数据交易中个人信息的刑法保护

2018-03-17李明鲁

石河子大学学报（哲学社会科学版） 2018年2期

李明鲁

（中国政法大学刑事司法学院，北京 100088）

2015年4月，贵州省贵阳市成立中国首家大数据交易所，自此开启了我国数据交易正规化、产业化的新篇章。在“互联网+”时代，数据与人们的生活和工作越来越密不可分，大数据中蕴藏着无穷价值和财富，大数据成为商家的必争之地，也成为政府予以关注和规范的重点领域。数据作为信息的载体，像计算机芯片一样，承载着海量的公民个人信息，数据信息在交易流转的过程中，信息泄露和非法买卖个人信息等安全隐患屡见不鲜。经济快速发展的背景下，数据不可避免地要进行交换、交易和融合，发挥数据潜在的优势和效能，法律则责无旁贷地要承担起平衡数据交易发展与个人信息安全之间紧张关系的时代任务。

一、数据交易中个人信息的安全现状

大数据、物联网、云计算等新兴科技带领人们步入继互联网时代之后的大数据时代。数据的来源主要包括以下三种：企业经营所产生的交易信息、物联网下的商品信息和物流信息以及人们之间的通讯信息和位置信息等[1]85。如果说在大数据时代拥有数据就等于掌握了财富，那么数据流通和开放无疑会使财富成倍增长。

我国数据交易产业尚处于发展初期阶段，但已经创造了显著的经济效益，据《2016年中国大数据交易产业白皮书》公布显示，预计到2020年，中国的大数据产业将紧跟美国之后，在全球各地区大数据产业所占市场份额中位居第二。然而利益往往成为滋生犯罪的土壤，“通过网络攻击就可以一次获取数以万计的数据”[2]10，低廉的违法成本与巨额违法收益，令不法之徒不惜铤而走险。

（一）数据交易大趋势

数据的应用在日常衣食住行方面越来越普遍，在企业经营、市场运作以及政府管理等过程中，数据也占据着一席之地。数据开启了真正意义上人们生活、工作与思维的大变革，这要求我们要快速转变思维方式，紧跟时代发展趋势，迎接大数据所带来的机遇与挑战。

数据价值的多元是数据交流和开放的结果，数据的关联性要求不同行业和领域之间的数据进行共享和融合，单一行业难以汇集、分析和整合多角度、全方位的数据信息，然而孤立的数据不足以发挥数据的多元价值，最终其将在竞争激烈的商业环境中逐步丧失竞争优势。为满足企业对不同种类数据的需求，克服企业不能有效获取安全的底层数据的问题，大数据交易平台应运而生。大数据交易打破各行业领域间的信息壁垒，原始数据源经过清洗、整理、建模后得出的数据分析结果成为可交易的对象，在具有交易需求并达成协议的双方企业之间流转。数据成为一种商品，但数据承载着隐私信息使其又不同于一般的商品，数据的可复制性与易获得性意味着数据交易将面临更多的安全威胁。

（二）个人信息在正规交易和非正规交易中的安全风险

大数据交易中心作为数据公开交易的平台，在引导交易双方完成数据交易的同时，还承担着审查各方信誉和资质、防止交易数据泄露等保障交易安全的义务。如果大数据交易所未履行数据交易安全保障义务，则应对数据泄露造成的损害后果承担相应的法律责任。在交易平台交易的数据是否能够保证数据采集安全合法？又能否防范在数据存储、传输的过程中，信息被泄露的风险？这些问题成为公众关注的焦点。事实上，在正规的交易平台之外，还存在不符合交易规范的“交易黑市”，其间盗取和非法买卖公民个人信息的现象更是屡禁不止。

2017年6月20日，我国首例“刷单入刑”案公开宣判，行为人组织淘宝刷单，制造虚假交易，因触犯非法经营罪被依法判刑。刷单即伪造购物交易，需使用到大量客户信息，而买卖快递单号是获得客户信息的快速渠道，因此记载有身份信息、手机号码和住址的快递单号成为被非法交易的对象。不仅快递行业掌握着数以万计的公民个人信息，医疗、金融、电信等领域同样是公民隐私信息的汇集之地。一旦出现数据泄露事故，数据信息被非法利用，继而会引发一系列后续诈骗、伤害犯罪。

二、数据交易中个人信息犯罪的刑法保护路径

自《刑法修正案（九）》增加侵犯公民个人信息罪以来，我国刑法强化了对公民个人信息的保护，严厉打击侵犯个人信息的违法犯罪行为。于2017年6月1日起正式施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对于侵犯公民个人信息的犯罪行为作出具体的细化规定，进一步明确了个人信息犯罪的定罪和量刑标准。

