Abstract
Frequent data and applications have become a hot topic in information communication. Although big data provides convenience for social management, the unencrypted sharing and re-analysis of data also bring about the problem of personal information leakage, thus infringing the citizens' personal information rights. In addition, there are many deficiencies in China's laws on the protection of personal information, such as unclear provisions in the current law, lack of special legislation, poor legal operability, weak awareness of citizens' self-protection, etc. The main factor is the protection of personal information. Taking the case of xu yuyu as an example, this paper attempts to discuss the protection of citizens' personal information in criminal law from a theoretical perspective through case analysis and focus of controversy. According to the reserved characteristics, we should improve the protection of foreign laws by protecting the privacy of domestic development and experience, and clarify the issue of personal privacy. Result At the core of all texts, legislation must conscientiously carry out ultra vires acts, personal information has committed crimes. on the other hand, should be considered "rights" and "free flow" between harmony and balance, strictly abide by the principle of minimal intervention of criminal law and adhere to reasonably control the crime circle cautious stance, applicable law, the right to do the punishment, punishment of adaptation. In short, in the process of building the criminal law protection system for personal information, it is necessary to combine it with economic and social development, accelerate the progress of special legislation on information protection, and build a more rigorous and feasible legal system on information protection.
Keywords big data era; Personal information; Crime of infringing on citizens'personal information; criminal norm
一、基本案例
(一)案情介绍
徐玉玉,女性,死前身体健康,没有重大疾病,也没有遗传疾病家族史,但是她的家庭经济状况非常困难。6月19日下午,她接到的一通电话中,一名陌生男子声称自己是教育部的雇员,告知徐玉玉获得了2600元的助学金。在此之前,徐玉玉还接到了山东省教育厅助学金通知的真实电话。在电话中,工作人员骗徐玉玉说:需要办理程序完成补助金支付,由于之前消息的真实性,徐玉玉和家人对此要求没有疑问。挂断电话后,徐玉玉将家庭筹集的9900元学费全部转入对方提供的账户,但在这之后,所谓教育局的联系信息就不能再拨通了。徐玉玉一家意识到他们可能被骗了,徐玉玉随即在家人的陪同下向当地警局报案,在返家路上,徐玉玉突然晕倒。尽管徐玉玉立即被送往医院,经过长时间的抢救,她还是去世了。这起利用个人信息精准诈骗而导致被害人死亡的案件迅速引起了公众广泛关注。2016年8月27日,郑贤聪向警方自首,到目前为止,所有涉案嫌疑人都已经到庭。据陈文辉等人的供述,他和杜天宇通过QQ联系,从其处购买了徐玉玉等超过10万条山东考生的信息。
临沂市中级人民法院于2017年7月一审公开宣判此案,主犯陈文辉因触犯诈骗罪、非法获取公民个人信息罪被判无期徒刑、没收个人全部财产,其余六名被告被判处3至15年有期徒刑和10万元至60万元罚款,并责令赔偿受害者损失。[]7月31日,三名被告人上诉。其后山东省高院委托临沂市中级人民院对“徐玉玉”案主犯陈文辉、黄锦春、陈宝生等人的上诉宣判并送法二审刑事裁定书,裁定驳回上诉、维持原判。
(二)争议焦点
经过两次庭审后,徐玉玉案在司法程序上已经结束。但社会公众对此的关注度却没有减少,纷纷在网络媒体上发表自己的看法。简要来说,关注点主要是以下三方面:
1、陈文辉是否构成侵犯公民个人信息罪
对于此问题,主要是两种观点:赞同的人认为,根据法条规定,任何通过非法手段获取5000多条公民个人信息的人都构成此罪。而本案中陈文辉非法购买10万多条考生信息,并造成了严重后果,构成侵犯个人信息罪。
反对的人认为,陈文辉的犯罪行为可以分解为两部分,购买行为是获取公民个人信息的手段行为,其后通过拨打电话的方式来骗取受害者的财产的行为是目的。因此行为人行为符合两项指控,前后行为存在关联,有很强的并发性,属于牵连犯,应择一重罪论处。此时,陈文辉的犯罪行为只应构成诈骗罪。
2、山东省教育招生考试院是否构成侵犯公民个人信息罪
社会公众和专家学者围绕此问题主要有两种声音:认同的人认为,山东教育招生管理机构在获得徐玉玉等考生的个人信息后,未能采取有效措施维护这些信息,导致网络黑客窃取信息,从而侵犯了徐玉玉的个人信息权利,违背了他们的社会责任。因此,应以侵犯公民个人信息的行为定罪,并惩罚相关人员。
反对的人认为,该罪的犯罪构成主观方面规定为故意。通过办案机关的案件调查结论可知,在杜天宇利用木马程序攻破山东教育招生考试院的系统获取考生信息的过程中,山东省教育招生考试院并未提供帮助或故意泄露信息,发生信息被盗事件,山东省教育招生考试院也是受害者。在整个案子中,招生机构无主观恶性和客观积极行为,因此不能定以此罪。
3、陈文辉量刑是否过重
