个人数据的刑法保护研究

在大数据时代，网络数据类型丰富，个人数据的价值凸显，获得了社会各界的广泛认可。但是当前我国与个人网络数据保护相关的刑法体系尚未健全，保护个人网络数据相关的规范呈现碎片化，难以将惩治网络个人数据犯罪行为落实到位。因此，本文立足于大数据时代对个人数据的刑法保护展开了研究，旨在为个人数据的司法实践保护提供提供更为完善的策略。

当前有很多行业的发展都非常依赖对网民个人数据采集和分析，最为常见的是网络社交平台和电子商务网站。以微信和淘宝为例，这两大平台掌握着海量的网民个人数据信息，通过网民大数据，平台能够了解到客户的日常需求，并能够把客户感兴趣的内容精准推送给客户，还能够挖掘出潜在的消费群体，为网民提供更加优质的服务。从社会管理层面来说，个人数据亦有着不可小觑的潜在价值，例如行政管理政策的制定、政府公共政策的制定、刑事司法案件的判定等，都离不开大数据的支撑。在这样的时代背景下，个人信息如果被非法利用的情况非常常见。因此，我国应构建并完善个人数据刑法保护体系，这对于保护我国公民个人数据信息和生命财产安全具有重要实践意义。

一、我国个人数据刑法保护的罪名梳理

（一）以计算机信息系统保护为核心的规范体系

我国《刑法》中第285条详细阐述了非法侵入计算机信息系统罪，但其只规定了非法侵入行为的方式类型，却将非法侵入这一行为的范围限制在计算机信息系统内部，并对计算机信息系统的内部范围再次进行限定，并且非法入侵范围仅限制在国家事务、国防建设、尖端科学技术这三大领域中。实际上，我国法律法规并未把数据安全作为单独的法律保护对象。在互联网时代里，网络数据信息具有巨大的经济价值，未经过网民个人允许，私自采集和利用网民个人数据信息，则极有可能对网民个人的生命财产安全造成严重威胁。因此，本人认为，我国在保护个人数据信息方面，应该把非法入侵行为的落脚点落在数据保护这一方面，而并非将其限制在计算机系统这一层面。

《刑七》的第285条增加了关于非法获取和控制计算机信息系统的犯罪行为，并纳入了非法控制计算机信息系统罪和工具罪。在《计算机解释》中，第1条只是把数据类型限制在个人身份信息内，而并没有把数据与计算机系统这二者进行分离，也未能够对二者展开独立保护。在司法实践中，个人数据犯罪行为频频发生，其不仅仅包括了对个人身份信息数据的手机和利用，还出现了采用非法途径来获取他人平台上的账号和密码来获取利益，还有通过入侵他人数据信息来获取他人的行踪轨迹的犯罪情况存在。因此，个人数据信息不仅仅存储于个人电脑和手机设备当中，也不能够只把计算机信息系统的范围限定在个人的互联网设备中，我们应该将任何入侵个人数据信息的系统、平台、数据库等行为，都认定为计算机信息系统罪。

（二）以个人信息系统保护为核心的规范体系

为了确保我国公民个人信件内容的安全，我国《刑法》第252条对侵犯通信自由罪进行了界定。根据侵犯信息自由罪的解释来看，此处所指的信件类型应扩大范围，不能够仅仅局限于个人纸质信件，还应当把电子邮件、手机短信、社交平台的聊天记录等囊括在内。只有把信件的类型和范围扩大，才能够让侵犯通信自由罪被司法执行。根据当前信息社会背景下的个人信息犯罪现象频频发生的情况，《刑七》在第253条刑法中增加了多种类型的个人信息犯罪行为，分别是出售公民个人信息罪、非法提供公民个人信息罪、非法获取公民个人信息罪等。此外，《刑七》把个人信息保护纳入到我国刑法保护内容当中，这不仅仅说明了我国对公民个人信息价值的重视和肯定，也说明了我国对当前社会上与个人信息犯罪行为相关的各类非法行为做出了回应。

《刑九》对侵犯公民个人信息罪进行了整合归纳，把非法出售、提供和获取公民个人信息的行为都纳入其中，并对我国现有的第253条刑法进行修改，其内容分别是拓宽公民个人信息的采集渠道、扩大个人信息犯罪行为主体的范围、扩大个人信息犯罪对象的范围、提高刑罚力度至七年。

二、我国个人数据刑法保护的不足之处

（一）个人数据保护范围界定不够明确

当前我国现有的法律法规中，尚未对“个人数据”的定义进行明确界定，而且在现有刑法中，尚未独立探讨“个人数据”的含义和其外延，这使得“个人数据”在概念既定上就存在了一定的局限性。而我国的《计算机解释》中，未能够对“计算机信息系统”和“数据”这两个概念进行界定和区分。

