論我國公民個人信息的刑法保護

劉國華，羅 欣，張力之

(哈爾濱商業大學 法學院, 哈爾濱 150028)

近年來，我國逐步加強對公民個人信息的保護力度，有關公民個人信息保護的法律制度及相應的司法解釋陸續出臺。然而，我國現行《中華人民共和國刑法》(以下簡稱《刑法》)及司法解釋對侵犯公民個人信息的法律規定還不夠完善，有關保護公民個人信息的法律規定也較為分散，使得公民依法維護自身合法權益、司法機關合法公正地裁決案件難以找到援引依據。同時，在刑事責任追究層面，我國對相關責任人進行刑事責任追究主要以公訴為主，由于案件從發生到提起公訴需要經過一定的程序與時間，從而給不少違法犯罪分子轉移犯罪證據、銷毀犯罪記錄預留了時間，這不僅加大了司法機關對此類犯罪的打擊難度，而且在一定程度上使公民維權的效率降低，也使得侵犯公民個人信息的違法犯罪越發猖獗。我國《刑法》雖然對侵犯公民個人信息罪作出規定，而且司法裁判在一定程度上震懾了此類犯罪，但現實社會中大量非法獲取、出售、提供公民個人信息的案件頻繁發生，對公民的人身及財產造成嚴重危害。因此，應當不斷完善我國公民個人信息刑法保護制度，加大刑法對侵犯公民個人信息犯罪的打擊力度。

一、公民個人信息刑法保護的必要性

在大數據背景下，信息代表著一種社會資源，尤其是在對效率要求極大化的現實中，一些利欲熏心的人為獲取更大的利益，對公民個人信息進行非法泄漏、不當使用及惡意篡改，嚴重危害了公民人身和財產的安全。隨著信息技術的高速發展和互聯網的廣泛普及，利用互聯網竊取和非法買賣公民個人信息的違法犯罪日益增多。“一些犯罪分子為追逐不法利益，利用互聯網大肆倒賣公民個人信息，已逐漸形成龐大‘地下產業’和黑色利益鏈。”(1)參見2013年《最高人民法院、最高人民檢察院、公安部關于依法懲處侵害公民個人信息犯罪活動的通知》。根據中國裁判文書網公布的侵犯公民個人信息類刑事案件顯示，2011年審判案件1件，2015年審判案件24件，2017年審判案件1595件，2019年審判案件3379件，案件呈現“井噴式”增長。(2)參見中國裁判文書網公布的2011—2019年侵犯公民個人信息案件判決書。通過對上述案件數據統計分析，可見目前侵犯公民個人信息犯罪主要有以下特點：其一，本罪涉案信息數量大、種類多，涉及的地域和范圍廣泛；其二，犯罪分子所掌握的公民個人信息具有一定精確性，并達到資源共享，嚴重影響公民的正常生活；其三，犯罪分子實施犯罪成本低廉且已形成標準化犯罪利益鏈條，社會危害性極大。在現實社會中，絕大多數人都接到過買賣房屋、推銷金融理財和保險產品等騷擾、詐騙電話，這充分反映了公民個人信息被泄露和侵犯的嚴重態勢。

針對侵犯公民個人信息違法犯罪高發多發的嚴峻形勢，應構建更加完備的法律制度，以適應打擊侵犯公民個人信息犯罪之需要。有學者認為，我國雖然已形成較為完備的制裁體系，即道德制裁、紀律制裁、民事制裁、行政制裁、刑事制裁，但無論是其中的哪種制裁方式，都無法切實有效地懲處犯罪分子。道德制裁作為一種軟性制裁，犯罪分子在權衡犯罪成本和侵犯公民個人信息所帶來的經濟利益時，僅依賴自我約束以及社會的評價，往往很少會考慮道德因素，此時的道德制裁的作用便十分微小[1]。紀律制裁的作用僅針對特定組織、時間范圍內才會發揮作用，在此之外不會發揮其作用，也具有一定的局限性。民事制裁主要通過經濟手段，即處以罰金，但在司法實踐中，侵犯公民個人信息的主體往往缺乏經濟基礎，最后也會因其經濟上的無力而無法承擔民事責任，最終導致民事制裁的效力降低。行政制裁主要調整行政關系領域的案件，其調整范圍也在一定程度上受到限制，同時法律所規定的行政制裁措施也具有一定的不確定性。因此，通過權衡公民個人信息的價值與道德、民事等制裁手段的作用效果，刑法對于侵犯公民個人信息罪的制裁將起到重要作用[2]。

