作過的銀行信息安全系統(tǒng)主管實施了抓捕。此人在警務部門工作期間，掌握了大量公務人員的職位、家庭住址、電話號碼等信息。在政治危機期間，由于對警務部門不滿，其將掌握的公務人員信息惡意發(fā)布在“電報”（Telegram）社交軟件平臺上，警務部門以煽動社會敵意或仇恨罪為由對他提起刑事訴訟。

案例三：2020 年10 月，白俄羅斯偵查機關向法院起訴該國最大的網(wǎng)絡和電話服務商白俄羅斯電信（Beltelecom）兩名員工。二人在政治危機期間，向“電報”（Telegram）聊天室管理員泄露了150 多名公務人員、法官、記者的個人信息。這些信息均為兩人利用自己職務便利獲取。其中一人得到了管理員以數(shù)字加密貨幣形式給予的300 美元報酬。公訴機關以煽動社會敵意或仇恨罪、干涉記者合法活動罪和非法獲取計算機信息罪對其進行起訴。

在以上案例中，相關人員利用自己職權和掌握的數(shù)據(jù)，將政府公務人員個人信息出售，泄露給反政府勢力，造成了嚴重后果。雖然在政治危機特殊期間相關行為被認定為煽動社會敵意或仇恨罪有法律依據(jù)，但這些案例也暴露出由于法律缺少對個人信息的定義和專門刑事責任的規(guī)定，致使行為人在沒有主觀故意情形下泄露個人信息導致的嚴重后果和所承擔的法律責任并不相符等問題。

白俄羅斯通過刑法修正案加強個人信息保護

經(jīng)過2020 年政治危機，白俄羅斯政府有關方面逐漸意識到個人信息保護的重要性。在傳統(tǒng)意義上，信息和存儲信息的載體是一體的，控制信息載體的人也掌握信息本身。但信息技術的發(fā)展導致信息一旦進入信息系統(tǒng)，個人就無法掌控，信息的掌握者、傳輸者、使用者都不可控不可知。這些信息可能擴散到世界任何地方，對個人權利乃至國家信息主權造成巨大危害。完善個人信息立法迫在眉睫。

為此，從加強國家信息安全角度，白俄羅斯立法部門審議通過了一系列法律文件。2021 年4 月16 日，白俄羅斯議會針對刑法中的個人信息保護規(guī)定，通過刑法修正案。具體而言，將原刑法第179 條中侵犯個人秘密、隱私的規(guī)定加以細化，并在203 條、203-1 條和203-2 條中重新予以闡述，詳見表1。

通過新舊法律相關規(guī)定對比可見，白俄羅斯立法機關針對本文上一節(jié)中有關個人信息保護出現(xiàn)問題的案例，予以了針對性解決。可簡要歸納總結(jié)為以下三個方面：一是進一步明確了犯罪行為，原關于個人隱私信息保護之179條僅規(guī)定了未經(jīng)允許收集、傳播個人信息的責任，而修正案203-1 條將泄露個人信息行為細分為收集與提供，以及傳播兩個層次。介于收集和傳播環(huán)節(jié)之間的“提供”行為正式被規(guī)定在刑法之中。二是針對過失犯罪予以特殊規(guī)定，修正案203-2 條對處理個人信息者不遵守保護個人信息措施進行了規(guī)范，并對導致嚴重后果的以過失犯罪形式規(guī)定了刑法責任。三是突出了對公務人員的保護。203-1條第3 款針對公務人員以及家屬侵犯個人信息的行為，構成結(jié)果加重處罰。

本次白俄羅斯立法部門的刑法修正，進一步明確了犯罪行為和刑事責任，從刑法角度對個人信息進行系統(tǒng)性保護。但仍有問題亟待解決，如隨著信息科技和互聯(lián)網(wǎng)技術日益發(fā)展，人們通信、工作、休息等活動逐漸走向線上，這種零散數(shù)據(jù)不僅僅對個人，甚至對商業(yè)、對國家的價值也愈發(fā)重要，個人信息的概念也隨著技術發(fā)展而不斷發(fā)生變化。那么包括刑法在內(nèi)的法律所保護的“個人信息”范圍應如何定義，除刑法之外是否還需要采取其他措施對個人信息加以保護等問題，需要相關部門制定更全面、系統(tǒng)的規(guī)范加以解決。

