大数据背景下公民个人信息的保护研究

严思斯

(南京财经大学，江苏 南京 210023)

一、 引言

随着大数据、人工智能等新技术发展，人们的生活水平逐步提高，但同时也带来了诸多问题，例如个人信息的严重泄露。 互联网为犯罪分子侵犯公民个人信息提供了新的手段，大量新型危害公民个人信息安全的犯罪行为应运而生，“互联网+”时代使公民个人信息变得更加公开化、透明化，公民个人信息安全存在诸多隐患。 因此，在不影响大数据信息化发展的前提下完善相关法律规定，加强对公民个人信息数据的保护显得尤为重要。

二、 公民个人信息概述

公民个人信息与公民个人密切相关且具有身份识别性，在一定程度上可以反映公民的个人特色和社会特征，是个人与外界联系的纽带，具有重要意义。 我国《中华人民共和国刑法》(以下简称《刑法》)、《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》均对个人信息保护做出了明确的规定。 当前，个人信息的概念在我国不同部门法中的界定各有差别。在刑法的角度下，针对个人信息的保护主要集中在身份识别性和法益相关性，即与公民个人密切相关且清晰可辨。

相较于传统个人信息，大数据背景下的公民个人信息在内容上和形式上都做了一定程度的外延，包括但不限于静态个人信息，通过对公民个人信息进行二次加工和整理，形成更具有经济价值的信息资源。 公民个人信息并非随着大数据时代的出现而诞生。 因此，即使是在信息快速流通的背景下，任何人都不能以任何的理由侵犯公民个人信息。

通常情况下，单个少量的公民个人信息往往没有太高的利用价值和商业价值，而从司法实务角度来看，许多不法分子收集或购买公民个人信息往往伴有不法目的，如进行诈骗、敲诈勒索等，由于个人信息具有隐秘性，被害人通常会对犯罪嫌疑人产生信赖感使其频频得手。 特别是在大数据背景下，互联网技术的更迭为犯罪分子获得公民个人信息提供了便捷。 现阶段，以侵犯公民个人信息为中心的犯罪产业链逐渐形成，加强对个人信息的保护迫在眉睫。

网络不是法外之地，因此，在大数据时代下，有必要加强相关部门对互联网领域的规制，同时完善刑法对个人信息的保护措施，使公民个人信息在当前有一个较为稳定和综合的保护体系。

三、 大数据背景下公民个人信息的隐患

(一)大数据特殊性带来的风险

大数据背景下，公民个人信息的经济价值逐渐显露，尤其是在互联网等现代信息化平台上，客户的喜好、需求更是诸多企业所追求的内容之一。 当我们在某一商品页面浏览时间较长，此后系统就会自动推送类似相关产品，诸如此类的大数据分析无形中都在将我们的信息进行分析和收集，互联网最大限度地利用了个人信息。 如今，网购、点餐已成为我们生活的一部分，可是每一次应用App 都需要填写联系方式、收货地址等本人信息，且不说商家是否会将个人信息泄露进行倒卖或恶意使用等，互联网大数据下的平台非常容易遭受网络黑客等违法分子恶意进攻，进而盗取公民个人信息。 此时公民个人信息基本完全暴露在外，面临着严重威胁。

大数据背景下，互联网是侵犯公民个人信息犯罪的“主战场”，网络犯罪本身在刑法中就是一个难点，具有开放性、虚拟性、可变性等特点。 互联网为犯罪分子实施犯罪行为带来了新工具和新手段，引发了一系列包含侵犯公民个人信息罪在内的中下游互联网犯罪，危害甚大。

(二)《刑法》对个人信息的保护不完善

1.对“个人信息”的界定范围过窄

司法解释对“个人信息”做出了部分列举，如姓名、身份证件号码、通讯通信联系方式等。但在互联网时代，个人信息的内涵有了明显的外延，如网页浏览记录等，在一定程度上等同于姓名、住址等个人信息，同样具有身份识别性与法益关联性，理应纳入刑法的保护范围。 在大数据背景下，“互联网+”概念孕育而生，个人信息的数量呈爆发式增长，随之而来带来了新的问题，如对已公开的个人信息进行二次整合加工利用该如何认定，对该类信息进行搜集再向他人出售的行为是否构成违法。 当前《刑法》对个人信息的保护范围过窄，对以上信息并没有明确统一的保护规定，导致大数据背景下的以新型表现方式体现的个人信息还得不到明确的保护。

