我國個人信息保護的現狀與前景

關鍵詞 個人信息 自決權 保護

基金項目：本文系2017年煙臺大學大學生科技創新基金立項研究成果。

作者簡介：張瑞康，煙臺大學法學院碩士研究生，研究方向：刑法學。

中圖分類號：D923.8 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2018.03.099

“互聯網+”給我們的生活帶來了翻天覆地的變化：電話打得少了，聊天用網絡；現金用得少了，付款用手機；以前要逛街購物，現在只需要在網上動動手指，心儀的商品隨即快遞到家。我們在享受信息技術帶來的便捷的同時，也無時無刻不在承受著個人信息遭到泄露的風險。在使用支付類軟件時，我們需要驗證手機號碼、綁定銀行卡號，購物類軟件上還需要設置收獲地址、收貨人姓名。上述信息一旦落入不法之徒手中，輕則遭遇電話轟炸、短信騷擾，重則遭受財產損失、甚至人身傷害。

云計算、大數據、移動支付已經成為中國信息產業蓬勃發展的代名詞，但信息安全也面臨日趨嚴峻的考驗。面對肆意出售、竊取個人信息的現象，刑法與民法紛紛作出回應、聯手打擊。尤其是刑法的修正，降低了入罪門檻、加大了處罰力度，無異于對侵犯個人信息行為的當頭棒喝。但在該罪的具體適用上，仍然存在爭議問題需要繼續研究。雖然我國加大了對侵犯公民個人信息犯罪的打擊力度，但在立法層面還有繼續完善的空間。

一、立法概況

我國對于公民個人信息的保護起步較晚，且尚未制定專門的個人信息保護法，導致在該領域的法律規范較為分散。

（一） 刑事制裁

2005年通過的《刑法修正案（五）》增加了竊取、收買、非法提供信用卡信息罪，標志著刑法開始關注個人信息被不當獲取、不當使用的行為。2009年通過的《刑法修正案（七）》增加了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。其中，出售、非法提供公民個人信息罪的犯罪主體只限于國家機關及金融、交通、教育、醫療等單位及其工作人員。刑法具有滯后性，其通常只會在某種行為對于刑法所保護的法益造成較為嚴重的損害時才將其納入刑事制裁的范圍。在2009年，信息技術還不如今日那般發達，網絡化進程也不如今日那般深入，公民個人信息被泄露的案件大多發生于具有特定管理職能的單位或組織，因而立法者對于普通人侵犯公民個人信息的危害性估計不足，導致未利用職務便利出售、提供個人信息的行為難以得到懲處。近年來，“互聯網+”的發展模式已波及各行各業、滲透千家萬戶，個人信息的使用頻率飆升，愈發體現出信息資源的價值，隨之而來的侵犯公民個人信息的案件數量也呈井噴之勢。面對這一危機，2015年通過的《刑法修正案（九）》再次將侵犯個人信息犯罪納入修改范圍。首先，將“向他人出售或提供公民個人信息”的犯罪主體擴大為一般主體，“在履行職責或提供服務過程中”由入罪情節修改為從重處罰情節；其次，降低提供行為的入罪門檻，向他人提供公民個人信息構成犯罪的，不再以“非法”為前提；該罪的法定刑也有了明顯提升，情節特別嚴重時最高可判處七年有期徒刑。此外，將原先的兩個罪名合并為一個罪名，即“侵犯公民個人信息罪”。

2017年6月1日，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》生效實施，對該罪在司法適用中可能出現的問題作了細化規定，也使得長期以來存在較大爭議的問題得到了解決。例如，對于個人信息的范圍，該解釋明確了要包括“自然人的行蹤軌跡”，即能夠反映特定自然人活動情況的信息也屬于該罪所保護的對象；對于刪除“非法”要件后“提供”行為的認定，該解釋明確“通過信息網絡發布”、“未經同意將合法收集的個人信息向他人提供”都屬于“提供”的形式。

