陈梦寻

(中国人民大学 法学院，北京 100872)

个人信息犯罪是一种犯罪类型，有狭义与广义之分。狭义上，个人信息犯罪是指以个人信息为行为对象的犯罪。买卖个人信息，非法获取、保留、披露、提供、使用个人信息，重新识别去标识化的个人信息等都属于狭义的个人信息犯罪。广义上，个人信息犯罪还包括其他破坏个人信息保护制度的犯罪。妨碍数据保护监管机关执法，未按规定处理敏感个人信息，未采取必要措施保证个人信息安全等都属于广义的个人信息犯罪。个人信息犯罪是典型的法定犯，其与前置法上的个人信息保护规定紧密相关，是个人信息保护法律制度的重要部分与最后防线。目前，我国《刑法》只规定了侵犯公民个人信息罪，用以惩治严重的非法获取、提供与买卖个人信息的行为。如何看待我国的个人信息犯罪规定？未来个人信息犯罪将如何发展？本文试通过比较中英两国的个人信息犯罪，获取有益启示。

比较法的价值在于拓展认识与促进反思。“世界上种种法律体系能够提供更多的、在它们分别发展中形成的丰富多彩的解决办法，不是那种局处本国法律体系的界限之内即使是最富有想象力的法学家在他们短促的一生中能够想到的。”[1]比较法要求平等看待他国法律，甚至要陌生化处理本土法律，祛除傲慢与偏见，以深度反思本土法律，形成新的法律共识[2]。通过比较，能了解他国应对个人信息犯罪的不同策略，反思我国个人信息犯罪立法的不足，窥察未来个人信息犯罪的发展方向。相比其他国家，英国的个人信息犯罪更具研究价值。为保证脱欧前符合欧盟法律的要求，脱欧后个人信息保护仍有法可依，英国的立法既保持了一定的独立性，又体现了一定的融合性。因此，英国的《2018数据保护法案》既反映了欧盟《通用数据保护条例》的新要求，又承继了英国的数据保护传统。就其刑事犯罪规定而言，《2018数据保护法案》既体现了个人信息保护领域的最新进展，又延续了《1998数据保护法案》中的详细犯罪规定。

一、中英个人信息犯罪的立法概况

(一)英国的个人信息犯罪立法

迄今为止，英国一共经历了三代数据保护法案，三代法案的出台都受到了欧盟法律的直接推动。第一代法案《1984数据保护法案》受1981年《个人资料自动化处理之个人保护公约》的影响，于1984年7月通过，共计43条、4个附件。第二代法案《1998数据保护法案》受1995年《数据保护指令》的影响，于1998年7月通过，共计75条、16个附件。第三代法案《2018数据保护法案》受2016年《通用数据保护条例》和英国脱欧的双重影响，于2018年5月通过，共计215条、20个附件。考虑到《1984数据保护法案》年代久远，不切合当代实际，以下重点考察第二代、第三代法案。

与中国不同，英国的个人信息犯罪直接规定在数据保护法案中。《1998数据保护法案》共规定了12个罪名(见表1),《2018数据保护法案》共规定了13个罪名(见表2)。新通过的《2018数据保护法案》在《1998数据保护法案》的基础上既有废除，又有延续和发展。首先，新法案废除了与数据处理登记有关的犯罪。虽然《通用数据保护条例》在欧盟范围内取消了数据保护登记制度，但英国仍然保留了数据控制者向ICO登记的义务，数据控制者需要向ICO提供名称、地址、员工数目、营业额等信息以确定其应当缴纳的注册费用[注]参见The Data Protection (Charges and Information) Regulations 2018。。未遵照登记事项不再构成刑事犯罪。其次，新法案延续了《1998数据保护法案》中的很多规定，非法获取、披露个人数据，出售或要约出售个人数据，妨碍或不协助执法，虚假陈述，信息专员披露个人数据以及要求数据主体提供相关记录以应聘或获取服务等在新法案中仍是犯罪。最后，新法案设立了3个新罪名。新法案第171条规定，未经数据控制者同意，明知或轻率地重新识别去标识化的信息，构成犯罪；明知或轻率地处理前述被重新识别的个人数据，也构成犯罪。第173条规定，数据控制者及其员工为了避免向提供请求的有权主体披露信息，实施更改、污损、封锁、删除、毁坏或者隐瞒信息的行为，构成犯罪。

