李明魯

（中國政法大學(xué) 刑事司法學(xué)院，北京 100088）

2015年4月，貴州省貴陽市成立中國首家大數(shù)據(jù)交易所，自此開啟了我國數(shù)據(jù)交易正規(guī)化、產(chǎn)業(yè)化的新篇章。在“互聯(lián)網(wǎng)+”時(shí)代，數(shù)據(jù)與人們的生活和工作越來越密不可分，大數(shù)據(jù)中蘊(yùn)藏著無窮價(jià)值和財(cái)富，大數(shù)據(jù)成為商家的必爭之地，也成為政府予以關(guān)注和規(guī)范的重點(diǎn)領(lǐng)域。數(shù)據(jù)作為信息的載體，像計(jì)算機(jī)芯片一樣，承載著海量的公民個(gè)人信息，數(shù)據(jù)信息在交易流轉(zhuǎn)的過程中，信息泄露和非法買賣個(gè)人信息等安全隱患屢見不鮮。經(jīng)濟(jì)快速發(fā)展的背景下，數(shù)據(jù)不可避免地要進(jìn)行交換、交易和融合，發(fā)揮數(shù)據(jù)潛在的優(yōu)勢和效能，法律則責(zé)無旁貸地要承擔(dān)起平衡數(shù)據(jù)交易發(fā)展與個(gè)人信息安全之間緊張關(guān)系的時(shí)代任務(wù)。

一、數(shù)據(jù)交易中個(gè)人信息的安全現(xiàn)狀

大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等新興科技帶領(lǐng)人們步入繼互聯(lián)網(wǎng)時(shí)代之后的大數(shù)據(jù)時(shí)代。數(shù)據(jù)的來源主要包括以下三種：企業(yè)經(jīng)營所產(chǎn)生的交易信息、物聯(lián)網(wǎng)下的商品信息和物流信息以及人們之間的通訊信息和位置信息等[1]85。如果說在大數(shù)據(jù)時(shí)代擁有數(shù)據(jù)就等于掌握了財(cái)富，那么數(shù)據(jù)流通和開放無疑會使財(cái)富成倍增長。

我國數(shù)據(jù)交易產(chǎn)業(yè)尚處于發(fā)展初期階段，但已經(jīng)創(chuàng)造了顯著的經(jīng)濟(jì)效益，據(jù)《2016年中國大數(shù)據(jù)交易產(chǎn)業(yè)白皮書》公布顯示，預(yù)計(jì)到2020年，中國的大數(shù)據(jù)產(chǎn)業(yè)將緊跟美國之后，在全球各地區(qū)大數(shù)據(jù)產(chǎn)業(yè)所占市場份額中位居第二。然而利益往往成為滋生犯罪的土壤，“通過網(wǎng)絡(luò)攻擊就可以一次獲取數(shù)以萬計(jì)的數(shù)據(jù)”[2]10，低廉的違法成本與巨額違法收益，令不法之徒不惜鋌而走險(xiǎn)。

（一）數(shù)據(jù)交易大趨勢

數(shù)據(jù)的應(yīng)用在日常衣食住行方面越來越普遍，在企業(yè)經(jīng)營、市場運(yùn)作以及政府管理等過程中，數(shù)據(jù)也占據(jù)著一席之地。數(shù)據(jù)開啟了真正意義上人們生活、工作與思維的大變革，這要求我們要快速轉(zhuǎn)變思維方式，緊跟時(shí)代發(fā)展趨勢，迎接大數(shù)據(jù)所帶來的機(jī)遇與挑戰(zhàn)。

數(shù)據(jù)價(jià)值的多元是數(shù)據(jù)交流和開放的結(jié)果，數(shù)據(jù)的關(guān)聯(lián)性要求不同行業(yè)和領(lǐng)域之間的數(shù)據(jù)進(jìn)行共享和融合，單一行業(yè)難以匯集、分析和整合多角度、全方位的數(shù)據(jù)信息，然而孤立的數(shù)據(jù)不足以發(fā)揮數(shù)據(jù)的多元價(jià)值，最終其將在競爭激烈的商業(yè)環(huán)境中逐步喪失競爭優(yōu)勢。為滿足企業(yè)對不同種類數(shù)據(jù)的需求，克服企業(yè)不能有效獲取安全的底層數(shù)據(jù)的問題，大數(shù)據(jù)交易平臺應(yīng)運(yùn)而生。大數(shù)據(jù)交易打破各行業(yè)領(lǐng)域間的信息壁壘，原始數(shù)據(jù)源經(jīng)過清洗、整理、建模后得出的數(shù)據(jù)分析結(jié)果成為可交易的對象，在具有交易需求并達(dá)成協(xié)議的雙方企業(yè)之間流轉(zhuǎn)。數(shù)據(jù)成為一種商品，但數(shù)據(jù)承載著隱私信息使其又不同于一般的商品，數(shù)據(jù)的可復(fù)制性與易獲得性意味著數(shù)據(jù)交易將面臨更多的安全威脅。

（二）個(gè)人信息在正規(guī)交易和非正規(guī)交易中的安全風(fēng)險(xiǎn)

大數(shù)據(jù)交易中心作為數(shù)據(jù)公開交易的平臺，在引導(dǎo)交易雙方完成數(shù)據(jù)交易的同時(shí)，還承擔(dān)著審查各方信譽(yù)和資質(zhì)、防止交易數(shù)據(jù)泄露等保障交易安全的義務(wù)。如果大數(shù)據(jù)交易所未履行數(shù)據(jù)交易安全保障義務(wù)，則應(yīng)對數(shù)據(jù)泄露造成的損害后果承擔(dān)相應(yīng)的法律責(zé)任。在交易平臺交易的數(shù)據(jù)是否能夠保證數(shù)據(jù)采集安全合法？又能否防范在數(shù)據(jù)存儲、傳輸?shù)倪^程中，信息被泄露的風(fēng)險(xiǎn)？這些問題成為公眾關(guān)注的焦點(diǎn)。事實(shí)上，在正規(guī)的交易平臺之外，還存在不符合交易規(guī)范的“交易黑市”，其間盜取和非法買賣公民個(gè)人信息的現(xiàn)象更是屢禁不止。

2017年6月20日，我國首例“刷單入刑”案公開宣判，行為人組織淘寶刷單，制造虛假交易，因觸犯非法經(jīng)營罪被依法判刑。刷單即偽造購物交易，需使用到大量客戶信息，而買賣快遞單號是獲得客戶信息的快速渠道，因此記載有身份信息、手機(jī)號碼和住址的快遞單號成為被非法交易的對象。不僅快遞行業(yè)掌握著數(shù)以萬計(jì)的公民個(gè)人信息，醫(yī)療、金融、電信等領(lǐng)域同樣是公民隱私信息的匯集之地。一旦出現(xiàn)數(shù)據(jù)泄露事故，數(shù)據(jù)信息被非法利用，繼而會引發(fā)一系列后續(xù)詐騙、傷害犯罪。

