皮 勇，王肅之

(武漢大學(xué) 法學(xué)院, 湖北 武漢 430072)

大數(shù)據(jù)環(huán)境下侵犯?jìng)€(gè)人信息犯罪的法益和危害行為問題

皮 勇1，王肅之2

(武漢大學(xué) 法學(xué)院, 湖北 武漢 430072)

在大數(shù)據(jù)環(huán)境下，個(gè)人信息的刑法保護(hù)存在現(xiàn)實(shí)的困境。侵犯公民個(gè)人信息罪與竊取、收買、非法提供信用卡信息罪在侵犯的法益、行為方式方面存在問題。個(gè)人信息不僅關(guān)系個(gè)人法益，更關(guān)系公共信息安全乃至國(guó)家安全，需要對(duì)現(xiàn)有規(guī)定予以重新審視。關(guān)于侵犯?jìng)€(gè)人信息犯罪的法益和危害行為學(xué)界雖然進(jìn)行了一定的研究，但是目前沒有形成統(tǒng)一和有效的解決思路。需要對(duì)該類犯罪侵犯的法益進(jìn)行重新考量，并且對(duì)非法利用行為作出有效規(guī)制。

大數(shù)據(jù)環(huán)境；個(gè)人信息；公共信息安全；非法利用行為

隨著信息技術(shù)的發(fā)展，大數(shù)據(jù)時(shí)代的到來是我們必須面對(duì)的社會(huì)現(xiàn)實(shí)。在大數(shù)據(jù)環(huán)境下，由于信息數(shù)據(jù)的普遍性、集聚性和傳播性，個(gè)人信息不再僅關(guān)乎公民個(gè)人的重大人身、財(cái)產(chǎn)權(quán)益。侵犯大量個(gè)人信息的行為，除了侵害個(gè)人權(quán)益，還可能嚴(yán)重侵害社會(huì)公共安全甚至國(guó)家安全。為回應(yīng)侵犯?jìng)€(gè)人信息犯罪的一再蔓延，《刑法修正案(五)》增設(shè)了竊取、收買、非法提供信用卡信息罪，《刑法修正案(七)》增設(shè)、《刑法修正案(九)》修改了侵犯公民個(gè)人信息犯罪，雖然有利于打擊侵犯?jìng)€(gè)人信息犯罪，但是在該類犯罪的法益及行為體系方面缺乏系統(tǒng)考量。2017年最高人民法院、最高人民檢察院最新發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》就個(gè)人信息的范圍與該類犯罪的具體構(gòu)罪標(biāo)準(zhǔn)作出規(guī)定，但是仍未解決上述問題，有待于進(jìn)一步討論。

一、大數(shù)據(jù)環(huán)境下個(gè)人信息的刑法保護(hù)

隨著信息技術(shù)和信息社會(huì)的發(fā)展，人類已經(jīng)事實(shí)上進(jìn)入了大數(shù)據(jù)時(shí)代。在不斷演變發(fā)展的科技時(shí)代中，關(guān)于信息和隱私的威脅持續(xù)蔓延*J. Desiree Dodd, “Data Security Law-State Statutory Requirements for Protecting Personal Data”, American Journal of Trial Advocacy, Vol. 38, 2015, p.623.。大數(shù)據(jù)時(shí)代與以往社會(huì)時(shí)代不同，其通過信息的流動(dòng)、共享，建立起一個(gè)看不見但是卻真實(shí)存在的映射社會(huì)，構(gòu)建了新的大數(shù)據(jù)環(huán)境，傳統(tǒng)的中央控制模式被弱化，以用戶需求為中心匯聚成的巨大信息流成為大數(shù)據(jù)環(huán)境最重要的社會(huì)內(nèi)容。但它同時(shí)也引發(fā)了新的風(fēng)險(xiǎn)，這些新的機(jī)會(huì)和風(fēng)險(xiǎn)正對(duì)我們的法律制度構(gòu)成新挑戰(zhàn)*烏爾里希·齊白：《全球風(fēng)險(xiǎn)社會(huì)與信息社會(huì)中的刑法——21世紀(jì)刑法模式的轉(zhuǎn)換》，周遵友，江溯等譯，北京：中國(guó)法制出版社2012年版，第273頁。。在信息化的浪潮中，不僅物被信息化，人也處在被信息化的過程中，個(gè)人信息除了一直以來的記錄功能，更與公民重大人身、財(cái)產(chǎn)法益相關(guān)聯(lián)。每年在全球范圍內(nèi)有大約十億的信息數(shù)據(jù)泄露記錄并且導(dǎo)致近六十億美元的經(jīng)濟(jì)損失*Charlotte A.Tschider, “Experimenting with Privacy: Driving Efficiency Through a State-Informed Federal Data Breach Notification and Data Protection Law”, Tulane Journal of Technology & Intellectual Property, Vol.18, 2015, p.45.。

在大數(shù)據(jù)環(huán)境下，侵犯?jìng)€(gè)人信息犯罪也出現(xiàn)了重大變化。像出賣或泄露公民個(gè)人信息，已經(jīng)形成“源頭、信息販子、購買者”“一條龍”黑色產(chǎn)業(yè)鏈，集聚式的侵犯信息犯罪愈演愈烈，集中、大量的侵犯?jìng)€(gè)人信息的案件比比皆是。侵犯?jìng)€(gè)人信息犯罪也出現(xiàn)了前所未有的重大變化：一方面，該類犯罪危害呈現(xiàn)全民性和公共性。個(gè)人信息所蘊(yùn)含的公共管理價(jià)值和商業(yè)價(jià)值，將成為公私機(jī)構(gòu)不當(dāng)收集、處理、利用和傳輸個(gè)人信息的巨大誘因*趙秉志：《公民個(gè)人信息刑法保護(hù)問題研究》，《華東政法大學(xué)學(xué)報(bào)》2014年第1期，第127頁。。侵犯?jìng)€(gè)人信息犯罪所侵犯的信息早已突破“個(gè)人”的范疇，其所侵犯信息的公共性更加明顯，事實(shí)上與公共安全甚至國(guó)家安全相關(guān)聯(lián)。在幾乎所有的非法獲取個(gè)人信息案件中，涉案的信息數(shù)量往往十分巨大，少則幾萬多則數(shù)百萬條，有的甚至多達(dá) 3 億多條。而且其所侵害的已經(jīng)遠(yuǎn)遠(yuǎn)不限于個(gè)人的信息安全，很多情況下已經(jīng)危害公共安全乃至國(guó)家安全。另一方面，該類犯罪行為呈現(xiàn)多樣化。在信息社會(huì)，個(gè)人信息的挖掘利用已經(jīng)成為包括搜集、保存、流轉(zhuǎn)、利用在內(nèi)的體系，為個(gè)人信息的被侵害提供了巨大的空間，非法獲取、非法公開、非法利用個(gè)人信息的行為均呈現(xiàn)出擴(kuò)張的態(tài)勢(shì)，特別是非法利用個(gè)人信息的行為更是令人觸目驚心。

為回應(yīng)愈演愈烈的侵犯?jìng)€(gè)人信息犯罪，立法者也在努力通過修正《刑法》增設(shè)相關(guān)罪名來保護(hù)個(gè)人信息。目前《刑法》中規(guī)制侵犯?jìng)€(gè)人信息犯罪的主要有兩個(gè)罪名：一個(gè)罪名是《刑法》第253條之一侵犯公民個(gè)人信息罪。該罪最早由《刑法修正案(七)》增設(shè)規(guī)定于《刑法》第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”，原來規(guī)制“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療”等單位及其工作人員出售和非法提供個(gè)人信息的行為。《刑法修正案(九)》對(duì)該條作出修改，將犯罪主體擴(kuò)展為一般主體，并且規(guī)定“將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者提供給他人的”從重處罰。另一個(gè)罪名是《刑法》第177條之一竊取、收買、非法提供信用卡信息罪。該罪由《刑法修正案(五)》于《刑法》第三章“破壞社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序罪”中規(guī)定，規(guī)制“竊取、收買或者非法提供他人信用卡信息資料”的行為。增設(shè)的這兩個(gè)罪名，加大了刑法對(duì)于侵犯?jìng)€(gè)人信息犯罪的打擊力度，有利于更好地保護(hù)個(gè)人信息及其關(guān)聯(lián)的法益。但是，上述兩個(gè)罪名無法為個(gè)人信息提供完整的保護(hù)，特別是在法益確定與行為范圍方面存在問題：

