■朱凡雨

（安徽大学法学院，安徽 合肥 230000）

一、刑法语境下公民个人信息概述

（一）个人信息在刑法中的定义

在刑法中，公民个人信息是由个人隐私与个人专属信息组成的。个人信息不能仅仅局限于个人隐私，个人隐私是公民个人不愿意向公众公开或者为公众所知晓的秘密，即不会危害公共利益，自己所保有的对自己的私有领域、私人活动的自由支配的权利。公民个人所专属的信息比如身份证信息、家庭住址、婚姻状况等也都属于公民个人信息的范畴。一般来说，一个人的种族、肤色、年龄、婚姻、家庭状况、宗教信仰、思想观点、兴趣爱好、受教育的情况、财产状况、血型、指纹、病历资料、职业、家庭住址、电话号码、电子邮件等都属于他的个人信息[1]。

（二）刑法保护公民个人信息的依据

1.个人信息被侵害的严重性与现实性

对于个人信息的收集从古代到现代其实或多或少都是存在的，政府管理部门为了履行自身的对于社会公共事务的管理职能，经济组织为了组织经济活动，乃至市井中家长里短的传播，都涉及到对公民的个人信息，但是在网络还未兴起时，这些信息传播范围的广度与深度都是有限的，只要对于人员以及传播的空间加以限制，个人信息传播的危害较容易消除。随着网络社会的来临，信息爆炸式的增长，网络空间的人员通常是匿名交流，渠道更是多种多样，个人信息量增加，个人信息甚至唾手可得，传播人员的寻找难度加大，渠道的多样性使得追查信息来源的难度也同样加大，这些种种现实性，使得许多人都有着身为“透明人”的惶恐。

2.非刑法保护方式对于公民个人信息的保护具有一定的局限性

社会利益是多种多样的，对于社会利益的保护也并非只有刑法这样一种方式，刑法作为最为严厉的一种保护方式，只有在穷尽其他保护方式不足以保护所要保护的法益时才采取刑法这种保护方式。

在民法领域，虽然对公民的个人信息也有一定的保护，但是民事责任的承担方式主要有恢复原状、赔偿损失等。对于侵犯公民个人信息适用恢复原状，并不是十分适宜。因为信息具有非排他性，一个人对于信息进行占有与使用，并不是排斥他人对于信息的占有与使用，民事责任适用恢复原状，不能起到很好弥补作用，只是事后来进行补救，并不能很好地对于公民的法益进行保护。

在行政法领域，行政主体与行政相对人是关于公民个人信息保护的两大主体。对行政主体而言，对公民个人信息的收集是其正常运行的保证，政府为了正常的履行自己的职能不可避免地收集一些个人信息，这就极易发生公民个人信息泄漏的情形。但是，对于行政机关工作人员的行政处分，包括警告、记过、记大过等六种方式，这几种方式不足以阻止侵犯公民个人信息的行为的发生。由此可见，对于公民个人信息的保护，必须探究刑法上的救济措施，规范人们的行为，才能很好地保护公民的个人信息。

二、侵犯公民个人信息罪在刑法规定上的不足

（一）犯罪主体在刑罚适用上未做区分

侵犯公民个人信息罪的主体是一般主体，也就是所有人都可能构成本罪，是对《刑法修正案（七）》主体的扩充，但是做出这样的变动，是为了适应社会生活的发展变化、经济发展的需求，同样也是基于当今对于公民个人信息保护的迫切性。这种改进是符合侵犯公民个人信息高发性与普遍性的现状的，但是在刑法的规定上，并未明确指出一般主体与特殊主体适用刑罚有何不同，特殊主体由于其职业所形成的优势地位，更容易对公民的个人信息造成侵害，有必要规定更高的法定刑来规范其行为，但是目前的法律并未做出明确的规定，具体在实践中如何把握也并没有给出切实的解决办法。

