摘 要 公民信息的保护，从来都不是一个新问题，但也从来是个难问题。在互联网发展迅猛的今天，随着智能化、信息化、个性化服务的发展，互联网服务提供者在对公民提供精细化服务的同时，也对公民的个人信息有着更强烈的需求。然而这种需求引发了公民个人信息安全的问题，公民在享受便捷的甚至定制化的互联网服务中必须披露个人信息，因而带来了个人信息被侵犯的风险。在这种情况下，本文通过构建科层性刑法保护，试图通过界定互联网语境下公民个人信息的范围、对公民个人信息侵犯的程度该如何层级化考量，即对公民的个人信息侵犯到何种程度，需要采取何种层次的手段进行或道德防范、民事侵权责任赔偿或刑事制裁，刑事制裁的介入该遵循什么样的标准，以及在“刑九”出台的新背景下，该用何种方法，适度合理的建立相应的制度，使之在制度修改、重构的框架下，既能保护公民的合法权益，又保障公民的个人信息不受恶意互联网攻击的侵害等问题。

关键词 网络隐私权 刑法保护 个人信息

作者简介：叶新，中共金华市委党校，助教，研究方向：知识产权法。

中图分类号：D924                                                            文献标识码：A                       DOI：10.19387/j.cnki.1009-0592.2019.09.249

一、网络隐私权及其特征

网络隐私权并非是新兴、骤然产生而毫无基础的新的权利，网络隐私权的本质是个人隐私的权利在网络空间领域的延长。网络本身就是穿越空间，形式虚拟，在传播上几乎无视时间差的特点的集合。本文充分理解了网络的特点并结合考虑了有关隐私权的概念。对于网络隐私权的定义，应在隐私权权利范畴的基础上，结合网络性的特征加以界定下定义。因此，笔者认为，网络隐私权是指自然人在网络空间中所享有的私生活安宁和私人信息不受侵犯的权利，具体包括在网络公共空间从事一定行为活动的同时，需要隐蔽个人信息的权利;以及在网络私人空间中自主支配免受侵扰的权利。需要注意的是，在界定网络隐私权时，有必要区分网络隐私权与个人信息权。“个人信息在世界范围内通常被称为个人数据、‘个人信息与‘隐私。” 由于不同国家的社会观念和法制体系存在差异，无论隐私權制度还是学理研究中，网络隐私权与个人信息权的关系，都因不同的观点和研究角度而难以达成通识性的结论。

故而笔者在此需要对个人信息在此进行一定的说明，这其中主要包括两点：首先，个人信息的一部分内容，数据实际上是与网络隐私的权利是相关的，处于对个人信息的保护，实际上也是对个人网络隐私的某种保护，只不过这种保护被间接化了。法律制度在保护个人信息的同时，实现了对自然人网络隐私权的保护，只不过对于后者的保护是间接结果，而非直接保护;其次，个人信息在不同的情形下有不同的表现形式，比如在档案中就可能表现为公民的档案信息，那么在网络环境下个人信息往往就会表征为个人数据。但是，对于个人数据来说，其主要作用是用以甄别个人之情况，亦可包含个人信息的所有材料。在对网络隐私权的界定中，网络的隐私权是包括个人（私人）信息，个人（私人）活动、行为，个人（私人）空间三大部分的。而这里的个人（私人）信息是公民相关的个人的具有重要意义的数据（否则这些数据并无保护价值）。

除此之外，笔者提出的相关界定中，个人（私人）活动、行为在网络意义上通常指的是该权利主体在网络层面的行为，一般体现为上网冲浪、购物、聊天等;另外个人空间则是网络中的个人空间，具体先不限于时下常用的电脑终端系统，电子邮件地址等等，这些都可以称之为网络用户的私人网络空间。笔者在前文中明确说明了网络隐私权的概念，接下来便是对于其内容的阐述，当然这其中还应当包括厘清网络意义上的网络隐私权与传统意义上的隐私权之间的关联与不同。

