【我国刑法对公民个人信息保护的不足问题探析综述7400字】

我国刑法对公民个人信息保护的不足问题分析综述目录TOC\o"1-2"\h\u13195我国刑法对公民个人信息保护的不足问题分析综述 111587一、犯罪构成方面存在的问题 14226（一）个人信息界定标准不明确 123552（二）入罪主观方面设置不合理 39861（三）入罪行为方式过窄 423019（四）“情节严重”认定模糊 630982二、刑法保护体系存在的问题 722848（一）前置性法律缺位 7923（二）起诉模式不合理 8我国对个人信息的刑法保护已经在不断修正与完善，通过上一章对实践状况的分析可看出，国家积极出台相关制度对犯罪的打击已经初见成效，但将理论与实践相结合后，还可发现我国相关立法中存在的一些不足之处。基于此，笔者总结出我国刑法对于本罪在犯罪构成上的不足与刑法保护体系的不足两部分予以论述，可使下一步借鉴他国立法与更好完善我国立法更具有针对性。一、犯罪构成方面存在的问题（一）个人信息界定标准不明确明确个人信息的内涵事关本罪认定，可避免在司法实践应用中产生争议，也可达成信息利用与保护的平衡。就目前刑事立法而言，个人信息界定存在的问题主要体现在以下方面：1.主体模糊第一，关于“公民”的争议。对于“公民”一词应当如何理解，从严格文义解释角度来看，根据我国《宪法》规定，《宪法》第33条第1款：凡具有中华人民共和国国籍的人都是中华人民共和国公民。我国法律中“公民”一词仅应包括具有我国国籍的人，这就涉及到侵犯外国人或无国籍人的信息是否应当受我国刑法保护的问题。从目前其他国家和地区的立法情况来看，主要存在肯定说与有限否定说两种观点，周汉华：《域外个人数据保护法汇编》，法律出版社2006年，第308页。《宪法》第33条第1款：凡具有中华人民共和国国籍的人都是中华人民共和国公民。周汉华：《域外个人数据保护法汇编》，法律出版社2006年，第308页。1974年美国《隐私权法》第1条第2项之规定：“个人”是指合众国的公民或合法批准永久居留的外国人。赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期。曲新久：《论侵犯公民个人信息犯罪的超个人法益属性》，载《人民检察》2015年第11期。第二，关于“个人”的争议。对于“个人”的理解，是否应当包括“法人、非法人组织”，以及对于“失去生命体征的死者”和“尚未出生的胎儿”的信息是否也需要保护存在不同的看法。（1）对于“个人”是否应当包含法人与非法人组织这一问题，从其他国家法律来看，大部分国家都倾向于将关于个人信息保护的条款归属于“人格权”下，将保护主体仅限于自然人，认为只有自然人才涉及人格权的问题。但也有一些国家将“法人”纳入保护范围，如意大利、奥地利等。（2）对于“个人”是否应当包含死者这一问题，目前存在两种学说：肯定说与否定说。支持肯定说的学者对如何保护死者信息也存在不同看法，一部分学者认为应当全面性的对死者信息进行同等保护，不应当与生者信息进行差别区分，还有部分学者认为可以以附加条件的形式对死者信息进行保护，如以“死者信息涉及到生者时”为限定条件，此时保护这类信息实质上就是对生者的保护，特别是对死者近亲属利益的保护。马改然：《个人信息犯罪研究》，法律出版社2015年，第26页。刘德良教授对此表示赞同，认为因为个人信息具有识别性特征，如果一些信息可以直接或者间接识别出某一死者，这样与识别出生者没有本质区别。还有一种肯定说认为可以借鉴知识产权保护期的规定，将死者的信息限定保护期限，如设置10年等类似期限。否定说认为，“个人”不应包括死者信息。因为在我国民法体系中，民事权利能力终于马改然：《个人信息犯罪研究》，法律出版社2015年，第26页。2.权属不明个人信息的权属情况是个人信息保护的法律权源，在个人信息保护法制度建设中具有重要作用，影响着司法实践对于该概念的理解与应用。关于权属情况，主要有以下四种学说：第一，所有权说。认为个人信息是一种财产利益，明确性质为财产权，信息主体可以被视为信息的所有人，可以依据所有权理论对个人信息进行处置。汤擎：《试论个人数据与相关法律关系》，载《华东政法学院学报》2000年第5期。第二，隐私权说，主张个人信息是一种隐私利益，与侵犯隐私权是一样的，该学说源于美国，我国香港特别行政区受美国法影响，就采用的该种学说。第三，人格权说。认为个人信息是一种人格利益，完全排除了财产权益，将个人信息保护看作是对人格尊严的保护，并认为这是一种公民与生俱来、不可分离的权利，可作为一般人格权，对个人信息保护采取人格权的保护模式。