数字化背景下个人信息保护刑法规制

2023-09-07王飞龙

法制博览 2023年23期

王飞龙

沈阳师范大学，辽宁沈阳 110000

有关大数据的概念，学术界虽然没有给出统一的结论，但大多数研究学者都认为大数据指的是数量巨大的非结构性和结构性数据。大数据一词具有十分丰富的内涵和外延，它既可以指一种海量的数据处理状态，也可以指一种社会发展运营过程中的新型思维方式。大数据不仅能在计算机行业得到应用，在不同行业的人员管理、产品生产交易，甚至物流运输方面都能得到充分的使用。因此在现代社会，大数据技术的使用已经改变了人们日常的生活生产方式，在大数据技术使用背景下，分析个人信息保护方面的问题是具有现实意义的。

一、个人信息的司法解释

有关个人信息的具体解释，在《中华人民共和国刑法》（以下简称《刑法》）第二百五十三条中作出了初步的阐述。但是相应阐述并未界定个人信息的具体边界，因此该解释仍然存在模糊不清的问题。2017 年3 月，最高人民法院、最高人民检察院印发了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，该解释的第一条详细阐述了个人信息的司法概念。所谓的个人信息指的是公民使用各种方式登记的一些能够标识自然人特征身份的信息。而在2021 年11 月1 日起施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第四条中又对上述司法解释进行了更为完备的补充，相应补充明确解释道：个人信息应当是未经过匿名处理的信息，未经过匿名处理的信息不属于隐私信息［1］。

当然，除了上述法律条文解释了个人信息的具体含义之外，在《中华人民共和国民法典》（以下简称《民法典》）及一些地方行政法规中也对个人信息含义进行了不同的阐述。通过相应阐述内容不难发现，现阶段有关个人信息的定义，在范围上呈现出了不断扩大的趋向，这也充分反映了个人信息问题在法律领域得到了进一步重视。其中最受到民众关注的是《个人信息保护法》。这部法律覆盖面较广，且具有公法属性和私法属性基础性前置的一些规定，这是该部法律的特殊之处。

二、刑法规制的现状分析

（一）罪名以及罪数认定较为混乱

大多数侵害个人信息安全的犯罪分子，在具体犯罪过程中所产生的犯罪行为都较为复杂，因此在侵犯个人信息安全行为发出的同时，很可能还存在诸多不同的触犯法律行为。在这种情况下，要认定犯罪分子的多项罪名是一件很困难的事，因此在具体的司法实践过程中，很容易出现同案不同判的问题，即案件裁定人员在罪数和罪名认定方面无法按照清晰的逻辑条理进行分析。具体的犯罪在审理过程中，较为常见的是行为人牵涉的罪名较多，但参与司法实践的案件裁定人员会直接以侵犯公民个人信息安全的罪名进行案件审判。这种案件审判的司法实践倾向，容易让案件裁度人员忽略犯罪分子犯下的一些其他违反《刑法》规定的行为。这种行为一旦出现，意味着刑罚出现了失衡现象，因此在具体的司法实践中，完成罪数和罪名的清晰认定工作是尤为重要的［2］。

而实际上，在具体的司法实践中，有关侵犯个人隐私信息的罪名认定存在两种方式。其中一种方式是通过单纯窃取或出售个人信息，来达成自身的犯罪目标；此外一种方式是以侵犯个人隐私信息权益的行为，来为其他犯罪分子提供便利。但不论是运用哪种侵犯个人信息的方式，其所可能需要承担的罪数和罪名都较为繁复。因此罪名和罪数认定是值得引起重视的问题，也是未来刑法规制完善过程中急需解决的问题。

