基于司法大數據的公民個人信息保護研究

李丹妮

(西北政法大學，陜西 西安 710063)

一、 問題的提出

隨著信息化與社會發展持續深度融合，網絡已成為生產生活的新空間和主陣地。 根據中國網絡空間研究院2022 年11 月9 日發布的《中國互聯網發展報告2022》藍皮書，截至2022 年6 月，中國網民規模達到10.51 億，互聯網普及率達到74.4%，已建成全球規模最大的5G 網絡，充分體現了我國數字化、網絡化發展的驚人速度。 網絡的快速發展極大地提高了人民生產生活的便利性，但也意味著公民走進了個人信息透明化的困境，幾乎每注冊一個應用軟件或登錄一個網頁，必定要授權隱私條款使用個人信息，可獲得公民個人信息的主體越來越多。同時，最高人民檢察院發布的數據顯示(如圖1)，個人信息保護案件數量攀升，公民面臨個人信息等隱私透明化、公開化的困境。

圖1 全國檢察機關辦理個人信息保護案件數量

隨著個人信息保護領域矛盾日益增多，我國對個人信息保護的相關研究逐漸增多，大部分主要集中于大數據時代個人信息保護的特征、漏洞以及國外先進保護模式，并提出相應的解決對策，但較少有人通過分析司法大數據，結合我國的司法實踐現狀和事實樣態，對公民個人信息保護進行研究。 文章基于對公民個人信息保護領域司法大數據的分析，歸納我國現階段個人信息案件的主要特征和原因，探討個人信息保護的問題所在，針對司法實踐和案件現實樣態提出保護個人信息的對策，以期通過多元化的途徑和方式保護個人信息權益，促進個人信息合理利用。

二、 個人信息保護領域司法大數據分析與解讀

在中國司法大數據服務網以“個人信息”為關鍵詞進行檢索，對2010 年至2022 年期間全國法院審結的案件進行識別，并多次調整案件類型、審級等搜索項，對個人信息保護領域的司法數據進行多角度的分析和解讀。

(一)從案件類型變化窺見個人信息保護法律體系

以“個人信息”為關鍵詞在全網進行檢索，對2010 年至2022 年期間全國各級法院一審審結的案件進行識別，可以發現，涉個人信息案件中，民事案件類型占比最大，為69.53%，刑事案件占27.74%，還有2.72%的行政案件，無執行和賠償案件。 首先，從案件類型不難發現，由個人信息保護引發的糾紛大多較輕微，僅構成民法上的侵權，屬于違法行為，但過去十三年間也有近三成的涉個人信息案件為侵犯公民個人信息的刑事犯罪，同時，也有極少的情形是因行政主體引起的行政訴訟。 由此可見，我國現階段侵犯公民個人信息的犯罪行為高發、侵害主體有所擴大，且情節嚴重的案件較多。

其次，通過對每年個人信息領域刑事案件和民事案件各自占比的分析(圖2)，不難發現，在《中華人民共和國民法典》(以下簡稱《民法典》)和《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)實施以前，個人信息領域民事案件占比較大，且多年間都未有大幅波動，幾乎保持在60%至65%之間；在2017 年，刑事案件占比攀升至頂點，此后開始下降，民事案件占比逐漸呈上升趨勢，在2021 年和2022 年升至頂峰，將近九成案件為民事案件。 結合相關法律的實施可以推測出，2017 年《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)施行后，對相關主體起到了一定的威懾作用，減少了個人信息領域的犯罪率。 2021 年《民法典》和《個人信息保護法》相繼施行后，我國個人信息保護體系更加完善，從刑事、民事以及行政領域均對其進行了保護與規制，同時，也意味著除了《中華人民共和國刑法》(以下簡稱《刑法》)和《網絡安全法》，公民還可以依據《民法典》和《個人信息保護法》進行救濟，相較而言，一些情節并不是很嚴重的侵權行為可以不入罪，而依據民事法律進行裁判，因此，案件類型的變化可能受到了新法施行的影響。

