个人数据保护的刑事责任介绍

（一）颁布前置法

公民个人信息集多重价值于一身，主要包括信息的财产利益、信息主体的人格尊严、公共利益以及国家安全等价值，同时相对应的这些价值都需要通过对公民个人信息的有效保护来实现。而且，就犯罪性质的层面而言，我们应当按照罪刑法定原则来对待对个人信息进行侵犯的犯罪行为，即侵犯公民个人信息的犯罪应当是法定犯，违反相应法律法规是侵犯公民个人信息的行为构成该罪的前提。可见，我国在相关前置法缺失、公民个人信息概念、范围界定不明的情况下，制定专门立法已势在必行。

第一，要加快颁布实施《公民个人信息保护法》。事实上，我国政府早在多年前就开始着手制定《公民个人信息保护法》，也于2003年完成了相关的草案。其中共六章72条，包括：第一章内容为总则；第二章内容为政府机关的个人信息处理；第三章内容为其他个人信息处理者的个人信息处理；第四章内容为法律的实施保障与救济；第五章内容为法律责任；第六章内容为附则。然而由于种种原因，全国人大当时并没有将该草案纳入立法规划当中，认为需要进一步研究论证，然后根据实际情况再进行决定。之后，相关的立法议案曾经在人大等会议上被代表们屡次提及。比如在政协会议上，委员李世杰就曾经明确表示对于我国来说制定颁布《个人信息数据保护法》已经十分迫切，国家必须要给予足够的重视；在2008年的两会上，委员何悦的提案就是关于制定《个人数据保护法》的内容，但是这些代表的议案都石沉大海，相应的回应也十分模糊。从整体来看，这是一部完整的个人信息保护法，只是在公民个人信息概念界定方面学界，存在较大争议。所以，笔者认为，我国应借鉴域外成功经验（如日本），解决争议问题后，立刻制定适合于我国国情的《个人数据保护法》。

第二，通过《个人数据保护法》明确界定公民个人信息的概念和范围。侵犯个人信息罪的犯罪对象是“公民的个人信息”，以之为对象的行为是否入罪应由其内涵、外延直接决定。《个人信息保护法》属于专门保护公民个人信息的法律，其中应明确界定公民个人信息的内涵。随着社会发展，个人信息也一直随之进行不断地更新，很难对个人信息作出一劳永逸的固定解释。笔者认为，对于个人信息的概念可以采用并存的两种方式进行界定——即“下定义”与“列举”。对刑法所保护的公民个人信息的性质，通过下定义的方式予以明确，并且通过定义界定其所体现的刑法价值，这种方式既要对信息主体的主观意愿进行考虑，还要考虑社会对该信息的评价；同时，法官能更好地通过开放式的列举，明确所举例子的特征，也能够使个人信息在刑法中规定的概念与社会发展程度相适应，实现自我更新，合乎对刑法形式的弹性要求。

第三，《个人数据保护法》在颁布实施后，在对公民个人信息概念及范围进行明确的同时，还应与民法、行政法等相关前置性规定相衔接。前置性立法的制定需在对公民个人信息保护现状进行深度剖析，在发现并找到解决问题的答案的基础上，与现有前置性规定相结合。这样不仅可以避免法与法之间的“背离”，还有利于我国公民个人信息保护法律体系的建立。

（二）完善“侵犯公民个人信息罪”

1.明确“情节严重”的标准

无论是规定于《刑法修正案（七）》中的“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”，还是《刑法修正案（九）》修改后的关于侵犯公民个人信息罪的罪状，其中对犯罪情节认定都有一个共同的要求，即所谓“情节严重”。仅从语义学角度来说，“严重”一词是一个模糊词语，如果刑法条文不能对其进行明确的解释，势必会在司法实践中导致难以统一界定罪与非罪的结果。笔者认为，判断情节是否严重应当从以下几个方面进行界定：

第一，实施行为的主体。国家机关或单位的工作人员基于其工作的特殊性，经常有接触大量公民个人信息的机会，而往往这些信息直接关系着公民的切身利益，一旦这些特殊主体实施侵犯公民个人信息的犯罪，造成的损害后果将会远胜于其他主体实此施类犯罪，会给公民个人利益造成较大的伤害。因此，笔者认为应当将实施行为的主体是否具有特殊职业身份作为认定是否符合“情节严重”的标准之一。

