内容提要：在大数据时代，互联网的普及加快了信息的传播速度，促进了不同信息主体之间的交流，在为公民生活带来方便的同时，也为信息犯罪提供了途径，使得公民个人信息的安全保护面临着前所未有的冲击和威胁。近几年来，不断有电信诈骗、信息诈骗、网络诈骗等事件暴露在大众的视野当中，挑动着大众的神经，在社会引起强烈的反响。在这样的大背景下,“侵犯公民个人信息罪”的诞生和《两高关于办理侵犯公民个人信息刑事案件法律适用若干问题的解释》的出台，顺应了时代的潮流，符合当下的司法困境，解决了困扰已久的“个人信息”定义不清晰、“情节严重”程度难把握等问题，使得审判？该罪名在实践中更具有可操作性，为公民的权利的保障披上了一层铠甲，充分发挥了其惩罚犯罪与保障人权相统一的作用。但与此同时，我们也应该认识到，我国相关法律并不十分完善，对公民个人信息的保护仍存在漏洞，例如保护范围不准确、核心术语模糊、立法模式分散等问题，导致犯罪分子仍有漏洞可钻，侵害公民权益的风险仍然存在，这些问题值得我们大家的思考和商榷，因此笔者认为，我国应当从立法角度继续完善，针对存在的立法模式分散、保护主体狭隘等问题进行修正，同时从网络监管角度，在建立网络技术壁垒，提高网络安全意识、构建网络安全伦理，设定网络平台的管理义务等方面不断进步，构建一个良好的信息环境。

　　关键词：个人信息  公民权利  网络安全  立法

　　一、问题的显现

　　在“信息就是财富”的当下，政府、企业等团体和个人表现出对公民个人信息的强烈渴求，一些企业、个人为了追逐利益对公民个人信息数据趋之若鹜，公民个人信息的安全保护面临着前所未有的冲击和威胁。《中国青年报》做了关于“个人信息权” 的抽样调查。样本调查显示，在11163名受访者当中，曾遭受信息泄露困扰的竟达到10471人，占受访者总人数的93.8%。另外有近86%的受访者希望立法机关尽快颁布《个人信息保护法》以保护公民的个人信息权。(1)

　　近年来，各种因信息泄露导致的诈骗案件层出不穷，不断冲击着公众的视野。2016年，山东临沂的徐玉玉因为电话诈骗，被骗走了全家省吃俭用攒下的9900元学费，导致心脏骤停离世；2017年宁波一民警擅自利用公安信息系统帮人查找住址，导致赵姓女子被其前男友找上门并杀死在住所内；宁波快递信息泄露，导致三口之家惨死；还有随时随地都有可能接到的各种退税电话、中奖电话、婚介电话等等，昭示着个人信息的泄漏情况已经达到令人发指的程度，侵犯公民个人信息的行为日趋严重。在部分地区，利用互联网大肆倒卖公民个人信息，已经逐渐形成庞大的“地下产业”和黑色利益链条，例如浙江丽水松阳警方经过13个月的连续奋战成功破获一起特大侵犯公民个人信息案件，查获非法获取的各类公民信息7亿余条，共370G的电子数据。个人信息保护已经成为全社会的共识。(2)公民个人信息刑法保护的立法进程

　　二、立法进程

　　在我国刑事立法初期，侵犯公民个人信息的行为并不多见，因此我国1979年刑法典和1997年刑法典并未对公民个人信息的保护有所规定，后来为了适应时代的需求，遏制侵犯公民信息情况的发生，在2000年12月28日第九届全国人民代表大会常务委员会第19次会议上，审议通过了《全国人大常委会关于维护互联网安全的决定》，该决定第四条规定：“利用互联网侮辱他人或者捏造事实诽谤他人；非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密构成犯罪的，依照刑法有关规定追究刑事责任。”这是我国在保护个人信息方面作出的第一个法律层面上的努力。此后关于公民个人信息的保护才陆续在相关法律中作了规定，例如《护照法》《身份证法》《统计法》等。(3)

　　2009年，我国在《刑法修正案（七）》中，增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。(4)这两项罪名的增设，体现了刑法的补充性和保障性，也表现出国家对公民个人信息保护的重视。对公民个人信息以刑法进行规制，有效改变了过去只有民法和行政法对公民个人信息权的保护，使刑法在保障人权方面更具有完整性，填补了此领域的空白，同时也表明了刑法从过去单纯的保护公民隐私权、人格权这种间接保护方式，转变为对公民个人信息的直接保护，这对于刑法、对于公民权利来说，都具有划时代的意义。但是，经过司法实践的检验以及法学专家的论证，这两项罪名中并没有明确何为“公民信息”？什么属于“情节严重”？犯罪特殊主体的限制也使得这两项罪名在应用中受到制约。

