个人信息刑法保护的理性思考*

王强军， 郭荣艳

(南开大学 法学院， 天津 300350)

大数据时代已然来临，而我们对于相关数据的保护却“路漫漫其修远兮”。从2008年西安电子科技大学“信用卡门”事件*事件概况：在西安电子科技大学，数千学生在毫不知情的情况下，名下无故多出一张信用卡。更为蹊跷的是，作为持卡人，这张自己名下的信用卡他们却从未看到过，但向银行查询后却发现信用卡真实存在。、2012年1号店被爆出其用户信息在网上被人以500元价格出售*事件概况：“1号店”截至2011年7月，90万全字段的用户信息，包括手机、订单金额、地址、邮箱等被人在网上出售，价格是500元。，到2013年6月爱德华·斯诺登曝出美国“棱镜”项目，再到2015年12月22日，360互联网安全中心发布的最新数据资料即《2015年度中国网站安全报告》*该报告称，2015年由于公司网站漏洞致使55亿条信息泄露，与2014年的23.6亿条相比，翻了一番还多。若以中国网民总数为6.5亿计算，平均每个中国网民仅在2015年就泄漏了8条以上个人隐私信息。，个人信息泄露案件造成的危害结果触目惊心，而此类案件也呈现出“黑客入侵网站非法窃取”“企事业内部人员非法泄露、利用”“窃取信息成为其他各类犯罪的上游犯罪”等一系列特征[1]。与此同时，不难发现，立法上对此类犯罪的规制捉襟见肘。是故笔者从个人信息犯罪的立法出发，根据其历史变革，探寻存在的问题，并结合国外司法实践提出相关立法建议，以期完善侵犯个人信息犯罪的法律保护机制。

一、个人信息法律保护之概述

现行刑法中，对侵犯个人信息犯罪予以直接规定的即刑法第253条“侵犯公民个人信息犯罪”。条文中规制了非法向他人出售或提供公民个人信息、窃取或其他方法获取公民信息的行为，明确了对于履行职责或者提供服务过程中侵犯个人信息的职务人员从重处罚的原则，同时，肯定了本罪适用于单位犯罪*刑法253条：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚；窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚；单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照该款的规定处罚。。

但仅从此条文来看，刑法未能明确个人信息的范围，所以，研究本罪时首先应当明确个人信息的含义和本质。

1. 个人信息的含义

根据最新司法解释，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。很明显，司法解释将个人信息定义为：反映特定个人身份、活动和行踪轨迹的信息，以“被识别”标准与其他非个人信息划分界限，较为科学。自此，在没有统一的前置法——《个人信息保护法》的背景下，在司法解释中表明刑法犯罪范围的大小是一种较好的解决方法，能够遵循罪刑法定原则。

根据通常的文义解释，我们可以将个人信息进行如下分类：

(1) 是否能识别特定人。可以分为可识别特定人的个人信息和不可识别特定人的个人信息，例如身份证号等可以锁定特定人的身份信息和身高、体重等具有通性的信息；

(2) 是否公开。可以分为公开的个人信息和非公开的个人信息，例如自愿公布在网上的个人信息和已经采取保密措施的个人信息；

(3) 是否涉及个人隐私。可以分为涉隐的个人信息和可以公之于众的个人信息，例如私人的联系方式和行政部门办公联系方式。

对于个人信息的内容，有学者指出将其主要划分为三个方面：

一是可以识别特定个体的信息，如身份证、学生证等可以识别公民身份的个人信息；

二是涉及个人财产的信息，如个人所拥有的房产、存款等涉及个人财产的信息；

三是涉及个人隐私的信息，如个人病历、与他人的通信等带有个人隐私的信息[2]。

笔者认为，将个人信息进行上述细化，可以使刑法对其处罚范围更加明确，实践操作中更具有说理性，但是对其处罚的依据，从其本质上探究将更有说服力。

2. 个人信息的本质

对于个人信息的本质和个人信息与人格权、隐私权的区别，学界争论不休，其中，“所有权客体说”“隐私权客体说”“人格权客体说”“基本人权客体说”四类学说较为典型[3]。笔者认为，所有权客体说遗漏了个人信息具有人格利益的性质，且各国立法也无此模式；隐私权客体说不能体现个人信息的财产性利益；基本人权说属于一种概括性定义，并未明确其定位。所以人格权客体说较为合理，应该将个人信息作为一种具体的人格权予以保护。

