方 濤

（西北政法大學(xué)，陜西 西安 710063）

伴隨著大數(shù)據(jù)與信息時代的到來，侵犯公民個人信息的犯罪現(xiàn)象日益嚴(yán)重，公民個人信息保護(hù)問題已成為當(dāng)下每個公民關(guān)注的焦點之一。據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心發(fā)布的《2019 年中國網(wǎng)民信息安全狀況研究報告》，77.7%的被調(diào)查網(wǎng)民遭遇過信息安全事件，并且遭受不同程度的損失，總額大約為194 億元。中國消費者協(xié)會研究表明，85.2% 的公民遭遇過個人信息泄露情況。新冠疫情期間，為疫情防控的需要，公民個人信息被長時間、全方位地大量收集，可以預(yù)見到公民個人信息泄漏的風(fēng)險也大為增加。

自2003 年以來，我國相關(guān)部門就開始了對《個人信息保護(hù)法》（以下簡稱“《個保法》”）草案的起草工作，然而基于一系列復(fù)雜因素，《個保法》遲遲未能出臺。歷時18 年，在國內(nèi)、國際整個社會大環(huán)境的緊逼下，具有劃時代意義的《個保法》于2021 年8月正式誕生，可謂真正的“難產(chǎn)兒”?！秱€保法》不僅吸收了近年來個人信息保護(hù)的國際經(jīng)驗，而且總結(jié)了我國《刑法》、《網(wǎng)絡(luò)安全法》、《民法》等部門法的立法與實踐經(jīng)驗。既與國際接軌，又不乏中國特色。［1］自此，《個保法》與《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》共同組成了我國網(wǎng)絡(luò)安全與數(shù)據(jù)安全保護(hù)的“三駕馬車”，為個人信息安全保駕護(hù)航。

“個人信息保護(hù)”已成為當(dāng)下各個部門法學(xué)研究的熱點與重點?！秱€保法》的出臺將改善我國以往個人信息保護(hù)立法分散混亂、操作性不強(qiáng)等局面，但新法也將面臨一些急需破解的困境。當(dāng)下亟待解決的難題之一便是如何處理好《個保法》與其他相關(guān)部門法的銜接問題，進(jìn)而與其他相關(guān)部門法形成綜合性、明確性、完備性的個人信息保護(hù)法律體系。本文擬從闡釋《個保法》與《刑法》的規(guī)范供給困境與沖突出發(fā)，對“兩法”的規(guī)范銜接展開探討，最后對刑法立法與刑事司法進(jìn)行展望，為未來個人信息刑法保護(hù)的規(guī)制方向提供幾點建議。

一、“兩法”的規(guī)范供給困境與沖突

探討《個保法》與《刑法》規(guī)范銜接的前提，必定先要在比較的視野下審視兩法的規(guī)范，審查二者規(guī)范供給方面的困境與存有的規(guī)范沖突。兩法的規(guī)范供給方面存在法律責(zé)任條款的虛置化、罪名涵蓋的法益保護(hù)不周延等困境，規(guī)范沖突方面主要是內(nèi)容錯位帶來的問題。

（一）《個保法》的規(guī)范供給困境

《個保法》是個人信息保護(hù)的基礎(chǔ)性部門法，是我國多年來理論與實踐經(jīng)驗的結(jié)晶?；邶嫶蟮牟块T法體系，難以做到面面俱到。在位階上，其與《刑法》具有同等效力；在內(nèi)容上，其提供了諸如基本概念、原則等個人信息保護(hù)的基礎(chǔ)性法律規(guī)定，覆蓋面廣泛；在法律屬性上，《個保法》是一部兼具有公私法屬性的綜合性部門法；［2］在法律責(zé)任上，其為《刑法》提供了判斷合法性基礎(chǔ)的前置性規(guī)定。