二、网络隐私权的刑法保护现状

（一）现行法律文件的分析

《网络安全法》专门立法的方式强化了对公民信息的保护，其中规定的犯罪行为更是深化了网络隐私权的刑法保护。虽然该法中明确了个人信息的刑法保护，由于立法技术和观念的不同，也引发了刑法适用新的问题，其中比较典型的是匿名信息保护以及非法收集行为的规制漏洞。网络安全法留下的上述两个法律漏洞，最高院和最高检通过发布司法解释给予一定程度的补足和完善。通过《网络安全法》以及相关司法解释的制定，我国网络隐私权的刑法保护制度初步建立。但是两个法律法规的出台也使得对个人信息的刑法保护变得更加复杂。其中，立法体例问题、入罪规则冲突以及刑事责任衔接不顺等问题比较突出。在刑法的发展过程中还需要通过，相应的司法解释来进行完善。

对于公民个人信息的刑法保护，我国首先是在《刑法修正案（九）》中首次纳入。随后2016年出台的《网络安全法》更是以专章的形式，对网络信息保护予以专门的规范。但随着网络犯罪形式的迅速演进，打击新形式的网络犯罪对刑法规制提出了新的要求。尤其网络安全法中确立的网络个人信息保护理念，该新形式的刑事法治理念实质性的影响了刑法规范。而且该影响又进一步指导两高发布的司法解释，影响了刑法实体规范解释和适用规则的制定。虽然两高发布的司法解释，通过对相关罪名出入罪的解释，对接了刑法与《网络安全法》中的信息保护规范，但是该司法解释的衔接并不是完全体系化了的，造成了不少刑法规范内部矛盾和冲突的新问题，这为两部法律的适用带来了新的课题。

（二）现行法律文件中存在的新问题

从《网络安全法》的相关规定中看出处罚行为所针对的对象包含两大类：一是对于非法收集使用个人信息的行为;二是窃取和其他方式获取出售个人信息的行为。但是对于刑法来说，刑法的相关规定列举的犯罪行为仅仅包括对于非法出售和获取信息的行为，而对于收集、使用个人信息的行为。在刑法当中却没有进行相应的规定。因此，造成了理论和司法实践上的两大难题：一是造成了刑法中罪名的混淆，造成了罪与罪之间认定困境，如非法收集和非法获取行为的认定混淆问题。二是也产生了新的规制难题，其中包括对非法收集行为以及非法使用个人信息的行为的规制问题。

对于这个问题，新的司法解释给出了完全不同的态度，一是通过将概念进行混同，将非法收集个人信息的行为进行入罪。尽管刑法中并没有明确规定非法收集信息的行为，但是从字面的理解上来看，收集也是获取行为的一种。但是对于什么是非法搜集、什么是非法获取法条之中并没有进行明确的界定。对于非法收集的行为表现，网络安全法中作出了相对原则比较原则的界定，该法第41条着重解释了“非法”的范围，而没有对收集的行为表现进行界定。根据该法条的规定，个人信息的收集必须满足法律明确规定的收集规则或者经被收集人的授权，否则之外的收集行为即为非法收集。同时该法在第44条中也明确规定了非法获取行为的客观表现，不具有收集权的主体采取盗窃等方法获取公民个人信息行为。然而，最新出的司法解释却将非法收集和非法获取两种行为不加区分的混同在一起。

但笔者认为，司法解释的处理方法不能有效的发挥刑法打击侵害网络隐私权犯罪的功能，反而扩大了入罪的标准，将不该评价为犯罪的行为纳入刑法打击的对象。这是因为，信息时代的信息披露是必不可少的，也是互联网行业和互联网行为的基础，如电子支付必须要求支付双方的付款方和收款方披露个人信息，同时还应满足银行和信用机构对支付关系双方一定限度的信息披露要求。而我国的信息产业发展还不成熟，互联网行业对用户信息的收集和保护还没有形成良好的行业规范。在当下互联网产业中，互联网服务商也没有形成规范的收集标准，实际上现行的收集行为往往耦合了合法和非法的行为表现，合法与非法的界限没有得以明确。同时，我国也没有对个人信息收集和隐私收集之间的关系予以明确界定，进一步增加了罪与非罪认定的困难。故我国刑法对公民信息个人保护的边界，仍然从这个意义上来说现在解释将非法搜集个人信息的行为进行入罪化处理在一定程度上超出了当今司法实践的需求。