近年來，我國不斷加大對侵犯公民個人信息違法犯罪的打擊力度，有效維護了人民群眾的人身及財產安全。如開展全國公安機關“凈網2019”專項行動，截至2019年10月31日，專項行動共偵破侵犯公民個人信息類案件2868起，抓獲犯罪嫌疑人7647名。(3)何春中：《“凈網2019”共偵破涉網案件4萬余起 抓獲嫌疑人6萬余名》，人民網，http://yuqing.people.com.cn/n1/2020/0410/c209043-31668486.html。通過《刑法》對公民個人信息加以保護，有利于充分發揮刑法懲罰犯罪的功能，對保護公民個人信息安全和合法權益、維護社會和諧穩定具有十分重要的現實意義。

二、公民個人信息刑法保護的立法現狀

1954年，第一屆全國人民代表大會第一次會議通過中國第一部《憲法》，之后開始起草《刑法》，自1954年至1979年先后修訂38次。1979年7月1日，第五屆全國人民代表大會第二次會議通過《刑法》，1980年1月1日起施行。1997年3月14日，第八屆全國人民代表大會第五次會議進行一次修訂。2009年2月28日，第十一屆全國人民代表大會常務委員會第七次會議通過并施行《刑法修正案(七)》。2011年2月25日，第十一屆全國人民代表大會常務委員會第十九次會議通過《刑法修正案(八)》，2011年5月1日起施行，這個修訂版本即為現行《刑法》。之后，《刑法修正案(九)》《刑法修正案(十)》《刑法修正案(十一)》陸續通過并施行。

《刑法修正案(七)》第7條規定：“在刑法第253條后增加一條，作為第253條之一：國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。”《刑法修正案(七)》將個人信息罪納入刑法保護法益，規定“出售或者提供公民個人信息罪”和“竊取或者其他方法非法獲取公民個人信息罪”，對于侵犯公民個人信息犯罪行為予以處罰，填補了我國個人信息刑法保護的空白。但《刑法修正案(七)》對侵犯公民個人信息犯罪主體做了限定，僅限于“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”，從而使公民個人信息刑法保護的范圍受到限制。2015年8月29日，第十二屆全國人民代表大會常務委員會第十六次會議通過《刑法修正案(九)》，2015年11月1日起施行。《刑法修正案(九)》將《刑法修正案(七)》中規定的兩項罪名合并為一項，即“侵犯公民個人信息罪”：將犯罪主體的范圍擴大至一般主體，即凡是達到法定刑事責任年齡的個人及任何單位均能以本罪追究刑事責任，擴大了對侵犯公民個人信息犯罪主體的打擊范圍；將“非法提供”中“非法”兩字刪除，對侵犯個人信息行為的范圍進行擴充，即只要“向他人出售或者提供公民個人信息”，情節嚴重的都要追究刑事責任，體現了對公民個人信息更大范圍的保護；增設“情節特別嚴重”的情形，即在“情節嚴重”基礎上增設“情節特別嚴重”的刑法處罰，增加從重處罰的規定，使法律規定更為嚴謹，彰顯了我國刑事立法在保護公民個人信息方面的一大進步。但《刑法修正案(九)》使用“情節嚴重”“情節特別嚴重”模糊用語，如果沒有司法解釋，在司法實踐中就難以把握“情節嚴重”或“情節特別嚴重”的程度。

可見，我國《刑法》對保護公民個人信息規定不足，且條文較為分散，實際操作性相對較低。同時，公民個人信息內涵和外延不夠明確，主觀罪過形式僅限于故意，對濫用型侵犯公民個人信息規制缺失，沒有對人工智能機器泄漏或非法盜取公民個人信息所造成公民人身、財產損失犯罪做定性表述和規定，這將導致司法實踐中不公正審判的出現，也難以滿足大數據時代打擊侵犯公民個人信息犯罪的各項要求，為此，應不斷完善公民個人信息刑法保護制度。

