个人信息权刑法保护的立法及完善

个人信息权刑法保护的立法及完善刘宪权 方晋晔* 刘宪权，华东政法大学刑法学教授；方晋晔，华东政法大学刑法学硕士。本论文为上海市重点学科建设项目（学科代码：030104；学科编号：S30901）阶段性成果。【内容摘要】公民个人信息遭到非法收集、恶意使用乃至非法买卖等问题日益突出，刑法修正案（七）将一些严重危害公民个人信息安全的行为明确规定为犯罪，顺应民众的立法期待，符合世界各国和地区刑事立法的发展趋势.但修正案有关本罪的主体、客观行为之规定以及法定刑的配置存在一定的不足。侵犯个人信息权犯罪的刑事立法应加以完善，特别应注意刑法规定与行政法律法规之间的衔接，明确界定“情节严重”的考量因素，同时，应引入“告诉才处理”制度以及举证责任倒置制度。另外，应适时将“人肉搜索”等危害严重的行为纳入刑法调整的范畴，以在实践中更好地解决人们的实际难题。侵犯公民个人信息的犯罪没有必要分解为两个独立的罪名，罪名可确定为“侵犯个人信息权罪”。【关键词】个人信息 犯罪化依据 刑法保护 立法完善 罪名确定21世纪以来，通讯技术的迅猛发展使信息的传播速度达到了前所未有的水平，便捷的信息传播为人们带来了生活上的便利。然而，与此同时，个人信息被他人不恰当地掌握和利用也为人们带来了很多麻烦。泄漏明星艳照 2008年2月，香港明星陈冠希与多名娱乐圈女星的不雅照在网上曝光流传，造成轩然大波。、“人肉搜索” 与传统的搜索方式不同，“人肉搜索”不是仅依靠某个网络程序或者互联网资料库，而是更多地靠无数网民的参与，网民用自身的知识、经验、信息渠道,向提问者送上部分答案，再由其他网友补充、完善，直至最后得出确切的答案，在这个过程中不可避免地会涉及到公开他人的个人信息。等个人信息滥用的行为给个人信息所有者造成了巨大的精神伤害，人们赖以生存的道德、法律和信仰无疑也会受到不同程度的负面影响。对这些情况加以分析，我们不难看出现代社会保护个人信息安全的重要性。但是，个人信息安全是否属于法律（特别是刑法）保护的范围？若属于保护的范围，我们又应通过怎样的路径来实现？这些无疑均是我们必须直接面对且要积极作答的问题。基于和谐的法律理念，“我们应当关注社会现象，确定它们保持和谐的法律以及它们急需的一些秩序原则”。 美本杰明卡多佐：司法过程的性质，苏力译，商务印书馆1998年版，第45页。个人信息权的保护，正成为这样一种引起普遍关注的社会现象。笔者认为，既然侵犯个人信息权行为实际大量存在，因此构建个人信息权保护机制也就成为我们面临的重大课题。从立法层面来说，对于各类可能发生的侵犯个人信息权行为，都应该有相应的法律规范来调整，形成由民事责任、行政责任、刑事责任三个层面构成的有机结合的体系。应该看到，我国个人信息保护法专家建议稿从2003年就开始起草，2005年初已经完成。同年，国务院有关部门亦已启动了个人信息保护法的立法程序，并交由国务院信息管理办公室正式起草，但时至今日却仍未正式颁行，可谓立法进展缓慢。但是，与此相反的是，全国人大常委会新近通过的刑法修正案（七）却捷足先登，明确提出要追究泄露、窃取、收买公民个人信息行为的刑事责任，从而拉开了个人信息权刑法保护的序幕。一、侵犯个人信息权行为犯罪化的依据众所周知，在自然经济条件下，犯罪的基本形态就是自然犯，自然经济条件下社会发展非常缓慢，受社会谴责的行为按千百年来人们所熟悉的观念、伦理标准就能判断，所以对于自然犯的社会危害性的判断，其标准是确定的。然而，随着市场经济的发展，社会关系变得多样而复杂，随之而来的就是社会生存、人类生活的方方面面时时处处都有风险相伴。可以说，随着市场经济的发展，风险社会1986年乌尔里希贝克出版了风险社会一书，他将现代社会解释为风险社会。贝克认为：人类面临着威胁其生存的由社会所制造的各种风险。现代的人类身处的社会充斥着组织化的不负责任的态度，风险的制造者以整个社会的风险为代价来保护自己的利益。其中，主导西方的经济制度、法律制度和政治制度不仅卷入了风险的制造，而且参与了对风险真相的掩盖。人类应该反思现代性，以应对现代社会的种种风险。就到来了。