大数据时代 刑法如何保护公民个人信息

近些年来，在信息化数据化的大背景下，个人信息被非法传播和使用的案件层出不穷。民法、行政法以及刑法等所构建的法律体系对于公民个人信息安全的保护也实为必要。

刑法体系

2009年2月28日，全国人大常委会《刑法修正案（七）》增设了“侵犯公民个人信息罪”，2015年8月29日全国人大常委会《刑法修正案（九）》第十七条修订，将该罪主体由特殊主体修改为一般主体，增设了从重处罚的规定，并将本罪法定最高刑由三年有期徒刑提高到了七年有期徒刑。

为精准打击侵犯公民个人信息犯罪，2017年5月9日，最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》），自2017年6月1日起施行。从企业“合规”的角度而言，如何利用大数据技术采集使用个人信息，甚至在销毁时如何做到彻底的“脱敏”处理，成为了各企业“合规”的重要方面。

三维度剑指合规

首先，明确“公民个人信息”的范围。《解释》对“公民个人信息”的范围予以了明确规定：“指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

笔者认为，刑法上“公民个人信息”的界定与其他法律并不冲突，“等”字以兜底的方式明确了全面信息保护的现实需要，同时要符合前述“可识别性”的本质特征。根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014）、《电信和互联网用户个人信息保护规定》（2013）等相关规定，受法律保护的个人信息包括：其一，自然人姓名、出生日期、身份证件号码、住址、联系方式、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息；其二，基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息。对于金融消费者来说，根据国家工商行政管理总局的相关规定，消费者的性别、职业、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合识别消费者的信息的都属于法律保护范围。

其次，“内鬼”入罪门槛降低。《解释》第五条规定：“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到司法解释规定的相关标准一半以上的，即可认定为‘情节严重’，构成犯罪。”针对银行、工商、电信以及证券、快递等行业内部人员泄露数据的行为提供了更为容易打击的法律基础。

同时，《解释》还明确了网络服务者应有的信息网络安全管理义务，“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”网络服务者拥有强大的信息综合实力，其具有信息聚合的优势，则应在“技术可能性”即根据特有的网络技术环境以及现有的网络技术，确实可以客观完成的情况下，履行相应的信息网络安全管理义务。

第三，罚金力度加大。《解释》第十二条规定：“对于侵犯公民个人信息犯罪，应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等，依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。”由于侵犯公民个人信息的行为大多主观目的为非法谋取利益，因此，财产刑力度的加大可以有效剥夺其犯罪的经济基础。

值得注意的是，侵犯公民个人信息罪与第二百八十五条“非法获取计算机信息系统数据罪”存在想象竞合，从一重罪处罚的情况。根据《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定：“（一）非法获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的；（二）获取第（一）项以外的身份认证信息500组以上的”认定为“情节严重”情形。因此，在金融服务领域，如何区分身份认证信息与公民个人信息，如何界定行为人客观行为是否构成相应法益的侵害，如何判断行为人的主观目的都将成为界定此罪与彼罪的关键。