11月19日晚19点,德国马普外国与国际刑法研究所中国事务部主管周遵友博士来到太阳集团tyc4633青岛校区,为太阳集团tyc4633的师生带来了一场题为《个人信息的刑法保护:德、中两国之比较》的学术讲座。该讲座由太阳集团tyc4633柳忠卫教授主持,周啸天副教授、李本灿博士参加与谈。
周遵友先生从选题的背景入手,首先明确信息自决权的概念,以比较法的视角,考察德、中两国有关个人信息保护的刑法规定,并进行法律比较,得出最后的结论。
关于选题的背景,周遵友先生说他之前研究反恐法律,而德国反恐法律近些年发生了较大变化,这些变化尤其是与信息技术的发展有关。个人信息的刑法保护属于网络刑法的范畴,也是他既往学术研究思路的自然延伸。加之中国目前个人数据被滥用的情况普遍且频繁,所以他决定选择个人信息的刑法保护这一课题进行研究。
所谓“信息自决权”,是指公民对于个人信息的收集、传递、储存、使用、处理和删除等所享有的决定权,而该权利是由德国联邦宪法法院所创制。在上世纪八十年代,德国在通过了《人口普查法》之后要对人口情况进行普查,这引起了部分德国人的警惕与反感,随后掀起了一场社会运动,并诉至联邦宪法法院。德国宪法法院在此案中判定,基于一般人格权的一般规定与现实需要,公民应当享有信息自决权,从而将信息自决权确立为一般人格权的一种表现形式。该判例具有重大意义,因为它奠定了德国个人信息保护的法律基础。而且,这个理念还向欧洲其他国家拓展,从而成为整个欧盟有关个人信息保护的基础。
个人信息权和隐私权是有区别的。个人信息是指用于识别或者能够识别自然人的所有信息,包括姓名、工作单位、教育背景、家庭住址等等,而隐私是指个人信息中的敏感部分,比如健康状况、债务负担、账户密码、性取向等等。个人信息的范围很广,表现形式多样,包括声音、图片、视频等,它已将隐私包含在内。
在明确了个人信息的概念后,周遵友先生介绍了德国《联邦数据保护法》(BDSG)和欧盟《通用数据保护条例》(GDPR)。德国早在1977年就制定了BDSG,之后随着时间的推移以及欧盟法的发展,不断地被修订。BDSG是一部法典,规定了个人信息保护的方方面面。GDPR已经于今年5月25日生效,该法属于“条例”,直接适用于包括德国在内的所有欧盟国家。GDPR对德国法产生了重要的影响,原因是:第一,该法律在德国生效,法院判决可直接引用;第二,根据新法优于旧法的原则,凡是与之相抵触的德国法律都要被修改。这部法律对于中国也有重要意义,因为它还具有域外效力,比如它就适用于向欧盟居民提供服务的中国公司。该法规定信息主体享有知情权、修正权、删除权、限制处理权、数据可携带权和反对权,还为个人信息的处理提出了合法、公平、透明、目的限制、数据安全等原则。
本次讲座的重点是德国的数据保护刑法。在中国,所有的刑法条款都被规定在一部统一的刑法典中,而在德国,除了《刑法典》(StGB)外,还有所谓的“附属刑法”。德国关于数据保护的刑法条文主要是指BDSG的第42条,因为此条的保护对象就是个人信息;该条就属于附属刑法。除此之外,在德国《刑法典》第十五章(第201条至206条),还有若干关于侵害个人生活与秘密的罪名。这些罪名的保护对象主要是隐私,而隐私正是个人信息的一个组成部分。
BDSG第42条主要规定了四个犯罪构成要件:转发大量个人信息;公布大量个人信息;无当处理个人信息;通过虚假陈述骗取个人信息。其中,关于转发、公布大量的个人信息罪,被告人需要同时满足明知、无正当理由、转发/公布的行为、(犯罪对象是)大量的个人信息以及以职业的方式实施行为等要件要素,才可以被认定为构成此罪。构成此罪的,将被处以三年以下的有期徒刑或者罚金。无正当理由处理或者通过虚假陈述骗取非为公众获知的个人信息,而且以此获得报酬或者以使自己或他人获利或使他人受害为意图者,需处以两年以下有期徒刑或者罚金。
该第42条是于2017年引入的,已经于今年5月25日生效。而在此条生效之前,与之对应的是旧版BDSG中的第44条。根据德国学者的研究,旧版BDSG第44条在司法实践中的适用案件并不多,主要原因是:第一,此罪不告不理;第二,很多案件已经通过行政处罚程序被处理;第三,大量受害者并不知自身的个人信息遭到侵害。
在德国《刑法典》中,可被用来惩罚侵犯个人隐私(亦属于个人信息)行为的法条包括:第201a条,以录像侵害最私密的生活领域;第202a条,窥探数据,即黑客行为;第202d条,数据赃物罪;第203条,私人秘密之侵害罪(该罪为身份犯,犯罪人身份包括医生和律师等特定职业);第206条,邮件秘密或者通讯秘密之侵害。此外,在德国《反不正当竞争法》和《电信法》中,也有专门用于保护个人信息的刑法规定。
关于中国的数据保护刑法,这主要是指《刑法》第253条之一,即“侵犯公民个人信息罪”。最高人民法院、最高人民检察院对此项罪名专门出台了一个司法解释。但周遵友先生强调,“两高”的司法解释也存在一些问题,例如,该司法解释就没有明确这里的保护对象究竟是公开的个人信息还是非公开的个人信息。
在介绍了德国和中国的数据保护刑法后,周遵友先生对两国的法律进行了简单的比较。在立法技术上,德国的经验值得借鉴。中国在立法上的一贯做法是单独制定某一部法律,这样容易导致法律与法律之间的矛盾。比如,中国在《个人信息保护法》尚未出台的前提下,《刑法》中规定侵犯公民个人信息罪,不太符合逻辑。按照常理,应当先有《个人信息保护法》,再出台相应的刑罚制裁措施。与之形成对比的是,德国为了一揽子地解决某个问题,经常出台所谓的“改革法”,有的改革法一次性修改几十部法律。在个人信息权利方面,两国也有不同。在德国,该权利已经成为一项基本人权;而在中国,人们还在争论个人信息权利到底是属于人格权、财产权抑或是复合性权利。周遵友先生认为,个人信息权应当成为一种单独的权利。
在演讲的结尾部分,周遵友先生从经济、安全、法治这三者同自由的关系层面总结了本次的发言。关于经济与自由的关系,他说经济与自由在一定程度上是矛盾的。欧盟个人信息的保护非常严格,这导致其在数字经济上已经有些落后。中国在发展优先的指导思想下,数字经济发展很快。关于安全与自由的关系,他说重视个人信息的保护,对国家安全就是一个限制。对于个人信息进行保护,也就意味着国家不能为所欲为。关于法治与自由,他说法治的发达与自由的保障是成正比的;为了保障个人信息权,这就需要建立先进的法律制度。
在互动环节,柳忠卫教授同大家分享了自身所遇的几起个人信息的泄露案例,李本灿老师则结合实践中屡屡发生的个人信息侵犯问题,强调了数据保护的重要性。
主讲人简介:
周遵友,德国弗莱堡大学刑法学专业博士毕业。现任德国马普外国与国际刑法研究所高级研究员(senior researcher),兼任中国事务部主管,系香港英文报纸《南华早报》 (South China Morning Post)专栏作者。