随着风险社会的到来以及新型安全需要的扩展，这样就不得不影响国家安全管理的方略。为了适应新型安全需要，此时国家就需要将其予以犯罪化，以刑罚加以威慑。（一）侵犯个人信息权行为具有严重的社会危害性社会危害性是犯罪最本质的特征，行为不具有严重的社会危害性，刑法不可能也不应该将其纳入犯罪之列。人们关注一个事物，总是因为它跟我们的利益密切相关，即这一事物不是对我们有利，就是对我们不利甚至有害。如果某种行为不会造成任何社会危害，民众根本不会去关注它，立法者也不会去重视它并将其规定为犯罪。其实，人们最初对某种侵权行为的关注，正是因为它对社会造成了较为严重的危害。据人民日报与人民网联合调查发现，个人信息受侵犯情况已呈蔓延之势，90%的网友表示曾亲身遭遇个人信息被泄露，有94%的网友认为当前社会个人信息泄露问题非常严重。有79.8的受访者表示对自己的个人信息泄露非常愤怒和无奈。而64.73%的网友表示在遇到自己的电话号码、住址等资料被公开时，将坚决拒绝接待骚扰者，16%的网友表示对其敷衍对付，15%的网友表示会追问那些人的信息来源，但常常没有结果。 肖潘潘：九成网友个人信息遭侵犯，载人民日报2007年11月16日第10版。 公民的个人信息在未经自己授权的情况下被随意传播或作其他处理，不仅对公民个人造成伤害，更重要的是对保障公共安全、经济发展、以及政府的管理都有很大的影响。现代商业社会，客户关系管理(CRM)已经成为企业经营的必要手段，如果个人信息得不到良好的保护，受害人群就会自发防范，导致各类企业、机构很难合情合理地获取和使用个人信息数据，进而会影响经济的发展。为保护自己，老百姓就不再愿意通过任何途径透露个人信息，包括政府管理过程当中需要填写的信息。“没有完善的个人信息保护制度，绝不可能有真正的政府信息公开制度。” 刘潇潇、张娜：“三大危害”暴露个人信息安全隐患，载法制早报2005年5月9日第7版。因此，将侵犯个人信息权行为予以犯罪化，明确公共权力的介入，对于扼制目前严重的个人信息滥用，建立信息时代人们对个人信息安全必须具备的信心，对于保障国家信息化建设进程，推动电子商务、电子政务的发展，都有重大意义。（二）侵犯个人信息权行为体现了不同程度的道德谴责性日本学者大谷实认为，将某种行为作为犯罪进行处罚，除了要求该行为必须对法益具有侵害或危险外，为了实现维持社会秩序的目的，犯罪和刑罚必须同时立足于国民的健康的道义观。 日大谷实：刑法总论，黎宏译，法律出版社2003年版，第6页。 而其中伦理的悖德性便构成了行为社会危害性的道德内容。伦理的悖德性，乃针对普遍公认的基本道德情感的否定性行为指向，核心内容是其反道德性、反伦理性、悖德性、非人性；悖德性即反伦理性是指针对自然道德情感的蔑视和否定，与恶意的内涵和外延基本相似。考察我国立法可知，刑事立法不可避免地会融入道德方面的内容，并且会自觉地将社会伦理道德作为立法正当性的一个支撑。笔者认为，侵犯个人信息权的行为实际上体现了不同程度的道德谴责性。一切与公共利益无关的个人活动，如日常生活、社会交往、夫妻间的性生活、婚外性关系等均属于私人不愿意公开的活动和事实，刺探、泄漏、宣传、非法干预这些活动和事实都是侵害个人信息权的行为。许多个人信息如果公开，就有可能形成危害和影响社会的道德问题，甚至形成有伤社会风化的问题。中国长期所处的封建社会，不是靠健全的法制来统治和规范人们道德行为的，而是靠儒家的道德思想来教育和规范人们社会行为。因此，这种传统的思想文化沉积，也给有些人喜欢议论、揭露、甚至侵犯他人隐私，提供了一个习以为常的思维习惯。这些行为之所以可以滋生甚至蔓延，主要是因为它们有存在的市场，而这个市场的根本就是每个人都有或轻或重的“窥私”心理。有了这样一个庞大的温床，窥私的尺度就会不断的冲击社会的道德防线，小则诋毁一个人的名誉、造成家庭产生矛盾，大则毁掉一个人的前途、造成社会不安。（三）侵犯个人信息权行为犯罪化顺应民众的立法期待人是理性的经济动物，在判断、选择是否行为、如何行为前都要进行经济的衡量。马克思在资本论中所说：一旦有适当的利润，资本就大胆起来。