大数据环境下侵犯个人信息犯罪的法益和危害行为问题

皮 勇，王肃之

(武汉大学 法学院, 湖北 武汉 430072)

大数据环境下侵犯个人信息犯罪的法益和危害行为问题

皮 勇1，王肃之2

(武汉大学 法学院, 湖北 武汉 430072)

在大数据环境下，个人信息的刑法保护存在现实的困境。侵犯公民个人信息罪与窃取、收买、非法提供信用卡信息罪在侵犯的法益、行为方式方面存在问题。个人信息不仅关系个人法益，更关系公共信息安全乃至国家安全，需要对现有规定予以重新审视。关于侵犯个人信息犯罪的法益和危害行为学界虽然进行了一定的研究，但是目前没有形成统一和有效的解决思路。需要对该类犯罪侵犯的法益进行重新考量，并且对非法利用行为作出有效规制。

大数据环境；个人信息；公共信息安全；非法利用行为

随着信息技术的发展，大数据时代的到来是我们必须面对的社会现实。在大数据环境下，由于信息数据的普遍性、集聚性和传播性，个人信息不再仅关乎公民个人的重大人身、财产权益。侵犯大量个人信息的行为，除了侵害个人权益，还可能严重侵害社会公共安全甚至国家安全。为回应侵犯个人信息犯罪的一再蔓延，《刑法修正案(五)》增设了窃取、收买、非法提供信用卡信息罪，《刑法修正案(七)》增设、《刑法修正案(九)》修改了侵犯公民个人信息犯罪，虽然有利于打击侵犯个人信息犯罪，但是在该类犯罪的法益及行为体系方面缺乏系统考量。2017年最高人民法院、最高人民检察院最新发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》就个人信息的范围与该类犯罪的具体构罪标准作出规定，但是仍未解决上述问题，有待于进一步讨论。

一、大数据环境下个人信息的刑法保护

随着信息技术和信息社会的发展，人类已经事实上进入了大数据时代。在不断演变发展的科技时代中，关于信息和隐私的威胁持续蔓延*J. Desiree Dodd, “Data Security Law-State Statutory Requirements for Protecting Personal Data”, American Journal of Trial Advocacy, Vol. 38, 2015, p.623.。大数据时代与以往社会时代不同，其通过信息的流动、共享，建立起一个看不见但是却真实存在的映射社会，构建了新的大数据环境，传统的中央控制模式被弱化，以用户需求为中心汇聚成的巨大信息流成为大数据环境最重要的社会内容。但它同时也引发了新的风险，这些新的机会和风险正对我们的法律制度构成新挑战*乌尔里希·齐白：《全球风险社会与信息社会中的刑法——21世纪刑法模式的转换》，周遵友，江溯等译，北京：中国法制出版社2012年版，第273页。。在信息化的浪潮中，不仅物被信息化，人也处在被信息化的过程中，个人信息除了一直以来的记录功能，更与公民重大人身、财产法益相关联。每年在全球范围内有大约十亿的信息数据泄露记录并且导致近六十亿美元的经济损失*Charlotte A.Tschider, “Experimenting with Privacy: Driving Efficiency Through a State-Informed Federal Data Breach Notification and Data Protection Law”, Tulane Journal of Technology & Intellectual Property, Vol.18, 2015, p.45.。

在大数据环境下，侵犯个人信息犯罪也出现了重大变化。像出卖或泄露公民个人信息，已经形成“源头、信息贩子、购买者”“一条龙”黑色产业链，集聚式的侵犯信息犯罪愈演愈烈，集中、大量的侵犯个人信息的案件比比皆是。侵犯个人信息犯罪也出现了前所未有的重大变化：一方面，该类犯罪危害呈现全民性和公共性。个人信息所蕴含的公共管理价值和商业价值，将成为公私机构不当收集、处理、利用和传输个人信息的巨大诱因*赵秉志：《公民个人信息刑法保护问题研究》，《华东政法大学学报》2014年第1期，第127页。。侵犯个人信息犯罪所侵犯的信息早已突破“个人”的范畴，其所侵犯信息的公共性更加明显，事实上与公共安全甚至国家安全相关联。在几乎所有的非法获取个人信息案件中，涉案的信息数量往往十分巨大，少则几万多则数百万条，有的甚至多达 3 亿多条。而且其所侵害的已经远远不限于个人的信息安全，很多情况下已经危害公共安全乃至国家安全。另一方面，该类犯罪行为呈现多样化。在信息社会，个人信息的挖掘利用已经成为包括搜集、保存、流转、利用在内的体系，为个人信息的被侵害提供了巨大的空间，非法获取、非法公开、非法利用个人信息的行为均呈现出扩张的态势，特别是非法利用个人信息的行为更是令人触目惊心。

为回应愈演愈烈的侵犯个人信息犯罪，立法者也在努力通过修正《刑法》增设相关罪名来保护个人信息。目前《刑法》中规制侵犯个人信息犯罪的主要有两个罪名：一个罪名是《刑法》第253条之一侵犯公民个人信息罪。该罪最早由《刑法修正案(七)》增设规定于《刑法》第四章“侵犯公民人身权利、民主权利罪”，原来规制“国家机关或者金融、电信、交通、教育、医疗”等单位及其工作人员出售和非法提供个人信息的行为。《刑法修正案(九)》对该条作出修改，将犯罪主体扩展为一般主体，并且规定“将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的”从重处罚。另一个罪名是《刑法》第177条之一窃取、收买、非法提供信用卡信息罪。该罪由《刑法修正案(五)》于《刑法》第三章“破坏社会主义市场经济秩序罪”中规定，规制“窃取、收买或者非法提供他人信用卡信息资料”的行为。增设的这两个罪名，加大了刑法对于侵犯个人信息犯罪的打击力度，有利于更好地保护个人信息及其关联的法益。但是，上述两个罪名无法为个人信息提供完整的保护，特别是在法益确定与行为范围方面存在问题：

