加强公民个人信息刑法保护对策的思考*

王圆圆

（河南警察学院 指挥战术系，河南 郑州 450046)

互联网时代，公民个人信息价值巨大，不仅关乎公民个人的财产利益和人身利益，而且对社会公共利益产生影响。由于个人信息蕴含巨大价值，实践中侵犯公民个人信息的犯罪案件频发，不仅对公民个人造成严重影响，而且造成社会秩序混乱。为应对个人信息犯罪案件，《中华人民共和国刑法修正案（七）》（以下简称《刑法修正案（七）》）对个人信息犯罪进行了规定，《中华人民共和国修正案（九）》（以下简称《刑法修正案（九）》）对此罪加以进一步拓展与细化。随着信息技术的不断发展，侵犯公民个人信息的违法犯罪行为愈演愈烈，类型也越发多样，现有刑事立法难以有效应对侵害公民个人信息的犯罪行为，司法实践领域存在大量难以用刑法规制的侵害公民个人信息的犯罪行为，不仅给公民的人身权益和财产利益造成影响，而且公民个人信息一旦被有违法犯罪倾向的不法人员加以利用，就会加剧各种诈骗和敲诈勒索案件的滋生，不利于国家和社会秩序的和谐与稳定。鉴于此，有必要对刑法规制视域下的个人信息保护加以研究，以进一步促进对公民个人信息的保护，推进信息化社会的建设。

一、公民个人信息刑法保护的必要性

在信息社会，随着公民个人信息经济价值的凸显，由于利益的诱导及个人信息的易获取性，对该类信息的收集与利用现象呈爆发增长态势，公民个人信息受侵害的犯罪活动呈多发性、严峻性特点，仅通过民法、行政法等非刑法手段来对个人信息予以保护难以起到相应的震慑作用，也难以实现对个人信息的有效保护，因此，有必要从刑法角度对公民个人信息加以保护。

（一）公民个人信息受侵害的高发性与严峻性

信息技术的普及与升级在为信息的高速流动提供了技术手段、给人们的工作生活带来诸多便利的同时，也给自身被用作犯罪工具带来可能。在此种背景下，公民个人信息作为一种新的信息资源，关乎公民个人的隐私、人格与相应的财产利益，而且在大数据时代，随着云计算、人工智能与区块链技术的发展，海量的个人信息可能涉及国家安全、行业秩序与商业秘密等多方面。可见，公民个人信息蕴含巨大的经济价值，并成为信息社会的重要资源。面对个人信息蕴含的巨大潜力，同时由于此罪通常作为上游犯罪，可以为下游诸如诈骗、绑架、敲诈勒索等犯罪提供帮助，导致实践中侵犯公民个人信息犯罪处于高发态势。据相关数据统计，中国有超过80%的网民受到个人信息泄露的影响，仅2015年一年全国网民因个人信息泄露而受到垃圾信息、诈骗信息与骚扰信息等影响而产生的损失约为805亿元。①中国网信网：《网民权益报告：网络侵权致中国网民人均损失124元》，2015年7月22日，http://www.scio.gov.cn/m/zhzc/8/5/Document/1441916/1441916.htm，2022年3月4日。根据公安部调查数据显示，2020年以来，全国共侦办侵犯公民个人信息刑事案件3100余起，抓获犯罪嫌疑人9700余名，②公安部：《2020年公安机关侦办侵犯公民个人信息刑事案件3100余起》，2022年12月30日，http://www.gov.cn/xinwen/2020-12/30/content_5575322.htm，2022年3月4日。其中违法行为主要集中在房产租赁、装饰装修、教育培训三个领域。此外，一些因公民个人信息受侵害而产生的后果的严峻性也成为刑法规制此类犯罪的重要原因之一。例如，2019年，江苏南通市公安局发现林某多次在非法交易平台出售银行开户、手机注册等公民个人信息，数量高达500余万条，非法牟利70余万元，严重损害经济社会秩序；同年，河南省开封市公安局发现大量公民个人信息在微信圈被贩卖，经过侦察发现贩卖个人信息背后隐藏着多部门“内鬼”与外部人员勾结，层层倒卖公民个人信息至下游电信网络诈骗、暴力催债、网络赌博等违法犯罪集团，其中共涉及犯罪嫌疑人200余名，非法暴力催收公司2个，公民个人信息1亿余条。③公安部网安局：《“公安2021”年终盘点打击侵犯公民个人信息犯罪这一年:公安部公布十大典型案例》，2022年1月10日，http://news.youth.cn/jsxw/202201/t20220110_13384870.htm，2022年3月4日。综上，实践领域公民个人信息受侵害的高发性与严峻性使得刑法有必要对其予以保护。

