黄霞晖

摘要：大数据时代是信息时代的高度进步，我国当前对个人信息的保护并未形成有层次的法律体系，其中存在过度依赖刑法与前置法律缺失的问题。若想对公民个人信息形成全面有效的保护，就必然需要明确刑法对个人信息的保护边界与适用问题，并与其它有关法律形成对接关系。本文从大数据时代个人信息安全面临的疑惑和挑战入手，分析现行刑法规制下个人信息安全的保护漏洞，并提出相应的对策和建议。

关键词：大数据;个人信息;刑法;法律体系

在全球化和信息化高速发展的背景条件下，大数据可以说是一个国家基础性的、重要的战略资源，大数据是维护国家数据主权、信息网络安全的重要工具。因此，在数据流动、交易过程中如何协调安全与发展的关系、协调国家大数据发展的客观需要与个人信息保护现实要求之间的冲突，如何更加有效地保护公民个人的信息安全，避免个人信息扩散失控，已成为个人信息刑法保护的边界确定需要解决的问题。以此为背景，《刑法修正案（九）》再次修改和完善了侵犯公民个人信息犯罪的相关规定，将情节严重的违反国家有关规定向他人提供或者出售公民个人信息的行为作入罪处理，相应地，罪名也被修改为侵犯公民个人信息罪。在此，“违反国家有关规定”是成立犯罪的前置性条件，对其性质和地位的正确把握，是确定刑法保护公民个人信息的边界的重要依据。

一、大数据时代公民个人信息面临的困境

（一）大数据时代公民个人信息失序

大数据时代，是一个拥有数据信息便可获取能量的时代，但个人信息的保护也遇到了前所未有的挑战。百度让我们寸步不行就能得到问题的答案，同时也记录着我们的搜索习惯、微博让我们与世界分享，但同时也可能造成照片、地址等信息的泄露等许多在线平台都存在此类问题。而随着媒体的快速发展，公民的个人信息被毫不留情地暴露在不安定的状态中，成为毫无隐私可言的透明物体。更为关键的原因在于侵犯个人信息往往是作为其他犯罪的上游犯罪，为电信诈骗、敲诈勒索等犯罪提供了温床，并且呈现交叉态势。在个人信息无法得到有效保护的情况下，公民内心则必然充斥着不安与惶恐。

（二）大数据时代对公民个人信息安全的影响

随着社会经济的发展，个人信息的商业价值日益显现，不仅政府和部门决策因公务或者研究等合法需求有采集公民的个人信息的必要，其他各行各业的工作中也无不涉及到个人信息的抓取与利用。在市场经济占据主导地位的当下，个人信息往往蕴含了一定的价值，谁掌握了信息，谁就占领了商机。利益驱动下容易滋生贪婪和欲望，特别又当信息的收集和传播变得容易时，公民的个人信息就给了犯罪分子的可乘之机，犯罪分子在获知大量他人信息后，以此来确定下一步犯罪目标。比如2016年山东女大学生徐某学费被骗光昏厥离世案中，就是犯罪分子利用购买的大量考生报名信息，从而来开展电信诈骗活动[1]。

（三）公民个人非敏感信息

根据《刑法》第二百五十三条之一关于侵犯公民个人信息罪成立条件的规定，“情节严重”是判断侵犯公民个人信息罪成立与否的关键。《刑法修正案（九）》采取的“情节严重”之“情节犯”立法模式，虽然较为灵活地避免了立法定量难题，但却为司法实践中“情节严重”的规范适用留存了个案裁判的难题[2]。在《解释》第六条第一款没有明示规定信息数量标准的情况下，其他情节严重中，是否应当包括（以及如何界定）信息数量入罪标准？对此，当前司法实践中存在两种截然不同的解释路径。一种观点认为，“考虑到个人信息是个人隐私权、人格权和财产权的综合载体，更可能涉及公共秩序利益。因此将严重侵犯个人信息的行为入刑，既有利于保护信息安全，更有助于发挥刑法的自由保障机能”[3]。而就侵犯个人信息是否“严重”的判断而言，由于数量是社会危害性结果可量化的犯罪中最重要的定罪条件，通常情况下非法获取公民个人信息的数量越多，犯罪的社会危害性也就越大。故根據量变引起质变的基本原理，在为合法经营活动非法购买、收受公民个人非敏感信息的场合中，当非法购买、收受的信息达到一定的数量后，其社会危害性就会增大，该类行为自然就应被纳入刑法规制范畴。这种观点反映到司法解释技术层面，显然是与前述肯定论相一致的。

