個人信息安全風險調控的刑法模式

許亞潔

新冠肺炎疫情加速“大數據”時代的進程，盡管數據共享是數據經濟發展的催化劑，但因此造成的數據泄露、數據濫用等數據安全問題日益凸顯。2021 年國內外多次發生數據泄露事件，例如6 億余條個人信息被犯罪團伙利用境外聊天工具販賣、淘寶12 億條客戶信息遭爬取、Facebook 超5 億用戶個人數據遭到泄露等。個人信息是可以直接或間接識別個人的信息，與隱私、名譽等人格利益息息相關。當個人信息以數據的形式通過網絡進行流通時，個人信息大量匯集和流動，就可以形成數據庫。個人信息不僅局限于個人利益，更與公共秩序、國家安全相關聯。因此，個人信息安全風險可能導致個人的人身財產安全受到侵害，還可能擾亂數據市場經濟秩序，甚至可能危害國家安全。基于此，我國刑法在民法、行政法等前置法還不完善時積極干預，率先設置侵犯公民個人信息罪。盡管如此，在個人信息安全的法律保護上仍存在諸多爭議。一是刑法對個人信息保護的積極立法是否有違刑法謙抑性原則，刑法應當采用何種立場和理念來保護個人信息。二是個人信息法益在法律上是何屬性。如何對個人信息進行分類分級保護。三是個人信息流轉過程中，各方主體的義務和責任如何確定。特別是在司法實踐中如何確定刑事責任，以實現既不過度保護個人信息又不放縱個人信息犯罪的目標。

一、個人信息安全風險調控的刑法理念

個人信息的全方位挖掘和使用推動了數字經濟和信息社會的發展，但也增加了個人信息的安全風險。個人信息的安全風險需要法律構建個人信息保護體系。法律體系的構建離不開價值理念的引導，可以說法律保護理念決定了個人信息法律保護體系的框架。刑法素來具有后置法地位，謙抑性、消極性原則是刑法的重要品格。那么，在個人信息安全風險急劇增加的情況下，刑法該以何種理念和立場來應對個人信息安全風險，這是需要首先明確的問題。

（一）個人信息安全的風險預防理念

預防性刑法理念更加契合個人信息安全法律保護。首先，大數據時代個人信息面臨更大的濫用、泄露風險，可能造成個人人身財產安全、公共秩序和國家安全的嚴重危害。這一社會事實構成當下個人信息刑法保護研究的基本語境。有時，我們可以預見技術的使用將產生明顯的不可取的后果，盡可能多的是，我們需要預見這些后果并制定政策，最大限度地減少新技術的有害影響。因此，應對個人信息安全問題不僅需要事后追責更需要事前防范，防范風險意味著在不知道結果如何的情況下事先采取措施降低非預期結果的危害，“預防”是風險防范的核心，個人信息需要“預防性”的法律保護。其次，行政法、刑法等公法具有風險防范的功能。原因在于，與公法比較來看，私法一般提供相對后置的救濟手段。也就是說，只有當權利被侵害后，權利人才能訴諸法律以保障權利。而公法卻可以通過不同的懲罰措施達到威懾和預防的功能，更加注重風險的防范。相比較權利侵害的事后救濟，風險防范的預防觀念與個人信息的公法保護更加契合。因此，個人信息不僅需要私法維護和權利救濟，更需要公法防范和風險規制。事實上，世界上典型的個人信息保護立法最初都源于對國家和公共機構的制約。例如德國1970 年的《個人數據保護法》，就僅將調整范圍限定為政府的數據處理行為。最后，公眾對安全的強烈需求導致刑法價值取向的重大調整，刑法體系的預防目的被激發，功能主義刑法成為應對社會風險的重要工具。在日本，通說地位的相對報應刑論認為，刑罰的本質是報應，但刑罰的目的在于預防犯罪。德國學者認為，從19 世紀的自由法治國向20 世紀的社會福利國過渡的過程中，刑法的基本思想也從事后的鎮壓控制轉向了事前的預防控制模式。安全問題構成風險社會理論與刑法體系之間的連接點，由此而使預防成為刑法的首要目的。因此，盡管刑法具有天然的后置性和謙抑性，但是個人信息安全風險需要刑法發揮自身的風險管控功能，實現個人信息的安全保障和有序流通。侵犯公民個人信息罪作為懲處個人信息犯罪的核心罪名由《刑法修正案（九）》修改實施。當時，個人信息還沒有明確的法律權利屬性，配套義務責任更不清晰。侵犯公民個人信息罪在前置法尚不完善的情況下率先將侵犯個人信息的行為入刑，可以說是預防性立法理念的直接體現。