当前，我国的刑法关于“数据”这一概念的界定比较单一，只是将其与计算机系统关联在一起。我国的信息技术正处在飞速发展阶段，数据并不仅仅是通过计算机信息系统来进行存储、传输和分析的，其还可能存在互联网中的任何存储载体中，并通过互联网来实现传输和利用。所以我国司法解释对此采取了相应的措施，那就是扩大计算机信息系统的概念范围。但值得注意的是，网络的实质是数据信息传播的载体，换言之，和传统的信息传播方式相比，互联网改变的仅仅是信息传播方式，而“信息系统”与“信息”二者并不相同，是两个完全不同的概念，不能够混淆一谈，否则会难以有效地保护网民的合法权益，更难以科学合理地界定和评判数据犯罪行为。

（二）个人数据保护刑法体系不够完善

当前我国保护个人数据安全主要是从两个方面出发，分别是以计算机信息系统为主和以个人信息为主，这两种保护形式是在传统的个人信息安全保护的基础上进行的扩充，但是，我国刑法尚未提出以个人数据的角度出发的相关保护形式和犯罪行为。因此，我国对个人数据安全刑法的保护仍然存在较多的不足之处，其根本原因在于我国对于公民的个人数据安全保护这一信息时代下的新型权益的重视程度较低。

在刑事诉讼环节，若公民的合法权益受到侵害后，积极地展开全面保护和救济，应从三种模式来进行起诉，分别是公诉、自诉和二者结合的方式。当前，我国刑事诉讼模式采取的是将公诉和自诉这两种模式结合起来的方式。但是，在个人数据侵害这一犯罪行为中，根据当前我国的法律规定，仅仅只能采取公诉模式。尽管这种诉讼模式有利于受害者搜集证据，但是如果能够让受害者采取自诉模式，不仅仅能够在很大程度上节约司法资源，还能够及时地帮助受害者获取救济。

（三）《数据安全法》中存在的立法缺陷

信息时代数据流动的趋势难以阻止，互联网平台的核心在于其共享性，这就使得数据利用和数据传输等现象会持续不断地出现。针对这种情况，只从数据获取方式上进行司法实践，已经难以满足当前人们使用数据的需求，和其他的网络非法行为相比，滥用个人数据很可能引发严重后果，必须尽快推出相应的刑法来制约这种非法行为。但我国的刑法对滥用个人数据的行为还未制定合适的罪名，其原因在于《数据安全法》的重点在于严厉打击获取数据的非法行为，而对获取数据后的一系列操作的界定较为模糊，这也导致我国法律尚未能有效约束滥用个人数据这一行为，这种游离于刑法规制范围外的非法行为，让不少不法分子钻了空子。

我国《数据安全法》中第21条已经明确强调了构建数据分类分级别保护制度，并根据具体的情况来对数据类型进行划分。但当前的数据分类只是从大方向进行分类，而未能够更加细化数据类型。基于此，本文认为我国刑法应该细分数据类型，并对个人数据的类型和级别进行制定，根据不同个人数据类型对受害者产生的不同危害程度应采取不同的保护措施。

（四）《个人信息保护法》中存在的立法缺陷

我国现有的《个人信息保护法》界定了“个人信息”的概念，将匿名信息这一信息类型排除在外，其原因在于匿名信息并不具备识别特定自然人的作用。此外，我国的《个人信息保护法》还对个人信息保护规则进一步细化和区分，并对个人信息的相关活动进行明确界定。而我国的刑法中，只是把获取、出售和提供个人信息这三种类型的行为规定为侵犯公民个人信息罪，而未把使用、加工个人信息行为等类型纳入其中。而《个人信息保护法》作为前置法已经对此进行明确规定，那么我国的《刑法》作为后置法，也应该对这项行为做出规定。

在我国的《刑法》当中，侵犯公民个人信息罪是侵犯公民个人信息行为的核心部门。《信息解释》中对个人信息的类型进行分类和细化，其包括了个人行踪轨迹、个人通信内容、个人征信记录、个人财产信息等。但是，《个人信息保护法》对于个人信息类型的分类，只是将其划分为一般个人信息类型和敏感个人信息类型，这种分类方式更加具有归纳性，因此，我国现有的《信息解释》应根据《个人信息保护法》进行修改。

三、我国个人数据刑法保护的完善路径

（一）明确刑法中个人数据保护范围

我国现有的《刑法》尚未对“个人数据”进行明确界定，但是我国的司法解释中对侵犯个人信息罪中的“个人信息”的概念进行了明确界定。而我国现有的《民法典》和《个人信息保护法》中均有明确地提及“个人信息”的概念。因此，笔者认为，我国《刑法》对于“个人数据”这一概念进行界定的时候，可以将上述的法律作为参考，同时，在明确个人数据保护范围的时候应从两个角度进行优化：

