对公民个人信息进行刑事保护的思考——基于疫情期间利益平衡的考量

王 诗 华

(北京师范大学刑事法律科学研究院， 北京 100875)

一、对公民个人信息进行刑事保护的基本立场

2015年《促进大数据发展行动纲要》的出台，将大数据发展上升为国家战略。目前作为社会发展、经济运转、科技进步的重要资源，数据信息在社会各个方面都发挥着重要作用。来自社会生活各个方面的数据信息，往往要牵涉到多个不同的主体与环节，通过一定的程序与规则实现收集，并最终交于特定的部门或主体例如政府机关等掌握。但是，在数据信息的产生、收集、传输、使用过程中，倘若没有遵循合法合规的路径，不仅有可能无法有效利用好这些数据信息，更有甚者会导致不法分子趁机利用进而引发刑事犯罪。因此，在涉及到数据信息的开发利用问题上，应当考虑到运用过程中可能出现的法律风险，并积极采取相应的法律措施予以调整规制。

大数据时代的来临，信息化程度越来越高，每个成员都与这个社会不可分割，尤其是成员自身的情况，即公民的个人信息更是社会信息当中的重要部分。目前，我国80%的信息资源都集中在公安、社会保障、卫生、教育、银行、税务、工商、电信、住建等各级各类部门中。这些关系到每个公民人身特征的信息，理应得到更高层次的关注和重视。但是长期以来，我国公民对于数据信息的认识和保护意识往往不强，尤其是在社会交往中相互之间缺少对彼此隐私的尊重。可以看到，在日常生活过程中，不少公民面对街头采访、调查问卷，或是在办理一些业务如房产中介、保险服务等需要登记公开个人信息的，往往总是呈现出积极配合、忽略风险的表现。大数据时代网络传播速度不断加快，这些信息一经传播就很难撤回。而一些不法分子在市场利益的诱惑下，趁相关政府部门监管能力不强以及配套法律制度的缺失，通过盗取、购买这些公民个人信息再加以利用，进而再实施诈骗、传销等违法犯罪行为。目前，我国公民个人信息的泄露、非法利用现象极其严重，若不加以规制，必将会对社会发展以及公民的人身安全带来极大危害。

2016年山东女孩徐玉玉因信息泄露遭遇诈骗身亡的惨痛案例仍在眼前。而在这次疫情期间，为了能够及时获取第一手的疫情来源信息，从而及时采取隔离送医等措施，全国各地从刚开始的统计排查武汉返乡人员信息，再到进出车站机场、超市公园等公共场所甚至是自家小区、乡村，都会被要求登记个人信息。在这些庞大信息量统计的过程中，不可避免地会涉及到大量的公民个人信息。随着个人信息收集和使用频率的增加，其泄露的风险大大增加。实际情况也正是如此，自各项排查措施开始后，在获得人民大力支持配合的同时，也不乏因个人信息泄露产生的争议，如一些武汉返乡人员的个人信息被泄露，遭遇不断的骚扰电话与谩骂；某地医院5名医务人员偷拍新冠肺炎患者相关信息并公开散布，造成相关小区住户恐慌；更有甚者利用这些泄露的信息实施诈骗等违法犯罪行为。尽管上述现象仅为个例，但仍为如何加强公民个人信息的保护提出了新的挑战。疫情的突发迫使公权力机构要对公民个人信息进行统计收集，但对于收集的过程不仅要依法依规进行，而且对于收集到的信息也只能服务于疫情防控工作的需要。基于此，中央网信办官网也于2020年2月9日发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，为疫情防控期间个人信息的收集与管控提供了指导性的建议，促进了个人信息收集的规范化与合理化。

作为其他部门保障法的刑法，其本身具有谦抑性及严厉性，因而刑事手段只有在碰到严重的犯罪行为时才能介入。目前对于刑事手段介入数据信息尤其是疫情期间公民个人信息的保护，应当以保护公民个人信息的基本利益诉求为出发点，借助全面而科学的立法规定及司法解释，使得刑事手段的严厉性和刑事法网的严密性更精准地落实在试图通过非法获取公民个人信息数据、对其进行违法利用、并最终破坏社会秩序和经济秩序的行为上，实现对数据信息时代经济活动和社会活动中涉及危害公民个人信息保护的精确打击，尤其是对于疫情期间利用公民个人信息实施违法犯罪活动的，更应该出重拳予以坚决打击，进而维护好社会安定以及公民人身安全。

