許亞潔

新冠肺炎疫情加速“大數(shù)據(jù)”時(shí)代的進(jìn)程，盡管數(shù)據(jù)共享是數(shù)據(jù)經(jīng)濟(jì)發(fā)展的催化劑，但因此造成的數(shù)據(jù)泄露、數(shù)據(jù)濫用等數(shù)據(jù)安全問題日益凸顯。2021 年國內(nèi)外多次發(fā)生數(shù)據(jù)泄露事件，例如6 億余條個(gè)人信息被犯罪團(tuán)伙利用境外聊天工具販賣、淘寶12 億條客戶信息遭爬取、Facebook 超5 億用戶個(gè)人數(shù)據(jù)遭到泄露等。個(gè)人信息是可以直接或間接識別個(gè)人的信息，與隱私、名譽(yù)等人格利益息息相關(guān)。當(dāng)個(gè)人信息以數(shù)據(jù)的形式通過網(wǎng)絡(luò)進(jìn)行流通時(shí)，個(gè)人信息大量匯集和流動(dòng)，就可以形成數(shù)據(jù)庫。個(gè)人信息不僅局限于個(gè)人利益，更與公共秩序、國家安全相關(guān)聯(lián)。因此，個(gè)人信息安全風(fēng)險(xiǎn)可能導(dǎo)致個(gè)人的人身財(cái)產(chǎn)安全受到侵害，還可能擾亂數(shù)據(jù)市場經(jīng)濟(jì)秩序，甚至可能危害國家安全?；诖耍覈谭ㄔ诿穹?、行政法等前置法還不完善時(shí)積極干預(yù)，率先設(shè)置侵犯公民個(gè)人信息罪。盡管如此，在個(gè)人信息安全的法律保護(hù)上仍存在諸多爭議。一是刑法對個(gè)人信息保護(hù)的積極立法是否有違刑法謙抑性原則，刑法應(yīng)當(dāng)采用何種立場和理念來保護(hù)個(gè)人信息。二是個(gè)人信息法益在法律上是何屬性。如何對個(gè)人信息進(jìn)行分類分級保護(hù)。三是個(gè)人信息流轉(zhuǎn)過程中，各方主體的義務(wù)和責(zé)任如何確定。特別是在司法實(shí)踐中如何確定刑事責(zé)任，以實(shí)現(xiàn)既不過度保護(hù)個(gè)人信息又不放縱個(gè)人信息犯罪的目標(biāo)。

一、個(gè)人信息安全風(fēng)險(xiǎn)調(diào)控的刑法理念

個(gè)人信息的全方位挖掘和使用推動(dòng)了數(shù)字經(jīng)濟(jì)和信息社會的發(fā)展，但也增加了個(gè)人信息的安全風(fēng)險(xiǎn)。個(gè)人信息的安全風(fēng)險(xiǎn)需要法律構(gòu)建個(gè)人信息保護(hù)體系。法律體系的構(gòu)建離不開價(jià)值理念的引導(dǎo)，可以說法律保護(hù)理念決定了個(gè)人信息法律保護(hù)體系的框架。刑法素來具有后置法地位，謙抑性、消極性原則是刑法的重要品格。那么，在個(gè)人信息安全風(fēng)險(xiǎn)急劇增加的情況下，刑法該以何種理念和立場來應(yīng)對個(gè)人信息安全風(fēng)險(xiǎn)，這是需要首先明確的問題。

（一）個(gè)人信息安全的風(fēng)險(xiǎn)預(yù)防理念

預(yù)防性刑法理念更加契合個(gè)人信息安全法律保護(hù)。首先，大數(shù)據(jù)時(shí)代個(gè)人信息面臨更大的濫用、泄露風(fēng)險(xiǎn)，可能造成個(gè)人人身財(cái)產(chǎn)安全、公共秩序和國家安全的嚴(yán)重危害。這一社會事實(shí)構(gòu)成當(dāng)下個(gè)人信息刑法保護(hù)研究的基本語境。有時(shí)，我們可以預(yù)見技術(shù)的使用將產(chǎn)生明顯的不可取的后果，盡可能多的是，我們需要預(yù)見這些后果并制定政策，最大限度地減少新技術(shù)的有害影響。因此，應(yīng)對個(gè)人信息安全問題不僅需要事后追責(zé)更需要事前防范，防范風(fēng)險(xiǎn)意味著在不知道結(jié)果如何的情況下事先采取措施降低非預(yù)期結(jié)果的危害，“預(yù)防”是風(fēng)險(xiǎn)防范的核心，個(gè)人信息需要“預(yù)防性”的法律保護(hù)。其次，行政法、刑法等公法具有風(fēng)險(xiǎn)防范的功能。原因在于，與公法比較來看，私法一般提供相對后置的救濟(jì)手段。也就是說，只有當(dāng)權(quán)利被侵害后，權(quán)利人才能訴諸法律以保障權(quán)利。而公法卻可以通過不同的懲罰措施達(dá)到威懾和預(yù)防的功能，更加注重風(fēng)險(xiǎn)的防范。相比較權(quán)利侵害的事后救濟(jì)，風(fēng)險(xiǎn)防范的預(yù)防觀念與個(gè)人信息的公法保護(hù)更加契合。因此，個(gè)人信息不僅需要私法維護(hù)和權(quán)利救濟(jì)，更需要公法防范和風(fēng)險(xiǎn)規(guī)制。事實(shí)上，世界上典型的個(gè)人信息保護(hù)立法最初都源于對國家和公共機(jī)構(gòu)的制約。例如德國1970 年的《個(gè)人數(shù)據(jù)保護(hù)法》，就僅將調(diào)整范圍限定為政府的數(shù)據(jù)處理行為。最后，公眾對安全的強(qiáng)烈需求導(dǎo)致刑法價(jià)值取向的重大調(diào)整，刑法體系的預(yù)防目的被激發(fā)，功能主義刑法成為應(yīng)對社會風(fēng)險(xiǎn)的重要工具。在日本，通說地位的相對報(bào)應(yīng)刑論認(rèn)為，刑罰的本質(zhì)是報(bào)應(yīng)，但刑罰的目的在于預(yù)防犯罪。德國學(xué)者認(rèn)為，從19 世紀(jì)的自由法治國向20 世紀(jì)的社會福利國過渡的過程中，刑法的基本思想也從事后的鎮(zhèn)壓控制轉(zhuǎn)向了事前的預(yù)防控制模式。安全問題構(gòu)成風(fēng)險(xiǎn)社會理論與刑法體系之間的連接點(diǎn)，由此而使預(yù)防成為刑法的首要目的。因此，盡管刑法具有天然的后置性和謙抑性，但是個(gè)人信息安全風(fēng)險(xiǎn)需要刑法發(fā)揮自身的風(fēng)險(xiǎn)管控功能，實(shí)現(xiàn)個(gè)人信息的安全保障和有序流通。侵犯公民個(gè)人信息罪作為懲處個(gè)人信息犯罪的核心罪名由《刑法修正案（九）》修改實(shí)施。當(dāng)時(shí)，個(gè)人信息還沒有明確的法律權(quán)利屬性，配套義務(wù)責(zé)任更不清晰。侵犯公民個(gè)人信息罪在前置法尚不完善的情況下率先將侵犯個(gè)人信息的行為入刑，可以說是預(yù)防性立法理念的直接體現(xiàn)。