第一，将该类犯罪侵犯的法益认定为公民人身权利不妥。如果说窃取、收买、非法提供信用卡信息罪也会侵犯信用卡管理的秩序，从《刑法》第三章“破坏社会主义市场经济秩序罪”理解尚可接受，将侵犯个人信息罪理解为“侵犯公民人身权利、民主权利罪”则存在较大问题。从字面理解，侵犯个人信息犯罪的法益似乎是公民人身权利。但是事实并非如此，如前所述，该类犯罪通常侵犯的个人信息数量极为巨大，仅因为犯罪对象是个人信息就将该类犯罪认定为侵犯公民人身权利的犯罪有望文生义之嫌，因为像《刑法》第二章“危害公共安全罪”中的公共安全也是个人重大人身、财产安全的集合。此外，该类犯罪的两种情形也无法为认定为侵犯公民人身权利的思路所解释：其一，被侵犯的个人信息包括财产信息。2014年央视就曾曝光，可有效使用的支付宝帐号只卖2元钱一个；而网络银行用户资料被倒卖、个人网银被随意登录的事件也时有发生。其二，该类犯罪可能危害国家安全。如果被侵犯的个人是诸如国家元首、机关政要、涉密人员等，或者大量的关键国民个人信息(如基因信息)被境外机构抓取和分析，也会在事实上危害国家安全，美国希拉里“邮件门”事件就是一个典型的适例。所以，必须深入考虑大数据环境下该类犯罪侵犯的法益究竟为何，并且对刑事立法作出适当调整。

第二，没有重视非法利用个人信息的行为。无论侵犯个人信息罪还是窃取、收买、非法提供信用卡信息罪，所规制的侵犯个人信息的行为均只包括非法获取、非法提供两种。然而事实上，非法利用个人信息的行为已经深刻地影响了该类犯罪的行为体系。在信息时代到来以前，个人信息的存储和利用都十分不易，更多的是以档案的形式存在，难以对其进行利用，更无法造成损害。随着信息社会的来临，在信息化网络化环境下，个人信息往往与重大生命、财产安全相关联。在世界范围，通过获取个人身份信息假冒他人已经促使诈骗者成为职业盗贼*Chris Edwards, “Ending Identity Theft and Cyber Crime”, Biometric Technology Today, Vol. 2, 2014, p.9.。大数据技术的发展特别是数据挖掘利用技术的提升，个人信息利用的利益也越来越大，非法利用行为已经在事实上重构了侵犯个人信息行为的体系，不但成为体系中的重要行为之一，而且成为体系的核心行为，成为非法获取、非法提供行为的目的和前提。比如人肉搜索行为，虽然人肉搜索行为人本身可能实施了非法获取个人信息的行为，但是整合、利用信息进而实施侵害的行为显然无法为非法获取个人信息的行为所评价，而如果人肉搜索行为不存在，那么据其建立的犯罪产业链也就没有存在的价值。因而需要重新考虑侵犯个人信息犯罪行为的体系，以有效地规制非法利用个人信息的行为。

《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》基于其司法解释的性质，并未对于侵犯公民个人信息罪法益的复杂性予以重视，也缺乏非法利用行为的专门规定，依然未能解决这两个问题。

二、侵犯个人信息犯罪法益与危害行为的观点评析

对于侵犯个人信息犯罪的法益与行为方式，国内学者也进行了一些探讨，但是未能达成统一意见，也未能形成恰当的结论。

(一)侵犯个人信息犯罪的法益

伴随着信息技术和信息通讯技术在社会经济生活各领域内的不断深入发展与应用，就指向值得法律保护或已经作为法律保护对象(即法益)的利益的新的侵害形式作出正确的应对日益呈现出其紧迫性*劳伦佐·彼高狄：《信息刑法语境下的法益与犯罪构成要件的建构》，吴沈括译，《刑法论丛》2010年第3卷，第312页。。需要立足于侵犯个人信息犯罪法益的现实变迁，在对学界各种观点全面分析的基础上，得出恰当的结论。

在探讨侵犯个人信息犯罪法益问题之前，需要厘清窃取、收买、非法提供信用卡信息罪与侵犯公民个人信息罪的关系。有学者认为，二罪之间是交叉关系：对于触犯这两个罪名的行为，在信息内容不重叠的情况下，如果存在于信用卡中的个人信息，按非法提供信用卡信息罪定罪;如果存在于信用卡以外的个人信息，按出售、非法提供公民个人信息罪定罪。在信息内容重叠的情况下，构成二罪的“法条竞合”关系，根据“特殊优于普通法”原则，按非法提供信用卡信息罪定罪*石奎：《窃取、收买、非法提供信用卡信息罪的刑法分析》，《吉首大学学报》(社会科学版)2014年第4期，第100页。。我们认为，这种观点之所以认为二罪之间是交叉关系，是因为对于个人信息的范围理解有偏差，由于信用卡的使用与个人信用密不可分，信用卡信息必然会包含可以识别个人的信息，其显然属于个人信息的范畴，二者属于特殊规定与一般规定的关系。而对于这两个罪名所保护的法益，学界均有不同观点：

一方面，侵犯个人信息罪的法益问题争议较为激烈。第253条之一在《刑法》中位于第四章“侵犯公民人身权利、民主权利罪”，立法者将侵犯个人信息的行为认定是侵犯公民人身权利的行为。学界关于侵犯个人信息犯罪的法益，目前尚无统一认识，有如下几种观点：

第一种观点认为，侵犯个人信息罪的法益是公民的人格权。这一观点目前是学界的主流观点。根据这种观点，虽然个人信息受侵犯可能带来的损害不限于人格利益，但是依然可以从法律属性上看作侵犯公民人身权利的犯罪。该罪在刑法结构的位置也表明，该罪侵犯的主要是公民的人身权利，而不是侵害国家机关管理秩序*翁孙哲：《个人信息的刑法保护探析》，《犯罪研究》2012年第1期，第36页。。并且从现有规范来看，对个人信息的保护也基本上采取了人格权保护的模式*“侵犯公民人格权犯罪问题”课题组：《论侵犯公民个人信息犯罪的司法认定》，《政治与法律》2012年第11期，第150页。。或者从反面对这一观点加以论述，认为凡被用于公共目的的个人信息都可视为与公共利益有关的个人信息，且不属于本罪保护范围*李林：《出售、非法提供个人信息罪若干问题研究》，《内蒙古大学学报》(哲学社会科学版)2011年第5期，第115页。。

