公民个人信息的权利属性与刑法保护

翟桂花

金乡县法律援助中心，山东 济宁 272200

信息时代的信息是公开和透明的，所以公民的个人数据的安全风险大大增加。如果作为公民私有财产的个人数据被侵犯，会影响他们的正常工作生活，在最坏的情况下，会对公众舆论产生非常负面的影响。在生活和工作过程中需要产生和传输大量的信息和数据，这也在一定程度上威胁到公民个人数据的安全，因为泄露会导致经济或声誉的损失。为了保护公民的合法权益，必须将保护公民个人数据的措施纳入刑法。然而，目前我国《刑法》并没有明确的进行个人资料保护立法，也没有足够的法律内容来与之完全适应，一定程度上导致公民的个人资料得不到有效保护。因此，相关立法部门应真正认识到完善刑法保护对于公民个人数据方面的重要性，并及时采取有效措施，进一步完善刑事保护制度。

一、公民个人信息的特征

一般来说，公民的个人信息是公民的私人生活，从社会学的角度来看，公民的个人信息是公民在社会交往过程中的一种社会符号。在立法方面，公民的个人数据由直接的法律规定来界定。根据我国《个人信息保护法》，公民的个人信息是指“可用于识别特定个人的信息，如姓名、地址、出生日期、身份证号码、医疗记录、通信记录、照片等单独或与其他信息相比较能够识别的信息”［1］。纵观国内外文献，学术界对刑法中个人数据的定义有几种观点：根据第一种观点，个人数据是指公民的所有信息，如血型、医疗数据、就业、电话号码等信息。第二种观点为，公民的个人数据是公民个人不希望向他人披露的数据，由公民自己决定是否披露信息以及向谁披露。第三种观点定义了从公民那里收集的个人数据的范围，并描述了个人数据的主要特征：它们可以直接或潜在地识别数据所有者，它们只与个人有关，通常与社会生活无关。在第一种情况下，个人资料的范围没有得到充分的限制，这必然导致刑法范围的不合理扩大；在第二种情况下，个人资料与私人生活相混淆，个人资料的范围被过度限制，这就把某些刑事犯罪排除在刑法范围之外，不能确保公民的合法权益得到保护［2］。

二、大数据时代公民个人信息犯罪的全新趋势

（一）犯罪形态

危害个人信息的早期犯罪主要是少数了解计算机和网络技术的人，以及一些大型商业组织、政府机构和其他组织，它们获取用户以及个人数据和信息，重点是侵入网络系统，表现为对组织的个人挑战。随着互联网技术的发展和普及，普通用户也可以通过互联网获得技术支持，成为危害个人信息的重要实施者，形成了以普通人为对象的点对点犯罪。犯罪的主流是从精英主义到普通的过渡，侵犯个人信息并加剧社会危害的犯罪人数激增。根据最高人民检察院发布的侵犯公民个人信息的典型犯罪案件，大多数犯罪对象都是普通的互联网中的个人［3］。

（二）犯罪工具

在大数据时代，侵犯个人信息的犯罪不仅以犯罪的形式显示出新的迹象，而且还更新了犯罪工具，犯罪的基数和总量也在相应增加。首次使用网络时，它只帮助普通大众接收各种信息和服务，并促进了信息交换。其实质上是一种虚拟信息媒体。但是如今，互联网已经逐渐成为人们交往的平台，个人现实生活越来越接近互联网，技术的进一步发展使网络的应用范围进一步扩大，手机电脑等终端设备既可共享信息又能够实现功能交互，技术的进步使计算机和手机等终端能够实现功能交互和信息共享，极大地促进了网络应用范围。以前侵犯个人信息是在个人计算机上，如今也可能在移动电话上发生，因此犯罪总数猛增。根据《2019年网民网络安全感满意度调查活动总报告》，个人信息保护和企业安全责任这两个指标很低，大约40%的网民认为个人信息泄露事件非常严重［4］。