表1 《1998数据保护法案》罪名列表

表2 《2018数据保护法案》罪名列表

(二)我国的个人信息犯罪立法

2009年《刑法修正案(七)》新增第253条之一，设立了“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”。前者是指，“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重”；后者是指，一般主体“窃取或者以其他方法非法获取上述信息，情节严重”。然而，随着信息科技的发展，侵犯个人信息的违法犯罪行为愈发多见，非法买卖个人信息的行为日益泛滥，“出售、非法提供公民个人信息罪”的犯罪主体范围过窄，难以应对现实形势。为了遏制犯罪，2015年《刑法修正案(九)》修订了第253条之一，取消了对犯罪主体身份的要求，扩大了本罪的规制范围，并变更罪名为“侵犯公民个人信息罪”。违反国家有关规定，向他人出售或者提供公民个人信息、窃取或者以其他方法非法获取公民个人信息，情节严重的，成立本罪。

2017年，最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)，进一步明确了“公民个人信息”的定义，同时指出“向特定人提供公民个人信息”，“通过信息网络或者其他途径发布公民个人信息”以及“未经被收集者同意，将合法收集的公民个人信息向他人提供的”，都属于侵犯公民个人信息罪规定的“提供”，而违反国家规定，购买、收受、交换或在履职过程中收集公民个人信息的，属于侵犯公民个人信息罪规定的“以其他方法非法获取”。从罪名内容来看，我国的个人信息犯罪仅限于以公民个人信息为对象的犯罪，也即狭义的个人信息犯罪，英国的个人信息犯罪除了狭义的个人犯罪之外，还设立了很多维护个人信息保护制度以及维护数据主体利益的罪名，前者如“妨碍检查或者不协助检查罪”，后者如“禁止提供相关记录罪”。妨碍或者不协助执行公务类的罪名意在保障有关机构的执行权，是为个人信息保护制度的有序运行提供保障，而“禁止提供相关记录”则是为了保障数据主体的切身利益，禁止用人单位、雇主在招聘、续约的过程中要求雇员提供相关信息，或者禁止商家在向公众提供商品或服务的过程中要求消费者提供相关个人信息，以防止个人信息的过度披露。

二、中英个人信息犯罪的立法模式

(一)英国的罪群立法

英国的个人信息犯罪罪名虽多，但并不散乱，其围绕着不同的权利、义务呈现出罪群的分布模式。《2018数据保护法案》大致包含4个罪群：(1)妨碍执法——不协助调查或虚假陈述，可能构成“妨碍检查或者不协助检查罪”“对信息专员的通知作虚假陈述罪”“毁损或者篡改信息和文件罪”“妨碍或者不协助执行搜查令罪”或“对搜查令执行者作虚假陈述罪”；(2)非法获取、披露个人数据——非法获取、披露与出售个人数据，可能构成“非法获取或披露个人数据罪”“出售个人数据罪”“要约出售个人数据罪”与“信息专员披露个人数据罪”；(3)侵犯访问权——不履行披露义务或者利用数据主体的访问权，可能构成“为防止向数据主体披露而更改个人数据罪”与“禁止提供相关记录罪”；(4)重新识别去标识化的个人数据——将已经去标识化的个人数据重新识别可能构成“重新识别去标识化的个人数据罪”，明知或轻率地处理上述信息可能构成“处理重新识别的个人数据罪”。英国的数据保护法案规定得非常详细，一般规定、犯罪规定、辩护事由、适用范围与术语解释也被置于相同或邻近的法条之中。这种立法便于理解和适用法律，有利于实现法律的精准评价，但过于追求精确性的同时也容易导致立法资源的浪费，在《1998数据保护法案》实施的二十年间，“实行待评估的数据处理罪”与“强迫数据主体查询罪”几乎从未被适用[3]。

