在信息化社会发展背景下，公民个人信息被泄露或非法使用，轻则面对垃圾短信、垃圾电话的骚扰，重则面临人身、财产安全的侵害，严重影响到公民的正常经济生活。公民个人信息保护问题也越来越受到社会的关注，而刑法保护无疑是公民个人信息保护最强力的手段，基于此本文从刑法视角对我国公民个人信息保护问题展开了探究。

    一、公民个人信息的范围

  （一）个人信息的范围

   1997年刑法没有对公民个人信息直接保护的罪名，立法上主要是通过保护社会信息间接保护公民个人信息，如泄露内幕信息罪、侵犯商业秘密罪等。2005年《刑法修正案（五）》增设了窃取、收买、非法提供信用卡信息罪，将他人的“信用卡信息资料”这一特定的公民个人信息予以刑法保护。《刑法修正案（七）》增设了出售、非法提供公民个人信息罪，《刑法修正案（九）》对本罪进行了修改，相应的，罪名调整为侵犯公民个人信息罪。“公民个人信息”从此成为刑法的规范概念。

依照2013年两高和公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》，公民个人信息包括“公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”，也就是说，公民个人信息包括两类，分别是公民个人身份信息和公民个人隐私信息。

    除此之外，2011年两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第11条引入了“身份认证信息”的概念，即“身份认证信息”是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。根据该解释，对支付结算、证券交易、期货交易等网络金融服务的身份认证信息的侵害，依照非法获取计算机信息系统数据、非法控制计算机信息系统罪以及提供侵入、非法控制计算机信息系统的程序、工具罪处罚。身份认证信息是可以达到个人信息的“身份可识别性”标准的。

    另外，司法实践对“公民个人信息”的外延也进行了积极探索。在最高人民法院的机关刊物《刑事审判参考》刊载的第1009号案例“胡某等非法获取公民个人信息案”中， 被告人通过非法跟踪他人行踪所获取了公民的日常活动信息，法院认定被告人犯非法获取公民个人信息罪。本案中的“公民的日常活动信息”实际就是位置信息，位置信息与公民的其他信息相结合，也可以达到识别自然人个人身份的程度，它可以被纳入到公民个人信息的范畴中，它是一种“推定身份信息”。这样看来，从1997年刑法至今，刑法中先后出现了“信用卡信息”-“个人信息”-“身份信息” -“身份认证信息”-“推定身份信息”等概念。

    刑法上关于公民个人信息的保护链条一直在拉长，主要有两个方面的考量：第一，在大数据时代，随着移动互联网的普及、智能穿戴设备的广泛适用，特别是全网用户实名制的推行，个人信息的搜集更加频繁和密集；第二，借助大数据分析和挖掘技术，多重来源的、碎片化的个人信息也可以拼出完整的个体形象，实现身份的精准定位和识别。软件算法和分析学的发展使得大量数据更易被关联和聚合，大大增强了人们将非个人信息转化为个人信息的能力。因此，技术的进步会使“公民个人信息”的概念不断模糊化，探索个人信息的精准定义既无必要，也不合时宜。期待通过对“公民个人信息”这一构成要素做出明确界定，来限制侵犯公民个人信息罪处罚范围的做法已不适应保护公民个人信息的现实需求。因此司法上应将侵犯公民个人信息罪规制的重点，从公民个人信息的范围转移到个人信息滥用的后果上来，注重对信息滥用风险的控制和评价。此外，着眼于公民个人信息保护的世界性发展趋势，应当将一切与公民隐私有关的信息都纳入到公民个人信息的保护框架中来。

   （二）个人信息的基本特征 

    个人信息的特征比较明确，主要包括以下几个方面。首先是信息的主体性。其主要指的是个人信息是归属于某个独立的主体，这个主体拥有法律所赋予的权利和义务。通过对这些信息的管理和分析，就能够直接有效的定位信息的主体。其中就涉及到了信息的管理者和拥有者，管理者拥有的知识管理权，并不能改变个人信息的根本属性；而作为信息的拥有者本身，会因为个人的变化而发生相应的变化。因而个人信息的主体特征是其基础特征。其次是信息的可识别性。通过个人信息可以准确的分辨出信息的主体，在个人信息中有能够直接判断主体的信息，也有间接判断的信息，其中能够直接进行判断的信息的差异性是非常明显的。最后就是个人信息的价值性。这种特征主要体现在信息主体在人格和财产等方面的信息，其实质就是社会资源，这种信息能够创造出一定的利润和价值，个人信息的价值性特征也是尤为明显的。

