大数据时代个人信息法益刑法保护的应然转向——以规制非法使用个人信息为重点

我国《刑法》第253条之一侵犯公民个人信息罪规定的行为类型仅限于非法获取、出售或提供个人信息代表的转移行为,没有将非法使用个人信息行为纳入规制范围,造成刑事规制出现漏洞,体现了将个人信息自主片面地理解为转移自主、忽视使用自主的法益认识缺陷,进而仅以防范非法转移个人信息为入罪逻辑,使得个人信息法益刑法保护不周延。当前个人信息已然成为网络犯罪中的关键要素,非法使用个人信息现象愈演愈烈,侵犯公民个人信息犯罪已经逐渐形成“提供者—中间商—非法使用”的完整黑色产业链,各环节分工明确、组织严密,通过非法使用个人信息实施违法犯罪活动,进而变现牟利是诱发个人信息泛在泄露以及违法交易激增的根源,刑法单纯打击制裁非法转移个人信息行为只能是治标之策,导致侵犯个人信息犯罪刑事治理效果欠佳。随着进入大数据深度挖掘应用阶段,数字经济蓬勃发展背景下根植于个人信息的人身性、财产性、公共性等复合法益属性的使用价值日益凸显,使得个人信息使用自主相较于个人信息转移自主更具核心法益地位,个人信息刑法保护的重点理应从转移环节转向使用环节。非法使用个人信息属于下游行为,对公民的人身财产安全以及社会管理秩序造成极大损害或威胁,与处...     

非法提供网络爬虫技术行为的刑法规制

网络爬虫技术的广泛应用已经使之成为侵犯公民个人信息的重要工具之一,为了对公民的信息权加以妥当地保护,亟需就此类行为如何施以刑法上的规制展开讨论。采用文献梳理的方法,针对性地对非法提供网络爬虫技术行为进行研究,可以发现认定提供侵入、非法控制计算机信息系统的程序、工具罪,可以有效地规制网络爬虫技术对公民个人信息的不当侵害。对提供侵入、非法控制计算机信息系统的程序、工具罪的认定需重视本罪的行为类型化要求,同时爬虫技术应用的刑法违法性判断的关键在于是否取得了被爬取方的同意。提供爬虫技术的网络帮助行为在性质上等同于帮助行为正犯化,但是需要在法益侵害性的实质上加以考察。从实质化的刑法思潮来看,应当在归责理论的视野下解释网络帮助行为的性质。     

侵犯公民个人信息罪的认定

刑法中侵犯公民个人信息罪的认定标准应当与《个人信息保护法》相协调。在界定公民个人信息的内涵方面,应站在体系化的角度全面进行分析,可参考《个人信息保护法》对公民个人信息“二分法”的分类方式,并运用“概括+列举”式的规定,将公民个人信息分为敏感个人信息和一般个人信息。在限定“违反国家有关规定”方面,应对“国家有关规定”作限缩解释,仅包括法律和行政法规。在认定行为方式内容方面,应及时调整侵犯公民个人信息罪的行为方式内容,将更具社会危害性的合法获取个人信息后非法使用的行为,纳入侵犯公民个人信息罪的行为方式内容之中。     

非法获取个人数据犯罪的法益分析及处罚限定

个人信息权益、数据权益、信息管理秩序、数据安全秩序，是大数据时代下刑法保护的新兴法益。侵犯公民个人信息罪保护个人信息权益，非法获取计算机信息系统数据罪保护数据权益，二者都应作为个人法益保护。一方面，侵犯公民个人信息罪中“同意”要件的规范化构造，以刑法对个人信息的保护程度为基础，在因“同意”而产生的合理预期范围内由信息主体承担信息社会的风险。另一方面，以私法上个人数据确权理论为依据，非法获取计算机信息系统数据罪的对象应包含个人数据所承载的数据控制者的数据权益，处罚范围取决于个人数据上的企业投入及合法获取。非法获取个人数据的行为，可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合。     

