2021年10月,十三届全国人大常委会第三十一次会议对《中华人民共和国反电信网络诈骗法(草案)》(下称草案)进行了审议。在数字化时代,电信网络诈骗案件频发,已成为威胁人民群众切身利益与社会稳定发展的毒瘤。仅依靠治安管理处罚法、刑法、反洗钱法、个人信息保护法等法律并不足以实现综合治理、源头治理的需求。在这一背景下,反电信网络诈骗专门立法应运而生,其核心是通过通信治理、金融治理、互联网治理以及其他防范措施综合并举,实现对电信网络诈骗的全方位打击。草案扩充了通过减少犯罪发生机会促进预防效果的情境预防措施,并通过细化现有法律规定畅通了新型犯罪的行刑衔接机制,具有重要意义。对此,笔者认为,从个人信息保护角度斟酌,草案第24条关于个人信息保护的具体规范还可以精益求精。
草案中采用的“重要信息”本质上是对个人信息的新类别划分。草案第24条规定“履行个人信息保护职责的部门、单位对物流信息、购物信息、贷款信息、医疗信息等可能被电信网络诈骗利用的重要信息实施重点监管和保护”。这意味着个人信息中的“重要信息”将会成为预防、遏制和惩治电信网络诈骗活动中的监管与保护重心,其本质上是对个人信息类别按照反电信网络诈骗的需求进行了新的划分。目前,我国涉及个人信息分类的法律规范主要包括民法典、个人信息保护法以及“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)。前述规范分类的基准主要取决于规范保护目的。民法典将个人信息分为私密信息与非私密信息,区分目的是为了明确哪些信息可以受到隐私权保护。个人信息保护法将个人信息分为敏感信息与非敏感信息,区分目的是为了敦促信息处理者更好保护与人格尊严、人身财产联系密切的个人信息。《解释》以与人身、财产最为紧密的个人信息类型为中心向外扩张,按照入罪门槛将个人信息分为最敏感、一般敏感、普通信息(也有学者将其分为敏感个人信息、重要个人信息、一般个人信息),其目的是为了给侵犯公民个人信息罪的适用提供精确的定量标准。就草案规定的“重要信息”而言,其本质上是为了区分哪些信息更加容易促成电信网络诈骗的既遂。换言之,在草案中,设置“重要信息”主要出于预防犯罪的目的,按照是否有利于犯罪预防对个人信息进行新的分类。
采用“重要信息”概念不利于与其他涉及个人信息保护的法律法规衔接。电信网络诈骗活动泛滥的重要原因之一是个人信息保护弱化。在电信网络诈骗活动链条化、产业化、智能化的背景下,违法犯罪人员对个人信息的违法利用可以以“低成本”获得“高收益”。对此,草案第24条所列举的四种“重要信息”,都是与个人日常生活密切相关、更容易放大个人被骗可能性的个人信息。对此类信息进行重点监管和保护,的确可以更好防范个人信息被用于电信网络诈骗,这也正是情境预防的典型做法。但是,草案中“重要信息”这一提法无法从其他法规范中明确“重要信息”的具体范围,因此尚不足以为相关的情境预防措施提供精准指引。一方面,“重要信息”的类别范围与当下个人信息法律制度中的主流分类契合度不够。一般规范性文件中提到“重要信息”,均是将其作为综合信息而非单指个人信息。如国务院办公厅《关于促进和规范健康医疗大数据应用发展的指导意见》中提到“加强对涉及国家利益、公共安全、患者隐私、商业秘密等重要信息的保护”。另一方面,与之类似的重要数据也是指包含综合类别的数据,如数据安全法中的重要数据,实际上就是受侵害后对国家安全、公共利益或者个人、组织合法权益的危害程度较高的数据。只有尽可能在公法中统一不同法律规范对个人信息的分类与相关称谓,才能更好地统筹个人信息保护资源。因此,笔者认为,草案在个人信息保护的专门规范中还须完善“重要信息”的具体内涵。
建议草案采用“敏感个人信息”替代“重要信息”。从信息的特性上看,草案中列举的个人信息实际上可以划分到个人信息保护法中的“敏感个人信息”与《解释》中的前两类较为重要的个人信息中。这些信息都与人身、财产关联较大,且是个人信息中最值得保护也是最容易被违法犯罪活动所利用的信息。更进一步说,草案中的“重要信息”乃至《解释》中的前两类个人信息都可以被个人信息保护法中的“敏感个人信息”所概括。将“重要信息”替换为“敏感个人信息”具有如下优点:第一,不能否定利用与人格尊严密切相关的“敏感个人信息”实施诈骗所带来的同等的负面影响。如违法犯罪人员结合犯罪记录、宗教信仰等个人信息进行诈骗,其可能也同样容易得逞,采用“敏感个人信息”的说法自然就促成了对此类具有同样重要性之信息的重点监管和保护。第二,草案第24条列举的信息过度集中在日常生活领域,而采用“敏感个人信息”概念,可以更加自然地将重点监管和保护对象扩展到教育信息、就业信息等诈骗人员偏好的“敏感个人信息”领域,以更好切断犯罪链条。此外,各法律规范对个人信息分类基准不同,不仅因为规范保护目的不同,也受规范制定时间因素的影响。如《解释》于2017年制定,而个人信息保护法于2021年方才问世。因此对个人信息的分类基准不同也无可厚非。不过,个人信息保护法在个人信息保护中具有基石性定位,我们有理由相信未来公法主流的分类标准将向敏感信息与非敏感信息靠拢。在这样一种背景下,草案也应当利用自身规定促成个人信息保护领域法秩序的统一。
笔者认为,为了对可能被电信网络诈骗利用的“敏感个人信息”保护更加周延,以及促进法秩序的统一,建议将草案第24条中的“重要信息”修改为“敏感个人信息”,并在本条中列举与人格尊严相关的“敏感个人信息”,为履行个人信息保护职责的部门、单位提供更好的指引。(马天一)