（一）个人信息的内涵界定及法益保护基础

数据与信息具有同质性，数据是信息的载体，信息经过数据化后得以存储和传输。信息从种类上可分为：与国家利益相关的国家秘密、情报，商业秘密及其他与社会秩序相关的信息，公民个人信息等。其中，公民个人信息因涉及面广、基数大，又与社会公众的切身利益密切相关，自然受到更多关注，故应予以更为全面有效的法律保护。

1.个人信息内涵界定

最高人民法院与最高人民检察院联合出台的司法解释对“公民个人信息”的定义采取概括加部分列举的方式，即“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”①参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条。，并举例说明，包括个人姓名、住址、身份证件号码、行踪轨迹等等。根据此解释规定，突出了信息的身份识别性。司法解释第3条“经过处理无法识别特定个人且不能复原的除外”，是对非法提供公民个人信息的特殊规定，说明只有行为对象是能够识别本人身份的信息，才有可能成立公民个人信息犯罪，再次明确了公民个人信息具有身份可识别性特征。

公民个人信息根据信息的功能可分为三类：“一是表明身份的个人信息，如家庭住址、职业、身份证号等；二是反映财产状况的个人信息，如银行账号和密码、房产信息等；第三类是涉及隐私的个人信息，如通信往来、健康档案等。”[3]55司法解释没有穷尽也不可能穷尽个人信息的外延，因为伴随数据技术的普遍应用，能够显示公民身份和活动情况的信息形式愈来愈多，适当放开对于公民个人信息的限定，更有利于全面保护公民个人信息的安全。但这并不代表为了保障信息的安全，可以无限扩大公民个人信息的外延，无原则地突破入罪边界。刑法的谦抑性要求应以身份可识别性作为公民个人信息的判断基准，并从法益保护角度准确把握公民个人信息的界限。

2.个人信息的法益保护基础

我们现在身处的是陌生人社会，每个人都有属于自己的安全领域不允许他人干涉，门户紧闭建立起个人与外界之间的坚固屏障。而大数据时代却让这道屏障形同虚设，信息存储在网络云端，别人只需轻轻点击鼠标而不用敲开房门，就能轻而易举地掌握各类信息。信息化时代中公民的个人信息极易成为被攻击和利用的对象，一是由于个人信息的易获取性，购物、出行和住宿都会留下消费记录，从而单独或者相互结合便可以确定公民的身份和活动情况；二是信息犯罪会滋生出一系列后续犯罪，诈骗等犯罪需要获取受害对象的个人信息，因此非法获取和交易公民个人信息具有“市场需求”。

所有法益均体现一定的利益，但并非所有的利益都能够称之为法益，只有“通过立法确认，利益才可以上升为法益。”[4]176利益在得到立法确认之前，即法律未将侵犯此利益的行为规定为违法行为或者犯罪行为，那么对于侵害这种利益的行为便无法寻求法律上的保护。在1997年刑法条文中，没有针对个人信息犯罪的规定，但社会发展和科技进步催生了大量信息犯罪，因而《刑法修正案（九）》将个人信息作为犯罪对象，从此开启了对公民个人信息的刑法保护历程。

（二）数据信息保护的刑事立法沿革

在《刑法修正案（七）》正式施行之前，刑法尚未明确使用“数据”一词，因为当时网络数据发展较慢，数据应用并不普及，因此只规定非法侵入计算机信息系统罪，用以保护“国家事务、国防建设、尖端科学技术领域”②《刑法》第285条：“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”等与国家重大利益相关的计算机信息系统。《刑法修正案（七）》出台后，国家利益之外的“普通公众的数据权”[2]12开始走进刑法保护的视野，增设非法获取计算机信息系统数据、非法控制计算机信息系统罪，自此存储、处理、传输的数据开始作为刑法的保护对象，非法获取计算机信息系统数据的行为被纳入刑法的调整范围。同时还增设出售、非法提供公民个人信息罪，非法获取公民个人信息罪，刑法保护的重点逐渐从信息系统转变为个人信息。

《刑法修正案（九）》进一步将出售、非法提供公民个人信息罪，非法获取公民个人信息罪整合为侵犯公民个人信息罪。加大对公民个人信息安全的保护力度，突出体现在犯罪主体由从事特定职业的身份犯扩大为一般主体，法定最高刑由三年以下有期徒刑或者拘役，上升为三年以上七年以下有期徒刑，将并处或者单处罚金也修改为并处罚金。大数据时代背景下，个人数据信息的价值和经济效益日益凸显，数据交易成为大势所趋，如何在数据开放和信息保护之间寻求平衡则是刑法必须面对的新课题。

