作者|劳东燕

第三期精要回顾

劳东燕

清华大学法学院教授、博士生导师

教育部长江学者奖励计划青年学者

第二届首都十大杰出青年法学家

关注我们，扫码进入直播回看

更多精彩内容等着你！

个人信息的刑法保护需放在整个法律保护框架下予以考虑，不能只从刑法的部门法，或者只从某个刑法条文来展开。整个课程的内容，分为四个部分。

一、基本概念交代与当前现实之情况

1、从实务案件的处理谈起

关于侵犯公民个人信息的刑法保护，可以从相关案件说起。比如微梦（新浪微博）公司诉淘友（脉脉软件）不正当竞争案、汉涛公司（大众点评）诉百度公司不正当竞争案、淘宝诉美景公司不正当竞争案。在这些案件中，指向的都是用户的信息，也即我们每一个普通人，但在这类案件中，用户都并非作为权利主体出现。相反，是两个公司在经济利益方面存在相应纠纷，导致一方状告另一方非法获取个人信息。在这类案件中，主要是企业与企业之间争夺经济性的利益，个人作为信息权利主体是没什么话语权的。

涉及侵犯公民个人信息的刑事案件，可能按照侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪或其他相关罪名来处理。但这些刑事案件往往不是用户因权利受到侵犯去告发，而是企业向公安机关去举报。在整个诉讼过程中，作为信息主体的被害人也是不出现的。

涉及个人作为原告的民事诉讼案件，由于实施谁主张谁举证，相对而说案件是比较少的。有一个郭兵告杭州动物园案，与人脸识别的运用相关。

通过相关案件，可以发现：第一，个人很少直接作为权利主体出现，往往伴随其他经济性的纠纷；第二，现行法律注重保护合法收集主体的经济利益，企业经过合法的收集对信息享有经济性利益；第三，企业相对于个人处于绝对强势地位；第四，尽管现有法律、判决书往往强调对于个人信息的获取应遵循最小必要性原则，但企业实际上是尽最大能力获取尽可能多的个人数据；第五，公权力部门非法获取与适用个人信息的行为较少受到法律规制，即便近两年来对于个人信息的保护逐渐提上日程，如何规制公权力，还是较少提到。

2、个人信息的概念与范围

个人信息和个人数据究竟指什么？个人数据偏重于强调载体，个人信息偏重于强调内容，信息完全可以由任何载体传达。为什么在当代，个人信息的保护存在很大的问题？因为载体的特殊性，使得其传播变得特别容易。在法律中，没有特别强调区分两个概念。

个人信息有两种：属于个人的信息和关于个人的信息。实际上个人信息并不只包含个人占有的信息，像浏览网页的信息，存在企业的客户端，虽然不归个人用户掌握但还是属于个人信息。个人信息中还应包括个人敏感信息：个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息和其他信息。

21世纪，数据可能是最重要的资源，绝大部分的数据都与人类有关。数据被认为是21世纪的石油，微软总裁认为资源的重要性应该相当于空气。中国讲数据经济时，常常说弯道超车，所以对数据促进科技和经济的发展方面更加关注。同时，数据的使用也影响多个维度的国家安全，包括政治安全、经济安全与网络安全等。此外，个人数据本身是从个人活动中产生，必定会涉及个人的隐私和安全问题。

基于个人数据的特殊性，围绕个人数据存在一种三方关系结构：个人、企业和政府。个人主要是作为数据主体；企业作为个人数据的控制者和处理者，往往代表产业的利益；政府承担着双重角色，既是个人信息的收集与使用者，也是在收集与使用个人信息时个人权利和企业利益之间的调停者。如果政府本身也可能是个人数据的控制者与处理者，其在收集个人信息时是不是也应受到法律的规范呢？

从2018年以来，人脸识别的底层技术提高了。为什么说人脸识别技术的推广会引发这么多的问题？第一，人脸识别技术的推广有无意识性与非接触性：很多时候，在进行识别、追踪和分析时，个人是不知道的（与指纹等生物信息的识别不可同日而语）。第二，生物数据的特殊性在在于其是不可改变的。第三，个人信息对于广告投放、有针对性的推荐有一定的好处，对用户来说，更加便捷。同时，对打击犯罪也有一定的好处。劳东燕教授认为：我们在推广人脸识别的时候，过于强调人脸识别带来的巨大好处。举一个极端的例子：若对所有的手机进行监控肯定会发现更多的犯罪，但是是否为了打击犯罪就可以监控所有的手机了呢？且中国的犯罪率本来就是较低的。这里的好处主要是给监管者带来的，并非是给被监管者带来的好处。数据是谁收集的、怎么收集的、将被用于什么地方，用户往往不知情。

在疫情期间对个人信息进行收集和使用。比如说四月中旬因为在青岛某医院发现了无症状的感染者，因此去过该医院的6685名人员的名单就被泄露了。个人信息的收集和使用绝对是双刃剑。