然而，于《刑法》而言，《個保法》在規(guī)范供給方面主要體現(xiàn)為法律責(zé)任條款的虛置化?！秱€保法》僅在法律責(zé)任章節(jié)條款下簡單地、概括性地規(guī)定了“構(gòu)成犯罪的，依法追究刑事責(zé)任”。這一宣示性的刑事責(zé)任條款形同虛設(shè)，空白罪狀立法的方式導(dǎo)致刑法中的具體罪名在援引前置性規(guī)定時銜接不暢，常常引發(fā)爭議。［3］有學(xué)者指出，作為法定犯上位法的行政法律規(guī)范，不僅對法定犯具有違法性的解釋功能，還具有立法的限定功能和刑法處罰范圍的限縮功能。［4］118理論界曾在《個保法》生效前就對侵犯公民個人信息罪的“前置性要件”展開豐富的探討，很多學(xué)者寄厚望予《個保法》以求破解這一困境，但該法的出臺顯然沒有徹底解決該問題。

非刑事部門法中概括式的刑事責(zé)任規(guī)定似乎成為慣常，這也涉及我國附屬刑法的定位問題。通說認(rèn)為，我國并沒有嚴(yán)格意義上的附屬刑法。在積極刑法觀的大背景下，有學(xué)者主張設(shè)置附屬刑法，在商法、行政法、經(jīng)濟(jì)法等法律規(guī)定行政犯的構(gòu)成要件和法定刑，以此解決行政犯銜接不暢與司法適用困惑。［5］［6］也有學(xué)者反對增設(shè)附屬刑法，認(rèn)為這種方式有損刑法施行，不符合我國國情等。［7］但無論哪種觀點，都要以提供明確性前置要件，保障其他部門法與刑法銜接流暢為前提。前置性違法要件的不明確，往往也會使行政上的“違法性”與刑法上的“違法性”產(chǎn)生混亂。

（二）《刑法》的規(guī)范供給困境

從對個人信息的立法沿革來看，先是由刑事立法再由民事、行政等相關(guān)立法。具體到個人信息的刑法保護(hù)而言，立法層面經(jīng)歷了從間接保護(hù)到直接保護(hù)的模式，即由1997 年《刑法》對身份盜竊的間接保護(hù)到《刑法修正案（五）》對信用卡犯罪的直接保護(hù)。［4］115基于特殊主體利用職務(wù)之便取得公民個人信息進(jìn)行非法行為的違法趨勢，《刑法修正案（七）》第7 條增設(shè)了第253 條之一，規(guī)定出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，以達(dá)到抑制特殊主體侵犯公民個人信息犯罪的效果。隨著互聯(lián)網(wǎng)技術(shù)的提高與信息產(chǎn)業(yè)建設(shè)的發(fā)展，侵犯公民個人信息犯罪呈現(xiàn)高發(fā)態(tài)勢，犯罪主體呈現(xiàn)多元化，基于現(xiàn)實社會的需要，《刑法修正案九》第17 條將原來第253 條之一下的三個罪名合并為侵犯公民個人信息罪，犯罪主體調(diào)整為一般主體，自然人和單位都可成為犯罪主體。2017 年“兩高”出臺《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）進(jìn)一步明確侵犯公民個人信息罪的司法適用，加強(qiáng)刑法對個人信息的保護(hù)力度。

然而，隨著大數(shù)據(jù)時代的到來與人工智能技術(shù)的興起，當(dāng)下的形勢已經(jīng)發(fā)生變化，傳統(tǒng)的刑法規(guī)制路徑已然不適應(yīng)現(xiàn)實需求。原有的相關(guān)罪名愈發(fā)顯露出保護(hù)法益的不周延，涵蓋射程有限。刑事處罰漏洞日益明顯，對于一些原本未規(guī)定為犯罪，但現(xiàn)已具備高度法益侵害性的違法行為，應(yīng)及時納入刑法規(guī)制范疇以應(yīng)對處罰漏洞。當(dāng)然，這也是刑法分則罪名構(gòu)成要件的類型性所不可避免的缺陷。具體而言，《個保法》較《民法》更加完善地規(guī)定了個人信息的處理方式，涵蓋了個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等整個個人信息生命周期。但《刑法》現(xiàn)有規(guī)定僅將非法獲取、出售、提供予以規(guī)制，《刑法》法益保護(hù)的不嚴(yán)密性十分突出。例如，對于當(dāng)下普遍發(fā)生的合法獲取，非法利用行為，僅用非刑事規(guī)制是否足以救濟(jì)法益？對于一些重大的企業(yè)個人信息泄露事件，刑法是否繼續(xù)沉默？隨著司法實踐的檢驗，侵犯公民個人信息罪囊括的三種行為方式的法益侵害性程度并不一樣，將三種行為方式按照統(tǒng)一標(biāo)準(zhǔn)予以處罰是否符合罪刑相適應(yīng)原則？

