大数据时代个人信息保护研究

孙艳秋：大数据时代个人信息保护研究

原创 孙艳秋 尚权刑辩

随着大数据技术的广泛应用，个人信息频繁地被挖掘、存储、流转、使用，增加了数据泄露的风险。技术发展与个人信息保护问题共生共存，从网络时代到大数据时代，信息的畅通无阻使得个人信息的买卖更加便利，个人却很难把握信息的流向与利用。频频发生的个人信息泄露事件使人们感受到了个人信息的重要性。通过梳理大数据时代个人信息保护的研究文献，为未来研究个人信息保护提供借鉴。

一、个人信息的民事保护
整理国内大数据时代的个人信息保护研究，在搜集文献时确定了“个人信息”和“个人数据”两个关键词，在CNKI数据库的高级检索中设置检索项为“篇名”，在检索项分别输入“大数据”并含“个人信息”或者“大数据”并含“个人数据”这两个检索词，匹配条件为精确，检索发现，有关大数据时代的个人信息、个人数据论文始于2013年，直接检索出来的论文共计795篇，从时间上看，2013年7篇，2014年33篇，2015年58篇，2016年95篇，2017年111篇，2018年187篇，2019年223篇，2020年上半年81篇。截止2020年6月30日，有关“大数据”+“个人信息”的学术期刊论文共计722篇，有关“大数据”+“个人数据”的学术期刊论文共计89篇。从数量上看，关于大数据时代的个人信息保护的研究成果逐年增加，研究热度持续升温。对文献内容进行主题分类，已有的相关核心期刊论文可以分为两大类：个人信息保护的理论学说、个人信息保护路径。

（一）个人信息保护的理论学说
国内关于个人信息保护的文献丰富，国内学者多从宏观层面研究个人信息保护。已有学者试图从信息权利、信息财产权、信息隐私权等几大概念阐述，也存在个人信息和个人数据概念混淆使用的现象。

公民对个人信息拥有何种权益？有学者认为，个人信息权是一种新型人格权，拥有民事权利的基本属性，应当在人格权法中作出规定。个人信息权不属于一般人格权，应当在人格权法中明确此项权利的范围、内容、侵权责任及商业使用问题。也有学者认为个人信息因具有稀缺性、有用性、可控性这三个属性，属于法律上的财产。信息资料具有商业价值，个人信息具有财产因素，而个人信息的主要特征是可识别性、体现人格特征。有学者探讨个人信息的经济属性并提出“信息财产权”，网络个人信息具有财产权属性，是网络用户财产的重要组成，具有继承权上的合理合法性。

（二）个人信息的保护路径
2005年左右，我国开始研究制定个人信息保护法，一些学者希望通过归纳总结国外个人数据处理的法律经验，提出一些我国可以借鉴的准则，出现了一批有关个人信息保护的作品和书籍翻译。《个人数据保护：欧盟指令及成员国法律、经合组织指导方针》介绍了欧盟及其成员国的个人信息立法模式，欧盟关于个人数据保护的指令、欧盟成员国的立法和国际公约三个方面为公民的个人数据提供较为周全的保护，学界开始探寻本土化的个人信息保护模式。

梳理已有文献，有关我国个人信息保护，突出的研究主题有三种：一是提出对策解决个人信息保护的现实问题、立法模式，比如涉及隐私个人信息保护的重点领域是医疗、金融、行政、司法、社会劳动保障和网络，也有学者提出从侵权法和合同法来保护个人信息。二是具体问题中的个人信息保护，比如健康医疗大数据应用中的个人信息保护问题。三是个人信息保护的机制研究，包括“溯源机制”和“治理机制”。王忠认为个人数据隐私的“溯源机制”来源于大数据时代个人数据所具有的的产品与数据的双重属性，个人数据具有产品的可追溯性与数据的可追溯性。个人信息的追溯机制的构建，可以提高个人信息安全保护等级，其构建路径为：溯源机制标准体系-信息登记制度-溯源监管制度-溯源信息奖惩制度。“治理机制”将大数据时代个人信息涉及的主体分类，力求架构一个多元主体合作的治理机制。王忠等将个人数据隐私治理过程中的利益相关者划分为个人、个人数据收集者、个人数据处理者、个人数据应用者及监督者5种角色，涉及个人、个人数据企业、政府、媒体、第三方隐私保护组织及非政府组织等六大利益主体。通过权力利益矩阵分析，归纳为核心利益相关者、重要利益相关者、间接利益相关者及直接利益相关者四类，并据此提出构建多元主体协同治理机制。大数据时代的信息保护设计多元主体，其治理机制应考虑到利益平衡和矛盾化解。在多元主体协同治理机制的基础上，还需要有更多研究进一步细化具体的治理流程。

