公民个人信息的刑法保护探析

王克江

江苏苏诚律师事务所，江苏 苏州 215011

随着信息技术的不断发展，个人信息的保护问题日益受到人们的关注。保护公民个人信息是一项非常重要的任务，但是目前在刑法层面存在着一些问题，如保护主体范围不具体、入罪行为方式不健全、个人信息认定不统一以及空白罪状的规定与《刑法》总则的规定相冲突。

一、公民个人信息刑法保护的必要性

（一）个人信息安全状况

个人信息安全问题是一个全球性的难题，目前存在很多表现堪忧的情况，包括但不限于：非法获取个人信息：黑客攻击、恶意软件、网络钓鱼等方式可以非法获取大量个人信息。一旦个人信息被非法获取，可能导致个人隐私泄露、财产损失等问题。个人信息泄露：由于企业或机构的信息管理不当，个人信息被泄露的情况时有发生。这可能导致个人隐私被曝光，给个人带来巨大的精神和经济损失。个人信息被滥用：某些企业或机构可能滥用个人信息，例如将个人信息用于商业推销或者买卖个人信息，给个人带来骚扰和麻烦。信息泛滥和信息虚假：随着信息技术的发展，信息的传播速度越来越快，信息也越来越多。但同时也存在很多虚假信息、谣言等，可能导致公众的判断失误，对社会产生负面影响。人脸识别和生物识别技术的滥用：随着人脸识别和生物识别技术的广泛应用，个人生物特征数据的保护问题也越来越重要。如果这些数据被滥用或泄露，可能导致个人隐私泄露和个人权益受到损害。综上所述，个人信息安全问题是一个十分严重的问题，目前存在很多表现堪忧的情况。保护个人信息安全需要政府、企业和个人共同努力，建立健全的法律法规、加强信息安全管理，提高公众的信息安全意识。

（二）侵犯个人信息犯罪猖獗

个人信息犯罪是指通过非法手段获取、使用、泄露或者销售他人的个人信息，或者利用个人信息实施其他违法犯罪行为的行为。随着网络技术的发展和普及，个人信息犯罪日益猖獗，给人们的生产、生活和社交带来了极大的安全风险。个人信息犯罪的主要表现包括：个人信息泄露：指个人敏感信息被不法分子窃取，例如身份证号码、手机号码、银行账户等。这些信息被泄露后，可能被用于骗取钱财，影响个人财产安全。个人信息贩卖：指个人信息被不法分子收集后，以各种方式进行贩卖。这些信息被不法分子用于非法获利，可能会被用于违法犯罪活动，给社会带来很大的危害［1］。电信诈骗：指不法分子通过网络电话、短信等方式，伪装成银行、公检法等单位，诱骗受害人提供个人信息或者汇款等。一旦受害人提供了个人信息或者汇款，就可能导致经济损失和信用受损等问题。虚假销售：指不法分子通过网络平台或者社交媒体，发布虚假信息、虚假销售产品或者服务，诱骗受害人支付货款或者提供个人信息。一旦受害人支付了货款或者提供了个人信息，就可能面临欺诈和经济损失的风险。

（三）维护社会秩序和公共利益

个人信息泄露或滥用会对社会秩序和公共利益产生负面影响。例如，个人信息被用于诈骗、敲诈勒索等违法犯罪活动，将会危及社会的安全稳定和经济发展。刑法保护公民的个人信息，可以有效打击此类违法犯罪活动，维护社会秩序和公共利益。首先，个人信息刑法保护可以保护公民的个人信息不被非法获取、使用和泄露，保护公民的人身、财产和精神等合法权益，促进社会公正、和谐和稳定；其次，个人信息泄露、盗用、贩卖等犯罪行为会导致社会不稳定，引起公众的不满和不安，严重的会造成社会矛盾和危机。加强个人信息刑法保护有利于减少个人信息犯罪，保障社会稳定。此外，个人信息保护也与经济发展密切相关。个人信息的安全保护可以增强公众的信任，促进互联网经济的发展，同时避免个人信息泄露造成的经济损失和社会成本；最后，在当今的信息化时代，个人信息保护已经成为国家安全的重要组成部分。对于一些涉及国家安全的个人信息，例如军事、政治和外交等信息，保护的重要性更加显著。只有保护好个人信息，才能保护好公共利益，实现社会的和谐、稳定和发展［2］。

