，

(中國(guó)社會(huì)科學(xué)院法學(xué)研究所， 北京 100720)

一、引 言

隨著中國(guó)互聯(lián)網(wǎng)規(guī)模的擴(kuò)大和用戶規(guī)模的增多，各種通訊、娛樂(lè)、財(cái)務(wù)等功能性網(wǎng)站和應(yīng)用平臺(tái)也得到了迅速發(fā)展，伴隨而來(lái)的是人們?cè)谔摂M環(huán)境中面對(duì)的安全威脅。2018年爆出的Facebook用戶信息泄露影響美國(guó)總統(tǒng)大選的事件[注]一家名為劍橋分析(Cambridge Analytica)的數(shù)據(jù)公司竊取了5000萬(wàn)Facebook用戶資料，根據(jù)每個(gè)用戶的日常喜好、性格特點(diǎn)、教育水平，預(yù)測(cè)他們的政治傾向，進(jìn)行新聞的精準(zhǔn)推送，間接促成了特朗普的當(dāng)選。使得互聯(lián)網(wǎng)個(gè)人信息與網(wǎng)絡(luò)安全再次成為全民關(guān)注的輿論焦點(diǎn)。

2017年7月，備受關(guān)注的山東省“徐玉玉案”在山東省臨沂市中級(jí)人民法院進(jìn)行了一審公開(kāi)審理并當(dāng)庭宣判，最終主犯陳文輝一審因詐騙罪、非法獲取公民個(gè)人信息罪被判處無(wú)期徒刑，沒(méi)收個(gè)人全部財(cái)產(chǎn)，其他6名被告人分別被判處3年到15年不等的有期徒刑并處罰金。在徐玉玉案宣判之后，同年8月24日，臨沂市羅莊區(qū)人民法院對(duì)向徐玉玉案被告人提供被害人個(gè)人信息的黑客杜某某進(jìn)行了審判，以侵犯公民個(gè)人信息罪判處其有期徒刑6年，并處罰金人民幣6萬(wàn)元。杜某某從2016年起利用網(wǎng)絡(luò)漏洞，通過(guò)植入木馬的方式非法侵入山東省2016年普通高等學(xué)校招生考試信息平臺(tái)網(wǎng)站，在獲取高考考生信息后通過(guò)各類平臺(tái)將其出售獲利。這種獲取信息的方式對(duì)于略懂計(jì)算機(jī)編程的人來(lái)說(shuō)并非難事，而其成功后獲得的利益是巨大的。被害人高考生的特殊身份和被詐騙款項(xiàng)的特殊性質(zhì)使本案在社會(huì)上產(chǎn)生了極大的影響，也使很多人開(kāi)始重視個(gè)人信息的泄露問(wèn)題。因?yàn)樵谶@個(gè)案件中，被告人達(dá)到詐騙目的最關(guān)鍵的是取得被害人的信任，本案的被害人之所以相信了對(duì)方的話語(yǔ)，就是因?yàn)閷?duì)方準(zhǔn)確說(shuō)出了其姓名以及相關(guān)信息，而這些信息都是犯罪嫌疑人從網(wǎng)上買到的。這些買賣公民個(gè)人信息交易的背后，隱藏著一條巨大的黑色產(chǎn)業(yè)鏈。

隨著社會(huì)信息化的快速發(fā)展，由于侵犯公民個(gè)人信息類案件往往具有技術(shù)難度低、涉及范圍廣、犯罪金額大、犯罪行為人眾多等特點(diǎn)，侵犯公民個(gè)人信息犯罪的案件持續(xù)增多，成為違法犯罪的重災(zāi)區(qū)。為了更好地管控和裁判這類行為，公安部、最高人民法院、最高人民檢察院先后單獨(dú)或聯(lián)合發(fā)布了侵犯公民個(gè)人信息典型案件。從這些案件中可以整理出如下幾類獲取公民個(gè)人信息的方式：通過(guò)網(wǎng)絡(luò)黑客侵入銀行、酒店等企業(yè)的內(nèi)部資料庫(kù)竊取員工和顧客信息，再通過(guò)撞庫(kù)行為非法獲取相關(guān)網(wǎng)絡(luò)賬號(hào)；通過(guò)偽基站發(fā)送釣魚(yú)鏈接獲取個(gè)人賬號(hào)、密碼等信息；內(nèi)部工作人員利用職務(wù)之便傳播、出售掌握的公民信息；通過(guò)網(wǎng)站平臺(tái)、注冊(cè)頁(yè)面等騙取公民提供個(gè)人信息；建立非法平臺(tái)、社交群組來(lái)交換甚至交易公民個(gè)人信息。

公民個(gè)人信息作為許多犯罪行為重要的初始資源，侵犯公民個(gè)人信息案件往往成為其他案件的前置案件，為犯罪行為人實(shí)施進(jìn)一步的犯罪提供了“工具”，所以這類行為的影響力不僅限于對(duì)公民個(gè)人信息的泄露和傳播，更有可能造成人身傷害和財(cái)產(chǎn)損失。因此，需要刑事立法和司法予以重視和關(guān)注。在用刑法對(duì)侵犯公民個(gè)人信息的行為進(jìn)行規(guī)制時(shí)，我們需要思考的是，在互聯(lián)網(wǎng)高速發(fā)展時(shí)期，面對(duì)新媒介帶來(lái)的新問(wèn)題，刑法對(duì)其保護(hù)的邊界在哪里？刑法究竟何時(shí)可以介入，又如何以及以何種程度介入？本文從刑法對(duì)公民個(gè)人信息保護(hù)的立足點(diǎn)——法益入手，嘗試對(duì)刑法保護(hù)的范圍、權(quán)利屬性以及實(shí)踐中應(yīng)當(dāng)遵循的兩個(gè)原則與例外情形進(jìn)行分析。

