中国个人信息的刑法保护研究

黄祖帅

随着网络,特别是移动互联网的高速发展,个人信息与财产安全,甚至是人身安全等诸多切身利益联系得更加紧密。与个人信息重要性日益增加相对应的是,个人信息被泄露、非法获取和非法利用的事件频发,个人信息安全也越来越受到关注。如何利用强制力最高的社会规范——法律保护个人信息,尤其是利用刑法打击严重侵害个人信息的行为,完善个人信息保护的法律规制链条,是亟需解决的一个重要课题。《刑法修正案(七)》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两项罪名,正式将侵犯个人信息的行为纳入刑法的规制范围。这是中国个人信息刑法保护的重大突破,也从一个侧面体现了刑法对公民人身权利保护更加全面。但无论如何,刑罚只能在犯罪行为发生以后才能使用,只是事后的制裁手段。刑法效力的发挥除了需要自身完备,还必须依赖配套法律的整体合力。个人信息刑法保护同样不可或缺与刑法规定相匹配的前置法律,而中国在这方面还很薄弱,刑法对于个人信息保护的效力必然难以尽如人意。世界上对个人信息保护较好的国家和地区,除了刑法的相关规定,都形成了较为完备的法律体系,特别是保证刑法效力发挥的前置法律。故此,要实现个人信息的刑法保护,不仅要完善对个人信息进行保护的刑事立法,同时还应该逐步建立以刑法为最后屏障的立体个人信息保护法律体系。

一、个人信息刑法保护的社会基础

(一)个人信息的法律属性

从广义上来说,在信息化社会,与个人相关的各种行为活动,都应该属于个人信息的范畴。据此,个人信息是个范围宽广的动态概念,可以包括：个人身份信息、个人金融信息以及个人动态行为等信息。

法律所要保护的个人信息是具有特定内涵的个人信息,与作为词汇使用的个人信息既有相同之处,也有一定区别。被认定为法律上的个人信息必须具有与法律保护的对象相同的权利属性和现实必要性。虽然,在不同法域中,对个人信息的称谓不同,但无论采用何种称谓,个人信息所体现出的能够识别个体的属性都是共通的。如果个人信息具有人身属性或者财产属性,换言之,一条个人信息所具有的属性属于法律要保护的范畴,那么它就应该被认定为法律意义上的个人信息,就应当考虑保护该种个人信息。否则,就只能是语义上的个人信息,而不是法律语境下的个人信息。所以,笔者认为,个人信息的认定标准是具有某种被法律保护的权利属性或者现实紧迫性。

(二)个人信息的权利属性

有学者认为,信息化社会的主要财产已经变成了信息；①美国社会学家阿尔温·托夫勒曾说过：“在第三次浪潮中,我们仍然需要土地、机器这些有形财产,但主要财产已经变成了信息。如果说股票是象征符号,那么信息财产则是象征的象征,这样一来,财产的概念面目全非了…” 转引自陈英：《信息产权与知识产权的内涵和外延的冲突》,载于《中国知识产权报》2003年10月16日。也有学者认为,在信息社会,个人可以通过信息或数据表示为一定的公共形象,具有“信息人格”或“数据人格”②[美]艾伦·托克音顿：《美国隐私法——学说、判例与立法》,冯建妹等译,中国民主法制出版社2014年版,第207页。。通过上述两种具有典型性的论断可以看出个人信息既具有财产权属性,也具有人格权的属性。个人信息的权利属性是法律保护个人信息的主要原因。

1.个人信息保护的人格权分析

通常认为,人格权是个人信息权利属性的核心,它决定了个人信息具有不受侵犯和自我决定两种属性。正是人格权的存在,使得法律对于个人信息的保护有着毋庸置疑的结论,即信息主体必然享有信息自决权。“所谓信息自决权是指每个人有权自行决定是否将其个人信息交付利用。从另外一个角度来说,个人信息非经本人许诺,不得任意收集、储存、运用、传递,若基于公共利益的理由必须限制该权利,应当符合相关法律规定或者遵循民主法治原则。”③吴苌弘：《个人信息的刑法保护研究》,华东政法大学2013年博士论文。信息自决权是个人信息人格权的集中体现,而人格权又是人权的重要组成部分,因此法律对于个人信息自决权的保护应该遵从人权保障的规定。然而,即便是人权保障也绝不是毫无限制的,个人信息自决权的边界也应由法律作出规定。“即使是以人格为基础的信息也是社会现实的反映,而不能视为仅与所涉及的个人有关”。④朱晓峰：《作为一般人格权的人格尊严权——以德国侵权法中的一般人格权为参照》,《清华法学》2014年第1期。因此,当个人信息自决权与社会公共利益,如国家安全、社会秩序等相冲突时,可以对其作出限制。这种限制同样要由法律作出列举性或描述性的规定,否则,便容易随意扩大限制的范围,破坏法律对个人信息自决权的保障。

2.个人信息保护的财产权分析

随着互联网和云计算的高速发展,个人信息的财产权属性,或者说商品属性越来越明显。个人信息作为一种财产或者商品,具有了商品的特征,即具有使用价值和交换价值。在信息社会,个人信息的使用价值毋庸置疑,其直接或间接带来的经济利益也显而易见。“一般来说,收集个人信息的目的是为了将个人信息按一定的方式组成数据库,以该数据库所反映的某种群体的共性来满足自身或其他数据库使用人的需要。而且,越是细致化的个人信息,其被加工、开发的余地越大,增值的空间越大。”①齐爱民：《个人信息保护法总论》,北京大学出版社2014年版,第47页。一旦能够带来经济利益,个人信息就会转化成商品进入交易之中。直接出售个人信息、许可使用、信息交换都是个人信息变现的交易方式。由个人信息主体或者经主体授权交易个人信息的情形是合法形式；而个人信息主体以外的信息持有人在未取得主体授权的情况下,交易个人信息的行为则是非法的。无论合法还是非法,个人信息交易都是个人信息财产化的体现。

