丁 瑜

（中央民族大学法学院，北京 100000）

引言

随着大数据时代到来，信息化发展程度加深，公民个人信息中隐藏着巨大的价值，若被不法分子掌握、利用，人与人之间的隐私将荡然无存，也会对社会秩序产生不利影响。我国刑法通过两个刑法修正案将侵犯个人信息犯罪予以规定后，颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），更加系统的规定了侵犯个人信息犯罪的量刑标准与实践中法律适用的问题。

一、大数据环境下个人信息的刑法保护

（一）《刑法修正案（七）》对于个人信息犯罪的规定

面对互联网犯罪的指数增长，个人信息泄露问题日益严重的现象，2009年的《刑法修正案（七）》首先规定了公民个人信息权的刑法保护，增设了刑法第二百五十三条“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的规定。

（二）《刑法修正案（九）》对于个人信息犯罪的完善

2015年，我国《刑法修正案（九）》对侵犯公民个人信息罪进行了修改。主要进步之处如下：第一，《刑法修正案（九）》第十七条将“窃取、其他非法方式”加入到侵犯公民个人信息罪的具体行为方式中，并增加了相关履职与服务人员的从重规定，在司法实践中具有较强的确定性和操作性；第二，《刑法修正案（九）》升格法定刑，规定侵犯公民个人信息罪情节特别严重的处三年以上七年以下有期徒刑，有利于遏制当前频繁发生的侵犯公民个人信息的犯罪现象；第三，新增的第二款规定了从重处罚，对于因工作性质而掌握大量个人信息的人员一旦泄露个人信息，会造成极大的不良影响，因此对于特殊主体的从重规定十分必要。

（三）《解释》对个人信息的完善

2017年6月1日最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，解决了《刑法修正案（九）》颁布后的诸多司法难题，进一步完善了该类犯罪的认定。第一，明确了对公民个人信息的范围，并确定了公民个人信息应当具有识别性的特点。《解释》中将公民个人信息分为三类：敏感信息、可能影响人身财产安全的公民个人信息和上述两项以外的公民个人信息。第二，明晰定罪量刑标准。非法获取、出售或者提供五十条以上个人敏感信息即构成犯罪。为牟取利益，出售或非法提供公民个人信息违法所得5000元以上，即构成犯罪。《解释》明确规定了“情节严重”和“情节特别严重”的认定标准，主要从：信息类型和数量、违法所得数额、信息用途、主体身份、前科情况五个方面来认定。“情节特别严重”的认定需要结合数量数额标准和严重后果两个方面进行认定。

二、对个人信息刑法保护困境的审视

（一）侵犯个人信息犯罪的法益界定

学界对于侵犯个人信息犯罪的法益界定仍有争论，主流观点认为侵犯个人信息罪的法益是公民的人格权。支持这一观点的人认为，从其在刑法典中的位置来看，立法者的意思是侵犯个人信息的行为是侵犯公民人格权的行为，因此将其规定在刑法第四章“侵犯公民人身权利、民主权利罪”之中。而且从其他部门法规范来看，基本立场是承认个人信息具有人格权益属性，应采取人格权保护的模式。反对的观点认为，侵犯公民个人信息犯罪不应仅在“个人信息”字眼上来进行法益界定，在当今这个大数据时代，其还可能对公民的财产权益产生影响，比如近年来比较普遍的现象是部分国家机关或者电信、医疗等掌握大量公民个人信息的单位，经常出现泄露大批公民个人信息而牟利的事件，从而引起诸如网络诈骗、公民虚拟财产被盗等事件。此外，侵犯公民信息类犯罪具有大规模信息泄露的特点，侵害公民群体的利益，其侵犯的法益已经不再局限于个人，而具有一定程度的公共性和社会性（比如希拉里“邮件门”事件），若仍局限在公民个人的人身权益上，显然是不合适的。

也有观点认为侵犯个人信息罪所设定的法益是公民的信息权或者公民的个人隐私，因为此罪主要还是在于其侵犯了公民的信息权益或者公民的私人信息不允许他人非法搜集利用的利益，造成了对法益的侵害[1]。第三种观点认为，侵犯个人信息罪的法益是“公权（益）关联主体对个人信息的保有”，保证掌握大型数据库的国家机关对公民个人信息的保有，从而保护大量权利主体的利益。即在公民个人信息权和隐私权背后，一定还有立法者看来更为重大、更居优位的保护法益[2]。

（二）新《解释》与已有刑罚体系相矛盾之处

1.相似罪名的规定有所矛盾。《解释》第五条第1款第2项的规定，知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的，认定为非法出售、提供公民信息“情节严重”的情形。但是按照共犯理论，知道或者应当知道他人利用个人信息实施犯罪，并向其出售、提供，行为人成立他人犯罪的帮助犯，这属于帮助犯的正犯化。但是帮助犯被正犯化以后，帮助行为提升为正犯行为，那么在他人实施了侵犯公民个人信息的犯罪时，会出现利用公民信息犯罪和明知他人利用个人信息实施侵犯个人信息罪而向他人出售或者提供两个犯罪，对个人信息这个法益评价了两次。因此，该条值得商榷。