三、数据交易不同环节中的个人信息犯罪

数据交易不只是狭义的数据交换，广义上的数据交易还包括数据交换阶段之前的数据收集、存储和处理阶段。对公民个人信息犯罪进行横向分析，可以从犯罪对象、犯罪行为类型、犯罪主体分别进行研究。将数据交易分为几个不同的阶段或环节，对各环节行为分别进行分析，是对个人信息犯罪的纵向研究。只有合法收集和获取的个人信息才能进行交易，明知信息来源不法仍进行交易将构成公民个人信息犯罪。

信息来源不法可分为直接来源不法和间接来源不法。直接来源不法即信息收集主体“监守自盗”，将自己在工作职务中获得的公民个人信息进行非法提供或出售；间接来源不法是针对接受信息的一方，其购买、收受、交换的信息是以窃取等方法非法获取的，接受方的信息是一种间接来源不法。信息直接来源不法主要发生在数据的收集、存储和处理阶段，数据交换阶段中信息犯罪的不法来源则可能是直接来源不法或者间接来源不法，而控制直接来源不法是抑制间接不法的关键，所以研究数据交易中个人信息犯罪的重点在于分析数据交换之前的数据收集、存储和处理阶段中出现的信息违法犯罪问题。

（一）收集阶段：方式和主体

数据交易的第一阶段是数据信息收集阶段，作为数据交易的源头，收集的方式或内容有一项不符合国家规定，便有可能构成公民个人信息犯罪。

1.窃取或者以其他方法非法获取公民个人信息

刑法第253条之一第三款是对于获取型信息犯罪的规定，行为方式是“窃取或者以其他方法非法获取”，其中“窃取”即隐秘取得，可类比普通盗窃行为，只是其特殊之处在于窃取对象是公民个人信息而非一般公私财产。司法解释将“其他方法”具体规定为购买、收受、交换等方式，另外明确了特定行业如果违反国家规定，在履行职责或者提供服务过程中收集公民个人信息，也属于非法获取公民个人信息。

“非法获取”并不等同于以非法手段获取。“窃取”毫无疑问是一种非法手段，而“购买、收受、交换”以及特定行业领域的收集则是以和平方式获取。如果从非法手段的角度，与“窃取”的行为方式显然不具有相当性；“非法获取”强调的其实是行为性质的违法，即“违反国家有关规定”，而非手段违法。非法获取信息即无法律依据地收集信息，特定行业成为公民个人信息犯罪的行为主体，是因其违反了国家法律法规或部门规章关于获取公民个人信息的相关规定，具体包括未经个人同意的收集和超越服务范围进行收集。

2.特定行业信息收集主体的法定义务

不纯正不作为犯罪以不作为之人具有保证人地位为构成要件，“居于保证人地位的不作为之人，对于一定犯罪结果的发生，负有保证该结果不发生之义务”[5]620，而以不作为的消极方式导致结果发生与以作为的积极方式导致结果发生具有等价性，此为不纯正不作为犯罪的责任基础。侵犯公民个人信息罪既可以以作为方式构成，也可以以不作为方式成立，如收集公民个人信息时，未明确告知收集目的、方式和范围，成立不作为的“非法获取”公民个人信息。以不作为方式构成本罪的处罚依据，是负有法定义务的主体未履行该义务，从而导致危害后果的发生。根据《网络安全法》规定，特定行业数据主体在信息收集阶段具有以下法定义务：

（1）明示告知义务。手机中大部分应用软件为了实现其服务目的，都要求收集用户的个人信息。用户对于自己的个人信息有选择被收集和不被收集的权利，同时对被收集的个人信息享有知情权，使用该应用软件不代表对信息收集的默示同意，所以在安装使用前，应用软件应当在服务条款中告知信息收集的范围和目的，由用户自行选择设置或者取消对信息的收集。

（2）有限收集义务。根据《网络安全法》第41条第二款的规定，信息收集主体收集的个人信息不得“与其提供的服务无关”①《网络安全法》第41条第二款：“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”，即不得收集其提供服务所必需的信息之外的其他信息，并且不得将收集的个人信息用于提供服务以外的目的。特定行业信息收集者在服务内容变更或者隐私条款发生更新等情况下，还应在服务协议中重新进行提示，再次征得用户同意之后方可继续收集公民个人信息。一次授权、永久有效而造成实际收集的范围和方式与先前约定的内容不一致的，会导致损害用户对其信息被收集和使用的知情权。