另一种观点认为，从侵犯公民个人信息罪所保护法益及侵犯公民个人信息的实质违法性角度看，侵犯公民个人信息罪所保护的法益，应为个人尊严和个人自由，进而刑法保护公民个人信息的范围应限缩为直接识别特定个人身份的公民个人信息[4]。据此，运用刑法对不具有直接识别特定个人身份的公民个人非敏感信息的保护需求及正当性就趋弱，这种认识反映到司法解释技术层面就倾向于前述的否定论。还有学者结合法条竞合适用规则指出，《解释》第五条与第六条是普通规定与特别规定的关系，从事合法经营活动的行为人非法购买或者收受公民个人信息五千条以上、但获利未满五万元时，应当适用特别法条优于普通法条的一般原则，优先适用《解释》第六条规定，以此排除《解释》第六条第一款中“其他情节严重”中的信息数量入罪标准。这实际上也是对大数据背景下非敏感信息刑法保护必要性问题上“弱式”认知的“变相”反应。

三、公民个人信息刑法保护的缺陷

（一）刑法保护范围过窄

在刑法修正案九中，目前只有三种行为方式规定为是对公民个人信息的侵犯：其一为非法出售公民个人信息，也称“交易型”犯罪，是指非法将获取到的公民个人信息与他人进行以获利为目的的交易;其二是非法提供公民个人信息，也称“泄露型”犯罪，是指非法将自己获取到的公民个人信息向特定或不特定人无偿提供的行为;第三种是非法获取公民个人信息，也称“刺探型”犯罪，是指以窃取或与其程度相当的手段非法取获取个人信息的行为。这三种行为方式基本涵盖了当前侵犯公民个人信息的犯罪类型，无论是故意或者已过时的手段侵犯公民个人信息，其客观上仍然造成了严重的社会危害性和恶劣的社会影响，值得我们探讨是否应同样受到刑法规制或其他制裁。

（二）刑法先行，前置性法律缺失

大数据背景下，侵犯公民个人信息的犯罪具有手段多样性以及团伙作案性的特点，这种情形下对公民个人信息进行保护的问题亟待解决。然而在此等窘迫的境况中，我国仍未形成对于个人信息系统且全面的保护。由于《个人信息保护法》的缺位，导致刑法被迫承担了其他法律的规制功能，这实际上是法治无能和刑法依赖症的表现。并且在民法与行政法法域中，关于公民个人信息保护的规定呈现零散式的特征，民事与行政规制手段极其有限，无法与刑法衔接形成合力共同保护公民个人信息安全。这些都导致了法律秩序的混乱，刑法作为最严厉的最后手段却成为惩治侵犯公民个人信息行为最常用的措施。

四、保护个人信息的刑法思路

（一）民、行政在先，刑法在后的设置

刚开始大数据出现时，对于“公民个人信息”采取的是隐私权保护模式，没有能够对于“公民个人信息”提供全面的保护。而其他法律又迟迟未能跟进对于“公民个人信息”的保护，因此，强调谦抑性、最后手段原则的刑法被推到了台前，独立承担起对公民个人信息的保护。先是《刑法修正案（七）》第7条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，接着《刑法修正案（九）》第17条又将前述两罪合并为一个“侵犯公民个人信息罪”，之后，又通过两个司法解释将“公民个人信息”扩大到了身份信息和可能涉及到公民人身、财产的信息[5]。通过这一系列举措，刑法率先承担起了保护公民个人信息的重任。

此前的“刑先民后”不是“民”特意为“后”，而是由于立法的缺失和滞后在客观上造成的。由于民法迟迟未能明确对于“公民个人信息”的保护，使得公民在寻求救济时事实上只有刑法一条路可以走。《民法总则》填补了这一立法空白。其第111条“公民个人信息受法律保护”和《刑法》第253条之一“侵犯公民个人信息罪”，共同构成了我国保护公民个人信息的核心条款[6]。因此，以后需要采取“刑民并进”、“刑民并重”的方式，最好是采取“民先刑后”、“民紧刑松”的方式，形成法律合力，全面保护公民个人信息。

對于网络安全，由网络信息安全的监管部门进行监管，对于大数据下的，行为人泄露他人信息，非法使用或提供他人信息的行为，违反《中华人民共和国网络安全法》第七十四条第一款之规定，行为人侵犯公民个人的信息时，不能直接用刑法加以规制。对于法人或者其他组织而言，行政机关先对其进行行政处罚，对于情节严重的，直接追究相关责任人的刑事责任;对于一般的公民来说，行为人通过非法的形式获取他人个人信息，进行提供他人使用、或自行使用的情况下，那么用治安管理处罚法进行规制，当情况严重时，再追究刑事责任。这样安排先行政后刑事，主要可以避免过度刑罚，也缓和了刑法是最后一道防线。