（二）個(gè)人信息安全的利益平衡理念

刑法介入個(gè)人信息保護(hù)應(yīng)當(dāng)兼顧促進(jìn)信息流動(dòng)和保障信息安全的平衡理念。信息流通帶來的經(jīng)濟(jì)發(fā)展不容忽視，從某種程度而言，脫離了數(shù)據(jù)的開發(fā)和利用，當(dāng)前的社會和技術(shù)將會停滯不前。但同時(shí)其帶來的負(fù)面效應(yīng)也不容小覷。隱私被嚴(yán)重侵犯，衍生的利益也受到嚴(yán)重威脅。個(gè)人信息被侵害的范圍及程度已經(jīng)達(dá)到需要刑法介入的條件，但是刑法介入的程度需要合理控制。只有基于法益平衡的理念才能為科學(xué)的刑事立法提供正確的引導(dǎo)。刑事立法對個(gè)人信息風(fēng)險(xiǎn)的防控如何能恰如其分地促進(jìn)信息流通同時(shí)又能保護(hù)信息權(quán)利？這是刑事立法所要解決的難點(diǎn)問題。平衡點(diǎn)的尋找需要根據(jù)不同領(lǐng)域、不同主體權(quán)利進(jìn)行統(tǒng)籌考量。這就需要借助法益分析、利益衡量等方法具體實(shí)現(xiàn)刑事立法在兩者上的平衡。這種平衡理念應(yīng)當(dāng)體現(xiàn)在：一方面，法益侵害程度是刑法規(guī)制的起點(diǎn)。也即，為了給信息流動(dòng)提供良好的法治環(huán)境，應(yīng)當(dāng)在侵犯個(gè)人信息行為達(dá)到一定危害程度，才能被納入刑法規(guī)制。例如，2019 年3·15 曝光的網(wǎng)絡(luò)平臺“小紅書”“泄露”個(gè)人信息案件，屬于未充分履行采取技術(shù)手段或必要措施義務(wù)，未完全盡到防止消費(fèi)者個(gè)人信息泄露的責(zé)任。為此，嘉定區(qū)市場監(jiān)管局對“小紅書”作出行政處罰，責(zé)令當(dāng)事人改正上述違法行為，并罰款人民幣5 萬元整。在這個(gè)案件中，當(dāng)事人盡管對個(gè)人信息保護(hù)未盡到相關(guān)義務(wù)，但尚未達(dá)到刑法要求的法益危害程度，因此，當(dāng)事人僅受到行政處罰而不是刑事處罰。另一方面，個(gè)人信息的刑法保護(hù)需要更加全面。在信息時(shí)代，個(gè)人面對的將不只是單個(gè)網(wǎng)絡(luò)服務(wù)提供者的違約或違規(guī)行為，而是必須接受個(gè)人信息被收集和利用的社會規(guī)則。個(gè)人信息的提取與利用正向自動(dòng)化、瞬間處理的方向發(fā)展。隨著人工智能應(yīng)用的普及，個(gè)人信息的挖掘?qū)⒂扇斯ぶ悄茉O(shè)備自動(dòng)完成。人工智能完全可能會被運(yùn)用到侵犯個(gè)人信息犯罪當(dāng)中，造成的危害結(jié)果無法預(yù)計(jì)。因此，科學(xué)技術(shù)的發(fā)展會使犯罪呈現(xiàn)出新手段、新類型、重結(jié)果的特征。刑法需要構(gòu)建嚴(yán)密的法網(wǎng)，充分考慮科學(xué)技術(shù)的發(fā)展，為個(gè)人信息提供全面的刑法保障。

（三）個(gè)人信息安全刑事一體化保護(hù)理念

刑事一體化要求刑法與其他部門法之間突破一定程度的理論壁壘，才能實(shí)現(xiàn)法律保護(hù)的效應(yīng)最大化。個(gè)人信息安全風(fēng)險(xiǎn)不僅需要刑法的積極介入，更需要刑法與其他法律協(xié)調(diào)銜接。首先，個(gè)人信息法益保護(hù)僅靠刑法遠(yuǎn)遠(yuǎn)不夠，需要各個(gè)部門法通力合作。隨著網(wǎng)絡(luò)技術(shù)不斷更新迭代，侵犯個(gè)人信息造成的社會危害性越來越嚴(yán)重，僅通過刑法這部后置性法律無法全面實(shí)現(xiàn)維護(hù)數(shù)據(jù)市場秩序、保護(hù)個(gè)人信息權(quán)利的雙重功能。因此，我國立法機(jī)關(guān)先后頒布生效了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，《民法典》中也有個(gè)人信息的相關(guān)規(guī)定?？梢?，除刑法外，前置法有關(guān)個(gè)人信息的立法也日趨完善。盡管多部法律的出臺會使個(gè)人信息的法律保護(hù)更加完備，但法律的生命力在于實(shí)施，多頭立法也會造成司法、執(zhí)法中法律適用模糊、相矛盾等問題。因此，個(gè)人信息保護(hù)不僅需要全面立法，還需要協(xié)調(diào)明確各個(gè)法律法規(guī)之間的關(guān)系，使各個(gè)部門法在司法和執(zhí)法中各司其職，相輔相成。其次，與個(gè)人信息相關(guān)的犯罪類型多以法定犯的形式存在，例如侵犯公民個(gè)人信息罪的構(gòu)成要件之一就是“違反國家有關(guān)規(guī)定”，這使個(gè)人信息法益的刑法保護(hù)與前置法之間的關(guān)系更加緊密。法定犯往往以違反相關(guān)非刑事法律中的個(gè)人信息保護(hù)義務(wù)為前提，因此刑法對個(gè)人信息的保護(hù)一定程度上依賴前置法的相關(guān)規(guī)定。但是刑事治理的超前與其他部門法銜接不順暢的問題客觀存在。其中，刑法與行政法之間的銜接更加需要重視，原因在于刑法和行政法同屬公法，調(diào)整范圍上具有一定的重合性。正是基于此相似性，兩者在權(quán)力劃分、責(zé)任銜接、違法判斷等方面都存在爭議。一方面，刑法需要依賴行政法中的規(guī)定才能準(zhǔn)確認(rèn)定行為的違法性；另一方面，刑法與行政法之間也需要界分標(biāo)準(zhǔn)，才能發(fā)揮獨(dú)立的價(jià)值。兩者這種既相互依賴又需要獨(dú)立的關(guān)系，容易導(dǎo)致刑法與行政法之間的界限不清。因此，如何既能發(fā)揮行政法對刑法體系的積極作用，同時(shí)規(guī)避刑法對行政違法行為的不當(dāng)介入，是值得研究的重要問題。從這個(gè)角度研究個(gè)人信息法益的保護(hù)可以準(zhǔn)確找到當(dāng)前信息法益刑法保護(hù)的不足及完善途徑。

二、個(gè)人信息安全風(fēng)險(xiǎn)識別與分類分級

根據(jù)風(fēng)險(xiǎn)管理的一般理論，風(fēng)險(xiǎn)應(yīng)對可以從風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)分擔(dān)、風(fēng)險(xiǎn)的防控等方面展開。那么刑法也需要從風(fēng)險(xiǎn)管理角度構(gòu)建應(yīng)對個(gè)人信息安全風(fēng)險(xiǎn)的體系模式。風(fēng)險(xiǎn)識別是對已經(jīng)發(fā)生或潛在的風(fēng)險(xiǎn)加以判斷、歸類整理，并對風(fēng)險(xiǎn)的性質(zhì)進(jìn)行鑒別的過程。個(gè)人信息安全的風(fēng)險(xiǎn)識別即是甄別個(gè)人信息安全風(fēng)險(xiǎn)類型及屬性。

（一）個(gè)人信息分類分級：風(fēng)險(xiǎn)識別的前提基礎(chǔ)

個(gè)人信息保護(hù)的分類分級制度是風(fēng)險(xiǎn)識別的重要基礎(chǔ)。原因在于：第一，個(gè)人信息安全風(fēng)險(xiǎn)類型與流通階段密不可分。大數(shù)據(jù)時(shí)代，海量數(shù)據(jù)市場的優(yōu)勢將會延伸到每個(gè)具體行業(yè)，大大減少非理性決策，重塑所有類型的市場。但是，個(gè)人信息流動(dòng)的生命周期包括采集、加工、保存、使用等階段，負(fù)面影響因處理階段不同而不同，以多種方式影響個(gè)人權(quán)利和自由。個(gè)人信息面臨不同程度的安全風(fēng)險(xiǎn)。在采集階段，個(gè)人信息可能被網(wǎng)絡(luò)服務(wù)者或其他信息采集者違法采集，信息主體的人格權(quán)可能被侵害；在保存或使用階段，網(wǎng)絡(luò)服務(wù)者或其他信息采集者本身可能泄露或?yàn)E用個(gè)人信息，同時(shí)還可能遭到其他第三方個(gè)人信息處理者的非法獲取、違法使用等。在跨境流動(dòng)時(shí)，個(gè)人信息還涉及國家數(shù)據(jù)主權(quán)問題，與國家安全休戚相關(guān)。第二，個(gè)人信息安全風(fēng)險(xiǎn)程度與個(gè)人信息類型息息相關(guān)。根據(jù)不同標(biāo)準(zhǔn)，個(gè)人信息可以分為很多種類。目前我國法律法規(guī)主要根據(jù)信息遭到侵害后所產(chǎn)生的影響和危害，按照敏感程度，將個(gè)人信息分為敏感個(gè)人信息和一般個(gè)人信息。例如在《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020）中，明確規(guī)定個(gè)人敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息。在我國《個(gè)人信息保護(hù)法》中，也明確規(guī)定敏感個(gè)人信息是指“一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息”。敏感個(gè)人信息被侵害后產(chǎn)生的危害程度比一般個(gè)人信息更高，法律法規(guī)對敏感個(gè)人信息安全的風(fēng)險(xiǎn)防范程度更高而對一般個(gè)人信息適當(dāng)放寬，這樣能夠?qū)崿F(xiàn)個(gè)人信息的多元價(jià)值與個(gè)人信息利用的多維需求，實(shí)現(xiàn)個(gè)人信息保護(hù)體系的周延性和自足性，明確不同信息之間的根本差異，保證個(gè)人信息在市場中的開放性和流動(dòng)性。

