嚴思斯

(南京財經(jīng)大學(xué)，江蘇 南京 210023)

一、 引言

隨著大數(shù)據(jù)、人工智能等新技術(shù)發(fā)展，人們的生活水平逐步提高，但同時也帶來了諸多問題，例如個人信息的嚴重泄露。 互聯(lián)網(wǎng)為犯罪分子侵犯公民個人信息提供了新的手段，大量新型危害公民個人信息安全的犯罪行為應(yīng)運而生，“互聯(lián)網(wǎng)+”時代使公民個人信息變得更加公開化、透明化，公民個人信息安全存在諸多隱患。 因此，在不影響大數(shù)據(jù)信息化發(fā)展的前提下完善相關(guān)法律規(guī)定，加強對公民個人信息數(shù)據(jù)的保護顯得尤為重要。

二、 公民個人信息概述

公民個人信息與公民個人密切相關(guān)且具有身份識別性，在一定程度上可以反映公民的個人特色和社會特征，是個人與外界聯(lián)系的紐帶，具有重要意義。 我國《中華人民共和國刑法》(以下簡稱《刑法》)、《中華人民共和國民法典》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》均對個人信息保護做出了明確的規(guī)定。 當前，個人信息的概念在我國不同部門法中的界定各有差別。在刑法的角度下，針對個人信息的保護主要集中在身份識別性和法益相關(guān)性，即與公民個人密切相關(guān)且清晰可辨。

相較于傳統(tǒng)個人信息，大數(shù)據(jù)背景下的公民個人信息在內(nèi)容上和形式上都做了一定程度的外延，包括但不限于靜態(tài)個人信息，通過對公民個人信息進行二次加工和整理，形成更具有經(jīng)濟價值的信息資源。 公民個人信息并非隨著大數(shù)據(jù)時代的出現(xiàn)而誕生。 因此，即使是在信息快速流通的背景下，任何人都不能以任何的理由侵犯公民個人信息。

通常情況下，單個少量的公民個人信息往往沒有太高的利用價值和商業(yè)價值，而從司法實務(wù)角度來看，許多不法分子收集或購買公民個人信息往往伴有不法目的，如進行詐騙、敲詐勒索等，由于個人信息具有隱秘性，被害人通常會對犯罪嫌疑人產(chǎn)生信賴感使其頻頻得手。 特別是在大數(shù)據(jù)背景下，互聯(lián)網(wǎng)技術(shù)的更迭為犯罪分子獲得公民個人信息提供了便捷。 現(xiàn)階段，以侵犯公民個人信息為中心的犯罪產(chǎn)業(yè)鏈逐漸形成，加強對個人信息的保護迫在眉睫。

網(wǎng)絡(luò)不是法外之地，因此，在大數(shù)據(jù)時代下，有必要加強相關(guān)部門對互聯(lián)網(wǎng)領(lǐng)域的規(guī)制，同時完善刑法對個人信息的保護措施，使公民個人信息在當前有一個較為穩(wěn)定和綜合的保護體系。

三、 大數(shù)據(jù)背景下公民個人信息的隱患

(一)大數(shù)據(jù)特殊性帶來的風(fēng)險

大數(shù)據(jù)背景下，公民個人信息的經(jīng)濟價值逐漸顯露，尤其是在互聯(lián)網(wǎng)等現(xiàn)代信息化平臺上，客戶的喜好、需求更是諸多企業(yè)所追求的內(nèi)容之一。 當我們在某一商品頁面瀏覽時間較長，此后系統(tǒng)就會自動推送類似相關(guān)產(chǎn)品，諸如此類的大數(shù)據(jù)分析無形中都在將我們的信息進行分析和收集，互聯(lián)網(wǎng)最大限度地利用了個人信息。 如今，網(wǎng)購、點餐已成為我們生活的一部分，可是每一次應(yīng)用App 都需要填寫聯(lián)系方式、收貨地址等本人信息，且不說商家是否會將個人信息泄露進行倒賣或惡意使用等，互聯(lián)網(wǎng)大數(shù)據(jù)下的平臺非常容易遭受網(wǎng)絡(luò)黑客等違法分子惡意進攻，進而盜取公民個人信息。 此時公民個人信息基本完全暴露在外，面臨著嚴重威脅。

大數(shù)據(jù)背景下，互聯(lián)網(wǎng)是侵犯公民個人信息犯罪的“主戰(zhàn)場”，網(wǎng)絡(luò)犯罪本身在刑法中就是一個難點，具有開放性、虛擬性、可變性等特點。 互聯(lián)網(wǎng)為犯罪分子實施犯罪行為帶來了新工具和新手段，引發(fā)了一系列包含侵犯公民個人信息罪在內(nèi)的中下游互聯(lián)網(wǎng)犯罪，危害甚大。

