陳 寧

(中國社會科學(xué)院 研究生院，北京 102488)

數(shù)據(jù)天然具有全球化屬性，數(shù)據(jù)跨境流動將是未來國際貿(mào)易的必然趨勢，其中，公民個人信息跨境流動安全的保護(hù)更具重要性，除了制定和完善專門的公民個人信息保護(hù)法之外，更離不開刑法的保障。筆者根據(jù)現(xiàn)有刑法在保護(hù)公民個人信息跨境流動中存在的問題，借鑒國外經(jīng)驗(yàn)，提出進(jìn)一步完善的辦法，以增強(qiáng)公民信息跨境流動的刑法保護(hù)和交流合作，努力構(gòu)建適合中國發(fā)展階段的國際規(guī)則[1]。

一、公民個人信息跨境流動刑法保護(hù)的必要性

(一)刑法保護(hù)的必要性

在互聯(lián)網(wǎng)全球化發(fā)展的背景下，幾乎每個人都成了互聯(lián)網(wǎng)的數(shù)據(jù)符號。隨著國際交流合作變得更為廣泛和頻繁，數(shù)據(jù)流動(包括公民的個人信息跨境流動)頻率也不斷攀升。如2015年“雙十一”購物，阿里巴巴跨境出口訂單共計2 124萬筆，覆蓋了200多個國家和地區(qū)。公民的個人信息跨境流動是指公民個人的相關(guān)數(shù)據(jù)和信息由國內(nèi)的服務(wù)器傳輸?shù)絿獾姆?wù)器。個人信息跨境流動主要有五種情形：(1)公民個人出境旅游、購物，在境外產(chǎn)生的個人消費(fèi)信息記錄；(2)C2B/C2C電子商務(wù)交易模式，公民個人在網(wǎng)購交易平臺購物消費(fèi)產(chǎn)生信息的出境、入境的雙向流動;(3)B2B電子商務(wù)模式，主要涉及外國公司內(nèi)部的個人信息跨境流動；(4)各種應(yīng)用軟件、游戲網(wǎng)站、比特幣交易以及數(shù)據(jù)交易、數(shù)據(jù)分析活動等涉及的個人信息流動；(5)專門有個人或者企業(yè)進(jìn)行非法數(shù)據(jù)竊取，把國內(nèi)的個人信息數(shù)據(jù)傳到國外的服務(wù)器上。

隨著公民信息跨境流動的增多，刑法保護(hù)力度也要同步加強(qiáng)。公民個人信息本身包含著豐富的個人財產(chǎn)、隱私信息等內(nèi)容，對犯罪分子誘惑巨大。敏感核心的關(guān)鍵信息一旦泄露，會導(dǎo)致公民財產(chǎn)損失或者個人名譽(yù)受損；非敏感信息的泄露，如姓名、住址、購物習(xí)慣等，也容易被不法分子掌握利用，成為非法詐騙等犯罪活動的上游信息來源。如2015年，上海經(jīng)偵總隊(duì)數(shù)據(jù)表明，涉滬的電信詐騙15.1億中的9億被卷入臺灣地區(qū)，而電信詐騙的手段之一就是非法侵犯公民個人信息[2]27?？梢哉f，侵犯公民信息已經(jīng)成為各種下游犯罪的源頭，是刑法嚴(yán)厲打擊的對象，依靠刑法規(guī)范震懾公民信息犯罪必不可少。

此外，公民信息的跨境流動也增加了國家經(jīng)濟(jì)安全、金融安全、貿(mào)易保護(hù)等方面的風(fēng)險。大數(shù)據(jù)背景下的各種信息算法和處理技術(shù)可以把看似與公民無關(guān)的信息，如公民網(wǎng)絡(luò)購物等信息進(jìn)行深度加工和處理，再結(jié)合其他數(shù)據(jù)，就可能分析得出對公民個人，甚至國家安全、經(jīng)濟(jì)安全等產(chǎn)生重要影響的結(jié)果。

(二)跨境刑法協(xié)作的必要性

個人信息跨境流動會給不同國家的法秩序提出嚴(yán)峻挑戰(zhàn)，尤其是刑法，因?yàn)樗谧陨砦幕某潭缺热魏畏深I(lǐng)域都高[3]392。治理網(wǎng)絡(luò)犯罪，國內(nèi)刑法從一開始就顯得力不從心，因此，公民個人信息跨境流動需要世界不同國家和地區(qū)間的溝通與司法協(xié)作，我國要主動與國際接軌，參與并制定對我國更加有利的保護(hù)制度和規(guī)則。

