個人信息權刑事保護革新與優化

文立彬

(廣西民族大學 民族學與社會學院，廣西 南寧 530006)

十九大報告提出“保護人民人身權、財產權、人格權”，這與保護個人信息權的價值取向相一致，并凸顯了個人信息立法保護問題在大數據時代下的重要意義。自我國2009年首次設立個人信息類犯罪至今，《刑法》在預防和懲處個人信息犯罪領域起到了不可替代的作用。隨著信息化社會的逐步深入，以大數據技術、人工智能為代表的科技發展對個人信息的保護和利用提出了更高的要求。以大數據產業為例，我國大數據市場規模已從2014年的1 038億上升至2016年的2 485億，上升幅度達到139.4%，隨著各項政策的配套落實及推進，預計我國大數據市場規模在2020年將達到13 626億元的高點*數據來源于中國信息通訊研究院發布的《大數據白皮書(2016)》。。從我國個人信息犯罪案件來考察，該類犯罪從2013年的76件上升至2016年的437件，增幅高達475%*數據來源于中國裁判文書網，本文談及的“個人信息犯罪”是指與個人信息有關的犯罪，主要包括侵害公民個人信息罪、拒不履行信息網絡安全管理義務罪，為行文方便概稱為“個人信息犯罪”。，這說明我國侵害公民個人信息的現象正處于高發態勢，立法保護與司法救濟尚有較大的完善空間，如何在個人信息的利用和保護之間找出契合時代發展的路徑，是具有理論價值和現實意義的重要研究課題。

一、問題的提出

大數據技術的廣泛運用昭示著信息化社會進程的加速，大數據通過對個人信息的搜集、整理和分析等方式深入挖掘零散個人信息中的經濟價值，除了基礎的身份信息外，還有諸如行動軌跡、購物習慣、收入來源、家庭結構等重要信息。從政府視角考察，如何在引導科技發展和保障民眾信息安全兩者之間找到一條協調路徑，成為了目前亟待解決的問題。對于科技發展背景下產生的風險問題，德國學者烏爾里?！へ惪嗽谄鋵Ｖ讹L險社會——通往另一個現代的路上》中提出了風險社會理論。該理論認為現在的社會是一個風險社會，相較于傳統社會而言，風險社會中的危險具有科技性、人為性、潛伏性、危害性和國際性等主要特征，過度發展的工業科技將人類社會帶入了一個布滿風險的困境之中[1]15。因此，國家有必要在宏觀層面把控風險和保障安全，在微觀層面規范行為和落實責任。就個人信息保護的現實問題而言，我國個人信息立法以隱私權為法理基礎，立足于對個人信息侵犯行為的消極防御，側重于保護民眾因個人信息受損而產生的精神損害，這導致了個人信息保護的范圍較為狹窄、保護的階段較為滯后以及保護的效果不理想等問題。對此，基于個人信息權的信息保護立法體系構建逐步被學者們提上議程，如王利明教授認為個人信息權的設置與明確將有利于為個人信息權保護提供法律依據，并促成多項法律責任之間的互補[2]。個人信息權兼顧個人信息的人身價值和財產價值，基于公民對個人信息享有的控制權，在立法上表現為對侵害行為的積極防御和制裁措施的多元化。在此背景下，我國2017年新修訂的《民法總則》增設了“個人信息權”的規定，首次將個人信息權納入國家立法層面。 隨著《網絡安全法》的出臺，個人信息的使用、搜集和管理進一步得到明確。但個人信息權目前在立法層面仍處于初級階段，個人信息保護的民事、行政和刑事立法仍有待擴充內容、完善措施和落實責任。我國個人信息保護立法以刑法先于民法規制個人信息侵害行為為特點，一方面體現了我國個人信息犯罪的頻發性和嚴重性，另一方面說明了個人信息保護的重要性和急迫性。在大數據背景下，如何構建以個人信息權為基礎的信息保護刑事立法體系，如何適時轉變個人信息保護的價值取向和立法策略，如何優化個人信息犯罪規制的適用規范和制裁措施，最終實現科技發展與信息安全的雙贏，無疑成了當今刑事立法亟待解決的理論問題和實務難題。

二、以隱私權為核心的個人信息保護刑事立法審慎反思

(一)以隱私權為核心的個人信息保護刑事立法脈絡解析

從整體上看，隱私權和個人信息權的相似之處在于二者均屬于人格權，權利主體均限于自然人且均體現了個人對私人生活的自主決定。但二者在權利屬性、權利客體和權利內容方面具有明顯區別，上升至刑法立法層面亦形成了不同的犯罪構成和規制措施。

