论我国公民个人信息的刑法保护

刘国华，罗 欣，张力之

(哈尔滨商业大学 法学院, 哈尔滨 150028)

近年来，我国逐步加强对公民个人信息的保护力度，有关公民个人信息保护的法律制度及相应的司法解释陆续出台。然而，我国现行《中华人民共和国刑法》(以下简称《刑法》)及司法解释对侵犯公民个人信息的法律规定还不够完善，有关保护公民个人信息的法律规定也较为分散，使得公民依法维护自身合法权益、司法机关合法公正地裁决案件难以找到援引依据。同时，在刑事责任追究层面，我国对相关责任人进行刑事责任追究主要以公诉为主，由于案件从发生到提起公诉需要经过一定的程序与时间，从而给不少违法犯罪分子转移犯罪证据、销毁犯罪记录预留了时间，这不仅加大了司法机关对此类犯罪的打击难度，而且在一定程度上使公民维权的效率降低，也使得侵犯公民个人信息的违法犯罪越发猖獗。我国《刑法》虽然对侵犯公民个人信息罪作出规定，而且司法裁判在一定程度上震慑了此类犯罪，但现实社会中大量非法获取、出售、提供公民个人信息的案件频繁发生，对公民的人身及财产造成严重危害。因此，应当不断完善我国公民个人信息刑法保护制度，加大刑法对侵犯公民个人信息犯罪的打击力度。

一、公民个人信息刑法保护的必要性

在大数据背景下，信息代表着一种社会资源，尤其是在对效率要求极大化的现实中，一些利欲熏心的人为获取更大的利益，对公民个人信息进行非法泄漏、不当使用及恶意篡改，严重危害了公民人身和财产的安全。随着信息技术的高速发展和互联网的广泛普及，利用互联网窃取和非法买卖公民个人信息的违法犯罪日益增多。“一些犯罪分子为追逐不法利益，利用互联网大肆倒卖公民个人信息，已逐渐形成庞大‘地下产业’和黑色利益链。”(1)参见2013年《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》。根据中国裁判文书网公布的侵犯公民个人信息类刑事案件显示，2011年审判案件1件，2015年审判案件24件，2017年审判案件1595件，2019年审判案件3379件，案件呈现“井喷式”增长。(2)参见中国裁判文书网公布的2011—2019年侵犯公民个人信息案件判决书。通过对上述案件数据统计分析，可见目前侵犯公民个人信息犯罪主要有以下特点：其一，本罪涉案信息数量大、种类多，涉及的地域和范围广泛；其二，犯罪分子所掌握的公民个人信息具有一定精确性，并达到资源共享，严重影响公民的正常生活；其三，犯罪分子实施犯罪成本低廉且已形成标准化犯罪利益链条，社会危害性极大。在现实社会中，绝大多数人都接到过买卖房屋、推销金融理财和保险产品等骚扰、诈骗电话，这充分反映了公民个人信息被泄露和侵犯的严重态势。

针对侵犯公民个人信息违法犯罪高发多发的严峻形势，应构建更加完备的法律制度，以适应打击侵犯公民个人信息犯罪之需要。有学者认为，我国虽然已形成较为完备的制裁体系，即道德制裁、纪律制裁、民事制裁、行政制裁、刑事制裁，但无论是其中的哪种制裁方式，都无法切实有效地惩处犯罪分子。道德制裁作为一种软性制裁，犯罪分子在权衡犯罪成本和侵犯公民个人信息所带来的经济利益时，仅依赖自我约束以及社会的评价，往往很少会考虑道德因素，此时的道德制裁的作用便十分微小[1]。纪律制裁的作用仅针对特定组织、时间范围内才会发挥作用，在此之外不会发挥其作用，也具有一定的局限性。民事制裁主要通过经济手段，即处以罚金，但在司法实践中，侵犯公民个人信息的主体往往缺乏经济基础，最后也会因其经济上的无力而无法承担民事责任，最终导致民事制裁的效力降低。行政制裁主要调整行政关系领域的案件，其调整范围也在一定程度上受到限制，同时法律所规定的行政制裁措施也具有一定的不确定性。因此，通过权衡公民个人信息的价值与道德、民事等制裁手段的作用效果，刑法对于侵犯公民个人信息罪的制裁将起到重要作用[2]。