（二）法定刑的设定不完善

1.有期徒刑的适用缺乏确切的标准

刑法上对侵犯公民个人信息罪规定的法定最高刑为七年有期徒刑，但是在实践法律适用中不仅很少被判处到七年，而且基本上判处一年左右，与最高刑的设定相去甚远，最高刑的设立并未体现出意义。比如在2016年4月，周滨城购买了浙江省学生信息193万余条，并且将这些个人信息又出手，获利6万余元，却仅仅被判处一年十一个月的刑期。这么多个人信息的泄露，对于学生们的人身安全也将会造成影响，个人信息不仅仅是一个个数据，泄露的背后也存在着种种风险，过低刑期的适用，会增加犯罪分子的气焰，巨额的经济效益也会使得犯罪分子不惜以违反刑法为代价，这些都将不利于公民个人信息的保护。

2.罚金刑的设定存在不足

侵犯公民个人信息罪，行为人实施犯罪行为绝大部分都是追求经济利益，因此罚金刑的适用对于本罪而言至关重要，适用罚金刑有助于实现刑法的目的，威慑犯罪分子，避免其走上犯罪的道路。《刑法修正案（九）》对于本罪规定了罚金刑，现行的司法解释对于本罪规定的罚金是处于违法所得一倍到五倍的罚金，但是对于何种情形下适用1倍或者什么情形下适用5倍都没有具体的规定，在适用上很可能会造成巨大差异。假设犯罪人侵犯公民个人信息罪违法所得为20万，判处的罚金金额是20万以上100万以下，给予法官的自由裁量权的空间较大，这对于法官的素质要求是很高的。

（三）本罪相关概念的内涵、外延不明

1.犯罪对象的定义未明确

公民的个人信息受到刑法保护，公民二字在宪法中是指具有中华人民共和国国籍的公民。对于公民一词，是否应当进行扩大解释存在疑问，也就是当法人的信息受到侵犯是否应当适用本罪的有关规定，同样外国以及无国籍人是否受到我国刑法保护，这些问题法律并未明确说明。最后，关于死者的个人信息是否适用本罪的有关规定，也并未明确。犯罪对象的不明确，将会在适用该罪名时造成疑难。

三星电子一位高管表示，手机和电子产品两大部门的利润率不断下滑，因此公司正在考虑将一些富余的人力资源转移到研发中心。其中消费电子事业部的软件工作人员正在被抽调到三星人工智能中心。

2.罪过范围存在缺失

对侵犯公民个人信息罪而言，过失这一主观心理态度是否构成本罪存在争议，就现行刑法而言，对于侵犯公民个人信息罪的刑法条文的表述中，没有存在“疏忽”或者“过失”这种过失犯罪鲜明地表述方式，此外“窃取”“非法出售”这些词语的表述是属于行为人积极的身体活动，而不是消极的动作，因此过失是不构成本罪的。但是，将过失排除于本罪之外，会限制本罪的适用范围，疏忽大意这种心理态度是值得刑罚进行处罚的，将“过失”排除出本罪的主观要件是不利于对公民个人信息的保护的，是对于一些犯罪行为的放纵。

3.本罪对于“情节严重”的认定存在不足

现行的司法解释对于本罪的“情节严重”，分为两种，一种是犯罪构成要件，一种则是“情节特别严重”，是属于加重处罚的情形。本文重点探讨的是第一种即属于犯罪构成要件。但是对于在本罪中，何为情节严重，则存在着争议。在学术界，给出的情节严重的表述是非常抽象的，比如表述为获得利益较大，违法获得信息数量较大，或者对于信息主体造成的财产损失较大。这些表述，在实践中是比较难进行量化的，难以对司法实践提供确切的指导。

三、域外公民个人信息的立法借鉴

(一)域外公民个人信息的法律规定

美国对于公民个人信息保护的规定散落在各个不同的判例以及立法之中，至今未形成一个统一的个人信息保护的法律，当然这也是英美法系自身的一种特点。美国是一个格外讲求民主自治的国家，注重运用行业自律来维护公民的个人信息。所谓的行业自律也就是指以公司或者行业内部所规定的行业规章或者章程提供行为的指引，为个人信息的保护提供一种模式[2]。