目前，超國家的刑法主要是國際刑法，公民個人信息跨境流動頻繁帶來的數(shù)據(jù)網(wǎng)絡(luò)犯罪這一全球性問題的解決面臨的困難是：全球性的訴訟程序完全不可控制，國家必須將自己限制在保證經(jīng)濟(jì)的框架性條件以及對個案不合理情形的糾正上[3]393。這一看法體現(xiàn)了經(jīng)濟(jì)優(yōu)先權(quán)的主張，被大家視為政治和法律的終結(jié)[4]。這完全是一種悲觀主義的看法。事實(shí)上，在民主憲政國家，用來解決社會秩序的不是市場而是政治，刑法是保護(hù)手段之一，不能因?yàn)榻?jīng)濟(jì)利益的市場化，影響到公民個人信息權(quán)等重大法益的保護(hù)。在全球化大背景下，信息本身的無國界性和流動性更加需要超國家法的協(xié)調(diào)。

二、公民個人信息跨境流動刑法保護(hù)的正當(dāng)性

(一)公民個人信息跨境流動相關(guān)法律保護(hù)不足

一是還未建立專門的機(jī)構(gòu)及制定專門的法律。首先，我國還沒有創(chuàng)立專門的保護(hù)公民個人信息的法律，更妄談跨境流動信息的保護(hù)。公民信息跨境流動需要詳細(xì)、系統(tǒng)的規(guī)范，比如公民個人信息數(shù)據(jù)從境內(nèi)轉(zhuǎn)移到境外需要滿足什么樣的條件等，要有明確的標(biāo)準(zhǔn)和程序進(jìn)行信息分類和過濾。國家也要建立健全相應(yīng)的信息分類制度、安全審查制度、評估制度等，對特定商品如何審查、對信息在國外的存儲安全如何評估等，都需要制定專門的法律。我國專門的個人信息保護(hù)法一直沒有正式出臺，原因雖然是多方面的，但是個人信息保護(hù)的復(fù)雜性應(yīng)是重要因素。2017年4月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息和重要數(shù)據(jù)出境安全評估辦法》，對有關(guān)數(shù)據(jù)出境安全評估做了進(jìn)一步細(xì)化，也為我國公民個人信息立法提供了參考。其次，我國也沒有明確專門負(fù)責(zé)公民個人信息跨境流動的主管部門。一旦公民個人信息跨境泄露，發(fā)生財產(chǎn)損失或刑事詐騙等民事、刑事案件，司法程序處理較復(fù)雜。因?yàn)閿?shù)據(jù)一般存儲在國外公司或企業(yè)的服務(wù)器上，國內(nèi)沒有實(shí)體，取證、維權(quán)程序繁雜。對服務(wù)器在境外的公司是否盡了安全保障義務(wù)、是否遵守了中國法律，沒有專門的維權(quán)機(jī)構(gòu)很難開展取證等工作。在法治非常健全的國家，都會設(shè)立專門機(jī)構(gòu)負(fù)責(zé)公民信息跨境流動的維權(quán)和保護(hù)，按照專業(yè)程序?qū)€人信息權(quán)益進(jìn)行救濟(jì)和保護(hù)，這既是網(wǎng)絡(luò)信息流動性、保密性、開放性的要求，又能降低一般行政監(jiān)管成本，提高專業(yè)監(jiān)管技術(shù)水平。

二是跨境合作推進(jìn)緩慢。對于公民個人信息數(shù)據(jù)的跨境流動，國際上通行的做法是遵循數(shù)據(jù)流入地與流出地同等的保護(hù)水平，即相互采取同等原則或?qū)Φ仍瓌t。每個國家都會考慮到自己的國家安全或者數(shù)據(jù)安全，因此也存在著貿(mào)易保護(hù)等現(xiàn)象。但由于互聯(lián)網(wǎng)的全球性和數(shù)據(jù)的流動交錯性，即使各國根據(jù)自己本國國情制定了該領(lǐng)域的規(guī)范，也無法逃避受到他國規(guī)則反向制約的影響，即數(shù)據(jù)的“規(guī)范溢出”現(xiàn)象[注]如2015年10月6日，歐盟最高法院歐洲法院裁決，宣布美國-歐盟安全港協(xié)議喪失合法性基礎(chǔ)，標(biāo)志著美國的數(shù)據(jù)自由流動政策面臨更大的阻力，從而證明了各國規(guī)則的互相制約性。(參見王融、陳志玲：《從美歐安全港框架失效看數(shù)據(jù)跨境流動政策走向》，《中國信息安全》2016年第3期)。所以及時了解最新國際數(shù)據(jù)規(guī)則，統(tǒng)籌數(shù)據(jù)主權(quán)和跨境規(guī)則的邏輯，積極參與國際博弈十分必要[5]?，F(xiàn)有的國際法保護(hù)路徑有很多，具體如下：

