账号密码应被纳入刑法保护范畴 -科技频道-金鱼财经网

罗聪冉“仅2015年下半年到2016年上半年，因个人信息泄露网络犯罪造成经济损失高达915亿元。”在12月17日于北京举行的2016互联网刑事法制高峰论坛上，腾讯公司副总裁谢呼表示，当前，网络安全的主要威胁已经从黑客攻击模式转为犯罪分子的敛财工具，网络空间非接触式犯罪呈现成本低、隐蔽性强、传播速度快等特点，给网络安全带来严峻的考验。

不宜将所有个人隐私纳入个人信息范畴

刑法在2009年增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”；2015年又作了修正，将上述两个罪名统一为“侵犯公民个人信息罪”。但司法实践中，一线的办案人员在开展具体的执法办案活动过程中，关于如何理解和把握相关的法律规定还存在很多困惑。

目前，最高人民法院正在起草审理侵犯公民个人信息刑事案件的相关司法解释。

“什么叫做公民个人信息？公民个人信息到底有哪些类型？这无疑是这部司法解释最重要最核心的基础性问题。”最高人民法院研究室副主任周加海表示。

对比网络安全法第七十六条和2012年全国人大常委会关于加强网络个人信息保护决定第一条，在对个人信息的界定上，两者有所差异，即网络安全法未把个人隐私信息明确地纳入个人信息的范畴。

周加海认为，司法解释对公民个人信息的界定应当会和网络安全法规定保持一致，不宜把所有个人隐私一概纳入到公民个人信息的范畴，因为发布隐私信息一般是个体事件，不像发布身份识别信息的批量性，其危害程度存在差异。

“其次，各种账号密码，如QQ账号密码、购物网站的账号密码也应当纳入到刑法意义上公民个人信息的范畴。”周加海表示，随着网络实名制的推广，各种账号密码往往绑定身份证号、手机号码等可以识别自然人身份的信息，不将其纳入刑法保护范畴，不利于打击下一步的犯罪。

另外，网络用户网上互动轨迹及上网偏好，也具有隐私属性，这些信息如果一概禁止未经收集者同意不能收集，大部分产业会受到极大的影响，如何平衡两者的关系还存在困惑。

网络安全法第四十一条对公民个人信息收集和使用问题有相应的规定，明确要求如果收集公民个人信息，要遵循合法、正当、必要的原则，而且要经过被收集者同意，不得收集与提供服务无关的信息。

“互联网企业对收集信息的问题，希望可以加上‘出于非法目的’的限制，违反国家有关规定收集公民个人信息解释为非法获取，这本身没有超出网络安全法规定的范围；可如果加上‘出于非法目的’的限制，不但缩小该罪的适用空间，而且极大影响执法办案，‘出于非法目的’是主观认识，查证是非常困难的事情。”周加海表示。

对于侵犯公民个人信息之“情节严重”认定标准构建，中国人民大学法学院教授、东城区检察院副检察长田宏杰介绍，目前在法律网上收集到109份判决，基本认定情节严重的两类标准：一类是标准信息的数量；另外是通过信息获利的金额。

“但这个标准还是存在一定局限性的，信息的数量应立足于刑法谦抑的角度，刑事司法犯罪圈小于或等于刑事立法的犯罪圈；如果综合考量，能够不用刑但发挥用刑的效果，这是司法用刑和司法谦抑的最高追求；所以对于‘情节严重’的认定标准，信息的数量原则上应该是行政法违法的上限。”田宏杰表示。

个人信息保护的路径探索

近日，拥有9000万用户的国家电网，传出掌上电力APP用户信息泄露的信息。

苏州市公安局网警支队支队长李晶介绍，公民信息泄露的源头，一般包括国家机关和事业单位的“内鬼”、互联网企业、黑客、地下黑市等。

“公民个人信息的刑法保护体系中，要重视信息持有者的不作为的评价，毋庸讳言，公民个人信息如此频繁侵犯，源于有太多信息被他人掌握。”中国人民公安大学法学院副教授李怀胜认为，刑法为强化平台责任，增设拒不履行信息安全网络罪，本罪辐射了另外一个条件，即必须经过监管部门责令，采取改正措施而不改正的，才能构成本罪。

“问题在于，掌握了大量公民个人信息的网络服务提供者，难道不应该主动地去履行网络安全管理义务、承担相应法律责任吗？是否真的有必要设定经监管部门，责令改正不改正这样一个构成要素？”李怀胜认为，信息保管者权力义务的失衡是客观存在，需要调整。

同时，这也引发思考：在我国法律框架当中，合法的索要者和被动的提供者，这两者之间的物理关系如果恰恰导致了公民个人信息大量的泄露，板子应该打到谁身上？

北京大学法学院教授王新认为，这种情况或可借鉴欧盟关于个人信息的保护途径。

据了解，在欧盟和国际社会反洗钱的压力当中，银行和金融机构是需要把个人信息提供给有关的官方主体；为了防止分享了该信息之后，提供者需承担相应的法律责任，美国反洗钱控制法最重要的立法思路是分解掉金融机构合法相关主体承担法律的顾虑；英国反洗钱条款中也设有豁免机制。