文立彬

(广西民族大学 民族学与社会学院，广西 南宁 530006)

十九大报告提出“保护人民人身权、财产权、人格权”，这与保护个人信息权的价值取向相一致，并凸显了个人信息立法保护问题在大数据时代下的重要意义。自我国2009年首次设立个人信息类犯罪至今，《刑法》在预防和惩处个人信息犯罪领域起到了不可替代的作用。随着信息化社会的逐步深入，以大数据技术、人工智能为代表的科技发展对个人信息的保护和利用提出了更高的要求。以大数据产业为例，我国大数据市场规模已从2014年的1 038亿上升至2016年的2 485亿，上升幅度达到139.4%，随着各项政策的配套落实及推进，预计我国大数据市场规模在2020年将达到13 626亿元的高点*数据来源于中国信息通讯研究院发布的《大数据白皮书(2016)》。。从我国个人信息犯罪案件来考察，该类犯罪从2013年的76件上升至2016年的437件，增幅高达475%*数据来源于中国裁判文书网，本文谈及的“个人信息犯罪”是指与个人信息有关的犯罪，主要包括侵害公民个人信息罪、拒不履行信息网络安全管理义务罪，为行文方便概称为“个人信息犯罪”。，这说明我国侵害公民个人信息的现象正处于高发态势，立法保护与司法救济尚有较大的完善空间，如何在个人信息的利用和保护之间找出契合时代发展的路径，是具有理论价值和现实意义的重要研究课题。

一、问题的提出

大数据技术的广泛运用昭示着信息化社会进程的加速，大数据通过对个人信息的搜集、整理和分析等方式深入挖掘零散个人信息中的经济价值，除了基础的身份信息外，还有诸如行动轨迹、购物习惯、收入来源、家庭结构等重要信息。从政府视角考察，如何在引导科技发展和保障民众信息安全两者之间找到一条协调路径，成为了目前亟待解决的问题。对于科技发展背景下产生的风险问题，德国学者乌尔里希·贝克在其专著《风险社会——通往另一个现代的路上》中提出了风险社会理论。该理论认为现在的社会是一个风险社会，相较于传统社会而言，风险社会中的危险具有科技性、人为性、潜伏性、危害性和国际性等主要特征，过度发展的工业科技将人类社会带入了一个布满风险的困境之中[1]15。因此，国家有必要在宏观层面把控风险和保障安全，在微观层面规范行为和落实责任。就个人信息保护的现实问题而言，我国个人信息立法以隐私权为法理基础，立足于对个人信息侵犯行为的消极防御，侧重于保护民众因个人信息受损而产生的精神损害，这导致了个人信息保护的范围较为狭窄、保护的阶段较为滞后以及保护的效果不理想等问题。对此，基于个人信息权的信息保护立法体系构建逐步被学者们提上议程，如王利明教授认为个人信息权的设置与明确将有利于为个人信息权保护提供法律依据，并促成多项法律责任之间的互补[2]。个人信息权兼顾个人信息的人身价值和财产价值，基于公民对个人信息享有的控制权，在立法上表现为对侵害行为的积极防御和制裁措施的多元化。在此背景下，我国2017年新修订的《民法总则》增设了“个人信息权”的规定，首次将个人信息权纳入国家立法层面。 随着《网络安全法》的出台，个人信息的使用、搜集和管理进一步得到明确。但个人信息权目前在立法层面仍处于初级阶段，个人信息保护的民事、行政和刑事立法仍有待扩充内容、完善措施和落实责任。我国个人信息保护立法以刑法先于民法规制个人信息侵害行为为特点，一方面体现了我国个人信息犯罪的频发性和严重性，另一方面说明了个人信息保护的重要性和急迫性。在大数据背景下，如何构建以个人信息权为基础的信息保护刑事立法体系，如何适时转变个人信息保护的价值取向和立法策略，如何优化个人信息犯罪规制的适用规范和制裁措施，最终实现科技发展与信息安全的双赢，无疑成了当今刑事立法亟待解决的理论问题和实务难题。

二、以隐私权为核心的个人信息保护刑事立法审慎反思

(一)以隐私权为核心的个人信息保护刑事立法脉络解析

从整体上看，隐私权和个人信息权的相似之处在于二者均属于人格权，权利主体均限于自然人且均体现了个人对私人生活的自主决定。但二者在权利属性、权利客体和权利内容方面具有明显区别，上升至刑法立法层面亦形成了不同的犯罪构成和规制措施。

