第一章　公民權利與民生保障

第一節(jié)　信息化時代公民個人信息的法律保護制度[1]

當代中國社會正處在從傳統（熟人）社會向現代（陌生人）社會的轉變中，同時又面臨從傳統工業(yè)社會向信息社會的轉變，信息技術的突飛猛進、大數據時代的到來使得有關個人信息的收集、存儲、加工、識別及傳播技術面臨前所未有的飛躍，個人因自我信息的失控而受到侵害的現象呈現出“井噴”增長。

“你們是怎么知道我的號碼的？”這是很多人在接到一些莫名其妙的電話之后，脫口而出的憤怒話語，類似的被騷擾情況可以說不少人都經歷過。不僅如此，這種侵犯個人信息的行為已經對公民的人身、財產安全和個人隱私構成嚴重威脅，對社會經濟秩序造成明顯破壞。2013年5月，在北京市公安局破獲的一起冒充某人壽保險股份有限公司工作人員騙取客戶資金案中，4名犯罪嫌疑人就是通過購買保險公司客戶信息后聯系投保客戶實施詐騙，導致全國30個省市區(qū)的2000余名客戶被騙，相關經濟損失達300余萬元。如何有效保護公民的個人信息已經成為我國法律目前所面臨的重要課題。

一、個人信息的概念與特點

個人信息是一切可以識別本人并能夠為他人所收集、存儲、加工及傳播、利用的信息的總和，包括一個人的生理、心理、智力、個體、社會、經濟、文化、家庭等各個方面。個人信息的實質特征是“識別”，即是可以直接或間接識別本人的信息；其形式特征是可以固定和可以處理，即個人信息應當有載體，且必須以一定的方式得以查閱、檢索和進行其他處理。

從歷史角度來看，個人信息本身是客觀存在的，對其的收集和利用也早已有之，但是將個人信息抽象化為一種權利并給予法律保護則是現代社會的產物。在這個過程中，兩個因素對于個人信息的法律保護密切相關。一是以計算機技術和網絡技術為代表的有關個人信息的大規(guī)模收集、存儲、加工、識別及傳播技術的出現和飛速發(fā)展，使得個人信息成為一種社會基礎性資源并可能作為商品加以利用。另一個因素是現代國家對個人自由、人格尊嚴日益關注，普通個人在私人生活領域不受侵害、不受打擾被視為人格尊嚴與自由的基本內涵并在法律上獲得確認，如美國將個人信息納入隱私權范疇，德國則通過在法律中確立信息自主權的方式將個人信息納入法律保護范圍。

二、我國公民個人信息法律保護制度的基本內容

在現實生活中，我國目前所存在的侵害公民個人信息行為在客觀上呈金字塔型，塔尖是源頭行為，主要表現為一些部門與行業(yè)從業(yè)人員將獲取的公民個人信息出售、非法提供給他人；塔中是“中間商”，他們主要是通過建立數據交易平臺并大肆出售信息牟取暴利；塔底則是其他各類違法犯罪團伙，利用非法獲取的個人信息，大肆進行違法犯罪活動。對于這些侵害公民個人信息的行為，由于我國目前尚沒有統一的個人信息保護法，有關個人信息的法律保護主要是通過民事、行政及刑事法律相關條款來實現。

民事法律對個人信息的保護主要是通過將具有秘密性的個人信息納入隱私權的保護來實現，這種方式的不足在于，它屬于間接保護，沒有在法律條款中明確列明“個人信息”字樣，且由于是通過隱私權來保護，不具有秘密性的個人信息如電話號碼、身份證號碼等就無法納入保護范圍；行政法律制度對個人信息的保護主要通過在不同行政管理領域內的行政法律法規(guī)或規(guī)章中的具體條款來實現，如《居民身份證法》《艾滋病防治條例》《寄遞服務用戶個人信息安全管理規(guī)定》，其弱點在于屬于分散性保護，力度與廣度都十分有限。《刑法》是目前我國法律體系中唯一明確規(guī)定個人信息保護的基本法律。通過2009年刑法修正案（七）的增補，《刑法》初步建立了我國公民個人信息的刑法保護制度，侵犯公民個人信息行為可能受到以三年以下有期徒刑或者拘役的處罰（《刑法》第253條之一）。