对于此问题,主要有两种观点:认为处罚太重的人认为,陈文辉在本案中有自首,且诈骗金额不大,只有9900元,因此量刑过重。
认为处罚适当的人认为,在本案中,法院的判罚是合理合法的。第一,虽然陈文辉主动投案,但在法庭审判中,他并未供出所有的犯罪事实,还故意隐瞒,加之他是案件的主犯,没有供出其他成员的犯罪行为,最终并不能构成自首的从轻情节。第二,在具体案件中应具体分析,本案被害人家庭贫困。即使9900元这个数字,对许多家庭来说都不值得一提,但对徐玉玉家庭来说,这无疑是一笔巨款,且最终导致了徐玉玉的死亡。因此,陈文辉在此案中侵犯公民个人信息的犯罪行为应受到重罚,不存在量刑过当的情形。
二、该案争议焦点的刑法理论分析
(一)陈文辉是否构成侵犯公民个人信息
1、侵犯公民个人信息罪概述
我国刑法规定侵犯公民个人信息罪是为了保护公民对自我信息的支配和控制权益不受非法侵犯。在司法实践中,如何正确认定该罪中个人信息的具体内容是普遍难题。在学术界,个人信息的已有内涵定义主要是三种:即“关联说”、“隐私说”和“身份说”。持关联说的人认为,公民个人信息是指与个人有关联的所有信息,包括个人身心、社会地位和所有其他事项的事实、判断和评价,具体包括两部分:个人生活和个人尊严,以及参与各种社会组织活动和其他与个人相关的公共生活的个人信息;赞同隐私说的人认为,个人信息是指绝大多数人不愿意向外界透露的信息,此时,个人信息几乎与个人隐私内容相同;身份说是我国的主流观点,即认为个人信息是指通过这一信息单独或与其他信息进行比较就可以识别特定主体的信息要素,如:姓名、家庭地址、出生日期、证件号码、个人照片等。[]
在几种对个人信息的定义解读中,笔者认为以“身份说”作为认定本罪客体内容的标准,相较于关联说和隐私说,更具有全面性和合理性。关联说的判断关键在于此信息是否与个人相关,这常导致个人信息内容无法确定,使得法律规定在司法实践中难以运用。隐私说偏重于信息的隐私属性,判断是否属于隐私信息时,不同的人对同性质的信息的隐私程度看法不同,在司法实践中有主观归罪的嫌疑,不应成为一个通用的标准。但身份说把注意力放在信息主体本身,判断时通过一般认知来对应主体和信息内容。这一标准有助于司法实践中打击侵犯公民个人信息的犯罪时更准确地识别其是否属于个人信息,做到入罪有据。综上,笔者认为侵犯公民个人信息罪中的个人信息内容是能够对应公民个人的特定信息,但又不应有明确的界限,个人信息在标准下有其自由裁量空间,更有利于在司法实践中把握保护公民个人信息权利的尺度。
2、侵犯公民个人信息罪的构成要件
犯罪主体,侵犯公民个人信息罪的主体为一般主体,即犯罪时年满16周岁、具有刑事责任能力的自然人均可以构成本罪,单位也可以构成本罪,犯罪主体是定罪的必备条件和量刑的重要考虑因素。[]在定罪环节中,我们首先关注的是行为主体是否符合罪名的犯罪构成主体规定,本案陈文辉年满十六周岁,具备刑事责任能力,符合本罪构成主体要求。
主观方面,侵犯公民个人信息罪要求行为人在犯罪时具有犯罪故意,也就是说,即使行为人知道自己的行为将会侵犯他人个人信息权,他仍然追求或放任侵害结果的发生。[]根据现行法律,因疏忽而侵犯公民个人信息权利的行为不被认为是犯罪。在认定故意时,动机不影响犯罪的成立,只需假设行为者在客观情况下意识到这一点,行为者没有必要清楚和准确地了解其行为的具体性质和犯罪结果,更不用说行为者是否清楚地知道其行为违反了国家的相关规定。
犯罪客体,侵犯公民个人信息罪保护个人对自我信息的自由支配和安全使用的权利。在信息化社会急速发展的当下,信息安全问题受到高度重视,法律规定也随之改变,本罪保护的客体对象不再限于国家机关或者电信、教育、医疗等单位在履行职责或者提供服务过程中合法获得的公民个人信息的保护问题,而是指一切公民个人信息的安全与自由。[]
