论文提要：

公民个人信息权是我国公民在私权领域中的基础性权益，它体现了公民对于自身信息安全保障的迫切需求。当社会进入信息时代后，信息已经在现实生活中和网络虚拟世界中广泛流通，普遍互联。加强公民个人信息安全的保护，

已经为大多数国家所认可，但迄今为止，我国尚没有在这方面做出令人欣慰的法律成效，这不符合我们完成两个一百年的奋斗目标。因此，有必要对公民个人信息安全保护的相关理念以及国内、外对于公民个人信息安全的研究现状进行分析，构建体系较为完整的公民个人信息安全保护机制。在这样的需求下，政府对公民信息保护的责任和义务也越来越凸显。在日常生活中，垃圾短信、垃圾邮件、各种非法的推销电话等等令人们不堪其扰。这样的现象严重影响了人们的生活，从法律的角度分析，因公民个人信息泄露，致使受害人遭受诈骗、绑架、强奸、杀害、受骗后自杀等严重情形的案件也不断发生。近年来，公民个人信息的外延随着通信和互联网技术范围的不断发展而扩大。笔者借鉴相关问题已有研究成果的基础上，提出应当以刑法作为保护公民个人信息的主要手段，进一步提高犯罪嫌疑人侵害公民个人信息犯罪的成本，加大对侵害公民个人信息行为的惩处力度，构建以刑法保障为后盾的公民个人信息多元化保护机制。（全文共9000字）

主要创新观点：一、借鉴国际立法经验，建立更为严密的刑事法网，允许公民在一定情况下自力自救。在法治社会，一般情况下并不是提倡自力救济的，应当以公力救济为原则。但在公力救济措施不能及时到位并且有被侵害的现实危险发生时，信息主体也就是自然人本人可在法律允许的范围内通过自力救济，即实施自卫行为来保护公民的个人信息。二、建议我国构建公民个人信息犯罪综合治理体系，明确追究法律责任。就法律机制而言，侵犯了公民个人信息安全，触犯了相关的法律条例，就要依法接受处罚。再者，

不断细化相关法律，综合把握“情节严重”的标准，使得量刑有依有据，减少“同案不同判”情况的发生。三、制定公民个人信息保护法，最重要的还是要依据刑事法治方面的具体规定，虽然对公民个人信息的保护也离不开行政法的行政保护及民法的民事保护，但是应当把刑法保护作为最重要的保护手段。个人信息保护法赋予信息主体相应权利，这是对个人信息其最有力也是最为实质的保护。信息主体维护自己的权利不能以侵犯他人权利为前提。 