（二）個人信息安全的利益平衡理念

刑法介入個人信息保護應當兼顧促進信息流動和保障信息安全的平衡理念。信息流通帶來的經濟發展不容忽視，從某種程度而言，脫離了數據的開發和利用，當前的社會和技術將會停滯不前。但同時其帶來的負面效應也不容小覷。隱私被嚴重侵犯，衍生的利益也受到嚴重威脅。個人信息被侵害的范圍及程度已經達到需要刑法介入的條件，但是刑法介入的程度需要合理控制。只有基于法益平衡的理念才能為科學的刑事立法提供正確的引導。刑事立法對個人信息風險的防控如何能恰如其分地促進信息流通同時又能保護信息權利？這是刑事立法所要解決的難點問題。平衡點的尋找需要根據不同領域、不同主體權利進行統籌考量。這就需要借助法益分析、利益衡量等方法具體實現刑事立法在兩者上的平衡。這種平衡理念應當體現在：一方面，法益侵害程度是刑法規制的起點。也即，為了給信息流動提供良好的法治環境，應當在侵犯個人信息行為達到一定危害程度，才能被納入刑法規制。例如，2019 年3·15 曝光的網絡平臺“小紅書”“泄露”個人信息案件，屬于未充分履行采取技術手段或必要措施義務，未完全盡到防止消費者個人信息泄露的責任。為此，嘉定區市場監管局對“小紅書”作出行政處罰，責令當事人改正上述違法行為，并罰款人民幣5 萬元整。在這個案件中，當事人盡管對個人信息保護未盡到相關義務，但尚未達到刑法要求的法益危害程度，因此，當事人僅受到行政處罰而不是刑事處罰。另一方面，個人信息的刑法保護需要更加全面。在信息時代，個人面對的將不只是單個網絡服務提供者的違約或違規行為，而是必須接受個人信息被收集和利用的社會規則。個人信息的提取與利用正向自動化、瞬間處理的方向發展。隨著人工智能應用的普及，個人信息的挖掘將由人工智能設備自動完成。人工智能完全可能會被運用到侵犯個人信息犯罪當中，造成的危害結果無法預計。因此，科學技術的發展會使犯罪呈現出新手段、新類型、重結果的特征。刑法需要構建嚴密的法網，充分考慮科學技術的發展，為個人信息提供全面的刑法保障。

（三）個人信息安全刑事一體化保護理念

刑事一體化要求刑法與其他部門法之間突破一定程度的理論壁壘，才能實現法律保護的效應最大化。個人信息安全風險不僅需要刑法的積極介入，更需要刑法與其他法律協調銜接。首先，個人信息法益保護僅靠刑法遠遠不夠，需要各個部門法通力合作。隨著網絡技術不斷更新迭代，侵犯個人信息造成的社會危害性越來越嚴重，僅通過刑法這部后置性法律無法全面實現維護數據市場秩序、保護個人信息權利的雙重功能。因此，我國立法機關先后頒布生效了《數據安全法》《個人信息保護法》，《民法典》中也有個人信息的相關規定。可見，除刑法外，前置法有關個人信息的立法也日趨完善。盡管多部法律的出臺會使個人信息的法律保護更加完備，但法律的生命力在于實施，多頭立法也會造成司法、執法中法律適用模糊、相矛盾等問題。因此，個人信息保護不僅需要全面立法，還需要協調明確各個法律法規之間的關系，使各個部門法在司法和執法中各司其職，相輔相成。其次，與個人信息相關的犯罪類型多以法定犯的形式存在，例如侵犯公民個人信息罪的構成要件之一就是“違反國家有關規定”，這使個人信息法益的刑法保護與前置法之間的關系更加緊密。法定犯往往以違反相關非刑事法律中的個人信息保護義務為前提，因此刑法對個人信息的保護一定程度上依賴前置法的相關規定。但是刑事治理的超前與其他部門法銜接不順暢的問題客觀存在。其中，刑法與行政法之間的銜接更加需要重視，原因在于刑法和行政法同屬公法，調整范圍上具有一定的重合性。正是基于此相似性，兩者在權力劃分、責任銜接、違法判斷等方面都存在爭議。一方面，刑法需要依賴行政法中的規定才能準確認定行為的違法性；另一方面，刑法與行政法之間也需要界分標準，才能發揮獨立的價值。兩者這種既相互依賴又需要獨立的關系，容易導致刑法與行政法之間的界限不清。因此，如何既能發揮行政法對刑法體系的積極作用，同時規避刑法對行政違法行為的不當介入，是值得研究的重要問題。從這個角度研究個人信息法益的保護可以準確找到當前信息法益刑法保護的不足及完善途徑。

二、個人信息安全風險識別與分類分級

根據風險管理的一般理論，風險應對可以從風險識別、風險分擔、風險的防控等方面展開。那么刑法也需要從風險管理角度構建應對個人信息安全風險的體系模式。風險識別是對已經發生或潛在的風險加以判斷、歸類整理，并對風險的性質進行鑒別的過程。個人信息安全的風險識別即是甄別個人信息安全風險類型及屬性。

（一）個人信息分類分級：風險識別的前提基礎

個人信息保護的分類分級制度是風險識別的重要基礎。原因在于：第一，個人信息安全風險類型與流通階段密不可分。大數據時代，海量數據市場的優勢將會延伸到每個具體行業，大大減少非理性決策，重塑所有類型的市場。但是，個人信息流動的生命周期包括采集、加工、保存、使用等階段，負面影響因處理階段不同而不同，以多種方式影響個人權利和自由。個人信息面臨不同程度的安全風險。在采集階段，個人信息可能被網絡服務者或其他信息采集者違法采集，信息主體的人格權可能被侵害；在保存或使用階段，網絡服務者或其他信息采集者本身可能泄露或濫用個人信息，同時還可能遭到其他第三方個人信息處理者的非法獲取、違法使用等。在跨境流動時，個人信息還涉及國家數據主權問題，與國家安全休戚相關。第二，個人信息安全風險程度與個人信息類型息息相關。根據不同標準，個人信息可以分為很多種類。目前我國法律法規主要根據信息遭到侵害后所產生的影響和危害，按照敏感程度，將個人信息分為敏感個人信息和一般個人信息。例如在《信息安全技術 個人信息安全規范》（GB/T 35273—2020）中，明確規定個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。在我國《個人信息保護法》中，也明確規定敏感個人信息是指“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息”。敏感個人信息被侵害后產生的危害程度比一般個人信息更高，法律法規對敏感個人信息安全的風險防范程度更高而對一般個人信息適當放寬，這樣能夠實現個人信息的多元價值與個人信息利用的多維需求，實現個人信息保護體系的周延性和自足性，明確不同信息之間的根本差異，保證個人信息在市場中的開放性和流動性。