另外，对于个人信息和隐私权的区别，笔者认为两者并非简单的包含与被包含的关系。一般我们认为隐私权主要保护的是个人生活不受侵犯、安宁不被打扰的权利，属于一种被动性、防御性的、大体上体现精神利益的、包含个人私密情况的信息，对其规制通常也属于事后救济。但个人信息属于一种包含了精神和财产的具有识别特定人功能的信息，对其规制通常属于事前预防的状态[4]。从上述两者保护的法益和侧重点可知，两者部分存在交集，但并不等同。亦有学者指出：个人信息与隐私的区别主要以受保护的价值观来区分：隐私需要保密，但个人信息并不一定意味着需要进行保密[5]。

并且，近年来随着大数据时代的到来，个人信息有时候甚至涉及到国家安全，而隐私权大多不涉及此类内容。例如，多个国家的法律修正案放宽了公权力机关从事检查、监视以及使用个人信息等行为的限制条件[6]，尤其是在疫情严重的情形下，维护个人信息的意义有时也包含了维护公共安全的需要[7]。

因此，个人信息是一种带有人格利益的隐私权、财产权的集合体，属于一种具体的人格权，而非属于隐私权或者所有权等权利，应当在适当的情况下对其进行独立的刑法保护。

3. 个人信息保护的立法模式

纵观国内外，各国关于个人信息的保护工作其实早已开展。从1970年的Hessen数据保护法案到1973年的瑞典数据法案，从1974年美国隐私法到1977年德国联邦数据保护法案、1984年的英国数据保护法案到指令95/46/EC，欧洲国家和美国在数据保护立法方面取得了较为领先的地位。当时相应的区域组织和国际组织也不甘示弱，分别在管辖区域内制定统一的数据保护法，并通过了一系列国际法律文书，如经合组织理事会的指导方针、欧洲公约、联合国准则和亚太经合组织隐私框架。其中，最全面、具有法律约束力和影响力的是指令95/46/EC。此外，加拿大、巴西、阿根廷、美国、澳大利亚、新西兰，以及亚太地区的韩国、台湾、香港和澳门，也都建立了自己的法律框架，个人信息(资料)的保护日益完善。因此，借鉴上述相关立法经验，对于我们建构完善的法律框架很有帮助[8]。

上述各国、各地区对于个人信息保护的立法模式，大致可以分为两种，即欧洲立法模式和美国立法模式。欧洲立法模式以制定统一的个人信息保护法为特征，因此也被称为“统一的立法模式”[9]。其中包括德国《联邦数据保护法》、欧盟个人信息指令等大一统的立法模式，这种立法模式在大陆法系具有普遍性。但是细究也能发现，虽然此类行为有统一的立法规制，但有时过于强调国家公权力的行使，多部法律并没有从私权利的角度对个人信息的权利属性予以确认，存在着过于原则抽象、监督管理僵化等问题[10]。

因此，笔者认为，在综合权衡利弊以后，应当推进我国个人信息犯罪的立法进程，但不能一味地模仿复制国外并不完善的立法模式。应当明确的是，我国已经建立一般人格权制度，美国的“大隐私权”引入我国立法体系并不适宜。当然，在对于《个人信息保护法》的制定上，也应当避免欧洲立法模式存在的含糊不清的现象，应当“取人之长，补己之短”，使自己的立法模式更为合理和完善。

二、个人信息法律保护之变革

对于一件事物的探索，应该从其产生的历史背景出发，探寻其存在的根据、过往的历程和现在的表现，以求得对其全面、客观和可行的完善建议。很明显，现行法律对于个人信息的保护如同鸡肋，可谓“弃之不妥，用之无力”，所存在的弊端已经呼之欲出，违法行为的恶劣性和危害结果的严重性已经使得对其相关立法的规制刻不容缓。故笔者试从我国对此的立法沿革出发，探寻此项立法的法理根据、立法历程和现行法律对其的规制。

1. 规制个人信息犯罪的非刑罚法律

众所周知，刑法作为法律的最后一层保障，对于民法、行政法等其他部门法的实施具有保障作用。并且刑法具有的惩罚严厉性和“犯罪人标签”的不可忽视性也时刻地提醒着我们，刑法必须恪守“谦抑性”，即“有其他法律足以规制一般违法行为时，就不要贸然动用刑法”是我们公认的一个适用刑法的准则。并且我国刑法学者普遍认为，刑法具有补充性。补充性意味着，“只有当一般部门法不能充分保护某种合法权益时，才由刑法保护；只有当一般部门法还不足以抑止某种危害行为时，才能适用刑法”[14]。因此，一般在不动用刑罚不足以惩治有些行为时，才可能出现刑事处罚。那么，在我国立法体系中，这一犯罪的前置法规定如何呢?