客观方面,侵犯公民个人信息罪的客观行为表现为违反国家有关规定,向他人出售或者提供公民个人信息,或者窃取或者以其他方法非法获取公民个人信息,情节严重的行为。 “违反国家有关规定”是指违反国家法律、法规中关于公民个人信息的规定;出售是指以获得商业对价或经济收益为目的,将自己掌握的信息卖给他人,具体应该是非法出售。[]关于“以其他非法方法”的范围问题,应该是指“窃取”以外的方法,但又应与本条规定的行为的性质和社会危害性相当,如非法存储、非法持有公民个人信息,而不可把“以其他方法”作为无法认定具体方式是否属于此处所说非法侵犯行为时的兜底规定,刑法便失去了它的可预测性,极可能造成随意出入罪。
3、陈文辉构成侵犯个人信息罪
本案发生于2016年8月,陈文辉1994年出生,案发时被告人已满16周岁,具备刑事责任能力,符合侵犯个人信息罪犯罪主体的法律规定。
从案件调查结论中可知,陈文辉向黑客杜天宇购买了大量考生信息后,据此他了解到徐玉玉有贫困助学金的事实,对接下来实施的诈骗犯罪行为有清晰的逻辑,他在电话中自称是教育局的工作人员,以此取得徐玉玉的信任,实现自己的犯罪目标。通过案件证据和被告人供述,也可以得出,陈文辉是有意识的购买并利用徐玉玉的个人信息进行了该起诈骗犯罪活动,并从中获利,符合该罪的主观方面规定。
陈文辉没有管理控制公民个人信息的资格和权力,当陈文辉收到徐玉玉等考生个人信息那一刻,他已经侵犯了他人的信息安全,符合该罪的客体规定。
陈文辉在犯罪中的购买行为应解释为法律规定所说的“以其他方法”非法获取个人信息的行为,同时符合司法解释中对“以其他方法”的外延和内涵的定义,即是说规定中的非法获取不是直接说手段不合法,其真实含义应该解释成行为人在没有法律法规授权或者管理主体资格时获取。所以通过购买获取被害人信息,行为人没有合法的资格获取,这样的购买行为符合“以其他方法”非法获取符合,最终导致了被害人死亡的严重后果,属于本罪的客观表现行为之一。综合前文所述,陈文辉的行为符合本罪犯罪构成,成立侵犯个人信息罪。
(二)山东省教育考试院是否构成侵犯公民个人信息罪
1、侵犯公民个人信息罪中主观方面
如前文所述,侵犯个人信息罪的主观方面要求是故意。但在本罪当中,关于具体应该是直接故意还是间接故意也是众说纷纭,其中赵秉志教授认为:侵犯公民个人信息罪的主观要件为直接故意。[]而法官周海洋则认为:侵犯公民个人信息罪中的故意是指行为人在进行犯罪行为时,明知必然会产生犯罪结果却希望、放任结果的发生,即直接故意与间接故意。[]在法律适用过程中,认定行为人是否构成该罪需要严格遵守现有法律规定,判断行为时的主观状态,严谨出入罪。
2、山东省教育考试院不构成本罪
本案,山东省教育考试院出于教学工作需要,有资格收集管理考生的个人信息。通过公安调查得知,杜天宇是发现该教学管理系统存在漏洞后上传了病毒,以此从山东2016年高考信息系统拷贝了60多万条高考考生信息。在这整个信息盗窃过程中,教育考试院没有主动泄露或放任合作的行为,也就不能说考试院故意泄露了考生信息,对于该事件的发生考试院方面只存在疏忽,客观上不能说是考试院侵犯考生个人信息。
综上,山东省教育考试院基于主观是过失而非故意,并不符合本罪的犯罪构成规定,客观上教育考试院也没有侵犯考生个人信息的积极举动,因此本案中山东教育考试院不构成侵犯公民个人信息罪。
(三)陈文辉量刑是否过重问题
1、侵犯公民个人信息罪的量刑情节
我国刑法在侵犯公民个人信息罪的量刑方面规定了以犯罪情节轻重划分档次的法定刑幅度,所以客观的犯罪情节是本罪量刑时的重点。而情节严重在刑法语义只中往往是一种笼统性的表达,在具体案件中会难以具体界定刑罚档次。司法解释对“情节严重”、“情节特别严重”的认定标准做了相关规定,其中造成被害人死亡、重伤等严重后果或获取个人信息数量巨大属于情节特别严重的情形。除了上述出现在侵犯公民个人信息罪法条中的量刑情节,在量刑方面还要特别注意到自首。行为人是否符合自首对量刑有重要影响,一般自首是要求犯罪行为人主动投案并如实供述自己的犯罪事实。