我國個(gè)人信息的分類分級保護(hù)制度仍停留在較為抽象的階段?！秱€(gè)人信息保護(hù)法》僅對敏感個(gè)人信息的處理規(guī)則嚴(yán)格限制，但并未就分級保護(hù)作出規(guī)定。我國《數(shù)據(jù)安全法》明確規(guī)定對數(shù)據(jù)實(shí)行分級分類保護(hù)，但尚未言明具體如何分類分級。目前，個(gè)人信息可以分為一般個(gè)人信息和敏感個(gè)人信息兩類，敏感個(gè)人信息比一般個(gè)人信息的保護(hù)級別更高，但是在兩者內(nèi)部如何進(jìn)行分級保護(hù)是亟待解決的問題。個(gè)人信息的分類分級制度只有確定具體、可衡量的標(biāo)準(zhǔn)才能落地，而標(biāo)準(zhǔn)應(yīng)當(dāng)回歸于個(gè)人信息的概念和法益屬性。

（二）個(gè)人信息法益屬性：風(fēng)險(xiǎn)識別的判斷標(biāo)準(zhǔn)

個(gè)人信息具有人格法益屬性且可識別性是重要衡量要素。在信息網(wǎng)絡(luò)社會，幾乎每個(gè)人都會留下信息的痕跡。這些信息組成了有關(guān)一個(gè)人紛繁復(fù)雜的信息碎片，關(guān)涉?zhèn)€人生活的方方面面，彰顯了一個(gè)人的生活習(xí)慣、消費(fèi)習(xí)慣、性格特征等等，隨著大數(shù)據(jù)技術(shù)的發(fā)展，綜合這些碎片化的信息完全能夠成為現(xiàn)實(shí)生活中個(gè)體的信息化形象。而這個(gè)形象與現(xiàn)實(shí)生活中的個(gè)人息息相關(guān)，一一對應(yīng)。《民法典》中將個(gè)人信息保護(hù)放入人格權(quán)編，可見，個(gè)人信息的人格屬性已被法律確認(rèn)?！缎谭ā返谒恼虑址腹袢松頇?quán)利、民主權(quán)利罪是保護(hù)具體人格權(quán)法益的一章，也就是說這一章里規(guī)定的罪名侵犯的主要法益是具體的人格權(quán)及其他民主權(quán)利。目前用來保護(hù)個(gè)人信息的專門性罪名——侵犯公民個(gè)人信息罪就被放在此章。可見，個(gè)人信息具有刑法上的人格權(quán)法益屬性。此外，《個(gè)人信息保護(hù)法》明確規(guī)定個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。2017 年兩高聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》規(guī)定，“公民個(gè)人信息”是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。不管是民法領(lǐng)域還是刑法領(lǐng)域，判定某種信息是否屬于個(gè)人信息的最重要標(biāo)準(zhǔn)是可以直接或者間接識別個(gè)人。個(gè)人信息的可識別特征表征了一個(gè)人獨(dú)一無二的人格，應(yīng)當(dāng)受到人格權(quán)的保護(hù)。個(gè)人信息的可識別性程度越高，對應(yīng)的人格屬性越強(qiáng)，被非法獲取或利用時(shí)造成的危害程度越高。因此，可識別性是個(gè)人信息人格屬性遭受侵害時(shí)，人身安全危害程度的重要衡量標(biāo)準(zhǔn)。

個(gè)人信息具有財(cái)產(chǎn)屬性、知識產(chǎn)權(quán)屬性且規(guī)模性是重要的衡量要素。信息資源的經(jīng)濟(jì)價(jià)值不用贅述，信息處理者收集大量個(gè)人信息后形成的數(shù)據(jù)庫已經(jīng)成為他們盈利的核心資源。個(gè)人信息具有可計(jì)量經(jīng)濟(jì)價(jià)值，應(yīng)當(dāng)屬于法律上的財(cái)產(chǎn)。但目前在立法中尚未明確個(gè)人信息的財(cái)產(chǎn)權(quán)屬性，因此很難適用財(cái)產(chǎn)類犯罪。而當(dāng)前信息處理者之間關(guān)于數(shù)據(jù)權(quán)益的糾紛是通過反不正當(dāng)競爭法或其他知識產(chǎn)權(quán)類法律加以處理。例如，在某平臺與南京某網(wǎng)絡(luò)科技有限公司等不正當(dāng)競爭案中，被告南京某網(wǎng)絡(luò)科技有限公司未經(jīng)原告同意，擅自獲取原告平臺數(shù)據(jù)建立自身數(shù)據(jù)庫并用于商業(yè)開發(fā)和合作。被告網(wǎng)站抓取原告網(wǎng)站數(shù)據(jù)后建立的自身網(wǎng)站甚至可以直接替代原告網(wǎng)站的部分功能，導(dǎo)致原告網(wǎng)站用戶流失，損害了原告利益，并且并不能證明有利于市場效率和社會利益；被告將原告平臺公布的商家數(shù)據(jù)直接用于其網(wǎng)站，也超過了合理限度，被告行為違反了公認(rèn)的商業(yè)道德，構(gòu)成不正當(dāng)競爭。基于刑法天然的謙抑性，在通過反不正當(dāng)競爭法、侵權(quán)法等前置法足以規(guī)制違法行為、救濟(jì)受害人的情況，刑法不應(yīng)過度干預(yù)。只有侵犯信息的違法行為的社會危害性達(dá)到需要刑法予以規(guī)制的程度，才可以啟動(dòng)刑法。在知識產(chǎn)權(quán)方面，基于信息的商業(yè)價(jià)值，信息處理者根據(jù)自身業(yè)務(wù)范圍將某種不為公眾所知悉的信息數(shù)據(jù)采取保密措施作為商業(yè)秘密加以保護(hù)。例如，客戶賬戶、個(gè)人資料等有利于精準(zhǔn)營銷的信息。此時(shí)，這類信息數(shù)據(jù)上承載的是信息處理者的商業(yè)秘密權(quán)，如果非法獲取、披露或使用商業(yè)秘密的，就可能構(gòu)成侵犯商業(yè)秘密罪。在財(cái)產(chǎn)屬性方面，盡管前置法對個(gè)人信息的財(cái)產(chǎn)權(quán)尚未明確，但個(gè)人信息數(shù)據(jù)庫仍有可能被認(rèn)定為虛擬財(cái)產(chǎn)，從而適用盜竊罪、詐騙罪等財(cái)產(chǎn)類犯罪。不管個(gè)人信息數(shù)據(jù)庫作為財(cái)產(chǎn)還是知識產(chǎn)權(quán)保護(hù)的客體或?qū)ο?，司法?shí)踐中個(gè)人信息的數(shù)量都是衡量危害性的重要標(biāo)準(zhǔn)。因?yàn)閿?shù)據(jù)數(shù)量越大，對應(yīng)的經(jīng)濟(jì)價(jià)值越高，被非法獲取或利用時(shí)造成的損失也越嚴(yán)重。因此，規(guī)模性要素是財(cái)產(chǎn)安全、經(jīng)濟(jì)安全危害程度的重要衡量標(biāo)準(zhǔn)。

