分析公民个人信息刑法保护性问题

2022-12-28南京理工大学胡开冉

区域治理 2022年24期

南京理工大学胡开冉

准确划分好公民个人信息刑法保护的界限对于我国实行公民个人信息司法保护具有重要意义，如何保证个人信息刑法保护界限合理且满足现实情况是值得学术界认真研究的。文章通过从语义、价值、实体、罪与非罪四个方面对公民的个人信息进行分析，这对于开展后续工作具有一定的指导意义。

一、基于语义角度分析公民个人信息刑法保护界限

想要准确地从语义角度探究公民个人信息刑法保护的界限问题，首先要对“公民”“个人”“信息”这三个词所具备的司法内涵准确地理解。其中，“公民”是指具有某国国籍，并在国籍所在国家的法律规定下享有某种权利，并需要承担相应的义务[1]。“个人”是指与“集体”相对应的一种“自然人”，企业法人和非法人组织都不包含其内。

一般来说，有关刑法保护主要针对“信息公开程度较低”的“个人”为对象。如果“个人”的信息公开程度较高，则不在刑法保护的范围内。但相关人员的生命安全、财产安全也会受到保护，只是刑法对其保护方法和层面不尽相同；“信息”则是指被自然人所拥有，并且可以作为用来识别其自然人身份的依据，“信息”自身存在着一定的价值性[3]。综上所述，只有在符合上述条件的基础上，在出现信息安全问题时，才可以受到公民个人信息刑法保护。

二、基于价值角度分析公民个人信息刑法保护界限

基于价值角度来研究公民个人信息刑法保护界限时，应着重针对信息流通价值和信息安全价值进行界定与分析。其中，信息在流通过程中容易被传播，存在不稳定性。故此，需要对信息流通采取一定的保障性措施，进而增强信息价值，若保障强度过高，将会导致部分信息安全问题发生的可能性。由此可见，对于信息流通与安全方面的司法保护存在一定的冲突现象，鉴于此，需要有效地对二者进行调节，为了实现信息的价值最大化，需要合理选取信息保护的方式并掌握好保护程度。基于公权、私权角度对公民个人信息支配力度方面实施司法层面的类别划分，具体包括以下四类：

其一，私权绝对视角下对个人信息的影响。私权视角下个人信息对国家利益和他人利益影响不大，不需要进行法律授权，在信息搜集方面的灵活度大，相对限制性较小；其二，公权绝对视角下对个人信息的影响。公权绝对视角下个人信息对国家安全、社会发展有着重要影响，故他人若未经法律授权，不得擅自搜集和使用该类信息；其三，私权相对支配视角下对个人信息的影响。可以被所有者完全支配，但若涉及国家安全、公众利益，则国家相关部门可以在法律授权的情况下介入，并进行搜集、使用[4]；其四，公权相对支配视角下对个人信息的影响。例如，一些罪犯，存在某些违法前科，有关方面信息来源为公权机关社会管理活动，在类别划分方面，属于公权领域范畴。在恢复性司法开展之后，个人若想搜集或者使用该类信息，需要在法律授权下进行。

三、基于实体角度分析公民个人信息刑法保护界限

（一）构罪的主观条件

侵害信息构罪的两个主观条件，即为收集者和被收集者。对于信息收集者而言，主观条件具体指信息收集者收集信息的目的以及对收集行为的违法认识程度。其中，从收集者收集信息的目的来看，收集信息若是为了进行销售，并从中获取利益，或者利用收集的信息实行犯法犯罪行为，比如，对个人实施敲诈勒索、诈骗绑架等活动。虽然，在现实活动中并未对收集信息者的目的作出明确阐述并规定，但收集信息的目的会直接影响后续犯罪的情节的严重性。对于信息收集者违法性认识方面，通过对其违法性认识程度进行分析，能够更好地对已经发生的犯罪行为进行定性分析，以此甄别哪些属于主观故意犯罪，哪些属于无意犯罪。进而增强犯罪性质判定的精准化和公平性。从被收集者的主观条件方面进行研究，主要对被收集者公开信息的目的和公开过程进行研究。对于被收集者公开信息的目的进行分析，应该分析其公开信息的目的是什么，从而判断收集者是否应就其收集和使用信息行为承担责任，同时需要界定被收集者在公开信息的过程中，是否存在对信息保护不善的责任。具体可从被收集者公开信息的主动与被动性来看，以及对于所公开信息是否表明使用范围、是否采取有效的防范措施来保证信息安全，防止信息被盗用。若被收集者并非主动公开个人信息，且没有表明他人可以随意收集和使用信息，则无需承担由于信息泄漏造成的相关责任。若被收集者主动公开个人信息，且公开之后对于公开信息的时间、信息内容、引用群体进行约束；或者当被收集者主动公开个人信息时，虽然公开后没有对信息公开的时间、信息内容、引用群体进行约束，但是有采取相应的信息安全保护措施，也无需承担信息泄漏而造成的相关法律责任[5]。