郎庆斌、孙毅、杨莉：《个人信息保护概论》，人民出版社2008版,汤擎：《试论个人数据与相关法律关系》，载《华东政法学院学报》2000年第5期。郎庆斌、孙毅、杨莉：《个人信息保护概论》，人民出版社2008版,第148页。1990年德国《联邦数据保护法》第1条：本法旨在保护个人的人格权，使其不因个人数据的处置而遭受侵害。我国台湾地区“个人资料保护法”第1条：为规范个人资料之收集、处理及利用，以避免人格权受侵害，并促进个人资料之合理利用，特制定本法。齐爱民：《论个人资料》，载《法学》2003年第8期。3.范围存疑关于“信息”的争议。刑法所保护的个人“信息”范围是否应当与其他法律部门一致，目前主要有三种学说：第一，一致说。认为刑法与其他法律不应当区分“信息”范围，应当各部门法之间保持一致，这样才有利于日后各部门法之间的相互衔接，而且该观点认为刑法与其他部门法之间的区别不是在保护范围大小上，而是在惩罚程度上，是在侵害行为达到了严重危害社会的程度，其他部门法不足以达到惩罚目的，才会使用最严厉的刑法惩戒手段。第二，扩张说。认为“信息”的范围应当十分广泛，无形式和范围的限制，并应该对现有“信息”内涵与外延进行扩张。赵秉志教授认为有关个人的一切信息、数据或者情况都可以被认定为个人信息。赵秉志：《刑法修正案最新理解适用》，中国法治出版社2009版，第赵秉志：《刑法修正案最新理解适用》，中国法治出版社2009版，第117页。（二）入罪主观方面设置不合理我国并没有规定关于本罪的过失犯，目前法律中所规定的获取信息的行为方式包括出售、提供或窃取等非法方式，这些行为方式显然是行为主体积极主动作为的，行为主体有着明确的认知，这种心态属于故意。一些学者认为，一方面本罪过失犯罪调查举证较为困难，也难以证明因果关系，而且本罪的故意犯罪刑罚较轻，再加入过失犯罪并无必要。另一方面不合理扩大刑法辐射范围也易造成被滥用的风险。张燕云：《张燕云：《大数据时代个人信息刑法保护研究》，山西大学硕士论文2019年，第30页。张巍：《涉嫌网络犯罪相关行为刑法规制研究》，华东政法大学博士论文2017年，第39-42页。笔者认为，本罪仅将故意行为入罪无疑反映出我国对于本罪在刑法规制上存在不足。当今，个人信息已成为各行业发展抢占的一手资源，而且行业信息蓄水池越来越大，我国立法应当具有一定的前瞻性，才能避免法律频繁变动。而且处在风险社会的当下环境中承认过失危险犯概念是应对风险社会的必然选择。刘宪权：《危险驾驶罪主观方面的刑法分析》，载《东方法学》2013第1期，第36页。实践中，由于意识淡薄、不负责任而泄露个人信息的案件时有发生，与故意相比，过失泄露的客观社会危害程度有时与故意相当，甚至更大。如2020年某快递公司内部员工与外部不法分子形成犯罪链条，互相勾结，致使40多万公民个人信息泄露。事后该公司仅发布道歉声明，并将全部责任归结于员工。就该公司而言，其并没有承担多大的责任，而且该公司因管理不善造成信息泄露的事件2013年也曾出现过，2020年这次泄露事件已经不是第一次发生。诚然，刘宪权：《危险驾驶罪主观方面的刑法分析》，载《东方法学》2013第1期，第36页。（三）入罪行为方式过窄根据《刑法》第253条规定，《刑法》第253条第1款和第3款规定了“违反国家有关规定，向他人出售或者提供公民个人信息”和“窃取或者以其他方式非法获取公民个人信息”两种行为方式。入罪行为方式总体而言包括《刑法》第253条第1款和第3款规定了“违反国家有关规定，向他人出售或者提供公民个人信息”和“窃取或者以其他方式非法获取公民个人信息”两种行为方式。1.非法泄露“向他人出售或者提供”中，“出售”一词一般指有偿转让。公民的信息价值目前尚未有清晰界定，是无法用市场价格衡量的，即“出售”不以获取对价为要件，只要是有偿转让、获取财产性利益即可。所以，只要违反国家规定而向他人出售，不论是否有相应对价交换，实施出售行为且获得一定报酬即构成“非法出售”。“提供”是指除“出售”以外的其他非经济的供给行为。即根据国家相关规定，行为人不应将自己掌握的公民个人信息提供给他人却予以提供的行为。段晓妮：《个人信息刑法保护问题研究》，吉林大学刑法学硕士学位论文2011年，第28-29页。提供行为的方式可以是多样的，如可以是口头、书面，也可以是赠与，不要求获得利益，“非法提供”的重点在于非法性，排除段晓妮：《个人信息刑法保护问题研究》，吉林大学刑法学硕士学位论文2011年，第28-29页。