個(gè)人信息具有國家安全法益屬性且流動(dòng)性是重要的衡量要素。全球數(shù)字化經(jīng)濟(jì)背景下，數(shù)據(jù)跨境流動(dòng)是帶動(dòng)業(yè)務(wù)流、貿(mào)易流、資本流、技術(shù)流全球自由配置的重要牽引。大規(guī)模和復(fù)雜的個(gè)人信息跨境流動(dòng)成為全球常態(tài)。但數(shù)據(jù)流動(dòng)中也蘊(yùn)含了巨大的數(shù)據(jù)安全風(fēng)險(xiǎn)。2018 年10 月，我國科學(xué)技術(shù)部在其官方網(wǎng)站公布了八份時(shí)間跨度從2015—2020 年的行政處罰決定，這些罰單均涉及“人類遺傳資源采集、收集、買賣、出口、出境審批”等未經(jīng)授權(quán)將部分人類遺傳資源信息通過互聯(lián)網(wǎng)傳輸?shù)骄惩獾男袨?。一方面，個(gè)人信息的跨境流動(dòng)可能存在泄露、濫用等安全風(fēng)險(xiǎn)危害國家安全。例如，Vault 7 事件，維基解密曾公布了美國中央情報(bào)局關(guān)于黑客入侵技術(shù)的最高機(jī)密。根據(jù)泄密文檔，該組織不僅能夠入侵iPhone 手機(jī)、Android 手機(jī)和智能電視，而且還可以入侵攻擊Windows、Mac 和Linux操作系統(tǒng)，甚至可以控制智能汽車發(fā)起暗殺活動(dòng)。因此，個(gè)人信息可能被恐怖組織或其他組織非法獲取或?yàn)E用，為實(shí)現(xiàn)恐怖目的或政治目的，實(shí)施危害國家安全的行為。另一方面，個(gè)人信息的跨境流動(dòng)涉及數(shù)據(jù)主權(quán)問題，與國家主權(quán)、國家安全息息相關(guān)。隨著大數(shù)據(jù)的發(fā)展，國家間圍繞數(shù)據(jù)控制和利用的博弈日益激烈。由于各國對數(shù)據(jù)安全風(fēng)險(xiǎn)保護(hù)理念、制度設(shè)計(jì)不同，產(chǎn)生了數(shù)據(jù)主權(quán)邊界的問題，例如，美國CLOUD 法案規(guī)定了“長臂管轄”原則，為美國執(zhí)法機(jī)構(gòu)訪問在美國境內(nèi)運(yùn)營的企業(yè)存儲在海外的用戶數(shù)據(jù)提供明確授權(quán)。而對于外國政府機(jī)構(gòu)調(diào)取存儲于美國的數(shù)據(jù)，CLOUD 法案規(guī)定只有“符合資格的外國政府”才有權(quán)調(diào)取。我國《數(shù)據(jù)安全法》第36 條規(guī)定，外國司法或者執(zhí)法機(jī)構(gòu)要求調(diào)取存儲于中華人民共和國境內(nèi)的數(shù)據(jù)的，有關(guān)組織、個(gè)人應(yīng)當(dāng)向有關(guān)主管機(jī)關(guān)報(bào)告，獲得批準(zhǔn)后方可提供。不難看出國家之間有關(guān)數(shù)據(jù)主權(quán)的博弈。因此，在個(gè)人信息跨境流動(dòng)場景下個(gè)人信息安全與國家安全息息相關(guān)，可能涉及危害國家安全罪、故意泄露國家秘密罪、過失泄露國，家秘密罪、間諜罪等與國家安全有關(guān)的犯罪類型，流動(dòng)性要素是國家安全受到危害風(fēng)險(xiǎn)的重要衡量標(biāo)準(zhǔn)。

（三）個(gè)人信息分類分級的具體方式

根據(jù)個(gè)人信息涉及的法益類型，可識別性、規(guī)模性和流動(dòng)性是判定個(gè)人信息安全風(fēng)險(xiǎn)程度高低的基本要素。因此，個(gè)人信息的分級保護(hù)也應(yīng)當(dāng)以這三個(gè)要素為基準(zhǔn)。《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南（GB/T22240—2020）》根據(jù)等級保護(hù)對象在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及一旦遭到破壞，喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素，將保護(hù)對象的安全保護(hù)等級分為五級。涉及大量公民個(gè)人信息以及為公民提供公共服務(wù)的大數(shù)據(jù)平臺/系統(tǒng)，原則上其安全保護(hù)等級不低于第三級。綜合網(wǎng)絡(luò)安全等級保護(hù)的定級標(biāo)準(zhǔn)和方法以及個(gè)人信息安全風(fēng)險(xiǎn)的基本要素，可以將個(gè)人信息按照以下方式分級保護(hù)。

第一級，個(gè)人信息受到破壞后，會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害，但不危害國家安全、社會秩序和公共利益；第二級，個(gè)人信息受到破壞后，會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害或特別嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成危害，但不危害國家安全；第三級，個(gè)人信息受到破壞后，會對社會秩序和公共利益造成嚴(yán)重危害，或者對國家安全造成危害；第四級，個(gè)人信息受到破壞后，會對社會秩序和公共利益造成特別嚴(yán)重危害，或者對國家安全造成嚴(yán)重危害；第五級，個(gè)人信息受到破壞后，會對國家安全造成特別嚴(yán)重危害。其中，一般損害、嚴(yán)重?fù)p害和特別嚴(yán)重?fù)p害的判斷標(biāo)準(zhǔn)應(yīng)當(dāng)綜合考慮個(gè)人信息的可識別性、規(guī)模性和流動(dòng)性要素。當(dāng)個(gè)人信息的可識別性較強(qiáng)，但規(guī)模性較小和流動(dòng)性較弱時(shí)，可判定為第一級；當(dāng)個(gè)人信息的可識別性很強(qiáng)或規(guī)模性較大，但流動(dòng)性較弱時(shí)，可判定為第二級；當(dāng)個(gè)人信息的規(guī)模性很大或流動(dòng)性較強(qiáng)時(shí)，可判定為第三級；當(dāng)個(gè)人信息的規(guī)模性特別大或流動(dòng)性很強(qiáng)時(shí)，可判定為第四級；當(dāng)個(gè)人信息可識別性很強(qiáng)、規(guī)模性特別大且流動(dòng)性特別強(qiáng)時(shí)，可判定為第五級。

三、個(gè)人信息安全風(fēng)險(xiǎn)分擔(dān)與責(zé)任分配

在侵犯個(gè)人信息犯罪鏈條中，多元主體參與其中，風(fēng)險(xiǎn)責(zé)任的公平合理分配至關(guān)重要。風(fēng)險(xiǎn)分擔(dān)的目的在于參與風(fēng)險(xiǎn)項(xiàng)目的各個(gè)主體都需要根據(jù)自己的角色承擔(dān)一定的風(fēng)險(xiǎn)，盡到合理注意義務(wù)，實(shí)現(xiàn)整個(gè)項(xiàng)目和各個(gè)主體的互利共贏。在個(gè)人信息安全領(lǐng)域，互聯(lián)網(wǎng)把參與個(gè)人信息處理的各個(gè)主體連接起來，為了防止個(gè)人信息的濫用，各個(gè)主體都應(yīng)當(dāng)承擔(dān)相應(yīng)的注意義務(wù)和責(zé)任，這樣才能將風(fēng)險(xiǎn)發(fā)生率降到最低。

