大数据时代个人信息刑事法保护问题研究

马蓉 胡忠惠

摘要：大数据时代，个人信息呈现数据化、网络化与社会化的特征，从而影响侵犯个人信息犯罪的构成要件：犯罪对象从静态识别信息扩展到动态活动信息；犯罪主体从公权力机关扩大到私人机构；犯罪行为呈现多样化。这些特性也造成侵犯个人信息犯罪刑事追诉中管辖确定、证据收集与保存、信息来源合法性证明的困境。从理性的角度反思，侵犯个人信息犯罪的构成要件亟需完善；刑事追诉中管辖、取证、证明责任等问题也亟需健全。

关键词：大数据时代； 个人信息； 犯罪构成要件； 刑事追诉程序

中图分类号：DF624 文献标志码：A 文章编号：1008-2921（2015）01-0065-05

信息技术与网络的迅猛发展，将人类社会以飞快的速度带入以处理大数据为背景的后信息时代，现有的法律规定无论是犯罪要件的构成还是追诉程序都不能满足大数据时代惩罚犯罪的目标。因此，本文以个人信息数据化为进路，对大数据时代个人信息呈现的新特征以及对我国刑事立法的影响作出理性分析，为完善立法提供新的视角。

一、大数据时代个人信息的特征

最初的大数据概念是指收集、管理和处理的信息量巨大；之后发展为通过对海量信息整合分析，获取新的认知，创造新的价值。大数据时代，是一个大规模制造、收集和整合利用数据的时代，以数据为形式的个人信息呈现出新的特征。

（一）个人信息的数据化

传统信息以语言、文字为主要储存方式，以印刷技术为主要传播载体。现代信息技术的变革突出地表现在信息收集、储存及传播形式的转变。商务智能、社交网络、无线传感器、云计算、语义网等新技术风驰电掣般进入我们的生活；软件开源、数据开放、普适计算、软件即服务、智慧地球等新思想令人应接不暇。量化一切，是数据化的核心。当文字变成数据，当方位变成数据，当沟通变成数据，一切皆能数据化。一旦世间万物被数据化，只有你想不到的，没有数据信息做不到的[1]。个人的行为、位置、生活细节等信息每时每刻都以数据形式被记录和分析。

（二）个人信息的网络化

信息技术的发达以及因特网的全球化，使得信息可以随心所欲地传送到任何地方。这一事实强调信息作为无形物，可通过网络技术收集、存储、分析、综合、复制和传播。大数据时代，个人信息基本上是以网络化方式存在。在网络环境下，个人信息大致可以有以下几类：一是个人基本信息，二是个人网络活动信息，三是网络空间信息。

（三）个人信息的社会化

在传统理论上，个人信息本身只具有与他人和公共利益无涉的私人性特征。大数据时代，数据权利不仅具有私人性，经过处理的数据更具有公共性。“这些‘数据脚印，保存在不同的系统中，可能无伤大雅。如果建立起中央数据银行，通过数据整合和信息加总，就可以再现一个人生活的全部轨迹和全景，各个系统之间的数据可以彼此印证、互相解释，个人隐私就无所遁形。”[2]（P161）

二、大数据时代侵犯个人信息犯罪构成的新变化

收集个人信息的便捷以及个人信息分析后的价值潜力，引发了犯罪者利用个人信息的野心，侵犯个人信息犯罪日趋增加，也对我国相关刑事立法提出挑战。

（一）犯罪对象从静态向动态扩展

侵犯公民个人信息犯罪早期案例所涉及的犯罪对象——个人信息，大多是静态的私人识别信息，包括“一个人的种族、肤色、肖像、性别、年龄、婚姻状况、家庭情况、宗教信仰、思想观点、爱好、受教育情况、财产状况、血型、指纹、病历、职业经历、住址、电话、电子邮件等”[3]。而2011年最高人民法院在其具有指导作用的《刑事审判参考》中公布的“谢新冲出售公民个人信息案” ，表明侵犯公民个人信息的犯罪对象从静态的私人识别信息扩展到动态的私人活动信息。

手机与网络定位技术使方位变成数据，数据的时实性能够将被定位者的位置变化时时刻刻生成信息，所以定位技术所获得的信息属于动态信息。通过高科技手段收集个人信息的方法不断拓宽个人信息的领域，由于个人信息的数据化和网络化导致信息时刻处于流动状态，动态个人信息成为侵犯个人信息犯罪的主要对象。

（二）行为方式呈现多样性

进入大数据时代，传统的以纸质为载体的个人档案信息，逐步被电脑为载体的个人数据信息所替代，个人信息具有无形性和网络化的特性。因此非法获取公民个人信息罪的“窃取”这一行为方式，便与传统意义上的“盗窃”有所区别：“窃取”数据或信息的行为中缺少“占有”要素。非法获取的手段中，除“窃取”之外还包括其他非法手段，强调行为人违背信息所有人的意愿，骗取、非法收集、采集、存储其信息的行为，无论哪一种手段应当与“窃取”具有同质性，危害性应当相当。

