刘慧明，高玉敏

（兰州交通大学马克思主义学院，兰州 730070）

一、问题之缘起

与信息技术广泛应用和数字经济飞速发展如影相随，我国信息网络犯罪呈现出快速增长的态势。其犯罪特征表现为链条性、涉众性和跨地域性，由此带来的社会危害性愈发严重，加大了个人信息刑法保护的难度。中国司法大数据研究院的报告显示：自2017年至2021年五年间，国家审判机关一审审结的信息网络犯罪案件高达28.2万余件，被告人达到66万余名。同时，案件数量也在逐年不断增加，相比于2017年的信息网络犯罪案件，2018年同比上升57.18%，2019年同比上升28.43%，2020年同比上升20.90%，而2021年则同比上升104.56%。在信息网络犯罪案件涉及的282个罪名中，诈骗罪案件数量占比36.53%，位列第一；帮助信息网络犯罪活动罪，案件数量占比23.76%，位列第二。［1］在最高人民检察院发布的信息网络犯罪典型案例中，有犯罪分子非法获取和利用高校学生的个人信息进行牟利，严重侵害了大学生的合法权益。如周某奇、尤某杰帮助信息网络犯罪活动一案中，二人于2019年11月针对杭州某职业技术学院在校学生，建立了微信群，谎称招聘兼职话务员，诱导刘某欣等20余名学生办理并上交实名制电话卡75张，给学生每张卡支付几十元至一百元不等的费用。二人将学生的实名制电话卡非法出售给他人，非法牟利12万余元。后其他犯罪分子在境外非法使用学生的实名制电话卡，冒充国家机关工作人员对社会公众实施诈骗，共骗取我国公民李某等10余人的钱款200余万元。案发后，周某奇、尤某杰涉嫌帮助信息网络犯罪活动罪，于2019年12月18日被杭州市余杭区人民法院分别判处有期徒刑二年二个月，并处罚金。此外，杭州市余杭区人民检察院根据本案的特点和受害人群，向案涉学校制发了检察建议，从法律层面提出了学校应对学生加强教育管理的意见；同时走进学校，对青年学生开展警示教育，防止落入“犯罪”陷阱。［2］由此可知，如何对身处大数据时代的大学生加强个人信息的刑法保护，已成为亟待解决的现实问题。

二、侵害大学生个人信息的不法表现

违法犯罪分子利用信息技术，对大学生进行靶向性精准网络诈骗和电信诈骗、开展传销活动，既是最普遍的违法犯罪行为，也是大学生最难以辨其真伪和加以防范的受害情形。如2021年以来，重庆市5所高校100多名大学生的个人身份信息被不法分子冒用，其中被用于办理工商登记的20多起；大学生被电信网络诈骗的案件75起，受骗总金额高达60余万元。［3］我们通过搜集近年来发生的侵犯大学生个人信息等违法犯罪的实例和数据，梳理比对了国家公安机关侦办的与大学生个人信息有关的电信诈骗案件，发现违法犯罪分子的作案手段多样，诈骗活动日趋隐蔽，大学生遭受诈骗的类型繁多。例如，警告通报类诈骗行为主要包括：补助、救助、助学金诈骗，假冒公检法机关电话诈骗，包裹藏毒诈骗，冒充黑社会诈骗，虚构绑架诈骗，医保、社保诈骗等；收益回报类诈骗行为主要包括：高薪招聘诈骗，金融交易诈骗，兑换积分诈骗，兼职刷单诈骗等；情感爱心类诈骗行为主要包括：交友平台伪装身份诈骗，冒充QQ、微信好友诈骗，“猜猜我是谁”诈骗，虚假药品、保健品诈骗，虚假爱心传递诈骗，虚构交通事故诈骗等；虚假消息类诈骗行为主要包括：引诱贷款诈骗，网络平台抽奖扫码诈骗，ATM虚假告示诈骗，售卖考试真题诈骗，伪基站诈骗，引诱汇款诈骗，复制手机卡诈骗等；消费陷阱类诈骗行为主要包括：低价代购诈骗，购物平台退款诈骗，虚假购物网站诈骗，机票改签诈骗，钓鱼网站诈骗，快递签收诈骗等。