二、數(shù)據(jù)交易中個(gè)人信息犯罪的刑法保護(hù)路徑

自《刑法修正案（九）》增加侵犯公民個(gè)人信息罪以來，我國刑法強(qiáng)化了對公民個(gè)人信息的保護(hù)，嚴(yán)厲打擊侵犯個(gè)人信息的違法犯罪行為。于2017年6月1日起正式施行的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，對于侵犯公民個(gè)人信息的犯罪行為作出具體的細(xì)化規(guī)定，進(jìn)一步明確了個(gè)人信息犯罪的定罪和量刑標(biāo)準(zhǔn)。

（一）個(gè)人信息的內(nèi)涵界定及法益保護(hù)基礎(chǔ)

數(shù)據(jù)與信息具有同質(zhì)性，數(shù)據(jù)是信息的載體，信息經(jīng)過數(shù)據(jù)化后得以存儲和傳輸。信息從種類上可分為：與國家利益相關(guān)的國家秘密、情報(bào)，商業(yè)秘密及其他與社會秩序相關(guān)的信息，公民個(gè)人信息等。其中，公民個(gè)人信息因涉及面廣、基數(shù)大，又與社會公眾的切身利益密切相關(guān)，自然受到更多關(guān)注，故應(yīng)予以更為全面有效的法律保護(hù)。

1.個(gè)人信息內(nèi)涵界定

最高人民法院與最高人民檢察院聯(lián)合出臺的司法解釋對“公民個(gè)人信息”的定義采取概括加部分列舉的方式，即“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息”①參見《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第1條。，并舉例說明，包括個(gè)人姓名、住址、身份證件號碼、行蹤軌跡等等。根據(jù)此解釋規(guī)定，突出了信息的身份識別性。司法解釋第3條“經(jīng)過處理無法識別特定個(gè)人且不能復(fù)原的除外”，是對非法提供公民個(gè)人信息的特殊規(guī)定，說明只有行為對象是能夠識別本人身份的信息，才有可能成立公民個(gè)人信息犯罪，再次明確了公民個(gè)人信息具有身份可識別性特征。

公民個(gè)人信息根據(jù)信息的功能可分為三類：“一是表明身份的個(gè)人信息，如家庭住址、職業(yè)、身份證號等；二是反映財(cái)產(chǎn)狀況的個(gè)人信息，如銀行賬號和密碼、房產(chǎn)信息等；第三類是涉及隱私的個(gè)人信息，如通信往來、健康檔案等。”[3]55司法解釋沒有窮盡也不可能窮盡個(gè)人信息的外延，因?yàn)榘殡S數(shù)據(jù)技術(shù)的普遍應(yīng)用，能夠顯示公民身份和活動情況的信息形式愈來愈多，適當(dāng)放開對于公民個(gè)人信息的限定，更有利于全面保護(hù)公民個(gè)人信息的安全。但這并不代表為了保障信息的安全，可以無限擴(kuò)大公民個(gè)人信息的外延，無原則地突破入罪邊界。刑法的謙抑性要求應(yīng)以身份可識別性作為公民個(gè)人信息的判斷基準(zhǔn)，并從法益保護(hù)角度準(zhǔn)確把握公民個(gè)人信息的界限。

2.個(gè)人信息的法益保護(hù)基礎(chǔ)

我們現(xiàn)在身處的是陌生人社會，每個(gè)人都有屬于自己的安全領(lǐng)域不允許他人干涉，門戶緊閉建立起個(gè)人與外界之間的堅(jiān)固屏障。而大數(shù)據(jù)時(shí)代卻讓這道屏障形同虛設(shè)，信息存儲在網(wǎng)絡(luò)云端，別人只需輕輕點(diǎn)擊鼠標(biāo)而不用敲開房門，就能輕而易舉地掌握各類信息。信息化時(shí)代中公民的個(gè)人信息極易成為被攻擊和利用的對象，一是由于個(gè)人信息的易獲取性，購物、出行和住宿都會留下消費(fèi)記錄，從而單獨(dú)或者相互結(jié)合便可以確定公民的身份和活動情況；二是信息犯罪會滋生出一系列后續(xù)犯罪，詐騙等犯罪需要獲取受害對象的個(gè)人信息，因此非法獲取和交易公民個(gè)人信息具有“市場需求”。

所有法益均體現(xiàn)一定的利益，但并非所有的利益都能夠稱之為法益，只有“通過立法確認(rèn)，利益才可以上升為法益?！盵4]176利益在得到立法確認(rèn)之前，即法律未將侵犯此利益的行為規(guī)定為違法行為或者犯罪行為，那么對于侵害這種利益的行為便無法尋求法律上的保護(hù)。在1997年刑法條文中，沒有針對個(gè)人信息犯罪的規(guī)定，但社會發(fā)展和科技進(jìn)步催生了大量信息犯罪，因而《刑法修正案（九）》將個(gè)人信息作為犯罪對象，從此開啟了對公民個(gè)人信息的刑法保護(hù)歷程。

（二）數(shù)據(jù)信息保護(hù)的刑事立法沿革

在《刑法修正案（七）》正式施行之前，刑法尚未明確使用“數(shù)據(jù)”一詞，因?yàn)楫?dāng)時(shí)網(wǎng)絡(luò)數(shù)據(jù)發(fā)展較慢，數(shù)據(jù)應(yīng)用并不普及，因此只規(guī)定非法侵入計(jì)算機(jī)信息系統(tǒng)罪，用以保護(hù)“國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域”②《刑法》第285條：“違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役?！钡扰c國家重大利益相關(guān)的計(jì)算機(jī)信息系統(tǒng)。《刑法修正案（七）》出臺后，國家利益之外的“普通公眾的數(shù)據(jù)權(quán)”[2]12開始走進(jìn)刑法保護(hù)的視野，增設(shè)非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)、非法控制計(jì)算機(jī)信息系統(tǒng)罪，自此存儲、處理、傳輸?shù)臄?shù)據(jù)開始作為刑法的保護(hù)對象，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)的行為被納入刑法的調(diào)整范圍。同時(shí)還增設(shè)出售、非法提供公民個(gè)人信息罪，非法獲取公民個(gè)人信息罪，刑法保護(hù)的重點(diǎn)逐漸從信息系統(tǒng)轉(zhuǎn)變?yōu)閭€(gè)人信息。

《刑法修正案（九）》進(jìn)一步將出售、非法提供公民個(gè)人信息罪，非法獲取公民個(gè)人信息罪整合為侵犯公民個(gè)人信息罪。加大對公民個(gè)人信息安全的保護(hù)力度，突出體現(xiàn)在犯罪主體由從事特定職業(yè)的身份犯擴(kuò)大為一般主體，法定最高刑由三年以下有期徒刑或者拘役，上升為三年以上七年以下有期徒刑，將并處或者單處罰金也修改為并處罰金。大數(shù)據(jù)時(shí)代背景下，個(gè)人數(shù)據(jù)信息的價(jià)值和經(jīng)濟(jì)效益日益凸顯，數(shù)據(jù)交易成為大勢所趨，如何在數(shù)據(jù)開放和信息保護(hù)之間尋求平衡則是刑法必須面對的新課題。

