前言

进入信息社会后，个人信息犹如“石油般珍贵”，利益驱动个人信息犯罪呈现出新的特征。非法获取、贩卖个人信息的行为成为以收集、清洗整合、出售、非法利用为内容的网络黑色产业链的源头。信息数据犯罪的链条化与集群化造成的危害已经呈现出公共性特征，其背后侵犯的法益已经突破“个人”的范畴，延展至公共利益以及国家安全层面。[1]刑法为了回应越发猖獗的个人信息犯罪也采取积极的立法与司法举措。从《刑法修正案（七）》到《刑法修正案（十一）》以及一系列的司法解释，立法者及司法者的努力对于规制个人信息犯罪起到了一定的效果，但也存在一定的问题。信息数据是流通于互联网物理层基础上的无形资源。所谓信息数据，可以分解为信息和数据两个基本术语。从本源意义来说，信息是所有事物的存在方式和运动状态的反映，数据则是记录或表示信息的形式之一；而在互联网环境下，网络信息成为电子数据加工的结果，而数据成为网络信息内容的载体，信息与数据几乎成为一体两面的同等范畴[2]（比如，在互联网语境下，“个人数据”与“个人信息”的含义基本一致），因此，可以将“信息”和“数据”并称，共同指代网络技术架构中与物理层的通信系统相对应的内容层客体。

网络数据海量增长，使得网络社会发展进入以信息数据为核心的时代，正如《大数据时代》一书中所述：“随着世界开始迈向大数据时代，社会也将经历类似的地壳运动。在改变我们许多基本的生活和思考方式的同时，大数据早已在推动我们去重新考虑最基本的准则，包括怎样鼓励其增长以及怎样遏制其潜在威胁。”[3]实际上，在当今社会，信息数据已经由一种简单的交流手段演变为一种无形资源，与物质、能源、材料等有形资源并列，其实际作用甚至超过了传统的资源。对信息数据的开发、利用和管理对于网络社会的进一步发展意义重大。[4]因此，面对爆发式增长的信息数据资源，如何进行有效的利用，如何对其进行可靠的管理，如何使网络数据成为推动社会发展和维护公共安全的积极力量，成为全社会的普遍需求，是国家探索信息治理的主要任务。

近年来国家明显加快了个人信息保护的立法进程。在现行的法律法规中，对个人信息保护的政府职责的规定大多集中在以下两类：（1）针对政府掌握的个人信息或在履行职务掌握个人信息时，对政府职责的要求是对知悉或掌握的个人信息“应当依法保密”，如《网络安全法》第45条规定：“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供。”《全国人民代表大会常务委员会关于加强网络信息保护的决定》中还进一步要求“不得泄露、篡改、毁损，不得出售或者非法向他人提供”，这可以概括为“合理利用”的职责。（2）针对其他掌握或知悉个人信息的主体进行监管时，政府应当承担的职责往往以惩处侵权行为为主，如《消费者权益保护法》中规定对“侵害消费者个人信息依法得到保护的权利”的行为，可以“由工商行政管理部门[5]或者其他有关行政部门责令改正”，并处以警告、没收违法所得、罚款的处罚。当然，这一职责不仅适用于政府对公司、企业等主体在经营过程中侵害个人信息的行为所作的处罚，也适用于政府对公权力机关内部履职过程中侵害个人信息的行为所作的处罚，如《公共图书馆法》中规定对“出售或者以其他方式非法向他人提供读者的个人信息、借阅信息以及其他可能涉及读者隐私的信息”的行为，应当“由文化主管部门责令改正，没收违法所得”。在满足信息数据的有序流动需求的过程中，政府作为信息数据掌握者和监管者的双重身份，决定了其职权设定可以概括为以“自律”为核心的自我约束和以“律他”为核心的对外监管两方面。一方面，信息数据作为一种社会公共资源，与国家安全、公共秩序的联系十分密切。尤其是在网络社会中，信息虽然具有私人属性，但常常以“大数据”的集合形式出现，以网络个人信息为例，如果某个数据涉及成千上万人的个人信息，这一数据就有可能成为公共利益的载体，此时就需要公权力机关直接参与个人信息利用和监管。[6]而政府出于对行政效率的追求可能会产生侵害个人信息权利的风险，因此，需要加强国家利用信息数据权力的“自律”。另一方面，国家作为公共服务提供者和监管者，在社会秩序的维护、公共利益的优化等方面居于主导地位，因此，在信息安全方面不断完善规范、健全制度，对公权力机关的工作人员侵犯信息权利的行为进行处罚、对滥用数据资源的活动加以限制，也是履行公共职能的应有之义。总之，国家需要将“自律”与“律他”相结合，才能实现信息治理目标、满足信息流动的需求。