二、发达国家个人信息刑法保护的借鉴

(一)发达国家个人信息的刑法保护规定

1.美国对个人信息的刑法保护

利用刑法保护个人信息在美国已经有比较长的时间,与个人信息相关的隐私权法律制度也很发达。与英美法系立法模式直接相关,美国对于个人信息保护的立法相当分散,并没有“法典式”的《个人信息保护法》。其对于个人信息的刑法保护,主要有以下方面：

一是直接针对身份盗窃的刑事立法。针对“身份盗窃”的立法主要包括《防止身份盗窃及假冒法》和《身份盗窃刑罚加重法案》。前者是1998年10月30日美国联邦政府以联邦立法的形式颁布的,后者是2004年7月美国国会通过的。《防止身份盗窃及假冒法》明确规定目的在于从事、教唆、协助或以其他方式参与构成重罪的活动,未经合法授权,仍蓄意移转、持有或使用他人身份证明材料的行为构成身份盗窃罪；《身份盗窃刑罚加重法案》则是对以身份盗窃作为犯罪手段犯联邦立法中288 种重罪,予以不同程度的加重处罚。

二是其他有关个人信息保护的刑事立法。主要包括：1974年的《隐私权法》第9 款：有权掌握或使用个人识别信息的单位工作人员,违反规定向无权获得之人泄露机关档案的,未按要求保管的以及以虚假身份申请获得有关个人档案材料的,均应被判为有罪；1970年的《公平信用报告法》将以故意欺诈为手段从消费者信用报告机构获取消费者信息规定为犯罪；1984年的《惩治计算机与滥用法》将“黑客”行为和非法入侵他人计算机并获取他人受限制或受保护数据的行为规定为犯罪；1986年的《电子通讯隐私法》也规定有刑事条款；1994年的《机动车驾驶员隐私保护法》对于明知超出机动车辆驾驶员的个人信息使用的合理范围仍使用的行为规定了刑罚。

2.德国对个人信息的刑法保护

德国对于个人信息的刑法保护包括两种形式：一种是在其专门的个人信息保护法中规定刑事违法条款；另外一种是在刑法典中规定个人信息犯罪。2003年通过的《联邦数据保护法》是专门的个人信息保护法,该法将以牟利为目的或者意图损害他人利益,未经授权收集、处理、恢复、回复、以虚假陈述的方式骗取在通常情况无法获取或者非向公众公开的个人数据的行为规定为犯罪。

德国刑法规定的侵犯个人信息犯罪主要体现在第十五章的侵害私人生活和秘密中,分别规定了侵害言论秘密、通信秘密、他人隐私、邮政或电讯秘密以及探知数据、利用他人秘密等罪名。这些规定保护的对象都是包含大量个人信息的个人隐私,保护的范围从言论、信件到电子数据,甚至还包括个人心理和意识形式存在的秘密,几乎涵盖了个人信息的各个方面。另外,在保护个人数据隐私为主题的刑法典条文中,立法者还对法人设置了保护,如利用他人秘密中规定,有保密义务之人,非法利用企业商业秘密的,处2年以下自由刑或罚金刑。

3.日本对个人信息的刑法保护

与德国同属大陆法系的日本,个人信息的刑法保护与德国有比较多的相似之处。日本也制定了专门的、完整的《个人信息保护法》,该法针对侵犯个人信息的获取、利用、停止利用等诸多环节,都规定了相应刑罚。但日本《个人信息保护法》中对个人信息的刑事保护只是针对个人信息从业者,对于非个人信息从业者或者相关第三方都没有具体的规定,更接近于个人信息相关行业的行业规范,这与德国的《联邦数据保护法》有比较大的区别。

在日本《刑法典》中,针对个人信息的保护范围也很广泛,将开拆书信、泄露秘密、准备不正当制作支付用电磁卡电磁记录、使用电子计算机诈骗等行为均规定为犯罪。除此之外,还把公然指摘事实、毁损他人名誉的行为规定为犯罪。针对“黑客”行为,规定利用计算机程序非法侵入他人的计算机或网络,应处以刑罚。

(二)发达国家个人信息刑法保护的特点

通过研究美国、德国、日本三个国家个人信息的刑法保护,可以总结出以下几个方面的特点：

1.刑法介入广泛化

美、德、日三国个人信息保护的刑事立法都是基于本国的实际,或利用《刑法典》,或制定单行刑事法律,或制定专门的《个人信息保护法》规定刑事条款,分别介入了个人信息保护的各个环节,包括获取、收集、保管以及利用等环节。以美国为例,《防止身份盗窃及假冒法》介入的环节是个人信息的非法获取,《隐私权法》、《公平信用报告法》、《惩治计算机与滥用法》、《电子通讯隐私法》等法律的介入环节是个人信息的获取和保管环节,《身份盗窃刑罚加重法》的介入环节是个人信息的非法利用。德国、日本的《联邦数据保护法》、《刑法》均规定了个人信息保护的刑法介入是收集直至利用阶段,并设置了各种刑罚。另外,刑法对个人信息保护的范围也越来越广泛,美国从身份盗窃开始,几乎将所有与隐私相关的个人信息均纳入刑法保护的范围。

