摘要：通过Cookie技术可以对用户的个人信息进行收集、处理和分析，以此来为用户提供更好的服务和体验。但是Cookie技术被广泛滥用，公民个人的信息被不断窃取和非法利用。基于侵害个人信息的现象泛滥和个人信息影响范围广的考虑，有必要对Cookie技术下的个人信息进行刑法保护。同国外个人信息受到刑法严格保护的现状相比，目前我国对Cookie技术下对个人信息刑法保护行为方式存在缺失和“情节严重”认定标准单一的问题，完善其刑法保护的建议是：（一）在刑法中增加个人信息侵犯的行为方式。应该增加过失泄露公民个人信息入刑。同时，对非法使用个人信息予以重视;（二）实行综合性标准和单一性标准相结合方式。以期从行为到情节实现我国Cookie技术下对个人信息的刑法保护。

关键词：个人信息;情节严重;行为方式

中图分类号：D924.3文献标识码：A文章编号：2095-6916（2021）22-0056-03

一、Cookie技术下的个人信息概述及刑法保护的必要性

（一）Cookie技术下的个人信息界定

Cookie①技术是指通过小型文本文件的形式在客户端储存用户信息的数字和符号，以此来辨别用户的技术。通过对目前Cookie技术使用和相关数据的私密性，可以将Cookie技术下的个人信息分为三种。第一种是用户的账户名、密码等这些私密性较高的信息;第二种是家庭地址、购买物品记录等比较私密性的信息;第三种是检索的字和词、上网的时长和次数等记录以及较为感兴趣的商品和新闻等私密性一般的信息。私密性较高的第一种信息关乎到用户的账户及密码，这种信息遭人偷盗、使用和贩卖后，会给用户带来巨大的经济损失和人身损害，特别是在经过实名认证、绑定手机和银行卡后。因此，第一种私密性较高的信息是个人隐私的同时，更属于个人信息。

相对于第一种信息，第二种信息的敏感的稍低。它的使用程度和被人获知的可能性更高。比如，张三对李四和王五公开了个人较为敏感的信息，该信息虽然对李四和王五不再是秘密，但是除了李四和王五外，该信息仍是张三的个人私密信息。因此，这种私密性稍低的信息也是个人信息，原因在于购物单包含了收件人、收货地址、联系方式和具体商品等，个人指向性很强。

第三种信息的敏感度是最低的，通过对该种信息的分析可以更好地给用户推送其感兴趣的商品和新闻。虽然这种信息直接指向用户本人，但它毕竟是本人的行動轨迹和日常生活的体现，也会或多或少地能够反映出客户端背后的本人，特别是可以通过技术手段锁定IP地址的情况下，客户端背后的本人就不再隐藏在手机和电脑后面。

综上所述，Cookie信息虽是简单的数字和符号，但是它反映出的是个人的人身和财产信息，指向特定的个人，具有强烈的人身属性。一旦遭人偷盗、使用和贩卖后，将会公民带来严重的人身损害和巨大的财产损失，因此有必要将其延伸到刑法领域中加以保护。

（二）对Cookie技术下个人信息刑法保护的必要性

1.侵害个人信息的现象泛滥

随着Cookie技术的运用和发展，作为社会集体中一员的我们，时时刻刻接收周围反馈而来的各种信息，其中不但包括推销电话、娱乐新闻、促销广告，更包括诈骗电话、恐吓信息。给人们生活带来便利的同时，也给人们的生活安宁带来了极大的挑战[1]。科技不分对错，错的是用的人，不当使用不仅会侵犯他人的合法权益，面临民事赔偿，还会触犯刑法，遭受牢狱之灾。例如，新疆虐宠事件，从事出到事主各项的个人信息，如姓名、联系方式、亲戚朋友和工作单位等爆出仅仅用了4个小时，这不仅让人感叹网友神通广大的同时，也让人担忧个人信息的安全和生活的安宁。Cookie技术就是一把双刃剑，用得好了，便利人民的生活，促进商业的发展和社会的进步;但若是被非法利用，会给公民到来带来严重的人身损害和巨大的财产损失。Cookie技术的发展和运用提高了个人信息的交换和利用，但也不断地挑战着个人信息的保护层，如何在享受Cookie技术带来便利的同时，保护个人信息避免侵害是目前亟待解决的问题。

2.个人信息的影响范围广

基于网络发展，当今社会发生翻天覆地的变化。小到购物大到投票，互联网已经充斥着我们生活的方方面面。商家基于大数据的背景迫于压力或者基于契机也开启了线上商业活动，这也带动买家更多地选择线上方式进行购买。但是在这个过程中很有可能会给自己的个人信息带来风险，因为一旦网上冲浪以后肯定会留下一定痕迹。在大数据的时代，服务商软件可以通过算法计算出你的爱好、常去位置、搜索记录等。在现如今线上服务发达的时代，个人信息如何维护变成了令很多群众头疼的难题。而我国刑法对其规定得并不完善，这也就给了立法者一定的压力。

