公民个人信息刑法保护

摘要:为保护我国公民个人信息安全，我国刑法对公民个人信息保护作了相应的具体规定。立足于公民个人信息的界定，分析了现有的刑法规制条款，发现在罪名主观阶层设置、前置性法律保护、侵犯个人信息罪的起诉模式及入罪行为方式规定等方面还存在一些难点问题。提出了区别设置罪名主观阶层、完善前置性法律、科学界定入罪行为方式及增加受害人自诉模式等建议，以期推进公民个人信息保护制度的进一步完善。

关键词:公民个人信息;刑法规制;完善立法

1相关研究与问题提出

随着信息技术的发展，“公民个人信息”概念已经越来越为人们所关注。公民个人信息作为对公民自然人身份或者是活动情况加以识别的标识，包括以电子或者其他方式记录的公民个体姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况及行踪轨迹等。由于公民信息具有涉及公民个体一切有价值意义的情报或者资讯的属性，因此成为法律关系的客体之一，国际上有许多国家专门立法对公民的个人信息给予法律上的保护。如美国在以《隐私法》层面对联邦政府机关收集、使用和散播个人信息的行为进行规范的同时，还通过《健康保险便利及责任法》《电缆通信政策法》《电话消费者保护法》《儿童网上隐私保护法》以及《家庭教育权利和隐私法》、《驾员隐私保护法》《金融服务现代法》等私人行业领域对公民个人信息予以保护;德国在《刑法》《安全审查法》中对侵害私人生活、言论、通信、探知数据及隐私等设立具体的保护条款;日本在《日本刑法典》中有关于泄露秘密罪的规定，在《个人信息保护法》中针对个人信息的获取、利用目的、向信息主体发出通知、安全管理措施、对从业者的监督、对被委巧人的监督、个人信息的公布及公开、个人信息的修正及停止利用等环节，均设置了详尽的规定。

我国对于公民个人信息保护的立法起步较晚，以2009年国家在《刑法修正案(七)》中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪这两种侵犯公民个人信息的犯罪的规定为标志，开启了以刑法手段对公民个人信息予以保护的立法进程。在此之后，又相继设立了如《护照法》《身份证法》《统计法》等专项法律。截至目前，我国有近40部法律、30余部法规以及近200部规章涉及公民个人信息保护，其中包括规范互联网信息规定、医疗信息规定及个人信用管理办法等。

2015年11月《刑法修正案(九)》的颁布表明，随着我国法制化社会进程的推进，公民个人信息的保护已经越来越受到国家层面的重视。通过源头立法对公民个人信息予以保护也说明随着信息化社会的到来，从法理上来说，无论是基于公民身份的确定，还是公民个人信息范围的确定以及与之相对应的出售、非法提供公民个人信息罪的主体问题、侵犯公民个人信息犯罪的主观罪过问题、非法获取公民个人信息行为的司法认定问题已经成为司法实践中的难点，为保护我国公民个人信息，我国在刑法中明确了相应的条款。但从具体的司法实践来看，依然存在着有待改进之处。例如，广东省广州市越秀区人民法院一审判决，被告数人应用“内鬼”加“黑客”方式，非法盗取了35万多条其他人的个人信息，故该地法院以侵犯个人信息罪为由实施了相应的审判。根据对该案件的分析得出，伴随着电子信息技术的持续发展，个人信息将更加容易被他人盗取，更容易受到他人的非法侵犯，故有必要以刑法的方式完成对该类犯罪的规制。在《刑法修正案(九)》中对个人信息犯罪进行了规制，其在原有法律条款的基础之上，进一步增加了处罚的范围。2017年6月，最高人民法院和最高人民检察院(以下简称“两高”)了有关侵犯个人信息犯罪法律02管辖规制的司法解释，并完成了对个人信息的明确定义，指出以电子及其他办法所记载的可以反映出自然人身份及其行为情况等的信息都属于个人信息，如个人姓名、身份证号码、电话号码、家庭住址以及账号密码等。由此可以看出，国内刑法有着与时俱进的优势，能够有效完成对个人信息的保护。但就《刑法修正案(九)》中对侵犯个人信息罪的类别划分来看，其将该类犯罪划在了侵犯名誉与隐私方面，而两高所颁布的司法解释中也并未对该类犯罪的属性进行明确划分，故此类新形式的犯罪在理论、实践等方面仍存在着一些不尽如人意的地方，需要进一步优化，以能够在法律层面对个人信息进行更为完善的保护。