首先，隱私權與個人信息權均屬于人格權，但隱私權側重于保護精神性的人格權，在刑事立法上表現為以公民的精神性損害為要素的刑事非難基礎。在大數據背景下，個人信息具有的人身屬性和財產屬性被深度挖掘，僅注重人身價值保護而忽視財產利益保障的立法，一方面將導致刑法介入的滯后，無法在個人信息侵害源頭遏制嚴重危害后果的發生；另一方面將導致刑法規制措施的單一化，造成犯罪成本與犯罪收益之間的失衡。在個人信息的利用和安全方面，法律應當采取一定的方式，以平衡市場經濟與人格尊重之間的關系[3]。在個人信息保護立法的完善過程中，刑法應注重對犯罪者故意違背法律忠誠的主觀態度的考察，在個人信息犯罪高發且嚴重的環境下，適當降低以實際危害后果為標準的入罪門檻，實現刑法介入的早期化。

其次，隱私權的客體是私密性信息或私人生活，個人信息權的客體是可識別個人身份的信息且與國家安全聯系密切。反映至刑事立法上，一方面隱私權保護的范圍相對狹窄，無法為個人信息保護提供周延保護，亦不能體現出個人信息保護的政府責任。另一方面隱私權保護模式難以準確計算反復非法利用個人信息的經濟損失，亦無法充分實現刑法的行為指引作用。

再者，隱私權注重對私人生活、個人秘密的自主決定，而個人信息權側重對個人信息的支配。這在刑事追訴程序上反映出了截然不同的策略，即國家對于嚴重侵犯個人隱私的行為應當主動作為犯罪追訴，而在個人信息權模式下，基于公民對個人信息的支配權，國家則賦予公民一定的刑事追訴選擇權。在保護方式的選擇上，隱私權的保護推崇法律保護，導致規制措施單一，而個人信息權保護的方式趨向多元化，力求多維度把控個人信息風險。

(二)隱私權模式下的信息保護刑事立法局限分析

刑法采取隱私權模式保護個人信息安全雖有一定的正面效應，但負面效應仍不可忽視，具體如下：

其一，隱私權模式下個人信息犯罪章節歸屬有待調整。我國以侵犯公民個人信息罪為追究個人信息犯罪人刑事責任的主要刑法依據，該罪名規定于《刑法》“侵犯公民人身權利、民主權利”一章之中，具體位置在第253條“私自開拆、隱匿、毀棄郵件、電報罪”的后面，這表明侵犯公民個人信息罪的保護法益是公民的隱私權。然而，隨著風險社會程度化的逐步加深，以法律手段保護“公民個人信息”的要求逐漸增加，同時“公民個人信息”的概念亦逐步延伸，一方面涵蓋公民的身份信息，另一方面包含涉及公民人身安全和財產安全的個人信息。就此，若僅將法益限定于隱私權的范疇，則個人信息刑法保護難以適應大數據背景下的時代發展。因此，現行“侵犯公民個人信息罪”存在著章節歸屬不恰當的問題，并且該罪名的設置亦與逐步擴張的“公民個人信息”概念之間存在差距。

其二，隱私權模式過于依賴入刑治罪，缺乏多元化和綜合化治理視角。隱私權模式下個人信息立法著眼于事后救濟和消極預防，對個人信息犯罪者適用懲罰性的制裁措施，以防再犯。然而在現實生活中，大量存在著公民積極使用自身信息參與各種活動的情形，尤其在大數據背景下，對于個人信息保護而言，并非一味強調安全、懲罰犯罪，而應通過不斷挖掘個人信息的潛在價值，促進個人信息的合理使用。換言之，大數據時代下的個人信息立法應兼具保護和利用。以法律責任層次化、矯正措施社會化、預防方式個性化等綜合方式實現個人信息的積極保護。在管控風險的情境下提升個人信息利用價值是個人信息權模式的必然發展途徑，而從利用的角度解讀個人信息是隱私權模式難以逾越的立法障礙。