國際軟法路徑：“軟法”是指不具有法律約束力的國際文件等，包括建議、宣言、行動綱領(lǐng)等[6]。1948年，聯(lián)合國《世界人權(quán)宣言》提出保護(hù)個人信息和隱私的國際性條款。1980年，OECD發(fā)布《隱私保護(hù)和個人數(shù)據(jù)跨境流動指南》，確定了國際上基本認(rèn)可的十項(xiàng) “OECD基本原則”。在此基礎(chǔ)上，2004年的《APEC隱私保護(hù)框架》提供了一套在亞太地區(qū)國家共同的隱私保護(hù)規(guī)則[7]，旨在保障信息自由流動以促進(jìn)電子商務(wù)的增長。另一個較有影響力的是聯(lián)合國1990年通過的《關(guān)于計算機(jī)處理的個人數(shù)據(jù)文件指南》(以下簡稱UN《指南》)，它鼓勵聯(lián)合國成員國都制定個人信息保護(hù)法，而不僅限于發(fā)達(dá)國家。

國際多邊條約及立法的路徑：國際多邊條約具有一定的約束力。國際上專門的個人信息保護(hù)立法主要有：1981年歐洲議會制定的《與個人數(shù)據(jù)自動化處理有關(guān)的個人保護(hù)公約》，要求具有約束公約簽字國的國內(nèi)法制定必須與之相一致；1995 年歐盟制定的《關(guān)于個人數(shù)據(jù)處理及自由流通個人保護(hù)指令》十原則[8]，致力于歐洲范圍內(nèi)的信息暢通。此外，歐盟還有《電信行業(yè)個人數(shù)據(jù)處理和隱私保護(hù)的指令》(以下簡稱《指令》)，后來美國因與歐盟《指令》“充分水平保護(hù)”標(biāo)準(zhǔn)不一致，才達(dá)成2000年歐美雙方的《安全港協(xié)議》，該協(xié)議2015年宣布無效后，美國又于2016年與歐盟重新達(dá)成《隱私盾協(xié)議》，加大了對入盾企業(yè)的監(jiān)管，為個人信息保護(hù)提供救濟(jì)路徑。

不管是多邊協(xié)議還是雙邊協(xié)定，都是為了整平個人信息保護(hù)場地，促進(jìn)信息跨境流動的自由暢通。各國對數(shù)據(jù)跨境流動都有自己的規(guī)則限制，目前世界上主要有三種：(1)強(qiáng)烈要求數(shù)據(jù)必須存儲在境內(nèi)服務(wù)器上;(2)“數(shù)據(jù)本地化”原則，主要適用地是歐盟；(3)限制傳輸遞減模式，主要適用地是美國。中國的數(shù)據(jù)跨境傳輸原則不明顯，主要側(cè)重于限制傳輸遞減原則[9]。國際規(guī)則和國內(nèi)規(guī)則互相協(xié)同，才能平衡跨境數(shù)據(jù)超主權(quán)的訴求以及貿(mào)易壁壘與貿(mào)易自由化間的關(guān)系。為此，我國要積極與他國協(xié)商簽訂雙邊協(xié)議，盡快解決個人信息跨境流動問題，明確司法救濟(jì)機(jī)制等。

2007年9月，APEC為了推動隱私框架的實(shí)施推出了CBPR(cross-border privacy rules)體系，主要用于解決APEC范圍內(nèi)的公司企業(yè)之間的公民個人信息轉(zhuǎn)移的問題，目前加入該體系的有日本、美國和墨西哥等國家。另外還有BCR(binding corporate rules)體系，它與CBPR不同，主要用于解決大型跨國公司內(nèi)部公民個人信息跨境轉(zhuǎn)移的問題。隨著公民個人信息跨境轉(zhuǎn)移需求的增多，2013年歐盟和APEC共同組成委員會對BCR體系和CBPR體系的申請要求進(jìn)行比較，為同時申請這兩項(xiàng)的公司進(jìn)行指引。雖然我國也加入了《APEC隱私保護(hù)框架》，但是還未積極參與亞太隱私保護(hù)機(jī)構(gòu)的國際、地區(qū)間的合作，所以要制定專門信息法，設(shè)立專門管理機(jī)構(gòu)，盡早加入BCR體系和CBPR體系，保護(hù)公民個人信息跨境流動。

(二)公民個人信息跨境流動刑法保護(hù)的正當(dāng)性

一方面，我國保護(hù)個人信息的專門法尚未出臺，這致使個人信息的跨境流動缺乏規(guī)范指導(dǎo)，有必要及時完善刑法相關(guān)規(guī)定；另一方面，刑法是社會變革的感應(yīng)器，在特定歷史條件下，其威懾功能是解決社會問題的應(yīng)急手段。