(二)我国的单一罪名立法

我国只有刑法典可以设立犯罪，个人信息犯罪采用的是单一罪名模式。刑法典以侵犯公民个人信息罪统摄出售、提供与非法获取个人信息的行为。单一罪名模式虽然节约了立法资源，却“不得不有计划地使用各类高度抽象的概念或者简略的术语，希冀以相关规范语词内涵的收缩为代价换取其外延最大限度地扩充，这将不可避免地导致概念用语的模糊性和不可理解性”[4]，增加条文适用的难度。这种困境在某种程度上因非刑事法律与刑事法律之间的分离而加剧。附属刑法只能象征性地规定“构成犯罪的，依法追究刑事责任”，具体的罪与刑必须规定在刑法典之中，附属刑法本具有的创制、修改与补充功能得不到发挥，导致刑法与其他部门法之间无法实现良性互动[5]。

三、中英个人信息犯罪的定罪模式

我国《刑法》规定“情节显著轻微危害不大的，不认为是犯罪”，构成要件既包含定性要素，亦包含定量要素，形成了“立法定性+立法定量”的一元定罪模式。而在英国等西方国家，构成要件仅含有定性规定，定量因素由司法权衡，形成了“立法定性+司法定量”的二元定罪模式[6]。这种差异同样体现在个人信息犯罪中。

(一)英国的“立法定性+司法定量”模式

英国刑事诉讼制度与我国不同，非警察机构也可以提起诉讼[7]，涉及个人数据保护的刑事案件，除检察官外，ICO也有权起诉[注]参见Data Protection Act 1998 S.60(1)。。ICO行使起诉权需要遵循《英国刑事案件起诉规则》(以下简称《规则》)和《ICO起诉政策声明》(以下简称《声明》)。根据《规则》，ICO决定是否起诉时，需要进行两项测试：(1)证据测试。起诉需要确认有充足的定罪证据，既要检验证据的可采性、可靠性和可信性，也要评估是否具有定罪的现实可能性，为此起诉方不仅需要考虑嫌疑人提出的任何信息(包括辩护事由在内)所可能带来的影响，也要考虑公正的陪审团或者法官根据法律是否更倾向于定罪。如果案件未通过证据测试，不论案件多么严重、敏感，都将终结刑事诉讼程序。(2)公共利益测试。起诉方要逐一考察犯罪的严重性、嫌疑人的可谴责性、受害者的境地等7项因素，经过权衡决定是否起诉[8]。《声明》还要求考虑以下两项因素：一是采取替代处置措施是否合适，例如给予警告(caution)；二是是否符合ICO的五项管理原则，即透明性原则、责任性原则、比例性原则、一致性原则以及必要性原则[9-10]。

警告是个人数据犯罪案件分流的重要措施。适用警告必须满足四项条件：(1)证据充足且有定罪的现实可能性；(2)被指控人承认犯罪；(3)被指控人同意接受警告处置；(4)适用警告符合公共利益。《声明》详细列举了适用警告的影响因素：犯罪性质不严重、没有特别加重因素、初犯、协助调查或者行为与决定之间存在不合理延误，可适用警告；被指控人以牟利为目的、利用职务之便、以系统的方法获取或者试图获取个人数据、多人申诉、曾因类似犯罪被定罪或警告、违反承诺、无视先前的守法提示或者有再犯可能性的，可提起诉讼[注]参见ICO Prosecution Policy Statement, para.13-16, pp.3-4。。总的来看，信息专员也是从行为和行为人两个角度，考察犯罪程度的轻重、人身危险性的大小以及再犯可能性的强弱，综合决定是提起诉讼还是适用警告。

