加强公民个人信息刑法保护刻不容缓

2020-05-14

随着经济社会的不断发展，我国信息化建设也在加速推进，信息资源已经成为重要的社会财富，个人信息的价值日益凸显。在这一过程中，随着收集、流通以及处理信息的技术愈发成熟，个人信息泄露的风险也愈发严重。近年来，侵犯公民个人信息的犯罪十分猖獗，犯罪分子通常会使用多种多样的手段和方法非法利用社会公民的个人信息进行牟利。这不仅牵涉公民个人信息安全，并且与电信网络诈骗乃至绑架、敲诈勒索等犯罪活动相互牵连，具有广泛的社会危害性。个人信息安全逐渐成为一个全社会高度关注的问题。

一、公民个人信息泄露频发的现状及风险

近日，脱口秀艺人“池子”在微博发文称，中信银行未经本人授权就其个人账户流水提供给与其存在诉讼纠纷的笑果文化公司，理由竟是“配合大客户要求”。该事件经媒体披露后，舆论哗然，使得个人金融信息泄露这一敏感话题再次进入公众视野。

银行金融业因其行业的特殊性，掌握着广大客户的重要个人信息。银行流水作为客户的交易信息，即可反映出客户个人消费、社交等情况，一旦落入不法之徒之手，很有可能滋生电信网络诈骗等违法犯罪。因此，中信银行私自泄露客户银行流水，不仅侵犯了公民个人信息安全，更易演变为公共安全事件，引发社会信任危机。

事实上，由于网络技术的快速发展，不法分子窃取、盗用、非法传播公民个人信息的手段也在增加翻新，中信银行泄露个人信息一事仅是现代社会公民个人信息被普遍泄露的一个缩影。例如，在疫情防控期间，为了及时追踪相关人员轨迹、精准防控，出入社区、车站、道路设置卡口以及商场、超市、药店等公共场所，扫码登记、填写个人信息已成为常态。据公安部2020年4月15日发布的统计数据，新冠肺炎疫情发生以来，全国公安机关已对1522名网上传播涉疫情公民个人信息的违法人员进行了治安处罚。疫情期间登记的个人信息是否安全、谁有权获知这些个人信息、疫情结束后这些信息如何处理等问题尚无明确答案，从而成为威胁公民个人信息安全的一颗“隐形炸弹”。

除此之外，个人信息在日常生活中也普遍存在着泄露的风险。根据最高人民法院、最高人民检察院于2017年发布的13起侵犯公民个人信息犯罪典型案例，侵犯公民个人信息安全的行为方式包括：1、以“调查公司”的名义在微信朋友圈发布出售个人户籍、车辆档案、手机定位、个人征信、旅馆住宿等公民个人信息；2、利用银行征信查询员、民警、疾控中心工作人员、技术服务公司工作人员等工作权限或便利，通过单位专用网络或内部系统非法获取公民个人银行征信、全市新生婴儿等信息并进行出售；3、非法购买学生信息并进行出售，非法买卖大量含有公民姓名、收货地址、手机号码等内容的网购订单信息；4、通过黑客软件侵入邮局内网窃取邮局内部的公民个人信息用于出售，或利用恶意程序批量非法获取网站用户个人信息并出售；5、加入涉及个人信息交换买卖的QQ群，通过购买、交换等方式获取并出售期货、基金、车主、信用卡等大量公民个人信息；6、网络服务公司系统安全漏洞致使全国2000万条宾馆住宿记录泄露，在不法网站下载上述住宿信息后用于出售；7、非法购买公民个人信息后，实施电信网络诈骗等。广大公众因个人信息泄露而沦为“透明人”，不仅因此频繁地接到各类推销骚扰电话和信息，许多精准诈骗电话也随之而来，日益唤起公众对信息安全的担忧。

二、公民个人信息的价值与保护

我国现行法律及其他规范性文件对“个人信息”的定义不尽相同，“可识别性”是其核心特征。在特定场景下能够对应特定自然人的个人信息属于个人隐私。众所周知，个人信息具有人格尊严、财产利益及公共管理三重价值，保护个人信息安全也就显得尤为必要。

（一）个人信息与隐私权

1.个人信息的概念

国内学界关于“个人信息”的认定主要有关联说、隐私说和识别说三种不同的观点，关联说认为，一切与个人存在关联的信息都属于个人信息；隐私说认为，只有与个人隐私相关的才属个人信息；识别说认为，个人信息是指那些能够据此直接或间接识别出特定自然人身份的信息。