其三，隱私權模式側重追究實害犯罪，缺乏對單純行為危害性的懲處。目前個人信息刑事立法以結果犯為非難的基礎，然而在個人信息犯罪案件中，犯罪人往往在信息源頭進行非法獲取，在積累一定數量后才實施進一步的犯罪行為。對此，有必要通過設置個人信息危險犯的方式延伸刑法的規制范疇，從信息源頭把控信息安全。同時，我國個人信息保護立法采取刑法先于民法的方式，雖然刑法的威懾力在一定范圍內能發揮積極作用，但從長遠看，通過刑事制裁帶動民事、行政治理的方式產生的效果并不明顯，因此個人信息立法保護的策略仍有待完善。

(三)以個人信息權為基礎的信息保護刑事立法論證

第一，個人信息權屬于集人格利益與財產利益于一體的綜合性權利，屬于新型權利，符合現代社會發展的趨勢與需求?？疾臁肮駛€人信息”的法律概念，不難發現該概念已經超出了隱私的范圍，亦突破了可識別性的定義，實際的保護范圍包括可識別性信息和可能影響人身、財產安全的個人信息。就“公民個人信息”的權利屬性而言，公民個人信息首先具有人格權的性質，注重對公民人格尊嚴的保護，其次擁有財產權的屬性。從整體來看，公民個人信息權作為一項有別于隱私權的新型權利，一方面包括積極使用并許可他人使用的權利，另一方面包括消極防御他人侵害的權利，兼具人格權和財產權[4]。個人信息和個人人格尊敬和人格完善具有密切聯系。個人信息是個人參加社會活動的載體，是個人人格的延伸和發展的關鍵。個人在參與社會交往中必然產生諸多的個人信息。因此，信息主體對個人信息流轉范圍和流轉方式的掌握與個人人格的發展密切相關。并且，個人信息具有重要的商業價值，能夠為信息主體帶來一定的收益。個人信息人格權注重消極防御他人的非法侵害，個人信息財產權則側重信息的積極使用以及許可他人使用。

第二，個人信息權強調個人對自身信息的控制，屬于主動性的權利，在刑事立法上體現為刑法前置化和積極預防的實現，契合風險社會下的安全價值訴求。從個人信息權的權利內涵來看，個人信息權是個人以其自身信息為權利客體，個人對自身信息享有控制權。在大數據時代，個人信息的價值逐漸凸顯，人們對于信息的依賴與對信息的挖掘利用使得信息成為了一種重要的資源。值得注意的是，盡管個人信息具有巨大的商業價值，但個人信息仍明顯區別于土地、房產等商品，個人信息附屬于一個人的人格且是人格的有機組成部分。強調個人對其自身信息的控制權，實質在于實現個人信息的積極使用和消極防御。就個人信息的積極使用而言，保護兼顧利用。在市場經濟環境下，個人的財產狀況、信用狀況、還貸能力等都是銀行決定是否批準房貸的關鍵要素；在公共管理中，犯罪記錄檔案的設立與查詢、天眼監控系統的廣泛使用等都會不同程度地利用公民的個人信息，而這些事項又是現代社會管理中不可缺少的措施。就消極防御而言，個人應享有決定是否起訴犯罪人以及以何種方式恢復自己被侵害的個人信息利益的權利。個人信息權的確立，在刑事立法上首先體現了刑罰前置化，即通過法律擬制的方式將某類危害個人信息的行為規定為犯罪，核心在于設置危險犯，以避免危害后果的實際發生。其次，個人信息權的確立亦影響刑法積極預防作用的發揮。為了有效防范個人信息犯罪者和虞犯者，不僅應當提升犯罪人的犯罪成本，并且還應注重犯罪人的人身危險性。以人身刑配以罰金的方式對犯罪人進行處罰，往往無法讓犯罪人真誠悔過，造成個人信息犯罪的再犯率居高不下。因此，可以采取恢復性司法理念下的社會矯正、圓桌會議等方式讓犯罪人深刻認識到自己行為的危害性，積極恢復被自己行為損害的法益，降低再犯率，實現犯罪人的社會歸復。

第三，個人信息權的設置和保護應呈現多樣性和綜合性，強調刑事立法與民事、行政立法形成信息保護的有機整體，滿足國家治理的現代化需求。個人信息權在民事法律中體現為權利義務以及法律責任的規定，在行政法規中表現為對侵害行為的性質處罰，在刑事法律中則以犯罪與刑罰對侵犯個人信息權的行為苛以責難，因此，對于個人信息權的保護應形成層次分明且程度遞進的法律體系。目前，個人信息保護側重于法律層面，或可歸結于隱私權立法模式的局限。在個人信息權模式下，法律形式僅作為個人信息保護的一個側面，另一側面在于道德規范的引導。道德規范的指引在于提升社會的整體意識水平，配以普法行動、宣傳活動、新聞報導等方式向民眾普及個人信息的重要性和保護意義。