我國個人信息的分類分級保護制度仍停留在較為抽象的階段。《個人信息保護法》僅對敏感個人信息的處理規則嚴格限制，但并未就分級保護作出規定。我國《數據安全法》明確規定對數據實行分級分類保護，但尚未言明具體如何分類分級。目前，個人信息可以分為一般個人信息和敏感個人信息兩類，敏感個人信息比一般個人信息的保護級別更高，但是在兩者內部如何進行分級保護是亟待解決的問題。個人信息的分類分級制度只有確定具體、可衡量的標準才能落地，而標準應當回歸于個人信息的概念和法益屬性。

（二）個人信息法益屬性：風險識別的判斷標準

個人信息具有人格法益屬性且可識別性是重要衡量要素。在信息網絡社會，幾乎每個人都會留下信息的痕跡。這些信息組成了有關一個人紛繁復雜的信息碎片，關涉個人生活的方方面面，彰顯了一個人的生活習慣、消費習慣、性格特征等等，隨著大數據技術的發展，綜合這些碎片化的信息完全能夠成為現實生活中個體的信息化形象。而這個形象與現實生活中的個人息息相關，一一對應。《民法典》中將個人信息保護放入人格權編，可見，個人信息的人格屬性已被法律確認。《刑法》第四章侵犯公民人身權利、民主權利罪是保護具體人格權法益的一章，也就是說這一章里規定的罪名侵犯的主要法益是具體的人格權及其他民主權利。目前用來保護個人信息的專門性罪名——侵犯公民個人信息罪就被放在此章。可見，個人信息具有刑法上的人格權法益屬性。此外，《個人信息保護法》明確規定個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。2017 年兩高聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定，“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息。不管是民法領域還是刑法領域，判定某種信息是否屬于個人信息的最重要標準是可以直接或者間接識別個人。個人信息的可識別特征表征了一個人獨一無二的人格，應當受到人格權的保護。個人信息的可識別性程度越高，對應的人格屬性越強，被非法獲取或利用時造成的危害程度越高。因此，可識別性是個人信息人格屬性遭受侵害時，人身安全危害程度的重要衡量標準。

個人信息具有財產屬性、知識產權屬性且規模性是重要的衡量要素。信息資源的經濟價值不用贅述，信息處理者收集大量個人信息后形成的數據庫已經成為他們盈利的核心資源。個人信息具有可計量經濟價值，應當屬于法律上的財產。但目前在立法中尚未明確個人信息的財產權屬性，因此很難適用財產類犯罪。而當前信息處理者之間關于數據權益的糾紛是通過反不正當競爭法或其他知識產權類法律加以處理。例如，在某平臺與南京某網絡科技有限公司等不正當競爭案中，被告南京某網絡科技有限公司未經原告同意，擅自獲取原告平臺數據建立自身數據庫并用于商業開發和合作。被告網站抓取原告網站數據后建立的自身網站甚至可以直接替代原告網站的部分功能，導致原告網站用戶流失，損害了原告利益，并且并不能證明有利于市場效率和社會利益；被告將原告平臺公布的商家數據直接用于其網站，也超過了合理限度，被告行為違反了公認的商業道德，構成不正當競爭。基于刑法天然的謙抑性，在通過反不正當競爭法、侵權法等前置法足以規制違法行為、救濟受害人的情況，刑法不應過度干預。只有侵犯信息的違法行為的社會危害性達到需要刑法予以規制的程度，才可以啟動刑法。在知識產權方面，基于信息的商業價值，信息處理者根據自身業務范圍將某種不為公眾所知悉的信息數據采取保密措施作為商業秘密加以保護。例如，客戶賬戶、個人資料等有利于精準營銷的信息。此時，這類信息數據上承載的是信息處理者的商業秘密權，如果非法獲取、披露或使用商業秘密的，就可能構成侵犯商業秘密罪。在財產屬性方面，盡管前置法對個人信息的財產權尚未明確，但個人信息數據庫仍有可能被認定為虛擬財產，從而適用盜竊罪、詐騙罪等財產類犯罪。不管個人信息數據庫作為財產還是知識產權保護的客體或對象，司法實踐中個人信息的數量都是衡量危害性的重要標準。因為數據數量越大，對應的經濟價值越高，被非法獲取或利用時造成的損失也越嚴重。因此，規模性要素是財產安全、經濟安全危害程度的重要衡量標準。