其次，大数据背后你所留下的个人信息会被各种评价和预测，商家会根据预测评价的结果进行精准推销。海量的个人信息也被一些不法分子利用发送垃圾短信邮件、拨打骚扰电话，从而使得公民的私生活安宁受到打扰。更有甚者，不乏有一些不法分子运用这些海量信息进行诈骗、窥探个人隐私等。

此外，经过把个人信息进行评析和预测也会对国家政治生活产生影响。比如，美国选举中，有些不法分子就利用个人信息分析选民的心理，从而操纵选举，无疑影响了选举的公正。大数据公司基于自己的计算机技术，通过公民留下的浏览痕迹或者购买痕迹等，剖析个人的性格和心理，进而推测个人的政治心理，然后通过分析出来的结果在选举的时候展示大众喜好的选举人物性格，从而营造一个完美的候选人，进而影响选举结果。可以看出，完善个人信息保护制度迫在眉睫。

二、域外国家对Cookie技术下个人信息的刑法保护

（一）英国对个人信息的刑法保护

以判例法为主的英国，对个人信息的保护采取的是间接保护模式。从根本上来讲，个人信息也属于隐私权的范畴，但是英国认为隐私权的内涵比较模糊而且边界不清晰，所以涉及个人信息的问题不被纳入隐私权，或者说英国法律不承认独立的隐私权。不从独立隐私权对其进行规制，而是从《数据保护法》进行规制。

英国个人信息案件由其颁布的《数据保护法》和《计算机滥用法》进行规制。《数据保护法》和《计算机滥用法》结合对个人信息案件进行规制，起到了较好的作用[2]。比如，英国《数据保护法》中规定了未经许可收集、利用个人信息等行为构成犯罪和擅自披露个人数据构成犯罪。再如，《计算机滥用法》规定未经授权意图进入计算机的行为，不管是处于哪种程序，不管有没有明确的指向对象，只要实施者有知晓自己是未经授权还实施的意思就构成犯罪。但是这个规定处罚力度太轻，导致规制效果不太尽人意。而且英国立法者对隐私权忽视和消极的态度，导致对隐私权的保护措施很滞后，只是单方面从个人信息出发，使得个人信息保护的方法单一化。

（二）德国对个人信息的刑法保护

德国认为个人信息属于基本人权的范畴，因此较早地对个人信息采取刑法保护。基于对个人信息的重视和独特的国家历史发展背景及严谨的国民性格，德国刑法在保护个人信息时采用的是统一的立法方式，对个人信息的保护体系非常的完善[3]。德国刑法将对个人信息保护相对集中的规定在《德国刑法典》第十五章，如下表所示：

《德国刑法典》第十五章侵害私人生活和秘密之罪第202条第204条第206条第123条侵害言论秘密罪、侵害通信罪、探知数据罪、侵害他人秘密罪利用他人的秘密罪侵害邮政或电讯秘密罪非法侵入他人住宅罪作为大陆法系代表的德国关于个人信息的刑法保护方式与英美法系国家大有不同。德国刑法在保护个人信息方面呈现出以下特点：首先，采用在刑法单章中集中地对隐私权进行保護，不仅使隐私权保护更具体系化，更体现对个人隐私和生活安宁的着重保护。其次，刑法保护中的隐私权外延更为广阔，扩大隐私权保护的范围，能够更好地保护公民的隐私权。再次，规定了法人隐私权犯罪的情形，将法人这一特殊主体纳入隐私权犯罪的制裁之中，以打击法人对公民个人信息的犯罪。最后，法律条文规定的逻辑性强，具有较高的可操作性。

三、Cookie技术下我国对个人信息刑法保护的问题

（一）行为方式存在缺失

关于个人信息保护，从刑法的角度上来讲，规定的行为方式比较单一，无论是民法视野还是刑法视野，我国公民个人信息保护尚未形成一个完善的制度。两高②《解释》中虽然对于个人信息保护的行为方式增加了“购买”“收买”和“交换”，但是仍有很多行为方式未做出明确规定。同时，由于刑法中对于个人信息的行为方式规定要求不得违法获得，这也就意味着在现实生活中导致出现很多以合法手续获得的个人信息不受约束[4]。从这方面讲，我国刑法中对于个人信息的违法构成要件还需进行细化，不能仅仅限于违法途径获取。同时，我国刑法中对于个人信息的规定不能限于“出售、提供、收买、交换”等方式，对如果公司未“出售、提供、收买、交换”利用自己掌握的信息获取的不正当利益，也应当进行规制。

