两岸四地个人信息跨境流动安全保护合作机制研究
高长永
內容摘要:个人信息跨境流动及跨境犯罪给两岸四地个人信息保护跨境合作提出了现实要求,在分析了两岸四地个人信息保护跨境合作存在法律制度差异、个人信息流动跨境合作推进不一、打击犯罪刑事司法互助机制不顺等问题,提出要通过完善法律、建立专门保护机构,理顺跨境监管合作机制、研制行业标准、举行宣传活动,建立刑事司法互助合作机构、解决法律争议、建立情报共享平台等方面推进两岸四地个人信息保护的跨境合作。
关键词:两岸四地;个人信息;保护;跨境合作
从全球范围来看,“个人信息”使用的法律名称主要有4种:日、韩、俄等国主要使用“个人信息”的表述;欧盟基本是使用“个人数据”表述; 美国以及受美国影响比较大的国家或地区多使用“隐私”的表述。两岸四地使用的表述也不尽相同。香港地区在《个人资料(私隐)条例》(以下简称《私隐条例》)中使用“个人资料(私隐)”的表述;澳门地区在《个人资料保护法》(以下简称为澳门《个资法》),台湾地区在《电脑处理个人资料保护法》(以下简称为台湾《电资法》)、《个人资料保护法》(以下简称为台湾《个资法》)中都是使用“个人资料”的表述,大陆多部规范性文件中则使用“个人信息”的表述。大陆个人信息保护法起草小组成员周汉华教授认为,概念表述的不同主要源于不同的法律传统和使用习惯,并不影响法律的实质内容。 为了便于研究,从整体上论述世界及两岸四地个人信息(资料)保护时统一使用“个人信息”的表述。
一、两岸四地间个人信息流动对跨境保护合作提出现实要求
区域性经济、社会、文化交流的不断深化使得两岸四地个人信息跨境流动成为不可避免的大趋势。个人信息的跨境流动与共享带来了巨大的商业价值,迅速发展的跨境企业与日益繁荣的对外贸易也要求两岸四地不断推进个人信息的跨境流动。目前,两岸四地个人信息跨境流动主要有以下两种途径:(1)通过跨境电商平台网购发生的个人信息跨境流动。比如,天猫、京东等大陆跨境电子零售平台通过收集、分析大量海外用户的个人信息,为产品开发和服务提升提供有效指引,不断拓展海外市场。据统计,2015年淘宝“双十一购物节”期间,阿里巴巴全球速卖通在线交易平台共收到跨境出口订单2124万笔,覆盖国家或地区达200余个。(2)跨境公司出于管理与经营需要对员工及客户个人信息进行跨境传输、存储与使用。一方面,跨境公司因业务需要将其境内客户的个人信息进行跨境传输。比如,香港市民在大陆使用香港境内跨国(境)银行发行的信用卡付款,香港境内的银行则需要将该客户个人信息传送到大陆进行验证。另一方面,跨境的分公司或子公司需要将其员工的个人信息传输给境外的母公司,以便母公司能够全面掌握其员工的整体情况,更好地开展跨境管理。
两岸四地间个人信息跨境流动,使得收集个人信息的企业不在境内或者在境内没有实体存在,对这类企业就无法做到有效监管,个人信息就会面临被滥用甚至是泄露的风险,从而给公民的财产和名誉造成一定损害。信息时代尤其是大数据挖掘技术的出现,使得个人信息的价值越来越被重视。在利益的驱使下窃取、贩卖、兜售个人信息的犯罪行为也时有发生。更为严重的是,不法分子利用这些不法个人信息实施跨境电信诈骗、敲诈勒索等下游犯罪行为。2013年,大陆最大的酒店数字客房服务商浙江惠达驿站公司因安全漏洞问题,致使包括姓名、身份证与手机号码、家庭与公司住址在内的2000万条个人开房记录在网上曝光,并以每天4万次的频率被网民下载,这其中不乏香港、澳门、台湾三地民众开房记录。不少被泄露信息的民众相继接到实施诈骗、敲诈勒索的陌生电话、邮件,民众的生活收到了严重侵扰。按照上海市公安局经侦总队提供的数据,2015年大陆地区电信诈骗案发案共59万余起,案值222亿元,其中100多亿诈骗赃款被卷入台湾地区,涉沪的15.1亿元赃款中近9亿被台湾地区犯罪集团骗走。这些跨境电信诈骗的一个主要手段就是利用非法窃取的个人信息实施。
二、两岸四地个人信息跨境流动安全保护合作现状与障碍
(一)个人信息保护法律制度的差异性
1.保护范畴的不同。界定个人信息范围,先要对个人信息保护的权利基础进行考察。世界范围内,个人信息保护的权利基础主要分为隐私权 和人格权 两大类。港澳地区个人资料保护制度建立在隐私权保护之上的, 概括性地对个人资料给出定义。 台湾地区的个人资料保护制度建立在人格权的保护之上,《个资法》的总则中指明“以避免人格权受侵害,并促进个人资料之合理利用特制定本法”,《个资法》第二条第一款 中详细列举了个人资料的内容。2017年大陆出台的《解释》对个人信息 的界定也是建立在人格权保护的基础上。台湾地区与大陆的个人信息保护范围明显大于港澳地区,比如香港地区对侵害个人资料行为的刑事规制主要集中在个人资料使用者对专员及资料当事人的义务履行上。