（二）存储和处理阶段：作为方式与不作为方式

医疗、金融、交通行业收集并存储着亿万条包含商业秘密、个人隐私的企业信息和公民个人信息，通过对信息的整理和分析，以提供更有针对性的优质服务。然而对信息安全管理的重视却跟不上对信息与日俱增的应用需求，脆弱的信息防护系统成为黑客和企业内部人员觊觎的目标，因此数据泄露事件频发。重要信息的泄露将给公民的人身和财产安全带来巨大的安全隐患，特定行业作为信息收集者和信息应用者，应当通过采用数据加密、数据脱敏、风险防控措施等技术手段，担负起管理与保障信息安全的义务，不履行该义务则可能构成不作为的侵犯公民个人信息罪或拒不履行网络安全义务罪。

1.黑客、企业“内鬼”——作为方式的个人信息犯罪

各行业领域收集的信息经整理分类后形成数据库，不同于传统的财产犯罪，行为人远程操作就可以攻破存在技术漏洞的信息系统，未作匿名化处理的数据信息一览无余。而且在开放的互联网空间，遭到泄露的个人信息经过大范围的公开传播，危害后果将成倍放大。入侵数据信息系统，非法获取数据的行为不必然成立侵害公民个人信息罪，根据获取数据的性质属性不同，针对公民个人信息以外的数据的犯罪则可能成立非法获取计算机信息系统数据罪。

在一起案件中，行为人陈某甲、陈某乙通过技术手段侵入计算机信息系统，非法获取他人具有交易价值的游戏账号，其行为构成非法获取计算机信息系统数据罪①浙江省临海市人民法院〔2015〕台临刑初字第1155号判决书。。存储于计算机信息系统中的公民个人信息和游戏账号，从本质属性上都属于数据，但数据作为一种信息载体，具体包括国家秘密、商业秘密和公民个人信息等反映不同法益的数据，根据所侵犯的法益，分别成立非法获取国家秘密罪，为境外窃取、刺探、收买、非法提供国家秘密、情报罪，侵犯商业秘密罪，侵犯公民个人信息罪等。而非法获取计算机信息系统数据罪“重在调整对于信息系统的侵害和破坏，而不是根据技术对象的不同进行区别保护。”[6]112侵害公民个人信息罪虽然也可以表现为以侵入计算机信息系统的方式窃取公民个人信息，但刑法重点保护的法益不是被侵入的技术系统资源，而是系统中所存储的具体信息。

可以从侵害对象与侵害手段明确两罪的界限：一是判断侵害的对象是否是具有身份识别性的公民个人信息；二是判断所采取的侵害手段，非法获取计算机信息系统数据罪只能通过非法侵入或者其他技术手段的方式来获取数据，而侵害公民个人信息罪则不限于非法侵入方式，还包括非法出售、提供和购买、收受等。

2.信息管理者——不作为方式的个人信息犯罪

企业、政府和其他服务平台出于开展事务的需要，或为发掘利用数据的潜在价值，同样收集了大量公民个人信息。信息持有者对于防止信息安全风险的发生负有保证人义务，因违反信息安全管理义务而导致信息安全事故发生的，则可能构成拒不履行信息网络安全管理义务罪。侵犯公民个人信息罪强调作为责任，重在打击主动出售或者提供个人信息的行为，而网络服务提供者对于信息安全管理的不作为也应引起重视。数据的开发与信息安全的保护并非冲突对立，相反，管理信息安全正是为了更好地可持续开发数据，试想信息系统总是遭受攻击的企业又如何高效运营数据产业呢？

根据我国《网络安全法》的相关规定，信息管理者的作为义务来源主要包括：

（1）变更、删除信息义务。删除权是个人信息权的重要组成部分,《网络安全法》明确赋予个人在一定情况下有请求删除或者变更其个人信息的权利。与欧盟《通用数据保护条例》②欧盟《通用数据保护条例》（General Data Protection Regulation）将于2018年5月25日正式施行，替代1995年颁布的《个人数据保护指令》（Data Protection Directive）。（以下简称“《条例》”）规定的删除权（又称“被遗忘权”）①《通用数据保护条例》第17条确立了被遗忘权规则，核心内容有：当用户依法撤回同意或者数据控制者不再有合法理由继续处理数据时，用户有权要求删除数据。如果数据控制者将个人数据进行了公开传播，他应该采取所有合理的方式予以删除（包括采取可用的技术手段和投入合理成本），数据控制者有责任通知处理此数据的其他数据控制者，删除关于数据主体所主张的个人数据链接、复制件。相比，我国规定的信息删除权是一种狭义的删除权。从删除权的行使条件上看，欧盟《条例》规定只要用户撤回同意或者数据控制者没有合理理由再继续保留该数据，该数据就应当被删除；而我国网络安全法第43条将条件限定为违反法律法规或者双方约定收集、使用个人信息，所以当信息收集和使用符合法律法规且按照约定进行，用户便无权撤回已作出的信息被收集和使用的同意。另外，我国《电子商务法（草案）》规定了对于信息的保存期限，信息收集主体应当在法定或约定的保存期限届满时，主动或者依用户请求将相关信息删除、停止处理或者销毁。比如用户在注销账户后，信息收集主体即无正当理由继续保留和处理该用户信息，应当进行及时删除。