2、陈文辉量刑适当
纵观本案存在的可能影响量刑的情节主要是两点,一是徐玉玉的死亡是否归结于陈文辉的犯罪行为而构成情节特别严重;二是陈文辉主动投案是否要被认定自首。对于第一个问题,综合全案的调查结果,徐玉玉生前健康,可以确定徐玉玉的死亡是由内心压抑,无助奔溃等异常心理因素造成的,属于受骗后可能产生的心理活动,需要把被害人的死亡归结于诈骗行为。进一步在司法解释规定中,造成被害人死亡属于此罪规定“情节特别严重”的情形;在数量上,陈文辉购买了10万多条个人信息,也应适用“情节特别严重”的量刑档次。故应从重处罚。
对于第二个问题,法院在判决中对辩护人提出陈文辉自首的辩护意见未予以采纳。因为在共同犯罪案件中,主犯除了要供述自己的犯罪事实,还应当供述出所知同案犯的共同犯罪事实,才能被认定为有自首情节。[]本案中,陈文辉虽是主动投案,但只供述了自己的部分犯罪事实,同时陈文辉作为该案主犯,只供述了部分同案犯身份,未供述他们共同实施的购买个人信息犯罪、诈骗犯罪事实。依法不能认定自首,故不应当从轻处罚。
综上两点,笔者认为,陈文辉的最终量刑符合我国关于侵犯公民个人信息罪的规定,在正确的法定刑幅度内,量刑适当。
三、本案件对我国现有法律的启示
(一)扩大我国公民个人信息保护的范围
1、借鉴国外相关规定
个人信息立法首先在德国出现,德国对个人信息安全的重视并非被动,在网络还未普及的年代,德国就颁布了保护公民个人信息的《数据保护法》,这是世界最早在立法层面开始重视信息保护的国家。此后,德国在个人信息管理与保护方面不断探索,不断更新个人信息的内涵,把越来越多能识别个人身份的信息都纳入到个人信息保护法令中,在个人信息的收集、使用方面作了越来越严格的规定。美国对待个人信息偏重于信息的利用,通过创建第三方安全管理平台,把个人信息储存在平台内,在社会生活与日常交易中,由平台与其他主体交换信息,降低了个人信息被非法收集和买卖的风险,同时从法律层面严格管理个人信息的收集处理。日本是通过制定更详细的法令来防止个人信息泄露,其规定企业应该采取有效措施防止信息外泄,企业得到了法律的约束的同时,信息便减少了泄露风险。
在个人信息保护立法的探索过程当中,各国对个人信息的内容定义却是不尽相同,并不是所有国家都采用同一内涵的规定方式。我们认为,不论是德国模式还是美国模式,都应有可采的规定,法律规定不仅和经济政治相关,更受到各自的价值观的影响。对于我们,信息保护立法起步较晚,在立法时借鉴两种模式的长处并结合我国的发展和需要是合理的。在个人信息保护的制度建设,特别是概念范围上,我们应当从已有的良好经验中预测可能发生的情况,在立法时要充分体现法律的前瞻性,从方方面面做好制度建设,适应中国现实与长远的需要。[]
2、确定我国侵犯公民个人信息罪保护对象
在历史阶段中,我国公民个人信息的保护范围大致经历了三个阶段:首先在没有规定侵犯个人信息犯罪前。此时信息交流主要是靠传统的方式,公民个人信息被侵害的可能性较低,表现形式也较单一,因此当时主要考虑国家信息、商业信息的保护;其次是随着互联网的普及,信息变得日益重要,个人信息此时会被用来实施犯罪,给被害人带来了各种伤害,因此,在《刑法修正案七》中,对信息保护范围做了针对性调整,但也仅限于特殊主体在职务中获取的信息;最后是在《刑法修正案九》中,信息保护范围随着认识进一步扩大,此时的公民个人信息即是指根据“识别理论”所确定的个人信息,进一步扩大了公民个人信息的范围。在今天,信息犯罪案件频频发生,个人信息安全难以保证,我们应该进一步扩大细化受保护的个人信息范围,把它们纳入客体范畴内。
