网络购物用户个人信息刑事保护的若干思考
——兼评《刑法修正案（九）》相关规定

□李颖

（上海市闵行区人民检察院，上海 201100）

网络购物用户个人信息刑事保护的若干思考
——兼评《刑法修正案（九）》相关规定

□李颖

（上海市闵行区人民检察院，上海 201100）

我国网络购物用户近年来不断增长，网购环节所产生的大量用户个人信息一旦受到侵犯，将极大损害网购用户利益，并为下游网络犯罪提供便利条件，因此要加强对网购群体个人信息的刑事保护。与《刑法修正案（七）》相比，《刑法修正案（九）》修订了侵犯公民信息罪及其他涉及网络犯罪的相关条文，有效提高了刑法对于个人信息的保护力度。与此同时，应当及时出台相应司法解释和前置配套法规，进一步完善网购用户个人信息法律保护体系。

个人信息；网络购物；刑法修正案（九）；刑事保护

随着现代信息技术的不断创新发展，以移动互联网、云计算、物联网、大数据等新兴技术为代表的“互联网+”时代正给我们的生活方式带来深刻变革，越来越多的人开始利用网络为其生活服务。网络购物这种新兴的消费购物模式，正以其价格成本低、购买途径广、商品多样化以及上门送货便利性等特点被越来越多消费者所接受。然而，网购在使人们享受丰富的商品选项与便捷的服务的同时，却不可避免地带来个人信息安全问题。网购消费者个人信息量大且详细，具有一定的商品化价值，容易被收集、利用，甚至造成下游犯罪，导致网购用户的个人利益受到损害。因此，加强对网购消费者个人信息的刑事保护，对于有效遏制网购消费者个人信息泄露、打击网络犯罪具有重要意义。

一、加强网络购物用户个人信息刑事保护的必要性

（一）网购环境中的个人信息数量大且种类多样化。据统计，我国网购市场交易规模和用户规模都呈现出逐年快速增长的趋势。我国网民总数已达6.8亿，仅淘宝（天猫）活跃用户就达到了3.86亿，网络购物占社会消费品零售总额比重超过了10%。①2015年中国网络购物市场交易规模已达到25510亿元，增长率达到26.8%；②2015年我国网络购物的用户规模达到36300万人，占PC网民规模的58.2%，相比2014年增加了4900万人，增幅达到15.6%。③

在网购环境下的公民个人信息不仅数量巨大而且种类多样，除个人的基本信息外，还有在网购过程中进行个人网络活动的信息（见下图）。

网购环境中公民个人信息种类

其中，个人基本信息包括在实现网购交易的整个过程中涉及到的注册登录、下单支付、物流配送等环节所提供的特定信息，如个人的姓名、性别、地址、联系电话、电子邮箱等，部分注册信息还会涉及职业、收入、单位、学历等能够识别特定个人的信息，以及在网上支付过程中涉及的银行卡、电子消费卡、第三方支付平台交易账号、密码等个人财产信息。④个人网络活动信息则包括浏览相关网页的记录、选择商家和商品的搜索项与筛选项。这种网络活动信息可以直接反映出该用户的网页浏览情况等，商家则可以根据用户浏览的商品与停留在相关网页的时间长短，分析出其消费习惯及其兴趣爱好。在大数据时代，这些网购中产生的个人信息足以反映用户社交与生活的全貌，足以创造巨大的经济利益，从而也形成了个人信息的“收集——加工——销售”非法商品化买卖产业链。

（二）网购用户个人信息泄露途径多样化。由于在网络购物环境下消费者需在多个环节填写、输入其个人信息，在这一过程中，相关购物网站、商家客服、支付平台、物流快递公司以及网络运营商的相关人员有许多途径接触到这些个人信息，再加之我国网购消费者对于个人信息保护意识较为淡薄，导致网购中的个人信息泄露难以防范。个人信息泄露途径有以下几种：其一是网购平台管理者和网店经营者为获取非法利益而将消费者个人基本信息进行非法买卖而造成个人信息泄露；其二是网购平台经营者对于消费者在网购过程中留下的个人网络活动信息（数据），未经其许可进行数据分析并交付相关买家开发利用于强制推销等牟利行为；其三是物流环节造成的信息泄露，包括物流信息持有者的主动泄露，如快递公司工作人员将物流单信息非法出售、快递公司与部分商家合作分享客户资料等，也包括网购消费者个人的无意泄露，如拿到商品后直接将物流单完整丢弃，造成个人信息被某些不法分子收集利用；其四是网络黑客等网络犯罪分子利用计算机系统漏洞和木马病毒等窃取网购消费者资料，通过扫描、分析网购平台的系统和网络漏洞，以诸如复制、窃听、冒充、篡改和攻击等方式侵犯用户的合法权益和隐私，或通过钓鱼网站、木马病毒等对网购用户的支付账号、支付密码等进行窃取，极大威胁用户财产安全。⑤