司法实践中，有些信息经营企业或个人利用公开网站等合法渠道获取单位或个人的公开信息，进行整合后出售。这种行为是否应该入罪，有不同的认识。“有人认为，互联网是一个开放的平台，如果信息所有者自行或者通过单位将信息公布于网站上，应当推定其同意公开个人信息。作为一个理性的人，应当能预见信息公开的后果。公开的信息被他人搜索整理后出售的行为，其社会危害程度有限，不宜入罪。也有人认为，这种行为具有一定的社会危害性，情节严重的应当追究刑事责任。”[4]大数据时代，由于无处不在的传感器和微处理器，非法获取公民个人信息罪的行为方式呈现多样性，是否构成犯罪应当主要从是否具有严重社会危害性和有无刑罚必要性两方面进行考量。

（三）犯罪主体从公权力机关向民间机构延伸

我国刑法规定，出售、非法提供公民个人信息罪的主体是国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员。立法本意是将履行公共管理职能和公共职责的“公权力”部门作为犯罪主体，而不涵盖民间商业机构。 但由于泄露公民个人信息主体的扩大化，刑法规定已不适应实际需要。许多泄露公民个人信息的并不是“公权力机构”，而是一些民间商业机构。这些商业机构获取公民个人信息的方法是合法的，也不是利用“公权力”所获取。司法实践中，民间商业机构泄露公民个人信息的行为愈演愈烈，其深层次的危害是引发下游犯罪，如果不动用最具有强制性的刑罚手段加以惩处，将会导致刑法规范的失衡。

三、大数据时代侵犯公民个人信息犯罪的追诉困境

个人信息的刑事法保护，一方面通过实体法规定侵犯个人信息的犯罪及刑罚，使得侵犯个人信息的刑事处罚有法可依；另一方面，刑法的规定需要通过诉讼程序落实，国家规定刑事诉讼程序追究侵犯个人信息犯罪。虽然现实生活中公民个人信息被泄露的现象普遍存在， 但司法实践中追究刑事责任的此类案件却比较少，主要原因是犯罪追诉存在一定的难度。大数据时代个人信息的新特征造成侵犯个人信息犯罪追诉困难，以致于有学者悲观地认为“这是一场已经失败的战斗”[5]。

（一）管辖地确定困难

侵犯公民个人信息犯罪的实证调查显示，“网络交易的便捷性和低风险性使其成为罪犯获取公民个人信息的首选方式。行为人通过网络实施侵犯个人信息犯罪，可以利用多个服务器参与信息传输，形成独立的虚拟区域（即网络空间）。为了保护自身系统的身份，行为人通常会通过若干第三方计算机系统作为中介进行联系，这样可能牵涉到许多计算机系统。受害人发现自己信息被泄露后，往往只能识别最直接的数据收集者，对于中间往来的系统并不知晓，难以确定其主要犯罪地。数据的全球流动，导致法律的“去领土化”，影响刑事管辖权的确定。

（二）证据保留困难

侵犯个人信息犯罪的网络交易方式与侦查传统环境下实施的犯罪存在显著的差别：侦查的对象是无形的数据而不是有形的物体。这就是为什么网络犯罪成为传统刑法所面临的最重大的挑战之一。因为数据是不可见的，它们可能在执法部门不熟悉的各种技术系统中存储和传输。由于不熟悉数据加密或者涉及IT应用的技术问题，侦查人员很难在短时间内发现与访问。再者，计算机数据从本质上来讲转瞬即逝，侵犯公民个人信息犯罪一旦案发，犯罪嫌疑人能够迅速地删除数据，能够在短时间内抹去这些数据。犯罪往往发生一段时间后才开始侦查，而此时犯罪证据也已被销毁。非法泄露个人信息因为环节众多等因素影响，给调查取证带来重重困难。

（三）信息来源非法性的证明困难

信息具有易传递的特征，这种能力又得到互联网的再次提升。行为人在地球的一个角落里实施操作，而该行为能够通过数据连接到另一个国家立即产生后果。由于计算机网络的开放性与分散性，导致网络使用者隐藏自己的身份，使用虚拟身份。而且侵犯公民信息犯罪是一种非接触性犯罪，公民自己的信息如何泄露的，什么时候泄露的，可能自己都不清楚。许多案件中个人信息都是多次转手，很难查清信息最初的来源。