如果有10的利润，它就到处被使用；有20的利润，它就活跃起来；有50的利润，它就铤而走险；为了100的利润，它就敢践踏一切人间法律；有300的利润，它就敢犯任何罪行，甚至冒绞首的危险。目前，在我国，以非法获取公民个人信息并以公民个人信息进行非法营利，或私自利用公民个人信息以交易为目的进行要约或要约邀请的行为，十分猖獗。信息公司得到一份写有个人信息的名单后，只要有人想买，就可以无数次地转手卖出，利润可观。应该看到，在刑法修正案（七）出台之前,我国对于个人信息买卖的行为法律上尚无具体适用的条款，对其行政处罚也几乎不可能。于是乎，买卖个人信息就成为了一个一本万利，且无任何风险的新兴行业。可见，监管的真空是个人资料频频被出卖的主要原因。与此同时，公民通过法律来保护自己的个人信息往往就会遭遇“取证难、维权难、成本高”，大多数情况下可以说是“告诉无门”。刑罚是以国家强制力作为后盾、最为严厉的制裁方法。笔者认为，在侵权行为日益猖撅的今天，仅仅以其他诸如民事制裁手段似乎很难扼制这种现象的滋生和蔓延，只有通过刑法这种最严厉的保障手段才能有效地对个人信息权进行保护，刑法的最后保障性质决定了侵犯个人信息权犯罪需要刑法的调整和介入。在人民日报与人民网联合调查中，88.37%的网友认为，应该尽快出台个人信息保护的相关法律法规。有91.41%的网友认为应该依法追究导致个人信息泄露者的相关责任，严重者可以进行刑事处罚。 肖潘潘：九成网友个人信息遭侵犯，载人民日报2007年11月16日第10版。 在2008年的全国两会上，多位代表和委员提交建议和提案，呼吁尽快制定个人信息保护法，以应对当前个人信息保护不力甚至随意泄露的局面。人们期待个人信息保护立法早日进入实质性的立法程序已是一个不争的事实。在这种情况下，先对刑法进行相关修正，并明确将个人信息权纳入刑法保护的范围，虽在立法顺序上并不完全合理，但却顺应民众的立法期待，也属情有可原。（四）侵犯个人信息权行为犯罪化成为国际性的发展趋势由于近年来滥用甚至盗用个人信息给公民造成财产损失或者精神损害的恶性案件时常见诸报端，促使了各国政府在推进信息化社会建设中加快了通过立法保护个人信息权的步伐，同时也加大了对侵犯个人信息权行为的打击力度。据不完全统计，世界上制定个人信息保护法律的国家和地区已经超过五十个。 周汉华：中华人民共和国个人信息保护法（专家建议稿）及立法研究报告，法律出版社2006年版，第28页。由于实践中出现的各种侵害个人信息权行为的复杂性和危害性，仅仅靠普通的民事救济机制或者行政处罚措施往往难以保障法律的实施，因而从各国和地区个人信息保护的立法情况看，对违反个人信息保护法的行为制定刑事法律规定已经成为较普遍的做法。在美国，泄露个人信息、以虚假身份骗取他人个人信息、保护个人信息渎职行为等个人信息相关犯罪都被明确规定为犯罪行为，其隐私权法第9条第3项规定：任何人明知且故意以虚假身份向某机关申请得到或得到有关个人的档案材料，应被判为轻罪并处以5000美元以下的罚金。葡萄牙个人数据保护法第47条第1款规定：任何依据法律受职业保密义务约束的人，如果在无正当原因且无正当同意的情况下全部或部分地揭露或披露个人数据，必须被处以1年或240天的监禁。波兰个人数据保护法第51条规定：作为数据文件系统的管理员，无论基于故意或者过失，违犯保护个人数据免于未经授权的转移、损害或者破坏的义务的，行为人将被处以罚款、部分限制自由最高一年的监禁。较为特殊的是韩国的公共机关个人信息保护法第23条第1款对“以妨害公共机关的个人信息处理业务为目的，变更或者删除公共机关处理的个人信息”的行为，处以10年以下徒刑，这一规定是笔者目前掌握的各国或地区侵犯个人信息权利刑事制裁中较为罕见的重刑规定。此外，在法国、德国、意大利、英国、瑞典等国以及我国的台湾、香港地区也均有相应的刑事法律规定。由此可见，将侵犯个人信息权行为犯罪化已经成为世界各国和地区刑事立法的发展趋势。相比较而言，我国保护个人信息权的刑事立法还处在刚刚起步的阶段，境外已有的立法实践无疑具有一定的借鉴意义。因此，借鉴国外的立法模式，构建一个合理的个人信息权刑法保护体系，有其现实意义。