（2）数据加密与数据脱敏义务。数据加密和数据脱敏技术通过存储加密、传输加密、匿名化处理等技术手段，防止数据被泄露，保护敏感性信息的安全。存储、传输中的数据经过加密，即使被外界不法获取，因无法破译也不能识别和利用其中的信息，从而减少了数据泄露引发的危害后果。但如果数据是被内部人员所获取，数据加密对掌握破译方法的内部工作人员便失去作用。为防止内部工作人员窃取数据信息，企业应构建内部防控制度，给有机会接触到个人信息的工作人员设立访问权限，使其只能对职务管辖范围内的数据进行操作和控制，从而降低数据被泄露的风险。

（3）风险防范义务。《网络安全法》为强化服务管理平台的主体责任，明确规定在危害网络安全事件发生时，应当立即启动应急预案并采取补救措施；在发生或者可能发生信息泄露等安全事故的情况下，也应当立即采取补救措施。可见，信息管理者的风险防范义务不仅表现在信息安全事故发生后的补救义务，还体现在安全风险发生前，为防止数据泄露、丢失而采取必要技术措施加以预防。“支付宝针对用户个人信息和资金被非法获取的风险，专门制定了风险防控条款。通过记录位置信息、IP地址、移动设备识别码等信息，根据用户的使用习惯进行对比分析，以此判断安全风险。”②相比于信息安全事故发生后的被动补救，加强对安全风险的监测与评估，防患于未然，主动应对风险隐患的做法更值得提倡和借鉴。

（三）数据交换阶段：非法出售、提供或者购买、收受公民个人信息

公民个人信息经过汇总分析，可以用于企业的精准营销，提高市场竞争力，也可以被侦查机关用于案件侦查和犯罪预测，如根据以往的犯罪案件分析得出犯罪高发地区，从而加强对该地区的巡查力度，以达到侦破案件与预防犯罪的目的。但公民个人信息是一把“双刃剑”，“数据黑市”的存在让公民信息被非法获取和利用，由此引发诸如电信诈骗等一系列违法犯罪行为。

1.违反国家规定出售、提供公民个人信息

各行业领域开展业务和提供服务都可能应用到其他行业的数据，而数据交易满足了数据应用方对于数据的市场需求。数据交易平台应当审查交易主体的资质和信誉，隐去交易数据中的个人敏感信息，把好数据流向外部的最后一道安全关。

（1）非法获取信息后又出售、提供的：违法后果不重复评价

假设甲从交易平台合法购买公民住宿信息480条，又非法获取公民住宿信息10条，并将总计490条信息非法出售给乙。该案中，甲存在非法获取公民个人信息和非法出售公民个人信息的违法行为，其中非法获取的信息共10条，非法出售的信息共490条。然而不能简单地将其合并为500条，并认为甲的行为达到侵犯公民个人信息罪的入罪标准。因为对于其中的10条公民个人信息进行了非法获取和非法出售两次否定性评价，虽然“两个不法行为应当受到两次不法评价”[7]9，但由于只

②吴丹君，王渝伟，周天一：《四部委评审微信淘宝隐私条款，互联网企业隐私政策评析》http://www.weixinnu.com/article/59b1564c604 f5add5fbfd7bf，2017-09-07.存在一种法益受到侵害即该10条信息所对应的公民人身和财产安全，所以只能将针对这10条公民个人信息的不法行为评价为非法获取或者非法出售。

司法解释第11条规定：“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。”对该案中的10条个人信息，若以非法出售认定，甲最终的违法行为只有非法出售公民个人信息490条；若以非法获取认定，甲最终的违法行为包括非法获取公民个人信息10条和非法出售公民个人信息480条。无论以非法获取还是以非法出售定性，都未达到“情节严重”标准，所以甲不构成侵犯公民个人信息罪。

（2）不同类型公民个人信息按比例换算合计达到入罪标准

如果非法获取公民住宿信息480条，征信信息30条，从司法解释对于不同类型信息的定罪标准分别来看，均未达到“情节严重”的要求。但是根据司法解释对于非法获取、出售、提供征信信息500条和住宿信息500条的入罪规定，如果480条公民住宿信息再加上30条住宿信息便达到“情节严重”的要求，举重以明轻，加上30条征信信息更应认为达到入罪要求。