出于對重大法益的保護(hù)，刑法也是塑造公民個人信息保護(hù)權(quán)利意識的重要手段。信息法是以交叉學(xué)科為前提的[3]379，需要民法、刑法、公法等方面的綜合知識。也就是說，刑法等部門法的完善也是推進(jìn)信息法建設(shè)的路徑之一。數(shù)據(jù)存留和跨境傳輸雖然需要行政法、信息法和國際法的規(guī)制，但是監(jiān)管不力同樣會帶來刑事犯罪和國家安全的重大損害。美國“棱鏡門”事件、Facebook事件表明了掌握大量公民個人信息的公司等，如果沒有法律的明確規(guī)定，也很容易造成侵犯公民個人隱私甚至危及國家安全的嚴(yán)重后果。因此，在目前我國公民個人信息法缺位、國家對公民個人信息跨境轉(zhuǎn)移規(guī)定極其有限的情況下，跨國公司在我國境內(nèi)可以隨意收集公民個人信息并轉(zhuǎn)移到境外，這將會嚴(yán)重危及我國公民個人隱私和國家安全。所以，刑法對于公民個人信息權(quán)的保護(hù)必不可少，與世界其他國家嚴(yán)格保護(hù)的標(biāo)準(zhǔn)一致，我國應(yīng)積極增設(shè)“非法使用公民個人信息罪”。如歐盟就因?yàn)槊绹Ｗo(hù)公民個人信息的力度不夠而宣布《安全港協(xié)議》無效，國際間既合作又博弈，這中間，刑法的保護(hù)和推進(jìn)不能缺位。

2017年6月1日，《中華人民共和國網(wǎng)絡(luò)安全法》和《最高院、最高檢關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》同時施行，體現(xiàn)了我國刑法保護(hù)公民個人信息安全的努力。刑法解釋中要求供應(yīng)商或者網(wǎng)絡(luò)服務(wù)平臺承擔(dān)審查監(jiān)管的義務(wù)和責(zé)任，如果明知內(nèi)容違法又不刪除就要承擔(dān)刑事責(zé)任[3]388。我國刑法對于供應(yīng)商和網(wǎng)絡(luò)服務(wù)平臺監(jiān)管責(zé)任的規(guī)定相比其他國家較超前，這也是我國刑法對公民個人信息保護(hù)做出的貢獻(xiàn)。

三、公民個人信息跨境流動刑法保護(hù)的問題

(一)跨境刑法保護(hù)法律制度的差異

在目前個人信息保護(hù)相關(guān)行政法律法規(guī)還不健全的情況下，我國應(yīng)通過刑法修正案、刑法司法解釋等方式不斷完善刑法規(guī)定，消除公民個人信息犯罪亂象，發(fā)揮刑法的行為規(guī)范引領(lǐng)作用。從公民個人信息的刑法保護(hù)來看，2009年出臺的《中華人民共和國刑法修正案(七)》規(guī)定了“出售或者非法提供”“非法獲取”公民個人信息罪，2015年《中華人民共和國刑法修正案(九)》進(jìn)一步把上述兩種罪名統(tǒng)合為侵犯公民信息犯罪，區(qū)分不同犯罪主體、不同犯罪情節(jié)等，2017年兩高聯(lián)合出臺司法解釋對“情節(jié)嚴(yán)重”等進(jìn)一步列舉了不同情形，解決了司法實(shí)務(wù)中常見的難題。但是，該司法解釋還是存在與其他國家不一致的地方，如入罪門檻較高、未考慮造成的個人名譽(yù)損害、完全以數(shù)量情節(jié)為標(biāo)準(zhǔn)判斷比較機(jī)械等，如果不做適當(dāng)調(diào)整，易遺漏相應(yīng)的犯罪情況，不利于我國公民信息跨境流動的平等保護(hù)。

1.“個人信息”的范疇不同

公民個人信息的內(nèi)涵很廣，在大數(shù)據(jù)的背景下，經(jīng)過分析處理后極易得出更為詳細(xì)、具體的結(jié)果。國際上公民個人信息的概念主要分為兩大類：身份識別性和個人隱私性。身份識別性是指“通過這些識別性的信息可以直接或者間接地辨認(rèn)出來，無論是單個或者集合的，也無論是主體自己顯示的，還是他人通過一定方式顯示出來的”[10]。隱私性的概念主要涉及種族、民族起源、性生活數(shù)據(jù)等。個人識別性的概念主要源于歐盟，美國主要從隱私性的概念出發(fā)建構(gòu)個人信息的內(nèi)涵，不過目前也逐步融合了個人識別性的特征。我國港澳地區(qū)與臺灣地區(qū)采用的個人信息的概念也不同，分別是個人隱私性概念和人格識別性概念。2017年，我國大陸對于公民個人信息進(jìn)行的司法解釋主要采用人格識別性內(nèi)涵，所以大陸和臺灣地區(qū)對公民個人信息的保護(hù)范圍比港澳地區(qū)更寬泛，香港地區(qū)對侵犯公民個人信息的刑事規(guī)定主要集中在個人信息使用者對專員和當(dāng)事人的義務(wù)如何履行方面[2]28。