二、概念厘清：刑法保護(hù)的個(gè)人信息的內(nèi)涵

1. 法律條文中個(gè)人信息概念的界定

個(gè)人數(shù)據(jù)、個(gè)人信息這些用語(yǔ)有區(qū)別嗎？不同國(guó)家的用語(yǔ)有一定差別，我國(guó)國(guó)內(nèi)的相關(guān)立法一直使用的是“信息”，有些國(guó)家采用“個(gè)人數(shù)據(jù)”、“個(gè)人資料”、“個(gè)人隱私”等用語(yǔ)，也有國(guó)家和我國(guó)相同，采用“個(gè)人信息”的概念。從保護(hù)目的和范圍的角度，不同用語(yǔ)的側(cè)重點(diǎn)各不相同。比如，歐盟從1995年《個(gè)人數(shù)據(jù)保護(hù)指令》開(kāi)始，一直使用的是“數(shù)據(jù)”一詞。歐盟1995年《個(gè)人數(shù)據(jù)保護(hù)指令》(The Data Protection Directive)第2條規(guī)定，所謂個(gè)人數(shù)據(jù)，是指與一個(gè)身份已被識(shí)別或可識(shí)別之自然人(或稱數(shù)據(jù)主體)相關(guān)的任何數(shù)據(jù)；所謂可識(shí)別的人包括直接和間接地被識(shí)別的人，尤其是通過(guò)參照身份證號(hào)碼或一個(gè)或多個(gè)特定于其身體、生理、精神、經(jīng)濟(jì)、文化或社會(huì)身份因素的可識(shí)別之人。美國(guó)對(duì)于個(gè)人信息的保護(hù)和界定，主要是通過(guò)判例和部門(mén)立法模式進(jìn)行的，針對(duì)不同的主體、行業(yè)有不同的規(guī)定，其核心內(nèi)容是對(duì)“個(gè)人識(shí)別信息”(Personally identifying information, PII)這一概念的不同詮釋。

在我國(guó)早期的相關(guān)法律規(guī)定中，個(gè)人信息和個(gè)人隱私是混同規(guī)定的。比如，《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》規(guī)定：“個(gè)人隱私和其他個(gè)人信息”包括“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)”。網(wǎng)絡(luò)技術(shù)發(fā)展后，權(quán)力部門(mén)對(duì)個(gè)人信息的核心特點(diǎn)有了進(jìn)一步的認(rèn)識(shí)，《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》就界定了以識(shí)別性作為核心的個(gè)人信息范圍。2013年最高人民法院、最高人民檢察院、公安部發(fā)布的《關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》規(guī)定：“公民個(gè)人信息包括公民的姓名、年齡、有效證件號(hào)碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號(hào)碼等能夠識(shí)別公民個(gè)人身份或者涉及公民個(gè)人隱私的信息、數(shù)據(jù)資料?！边@個(gè)定義基本認(rèn)可了個(gè)人信息的可識(shí)別性是個(gè)人信息概念和范圍界定的核心屬性。

2017年3月15日，全國(guó)人大正式通過(guò)《民法總則》?！睹穹倓t》第111條專門(mén)規(guī)定了個(gè)人信息保護(hù)規(guī)則，首次從民事基本法層面提出了個(gè)人信息權(quán)，并明確了信息安全的保護(hù)，“不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息”。但《民法總則》并沒(méi)有給出個(gè)人信息的準(zhǔn)確定義，這個(gè)工作是由隨后的《網(wǎng)絡(luò)安全法》來(lái)完成的。

《網(wǎng)絡(luò)安全法》第76條將個(gè)人信息界定為“能夠識(shí)別自然人個(gè)人身份的各種信息”，顯然使用的是廣義的“身份識(shí)別信息”的概念，即既包括狹義的身份識(shí)別信息(能夠識(shí)別出特定自然人身份的信息)，也包括體現(xiàn)特定自然人活動(dòng)情況的信息。

2. 個(gè)人信息的內(nèi)涵延伸

除現(xiàn)有條文規(guī)定的姓名、年齡、有效證件號(hào)碼、婚姻狀況等個(gè)人信息之外，我們認(rèn)為還有一類信息也應(yīng)當(dāng)包括進(jìn)來(lái)，即公民的基因信息?；蛐畔⒕哂袀€(gè)人信息的關(guān)鍵特征，即可識(shí)別性，所以從性質(zhì)上可以納入。

相較于一般的隱私而言，基因隱私和遺傳信息相連，有著特殊之處。首先，一般隱私的內(nèi)容是權(quán)利人本人所熟知的，其范圍也往往是權(quán)利人自己定義的，而基因信息只有在借助專門(mén)的科技手段后才能為權(quán)利人所知，內(nèi)容和范圍并非由權(quán)利人自己創(chuàng)設(shè)。由于檢測(cè)機(jī)構(gòu)必然會(huì)早于權(quán)利人知道隱私內(nèi)容，所以對(duì)基因隱私保護(hù)很重要的一環(huán)就是禁止已經(jīng)被檢測(cè)出的基因信息的傳播。其次，基因信息內(nèi)容貫穿生老病死，所以它不僅表達(dá)了過(guò)去的權(quán)利內(nèi)容，還含有未來(lái)的權(quán)利內(nèi)容。最后，盡管基因信息為個(gè)體所有，但是一些致病基因和缺陷基因可能是一個(gè)家族的遺傳，所以這種隱私內(nèi)容的主體是一個(gè)家族或社群，這是不同于一般隱私權(quán)主體的。在就業(yè)、保險(xiǎn)、科學(xué)研究、醫(yī)療甚至犯罪人DNA檢測(cè)等領(lǐng)域，都涉及到對(duì)基因信息的保護(hù)問(wèn)題。因?yàn)闄?quán)利人和侵權(quán)人可能地位懸殊，所以被侵權(quán)人很難找到證據(jù)，甚至有時(shí)候不知道侵權(quán)的發(fā)生。此外，基因信息一旦泄露，影響巨大，因?yàn)樗粌H表達(dá)了過(guò)去的固有信息，還包含對(duì)未來(lái)趨勢(shì)的預(yù)測(cè)，這會(huì)給被侵權(quán)人造成難以估量的損害。此外，對(duì)基因信息的保護(hù)也和國(guó)家安全密切相關(guān)。20世紀(jì)90年代，在我國(guó)還沒(méi)有對(duì)各民族的基因信息采集予以足夠重視之前，美國(guó)有不少研究機(jī)構(gòu)到中國(guó)對(duì)不同年齡、性別、民族的群體進(jìn)行了大規(guī)模的基因采集并帶回國(guó)進(jìn)行研究。這種基因資源的流失不但會(huì)影響本國(guó)相關(guān)研究的發(fā)展，也埋下了安全隱患，比如基因病毒、基因武器等，所以對(duì)基因信息的保護(hù)應(yīng)當(dāng)是個(gè)人信息保護(hù)中很重要的一部分。