　　所以在《刑法修正案（七）》之后，2015年出台的《刑法修正案（九）》对公民信息权利的保护重新进行了调整。(5)首先将“出售、非法提供公民信息罪”和“非法获取公民个人信息罪”合二为一，并为“侵犯公民个人信息罪”，该罪针指的是“违反国家有关规定，向他人出售或者提供公民个人信息，窃取或者以其他方法非法获取公民个人信息，情节严重的行为。”其次取消了犯罪主体资格的限制，将犯罪的主体从特殊主体扩大到一般主体，去除了“在国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员”的范围限制。最后对犯罪的行为方式进行了修改，将原来的“出售或者非法提供给他人公民个人信息”中的“非法”二字去掉，在一定程度上解决了前置法律空缺的尴尬局面。我国现阶段尚没有出台《个人信息保护法》，在司法实践中也无法认定何种行为方式为“非法提供”。现在立法将侵犯公民个人信息罪的行为方式界定为“向他人出售或者提供公民个人信息”或是“窃取或者以其他方法非法获取公民个人信息”，在立法层面对行为方式进行明确规定，有利于提高审判该类案件在司法实践中的可操作性。(6)最后，《刑法修正案（九）》提高了有期徒刑的刑期，罚金刑从选择性并处或单处转变为并处，反映了国家对侵犯公民个人信息犯罪惩处力度的加大。

　　但是，《刑法修正案（九）》对公民个人信息的概念、情节严重的标准、行为方式的界定仍未具体明确，定罪量刑的标准也并不清晰，司法实践中的争议仍然存在。因此，在这样的大背景下，最高人民法院、最高人民检察院于2017年5月8日颁布了《关于办理侵犯公民个人信息刑事案件使用法律若干问题的解释》，并于6月1日起正式实施。

　　在解释的第一条，便对公民个人信息的概念加以认定：“公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”该定义采用了概括方式与列举相统一的定义方法 。“识别特定自然人身份”或者“反映特定自然人活动情况”这两个说明采用了概括定义的方法，表明这两个特征，只要满足二者其中之一就属于公民个人信息。“包括姓名、身份证件号、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹”是以列举的方式，对公民个人信息的定义进行补充，在两个特征的基础上，具体明确了哪些信息属于公民个人信息。最后，以“等”字兜底，体现了解释的严谨性。这种定义方式将概括型定义模式和列举行定义模式的优势相结合，并弥补了两者的缺陷，能够较好地确保对公民个人信息范围界定的延展性。(7)《刑法修正案（九）》中，将“情节严重”作为侵犯公民个人信息犯罪的入罪标准。但何为“情节严重”？却始终没有一个具体的衡量标准，导致在司法实践中，法官难以把握罪与非罪、罪轻与罪重。针对这种现状，最高法与最高检在新出台的司法解释中运用了大量篇幅来进行详细的规定，对行为目的、数量、金额等方面进行了细致的解释，此外，该解释还补充了“情节特别严重”的条件，包括：造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；造成重大经济损失或者恶劣社会影响的；数量或者数额达到前款第三项至第八项规定标准十倍以上的及其他情节特别严重的情形。

　　三、侵犯公民个人信息罪存在的问题

　　（一）保护主体狭隘

　　“公民”是该罪的定罪条件之一，根据我国宪法的规定，我国公民是指具有中华人民共和国国籍的人，根据此定义，已故公民和外国籍人、无国籍人的信息权不在保护范围。

　　已故公民个人信息的刑法保护，在我国学者界一直具有很大争议，有支持也有反对。持支持态度一方，认为虽然已故公民理论上丧失了自然人的主体资格，但个人信息却并没有随之消失，其中仍有很多有价值的信息可被犯罪人利用来对死者的亲友或者他人进行不法活动。而反对一方则认为，既然已故公民已经丧失自然人的主体资格，而我国宪法规定的公民必须为自然人，那么，死者的个人信息就不属于公民个人信息，因此也就无法受到刑法保护，否则会违背罪刑法定的原则。

　　笔者认为，已故公民的个人信息同样值得保护。一方面，其信息具有保护的意义和价值。例如2014年6月，湖北武汉的赵某利用被泄露的死者信息，冒充武汉市民政局的工作人员，以丧葬费补贴为名，诈骗死者家属23000元。由此我们可以看出，已故公民的个人信息仍然有其保护的价值，泄露已故公民个人信息的行为应受到法律的惩罚；另一方面，保护已故公民信息是与立法初衷具有一致性。保护公民个人信息，其初衷就是为了保护公民的信息权，从而保护公民的隐私，维护公民的人身、财产安全权，既然已故公民的信息泄露同样会带来危险，那么便不应教条的把已故公民个人信息和公民个人信息的割裂开。