　  二、网络隐私权犯罪的主要表现形式 

　　（一）非法收集个人信息 

　　随着淘宝等多种电子网络的兴起，传统的贸易模式受到冲击，公民的隐私权保护收到了前所未有的挑战。在很多新的环节上，个人的网络隐私信息都会受到遭到泄露。我们在日常的购物中，都会按照网站的要求填写个人的私人信息，这也可以说是我们个人的隐私。虽然大多数网站承诺会对用户的个人信息进行有效的保管，但是很少有网站真正去做到自己的承诺，甚至有些网站根本就不承诺保护用户的信息安全。这样一来，网站的个人信息很容易被他人随意窃取。 

　　另一方面，现在大多数的购物网站，在未经过用户的许可，就记录用户的购物内容，从用户的购物内容中去发展用户的购物习惯，这其实间接的侵犯了公民的个人隐私，不利于网络隐私的保护。综上所述，网络供应商往往就是侵犯网络隐私的最重要一方。还有其他的一些窃取网络隐私的机构，如广告商，广告商设计出可以记录自己广告的软件，使得广告商可以很好的了解用户的上网习惯，从而可以更好的为自己的广告牟利。在现在这个社会，网络商之间相互买卖用户的信息资源的现象非常的普遍，在商业的驱动下，甚至出现了专门收集用户信息的公司，对用户的消费习惯进行分析，然后制作成数据库进行销售，这很显然对网络用户的隐私构成了侵犯。 

　（二）在网上宣传、散布、传播他人隐私 

　　网络是一个非真实的空间，很多都是虚拟的，很多信息都具有隐蔽性的特征，在进行网络交流的时候，大家都是以匿名的形式进行交流，这就使得交流可以毫无忌惮，正如大家所说的：在网上，没有人知道你是一条狗。每个人在进行交流的时候，要不是用自己取得网名进行交流，要不是按照网站分配的符号进行交流。在这种环境之下，往往就会出现让人不愉快的现象出现，例如在网上散播谣言，在网上进行人身攻击，在网上随意的发表见解，随意的揭发他人的隐私，随意的散播对他人不好的观点。在网上最熟悉的侵犯隐私权的事件就是人肉搜索。人肉搜索主要是指有关人员将一个人的信息放到网上，然后网上知道信息的人员将相关的信息放到网上，使得个人的隐私信息成为了公众知晓的事情，严重侵犯了他人的信息，干扰了他人的正常生活。例如在“XX门”的案件之中，处于舆论中心的人物的个人信息会全部公布到网上，每天都有海量的信息骚扰，严重影响了正常生活，这就必须追究相关人员的责任，使得相关人员受到法律的惩处。 

　　（三）对私人电子邮件的侵害

　　和传统的邮件相比较，电子邮件本身具有传播速度快，操作简单等优点，但是，电子邮件也有很大的缺点，那就是安全系数太低。一封电子邮件，如果需要从发送方到接收方，需要经过多个不同又相互独立的服务器，如果其中任何一个服务器出现了问题，都会造成不可挽回的损失。在电子邮件之中，可能包含有他人隐私的信息，如果随意的阅读就会使得他人的隐私遭受到外泄，从而产生难以想象的危险。电子邮件还有一个侵犯隐私的表现就是垃圾邮件的大量存在。垃圾邮件已经占据了整个邮件的30%的份额，每个人平均一天收到1.85份垃圾邮件，在这些海量的垃圾中，还存在不少带有病毒的垃圾邮件，一旦用户单击这些带有病毒的垃圾邮件，就会使得自己整个电脑的信息出现外泄，严重影响用户的隐私安全。 

