大数据时代个人信息安全刑法保护的思考

【摘要】：

大数据作为继云计算之后信息技术领域一个新的产业增长点，正在影响着人们的工作、学习和生活，包括生活方式、工作习惯和思考模式等。但是，人们在与大数据环境交互过程中，在个人信息的安全方面就有着很大的安全隐患，通过法律的实施保障个人信息的安全性就比较关键。本文立足于大数据时代个人信息安全面临的现实问题，分析现行刑法对个人信息安全的法律规则，提出加强公民个人信息安全法律保护建议。

【关键词】：大数据、个人信息安全、刑法保护

大数据时代个人信息安全刑法保护的思考

随着互联网+和智慧城市的迅猛发展，移动互联网以及云计算、网络金融等新的技术发展使得手机、平板电脑等成为数据来源和重要的承载方式，大数据时代的到来对信息的安全保护也提出了挑战，根据腾讯研究院《2017中国网民受骗及维权数据报告》，我国高达71.5%的网民有过上当受骗的经历，58.3%的网民不知道维权渠道。这就凸显刑法等法律保护在信息安全保护上的重要作用和意义。通过大数据时代对信息安全的刑法保护理论研究，对我国信息安全的建设有着重要促进作用。

一、大数据时代个人信息安全现状

互联网上个人信息会被各个系统和平台所记录和存储，这也在一定程度上提高了个人信息被泄露的可能，个人信息安全已经成为一个重要的社会问题。从具体的表现来看具体如下：

（一）个人用户帐户更容易被盗用。人们为了体验各种工具和平台，就会有多个帐户存在，每一个帐户在申请时平台会要求与邮箱或手机号进行绑定，这样，一个邮箱或手机号就会与用户的多个帐户进行关联。同时，各种工具或平台间也为了方便用户操作，也会加强合作，通过一个帐户就可以访问多个应用或平台。这样，无形中加剧了帐户被盗的风险。 

（二）个人隐私问题更容易被暴露。人们在发布微信朋友圈、购物分享、发布微博过程中，很有可能会在不经意间泄露个人的一些信息，比如家庭成员、地理位置、收入情况、兴趣爱好以及日程安排等。同时，大数据背景下数据的关联性很强，随着数据来源的增多和数据量的增加，通过数据和数据之间的深度分析，就会暴露个人的某些不愿公开的隐私信息。

（三）个人信息面临极大失控风险。互联网行业内的数据使用人员对于责任的承担能力较差，行业内并没有一个严格的自律机制。正因如此，企业产生公民个人信息盗用等违法现象极其普遍。大部分企业都是因为受到利益诱惑，将用户的信息进行非法贩卖，出售给中介机构，再由中介机构向各类企业进行售卖。在大数据背景下，一些商家既是数据的生产者，同时又是数据的管理者和使用者。数据的传播在一定程度上会加剧个人信息被泄露的风险。比如我们淘宝购买某商品，用户会留下姓名、手机号和家庭住址等信息。这些信息商家淘宝客服会记录发货，个人信息会转移到快递公司，派送中还有可能经过所在地快递公司、菜鸟驿站、小区门卫收发室等多方渠道造成个人信息失控。

(四)个人信息收集渠道的民事立法不完善。互联网企业不断滥用记录技术，这是一种不经过允许的直接收集行为，也是威胁消费者权益最为常见的不正当收集行为。虽然我国已经出台若干立法保护个人信息安全，但是这些立法并不完备且隐私权尚未形成独立的人格。没有明确的惩罚性民事制裁措施。没有预防个人信息滥采滥用的法律强制管制。当前我国现行法典中，《中华人民共和国宪法》中没有实质上的运用，《中华人民共和国刑法》是对犯罪人刑事责任追究，《中华人民共和国民法通则》也只是在司法实践中涉及隐私权保护时候，已名誉权的名义来对隐私权进行保护。

用户隐私数据信息泄露风险加大的原因之一就是大数据的汇聚。大数据开发利用中包含大量用户信息，使得公民隐私很容易受到侵犯，导致公民的隐私遭到恶意利用 。各类商家对消费者个人信息和消费数据也更加重视，他们更乐意通过较低的成本存储更有商业价值的数据。随着我国第三方购物平台和各类手机APP购物软件的逐步推广应用，互联网用户在具体使用这些媒体的过程中，个人信息都会被详细记录，这种大数据收集操作模式一方面方便了用户查找自己曾经浏览或者消费内容。另一方面也让平台系统无时无刻地在“监控”着用户的各种行为。

（二）受侵害途径增多。有的企业“内鬼”倒卖信息。一些员工受利益引诱，铤而走险倒卖客户个人信息。有的中木马病毒被窃取信息。不法分子通过伪基站向周围的手机用户发送木马短信，用户只要一点击短信链接，各种网银账号、密码、短信验证码都将被木马盗取，并转发到犯罪分子手中。不法分子盗取或破解了你的某个账户后，将会把相应数据在其它网站或账户上进行尝试登录。

（三）受侵害损失加重。最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》明确规定：“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”中国互联网协会《中国网民权益保护调查报告2016》显示，中国6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。

（四）受侵害维权不易。信息泄露维权者还面临举证难、追责的问题，谁侵害了自己的个人信息安全，应该向谁起诉，这需要原告证明因果关系，正是由于被告不明，许多案件无法立案。一些敏感数据的所有权和使用权并没有明确的界定，当信息泄露或被盗取时，责任主体很难确定，这就导致不少信息泄露维权者选择不起诉，放纵了不法分子，形成一个恶性循环。