　　同时，我们也应该看到，现有法律将外籍人和无国籍人排除在保护范围之外的做法也是不正确的，我国有义务保障在我国境内的外国籍人与无国籍人的人身权益，而现行法律的缺失会导致该群体利益受损，如果处理不好，会对我国的法律体系整体建设以及国际形象产生负面影响。

　　（二）过失泄露

　　根据《刑法修正案（九）》的规定， 我国侵犯公民信息罪分为“提供型”和“非法获取型”两种，从主观上来看，这两种行为方式都属于故意，但现实中过失同样可以造成严重的危害结果。例如，2007年11月20日，英国财政大臣发表紧急声明，称英国皇家税务及海关总署在由快递公司送交国家审计署的过程中，遗失两张包含2500多万人的个人机密信息的光盘。光盘记录中包括各种个人信息，如姓名、出生日期、家庭住址以及相关银行账号等信息。此事在英国造成的后果是税务署长格雷引咎辞职，同时英国警方因为无法追踪到这两张光盘的去向，所以以重金悬赏的方式寻找光盘的下落。由于受牵连的家庭众多，此事惊动了英国财政部和所有银行。为了防止数据窃取事件的发生，银行提高了原先设置的警戒级别，对涉案家庭的账户实时监管。专家则不断提醒以个人信息，如生日等容易被识别的数据作为密码的家庭修改其密码。如此劳民伤财的事后补救足见即便由过失导致的信息数据泄露问题也是不容忽视的。

　　我国在制定《刑法修正案（九）（草案）》的过程中，就曾在《刑法》第253条之一第1款之外，增设了两款，分别规定了普通的出售、非法提供公民个人信息罪和保护公民个人信息失职罪。但在最终的《刑法修正案（九）》中并没有出现过失犯罪的身影，究其原因，笔者猜测如下：首先，刑法的谦抑性要求在处理这一类问题上要首先考虑前置法的规范。在上述情形中，即便是主观故意的行为，都判罚较轻，所以没有必要将过失行为也纳入刑法的规制。其次，如果民间出现过失导致泄露行为，一般不容易被发现，同时也较难调查取证。即使造成危害结果，也较难证明过失行为与危害结果间的因果关系。花费大量的人力、物力去调查这一类过失行为，不符合节约司法资源的要求。

　　（三）立法模式分散

　　关于公民个人信息的法律保护，我国目前采用的是分散式的立法模式，尚无专门性的法律规定。有资料显示，我国目前有近40部法律、30余部法规和近200部规章涉及个人信息保护，其中包括互联网信息规定、医疗信息规定、个人信用管理办法等。(8)这种分散式的立法模式，不利于公民个人信息权的保护，具体理由如下：

　　首先，分散式立法容易导致法律规范之间存在矛盾冲突，不利于惩治侵犯公民个人信息权的行为。我国颁布的涉及保护公民个人信息安全的法律数量很多，但没有一部是直接保护，导致对侵犯公民个人信息安全犯罪打击力度不够，难以控制侵犯权益行为的发生。

　　其次，侵犯公民个人信息权的行政法律制裁前提空缺。对于侵犯公民个人信息权的行为，我国尚未确立统一、完备的行政法律制裁体系与刑事制裁体系相衔接。根据我国刑法规定，侵犯公民个人信息罪的成立，以行为违反国家规定为前提。根据我国《刑法》第96条的规定，“国家规定”包括“全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”，就个人信息权的保护而言，我国没有颁布专门的《个人信息保护法》，刑法相关缺乏专门的《个人信息保护法》，使得刑法的相关规定缺乏行政法律制裁前提。《治安管理处罚法》未将侵犯公民个人信息的行为作为行政违法行为规定处罚措施，这样就使我国刑法规定的侵犯公民个人信息权的犯罪成为非典型的行政犯，也使得《刑法修正案（七）》规定的侵犯公民个人信息的犯罪成为法定犯罪时代下颇为尴尬的立法。虽然《刑法修正案（九）》对此进行了修改，但也只是罪名的修正，侵犯公民个人信息罪缺乏行政法律制裁前提的难题仍未得到解决。

　　四、保护个人信息的完善

　　（一）立法上的完善

　　虽然近些年通过法律、司法解释的出台，保护公民个人信息已经有了坚强的法律保护，但是不可否认的是，立法当中仍然存在瓶颈，公民的个人信息保护仍有不全面之处。因此，我认为，应当从以下几方面进行完善：