(二)我国的“立法定性+立法定量”模式

我国《刑法》规定，侵犯公民个人信息达到“情节严重”才构成犯罪。何为“情节严重”曾引起热议[11]，直到2017年《解释》出台才有所平息。《解释》第5条从信息用途、信息数量、违法所得、行为次数四个方面确定“情节严重”的度：(1)信息用途。信息被用于犯罪，知道或者应当知道他人利用个人信息实施犯罪，应当追诉。(2)信息数量。个人信息内容千差万别，《解释》初步构建了个人信息分级分类保护的机制。不同种类的个人信息构罪数量不同，还可按比例合计。(3)违法所得。《解释》规定违法所得5 000元以上的即为“情节严重”。(4)多次实施侵犯公民个人信息的行为。曾因侵犯公民个人信息受到刑事处罚或者二年内受过行政处罚，又实施非法获取、出售或者提供公民个人信息的，表明行为人的人身危险性较大，不考虑信息数量也可认定为“情节严重”。

对比《声明》和《解释》可知，中英两国在决定是否追诉时有着相似的考虑，例如，行为人是否以牟利为目的、是否利用了职务之便、是否曾经因实施类似行为而受到法律追究。当然二者也存在不同之处，《声明》第16段规定，当行为人采用系统方法获取或者试图获取个人数据时，应倾向于起诉，这一点在我国的《解释》中没有明确。采用系统方法意味着行为人有组织、有预谋地实施犯罪，采用技术性的手段大批量地获取个人信息，影响范围广，社会危害性大。个人信息的非法获取与流通早已成为我国网络黑产链条的重要环节，受经济利益驱使，黑客加入其中，侵入有价值的网络站点，盗走用户数据库，利用各种技术破解相关用户数据，将各种数据整合成包含多种个人信息的“社工库”，最后通过黑市将其变现[12]。因此，采用系统方法，例如，利用黑客编写的软件窃取个人信息，参与非法购销个人信息网络的情形，应当作为《解释》第5条第10项规定的“其他情节严重的情形”。

四、中英个人信息犯罪的犯罪构成

犯罪构成的比较仅在两国规定重合范围内可行，妨碍执法犯罪在我国依照扰乱公共秩序罪或妨害司法罪规制即可，侵犯访问权与重新识别去标识化的个人数据犯罪在我国刑法上尚未规定，因此本部分仅涉及英国非法获取、披露个人数据类犯罪与我国侵犯公民个人信息罪的比较。

(一)个人信息

就个人信息的定义而言，两国的规定高度相似。英国《2018数据保护法案》第3条规定：“个人数据”是指与一个已识别或可识别的在世个人相联系的任何信息，“可识别的在世个人”是指，能被直接或者间接地识别的在世的个人，尤其是参照了诸如姓名、身份证号码、位置数据的识别符或者网络标识，或是参照了与个人生理、心理、基因、精神、经济、文化或者社会特性相关的因素。我国《解释》第1条规定：“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。二者虽然具体表述不同，却都以识别性为核心属性，承认直接识别与间接识别；都有记录性的要求，数据本身即有记录之义，与“以电子或者其他方式记录的”的含义是一致的；都将识别对象限于自然人[13]。至于我国定义突出强调的“反应特定自然人活动情况”，不是与英国个人数据定义的根本差异，而是我国打击个人信息犯罪的现实之需，无论是身份还是活动情况都为识别的应有之义。

就个人数据的判断而言，英国法官在“相联系”的理解上存有分歧。在Durant v Financial Services Authority案中，奥尔德法官认为，仅在文件中提到数据主体，不足以认为其构成个人数据，关键看信息与主体之间是否具有持续的相关性与接近性。就此需要考虑两点：第一，信息是否具有重要的传记性(biographical)，即信息是否超出了对推定数据主体参与的无个人涵义的事件或是未影响个人隐私的生命事件的简单记录；第二，信息是否具有聚焦性(focus)，信息应当聚焦于推定的数据主体，而不是关于其他人或者其感兴趣的其他事务[注]参见〔2003〕 EWCA Civ 1746, para 28。。奥尔德法官的限制论引发了巨大争议，第29工作小组为澄清个人信息的含义发布了专门的意见书。意见书称，当信息是“关于”这个人时，即可以被认为是与一个人相“联系”的[注]参见Opinion 4/2007 on the concept of personal data (WP136)，p.9。。而在Durant案件之后，一部分英国法官接受了奥尔德法官的限制论，另外一部分法官则采取了更加广泛的理解，在R v Rooney案中，法官甚至考虑了与案件相关的事实与情境(即个人之间特殊的关系)，以确定相关信息可以识别出数据主体[14]。英国有学者指出，尽管个人数据边界的划定十分复杂，个人数据仍是十分广泛的，一旦满足了识别的要求，事实上一切都有可能与个人相关而落入个人数据的范畴之内[15]25。