二、公民个人信息刑法保护存在的问题

（一）保护主体范围不具体

当前，我国个人信息刑法保护法规仅涉及到公民的个人信息保护，而其他主体的个人信息，例如企事业单位和政府机关的信息，尚未得到充分的保护。这种情况可能会导致这些信息在被泄露、盗用等方面受到侵害，同时也会影响这些单位的商业利益、行政效能和公信力。此外，在现有的公民个人信息刑法保护制度中，保护的主体范围并没有明确规定。因此，在实践中，很难确定哪些人可以被视为保护主体。例如，外国人和无国籍人是否可以成为保护主体，目前法律没有做出明确规定。一些学者和律师认为，外国人和无国籍人应该享有与中国公民同等的个人信息保护权利，因为这些人在中国也居住或工作，其个人信息同样需要得到保护。但是，当前的刑法规定仅涉及“公民”的个人信息保护，这就需要进一步明确法律的适用范围。另外，死者能否成为刑法保护的主体也是一个争议性问题。当前，《中华人民共和国民法典》（以下简称《民法典》）规定，死者的人格权受法律保护，但对于死者的个人信息保护却没有明确规定。因此，在实践中，如何平衡死者的人格权和个人信息保护权，需要进一步的探讨和明确［3］。

（二）入罪行为方式不健全

个人信息的保护范围很广，包括了信息的收集、存储、处理、使用、传输等多个环节。但目前我国的个人信息保护刑法主要是围绕着盗窃、非法获取、泄露等单一行为，而没有对其他方式的入罪行为作出具体规定。这种现象导致一些明显的违法行为不能被有效地制止和惩处。此外，《中华人民共和国刑法》（以下简称《刑法》）规定的入罪行为方式过于简单，无法适应当前互联网时代个人信息保护的复杂现实，也无法有效地打击各种新型个人信息犯罪行为。例如，当前社交平台上存在大量的假账号、假消息等信息，这些信息可能会被用于网络诈骗、敲诈勒索等犯罪活动。但是，在现行《刑法》中，针对这些行为的入罪方式过于简单，很难对这些行为进行有效打击。例如，《刑法》第二百三十三条规定“以非法侵入计算机信息系统罪入手的”，只是针对了入侵计算机信息系统的情况，无法针对其他更为复杂的个人信息犯罪行为进行惩治。因此，需要进一步完善个人信息保护相关的刑法规定，以更好地应对互联网时代的新型犯罪行为。具体来说，应该明确哪些行为可以构成侵犯公民个人信息罪，并且要将这些行为与现实中的各种具体情形相结合，制定更为科学合理的入罪行为方式，以更好地保护公民个人信息安全。

（三）个人信息认定不统一

个人信息认定不统一是指在个人信息保护领域，各个法律法规或司法解释对于构成个人信息的数量和类别的认定存在差异，这给个人信息保护带来了很多不确定性。个人信息保护刑法中的信息数量和类别并没有得到明确规定。这使得一些违法行为难以被定性，甚至无法入罪。还可能导致在不同的司法实践中，同一行为被认定为犯罪或不构成犯罪，这给个人信息保护带来了一定的不确定性。同时，一些法律术语的定义也存在模糊不清的情况，这会导致在实际法律适用中出现争议。

（四）空白罪状规定与《刑法》总则相冲突

在我国《刑法》中，对于某些行为缺乏明确的罪名称之为空白罪状。由于公民个人信息的保护是一个相对较新的领域，随着相关技术和应用的不断发展，可能会出现新的侵犯公民个人信息的行为，这些行为往往没有明确的罪名。此时，应该在《刑法》中规定相关的罪名，但实际上当前的《刑法》并没有对所有可能侵犯个人信息的行为进行明确的规定。目前，我国《刑法》中存在一些空白罪状规定，这些规定并未明确刑事责任的起点和终点，这会导致司法实践中的适用难度增大。此外，一些罪名和刑事责任的规定与《刑法》总则的规定存在冲突，这也对司法实践带来了一定的影响。这就导致了一个问题，就是空白罪状规定与《刑法》总则相冲突。《刑法》总则规定了刑罚适用的基本原则，包括法无明文禁止即可不罚、罪刑法定原则等等。如果将侵犯个人信息的行为纳入空白罪状，那么就会涉及到刑罚适用的问题。按照《刑法》总则规定，如果某个行为没有明确的罪名，就不能对其进行刑罚。因此，这与保护公民个人信息的需要相冲突。为了解决这个问题，需要对《刑法》进行修改，将涉及个人信息的行为纳入《刑法》的范畴，明确相关的罪名和刑罚。同时，也需要制定相关的法律法规，以便更好地保护公民个人信息的安全。

