王煌

摘 要：公民个人信息的刑法保护是公民个人信息保护的最后一道法律屏障。完善公民个人信息的刑法保护能够有效防范和打击针对侵犯公民个人信息的犯罪行为，维护公民个人信息安全与利益。然而，对于公民个人信息的刑法保护依然存在配套性法律不够完善、犯罪行为的规定不够全面、犯罪主观方面存在缺失等问题。因此对于公民个人信息在刑法层面上的保护，需要通过完善刑法保护的配套性法律、全面规制侵犯公民个人信息的犯罪行为、完善主观入罪标准等方面进行理论上的突破和实践上的创新。

关键词：公民个人信息;个人信息安全;刑法保护

中图分类号：D924.3  文献标识码：A  文章编号：1673-2596（2019）06-0056-04

一、引言

公民个人信息作为社会信息的重要组成部分，被称为“新石油”，且已形成了一定的规模，{1}其社会经济利益价值逐渐显露出来。公民个人信息的保护作为公民基本权益法律保护的重要部分，应当根据公民个人信息的性质、特征、侵害公民个人信息的主体和侵害程度，将公民个人信息的保护置于不同的法律保护之中，形成系统完备的法律保护体系。让侵犯公民个人信息的不法分子无法逃避法律对他应有的制裁。但是基于宪法保护主要提供的是原则性保护，在具体的司法实践中仅具有指导性意义，并不能直接的进行法律适用。同时现实中一些严重侵犯公民个人信息的行为已经超出了民法、行政法等法律的调整范围，民事赔偿和行政处罚等已不能有效遏止这些行为的发生，必须通过刑法惩罚的手段予以保护。我国对于公民个人信息的刑法保护源起于2009年《刑法修正案（七）》第253条的规定，这是在刑事立法层面上首次对公民个人信息进行保护。尽管《刑法修正案（九）》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律问题的若干解释》（以下简称“解释”）为解决司法实践中存在的问题及不足，进一步修改和完善了关于公民个人信息刑法保护的规定。但是由于刑法保护的配套性法律不够完善，尤其是《个人信息保护法》还没有制定出台，使得对于刑法中有关条款的解释和适用在司法的实践中还不够具体明确。其次，对于一些常见的侵犯公民个人信息的行为并没有进行刑法的规制，如非法使用，损毁、篡改等，这些行为所造成的社会危害后果是不可忽视的。对于因过失而造成严重社会危害结果和公民个人信息安全受到威胁的行为仍然是法律规定的空白。因此，对于公民个人信息的刑法保护还需要进行深入细致的研究和探讨，这是公民个人信息安全利益的需求，也是我国社会主义法治社会建设的需要。

二、我国公民个人信息刑法保护的不足

（一）配套性法律不够健全

配套性法律体系的健全有利于在刑事司法实践中准确的理解和适用刑法。由于缺少一部完整的个人信息保护方面的立法，对于刑事司法实践中出现的各类问题，多数只能通过“司法解释”的方法来指导实践。《解释》第二条对“违反国家有关规定”进行了解释说明，{2}“违反国家有关规定”是在刑法条文中首次出現的，刑法总则对此也没有表述。刑法总则第九十六条只是对于“违反国家规定”做了规定解释。{3}“违反……的规定”本身就是需要参照一定的前置性法律作为处罚的依据的，但是通过对比发现，《解释》第二条中对于“国家有关规定”的表述将部门规章和所有的行政法规都纳入进来，虽然对于刑事司法实践中发生的案件确实有一定的指导作用，解决了实践中适用标准不统一的问题。但是明显和刑法总则的规定不相符合的，有违“罪刑法定”原则之嫌疑。我国的刑法分为总则和分则，总则是一般性的规定，分则规定的是具体的罪名。在对分则的犯罪行为进行解释时必须受总则一般性的约束。“我们在解释个罪的构成要件时，应当秉持合目的的法秩序原理，尽可能地对比刑法总则和刑法分则相关规定，使之协调统一”。{4}“侵犯公民个人信息罪”作为刑法分则中规定的罪名，不论是基于什么需要，对其适用和解释必须在刑法总则规定的范围内进行。刑法作为规定犯罪与刑罚的法律，其一字一句，甚至一个标点符号都有可能影响是否构成犯罪，是否应受刑罚的处罚。因此对于“国家有关规定”的解释应尽可能地在“国家规定”的内涵和外延内进行。基于此对于本罪适用过程中出现的司法困境，并不能简单的通过司法解释的方法和途径来解决。