三、數(shù)據(jù)交易不同環(huán)節(jié)中的個(gè)人信息犯罪

數(shù)據(jù)交易不只是狹義的數(shù)據(jù)交換，廣義上的數(shù)據(jù)交易還包括數(shù)據(jù)交換階段之前的數(shù)據(jù)收集、存儲和處理階段。對公民個(gè)人信息犯罪進(jìn)行橫向分析，可以從犯罪對象、犯罪行為類型、犯罪主體分別進(jìn)行研究。將數(shù)據(jù)交易分為幾個(gè)不同的階段或環(huán)節(jié)，對各環(huán)節(jié)行為分別進(jìn)行分析，是對個(gè)人信息犯罪的縱向研究。只有合法收集和獲取的個(gè)人信息才能進(jìn)行交易，明知信息來源不法仍進(jìn)行交易將構(gòu)成公民個(gè)人信息犯罪。

信息來源不法可分為直接來源不法和間接來源不法。直接來源不法即信息收集主體“監(jiān)守自盜”，將自己在工作職務(wù)中獲得的公民個(gè)人信息進(jìn)行非法提供或出售；間接來源不法是針對接受信息的一方，其購買、收受、交換的信息是以竊取等方法非法獲取的，接受方的信息是一種間接來源不法。信息直接來源不法主要發(fā)生在數(shù)據(jù)的收集、存儲和處理階段，數(shù)據(jù)交換階段中信息犯罪的不法來源則可能是直接來源不法或者間接來源不法，而控制直接來源不法是抑制間接不法的關(guān)鍵，所以研究數(shù)據(jù)交易中個(gè)人信息犯罪的重點(diǎn)在于分析數(shù)據(jù)交換之前的數(shù)據(jù)收集、存儲和處理階段中出現(xiàn)的信息違法犯罪問題。

（一）收集階段：方式和主體

數(shù)據(jù)交易的第一階段是數(shù)據(jù)信息收集階段，作為數(shù)據(jù)交易的源頭，收集的方式或內(nèi)容有一項(xiàng)不符合國家規(guī)定，便有可能構(gòu)成公民個(gè)人信息犯罪。

1.竊取或者以其他方法非法獲取公民個(gè)人信息

刑法第253條之一第三款是對于獲取型信息犯罪的規(guī)定，行為方式是“竊取或者以其他方法非法獲取”，其中“竊取”即隱秘取得，可類比普通盜竊行為，只是其特殊之處在于竊取對象是公民個(gè)人信息而非一般公私財(cái)產(chǎn)。司法解釋將“其他方法”具體規(guī)定為購買、收受、交換等方式，另外明確了特定行業(yè)如果違反國家規(guī)定，在履行職責(zé)或者提供服務(wù)過程中收集公民個(gè)人信息，也屬于非法獲取公民個(gè)人信息。

“非法獲取”并不等同于以非法手段獲取。“竊取”毫無疑問是一種非法手段，而“購買、收受、交換”以及特定行業(yè)領(lǐng)域的收集則是以和平方式獲取。如果從非法手段的角度，與“竊取”的行為方式顯然不具有相當(dāng)性；“非法獲取”強(qiáng)調(diào)的其實(shí)是行為性質(zhì)的違法，即“違反國家有關(guān)規(guī)定”，而非手段違法。非法獲取信息即無法律依據(jù)地收集信息，特定行業(yè)成為公民個(gè)人信息犯罪的行為主體，是因其違反了國家法律法規(guī)或部門規(guī)章關(guān)于獲取公民個(gè)人信息的相關(guān)規(guī)定，具體包括未經(jīng)個(gè)人同意的收集和超越服務(wù)范圍進(jìn)行收集。

2.特定行業(yè)信息收集主體的法定義務(wù)

不純正不作為犯罪以不作為之人具有保證人地位為構(gòu)成要件，“居于保證人地位的不作為之人，對于一定犯罪結(jié)果的發(fā)生，負(fù)有保證該結(jié)果不發(fā)生之義務(wù)”[5]620，而以不作為的消極方式導(dǎo)致結(jié)果發(fā)生與以作為的積極方式導(dǎo)致結(jié)果發(fā)生具有等價(jià)性，此為不純正不作為犯罪的責(zé)任基礎(chǔ)。侵犯公民個(gè)人信息罪既可以以作為方式構(gòu)成，也可以以不作為方式成立，如收集公民個(gè)人信息時(shí)，未明確告知收集目的、方式和范圍，成立不作為的“非法獲取”公民個(gè)人信息。以不作為方式構(gòu)成本罪的處罰依據(jù)，是負(fù)有法定義務(wù)的主體未履行該義務(wù)，從而導(dǎo)致危害后果的發(fā)生。根據(jù)《網(wǎng)絡(luò)安全法》規(guī)定，特定行業(yè)數(shù)據(jù)主體在信息收集階段具有以下法定義務(wù)：

（1）明示告知義務(wù)。手機(jī)中大部分應(yīng)用軟件為了實(shí)現(xiàn)其服務(wù)目的，都要求收集用戶的個(gè)人信息。用戶對于自己的個(gè)人信息有選擇被收集和不被收集的權(quán)利，同時(shí)對被收集的個(gè)人信息享有知情權(quán)，使用該應(yīng)用軟件不代表對信息收集的默示同意，所以在安裝使用前，應(yīng)用軟件應(yīng)當(dāng)在服務(wù)條款中告知信息收集的范圍和目的，由用戶自行選擇設(shè)置或者取消對信息的收集。

（2）有限收集義務(wù)。根據(jù)《網(wǎng)絡(luò)安全法》第41條第二款的規(guī)定，信息收集主體收集的個(gè)人信息不得“與其提供的服務(wù)無關(guān)”①《網(wǎng)絡(luò)安全法》第41條第二款：“網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息?！?，即不得收集其提供服務(wù)所必需的信息之外的其他信息，并且不得將收集的個(gè)人信息用于提供服務(wù)以外的目的。特定行業(yè)信息收集者在服務(wù)內(nèi)容變更或者隱私條款發(fā)生更新等情況下，還應(yīng)在服務(wù)協(xié)議中重新進(jìn)行提示，再次征得用戶同意之后方可繼續(xù)收集公民個(gè)人信息。一次授權(quán)、永久有效而造成實(shí)際收集的范圍和方式與先前約定的內(nèi)容不一致的，會導(dǎo)致?lián)p害用戶對其信息被收集和使用的知情權(quán)。

（二）存儲和處理階段：作為方式與不作為方式

醫(yī)療、金融、交通行業(yè)收集并存儲著億萬條包含商業(yè)秘密、個(gè)人隱私的企業(yè)信息和公民個(gè)人信息，通過對信息的整理和分析，以提供更有針對性的優(yōu)質(zhì)服務(wù)。然而對信息安全管理的重視卻跟不上對信息與日俱增的應(yīng)用需求，脆弱的信息防護(hù)系統(tǒng)成為黑客和企業(yè)內(nèi)部人員覬覦的目標(biāo)，因此數(shù)據(jù)泄露事件頻發(fā)。重要信息的泄露將給公民的人身和財(cái)產(chǎn)安全帶來巨大的安全隱患，特定行業(yè)作為信息收集者和信息應(yīng)用者，應(yīng)當(dāng)通過采用數(shù)據(jù)加密、數(shù)據(jù)脫敏、風(fēng)險(xiǎn)防控措施等技術(shù)手段，擔(dān)負(fù)起管理與保障信息安全的義務(wù)，不履行該義務(wù)則可能構(gòu)成不作為的侵犯公民個(gè)人信息罪或拒不履行網(wǎng)絡(luò)安全義務(wù)罪。

