公民个人信息刑法保护的困境和出路
——以网络平台为研究视角*

陈万科

(华东政法大学，上海 200042)

互联网的普及加快了信息传播速度，极大地促进了不同信息主体之间的交流，但也可能为信息犯罪提供便利，成为滋生公民个人信息犯罪的温床。尤其在互联网时代，侵犯公民个人信息犯罪无论是犯罪手段、犯罪方式还是侵害对象、危害后果等都以前所未有的速度升级，其犯罪的能量更大[1]，而作为信息处理与汇聚中枢神经的网络平台更是公民个人信息泄露、非法交易、利用的“重灾区”。对于网络平台的公民个人信息安全风险，虽然刑法将其纳入侵犯公民个人信息犯罪的规制范围，甚至专门规定拒不履行信息网络安全管理义务罪来强化网络平台的监管义务，然而该规定是否意味着平台需要承担较重的负担，从而阻碍互联网行业的迅速发展？网络平台利用大数据挖掘个人信息商业价值的行为是否侵犯公民个人信息安全？这些问题表明，刑法对网络平台的规制面临着互联网行业发展与网络犯罪治理、大数据利用与个人信息保护的立场抉择与价值取舍，因此网络平台的公民个人信息刑法保护亟待完善。

一、网络平台公民个人信息的风险考量

作为网络服务商之一，网络平台在面向海量用户提供网络产品与服务的过程也在收集、存储、支配着用户的个人信息。例如，注册账号需要填写用户的姓名、生日、性别、电子邮箱等基本信息；使用导航软件需要收集用户的地理位置信息；使用酒店预定软件需要收集用户的住宿信息；使用贷款软件需要收集用户的征信信息、财产信息等。网络平台一般将收集来的公民个人信息存放在专门的服务器中，而对用户信息的二次利用已经成为常见的市场营销手段。当下的网络平台越来越热衷于挖掘用户信息的商业价值，却没有将注意力放到用户信息的保护与安全上，导致成万上亿的用户信息成为精准犯罪得以实施的客观基础，由此引发网络平台公民个人信息的安全风险。

(一)网络平台成为公民个人信息的“泄露源”

存储着大量公民个人信息的网络平台面临着来自“黑客”入侵与“内鬼”泄密的双重风险，成为公民个人信息的一大泄露源。一方面，平台自身的安全漏洞为“黑客”入侵提供了可乘之机，埋下用户信息泄露的隐患。在“徐玉玉被电信诈骗致死案”中，购买考生个人信息并实施精准诈骗的陈文辉等人固然值得谴责，但山东省高校招生考试信息平台网站的安全漏洞更需警惕。另一方面，越来越多的信息泄露案件表现为内部泄密，监守自盗在网络平台侵犯公民个人信息案件中屡见不鲜。由于网络平台的内部员工能够访问用户的个人信息，实践中出现不少“内鬼”利用职业便利获取用户信息。与“黑客”入侵相比，拥有用户信息管理权限的平台员工贩卖公民个人信息更加防不胜防。

(二)网络平台成为公民个人信息的“交易所”

网络平台本该为用户提供高效便捷的网络服务，然而犯罪分子却把网络平台变成买卖公民个人信息的网上黑市。QQ群成为犯罪分子交换信息、联系买家与卖家的常用工具，不少QQ群甚至直接以“个人信息”“数据交流”等名称命名，例如，调查公司专属的“QQ联盟”就包括“中国调查公司”等20多个群[2]。这些QQ群能够及时获取、共享、买卖公民个人信息，成为调查公司的重要案源。除此之外，“浮云网”“买号街”“PEAS云”等网络平台就是专门以买卖个人信息为目的在互联网架设。正是这些“交易所”的存在，犯罪分子得以完成更有效率的信息买卖与数据共享。

(三)网络平台成为公民个人信息的“加工厂”

