大數據時代個人信息刑事法保護問題研究

馬蓉 胡忠惠

摘要：大數據時代，個人信息呈現數據化、網絡化與社會化的特征，從而影響侵犯個人信息犯罪的構成要件：犯罪對象從靜態識別信息擴展到動態活動信息；犯罪主體從公權力機關擴大到私人機構；犯罪行為呈現多樣化。這些特性也造成侵犯個人信息犯罪刑事追訴中管轄確定、證據收集與保存、信息來源合法性證明的困境。從理性的角度反思，侵犯個人信息犯罪的構成要件亟需完善；刑事追訴中管轄、取證、證明責任等問題也亟需健全。

關鍵詞：大數據時代； 個人信息； 犯罪構成要件； 刑事追訴程序

中圖分類號：DF624 文獻標志碼：A 文章編號：1008-2921（2015）01-0065-05

信息技術與網絡的迅猛發展，將人類社會以飛快的速度帶入以處理大數據為背景的后信息時代，現有的法律規定無論是犯罪要件的構成還是追訴程序都不能滿足大數據時代懲罰犯罪的目標。因此，本文以個人信息數據化為進路，對大數據時代個人信息呈現的新特征以及對我國刑事立法的影響作出理性分析，為完善立法提供新的視角。

一、大數據時代個人信息的特征

最初的大數據概念是指收集、管理和處理的信息量巨大；之后發展為通過對海量信息整合分析，獲取新的認知，創造新的價值。大數據時代，是一個大規模制造、收集和整合利用數據的時代，以數據為形式的個人信息呈現出新的特征。

（一）個人信息的數據化

傳統信息以語言、文字為主要儲存方式，以印刷技術為主要傳播載體?，F代信息技術的變革突出地表現在信息收集、儲存及傳播形式的轉變。商務智能、社交網絡、無線傳感器、云計算、語義網等新技術風馳電掣般進入我們的生活；軟件開源、數據開放、普適計算、軟件即服務、智慧地球等新思想令人應接不暇。量化一切，是數據化的核心。當文字變成數據，當方位變成數據，當溝通變成數據，一切皆能數據化。一旦世間萬物被數據化，只有你想不到的，沒有數據信息做不到的[1]。個人的行為、位置、生活細節等信息每時每刻都以數據形式被記錄和分析。

（二）個人信息的網絡化

信息技術的發達以及因特網的全球化，使得信息可以隨心所欲地傳送到任何地方。這一事實強調信息作為無形物，可通過網絡技術收集、存儲、分析、綜合、復制和傳播。大數據時代，個人信息基本上是以網絡化方式存在。在網絡環境下，個人信息大致可以有以下幾類：一是個人基本信息，二是個人網絡活動信息，三是網絡空間信息。

（三）個人信息的社會化

在傳統理論上，個人信息本身只具有與他人和公共利益無涉的私人性特征。大數據時代，數據權利不僅具有私人性，經過處理的數據更具有公共性?！斑@些‘數據腳印，保存在不同的系統中，可能無傷大雅。如果建立起中央數據銀行，通過數據整合和信息加總，就可以再現一個人生活的全部軌跡和全景，各個系統之間的數據可以彼此印證、互相解釋，個人隱私就無所遁形。”[2]（P161）

二、大數據時代侵犯個人信息犯罪構成的新變化

收集個人信息的便捷以及個人信息分析后的價值潛力，引發了犯罪者利用個人信息的野心，侵犯個人信息犯罪日趨增加，也對我國相關刑事立法提出挑戰。

（一）犯罪對象從靜態向動態擴展

侵犯公民個人信息犯罪早期案例所涉及的犯罪對象——個人信息，大多是靜態的私人識別信息，包括“一個人的種族、膚色、肖像、性別、年齡、婚姻狀況、家庭情況、宗教信仰、思想觀點、愛好、受教育情況、財產狀況、血型、指紋、病歷、職業經歷、住址、電話、電子郵件等”[3]。而2011年最高人民法院在其具有指導作用的《刑事審判參考》中公布的“謝新沖出售公民個人信息案” ，表明侵犯公民個人信息的犯罪對象從靜態的私人識別信息擴展到動態的私人活動信息。