2.保护机构设置上的不同。港澳地区已经建立个人信息专门保护机构。香港《私隐条例》第Ⅲ部分规定执行规定香港个人资料(私隐)保护的专门机构为个人资料私隐专员(以下简称为“专员”)。根据《私隐条例》第九条关于专员享有雇佣或者聘用合适人士或专业人才协助其开展个人资料(私隐)保护的权利,香港成立了个人资料私隐专员公署。根据澳门特别行政区第83/2007号行政长官批示,澳门成立个人资料保护办公室,行使《民法典》及《个资法》赋予的职权,负责监察协调、订定制度、处理投诉、宣传教育及分析研究等具体工作。台湾虽未建立专门保护机构,但对个人信息保护职责进行了比较清晰的划分。台湾《个资法》第二十二条规定《中央》目的事业主管机关、 县(市)政府为台湾个人资料保护的主管机关。大陆并未明确个人信息安全的主管机构,按照行政体系,工信部协调大陆信息安全保障体系建设、推进信息安全保护等基础性工作。2014年,大陆成立中央网络安全和信息化领导小组(以下简称“领导小组”),推动大陆网络安全和信息化法治建设。“领导小组”下属的互联网违法和不良信息举报中心专门负责接受社会公众对互联网违法行为的举报。另外,消费者协会也可以接受公民对个人信息侵权行为的申诉。这就使得台湾和大陆在个人信息安全管理跨境合作上缺少官方统一的对外联络机构。
3.在救济方式选择上各有侧重点。澳门和台湾为个人资料保护设置了从民事到刑事比较全面的保护。澳门《个资法》第八章规定了个人资料的行政与司法保护。个人资料保护办公室可以对未履行义务、履行义务不作为或有瑕疵的履行以及其他的行政违法行为科处罚款。《个资法》也明确规定了未履行资料保护义务、不当查阅、个人资料的更改或毁坏、加重违令罪及违反保密义务等4种罪行。澳门《刑法典》分则第七章规定了“侵犯受保护之私人生活罪”。 澳门《打击电脑犯罪法》也规定了侵犯个人数据的几种犯罪行为。台湾《个资法》规定,对于个人资料侵害行为,资料当事人可以请求损害赔偿,名誉权受到侵害的还可以请求恢复名誉。对于因同一侵害行为而遭受损失的多数资料当事人,合计赔偿金额以新台币2亿元为限。如果所受损失超过新台币2亿元的,则以实际受损利益为限。对于意图营利或者损害第三人利益,侵害他人个人资料权利的行为,将被科处五年以下有期徒刑、拘役或处或并处新台币一百万元以下罚金。香港的个人资料保护则呈现出重管理而轻刑法保护的特点。香港《隐私条例》第Ⅸ部分罪行及补偿规定侵犯个人资料(私隐)犯罪行为应负的刑事责任及资料当事人可以向侵害其权利的使用人申索补偿。香港地区仅将在个人信息收集使用中未履行相关程序性及提供虚假信息的行为纳入刑法规制且刑罚多是6个月监禁或罚款,而未对泄露、窃取、买卖个人资料的行为设置相应刑罚。大陆侧重于对个人信息的刑法保护。《刑法修正案(七)》在刑法第二百五十三条后增加一条,作为第二百五十三条之一, 这是大陆首次专门规定个人信息保护的法律条款,主要规制的是国家机关或金融、电信、交通、教育、医疗等单位工作人员对个人信息安全的侵害行为。《刑法修正案(九)》对刑法第二百五十三条之一进行了修改, 进一步扩大了犯罪主体及犯罪对象的范围、加重了刑罚处罚。《解释》则对刑法第二百五十三条之一中的“个人信息”“违反国家规定”“情节严重”“情节特别严重”等进行了界定,使之更具操作性。
(二)个人信息流动安全管理跨境合作推进不一
香港、台湾地区在2005年正式签署《APEC隐私保护框架》(以下简称《框架》),积极开展与其他成员国家或地区在个人信息保护方面的合作交流。香港個人资料私隐专员公署、澳门个人资料保护办公室都已加入亚太区私隐机构、全球私隐执法机构等国际或地区间合作组织,积极与世界各地的个人资料保护机构建立密切联系,加强在打击跨境不法行为方面的合作。大陆虽然已加入《框架》,但对框架下制定项目的参与度却很低。目前,两岸四地个人信息保护的沟通交流也仅限于非官方形式,在个人信息保护专门机构等官方层面合作交流尚未提上日程。
为了促进个人数据的跨境流动,减少与境外贸易合作的阻碍,台湾地区积极制定个人资料保护的行业标准。目前,台湾地区应用比较广泛的标准化制度主要包括2种:一是以BS10012标准内容为基础框架、配合PDCA的管理运作方法建立的个人资料保护体系;二是台湾工业策进会协助建立的“台湾个人资料保护与管理制度(简称TPIPAS)” 。 港澳地区虽然没有制定标准,但也都积极通过制定实务指引方式推进个人资料(私隐)保护。香港主要是由个人资料隐私专员依照《私隐条例》第III部(实务守则)通过发布事务性指引。 澳门个人资料保护办公室鼓励、支持制定行业行为守则,2007年9月至今个人资料保护办公室完成登记的指引有12份。 大陆一些省市为了解决与境外企业的合作问题也发布了实施个人信息保护制度的标准规范。如辽宁省大连市出于引进日资软件服务业需要,率先在全国制定DB21/T1628《个人信息保护规范》、DB21/T1522《软件及信息服务业个人信息保护规范》。陕西软件行业协会、四川成都软件行业协会也相继出台类似的个人信息保护行业标准。
(三)两岸四地间侵犯个人信息犯罪刑事司法互助机制不顺畅
1.刑事管辖争议。受政策与制度差异的影响,两岸四地分属不同法域。不同法域对于同一事实可能有不同的法律评价,也可能存在共同管辖权,刑事管辖问题是阻碍两岸四地间合作打击跨境犯罪的重要问题。刑事管辖权涉及海峡两岸关系最敏感的底线,这在2009年大陆与台湾签署的《海峡两岸共同打击犯罪及司法互助协议》(下称《南京协议》)并未明确。香港与澳门已经签订《香港特别行政区与澳门特别行政区政府关于移交被判刑人的安排》。大陆与港澳地区刑事合作虽有《基本法》为基础,但尚未形成有效的互助协议。两岸四地的警务合作现阶段还是停留在间接联络或重大个案共同打击上,并未形成比较成熟的合作机制,这就可能造成相当一部分跨境犯罪分子无法被正常移送查处从而逃避刑事制裁。
