网络时代下侵犯公民个人信息罪的刑法规制

田兴雨

摘要：网络的普及和深入使得个人信息逐渐透明化，侵犯公民个人信息犯罪呈高发态势，并且犯罪开始组织化、链条化、技术化，对个人信息安全造成巨大的冲击，加大了刑法对其规制的难度。目前，《刑法修正案（九）》对本罪进行了规定，但也存在个人信息范围模糊、前置性法律缺失、犯罪行为方式规定不完善的困境。因此，必须加快完善公民个人信息的刑法保护，同其他相关法律一起形成完善的个人信息保护机制。

关键词：侵犯公民个人信息罪;可识别性;个人信息保护法;非法利用个人信息

网络信息技术的飞速发展使得个人信息的利用方式变得更为便利，云储存、云分享等新技术使得公民个人信息开始规模化的存在。但同时个人信息面临的风险挑战也随之而来，存储方式的变化使得个人信息极易被规模化的泄露、滥用，严重危害了个人合法权益，为其他犯罪提供了资源，不利于社会公共秩序的有序发展。

一、侵犯公民个人信息罪概述

（一）公民个人信息的界定

公民个人信息的定义在刑法中没有具体的界定，理论界存在着识别、隐私等学说。根据有关解释对个人信息的界定来看，“个人信息是指能够单独识别或与其他信息结合识别个人身份、特征的信息，包括姓名、身份证件号码、住址、财产状况等”[ ]，据此来看，公民个人信息最本质的特征是“可识别性”，以“可识别性”来判别公民个人信息具有一定的包容性，能够适应不断发展的大数据时代所带来的个人信息范围的变化，但是目前公民个人信息的認定无法满足网络快速发展时代下司法实践的需要，因此，需要对公民个人信息进一步的研究，以更好的保护公民个人信息。

（二）网络时代下侵犯公民个人信息犯罪的现状

1.侵犯公民个人信息罪数量激增

根据北大法宝数据显示，侵犯公民个人信息案件从2018年起呈现爆发式增长，这一现象与网络数字技术的发展、大数据的应用密不可分。人们在使用网络时留下的各种痕迹可以通过信息收集与匹配分析技术被轻而易举的汇聚成信息库，并能精确的分析出个人的消费情况、移动轨迹、爱好习惯等信息。这些数据在被非法获取或者由于保密措施不完善或者保密规范缺失等原因被泄露后，会被用于各种非法活动，成为各种犯罪的源头，严重侵害公民的合法权益。

2.侵犯公民个人信息犯罪组织化、链条化

个人数据信息在网络时代被广泛的收集、分析，应用于各个领域，包括各种经济活动和政府社会治理的各方面，其具有高度应用价值和商业价值，财产属性更加突出。[ ]犯罪嫌疑人为了谋求经济利益，非法获取、收集、分析利用个人信息，在个人信息的系统化整合的过程中，针对个人信息犯罪的产业链从源头（黑客、内鬼获取信息）--倒卖（中间商、代理商进行采购交换）--非法使用（网络诈骗、敲诈勒索等各类型下游犯罪）逐步形成。[ ]侵犯个人信息罪已经开始向组织化、产业化、链条化方向发展，严重威胁公民个人信息安全，侵犯公民个人权益。

3.侵犯公民个人信息犯罪手段不断进步

网络技术的发展使得网络服务质量大大提高，然而与此同时，犯罪分子也可以利用这些技术来实施犯罪，基于信息类犯罪的特殊性，技术性的进步更有利于犯罪的开展。木马病毒、钓鱼网站、撞库、拖库等技术的应用让犯罪分子更加容易的获取公民个人信息，同时也让犯罪更具隐蔽性。在日常生活中无意间点开的链接、输入的信息或者是连接的无线网络等都可能会让我们的个人信息泄露，而我们对信息的泄露往往会毫无察觉，只有在发生严重的后果时，才会意识到自己的个人信息已经被窃取、被盗用。在案件发生后，基于网络的特性，案件的侦查往往也会有一定的难度，个人的合法权益无法得到有效的保护。由此，目前侵犯公民个人信息罪表现出技术性、隐蔽性更强的特点。

二、网络时代下侵犯公民个人信息行为的刑法规制的困境

（一）个人信息“识别性”标准模糊

基于刑法的罪刑法定原则，公民个人信息的范围必须要有准确的界定，虽然《解释》对公民个人信息进行了定义，但从实际情况来看，用一种确定性的标准来界定数量和种类愈加繁多的公民个人信息是难以实现的。特别是在网络时代背景下，公民个人信息的可识别性已经扩展到间接识别，但间接识别的范围还需进一步确定，一些新生种类的信息是否能归属于公民个人信息的种类还有待确认，比如公民注册的网络账号、位置信息、网络查询痕迹等。因此，随着时代的发展，尤其是网络技术的发展，公民个人信息的种类和范围需要随之进行调整。