首先，隐私权与个人信息权均属于人格权，但隐私权侧重于保护精神性的人格权，在刑事立法上表现为以公民的精神性损害为要素的刑事非难基础。在大数据背景下，个人信息具有的人身属性和财产属性被深度挖掘，仅注重人身价值保护而忽视财产利益保障的立法，一方面将导致刑法介入的滞后，无法在个人信息侵害源头遏制严重危害后果的发生；另一方面将导致刑法规制措施的单一化，造成犯罪成本与犯罪收益之间的失衡。在个人信息的利用和安全方面，法律应当采取一定的方式，以平衡市场经济与人格尊重之间的关系[3]。在个人信息保护立法的完善过程中，刑法应注重对犯罪者故意违背法律忠诚的主观态度的考察，在个人信息犯罪高发且严重的环境下，适当降低以实际危害后果为标准的入罪门槛，实现刑法介入的早期化。

其次，隐私权的客体是私密性信息或私人生活，个人信息权的客体是可识别个人身份的信息且与国家安全联系密切。反映至刑事立法上，一方面隐私权保护的范围相对狭窄，无法为个人信息保护提供周延保护，亦不能体现出个人信息保护的政府责任。另一方面隐私权保护模式难以准确计算反复非法利用个人信息的经济损失，亦无法充分实现刑法的行为指引作用。

再者，隐私权注重对私人生活、个人秘密的自主决定，而个人信息权侧重对个人信息的支配。这在刑事追诉程序上反映出了截然不同的策略，即国家对于严重侵犯个人隐私的行为应当主动作为犯罪追诉，而在个人信息权模式下，基于公民对个人信息的支配权，国家则赋予公民一定的刑事追诉选择权。在保护方式的选择上，隐私权的保护推崇法律保护，导致规制措施单一，而个人信息权保护的方式趋向多元化，力求多维度把控个人信息风险。

(二)隐私权模式下的信息保护刑事立法局限分析

刑法采取隐私权模式保护个人信息安全虽有一定的正面效应，但负面效应仍不可忽视，具体如下：

其一，隐私权模式下个人信息犯罪章节归属有待调整。我国以侵犯公民个人信息罪为追究个人信息犯罪人刑事责任的主要刑法依据，该罪名规定于《刑法》“侵犯公民人身权利、民主权利”一章之中，具体位置在第253条“私自开拆、隐匿、毁弃邮件、电报罪”的后面，这表明侵犯公民个人信息罪的保护法益是公民的隐私权。然而，随着风险社会程度化的逐步加深，以法律手段保护“公民个人信息”的要求逐渐增加，同时“公民个人信息”的概念亦逐步延伸，一方面涵盖公民的身份信息，另一方面包含涉及公民人身安全和财产安全的个人信息。就此，若仅将法益限定于隐私权的范畴，则个人信息刑法保护难以适应大数据背景下的时代发展。因此，现行“侵犯公民个人信息罪”存在着章节归属不恰当的问题，并且该罪名的设置亦与逐步扩张的“公民个人信息”概念之间存在差距。

其二，隐私权模式过于依赖入刑治罪，缺乏多元化和综合化治理视角。隐私权模式下个人信息立法着眼于事后救济和消极预防，对个人信息犯罪者适用惩罚性的制裁措施，以防再犯。然而在现实生活中，大量存在着公民积极使用自身信息参与各种活动的情形，尤其在大数据背景下，对于个人信息保护而言，并非一味强调安全、惩罚犯罪，而应通过不断挖掘个人信息的潜在价值，促进个人信息的合理使用。换言之，大数据时代下的个人信息立法应兼具保护和利用。以法律责任层次化、矫正措施社会化、预防方式个性化等综合方式实现个人信息的积极保护。在管控风险的情境下提升个人信息利用价值是个人信息权模式的必然发展途径，而从利用的角度解读个人信息是隐私权模式难以逾越的立法障碍。