（三）社会危害性加剧

在大数据时代，从日常消费到医疗、教育等关键决策，信息足迹无处不在，这些存储在不同系统中的足迹危害较小，但随着集中式数据库的建立，通过数据整合和信息聚合后的数据验证和相互解读，几乎所有的个人生活故事都可以被复制，个人信息的商业价值不如数据价值大。重要的是，在发生个人数据泄露事件时，刑事起诉的成本正在上升，特别是随着越来越多的衍生犯罪造成越来越大的社会危害。今天，针对人们个人数据的犯罪已经成为许多其他类型犯罪的基础，非法收集个人数据是网络诈骗和敲诈勒索等犯罪的主要原因，但偶尔针对个人财产的操纵、滥用和非法撤资，以及旨在泄露个人数据的犯罪网络的出现，将对社会和经济发展产生严重影响，并加剧了信任危机。

三、公民个人信息刑法保护中的问题

（一）个人信息含义不明确

由于司法实践性的不确定，刑法上至今对个人信息的含义不明确，关于个人信息的定义内涵不同的专家学者有不同的看法。由于解读不同，在法律层面，犯罪与否的界定就变得“模糊不清”。但是个人信息的司法解释又对个人信息犯罪有一种指导意义，因此，完善个人信息含义有重要意义。对个人信息的范围，应将其与个人隐私明确区分开，如果仅限于个人信息类别，则大部分受侵害的个人信息将不受保护。个人信息因其特殊性，在立法保护上不能绝对化，要在利用与保护之间做出平衡，经济的发展离不开信息的流通，如果采用“一棒子打死”的原则，那么势必会影响社会经济的发展。但是，与此同时，法律不应“沉迷”于调查寻求经济利益的侵犯隐私责任。因此，有必要在法定解释或司法解释中阐明个人信息的含义，以使相关负责机构能够更好地执行隐私相关事务［5］。

（二）刑事追诉方式不合理

法律规定个人信息侵害只能公诉，不能进行自诉。这样的规定既浪费司法资源，又不利于公民信息的妥善保护。如果司法机关一味机械适用法律反而达不到立法者设置本罪时所考量的目的，则是对司法资源的浪费，那么它也可以从暴露于隐私和其他广泛范围的个人数据中创建个人数据，使受害者陷入更加被动的不利境地。但是，如果将侵犯隐私罪完全释放给公民的自愿起诉，则可能发生严重侵犯个人信息的犯罪，甚至损害国家利益或造成社会秩序混乱。由于他们没有起诉个人，利益相关者也没有得到有效的救济，遭受了更大范围的损失。

（三）个人信息保护执法力度不严

由于对个人数据的保护没有具体的执法措施，企业、服务公司在收到个人数据后往往不好好保密，甚至在现实生活中出售和交换客户的个人数据，将个人数据用于非法牟利，部分执法人员进行非法操作，不管不顾的工作态度造成个人数据的泄露。执法机构之间的分工不明确，在保护个人数据方面也没有明确的任务分工。拘留所的个人数据监控系统并不完善，缺乏强有力的执法机构来打击犯罪和遏制个人数据的泄露。此外，执行不严是中国司法实践中普遍存在的问题，罪犯在服刑期间要进行积极的心理健康教育，让他们对自己过去的罪行进行深刻的反思，从而限制其犯新罪的可能性。

四、大数据时代公民个人信息刑法立法保护的策略建议

（一）完善基础定义

个人信息的含义非常丰富，不仅包括诸如姓名、年龄和出生日期之类的易于披露的信息，还包括诸如收入、财产、账户信息和犯罪记录之类的更多个人信息等等。在没有明确定义刑法中个人数据范围的情况下，那么在犯罪者是否已犯罪以及如何宣布犯罪方面就会存在重大漏洞。因此，刑法规定应当对公民的个人信息进行明确界定，例如，可以将公民的个人信息单独或与其他信息组合，确定所有信息都包含为公民的个人信息，并且作为大数据时代的特征，并与公民的个人信息和财产关系有关，以便在定义罪犯的犯罪活动时可以将其用作证据。此外，有必要根据现行刑法适当扩大公民个人信息犯罪行为的范围，并将泄露和非法使用等行为纳入犯罪行为。在大数据时代，公民的个人信息被认为是有价值的，合法地收集公民个人信息的一些单位和个人要是因为疏忽而将公民的信息泄露，就算泄露者是无心之举，但是，公民的个人信息具有一定的价值，犯罪分子很可能会利用它做违法的事情。若刑法能够涵盖这种违规行为，可以有效地唤起当事人的法律意识，减少公民个人信息泄露的发生。