　　1、特殊对象的个人信息保护

　　受公民这一定义的限制，无国籍人士、外国籍人士以及已故公民的利益不能得到很好的保障，因此应该对法律进行调整，但若因此单独增加条文，频繁更改法条，会破坏法律的系统性，使法律条文过于累赘，同时也会损害刑法的权威性。但若对“公民”一词做扩大解释，使其包含外国籍人、无国籍人，则会与宪法中“公民”一词的定义产生冲突，损害宪法的权威性。因此，笔者建议，可以将“侵害公民信息罪”改为“侵犯个人信息罪”，这样便扩大了法律的保护范围。

　　对于已故公民的权益，则应该通过相应的司法解释给予专门的解释，使侵犯已故公民个人信息、利用已故公民个人信息进行违法活动的行为都受到法律的规制，使法条更加符合其立法初衷：保护个人信息，避免不法分子利用个人信息侵犯公民利益。

　　2、出台《个人信息保护法》

　　我国分散式的立法模式已经无法适应保护公民的尊严和权利的要求，因此，制定和颁布一部专门保护个人信息的法律刻不容缓。2005年齐爱民教授就曾发表建议稿《中华人民共和国个人信息保护法示范法草案学者建议稿》，2009年《刑法修正案（七）》关于公民个人信息犯罪相关规定的出台，也曾被认为是一种典型的倒逼立法，但迄今为止，尚未倒逼出《公民个人信息保护法》。(9)

　　面对日趋严重的侵犯公民个人信息的犯罪，公民的个人信息得不到保护的同时，也危害到的社会稳定，因此，笔者强烈建议，立法机关应当重视学者建议稿，积极制定专门立法，以便更加有效地保护个人信息权，惩治侵犯公民个人信息犯罪。

　　（二）网络安全角度

　　网络是公民个人信息遭受侵害的重灾区，由于网络的复杂性以及犯罪手段的隐蔽性，一旦发生犯罪行为，往往具有扩大性，例如疏于管理的平台漏洞常常成为信息犯罪的突破口，信息流向的不可控无形中造成信息犯罪的强大破坏力。因此，应该将网络信息安全的控制，摆在保护公民个人信息的重要位置。

　　1、建立网络技术壁垒

　　李林教授曾经指出，网络犯罪中出现的很多问题及现象，通常都是技术落后造成的，应当通过技术进步来解决，技术无计可施时，再考虑法律的介入。技术是对网络犯罪最好的预防。(10)我国现常用的网络安全技术手段是防火墙、杀毒软件，以及重要文件加密等，但这些防护技术较为浅显，经常被黑客攻破，也容易遭受病毒的侵袭。因此，我们要以网络安全防控技术筑起网络空间的壁垒，从源头上杜绝信息犯罪的发生。 对于网络中频现的安全漏洞，目前有不少白帽子、网络安全工程师以及互联网漏洞报告平台为提升网络平台反信息犯罪能力提供坚实的智力支持。专业人士可以通过技术手段识别并向平台反馈安全漏洞，网络平台向用户披露并修复安全漏洞，逐步形成社会力量、网络平台与用户之间良性互动的长效机制。对于信息泄露后迅速在网络平台传播的情形，工信部要求网络平台实时监测信息泄露情况，迅速采取屏蔽、删除信息等防止次生、衍生事件的必要措施，还应当告知受影响的用户，并告知用户减轻危害的措施。(11)

　　网络服务平台要提高自己的社会责任感，加大在网络安全防护方面的投入，增强抵抗网络病毒、防御黑客的能力，创造更好的网络环境，让公民在安全的环境中享受现代信息技术。

　　2、提高网络安全意识、构建网络安全伦理

　　通过司法实践来看，很多案件的发生是由于公民个人不注重自身信息的保护，轻易在各种网站留下自己的信息，例如2014年发生的FaceBook个人信息泄漏事件，剑桥分析委托FaceBook发布一款名为“This Is Your Digital Life ”的测试App，30万名用户下载并进行了测试。测试过程中，该App收集到了这些用户的个人信息，并在用户隐私设置允许的情况下，收集到了这些用户朋友的信息，涉及人数约为8700万人，并将收集到的信息用到了政治中。在此事件中，虽说是剑桥分析恶意利用了搜集到信息，但同时也表明，公民在处理个人信息上的随意性，如今网络上各种测试App层出不穷、马路边上各种扫码送玩偶的摊位也屡见不鲜，这些行为都会透露公民的个人信息，而公民对此却没有警惕性。基于此，我们可以看出，在加强法律保护的同时，提高公民个人的防护意识也是至关重要。