近年来，我国不断加大对侵犯公民个人信息违法犯罪的打击力度，有效维护了人民群众的人身及财产安全。如开展全国公安机关“净网2019”专项行动，截至2019年10月31日，专项行动共侦破侵犯公民个人信息类案件2868起，抓获犯罪嫌疑人7647名。(3)何春中：《“净网2019”共侦破涉网案件4万余起 抓获嫌疑人6万余名》，人民网，http://yuqing.people.com.cn/n1/2020/0410/c209043-31668486.html。通过《刑法》对公民个人信息加以保护，有利于充分发挥刑法惩罚犯罪的功能，对保护公民个人信息安全和合法权益、维护社会和谐稳定具有十分重要的现实意义。

二、公民个人信息刑法保护的立法现状

1954年，第一届全国人民代表大会第一次会议通过中国第一部《宪法》，之后开始起草《刑法》，自1954年至1979年先后修订38次。1979年7月1日，第五届全国人民代表大会第二次会议通过《刑法》，1980年1月1日起施行。1997年3月14日，第八届全国人民代表大会第五次会议进行一次修订。2009年2月28日，第十一届全国人民代表大会常务委员会第七次会议通过并施行《刑法修正案(七)》。2011年2月25日，第十一届全国人民代表大会常务委员会第十九次会议通过《刑法修正案(八)》，2011年5月1日起施行，这个修订版本即为现行《刑法》。之后，《刑法修正案(九)》《刑法修正案(十)》《刑法修正案(十一)》陆续通过并施行。

《刑法修正案(七)》第7条规定：“在刑法第253条后增加一条，作为第253条之一：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”《刑法修正案(七)》将个人信息罪纳入刑法保护法益，规定“出售或者提供公民个人信息罪”和“窃取或者其他方法非法获取公民个人信息罪”，对于侵犯公民个人信息犯罪行为予以处罚，填补了我国个人信息刑法保护的空白。但《刑法修正案(七)》对侵犯公民个人信息犯罪主体做了限定，仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，从而使公民个人信息刑法保护的范围受到限制。2015年8月29日，第十二届全国人民代表大会常务委员会第十六次会议通过《刑法修正案(九)》，2015年11月1日起施行。《刑法修正案(九)》将《刑法修正案(七)》中规定的两项罪名合并为一项，即“侵犯公民个人信息罪”：将犯罪主体的范围扩大至一般主体，即凡是达到法定刑事责任年龄的个人及任何单位均能以本罪追究刑事责任，扩大了对侵犯公民个人信息犯罪主体的打击范围；将“非法提供”中“非法”两字删除，对侵犯个人信息行为的范围进行扩充，即只要“向他人出售或者提供公民个人信息”，情节严重的都要追究刑事责任，体现了对公民个人信息更大范围的保护；增设“情节特别严重”的情形，即在“情节严重”基础上增设“情节特别严重”的刑法处罚，增加从重处罚的规定，使法律规定更为严谨，彰显了我国刑事立法在保护公民个人信息方面的一大进步。但《刑法修正案(九)》使用“情节严重”“情节特别严重”模糊用语，如果没有司法解释，在司法实践中就难以把握“情节严重”或“情节特别严重”的程度。

可见，我国《刑法》对保护公民个人信息规定不足，且条文较为分散，实际操作性相对较低。同时，公民个人信息内涵和外延不够明确，主观罪过形式仅限于故意，对滥用型侵犯公民个人信息规制缺失，没有对人工智能机器泄漏或非法盗取公民个人信息所造成公民人身、财产损失犯罪做定性表述和规定，这将导致司法实践中不公正审判的出现，也难以满足大数据时代打击侵犯公民个人信息犯罪的各项要求，为此，应不断完善公民个人信息刑法保护制度。

三、公民个人信息刑法保护存在的问题

(一)对公民个人信息的概念界定不明确

《刑法》规定“侵犯公民个人信息罪”侵犯对象为公民个人信息，但没有在法律条文或司法解释中对公民个人信息概念做出明确界定。2013年，《最高人民法院、最高人民检察院、公安部关于惩处侵害公民个人信息犯罪活动的通知》将公民个人信息的定义扩展为公民个人的隐私以及能够识别出公民个人身份的信息，公民个人信息的概念首次被法律赋予“可识别性”和“隐私性”两个特征。(4)《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》规定：“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”现阶段，在我国尚未制定“个人信息法”的情况下，司法实践中主要采取“识别说”的观点，多以《网络安全法》来界定公民个人信息，采取“广义的可识别”与“能够与其他信息结合识别”标准。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》坚持“可识别性”为公民个人信息认定标准的同时，又将其外延扩大到“可能影响到人身和财产安全的公民个人信息以及其他公民个人信息”[3]。