（三）“兩法”的規(guī)范沖突

《個保法》與《刑法》屬同等效力的基本法律，但二者部門法的屬性決定了二者的規(guī)制重點以及價值取向存在差異，由于內(nèi)容錯位也不可避免地存在規(guī)范沖突。對《個保法》整個立法體系進(jìn)行梳理，筆者認(rèn)為，《刑法》在對接《個保法》規(guī)范的過程中，存在以下規(guī)范沖突。

一是基礎(chǔ)概念銜接的沖突。基礎(chǔ)概念主要涉及“公民個人信息”、“敏感個人信息”概念的銜接問題。對于“公民個人信息”的概念，《個保法》第4 條采取了“識別說+關(guān)聯(lián)說”的標(biāo)準(zhǔn)，強(qiáng)調(diào)與個人信息主體的相關(guān)性。而依據(jù)《解釋》，《刑法》采取識別說的標(biāo)準(zhǔn)，關(guān)注對信息主體本身的影響，旨在保護(hù)公民的人身、財產(chǎn)安全。兩法對“公民個人信息”的定義表述不同，如何予以協(xié)調(diào)是首要任務(wù)。此外，《個保法》對“敏感信息”的概念作出了明確定義，而《刑法》只是對其中的一部分信息通過《解釋》予以更高程度保護(hù)，如何協(xié)調(diào)二者的范圍也需要關(guān)注。

二是規(guī)制個人信息違法處理行為方式的沖突?！秱€保法》為處理個人信息提供了基本原則與具體規(guī)則，保護(hù)更具有全面性?！缎谭ā坊谥t抑性，僅規(guī)定了兩種方式，并以司法解釋明確范圍。①從廣義上講，非法出售行為可以囊括在非法提供行為之下，因為出售是一種常見類型，所以刑法單獨予以規(guī)定。本文采取廣義的表述。前文提到，《個保法》第4 條第2 款規(guī)定了個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。該法規(guī)制的個人信息違法處理行為是否與《刑法》所規(guī)制的非法獲取、提供行為相一致？ 如《解釋》第四條明確規(guī)定了違反國家有關(guān)規(guī)定，在履行職責(zé)、提供服務(wù)過程中收集公民個人信息屬于非法獲取行為，而《個保法》第6 條第2 款規(guī)定了收集個人信息應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息。當(dāng)信息處理者違反過度原則，過度收集的信息是否屬于《解釋》規(guī)定的這一非法獲取范圍？此外，《個保法》還規(guī)定了個人信息處理者的委托、轉(zhuǎn)讓等情形，該類情形能否被《刑法》所規(guī)定的提供行為所涵蓋？

二、“兩法”的規(guī)范銜接

“兩法”規(guī)范的價值追求具有相對的一致性?！秱€保法》追求個人信息的保護(hù)與促進(jìn)個人信息的高效利用二者之間的平衡。《刑法》的謙抑性原則決定了其不能全方位介入個人信息的保護(hù)，避免矯枉過正，只能為個人信息的保護(hù)提供最后的保障作用?！皟煞ā钡你暯邮玛P(guān)個人信息過度保護(hù)與弱化保護(hù)的界限，也直接影響刑法的適用范圍與作為后位法保障機(jī)能的充分發(fā)揮。筆者擬對整個《個保法》進(jìn)行體系性考察，從其與刑法總論、分論的銜接分別來進(jìn)行探討。