由于我国刑法渊源包括一个刑法典、十个修正案、一个单行刑法，因此，寻找刑法内的立法条文将比英美法系判例法简单许多。但是散落在各个部门法、行政法规、行业条例中的规制条文也让我们对于个人信息的保护无所适从。从最高位阶的宪法到不同位阶的行业规范，都会或多或少地体现出其他法律对于个人信息的保护。例如《宪法》33条规定：国家尊重和保障人权，这就表明我们对于个人信息的保护是拥有宪法依据的，因为个人信息在上文已经予以陈述，属于人格权、财产权和隐私权的综合体，是一种具体的人格权，理应归属国家保护的范围。再如《民法总则》第111条规定：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

又如《护照法》第20条规定，护照签发机关工作人员在办理护照过程中有下列行为的，依法给予行政处分，构成犯罪的，依法追究刑事责任：泄露因制作、签发护照而知悉的公民个人信息，侵害公民合法权益的。《身份证法》第19条规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关处十日以上十五日以下拘留，并处五千元罚款，有违法所得的，没收违法所得。

在《统计法》中对其规定更是错综复杂，此法规将行为主体划分为地方人民政府，政府统计机构或者有关部门、单位的负责人，作为统计调查对象的国家机关，企事业单位或者其他组织等，对于泄露或者违规操作，侵犯个人信息的，处罚方式上有的予以处分，有的予以通报批评，有的予以行政罚款，有的还追究刑事责任，但其处罚范围不明、标准不统一。

从上述法律规定可得出，不同位阶的法律、行政法规以及各行各业的行业准则零零散散地对个人信息予以不同程度的保护，散乱的法律文件存在以下问题：个人信息的范围未能明确，相似情况可以运用不同的处罚依据在一定程度上损害了法的统一性和权威性，对其保护力度和惩罚措施并不能有效地防止侵犯个人信息的现象发生，无统一前置法的规制使得法律对此行为的认定和规制具有很强的随意性……所以制定一部统一规制个人信息的法律已迫在眉睫。

2. 规制个人信息犯罪的刑法历程

刑法对于侵犯个人信息犯罪的行为，在1997年刑法典中未予以规制，但是列出个别条文对此进行间接规制，此后，相关立法机关出台一系列的决定、司法解释、法律草案、3个刑法修正案、网络安全法等对于此项犯罪进行立法完善。

1997年的现行刑法典没有明确的条文对个人信息予以规制，只存在有个别条文对其进行间接规制，例如有侵犯商业秘密罪、侮辱罪、诽谤罪；对于侵犯个人信息的犯罪如果其下游犯罪是对被害人进行侮辱、诽谤的，则此前准备行为规制到侮辱诽谤罪的预备行为中……刑法规定的缺失，在相当长的一段时间内被抨击为“没有完善的人权保护”。

2000年12月28日全国人大常委会通过了《关于维护互联网安全的决定》，该决定指出为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：非法截获、篡改、删除他人电子邮件或者其他数据资料侵犯公民通信自由和通信秘密。这个决定使得对于非法入侵他人电子邮件并对他人邮箱信息进行非法操作的，可以认定为侵犯通信自由罪。

2003年，备受瞩目的《公民个人信息保护法》开始“动工”，当时国务院委托有关专家学者进行专题调研和立法起草工作；2005年《公民个人信息保护法(专家建议稿)》完成；2008年《个人信息保护法(专家建议稿)》被提交至国务院，但至今未出台[15]。专门法律的立法缺失，使得刑法中关于“违反国家有关规定”变得无从下手。但是从其发展历程来看，也更加肯定了下文笔者对于提出“侵犯公民个人信息犯罪”罪名质疑的合理性。

2005年2月28日通过，自公布之日起施行的刑法修正案五中虽然没有对个人信息直接予以规制，但是在修正案第一条中明确指出：“窃取、收买或者非法提供他人信用卡信息资料的，依照前款规定处罚。银行或者其他金融机构的工作人员利用职务上的便利，犯第二款罪的，从重处罚。”可以看出，立法机关已经开始对个别领域内的个人信息保护予以关注，并阐明对工作人员利用职务便利从事侵犯个人信息的犯罪活动予以更严厉的打击，为之后修正案侵犯个人信息犯罪的犯罪主体埋下伏笔。

2009年2月28日通过，自公布之日起施行的刑法修正案七中，对于个人信息予以直接规制。修正案第七条增加“出售、非法提供公民个人信息罪”“非法获取公民信息罪”两个罪名，第九条规定“非法获取计算机信息系统数据罪”，这是个人信息刑法保护的一大进步，意味着对于侵犯个人信息的犯罪有了专属的罪名进行处罚，而不用将其作为其他犯罪的预备行为或者作为侵犯通信自由罪予以处罚。但是修正案七存在的不足之处显而易见：

(1) 犯罪主体过窄。对于第一款犯罪仅仅处罚国家机关或者金融、电信、交通、教育、医疗等单位的工作人员而对于商业单位在合法收集个人信息过后的出售、非法提供给他人行为置之不理，如对现实生活中很多商家将其收集到的个人信息出售、非法提供给他人或者采取与其他商家信息互换等形式的行为由于主体不合格而不予处罚。