从上述有关“公民个人信息”的法律规范及司法解释可以看出，公民个人信息的内涵和外延旨在“可识别性”和“隐私性”两个方面，公民个人信息包括个人身份信息和隐私信息两大类，身份信息要求具有识别性，而隐私信息不要求具有识别性。《刑法》将“可识别性”作为“侵犯公民个人信息罪”认定的依据，就意味着将具有“不具有识别性”的公民个人信息排除在外。《刑法》作为最严厉的法律，如果条文中出现无明确内涵和具体范围的概念，且这个概念还是关乎罪与非罪、此罪与彼罪的重要概念，这将导致在司法实践中出现适用的混乱和违反公平公正的判决。公民个人信息概念界定模糊，也势必会给司法实践带来极大的困难与不确定性[4]。

(二)以转移式侵害为核心的刑法规制逻辑存在缺陷

以制裁转移型侵害为核心的公民个人信息刑法保护规制，在规制逻辑上基于传统隐私权保护模式，规制思路较为狭窄。《网络安全法》对公民个人信息界定包含公开的可识别的公民身份信息，但对侵犯公民个人信息犯罪仍然延续隐私权的保护思路，与隐私保护防范个人信息不当泄露和转移为核心的逻辑相同。隐私权作为一种人格权，体现个人信息的私密性，公民个人信息不能被非法泄露转移。隐私权以保护信息的可控性为主，更加强调其私密性，也必然要求对非法泄漏转移私密性信息的行为进行规制。但随着时代的发展，个人信息保护已逾越隐私权保护的范畴。一方面，网络时代信息传播的时效性使得信息更加容易被公开与共享，个人信息所有者和信息控制者早已分离，在一定领域公开的个人信息已经不具有私密性；另一方面，网络时代信息应用的可行性和效益性极大增加，个人信息的应用与商业价值也愈加凸显。这也使得个人信息自主权与隐私权的权能有很大不同。隐私权以强调信息的私密性为主，对私密性信息进行保护，以主体对其尚未公开的私密性信息所采取的领域内控制为核心，主要是防止个人信息在经过许可的情况下，被未经许可的无权限的主体不当转移，造成私密性信息的泄漏，所以隐私权可以理解为一种消极权能，目的是防止信息被非法转移公开，以私密性信息转移的可控性为保护对象[5]。但个人信息因其具有公开和可交换使用的特性，导致其经常被信息所有者进行分享和转让，以获取相关网络使用权和服务，甚至授权信息控制者还可以二次或多次转让信息，因此，个人信息权自然具有分享转让使用的积极权能，这与隐私权防止信息被非法转移公开的消极权能形成鲜明对比。

目前，“以合法方式”获取的公民个人信息在合法范围内，不构成侵犯公民个人信息罪，符合公民个人信息同意转移的基本原则。例如，APP平台对用户完善个人信息后可领取优惠券的营销策略，吸引了大量用户。但用户所填写的详尽的个人信息，也留下被滥用的隐患。当出现以“合法获取，不当滥用”的情形，如何追究信息控制者泄露公民个人信息的责任，对刑法规制提出了更高的要求。

(三)犯罪主体范围难以确定

侵犯公民个人信息的犯罪主体为一般主体，但随着智能技术的高速发展，特别是人工智能技术的应用，侵犯公民个人信息犯罪更加隐蔽，犯罪主体范围更加难以确定，也加剧了公民个人信息泄漏的风险。目前，人工智能所造成的损害主要有两种情形：一种是犯罪人直接侵入智能系统对公民人身、财产造成损害，典型如黑客运用病毒等方式侵入互联网干涉公民生活；另一种是犯罪人利用智能机器本身存在的风险漏洞实施犯罪所造成的损害，如“全国首例利用AI侵犯公民个人信息案”，(5)参见《绍兴警方侦破全国首例利用AI侵犯公民个人信息案》，中国日报网，2017年9月27日。犯罪分子利用人工智能设备从数据库盗取公民个人信息，继而贩卖或者实施电信网络诈骗。因此，关于本罪的犯罪主体，在自然人作为本罪的基本犯，对于通过人工智能设备泄漏或非法盗取公民个人信息所造成的人身、财产损失的犯罪，如何定性其犯罪主体，是目前刑法有待完善的问题。