三、個人信息權與信息保護刑事立法的構建與發展

(一)風險社會理論對個人信息刑事立法保護的影響與適用

風險社會理論以反思現代化為特征，即在審視現代社會風險要素的前提下，反思人類應對風險的措施所具有的危險，契合現代刑事政策學的理念[5]。風險社會理論強調安全、把控風險的價值取向與個人信息保護立法理念相適應。個人信息犯罪作為風險社會下產生的新型犯罪，相較于傳統犯罪而言，具有科技性、隱蔽性、潛伏性、危害性和跨域性等。因此，用風險社會理論對個人信息犯罪進行分析具有諸多益處。以大數據技術運用為代表的現代社會，人造風險已逐步取代自然風險成為了威脅人類生存的主要風險，進而如何管控風險和保障安全成為了現代社會發展的利益訴求。從刑法演進看，刑法介入提前化表明刑法不再恪守以結果為核心的追責方式，而是在堅持刑法謙抑性的基礎上提早干預行為，如將具有重大危害可能性的醉駕行為、環境污染行為、個人信息侵害行為納入犯罪。以安全價值為導向的立法理念，在宏觀上提倡對個人信息保護法律的頒行、政府監管部門協同機制的出臺以及企業自律規范的制定，實現法制完備、有法可依；在微觀上，設置層次分明、程度不同的法律責任承擔方式，如對于情節輕微的個人信息犯罪者，可使用短期自由刑、罰金刑和社區矯正，旨在盡快恢復受損的社會關系；對于情節嚴重的犯罪者，可在判處自由刑的同時科以罰金刑和資格刑，進而實現法的引導作用和預防作用。

風險社會理論對個人信息犯罪規制的影響亦體現于預防刑的注重。刑法上的預防分為特殊預防和一般預防，前者以再犯危險性為決定刑罰輕重的主要根據，后者以犯罪傾向性為適用刑罰的重要依據。提倡預防刑的學者認為，行為并非單純的人格體現，而是人格與環境在相互作用中產生的東西，因此應在與犯罪行為相互聯系的限度來考量人格[6]。在個人信息犯罪領域，行為人遭受刑罰非難的不僅包括危害后果還包括主觀惡意。主觀惡意體現出的是行為人對法律規范的明令違反，因此有必要重視還未造成實害結果但證實主觀惡意的行為。對此，以風險社會觀審視個人信息保護的刑法保護優化，體現為刑法介入早期化和責任主義功能化的提倡。具體而言，包括將預備行為、持有行為納入個人信息犯罪，在刑罰領域優化資格刑適用。為預防行為人的再犯可能性，風險社會理論揭示了一種可行的預防方式——資格刑。即通過限制或禁止自然人或單位從事特定行業或領域，從而降低其再犯罪的可能性。從我國司法實踐考察，個人信息犯罪者多具有特定的身份，如裝修從業人員、教育從業人員、快遞從業人員、電商從業人員等。若在從業資格上增加行為人的犯罪成本，將在一定程度上抑制個人信息犯罪率。