手機與網絡定位技術使方位變成數據，數據的時實性能夠將被定位者的位置變化時時刻刻生成信息，所以定位技術所獲得的信息屬于動態信息。通過高科技手段收集個人信息的方法不斷拓寬個人信息的領域，由于個人信息的數據化和網絡化導致信息時刻處于流動狀態，動態個人信息成為侵犯個人信息犯罪的主要對象。

（二）行為方式呈現多樣性

進入大數據時代，傳統的以紙質為載體的個人檔案信息，逐步被電腦為載體的個人數據信息所替代，個人信息具有無形性和網絡化的特性。因此非法獲取公民個人信息罪的“竊取”這一行為方式，便與傳統意義上的“盜竊”有所區別：“竊取”數據或信息的行為中缺少“占有”要素。非法獲取的手段中，除“竊取”之外還包括其他非法手段，強調行為人違背信息所有人的意愿，騙取、非法收集、采集、存儲其信息的行為，無論哪一種手段應當與“竊取”具有同質性，危害性應當相當。

司法實踐中，有些信息經營企業或個人利用公開網站等合法渠道獲取單位或個人的公開信息，進行整合后出售。這種行為是否應該入罪，有不同的認識?！坝腥苏J為，互聯網是一個開放的平臺，如果信息所有者自行或者通過單位將信息公布于網站上，應當推定其同意公開個人信息。作為一個理性的人，應當能預見信息公開的后果。公開的信息被他人搜索整理后出售的行為，其社會危害程度有限，不宜入罪。也有人認為，這種行為具有一定的社會危害性，情節嚴重的應當追究刑事責任?！盵4]大數據時代，由于無處不在的傳感器和微處理器，非法獲取公民個人信息罪的行為方式呈現多樣性，是否構成犯罪應當主要從是否具有嚴重社會危害性和有無刑罰必要性兩方面進行考量。

（三）犯罪主體從公權力機關向民間機構延伸

我國刑法規定，出售、非法提供公民個人信息罪的主體是國家機關或者金融、電信、交通、教育、醫療等單位及其工作人員。立法本意是將履行公共管理職能和公共職責的“公權力”部門作為犯罪主體，而不涵蓋民間商業機構。 但由于泄露公民個人信息主體的擴大化，刑法規定已不適應實際需要。許多泄露公民個人信息的并不是“公權力機構”，而是一些民間商業機構。這些商業機構獲取公民個人信息的方法是合法的，也不是利用“公權力”所獲取。司法實踐中，民間商業機構泄露公民個人信息的行為愈演愈烈，其深層次的危害是引發下游犯罪，如果不動用最具有強制性的刑罰手段加以懲處，將會導致刑法規范的失衡。

三、大數據時代侵犯公民個人信息犯罪的追訴困境

個人信息的刑事法保護，一方面通過實體法規定侵犯個人信息的犯罪及刑罰，使得侵犯個人信息的刑事處罰有法可依；另一方面，刑法的規定需要通過訴訟程序落實，國家規定刑事訴訟程序追究侵犯個人信息犯罪。雖然現實生活中公民個人信息被泄露的現象普遍存在， 但司法實踐中追究刑事責任的此類案件卻比較少，主要原因是犯罪追訴存在一定的難度。大數據時代個人信息的新特征造成侵犯個人信息犯罪追訴困難，以致于有學者悲觀地認為“這是一場已經失敗的戰斗”[5]。