2.我國非法侵犯公民個人信息罪“情節(jié)嚴(yán)重”內(nèi)涵與他國不同

(1)“情節(jié)嚴(yán)重”沒有參考公民名譽(yù)受損的情況

國外刑法把公民名譽(yù)損害列為量刑的重要參考標(biāo)準(zhǔn)。如法國刑法規(guī)定，“利用業(yè)務(wù)之便收集他人信息，未經(jīng)他人授權(quán)而泄露的，可判處一年監(jiān)禁和15 000歐元罰款”，“因泄露信息給他人聲譽(yù)或者其他方面造成嚴(yán)重?fù)p害的，可最高判5年監(jiān)禁和30萬歐元的罰款”[11]。我國刑法司法解釋對“情節(jié)嚴(yán)重”的情形分別規(guī)定，如：侵犯公民個人信息罪是否“情節(jié)嚴(yán)重”主要看“出售、非法提供公民個人信息的條數(shù)、是否有此類犯罪的前科或多次行政處罰以及違法所得的數(shù)額”等，沒有明確規(guī)定參考公民個人名譽(yù)損害等情形，盡管此條也有兜底條款，但司法實(shí)踐往往忽略或不重視公民個人名譽(yù)受損害等情形。

不管采用哪種公民信息權(quán)定義，公民個人信息與公民個人的人格權(quán)和隱私權(quán)都緊密相連，侵犯公民個人信息的犯罪必然會引起公民人格和名譽(yù)等受損，所以名譽(yù)權(quán)理當(dāng)是參考的重要標(biāo)準(zhǔn)。比如因?yàn)楣寄彻裥畔?dǎo)致該公民精神嚴(yán)重受傷害以致于自殺，或者如“艷照門”事件由于公布受害人的照片給當(dāng)事人名譽(yù)造成惡劣影響的，都屬于侵犯公民個人信息造成名譽(yù)權(quán)嚴(yán)重受損的情形。

(2)“情節(jié)嚴(yán)重”沒能考慮單條信息的嚴(yán)重后果

我國學(xué)者對“情節(jié)嚴(yán)重”要求核心敏感信息至少要50條以上也有不同看法。大部分學(xué)者認(rèn)為50條的標(biāo)準(zhǔn)太低，絕大多數(shù)非法交易公民個人信息的行為都遠(yuǎn)遠(yuǎn)高于這個數(shù)字，而司法實(shí)踐中幾百條的非法信息交易可能也沒有被司法機(jī)關(guān)定罪處罰，因?yàn)槠淇闪P性太低，造成50條的標(biāo)準(zhǔn)基本很少適用。還有學(xué)者認(rèn)為，對于某類特殊金融信息，1條就可能導(dǎo)致嚴(yán)重的危害后果，但根據(jù)司法解釋50條的標(biāo)準(zhǔn)卻不能定罪處理，這也讓司法實(shí)踐陷入困境。總之，單純從公民個人信息非法交易的數(shù)量來判斷是不夠的，而應(yīng)該從實(shí)際可罰性、是否侵犯實(shí)質(zhì)法益的角度去衡量。50條的標(biāo)準(zhǔn)既不能證明國家嚴(yán)厲打擊公民個人信息犯罪的立法目的，也難以準(zhǔn)確估算危害結(jié)果。所以，為了涵蓋所有可能導(dǎo)致個人信息被侵害的嚴(yán)重情形，建議司法解釋不管侵犯信息的數(shù)量是單條還是多條，都應(yīng)該把數(shù)量信息與涉及的隱私程度一起綜合判斷行為的實(shí)質(zhì)法益侵犯性[12]。交易的公民個人信息條數(shù)較少但不一定危害性就小，只要存在非法的公民個人信息交易就一定會帶來公民個人信息被侵害的風(fēng)險，原則上都應(yīng)當(dāng)杜絕。只要有非法交易公民個人信息的行為就有可能構(gòu)成犯罪，而不是一定限制在50條以上。

對比國外,很多國家并沒有信息條數(shù)的限定，入罪門檻低，主要考察是否侵犯實(shí)質(zhì)法益。如日本《刑法典》第一百三十四條規(guī)定，侵犯公民個人信息的犯罪表現(xiàn)為無正當(dāng)理由泄露因處理業(yè)務(wù)而知悉的他人秘密的行為?！懊孛堋钡呐袛嗉纫獜膶Ρ救说奶厥庑猿霭l(fā)，又要結(jié)合客觀價值，從主客觀角度綜合分析實(shí)質(zhì)法益侵犯性。德國刑法把言論、通信、數(shù)據(jù)、隱私等都劃歸秘密范疇，其中企業(yè)和商業(yè)秘密屬于私人秘密范疇，國家秘密單獨(dú)規(guī)定。侵犯國家秘密的行為的規(guī)定更為全面，包括竊聽、錄音等非法獲取的方式，還有非法開拆、非法打聽、非法泄露、非法利用等，同時規(guī)定有違法阻卻事由，如德國《刑法》第二百零一條規(guī)定：只有當(dāng)公開通知使得他人的合法權(quán)益受到侵害時，第2項(xiàng)的行為才受處罰。而我國《刑法》規(guī)定雖然簡練，但是要求“情節(jié)嚴(yán)重”，就會排除情節(jié)不嚴(yán)重的行為，不利于對公民信息的全面保護(hù)。只要有非法侵犯公民個人信息的行為原則上都可以構(gòu)成犯罪，然后再根據(jù)可罰的違法性原理，判斷有無侵犯所要保護(hù)的法益。當(dāng)然，我們也可以具體列明情節(jié)嚴(yán)重或者情節(jié)特別嚴(yán)重的情形，方便明確司法裁量的標(biāo)準(zhǔn)。