再加之公民个人信息的复杂性和多样性，使得实践中对于处理侵犯公民个人信息案件存在交叉冲突的现象，即使有的案件达到了刑法所规定的入罪标准时，也很难精准的适用刑法。因此，为了让公民对于个人信息的安全感提升，需要制定更为系统完备的法律使得处理各类具体的案件有详尽的法律依据。目前，我国对于公民个人信息的保护法律或者规范性文件分布较为分散，《民法》《行政法》《网络安全法》《护照法》《电信和互联网用户个人信息保护规定》《个人信息保护指南》等法律法规中有关于对公民个人信息保护的条款，但是对于违法行为的处罚力度不够大，没有形成合力，保护力度较小。法律之间没有形成统一的标准，造成了一种碎片化的保护，只是针对各自特定的领域进行保护，保护范围受到了巨大的限制。因此，要加紧制定一部与刑法等法律相适应配套法律，整合已有的但不系统健全的法律规定，使公民个人信息的整个法律保护体系更加完整。

（二）犯罪行为规定不够全面

2009年2月《刑法修正案（七）》开启了公民个人信息在刑法保护领域的大门，2015年《刑法修正案（九）》增设侵犯公民个人信息罪。虽然对于犯罪主体由特殊主体变为一般主体，对犯罪对象的范围也进行了一定的完善和补充，但是对于侵犯公民个人信息罪的犯罪行为并没有增加。依然是出售或者提供、窃取或者其他方法非法获取的行为方式。对于侵犯公民个人信息的犯罪不仅仅是法律规定的行为所带来的危害后果，其往往带来的诈骗、绑架、敲诈勒索等下游犯罪的发生。本罪只是规定了对于公民个人信息进行流转的行为，但是对于下游犯罪发生后非法利用公民个人信息的行为未予以明确的限制。如“徐玉玉案”中刑法只是对于犯罪行为人中的诈骗或者敲诈勒索行为进行定罪处罚，而对于个人信息方面的非法使用法律却“无能为力”。“罗彩霞”案中，王某某一直冒用他人名义进行升学、学习等活动，而在最后的审判中王某某的父亲仅对伪造、变造国家机关公文、证件、印章罪的行为承担刑事责任，对于王某某冒用他人个人信息的行为并没有在刑法方面予以规制。针对网络时代下的犯罪手段和犯罪方式的瞬息万变，目前我国刑法规定的四种侵犯公民个人信息的犯罪行为已经不能完全适应社会的快速发展了，尽管法律条文中规定了以“其他方法”的兜底性规定，司法解释也对“其他方法”给予了明确的解释，{5}但是根据刑法的类推解释，此处的“其他方法”是和“窃取”行为相当的危害行为，由此带来的问题是冒用、披露、伪造、篡改等行为是否是“其他方法”的囊括范围之内呢？这些行为所带来的社会危害性也是不可忽视的。

对于公民个人信息的保护，如《民法总则》第111条、{6}《网络安全法》第41、{7}《电信和互联网用户个人信息保护规定》第9条{8}等，作为刑法的前置性配套法律都有关于对公民个人信息“使用”的规定，并将“使用”一词与提供、出售等行为并列，可见“使用”行为是有独立的法律评价的。但是刑法对于“非法使用”公民个人信息的行为并没有规定为犯罪，使得刑法的规定与配套性法律的规定之间出现了“脱节”的现象，不利于刑法内部逻辑体系的完整。同时，对于和本罪行为类型规制方式相类似的“侵犯商业秘密罪”的犯罪行为方式，也将“使用”与“获取、披露”等行为作为其犯罪行为方式的一种。公民的个人信息不仅和“商业秘密”一样具有财产属性，公民个人信息还具有特殊的人身属性。非法使用公民个人信息所包含的法益属性更应值得保护。基于此，为了实现刑法预防和惩罚犯罪的功能，刑法应对侵犯公民个人信息的犯罪行为作更为全面的规制。

（三）主观入罪标准不够完善

主观入罪的标准分为故意和过失，根据本罪的构成要件可以看出本罪的主观方面是故意。但是对于因过失行为致使公民个人信息泄露的社会危害刑法并未予以关注，对于过失泄露公民个人信息的事件也时有发生，如果不对此进行法律上的规定和惩罚，势必给一些不法分子提供了犯罪的空间，使社会的不稳定因素增加。2007年英国皇家税务及海关总署因工作人员的重大操作失误将载有包括约2500万人的个人资料和银行信息的两张重要数据光盘丢失，此次事件将英国近一半的人口陷入了受欺诈的风险之中，引起了社会的一度恐慌和动乱。由于因过失行为使公民个人信息泄露致使公民个人信息被不法分子掌握的，其造成的社会危害并不亚于主观方面故意所造成的社会危害。因此，由于过失泄露公民的个人信息所造成的社会危害也是不可忽视的。对于无视法益的无知和因此带来的法益侵害予以刑法的惩罚，可以促使行为人和大众关心他人法益，进而更全面有效地防止法益侵害事实的发生。{9}但是对于过失犯罪，只有刑法予以明确规定的才可予以处罚，因此，有必要在刑法中对于过失犯的定罪量刑予以明确的规定，使得负有保管公民个人信息的组织机构注重自己的义务，以维护社会的稳定。

