分析公民個人信息刑法保護性問題

南京理工大學 胡開冉

準確劃分好公民個人信息刑法保護的界限對于我國實行公民個人信息司法保護具有重要意義，如何保證個人信息刑法保護界限合理且滿足現實情況是值得學術界認真研究的。文章通過從語義、價值、實體、罪與非罪四個方面對公民的個人信息進行分析，這對于開展后續工作具有一定的指導意義。

一、基于語義角度分析公民個人信息刑法保護界限

想要準確地從語義角度探究公民個人信息刑法保護的界限問題，首先要對“公民”“個人”“信息”這三個詞所具備的司法內涵準確地理解。其中，“公民”是指具有某國國籍，并在國籍所在國家的法律規定下享有某種權利，并需要承擔相應的義務[1]。“個人”是指與“集體”相對應的一種“自然人”，企業法人和非法人組織都不包含其內。

一般來說，有關刑法保護主要針對“信息公開程度較低”的“個人”為對象。如果“個人”的信息公開程度較高，則不在刑法保護的范圍內。但相關人員的生命安全、財產安全也會受到保護，只是刑法對其保護方法和層面不盡相同；“信息”則是指被自然人所擁有，并且可以作為用來識別其自然人身份的依據，“信息”自身存在著一定的價值性[3]。綜上所述，只有在符合上述條件的基礎上，在出現信息安全問題時，才可以受到公民個人信息刑法保護。

二、基于價值角度分析公民個人信息刑法保護界限

基于價值角度來研究公民個人信息刑法保護界限時，應著重針對信息流通價值和信息安全價值進行界定與分析。其中，信息在流通過程中容易被傳播，存在不穩定性。故此，需要對信息流通采取一定的保障性措施，進而增強信息價值，若保障強度過高，將會導致部分信息安全問題發生的可能性。由此可見，對于信息流通與安全方面的司法保護存在一定的沖突現象，鑒于此，需要有效地對二者進行調節，為了實現信息的價值最大化，需要合理選取信息保護的方式并掌握好保護程度。基于公權、私權角度對公民個人信息支配力度方面實施司法層面的類別劃分，具體包括以下四類：

其一，私權絕對視角下對個人信息的影響。私權視角下個人信息對國家利益和他人利益影響不大，不需要進行法律授權，在信息搜集方面的靈活度大，相對限制性較小；其二，公權絕對視角下對個人信息的影響。公權絕對視角下個人信息對國家安全、社會發展有著重要影響，故他人若未經法律授權，不得擅自搜集和使用該類信息；其三，私權相對支配視角下對個人信息的影響。可以被所有者完全支配，但若涉及國家安全、公眾利益，則國家相關部門可以在法律授權的情況下介入，并進行搜集、使用[4]；其四，公權相對支配視角下對個人信息的影響。例如，一些罪犯，存在某些違法前科，有關方面信息來源為公權機關社會管理活動，在類別劃分方面，屬于公權領域范疇。在恢復性司法開展之后，個人若想搜集或者使用該類信息，需要在法律授權下進行。