2.相似罪名的入罪规定有矛盾。侵犯公民信息罪和非法获取计算机信息系统数据罪是相似罪名，实践中也时常发生竞合，但新《解释》出台后，两罪的入罪标准有很大差异。在《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》中规定了非法获取计算机信息系统数据罪的认定标准：非法获取网络金融服务的身份认证信息10组以上或者非法获取其他身份认证信息500组以上，构成犯罪。但新《解释》规定，非法获取、出售或者提供行财产信息等敏感信息五十条以上或者其他可能影响人身、财产安全的公民个人信息五百条以上的，或者普通信息数据五千条以上的成立犯罪。对于违法所得数额的入罪标准，两罪的规定都是五千元以上。这两个罪名的危害结果大致相当，理应获得相似的裁判，但一方面，两罪在入罪标准上却相差了五十倍、十倍，另一方面，在违法所得的数额标准两罪却等同，这不符合罪刑相适应的原则，更严重影响了刑法公平正义的形象和权威性。

（三）仍然没有规制非法利用行为

我国刑罚明确了非法获取公民个人信息罪以及出售、非法提供公民个人信息罪，而非法利用的行为仍然没有被归入刑法规制体系中。这非常不利于全面维护公民个人信息安全，原因如下：

第一，个人信息的最大价值在于被行为者利用，其猖獗的主要原因之一是市场需求广阔，很多获取、出售等环节最终都是为了使用个人信息，这是对公民的正常生活干扰破坏程度最大的侵犯行为。比如合法掌握大量公民个人信息的单位中的工作人员没有将信息出售、非法提供给他人，而是自己进行非法利用。

第二，从刑法理论角度分析，非法收集个人信息行为仅对他人权利造成一种抽象危险，而非法利用个人信息行为却对他人权利造成了实际侵害[3]。因此，相比非法收集、提供个人信息的行为，非法利用个人信息的行为对公民和社会的危害性更大，但其却还没有纳入刑法规制，这显然不利于个人信息的保护，也使刑法有失均衡。

三、个人信息犯罪刑事立法的完善路径

（一）重新界定侵犯公民个人信息罪的法益

我国刑法将侵犯个人信息罪规定在第四章中，但笔者认为侵犯个人信息罪的法益不能简单认定为是公民的人身权利，其还具有一定程度的公共性。首先，将侵犯个人信息纳入人身权保护范畴的理论基础不扎实。个人信息中不仅包含个人的人身法益，还包含了个人的财产法益，新《解释》中对公民“个人信息”的定义也包括了“财产状况、行踪轨迹”等。基于这样的理解，个人信息显然是包括身份信息和资金账户信息，会涉及到个人的财产利益。此外，如果可以认为侵犯个人信息犯罪也包括了侵犯单位信息，那其法益就不能被人身权利这一法益所涵盖。其次，从刑法的谦抑性和严厉性角度，只有具有社会危害性的行为才需要被刑法制裁。我国法律对个人信息保护应当是一套完整的体系，需要民事赔偿、行政处罚和刑事制裁相衔接。基于刑法的谦抑性和严厉性，如果仅仅是侵犯特定公民的个人信息，没有达到对社会有危害程度时，应当依照《侵权责任法》进行民事赔偿或者采取行政处罚，否则也可能损害刑法在人们心中的威信。新《解释》规定了“情节严重”应当入刑的几种情形，这也表明不是侵犯到个人信息的人身权法益就要采取刑事制裁，只有危及到公共安全时才需要刑法的规制。因此侵犯个人信息犯罪归入《刑法》第四章并不妥当，应当重新考虑该类罪的法益界定。

（二）增设非法利用个人信息和持有型犯罪的考量

首先，非法利用个人信息的行为对社会的危害性更大，有必要将其纳入刑法规制。从比较法上看，很多国家和地区都将来个人信息利用行为规定在刑法中，如《德国刑法典》在204条设置了“利用他人秘密罪”，最高可处2年自由刑；类似的立法还有《澳门刑法典》第190条设置了“不当利用秘密罪”。但对于非法利用行为的认定的条件，不能过于严苛，不当扩大刑法规制范围，也不能限制宽泛，量刑轻于非法提供行为。笔者认为，非法利用的条件应当满足“未经本人同意”以及“造成他人损害或者危害社会”，还应增设因职务便利而掌握大量个人信息的人员非法利用的从重处罚规定。