圖2 個人信息領域刑事、民事案件占比

(二)從爭議焦點看個人信息案件背后的問題

通過對中國司法大數據網統計的爭議焦點進行分析，可以發現有225 件案件對“侵權”和“侵權行為”存在爭議，129 件案件對賠償問題存有爭議，80件案件對“個人信息”存在爭議。 調整審級為“二審”后，可以發現，因為對侵權的認定存在爭議而上訴的案件有63 件。 從以上數據可以看出，涉個人信息案件的主要爭議焦點在于對侵權的認定，在裁判中，界定是否構成侵權、如何構成侵權是當事人容易產生分歧之處。 另外，無論是“賠償損失”還是“精神損害賠償”，實際都可以歸納為對賠償問題存在爭議，由此可以發現，對賠償問題的認定構成了涉個人信息案件的第二大爭議焦點。

三、 公民個人信息保護存在的問題

(一)法律體系橫縱交叉

首先，根據《刑法》第二百五十三條，“情節嚴重”是個人信息領域犯罪行為和侵權行為的分界線，但新法的施行可能會更新個人信息侵權行為中的刑事犯罪行為和民事侵權行為間的界線。 《民法典》和《個人信息保護法》出臺后，法官對“情節嚴重”的判斷和綜合衡量是否會受到影響，我們不得而知。 因此，如何協調個人保護信息領域刑事法律和民事法律之間的關系，以及刑事法律、民事法律與其他部門法之間該如何協調才能維護法律體系的整體性與協調性值得深入研究。

其次，根據我國立法現狀，《個人信息保護法》施行后，我國形成了一定的個人信息保護體系(表1)。 對從業者來說，四部法律的處罰內容、處罰形式常常重復交叉。

表1 個人信息保護體系四部法律的對比

最后，仍有部分涉及公民個人信息保護的法律法規散落在其他領域的法律中，“并未形成一個獨立且成系統的個人信息保護體系，對個人信息進行專門保護，這就造成我國在該領域出現‘九龍治水'的尷尬局面。”[1]也正是這種橫縱關聯、相互交叉的立法體系，使得公民在尋求救濟時，易出現引用、查詢、論證等不統一、不一致的現象，在司法實踐中，各地法官在對案件定性、法律適用和裁判時也極易出現不統一的情形，容易出現同案不同判的現象，不利于對個人信息的保護[2]，還可能危害法律的公正和權威。

(二)侵權行為認定存在爭議

由于個人信息種類內容較多，形式復雜多樣，其侵權形式也多種多樣。 我國法律以列舉的形式規定了侵犯公民個人信息的行為，但只是對現階段常見的以及潛在的侵權行為進行了規定。 時代在發展，而法律本身具有滯后性，不可能完全預判到新的侵權形式并進行窮盡列舉，不能以實踐的復雜性來解構法律的基本內核。 因此，在實踐中，是否侵權需要法官結合具體案情自行判斷，也使得對侵權行為的認定極易引起當事人的爭論和糾紛。

(三)懲罰賠償標準需提高

首先，《民法典》和《網絡安全法》僅僅規定了民事責任，賠償損失作為民事責任的一種，并未有相關法律規范對其進行詳細規定，導致其在實踐中缺乏一定的可操作性。 檢索結果顯示，賠償損失作為供當事人和法官選擇的民事責任的一種，常常受到原告方的青睞，多數原告會選擇讓被告賠償損失。 但由于法律未明確賠償數額、損害結果不好界定等客觀原因，雙方當事人常因賠償損失發生爭議。 從司法大數據平臺的數據來看，有三成的上訴案件是因為對賠償問題有爭議而引起的。

其次，公民個人信息遭受侵害的案件層出不窮，究其原因是我國法治環境和公民意識仍不夠成熟，法律對侵害個人信息的行為懲罰力度較輕，相關違法犯罪成本過低，違法犯罪分子不惜鋌而走險。《刑法》第二百五十三條之一規定，情節嚴重的侵犯公民個人信息的行為，處拘役或者不超過三年的有期徒刑，情節特別嚴重的，處三年至七年有期徒刑，且都可以處罰金刑。 單從刑期來看，對侵犯公民個人信息的刑事犯罪處罰刑期較短，對犯罪分子的威懾力可能較小，違法成本較低。 在民事損害賠償領域，賠償數額較低，無法引起相關人員的重視。