三、基于實體角度分析公民個人信息刑法保護界限

（一）構罪的主觀條件

侵害信息構罪的兩個主觀條件，即為收集者和被收集者。對于信息收集者而言，主觀條件具體指信息收集者收集信息的目的以及對收集行為的違法認識程度。其中，從收集者收集信息的目的來看，收集信息若是為了進行銷售，并從中獲取利益，或者利用收集的信息實行犯法犯罪行為，比如，對個人實施敲詐勒索、詐騙綁架等活動。雖然，在現實活動中并未對收集信息者的目的作出明確闡述并規定，但收集信息的目的會直接影響后續犯罪的情節的嚴重性。對于信息收集者違法性認識方面，通過對其違法性認識程度進行分析，能夠更好地對已經發生的犯罪行為進行定性分析，以此甄別哪些屬于主觀故意犯罪，哪些屬于無意犯罪。進而增強犯罪性質判定的精準化和公平性。從被收集者的主觀條件方面進行研究，主要對被收集者公開信息的目的和公開過程進行研究。對于被收集者公開信息的目的進行分析，應該分析其公開信息的目的是什么，從而判斷收集者是否應就其收集和使用信息行為承擔責任，同時需要界定被收集者在公開信息的過程中，是否存在對信息保護不善的責任。具體可從被收集者公開信息的主動與被動性來看，以及對于所公開信息是否表明使用范圍、是否采取有效的防范措施來保證信息安全，防止信息被盜用。若被收集者并非主動公開個人信息，且沒有表明他人可以隨意收集和使用信息，則無需承擔由于信息泄漏造成的相關責任。若被收集者主動公開個人信息，且公開之后對于公開信息的時間、信息內容、引用群體進行約束；或者當被收集者主動公開個人信息時，雖然公開后沒有對信息公開的時間、信息內容、引用群體進行約束，但是有采取相應的信息安全保護措施，也無需承擔信息泄漏而造成的相關法律責任[5]。

（二）構罪的客觀條件

我國《刑法》第253條及《網絡安全法》中第44條對信息安全作出相關規定，不經允許，非法出售、提供、獲取相關信息都屬于“違法國家相關規定”的行為。在保證信息安全方面，采取積極的行為屬于一種有效的措施。但由于信息收集者和被收集者對信息支配程度上存在著一定差異，導致采取相關有效措施的標準也各不相同。

四、基于罪與非罪角度分析公民個人信息刑法保護界限

當出現侵害公民個人信息的行為時，應對相關責任人進行罪與非罪的判定，主要是針對民事侵權與刑事犯罪的判定、以及行政犯罪與刑事犯罪的判定。在判定民事侵權與刑事犯罪時，可以依據如下方面進行判定：

（一）侵害行為以其產生的危害性

若發生信息侵害行為，但沒有造成一定的危害性則可以不認定其犯罪，若侵害行為產生的危害性不大，可以適當減輕處罰力度。例如，行為人在獲取他人信息之后，運用所獲信息對被收集者進行敲詐勒索、綁架，并導致被收集者受到較大的人身傷害和經濟損失時，可以基于侵犯公民個人信息罪對其進行定罪。如果造成的后果不嚴重，可不構成犯罪，可將其判定為普通民事侵權行為，依據民事法律進行懲處。

（二）犯罪數額與情節方面

對于一些頻繁犯罪，且屢教不改、情節嚴重，影響惡劣的人員來說，應根據其具體情況進行犯罪認定，嚴重者需要追究刑事責任。

（三）行為人主觀心理狀態方面

主要判斷行為人在主觀方面是否對自身不法行為存在明確認知、對于后果的嚴重性是否清楚了解、對于侵權行為手段隱蔽性方面積極尋求等，依據具體侵權情況展開罪行判定，若通過民法處理不能起到威懾作用，不能有效防止同類事件的再次發生，則應考慮使用刑法來處理。

（四）行政違法與刑事犯罪判定方面

刑事犯罪主要體現的是二元違法特性，為了有效避免行政不法犯罪與刑事不法犯罪之間出現混淆，應嚴格梳理刑事違法性與行政違法性之間的關系。通常來說，刑事違法帶來的社會危害度遠大于行政違法。對于侵犯公民個人信息而言，在判定相關的違法行為屬于行政違法還是刑事違法時，應重點分析犯罪數額、情節、后果等因素，并綜合分析各種因素的整體影響進行判定。