歐盟2018年最新頒布的《一般數(shù)據(jù)保護(hù)條例》(GDPR)第4條第13項(xiàng)定義了基因數(shù)據(jù)(genetic data)，即“關(guān)于一個(gè)自然人遺傳或后天基因特征的個(gè)人數(shù)據(jù)，提供了通過(guò)對(duì)生物樣本的分析得出的關(guān)于該自然人生理或健康的特別信息”，可見(jiàn)，將基因數(shù)據(jù)納入個(gè)人信息保護(hù)，已經(jīng)不再是紙上談兵。我國(guó)作為多民族的人口大國(guó)，更應(yīng)當(dāng)重視對(duì)基因數(shù)據(jù)的保護(hù)，這不僅涉及到每一個(gè)自然人的個(gè)人隱私權(quán)益，也關(guān)系到國(guó)家的基因多樣性安全問(wèn)題。

三、權(quán)利屬性：刑法保護(hù)的個(gè)人信息的外延

隨著互聯(lián)網(wǎng)3.0時(shí)代[注]互聯(lián)網(wǎng)1.0時(shí)代指PC電腦端的信息互聯(lián)時(shí)代，互聯(lián)網(wǎng)2.0時(shí)代指智能手機(jī)端的社交關(guān)系互聯(lián)時(shí)代，互聯(lián)網(wǎng)3.0時(shí)代指人機(jī)交互的資產(chǎn)互聯(lián)時(shí)代。的來(lái)臨，網(wǎng)絡(luò)全面滲透到公民的日常生活和社會(huì)運(yùn)行之中，云計(jì)算技術(shù)的發(fā)展意味著大數(shù)據(jù)成為網(wǎng)絡(luò)空間的主導(dǎo)，作為網(wǎng)絡(luò)數(shù)據(jù)之一的個(gè)人信息具有和其他網(wǎng)絡(luò)數(shù)據(jù)一樣的易取得性和防護(hù)脆弱的問(wèn)題，其安全性成為焦點(diǎn)。在大數(shù)據(jù)時(shí)代，公民個(gè)人信息概念的外延在不斷擴(kuò)展，其特有的廣泛而迅速傳播的特性也會(huì)影響刑法對(duì)其保護(hù)的范圍。這就涉及到對(duì)公民個(gè)人信息保護(hù)權(quán)利屬性的界定。

非法利用公民個(gè)人信息到底侵犯了何種權(quán)利？是人格權(quán)(比如隱私權(quán))，還是和公民個(gè)人信息相關(guān)的財(cái)產(chǎn)權(quán)，抑或有超出人格權(quán)、財(cái)產(chǎn)權(quán)這些個(gè)體權(quán)利的其他屬性？

首先，公民個(gè)人信息相關(guān)權(quán)利具有人格權(quán)的屬性，最直接的就是隱私權(quán)屬性，這也是公民個(gè)人信息保護(hù)和法律規(guī)制最初的切入點(diǎn)。隱私權(quán)即自然人享有的對(duì)其個(gè)人的與公共利益無(wú)關(guān)的信息、私人活動(dòng)和私有領(lǐng)域進(jìn)行支配的一種人格權(quán)。公民的個(gè)人信息會(huì)反映出一個(gè)人的生活狀態(tài)和社會(huì)網(wǎng)絡(luò)，必然屬于個(gè)人隱私的保護(hù)范圍。但相較于一般的隱私而言，法律保護(hù)下的公民個(gè)人信息有其特殊性。如果說(shuō)傳統(tǒng)的個(gè)人隱私權(quán)更加關(guān)注個(gè)人意愿，那么個(gè)人信息權(quán)中的隱私權(quán)益則應(yīng)被視為個(gè)人如何規(guī)劃其社會(huì)生活的權(quán)利。[1]一般隱私的內(nèi)容是權(quán)利人本人所熟知的，其范圍也往往是權(quán)利人自己定義的，而個(gè)人信息權(quán)的內(nèi)容和范圍并非由權(quán)利人自己創(chuàng)設(shè)，而是由法律規(guī)定，具有一定的客觀性。當(dāng)然，隱私權(quán)不是個(gè)人信息權(quán)的全部，信息的自決權(quán)也是很重要的組成部分，個(gè)人信息具有特定性，所以作為特定享有者的主體，就擁有對(duì)相關(guān)信息使用、收益、處分等權(quán)利，這也是公民個(gè)人信息保護(hù)中前置性條件“知情同意”的基礎(chǔ)。

從域外的數(shù)據(jù)信息保護(hù)立法經(jīng)驗(yàn)來(lái)看，通過(guò)刑法手段保護(hù)個(gè)人信息是各國(guó)立法認(rèn)可的有效手段。美國(guó)采取的是以隱私權(quán)為基礎(chǔ)的判例制度，而歐盟則是將數(shù)據(jù)信息視為人格權(quán)的延伸，從人格權(quán)保護(hù)的角度進(jìn)行立法。[2]美國(guó)沒(méi)有專門(mén)的個(gè)人信息保護(hù)立法，而是分散于不同的法案和判例之中，主要包括針對(duì)身份的盜竊以及對(duì)相關(guān)工作人員泄露個(gè)人識(shí)別信息的行為的入罪和處罰，德日則是通過(guò)專門(mén)立法+刑法典條文的方式對(duì)個(gè)人信息犯罪進(jìn)行了全方位的規(guī)定。