(二)風險社會視域下刑法規制個人信息犯罪的優化路徑

1.充分發揮多元立法模式的積極作用

在安全價值引導的個人信息保護立法策略層面，目前世界各國對于個人信息保護的立法模式大致可分為兩大模式，即分散立法模式和統一立法模式。分散立法模式以美國為代表，即在公領域采取分散立法模式，逐一在各個領域立法；在私領域，主張實行行業自律，通過行業組織的內部規范保護個人信息。統一立法模式以德國為代表，即通過制定一部完整的個人信息保護法律，進而規范公領域和私領域的個人信息收集、處理和利用等行為，并以資訊自決權和一般人格權作為權利基礎，對個人信息進行統一保護。就我國現狀而言，在查閱相關文獻的基礎上，建議采取以統一立法模式為主并佐以行業自律制度的折衷模式。目前，個人信息保護的國際立法趨勢表明，原來偏重行業自律模式已逐漸向統一立法模式加上行業自律模式的折衷模式轉變。在我國，隨著大數據戰略的深入實施，個人信息的批量處理和極速傳輸已成常態，信息化社會進程正邁向更深層次。個人信息保護統一立法模式的不足在于，政府的立法可能過分束縛個人信息的自由流通，不利于我國未來信息產業的健康發展。分散式立法模式的弊端表現為，一些公司不參與《安全港協議》[注]安全港協議(Safe Harbor)，是指2000年12月美國商業部與歐盟建議的協議，旨在調整美國企業出口和處理歐洲公民的個人數據。，無法從事個人信息業務，或雖參與《安全港協議》，但缺乏自我監管，在從事個人信息業務過程中發生侵害信息主體人格利益的事件。因此，以我國國情為基礎，我們建議采取統一立法模式為主且佐以行業自律的個人信息保護立法策略。理由在于：其一，如前所述，綜合各種保護模式的特點來保護個人信息將成為立法趨勢，中國可順應該趨勢；其二，我國的隱私權一般制度尚未完全確立，對個人信息的保護難以借助已有的法律制度；其三，我國應注重與域外立法規范接軌，盡量符合國際社會對個人信息保護的一般要求；其四，我國信息產業的行業力量仍待壯大，企業組織的控制力還有待加強，完全依賴行業自律難以實現個人信息的保護，因此依靠政府力量實現個人信息的安全與保障具有重要的現實意義。

2.加強個人信息源頭保護力度，增設侵犯公民個人信息系統罪

鑒于非法探聽、非法獲取、非法利用他人個人信息的行為是對他人個人信息權的嚴重侵害，因此在提升個人信息刑事保護程序之時，有必要將非法侵入個人信息系統的行為規定為犯罪。從犯罪階段來看，侵入公民個人信息系統罪是侵犯公民個人信息罪的預備狀態，侵入公民信息系統的行為在很大程度上將引發二次犯罪，如電話詐騙、網絡詐騙、入戶盜竊、入室搶劫等。有觀點指出，從源頭上完善個人信息犯罪規制的刑法規范才是應對頻發的電信詐騙、網絡詐騙的應然出路，如打擊個人信息犯罪的預備犯罪，增加對信息處理階段的立法規定，方能對完整的信息動態過程提供有效保護[7]。因此，建議增設侵入公民個人信息系統罪，其一有利于構建個人信息犯罪刑事規制體系，形成體系化規制、針對化打擊；其二有助于刑法在風險社會下積極發揮安全保障功能。

從構成要件分析，非法侵入個人信息系統罪的主體是一般主體，范圍涵蓋自然人和單位。該罪的保護客體是個人信息系統的安全，所謂個人信息系統是指儲存了大量且敏感的個人信息，還可能儲存了數量較大的虛擬財產的組合體系。此罪的主觀要件為故意，即行為人明知侵入公民信息系統的行為會危害個人信息權，仍然追求該種危害后果的發生。行為人在故意的主觀意識下，實施危害公民信息系統的行為亦體現了行為的規范違反性和主觀的反社會性。本罪的客觀要件包括兩個方面，一是以侵入方式進行犯罪，二是以個人信息系統為侵入對象。具體而言，“侵入”是指非法用戶利用技術手段或者其他手段突破或者繞過系統安全保護機制“訪問”公民個人信息系統的行為。通常情況下，出于維護信息系統安全的考慮，均已建立防火墻等安全保護機制。該機制可以鑒別訪問者是否具有訪問權限，對于不具有訪問權限的請求，系統會拒絕其訪問?！缎谭ā穼ⅰ扒秩搿毙袨闅w入犯罪，如第285條規定了非法侵入計算機信息系統罪。個人信息系統的范圍直接影響了罪與非罪、此罪與彼罪的分割界限，因此有必要進一步明確。從計算機犯罪的規定來看，刑法保護的系統信息或數據是計算機數據庫中保存的數據，包括數據庫的完整性、可靠性、系統靈活性等。公民信息系統的保護范圍目前宜采用以上的保護范圍。但值得注意的是，對于網頁瀏覽痕跡、下載記錄、關鍵字搜索等信息，首先它們不屬于儲存于信息系統的信息，其次這些信息可反映用戶的生活規律、消費習慣和經濟狀況，刑法是否應將這些數據作為個人信息的保護對象[8]。從立法的發展和保護的需求來看，將刑法保護的范圍延伸至上述信息是立法的必然趨勢，符合對大數據本質要求動態性和數據流系統的描述，但從目前的狀況來看，切實保護信息系統中的信息或數據更為關鍵。公民信息系統的關鍵在于儲存著敏感的、大量的個人信息。相較于現行立法對于計算機系統的保護，個人信息系統的保護側重于個人隱私和個人信息的安全[9]。具體而言，其一，公民信息系統不僅包括計算機系統、網絡設備、通信設備、自動化控制設備等，還涵蓋網絡云端的公民信息系統。其二，與計算機犯罪強調國家安全、國防安全不同，侵入公民個人信息系統罪設立的初衷在于保護個人信息安全，強調個人的合法權利不受非法侵犯，因此在刑罰量刑的設計上，建議采用短期自由刑結合財產刑，降低入罪門檻；在刑事追訴程序的啟動上，建議采取以自訴為主、公訴為輔的方式。其三，侵害公民個人信息系統罪的增設，將充分發揮法律的行為指引、行為評價作用，明確告知社會公眾公民的信息系統受法律保護，非法的侵入行為將導致嚴重的法律責任。