而对于非法使用个人信息的行为，现阶段我国各法律文件中并没有对其进行严格明确的规定。时下，我国经济社会中非法使用公民个人信息的侵犯网络隐私权的现象比较普遍，甚至在法律明确规定打击违法犯罪行为的状况下，现实中的非法使用行为却一直高居不下，并没有得到良好的遏制。其中比较常见的违法行为是获取个人信息并进行骚扰，互联网商铺利用收集到的消费者信息，进行推销或者其他目的的骚扰行为，严重侵害了公民的信息安全和生活安宁权，其中有的诈骗行为更是直接侵犯了公民的财产权。

因此对于该类行为，学界一直倡导将其纳入刑法打击的对象。其中一部分学者主张，对于个人信息的保护应该在刑法修正案中明确相应的罪名。虽然这种呼吁没被刑法修正案所采纳，但是我国制定《网络安全法》中强调对公民个人信息的保障。然而网络安全法的规定，非法收集和非法使用行为的刑事责任并无区别。考究立法者的旨意，他们认为非法收集和非法使用社会危害性程度均属于同一层级。而新出的司法解释是直接回避了各非法使用和非法收集之间的界限，仅对后者的法律适用进行了构成要件上的解释，并规定使用非法使用行为的法律适用。这种司法解释，行为显然违反了刑法基本原则中的罪行责相适应。而刑法理论分析，收集行为和使用行为的危险显然不同的，前者是抽象危险后者是具体危险。这种危险并不一定导致实质性的结果。而非法使用个人信息的行为却造成了实质性的危害。因此，非法使用的行为和非法收集行为的社会危害性程度不仅相当，而且实践中的大部分违法行为产生了社会危害性都要高于后者。现行的司法解释选择了社会危害性较轻的非法收集行为入罪，而将危害性较重的非法使用行为排除在法律适用之外，显然违背了基本的比例原则。

三、完善网络隐私权的刑法保护建议

（一）完善刑罚配置，增设非法利用个人信息罪

我国现阶段有关个人信息犯罪立法上在采用的是双重立法模式，而且以刑法典为基础同时也制定相关的附属刑法，不仅在刑法典中明确规定了对个人信息犯罪的打击，也制定了专门的《关于加强网络信息保护决定》强化了侵犯个人信息的犯罪行为的入罪规定。可该条文的规定，属于抽象性的立法模式，需要刑法典对构成犯罪的行为加以规定，如果刑法典中没有规定该行为客观表现的法律条文，则难以追究相应的违法犯罪行为。另一方面，我国的公民个人信息保护的法制机制存在明显的保护不足的问题，其中主要表现在刑法保护制度的缺失，现有的法制机制是以民法和行政法的保护为主体的。单纯利用民事、行政法規来进行规制，很难起到全面保护的作用 。只有建立健全包含刑事法律在内的综合立体的法律保护机制，才能有效的保护公民的个人信息权，尤其科层性及前置程序性的刑事法律更能有效的发挥保障作用。

笔者认为完善我国网络隐私权的刑法保护，宜新增侵害个人信息罪。具体而言，应该在我国刑法后续的修正案中明确增加侵害公民个人信息罪，以形式基本法的法律地位落实公民个人信息的保障。笔者不赞成采用单行刑法的立法方式来加强对网络隐私权的刑法保护。一方面，由于单行刑法在刑事法律体系中比较特殊，不利于体系化的刑事法律制度的构建。另一方面，以刑法修正案的方式保护个人信息，可以发挥修正案的灵活性。随着信息技术和产业经济的发展，信息犯罪领域中的犯罪表现形式会出现多样化，而通过灵活性的修正案的不断修订，会将不同新型的犯罪表现形式纳入刑法的打击范围之中，使对公民个人信息的犯罪得到有效的打击和惩戒，同时也能保障立法的连续性。

