公民涉疫个人信息泄露不仅对公民个人日常生活影响十分巨大,与此同时也引发了公民对于完成疫情有关信息采集的抵触情绪。自疫情爆发以来,公民的个人信息通过社区网格员、健康码以及实名登记等形式被大量收集,与此同时,涉疫个人信息事件频发。几周前,“中外刑事法前沿”曾推文就为个人涉疫信息“带上口罩”的重要性进行分析,承接前文,本文将进一步对疫情期间个人信息泄露原因进行分析,提出相应的解决路径与建议。
一、案例引入
案例一:1月25日,江苏连云港海州公安分局新南派出所办案民警发现网络上流传了一份武汉来连云港人员名单,其中包含了77人的姓名、性别、电话、家庭住址等个人信息,其中一些人员多次报警称受到电话骚扰。该名单还曾被不少群众误认为是新冠肺炎确诊名单,有的群众通过电话号码添加微信好友,对名单上的人员进行侮辱谩骂。个人隐私的恶意传播已经严重影响了这77人及其家属的正常生活。
案例二:2020年1月,贵州黔东南州公安局网安部门工作发现,一份名为“新型冠状病毒感染肺炎防控重点人员台账”在互联网上大肆传播。黔东南州网安部门立即开展网上侦查,查明该台账由黔东南州凯里市某幼儿园员工王某在工作中获取,发布于小区微信群中,随后被层层转发,造成恶劣影响。黔东南州公安机关依法对王某行政拘留12日、罚款5000元。
从案例一、二可以看出,疫情期间,公民个人信息泄露相较于平时对公民个人影响更加严重。根据互联网新技术新业务安全评估中心不完全统计,“境内网站已累计报道涉疫情数据安全事件60余起、发布新闻3800余条、用户总访问量约为120余万次。”通过对疫情发生前侵犯公民个人信息犯罪的中国裁判文书分析,该罪对象大都与消费者信息以及征信信息有关,而疫情期间泄露的个人信息案件与之前相比,具有特殊性。
二、疫情期间个人信息泄露原因分析
疫情期间大规模的信息泄露背后有三个主要原因。
第一,行政法规对个人信息保护范围较窄。刑法第253条之一规定了“侵害公民个人信息罪”。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。个人隐私具有私密性,是指公众不知道,主体不欲让外界知晓的信息,与公共利益无关。个人隐私与个人信息的区别具体体现为:首先判定标准不同。对于电话号码、微信号以及qq号等信息不能够认为是个人隐私,因为这些信息在一定程度上不具有私密性,仅属于个人信息。第二,信息类型不同。个人隐私偏向于无形信息,如公民的个人取向是同性恋还是双性恋,而个人信息偏向于有形信息。第三,主体不同,隐私权是一种人格权,其保护主体仅是个体,而个人信息被保护的主体既包括个人也包括单位。总体而言,个人信息的概念要大于个人隐私。相比刑法对个人信息的全面保护,作为前置法的行政法则仅限于对个人隐私的保护,显然范围过窄。根据《治安管理处罚法》第四十二条第六款对“偷窥、偷拍、窃听、散布他人隐私的”进行行政处罚的规定,若仅涉及不属于个人隐私的个人信息泄露时,公安机关不容易介入处理。
第二,立法对个人信息转发行为的规制能力不足。在个人信息泄露案件中,只有首发行为是无法造成个人信息大规模传播,转发行为是个人信息泄露案件中的违法行为之一,但实践中,公安机关只对首发者或者是对转发者除以极轻的行政处罚,无法切断泄露的个人信息传播途经。
第三,公众对个人信息保护意识不够高。笔者就个人信息泄露问题进行过个案调查,有被调查者表示,“在日常生活中,买了车,保险公司打电话问要不要买车险。买了房会有装修从业者打电话,问需不需要装修房屋。同时,这些推销电话不分时间与场合,让人十分苦恼。”当发现信息被泄露,被调查者表示,如果有一个有效的方法解决,肯定会选择,但是当面临信息已经被泄露的事实,无奈只能接受。
三、完善泄露公民个人信息的行政处罚规定
(一)确立基于行刑关系的处罚原则
在秩序不法的规范体系上,我国是“行政(前置)—刑法(后置)”的二元处罚体系。刑法典第253条中规定了侵犯公民个人信息罪,那么在行政法中也应当设置与之相对应的处罚体系,并且,按照刑法的谦抑性原理,前置行政处罚设置应当遵循两个基本原则:一是在对象范围上应当广于或至少不低于刑法的规制范围;二是在行为危害性严重性程度的评价标准上应当轻于刑法。在刑法上,侵犯公民个人信息罪是情节犯,根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》关于“情节严重”的解释,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。
(二)行政处罚规范的具体修正
以上述标准为参照,本文认为,《治安管理处罚法》第四十二条第六款应当修正为“偷窥、偷拍、窃听或以其他手段非法获取或散布他人隐私及其他个人信息的”。在《治安管理处罚条例》中对尚未构成犯罪的上述行为的行政处罚做出具体规定,可以考虑:非法获取或者未经允许提供、散布个人行踪轨迹信息、通信内容、征信信息、财产信息十条以上五十条以下的;非法获取或者未经允许提供、散布个人住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息一百条以上五百条以下的;非法获取或者未经允许提供、散布个人其他信息一千条以上五千条以下的。散布上述信息的,处五日以下拘留或者五百元以下罚款;情节较重的,处五日以上十日以下拘留,可以并处五百元以下罚款。