上海政法学院法律学院，上海

收稿日期：2023年5月22日；录用日期：2023年7月7日；发布日期：2023年7月17日

摘要

我们当今正处于风险社会，每一个人都不是一座孤岛而是联系在一起的整体，是系统的共同命运。数据发展给民众日常生活带来便捷，但是在带来便捷的同时大量的数据应用使得数据保护成为难题。近年来，我国刑法中增设了有关侵犯公民个人信息的规定，而这在一定程度上也体现出风险社会中刑法积极预防与刑罚前置化等特点。随着犯罪圈的扩大，对入罪更要谨慎，应在罪责刑相适应的原则下正确适用侵犯公民个人信息罪，以达积极预防的效果。

关键词

个人信息，侵犯公民个人信息罪，风险社会，风险刑法

Criminal Law Regulation of Personal Data in Risk Society

Jiahua Qu

School of Law, Shanghai University of Political Science and Law, Shanghai

Received: May 22^nd, 2023; accepted: Jul. 7^th, 2023; published: Jul. 17^th, 2023

ABSTRACT

We are now in the risk society, each individual is not an isolated island, but linked together as a whole, is the common fate of the system. Data development brings convenience to people’s daily life, but at the same time, a large number of data applications make data protection a difficult problem. In recent years, China’s criminal law has added provisions on the infringement of personal information of citizens, which embodies the characteristics of positive prevention and pre-penalty in risk society to a certain extent. With the expansion of the criminal circle, it is necessary to be more cautious in convicting criminals and correctly apply the crime of infringing citizens’ personal information under the principle of suiting liability to the crime committed, in order to achieve the effect of proactive prevention.

Keywords:Personal Information, Crime of Infringement of Citizens’ Personal Information, Risk Society, Risk Criminal Law

Copyright © 2023 by author(s) and Hans Publishers Inc.

This work is licensed under the Creative Commons Attribution International License (CC BY 4.0).

http://creativecommons.org/licenses/by/4.0/

1. 引言

风险社会是德国社会科学家乌尔里希·贝克对后现代社会的一种解释，它表明现代社会所具有的一种社会性的危机状态以及这种危机的程度。在贝克看来，传统社会可以概括为“我饿了”而风险社会则可以表达为“我怕了”。现实是理论最好的注脚，新冠疫情的爆发和防控更是证明了我们正深陷全球风险社会之中的事实。对于中国而言，新冠疫情爆发以来之所以很快取得阶段性的胜利，很大程度上得益于网络与数据技术的广泛应用。然而，我们在享受大数据所带来便利的同时，也必然要承担其快速发展背后的代价。我国在疫情防控中海量的使用居民的个人信息，全方位地追踪流动人口的行踪，其本身带来了巨大的风险，最为直接地表现为个人信息泄露和滥用的现象叠出不穷，侵犯公民个人隐私的违法犯罪现象也相当严重。因此如何在风险社会下更好地保护个人信息是一个值得讨论的问题。