三、公民個人信息刑法保護存在的問題

(一)對公民個人信息的概念界定不明確

《刑法》規定“侵犯公民個人信息罪”侵犯對象為公民個人信息，但沒有在法律條文或司法解釋中對公民個人信息概念做出明確界定。2013年，《最高人民法院、最高人民檢察院、公安部關于懲處侵害公民個人信息犯罪活動的通知》將公民個人信息的定義擴展為公民個人的隱私以及能夠識別出公民個人身份的信息，公民個人信息的概念首次被法律賦予“可識別性”和“隱私性”兩個特征。(4)《最高人民法院、最高人民檢察院、公安部關于依法懲處侵害公民個人信息犯罪活動的通知》規定：“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料。”現階段，在我國尚未制定“個人信息法”的情況下，司法實踐中主要采取“識別說”的觀點，多以《網絡安全法》來界定公民個人信息，采取“廣義的可識別”與“能夠與其他信息結合識別”標準。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》堅持“可識別性”為公民個人信息認定標準的同時，又將其外延擴大到“可能影響到人身和財產安全的公民個人信息以及其他公民個人信息”[3]。

從上述有關“公民個人信息”的法律規范及司法解釋可以看出，公民個人信息的內涵和外延旨在“可識別性”和“隱私性”兩個方面，公民個人信息包括個人身份信息和隱私信息兩大類，身份信息要求具有識別性，而隱私信息不要求具有識別性。《刑法》將“可識別性”作為“侵犯公民個人信息罪”認定的依據，就意味著將具有“不具有識別性”的公民個人信息排除在外。《刑法》作為最嚴厲的法律，如果條文中出現無明確內涵和具體范圍的概念，且這個概念還是關乎罪與非罪、此罪與彼罪的重要概念，這將導致在司法實踐中出現適用的混亂和違反公平公正的判決。公民個人信息概念界定模糊，也勢必會給司法實踐帶來極大的困難與不確定性[4]。

(二)以轉移式侵害為核心的刑法規制邏輯存在缺陷

以制裁轉移型侵害為核心的公民個人信息刑法保護規制，在規制邏輯上基于傳統隱私權保護模式，規制思路較為狹窄。《網絡安全法》對公民個人信息界定包含公開的可識別的公民身份信息，但對侵犯公民個人信息犯罪仍然延續隱私權的保護思路，與隱私保護防范個人信息不當泄露和轉移為核心的邏輯相同。隱私權作為一種人格權，體現個人信息的私密性，公民個人信息不能被非法泄露轉移。隱私權以保護信息的可控性為主，更加強調其私密性，也必然要求對非法泄漏轉移私密性信息的行為進行規制。但隨著時代的發展，個人信息保護已逾越隱私權保護的范疇。一方面，網絡時代信息傳播的時效性使得信息更加容易被公開與共享，個人信息所有者和信息控制者早已分離，在一定領域公開的個人信息已經不具有私密性；另一方面，網絡時代信息應用的可行性和效益性極大增加，個人信息的應用與商業價值也愈加凸顯。這也使得個人信息自主權與隱私權的權能有很大不同。隱私權以強調信息的私密性為主，對私密性信息進行保護，以主體對其尚未公開的私密性信息所采取的領域內控制為核心，主要是防止個人信息在經過許可的情況下，被未經許可的無權限的主體不當轉移，造成私密性信息的泄漏，所以隱私權可以理解為一種消極權能，目的是防止信息被非法轉移公開，以私密性信息轉移的可控性為保護對象[5]。但個人信息因其具有公開和可交換使用的特性，導致其經常被信息所有者進行分享和轉讓，以獲取相關網絡使用權和服務，甚至授權信息控制者還可以二次或多次轉讓信息，因此，個人信息權自然具有分享轉讓使用的積極權能，這與隱私權防止信息被非法轉移公開的消極權能形成鮮明對比。

目前，“以合法方式”獲取的公民個人信息在合法范圍內，不構成侵犯公民個人信息罪，符合公民個人信息同意轉移的基本原則。例如，APP平臺對用戶完善個人信息后可領取優惠券的營銷策略，吸引了大量用戶。但用戶所填寫的詳盡的個人信息，也留下被濫用的隱患。當出現以“合法獲取，不當濫用”的情形，如何追究信息控制者泄露公民個人信息的責任，對刑法規制提出了更高的要求。

(三)犯罪主體范圍難以確定

侵犯公民個人信息的犯罪主體為一般主體，但隨著智能技術的高速發展，特別是人工智能技術的應用，侵犯公民個人信息犯罪更加隱蔽，犯罪主體范圍更加難以確定，也加劇了公民個人信息泄漏的風險。目前，人工智能所造成的損害主要有兩種情形：一種是犯罪人直接侵入智能系統對公民人身、財產造成損害，典型如黑客運用病毒等方式侵入互聯網干涉公民生活；另一種是犯罪人利用智能機器本身存在的風險漏洞實施犯罪所造成的損害，如“全國首例利用AI侵犯公民個人信息案”，(5)參見《紹興警方偵破全國首例利用AI侵犯公民個人信息案》，中國日報網，2017年9月27日。犯罪分子利用人工智能設備從數據庫盜取公民個人信息，繼而販賣或者實施電信網絡詐騙。因此，關于本罪的犯罪主體，在自然人作為本罪的基本犯，對于通過人工智能設備泄漏或非法盜取公民個人信息所造成的人身、財產損失的犯罪，如何定性其犯罪主體，是目前刑法有待完善的問題。

