大数据时代下侵入公民信息系统罪的设立

2017-03-06文立彬

理论月刊 2017年10期

关键词：规制个人信息刑法

□文立彬

（广西民族大学法学院，广西南宁 530006）

大数据时代下侵入公民信息系统罪的设立

□文立彬

（广西民族大学法学院，广西南宁 530006）

大数据时代下，个人信息的安全保障与风险管控被提升到了新的高度。侵犯个人信息犯罪呈现隐蔽性、牟利性和引发二次犯罪的特点，具严重的法益侵害性。面对日益严重的侵犯个人信息犯罪问题，刑法有必要审慎地扩大规制范围，增设侵入公民信息系统罪，设置有针对性的刑罚措施，从信息安全的源头管控风险。

大数据时代；人为风险；个人信息安全；侵入公民信息系统罪

个人信息具有人身和财产的双重属性，在大数据背景下显得尤为重要。大数据产生的科技变革不仅将人类社会从信息化引领至智能化的时代，更将科技的风险、人为的风险、信息的风险提升到了前所未有的高度。本文拟以大数据时代对犯罪行为的影响为视角，分析刑法的时代转型应对和个人信息犯罪的现实状况，探索一条适合我国个人信息刑事防控体系构建的合理道路。

1 问题的提出

在当前社会经济日益网络化的背景下，大数据带来的变革从技术领域逐渐延伸至社会的多个维度，蔓延至生活的诸多层面。个人信息的重要价值日益凸显，但同时也导致了一些风险与危害。近年来，由于个人信息交易频繁且规制措施不力，导致个人信息买卖猖狂，我国正面临严峻的个人信息安全问题。据统计，公安部采取个人信息犯罪专项打击行动以来取得了较为显著的治理效果和社会效果①据公安部网站的统计，自2016年公安部部署全国公安机关开展打击整治网络侵犯公民个人信息犯罪专项行动以来，累计侦破刑事案件1800余起，抓获犯罪嫌疑人4200余人，其中抓获银行、教育、电信、快递、电商网站等行业内部人员390余人，查获各类公民个人信息300余亿条，清理违法有害信息42万余条，关停网站、栏目近900个。。这恰好说明了我国政府对于打击个人信息犯罪的坚定态度，且表明了民众对于侵犯个人信息行为的深恶痛绝。有学者就自由价值与安全价值的关系指出，自由容易被社会个人或团体所滥用，为了实现社会的安全和福利，自由应当受到必要的限制。反之，社会民众均可能成为滥用自由的受害人［1］。

个人信息犯罪的发展与壮大离不开大数据的环境。大数据被归结为四个典型特征，即数据量大、数据变化速度快、数据内容庞杂、价值密度太低［2］。在大数据背景下，个人信息所具有的人身属性和财产属性凸显重要。从立法层面考察，个人信息不仅体现为人格权的内容，更在新修订的《民法总则》中明确规定为民事权利。据此，保护个人信息安全和惩处个人信息犯罪应当两手抓且两手都要硬。对此，打击、惩处侵犯个人信息的行为应当符合针对性、体系性和实效性的要求。针对性是指依据个人信息犯罪的网络依赖性和牟利性进行打击；体系性是指根据侵犯个人信息的程度进行区别化的规制；实效性是从规制可行性和规制目的性来考察制度的设计是否有效。从个人信息犯罪刑事立法的层面考察，目前对于侵入公民信息系统行为，我国现行立法对此缺乏专门性的规定，采用扩大解释的方式将计算机犯罪的罪名①计算机犯罪的罪名包括：非法侵入计算机信息系统罪，非法获取计算机信息系统数据罪，非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪，破坏计算机信息系统功能罪。适用于侵入公民信息系统的行为。在大数据时代下，个人信息的保护强调安全保障和风险管控，提倡立法及时性和规制有效性。笼统地将所有侵入公民信息系统的行为纳入破坏计算机系统的范畴，立法未免略显滞后，难以实际发挥刑事立法的诸多机能。基于此，有必要从立法层面来深入探讨大数据时代下设立侵入公民信息系统罪的必要性和可行性。出于行文便利，本文中的“个人信息”与“公民信息”属同一概念，下文不再赘言。