個人信息具有國家安全法益屬性且流動性是重要的衡量要素。全球數字化經濟背景下，數據跨境流動是帶動業務流、貿易流、資本流、技術流全球自由配置的重要牽引。大規模和復雜的個人信息跨境流動成為全球常態。但數據流動中也蘊含了巨大的數據安全風險。2018 年10 月，我國科學技術部在其官方網站公布了八份時間跨度從2015—2020 年的行政處罰決定，這些罰單均涉及“人類遺傳資源采集、收集、買賣、出口、出境審批”等未經授權將部分人類遺傳資源信息通過互聯網傳輸到境外的行為。一方面，個人信息的跨境流動可能存在泄露、濫用等安全風險危害國家安全。例如，Vault 7 事件，維基解密曾公布了美國中央情報局關于黑客入侵技術的最高機密。根據泄密文檔，該組織不僅能夠入侵iPhone 手機、Android 手機和智能電視，而且還可以入侵攻擊Windows、Mac 和Linux操作系統，甚至可以控制智能汽車發起暗殺活動。因此，個人信息可能被恐怖組織或其他組織非法獲取或濫用，為實現恐怖目的或政治目的，實施危害國家安全的行為。另一方面，個人信息的跨境流動涉及數據主權問題，與國家主權、國家安全息息相關。隨著大數據的發展，國家間圍繞數據控制和利用的博弈日益激烈。由于各國對數據安全風險保護理念、制度設計不同，產生了數據主權邊界的問題，例如，美國CLOUD 法案規定了“長臂管轄”原則，為美國執法機構訪問在美國境內運營的企業存儲在海外的用戶數據提供明確授權。而對于外國政府機構調取存儲于美國的數據，CLOUD 法案規定只有“符合資格的外國政府”才有權調取。我國《數據安全法》第36 條規定，外國司法或者執法機構要求調取存儲于中華人民共和國境內的數據的，有關組織、個人應當向有關主管機關報告，獲得批準后方可提供。不難看出國家之間有關數據主權的博弈。因此，在個人信息跨境流動場景下個人信息安全與國家安全息息相關，可能涉及危害國家安全罪、故意泄露國家秘密罪、過失泄露國，家秘密罪、間諜罪等與國家安全有關的犯罪類型，流動性要素是國家安全受到危害風險的重要衡量標準。

（三）個人信息分類分級的具體方式

根據個人信息涉及的法益類型，可識別性、規模性和流動性是判定個人信息安全風險程度高低的基本要素。因此，個人信息的分級保護也應當以這三個要素為基準。《信息安全技術 網絡安全等級保護定級指南（GB/T22240—2020）》根據等級保護對象在國家安全、經濟建設、社會生活中的重要程度，以及一旦遭到破壞，喪失功能或者數據被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素，將保護對象的安全保護等級分為五級。涉及大量公民個人信息以及為公民提供公共服務的大數據平臺/系統，原則上其安全保護等級不低于第三級。綜合網絡安全等級保護的定級標準和方法以及個人信息安全風險的基本要素，可以將個人信息按照以下方式分級保護。

第一級，個人信息受到破壞后，會對相關公民、法人和其他組織的合法權益造成損害，但不危害國家安全、社會秩序和公共利益；第二級，個人信息受到破壞后，會對相關公民、法人和其他組織的合法權益造成嚴重損害或特別嚴重損害，或者對社會秩序和公共利益造成危害，但不危害國家安全；第三級，個人信息受到破壞后，會對社會秩序和公共利益造成嚴重危害，或者對國家安全造成危害；第四級，個人信息受到破壞后，會對社會秩序和公共利益造成特別嚴重危害，或者對國家安全造成嚴重危害；第五級，個人信息受到破壞后，會對國家安全造成特別嚴重危害。其中，一般損害、嚴重損害和特別嚴重損害的判斷標準應當綜合考慮個人信息的可識別性、規模性和流動性要素。當個人信息的可識別性較強，但規模性較小和流動性較弱時，可判定為第一級；當個人信息的可識別性很強或規模性較大，但流動性較弱時，可判定為第二級；當個人信息的規模性很大或流動性較強時，可判定為第三級；當個人信息的規模性特別大或流動性很強時，可判定為第四級；當個人信息可識別性很強、規模性特別大且流動性特別強時，可判定為第五級。

三、個人信息安全風險分擔與責任分配

在侵犯個人信息犯罪鏈條中，多元主體參與其中，風險責任的公平合理分配至關重要。風險分擔的目的在于參與風險項目的各個主體都需要根據自己的角色承擔一定的風險，盡到合理注意義務，實現整個項目和各個主體的互利共贏。在個人信息安全領域，互聯網把參與個人信息處理的各個主體連接起來，為了防止個人信息的濫用，各個主體都應當承擔相應的注意義務和責任，這樣才能將風險發生率降到最低。