1.黑客、企業(yè)“內(nèi)鬼”——作為方式的個(gè)人信息犯罪

各行業(yè)領(lǐng)域收集的信息經(jīng)整理分類后形成數(shù)據(jù)庫，不同于傳統(tǒng)的財(cái)產(chǎn)犯罪，行為人遠(yuǎn)程操作就可以攻破存在技術(shù)漏洞的信息系統(tǒng)，未作匿名化處理的數(shù)據(jù)信息一覽無余。而且在開放的互聯(lián)網(wǎng)空間，遭到泄露的個(gè)人信息經(jīng)過大范圍的公開傳播，危害后果將成倍放大。入侵?jǐn)?shù)據(jù)信息系統(tǒng)，非法獲取數(shù)據(jù)的行為不必然成立侵害公民個(gè)人信息罪，根據(jù)獲取數(shù)據(jù)的性質(zhì)屬性不同，針對公民個(gè)人信息以外的數(shù)據(jù)的犯罪則可能成立非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。

在一起案件中，行為人陳某甲、陳某乙通過技術(shù)手段侵入計(jì)算機(jī)信息系統(tǒng)，非法獲取他人具有交易價(jià)值的游戲賬號，其行為構(gòu)成非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪①浙江省臨海市人民法院〔2015〕臺臨刑初字第1155號判決書。。存儲于計(jì)算機(jī)信息系統(tǒng)中的公民個(gè)人信息和游戲賬號，從本質(zhì)屬性上都屬于數(shù)據(jù)，但數(shù)據(jù)作為一種信息載體，具體包括國家秘密、商業(yè)秘密和公民個(gè)人信息等反映不同法益的數(shù)據(jù)，根據(jù)所侵犯的法益，分別成立非法獲取國家秘密罪，為境外竊取、刺探、收買、非法提供國家秘密、情報(bào)罪，侵犯商業(yè)秘密罪，侵犯公民個(gè)人信息罪等。而非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪“重在調(diào)整對于信息系統(tǒng)的侵害和破壞，而不是根據(jù)技術(shù)對象的不同進(jìn)行區(qū)別保護(hù)?！盵6]112侵害公民個(gè)人信息罪雖然也可以表現(xiàn)為以侵入計(jì)算機(jī)信息系統(tǒng)的方式竊取公民個(gè)人信息，但刑法重點(diǎn)保護(hù)的法益不是被侵入的技術(shù)系統(tǒng)資源，而是系統(tǒng)中所存儲的具體信息。

可以從侵害對象與侵害手段明確兩罪的界限：一是判斷侵害的對象是否是具有身份識別性的公民個(gè)人信息；二是判斷所采取的侵害手段，非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪只能通過非法侵入或者其他技術(shù)手段的方式來獲取數(shù)據(jù)，而侵害公民個(gè)人信息罪則不限于非法侵入方式，還包括非法出售、提供和購買、收受等。

2.信息管理者——不作為方式的個(gè)人信息犯罪

企業(yè)、政府和其他服務(wù)平臺出于開展事務(wù)的需要，或?yàn)榘l(fā)掘利用數(shù)據(jù)的潛在價(jià)值，同樣收集了大量公民個(gè)人信息。信息持有者對于防止信息安全風(fēng)險(xiǎn)的發(fā)生負(fù)有保證人義務(wù)，因違反信息安全管理義務(wù)而導(dǎo)致信息安全事故發(fā)生的，則可能構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。侵犯公民個(gè)人信息罪強(qiáng)調(diào)作為責(zé)任，重在打擊主動出售或者提供個(gè)人信息的行為，而網(wǎng)絡(luò)服務(wù)提供者對于信息安全管理的不作為也應(yīng)引起重視。數(shù)據(jù)的開發(fā)與信息安全的保護(hù)并非沖突對立，相反，管理信息安全正是為了更好地可持續(xù)開發(fā)數(shù)據(jù)，試想信息系統(tǒng)總是遭受攻擊的企業(yè)又如何高效運(yùn)營數(shù)據(jù)產(chǎn)業(yè)呢？

根據(jù)我國《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定，信息管理者的作為義務(wù)來源主要包括：

（1）變更、刪除信息義務(wù)。刪除權(quán)是個(gè)人信息權(quán)的重要組成部分,《網(wǎng)絡(luò)安全法》明確賦予個(gè)人在一定情況下有請求刪除或者變更其個(gè)人信息的權(quán)利。與歐盟《通用數(shù)據(jù)保護(hù)條例》②歐盟《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）將于2018年5月25日正式施行，替代1995年頒布的《個(gè)人數(shù)據(jù)保護(hù)指令》（Data Protection Directive）。（以下簡稱“《條例》”）規(guī)定的刪除權(quán)（又稱“被遺忘權(quán)”）①《通用數(shù)據(jù)保護(hù)條例》第17條確立了被遺忘權(quán)規(guī)則，核心內(nèi)容有：當(dāng)用戶依法撤回同意或者數(shù)據(jù)控制者不再有合法理由繼續(xù)處理數(shù)據(jù)時(shí)，用戶有權(quán)要求刪除數(shù)據(jù)。如果數(shù)據(jù)控制者將個(gè)人數(shù)據(jù)進(jìn)行了公開傳播，他應(yīng)該采取所有合理的方式予以刪除（包括采取可用的技術(shù)手段和投入合理成本），數(shù)據(jù)控制者有責(zé)任通知處理此數(shù)據(jù)的其他數(shù)據(jù)控制者，刪除關(guān)于數(shù)據(jù)主體所主張的個(gè)人數(shù)據(jù)鏈接、復(fù)制件。相比，我國規(guī)定的信息刪除權(quán)是一種狹義的刪除權(quán)。從刪除權(quán)的行使條件上看，歐盟《條例》規(guī)定只要用戶撤回同意或者數(shù)據(jù)控制者沒有合理理由再繼續(xù)保留該數(shù)據(jù)，該數(shù)據(jù)就應(yīng)當(dāng)被刪除；而我國網(wǎng)絡(luò)安全法第43條將條件限定為違反法律法規(guī)或者雙方約定收集、使用個(gè)人信息，所以當(dāng)信息收集和使用符合法律法規(guī)且按照約定進(jìn)行，用戶便無權(quán)撤回已作出的信息被收集和使用的同意。另外，我國《電子商務(wù)法（草案）》規(guī)定了對于信息的保存期限，信息收集主體應(yīng)當(dāng)在法定或約定的保存期限屆滿時(shí)，主動或者依用戶請求將相關(guān)信息刪除、停止處理或者銷毀。比如用戶在注銷賬戶后，信息收集主體即無正當(dāng)理由繼續(xù)保留和處理該用戶信息，應(yīng)當(dāng)進(jìn)行及時(shí)刪除。