2. 大数据时代下个人信息存在隐患

乌尔里希·贝克认为在人类发展史不同阶段的各种社会形态中，其每一个都是危险社会。因为每个具有主体能力的生命个体都可以认识到死亡的威胁。诚然危险本来是同自然界并存的，但只有在近代之后，人类变成了危险的主要生产者，危险的形式与性质这才发生了本质的改变，形成了现代含义的“危险性”和“危险性社会”的雏形。这主要表现在了二方面：一是对风险的“人化”。随着人类社会活动次数与规模的增加，其根据活动产生的判断和随判断做出的行为对自然影响越来越大，风险结构也在跟着改变。其主要表现为由自然风险逐渐转变为以人为主的不定风险。二是风险的制度化和制度化的社会风险。人们既有探索的天性同时又有追求安全的天性，而近代以来一些规章制度的建立为这个矛盾的的同时实现创造了实现条件和制度基础。与市场相关的一系列机制(典型的是股票市场)给冒险活动带来了刺激，现代市场形成的各种机制又给人们的安全带来了保障 [1] 。但不管是风险导向的制度还是安全取向的制度，它本身都产生着另一个危险。即运作系统失效的危险，并由此使危险的“规范化”转变成“规范化”危险 [2] 。对于中国来说，中国的现代化发展进程就像是一块“压缩饼干”，这意味着中国在构建第一现代性(工业社会)的同时已经踏入了第二现代性，现代性社会的分配由财富分配转变为风险分配。例如，公安机关可以利用身份特征比对的人脸识别、DNA比对等抓捕罪犯；企业和家庭则可以利用其指纹识别或声音比对等系统提高安全，企业与有关组织享受数据带来的红利的同时却要用户为之承担信息泄露的风险。风险社会的另一个特征是个体的凸显与独立。个性的解放必然会带来选择，而选择也必然有风险。在如今的大数据时代，个人所面临的信息泄露风险比比皆是。

在大数据时代的今天，数据俨然成为个人信息最具有代表性的载体。一方面，数据作为基础性资源已融入了社会各个环节，正深刻改变着生产方式、生活方式和社会治理方式，逐步成为企业发展中最重要的竞争资源 [3] ；另一方面在数据处理过程中，个人信息泄露或者被滥用的案例不断呈现，形势严峻。据裁判文书网显示2019年全国侵犯公民个人信息罪共2021起，2020年共发生1800起，2021年共发生1152起。除上述构成犯罪的案件外，信息泄露还体现在日常生活的每一处，例如，我们接到的推销电话、刷单短信与骚扰邮件等。2017年暗网“DoubleFlag”非法销售超10亿多条互联网个人用户数据。2018年圆通兜售数亿件交付订单及快递数据，国内首家弹幕视频网站AcFun宣布900万条用户数据失慎泄露；同年七月顺丰快递非法出售3亿用户数据；八月华住旗下酒店入住数据泄露超五亿条；九月份万豪集团信息又惨遭泄露。2019年双十一前后阿里云未经用户同意擅自将几千万条用户注册信息出售给第三方平台公司；就在一个月前知名学习软件学习通因为大量泄露个人隐私数据被冲上热搜，这些信息的泄露不仅打扰生活甚至可能损害名誉，每个人的信息安全在风险社会当中都摇摇欲坠。

《互联网平台竞争与垄断观察报告》中显示最受受访者关注的问题为个别数据分析被滥用、大数据杀熟与过度精确推送等。这反映了消费者对互联网经济中数据使用问题的高度重视，有将近80%的人认为这有可能会导致信息泄露，但又不得不继续使用该网络平台。只有不到三成的受访者对互联网杀熟这一现象持中立及以上态度，超七成持反对意见，其中杀熟情况最为多见的为外卖，旅游等。综上所述，大数据时代下存在的安全问题主要为：1) 个人信息的泄露。在大数据背景下，人们可以随时随地的使用手机或电脑搜索各式信息，对电子设备的依赖程度不断加深。另一方面手机上的app层出不穷，且每个使用之前都要求授权其各种权限。这使用户隐私公然暴漏于应用后台并为一些不法分子利用应用程序的漏洞传播木马等病毒窃取用户信息提供便利，导致个人信息泄露严重。2) 导致信息存储出现问题。在大数据时代，不管是学校、企业还是政府都会利用计算机来收集整理储存数据，形成自己的数据库。例如学校的学生档案，企业里面的公司数据和客户资料等等，一旦不法分子侵入信息存储空间所造成的损害难以估量。