（二）公民个人信息非刑法保护具有局限性

在中国法律体系中，刑罚是国家最严厉的惩治手段，只有在其他法律难以实现对公民个人信息有效保护时，才能运用刑事法律手段予以保护。④高富平、尹腊梅：《数据上个人信息权益：从保护到治理的范式转变》，《浙江社会科学》2022年第1期，第58-67页。在侵害公民个人信息的案件中，该类犯罪的成本低、行为隐蔽但回报收益大的特点，导致此类犯罪行为不断滋生且发展逐渐成熟。例如，在实践中经常出现批量盗取个人信息进行贩卖进而获益的行为，或者通过技术手段非法获取公民个人信息后，利用相关数据实施网络电信诈骗或进行其他违法犯罪活动。当所侵害的公民个人信息过于庞大而对社会秩序造成严重影响时，如果仅依靠民法领域的停止侵害、排除妨害、赔偿损失等要求行为人承担责任，不仅难以起到震慑作用，而且难以计算α单个公民所受损失的范围。虽然行政机关对侵害公民个人信息行为的保护更具主动性，但其处罚手段仅为警告、罚款、没收违法所得、行政拘留等，难以实现对情节严重的侵害公民个人信息案件的规制。鉴于此，为了实现对严重侵害公民个人信息行为的规制，从刑法领域对其进行保护必不可少。

二、公民个人信息刑法保护的不足

对公民个人信息予以刑法保护具有必要性，在刑法及相关司法解释中也进行了相应规定。但在实践中，随着信息技术的不断发展与个人信息蕴含价值的逐渐显现，侵犯公民个人信息的犯罪行为愈演愈烈，类型也越发多样，现有刑事立法在对侵害公民个人信息的犯罪行为进行规制时显现出不足，不仅对公民个人信息安全造成影响，而且给社会秩序的稳定造成冲击。

（一）对公民个人信息界定困难

对侵害公民个人信息的犯罪行为加以规制的前提便是明确哪些属于公民个人信息范围，即判断是否构成侵害公民个人信息犯罪的第一步需要对公民个人信息进行界定。关于公民个人信息在刑法中的界定，两高在2017年发布的司法解释第一条予以了明确，①张珺：《个人信息保护:超越个体权利思维的局限》，《大连理工大学学报（社会科学版）》2021年第1期，第90-97页。虽然整体对个人信息进行了相应界定，并为该罪在实践领域的使用提供了理论基础，但仍然存在一些问题，导致对此罪保护法益存在不统一问题。首先，对主体范围的认识存在不同，即法律规定的犯罪主体为公民，公民即具有一国国籍之人，根据文义解释，此罪保护的主体通常是具有中国国籍的公民。但随着信息的无边界性、即时性传播与各国人员流动的频繁，仅对公民个人信息予以保护的条款显现出不足。其次，对公民个人信息是否具有真实性判断上存在一些问题，当案件涉及大量公民个人信息时，若对公民个人信息真实性难以判断的情况下，能否将其计入个人信息范畴，也是当前实践领域面临的难题，若将其统计为个人信息，结果明显不利于行为人。最后，在实践中，部分犯罪嫌疑人会以信息由公开渠道获取不属于刑法规定的公民个人信息来进行辩护，那么，已经公开的个人信息是否属于侵犯公民个人信息犯罪所保护的法益在实践中存在争议。

（二）犯罪的主观层面设置不合理

刑法与相关司法解释对侵害公民个人信息犯罪所规定的行为手段包括出售、提供、窃取等，该种行为手段通常需要行为人积极主动作为，行为人在主观层面有明确认识，即主观层面为故意状态，包括直接故意与间接故意，但却未对过失犯罪进行规定。有学者主张侵害公共个人信息犯罪的过失犯罪存在举证难度，因果关系较难证明，还有可能导致刑罚被滥用，刑法的谦抑性被破坏，所以对公民个人信息过失犯罪不予处罚。但也有学者主张在实践中因过失导致公共个人受侵害的案件并不在少数，尤其在进入信息社会的当下，一些掌握公民个人信息的公私机构因疏忽导致信息泄露的情况时有发生，不仅给公民造成了精神与物质层面的损害，而且给社会带来恐慌，甚至使社会出现信任危机，②刘国华、罗欣、张力之：《论我国公民个人信息的刑法保护》，《黑龙江社会科学》2020年第4期，第108-113页。其危害程度并不亚于刑法规定的故意出售、提供、窃取等行为。因此，现有刑法及相关司法解释对此罪仅规定了故意状态而缺乏对过失犯罪的规定具有不合理性。

