网络安全视野下“个人信息”范围的刑法界定

赵宗涛

(华东政法大学 法律学院，上海 200042)

网络安全视野下“个人信息”范围的刑法界定

赵宗涛

(华东政法大学 法律学院，上海 200042)

大数据环境中“个人信息”面临被严重侵犯的危险，而《网络安全法》等法律法规对“个人信息”范围规定不一引发司法认定的难题。相较于“隐私说”“识别说”概念模式更符合我国法律规定现状。充分考量保护法益、法益属性和规制理念三种因素，认定具备固定性、身份识别性、真实性和价值利用性四个特点的“个人信息”均应受刑法保护。非法收集、出售或非法提供自我公开的“个人信息”不排除犯罪的成立。

个人信息；个人信息权；可识别性；个人隐私；网络安全

网络技术的发展使大数据成为新时代的代名词，依靠信息的聚合、流通、共享，一种规模化、非接触式的大数据环境正式生成。“个人信息”是大数据的基础资源，已经成为“现代商业和政府运行的基础动力”，被誉为“网络的新石油，数字世界的新货币”[1]。然而，数据库的建立在提升“个人信息”采集、存储、加工与传播效率的同时，也增加了信息被窃取、出售、篡改、非法利用的危险，黑客攻击、撞库等非法行为给个人信息安全带来了巨大隐患。据统计，仅2016年全国公安机关侦破黑客攻击案件828起，侵害公民个人信息案件1886起，查获各类公民个人信息竟达307亿条之多，信息保护问题不容忽视。[2]网络诈骗、网络盗窃等下游犯罪的兴起也正是基于对“个人信息”的非法获取与利用，因此，从犯罪源头上切断信息的非法获取，保护“个人信息”免受侵害成为实现网络安全的命门。

近三年来，《刑法修正案(九)》《网络安全法》以及《民法总则》相继颁布与实施，为个人信息的法律保护树立多重保障。“在信息社会，个人信息是人的信息化存在方式，网络中的个人信息与现实社会的物理的人是等同的”。[3]刑法作为惩治犯罪、保障人权最有力的手段，在规制侵犯个人信息犯罪及下游犯罪活动中应发挥积极作用。但是，作为刑法保护对象的“个人信息”并不等同于经验上的“个人信息”概念，缺乏规范的犯罪对象或对象认识错误都可能成为影响侵犯公民个人信息行为罪与非罪的决定因素。从刑法理论上讲，“个人信息”属于规范的构成要件要素，对规范的构成要件要素，必须以特定的违法性为导向进行判断。在未出台相关司法解释的背景下，明确侵犯公民个人信息罪中“个人信息”的概念范围格外重要。

一、问题源起：“个人信息”范围规定不一

我国尚未颁布专门的《个人信息保护法》，“个人信息”保护的条款分散于《商业银行法》《护照法》《律师法》等单行的法律法规。其中，涉及“个人信息”概念的规定有三个：第一，2012年发布的《全国人民代表大会常委会关于加强网络信息保护的决定》第1条概括表述了“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。第二，2013年两高一部依据司法经验发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》，采取不完全列举的方式将“个人信息”总结为“包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。第三，2016年通过的《中华人民共和国网络安全法》第76条则采取“概念表述+不特定列举”的方式明确定义了“个人信息”，“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。以上列举中，只有《网络安全法》对“个人信息”的规定才能称作严格意义上的概念定义，其他两种规定不能直接确定“个人信息”范围，仅具有参考价值。

总结上述三种规定，可以发现，“个人信息”概念存在“可识别身份信息+隐私信息”的组合模式和“可识别身份信息”的单独模式两种，区别在于“隐私信息”能否当作“个人信息”成为法律保护的对象。实践中，司法机关也普遍承认可识别身份信息作为“个人信息”的正当地位，但隐私信息是否属于“个人信息”存在争议。在出台专门的司法解释前，司法机关只能依照侵犯公民个人信息罪“违反国家有关规定”的适用条件，援引相关法律法规中的规定确定“个人信息”的概念与范围。但是，“违法国家有关规定”对《刑法》第96条“违反国家规定”在法律主体、效力的突破，使应当以哪种规定为准确定“个人信息”成为疑问。例如，《网络安全法》实施前，有些法院认为“擅自对公民的手机进行定位，就属于侵犯公民隐私的行为”，将手机定位归属于“隐私信息”纳入“个人信息”范畴，而《网络安全法》仅将“可识别身份信息”作为唯一标准后，此类隐私还能否作为“个人信息”施以刑法保护则需要深入探讨。