其次，对于持有行为是否需要规定，存在很多争议。赞同者认为之所以将持有纳入犯罪，主要基于刑法的积极一般预防机能[4]。将对个人信息事实上的支配、控制入刑具有堵截犯罪的作用。因为行为人持有个人信息并不能实现获利，所以其后续行为一般都会利用其掌握的个人信息实施犯罪，即持有大量个人信息的行为具有导致法益被侵害这一后果的高度盖然性。互联网发展使得信息类犯罪隐蔽性增强，侵犯个人信息犯罪越来越不容易得到控制，因此，确有必要将持有、储存个人信息达到一定数量或具有一定危害程度的行为纳入刑法规制，更好地预防该类犯罪。反对者的观点是，在互联网领域动辄将某些行为纳入犯罪体系，对互联网犯罪的行为做扩张性解释，扩大各类罪行的打击范围和打击力度，会导致刑法的泛刑主义抬头[5]。将非法持有行为规定为犯罪并不恰当。第一，非法持有入刑虽然在一定程度上是基于互联网的超强传播能力，易引发群体性事件而维护社会公共秩序，但刑法作为规制社会秩序的最后一道防线，不能将任何可能危害社会的行为都包含在内。应当清晰界定犯罪的界限，严格区分违法行为与犯罪行为，不宜扩大个人信息犯罪的惩治范围。第二，持有行为其实是一种持有状态，不能认为个人信息持有者的利益和社会公共秩序在毫无知觉和没有损害的情况下被侵犯了。若一定要以持有目的论，那么首先应当明确持有大量个人信息的目的是什么，若其目的并不在于非法提供利用，那么将持有入罪无异于实行了有罪推定；即使认为持有个人信息的行为目的一般在于牟利，必会侵犯个人信息，那么一旦明确其目的，就会构成侵犯个人信息类犯罪，没有必要通过持有来兜底预防。第三，此种做法可能不当影响个人信息的有效利用。在如今这个互联网、大数据时代，网络经济发展十分依赖海量信息汇聚成的大数据，需要对信息的有效利用。数据的流通与获取是信息有效利用的前提，如果个人信息数据无法流通、无法获取，大数据产业也将成为无水之源[6]。因此，抑制信息的持有无疑会使得个人信息收集与利用受到影响，降低个人信息的利用效率。

（三）对侵犯公民个人信息罪和其他犯罪之罪数确定

1.侵犯公民个人信息罪与窃取、收买、非法提供信用卡信息罪的罪数确定。两罪虽近似，但在犯罪客体和行为方式还存在明显不同。前罪的行为方式包括出售、提供、窃取以及其他方式，后罪包括窃取、收买和非法提供；前罪的犯罪客体是公民的信息自由与安全，后罪的犯罪客体是信用卡信息和金融管理秩序。可以看出，两罪之间存在包容与交叉的关系，行为人实施的一个行为可能同时触犯这两个法条，构成法条竞合犯。在刑法没有特别规定的情况下，应按照特别法优于一般法的规则，且后罪的量刑较前罪更重，所以按照后罪进行定罪处罚。此外，侵犯公民个人信息犯罪与非法获取计算机信息系统数据罪也是法条竞合的关系，后罪相对于前罪是特殊法，应按后罪处理。

2.侵犯公民个人信息罪与侵犯商业秘密罪的罪数确定。若行为人侵犯的公民个人信息包含了商业秘密，同时符合侵犯公民个人信息罪和侵犯商业秘密罪的构成要件，但两罪的法条不存在包容和交叉的关系，属于刑法中的想象竞合犯，应当择一重罪论处。

3.侵犯公民个人信息犯罪与诈骗罪等犯罪。司法实践中，许多行为人获取公民个人信息都是为了诈骗他人钱财，这时侵犯公民个人信息犯罪与诈骗罪等犯罪存在牵连关系，一般情况下，适用从一重罪论处的罪数原理，但根据《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》规定，在获取个人信息已构成犯罪后又使用其非法获取的个人信息实施其他犯罪，构成数罪的，应当依法予以并罚。

四、结语

21世纪是互联网时代，也是大数据时代，信息社会的发展进入了新的历史阶段，伴随而来的侵犯公民个人信息的现象迅速增长。我国刑法也在不断完善对公民个人信息犯罪的制裁规定，从《刑法修正案（七）》中的入罪规定，到《刑法修正案（九）》和新《解释》的修改完善，但这在信息技术发展一日千里的情况下，这些规制还远远不够，应当不断进行完善，重新思考个人信息罪的法益，增设非法利用个人信息犯罪，并明确侵犯个人信息犯罪与其他犯罪之间的界限。●

[1]付强.非法获取公民个人信息罪的认定[J].国家检察官学院学报，2014，（2）:121.

[2]皮勇,王肃之.大数据环境下侵犯个人信息犯罪的法益和危害行为问题[J].海南大学学报（人文社会科学版），2017，（9）.

[3]陈璐.论《网络安全法》对个人信息刑法保护的新启示——以两高最新司法解释为视角[J].法治研究，2017，（04）：86-94.

[4]张建军.谦抑理念下持有型犯罪的立法选择[J].国家检察官学院学报，2011，（6）:108．

[5]袁永新,马献钊.新刑法实施后司法中的泛刑主义[J].河南省政法管理干部学院学报，2000，（4）.

[6]金耀.个人信息去身份的法理基础与规范重塑[J].法学评论,2017，（3）:120-130．