如果将上述例子变换为：非法获取公民住宿信息400条，征信信息10条，即使将征信信息视为住宿信息，也达不到500条的入罪要求。但根据司法解释第五条第一款第六项“相应比例”①《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条第一款：“……（六）数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”。之规定，一条征信信息可以按10条住宿信息计算②从司法解释对“情节严重”的规定，即公民征信信息等50条以上和公民住宿信息等500条以上推断得出。，最后合计达到500条，所以符合“情节严重”标准。

（3）特定行业主体非法出售、提供公民个人信息

“公民个人信息泄露的源头，一是黑客入侵，二是行业内鬼。”③公安部：《行业内鬼和黑客成个人信息泄露源头》，http://news.sina.com.cn/o/2017-09-18/doc-ifykynia8026712.shtml，2017-09-18.数据的密集区也往往成为信息犯罪的高发区，企业内部人员泄露公民个人信息更是防不胜防，所以对于特定行业工作人员利用职务便利，违法收集或者将在履行职责、提供服务过程中获得的信息非法提供、出售的行为，刑法作出了从重处罚规定。首先在入罪标准方面，司法解释明确该类主体认定“情节严重”时，对于数量和数额的要求减半。其次在处罚力度上，在具有同等犯罪行为和犯罪情节的情况下，对于该类主体应当从重处罚。

需要注意的是，对于特定行业主体的从严处理是针对履行职责、提供服务的职务行为，而非根据主体身份。按照“职责便利说”[8]57，要求实施的行为在其职责范围内且对公民个人信息具有一定权限，如果掌握公民个人信息的内部人员采取窃取手段，获取不属于其访问权限的公民个人信息，则不是在履行职责过程中实施的信息犯罪。

2.违反国家规定购买、收受、交换公民个人信息

（1）为合法经营目的非法购买、收受公民个人信息

司法解释第6条是对第5条第一款第五项根据是否出于合法经营目的作出的特别规定，所以对于非法购买、收受“第三项、第四项规定以外的公民个人信息”的行为，若出于合法经营目的，则不适用第5条“五千条以上”的一般规定，而应直接适用第6条“获利五万元以上”和“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息”④《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条：“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的‘情节严重’：（一）利用非法购买、收受的公民个人信息获利五万元以上的；（二）曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的；（三）其他情节严重的情形。的规定。“刑罚对犯罪行为人权利和利益的剥夺应当与其犯罪行为所侵害的权利和利益的性质相适应”[9]151，对于主观上是出于合法经营目的的犯罪行为，以经营盈利数额而非公民信息的具体数量来衡量罪行轻重，更符合罪刑相适应原则的要求。

（2）本罪与非法经营罪的界限

对于单位构成侵犯个人信息罪的，结合“为合法经营目的而非法购买、收受”的司法解释第6条的特殊标准进行认定。在一起单位作为行为主体构成公民个人信息犯罪的案件中，“某营销服务有限公司（从事合法营销推广服务）总经理签署非法采购信息合同，以购买方式非法获取公民个人信息，被告单位和作为被告单位直接负责的主管人员及直接责任人员的被告人分别构成‘非法获取公民个人信息罪’。”①北大法宝司法案例“上海罗维邓白氏营销服务有限公司非法获取公民个人信息案”。该案审理时《刑法修正案（九）》尚未出台，非法获取公民个人信息罪还未被侵犯公民个人信息罪所取代。由于该公司依法设立且从事合法经营业务，“因单位负责人在履行业务活动中决策错误，而实施了违反刑法的行为”[10]45，按照单位犯罪理论，被告单位负责人的行为属于单位行为，按照双罚制的处罚规则，对单位及其直接负责的主管人员、直接责任人员分别予以定罪和处罚。

而在另一起案件中，“被告人成立商务调查有限公司，专门从事调查个人隐私信息等业务，严重扰乱社会主义市场经济秩序，依法构成非法经营罪。”②北京市朝阳区人民法院〔2010〕朝刑初字第785号刑事判决书。该案中的行为人为进行违法犯罪活动而专门设立公司，且以实施犯罪为主要活动，应按照刑法中对于自然人犯罪的规定，以非法经营罪定罪处罚，而不认定为单位犯罪[11]101。

四、数据交易中服务平台的不作为责任

非法出售、提供与非法获取公民个人信息，从表面上看都是作为方式，那么侵犯公民个人信息罪是否只能以作为而不能以不作为方式构成？以不作为方式成立本罪，与拒不履行信息网络安全管理义务罪的界限又如何？“经监管部门责令采取改正措施而拒不改正”是否会导致拒不履行信息网络安全管理义务罪成为“备而无用”[12]104的空设罪名？

