大数据时代侵犯公民个人信息犯罪的认定问题

　　近日，Facebook被曝出泄露用户数据的丑闻，引发全球热议。这一事件不仅给Facebook造成全球性的恶劣影响，也给我们政府及企业的互联网信息安全工作再次敲响警钟。随着网络的普及和技术的发展，身处21世纪的我们正在大步迈进大数据时代。在这个时代，虽然数据的整理与应用给我们的生活带来了巨大的便利，但我们公民的个人信息却时刻面临着被侵害的危险。近年来，侵犯公民个人信息犯罪呈现出高发态势，全世界几乎每个月都有重大的数据泄露事件发生。而这些犯罪不仅滋生大量的下游犯罪，造成巨大经济损失，还严重影响人们的日常生活，降低公民的体感安全。因此，保护公民的信息安全、打击侵犯公民个人信息犯罪已经成为当下我国亟待解决的问题之一。

　　一

　　大数据时代侵犯公民个人信息犯罪的主要特征

　　（一）犯罪手段多元化

　　侵犯公民个人信息犯罪的手段多种多样，包括黑客入侵、“内鬼”外联、钓鱼网站、木马攻击、免费WiFi、伪二维码、恶意APP等等方法。与以往不同，大数据时代侵犯公民个人信息犯罪多采取的是现代科技类的方法，传统的获取信息的手段在当今时代已经几乎无用武之地。

　　（二）犯罪模式产业化

　　网络侵犯公民个人信息犯罪已经渐渐产业化，形成了“源头—中间商—非法使用人员”的黑色产业链条。在该链条的顶端是公民个人信息泄露的源头，也被称为“查询员”，包括移动公司员工、房产中介员工、物流公司员工、教育培训机构员工、银行职员等；接下来是类似“庄家”的中间商，是黑色产业链上的核心参与人员；而最末端则是不同层级的代理商或者非法使用公民个人信息进行直接犯罪的犯罪分子（刘行星、李希龙，2013）。通过这些人员的分工配合，这条黑色产业链循环运转下去，源源不断地向相关参与人员输送非法利益。

　　（三）犯罪后果严重化

　　公民个人信息遭到侵犯或泄漏，将会给公民的日常生活招致超出容忍限度的干扰。同时，侵犯公民个人信息犯罪往往还会引发其他下游犯罪，包括诈骗、敲诈勒索等等犯罪。在过去的十几年里，我国的侵犯个人信息犯罪一度十分猖獗，尤其是近几年伴随着互联网的快速发展，受害人数持续上升，经济损失逐步扩大，犯罪后果呈现出愈来愈严重的趋势。下图即为通过无讼网查询的近几年侵犯公民个人信息罪的案件数量情况：

　　二

　　大数据时代侵犯公民个人信息类犯罪的认定问题

　　针对侵犯个人信息犯罪日益普遍的情况，我国《刑法》及司法解释也对此类犯罪作出了相关规定。在2015年11月1日我国颁布了《刑法修正案（九）》之后，目前在我国现行的刑法体系中侵犯公民个人信息类的犯罪主要包括：侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪以及非法获取计算机信息系统数据罪。目前，有关侵犯公民个人信息类犯罪的主要罪名是侵犯公民个人信息罪，而关于这一具体罪名，实践中和理论中还有一些地方需要进一步厘定。

　　（一）有关“犯罪主体”的规定

　　在《刑法修正案（九）》中，原先的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”这两个罪名被合并，形成了一个新的罪名，即“侵犯公民个人信息罪”。同时，《刑法修正案（九）》还对侵犯公民个人信息罪的犯罪主体作了重大修改。原来《刑法修正案（七）》是采用列举的方式明确规定了侵犯个人信息的犯罪主体，即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，而《刑法修正案（九）》取消了这种明确的列举，扩大了该罪犯罪主体的范围，将该罪的特殊主体改为一般主体，并对特殊主体从重处罚，进一步加大了对这类犯罪的惩处力度。同时，《刑法修正案（九）》还同时规定了侵犯公民个人信息罪可以成立单位犯罪，这表明单位也可以构成该罪的犯罪主体。

　　另外，《刑法修正案（九）》还专门设立了一个新的罪名，规定对于拒不履行网络安全管理义务的网络服务提供者，以“拒不履行信息网络安全管理义务罪”定罪处罚。

　　（二）有关“公民个人信息“的理解

　　根据《网络安全法》第七十六条的规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。除此之外，我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》将个人信息分为个人一般信息和个人敏感信息。个人敏感信息是指，一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。其中个人一般信息可以通过默许同意的方式收集，个人敏感信息则必须经过明示同意后收集。