（2）數(shù)據(jù)加密與數(shù)據(jù)脫敏義務(wù)。數(shù)據(jù)加密和數(shù)據(jù)脫敏技術(shù)通過存儲加密、傳輸加密、匿名化處理等技術(shù)手段，防止數(shù)據(jù)被泄露，保護(hù)敏感性信息的安全。存儲、傳輸中的數(shù)據(jù)經(jīng)過加密，即使被外界不法獲取，因無法破譯也不能識別和利用其中的信息，從而減少了數(shù)據(jù)泄露引發(fā)的危害后果。但如果數(shù)據(jù)是被內(nèi)部人員所獲取，數(shù)據(jù)加密對掌握破譯方法的內(nèi)部工作人員便失去作用。為防止內(nèi)部工作人員竊取數(shù)據(jù)信息，企業(yè)應(yīng)構(gòu)建內(nèi)部防控制度，給有機(jī)會接觸到個(gè)人信息的工作人員設(shè)立訪問權(quán)限，使其只能對職務(wù)管轄范圍內(nèi)的數(shù)據(jù)進(jìn)行操作和控制，從而降低數(shù)據(jù)被泄露的風(fēng)險(xiǎn)。

（3）風(fēng)險(xiǎn)防范義務(wù)?！毒W(wǎng)絡(luò)安全法》為強(qiáng)化服務(wù)管理平臺的主體責(zé)任，明確規(guī)定在危害網(wǎng)絡(luò)安全事件發(fā)生時(shí)，應(yīng)當(dāng)立即啟動應(yīng)急預(yù)案并采取補(bǔ)救措施；在發(fā)生或者可能發(fā)生信息泄露等安全事故的情況下，也應(yīng)當(dāng)立即采取補(bǔ)救措施?？梢?，信息管理者的風(fēng)險(xiǎn)防范義務(wù)不僅表現(xiàn)在信息安全事故發(fā)生后的補(bǔ)救義務(wù)，還體現(xiàn)在安全風(fēng)險(xiǎn)發(fā)生前，為防止數(shù)據(jù)泄露、丟失而采取必要技術(shù)措施加以預(yù)防。“支付寶針對用戶個(gè)人信息和資金被非法獲取的風(fēng)險(xiǎn)，專門制定了風(fēng)險(xiǎn)防控條款。通過記錄位置信息、IP地址、移動設(shè)備識別碼等信息，根據(jù)用戶的使用習(xí)慣進(jìn)行對比分析，以此判斷安全風(fēng)險(xiǎn)?！雹谙啾扔谛畔踩鹿拾l(fā)生后的被動補(bǔ)救，加強(qiáng)對安全風(fēng)險(xiǎn)的監(jiān)測與評估，防患于未然，主動應(yīng)對風(fēng)險(xiǎn)隱患的做法更值得提倡和借鑒。

（三）數(shù)據(jù)交換階段：非法出售、提供或者購買、收受公民個(gè)人信息

公民個(gè)人信息經(jīng)過匯總分析，可以用于企業(yè)的精準(zhǔn)營銷，提高市場競爭力，也可以被偵查機(jī)關(guān)用于案件偵查和犯罪預(yù)測，如根據(jù)以往的犯罪案件分析得出犯罪高發(fā)地區(qū)，從而加強(qiáng)對該地區(qū)的巡查力度，以達(dá)到偵破案件與預(yù)防犯罪的目的。但公民個(gè)人信息是一把“雙刃劍”，“數(shù)據(jù)黑市”的存在讓公民信息被非法獲取和利用，由此引發(fā)諸如電信詐騙等一系列違法犯罪行為。

1.違反國家規(guī)定出售、提供公民個(gè)人信息

各行業(yè)領(lǐng)域開展業(yè)務(wù)和提供服務(wù)都可能應(yīng)用到其他行業(yè)的數(shù)據(jù)，而數(shù)據(jù)交易滿足了數(shù)據(jù)應(yīng)用方對于數(shù)據(jù)的市場需求。數(shù)據(jù)交易平臺應(yīng)當(dāng)審查交易主體的資質(zhì)和信譽(yù)，隱去交易數(shù)據(jù)中的個(gè)人敏感信息，把好數(shù)據(jù)流向外部的最后一道安全關(guān)。

（1）非法獲取信息后又出售、提供的：違法后果不重復(fù)評價(jià)

假設(shè)甲從交易平臺合法購買公民住宿信息480條，又非法獲取公民住宿信息10條，并將總計(jì)490條信息非法出售給乙。該案中，甲存在非法獲取公民個(gè)人信息和非法出售公民個(gè)人信息的違法行為，其中非法獲取的信息共10條，非法出售的信息共490條。然而不能簡單地將其合并為500條，并認(rèn)為甲的行為達(dá)到侵犯公民個(gè)人信息罪的入罪標(biāo)準(zhǔn)。因?yàn)閷τ谄渲械?0條公民個(gè)人信息進(jìn)行了非法獲取和非法出售兩次否定性評價(jià)，雖然“兩個(gè)不法行為應(yīng)當(dāng)受到兩次不法評價(jià)”[7]9，但由于只

②吳丹君，王渝偉，周天一：《四部委評審微信淘寶隱私條款，互聯(lián)網(wǎng)企業(yè)隱私政策評析》http://www.weixinnu.com/article/59b1564c604 f5add5fbfd7bf，2017-09-07.存在一種法益受到侵害即該10條信息所對應(yīng)的公民人身和財(cái)產(chǎn)安全，所以只能將針對這10條公民個(gè)人信息的不法行為評價(jià)為非法獲取或者非法出售。

司法解釋第11條規(guī)定：“非法獲取公民個(gè)人信息后又出售或者提供的，公民個(gè)人信息的條數(shù)不重復(fù)計(jì)算?！睂υ摪钢械?0條個(gè)人信息，若以非法出售認(rèn)定，甲最終的違法行為只有非法出售公民個(gè)人信息490條；若以非法獲取認(rèn)定，甲最終的違法行為包括非法獲取公民個(gè)人信息10條和非法出售公民個(gè)人信息480條。無論以非法獲取還是以非法出售定性，都未達(dá)到“情節(jié)嚴(yán)重”標(biāo)準(zhǔn)，所以甲不構(gòu)成侵犯公民個(gè)人信息罪。

（2）不同類型公民個(gè)人信息按比例換算合計(jì)達(dá)到入罪標(biāo)準(zhǔn)

如果非法獲取公民住宿信息480條，征信信息30條，從司法解釋對于不同類型信息的定罪標(biāo)準(zhǔn)分別來看，均未達(dá)到“情節(jié)嚴(yán)重”的要求。但是根據(jù)司法解釋對于非法獲取、出售、提供征信信息500條和住宿信息500條的入罪規(guī)定，如果480條公民住宿信息再加上30條住宿信息便達(dá)到“情節(jié)嚴(yán)重”的要求，舉重以明輕，加上30條征信信息更應(yīng)認(rèn)為達(dá)到入罪要求。

如果將上述例子變換為：非法獲取公民住宿信息400條，征信信息10條，即使將征信信息視為住宿信息，也達(dá)不到500條的入罪要求。但根據(jù)司法解釋第五條第一款第六項(xiàng)“相應(yīng)比例”①《最高人民法院 最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第5條第一款：“……（六）數(shù)量未達(dá)到第三項(xiàng)至第五項(xiàng)規(guī)定標(biāo)準(zhǔn)，但是按相應(yīng)比例合計(jì)達(dá)到有關(guān)數(shù)量標(biāo)準(zhǔn)的”。之規(guī)定，一條征信信息可以按10條住宿信息計(jì)算②從司法解釋對“情節(jié)嚴(yán)重”的規(guī)定，即公民征信信息等50條以上和公民住宿信息等500條以上推斷得出。，最后合計(jì)達(dá)到500條，所以符合“情節(jié)嚴(yán)重”標(biāo)準(zhǔn)。