这一观点，是按照“个人信息”的字面意思加以理解，认为侵犯个人信息罪就是侵犯公民“个人”信息的犯罪，从而简单地认为该罪的客体就是公民的人身权利。立法者将该条规定于《刑法》第四章“侵犯公民人身权利、民主权利罪”中，也使得众多学者顺理成章地认为该罪的法益是公民的人身权利。然而，作为侵犯个人信息罪产业链中的一环，非法获取公民信息犯罪多为职业犯罪，成百上千条个人信息、数千元非法所得几乎成为每个案件的“必备事实”*张玉洁：《论“非法获取公民个人信息罪”的司法认定——基于190件案例样本的分析》，《华东政法大学学报》2014年第6期，第59页。。而且从受侵犯信息的内容来看，该罪处罚的一般并不是侵犯某个个人信息的犯罪行为，而是侵犯众多公民某一类信息的行为。在这种情况下，该类犯罪所侵犯的法益很难再局限在所谓“公民个人”的范畴。也就是说该类犯罪所侵犯的法益并不是某个公民的个人权利，而是具有相当程度公共性的法益，在这一点上该罪与《刑法》第四章其他侵犯特定公民的人身权利的犯罪有所区别。此外，个人信息不仅和公民的人身有关，而且和公民的财产有关，诸如第三方支付信息、网络银行信息、虚拟财产账户信息等个人信息还直接和公民的财产权益相关，个人信息的权利显然不能仅局限在人格权予以探讨。

第二种观点认为，侵犯个人信息罪的法益是公民的信息权。有学者认为，之所以将此种行为规定为犯罪，关键还是在于其侵犯了公民的信息权益，造成了对法益的侵害*付强：《非法获取公民个人信息罪的认定》，《国家检察官学院学报》2014年第2期，第121页。。将侵犯个人信息权行为予以犯罪化，对于遏制目前严重的个人信息滥用现象，有重大意义*刘宪权，方晋晔：《个人信息权刑法保护的立法及完善》，《华东政法大学学报》2009年第3期，第121页。。这一观点是对“个人信息”作了形式上的理解，认为个人信息所包含的法益就是信息权。根据这种观点，个人信息具有专属性与排他性，是可以识别公民个人的特定信息，应防止其遭受不应有的侵害，而且由于其法益重要性，通过刑法进行保护非常必要。

然而正如前文所述，该条所规制的一般是侵犯众多个人信息的犯罪，侵犯的往往是多数人的信息安全，不是公民的个人法益。而且，前述学者关于信息权的理论探讨，更多的是基于国外理论和立法的介绍，特别是欧洲国家理论和立法的介绍，继而得出应当借鉴的结论。如有学者认为信息控制权应进行扩张，使权利人可以选择“遗忘”网上行为数据，即删除权*崔聪聪：《网络产业发展与个人信息安全的冲突与调和——以个人网上行为信息为视角》，《情报理论与实践》2014年第8期，第39页。。然而不同的国家有不同的立法背景。欧洲国家之所以在立法中规定删除权，是基于其基本信息权已经确立，并且相关立法已经具有较强的体系性，因而可以对“删除权”这一“后续权利”予以规定和保护。同其他国家相比我国立法对于信息权的保护尚未形成体系，目前连《个人信息保护法》都没有，有关个人信息的立法尚且处于十分匮乏的状态。在民法学领域个人信息权也是一个建构中的概念，目前民法学界尚在讨论将个人信息权如何合理地纳入民法体系，并且尚未形成最终的结论，其他法学学科也处于类似状态。《刑法》作为保障法具有补充性，必须考虑与相关部门法的衔接与协调，在立法前提与理论前提都不具备的情况下，贸然将信息权的概念引入《刑法》势必会制造不必要的不确定的法律概念，必然会带来解释和适用的困难，进而导致立法和司法的混乱。

第三种观点认为，侵犯个人信息罪的法益是公民的隐私权。有学者认为，在《刑法修正案(七)》将侵犯个人信息行为入罪之时，立法者将该类犯罪的两个罪名放在《刑法》第253条之一进行规制，体现着对个人隐私权保护的价值追求*蔡军：《侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望》，《现代法学》2010年第4期，第108页。。公法介入个人信息隐私保护，从实质上说就是弥补私法保护之不足*王学辉，赵昕：《隐私权之公私法整合保护探索——以“大数据时代”个人信息隐私为分析视点》，《河北法学》2015年第5期，第69页。。然而，身份盗窃和个人隐私有交叉但不相同*Geoffrey VanderPal, “Don't Let Clients Become Identity Theft Victims”, Journal of Financial Planning, Vol. 28, 2015, p.24.。根据这种观点，隐私权是信息权的下位概念，并非所有的个人信息都应该被刑法保护，而是涉及公民隐私的个人信息应当受到刑法的保护。

这种观点将隐私权作为信息权的下位概念，那么对于前一种观点的批判也对其同样适用。再者，通过刑法保护个人隐私的做法渊源于美国，美国早在1974年就通过了《隐私权法》，并在之后通过了一系列的法令，构成了隐私权的法律保护体系。美国在其现行刑法中也专门在其第88章对于隐私权的刑事保护作出规定，围绕“视觉偷窥”行为作出规定，并与其相关的判例衔接协调。而我国关于隐私权的立法仅有《侵权责任法》，而且该法第2条仅指出隐私权属于民事权益，并无具体的适用规则。即便在民事领域，隐私权也是一个建构中的概念，将其直接作为刑法的保护法益，不但会对现有立法产生巨大冲击，也会对司法造成不利影响。

