“在公民个体不足以对信息风险进行客观和有效判断的情况下,国家有责任为公民提供信息安全这一公共产品。”[17]对个人信息的保护,除了需要健全个人信息权利体系为公民个人控制、支配、处分、反映自己信息的“行为痕迹”提供权利依据和救济途径,还需要从公法上强化人工智能企业的责任。
构筑有效的外部执法制度,是规范和管理人工智能企业利用个人信息秩序的保障。在行政执法层面,首先要采取统一立法和分散立法结合模式,在今后的个人信息保护基本法中规定使用个人信息的原则、禁止性行为清单、行政责任的类型和处罚范围,并规定授权制定条款,由不同的法规、部门规章作具体安排。其次,成立专门的信息监管部门以替代目前由公安部门监管的机构设置,强化其监管职责,转变治安管理的信息保护理念,突出信息的治理。再次,个人信息在用来标识、记录特定主体时,具有公共产品属性,不必然地为个人排他性支配,出于国家管理和公共利益需要,也存在合理使用个人信息的正当性。设立许可制度、备案制度、报告制度、公示制度等,要求对人工智能企业制定的信息授权协议审查许可,对合理利用信息的采事后备案制度,对涉及重大敏感信息的使用报告有关部门,定期公告个人信息使用情况。最后,在处罚上要引入按次数计算累犯加罚和按条数、结果严重程度引入加重处罚制度。(www.xing528.com)
在刑事责任层面,《中华人民共和国刑法修正案(七)》首次将涉及侵犯个人信息单独规定为一项罪名——非法获取公民个人信息罪。对能够掌握个人信息的特定单位工作人员,处罚其出售和非法提供个人信息的行为;对其他主体,则处罚窃取等非法获取行为。单位也能构成该罪。并且该罪名被置于“侵犯公民人身权利、民主权利罪”章节,体现了立法机关对个人信息权利纳入人身权利保护范畴的意识。到了《中华人民共和国刑法修正案(九)》出台时,非法获取公民个人信息罪被修改为侵犯公民个人信息罪,就违反规定出售和提供个人信息的行为,取消身份的限制,而对履行职责或者提供服务过程中出售和提供行为从重处罚。这种规定扩大了处罚的主体范围,并区分一般主体和具备特殊身份的责任,具有一定的前瞻性。但未对个人信息作界定,可能导致适用过程中入罪和出罪的标准不一,影响该条款的操作性;也未对个人信息的类型作区分,可能导致罪责刑不相适应,比如侵犯隐秘信息比侵犯一般信息的情节更严重;对侵犯行为的类型规定不足,比如服务者未经同意收集个人信息的行为没有相应处罚依据,宜采动态模式定义行为类型;条文中“违反国家有关规定”的概念含糊且容易导致适用范围过宽,违背罪刑法定原则,故应将“国家有关规定”明确为法律、行政法规;个人信息还具有商业性价值,也需要在侵犯财产权利犯罪中规定非法出售、窃取具有一定经济价值的个人信息犯罪等。除此之外,要探索行政责任和刑事责任的衔接机制、行政执法与刑事立案的衔接程序。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。