（二）做到刑事责任确定更加科学化

刑法必须具有威慑力，以有效防止犯罪。但是，这并不意味着惩罚力度越大越好，因为这就违背了刑法劝人向善和教育人的初衷。对于侵犯公民个人信息罪，刑罚的原则仍然是以罚金为主，但应适当提高罚金数额，并根据犯罪人的危害程度和社会后果合理确定适用的罚金标准，情节较重的初步罚金标准应提高到违法所得的3倍，最高仍为5倍；对特别严重的案件应予加重处罚，对于特别严重的罪行，将被处以至少5倍但不超过10倍的罚款。为了有效预防犯罪，刑罚必须更具威慑力。然而，这并不意味着更严厉的惩罚是更好的，这否定了刑法的最初目的，即说服和教育人们向积极的方向发展。谈到涉及公民个人数据的犯罪，刑法的原则仍然集中在罚款上。但是，应根据犯罪人的犯罪程度适当提高和设定罚款，严重案件的罚款起点应提高到非法所得的3倍，最高为5倍，最严重案件的罚款应提高到5至10倍。此外，刑法应在刑事责任范围内包括非刑事制裁，如警告、悔过和道歉，对于对公民隐私造成较小伤害的犯罪，可以适当考虑这些刑事制裁，特别是在侵犯隐私对受害者造成一定心理伤害的情况下，除了适当的罚款、缓刑和其他处罚外，还应该对受害者进行警告处理。

（三）提高自我保护意识和能力

大数据的特点是增长率高，数据源多，主要威胁是数据的伪造和扭曲。缺乏数据保护意识也是造成数据泄露的一个主要原因。我们需要能够做出早期判断，提高个人判断力，从逻辑上弄清楚与个人数据和隐私有关的内容，并对一些基本应用进行加密。除了提升自我保护意识及能力外，还应将内部需求与外部开发的管理系统相结合，以有效保护我们的数据和隐私。网站和功能服务的提供者必须继续致力于保护用户数据和隐私，并加强自身和第三方的管理。此外，必须充分认识到披露个人数据的严重后果。对数据保护的法律和法规能够充分地认识、理解和遵守。还应重点了解我国的《网络安全法》《消费者权益保护法》等有关个人数据保护的法律，发现个人数据泄露和非法使用，应立即向监管部门报告，使其权益得到依法保护［6］。

（四）政府加快个人信息保护和监管

加强数据保护监管。继续推动通过联合调查组对非法和不当收集和使用个人数据的具体管理，各分支机构的相关部门在相关分支机构实施数据安全和个人数据保护措施，以建立一个长效机制。创新管控方式，建立第三方检测评估的监督认证机制，引导数据安全服务市场有序发展，不断强化网络运营者在个人数据保护领域的主动性。监管部门应加强总体监管，政府主管部门应建立基本的保护平台，企业应采取全面保障措施，用户应提高信息保护意识。为加强总体监管，监管部门应积极开展信息窃取的具体研究，并采取措施促进组织的合规性培训和认证，以及技术检查，引导他们尽可能地防止敏感信息的泄露。国家机关也可以把保护个人数据作为一项重要指标纳入各部门的绩效考核，以提高部门领导对个人数据保护的重视程度，从而加强各方面管理和技术要求的落实，提高部门对个人数据保护的普遍认识［7］。

综上所述，今天的经济正在迅速发展，而个人信息具有一定的商品价值，在这种情况下，有必要加强对公民个人信息的有效保护。然而，我国目前的刑法在这方面的规定还不够完善。需要建立一个强大而完整的体系，针对上述问题加强充分的法律保护和有效的监督。这不仅能确保公民的个人信息得到有效保护，而且能真正保障公民的合法权益。