（三）网购用户个人信息泄露为下游犯罪提供便利条件。公民个人信息关乎公民基本权利和个人隐私，而网络购物环境下涉及到的消费者个人信息更是具有极大的财产化利用价值，一旦受不法分子侵害将对用户的人身、财产安全、个人隐私以及正常的工作、生活构成威胁。当前，窃取网络账户或非法获取个人信息盗刷银行卡等盗窃财产类犯罪在实践中屡见不鲜。犯罪分子在网络上获取被害者个人信息并实施犯罪，往往具有跨地区范围大、涉案对象广、追查难度大等特点，给被害人造成重大的经济损失。此外，随着网购消费者个人信息被非法买卖或泄露，各种通过电话或网络实施诈骗的案件也层出不穷。由于犯罪分子事先掌握了大量被害者信息，使得其所虚构的欺诈事实更具迷惑性，大大增加了受害者被欺骗的可能性，也给司法机关预防遏制此类犯罪增加了难度。⑥

二、我国刑事法律对于网购公民个人信息保护规定的发展路径

（一）《刑法修正案（七）》对网购公民个人信息保护分析。刑法作为最强的法律约束力，对公民信息保护有着至关重要的作用。我国对于个人信息的刑事保护起步较晚，在我国1979年《刑法》和1997年《刑法》中，并未对涉及侵犯公民个人信息的行为设置专门的条款。1997年《刑法》第二百五十二条的侵犯通信自由罪，第二百五十三条的私自开拆、隐匿、毁弃邮件、电报罪，也只是通过保护公民通信自由间接实现保护公民个人信息的效果。2009年颁布的《刑法修正案（七）》中，第二百五十三条之一增加规定了出售、非法提供公民个人信息罪以及非法窃取公民个人信息罪，我国刑法才首次尝试以刑事保护的方式设立专门的侵犯公民个人信息罪名。然而，这两项罪名在条文表述上对于诸多定义并不明晰，相关司法解释也迟迟未能出台，导致学术界与实务界对于这类罪名的具体适用存在诸多争议，影响了对网购环境下公民个人信息的刑事保护效果。

1.对“个人信息”定义和犯罪主体范围限定过窄。《刑法修正案（七）》增加的《刑法》第二百五十三条之一第二款将窃取或非法获取的对象表述为“上述信息”，从文义解释上看，“上述信息”指的应当是第一款出售、非法提供公民个人信息罪中，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员违反国家规定，出售或非法提供给他人的本单位在履行职责或者提供服务过程中获得的公民个人信息。这就意味着只有国家机关或者金融、电信、交通、教育、医疗等单位的工作人员这类特殊主体实施的窃取或者非法获取公民个人信息行为才能受到刑法制裁，而对于一般主体违背公民个人意愿，出售、非法提供其个人信息的，难以依法惩处。⑦然而在网络购物环境中，许多用户的个人信息被窃取或非法利用，并不是由上述特殊主体实施，更多的反而是网络平台服务商、电脑黑客等一般主体实施。据中国消费者协会“2014年网民个人信息保护状况调查”的结果显示，约三分之二的受访者在过去一年个人信息曾被泄露与窃取，超过一半的消费者认为网络平台服务商是造成个人信息泄露的主要原因。⑧倒卖个人信息正是网络犯罪的上游环节，《刑法》第二百五十三条相关条款对于预防网络犯罪、维护网络购物环境的安全并未达到应有效果。

2.对违法手段限定过窄。《刑法》第二百五十三条之一中的出售、非法提供公民个人信息罪和非法获取公民个人信息罪，都限定行为人提供、获取公民信息手段上的非法性，且仅就个人或单位通过提供服务或是履行职责这两种获取信息的途径进行规制。然而由上文可知，在网络购物环境下，用户个人信息可能通过多种途径获得，并可通过网络买卖提供给他人加以非法利用，因此，司法实践中，要证明这一系列环节中受侵害信息的非法性源头，本身就存在一定的难度，而要进一步证明“通过提供服务或是履行职责”获取信息，无疑会导致司法机关的举证难度和举证成本大大增加。