在大数据时代，越来越多的网络平台热衷于主动收集用户信息来挖掘商业价值。虽然网络平台收集、利用用户信息前会与用户签订隐私条款，以此表明已经征得用户同意，但隐私条款的同意方式与内容存在不尽完善之处。首先，如果用户不同意提供个人信息将无法使用网络平台的全部或者部分功能和服务，这种隐私条款的同意方式难以保证用户对个人信息的真实授权。其次，隐私条款对个人信息的商业用途采取概括式规定，并未明确收集的信息范围及对信息的使用方式，导致隐私条款过于空泛而无法发挥作用。最后，网络平台对用户信息的加工虽然是在匿名化后进行的，但只要有足够的数据，通过数据内容的交叉检验来还原用户信息并非不可能。网络平台利用格式条款确立对个人信息的主导地位，从而减轻自身收集、利用用户信息的责任，渐渐成为公民个人信息的“加工厂”。

二、网络平台公民个人信息泄露的特殊性

面临如此严峻的信息安全风险，网络平台理应成为刑事立法的规制重点。和其他信息泄露渠道一样，网络平台也被纳入信息犯罪的打击范围。然而网络平台与其他渠道在信息泄漏事件中存在明显不同，网络平台的开放性使得用户信息泄露后难以控制信息流向，增大了网络安全管理难度，信息用途的多样化导致同一泄露行为对公民人身、财产安全可能造成的危害程度不同。因此，对网络平台公民个人信息的刑法保护不应当忽略这些特殊性。

(一)网络平台的信息流向难以控制

网络平台的开放性使得信息的传播与获取更为迅速和便捷，当网络平台成为被泄露信息的传播媒介时，公民个人信息的泄露将覆水难收。作为信息发布与受众的中间环节，网络平台商真正体现着互联网作为信息交互媒介的作用[3]。这一作用来源于网络平台数量庞大的受众群体与多元开放的传播方式。一方面，网络平台一般都拥有巨大的用户数量，这些用户不仅是平台信息的接收者，而且也可以成为平台信息的发布者。例如，在微信公众平台，用户可以关注公众账号来阅读信息，也可以注册成为公共账号管理者来发布信息。当出现信息泄漏事件时，拥有双重身份的用户可能出于猎奇或牟利心理而成为信息泄露洪流的推波助澜者。另一方面，各种应用程序的开发与移动智能终端的普及使得信息传播不受技术条件限制。通过QQ群、微博、微信进行个人信息的买卖、共享和传播几无成本，迅雷、QQ旋风、网盘等应用程序成为下载个人信息的常用工具，平台之间的多重传播导致个人信息的传播范围处于不确定的扩张状态。如此多元开放的传播媒介一旦卷入公民个人信息泄露事件中，必将增加网络信息犯罪的治理难度，无法通过后台控制信息流向的平台服务商将难以发挥网络空间的堵漏作用。

(二)被泄露信息的用途多种多样

从被泄露信息的用途来看，绝大多数公民个人信息被用于出售牟利，行为人会将用户信息明码标价然后贩卖给数据中间商以及其他有需求的购买者。随着公民个人信息的商业价值被不断挖掘，越来越多的用户信息被用于商业推广，如产品推销、市场拓展、拉动客源等。还有大量个人信息成为下游违法犯罪的实施工具，例如以完整、详细的用户信息骗取他人信任进而完成精准诈骗。除此之外，还有少数个人信息被用作婚姻纠纷中的行踪轨迹调查、网络人肉搜索、信息曝光等。虽然侵犯公民个人信息犯罪常常被视为下游违法犯罪的源头而严厉打击，但被泄露信息的用途实际上多种多样。从不同用途的危害程度来看的话，信息用作违法犯罪将直接对公民人身、财产安全造成危害；出售信息牟利的方式由于购买对象的不特定，不一定会对公民人身、财产安全构成威胁；而将信息用作商业推广与其他用途只会对公民日常生活造成一定困扰。事实上，信息用途的多样化导致同一泄露行为可能存在不同程度的社会危害。