此外，對于備受關注的“情節嚴重”、“情節特別嚴重”的判斷標準，該解釋也以列舉的方式予以明確。

（二） 民事救濟、行政處罰

我國在個人信息的保護上呈現出刑事立法先行，民事、行政保護滯后的特征，《民法通則》、《治安管理處罰法》中都沒有關于個人信息保護的規定。在前置性法律缺失的情況下將侵犯個人信息的行為入罪，難免讓人質疑與刑法的謙抑性要求不符。2017年3月，《民法總則》的通過彌補了這一立法缺陷。 有了民法總則作為支撐，刑法中侵犯公民個人信息罪便顯得不再那么蒼白，對于情節輕微、尚未達到刑事立案標準的案件，當事人在尋求民事救濟時也更加理直氣壯。

在行政法層面，《治安管理處罰法》也啟動了修訂程序，在2017年1月官方公布的征求意見稿中增加了對于侵犯個人信息行為的處罰條款。

可以預見的是，在新的《治安管理處罰法》生效實施后，我國會形成民事救濟、行政處罰、刑事制裁相互銜接、共同保護公民個人信息的立法格局。

二、侵犯公民個人信息罪的若干爭議問題

雖然“兩高”的解釋已經為該罪名的適用提供了標桿，但面對瞬息萬變的社會發展，仍然有些問題值得我們繼續探討。

（一） 對非法獲取個人信息的理解

刑法對于非法獲取公民個人信息行為方式的表述是“竊取或以其他方法非法獲取”，如何界定“其他方法”在學界是有爭議的。有觀點認為，既然刑法將“竊取”與“其他方法”并列表述，而“竊取”本身即具有非法性，那么“其他方法”也應當具有非法性，如欺騙、脅迫等違反法律禁止性規定的手段。 筆者認為，只要行為人沒有獲取他人信息的合法依據或資格，即屬于“非法獲取”。每個人都應當享有信息自決權，即自己決定哪些信息可以向他人提供、可以被用于何處。獲取他人信息的“非法”，并非在于獲取行為本身，而是行為人既未征得信息主體的同意，也未取得法律法規的授權，擅自獲取他人的個人信息、侵犯了他人的信息自決權。因此，購買、贈予等也可能成為非法獲取公民個人信息的“其他方法”。

（二）牽連犯

行為人非法獲取公民個人信息、構成犯罪后，又利用這些信息實施其他犯罪的，是否應當數罪并罰？這涉及我國刑法理論中對于牽連犯的處罰問題。所謂牽連犯，是指出于一個犯罪目的，實施數個犯罪行為，數個犯罪行為之間存在牽連關系（如手段行為與目的行為或原因行為與結果行為），分別觸犯數個罪名的犯罪。 在侵犯公民個人信息類犯罪中，行為人獲取個人信息的目的往往是實施其他不法行為，例如電信詐騙、敲詐勒索等，其前后行為之間具有手段行為與目的行為的牽連關系。我國刑法理論的通說認為，牽連犯屬于處斷的一罪，應當從一重罪處罰。但是，通說的觀點受到了越來越多的質疑和抨擊，將牽連犯按照數罪處罰作為一般性原則的呼聲此起彼伏，我國臺灣地區就刪除了對牽連犯從一重罪處斷的規定。在具體罪名中，大陸地區刑法對牽連犯的處罰規定不一，有的是數罪并罰 ，有的是從一重罪處罰 ，還有個別條文是從一重罪從重處罰 。

筆者認為，對于刑法分則沒有明確規定如何處罰的牽連犯，應當數罪并罰。行為人實施的數個危害行為雖然具有牽連性，但分別符合特定犯罪的構成要件，牽連關系并未改變其行為符合數個犯罪構成的實質特征，因而已經觸犯了不同罪名，承擔數罪的刑事責任也是理所應當的。而且，牽連犯的社會危害性通常重于單純的一罪，如果按照一罪處罰，再重也不能超出兩罪中較重罪名的法定刑；而一旦數罪并罰，決定執行的刑期必然會高于單獨一罪的量刑，因而從一重罪處斷會導致對牽連犯的處罰偏輕、罪刑失衡。事實上，在嚴厲打擊侵犯公民個人信息犯罪的刑事政策下，司法實踐中對于非法獲取個人信息后又實施電信詐騙等犯罪的，數罪并罰的判決居多，例如“徐玉玉案”。在最高檢發布的典型案例“章某某等詐騙、侵犯公民個人信息案”中，法院對被告人也是按照數罪并罰處理的。

