公民個人信息的刑法保護

黃霞暉

摘要：大數據時代是信息時代的高度進步，我國當前對個人信息的保護并未形成有層次的法律體系，其中存在過度依賴刑法與前置法律缺失的問題。若想對公民個人信息形成全面有效的保護，就必然需要明確刑法對個人信息的保護邊界與適用問題，并與其它有關法律形成對接關系。本文從大數據時代個人信息安全面臨的疑惑和挑戰入手，分析現行刑法規制下個人信息安全的保護漏洞，并提出相應的對策和建議。

關鍵詞：大數據;個人信息;刑法;法律體系

在全球化和信息化高速發展的背景條件下，大數據可以說是一個國家基礎性的、重要的戰略資源，大數據是維護國家數據主權、信息網絡安全的重要工具。因此，在數據流動、交易過程中如何協調安全與發展的關系、協調國家大數據發展的客觀需要與個人信息保護現實要求之間的沖突，如何更加有效地保護公民個人的信息安全，避免個人信息擴散失控，已成為個人信息刑法保護的邊界確定需要解決的問題。以此為背景，《刑法修正案（九）》再次修改和完善了侵犯公民個人信息犯罪的相關規定，將情節嚴重的違反國家有關規定向他人提供或者出售公民個人信息的行為作入罪處理，相應地，罪名也被修改為侵犯公民個人信息罪。在此，“違反國家有關規定”是成立犯罪的前置性條件，對其性質和地位的正確把握，是確定刑法保護公民個人信息的邊界的重要依據。

一、大數據時代公民個人信息面臨的困境

（一）大數據時代公民個人信息失序

大數據時代，是一個擁有數據信息便可獲取能量的時代，但個人信息的保護也遇到了前所未有的挑戰。百度讓我們寸步不行就能得到問題的答案，同時也記錄著我們的搜索習慣、微博讓我們與世界分享，但同時也可能造成照片、地址等信息的泄露等許多在線平臺都存在此類問題。而隨著媒體的快速發展，公民的個人信息被毫不留情地暴露在不安定的狀態中，成為毫無隱私可言的透明物體。更為關鍵的原因在于侵犯個人信息往往是作為其他犯罪的上游犯罪，為電信詐騙、敲詐勒索等犯罪提供了溫床，并且呈現交叉態勢。在個人信息無法得到有效保護的情況下，公民內心則必然充斥著不安與惶恐。

（二）大數據時代對公民個人信息安全的影響

隨著社會經濟的發展，個人信息的商業價值日益顯現，不僅政府和部門決策因公務或者研究等合法需求有采集公民的個人信息的必要，其他各行各業的工作中也無不涉及到個人信息的抓取與利用。在市場經濟占據主導地位的當下，個人信息往往蘊含了一定的價值，誰掌握了信息，誰就占領了商機。利益驅動下容易滋生貪婪和欲望，特別又當信息的收集和傳播變得容易時，公民的個人信息就給了犯罪分子的可乘之機，犯罪分子在獲知大量他人信息后，以此來確定下一步犯罪目標。比如2016年山東女大學生徐某學費被騙光昏厥離世案中，就是犯罪分子利用購買的大量考生報名信息，從而來開展電信詐騙活動[1]。

（三）公民個人非敏感信息

根據《刑法》第二百五十三條之一關于侵犯公民個人信息罪成立條件的規定，“情節嚴重”是判斷侵犯公民個人信息罪成立與否的關鍵。《刑法修正案（九）》采取的“情節嚴重”之“情節犯”立法模式，雖然較為靈活地避免了立法定量難題，但卻為司法實踐中“情節嚴重”的規范適用留存了個案裁判的難題[2]。在《解釋》第六條第一款沒有明示規定信息數量標準的情況下，其他情節嚴重中，是否應當包括（以及如何界定）信息數量入罪標準？對此，當前司法實踐中存在兩種截然不同的解釋路徑。一種觀點認為，“考慮到個人信息是個人隱私權、人格權和財產權的綜合載體，更可能涉及公共秩序利益。因此將嚴重侵犯個人信息的行為入刑，既有利于保護信息安全，更有助于發揮刑法的自由保障機能”[3]。而就侵犯個人信息是否“嚴重”的判斷而言，由于數量是社會危害性結果可量化的犯罪中最重要的定罪條件，通常情況下非法獲取公民個人信息的數量越多，犯罪的社會危害性也就越大。故根據量變引起質變的基本原理，在為合法經營活動非法購買、收受公民個人非敏感信息的場合中，當非法購買、收受的信息達到一定的數量后，其社會危害性就會增大，該類行為自然就應被納入刑法規制范疇。這種觀點反映到司法解釋技術層面，顯然是與前述肯定論相一致的。

