论文部分内容阅读
AI采集的个人信息受法律严格保护
《刑法》第二百五十三条规定侵犯公民个人信息罪:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务的过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各款规定处罚。
需要指出的是,上述法条对于用新技术(包括AI)采集的信息同样适用。由于相关法律及司法解释较为原则,在具体办案过程中往往面临信息种类与数量认定难、信息真实性核查难、合法经营的判断难等诸多疑难问题。
实践中,判断公民个人信息是不是敏感信息,主要根据两个方面:一是信息所映射的内容,即其敏感性、重要性,是否能反映出特定时间段内与公民人身财产安全密切相关的活动信息,其所指向的内容是否能让犯罪分子实施精准犯罪,从而使公民的人身财产处于危险的状态。从这个角度看,类似定位信息、银行人脸特征信息等经AI技术采集、保存并处理的信息,都属于敏感信息。
二是这些信息获取的难度,即信息的隐秘性。这包含了三层意思:一是一般情况下,任何单位未经授权都不能擅自调取或者查阅这些信息;二是信息提供者不希望这些信息被持有方泄露;三是国家对这些信息实行严格保护,通常情况下禁止任何单位和个人利用这些信息获利。
财产跟财物是有区别的。财产是一个人财物中比较有价值或者价值比较高的东西,这方面的信息往往能够精准地反映出一个人不希望被他人所知的一些隐私情况。犯罪分子可以利用这些信息刻画出一个人的经济水平、生活状况甚至生活轨迹等。
在互联网管理中,有一个“等级保护”的概念,简单说就是国家出台的信息系统分级保护措施,通过技术手段将一旦泄露出去会产生较大影响的数据保护起来。在認定个人信息类型时,可以参考上述“等级保护”的划分规定,对个人信息的重要程度进行划分。
在公民个人信息被频繁采集并大量储存的情况下,执法司法机关将这些信息分为高度敏感信息、敏感信息和一般信息。高度敏感信息分为行踪轨迹、通信内容、征信信息、财产信息四类。对于高度敏感信息,解释的思路和方法要有严格限制,一定要与公民强烈的自我保护心理需求密切相关。
如何判断是否属于“合法经营”
《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)第六条,专门针对“为合法经营活动而非法购买、收受公民个人信息”的行为设置了入罪门槛,实践中对于应该如何准确把握“合法经营”的内涵存在争议。比如房产或贷款等中介机构为开拓业务而购买、收受公民个人信息的行为,能否认定为“合法经营”?又如,无营业执照或者超越营业执照范围进行经营的活动,能否认定为“合法经营”?
关于“合法经营”,可以从非法经营的反向进行理解。一是内容合法,其所经营的内容不是国家明令禁止的或者限制的。二是程序合法,具有相应的经营资质,要注册相应的经营范围,在相应的经营范围之内进行活动。当然,这个经营范围可以做一个相对宽泛的解释,以平衡刑法介入的尺度。关于为合法经营而购买、收受公民信息的类型,敏感信息是被排除在外的,此类信息对公民的人身和财产安全具有极高的重要性,对于它们应该予以严格保护。
对于“合法经营”的判断,离不开对信息使用情况的考察。随着科技的不断发展,信息使用的范围和方法也越来越多,在判断某类信息使用行为是否属于“合法经营”时,必须进行严格的分析。
当前,有些人认为对侵犯公民个人信息罪的量刑偏重,这主要还是受传统观念的影响。在AI技术大行其道,个人信息被采集的越来越频繁、重要性越来越高的情况下,上述观念有必要逐步转变。以房产中介为例,客户签订合约时可能会提供面部特征信息以及签名,这不仅是把信息给中介个人,也是默认给予其整个机构,该机构对客户个人信息的正常使用是合法的。如果该机构将这些信息与其他中介机构进行交换或者出售,除非事先得到客户的许可,否则就是违法的。
特殊主体间信息共享行为的性质如何认定
信息传输人员之间的关系是否需要考量?特殊主体之间的信息共享行为是否应认定为“非法获取和提供”?比如一些房产中介、保险公司的同一经营团队成员,出于团队业务开展的需要,往往会把公民个人信息在内部进行流转、共享,上述情况是否应认定为“非法获取和提供”?这些问题的界线和认定,或直接影响罪与非罪,或直接关系刑期跳档与否,需要进一步明确。
从公安机关办案的角度来讲,主要考虑是否为“同一主体”。如果信息采集的主体和共享的主体属于同一个单位,一般不认为其属于非法获取。如果是同行业中的其他企业,没有经过信息主体本人授权或者许可的,就超出了“同一主体”的概念。这容易滋生很多其他类型的违法犯罪问题,如果不进行遏制或者打击,可能会产生严重的社会危害以及后果。
《解释》第三、第四条分别对“提供”和“获取”公民个人信息作出规定。如果信息主体同意或者默认,特殊主体之间的信息共享行为就不能认定为非法提供。但如果客户没有同意或默认,那么就可以认定为非法提供。
任何人获得公民个人信息,哪怕是在合法的前提下,都有保密义务。客观上,所谓的侵犯公民个人信息,就是未经本人同意将信息流转出去,这种行为是违反国家规定的。当然,这里要区分行为的违法性和刑法处罚的必要性。从信息保护的角度来看,如果信息提供者对信息的传播、流转存在放任,比如卖房子的人希望更多中介帮助推销,在这种情况下就不存在违背意愿的情况;但如果信息提供只是点对点的,不希望被第三方所知,那么在这种情况下就有可能构成非法获取、提供。例如团队以外非法相互提供、交换、获取信息的,从客观行为上看,理解为非法获取、提供是没有问题的,但从处罚的必要性角度来看,需要严格进行把握。
涉案批量公民信息的真实性如何核实
《解释》第十一条第三款规定,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。实践中,“批量”信息如何界定?我们知道,AI技术采集个人信息的效率非常高,信息采集量十分巨大。那么,多少数量可以界定为“批量”信息?对信息数量达到临界追诉标准或跳档标准的案件,是否需要对信息的真实性进行核实?
在执法过程中,正因为新技术获取及处理信息的数量极大,所以不必纠结“批量”如何认定,只要存在一定数量,即可认定为“批量”。对于信息真实性的核实,在“两高一部”没有出台具体政策之前,可以从三方面把握:第一,对于《解释》第五条第三款规定的行踪轨迹等四类信息,因为入罪门槛低、数量少,核实不会过多增加司法负担,建议进行核实;第二,对于该条第四款规定的相对敏感信息,是否要逐一核实,可由省级公检法机关协商决定;第三,对于其他信息,一般不需要核实即可直接认定,存在争议时根据具体案件进行处理。
在司法实践中,还可以参考抽样验证的方法,随机抽取一定数量的样本进行核实,然后再根据抽取样本的比例进行推算。一般是委托第三方机构进行鉴定,提取后进行哈希值检测,然后对同样的条目进行剔除。最好请鉴定机构根据统计学原理设定参数后进行抽样,而不是由公检法机关来做这个事情,这样会更加客观。
从司法成本及风险防范角度考虑,建议公安机关在移送案件时要有一个底线结论,根据不同信息的类型至少保证五十、五百、五千条的真实性,这样就守住了入罪的底线,至于其余的数量,则是在量刑中要考虑的问题。