在网络社会中，个人信息虽然不必然表现为电子数据，也不一定在网络上传播，但对于普通人而言，网络上的个人信息权利遭受侵犯的危险最大，受到的保护较少；并且，随着“大数据”技术的兴起，个人信息将越来越多地通过互联网以海量的电子数据呈现出来。因此，在预见的将来，网络上的个人信息在重要性和数量规模上都将成为法律关注的主要对象，对网络个人信息的保护也将成为个人信息保护体系的核心。我国最早在法律层面上对个人信息保护的规定，可以追溯至2003年颁布的《居民身份证法》第6条第3款：“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。”这既是我国立法上对个人信息权利的初次确认，也是规定政府的个人信息保护职责的雏形。此后，个人信息开始以更加丰富的面貌出现在我国的法律体系中。首先，在刑事立法上，1979年《刑法》与1997年《刑法》中均未直接、明确地规定专门的罪刑条文对个人信息进行保护。2005年的《刑法修正案（五）》增设了窃取、收买、非法提供信用卡信息罪，之后2009年的《刑法修正案（七）》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪这两种侵犯公民个人信息的犯罪，开始以刑法手段对普通的公民个人信息予以保护。之后2015年的《刑法修正案（九）》将上述条文修改为包容性更强的侵犯公民个人信息罪。可见，针对危害大、影响广、利用网络技术实施的侵犯个人信息的行为，刑法已经有所作为，刑事实体法对个人信息的保护经历了从无到有、不断扩大范围、扩充内容的过程。其次，在民事立法上，尽管过去的《民法通则》《侵权责任法》等民事基本法中对人格权和隐私权的确认在实际上能够起到保护个人信息的功能[7]，但直接、明确地将个人信息作为保护客体纳入法律规定则出现在2013年10月的《消费者权益保护法》的修正案。该修正案规定：“消费者在购买、使用商品和接受服务时……享有个人信息依法得到保护的权利。”这一规定使得个人信息权在形式上首次作为一种相对独立的私权得到我国民事立法的明文认可。很快，这一规定在2017年颁布的《民法总则》中得到延续，该法第111条的规定把个人信息作为民法的保护客体，对自然人的个人信息利益用个人信息权的形式加以保护，从而使个人信息的私法保护由消费者权益这一特殊语境拓展到整个私法领域，成为体现我国民事立法时代特征的重要一环。[8]最后，在个人信息独立立法上，主张制定《个人信息保护法》的呼声也日益高涨。从2007年开始至今，除了2009年之外，每年都有人大代表提出关于制定《个人信息保护法》的议案，且相应的提案数量从2007年第十届全国人民代表大会第五次会议主席团交付审议的3件[9]上升到2017年第十二届全国人民代表大会第五次会议主席团交付审议的12件[10]。2006年，周汉华教授受原国务院信息化办公室委托起草的《中华人民共和国个人信息保护法（专家建议稿）》便已出版，2008年《十一届全国人大常委会立法规划》也将个人信息保护方面的法律列入深入研究论证的立法项目[11]。可见，尽管个人信息保护独立立法的现实进程延宕至今，但立法倡议和探索从未停止，2012年12月《全国人民代表大会常务委员会关于加强网络信息保护的决定》以及2016年《网络安全法》中关于网络个人信息保护的内容，可以视为对个人信息问题进行正式立法的铺垫。尤其是随着数字经济时代的快速发展，大数据技术将数据的规模处理与价值属性联结在一起，使流转、存储个人信息迸发出巨大的利益，经济发展和社会管理都对个人信息的利用提出了新的要求。但个人信息的处理也引发了新的安全风险，更多新类型的互联网犯罪以及更多的个人信息安全问题浮现，信息社会所带来的机会和风险时时在向传统的法律制度提出新的挑战[12]，面对日益猖獗的个人信息犯罪，刑法必须有所回应，同时又应当为大数据背景下的个人信息应用和价值发挥提供正当化边界，实现个人信息保护与个人信息应用、公共利益保护与个人利益保护的平衡。

从整体上讲，侵犯公民个人信息罪的增设与修正，以及司法解释对个人信息保护范围的不断明确和扩张，不断彰显出刑法对于个人信息保护的力度。梳理个人信息的刑法保护历程可以发现，自1997年《刑法》以来，个人信息多是以附属于其他法益受到刑法的保护，这恰恰是个人信息多元化属性下刑法评价模式的体现。在权利属性上，个人信息同时具有人格权属性、财产属性、数据属性、信息安全属性、公共属性等“信息复合属性”；在权利外延上，个人信息同时涵盖信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘等权利类型。因此，刑法对个人信息的保护，应当将数据属性、信息安全属性等剥离出个人信息之外，在个人利益与公共利益平衡的基础上，确立侵犯公民个人信息犯罪的豁免事由，实现个人信息合法应用与保护的刑法兼顾。

[1] 皮勇、王肃之：《大数据环境下侵犯个人信息犯罪的法益和危害行为问题》，载《海南大学学报（人文社会科学版）》2017年第5期，第115页。

[2] 叶继元、陈铭、谢欢、华薇娜：《数据与信息之间逻辑关系的探讨——兼及DIKW概念链模式》，载《中国图书馆学报》2017年第3期。

[3] ［英］维克托·迈尔-舍恩伯格：《大数据时代：生活、工作与思维的大变革》，周涛译，浙江人民出版社2012年版，第221页。

[4] 齐爱民：《个人信息保护法研究》，载《河北法学》2008年第4期。

[5] 现为市场监督管理部门。

[6] 王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。

[7] 刘德良：《个人信息保护与中国立法的选择》，载陈海帆、赵国强主编：《个人资料的法律保护：放眼中国内地、香港、澳门及台湾》，社会科学文献出版社2014年版，第31—32页。

[8] 杨立新：《从民法通则到民法总则：中国当代民法的历史性跨越》，载《中国社会科学》2018年第2期。

[9] 《全国人大法律委员会关于第十届全国人民代表大会第五次会议主席团交付审议的代表提出的议案审议结果的报告》，载《人大公报》2008年第1期。

[10] 《全国人大法律委员会关于第十二届全国人民代表大会第五次会议主席团交付审议的代表提出的议案审议结果的报告》，载《人大公报》2018年第1期。

[11] 《十一届全国人大常委会立法规划》，载《人大公报》2008年第32期。

[12] ［德］乌尔里希·齐白：《全球风险社会与信息社会中的刑法》，周遵友、江溯等译，中国法制出版社2012年版，第273页。