3. 公民个人信息概述与立法现状

对于个人信息的概念学界与实务界多采用列举和说明的方法加说明。二零一八年国家制定的新标准《网络安全技术与个人信息安全技术规范》对个人信息有新的定义¹。可见二零一八年的新标准将把个人信息的范畴继续扩大，新增了反映一定自然人行为状态的个人信息。将账号、通讯记录、个人信征、网上交易和个人行动轨迹等个人的“互联网痕迹”都纳入至个人信息的范畴，而这也在一定程度上迎合了大数据时代信息传播数字化与网络化的新兴态势。从国家标准再到法律法规分析其定义不难看出身份识别性就是个人信息的核心特征。换句话说，也就是不论信息呈现哪种具体形式和表现，如可根据其识别出特定身份，则此信息应属个人信息 [4] 。

目前，学术界和实务界广泛接受个人信息权的法律属性主要有以下五个观点：一是“宪政人权保护说”该理论认定个人信息是一份宪政基础权。二是“人格权益说”该理论认定个人信息是一份人格权益，又具体分成了“普遍人格权益说”和“具体人格权益说”。“普遍人格权益说”主张个人信息权属于普遍人格权益范围，“具体人格权说”主张个人信息权反映了自己的人格利益和民事权利，应该单独视为一个具体化的个性人格权力加以保障。三是“隐私信息权说”该理论主张将个人信息权等同秘密权，其遵循了信息保障的历史发展规律与立法规则，因此可以将个人信息作为隐私权加以保障，此观点为当今世界上大部分发达国家的通行方式。四是“财产说”该理论主张个人信息权利拥有明确的财产特征，属于个人所拥有的一种财产权利，应该被列入新物权的范围内。五是“复合权利说”该理论主张个人信息权利是一项全新的复合型权益，同时具备了人身与财产的双重特征，应该成为全新的民事权利单独立法进行保障。学术界一般认同第五种说法认为其比较充分地表达了个人信息的人与财物的双重特征，并同时提出了个人信息所有权应该作为一个新型的民事权利单独加以权利保障，这样就更有助于保障公众权益，也有助于防范他人实施的信息侵害 [5] 。

在大数据时代如何更好地保护公民的个人信息，我国的法律体系也经历了漫长的发展变革。个人信息作为法律用语，最早出现在规范性法律文件中的时间可追溯到2002年的《深圳经济特区人才市场条例》，其中规定用人单位在雇用活动中，“未经招聘人才本人同意”，不得私自公开其“个人信息”。可以看到，最早出现的个人信息保护情形指向了招聘活动，而这也是当下个人信息保护的重要领域所在。我国在个保法颁布之前，其立法模式主要呈现出以下两大特征：其一是有关个人信息保护的一些原则、规则或机制，散落在不同的规范性法律文件中；其二是地方性立法探索早于且多于中央层面的立法。2003施行的《居民身份证法》是我国首部提及“个人信息”保护的全国人大常委会立法。从国家立法角度来看，最早设定的个人信息保护义务相对人为“公安机关及人民警察”。2009年通过的刑修七首次将个人信息纳入刑事法律保护范畴：增设非法获取公民个人信息罪(《刑法》第253条之一)，也是首次将特定侵犯个人信息的行为认定为犯罪行为。个人信息保护义务相对人扩大至“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，对“出售、非法提供”以及“窃取或其他方式非法获取”等违法行为纳入重点打击范畴。刑修九进一步强化个人信息刑事保护力度，将罪名变更为侵犯公民个人信息罪。同时对个人信息保护义务相对人的表述概括性的调整为“违反国家有关规定”。2017年5月9日，两高又再次颁发了关于侵犯公民个人信息罪新的司法解释，在厘清相关定罪量刑的基础上进一步明确了有关公民个人信息的定义，特别是扩大了公民个人信息刑法保护的范畴。2021年11月1日《个人信息保护法》出台又对个人信息范围做了微调，将“匿名化处理后的信息”剔除在个人信息范围之外，标志着个人信息处理活动将迎来强监管时代。

