民法总则草案于10月31日再次提请全国人大常委会审议,二审稿首次加入了保护个人信息的内容:自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。
在公共舆论场上,这一新增内容赢得了一边倒的支持。它的背景众所皆知:一段时间以来,非法获取、非法出售或者非法向他人提供公民个人信息的违法行为泛滥,社会危害严重。尤其是山东准大学生徐玉玉之死,震惊了天下,也使电信诈骗及其背后的个人信息保护失范成为社会议题。
不过,电信诈骗之痛由来已久,对个人信息保护的法制化努力也有一些时日。藉由刑事个案催生的立法动议,总是一次次地指向出刑入罪,这又使得个人信息保护立法在不经意间就被打上了中华法制的深深烙印。上溯战国时的《法经》,下至《大清律例》,中国古代立法在重刑轻民上一以贯之,成为一条鲜明的主线。个人信息保护的集中立法虽然11年前就有学者建议稿出炉,但最先进入立法场域的,还是刑事立法。
2009年2月28日,十一届全国人大常委会第七次会议审议通过了《刑法修正案(七)》,其中第七条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务的过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”仅仅六年过后,2015年刑法修正案(九)又对此进行了修改,整合了“侵犯公民个人信息罪”,扩大了犯罪主体的范围,并明文规定网络服务提供者有安全管理公民个人信息的义务。应当说,这些立法对遏制侵犯公民个人信息起到了一定的作用。
但就在刑法两度聚焦侵犯公民个人信息犯罪的背景下,电信诈骗案仍然呈多发态势,且电信诈骗的精准度和成功率还有提升的趋势,这其中的症结,或许并不在(至少主要不是在)保护个人信息的刑事防线不断失守,而更在于民事和行政法律还远未形成防线。刑法具有最终性,是国家防范违法的最后手段。不能首先靠刑事法律来震慑犯罪,而任由民事、行政领域的侵犯个人信息行为长期游离在法律责任之外。虽然中国现行法上,有关个人信息保护的条文总量超过200条,民事法律中也不乏“隐私权”保护等规定,但这些零散的规定,还远未将个人信息的民事保护和行政保护有机整合起来,显得零乱、分散,难以形成合力。
如今,《民法总则》中终于有望写入“自然人的个人信息受法律保护”,这当然令人欣喜。只不过,“先刑后民”的立法步调与公民个人信息保护的现实已严重不相匹配。在法律责任体系中,民事责任、行政责任与刑事责任,一个都不能少,从违法预防来说,传统的重刑轻民亟须转型到民事优先上来。对社会来说,备而不用(民事、行政已调整不需要动用刑事)的刑法才是最为人们所乐见的。
(作者系资深法律人士)
(责任编辑:范戴芫)