侵犯公民个人信息罪刑法适用的调整和重构

司法解释有关侵犯公民个人信息罪中的个人信息的定义应同《个人信息保护法》的规定保持一致。合法获取但非法使用个人信息的行为亦应构成侵犯公民个人信息罪。侵犯公民个人信息罪是故意犯罪且相关行为应具有法益侵害具体结果。获得公民知情同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,"公民知情同意"的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。侵犯公民个人信息罪的保护法益应为与公民人格、财产权紧密关联的个人信息自决权。司法解释对"情节严重"的认定应根据个人信息对公民个人利益影响的紧密程度以及行为人的主观动机两个方面综合考量。司法解释应采用《个人信息保护法》的分类方式,将个人信息区分为敏感个人信息和一般个人信息两种,并对侵犯公民个人信息再犯情形的构罪标准进行修改。     

私家侦探引出侵犯个人信息罪第一案

2010年6月8日,因非法从事讨债、婚姻调查等活动,北京东方亨特商务调查中心、北京神州天之剑商务调查有限公司等5家调查公司的9名私家侦探,在北京市朝阳区人民法院受审。同时受审的,还有来自中国电信、中国联通、中国网通非法泄露公众信息的3名员工。他们分别被指控犯有非法获取公民个人信息罪、非法提供公民个人信息罪和非法出售公民个人信息罪。这3项罪名在2009年2月公布的刑法修正案中正式设立。     

窃取、收买、非法提供信用卡信息罪的刑法分析

窃取、收买、非法提供信用卡信息罪中的信用卡信息是指信用卡本身所承载的信息。对实践中出现的利用虚假的银行客户服务电话套取持卡人的信用卡信息资料的行为,不宜认定为“窃取”。“非法提供”是指将自己掌握、了解的他人信用卡信息传授给他人的行为。采用侵占、抢夺、抢劫、毁坏等方式取得信用卡信息的行为也不宜认定为本罪。由于本罪是选择性罪名,其犯罪形态的认定也应区别对待。本罪与出售、非法提供公民个人信息罪,非法侵入计算机信息系统罪,妨害信用卡管理罪以及非法获取计算机信息系统数据罪的界分,应从犯罪客体、客观方面予以把握。     

抢劫公民个人信息行为刑法规制的困境与疏解——以樊某等抢劫微信账号密码案为切入

抢劫公民个人信息行为是指以暴力、胁迫或其他具有相当性的方法非法获取公民个人信息的行为。由于不符合等质性要求、罪名的单一法益保护与行为的双重法益侵害间存在冲突、“情节严重”标准不匹配等原因,无法将“抢劫”解释入《刑法》第253条之一第3款的“其他方法”,侵犯公民个人信息罪不适用。另外,个人信息不具备管理、移转可能性与价值性,不符合刑法上“财物”的认定标准,即使账号密码类个人信息与数据企业收集整理的结构化数据亦是如此,因此抢劫罪不适用。在当前立法尚未修改的情况下,将抢劫公民个人信息行为拆解,分类探求刑法应对方法是相对合理的选择。但在未来必要时刻,当出现大量此类行为而现行刑法无法满足规制需要时,应考虑增设抢劫公民个人信息罪,以实现对公民个人信息权益的周全保护。     

我国数据法益的刑法定位及保护路径

随着大数据信息时代的到来,数据信息日渐成为重要资源,涉数据犯罪也日益猖獗。数据法益不单具有传统的个人人身和财产权属性,同时基于海量数据的集成化,其更具有公共属性。数据信息安全既关涉公民个人法益,更涉及集体法益,甚至关涉国家安全。目前我国刑法对数据法益的保护,主要集中于侵犯公民个人信息罪、非法获取计算机信息系统数据罪,相关法益之刑法保护明显不足。在总体国家安全观指引下,建议增设侵犯公共数据罪,逐步构建数据法益保护的刑法机制。     