其次，公民個(gè)人信息權(quán)也具有財(cái)產(chǎn)權(quán)的屬性。網(wǎng)絡(luò)和信息科技的發(fā)展賦予了個(gè)人信息商業(yè)化的特性，大數(shù)據(jù)時(shí)代使得傳統(tǒng)模式下無(wú)法大量而快速收集和傳播的個(gè)人信息成為可能，使得個(gè)人信息具備了許多現(xiàn)代財(cái)產(chǎn)的法律屬性和價(jià)值特征。例如，它可被人占有、交易，可被排他性使用，可被消費(fèi)、修改、銷毀等，甚至能被繼承、贈(zèng)與、遺贈(zèng)，因而可被定義為財(cái)產(chǎn)，從經(jīng)濟(jì)學(xué)角度來(lái)說(shuō)，“只要市場(chǎng)存在，信息就是有價(jià)值的”。[3]也有學(xué)者將其表述為“財(cái)產(chǎn)人格權(quán)”，即原有的人格權(quán)保護(hù)的客體部分地轉(zhuǎn)化為經(jīng)濟(jì)活動(dòng)客體，具有經(jīng)濟(jì)利益，可被商業(yè)利用。[4]如果我們不承認(rèn)個(gè)人信息的這種財(cái)產(chǎn)權(quán)屬性，就會(huì)導(dǎo)致個(gè)人信息無(wú)法得到全方位的保護(hù)。同時(shí)我們也不同意將個(gè)人信息權(quán)定義為財(cái)產(chǎn)人格權(quán)，因?yàn)槿烁駲?quán)具有專屬性，不得讓與，且不能作為交易的客體，如果用擴(kuò)張人格權(quán)的方式將財(cái)產(chǎn)保護(hù)納入其中，會(huì)造成和傳統(tǒng)理論的沖突，也會(huì)造成人格-財(cái)產(chǎn)二元?jiǎng)澐煮w系的崩毀，所以最好的方式就是對(duì)個(gè)人信息權(quán)中的具體權(quán)利進(jìn)行劃分，分別用人格權(quán)和財(cái)產(chǎn)權(quán)的原則和方法進(jìn)行保護(hù)。公民個(gè)人信息的擁有和使用并不是一種有形的財(cái)產(chǎn)權(quán)，但它具有獨(dú)立的存在和使用價(jià)值，所以從這個(gè)角度來(lái)看，對(duì)公民個(gè)人信息的保護(hù)不能僅僅立足于個(gè)人隱私權(quán)的范疇，也要看到這一法益的可變現(xiàn)性，個(gè)人信息具有的交換價(jià)值使其能轉(zhuǎn)化為可交易的商品，進(jìn)而會(huì)出現(xiàn)經(jīng)過(guò)主體同意和授權(quán)的交易和未經(jīng)過(guò)同意和授權(quán)的交易兩種情況。比如，咨詢公司在進(jìn)行市場(chǎng)分析的時(shí)候，需要對(duì)相應(yīng)市場(chǎng)的消費(fèi)者的個(gè)人信息進(jìn)行收集，再通過(guò)大數(shù)據(jù)分析總結(jié)消費(fèi)者的偏好和經(jīng)濟(jì)能力，為公司進(jìn)一步的發(fā)展方向提供參考。在這個(gè)過(guò)程中，如果咨詢公司利用收集到的個(gè)人信息產(chǎn)出了成果并獲得報(bào)酬，那么這種利用就應(yīng)當(dāng)向原始的數(shù)據(jù)提供者，即個(gè)人信息所有者取得許可并支付相應(yīng)的費(fèi)用，這就是一個(gè)個(gè)人信息變現(xiàn)的過(guò)程。我們認(rèn)為，在公民個(gè)人信息保護(hù)法尚未出臺(tái)，相關(guān)的保護(hù)模式?jīng)]有清晰的時(shí)候，這種財(cái)產(chǎn)性的保護(hù)可以參考著作權(quán)保護(hù)的思路。著作權(quán)就是具有人格權(quán)和財(cái)產(chǎn)權(quán)雙重性質(zhì)的權(quán)利，且從財(cái)產(chǎn)權(quán)角度來(lái)看，其是無(wú)形的財(cái)產(chǎn)權(quán)，具有排他性。作者對(duì)著作權(quán)享有支配權(quán)，如果他人要使用其作品，除了特殊情況，都必須得到著作權(quán)人的同意；作者對(duì)著作權(quán)也享有獨(dú)占權(quán)，作品發(fā)表后的收益歸作者享有。公民個(gè)人信息在被二次傳播和使用的時(shí)候，需要得到信息所有權(quán)人的知情和同意，并應(yīng)當(dāng)支付一定的報(bào)酬，這種權(quán)利的行使就類似于著作權(quán)保護(hù)中的許可使用權(quán)與獲得報(bào)酬權(quán)。

最后，對(duì)公民個(gè)人信息的刑法保護(hù)是否有超出人格權(quán)、財(cái)產(chǎn)權(quán)這些個(gè)體權(quán)利的屬性？從《刑法修正案(七)》開(kāi)始，侵犯公民個(gè)人信息類的犯罪一直被放在第四章侵犯公民人身權(quán)利、民主權(quán)利罪之中，除此之外，還有與之相關(guān)的第177條之一竊取、收買、非法提供信用卡信息罪第4款“竊取、收買或者非法提供他人信用卡信息資料的”、第286條之一拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪第2款“致使用戶信息泄露，造成嚴(yán)重后果的”等相關(guān)條款分別規(guī)定于第三章破壞社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序罪和第六章妨害社會(huì)管理秩序罪中。從這點(diǎn)可以看出，對(duì)公民個(gè)人信息的保護(hù)并不是個(gè)體視角下人格權(quán)、甚至財(cái)產(chǎn)權(quán)的保護(hù)那么簡(jiǎn)單，而是涉及到國(guó)家對(duì)社會(huì)安全、集體利益、網(wǎng)絡(luò)運(yùn)行環(huán)境保護(hù)的整體管理。首先，公民個(gè)人信息的保護(hù)關(guān)系到網(wǎng)絡(luò)環(huán)境的凈化和網(wǎng)絡(luò)經(jīng)濟(jì)活動(dòng)的發(fā)展，如果沒(méi)有規(guī)范的信息使用方法，也沒(méi)有健全的司法救濟(jì)途徑，就會(huì)導(dǎo)致侵犯?jìng)€(gè)人信息行為愈發(fā)猖獗，影響網(wǎng)絡(luò)運(yùn)行，干擾正常的經(jīng)濟(jì)秩序。其次，公民個(gè)人信息的保護(hù)也有可能上升到國(guó)家安全、社會(huì)保護(hù)層面?！毒W(wǎng)絡(luò)安全法》的出臺(tái)就體現(xiàn)了國(guó)家對(duì)中國(guó)公民個(gè)人信息保護(hù)與國(guó)家信息安全問(wèn)題之間聯(lián)系的認(rèn)識(shí)。網(wǎng)絡(luò)空間作為海洋、陸地、天空、外空之外的第五空間，國(guó)家主權(quán)也存在于這一虛擬空間中。個(gè)人信息的泄露可能會(huì)威脅到國(guó)家安全，如政府和大型企業(yè)用于存儲(chǔ)用戶個(gè)人信息的數(shù)據(jù)庫(kù)一旦遭到泄露，可能導(dǎo)致網(wǎng)絡(luò)監(jiān)聽(tīng)、網(wǎng)絡(luò)攻擊甚至網(wǎng)絡(luò)恐怖主義行為的發(fā)生。對(duì)個(gè)人信息尤其是關(guān)鍵信息的保護(hù)，已經(jīng)是各國(guó)的共識(shí)，對(duì)個(gè)人信息、重要數(shù)據(jù)，除非確有必要，不應(yīng)當(dāng)流出境外。關(guān)鍵信息基礎(chǔ)設(shè)施已經(jīng)成為能源、金融、交通、通信的關(guān)鍵問(wèn)題，成為國(guó)家的命脈，《網(wǎng)絡(luò)安全法》就規(guī)定，“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在中華人民共和國(guó)境內(nèi)收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)該在境內(nèi)存儲(chǔ)”[5]。由此可見(jiàn)，在信息化時(shí)代，個(gè)人信息安全已經(jīng)成為和國(guó)家安全、社會(huì)發(fā)展、公眾利益息息相關(guān)的重大問(wèn)題。

