沈括的成就 吴沈括:个人信息刑法保护与风险防控新思维
北京师范大学刑事法律科学研究院暨法学院副教授、中国互联网协会研究中心副秘书长吴沈括(人民网记者 张启川 摄)
人民网乌镇11月8日电(记者 燕帅 赵光霞 宋心蕊)第五届世界互联网大会于11月7日正式开幕。本届大会以“创造互信共治的数字世界——携手共建网络空间命运共同体”为主题,设置了5大板块和20场分论坛。8日上午,由中国最高人民检察院主办,中国网络社会组织联合会、浙江省人民检察院协办的分论坛“大数据时代的个人信息保护”在乌镇互联网国际会展中心举行。
北京师范大学刑事法律科学研究院暨法学院副教授、中国互联网协会研究中心副秘书长吴沈括做主旨发言,以下为全文内容:
尊敬的张军检察长,尊敬的各位来宾:
非常荣幸来到第五届世界互联网大会与各位贵宾共话个人信息保护!
时至今日,新一代网络信息技术正系统地改造着社会经济生活的各个方面,与云计算、大数据、物联网以及人工智能等相关的新技术新应用的发展普及,让我们日益拥抱更多的发展机遇,同时也日渐面对来源更为广泛、程度更为深刻的安全风险。
聚焦个人信息处理,一方面,我们获得了新的技术支持、发展了新的业务样态、产生了新的应用内容。
另一方面,我们也面对着新的技术要素风险、新的组织管理风险以及新的在线内容风险。
在此图景下,时代呼唤与时俱进的个人信息治理路径与主体风险防控思维。可以认为,我国当下有关个人信息保护与个人信息处理规制的整体框架总体反映在三个主干层面:
第一,涉及个人信息治理的政策战略层面。在此,我们看到,自2015年国务院发布“互联网 ”行动计划以来,党和国家涉及网络空间治理、个人信息治理的系列政策战略呈现明显的系统化建构的提速态势:
事实上,从《关于促进大数据发展行动纲要》到“中国制造2025”计划,从《“十三五”国家信息化规划》到《新一代人工智能发展规划》,从《国家网络空间安全战略》到《网络空间国际合作战略》,这一系列政策战略实质上已然确立了我国有关个人信息保护法律体系的核心价值立场,也即发展与安全并重、保护与流转并举的基本价值取向。
同时,对于政策战略的领会把握也为更好地理解、适用个人信息保护相关规范提供了一把解释学的金钥匙,尤其在不同权益彼此冲突的场景中有助于做出更为科学、合理的价值取舍。
第二,涉及个人信息治理的法律规范层面。在此,我们看到,随着《网络安全法》的全面施行,有关网络空间治理的制度设计有了更为体系化的全面建构,涉及个人信息治理的法律规范也日益得到丰富和充实:
一方面,以《网络安全法》第40条至第50条的规定为核心的系列制度设计奠定了我国个人信息治理的根本价值导向,同时也厘定了有关个人信息处理的全链条动态规则,并且配置了从民事、行政到刑事多层次的立体责任设计。
另一方面,在网络空间治理的特定部门例如电子商务领域,以《电子商务法》为代表的诸多特别法也为个人信息保护与流转等问题提供了更为具体、明确的规范指引,而后续列入立法规划的《个人信息保护法》、《数据安全法》等立法动议更将为个人信息的法律治理勾勒出更为清晰的行为规则。
与此同时,与网络治理专项立法几乎同步推进的传统法律部门的革新改造同样昭示着个人信息治理新时代的全面到来。
作为典型示例,2015年《刑法修正案》(九)通过修改侵犯公民个人信息罪,增补拒不履行信息网络安全管理义务罪等有效呼应了新技术新应用的发展态势,为保障、促进个人信息自由有序流转、抗御处置各类新型威胁提供了更为全面的规范支撑。而2017年《民法总则》通过补充规制自然人个人信息以及数据和网络虚拟财产,在民事法层面明确了数据与信息的法律地位,从而为数据的法律属性等核心问题提供了更为扎实的制度基础。
总体而言,现阶段我国有关个人信息治理的法律规范在技术要素、组织管理和在线内容三个层次做出了系统性制度设计,既反映了立法者对于个人信息流转治理整体框架的深刻认识与特殊路径选择,也为开展个人信息相关风险防控提示了核心要素。
第三,涉及个人信息治理的其他规范层面。我们看到,不同部门、不同领域的涉及个人信息治理的其他规范建设工作也在近年取得了长足的发展,既反映在国家网信部门的部门规章、规范性文件等制度安排之中,也体现在中央最高司法机关渐次通过的诸多司法解释文件之中:
就国家网信部门而言,从侧重指向在线内容的垂直规范,到侧重指向技术要素的特别规范,再到侧重指向组织管理的专项规范,一系列制度共同为个人信息的有效治理做出了顺应新技术快速演进的机制化、常态化应对方案。
就中央最高司法机关而言,尤其具有指引性实践价值的司法解释包括2016年“两高一部”《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》、2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及《关于办理扰乱无线电通讯管理秩序等刑事案件适用法律若干问题的解释》等等。
毋庸置疑,随着国家网信部门以及司法机关等持续推进涉及个人信息治理的其他规范体系的建设,个人信息治理规则的实践指引水平日益提升,为相关风险防控工作的科学合理开展提供了更多的操作性依据。
以备受瞩目的2017年“两高”侵犯公民个人信息犯罪刑事司法解释为例,其作为个人信息法律保护的里程碑,构成了网络安全法的重要机制配套,深刻体现了两者内在的逻辑互动。
该《解释》以共计13条的篇幅对于当下个人信息刑事保护的重点焦点问题作出了系统而有力的回应,其中若干基本问题具有高度的理论与实践意义,既建构了个人信息的范围等核心问题的系统化设计,也提供了单位主体刑事风险管理机制的图谱指南,与网络安全法有关个人信息处理的制度规则有着高度的逻辑衔接,有助于各类主体在网络安全法一般制度要求的基础上进一步设计与公民个人信息提供、购买、收受以及交换等行为相关的风险管理机制,在刑事法律底线内合理使用个人信息、开展业务活动。
由此,对我们的重要启示是,当下各种新型的网络业务模式造就了新的数据流转样态,与此相伴,个人信息刑法保护的另一趋势表现为紧密围绕数据流转全生命周期的流程式动态保护。不难发现,现阶段多层次法律规范为个人信息的流转提供了一系列实在法依据,涵盖个人信息安全的基本原则、个人信息的收集条件、个人信息的保存要求、个人信息的使用披露以及分享提供规则等等。
作为结语,应当指出的是,基于建设网络强国的战略安排,党和国家不仅在产业升级和经济发展的层面,而且在民众福祉、权利保障乃至国家主权的高度考量个人信息治理的必要性与紧迫性;不仅重视事后的依法惩处,而且重视事前与事中的预先防范;不仅注重国内制度架构的完善,而且注重国际规范体系的建设。
在今日中国,谈及个人信息治理、个人信息刑法保护有着更为丰富的社会内涵和更为深刻的政策底蕴。