2.司法制度上的差异。大陆警方承担着刑事侦查职责,台湾地区行使刑事侦查权的主体是检察官。根据台湾地区“刑事诉讼法”规定,警察、宪兵及其他“依法令关于特定事项,得行司法警察之职权者”均是“司法警察”,均可受检察官之命令侦查犯罪。可见,台湾警方只是承担着协助调查取证的职责,这就造成了台湾警方通过大陆警方取得证据的效力面对台湾地区刑事取证规则时遭到质疑甚至是不被承认。另外,两岸四地刑事实体法对于侵犯个人信息犯罪及其下游犯罪的罪名设置、犯罪构成、刑罚设置等方面都存在不同,在某一地区被评价为犯罪的侵犯个人信息行为在另一个地区被评价为无罪。比如,台湾地区刑法对电信诈骗适用的罪名为欺诈罪,其最高刑期仅为5年,属于轻罪范畴,而在大陆诈骗罪则可能面临无期徒刑,这为在大陆作案的台湾籍犯罪嫌疑人案发后逃往台湾躲避处罚提供了法律漏洞。
3.调查取证效率低下。《南京协议》也只规定了委托取证及联合侦查两种形式,却未明确规定具体操作流程及时限,使得现阶段两岸四地跨境合作过程中需要花费大量的人力、物力、财力用于沟通协调。这也是两岸四地跨境警务合作调查取证中普遍存在的问题。法律渊源差异导致的两岸四地证据规则的不同给跨境合作带来一定障碍。港澳台地区的“刑事诉讼法”都规定证人有拒绝作证的权利,而大陆《刑事诉讼法》规定除特定情形下证人负有作证的义务。证人证言已经成为大陆警方侦破案件的重要证据形式,一条对于大陆警方来说可能是案件侦办突破口的港澳台地区居民的证人证言,很有可能会因为其拒绝作证而被终断。
三、完善两岸四地个人信息跨境流动安全保护合作的路径探索
全球范围内最具代表性的个人信息跨境流动规制模式主要有“以地理区域为基准”和“以组织机构为基准” 两种。两岸四地为个人信息跨境流动设置了不同的标准与限制。香港《私隐条例》第33条规定个人资料私隐专员可以就其有合理理由相信在香港以外某个具有与本条例大体上相似或达到本条例相同目的的法律正在生效的国家(地区)发布公告,指定个人数据可以跨境流动的国家(地区)。值得关注的是,这一条款延缓实施。澳门《个资法》第33条规定个人数据可以转移到澳门地区以外能够提供适当保护程度的国家(地区),由公共当局决定某一法律体系是否能够提供适当的保护。台湾《个资法》第21条规定个人资料不得转移到尚无完善个人信息保护法律的国家(地区)。可见,港澳台地区对于个人数据跨境流动采用的是“以地理区域为基准”的规制路径。大陆《网络安全法》中规定了关键信息基础设施的运营者因业务需要确需将个人信息向境外提供的则需要通过相应的安全评估。
(一)完善个人信息保护法律制度
1.将个人信息保护建立在人格权基础上,扩大个人信息保护范围。人格权型与隐私权型个人信息保护制度对比,其保护的个人信息范围更加宽广,而且定义方式简单明了,更易操作。美国学者阿丽塔·L.艾伦、理查德·C.托克音顿也在《美国隐私法——学说、判例与立法》中指出,当个人信息积累到一定程度,就能形成与实际人格相对应“数据人格”或“信息人格”,从而使个人信息具有了人格权上的意义,从人格权保护来解读个人信息保护也就更具现实意义。大数据技术已经能够实现从不涉及公民隐私的碎片化信息中挖掘出“隐私”的条件,因此笔者建议香港、澳门地区不断拓展个人资料保护的范围,将公民个人隐私以外的碎片化信息纳入个人资料保护范围。
2.夯实跨境合作法律基础。大陆应该借鉴港澳台地区统一立法模式,加快出台个人信息保护法的步伐,以协调统一现行法律规范中关于个人信息保护的法律条款中存在的矛盾与冲突,为个人信息安全提供“充分的”保护。考虑到大陆网络经济起步晚但发展迅速的现实性,这部个人信息保护法的条款不宜过于细化与严苛,应该将行政部门、企事业单位、个人统一纳入规制范围,确定信息处理的基本原则,为专门保护机构的成立提供法律依据,拓宽民事、行政及刑事等救济渠道。大数据时代个人信息保护不是某一个政府部门可以完成的,需要多个法律部门协作,两岸四地的民事、行政、刑事等法律部门要根据制定的统一个人信息保护法进一步细化各自领域的法律保护措施。香港地区应该通过立法将窃取、泄露等严重侵犯个人资料的行为纳入刑法保护范围,为个人资料安全提供全方位的保护。信息泄露等个人信息侵害事件往往涉及受害者众多,单从个别受害者角度来看其受到的损害一般较小。台湾地区为鼓励民间团体参与个人资料保护引入了协助救济的团体诉讼制度。财团法人或公益团体法人可以在接受被害当事人20人以上授权后,以自己的名义提起诉讼。建议香港、澳门及大陆借鉴台湾地区经验在个人信息保护中引入公益诉讼制度。
3.建立专门保护机构。港澳地区专门保护机构在个人资料保护、对外交流、跨境合作等方面发挥着重要的作用。台湾地区与大陆的个人信息保护职责由多个政府部门分别承担,不仅会造成部门职能重叠出现推诿扯皮等弊端,也会给个人信息遭到侵犯的公民寻求救济制造不必要的麻烦。建议台湾地区、大陆成立专门保护机构专司个人信息安全管理、防范及对外合作。比如,在大陆现行的行政体系中,工信部负责大陆信息安全保护的协调工作,建议在工信部成立“个人信息安全保护工作委员会”(以下简称中央“信安委”),依据个人信息保护法统筹大陆个人信息安全管理、监督、指导及协调工作。同时在省、市、县“经信委”下设“信安委”,具体负责地方个人信息安全保护工作,包括接受公民关于个人信息侵害的投诉,开展案件调查、取证并作出权限以内的行政处罚。积极与大陆警方构建顺畅的行刑衔接机制,对于触犯《治安管理处罚法》可能被给予行政拘留及《刑法》可能被判处刑罚的案件,要及时移送大陆警方开展查处。