（三）犯罪行为类型概括不全面

中国刑法对侵害公民个人信息的犯罪行为仅规定了非法出售、提供、窃取或以其他非法方法获取。在实践中，面对数字化与信息化发展的不断深入，面对信息资源带来的巨大经济利益，侵害公民个人信息的犯罪方式与技术手段更新迭代，刑法所规定的几种犯罪行为类型难以覆盖全部侵害公民个人行为。例如，在公民个人信息受到严侵害的当下，诸多对公民个人信息的违法利用甚至形成黑色产业链，相较刑法所规定的传统侵害公民个人信息的行为，该种非法使用造成的法益侵害更具直接性与精准性。一方面，对公民个人信息的非法使用行为而言，其与传统出售、提供与窃取公共个人信息具有本质差异，传统的犯罪行为仅是对个人信息的物理流转，仅涉及对个人信息形式上的破坏，而使用则对个人信息具有直接破坏性。①类延村、徐洁涵：《个人信息法律保护的权利基础与实践逻辑》，《图书馆建设》2021年第1期，第84-92页。另一方面，非法使用行为的法益侵害具有准确性，由于公民个人信息的本质特征就在于可识别性，当非法使用该类信息时，容易对信息主体造成直接的人格与财产侵害。虽然非法使用公民个人信息行为具有严重的法益侵害性，但由于刑法条文中并未对该种行为加以规制，最终影响刑法对公民个人信息的保护。

（四）对“情节严重”认定粗糙

对侵犯公民个人信息犯罪“情节严重”的认定是司法实践领域难以回避的问题，虽然在2017年两高所发布的司法解释中对“情节严重”的认定标准进行了明确，但仍存在一些问题。一方面，虽然司法解释规定了对侵害公民个人信息“情节严重”的认定要采用综合认定形式，但由于信息数量的易获取性与对数额标准判定的简单性，使得在司法实践中对“情节严重”进行认定时，通常以信息数量与违法所得作为量刑标准，该种唯数量论的量刑形式不仅架空了其他认定要素，使司法解释形同虚设，而且在大数据时代，数据库存储的信息通常难以计算，如果仅以特定信息数量作为认定标准，则难以确保罪行统一性。此外，在司法实践中对信息数量进行统计时，通常会将行为人移动终端的原始信息进行直接认定，较少进行信息数量的真假性、重复性与有效性勘验，难以反映犯罪行为情节严重的程度。另一方面，对“情节严重”的认定存在双重评价的问题。由于公民个人信息所蕴含的巨大经济价值，在实践中行为人通常会通过窃取、打包出售给其他犯罪主体来进行诈骗、传销等犯罪活动，即侵害公民个人信息通常与电信诈骗、传销等犯罪活动并发，可能不仅将其以“情节严重”进行认定，而且将其作为单独刑事犯罪进行定罪量刑，出现同一行为两次认定的双重评价问题。②杨亚婕：《侵犯公民个人信息“情节严重”认定问题研究》，硕士学位论文，中国政法大学,2020年，第14页。

三、加强公民个人信息刑法保护的对策

为实现刑法规制视域下公民个人信息的保护，需要明确界定公民个人信息范围，拓展侵害公民个人信息犯罪的主观层面，将非法使用行为入刑法规制范围，对“情节严重”的标准予以明确。

（一）对公民个人信息范围予以明确界定

针对实践领域对公民个人信息界定不明导致法益保护不完整性问题，首先，在对主体范围的认识上，由于信息传播的无边界性与人口流动的频繁性，中国领土范围内既有中国公民，也有外籍人士与无国籍人士，信息安全对于其同样重要，若仅保护中国公民的信息安全，忽视对外籍人士与无国籍人士个人信息的保护，则可能会使刑法难以全方位对个人信息予以保护。其次，对公民个人信息是否真实性的判断上，为符合罪行相适应原则，避免犯罪行为与刑事责任不统一现象的发生，便需要对公民个人信息是否真实予以证明。尤其是在涉及大批量信息时，在进行犯罪认定时，可以用等约计量的方式代替精准计量，以对海量信息进行估推式计量作为认定其是否真实的依据，不仅可以解决司法实践中难以精准认定海量信息真实性的弊端，而且符合大数据时代对司法实践提出的要求。最后，针对当前公开信息是否属于公民个人信息的争议，从《最高人民法院.最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中能够明确认定是否属于刑法所保护的公民个人信息关键在于是否具有可识别性，并非隐私性，公民个人隐私与个人信息之间属于交叉关系而非重叠关系，所以，信息的公开获取并不是否认信息属于公民个人信息的绝对原因。③姬蕾蕾：《大数据时代个人敏感信息的法律保护》，《图书馆》2021年第1期，第99-106页。此外，一方面由于刑事法律规范对公民个人信息的规范程度要远大于其他法律规范，刑法认定属于犯罪的行为，其他法律也可能对其作出否定性评价。另一方面，为了保证法律规范的统一性，对于公民个人信息范围的界定同样也适用于非刑法规制。