2.缺乏明确性规定

侵犯公民个人信息犯罪以“情节严重”为构成要件，即侵犯公民个人信息的行为必须达到情节严重才构成此罪，但法律并没有对“情节严重”做出具体详细的规定。 即使司法解释做出了部分列举，但在司法实践中并不能囊括所有情形。尤其是在大数据背景下，不法分子侵犯公民个人信息的犯罪手段新型多样，简单的概括规定并不能解决当下实务难题。 此外，司法解释对“情节严重”的认定多以具体的数额确定，以被侵犯信息的数量来判断情节严重与否具有一定的合理性，为法官定罪量刑提供了统一的标准，但也有一定的不足。 互联网时代，即使是一条个人信息被侵犯，但通过广泛的传播和二次利用，同样有可能造成严重的后果。 因此，继续细化情节严重的判断标准是十分必要的。

缺乏明确性规定还体现在罪数处理上。 如上所述，在互联网大数据情况下，侵犯公民个人信息的犯罪慢慢发展壮大成全产业链，常常涉及非法侵入计算机信息系统、非法利用信息网络等计算机犯罪。对此类犯罪的处罚是择一重处罚还是数罪并罚，司法实践中容易出现同案不同判的现象。

3.犯罪主观方面认定有所欠缺

现行《刑法》规定侵犯公民个人信息犯罪的主观方面仅限于故意，将过失排除在外。 也就是说，行为人在侵犯公民个人信息时，如果秉持过失的主观心态，则并不构成本罪。 然而，在互联网时代，很难直接认定行为人具有主观故意。 例如我们经常在一些招聘网站或考试网站上查询信息时需要输入联系方式，随后会接到一些机构的推销电话。 我们很难认定这些网站是故意将用户个人信息出售给相应的机构牟取利益，还是该网站存在一定的技术漏洞，给犯罪分子通过计算机技术窃取个人信息提供了机会。 在这个过程中，不法分子当然地构成侵犯公民个人信息罪，问题是对这些网站该如何定性? 根据《刑法》的规定，构成本罪必须持故意心态，主观心态的考察需通过客观行为表现出来，然而大部分情况下这些网站未必是故意泄露，往往是未尽到保护用户个人信息的义务，存在过失致用户信息泄露的责任。 如果有不明真相的用户因为这些推销而参加了虚假的培训，可能会遭受财产损失。 因此，过失心态同样会导致公民个人信息受到侵害。 当前，过失侵害个人信息的情况还比较少见，但是随着大数据的不断普及应用，信息时代的风险会愈来愈大，尽早将过失犯罪纳入认定范畴，能更好地保护公民权利。

四、 大数据背景下公民个人信息刑法保护的完善

(一)适当扩大“个人信息”的范围

现阶段，《刑法》对公民个人信息的保护规定要求个人信息具有可识别性和法益关联性，且司法解释的列举还停留在较为传统形式的信息。 大数据背景下，通过数据技术的处理将原本不具有“可识别性”的碎片化、零散化的个人信息整合形成了综合性的个人信息，特别是数据分析和处理技术的突飞猛进，使个人信息的法律保障边界愈发模糊，仅以“可识别性”限定个人信息的保护范围已不符合社会发展现状，难以充分保护个人信息。 因此，在数字时代，有必要对“个人信息”进行更加合理的划定。 目前，法律对个人信息的界定标准过于严苛，导致《刑法》保护的范围极为狭窄，然而，如果将所有信息都不加区分地纳入《刑法》的监管框架，将会导致打击面过大，有违刑法的谦抑性。

笔者认为，对个人信息的界定标准可以参考国外立法经验，如德国将个人信息界定为具有社会属性的相关信息，也就是说，识别标准不应局限于直接识别，凡是可以通过一定技术手段间接识别的相关信息，如网页浏览记录等也应纳入保护范畴。 大数据时代，信息呈爆炸式增长，传统列举式的个人信息已无法跟上大数据发展的步伐，会导致无法对司法实践中许多新型的侵犯公民个人信息的犯罪进行有效打击，只有适当扩大“个人信息”的范围，才能顺应时代的发展，对个人信息进行全面的保护。 诚然，不能无限制地对“个人信息”进行扩大解释，否则会影响到信息自决权和个人信息的正当使用。

(二)明确定罪量刑标准

本罪在司法实践中对“情节严重”“情节特别严重”认定标准模糊不清，从而影响司法工作人员执法办案，基于此，有必要进一步明确定罪量刑标准。 首先，当前司法解释对情节严重主要认定依据是被侵害信息的数量，对一般敏感信息和高敏感信息数量有所差别，因此需进一步明确高敏感信息和其他类型信息的区别。 其次，仅考虑信息数量无法对个人信息进行全面保护，应综合考量犯罪行为的社会危害性、被害人实际遭受的损失等。 如行为人是否有严密的犯罪计划，是否有成熟的犯罪组织，侵害他人信息行为是否会对其他主体或者社会公共利益带来不利影响等。