（3）特定行業(yè)主體非法出售、提供公民個(gè)人信息

“公民個(gè)人信息泄露的源頭，一是黑客入侵，二是行業(yè)內(nèi)鬼?！雹酃膊浚骸缎袠I(yè)內(nèi)鬼和黑客成個(gè)人信息泄露源頭》，http://news.sina.com.cn/o/2017-09-18/doc-ifykynia8026712.shtml，2017-09-18.數(shù)據(jù)的密集區(qū)也往往成為信息犯罪的高發(fā)區(qū)，企業(yè)內(nèi)部人員泄露公民個(gè)人信息更是防不勝防，所以對于特定行業(yè)工作人員利用職務(wù)便利，違法收集或者將在履行職責(zé)、提供服務(wù)過程中獲得的信息非法提供、出售的行為，刑法作出了從重處罰規(guī)定。首先在入罪標(biāo)準(zhǔn)方面，司法解釋明確該類主體認(rèn)定“情節(jié)嚴(yán)重”時(shí)，對于數(shù)量和數(shù)額的要求減半。其次在處罰力度上，在具有同等犯罪行為和犯罪情節(jié)的情況下，對于該類主體應(yīng)當(dāng)從重處罰。

需要注意的是，對于特定行業(yè)主體的從嚴(yán)處理是針對履行職責(zé)、提供服務(wù)的職務(wù)行為，而非根據(jù)主體身份。按照“職責(zé)便利說”[8]57，要求實(shí)施的行為在其職責(zé)范圍內(nèi)且對公民個(gè)人信息具有一定權(quán)限，如果掌握公民個(gè)人信息的內(nèi)部人員采取竊取手段，獲取不屬于其訪問權(quán)限的公民個(gè)人信息，則不是在履行職責(zé)過程中實(shí)施的信息犯罪。

2.違反國家規(guī)定購買、收受、交換公民個(gè)人信息

（1）為合法經(jīng)營目的非法購買、收受公民個(gè)人信息

司法解釋第6條是對第5條第一款第五項(xiàng)根據(jù)是否出于合法經(jīng)營目的作出的特別規(guī)定，所以對于非法購買、收受“第三項(xiàng)、第四項(xiàng)規(guī)定以外的公民個(gè)人信息”的行為，若出于合法經(jīng)營目的，則不適用第5條“五千條以上”的一般規(guī)定，而應(yīng)直接適用第6條“獲利五萬元以上”和“曾因侵犯公民個(gè)人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法購買、收受公民個(gè)人信息”④《最高人民法院 最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第6條：“為合法經(jīng)營活動而非法購買、收受本解釋第五條第一款第三項(xiàng)、第四項(xiàng)規(guī)定以外的公民個(gè)人信息，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的‘情節(jié)嚴(yán)重’：（一）利用非法購買、收受的公民個(gè)人信息獲利五萬元以上的；（二）曾因侵犯公民個(gè)人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法購買、收受公民個(gè)人信息的；（三）其他情節(jié)嚴(yán)重的情形。的規(guī)定?！靶塘P對犯罪行為人權(quán)利和利益的剝奪應(yīng)當(dāng)與其犯罪行為所侵害的權(quán)利和利益的性質(zhì)相適應(yīng)”[9]151，對于主觀上是出于合法經(jīng)營目的的犯罪行為，以經(jīng)營盈利數(shù)額而非公民信息的具體數(shù)量來衡量罪行輕重，更符合罪刑相適應(yīng)原則的要求。

（2）本罪與非法經(jīng)營罪的界限

對于單位構(gòu)成侵犯個(gè)人信息罪的，結(jié)合“為合法經(jīng)營目的而非法購買、收受”的司法解釋第6條的特殊標(biāo)準(zhǔn)進(jìn)行認(rèn)定。在一起單位作為行為主體構(gòu)成公民個(gè)人信息犯罪的案件中，“某營銷服務(wù)有限公司（從事合法營銷推廣服務(wù)）總經(jīng)理簽署非法采購信息合同，以購買方式非法獲取公民個(gè)人信息，被告單位和作為被告單位直接負(fù)責(zé)的主管人員及直接責(zé)任人員的被告人分別構(gòu)成‘非法獲取公民個(gè)人信息罪’?！雹俦贝蠓▽毸痉ò咐吧虾Ａ_維鄧白氏營銷服務(wù)有限公司非法獲取公民個(gè)人信息案”。該案審理時(shí)《刑法修正案（九）》尚未出臺，非法獲取公民個(gè)人信息罪還未被侵犯公民個(gè)人信息罪所取代。由于該公司依法設(shè)立且從事合法經(jīng)營業(yè)務(wù)，“因單位負(fù)責(zé)人在履行業(yè)務(wù)活動中決策錯(cuò)誤，而實(shí)施了違反刑法的行為”[10]45，按照單位犯罪理論，被告單位負(fù)責(zé)人的行為屬于單位行為，按照雙罰制的處罰規(guī)則，對單位及其直接負(fù)責(zé)的主管人員、直接責(zé)任人員分別予以定罪和處罰。

而在另一起案件中，“被告人成立商務(wù)調(diào)查有限公司，專門從事調(diào)查個(gè)人隱私信息等業(yè)務(wù)，嚴(yán)重?cái)_亂社會主義市場經(jīng)濟(jì)秩序，依法構(gòu)成非法經(jīng)營罪?！雹诒本┦谐枀^(qū)人民法院〔2010〕朝刑初字第785號刑事判決書。該案中的行為人為進(jìn)行違法犯罪活動而專門設(shè)立公司，且以實(shí)施犯罪為主要活動，應(yīng)按照刑法中對于自然人犯罪的規(guī)定，以非法經(jīng)營罪定罪處罰，而不認(rèn)定為單位犯罪[11]101。

四、數(shù)據(jù)交易中服務(wù)平臺的不作為責(zé)任

非法出售、提供與非法獲取公民個(gè)人信息，從表面上看都是作為方式，那么侵犯公民個(gè)人信息罪是否只能以作為而不能以不作為方式構(gòu)成？以不作為方式成立本罪，與拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的界限又如何？“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”是否會導(dǎo)致拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪成為“備而無用”[12]104的空設(shè)罪名？

（一）拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的認(rèn)定標(biāo)準(zhǔn)