（二）前置性法律的缺失

刑法具有终局制裁性，它与民事、行政法律相辅相成，一定程度上也依赖于民事、行政等前置性法律的规定。[ ]目前，有关信息保护的法律规定散落于各个法律当中，没有形成体系化的保护模式，专门性的信息保护法律也尚未出台，这十分不利于侵犯个人信息行为的法律适用。另外，如果在侵犯个人信息的行为可以用其他处罚措施替代刑罚的情况下直接越过其他法律适用刑法，未免过于严苛，不符合刑法的谦抑性，不利于法律体系的有效衔接，也不利于侵犯个人信息行为的打击预防。

（三）犯罪行为方式规定有待完善

《刑法修正案（九）》及相关司法解释对侵犯个人信息犯罪的规定重点在于信息获取阶段，但目前来看，公民个人信息被非法利用的情况十分严峻，我们在各种APP平台的注册信息、在网站上的浏览信息、在购物平台上保存的收件信息等都会被通过大数据技术收集。作为信息的持有者，各个平台需要遵守相关规范保障我们的信息安全，但在没有获得我们允许的情况下，他们利用已获取的信息向我们推送各种垃圾信息，给用户造成了各种困扰。更严重的是由于相关人员安全意识的欠缺以及相关行业规范的缺失，规模化储存的个人信息泄露后会被不法分子利用来进行各种犯罪活动。随着社会的发展、网络技术的发展，侵犯公民个人信息犯罪的手段越来越多样化，刑法对本罪行为方式的规定难以全面覆盖。

三、网络背景下侵犯公民个人信息罪刑法规制路径的完善

（一）明确公民个人信息“可识别性”的范畴

网络技术的发展带来了许多新类型的个人信息，这种新型的个人信息是否属于本罪规制的对象需要进一步的明确。根据《解释》，认定信息是否属于侵犯公民个人信息罪的规制对象的关键在于“可识别性”，但目前大数据技术往往都会对收集到的个人信息进行“去识别化”的处理，即对收集到的数据进行处理，将能够识别特定个人身份的数据进行删除。但是，大数据技术也可以将这些“去识别化”的信息“再识别化”，如果将能够“再识别化”的信息全部纳入侵犯公民个人信息罪的规制范围，个人信息在网络时代的价值将会大大降低。对此，我们可以参考国外有关法律，将“识别”规定在合理限度内，如果“去识别化”的个人信息需要极其高难度的技术才能对个人信息进行“再识别化”，那么此类信息便不属于“公民个人信息”。

（二）完善前置性法律，促进法律体系的衔接

当前我国专门的个人信息保护法尚未出台，侵犯个人信息的行为容易被笼统的通过刑法进行规制，一些尚未达到刑法规定的情节严重的行为无法得到合理的规制，同时过度依赖刑法的保护容易造成刑法先行，不利于刑法与民法、行政法之间的衔接。因此，我国需要加快《个人信息保护法》的出台，目前《个人信息保护法》草案已经经过二次审议，我国应在结合具体国情，借鉴国外经验的情况下，尽快完成《个人信息保护法》的立法工作。另外，各行各业也应制定相应的行业守则，通过行业间自律的方式完善网络环境下个人信息的保护。

（三）完善本罪的入罪行为方式

侵犯公民个人信息的行为越来越多样化，特别是非法利用公民个人信息的行为越来越多，相比于非法获取行为，其造成的后果可能会更加严重，因此，应将非法利用个人信息并造成严重后果的行为纳入到本罪的规制范围当中，譬如德国刑法典规定的利用他人秘密罪[ ]。具体来说，笔者认为可以通过刑法修正案的方式将非法利用个人信息的行为纳入刑法规制的范畴，同时将“情节严重”作为入罪条件以避免过度犯罪化。

当前已经全面进入大数据时代，个人信息成为重要的资源，个人信息犯罪愈演愈烈，同时个人信息的泄露也成为其他犯罪的源头，严重侵害公民合法权益，造成社会秩序混乱。虽然《刑法修正案（九）》规定了侵犯公民个人信息罪，但随着时代的发展，侵犯公民个人信息犯罪呈现出新特点，因此，必须不断完善法律，以确保网络时代的个人信息能够得到完善的保护。

参考文献

[1]张明楷：《刑法学》（第五版），法律出版社 2016 年版。

[2]张新宝：《隐私权与个人信息保护》，载于法制日报，2016年第011版。

[3]褚韵：《互联网背景下侵犯公民个人信息的惩罚困境及解决路径探析》，载于中国会议，2020年11月12日。

[4]黄思瑶：《论侵犯公民个人信息罪的刑法保护》，载于《理論观察》2020 年第 03 期。

[5]李刚：《大数据开发利用中个人信息刑法保护的边界》，载于《中国会议》，2020年11月12日。