(二)加强两岸四地间个人信息流动安全防范管理合作
1.理顺个人信息跨境流动监管合作机制。大陆在完善自身个人信息保护立法及制度建设的同时,应该积极参与《框架》下的具体项目,积极参与“全球私隐执法网络”及“亚太区私隐机构组织”,积极参与推动信息安全保护国际及地区标准的制定,为个人信息在跨境流动中的安全提供有力保障。由大陆地区牵头推动两岸四地政府机构、行业协会加强在个人信息管理、保护等方面的交流合作,成立专门合作机构监管个人信息跨境流动,就跨境流动信息类型、转出方和转入方需要遵循的程序和标准、需要采取的保护措施等达成共识,有效解决两岸四地信息跨境流动出现的矛盾纠纷,促进数据跨境流动的良性循环。
2.积极研制行业标准规范,打造地区间交流合作“名片”。台湾地区不仅建立了个人资料保护的BS10012地区标准,还建立了TPIPAS認证制度。建议香港、澳门及大陆尽快研究制定以PDCA 为基础过程的个人信息管理体系地区标准,进一步细化个人信息保护流程与职责分工,指导企业建立完善个人信息保护制度。同时,建立境内企业个人信息保护认证标识制度,帮助企业建立标准作业流程,降低个人信息泄露的风险,避免由此带来的不必要纠纷影响地区企业的声誉,打造地区对外交流“名片”。
3.举办个人信息安全保护宣传活动。以个人信息专门保护机构为依托,积极推动两岸四地之间定期开展“个人信息保护宣传月(周)”活动,举行一系列学术研讨、企业交流学习、个人信息安全宣传等活动,建立“个人信息保护宣传月(周)”网站,通过微博、微信等新兴媒体发布个人信息保护知识,不断提高两岸四地企业、公民的个人信息安全保护意识与能力。
(三)完善两岸四地个人信息犯罪打击司法互助机制
两岸四地警方要在港澳地区基本法、《香港特别行政区与澳门特别行政区政府关于移交被判刑人的安排》及大陆与台湾地区签订的《金门协议》《南京协议》等刑事互助协议的基础上,已经形成了一定的成功经验。以大陆与台湾个人信息犯罪下游犯罪跨境电信诈骗打击为例。自2009年签署《南京协议》至2013年的5年间,合作侦破47起电信诈骗案件、逮捕犯罪嫌疑人5353人,使得台湾地区的电信及网络诈骗案件由2009年签署《南京协议》时的38802起下降至2010年的28494起、2011年的23612起、2012年的20421起及2013年的17744起,案件数量在五年间下降54.3%。 针对两岸四地刑事司法互助中存在的问题,可通过进一步的深化合作予以化解。
1.建立刑事司法互助合作机构。尝试构建两岸四地刑事司法互助轮值主席制度,在司法部门下设警务协作办公室及联络员负责负责警务合作的对外联系工作,统一接受其他地区移交的跨境犯罪案件,并将案件分流到地区内的刑事主管部门开展警务合作,理顺两岸四地跨境合作的流程。另外,由两岸四地警务协作办公室轮流担任警务合作轮值主席单位,负责任期内的两岸四地警务合作的统筹协调工作。推动两岸四地司法高层每年召开司法互助推进会,协商解决合作中出现的协助取证、证据转化等障碍与问题,推动刑事司法互助合作协议的签署,明确犯罪认定、证据规则、案件移送等具体时限与流程。
2.解决法律争议问题。刑事实体法的差异很可能造成两岸四地对于同一犯罪行为的评价可能出现显著不同,在两岸四地间出现刑事犯罪打击的“洼地”。计算机与大数据技术也为犯罪分子利用这种差异选择犯罪成本小、处罚轻地区实施跨境侵犯个人信息犯罪行为提供了便利。比如,针对香港地区个人信息犯罪打击范围明显过窄、台湾地区对于电信诈骗犯罪明显过轻等问题,建议香港、台湾地区进一步尽快更新完善刑事实体法规范,堵塞法律漏洞,实现法律公平正义。在刑事司法合作过程中要化异存同,不断消除因司法制度差异性给法律的公平性带来的减损。两岸四地要进一步细化相互代为询问证人,委托搜查、扣押,移交物证、书证及文书送达等具体事项。探讨打破两岸四地取证主体的局限,建立在对方司法主体协助一方侦查人员跨境取证制度,并做好同步录音录像。借鉴大陆与西班牙签订的《中华人民共和国和西班牙王国关于刑事司法协助的条约》中双方可根据具体情况约定通过视频会议获取证词的经验,在两岸四地间建立侦查主体间的视频取证工作机制,不断提高跨境取证效率。个人信息犯罪跨境打击涉及到大量电子证据的收集、固定工作,作为一种新型证据形式,在收集、采信过程中仍存在一定争议问题,要重视电子证据的代为取证及互认问题。
3.建立情报共享平台。对两岸四地间互涉的犯罪人员信息、犯罪行为、案件移交、处罚结果等建立专门信息库,将个人信息犯罪及其下游电信诈骗等犯罪信息纳入共享范围,藉此研究总结特定跨境犯罪特点与规律。针对跨境个人信息犯罪可能导致个人信息在短时间可能出现大面积泄露的严重后果,建议两岸四地建立能够快速反应的应急机制,及时采取相应技术手段予以控制,消除不良影响。