3.設置個人信息犯罪的危險犯

在刑事實證學派看來，危險指的是行為人的反社會性格或犯罪傾向，這種危險體現為行為人的再犯可能與初犯可能的統一。與之相對，國內外學者對危險一詞的探討主要集中于行為所指向的、對法益造成侵害的行為的危險。進而，危險概念可以由兩個面向展開，其一是主觀的，體現為行為人的危險，主要通過人身危險性理論進行闡明；其二是客觀的，體現為行為本身的危險，即行為人實施的行為在客觀上發生某種危害結果的可能性?？紤]到客觀主義在依法治國層面具有的重要地位，因此本文采用客觀危險的概念。刑法中的危險，從客觀面向出發，主要包括行為的危險和結果的危險，前者是指行為本身具有的侵害法益抽象可能性，后者是指行為所造成并與行為相分離的具有侵害法益蓋然性的事實狀態。

在個人信息犯罪領域設置危險犯，其價值主要體現于3個層面。首先，個人信息危險犯的設置能預防法益侵害結果的發生?，F代刑法將法益保護作為目的，所以刑法創設任何犯罪都不能脫離刑法的主旨。危險犯的設置恰是符合刑法的目的和主旨，才在實現刑法的安全保障及人權保護機能上獲得存在的空間和意義。其次，個人信息權法益的實害難以估算，采取行為構成要件的立法技術可降低司法認定困難。結果是相對于行為而言的，指的是行為發展所達到的最后狀態。有的結果，如人身損害、財產損失這類的物質性結果，是可測量的。但有的結果，如環境污染、名譽損害這類的非物質性結果，是難以測量的。為了保證刑罰適用的確定性與穩定性，刑法必須盡可能避免將評價中心集中于這些不可測量的非物質性結果上，而是以獨立的危險構成要件評價造成侵害結果的行為。再者，危險犯的設置或可避免處罰上的空隙?，F代刑法不僅處罰直接侵害法益的行為，還將刑法規制范圍延伸至威脅法益的行為。現實中，個人信息法益侵害行為千變萬化，立法者精心設計的法律條款難免出現滯后的情況，因此危險犯的設置具有理論支撐和現實意義。

詳言之，將非法持有大量他人信息的行為納入刑法規制具有經驗借鑒與重要意義。將“持有”行為納入個人信息犯罪的根據在于持有個人信息達到一定數量的行為本身具有法益侵害危險性。從形式看上，持有型犯罪屬于國家追究實質預備犯的刑事責任而采取的一種立法技術。在個人信息犯罪領域中的“持有”，可理解為行為人和他人個人信息之間具有事實上或法律上的支配關系。刑罰輕重的相互協調是根本性的，因為預防重罪要優先于預防輕罪，預防破壞社會秩序的犯罪應多于預防對社會危害較少的犯罪[10]。在個人信息犯罪案件中，不法分子搜集、儲存大量個人信息作為交易資源，在時機成熟后，轉為批量銷售、批量獲益。從個人層面看，自我個人信息長期處于無法控制的狀態，使得公民時刻處于被害的恐懼之中；從國家層面看，公民個人信息持續處于高風險狀態，亦有較大可能被傳輸至境外儲存，國家安全遭受威脅。因此，若不能在個人信息泄漏的源頭進行有效控制，則將導致無法挽回的嚴重后果。綜上，建議將“持有”行為納入個人信息保護刑事立法之中。

