论我国个人信息的刑法保护

　　个人信息的概念源于1968年联合国“国际人权会议”中提出的“资料保护”(data protection)，这一年被称为“资料革命”年。各国立法和学术界在个人信息的认知方面众说纷繁，学理上关于个人信息的定义主要有以下几种：第一种定义是隐私型。认为个人信息是自然人秘密的或不肯公开且与公共利益不相关的信息。如X1974年颁布了《隐私权法》，对行政机关收集、利用、传播处理个人信息的活动加以规制。第二种定义建立在关联性理论基础之上的。所谓个人信息，包括“人之内心、身体、身份、地位及其它关于个人之一切事项之事实、判断、评价等之所有信息在内。”瑞典1998年的《个人数据法》就采用了该种学说。第三种定义以欧盟《欧洲议会和欧盟理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》为代表，建立在“识别说”基础之上。即“个人数据是指与一个身份己被识别或者身份可识别的自然人相关的任何信息；身份可识别的人是指其身份可以直接或者间接特别是通过身份证件号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的人”。第一种把个人信息等同于隐私范围可能过于狭窄，而第二种的规定可能会失之宽泛。

　　我国最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》（公通字（2013）12号）明确规定：“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”本文在个人信息的研究范畴也主要按照我国最高法中的规定。

　　结合上述对个人信息的识别，在我国法律范围内对个人信息的特征进行了识别型的界定，个人信息具有个人为主体，公开、半公开以及不公开、应具有针对性的识别特征。如可以直接识别到个人的学历、出身、健康状况、家庭情况等个人生活中方方面面的内容3。个人信息依附于每一个个人，体现着个体之间的巨大差别，符合每个个人之见的差异性和特征性。“公民的个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日等可以直接或间接识别该个人的信息。[参见周汉华：《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》，法律出版社2006

　　年版，第3页。]”个人信息的特异性，直接导致个人信息明确识别到特定的个人。但社会的发展，人属于社会动物，在社会中生活的个人会在社会生存中产生大量的信息，应都予以保护。个人信息的特征性和特异性，也体现出了个人信息的私人属性不容他人侵犯和泄露。信息化时代下，个人信息在虚拟的网络中存在着价值体现。“如果说封建社会主要的财产形式是土地、资本主义的财产形式是资本，那么信息社会主要的财产形式就是信息。[齐爱民：《中国信息立法研究》，武汉大学出版社2009年版，第78页。]”

　　因此，个人信息具有财产权的法理依据，他人不容侵犯。而目前对于个人信息的网络窃取、网络交易已成为严峻的问题，大量非法交易的完成，造成了诈骗、侵犯个人隐私等违法事件的发生，从而国家不断完善的法律规范，进一步通过立法《刑法修正案（九）》，以保障信息化社会中，个人信息的保护。

　　信息化时代的来临，个人信息的泄露给个人的生活带来了极大的不便。早在2009年央视便曝光了个人信息买卖和泄露的黑幕。人民生活过程中遇到的生病住院、或孩子出生之后，便有各大保险公司推销保险、满月相册摄影室拍摄满月或周岁照片，刚买房子便持续有房产中介的骚扰求租求售电话，更不提其他各种各样的推销电话和骚扰短信，更为严峻的是目前屡禁不止的诈骗电话。据公安部2012年打击侵害个人信息的行动中，大量个人信息的泄露非法交易被查获，被查出窝点38个，个人信息泄露高达50亿条[娄耀雄：《信息法研究》，人民法院出版社2004年版，第5页]。大数据时代的来临为个人信息的窃取便宜，特别是手机和电脑的普及，黑客技术的发展，手机和电脑木马与病毒的植入，为不法分子窃取他人信息提供了支持。另外少数公职人员知法犯法，在履行完职责或为个人提供服务过程中得到他人的详细信息，非法出售给他人。有大量报道可见，公职人员、国企员工、银行、乃至医院卫生人员涉及个人信息的买卖中。有关部门统计，公民的个人信息买卖案件中，多数牵扯到内部的“内鬼”[何春中．为何会有大量公民个人信息泄露［N］．中国青年报，2013年6月20日，第11版.]。