三、完善公民个人信息刑法保护的措施

（一）健全刑法保护的配套性法律

针对公民个人信息在刑事司法实践中所遇到的困境，传统的大陆法系国家立法模式往往倾向于制定一部统一的个人信息保护法，该法对区域内的涉及侵犯公民个人信息案件具有普遍性效力。{10}如德国制定的单行法律《德国联邦个人资料保护法》对于个人资料的概念和司法实践对于侵犯个人资料行为的不同适用标准都做了明确的规定，使得德国刑法典中关于界定侵犯个人资料的犯罪行为有了明确的前置性法律基础。日本于2003年制定的《个人信息保护法》在个人信息的概念、保护原则和针对个人信息利用、收集等行为都做了明确的规定，基于此，我国应将个人信息的保护上升到国家统一立法的层面，制定一部单行的法律《个人信息保护法》作为公民个人信息刑法保护的前置性法律。我国应在现有配套法律的基础之上，整合法律、法规和规章中的有关公民个人信息的保护条款，使它们之间形成合力。尤其是针对除国务院制定的行政法规及部门规章中的有关公民个人信息保护的条款，将它们循序渐进、有的放矢地纳入到《个人信息保护》单行法律之中，如此一来，对于本罪法条中 “国家有关规定”一词就能做到很好地解释和适用，符合刑法总则的规定和“罪刑法定”原则的要求。值得欣喜的是在2019年3月4日上午举行的十三届全国人大二次会议新闻发布会上，大会发言人张业遂透露，个人信息保护法已经列入了本届的立法规划，相关的部门正在抓紧研究起草，争取早日出台。{11}《个人信息保护法》的内容应明确阐释个人信息的概念特征，明确个人信息的保护范围和标准，根据侵犯个人信息的严重程度统一划分不同的法律后果。

在《个人信息保护法》的立法基础之上，针对不同的法律属性划定明确的法律保护标准，进一步完善其他法律法规中有关公民个人信息的保护条款，为公民的个人的信息安全提供全方位的保护。既能有效解决在司法实践中因适用标准不统一而由此带来的适用难的问题，同时对于公民个人信息刑法层面的强有力保护具有理论和实践性的指导意义。

（二）全面规制犯罪的行为

侵犯公民个人信息犯罪已经形成可上游泄露个人信息、中游代理商倒卖信息、下游诈骗、敲诈勒索等刑事犯罪的金字塔形的黑色产业链。{12}目前，本罪的犯罪行为方式大部分集中在上游的犯罪环节过程中，对于中游和下游侵犯行为未予以明确的规制。虽然刑法对于侵犯公民个人信息罪中有“其他方法的”的兜底性条款规定，但是很难涵盖上中下游黑色产业链中所有的行为，如非法利用、传播、篡改、损毁等行为，为有效遏制这些侵犯公民个人信息的行为，更好的保护公民个人信息安全，有必要对于侵犯公民个人信息的犯罪行为进行全方面的规制，扩大侵犯行为的入罪范围。应针对侵犯公民个人信息安全行为方式的差别来具体设置相应的罪名。我国澳门地区刑事法律中规定了有关“不当利用秘密罪”“个人资料的更改与损坏罪”等。因此，我们可以借鉴我国澳门特区经验，如一些组织机构虽然合法的掌握和管理着公民的个人信息的，但是将公民的个人信息进行非法使用的，造成他人人身和财产严重危害后果的，应该增设“非法使用公民个人信息罪”。

针对未经本人同意“篡改、损毁”公民个人信息的，造成严重后果的，可以增设“非法篡改、损毁公民个人信息罪”。犯罪行为是复杂多样的，刑法不可能一一的就不同的行为设置不同的罪名，为保证刑法适用的稳定性，可以在增设常见的侵犯公民个人信息犯罪行为之后进一步设定兜底性条款，更好更全面地给公民个人信息提供刑法方面的保护。