二、个人信息权刑法保护修正案规定的评析全国人大常委会本次通过的刑法修正案（七）在刑法第253条后增加一条，作为第253条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”。“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”修正案的这一修正意味着侵犯个人信息权将可能触犯刑法，并作为犯罪处理。笔者认为，刑法修正案（七）有关侵犯个人信息权犯罪的补充修正虽然具有十分重要的意义，但是，相关条款规定中仍存在一些不足或欠妥之处：（一）侵犯个人信息权犯罪主体规定的不足刑法修正案（七）第7条分为三款，第一款列明了本罪的主体为国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，第二款并未对犯罪主体作特别的规定，而第三款则专门规定单位犯罪。分析上述刑法修正案（七）的规定，我们完全有理由认为，本罪第一款规定的犯罪主体为特殊主体，而第二款规定的犯罪主体则是一般主体。在此，我们需要讨论的是，第一款规定的犯罪主体是否仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”？应该看到，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员较之其他社会人员能更方便、容易得到公民个人信息，因而他们实施侵犯个人信息行为的可能性更大。同时，由于他们特殊的主体身份要求他们必须恪守职业操守、维护政府公信力，因而对这些机构的工作人员以更严格的法律约束，是完全有必要的。然而这并不意味着除所列主体之外的其他人员，在符合此项法条中所规定的行为要件时，就可以不受到刑事追究。在今天这样一个信息时代里，计算机和网络技术的不断发展，让个人信息搜集变得越来越简单。对于那些持有公民个人信息的其他人员恶意出售，甚至采取窃取、收买等方法非法获取公民个人信息，如果没有刑事责任跟进，个人信息买卖产业有可能被迅速催生。在当下这个个人信息保护相关立法还有待健全的时段里，这样的迹象实际上已经出现。从这个意义上说，如果将其他人员排除在外，现行刑事立法就不能涵盖全部严重侵犯公民个人信息权的行为，从而无法达到惩治相关犯罪的效应，同时也难以满足公众维护合法权益的实际需要。从国外的立法例上看，大多数国家和地区均选择将法律不加区别的适用于公共部门（包括其工作人员）与私营部门（包括其工作人员以及普通个人），例如，欧盟指令、欧洲理事会协定以及奥地利、波兰、阿根廷等国的相关法律均作了基本相同的规定。因此，为加强对个人权利的保护，在刑事立法中对涵盖一般主体在内的严重侵犯公民个人信息的行为均予以刑罚约束，无疑已是时不我待的一项立法设计。需要指出的是，本次通过的刑法修正案（七）纠正了原草案中有关本罪规定的内容，明确将单位列入本罪的犯罪主体之中，笔者认为这是十分必要的。这主要是因为，单位从事侵犯公民个人信息行为的情况也比较频繁。在司法实践中，自然人实施的侵权行为，无论从手段、涉案信息量和引发的恶劣社会影响来看，都远远逊于单位所实施的行为。单位（尤其是国家机关）在履行公务或提供服务活动中，相对于个人更容易掌握大批量的个人信息，其实施的侵权行为往往涉及面更广、犯罪手段更隐蔽、引发现实危害或潜在危险的几率更高。当这些部门为了利益而侵犯了公民的个人信息权时，社会公众对他们的信任将逐渐丧失，由此会使得人们降低对社会的安全感，导致人们恐惧交流、缺乏信任，最终将严重影响到整个社会的正常运转。增加单位犯罪的规定无疑是一项明智之举，但是这里的单位应当如何加以界定：是仅限于国家机关、金融、电信、交通、教育、医疗这六类特殊主体还是特指类似的具有公共服务职能的机构，抑或涵盖所有的一般单位主体呢？笔者认为，正如自然人犯罪有特殊主体和一般主体之分，单位犯罪同样也应该有这种划分，只是理论上对此很少加以研究而已。依笔者之见，如果某一罪刑法规定自然人犯罪的主体是特殊主体的，其相应的单位犯罪的主体也应为特殊主体，即自然人与单位在主体的身份上应保持一致性。