（二）扩大刑法规制的犯罪表现形式

1.非法利用个人信息

现实生活中，侵犯他人个人信息的行为中较多的方式就是利用非法方式获取的个人信息，冒充他人，这种方式尤其在诈骗类犯罪中最为常见。比如我们经常会收到冒充淘宝卖家发来的短信，说根据我们在其店里的购买信用，现在可以参与抽奖等活动，然后附上一串链接，这就诱使大家盲目点开危险网站导致手机中毒等。这让我们不禁反思，我们的信息是怎样被轻易盗取，而又有多少人可以轻松地利用这些掌握的信息来实施危害我们合法权益的事情。

2.过失性侵犯公民个人信息

在我国以往的法律与舆论观念中，似乎具备故意要素的侵犯公民个人信息才是值得规制的。但不可否定的是，即使是过失要素，其客观上仍然可以造成巨大的社会危害性和法益侵害性。以2007年英国税务及海关总署发生的事件为例，其在交由快递公司寄送国家审计办公室的过程中，不慎遗失了两张包含大量个人信息数据的光碟，造成了极其恶劣的社会影响。通过这起典型案例，可以看出尽管处于少数情况，但过失造成的个人信息泄露事件仍然不可忽视。即便比起故意，过失的主观恶性较小，但同样可能造成严重的社会危害性，应将情节严重的情况纳入刑法规制的范围。

（三）公民个人非敏感信息

对于公民个人非敏感信息，《解释》第五条设定的高度敏感信息五十条、一般敏感信息五百条、非敏感信息五千条的十倍数量体系，综合考虑行为人在行为手段上的非法性和行为目的上为合法经营活动而非法购买、收受公民个人信息的可宽宥性，将《解释》第六条中“其他情节严重”的数量标准设定为五万条是比较合理的。

同时，鉴于《解释》第六条中“其他情节严重”的兜底条款性质，一方面固然需要对其体系性地严格解释，另一方面也需要面对生动的社会生活保持其开放性，结合该罪的司法实践和类似的解释精神，动态挖掘其规范内涵。具体而言，结合信息数量标准，可以在五万条信息数量标准基础上，综合建构数量与数额的叠加规则。

五、结语

针对网络时代犯罪行为发展快、数量多、影响广、损失大等情况，刑法先积极作为，划定最低的行为界限，并非不可，至少可以形成一定的威慑力。但从整体的法律规制体系逻辑来看，刑法的任务并不是针对具体侵犯公民个人信息权利的行为去鉴定其是否合法或违法，这个任务应当由民法或行政法去完成。只有对侵犯公民个人信息已达到相当严重程度、具有相当社会危害性的违法行为才能动用刑法，以避免刑法“代行”民法或行政法等其他部门法的职能。这样才能搭建一个刑、民、行交叉的整体保护框架，实现大数据时代对公民个人信息的全方位保护。

同时，应特别注重公民个人非敏感信息的多法域协同保护效能。因为在这场“法律规则的全新升级和调整”中，刑法作为公民个人信息权利的最后保障法，如果没有其他“事前法”的充分拱举，必将因独木难支而难收协同实效，甚至会因其他法域的保护不力而不当拉低刑法保护的门槛，损益刑法不得已而用之的谦抑性特质。在此意义上，《民法总则》第一百一十一条单独规定个人信息权利的“国家大数据战略”意蕴才得以凸显。当然，如何融通该规定和新近《解释》对包括公民个人非敏感信息在内的公民个人信息权利的协同保护效能，还有待更多的实践观察和理论检视。

参考文献：

[1]高蕴嶙， 李京. 电信诈骗犯罪侦查难点及实证对策研究——以重庆市各区县发案为例[J]. 重庆邮电大学学报（社会科学版）， 2013， 25（1）：33-38.

[2]利子平， 周建达. 非法获取公民个人信息罪“情节严重”初论[J]. 法学评论， 2012（5）：146-152.

[3]李先波， 杨建成. 论言论自由与隐私权之协调[J]. 中国法学， 2003（5）：87-95.

[4]高富平， 王文祥. 出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J]. 政治与法律， 2017（2）：46-55.

[5]利子平， 周建达. 非法获取公民个人信息罪“情节严重”初论[J]. 法学评论， 2012（5）：146-152.

[6]王昭武， 肖凯. 侵犯公民个人信息犯罪认定中的若干问题[J]. 法学， 2009（12）：146-155.