（一）個(gè)人信息相關(guān)主體的類型

個(gè)人信息安全風(fēng)險(xiǎn)應(yīng)當(dāng)根據(jù)個(gè)人信息流轉(zhuǎn)的場景和主體進(jìn)行轉(zhuǎn)嫁和分配。法律應(yīng)當(dāng)公平合理分配多元相關(guān)主體的義務(wù)和法律責(zé)任，督促各個(gè)相關(guān)主體都盡到注意義務(wù)，降低個(gè)人信息安全風(fēng)險(xiǎn)的發(fā)生率。與個(gè)人信息安全相關(guān)的主體主要有兩類：一是信息主體本身，其個(gè)人信息可能被信息處理者獲取和使用。盡管信息主體是個(gè)人信息的權(quán)利主體，但是由于個(gè)人信息處理的告知同意規(guī)則，信息主體仍應(yīng)審慎處理自身信息。原因在于《個(gè)人信息保護(hù)法》雖未直接將告知同意規(guī)定為個(gè)人信息保護(hù)的原則，但“立法說明”仍然認(rèn)為，告知同意是個(gè)人信息處理規(guī)則的核心，即個(gè)人信息處理者需要取得信息主體的授權(quán)才可以處理個(gè)人信息。但如果信息主體缺少信息保護(hù)的意識、忽視個(gè)人信息的處理規(guī)則，隨意授權(quán)個(gè)人信息處理者，那么個(gè)人信息被濫用的風(fēng)險(xiǎn)會大大增加。因此，個(gè)人信息主體在同意之前應(yīng)當(dāng)充分了解個(gè)人信息處理者的資質(zhì)信息、隱私政策、安全保障等制度，這不僅是對自身個(gè)人信息的保護(hù)，也可以有效從源頭上控制個(gè)人信息濫用的風(fēng)險(xiǎn)。二是個(gè)人信息處理者。個(gè)人信息的應(yīng)用場景越來越復(fù)雜，個(gè)人信息處理者的類型也越來越多樣。大數(shù)據(jù)時(shí)代，個(gè)人信息處理離不開網(wǎng)絡(luò)，線上線下融合的經(jīng)濟(jì)模式使得網(wǎng)絡(luò)服務(wù)提供者是個(gè)人信息處理者的最重要組成部分。但是網(wǎng)絡(luò)服務(wù)提供者的含義在法律法規(guī)中缺乏統(tǒng)一權(quán)威的規(guī)定，其義務(wù)類型設(shè)置也存在概括化、模糊化和不適當(dāng)?shù)确矫娴牟蛔?。對網(wǎng)絡(luò)服務(wù)提供者的劃分主要是為了合理設(shè)定不同的義務(wù)責(zé)任。服務(wù)類型、服務(wù)對象和服務(wù)方式是影響網(wǎng)絡(luò)服務(wù)提供者義務(wù)責(zé)任的重要因素，因此網(wǎng)絡(luò)服務(wù)提供者的類型劃分應(yīng)當(dāng)綜合考慮這三個(gè)要素。就目前網(wǎng)絡(luò)服務(wù)提供者的服務(wù)類型和法律法規(guī)中對網(wǎng)絡(luò)服務(wù)提供者已有的劃分，可以將網(wǎng)絡(luò)服務(wù)提供者分為中間服務(wù)提供者、互聯(lián)網(wǎng)信息服務(wù)提供者和第三方交易平臺服務(wù)提供者。中間服務(wù)提供者是指網(wǎng)絡(luò)接入、服務(wù)器托管、網(wǎng)絡(luò)存儲、虛擬空間租用、通信傳輸?shù)燃兇獾木W(wǎng)絡(luò)技術(shù)的服務(wù)提供者?；ヂ?lián)網(wǎng)信息服務(wù)提供者通常是指網(wǎng)絡(luò)內(nèi)容服務(wù)商，其基于自身的主動(dòng)性提供各種各樣的可以被公眾獲取的信息。第三方交易平臺服務(wù)提供者是具有中立性質(zhì)的，為網(wǎng)絡(luò)商品交易、金融交易等經(jīng)濟(jì)市場雙方提供信息交換場所的服務(wù)提供者。這類平臺主要為網(wǎng)絡(luò)用戶提供中介服務(wù)，具有相當(dāng)?shù)闹辛⑿?，但是也具有較高的網(wǎng)絡(luò)活動(dòng)參與度。

（二）個(gè)人信息處理者的義務(wù)及刑事責(zé)任

根據(jù)我國相關(guān)法律法規(guī)，網(wǎng)絡(luò)服務(wù)提供者承擔(dān)的義務(wù)類型有技術(shù)支持與協(xié)助、數(shù)據(jù)留存、個(gè)人信息保護(hù)、管理發(fā)現(xiàn)違法信息、主動(dòng)審查含有恐怖主義和極端主義內(nèi)容信息、身份驗(yàn)證等。但是，立法并沒有根據(jù)不同類型的網(wǎng)絡(luò)服務(wù)提供者規(guī)定有梯度的義務(wù)范圍，所有類型的服務(wù)者承擔(dān)的義務(wù)基本相同。這會導(dǎo)致網(wǎng)絡(luò)服務(wù)提供者的類型與義務(wù)設(shè)置不匹配，可能存在過度或不足的情況。也即，有的義務(wù)設(shè)置可能超出其本身的合理業(yè)務(wù)承擔(dān)。例如，要求互聯(lián)網(wǎng)接入、信息存儲和緩存等服務(wù)提供者承擔(dān)管理審查違法信息的義務(wù)，這不僅超出了其業(yè)務(wù)范圍，也必然阻礙我國社會信息化的發(fā)展。有的義務(wù)設(shè)置不夠完善，例如，第三方交易平臺服務(wù)提供者的權(quán)利和義務(wù)十分不對等。第三方平臺因其服務(wù)內(nèi)容而擁有巨量用戶信息，本應(yīng)承擔(dān)一定的管理義務(wù)，但是其僅負(fù)有留存用戶信息和交易信息的義務(wù)。

就個(gè)人信息犯罪而言，首先，互聯(lián)網(wǎng)信息服務(wù)提供者因其是信息內(nèi)容的發(fā)布者，對發(fā)布內(nèi)容直接可控，受眾廣泛，因此其對提供的所有內(nèi)容都應(yīng)當(dāng)具有合法性的審查義務(wù)和監(jiān)管義務(wù)，同時(shí)自身也應(yīng)當(dāng)承擔(dān)最廣泛的義務(wù)，可以說這類主體的義務(wù)程度和范圍應(yīng)當(dāng)是三類中最高的。因此，互聯(lián)網(wǎng)信息提供者對用戶的個(gè)人信息應(yīng)當(dāng)具有審慎的管理義務(wù)。如果其利用自身的業(yè)務(wù)活動(dòng)和網(wǎng)絡(luò)技術(shù)對個(gè)人信息進(jìn)行非法獲取、對外發(fā)布、出售等犯罪行為，造成嚴(yán)重后果的，應(yīng)當(dāng)承擔(dān)有關(guān)個(gè)人信息犯罪的單獨(dú)犯責(zé)任。其次，中間服務(wù)提供者主要為搭建網(wǎng)絡(luò)社會提供技術(shù)、程序、工具等輔助行為。就其在業(yè)務(wù)范圍內(nèi)的行為而言，要求這類主體對違法信息內(nèi)容履行較高的監(jiān)管義務(wù)是十分不合理的，同時(shí)還有可能阻礙社會的發(fā)展，可以說這類主體是三類網(wǎng)絡(luò)服務(wù)提供者中義務(wù)承擔(dān)最少的。正如有學(xué)者指出，網(wǎng)絡(luò)服務(wù)提供者提供合法的和有社會妥當(dāng)性的通訊連接或者提供存儲空間的行為具有很高的社會效用，是人們高度期望的，有時(shí)甚至是被國家所促進(jìn)的，因此他們的這類行為應(yīng)當(dāng)被認(rèn)定為消極的不作為，原則上至多由于未提供適當(dāng)控制措施的不作為受到譴責(zé)。因此，中間服務(wù)提供者的刑事責(zé)任一般可能是幫助犯或者構(gòu)成幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪。如果要認(rèn)定該類主體作為信息犯罪的單獨(dú)犯，則需要更高的要求。例如，在行政法中明確規(guī)定中間服務(wù)提供者應(yīng)當(dāng)承擔(dān)個(gè)人信息保護(hù)義務(wù)、數(shù)據(jù)留存義務(wù)等管理義務(wù)。如果中間服務(wù)提供者不履行前置義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，造成個(gè)人信息大量泄露的，有可能承擔(dān)單獨(dú)的刑事責(zé)任。在司法上，應(yīng)當(dāng)審查前置的義務(wù)范圍，考量中立行為的違法阻卻事由。僅在有較高證明力證據(jù)證明該類主體的違法犯罪行為與嚴(yán)重危害結(jié)果之間具有緊密因果關(guān)系的情況下，才能將該類主體入罪。最后，第三方交易平臺服務(wù)提供者作為部分介入網(wǎng)絡(luò)內(nèi)容生成的主體，管理信息秩序的能力也很強(qiáng)。因此法律法規(guī)對其義務(wù)和責(zé)任的程度設(shè)定應(yīng)當(dāng)輕于互聯(lián)網(wǎng)信息服務(wù)提供者而重于其他網(wǎng)絡(luò)中間服務(wù)商。這類主體不應(yīng)當(dāng)是置身事外的中立平臺而應(yīng)當(dāng)設(shè)置更細(xì)致更具體的義務(wù)類型，但是不應(yīng)當(dāng)超過其技術(shù)和業(yè)務(wù)能力。網(wǎng)絡(luò)平臺服務(wù)提供者由于類型眾多，經(jīng)營模式不一，服務(wù)提供行為也各有特色，所以責(zé)任類型較多也較為多元。