论公民个人信息的刑法保护

一、 公民个人信息的刑法认定现状

（一）刑法中公民个人信息的认定

我国相关法律法规文件及刑法法条的变更当下，人们生活在互联网+的时代大背景之下，这就决定着几乎每个人的个人信息都在迅速的传播、交流着，信息的流动方便人们工作和生活的同时，个人信息的法律保护问题也日益凸显。查阅相关的资料，不难看出我国现阶段对公民个人信息明文进行保护的法律法规，规章制度以及司法解释的数目十分有限，且大多只是在相关的条文之中一笔带过。譬如《护照法》在第十二条第三款和第二十条中的规定①，《身份证法》第六条第三款的规定和第十九条的规定②，此类均是我国的法律条文对公民“个人信息”明确且直接的保护。而间接保护方面，我们也可以看到，我国的《宪法》中明确规定了“公民的人格尊严不受侵犯，公民住宅不受侵犯，国家尊重和保障人权”等条款，这些都可以解释为国家根本大法对公民“个人信息”的保护。此外，包括《民法通则》、《未成年人保护法》、《刑事诉讼法》、《妇女权益保护法》等在内的法律法规之中，对于个人信息的保护也均有基于宪法中公民基本权益保护的涉及，但也仅仅是涉及而已，并没有对侵犯公民个人信息的相关标准做出详细的说明。随着社会各界逐渐意识到保护个人信息的重大意义，人们呼吁国家尽快颁布《个人信息保护法》的热情也逐渐高涨。虽然出于各种原因，该项单行立法尚未面世，但是近些年来，社会上侵犯公民个人信息的案例呈爆炸式增长的状态出现，特别是发生了很多性质恶劣的如国家机关、社会团体、金融企业、电信公司等单位及其职工，将其在正常的履职过程中或者向企业提供服务的活动中获取到的公民个人信息进行不法的泄露、利用和出售的案例，对公民的人身及财产安全造成隐患的同时也严重影响了公民正常的工作和生活。仅 2016 年的下半年，媒体就曝光了将近十起因公民个人信息泄露而引发的诈骗类案件，结果严重者甚至导致被害人死亡的案件。浏览相关媒体的微博评论，除了惋惜生命之外，更多的是公众对于个人信息泄露的严重程度以及犯罪嫌疑人从何处、以何种方法获取了这些个人信息的质疑，包括行为人会利用这些信息做出哪些违法、甚至犯罪的活动以及犯罪嫌疑人应当承担怎样的责任等等。从现实中出现的案例来看，每一个电信或网络诈骗的背后必然都存在着个人信息泄露的问题。就如前不久引起舆论界轩然大波的某大学教授在刚买完房子，其个人信息就被泄露，从而被骗走一千多万的案子，让公众震惊且心有余悸的不是该案一千多万的标的额，而是媒体后续跟进是曝光出来的该教授刚买完房就被泄露出去的个人信息的时效性、准确性和完整性，这些信息形成了一个完整的可以用诈骗的链条，使得被害人对于后续的诈骗防不胜防。而时下的重点是，几乎我们每个人都可能成为信息泄露后被犯罪分子锁定的对象。就笔者对身边人的询问而言，每一个人都或多或少的接到过掌握着自己个人信息的电话，包括保险推销的电话，也包括电信诈骗的电话，而笔者本人更是在过去的某个时间段内接到过几乎一天一个的此类骚扰电话。于此而言，对公民个人信息的保护，不仅是对公民财产权益的保护，对公民日常的生活和工作秩序的保护，更是对稳定的社会秩序的保护。类似的信息泄露导致各种违法犯罪现象的频发引起了国家立法机关的重视，国家也因此于 2009 年 2 月通过了《刑法修正案（七）》，不单将出售、非法收集、非法传递、窃取个人信息的行为定性为犯罪，还规定了“其他方法”来作为本罪兜底的行为方式，以此来从源头和传播途径两个方面对个人信息进行刑法上的维护。诚然，《刑法修正案（七）》首次设定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，而且明确将公民“个人信息”规定为本罪的犯罪对象,但相关的法律文件及条文却并未对此进行详细的认定。也因此引起了理论界不断的争论和司法实践中的分歧。时隔六年，新修正的《刑法修正案(九)》也只是在法条中模糊的描述出“违反国家有关规定”的语句，并没有对“公民个人信息”作相关的描述或者省略式及穷尽式的列举。在没有统一的犯罪认定标准的情况下，对于侵犯公民个人信息类型的犯罪，法官只能倚靠自己过往的生活经验和社会的一般评价对案件做出规范的构成要件的判断，且认定案件的主要标准也通常放置于同样没有定论的“情节严重”，更有甚者，放在更为狭窄的个人信息的数量上来，而这也是造成近年来司法实践过程中，对侵犯公民个人信息罪的认定呈混乱态势的主要原因。