(二)《刑法》對個人信息的保護不完善

1.對“個人信息”的界定范圍過窄

司法解釋對“個人信息”做出了部分列舉，如姓名、身份證件號碼、通訊通信聯(lián)系方式等。但在互聯(lián)網(wǎng)時代，個人信息的內(nèi)涵有了明顯的外延，如網(wǎng)頁瀏覽記錄等，在一定程度上等同于姓名、住址等個人信息，同樣具有身份識別性與法益關(guān)聯(lián)性，理應(yīng)納入刑法的保護范圍。 在大數(shù)據(jù)背景下，“互聯(lián)網(wǎng)+”概念孕育而生，個人信息的數(shù)量呈爆發(fā)式增長，隨之而來帶來了新的問題，如對已公開的個人信息進行二次整合加工利用該如何認定，對該類信息進行搜集再向他人出售的行為是否構(gòu)成違法。 當前《刑法》對個人信息的保護范圍過窄，對以上信息并沒有明確統(tǒng)一的保護規(guī)定，導(dǎo)致大數(shù)據(jù)背景下的以新型表現(xiàn)方式體現(xiàn)的個人信息還得不到明確的保護。

2.缺乏明確性規(guī)定

侵犯公民個人信息犯罪以“情節(jié)嚴重”為構(gòu)成要件，即侵犯公民個人信息的行為必須達到情節(jié)嚴重才構(gòu)成此罪，但法律并沒有對“情節(jié)嚴重”做出具體詳細的規(guī)定。 即使司法解釋做出了部分列舉，但在司法實踐中并不能囊括所有情形。尤其是在大數(shù)據(jù)背景下，不法分子侵犯公民個人信息的犯罪手段新型多樣，簡單的概括規(guī)定并不能解決當下實務(wù)難題。 此外，司法解釋對“情節(jié)嚴重”的認定多以具體的數(shù)額確定，以被侵犯信息的數(shù)量來判斷情節(jié)嚴重與否具有一定的合理性，為法官定罪量刑提供了統(tǒng)一的標準，但也有一定的不足。 互聯(lián)網(wǎng)時代，即使是一條個人信息被侵犯，但通過廣泛的傳播和二次利用，同樣有可能造成嚴重的后果。 因此，繼續(xù)細化情節(jié)嚴重的判斷標準是十分必要的。

缺乏明確性規(guī)定還體現(xiàn)在罪數(shù)處理上。 如上所述，在互聯(lián)網(wǎng)大數(shù)據(jù)情況下，侵犯公民個人信息的犯罪慢慢發(fā)展壯大成全產(chǎn)業(yè)鏈，常常涉及非法侵入計算機信息系統(tǒng)、非法利用信息網(wǎng)絡(luò)等計算機犯罪。對此類犯罪的處罰是擇一重處罰還是數(shù)罪并罰，司法實踐中容易出現(xiàn)同案不同判的現(xiàn)象。

3.犯罪主觀方面認定有所欠缺

現(xiàn)行《刑法》規(guī)定侵犯公民個人信息犯罪的主觀方面僅限于故意，將過失排除在外。 也就是說，行為人在侵犯公民個人信息時，如果秉持過失的主觀心態(tài)，則并不構(gòu)成本罪。 然而，在互聯(lián)網(wǎng)時代，很難直接認定行為人具有主觀故意。 例如我們經(jīng)常在一些招聘網(wǎng)站或考試網(wǎng)站上查詢信息時需要輸入聯(lián)系方式，隨后會接到一些機構(gòu)的推銷電話。 我們很難認定這些網(wǎng)站是故意將用戶個人信息出售給相應(yīng)的機構(gòu)牟取利益，還是該網(wǎng)站存在一定的技術(shù)漏洞，給犯罪分子通過計算機技術(shù)竊取個人信息提供了機會。 在這個過程中，不法分子當然地構(gòu)成侵犯公民個人信息罪，問題是對這些網(wǎng)站該如何定性? 根據(jù)《刑法》的規(guī)定，構(gòu)成本罪必須持故意心態(tài)，主觀心態(tài)的考察需通過客觀行為表現(xiàn)出來，然而大部分情況下這些網(wǎng)站未必是故意泄露，往往是未盡到保護用戶個人信息的義務(wù)，存在過失致用戶信息泄露的責(zé)任。 如果有不明真相的用戶因為這些推銷而參加了虛假的培訓(xùn)，可能會遭受財產(chǎn)損失。 因此，過失心態(tài)同樣會導(dǎo)致公民個人信息受到侵害。 當前，過失侵害個人信息的情況還比較少見，但是隨著大數(shù)據(jù)的不斷普及應(yīng)用，信息時代的風(fēng)險會愈來愈大，盡早將過失犯罪納入認定范疇，能更好地保護公民權(quán)利。