目前，帮助信息网络犯罪活动罪已成为仅次于危险驾驶罪和盗窃罪的起诉人数排名第3的罪名，呈现低龄化、大量学生涉案特征。最高人民检察院有关帮助信息网络犯罪活动罪的报告印证了这一事实。［4］我们注意到，在已发生的帮助信息网络犯罪活动罪案件中，反映了在高校出现的与学生个人信息关联的一种特殊违法犯罪现象。一方面，社会有关机构的工作人员以合法身份和途径在获取了学生个人信息之后，却违反单位的规定，非法利用、出售学生个人信息，以求获得非法利益。如某通信公司驻某高校的网点代理商，获取申请手机卡的学生个人信息，利用工作便利，私自办理了500多个校园宽带账号，以每个账号200元的价格非法出售，其违法所得10万余元，而出售给上游买家中的部分账号被违法犯罪分子用以进行电信网络诈骗犯罪。另一方面，在校学生涉及帮助信息网络犯罪活动的问题越来越多，由受害者变成了违法犯罪人。有的学生禁不起不法分子的蛊惑，法律意识淡薄，通过出售、出租银行卡和电话卡获利，使自己沦为“工具人”；有的学生明知自己的行为违法，却铤而走险，以身试法，为了成为“卡商”而公然招揽在校同学收购银行卡和电话卡，从中牟取非法利益。如大学生涂某不仅将自己收购他人的银行卡提供给违法犯罪分子使用，而且还唆使在校学生也是其女友万某收购其他同学的8套银行卡，后将银行卡出售给违法犯罪分子，被用于实施电信网络诈骗犯罪，导致21名被害人向银行卡内转入资金，被犯罪分子诈骗了207万余元。此外，招聘、实习、兼职领域涉案问题较为突出。有的高校对学生就业工作疏于管理，没有掌握校园招聘单位的资质和信用等重要信息。有的高校对实习单位审核不严甚至不审核，加之对学生实习管理不到位，警示不力，以致部分在校学生在实习兼职过程中上当受骗，甚至参与电信网络违法犯罪活动。如某高校20余名在校学生，经学校联系的中介公司介绍，到某公司实习，实则被骗从事诈骗引流工作。

三、大学生个人信息刑法保护的对策思考

1.厘清个人信息的刑法保护范围

在立法层面，我国部门法对个人信息范围的规定有所差异。根据《民法典》第一千零三十四条的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《刑法》第二百五十三条之一第一款规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”该条虽未明确规定公民个人信息的范围，但《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条则明确规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”《个人信息保护法》第四条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”可见，民事法律、刑事法律都是以列举式和概括式相结合的立法技术界定个人信息保护范围，而对个人信息保护起到统领性和综合性作用的《个人信息保护法》，则是以概括式的立法技术确定个人信息保护范围。

从法律实务的角度而言，民事法律、刑事法律和行政法律对个人信息保护范围的不同，会引起不同的法律效应，涉及社会公众对个人信息范围的不同认知，更影响到执法和司法主体对个人信息保护的立场以及所适用的途径。如引起社会关注的滴滴全球股份有限公司被行政处罚一案中，国家互联网信息办公室认定该公司违法违规收集的信息包括用户手机相册中的截图信息、用户剪切板信息、应用列表信息、乘客人脸识别信息、年龄段信息、职业信息、亲情关系信息、“家”和“公司”打车地址信息、乘客评价代驾服务等时的精准位置信息、分析乘客出行意图信息、常驻城市信息、异地商务／异地旅游信息、司机学历信息、司机身份证号信息等。很明显，行政执法中对个人信息认定的范围要比刑事规制认定的范围更加宽泛。本着罪刑法定原则和刑法谦抑性，我们认为对个人信息刑法保护的范围，不能扩张适用，而要严格遵循刑事法律及其司法解释所规定的种类。