2.立法模式多样化

通过总结三个国家的立法模式,主要有三种类型：刑法典规定型、单行刑法规定型以及附属刑法规定型。“对由来已久的侵犯个人信息行为,各国普遍利用刑法典予以规制；而对于随着科技发展不断出现的侵犯个人信息行为,为了维护刑法典的稳定性,则通常采取单行刑法规定和附属刑法规定的方式予以规制。”①吴苌弘：《个人信息的刑法保护研究》,华东政法大学2013年博士学位论文,第71页。具体来看,作为英美法系代表国家的美国,普遍采用单行刑法,如直接针对身份盗窃的刑事立法和在其他单行法规中规定针对侵犯公民个人信息行为的刑事法条。而德国和日本作为大陆法系在欧洲和亚洲的国家代表,则采取了在刑法典增加罪名的基础上,在专门的个人信息保护法中附属刑法规定的形式,如在德国的《联邦数据法》、日本的《个人信息保护法》中均有条款对若干侵犯个人信息行为规定了刑罚。

3.保护范围扩大化

通过对美、德、日三国个人信息刑法保护的分析,可以看出,保护的范围不断扩大,边界不断延伸。一是针对个人信息犯罪的手段和方式越来越多样,立法多以增加罪状及罪名的方式加以规制。如日本《刑法》,针对制造计算机病毒程序并非法侵入他人的计算机或网络,以及帮助非法侵入的行为,均规定单独的罪名；德国刑法针对个人隐私,分别规定了侵害言论秘密罪、侵害通信秘密罪、利用他人秘密罪等罪名。二是针对被侵犯的个人信息形式和内容日益多样,不断扩大刑法中个人信息的解释。如美国,盗窃身份罪中的身份信息已经从最初的姓名、社会保障卡号、信用卡号、密码等具有物理载体的实体内容,逐步延伸到了任何能够确定一个特殊主体的身份识别信息,包括任何一种独有的身份识别数据、生物特征识别数据、电子身份识别码、地址或者路径选择码以及电信识别信息(电话号码)或连接数据(帐户号码或者密码)。

4.立法侧重差异化

虽然,美、德、日等国均利用刑法介入了个人信息保护的全部环节,保护的范围也都从个人隐私扩展到了几乎所有与个人行为相关的信息,但由于价值取向或者实际情况的差异,立法侧重也有所不同。美国不仅直接打击侵犯个人信息的犯罪,还对侵犯个人信息犯罪的上下游进行刑法规制,不仅制定了《身份盗窃刑罚加重法》对利用盗窃的身份犯其他罪的加重处罚,还将为侵犯个人信息犯罪提供便利、创造条件的行为规定为犯罪。同时,对于为侵犯个人信息犯罪提供便利、创造条件的行为,并不以侵犯个人信息犯罪的帮助犯、未遂或预备来处罚,而是直接以个人信息犯罪的新罪名予以规制。这样的立法理念源于对现实状况的反思,既严密了刑事法网,同时也加强了对个人信息犯罪的打击力度。反观德国和日本,个人信息刑法保护的重点仍然是打击直接针对个人信息的犯罪行为,如个人信息的非法获取、不当保管和非法利用,但从实际效果来看,效果还不能尽如人意,对于侵犯个人信息犯罪的上下游行为关注较少。近年来美国大力发展的云计算对隐私保护提出了更高要求,因而对侵犯网络个人隐私的相关违法行为做犯罪化处理是必然的；而日本等国针对个人信息应用领域的日益广泛,通过制定专门性法律,扩充其个人信息保护的范围。

(三)借鉴发达国家做法建立中国的个人信息刑法保护体系

1.从中国国情出发建立个人信息刑法保护体系

个人信息刑法保护受各国文化传统、历史习惯、法律传统等多种因素的影响,不仅立法侧重、保护范围不尽相同,模式和路径选择也存在差异。因此,学习、借鉴域外个人刑法信息保护的经验必须全面考察其立法基础和司法效果,决不能以几点或者部分相似而照搬照抄,而应该立足中国实际情况,对域外个人信息刑法保护进行深入的研究和分析,既要找出其中的优点,也要认清其中存在的问题和不足。既不妄自菲薄,也不闭门造车,充分利用域外立法的先进经验改进中国个人信息刑法保护的不足,逐步建立适合中国国情的个人信息保护法律体系。

2.从立法现状出发完善侵犯个人信息相关罪名

经过比较中国与国外侵犯个人信息犯罪的标准,以下几个方面具有借鉴意义：一是明确限定犯罪主体。德国、日本的刑法都针对不同的个人信息侵犯行为规定了较为适当且详细的主体范围,既包括个人信息从业者,也包括普通人,甚至单位。而中国刑法以所在单位及行业领域来划分,犯罪主体属于特殊主体。二是针对犯罪方式和手段日益多样,增设相应的罪名。中国刑法仅规定了“非法提供”和“非法获取”公民个人信息的行为可构成犯罪外,对于使用及传播的行为缺乏相关规定。三是主观要件应包括重大过失,德国和日本刑法均在某些环节规定了重大过失也属于犯罪,而中国个人信息犯罪的主观要件均为故意。现实生活中,因重大过失导致的个人信息泄露侵犯他人合法权益的事件时有发生,对于此类行为,刑法无法进行规制。这种情况的存在,也极容易造成一个问题：已经造成了侵犯个人信息的结果,但主观方面无法区别是间接故意还是重大过失时,只能按重大过失处理,客观上助长了侵犯个人信息犯罪的发生。四是明确定罪标准,美国、德国、日本刑法对构成个人信息犯罪的标准均有着比较明确的规定,而中国刑法的表述“情节严重”,比较笼统、模糊,而且也缺乏相应的法律解释,在司法实践中不易把握。

3.从社会、行业、个人三个层面出发建立个人信息刑法保护体系

从对个人信息刑法保护的发展进程可以看出,个人信息刑法保护往往始于个人隐私,并逐步发展到全面保护。如美国对公民个人身份信息的刑事立法保护就是从偏重于对公民个人隐私的保护,到包括对公民财产权等各项权利的全面保护。德国、日本也都制定了有别于各自刑法规定的补充性法律。随着个人信息重要性的不断凸显,中国也可借鉴其他国家、地区的做法,将侵犯中国公民个人信息的犯罪分别从保护社会管理秩序、规范行业发展和保护个人人格权及财产权的三个层面出发,同时根据社会发展以及侵犯公民个人信息犯罪发展的趋势,把一些常见多发的行为纳入刑法保护中来,并逐步形成完善的个人信息刑法保护体系。