欧盟在1995年时就出台了《欧盟个人资料保护指令》。这部法令的应用范围是比较广泛的，适用主体有自然人、法人以及机关。对于敏感的信息采取的原则是禁止处理，结合以特殊情况下的处理。当个人信息受到侵犯时，对于比较轻的侵犯公民个人信息的行为适用罚款，同时很多的成员国也规定了刑事制裁的方式。总体上看，欧盟对于公民个人信息的管理比较全面。

日本对于个人信息进行保护的最大特色在于其明确区分了公部门与私部门。日本于1988年出台了《行政机关计算机处理个人信息保护法》，这部法律适用只存在于公领域。此外在私领域，日本于1989年出台了《非公务机关电脑处理个人信息保护纲要》[3]。由此可以看出，日本不仅仅有同时适用于两者的规定还对两个部门采取不同的立法模式，而且公领域与私领域也根据自身的特点制定了不同特别法。在对于个人信息的保护上，国家与公共团体是相互交流与配合的状态，公共团体根据行业个人信息的特点，主管机关出台相应的方针，政府也出台相应的指导方针。

（二）域外公民个人信息法律保护的借鉴性分析

无论是英美法系还是大陆法系，对于公民个人信息的保护都是与本国法律体系相协调的，都是根植于本国的法律传统，我们很难去评判到底哪种法律保护更好，我国可以对于各国的法律进行比较分析，取其精华，更好地指导我国的立法工作。具体而言，各国基本上都有专门的个人信息保护立法，而我国在2005年就有制定专门立法的建议稿，但是十几年都未出台专门的立法。关于公民个人信息保护的规定散落在各个法律规范中，因此，我国十分有必要出台专门的个人信息保护法，明确规定对于各种侵犯公民个人信息的行为将会受到怎样的刑罚处罚，以及相关的责任承担。本罪的刑罚规定也可以借鉴日本刑罚的规定，即从源头对于此种行为进行规制，以便减少此类的犯罪行为，刑罚所针对的对象主要是从事信息收集与利用的员工，对于他们在信息的收集与处理上的行为进行规范。同时也可以结合美国的规定，从行业自律出发，重视信息行业自身对于公民个人信息的保护[4]。

四、侵犯公民个人信息罪在立法上的完善

（一）根据犯罪主体确定刑罚

犯罪主体存在一般主体与特殊主体，特殊主体基于其特殊身份在行使职权以及履行职务的过程中，会接触大量的个人信息，而且一旦将其所掌握的个人信息泄露危害也更大，而且特殊主体基于其职责更有责任有必要保护个人信息，法律应当对其有更高的要求，所以对于特殊主体犯本罪应当从重处罚。同时规定比较严厉的定罪标准，比如一般主体违法所得为5000元就可以认定为情节严重即构成本罪，那么对于特殊主体可以规定为2000元就可以认定为情节严重即构成本罪。可以参考日本，将对于公民个人信息的保护，分为公法领域与私法领域，两者相互结合来更好地保护公民的个人信息。

（二）完善本罪的法定刑

1.有期徒刑的刑期合理划分

我国刑法规定犯本罪判处三年以下有期徒刑或拘役，并处或单处罚金。“情节特别严重”的判处三年以上七年以下有期徒刑，并处罚金。但是如前所述，本罪在实践中，基本上判处的刑期都是一年左右，刑法规定的有期徒刑的刑期失去其原有的意义。所以，刑期的适用应当有确切的划分标准，比如根据获利的多少结合具体泄露信息的数量，划分具体的等级。

