谁来保护公民个人信息

刘晔

【摘要】伴随市场经济的发展，公民个人信息的价值在市场经济中越发凸显。有的商业机构为了企业发展，不择手段地获取并使用这些信息；也有些掌握大量公民个人信息的不法犯罪分子肆意买卖信息，非法获利，这严重危害了公民人身、财产安全。为此，研究公民个人信息刑法保护机制，有助于开辟公民个人信息刑法保护的新路径。

【关键词】公民个人信息 刑法保护 措施

【中图分类号】D924 【文献标识码】A

公民个人信息刑法保护的现实诉求

第一，彰显刑法的核心价值。刑法将侵犯公民个人信息纳入刑法范畴，并对其违法行为加以制裁，体现了刑法的谦抑性这一核心理念。谦抑性强调对危害社会的行为，在行政、民事等法律措施不能加以科学的抵制时，需借助刑法界定为犯罪，并执行一定刑罚，然后借助刑事司法活动进行解决。因此，刑法的谦抑性要求将刑罚的适用确定在科学范围内。公民个人信息属于人的自然权利，对信息的侵犯，并不是简单的非法获取经济利益，其存在较大的主客观的危害性，属于刑法调整的范围。刑法的谦抑性是让公权力在行使的过程中，借助刑罚惩罚犯罪，在发挥相关部门效能的前提下做到克制，展现刑法作为维系社会安定、保护公民人身财产安全的“保障线”，建构个人信息保护的刑法体系。

第二，保护公民的合法权益。侵犯公民个人信息的行为，如果缺少来自刑法层面的支持，只依靠行政、民事等法律法规加以规制、进行处罚，不能有效惩戒行为人、保护被害人。这主要是因为，侵犯公民个人信息行为属于危害社会的严重行为，手段极为恶劣，易造成严重后果。因此，对待侵犯公民个人信息行为手段多元、危害严重的情况下，借助刑法，对侵犯公民个人信息的行为进行规制，将有效保障广大公民的合法权益。

公民个人信息的法律属性

公民个人信息具有专属性。公民个人属性因其存在形式、表现方式的差异，主要包含两个主体：一是基于法律所赋予的民事主体资格自然人，拥有独立人格，具备维护主体人格利益所必须的人身自由、生命健康、个人信息与隐私等。人格权的客体是人格利益。因此，个人信息的主体是拥有个人信息受保护的主体。二是信息的管理者，在经个人信息主体授权后，基于特定目的，保存、利用或占有该信息的个人或机构，虽合法拥有信息主体个人信息，但绝不能出现权利的转移，即个人信息管理者不在保护范畴内。

公民个人信息具有识别性。公民个人信息的核心要术是识别性，不仅包含姓名、外貌等直接性识别信息，也包含学历等间接性识别信息。也就是说，通过这些信息能分别或者是结合其他信息，识别特定个体，进而信息产生了某一价值。个人信息的可识别性带有主观色彩，需要从社会公众的视角来进行判断。

公民个人信息具有财产性。公民个人信息属于个体所有的同时，本身也属于社会资源，因交换而产生财富，能被人控制与支配。在市场经济条件下，公民个人信息拥有潜在的商业价值。对于企业来讲，谁掌控的客户信息多，就能掌握大量的潜在客户，获得丰厚的经济利润。与此同时，通过大量的司法实践表明，不法分子为了获得高额利润搜集公民个人信息，通过各类路径来获取公民信息，这是受到商业利益驱使，也充分展示了个人信息的财产性，是主体能支配的经济利益。

刑法中公民个人信息保护的不足

首先，犯罪主体界定不明确。犯罪主体是实施构成要件行为的行为人，一般是自然人，并不作具体性限制。虽然侵犯公民个人信息犯罪主体中，明确了电信、医疗、教育等6类主体，但在刑法规定中是模糊的。当前没有专门的立法、司法方面的解释，就容易导致对此产生不同理解，为刑法适用造成困难，不利于保护公民个人信息。与此同时，按照罪行法定原则，犯罪行为应受到与之相对应的刑罚处罚，但因本罪主体不明确，势必违反该原则。