內容摘要:个人信息跨境流动及跨境犯罪给两岸四地个人信息保护跨境合作提出了现实要求,在分析了两岸四地个人信息保护跨境合作存在法律制度差异、个人信息流动跨境合作推进不一、打击犯罪刑事司法互助机制不顺等问题,提出要通过完善法律、建立专门保护机构,理顺跨境监管合作机制、研制行业标准、举行宣传活动,建立刑事司法互助合作机构、解决法律争议、建立情报共享平台等方面推进两岸四地个人信息保护的跨境合作。
关键词:两岸四地;个人信息;保护;跨境合作
从全球范围来看,“个人信息”使用的法律名称主要有4种:日、韩、俄等国主要使用“个人信息”的表述;欧盟基本是使用“个人数据”表述; 美国以及受美国影响比较大的国家或地区多使用“隐私”的表述。两岸四地使用的表述也不尽相同。香港地区在《个人资料(私隐)条例》(以下简称《私隐条例》)中使用“个人资料(私隐)”的表述;澳门地区在《个人资料保护法》(以下简称为澳门《个资法》),台湾地区在《电脑处理个人资料保护法》(以下简称为台湾《电资法》)、《个人资料保护法》(以下简称为台湾《个资法》)中都是使用“个人资料”的表述,大陆多部规范性文件中则使用“个人信息”的表述。大陆个人信息保护法起草小组成员周汉华教授认为,概念表述的不同主要源于不同的法律传统和使用习惯,并不影响法律的实质内容。 为了便于研究,从整体上论述世界及两岸四地个人信息(资料)保护时统一使用“个人信息”的表述。
一、两岸四地间个人信息流动对跨境保护合作提出现实要求
区域性经济、社会、文化交流的不断深化使得两岸四地个人信息跨境流动成为不可避免的大趋势。个人信息的跨境流动与共享带来了巨大的商业价值,迅速发展的跨境企业与日益繁荣的对外贸易也要求两岸四地不断推进个人信息的跨境流动。目前,两岸四地个人信息跨境流动主要有以下两种途径:(1)通过跨境电商平台网购发生的个人信息跨境流动。比如,天猫、京东等大陆跨境电子零售平台通过收集、分析大量海外用户的个人信息,为产品开发和服务提升提供有效指引,不断拓展海外市场。据统计,2015年淘宝“双十一购物节”期间,阿里巴巴全球速卖通在线交易平台共收到跨境出口订单2124万笔,覆盖国家或地区达200余个。(2)跨境公司出于管理与经营需要对员工及客户个人信息进行跨境传输、存储与使用。一方面,跨境公司因业务需要将其境内客户的个人信息进行跨境传输。比如,香港市民在大陆使用香港境内跨国(境)银行发行的信用卡付款,香港境内的银行则需要将该客户个人信息传送到大陆进行验证。另一方面,跨境的分公司或子公司需要将其员工的个人信息传输给境外的母公司,以便母公司能够全面掌握其员工的整体情况,更好地开展跨境管理。
两岸四地间个人信息跨境流动,使得收集个人信息的企业不在境内或者在境内没有实体存在,对这类企业就无法做到有效监管,个人信息就会面临被滥用甚至是泄露的风险,从而给公民的财产和名誉造成一定损害。信息时代尤其是大数据挖掘技术的出现,使得个人信息的价值越来越被重视。在利益的驱使下窃取、贩卖、兜售个人信息的犯罪行为也时有发生。更为严重的是,不法分子利用这些不法个人信息实施跨境电信诈骗、敲诈勒索等下游犯罪行为。2013年,大陆最大的酒店数字客房服务商浙江惠达驿站公司因安全漏洞问题,致使包括姓名、身份证与手机号码、家庭与公司住址在内的2000万条个人开房记录在网上曝光,并以每天4万次的频率被网民下载,这其中不乏香港、澳门、台湾三地民众开房记录。不少被泄露信息的民众相继接到实施诈骗、敲诈勒索的陌生电话、邮件,民众的生活收到了严重侵扰。按照上海市公安局经侦总队提供的数据,2015年大陆地区电信诈骗案发案共59万余起,案值222亿元,其中100多亿诈骗赃款被卷入台湾地区,涉沪的15.1亿元赃款中近9亿被台湾地区犯罪集团骗走。这些跨境电信诈骗的一个主要手段就是利用非法窃取的个人信息实施。
二、两岸四地个人信息跨境流动安全保护合作现状与障碍
(一)个人信息保护法律制度的差异性
1.保护范畴的不同。界定个人信息范围,先要对个人信息保护的权利基础进行考察。世界范围内,个人信息保护的权利基础主要分为隐私权 和人格权 两大类。港澳地区个人资料保护制度建立在隐私权保护之上的, 概括性地对个人资料给出定义。 台湾地区的个人资料保护制度建立在人格权的保护之上,《个资法》的总则中指明“以避免人格权受侵害,并促进个人资料之合理利用特制定本法”,《个资法》第二条第一款 中详细列举了个人资料的内容。2017年大陆出台的《解释》对个人信息 的界定也是建立在人格权保护的基础上。台湾地区与大陆的个人信息保护范围明显大于港澳地区,比如香港地区对侵害个人资料行为的刑事规制主要集中在个人资料使用者对专员及资料当事人的义务履行上。
