刑法保护公民个人信息存在的问题与完善建议

丁琰镔

（辽宁科技大学经济与法律学院，辽宁 鞍山 114000）

在信息技术快速革新的今天，公民个人信息价值得到了新的定义。特别是大数据技术的运用，让人们看到了公民个人信息的商业价值，从而，吸引了越来越多的商家，寄希望于此获取预期的经济效益。受利益的蛊惑，一些不法分子也开始将目光投入了公民个人信息领域。山东女大学生徐某某事件，正是由于个人教育信息泄露而遇到电信诈骗而自杀死亡，某快递公司10亿快递单信息泄露，这些事件的发生引发了社会公众对个人信息泄露的关注。虽然国家制定了一些法规保护公民个人信息，但收效不大，根本原因还是缺少刑法层面的规制，必须依靠刑法这一具有强制性的法律保障才能有效缓解国内公民个人信息危机。

一、公民个人信息概念

从字面上来看，“个人信息”就是特定个体的相关信息，这是人格权中的一种。个人信息是个人所特有，通常能够直接或间接的识别特定的某个人。法学界关于个人信息的界定尚有不小的争议，在2017年3月《中华人民共和国个人信息保护法（草案）》，对个人信息做出了详细的论述：能够通过电子等特定方式进行记录，同时能够参考有关信息，特别是可以单独反映特定自然人身份的信息，包括但不限于自然人的姓名、性别、生日、身份证号、电话号码、血型、住址、个人生物识别信息、爱好等［1］。由此可知，个人信息的典型特点就是可识别性，通过相关信息可以直接或间接地将特定个人识别出来。

二、国内刑法在公民个人信息保护方面存在的问题

（一）尚无一套健全的个人信息法律保护制度

我国采用的单轨制立法方式，刑法也不例外。刑法自身的严肃性与稳定性决定了它不能像其他法律那样经常被修改，因此，刑法较为滞后。随着犯罪手段的日益增多，现有的刑法典在个人信息保护方面的力度明显不足。此外，国内也缺少前置性法律，也就是专门的《个人信息保护法》。目前，关于公民个人信息的保护法规未形成专门的体现，分散在各种法律法规中，与刑法也缺乏有效的衔接，这极大制约了刑法保护个人信息安全的作用。

（二）公民个人信息的定义存在问题

我国《刑法修正案（七）》与《刑法修正案（九）》均已把侵犯公民个人信息犯罪的保护对象定为“个人信息”，但尚无一个认定“个人信息”的具体标准。两高于2017年出台的《侵犯公民个人信息刑事案件司法解释》（简称“解释”）中关于“公民个人信息”的定义有了新调整，加入了“行踪轨迹”“财产状况”等内容，进一步补充了公民个人信息的定义。近年来“个人生物识别信息”与“快递物流信息”也逐步成为公民重要的个人信息，在最高颁布的《解释》中却没有纳入这些内容，使得刑法对公民个人信息的定义还存在不够完善的问题［2］。

（三）对个人信息犯罪行为方式的立法规定存在不足

国内刑法第253条明确指出：将“出售”“提供”“窃取”“非法获取”公民个人信息等行为视为侵犯公民个人信息罪。2017年颁布的“解释”有了进一步补充说明，除了上述行为被认定属于侵犯公民个人信息罪外，利用信息网络或其他渠道发布“购买、收受、交换等方式”也被认定为这种罪行［3］。但从实践来看，如今为了非法获利，一些人运用各种先进技术去实施侵犯公民个人信息的犯罪，导致犯罪形式更加复杂、隐秘，还存在很多非法利用、非法盗用、非法破坏公民个人信息的行为。国内现行刑法中关于个人信息犯罪行为的相关规定适用范围偏窄，存在较大的局限性。