（三）過失泄露個人信息是否入罪

刑法中的侵犯公民個人信息罪，其行為方式為出售、提供及非法獲取，行為人的主觀方面都是故意。而負有信息監管、維護職責的國家工作人員或信息從業人員，由于工作原因掌握著大量的個人信息，如果因為自身嚴重不負責任造成個人信息大范圍泄露，其社會危害絲毫不亞于向他人提供個人信息的行為。但是行為人的主觀方面只是過失，因而在造成嚴重后果時才有必要定罪處罰，而且法定刑也應低于相應的故意犯罪。前不久，在鹿晗與關曉彤的戀情公開后，網上很快散布出關曉彤的個人戶籍資料。雖然其真實性還有待認證，但也提醒戶籍部門要加強對公民戶籍資料的監管。我國臺灣地區的“個人資料保護法”中有“個人資料保全”之規定，即負責保管個人資料的機構應安排專人辦理安全維護事項，防止個人資料被竊取、篡改。 為了確保存儲中的個人信息不會輕易遭到泄露，筆者建議在《刑法》第二百五十三條之一中增加一款：具有信息監管、維護職責的工作人員由于自身的重大過失，導致所管理的個人信息被他人竊取、造成嚴重后果的，處拘役。

三、我國個人信息保護法的立法前景

（一） 國際立法經驗

由于個人信息的處理方式向數字化轉變，世界在享受信息數字化便利的同時，也面臨著其帶來的風險。近半個世紀以來，各國陸續開始通過立法的形式規制信息資源的流通與使用。縱觀各國的立法情況，對于個人信息的保護存在分散立法與專門立法兩種模式，分別以美國和歐盟為代表。

1.分散立法

美國沒有統一的個人信息保護法，而是根據行業特征分別立法。美國在頒布了針對政府機構的信息法案后，又發現某些商業部門也在經常性地使用和處理個人信息，因而又將信息法案的保護范圍擴展至商業機構。 分散立法考慮到了不同主體在信息收集和利用方面的差異，保護手段更有針對性，體現了經營者自律的精神。但其缺點也很明顯，繁雜的法律規范導致個人信息保護缺乏統一標準、甚至相互沖突，增加了司法成本不說，對立法技術的要求也極為苛刻。

2.專門立法

1970年德國的《黑森州數據法》開創了專門針對個人信息立法的先河；1973年的《瑞典數據法》是世界上第一部全國性的個人信息保護法。 1995年，歐盟通過了《個人數據保護指令》，將公共管理部門和市場經濟主體一并納入法律調控范圍。專門立法能夠為個人信息提供系統、完整的保護，避免了分散立法標準不一、執行無序的缺陷，側重于國家層面對個人信息保護的宏觀調控。

（二） 制定專門的個人信息保護法是大勢所趨

我國刑法中出售或提供公民個人信息行為的入罪前提是“違反國家有關規定”，但當前該領域的立法進程與社會發展并不匹配。雖然社科院的課題組曾受國務院的委托起草了專家建議稿，但迄今為止我國仍然沒有關于個人信息保護的專門性法律規范出臺。縱使刑法分則和民法總則中都規定了個人信息的保護條款，近些年也陸續頒布了一些專門性的行政法規、部門規章，但不同的法律規范難以形成有機統一的整體，個別條款之間甚至相互沖突，造成了司法適用中的混亂。 因此，制定專門的《個人信息保護法》，整合我國在個人信息保護方面取得的立法成果，提高個人信息保護在我國立法體系中的地位，能夠保障我國信息資源的有序流通，推動我國信息產業的健康發展，對于提升我國在相關領域的治理水平也具有重要意義。