三、中国个人信息刑法保护的必要性和存在的主要问题

(一)利用刑法保护个人信息的现实紧迫性

个人信息已经成为中国经济发展的主要资源和结构转型的重要推动力,其本身的价值越来越大,同时也能为信息收集者、使用者、处理者带来巨大的利益,这就不可避免地引发一些侵犯个人信息的行为,给公民个人乃至社会造成严重影响。

1.侵犯个人信息的行为越来越猖獗

2012－2013年,公安部连续开展三次打击侵犯公民个人信息行动,共抓获涉嫌出售、非法提供和非法获取公民个人信息的犯罪嫌疑人4115 名,破获侵犯个人信息案件4382 起,涉案的个人信息近50 亿条,打掉利用非法获取的公民信息实施犯罪的985 个团伙,破获绑架、敲诈勒索、暴力追债、电信诈骗、非法调查等犯罪案件上万起。①《公安部部署新一轮打击侵害公民个人信息犯罪行动》,http：/ /www.mps.gov.cn/n16/n1237/n1342/n803715/3867346.html从以上数据不难看出,目前中国侵犯公民个人信息犯罪依然高发,在数量上成级数增长,并且涉案人数多、环节多,侵犯的公民个人信息数量也越来越多。2015年央视“3·15 晚会”上,对利用公共场所wifi 信号盗取个人信息,通过网络购买身份证到银行开卡“洗钱”,电信运营商利用用户身份信息重复激活开卡销售给犯罪分子等侵犯个人信息的情况进行了曝光。但曝光的问题也仅仅是侵犯个人信息犯罪高发的一个缩影,利用互联网侵犯个人信息的行为越来越猖獗,在整条个人信息犯罪链上,那些掌握着庞大的个人信息资源、处于个人信息犯罪源头的罪魁祸首仍然没有收敛的迹象。这样肆意侵犯个人信息的行为如果不动用刑罚予以制裁,势必又将滋生其他犯罪,严重危害社会稳定。

2.侵犯个人信息的行为手段不断翻新

随着互联网技术,特别是移动互联网的快速发展以及个人信息应用的日益广泛,侵犯个人信息犯罪的手段和形式也越来越多样,并且隐蔽性也越来越强,有时甚至披着合法的外衣。时至今日,个人信息犯罪的手段主要包括以下几种：一是窃取,这是一种比较原始的犯罪手段,即通过盗窃他人具有个人信息的各类具有物理实体的身份证件,或者通过使用一定的技术手段窃取以电子数据形式存在的个人信息。在中国,比较典型的窃取个人信息的手段是利用在ATM 机上安装针孔摄像头,或是用微型读卡器在顾客结账时迅速获得信用卡信息等。二是收买,即通过支付费用向有权收集个人信息的机关、企事业单位相关人员收买个人信息,这已经成了个人信息犯罪的重要形式。央视“3·15 晚会”曾曝光多起电信运营商的工作人员出卖个人信息的案例。三是网络钓鱼,通过网络钓鱼形式获取个人信息已经从最初的利用电话骗取他人个人信息,发展到网络上遍地可见的“钓鱼”软件,不法分子假冒各类官方网站或电子邮件,诱骗网络用户透露他们的银行和金融账户信息或其他个人信息。②《六成钓鱼网站集中电商领域》,http：/ /finance.eastmoney.com/news/1363,20121213263447523.html四是非法的网络手段,即网络黑客利用掌握的计算机网络技术非法侵入他人网络终端设备获取他人个人信息,通过互联网,黑客使用恶意软件窃取用户的邮件、信用卡、重要文件等个人重要信息。

3.侵犯个人信息的动机和原因日趋复杂

侵犯公民个人信息犯罪的三个主要环节是：一是将合法获取的公民个人信息非法出售、提供给他人；二是以非法获取的个人信息为基础,建立网络数据交易平台；三是利用非法获取的公民个人信息进行其他违法犯罪活动。与这三个环节相对应的是,各个环节上的犯罪目的不尽相同。第一个环节的犯罪目的,主要是利用履行职责的便利获取非法利益；第二个环节的犯罪方式是将碎片化的个人信息集中起来,目的是为了牟取暴利；而第三个环节目的就是为违法犯罪活动创造条件。“犯罪分子获取个人信息,主要进行电信诈骗、网络诈骗等新型、非接触式犯罪,抢劫、敲诈勒索等严重暴力犯罪,非法商业竞争以及婚姻调查、非法讨债等违法活动。”③翁孙哲：《个人信息的刑法保护探析》,《犯罪研究》2014年第1期。与侵犯个人信息的环节和动机相对应的是侵犯个人信息行为高发的原因日趋复杂。笔者认为主要是以下三个方面的原因：一是行业监管不力,掌握个人信息的单位和工作人员易受利益驱使。除传统的医院、民航、银行、电信等行业外,有越来越多的行业,如快递、宾馆等行业,掌握了大量的公民个人信息,但这些行业的监管普遍存在漏洞,甚至有些行业根本没有监管。加之,从业人员庞杂,相关教育培训缺失,很多从业人员法律意识不强,非法提供、出售个人信息谋取利益的行为相当普遍。二是个人信息保护意识弱。由于中国的互联网发展迅猛,网民对于个人信息被泄露、被利用的风险认识普遍不够。在日常生活和网络上,都存在随意填写个人信息的行为,冒用、盗用他人信息的行为也时有发生。“另外,公民的维权意识还比较差,调查显示,93.8%的人有过因个人信息泄露带来的困扰。在个人信息曾被滥用的被调查者中,仅有4%左右的人进行过投诉。”①沈柳华：《刑法对公民个人信息保护现状及改进建议》,《江苏经济报》2014年11月27日第三版三是违法成本较低。对于侵犯公民个人信息的犯罪行为,中国还缺乏全面的法律制约,导致侵犯个人信息的违法成本较低。违法成本较低,甚至违法行为不会受到追究,就会使侵犯个人信息的行为愈演愈烈,极容易由一种不自觉的侵害行为而演变成一种自觉的犯罪行为。