（一）個人信息相關主體的類型

個人信息安全風險應當根據個人信息流轉的場景和主體進行轉嫁和分配。法律應當公平合理分配多元相關主體的義務和法律責任，督促各個相關主體都盡到注意義務，降低個人信息安全風險的發生率。與個人信息安全相關的主體主要有兩類：一是信息主體本身，其個人信息可能被信息處理者獲取和使用。盡管信息主體是個人信息的權利主體，但是由于個人信息處理的告知同意規則，信息主體仍應審慎處理自身信息。原因在于《個人信息保護法》雖未直接將告知同意規定為個人信息保護的原則，但“立法說明”仍然認為，告知同意是個人信息處理規則的核心，即個人信息處理者需要取得信息主體的授權才可以處理個人信息。但如果信息主體缺少信息保護的意識、忽視個人信息的處理規則，隨意授權個人信息處理者，那么個人信息被濫用的風險會大大增加。因此，個人信息主體在同意之前應當充分了解個人信息處理者的資質信息、隱私政策、安全保障等制度，這不僅是對自身個人信息的保護，也可以有效從源頭上控制個人信息濫用的風險。二是個人信息處理者。個人信息的應用場景越來越復雜，個人信息處理者的類型也越來越多樣。大數據時代，個人信息處理離不開網絡，線上線下融合的經濟模式使得網絡服務提供者是個人信息處理者的最重要組成部分。但是網絡服務提供者的含義在法律法規中缺乏統一權威的規定，其義務類型設置也存在概括化、模糊化和不適當等方面的不足。對網絡服務提供者的劃分主要是為了合理設定不同的義務責任。服務類型、服務對象和服務方式是影響網絡服務提供者義務責任的重要因素，因此網絡服務提供者的類型劃分應當綜合考慮這三個要素。就目前網絡服務提供者的服務類型和法律法規中對網絡服務提供者已有的劃分，可以將網絡服務提供者分為中間服務提供者、互聯網信息服務提供者和第三方交易平臺服務提供者。中間服務提供者是指網絡接入、服務器托管、網絡存儲、虛擬空間租用、通信傳輸等純粹的網絡技術的服務提供者。互聯網信息服務提供者通常是指網絡內容服務商，其基于自身的主動性提供各種各樣的可以被公眾獲取的信息。第三方交易平臺服務提供者是具有中立性質的，為網絡商品交易、金融交易等經濟市場雙方提供信息交換場所的服務提供者。這類平臺主要為網絡用戶提供中介服務，具有相當的中立性，但是也具有較高的網絡活動參與度。

（二）個人信息處理者的義務及刑事責任

根據我國相關法律法規，網絡服務提供者承擔的義務類型有技術支持與協助、數據留存、個人信息保護、管理發現違法信息、主動審查含有恐怖主義和極端主義內容信息、身份驗證等。但是，立法并沒有根據不同類型的網絡服務提供者規定有梯度的義務范圍，所有類型的服務者承擔的義務基本相同。這會導致網絡服務提供者的類型與義務設置不匹配，可能存在過度或不足的情況。也即，有的義務設置可能超出其本身的合理業務承擔。例如，要求互聯網接入、信息存儲和緩存等服務提供者承擔管理審查違法信息的義務，這不僅超出了其業務范圍，也必然阻礙我國社會信息化的發展。有的義務設置不夠完善，例如，第三方交易平臺服務提供者的權利和義務十分不對等。第三方平臺因其服務內容而擁有巨量用戶信息，本應承擔一定的管理義務，但是其僅負有留存用戶信息和交易信息的義務。

就個人信息犯罪而言，首先，互聯網信息服務提供者因其是信息內容的發布者，對發布內容直接可控，受眾廣泛，因此其對提供的所有內容都應當具有合法性的審查義務和監管義務，同時自身也應當承擔最廣泛的義務，可以說這類主體的義務程度和范圍應當是三類中最高的。因此，互聯網信息提供者對用戶的個人信息應當具有審慎的管理義務。如果其利用自身的業務活動和網絡技術對個人信息進行非法獲取、對外發布、出售等犯罪行為，造成嚴重后果的，應當承擔有關個人信息犯罪的單獨犯責任。其次，中間服務提供者主要為搭建網絡社會提供技術、程序、工具等輔助行為。就其在業務范圍內的行為而言，要求這類主體對違法信息內容履行較高的監管義務是十分不合理的，同時還有可能阻礙社會的發展，可以說這類主體是三類網絡服務提供者中義務承擔最少的。正如有學者指出，網絡服務提供者提供合法的和有社會妥當性的通訊連接或者提供存儲空間的行為具有很高的社會效用，是人們高度期望的，有時甚至是被國家所促進的，因此他們的這類行為應當被認定為消極的不作為，原則上至多由于未提供適當控制措施的不作為受到譴責。因此，中間服務提供者的刑事責任一般可能是幫助犯或者構成幫助信息網絡犯罪活動罪。如果要認定該類主體作為信息犯罪的單獨犯，則需要更高的要求。例如，在行政法中明確規定中間服務提供者應當承擔個人信息保護義務、數據留存義務等管理義務。如果中間服務提供者不履行前置義務，經監管部門責令采取改正措施而拒不改正，造成個人信息大量泄露的，有可能承擔單獨的刑事責任。在司法上，應當審查前置的義務范圍，考量中立行為的違法阻卻事由。僅在有較高證明力證據證明該類主體的違法犯罪行為與嚴重危害結果之間具有緊密因果關系的情況下，才能將該類主體入罪。最后，第三方交易平臺服務提供者作為部分介入網絡內容生成的主體，管理信息秩序的能力也很強。因此法律法規對其義務和責任的程度設定應當輕于互聯網信息服務提供者而重于其他網絡中間服務商。這類主體不應當是置身事外的中立平臺而應當設置更細致更具體的義務類型，但是不應當超過其技術和業務能力。網絡平臺服務提供者由于類型眾多，經營模式不一，服務提供行為也各有特色，所以責任類型較多也較為多元。