2.保护机构设置上的不同。港澳地区已经建立个人信息专门保护机构。香港《私隐条例》第Ⅲ部分规定执行规定香港个人资料(私隐)保护的专门机构为个人资料私隐专员(以下简称为“专员”)。根据《私隐条例》第九条关于专员享有雇佣或者聘用合适人士或专业人才协助其开展个人资料(私隐)保护的权利,香港成立了个人资料私隐专员公署。根据澳门特别行政区第83/2007号行政长官批示,澳门成立个人资料保护办公室,行使《民法典》及《个资法》赋予的职权,负责监察协调、订定制度、处理投诉、宣传教育及分析研究等具体工作。台湾虽未建立专门保护机构,但对个人信息保护职责进行了比较清晰的划分。台湾《个资法》第二十二条规定《中央》目的事业主管机关、 县(市)政府为台湾个人资料保护的主管机关。大陆并未明确个人信息安全的主管机构,按照行政体系,工信部协调大陆信息安全保障体系建设、推进信息安全保护等基础性工作。2014年,大陆成立中央网络安全和信息化领导小组(以下简称“领导小组”),推动大陆网络安全和信息化法治建设。“领导小组”下属的互联网违法和不良信息举报中心专门负责接受社会公众对互联网违法行为的举报。另外,消费者协会也可以接受公民对个人信息侵权行为的申诉。这就使得台湾和大陆在个人信息安全管理跨境合作上缺少官方统一的对外联络机构。
3.在救济方式选择上各有侧重点。澳门和台湾为个人资料保护设置了从民事到刑事比较全面的保护。澳门《个资法》第八章规定了个人资料的行政与司法保护。个人资料保护办公室可以对未履行义务、履行义务不作为或有瑕疵的履行以及其他的行政违法行为科处罚款。《个资法》也明确规定了未履行资料保护义务、不当查阅、个人资料的更改或毁坏、加重违令罪及违反保密义务等4种罪行。澳门《刑法典》分则第七章规定了“侵犯受保护之私人生活罪”。 澳门《打击电脑犯罪法》也规定了侵犯个人数据的几种犯罪行为。台湾《个资法》规定,对于个人资料侵害行为,资料当事人可以请求损害赔偿,名誉权受到侵害的还可以请求恢复名誉。对于因同一侵害行为而遭受损失的多数资料当事人,合计赔偿金额以新台币2亿元为限。如果所受损失超过新台币2亿元的,则以实际受损利益为限。对于意图营利或者损害第三人利益,侵害他人个人资料权利的行为,将被科处五年以下有期徒刑、拘役或处或并处新台币一百万元以下罚金。香港的个人资料保护则呈现出重管理而轻刑法保护的特点。香港《隐私条例》第Ⅸ部分罪行及补偿规定侵犯个人资料(私隐)犯罪行为应负的刑事责任及资料当事人可以向侵害其权利的使用人申索补偿。香港地区仅将在个人信息收集使用中未履行相关程序性及提供虚假信息的行为纳入刑法规制且刑罚多是6个月监禁或罚款,而未对泄露、窃取、买卖个人资料的行为设置相应刑罚。大陆侧重于对个人信息的刑法保护。《刑法修正案(七)》在刑法第二百五十三条后增加一条,作为第二百五十三条之一, 这是大陆首次专门规定个人信息保护的法律条款,主要规制的是国家机关或金融、电信、交通、教育、医疗等单位工作人员对个人信息安全的侵害行为。《刑法修正案(九)》对刑法第二百五十三条之一进行了修改, 进一步扩大了犯罪主体及犯罪对象的范围、加重了刑罚处罚。《解释》则对刑法第二百五十三条之一中的“个人信息”“违反国家规定”“情节严重”“情节特别严重”等进行了界定,使之更具操作性。
(二)个人信息流动安全管理跨境合作推进不一
香港、台湾地区在2005年正式签署《APEC隐私保护框架》(以下简称《框架》),积极开展与其他成员国家或地区在个人信息保护方面的合作交流。香港個人资料私隐专员公署、澳门个人资料保护办公室都已加入亚太区私隐机构、全球私隐执法机构等国际或地区间合作组织,积极与世界各地的个人资料保护机构建立密切联系,加强在打击跨境不法行为方面的合作。大陆虽然已加入《框架》,但对框架下制定项目的参与度却很低。目前,两岸四地个人信息保护的沟通交流也仅限于非官方形式,在个人信息保护专门机构等官方层面合作交流尚未提上日程。
为了促进个人数据的跨境流动,减少与境外贸易合作的阻碍,台湾地区积极制定个人资料保护的行业标准。目前,台湾地区应用比较广泛的标准化制度主要包括2种:一是以BS10012标准内容为基础框架、配合PDCA的管理运作方法建立的个人资料保护体系;二是台湾工业策进会协助建立的“台湾个人资料保护与管理制度(简称TPIPAS)” 。 港澳地区虽然没有制定标准,但也都积极通过制定实务指引方式推进个人资料(私隐)保护。香港主要是由个人资料隐私专员依照《私隐条例》第III部(实务守则)通过发布事务性指引。 澳门个人资料保护办公室鼓励、支持制定行业行为守则,2007年9月至今个人资料保护办公室完成登记的指引有12份。 大陆一些省市为了解决与境外企业的合作问题也发布了实施个人信息保护制度的标准规范。如辽宁省大连市出于引进日资软件服务业需要,率先在全国制定DB21/T1628《个人信息保护规范》、DB21/T1522《软件及信息服务业个人信息保护规范》。陕西软件行业协会、四川成都软件行业协会也相继出台类似的个人信息保护行业标准。
(三)两岸四地间侵犯个人信息犯罪刑事司法互助机制不顺畅
1.刑事管辖争议。受政策与制度差异的影响,两岸四地分属不同法域。不同法域对于同一事实可能有不同的法律评价,也可能存在共同管辖权,刑事管辖问题是阻碍两岸四地间合作打击跨境犯罪的重要问题。刑事管辖权涉及海峡两岸关系最敏感的底线,这在2009年大陆与台湾签署的《海峡两岸共同打击犯罪及司法互助协议》(下称《南京协议》)并未明确。香港与澳门已经签订《香港特别行政区与澳门特别行政区政府关于移交被判刑人的安排》。大陆与港澳地区刑事合作虽有《基本法》为基础,但尚未形成有效的互助协议。两岸四地的警务合作现阶段还是停留在间接联络或重大个案共同打击上,并未形成比较成熟的合作机制,这就可能造成相当一部分跨境犯罪分子无法被正常移送查处从而逃避刑事制裁。