（二）构罪的客观条件

我国《刑法》第253条及《网络安全法》中第44条对信息安全作出相关规定，不经允许，非法出售、提供、获取相关信息都属于“违法国家相关规定”的行为。在保证信息安全方面，采取积极的行为属于一种有效的措施。但由于信息收集者和被收集者对信息支配程度上存在着一定差异，导致采取相关有效措施的标准也各不相同。

四、基于罪与非罪角度分析公民个人信息刑法保护界限

当出现侵害公民个人信息的行为时，应对相关责任人进行罪与非罪的判定，主要是针对民事侵权与刑事犯罪的判定、以及行政犯罪与刑事犯罪的判定。在判定民事侵权与刑事犯罪时，可以依据如下方面进行判定：

（一）侵害行为以其产生的危害性

若发生信息侵害行为，但没有造成一定的危害性则可以不认定其犯罪，若侵害行为产生的危害性不大，可以适当减轻处罚力度。例如，行为人在获取他人信息之后，运用所获信息对被收集者进行敲诈勒索、绑架，并导致被收集者受到较大的人身伤害和经济损失时，可以基于侵犯公民个人信息罪对其进行定罪。如果造成的后果不严重，可不构成犯罪，可将其判定为普通民事侵权行为，依据民事法律进行惩处。

（二）犯罪数额与情节方面

对于一些频繁犯罪，且屡教不改、情节严重，影响恶劣的人员来说，应根据其具体情况进行犯罪认定，严重者需要追究刑事责任。

（三）行为人主观心理状态方面

主要判断行为人在主观方面是否对自身不法行为存在明确认知、对于后果的严重性是否清楚了解、对于侵权行为手段隐蔽性方面积极寻求等，依据具体侵权情况展开罪行判定，若通过民法处理不能起到威慑作用，不能有效防止同类事件的再次发生，则应考虑使用刑法来处理。

（四）行政违法与刑事犯罪判定方面

刑事犯罪主要体现的是二元违法特性，为了有效避免行政不法犯罪与刑事不法犯罪之间出现混淆，应严格梳理刑事违法性与行政违法性之间的关系。通常来说，刑事违法带来的社会危害度远大于行政违法。对于侵犯公民个人信息而言，在判定相关的违法行为属于行政违法还是刑事违法时，应重点分析犯罪数额、情节、后果等因素，并综合分析各种因素的整体影响进行判定。

五、侵犯公民个人信息犯罪的司法纠纷与困境

（一）对个人信息的理解

通过对个人信息的概念进行剖析，能够让我们更好地理解“个人信息”在法律规范中的意义。一些地区对于个人信息的称谓略有不同。

1.个人信息定义

关于个人信息的定义，目前尚且没有一个明确的定义。刑法修正案也没有作出过多相应解释。但是在理论界，却对此众说纷纭，部分学者认为个人信息就是与个人有关的信息。然而王利明教授则认为，所谓个人信息，主要指的就是与公民个人具有一定的关联性，能够充分反映公民个人特征的、可对公民个人进行有效识别的、由一系列符号所组成的系统。例如，公民个人家庭和财产方面的信息、公民个人身份、工作方面的信息。还有齐爱民教授认为“个人信息”是指自然人的姓名、出生年月日、身份证号码等身份信息。总的来说可以分为以下三种：一是“抽象式定义”，就是通过提炼不同个人信息中较为共同的关键要素的定义方式。该种方式虽然将个人信息提炼为确定、识别某人的信息，但尚且没有法律依据。二是“列举式定义”，列举式定义的主要内容是将全部表现出来的个人信息要素进行罗列。其罗列的主要信息包括：个人的姓名、学历、家庭住址、电话等等能够识别公民个人身份的信息。该种方式较抽象式定义而言比较明确、具体，能让人一目了然。但该种方式也存在着列举的信息毕竟有限，不能反映出信息的全部等缺点，在实际情况中，缺少一定的适应性。三是综合式定义，即对以上两种方式进行了有效的综合。

2.个人信息与相关概念的区分

个人信息中个人资料、个人隐私是两个不同的概念，在日常工作生活中，有很多人会把这两个词混淆。下面对这几个概念进行区分：

(1)个人隐私

王利明教授认为个人隐私是指一种与公共利益、群体利益无关，且当事人不愿他人知道或他人不便知道的信息，当事人不愿他人干涉或他人不便干涉的个人私事，或者当事人不愿他人侵入或他人不便侵入的个人领域。也有学者认为，公民享有个人隐私权，就是指个人享有的私人生活不受他人窥探、干涉、打扰的权利。可见个人隐私应该包括两个方面的特征:一是自然人享有的按照自己的意愿支配自己活动、并不受他人打扰的权利；二是在法律规定的范围内，自然人享有的私人生活的私密权和不受他人非法干预权。