国内研究从法律与现实的角度为个人信息保护提供了指导思路，承认了个人信息对个人的重要意义，但是尚存在四点不足：一是研究领域单一，目前的研究大多在法律制定的层面上探讨个人信息保护，研究个人信息保护的主客体、性质、内容和惩治措施；二是概念界定模糊，难以区分个人信息和隐私的概念；三是研究内容单一，未能从新的媒介环境和技术考量个人信息的保护问题，对于新技术带来的个人信息保护问题有所关注，但仍然停留在介绍概念内容、国际经验简单介绍层面上，未能提出行之有效的规制方法；四是研究结果单一，在比较研究各国法律条款时，停留在简单介绍国外的法条、概念和现状上，没有进行深入的、多角度分析。

二、个人信息的刑事保护
刑法中与个人信息保护关系最为密切的罪名，即侵犯公民个人信息罪，主要指违反国家有关规定，向他人出售或者提供公民个人信息，或者将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人，以及窃取或者以其他方法非法获取公民个人信息，情节严重的行为。

（一）侵犯公民个人信息罪的立法沿革
1979刑法、1997刑法并没有明确规定侵犯公民个人信息方面的犯罪，但是利用公民个人信息实施犯罪的，应按照相应的具体犯罪处理。

2005年，《刑法修正案（五）》颁布，在刑法第一百七十七条后增加一条，窃取、收买、非法提供信用卡信息罪，窃取、收买或者非法提供他人信用卡信息资料的，依照规定处罚。

公民的信用卡信息资料当然属于公民个人信息范畴，但此次修法只增设这一款与公民个人信息相关的罪名，并未涉及其他侵犯公民个人信息的行为。

2009年，《刑法修正案（七）》颁布，在刑法第二百五十三条后增加一条，作为第二百五十三条之一：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

此次修法明确将出售或非法提供公民个人信息的行为、非法获取公民个人信息的行为规定为犯罪，罪名分别为出售、非法提供公民个人信息罪和非法获取公民个人信息罪，大大加强对公民个人信息保护的力度。

2015年，《刑法修正案（九）》颁布，将刑法第二百五十三条之一修改为:违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

此次修法较《刑法修正案（七）》有四个变化：一是在罪名上，将出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名统一为侵犯公民个人信息罪一个罪名；二是在行为主体上，不再局限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员；三是在法定构成要件上，将违反国家规定修改为违反国家有关规定；四是在行为方式上，将非法提供修改为提供，将以其他方法非法获取公民个人信息作为兜底条款。至此，侵犯公民个人信息的行为主体和行为方式均得到最大程度扩展，侵犯公民个人信息罪明确确立。

（二）侵犯公民个人信息罪的法益保护
关于侵犯公民个人信息罪的保护法益，刑法学界有两种不同的观点，即个人法益说和超个人法益说。

个人法益说认为，此罪侵犯的是公民个人的法益。持此观点的代表学者有张明楷、周光权，但二者又有些许不同。张明楷认为，此罪侵犯的是公民的个人隐私权，包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。周光权认为，此罪侵犯的是公民的信息自由、安全和隐私权，公民对个人信息享有隐私、自由使用的权利，未经公民个人许可，任何组织和个人都不得披露或买卖该信息。

超个人法益说认为，公民个人信息不仅直接关系个人信息安全与生活安宁，而且关系社会公共利益、国家安全乃至于信息主权。对公民一词的解读、刑事立法的宗旨及侵犯公民个人信息犯罪的现实状况都表明其具有超个人法益属性。

笔者认同第一种观点，侵犯公民个人信息罪保护的是个人法益。理由如下：

第一，侵犯公民个人信息罪在刑法中的位置决定了其法益保护的属性。纵览我国的刑事立法，分设了不同的章节，这些章节的标题，代表着该章犯罪所侵犯的法益。例如危害国家安全罪这一章，说明该章侵犯的法益是国家安全法益。具体到侵犯公民个人信息罪而言，此罪置于侵犯公民人身权利、民主权利一章中、侵犯名誉、隐私的犯罪一节下，从体系解释的角度来看，此罪保护的法益即公民的人身权利、民主权利，具体表现为隐私。

第二，侵犯个人信息罪的行为类型说明其侵犯的是个人法益。此罪包含三种行为类型：第一种类型是违反国家有关规定，向他人出售或者提供公民；第二种类型是违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人；第三种类型是窃取或者以其他方法非法获取公民个人信息。以上三种类型均要求达到情节严重的程度，也要求达到一定的是实害结果，说明其保护的是个人法益而非超个人法益。