《刑法》第253条第2款是对第1款的从重处罚规定，《刑法》第253条第2款规定：违反国家有关规定，将在履行职责或者提供服务的过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。强调违反了公民的信赖利益以及违反行业操守，非法出售和提供的是经合法收集的个人信息。因为公民基于信赖而交付信息，而相关收集信息人或单位合法占有公民信息，却违背了公民的合理信赖，滥用权力将信息泄露了出去，《刑法》第253条第2款规定：违反国家有关规定，将在履行职责或者提供服务的过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。2.非法获取“窃取或以其他方法非法获取”中，“窃取”一词便于理解，也就是偷窃取得，秘密获得，与“盗窃”同义。而对于“以其他方法”则有不同的理解，观点一认为，“窃取”既然与“其他方法”并列规定，那么“其他方法”应当与“窃取”具有相同或至少接近的性质，应当是指除了盗窃以外的其他非法性手段，如诈骗、抢劫等，而其余的没有非法性的手段则不应当被认定于此行为中。观点二认为，“其他方法”应当包括一切非正当化手段，即没有合法根据而获取公民信息。包括诈骗、抢劫等，也应当包括购买、受赠等一些无非法性事由。笔者认为，对于“其他方法”确应当以观点二更为妥当，因为若一些不具有非法性的行为不被认定为非法获取的话，则会放纵一些下游犯罪，对购买、租借他人信息的行为，无法给予刑事上的惩罚。对于“非法获取”也有不同的理解。观点一认为，“非法”指违反法律法规的禁止性规定。观点二认为，“非法”指没有法律依据而获得，也就是将一切没有合法规定而获得他人信息的行为均认定具有非法性。笔者认同观点二，第一，该条款中规定的“非法”应当主要是区别于“合法取得”行为，如为了国家安全或侦查机关为了侦破案件等需要而收集公民信息的行为则为合法行为，所以不具有“非法性”。第二，若仅仅按照观点一所言，则有很多行为无法提前预防，一些可能会将公民置于风险之中的行为由于没有违反法律规定也得不到很好的规制，如公开收集他人信息的行为和偷拍、偷录他人信息的行为等。第三，我国目前没有规定本罪的前置性法律规范，“违反法律法规的禁止性规定”无系统法可依，虽零散见于各种法律之中，但缺乏系统和完整性，观点一的想法会给司法实践带来很多困难。所以，应当认为只有合法主体通过合法手段获取的个人信息才受到法律保护。总之，通过上述分析，《刑法》第253条规定的入罪行为方式包括在源头取得上不能具有非法性，以及取得的主体不得非法转出，这个过程可以看做是首、尾保护，但从信息流转整个过程来看，不仅非法获取和非法泄露需要规制，获取之后到泄露之前的中间行为，即“非法使用”的行为，也需要进行规制。保护公民个人信息的目的不能仅是保护信息本身，更重要的是要防止信息被用于违法犯罪，防止公民个人信息被非法使用和滥用。目前法律对非法使用行为并无规制。在大数据时代，软件管理者非法收集公民信息以便于更加精准推送的行为越发普遍，比如我们在日常所使用淘宝、京东等网站上进行浏览以及购物的时候，我们的通讯地址及姓名、电话等个人信息就被商家所存留。每年我们的消费者权益保护机构也会查处一些非法收集个人信息的软件予以惩处，但目前来看，并没有扼杀住这种情况。商家们有义务保障我们的个人信息不被非法的使用，但我们也可以深刻感受到，我们手机中所收到的各种营销短信与日俱增，特别是每年的“双十一”、“春节”等节日之际。很多人不堪其扰，却无法正常维权，商家作为信息收集持有者，需主动作为尽力尽责地妥善保管信息库，法律也不能因公民未受到实际损失就不对非法使用行为放任不管。（四）“情节严重”认定模糊刑法第253条规定了“情节严重”限定，《刑法》第253条规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。使该罪成为情节犯，但对于如何把握该标准表示的不够明确，对于“情节严重”与否的认定关系到罪与非罪的界限，因此将其厘清对司法实践来说十分重要。我国在2017年6月施行了《解释》，其中第5条第1款中列明了“情节严重”的《刑法》第253条规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。根据《解释》规定可将信息分为以下几种：侵犯信息的数量和所属种类、违法所得的金额、是否再次犯罪、是否明知他人用于犯罪。并且可将个人信息依属性分为高度敏感信息高度敏感信息：行踪轨迹信息、通信内容、征信信息、财产信息。、一般敏感信息一般敏感信息：住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。