第四种观点认为，侵犯个人信息罪的法益是“‘公权(益)关联主体’对个人信息的保有”。这种观点认为，在“公民个人的信息自由和安全”或公民“个人隐私”的背后，必定隐含着在立法者看来更为重大、更居优位的保护法益。这些公权(益)关联主体在业务处理时依法获取的个人信息也事关国家和社会整体的公共利益。动用刑法手段保护公权及公权(益)关联主体对个人信息的保有，是顺理成章的*赵军：《侵犯公民个人信息犯罪法益研究——兼析〈刑法修正案(七)〉的相关争议问题》，《江西财经大学学报》2011年第2期，第110-111页。。

我们认为，这种观点确有其可取之处，其看到了在侵犯个人信息罪产业链化的背景下个人信息的法益已经不再局限于“个人”，在公民个人法益之后有关乎国家和社会的公共利益，突破了就法律条文的表面规定进行法益研究的局限，相比于前面几种观点确属进步。然而遗憾的是，这种观点将该罪的法益概括为“‘公权(益)关联主体’对个人信息的保有”，这一概括既模糊了社会法益和个人法益的界限，又以“保有”这一含糊不清的表达来指称具体的法益，无疑偏离了该罪法益的实质，未能深入挖掘隐藏在个人信息后面的公共性法益之实质，同样无法得出合理的结论。

另一方面，窃取、收买、非法提供信用卡信息罪的法益也存在不同的观点。第177条之一位于《刑法》第三章第四节“破坏金融管理秩序罪”中，学者也大都认可该罪是对信用卡管理秩序的侵犯，但具体观点也有区别。

第一种观点认为，该罪侵犯的客体是国家对信用卡资料管理秩序*高铭暄，马克昌：《刑法学》，北京：北京大学出版社、高等教育出版社2011年版，第407页。。其认为，该罪仅侵犯国家对信用卡资料的管理，不涉及对于个人财产权益的侵犯。这种观点看到了该罪对于国家信用卡管理秩序的侵犯，注意到了信用卡管理秩序的重要性、独立性，值得肯定。但是这一观点也存在不足，其忽略了信用卡与其他金融单证的不同。一般的金融票据具有无因性，其价值往往与出票人分离，不具有专属性。信用卡则不同，其往往与持卡人个人相联系，侵犯信用卡的行为往往也会侵犯公民个人的财产权利，这种观点对此没有充分的认识，是其不足所在。

第二种观点认为，该罪侵犯的客体为复杂客体，即持卡人的合法利益和金融机构的信誉*利子平，樊宏涛：《窃取、收买、非法提供信用卡信息资料罪刍议》，《河北法学》2005年第11期，第39页。。其认为，该罪侵犯的客体主要是金融机构的信誉，但同时也侵犯了持卡人的合法利益。这种观点看到了该罪对于持卡人的合法利益的侵犯，将其作为法益之一，值得肯定。但是，这种观点认为该罪侵犯的主要法益是金融机构的信誉则值得商榷。如果仅侵犯金融机构的信誉，完全可以通过商法、经济法、民法进行调整，通过侵权救济等方式既可对权利予以恰当的回复，不必动用刑法手段。之所以其需要规定为犯罪，是因为其法益更为重大，因而这种观点存在不妥。

第三种观点认为，窃取、收买、非法提供信用卡信息罪侵犯的是复杂客体，包括他人的信用卡信息安全和国家有关信用卡信息的管理秩序。从持卡人角度看，信用卡信息安全是其首要的利益，这种信息一旦被窃取、收买、非法提供，其安全性就必然被侵犯。从国家角度看，国家己有相关法律、法规来规范信用卡信息管理，而窃取、收买、非法提供他人信用卡信息必然造成国家的这种管理秩序被破坏*卢勤忠：《信用卡信息安全的刑法保护——以窃取、收买、非法提供信用卡信息罪为例的分析》，《中州学刊》2013年第3期，第56页。。我们同意这种观点，既看到了信用卡信息与其他个人信息的不同之处，又看到了信用卡信息的个人信息属性，对于其法益作了全面的概括，值得肯定。

总体来看，侵犯个人信息罪和窃取、收买、非法提供信用卡信息罪的法益讨论都不可避免对其法益属性(即是公共法益还是个人法益)进行分析。窃取、收买、非法提供信用卡信息罪由于关涉信用卡管理，其法益具有公共性的观点被明确提出。而侵犯个人信息罪由于其直接侵犯对象为(相当数量的)个人信息，现有观点多将其作为个人法益予以认定，值得作进一步研究和讨论。

(二)侵犯个人信息犯罪的危害行为问题

在犯罪产业链化的影响下，侵犯个人信息犯罪已经从以获取行为为中心转向以利用行为为中心。随着基于共同意思之下以实行行为为核心的传统共同犯罪模式向基于各自利益之下以分工负责为形式的产业链共同犯罪模式转变，即便是非法公开、非法获取的个人信息，其后续的利用行为往往是不同主体基于不同目的而实施，而且与其他行为日益分离，仅通过评价非法公开、非法获取行为已经不能全面有效地规制侵犯公民信息的犯罪，且由于非法利用信息数量的巨大和利用行为与下游犯罪的分离，通过盗窃罪、诈骗罪等下游犯罪的罪刑规则也无法对于非法利用行为进行全面评价，非法利用行为的独特作用必须为刑事立法所考虑，其突出表现在如下几个方面：第一，非法利用行为是非法获取行为、非法提供行为的源动力，如果没有非法利用行为，非法获取行为、非法提供行为就毫无意义也无法存在，反之只有有效惩治非法利用行为才能有效地打击侵犯个人信息犯罪产业链。第二，非法利用行为相比于其他行为，更易于造成法益侵害并且往往造成的危害后果更为直接、更为巨大，依据“举轻以明重”的入罪规则，如果对于非法获取行为、非法提供行为需要予以打击，那么没有理由对于非法利用行为放任不管。第三，目前非法利用个人信息的行为已经愈演愈烈，如果不对其予以刑事惩罚，那么无异于放任个人信息失控的状况蔓延，无法有效保护信息权利。