其三，隐私权模式侧重追究实害犯罪，缺乏对单纯行为危害性的惩处。目前个人信息刑事立法以结果犯为非难的基础，然而在个人信息犯罪案件中，犯罪人往往在信息源头进行非法获取，在积累一定数量后才实施进一步的犯罪行为。对此，有必要通过设置个人信息危险犯的方式延伸刑法的规制范畴，从信息源头把控信息安全。同时，我国个人信息保护立法采取刑法先于民法的方式，虽然刑法的威慑力在一定范围内能发挥积极作用，但从长远看，通过刑事制裁带动民事、行政治理的方式产生的效果并不明显，因此个人信息立法保护的策略仍有待完善。

(三)以个人信息权为基础的信息保护刑事立法论证

第一，个人信息权属于集人格利益与财产利益于一体的综合性权利，属于新型权利，符合现代社会发展的趋势与需求。考察“公民个人信息”的法律概念，不难发现该概念已经超出了隐私的范围，亦突破了可识别性的定义，实际的保护范围包括可识别性信息和可能影响人身、财产安全的个人信息。就“公民个人信息”的权利属性而言，公民个人信息首先具有人格权的性质，注重对公民人格尊严的保护，其次拥有财产权的属性。从整体来看，公民个人信息权作为一项有别于隐私权的新型权利，一方面包括积极使用并许可他人使用的权利，另一方面包括消极防御他人侵害的权利，兼具人格权和财产权[4]。个人信息和个人人格尊敬和人格完善具有密切联系。个人信息是个人参加社会活动的载体，是个人人格的延伸和发展的关键。个人在参与社会交往中必然产生诸多的个人信息。因此，信息主体对个人信息流转范围和流转方式的掌握与个人人格的发展密切相关。并且，个人信息具有重要的商业价值，能够为信息主体带来一定的收益。个人信息人格权注重消极防御他人的非法侵害，个人信息财产权则侧重信息的积极使用以及许可他人使用。

第二，个人信息权强调个人对自身信息的控制，属于主动性的权利，在刑事立法上体现为刑法前置化和积极预防的实现，契合风险社会下的安全价值诉求。从个人信息权的权利内涵来看，个人信息权是个人以其自身信息为权利客体，个人对自身信息享有控制权。在大数据时代，个人信息的价值逐渐凸显，人们对于信息的依赖与对信息的挖掘利用使得信息成为了一种重要的资源。值得注意的是，尽管个人信息具有巨大的商业价值，但个人信息仍明显区别于土地、房产等商品，个人信息附属于一个人的人格且是人格的有机组成部分。强调个人对其自身信息的控制权，实质在于实现个人信息的积极使用和消极防御。就个人信息的积极使用而言，保护兼顾利用。在市场经济环境下，个人的财产状况、信用状况、还贷能力等都是银行决定是否批准房贷的关键要素；在公共管理中，犯罪记录档案的设立与查询、天眼监控系统的广泛使用等都会不同程度地利用公民的个人信息，而这些事项又是现代社会管理中不可缺少的措施。就消极防御而言，个人应享有决定是否起诉犯罪人以及以何种方式恢复自己被侵害的个人信息利益的权利。个人信息权的确立，在刑事立法上首先体现了刑罚前置化，即通过法律拟制的方式将某类危害个人信息的行为规定为犯罪，核心在于设置危险犯，以避免危害后果的实际发生。其次，个人信息权的确立亦影响刑法积极预防作用的发挥。为了有效防范个人信息犯罪者和虞犯者，不仅应当提升犯罪人的犯罪成本，并且还应注重犯罪人的人身危险性。以人身刑配以罚金的方式对犯罪人进行处罚，往往无法让犯罪人真诚悔过，造成个人信息犯罪的再犯率居高不下。因此，可以采取恢复性司法理念下的社会矫正、圆桌会议等方式让犯罪人深刻认识到自己行为的危害性，积极恢复被自己行为损害的法益，降低再犯率，实现犯罪人的社会归复。

第三，个人信息权的设置和保护应呈现多样性和综合性，强调刑事立法与民事、行政立法形成信息保护的有机整体，满足国家治理的现代化需求。个人信息权在民事法律中体现为权利义务以及法律责任的规定，在行政法规中表现为对侵害行为的性质处罚，在刑事法律中则以犯罪与刑罚对侵犯个人信息权的行为苛以责难，因此，对于个人信息权的保护应形成层次分明且程度递进的法律体系。目前，个人信息保护侧重于法律层面，或可归结于隐私权立法模式的局限。在个人信息权模式下，法律形式仅作为个人信息保护的一个侧面，另一侧面在于道德规范的引导。道德规范的指引在于提升社会的整体意识水平，配以普法行动、宣传活动、新闻报导等方式向民众普及个人信息的重要性和保护意义。