我国虽未专门就“联系”要素作出规定，但“识别”与“反映”的措辞在某种程度上也是对信息与主体之间关系的一种要求。法律的解释会受到政策影响，但应尽量保持法律适用的一致性，同样是“联系”的要素，英国的不同法院却采取了完全不同的立场，不免导致民众无法根据法律规定预测自己的行为后果，有损法的正义性。这启示我们，在理解确定个人信息的边界之时，要确立一定的原则，防止对个人信息进行不当的限缩解释或扩大解释。然而不可否认的是，在个人信息的认定上，英国的探索更加深入，除了在司法实践中法官阐明了不同立场，ICO还发布了指南《确定何为个人信息》，将个人数据的认定划分为8个步骤，为个人数据的判断提供具体指导[16]。我国关于个人信息边界的研究才刚刚起步，还需基于我国的具体情况，借鉴英国的有益经验，对个人信息要素进行分解细化，同时避免出现英国司法实践中法律适用不一致的问题。

(二)犯罪主体

犯罪主体影响犯罪的社会危害程度。具有特殊资格或身份的主体实施犯罪，所获刑罚可能高于同等情况下的一般主体。我国侵犯公民个人信息罪的犯罪主体是一般主体，但对特殊主体从重处罚。行为人对利用职务便利、工作便利获取的信息负有一定的保密义务，行为人违反义务将个人信息出售或者提供给他人，较之一般主体不法含量更高，为实现罪刑适应，应当从重处罚。英国非法获取或者披露个人数据罪、出售个人数据罪、要约出售个人数据罪均未就行为主体的量刑身份作出规定，“信息专员披露个人数据罪”也不是为了对信息专员从重处罚，相反，通过限定个人数据的范围与规定辩护事由限缩了构罪范围。

两国都规定了个人信息单位犯罪。我国《刑法》第253条之一第4款规定，单位犯前三款罪的，对单位判处罚金，对相关责任人员依各该款定罪处罚。英国《2018数据保护法案》第198条规定，如果该法案下之罪行由法人团体实施，如果证明犯罪是在董事、经理、秘书或相关责任人员的同意、默许之下实施的，或者可归因于以上人员的疏忽，那么以上人员与法人团体均构成相关犯罪，依法对其提起诉讼并判处刑罚。法人犯罪虽然依附于自然人的行为，但是将单位作为犯罪主体处罚能够达到刑罚的预防目的，促使法人在决策之前权衡利弊，放弃实施犯罪行为。

(三)行为方式

《2018数据保护法案》第170条第1款、第4款规定，未经数据控制者同意，明知或轻率地获取、披露个人数据或者未经数据控制者同意，继续保留之前取得的个人数据，构成犯罪。第4款规定，将违反第1款规定所获之个人数据出售者，构成犯罪。第5款规定，要约出售违反第1款规定所获之个人数据，或者要约出售个人数据并随后违反第1款规定获取个人数据，构成犯罪。该条文一共规定了5种行为方式，即非法获取、非法披露、出售、要约出售或继续保留个人数据。我国《刑法》第253条之一第1款规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，构成犯罪；第3款规定，非法获取公民个人信息，情节严重的，构成犯罪。该条文一共规定了3种行为方式，即非法获取、提供以及出售个人信息。提供，可以是对特定人提供，也可以是通过信息网络或者其他途径发布个人信息，与非法披露意思相近。