（二）“情节严重”认定标准单一

当下大数据应用在许多领域，在提供便利的情况下不免也使得个人的信息面临被侵犯的风险。现今个人信息被侵犯的案件频发，对如何规制公民个人信息的保护仍然面临一些难题，根本原因就在于侵犯公民个人信息罪在我国刑法中属于典型的情节犯。在司法实践中情节犯有一个最重要的问题就在于在具体适用的时候容易出现模糊不清，这也就意味着必须要通过司法解释或者指导性案例进行确定。而且我国刑法中规定的侵犯公民个人信息罪的构成要件为“情节严重”，这里的表述很明显使得法院在实际适用的时候很难适用。对于此，我国两高在2017年《解释》中明确规定了关于“情节严重”的适用[5]。2017年的《解释》为我国刑法中个人信息保护做出了巨大贡献，如将个人信息里的信息分为一般敏感信息和高度敏感信息。一般敏感信息，即“通信记录、住宿信息、交易信息、健康信息等”;高度敏感信息，即“征信信息、财产信息、通信内容信息、行踪轨迹信息”。同时《解释》中也明确规定了一般敏感信息和高度敏感信息的起刑点，如一般敏感信息起刑点为五百条，而高度敏感信息的起刑点为五十条，对于其他未作规定的信息也有具体的起刑点。同时，《解释》还对情节特别严重的情形做出了兜底性的规定，也为公民个人信息保护的发展留有了一定的空间。

四、Cookie技术下完善我国对个人信息刑法保护的完善建议

（一）在刑法中增加个人信息侵犯的行为方式

我国刑法中对于个人信息入刑的行为方式限定在“出售、提供、购买、窃取、交换、收集、骗取”等方面，但是从实践中来看，泄露和非法使用个人信息的案例数不胜数。因为刑法中个人信息行为方式的局限性，所以导致现实中很多泄露和非法使用的案件无法规制，从而使得被侵犯的公民怨声载道。我国刑法中规定故意泄露个人信息的才构成犯罪，这也就意味着基于过失泄露的不构成犯罪。所以，现实生活中会出现保管信息的人员未履行职责或者未认真履行职责导致公民信息泄露。这种情形很大程度上会助长犯罪分子的气焰，所以应该增加过失泄露公民个人信息入刑。同时，非法使用他人个人信息频发，这也使得我们对非法使用个人信息进行重视。我国刑法方面对于非法使用个人信息一直以来处于一种漠视的态度，导致非法使用的现象越来越严重。相比较行政领域，他们已经率先在这方面进行了规制。而且，一些国家已经把非法使用个人信息规定为犯罪，典型的如德国和美国。所以，我国刑法应该学习国外和我国行政领域对于个人信息规制的优点，完善其保护措施。

（二）实行综合性标准和单一性标准相结合方式

我国刑法中规定的“情节严重”不单单指的是单一性的标准，而应当是单一性标准和综合性标准共有，或者应当以单一标准为主、综合标准为辅。为什么不能只适用单一标准？主要是因为单一性标准的不确定因素太强，单纯的依据量化确定起刑点，比较单一。在具体适用时缺乏灵活性。而综合标准可以通过法院发挥自己自由裁量权，在金额、数量、主观恶性、后果等多种因素下解决单一标准带来的困难。但在具体适用综合标准的情形下，应该秉承着单一标准为主、综合标准为辅的原则。在遇到公民个人信息案件的时候，首先应该看是否能在单一标准下找到依据，然后结合综合标准进行判断。如果在单一标准下无法找到依据，可以参照综合性标准进行适用，即综合性标准只是对单一标准的补充，但是在适用综合标准时，要谨慎适用。所以说，在司法实践中，很多个人信息案件可以采取单一标准和综合标准共存的方法，从而避免单一标准下欠缺整体性考虑的情况。

注释：

①Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术。

②两高：中华人民共和国最高人民法院和最高人民检察院的简称。

参考文献：

[1] 崔聪聪，巩姗姗，李仪，等.个人信息保护研究[M].北京：北京邮电大学出版社，2015.

[2] 姚岳绒.别具一格的英国个人信息立法保护[N].法制日报，2012-05-01（3）.

[3] 德国刑法典[M].徐久生，庄敬华，译.北京：中国方正出版社，2004.

[4] 陈兴良.刑法哲学[M].北京：中国政法大学出版社，1997.

[5] 金园园.大数据时代个人信息的刑法保护——访武汉大学法学院教授皮勇[J].人民检察，2015（17）.

作者简介：袁敦亮（1989—），男，汉族，江苏扬州人，单位为江苏省扬州经济技术开发区人民法院，研究方向为民法、商法。

（责任编辑：董惠安）