3、个人数据的特殊之处

数据汇集了各方的权益。首先，数据是个人的，汇集了人身和财产的利益。企业收集了个人信息，当然也控制了这些利益，这些利益就包含包括了商业利益和经济利益。同时，个人数据又跟公共安全、国家安全有关，具有超出个人和企业之私权益的公共属性。由于数据的特殊性，如果要沿用传统的法律保护，往往就会导致保护不了或保护不利。

关于个人信息保护有几种常见看法：第一，个人信息的保护仅涉及个人隐私与公共安全之争，为公共安全考虑可牺牲个人隐私。第二，为使我国在科技与经济发展上能够弯道超车，个人信息的保护只能放在次要的位置。第三，我们的个人信息反正都已经被收集得差不多，被进一步收集生物数据也没什么关系。第四，既然在一些场景中允许适用人脸识别等技术，进一步扩大适用场所景也没什么问题。前述四种观点都存在偏颇之处。

劳东燕教授认为：眼下的现实情形，尽管用尽所有现行法律，对个人信息的保护也是很微弱的，更何况很多时候现行法律也难以落实。现有法律对个人信息的保护太弱了。人脸识别带来的好处大多是从监管角度出发的，但对于被监管、社会健康发展来说是非常不利的。

二、我国现行的法律保护框架与问题

我国现在民事性法律、刑事性法律、行政性法律上都有所规定。相对而言，刑事性法律的规定比较具体一点，其他的法律规定更加抽象。除以上的法律外，还有行业性规范，对个人敏感信息做了更为严格的规定。通过对以上法律和行业规范的观察可以得出以下结论：第一，我国现在是以同意机制为基础的法律保护框架；第二，将保护责任主要放在数据主体而不是收集者与使用者身上；第三，规制重心在于非法收集而不是滥用行为；第四，偏重于保护产业与安全方面利益；第五，对作为数据主体的个人保护很弱，尽管如此弱的法律保护，在司法层面也没有贯彻；第六，对生物信息未作特殊的分类保护。

劳东燕教授认为，可以对法律保护和规制框架进行一些反思：

  反思一 

法律框架应以私法保护为主还是以公法保护为主？私法保护对个人信息的有效程度是较低的，以公法保护为主将可能是一个趋势。但将带来一个问题：政府既是收集者，也是监督者时，怎么能做到中立呢？即便未来以公法保护为主，也面临进一步的问题。

  反思二 

以知情同意为基础的法律框架是否可行？

  反思三 

附随性地保护数据主体是否足够？很多案子中都主要考虑企业的利益，站在法院角度，根据现行法律，不考虑数据主体的保护也是完全合理的。

劳东燕教授认为，合理而有效的保护框架，也就是未来立法往什么方向走的问题。除了包括立法论，还应包括现有法律应该往什么方向解释的问题。眼下的个案中当然要考虑如何保护数据的合理化、商业化应用，同时更要保护个人信息，进行利益权衡：

第一，应加强对收集与使用数据行为的监管；

第二，信息保护的主要责任者：应从数据主体到企业；

第三， 风险分配与归责原理的重塑，谁制造了风险，谁就应该对相应的风险负责；

第四，考虑到数据的流动性，法律规制重心要有所转变；

第五，应根据类型与场景进行不同程度的保护，像生物信息只有在医疗领域可以考虑利用个人信息的合法化，在其他场景里，应该更多地考虑个人信息的保护。

三、刑法对个人信息的保护及其不足

刑法分则第三、四、五、六章都针对个人信息规定了相关犯罪。眼下对于个人信息、个人数据并不是只有侵犯公民个人信息罪来保护，而是按个人数据涉及的权益性质提供不同的罪名来予以保护。从这个意义上来说，刑法对个人信息的保护已经形成了整体的保护框架，但刑法的保护依然存在一些问题：

其一，刑法对个人数据的保护，只关注非法的数据获取而不是数据滥用。

其二，受财物概念的影响，将数据当作财物一样来对待。侵犯财产罪中的财物必须具有稀缺性和排他性，而数据本身具有共享性，并且不具备知识产权那样的专属性，数据的财产属性相较于知识产权更弱，所以侵犯虚拟财产的行为不应归入侵犯财产罪中进行保护。劳东燕教授赞同当前司法实践中一些法院的做法：对此类行为，适用非法获取计算机信息系统数据罪相对较为合适。

其三，刑法对个人数据的保护，更强调对秩序法益的保护，包括经济秩序、社会管理秩序等，而不注重对个人权益的保障。

其四，现行刑法基本未考虑对个人数据进行分类型的保护。

四、侵犯公民个人信息罪的实务适用

在解释本罪时需要结合我国当前的法律框架和现实。

第一，要考虑到个人在三方关系中处于绝对弱势地位，所以要加强对个人权益的保障；

第二，现有法律层面中也存在一些问题，依赖“告知与许可”，即便是现行很弱的保护也经常不予遵守并且缺乏有效的救济途径。所以，要通过侵犯公民个人信息罪的司法适用来强化威慑与预防效果，形成有效的行为激励机制；