(2) 关于第一款的“违反国家规定”，法律条文并没有直接地规定这个犯罪构成的特征，而是指明确定该罪构成需要参照的相关法律、法规。但我国并未出台《个人信息保护法》，这使得刑法没有统一的前置法予以参照，司法实践的执行处于尴尬地位。

(3) 第二款的“窃取或者以其他方法非法获取上述信息”中的主体和第一款的主体是否一致存在争议，即第二款的主体是一般主体还是必须仍为第一款所指主体的问题，法律条文表述存在歧义。

2015年8月29日通过，自2015年11月1日起开始施行的刑法修正案九中，对于修正案七所反映的部分问题予以了解决。修正案九将出售、非法提供公民个人信息罪，非法获取公民信息罪两个罪名合并为侵犯公民个人信息罪一个罪名；将犯罪主体扩大化，由原来的特殊主体改为一般主体，删去“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，解决了上述存在的主体问题；刑罚最高刑由三年有期徒刑改为了三年以上七年以下有期徒刑，加重了对此类犯罪的处罚。另外，此修正案还增设286条“拒不履行信息网络安全管理义务罪”，通过增加对网络管理者的规制，间接地保护网络信息安全。但显而易见的是，修正案九仍然未解决“个人信息范围”“国家规定指的是哪些规定”“情节严重认定”“非法持有、利用”等问题。

随后的两部法律虽然不属于刑法，但却是最新立法动态，极大地影响着刑法的处罚范围，故在此予以阐明。2016年11月7日发布，自2017年6月1日起施行的《中华人民共和国网络安全法》第四章专门强调了网络信息安全问题，并且第22条明确规定：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定，旗帜鲜明地体现了在大数据下国家对于网络信息的保护。

在2017年4月26日通过，自2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确了刑法第253条之一的“公民个人信息”的定义，自此，我国对于个人信息的定义终于有了一个明确的概念。该解释明确，违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第253条之一规定的“违反国家有关规定”。但由上述论述可知，“国家有关规定”这一表述并不具有有效的操作性，在实践中仍然存在巨大的法律空缺。

纵观我国对于个人信息的法律保护，可谓是繁杂错乱。对于刑法而言，其前置法的不统一，使其定罪和量刑存在“违反罪刑法定原则”的嫌疑；法律条文表述的不完善使得“外国人、无国籍人的个人信息”保护不周、“非法持有、利用个人信息行为”不能处罚。所以针对上述发展历程，笔者认为刑法对侵犯个人信息犯罪的保护仍有很大的欠缺，在对其立法存在的问题进行梳理的前提下，进行“对症下药”，方能“药到病除”。

三、现行个人信息保护法存在的问题

1. 统一的前置法缺失

我国上述各个单行法律的现状体现出在个人信息的立法保护中，个人权益受到侵害但却得不到合理的救济，行业不正常发展，国家对于个人信息类犯罪保障不足这一系列问题。重点聚焦于刑法中，“个人信息”“违反国家有关规定”的表述模糊不清，在现实生活中“重刑主义”很容易导致有问题找刑法，而忽视民法、行政法等其他部门法的合理规制。

统一前置法的缺失带来的首要问题就是刑法条文依据众多，无统一的标准。刑法253条指出此罪应当“根据国家有关规定”，司法解释中也明确这一用语的范围，但从刑法第96条“国家规定”的含义可知，对于个人信息类犯罪的处罚依据，将比刑法总则的依据更宽，但对于到底是何法律作为定罪标准，更加模糊不清。有研究认为，截止2014年底，中国大陆就有24个法律或者规范性文件分别从某方面对个人信息予以保护，并且均具有行政法律法规的性质。也有资料显示，有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，涉及规范互联网信息规定、医疗信息规定、个人信用管理办法等[16]。

在这些参差不齐的前置法中，各个法律从不同的角度对于个人信息予以不同程度的保护，对于犯罪认定，也给司法实务带来了一系列棘手的问题。刑法中“国家有关规定”对于个人信息的概念不同，极大地影响了法秩序统一性的要求，影响了刑法对此类犯罪行为的合理规制。例如最新司法解释和网络安全法的入罪数额明显不同，存在刑罚轻于行政处罚现象：对于侵犯个人信息的犯罪，情节严重的标准是犯罪对象的数量和罚款金额，若达到犯罪立案标准，无情节严重行为，可以单处罚金刑。因此，如果出现上述现象，根据司法解释，罚金数额一般在违法所得的一倍以上五倍以下，但是网络安全法规定处违法所得一倍以上十倍以下罚款，两者极不协调，在司法实践中应当取哪个标准，我们不得而知。