2对公民个人信息刑法保护的思考

2．1主观入罪标准的设置方面

从新修订的《刑法修正案(九)》来看，当前的主观入罪标准是必须行为人主观持故意心态才可以定罪处罚，而过失心态不会入罪。新修订的刑法修正案进一步拓宽了入罪的范围，以往的《刑法修正案(七)》中把犯罪主体定义成公共管理者与公共服务提供者这两大特殊的群体。当前，随着政府权力的下放，能够通过各种渠道收集和掌握到公民个人信息的单位与个人越来越多。故《刑法修正案(九)》结合当下社会的发展现状，将原本特殊的犯罪主体范围进行了拓展，将其定义成了一般主体。其指出，当犯罪主体出现了侵犯个人信息的问题时，倘若其在主观上为有意识的，那么就可以认定其构成了侵犯个人信息罪。笔者认为，在主观阶层认定方面，应当依据主体的注意义务的不同区别对待。对于一般不具有公权力性质的单位、个人，由于其获取信息的能力较之具有公权力主体而言，渠道窄、数量也不多。这些主体相对于公权力主体来说，对于犯罪危险的主体义务相对较低，不能随时保持谨慎的心态。因此，笔者认为除具有公权力的主体外，其他主体在主观归罪标准上仍要求持故意心态即可。反之，对于具有公权力的主体，其负担的社会义务较多，承担着更多的对于公民个人信息的保密义务等。如公权力主体中的信息主管主体由于过失造成严重后果，该信息主管主体应该因过失承担刑事责任。这样一来，有助于加强公众对于社会管理的信任，也有助于打击犯罪。综上所述，对于该罪主观阶层的认定，应当依据责任主体的注意义务的不同区别对待。

2．2前置性法律保护体系方面

由于公民个人信息具有广泛性、复杂性特点，因此，对公民个人信息保护的相关条款只有更为宽泛、严谨和具体才有可能对司法实践中的具体案例从法律规定的角度提供详尽的处理依据。但是，从目前我国已有的公民个人信息保护法律条款来看，涉及公民个人信息的具体条款散见于《刑法》《护照法》《身份证法》《统计法》等多部法律、法规之中，造成目前我国前置性法律保护体系碎片化，难以完成对信息犯罪问题的彻底规制。就国内目前对个人信息的保护措施来看，其适用范围仍然有待进一步拓展，可参照未成年人保护法，以列举的方式详细规定侵犯信息的种类以及需要承担的法律责任，以相关主体间的协同联动，保障打击个人信息犯罪的有效性。

2．3对出售个人信息行为的入罪规定

就《刑法修正案(九)》中有关出售以及提供个人信息的表述来看，出售是指不顾他人的信息安全，将处于本人控制下的个人信息交换与他人，以获得金钱或其他财产性利益作为对价。提供是指将处于本人掌握的个人信息擅自转交与他人。根据文义解释，出售行为与提供行为相比，在主观恶性以及社会危害性方面更为恶劣，并且是出于一种主观的有意侵权行为，所受到的相应处罚也应该比提供更为严厉，而《刑法修正案(九)》中的法律条文将出售、提供行为并列表述，并且以同样的定罪标准进行定罪处罚，认为出售、提供行为在主观恶性、社会危害性方面具有同价性。这种在条款中将出售与提供相提并论的表述方式，无论是从文理上还是法理上，都实际造成了出售与提供同处于同等违法层次的等价性层面。此外，分析《刑法修正案(九)》以及“两高”所作出的司法解释，该类法律条款只是完成对出售与获取行为的详细阐述，并实现了对其他方法盗取个人信息办法的界定。然而笔者认为，这种界定，实际上只是对导致个人信息外泄的上游行为的界定，对于对所获得的信息及非法利用下游行为并没有具体的界定。在司法实践中，上游行为的产生，仅仅会造成个人信息外泄的风险，下游行为的发生才可能会真正造成个人信息及利益的损害。个人信息的不正当利用很可能会为诈骗犯罪以及敲诈、绑架等犯罪提供信息基础，是引发其他类犯罪的重要根源。

2．4侵犯个人信息罪的起诉模式

《刑法修正案(七)》第一次把侵犯个人信息犯罪纳入了刑法规制的范围之内，而在对犯罪主体的界定上存在一定的特殊性，将其定义为公共主体。当该类公共主体出现了侵犯个人信息的行为时，不仅会直接损害个人信息法益，还会在很大程度上降低政府部门的公信力，故将追诉的实施过程设置为12公诉。而在《刑法修正案(九)》中进一步拓展了犯罪主体的范围，将犯罪主体定义为一般群体，故无论是谁在出现侵犯个人信息行为时，都需要承担相应的法律责任。有效打击了犯罪行为，切实保障了个人的权益。

3公民个人信息刑法保护的相关建议

3．1区别设置入罪主观阶层

伴随着信息技术的持续发展，个人信息的侵犯与非法利用将很有可能导致更加严重的后果。在原有犯罪仅主观故意的基础上增设过失犯罪，加强了刑法对于个人信息的保障。当然，过失犯罪的设置应具有严格的限定，否则违反刑法谦抑性原则。笔者认为，信息管理主体对于个人信息的保护和管理义务因其自身职业、技能、职责的不同而不同，不可以认为所有犯罪主体均可以以主观过失归罪。《刑法修正案(七)》中将犯罪主体定义为公共事业机构中收集个人信息的机构及相关个体。对于其他犯罪主体而言，仍适用主观故意进行归罪的标准。这样，对于不同的犯罪主体，因其注意义务的不同，在主观归罪方面区别对待，从而体现刑事立法的科学性和实践性。