2.完善罚金刑

本罪的一大特点就是行为人大多数都是追求经济利益的，那么适用罚金刑给予其经济上的处罚也是可行的，也有助于预防犯罪。目前，罚金的金额是违法所得一倍至五倍，规定的幅度大小基本足以给予犯罪者惩戒，但是具体适用是存在一定问题的，比如目前需要明确罚金具体增加的幅度，即如果在法律规定中加上以50%的幅度增减罚金的数额，结合现有的一至五倍的规定则更为适宜。

（三）统一侵犯本罪的法律适用

1.明确本罪的犯罪对象

本罪的犯罪对象就条文本身而言仅仅包括公民的信息，那么对于法人、外国人、无国籍人以及死者的信息的侵犯是否属于本罪，司法解释没有给予具体规定。就本罪而言，出于保护的全面性考虑，对外国人、无国籍人和死者的实施本罪所规定的危害行为，是属于本罪的打击对象。法人信息的保护有另外的罪名给予保护，也就是用侵犯商业秘密这个罪名来进行保护更加适当，没有适用本罪的迫切性。外国人与无国籍人的信息受到保护是由于现在全球化的浪潮，各国之间的交往日趋频繁，外国人与无国籍人的个人信息也会为我国行政机关或者一些企业所掌握，因此具有保护的必要性，可以对公民一词做扩大解释。对于死者，死者虽然不存在利用个人信息的要求，但是他的亲属们仍然有利用信息的可能，因此死者的信息属于本罪的保护对象。

2.罪过中增加过失的规定

现行刑法中，对于侵犯公民个人信息罪的规定并未包括过失的内容，但是从立法上而言，是有必要增加过失的规定，并且可以对于故意与过失给予不同的刑罚处罚。基于目前现状，网络的快速发展，大数据时代的到来，无论是故意还是过失都是对于刑法所保护的法益的侵害，并且信息传播速度的加快，对于公民个人信息侵害一旦发生就具有不可逆性，很难完全地消除影响。并且，外国对于侵犯公民个人信息罪包括过失的主观态度已有先例。例如，《法国刑法典》中就有此规定，过失侵犯公民个人信息也会受到刑法的处罚，从事特定职业的禁止。这些对于我国的立法都有切实的借鉴作用。我国也曾发生过由于过失泄漏公民个人信息，比如12306网站对于公民信息的泄漏，影响范围十分之广。这足够体现出由于过失侵犯公民个人信息罪的发生并非是一个孤立的事件而是具有一定的普遍性。在立法上增加过失的内容，也有助于提高公民对于个人信息保护的重视程度，可以在一定程度上进行事前的预防。

3.明确情节严重的认定

本罪的构成要件中“情节严重”的认定不应当仅仅局限于现行法律所规定的几种因素，而应当结合多方面的因素。

侵犯公民个人信息的数量。侵犯公民个人信息罪是对公民个人信息权的侵犯，侵犯信息数量与情节严重呈现出正相关的关系[5]。侵犯信息的数量越大，则对社会的危害性也就越大。在我国刑法中，对于酒驾的规定，也是以数量来进行的划分。刑法是作为保护公民的最后一道防线，它不可能也不应当对所有的行为都进行调整，所以设定一个起始的标准是必须的，在这个标准以上的行为才由刑法来进行调整。设定一个具体的数量标准，也有利于司法实践中适用，简单直观。那这个标准该如何设定呢，应当结合不同地区的具体情况，所侵犯公民个人信息的性质，以及现在社会的发展情况综合各个方面来制定具体的数量标准。

侵犯公民个人信息所获取的利益。侵犯公民个人信息所获取的利益分为财产性利益与非财产性利益。对于财产性利益是较为容易认定“情节特别严重”的标准，可以比照盗窃罪来进行设定，但是对于非财产性的利益是难以量化的，比如通过提供给他人公民的个人信息，从而换取升职或者到某单位任职等。应当将行为人在从事犯罪活动中，所获得的财产利益与非财产利益综合考虑，来认定行为的社会危害性[6]。