正如美国法理学家埃德加·博登海默的一句名言完美地诠释了刑事立法无统一前置法的困境：“愈来愈多的模糊的、极为弹性的、过于广泛的和不准确的规定引入法律制度中，这意味着放弃法律。这种状况必然会使人们产生危险感与不安全感”[17]。刑法作为“事后法”，理应在其他法律不能规制行为人的行为时进行最严厉的刑罚处罚，但由于现行法律体系中统一前置法的缺失，使刑法在处理相关问题时依据混乱、处罚不一，这将极大地损害刑法的权威性。

2. 立法规制不准确

在瑞典，其《政府约法》第1章第2条包含：“公共机构应促使民主理念成为各行各业的准则，并且保护个体的私人与家庭生活。”第2章第6条：“每个人都应当受到保护，免于身体搜查、住房搜查以及其他隐私侵害，免于邮件及其他秘密通信的审查，免于被窃听以及电话通话或其他秘密通讯被录音”[18]。再如，俄罗斯在其斯特拉斯堡公约、《俄罗斯宪法1993》第23和24条都规定：“个人数据”是与特定人或人体(数据主体)直接或间接相关的任何信息[19]。可以看出，上述法规都未对个人信息的主体进行限制，反观之，在国际交流如此频繁的今天，我国刑法253条规定的个人信息犯罪中却有“公民”这一限制，将本国公民与外国人、无国籍人予以不同规制，有违反“法律面前人人平等”的嫌疑。

《宪法》第33条规定，公民(Citizen)是指具有中华人民共和国国籍的人。国籍法中规定，我国公民获得国籍的原则是血统主义为主出生地为辅。“公民”一词存在于此，未能体现平等保护原则。网络信息时代下，大数据具有4V的特征，即海量的数据规模(volume)、快速的数据流转和动态的数据体系(velocity)、多样的数据类型(variety)和巨大的数据价值(value)[20]。因此，侵犯个人信息犯罪已经不是一种简单的个人犯罪，很有可能成为组团、跨国甚至威胁国家安全的犯罪，造成不可估量的侵害后果。而现行法律只将本国公民规制在刑法保护范围内，对于外国人、无国籍人被侵害时不能合理规制，这不符合国际社会的“平等互利”原则，还可能使得我国公民在国外被侵犯个人信息时无法与国际对接，与现代国际化发展趋势相悖。并且，对于国防等公共管理部门和国际航班、住宿、旅游行业等商业管理者都有可能接触到外国人、无国籍人的个人信息，如果存在对上述主体的侵犯，应当如何处置，现行刑法却未予明确，实为不妥。

3. 处罚范围的狭隘性

现行刑法对于侵犯个人信息犯罪的行为模式有4种，即出售、提供、窃取或者其他方法。但是经历如此多次的修正案和司法解释后依旧对于泄露和非法使用行为未予规制，使得日常生活中仍有严重的侵害行为“逍遥法外”。

在现今，互联网的信息采集能力不容小觑。小到日常生活中对于微信公众号授权允许其收集个人信息，大到国家机关、社会公共管理者的全国甚至全球信息共享系统，都存在着被侵害的危险，遗憾的是刑法却对其规制不力。由于收集信息时信息拥有者基于对国家机关、服务行业、个人等单位的信赖予以告知，但之后上述主体未对信息进行谨慎的管理，例如过失泄露个人信息或者单纯的懒政，未曾有牟利行为，却不属于刑法253条处罚范围内。显而易见，由于上述主体基于其管理的特殊性拥有大量的个人信息数据，此类行为很可能会严重威胁到公民个人的隐私、公民对管理者的信赖度及社会安定性，刑法理应对其进行规制。

日常生活中还有另一类行为极度地影响着人们的日常生活，即有权掌握个人信息者对个人信息非法利用的行为。有很多服务行业例如移动利用信号塔对于某一范围内的人群进行群发短信，商业服务机构、淘宝商家在重大节假日给信息所有者发送的促销短信、不定期的打电话咨询等变相侵犯他人个人信息的行为立法都没有进行合理规制。早在2009年3月的“3.15”晚会就已曝光山东省移动通信滥发垃圾短信行为。时至今日，将近十年之久，刑法仍未将此类造成严重后果的行为纳入犯罪。此类行为可能构成大规模侵权但是对于单个的受害人来说，极有可能是较为轻微的，有学者将其称为“大规模的微型侵害”[21]，在此种情况下，很多时候由于缺乏上诉者，公权力机关也习以为常，便无人对其提起诉讼，使得垃圾短信现象日益泛滥而无从规制。笔者认为不能因为被侵害者众多、不便查处、诉讼人数较少、每个人受侵害的程度较小就不予以处罚。按司法解释规定非法收集这种并不一定能实质侵害到信息拥有者的抽象危险行为都被规制，为何不规制非法使用这一具体危害行为?并且这种现象在生活中早已泛滥成灾，据《2017年“双11”中国网购安全专题报告》统计，11月10日共拦截垃圾短信1.44亿条，几乎是三季度日均水平的6.4倍；11日为1.05亿条。有时退订短信成功，反倒让手机号码进入一些短信群发公司的“黑名单”，可能收不到三大运营商发送的正常短信[22]。因此，对于这一立法遗漏应当予以反思。