二、公民个人信息的刑法保护在我国发展的历程与思考

(一)关于公民个人信息保护的刑法规范

立法层面上对于公民个人信息的愈加重视来自于《刑法修正案(七)》。其增加规定了“出售、非法提供公民个人信息罪”以及“非法窃取公民个人信息罪”两个罪名。在当时看来，这一修改具有重要的意义：首先增设这两个罪名实现了刑法保护法益的“前置化”。近年来公民个人信息被泄露、非法买卖利用等违法犯罪日益增多，尤其是对公民的人身财产安全带来了巨大威胁，因而有必要将刑法介入的“关口”前移，通过严厉的刑事手段对窃取、非法买卖公民个人信息的行为进行严厉制裁；其次通过立法进一步明确了“公民个人信息”这一概念。从立法表述及学理通说来看，“公民个人信息”一般被理解为“同公民个人有着密切联系，并借助于一定的载体、以多种形式存在的能够识别为特定个人的信息”。对于这一概念的明确，能够明晰其内涵与外延，从而进一步规范刑法所保护的此类对象。在这之后的《刑法修正案(九)》则是细化了相关规定。其将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围；随后《网络安全法》以及《关于侵犯个人信息的司法解释》也相继出台，不仅能够为保护公民个人信息保驾护航，同时也完善了对恶意使用、滥用公民个人信息的制度化处罚措施。

(二)对于公民个人信息保护的刑法定位

从现阶段的研究成果来看，在构建公民个人信息保护的刑法体系中，主要是从以下三个方面予以定位：

1.人身权、隐私权

理论界大部分学者认为，公民个人信息既包括显示其身份与外在特征、地位的姓名、性别、职业等人身信息，同时也含有大量的家庭成员、家庭住址、兴趣偏好、财力收入等更深层次的隐私信息。这些信息通过载体能够彰显对应的人格特征，关系到每个社会成员的切身利益，特别是人身健康安全等，理应从人身权、隐私权的角度切入，使其得到刑法的重点保护。

2.财产权

持这种观点的学者认为，公民个人信息作为大数据应用下的核心，有着不可估量的商业价值与经济利益。大数据的发展使得个人信息的流动显得更为频繁。除去基本用户信息的保密以外，用户行为偏好、位置信息以及其他行为监测等涉及个人的数据信息，不仅应用到了商业发展之中，更借助于跨领域的商业合作实现了跨行业的融合。尽管这些商业领域流转的、蕴含大量经济价值的信息看似并不存在风险，但倘若没有得到有力的保护，很有可能带来数据泄露、窃取等严重的商业损失，同时也给这些信息的基础来源——公民个人，带来未知的风险与挑战。所以鉴于其存在的巨大经济价值，应从财产权的角度考量，使其免受违法行为的侵害。

3.信息权

信息权这一概念在国内尚无统一的认识与定义。主要表现为个人信息的来源主体，拥有直接利用这些信息的权利。无论是自身应用还是将其转让、售卖，都能够创造相应的经济价值，从这个角度看，在内涵上与财产权似乎又有一定的重合之处。是否将信息权这一概念单独列出，使其成为刑法保护的法益，也是理论界需要关注的重点。

(三)以刑事手段保护公民个人信息当中遇到的问题

1.法律规范细化不够

欧美国家对于公民个人信息的保护，贯穿从收集、使用、监管整个过程之中。反观我国对于公民个人信息进行保护的刑事立法规定，明显只是把规制的侧重面放到了信息的使用、监管上，并未对每个阶段可能遭遇的风险进行明确分析。这就使得一些在信息收集当中出现的违法犯罪行为逃脱了法律的制裁。

2.法律体系之间的衔接不足

刑事手段的严厉性与谦抑性表明了只有在其他法律无法应对相关问题时，才可考虑刑法的介入。必须承认，近些年刑法对于涉及公民个人信息的违法犯罪打击颇多，但也需考虑到刑法的打击面是否过大。尤其是一些商业机构或商事主体对于个人信息的泄露，若统统采取刑事手段予以规制，可能会对其本身带来巨大的冲击。当刑事法律不适宜介入时，就需要民法、行政法等相关法律的作用。但目前刑事法律与其他法律在这一方面的衔接上存在很大的偏颇，要么只用刑法来打击完全不考虑其他法律的调节，要么就忽视刑法的作用放纵犯罪。这是目前需要关注的重点。