第三，进行法律解释有一些可为之处，但针对法律制度设置中存在的缺陷，未来要考虑推进立法层面的变革。

解释个罪法条时要强调价值判断与方向选择，将强化对个体权益保障的价值判断落实到个罪的解释之中。值得考虑的是：

01、本罪究竟保护个人性的法益还是公共性法益？

从个罪来看，很容易得出二者兼有的结论，但是放在整个法律框架中，秩序利益和经济利益都有他罪来予以保护，侵犯公民个人信息罪应该是保护公民个人性的法益。

02、本罪是否仅保护个人在隐私方面的权益？

劳东燕教授认为本罪不仅保护公民的隐私权也保护公民的个人信息权，司法解释中行踪轨迹、浏览网页的记录应不属于隐私权的内容，但依然用本罪进行保护，所以个人信息权比隐私权的范围更宽。

03、是否可以将某些滥用行为纳入处罚范围？

劳东燕教授认为未来会对“滥用数据”设置一个专门的罪名，目前可考虑通过解释论，将一些滥用行为也归入处罚的范围，但必须是在符合相关概念的广义可能性前提之下。

04、在界定个人信息权时，如何避免不当扩张或过于限缩？

眼下，侵犯公民个人信息罪的规定中，看起来保护的像是企业对个人信息的专有权，如果企业获取了数据，是否应该让数据流动起来，如果转让给他人使用，可能涉及犯罪，这里有个过度保护的问题。这里考虑个人数据合理商业化的同时也要考虑未来可能的立法修正。

本罪实行行为的界定，刑法第253条之一前三款规定了两种行为类型：“违反国家有关规定+出售或提供”、“窃取或以其他方法非法获取”。

01

第一种行为类型中的“违反国家有关规定”如何理解？“违反国家有关规定”与刑法第96条的“违反国家规定”（仅包括国务院、全国人大及人大常委会的规定）是否可作不同界定？劳东燕教授认为：应对第253条之一中“违反国家有关规定”的“有关”理解为与个人信息有关的国家规定，国家规定的级别应与刑法第96条中的规定一致。前置性规定中，要求企业在收集和使用环节，要符合《网络安全法》与《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律的原则性规范。前置法的规定包括合法、正当、必要的原则，以及征求数据主体的同意的要求。未经被收集者同意，将所收集的公开个人信息向他人提供的，是否属于非法提供？司法实践中有不同的处理。从本罪所保护的法益与实行行为来看，应当认定此种行为并不构成侵犯公民个人信息的行为，因权利人对相关的个人信息本来就已做了公开化的处理。

02 

第二种行为类型中的“窃取”应包括“技术性窃取”和“权限型窃取”，不仅包含盗窃意义上的窃取，也应该包含有职务侵占类的行为。“以其他方法非法获取”，对于其他方法的理解，应该结合对现有法律框架是否适度的价值判断，进行扩张或限缩。劳东燕教授认为，本罪应该进行扩张：包含不经同意而获取的行为，如果超出合理的同意范围也应看作是“不经同意而获取”，属于“以其他方法非法获取”；同时也应包含以购买的方式获取。所以，“以其他方法”不一定要是非法方法，也可能是合法的方法。劳东燕教授认为有些特殊的滥用行为，也可以纳入“以其他方法非法获取”当中。

本罪行为对象的界定，应该是个人信息。对于个人信息的界定，应采取可识别性标准，而非隐私性的标准。可识别性标准，要求企业采取合理的可能措施，按一般要求对个人信息进行去识别化。虽然采取了去识别化的举措，但如果没有达到应有的标准，此类信息还是属于本罪所保护的个人信息。除了直接可识别的个人信息（如身份证号与社会保障号等），间接可识别性的信息也应属于个人信息。

同时，也需要进一步思考：

第一，可识别性标准将面临一些冲击，以后即使用一些完全看似不相关的数据，也可能将一个人识别出来。可识别性标准可能随时会面临调整的需要。

第二，在立法论上应考虑对不同类型的个人信息提供不同程度的刑法保护。

两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对此有所考虑，但可能过于关注财产性的个人信息，而未给予生物性信息应有的保护，未来司法解释中也许应当对生物识别信息与宗教信仰政治观点等敏感信息提高保护的程度。

金句分享

对于个人信息的保护应该放到整个法律保护框架之下来理解，而对侵犯公民个人信息罪构成要件的理解又应当放到刑法框架中来进行。在适用刑法条文时，法条的文义和相应罪状只是为法解释提供了一个支点，我们需要另一个支点，就是价值判断的方向选择。