4. 救济程序不完善

对事前的无权收集，没有进行合理的规制，使得侵犯个人信息的行为在萌芽状态未得到及时遏制。例如随处可见的微信公众号在进行测试时需要提供身份证号和手机号码，这样的收集是否属于刑法253条第3款规定的“其他方式”?条文中的“其他方式”是否必须如同“窃取”一样以非法手段获取?刑法条文和司法解释未能明确。

对个人信息被侵犯后，有可能属于上述“大规模的微型侵害”案件，多数被侵权者没有维权意识，或者说认为走公诉程序获得的赔偿远远小于其在诉讼中浪费的时间和财力，故较少有人自诉。但正是这样的一个事后态度让侵权者有利可图，越发猖狂。在这样的背景下公诉机关是否应当对于这类行为提起公诉?还是像澳门立法一样将此类犯罪按照亲告罪予以处罚?如果对这些问题不予以明确，很可能因为救济程序的不完善给被侵权者造成第二次伤害，或者救济不力使得被侵权人对于公权力的权威产生怀疑，更有甚者进行私力报复而造成社会秩序的混乱。

四、个人信息刑法保护之完善

1. 制定统一的前置法

首先，我们应当关注刑法与其他法律的关系，其次要注意刑法与其他部门法之间的协调。由刑法调整的社会关系的性质所决定，刑法与其他部门法具有极为密切的关系。比如，《刑法》第345条第2款滥伐林木罪，就将违反森林法的规定作为犯罪构成要件加以规定，在刑法适用时也必然要参照森林法的规定。因此，要充分发挥刑法的功能，就必须注意刑法与相关部门法的协调，妥善处理相关法律与刑法在规定、理解上不一致的方面，寻求合理的解决机制。但很多情况下现行刑法与前置行政法在保护重点、行为主体等方面都存在明显的不协调。这种不协调在一定程度上暴露了刑事立法上存在的问题，这些问题无疑影响着刑法功能的发挥[23]。

如上所述，各行各业参差不齐的法律法规造成的混乱场面，足以警示我们应当将统一的前置法立法提上日程。正如德国著名刑法学家耶林曾言：“刑罚如两刃之剑，用之不得其当，则国家与个人受其害”[24]。所以我们应当警惕“有问题找刑法”这一现象的出现，并为此制定完善的前置法，从而保障刑法功能的实现。故笔者认为，对于统一前置法的立法建议，可以遵循澳门的相关立法，从民事、行政、刑法角度来对个人信息进行全面的保护。

众所周知，澳门基于自身历史原因，建立起了一套与内地不同的，对个人信息保护较为完善的法律制度，私法和公法衔接紧致合理，值得我们借鉴。例如澳门有2005年的《澳门个人资料保护法》、2012年的《澳门修改著作权及有关权利之制度》等附属刑法，明确了个人资料的外延，并且规定了民事、行政、刑事三方面的责任[25]。这些前置法的统一规制和完善，具有以下好处：

(1) 有统一的规制范围，各个法律、行政法规等相互不冲突，个人信息内涵界定准确。

(2) 能够对一般违法、行政处罚、刑事处罚进行明确的区分。

(3) 可以根据社会的需求及时修改相关的附属刑法，既保障了刑法的权威性又可以适应社会的不断变化，合理地解决了法律滞后性引起的问题。

但是内地由于存在“大一统”的刑事立法模式，突增一个附属刑法可能性不大，也不太妥当，所以对于上述澳门的立法，我们可以取其可取之处，再结合内地的立法模式予以改造。在制定统一前置法时，主要注意以下三方面：

(1) 明确规定“个人信息”的范围，并且对于之前存在的各个领域内的不同规定予以全面清查，除存在特殊领域内需要同这一前置法规定不一以外(但其对于个人信息的保护也不得低于这一基本法)，其他情况下理应遵循《个人信息保护法》的规定。