（一）《個保法》與刑法總論的銜接

《個保法》與刑法總論的銜接涉及到以下方面。一是與罪刑相適應(yīng)原則的銜接。從信息類別上看，《個保法》對個人信息的保護(hù)采取了二分法，即按一般個人信息與敏感個人信息進(jìn)行分級別保護(hù)，對敏感信息采取了更嚴(yán)格的保護(hù)制度，強(qiáng)調(diào)基于特定目的和充分的必要性，單獨同意與告知義務(wù)。這樣二分法的保護(hù)策略與刑法總論的罪刑相適應(yīng)原則契合。

二是與刑事管轄權(quán)的銜接?！秱€保法》第三章專章規(guī)定個人信息跨境提供的規(guī)則，這與個人信息涉及的國家數(shù)據(jù)主權(quán)以及商業(yè)價值等密切相關(guān)，也將直接涉及到普遍管轄權(quán)的問題。

（二）《個保法》與刑法分論的銜接

與刑法分論的銜接，主要是與分論具體罪名的銜接。《個保法》采取了民事主體與行政主體雙管齊下規(guī)制的路徑?！秱€保法》涉及到的分論罪名主要有侵犯公民個人信息罪、非法利用網(wǎng)絡(luò)信息罪、拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪、非法獲取計算機(jī)信息系統(tǒng)數(shù)據(jù)罪等。下文僅以侵犯公民個人信息罪進(jìn)行展開。

1.基礎(chǔ)性概念的銜接

對于“個人信息”與“敏感信息”這兩個基礎(chǔ)性概念的銜接，是兩法銜接的首要問題?！皞€人信息”的概念不只是規(guī)定在這兩個部門法之中。在民法典出臺之前，其中最具有權(quán)威的當(dāng)屬2017 年實施的《網(wǎng)絡(luò)安全法》。②《網(wǎng)絡(luò)安全法》第76 條：個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。此外，兩高《解釋》第1 條在此基礎(chǔ)上進(jìn)一步明確個人信息概念。③《解釋》第1 條：刑法第253 條之一規(guī)定的“公民個人信息”，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?！?020 年頒布的《民法典》在第六章，即隱私權(quán)和個人信息保護(hù)這一章中，對個人信息的概念作了專門的規(guī)定。④民法典第1034 條：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！秱€保法》生效前，《民法典》對個人信息概念的規(guī)定，是對個人信息概念普遍適用的最高規(guī)范，對公民個人信息的民事保護(hù)，以及部門法之間的協(xié)調(diào)保護(hù)等都具有重大意義。

從定義上看，《個保法》對“個人信息”的概念采取了與上述部門法都相異樣的最廣義表述，①《個保法》第四條：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。對個人信息的范圍進(jìn)行了擴(kuò)張。與民法的表述相比，其將與自然人有關(guān)的非身份信息也予以容納。［8］與兩高《解釋》采取的“識別說”表述相比，范圍更是不言而喻。《個保法》將其他部門法規(guī)定的所有個人信息統(tǒng)一做了概括性規(guī)定。筆者認(rèn)為，基于“兩法”本身的關(guān)注重點不同，二者雖在表述形式、認(rèn)定標(biāo)準(zhǔn)上略有差別，但就條文本身所設(shè)置的內(nèi)涵而言，實質(zhì)并不具有太大的差異。也有學(xué)者以法秩序統(tǒng)一性原理為由認(rèn)為刑法不宜在前置法之外提出個人信息的概念。［9］