（三）個(gè)人信息主體分擔(dān)風(fēng)險(xiǎn)的方式

個(gè)人信息處理者不履行個(gè)人信息保護(hù)義務(wù)應(yīng)當(dāng)承擔(dān)相應(yīng)的刑事責(zé)任，可見其承擔(dān)了防控個(gè)人信息安全風(fēng)險(xiǎn)的義務(wù)和責(zé)任。那么信息主體作為個(gè)人信息處理過程的參與者，如何分擔(dān)個(gè)人信息安全風(fēng)險(xiǎn)？盡管信息主體審慎處理自身信息并不是義務(wù)，但會減輕個(gè)人信息處理者的責(zé)任。因?yàn)樵诟嬷庖?guī)則下，個(gè)人信息處理者告知并獲得信息主體同意后處理個(gè)人信息具有合法性，這可以作為個(gè)人信息處理者刑事責(zé)任的違法阻卻事由?！秱€(gè)人信息保護(hù)法》中明確了既要保護(hù)個(gè)人信息權(quán)益又要保障個(gè)人信息依法有序自由流動(dòng)的原則，并在第13 條規(guī)定了個(gè)人信息處理者合法處理個(gè)人信息的情形，其中包括“取得個(gè)人的同意”。歐盟《一般數(shù)據(jù)保護(hù)法案》(GDPR)第六條也明確規(guī)定，“數(shù)據(jù)主體同意他或她的個(gè)人信息為一個(gè)或多個(gè)特定目的而處理”視為處理合法。被害人同意可以排除對行為人行為的不法評價(jià)以及作為一種排除犯罪性的出罪事由，學(xué)說上基本沒有任何反對意見，得到了刑法理論的普遍認(rèn)可。信息主體的同意可以使個(gè)人信息處理者的責(zé)任得以減免，可見個(gè)人信息主體也間接承擔(dān)了個(gè)人信息安全風(fēng)險(xiǎn)。因此信息主體應(yīng)當(dāng)謹(jǐn)慎處分個(gè)人信息，否則個(gè)人信息安全的風(fēng)險(xiǎn)將可能由自己承擔(dān)。被害人同意作為一種出罪事由在司法認(rèn)定中需要謹(jǐn)慎對待，才能實(shí)現(xiàn)行為人與被害人之間的公平公正。一方面，刑法基于對個(gè)人自由和自我決定權(quán)的尊重認(rèn)可這一出罪事由；另一方面，為了防止這種出罪事由被濫用，刑法也應(yīng)當(dāng)對被害人同意的有效要件和范圍進(jìn)行審查和限定。例如，當(dāng)被害人同意是基于認(rèn)識錯(cuò)誤或被脅迫做出時(shí)，這種有瑕疵的同意是否可以作為出罪事由，需要進(jìn)一步的嚴(yán)格審查和認(rèn)定。侵犯個(gè)人信息犯罪被害人同意的成立需要確定同意的對象和被害人的主觀方面。也即，被害人同意的對象是行為還是結(jié)果亦或行為和結(jié)果。例如，被害人為了盈利在某網(wǎng)絡(luò)平臺上理財(cái)，該網(wǎng)絡(luò)平臺未經(jīng)被害人同意在后臺自動(dòng)收集和使用被害人的個(gè)人信息為其推薦理財(cái)產(chǎn)品同時(shí)將信息提供給其他機(jī)構(gòu)營銷使用，被害人在該平臺上確實(shí)獲得盈利。此時(shí)，被害人僅同意了“結(jié)果”而未同意“行為”，是否可以作為行為人出罪事由？當(dāng)被害人的同意存在“瑕疵”時(shí)，行為人是否還可以出罪？這將在下文具體展開。

四、個(gè)人信息安全風(fēng)險(xiǎn)防控與刑行銜接

目前，個(gè)人信息相關(guān)的罪名多以法定犯的方式存在。前置法中個(gè)人信息的保護(hù)義務(wù)是判斷犯罪構(gòu)成要件的重要要素。根據(jù)刑事一體化的理念，個(gè)人信息安全風(fēng)險(xiǎn)需要系統(tǒng)化的法律體系進(jìn)行防控。因此，保護(hù)個(gè)人信息安全不僅需要前置法律法規(guī)持續(xù)完備、刑事法律積極介入，更需要兩者協(xié)調(diào)銜接。

（一）個(gè)人信息刑法保護(hù)的前置法問題

我國前置法與刑法之間存在斷層現(xiàn)象，導(dǎo)致個(gè)人信息相關(guān)犯罪構(gòu)成要件判斷困難。第一，前置法律法規(guī)中個(gè)人信息保護(hù)義務(wù)設(shè)置比較抽象。目前，個(gè)人信息保護(hù)主要以《個(gè)人信息保護(hù)法》為核心、行業(yè)性立法為補(bǔ)充。不管是《個(gè)人信息保護(hù)法》還是行業(yè)性立法，個(gè)人信息保護(hù)義務(wù)都不夠細(xì)化。例如，《網(wǎng)絡(luò)安全法》第41 條規(guī)定，“網(wǎng)絡(luò)運(yùn)營者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意”。盡管此條確立了“告知同意”的收集、使用規(guī)則，但是并沒有進(jìn)一步明確具體標(biāo)準(zhǔn)，這導(dǎo)致司法實(shí)踐中很難確認(rèn)網(wǎng)絡(luò)運(yùn)營者是否違反該義務(wù)。由于國家層面的法律比較原則，需要由國務(wù)院各部門規(guī)章、地方性法規(guī)對個(gè)人信息相關(guān)的范圍、程序等進(jìn)行具體確定。效力層級較低的部門規(guī)章是否屬于侵犯公民個(gè)人信息罪中的“違法國家有關(guān)規(guī)定”尚存爭議，因此盡管各個(gè)領(lǐng)域的部門規(guī)章規(guī)定比較詳盡，但是否可以被侵犯公民個(gè)人信息罪援引值得商榷。第二，行政法中有關(guān)個(gè)人信息的規(guī)定與刑事法不一致。例如，《個(gè)人信息保護(hù)法》中規(guī)定，“個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。而在兩高出臺的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》中規(guī)定，“公民個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息”。可見，司法解釋中，個(gè)人信息除包括識別性信息外，還包括反映特定自然人活動(dòng)情況的信息，范圍明顯大于《個(gè)人信息保護(hù)法》中個(gè)人信息的范圍。同樣，《刑法修正案（九）》中的“侵犯公民個(gè)人信息罪”中的“個(gè)人信息”，“并不僅限定在網(wǎng)絡(luò)空間中以電子方式記錄的網(wǎng)絡(luò)個(gè)人信息，也包括在現(xiàn)實(shí)空間中以其他方式記錄的信息”。相關(guān)規(guī)定的不一致，以何為準(zhǔn)？再如，《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》中沒有明確給出敏感個(gè)人信息的定義，僅列舉了具體類型。但是在《個(gè)人信息保護(hù)法》中敏感個(gè)人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14 周歲未成年人的個(gè)人信息?？梢?，兩者對敏感個(gè)人信息的范圍定義不同。以人臉識別信息為例，人臉信息具有直接識別性、不可更改性、易采集性、不可匿名性等特征?？梢?，人臉識別信息屬于《個(gè)人信息保護(hù)法》中的敏感個(gè)人信息，但不屬于《個(gè)人信息司法解釋》中的敏感信息的列舉類型，反而與重要信息中“健康生理信息”更相近。這就涉及前置法與刑法中個(gè)人信息類型不一致的問題。可見，個(gè)人信息安全保護(hù)的前置法與刑法之間銜接不暢，需要從前置法和刑法兩方面共同完善健全個(gè)人信息保護(hù)的法律體系，全面防控個(gè)人信息安全風(fēng)險(xiǎn)。

（二）個(gè)人信息處理者保護(hù)義務(wù)的細(xì)化

由于個(gè)人信息犯罪多采用法定犯的形式，因此前置法中的義務(wù)設(shè)置對刑事責(zé)任的認(rèn)定十分重要。個(gè)人信息保護(hù)義務(wù)設(shè)置需要類型化和具體化。是否合法履行個(gè)人信息保護(hù)義務(wù)是判斷是否構(gòu)成相關(guān)犯罪的前提。根據(jù)個(gè)人信息的流轉(zhuǎn)周期，主要義務(wù)可以分為收集階段的義務(wù)、存儲階段的義務(wù)和使用階段的義務(wù)。就收集階段來說，個(gè)人信息處理者獲取公開個(gè)人信息應(yīng)遵守的義務(wù)有待進(jìn)一步明確。根據(jù)《個(gè)人信息保護(hù)法》第13 條規(guī)定，個(gè)人信息處理者可以依照本法規(guī)定在合理的范圍內(nèi)處理個(gè)人自行公開或者其他已經(jīng)合法公開的個(gè)人信息。第27 條規(guī)定，個(gè)人信息處理者處理已公開的個(gè)人信息，對個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。即，除對個(gè)人權(quán)益有重大影響需要取得個(gè)人同意外，個(gè)人信息處理者“合理”處理公開信息不需取得他人同意?？梢?，“合理范圍”“對個(gè)人權(quán)益有重大影響”是判斷個(gè)人信息處理者獲取公開個(gè)人信息義務(wù)的重要要素。但是《個(gè)人信息保護(hù)法》中并未明確“合理范圍”“重大影響”的具體判斷標(biāo)準(zhǔn)。個(gè)人信息公開有其目的和用途，那么任何個(gè)人信息處理者不能超出信息本身公開的目的、用途處理已公開的個(gè)人信息，因此，“合理范圍”可以以目的原則為限制，只有在公開目的范圍內(nèi)處理個(gè)人信息才是“合理范圍”。而“重大影響”的認(rèn)定可以從個(gè)人信息的人格屬性、財(cái)產(chǎn)屬性角度進(jìn)行明確，即當(dāng)個(gè)人信息處理者處理個(gè)人信息可能造成個(gè)人生命、身體、名譽(yù)等人格權(quán)遭受嚴(yán)重侵害，或造成個(gè)人財(cái)產(chǎn)嚴(yán)重?fù)p失的，可以認(rèn)定為“對個(gè)人權(quán)益有重大影響”。