第一，將該類犯罪侵犯的法益認(rèn)定為公民人身權(quán)利不妥。如果說竊取、收買、非法提供信用卡信息罪也會(huì)侵犯信用卡管理的秩序，從《刑法》第三章“破壞社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序罪”理解尚可接受，將侵犯?jìng)€(gè)人信息罪理解為“侵犯公民人身權(quán)利、民主權(quán)利罪”則存在較大問題。從字面理解，侵犯?jìng)€(gè)人信息犯罪的法益似乎是公民人身權(quán)利。但是事實(shí)并非如此，如前所述，該類犯罪通常侵犯的個(gè)人信息數(shù)量極為巨大，僅因?yàn)榉缸飳?duì)象是個(gè)人信息就將該類犯罪認(rèn)定為侵犯公民人身權(quán)利的犯罪有望文生義之嫌，因?yàn)橄瘛缎谭ā返诙隆拔：舶踩铩敝械墓舶踩彩莻€(gè)人重大人身、財(cái)產(chǎn)安全的集合。此外，該類犯罪的兩種情形也無法為認(rèn)定為侵犯公民人身權(quán)利的思路所解釋：其一，被侵犯的個(gè)人信息包括財(cái)產(chǎn)信息。2014年央視就曾曝光，可有效使用的支付寶帳號(hào)只賣2元錢一個(gè)；而網(wǎng)絡(luò)銀行用戶資料被倒賣、個(gè)人網(wǎng)銀被隨意登錄的事件也時(shí)有發(fā)生。其二，該類犯罪可能危害國(guó)家安全。如果被侵犯的個(gè)人是諸如國(guó)家元首、機(jī)關(guān)政要、涉密人員等，或者大量的關(guān)鍵國(guó)民個(gè)人信息(如基因信息)被境外機(jī)構(gòu)抓取和分析，也會(huì)在事實(shí)上危害國(guó)家安全，美國(guó)希拉里“郵件門”事件就是一個(gè)典型的適例。所以，必須深入考慮大數(shù)據(jù)環(huán)境下該類犯罪侵犯的法益究竟為何，并且對(duì)刑事立法作出適當(dāng)調(diào)整。

第二，沒有重視非法利用個(gè)人信息的行為。無論侵犯?jìng)€(gè)人信息罪還是竊取、收買、非法提供信用卡信息罪，所規(guī)制的侵犯?jìng)€(gè)人信息的行為均只包括非法獲取、非法提供兩種。然而事實(shí)上，非法利用個(gè)人信息的行為已經(jīng)深刻地影響了該類犯罪的行為體系。在信息時(shí)代到來以前，個(gè)人信息的存儲(chǔ)和利用都十分不易，更多的是以檔案的形式存在，難以對(duì)其進(jìn)行利用，更無法造成損害。隨著信息社會(huì)的來臨，在信息化網(wǎng)絡(luò)化環(huán)境下，個(gè)人信息往往與重大生命、財(cái)產(chǎn)安全相關(guān)聯(lián)。在世界范圍，通過獲取個(gè)人身份信息假冒他人已經(jīng)促使詐騙者成為職業(yè)盜賊*Chris Edwards, “Ending Identity Theft and Cyber Crime”, Biometric Technology Today, Vol. 2, 2014, p.9.。大數(shù)據(jù)技術(shù)的發(fā)展特別是數(shù)據(jù)挖掘利用技術(shù)的提升，個(gè)人信息利用的利益也越來越大，非法利用行為已經(jīng)在事實(shí)上重構(gòu)了侵犯?jìng)€(gè)人信息行為的體系，不但成為體系中的重要行為之一，而且成為體系的核心行為，成為非法獲取、非法提供行為的目的和前提。比如人肉搜索行為，雖然人肉搜索行為人本身可能實(shí)施了非法獲取個(gè)人信息的行為，但是整合、利用信息進(jìn)而實(shí)施侵害的行為顯然無法為非法獲取個(gè)人信息的行為所評(píng)價(jià)，而如果人肉搜索行為不存在，那么據(jù)其建立的犯罪產(chǎn)業(yè)鏈也就沒有存在的價(jià)值。因而需要重新考慮侵犯?jìng)€(gè)人信息犯罪行為的體系，以有效地規(guī)制非法利用個(gè)人信息的行為。

《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》基于其司法解釋的性質(zhì)，并未對(duì)于侵犯公民個(gè)人信息罪法益的復(fù)雜性予以重視，也缺乏非法利用行為的專門規(guī)定，依然未能解決這兩個(gè)問題。

二、侵犯?jìng)€(gè)人信息犯罪法益與危害行為的觀點(diǎn)評(píng)析

對(duì)于侵犯?jìng)€(gè)人信息犯罪的法益與行為方式，國(guó)內(nèi)學(xué)者也進(jìn)行了一些探討，但是未能達(dá)成統(tǒng)一意見，也未能形成恰當(dāng)?shù)慕Y(jié)論。

(一)侵犯?jìng)€(gè)人信息犯罪的法益

伴隨著信息技術(shù)和信息通訊技術(shù)在社會(huì)經(jīng)濟(jì)生活各領(lǐng)域內(nèi)的不斷深入發(fā)展與應(yīng)用，就指向值得法律保護(hù)或已經(jīng)作為法律保護(hù)對(duì)象(即法益)的利益的新的侵害形式作出正確的應(yīng)對(duì)日益呈現(xiàn)出其緊迫性*勞倫佐·彼高狄：《信息刑法語境下的法益與犯罪構(gòu)成要件的建構(gòu)》，吳沈括譯，《刑法論叢》2010年第3卷，第312頁。。需要立足于侵犯?jìng)€(gè)人信息犯罪法益的現(xiàn)實(shí)變遷，在對(duì)學(xué)界各種觀點(diǎn)全面分析的基礎(chǔ)上，得出恰當(dāng)?shù)慕Y(jié)論。

在探討侵犯?jìng)€(gè)人信息犯罪法益問題之前，需要厘清竊取、收買、非法提供信用卡信息罪與侵犯公民個(gè)人信息罪的關(guān)系。有學(xué)者認(rèn)為，二罪之間是交叉關(guān)系：對(duì)于觸犯這兩個(gè)罪名的行為，在信息內(nèi)容不重疊的情況下，如果存在于信用卡中的個(gè)人信息，按非法提供信用卡信息罪定罪;如果存在于信用卡以外的個(gè)人信息，按出售、非法提供公民個(gè)人信息罪定罪。在信息內(nèi)容重疊的情況下，構(gòu)成二罪的“法條競(jìng)合”關(guān)系，根據(jù)“特殊優(yōu)于普通法”原則，按非法提供信用卡信息罪定罪*石奎：《竊取、收買、非法提供信用卡信息罪的刑法分析》，《吉首大學(xué)學(xué)報(bào)》(社會(huì)科學(xué)版)2014年第4期，第100頁。。我們認(rèn)為，這種觀點(diǎn)之所以認(rèn)為二罪之間是交叉關(guān)系，是因?yàn)閷?duì)于個(gè)人信息的范圍理解有偏差，由于信用卡的使用與個(gè)人信用密不可分，信用卡信息必然會(huì)包含可以識(shí)別個(gè)人的信息，其顯然屬于個(gè)人信息的范疇，二者屬于特殊規(guī)定與一般規(guī)定的關(guān)系。而對(duì)于這兩個(gè)罪名所保護(hù)的法益，學(xué)界均有不同觀點(diǎn)：

一方面，侵犯?jìng)€(gè)人信息罪的法益問題爭(zhēng)議較為激烈。第253條之一在《刑法》中位于第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”，立法者將侵犯?jìng)€(gè)人信息的行為認(rèn)定是侵犯公民人身權(quán)利的行為。學(xué)界關(guān)于侵犯?jìng)€(gè)人信息犯罪的法益，目前尚無統(tǒng)一認(rèn)識(shí)，有如下幾種觀點(diǎn)：

第一種觀點(diǎn)認(rèn)為，侵犯?jìng)€(gè)人信息罪的法益是公民的人格權(quán)。這一觀點(diǎn)目前是學(xué)界的主流觀點(diǎn)。根據(jù)這種觀點(diǎn)，雖然個(gè)人信息受侵犯可能帶來的損害不限于人格利益，但是依然可以從法律屬性上看作侵犯公民人身權(quán)利的犯罪。該罪在刑法結(jié)構(gòu)的位置也表明，該罪侵犯的主要是公民的人身權(quán)利，而不是侵害國(guó)家機(jī)關(guān)管理秩序*翁孫哲：《個(gè)人信息的刑法保護(hù)探析》，《犯罪研究》2012年第1期，第36頁。。并且從現(xiàn)有規(guī)范來看，對(duì)個(gè)人信息的保護(hù)也基本上采取了人格權(quán)保護(hù)的模式*“侵犯公民人格權(quán)犯罪問題”課題組：《論侵犯公民個(gè)人信息犯罪的司法認(rèn)定》，《政治與法律》2012年第11期，第150頁。。或者從反面對(duì)這一觀點(diǎn)加以論述，認(rèn)為凡被用于公共目的的個(gè)人信息都可視為與公共利益有關(guān)的個(gè)人信息，且不屬于本罪保護(hù)范圍*李林：《出售、非法提供個(gè)人信息罪若干問題研究》，《內(nèi)蒙古大學(xué)學(xué)報(bào)》(哲學(xué)社會(huì)科學(xué)版)2011年第5期，第115頁。。