两国规定的区别主要在于要约出售个人数据、继续保留个人数据是否构成犯罪。《2018数据保护法案》第170条第6款规定，在广告中表明出售或者可能出售个人数据就是一种要约。与广告相关的要约和要约邀请之间的界限是纯学术上的，在该款之下，只要广告中含有出售个人数据可能性的任何表示，都将被视为一种要约[15]252。我国刑法中虽未将要约出售规定为实行行为，但要约出售可以构成侵犯公民个人信息的预备犯。继续保留个人信息是行为人合法取得了个人信息，但是未经数据控制者同意继续保留了个人信息，从文义的射程来看，“继续保留”超出了“非法获取”可能性含义范围，难以解释为“非法获取”的行为，因此不符合侵犯公民个人信息罪的构成要件。

(四)主观过错

侵犯公民个人信息罪的主观心态仅限于故意，《2018数据保护法案》规定行为人实施非法获取或披露个人数据行为时的主观心态包括明知和轻率。在英国刑法中，明知是指意识到某种行为事实已经存在或将要发生，或者怀疑某种行为事实已经存在或将要发生但不采取确认措施，仍然实施行为；轻率是指意识到危险事实已经存在或者将要发生而实施行为，或者意识到危害结果可能发生无正当理由冒险实施行为[17]。一般而言，有意识地冒险实施犯罪行为时，不会在乎危险是否会现实化，但是即便不希望危险发生，有意识地冒险行动就已经构成了轻率[18]。而在我国刑法中，直接故意是明知自己的行为必然会或可能会发生危害结果，而对危害结果的发生持希望态度。间接故意是指明知自己的行为可能会发生危害结果，而对危害结果的发生持放任态度，对结果是否发生满不在乎，在这点上，间接故意与轻率存在重叠。当行为人认识到危害结果可能发生，但是不希望或者排斥、反对危害结果发生时，在我国刑法中属于过于自信的过失，在英国法中仍然归于轻率。比较而言，在规制非法获取或披露个人信息的行为时，英国设置了更低的入罪门槛。

五、中英个人信息犯罪的刑事责任

就非法获取、非法披露、出售个人信息犯罪而言，无论是从刑种上还是从刑度上，我国的刑事责任都明显高于英国。英国此类犯罪的刑罚仅限于罚金。我国刑法则规定，情节严重的，处3年以下有期徒刑或者拘役、并处或者单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金。因此，触犯本罪最高可判7年有期徒刑，并处罚金。

英国试图为个人信息犯罪配置监禁刑，但是经过多次努力没有成功。《1998数据保护法案》第60条规定，除“妨碍或不协助执行搜查令罪”，凡本法之罪，可循简易程序定罪,也可循公诉程序定罪，但仅能判处罚金，刑事法院没有数额限制，治安法院不得超过5 000英镑。2006年，信息专员向国会强烈建议增加监禁刑，指出为了从根本上打击个人数据的非法交易，必须增加监禁刑适用的可能性，让公众慎重考虑自己行为的后果[19]。英国政府接受了信息专员提高刑罚的建议，在2008《刑事司法和移民法》第77条中赋予了英国大臣依法令对违反第55条的行为规定监禁刑的权力。根据该规定，治安法院最高可以判处12个月监禁，刑事法院最高可以判处2年监禁，但是没有进一步制定法令将该条付诸实施。

《1998数据保护法案》过于轻缓的刑罚，导致检方依据其他能够判处监禁的条款起诉成为一种趋势[20]。在R v Hardy一案中，警官Hardy因披露了全国警察电脑网中的个人信息，被以普通法上的滥用职权罪提起诉讼，法院判处28周监禁暂缓两年宣判并义务劳动300个小时，检察官认为量刑畸轻遂提起上诉。上诉法院经审理认为，应当立即对行为人判处监禁，为不正当目的进入全国警察电脑网获取信息的行为包含了故意，应当让警察清楚如果实施类似犯罪将面临严重后果，考虑到行为的严重性以及刑罚的威慑作用，对其判处18个月监禁[注]参见〔2007〕 EWCA Crim 760。。相比之下，依照《1998数据保护法案》处理的案件明显过于仁慈了，目前在ICO网站上公布的起诉案件中，被判处刑罚最高的是Minty，Leong and Craddock，三被告分别在不同时间受雇于一家租车公司，共谋将公司系统中的个人信息泄露给索赔管理公司用于人身损害索赔，并在两年半的时间内非法获取了数以万计的记录，而法院最后判决Minty两年内缴纳7 500英镑罚金，判决Leong12个月有条件释放，判决Craddock12个月有条件释放[注]参见https://ico.org.uk/action-weve-taken/enforcement/minty-leong-and-craddock/2017/8/12。。两种相距甚远的刑罚后果，使得采取其他替代罪名规定起诉时更能打击犯罪，实现刑罚目的。《1998数据保护法案》轻缓的刑罚最终引致其罪行规定虚置。而在新颁布的《2018数据保护法案》中，所有犯罪的刑罚仍仅限于罚金，并未配置任何监禁刑，采用替代条款起诉严重的个人数据犯罪将仍是英国司法的必然选择。