(二)中国个人信息刑法保护的主要问题

《刑法修正案(七)》首次将侵犯公民个人信息的行为入罪,在刑法第253 条后增加1 条,作为第253 条之一。②即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”随后,最高人民法院、最高人民检察院联合发布了《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》,确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”两个罪名。除此之外,《刑法修正案(五)》也曾在刑法第177 条中增加了第177 条之一,其中的第2 款窃取、收买、非法提供他人信用卡信息罪同样是用于惩治严重侵犯个人信息的行为。虽然,中国刑法针对个人信息犯罪有了明确、具体的规定,但与公民对个人信息保护的诉求和严重侵犯个人信息造成的后果相比,仍然存在较大的不足。

1.个人信息的刑法属性界定还不清晰

《刑法》第253 条规定的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的犯罪对象均为个人信息。但与刑法规定不相符合的是,中国并没有法律对个人信息的定义作出明确的解释或者列举描述。刑法是最为严谨的法律,如果条文中使用了没有明确内涵和具体范围的概念,而且这个概念还是关于罪与非罪、此罪与彼罪的重要概念,必将导致该条文在司法实践中引起争议,造成适用的混乱和困惑。个人信息界定不清,必然给《刑法》第253 条的实施带来很大的难度和不确定性。

2012年12月28日全国人大常委会通过了《关于加强网络信息保护的决定》,③《关于加强网络信息保护的决定》第一条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”在其中将法律保护的个人信息的内容界定为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,这一规定有助于对个人信息在法律语境中的解读,但由于中国法律对于隐私没有明确的定义,所以这样定义个人信息仍然具有很大的不确定性。该规定还将个人信息限定为电子信息,将生物信息等新型个人信息排除在保护范围之外,这是明显的缺陷,与现实脱节。目前,中国虽然有一些法律法规的个别条款对个人信息进行了界定,但这些分散的规定和不同的表述显然不能适应公民对于个人信息保护的要求,亟需权威部门通过法律或者法律解释明确个人信息的定义。

2.刑法典对于个人信息的保护还有欠缺

相对于中国刑法对国家信息、军事信息、企业商业信息的保护和设立的罪名,对个人信息的保护显得单薄而脆弱。在《刑法修正案(七)》之前,仅有关于侵犯公民个人计算机信息、信用卡信息等方面的规定,保护范围很窄,适用的对象也是特殊人群,罪名只有177 条规定的“窃取、收买、非法提供他人信用卡信息罪”等寥寥几个。《刑法》第253 条虽然扩大了个人信息保护的范围,增加规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名,但对个人信息的刑法保护来说,这为数不多的罪名显然是不够的。除了罪名单一以外,《刑法》253 条存在主体范围过窄、行为方式单一和违反国家规定的限制三个比较明显的不足。将“出售、非法提供公民个人信息罪”的犯罪主体限制规定为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,但事实上,能够大量收集他人个人信息的单位远不局限于上述行业,在实践中出售、非法提供公民个人信息也不仅仅局限于这些行业和单位的工作人员；《刑法》253 条规定的行为方式是“出售”、“非法提供”或者“非法获取”两类,冒用、未经同意而利用等可能造成更为严重后果的行为没有规定在内；《刑法》253 条还将违反国家规定设定为犯罪的前提条件,但中国现在还没有专门的、完整的《个人信息保护法》,各种关于个人信息的法律法规还无法涵盖所有可能出现侵犯公民个人信息的行业,这种限定还可能使一些地方性法规、行业规定等成为空文,使法律的适用出现障碍,形成一种虽有明文规定却无据可循的怪圈。

3.没有形成与刑法典相连接的保护体系

《刑法》253 条将违反国家规定设定为犯罪的前提条件,如果犯罪主体出售或提供他人个人信息的行为没有违反相关法律法规的禁止性规定,则不成立犯罪。因此,要让《刑法》第253 条充分发挥其应有的作用,必须完善相关配套立法。但是,中国关于个人信息的相关法律、法规还不健全。第一,没有出台完善的个人信息保护法,中国的《个人信息保护法》(草案)仍然在国务院审议阶段。借鉴国外经验,制定专门的个人信息保护法势在必行。例如,美国没有个人信息保护法,但有相应的隐私权保护法,起到对公民个人信息进行有力保护的作用。第二,中国现行的个人信息保护法律法规等各成一家,没有与刑法形成有效的链接。《刑法》关于个人信息犯罪的相关规定表明中国在个人信息保护的刑事立法上取得新突破,因此也需要与其他民事及相关配套立法相呼应,故现行的立法已经不能满足刑法关于个人信息保护的相关要求,在没有制定《个人信息保护法》的情况下,只能对现有分散规定的相关配套立法进行修订和完善,以适应、配合《刑法》的规定。

四、完善中国个人信息刑法保护的思考

《刑法修正案(七)》的出台标志着中国在个人信息刑法保护上取得了重大突破,然而在对于侵犯个人信息的现实紧迫性来看,还显得比较单薄。对于打击侵犯个人信息犯罪往往也有力不从心之感。而且,随着大数据时代的到来,个人信息的重要性更加突出,利用刑法对个人信息进行更加全面、更加深入的保护是大势所趋。要适应这种趋势,单靠刑法典的规定是不够的,必须建立以刑法典为中心,连接保护个人信息的各种规范,建立社会、行业和个人三个层次的个人信息刑法保护体系。

