【摘要】大数据时代，侵犯信息犯罪的主体扩容，种类增多，方式多元，使得原有刑事法律无法对个人信息保护进行良好规制，在这样的背景下，《刑法修正案（九）》、2017年5月8日两高公布的《关于办理侵犯公民个人信息刑事案件适用若干问题的解释》（以下简称新《解释》）对侵犯个人信息犯罪进行了相关修正和完善。但是从刑事立法、实际办案的角度看对侵犯个人信息的犯罪仍有进一步修改和完善之必要，以更好的保护公民个人切身利益与社会信息安全秩序。 

　　关键词：大数据时代  个人信息 保护  《刑法修正案（九）》   

　　随着通讯与互联网技术的飞速发展，人与人之间的沟通与交流方式发生了巨大的变化。从人们被动的获得资讯，到今天人们可以随时通过微信朋友圈、微博等方式成为信息的发布者与传播者，然而随之而来的是个人信息被非法收集、泄露、买卖等社会乱象。我们每天都会收到大量的垃圾短信，如:小额贷款、推销保险、购置房产等信息。因个人信息泄露导致违法犯罪案件频发，侵害的主体从原来的个体到现在的群体，信息安全已经成为制约网络社会发展的主要矛盾。由于各种各样的原因，我国迟迟没有制定一部保护公民信息安全的专门法律。为了更好的打击犯罪，净化我国的网络信息环境，我国刑法先于其他其他法律，通过刑法保护的方式，来打击各种侵犯公民个人信息的犯罪，从而维护公民的信息安全。通过这种刑法保护的方式，一方面确实在很大程度上打击了侵犯公民个人信息的犯罪分子，维护了我国的信息安全稳定，另一方面，由于刑法规定过于空泛简单，导致在司法实践中依然存在许多问题和争议。 

　　一、公民个人信息刑法保护之立法现状 

　　近年来信息安全问题频发，各种因个人信息泄露而引发的违法犯罪问题接踵而来，比如：临沂女生徐玉玉案。我国的公权力机关意识到保护公民个人信息安全的紧迫性和重要性，在我国的宪法、行政法、民法等领域，立法者开始涉及有关公民个人信息保护方面的条款，但是直到现在，我国仍未出台一部专门的法律来维护个人的信息安全。 

　　《刑法修正案（九）》、两高发布的新《解释》，对进一步对相关的法条进行了修改和完善，从而更好的维护了公民的信息安全。第一，扩大了犯罪主体的范围。之前的《刑法修正案（七）》采用罗列的形式，把犯罪主体限定为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，这使得对个人信息的保护力度和强度受到了很大限制。而《刑法修正案（九）》取消明确列举的方式，扩大了犯罪主体的范围，因而能更好的、全方位、立体的保护公民的信息安全。第二，“向他人出售或者提供公民个人信息”，这说明只要是出售或者违反规定提供，情节严重的都要追究，这可以更好的斩断非法获取、买卖个人信息的黑色产业链。第三，新《解释》明确了情节严重和情节特别严重的标准。关于侵犯公民个人信息罪中的“情节严重”，之前立法者并没有给出可以量化的判断标准，这在司法实践中难以对该罪进行清晰的认定，这一点也引发了学者很大的讨论。新《解释》的第五六条对此明确规定，这在打击侵犯公民个人信息犯罪时有了具体量化的标准，有助于罪责刑相适应。 

　　二、公民个人信息刑法保护存在的问题和不足 

　　（一）公民个人信息概念界定不清 

　　《刑法修正案（九）》和新《解释》只规定了公民个人信息的罪名和制裁措施，现行的刑法条文以及司法解释都未对个人信息作出较明确的界定。并且，现行关于个人信息范围的界定理论界和司法界都众说纷纭，没有一个统一的依据和标准。公民个人信息所涵盖的范围不确定是现行刑法制裁体系的重要不足之处。在确定公民个人信息范围的时候，不仅要考虑公民个人信息权利，维护信息自由流动，还要考虑刑法的谦抑性原则，不能随意扩大公民个人信息的保护范围。 

　　（二）“非法使用”行为不能有效打击 

　　目前，非法使用公民个人信息行为日益突出，最常见的的是商户利用掌握的消费者信息群发垃圾短信、拨打骚扰电话，严重的有“西安电子科技大学信用卡门”事件，严重侵害了公民的信息权甚至财产权。学术界对这种行为入罪的呼声尤为强烈。在《刑法修正案（九）》审议过程中，有关部门和专家学者也建议将非法使用公民个人信息行为入罪打击，但该建议最后没有被《刑法修正案（九）》采纳。新《解释》将非法收集个人信息行为规定为犯罪，却并没有提到非法使用个人信息行为，这违背了罪刑均衡原则。非法收集个人信息行为仅对他人权利造成了抽象危险，而非法使用个人信息行为在危害程度上要重于非法收集行为，这显然有失均衡。 