2.司法制度上的差异。大陆警方承担着刑事侦查职责,台湾地区行使刑事侦查权的主体是检察官。根据台湾地区“刑事诉讼法”规定,警察、宪兵及其他“依法令关于特定事项,得行司法警察之职权者”均是“司法警察”,均可受检察官之命令侦查犯罪。可见,台湾警方只是承担着协助调查取证的职责,这就造成了台湾警方通过大陆警方取得证据的效力面对台湾地区刑事取证规则时遭到质疑甚至是不被承认。另外,两岸四地刑事实体法对于侵犯个人信息犯罪及其下游犯罪的罪名设置、犯罪构成、刑罚设置等方面都存在不同,在某一地区被评价为犯罪的侵犯个人信息行为在另一个地区被评价为无罪。比如,台湾地区刑法对电信诈骗适用的罪名为欺诈罪,其最高刑期仅为5年,属于轻罪范畴,而在大陆诈骗罪则可能面临无期徒刑,这为在大陆作案的台湾籍犯罪嫌疑人案发后逃往台湾躲避处罚提供了法律漏洞。
3.调查取证效率低下。《南京协议》也只规定了委托取证及联合侦查两种形式,却未明确规定具体操作流程及时限,使得现阶段两岸四地跨境合作过程中需要花费大量的人力、物力、财力用于沟通协调。这也是两岸四地跨境警务合作调查取证中普遍存在的问题。法律渊源差异导致的两岸四地证据规则的不同给跨境合作带来一定障碍。港澳台地区的“刑事诉讼法”都规定证人有拒绝作证的权利,而大陆《刑事诉讼法》规定除特定情形下证人负有作证的义务。证人证言已经成为大陆警方侦破案件的重要证据形式,一条对于大陆警方来说可能是案件侦办突破口的港澳台地区居民的证人证言,很有可能会因为其拒绝作证而被终断。
三、完善两岸四地个人信息跨境流动安全保护合作的路径探索
全球范围内最具代表性的个人信息跨境流动规制模式主要有“以地理区域为基准”和“以组织机构为基准” 两种。两岸四地为个人信息跨境流动设置了不同的标准与限制。香港《私隐条例》第33条规定个人资料私隐专员可以就其有合理理由相信在香港以外某个具有与本条例大体上相似或达到本条例相同目的的法律正在生效的国家(地区)发布公告,指定个人数据可以跨境流动的国家(地区)。值得关注的是,这一条款延缓实施。澳门《个资法》第33条规定个人数据可以转移到澳门地区以外能够提供适当保护程度的国家(地区),由公共当局决定某一法律体系是否能够提供适当的保护。台湾《个资法》第21条规定个人资料不得转移到尚无完善个人信息保护法律的国家(地区)。可见,港澳台地区对于个人数据跨境流动采用的是“以地理区域为基准”的规制路径。大陆《网络安全法》中规定了关键信息基础设施的运营者因业务需要确需将个人信息向境外提供的则需要通过相应的安全评估。
(一)完善个人信息保护法律制度
1.将个人信息保护建立在人格权基础上,扩大个人信息保护范围。人格权型与隐私权型个人信息保护制度对比,其保护的个人信息范围更加宽广,而且定义方式简单明了,更易操作。美国学者阿丽塔·L.艾伦、理查德·C.托克音顿也在《美国隐私法——学说、判例与立法》中指出,当个人信息积累到一定程度,就能形成与实际人格相对应“数据人格”或“信息人格”,从而使个人信息具有了人格权上的意义,从人格权保护来解读个人信息保护也就更具现实意义。大数据技术已经能够实现从不涉及公民隐私的碎片化信息中挖掘出“隐私”的条件,因此笔者建议香港、澳门地区不断拓展个人资料保护的范围,将公民个人隐私以外的碎片化信息纳入个人资料保护范围。
2.夯实跨境合作法律基础。大陆应该借鉴港澳台地区统一立法模式,加快出台个人信息保护法的步伐,以协调统一现行法律规范中关于个人信息保护的法律条款中存在的矛盾与冲突,为个人信息安全提供“充分的”保护。考虑到大陆网络经济起步晚但发展迅速的现实性,这部个人信息保护法的条款不宜过于细化与严苛,应该将行政部门、企事业单位、个人统一纳入规制范围,确定信息处理的基本原则,为专门保护机构的成立提供法律依据,拓宽民事、行政及刑事等救济渠道。大数据时代个人信息保护不是某一个政府部门可以完成的,需要多个法律部门协作,两岸四地的民事、行政、刑事等法律部门要根据制定的统一个人信息保护法进一步细化各自领域的法律保护措施。香港地区应该通过立法将窃取、泄露等严重侵犯个人资料的行为纳入刑法保护范围,为个人资料安全提供全方位的保护。信息泄露等个人信息侵害事件往往涉及受害者众多,单从个别受害者角度来看其受到的损害一般较小。台湾地区为鼓励民间团体参与个人资料保护引入了协助救济的团体诉讼制度。财团法人或公益团体法人可以在接受被害当事人20人以上授权后,以自己的名义提起诉讼。建议香港、澳门及大陆借鉴台湾地区经验在个人信息保护中引入公益诉讼制度。
3.建立专门保护机构。港澳地区专门保护机构在个人资料保护、对外交流、跨境合作等方面发挥着重要的作用。台湾地区与大陆的个人信息保护职责由多个政府部门分别承担,不仅会造成部门职能重叠出现推诿扯皮等弊端,也会给个人信息遭到侵犯的公民寻求救济制造不必要的麻烦。建议台湾地区、大陆成立专门保护机构专司个人信息安全管理、防范及对外合作。比如,在大陆现行的行政体系中,工信部负责大陆信息安全保护的协调工作,建议在工信部成立“个人信息安全保护工作委员会”(以下简称中央“信安委”),依据个人信息保护法统筹大陆个人信息安全管理、监督、指导及协调工作。同时在省、市、县“经信委”下设“信安委”,具体负责地方个人信息安全保护工作,包括接受公民关于个人信息侵害的投诉,开展案件调查、取证并作出权限以内的行政处罚。积极与大陆警方构建顺畅的行刑衔接机制,对于触犯《治安管理处罚法》可能被给予行政拘留及《刑法》可能被判处刑罚的案件,要及时移送大陆警方开展查处。