（二）在现有基础上进一步扩大个人信息的含义

刑法修正案（九）对于个人信息给出了相应的界定，同时两高的司法解释也进一步做出了解释，回应了司法实践的需要较为全面的保护了公民的个人信息。其中第1条规定了，“公民的个人信息”包括信息标识信息和信息活动， 即“公民的个人作为刑法第253条规定的信息”是指任何信息通过电子手段记录或其他方法可以用来确定一个特定的自然人或反映一个特定自然人的活动单独或结合其他信息，包括身份证号码等等。而刑事法律本身并没有加以确定个人信息的定义，司法实践中有两种解释方法来弥补个人信息外延的不确定性。其一，引用其他法律中的定义界定，如果民事法律和行政法律法规中做出了相应的界定，在刑法的适用中可以参考其定义标准;其二，制定相应的司法解释或者立法解释直接对个人信息的内涵做出明确的界定。我国刑法修正案立法过程中，无论是学术界还是司法实务界都提出了对个人信息进行司法解释的建议，增强刑法对个人信息的保护。也有部分学者建议以专门立法的形式，在个人信息保护法中明确概念和内涵。但实际上，单独立法会存在法律适用的难题，较低法律位阶的法律，无法直接适用于较高位阶的形式基本法，不适用于已经存在的刑法 。但是实际情况中，通过横向的比较，有一些国家并没有制定对个人信息的特殊保护规则，所提供的个人信息的定义同样适用与刑法保护的领域内。

个人信息的外延范围很广，其与隐私权和安全权对下游犯罪的影响也不甚相同。笔者认为，界定个人信息，不满足个人信息刑法保护的目的，即相应的界定应该有利于指导定罪量刑，影响罪与罪以及量刑幅度的判断。因此，在划定个人信息外延的范围中，应考虑以下两点。一是立法目的，二是刑法制裁，对于一些对公民隐私和安全影响较小的个人信息，可以使用民事或行政手段来规范。但民事和行政的保护力度是不足的，重大侵害和特别严重危害性个人信息违法中，如涉及金融诈骗或其他危害国家安全的犯罪行为，应适用刑法对相关的个人信息犯罪行为予以打击。对于民法和行政法中采取个人信息保护的较大范围保护的低标准低，刑法不宜采取同等的低标准，在制定和完善刑法制度中引入不同于行政法和民法的高标准。因此必须完善公民个人信息的刑法保护标准，在刑法中直接界定公民个人信息的外延范围，以刑法本身加以规范不仅有利于打击犯罪保障公民个人信息，而且也是合理确定犯罪的界限、缩小刑法打击范围的保障。

鉴于以上，笔者认为在刑法修正案（九）的基础上，应扩大个人信息的定义范围。将下述内容涵盖进去：譬如独特的生物特征数据等，互联网时代中，扩大公民个人信息的外延范围，是全面保护公民网络隐私权的基础，不仅有利于保护公民个人隐私权，也是互联网治理中保护和尊重公民个人信息的必然要求。在大数据时代，仅仅依靠国家通过上层治理的方式进行保护是远远不够的，政府层面的监管仅仅在体制上能做到相关的制度化构建，但公民的个人参与和保护纳入到保护范围内才是最根本的，也是能和国际上互联网时代下保护个人信息的必要选择。当前，网络隐私权保护比较全面的国家，主要采取的定义加列举的方式，界定了个人信息的刑法保护对象。其中列举方式更是具体明确个人信息的范围增强了刑法规范的明确性，也为犯罪行为入罪的构成要件提供了明确的犯罪对象。但也考虑到科学和技术的发展有利于科学技术融合的未来发展。因此，在我国的个人信息犯罪中，对个人信息的定义、列举和使用更为恰当，列举一些重要的个人信息，并将其纳入刑法的范围。

四、结语

当下，侵犯网上隐私罪的犯罪制度相当混乱。然而，与此同时，互联网规制下保护个人信息也应该是相对的对于公民的个人信息保护，应该是相对的而非绝对的，只有一定范围内具有可保护价值的个人信息才能纳为刑法的保护对象之中。与此同时，我们必须做出必要的自我付出，这是社会发展的必要前提。从刑事立法发展的角度出发，完善网络隐私权的刑法保护，追究相应违法行为的刑事责任。无论在理论中还是在实践中，都还有不少的问题需要解決。

注释：

李源粒.网络数据安全与公民个人信息保护的刑法完善[J].中国政法大学学报，2015（4）：64-78+159.

王肃之.侵犯公民个人信息罪行为体系的完善[J].河北法学，2017，35（7）：151-160.

齐爱民.个人信息保护法研究[J].河北法学，2008（4）：15-33.

参考文献：

[1]同振魁，肖进.侵犯公民个人信息犯罪若干问题研究[J].云南大学学报（法学版），2011，24（6）.

[2]胡江.互联网时代惩治侵犯公民个人信息犯罪的困境与出路[J].山东警察学院报，2016，28（5）.