事实上，刑法修正案（七）有关本罪的立法规定，也倾向于将本罪中单位犯罪的主体限定于国家机关等公共服务机构。 全国人大常委会法制工作委员会负责人郎胜回答记者提问时指出，国家机关在履行职权的时候，或者是一些公共服务机构在向社会提供公共服务的时候，依照法律和法规的规定需要收集一些公民的信息，包括公民的收入信息、家庭住址信息、联系方式等等，这些法律和行政法规同时也规定，国家机关和公共服务机构必须承担对这些信息予以保密的义务，非有法律规定不得泄露。 需要指出的是，由于修正案对本罪自然人犯罪主体的规定明显分两种情况，即第一款为特殊主体，第二款为一般主体，因此，从立法上分析，单位犯前两款罪的，同样也应该有单位特殊主体和单位一般主体之分。但是，正如前文在讨论本罪自然人犯罪主体时的观点一样，笔者认为，立法对本罪单位犯第一款罪的主体作出限定并不十分妥当，因为，实践中确实存在如车行、物业公司、网站等私营性质的单位在合法收集个人信息后又加以出售或非法提供给他人的情况，其社会危害性并不亚于公共服务机构实施的侵权行为。因此，将这些单位纳入本罪犯罪主体之列并不为过。综上，我们完全可以认为，本罪单位犯罪主体应该涵盖所有的单位，即将本罪规定犯罪主体中的“等”字作列举未穷尽的解释。如果这样理解，似乎更有利于加强对个人信息权的全面保护。（二）侵犯个人信息权犯罪客观行为规定的不足应该看到，行为人将本单位在履行职责或者提供服务中获得的信息出售或者非法提供给他人，实际上就已经严重侵犯了公民的个人信息权，但在刑法修正案（七）中，却在本罪构成的客观行为前增加了“违反国家规定”的前提条件。这里所谓“违反国家规定”，应如刑法第96条规定：是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。正因为本罪有了这一前提条件的设置，实践中的具体适用就可能会遇到障碍。如前所述，由于我国当前相应的法律法规还不尽完善，特别是对国家机关使用公民个人信息尚缺乏充分的规制。而在国家法律、法规或者规章中没有相关的针对公民个人信息收集、管理的单位及工作人员的义务性规定的情况下，相关行为人的行为也就缺乏了构成本罪的前提要件。这完全可能导致行为人即使实施了出售或者提供公民个人信息的严重危害行为，我们也无法将其认定为犯罪的后果。此外，在诸如查询身份证号码等服务工作中，相关行为人提供公民的个人信息的行为事实上是有“国家规定”支持的，尽管现在看来这些规定多少体现着该部门或者行业的利益而忽视了对公民个人信息的保护，但有规定支持这是客观存在的事实。在这种情况下，相关行为人完全会以有“国家规定”为借口而规避刑法的制裁。如果真是如此的话，似乎又与刑法修正案（七）保护公民个人信息权的刑事立法原意背道而驰了。在中国的立法体系中，有一种非常奇怪的现象，那就是上位法通过授权性规范，把本来应该属于自己规定的内容交给下位法。而下位法却总是体现着行业或者部门的利益。在层层授权的法律体系中，公民宪法和法律的基本权利很难有效地落到实处。 乔新生：披露和搜集个人信息都需严格规范，载法制日报2008年8月27日第3版。笔者认为，我国刑法应当率先垂范，尽可能地减少“空白罪状”，取消授权性条款。这样做既可以维护我国宪法和法律的严肃性，防止行政法规、规定肢解宪法和法律，同时也可以更好地维护公民宪法和法律上的基本权利。综上所述，刑法禁止国家机关和服务行业工作人员及单位出售或者非法向他人提供个人信息，是落实公民宪法基本权利的表现，但刑法修正案（七）相关规定增加了“违反国家规定”的前提条件，完全有可能导致这一规定难以落实，沦为一纸空文的后果。（三）侵害个人信息权犯罪法定刑的配置正如贝卡里亚在论犯罪与刑罚一书中所述，犯罪对公共权益的危害越大，促使人们犯罪的力量越强，制止人们犯罪的手段就应该越强有力如果说，对于无穷无尽、暗淡模糊的人类行为组合可以应用几何学的话，那么也很需要有一个相应的、由最强到最弱的刑罚阶梯。有了这种精确的、普通的犯罪与刑罚的阶梯，我们就有了一把衡量自由和暴政程度的潜在的共同标尺，它显示着各个国家的人道程度和败坏程度。 