　　随着信息化建设的不断深入，信息的获取、分享、利用更加便捷，掌握大量的信息，能够创造大量的利益，信息则成了获取经济利益的主要手段之一，但前提是合法获得。不法分子利用人们的疏忽、技术的漏洞、制度的滞后大肆骗取、甚至窃取公民的个人信息，并将其出售，通过非法提供公民个人信息，以获取暴利。个人信息泄露从根源上讲是利益的驱使。个人信息案件中，通过出售个人信息均能获得大量的经济利益，特别是个人信息的获取成本低廉，通过黑客手段或内部人员直接获取，成本几乎为零，但出售个人信息无法通过侦查方式进行识破，犯罪分子多隐藏在网络中，给公安机关的立案侦查带来难度，很难判定是那个环节出现了问题，导致个人信息的泄露。以医院为例，实名制挂号和网络挂号需要将个人信息绑定，导致个人信息在医院内部可以随便查阅，一旦出现信息泄露，出院后，往往会接到保险公司大量的骚扰电话，病人虽然能够明确是由于医院内部人员非法出售了个人的相关信息，但也无法维护自身的权益。

　　随着个人信息被不法分子的大量获得，由其引发的危害也越来越严重。主要体现在垃圾短息层出不绝，接到的骚扰电话屡禁不止，植入病毒或木马垃圾邮件源源不断，被冒用信用卡开卡，信用卡被透支欠款，由其引发的案件从天而降，个人名誉无端受损，犯罪分子利用所获的个人信息诈骗，冒充公检法要求转账汇款，各种坑蒙拐骗和趁虚而入，银行账户钱款被非法转移不翼而飞。给个人带来了严重的经济损失。

　　2015年中国互联网协会、中国互联网协会12321网络不良与垃圾信息举报受理中心联合发布了《2015年中国网民权益保护调查报告》，该报告显示，仅2015年，就有82.3%的网民切身体会到由于个人信息泄露对日常生活造成的影响，其中有32%的网民因垃圾信息、个人信息泄露或网络诈骗等现象，导致经济或者时间损失。在第一季度，仅在北京有关部门就接到网络诈骗报案近5000起，总金额在数千万元。在全国的调查显示，近一年有32%的网民实际蒙受经济损失，平均每人损失180元[xxx网络安全和信息化领导小组办公室http://www.cac.gov.cn/2015-07/22/c_1116002040.htm]。据此估算，我国6.49亿网民因权益受损，导致的经济损失约805亿元，平均每人损失124元。此外，高达7%（约4000多万人）的网民近一年遭受的经济损失在1000元以上。2016年，全国的电话诈骗事件更是层出不穷，引起广泛关注的2016年8月“徐玉玉案”[徐玉玉案3名被告人提出上诉http://tech.sina.com.cn/roll/2017-08-08/doc-ifyitayr9763180.shtml]，由于受害人的个人信息被犯罪分子利用，导致花季少女的身亡，造成了恶劣的社会影响。由于全国冒充公检法人员到处诈骗，经济损失在数百亿元以上，层出不绝的电话诈骗导致银行业不得不将汇款到款时间更改为24小时之后，给广大群众带来了诸多不便。

　　诸多的事件出现后，导致国民对于国家大量机关单位出现了负面心理，严重损害了有关机构的名声和声誉，对社会秩序造成了严重的影响，扰乱了社会的应有秩序。总体而言个人信息泄露导致的问题不容忽视，它不但干扰了受害者的正常生活和学习，而且造成了社会性的问题。因此有必要严格控制，予以立法以控制其造成的严重问题。

　　如前所述，个人信息不仅与个人的人身、财产等切身利益紧密相连，而且与整个社会的有序运转息息相关。一但个人信息泄露，小则危害个人利益，大则影响社会和谐稳定，因此个人信息的保护显得尤为重要。但是我国对个人信息立法保护相对滞后，2003年才开始着手研究针对个人信息保护的法律法规，但是并没有形成专门的个人信息保护法。然而，随着科技的进步，社会的不断发展，新型犯罪手段不断涌现，因此在司法实践过程中仍然存在个人信息犯罪立法标准、犯罪行为界定范围不明确等方面的问题，造成实践执法难的局面。

　　现阶段，我国法律法规层面对个人生活信息的保护主要体现在以下两个方面：一是在与个人生活信息有关的法律法规中直接设置个人生活信息保护的条款；二是通过对个人隐私的保护起到对个人生活信息的间接保护。

　　首先，以“隐私权”名义保护个人生活信息的法律法规。从隐私权角度间接保护公民个人生活信息的法律法规的数量多于直接以个人生活信息的名义来保护的法律法规。

　　其次，2009年出台了《刑法修正案（七）》，首次确立了个人信息的刑法保护机制，至此我国个人信息保护迈出了关键性的一步。其中第七条的规定确定了个人信息犯罪，填补了我国法律领域的某些空白，首次形成了个人信息的刑法保护机制，明确了对个人信息的保护从以前的间接保护，如对隐私权、人格权等保护变化为直接保护。