五、侵犯公民個人信息犯罪的司法糾紛與困境

（一）對個人信息的理解

通過對個人信息的概念進行剖析，能夠讓我們更好地理解“個人信息”在法律規范中的意義。一些地區對于個人信息的稱謂略有不同。

1.個人信息定義

關于個人信息的定義，目前尚且沒有一個明確的定義。刑法修正案也沒有作出過多相應解釋。但是在理論界，卻對此眾說紛紜，部分學者認為個人信息就是與個人有關的信息。然而王利明教授則認為，所謂個人信息，主要指的就是與公民個人具有一定的關聯性，能夠充分反映公民個人特征的、可對公民個人進行有效識別的、由一系列符號所組成的系統。例如，公民個人家庭和財產方面的信息、公民個人身份、工作方面的信息。還有齊愛民教授認為“個人信息”是指自然人的姓名、出生年月日、身份證號碼等身份信息。總的來說可以分為以下三種：一是“抽象式定義”，就是通過提煉不同個人信息中較為共同的關鍵要素的定義方式。該種方式雖然將個人信息提煉為確定、識別某人的信息，但尚且沒有法律依據。二是“列舉式定義”，列舉式定義的主要內容是將全部表現出來的個人信息要素進行羅列。其羅列的主要信息包括：個人的姓名、學歷、家庭住址、電話等等能夠識別公民個人身份的信息。該種方式較抽象式定義而言比較明確、具體，能讓人一目了然。但該種方式也存在著列舉的信息畢竟有限，不能反映出信息的全部等缺點，在實際情況中，缺少一定的適應性。三是綜合式定義，即對以上兩種方式進行了有效的綜合。

2.個人信息與相關概念的區分

個人信息中個人資料、個人隱私是兩個不同的概念，在日常工作生活中，有很多人會把這兩個詞混淆。下面對這幾個概念進行區分：

(1)個人隱私

王利明教授認為個人隱私是指一種與公共利益、群體利益無關，且當事人不愿他人知道或他人不便知道的信息，當事人不愿他人干涉或他人不便干涉的個人私事，或者當事人不愿他人侵入或他人不便侵入的個人領域。也有學者認為，公民享有個人隱私權，就是指個人享有的私人生活不受他人窺探、干涉、打擾的權利。可見個人隱私應該包括兩個方面的特征:一是自然人享有的按照自己的意愿支配自己活動、并不受他人打擾的權利；二是在法律規定的范圍內，自然人享有的私人生活的私密權和不受他人非法干預權。

(2)個人資料

資料或數據是描述的個人信息的載體，資料或數據是指個人能被他人識別的一切數據。包括公民信用卡的賬號密碼和消費記錄、公民的健康狀況和身高等相關數據信息、顯示公民財產狀況的數據資料等等。

（二）對“違反國家規定”的理解

《刑法修正案（九）》第十六條規定認定侵犯公民個人信息的同時，已經違反了國家相關規定。我國《刑法》第96條明確規定，本法所稱違反國家規定，是指違反全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規、規定的行政措施、發布的決定和命令。根據法律條文的理解，本罪不包括違反地方性法律、法規、規章、命令等的侵害行為。

目前，我國法律法規中關于信息保護的規定有：

(1)在公民日常就醫過程中，對于公民的醫療信息，比如，公民的健康信息、患病史等對于公民來說很重要的個人信息。《中華人民共和國職業醫師法》《中華人民共和國傳染病防治法》等法律法規規定，相關的醫院和醫生有尊重病人意愿和幫病人保密的義務。

(2)在金融方面，涉及公民存款方面的信息，信用記錄信息等對于公民來說同樣是相當重要的個人信息。《中華人民共和國商業銀行法》規定了商業銀行對于公民的財產信息需要嚴格保密，保障存款人的合法權益。同時，相關的銀行、金融機構也有義務對公民的財產進行妥善保管，對信息要嚴格保密。

(3)對于未成年人個人信息保護方面，《中華人民共和國未成年人保護法》《人民檢察院辦理未成年人刑事案件的規定》等法律嚴格保護未成年人的隱私和相關資料。未成年人屬于一個特殊的群體，世界觀、人生觀均未定型，未成年人需要更多的愛護和包容，因此，對于未成年人個人信息的保護應該更加嚴格。

(4)對于公民個人身份信息而言，公民的個人身份信息是最具識別性的個人信息。《中華人民共和國居民身份證法》《中華人民共和國護照法》都規定公安機關、護照簽發機關在履行職務過程中有對公民個人信息的保密義務，這對于保障公民個人身份信息安全提供了有力法律依據。