3.对刑罚规定过轻。《刑法》第二百五十三条之一中的出售、非法提供公民个人信息罪和非法获取公民个人信息罪在法定刑设置上较为单一，且刑罚较轻，最高仅可判处三年有期徒刑，而网购用户的个人信息往往具有较高的“财产转换率”，被不法商家或下游犯罪分子高价收买，给被泄露的用户个人造成人身危害与财产的严重损失，而三年有期徒刑的最高法定刑设置，与其可能造成的犯罪后果相比，不符合“罪责刑相适应”原则的要求，不足以对犯罪分子形成有力威慑。

4.对于共同犯罪的查证较为困难。对于共同犯罪的查证较为困难。由于网络犯罪具有跨地域、跨机构的特点，涉案人员和犯罪环节都较多，仅仅处罚网络犯罪的直接行为人，对于其上游犯罪与下游犯罪的预防打击效果并不显著。在网络购物环境中，商品购买者的信息可能被倒卖或窃取多次，用于实施盗窃、诈骗等犯罪行为，且每一手信息的倒卖，都可能产生新的上家与下家对该信息进行非法使用。这些不同群体的人员分布在不同的犯罪领域，而且彼此之间往往不相识，查证难度很大。若按照共犯处理，一般需要查明帮助者的共同犯罪故意，但在这种情况下，非法获取他人信息只是犯罪链条的一个中间环节，其上下游环节人员之间因为互不相识，没有明确的犯意联络。如一些网络购物平台、商家和物流工作人员帮助他人窃取网购用户个人信息或倒卖个人信息后辩称，不了解购买信息者具体要实施何种犯罪行为，或是认为仅仅是为了向特定消费者发送邮件、广告等，并以此为由逃避法律追究。

此外，对于《刑法》第二百五十三条之一客观构成要件的“情节严重”如何认定，法条本身与相关司法解释始终未能予以明确，也造成理论界与实务界对于侵犯公民个人信息犯罪的入罪标准和定罪量刑方面的标准不统一。

（二）《刑法修正案（九）》对网络购物环境中公民个人信息保护的改善。基于上述侵犯公民信息类犯罪在刑法条文规范上的诸多不足，于2015年11月1日正式施行的《刑法修正案（九）》与《刑法修正案（七）》的相关规定相比，对于规范网络信息犯罪有了许多亮点。

1.扩大犯罪主体范围。《刑法修正案（九）》取消了原有条文中对侵犯个人信息犯罪主体的明确列举，将《刑法》第二百五十三条之一修改为：“违反国家规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”如此一来，本罪的犯罪主体由原有的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”变成一般主体，即只要具有完全刑事责任能力的公民，一旦实施了出售或非法提供个人信息的行为，都可能构成犯罪。这就将原来网络购物流程中可能涉及到的网络运营商、商户等统统纳入侵犯他人个人信息的刑法规制范围，加强了对于网络购物消费者的个人信息保护。

同时，《刑法修正案（九）》第十六条将《刑法》第二百五十三条之一第二款原有条文中“窃取或者以其他方法非法获取上述信息”修改为“窃取或者以其他方法非法获取公民个人信息”，去掉了“上述信息”这一范围过窄且容易引起歧义的表述，而换之更为标准表述的“公民个人信息”，而本条第一款取消了对于“国家机关及金融、电信、交通、教育、医疗等单位”的特定主体限制，同样使得第二款所对应的“公民个人信息”内涵范围更加广泛。

此外，这一条还增加了“未经公民本人同意，向他人出售或者非法提供其个人信息，情节严重的，处二年以下有期徒刑或者拘役，并处或者单处罚金”的条款表述。通过增加规定出售或者非法提供公民个人信息的犯罪，向后延伸了对公民个人信息的保护阶段，有力打击了买卖个人信息犯罪下游的非法产业链。⑨