意切萨雷贝卡里亚：论犯罪与刑罚，黄风译，中国方正出版社2004年版，第17-18页。 刑法之所以为刑法，是因为它给了每种国家认为需要加以规制的行为标出了“刑”，并且在刑的设定上一定要与其罪相对称而形成了一定的梯度空间。这是罪责刑相适用原则的要求，我们理应加以遵守。然而，分析刑法修正案（七）有关本罪的规定，我们可以清楚地看到，有关本罪第一、二款的规定中，尽管行为方式有很大的不同，但却配置了完全相同的法定刑，这是笔者所不能认同的。尽管我们认为本罪的主体应涵盖一般人员，但毕竟本罪重点打击的对象还应是处于源头的国家机关和服务行业工作人员，因为其行为的严重程度远高于一般人员。如果不从法定刑的规定上进一步强调从重惩处，就难以突出这些机构的工作人员犯罪的严重性，难以对他们合法履行职务起到良好的监督与督促作用，因此笔者认为，对于这些特殊机构及其工作人员利用职务之便出售或非法提供公民个人信息的，应当从重处罚。三、个人信息权刑法保护的立法完善笔者认为，刑法修正案（七）有关侵犯公民个人信息权犯罪的增设确实可圈可点，它不仅仅是我国个人信息权法律保护的进步，更体现国家尊重和保障人权的宪法原则在社会生活的又一方面的渗透和延伸。就此而言，刑法修正案（七）有关本罪的规定基本上能适合我国打击侵犯个人信息权犯罪司法实践的需要。但是，如何增强立法的可操作性和公民信息权的可救济性，也是我们所必须考虑的重要问题。从以往经验看，一项罪名规定的出台不仅要在价值观上满足公众的期待，而且还要在实践中能解决人们的实际难题。我们应该清醒地看到，我国有关侵犯个人信息权犯罪法律规定中仍存在有一些问题，需要我们从理论上加以研究和探讨，并适时进行完善。笔者认为，当前侵犯个人信息权犯罪的刑法完善主要有以下五方面的内容： （一）刑法条文与行政法律法规之间的协调按照犯罪性质的分类，侵犯个人信息权的犯罪应当属于法定犯，也即侵犯个人信息权的犯罪行为必须以违反相应法律法规为前提，如果没有违反相应的法律法规，也就不存在有侵犯个人信息权的犯罪。换言之，法定犯的行政违法性是其刑事违法性的前提。只有违反了法律法规的行为，经过刑事法律的选择将其中严重的违法行为规定为犯罪，加以刑事制裁，才构成相应的犯罪。就此而言，我们可以说侵犯个人信息权的犯罪均应具有行政违法和刑事违法的双重性，行政违法性是刑事违法性前提。但随着刑法修正案（七）的公布，我国个人信息权的刑事立法实际上已先于前置性立法出台。“刑法新增的这一法条将产生一个倒逼机制，推动相关的立法机关尽快制定和出台个人信息保护法。” 陈晓英：刑法亮剑“倒逼”个人信息保护法出台，载法制日报2008年9月5日第8版。刑事责任引入后，必然会从刑事责任掉过头来逼迫前面需要明确行政责任的环节，这就要求健全前端的实体法，否则刑法的这些规定也很难落到实处。不过，以刑法倒逼前置法的出台在我国立法史上早有先例，我国的证券法的出台就是最好的佐证。 1997年在证券法草案尚未成熟，一时难以出台的情况，新刑法中先行规定了“内幕交易罪”、“编造并传播影响证券交易的虚假信息罪”、“诱骗投资者买卖证券罪”、“操纵证券交易价格罪”等证券方面的犯罪。同样，在期货交易法尚未制定之时，立法机关先行通过刑法修正案，增加了有关期货犯罪的规定。虽然立法者率先启动个人信息保护的刑事立法工作，可能是由于目前侵犯个人信息权利行为猖獗、立法规划、立法难易程度等方面的现实原因，但经验告诉我们，由于法律颁布的时间不可能完全相同，因此，将来颁行的个人信息权行政法律法规与刑法条文的规定可能会出现不一致。 例如，我国的证券犯罪最早是由1997年刑法作了比较完整的规定，以后颁布的证券法也就证券犯罪作了具体规定，但两者的规定在内容上就有些不一致的地方。例如，根据原刑法第174条擅自设立金融机构罪规定中未包括证券、期货机构等,而证券法第178条、第179条规定，“非法开设证券交易场所”、“未经批准并领取业务许可证，擅自设立证券公司经营证券业务的行为”也可能构成犯罪。现在相关修正案已对刑法该条作了修正。 没有前置性立法作为基础的刑事立法往往会产生诸如立法依据不足、与此后产生的法律相冲突、执法效果不佳、降低刑法的威信，使民众产生“要么不追究、要追究就上刑罚”的抵触情绪等一系列的问题。