(一)建立个人信息刑法保护的社会规范体系

虽然中国的个人信息刑法保护已经走出了关键的一步,但是还存在比较多的基础性和系统性问题,主要是个人信息的刑法界定不清晰、配套法律不完善、刑法与其他法律之间的衔接机制不健全等。这些问题的存在,极大地限制了个人信息刑法保护的范围和力度。解决这些问题,决不能用“头疼医头、脚疼医脚”的办法,而是要系统、全面认识个人信息刑法保护体系的重要性,逐步建立以刑法为中心的涉及多个部门法的社会规范体系。

1.对刑法保护的个人信息进行明确界定

个人信息的所指较为宽泛,涉及面广。信息安全内容常因人而异。因此对于下游犯罪的影响也有差异。笔者认为,个人信息的边界界定会影响罪与非罪及量刑的裁量。个人信息受刑法保护范围的界定主要从以下两方面着手：第一,立法目的。根据立法者将侵犯个人信息犯罪放置于刑法典中的位置,进而通过保护的法益可以推断出立法者的价值取向,并依据此处透露出的立法意图界定《刑法》中“个人信息”的范围。第二,刑法的二次制裁性。“对于一些对公民隐私性和安全性影响较小的个人信息,利用民事或行政手段进行规制已足够,而对于一些特别重要的、涉及金融诈骗等严重刑事犯罪或与危害国家安全等下游犯罪密切相关的个人信息则应当纳入刑法的规制范围。”①董纯朴：《公民个人信息安全犯罪防控研究——以多元体参与信息时代保护公民隐私为视角》,《公安研究》2014年第5期。因此,《刑法》中个人信息的范围与行政、民事法律应有所不同,公民个人信息的刑法认定既要由行政、民事法律作为前置和基础,又不能完全等同于二者对个人信息的概念界定,而应当由刑法本身或者专门的法律对此做出明确界定。这也是合理确定犯罪圈、缩小刑法打击面的一个有效措施。因此,笔者认为,对于需要利用刑法保护的个人信息应该是：任何单独或与其他信息一起使用以确认某一特定个人身份的信息以及涉及个人隐私的信息,具体包括：姓名、地址、出生日期、具有身份识别功能的证件号码、生物学特征以及个人社会活动记录等均应属于刑法保护的个人信息。

2.对现有相关立法罪名进行完善

(1)扩大犯罪主体范围。“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”是特殊主体,其范围过窄。实际情况中,这个范围早已被突破,并日益扩大。为解决与实际不符的矛盾,应将本罪的犯罪主体范围扩大为一般主体,并规定单位也可以成为本罪的主体。而针对本罪中现在规定的特殊主体犯本罪的,可以从重处罚。

(2)变公诉为自诉为主。本罪的位置设定在刑法第四章“侵犯公民人身权利、民主权利”中,则可见立法本意还是为了保护公民自身的合法利益。本罪的刑罚也符合“针对可能判处3年以下有期徒刑、不需要经过专门侦查的侵犯个人信息权犯罪案件”这个自诉案件的条件。因此,本罪宜采用自诉为主的追诉方式,只有行为人采用侵犯个人信息数据库等行为,涉及侵犯社会秩序甚至国家利益的时候,才能以公诉的形式进行追诉。这种以“自诉为主,公诉为辅”的追诉方式既符合刑法的谦抑性,又可以使被害人参与到刑事诉讼中,有利于打击犯罪,化解社会矛盾。

(3)将非法收集、利用个人信息的行为规定为犯罪,并设置新的罪名。非法收集个人信息的行为虽然不直接侵犯个人信息,但这类行为的现实危害性显而易见,而且已经成为侵犯个人信息犯罪的源头。如果不利用刑法对其进行规制,必将导致侵犯个人信息犯罪的泛滥。中国对于非法利用个人信息的行为,一般以其后续行为的性质进行规制,忽略非法利用个人信息本身已经构成了犯罪。设置非法利用个人信息罪,有助于防止侵犯个人信息的行为向其他违法犯罪行为蔓延,并倒逼其他侵害个人信息犯罪行为的终止。

3.完善个人信息刑法保护的民事、行政保护的衔接机制

《刑法》253 条规定,违反国家规定是出售、非法提供公民个人信息罪成立的前提。尽管中国《刑法》对于“国家规定”的表述比较宽泛,包括“全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令”。但是,针对个人信息保护,全国人大及其常委会并没有颁行统一的法律,相关的决定也很少。“有研究认为,中国大陆目前有24 个法律或者规范性文件各自从某方面涉及对公民个人信息的保护,且均具有行政法律法规的性质。”①卢建平：《我国侵犯公民个人信息犯罪的治理》,《法律适用》2013年第4期。由此可见,对于个人信息的保护主要还是依靠行政手段。然而,对侵犯公民个人信息之行为,中国尚未确立统一、完备的行政法律制裁体系与刑事制裁相衔接。“连《治安管理处罚法》都未将侵犯公民个人信息的行为作为行政违法行为规定处罚的措施。这就使得中国《刑法》第253 条之一所规定的两种犯罪成为非典型的行政犯,也使得《刑法修正案( 七)》第7 条的规定成为一种法定犯时代之下颇为尴尬的立法。”②吴苌弘：《个人信息的刑法保护研究》,华东政法大学2013年博士论文。