非法获取通信用户个人信息的刑事责任探析

随着信息技术发展和信息搜集、处理能力空前提高,非法泄露个人信息的情况时有发生。为准确适用《中华人民共和国刑法修正案（七）》有关非法获取公民个人信息罪的规定,研究了通信用户个人信息的含义、“违反国家规定”的界定以及有关行为模式等问题。     

个人信息刑法保护之界限研究

在《网络安全法》加大侵犯个人信息违法行为处罚力度、两高最新司法解释进一步扩充刑法第253条之一构成要件的背景下,行政法与刑法的界限问题、刑法自身的边界问题变得非常突出,直接影响到罪与非罪的认定。个人信息的刑法保护不仅遭遇行政处罚和刑罚的界限分歧,还遭遇第253条之一构成要件要素自身的界限分歧,主要包括:"公民个人信息"范围的扩大使其边界范围模糊不清;"国家有关规定"的虚置化与冲突性导致其难以发挥罪状的限定作用;"人肉搜索"型侵害行为的范围具有不确定性;"非法收集"型侵害行为的入罪标准不具有实际可操作性。个人信息刑法保护问题本身跨越了宪法、行政法与刑法等法律部门的界限,其界限分歧问题实际上是刑法与宪法、刑法与行政法的界限问题,建立个人信息保护的宪法和行政法秩序、全面搭建个人信息保护的伦理秩序和规则体系可解决该问题。     

非法取得或利用人脸识别信息行为刑法规制论

人脸识别信息具备识别特定自然人身份的属性,应属于《刑法》第253条之一规定中的"公民个人信息".对于非法取得或利用人脸识别信息行为,现行刑法主要存在以下规制困境:一是尚未明确对非法获取、出售或者提供人脸识别信息的行为进行规制;二是尚未对非法存储、使用、加工人脸识别信息等可罚性较高的行为进行规制.人脸识别信息实际上可以归...     

滥用网络爬虫技术收集个人信息的刑法规制

随着网络爬虫技术的信息收集能力不断提升，其在被滥用时所造成的损失日益严重。认定“非法收集”个人信息，不仅应考察方法本身是否具有非法性质，还应考察收集信息的依据或资格。对突破反爬虫技术措施收集个人信息的行为，应根据法条之间的竞合关系，适用侵犯公民个人信息罪。对正常登录系统收集个人信息的行为，应考察收集行为是否出于履职的必要。对收集网站外部访问者的个人信息的行为，应根据网站功能、浏览内容确定信息的收集权限。     

风险刑法视野下侵犯公民个人信息罪研究

《刑法修正案(九)》关于侵犯公民个人信息罪的法律规定,集中体现了风险刑法视野下刑罚前置化、预防积极化等主张。由于我国刑法“重罪重刑”的特点较为明显,随着犯罪圈的进一步扩大,对侵犯公民个人信息这一轻罪进行处罚时要格外慎重,避免刑罚权滥用,侵犯公民合法权益。所以,在加大打击力度的同时,我们要按照罪行法定原则等要求,将公民个人信息、情节严重等相关概念予以规范,而且要明确关联犯罪的处罚原则,最大限度避免司法实践中的混乱。     

个人信息保护与刑法干预的正当性——兼评《刑法修正案（七）》第七条

相对于国家信息与社会信息的刑法保护而言,我国个人信息保护尚处于缺失的状态。为了保护公民个人信息安全性,《刑法修正案（七）》增加了对个人信息保护的条款。但是,围绕个人信息保护,引发了众多的争议,如“人肉搜索”是否入罪？鉴于此,我们从刑法干预的正当化根据出发,认为,个人信息安全是刑法介入个人信息保护的价值诉求,进而对个人信息刑法保护提出了建设性的构想。     

