马改然

摘   要：大数据时代个人信息法律保护至关重要。通过对我国个人信息在刑法上的保护进行分析，发现其面临着诸多困境。为了更好地保护个人信息，刑法上宜增设非法传输、使用公民个人信息罪，同时宜采取举证责任倒置及公自诉相结合的形式，并且应增设资格刑。

关键词：大数据;个人信息;刑法保护;出路

中图分类号： D914          文献标识码：A

Abstract： The legal protection of personal information is vitally important in the era of big data. Through the analysis of the protection of personal information in criminal law in China， it is found to face many difficulties. In order to better protect personal information， the crime of illegal transmission and use of citizens' personal information should be added， and the form of shifting burden of proof and the combination of public prosecution and private prosecution should be adopted， and the qualification penalty should be added in the criminal law.

Key words： the big data; personal information; criminal legal protection; solution

1 引言

侵犯公民个人信息的行为由来已久，但由于其在农业社会和工业社会不具有普遍性，故并没有引起人们重视。直到大数据时代，个人信息重要性骤然凸显，可以与工业时代的石油相媲美，相应的对其侵犯也日益增多。为了保护公民个人信息，在民法、行政法这些前置法还没有反应时，作为保障法的刑法不顾其谦抑性而身先士卒。在2009年《刑法修正案七》中规定了侵犯公民个人信息的相关罪名，预期能有效遏制侵犯公民个人信息的行为。但“刑法不是万能的”，不仅没有有效地遏制侵犯公民个人信息犯罪，反而愈演愈烈。

鉴于此种情况，2015年《刑法修正案九》修改相关法条，制定了“侵犯公民个人信息罪”，并加大了惩罚力度。2017年6月两高颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息解释》）进一步细化了条文，实质上使得法网更为严密，惩罚力度再次加大。如此一来侵犯公民个人信息犯罪愈演愈烈的趋势是否得到遏制了，答案是否定的。

从官方数据来看，2016年全国公安机关侦破侵犯公民个人信息案件1886起，抓获犯罪嫌疑人4261名[1];而2017年全国公安机关侦破侵犯公民个人信息案件4911起，抓获犯罪嫌疑人15463名[2]。一年内案件增长了2.6倍而犯罪嫌疑人增长了3.6倍，同时2018年全国检察机关起诉侵犯公民个人信息犯罪5271人，同比上升20.2%[3];这就意味着，“互联网时代，个人信息随着可能被泄露。”

面对这种境况，就需要人们不得不反思，一味地加大处罚为什么效果不佳甚至会起反作用。是立法原则导向有误，还是具体法条规定没有切中要害，又或者法律的一厢情愿只是自娱自乐。 为了解决这一问题，本文首先探究了个人信息刑法保护的困境为何，进而提出破解困境的出路。

2 个人信息刑法保护的困境

虽然早在2009年个人信息就在刑法上得到了保护，而后在2015为了加大保护力度，又对相关条款进行了修改，但有效的保护个人信息立法目的仍然没有实现，究其原因体现在三个方面。

2.1 无法有力遏制窃取公民个人信息行为

虽然刑法规定了窃取公民个人信息属于犯罪，并且为了加大惩罚力度，2015年《刑法修正案九》还对该条款进行了修改，把条款中的“情节严重”删除，使其由情节犯变为抽象危险犯，处罚范围极度扩张。但由于该类案件隐蔽性、技术性较强，故而侦查难度较大，并且传统的举证责任方式也加大了侦查难度，所以该类案件犯罪黑数很高。但该类案件危害性却特别大，由于这类犯罪是个人信息犯罪的源头，其他出售、提供、购买、收受、交换等行为，都有赖于它给提供新的个人信息。也就是说，一次窃取所泄露的公民个人信息，通过不断的买卖、交换等行为，可能会引发成千上万件案件的发生。