2 大数据时代下刑事立法的应对与转型

风险社会的到来，互联网的普及和大数据的发展，预示着人为风险已经逐步取代自然风险成为了威胁人类社会安全的主要因素。在此背景下滋生的新型犯罪类型，具有科技性、人为性和危害性的主要特征，值得深入探究。

2.1 新型犯罪行为危害的凸显

有专家提出世界正处于第四次工业革命的进程中，以互联网的普及为生命线，以云计算、人工智能为代表，进一步提高生产力的同时也预示人类正踏入布满人为风险的社会。就现代社会的风险而言，可概括为三大特征：其一，风险的科技性，即新兴产业发展高度依赖科学技术。科技人才培养、科学技术创新、国家科技战略已成为大多数国家发展绿色经济的道路。从反面看，科技带来的影响也正威胁着社会安全，比如个人信息犯罪对于人格权、个人信息权的侵犯，环境污染犯罪对于环境法益、社会利益的侵蚀以及食品安全犯罪对于不特定多数人的人身安全的侵害。其二，风险的人为性。现代社会风险的产生相较于传统社会的自然风险而言，多为人类生产需要、生活需求所制造的风险，例如大型工程机械、高速公路、民航客机，风险管控不当均会导致严重事故的发生。其三，风险的危害性。危害性不仅体现在风险的隐蔽性，还体现于风险的混合性。隐蔽性又称潜在性，指风险的上升与后果的发生不一定能即刻发现，而且需要经过一段时间的累积和转化，因此风险的发展变得难以预知和控制；混合性是指人为风险和自然风险的混合，区域风险与国际风险的相互影响［3］。风险社会的到来，以互联网普及和大数据发展为契机，警示着我们正面临着层出不穷的新型犯罪的威胁。科技推动社会的发展的同时，也能造成无法挽回的严重后果。诸如信息犯罪、醉酒驾驶、环境污染等新型危害行为造成的社会危害已远远超过了传统的危害行为②传统的危害行为如杀人、抢劫、盗窃等。。在大数据时代，个人信息犯罪的危险具有潜在性，如易引发二次犯罪，正是这种犯罪特征使得公众难以防范和管控风险。并且，该种危险一旦转化为现实则难以预测危害后果造成的影响。

2.2 现行刑事立法规制个人信息犯罪的困境

个人信息犯罪的日益增长反映了社会控制的衰减。在我国传统社会背景下，人们的需求相对单一，行为类型固定，国家基于社会治理经验制定简单的规范就能满足民众的基本需求并控制社会。但在当今社会，人们思想多元，在经济发展浪潮下，一些人不择手段地追逐利益，社会道德日益下降。大数据时代下危害行为的方式呈现多端演化的态势。国家的社会管理水平及社会管理制度若没有及时调整，在某些方面就无法有效地满足民众及社会的需求，最终导致国家社会控制能力的衰减。对于个人信息犯罪的梳理，可从以下几点进行把握。

2.2.1 现行个人信息保护体系衔接有待完善。在个人信息刑事立法层面，我国将个人信息犯罪罪名规定于《刑法》之中。就“大一统”的刑事立法模式选择，有学者认为，“以一部刑法典规定所有的犯罪及其刑罚,有着自己的优点，由于刑法典具有较大的威慑力，从消极的一般预防的角度而言,有利于预防犯罪；由于刑法渊源集中、统一，从形式上看有利于司法机关适用”［4］。截止目前，我国以平均二年一部修正案的频率通过了九个刑法修正案，但从客观的角度考察，“大一统”式立法模式弊大于利。“试图在一部刑法典中规定所有犯罪的梦想迟早会破灭的，论证了今后刑事立法应该采用分散性立法模式的必要性和可行性。”［5］就目前，我国尚未颁布专门的个人信息法律。对于侵犯个人信息行为的规制，不仅需要民事法律对概念、范围、原则和责任进行规定，还需要有行政规定对达到一定程度的侵犯个人信息行为进行处罚，更离不开刑事立法对达到犯罪程度的侵犯个人信息行为进行规制。即对侵犯个人信息行为进行层次化、体系化的监管和规制，实现法律的规范作用和惩罚作用，让犯罪人和虞犯者认识到犯罪的高成本和低收益，从而放弃犯罪、不敢犯罪，现行的个人信息犯罪惩罚制度很显然没有很好地实现这一点。