二、争议梳理：从隐私说到识别说

(一)隐私说

该学说认为，“个人信息”是信息主体不愿意公开的私密性信息，具有隐私属性，侵犯“个人信息”就是侵犯了公民的隐私权。如有学者主张出于对公民人身、财产、隐私权益保护的目的，应当以“隐私性”为核心认定“个人信息”，无法体现公民隐私性的信息不能列为犯罪对象。[4]

“隐私说”借鉴了美国对“个人信息”的保护模式。美国法律体系中没有专门的个人信息保护法，也没有独立的“个人信息”概念，而是将“个人信息”纳入到隐私权保护范畴，分散在《防止身份盗窃及假冒法》《身份盗窃加重法案》刑事法律和《隐私权法》《信息自由法》《电子通讯隐私法》等其他法律中。美国法律保护的隐私权是一种开放性的框架权利，信息主体对“个人信息”可以自由决定、控制和支配，违背信息主体意志的利用行为都可能构成对隐私权的侵犯。然而，我国法律中隐私权是作为一种具体人格权存在的，保护对象仅限于私密性的私人信息或者私人活动，“个人信息”与“隐私”虽然存在交叉，但并非所有侵犯“个人信息”的行为都侵害了隐私权。例如，非法利用已经公开的“个人信息”的行为未必侵犯隐私权，却可能构成违法犯罪。因此，我国与美国在隐私权概念方面的差异决定了不能直接将“个人信息”与“隐私”等同看待，更不能将“个人信息”完全纳入隐私权保护范围之中。

(二)识别说

该学说强调信息对个人身份的识别，因而具有“可识别性”的信息才是“个人信息”。“可识别性是指相关信息与特定公民具有一定的关联性和专属性，通过这些信息能够把信息主体直接识别出来，或者与其他信息互相集合间接识别出信息主体的身份”。[5]姓名、性别、年龄、职业、家庭住址、身份证号码、手机号码等能够单独或结合识别自然人身份的信息均属于“个人信息”范畴。

“识别说”与欧洲和大陆法系国家对“个人信息”的定义模式类似，均把“可识别性”作为“个人信息”概念的核心词。如《德国联邦数据保护法》第3条规定“个人数据指关于个人或已识别、能识别的个人(数据主体)的客观情况的信息”；《日本个人信息保护法》第2条规定“个人信息就是指有关或者的个人的信息，根据该信息所含有姓名、出生年月以及其他一些描述，能把该个人从他人中识别出来的与该个人相关的信息”。应当指出的是，国外一般将“个人信息”的定义规定在单行的信息或数据保护法中，同时在刑法典中设置专门“个人信息”保护罪名，而我国刑法虽然设立了专门的罪名，但缺乏单行立法配套适用，只能援引其他法律法规的规定，规定的差异又造成了对“个人信息”概念存在选择上的困惑。

“隐私说”和“识别说”争议的焦点在于：作为保护对象的“个人信息”应当以“隐私性”还是“可识别性”为核心特征？若采取“隐私说”，利用已经公开的“个人信息”实施犯罪的行为则无法纳入法律评价范围，缩小法律对个人权益的保护，造成评价不充分的后果。相反，“识别说”把“可识别性”作为“个人信息”的基础特征，既符合我国法律规定现状，也有利于对“个人信息”的全面保护，因此笔者主张建立以“可识别性”为核心特征的“个人信息”概念。

“我父亲性格开朗，乐观豁达。现在除腿脚有些不方便外，眼不花，耳不聋，神志非常清楚，记忆力超好，仍坚持吟诗写文。”汤甲真的三女儿、巴陵石化退休职工汤立红说。最近，老人家又创作了《国庆六十九周年》《2018年老年节感赋》等诗文。

应注意的是，上述对“个人信息”概念的讨论是在未区分部门法律基础上进行的，作为刑法保护对象的“个人信息”，是否应当与其他法律法规在立法定义上保持一致？学界存在一致说和区别说两种观点。一致说将“个人信息”概念作统一解释，认为“公民个人信息作为法律保护的对象，无论是民法、行政法、刑法保护的范围应当是一致的，只是因为个人信息所遭受侵害的严重程度不同而采取轻重不同的法律保护手段…所以，公民个人信息的内涵和外延在法律保护的范畴内应当是一致的”。[6]区别说则认为“由于刑法保护与行政法保护在手段严厉上具有明显差异，公民个人信息的刑法界定不能完全依赖于行政法对个人信息的概念界定”。[7]笔者赞同区别说，因为行为对象与保护法益相关联，刑法保护的法益具有采用刑罚手段保护的必要性，而与此种法益相匹配的“个人信息”也必须具有值得刑法保护的价值，这是刑法保障性作用的体现。因此，在确定作为刑法保护对象的“个人信息”概念时，应当结合刑法特点定义。