三、网络平台公民个人信息刑法保护的困境

在现有刑法规定中，网络平台既可能成为侵犯公民个人信息罪的行为主体，也可能因为放任用户信息泄露而成为拒不履行信息网络安全管理义务罪的规制对象。虽然刑事立法严厉打击信息化犯罪，但这些规定并未注意到网络平台在信息泄露事件中的特殊性，例如，网络平台的信息流向难以控制将增加平台服务商的管理成本，而无视信息用途的多样化可能导致对信息泄露行为的评价不准确。如此立法未必能够对抗日渐汹涌的犯罪浪潮，反而可能忽视互联网发展的自有规律，丧失对大数据利用的正当性考量，从而陷入网络平台公民个人信息刑法保护的困境。

(一)互联网行业发展与网络犯罪治理的冲突

《刑法修正案(九)》设立了拒不履行信息网络安全管理义务罪，该罪规定在监管部门责令改正而拒不改正致使用户信息大量泄露的情况下，网络服务商应负刑事责任。该规定加强了网络平台的管理义务，然而网络平台信息流向的不可控意味着平台即使投入大量的设施、资金、技术、人力等管理成本也未必能有效阻止信息泄露，这可能对网络平台乃至互联网行业发展形成桎梏。我国相关立法在网络平台用户信息管理义务的明确化、类型化、适当化等方面存在不足，此时规定网络平台管理义务的刑事责任可能会加重网络平台的运营成本与负担，存在过剩犯罪化的倾向。有学者就对《刑法修正案(九)》关于网络服务商的拒不履行管理义务入罪化规定表示担忧：“网络平台服务提供者的管理义务极为庞杂、难以界定，且网络服务提供者没有足够时间、充足的力量辨别有关信息是否违法; 考虑网络平台施加严格的监管义务意味着过重的负担[4]。”

作为典型的法定犯，拒不履行信息网络安全管理义务罪的前提在于没有履行法定管理义务，该罪的适用依赖于行政法律、法规等前置法对管理义务的明确。然而网络平台的公民个人信息管理义务只在《网络安全法》《互联网安全保护技术规定》《关于加强网络信息保护的决定》中做了概括规定，专门的《个人信息保护法》并未出台，因此前置法中随处可见的网络平台需要采取的补救措施尚不明确，导致网络平台在用户信息泄露时常常无所适从。网络平台的用户信息按照与现实人身、财产安全的密切程度呈现层级分布，但网络平台的管理义务却没有进行相应的类型化区分，而是一般的、模糊的概括性规定，难以达到实际的管理效果。大部分网络平台并不具备应对不确定的用户信息安全风险的能力，就算监管部门发现公民信息泄露并责令整改，也难以彻底删除已经泄露的用户信息。网络服务提供者的管理能力不同于服务能力，其受限于互联网技术及其整体构架、信息系统的软硬件设备设施、网络服务平台管理的技术和条件、网络服务的经营成本等多方面。如果泄露的用户信息被使用了隐藏技术、非通用语言和密码技术等，那么很难被有效发现和监管[5]。网络平台履行管理义务应当以具备管理能力为前提，否则仅以用户信息泄露的严重程度来追究平台刑事责任，可能存在结果归罪之嫌。

基于网络平台在网络空间的组织调度作用，强调平台的监管义务本无可厚非，但网络平台因第三方侵犯用户信息而承担的刑事责任应当慎重确立，并适当考虑网络犯罪治理对互联网行业发展的影响。如果要求网络平台履行超出能力范围的监管义务，甚至因此承担刑事责任，就会面临互联网行业发展与网络犯罪治理的冲突，导致安全与发展的失衡。

(二)大数据利用与个人信息保护的对立

网络平台对用户信息的二次利用可能侵犯公民个人信息，面临入罪的刑事风险。《刑法修正案(九)》对侵犯公民个人信息犯罪进行了修改，将犯罪主体从国家机关或有关单位的工作人员扩大到一般主体，将犯罪对象从履行职责或者提供服务获得的个人信息扩展到所有个人信息。考察侵犯公民个人信息罪的犯罪构成可知，该罪打击的行为方式包括出售、提供、窃取、购买、收受、交换、收集，犯罪主体包括公民个人信息的买方、卖方、提供方、收受方、收集方、交换方。刑法对侵犯公民个人信息行为的打击可谓多环节、全方位、无死角，作为大数据产业链核心的网络平台极有可能被囊括其中，例如，相关司法解释就将为合法经营活动而非法购买、收受个人信息的行为定性为侵犯公民个人信息。同样是未经用户同意，出于犯罪动机与商业目的利用用户信息在危害程度上存在巨大差别，但刑法条文并未对此作出区分，也未给网络平台的大数据利用预留操作空间。