這一觀點(diǎn)，是按照“個(gè)人信息”的字面意思加以理解，認(rèn)為侵犯?jìng)€(gè)人信息罪就是侵犯公民“個(gè)人”信息的犯罪，從而簡(jiǎn)單地認(rèn)為該罪的客體就是公民的人身權(quán)利。立法者將該條規(guī)定于《刑法》第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”中，也使得眾多學(xué)者順理成章地認(rèn)為該罪的法益是公民的人身權(quán)利。然而，作為侵犯?jìng)€(gè)人信息罪產(chǎn)業(yè)鏈中的一環(huán)，非法獲取公民信息犯罪多為職業(yè)犯罪，成百上千條個(gè)人信息、數(shù)千元非法所得幾乎成為每個(gè)案件的“必備事實(shí)”*張玉潔：《論“非法獲取公民個(gè)人信息罪”的司法認(rèn)定——基于190件案例樣本的分析》，《華東政法大學(xué)學(xué)報(bào)》2014年第6期，第59頁。。而且從受侵犯信息的內(nèi)容來看，該罪處罰的一般并不是侵犯某個(gè)個(gè)人信息的犯罪行為，而是侵犯眾多公民某一類信息的行為。在這種情況下，該類犯罪所侵犯的法益很難再局限在所謂“公民個(gè)人”的范疇。也就是說該類犯罪所侵犯的法益并不是某個(gè)公民的個(gè)人權(quán)利，而是具有相當(dāng)程度公共性的法益，在這一點(diǎn)上該罪與《刑法》第四章其他侵犯特定公民的人身權(quán)利的犯罪有所區(qū)別。此外，個(gè)人信息不僅和公民的人身有關(guān)，而且和公民的財(cái)產(chǎn)有關(guān)，諸如第三方支付信息、網(wǎng)絡(luò)銀行信息、虛擬財(cái)產(chǎn)賬戶信息等個(gè)人信息還直接和公民的財(cái)產(chǎn)權(quán)益相關(guān)，個(gè)人信息的權(quán)利顯然不能僅局限在人格權(quán)予以探討。

第二種觀點(diǎn)認(rèn)為，侵犯?jìng)€(gè)人信息罪的法益是公民的信息權(quán)。有學(xué)者認(rèn)為，之所以將此種行為規(guī)定為犯罪，關(guān)鍵還是在于其侵犯了公民的信息權(quán)益，造成了對(duì)法益的侵害*付強(qiáng)：《非法獲取公民個(gè)人信息罪的認(rèn)定》，《國(guó)家檢察官學(xué)院學(xué)報(bào)》2014年第2期，第121頁。。將侵犯?jìng)€(gè)人信息權(quán)行為予以犯罪化，對(duì)于遏制目前嚴(yán)重的個(gè)人信息濫用現(xiàn)象，有重大意義*劉憲權(quán)，方晉曄：《個(gè)人信息權(quán)刑法保護(hù)的立法及完善》，《華東政法大學(xué)學(xué)報(bào)》2009年第3期，第121頁。。這一觀點(diǎn)是對(duì)“個(gè)人信息”作了形式上的理解，認(rèn)為個(gè)人信息所包含的法益就是信息權(quán)。根據(jù)這種觀點(diǎn)，個(gè)人信息具有專屬性與排他性，是可以識(shí)別公民個(gè)人的特定信息，應(yīng)防止其遭受不應(yīng)有的侵害，而且由于其法益重要性，通過刑法進(jìn)行保護(hù)非常必要。

然而正如前文所述，該條所規(guī)制的一般是侵犯眾多個(gè)人信息的犯罪，侵犯的往往是多數(shù)人的信息安全，不是公民的個(gè)人法益。而且，前述學(xué)者關(guān)于信息權(quán)的理論探討，更多的是基于國(guó)外理論和立法的介紹，特別是歐洲國(guó)家理論和立法的介紹，繼而得出應(yīng)當(dāng)借鑒的結(jié)論。如有學(xué)者認(rèn)為信息控制權(quán)應(yīng)進(jìn)行擴(kuò)張，使權(quán)利人可以選擇“遺忘”網(wǎng)上行為數(shù)據(jù)，即刪除權(quán)*崔聰聰：《網(wǎng)絡(luò)產(chǎn)業(yè)發(fā)展與個(gè)人信息安全的沖突與調(diào)和——以個(gè)人網(wǎng)上行為信息為視角》，《情報(bào)理論與實(shí)踐》2014年第8期，第39頁。。然而不同的國(guó)家有不同的立法背景。歐洲國(guó)家之所以在立法中規(guī)定刪除權(quán)，是基于其基本信息權(quán)已經(jīng)確立，并且相關(guān)立法已經(jīng)具有較強(qiáng)的體系性，因而可以對(duì)“刪除權(quán)”這一“后續(xù)權(quán)利”予以規(guī)定和保護(hù)。同其他國(guó)家相比我國(guó)立法對(duì)于信息權(quán)的保護(hù)尚未形成體系，目前連《個(gè)人信息保護(hù)法》都沒有，有關(guān)個(gè)人信息的立法尚且處于十分匱乏的狀態(tài)。在民法學(xué)領(lǐng)域個(gè)人信息權(quán)也是一個(gè)建構(gòu)中的概念，目前民法學(xué)界尚在討論將個(gè)人信息權(quán)如何合理地納入民法體系，并且尚未形成最終的結(jié)論，其他法學(xué)學(xué)科也處于類似狀態(tài)?！缎谭ā纷鳛楸Ｕ戏ň哂醒a(bǔ)充性，必須考慮與相關(guān)部門法的銜接與協(xié)調(diào)，在立法前提與理論前提都不具備的情況下，貿(mào)然將信息權(quán)的概念引入《刑法》勢(shì)必會(huì)制造不必要的不確定的法律概念，必然會(huì)帶來解釋和適用的困難，進(jìn)而導(dǎo)致立法和司法的混亂。

第三種觀點(diǎn)認(rèn)為，侵犯?jìng)€(gè)人信息罪的法益是公民的隱私權(quán)。有學(xué)者認(rèn)為，在《刑法修正案(七)》將侵犯?jìng)€(gè)人信息行為入罪之時(shí)，立法者將該類犯罪的兩個(gè)罪名放在《刑法》第253條之一進(jìn)行規(guī)制，體現(xiàn)著對(duì)個(gè)人隱私權(quán)保護(hù)的價(jià)值追求*蔡軍：《侵犯?jìng)€(gè)人信息犯罪立法的理性分析——兼論對(duì)該罪立法的反思與展望》，《現(xiàn)代法學(xué)》2010年第4期，第108頁。。公法介入個(gè)人信息隱私保護(hù)，從實(shí)質(zhì)上說就是彌補(bǔ)私法保護(hù)之不足*王學(xué)輝，趙昕：《隱私權(quán)之公私法整合保護(hù)探索——以“大數(shù)據(jù)時(shí)代”個(gè)人信息隱私為分析視點(diǎn)》，《河北法學(xué)》2015年第5期，第69頁。。然而，身份盜竊和個(gè)人隱私有交叉但不相同*Geoffrey VanderPal, “Don't Let Clients Become Identity Theft Victims”, Journal of Financial Planning, Vol. 28, 2015, p.24.。根據(jù)這種觀點(diǎn)，隱私權(quán)是信息權(quán)的下位概念，并非所有的個(gè)人信息都應(yīng)該被刑法保護(hù)，而是涉及公民隱私的個(gè)人信息應(yīng)當(dāng)受到刑法的保護(hù)。

這種觀點(diǎn)將隱私權(quán)作為信息權(quán)的下位概念，那么對(duì)于前一種觀點(diǎn)的批判也對(duì)其同樣適用。再者，通過刑法保護(hù)個(gè)人隱私的做法淵源于美國(guó)，美國(guó)早在1974年就通過了《隱私權(quán)法》，并在之后通過了一系列的法令，構(gòu)成了隱私權(quán)的法律保護(hù)體系。美國(guó)在其現(xiàn)行刑法中也專門在其第88章對(duì)于隱私權(quán)的刑事保護(hù)作出規(guī)定，圍繞“視覺偷窺”行為作出規(guī)定，并與其相關(guān)的判例銜接協(xié)調(diào)。而我國(guó)關(guān)于隱私權(quán)的立法僅有《侵權(quán)責(zé)任法》，而且該法第2條僅指出隱私權(quán)屬于民事權(quán)益，并無具體的適用規(guī)則。即便在民事領(lǐng)域，隱私權(quán)也是一個(gè)建構(gòu)中的概念，將其直接作為刑法的保護(hù)法益，不但會(huì)對(duì)現(xiàn)有立法產(chǎn)生巨大沖擊，也會(huì)對(duì)司法造成不利影響。