2.优化个人信息的刑法保护措施

一是将可能涉及侵犯公民个人信息犯罪的上游犯罪和下游犯罪进行合理区隔，掌握犯罪规律，力争做到源头治理，事先预防侵犯公民个人信息的犯罪行为。有学者从学理上划分了侵犯公民个人信息罪的三个行为类型：第一种类型是向他人出售或者提供公司个人信息，第二种类型是将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人，第三种类型是窃取或者以其他方法非法获取公民个人信息。其中，第一种类型和第二种类型以违反国家有关规定为前提，而第三种类型则要求非法获取，三种类型的行为均要求情节严重。［5］根据《刑法》第二百五十三条之一的规定，侵犯公民个人信息罪的犯罪客体是公民个人信息安全和国家对公民个人信息的管理秩序，犯罪主体由刑法修正案（七）规定的特殊主体转变为一般主体，犯罪的主观方面为故意，犯罪的客观方面是向他人出售或者提供公民个人信息且情节严重。按照本罪的构成要件，涉及到的上游犯罪和下游犯罪至少包括：危害计算机信息系统安全犯罪，窃取、收买、非法提供信用卡信息犯罪，私自开拆、隐匿、毁弃邮件、电报犯罪，侵犯通信自由犯罪，利用信息网络实施的诈骗、赌博犯罪，拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动的犯罪。

二是按照犯罪行为所侵害的不同法益，统摄个人信息刑法保护模式。我国刑法学者劳东燕教授区分了个人数据和个人信息，认为个人数据指的是已识别到的或被识别的自然人（“数据主体”）的所有信息，是在欧盟《通用数据保护条例》的意义上使用，进而提出了对个人数据的经济秩序保护模式、人格权保护模式、物权保护模式和公共秩序保护模式。［6］我们认为，该观点对于创制个人信息的刑法保护模式具有现实意义和可行性。结合前述的侵犯公民个人信息犯罪的上游犯罪和下游犯罪，窃取、收买、非法提供信用卡信息犯罪破坏了金融秩序，是对金融秩序的侵害；私自开拆、隐匿、毁弃邮件、电报犯罪和侵犯通信自由犯罪侵害了公民的人格权法益；利用信息网络实施的诈骗犯罪侵害的是财产权益；非法获取计算机信息系统数据犯罪、破坏计算机信息系统犯罪、拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动的犯罪则侵害了社会管理秩序。由此，我们可以配置对个人信息刑法保护的要素，将对个人信息的经济秩序保护模式、人格权保护模式、物权保护模式和公共秩序保护模式予以统摄，从而精准惩治侵犯公民个人信息的犯罪活动。

三是按照大学生学习、生活和社会交往的特点，可采取特别的保护措施。如按照《个人信息法》的相关规定，把大学生的个人信息作为敏感信息处理，并以特别征得其明示的书面同意为使用个人信息的前提；从技术层面减少使用精准推送、算法歧视和用户画像等“大数据杀熟”手段，解决自动化决策问题；高校网站应制定专门的隐私政策，对大学生明确告知个人信息的收集、利用和保障程序。又如引起社会关注的高校学生“校园贷”问题，其与犯罪关联度最强的主要表现是暴力催贷和高利贷。有学者将“校园贷”涉罪行为分为传播、出售借贷人裸照行为，以公开裸照为要挟催收贷款行为，以公开裸照等方式逼迫“肉偿”行为以及出售、提供个人信息（数据）的行为四个类型。［7］针对不同的行为类型，可进行相应的刑法规制。对传播、出售借贷人裸照行为可依据具体情况而分别定性为传播淫秽物品罪、传播淫秽物品牟利罪、侮辱罪；对以公开裸照为要挟催收贷款行为，如行为人使用胁迫手段实际获取财物的数额高于应当获取的数额时，行为具有非法占有之目的，构成敲诈勒索罪；对以公开裸照等方式逼迫“肉偿”的行为，如使用胁迫手段逼迫其卖淫，应定性为强迫卖淫罪；对出售、提供个人信息（数据）的行为，如放贷人通过网络等途径公布个人信息、情节严重的，应以侵犯公民个人信息罪定罪处罚。进一步分析就会发现，前三种行为均涉及到学生个人信息，放贷人通常要求借款学生裸持身份证进行拍照，将照片作为抵押由其持有。在此情形下，学生的身份证号、生物识别信息等个人信息存在被泄露和非法利用的风险，故对“校园贷”所暗含的隐患，完全有刑法调整的必要，以更大程度地保护学生个人信息免遭侵犯。

