大数据时代下公民个人信息滥用的刑法规制

河北经贸大学法学院 周月月

引言

数据被称为新型石油，足见其宝贵性。谷歌在利用大数据方面可谓走在了前列，谷歌翻译对于数据不问质量的包罗，谷歌街景将数据扩展性利用到了极致。然而，公民个人信息所面临的风险也是空前的，如通过淘宝网站购买商品后，买家受到店家短信的骚扰，各网站开始推送相关商品信息。“大数据时代没有隐私”一时竟致众人惶惶，究其本质，在于大数据时代带来的个人信息滥用问题在刑法中未有一席之地。

1 滥用的表现

个人信息的商业价值不言而喻，市场主体的逐利性驱使其无限度挖掘个人信息背后的价值。数据的使用才是利益产生的方式，数据价值的关键在于无限度的再利用。再利用的一种可能性就是将数据授权给第三方，已经合法取得个人信息的数据持有者与其他信息数据持有者共享，或者将其授权给第三方使用。对于共享与授权，信息主体多处于不知情的状态下，或者知情但并非情愿。该情形如服务提供者利用垄断地位在格式条款中加入授权第三方使用的条款，信息主体基于不可选的境地不得已而让渡部分信息权利，同意该授权。

强制推送是利用个人信息价值的另一手段。个人的网络行为在网络服务提供者处是完全透明的。某一网页的浏览时间，个人定位，甚至于移动ID尽在其掌握；对个人的兴趣爱好，行为习惯等服务提供者也了如指掌。服务提供者通常利用浏览器Cookies的记录，进行针对性的广告投放；对app内浏览记录、购买记录的分析，实施精准营销。

利用信息价值的前提是收集信息。近年来，在注册各app时个人被要求填写多种信息，被要求获取手机通讯录等权限。值得深究的是，网络服务提供者要求填写的信息，所要求开放的权限并非全部必要。其要求信息主体在使用服务前提供非必要的信息、做不必需的授权的宽授权行为实质上是对公民个人信息的侵犯。

2 目前规制的困境及必要性

2.1 规制的困境

在2009年的《刑法修正案（七）》中，个人信息第一次进入刑法保护范围。《刑法修正案（九）》以及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》修改补充了个人信息保护条款。但是，上述法律仅仅规制了非法出售、提供以及获取公民个人信息的行为，对处于大数据环境下的信息滥用，存在空缺。

个人信息与信息主体有着密切不可分离的关系，故信息主体对个人信息应有自主控制的权利。自主控制权不仅在于转移信息权，更在于使用权。出售、提供以及获取属于个人信息的转移，滥用属于信息的使用。在大数据时代之前，非法转移个人信息现象多发黑客侵入网络系统窃取数据，信息持有者出售个人信息牟利，此类信息转移犯罪随着刑法对个人信息犯罪的补充完善，已经得到充分的遏制。大数据时代到来后，更多的是个人信息合法持有者使用持有的个人信息，“合法”地侵犯信息主体的信息权利。

个人信息的使用价值愈加突显，个人信息不再局限于隐私范围，公开的个人信息同样应得到保护。此外，信息使用作为信息转移的目标，信息使用权逐渐成为信息自主权的核心。反观目前的刑法未触及核心问题，对于信息滥用束手无策。

2.2 规制的必要性

刑事立法上需要多方考虑，才能将某一行为定为犯罪。刑法具有谦抑性，刑事制裁具严厉性，非必要不应采取刑法来抑制违法行为。

一方面，个人信息的滥用侵害了信息主体的合法权利，使得个人信息权利处于弱势地位，威胁了个人信息自主的秩序。大规模的滥用行为所产生的社会危害性不言而喻，大部分人难以容忍。

另一方面，只有当其他法律不足以抑止违法行为时，才能适用刑法。虽然民法与行政法对于信息滥用有所规定，但是规定过于原则，相应的责任机制缺乏，致使并未对滥用行为产生防范作用，甚至在利益的驱使下，滥用行为日益猖獗。对这种行为施以刑事制裁符合刑法之目的，合理确定入罪范围，既行之有效，也不会出现杀鸡牛刀之事。

3 滥用的针对性规制

基于刑法的谦抑性，即使将滥用行为入罪，也应谨慎定罪，防止过度犯罪化发生。那么，一方面，需要对滥用行为进行客观认定，这是前提；另一方面是需要具体滥用行为具体规制。

3.1 滥用的认定

“滥用”一词过于抽象，如不进行界定将导致法律适用困难。那么，何为滥用？“滥用”作为一般汉语名词解释为“胡乱、过多地使用”。《网络安全法》第41条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。参考该法可将“滥用”限定为两种情况：一是未经合法授权而非法使用，包括收集与所提供的服务无关的个人信息后的使用，和未明示使用范围（格式条款中的超越提供服务需要的使用范围不属于明示）而直接使用；二是虽然经过授权但超越了使用规则、目的、方式和范围的使用。值得注意的是，滥用的前提是合法取得，因此非法取得后的使用不属于滥用。

3.2 两种常见滥用行为的针对性规制

网络服务提供者使用信息主体的信息，不得不承认，某些方面确实方便快捷。滥用入刑一定程度上阻碍了大数据时代的发展，但是发展不应建立在侵害他人合法权益之上，在阻碍发展与信息自主之间寻找一平衡点才是解决这一矛盾的方法，既不阻碍发展又充分保护了个人的信息自主权。

（1）Facebook一案引起了轩然大波，其共享个人信息的行为显然挑起了公众的不满，引起了公众对信息泄露的担忧。服务提供者（即信息持有者）之间的共享与授权，若共享与授权之前已经明示，或者征得了信息主体的同意则属于合法使用。但是，当未明示或未经同意时，服务提供者暗地将信息向其他人提供时，涉及面广、受侵害者众多，破坏了信息自主的秩序，情节严重，应当入罪。其中，利用垄断地位的格式条款及默认、难以引起注意的明示不属于此处要求的明示。不过，滥用信息者虽有滥用行为但行为涉及面窄，造成的实际损害轻微时不宜认定为犯罪。

此外，第三方利用管理或技术漏洞非法获取其他信息持有者的信息时，由于信息持有者无直接或间接故意，不应认定为犯罪。

（2）强制推送虽然易导致公众的抗拒心理，但部分情况下是一种便利公众之举。针对此情况，应当加强立法上的衔接，民法行政法上可借鉴国外，在收集个人信息时即询问个人是否同意在某一方面使用其某一信息；规范服务提供者收集信息的行为，在现有原则性规定基础上设定相应的责任条款。刑法则处理恶意收集、恶意推送的情节严重的滥用行为，避免出现模糊地带，避免出现漏洞空缺。

4 结语

大数据技术的发展，在带来便利的同时，也带来了个人信息滥用的隐患。信息滥用入罪不可避免，若想真正抑制违法行为，并平衡大数据技术发展与个人信息保护之间的关系，应当谨慎立法，加强立法衔接。