1.作為義務(wù)的產(chǎn)生前提——法益侵害

《網(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)主動采取必要技術(shù)措施確保信息安全，并在事故發(fā)生時(shí)立即補(bǔ)救，對于其用戶發(fā)布的違法信息，應(yīng)當(dāng)停止傳輸，防止信息擴(kuò)散。根據(jù)司法解釋第9條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者同樣可以成為個(gè)人信息犯罪的主體，不履行信息網(wǎng)絡(luò)安全管理義務(wù)且在行政監(jiān)管部門責(zé)令后仍不履行，并致使用戶個(gè)人信息泄露，造成嚴(yán)重后果的，構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。該罪強(qiáng)調(diào)網(wǎng)絡(luò)服務(wù)提供者對其收集或者在其平臺發(fā)布的信息負(fù)有安全保障和管理義務(wù)，但大數(shù)據(jù)時(shí)代信息浩如煙海，過分要求服務(wù)主體的監(jiān)管責(zé)任，勢必致使信息發(fā)展停滯。明確本罪對于“不作為”程度的邊界，是平衡信息安全與發(fā)展之間緊張關(guān)系的關(guān)鍵。

在“唐某訴上海億庶信息科技有限公司網(wǎng)絡(luò)侵權(quán)責(zé)任糾紛”③上海市第一中級人民法院〔2013〕滬一中民一(民)終字第3105號民事判決書。案中，唐某要求億庶公司（“應(yīng)屆生求職網(wǎng)”的運(yùn)營商）刪除其他網(wǎng)絡(luò)用戶在“應(yīng)屆生求職網(wǎng)”上發(fā)布的其姓名、電話等個(gè)人信息的帖子和攻擊其為“騙子”的不實(shí)評論。但億庶公司在接到唐某申訴后僅刪除了涉及其個(gè)人信息的回復(fù)帖，而未刪除其余對其進(jìn)行人身攻擊的帖子，唐某遂認(rèn)為該公司的不作為構(gòu)成侵權(quán)。但經(jīng)審理查明，唐某在從事專利代理業(yè)務(wù)中可能存在不規(guī)范行為，評論其為“騙子”的帖子雖然言辭偏激，但并非完全不實(shí)。所以法院認(rèn)為億庶公司作為網(wǎng)站的運(yùn)營管理者，及時(shí)刪除有關(guān)唐某個(gè)人信息的帖子，已經(jīng)維護(hù)了唐某的個(gè)人利益，不構(gòu)成侵權(quán)。

在該案中，網(wǎng)絡(luò)運(yùn)營商雖未完全依用戶請求刪除所有對其不利的信息，但這種事實(shí)層面上的不作為并不構(gòu)成法律意義上的“不作為”，因?yàn)樽鳛榱x務(wù)的產(chǎn)生是為了保護(hù)合法利益，而沒有利益受損便無保護(hù)義務(wù)，沒有作為義務(wù)便無所謂構(gòu)成不作為犯罪。因此認(rèn)定違反作為義務(wù)，首先要判斷有法益受到侵害，然后再考察其是否及時(shí)采取了必要措施，防止不法侵害的擴(kuò)大。

2.“拒不履行”行為應(yīng)將已履行但仍不能避免危害后果發(fā)生排除在外

拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪懲罰的是消極不履行所負(fù)注意義務(wù)因而造成嚴(yán)重后果的行為，對于已經(jīng)主動履行或者經(jīng)監(jiān)管部門責(zé)令后又履行的，即使最終仍發(fā)生用戶信息大量泄漏的結(jié)果，因其為使損害降至最低付出努力，認(rèn)定其已經(jīng)承擔(dān)了相應(yīng)的信息安全管理義務(wù)，按照“客觀歸責(zé)理論，對于本身降低法益風(fēng)險(xiǎn)的行為，排除其與具體結(jié)果發(fā)生之間的因果關(guān)系”[13]350-352。

3.網(wǎng)絡(luò)服務(wù)提供者的主觀心態(tài)

不能簡單地認(rèn)為不作為主觀上都是過失，作為都是故意，“作為和不作為是從客觀表現(xiàn)上對危害行為進(jìn)行的劃分，而故意與過失則是對主觀心理態(tài)度進(jìn)行劃分，實(shí)際上不管是作為還是不作為，都有故意形態(tài)，也有過失形態(tài)?！盵11]69本罪行為主體的“主觀狀態(tài)是一個(gè)動態(tài)的變化過程”[13]29，在經(jīng)行政監(jiān)管部門責(zé)令其改正之前，“不履行”相應(yīng)安全管理義務(wù)的心理態(tài)度很難進(jìn)行客觀證明，但可以明確的是在經(jīng)責(zé)令采取改正措施后，其已經(jīng)明知自己對信息安全管理不足，可能因此發(fā)生用戶信息被泄露的后果，但“拒不改正”時(shí)的心態(tài)是一種放任的間接故意。

（二）“經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正”的必要性分析

在刑法制裁開啟之前，必須先經(jīng)過監(jiān)管部門行政處罰，這一規(guī)定表明了在行政處罰和刑事處罰的二元處罰結(jié)構(gòu)中，行政違法與刑事違法之間的密切聯(lián)系。以刑法中的空白罪狀為例，“違反法律、行政法規(guī)規(guī)定的……”其中對于犯罪行為的描述與行政法中所規(guī)定的違法行為，在行為性質(zhì)上并沒有區(qū)別，而只是違法嚴(yán)重程度的差異。刑事違法與行政違法畢竟調(diào)整范圍不同、制裁力度迥然不同，為了區(qū)別二者，“必須強(qiáng)化刑事立法與司法解釋中的定量因素”[15]59，所以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪明確規(guī)定在構(gòu)成行政違法的前提下，還需要有用戶信息泄露導(dǎo)致嚴(yán)重后果的情節(jié)。同時(shí)，行政處罰前置也是刑法謙抑性的要求，“在運(yùn)用行政法難以有效規(guī)制違法行為的嚴(yán)重危害性時(shí)，刑法才作為部門法的強(qiáng)有力后盾發(fā)揮作用”[16]141，體現(xiàn)了其作為最嚴(yán)厲制裁手段的最后性和保障性功能。

先窮盡行政救濟(jì)，方可啟動刑法保護(hù)的立法規(guī)定，可能因保護(hù)滯后，錯(cuò)失補(bǔ)救的最佳時(shí)機(jī)，從而導(dǎo)致法益得不到有效救濟(jì)。有學(xué)者擔(dān)心“將犯罪成立與否和監(jiān)管部門是否發(fā)出整改命令，以及網(wǎng)絡(luò)服務(wù)商是否執(zhí)行該命令相聯(lián)系，網(wǎng)絡(luò)服務(wù)商比監(jiān)管部門更清楚其平臺存在的信息泄露風(fēng)險(xiǎn)，但卻可能為自己怠于履行管理義務(wù)提出監(jiān)管部門未責(zé)令其改正的抗辯?！盵17]141-142筆者認(rèn)為該罪懲罰的是網(wǎng)絡(luò)服務(wù)提供主體消極不履行所負(fù)安全管理義務(wù)的行為，而義務(wù)是否履行的標(biāo)準(zhǔn)不應(yīng)根據(jù)危害結(jié)果進(jìn)行判斷，倘若本罪之成立不以行政部門的監(jiān)管為必要，而是直接以不履行義務(wù)導(dǎo)致嚴(yán)重后果發(fā)生認(rèn)定構(gòu)成犯罪，則是危險(xiǎn)的結(jié)果歸責(zé)刑法。