(二)加强两岸四地间个人信息流动安全防范管理合作
1.理顺个人信息跨境流动监管合作机制。大陆在完善自身个人信息保护立法及制度建设的同时,应该积极参与《框架》下的具体项目,积极参与“全球私隐执法网络”及“亚太区私隐机构组织”,积极参与推动信息安全保护国际及地区标准的制定,为个人信息在跨境流动中的安全提供有力保障。由大陆地区牵头推动两岸四地政府机构、行业协会加强在个人信息管理、保护等方面的交流合作,成立专门合作机构监管个人信息跨境流动,就跨境流动信息类型、转出方和转入方需要遵循的程序和标准、需要采取的保护措施等达成共识,有效解决两岸四地信息跨境流动出现的矛盾纠纷,促进数据跨境流动的良性循环。
2.积极研制行业标准规范,打造地区间交流合作“名片”。台湾地区不仅建立了个人资料保护的BS10012地区标准,还建立了TPIPAS認证制度。建议香港、澳门及大陆尽快研究制定以PDCA 为基础过程的个人信息管理体系地区标准,进一步细化个人信息保护流程与职责分工,指导企业建立完善个人信息保护制度。同时,建立境内企业个人信息保护认证标识制度,帮助企业建立标准作业流程,降低个人信息泄露的风险,避免由此带来的不必要纠纷影响地区企业的声誉,打造地区对外交流“名片”。
3.举办个人信息安全保护宣传活动。以个人信息专门保护机构为依托,积极推动两岸四地之间定期开展“个人信息保护宣传月(周)”活动,举行一系列学术研讨、企业交流学习、个人信息安全宣传等活动,建立“个人信息保护宣传月(周)”网站,通过微博、微信等新兴媒体发布个人信息保护知识,不断提高两岸四地企业、公民的个人信息安全保护意识与能力。
(三)完善两岸四地个人信息犯罪打击司法互助机制
两岸四地警方要在港澳地区基本法、《香港特别行政区与澳门特别行政区政府关于移交被判刑人的安排》及大陆与台湾地区签订的《金门协议》《南京协议》等刑事互助协议的基础上,已经形成了一定的成功经验。以大陆与台湾个人信息犯罪下游犯罪跨境电信诈骗打击为例。自2009年签署《南京协议》至2013年的5年间,合作侦破47起电信诈骗案件、逮捕犯罪嫌疑人5353人,使得台湾地区的电信及网络诈骗案件由2009年签署《南京协议》时的38802起下降至2010年的28494起、2011年的23612起、2012年的20421起及2013年的17744起,案件数量在五年间下降54.3%。 针对两岸四地刑事司法互助中存在的问题,可通过进一步的深化合作予以化解。
1.建立刑事司法互助合作机构。尝试构建两岸四地刑事司法互助轮值主席制度,在司法部门下设警务协作办公室及联络员负责负责警务合作的对外联系工作,统一接受其他地区移交的跨境犯罪案件,并将案件分流到地区内的刑事主管部门开展警务合作,理顺两岸四地跨境合作的流程。另外,由两岸四地警务协作办公室轮流担任警务合作轮值主席单位,负责任期内的两岸四地警务合作的统筹协调工作。推动两岸四地司法高层每年召开司法互助推进会,协商解决合作中出现的协助取证、证据转化等障碍与问题,推动刑事司法互助合作协议的签署,明确犯罪认定、证据规则、案件移送等具体时限与流程。
2.解决法律争议问题。刑事实体法的差异很可能造成两岸四地对于同一犯罪行为的评价可能出现显著不同,在两岸四地间出现刑事犯罪打击的“洼地”。计算机与大数据技术也为犯罪分子利用这种差异选择犯罪成本小、处罚轻地区实施跨境侵犯个人信息犯罪行为提供了便利。比如,针对香港地区个人信息犯罪打击范围明显过窄、台湾地区对于电信诈骗犯罪明显过轻等问题,建议香港、台湾地区进一步尽快更新完善刑事实体法规范,堵塞法律漏洞,实现法律公平正义。在刑事司法合作过程中要化异存同,不断消除因司法制度差异性给法律的公平性带来的减损。两岸四地要进一步细化相互代为询问证人,委托搜查、扣押,移交物证、书证及文书送达等具体事项。探讨打破两岸四地取证主体的局限,建立在对方司法主体协助一方侦查人员跨境取证制度,并做好同步录音录像。借鉴大陆与西班牙签订的《中华人民共和国和西班牙王国关于刑事司法协助的条约》中双方可根据具体情况约定通过视频会议获取证词的经验,在两岸四地间建立侦查主体间的视频取证工作机制,不断提高跨境取证效率。个人信息犯罪跨境打击涉及到大量电子证据的收集、固定工作,作为一种新型证据形式,在收集、采信过程中仍存在一定争议问题,要重视电子证据的代为取证及互认问题。
3.建立情报共享平台。对两岸四地间互涉的犯罪人员信息、犯罪行为、案件移交、处罚结果等建立专门信息库,将个人信息犯罪及其下游电信诈骗等犯罪信息纳入共享范围,藉此研究总结特定跨境犯罪特点与规律。针对跨境个人信息犯罪可能导致个人信息在短时间可能出现大面积泄露的严重后果,建议两岸四地建立能够快速反应的应急机制,及时采取相应技术手段予以控制,消除不良影响。