3．2出台前置性法律

正如前文所言，公民个人信息具有广泛性、复杂性等特点，而我国目前尚未建立起严格、系统的侵犯个人信息行为的分类与惩处机制，导致较多侵犯个人信息的行为在处置时没有相应的法律依据，造成该类行为难以得到法律的有效惩处，从而影响了个人信息的保护程度。为了能够让刑法关于公民个人信息安全的保障落到实处，应从我国国情出发，实事求是，尽快出台如《个人信息保护法》等相关前置性法律法规，完善机制，真正发挥刑法的保障功能。

3．3科学界定入罪的行为方式

目前个人信息犯罪问题仍然较为严重，甚至还形成了侵犯、利用一体化的黑色产业。为有效遏制和严厉打击该类犯罪，有必要进一步扩展入罪范围。例如，前文所述的条款只对信息犯罪中的上游侵权行为进行了界定，未将下游的侵权行为纳入条款的规定，建议以2017年颁布的《治安管理处罚法(修订公开征求意见稿)》中“侵犯个人信息的下游行为，如利用、传播等都需要承担相应的法律责任”的规定为参照，将下游犯罪行为一并纳入刑法管理惩处的范围之中，以维护法律的公平、公正。结合上文所述，针对侵犯与非法利用个人信息行为所造成问题的严重性及该类行为在黑色产业中的实际作用，可以将非法利用公民个人信息的行为单独列为一款，并作为该罪条文表述的最后一款，也就是兜底条款。在解决了入罪问题的基础上，法律条文的行文表述同样值得研究。其一，在非法利用行为入罪的前提下，不需设置条件，直接表述为利用公民个人信息;抑或是增加“非法”，将其表述成非法或违反相关规定利用公民信息。其二，法定刑应当如何认定问题。笔者倾向于法律条文表述为违反国家有关规定利用公民个人信息。伴随着国内信息化发展步伐的持续加快，将收集、利用个人信息的行为全部归于刑法的规制范围内显然是不现实的，故如果不加以相应的限制，很有可能导致司法机构在处理该类问题时擅自决断，难以切实保障司法过程的权威性。

3．4增加规定受害人自诉模式

目前，刑法对侵犯个人信息行为的诉讼只能以公诉来进行，而根据《刑法修正案(九)》中的相关内容能够得出，对于侵犯个人信息罪的法益保护已经由社会逐渐转向了单独的个体。当前社会个人信息流转较快，个人的名誉、隐私受到侵犯的危险性与日俱增，单一的追诉模式难以有效地惩处犯罪。笔者认为，可依据犯罪行为主体性质进行具体划分。对于具有公共管理职能、公共服务职能的政府机构或其他社会服务机构具有犯罪行为的，由于其掌握公民个人信息渠道广、数量多，对于社会的影响较大，仍应按照公诉的追诉模式，在公诉机关不公诉的情况下，公民个人可以自诉。对于普通单位或者个人侵犯公民个人信息的行为，若侵犯信息数量较大，社会危害性较严重，仍由公诉机关公诉，并包括公诉转自诉的方式。反之，若侵害信息数量较小，社会危害性较轻，且这种情况在实际生活中也较为常见，应在尊重受害公民自主选择权的基础之上，设立自诉为主，公诉为辅的追诉模式。

4结语

依据刑法保障公民个人信息安全势在必行，但是，我国对于公民个人信息的保护仍处于初级阶段，在罪名主观阶层、入罪行为模式、追诉模式、前置性法律方面仍存在不足之处。公民个人信息的保护是与时俱进的过程，其理论以及实践问题需要不断探索与思考，需要立法者们持之以恒的努力，合力推动公民个人信息刑法保护体系的日臻完善。

参考文献:

［1］廖宇巧．侵犯公民个人信息犯罪"情节严重"认定研究［J］．法律适用，2016，36(2):111-116

［2］陈金林．刑法意义上的"人"的起点:多维度视角的综合分析［J］．政治与法律，2015，23(3):77-88

［3］刁胜先．个人信息网络侵权责任形式的分类与构成要件［J］．重庆邮电大学学报:社会科学版，2014，17(2):28-35

［4］皮勇．大数据时代个人信息的刑法保护［J］．人民检察，2015，22(17):34-37

［5］曲新久．论侵犯公民个人信息犯罪的超个人法益属性［J］．人民检察，2015，8(11):5-9

［6］于志刚，李源粒．大数据时代数据犯罪的类型化与制裁思路［J］．政治与法律，2016，12(9):13-29

［7］李丹丹．论个人医疗信息的法律保护［J］．吉首大学学报:社会社科学版，2015，8(2):44-45

［8］任孚婷．大数据时代隐私保护与数据利用的博弈［J］．编辑学刊，2015，33(6):41-42

［9］李怀胜．公民个人信息的刑法保护思路［J］．中国信息安全，2017，26(1):212-216

作者:杨培华 单位:安徽大学法学院