綜上可見(jiàn)，刑法層面上的個(gè)人信息權(quán)利保護(hù)，是一個(gè)復(fù)雜或者說(shuō)是綜合的權(quán)利集合，其最終要在個(gè)人信息的保護(hù)與社會(huì)信息共享、信息自由交流與國(guó)家安全之間找到平衡。

三、原則與例外：刑法保護(hù)個(gè)人信息權(quán)的基準(zhǔn)

1．責(zé)任主義原則的堅(jiān)持和例外

在網(wǎng)絡(luò)犯罪中，對(duì)幫助行為人，如網(wǎng)絡(luò)平臺(tái)的經(jīng)營(yíng)者、服務(wù)器的運(yùn)營(yíng)者等追究刑事責(zé)任已經(jīng)成為打擊網(wǎng)絡(luò)黑灰產(chǎn)業(yè)鏈的重要部分。對(duì)在侵犯公民個(gè)人信息犯罪中提供了幫助的行為人，2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱《解釋》)明確了其刑事責(zé)任。[注]當(dāng)然，在幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪等規(guī)定中，行為人的行為是所謂的中立行為，而本罪的幫助行為顯然并不“中立”，所以本罪行為的性質(zhì)和中立行為入罪的情況也不同。

一方面，《解釋》規(guī)定了責(zé)任主義原則成立的情形。依據(jù)《解釋》第5條第1款第2項(xiàng)“知道或者應(yīng)當(dāng)知道他人利用公民個(gè)人信息實(shí)施犯罪，向其出售或提供的”屬于“情節(jié)嚴(yán)重”的規(guī)定，在行為人主觀明知的時(shí)候?qū)嵤┝饲址杆藗€(gè)人信息的行為，就需要承擔(dān)相應(yīng)的責(zé)任。同時(shí)，這也是一種幫助行為的正犯化，那么何時(shí)成立具體罪名的幫助犯與本罪正犯的想象競(jìng)合，何時(shí)認(rèn)定為單純的具體犯罪幫助犯？這需要依據(jù)主觀認(rèn)識(shí)上是否有特定的故意和認(rèn)識(shí)來(lái)區(qū)分，“如果行為人主觀上僅知道或者應(yīng)當(dāng)知道他人將利用個(gè)人信息實(shí)施犯罪行為，但對(duì)于實(shí)施何種犯罪、如何實(shí)施以及犯罪的時(shí)間、地點(diǎn)并沒(méi)有認(rèn)識(shí)，則不能成立具體犯罪的幫助犯，但可依據(jù)本項(xiàng)定罪處罰，如果行為人對(duì)他人即將實(shí)施的犯罪存在具體的認(rèn)識(shí)，依然向他人提供個(gè)人信息的，后他人果然利用其提供的個(gè)人信息實(shí)施了具體的犯罪行為，則行為人應(yīng)當(dāng)構(gòu)成具體罪名的幫助犯與本罪正犯的想象競(jìng)合，擇一重罪處罰。”[6]對(duì)于本項(xiàng)中“犯罪”的范圍，有學(xué)者認(rèn)為在進(jìn)行目的性限縮解釋的情況下，不應(yīng)當(dāng)包括本罪。[7]我們認(rèn)為應(yīng)當(dāng)包括出售或提供公民個(gè)人信息的行為。因?yàn)閺睦霉駛€(gè)人信息的黑色產(chǎn)業(yè)鏈來(lái)看，對(duì)個(gè)人信息的獲取和傳播有時(shí)會(huì)經(jīng)過(guò)多重層級(jí)，最終流向不同的犯罪行為終端，所以在這個(gè)過(guò)程中，任何一級(jí)都可以依據(jù)本條成立侵犯公民個(gè)人信息罪。

另一方面，《解釋》還規(guī)定了責(zé)任主義的例外情形?！督忉尅返?條第1款規(guī)定，“出售或者提供行蹤軌跡信息，被他人用于犯罪的”，可被認(rèn)定為情節(jié)嚴(yán)重。對(duì)比其他條款可以看出，對(duì)于這類行為，無(wú)需判斷主觀上是否知道或應(yīng)當(dāng)知道涉案信息被用于犯罪。這主要是為了解決司法實(shí)踐中取證難的問(wèn)題而設(shè)立的條款，可以說(shuō)是實(shí)踐推動(dòng)規(guī)則制定的直接反映，但從理論角度，這樣的規(guī)定是否合適還有待商榷。對(duì)《解釋》中這一款的處罰正當(dāng)性的解釋，可能需要引入大陸法系客觀處罰條件理論或英美法系的嚴(yán)格責(zé)任理論才能解決。我們?cè)噲D用大陸法系客觀處罰條件理論[注]在特定情況下，除了不法行為的責(zé)任之外還必須存在其他情況才能成立刑事可罰性，這種附加在有責(zé)的不法行為中并能夠引發(fā)刑事可罰性的情況被德國(guó)刑法學(xué)家稱為“客觀的處罰條件”或“刑事可罰性的客觀條件”。參見(jiàn)[德]克勞斯·羅克辛.德國(guó)刑法學(xué)總論(第1卷)[M].王世洲，譯.北京：法律出版社,2005.290.對(duì)《解釋》中這一款的處罰正當(dāng)性進(jìn)行解釋，但發(fā)現(xiàn)該理論中的客觀處罰條件大部分時(shí)候都表現(xiàn)為處罰限制功能，只有在少數(shù)狀態(tài)下具有刑罰加重功能。[8]而《解釋》中的這一款顯然不是為了減輕被告人的刑罰，所以是一種不純正的客觀處罰條件，實(shí)際上也是不法構(gòu)成要件，只是與故意過(guò)失相分離。而且我國(guó)刑法學(xué)界對(duì)客觀處罰條件的概念、定義以及在我國(guó)的適用爭(zhēng)議很大，因此，筆者認(rèn)為，與其采用爭(zhēng)議較大的客觀處罰條件理論來(lái)解釋，不如采用英美的嚴(yán)格責(zé)任理論可能更為簡(jiǎn)便。嚴(yán)格責(zé)任立法本就出于功利主義立場(chǎng)，為減輕控方的犯意證明責(zé)任而設(shè)，實(shí)際上是為保護(hù)多數(shù)人的最大利益而對(duì)少數(shù)人利益的犧牲，這其實(shí)和《解釋》第5條第1款的立法原意是一致的。