第三，侵犯公民个人信息罪是自然犯而非法定犯。首先，如前所述，此罪在刑法中的位置，表明其和故意杀人罪、故意伤害罪、侮辱罪、诽谤罪等一样，涉及的都是个人权益和社会伦理道德文化规范。侵犯公民个人信息罪的核心是与公民个人人身等利益相关信息被非法侵犯，从而造成对公民个人人身安全或者名誉等民主权利受到侵害。其次，“违反国家有关规定”虽然是构成侵犯公民个人信息罪的要件之一，但不能据此说明此罪就是法定犯。是否违反国家规定，是法定犯的标志性特征，但不是区分自然犯与法定犯的唯一标准。“违反国家有关规定”更多地是出于行政目的，只能作为附属的、次要的法益衡量，根本法益仍然是公民的个人隐私。假设某一行为违反了国家有关规定，但若没有侵犯公民的隐私，同样不构成此罪。最后，尽管此罪规定了单位犯罪，但不能说明其不是自然犯。例如，《关于办理盗窃刑事案件适用法律若干问题的解释》将单位也作为盗窃罪的主体，但没有人会因此认为盗窃罪是法定犯，盗窃罪仍然是典型的自然犯。

（三）侵犯公民个人信息罪的司法困境
第一，对公民的理解。通常理解，公民即为我国公民，不包括外国人、无国籍人。但是随着经济的纵深发展、国内外交流的增多，外国人、无国籍人在国内学习、工作、定居的情况越来越多，他们的个人信息也会被泄露，合法权益也会被侵犯，因此这种情况下能否以该罪名定罪处罚呢？

第二，对公民个人信息的理解。2017年，两高颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，将公民个人信息界定为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。但是，这种列举式和概括式的规定，较为模糊，在适用时难免产生困惑，例如什么是行踪轨迹，并没有近一步阐述。

第三，前置性法律与刑法无法有效衔接。关于公民个人信息保护的规定，不仅在行政法规中可以看到，在不同的部门法规章中也可以看到，这种分散立法的模式，导致在适用时产生混乱，难以达到其他法律与刑法有效衔接的效果。当存在其他的处罚措施时，若直接运用刑法手段定罪处罚，明显违背了刑法的谦抑性。

三、民事保护与刑事保护的有效衔接
目前国外很多国家和地区制定了个人信息保护的法律，着重保护公民个人信息。我国虽也已经颁布《个人信息保护法（草案）》，但距正式出台仍有一段距离，且现行国家的有关规定又较为零散，衔接不流畅，导致诸多保护困境。

笔者认为，对公民个人信息的保护，首先应对散落在现行法律、行政法规、部门规章中的公民个人信息保护规定提取整合，尽快颁布专门的《个人信息保护法》，作为一部前置性法律，与刑法形成有效衔接，同时加强保护措施和惩罚力度，切实实现大数据时代背景下对公民个人信息的保护。
参考文献：
1、王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报（哲学社会科学版）》，2012年第6期

2、刘德良：《论个人信息的财产权保护》，人民法院出版社，2008年版

3、王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期

4、刘戈：《网络个人信息的继承》，《东莞理工学院学报》2011年第2期

5、张新宝：《个人数据保护：欧盟指令及成员国法律、经合组织指导方针》，法律出版社，2006年版

6、安小米、穆勇、王薇、刘精精、望旺、叶六奇：《我国涉及隐私的个人信息保护与管理法律法规状况及要求分析》，北京档案2011年第5期

7、张涛：《个人信息权的界定及其民法保护》，吉林大学博士论文，2012年

8、邓明攀、刘春林：《健康医疗大数据应用中的权利保护和行为规制》，《医学与法学》2019年第4期

9、王忠、殷建立：《大数据环境下个人数据隐私治理机制研究——基于利益相关者视角》，《技术经济与管理研究》2014年第8期

10、张明楷：《刑法学》，法律出版社，2016年版

11、中华人民共和国刑法修正案（五）（2005）

12、中华人民共和国刑法修正案（七）（2009）

13、中华人民共和国刑法修正案（九）（2015）

14、张明楷：《刑法学(下)》，法律出版社，2016年版

15、周光权：《刑法各论》，中国人民大学出版社，2016年版

16、曲新久：《论侵犯公民个人信息犯罪的超个人法益属性》，《人民检察》2015年第11期

17、刘艳红：《侵犯公民个人信息罪法益：个人法益及新型权利之确证》，《中国刑事法杂志》2019年第5期

作者孙艳秋，北京尚权（合肥）律师事务所