在大数据时代，公民个人信息不再单纯是网络平台提供产品与服务的基础条件，已经成为优化网络产品与服务、提升用户体验的重要商业资源。随着大数据思维的形成与算法技术的崛起，公民个人信息的商业价值被不断挖掘，通过加工网络平台留存的实时数据与历史数据可以发现用户的生活习惯、兴趣爱好、消费偏好，甚至还原出用户大致的身份和人格轮廓，最终以此为依据向用户推荐产品来创造“商机”，国外的如Amazon的商品、Netflix的电影、Linkedln的工作，国内的也有淘宝的“猜你喜欢”、今日头条的“个性化阅读”等。有观点指出，大数据的价值不再单纯来源于它的基本用途，而更多源于它的二次利用[6]。大数据正在变革网络服务商的盈利模式，其衍生出的个性化推荐系统使得网络服务趋于人性化、智能化，满足了平台对商业推广、吸引用户的需求。在此背景下，作为重要商业资源的个人信息本该以合理方式在市场上作为议价筹码，用户可以通过个人信息换取高溢价的定制化服务，网络平台也可以获取更高的商业利益。然而我国并未建立个人信息的交易市场，个人信息的匮乏迫使网络平台通过强制性的隐私条款获取用户信息，用户可能在不知不觉或不情不愿的情况下丧失对个人信息的控制。本该发挥隐私保护作用的隐私条款形同虚设，用户同意后对个人信息的收集、利用情况仍然一无所知。为了遏制网络平台的过度自利行为，刑法并未将大数据利用排除出侵犯公民个人信息的打击范围。对此有学者认为利用互联网技术优势实施获取他人信息的行为，其行为本身很难被认定为非法[1]。可见，过于严密的刑事法网可能将网络平台某些商业行为认定为侵犯公民个人信息犯罪，造成大数据利用与个人信息保护的对立。

四、网络平台公民个人信息刑法保护的出路

公民个人信息的刑法保护之所以在网络平台领域陷入困境，原因在于刑事立法未考虑网络平台在信息泄露事件中的特殊性，导致对平台服务商设定的管理义务较为粗糙，对违法利用公民个人信息的用途未加区分。要走出这一困境，必须重新设定网络平台的管理义务，在评价信息犯罪时适当考虑信息利用的不同用途，同时有必要建立信息犯罪的技术壁垒，从而在源头上遏制侵犯公民个人信息的行为。

(一)合理设定网络平台的管理义务

从反馈信息来看，平台更愿意去承担平台职责，而不是接受过多的、不必要的行政监管，即平台愿意以严格履行平台职责来换取更为广阔、自由的发展空间[7]。针对当前网络平台的用户信息管理义务存在明确化、类型化以及适当化不足的现状，合理设定网络平台的管理义务有助于发挥平台管控网络信息犯罪的功能，提醒平台创建良好的网络生态环境，制定有效的网络活动规则，帮助平台规避拒不履行用户信息管理义务的刑法风险，为其预留更大的发展空间。在强化平台监管义务的同时确立适当的免责条款，能够兼顾互联网行业发展与网络犯罪治理的需求，从而寻求网络安全与发展的平衡。