2．同意原則的堅(jiān)持與例外

我們的日常生活已經(jīng)離不開(kāi)網(wǎng)絡(luò)，每天都有無(wú)數(shù)的數(shù)據(jù)傳播行為發(fā)生，尤其是在智能手機(jī)普及之后，同意某一應(yīng)用軟件使用公民個(gè)人信息已經(jīng)成為了一種常態(tài)，需要通過(guò)將個(gè)人信息相關(guān)情形告知信息持有者并以賦予其一定處置權(quán)的方式在虛擬網(wǎng)絡(luò)世界中設(shè)立第一重保護(hù)，使得當(dāng)個(gè)人信息被侵犯時(shí)，當(dāng)事人有權(quán)并有途徑進(jìn)行究責(zé)，維護(hù)自身權(quán)益。

公眾信息共享和個(gè)人信息保護(hù)之間的沖突是互聯(lián)網(wǎng)時(shí)代所有網(wǎng)絡(luò)活動(dòng)無(wú)法回避的問(wèn)題，互聯(lián)網(wǎng)發(fā)展至今，信息持有者的知情和同意已經(jīng)成為網(wǎng)絡(luò)主體對(duì)公民個(gè)人信息所有利用行為開(kāi)展的前提，也是對(duì)公民個(gè)人信息的最低保護(hù)要求，信息持有者有權(quán)了解自己的信息被哪些機(jī)構(gòu)持有、處理和利用，也有權(quán)了解具體的利用進(jìn)程，對(duì)于可能不利于信息持有者的利用行為有知情權(quán)。知情同意包含兩個(gè)權(quán)利范疇：一是知情權(quán)，即信息主體有獲取有關(guān)本人信息及其被收集、處理和利用等情況的權(quán)利；二是同意權(quán)，即除法律規(guī)定的例外情況，任何人要收集、處理或使用個(gè)人信息必須經(jīng)信息主體本人同意。[9]一般而言，這種同意不能是默示作出的，即數(shù)據(jù)主體以簡(jiǎn)單的不作為表示同意是不夠的，還必須以某種作為形成明示同意，但有默示同意成立的情況，如將個(gè)人數(shù)據(jù)用于直銷目的的情形。[10]

早在1978年經(jīng)濟(jì)合作與發(fā)展組織(Organization for Economic Cooperation and Development, OECD)就成立了跨境數(shù)據(jù)障礙和隱私保護(hù)的專家團(tuán)，并于1980年通過(guò)了《關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)國(guó)際流動(dòng)的指針的建議書(shū)》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, OECD.EOC.C58 final)。該建議書(shū)提出了保護(hù)個(gè)人信息的八項(xiàng)基本原則，其中附條件地規(guī)定了數(shù)據(jù)收集與利用的同意原則。[11]

是否支持信息所有者的同意權(quán)和各國(guó)的價(jià)值衡量相關(guān)。美國(guó)更加強(qiáng)調(diào)信息的自由流動(dòng)，認(rèn)為交流與利用是信息的價(jià)值所在，不支持用同意權(quán)來(lái)為流動(dòng)設(shè)限，妨礙相關(guān)行業(yè)的健康發(fā)展。與之相反，歐盟各國(guó)更為強(qiáng)調(diào)對(duì)個(gè)人數(shù)據(jù)安全的保護(hù)，禁止個(gè)人數(shù)據(jù)的隨意流失，在消除歐盟境內(nèi)數(shù)據(jù)流動(dòng)障礙的同時(shí)尋求更高層次的保護(hù)，將同意權(quán)明確列入數(shù)據(jù)保護(hù)的相關(guān)文件之中。

根據(jù)歐盟第29條工作組的觀點(diǎn)，信息主體的同意必須是在信息充分的情況下基于自由意志做出，且明確具體。[12]傳統(tǒng)的個(gè)人信息保護(hù)結(jié)構(gòu)來(lái)自歐盟《個(gè)人數(shù)據(jù)保護(hù)指令》，眾多國(guó)家的立法均以此為藍(lán)本，其“知情同意”結(jié)構(gòu)要求機(jī)構(gòu)在收集用戶信息前，告知用戶信息處理的情況，在網(wǎng)絡(luò)服務(wù)的語(yǔ)境中通常表現(xiàn)為發(fā)布隱私聲明，用戶在閱讀聲明后做出同意的意思表示作為對(duì)個(gè)人信息收集及利用的合法授權(quán)，然而此種控制機(jī)制在信息時(shí)代尤其是大數(shù)據(jù)時(shí)代遭到嚴(yán)重沖擊。[13]2016年歐盟《一般數(shù)據(jù)保護(hù)條例》(GDPR)強(qiáng)化了對(duì)公民知情權(quán)和同意權(quán)的規(guī)定。根據(jù)該法，居民能夠查詢個(gè)人信息的存儲(chǔ)和處理情況，一旦發(fā)生數(shù)據(jù)泄露事件，信息所有者有權(quán)第一時(shí)間被告知。在2018年最新的《一般數(shù)據(jù)保護(hù)條例》中進(jìn)一步強(qiáng)調(diào)了對(duì)信息所有者的保護(hù)，在使用其數(shù)據(jù)的時(shí)候，不僅需要告知和取得其同意，同時(shí)所有者還有反對(duì)權(quán)和擦除權(quán)，一經(jīng)反對(duì)使用或要求“擦除”，企業(yè)就必須馬上停止一切使用。由此可見(jiàn)，歐盟的個(gè)人數(shù)據(jù)保護(hù)是雙重的，即既在采集階段保護(hù)，也在采集后的整個(gè)使用階段嚴(yán)格控制。歐盟各成員國(guó)本國(guó)的數(shù)據(jù)保護(hù)法也有關(guān)于同意權(quán)的規(guī)定。如德國(guó)2003年《聯(lián)邦數(shù)據(jù)保護(hù)法》第4條規(guī)定了只有在法律允許或數(shù)據(jù)主體同意的時(shí)候才能收集、處理和使用個(gè)人數(shù)據(jù)，且這種同意是書(shū)面且針對(duì)特定事項(xiàng)的。法國(guó)《數(shù)據(jù)處理、數(shù)據(jù)文件及個(gè)人自由法》也規(guī)定了對(duì)個(gè)人數(shù)據(jù)處理的同意權(quán)及其例外情況。