同時(shí)，還需要注意是否侵害了其他個(gè)人信息處理者的合法利益，比如是否構(gòu)成不正當(dāng)競爭、是否違反Robots 協(xié)議等。綜上，個(gè)人信息處理者在獲取公開個(gè)人信息時(shí)，不得超出信息公開目的處理信息，不得侵犯其他處理者的合法利益，在處理對個(gè)人權(quán)益有重大影響的個(gè)人信息時(shí)還需要取得個(gè)人同意。

就存儲階段來說，個(gè)人信息處理者的泄露報(bào)告義務(wù)需要進(jìn)一步細(xì)化。個(gè)人信息處理者作為直接相關(guān)者與責(zé)任者有信息泄露報(bào)告義務(wù)，但是我國法律法規(guī)對數(shù)據(jù)泄露通知的規(guī)定過于簡單并存在沖突。例如，《個(gè)人信息保護(hù)法》要求“個(gè)人信息處理者發(fā)現(xiàn)個(gè)人信息泄露的，應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人”?！毒W(wǎng)絡(luò)安全法》要求“網(wǎng)絡(luò)運(yùn)營者在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告”?？梢姡煞ㄒ?guī)對報(bào)告的部門和對象并不明確。同時(shí)，法律法規(guī)也未設(shè)置任何時(shí)間限制。由于沒有時(shí)間的限制，個(gè)人信息處理者為了逃避法律責(zé)任，完全有可能不通知或在事件發(fā)生很久之后再通知相關(guān)部門，無法防止損害后果的進(jìn)一步擴(kuò)大。因此，應(yīng)當(dāng)明確規(guī)定信息泄露報(bào)告義務(wù)履行的條件和方式。當(dāng)信息泄露范圍較小、涉及人數(shù)不多或可能對小范圍人群造成重大危急影響時(shí)，個(gè)人信息處理者只需要通過電郵、短信等方式一一通知。而當(dāng)信息泄露范圍較大、涉及人數(shù)眾多或可能造成大范圍重大危急影響的情況下，應(yīng)當(dāng)報(bào)告主管部門和公眾。當(dāng)信息泄露可能對其他網(wǎng)絡(luò)服務(wù)者業(yè)務(wù)產(chǎn)生重大影響的，還應(yīng)當(dāng)及時(shí)通知對方。同時(shí)，根據(jù)信息泄露的范圍、涉及人數(shù)和影響，通過實(shí)際統(tǒng)計(jì)和調(diào)研，法律法規(guī)應(yīng)當(dāng)設(shè)置科學(xué)并有梯度的標(biāo)準(zhǔn)，以明確通知對象的類型。例如，美國的《衛(wèi)生信息技術(shù)促進(jìn)經(jīng)濟(jì)和臨床健康法案》（）規(guī)定，如果涉及人數(shù)少于500 人，則只需提供書面通知。對于更大規(guī)模的信息泄露，需要通過知名媒體發(fā)布通知。同時(shí)，盡管泄露行為涉及不到500 人，也必須通知衛(wèi)生部部長。Gina Stevens,,https://sgp.fas.org/crs/misc/R42475.pdf,p.19.法律法規(guī)還應(yīng)當(dāng)明確規(guī)定通知期限，通知義務(wù)具有時(shí)效性，只有及時(shí)履行該義務(wù)才能達(dá)到及時(shí)止損的效果。例如美國華盛頓州的《數(shù)據(jù)泄露通知法》規(guī)定，企業(yè)在發(fā)現(xiàn)泄露后的30 天內(nèi)通知受影響的居民和州檢察長。

就使用階段而言，個(gè)人信息處理者在向第三方提供個(gè)人信息的情況下的告知義務(wù)需要進(jìn)一步明確?！秱€(gè)人信息保護(hù)法》第25 條規(guī)定需要取得單獨(dú)同意，即個(gè)人信息處理者在向第三方提供個(gè)人信息需要履行單獨(dú)告知義務(wù)。但是《個(gè)人信息保護(hù)法》中并未明確何為“單獨(dú)同意”，是否包括默示同意？如果要求個(gè)人信息處理者一一告知并獲得明示同意是否可行？“第三方”是否包含母子公司、總分公司等關(guān)聯(lián)企業(yè)？此外，第三方基于個(gè)人同意獲取個(gè)人信息后，是否還需要獲得個(gè)人信息處理者的同意？這都關(guān)系到個(gè)人信息處理者如何履行對外提供告知義務(wù)?；诠餐龠M(jìn)個(gè)人信息保護(hù)和流通的原則，從可行性出發(fā)，《個(gè)人信息保護(hù)法》中的“單獨(dú)同意”缺乏實(shí)操性。個(gè)人信息處理者可以采用“反向同意”的方式取得信息主體的同意，即個(gè)人信息處理者應(yīng)當(dāng)詳細(xì)告知信息主體第三方的身份、使用目的和規(guī)則，約定在特定時(shí)間內(nèi)信息主體如不提出異議視為同意。需要注意的是，如果第三方變更原先的處理目的、處理方式的，應(yīng)當(dāng)重新向個(gè)人告知并取得其同意。同時(shí)，如果第三方是個(gè)人信息處理者的關(guān)聯(lián)企業(yè)，需要判斷兩者是否是一個(gè)法人主體。如果同屬于一個(gè)法人主體，則不需要另行獲得個(gè)人的同意。除此之外，個(gè)人信息處理者仍需履行相應(yīng)的告知義務(wù)。

（三）侵犯個(gè)人信息行為的刑事責(zé)任限度

利用刑罰手段打擊個(gè)人信息犯罪是最嚴(yán)厲的法律手段，過度使用刑罰手段不利于個(gè)人信息的市場流通，而消極使用刑罰手段則無法保障個(gè)人信息安全。因此需謹(jǐn)慎使用刑罰應(yīng)對個(gè)人信息安全風(fēng)險(xiǎn)，設(shè)定個(gè)人信息犯罪的入罪門檻。入罪和出罪在刑事司法活動(dòng)中應(yīng)該是兩個(gè)相互對立又有機(jī)組合的裁判活動(dòng)。入罪方面，明確行政違法與刑事違法的界限是判斷侵犯個(gè)人信息的違法行為是否構(gòu)成犯罪的重要前提。根據(jù)違法相對論，行政違法與刑事違法之間是相對獨(dú)立的關(guān)系。以犯罪構(gòu)成三階層論為基礎(chǔ)，第一，法定犯在構(gòu)成要件符合性上具有從屬性。在判斷構(gòu)成要件符合性時(shí)都無法脫離前置行政法規(guī)的規(guī)定，這也是法定犯區(qū)別于自然犯的重要標(biāo)志。因此，在這一階段需要依賴行政法，發(fā)揮行政法的“門檻”作用，積極識別行政義務(wù)，即只有違反行政法義務(wù)的才能符合構(gòu)成要件，在行政法上合法的行為不符合構(gòu)成要件。在侵犯公民個(gè)人信息罪中，判斷“違反國家有關(guān)規(guī)定”構(gòu)成要件時(shí)，需要查找《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等相關(guān)前置法律法規(guī)，以判斷行為人的行為是否違反了相關(guān)義務(wù)。第二，法定犯在違法性判斷上具有獨(dú)立性。“違法性判斷”是與構(gòu)成要件符合性、有責(zé)性共同判斷犯罪是否成立的一個(gè)階層。因此，刑事違法性判斷應(yīng)當(dāng)包含構(gòu)成要件符合性和違法性判斷。只有同時(shí)符合兩個(gè)階層，才能具有刑事違法性。違法性判斷主要審查案件中是否存在排除違法的事由。在我國刑法體系下，違法阻卻事由可以分為法益性闕如原理的違法阻卻事由和基于優(yōu)越的利益原理的違法阻卻事由，前者如被害人承諾，后者如正當(dāng)防衛(wèi)、緊急避險(xiǎn)。違法性判斷是控制入罪范圍的重要步驟，也是實(shí)質(zhì)判斷刑事違法的重要標(biāo)準(zhǔn)。因此，法定犯的違法性判斷應(yīng)當(dāng)根據(jù)案件事實(shí)、刑法規(guī)定、法益保護(hù)原則等進(jìn)行判斷，是有別于行政法的獨(dú)立判斷。因此，刑法中的刑事違法性判斷確實(shí)具有相對性，在構(gòu)成要件符合性上具有從屬性而在違法性判斷上具有獨(dú)立性。在判斷侵犯個(gè)人信息行為是否構(gòu)成犯罪時(shí)，不僅需要通過前置法識別義務(wù)類型來判斷是否具有構(gòu)成要件符合性，還需要基于刑法條文對違法性進(jìn)行獨(dú)立判斷。例如，個(gè)人信息處理者為了保護(hù)個(gè)人的人身和財(cái)產(chǎn)安全，未經(jīng)個(gè)人同意對外提供個(gè)人信息的，未造成個(gè)人信息相關(guān)權(quán)益受損，則不應(yīng)當(dāng)入罪。

