公民个人信息刑法保护的国际比较与启示

■/

扬州大学法学院

一、个人信息的内涵概述

(一)个人信息的法律属性

法律意义上的个人信息必须同时具有与法律保护的对象相同的权利属性和现实必要性。当个人信息具有人身属性或者财产属性，那么它就应该被认定为法律意义上的个人信息，就应当考虑保护该种个人信息。否则，就只能是语义上的个人信息，并非属于法律语境下的个人信息。

(二)个人信息的权利属性

一般而言，个人信息的权利属性主要体现在人格权和财产权两方面，信息所有人有权自行决定是否将其个人信息交付利用，体现的是个人信息的人格权特征，但当个人信息自决权与社会公共利益，比如国家安全、社会秩序等发生冲突时，法律应当对其作出限制。通过收集个人信息组建数据库并加以使用，由此而带来一定的经济利益，则体现其财产权的属性。直接出售个人信息、许可使用以及信息交换都是个人信息变现的交易方式。[1]

二、我国个人信息刑法保护的立法现状及司法困境

(一)我国立法现状

我国从2003年开始着手研究保护个人信息，但是至今尚未形成一部统一的专门性的个人信息保护法。之前出台的《刑法修正案(九)》也仅仅针对刑法第253条之一做了部分修改。

首先将犯罪主体扩大到一般主体与单位，其次扩大犯罪个人信息来源的范围，使得打击面更加广泛。此外还规定情节特别严重时，处三年以上七年以下有期徒刑，并处罚金。而违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的，依照前款的规定从重处罚，加大了处罚力度。

(二)司法实践困境

1、刑法所保护的公民个人信息难以界定

公民个人信息的具体内涵，我国法律规定并未给出明确定义。由于不同人之间的主观判断标准不一样，以及地域和文化之间的差异，对个人信息的理解不一样往往会在罪与非罪、罪轻罪重的裁量上出现不同的审判结果，因此行为人要承担不同的法律责任。

2、情节严重程度难以判断

本罪属于纯正的情节犯，针对的是社会危害性比较严重的违法行为，明确“情节严重”的标准，决定是否可以运用本罪名进行刑罪量刑。从刑法的谦抑性原则角度而言，对于尚未达到情节严重的行为，可以通过民事途径加以解决。

3、是否属于“其他方法非法获取”无从判定

科技发展变化万千，常常出现一些未曾听说、无法判断的情况，如果不能准确界定哪些方法属于“其他方法”，将会出现对某一行为罪与非罪无法拿捏判断的局面。此外何为合法获取，何为非法获取也不确定，随着各种网络社交方式的开放，在微博、微信、朋友圈等公众平台中晒出自己的个人信息，包括地理位置、周边环境、电话号码、作息习惯等，对此类信息加以收集获取是否属于“非法获取”？

4、违反国家规定的范围难以界定

《刑法》第253条之一规定了侵犯公民个人信息罪违反国家规定“为前提，目前可以作为国家规定的前置性法律制度缺失，《个人信息保护法》究竟何时出台尚无法预知，在此背景下，难以界定何行为属于“违反国家规定”，何为“非法”，这对于今后法律的实施、适用都会造成一定阻碍。[2]

三、境外国家(地区)个人信息刑法保护分析

(一)美国对个人信息的刑法保护

美国没有“法典式”的《个人信息保护法》。主要分散在以下两方面立法中：

一是针对身份盗窃的刑事立法。《防止身份盗窃及假冒法》明确规定目的在于从事、教唆、协助或以其他方式参与构成重罪的活动，未经合法授权，仍蓄意移转、持有或使用他人身份证明材料的行为构成身份盗窃罪；《身份盗窃刑罚加重法案》则是对以身份盗窃作为犯罪手段犯联邦立法中288种重罪，予以不同程度的加重处罚。

二是其他有关个人信息保护的刑事立法。1970年《公平信用报告法》将以故意欺诈为手段从消费者信用报告机构获取消费者信息的行为规定为犯罪;1984年的《惩治计算机与滥用法》将“黑客”行为以及非法入侵他人计算机并获取他人受限制或受保护数据的行为规定为犯罪；1994年《机动车驾驶员隐私保护法》对于明知超出机动车辆驾驶员的个人信息使用的合理范围仍使用的行为规定刑罚等等。

(二)德国对个人信息的刑法保护

德国对于个人信息的刑法保护包括两种形式：一是设立专门的个人信息保护法；其次在刑法典中规定有关个人信息犯罪。2003年通过的《联邦数据保护法》是专门的个人信息保护法，其中规定以牟利为目的或者意图损害他人利益，未经授权收集、处理、恢复、回复、以虚假陈述的方式骗取在通常情况无法获取或者非向公众公开的个人数据的行为规定为犯罪。德国刑法在第十五章的侵害私人生活和秘密中，分别规定了侵害言论秘密、通信秘密、他人隐私、邮政或电讯秘密以及探知数据、利用他人秘密等罪名。

四、完善我国个人信息刑法保护的思考

(一)可量化因素的衡量

第一，违法所得金额。通常侵犯个人信息的数量是优先考量的标准，但如果信息数量统计困难或者数量虽未达标准，但由于信息的关键性，使得行为人获得了高额的经济利益，此时便可从违法所得金额的角度判断其社会危害性。

第二，侵犯公民个人信息的用途。目前，类似电话诈骗、盗窃这样的犯罪起源都是获得了公民的个人信息，或者说侵犯个人信息很多时候已经成为其他犯罪的预备过程，因此侵犯个人信息的用途也应当成为判断社会危害性的依据。

第三，侵犯公民个人信息造成的后果。侵犯公民个人信息的行为不仅侵害了他人的信息安全，更有可能给他人的人身和财产安全造成不利后果。

(二)非可量化因素的衡量

第一，侵犯公民个人信息后的信息流向。如果行为人获取信息后在一直在大陆范围内传播、披露、交易等，将始终受到我国法律的调整和规范；一旦信息被行为人带出国境，我国司法对其不具有控制力，将会造成更大的社会危害性，甚至会损害国家形象和国家利益。

第二，侵犯公民个人信息的种类。不同种类的公民个人信息具有不同的作用和价值。如果行为人侵犯的是他人重要的、敏感性的信息，认定时应当有别于其他普通信息，以突显刑法对保护个人隐私的重视。[3]

五、结语

随着科技的进步和社会的发展，我们逐步进入信息化的社会，个人信息所具有的信息价值和经济价值不断增加。个人信息不仅为政府机构行使国家权力奠定了基础，而且可以为企业带来巨大的经济利益。公民个人信息关系到公民个人人格、财产等诸多权益,现实中,侵犯公民个人信息的行为日益频繁和严重。公民个人信息的刑法保护一直以来就是社会关注的焦点。本文较为全面的阐述了刑法中保护公民个人信息的条款,给出了一些粗浅的建议,以期完善公民个人信息的刑法保护制度。