第四種觀點(diǎn)認(rèn)為，侵犯?jìng)€(gè)人信息罪的法益是“‘公權(quán)(益)關(guān)聯(lián)主體’對(duì)個(gè)人信息的保有”。這種觀點(diǎn)認(rèn)為，在“公民個(gè)人的信息自由和安全”或公民“個(gè)人隱私”的背后，必定隱含著在立法者看來更為重大、更居優(yōu)位的保護(hù)法益。這些公權(quán)(益)關(guān)聯(lián)主體在業(yè)務(wù)處理時(shí)依法獲取的個(gè)人信息也事關(guān)國(guó)家和社會(huì)整體的公共利益。動(dòng)用刑法手段保護(hù)公權(quán)及公權(quán)(益)關(guān)聯(lián)主體對(duì)個(gè)人信息的保有，是順理成章的*趙軍：《侵犯公民個(gè)人信息犯罪法益研究——兼析〈刑法修正案(七)〉的相關(guān)爭(zhēng)議問題》，《江西財(cái)經(jīng)大學(xué)學(xué)報(bào)》2011年第2期，第110-111頁。。

我們認(rèn)為，這種觀點(diǎn)確有其可取之處，其看到了在侵犯?jìng)€(gè)人信息罪產(chǎn)業(yè)鏈化的背景下個(gè)人信息的法益已經(jīng)不再局限于“個(gè)人”，在公民個(gè)人法益之后有關(guān)乎國(guó)家和社會(huì)的公共利益，突破了就法律條文的表面規(guī)定進(jìn)行法益研究的局限，相比于前面幾種觀點(diǎn)確屬進(jìn)步。然而遺憾的是，這種觀點(diǎn)將該罪的法益概括為“‘公權(quán)(益)關(guān)聯(lián)主體’對(duì)個(gè)人信息的保有”，這一概括既模糊了社會(huì)法益和個(gè)人法益的界限，又以“保有”這一含糊不清的表達(dá)來指稱具體的法益，無疑偏離了該罪法益的實(shí)質(zhì)，未能深入挖掘隱藏在個(gè)人信息后面的公共性法益之實(shí)質(zhì)，同樣無法得出合理的結(jié)論。

另一方面，竊取、收買、非法提供信用卡信息罪的法益也存在不同的觀點(diǎn)。第177條之一位于《刑法》第三章第四節(jié)“破壞金融管理秩序罪”中，學(xué)者也大都認(rèn)可該罪是對(duì)信用卡管理秩序的侵犯，但具體觀點(diǎn)也有區(qū)別。

第一種觀點(diǎn)認(rèn)為，該罪侵犯的客體是國(guó)家對(duì)信用卡資料管理秩序*高銘暄，馬克昌：《刑法學(xué)》，北京：北京大學(xué)出版社、高等教育出版社2011年版，第407頁。。其認(rèn)為，該罪僅侵犯國(guó)家對(duì)信用卡資料的管理，不涉及對(duì)于個(gè)人財(cái)產(chǎn)權(quán)益的侵犯。這種觀點(diǎn)看到了該罪對(duì)于國(guó)家信用卡管理秩序的侵犯，注意到了信用卡管理秩序的重要性、獨(dú)立性，值得肯定。但是這一觀點(diǎn)也存在不足，其忽略了信用卡與其他金融單證的不同。一般的金融票據(jù)具有無因性，其價(jià)值往往與出票人分離，不具有專屬性。信用卡則不同，其往往與持卡人個(gè)人相聯(lián)系，侵犯信用卡的行為往往也會(huì)侵犯公民個(gè)人的財(cái)產(chǎn)權(quán)利，這種觀點(diǎn)對(duì)此沒有充分的認(rèn)識(shí)，是其不足所在。

第二種觀點(diǎn)認(rèn)為，該罪侵犯的客體為復(fù)雜客體，即持卡人的合法利益和金融機(jī)構(gòu)的信譽(yù)*利子平，樊宏濤：《竊取、收買、非法提供信用卡信息資料罪芻議》，《河北法學(xué)》2005年第11期，第39頁。。其認(rèn)為，該罪侵犯的客體主要是金融機(jī)構(gòu)的信譽(yù)，但同時(shí)也侵犯了持卡人的合法利益。這種觀點(diǎn)看到了該罪對(duì)于持卡人的合法利益的侵犯，將其作為法益之一，值得肯定。但是，這種觀點(diǎn)認(rèn)為該罪侵犯的主要法益是金融機(jī)構(gòu)的信譽(yù)則值得商榷。如果僅侵犯金融機(jī)構(gòu)的信譽(yù)，完全可以通過商法、經(jīng)濟(jì)法、民法進(jìn)行調(diào)整，通過侵權(quán)救濟(jì)等方式既可對(duì)權(quán)利予以恰當(dāng)?shù)幕貜?fù)，不必動(dòng)用刑法手段。之所以其需要規(guī)定為犯罪，是因?yàn)槠浞ㄒ娓鼮橹卮?，因而這種觀點(diǎn)存在不妥。

第三種觀點(diǎn)認(rèn)為，竊取、收買、非法提供信用卡信息罪侵犯的是復(fù)雜客體，包括他人的信用卡信息安全和國(guó)家有關(guān)信用卡信息的管理秩序。從持卡人角度看，信用卡信息安全是其首要的利益，這種信息一旦被竊取、收買、非法提供，其安全性就必然被侵犯。從國(guó)家角度看，國(guó)家己有相關(guān)法律、法規(guī)來規(guī)范信用卡信息管理，而竊取、收買、非法提供他人信用卡信息必然造成國(guó)家的這種管理秩序被破壞*盧勤忠：《信用卡信息安全的刑法保護(hù)——以竊取、收買、非法提供信用卡信息罪為例的分析》，《中州學(xué)刊》2013年第3期，第56頁。。我們同意這種觀點(diǎn)，既看到了信用卡信息與其他個(gè)人信息的不同之處，又看到了信用卡信息的個(gè)人信息屬性，對(duì)于其法益作了全面的概括，值得肯定。

總體來看，侵犯?jìng)€(gè)人信息罪和竊取、收買、非法提供信用卡信息罪的法益討論都不可避免對(duì)其法益屬性(即是公共法益還是個(gè)人法益)進(jìn)行分析。竊取、收買、非法提供信用卡信息罪由于關(guān)涉信用卡管理，其法益具有公共性的觀點(diǎn)被明確提出。而侵犯?jìng)€(gè)人信息罪由于其直接侵犯對(duì)象為(相當(dāng)數(shù)量的)個(gè)人信息，現(xiàn)有觀點(diǎn)多將其作為個(gè)人法益予以認(rèn)定，值得作進(jìn)一步研究和討論。

(二)侵犯?jìng)€(gè)人信息犯罪的危害行為問題

在犯罪產(chǎn)業(yè)鏈化的影響下，侵犯?jìng)€(gè)人信息犯罪已經(jīng)從以獲取行為為中心轉(zhuǎn)向以利用行為為中心。隨著基于共同意思之下以實(shí)行行為為核心的傳統(tǒng)共同犯罪模式向基于各自利益之下以分工負(fù)責(zé)為形式的產(chǎn)業(yè)鏈共同犯罪模式轉(zhuǎn)變，即便是非法公開、非法獲取的個(gè)人信息，其后續(xù)的利用行為往往是不同主體基于不同目的而實(shí)施，而且與其他行為日益分離，僅通過評(píng)價(jià)非法公開、非法獲取行為已經(jīng)不能全面有效地規(guī)制侵犯公民信息的犯罪，且由于非法利用信息數(shù)量的巨大和利用行為與下游犯罪的分離，通過盜竊罪、詐騙罪等下游犯罪的罪刑規(guī)則也無法對(duì)于非法利用行為進(jìn)行全面評(píng)價(jià)，非法利用行為的獨(dú)特作用必須為刑事立法所考慮，其突出表現(xiàn)在如下幾個(gè)方面：第一，非法利用行為是非法獲取行為、非法提供行為的源動(dòng)力，如果沒有非法利用行為，非法獲取行為、非法提供行為就毫無意義也無法存在，反之只有有效懲治非法利用行為才能有效地打擊侵犯?jìng)€(gè)人信息犯罪產(chǎn)業(yè)鏈。第二，非法利用行為相比于其他行為，更易于造成法益侵害并且往往造成的危害后果更為直接、更為巨大，依據(jù)“舉輕以明重”的入罪規(guī)則，如果對(duì)于非法獲取行為、非法提供行為需要予以打擊，那么沒有理由對(duì)于非法利用行為放任不管。第三，目前非法利用個(gè)人信息的行為已經(jīng)愈演愈烈，如果不對(duì)其予以刑事懲罰，那么無異于放任個(gè)人信息失控的狀況蔓延，無法有效保護(hù)信息權(quán)利。