（一）拒不履行信息网络安全管理义务罪的认定标准

1.作为义务的产生前提——法益侵害

《网络安全法》规定，网络服务提供者应当主动采取必要技术措施确保信息安全，并在事故发生时立即补救，对于其用户发布的违法信息，应当停止传输，防止信息扩散。根据司法解释第9条规定，网络服务提供者同样可以成为个人信息犯罪的主体，不履行信息网络安全管理义务且在行政监管部门责令后仍不履行，并致使用户个人信息泄露，造成严重后果的，构成拒不履行信息网络安全管理义务罪。该罪强调网络服务提供者对其收集或者在其平台发布的信息负有安全保障和管理义务，但大数据时代信息浩如烟海，过分要求服务主体的监管责任，势必致使信息发展停滞。明确本罪对于“不作为”程度的边界，是平衡信息安全与发展之间紧张关系的关键。

在“唐某诉上海亿庶信息科技有限公司网络侵权责任纠纷”③上海市第一中级人民法院〔2013〕沪一中民一(民)终字第3105号民事判决书。案中，唐某要求亿庶公司（“应届生求职网”的运营商）删除其他网络用户在“应届生求职网”上发布的其姓名、电话等个人信息的帖子和攻击其为“骗子”的不实评论。但亿庶公司在接到唐某申诉后仅删除了涉及其个人信息的回复帖，而未删除其余对其进行人身攻击的帖子，唐某遂认为该公司的不作为构成侵权。但经审理查明，唐某在从事专利代理业务中可能存在不规范行为，评论其为“骗子”的帖子虽然言辞偏激，但并非完全不实。所以法院认为亿庶公司作为网站的运营管理者，及时删除有关唐某个人信息的帖子，已经维护了唐某的个人利益，不构成侵权。

在该案中，网络运营商虽未完全依用户请求删除所有对其不利的信息，但这种事实层面上的不作为并不构成法律意义上的“不作为”，因为作为义务的产生是为了保护合法利益，而没有利益受损便无保护义务，没有作为义务便无所谓构成不作为犯罪。因此认定违反作为义务，首先要判断有法益受到侵害，然后再考察其是否及时采取了必要措施，防止不法侵害的扩大。

2.“拒不履行”行为应将已履行但仍不能避免危害后果发生排除在外

拒不履行信息网络安全管理义务罪惩罚的是消极不履行所负注意义务因而造成严重后果的行为，对于已经主动履行或者经监管部门责令后又履行的，即使最终仍发生用户信息大量泄漏的结果，因其为使损害降至最低付出努力，认定其已经承担了相应的信息安全管理义务，按照“客观归责理论，对于本身降低法益风险的行为，排除其与具体结果发生之间的因果关系”[13]350-352。

3.网络服务提供者的主观心态

不能简单地认为不作为主观上都是过失，作为都是故意，“作为和不作为是从客观表现上对危害行为进行的划分，而故意与过失则是对主观心理态度进行划分，实际上不管是作为还是不作为，都有故意形态，也有过失形态。”[11]69本罪行为主体的“主观状态是一个动态的变化过程”[13]29，在经行政监管部门责令其改正之前，“不履行”相应安全管理义务的心理态度很难进行客观证明，但可以明确的是在经责令采取改正措施后，其已经明知自己对信息安全管理不足，可能因此发生用户信息被泄露的后果，但“拒不改正”时的心态是一种放任的间接故意。

（二）“经监管部门责令采取改正措施而拒不改正”的必要性分析

在刑法制裁开启之前，必须先经过监管部门行政处罚，这一规定表明了在行政处罚和刑事处罚的二元处罚结构中，行政违法与刑事违法之间的密切联系。以刑法中的空白罪状为例，“违反法律、行政法规规定的……”其中对于犯罪行为的描述与行政法中所规定的违法行为，在行为性质上并没有区别，而只是违法严重程度的差异。刑事违法与行政违法毕竟调整范围不同、制裁力度迥然不同，为了区别二者，“必须强化刑事立法与司法解释中的定量因素”[15]59，所以拒不履行信息网络安全管理义务罪明确规定在构成行政违法的前提下，还需要有用户信息泄露导致严重后果的情节。同时，行政处罚前置也是刑法谦抑性的要求，“在运用行政法难以有效规制违法行为的严重危害性时，刑法才作为部门法的强有力后盾发挥作用”[16]141，体现了其作为最严厉制裁手段的最后性和保障性功能。