总之，就个人信息犯罪的规制体系的完善而言，有必要实现附属刑法的积极作用，出台个人信息保护的专门立法，实现民事、行政和刑事立法的有机统一和协调规定。

2.2.2 现行个人信息犯罪规制范围有待拓展。《刑法修正案（七）》规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，《刑法修正案（九）》将上述两个罪名调整成为了侵犯公民个人信息罪，实现了对犯罪对象的扩充、犯罪主体的调整、入罪门槛的降低和刑罚力度的加重，这对加强个人信息保护起到了有益作用。然而，个人信息犯罪的规制范围仍有待完善。具体而言，现行刑法规定的个人信息犯罪行为主要包括出售、提供和非法获取，保护的对象是个人信息。值得注意的是，公民信息系统有必要通过独立罪名进行保护。“信息系统”在《联合国国际贸易法委员会电子商务示范法》中有较为明确的界定①《联合国国际贸易法委员会电子商务示范法》第2条（f）规定，信息系统是指编制、发送、接收、储存或用其他方法处理数据电文的系统。。公民信息系统则是在信息系统的基础上将公民信息作为对象的系统。根据我国现行《刑法》，对于破坏计算机系统的行为，以破坏计算机系统罪论处；对于侵入特定领域计算机系统的行为，以非法侵入计算机信息系统罪追究行为人责任；对于非法侵入公民信息系统的行为，则采用了扩大解释的方式予以规制②《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第十一条规定，本解释所称“计算机信息系统”和“计算机系统”，是指具备自动处理数据功能的系统，包括计算机、网络设备、通信设备、自动化控制设备等。。涉及公民信息的系统不仅指计算机系统，还包括了网络设备、通信设备、自动化控制设备等。笼统地将所有侵入公民信息系统的行为归入计算机犯罪的范畴，不仅忽视了通信设备在公民信息系统中所占据的关键地位，而且还不利于发挥刑法规范的行为指引和行为评价作用。在互联网和大数据时代，公众的吃喝住行较之从前更依赖于通信设备。进而，通信设备通常储存着数量较多、敏感性高的个人信息。因此，一方面有必要拓宽刑法规制个人信息犯罪的范畴，将达到一定程度的侵入公民信息系统的行为纳入犯罪，另一方面将侵入公民信息系统的行为独立成罪，周延保护法益。

2.3 大数据时代下刑法的转变

风险社会理论为刑事立法的发展开辟了一条新的路径，即对传统刑法进行体系性的反思。面对大数据带来的新型犯罪冲击，刑事立法逐渐强调安全保障、凸显规范遵守，同时展示刑法以积极姿态应对挑战。

首先，刑法的前置化倾向。法前置化意味着法益保护时间序列的提前化，在二元行为无价值论理论的引导下，刑法不仅惩罚侵害法益的行为，还将严重违反法律规范的行为纳入犯罪。刑法的前置化主要表现于处罚未遂犯、危险犯和预备犯。近代法治构建以市民法为基本要素，强调市场竞争的自由性，在维护社会秩序的同时保障市民的自由和权利，进而在刑法上要求限制国家的权力，因此以对法益造成实际损害的行为为标准，将结果犯纳入刑法规制，只在例外的情况下处罚未遂犯、危险犯和预备犯。随着互联网和大数据的深入发展，社会生活的科学化与高度技术化，不仅使个人行为所具备的惹起损害的潜在可能性显著提升，而且在产生个人蒙受重大侵害可能性的同时，若阻止结果发生太迟的话，则有提早刑法介入之必要。在个人信息犯罪规制层面，不仅应注重对非法利用个人信息行为的治理，而且应当重视对个人信息犯罪的预备行为进行惩处,如侵入公民信息系统之行为。

其次，责任主义功能化。强调安全保障和风险控制的刑法理论将转变传统的罪责理论，将罪责判断标准从以行为人意志自由为基础的非难可能性判断转型为以预防必要性为判断根据。“没有责任就没有刑罚”是传统责任主义的经典表述。责任原则被认为是限制国家刑罚权扩张的限制性原理，能够防止国家刑罚权的恣意行使，避免国家对公民自由的过度干涉。而风险刑法的归责原则试图调和罪责原则与刑罚目的之间的关系，建立同时符合“个人不被刑罚工具化”和“维持社会秩序所必要的目的”的罪责判断标准。即采取一种预防性罪责论，承认罪责本身的目的性［6］。就个人信息犯罪而言，不仅应注重对危害后果的追责，还应当重视行为人对法律规范的不服从心态的矫正。侵入公民信息系统的行为正说明了行为不服从法律的规范，对非法获取、利用公民信息持故意的主观态度，且对公民信息泄露将导致的危害后果持放任心理，因此侵入公民信息系统之行为具有刑事可罚性。