（二）理论中公民个人信息的定义

有学者认为，在侵犯公民个人信息罪的认定中，最重要的是对行为人所采取的手段和方法，即侵犯行为的认定，“个人信息”这一名词并无理论差异，无需过多研究。但是，当前我国刑法理论的研究学者之间，对“个人信息”的界定还是有着较大的理念差异，其中最突出的理论莫过于关联说、隐私说和识别说三种。关联说的观点在于：所有与个人相关的信息均可以归纳入个人信息的范畴，其定义可以概括为：与公民个人存在关联，无论以何种形式存在的可以锁定到特定个人的信息。这一概念的外延所指极其广泛，可以说与个人有关的所有数据、信息或者情况都能够被定义为“个人信息”。隐私说的观点是：只有当该信息与公民的隐私相关联才能够被定义为“个人信息”，即“作为本罪行为对象的‘公民个人信息’，应当是一般的公民不愿或不会随意公布的、涉及公民隐私的个人信息，如生理状况、遗传特征、经济现状、家庭地址、身份证号、手机通讯号码、住宅电话号码等，姓名、性别、普通工作单位则排除在本罪的行为对象之外。‘公民’不包含单位与死者在内。”识别说则认为：作为侵犯公民个人信息罪的行为对象的“信息”需要包含包括公民的姓名、年龄、现行有效的证件号码、婚姻现状、工作单位具体信息、学历、履历、家庭地址、联系方式等在内的，能够辨别公民身份的，或者牵涉公民个人隐私的数据、信息、资料等。所以，公民的生理状况、经济状况、通话详单、具体行踪等也涵盖其中。且公民不包含单位与死者在内。除了这三种主流观点之外，学界还存在另一种理论，即安宁说。安宁说提出，在刑法的层面认定公民个人信息应当采用“私人生活安宁”的标准,即行为人无论是利用还是泄露他人信息，只要影响了他人生活的安宁，都需要接受刑法的惩罚。笔者认为，关联说对于公民个人信息的认定范围太过宽泛，颇有些“连坐”的意味，其将所有与个人相关的信息都涵盖其中，“以任何形式存在并与个人存在关联的信息”包含了社会生活的各个方面，其定义的模糊性依然很强，应用在司法实践中时，作为该罪的认定标准只能说是聊胜于无。而且，社会作为一个整体，其内部存在的各项都是联系着的，事实上，任何不特定的信息都能与不相干的人扯上些微妙的联系，如果将所有的个人信息都作为侵犯公民个人信息罪的犯罪对象而纳入刑法保护的范畴，在无限制的扩大法官自由裁量权的同时也会造成本罪打击面的扩大，一方面会违反罪刑法定的基本原则，另一方面也会对个人信息的正常流通造成阻碍，不具有实践中的可操作性。

二、国外对公民个人信息保护的立法规定

公民个人信息安全，首先需要考虑采用何种方式保护公民个人信息和个人隐私。笔者综合考察了美国、德国、日本、欧盟等国家和地区对公民个人信息的保护，在比较与借鉴的基础上，论述相关规定对我们国家立法的启示。                                  

1.美国对公民个人信息保护的相关立法

1974 年美国国会通过的保护公民个人隐私权方面的法律。这使美国成为最早关注公民个人信息并实施立法保护的国家之一。首先是《联邦隐私权法》，这部法律是美国保障公民个人信息安全的基本法律。随着社会生活的不断变化和法律的不断完善，美国国会又相继颁布了一系列法律法规。例如，专门针对公民个人信息保护的《信息保护和安全法》，由于社会中又出现了盗用公民身份的违法行为，为防止公民个人身份被盗用的，出台了《防止身份盗用法》，以及针对电子通讯设备发展有可能产生的对公民隐私权侵害的《电子通讯隐私法》，随着网络的进一步普及，美国又针对网络对公民个人信息的侵害行为制定了《网上隐私保护法》，针对公民在消费过程中个人信息被侵犯的事实出台了《消费者隐私保护法》等法律。 为了促进信息产业的发展，在通过法律保护公民个人信息的同时，美国政府对网络服务商给予比较宽松的政策，具体体现就是通过“行业自律模式”来进一步寻求公民个人隐私保和促进信息产业发展之间的平衡。也就是说，通过商业机构的自我规范来协调公民个人信息保护和信息产业发展的内在矛盾，通过商业机构的自我约束，提高准入门槛，同时发挥行业协会的监督职能，最大限度的把保护公民个人信息安全与保证网络秩序安全有机结合。行业自律模式的肇始，其实是一种民间自发的保护公民网络隐私权的安全保护模式。这种安全保护模式通过行业内部的行为规则实现对本行业的管理与自控。与此同时，加强行业协会的监督力度来实现行业内个人信息安全保护的自我规范和自我约束。在刑事立法方面，美国 1988 年颁布《防止身份盗窃假冒法》。该刑事立法旨在将盗窃他人身份犯罪纳入刑法规制的范围之内，更有效地打击盗窃公民个人信息的犯罪行为。2004 年美国通过《身份盗窃刑罚加重法案》，把盗窃身份后犯罪的严重程度作为判断依据，刑法根据行为的严重程度给予相应的加重处罚措施。 