合理设定网络平台的管理义务必须满足明确化、类型化、适当化的要求。对于管理义务的明确化要求，应当将信息网络安全管理义务细分为协助执法义务、内容信息监管义务、数据留存义务、处理违法信息义务等，并明确对用户信息泄露的处置措施，例如规定删除信息或屏蔽对其的访问。对于管理义务的类型化要求，应当根据泄露的用户信息重要程度划分轻重不同的管理义务，例如对于用户的敏感信息就应当采取比非敏感信息更为紧迫、力度更大的处置措施。对于管理义务的适当化要求，主要体现在将管理义务限定在网络平台的能力范围之内。由于拒不履行信息网络安全管理义务罪是不作为犯罪，网络平台成立该罪的前提必须是有能力执行监管部门责令的改正措施。面对互联网环境下信息传播的快速、爆发、匿名等特性，改正措施可能超出平台的履行能力，因此有必要规定适当的免责条款。可以借鉴德国的立法经验，只有同时满足“技术上有可能阻止”“阻止不超过其承受能力”的条件，才能认定网络服务提供者具有履行义务的能力[5]。

(二)适当区分信息利用的不同用途

在现代信息社会，个人信息保护不仅是每个公民的基本权利，而且也是迈向大数据时代的必要前提[8]。网络安全与信息化是相辅相成的[9]。面对大数据利用与个人信息保护的冲突，必须首先保证公民个人信息在数据流动、交易过程中的安全。只有做到在法律保护下安全迅速地收集、流通个人信息，才能推动我国大数据产业的发展。但是将大数据利用纳入到个人信息保护的框架下，并不意味一律动用刑法来打击侵犯公民个人信息的行为。鉴于大数据利用并非其他犯罪的上游行为，也未对公民人身、财产安全造成威胁，将大数据利用作为去罪化的信息利用途径不失为一种折中的处理办法。

通常而言，非法获取公民个人信息，绝不仅是为了占有，而是有特定用途、甚至用于违法犯罪[10]。通过统计上海市2009年至2017年发生的侵犯公民个人信息案件发现，以出卖牟利为目的的案件有125起，占所有案件数量的61%；以其他用途为目的的案件有67起，占所有案件数量的39%，其他用途包括商业营销与违法犯罪活动，后者常见为诈骗、盗刷信用卡、伪造证件等。非法获取公民个人信息的用途有出售牟利、商业营销与违法犯罪之分，这些用途的社会危害性显然不能同日而语，刑法不加区别地规定在侵犯公民个人信息的行为方式中存在不妥。另外从侵犯公民个人信息罪保护的法益来看，该罪打击的是可能威胁公民人身、财产安全的信息流通行为，这不仅从该罪位于刑法第四章侵犯公民人身、财产权利罪可以看出，也能与司法解释按照信息与人身、财产的紧密程度来认定“情节严重”的规定相印证。将用户信息用于商业营销的行为无论如何都不会对公民人身、财产安全造成威胁，将大数据利用纳入打击范围并不符合该罪所保护的法益。

将大数据利用作为去罪化的信息利用途径只是将其排除出刑法的打击范围，并不意味对非法获取用户信息用于商业用途的行为置之不理。对于网络平台非法收集、滥用用户信息的行为，借助《网络安全法》《关于加强网络信息保护的决定》以及《互联网信息服务管理办法》追究相应的行政法律责任，也可以起到良好的遏制效果。

(三)建立信息犯罪的“技术壁垒”

互联网时代的犯罪行为，深受互联网时代信息技术发展的影响，其无论是犯罪的手段方式还是犯罪的对象、后果等都带有明显的信息技术烙印，发生在网络平台的公民个人信息犯罪也不例外。科学技术既可以给犯罪行为带来便利，也可以给犯罪防控带来便利[1]。然而“道高一尺，魔高一丈”，犯罪技术相对于网络安全防控能力的超前性导致了信息犯罪在网络平台的泛滥，例如疏于管理的平台漏洞常常成为信息犯罪的突破口，信息流向的不可控无形中造成信息犯罪的巨大破坏力。公民个人信息刑法保护的立法扩张体现出国家对网络安全风险现状的回应，但严刑峻法无法解决网络技术与网络安全防控力量的失衡，要想从根本上维护清朗网络空间必须及时建立信息犯罪的“技术壁垒”。