(3)“情節(jié)嚴(yán)重”未能充分考慮行為人的犯罪目的

單純購買、非法提供公民個人信息的現(xiàn)象在日常生活中也會經(jīng)常出現(xiàn)，犯罪目的不同，社會危害性也不同。如企業(yè)信息共享過程中，不同企業(yè)主體間購買或者提供公民個人信息時，如果保護(hù)不當(dāng)也會侵害或者威脅個人信息權(quán)益，這種非犯罪目的類型，需要平衡好個人信息權(quán)與個人信息自由流動的關(guān)系，以適當(dāng)減少行為人責(zé)任；相反，如果行為人購買或者非法提供個人信息是為了實(shí)施犯罪行為，則嚴(yán)重侵犯了公民的人身、財產(chǎn)等權(quán)利，行為人責(zé)任也相應(yīng)會更重。

(4)未規(guī)定“非法利用、處理”公民個人信息行為入罪

從打擊犯罪的角度看，有效控制侵犯公民個人信息罪也需要重點(diǎn)打擊“非法使用”的環(huán)節(jié)。非法使用公民個人信息潛藏著巨大的利益誘惑，進(jìn)一步帶動了各種非法提供、出售公民個人信息等中間交易的行為。嚴(yán)厲打擊各種中間交易也是為了切斷“非法利用、處理”的目的行為。如果只打擊外圍犯罪行為而不取締目的行為，就無法從根本上防范個人信息犯罪的發(fā)生。現(xiàn)實(shí)中也存在合法收集大量信息而趁機(jī)牟利的情況，如果不規(guī)定“非法利用、處理”行為，就會出現(xiàn)公民個人信息保護(hù)的漏洞，不利于公民個人信息的全面保護(hù)。

從公民個人信息權(quán)的本質(zhì)來看，它屬于人身權(quán)，從其誕生以來就與隱私權(quán)緊密相關(guān)。國際上，隱私權(quán)已由“不透明權(quán)”發(fā)展到“個人決斷權(quán)”再到“保護(hù)所有個人數(shù)據(jù)”[13]。公民個人信息隱私或作為隱私權(quán)的一部分，或與隱私權(quán)并列，常采用相同的保護(hù)原則和標(biāo)準(zhǔn)。因此，公民個人信息保護(hù)儼然已成為公民人權(quán)保障的重要內(nèi)容[14]，“人格利益”就是公民個人信息權(quán)的核心內(nèi)容[15]。保護(hù)公民個人信息就是保護(hù)公民個人信息自由權(quán)、支配權(quán)、收益權(quán)不受侵犯，而非法利用的行為也同樣侵犯了公民個人的信息支配權(quán)、收益權(quán)，所以完全符合刑法所要保護(hù)的客體，不應(yīng)當(dāng)被忽略。

從國外立法實(shí)踐來看，也有非法利用公民個人信息罪的立法案例。如德國刑法不僅將秘密劃分得更為細(xì)致(如言論、通信、數(shù)據(jù)、隱私等都屬于秘密，企業(yè)秘密、商業(yè)秘密等也屬于私人秘密，還另外單獨(dú)規(guī)定了國家秘密范圍)，而且方式也更為全面，如非法利用、非法獲取(包括竊聽、錄音、錄像等)、非法探知、非法開拆、非法泄露等。為了避免我國公民個人信息跨境流動在轉(zhuǎn)移過程中被泄露、損毀、篡改、濫用等，有必要對這些風(fēng)險行為予以防控。

(二)國際刑法司法合作機(jī)制不通暢

公民信息跨境案件常出現(xiàn)犯罪行為地和結(jié)果地分屬于兩個國家、二者都有刑事管轄權(quán)，導(dǎo)致兩國或者多國刑事管轄權(quán)相沖突的情形。犯罪地究竟是以罪犯行為所在地，還是存儲數(shù)據(jù)的服務(wù)器所在地為標(biāo)準(zhǔn)，就數(shù)據(jù)“被鏡像”存儲在一系列的服務(wù)器上的情況來看，犯罪行為地會無限擴(kuò)張，以犯罪結(jié)果地為標(biāo)準(zhǔn)也容易出現(xiàn)多個國家刑罰權(quán)并存的情況。在大數(shù)據(jù)、國際化背景下，信息跨境流動帶來的刑事管轄權(quán)問題只能通過國際協(xié)定來解決。以港澳臺為例，雖然大陸與臺灣地區(qū)簽署有共同打擊犯罪的《海峽兩岸共同打擊犯罪及司法互助協(xié)議》(又稱《南京協(xié)議》)，與港澳地區(qū)簽有的《中華人民共和國香港特別行政區(qū)基本法》為基礎(chǔ)，港澳之間也有協(xié)議，但是這種司法合作主要還是重大案件的聯(lián)絡(luò)，成熟的合作機(jī)制尚未成型[2]30。