不同于歐盟嚴(yán)格的數(shù)據(jù)管控，美國(guó)對(duì)個(gè)人信息的利用則采取寬容的態(tài)度，沒(méi)有制定統(tǒng)一適用于各種機(jī)構(gòu)的個(gè)人信息保護(hù)法，而是在《隱私權(quán)法》等相關(guān)法律中以條文形式作出具體規(guī)定。比如，《隱私權(quán)法》規(guī)定了信息提供者的知情權(quán)以及對(duì)非法定原因信息披露的同意權(quán)，但美國(guó)法律中規(guī)定的同意權(quán)范圍非常窄，和歐盟的一般性保護(hù)有所區(qū)別。2015年美國(guó)在《消費(fèi)者隱私權(quán)利法案(草案) 》中規(guī)定了大量的排除條款，如將合法公開(kāi)可得的信息、經(jīng)去識(shí)別化處理的信息、雇員信息、網(wǎng)絡(luò)安全信息等排除出個(gè)人信息的范圍。同時(shí)在適用主體方面，較歐盟數(shù)據(jù)保護(hù)指令作出更多例外性規(guī)定，給個(gè)人信息的利用留出了靈活空間。

在企業(yè)信息使用的管控中，各國(guó)表現(xiàn)出了不同的管控理念。作為互聯(lián)網(wǎng)大國(guó)，美國(guó)為了鼓勵(lì)企業(yè)發(fā)展，對(duì)企業(yè)信息使用沒(méi)有設(shè)置太多的障礙，尤其是對(duì)個(gè)人信息這一決定企業(yè)程序設(shè)計(jì)、用戶體驗(yàn)的關(guān)鍵數(shù)據(jù)更是沒(méi)有設(shè)置太多的使用障礙，但由于歐盟本土幾乎沒(méi)有大型的互聯(lián)網(wǎng)企業(yè)，在對(duì)外國(guó)企業(yè)的準(zhǔn)入過(guò)程中，自然會(huì)設(shè)立壁壘來(lái)保護(hù)本國(guó)利益。比如，歐盟隱私監(jiān)管機(jī)構(gòu)對(duì)WhatsApp和Facebook的警告和調(diào)查，認(rèn)為“雖然WhatsApp試圖獲得用戶的同意，與Facebook分享他們的信息，但是又告知用戶如果不同意數(shù)據(jù)分享?xiàng)l款就無(wú)法繼續(xù)使用該服務(wù)，對(duì)此，監(jiān)管機(jī)構(gòu)表示‘同意或者離開(kāi)’的策略沒(méi)有給用戶充足的自由選擇權(quán)，應(yīng)當(dāng)加以修改，但Facebook對(duì)此尚未采取行動(dòng)”；再如，歐盟第29條工作組對(duì)Google展開(kāi)的合規(guī)性調(diào)查，2012年向谷歌發(fā)出通告，要求其在4個(gè)月內(nèi)按要求修改隱私政策，但谷歌對(duì)此置之不理，于是第二年(2013年)法國(guó)的數(shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)——國(guó)家信息自由委員會(huì)(CNIL)于當(dāng)?shù)貢r(shí)間2013年4月2日宣布，歐洲六國(guó)的隱私保護(hù)部門(mén)將聯(lián)合對(duì)谷歌加強(qiáng)限制。[14]這兩個(gè)案件側(cè)面表明了歐盟通過(guò)嚴(yán)格的數(shù)據(jù)管理規(guī)則遏制美國(guó)互聯(lián)網(wǎng)霸權(quán)的目的。

我國(guó)臺(tái)灣地區(qū)的“個(gè)人資料保護(hù)法”和日本的《個(gè)人信息保護(hù)法》也規(guī)定了信息所有者的同意權(quán)，但僅限于采集階段，對(duì)于之后的使用階段，只要使用目的與收集目的相符就無(wú)需征得信息主體的同意。因?yàn)槿毡驹谥贫ā秱€(gè)人信息保護(hù)法》過(guò)程中認(rèn)為，如果像歐洲那樣設(shè)立對(duì)任何領(lǐng)域都擁有管理權(quán)限的個(gè)人信息保護(hù)機(jī)關(guān)，則可能大幅度限制非公共部門(mén)本應(yīng)自由的活動(dòng)，這不符合日本的國(guó)情，與其行政改革和放松管制的潮流也相悖，因而應(yīng)構(gòu)建富有成效的事后救濟(jì)體系。[15]

我國(guó)2017年新出臺(tái)的《民法總則》和《網(wǎng)絡(luò)安全法》也順應(yīng)國(guó)際潮流，強(qiáng)化了用戶的知情權(quán)和同意權(quán)?！睹穹倓t》規(guī)定了公民個(gè)人信息保護(hù)的一般原則是告知與同意原則，雖然沒(méi)有明確界定“告知”和“同意”的標(biāo)準(zhǔn)，但可以通過(guò)其他相關(guān)立法規(guī)定明確。如《網(wǎng)絡(luò)安全法》第22條規(guī)定了網(wǎng)絡(luò)服務(wù)提供者的告知義務(wù)，“發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告”；第42條第1款表達(dá)了對(duì)公民同意作為合法化前提的支持，該條規(guī)定對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者收集的公民個(gè)人信息，“未經(jīng)被收集者同意，不得向他人提供”，并規(guī)定了一個(gè)例外，即經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的情況下，可以不經(jīng)過(guò)同意對(duì)外提供。這種前置的同意原則和歐盟的數(shù)據(jù)管理立法思想是類似的。2017年出臺(tái)的《解釋》第3款也從刑法層面呼應(yīng)了同意原則，規(guī)定“未經(jīng)被收集者同意，將合法收集的公民個(gè)人信息向他人提供的，屬于《刑法》第253條之一規(guī)定的‘提供公民個(gè)人信息’，但是經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外?！?/p>