在现行法律及其他规范性文件当中，“个人信息”的定义不尽相同，比较有代表性的有以下几种：

综上可知，现行规范性文件（包含法律、司法解释、行政法规、部门规章、行业标准等）对“个人信息”的界定呈现出杂乱无章的状态，但仍更多地将“可识别性”作为认定个人信息的核心特征。

根据我国目前关于“个人信息”的界定较为权威的《网络安全法》，即将“个人信息”界定为“能够识别自然人个人身份的各种信息”，既包括狭义的身份识别信息（能够识别出特定自然人身份的信息），也包括体现特定自然人活动情况的信息。基于此，《两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条进一步明确，“公民个人信息”包括身份识别信息和活动情况信息。从近年各地判决来看，个人信息涵盖内容非常广泛，几乎囊括了个人生活的各个方面。

2.个人信息与个人隐私的关系

与个人信息一起讨论较多的，是个人隐私的概念。如前文所示，个人信息范围十分广泛，根据场景的不同具备不同的敏感度，因此，个人信息并不等同于个人隐私。我国各规范性文件对“个人信息”和“个人隐私”的区分呈现出以下几种不同的态度：

（1）2012年《全国人大常委会关于加强网络信息保护的决定》将个人信息区分为“个人身份识别”和“个人隐私”信息；

（2）《网络安全法》在界定“个人信息”时强调身份识别性，而未提及和“个人隐私”的关系；

（3）《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》采取列举的方法对个人信息进行定义，将个人隐私包含在个人信息中。

（4）上表其他规范性文件将个人信息定义为可识别身份信息和活动等情况，未提及和“个人隐私”的关系。

我们认为，如果通过个人信息能够对应现实生活中的自然人，那么这样的个人信息就属于个人隐私。个人信息和个人隐私的内容是包含与被包含的关系。一方面，许多未公开的个人信息确实属个人于隐私的范畴，都具有一定人格属性。另一方面，个人信息不等同于个人隐私：个人信息是否属于个人隐私，是一个相对的概念；个人身份信息是否均属于个人隐私也是一个相对的概念。需要注意，单一的个人身份信息通常未必具有隐私性质，如个人的姓名或电话号码，仅仅了解单一信息未必就等于获知了这个人的个人隐私；同时，在互联网时代，有时仅通过个人的活动轨迹也能“对号入座”对应现实生活中的特定自然人。判断个人信息是否属于个人隐私应结合特定场景，在该场景下能够单独或与其他信息结合，对应特定自然人的信息就带有隐私性质。

（二）网络时代公民个人信息保护的必要性

1.公民个人信息的三重价值

随着信息时代的到来，个人信息的潜在价值日益显现，甚至被誉为“数字经济时代的货币”。一般认为，个人信息具有人格尊严、财产利益及公共管理三重价值。一方面，个人信息包括姓名、健康、名誉、生命等人格权的重要要素，侵害公民个人信息将会对其名誉、精神状况等个人生活的安宁造成影响；另一方面，个人信息包含交易记录、购物记录、征信情况等资讯信息，合法地对个人信息进行挖掘和商业使用可以产生经济价值。此外，收集和利用个人信息可以更好地推进公共管理和公共服务，具有公共管理价值。

2.公民个人信息保护的必要性

正因为个人信息具有重要的价值，保障公民个人信息安全、妥善收集、存储和使用公民个人信息就显得尤为必要。

（1）保护公民个人信息有利于维护个人权益

2016年6月发布的《2016中国网民权益保护调查报告》显示，54%的网民认为个人信息泄露严重，其中21%的网民认为非常严重，84%的网民亲身感受到了由于个人信息泄露带来的不良影响。一方面，个人信息的泄露侵犯了公民的安宁权，对网民形成了骚扰——网民平均每周收到垃圾邮件18.9封，垃圾短信20.6条，骚扰电话21.3个。“骚扰电话”是网民最反感的骚扰来源，“电脑广告弹窗”和“APP推送信息”紧随其后。

另一方面，个人信息泄露与电信网络诈骗、敲诈勒索、绑架等违法犯罪活动相伴而生，侵害公民个人财产安全。《报告》对我国网民因各类权益受损而造成的经济损失进行了估算：我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失为人均133元，比去年增加9元，总体经济损失约915亿元（我国网民数量6.88亿网民平均经济损失133元=915亿元）。其中，9%的网民由于各类权益侵害造成的经济损失在1000元以上。个人信息泄露威胁着公众财产乃至人身安全。

