大数据视野下的公民个人信息保护

万昌豪

随着大数据时代的逐渐发展，公民个人信息从依靠传统的实体化传播转变成信息社会的数据化传播，公民个人信息的安全保障随着时代的逐渐复杂变成一个挑战。尽管《刑法修正案（九）》和相关司法解释对相关犯罪的细节进行了界定，但目前我国与个人信息保护相关的法律尚未完善，仍需进一步加强体制保障。

一、个人信息犯罪的特点

在大数据时代背景下，个人信息安全保障成为一个现实问题，与个人信息安全有关的数据犯罪成为对刑法制度的重要挑战之一，侵犯个人信息的犯罪呈现出以下几个特点：

（一）犯罪范围广，数量巨大，相关犯罪粘性大

侵犯公民个人信息犯罪因个人信息泄露涉及范围广、泄露数量巨大以及其与下游犯罪有较强粘性等原因，具有较强的社会危害性。由于信息技术的突飞猛进，为提高获取信息的效率，犯罪嫌疑人将犯罪之手伸向掌握海量个人信息的大公司和企业，在海量的数据信息中，犯罪嫌疑人利用信息技术手段实现对个人的精准画像，分析研判出个体的行为习惯，以此为基础实施下游犯罪。[1]

（二）犯罪已形成“金字塔”产业链

当前与公民个人信息有关的犯罪已形成了上游窃取、中游代理商倒卖、下游犯罪非法使用的“金字塔”结构，逐渐形成一个以个人信息犯罪为“金字塔尖”黑色产业链。个人信息犯罪处于产业链“源头”，下游犯罪也在朝着以个人信息为前提的“精准犯罪”发展，个人信息犯罪在精准犯罪产业链中起到主导作用，以个人信息犯罪为基础，相关犯罪产业链逐渐体现出规模化的结构。

二、大数据视野下公民个人信息的保护体制构建

在大数据时代，个人信息保护体制的构建成为世界各国共同面对的挑战。面对大数据时代日新月异的变化，保护体制的构建不能简单的照搬，要建立在解决实践困境的基础上，对我国个人信息法律保护制度建构进行有效思考。

（一）完善前置法律立法

在日趋复杂的社会关系下，我国可以先制定替代性标准，等技术日趋成熟时再建立个人信息的专门性保护法律。坚持以“两头强化，三方平衡”理论为基础进行制度设计，激励相容的个人信息立法方向。通过激励信息控制者主动保护个人信息安全，实现对个人信息权利的保护。通过多方利益平衡和多元互动的立法导，实现对复杂的大数据时代个人信息的应对。[2]

（二）完善保护公民个人信息的刑法保障体系

虽然《刑法修正案（九）》对侵犯公民个人信息类犯罪进行了修改，但是仍存在很多需要进一步完善的空间，仍需要从明确罪与非罪的界限、完善相应立法等方面，构建个人信息的刑法保护体系。

1.精准界定，明确公民个人信息罪的界限

（1）完善立法，明确“公民个人信息”的含义

对个人信息的界定，要坚持其“人身属性+财产属性+相关法益关联属性”的原则，主要包括基于人身属性的“可识别性”身份信息、基于财产属性的财产类和账号类信息等。[3]

个人信息的“可识别性”是界定公民个人信息的重要依据，是对公民个人信息认定的实质标准。通过个人信息应该能直接识别公民个体的特定信息，信息与人之间应该一一对应。在具有一定的“可识别性”的基础上，公民个人信息要兼顾其附属的人身、财产法益，公民个人信息应当成为一种独立的信息权利益，其自身具有特殊的人身属性、财产属性。

（2）明确“国家有关规定”的解释范畴

虽然两高针对侵犯公民个人信息罪出台相应的解释反映了惩治犯罪的现实需求，有其存在的现实价值，但其对于“国家有关规定”的解释，有违罪刑法定的原则。即使将“部门规章”加入“国家有关规定”的解释范畴，也应该对其作出限制，作为前置性法律的部门规章应当有相应的行政法规作为法律依据，不能同相关行政法规相抵触，部门规章的指定要符合法定批准程序和公示程序。

2.明确罪数的认定

针对行为人既非法获取公民个人信息又利用该信息实施犯罪的，对其罪数的认定，应当按照牵连犯从一重罪处罚。尽管在实质上行为人实施了两个行为，但其是目的和结果的结合，应当按照牵连犯的标准，从一重罪处罚。

（三）加强法律监管与执行，推动第三方风险评估机制建设

要逐步建立起侵犯公民个人信息犯罪的发现和监管机制，要逐渐引进第三方风险评估机制，对个人信息进行动态管理，改变僵化风险管理模式，以新闻报道与第三方评测监督的方式，促进业界对个人信息安全形成共识，从源头做起，重点规制个人信息的非法使用。政府部门要发挥其职能，履行监管职责，对侵犯公民个人信息的行为做到早规范、早预防、早发现、早处理，从而在社会形成一种违法必有责的氛围。[4]

（四）加强相关犯罪的域内域外合作

在大数据时代下，侵犯公民个人信息的犯罪是不断流动的，每个国家都可能是案件的发生地，进行地和结果地，没有一个国家可以置身事外，因此要加强域内域外的合作，通过缔结条约或者建立司法合作机制等方式，在证据的收集、犯罪人的抓捕和遣送、司法文书的送达等方面开展合作，从而提高惩治侵犯公民个人信息犯罪的实效。