　　（四）黑客攻击、侵入他人电脑

　　黑客的攻击是指计算机技术人员，利用自己的计算机技术，非法侵入他人的电脑，窃取他人的信息资料。黑客主要是计算机操作人员，其犯罪主要表现为：对用户的网页进行修改，发布恶意的信息；破坏计算机系统，使得计算机系统瘫痪；秘密窃取他人的计算机内部资料等等行为。我国出现的著名网络黑客实践如“熊猫烧香”病毒的传播。通过传播病毒，“熊猫烧香”的制作者可以知道用户的一举一动，知道用户的银行信息，可以窃取用户的资金，侵害用户的隐私权利。这些行为都需要法律给予及时的制裁，遏制犯罪的行为。

    三、公民个人信息刑法保护应遵循的原则

   （一）保护与利用并重原则。个人信息的保护与利用是大数据产业发展与公民个人信息保护冲突的直接体现，背后的本质其实是个人利益与社会利益之间的博弈。目前而言，宏观上两者不应有主次之分或优劣之别。主张公民个人信息保护优位会导致公司、政府无法享受信息红利，不能通过大数据分析来改善治理、经营活动，不仅阻碍了企业发展、政府治理社会，甚至会使得我国在世界范围内的信息潮流中、大数据产业竞争中落于别国身后，不利于国家综合实力的提升。主张大数据产业发展优位则会损害公民的人格权益，个人信息的肆意收集、滥用不仅会损害公民权利，更可能导致社会秩序紊乱。信息的紊乱，即是社会的紊乱，甚至于动摇政府合法性的基础。因此，个人信息的保护与利用应当并重，并不存在先后、优劣之分。不过，这一宏观原则并非一成不变，随着社会的发展，基于公民个人信息保护与利用之间关系的平衡性判断，可以确立孰者优先。此外，该宏观原则更多地指导宏观立法活动，在具体微观实际事件的处理上，则可遵循利益相互协调原则。

   （二）利益相互协调原则。利益相互协调原则或称利益平衡原则有两个子原则：一是平等对待；二是利益比较。这两个子原则共同构成了利益相互协调原则。平等对待是指必须对所涉利益及利益主体平等对待，不得有先入为主的高低、先后等层次之分。利益比较是指对所涉利益需要进行全方位、综合考虑的比较。整个利益相互协调原则具体而言是指当个人信息利益与其他利益发生冲突时，应综合考虑、衡量各方主体利益，比较利益的大小决定权利的配置，从而使不同的利益间达至平衡。例如，当个人信息利益与司法利益产生冲突时，需要考虑司法机关调取的金融信息是否为反洗钱工作的真实需求，所需要查询或调取的信息的范围是否合理，查询或调取后是否可以对相关信息进行严格保密，查询或调取之后是否会对该银行客户的隐私利益产生重大影响等。只有综合考虑上述这些因素之后，才能准确舍弃具有较小合理性的利益而保存具有较大合理性的利益。

  （三）区分原则。区分原则，是指区分个人信息的类型与用途，分层级地进行保护或利用。区分个人信息类型与用途的意义在于平衡公民个人信息保护与大数据产业发展。显而易见，不同类型的个人信息彰显的是不同重要程度的个人权益。侵害信息类型不同，对个人权益的影响也不同。《征信业管理条例》将“个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”作为敏感个人信息分类保护。此类敏感个人信息与个人隐私保护紧密相连，直接关涉个人人格尊严的维护。《指南》也将个人信息分为个人敏感信息与个人一般信息。有学者也提出，在区分个人信息类型的基础之上，强调对个人一般信息以利用为主，对个人敏感隐私信息以保护为主，调和公民个人信息保护与利用的需求冲突，实现利益平衡。这一立场值得肯定，该观点还强调了隐私信息，笔者在上文已经提出隐私信息只会不当缩小个人信息的保护范围，且隐私信息的范围已经在互联网的洪流下逐渐变小，故笔者主张将个人信息区分为个人敏感信息与个人一般信息进行分层级保护。