由于侵犯个人信息罪与窃取、收买、非法提供信用卡信息罪在行为方式上相近，如在产业链化的背景下，非法利用行为同样是窃取、收买、非法提供信用卡信息罪的核心行为：一个完整的信用卡犯罪包括窃取、收买信用卡信息，制作假卡，运输、销售和使用假卡等流程。其中，窃取、收买、制作是初始环节，运输、销售是中间环节，使用是最终目的*卢勤忠：《信用卡信息安全的刑法保护——以窃取、收买、非法提供信用卡信息罪为例的分析》，《中州学刊》2013年第3期，第55页。。而其中侵犯个人信息罪行为方式的规定更为具体和典型，故以侵犯个人信息罪为例进行探讨。

就侵犯个人信息罪而言，目前非法利用个人信息的行为没有被规定为犯罪，对其如何作出规定，主要有两种观点：一种观点认为，对公民个人信息的非法利用，是指未经信息主体许可，非法利用自己已经掌握的公民个人信息以期实现自己的特定目的。非法利用个人信息的人只能是通过正当手段获取个人信息的人，否则获取个人信息的行为也可以以非法获取个人信息罪而定罪量刑*吴苌弘：《个人信息的刑法保护研究》，上海：上海社会科学院出版社2014年版，第182页。。另一种观点认为，对于合法或者非法获取个人信息的单位和个人非法利用个人信息的行为，目前还不能追究刑事责任。特别是对于从网络上搜集、整理他人个人信息予以出卖或者非法利用，情节严重的情形，刑法典第253条之一第2款就完全无法予以应对，放纵了一部分侵犯公民个人信息的违法行为。但是，这种情况在现实生活中却变得愈来愈严重。建议将非法利用个人信息的行为入罪*赵秉志：《公民个人信息刑法保护问题研究》，《华东政法大学学报》2014年第1期，第121-127页。。

我们认为，这两种观点均存在不足。前一种观点存在较大的缺陷，根据这种观点，非法利用个人信息的行为主体应该限定为合法获取个人信息的主体，其之所以需要被科处刑罚是因为利用行为的非法，而不是因为获取个人信息手段的非法。作为侵犯个人信息犯罪的核心行为，非法利用行为的主体既可能无权合法获取个人信息，也可能有权合法获取个人信息。虽然以往非法利用行为的实施主体以合法获取个人信息的主体为典型，但是随着该罪的产业链化，非法获取行为的后续利用行为也应当独立评价，因为对于非法获取行为的后续利用行为，其往往由不同主体基于不同目的实施，与非法获取行为的分离愈发明显，社会危害性也有区别，需要在规定非法利用行为时对此予以考虑。也就是说，非法利用行为的实施主体已经从合法获取个人信息的主体扩展到非法获取个人信息的主体，然而该观点对于上述变化没有作出充分考虑。后一种观点认识到“对于合法或者非法获取个人信息的单位和个人非法利用个人信息的行为”均应追究刑事责任，无疑更为全面。不过该观点认为非法利用行为的主体就是非法获取行为的主体则未必妥当。如前所述，在该罪产业链化的背景下，非法获取主体与非法利用主体的分离愈发普遍，该非法获取行为的后续利用行为往往是另外的主体基于另外的目的实施，应注意对非法利用行为作出独立评价。

《刑法修正案(九)》在该罪行为方式的规定上总体沿用了原有的表述，就出售、提供个人信息行为而言，只是将原来“非法提供”中的“非法”删除，包括“出售”和“提供”两种行为，没有对非法利用行为作出规定，依然存在立法疏漏。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第3条、第4条、第5条也仅是对于“非法获取、出售或者提供公民个人信息”的具体行为作出阐释，并未对非法利用个人信息的行为作出规定。

三、侵犯个人信息犯罪的刑法回应路径

有效打击侵犯个人信息犯罪必须根据其法益和行为方式的现实变化，在现有研究的基础上进行有针对性的立法完善。

(一)确立侵犯公民个人信息罪法益的公共性

在数据挖掘技术与信息内容变迁的双重推动下，个人信息早已不仅仅关涉个人，早已出现了超越个人性而向公共性转化的趋势。在大数据环境下，个人信息关联的法益也呈现出公共化、多样化的态势：第一，个人信息首先和个人法益相关联。个人信息往往能够识别个人或者往往与个人重大法益相联系，由于个人信息泄露和非法利用导致的人身和财产重大损害比比皆是。最为典型的莫过于几个月前发生的徐玉玉案，被害人因个人信息泄露被诈骗电话骗走上大学的费用9 900元，郁结于心，最终导致心脏骤停，不幸离世。第二，个人信息通常关系公共安全。在大数据环境下，个人信息往往以聚集性的形式存在，一旦一个数据包泄露往往会导致极为大量的个人信息泄露，侵犯数以万计甚至数以亿计的个人信息，其侵害的公共性显而易见。第三，个人信息可能关系国家安全。如果所侵犯个人信息中的“个人”是对于国家安全具有重要意义的人，那么其危害的必然是国家安全。前不久发生的希拉里“邮件门”事件就颇值得我们警惕，其私人邮箱被黑客以技术手段破解，大量邮件信息泄露并且导致严重的后果，对于美国国家安全也产生了一定影响。再如果对于一个国家、民族的基因信息通过个体抓取进行分析，进而予以非法利用，很可能导致不可挽回的严重后果。与此同时，侵犯个人信息犯罪的公共化已经成为一种现实，大量的侵犯个人信息犯罪以群体被害的形态出现，必须予以重视。