2.4 侵入公民信息系统罪设立的正当性

相较产生于自然经济条件中的自然犯而言，法定犯的设置是国家为了适应新型安全需要而将某类行为纳入犯罪，通过刑罚加以威慑。侵犯个人信息行为具有严重的法益侵害性和道德谴责性。大谷实曾指出，行为对法益侵害程度的轻重，是犯罪化的重要标准。道德谴责性之核心在于行为的反道德性、反伦理性和非人性［7］。诸如非法刺探、非法获取、非法利用他人个人信息的行为是对他人人格权、个人信息权的侵害。因此，个人信息保护有提前之必要，即将侵入公民系统的行为规定为犯罪，进而积极预防个人信息被他人非法获取、利用、曝光可能导致的危害后果发生。从犯罪阶段来看，侵入公民信息系统罪是侵害公民信息罪的预备状态，侵入公民信息系统的行为在很大程度上将引发二次犯罪，如电话诈骗、网络诈骗、入户盗窃、入室抢劫等。对于个人信息犯罪与二次犯罪的紧密关系，是对我国多地已经发生多起案件进行的规律总结。因此，将侵入公民信息系统的行为独立成罪，既有利于构建个人信息犯罪刑事规制体系，形成体系化规制、针对化打击，更有助于发挥刑法的自由保障机能。

2.5 大数据时代下刑事政策的调整

刑事政策是国家关于预防、控制犯罪的各种方针的总称。德国刑法学家李斯特曾指出：“最好的社会政策就是最好的刑事政策”。刑事政策反映了一个国家应对犯罪的基本立场和态度，在大数据的背景下新型犯罪层出不穷，因此有必要适时地调整我国的刑事政策。第一，及时调整犯罪圈划，将新的犯罪类型补充到刑法之中，并且发挥附属刑法的积极作用以弥补刑法修订的滞后性；第二，在法律责任的设计层面，应注重民事赔偿责任、行政处罚责任和刑事惩罚责任的有机衔接，根据不同的危害程度适用有区别的法律后果，正确落实罪责刑相适应的基本原则；第三，在防控措施的设定层面，应用科技的方法解决科技带来的危害后果。例如对于在网络平台上非法公开公民的个人信息，一方面通知网络平台经营者及时删除相应的信息，另一方面通过网络地址追踪的方式，锁定嫌疑人。总之，在以大数据时代为重要表征的风险社会中，审慎且适时地调整刑事政策，进而完善犯罪圈划、优化制裁措施、提升科技水平，将可积极作用于个人信息安全的整体保障。

3 侵入公民信息系统罪构成要件之建立

“当刑罚威胁的目的在于威慑潜在的违法人员时，那么，只有在实施前就已经尽可能准确地在法律中对禁止行为加以规定的情况下，才有可能获得所希望的心理遏制。”［8］《刑法》没有将侵入公民信息系统的行为纳入刑法规制范围，以计算机犯罪的罪名对该种行为进行刑事追溯难以实现惩罚的针对性，增设侵入公民信息系统罪具有现实需要。就个人信息犯罪的规制体系建设而言，一方面坚持刑法的谦抑性，小心谨慎地拓宽刑法规制的范围，另一方面就新增犯罪设置针对性的制裁措施。通过个人信息犯罪规制体系的合理设计，将有利于细化个人信息犯罪的圈划、实现刑法规制的诸多机能，避免笼统规制个人信息犯罪而导致的负面影响。

3.1 主体条件

侵入公民信息罪为一般主体，即年满十六周岁且具有完全刑事责任能力的自然人。该罪的主体包括自然人和单位。就本罪的单位主体而言，包括公司、企业、事业单位、机关和团体。

3.2 保护客体

侵入公民信息系统罪保护的客体是公民信息系统的安全。对此，必须明确两个重要的概念，“个人信息”和“公民信息系统”。个人信息是公民信息系统的构成因素，也是保护公民信息系统的法理支撑；公民信息系统，不仅储存着大量的、敏感的个人信息，还可能储存着数量较大的虚拟财产。