三、我国公民个人信息刑法保护内容的优化建议

（一）尽快颁布《个人信息保护法》

就公民个人信息保护来说，除了与公民自己的利益有关外，而且也关系到国家的安全。目前，推出了个人信息保护法的国家与地区在100个以上，包括中国澳门、中国台湾地区。国内关于个人信息的保护条例主要分布在刑事、民事、行政等法规中，尚无一套这方面的专门立法。纵观国内个人信息保护法的立法进程可知，相关立法机关已意识到个人信息保护的重要作用，也投入了大量精力去研究相关法律保护制度的构建。具体来讲，建议我国应当学习、参考其他国家的先进做法，确定出一套切实可行的《个人信息保护法》。然后，要做好这部法规与行政法、刑法等法律制度的衔接工作，从而解决国内立法模式单一问题，逐步建立起维护公民个人信息安全的立体法律机制。

（二）拓宽公民个人信息的范围

尽管2017年两高颁布的《解释》对“公民个人信息”的定义比以前更详细，但仍存在不少争论。《网络安全法》于2016年开始实施，2017年实施的《个人信息和重要数据出镜安全评估办法（征求意见稿）》中均将“个人生物识别信息”纳入“公民个人信息”的范畴。所谓“个人生物识别信息”是指借助高科技方式识别人体特有的相关生物特征，如声音、指纹、虹膜等。这类信息比普通的公民个人信息拥有更强的“可识别性”［4］。因此，笔者建议刑法中公民个人信息范畴应有所拓宽，增设此类新型个人信息。同时，还需考虑其他法律条款，做好其中的衔接工作，进而使公民个人信息得到全面保护。

（三）增设职业禁止的内容

《刑法修正案（九）》中新增内容之一包括职业禁止方面的内容。这一新规的出现对职务犯罪的预防效果也更有针对性。在社会分工日益精细化的背景下，大多数职业都带有专业性强、身份特殊的特点。而“利用职业资格开展犯罪”有犯罪前科的人，拥有相应的职业技能与相应的职业条件，基于这些特殊性原因，其再犯罪的风险性更大。为从源头上防范此类人短期内再次实施犯罪，可规定犯罪行为人在相关期限内不准从事相关工作。另外，目前职业禁止很难推行到全部行业中，也难以有效杜绝与职业有关的犯罪现象。虽然可以剥夺存在前科的犯罪人员从事这项工作的资格，但尚无明确的法律规定去约束。行政处罚不能取代刑事制裁。将禁止相关犯罪前科人员从事有关工作，定位为刑事司法处罚，其法律的严厉性与强制性程度均明显大于行政处罚，也更有威慑力。司法实践中发现，利用公民个人信息犯罪案件大多是行为人利用职务或职业之便造成的。建议刑法在此类罪名中应该做出更为明确的规定，对犯罪行为人做出具体的职业禁止处罚，避免其再次从事相关职业而故伎重演。

（四）增设“过失侵犯公民个人信息罪”罪名

国内《刑法》尚无关于“过失侵犯公民个人信息罪”，但从司法实践中发现，有很多过失行为造成公民个人信息被侵犯的犯罪现象，且引起了严重的危害。建议增设这方面的罪名与刑法规定。参照刑法学理论可知，不作为的义务来源包括4个：一是法律明确规定的积极作为义务；二是法律行为引起的积极作为义务；三是职业或业务要求的作为义务；四是先行行为引起的积极义务。可见，有职业要求的特殊主体或者负有法定责任的特殊主体，都需要主动履行不泄露公民个人信息的不作为义务。就特殊主体来说，他们一般享有收集、保管以及经信息所有者允许后合理运用公民个人信息的权利，同时，这也增加了义务方面的要求。尤其应增加主观方面的“过失”规定，若特殊主体由于主观原因过失性泄露了公民的相关信息，无法给予刑法惩治，则难以体现社会的公平公正［5］。反之，如果在本罪的主观方面增设“过失”，则能够增强特殊主体的责任意识与警惕性，在收集与利用公民个人信息时更加小心谨慎，也能使其更认真地履行相应的不作为义务。