（四）信息数量与真实性确定困难

我国侵犯公民信息犯罪的客观要件之一是“情节严重”，其中个人信息数量大是实践中把握“情节严重”的重要标准，因此准确核实信息数量意义重大。然而在几乎所有的非法获取公民个人信息案件中，犯罪嫌疑人都是以电子设备存储信息，涉案的信息数量十分巨大。侦查中，对大量的信息筛查存在两个难点：一是信息重复。重复的原因既有同一客户存在多个订单的客观原因，也有信息出售者为提高价格人为大量复制等因素。目前尚没有一种能够完全剔除重复信息的鉴定方法。二是难以验证信息真实性。具体案件中，涉及的信息数量庞大，对其真实性难以一一核实。一般都是随机挑选予以核对信息，按照概率学推定信息真实性的比率。但是抽检流程的科学性，抽取数量的必要性等问题都有待进一步研究[6]。

四、公民个人信息刑事法保护的完善

根据前文的分析，大数据个人信息犯罪的构成要件和追诉程序都面临适应的困境。以发展的眼光考量，笔者以为需要对个人信息的刑事法保护提出立法上的展望，侵犯个人信息犯罪的刑事法规定应该进行必要的修改。

（一）完善侵犯公民个人信息犯罪的刑法规定

1.合理界定个人信息的内涵与外延

我国现行立法并未明确规定何为个人信息，导致司法实践中案件处理结果的失衡。笔者认为，个人信息应当是个人隐私的下位概念，是隐私权客体中的私人识别信息和私人活动信息。 以往有关公民个人信息的理论探讨与司法实践大多把个人信息圈定在私人识别信息的范围。大数据时代，个人提供自己的信息的范围越来越广泛，既包括识别信息也包括活动信息；既包括敏感信息也包括生活琐碎信息。因为无论是政府的社会管理还是商家提供的服务，都需要个人交出自己的信息。个人为了在信息社会生存，必须交出自己的信息。但交出这些信息，并不等于放弃隐私权保护期待。

司法解释可以采用综合式定义方式对个人信息进行界定，即公民个人信息是指以任何形式存在的可以识别本人，表征个人特征和个人核心活动的基本信息。具体包括个人基本情况、肖像、声音、过去经历（尤其犯罪记录）、医疗记录、财务资料、一般人事资料等个人识别信息和日常生活、婚姻恋爱、夫妻生活、家庭生活、社会交往等私人活动信息。这一定义既抽象出个人信息作为隐私权客体的一般特征又列举具体内容，保证司法解释的弹性空间，避免对“公民个人信息”的界定过于狭窄。

2.将出售整合的个人信息等行为纳入刑法调整范畴

大数据的价值不再单纯来源于它的基本用途，而更多地源于它的二次利用，通过对分散的个人信息进行整合后加以利用的行为越来越多，且社会危害性日益增大，已引起各国的普遍关注。目前，已有国家将此行为作为侵犯公民隐私权的民事案件处理，比如美国联邦最高法院曾经审理过类似的案件，9名大法官一致认为这种行为侵犯公民隐私：“在一个有组织的社会里，几乎每一则信息都在不同的时候以不同的形式公开过。但是就个人隐私而言，不同时期零散地公开和一次性完整地公开，即使内容相同，也有本质不同。”[2]（P163）也有的国家将其作为犯罪处理，如英国《数据保护法》第五条第十项规定：“出卖或者提供出卖的有关个人数据，包括从个人数据中抽取或提炼出的信息。”[7]

大数据时代，公民的某些信息分散开来，在不同的地方、在某个特定的时候自愿公开过，不能算作隐私。但如果对其进行信息加总、整合可能形成公民的隐私，应当加以保护。个人的隐私是由一个个信息组合而成，对这些数据进行整合所造成的隐私侵害，不是简单的“1+1=2”，而是“1+1>2”。个人信息的加总整合，不是数据的简单相加，更多时候可以组成个人的生活全景图，个人的生活全部暴露无遗。因此，在强化对“个人信息整合利用”等侵犯个人信息行为的民事侵权和行政制裁的基础上，对于未经授权擅自获取、加总和整合个人信息的行为，情节严重的，应当追究刑事责任。

3.适当扩大犯罪主体的范围

从世界范围看，以保护公民信息为目的的立法，对主体的规定大致有三种考量：一是将国家及地方公共团体等公法机构及以民间企业为主之民间机构，透过一部法律综合加以规范的“统合立法方式”，如欧盟指令；二是将公法部门与民间机构分别以不同法律加以规范的“分离立法方式”，如美国模式；三是日本的独特立法模式，在基本法部分采取统合立法方式，在一般法部分区分公家机关与民间机构为不同的法制适用。[8]无论哪一种立法模式，都将公权力机构和民间机构作为保守公民个人信息的义务主体，如果该机构违反义务侵害公民的个人信息，将承担相应的责任，不排除刑事责任。