根據刑法的規(guī)定，侵犯公民個人信息行為包括兩種主要類型：

1.非法披露個人信息行為，即將在履行職責或提供服務過程中合法獲取的個人信息違法披露（包括出售或非法提供）給他人，這類行為實質上是上述侵犯個人信息活動的“源頭” 性行為。而根據獲取個人信息的主體不同，它又包括兩種亞類型：一是國家機關及其工作人員將在履行職責過程中合法獲取的個人信息違法披露給他人，這些單位及個人是依據國家權力在履行法定職責的過程中獲取公民個人信息，他們與個人信息的擁有者之間存在管理與被管理的關系，如公安機關、國家統計局及其相關工作人員等；另一類是金融、電信、交通、教育、醫(yī)療等單位及其工作人員將在提供服務過程中合法獲取的個人信息違法披露給他人，這些單位與個人信息的擁有者之間存在的是平等主體的合同關系，他們獲得個人信息所依據的不是國家權力而是合同上的權利。

2.以竊取或其他非法手段獲取個人信息的行為，其主要方式是針對存有大量個人信息的“源頭”部門進行黑客竊取或購買，這屬于侵犯個人信息活動的“中間商”類型，犯罪人通過非法手段從“源頭”部門不斷獲取信息，積累海量數據，構建兜售個人信息的數據平臺，再轉手賣給市場其他主體而牟利。與前一類行為是基于合法途徑與手段獲取個人信息不同，此類行為獲取個人信息的手段具有的顯著不法性，其惡劣程度更甚于前者。例如，廣東省深圳市的黃某，自2009年9月起，通過互聯網以低價從網上購得公民個人車輛、銀行記錄等信息后，再以高價出售，從中賺取差價，僅在2年內的非法獲利就達28萬余元。

三、刑法修正案（九）擬對公民個人信息刑法保護制度的修改

2014年10月，全國人大常委會在其網站上發(fā)布刑法修正案（九）草案并征求公眾的意見。該草案第16條擬對刑法現行的侵犯公民個人信息犯罪條款進行修改，主要包括兩個部分：

1. 擬修改出售、非法提供公民個人信息犯罪的規(guī)定，擴大犯罪主體的范圍。具體來說，根據現行刑法的規(guī)定，只有國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員將在履職和服務過程中獲得的信息出售或者非法提供給他人才構成犯罪，但在互聯網與大數據時代，實際上卻并不只有上述機關及其工作人員才能夠獲得公民個人信息，許多從事現代服務的企業(yè)如淘寶、京東等電商；聯邦、中通等快遞服務商；家樂福、國美等零售商依托電子信息技術都可能并已經獲得了海量個人信息數據，但現行刑法卻并未將其納入規(guī)制范圍，這就在刑法保護體系上留下了明顯的缺口，草案擬去掉上述限制，將所有因履行職責或者提供服務而可能獲得大量的公民個人信息的單位及工作人員都納入到刑法調整的范圍。

2.擬將單純的出售或者提供公民個人信息行為也作為犯罪處理，具體來說就是，任何個人或者組織，即使其不是因為履行職責或提供服務而獲得公民個人信息，也沒有以竊取或其他方法非法獲得公民個人信息，但只要未經公民本人同意，向他人出售或者非法提供其所知曉的公民個人信息，情節(jié)嚴重的，也構成犯罪。這一條款的基本意圖顯然是嚴密刑事法網，將所有未經公民本人同意而出售或提供個人信息行為都納入刑法的禁止性規(guī)定中（與前條的區(qū)別只是分不同主體而規(guī)定了不同的法定刑）。如果該條款最終獲得通過，必將大大擴展刑法在個人信息保護方面的適用范圍。