由于侵犯?jìng)€(gè)人信息罪與竊取、收買、非法提供信用卡信息罪在行為方式上相近，如在產(chǎn)業(yè)鏈化的背景下，非法利用行為同樣是竊取、收買、非法提供信用卡信息罪的核心行為：一個(gè)完整的信用卡犯罪包括竊取、收買信用卡信息，制作假卡，運(yùn)輸、銷售和使用假卡等流程。其中，竊取、收買、制作是初始環(huán)節(jié)，運(yùn)輸、銷售是中間環(huán)節(jié)，使用是最終目的*盧勤忠：《信用卡信息安全的刑法保護(hù)——以竊取、收買、非法提供信用卡信息罪為例的分析》，《中州學(xué)刊》2013年第3期，第55頁。。而其中侵犯?jìng)€(gè)人信息罪行為方式的規(guī)定更為具體和典型，故以侵犯?jìng)€(gè)人信息罪為例進(jìn)行探討。

就侵犯?jìng)€(gè)人信息罪而言，目前非法利用個(gè)人信息的行為沒有被規(guī)定為犯罪，對(duì)其如何作出規(guī)定，主要有兩種觀點(diǎn)：一種觀點(diǎn)認(rèn)為，對(duì)公民個(gè)人信息的非法利用，是指未經(jīng)信息主體許可，非法利用自己已經(jīng)掌握的公民個(gè)人信息以期實(shí)現(xiàn)自己的特定目的。非法利用個(gè)人信息的人只能是通過正當(dāng)手段獲取個(gè)人信息的人，否則獲取個(gè)人信息的行為也可以以非法獲取個(gè)人信息罪而定罪量刑*吳萇弘：《個(gè)人信息的刑法保護(hù)研究》，上海：上海社會(huì)科學(xué)院出版社2014年版，第182頁。。另一種觀點(diǎn)認(rèn)為，對(duì)于合法或者非法獲取個(gè)人信息的單位和個(gè)人非法利用個(gè)人信息的行為，目前還不能追究刑事責(zé)任。特別是對(duì)于從網(wǎng)絡(luò)上搜集、整理他人個(gè)人信息予以出賣或者非法利用，情節(jié)嚴(yán)重的情形，刑法典第253條之一第2款就完全無法予以應(yīng)對(duì)，放縱了一部分侵犯公民個(gè)人信息的違法行為。但是，這種情況在現(xiàn)實(shí)生活中卻變得愈來愈嚴(yán)重。建議將非法利用個(gè)人信息的行為入罪*趙秉志：《公民個(gè)人信息刑法保護(hù)問題研究》，《華東政法大學(xué)學(xué)報(bào)》2014年第1期，第121-127頁。。

我們認(rèn)為，這兩種觀點(diǎn)均存在不足。前一種觀點(diǎn)存在較大的缺陷，根據(jù)這種觀點(diǎn)，非法利用個(gè)人信息的行為主體應(yīng)該限定為合法獲取個(gè)人信息的主體，其之所以需要被科處刑罰是因?yàn)槔眯袨榈姆欠ǎ皇且驗(yàn)楂@取個(gè)人信息手段的非法。作為侵犯?jìng)€(gè)人信息犯罪的核心行為，非法利用行為的主體既可能無權(quán)合法獲取個(gè)人信息，也可能有權(quán)合法獲取個(gè)人信息。雖然以往非法利用行為的實(shí)施主體以合法獲取個(gè)人信息的主體為典型，但是隨著該罪的產(chǎn)業(yè)鏈化，非法獲取行為的后續(xù)利用行為也應(yīng)當(dāng)獨(dú)立評(píng)價(jià)，因?yàn)閷?duì)于非法獲取行為的后續(xù)利用行為，其往往由不同主體基于不同目的實(shí)施，與非法獲取行為的分離愈發(fā)明顯，社會(huì)危害性也有區(qū)別，需要在規(guī)定非法利用行為時(shí)對(duì)此予以考慮。也就是說，非法利用行為的實(shí)施主體已經(jīng)從合法獲取個(gè)人信息的主體擴(kuò)展到非法獲取個(gè)人信息的主體，然而該觀點(diǎn)對(duì)于上述變化沒有作出充分考慮。后一種觀點(diǎn)認(rèn)識(shí)到“對(duì)于合法或者非法獲取個(gè)人信息的單位和個(gè)人非法利用個(gè)人信息的行為”均應(yīng)追究刑事責(zé)任，無疑更為全面。不過該觀點(diǎn)認(rèn)為非法利用行為的主體就是非法獲取行為的主體則未必妥當(dāng)。如前所述，在該罪產(chǎn)業(yè)鏈化的背景下，非法獲取主體與非法利用主體的分離愈發(fā)普遍，該非法獲取行為的后續(xù)利用行為往往是另外的主體基于另外的目的實(shí)施，應(yīng)注意對(duì)非法利用行為作出獨(dú)立評(píng)價(jià)。

《刑法修正案(九)》在該罪行為方式的規(guī)定上總體沿用了原有的表述，就出售、提供個(gè)人信息行為而言，只是將原來“非法提供”中的“非法”刪除，包括“出售”和“提供”兩種行為，沒有對(duì)非法利用行為作出規(guī)定，依然存在立法疏漏?！蛾P(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第3條、第4條、第5條也僅是對(duì)于“非法獲取、出售或者提供公民個(gè)人信息”的具體行為作出闡釋，并未對(duì)非法利用個(gè)人信息的行為作出規(guī)定。

三、侵犯?jìng)€(gè)人信息犯罪的刑法回應(yīng)路徑

有效打擊侵犯?jìng)€(gè)人信息犯罪必須根據(jù)其法益和行為方式的現(xiàn)實(shí)變化，在現(xiàn)有研究的基礎(chǔ)上進(jìn)行有針對(duì)性的立法完善。

(一)確立侵犯公民個(gè)人信息罪法益的公共性

在數(shù)據(jù)挖掘技術(shù)與信息內(nèi)容變遷的雙重推動(dòng)下，個(gè)人信息早已不僅僅關(guān)涉?zhèn)€人，早已出現(xiàn)了超越個(gè)人性而向公共性轉(zhuǎn)化的趨勢(shì)。在大數(shù)據(jù)環(huán)境下，個(gè)人信息關(guān)聯(lián)的法益也呈現(xiàn)出公共化、多樣化的態(tài)勢(shì)：第一，個(gè)人信息首先和個(gè)人法益相關(guān)聯(lián)。個(gè)人信息往往能夠識(shí)別個(gè)人或者往往與個(gè)人重大法益相聯(lián)系，由于個(gè)人信息泄露和非法利用導(dǎo)致的人身和財(cái)產(chǎn)重大損害比比皆是。最為典型的莫過于幾個(gè)月前發(fā)生的徐玉玉案，被害人因個(gè)人信息泄露被詐騙電話騙走上大學(xué)的費(fèi)用9 900元，郁結(jié)于心，最終導(dǎo)致心臟驟停，不幸離世。第二，個(gè)人信息通常關(guān)系公共安全。在大數(shù)據(jù)環(huán)境下，個(gè)人信息往往以聚集性的形式存在，一旦一個(gè)數(shù)據(jù)包泄露往往會(huì)導(dǎo)致極為大量的個(gè)人信息泄露，侵犯數(shù)以萬計(jì)甚至數(shù)以億計(jì)的個(gè)人信息，其侵害的公共性顯而易見。第三，個(gè)人信息可能關(guān)系國(guó)家安全。如果所侵犯?jìng)€(gè)人信息中的“個(gè)人”是對(duì)于國(guó)家安全具有重要意義的人，那么其危害的必然是國(guó)家安全。前不久發(fā)生的希拉里“郵件門”事件就頗值得我們警惕，其私人郵箱被黑客以技術(shù)手段破解，大量郵件信息泄露并且導(dǎo)致嚴(yán)重的后果，對(duì)于美國(guó)國(guó)家安全也產(chǎn)生了一定影響。再如果對(duì)于一個(gè)國(guó)家、民族的基因信息通過個(gè)體抓取進(jìn)行分析，進(jìn)而予以非法利用，很可能導(dǎo)致不可挽回的嚴(yán)重后果。與此同時(shí)，侵犯?jìng)€(gè)人信息犯罪的公共化已經(jīng)成為一種現(xiàn)實(shí)，大量的侵犯?jìng)€(gè)人信息犯罪以群體被害的形態(tài)出現(xiàn)，必須予以重視。