第二，获取信息的手段。随着社会的不断发展、科技的不断进步，获取公民个人信息的手段也越来越多。纵观司法实践中的众多案例不难发现，有些不法分子获得公民个人信息的手段是通过购买，而有的不法分子为了获得公民个人信息却采用了暴力、威胁、窃取等手段。不法分子采用粗暴的手段获得公民个人信息的行为，不仅侵犯了公民的个人信息权，还会在一定程度上使公民的精神、财产遭受损失。因此，笔者认为应当将获得公民个人信息的手段纳入衡量体系，作为判断“情节严重”与否的标准之一。

第三，非法获取信息的隐私程度。我们发现，为了获得在社会中活动的一些便捷，公民在一些特定时间会自愿通过国家机关或单位将自己的个人信息向社会予以公布，这部分信息的公开符合公民的个人意愿，是为了便于国家对公民实施管理，符合社会公共利益，一般不会给公民个人造成损害。即使不法分子窃取了这部分信息，因为其内容中隐私性较弱，一般不会给公民造成较大损害。相比较而言，每个公民都有一部分不希望被他人所知悉的个人信息，通常还会采取特别的措施将这部分信息保护起来，以免他人获得。如果这部分信息被他人在违背公民个人意愿的情况下加以侵犯，往往会给公民个人造成较为严重的伤害。也就是说，公民个人信息的隐私程度越高，与公民个人的联系程度也就越紧密，一旦这部分信息被他人所侵犯，给公民造成的伤害也就越大。因此，笔者认为应当将“非法获取的信息的隐私程度”作为衡量“情节严重”的标准之一。

第四，实施行为的次数。一般来讲，同一犯罪主体越是多次实施同一种犯罪行为，其主观恶性也就越大。同时，多次的不法侵害也会给国家对公民个人信息的管理秩序造成极为恶劣的影响。因此，笔者认为实施犯罪行为的次数也应当作为衡量“情节严重”的标准之一。同时可以参考我国的现行刑法中对盗窃行为次数的认定，将“多次”评价为2年内实施同一行为3次以上。

第五，公民个人信息的用途。有的人获取他人的个人信息仅仅是为了满足自己的好奇心，在这种用途下，非法获取的个人信息一般由小部分人掌握，扩散范围有限，这种程度的泄露对公民造成的伤害也比较小。另外一些人获得公民个人信息则是出于商业目的，有的甚至是为了实施违法犯罪活动。例如，向获得的公民的手机号码中发送各种广告推销短信，或是利用掌握的公民个人信息实施诈骗、勒索等违法犯罪行为。这种用途一般会导致公民个人信息大面积扩散，甚至给公民造成经济与精神上的双重损害。因此，笔者认为非法获取公民个人信息的用途也应当作为衡量“情节严重”的标准之一。

第六，侵犯行为的获利情况。“信息社会，最贵的就是信息”。现如今，公民个人信息已经可以被不法分子作为商品进行交易以获取利润，或者通过操控个人信息达到某种特殊的目的，从而获得不法分子追逐的利益。由此不难看出，侵犯公民个人信息犯罪具有典型的牟利型犯罪的特点。面对不断升级的巨大利润诱惑，不法分子在通过侵犯公民个人信息以获取利益的积极性也水涨船高，此类犯罪的犯罪率也随之不断增加。因此，在笔者看来，把通过此种犯罪获得的利益多少作为衡量“情节严重”的标准之一应为可行之举。在笔者看来，如能参考比照我国现行法律中有关获利金额的相关规定（盗窃、诈骗等），将侵犯公民个人信息获利2000元以上的认定为情节严重，则较为合理。

总而言之，笔者认为，无论在判断侵犯公民个人信息犯罪的行为是“情节严重”还是“情节特别严重”，“质”都必须是主要的衡量依据，“量”则是一个辅助因素，只有将“质”与“量”有效结合起来，这一入罪标准才能在司法实践中为法官提供公正裁决的参照，从而保障司法的公正性。

2.合理设置法定刑(www.xing528.com)

第一，主刑配置方面，可以依据不同的犯罪主体配置不同的主刑。刑法第253条之1第2款中规定了“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”即立法者对实施侵犯公民个人信息罪的普通人与具有特殊资格和身份的人的量刑进行区别设置，但是笔者认为同为具有特殊资格和身份的人，他们之间也存在差异。具有国家机关工作人员身份的人，其如果实施了侵犯公民个人信息的行为，所造成的危害、侵犯的法益要比提供服务的主体大得多，而在法律规定中却对两种不同身份的人实施的社会危害性不同的行为进行了统一的量刑规定，未能贯彻罪责刑相适应的刑法原则，也未能很好地体现出对公民个人信息进行的区别保护。因此，应该将刑法中的主刑配置再设两个档，对社会危害相对较重的国家机关工作人员和提供服务的特殊人员加以区分，这样才能实现罪刑相适应。