繼《個人信息安全規(guī)范》之后，《個保法》第28條采取“概括+列舉”的方法對“敏感個人信息”的概念再一次作出了明確定義，擴(kuò)大了敏感個人信息的范圍，列舉了生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息?！秱€保法》與《刑法》都對個人信息采取了分類保護(hù)方式，《個保法》采取一般個人信息與敏感個人信息的二分法，《解釋》第5 條采取敏感信息、重要信息、一般信息的三分法。②此分類不是嚴(yán)格的分類，不屬于法定分類，為了便于表述，暫且按學(xué)理上的這種分類進(jìn)行劃分。該敏感信息不等同于《個保法》上的敏感信息。《解釋》對敏感信息、重要信息作出了比一般個人信息更嚴(yán)格的規(guī)定。該如何將《個保法》上的敏感信息與《解釋》規(guī)定的敏感信息、重要信息進(jìn)行協(xié)調(diào)？以生物信息為例，《解釋》對于應(yīng)給予更高程度保護(hù)的生物信息卻并未明確區(qū)別對待。筆者建議，未來通過修訂刑法立法的方式，以《個保法》的個人信息分類為參考進(jìn)行分層保護(hù)，來彌補(bǔ)“兩法”銜接的困境。

2.“知情-同意”規(guī)則與前置要件“違反國家有關(guān)規(guī)定”的銜接

侵犯公民信息罪包含三種行為類型，前兩種行為類型中的“出售”與“提供”都以“違反國家有關(guān)規(guī)定”為前置要件。前文已經(jīng)提到，《個保法》對刑事責(zé)任采取宣示性條款的做法形同虛設(shè)，對這一前置要件的內(nèi)涵及外延并不明確，無法為司法實踐提供明確指向。

《個保法》將“知情-同意”作為個人信息處理合法性的核心規(guī)則，不僅充分保障信息主體的知情權(quán)、決定權(quán)，也為界定合法、違法劃清界限。第13條還對“同意”的例外情形做出明確規(guī)定，以防個人信息的處理過于受限。例外情形與這一核心規(guī)則共同組成了對處理個人信息合法性基礎(chǔ)的考察。因而《個保法》第13 條、14 條直接決定侵犯公民個人信息罪前置要件的判斷，進(jìn)而也起到限制入罪的作用。對于《個保法》規(guī)定的委托、共同處理、轉(zhuǎn)讓、自動化決策等其他個人信息處理情形，仍要以這一核心規(guī)則作為判斷合法性的基礎(chǔ)標(biāo)準(zhǔn)，同時遵循該類情形具體的規(guī)定。

此外，《個保法》第5 條到第8 條規(guī)定了處理個人信息的四大原則，即第5 條的合法、正當(dāng)、必要、誠信原則、第6 條的目的明確和最小限度原則、第7條的公開透明原則、第8 條的質(zhì)量及安全保障原則。雖這些原則性規(guī)定大部分被吸收到處理個人信息的具體規(guī)則里面，但能否以此來作為直接判斷侵犯公民個人信息罪前置要件的基礎(chǔ)？筆者持否定態(tài)度，對這一前置規(guī)定必須進(jìn)行具體的、實質(zhì)的認(rèn)定。司法機(jī)關(guān)必須對行為人的行為所違反的前置規(guī)定進(jìn)行充分的說理，以具體的前置規(guī)定為依據(jù)，同時對其內(nèi)容進(jìn)行實質(zhì)性考察，而非抽象的、形式性、原則性的判斷。唯有這樣，才能嚴(yán)格地、規(guī)范地認(rèn)定前置要件。［10］

3.違法處理行為方式的銜接

《個保法》第4 條第2 款對個人信息的處理包括了收集、存儲、使用、加工、傳輸、提供、公開、刪除等，而《刑法》僅規(guī)定了非法獲取、提供這兩種行為方式。

《解釋》第三條對“提供公民個人信息”予以了明確。③兩高《解釋》第三條：向特定人提供公民個人信息，以及通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息的，應(yīng)當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“提供公民個人信息”。未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的“提供公民個人信息”，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。提供的含義可以將上述《個保法》中的提供、公開予以囊括。但《解釋》第2 條“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的”這類情形與《個保法》第13 條第1 款的第2 項至第7 項，即與“知情-同意”的例外規(guī)定情形相沖突。如果機(jī)械的理解《解釋》這一規(guī)定，會將《個保法》“知情-同意”的例外規(guī)定認(rèn)定為《刑法》上的非法提供行為，簡言之，《個保法》的合法行為反而成為《刑法》上的犯罪行為。筆者看來，其實對該“知情-同意”的例外規(guī)定通過考察侵犯公民個人信息罪的前置違法要件予以排除，根本就不會存在繼續(xù)考慮《解釋》第2 款的這類情形，自然也不會產(chǎn)生“兩法”邏輯上的不自洽地問題。