第一，个人信息权之明晰。“权利是私法的核心概念，同时也是对法律生活多样性的最后抽象。”［9］《民法总则》第一百一十一条规定个人信息权且列举了侵害个人信息权的行为。该条款将个人信息明确规定为自然人的民事权利，这为个人信息保护程度的提升、个人信息违法犯罪行为的规制提供了充分的法律依据。对于个人信息概念的界定，我国目前缺乏法律层次的规定，通过查阅相关文献资料可知，个人信息的核心在于通过特定信息可直接或间接地定位于具体的个人。本文赞成的观点认为，个人信息是指能将个人直接或间接识别的一切信息，主要包括姓名、住址、身份证号、工作单位、通讯方式、血型、基因信息、股票交易账号、信用卡卡号等［10］。

第二，保护公民信息系统安全法益之必要。对于公民信息系统，我国目前缺乏专门性的立法规定。通过查阅相关资料，提供对公民信息系统保护，即是对编制、发送、接收、储存或用其他方法处理公民信息的计算机、网络设备、通信设备、自动化控制设备等系统给予保护。大数据时代下，个人信息具有的人身属性和财产属性凸显重要，且面临着被非法获取、非法利用、非法获利的现实风险。强调对公民信息系统的保护，不仅是从源头保护公民信息的必然举措，更是体现国家保护个人信息安全、维护公民合法权益的价值倾向。对于公民信息系统的刑法保护，我国目前是通过扩大解释的方式将计算机犯罪的罪名扩大适用于侵入公民信息系统的行为。其中，侵入计算机信息系统罪，是指违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为。考虑到上述领域信息系统安全涉及国家利益，因此将非法侵入该领域信息系统的行为规定为犯罪具有正当性。就破坏计算机信息系统罪而言，破坏的方式包括进行删除、修改、增加和干扰，并造成信息系统不能正常运行的结果。

在大数据时代下，个人信息安全正处于被频繁侵害、屡被泄露、立法缺位、监管不严的境地。如前所述，现代社会的人为风险已逐步取代自然风险成为威胁人类社会的主要风险。对于个人信息的保护，既体现民众对于安全保护的需求和渴望，更表征国家在大数据时代下对于新型风险行为管控的作为与责任，进而如何有效控制和预防个人信息犯罪，切实保护公民信息安全成为了迫切需要解决的现实问题。我国通过《刑法修正案（七）》和《刑法修正案（九）》分别确立和完善了个人信息犯罪的罪名，就非法获取、非法利用且具有法定情节的个人信息侵害行为进行了刑法规制。从保护个人信息安全的整体来看，犯罪的控制与预防需要从源头抓起，对此强调公民信息系统安全法益的保护、规定侵入公民信息系统的犯罪具有正当性。侵入公民信息系统的行为，在犯罪阶段上体现为侵害公民信息罪的预备行为，考量到司法实践中侵入公民信息系统的行为往往发展成对公民信息的非法获取、非法利用。因此有必要提前个人信息的保护节点，一方面应将侵害公民信息的预备行为纳入刑事规制，另一方面应拓展对侵害公民信息行为的范围，通过对行为人客观危害行为的惩罚和对主观恶性的教育，从而实现刑法一般和特殊的预防效果。

总之，通过对公民信息系统法益保护的重视，增设侵入公民信息系统罪，且置于侵犯公民个人信息罪同章，即《刑法》第五章侵犯财产罪之中。侵入公民信息系统的行为使个人信息安全的法益受到了紧迫的侵害威胁，同时也是对不能侵入公民信息系统的禁止性规定的违反，因此在刑事立法层面应对侵入公民信息系统的行为进行否定性评价。