三、个人信息权与信息保护刑事立法的构建与发展

(一)风险社会理论对个人信息刑事立法保护的影响与适用

风险社会理论以反思现代化为特征，即在审视现代社会风险要素的前提下，反思人类应对风险的措施所具有的危险，契合现代刑事政策学的理念[5]。风险社会理论强调安全、把控风险的价值取向与个人信息保护立法理念相适应。个人信息犯罪作为风险社会下产生的新型犯罪，相较于传统犯罪而言，具有科技性、隐蔽性、潜伏性、危害性和跨域性等。因此，用风险社会理论对个人信息犯罪进行分析具有诸多益处。以大数据技术运用为代表的现代社会，人造风险已逐步取代自然风险成为了威胁人类生存的主要风险，进而如何管控风险和保障安全成为了现代社会发展的利益诉求。从刑法演进看，刑法介入提前化表明刑法不再恪守以结果为核心的追责方式，而是在坚持刑法谦抑性的基础上提早干预行为，如将具有重大危害可能性的醉驾行为、环境污染行为、个人信息侵害行为纳入犯罪。以安全价值为导向的立法理念，在宏观上提倡对个人信息保护法律的颁行、政府监管部门协同机制的出台以及企业自律规范的制定，实现法制完备、有法可依；在微观上，设置层次分明、程度不同的法律责任承担方式，如对于情节轻微的个人信息犯罪者，可使用短期自由刑、罚金刑和社区矫正，旨在尽快恢复受损的社会关系；对于情节严重的犯罪者，可在判处自由刑的同时科以罚金刑和资格刑，进而实现法的引导作用和预防作用。

风险社会理论对个人信息犯罪规制的影响亦体现于预防刑的注重。刑法上的预防分为特殊预防和一般预防，前者以再犯危险性为决定刑罚轻重的主要根据，后者以犯罪倾向性为适用刑罚的重要依据。提倡预防刑的学者认为，行为并非单纯的人格体现，而是人格与环境在相互作用中产生的东西，因此应在与犯罪行为相互联系的限度来考量人格[6]。在个人信息犯罪领域，行为人遭受刑罚非难的不仅包括危害后果还包括主观恶意。主观恶意体现出的是行为人对法律规范的明令违反，因此有必要重视还未造成实害结果但证实主观恶意的行为。对此，以风险社会观审视个人信息保护的刑法保护优化，体现为刑法介入早期化和责任主义功能化的提倡。具体而言，包括将预备行为、持有行为纳入个人信息犯罪，在刑罚领域优化资格刑适用。为预防行为人的再犯可能性，风险社会理论揭示了一种可行的预防方式——资格刑。即通过限制或禁止自然人或单位从事特定行业或领域，从而降低其再犯罪的可能性。从我国司法实践考察，个人信息犯罪者多具有特定的身份，如装修从业人员、教育从业人员、快递从业人员、电商从业人员等。若在从业资格上增加行为人的犯罪成本，将在一定程度上抑制个人信息犯罪率。