另一種觀點認為，從侵犯公民個人信息罪所保護法益及侵犯公民個人信息的實質違法性角度看，侵犯公民個人信息罪所保護的法益，應為個人尊嚴和個人自由，進而刑法保護公民個人信息的范圍應限縮為直接識別特定個人身份的公民個人信息[4]。據此，運用刑法對不具有直接識別特定個人身份的公民個人非敏感信息的保護需求及正當性就趨弱，這種認識反映到司法解釋技術層面就傾向于前述的否定論。還有學者結合法條競合適用規則指出，《解釋》第五條與第六條是普通規定與特別規定的關系，從事合法經營活動的行為人非法購買或者收受公民個人信息五千條以上、但獲利未滿五萬元時，應當適用特別法條優于普通法條的一般原則，優先適用《解釋》第六條規定，以此排除《解釋》第六條第一款中“其他情節嚴重”中的信息數量入罪標準。這實際上也是對大數據背景下非敏感信息刑法保護必要性問題上“弱式”認知的“變相”反應。

三、公民個人信息刑法保護的缺陷

（一）刑法保護范圍過窄

在刑法修正案九中，目前只有三種行為方式規定為是對公民個人信息的侵犯：其一為非法出售公民個人信息，也稱“交易型”犯罪，是指非法將獲取到的公民個人信息與他人進行以獲利為目的的交易;其二是非法提供公民個人信息，也稱“泄露型”犯罪，是指非法將自己獲取到的公民個人信息向特定或不特定人無償提供的行為;第三種是非法獲取公民個人信息，也稱“刺探型”犯罪，是指以竊取或與其程度相當的手段非法取獲取個人信息的行為。這三種行為方式基本涵蓋了當前侵犯公民個人信息的犯罪類型，無論是故意或者已過時的手段侵犯公民個人信息，其客觀上仍然造成了嚴重的社會危害性和惡劣的社會影響，值得我們探討是否應同樣受到刑法規制或其他制裁。

（二）刑法先行，前置性法律缺失

大數據背景下，侵犯公民個人信息的犯罪具有手段多樣性以及團伙作案性的特點，這種情形下對公民個人信息進行保護的問題亟待解決。然而在此等窘迫的境況中，我國仍未形成對于個人信息系統且全面的保護。由于《個人信息保護法》的缺位，導致刑法被迫承擔了其他法律的規制功能，這實際上是法治無能和刑法依賴癥的表現。并且在民法與行政法法域中，關于公民個人信息保護的規定呈現零散式的特征，民事與行政規制手段極其有限，無法與刑法銜接形成合力共同保護公民個人信息安全。這些都導致了法律秩序的混亂，刑法作為最嚴厲的最后手段卻成為懲治侵犯公民個人信息行為最常用的措施。

四、保護個人信息的刑法思路

（一）民、行政在先，刑法在后的設置

剛開始大數據出現時，對于“公民個人信息”采取的是隱私權保護模式，沒有能夠對于“公民個人信息”提供全面的保護。而其他法律又遲遲未能跟進對于“公民個人信息”的保護，因此，強調謙抑性、最后手段原則的刑法被推到了臺前，獨立承擔起對公民個人信息的保護。先是《刑法修正案（七）》第7條增設了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，接著《刑法修正案（九）》第17條又將前述兩罪合并為一個“侵犯公民個人信息罪”，之后，又通過兩個司法解釋將“公民個人信息”擴大到了身份信息和可能涉及到公民人身、財產的信息[5]。通過這一系列舉措，刑法率先承擔起了保護公民個人信息的重任。

此前的“刑先民后”不是“民”特意為“后”，而是由于立法的缺失和滯后在客觀上造成的。由于民法遲遲未能明確對于“公民個人信息”的保護，使得公民在尋求救濟時事實上只有刑法一條路可以走。《民法總則》填補了這一立法空白。其第111條“公民個人信息受法律保護”和《刑法》第253條之一“侵犯公民個人信息罪”，共同構成了我國保護公民個人信息的核心條款[6]。因此，以后需要采取“刑民并進”、“刑民并重”的方式，最好是采取“民先刑后”、“民緊刑松”的方式，形成法律合力，全面保護公民個人信息。

對于網絡安全，由網絡信息安全的監管部門進行監管，對于大數據下的，行為人泄露他人信息，非法使用或提供他人信息的行為，違反《中華人民共和國網絡安全法》第七十四條第一款之規定，行為人侵犯公民個人的信息時，不能直接用刑法加以規制。對于法人或者其他組織而言，行政機關先對其進行行政處罰，對于情節嚴重的，直接追究相關責任人的刑事責任;對于一般的公民來說，行為人通過非法的形式獲取他人個人信息，進行提供他人使用、或自行使用的情況下，那么用治安管理處罰法進行規制，當情況嚴重時，再追究刑事責任。這樣安排先行政后刑事，主要可以避免過度刑罰，也緩和了刑法是最后一道防線。