笔者认为,本罪的保护对象具体内容应采用肯定式和否定式结合的方法来规定,一方面列明:姓名、出生日期、证件号码、履历、婚姻、健康状况等常见的个人信息,另一方面否定与公民个人人身、财产无关的个人信息。随着社会的变革,无法完全认识个人信息的内容,采取反面否定的方法可以最大限度的确保应保护的个人信息在罪名客体中,更有利于打击各种侵犯个人信息的犯罪行为,使个人信息保护法律适用在日益变化的环境中更具有可行性。
(二)制定个人信息权保护的专门法律
随着信息商业化程度的提高,公民个人信息权益正面临着严重的威胁,实质权益受到了各种侵犯,侵犯个人信息的手段也变得越来越多样和隐蔽。而此前我国在个人信息保护方面的立法散见于各个部门法中,缺乏清晰明确的法律体系设计。为了司法实践中更好的打击犯罪,保护信息权益,在个人信息立法环节需要统筹规划。在具体制定过程中,必须对个人信息权的客体范围、信息侵权的责任、个人信息权利的救济途径、侵权后的赔偿方式等一系列问题进行详细规定。只有制定一部尽可能全面的个人信息保护的专门性法律,才能更好的保护个人信息。
制订信息安全统一法,信息安全是保护的重点之一,目前我们应整合法律资源和立法需求,在总结现有网络安全立法的基础上,加强信息安全统一法的立法基础性工作,根据当前情况,尽快出台集行政、民事和刑事处罚规则于一体的信息安全统一法,信息安全统一法要体现管理与发展并重的原则,充分考虑规范实现的可能性,强化执法责任追究,从而保证该法具有较高程度的科学性和预见性 。[]
总之,我国对个人信息权益的保护立法应该在借鉴现有域内外经验的基础上,抓住个人信息内涵随社会发展变化的特征。同时厘清与个人隐私权的共同与区别,虽然个人信息权被纳入了人格权,但应该将二者通过个人信息保护法整合起来,形成一条保护个人信息权利的中国特色道路。
(三)完善现有关于公民个人信息法律救济制定
首先,在行政系统内设立专门负责个人信息保护的部门,划出专门的管理权力,具备实体部门才能在实务中直观反映出信息主体的权利与义务。同时,专门的部门内部形成的规则亦是维权的依据的一部分,这使得在司法实践中操作时有更多的可援引依据,更好的维护了信息主体的信息权益。在行政结构内若没有专门的个人信息部门存在,零散在各部门的信息保护权利和义务会使信息保护的预防和救济花费更多预算,而在经济交往中,市场主体往往没有切实依据做出具体规划提前防范,只得在交易过程中紧急补救,这时候效率的低下,会影响到经济健康持续发展。[]
其次,在侵犯个人信息的责任承担方面要整合侵犯个人信息行为的现有责任形式,合理范围内建立新的责任形式,包括刑事责任、民事责任和行政责任,以求构成合理有序的惩处机制。在现有罪刑的基础上,根据犯罪情节、犯罪后果的严重程度,设定刑罚年限和罚金数额。在保证刑法谦抑性的前提下,做到罪刑适应。民事责任方面,由于侵权行为的严重程度可能构不到刑事犯罪,但也应该在民事责任方面要求他们赔偿被害人的损害。行政责任方面,是为了防范有权机关及工作人员在收集、管理、使用个人信息时由于疏忽导致公民个人信息泄露的行为。此时,我们应该要求相关机构或人员承担行政上的责任。
最后,在侵犯个人信息罪的构成要件中,犯罪主观方面可以尝试加入过失心理。从变化的实践中可以瞥见出现越来越多的因过失犯侵犯公民个人信息造成了严重后果,却没有得到应有处罚的情形。从刑法的任务和目的来说,我们不能在法律上给这类行为宽恕,在保证刑法谦抑性的同时,要尽力做到法益的全面保护,故笔者认为在现有规定上加入过失心理,对于保护个人信息有其合理之处。
(四)加强行业自律机制和公民自我保护意识