（一）管轄地確定困難

侵犯公民個人信息犯罪的實證調查顯示，“網絡交易的便捷性和低風險性使其成為罪犯獲取公民個人信息的首選方式。行為人通過網絡實施侵犯個人信息犯罪，可以利用多個服務器參與信息傳輸，形成獨立的虛擬區域（即網絡空間）。為了保護自身系統的身份，行為人通常會通過若干第三方計算機系統作為中介進行聯系，這樣可能牽涉到許多計算機系統。受害人發現自己信息被泄露后，往往只能識別最直接的數據收集者，對于中間往來的系統并不知曉，難以確定其主要犯罪地。數據的全球流動，導致法律的“去領土化”，影響刑事管轄權的確定。

（二）證據保留困難

侵犯個人信息犯罪的網絡交易方式與偵查傳統環境下實施的犯罪存在顯著的差別：偵查的對象是無形的數據而不是有形的物體。這就是為什么網絡犯罪成為傳統刑法所面臨的最重大的挑戰之一。因為數據是不可見的，它們可能在執法部門不熟悉的各種技術系統中存儲和傳輸。由于不熟悉數據加密或者涉及IT應用的技術問題，偵查人員很難在短時間內發現與訪問。再者，計算機數據從本質上來講轉瞬即逝，侵犯公民個人信息犯罪一旦案發，犯罪嫌疑人能夠迅速地刪除數據，能夠在短時間內抹去這些數據。犯罪往往發生一段時間后才開始偵查，而此時犯罪證據也已被銷毀。非法泄露個人信息因為環節眾多等因素影響，給調查取證帶來重重困難。

（三）信息來源非法性的證明困難

信息具有易傳遞的特征，這種能力又得到互聯網的再次提升。行為人在地球的一個角落里實施操作，而該行為能夠通過數據連接到另一個國家立即產生后果。由于計算機網絡的開放性與分散性，導致網絡使用者隱藏自己的身份，使用虛擬身份。而且侵犯公民信息犯罪是一種非接觸性犯罪，公民自己的信息如何泄露的，什么時候泄露的，可能自己都不清楚。許多案件中個人信息都是多次轉手，很難查清信息最初的來源。

（四）信息數量與真實性確定困難

我國侵犯公民信息犯罪的客觀要件之一是“情節嚴重”，其中個人信息數量大是實踐中把握“情節嚴重”的重要標準，因此準確核實信息數量意義重大。然而在幾乎所有的非法獲取公民個人信息案件中，犯罪嫌疑人都是以電子設備存儲信息，涉案的信息數量十分巨大。偵查中，對大量的信息篩查存在兩個難點：一是信息重復。重復的原因既有同一客戶存在多個訂單的客觀原因，也有信息出售者為提高價格人為大量復制等因素。目前尚沒有一種能夠完全剔除重復信息的鑒定方法。二是難以驗證信息真實性。具體案件中，涉及的信息數量龐大，對其真實性難以一一核實。一般都是隨機挑選予以核對信息，按照概率學推定信息真實性的比率。但是抽檢流程的科學性，抽取數量的必要性等問題都有待進一步研究[6]。

四、公民個人信息刑事法保護的完善

根據前文的分析，大數據個人信息犯罪的構成要件和追訴程序都面臨適應的困境。以發展的眼光考量，筆者以為需要對個人信息的刑事法保護提出立法上的展望，侵犯個人信息犯罪的刑事法規定應該進行必要的修改。

（一）完善侵犯公民個人信息犯罪的刑法規定

1.合理界定個人信息的內涵與外延

我國現行立法并未明確規定何為個人信息，導致司法實踐中案件處理結果的失衡。筆者認為，個人信息應當是個人隱私的下位概念，是隱私權客體中的私人識別信息和私人活動信息。 以往有關公民個人信息的理論探討與司法實踐大多把個人信息圈定在私人識別信息的范圍。大數據時代，個人提供自己的信息的范圍越來越廣泛，既包括識別信息也包括活動信息；既包括敏感信息也包括生活瑣碎信息。因為無論是政府的社會管理還是商家提供的服務，都需要個人交出自己的信息。個人為了在信息社會生存，必須交出自己的信息。但交出這些信息，并不等于放棄隱私權保護期待。