(四)主觀罪過形式單一

《刑法》規定侵犯公民個人信息犯罪為主觀故意，即明知會產生危害他人信息安全的結果，卻希望或者放任這種結果發生。目前，《刑法》未將過失犯罪納入規制范圍，究其原因在于，傳統背景下公民個人信息法益保護不及生命健康權或財產權等重大，使得對侵犯公民個人信息過失犯罪以“不予處罰”為原則。大數據時代，公民個人工作、學習和生活無不與大數據相聯，公民個人信息價值、重要程度日益提升，個人信息法益保護更為重要。近年來，頻發的公私機構主體技術或人員疏忽導致的泄露公民信息事件，不僅侵犯了公民的物質權益，也給公民造成了精神損害，充分體現了過失侵犯公民個人信息犯罪的高度蓋然性和社會危害性，應當被罪犯化。

四、完善公民個人信息刑法保護的建議

(一)合理界定公民個人信息概念

關于公民個人信息概念和范圍，《最高人民法院、最高人民檢察院、公安部關于懲處侵害公民個人信息犯罪活動的通知》規定“能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料”，將“可識別性”和“隱私性”作為公民個人信息核心要素，采取“概括+列舉+混合”的模式，列舉常見的類型。《網絡安全法》刪除公民個人信息所包涵的“隱私性”，對公民個人信息“可識別性”做了擴大解釋。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》突破上述關于公民個人信息的概念，將“財產狀況”型信息和“賬號秘密”型信息納入公民個人信息概念中，使公民個人信息概念更加完整。上述法律制度及政策規定，不僅擴大了公民個人信息概念的范圍，而且基本實現了對公民個人信息的全方位保護。

隨著時代的發展，可識別性與不可識別性、隱私性與非隱私性的界限變得越來越模糊，再以“可識別性”和“隱私性”為特征確定公民個人信息的內涵，勢必會在一定程度上限制其外延，也難以實現對公民個人信息的有效保護。隨著對公民個人信息認識不斷深化，一種涵蓋各種信息，并且兼具人格權與財產權的新型權利出現——個人信息權[6]。個人信息權的權利客體為公民個人信息，具有人格權和財產權兩個方面特征，包括積極的使用權利和消極的防御權利，以期實現對公民個人信息保護和利用的雙重作用。因此，采取“個人信息權”保護模式，有利于適應日益增多的公民個人信息類型，又能調和公民個人信息權“財產屬性”“人格屬性”“隱私屬性”，使其更能適應公民個人信息概念界定的現實需要。

(二)將公民個人信息使用自主納入刑法法益保護范圍

公民個人信息使用自主不僅應該包括對公民個人專屬信息的轉移自主，還應包括對轉移之后的信息的使用自主，實現對公民個人信息的全方位保護[7]。應將公民個人信息使用自主納入刑法法益保護范圍，明確濫用型侵犯公民個人信息行為入罪邊界，防止因邊界不清而不當擴張。

首先，將“違反國家有關規定”作為入罪前提。我國刑法規定構成侵犯公民個人信息罪的前提是“違反國家有關規定”，也可稱其為前置性條款。濫用公民個人信息的行為在入罪時也應以此為標準，將“違反國家有關規定”作為濫用型侵犯公民個人信息行為入罪的基本前提。《網絡安全法》等法律規范以公民個人信息自主為基本原則，即自主控制信息轉移和使用，遵守了這項法律法規，在某種意義上也就尊重了公民個人信息自主。而且《網絡安全法》第42條規定，經過處理無法識別身份且不能復原的信息，不視為公民個人信息，允許未經個人許可流轉使用，這也符合“可識別性”公民個人信息界定要求。也就是說，“不具識別性”的公民個人信息就不再屬于公民個人信息的范圍，即便未經信息主體同意也可以被合法地轉移使用，此時的未經許可使用，就不能作為濫用公民個人信息行為，受到刑法規制。因此，“違反國家有關規定”作為界定濫用公民個人信息的前提要素之一，在未來濫用公民個人信息行為入罪時，也應作為其前置性條款。