4.將侵害公民個人信息罪設置為自訴與公訴的結合模式

針對個人信息犯罪的法律特征，或可將該類犯罪設置為“告訴才處理” 的犯罪，以應對程度不同的個人信息犯罪行為[11]。從比較法視野看，關于個人信息犯罪的追訴程序的設置，英國、美國以公訴為主，大陸法系的德國、日本則規定為以自訴為主。詳言之，對于情節輕微的個人信息犯罪行為，適用自訴程序，即公權力機關是否追訴行為人的責任取決于當事人的刑事起訴行為。對于達到情節嚴重的個人信息犯罪行為，則規定為公訴案件，以國家強制力保障法律的落實和民眾信息安全。之所以將部分的個人信息犯罪設置為自訴，主要鑒于以下四方面因素：其一，基于公民對個人信息的控制權的延伸，公民有權在一定范圍決定以何種方式實現法益保護和損害懲處；其二，自訴案件的設置能緩解緊張的司法資源使用情況；其三，將個人信息犯罪設置為自訴案件有利于被害人獲取足以彌補損失的民事賠償，同時有利于降低刑事懲罰的適用范圍，為營造較好的回歸社會環境奠定基礎；其四，自訴案件的設置將促進多元法律制裁措施的制定和落實?？傊栽V為主、公訴為輔的追訴方式與我國現狀契合，并且能促進社會矛盾在較短時間內化解。

5.構建個人信息綜合保護體系且發揮政策引導及道德規范作用

在個人信息權模式下，法律保護系統構建應具有科學性和前瞻性?？茖W性要求立法者運用科學的手段、方法和技術進行立法，使最終的立法兼具科學與合理要素。前瞻性是指立法者立足現實并具有遠瞻視野,尤其在互聯網環境下，侵害個人信息行為層出不窮，新技術的廣泛運用亦提高了法律監管的難度。

就個人信息保護法律體系構建而言，首先應在憲法層面明確公民個人信息權利受法律保護，并規定國家在部門法律中明確個人信息權的保護方式和責任形式；其次在民事法律中規定個人信息權相關的概念、范圍與責任；再者在行政法律層面規定公權力的行使限度，防范公權力對個人信息權的侵害，并且規定侵害個人信息權的行政違法責任和行政救濟途徑；最后于刑法層面，將個人信息權規定為保護法益，明確個人信息保護的刑法范疇，并制定相應的刑罰措施。民事、行政和刑事層面的個人信息保護條款，應形成相互銜接、層次遞進的有機整體，為個人信息保護提供明確的行為規范和責任依據。

在個人信息保護的政策層面，應積極發揮社會政策的導向作用，實現社會秩序的長期穩定，滿足民眾對秩序和安全的需求。刑法學界認識到在預防犯罪方面起到關鍵作用的不是刑法而是刑事政策。在個人信息保護的刑事政策層面，刑法仍應作為法律的最后一道防線，并且刑法的適用也應建立于人權保障和弘揚法治的價值之上。以政策引導民眾正確對待個人信息，企業正確使用個人信息，在制裁個人信息侵害行為之時亦注意防范制裁措施本身的風險，切不可以犧牲社會及其成員權益、喪失人權保障來維護個人信息安全。

在個人信息保護的道德層面，應充分發揮道德的教育作用和規范作用。一方面持續培養民眾良好的道德意志和道德行為，樹立正確的個人信息使用觀念，提升對自身信息的保護和防范意識；另一方面促進單位、企業加強個人信息的自我管理和監督，逐步制定相應的個人信息保護規定和應對機制，防范內部人員的作案風險。

四、結語

個人信息權的確定和發展為信息刑事保護提供了一條新的路徑，將人身權、財產權作為法益保護對象納入刑事范疇，既擴充和完善了個人信息保護的概念與范圍，又深化和轉變了個人信息犯罪的策略與規制，在大數據時代下凸顯出重要的理論價值和現實意義。風險社會理論契合個人信息保護的價值取向和發展趨勢，在法律保護體系建構、罪名罪狀設置、制裁措施選擇等方面提供了諸多啟發。在審慎借鑒域外立法經驗和理性反思立法現狀的基礎上，建議以個人信息權為基礎構建個人信息刑法保護體系，優化個人信息犯罪的罪名設置，轉變個人信息犯罪的追訴啟動程序，以期在個人信息的保護和利用之間探索出一條可行的發展路徑。