　　第三，国家随后在2015年通过了《刑法修正案（九）》[《中华人民共和国刑法修正案（九）》]对其进行了完善和补充，其中《中华人民共和国刑法修正案（九）》第十七条的规定使刑法真正能够在保护个人信息方面起到更多作用。

　　最后，最高人民法院在《关于贯彻执行<中华人民共和国民法通则>若干问题的意见（试行）》也对个人生活信息保护进行了规定。第140条和第141条规定，只有当自然人有关姓名、隐私等受到侵害时才可以援用相关民事法律对个人生活信息进行保护。

　　1.公民个人信息内容规定不明确

　　我国刑法立法模式单一，采用以一部法典涵盖所有犯罪的模式，当然这样有一定的优势，比如易于查阅，发现缺陷，不易遗漏，使刑法系统化，更有利于司法机关参考使用。但也有其弊端，有学者指出，目前我国关于公民个人信息保护的条文散落在24部相关法律文件中，其中有18部均为行政规章，正是由于我国相关前置法的缺失，加之刑法本身存在的一些欠缺，给司法实践带来诸多操作上的困难，影响了刑法保护的效果；立案标准不甚明确，主要体现在“个人信息”的认定不够明确。尽管刑法对侵犯公民个人信息犯罪的内容作了规定，但是存在什么是公民个人信息？具体包括哪些内容？目前没有一部法律对个人信息的内涵、范围及基本权益做详细而明确的定义，给刑法学的研究带来了困难，同时概念的模糊也成了司法实践中无法精准打击犯罪分子的难题。

　　2.个人信息保护范围过窄

　　个人信息是一个范围比较宽泛的概念，不仅包括民事法律中已经规定的隐私、姓名、肖像等，还包括像身份证号码、手机号码等其他信息，而且随着经济社会的发展，其内容会越来越丰富。目前我国法律大大缩小了个人信息的保护范畴，不利于维护公民的人格利益和财产利益，同时还混淆了个人信息和隐私这二者之间的界限，使部分学者产生误解。

　　3.个人信息侵权责任规定不明确

　　虽然公民可以基于上述《刑法》中的部分条款提起诉讼，但是这些学说仅仅是学者的观点，司法实践中法官要以法律为准绳，能否起诉要依法官对相关法律规定的理解而定。承担责任形式及免责事由等就只能依赖司法工作者进行认定，而司法工作者由于学识、经验、认识的不同可能就会对类似的个人信息侵权案件做出差异很大的判决，势必不利于保护权利人的合法权益，权利人的利益也就无法得到有效的救济。而且，现行民事法律主要规定了侵犯公民姓名权以及隐私权等的具体条件，对那些不能纳入姓名权或者隐私权等保护范畴的个人信息侵权行为也就因为个人信息权的缺失，权利归属不明而得不到法律救济。

　　个人信息具有人格权和财产权的双重属性，以个人信息为客体的权利就是个人信息权。而对个人信息进行保护能够保护信息主体的人格以及人格尊严。因此，对个人信息进行保护的人格权理论也是建立个人信息权的理论基础。因此在民事立法中确立个人信息权这一具体的人格权符合我国当前对人格权保护的立法习惯。

　　目前个人生活的个人信息的保护主要通道个人防护间接规范围的方式实践，因而难免保护不到位。因此，在我国个人信息保护的立法进程当中，应该以民法为基本出发点，应先制定《人格权法》规定个人信息权的内容、范围等，然后再制定《个人信息保护法》详细规定个人信息的收集、加工、流转程序和侵权责任。

　　随着信息社会的发展，个人信息所具有的财产内涵被越来越多的人所承认，个人信息在一定程度上已经进入市场交易。如果信息使用者不遵守订立的合同条款，则信息主体有权基于合同要求相关主体承担违约责任以及其他相关民事责任。另外，直接个人信息能够单独识别信息主体，其产生的经济利益巨大而且便捷，间接个人信息必须借助其他信息一起才能识别出信息主体，起到的仅是辅助作用，所以在请求赔偿时应区分直接个人信息和间接个人信息，侵犯直接个人信息时可以要求精神损害赔偿和财产损害赔偿双重赔偿，侵犯间接个人信息时只能请求精神损害赔偿。