其次，明確濫用型侵犯公民個人信息的行為特征。根據《網絡安全法》第41條第1款規定判定非法使用公民個人信息兩種主要情形：(6)《網絡安全法》第41條第1款規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”一種是未經被收集者同意而使用其個人信息，另一種是經合法方式獲取后違反使用的目的和范圍。這兩種情形都屬于未經許可濫用型侵犯公民個人信息的行為，都構成對信息主體的信息使用自主權侵害，也體現了濫用型侵犯公民個人信息的行為特征。因此，應當在《刑法》中明確判定非法使用公民個人信息主要情形，以打擊濫用型侵犯公民個人信息犯罪行為。

最后，應將“情節嚴重”納入界定標準。“情節嚴重”是刑法常用的罪狀表述方式，為劃分犯罪和違法行為標準起到了重要作用。因此，可以通過“情節嚴重”對濫用型侵犯公民個人信息的行為進行甄別，確定犯罪嫌疑人罪與非罪。目前，《最高人民法院、最高人民檢查院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》從信息數量、違法所得、信息使用、主體身份和主觀惡性五個方面，列舉了侵犯公民個人信息罪“情節嚴重”的標準，這些標準也為濫用型侵犯公民個人信息入罪判定提供了參考。未來，濫用型侵犯公民個人信息罪判定，可以通過犯罪分子的行為特征，確定其行為的社會危害性，作為“情節嚴重”的認定標準，例如欺詐型濫用、隱瞞型濫用和與最初使用目的相違背的濫用，都體現出更為嚴重的社會危害性，可以將其解釋為“情節嚴重”的具體標準。

(三)完善本罪犯罪主體的范圍

完善侵犯公民個人信息犯罪主體范圍，應當對因為人工智能設備泄漏公民個人信息或者非法盜取公民個人信息造成公民人身、財產損失的犯罪行為，采取嚴格的責任制原則，重點規制人工智能背后的利益相關主體如制造人、使用人的責任。社會發展對人工智能技術的運用越來越廣泛，若不明確相關主體的責任，難以為公民個人信息提供可靠的保障，也使信息的流傳和使用產生巨大的風險。相反，明確相關主體的責任，可以促進責任主體不斷優化和完善技術，制定切實可行的風險防控措施，并及時對風險作出干預和控制，從而促進信息的安全流通。

(四)增設“過失侵犯公民個人信息罪”罪名

我國《刑法》規制中未列入“過失侵犯公民個人信息罪”，但在現實社會中大量過失侵犯公民個人信息犯罪依然存在，已造成嚴重的危害，因此，應當增設“過失侵犯公民個人信息罪”。根據刑法學基本理論，不作為的義務來源有四個：法律明文規定的積極作為義務、職業或者業務要求的作為義務、法律行為引起的積極作為義務和先行行為引起的積極義務。因此，對于負有法定責任或職業要求的特殊主體，要積極履行不泄露公民個人信息的不作為義務。對于特殊主體而言，在享有收集、保管和在信息所有者同意的范圍內合法使用公民個人信息權利的同時，應當加重義務上的要求。特別是在主觀方面應當增加“過失”，否則一旦特殊主體過失造成公民個人信息泄露，便不能在刑法層面予以懲治，也難以實現社會的公平公正。相反，若在本罪的主觀方面增加“過失”，可以提高特殊主體收集和使用公民個人信息的警惕，實現事前預防，并促進其更好地履行相應的不作為義務，這對保護公民個人信息安全十分有利。

結 語

隨著大數據時代的發展，我國越來越重視對公民個人信息的保護。《刑法》對公民個人信息的保護從特殊保護到一般保護，并通過立法和司法不斷賦予公民個人信息豐富的內涵和外延。《刑法》的嚴厲性，決定其在懲治侵犯公民個人信息罪所具有重要價值，決定其在規制侵犯公民個人信息罪所不可替代的地位。盡管公民個人信息的內涵不斷被豐富，保護范圍不斷擴大，但公民個人信息概念的界定仍處于模糊狀態，法益保護屬性得不到充分彰顯，無法有效地實現對侵犯公民個人信息違法犯罪的懲治，達不到對公民個人信息的全方位保護。因此，根據大數據時代發展的特點及司法實踐的要求，應通過立法或司法解釋的形式，不斷完善公民個人信息刑法保護制度，以實現對公民個人信息的有效保護。