4.尽快出台专门的《个人信息保护法》

中国现行法律对于个人信息保护的规定比较分散,在民法、刑法、诉讼法等各个部门法都有相关规定,缺乏系统有效的整合。另外,在刑法中,侵犯个人信息犯罪的前提也是以违反国家规定为前提,那么制定一部完整的、专门的《个人信息保护法》就显得尤为必要和紧迫。

首先,打击侵犯个人信息犯罪的行为仅仅依靠《刑法》是不够的。《刑法》是社会规范的最后一道防线,其性质决定了刑法的规制对象只能是已然发生的严重侵害个人信息的行为。虽然,刑法也具有预防犯罪的功能,但对于个人信息保护来说,通过制定专门的《个人信息保护法》,明确个人信息界定、信息主体权利义务、刑法保护的主要原则和要求、相关部门的职责义务协调机制、合作机制和法律责任等内容,从源头上预防未然犯罪行为的产生应该是更为重要的。其次,保护个人信息的现实急迫性也决定了中国在对侵犯个人信息犯罪控制的法律体系的完善中需要一个效力层次高、内容全面、具有前瞻性的法律来总体规范和协调保护个人信息的顺利进行,使其成为中国保护个人信息的主要法律依据,并为预防和控制个人信息犯罪奠定坚实的基础。再次,制定《个人信息保护法》在宏观上是全面推进依法治国的具体表现,不仅有利于稳定社会秩序,也能够促进经济发展和科技进步,并逐步改变公民的认识,实现社会和谐。在微观上,有利于司法实践中对《刑法》253 条等法条的适用,保证法律适用的确定性和统一性；有利于行政处罚和刑事制裁的衔接,保证对侵犯个人信息行为的全面打击；有利于规范与个人信息相关的行业,促进行业发展。

(二)建立个人信息刑法保护的行业规范体系

1.加快推进“互联网＋”背景下个人信息相关行业规范的建立

重点打击网络上侵犯个人信息的行为,完善刑事立法,以IPHONE4 在中国上市为标志,中国的移动互联网进入一个新的时代,手机APP 也呈现出井喷的态势。短短几年时间,移动互联网已经成为网络的主流,从打车到叫外卖、从买电影票到买股票基金、从嵌入式地图到专业导航,手机移动端应用已经渗透进了人们日常生活的每一个方面。于是越来越多的手机应用要求实名制,用户提交的个人信息也从最基本的身份证号、职业、年龄等,逐步演变到兴趣爱好、位置跟踪,甚至作息习惯。网络上侵犯个人信息的行为,已经从PC互联网时代常见的“人肉搜索”,发展为通过手机等客户端寻找、发现、收集个人信息,最终出卖而获得利益。对于这类行为,《刑法》253 条的规定,就显得无能为力,进而放纵了一部分侵犯公民个人信息的违法犯罪行为。“而这在一定意义上也表明,国家立法机关对侵犯公民个人信息之网络行为的普遍危害性及其严重程度显然缺乏充分的重视和足够的前瞻,造成了现行规定对网络上日益加剧的严重侵犯公民个人信息之危害行为难以予以刑事制裁的窘境。”①赵秉志：《公民个人信息刑法保护问题研究》,《华东政法大学学报》2014年第1期。2014年3月15日修订后的《消费者权益保护法》(以下简称“新《消法》”)正式开始实施,第十四条规定,“消费者……享有个人信息依法受到保护的权利”；第二十九条规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定,并对收集的个人信息严格保密、确保信息安全；第五十条规定,“经营者……侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉并赔偿损失。”新《消法》的规定为个人信息相关的行业制定保护个人信息的行业规范提供了基本原则,也为建立个人信息刑法保护的行业规范体系指明了方向。笔者认为,在国家大力实施“互联网＋”的战略背景下,以下行业尤其迫切需要建立和完善与个人信息相关的行业规范。

(1)移动互联网行业。移动互联网行业应针对移动互联网产业链各主体,制定更为细致的制度规范。对于App 开发者、App 移动应用商店运营者、智能手机制造商、操作系统提供商、广告主分别明确特定的个人信息保护义务与责任；最大程度地向用户明示隐私保障规则,为用户提供隐私控制面板,提供方便的修改方式；遵循数据最小化、目的限制原则,仅收集对于执行功能严格必要的数据,严格限制对于执行功能以外的用户位置信息、通信信息等敏感信息收集；遵循隐私保护设计原则,在APP 的设计、实施、删除的各个阶段,采取有效措施保护个人隐私,设置恰当的防护措施保护所处理的个人信息。

(2)金融行业。金融行业的个人信息直接与财产相关,储户存款被盗、信用卡被盗刷等案件频发的背后,映射着该行业个人信息保护规范颇多漏洞和不完善之处。金融行业个人信息保护规范应从收集、转移、互通和审查等环节,制定更为严格的行业规范。在个人信息的收集环节,要严把“入口”,堵住冒用、盗用、虚假个人信息进入各相关系统；在转移环节,要强化数据安全措施,对没有必要转移到网络和移动数据端的个人信息,要采取物理隔绝措施在独立系统中进行保存；在互通环节,要建立以人民银行、银监会、证监会等机构为核心的不同行业、不同机构之间个人信息共享和隔离协议；在审查环节,建立定期审查和特定情况及时审查规范,防止信息泄露和非法使用情况的发生。

(3)电信行业。中国电信行业已实行实名入网制,但在电信行业发展的过程中,由于行业规范不健全,实名制带来的个人信息泄露等问题相当严重,并由此引发了电信诈骗等一系列犯罪行为。电信行业个人信息保护应针对“入口”和“端口”制定更为完善的规范。在“入口”处,对加盟商、代理商建立严格的资格审查制度,确保每一张SIM 卡都有真实、明确的出处和使用人；加强对端口的管理和控制,利用技术手段防止使用呼出号码修改装置等违法设备的语音、文字等信息进入通讯网络,堵住电信诈骗的端口。同时,与数据安全机构建立协作机制,对于经过验证核实的用于违法犯罪活动的号码及时注销,并将使用人信息留存备查。