和一般信息三类，起刑点分别为50条、500条、5000条。基于此，笔者认为对于“情节严重”的规定存在着高度敏感信息：行踪轨迹信息、通信内容、征信信息、财产信息。一般敏感信息：住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息。第一，缺乏整体考虑。在《解释》中，只要满足八种角度之一即可满足情节入罪要求，不区分先后顺序和优先性，导致在实践使用时“避难就易”，司法机关一般都倾向于去判断数量是否符合标准，就不再去考虑其他要素。而且判定情节是否严重，仅以数量划分是不严谨的，因为在实践中有些案件数量情节并不是关键要素，收集信息数量多并不一定意味着社会危害性大，所侵犯信息数量少也不当然所造成的危害小，而且因目前的时代背景导致，云服务器储存、服务的公民个人信息数量常以万、百万为单位，云端已经成为了一个巨大无比的网络资源池，想要获得数万信息可能仅需几分钟即可得到，根本无需付出多大的金钱代价与时间成本。根据第二章实践状况研究所得，仅在不到200例案件中，收集公民信息数量超过5000条的案例就已达到60%，所以在某些动辄数千、数万的犯罪案件中或案件存在多种情节要素时，数量要素就显得用处不大，且海量数据会更加导致实践办案的唯数量论倾向，缺乏综合性、整体性考量。总而言之，数量只是衡量危害性的角度之一，其真正应当考虑的是对公民合法权益的侵害程度，仅通过数量并不能准确反映出社会危害性，还需要结合其他方面来综合判定，才能准确打击犯罪行为，如信息用途、获利情况等，在实际司法过程中辩护人发表意见时通常也会以涉案信息仅用于合法经营为理由进行罪轻辩护。第二，信息类别归属不清。根据《解释》中的规定，类别归属决定了入罪门槛的高低，即涉及罪与非罪、重罪与轻罪的问题。实践中，司法机关与辩护人对于涉案信息的类别归属常会有不同的意见和看法。一方面，有些信息本身很难被清晰划分入哪一档类型中，如在“张某某、赵某侵犯公民个人信息”一案中，山东省淄博市高青县人民法院刑事判决书（2018）鲁0322刑初53号。双方对于“车辆档案”是否属于财产信息存在争议。被告人张某某通过公安网非法获取他人车辆信息至少2732条，非法获利57285元。司法机关认为根据相关规定车辆档案信息属于财产信息，《检察机关办理侵犯公民个人信息案件指引》（高检发侦监字〔2018〕13号）中规定：对于财产信息，既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息（一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等），也包括存款、房产、车辆等财产状况信息。但辩护人以被告人收集信息的使用用途不会对公民财产造成危害为由认为本案中车辆信息属于一般敏感信息。辩护人认为：被告人获取的车辆信息主要用于二手车交易中确定是否存在抵押、盗抢等情况，未对公民财产造成现实的危害，故本案中车辆信息属于“可能影响公民人身、财产安全的公民个人信息”。最终司法机关坚持了主客观相统一的原则，采纳了辩护人的意见。另一方面，一些信息还会存在竞合的情况，如“贷款山东省淄博市高青县人民法院刑事判决书（2018）鲁0322刑初53号。《检察机关办理侵犯公民个人信息案件指引》（高检发侦监字〔2018〕13号）中规定：对于财产信息，既包括银行、第三方支付平台、证券期货等金融服务账户的身份认证信息（一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等），也包括存款、房产、车辆等财产状况信息。辩护人认为：被告人获取的车辆信息主要用于二手车交易中确定是否存在抵押、盗抢等情况，未对公民财产造成现实的危害，故本案中车辆信息属于“可能影响公民人身、财产安全的公民个人信息”。蔡金燕：《论侵犯公民个人信息罪之“公民个人信息”》，浙江大学硕士论文2018年，第14页。而且除此之外，信息是否必须为真实有效信息，信息的真实有效性如何逐一判定，都是司法实践中很棘手的问题。二、刑法保护体系存在的问题（一）前置性法律缺位自2003年起，我国就开始着手制定个人信息统一立法的草案，但至今《个人信息保护法》仍未正式出台，对于个人信息最理想的保护就是建立行、民、刑三位一体、互相衔接的立法体系，而正是因为缺乏完备的前置性法律，才给司法实践带来了很多难题。根据刑法第253条之规定，“违反国家有关规定”是构成本罪的前提要求，“有关规定”的具体范围在《解释》中进行了回应，但范围比较广泛，《关于办理侵犯