4. 刑事立法下数据和信息犯罪的规制不足及今后发展方向

风险社会的来临带来了机遇的同时也隐藏着风险。大数据时代下每个人都有可能面临着风险，随着风险的程度不断加剧，意外事件发生的概率也在慢慢增长。大量人为制造的风险渗透于日常生活的方方面面，其中最为典型的为危险驾驶与之造成的交通事故，食品安全及生产安全。而伴随着上个世纪贝克风险社会理论的影响力与日俱增，社会各界开始反思和探求有效的应对策略。而刑法作为维护人民群众生命健康安全，保障社会生活秩序和维系社会安全的部门法，面对大数据的发展和社会的变迁以及社会风险的不断提高，需要做出适时的回应和变化以打击和应对不确定的风险。正是在这样的社会大背景下，风险刑法理论应运而生。正如陈兴良教授所说“风险成为塑造刑法规范和理论的重要力量”。

风险刑法理论对于刑法理论界最重要的意义就在于其体现了刑法本身的巨大弹性，即凸显了刑法体系应变化的趋向 [6] 。风险刑法理论的核心主要有两点：一为风险刑法所保护的法益为超个人法益，超个人法益可以简单地理解为除个人利益之外的法益，亦即国家和社会的利益。刑法中所保护的超个人法益就是指其所保护的是国家和社会的利益 [7] 。风险刑法理论主张要惩罚那些可能给国家和社会造成威胁，给百姓带来恐慌的危险行为，而不要求该危险行为真的造成实际的危害结果。例如本文讨论的个人信息保护罪，刑法条文明确规定，只要非法手段获取个人高度敏感信息超过五十条即可定罪，并没有要求所获取的信息造成实害结果。这也在一定程度上反映出风险刑法具有提前化、早期化等特点。二为风险刑法是倡导预防主义的刑法，风险刑法本身就含有积极预防的理念，倡导对社会上可能发生的各色风险提前预防，积极防控 [8] 。风险刑法中所蕴含的预防在不少学者看来属于一般预防。即通过一系列的立法技术例如设定抽象危险犯和具体危险犯，将预备性的犯罪行为正犯化处理等。其目的就是为了保护社会上不特定的大多数人免受风险的侵害。但是客观来讲风险刑法所表现出的严格犯罪应急性与报复性思想使其预防与制约本身带有巨大风险，这在刑法扩大处罚圈的同时也极易造成刑罚滥用，长此以往可能会在一定程度上削弱刑法人权保障的功能。本文所讨论的个人信息保护法正是风险刑法的一种体现 [9] 。

尽管我国刑法对于居民个人数据和信息的保护已经有了一个较为完整的体系和框架。但透过之前和疫情这个特殊时期居民个人隐私不断被侵犯的情况，不难发现我国刑法对个人数据的保护依然存在一些问题。其一在如今我国的刑法体系下，侵犯公民个人信息罪的入罪门槛过低，法条中对于“违法提供、非法获取个人信息”的行为只规定了“情节严重”即可入罪。那如何对情节严重进行界定？从信息数量上来看，非法提供、获取高度敏感的个人信息超过五十条的即可定罪，但若是在履行职责或提供服务的过程中泄露高度敏感的个人信息只需超过25条即可入罪。足以可见该罪的入罪门槛之低 [10] 。