三、公民个人信息刑法保护的完善

（一）实现个人信息保护的主体范围的具体化

实现个人信息保护主体范围的具体化需要在法律层面进行规定。制定相关法律，需要考虑到人类社会的多样性和个人信息保护的普遍性，避免法律规定的空白和盲点，确保个人信息的全面保护。首先，在保护主体的范围上，应明确规定包括哪些人群。这应包括公民、无国籍人、外国人等，以保护在中国境内的所有人的个人信息安全。其次，应考虑到不同人群、不同信息所需的不同保护措施。例如，对于未成年人的个人信息保护应更为严格，要求收集、使用、存储等行为必须获得其监护人的同意；对于个人的敏感信息（如健康状况、犯罪记录等），则应当更加谨慎，并对相关单位和个人加强监管。最后，具体认定个人信息，应该有清晰的定义和分类。例如，规定哪些信息属于个人隐私、哪些信息不属于个人隐私，对于特定的信息应给出严格的认定标准，以避免因认定不一致而导致的保护失误和法律争议。总之，实现个人信息保护主体范围的具体化需要考虑到不同人群的需求和信息的特性，并通过明确的法律规定进行具体化，以确保个人信息的全面保护。

（二）健全入罪的行为方式

首先，精确定义个人信息相关犯罪行为。立法者应该对个人信息犯罪行为进行更加精准的界定，以明确哪些行为构成个人信息犯罪。同时，要根据技术发展和社会需求及时修改相关法律法规，以保证法律的适用性；其次，引入新的个人信息犯罪行为。随着技术的不断发展，一些新的个人信息犯罪行为也应该被纳入《刑法》的范畴中。例如，恶意程序的传播、网络钓鱼、网络诈骗等行为，这些行为在现实生活中日益猖獗，也应该被《刑法》明确规定。此外，建立行为和后果之间的直接关系。立法者应该在法律中明确规定个人信息犯罪行为与其产生的后果之间的直接关系。例如，对于非法获取、出售他人个人信息的行为，法律应该规定该行为的后果是给他人造成经济损失、精神困扰等，以加强个人信息犯罪行为的打击力度；最后，建立差别化的处罚体系。针对不同类型的个人信息犯罪行为，应该建立相应的差别化的处罚体系。例如，对于非法获取他人个人信息的行为，应该根据获取的信息数量和敏感程度来进行量刑，以区别对待。同时，应该加大对个人信息犯罪的打击力度，对于情节严重的犯罪行为，应该给予更严厉的刑罚。通过以上措施，可以有效健全入罪的行为方式，从而保障公民个人信息的安全，维护社会秩序和公共利益。

（三）统一个人信息的认定

首先，制定明确的个人信息定义。要制定明确的个人信息定义，以确保相关法规和司法实践中的个人信息概念是一致的。这个定义应当包含个人信息的类型、来源、处理方式和保护范围等方面的内容；其次，制定个人信息分类标准。为了能够对不同类型的个人信息进行针对性的保护，需要制定个人信息的分类标准，以便对不同类型的个人信息进行不同程度的保护；最后，《刑法》统一个人信息保护标准，促进法律适用的一致性。为了促进司法实践的一致性，需要加强各地法律人员的培训和交流，加强法律适用的一致性。这些举措可以有助于在刑法层面实现统一的个人信息认定，从而更好地保护公民的个人信息安全。

（四）空白罪状的规定与《刑法》总则的规定保持一致

空白罪状的出现一方面反映了社会现实的复杂性和变化性，另一方面也暴露了《刑法》的滞后性和不足之处。要使空白罪状的规定与《刑法》总则的规定保持一致，需要通过立法和司法实践两个方面来解决。首先，在立法方面，需要不断完善相关法律法规，明确新型犯罪行为的性质和罪名［4］。例如，当前亟待完善的《中华人民共和国个人信息保护法》就可以将个人信息泄露等行为纳入刑法范畴。此外，还可以结合国际惯例和经验，借鉴发达国家相关立法，积极开展调研，从而使《刑法》规定更具适应性和前瞻性；其次，在司法实践方面，需要各级法院加强对空白罪状的适用和解释。这需要法官们具备较高的专业素养和法律水平，熟悉社会现实和犯罪趋势，对犯罪行为进行准确认定，并能够对不同情况作出恰当的量刑和判决。此外，还需要各级法院积极开展案例研究和交流，以优化司法实践，不断提高司法公正和效率。总之，要使空白罪状的规定与《刑法》总则的规定保持一致，需要各方面的共同努力，通过多方面手段的协同作用，不断推动刑法的进步和完善。

四、结束语

个人信息保护是当今社会的一项重要任务。在刑法层面，要加强个人信息刑法保护，维护社会秩序和公共利益，需要在保护主体范围、入罪行为方式、个人信息认定和空白罪状等方面进行完善。