(4)电子商务及相关行业。电子商务及其下游的物流行业以消费者的网络消费行为为基础掌握了越来越多的个人信息,并成为了电子商务平台构建大数据系统的基础。建立、完善电子商务及相关行业个人信息保护规范,应从以下几个方面入手：一是规范电子商务平台利用个人信息的行为,个人身份信息、消费数据,以及以此为基础建立的个人信用、消费报告和数据模型,在未得到消费者同意或请求下,绝不允许向他人公开。二是规范电子商务从业者收集、利用个人信息的行为,电子商务从业者掌握的个人信息只能为消费者本人提供服务,不得将个人信息泄露给他人,也不得利用掌握的个人信息推送商业信息。三是规范物流行业收集、利用个人信息的行为,物流行业除了保护个人信息不被泄露外,还要建立个人信息定期封存和销毁机制,防止大量个人信息被非法利用。

2.建立个人信息相关行业规范与刑法保护的衔接机制

行业规范,即便是监管机构,如工业和信息化部制定的《电信和互联网用户个人信息保护规定》,也只是法律阶位较低的部门规章,与全国人大及其常委会制定的刑法之间存在比较大的阶差。行业规范和刑法都具有保护个人信息的功能,如欲充分发挥其功能,还需要建立有效的衔接机制。中国《刑法修正案(七)》中个人信息保护的前置性特征,可以说是为建立衔接机制留下的对接“端口”。要将相关行业规范上升为国家规定,大量掌握个人信息的行业,必须由有权机关以法律、法规或者规章的形式制定,如前述的《电信和互联网用户个人信息保护规定》。这种做法既有利于规范相关行业对个人信息的保护,也能够顺利地使刑法、特别是《刑法》第253 条的规定落地。

3.建立统一的个人信息保护和行业监管机构

成立专门负责个人数据保护的机构是各国的普遍做法,中国目前还未成立专门的个人信息保护机构。各机构是在传统的监管职责中延伸管理各自行业、部门的个人信息保护问题。从长远来看,建立专门的个人信息保护和行业监管机构有利于利用刑法保护个人信息,规范相关行业收集、利用个人信息的行为,也有利于各行业履行个人信息保护管理职责。从个人信息保护现状和发展趋势来看,统一的个人信息保护和行业监管机构可以由工业和信息化部牵头,联合最高人民法院、最高人民检察院、公安部、中国人民银行、商务部、卫生计生委、银监会、证监会、国家邮政局等具有个人信息保护和行业监管职责的机构成立个人信息保护和行业监管办公室,并建立联席会议制度,以发布司法解释、部门规章等形式,理顺刑法保护个人信息的制度机制。

(三)建立个人信息刑法保护的个人规范体系

移动互联网时代的到来,使得个人信息保护需求更加强烈,而现有的保护系统却更加脆弱。同时,各种与个人信息相关的新型犯罪屡屡出乎人们的预料,现有立法与犯罪的现状和发展趋势存在着较大的差距。

1.积极回应保护个人信息刑法保护诉求

由于中国公民对个人信息保护的意识不断提升,需要国家出台相关法律保护个人信息安全的需求也逐渐增强,特别是对利用刑罚手段打击严重侵害个人信息行为的呼声越来越高。在刑法上对公民个人信息给予保护是对个人信息包含的公民权利最高规格的尊重,反映了以人为本的法治理念,具有时代进步意义。然而,刑法在任何时候都只能是法律救济最后的屏障,如果试图仅仅依靠刑法中为数不多的法律条文对公民个人信息进行保护,那必然是顾此失彼、因小失大。我们要继续增强大众的个人信息保护意识,制定相关法律法规保障个人信息安全的同时,发动社会力量织就信息保护网络,巩固刑法保护的底线,做到对个人信息犯罪行为严厉打击的同时,适当对个人信息安全受到侵害的个体进行救济。只有双管齐下,才能在保障个人信息安全的道路上稳步向前,最终取得满意效果。

2.强化个人信息刑法保护的意识

其实,树立个人信息维护的意识才是最重要的,我们应当改变传统的安全观念和认知,提高我们自身的信息保护意识。欧盟等国已发布《提高信息安全意识》公告,要求欧盟各国政府宣传和提高其公民对于个人信息保护的意识和认知。中国也应当加强对于个人信息维护的宣传教育,展开基层普法工作,让公民树立自觉维护信息安全的意识。

3.调和个人信息保护与公共利益需求矛盾

要处理好个人信息保护与公共信息公开的关系。政府在实施公共管理过程中收集的数据属于公共数据,但敏感个人信息(隐私)不应当属于公开范围,除非不公开会影响重大公共利益。此外,公共信息中包含一般个人信息的,应当采取匿名化、模糊化技术手段。随着中国反腐败力度不断加大,网络反腐已经成为一种响应迅速、影响全面的舆论监督模式。然而,这种代表了一定公共利益需求的反腐方式,在很多时候是以侵犯个人信息为基础的,这对个人信息保护法律制度,尤其是刑法保护提出了挑战。舆论监督反映了公民对于公共利益的关注,需要在法律法规的保障下顺利进行。因此,在网络监督中,对个人隐私的披露只能针对享有公权力并行使公权力的人。当然,作为行使公权力的人,也理应放弃部分隐私权。但放弃的限度不可能没有底线,对于那些与腐败行为或腐败行为实施者无关联的行使公权力人的信息,势必要进行法律保护。所以,法律中关于公权力行使者个人信息暴露的尺度,需要进一步明确,从而能更好地保障网络言论自由,减少不必要的来自于公共利益及个人信息安全的矛盾。