3.3 主观要件

构成侵入公民信息系统罪的主观要件表现为故意，即行为人明知侵入公民信息系统的行为会危害个人信息权，并追求该种危害后果的发生。行为人在故意的主观意识下，实施危害公民信息系统的行为，亦体现了行为的规范违反性和主观的反社会性。法律规范起着行为指引、行为评价、行为预测等作用。在故意实施危害行为的情况下，表现出的是行为人对于法律规范的不服从，对于不服从且造成危害后果的行为具有刑事可罚性。在以大数据为重要表征的现代社会，法定犯罪设置的增加恰好说明了新增犯罪行为的道德谴责性和法益侵害性由刑事立法进行拟制，进而将达到一定程度且具有刑事可罚性的行为纳入犯罪之中。对于侵入公民信息系统的行为人，其主观的恶性一方面体现在以不法方式进入公民的个人信息系统，不正当地知晓、获取、利用他人个人信息，另一方面体现于行为人对于法律禁止性规定的公然违背，是对法律规范的违反。

3.4 客观要件

当前刑法对网络犯罪的治理，还停留在“软件、系统”思维下，这样一种刑法规制方式并不能完全适应大数据时代的犯罪［11］。换言之，面对侵入公民信息系统的行为，当前刑事立法的应对具有滞后性，进而有必要革新刑事立法的理念、拓宽刑法规制的范围和优化刑事惩罚的措施。就侵入公民信息罪的客观要件而言，包括两个方面：其一，以侵入的手段实施犯罪；其二，侵入的对象是公民个人信息系统。该两方面的明确，关系着罪与非罪、此罪与彼罪的划分。

第一，“侵入”行为的范围。所谓“侵入”，是指用户利用技术手段或者其他手段突破或者绕过系统安全保护机制“访问”公民个人信息系统的行为。通常情况下，出于维护信息系统的安全，防火墙等安全保护机制均已建立。该机制可以鉴别访问者是否具有访问权限，对于不具有访问权限的请求，系统会拒绝其访问。对于将“侵入”行为归入犯罪，如《刑法》第二百八十五条规定了非法侵入计算机信息系统罪。侵入行为若存在合法依据，如行政调查、司法调查等，虽然行为具有犯罪构成符合性，但不具有违法性，因此阻却了刑事责任。

对于“侵入”行为类型的理解，可从以下三点进行把握：其一，硬件侵入，如通过硬件破解的方式，造成系统内的文件数据可以被实时盗取的状态；其二，软件侵入，即行为人通过非法途径获取用户密码进而访问公民个人信息系统获取信息；其三，人为侵入。人为侵入可分为两种类型，第一种是未取得合法访问权限的人盗用管理员账户密码，登陆公民个人信息系统，访问和获取该信息系统和资源的行为。第二种是合法用户的越权访问，即拥有系统部分领域访问权限的行为人超越自己的权限范围，非法访问该系统中的其他区域，此种行为在本质上亦归为非法侵入。从近年频发的个人信息泄露案件来看，“内鬼”作案的概率较高，如各大通讯网络运营商的内部人员侵入公民信息系统，知悉、获取大量的公民个人信息进而曝光、贩卖、牟利。对此，对于个人信息的保护要从源头抓起，对非法侵入公民信息系统的行为进行规制。

第二，“公民信息系统”的保护范围。从计算机犯罪的规定来看，刑法保护的系统信息或数据是计算机数据库中产生和保存的数据，包括数据库的完整性、可靠性、系统灵活性等。公民信息系统的保护范围目前宜采用以上的保护范围。但值得注意的是，大数据带来的科技变革，诸如网页浏览痕迹、下载记录、关键词搜索等信息，一方面不属于储存于信息系统的信息，另一方面这些信息可反映用户的生活规律、消费习惯和经济状况，刑法是否应将这些数据作为个人信息的保护对象［12］？从立法的发展和保护的需求来看，将刑法保护的范围延伸至上述信息必然是立法的趋势，符合对大数据本质要求动态性和数据流系统的描述，但从目前的状况来看，切实保护信息系统中的信息或数据更为关键。公民信息系统的关键在于储存着敏感的、大量的个人信息。相较于现行立法对于计算机系统的保护，个人信息系统的保护侧重于个人隐私和个人信息的安全。具体而言，其一，公民信息系统不仅包括计算机系统、网络设备、通信设备、自动化控制设备等，还涵盖网络云端的公民信息系统，避免了对云端个人信息犯罪行为的规制不能；其二，与计算机犯罪强调国家安全、国防安全不同，侵入公民信息系统罪设立的初衷在于保护个人信息安全，强调个人的合法权利不受非法侵犯，因此在刑罚量刑的设计上，建议采用短期自由刑结合财产刑，降低入罪门槛；在刑事追诉程序的启动上，建议采取以自诉为主、公诉为辅的方式。其三，侵害公民信息系统罪的增设，将充分发挥法律的行为指引、行为评价作用，明确告知社会公众公民的信息系统受法律保护，非法的侵入行为将导致严厉的法律责任。