《解釋》第4 條對“以其他方法非法獲取公民個人信息”予以了明確。①兩高《解釋》第四條：違反國家有關(guān)規(guī)定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責(zé)、提供服務(wù)過程中收集公民個人信息的，屬于刑法第二百五十三條之一第三款規(guī)定的“以其他方法非法獲取公民個人信息”。獲取的含義可以將《個保法》中的收集予以包含。對于《個保法》中的其他個人信息處理行為，有些還值得具體分析，如儲存是否可以評價為獲取，傳輸是否可以評價為提供等。但根據(jù)罪刑法定原則，《刑法》目前未明文規(guī)定的單純非法使用等行為，不得納入刑法的評價范疇。

此外，《個保法》相關(guān)規(guī)定還規(guī)定了共同處理、委托處理、因合并、分立等需要轉(zhuǎn)移處理、向第三方提供、自動化決策、公共場所安裝圖像采集、個人身份識別設(shè)備、敏感個人信息處理等特殊處理的情形。如果個人信息處理者違背了該類情形中的具體規(guī)定，仍可能符合獲取與提供的評價范圍，進(jìn)而也不排除構(gòu)成犯罪的可能性。

三、《刑法》的與時俱進(jìn)

《個保法》作為剛生效的新法，還需要理論與實踐不斷去探索與《刑法》的協(xié)同配合問題?！秲煞ā返你暯恿鲿撑c否將直接影響對個人信息的保護(hù)效果。而隨著大數(shù)據(jù)時代的來臨，技術(shù)的不斷進(jìn)步，公民個人信息的刑法保護(hù)困境凸顯，既有刑法立法規(guī)范的闕如，也有刑事司法的適用不足。若想充分有效發(fā)揮對《個保法》這一基礎(chǔ)性法律的后位保障作用，還需要刑法立法與司法做出相應(yīng)調(diào)整，與時俱進(jìn)。

（一）《刑法》立法的與時俱進(jìn)

刑法立法要根據(jù)生活的需要適時作出修正，現(xiàn)行刑法對個人信息的保護(hù)需要從立法觀念和法益保護(hù)周延性上做出調(diào)整。

1.立法觀念：個人信息的控制流轉(zhuǎn)規(guī)制轉(zhuǎn)向使用規(guī)制

縱觀我國個人信息刑法保護(hù)的立法脈絡(luò)，正如有學(xué)者指出，我國刑法對個人信息的保護(hù)一直堅持兩條腿走路，一條路徑是在行為構(gòu)造上，將侵犯公民個人信息行為限定為個人信息的非法流轉(zhuǎn)，立法者高度關(guān)注信息的自主可控性。另一條是通過擴(kuò)展公民個人信息的范圍來加強(qiáng)個人信息的刑法保護(hù)。［4］116因而，也有一些學(xué)者主張侵犯公民個人信息罪的保護(hù)法益為個人信息權(quán)中的信息自決權(quán)。但這種傳統(tǒng)保護(hù)的刑法立法觀念在大數(shù)據(jù)與人工智能時代已經(jīng)無法滿足保護(hù)公民個人信息安全的需求。信息網(wǎng)絡(luò)技術(shù)的發(fā)達(dá)使信息主體與個人信息的控制權(quán)越來越分離，信息主體很難對個人信息形成可控力，信息自決權(quán)在海量的數(shù)據(jù)存儲庫中只是所謂的形式存在。這實際與有學(xué)者主張的個人信息保護(hù)從個人控制到社會控制理念相吻合。［11］由于行為人在個人信息被侵犯后往往面臨很大的人身危險性，立法者從信息的獲取到流轉(zhuǎn)進(jìn)行打擊是法益保護(hù)提前化的征表，初衷無疑值得肯定，但現(xiàn)實環(huán)境已然發(fā)生變化。此外，對個人信息外延的擴(kuò)張也不能解決上述的現(xiàn)實難題。