行业自律主要是西方国家在信息保护过程中长期存在和使用的一种有效措施,是经济主体自发形成信息保护共识的一种模式,“公司或者企业制定相关规章制度规范经济主体行为的,具有示范作用的模式。”[]信息保护任务不能完全交给立法和司法,数据信息时代的个人信息保护,面临违法难度小与救济难度大的双重挑战,法律不是万能的。在立法同时提倡加强行业自律,发动多方的力量,在行业内鼓励形成良好的信息保护商业道德,个人信息保护便更能早日实现理想的状态。因此,各个行业应该有自己的行业标准和信息保护共识,这对个人信息保护法令的实施,具有重大的意义。反过来要在法律上承认行业自律。前文说到,要设立专门的个人信息保护法律,法律作为最后一道防线,笔者认为首先立法中必须重点提及行业自律,要求行业内部制定相关奖惩制度,这样可以从信息源头上大大减少相关企业、个人侵害个人信息的现象。通过让行业人明白侵权行为所带来的法律后果他们无法承担,那么他们自会有所收敛,这样才能事前防止个人信息被侵犯。
我国法治发展进程与西方有较大差异,西方政府大多属于自下而上,我国属于自 上而下的模式。政府法制机关始终在法治进步历程中发挥引领和带动作用,但在个人信息保护方面,应该适当摒弃这种思维,每个信息主体都应该积极行动起来,主动保护自己的信息不受侵犯。我国法治进程伴随的问题在于民众的法律意识不强,存在地区和城乡之间的不平衡。此处,通过引用埃航事件中的披露信息问题来表明观点,埃航遇难者中有一个浙江女大学生,事故发生后,自媒体运营者,营销号等为了流量,深挖这位女孩的个人信息。在她的微博账号上,那些躲在键盘后的人像变态的窥视者一样浏览她的动态,然后用最无耻恶毒的话去攻击一条已经逝去的生命,这是个人信息在网络中可能面临的危险。
人类活动几乎被数字化,人们在网络世界中自由展示自己,不保持警惕。比如为了炫富,发布关于家庭的详细信息,比如收入、工作、家庭地址等;还有,如今网上购物越来越流行,这给生活带来了便利,但在浏览中经常会遇到一些网络钓鱼网站、诈骗链接和短信通知。经常有人让你扫描二维码、注册账户来帮助他们完成工作任务,但谁知道你的信息会不会被卖掉,可能会影响你的正常生活,甚至遭受诈骗。我们每个人都是有利己心的,信息主体应该保持保护个人信息的积极性。但我国目前,公民对信息的保护意识不强,还会主动泄露信息,因此,我们除了立法、司法和信息管理行业制定措施,还必须加强人们保护个人信息的意识,这包括尽可能的防止信息主动泄露和在面对侵害时能积极阻止和救济。甚至可以在信息法规中,明确规定如果滥用自己的权利,让自己的信息权被侵犯,国家在给予救济后,要对其进行惩处。而作为一个行政机关,它应该在这方面发挥自己的作用,尽可能使用其他方法和各种宣传方法,通过这些简单、直观和生动的方式,让大众知道泄露和侵犯个人信息会造成什么后果。在权利保护问题上,法律要起作用不能单靠外因,也得从内因出发,注重解决信息源头问题,提高公民个人信息保护意识。
结语
纵观中国刑法保护“个人信息”的规则体系,经历了从金融管理秩序和社会管理秩序中的“附带规定”到设立专门罪名独立保护的转变,个人信息范围定义从强调直接的身份“可识别性”和隐私属性变更为统一身份“可识别性”标准,中国刑法正在完善“个人信息”保护罪刑体系,和赋予“个人信息”新的内涵和外延,不断完整个人信息犯罪的打击范围。[]从数据发展需求和社会进步方面评价,无疑是立法和司法在信息保护方面的重大进步。然而,我们也知道刑法是救济的最后一道防线,个人信息保护如果仅仅依靠设定足够多的罪名和足够重的刑罚,是不能达到想要的效果的,而且会适得其反,这个领域一直需要民法和行政法部门的合作,以形成法律合力。特别是随着国内外学术界和立法者对“个人信息权”的认可,国内刑法研究中对“公民个人信息权”保护客体的观点越来越趋于合理。笔者认为,随着中国陆续制定或修改的有关个人信息保护的法律,逐步建立了公民个人信息保护的总体框架,在此基础上,有必要根据现实需要,通过司法解释等方式,不断扩大公民个人信息的法律保护范围,进一步朝着高效专业的信息保护法律体系努力,加强行业自律管理和提高公民对个人信息的保护意识,以实现数据时代公民个人信息的更好保护。当然,笔者在此问题上研究理论不够深入,在论证、建议时难免有些不严密具体的问题,但希望能给国内个人信息保护建设提供思路。坚信在每个人的共同关注和努力下,我国个人信息保护会做的越来越好。