三、以刑事手段保护公民个人信息与疫情期间信息利用之间的利益权衡

(一)基于公民个人信息衍生出的刑事犯罪

在大数据时代，数据信息的价值日益攀升，尤其是公民个人信息往往能在一定程度上反映其家庭状况、收入水平等，因而针对公民个人信息的刑事犯罪逐渐增多，甚至部分呈现猖狂的程度。而这些刑事犯罪大多借助于公民个人信息的泄露或是通过买卖获取，进而再实施下一步的犯罪行为。归纳来看，公民个人信息泄露的途径主要如下：

一方面，从大量的日常生活、新闻报道可以看到，一些网络黑客利用先进的跨站脚本、上传漏洞、网络钓鱼等攻击网站，再利用网站的技术漏洞攻破网站的安全机制后获得数据库的访问权限，进行批量数据的下载，进而通过倒卖信息牟利；同时不少房产中介、快递员等，会将其借助于业务往来掌握的公民个人信息非法买卖，获利颇丰。而在盗取、买卖的过程中，数以万计条信息被廉价倒卖，更形成了“信息泄露者”与“受传者”之间非法交易个人信息的利益链条，造成的危害后果触目惊心。

另一方面，公民个人信息泄露的源头更来源于职能部门。目前我国80%的信息资源都集中在公安、社会保障、卫生、教育、银行、税务、工商、电信、住建等各级各类部门中。而据公安部专案打击个人信息泄露犯罪的统计数据，在挖出的信息泄露源头来看，大部分信息泄露来源于民政、工商、电信、司法、银行等领域，而泄密者往往都是这些领域的工作人员，小部分可能因为操作不当、监管不周导致泄露，但很大一部分皆是因为金钱利益而出卖公民的个人信息。个人信息买卖巨大利益的驱使再加上部分工作人员职业道德的滑坡，共同导致了目前利用公民个人信息进行刑事犯罪数量激增。

再联系到如今的疫情防控。不少新闻媒体报道，早在疫情初期一些基层工作人员因操作不当，致使大量统计的武汉返乡人员信息泄露。这些信息被泄露的公民，轻则无端挨骂，重则骚扰不断，甚至被诈骗、恐吓钱财。作为新兴事物的“健康码”，尽管目前利用其进行刑事犯罪的现象极为罕见，但作为全国13亿人民皆持有的“健康码”，其包含个人姓名、住址、工作、身体状况等大量极具隐私性的公民个人信息，倘若监管不力被黑客盗取或是一些工作人员为牟利而贩卖，所造成的后果不堪设想。因而有必要引入刑事手段，不仅做好个人信息的安全维护，更进一步实现对公民个人合法权益的保障。

(二)疫情期间信息使用与个人信息保护的价值冲突

信息时代的发展使得借助于某些极具个人特征的信息，就能够更深层次的追踪定位到家庭成员、家庭住址等完全属于隐私的内容。这些内容必须受到刑事法律法规的严加保护。但在一定的特殊时期，又不得不采集、统计这些公民个人信息用以疫情防护、医疗隔离。

一方面，公民的个人信息属于刑法所要保护的重要法益之一。公民个人信息与社会的存在与发展密切相关，其经历了公民的个体诉求、社会的承认以及作为国家意志的法的确认，进而成为了刑法的法益保护对象，因而政府部门在行使公权力时必然首先要考虑到其行为是否侵犯到了公民个人信息这一法益。另一方面，不论是日常生活还是疫情期间，对于数据信息尤其是公民个人信息的采集、应用，能挖掘到巨大的价值。公权力的存在是为了更好地保护私权。公民将个人信息交于公权力部门，那么其必须保证制度的施行是以合法合理为前提的。目前来看，如何解决好公民个人信息保护与疫情期间信息利用的价值冲突必然成为摆在相关部门面前的一道难题。因此通过对二者之间的权衡比较，寻找解决价值冲突的最佳解决路径，从而实现在刑事法律大框架的保护之下，促进公民个人信息在疫情期间的有效应用。

四、关于公民个人信息刑事保护问题的思路建议

可以看到，疫情期间收集、使用的公民个人信息数量远远高于平时，自然违法违规现象也可能相应增加。法者，治之端也，在坚持全面依法治国的大背景下，不仅要以合法合理的形式收集个人信息；同时有必要采取比以往更为严格的措施，防范以防控疫情之名违规收集使用个人信息的行为。就工作实际而言，应当从以下方面予以考虑。