3.5 侵入公民信息系统罪的刑罚设置

“刑罚轻重的相互协调是根本性的，因为预防重罪要优先于预防轻罪，预防破坏社会秩序的犯罪应多于预防对社会危害较少的犯罪。”［13］侵入公民信息系统罪的刑罚设置依据在于立法协调和罪责刑相适应原则的要求，即对具社会危害性、刑事违法性和应收惩罚性的行为设置刑事制裁措施。侵入公民信息系统罪的主刑设置为与犯罪侵害程度和刑事责任大小相适应的短期自由刑，即三年以下有期徒刑、拘役或管制。以短期自由刑作为该罪主刑的理由包括两方面：其一，侵入公民信息系统罪的增设侧重于否定性的行为评价，通过明确的犯罪构成设置，威慑潜在的犯罪嫌疑人。考虑到目前侵入公民信息系统的行为人多为网络经营企业、通讯经营公司的内部人员，通过对该部分人员适用刑罚，剥夺其相关的从业资格，进而预防再次犯罪。对于不具有特定从业资格的人员，以短期自由刑作为补充性的惩罚手段，既满足了社会公众对于打击犯罪的心理期望，又避免了长期自由刑对犯罪人造成回归社会的困难。其二，侵入公民信息系统罪属于财产犯罪的属性决定了宜采用短期自由刑。该罪属于国家在大数据背景下打击新型犯罪的应对，可借鉴域外的立法经验，设置适合我国国情的入罪门槛，对于无需收监关押的犯罪人应积极接受社会改造，以多元化手段抑制犯罪。此外，建议将罚金作为本罪的附加刑。考虑到侵入公民信息系统的行为多是基于牟利之目的，因此在对行为判处自由刑的同时适用并处罚金确有必要。

4 小结

大数据时代带来的科技变革给刑事立法提出了新的要求，即刑法应拓宽法益的保护范围、提前刑事规制节点、采取预防性的惩罚措施。侵入公民信息罪的设置，将有利于教育公众、惩罚犯罪和保护个人信息安全。该罪名的独立设置还体现了将个人信息犯罪和计算机犯罪相区分，利于未来立法通过对具体罪状表述中的核心词进行适时解释，以适应时代的发展与变革。个人信息安全在本质上是保护人格权和个人信息权的安全，体现了国家作为社会管理者的作为与责任。通过对个人信息犯罪的深入研究，进一步推动刑事立法在新时代下的转型与应对，构建适合我国国情的大数据刑法。

［1］E·博登海默.法理学：法律哲学与法律方法［M］.邓来正，译.中国政法大学出版社，2004:302.

［2］冯登国，张敏，李昊.大数据安全与隐私保护［J］.计算机学报，2014（1）：246-258.

［3］庄友刚.跨越风险社会：风险社会的历史唯物主义研究［M］.北京：人民出版社，2008：42-45.

［4］吴情树.食品安全法中刑事责任条款的设定：以附属刑法为研究视角［J］.重庆工商大学学报（社会科学版），2008（12）:100.

［5］张明楷.刑事立法的发展方向［J］.中国法学，2006（4）:21.

［6］郝艳兵.风险刑法：以危险犯为中心的展开［M］.北京：中国政法大学出版社，2012:14.

［7］刘宪权，方晋晔.个人信息权刑法保护的立法及完善［J］.华东政法大学学报，2009（3）:121.

［8］克劳斯·罗克辛.德国刑法学总论：犯罪原理的基础构造:第一卷［M］.王世洲，译.北京：法律出版社，2005:83.

［9］迪特尔·梅迪库斯.德国民法总论［M］.邵建东，译.北京：法律出版社，2001:62.

［10］王作富.刑法分则实务研究［M］.北京:中国方正出版社，2010:963.

［11］于志刚.网络思维的演变与网络犯罪的制裁思路［J］.中外法学，2014（4）.

［12］黄晓亮.从虚拟回归真实：大数据时代刑法的挑战与应对［J］.中国政法大学学报，2015（4）：59-60.