（三）個人信息主體分擔風險的方式

個人信息處理者不履行個人信息保護義務應當承擔相應的刑事責任，可見其承擔了防控個人信息安全風險的義務和責任。那么信息主體作為個人信息處理過程的參與者，如何分擔個人信息安全風險？盡管信息主體審慎處理自身信息并不是義務，但會減輕個人信息處理者的責任。因為在告知同意規則下，個人信息處理者告知并獲得信息主體同意后處理個人信息具有合法性，這可以作為個人信息處理者刑事責任的違法阻卻事由。《個人信息保護法》中明確了既要保護個人信息權益又要保障個人信息依法有序自由流動的原則，并在第13 條規定了個人信息處理者合法處理個人信息的情形，其中包括“取得個人的同意”。歐盟《一般數據保護法案》(GDPR)第六條也明確規定，“數據主體同意他或她的個人信息為一個或多個特定目的而處理”視為處理合法。被害人同意可以排除對行為人行為的不法評價以及作為一種排除犯罪性的出罪事由，學說上基本沒有任何反對意見，得到了刑法理論的普遍認可。信息主體的同意可以使個人信息處理者的責任得以減免，可見個人信息主體也間接承擔了個人信息安全風險。因此信息主體應當謹慎處分個人信息，否則個人信息安全的風險將可能由自己承擔。被害人同意作為一種出罪事由在司法認定中需要謹慎對待，才能實現行為人與被害人之間的公平公正。一方面，刑法基于對個人自由和自我決定權的尊重認可這一出罪事由；另一方面，為了防止這種出罪事由被濫用，刑法也應當對被害人同意的有效要件和范圍進行審查和限定。例如，當被害人同意是基于認識錯誤或被脅迫做出時，這種有瑕疵的同意是否可以作為出罪事由，需要進一步的嚴格審查和認定。侵犯個人信息犯罪被害人同意的成立需要確定同意的對象和被害人的主觀方面。也即，被害人同意的對象是行為還是結果亦或行為和結果。例如，被害人為了盈利在某網絡平臺上理財，該網絡平臺未經被害人同意在后臺自動收集和使用被害人的個人信息為其推薦理財產品同時將信息提供給其他機構營銷使用，被害人在該平臺上確實獲得盈利。此時，被害人僅同意了“結果”而未同意“行為”，是否可以作為行為人出罪事由？當被害人的同意存在“瑕疵”時，行為人是否還可以出罪？這將在下文具體展開。

四、個人信息安全風險防控與刑行銜接

目前，個人信息相關的罪名多以法定犯的方式存在。前置法中個人信息的保護義務是判斷犯罪構成要件的重要要素。根據刑事一體化的理念，個人信息安全風險需要系統化的法律體系進行防控。因此，保護個人信息安全不僅需要前置法律法規持續完備、刑事法律積極介入，更需要兩者協調銜接。

（一）個人信息刑法保護的前置法問題

我國前置法與刑法之間存在斷層現象，導致個人信息相關犯罪構成要件判斷困難。第一，前置法律法規中個人信息保護義務設置比較抽象。目前，個人信息保護主要以《個人信息保護法》為核心、行業性立法為補充。不管是《個人信息保護法》還是行業性立法，個人信息保護義務都不夠細化。例如，《網絡安全法》第41 條規定，“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意”。盡管此條確立了“告知同意”的收集、使用規則，但是并沒有進一步明確具體標準，這導致司法實踐中很難確認網絡運營者是否違反該義務。由于國家層面的法律比較原則，需要由國務院各部門規章、地方性法規對個人信息相關的范圍、程序等進行具體確定。效力層級較低的部門規章是否屬于侵犯公民個人信息罪中的“違法國家有關規定”尚存爭議，因此盡管各個領域的部門規章規定比較詳盡，但是否可以被侵犯公民個人信息罪援引值得商榷。第二，行政法中有關個人信息的規定與刑事法不一致。例如，《個人信息保護法》中規定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。而在兩高出臺的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中規定，“公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。可見，司法解釋中，個人信息除包括識別性信息外，還包括反映特定自然人活動情況的信息，范圍明顯大于《個人信息保護法》中個人信息的范圍。同樣，《刑法修正案（九）》中的“侵犯公民個人信息罪”中的“個人信息”，“并不僅限定在網絡空間中以電子方式記錄的網絡個人信息，也包括在現實空間中以其他方式記錄的信息”。相關規定的不一致，以何為準？再如，《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中沒有明確給出敏感個人信息的定義，僅列舉了具體類型。但是在《個人信息保護法》中敏感個人信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿14 周歲未成年人的個人信息。可見，兩者對敏感個人信息的范圍定義不同。以人臉識別信息為例，人臉信息具有直接識別性、不可更改性、易采集性、不可匿名性等特征。可見，人臉識別信息屬于《個人信息保護法》中的敏感個人信息，但不屬于《個人信息司法解釋》中的敏感信息的列舉類型，反而與重要信息中“健康生理信息”更相近。這就涉及前置法與刑法中個人信息類型不一致的問題。可見，個人信息安全保護的前置法與刑法之間銜接不暢，需要從前置法和刑法兩方面共同完善健全個人信息保護的法律體系，全面防控個人信息安全風險。

（二）個人信息處理者保護義務的細化

由于個人信息犯罪多采用法定犯的形式，因此前置法中的義務設置對刑事責任的認定十分重要。個人信息保護義務設置需要類型化和具體化。是否合法履行個人信息保護義務是判斷是否構成相關犯罪的前提。根據個人信息的流轉周期，主要義務可以分為收集階段的義務、存儲階段的義務和使用階段的義務。就收集階段來說，個人信息處理者獲取公開個人信息應遵守的義務有待進一步明確。根據《個人信息保護法》第13 條規定，個人信息處理者可以依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息。第27 條規定，個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。即，除對個人權益有重大影響需要取得個人同意外，個人信息處理者“合理”處理公開信息不需取得他人同意。可見，“合理范圍”“對個人權益有重大影響”是判斷個人信息處理者獲取公開個人信息義務的重要要素。但是《個人信息保護法》中并未明確“合理范圍”“重大影響”的具體判斷標準。個人信息公開有其目的和用途，那么任何個人信息處理者不能超出信息本身公開的目的、用途處理已公開的個人信息，因此，“合理范圍”可以以目的原則為限制，只有在公開目的范圍內處理個人信息才是“合理范圍”。而“重大影響”的認定可以從個人信息的人格屬性、財產屬性角度進行明確，即當個人信息處理者處理個人信息可能造成個人生命、身體、名譽等人格權遭受嚴重侵害，或造成個人財產嚴重損失的，可以認定為“對個人權益有重大影響”。