(二)风险社会视域下刑法规制个人信息犯罪的优化路径

1.充分发挥多元立法模式的积极作用

在安全价值引导的个人信息保护立法策略层面，目前世界各国对于个人信息保护的立法模式大致可分为两大模式，即分散立法模式和统一立法模式。分散立法模式以美国为代表，即在公领域采取分散立法模式，逐一在各个领域立法；在私领域，主张实行行业自律，通过行业组织的内部规范保护个人信息。统一立法模式以德国为代表，即通过制定一部完整的个人信息保护法律，进而规范公领域和私领域的个人信息收集、处理和利用等行为，并以资讯自决权和一般人格权作为权利基础，对个人信息进行统一保护。就我国现状而言，在查阅相关文献的基础上，建议采取以统一立法模式为主并佐以行业自律制度的折衷模式。目前，个人信息保护的国际立法趋势表明，原来偏重行业自律模式已逐渐向统一立法模式加上行业自律模式的折衷模式转变。在我国，随着大数据战略的深入实施，个人信息的批量处理和极速传输已成常态，信息化社会进程正迈向更深层次。个人信息保护统一立法模式的不足在于，政府的立法可能过分束缚个人信息的自由流通，不利于我国未来信息产业的健康发展。分散式立法模式的弊端表现为，一些公司不参与《安全港协议》[注]安全港协议(Safe Harbor)，是指2000年12月美国商业部与欧盟建议的协议，旨在调整美国企业出口和处理欧洲公民的个人数据。，无法从事个人信息业务，或虽参与《安全港协议》，但缺乏自我监管，在从事个人信息业务过程中发生侵害信息主体人格利益的事件。因此，以我国国情为基础，我们建议采取统一立法模式为主且佐以行业自律的个人信息保护立法策略。理由在于：其一，如前所述，综合各种保护模式的特点来保护个人信息将成为立法趋势，中国可顺应该趋势；其二，我国的隐私权一般制度尚未完全确立，对个人信息的保护难以借助已有的法律制度；其三，我国应注重与域外立法规范接轨，尽量符合国际社会对个人信息保护的一般要求；其四，我国信息产业的行业力量仍待壮大，企业组织的控制力还有待加强，完全依赖行业自律难以实现个人信息的保护，因此依靠政府力量实现个人信息的安全与保障具有重要的现实意义。

2.加强个人信息源头保护力度，增设侵犯公民个人信息系统罪

鉴于非法探听、非法获取、非法利用他人个人信息的行为是对他人个人信息权的严重侵害，因此在提升个人信息刑事保护程序之时，有必要将非法侵入个人信息系统的行为规定为犯罪。从犯罪阶段来看，侵入公民个人信息系统罪是侵犯公民个人信息罪的预备状态，侵入公民信息系统的行为在很大程度上将引发二次犯罪，如电话诈骗、网络诈骗、入户盗窃、入室抢劫等。有观点指出，从源头上完善个人信息犯罪规制的刑法规范才是应对频发的电信诈骗、网络诈骗的应然出路，如打击个人信息犯罪的预备犯罪，增加对信息处理阶段的立法规定，方能对完整的信息动态过程提供有效保护[7]。因此，建议增设侵入公民个人信息系统罪，其一有利于构建个人信息犯罪刑事规制体系，形成体系化规制、针对化打击；其二有助于刑法在风险社会下积极发挥安全保障功能。

从构成要件分析，非法侵入个人信息系统罪的主体是一般主体，范围涵盖自然人和单位。该罪的保护客体是个人信息系统的安全，所谓个人信息系统是指储存了大量且敏感的个人信息，还可能储存了数量较大的虚拟财产的组合体系。此罪的主观要件为故意，即行为人明知侵入公民信息系统的行为会危害个人信息权，仍然追求该种危害后果的发生。行为人在故意的主观意识下，实施危害公民信息系统的行为亦体现了行为的规范违反性和主观的反社会性。本罪的客观要件包括两个方面，一是以侵入方式进行犯罪，二是以个人信息系统为侵入对象。具体而言，“侵入”是指非法用户利用技术手段或者其他手段突破或者绕过系统安全保护机制“访问”公民个人信息系统的行为。通常情况下，出于维护信息系统安全的考虑，均已建立防火墙等安全保护机制。该机制可以鉴别访问者是否具有访问权限，对于不具有访问权限的请求，系统会拒绝其访问。《刑法》将“侵入”行为归入犯罪，如第285条规定了非法侵入计算机信息系统罪。个人信息系统的范围直接影响了罪与非罪、此罪与彼罪的分割界限，因此有必要进一步明确。从计算机犯罪的规定来看，刑法保护的系统信息或数据是计算机数据库中保存的数据，包括数据库的完整性、可靠性、系统灵活性等。公民信息系统的保护范围目前宜采用以上的保护范围。但值得注意的是，对于网页浏览痕迹、下载记录、关键字搜索等信息，首先它们不属于储存于信息系统的信息，其次这些信息可反映用户的生活规律、消费习惯和经济状况，刑法是否应将这些数据作为个人信息的保护对象[8]。从立法的发展和保护的需求来看，将刑法保护的范围延伸至上述信息是立法的必然趋势，符合对大数据本质要求动态性和数据流系统的描述，但从目前的状况来看，切实保护信息系统中的信息或数据更为关键。公民信息系统的关键在于储存着敏感的、大量的个人信息。相较于现行立法对于计算机系统的保护，个人信息系统的保护侧重于个人隐私和个人信息的安全[9]。具体而言，其一，公民信息系统不仅包括计算机系统、网络设备、通信设备、自动化控制设备等，还涵盖网络云端的公民信息系统。其二，与计算机犯罪强调国家安全、国防安全不同，侵入公民个人信息系统罪设立的初衷在于保护个人信息安全，强调个人的合法权利不受非法侵犯，因此在刑罚量刑的设计上，建议采用短期自由刑结合财产刑，降低入罪门槛；在刑事追诉程序的启动上，建议采取以自诉为主、公诉为辅的方式。其三，侵害公民个人信息系统罪的增设，将充分发挥法律的行为指引、行为评价作用，明确告知社会公众公民的信息系统受法律保护，非法的侵入行为将导致严重的法律责任。