如前所述，目前我国刑法中所规定的侵犯个人信息犯罪包括侵犯公民个人信息罪与窃取、收买、非法提供信用卡信息罪。窃取、收买、非法提供信用卡信息罪法益的公共性较为明显，并且为学界所认可，而侵犯个人信息罪法益的公共性仍有待厘清。《刑法修正案(九)》依然将侵犯个人信息罪规定于《刑法》第四章“侵犯公民人身权利、民主权利罪”中，显然不妥。我们认为，侵犯公民个人信息犯罪的法益并不是公民个人的人身权利，而是社会的公共安全，具体来说是公共信息安全，理由如下：

第一，从犯罪对象与法益的关联角度，该类犯罪所侵犯的对象并非公民个人的人身权利。这可以从两个角度展开：一方面，该类犯罪所侵犯的信息不仅可能是公民个人信息，还可能是单位信息。在大数据环境下，任何主体均以信息化的形式与形象存在，不仅公民个人的信息与痕迹可以关联具体的法益，单位信息也在事实上与单位的权法益相关联，非法获取、非法提供、非法利用单位信息的行为也具有相当的社会危害性，而侵犯单位信息的行为显然无法纳入公民人身权利的范畴。与此相关的是，最新通过的《网络安全法》也将保护对象由“公民个人信息”调整为“个人信息”，对于个人信息作出上述理解并不与最新立法冲突。另一方面，个人信息既可能关系个人的人身法益，也可能关系个人的财产法益，不宜规定在《刑法》第四章中。对于信息的理解不能够局限于字面意思，要深入思考其法益内涵。信息所涉及的法益要根据信息的内容进行判定，如果是医疗信息就会涉及个人的生命健康法益，如果是资金账户信息就会涉及个人的财产法益。如网络身份盗窃涉及挪用在线身份口令，包括网络银行口令*Lynne D. Roberts, David Indermaur, “Caroline Spiranovic.Fear of Cyber-Identity Theft and Related Fraudulent Activity”, Psychiatry, Psychology & Law, Vol. 20, 2013, p.316.。之所以习惯式地从《刑法》第四章寻找该罪的适用依据，恐怕多少是对“个人信息”作形式化的理解，认为和个人相关就是和公民人身相关。我们认为，对于“个人信息”应该作恰当的理解。众所周知民法调整的是平等主体之间的人身关系和财产关系，对于“平等主体”再作解释，可以包括自然人、法人和其他组织等，自然人其实就可以理解为公民个人。一般在探讨个人权利时显然会认为包括人身权利和财产权利，为何探讨个人信息时就认为其应该仅在人身权利的范畴下予以研究？

第二，从法益重要性的角度，侵犯信息安全的行为中只有侵犯公共信息安全的行为才需要被刑法制裁。法益一词实际上并非刑法学科所专有，从法理学的角度来看，法益就是法所保护的利益，这里的“法”包括刑法、民法等各个部门法。由于刑罚手段的严厉性，进入刑法视野的法益必然具有相当程度的重要性。而且，个人信息的法律保护是一个体系，根据对于个人信息侵犯的程度不同，应该由不同的法律予以保护：对于个人、网络服务提供者等主体侵犯个人信息的行为，如果是侵犯某个或者某几个特定公民的个人信息，造成了一定的后果，但没有对社会造成较大危害时，应该依照《侵权责任法》等民事法律的规定予以处罚，如果通过民事法律方式处理就可以达到良好的社会效果，则无需动用刑罚手段。此外，如果网络服务提供者不是侵犯个人信息，而是未按国家有关法律要求对个人信息进行保护，应当承担行政法律责任。那么达到何种程度的法益侵害性才需要通过刑事手段予以保护？伴随着社会信息化程度的提高,公共信息安全问题已经成为影响社会稳定和公共安全的重要因素*欧三任：《公共信息安全问题的审视与应对》，《重庆邮电大学学报》(社会科学版)2010年第1期，第59页。。只有上述主体侵犯多数公民的个人信息及对公共信息安全造成侵害或者危险时，才有必要通过刑事手段加以保护。所以，被侵犯信息的公共性必不可少，否则就无法解释为何需要通过刑事手段保护个人信息。

第三，从法益保护紧迫性的角度，只有侵犯公共信息安全的行为才有必要予以独立规制。很多侵犯个人信息的行为并非必须在侵犯个人信息犯罪中予以判断和规制。在以往，身份盗窃被作为后续犯罪行为的预备行为，如计算机诈骗*Adrian Cristian Moise, “Identity Theft Committed Through Internet”, Current Juridical, Vol. 18, 2015, p.124.。比如侵犯某个公民的个人信息，利用该信息直接对个人的人身、财产或者其他重大法益进行侵害，像诈骗罪、敲诈勒索罪等，只需将侵犯个人信息的行为作为下游犯罪的一个情节考虑即可，不必单独作出处罚。事实上，侵害个人法益的犯罪很难不与个人信息相关联：除了诈骗罪、敲诈勒索罪外，受委托杀人需要了解公民的姓名甚至行踪，入户盗窃需要知道个人的住址，等等。然而，侵犯个人信息犯罪产业链化却使得上述结构发生变化：一方面在犯罪对象上行为人不是以某个公民的个人信息为对象，而是侵犯多数不特定公民的个人信息；另一方面行为人只负责搜集个人信息，不必实施下游犯罪。在这种情况下，侵犯多数个人信息的行为事实上侵犯了公共安全，有可能导致公众恐慌等严重社会后果，而且无法通过下游犯罪处罚或者通过下游犯罪处罚失当，有必要对其作出独立的规定。比如非法获取一万个个人的银行账户信息，可能对这些公民的财产造成巨大的侵害，但是被发现时尚未对其中任何一人造成实际侵害甚至很可能并无盗窃其财产的故意，这种情况刑法显然有必要介入，但却无法通过侵犯个人法益犯罪的规定对其予以制裁。