2.增加网络犯罪帮助犯规定。针对司法实践中网络犯罪的帮助犯往往难以按照共犯处罚的问题，最高人民法院、最高人民检察院在2013年9月6日出台的《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》规定：“明知他人利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等犯罪，为其提供资金、场所、技术支持等帮助的，以共同犯罪论处。”部分解决了网络帮助行为的定性问题，但对于一些具体量刑和情节认定仍然存在困难。《刑法修正案（九）》在《刑法》第二百八十七条后增加两条，作为第二百八十七条之一和之二，其规定：“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的，处三年以下有期徒刑或拘役，并处或单处罚金。”⑩《刑法修正案（九）》立法者认为，许多网络犯罪的帮助犯才是整个网络犯罪链条中获得利益最大的，有的案件中其犯罪所得数额惊人，因此对网络犯罪帮助行为作出专门规定○11，加强了对网络犯罪的预备行为和帮助行为的打击。然而有学者提出：“在互联网中每时每刻都有亿兆的数据在流动，如果要求网络服务商对这些数据进行鉴别、控制，必然要牺牲网络服务的质量，甚至无法正常向公众提供网络服务。”○12对此，笔者认为，《刑法修正案（九）》在此条规定的入罪前提中加入了“情节严重的”这一限定条件，已经较好地在保护信息网络技术创新与有效控制信息网络犯罪之间达到平衡；互联网接入、服务器托管、网络存储、通讯传输等技术支持的提供者，以及提供广告推广、支付结算等帮助的网络平台，往往具有较强的技术的能力和条件限制相应网络犯罪行为的实施，因此其不履行监督职责，放任危害后果的发生，不管其主观上是否明知下游犯罪的发生，对于危害结果都具有刑法意义上的因果关系，在情节严重的程度下，应当承担相应的刑事责任。在网络购物环境下，通过刑事法律明晰网络提供商、网络平台的责任范围，也有利于电子商务平台积极履行监管义务，采取更高级别技术手段控制信息网络犯罪风险，进一步提高平台操作规范性。这对于防范网购消费者个人信息泄露也将起到积极作用。

3.取消“非法获取”的途径限制。上文提到，《刑法修正案（七）》修订时，对于出售、非法提供公民个人信息罪在入罪条件上做了限定，对所出售或者提供的公民个人信息来源仅规定了个人或单位履行职责或者提供服务获取这两种途径，而对于网络购物环节中，通过履行职责或者提供服务以外的其他途径获得用户个人信息并将这些所获取的信息予以出卖或非法利用的行为，在原有规定中没有相关处罚措施。《刑法修正案（九）》对这一内容进行了修改，明确只要行为人“窃取或者以其他方法非法获取公民个人信息，达到情节严重标准即可入罪”。○13这意味着只要是出售或者违反规定提供个人信息，情节严重的都要追究刑事责任。这样有效弥补了原有刑法在保护个人信息中的空白领域，加强了对公民个人信息的保护力度，且《刑法修正案（九）》取消了“个人或单位履行职责或者提供服务”的限定途径，在定罪考量上不再需要进一步查证个人与单位是否存在履行职务或提供服务的情形，增强了司法机关认定侵犯公民个人信息犯罪行为的可操作性。

4.加重相应法定刑处罚。《刑法修正案（七）》增加的出售、非法提供公民个人信息罪和非法获取公民个人信息罪的处罚，其最高法定刑刑期为三年有期徒刑。《刑法修正案（九）》在保留原量刑档的同时增加了三年到七年的量刑档，使得侵犯公民个人信息行为的法定最高刑由三年有期徒刑增加到七年有期徒刑，同时明确“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”对特殊主体向他人出售或者提供公民个人信息的行为，不再沿用原刑法条文，对特殊主体和一般主体侵犯公民个人信息处以相同法定刑的条款。○14应当看到，条文中在“履行职责或者提供服务”的特殊主体，相较于一般主体往往具有一定的职业便利掌握大量公民个人信息，涉及到网络购物环节，则包括相关网络运营、金融支付、物流服务等单位的工作人员，他们违背相关职业道德和保密义务，利用职务便利出售或提供用户个人信息给他人，其造成的后果相较于一般主体具有更大的社会危害性，故这一加重法定刑的设定更符合“罪责刑相适应”原则。○15

三、网络购物用户个人信息刑事保护的完善路径

虽然《刑法修正案（九）》的修订在刑事立法层面加强了对于我国网络购物用户的个人信息保护，但应当看到，个人信息刑事保护的立法完善并不是一蹴而就的，仍然有继续完善的空间。