       2.德国对公民个人信息保护的相关立法 

德国是典型的大陆法系国家，对公民个人信息保护的立法也在世界范围内处于领先的地位。德国公民个人信息保护法有自身的特点，其中最为重要的一点就是以公民个人信息自决权为宪法基础，在宪法的框架下，具体运用民事领域的相关法律、行政领域的相关法律和刑事领域的相关法律对公民个人信息进行保护。在所有这些部门法中，信息自决权的内涵在法律原则中有着很强的体现。 德国公民个人信息保护法也体现出了其他方面的特点。例如，制定了比较严格和系统的规定以监督对公民个人信息的处理，建立有效的监督救济机制成为了保障公民个人信息主体权利的关键。对此，在监督机制方面，在监督机构的人员素质等方面有具体的要求。在救济机制方面，德国公民个人信息保护法采取损害赔偿机制。公民个人信息的侵权行为被分为民事侵权和行政侵权两种行为。根据不同的违法事实法律对于两种侵权行为造成的不同损害赔偿进行了明确区分，针对民事侵权行为和行政侵权行为分别规定了不同的赔偿范围和责任原则。最早的立法可以追溯到德国黑森州制定的《资料保护法》（1970 年），这部法律对公民个人信息，尤其是对相关涉及个人隐私的信息给予了保护。在此基础上，联邦德国又制定了《联邦资料保护法》（1977 年），法律明确要求政府在处理公民个人信息的过程中对公民个人信息给予其统一充分的保护，《联邦资料保护法》是在国家层面对公民个人信息进行有效保护的统一立法。随着网络技术的发展，德国针对网络运行过程中出现的侵害公民个人信息的行为，又出台了《电信服务数据保护法》（1997 年）。尽管如此，随着社会的不断进步，信息技术的不断发展，侵害公民个人信息的行为也不断发生，德国《联邦数据保护法》（2003 年）对侵害公民个人信息的相关行为作出了刑事处罚的规定，如果行为人是为了自己或者他人谋取暴利或故意损害他人利益而违反《联邦数据保护法》的，应当判处罚金或者 2 年以下监禁。 