（三）完善主观入罪的标准

目前我國刑法的规定中对于侵犯公民个人信息罪的主观入罪标准并不包含过失行为，但是由于一些过失泄露公民个人信息的行为所造成的严重的社会危害结果又是不可忽视的，对于刑法规定的罪名并不能通过司法解释进行增加或者减少，因此有必要对于本罪在主观入罪方面增加过失泄露公民个人信息罪。对于公民个人信息的保护，组织机构相对于普通的民众对于个人信息保护的力度和防范意识在一定程度上都优于普通的民众，设置业务过失犯具有一定的正当性。{13}我国台湾地区的“刑法”中就规定了“泄露业务上知悉他人秘密罪”。{14}传统的大陆法系国家德国就在其刑法典中规定了“过失泄露个人信息罪”。对于公民个人信息的集中管理和掌握主要存在于人事代理公司、学校、医院等其他一些组织机构之中，而且涉及的都是一些公民个人的主要的比较隐秘的信息，范围相对比较宽泛。一旦工作人员由于过失行为将个人信息泄露给不法分子，将会可能造成不可挽回的危害后果。基于此，对于规定“过失泄露公民个人信息罪”的主体主要限制在特定的组织机构内部人员中，不论行为是由于疏忽大意的过失还是基于过于自信的过失，行为必须达到造成严重社会危害结果且后果不可挽回，对于其处罚应该参照故意犯罪处罚结果给予较轻的处罚，量刑的幅度可以根据过失行为造成的社会危害结果程度而进行。同时可以针对该过失犯罪主体的特殊性，设置从业禁止等刑罚措施来进一步保障公民的个人信息。

四、結语

刑法对于公民个人信息的保护尽管还处于初级的发展阶段，在司法的适用过程中还存在一定的不足和疏漏之处。但是正基于此，公民个人信息刑法保护的理论与实践有了不断向前发展和创新的动力，促使立法者在新的理论和实践的基础之上深入思考如何让公民个人信息刑法保护体系日益完善。

注 释：

{1}张里安，韩旭至.大数据时代性个人信息权的私法属性[J].法学论坛2016，（03）：5.

{2}《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律问题的若干解释》第二条规定，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。

{3}《中华人民共和国刑法》第九十六条规定，本法所称违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。

{4}李谦.侵犯公民个人信息罪的法解释学释义[J].北京邮电大学学报.2017，（01）：17.

{5}《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律问题的若干解释》第四条规定，违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

{6}《中华人民共和国民法总则》第一百一十条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

{7}《网络安全法》第四十一条规定：......不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

{8}《电信和互联网用户个人信息保护规定》第9条规定，未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。

{9}郭瑜.个人数据保护法研究[M].北京：北京大学出版社，2012.39-43.

{10}王利明.《论个人信息全权的法律保护》[J].现代法学.2013，（07）：30.

{11}新华网.http：//www.xinhuanet.com/politics/2019 lh/2019-03/04/c_1210072739.htm.

{12}王彬，王康庆.侵犯公民个人信息犯罪现状与治理对策[J].广西警察学院学报，2019，（01）：68.

{13}赵秉志，李慧织.业务过失犯处罚问题研究[J].当代法学，2009，（01）：85.

{14}“《台湾刑法典》”第316条：医师、药师、药商、助产士、心理师、宗教师、律师、辩护人、公证人、会计师或其业务上佐理人，或曾任此等职务之人，无故泄漏因业务知悉或持有之他人秘密者，处一年以下有期徒刑、拘役或五万元以下罚金。

参考文献：

〔1〕张里安、韩旭至.大数据时代性个人信息权的私法属性[J].法学论坛2016，（03）.

〔2〕李谦.侵犯公民个人信息罪的法解释学释义[J].北京邮电大学学报.2017，（01）.

〔3〕郭瑜.个人数据保护法研究[M].北京：北京大学出版社，2012.

〔4〕王利明.论个人信息全权的法律保护[J].现代法学，2013，（07）.

〔5〕王彬，王康庆.侵犯公民个人信息犯罪现状与治理对策[J].广西警察学院学报，2019，（01）.

〔6〕赵秉志，李慧织.业务过失犯处罚问题研究[J].当代法学，2009，（01）.

〔7〕赵秉志.侵犯公民个人信息罪研究[J].华东政法大学学报.2014，（01）.

〔8〕喻海松.侵犯公民个人信息罪的司法适用态势与争议焦点探析[J].法律适用.2018，（07）.

（责任编辑 赛汉其其格）

收稿日期：2019-04-06

基金项目：安徽财经大学研究生科研创新基金项目（ACYC2018354）

Abstract： The criminal law protection of citizens' personal information is the last legal barrier for the protection of citizens' personal information. Perfecting the criminal law protection of citizens' personal information can effectively prevent and crack down on criminal acts against personal information of citizens， and safeguard the security and interests of citizens' personal information. However， for the criminal law protection of citizens' personal information， there are still problems such as inadequate supporting laws， inadequate comprehensive criminal behaviors， and lack of subjective aspects of crime. Therefore， for the protection of citizens' personal information on the criminal law level， it is necessary to make theoretical breakthroughs and practical innovations through perfecting the supporting laws of criminal law protection， comprehensively regulating the criminal behaviors of infringing citizens' personal information， and improving the subjective conviction standards.

Keywords： Citizen Personal Information; Personal Information Security; Criminal Law Protection