四、我國公民個人信息跨境流動刑法保護(hù)的完善

(一)國內(nèi)刑法的完善

1.修改非法侵犯公民個人信息罪“情節(jié)嚴(yán)重”的解釋

首先，降低我國非法侵犯公民個人信息罪的入罪門檻，不再拘泥于50條的數(shù)量起點(diǎn)，凡是非法侵犯公民個人信息的行為，都應(yīng)當(dāng)綜合考量其是否造成了“情節(jié)嚴(yán)重”的后果，以涵蓋各種非法侵犯公民個人信息的情況。原則上凡是有非法侵犯公民個人信息行為的，不管侵犯個人信息數(shù)量多少，都有可能構(gòu)成犯罪，然后再根據(jù)整體情節(jié)是否嚴(yán)重，具體考量侵犯公民信息行為的法益侵犯性、實(shí)質(zhì)社會危害性大小等來決定是否定罪以及如何量刑。不管販賣多少條信息都應(yīng)當(dāng)入罪，因?yàn)樾袨槿饲址傅氖枪駛€人信息的管理秩序，這種行為犯的立法方式也與世界上很多國家如日本、德國等相一致。

其次，在量刑環(huán)節(jié)，判斷“情節(jié)嚴(yán)重”與否的標(biāo)準(zhǔn)除了販賣個人信息的數(shù)量之外，還要考慮非法行為是否給被害人造成了名譽(yù)損害等。目前我國刑法司法解釋沒有把“名譽(yù)損失”“精神損害”等考慮在內(nèi)，建議司法實(shí)務(wù)量刑予以充分重視。在量刑輕重的問題上重視行為造成的“名譽(yù)損害”“精神創(chuàng)傷”等，這也是世界其他國家的普遍做法。

2.增設(shè)非法利用、處理公民個人信息罪

從打擊犯罪的角度看，打擊非法利用、處理公民個人信息行為也是有效控制信息犯罪的重要環(huán)節(jié)。把握住了犯罪的源頭，更利于管控個人信息的流出與中間各環(huán)節(jié)的傳輸和交易。在利益的驅(qū)動下，上家會不斷涌現(xiàn)，即使一部分人被打擊，被利益沖昏頭的罪犯還會前赴后繼。不把非法使用行為入罪，各種提供非法搜集、買賣信息等輔助行為就會在非法使用的需求下不斷產(chǎn)生。所以增加非法利用、處理公民個人信息罪，利于堵嚴(yán)所有非法行為的漏洞，全面打擊非法侵犯公民個人信息的犯罪行為，切實(shí)實(shí)現(xiàn)對公民個人信息安全的保護(hù)和國家安全的保障。

從公民個人信息權(quán)的本質(zhì)來看，規(guī)定“非法利用、處理公民個人信息行為”入罪，利于公民信息權(quán)自治意識的培養(yǎng)。將未經(jīng)公民本人授權(quán)非法使用信息的行為入刑，樹立合法存儲、使用公民個人信息的權(quán)利意識，促進(jìn)合法使用個人信息行為習(xí)慣的養(yǎng)成。對“未經(jīng)公民個人授權(quán)”的證明可以采用舉證責(zé)任倒置，由濫用公民個人信息的人來證明這些信息來源是合法的、渠道是正規(guī)的。因?yàn)闉E用行為一般都是為了牟取非法利益，所以可以并處嚴(yán)厲的罰金刑，用以震懾犯罪分子，讓其不要鋌而走險。

從司法實(shí)踐來看，設(shè)立非法利用、處理公民信息罪可以更加有效、更加經(jīng)濟(jì)地打擊信息犯罪。“以最少的刑法資源投入，獲取最大的刑法效益?！盵16]非法利用公民個人信息罪相對非法出售、購買行為而言，實(shí)務(wù)操作更容易、取證更簡單易得。偵查人員可以較為容易地查到打電話、發(fā)短信的對象，以及電腦的IP地址等，通過定位較快抓捕犯罪嫌疑人，比追蹤上家的偵查行為容易直接。非法使用行為一般是下游犯罪如詐騙罪、敲詐勒索罪的手段；另外，非法使用行為本身如各種電話騷擾、推銷等也會對公民個人生活或者精神造成煩擾。直接危害公民人身健康和財產(chǎn)安全等情節(jié)嚴(yán)重的會構(gòu)成刑事犯罪，非法使用公民個人信息的行為理當(dāng)杜絕。