大数据背景下，侵犯公民个人信息犯罪往往是通过互联网来实现的，因此通常会涉及非法侵入计算机信息系统、非法利用信息网络罪等计算机犯罪，均涉及侵犯公民个人信息行为。 这些犯罪规制行为存在一定的重合和交叉，因而会导致罪名适用上的混乱。 针对此种情况，应优先考虑特殊法优于一般法。 在侵犯公民个人信息犯罪之下区分利用一般手段侵犯个人信息和利用计算机手段侵犯个人信息，在案件定性时优先考虑是否适用侵犯计算机信息类特殊犯罪。

(三)增设过失侵犯公民个人信息犯罪

现行《刑法》要求构成侵犯公民个人信息犯罪行为人的主观方面须为故意，也就是说过失侵犯公民个人信息的行为不构成犯罪，这显然是不符合社会发展现状的。 随着大数据时代的来临，公民个人信息所面临的风险不断加剧，许多违法犯罪行为会因为过失不定罪而逃脱法网躲避法律的规制，对这种侵犯个人信息犯罪的行为规制会严重损害公民的合法权益。 如上述提到的网站、机构等，工作人员每天有机会接触到大量个人信息，在工作过程中出现重大过失行为会导致公民个人信息大面积泄露，甚至造成财产损失。 因此，将主观过失的主观有责性纳入刑法规制是符合社会风险可能性的，使我国关于个人信息犯罪的立法更加丰满，也更适应信息时代的现实需求。

现实情况下，许多机构、单位拥有个人信息的合法使用和收集权，增设过失侵犯公民个人信息犯罪，有利于督促各机构、单位切实履行监管义务，如若因为一些过失导致信息泄露，应当承担法律责任。

五、 个人信息保护法为个人信息安全保驾护航

当前，《个人信息保护法》已正式施行，它首次确立了以告知同意为核心的一整套个人信息保护制度，一改以往比较零散的规定，具有整体架构性和系统性。 个人信息的核心要义在于自己能够控制自己的信息，即信息被采集者对自己的信息具有知情权和决定权。 《个人信息保护法》从法律层面确立了对个人信息的保护，在大数据背景下，有利于更好地平衡个人信息保护与信息利用的相互关系，营造良好的市场营商环境，助力经济社会全面健康发展。

数字时代，“大数据杀熟”现象频发，“大数据杀熟”即针对同一物品或同一服务，商家给老顾客的价格高于新顾客。 “大数据杀熟”实际上是互联网对用户个人信息进行自动化决策的过程。 互联网厂商对已消费过的顾客个人信息进行偏好、习惯、需求等分析并进行决策，出现了价格的差别对待情况。 “大数据杀熟”的本质是公民个人信息不加区分的被商家滥用由此成为牟利的工具。 《个人信息保护法》针对此做出了相关规定，进一步保护消费者个人信息。

2021 年4 月，杭州野生动物园案迎来了二审判决，这也是我国人脸识别第一案。 判决杭州野生动物园删除郭某的面部特征信息和指纹识别信息。 此案引起了社会的热议，随着互联网的发展和科技的进步，在小区、车站、游乐园等公共场所，人脸识别装置随处可见。 人脸识别信息相较于其他生物识别信息，具有敏感度高、采集方式多样等特征，不当使用将会给公民带来不可预测的风险，应当做出更加严格的规制和保护。 《个人信息保护法》规定在公共场所安装人脸识别装置必须遵守国家相关规定，并且所收集到的个人信息必须用于维护公共安全。

《个人信息保护法》完善了对个人信息的保护，但并不意味着完全反对大数据的商业化利用，只是强调要合法、合理地运用个人信息，才能既保护个人信息，又发挥信息的经济价值。 同时，《个人信息保护法》提醒的不仅是信息的收集者、控制者，更与广大社会公众相关。 我们每个人在日常生活中都能感受到信息被过度收集和非法使用，因此广大社会公众要自觉学习《个人信息保护法》的内容，适应新的社会发展趋势，加强对个人信息数据、数字经济相关的保护意识，主动积极自觉地维护遵纪守法秩序，从而与部门监管形成相辅相成、上下一致的全社会守法局面。

六、 结语

如今，互联网与生活息息相关。 网络购物、平台点餐、网络约车便利了我们的生活，但同时这些软件也在更多地收集公民个人信息，使个人信息安全面临更大的威胁。 当前，我国法律体系对个人信息的保护尚有明显不足，需紧跟时代变革的节奏和步伐。 针对侵犯个人信息犯罪的规制不仅仅是法律体系建设的完善，同时相关政府部门应积极采取有效的监管措施和手段，作为公民，大家也务必自觉学习和掌握充分的法律知识。 《个人信息保护法》已正式实施，《刑法》也应保持特有的谦抑性，以其他部门法为主，辅之以刑法，进而达到最佳的法律治理效果，让大数据时代为我们提供更方便快捷的服务，让不断健全和完善的法律体系为我们的个人信息安全保驾护航。