方彤

摘 要：在互联网时代，加强公民个人信息的保护工作逐渐成为社会共识。如何打击侵犯公民个人信息的犯罪、维护个人信息安全成为刑法的主要工作内容之一。当前部分发达国家已经形成完善的以个人信息保护法为核心的法律保护体系，而我国在个人信息保护的立法工作上仍处于相对滞后状态。本文在界定公民个人信息范围的基础上，分析了当前我国公民个人信息保护存在的问题，并提出相应的解决措施，为相关立法的完善提供可借鉴的思路。

关键词：刑法；保护；公民个人信息；犯罪

21世纪人类社会步入信息时代，互联网遍布个人生活的每个角落，电子商务、电子游戏、网络支付、APP应用等互联网服务被人们广泛使用。它们录入了各种个人真实信息，包括姓名、性别、身份证号码、联系方式、兴趣爱好等。这给人们带来舒适和便捷的同时，也带来了巨大的危机。一方面，各种层出不穷的网络技术手段，例如病毒感染，严重威胁个人信息安全；另一方面，个人信息蕴含了极大的经济价值，成为宝贵的社会资源。这就意味着他人会采用包括犯罪在内的各种手段来收集公民的个人信息，甚至将个人信息作为一种商品公开交易。

随着科学技术的发展，人们的犯罪手段也愈加多样化，与个人信息有关的犯罪呈几何式上升趋势。因此，加强个人信息保护、完善刑法及其他前置性法律体系的相关立法刻不容缓。这对于维护信息管理秩序、保障公民权利、推动互联网产业发展都具有重要意义。

一、公民个人信息的界定

（一）个人信息的定义

目前绝大多数国家承认和采纳的公民个人信息学说是识别说。识别说重点强调“识别”，即通过个人信息能够把信息主体直接或间接地认出来。根据此学说，公民个人信息既包括姓名、身份证号码、照片等能够直接辨识公民身份的信息，还包括了无法直接确认当事人身份时，借助年龄、身高、体重、职业等可以间接确认身份的信息（单靠这些信息本身是无法直接判断的）。

另一种公民个人信息学说是隐私说。隐私说主张从公民个人隐私的角度出發。公民个人信息就是那些自己不愿意向外公布的个人信息，例如价值观点、宗教信仰、个人病史等不危害他人和社会的敏感信息都处于个人信息的保护范围内。

我国刑法采用了识别说和隐私说相结合的观点对公民个人信息进行保护。笔者认为识别说和隐私说互相补充，更能彰显刑法“罪刑相适应”的原则，在司法实践活动中贯彻公平公正的精神。

（二）公民个人信息的法律属性

1.财产权属性

公民个人信息具备财产权的法律属性。一方面，公民的某些个人信息存在的目的就是转化为财富。例如发明权、专利权、著作权等内容的个人信息就是为了进行交易、获取等价值财富而被创造出来的；而涉及银行账号、密码等内容的个人信息本身就属于个人财产权的范围。另一方面，公民个人信息作为一种社会资源，蕴含了极大的经济价值。作为卖方的商家可以直接获取财富，作为买方的商家可以通过大数据分析，调整自己的商业战略，获取更大的利益。凡是获得信息主体的同意对所收集的个人信息进行处理、利用和商品交易都应当合理合法。

2.人格权属性

公民个人信息包含的姓名、荣誉、隐私、健康等内容，直接涉及公民的人格权领域。个人信息的收集、处理、利用等也直接关系到信息主体的人格尊严。除非在获得公民本人同意的情况下（除了涉及国家利益和公共利益的正当理由，但也必须经过特定程序），任何人不得以任何手段收集、处理、利用公民的个人信息。因此，公民个人信息具备了人格权的法律属性。

3.隐私权属性

公民个人信息和个人隐私的内容在一定程度上有所重合。个人隐私是指在自己私人领域内不希望被外界知道的信息。在不涉及他人和社会利益的情况下，每个人都享有不被他人干涉的自由。任何人都有着一些敏感信息，一旦在本人不知情或不愿意的情况下被外界获知，将会给公民身体、心灵、人际交往等方面造成巨大伤害，这些敏感的个人信息就是属于个人隐私权的保护范围。

综上所述，公民个人信息权不仅仅只涉及某一个单独的领域，而是涵盖了财产权、人格权、隐私权多个领域范围的综合性权利。

二、公民个人信息刑法保护存在的问题

（一）相关界定不清晰

做好公民个人信息刑法保护工作的前提就是界定公民个人信息的概念，明确具体的犯罪对象。虽然《刑法》第253条之一对侵犯公民个人信息罪做了明确规定，但在具体的司法实践活动中却很少适用。原因在于大数据时代个人信息界限更加模糊。例如，手机定位信息、用户评价、购买记录、网上浏览记录等是否属于公民个人信息？某些信息单靠其本身是无法识别信息主体的，但是将多个这样的信息组合起来就能够识别信息主体的身份，这些单个信息是否属于公民信息？这些问题既没有法律法规进行规定，相关司法人员在实际案件处理中也未形成统一共识。