四、 加強公民個人信息保護的對策

(一)完善個人信息保護法律體系

在我國《刑法》《網絡安全法》《民法典》和《個人信息保護法》共同構筑的個人信息保護體系下，應將其統一匯總進保護個人信息的專門法律中，并對所有可能侵犯個人信息的潛在主體進行規范，而不僅僅是信息處理者和相應的監督管理者，個人和其他單位也應由這部專門法律直接規制。 其規制的侵害行為也應盡可能全面，法律責任和處罰形式應科學合理，個人侵害公民個人信息應追究其民事責任和刑事責任，信息處理者、網絡運營者等從業者及其監督管理部門應承擔民事責任、行政責任和刑事責任，其他單位或機構也應承擔以上三種責任。 只是情節嚴重的侵害行為才需承擔刑事責任，無論何種主體均應承擔民事責任。

(二)將侵權行為類型化處理

既然侵權行為不能列舉窮盡，則可用法律類型思維對其進行類型化的概括。 用拉倫茨的話來說就是:“當抽象——一般概念及其邏輯體系不足以掌握某生活現象或意義的多樣表現形態時，大家首先會想到的是補助思考形式是‘類型'[3]。”所謂法律類型思維，是指當無法用單個的概念或標準概括或統攝有著多種因素的事務時，便可以用“類”來代替“個”或者“種”，也就是用一組相關又相似的概念或案例，甚至其他多種形式來表達的一種思維方式[4]。 民法的發展常常采用類型化的辦法，如歐根·埃利希總結的那樣:家庭法自身經歷了發展，這意味著今天的家庭法與中世紀的相一致，只是現在的夫妻關系、父母與子女間的關系與以前相比有了不同的印記；土地所有權也經過了一個發展過程，因為與土地相關的另一類物權與債權已形成，加之農民和大地產占有人間的經濟體制也發生了變化，導致存在著一種不同的體制；契約法也有所發展，這種發展建立一種較新的基礎上，即新的契約類型和傳統契約類型具有不同內容[5]。 在個人信息保護的法律規范中，運用類型化的思維對侵權行為進行定義或描述，從而為法官和當事人提供清晰、明確的法律規則，不失為一種合理的思路，不僅能維持法律應有的穩定性與嚴密性，而且能及時補充需要補充的內容。

(三)提高懲罰賠償標準

首先，應提高侵害公民個人信息違法行為成本。除了美國，歐盟也對侵犯公民個人信息的違法行為實施了高額賠償和罰款的處罰措施[6]。 歐盟對企業侵犯個人信息的行為懲罰較為嚴格，設置了較高的定額罰款和百分比制的罰款標準，無論是直接標明數額的千萬歐元的罰款額，還是以營業額為基準的百分比制的罰款，其犯罪成本都以高昂著稱。 美國加利福尼亞州也有類似的嚴格規定，只要企業違反了保護個人信息的相關法案，對每位用戶的賠償額最高可達七百五十美元和七千五百美元，如果企業的用戶人數眾多，將會出現數額巨大的罰款和賠償金[7]。 從民事責任角度來看，要想提升侵權行為的違法成本，需要使行為人承擔的侵權責任，高于其違法后可獲得的經濟利益，形成與《個人信息保護法》或《民法典》配套的個人信息賠償標準，以補充立法、修改法律或司法解釋的形式，明確此類違法行為的賠償數額。 完善懲罰性賠償制度，提高侵權成本，威懾潛在犯罪分子，從根源上減少侵權行為的發生。 其次，應適當增加此類犯罪的刑事處罰。 公民個人信息權益作為人格權的一種，其與生命權、身體權和健康權均屬于公民的合法權益，其重要性不言而喻，應當受到法律的平等保護[8]。 應重視對個人信息權利的保護，適當加大對侵害個人信息行為的懲罰打擊力度，科學研判后延長刑期，提高侵權人的侵權成本。

五、 結語

通過對司法大數據的分析，可以發現在我國的司法實踐中，個人信息保護領域仍存在諸多問題。應透過問題窺見其背后的原因，對現階段法律體系和司法裁判進行反思，對個人信息領域法律體系的完善、法律的理解與適用提供相應的建議，從而更好地保障公民的合法權益。