三、考量因素：法益、属性与理念

刑法应当考虑多种因素综合定义“个人信息”，避免因定义不准确造成罪与非罪的界限的模糊。依据刑法对法益保护的特点，以下几种因素应该着重考量：

(一)保护法益：“个人信息权”的确立

“犯罪行为是要通过作用于行为对象来侵犯法益，而行为对象本身又是体现法益的，故可以通过刑法对行为对象特征的规定确定法益内容”。[8]侵犯公民个人信息罪保护的对象是“个人信息”，那么是否存在一种作为该罪保护法益的“个人信息权”呢？笔者认为，应当确立“个人信息权”为侵犯公民个人信息罪的保护法益。

虽然我国法律未明确提及“个人信息权”概念，但宪法与民法的规定可以合法、合理地推导出“个人信息权”作为一项具体人格权存在。《宪法》第38条“中华人民共和国公民的人格尊严不受侵犯”承认“人格尊严”是公民的基本权利。从权利关系看，“人格尊严”既是基本权利，也是体现公民人格利益的一般人格权，其可以细化为“隐私权”“名誉权”“肖像权”等多项具体人格权，因此，“人格尊严”属于上位概念而规定在基本法，具体人格权作为下位概念分布于基本法之下的法律法规中。从体系位置看，《民法总则》第111条对“个人信息”保护的规定被置于“民事权利”一章，虽未明确列举“个人信息权”，但间接承认了该权利确实存在，而侵犯公民个人信息罪被设置在刑法分则第四章“侵犯公民人身权利、民主权利罪”之中，也暗示了该罪保护的应当是某种与公民“个人信息”有关的具体权利。承认“个人信息权”作为刑法保护的法益并不违反宪法，也与民法规定保持一致。就具体内涵来讲，“个人信息权”是指公民个人对其信息的支配、控制、决定、排除侵害的权利。主流观点认为侵犯公民个人信息罪的保护法益为公民的“个人信息的自由与安全”[9]，该观点的核心是公民对个人信息的自由支配与不受侵犯的权利，与“个人信息权”观点旨趣相同。

有学者认为，“侵犯公民个人信息罪所保护的法益应为人格尊严与个人自由，个人隐私只是人格尊严的组成部分”。[10]笔者并不认同这种观点，基于以上对一般人格权和具体人格权的论述，如果将侵犯公民个人信息罪保护法益理解为抽象的“人格尊严与人格自由”，那么所有侵犯隐私信息的行为都可能因为侵害了公民的“隐私权”而被认为构成犯罪，但刑法并不完全保护隐私，“个人信息”与“个人隐私”的交叉关系决定了只有交叉部分的隐私信息才会被纳入到刑法“个人信息”的范畴，因此，采用上述观点会存在无限扩张刑法“个人信息”范围的危险，混淆刑法与前置法在权利保护上的分工关系。认为该罪保护法益为公民“隐私权”的观点更难以成立。

(二)法益属性：超个人法益

超个人法益是指非专属于个人的法益，其形象体现为国家和社会的整体。[11]超个人法益专注于公共利益，站在公众共同体的立场上对社会安宁和秩序法益提供积极保护。与民法的私权保护不同，刑法在面对具有广泛社会危害性和多样法益侵害性的行为时，应当积极担负起犯罪规制和法益保护的职能，避免前置法对权利保护不周全而引起更严重的法益侵害后果。个人信息犯罪的超个人法益属性体现为以下两点：

第一，个人信息犯罪多是针对不特定多数信息主体实施的，受害主体具有公众性，容易引发公共安全问题。数据库的建立使“个人信息”常常以信息集合的形式出现，信息存储量十分巨大，一旦数据库信息被泄露或非法获取，将会造成众多的信息主体的关联权益难以得到有效保障，引发社会问题。因而，信息犯罪的危害性也已经超越对单个信息主体，而具有了一定的社会性。