（三）拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪與不作為侵犯公民個(gè)人信息罪的界限

網(wǎng)絡(luò)服務(wù)提供者不履行信息網(wǎng)絡(luò)安全管理義務(wù)，造成用戶信息泄露，后果嚴(yán)重的，在一定情況下可以構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，但是否還構(gòu)成侵犯公民個(gè)人信息罪中以不作為方式提供用戶個(gè)人信息？拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪法規(guī)定最高刑為三年有期徒刑，而侵犯公民個(gè)人信息罪的法定最高刑為七年有期徒刑。若認(rèn)為只要負(fù)有法律法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，能夠履行而拒不履行，并且因此導(dǎo)致危害后果發(fā)生的，都認(rèn)定為以不作為方式構(gòu)成侵犯公民個(gè)人信息罪，勢必將刑法引向重刑主義的不歸路。因此，除了滿足負(fù)有法定義務(wù)，能夠履行而拒不履行的客觀標(biāo)準(zhǔn)，還要求這種不作為與出售、提供之積極作為之間具有同等價(jià)值。

與作為犯罪具有等價(jià)性的不作為，首先在對法益的侵害程度上必須與作為等值。大谷實(shí)認(rèn)為：“不作為只有能夠產(chǎn)生與作為犯的實(shí)行行為所產(chǎn)生的同等程度法益侵害，才能視為實(shí)行行為?！盵18]131但是，不能僅以危害結(jié)果的等價(jià)值便認(rèn)定作為方式與不作為方式具有等價(jià)性，比如“同樣是列車顛覆，以不扳道岔的不作為和采用破壞鐵軌的作為方式，造成的危害程度并沒有差別”[11]70，可是兩種手段的危險(xiǎn)性卻有很大不同。如果因網(wǎng)絡(luò)服務(wù)提供者對信息安全監(jiān)管不力，黑客利用該平臺存在的技術(shù)漏洞竊取大量用戶個(gè)人信息，是否可以據(jù)此認(rèn)為網(wǎng)絡(luò)服務(wù)平臺以不作為方式通過網(wǎng)絡(luò)發(fā)布公民個(gè)人信息？顯然不能。雖然網(wǎng)絡(luò)服務(wù)提供者對其用戶信息具有安全管理義務(wù)，但“其不作為對于危害結(jié)果沒有實(shí)質(zhì)的、排他的控制，行為人對于該法益的保護(hù)不具有排他的保證地位”[19]88，或者說即使網(wǎng)絡(luò)服務(wù)平臺采取了必要的安全防護(hù)措施，也不絕對就能抵擋黑客的惡意入侵，所以其未履行安全管理義務(wù)的行為與通過網(wǎng)絡(luò)發(fā)布個(gè)人信息的作為，很難說對于結(jié)果有同樣的排他的支配，所以不履行安全管理義務(wù)的行為，與不作為的提供用戶信息不具有等價(jià)性，無論最終用戶信息泄露造成的后果多嚴(yán)重，都不應(yīng)當(dāng)構(gòu)成不作為的侵害公民個(gè)人信息罪。

政府部門、金融、電信、醫(yī)療、交通等行業(yè)通過數(shù)據(jù)交易進(jìn)行數(shù)據(jù)分析，以挖掘出數(shù)據(jù)背后隱藏的深層價(jià)值。而在數(shù)據(jù)交易過程中，個(gè)人信息安全面臨著諸多威脅，具體體現(xiàn)在數(shù)據(jù)的收集、存儲、傳輸以及數(shù)據(jù)泄露后的非法利用環(huán)節(jié)。非法數(shù)據(jù)交易已經(jīng)形成一條灰色產(chǎn)業(yè)鏈，在利益的驅(qū)使下置公民的個(gè)人信息于危險(xiǎn)之地，即使是正規(guī)數(shù)據(jù)交易平臺，也存在一定的信息安全風(fēng)險(xiǎn)。為了有效減少并預(yù)防信息違法犯罪的發(fā)生，網(wǎng)絡(luò)服務(wù)平臺應(yīng)當(dāng)依法承擔(dān)信息網(wǎng)絡(luò)安全管理義務(wù)，同時(shí)，作為數(shù)據(jù)信息收集和處理者的行業(yè)部門必須切實(shí)履行數(shù)據(jù)安全管理義務(wù)，在保障信息安全的前提下開展高效的數(shù)據(jù)交易。

[參 考 文 獻(xiàn)]

[1]李文蓮，夏健明.基于“大數(shù)據(jù)”的商業(yè)模式創(chuàng)新[J].中國工業(yè)經(jīng)濟(jì)，2013，(5).

[2]于志剛.“大數(shù)據(jù)”時(shí)代計(jì)算機(jī)數(shù)據(jù)的財(cái)產(chǎn)化與刑法保護(hù)[J].青海社會科學(xué)，2013，(3).

[3]鄭毅.信息消費(fèi)時(shí)代個(gè)人信息安全的法律保護(hù)[J].鄭州大學(xué)學(xué)報(bào)：哲學(xué)社會科學(xué)版，2014，(4).

[4]張明楷.法益初論[M].北京：中國政法大學(xué)出版社，2003.

[5]許玉秀.當(dāng)代刑法思潮[M].北京：中國民主法制出版社，2005.

[6]于志剛.大數(shù)據(jù)時(shí)代數(shù)據(jù)犯罪的制裁思路[J].中國社會科學(xué)，2014，(10).

[7]陳興良.禁止重復(fù)評價(jià)研究[J].現(xiàn)代法學(xué)，1994，(1).

[8]劉佳琦.“利用職務(wù)上的便利”的司法誤區(qū)與規(guī)范性解讀——基于職務(wù)侵占罪雙重法益的立場[J].政治與法律，2015，(1).

[9]陳興良.規(guī)范刑法學(xué)[M].北京：中國人民大學(xué)出版社，2015.

[10]黎宏.單位犯罪的若干問題新探[J].法商研究，2003，(4).

[11]高銘暄，馬克昌.刑法學(xué)（第 6版）[M].北京：北京大學(xué)出版社，2014.

[12]李懷勝.公民個(gè)人信息的刑法保護(hù)思路[J].中國信息安全，2017,(1).

[13][德]漢斯·海因里?！ひ惪耍旭R斯·魏根特.德國刑法教科書（總論）[M].徐久生，譯，北京：中國法制出版社，2001.

[14]李源粒.網(wǎng)絡(luò)安全與平臺服務(wù)商的刑事責(zé)任[J].法學(xué)論壇，2014，(6).

[15]莊乾龍.環(huán)境刑法定性之行政從屬性——兼評《兩高關(guān)于污染環(huán)境犯罪解釋》[J].中國地質(zhì)大學(xué)學(xué)報(bào)：社會科學(xué)版，2015，(4).

[16]田宏杰.行政犯罪的歸責(zé)程序及其證據(jù)轉(zhuǎn)化——兼及行刑銜接的程序設(shè)計(jì)[J].北京大學(xué)學(xué)報(bào)：哲學(xué)社會科學(xué)版，2014，(2).

[17]李本燦.拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的兩面性解讀[J].法學(xué)論壇，2017，(3).

[18][日]大谷實(shí).刑法講義總論（第 2版）[M].黎宏，譯，北京：中國人民大學(xué)出版社，2008.

[19]陳興良，周光權(quán).刑法學(xué)的現(xiàn)代展開（第2版）[M].北京：中國人民大學(xué)出版社，2015.