3.设置个人信息犯罪的危险犯

在刑事实证学派看来，危险指的是行为人的反社会性格或犯罪倾向，这种危险体现为行为人的再犯可能与初犯可能的统一。与之相对，国内外学者对危险一词的探讨主要集中于行为所指向的、对法益造成侵害的行为的危险。进而，危险概念可以由两个面向展开，其一是主观的，体现为行为人的危险，主要通过人身危险性理论进行阐明；其二是客观的，体现为行为本身的危险，即行为人实施的行为在客观上发生某种危害结果的可能性。考虑到客观主义在依法治国层面具有的重要地位，因此本文采用客观危险的概念。刑法中的危险，从客观面向出发，主要包括行为的危险和结果的危险，前者是指行为本身具有的侵害法益抽象可能性，后者是指行为所造成并与行为相分离的具有侵害法益盖然性的事实状态。

在个人信息犯罪领域设置危险犯，其价值主要体现于3个层面。首先，个人信息危险犯的设置能预防法益侵害结果的发生。现代刑法将法益保护作为目的，所以刑法创设任何犯罪都不能脱离刑法的主旨。危险犯的设置恰是符合刑法的目的和主旨，才在实现刑法的安全保障及人权保护机能上获得存在的空间和意义。其次，个人信息权法益的实害难以估算，采取行为构成要件的立法技术可降低司法认定困难。结果是相对于行为而言的，指的是行为发展所达到的最后状态。有的结果，如人身损害、财产损失这类的物质性结果，是可测量的。但有的结果，如环境污染、名誉损害这类的非物质性结果，是难以测量的。为了保证刑罚适用的确定性与稳定性，刑法必须尽可能避免将评价中心集中于这些不可测量的非物质性结果上，而是以独立的危险构成要件评价造成侵害结果的行为。再者，危险犯的设置或可避免处罚上的空隙。现代刑法不仅处罚直接侵害法益的行为，还将刑法规制范围延伸至威胁法益的行为。现实中，个人信息法益侵害行为千变万化，立法者精心设计的法律条款难免出现滞后的情况，因此危险犯的设置具有理论支撑和现实意义。

详言之，将非法持有大量他人信息的行为纳入刑法规制具有经验借鉴与重要意义。将“持有”行为纳入个人信息犯罪的根据在于持有个人信息达到一定数量的行为本身具有法益侵害危险性。从形式看上，持有型犯罪属于国家追究实质预备犯的刑事责任而采取的一种立法技术。在个人信息犯罪领域中的“持有”，可理解为行为人和他人个人信息之间具有事实上或法律上的支配关系。刑罚轻重的相互协调是根本性的，因为预防重罪要优先于预防轻罪，预防破坏社会秩序的犯罪应多于预防对社会危害较少的犯罪[10]。在个人信息犯罪案件中，不法分子搜集、储存大量个人信息作为交易资源，在时机成熟后，转为批量销售、批量获益。从个人层面看，自我个人信息长期处于无法控制的状态，使得公民时刻处于被害的恐惧之中；从国家层面看，公民个人信息持续处于高风险状态，亦有较大可能被传输至境外储存，国家安全遭受威胁。因此，若不能在个人信息泄漏的源头进行有效控制，则将导致无法挽回的严重后果。综上，建议将“持有”行为纳入个人信息保护刑事立法之中。