与此相关的问题还有，如何确定公民个人信息的真假及真实数量。现代社会中每个人都具备一定自我信息保护意识，在填写个人信息时难免有所保留，例如填写部分虚假信息。此外，很多个人信息本身具备一定的重复性，例如户籍所在地、单位所在地、家庭住址为同一个地方时，究竟算1条信息还是3条信息。这些问题使得具体司法实践活动中很难确认侵犯公民信息的数量。

（二）《刑法》第253条之一的不足

1.犯罪行为方式规定过于简单

《刑法》第253条之一仅列举了“出售”、“提供”、“窃取”三种行为方式，并设置了“非法获取”的兜底性规定。然而，除了以上方式外，储存、利用、处理、修改、删除公民个人信息的行为是否也应划入犯罪行为方式中？手机定位、人肉搜索、大数据分析等方式获取他人信息是否属于“非法获取”的范畴呢？这些问题仍处于搁置中，需要进一步明确规定。

2.“情节严重”缺乏明确标准

我国刑法中许多罪名的“情节严重”标准，都会有相关司法解释对其进行详细的说明。但关于侵犯公民个人信息罪中的“情节严重”、“情节特别严重”，并未正式发布相关司法解释。在司法实践活动中缺乏具体的量化标准，使得很难对本罪做到不偏不倚的量刑。

3.法定刑的设置不合理

《刑法》第253条之一的“提供”包含了“出售”。相比较而言，“出售”比“提供”在行为性质上更加恶劣，但是在本罪中并未区别两者处罚力度的轻重，这是本罪中法定刑设置的不足之处。此外，《刑法》第253条之一还规定了罚金这种附加刑，但并未明确规定罚金的具体额度，导致在司法实践活动中很少被适用。

（三）缺乏完善的前置性法律保护体系

刑法对公民个人权利的保护是建立在完善的前置性法律保护体系的基础之上，只有达到了“情节严重”或“情节特别严重”的标准才受到刑法的保护。但我国并未出台专门保护公民个人信息的综合性个人信息保护法，并未形成核心明确、层析分明的前置性法律保护体系。这导致具体司法实践活动中对侵犯公民个人信息罪的认定存在差异，难以实现法律的公平公正。

三、改善公民个人信息法律保护措施

（一）清晰界定公民个人信息

对侵犯公民个人信息罪中的犯罪对象做出明确规定。可以参考欧盟的做法，采取列举和概括并举的方式（肯定的列举、概括以及否定的列举、概括并行），明确规定公民个人信息包括能够直接识别公民个人身份的姓名、身份证号码、肖像等身份信息；能够反映信息主体社会属性的消费记录、在线客户评价、快递单等；涉及政治观点、宗教信仰、个人病史等的敏感信息。明确公民个人信息的概念，有助于减少本罪认定工作的难度。

（二）完善《刑法》第253条之一的规定

首先，将利用、处理、修改、删除以及以合法手段获取却用于非法目的的行为也纳入本罪的犯罪行为方式。第二，根据掌握公民信息数量、犯罪次数、非法获利的金额、危害行为的恶劣程度、危害结果的大小五个方面确定“情节严重”的标准。第三，合理设置法定刑，加大对行为性质恶劣者的惩罚力度，明确罚金的额度。

（三）建立完善的法律保护体系

我国需要尽快出台专门的个人信息保护法，明确规定公民对个人信息享有的权利、信息收集者和信息处理者的义务、有效具体的法律保护机制，维护信息管理秩序的稳定。此外，还应完善民法、行政法等法律中对公民信息保护的细则性规定，明确行为人行为尚未触犯刑法时，应承担的具体民事责任和具体行政责任，与刑法保护形成良好的对接。

四、结语

信息时代的来临使得公民个人信息的保护工作也变得日益重要。尽管目前刑法及相关法律体系对公民个人信息的保护仍存在缺陷，但是笔者相信，随着个人信息保护法的出台、相关司法解释的正式发布以及完善的法律保护体系的建立，我国的公民个人信息保护工作将取得重大进步。

参考文献

[1] 陈珺.侵犯公民个人信息罪中公民个人信息的认定[D].安徽财经大学，2017.

[2] 张妍.论我国个人信息刑法保护之不足与完善[D].吉林大学，2017.

[3] 李媛.大數据时代个人信息保护研究[D].西南政法大学，2016.

[4] 刘行星，李希龙.侵犯公民个人信息犯罪研究[J].江苏警官学院学报，2013，28（03）：54-58.

[5] 翁孙哲.个人信息的刑法保护探析[J].犯罪研究，2012（01）：32-39.