此外，针对侵犯公民个人信息罪法律条文中第1款“违反国家有关规定，将公民个人信息出售给他人的”和第3款中“对个人信息进行窃取或者以违法的手段获取的”设置了一样的法定刑的问题，结合社会危害性与侵犯法益的程度，笔者认为第3款的行为应较第一款的量刑从重。

第二，虽说无限额罚金制普遍在我国刑法条文中予以适用，但笔者认为由于侵犯公民个人信息的行为一般影响范围较大，甚至极易引发其他犯罪，故应对其相关问题均进行明晰，在加大打击力度的同时，为司法实践提供参照，形成一致的惩治合力。笔者结合自身工作实践及侵犯财产类案件的性质，认为本罪的罚金应采取限额罚金制，即对罚金数额的下限和上限进行规定，人民法院裁量时只需要在规定的数额幅度进行选择。例如，刑法第170条规定：“伪造货币的，处三年以上十年以下有期徒刑，并处五万元以上五十万元以下的罚金”，也就是说，犯罪分子获利越多，上缴罚金也应越多。

（三）增设非法利用公民个人信息罪

《刑法修正案（七）》对侵犯公民个人信息犯罪规定了出售、非法提供和非法获取三种行为方式，《刑法修正案（九）》虽然将《刑法修正案（七）》中相关罪名进行了整合，但规定的行为方式仍是出售和非法提供。正如前文所述，现实生活中侵犯公民个人信息的行为五花八门，除了上述三种外，还有其他社会危害性足以入刑的侵害行为同样需要刑事法律加以规制。因此，笔者认为有必要考虑增加侵犯公民个人信息犯罪的行为方式，尤其是将非法使用公民个人信息的行为入刑。2015年“3·15”晚会中曾曝光，中国移动公司、中国联通公司的工作人员利用为客户办理电话卡业务扫描客户身份证信息的便利，以客户的信息为其他人办理开卡业务。那么，一旦卡的“使用者”出现欠费的情况，势必会影响卡的“所有人”的信用情况，甚至会给卡的“所有人”的一系列金融活动带来不良影响。从我国现行法律来看，中国移动公司和中国联通公司员工的这种行为可以被定义为违反合同规定，滥用个人信息的行为，这既不是将公民个人信息进行出售，也不是非法提供他人使用的行为，但其同样具有一定社会危害性，会带来严重的后果，故也应受到刑事处罚。综上，我们可以看出，无论从理论还是实践上，非法利用个人信息罪的设立均有其现实意义。

1.犯罪构成

笔者认为，应该限定非法利用公民个人信息罪的主体。主体应为履行职责时合法取得公民个人信息的人。第一，本罪的主体需要有职务上的便利，即犯罪主体通过工作中的便利获取公民非公开的个人信息。第二，犯罪主体必须是利用合法途径掌握公民个人信息的人，否则便是触犯侵犯公民个人信息罪。第三，本罪的犯罪客体应为简单客体，侵犯的是公民的人格权。非法利用的行为针对的是单一的公民个人信息，对于严重侵害公民个人信息、个人隐私的行为进行预防，对于侵害行为已经造成严重后果的予以刑事制裁。第四，对于本罪而言，主观要件应为故意，但刑法规制范围之内不包含主观目的。换句话来说，凡是具有主观故意的，不论该目的是否已经实现，均不能影响本罪的定罪量刑。第五，本罪的客观要件运用不同的手段和方法对公民个人信息进行非法利用。在公民个人信息的所有者没有允许的情况下，为了自己的私人目的而对公民个人信息进行非法利用的，均构成对公民个人信息的非法利用。具体利用的手段、方法、范围可以包括威胁、挟持、恐吓、冒用等。

2.法定刑的设置

首先，笔者认为，由于非法利用公民个人信息的犯罪主体系特殊主体，即非法利用公民个人信息罪系身份犯。因此，我们除了要考虑自由刑、罚金刑的惩处手段之外，还应适用资格刑来对犯罪人进行惩处，也就是将行为人的部分权利剥夺。就现阶段而言，我国资格刑仅限于对政治权利进行剥夺，其政治性非常强。而对于此罪而言，身份犯所体现的基本特征为借助于自身身份的特殊性，摒弃职业道德而做出触犯法律的事情。如果以禁业等方式来惩罚此类主体，能够有效地防止行为人再次犯罪。所以，笔者认为可以将禁业等措施引入资格刑当中。