信息的最終目的在于使用，而刑法僅以脫離現(xiàn)在的預(yù)防性規(guī)制來達(dá)到對個人信息利用的保護(hù)實難發(fā)揮實際的法益保護(hù)作用。因而，倒不如刑法立法一改傳統(tǒng)立法觀念，從對個人信息的控制流轉(zhuǎn)規(guī)制轉(zhuǎn)向使用規(guī)制。

2.法益保護(hù)周延性：細(xì)化立法與增設(shè)行為類型

前文已提到，現(xiàn)行刑法對個人信息的法益保護(hù)愈發(fā)呈現(xiàn)出不周延性。需要細(xì)化現(xiàn)行立法與增設(shè)新的行為方式予以完善。細(xì)化立法而言，主要是對侵犯公民個人信息罪中的不同行為方式予以具體化，非法獲取、出售與提供行為的法益侵害性程度并不一樣，對三種行為方式使用統(tǒng)一的刑罰標(biāo)準(zhǔn)與罪刑相適應(yīng)原則不符。因而，刑法立法需要適時做出調(diào)整。

增設(shè)行為類型方面，一是“非法利用”行為入刑的考量。刑法作為保障法的地位，只有某種行為符合犯罪的本質(zhì)特征，即滿足嚴(yán)重的社會危害性時，才能考慮通過立法將其納入刑事規(guī)制范圍予以刑罰。因此需要謹(jǐn)慎、認(rèn)真考量“非法利用”行為入刑的必要性和可行性。［12］筆者認(rèn)為：首先，這是互聯(lián)網(wǎng)時代所帶來的新問題，公民個人信息在大數(shù)據(jù)面前幾乎是透明的存在，刑法規(guī)制前端非法取得行為，合法取得，非法利用便成為一種常態(tài)，非法利用公民個人信息具有普遍性；其次，該類行為與現(xiàn)在呈現(xiàn)高發(fā)態(tài)勢的一些犯罪聯(lián)系密切，諸如電信詐騙、敲詐勒索罪、綁架罪等，這些犯罪往往伴隨著嚴(yán)重的損害后果，此前“徐玉玉個人信息泄露被詐騙導(dǎo)致自殺身亡案”就是鮮活的例子，用刑事手段制裁該類行為往往可以對這些犯罪起到前置預(yù)防作用；此外，從該類行為高發(fā)態(tài)勢來看，單純規(guī)定民事責(zé)任不足以抑制該類行為的發(fā)生，而且非法利用公民個人信息行為有時也會產(chǎn)生嚴(yán)重的社會危害性，因此符合刑事制裁的必要性；最后，即使符合入刑的必要性，也要對該類行為入刑的條件嚴(yán)格進(jìn)行把控，把握好民事與刑事的界限。從立法上與司法上看，將該行為入刑也具有可行性的。在立法上將該行為納入侵犯公民個人信息罪下面，也符合該罪的文義解釋。在司法上，對于非法利用行為所造成的嚴(yán)重后果進(jìn)行刑事規(guī)制也符合國民規(guī)范意識。