　　信息化、电子化时代背景下，个人信息的收集具有一定的隐蔽性。当今通过现代技术收入将个人信息录入大型XX数据库，在直接、简介搜集信息的同时更为重要的是保证信息安全，同时在使用个人信息时的行政监督也是法律需要保证。

　　1.信息安全保护制度

　　信息安全保护制度，指行政机关应当对其存储的个人信息采取合理的安全保护措施，以防止个人信息的丢失、未经授权的收集、毁损、利用、修改和揭露等情形。信息安全既包括个人信息本身的安全，也包括个人信息所依附的载体的安全。

　　信息安全保护制度要求行政机关作为个人信息的持有者，应当采取适当的行政措施、技术保障，保障个人信息不被违法收集、丢失、公开、删除，从而避免对个人信息的安全与造成实质性的不利影响。其中，与XX信息公开关系较为紧密的是个人信息不被披露的内容。个人信息不被行政机关随意披露、公开，实际上是对个人信息隐私权的保护。不被公开要求XX在信息公开过程中如果需要公开个人信息时，应首先考虑其是否具有隐私利益。其次，进行隐私利益与公共利益的衡量实现对隐私利益的最大化的保障。

　　2.信息救济制度

　　从我国目前对公权力监督和救济途径上来看，在公民的信息隐私或信息自决权受到来自公权力机关的侵犯后，主要包括行政救济和司法救济两种途径。

　　一方面是行政内部救济。行政内部救济包括行政机关内部申诉和行政复议两种：第一，行政机关内部申诉制度，即在行政机关系统内部设置独立的个人信息保护的监察机构。该机构的职责在于，当公民信息权受到违法侵害时，则由公民首先向该机构申诉，由该监察机构提供首次的救济。第二，行政复议制度，即立足于我国现有的行政复议制度，把行政复议机关作为个人信息保护监督机关，赋予其相应的职权。其本职责任应包括对个人信息保护法的执行进行一般性监督、进行个人信息保护的研究和咨询，以及并定期提交工作报告等内容。

　　另一方面是司法救济。司法救济主要是指通过向法院提起行政诉讼寻求对信息隐私或信息自决权的救济。我国《行政诉讼法》虽然未明确列举行政机关侵害相对人信息权利可以提起行政诉讼，但是《行政诉讼法》第11条第1款第8项规定，人民法院可以受理明确列举的受案范围所规定事项外，还可以就行政机关侵犯相对人其他人身权和财产权的案件。据此，可通过这项概括性规定对公民的信息权作扩大涵义的理解，从而实现对公民信息权的公法救济。

　　如今是一个信息化的社会，离开信息，人们甚至无法生存，更谈不上发展。更为重要的是，作为社会的一份子，每个人的个人信息已经是社会信息组成中不可分割的部分。因此个人信息对于个人的生存、发展乃至社会的和谐稳定与发展都具有极其重要而又深远的意义。然而伴随着信息化的快速发展，信息泄露及信息犯罪等问题也日益凸显，这是一个世界范围内的共性问题。当前世界各国都积极应对，有些国家已经建立起个人信息刑法保护体系。

　　孟子《离上楼》说过；徒善不足以为政，徒法不能以自行。意思是只有善德是不足以处理国家的政务，而只有政务是不能使之自己发生效力。治理国家必须把善德和政令结合起来。由此我们可以认识到，在建立完善和成熟法律法规的同时，还要全社会的积极响应和关注，只有这样公民的个人信息才能物尽其用，发挥其最优、最大的社会功效。

　　[1]周里.公民个人信息刑法保护问题研究:[M].吉林大学，第2页.

　　[2]齐爱民：《土地法、动产法到信息法的社会历史变迁》，《河北法学》2005年第2期，第4页..

　　[3]周汉华：《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》，法律出版社2006年版，第3页.

　　[4]齐爱民.中国信息立法研究[M]，2009年版，武汉大学出版社，2009.78.

　　[5]娄耀雄：《信息法研究》，人民法院出版社2004年版，第5页.

　　[6]何春中．为何会有大量公民个人信息泄露［N］．中国青年报，2013年6月20日，第11版.

　　[7]骆沙．调研显示:个人信息泄露近八成源自于内部作案［N］．中国青年报，2012年4月19日，第3版.

　　[8]谭甦，魏裕双，岳金香，周靖壹.公民个人信息刑法保护的难题与突破——以《刑法修正案(九)》为视角[J].兰州教育学院学报，2017，33(4):160-162.

　　[9]刘宪权、方晋晔：《个人信息刑法保护的立法及完善》，载《华东政法大学学报》，2009年第3期.