（2）保护公民个人信息保护有助于企业发展

近些年，金融银行业、航空售票系统、购物网站等由于内部管理不善或收到黑客等的攻击，频繁发生个人信息泄露事件，降低相关企业公信力，引发公众信任危机。

早在2013年，上海市消费者权益保护委员就根据消费者投诉公开约谈了百度、新浪、腾讯三家互联网企业，就其在收集和使用消费者个人信息中的一些不合理现象提出交涉，并就加强消费者个人信息保护，规范服务商对个人信息收集、存储及使用提出要求。2014年12月，作为国内权威的铁路售票系统网站——12306网站的大量用户数据在网络疯狂传播，被泄露的数据达131653 条，包括用户账号、明文密码、身份证和邮箱等多种信息。2018年1月，工业和信息化部信息通信管理局再次约谈了北京百度网讯科技有限公司、蚂蚁金服集团公司（支付宝）、北京字节跳动科技有限公司（今日头条），就该软件存在侵犯用户个人隐私的问题进行交涉……

个人信息安全得不到保障，不但影响个人权益，也会影响企业在消费者心中的良好形象，进而阻碍企业正常经营，甚至会严重影响电子商务乃至实体经济发展。因此，维护公民个人信息有助于保障七爷的良性发展。

（3）保护公民个人信息有利于维护国家信息安全

随着网络技术的日益发展，通过大数据对大规模的个体信息进行分析，可形成对某一地区或国家特定情况的认识，对国家安全构成威胁。因此，保障公民个人信息，一定程度上就是维护国家安全。

三、对侵犯公民个人信息行为的立法规制与不足

目前，我国个人信息保护法尚未出台，缺乏个人信息保护专项立法，而是由庞杂的法律、行政法规、地方性法规和规章、各类规范性文件和部门规章以及国家标准等具体规定共同组成，形成多层次、多领域、内容分散的个人信息保护体系。

（一）公民个人信息保护的立法现状

关于公民个人信息的保护，在我国许多法律条文及其他规范性文件中都有体现：

从个人信息的刑法保护来看，1997年刑法未对侵犯共公民个人信息犯罪作相关规定。针对侵犯公民个人信息犯罪日趋严重的趋势，2009年《修正案（七）》首次将侵犯公民个人信息的行为入罪，作为第253条内容之一；2015年《刑法修正案（九）》对第253条分别通过扩大犯罪主体范围以及扩充侵犯个人信息行为的范围两个方面的立法规定，以此进一步加大对侵犯个人信息犯罪行为的打击力度。

具体而言，单位或者公民都能够成为本罪的犯罪主体，侵犯公民个人信息的行为包括违反国家有关规定，向他人出售或者提供公民个人信息；违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人；窃取或者以其他方法非法获取公民个人信息。具体的刑罚方式包括罚金、拘役、有期徒刑等。

（二）公民个人信息保护的立法缺陷

近年来，侵犯公民个人信息的违法犯罪案件层出不穷，暴露出刑法对保护公民个人信息的相对不足。具体体现为以下情况：

1.现有立法体系性不足

综观我国现有法律规定，虽然已经制定了多部涉及个人信息保护的法律法规以及其他规范性文件，分别从民事、行政、刑事等角度保护个人信息的安全，但因其规定的分散、模糊和缺漏，尤其是缺乏专门的个人信息保护法，使得个人信息保护领域的立法系统性不足。其中一个突出问题就是对“个人信息”外延及边界不明。明确性是法律的基本要求，但结合上文所述，个人信息在不同法律文件中被解释为不同的内涵，尚未形成统一的概念，使得侵犯公民个人信息罪的可操作性及司法实践中公正性不足。同时结合上文所述，我国法律没有对个人信息和个人隐私进行明确区分，导致个人信息边界不明，不利于对二者进行区分保护。

此外，“国家有关规定”是侵犯公民个人信息罪的前置性条件，是否“违反国家有关规定”直接影响该罪成立与否。准确、规范、统一、可操作性的法律规定的缺乏，导致了刑法对个人信息的保护与其他国家规定之间的法律衔接漏洞，使得依靠刑法维护公民个人信息安全无法达到预期效果。

2.刑法保护体系有待完善

在2009 年的《刑法修正案（七）》中，个人信息第一次进入刑法保护范围。《刑法修正案（九）》以及《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》修改补充了个人信息保护条款。上述法律仅仅规制了非法出售、提供、窃取以及非法获取公民个人信息的行为，但随着信息社会的发展，侵犯公民个人信息的犯罪行为远不止这四种，其他如非法利用个人信息、擅自披露个人信息等行为亦严重危及公民个人信息安全，在实践中也日益突出，但却缺乏相应的刑法规制。