六、中英个人信息犯罪比较的启示

通过比较中英两国的个人信息犯罪，本文得出如下启示。

科技进步对法律规制提出了新要求，这在个人信息领域表现得极为明显。不到四十年间，英国的数据保护法案经历了三次更迭。这种速度是信息时代带给法律的新挑战，一旦技术实现了跨越，旧法律难以应对新兴犯罪，便对立法产生了需求。在这样的背景之下，是否有必要恢复附属刑法的实质功能值得思考。当刑法法典化走到极致，虽极大降低了定罪量刑的随意性，但也阻隔了刑事法与前置法的衔接互动。司法解释虽然通过转化部分前置法规定[注]例如《关于办理侵犯公民个人信息刑事安全适用法律若干问题的解释》第3条规定：未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于《刑法》第253条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。这直接来源于《网络安全法》第42条：“未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”，在一些问题上实现了刑事法与非刑事法的衔接，部分填补附属刑法形式化后的空缺，但是，司法解释的作用始终是极其有限的。从功能上看，司法解释只能起到补充解释刑法的作用，附属刑法的创制、修改功能仍无从发挥；司法解释从范围上看，它在解释空白刑法规范时，只能将个别的前置法规定引入刑法条文中，填补构成要件的空缺，采用的是点对点的对接模式，与此不同，实质化的附属刑法规范直接规定在前置法中，与前置法中的一般规定共用语词、语境，采用的是一种点对面的融合模式。个人信息犯罪只是一个代表，反映了信息时代对法律更新速度的要求。为了保证刑法典的稳定性，防止频繁的法律变更损害刑法的权威，同时为了加强刑法与前置法的衔接互动，便利罪刑规定的理解与适用，或许附属刑法实质化才是有效的应对之道。

具体到个人信息犯罪中，侵犯访问权的犯罪与重新识别去标识化的个人数据的犯罪，显示了未来个人信息犯罪的发展方向。访问权(right of access)在欧盟已经成为数据主体的个人信息权的重要子权利，与更正权、被遗忘权、可携权、限制权并列。《2018数据保护法案》将对行使访问权的数据主体不履行披露义务，与迫使数据主体行使访问权的行为犯罪化，强化了对个人信息权的保护，同时也进一步肯认了个人信息权的法律地位。这种立法在某种程度上预示着，随着个人信息权理论与实践的发展，打击个人信息犯罪保护的法益将日益细化，从个人信息权细化至个人信息权的子项权利细化。在此基础上，个人信息犯罪体系将围绕具体的权利、义务不断拓展完善，我国个人信息犯罪也将循此路径向前发展。重新识别去标识化的个人数据被犯罪化，是为了保障去标识化处理的有效性。去标识化是通过技术处理使在不借助额外信息的情况下，无法识别数据主体，意在提高数据处理的安全性，避免不必要的数据泄露。个人信息边界具有流动性，若外界信息足够充分，总能结合去标识化的信息完成识别。因此，相对于规制流动的个人信息而言，禁止非法的重新识别行为更加可行、有效。重新识别行为在某种意义上也是一种非法获取行为，但是受文义限制，不能将“重新识别”解释为“非法获取”，若日后在我国有打击重新识别行为的现实需要，可将第253条之一的第1款扩充为“重新识别去标识化信息、窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚”。