（二）过失犯罪方面存在遗漏的问题

所谓的过失犯罪，指的是犯罪行为发出者其本身并没有犯罪意图，之所以会发生犯罪行为是由于其自身对法律认知存在偏差，或是在某种行为产生的过程中，发生了各种意外现象。在具体的刑法处罚过程中，案件裁定人员需要精准确认犯罪行为发出者是否有主观犯罪的意图，只有确定这一点，才能够给出正确的案件裁定结果。在针对过失犯罪的刑事责任追究过程中，案件审判人员需要在量刑方面与故意犯罪区别开来。具体到个人隐私信息泄露这一行为上来看，如果该类行为的发出者本身并没有故意犯罪的意图，但却造成了个人隐私信息泄露的严重后果，那么案件审理人员直接按照《刑法》中有关罪名进行处罚是不合理的，因此进行过失侵犯的详细认定是案件审理人员应当承担的责任。但在具体的司法实践过程中，有关过失犯罪的行为认定本身存在一定困难，许多个人隐私信息泄露行为的发出者，其本身的行为发出意图缺少必要的证据支撑。因此想要以更为明晰的方式来进行过失犯罪行为的认定，仍然存在一定难度。许多有关个人隐私泄露的过失犯罪认定，很容易使得一些故意做出犯罪行为的犯罪分子逃离法律的制裁。因此过失犯罪方面的遗漏问题，也值得引起案件审理人员的重视［3］。

（三）入罪界限存在混乱不清现象

在《刑法》中明确规定，侵犯公民个人信息行为一旦出现，只要其产生了恶劣的社会影响，那么就可使用《刑法》的证明认定标准，完成罪名认定方面的工作。但有关这一侵犯行为的界定却存在着混乱不清的问题。在司法实践中，不同案件审理人员往往会给出不同的解释。由于在《中华人民共和国刑法修正案（九）》中有明确的规定，只有犯罪情节特别严重时，才能将其认定为犯罪行为。但有关情节严重与否的认定，在具体的司法解释中并未给出详细的标准和范畴。虽然最高检和最高法在有关具体公民个人信息侵犯行为发出的用途，侵犯的个人信息类型，及侵犯的个人信息数量方面进行了司法补充阐述，也从行为人的犯罪心态和通过侵犯公民个人信息所获得的不法金额角度，展开了全面的叙述，但在司法实践过程中也仍然存在犯罪评价次序错位的风险。在这种情况下，想要根据某项标准或数字信息进行案件认定和具体的量刑是很困难的。也正因为如此，在某个案件的判决或裁定方面也很容易出现量刑不均或判决不公等问题，最终导致公民的个人权益无法得到进一步的维护。

三、刑法规制的完善建议

（一）理清罪数和罪名的认定

前面已经说到过，有关非法获取个人信息的罪名认定往往会牵涉到犯罪分子的其他犯罪行为。因此从刑事追究的角度来进行这一问题的探究，大部分参与案件审判的人员都会以共同犯罪这一名目进行二元区分体例的运用。现阶段在罪名和罪数认定方面，案件裁定人员所使用的司法理论有如下几种不同类型，例如限制从属性说，极端从属性说，最小从属性说以及共犯独立性说。这四个司法理论当中最为案件审判和裁定人员所接纳的，是最小从属性说，这一司法理论也可被看作共同说。即在具体的案件审判过程中，审判人员会明确上游信息犯罪的行为发出者是否与下游犯罪分子有共犯的行为特征。这一行为的明确需要找出要件要素方面的支撑。

此外，审判人员还需要明确上游侵犯个人信息的行为发出者，对下游犯罪结果的出现是否产生了心理或物理方面的影响，换句话说，侵犯个人信息行为的发出者在进行这一犯罪动作时，是否已悉知其行为发出会直接影响到下游的正犯结果。如果上游侵犯个人信息的犯罪分子符合上述两种案件裁定条件，那么案件裁定人员就可认定上游犯罪行为人是下游犯罪行为人的共犯。在这种情况下，案件审判人员需要通过从重处罚的方式来进行罪名和罪数的认定。但如果上游侵犯个人信息隐私的犯罪分子并不具备上述两个条件，上述两个条件只具备其中一个，那么相应的共犯猜想就不成立。这是一种理清罪数和罪名认定标准的重要方式和路径，能够让有关个人信息保护方面的刑法规制得到全面的完善［4］。