四、 大數(shù)據(jù)背景下公民個人信息刑法保護的完善

(一)適當擴大“個人信息”的范圍

現(xiàn)階段，《刑法》對公民個人信息的保護規(guī)定要求個人信息具有可識別性和法益關(guān)聯(lián)性，且司法解釋的列舉還停留在較為傳統(tǒng)形式的信息。 大數(shù)據(jù)背景下，通過數(shù)據(jù)技術(shù)的處理將原本不具有“可識別性”的碎片化、零散化的個人信息整合形成了綜合性的個人信息，特別是數(shù)據(jù)分析和處理技術(shù)的突飛猛進，使個人信息的法律保障邊界愈發(fā)模糊，僅以“可識別性”限定個人信息的保護范圍已不符合社會發(fā)展現(xiàn)狀，難以充分保護個人信息。 因此，在數(shù)字時代，有必要對“個人信息”進行更加合理的劃定。 目前，法律對個人信息的界定標準過于嚴苛，導(dǎo)致《刑法》保護的范圍極為狹窄，然而，如果將所有信息都不加區(qū)分地納入《刑法》的監(jiān)管框架，將會導(dǎo)致打擊面過大，有違刑法的謙抑性。

筆者認為，對個人信息的界定標準可以參考國外立法經(jīng)驗，如德國將個人信息界定為具有社會屬性的相關(guān)信息，也就是說，識別標準不應(yīng)局限于直接識別，凡是可以通過一定技術(shù)手段間接識別的相關(guān)信息，如網(wǎng)頁瀏覽記錄等也應(yīng)納入保護范疇。 大數(shù)據(jù)時代，信息呈爆炸式增長，傳統(tǒng)列舉式的個人信息已無法跟上大數(shù)據(jù)發(fā)展的步伐，會導(dǎo)致無法對司法實踐中許多新型的侵犯公民個人信息的犯罪進行有效打擊，只有適當擴大“個人信息”的范圍，才能順應(yīng)時代的發(fā)展，對個人信息進行全面的保護。 誠然，不能無限制地對“個人信息”進行擴大解釋，否則會影響到信息自決權(quán)和個人信息的正當使用。

(二)明確定罪量刑標準

本罪在司法實踐中對“情節(jié)嚴重”“情節(jié)特別嚴重”認定標準模糊不清，從而影響司法工作人員執(zhí)法辦案，基于此，有必要進一步明確定罪量刑標準。 首先，當前司法解釋對情節(jié)嚴重主要認定依據(jù)是被侵害信息的數(shù)量，對一般敏感信息和高敏感信息數(shù)量有所差別，因此需進一步明確高敏感信息和其他類型信息的區(qū)別。 其次，僅考慮信息數(shù)量無法對個人信息進行全面保護，應(yīng)綜合考量犯罪行為的社會危害性、被害人實際遭受的損失等。 如行為人是否有嚴密的犯罪計劃，是否有成熟的犯罪組織，侵害他人信息行為是否會對其他主體或者社會公共利益帶來不利影響等。

大數(shù)據(jù)背景下，侵犯公民個人信息犯罪往往是通過互聯(lián)網(wǎng)來實現(xiàn)的，因此通常會涉及非法侵入計算機信息系統(tǒng)、非法利用信息網(wǎng)絡(luò)罪等計算機犯罪，均涉及侵犯公民個人信息行為。 這些犯罪規(guī)制行為存在一定的重合和交叉，因而會導(dǎo)致罪名適用上的混亂。 針對此種情況，應(yīng)優(yōu)先考慮特殊法優(yōu)于一般法。 在侵犯公民個人信息犯罪之下區(qū)分利用一般手段侵犯個人信息和利用計算機手段侵犯個人信息，在案件定性時優(yōu)先考慮是否適用侵犯計算機信息類特殊犯罪。

(三)增設(shè)過失侵犯公民個人信息犯罪

現(xiàn)行《刑法》要求構(gòu)成侵犯公民個人信息犯罪行為人的主觀方面須為故意，也就是說過失侵犯公民個人信息的行為不構(gòu)成犯罪，這顯然是不符合社會發(fā)展現(xiàn)狀的。 隨著大數(shù)據(jù)時代的來臨，公民個人信息所面臨的風(fēng)險不斷加劇，許多違法犯罪行為會因為過失不定罪而逃脫法網(wǎng)躲避法律的規(guī)制，對這種侵犯個人信息犯罪的行為規(guī)制會嚴重損害公民的合法權(quán)益。 如上述提到的網(wǎng)站、機構(gòu)等，工作人員每天有機會接觸到大量個人信息，在工作過程中出現(xiàn)重大過失行為會導(dǎo)致公民個人信息大面積泄露，甚至造成財產(chǎn)損失。 因此，將主觀過失的主觀有責(zé)性納入刑法規(guī)制是符合社會風(fēng)險可能性的，使我國關(guān)于個人信息犯罪的立法更加豐滿，也更適應(yīng)信息時代的現(xiàn)實需求。