第四，从刑罚均衡的角度，该罪与《刑法》第四章的其他犯罪在刑罚配置上明显失衡。对刑法来说，它的内部秩序就是罪刑关系的和谐、有序，就是罪与刑的均衡*刘守芬，方泉：《罪刑均衡的立法实现》，《法学评论》2004年第2期，第87页。。《刑法修正案(九)》提高了对于侵犯个人信息犯罪的处罚力度，受到社会的一致认可，公众普遍认同应当严厉地打击该类犯罪行为。然而，这样的修改也使得一个问题更加突出——该条规定与《刑法》第四章其他犯罪的刑罚配置越发显得不协调。比如，第253条之一第1款规定，该罪“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。然而对比《刑法》第四章的其他犯罪，如暴力干涉婚姻自由罪，暴力干涉他人婚姻自由致使被害人死亡的，才处二年以上七年以下有期徒刑。仅仅是侵犯个人信息的犯罪就可以和侵害生命权的犯罪规定同样的最高刑，甚至后者的最低刑还低于前者，这恐怕是任何一个秉持罪刑均衡理念的人都无法认同的观点。所以，如果仅侵犯某个公民的个人信息，似乎很难认可侵犯个人信息的行为应该比侵害生命权的行为处以更重的刑罚，那么对于侵犯个人信息犯罪处以这样的刑罚之所以合理，只能是因为其保护的法益并非个人法益，而是多数人的法益，是公共信息安全。

因此，无论是公民个人信息罪还是窃取、收买、非法提供信用卡信息罪，其法益的公共性都是毋庸置疑的。在肯定了侵犯个人信息犯罪侵害的法益具有公共性后，还有一个问题需要予以厘清，即应该在《刑法》的哪一章对其作出规定？就公共信息安全本身的属性而言，其当然与公共安全具有内在的契合性，在《刑法》第二章“危害公共安全罪”中对其作出规定有其合理性。但是就现阶段而言，笔者认为还是在《刑法》第六章“妨害社会管理秩序罪”中对其作出规定更为妥当。这是因为：第一，现阶段公共信息安全与物理形态的公共安全仍有一定距离。信息社会的发展是一个过程，从社会的信息全面覆盖到社会的信息全面主导是一个过程，可以肯定公共信息安全会向着公共安全的领域不断嵌入，但是现阶段其与公共安全的关联仍然具有间接性，往往需要与其他要素结合才能紧迫地危害公共安全。同时，社会公众对于个人信息被侵犯更多的是感到精神和心理受到损害，直接遭受人身与财产损害的毕竟是少数，而对于多数人造成的精神和心理损害显然是对于正常社会生活及其秩序的危害。第二，《刑法》第六章“妨害社会管理秩序罪”中已有对于类似犯罪作出规定的适例。1997年现行刑法制定时已经将侵犯计算机信息系统的犯罪规定在《刑法》第六章“妨害社会管理秩序罪”中，即不论其所侵害的对象与法益为何，只要其手段行为达到了妨害社会管理秩序的程度，即可以按照相应的规定处罚，在对网络犯罪回应的过程中也沿用了这样的思路，对于侵犯个人信息犯罪采用这样的规定方式是契合现行刑事立法思路的。

此外，我们建议在条文表述中与罪名表述中均去掉“公民”二字，这是因为随着大数据环境的深化，除了公民之外，单位的个人信息也愈发重要并且会更加频繁地受到侵犯，也应通过刑法对其进行保护。

(二)专门规定非法利用个人信息的行为

全面规制侵犯个人信息的犯罪行为，需要在侵犯个人信息罪与窃取、收买、非法提供信用卡信息罪现有规定的基础上构建合理的行为方式体系，而这一体系不可凭空构建，必须充分考虑非法利用行为的新发展，对于非法利用作出单独的、专门的规定，并且将非法利用行为优先于非法获取行为、非法提供行为作出规定，作为侵犯个人信息犯罪的核心行为予以规制。理由如下：

第一，非法利用行为在侵犯个人信息犯罪行为体系中日趋居于核心地位。在大数据环境下，数据信息成为社会运转的基础资源。公私领域对于数据利用的需求比以往任何一个时代更加迫切*任孚婷：《大数据时代隐私保护与数据利用的博弈》，《编辑学刊》2015年第6期，第41页。。数据挖掘与利用也成为大数据时代的关键行为，如果没有数据挖掘与利用技术，再海量的数据产生、流转也没有意义与价值，在这个意义上大数据环境也就是一种数据利用环境，并对侵犯个人信息犯罪的产生具有巨大影响。侵犯个人信息犯罪也已经从非法获取、非法提供为中心转向非法利用为核心。一方面，如果个人的信息不能够用于非法用途，亦即无法进行非法利用，那么就不会产生非法利益，那么行为人就不会实施非法获取、非法提供个人信息的行为。另一方面，即便是对于不以营利为目的的侵犯个人信息犯罪，非法利用行为同样重要，如果不能对于个人信息进行非法利用，其诸如损害他人之非法目的也无从实现。总之，侵犯个人信息犯罪已经事实上走向以非法利用为中心，而现有立法并未对此予以足够的重视。

第二，非法利用个人信息行为的独立性日益凸显。这体现在两个方面：一方面，在侵犯个人信息犯罪行为体系中，非法利用行为更具有独立性。非法利用个人信息行为愈发与非法获取、非法提供行为分离，特别是远远超出了“下游犯罪”的范畴。以往学者通常将侵犯个人信息行为入罪化理解为法益保护前置化，即对于大量利用个人信息实施的盗窃、诈骗犯罪予以前置规制。这一观点虽有其合理性，但是随着非法利用个人信息行为的发展与扩大，其解释力愈发显得不足。2016年8月，南都记者曾对相关裁判文书网站上2014年以来广州两级法院审结并上传的15份非法获取、出售、侵犯公民个人信息罪案件判决梳理、分析发现，犯罪分子多通过互联网、QQ群以购买方式非法获取公民个人信息，并分别用来推销美容减肥产品、追债、交通违章销分，或直接转卖信息赚取差价等事项。这中间的很多行为已经游走出法律的边缘，有必要通过刑法予以规制，但是却不易从刑法条文中找到相应的罪名。另一方面，如前文所述，合法拥有个人信息的主体也在实施非法利用个人信息的行为，比如网络服务提供者在合法获取个人信息后未经个人许可大量用于非授权用途，等等。在此背景下，对于非法利用个人信息的行为予以入罪化、类型化是回应这一现实问题的有效路径。