四、现行刑法对大数据个人信息安全的法律规则

我国的法律相对来说比较健全，已经有很多涉及到公民个人信息保护的法律法规，比如说但是这些法规都仅在各个行业的规定中得到体现，虽然可以在一定程度上保证公民个人信息安全，但是因为其不够完善，导致操作性较差，仍会给公民带来个人信息泄漏的隐患。我国法律对于个人信息的定义不够清晰，对于可以公开的个人信息要求不够明确，以及对个人信息的利用程度权利的规定不清，这些问题都具有较强的争议性，但是实际上，这些问题应该在立法阶段之前就进行明确。

（一）扩大犯罪主体的范围。《中华人民共和国刑法修正案(九)》规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪。《中华人民共和国刑法修正案(九)》实施之前，我国刑法第253条规定，出售、非法提供公民个人新犯罪及非法获取公民个人信息犯罪两种罪名的犯罪主体仅限于国家机关、金融、医疗等单位及其工作人员，即将其限定为特殊主体。这种限定在司法实践中，法律上存在漏洞。事实上侵犯公民个人信息的犯罪不应限定于特殊主体，日常生活中的网络账号注册、网上购物、网上支付、办理会员卡等行为均有可能导致公民个人信息被侵犯，限定犯罪主体为特殊主体，使得一些犯罪分子逍遥法外、得不得应有惩罚。《中华人民共和国刑法修正案(九)》第十七条将犯罪主体范围进行扩大，规定一般主体及单位也可以成为本罪的犯罪主体，应当依法追究刑事责任，进一步扩大侵犯公民个人信息犯罪的主体范围。

（二）扩大犯罪对象的范围。我国原刑法将出售、非法提供公民个人信息的犯罪限定在国家机关或者金融、电信、交通、医疗等领域，在现实生活对公民信息侵害不止这些领域。《中华人民共和国刑法修正案(九)》使用“公民个人信息”一词，不再将其限定于特定领域。

（三）加重了犯罪处罚力度。刑法明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。“单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。

五、加强个人信息安全刑法保护的对策建议

我国信息安全的刑法保护过程中还有着诸多的问题有待解决，在信息的保护的罪名体系方面的问题，我国在单独的信息法层面还没有建立，对信息保护的民事以及行政规定都是零散的出现在互联网信息服务管理办法等相关的行政法规以及法律当中。

（一）加强法治教育，提升个人信息保护意识。大数据作为重要的资源，如果在合法以及尊重数据所有权利的前提下能够将大数据自身的魅力得以充分的体现，大数据是公民信息的一个重要部分，对人们带来方便的同时也有可能造成信息的非法利用。所以这就需要在个人信息的保护意识上进行加强，对与之相关的信息保护要能进一步的强化避免成为非法攻击的对象。大数据时代的信息安全刑法保护的策略实施要能够从多方面进行，学习信息安全防范常识，了解刑法等法律法规对信息安全保护的条文规定。

（二）优化立法模式，完善现行刑法体系。当前个人信息安全的刑法保护以刑法法典相关条文规定，条文设置相对松散，条文规定较为单一。建议把附属刑法和刑法法典形结合，发挥附属刑法作用，在附属刑法中对行为方式、犯罪构成、行为后果等进行详细的规定，更好地引导人们行为，进而预防个人信息犯罪的发生。刑法中对侵犯公民信息的犯罪行为采用列举法进行规定，其中包括出售公民信息行为、非法提供公民信息行为以及窃取公民信息行为三种。正是因为这种规定，很多不属于这三类的侵犯公民信息权的行为被刑法排除在外，对公民的信息安全保护不够全面，因此刑法应该扩大对侵犯公民信息权的行为范围。在现实生活中，经常会出现企业对公民信息进行非法使用的现象，往往给公民的日常生活带来了较多的负面影响。

（三）丰富侵害情形，增加入罪行为方式。《中华人民共和国刑法修正案(九) 》对侵犯个人信息的犯罪行为只包含提供、出售、非法获取等三种情形，没有增加新的获罪行为方式。在现实生活中，还有诈骗等侵犯公民个人信息行为没有纳入刑法规范体系中。建议把常见侵犯个人信息行为方式纳入刑法规范中，对所有相关犯罪进行有效打击，维护公民信息主体合法权利。在对犯罪情节是否严重进行界定时，应当充分考虑多种因素，例如违法使用公民信息的数量以及谋取的利益数额等等，当数量超过一百条以及数额超过五千元以上都可以被认定为情节严重，不仅要考虑不法分子造成的不良后果，同时还要根据不法分子的侵权次数进行情节严重的判定。

（四）适时增加自诉，完善刑法追述方式。《中华人民共和国刑法修正案(九) 》对侵犯个人信息的犯罪追诉方式是公诉，不利于全面保护公民信息安全。建议除了严重侵害社会公共利益和破坏国家利益的情形必须有检察机关公诉外，适当对一般性侵害公民信息安全行为通过自诉方式进行追诉，既保障了人权隐私，又节约了司法资源。

（五）及时自救补救，学会法律途径维权。发现个人信息泄露时可采取一些基本的补救自救措施，比如更换或者注销一些账号密码，删除网络浏览记录等。同时要保留好相关证据，及时向公安机关、工商部门、互联网管理部门、消费者协会等相关部门投诉或者举报。一般泄露个人信息可以构成民事责任和刑事责任两种犯罪行为。如果是一般信息泄密者，构成侵权，个人可以向泄密者或者是网络发布平台主张自身民事权利。如果是泄密者造成严重后果情况下，根据《中华人民共和国刑法》规定，可视其为犯罪行为，个人可以要求公安机关按照“非法泄密国家信息公民个人信息罪”对泄密者进行相应处罚，或者通过《消费者权益保护法》将其视为民事责任，要求侵权人赔礼道歉、消除影响、赔偿损失等。