因此，在立法进程较难改变的情况下，我们建议应加快个人信息单行法律的制定进程，并在制定过程中密切注意与先前已经颁布的刑法规定的衔接。同时，由于行政法律法规颁布在后，而刑法颁布在前，人们一般就会习惯性地用后法优于前法的思路考虑这一问题，但是在具体认定犯罪时，我们仍必须以刑法（含刑法修正案）的规定为标准。因为根据我国罪刑法定原则的要求，定罪量刑只能以刑法的规定为依据，如果刑法没有明文规定，即使其他法律法规作了规定也不能给当事人定罪量刑。（二）本罪“情节严重”的内容需加以明确从我国刑法修正案（七）相关规定看，我国个人信息犯罪以“情节严重”作为构成犯罪的前提条件。在刑法修正案（七）的草案公布以后，社会上曾出现过这样一种观点，即认为从严惩犯罪和让法律法规具有更多的可操作性等角度看，法律法规还是少些诸如“情节严重”之类的原则性规定为好。而且实际上上也确实很难判断行为人的行为是否达到“情节严重”的程度，具体到现实生活中，同一种泄露公民个人信息的行为，对于不同的人会产生截然不同的结果。比如说，手机号码泄密，对于普通人来说，可能仅仅是多收几天垃圾短信，但如果是出镜率高的公众人物，正常的生活则可能完全被打乱。由此，有人担心本罪“情节严重”的规定会大大增加审理此类案件的难度。但是，笔者对这一观点不能苟同。依笔者之见，刑法修正案（七）在本罪的构成要件上规定“情节严重”是完全必要的。因为，刑事责任的追究，针对的是社会危害性较为严重的违法行为，具体到公民个人信息权的法律保护，对于一般的侵犯公民个人信息的违法行为，我们完全可以通过民事和行政的途径追究其违法责任，而不必动辄启动刑法追究其刑事责任。任意扩大刑事责任的适用范围不符合刑法原理和“宽严相济”的刑事司法政策，刑法修正案（七）将“情节严重”作为本罪的构成要件体现的也是这一精神。笔者认为，犯罪构成要件中“情节严重”的判断，主要是一个司法裁量的过程，一般可从违法者主观恶意深浅、违法是否造成严重后果、影响是否恶劣等方面来定夺。侵犯个人信息权犯罪中的“情节严重”，通常可以包含对被害人造成严重损失、泄露、获取个人信息数量较大或者次数较多、造成恶劣影响等情况。单位或者个人是否恶意出售或者多次非法提供、窃取、收买公民个人信息，是否形成了窃取、提供、出售等犯罪组织网络，窃取、提供、出售他人信息是否导致他人人身和财产的严重损害等等，都可以作为“情节严重”的考量因素。当然，在司法实践中，要认定“情节严重”，根据法治统一的基本原则，还需要由最高人民法院、最高人民检察院单独或者联合出台司法解释予以界定。（三）将本罪规定为“告诉才处理”的犯罪目前，告诉才处理的案件包括侮辱、诽谤罪、暴力干涉婚姻自由罪、虐待罪以及侵占罪等5个罪名。应当说上述5种犯罪所保护的都是特定人具体的私权利，这些私权利虽然是作为刑事法学的规范对象而存在的，但从本质上讲还是受公法保护的私人权利。由于个人信息权属于公民的个人权利，同样也具有私权利的相关特性，且与其他侵犯人身权利和民主权利犯罪相比较而言，对这种权利侵犯的危害总体上还属于较为轻微的。因此，我们完全可以借鉴上述5种犯罪，将侵犯个人信息权的犯罪也设计为告诉才处理的犯罪，赋予被害人选择是否“告诉”的权利，更加及时地为受损害的权利寻求司法保护，有效地保护个人信息权权利人的合法权益。从某种程度上说,这样做应该会比起公诉节省较多的司法资源，从而符合诉讼经济原则。当然，这种告诉才处理案件的范围应该是针对未严重破坏社会秩序和国家利益的行为，具体是针对可能判处三年以下有期徒刑、不需要经过专门侦察的侵犯个人信息权犯罪案件。如果行为人侵犯公民个人信息的行为严重破坏了社会秩序和国家利益，就不应属于告诉才处理案件的范围。 （四）确立新的举证责任分配原则作为信息时代的新型犯罪，侵犯个人信息权行为有着不同于一般侵犯人身权行为的特殊性：（1）侵权行为的专业性。目前，社会上出现一些专门收购和买卖个人信息的“生意人”或中介机构，信息泄露交易呈专业化、行业化的特点，一些商家或个人通过问卷调查、网络注册会员登记等方式收集用户信息；（2）侵权行为的多样性：消费者在就医、求职、买车、买房、买保险，办理会员卡、优惠卡或银行卡时填写的个人信息被出售。