第二，个人信息犯罪不仅会侵犯公民的“个人信息权”，还会带来对信息主体人身、财产安全的威胁。现如今，个人信息犯罪已经发展出一条“源头—中间商—非法使用人员”的黑色产业链，“个人信息”的获取是产业链的第一环，侵犯“个人信息”后的非法利用行为危害巨大，极有可能引发网络诈骗、电信诈骗等下游犯罪和滋扰型犯罪的实施，因而信息犯罪的危害性已经超出对信息权益侵犯本身，而具有一定的法益关联性。

(三)规制理念：刑法的谦抑性

刑法的谦抑性，是指在使用民事救济或者行政制裁等其他手段能够解决问题的时候，就应当使用其他制裁手段，只有在具有不得不使用刑罚进行处罚的法益侵害或者威胁的时候，才可以将该行为作为犯罪。[12]作为二次保障法，刑法在规制法定犯时也应以谦抑性为理念，妥当地调整与前置法的关系。因此，界定“个人信息”范围应当注意对隐私信息选择性保护，为民法作用发挥留足空间。

“个人隐私”与“个人信息”存在不同面向，应根据信息特点作区别处理。“个人隐私”体现的是公民的隐私权，而隐私权是一种绝对权，主要面向民法保护，刑法对隐私权的保护体现为侵犯通讯自由罪，私自开拆、隐匿、毁弃邮件、电报罪，侮辱罪等少数几个罪名。隐私具有个体性，而是否侵犯了隐私权容易陷主观判断，因此，刑法对隐私权采取克制态度，更多地将其交由民法调整，这正是刑法谦抑性的体现。而且，个人信息犯罪所体现的超个人法益属性也向刑法提出了保护“个人信息权”而非“隐私权”的要求。

四、范围界定：基于信息特点的判断

在充分考量保护法益、法益属性和刑法谦抑性理念的基础上，借鉴域外立法经验，笔者认为，可将“个人信息”定义为：以某种方式固定下来的能够单独或者与其他信息结合识别自然人身份的各种有利用价值的真实信息。这种定义在坚持以“可识别性”作为“个人信息”核心特征的同时，兼顾了刑法保护法益的特点，合理划定了“个人信息”的保护范围。

(一)“个人信息”的特点

根据定义，“个人信息”须同时满足固定性、身份识别性、真实性和价值利用性四项要求，才能受到刑法保护。有必要对其各自内涵作具体分析。

第一，固定性。“固定性”要求信息能够以电子或其他方式在一定载体上记录下来。“个人信息”因为被处理(包括获取、篡改、加工等)而成为侵犯公民个人信息罪的犯罪对象，处理的前提是信息能够被查询，只有固定在一定载体(包括电子和纸质载体)，并单独或与其他信息组合识别信息主体的身份的信息方可查询，未经固定的口头信息难以被处理而被排除在“个人信息”范围之外(附着在一定载体上的口头信息可以成为犯罪对象)。之所以要求“个人信息”的“固定性”，一方面是出于保护范围规范化和限定化考虑，防止“个人信息”法律保护范围的不确定性，另一方面是为了避免对“个人信息”过度保护而禁锢了其利用价值的发挥。这种考虑主要借鉴了香港《个人资料条例》的立法经验，其第2条第三项规定“个人资料的存在形式令予以查阅及处理是切实可行的”。

第二，身份识别性。“身份识别性”是指能够单独或者与其他信息结合识别自然人个人身份。识别的对象必须为自然人个人身份。识别的方式可分为单独识别与结合识别两种，单独识别自然人身份的信息包括DNA、身份证号码、指纹、面貌等特定几种，这些信息的共同特征是具有唯一性，能够直接依据该种信息锁定具体个人；结合识别则是由于信息的重复性较高、完整性较低，需要多种不同信息相互印证才能辨识出具体个人，例如姓名+性别+家庭住址的组合具有了身份识别性，但单个信息本身不具有特定识别性的特征，故不能将其单独认定为“个人信息”。手机定位、车辆轨迹等行踪信息虽然具有私密性，但实名制的推广使行为主体也有了通过行踪信息与姓名、手机号码等信息结合识别特定个人的身份的可能，从该意义上讲，行踪信息属于“个人信息”与“个人隐私”的交叉部分，也受刑法保护。网络实名制也使账号+密码的上网准入条件所包含的有效信息含量更加丰富，各种信息之间相互印证的功能显著增强，识别具体个人所要求的信息数量将会大幅减少。