3.日本对公民个人信息保护的相关立法

众所周知，日本是亚洲国家中较早加强对公民个人信息保护的国家。《个人信息保护关系法》，着眼点从政府扩大到其他行业，通过法律的明确规定，规范政府处理公民个人信息的行为，进而扩大了保护的范围，规范其他行业对公民个人信息保有者进行的资料处理行为。需要特别强调的是，对于公民个人信息的保护，日本出台的《个人信息保护法》（2003 年）法案，引起了世界瞩目。该法案的出台使得日本形成了一套较为完整并且操作性很强的公民个人信息保护的法律体系。这些修正后的法案也成为了日本关于公民个人信息保护立法的新成果。 日本社会对于个人信息处理收集情况的不安程度和关注程度与日俱增。全社会对于个人信息的处理量持续增加导致企业大量流失个人信息、非法买卖个人信息时有发生。在《个人信息保护法》出台的 2003 年，日本五大报纸所登载的与个人信息保护有关的报道达到了 316 件。有调查数据显示，20 世纪 80 年代个人感觉到信息受到侵害的比例是 48.2%，到 2003 年，这一比例增加到了 62.7%。2003 年 5 月日本颁布了《个人信息保护法》。之后又通过了其他四部立法，与《个人信息保护》一同被称为“个人信息保护关联五法案”，基本完成了日本的公民个人信息保护法律体系，大数据等互联网技术的发展。在相关的企业方面，他们希望法律明确大数据中可自由使用的“公民个人信息”范围，从法律的角度给予明确，哪些公民个人信息是可以使用的，哪些公民个人信息是不能使用的。在消费者这一方面，消费者主要从公民个人信息的角度出发，考虑到使用“大数据”会造成公民隐私权的侵害。 2015 年 10 月，日本颁布实施新的《个人信息保护法》修正案。原 2003 年法共六章59 条，2015 年修正案在其基础上增加一章，即第五章《个人信息保护委员会》，这是立法体例方面的修改。而在总则部分，相比 2003 年《个人信息保护法》修正案第增加了“地方独立行政法人”。修正案提出“政府应当根据个人信息的性质和利用方法，基于为个人的权利利益谋求更进一步的保护，特别是有必要保证严格实施和正确使用的个人信息的立场，采取法制上的措施以及其他必要的措施”。个人信息保护委员会直属日本内阁总理大臣管辖，独立行使职权，地位相当高。委员会的任务和本法总则中的立法目的是一致的。但因 2015 起正式实施的《用于办理行政手续以识别特定个人的号码利用法》将给每个国民分配一个号码，所以修正案中特别强调了对行政活动中所产生的“个人号码”的妥善管理。委员会下设事务局，并有下属机构执行日常事务；委员会还设有临时的专门委员机制，专门委员由内阁总理大臣根据委员会的申请任命，负责调查特定事项。 

4.欧盟对公民个人信息保护的相关立法

欧盟主要是采取国家主导的立法模式对公民个人信息给相应的保护。欧盟国家普遍认为，既然法律赋予自然人的基本权利中已经包括了人格权，而且公民个人信息所要保护的法益与自然人的人格利益所要保护的法益紧密相连，就应当采取相应的法律手段对公民个人信息加以保护。 欧盟通过设立《保护自动化处理公民个人信息公约》（1980 年），来保护自动化处理公民个人信息过程中的公民个人权益问题。从法律规范来看，欧盟各国家建立了一整套规范的保护公民个人信息的法律框架。这些法律主要包括《公民个人信息保护指令》（1995 年）以及《隐私和电子通信指令》（2002 年）、同时，还有专门针对电子商务过程中网络信息隐私保护的法律，例如《私有数据保密法》等，这些法律为公民个人信息保护提供了有效保护，规范了相关行业的行为欧盟立法模式覆盖面广，除了保护权利主体的权利外，也明确规定了义务主体的法定义务。欧盟的立法适于各种有关公民个人信息的行为，更加透明，更易于保护公民个人信息安全。之前提到过，美欧签署的安全港协议，这是由于欧盟的“充分性”保护标准对第三国跨境传输公民个人信息的限制。这一限制引发许多非欧盟国家为适应欧盟的要求，纷纷制定公民个人信息安全相关法规，强调要对侵犯公民个人信息的行为追究刑

事责任。这也对世界范围内公民个人信息保护法的普及起到了间接的推动作用。 

三、对我国完善公民个人信息刑法保护的建议

针对现行刑法在公民个人信息保护中存在的问题笔者认为，应从扩展犯罪主体范围、明确“情节严重”的适用范围、罪名设置明确化以及完善附属刑法等四个方面来完善现行刑法，以更好地发挥我国现行刑法在保护公民个人信息安全中的作用，确保公民的财产和人身安全。

( 一) 适时扩展犯罪主体范围我国《刑法修正案(七)》第 253 条指出“等单位的工作人员”，将犯罪主体缩小化、特殊化。在这里，如果把“等”理解为“等内”，则法条中所规定的行为主体应该限定为国家机关和特定机关的工作人员，不包括其他单位。然而，在实际生活中，许多其他单位和相关工作人员也有很多掌握着公民的个人信息，如中介机构、物业公司、商家以及相关网站等。如果这些主体把公民的个人信息非法出售或提供给他人，就会严重损害公民的切身利益。因此，笔者认为，该刑法条文中的“等”应该解释为“等外”，这样不但可以扩大刑法条文的合理适用范围，还可以更好地保护公民的个人信息，增强信息的安全性。