(四)主观罪过形式单一

《刑法》规定侵犯公民个人信息犯罪为主观故意，即明知会产生危害他人信息安全的结果，却希望或者放任这种结果发生。目前，《刑法》未将过失犯罪纳入规制范围，究其原因在于，传统背景下公民个人信息法益保护不及生命健康权或财产权等重大，使得对侵犯公民个人信息过失犯罪以“不予处罚”为原则。大数据时代，公民个人工作、学习和生活无不与大数据相联，公民个人信息价值、重要程度日益提升，个人信息法益保护更为重要。近年来，频发的公私机构主体技术或人员疏忽导致的泄露公民信息事件，不仅侵犯了公民的物质权益，也给公民造成了精神损害，充分体现了过失侵犯公民个人信息犯罪的高度盖然性和社会危害性，应当被罪犯化。

四、完善公民个人信息刑法保护的建议

(一)合理界定公民个人信息概念

关于公民个人信息概念和范围，《最高人民法院、最高人民检察院、公安部关于惩处侵害公民个人信息犯罪活动的通知》规定“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”，将“可识别性”和“隐私性”作为公民个人信息核心要素，采取“概括+列举+混合”的模式，列举常见的类型。《网络安全法》删除公民个人信息所包涵的“隐私性”，对公民个人信息“可识别性”做了扩大解释。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》突破上述关于公民个人信息的概念，将“财产状况”型信息和“账号秘密”型信息纳入公民个人信息概念中，使公民个人信息概念更加完整。上述法律制度及政策规定，不仅扩大了公民个人信息概念的范围，而且基本实现了对公民个人信息的全方位保护。

随着时代的发展，可识别性与不可识别性、隐私性与非隐私性的界限变得越来越模糊，再以“可识别性”和“隐私性”为特征确定公民个人信息的内涵，势必会在一定程度上限制其外延，也难以实现对公民个人信息的有效保护。随着对公民个人信息认识不断深化，一种涵盖各种信息，并且兼具人格权与财产权的新型权利出现——个人信息权[6]。个人信息权的权利客体为公民个人信息，具有人格权和财产权两个方面特征，包括积极的使用权利和消极的防御权利，以期实现对公民个人信息保护和利用的双重作用。因此，采取“个人信息权”保护模式，有利于适应日益增多的公民个人信息类型，又能调和公民个人信息权“财产属性”“人格属性”“隐私属性”，使其更能适应公民个人信息概念界定的现实需要。

(二)将公民个人信息使用自主纳入刑法法益保护范围

公民个人信息使用自主不仅应该包括对公民个人专属信息的转移自主，还应包括对转移之后的信息的使用自主，实现对公民个人信息的全方位保护[7]。应将公民个人信息使用自主纳入刑法法益保护范围，明确滥用型侵犯公民个人信息行为入罪边界，防止因边界不清而不当扩张。

首先，将“违反国家有关规定”作为入罪前提。我国刑法规定构成侵犯公民个人信息罪的前提是“违反国家有关规定”，也可称其为前置性条款。滥用公民个人信息的行为在入罪时也应以此为标准，将“违反国家有关规定”作为滥用型侵犯公民个人信息行为入罪的基本前提。《网络安全法》等法律规范以公民个人信息自主为基本原则，即自主控制信息转移和使用，遵守了这项法律法规，在某种意义上也就尊重了公民个人信息自主。而且《网络安全法》第42条规定，经过处理无法识别身份且不能复原的信息，不视为公民个人信息，允许未经个人许可流转使用，这也符合“可识别性”公民个人信息界定要求。也就是说，“不具识别性”的公民个人信息就不再属于公民个人信息的范围，即便未经信息主体同意也可以被合法地转移使用，此时的未经许可使用，就不能作为滥用公民个人信息行为，受到刑法规制。因此，“违反国家有关规定”作为界定滥用公民个人信息的前提要素之一，在未来滥用公民个人信息行为入罪时，也应作为其前置性条款。