司法解釋可以采用綜合式定義方式對個人信息進行界定，即公民個人信息是指以任何形式存在的可以識別本人，表征個人特征和個人核心活動的基本信息。具體包括個人基本情況、肖像、聲音、過去經歷（尤其犯罪記錄）、醫療記錄、財務資料、一般人事資料等個人識別信息和日常生活、婚姻戀愛、夫妻生活、家庭生活、社會交往等私人活動信息。這一定義既抽象出個人信息作為隱私權客體的一般特征又列舉具體內容，保證司法解釋的彈性空間，避免對“公民個人信息”的界定過于狹窄。

2.將出售整合的個人信息等行為納入刑法調整范疇

大數據的價值不再單純來源于它的基本用途，而更多地源于它的二次利用，通過對分散的個人信息進行整合后加以利用的行為越來越多，且社會危害性日益增大，已引起各國的普遍關注。目前，已有國家將此行為作為侵犯公民隱私權的民事案件處理，比如美國聯邦最高法院曾經審理過類似的案件，9名大法官一致認為這種行為侵犯公民隱私：“在一個有組織的社會里，幾乎每一則信息都在不同的時候以不同的形式公開過。但是就個人隱私而言，不同時期零散地公開和一次性完整地公開，即使內容相同，也有本質不同?！盵2]（P163）也有的國家將其作為犯罪處理，如英國《數據保護法》第五條第十項規定：“出賣或者提供出賣的有關個人數據，包括從個人數據中抽取或提煉出的信息?！盵7]

大數據時代，公民的某些信息分散開來，在不同的地方、在某個特定的時候自愿公開過，不能算作隱私。但如果對其進行信息加總、整合可能形成公民的隱私，應當加以保護。個人的隱私是由一個個信息組合而成，對這些數據進行整合所造成的隱私侵害，不是簡單的“1+1=2”，而是“1+1>2”。個人信息的加總整合，不是數據的簡單相加，更多時候可以組成個人的生活全景圖，個人的生活全部暴露無遺。因此，在強化對“個人信息整合利用”等侵犯個人信息行為的民事侵權和行政制裁的基礎上，對于未經授權擅自獲取、加總和整合個人信息的行為，情節嚴重的，應當追究刑事責任。

3.適當擴大犯罪主體的范圍

從世界范圍看，以保護公民信息為目的的立法，對主體的規定大致有三種考量：一是將國家及地方公共團體等公法機構及以民間企業為主之民間機構，透過一部法律綜合加以規范的“統合立法方式”，如歐盟指令；二是將公法部門與民間機構分別以不同法律加以規范的“分離立法方式”，如美國模式；三是日本的獨特立法模式，在基本法部分采取統合立法方式，在一般法部分區分公家機關與民間機構為不同的法制適用。[8]無論哪一種立法模式，都將公權力機構和民間機構作為保守公民個人信息的義務主體，如果該機構違反義務侵害公民的個人信息，將承擔相應的責任，不排除刑事責任。

我國刑法規定的“出售、非法提供公民個人信息罪”主體是“國家機關或者金融、電信、交通、教育、醫療等單位”。這個“等”字是一個具有伸縮性，有一裁量空間的規定，對“等”字的不同理解將直接導致是否構成出售、非法提供公民個人信息罪的界定。從該款所列舉的主體來看，無論是國家機關還是電信、金融等行業，一般都是在社會生活中能夠大量接觸并處理個人信息的單位，立法者的本意是將那些處理個人信息數量多的領域劃入刑法規制的范疇。因此，本罪的犯罪主體雖然不應擴大到一切單位和個人，但也不能僅局限于利用“公權力”的機關和單位。