从一方面来说，必须充分地将大数据技术进步所带来的个人数据范围扩大的可能性纳入其中，并参考现有的《信息解释》和《民法典》对“个人信息”的概念的界定，并采取概括兼列举的方式来界定个人数据的范围。从另一方面来说，个人数据中具有较高价值的是敏感数据和关键数据，而这两种数据的占比较低，更多的是一些价值较低的一般数据，因此，立法者应更重视对个人敏感数据和关键数据的保护，但也不能忽视对个人一般数据的保护。

（二）健全个人数据保护的刑法体系

我国应加强对数据安全活动的宣传力度，让各地区有效地实施各类数据安全宣传活动，有针对性地强调个人数据的重要性，通过相关案例来普及公民的个人数据保护意识。在日常生活中，大众应加强对个人数据信息的保护，比如，在网络平台设置密码时应采用三种类型及以上的字符作为密码，做到不随意把密码透露给他人；在注册网站的时候，不要盲目点击同意页面上的各类条款。但个人信息泄露时，应学会采用合法措施来维护自身权益。

同时，我国应对个人数据犯罪的诉讼模式进行改良，采取公诉和自诉模式相结合的方式，而不仅仅通过公诉模式来诉讼。其原因主要有三点时：首先，个人数据大多涉及受害者的个人隐私，通过自诉模式能够减少个人隐私对其产生的再度伤害，并能及时地得到救济；其次，个人数据犯罪行为大多刑罚轻微；最后，自诉模式能够节约司法资源，更加高效简便。因此，我国法律应当赋予被害人选择诉讼模式的权利，从而更好地保护受害者的权益。

（三）根据《数据安全法》完善个人数据刑法保护

如果要保护公民个人数据，那么《刑法》应该对个人数据的属性进行界定，明确界定个人数据这一概念，并对个人数据进行分类和分级。不同的数据类型和不同的数据等级所采取的保护措施不同，因此，如果不对个人数据类型进行细分和区别，那么就难以采取合理科学的保护方式。

根据个人数据的类型和重要程度，我国《刑法》应当制定不同程度的法律保护措施，从而根据不同类型和不同级别的个人数据犯罪行为来判断犯罪者所需要承担的民事责任、行政责任或是刑事责任。具体而言，若是侵犯个人敏感数据，应对犯罪者采取严厉惩罚，追究其刑事责任。通过分类分级别的方式来界定侵犯个人数据行为的严重性和类别，更具有合理性和科学性。

（四）根据《个人信息保护法》完善个人数据刑法保护

《刑法》中关于侵犯个人信息的行为方式必须与现有的《个人信息保护法》中的相关规定一致，在我国现有的《刑法》中，尚未对非法使用个人信息行为和删除个人信息行为做出明确界定。通常情况下，非法使用个人信息会造成严重危害，比如，“AI换脸事件”，这不仅仅侵犯了公民个人信息安全，甚至还会威胁到公民的个人生命财产安全和国家安全。目前，有不法分子对合法获取的个人信息进行非法使用，而导致难以将其认定为犯罪行为的情况出现。随着大数据技术的创新和发展，获取个人信息的手段不断优化和创新，我国的《刑法》对侵犯个人信息罪的界定不应只局限于非法获取、销售和提供个人信息这三种类型当中。

我国《刑法》应根据现有的《个人信息保护法》中个人信息的类型来对现有的个人信息类型进行分类和修改。现有的《信息解释》中，把个人信息划分为三种类型，但这种划分方式在面对一些具有融合性特点的个人数据信息时难以精准地对其界定。例如人们日常使用的健康行程码，其不仅仅具有行踪轨迹信息的特点，还具有个人健康生理信息的特点，所以在司法实践的认定环节中难以有统一的界定结果。本文认为，《个人信息保护法》中对于个人信息的分类更加科学合理，具有更强的整合性，可以把健康行程码这类个人信息归纳到个人敏感信息类型当中。因此，当对侵犯公民个人信息罪进行判断的时候，可以采用现有的《个人信息保护法》中对个人信息的分类，从而实现更加精准科学的界定。

结论

综上所述，想要全方位地保护我国公民的个人数据，就应充分地在我国现有的法律法规的基础上，从民事角度、行政角度和刑事角度来保护公民的个人数据信息。值得强调的一点是，刑法具有谦抑性特征，因而在实际操作环节，不能够轻易地采用刑法，而是应该将刑法和其他法律结合起来使用。因此，在当前我国国情下，笔者强烈建议，加大我国刑法和其他法律协调和衔接的力度，并加快构建健全的行政监管制度。