其二我国刑法关于个人信息保护的规定有些过于严苛，可能“法不责众”是国民心中普遍存在的一种认知。当我国进入互联网时代以后，由于前期行业的野蛮生长，我们的公民个人信息在网络上几乎处于半透明状态，“裸奔”了许多年。在此背景下，网络服务的使用者大多处于“躺平”的心态，对自我信息的保护意识逐渐被消磨殆尽，而网络服务的提供者愈加放肆公然使用居民的个人信息甚至转卖 [11] 。对于企业来说，其众多企业一同不守法的时候就是企业安全的时候。而对于法律从业者来说身处此境无疑是悲哀的。而对因个人信息泄露被次生犯罪侵害的人来说更为可怜。山东省徐玉玉案的惨痛教训至今仍然难以抹去，2016年8月21日，徐某接到诈骗电话被骗走学费，其悲痛欲绝导致心脏骤停不幸离世，导致该惨案的原因就是由于信息泄露而次生的诈骗。在该案件的推动下我国出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。故这部《解释》出台的时机决定了它具有“从严从重”的倾向，从行文上来看也确实如此。但现今回顾这部《解释》某些地方是否经得起推敲呢？《解释》中规定的“非法获取”范围是否过于宽泛，以至于遏制了互联网“互联互通”、解放和发展生产力、推进数字经济发展的功用呢？又或者因为太过于严格，导致执法机关无法做到有刑必依、有案必查，导致了事实上的“法不责众”呢？法律永远是价值的选择、利弊的权衡，刑法要把侵犯公民个人信息管到什么程度，是一个值得探讨的问题。简单来说刑事处罚缺乏有关前置性的法律规定，我们不要忘记除了刑法我们还有行政执法和民事救济。

按照前文的分析，侵公犯罪的犯罪黑数应该是非常之大的。主要原因有二：第一，此类犯罪被害人在受到进一步其他犯罪侵害之前，基本上无感知，所以很少向公安机关报案，因此没有案件来源；第二，如果严格按照目前刑法的规定，无论从入罪标准——涉案公民个人信息的条数亦或获取公民个人信息的方式方法上来看，涉及公民个人信息处理的企业均很容易构成该罪。正是刑法从严的规定以及犯罪黑数，可能导致刑事司法上和行政执法上的两个后果：一是大量的侵犯公民个人信息罪得不到有效查处。如果回头看看，历年“净网行动”以及网信、公安、工信等部门联合执法中披露的互联网企业违法违规收集公民个人信息等问题，是不是都已经符合了刑法中侵犯公民个人信息罪的犯罪构成？ [12] 贝卡利亚认为刑罚的威慑力不在于刑罚的严酷性，而在于其不可避免性。如果现实中大量的同类案件，因为种种原因没有依照刑法查处，立法落空，则可能导致犯罪更加猖獗。二是将严重挤压行政执法的空间。在公民个人信息保护领域，行政执法应当发挥更加重要的作用，也可以发挥重要的作用。因为刑法是社会的底线，针对的是最严重的违法行为——犯罪。带来的后果也很严重，行为人会失去自由、财产甚至生命。一旦企业遇到了刑事处罚，往往是案件办完、企业“玩完”。经济和数字经济的大小主体及整体盘受到影响，最终损害的还是公民、社会和国家的福祉。而行政执法则相对具有灵活性，不至于让企业一击致命。刑法过于扩张的粗疏规制，会让行政执法没有空间。但我们又不得不承认，如果有刑不依，又会带来“以罚代刑、罚酒三杯”的社会质疑。所以，在近些年来行政法规不断织密织严，互联网企业渐入规范、合规后，在公民个人信息保护领域，可以考虑一定程度上的“刑退行进”。多方法律结合在不同方面不同程度上更好地提供保护 [13] 。

5. 结语

在疫情这个本就动荡不安的风险社会，刑法更需要顺应时代的变化，适时地给予反馈，更多地关注和保护个体权益。个人数据的保护是一场拉锯战，但随着近些年传染病防治法，个人信息保护法等相关专门法律的出台，司法环境的不断改善，让我对隐私保护充满了信心。在疫情这个风险社会，任何应急状态都不能成为取消法制，侵犯人权的理由。互联网不是法外之地，但只要我们重视问题，法律与科技并举，就能在刑法层面上更好地保护个人信息。同时我们只有始终维护好广大人民的根本利益，才能在当今这个“风险社会”中走出一条平坦大道。

文章引用

璩嘉骅. 风险社会中个人数据的刑法规制
Criminal Law Regulation of Personal Data in Risk Society[J]. 争议解决, 2023, 09(04): 1459-1464. https://doi.org/10.12677/DS.2023.94198

参考文献