從公民信息跨境流動的角度來看，非法使用行為入刑可以更好地實(shí)現(xiàn)與國際接軌。世界很多國家打擊公民個人信息相關(guān)犯罪的方式都包括“非法使用”行為，國際上一般用“processing”來概括非法搜集、非法泄露、不當(dāng)保存、非法使用、銷毀等一系列行為,這些都屬于不經(jīng)公民個人授權(quán)或允許的非法濫用、保存和處理行為，全面體現(xiàn)了公民個人信息權(quán)“人身專屬權(quán)”的本質(zhì)特征。增設(shè)非法利用公民個人信息罪有利于與世界其他國家“非法利用公民個人信息罪”相對接，為我國公民信息跨境流動做好更為嚴(yán)格的防控體系，使國家安全、經(jīng)濟(jì)安全和貿(mào)易安全等不受侵犯。

從預(yù)防論來看，增設(shè)非法利用公民個人信息罪更方便打擊外圍幫助犯罪行為[17]。我國刑法已經(jīng)把非法搜集、提供、買賣、竊取等行為規(guī)定為犯罪，唯獨(dú)缺少處理和利用的行為，而這才是非法侵犯公民信息的目的行為。處理和利用包括“存儲、銷毀、使用”等一系列侵犯公民專屬信息支配權(quán)的行為，打擊非法使用的目的行為，更利于預(yù)防外圍幫助犯罪行為的發(fā)生。

3.建立統(tǒng)一的信息刑法

有國外專家也曾呼吁制定一部專門的信息刑法作為信息法的一部分內(nèi)容，這主要是因?yàn)閿?shù)據(jù)和信息的問題涉及專業(yè)領(lǐng)域，跟傳統(tǒng)刑法有關(guān)人身對象的規(guī)定不同。而且，隨著物聯(lián)網(wǎng)、云計算等的迅速發(fā)展，數(shù)據(jù)的自主交換將進(jìn)入人們的日常生活，信息刑法的專業(yè)性和覆蓋面會得到拓展，這也是未來社會的發(fā)展趨勢。

(二)跨境刑法司法合作的完善

1.完善跨境刑事司法合作路徑

一是設(shè)立專門的警務(wù)協(xié)作辦公室，統(tǒng)一處理公民個人信息跨境流動的刑事犯罪案件，并結(jié)合內(nèi)地不同省份地區(qū)進(jìn)行分流監(jiān)管合作，提高跨境刑事司法合作能力，統(tǒng)籌協(xié)調(diào)國際區(qū)際跨境刑事案件的辦理，嚴(yán)厲打擊侵犯公民信息犯罪案件以及跨境電信詐騙案件等。積極推動我國刑事司法合作能力建設(shè)，召開司法合作互助推進(jìn)會，對司法合作中出現(xiàn)的難以取證、證據(jù)轉(zhuǎn)化等疑難問題進(jìn)行協(xié)商，積極簽署相關(guān)合作協(xié)議，明確辦案流程及辦案時限等。

二是建立侵犯個人信息犯罪案件的情報共享平臺。(1)建立信息跨境類案件及犯罪團(tuán)伙信息檔案和資料庫；(2)針對個人信息犯罪案件一旦發(fā)生就會造成個人信息快速大面積傳播的情況，個人信息類犯罪案件需要更加專業(yè)和快速反應(yīng)的專業(yè)隊(duì)伍，建立快速應(yīng)急機(jī)制，采用專業(yè)技術(shù)手段緊急處理。

2.完善信息跨境流動的法律基礎(chǔ)建設(shè)

一是建立專門的個人信息保護(hù)法和負(fù)責(zé)個人信息跨境流動保護(hù)的專門機(jī)構(gòu)。其一，既可以統(tǒng)一監(jiān)管各種個人信息保護(hù)類案件，又能加強(qiáng)監(jiān)督機(jī)制。其二，可以更好地協(xié)調(diào)不同地區(qū)不同部門的信息監(jiān)督情況，有效溝通不同地區(qū)和部門中出現(xiàn)的難題。其三，可以為跨境信息類案件提供法律救濟(jì)和維權(quán)，為信息的跨境流動和合作提供幫助。目前世界上已有89%的國家和地區(qū)擁有數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)，擁有對未能履行數(shù)據(jù)存留條例的個人或組織進(jìn)行制裁的權(quán)力。

二是建立完善的權(quán)益救濟(jì)機(jī)制，開展國際司法合作。加強(qiáng)與他國的協(xié)商、溝通，簽訂雙邊協(xié)議或者加入多邊協(xié)議，構(gòu)建國際貿(mào)易溝通、信息自由流動的平臺，同時加強(qiáng)個人信息數(shù)據(jù)評估、監(jiān)管以及司法救濟(jì)的機(jī)制和配套制度的建設(shè)。