　　因此我们在普及计算机技术的同时，要加强网络安全意识的普及。例如定期安排法院及相关单位进社区，通过案例宣传等方式，引起大家的重视；积极推广新网络安全技术，提高计算机的防护能力，使大家重视技术防护；利用新媒体、公益广告等形式，加大宣传，提高广大用户的警惕，自觉做好安全防范作用。

　　在提高意识的同时，也要加快网络安全伦理的建设，“展望未来，要通过技术或常规立法程序去遏制信息犯罪活动困难重重，最根本的解决方法只有一条，那就是道德与人生价值观。要让人们有这样的观念：偷窃、解密和私自入侵是不可取的。”(12)基于此种观点，在全社会树立科学的网络是非荣辱观，使民众达成一致的认识，即在网络上对个人信息的窃取和破坏，应当受到网络伦理的谴责和刑法的追究，才是有效制止侵犯个人信息犯罪的根本之道。当然，这种理想化的理念，只能在未来有所期待，现时有效的遏制犯罪行为，还是要通过网络安全技术的进步和相关法律法规的完善。

　　3、合理设定网络平台的管理义务

　　网络平台作为“事发”的第一地点，服务商有义务去进行监管，也有能力在第一时间控制信息的扩散、消除已造成的影响，因此，应当通过适当的法律规定分配网络平台的管理义务。平台应自觉制定有效的网络活动规则，发挥自身管控网络信息犯罪的功能。在合理设定平台管理义务时，要注意符合明确化、类型化、适当化的要求。(13)明确化意味着要对网络平台的义务进行确定，比如协助执法、监管内容信息、留存数据、处理违法信息、对用户信息泄露的处置措施等。类型化要求根据泄露的用户用户信息重要程度划分轻重不同的管理义务，例如对于用户的敏感信息就应当采取比非敏感信息更为紧迫、力度更大的处置措施。(14)适当化要求，主要体现在将管理义务限定在网络平台的能力范围之内。由于网络环境具有复杂性，网络信息传播速度快、信息匿名化等特征，强制性的规定网络管理义务不合理也不合法，因此，应当给予网络平台一定的免责条款。可以借鉴德国的经验，只有同时满足“技术上有可能阻止”“阻止不超其承受能力”的条件，才能认定网络服务提供者具有履行义务的能力。(15)

　　(1) 王聪聪：《万人民调：86.0%受访者期待国家尽快出台个人信息保护法》，载《中国青年报》第0212期。

　　(2) 王春：《非法获取公民个人信息7亿余条 浙江松阳破获特大侵犯公民个人信息案》，载《法制日报》2017年4月13日第8版。

　　(3) 赵秉志：《刑法修正案（七）》，北京师范大学出版社2014年版。

　　(4) 《中华人民共和国刑法修正案（七）》第七条规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

　　(5) 《中华人民共和国刑法修正案（九）》第17条规定：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

　　(6) 陈超：《论个人信息权法律保护的刑事立法模式》，载《华北水利水电大学学报（社会科学报）》，2014年

　　(7) 吴海波：《个人信息刑法保护面临的困境与出路》，载《昆明学院学报》2018年第40期。

　　(8) 陈超：《论个人信息权法律保护的刑事立法模式》，载《华北水利水电大学学报（社会科学版）》第34卷第2期。

　　(9) 叶良芳，应家卫：《非法获取公民个人信息罪之“公民个人信息”的教义学阐释—以<刑事审判参考>第1009号案例为样本》载《浙江社会科学》2016年第4期，第71-78页。

　　(10) 石亚淙：《网络时代的刑法面孔——“网络犯罪的刑事立法与刑事司法前沿问题”研讨会观点综述》在《人民检察》第2016年第15期，第36-39页。

　　(11) 万静：《工信部：1亿以上用户信息泄露为特大网络安全事件》载Http://news.xinhuanet.com/poltics/2017-11/27/c-1122013152.htm，于2018年6月2日访问。

　　(12) 黄群庆：《信息空间的犯罪活动》载《世界科学》第1996年第8期，第36-37页。

　　(13) 陈万科：《公民个人信息刑法保护的困境和出路——以网络平台为研究视角》，载《武汉交通职业学院学报》第20卷第1期。

　　(14) 陈万科：《公民个人信息刑法保护的困境和出路——以网络平台为研究视角》，载《武汉交通职业学院学报》第20卷第1期。

　　(15) 皮勇.轮：《网络服务提供者的管理义务及刑事责任》载《法商研究》第2017年第5期，第14-25页。