第三，真实性。“真实性”是有效识别特定个人身份的基础。面对海量的个人信息，司法机关为提高办案效率，经常采用“等约计量”的方式，从信息库中选取一定数量的信息做样本，采取抽样审查的方法查证样本的真实性概率，然后依据该概率推算所查获“个人信息”的真实性数量。这种对个人信息的真实性的判断仅是依靠经验法则和概率计算，容易受计算方法、操作规则等因素的影响而导致估算与实际的误差。但从理论上讲，只有真实的个人信息才能实现信息主体身份的有效识别，才会构成对“个人信息权”的侵犯，不能因为取证困难而降低犯罪构成的标准。并且，要求信息的“真实性”有其特殊价值。其一，能够区分罪与非罪。侵犯公民个人信息罪的行为方式主要分为输出(出售或非法提供)和输入(窃取或以其他方式非法获取)两种类型。若行为人不知其非法获取的“个人信息”为虚假信息，即使具有非法利用的故意也不可能真正实施利用行为造成法益侵害，因认识错误而不构成犯罪。其二，能够区分此罪与彼罪。当行为人明知是虚假的个人信息仍实施出售或非法提供行为时，可能构成诈骗罪而非侵犯公民个人信息罪。

第四，价值利用性。信息应当具有“价值利用性”，与人身、财产等利益相关联《民法总则》增加“个人信息”保护的规定，一定程度上对“个人信息权”保护起到分流作用，因此，刑法需要为民法作用的发挥预留空间，以保证刑法与前置法的协调。考虑到“个人信息”常被用于实施网络诈骗、信用卡诈骗、洗钱等下游犯罪活动，只有具备财产属性和人格属性的“个人信息”才能在下游犯罪中发挥作用，故要求刑法所保护的“个人信息”具有“价值利用性”。如果侵犯的“个人信息”根本不能对下游违法犯罪活动提供帮助，则该信息不具有刑法保护价值，不能成为刑法保护对象。

(二)两种特殊类型的“个人信息”

相较于传统社会，网络空间中的“个人信息”表现形式更为复杂。网络用户的信息按照内容可分为身份信息、隐私信息、日志信息和公开信息四种类型，其中，日志信息突破了“个人信息”的传统形式，是否应予刑法保护争议最大。日志信息是指用户使用互联网服务过程中产生的信息，如用户消费信息、服务订购信息、访问信息(如IP地址)、位置信息及网络行为信息(如网页购物记录、搜索内容)、Cookies等。[13]从整体来看，日志信息满足了固定性、身份识别性、真实性和价值利用性的特征，符合刑法中“个人信息”的范围，但IP地址和Cookies信息能否单独认定为“个人信息”尚存疑问。

其一，IP地址。用户的上网行为可以表示为三元组<互联网用户标识，信息服务获取方式，互联网信息服务>，其中用户标识具有唯一性，用于区分用户，通常是用户名或者用户IP地址。[14]单独的IP地址能否被视为“个人信息”在国外司法认定中存在争议。法国上诉法院认定IP地址不属于“个人信息”；英国则以IP地址所连接的计算机是否为一个人使用区分是否属于“个人信息”；德国法院则将IP地址区分为静态和动态两种，静态IP地址与某一固定的计算机以及与某一确定的用户相联系，可以被视为是个人信息，而动态的IP地址只能被用户的网络服务商(ISP)通过登录的日期和时间等要素识别出具体的用户，因此也可以认为具有“可识别性”。[15]笔者认为德国的司法经验可供借鉴。“个人信息”强调的是个人身份属性，只有能够识别具体用户身份的信息才有保护价值。IP地址虽然可以随时修改，但无论动态还是静态地址，只要通过既有的登录信息可以锁定特定用户并对用户信息安全构成威胁，则该信息就符合“个人信息”的四个特点而受刑法保护，否定IP地址“个人信息”的地位可能造成处罚漏洞。

其二，Cookies信息。Cookies是用户浏览网页后会在网络服务器上保留的浏览痕迹，这些痕迹用来记录用户浏览的网址、登录信息等，以方便用户下次打开网页时不必再重复操作。然而，Cookies是在用户完全不知情的状态下进行的跟踪和记录(除非预先在浏览器选项中手动将其设置为禁用模式)，网络服务商运用一定技术对Cookies进行收集、整理和分析，然后将这些信息提供给在线广告商作商业推广，并从中抽取利润。Cookies虽然形式上有别于传统“个人信息”，但从实质上讲，运用技术对真实的Cookies信息进行处理，完全能够建立单独的用户模型识别特定个人身份，进而针对或利用信息主体实施违法犯罪活动。因此，Cookies信息完全可以被视为“个人信息”纳入刑法保护范畴。