其次，我国《刑法》第5条明确规定，刑罚的轻重，应当与犯罪分子所犯罪行和承担的刑事责任相适应。不管配置何种法定刑，都要严格按照罪责刑相适应的原则进行，侵犯公民个人信息类犯罪也不例外。故对于非法利用公民个人信息罪的量刑幅度可以根据非法利用行为对信息主体造成的危害程度来设定。

综上所述，笔者认为应当将非法利用个人信息罪增设到《刑法》条文当中，即第253条之二：“履行职责或提供服务过程中合法取得公民个人信息的人，未经授权而利用他人个人信息的，处二年以下有期徒刑或者拘役，并处或者单处罚金。犯本前款罪的，可以剥夺其相关从业资格和任职资格。本罪，告诉才处理。本法另有规定的，依照规定。”

（四）完善侵犯公民个人信息犯罪的追诉方式

根据《民事诉讼法》《刑事诉讼法》《刑法》等法律规定，为依法惩治拒不执行判决、裁定犯罪，确保能够顺利地执行法院的判决和裁定，使申请执行人的合法权益得到充分的维护，就审理拒不执行判决、裁定刑事案件适用法律若干问题，最高人民法院于2015年7月20日公布了《关于审理拒不执行判决、裁定刑事案件适用法律若干问题的解释》。该《解释》第3条规定部分拒不执行判决、裁定罪案件可采用自诉方式加以追诉。此《解释》自实施以来，在全国掀起了惩治拒执“老赖”的新高潮，不仅维护了司法权威，更切实地震慑了一批被执行人，使部分申请执行人的合法权益得到了实现。这是为解决“执行难”问题出台的新规定，同样也为侵犯公民个人信息犯罪“追诉难”提供了指引。

目前，从各国（地区）的情况来看，主要通过三种不同的方式来追诉侵犯公民个人信息行为的刑事责任。第一种是在英国等国家所采用的公诉方式。英国于1984年出台的《数据保护规定》中明确规定：“除非通过注册会员或检察长或经检察长同意，本法规定的犯罪均不能被提起诉讼。”第二种是在我国台湾地区等所采用的自诉方式。台湾地区于1995年8月11日颁布实施的“计算机处理个人数据保护法”第36条中规定：“本章之罪，须告诉乃论。”第三种是丹麦等国家采取的公诉并辅以自诉的方式。《丹麦刑法》第27章第275条规定：“上述犯罪应当以自诉形式提起诉讼，但若依被害人之请求，可以提起诉讼”。根据我国《刑事诉讼法》第204条规定，自诉案件主要包括：告诉才处理的案件，如侮辱、诽谤案（《刑法》第246条）、暴力干涉婚姻自由案（《刑法》第257条）、虐待案（《刑法》第260条第1款）、侵占罪（《刑法》第270条）等；被害人有证据证明的轻微刑事案件，即犯罪事实、情节较为轻微，可能判处3年以下有期徒刑以及拘役、管制等较轻刑罚的案件，如故意伤害之轻伤案（《刑法》第234条第1款）、非法侵入住宅案（《刑法》第245条）、侵犯通信自由案（《刑法》第252条）、重婚案（《刑法》第258条）、遗弃案（《刑法》第261条）等；被害人有证据证明对被告人侵犯自己人身、财产权利的行为应当依法追究刑事责任，而公安机关或者人民检察院不予追究被告人刑事责任的案件。

从上述自诉案件中我们不难发现，它们一般受侵害的情况或具有私密性或较为轻微，而从本质上来说，对于公民个人而言侵犯利用个人信息案同上述案件一样，均具有私密性和轻微性的特点，即侵犯公民个人信息犯罪符合自诉的条件，将自诉追诉方式纳入侵犯公民个人信息犯罪的相关规定当中存在合理性。此外，行为人在侵犯个人信息的同时，也很可能会涉及侵犯社会秩序甚至损害到国家利益、社会公众利益。所以，笔者认为，一方面应把自诉作为对侵犯公民个人信息的犯罪进行追诉的主要方式；另一方面，当侵犯公民个人信息的行为对社会公众利益、国家利益造成了严重危害的情况的，也应采用公诉的形式对其予以追诉。这种以公民自诉为主，并辅以公诉的追诉方式是完全符合刑法谦抑性的要求的，而且可以极大程度上节约司法资源。换个层面来看，被害人也可以参与到自诉追诉方式的过程中，这从某种意义上来说能够使社会矛盾得到及时地化解，在一定程度上也能够起到维护社会稳定、促进社会和谐的积极作用。