同時，還需要注意是否侵害了其他個人信息處理者的合法利益，比如是否構成不正當競爭、是否違反Robots 協議等。綜上，個人信息處理者在獲取公開個人信息時，不得超出信息公開目的處理信息，不得侵犯其他處理者的合法利益，在處理對個人權益有重大影響的個人信息時還需要取得個人同意。

就存儲階段來說，個人信息處理者的泄露報告義務需要進一步細化。個人信息處理者作為直接相關者與責任者有信息泄露報告義務，但是我國法律法規對數據泄露通知的規定過于簡單并存在沖突。例如，《個人信息保護法》要求“個人信息處理者發現個人信息泄露的，應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人”。《網絡安全法》要求“網絡運營者在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告”。可見，法律法規對報告的部門和對象并不明確。同時，法律法規也未設置任何時間限制。由于沒有時間的限制，個人信息處理者為了逃避法律責任，完全有可能不通知或在事件發生很久之后再通知相關部門，無法防止損害后果的進一步擴大。因此，應當明確規定信息泄露報告義務履行的條件和方式。當信息泄露范圍較小、涉及人數不多或可能對小范圍人群造成重大危急影響時，個人信息處理者只需要通過電郵、短信等方式一一通知。而當信息泄露范圍較大、涉及人數眾多或可能造成大范圍重大危急影響的情況下，應當報告主管部門和公眾。當信息泄露可能對其他網絡服務者業務產生重大影響的，還應當及時通知對方。同時，根據信息泄露的范圍、涉及人數和影響，通過實際統計和調研，法律法規應當設置科學并有梯度的標準，以明確通知對象的類型。例如，美國的《衛生信息技術促進經濟和臨床健康法案》（）規定，如果涉及人數少于500 人，則只需提供書面通知。對于更大規模的信息泄露，需要通過知名媒體發布通知。同時，盡管泄露行為涉及不到500 人，也必須通知衛生部部長。Gina Stevens,,https://sgp.fas.org/crs/misc/R42475.pdf,p.19.法律法規還應當明確規定通知期限，通知義務具有時效性，只有及時履行該義務才能達到及時止損的效果。例如美國華盛頓州的《數據泄露通知法》規定，企業在發現泄露后的30 天內通知受影響的居民和州檢察長。

就使用階段而言，個人信息處理者在向第三方提供個人信息的情況下的告知義務需要進一步明確。《個人信息保護法》第25 條規定需要取得單獨同意，即個人信息處理者在向第三方提供個人信息需要履行單獨告知義務。但是《個人信息保護法》中并未明確何為“單獨同意”，是否包括默示同意？如果要求個人信息處理者一一告知并獲得明示同意是否可行？“第三方”是否包含母子公司、總分公司等關聯企業？此外，第三方基于個人同意獲取個人信息后，是否還需要獲得個人信息處理者的同意？這都關系到個人信息處理者如何履行對外提供告知義務。基于共同促進個人信息保護和流通的原則，從可行性出發，《個人信息保護法》中的“單獨同意”缺乏實操性。個人信息處理者可以采用“反向同意”的方式取得信息主體的同意，即個人信息處理者應當詳細告知信息主體第三方的身份、使用目的和規則，約定在特定時間內信息主體如不提出異議視為同意。需要注意的是，如果第三方變更原先的處理目的、處理方式的，應當重新向個人告知并取得其同意。同時，如果第三方是個人信息處理者的關聯企業，需要判斷兩者是否是一個法人主體。如果同屬于一個法人主體，則不需要另行獲得個人的同意。除此之外，個人信息處理者仍需履行相應的告知義務。

（三）侵犯個人信息行為的刑事責任限度

利用刑罰手段打擊個人信息犯罪是最嚴厲的法律手段，過度使用刑罰手段不利于個人信息的市場流通，而消極使用刑罰手段則無法保障個人信息安全。因此需謹慎使用刑罰應對個人信息安全風險，設定個人信息犯罪的入罪門檻。入罪和出罪在刑事司法活動中應該是兩個相互對立又有機組合的裁判活動。入罪方面，明確行政違法與刑事違法的界限是判斷侵犯個人信息的違法行為是否構成犯罪的重要前提。根據違法相對論，行政違法與刑事違法之間是相對獨立的關系。以犯罪構成三階層論為基礎，第一，法定犯在構成要件符合性上具有從屬性。在判斷構成要件符合性時都無法脫離前置行政法規的規定，這也是法定犯區別于自然犯的重要標志。因此，在這一階段需要依賴行政法，發揮行政法的“門檻”作用，積極識別行政義務，即只有違反行政法義務的才能符合構成要件，在行政法上合法的行為不符合構成要件。在侵犯公民個人信息罪中，判斷“違反國家有關規定”構成要件時，需要查找《個人信息保護法》《網絡安全法》《數據安全法》等相關前置法律法規，以判斷行為人的行為是否違反了相關義務。第二，法定犯在違法性判斷上具有獨立性。“違法性判斷”是與構成要件符合性、有責性共同判斷犯罪是否成立的一個階層。因此，刑事違法性判斷應當包含構成要件符合性和違法性判斷。只有同時符合兩個階層，才能具有刑事違法性。違法性判斷主要審查案件中是否存在排除違法的事由。在我國刑法體系下，違法阻卻事由可以分為法益性闕如原理的違法阻卻事由和基于優越的利益原理的違法阻卻事由，前者如被害人承諾，后者如正當防衛、緊急避險。違法性判斷是控制入罪范圍的重要步驟，也是實質判斷刑事違法的重要標準。因此，法定犯的違法性判斷應當根據案件事實、刑法規定、法益保護原則等進行判斷，是有別于行政法的獨立判斷。因此，刑法中的刑事違法性判斷確實具有相對性，在構成要件符合性上具有從屬性而在違法性判斷上具有獨立性。在判斷侵犯個人信息行為是否構成犯罪時，不僅需要通過前置法識別義務類型來判斷是否具有構成要件符合性，還需要基于刑法條文對違法性進行獨立判斷。例如，個人信息處理者為了保護個人的人身和財產安全，未經個人同意對外提供個人信息的，未造成個人信息相關權益受損，則不應當入罪。