（一）动态把握个人信息的界定。现有个人信息的概念在刑法范围的界定上不够清晰。有观点认为，刑法保护的公民个人信息是指一切可识别特定个人的信息。○16这一说法其实并不准确。一方面，并非所有具有可识别性的个人信息都能被刑法保护，如公民姓名对于其本人来说具有可识别的特定性，但泄露公民个人姓名在通常情况下并不构成任何侵权或违法行为，课堂点名、公共场所打招呼时，都会将他人姓名告知不特定多数人，但这种情况下的可识别姓名并不具备刑法保护意义；另一方面，并非所有被刑法保护的个人信息都具有特定可识别性，如手机号码虽然要求实名制，但实践中仍然有大量未实名登记的手机号码，因此手机号码并不一定具有特定可识别性，但对于非法获取未进行实名登记的号码的行为仍然应当由刑法介入，○17因为不管号码是谁的，只要是有效号码，就会有公民在使用，一旦其号码被泄露，就有公民可能被骚扰，影响到其私人生活，故其同样具备刑法保护价值。○18虽然2013年，最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称《通知》）中已有规定，公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料，但应当看到，在当前大数据时代背景下，公民的个人信息会呈现多样化表现形式，在网购环境中不仅表现为固定化的个人基本信息，还表现为经过大数据分析后的个人网络活动信息，这些信息受到侵害都可能带来用户的利益损失和下游网络犯罪的进一步肆虐。因而对于刑法保护的“个人信息”，不应当仅仅将它看做一个静态的概念，而应该放置于具体情境下来判断。“公民个人信息的概念必须从一个动态系统的角度，通过要素细化进行概念的界定，以实现完整到位的保护。”○19

（二）明晰“情节严重”的具体标准。《刑法修正案（九）》中，“侵犯公民个人信息罪”，仍采取情节犯的立法模式，要求达到“情节严重”的条件方能定罪处罚，但对于“情节严重”的具体标准，条文中依然未能进行明确规定。这样势必容易导致在合理把握“情节严重”的标准上不统一。司法机关应当在未来的司法适用过程中积极探索该罪“情节严重”的认定标准，尽快出台相应司法解释规范该罪名的情节定性。参考其他情节犯的相关认定标准，笔者认为，对于侵犯个人信息的“情节严重”认定，可以从侵犯信息数量、非法获利与非法销售的金额、犯罪次数、取得信息的行为性质（即其信息是否为非法获取）和危害结果等五个方面的情节予以认定。但在网络购物环境中，基于对于网络技术创新和网络自主空间的保护，需要同时结合案件社会危害性程度进行综合评价。对于虽然客观行为符合任一标准，但不具备非法目的和社会危害性的行为，应当不作入罪化处理，如电商平台为进行市场评估而收集了本平台特定用户的消费数据，事后并未转卖也没有利用信息实施违法犯罪行为，虽然数量上达到一定标准，但从社会危害性角度上不宜认定为“情节严重”，从而科学综合考量“情节严重”的认定标准。

（三）完善配套前置法规。对于网络用户的个人信息保护是一个系统工程，并非仅靠一部刑法的修订就能达到应有效果。在进一步完善刑事领域的法律法规基础上，其他部门的法律也需要齐头并进。目前，我国刑法明确规定了“侵犯公民个人信息罪”，但缺乏专门的个人隐私信息保护方面的法律。虽然2009年《个人信息保护法》已正式列入全国人大的立法计划，但至今未能出台。接下来应当加快推进《公民个人信息保护法》的制定和出台，系统贯彻个人信息权保护理念。同时，进一步完善政府机关和相关网络监管机构的行政责任，完善信息侵犯受害人的民事救济途径，完善并细化配套的个人信息保护与网络实名身份核查机制规定。总之，“个人信息保护法律体系是一个涉及宪法、刑法、民法、行政法等多个部门法的综合体系。侵犯个人信息的法律责任也应当包括刑事责任、民事责任和行政责任这三大类。刑事责任的制度已经先行一步，行政责任的建立与民事责任的健全也有必要写入立法日程。”○20因此，有效运用民事救济、行政处罚和刑事制裁等手段统筹规划、综合治理，方能全方面保护网络信息安全。○21

注释：

①午光言:《个人信息保护须形成更大合力》，《检察日报》2015年12月31日第4版。

②艾瑞咨询:《2006-2015年中国网络购物市场交易规模》，http://ec.iresearch.cn/17/20120112/161325.shtml，访问日期:2016年11月12日。

③艾瑞咨询:《2009-2015年中国网络购物市场用户规模》，http://www.iresearch.com.cn/View/161325.html，访问日期:2016年11月12日。

④喻琳:《网购中个人信息安全问题研究》，华东师范大学2012年硕士学位论文，第8页。

⑤段珊珊:《论网购消费者个人信息的民法保护》，华侨大学2014年硕士论文，第14-16页。

⑥韦尧瀚:《侵犯公民个人信息罪在司法认定中的若干问题研究——兼评“刑法修正案（九）”第十七条》，《北京邮电大学学报（社会科学版）》2016年2月第1期。

⑦臧铁伟主编:《中华人民共和国刑法

D924

：A

：1674-3040（2017）02-0054-06

2016-12-25

李颖，上海市闵行区人民检察院检察官助理，华东政法大学刑法学硕士研究生。