二是增設(shè)過失類型犯罪。刑法以規(guī)制故意犯罪為原則，過失犯罪為例外。近年來曝光出來很多的企業(yè)個人信息重大泄露事件，給人們造成了很大程度的恐慌，諸如2018 年華住酒店5 億條用戶信息遭泄露、圓通“內(nèi)鬼”致使40 萬條個人信息泄露、網(wǎng)貸作誘餌20 萬余條個人信息被倒賣等。從《個保法》第58 條來看，也對掌握數(shù)量巨大的個人信息處理者作出了更高的要求。但伴隨著個人信息主體對個人信息的愈發(fā)失控，對該類重大過失的巨量信息泄露事件，用一貫的行政處罰手段是否足以應(yīng)對？曾有學(xué)者提出增設(shè)過失泄露個人信息罪。［13］筆者也贊成這一觀點，增設(shè)該罪能對掌握個人信息數(shù)量巨大的企業(yè)以及互聯(lián)網(wǎng)服務(wù)提供者提供警示作用，從而起到預(yù)防犯罪的效果，但對該罪的入罪標(biāo)準(zhǔn)應(yīng)該更高。

（二）刑事司法的與時俱進(jìn)

以往在對個人信息的保護(hù)中，一直貫穿著以刑法保護(hù)為主的狀態(tài)，這與刑法的謙抑性原則不相符合，違背刑事規(guī)制的原理。因此需要扭轉(zhuǎn)這種以刑為主保護(hù)狀態(tài)的轉(zhuǎn)變，且刑事司法也應(yīng)總結(jié)以往實踐，順應(yīng)時代需要做出相應(yīng)改變。

一是針對利用職務(wù)便利實施的侵犯公民個人信息行為，缺少非刑罰措施——“從業(yè)禁止”的適用。有學(xué)者通過對2015 到2019 年所有利用職務(wù)便利實施的侵犯公民個人信息案件進(jìn)行統(tǒng)計分析，發(fā)現(xiàn)尚未有一例被適用從業(yè)禁止。［14］對在此之后的案件進(jìn)行檢索，結(jié)論亦是如此。侵犯公民個人信息犯罪具有犯罪成本低、收益高的特點，因而這一非刑罰處罰措施的司法適用值得關(guān)注。

二是結(jié)合以往實踐，侵犯公民個人信息罪的入罪門檻單一化的劣勢暴露無遺。司法實踐一般采取“數(shù)量加數(shù)額”的方式來認(rèn)定入罪標(biāo)準(zhǔn)，入罪門檻過于單一化，且在計算實際侵犯個人信息數(shù)量時往往產(chǎn)生爭議，可以參考其他類似犯罪，增設(shè)相關(guān)其他情節(jié)來予以完善，科學(xué)設(shè)置入罪門檻。

三是針對企業(yè)對個人信息的保護(hù)問題，引入企業(yè)刑事合規(guī)制度?！秱€保法》第58 條對相關(guān)個人信息處理者的企業(yè)合規(guī)制度體系的建立提出了要求。企業(yè)合規(guī)是當(dāng)下的熱點話題，大數(shù)據(jù)時代，隨著個人信息的商業(yè)價值被不斷挖掘，很多大型企業(yè)實質(zhì)掌握著個人信息的控制權(quán)，從構(gòu)建企業(yè)對個人信息的刑事合規(guī)制度出發(fā)不失為一種路徑，既能提高對個人信息的保護(hù)力度，又能保障民營企業(yè)的可持續(xù)發(fā)展。

結(jié)語

《個保法》的出臺標(biāo)志著我國個人信息保護(hù)的立法格局進(jìn)入嶄新的時代，其與《刑法》的規(guī)范銜接問題應(yīng)是當(dāng)下理論與實務(wù)探討的重點?！皟煞ā钡你暯有枰舛咭?guī)范供給的困境與沖突，但對刑法存在的規(guī)范闕如以及司法不完善等問題，刑法立法與刑事司法應(yīng)與時俱進(jìn)，及時做出調(diào)整。刑法立法上需改變傳統(tǒng)對個人信息的控制流轉(zhuǎn)規(guī)制觀念，轉(zhuǎn)向使用規(guī)制，且細(xì)化立法與增設(shè)行為類型以促進(jìn)法益保護(hù)周延性。刑事司法也應(yīng)總結(jié)以往實踐，不斷完善個人信息的刑法保護(hù)，進(jìn)而使《個保法》與《刑法》共同組成個人信息保護(hù)的銅墻鐵壁。