四、構建公民個人信息法律保護體制的建議

雖然我國已經初步建立起有關個人信息的法律保護機制，但根據目前法律實踐及現實需要，我們在相關法律制度的以下三個方面尚需完善。

1.盡快制定統一的個人信息保護法律或法規(guī)。我國目前沒有一部統一的個人信息保護法，相關規(guī)定散見于不同的規(guī)范性文件，但沒有任何一部法律或法規(guī)明確了到底何為公民個人信息，其基本特征與具體范圍是什么，這就為隨意執(zhí)法或懶惰執(zhí)法留下了空間，非常不利于法治的統一。解決這一問題，從國家層面來看，應當盡早整合現行法律及法規(guī)、規(guī)章中的相關規(guī)定，出臺統一的個人信息保護法，明確有關個人信息的基本涵義與覆蓋范圍，以應對互聯網時代與大數據背景下個人信息的保護；從地方層面來看，在國家法律暫時無法出臺的情況下，省一級地方立法部門可以根據《立法法》的規(guī)定先行制定統一的個人信息保護條例，為本區(qū)域內的公民個人信息保護活動提供統一的法律依據，同時也可為未來國家立法提供經驗。

2.強化其他非刑事法律、法規(guī)與刑法之間的配套與支撐。在現代法治社會中，刑法并不是一個與其他法律相隔絕的制度，而是處于國家整體法律體系之中，大量違法行為首先是由民法、行政法等非刑事法律來進行調整，只有它們無法調整與遏制的嚴重違法行為，刑法才會進行干預和調整，因此，其他非刑事法律是刑法得以有效運行的基礎與前提。然而，在公民個人信息保護方面，除了在《居民身份證法》《執(zhí)業(yè)醫(yī)師法》《商業(yè)銀行法》《電信和互聯網用戶個人信息保護規(guī)定》等少部分領域的行政法律、法規(guī)中零散涉及以外，民事基本法和行政法對此方面的規(guī)定并不太多；同時，即使非刑事法律、法規(guī)已有的相關保護個人信息的規(guī)定，也不是有關部門執(zhí)法與督查的重點，這就使得現行《刑法》規(guī)定缺乏非刑事法律體系的制度支撐，可能出現獨木難支的局面，這一點尤其是在《刑法修正案（九）》擬擴大刑罰處罰范圍的情況下體現得更為明顯。解決這一問題的關鍵應當在兩個方面予以強化和改善：一是應當將個人信息作為一種個人重大利益在我國的基本法律中予以明確規(guī)定，具體來說就是，結合民法典的制定，在人身權法或侵權責任法中將個人信息作為基本民事權利予以確定和保護；通過修訂《治安管理處罰法》，將侵害個人信息尚不成立犯罪的違法行為納入治安處罰的范圍，以強化個人信息的非刑事法保護；二是強化相關法律、法規(guī)中已有的個人信息保護條款的執(zhí)法與督查，特別是在電信、醫(yī)療、金融等領域有關個人信息保護條款的執(zhí)法，通過及時與嚴格的執(zhí)法以及行政執(zhí)法與刑事司法程序的有效銜接強化個人信息的非刑事法保護。

3.細化侵犯公民個人信息行為中“情節(jié)嚴重”的判斷標準。根據刑法的規(guī)定，侵犯公民個人信息的行為必須是情節(jié)嚴重才構成犯罪，這是此類犯罪行為與普通違法行為的重要區(qū)別。但由于目前我國相關機關并未未對何為“情節(jié)嚴重”做出具體解釋，這就導致在不同地區(qū)，有關確定行為是否構成犯罪的標準可能存在不一致的情況。根據司法實踐與學理分析，可以從以下三個方面對何為“情節(jié)嚴重”進行判斷：其一，非法獲取或披露公民個人信息行為所涉及的規(guī)模與程度，包括行為所涉及的交易量；行為實施和存在的時間長度；行為實施和存在的地理空間廣度。其二，犯罪人通過侵害公民個人信息而獲得的利益的大小，一般來講，犯罪人通過犯罪行為所獲利益越大，其犯罪行為危害程度就越大。其三，侵害公民個人信息行為對權利主體所造成的客觀損害越大，其行為的情節(jié)就越嚴重，這種損失不僅包括因為該行為的實施而導致的客觀物質損失，也應當包括因該行為使權利人所遭受的精神損害與生活安寧的損害。相關司法機關有必要及時出臺解釋文件及指導性案例，引導廣大下級司法機關及工作人員正確判斷行為的“情節(jié)嚴重”與否。