(一)深化对公民个人信息刑事保护在法益侵害内容上的认识

除去专门和直接针对公民个人信息的犯罪行为外，在立法层面上可以借鉴德日两国的做法。即借助于《数据保护法》中将侵害公民个人信息的具体行为进行概括，不限于但包含对于无支配权限的数据信息进行收集、处理，并借助自动化程序实现信息提炼和归纳，上述行为均违反了将个人特征聚合的禁止性规定。可以说，这种将法益侵害认识深化的结论，将法益侵害的认识范围扩大到可能处理和使用该数据信息的不当用途。在做相关立法时，应考虑采用法律义务的正面清单模式，详尽列举需要扩充和规范的行为方式。也即是疫情期间违规收集、处理公民个人信息的行为也属于法益侵害的范畴，理应使用刑法调节。

(二)加强对信息收集、使用、监管主体的刑事规制，细化法律规范

目前来看，我国关于个人信息的刑法保护多集中于信息的使用、监管阶段，修改过的“侵犯公民个人信息罪”更多把打击的重点放在了信息的窃取、买卖上，不存在对每个阶段的风险划分。因而有必要从信息利用的各个阶段与主体入手，强化刑事规制、细化法律规范。

就个人信息的收集者而言，其作为获取信息的源头，首先应当严格遵循有关信息收集的范围与程序，坚持“最小够用”原则，尤其是在收集疫情相关的信息时，应对疫情防控无关的信息绝不收集；同时应加强对于个人信息收集工作人员的资质管理，严防无资质主体非法收集个人信息，对不具有资质却非法采集信息的工作人员，可考虑以滥用职权罪定罪。

就个人信息的使用者而言，在对公民个人信息使用过程中，必须最大限度地保护有关当事人的合法权益，杜绝个人信息的随意泄露和滥用。特别是对于疫情期间收集到的信息，在疫情结束后，应当及时删除相关信息，彻底消除隐患。若相关工作人员在使用过程存在不当或是有用于违法犯罪之处，除了以“侵犯公民个人信息罪”定罪，也可考虑其行为是否符合其他相应罪状

而就监管者而言，其作为最后一道防线，必须认真履行自身职责，不仅要加强相关法律法规的普及力度，还要严肃查处违法犯罪行为，特别是打击信息泄露与买卖的利益链，增强法律法规的威慑性。若其存在履职不力、致使大量公民个人信息泄露的情况，可以玩忽职守罪惩处。

(三)扩大对公民个人信息刑事保护价值的开放性认识

可以看到，在疫情期间大数据的广泛应用不仅为疫情的联防联控提供了数据支撑，更为疫情期间刑事犯罪的侦查与查处做出了贡献。例如一些逃犯因没有“健康码”而主动投案自首，还有一些利用公民个人信息进行诈骗的犯罪分子也因信息公开而被逮捕。应当看到，对于公民个人信息的运用不仅能够投入到打击此类犯罪的刑事侦查、刑事司法领域，反过来保护好此类信息；还可以考虑提升技术水平，将此类信息运用到未来的犯罪预防当中。例如对于此类犯罪的信息和案件查处可以不断加大司法公开力度，使公众有条件依据公开的数据地图、信息互动，为安全生活和行动提供参考。

(四)实现刑法与其他法律在保护公民个人信息上的协调有序

如前所述，刑法手段的严厉性及其本身的谦抑性，决定了其应当保持公民个人信息刑事保护措施最后手段的定位。如果刑法总是冲在法益保护的最前列，那么难免有滥用和扩大打击面之嫌。针对公民个人信息的保护，最佳之策当为协调好刑法与其他法律之间的介入。例如一些网站或企业因一些原因泄露信息，或是买卖信息尚未达到情节严重标准的，这时可从其他法律入手解决。从民事法律来看，可对其增订惩罚性赔偿；从行政法的角度看，轻者可对其罚款、警告，重者可责令停业整顿、吊销营业执照等。这些法律措施的存在必然能舒缓现实需要对刑事保护措施的仰仗和依赖。

五、结语

大数据时代每个人都不能“独善其身”，必然会存在相互之间的信息交流。而在这个交流的过程中，必然会出现利用个人信息从事违法犯罪活动，尤其是对于疫情期间出现的此类犯罪，这时既需要刑事法律的介入，也需要细化法律规范，从多个角度对信息收集利用的各个过程进行刑事规制，同时做好刑法与其他法律之间的协调，共同推进对于公民个人信息的保护。