(5)在網絡信息安全方面，隨著科技的進步，網絡已經成為最大的信息交易平臺，網絡信息安全也是需要時刻注意的，《互聯網安全保護技術措施規定》提出，互聯網服務提供者在未經用戶同意的情況下不得隨意泄露、公開用戶注冊信息。

(6)在行業自律方面，有些行業涉及信息量較大，保護信息安全需要靠人員素質及自律度。例如律師行業，《律師法》規定律師對當事人隱私的保密義務，《郵政法》中對郵政工作人員在職務中對用戶個人信息和個人隱私的保密規定。

(7)其他法律法規中的相關規定。

以上這些法律法規的建立，從各個方面出發對公民個人信息起到了一定的保護作用，對于與公民個人信息接觸較多的部門也作了相關行為禁止性規定，對其保護的義務和職責進行了明確的闡述。“違反國家規定”的限定的提出可以一定程度上解決信息侵害問題，但是由于我國最早在這方面的法規不完善，且沒有專門的個人信息保護法，導致對于公民個人信息犯罪領域或者可能出現侵犯公民個人信息的行業無法進行全面覆蓋。因此，一旦出現沒有相關國家規定的情況，即便出現侵害公民個人信息行為，也無法達到本罪構成要件。國家要嚴格規范地保護公民個人信息，還需完善法律法規中對公民個人信息保護的規定，提高司法實踐中的適應度。

六、公民個人信息刑法保護界限問題反思

基于上述對公民信息刑法保護界限問題的分析，并結合我國有關信息保護方面工作開展的實際情況，進行以下思考：

其一，公民個人信息的重要程度不盡相同。在實踐過程中，公民個人信息根據其類型不同，信息度的重要程度也各有不同。有時候即使同類信息也存在重要性方面的差異。所以，公民個人信息刑法保護應對被非法收集、使用信息的重要性進行界定，提高其界定的精準性。

其二，注重影響的動態性分析和綜評。在對公民個人信息進行刑法保護時，需要對公民個人信息被非法收集獲取以及非法使用的情況進行全面分析，從而提高評估的準確性，同時注重體現動態性特點，即從信息被非法采集和使用的那一刻開始，直至這一問題被發現和解決之日止，綜合計量和評價其產生的影響，基于影響進行案件定性。

其三，在對一些特殊情況的處理上，刑法界定有待加強。例如，家庭生活中，夫妻二人對于對方的信息都有較多了解，但因某種原因離婚后，一方未經過允許使用另外一方相關信息，且未對另一方造成傷害，對于這一情況應如何界定，若對另一方造成傷害，又該如何界定。本文認為，如果在使用對方相關信息之后，應該及時告知對方，對方允許，則無需追責。如果對方知道這一情況后，不同意信息被使用，且使用者沒有按照其要求及時停止使用，則需要對其追究法律責任。

其四，個人信息法律授權方面。對于個人信息的法律授權問題，應基于人權平等的角度，合理對授權的權利范圍進行界定，有關部門并不是對于所有信息收集和使用都能進行法律授權。

七、完善公民個人信息罪的建議

（一）確定“個人信息”“情節嚴重”等相關法律術語的范圍

要想準確定義侵犯公民個人信息罪，就要對該罪的客體范圍有個準確地把握。個人信息包含范圍比較廣，既包括與公民個體有關的信息，也包括公民在進行社會活動時所涉及的信息。情節的嚴重性是定罪量刑的關鍵因素，也是判定侵犯公民個人信息罪的重要指標。應該在相應的司法解釋中闡明“情節嚴重”的判斷標準和考慮因素。建立全面科學的“情節嚴重”的標準，綜合客觀地對受害人、對社會產生的影響和危害進行評定，從而減少司法適用中的主觀性與任意性。