知情同意權(quán)的推行首先遇到的阻礙就來(lái)自大數(shù)據(jù)時(shí)代經(jīng)濟(jì)發(fā)展對(duì)個(gè)人信息的海量需求。由于大數(shù)據(jù)時(shí)代用戶與網(wǎng)絡(luò)服務(wù)提供者之間的聯(lián)系不再單一，而是一個(gè)多重網(wǎng)絡(luò)，所以對(duì)公民個(gè)人信息的自我控制能力減弱，知情權(quán)和同意權(quán)的實(shí)現(xiàn)也變得更為困難，同時(shí)也規(guī)定得更為嚴(yán)格。有學(xué)者指出，知情同意機(jī)制已然失靈，知情同意的基礎(chǔ)地位不保，一方面，在大數(shù)據(jù)背景下信息主體權(quán)利已被架空，另一方面，其加重企業(yè)成本，從而阻礙信息高效使用。[16]需要注意的是，公民個(gè)人信息保護(hù)的需求和國(guó)家治理的安全需求之間存在矛盾，和企業(yè)發(fā)展的大數(shù)據(jù)分析需求之間也存在沖突。如何平衡好這兩對(duì)關(guān)系，涉及到同意原則適用的范圍。從企業(yè)發(fā)展角度看，中國(guó)互聯(lián)網(wǎng)企業(yè)之所以能在短短數(shù)十年內(nèi)迅猛發(fā)展，離不開(kāi)中國(guó)龐大的網(wǎng)民群體的信息支持，只有通過(guò)足夠數(shù)量的大數(shù)據(jù)分析，才能夠?qū)崿F(xiàn)更為個(gè)性化的服務(wù)，提供更好的用戶體驗(yàn)。如果對(duì)網(wǎng)民個(gè)人信息的使用規(guī)定得過(guò)于嚴(yán)格，企業(yè)就不能進(jìn)行數(shù)據(jù)挖掘和分析工作，服務(wù)質(zhì)量就下降，相應(yīng)地會(huì)影響到企業(yè)在市場(chǎng)中的占有份額。從個(gè)人信息安全角度而言，如歐洲數(shù)據(jù)保護(hù)規(guī)則一般要求企業(yè)集中用戶信息以方便用戶查閱和授權(quán)，未嘗不會(huì)形成新的安全隱患，反向地給黑客攻擊網(wǎng)站獲取信息降低了成本，原本分散的信息可能需要多次攻擊才能獲取，現(xiàn)在只需要一次就能獲得全部。所以，在適用同意原則對(duì)企業(yè)個(gè)人信息的獲取設(shè)置門(mén)檻的時(shí)候，也不能過(guò)分強(qiáng)調(diào)個(gè)人權(quán)益，在掌握信息讓渡的決定權(quán)的同時(shí)也要給企業(yè)一定的自主權(quán)。比如，在對(duì)信息進(jìn)行去識(shí)別化處理后在一定范圍內(nèi)可以不經(jīng)提供者的同意進(jìn)行使用。

但是，國(guó)家安全對(duì)個(gè)人信息保護(hù)可能的侵犯和企業(yè)對(duì)個(gè)人信息的利用還是有所區(qū)別的。首先，國(guó)家安全部門(mén)對(duì)個(gè)人信息的獲取較之企業(yè)更為全面，比如納稅、戶籍等信息，是企業(yè)通過(guò)軟件程序無(wú)法得到的。其次，國(guó)家安全部門(mén)獲取個(gè)人信息的目的并不在于盈利，更不會(huì)用于違法犯罪行為，這一點(diǎn)是和企業(yè)或其他第三方機(jī)構(gòu)有所區(qū)別的。最后，國(guó)家安全部門(mén)是個(gè)人信息收集的終端，不會(huì)二次傳播。所以安全部門(mén)享有一定的豁免權(quán)，在國(guó)家安全和個(gè)人安全的價(jià)值位階對(duì)比中，顯然國(guó)家安全具有更高的優(yōu)先級(jí)。

四、余論

公民個(gè)人信息從早期作為其他法益保護(hù)的一部分進(jìn)入刑法規(guī)定到現(xiàn)在的獨(dú)立保護(hù)，其保護(hù)體系愈發(fā)完善，內(nèi)涵外延不斷豐富，但同時(shí)也存在隱憂——刑法在將網(wǎng)絡(luò)犯罪領(lǐng)域出現(xiàn)的新違法行為入罪規(guī)制方面表現(xiàn)得過(guò)于積極，有些地方越過(guò)民法和行政法，走得很遠(yuǎn)。而從司法實(shí)踐來(lái)看，對(duì)這一類行為的處罰普遍較輕，不少案件雖然涉案人數(shù)眾多，但很少有判處3年以上刑期的，大多都是幾個(gè)月到1年有期徒刑并緩刑，并處的罰金與違法所得金額相比甚微。這難免使人產(chǎn)生疑問(wèn)，這樣的刑罰對(duì)侵犯?jìng)€(gè)人信息的違法行為是否必要，采取民事或行政措施是否更為有效？刑法作為最后一道防線，應(yīng)當(dāng)在其他部門(mén)法措施規(guī)制無(wú)效時(shí)才啟動(dòng)，但在個(gè)人信息保護(hù)領(lǐng)域，民事、行政措施，與其說(shuō)是調(diào)控?zé)o效，不如說(shuō)是尚未完善，有心無(wú)力——民事措施偏重對(duì)隱私權(quán)的保護(hù)，對(duì)個(gè)人信息的其他權(quán)利屬性鞭長(zhǎng)莫及，而在缺少單行專門(mén)立法的行政制裁領(lǐng)域，其措施嚴(yán)厲有余，輻射范圍不足。在這樣的情況下，能不能直接進(jìn)入刑法層面？

筆者認(rèn)為，針對(duì)網(wǎng)絡(luò)時(shí)代犯罪行為發(fā)展快、數(shù)量多、影響廣、損失大等情況，刑法先積極作為，劃定最低的行為界限，并非不可，至少可以形成一定的威懾力。但從整體的法律規(guī)制體系邏輯來(lái)看，刑法的任務(wù)并不是針對(duì)具體侵犯公民個(gè)人信息權(quán)利的行為去鑒定其是否合法或違法，這個(gè)任務(wù)應(yīng)當(dāng)由民法或行政法去完成。只有對(duì)侵犯公民個(gè)人信息已達(dá)到相當(dāng)嚴(yán)重程度、具有相當(dāng)社會(huì)危害性的違法行為才能動(dòng)用刑法，以避免刑法“代行”民法或行政法等其他部門(mén)法的職能。這樣才能搭建一個(gè)刑、民、行交叉的整體保護(hù)框架，實(shí)現(xiàn)大數(shù)據(jù)時(shí)代對(duì)公民個(gè)人信息的全方位保護(hù)。