我国网络安全保护立法现状和趋势

伴随着社会发展和市场经济的建立，人格要素的商业化和利益多元化促使了个人信息作为商业价值被逐渐开发，而信息技术的迅速普及又为个人信息的收集和处理提供了便利条件，个人信息无形的商业价值，特别是网络空间信息资源共享的特性，使个人信息被不合理使用、收集、篡改、删除、复制、盗用、散布的可能性大大增加。央视3.15晚会曾重点曝光了我国垃圾短信制造及个人信息交易的内幕，包括部分移动公司可以对用户的手机进行定位，或按照相关规则对用户进行分类，并依照这些分了类的用户资料，向用户发送各种各样的推销短信，以及一家名为海量信息科技网的网站，以极其低廉的价格在网上公然出售全国各地的车主信息、各大银行用户数据甚至股民信息(包括姓名、手机号码、身份证号码等)等。 　　根据近年公安机关公布的典型案例，随着大数据技术的广泛运用，泄露个人信息的犯罪主体已经不再局限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，而是呈现大众化的发展趋势。2012年5月16日，江苏南京市公安局玄武分局网安大队民警发现，有人在网上发布信息，雇人从邮局取挂号信，每封酬谢200元。经查发现，犯罪嫌疑人通过办理假身份证冒领受害人申办的信用卡挂号信，并在网上购买受害人的个人征信记录(包括个人身份信息及银行信息)等资料，激活信用卡，刷卡套现牟利。2015年5月17日，南京市公安机关抓获犯罪嫌疑人许某等5名犯罪嫌疑人，其作案地点涉及湖南、天津、山东、江苏、浙江等地[尾注 2]。 　　而经上海市第一中级人民法院在2014年8月8日公开审理并宣判的我国首起在华外国人非法获取公民个人信息案曾轰动一时，备受国内外关注。被告人彼特•威廉•汉弗莱、虞英曾利用在上海注册成立的咨询公司，接受境内外客户委托，对多家公司或个人进行“背景调查”。他们通过非法购买，或使用跟踪、监控，冒充公司员工、客户、投资者甚至快递员的身份秘密走访、偷拍等多种非法手段获取大量公民个人信息(包括户籍、出入境记录、通话记录等)，并在制作“调查报告”后出售给委托客户以牟取利益[尾注 3]。审理法院根据《中华人民共和国刑法修正案(七)》关于非法获取公民个人信息罪的条款对二被告侵害我国公民合法权利的违法行为进行定罪量刑，是我国公民个人信息保护在司法实践领域的典型运用。 　　二、目前我国对个人信息及网络安全的法律保护 　　(一)《中华人民共和国刑法修正案(九)》出台前的法律保护机制 　　就我国个人信息保护及网络安全的立法格局而言，以较低位阶的法律法规为主，尚未统一建立高位阶成文法。其中直接对“个人信息”的保护加以规定的主要有《中华人民共和国护照法》、《中华人民共和国身份证法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》(“《决定》”)、《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(“《通知》”)、《电信和互联网用户个人信息保护规定》以及《信息安全技术、公共及商用服务信息系统个人信息保护指南》。 　　其中，《决定》和《通知》专门针对个人信息及网络安全问题，规定了公民个人信息的范围，实施侵权及犯罪行为的主体，以及相应的民事责任、行政处罚和刑事制裁。2015年7月6日，经第十二届全国人大常委会第十五次会议审议公布了《中华人民共和国网络安全法(草案)》(以下简称“草案”)，该草案系我国关于网络安全管理的首部统一性、专门性立法，从立法原则，概念定义，网络运行安全、数据安全及信息安全的管理和维护，以及预警应急机制和法律责任等方面分别进行了细化规定。 　　除了上述直接明确提出对个人信息加以保护的法律法规之外，还存在一些通过规定保护人格尊严、个人隐私、个人秘密等与个人信息相关的范畴进而保护个人信息的法律。例如：《中华人民共和国宪法》的“公民的人格尊严不受侵犯”、“公民住宅不受侵犯”，、“公民享有通信自由和通信秘密的权利”、“国家尊重和保障人权”等相关条款均可解释为个人信息应当受到法律保护的宪法依据。 　　在国家的基本部门法中，也或多或少、或明或暗地存在一些与个人信息保护有关的法律条款，例如：《中华人民共和国民法通则》关于人身权的相关规定中规定了“公民的人格尊严受法律保护”;《中华人民共和国刑法》(“《刑法》”)在“侵犯公民人身权利、民主权利”的专章中，明确将“非法搜查他人身体、住宅，或者非法侵入他人住宅”、“侵犯公民通信自由”、“非法获取公民个人信息”等行为列为犯罪行为;《中华人民共和国民事诉讼法》规定“对涉及个人隐私的案件应当不公开审理”;《中华人民共和国刑事诉讼法》规定“涉及个人隐私的案件不公开审理”、“审判的时候被告人不满十八周岁的案件，不公开审理”，并规定“犯罪的时候不满十八周岁，被判处五年有期徒刑以下刑罚的，应当对相关犯罪记录予以封存”。 　　除此之外，一些部门法和行政法规、规章、司法解释中也有相关的规定，如《中华人民共和国消费者权益保护法》、《中华人民共和国妇女权益保障法》、《中华人民共和国未成年人保护法》、《中华人民共和国邮政法》、《中华人民共和国母婴保健法》、《中华人民共和国执业医师法》、《医疗机构病历管理规定》、《医疗事故处理条例》、《传染病防治法》、《关于对艾滋病病毒感染者和艾滋病病人的管理意见》等。 　　(二)《中华人民共和国刑法修正案(九)》相关条款的解读 　　结合前文所述的我国个人信息保护及网络安全现状，互联网平台已经成为个人信息泄露的重灾区，公民个人信息的保护与网络安全的维护密切相关。而最近新颁布的《中华人民共和国刑法修正案(九)》(“《修正案》”)从打击相关刑事犯罪层面，对相关行为定罪和量刑方面均进行了一定修订，扩大了打击范围，加强了打击力度，对于我国公民信息及网络安全不受非法侵犯起到了积极的促进作用。 　　1、加强了对公民个人信息保护的力度 　　(1)扩大犯罪主体范围 　　根据《刑法》第253条原条文规定，出售、非法提供公民个人信息罪和非法获取公民个人信息罪的犯罪主体是特殊主体(仅限于国家机关、金融、电信、交通、教育、医疗等单位及其工作人员)。《修正案》将上述两罪名的犯罪主体扩大到一般主体及单位，即凡是达到法定形式责任年龄的个人及任何单位均可以本罪追究刑事责任。 　　(2)弥补追责空白 　　根据《刑法》对出售、非法提供公民个人信息罪的规定，其仅就个人或者单位履行职责或者提供服务两种途径获取信息的方式进行规制。但是，对于通过履行职责或者提供服务以外的其他方式合法地获得公民个人信息后，又将该信息出售、非法提供给他行为，现行《刑法》并未做出具体规范。《修正案》在原《刑法》基础上取消了对个人信息获取方式上的限制，规定无论以何种方式取得，只要违法国家规定，向他人出售或提供公民个人信息，情节严重的，既构成犯罪。而对于将履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，则规定为从重处罚的情形。该等修订进一步扩大了对侵犯公民个人信息行为的打击范围。