(2) 处罚性质上明确民法、行政法、刑法的处罚范围，建立一套“道德制约—民法赔偿—行政处罚—刑法惩罚”体制[26]，坚决摒弃现行的“刑法打头阵”现象。

(3) 可以仿照澳门立法对处罚方式予以变通，例如《澳门个人资料保护法》中规定了三类附加刑：①临时或确定性禁止处理、封存、删除全部或部分资料；②公开有罪判决；③由公开当局对负责处理个人资料的实体提出警告或者公开谴责[27]。这样既节省了司法资源还能够利用工作舆论对其监督的模式，一举两得。

当然，不可否认的是，前置法中规定刑罚，确实可能存有“冲击原有的大一统的立法模式、损害刑法权威”的疑问。但是笔者认为，对于是否存在附属刑法的问题，答案是否定的。既然刑法中有“根据国家相关规定”一词的描述，配套的《个人信息保护法》理应对于个人信息予以规制，以解决不同位阶法律、行政法规规定的混乱性。而且可以模仿《关于维护互联网安全的决定》中的表述形式，明确为了保护公民某一权利(比如个人隐私权、居住安宁权、与财产权相关的信息权利等)“对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任……”。这样的规制只是让此类犯罪更具有操作性，更符合罪刑法定原则，但最终是否入罪仍需要看刑法是否予以规制，并不属于附属刑法，也不会影响刑法的权威性。

2. 明确刑法条文的处罚范围

针对刑法关于个人信息的保护存在的上述问题，笔者认为应当对其进行合理的规制。自此，笔者建议删除“公民”一词，更全面地保护被侵害者的合法权益；模仿刑法219条侵犯商业秘密罪的立法模式在刑法条文中将个人信息的含义予以明确，并且与前置法保持统一；增加“非法利用个人信息罪”和“过失泄露个人信息罪”两款罪名，针对危害行为进行更全面的处置。

(1) 删除“公民”一词。如果将“公民”进行实质解释，扩大到“外国人、无国籍人”，将与其他法律中的“公民”含义不同，破坏了法律的统一性和秩序性，也有与上位法宪法产生冲突的嫌疑。所以，鉴于上述第二个问题的论述，建议在刑法条文中删除“公民”一词，更加完善地保护外国人和无国籍人的合法权益。例如在澳门立法中，其刑法典189条规定的违反保密罪、190条规定的不当利用秘密罪，都未在“个人信息”前加“公民”这一类的修饰词，这样使刑法规制范围更为合理[28]。并且上述论证从《个人信息保护法》草案的名称变革也能得到肯定。在上文已阐明2003年名称为《公民个人信息保护法》，2005年为《公民个人信息保护法(专家建议稿)》，而2008年已变成《个人信息保护法(专家建议稿)》，立法的名称沿革也从侧面论证了笔者这一观点。

(2) 改善现行立法表述。众所周知，“罪刑法定原则”的含义是：在对于某一行为进行刑法处罚前，刑法应当有对此犯罪行为的概念、种类、构成要件以及刑罚处罚的种类、幅度的规定，否则，不得定罪处罚。因此，对于犯罪定义的明确，是刑法定罪时必不可少的因素之一。对此，有不少国家在相关的个人信息保护法案中就将其定义予以明确，例如1995年欧盟指令95/46/EC，其第2(a)条规定：“个人资料”是指与已识别或可辨认的自然人有关的任何资料(“资料”当事人)；一个可被识别的人是指可以直接或间接被识别的人，特别是指他的身体、生理、心理、经济、文化或社会身份的或一个或多个因素可被识别*英文原文：‘personal data’ shall mean any information relating to an identified or identifiable natural person (‘data subject’)；an identifiable person is one who can be identified，directly or indirectly，in particular by reference to an identification number or to one or more factors specific to his physical，physiological，mental，economic，cultural or social identity.。再如，在印度的相关立法中，个人信息是一个宽泛的术语，它所包括细节不仅关乎个体的性别，社交关系和职业，还关乎个人的财务信息，银行账户信息等[29]。

但现行刑法典253条之一的侵犯公民个人信息犯罪却未能对个人信息的含义予以明确，笔者认为，可以模仿刑法典219条关于商业秘密的规制模式，明确个人信息的范围。刑法第219条第3款指出：本条所称商业秘密，是指不为公众所知悉，能为权利人带来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息，并且该款与行政规章《关于禁止侵犯商业秘密行为的若干规定》中规定一致，使得刑法可以很好地与前置法相衔接。所以，不妨模仿这一规定，在刑法253条增加关于个人信息的明确解释，与《个人信息保护法》这一前置法保持一致。例如，可以借鉴最新司法解释中对于个人信息的定义，在刑法253条增加第5款：本条所称个人信息，是指能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

(3) 增加“非法利用个人信息罪”和“过失泄露个人信息罪”。对于有上述司法实践中存在的“非法利用个人信息行为”和“过失泄露个人信息行为”，建议在253条增加两款规定，即在刑法253条增加下述条文：

