数字时代背景下公民个人信息的刑法保护思考

公民个人信息的刑法保护是现代社会中至关重要的法律领域。近年来全国检察机关共计起诉侵犯公民个人信息犯罪 2.8 万余人，五年增长超3.5 倍，公民个人信息保护具有现实紧迫性。

一、侵犯公民个人信息案件特点

（一）公民个人信息内容多、范围广、社会危害性大：个人信息内容丰富且数量巨大，其中车主信息、股民信息占多数，涉及公民身份信息、电话号码、家庭地址，甚至包括资金账号、账户存款、培训记录、交易记录等。从数量上来看，涉案信息动辄几十条甚至上万条。

（二）犯罪主体特殊：企业负责人及企业员工成为这类案件的新型犯罪主体，现如今市场竞争激烈，企业负责人或其指使企业员工通过购买、交换公民个人信息等方式来开发新客户，拓展业务。公民个人信息的最初提供者也多为企业员工、服务机构内部人员，在任职时因职务之便，积累了一定数量的公民个人信息，法治意识淡薄，为牟利将公民个人信息予以出售交换。

（三）交易方式隐蔽，传播速度快，犯罪成本低：网络交易是公民个人信息的主要获取方式，买卖双方多通过微信群、QQ 群在线联系，并通过支付宝、微信转账等方式进行交易，交易快速且隐蔽。此外公民个人信息极易复制，通过网络的催化，以成倍的速度增长泛滥，犯罪成本极低，这就是使得公民个人信息的源头追诉较为困难。

（四）与其他犯罪呈合流态势：公民个人信息的出售者或收购者的目的均不相同，一部分是为了正常业务推广，也有很大一部分利用获取的信息从事犯罪活动，侵犯公民个人信息犯罪与电信网络诈骗、敲诈勒索、妨害信用卡管理等犯罪呈合流态势。在日常生活中，我们的手机时常接到推销、诈骗等电话，其背后与我们公民个人信息的不法泄露有着密不可分的联系。

二、侵犯公民个人信息司法解释的完善

在数字时代背景下，个人信息的适用范围及使用频率呈现大幅度上升趋势，侵犯个人信息的犯罪行为成为不可忽视的热点社会问题之一。据此《刑法修正案（七）》首次将侵犯公民个人信息的行为入罪。《刑法修正案（九）》第二百五十三条规定了侵犯公民个人信息罪。2017 年 5 月 8 日，为了惩罚侵犯公民个人信息的违法行为，确保公民个人信息的安全和合法权益，最高人民法院、最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），对侵犯公民个人信息罪的法律适用等问题作出了完善，明确了个人信息犯罪在法律中的相关定义。

三、现行法律对公民个人信息保护的不足

（一）个人信息的界定范围模糊

个人信息应该不局限于隐私信息，只要是包含对个人信息控制权的，也是刑法应当保护的范畴。但现实中公民个人信息类型众多，涵盖广泛，如何在司法实践中精确运用相关法律规定，尚未达成统一意见。如果不对信息类型进行区分，是否应该将所有公民信息纳入法律覆盖范围？目前法律对此类实践操作中的难题并无明确规定。

（二）发现难、取证难、取证瑕疵

随着以审判为中心的诉讼制度改革对证据提出了更高的要求，电子证据在此类案件中发挥着举足轻重的作用，但电子证据的取证难度高于传统证据，鉴别的复杂性程度更大，在侦查取证过程中存在瑕疵。第一：该类型的案件属于新型案件，办案人员经验不足，未在第一时间对电子证据进行固定，导致当事人有时间对电子证据进行篡改、删除。第二：专业性不强，因为电子证据具有科技性、易变性、脆弱性、海量存储性的特点，其收集、提取、保全、审查都需要专门的技术手段，操作不当就可能造成关键证据的灭失。例如，在电子邮件中对电子证据的提取，因在进行数据恢复时操作不当，部分提取出来的数据信息无法再次打开，导致无法确认是否为公民个人信息，进而影响量刑。第三：取证粗糙，无证明力。电子证据要想发挥它的证明力，需要现场笔录、远程勘验笔录等证据予以佐证，但笔者在办案过程中发现，具有多次取证行为的，但现场笔录或远程勘验笔录仅有一次，此外从犯罪嫌疑人手机、邮箱中提取了大量与本案无关的电子数据，造成审查工作量大幅度增加。

（三）认定“数量”标准不明

《解释》第十一条第三款规定“对批量公民个人信息的条数、根据查获的数量直接认定，但是有证据证明信息 不真实或者重复的除外。”这一款是关于批量公民个人信息数量认定规则的规定，但在办案过程中对于此款法律的适用存在较大的争议。行为人非法获取、出售或者侵犯公民个人信息的种类和条数是此类案件定罪量刑的标准，根据《解释》第十一条第三款规定，对于数量的认定标准，公诉机关是否无需证明真伪，只要求统计数量即可直接认定。但笔者在承办案件的过程中，听取了多名律师的意见，律师表示侦查机关需要通过逐个查验或者取样抽查的手段，检验查获公民个人信息的真实性，直接将侦查机关查获的个人信息数额全部认定为真实过于草率。笔者认为律师的意见也不无道理，因为在《解释》中对于何为“批量”、何为“直接认定”、“何为有证据证明”都尚未明确规定，在司法实践中难免存在分歧，这时候更加需要承办人在案件办理过程中谨慎处理。

（四）认定“情节严重”尚未达成统一标准

关于统一认定“情节严重”的适用标准没有统一的标准作为参考，导致在司法实践中时常出现“同罪不同罚”的情况，案件承办机关在适用司法解释中也陷入混沌。现阶段，在没有明确规定的情况下，“情节严重”的认定无论在理论上还是实践上都难以形成统一标准，公民个人信息又涉及种类多、范围广等问题，相关司法解释在大数据时代背景下亦无法在短时间有针对性地出台。

四、完善个人信息刑法保护的相关意见建议

（一）侦查机关提高专业侦查水平

在侦查阶段能否有效及时、有效、完整的固定电子证据，对整个案件的办理具有至关重要的作用，提高侦查人员的专业侦查水平刻不容缓。可以通过开展专项培训，充实专业化新人才等措施弥补此类新型案件的经验不足、专业性不强的短板。

（二）公诉机关提高证据审查能力

办理此类案件，笔者认为主要是提高对电子数据的专业化审查能力。2014 年最高人民法院、最高人民检察院、公安部《关于办理网络犯罪案件适用刑事诉讼程序若干问题的意见》等司法解释和规范性文件，对电子数据的取证与审查作出了原则性规定。电子数据作为一种新证据，应当依照上述规定，严格从证据的客观性、关联性、合法性出发，进行针对性的审查。

数字时代迎面而来，公民个人信息在这个时代被赋予了更高的价值，也有了更广泛的应用空间，因此公民个人信息保护问题，在刑法保护方面还有很大的扩充空间。目前我国对个人信息的刑法保护力度不足，如个人信息范围不明确、法条中情节严重的标准不够准确、认定数量的标准不够统一等。保护个人信息的安全和隐私已经成为一项重要的社会责任。刑法作为维护社会秩序和公正的重要手段，应当积极发挥作用，严厉打击和惩罚违反个人信息保护法律和规定的行为。

参考文献：

[1] 李怀胜：《公民个人信息保护的刑法扩展路径及策略转变》，《江淮论坛》，2020 年第 3 期，第 14-22 页。

作者简介：曹颖皎，1989 年 9 月，女，汉族， 职务第二检察部副主任 学历 大学本科