（二）健全侵犯個人信息犯罪的追訴程序

個人信息的數據化不僅影響侵犯個人信息犯罪實體法方面，也產生刑事訴訟法方面的問題。刑事追訴程序必須解決管轄、數據變化快、匿名、加密、證據缺乏、以及證明責任等問題。

1.確定追訴犯罪的管轄地

大多數現代法律體系下，對犯罪的司法管轄主要依據屬地原則。在我國，所有侵犯公民個人信息的犯罪為公訴案件，這類案件管轄地確定的首要原則，是由主要犯罪地，即實施犯罪的一切必要行為地和結果發生地管轄。如果通過網絡侵犯公民信息犯罪案件，非法內容在一個服務器內被提供，但卻在許多地方可被訪問，因此犯罪的管轄地，即犯罪行為地和結果發生地難以確定時，可依據公安部2012年12月制定的《公安機關辦理刑事案件程序規定》第十六條的規定，將實施犯罪行為的網站服務器所在地、網絡接入地以及網站建立者或者管理者所在地，被侵害的計算機信息系統及其管理者所在地，以及犯罪過程中犯罪分子、被害人使用的計算機信息系統所在地均視為犯罪行為地。這樣確定考慮到侵犯公民信息犯罪中物質載體和無形性數據之間的關系，有利于打擊犯罪。

2.增加強制偵查權

時間是查獲侵犯個人信息犯罪案件的重要限制性因素，通過強化偵查權可以搶在時間前面。在相關數據還可以獲取之前，針對網絡犯罪的傳輸快，數據變化快的特征，《網絡犯罪公約》責成締約方為計算機偵查采取一系列立法措施。公約第十四條至二十一條規定了這些措施，涵蓋了在信息技術環境下展開偵查所必需的最重要的強制權：包括偵查機關作出迅速反應對現存的計算機數據加以保存；申請提供令要求信息持有者提供具體數據，這種措施相當于傳統訴訟中要求提交有形證據或者證人證言的命令；進行搜查與扣押，搜查可以擴展到從最初被搜查的系統可以訪問到的另一個計算機系統中儲存的數據；加強對往來數據進行實時收集與內容數據的截取，避免數據的轉移。[9]我國偵查機關可借鑒這此強制措施，同時有針對性培養偵查人員的計算機使用能力，加強其利用計算機、網絡的調查手段。

3.合理分配獲取信息合法性的舉證責任

在我國刑事訴訟中，除巨額財產來源不明罪等某些持有型犯罪的部分構成要件的證明責任分配給被告方外 ，其余案件證明犯罪的責任一般由控方承擔。由于侵犯個人信息犯罪的專業性、行業性較強，所以侵犯公民個人信息犯罪中信息來源合法性的證明責任應該分配給被告方，即由被告證明自己獲取信息的合法性。因為，在大數據時代，獲取個人信息的渠道眾多，控方很難查明究竟是從哪一個渠道獲得，要求控方調查每一個信息是否經過所有人許可，證明信息是非法獲取太過苛求。因此，控方只要查明被告人手中掌握大量他人信息，如果被告人不能證明這些信息是合法獲取的，應推定是非法獲取。

參考文獻：

[1] [英]維克托·邁爾·舍恩伯格，肯克思·庫克耶.大數據時代[M].盛楊燕，等，譯.杭州：浙江人民出版社，2013：105125.

[2] 涂子沛.大數據[M].南寧：廣西師范大學出版社，2012.

[3] 趙秉志，王東陽.信息時代更應強化人權保障[N].法制日報2009-03-04.

[4] 蘇瓊，余丹.非法獲取大量公民個人信息的行為如何定罪量刑[J].刑事審判參考，2011（04）.

[5] [德]烏爾里?！R白.全球風險社會與信息社會中的刑法[M].周遵友，等，譯.北京：中國法制出版社，2012：306.

[6] 莊曉晶，林潔，白磊.非法獲取公民個人信息犯罪區域性實證分析[J].人民檢察，2011（09）：69.

[7] 謝望原，等，譯.英國刑事制定法精要[M].北京：中國人民公安大學出版社，2003：88.

[8] [臺]賴敏慈.信用資訊與隱私權保護[D].臺灣中原大學財經法律學系碩士論文，2005：81-82.

[9] Convention on Cybererime of the Council of Europe of 23.11.2001，Explanatory Report：131-239.