（三）個人信息保護法應當立足于私權保護

我國的個人信息保護法之所以“難產”，很大程度上是因為學界對于該部法律的基本定位仍然存在較大分歧。行政法學者認為，公民的信息權是一項憲法權利，而非民事權利。個人信息保護制度是有關個人信息處理者的管理法，是通過法律手段督促有資質的個人信息處理者合法且妥當地處理個人信息。 而民法學者則認為，應當從私權的角度對個人信息加以保護。個人信息權屬于民事權益中人格權的范疇，只有對個人信息提供充分的私權保護，才能從根本上滿足公共利益的需要。 筆者認為，個人是自身利益的最佳維護者，個人應當享有對自身信息的控制權、即信息自決權，有權選擇是否向信息收集者提供個人信息、提供哪些信息。所謂個人信息保護法，其主要調整由于個人信息的收集與使用而產生的權利義務關系，而信息自決權體現的是人格權益，因而立足于私權保護更為妥當。當然，由于個人信息具有社會性與公共性，行政管理中也經常涉及對公民信息的處理與使用，因而政府部門不能游離于個人信息保護法的調整范圍之外，也應受其約束。在這方面，我國臺灣地區的“個人資料保護法”或許值得借鑒。

臺灣地區的“個人資料保護法”屬于行政法類規范，分為總則、公務機關對個人資料之收集、處理及應用、非公務機關對個人資料之收集、處理及利用、損害賠償及訴訟管轄、罰則等章節，雖然只有56條，卻同時涵蓋實體法與程序法之內容，可謂麻雀雖小、五臟俱全。總則部分闡述了立法目的，解釋了相關術語的法律定義，規定了個人資料收集者要告知當事人收集目的及利用之期間、地點、對象、方式，并通過列舉的方式明確了不得收集、處理或利用的個人資料。在收集、利用個人資料時，除了法定必要范圍及公共利益需要，還多次出現“經當事人同意”、“對當事人權益無侵害或有利于當事人權益”之表述，也印證了立法目的中“避免人格權受侵害”之規定。雖然屬于行政法類規范，但該法第四章規定了當事人的損害賠償請求權及訴訟管轄，第五章規定了侵害個人資料所承擔的刑事責任，這也使得臺灣地區的“個人資料保護法”具備較強的操作性與威懾力。雖然臺灣地區在立法模式上與大陸地區有顯著區別，但該法中的某些條款還是具有參考價值。例如，該法第7條規定“收集者就本法所稱經當事人同意之事實，應負舉證責任”，以保護當事人的信息自決權；再如，該法第45條規定“本章之罪，須告訴乃論”，即侵犯個人資料的犯罪以自訴為原則，當事人有權決定是否尋求司法救濟，這也體現了個人資料的私權屬性。

四、結語

近日，筆者在登錄某購物軟件時，彈出一個對話框，內容大體是：本軟件會嚴格保密所收集到的用戶個人信息，若需要向第三方提供，會事先征求用戶的同意。這表明經營者也已經意識到潛在的法律風險，試圖通過技術手段擰緊信息安全的保險閥。隨著《刑法修正案（九）》與《民法總則》的生效實施，我國將個人信息的保護提升至前所未有的高度。然而，諸如“江歌媽媽”為討公道在網上公開劉鑫的個人信息，以及長沙輔警處置傷人金毛犬遭網友“人肉”等事件的發生，反映出當前公民對個人信息的保護意識還有待加強，我國在個人信息的保護上也有很長的路要走。如何平衡個人信息保護與信息資源利用的關系，是今后立法與司法中需要繼續思考并妥善解決的問題。

注釋：

《民法總則》第111條：自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

趙秉志.公民個人信息刑法保護問題研究.華東政法大學學報.2014（1）.124.

王作富.刑法（第五版）.中國人民大學出版社.2011.151.

例如第120條：組織、領導、參加恐怖組織，又實施殺人、爆炸、綁架等犯罪的。

例如第399條：徇私枉法，又有索賄、受賄行為的。

例如第253條：私自開拆郵件，又從中竊取財物的。

檢察日報.2017年5月17日，第2版.

臺灣地區“個人資料保護法”第18條.

齊愛民.拯救信息社會中的人格：個人信息保護法總論.北京大學出版社.2009.182-183.

張新寶.從隱私到個人信息：利益再衡量的理論與制度安排.中國法學.2015（3）.43.

楊震、徐雷.大數據時代我國個人信息保護立法研究.南京郵電大學學報（自然科學版）.2016，36（2）.6.

周漢華.個人信息保護法（專家建議稿）及立法研究報告.法律出版社.2006.65.

王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心.現代法學.2013，35（4）.70.

參考文獻：

[1]陳聰富.月旦小六法.臺北：元照出版公司.2016.