（3）侵权行为的隐蔽性。公民在网络登录申请邮箱、注册进入聊天室等填写的个人信息被非法搜索或链接；名片代印机构储存的大量个人信息被泄露；废旧电脑磁盘恢复数据等等，都有可能造成个人信息的外泄，而这些行为大部分没有物化的证据，侦查机关需用技术手段来证明犯罪行为存在。此外，确定犯罪主体的现实身份也需要相应的技术手段，这对侦查机关的技术水平、侦查手段、证明过程提出了新的要求。面对本罪取证难的问题，站在法律完善的角度，可考虑在一定的限制条件下引入举证责任倒置规则，即在必要的情况下，法院可以责令侵权人提供其没有侵权的证据，使举证责任由自诉人向被告人转移，如果被告人无法证明这一事实，就可推定其行为是非法的。在具体立法时，应准确把握举证责任倒置和转移的条件。笔者认为，在侵犯个人信息权犯罪案件中，公诉人（自诉人）的举证责任的范围主要包括被告人存在侵权的可能性以及被告人实施的侵权行为给被害人造成的严重后果。相应的，被告人应证明自己是通过合法渠道获得当事人个人信息的以及其使用该信息的合法性。如果被告人无法证明这一事实,那么就可以初步认定其从事了侵犯个人信息权的犯罪行为。当然，这一思路是否可行，有待进一步研究。（五）适时将“人肉搜索”等危害严重的行为纳入刑法调整的范畴 近些年来，“人肉搜索”造成的社会危害是众所周知。从2006 年的“铜须”事件、“虐猫”事件，2007年的“辱师”事件直至2008年的“人肉搜索第一案”，在这些事件中，除了泄露公民个人信息外，往往还会衍生威胁、谩骂、骚扰、侮辱、诽谤等违法行为，对当事人的情感与生活都造成严重伤害，而且受害者无法控制信息传播的速度和范围，其危害甚至比泄露、窃取、收买公民个人信息行为更为严重。对于社会危害性更为严重的行为反而不加以刑罚的惩治，显然有违罪刑相适应的基本原则。特别是对那些因“人肉搜索”随意传播他人隐私而致使受害者精神失常、自杀或者报复社会等严重后果的行为，更应当追究其相应的刑事责任。因此，对“人肉搜索”行为从刑法上进行规范是十分必要的。当然，立法追究“人肉搜索”者刑事责任，决不意味着任何“人肉搜索”行为都要被追究刑事责任。“人肉搜索”行为入罪，本身涉及价值判断、界限的确定、可行性的分析等诸多问题，不能一概而论。首先，从价值判断上，“人肉搜索”是一柄双刃剑，虽然带来了一定的负面影响，但其反映民情民意、实施舆论监督的作用也正在逐渐显现，这在“周老虎”事件、林嘉祥事件、周久耕事件中早已得到验证。网民将涉嫌违法、违纪或道德上存在严重问题的人和事件以及相关信息公布在网上，进行评判，如果行使得当，有利于社会进步，也有利于公共利益的实现。因此，规范“人肉搜索”的基本前提是准确划分侵犯个人隐私与实施网络监督之间的界限。 其次，“人肉搜索”行为也不能一概认为就涉嫌“非法”。有些网民是通过特殊技术手段在网上窃取了当事人的个人信息公布在网上，这显然符合侵犯个人信息权犯罪的客观要件，但更多的网民是将一些当事人的广为人知的信息传到网上，甚至有些网民只是借助搜索引擎将网上已经公开的当事人个人信息再次进行公布，这样的行为是否也能认定为“非法”行为呢？这也是目前将“人肉搜索”入罪在立法技术上的一个难题。最后，“人肉搜索”发动者和参与者的主观用意在某些情形中并不一致，“人肉搜索”倘若被别有用心者所利用，可能催生出血案。 2008年10月22日晚，新乡市五一大道发生一起惨案，来自四川的20岁大一女生周春梅被其前男友连刺数刀致死。在这起简单的刑事案件中，却隐藏着另一个凶手“人肉搜索”。善良的网民们被居心不良者利用了，“人肉搜索”成了凶手挟私报复的工具，最终酿成大祸。 此时，对于“人肉搜索”的发动者而言，发动“人肉搜索”只是其实施其它犯罪行为的预备行为，无须再将其侵犯个人信息权的行为规定为犯罪；而相对于参与者而言，仅管其行为可能导致严重的危害后果，但由于不存在主观上的恶意，加以刑事惩罚显然并无必要。这也就要求我们对“人肉搜索”入罪的可行性加以深入的研究，不宜仓促