个人数位足迹刑法规制的功能性偏误与修正

对个人数位足迹法律属性的认识偏颇,不仅冲击刑法教义学的体系性,还危及整体法秩序的统一。纵使在实然层面上征表多重法益,但数位足迹更当为一种计算机信息系统数据。否定数位足迹作为公民个人信息,既可有效规避法规范间的冲突,还对公民个人信息外延的限制有所裨益。未经同意而利用技术手段爬取他人数位足迹的,可构成非法获取计算机信息系统数据罪;采集数位足迹造成他人计算机信息系统严重损害的,或为破坏他人计算机信息系统而为之的,构成破坏计算机信息系统罪。用户明示或默示同意他人收集自己数位足迹的,因欠缺法益侵害性而不构成犯罪;网络服务使用者未在合理限度内管控数位足迹而造成损害的,应自我答责。     

论公民个人信息刑事保护的疏漏与完善——以《刑法》与《个人信息保护法》的衔接为切入点

个人信息立法最早从刑法领域展开,刑法先于民法、行政法的立法节奏极易引发保护体系的不协调,《个人信息保护法》出台后,行刑衔接问题逐渐凸显。一方面,刑法规制的侵犯公民个人信息的行为类型有限,仅依靠法律解释难以实现保护范围的扩张;另一方面,侵犯公民个人信息罪作为行政犯,前置法作出的违法性评价对定罪有着重要影响,不当引用前置法极易导致刑事保护范围的非理性扩张。对此,可在明确刑事犯罪与行政违法边界的前提下,将刑事法调整范围扩张至所有信息处理行为,尽量实现侵犯公民个人信息罪规制范围的全面。同时,通过明示法规法保护目的的方式为侵犯公民个人信息罪划定合理的边界,避免处罚范围的不当扩张,实现合理的限缩并指引司法适用。     

侵犯公民个人信息罪在司法认定中的若干问题研究 ——兼评 《刑法修正案(九)》 第十七条

针对《刑法修正案(九)》对侵犯公民个人信息罪的修订而产生的争议,通过结合司法实践,指出应当以信息主体相关性、可识别性把握公民个人信息的内涵,同时应以多个维度考量本罪的"情节严重"标准,以期为理论研究及司法认定该罪名提供参考.     

专利权刑法保护:回顾与展望

刑事制裁是维护知识产权制度的最强力法律手段,"假冒专利罪"则是我国《刑法》旨在保护专利权、维护专利管理秩序的唯一罪名。第三次修改《专利法》使该罪名的构成要件发生变化,由此扩大了成立"假冒专利罪"的外延范围。与西方专利大国相比较,我国《刑法》仅仅制裁假冒专利者而不惩罚非法实施他人专利者的现状不能适应国内专利侵权案件频发之情势,应当对非法实施他人专利且情节严重者入罪处刑,以有效维护专利秩序,为贯彻《国家知识产权战略纲要》提供更有力的法律保障。     

法益重塑与模式更新：场景化视域下个人信息刑法保护的动态转向

传统上依赖私权维护的个人信息静态刑法保护模式不仅提高了信息流动的制度成本,还导致侵犯公民个人信息罪适用僵化、不灵活,不利于信息保护与利用的平衡。场景化理论主张信息合理流动,对破解这一问题具有重要意义。场景化视域下,个人信息不是私权的客体,侵犯公民个人信息罪不应保护个人对信息的绝对控制权,而应仅保护个人信息的合理流动权。动态刑法保护模式顺应了数字社会对个人信息场景化保护的要求,能有效实现信息保护与信息利用的平衡,应予以提倡。对于侵犯公民个人信息罪的适用,在“违反国家有关规定”方面,应重新界定其实质性内涵,发挥其限制入罪的机能;在行为对象上,要扩充高度敏感信息的内涵,使其适应个人信息分级保护的需要;在情节严重的认定上,要改变其中存在的根据单一标准认定情节严重的做法,通过场景整合,实现情节严重认定的综合化。