3.追诉标准不清、处罚力度不足

在侵犯个人信息犯罪的刑事处罚中，除存在上文所述的“个人信息”概念不明的问题，还存在量刑标准模糊、追诉方式及刑罚设置单一等弊病。

根据《刑法》二百五十三条之一的规定，只有侵犯公民个人信息的违法行为达到“情节严重”的层次才能对其定罪量刑，即“情节严重”是衡量侵犯个人信息的行为是否可入罪的基准；同时“情节特别严重”则是加重处罚的量刑情节。“情节严重”本身是相对模糊的概念，虽然之后的司法解释对此进行了明确，但关于该罪情节认定的问题并未得到彻底解决。《侵犯个人信息犯罪司法解释》从侵犯个人信息的数量（50条、500条、5000条）、侵犯个人信息获利金额（5000元）、与他人犯罪的关系（行踪轨迹信息被用于犯罪、明知他人犯罪为其提供个人信息）、前科情况（曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚的）等四个维度对情节严重进行认定。这四个维度中，有的为客观事实存在与否的判断，有的为量的判断，如何对不同性质、不同适用范围的情节予以认定存在疑问；如何认定个人信息的“条”这一数量标准也存在很大争议。

此外，目前侵犯公民个人信息罪的追诉方式仅为公诉，不利于公民保护个人信息；本罪仅根据“情节严重”和“情节特别严重”的不同规定了两个不同的刑罚幅度，刑罚体系较为单一，处罚力度不足。

四、加强刑法保护、打击违法犯罪

考虑到网络时代公民个人信息被侵犯的严峻形势以及刑事立法在保护公民个人信息安全上的不足，应当进一步完善刑事立法、加大打击力度进而保障公民权益，促进企业行业发展，维护国家安全。

（一）加快制定个人信息保护法

由于目前在法律层面上缺乏对于公民“个人信息”的统一定义，不仅直接导致公民对个人信息自我保护意识的欠缺，也使得司法机关处理相关犯罪案件缺乏明确的标准。同时“国家有关规定”分散、混乱，也给打击公民个人信息犯罪存在很大阻碍。

为保证现行刑事法律的有效贯彻落实，应尽快制定个人信息保护法，完善个人信息保护的立法体系。具体而言，应当在现有国家和地方个人信息保护立法及其他相关规范性文件的基础上加快制定个人信息保护法，借此明确提出公民个人信息的统一定义，厘定大数据时代个人信息保护的基本原则和规则，既为公民正确规范自身行为提供法律准则，也为刑法处理提供前置法依据。同时也要注意完善个人信息保护相关法律的实施细则，细化个人信息保护相关法律的基本规定，保障人信息保护相关法律的可操作性。

（二）完善个人信息的刑法保护

要想通过刑法实现对个人信息安全进行有效保护，就需要对涉及公民个人信息的刑法体系进行有效的完善，不断细化刑法相关规定。

一方面，要对公民的个人信息相关刑法保护的制度内容进行不断的补充，形成明确性的保护体系和机制，对公民的个人信息进行有效保护。另一方面，针对侵犯公民个人信息罪行为范围过窄的问题，要对个人信息的刑法保护范围进行拓展和延伸，将危害性较高的非法利用个人信息、擅自披露个人信息等侵犯公民个人信息的行为纳入刑法打击之列，保证刑法保护的全面性。

（三）加大刑法打击力度

针对公民个人信息泄露严重的现实，应当进一步加大刑法打击力度，保障公民个人信息安全。首先要进一步明确“情节严重”、“情节特别严重”的认定标准，通过发布指导案例的形式明确个人信息数量的判定标准，为司法实践提供范本。

为便于被害人及时寻求法律上的救济，保护个人信息安全，对于社会危害性一般的侵犯个人信息的行为，应当允许被害人直接向法院提起诉讼。另外，考虑到网络时代基侵犯公民个人信息犯罪手段的隐蔽性及复杂性等特征，证明难度较大，可以在一定条件下实行举证责任倒置。与此同时，针对很多侵犯公民个人信息的行为难以界定违法所得而很难适用罚金刑的情形，应将罚金刑的具体规定进一步细化，以违法所得为主要标准结合多种因素进行综合适用，将罚金刑的适用真正落地。

大数据时代的到来，使得公民个人信息的收集、利用和传播变得更为简单，公民个人信息面临着被泄露和非法利用的风险，并有可能进一步催生电信网络诈骗等违法犯罪活动。虽然刑法等相关法律对公民个人信息的保护进行了相关规定，但仍存在许多不足，对此需要哦不断完善法律保护体系，拓展刑法保护的广度和深度，保障公民个人信息安全。

本文作者：

(德恒北京办公室实习生李瑞雪对本文亦有贡献。）

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。