第三，非法利用个人信息行为已经完成类型化。某种行为之所以可以被刑法集中进行规定必须基于其已经类型化甚至定型化。这里的类型化有两重含义：一重含义是该类行为无法为刑法所规制的原有犯罪类型所包含，另一重含义是该类行为已经有较为典型和系统的具体表现。非法利用个人信息行为中不乏符合上述两重含义的表现形式，如人肉搜索行为，往往基于个人信息的非法利用导致极为严重的人身后果、精神后果，但是却不易通过现有刑法规定予以有效规制。再如非法广告联盟行为，大量利用个人的使用痕迹信息、偏好信息等，通过搭建非法跨网站推广平台，进行非法牟利的行为，与其再套用非法经营罪等“口袋罪”予以强行解释，不如还原到非法利用个人信息的层面予以有效规制。而且，比如人肉搜索行为、非法广告联盟行为，本身都不足以成为刑法作出明确规定的特定行为类型，这或许也是当初人肉搜索行为直接纳入刑法规定建议被否定的重要原因，而将这些行为统合在非法利用个人信息行为的框架下，无疑能够兼顾打击犯罪与维护刑法的安定性。

第四，目前已有对于非法利用个人信息行为予以入罪的立法尝试。如德国2007年的《电信媒体法》在其第12条“一般原则”中规定：“(1) 只有在本法或者其他法律规定明确允许或收件人已经同意的情况下，服务提供者可以基于电信媒体的有关条款收集和使用个人数据；(2) 只有在本法或者其他法律规定明确允许或收件人已经同意的情况下，服务提供者可以出于其他目的收集和使用个人数据；……”此外，该法第13条规定了服务提供者的义务，大致可分为两类:一类是(数据搜集和使用)告知义务;另一类可以称为保障义务*韩赤风：《互联网服务提供者的义务与责任——以〈德国电信媒体法〉为视角》，《法学杂志》2014年第10期，第27页。。该条第4款第4项特别规定了电信媒体服务提供者必须采取技术和预防措施确保个人数据在不同主体使用时分别进行。在刑事责任层面，从纯粹的传输服务、接入服务提供者，到缓存服务提供者、宿主服务提供者，再到内容提供者，其承担的责任逐渐提升，相应的免责条件越来越严格*王华伟：《网络服务提供者的刑法责任比较研究》，《环球法律评论》2016年第4期，第46页。。所以，对于非法利用个人信息行为予以立法规制乃至入罪化，已有相关立法可供参考。

基于以上分析，我们认为应对《刑法》中侵犯公民个人信息罪与窃取、收买、非法提供信用卡信息罪的规定作出必要修改。

就侵犯公民个人信息罪而言：其一，应将《刑法》第253条之一修改为《刑法》第288条之一，其罪名由“侵犯公民个人信息罪”修改为“侵犯公共信息安全罪”。其二，以非法利用个人信息行为为核心构建该罪的危害行为体系，并且对于非法利用个人信息行为规定更重的法定刑。其法条具体设计如下：

第288条之一 “违反国家有关规定，利用个人信息，情节严重的，处五年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处五年以上十年以下有期徒刑，并处罚金。

违反国家有关规定，向他人出售或者提供个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，利用或者向他人出售、提供的，分别依照第1款、第2款的规定从重处罚。

窃取或者以其他方法非法获取个人信息的，依照第2款的规定处罚。

单位犯前四款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

就窃取、收买、非法提供信用卡信息罪而言，也应围绕非法利用行为构建完整的行为体系，即《刑法》第177条之一第2款应修改为“非法利用，非法获取或者非法提供他人信用卡信息资料的，依照第1款规定处罚”。

此外，的确通过刑法手段有效地规制侵犯个人信息犯罪势在必行，所以现行《刑法》在修正时不断加大对其惩治的力度，在这一过程中，需要细致分析该罪的法益、行为，并且作出科学、合理的规定。但是刑法手段并不是保护个人信息的唯一手段，也不是首选手段，刑法需要与相关法律共同配合、相互补充，才能有效地保护个人信息，进而保护公共信息安全。打击个人信息犯罪行为不应止于刑罚手段，还应将行政责任、刑事责任、民事责任三者对接，全而杜绝个人信息的泄露*刁胜先，张强强：《云计算视野的个人信息与刑法保护》，《重庆社会科学》2012年第4期，第50页。。需要立足《刑法》《关于维护互联网安全的决定》《关于加强网络信息保护的决定》《侵权责任法》等现有立法并对其进行完善，及时制定《网络安全法》《个人信息保护法》等相关法律，使民事责任、刑事责任、行政责任相互衔接，共同构成完善的保护个人信息的法律体系。

LegalInterestsandDangerousActsintheCrimeofInfringingPersonalInformationinaBigDataEnvironment

PI Yong, WANG Su-zhi

(Law School, Wuhan University, Wuhan 430072, China)

In a big data environment, a realistic dilemma exists in the criminal protection of personal information. There are some problems in the legal interests and behaviors of the infringement in terms of the crime of infringing the citizens’ personal information and that of stealing, buying and illegal providing credit card information. Personal information involves not only legal interests of an individual, but public information security and even national security as well, which requires the further review of current provisions. Although some research has been done about the legal interests and dangerous acts in the crime of infringing personal information in the academic circles, a uniform and effective solution hasn’t been reached at present. It is necessary to reconsider the infringed legal interests of such crimes and make some effective regulations for the acts of illegal use.

big data environment; personal information; public information security; act of illegal use

D 924

A

1004-1710(2017)05-0114-11

2017-06-20

国家社会科学基金重点项目(13AFX010)

皮勇(1974-)，男，湖北通城人，武汉大学法学院教授、博士生导师，主要从事中国刑法学、网络安全法学研究。

[责任编辑：王怡]