同時(shí)，應(yīng)當(dāng)搭建個(gè)人信息犯罪的出罪路徑。首先，個(gè)人信息處理者的中立幫助行為應(yīng)當(dāng)出罪。由于拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪與幫助信息網(wǎng)絡(luò)活動(dòng)罪的增設(shè)，中立幫助行為入罪的可能性增加。但是如果將中立的技術(shù)行為、義務(wù)行為等一律入罪，那么只會阻礙網(wǎng)絡(luò)經(jīng)濟(jì)和數(shù)據(jù)經(jīng)濟(jì)的發(fā)展。因此應(yīng)當(dāng)通過主觀和客觀兩方面判斷個(gè)人信息處理者的中立幫助行為是否入罪?？陀^方面，從前置法律法規(guī)上的義務(wù)和社會中一般人認(rèn)識到的事項(xiàng)為標(biāo)準(zhǔn)進(jìn)行事后判斷綜合評價(jià)行為是否制造了法所不允許的危險(xiǎn)。同時(shí)還需要判斷行為引起的結(jié)果是否是需要刑法評價(jià)的結(jié)果，是否在義務(wù)范圍之內(nèi)。主觀方面，要求行為人符合“明知”標(biāo)準(zhǔn)才具有有責(zé)性?！懊髦钡呐袛鄻?biāo)準(zhǔn)應(yīng)當(dāng)根據(jù)行為人需要承擔(dān)的義務(wù)范圍來認(rèn)定。例如，當(dāng)網(wǎng)絡(luò)中立幫助行為屬于正常的業(yè)務(wù)行為且其所幫助的犯罪行為不在其審查義務(wù)范圍之內(nèi)的，中立幫助行為“明知”就需要達(dá)到“確知”的標(biāo)準(zhǔn)。當(dāng)網(wǎng)絡(luò)中立幫助行為屬于其應(yīng)當(dāng)承擔(dān)的審查、監(jiān)督和管理義務(wù)之內(nèi)的，“明知”可以適用“確知”和“應(yīng)知”兩種標(biāo)準(zhǔn)。司法機(jī)關(guān)應(yīng)當(dāng)根據(jù)個(gè)人信息處理者的業(yè)務(wù)范圍和規(guī)模、內(nèi)部管理機(jī)制和審查機(jī)制等方面綜合評價(jià)行為人是否對犯罪行為“應(yīng)知”。

其次，基于信息主體同意的行為應(yīng)當(dāng)出罪。為了防止這種出罪事由被濫用，刑法也應(yīng)當(dāng)對被害人同意的有效要件進(jìn)行審查。“同意”不應(yīng)當(dāng)存在意思缺陷（欺詐、錯(cuò)誤以及強(qiáng)制）等因素。“同意”應(yīng)當(dāng)視為心理狀態(tài)和外部行為的統(tǒng)一?！巴狻钡呐袛鄳?yīng)具有雙重標(biāo)準(zhǔn)。在客觀歸屬的判斷方面，需要考慮行為人同意時(shí)的行為能力、同意的認(rèn)識。只有被害人具有意思表示和判斷的行為能力，同時(shí)對自己即將放棄的法益具有認(rèn)識時(shí)才能將行為和結(jié)果歸屬于被害人。在主觀歸屬方面，需要考察同意時(shí)的意志自由，可以從同意動(dòng)機(jī)、同意能力、理性選擇的可能性等因素加以判斷。只有同時(shí)滿足客觀和主觀兩方面，才能認(rèn)定“同意”的有效性。

最后，個(gè)人信息處理者違法性錯(cuò)誤應(yīng)當(dāng)出罪。個(gè)人信息相關(guān)的犯罪多是以法定犯的形式存在，法定犯的違法性認(rèn)識的認(rèn)定具有復(fù)雜性。但是基于法定犯的特殊性質(zhì)，仍能找出比較抽象的底線性原則，可以從違法性認(rèn)識錯(cuò)誤可避免性審查著手。可避免性的審查應(yīng)當(dāng)從主觀和客觀兩方面進(jìn)行判斷。第一，專門領(lǐng)域里專業(yè)人員避免違法性認(rèn)識錯(cuò)誤的可能性更高。法定犯都是以違反相關(guān)義務(wù)為前提的犯罪，當(dāng)行為人處于專門的行業(yè)領(lǐng)域之內(nèi)，應(yīng)當(dāng)具有他人所不具有的專業(yè)性知識，應(yīng)當(dāng)更加明確地認(rèn)知自身的義務(wù)，因此證明這類行為人具有違法性認(rèn)識錯(cuò)誤的要求更高。第二，當(dāng)行為人的行為已經(jīng)具有明顯的危害性和違法性，即使行為人聲稱自己不知道刑法的具體規(guī)定，也不能認(rèn)定行為人不具有違法性認(rèn)識。第三，當(dāng)行為人對行為是否違法存疑時(shí)，應(yīng)當(dāng)在自身能力可達(dá)到的范圍內(nèi)通過權(quán)威途徑對行為的性質(zhì)進(jìn)行“驗(yàn)證”。如果行為人未采取任何措施，不能認(rèn)定行為人具有違法性認(rèn)識錯(cuò)誤；如果行為人經(jīng)過“驗(yàn)證”后，仍認(rèn)為行為不是犯罪行為的，可以認(rèn)定其具有違法性認(rèn)識錯(cuò)誤。

結(jié)語

大數(shù)據(jù)作為戰(zhàn)略資源地位日益凸顯，個(gè)人信息的價(jià)值更在于流通與共享。但是數(shù)據(jù)的無序流通會使得隱私、安全與共享利用之間的矛盾問題尤為突出，數(shù)據(jù)資產(chǎn)地位尚未確立、數(shù)據(jù)治理體系遠(yuǎn)未達(dá)成，導(dǎo)致隱私保護(hù)和數(shù)據(jù)安全方面的重大風(fēng)險(xiǎn)。個(gè)人信息安全風(fēng)險(xiǎn)隨著數(shù)據(jù)應(yīng)用場景的多元會更加復(fù)雜，更需要刑事立法和司法作理念作出適度轉(zhuǎn)變。預(yù)防性刑法應(yīng)當(dāng)發(fā)揮風(fēng)險(xiǎn)調(diào)控的功能積極應(yīng)對個(gè)人信息違法犯罪風(fēng)險(xiǎn)，但也需要設(shè)定限度以保持謙抑本色。這更需要協(xié)調(diào)個(gè)人信息違法行為的行政責(zé)任與刑事責(zé)任。未來前置立法應(yīng)當(dāng)細(xì)化個(gè)人信息處理者的義務(wù)以及明確個(gè)人信息分類分級保護(hù)制度，保證前置法與刑法之間銜接順暢，同時(shí)又要?jiǎng)澢鍍烧呓缦?，才能?shí)現(xiàn)既保障個(gè)人信息相關(guān)權(quán)利又促進(jìn)個(gè)人信息合法流通的價(jià)值目標(biāo)。