如前所述，目前我國(guó)刑法中所規(guī)定的侵犯?jìng)€(gè)人信息犯罪包括侵犯公民個(gè)人信息罪與竊取、收買、非法提供信用卡信息罪。竊取、收買、非法提供信用卡信息罪法益的公共性較為明顯，并且為學(xué)界所認(rèn)可，而侵犯?jìng)€(gè)人信息罪法益的公共性仍有待厘清。《刑法修正案(九)》依然將侵犯?jìng)€(gè)人信息罪規(guī)定于《刑法》第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”中，顯然不妥。我們認(rèn)為，侵犯公民個(gè)人信息犯罪的法益并不是公民個(gè)人的人身權(quán)利，而是社會(huì)的公共安全，具體來說是公共信息安全，理由如下：

第一，從犯罪對(duì)象與法益的關(guān)聯(lián)角度，該類犯罪所侵犯的對(duì)象并非公民個(gè)人的人身權(quán)利。這可以從兩個(gè)角度展開：一方面，該類犯罪所侵犯的信息不僅可能是公民個(gè)人信息，還可能是單位信息。在大數(shù)據(jù)環(huán)境下，任何主體均以信息化的形式與形象存在，不僅公民個(gè)人的信息與痕跡可以關(guān)聯(lián)具體的法益，單位信息也在事實(shí)上與單位的權(quán)法益相關(guān)聯(lián)，非法獲取、非法提供、非法利用單位信息的行為也具有相當(dāng)?shù)纳鐣?huì)危害性，而侵犯單位信息的行為顯然無法納入公民人身權(quán)利的范疇。與此相關(guān)的是，最新通過的《網(wǎng)絡(luò)安全法》也將保護(hù)對(duì)象由“公民個(gè)人信息”調(diào)整為“個(gè)人信息”，對(duì)于個(gè)人信息作出上述理解并不與最新立法沖突。另一方面，個(gè)人信息既可能關(guān)系個(gè)人的人身法益，也可能關(guān)系個(gè)人的財(cái)產(chǎn)法益，不宜規(guī)定在《刑法》第四章中。對(duì)于信息的理解不能夠局限于字面意思，要深入思考其法益內(nèi)涵。信息所涉及的法益要根據(jù)信息的內(nèi)容進(jìn)行判定，如果是醫(yī)療信息就會(huì)涉及個(gè)人的生命健康法益，如果是資金賬戶信息就會(huì)涉及個(gè)人的財(cái)產(chǎn)法益。如網(wǎng)絡(luò)身份盜竊涉及挪用在線身份口令，包括網(wǎng)絡(luò)銀行口令*Lynne D. Roberts, David Indermaur, “Caroline Spiranovic.Fear of Cyber-Identity Theft and Related Fraudulent Activity”, Psychiatry, Psychology & Law, Vol. 20, 2013, p.316.。之所以習(xí)慣式地從《刑法》第四章尋找該罪的適用依據(jù)，恐怕多少是對(duì)“個(gè)人信息”作形式化的理解，認(rèn)為和個(gè)人相關(guān)就是和公民人身相關(guān)。我們認(rèn)為，對(duì)于“個(gè)人信息”應(yīng)該作恰當(dāng)?shù)睦斫?。眾所周知民法調(diào)整的是平等主體之間的人身關(guān)系和財(cái)產(chǎn)關(guān)系，對(duì)于“平等主體”再作解釋，可以包括自然人、法人和其他組織等，自然人其實(shí)就可以理解為公民個(gè)人。一般在探討個(gè)人權(quán)利時(shí)顯然會(huì)認(rèn)為包括人身權(quán)利和財(cái)產(chǎn)權(quán)利，為何探討個(gè)人信息時(shí)就認(rèn)為其應(yīng)該僅在人身權(quán)利的范疇下予以研究？

第二，從法益重要性的角度，侵犯信息安全的行為中只有侵犯公共信息安全的行為才需要被刑法制裁。法益一詞實(shí)際上并非刑法學(xué)科所專有，從法理學(xué)的角度來看，法益就是法所保護(hù)的利益，這里的“法”包括刑法、民法等各個(gè)部門法。由于刑罰手段的嚴(yán)厲性，進(jìn)入刑法視野的法益必然具有相當(dāng)程度的重要性。而且，個(gè)人信息的法律保護(hù)是一個(gè)體系，根據(jù)對(duì)于個(gè)人信息侵犯的程度不同，應(yīng)該由不同的法律予以保護(hù)：對(duì)于個(gè)人、網(wǎng)絡(luò)服務(wù)提供者等主體侵犯?jìng)€(gè)人信息的行為，如果是侵犯某個(gè)或者某幾個(gè)特定公民的個(gè)人信息，造成了一定的后果，但沒有對(duì)社會(huì)造成較大危害時(shí)，應(yīng)該依照《侵權(quán)責(zé)任法》等民事法律的規(guī)定予以處罰，如果通過民事法律方式處理就可以達(dá)到良好的社會(huì)效果，則無需動(dòng)用刑罰手段。此外，如果網(wǎng)絡(luò)服務(wù)提供者不是侵犯?jìng)€(gè)人信息，而是未按國(guó)家有關(guān)法律要求對(duì)個(gè)人信息進(jìn)行保護(hù)，應(yīng)當(dāng)承擔(dān)行政法律責(zé)任。那么達(dá)到何種程度的法益侵害性才需要通過刑事手段予以保護(hù)？伴隨著社會(huì)信息化程度的提高,公共信息安全問題已經(jīng)成為影響社會(huì)穩(wěn)定和公共安全的重要因素*歐三任：《公共信息安全問題的審視與應(yīng)對(duì)》，《重慶郵電大學(xué)學(xué)報(bào)》(社會(huì)科學(xué)版)2010年第1期，第59頁。。只有上述主體侵犯多數(shù)公民的個(gè)人信息及對(duì)公共信息安全造成侵害或者危險(xiǎn)時(shí)，才有必要通過刑事手段加以保護(hù)。所以，被侵犯信息的公共性必不可少，否則就無法解釋為何需要通過刑事手段保護(hù)個(gè)人信息。

第三，從法益保護(hù)緊迫性的角度，只有侵犯公共信息安全的行為才有必要予以獨(dú)立規(guī)制。很多侵犯?jìng)€(gè)人信息的行為并非必須在侵犯?jìng)€(gè)人信息犯罪中予以判斷和規(guī)制。在以往，身份盜竊被作為后續(xù)犯罪行為的預(yù)備行為，如計(jì)算機(jī)詐騙*Adrian Cristian Moise, “Identity Theft Committed Through Internet”, Current Juridical, Vol. 18, 2015, p.124.。比如侵犯某個(gè)公民的個(gè)人信息，利用該信息直接對(duì)個(gè)人的人身、財(cái)產(chǎn)或者其他重大法益進(jìn)行侵害，像詐騙罪、敲詐勒索罪等，只需將侵犯?jìng)€(gè)人信息的行為作為下游犯罪的一個(gè)情節(jié)考慮即可，不必單獨(dú)作出處罰。事實(shí)上，侵害個(gè)人法益的犯罪很難不與個(gè)人信息相關(guān)聯(lián)：除了詐騙罪、敲詐勒索罪外，受委托殺人需要了解公民的姓名甚至行蹤，入戶盜竊需要知道個(gè)人的住址，等等。然而，侵犯?jìng)€(gè)人信息犯罪產(chǎn)業(yè)鏈化卻使得上述結(jié)構(gòu)發(fā)生變化：一方面在犯罪對(duì)象上行為人不是以某個(gè)公民的個(gè)人信息為對(duì)象，而是侵犯多數(shù)不特定公民的個(gè)人信息；另一方面行為人只負(fù)責(zé)搜集個(gè)人信息，不必實(shí)施下游犯罪。在這種情況下，侵犯多數(shù)個(gè)人信息的行為事實(shí)上侵犯了公共安全，有可能導(dǎo)致公眾恐慌等嚴(yán)重社會(huì)后果，而且無法通過下游犯罪處罰或者通過下游犯罪處罰失當(dāng)，有必要對(duì)其作出獨(dú)立的規(guī)定。比如非法獲取一萬個(gè)個(gè)人的銀行賬戶信息，可能對(duì)這些公民的財(cái)產(chǎn)造成巨大的侵害，但是被發(fā)現(xiàn)時(shí)尚未對(duì)其中任何一人造成實(shí)際侵害甚至很可能并無盜竊其財(cái)產(chǎn)的故意，這種情況刑法顯然有必要介入，但卻無法通過侵犯?jìng)€(gè)人法益犯罪的規(guī)定對(duì)其予以制裁。