其次，犯罪客观的缺陷。犯罪客观注重犯罪实施的外部特点，其行为社会关系导致的伤害程度，是构成犯罪的条件。侵犯公民个人信息罪的客观不足，主要体现在以下几个方面：一是行为方式较窄。刑法中对侵犯公民个人信息的方式规定为出售、非法提供，但在具体的司法实践中，并非只有这两种，比如私自披露个人信息行为。二是犯罪对象不清晰。刑法中并未对犯罪对象进行详细说明，对哪些个人信息界定的犯罪对象存在模糊性，并没有权威性的法律解释，不能确定本罪的适用范围。三是入罪标准模糊。刑法中将情节严重作为入罪标准，但是具体的刑法条文并未明确，运用抽象性语言阐述犯罪实施，对是否达到具备要件，在内容方面规定不清晰。

最后，法定刑设置不到位。法定刑是刑法规定的刑罚。在刑法中对侵犯公民个人信息的犯罪行为适用罚金刑，也就是向国家缴纳特定数额金钱的刑罚方式。刑法中对侵犯公民个人信息犯罪，适用的是无限额罚金制，这使法官的自由裁量权在适用中，由于个体素质不能保障量刑平等，再根据罪行法定原则，需要法官按照罪行法定原则来断案。若采用无限额罚金制，则与罪行法定原则背道而驰。

公民个人信息刑法保护机制的建构

科学界定犯罪主体范围。将侵犯公民个人信息犯罪主体认定为电信、医疗、金融等单位。但通过司法实践可知，律师、会计事务所，房地产公司等服务性机构，以及心理咨询师等公民个人，都能实施侵犯公民个人信息罪的行为。因此，单位或个人在进行履职或者是提供服务的过程中，都可能获得个人信息，存在出售、非法提供信息的相关行为，并对其人身权利造成侵害。所以，需要扩大犯罪主体认定，并科学界定其范围。

完善客观方面。一是拓展行为方式。根据具体的司法实践，对侵犯公民个人信息的行为需要使用例示法这一立法模式，这主要是考虑其除了出售、非法提供之外，还存在非法使用、擅自披露等行为方式，使用例示法能将非法使用、擅自披露的都纳入到刑法规定范围内。二是明确行为对象。个人信息应界定为“识别型”，界定为从其它人处获得的可识别的客观信息。三是确定入罪的标准。行为已经造成了，或者是带来了较为恶劣的影响，并且情节严重。同时，出售、非法提供与获取的信息数量大，获得了高额经济利润。具备了以上几个条件，就明确了入罪标准。

法定刑设置的完善。依据犯罪主体明确法定刑。刑法中对侵犯公民个人信息的犯罪，明确了打击重点是非法提供、出售公民个人信息行为。但是那些容易接触到公民个人信息的服务业，也能因其主体的特殊性，掌握大量人员信息。如果该类人员实施犯罪，与一般性主体相比，能造成较大危害，应设置各种刑罚。前面谈到侵犯公民个人信息的犯罪法定刑是罚金刑，并没有对罚金的数额进行明确，需要法律适用自由裁量权来确定，但是罚金的数额不确定，不能采用，应实行限额罚金制。这主要是因为个人信息具有财产方面的属性，考虑到信息时代的特点，信息价值极为重要。因此，掌握个人信息的人容易掌握商机，奠定了基础，个人信息的财产权受到关注，公民个人信息的价值越来越重要，势必导致犯罪分子行为更为频繁。刑法中需要对该犯罪行为加以严厉打击，遏制公民对个人信息的犯罪，规定罚金刑的具体数额，有助于平等适用刑法，保障公民的合法权益，有效打击犯罪行为。

创建新的诉讼模式。结合侵犯公民个人信息的法律属性、犯罪的客体及危害性，刑法将其设定为是公诉方式，这不科学，这更会让人知道受害人信息，对其容易造成二次伤害。这就需要在结合实际的前提下，适当借鉴外国先进经验，进行明确界定。对侵犯公民个人信息行为的犯罪，采用的追诉模式，应坚持自诉为主，同时公诉为辅的方式，这样更便于保护公民个人信息，科学化解社会纠纷。充分体现了刑法的谦抑性与保障功能，并在节省司法资源的同时，扩大了诉讼程序。

总之，公民个人信息刑法保护，不仅彰显了刑法的核心价值，也有助于保护公民的合法权益。在明确公民个人信息的法律属性、刑法中公民个人信息保护不足的基础上，创建公民个人信息刑法保护机制，既要科学界定犯罪主体范围，完善客观方面，也要积极完善法定刑设置，建立新的诉讼模式，全面提高公民个人信息的刑法保护水平。

（作者为山东政法学院警官学院副教授）

【参考文献】

①赵秉志：《公民个人信息刑法保护问题研究》，《华东政法大学学报》，2014年第1期。

责编/高骊 肖晗题（见习）

美编/宋扬