2.2 非法收集行为没有受到实际的规制

虽然《个人信息解释》第4条明确规定“收集公民个人信息的”属于“其他非法获取行为”。但就本文收集的案例中，几乎没有一例因收集公民个人信息而获罪。这并不是说司法实践中没有非法收集公民个人信息的行为，恰恰相反，在司法实践中几乎所有的互联网企业都在收集公民个人信息。虽然有些企业明示了“隐私条款”，但要求用户同意获取个人信息的条款隐藏在众多的条款中，往往看不到，或者即使看到，这也是霸王条款，用户要想獲得服务，不得不同意对方收集其个人信息。如果说这些因获得用户同意不构成非法收集，那么那些没有明示隐私条款的应该就属于非法收集，但这些企业没有一个因此受到刑事追究。没有收集，就没有泄露。之所以有海量的个人信息进入黑市，就是因为有众多的企业搜集了海量的个人信息。

2.3 对单位违反监管职责没有有效的刑罚条款

近些年来，泄露公民个人信息的报道此起彼伏，例如12306信息泄露、携程信息泄露、网易邮箱信息泄露等，2018年又爆出华住集团旗下包括汉庭、全季、美爵、桔子等酒店1.3亿条身份信息、2.4亿条开房记录在暗网中销售[4]。这些报道出来后，大部分企业要不保持沉默，要不声称是谣传，即使事后被证明是真的，也没有企业因此受到刑事处罚。虽然《刑法修正案九》新增了第286条拒不履行信息网络安全管理义务罪，但该罪入罪门槛较高，它要求要有监管部门的前置程序，要求改正仍不改正造成严重后果的才构成犯罪。

根据前述，我国目前统一的监管部门不存在，不同领域的主管部门的监管职责，也不明确甚至没有规定，导致事前很难做出责令改正的决定。没有这个前置条件，单位即使没有尽到管理义务而导致公民个人信息泄露也不构成该罪。

所以，导致众多单位尤其是规模以上的单位有恃无恐，进而也没有外部压力要求其采取有力措施保护其持有的公民个人信息，例如2017年全国人大常委会开展网络安全执法检查后所做的执法报告中提到，有的互联网公司和公共服务部门存储了大量个人信息，但安防技术严重滞后，容易被不法分子窃取[5]。故很多单位被黑客采取撞库、拖库等攻击手段窃取海量公民个人信息从而流入黑市。

3 个人信息刑法保护之出路

作为法律甚或国家的最后一道防线，刑法本应处于谦隐的地位，但在个人信息保护方面却反其道而行之，在很长一段时间内扮演了急先锋的角色。在许多民众都还不知“个人信息”为何物的时候，在民法、行政法对其还处于讨论阶段时，刑法就规定了个人信息犯罪。在大多民众遭受个人信息犯罪侵扰，进而导致财产损失或付出生命代价的时候，为了安抚民众的愤怒情绪，刑法再次对个人信息犯罪做了重大修改，扩大犯罪圈，加大惩罚力度。但一切的努力换来的却是犯罪率持续走高，预防犯罪的目的终成镜花水月，立法的实效毫无体现。其原因何在，是象征性立法，又或者法益的确立出现偏差，危害行为类型有遗漏，还是刑事责任无力，本文认为这些因素都存在。

3.1 法益的确立

在大数据时代，由于个人信息性质的新颖性以及法律属性的复杂性，个人信息犯罪的法益，截止到目前为止，仍然是谜一样的存在，吸引着诸多学者对其进行探讨。早期，个人信息犯罪的法益多是从人格权角度来论证，例如隐私权说，认为个人信息犯罪的法益是公民的隐私权[6];而后随着个人信息权在不同部门法的兴起，有学者认为个人信息权[7]或信息专有权[8]是个人信息犯罪的法益;同时，鉴于个人信息的个体性和公共性，有学者认为个人信息犯罪的法益是公共信息安全[9]。