先穷尽行政救济，方可启动刑法保护的立法规定，可能因保护滞后，错失补救的最佳时机，从而导致法益得不到有效救济。有学者担心“将犯罪成立与否和监管部门是否发出整改命令，以及网络服务商是否执行该命令相联系，网络服务商比监管部门更清楚其平台存在的信息泄露风险，但却可能为自己怠于履行管理义务提出监管部门未责令其改正的抗辩。”[17]141-142笔者认为该罪惩罚的是网络服务提供主体消极不履行所负安全管理义务的行为，而义务是否履行的标准不应根据危害结果进行判断，倘若本罪之成立不以行政部门的监管为必要，而是直接以不履行义务导致严重后果发生认定构成犯罪，则是危险的结果归责刑法。

（三）拒不履行信息网络安全管理义务罪与不作为侵犯公民个人信息罪的界限

网络服务提供者不履行信息网络安全管理义务，造成用户信息泄露，后果严重的，在一定情况下可以构成拒不履行信息网络安全管理义务罪，但是否还构成侵犯公民个人信息罪中以不作为方式提供用户个人信息？拒不履行信息网络安全管理义务罪法规定最高刑为三年有期徒刑，而侵犯公民个人信息罪的法定最高刑为七年有期徒刑。若认为只要负有法律法规规定的信息网络安全管理义务，能够履行而拒不履行，并且因此导致危害后果发生的，都认定为以不作为方式构成侵犯公民个人信息罪，势必将刑法引向重刑主义的不归路。因此，除了满足负有法定义务，能够履行而拒不履行的客观标准，还要求这种不作为与出售、提供之积极作为之间具有同等价值。

与作为犯罪具有等价性的不作为，首先在对法益的侵害程度上必须与作为等值。大谷实认为：“不作为只有能够产生与作为犯的实行行为所产生的同等程度法益侵害，才能视为实行行为。”[18]131但是，不能仅以危害结果的等价值便认定作为方式与不作为方式具有等价性，比如“同样是列车颠覆，以不扳道岔的不作为和采用破坏铁轨的作为方式，造成的危害程度并没有差别”[11]70，可是两种手段的危险性却有很大不同。如果因网络服务提供者对信息安全监管不力，黑客利用该平台存在的技术漏洞窃取大量用户个人信息，是否可以据此认为网络服务平台以不作为方式通过网络发布公民个人信息？显然不能。虽然网络服务提供者对其用户信息具有安全管理义务，但“其不作为对于危害结果没有实质的、排他的控制，行为人对于该法益的保护不具有排他的保证地位”[19]88，或者说即使网络服务平台采取了必要的安全防护措施，也不绝对就能抵挡黑客的恶意入侵，所以其未履行安全管理义务的行为与通过网络发布个人信息的作为，很难说对于结果有同样的排他的支配，所以不履行安全管理义务的行为，与不作为的提供用户信息不具有等价性，无论最终用户信息泄露造成的后果多严重，都不应当构成不作为的侵害公民个人信息罪。

政府部门、金融、电信、医疗、交通等行业通过数据交易进行数据分析，以挖掘出数据背后隐藏的深层价值。而在数据交易过程中，个人信息安全面临着诸多威胁，具体体现在数据的收集、存储、传输以及数据泄露后的非法利用环节。非法数据交易已经形成一条灰色产业链，在利益的驱使下置公民的个人信息于危险之地，即使是正规数据交易平台，也存在一定的信息安全风险。为了有效减少并预防信息违法犯罪的发生，网络服务平台应当依法承担信息网络安全管理义务，同时，作为数据信息收集和处理者的行业部门必须切实履行数据安全管理义务，在保障信息安全的前提下开展高效的数据交易。

[参考文献]

[1]李文莲，夏健明.基于“大数据”的商业模式创新[J].中国工业经济，2013，(5).

[2]于志刚.“大数据”时代计算机数据的财产化与刑法保护[J].青海社会科学，2013，(3).

[3]郑毅.信息消费时代个人信息安全的法律保护[J].郑州大学学报：哲学社会科学版，2014，(4).

[4]张明楷.法益初论[M].北京：中国政法大学出版社，2003.

[5]许玉秀.当代刑法思潮[M].北京：中国民主法制出版社，2005.

[6]于志刚.大数据时代数据犯罪的制裁思路[J].中国社会科学，2014，(10).

[7]陈兴良.禁止重复评价研究[J].现代法学，1994，(1).

[8]刘佳琦.“利用职务上的便利”的司法误区与规范性解读——基于职务侵占罪双重法益的立场[J].政治与法律，2015，(1).

[9]陈兴良.规范刑法学[M].北京：中国人民大学出版社，2015.

[10]黎宏.单位犯罪的若干问题新探[J].法商研究，2003，(4).

[11]高铭暄，马克昌.刑法学（第 6版）[M].北京：北京大学出版社，2014.