其次，明确滥用型侵犯公民个人信息的行为特征。根据《网络安全法》第41条第1款规定判定非法使用公民个人信息两种主要情形：(6)《网络安全法》第41条第1款规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”一种是未经被收集者同意而使用其个人信息，另一种是经合法方式获取后违反使用的目的和范围。这两种情形都属于未经许可滥用型侵犯公民个人信息的行为，都构成对信息主体的信息使用自主权侵害，也体现了滥用型侵犯公民个人信息的行为特征。因此，应当在《刑法》中明确判定非法使用公民个人信息主要情形，以打击滥用型侵犯公民个人信息犯罪行为。

最后，应将“情节严重”纳入界定标准。“情节严重”是刑法常用的罪状表述方式，为划分犯罪和违法行为标准起到了重要作用。因此，可以通过“情节严重”对滥用型侵犯公民个人信息的行为进行甄别，确定犯罪嫌疑人罪与非罪。目前，《最高人民法院、最高人民检查院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》从信息数量、违法所得、信息使用、主体身份和主观恶性五个方面，列举了侵犯公民个人信息罪“情节严重”的标准，这些标准也为滥用型侵犯公民个人信息入罪判定提供了参考。未来，滥用型侵犯公民个人信息罪判定，可以通过犯罪分子的行为特征，确定其行为的社会危害性，作为“情节严重”的认定标准，例如欺诈型滥用、隐瞒型滥用和与最初使用目的相违背的滥用，都体现出更为严重的社会危害性，可以将其解释为“情节严重”的具体标准。

(三)完善本罪犯罪主体的范围

完善侵犯公民个人信息犯罪主体范围，应当对因为人工智能设备泄漏公民个人信息或者非法盗取公民个人信息造成公民人身、财产损失的犯罪行为，采取严格的责任制原则，重点规制人工智能背后的利益相关主体如制造人、使用人的责任。社会发展对人工智能技术的运用越来越广泛，若不明确相关主体的责任，难以为公民个人信息提供可靠的保障，也使信息的流传和使用产生巨大的风险。相反，明确相关主体的责任，可以促进责任主体不断优化和完善技术，制定切实可行的风险防控措施，并及时对风险作出干预和控制，从而促进信息的安全流通。

(四)增设“过失侵犯公民个人信息罪”罪名

我国《刑法》规制中未列入“过失侵犯公民个人信息罪”，但在现实社会中大量过失侵犯公民个人信息犯罪依然存在，已造成严重的危害，因此，应当增设“过失侵犯公民个人信息罪”。根据刑法学基本理论，不作为的义务来源有四个：法律明文规定的积极作为义务、职业或者业务要求的作为义务、法律行为引起的积极作为义务和先行行为引起的积极义务。因此，对于负有法定责任或职业要求的特殊主体，要积极履行不泄露公民个人信息的不作为义务。对于特殊主体而言，在享有收集、保管和在信息所有者同意的范围内合法使用公民个人信息权利的同时，应当加重义务上的要求。特别是在主观方面应当增加“过失”，否则一旦特殊主体过失造成公民个人信息泄露，便不能在刑法层面予以惩治，也难以实现社会的公平公正。相反，若在本罪的主观方面增加“过失”，可以提高特殊主体收集和使用公民个人信息的警惕，实现事前预防，并促进其更好地履行相应的不作为义务，这对保护公民个人信息安全十分有利。

结 语

随着大数据时代的发展，我国越来越重视对公民个人信息的保护。《刑法》对公民个人信息的保护从特殊保护到一般保护，并通过立法和司法不断赋予公民个人信息丰富的内涵和外延。《刑法》的严厉性，决定其在惩治侵犯公民个人信息罪所具有重要价值，决定其在规制侵犯公民个人信息罪所不可替代的地位。尽管公民个人信息的内涵不断被丰富，保护范围不断扩大，但公民个人信息概念的界定仍处于模糊状态，法益保护属性得不到充分彰显，无法有效地实现对侵犯公民个人信息违法犯罪的惩治，达不到对公民个人信息的全方位保护。因此，根据大数据时代发展的特点及司法实践的要求，应通过立法或司法解释的形式，不断完善公民个人信息刑法保护制度，以实现对公民个人信息的有效保护。