同時，應當搭建個人信息犯罪的出罪路徑。首先，個人信息處理者的中立幫助行為應當出罪。由于拒不履行信息網絡安全管理義務罪與幫助信息網絡活動罪的增設，中立幫助行為入罪的可能性增加。但是如果將中立的技術行為、義務行為等一律入罪，那么只會阻礙網絡經濟和數據經濟的發展。因此應當通過主觀和客觀兩方面判斷個人信息處理者的中立幫助行為是否入罪。客觀方面，從前置法律法規上的義務和社會中一般人認識到的事項為標準進行事后判斷綜合評價行為是否制造了法所不允許的危險。同時還需要判斷行為引起的結果是否是需要刑法評價的結果，是否在義務范圍之內。主觀方面，要求行為人符合“明知”標準才具有有責性。“明知”的判斷標準應當根據行為人需要承擔的義務范圍來認定。例如，當網絡中立幫助行為屬于正常的業務行為且其所幫助的犯罪行為不在其審查義務范圍之內的，中立幫助行為“明知”就需要達到“確知”的標準。當網絡中立幫助行為屬于其應當承擔的審查、監督和管理義務之內的，“明知”可以適用“確知”和“應知”兩種標準。司法機關應當根據個人信息處理者的業務范圍和規模、內部管理機制和審查機制等方面綜合評價行為人是否對犯罪行為“應知”。

其次，基于信息主體同意的行為應當出罪。為了防止這種出罪事由被濫用，刑法也應當對被害人同意的有效要件進行審查。“同意”不應當存在意思缺陷（欺詐、錯誤以及強制）等因素。“同意”應當視為心理狀態和外部行為的統一。“同意”的判斷應具有雙重標準。在客觀歸屬的判斷方面，需要考慮行為人同意時的行為能力、同意的認識。只有被害人具有意思表示和判斷的行為能力，同時對自己即將放棄的法益具有認識時才能將行為和結果歸屬于被害人。在主觀歸屬方面，需要考察同意時的意志自由，可以從同意動機、同意能力、理性選擇的可能性等因素加以判斷。只有同時滿足客觀和主觀兩方面，才能認定“同意”的有效性。

最后，個人信息處理者違法性錯誤應當出罪。個人信息相關的犯罪多是以法定犯的形式存在，法定犯的違法性認識的認定具有復雜性。但是基于法定犯的特殊性質，仍能找出比較抽象的底線性原則，可以從違法性認識錯誤可避免性審查著手。可避免性的審查應當從主觀和客觀兩方面進行判斷。第一，專門領域里專業人員避免違法性認識錯誤的可能性更高。法定犯都是以違反相關義務為前提的犯罪，當行為人處于專門的行業領域之內，應當具有他人所不具有的專業性知識，應當更加明確地認知自身的義務，因此證明這類行為人具有違法性認識錯誤的要求更高。第二，當行為人的行為已經具有明顯的危害性和違法性，即使行為人聲稱自己不知道刑法的具體規定，也不能認定行為人不具有違法性認識。第三，當行為人對行為是否違法存疑時，應當在自身能力可達到的范圍內通過權威途徑對行為的性質進行“驗證”。如果行為人未采取任何措施，不能認定行為人具有違法性認識錯誤；如果行為人經過“驗證”后，仍認為行為不是犯罪行為的，可以認定其具有違法性認識錯誤。

結語

大數據作為戰略資源地位日益凸顯，個人信息的價值更在于流通與共享。但是數據的無序流通會使得隱私、安全與共享利用之間的矛盾問題尤為突出，數據資產地位尚未確立、數據治理體系遠未達成，導致隱私保護和數據安全方面的重大風險。個人信息安全風險隨著數據應用場景的多元會更加復雜，更需要刑事立法和司法作理念作出適度轉變。預防性刑法應當發揮風險調控的功能積極應對個人信息違法犯罪風險，但也需要設定限度以保持謙抑本色。這更需要協調個人信息違法行為的行政責任與刑事責任。未來前置立法應當細化個人信息處理者的義務以及明確個人信息分類分級保護制度，保證前置法與刑法之間銜接順暢，同時又要劃清兩者界限，才能實現既保障個人信息相關權利又促進個人信息合法流通的價值目標。