(2)个人资料

资料或数据是描述的个人信息的载体，资料或数据是指个人能被他人识别的一切数据。包括公民信用卡的账号密码和消费记录、公民的健康状况和身高等相关数据信息、显示公民财产状况的数据资料等等。

（二）对“违反国家规定”的理解

《刑法修正案（九）》第十六条规定认定侵犯公民个人信息的同时，已经违反了国家相关规定。我国《刑法》第96条明确规定，本法所称违反国家规定，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。根据法律条文的理解，本罪不包括违反地方性法律、法规、规章、命令等的侵害行为。

目前，我国法律法规中关于信息保护的规定有：

(1)在公民日常就医过程中，对于公民的医疗信息，比如，公民的健康信息、患病史等对于公民来说很重要的个人信息。《中华人民共和国职业医师法》《中华人民共和国传染病防治法》等法律法规规定，相关的医院和医生有尊重病人意愿和帮病人保密的义务。

(2)在金融方面，涉及公民存款方面的信息，信用记录信息等对于公民来说同样是相当重要的个人信息。《中华人民共和国商业银行法》规定了商业银行对于公民的财产信息需要严格保密，保障存款人的合法权益。同时，相关的银行、金融机构也有义务对公民的财产进行妥善保管，对信息要严格保密。

(3)对于未成年人个人信息保护方面，《中华人民共和国未成年人保护法》《人民检察院办理未成年人刑事案件的规定》等法律严格保护未成年人的隐私和相关资料。未成年人属于一个特殊的群体，世界观、人生观均未定型，未成年人需要更多的爱护和包容，因此，对于未成年人个人信息的保护应该更加严格。

(4)对于公民个人身份信息而言，公民的个人身份信息是最具识别性的个人信息。《中华人民共和国居民身份证法》《中华人民共和国护照法》都规定公安机关、护照签发机关在履行职务过程中有对公民个人信息的保密义务，这对于保障公民个人身份信息安全提供了有力法律依据。

(5)在网络信息安全方面，随着科技的进步，网络已经成为最大的信息交易平台，网络信息安全也是需要时刻注意的，《互联网安全保护技术措施规定》提出，互联网服务提供者在未经用户同意的情况下不得随意泄露、公开用户注册信息。

(6)在行业自律方面，有些行业涉及信息量较大，保护信息安全需要靠人员素质及自律度。例如律师行业，《律师法》规定律师对当事人隐私的保密义务，《邮政法》中对邮政工作人员在职务中对用户个人信息和个人隐私的保密规定。

(7)其他法律法规中的相关规定。

以上这些法律法规的建立，从各个方面出发对公民个人信息起到了一定的保护作用，对于与公民个人信息接触较多的部门也作了相关行为禁止性规定，对其保护的义务和职责进行了明确的阐述。“违反国家规定”的限定的提出可以一定程度上解决信息侵害问题，但是由于我国最早在这方面的法规不完善，且没有专门的个人信息保护法，导致对于公民个人信息犯罪领域或者可能出现侵犯公民个人信息的行业无法进行全面覆盖。因此，一旦出现没有相关国家规定的情况，即便出现侵害公民个人信息行为，也无法达到本罪构成要件。国家要严格规范地保护公民个人信息，还需完善法律法规中对公民个人信息保护的规定，提高司法实践中的适应度。

六、公民个人信息刑法保护界限问题反思

基于上述对公民信息刑法保护界限问题的分析，并结合我国有关信息保护方面工作开展的实际情况，进行以下思考：

其一，公民个人信息的重要程度不尽相同。在实践过程中，公民个人信息根据其类型不同，信息度的重要程度也各有不同。有时候即使同类信息也存在重要性方面的差异。所以，公民个人信息刑法保护应对被非法收集、使用信息的重要性进行界定，提高其界定的精准性。

其二，注重影响的动态性分析和综评。在对公民个人信息进行刑法保护时，需要对公民个人信息被非法收集获取以及非法使用的情况进行全面分析，从而提高评估的准确性，同时注重体现动态性特点，即从信息被非法采集和使用的那一刻开始，直至这一问题被发现和解决之日止，综合计量和评价其产生的影响，基于影响进行案件定性。

其三，在对一些特殊情况的处理上，刑法界定有待加强。例如，家庭生活中，夫妻二人对于对方的信息都有较多了解，但因某种原因离婚后，一方未经过允许使用另外一方相关信息，且未对另一方造成伤害，对于这一情况应如何界定，若对另一方造成伤害，又该如何界定。本文认为，如果在使用对方相关信息之后，应该及时告知对方，对方允许，则无需追责。如果对方知道这一情况后，不同意信息被使用，且使用者没有按照其要求及时停止使用，则需要对其追究法律责任。