第四，從刑罰均衡的角度，該罪與《刑法》第四章的其他犯罪在刑罰配置上明顯失衡。對(duì)刑法來說，它的內(nèi)部秩序就是罪刑關(guān)系的和諧、有序，就是罪與刑的均衡*劉守芬，方泉：《罪刑均衡的立法實(shí)現(xiàn)》，《法學(xué)評(píng)論》2004年第2期，第87頁。。《刑法修正案(九)》提高了對(duì)于侵犯?jìng)€(gè)人信息犯罪的處罰力度，受到社會(huì)的一致認(rèn)可，公眾普遍認(rèn)同應(yīng)當(dāng)嚴(yán)厲地打擊該類犯罪行為。然而，這樣的修改也使得一個(gè)問題更加突出——該條規(guī)定與《刑法》第四章其他犯罪的刑罰配置越發(fā)顯得不協(xié)調(diào)。比如，第253條之一第1款規(guī)定，該罪“情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金”。然而對(duì)比《刑法》第四章的其他犯罪，如暴力干涉婚姻自由罪，暴力干涉他人婚姻自由致使被害人死亡的，才處二年以上七年以下有期徒刑。僅僅是侵犯?jìng)€(gè)人信息的犯罪就可以和侵害生命權(quán)的犯罪規(guī)定同樣的最高刑，甚至后者的最低刑還低于前者，這恐怕是任何一個(gè)秉持罪刑均衡理念的人都無法認(rèn)同的觀點(diǎn)。所以，如果僅侵犯某個(gè)公民的個(gè)人信息，似乎很難認(rèn)可侵犯?jìng)€(gè)人信息的行為應(yīng)該比侵害生命權(quán)的行為處以更重的刑罰，那么對(duì)于侵犯?jìng)€(gè)人信息犯罪處以這樣的刑罰之所以合理，只能是因?yàn)槠浔Ｗo(hù)的法益并非個(gè)人法益，而是多數(shù)人的法益，是公共信息安全。

因此，無論是公民個(gè)人信息罪還是竊取、收買、非法提供信用卡信息罪，其法益的公共性都是毋庸置疑的。在肯定了侵犯?jìng)€(gè)人信息犯罪侵害的法益具有公共性后，還有一個(gè)問題需要予以厘清，即應(yīng)該在《刑法》的哪一章對(duì)其作出規(guī)定？就公共信息安全本身的屬性而言，其當(dāng)然與公共安全具有內(nèi)在的契合性，在《刑法》第二章“危害公共安全罪”中對(duì)其作出規(guī)定有其合理性。但是就現(xiàn)階段而言，筆者認(rèn)為還是在《刑法》第六章“妨害社會(huì)管理秩序罪”中對(duì)其作出規(guī)定更為妥當(dāng)。這是因?yàn)椋旱谝唬F(xiàn)階段公共信息安全與物理形態(tài)的公共安全仍有一定距離。信息社會(huì)的發(fā)展是一個(gè)過程，從社會(huì)的信息全面覆蓋到社會(huì)的信息全面主導(dǎo)是一個(gè)過程，可以肯定公共信息安全會(huì)向著公共安全的領(lǐng)域不斷嵌入，但是現(xiàn)階段其與公共安全的關(guān)聯(lián)仍然具有間接性，往往需要與其他要素結(jié)合才能緊迫地危害公共安全。同時(shí)，社會(huì)公眾對(duì)于個(gè)人信息被侵犯更多的是感到精神和心理受到損害，直接遭受人身與財(cái)產(chǎn)損害的畢竟是少數(shù)，而對(duì)于多數(shù)人造成的精神和心理損害顯然是對(duì)于正常社會(huì)生活及其秩序的危害。第二，《刑法》第六章“妨害社會(huì)管理秩序罪”中已有對(duì)于類似犯罪作出規(guī)定的適例。1997年現(xiàn)行刑法制定時(shí)已經(jīng)將侵犯計(jì)算機(jī)信息系統(tǒng)的犯罪規(guī)定在《刑法》第六章“妨害社會(huì)管理秩序罪”中，即不論其所侵害的對(duì)象與法益為何，只要其手段行為達(dá)到了妨害社會(huì)管理秩序的程度，即可以按照相應(yīng)的規(guī)定處罰，在對(duì)網(wǎng)絡(luò)犯罪回應(yīng)的過程中也沿用了這樣的思路，對(duì)于侵犯?jìng)€(gè)人信息犯罪采用這樣的規(guī)定方式是契合現(xiàn)行刑事立法思路的。

此外，我們建議在條文表述中與罪名表述中均去掉“公民”二字，這是因?yàn)殡S著大數(shù)據(jù)環(huán)境的深化，除了公民之外，單位的個(gè)人信息也愈發(fā)重要并且會(huì)更加頻繁地受到侵犯，也應(yīng)通過刑法對(duì)其進(jìn)行保護(hù)。

(二)專門規(guī)定非法利用個(gè)人信息的行為

全面規(guī)制侵犯?jìng)€(gè)人信息的犯罪行為，需要在侵犯?jìng)€(gè)人信息罪與竊取、收買、非法提供信用卡信息罪現(xiàn)有規(guī)定的基礎(chǔ)上構(gòu)建合理的行為方式體系，而這一體系不可憑空構(gòu)建，必須充分考慮非法利用行為的新發(fā)展，對(duì)于非法利用作出單獨(dú)的、專門的規(guī)定，并且將非法利用行為優(yōu)先于非法獲取行為、非法提供行為作出規(guī)定，作為侵犯?jìng)€(gè)人信息犯罪的核心行為予以規(guī)制。理由如下：

第一，非法利用行為在侵犯?jìng)€(gè)人信息犯罪行為體系中日趨居于核心地位。在大數(shù)據(jù)環(huán)境下，數(shù)據(jù)信息成為社會(huì)運(yùn)轉(zhuǎn)的基礎(chǔ)資源。公私領(lǐng)域?qū)τ跀?shù)據(jù)利用的需求比以往任何一個(gè)時(shí)代更加迫切*任孚婷：《大數(shù)據(jù)時(shí)代隱私保護(hù)與數(shù)據(jù)利用的博弈》，《編輯學(xué)刊》2015年第6期，第41頁。。數(shù)據(jù)挖掘與利用也成為大數(shù)據(jù)時(shí)代的關(guān)鍵行為，如果沒有數(shù)據(jù)挖掘與利用技術(shù)，再海量的數(shù)據(jù)產(chǎn)生、流轉(zhuǎn)也沒有意義與價(jià)值，在這個(gè)意義上大數(shù)據(jù)環(huán)境也就是一種數(shù)據(jù)利用環(huán)境，并對(duì)侵犯?jìng)€(gè)人信息犯罪的產(chǎn)生具有巨大影響。侵犯?jìng)€(gè)人信息犯罪也已經(jīng)從非法獲取、非法提供為中心轉(zhuǎn)向非法利用為核心。一方面，如果個(gè)人的信息不能夠用于非法用途，亦即無法進(jìn)行非法利用，那么就不會(huì)產(chǎn)生非法利益，那么行為人就不會(huì)實(shí)施非法獲取、非法提供個(gè)人信息的行為。另一方面，即便是對(duì)于不以營(yíng)利為目的的侵犯?jìng)€(gè)人信息犯罪，非法利用行為同樣重要，如果不能對(duì)于個(gè)人信息進(jìn)行非法利用，其諸如損害他人之非法目的也無從實(shí)現(xiàn)?？傊址?jìng)€(gè)人信息犯罪已經(jīng)事實(shí)上走向以非法利用為中心，而現(xiàn)有立法并未對(duì)此予以足夠的重視。