正如李林教授指出，网络犯罪中出现的很多问题及现象，通常都是技术落后造成的，应当通过技术进步来解决，技术无计可施时，再考虑法律的介入。技术是对网络犯罪最好的预防[11]。在网络平台的公民个人信息保护领域，技术能带来比刑事立法更有效的犯罪预防效果。所谓信息犯罪的“技术壁垒”指的是以网络安全防控技术筑起网络空间的壁垒，从源头上杜绝信息犯罪的发生。对于网络中频现的安全漏洞，目前有不少白帽子、网络安全工程师以及互联网漏洞报告平台为提升网络平台反信息犯罪能力提供坚实的智力支持。专业人士通过技术手段识别并向平台反馈安全漏洞，网络平台向用户披露并修复安全漏洞，已经形成社会力量、网络平台与用户之间良性互动的长效机制。对于信息泄露后迅速在网络平台传播的情形，工信部要求网络平台实时监测信息泄露情况，迅速采取屏蔽、删除信息等防止次生、衍生事件的必要措施，还应当及时告知受影响的用户，并告知用户减轻危害的措施[12]。技术革新成为对抗网络平台信息犯罪的福音，但我国对网络安全防控技术的研究仍处于探索阶段，以“技术对抗技术”的网络犯罪刑事政策尚未进一步落实，不少安全风险检测程序存在误报的情况，因此建立信息犯罪的“技术壁垒”还有很长的道路要走。

五、结语

网络平台的公民个人信息保护问题并非仅靠设定几个刑法罪名就可以解决，其背后牵涉到安全与发展的平衡、法律与技术的对话、政府与平台责任的分配。尽管《刑法修正案(九)》及相关司法解释已经确立对公民个人信息犯罪的严惩立场，网络平台仍然面临权衡互联网行业发展与网络犯罪治理、兼顾大数据利用与个人信息保护的困境，因此必须完善网络平台公民个人信息的刑法保护。通过合理设定网络平台的管理义务、适当区分信息利用的不同用途、及时建立信息犯罪的“技术壁垒”，可以寻得网络平台公民个人信息刑法保护的出路，使得安全与发展同步推进、法律与技术紧密结合，从而更好地维护信息网络生态环境。

:

[1]胡江.互联网时代惩治侵犯公民个人信息犯罪的困境与出路[J].山东警察学院学报,2016,28(5):73-78.

[2]个人信息应有尽有 网上黑市随便买卖[EB/OL].(2011-12-02)[2018-01-12].http://roll.sohu.com/20111202/n327624517.shtml.

[3]李源粒.网络安全与平台服务商的刑事责任[J].法学论坛,2014,29(6):25-34.

[4]周光权.《刑法修正案(九)》(草案)的若干争议问题[J].法学杂志,2015,36(5):77-84.

[5]皮勇.论网络服务提供者的管理义务及刑事责任[J].法商研究,2017(5):14-25.

[6]迈尔-舍恩伯格,库克耶，著.盛杨燕，周涛，译.大数据时代[M].杭州：浙江人民出版社,2013:197-198.

[7]姜瀛.“以网管网”背景下网络平台的刑法境遇[J].国家检察官学院学报,2017,25(5):33-49.

[8]胡其峰.大数据时代更要保护个人信息[N].光明日报,2014-03-07.

[9]习近平.在网络安全和信息化工作座谈会上的讲话[EB/OL].(2016-04-26)[2018-01-12].http://news.xinhuanet.com/zgjx/2016-04/26/c_135312437.htm.

[10]周加深，邹涛，喻海松.《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的理解与适用[EB/OL].(2017-05-10)[2018-01-12].http://mp.weixin.qq.com/s/WgMBMaca_WgcDc3SA-0OkQ.

[11]石亚淙.网络时代的刑法面孔——“网络犯罪的刑事立法与刑事司法前沿问题”研讨会观点综述[J].人民检察,2016(15):36-39.

[12]万静.工信部:1亿以上用户信息泄露为特大网络安全事件[EB/OL].(2017-11-27)[2018-01-12].http://news.xinhuanet.com/politics/2017-11/27/c_11 22013152.htm.