当前，隐私权说呈没落的趋势，而个人信息权和公共信息安全尤其是公共信息安全支持者在上升。考虑个人信息犯罪的法益，不能忽略时代背景。在大数据时代，人们已经身处信息社会，作为信息社会的首要要素—个人信息，对其既要保护也要利用，所以个人信息保护和利用的平衡是一个理想的状态。而单一的个人信息权对个人信息保护有余而利用不足，而公共信息安全则对个人信息保护不足而利用有余，故可以对个人信息进行分类后根据不同类型的个人信息采取不同的法益。具体思路是把个人信息分为一般个人信息和敏感个人信息。一般个人信息侧重于利用，而敏感个人信息侧重于保护。

3.2 个人信息犯罪行为类型的规制

当前，虽然有《刑法修正案九》和《个人信息解释》对侵犯个人信息权行为的规制，但是《刑法修正案九》及相关司法解释针对个人信息犯罪的行为类型规制有缺陷，包括规制行为类型有遗漏、已规定的行为类型无法发挥实效。所以，应在上述法益理念的支配下，对个人信息犯罪的行为类型进行全面、有效的规制。

3.2.1 收集环节

此环节分为合法收集和非法收集，合法收集自然不会进入刑法视野。根据刑法规定，“窃取或者以其他方法非法获取公民个人信息的”都属于非法收集。窃取个人信息毫无疑问属于非法收集，关键是“以其他方法非法获取”中的“其他方法”如何解释。根据《个人信息解释》第4条的规定，违犯国家有关规定，购买、收受、交换和收集都属于“其他方法”。本文并不赞同这种解释。因为首先该解释违反了体系解释，根据体系解释，“其他方法”应该与“窃取”具有相当性，但 “购买、收受、交换、收集”等这些中性词，显然无法与窃取相提并论;其次，由于没有前置法，虽然该解释有“违反国家有关规定”的限制，但是在司法实践中，只要没有信息主体的明示同意，“购买、收受”等行为都被认定为犯罪，这明显地阻碍了个人信息的利用，进而影响信息社会的发展。

故本文建议，针对一般个人信息，在免费模式下，即使没有信息主体的同意，也应该允许“购买、收受、交换和收集”，上述行为不构成犯罪;而針对敏感信息，则必须在信息主体明示同意的情况下才可以收集，否则即使是中性行为也构成犯罪。

3.2.2 处理环节

在此环节，我国对侵犯个人信息的行为类型有遗漏。第一，针对个人信息，收集都应有特定的目的，如果在收集后进行超目的的使用，则应需对其进行刑事规制;第二，对于收集的个人信息，信息持有的个人或单位负有保障信息正确、安全的义务，如果没有采取审慎的措施，导致个人信息被扭曲或泄露，应负担刑事责任，尤其是面对目前愈演愈烈的个人信息泄露事件。由于拒不履行信息网络安全管理义务罪有行政前置程序，导致事实上根本无法发挥实效，故应规定过失泄露个人信息这一行为类型来惩治信息保有单位或个人。

3.2.3 交易环节

在此环节，我国刑法规定了非法交易的行为类型，即禁止违反国家有关规定，出售或提供公民个人信息。其实，《个人信息解释》中对“其他方法”解释为“购买、收受、交换”这三种行为，也可以理解为“交易”。本文在此持同意的观点，即不能一刀切地禁止交易。针对一般个人信息，在免费模式下，即使没有信息主体的授权也可以进行交易，而针对敏感个人信息，则必须取得信息主体的明确授权才可以交易。在此环节，我国刑法还遗漏了一行为类型，即跨国传输个人信息。个人信息除了与个人利益有关外，还直接影响到国家的信息安全，故针对个人信息如果没有相关部门的审批不得跨国传输，否则会损害国家利益。

3.2.4 应用环节

在此环节，个人信息被非法使用是否应受刑事处罚，目前有两种截然相反的观点。有学者认为，鉴于使用行为的危害性应将其入罪[10];有学者认为，侵犯公民个人信息罪其实采取的是“外围规制”，故没有必要将使用行为入罪[11]。本文认为个人信息必定和卖淫、毒品不同，采取外围规制无法有效规制侵犯个人信息，故应增设非法使用公民个人信息罪这一行为类型。