   （四）同意原则。同意原则，是指个人信息的收集、使用等必须经过权利人的同意。这一同意应当建立在权利人明确得知信息使用、收集的范围、目的与规则。尽管根据《民法总则》与《网络安全法》的规定，同意并非必须明示，但主流观点都认为同意的方式必须为明示。有观点认为，大数据时代的个人信息的权利归属和规则设计上应改变过去重归属轻利用的制度设计。以告知的方式来防止个人信息被侵害，最终会使公民个人信息保护失去其影响力和效力。因此，对网上行为信息的收集和使用可采取“没有明确反对即同意”的方式，以提高收集和利用的效率。笔者认为，该观点具有一定的可取性。事实上，如今许多网络服务提供者收集、利用个人信息都是通过服务协议条款完成的，然而此类格式条款中关于个人信息的授权同意往往不会引起用户的注意。从某种程度上来说，这类信息的同意与授权即可认为是推定的同意。笔者认为，沿用上述的区分原则，针对个人一般信息可适用推定同意规则，对于个人敏感信息则必须适用明示同意规则。

四、公民个人信息刑法保护中的问题 

　　（一）公民个人信息刑法保护是罪名较少 

　　在我国目前的刑法体系中，对于公民个人信息的刑法保护的罪名很少，只有以下几个罪名：非法提供个人信息罪、出售个人信息罪、私自开拆、隐匿、毁弃邮件、电报罪等罪名。这些罪名虽然对保护公民的个人信息具有一定的促进作用，但是面对日益复杂的社会环境，这些罪名很难做到对公民个人信息保护的全方位覆盖，这就使得公民信息的保护存在一定的漏洞，使得不法分子有机可乘。而且，这些罪名分散在各个地方，这就使得保护变得更难。 

　　（二）公民个人信息刑法保护主体规定存在局限性 

　　在我国的刑法规定中，对于个人的信息犯罪的主体是特定的。在我国的法律规定中，侵犯公民隐私的主体可以是传统的机关法人，例如：金融单位、电信单位、教育部门等等；也可以是新型的单位，例如现在的互联网公司，房地产公司等等。而在我国当前的立法当中，对于互联网公司侵犯公民权益的规定很少，甚至没有，这就使得在实际生活中对司法机关打击犯罪缺少了法律的依据，不利于对人民群众的个人隐私权益的保护。 

　　（三）公民个人信息刑法保护行为方式规定的局限性 

　　在侵犯公民隐私权益的手段方面，我国的法律规定的方式有：出售、窃取两种方式。但是，随着技术手段的更新，侵犯公民个人信息的案件的手段变得越来越多样化。除了以上的方式之外，还存在以下很多其他的方式，例如进行偷窥、偷拍等行为，就是利用工具偷偷记录当事人的言行，使得当事人在不知不觉中就留下了对他人的一些隐私信息。 

　　五、公民个人信息刑法保护完善建议 

　　（一）建立侵犯公民个人信息的罪名体系 

　　笔者基于思考，认为在刑法的体系中，可以将对侵犯公民个人信息的罪名单独列为一章，促进对公民权益的保护。随着社会的发展，侵害公民权益的事情越来越多，对于公民权益的侵害，随着时间的发展会越来越严重。对于公民信息的侵害可以分为两章进行规范，可以分为总章和分章两种。在总则中，我们可以规定对当事人的信息权益保护的一般规定；在分则中，我们可以规定对当事人信息权益保护的具体内容，使得公民信息安全权益的保护得到切实的落实。在进行我国的刑法修正案中，对于当事人权益的保护也有不同程度的提及，我们可以在当事人权益保护的修正案中，加强对新出现的情况的解释说明，使得我们的刑法保护可以和最新的形势相结合。 

　　（二）完善侵害公民个人信息罪的构成要件 

　　在刑法中，对于公民个人信息罪的构成要件还需要进行进一步的完善。在犯罪主体上，需要对犯罪主体进行相关的扩大，使得身份犯和非身份犯都可以成为犯罪的主体。在对主体的进行表述的时候，我们不能对主体进行一一的说明，因为社会发展的太快，由于法律的滞后性，这就使得法律规范的真空可能存在。在这种情况下，我们在规定主体的时候，我们可以进行概括性的规定，使得这种法律的真空可以消失。在犯罪的客观方面，对于他人秘密的保护也应当写入法律的规定。他人是指行为人以外的其他人；秘密是指他人的个人生活，还包括对他人与社会的关系等等个人的隐私。例如，医师在进行职业的过程中，知道的他人的病史等等都是他人的秘密。