現(xiàn)實情況下，許多機構(gòu)、單位擁有個人信息的合法使用和收集權(quán)，增設(shè)過失侵犯公民個人信息犯罪，有利于督促各機構(gòu)、單位切實履行監(jiān)管義務(wù)，如若因為一些過失導(dǎo)致信息泄露，應(yīng)當承擔(dān)法律責(zé)任。

五、 個人信息保護法為個人信息安全保駕護航

當前，《個人信息保護法》已正式施行，它首次確立了以告知同意為核心的一整套個人信息保護制度，一改以往比較零散的規(guī)定，具有整體架構(gòu)性和系統(tǒng)性。 個人信息的核心要義在于自己能夠控制自己的信息，即信息被采集者對自己的信息具有知情權(quán)和決定權(quán)。 《個人信息保護法》從法律層面確立了對個人信息的保護，在大數(shù)據(jù)背景下，有利于更好地平衡個人信息保護與信息利用的相互關(guān)系，營造良好的市場營商環(huán)境，助力經(jīng)濟社會全面健康發(fā)展。

數(shù)字時代，“大數(shù)據(jù)殺熟”現(xiàn)象頻發(fā)，“大數(shù)據(jù)殺熟”即針對同一物品或同一服務(wù)，商家給老顧客的價格高于新顧客。 “大數(shù)據(jù)殺熟”實際上是互聯(lián)網(wǎng)對用戶個人信息進行自動化決策的過程。 互聯(lián)網(wǎng)廠商對已消費過的顧客個人信息進行偏好、習(xí)慣、需求等分析并進行決策，出現(xiàn)了價格的差別對待情況。 “大數(shù)據(jù)殺熟”的本質(zhì)是公民個人信息不加區(qū)分的被商家濫用由此成為牟利的工具。 《個人信息保護法》針對此做出了相關(guān)規(guī)定，進一步保護消費者個人信息。

2021 年4 月，杭州野生動物園案迎來了二審判決，這也是我國人臉識別第一案。 判決杭州野生動物園刪除郭某的面部特征信息和指紋識別信息。 此案引起了社會的熱議，隨著互聯(lián)網(wǎng)的發(fā)展和科技的進步，在小區(qū)、車站、游樂園等公共場所，人臉識別裝置隨處可見。 人臉識別信息相較于其他生物識別信息，具有敏感度高、采集方式多樣等特征，不當使用將會給公民帶來不可預(yù)測的風(fēng)險，應(yīng)當做出更加嚴格的規(guī)制和保護。 《個人信息保護法》規(guī)定在公共場所安裝人臉識別裝置必須遵守國家相關(guān)規(guī)定，并且所收集到的個人信息必須用于維護公共安全。

《個人信息保護法》完善了對個人信息的保護，但并不意味著完全反對大數(shù)據(jù)的商業(yè)化利用，只是強調(diào)要合法、合理地運用個人信息，才能既保護個人信息，又發(fā)揮信息的經(jīng)濟價值。 同時，《個人信息保護法》提醒的不僅是信息的收集者、控制者，更與廣大社會公眾相關(guān)。 我們每個人在日常生活中都能感受到信息被過度收集和非法使用，因此廣大社會公眾要自覺學(xué)習(xí)《個人信息保護法》的內(nèi)容，適應(yīng)新的社會發(fā)展趨勢，加強對個人信息數(shù)據(jù)、數(shù)字經(jīng)濟相關(guān)的保護意識，主動積極自覺地維護遵紀守法秩序，從而與部門監(jiān)管形成相輔相成、上下一致的全社會守法局面。

六、 結(jié)語

如今，互聯(lián)網(wǎng)與生活息息相關(guān)。 網(wǎng)絡(luò)購物、平臺點餐、網(wǎng)絡(luò)約車便利了我們的生活，但同時這些軟件也在更多地收集公民個人信息，使個人信息安全面臨更大的威脅。 當前，我國法律體系對個人信息的保護尚有明顯不足，需緊跟時代變革的節(jié)奏和步伐。 針對侵犯個人信息犯罪的規(guī)制不僅僅是法律體系建設(shè)的完善，同時相關(guān)政府部門應(yīng)積極采取有效的監(jiān)管措施和手段，作為公民，大家也務(wù)必自覺學(xué)習(xí)和掌握充分的法律知識。 《個人信息保護法》已正式實施，《刑法》也應(yīng)保持特有的謙抑性，以其他部門法為主，輔之以刑法，進而達到最佳的法律治理效果，讓大數(shù)據(jù)時代為我們提供更方便快捷的服務(wù)，讓不斷健全和完善的法律體系為我們的個人信息安全保駕護航。