4.将侵害公民个人信息罪设置为自诉与公诉的结合模式

针对个人信息犯罪的法律特征，或可将该类犯罪设置为“告诉才处理” 的犯罪，以应对程度不同的个人信息犯罪行为[11]。从比较法视野看，关于个人信息犯罪的追诉程序的设置，英国、美国以公诉为主，大陆法系的德国、日本则规定为以自诉为主。详言之，对于情节轻微的个人信息犯罪行为，适用自诉程序，即公权力机关是否追诉行为人的责任取决于当事人的刑事起诉行为。对于达到情节严重的个人信息犯罪行为，则规定为公诉案件，以国家强制力保障法律的落实和民众信息安全。之所以将部分的个人信息犯罪设置为自诉，主要鉴于以下四方面因素：其一，基于公民对个人信息的控制权的延伸，公民有权在一定范围决定以何种方式实现法益保护和损害惩处；其二，自诉案件的设置能缓解紧张的司法资源使用情况；其三，将个人信息犯罪设置为自诉案件有利于被害人获取足以弥补损失的民事赔偿，同时有利于降低刑事惩罚的适用范围，为营造较好的回归社会环境奠定基础；其四，自诉案件的设置将促进多元法律制裁措施的制定和落实。总之，自诉为主、公诉为辅的追诉方式与我国现状契合，并且能促进社会矛盾在较短时间内化解。

5.构建个人信息综合保护体系且发挥政策引导及道德规范作用

在个人信息权模式下，法律保护系统构建应具有科学性和前瞻性。科学性要求立法者运用科学的手段、方法和技术进行立法，使最终的立法兼具科学与合理要素。前瞻性是指立法者立足现实并具有远瞻视野,尤其在互联网环境下，侵害个人信息行为层出不穷，新技术的广泛运用亦提高了法律监管的难度。

就个人信息保护法律体系构建而言，首先应在宪法层面明确公民个人信息权利受法律保护，并规定国家在部门法律中明确个人信息权的保护方式和责任形式；其次在民事法律中规定个人信息权相关的概念、范围与责任；再者在行政法律层面规定公权力的行使限度，防范公权力对个人信息权的侵害，并且规定侵害个人信息权的行政违法责任和行政救济途径；最后于刑法层面，将个人信息权规定为保护法益，明确个人信息保护的刑法范畴，并制定相应的刑罚措施。民事、行政和刑事层面的个人信息保护条款，应形成相互衔接、层次递进的有机整体，为个人信息保护提供明确的行为规范和责任依据。

在个人信息保护的政策层面，应积极发挥社会政策的导向作用，实现社会秩序的长期稳定，满足民众对秩序和安全的需求。刑法学界认识到在预防犯罪方面起到关键作用的不是刑法而是刑事政策。在个人信息保护的刑事政策层面，刑法仍应作为法律的最后一道防线，并且刑法的适用也应建立于人权保障和弘扬法治的价值之上。以政策引导民众正确对待个人信息，企业正确使用个人信息，在制裁个人信息侵害行为之时亦注意防范制裁措施本身的风险，切不可以牺牲社会及其成员权益、丧失人权保障来维护个人信息安全。

在个人信息保护的道德层面，应充分发挥道德的教育作用和规范作用。一方面持续培养民众良好的道德意志和道德行为，树立正确的个人信息使用观念，提升对自身信息的保护和防范意识；另一方面促进单位、企业加强个人信息的自我管理和监督，逐步制定相应的个人信息保护规定和应对机制，防范内部人员的作案风险。

四、结语

个人信息权的确定和发展为信息刑事保护提供了一条新的路径，将人身权、财产权作为法益保护对象纳入刑事范畴，既扩充和完善了个人信息保护的概念与范围，又深化和转变了个人信息犯罪的策略与规制，在大数据时代下凸显出重要的理论价值和现实意义。风险社会理论契合个人信息保护的价值取向和发展趋势，在法律保护体系建构、罪名罪状设置、制裁措施选择等方面提供了诸多启发。在审慎借鉴域外立法经验和理性反思立法现状的基础上，建议以个人信息权为基础构建个人信息刑法保护体系，优化个人信息犯罪的罪名设置，转变个人信息犯罪的追诉启动程序，以期在个人信息的保护和利用之间探索出一条可行的发展路径。