（二）建立侵犯公民個人信息的罪名體系

從世界部分國家和地區關于侵犯公民個人信息犯罪的規定情況來看，各國依據本國實際情況，為侵害個人信息犯罪劃定了相應范圍。有些國家將侵害信息犯罪單獨規定為一章，并將其確定為侵害個人信息權利的依據。文章建議，我國也可將侵犯我國公民個人信息罪單獨列為一節，并把社會發展中存在的常見違法行為納入侵犯公民個人信息罪中來。例如，非法竊取、非法提供、非法收集、非法使用、不正當使用公民個人信息等情節嚴重的行為、非法處理公民個人信息情節嚴重的行為、非法存儲持有公民個人信息情節嚴重的行為等等，并建立完善的罪名體系，以妥善地回應民眾的期待與呼聲并有效地懲治犯罪。

（三）規范犯罪行為

我國刑法中對侵犯公民個人信息罪的犯罪行為規定相對簡單，因此，筆者認為可以從以下幾個方面加以完善：

1.非法利用行為

《刑法修正案（九）》的規定僅從源頭上遏制公民個人信息外泄的可能，并沒有規定若出現侵權行為該如何懲治。真正地對公民個人信息安全造成侵犯的行為是非法利用行為，對信息的非法獲取、非法提供等行為只是為非法利用提供了前提。因此這種漏洞的存在，可能導致那些以“合法”的形式收集的公民個人信息但進行非法利用的行為不能受刑法制裁。因此，可以在刑法條文中突出對非法利用行為的規制。

2.針對公共機關處理的個人信息非法刪改、變更或破壞的行為

公共機關掌握著大量公民個人信息，任何不經當事人或有關機關同意破壞存儲在公共機關的公民個人信息的行為，非法刪改、變更、破壞公共機關存儲或掌握公民個人信息情節嚴重的也應追究責任，并在相關司法解釋中予以明確。

（四）完善刑罰設置

1.完善罰金刑

針對《刑法修正案（九）》對出售、提供公民個人信息的行為，達到情節嚴重程度的，判處有期徒刑或者拘役，并處或者單處罰金的規定，但是應當對罰金刑的范圍進行明確，可以考慮以非法獲利作為基準，結合行為人的犯罪情節等因素設置相應的罰金數額加以完善。因此可以通過對罰金刑的不同標準的設置，體現出刑罰對不同嚴重程度的犯罪行為的處置。

2.增加資格刑

從某種程度上來說，剝奪資格也是對不法行為人的懲罰。對于機關中某些特殊職位的工作人員來說，如果其在工作的過程中出現侵犯公民個人信息的行為且達到一定的程度，可以考慮禁止該名工作人員繼續從事與個人信息有關的職業。

3.根據犯罪主體區分刑罰

對于某些國家機關和特殊單位的工作人員，不管是從接觸公民個人信息的難易程度與獲取的數量上來說，還是從侵權行為給信息主體造成的危害程度上來說，都遠高于一般個人犯罪。如果不加大懲罰力度，從重處罰，很難有效控制其侵權行為。所以筆者認為，對于在國家機關和某些特殊公眾服務單位的公職或工作人員有出售、非法提供或者其他侵犯公民個人信息行為的，在定罪量刑時應當與一般主體的侵權違法犯罪行為區分開來，并且從嚴從重處罰。

（五）進一步明確侵犯公民個人信息罪與相關罪名的界限

不同的犯罪行為，可能會造成罪數認定的疑難，因此，需要進一步明確侵犯公民個人信息罪與其他罪名的界限。如通過非法侵入他人計算機系統的方法獲取公民個人信息的行為、通過行賄手段非法獲取公民個人信息的行為、利用職務之便收受他人賄賂并為他人非法獲取公民個人信息提供便利的行為，從事國家禁止的經濟活動并影響國家的正常經濟秩序和正常市場秩序的行為等行為與相應地破壞計算機信息系統罪、行賄罪、受賄罪、非法經營罪等的出現類似時如何定罪處罰，還需要在司法解釋中進一步作出明確。

八、結語

綜上所述，本文進行公民個人信息刑法保護界限問題分析時，主要從語義角度、價值角度、實體角度、罪與非罪角度進行探究，詳細論述如何界定公民個人信息刑法保護界限。并在此基礎之上進行拓展，實施侵犯公民個人信息行為罪與非罪界限分析，反思公民個人信息刑法保護，為相關法律體系的完善提供有益借鑒。