违反国家有关规定，非法利用个人信息，情节严重的，或者过失泄露个人信息，情节严重的，以第一款定罪处罚。

当然，与上述建议配套的，需要在《个人信息保护法》中予以明确合法持有者的滥用个人信息行为在什么情况下属于刑法规制，在什么情况下属于行政法或者民法规制。将一般违法行为明确化，以保障刑法作为“事后法”，来保证严重侵害个人信息的行为可以被合理的规制。

3. 救济程序的合理化

如上所述，在个人信息保护法中将体现三层模式：民法赔偿，行政法规制，刑法定罪、处罚。并且在处罚方式上，可以仿照澳门采用罚金刑代替短期自由刑，可以附加予以有罪判决、警告或者公开谴责等方式。

并且在救济程序上应当对“收集、适用个人信息”的事前、事中、事后行为的行政监管予以明确。对于事前的采集环节加以规制，尽可能地收集最少的个人信息来完成相关任务，行政机关应当发挥自管控职能，对公权力、商业单位、个人采集信息时的范围进行监督，若有违反则承担相应的责任。事中可以模仿新西兰的《隐私法案1993》，明确收集、储存、处理个人信息时遵循相关原则，例如：信息收集机构应告知收集个人信息的目的、明确机构收集个人信息时应承担的义务、个人信息应使用唯一标识符等，对于收集个人信息这一行为予以严格掌控[30]；对于收集信息后的适用用途，法律应当对此进行明确限制，可以借鉴美国《公平信用报告法》的规定，例如消费者信用信息只能够用于与信用交易有关的、判断消费者是否有资格获得信贷的、(个人及家庭)保险承做、雇佣或其他法律许可的目的[31]。事后要建立合理有效的责任追究机制和救济渠道，民事赔偿、行政罚款甚至吊销营业执照、追究刑事责任等。同时在是否属于亲告罪的问题上，仿照我国刑法246条予以明确：前款罪，告诉的才处理，但是严重危害社会秩序和国家利益的除外。将其规制为亲告罪，同时将侵害社会秩序和国家利益的情况排除在外。

4. 打击侵犯个人信息犯罪的司法合作

如同上述论述，在个人信息犯罪呈现出非接触性、犯罪高发性、涉及广泛性、结果不确定性、多数情况下牟利性以及大数据具有海量的数据规模、快速的数据流转和动态的数据体系、多样的数据类型和巨大的数据价值[32]的特征下，已经不是一个国家的问题。这场信息风暴早已席卷了整个大数据时代，值得我们共同联手，一起对抗这一犯罪行为。这一行为可能已经突破了传统的犯罪地域概念，有时行为地就已经横跨多个国家，可能存在网络服务提供地遍布全球，或者犯罪结果危及很多国家或地区的现象。因此，在打击此类国际性高科技犯罪时往往在追诉、取证等方面遇到国家政治和主权层面的保护，从而使这一犯罪很多情况下很难得到有效的遏制。所以，风险社会下刑法的转型过程需要不断审视和思考，在适应国情的基础上进行国际间合作，提倡多元化追究刑事责任是极有必要的。例如可以考虑建立相关的国际技术共享平台、追诉模式、取证质证的国际协助、司法文书的送达、签订双边及多边协定等有效途径。

五、结 语

众所周知，刑法的正当性是指刑法干预社会的适度性。由于刑法为法律体系中最为严厉的规范，所以应当恪守其“适当性”与“必要性”之特性，非到万不得以不能动用。所谓“适当性”，这里的意思是指刑法的规定必须达到所要追求目标的有效方法，而“必要性”是指刑法的规定必须是达到所要追求目的各种有效方法当中最温和的一种方法[33]。毕竟，刑法是以打击犯罪为核心内容的，刑法功能的发挥有赖于其在犯罪治理体系中的定位。犯罪学的研究表明，刑事打击只是治标的手段，综合运用多种手段对各种诱发和滋生犯罪的因素进行综合治理，才能收到标本兼治的效果。也就是说，刑事打击只有和综合治理相结合，形成防控犯罪的合力，才能彰显和巩固刑法的作用，才能更好地发挥刑法的功能[34]。因此，通过上述论述，希望结合国外以及澳门的立法实践，给《个人信息保护法》中“个人信息”划定准确的范围，必要时由司法解释加以详细规定以应对现实的变化，力求社会治理遵循“道德制约—民法赔偿—行政处罚—刑法惩罚”这一循序渐进的规律，而不是“无规则，找刑法”“一切违法犯罪都由刑法规制”的报应主义思想。以期达到民事、行政、刑事处罚更加合理，各部门法律、行政法规、行业准则相互衔接，更全面、合理地保护个人信息的目的。