第二，非法利用個(gè)人信息行為的獨(dú)立性日益凸顯。這體現(xiàn)在兩個(gè)方面：一方面，在侵犯?jìng)€(gè)人信息犯罪行為體系中，非法利用行為更具有獨(dú)立性。非法利用個(gè)人信息行為愈發(fā)與非法獲取、非法提供行為分離，特別是遠(yuǎn)遠(yuǎn)超出了“下游犯罪”的范疇。以往學(xué)者通常將侵犯?jìng)€(gè)人信息行為入罪化理解為法益保護(hù)前置化，即對(duì)于大量利用個(gè)人信息實(shí)施的盜竊、詐騙犯罪予以前置規(guī)制。這一觀點(diǎn)雖有其合理性，但是隨著非法利用個(gè)人信息行為的發(fā)展與擴(kuò)大，其解釋力愈發(fā)顯得不足。2016年8月，南都記者曾對(duì)相關(guān)裁判文書網(wǎng)站上2014年以來廣州兩級(jí)法院審結(jié)并上傳的15份非法獲取、出售、侵犯公民個(gè)人信息罪案件判決梳理、分析發(fā)現(xiàn)，犯罪分子多通過互聯(lián)網(wǎng)、QQ群以購買方式非法獲取公民個(gè)人信息，并分別用來推銷美容減肥產(chǎn)品、追債、交通違章銷分，或直接轉(zhuǎn)賣信息賺取差價(jià)等事項(xiàng)。這中間的很多行為已經(jīng)游走出法律的邊緣，有必要通過刑法予以規(guī)制，但是卻不易從刑法條文中找到相應(yīng)的罪名。另一方面，如前文所述，合法擁有個(gè)人信息的主體也在實(shí)施非法利用個(gè)人信息的行為，比如網(wǎng)絡(luò)服務(wù)提供者在合法獲取個(gè)人信息后未經(jīng)個(gè)人許可大量用于非授權(quán)用途，等等。在此背景下，對(duì)于非法利用個(gè)人信息的行為予以入罪化、類型化是回應(yīng)這一現(xiàn)實(shí)問題的有效路徑。

第三，非法利用個(gè)人信息行為已經(jīng)完成類型化。某種行為之所以可以被刑法集中進(jìn)行規(guī)定必須基于其已經(jīng)類型化甚至定型化。這里的類型化有兩重含義：一重含義是該類行為無法為刑法所規(guī)制的原有犯罪類型所包含，另一重含義是該類行為已經(jīng)有較為典型和系統(tǒng)的具體表現(xiàn)。非法利用個(gè)人信息行為中不乏符合上述兩重含義的表現(xiàn)形式，如人肉搜索行為，往往基于個(gè)人信息的非法利用導(dǎo)致極為嚴(yán)重的人身后果、精神后果，但是卻不易通過現(xiàn)有刑法規(guī)定予以有效規(guī)制。再如非法廣告聯(lián)盟行為，大量利用個(gè)人的使用痕跡信息、偏好信息等，通過搭建非法跨網(wǎng)站推廣平臺(tái)，進(jìn)行非法牟利的行為，與其再套用非法經(jīng)營(yíng)罪等“口袋罪”予以強(qiáng)行解釋，不如還原到非法利用個(gè)人信息的層面予以有效規(guī)制。而且，比如人肉搜索行為、非法廣告聯(lián)盟行為，本身都不足以成為刑法作出明確規(guī)定的特定行為類型，這或許也是當(dāng)初人肉搜索行為直接納入刑法規(guī)定建議被否定的重要原因，而將這些行為統(tǒng)合在非法利用個(gè)人信息行為的框架下，無疑能夠兼顧打擊犯罪與維護(hù)刑法的安定性。

第四，目前已有對(duì)于非法利用個(gè)人信息行為予以入罪的立法嘗試。如德國(guó)2007年的《電信媒體法》在其第12條“一般原則”中規(guī)定：“(1) 只有在本法或者其他法律規(guī)定明確允許或收件人已經(jīng)同意的情況下，服務(wù)提供者可以基于電信媒體的有關(guān)條款收集和使用個(gè)人數(shù)據(jù)；(2) 只有在本法或者其他法律規(guī)定明確允許或收件人已經(jīng)同意的情況下，服務(wù)提供者可以出于其他目的收集和使用個(gè)人數(shù)據(jù)；……”此外，該法第13條規(guī)定了服務(wù)提供者的義務(wù)，大致可分為兩類:一類是(數(shù)據(jù)搜集和使用)告知義務(wù);另一類可以稱為保障義務(wù)*韓赤風(fēng)：《互聯(lián)網(wǎng)服務(wù)提供者的義務(wù)與責(zé)任——以〈德國(guó)電信媒體法〉為視角》，《法學(xué)雜志》2014年第10期，第27頁。。該條第4款第4項(xiàng)特別規(guī)定了電信媒體服務(wù)提供者必須采取技術(shù)和預(yù)防措施確保個(gè)人數(shù)據(jù)在不同主體使用時(shí)分別進(jìn)行。在刑事責(zé)任層面，從純粹的傳輸服務(wù)、接入服務(wù)提供者，到緩存服務(wù)提供者、宿主服務(wù)提供者，再到內(nèi)容提供者，其承擔(dān)的責(zé)任逐漸提升，相應(yīng)的免責(zé)條件越來越嚴(yán)格*王華偉：《網(wǎng)絡(luò)服務(wù)提供者的刑法責(zé)任比較研究》，《環(huán)球法律評(píng)論》2016年第4期，第46頁。。所以，對(duì)于非法利用個(gè)人信息行為予以立法規(guī)制乃至入罪化，已有相關(guān)立法可供參考。

基于以上分析，我們認(rèn)為應(yīng)對(duì)《刑法》中侵犯公民個(gè)人信息罪與竊取、收買、非法提供信用卡信息罪的規(guī)定作出必要修改。

就侵犯公民個(gè)人信息罪而言：其一，應(yīng)將《刑法》第253條之一修改為《刑法》第288條之一，其罪名由“侵犯公民個(gè)人信息罪”修改為“侵犯公共信息安全罪”。其二，以非法利用個(gè)人信息行為為核心構(gòu)建該罪的危害行為體系，并且對(duì)于非法利用個(gè)人信息行為規(guī)定更重的法定刑。其法條具體設(shè)計(jì)如下：

第288條之一 “違反國(guó)家有關(guān)規(guī)定，利用個(gè)人信息，情節(jié)嚴(yán)重的，處五年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處五年以上十年以下有期徒刑，并處罰金。

違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。

違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，利用或者向他人出售、提供的，分別依照第1款、第2款的規(guī)定從重處罰。

竊取或者以其他方法非法獲取個(gè)人信息的，依照第2款的規(guī)定處罰。

單位犯前四款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！?/p>

就竊取、收買、非法提供信用卡信息罪而言，也應(yīng)圍繞非法利用行為構(gòu)建完整的行為體系，即《刑法》第177條之一第2款應(yīng)修改為“非法利用，非法獲取或者非法提供他人信用卡信息資料的，依照第1款規(guī)定處罰”。

此外，的確通過刑法手段有效地規(guī)制侵犯?jìng)€(gè)人信息犯罪勢(shì)在必行，所以現(xiàn)行《刑法》在修正時(shí)不斷加大對(duì)其懲治的力度，在這一過程中，需要細(xì)致分析該罪的法益、行為，并且作出科學(xué)、合理的規(guī)定。但是刑法手段并不是保護(hù)個(gè)人信息的唯一手段，也不是首選手段，刑法需要與相關(guān)法律共同配合、相互補(bǔ)充，才能有效地保護(hù)個(gè)人信息，進(jìn)而保護(hù)公共信息安全。打擊個(gè)人信息犯罪行為不應(yīng)止于刑罰手段，還應(yīng)將行政責(zé)任、刑事責(zé)任、民事責(zé)任三者對(duì)接，全而杜絕個(gè)人信息的泄露*刁勝先，張強(qiáng)強(qiáng)：《云計(jì)算視野的個(gè)人信息與刑法保護(hù)》，《重慶社會(huì)科學(xué)》2012年第4期，第50頁。。需要立足《刑法》《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《侵權(quán)責(zé)任法》等現(xiàn)有立法并對(duì)其進(jìn)行完善，及時(shí)制定《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》等相關(guān)法律，使民事責(zé)任、刑事責(zé)任、行政責(zé)任相互銜接，共同構(gòu)成完善的保護(hù)個(gè)人信息的法律體系。

LegalInterestsandDangerousActsintheCrimeofInfringingPersonalInformationinaBigDataEnvironment

PI Yong, WANG Su-zhi

(Law School, Wuhan University, Wuhan 430072, China)

In a big data environment, a realistic dilemma exists in the criminal protection of personal information. There are some problems in the legal interests and behaviors of the infringement in terms of the crime of infringing the citizens’ personal information and that of stealing, buying and illegal providing credit card information. Personal information involves not only legal interests of an individual, but public information security and even national security as well, which requires the further review of current provisions. Although some research has been done about the legal interests and dangerous acts in the crime of infringing personal information in the academic circles, a uniform and effective solution hasn’t been reached at present. It is necessary to reconsider the infringed legal interests of such crimes and make some effective regulations for the acts of illegal use.

big data environment; personal information; public information security; act of illegal use

D 924

A

1004-1710(2017)05-0114-11

2017-06-20

國(guó)家社會(huì)科學(xué)基金重點(diǎn)項(xiàng)目(13AFX010)

皮勇(1974-)，男，湖北通城人，武漢大學(xué)法學(xué)院教授、博士生導(dǎo)師，主要從事中國(guó)刑法學(xué)、網(wǎng)絡(luò)安全法學(xué)研究。

[責(zé)任編輯：王怡]