（二）将过失犯罪纳入刑法规制

在大数据与技术不断发展与运用的现代社会，由于个人过失行为而导致公民信息泄露的事件并不少见，虽然这一行为是无心之失，但却仍然侵害了公民的基本权益，甚至造成了明显的社会危害，在这种情况下，由于个人过失而出现的公民信息泄露案件，其所造成的损失是不可挽回的。只有通过刑法介入干预方式的运用，来进行这类过失犯罪的法律惩戒实践。大数据技术的应用和渗透，在某种程度上加剧了个人信息泄露的风险。传统的刑法体系对这种风险的防控和干预效果并不理想，无法让个人信息安全得到更进一步的保障。因此在《刑法》修正过程中，立法工作人员将过失泄露个人信息和间接泄露个人信息的行为还置于侵犯个人信息权益的立法标准之外，是不符合实际情况的。是否应当将过失犯罪纳入刑法规制当中，不能完全从犯罪分子主观意愿的角度出发来进行分析和研究，而应当更进一步考察相应行为的法益侵害性。具体而言，只要行为发出者对受害人造成了法益侵害，相应行为就需要受到法律规制。而具体到个人信息犯罪层面，大部分侵犯个人信息权益的行为发出者，其所涉及的法益内容较为复杂，相应行为的发出，不仅侵犯了个人信息权，还破坏了社会信息管理方面的秩序。因此不论行为发出者是由于过失，还是主动为之，其最终的结果都是导致受害者的个人信息权益受到了侵害，因此从这一角度来考虑将过失犯罪纳入刑法规制是很合理的。

实际上大多数出现过失行为的犯罪客体本身便拥有存储或使用大量个人信息的权利，因此将过失犯罪纳入刑法规制，也能够从侧面提醒拥有相关权利的个人主体，全面约束自身的日常行为。实际上法国在个人信息权益侵犯方面，已经有了对过失行为进行刑法规制的先例，这给我国在过失犯罪问题上的分析和研究带来了新的思路。

（三）明确罪名具体认定标准

根据大数据时代的个人信息权益侵犯案件的分析和研究，不难发现大多数个人信息权益侵犯案件可被大体分为三个类别。一是通过侵犯受害者的计算机或其他电子产品来获取受害者的个人基础信息，借此来进行一系列的犯罪行为；二是通过出售公民个人信息来获得非法的利益；三是利用网络信息来实现其他类型的犯罪目标。但这三类罪名在内涵方面具有明显的交合点，因此在具体的司法实践中，想要精准选择其中一种认定标准是很困难的。有些案件审理人员为了让案件审理流程思路变得更为清晰，会统一按照侵犯公民个人隐私信息的罪名认定标准，来进行各类与之相关联案件的裁定。这种案件裁定方式忽略了网络信息类犯罪和计算机类犯罪罪名的具体认定和使用［5］。

为了让罪名具体认定标准变得更为明晰，在后期的司法实践过程中，可将有关公民个人信息权益侵犯方面的犯罪作为一般法条，将网络信息类犯罪和计算机信息类犯罪当作特别法条来进行使用。在具体的罪名认定过程中，案件裁定人员可率先分析相应案件，是否贴合特别法条的构成要件，如果有关案件与特别法条的构成要件相吻合，则使用特别法条的认定标准完成罪名认定工作；如果相应案件与特别法条的构成要件并不吻合，那么案件裁定人员则可套用一般法条来完成案件认定工作。

（四）完善刑种方面各项规定

在现阶段有关个人信息侵害方面的刑法处罚，有处罚金和自由刑两种不同的处罚方式，这两种处罚方式能够达到的惩戒效果是存在一定差别的。如果在具体的案件审理过程中涉及到人身类的犯罪，可使用自由刑处罚方式。如果相应的案件在属性规律上隶属于财产侵犯类，那么就需要通过罚金刑方式进行处罚。在具体的个人信息犯罪惩罚结果界定过程中，大多数情况下，案件审判人员都会使用罚金刑与自由刑相叠加的方式进行惩戒，由于在罚金方面的数额认定不存在精细化的标准，因此在具体的司法实践中容易出现各类问题。为了让个人信息侵犯类犯罪行为得到更为妥善的刑法处置，应当全面完善刑种方面的规定，在保留自由刑的同时，进一步加大罚金刑的力度，或通过添加资格刑来确保犯罪分子能够受到应有的惩戒。由于涉及个人信息侵犯方面的案件情节严重程度有别，因此在具体刑种使用方面也应当具有轻重方面的分别，只有如此，才能使得量刑标准变得更为合理［6］。