其四，个人信息法律授权方面。对于个人信息的法律授权问题，应基于人权平等的角度，合理对授权的权利范围进行界定，有关部门并不是对于所有信息收集和使用都能进行法律授权。

七、完善公民个人信息罪的建议

（一）确定“个人信息”“情节严重”等相关法律术语的范围

要想准确定义侵犯公民个人信息罪，就要对该罪的客体范围有个准确地把握。个人信息包含范围比较广，既包括与公民个体有关的信息，也包括公民在进行社会活动时所涉及的信息。情节的严重性是定罪量刑的关键因素，也是判定侵犯公民个人信息罪的重要指标。应该在相应的司法解释中阐明“情节严重”的判断标准和考虑因素。建立全面科学的“情节严重”的标准，综合客观地对受害人、对社会产生的影响和危害进行评定，从而减少司法适用中的主观性与任意性。

（二）建立侵犯公民个人信息的罪名体系

从世界部分国家和地区关于侵犯公民个人信息犯罪的规定情况来看，各国依据本国实际情况，为侵害个人信息犯罪划定了相应范围。有些国家将侵害信息犯罪单独规定为一章，并将其确定为侵害个人信息权利的依据。文章建议，我国也可将侵犯我国公民个人信息罪单独列为一节，并把社会发展中存在的常见违法行为纳入侵犯公民个人信息罪中来。例如，非法窃取、非法提供、非法收集、非法使用、不正当使用公民个人信息等情节严重的行为、非法处理公民个人信息情节严重的行为、非法存储持有公民个人信息情节严重的行为等等，并建立完善的罪名体系，以妥善地回应民众的期待与呼声并有效地惩治犯罪。

（三）规范犯罪行为

我国刑法中对侵犯公民个人信息罪的犯罪行为规定相对简单，因此，笔者认为可以从以下几个方面加以完善：

1.非法利用行为

《刑法修正案（九）》的规定仅从源头上遏制公民个人信息外泄的可能，并没有规定若出现侵权行为该如何惩治。真正地对公民个人信息安全造成侵犯的行为是非法利用行为，对信息的非法获取、非法提供等行为只是为非法利用提供了前提。因此这种漏洞的存在，可能导致那些以“合法”的形式收集的公民个人信息但进行非法利用的行为不能受刑法制裁。因此，可以在刑法条文中突出对非法利用行为的规制。

2.针对公共机关处理的个人信息非法删改、变更或破坏的行为

公共机关掌握着大量公民个人信息，任何不经当事人或有关机关同意破坏存储在公共机关的公民个人信息的行为，非法删改、变更、破坏公共机关存储或掌握公民个人信息情节严重的也应追究责任，并在相关司法解释中予以明确。

（四）完善刑罚设置

1.完善罚金刑

针对《刑法修正案（九）》对出售、提供公民个人信息的行为，达到情节严重程度的，判处有期徒刑或者拘役，并处或者单处罚金的规定，但是应当对罚金刑的范围进行明确，可以考虑以非法获利作为基准，结合行为人的犯罪情节等因素设置相应的罚金数额加以完善。因此可以通过对罚金刑的不同标准的设置，体现出刑罚对不同严重程度的犯罪行为的处置。

2.增加资格刑

从某种程度上来说，剥夺资格也是对不法行为人的惩罚。对于机关中某些特殊职位的工作人员来说，如果其在工作的过程中出现侵犯公民个人信息的行为且达到一定的程度，可以考虑禁止该名工作人员继续从事与个人信息有关的职业。

3.根据犯罪主体区分刑罚

对于某些国家机关和特殊单位的工作人员，不管是从接触公民个人信息的难易程度与获取的数量上来说，还是从侵权行为给信息主体造成的危害程度上来说，都远高于一般个人犯罪。如果不加大惩罚力度，从重处罚，很难有效控制其侵权行为。所以笔者认为，对于在国家机关和某些特殊公众服务单位的公职或工作人员有出售、非法提供或者其他侵犯公民个人信息行为的，在定罪量刑时应当与一般主体的侵权违法犯罪行为区分开来，并且从严从重处罚。

（五）进一步明确侵犯公民个人信息罪与相关罪名的界限

不同的犯罪行为，可能会造成罪数认定的疑难，因此，需要进一步明确侵犯公民个人信息罪与其他罪名的界限。如通过非法侵入他人计算机系统的方法获取公民个人信息的行为、通过行贿手段非法获取公民个人信息的行为、利用职务之便收受他人贿赂并为他人非法获取公民个人信息提供便利的行为，从事国家禁止的经济活动并影响国家的正常经济秩序和正常市场秩序的行为等行为与相应地破坏计算机信息系统罪、行贿罪、受贿罪、非法经营罪等的出现类似时如何定罪处罚，还需要在司法解释中进一步作出明确。