（二）擴大刑法規制的犯罪表現形式

1.非法利用個人信息

現實生活中，侵犯他人個人信息的行為中較多的方式就是利用非法方式獲取的個人信息，冒充他人，這種方式尤其在詐騙類犯罪中最為常見。比如我們經常會收到冒充淘寶賣家發來的短信，說根據我們在其店里的購買信用，現在可以參與抽獎等活動，然后附上一串鏈接，這就誘使大家盲目點開危險網站導致手機中毒等。這讓我們不禁反思，我們的信息是怎樣被輕易盜取，而又有多少人可以輕松地利用這些掌握的信息來實施危害我們合法權益的事情。

2.過失性侵犯公民個人信息

在我國以往的法律與輿論觀念中，似乎具備故意要素的侵犯公民個人信息才是值得規制的。但不可否定的是，即使是過失要素，其客觀上仍然可以造成巨大的社會危害性和法益侵害性。以2007年英國稅務及海關總署發生的事件為例，其在交由快遞公司寄送國家審計辦公室的過程中，不慎遺失了兩張包含大量個人信息數據的光碟，造成了極其惡劣的社會影響。通過這起典型案例，可以看出盡管處于少數情況，但過失造成的個人信息泄露事件仍然不可忽視。即便比起故意，過失的主觀惡性較小，但同樣可能造成嚴重的社會危害性，應將情節嚴重的情況納入刑法規制的范圍。

（三）公民個人非敏感信息

對于公民個人非敏感信息，《解釋》第五條設定的高度敏感信息五十條、一般敏感信息五百條、非敏感信息五千條的十倍數量體系，綜合考慮行為人在行為手段上的非法性和行為目的上為合法經營活動而非法購買、收受公民個人信息的可寬宥性，將《解釋》第六條中“其他情節嚴重”的數量標準設定為五萬條是比較合理的。

同時，鑒于《解釋》第六條中“其他情節嚴重”的兜底條款性質，一方面固然需要對其體系性地嚴格解釋，另一方面也需要面對生動的社會生活保持其開放性，結合該罪的司法實踐和類似的解釋精神，動態挖掘其規范內涵。具體而言，結合信息數量標準，可以在五萬條信息數量標準基礎上，綜合建構數量與數額的疊加規則。

五、結語

針對網絡時代犯罪行為發展快、數量多、影響廣、損失大等情況，刑法先積極作為，劃定最低的行為界限，并非不可，至少可以形成一定的威懾力。但從整體的法律規制體系邏輯來看，刑法的任務并不是針對具體侵犯公民個人信息權利的行為去鑒定其是否合法或違法，這個任務應當由民法或行政法去完成。只有對侵犯公民個人信息已達到相當嚴重程度、具有相當社會危害性的違法行為才能動用刑法，以避免刑法“代行”民法或行政法等其他部門法的職能。這樣才能搭建一個刑、民、行交叉的整體保護框架，實現大數據時代對公民個人信息的全方位保護。

同時，應特別注重公民個人非敏感信息的多法域協同保護效能。因為在這場“法律規則的全新升級和調整”中，刑法作為公民個人信息權利的最后保障法，如果沒有其他“事前法”的充分拱舉，必將因獨木難支而難收協同實效，甚至會因其他法域的保護不力而不當拉低刑法保護的門檻，損益刑法不得已而用之的謙抑性特質。在此意義上，《民法總則》第一百一十一條單獨規定個人信息權利的“國家大數據戰略”意蘊才得以凸顯。當然，如何融通該規定和新近《解釋》對包括公民個人非敏感信息在內的公民個人信息權利的協同保護效能，還有待更多的實踐觀察和理論檢視。

參考文獻：

[1]高蘊嶙， 李京. 電信詐騙犯罪偵查難點及實證對策研究——以重慶市各區縣發案為例[J]. 重慶郵電大學學報（社會科學版）， 2013， 25（1）：33-38.

[2]利子平， 周建達. 非法獲取公民個人信息罪“情節嚴重”初論[J]. 法學評論， 2012（5）：146-152.

[3]李先波， 楊建成. 論言論自由與隱私權之協調[J]. 中國法學， 2003（5）：87-95.

[4]高富平， 王文祥. 出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護的法益為視角[J]. 政治與法律， 2017（2）：46-55.

[5]利子平， 周建達. 非法獲取公民個人信息罪“情節嚴重”初論[J]. 法學評論， 2012（5）：146-152.

[6]王昭武， 肖凱. 侵犯公民個人信息犯罪認定中的若干問題[J]. 法學， 2009（12）：146-155.