　　另外，公民个人信息和隐私是两个不同的概念。个人隐私更多的是一些大部分人只愿意自己保留或者让极其有限的范围内的人员知晓的内容，这些内容如果公开极有可能会给隐私主体带来不适感，会较大影响隐私主体私人生活的安宁；而个人信息则侧重于那些能够识别自然人个人身份的内容，这些内容在现代社会中出于公共安全、公共利益或者商业交易的需要而往往在特定范围内需要由信息主体主动提供，但这些信息的不当利用或泄露容易让他人准确识别、定位到信息主体，进而给信息主体带来个人财产或人身安全受到侵犯的潜在风险。隐私与个人信息在存在形式、法律保护方式等方面都存在明显区别。

　　（三）有关“违反国家有关规定”的理解

　　《刑法修正案（九）》将“违反国家规定”修改为“违反国家有关规定”，这二字之差实际上已经使得此类犯罪的违法性评价依据发生了重大改变。依据旧刑法的规定，我国审理此类案件时只能依据“国家规定”，即全国人民代表大会及其常务委员会制定的法律和决定，以及国务院制定的行政法规、规定的行政措施、发布的决定和命令。但是，由于我国对此类行为的前置性规范很少，且规定相当分散，无法涵盖到所有涉及公民个人信息的领域。因此，《刑法修正案（九）》将“违反国家规定”修改为“违反国家有关规定”，放宽了本罪的成立条件，有利于打击侵犯公民个人信息类犯罪。需要强调的是，《刑法修正案（九）》修改之后的“国家有关规定”，并不包括括地方性法规和地方政府规章等地方性法律文件，此举是为了避免出现地方性规定的不同而导致违法性评价标准的不一，进而出现同案不同判的情况。

　　（四）有关“情节严重”、 “情节特别严重”的理解

　　针对侵犯公民个人信息罪，我国刑法规定了“情节严重”和“情节特别严重”这两个衡量标准，但是这两个标准却一直因为其抽象性和难以操作性而广受诟病。对于如何衡量“情节严重”和“情节特别严重”这一问题，《刑法修正案（九）》没有做出规定，但最高院和最高检出台的司法解释却给出了具体的答案。

　　2017年6月1日，我国最高人民法院和最高人民检察院联合发布了我国首个针对侵犯公民个人信息犯罪的司法解释——《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。在这一司法解释中，公民的个人信息被区分为敏感信息、重要信息和普通信息，并规定了如果侵犯公民个人信息的数量分别达到50条、500条、5000条的标准，即会构成犯罪。同时，该司法解释还为刑法中规定的 “情节严重” 具体设置了十项认定标准（包括一项兜底条款），为“情节特别严重”设置了四项认定标准（包括一项兜底条款）。根据《司法解释》，我们可以看出，判断“情节严重”和“情节特别严重”的具体标准主要集中在信息类型、信息数量、信息用途、营利数额、犯罪主体、犯罪后果等六个方面。

　　三

　　大数据时代侵犯公民个人信息类犯罪的应对之道

　　对于现在的企业而言，用户信息不仅是其高效发展业务的重要帮手，还可能是其未来取之不尽用之不竭的宝贵财富。在这个几乎是数据主宰一切的时代，许多企业都在尽力收集客户信息。但是，和科技一样，信息也是一把双刃剑，在你可以利用它创造财富、改变世界的同时，不恰当的信息管理也将给企业招致严重的后果，甚至可能被推入犯罪的深渊。在大数据时代下，企业该如何防范侵犯公民个人信息的犯罪风险，笔者想提出以下几点建议：

　　1、 严格遵守法律法规，规范自己行为

　　2、 提高信息管理技术，防止黑客入侵

　　3、 设立专门监管部门，落实责任制度

　　4、 定期系统全面排查，及时修补漏洞

　　5、 收集事先说明用途，信息专项专用

　　“你的生活模式定义了你，你是谁、你和谁在一起、你去了哪里，正是这些内容充实了你的存在。几十年前，这些内容都是私密的，不过也很容易遗忘，这串经历会渐渐离开你的记忆。而现在，不那么私密了，因为这些信息流进了某些人的服务器。”在大数据时代，我们所有人都活在“第三只眼”下，对于公民个人而言，我们要有个人信息保护意识，不要随意处置或透露自己的重要信息；而对于网络企业而言，身上肩负的责任则更加重大，企业需要积极设立严格的信息管控体系，甚至在必要的情况下建立新的企业管理体制，以有效防范侵犯公民个人信息犯罪的刑事风险。