( 二) 明确“情节严重”的适用性针对公民个人信息遭受侵犯的问题，笔者认为可以从以下几个方面来进行分析考察，以判定何种做法已经构成了“情节严重”的犯罪行为。如对于非法出售、提供或者获取公民个人信息的行为，要看其次数的多少、获取信息量的多少、获利的大小、涉及范围的大小以及是否对公民的人身和财产造成损失，损失的大小等，同时还要考虑是否将其所掌握或非法获取的公民个人信息用于一些违法犯罪活动，是否对国家安全以及社会安定造成威胁等等。而具体的认定标准则需要司法部门对以上各个方面进行详细规定之后来执行，这样才能更全面地对公民个人信息给予刑法保护，切实打击犯罪行为。

( 三) 罪名设置明确化由于当前我国刑法对于公民个人信息受到侵犯的罪名还没有明确的规定，可以对侵犯公民信息的行为进行单独设罪，以提高罪名设置的独立性。另外，在邮政工作人员隐匿、私拆、毁弃他人邮件或电报内容之后，增设侵犯公民个人信息行为显得不够合理，并且影响本罪适用的独立性。如果将侵犯公民个人信息罪增设在该部分，就可能会产生重复立法的问题。因此，为了确保侵犯公民个人信息行为在罪名的设置方面更加独立化和明确化，应当将本罪从该条文中独立出来，明确公民个人信息权，从而增强刑法在护公民信息安全方面的实效性。( 四) 完善附属刑法，健全刑法保护体系完善我国公民个人信息保护的附属刑法应注意从两个方面来进行:第一，积极建立双轨制立法模式，加强对公民个人信息的保护。由于刑法并不能顾及到各个行业管理当中，因此就需要各个行业制定出各自的行业自律标准，严于律己，通过这种双轨制的立法模式可以提高公民个人信息保护的实效性。第二，要完善刑事处罚与行政处罚的衔接，从根本上杜绝侵犯公民个人信息的犯罪行为。因此，为了更好地保障公民的信息安全，相关部门应完善行业监督立法，建立健全刑法保护体系，从而使我国的行业立法和刑事立法做到有效衔接，增强公民个人信息保护的实效性。

参考文献：

[1]罗时进信息学概论[M].苏州：苏州大学出版社，1998.3.

[2]刘青信息法新论——平衡信息控制与获取的法律制度[M].北京：科学出版社，2008.61.

[3]许文义个人资料保护法论[M].台湾：三民书局股份有限公司，2001.50.

[4]张文显法哲学通论[M].辽宁人民出版社，2009.297.

[5]李晓辉.信息权利研究[M].北京：知识产权出版社，2006.9.

[6]周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法

研究报告[M].北京：法律出版社，2006，（3）.

[7]刘宪权,方晋晔.个人信息刑法保护的立法及完善[J].华东政法大学学报,2009,(3）:120-130.

[8]蔡军.侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望[J].现代法学,2010 年,(4).

[9]赵文一.我国网络隐私权保护的刑罚思考[J].经济与法,2010,（04）.

[10]谢望园.简评刑法修正案七[J].法学杂志,2009,（06）.

[11]沈海平《为保护个人信息织就更严密的法网》载《人民检察》,年第期.

[12]谢青《日本的个人信息保护法制与启示》载《政治与法律》,2006年第6期.

[13]赵培云、郑淑云《从美国网络隐私权保护立法原则看中国个人信息保护

立法应注意的问题》载《信息化建设》,2005年第12期.

[14]忻思佳《加拿大的个人信息和私有档案的保护》载《上海档案》,2007年第6期.

[15]郑超超． 网络交易中消费者个人信息安全权保护问题探析［J］． 鄂州大学学报，2013,(S1) ．

[16]张远晶等．加强实名制背景下的个人信息安全与保护势在必行［J］．世界电信，2014，(8) .