(三)自我公开的信息也应受保护

实践中，经常出现被害人将自己的“个人信息”发布到网络上然后被人收集、利用而遭受侵害的情形。已经公开的信息依然满足“个人信息”的四个特点，但能否一律保护仍存疑问。被害人自我答责理论认为，被害人基于自己的认识与意志接受危险并对结果的发生处于支配地位，因而对应当给将危险结果归属于自身，而行为人因此不受刑罚，当个人在网上公开发布个人身份信息而被他人非法利用时，应适用自我答责理论排除他人的刑事违法性。

笔者认为，被害人自行公开的信息仍旧属于刑法意义上的“个人信息”，应当受到保护。《网络安全法》第41、42条都规定“个人信息”的收集、使用、提供等需要“经被收集者同意”或者“经处理无法识别特定个人”，这种“告知—同意”、“匿名化”处理的信息使用模式目的在于确保被害人对“个人信息”用途的决定与支配，以避免使自己陷于不利地位。《网络安全法》只承认网络服务服务提供者是合法的信息收集者，非网络服务提供者不具有收集信息的地位与职权，更不能违背信息主体的意志决定信息用途。因此，即使被害人公开了“个人信息”，也不意味着被害人放弃了对信息用途的知情权和支配权，非法收集、出售或非法提供被害人自行公开的“个人信息”依旧可能构成刑事犯罪。

[1]袁梦倩."被遗忘权"之争--大数据时代的数字化记忆与隐私边界[J].学海，2015，(4).

[2]蔡长春.去年查获公民个人信息307亿余条[N].法制日报，2017-2-14(003).

[3]马改然.个人信息犯罪研究[M].北京：法律出版社，2015：1.

[4]张明楷.规范的构成要件要素[J].法学研究，2007，(6).

[5]付强.非法获取公民个人信息罪的认定[J].国家检察官学院学报，2014，(2).

[6]叶良芳，应家赟.非法获取公民个人信息罪之"公民个人信息"的教义学阐释--以《刑事审判参考》第1009号案例为样本[J].浙江社会科学，2016，(4).

[7]赵江辉，陈庆瑞.公民个人信息的刑法保护[J].中国检察官，2006，(4).

[8]吴盛.对《刑法修正案(七)》(草案)第六条的完善建议[N].检察日报，2008-9-16(008).

[9]张明楷.刑法分则的解释原理[M].北京：中国人民大学出版社，2004：140.

[10]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报，2014，(1)；高铭暄，马克昌主编.刑法学(第六版)[M].北京：北京大学出版社，2014：481.

[11]高富平，王文祥.出售或非法提供公民个人信息入罪的边界--以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律，2017，(2).

[12]贾健.人类图像与刑法中的超个人法益--以自由主义和社群主义为视角[J].法制与社会发展，2015，(6).

[13]黎宏.日本刑法精义[M].北京：北京大学出版社，2008：36.

[14]彭云.分级分类保护用户个人信息[N].人民邮电，2013-9-9(007).

[15]叶涛.从蛛丝马迹中探寻事实真相--利用日志信息调查互联网用户的行为规律[J].调研世界，2012，(2).

[16]石佳友.网络环境下个人信息保护立法[J].苏州大学学报，2012，(6).

(责任编辑：杜婕)

The Scope of Personal Information in Criminal Law under the Network Security

ZHAO Zong-tao

( Faculty of Law, East China University of Political Science and Law, Shanghai 200042, China )

Personal information is facing the risk of serious violation under the environment of big data, network security law and other laws have different ranges on personal information, causing a problem of judicial cognizance. Compared with "privacy", the "identification" concept pattern conforms to our country's law present situation. Fully consider three factors, protection benefit, properties and regulation of legal interest, "personal information" under protection of the criminal law can be defined as "fixed down in some way to separate or combined with other information identifies the natural person to a variety of useful real information". Based on the judgment of these four constituent elements, solid, identity, authenticity and value using, we are able to define the scope of "personal Information"accurately. Collect or sell illegally, provide self-publicized "personal information"illegally may be a crime.

personal information; right of personal information; identifiability ; personal privacy ; network security

2017-03-28

华东政法大学研究生创新项目“网络安全视野下个人信息权刑法保护研究”(2017-4-044)

赵宗涛(1992-)，男，山东滕州人，在读硕士研究生，主要从事刑法学研究。

D914

A

1008-7605(2017)03-0082-06