表1

白俄羅斯通過首部《個人信息保護法》

2021 年5 月，白俄羅斯通過首部專門的《個人信息保護法》，并于11 月正式生效。該法共5 章21 條，立法目的旨在處理個人信息時充分保護個人信息，保障個人的權利和自由。該法作為國家信息安全法律體系的一部分，在白俄羅斯個人信息保護發(fā)展進程中具有里程碑式的意義。

該法律將個人信息明確定義為“與已識別出自然人或可能識別出自然人相關的任何信息”，將個人信息范圍進行了擴充解釋。個人信息不僅包括可以單獨識別某人的信息（例如已實際識別出的人的全名、居住地等信息），還包括其他本身不能識別、但結(jié)合其他信息可以識別某個人的信息（如銀行卡號、工作地點信息、財產(chǎn)信息、興趣愛好信息等）。

此前，白俄羅斯國家立法并未對處理個人信息過程中的主體角色進行界定。但隨著該法生效，與歐洲《通用數(shù)據(jù)保護條例》“控制者”“處理者”等相似主體概念的引入，處理信息主體被分為運營者和授權者。作為運營者的白俄羅斯國家機構、法人實體或其他組織，依法按照作為授權者的國家機構的決定或協(xié)議，代表授權者的利益處理個人信息。這樣，白俄羅斯就通過立法形式規(guī)范了作為授權者的國家機構與作為運營者的其他相關機構之間的關系。

此外，該法律還規(guī)定了處理個人信息的原則，以及運營者保護數(shù)據(jù)安全的義務。一般情況下，個人信息處理應在個人同意情況下進行。個人信息主體的同意可以通過書面形式或其他電子形式。個人有權在不說明理由的情況下，隨時撤回其同意意見，并有權向有關機構申訴。

《個人信息保護法》作為特別法，與刑法作為一般法的個人信息保護相關規(guī)定相輔相成，凸顯了白俄羅斯對于個人信息保護的重視，促進了白俄羅斯個人信息保護的制度化和體系化。

2021 年 10 月 22 日，白俄羅斯總統(tǒng)盧卡申科召開專題會議研究推進個人信息保護工作

政府設立專門保護個人信息的行政機構

為配合《個人信息保護法》的實施，就在該法即將生效前的2021 年10 月28 日，白俄羅斯總統(tǒng)盧卡申科親自推進，以總統(tǒng)令形式指令成立白俄羅斯國家個人信息保護中心，任命白俄羅斯律師協(xié)會副主席、信息技術法律專家安德烈·加耶夫為首任中心負責人。

根據(jù)總統(tǒng)令，由國家個人信息保護中心代表國家作為個人信息處理權力的授權者，依法制定國家個人信息政策，監(jiān)督作為運營者的相關機構的行為，并組織運營者開展個人信息保護的培訓。國家個人信息保護中心本身并不儲存?zhèn)€人信息，數(shù)據(jù)庫和信息系統(tǒng)仍由運營者進行管理，但數(shù)據(jù)保護中心可以檢查運營者處理個人信息是否符合法律規(guī)定，如發(fā)現(xiàn)違規(guī)可以以書面形式提醒告知，并可以終止運營者對個人信息的處理，涉及違法犯罪的可以會同相關執(zhí)法部門采取進一步措施。該法令的頒布進一步從管理層面加強了國家對個人信息的保護，并確保公民權利和國家信息安全得到更充分的保障。

2021 年12 月，加耶夫在接受媒體采訪時表示，目前白俄羅斯相關運營者個人信息保護違法情況仍較為嚴重，國家個人信息保護中心將進行定期和不定期檢查，并鼓勵民眾舉報違法線索。