（二）对犯罪的主观层面予以拓展

现有刑法在对侵害公民个人信息犯罪的主观层面仅规定了犯罪的主观层面，未对过失犯罪作出说明，根据罪刑法定原则要求，实践中因过失造成他人个人信息泄露并不构成犯罪。但在某些情况下，尤其是对于公民个人信息负有义务的主体，因其过失给公民个人信息造成的损害并不亚于故意侵害行为，所以，应对侵害公民个人信息犯罪的主观层面予以拓展，增加对过失侵犯公民个人信息的惩处。对于不作为的义务来源而言，主要包括法律明文规定的作为义务、相关职业要求的作为义务、先行行为引起的积极作为义务三种，上述行为所涉及的主体对公民个人信息均负有较高的义务，若其不慎或者疏忽大意泄露了公民个人信息，给公民与社会造成严重损失，应承担相应责任。对侵害公民个人信息犯罪的主观层面予以拓展，不仅能有效提高特殊主体收集、使用与存储公民个人信息的警惕性，进而实现事前预防，而且能进一步督促其履行自身保管公民个人信息义务，实现对公民个人信息安全的保护。

（三）对犯罪的行为类型予以延伸

当前，侵害公民个人信息犯罪行为类型概括不全面，仅规定了非法出售、提供、窃取典型行为，未将非法使用行为纳入刑法规制范畴，影响了刑法对公民个人信息保护的有效性。因此，应对侵害公民个人信息犯罪的行为类型予以延伸，对非法使用个人信息的行为加以规制。具体可以立法形式将非法使用行为与传统侵害出售、提供、窃取行为并列，共同构成刑法对侵害公民个人信息犯罪的规制对象。①唐文莉：《侵犯公民个人信息罪行为方式研究》，硕士学位论文，湘潭大学,2017年，第38页。非法使用公民个人信息与其他典型侵害公民个人信息在行为主体与行为客体层面具有一致性，在主观层面则表现为故意，客观方面即行为人在合法收集并存储公民个人信息外，未经授权或超出授权范围，擅自将信息用作营利、实施违法犯罪行为或其他不正当用途，给公民或者社会造成严重损害。对于严重损害标准的认定，则可以参照相关司法及解释予以认定。但同时需注意的是，大数据时代，商业主体的经营好坏与其对市场信息掌握的程度密切相关。因此，在强调对公民个人信息保护时，应注意发挥刑法的谦抑性，避免将所有使用行为都纳入刑法规制范围的一刀切形式。总之，通过拓展侵害公民个人信息犯罪的行为类型，不仅能进一步规范相关主体对公民个人信息的使用，而且有利于实现刑法规制视域下公民个人信息的保护。

（四）明确对“情节严重”的认定

通过上文分析可知，当前，对侵害公民个人信息犯罪“情节严重”的认定过于粗糙，导致难以确保罪行统一，甚至可能难以真正区分犯罪的法益侵害程度，因此，应对“情节严重”进行明确认定。一方面，应改变实践中认定“情节严重”唯信息数量论问题，鉴于犯罪情节是否严重直接反映侵权行为的社会危害性，并直接决定其是否应受到刑事处罚，不应仅通过案件涉及信息数量的多少直接决定情节是否严重，而应该综合考量信息类型、数量、牟利数额、危害后果等，并对上述因素的标准加以明确，②赵祖斌：《从静态到动态:场景理论下的个人信息保护》，《科学与社会》2021年第4期，第98-116页。在反映案件真实情况的同时，有效避免司法实践中评判标准不统一的问题，保证案件的公平公正。另一方面，针对实践领域对“情节严重”的认定存在双重评价的问题，需要分析下游罪名能否对行为进行完全评价，如果能实现完全评价，则可以将侵害公民个人信息罪作为牵连犯，择一重罪处理；如果未能实现完全评价，则应将侵害公民信息罪与下游犯罪数罪并罚，有效避免双重评价现象的出现。

四、结语

随着大数据时代的到来，公民个人信息蕴含的经济价值得以体现。在经济利益的诱导下，各类侵害公民个人信息的犯罪行为时有发生，在给公民的人身以及与财产安全造成侵害的同时，也对社会秩序造成冲击。虽然立法与司法解释对其进行了规定，但仍存在一定问题，难以应对不断变化的侵害公民个人信息犯罪的新技术、新形态。为保证刑法对侵害公民个人信息犯罪规制的有效性，应从明确界定公民个人信息范围、拓展犯罪的主观层面、延伸犯罪的行为类型和明确对“情节严重”的认定入手，以真正实现对公民个人信息的保护，促进信息社会建设。