　　（三）相似罪名的司法解释存在矛盾 

　　刑法罪名中，非法获取计算机信息系统数据罪和侵犯公民个人信息罪最为相似，而且这两个罪名极易产生竞合。新《解释》出台后，这两个罪名的入罪标准相差较大。根据《关于办理危害计算机信息系统安全形势案件应用法律若干问题的解释》的规定，非法获取支付结算、期货交易、证券交易等网络金融服务的身份认证信息十组以上即达到入罪标准。根据新《解释》的规定，非法获取交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上才能达到侵犯公民个人信息罪的入罪标准，相差了五十倍。对于普通信息数据，该两个罪名的入罪标准分别是“五百组以上”和“五千条以上”，相差十倍。然而对于违法所得的入罪标准，该两个罪名却都是“五千元以上”。由此可见，违法所得的数额标准上，司法解释将两个罪名等同。在犯罪对象数量标准上，非法获取计算机信息系统数据罪入罪标准的界定明显低于侵犯公民个人信息罪。这会引起司法适用中的矛盾，造成罪刑不均衡的现象。    

　　三、公民个人信息刑法保护的建议^？？ 

　　（一）明确“公民个人信息”的范围 

　　如前所述，我国民法，行政法等部门法和单行法规都仅规定了公民个人信息的一方面，但是公民的个人信息并不局限于这些内容，一些为一般人所应该周知的信息也是公民个人信息的范畴。而这部分信息在法律保护上则是一个空缺。笔者认为：第一，要更为有效的保护公民权利的角度出发，不能过窄的限制公民个人信息的范围，不能简单的将个人信息等同于个人隐私，即使有些个人信息通过本人同意或者因为某些特殊原因已经公开，但是该公开的信息仍然有可能被犯罪分子利用，被公开的信息仍然要受保护。第二，不能将个人信息限定为识别公民身份的专属信息。公民的姓名、工作单位、简历信息、身份证号、家庭住址、电话号码等能够使自己有别于他人的专属信息属于“个人信息”的范围，公民隐私的信息也应该包括在内。第三，对个人信息范围的规定，可以借鉴其他的法律规定。比如：中国人民银行发布实施的《个人信息基础数据库管理暂行办法》，就对公民个人信息作出规定：“本办法所称个人信用信息包括个人基本信息、个人信贷交易信息以及反映个人信用状况的其他信息。”虽然上述规定公民个人信息的范围不能直接适用于刑法，但是也给刑法规定提供可借鉴的基础。 

　　（二）设置新的犯罪行为类型 

　　公私部门对个人信息的支配行为包括收集、使用和对外提供，刑法第253条之一规定的犯罪行为包括四种：出售、非法提供、窃取、以及以其他方法非法获取，这四种犯罪行为类型所对应的是对外提供和（不具有收集主体资格）非法获取，并未涉及公私部门非法使用个人信息的行为，这个立法造成对个人信息保护的漏洞。笔者认为:我国可以借鉴其他国家有关处罚非法使用公民个人信息的规定，一方面可以规定“在未获得同意的情况下使用”或“给他人或者国家造成损失”这样的客观构成要件，去缩小刑法的处罚范围。另一反面，也可以规定“非法使用在履行职责或者提供服务过程中获得的公民个人信息，从重处罚”。比如：《德国刑法典》规定了使用他人秘密罪，最高可以判处2年自由刑；《葡萄牙刑法典》规定了不当利用秘密罪，最高可以判处1年监禁。我国在打击非法使用公民个人信息行为时，可以借鉴其他国家的相关规定，设置新的犯罪行为类型。 

　　（三）协调相似罪名司法解释之间的关系 

　　在相似罪名新、旧司法解释在发展中产生了矛盾，部分学者提出应发挥司法解释的纠偏机制。笔者认为：我国司法解释制度发展的过程，就是不断纠错、不断更新、不断清理的过程，当旧的司法解释脱离社会情势，与整体法律体系不相协调时，司法解释就应当及时更新，新司法解释颁布的同时，旧司法解释应废止或者不再执行。笔者建议：应当修改《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》，提高给发获取计算机信息系统数据罪的入罪标准，实现与《网络安全法》的衔接，与新《解释》协调。修改司法解释之前，应充分发挥指导案例制度的互补功能，这种与司法解释同根同源的制度蕴含着司法解释所不能替代的法律适用智慧，以典型个案说理的方式为裁判公正提供一条最直观、可行的道路，比司法解释更贴近司法过程的本质。 

　　四、结语 

　　总而言之，大数据时代公民的个人信息安全已经受到国家和社会层面的高度关注。《刑法修正案（九）》、新《解释》对于公民个人信息犯罪条款的修正体现了极大的进步性。但是，为了更准确、更全面、更立体地打击侵犯个人信息的违法犯罪行为，对不足之处应该进一步完善，最大程度的保障个人的信息安全。