我国刑法规定的“出售、非法提供公民个人信息罪”主体是“国家机关或者金融、电信、交通、教育、医疗等单位”。这个“等”字是一个具有伸缩性，有一裁量空间的规定，对“等”字的不同理解将直接导致是否构成出售、非法提供公民个人信息罪的界定。从该款所列举的主体来看，无论是国家机关还是电信、金融等行业，一般都是在社会生活中能够大量接触并处理个人信息的单位，立法者的本意是将那些处理个人信息数量多的领域划入刑法规制的范畴。因此，本罪的犯罪主体虽然不应扩大到一切单位和个人，但也不能仅局限于利用“公权力”的机关和单位。

（二）健全侵犯个人信息犯罪的追诉程序

个人信息的数据化不仅影响侵犯个人信息犯罪实体法方面，也产生刑事诉讼法方面的问题。刑事追诉程序必须解决管辖、数据变化快、匿名、加密、证据缺乏、以及证明责任等问题。

1.确定追诉犯罪的管辖地

大多数现代法律体系下，对犯罪的司法管辖主要依据属地原则。在我国，所有侵犯公民个人信息的犯罪为公诉案件，这类案件管辖地确定的首要原则，是由主要犯罪地，即实施犯罪的一切必要行为地和结果发生地管辖。如果通过网络侵犯公民信息犯罪案件，非法内容在一个服务器内被提供，但却在许多地方可被访问，因此犯罪的管辖地，即犯罪行为地和结果发生地难以确定时，可依据公安部2012年12月制定的《公安机关办理刑事案件程序规定》第十六条的规定，将实施犯罪行为的网站服务器所在地、网络接入地以及网站建立者或者管理者所在地，被侵害的计算机信息系统及其管理者所在地，以及犯罪过程中犯罪分子、被害人使用的计算机信息系统所在地均视为犯罪行为地。这样确定考虑到侵犯公民信息犯罪中物质载体和无形性数据之间的关系，有利于打击犯罪。

2.增加强制侦查权

时间是查获侵犯个人信息犯罪案件的重要限制性因素，通过强化侦查权可以抢在时间前面。在相关数据还可以获取之前，针对网络犯罪的传输快，数据变化快的特征，《网络犯罪公约》责成缔约方为计算机侦查采取一系列立法措施。公约第十四条至二十一条规定了这些措施，涵盖了在信息技术环境下展开侦查所必需的最重要的强制权：包括侦查机关作出迅速反应对现存的计算机数据加以保存；申请提供令要求信息持有者提供具体数据，这种措施相当于传统诉讼中要求提交有形证据或者证人证言的命令；进行搜查与扣押，搜查可以扩展到从最初被搜查的系统可以访问到的另一个计算机系统中储存的数据；加强对往来数据进行实时收集与内容数据的截取，避免数据的转移。[9]我国侦查机关可借鉴这此强制措施，同时有针对性培养侦查人员的计算机使用能力，加强其利用计算机、网络的调查手段。

3.合理分配获取信息合法性的举证责任

在我国刑事诉讼中，除巨额财产来源不明罪等某些持有型犯罪的部分构成要件的证明责任分配给被告方外 ，其余案件证明犯罪的责任一般由控方承担。由于侵犯个人信息犯罪的专业性、行业性较强，所以侵犯公民个人信息犯罪中信息来源合法性的证明责任应该分配给被告方，即由被告证明自己获取信息的合法性。因为，在大数据时代，获取个人信息的渠道众多，控方很难查明究竟是从哪一个渠道获得，要求控方调查每一个信息是否经过所有人许可，证明信息是非法获取太过苛求。因此，控方只要查明被告人手中掌握大量他人信息，如果被告人不能证明这些信息是合法获取的，应推定是非法获取。

参考文献：

[1] [英]维克托·迈尔·舍恩伯格，肯克思·库克耶.大数据时代[M].盛杨燕，等，译.杭州：浙江人民出版社，2013：105125.

[2] 涂子沛.大数据[M].南宁：广西师范大学出版社，2012.

[3] 赵秉志，王东阳.信息时代更应强化人权保障[N].法制日报2009-03-04.

[4] 苏琼，余丹.非法获取大量公民个人信息的行为如何定罪量刑[J].刑事审判参考，2011（04）.

[5] [德]乌尔里希·齐白.全球风险社会与信息社会中的刑法[M].周遵友，等，译.北京：中国法制出版社，2012：306.

[6] 庄晓晶，林洁，白磊.非法获取公民个人信息犯罪区域性实证分析[J].人民检察，2011（09）：69.

[7] 谢望原，等，译.英国刑事制定法精要[M].北京：中国人民公安大学出版社，2003：88.

[8] [台]赖敏慈.信用资讯与隐私权保护[D].台湾中原大学财经法律学系硕士论文，2005：81-82.

[9] Convention on Cybererime of the Council of Europe of 23.11.2001，Explanatory Report：131-239.