3.整合运行畅通的个人信息保护法律体系

我国已初步形成了多层次和多领域的个人信息保护法律体系，由宪法法律、行政法规、部门规章、司法解释等共同组成。其中，主要的法律是《个人信息保护法》《网络安全法》《数据安全法》《民法典》《刑法》等。如何实现个人信息保护法律体系内部衔接协调、高效运转，发挥聚合功能，这是值得关注的议题。如《个人信息保护法》第十一条规定：“国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。”该条规定对与个人信息保护的诸如公民个人、网络行业、政府监管部门等相关主体提出了要求，从立法规定和司法实务而言，对上述主体在个人信息保护方面尚存在法律漏洞。如公民通过网络招聘平台获取工作岗位，这是互联网时代最便捷的途径。但不法分子利用网络招聘平台以虚假招聘或兼职方式非法获取求职者的个人信息，对其进行电信诈骗。据中国裁判文书网2008-2017年的一审判决显示，通过智联招聘平台涉及的刑事案件4起（诈骗3起），前程无忧2起，58同城191起（诈骗98起），赶集网61起（诈骗42起），中华英才网1起，厦门人才网1起，但无一家网络招聘平台因此受到法律制裁。由于线上招聘平台对招聘信息审核不严，使得虚假招聘信息泛滥，引发违法犯罪活动，危及求职者的人身财产安全。如何规制网络招聘平台的经营活动，刑事立法对此模糊阙如，司法机关无所适从。

考察刑事立法，关于对侵犯公民个人信息的保护，现有法律规定总体上较为分散，针对性不强，宣示性规定过多，具体的操作规则偏少。对于侵害个人信息罪名和行为方式，有待严密法网。如根据我国刑法的规定，对非法利用他人个人信息从事违法活动的行为，对于构成犯罪的才予以定罪处罚，而现实生活中，往往出现打法律“擦边球”的利用他人个人信息的现象。如2008年发生的西安电子科技大学“卡门事件”中，该校财务处利用所掌握的学生身份证号码、家庭详细住址等个人信息，在未告知学生并征得学生同意的情况下，擅自为本校一万多名学生集体办理了中国工商银行牡丹圆梦学生卡，但对该信用卡，学生却一无所知。后学校向学生公开致歉并注销了信用卡。［8］尽管我国现行刑法并未规定非法利用个人信息罪，但未经权利人的知晓和同意授权，行为人将其在履行职责或提供服务过程中所获悉的他人的个人信息进行利用，对该行为如何进行刑法评价，是否具有刑法非难性和可追责性，学界和实务界争议很大，莫衷一是。从该行为的实施方式来看，既不是非法出售或者提供他人个人信息，也不是窃取他人个人信息，但如果该行为具有严重社会危害性，并造成严重后果的，我们倾向于由刑法进行规制，有必要增设非法利用个人信息罪。同样，为了全面遏制和惩治侵犯公民个人信息的犯罪活动，可将非法公开公民个人信息的行为规定为侵犯公民个人信息罪的行为方式。

总体而言，当下对于侵犯包括大学生在内的公民个人信息的综合治理、源头治理方面的制度措施尚未完全建立，与侵犯公民个人信息紧密相关的互联网、通信、金融等行业治理机制缺失，需要从法律层面明确职责，从而形成对侵犯公民个人信息犯罪活动的协同打击治理合力。职是之故，弥补个人信息保护的法律漏洞，建立健全个人信息保护法律体系，规范网络主体活动，推动网络诉源治理，是加强个人信息刑法保护的应有之义。