云计算视角个人信息与刑法保护:什么是刑法

云计算视角个人信息与刑法保护

云计算视角个人信息与刑法保护 2006年，Google提出了云计算；
而作为现在及未来计算机行业具有重要影响力的新型技术，云计算一直受到计算机业界的重视，并逐渐成为大家追逐的新宠。至目前为止，国际间对于“云计算”的具体定义尚未取得共识[1]。有人认为，云计算“是一种以互联网为基础的新的服务模式，通过把互联网上各种异构或自治的资源组织起来为个人和企业提供按需获取的计算服务。由于计算资源存在于互联网上，并且在计算机流程图中互联网往往作为一个云状图形表达，所以云是各种资源的抽象”[2]；
或者说，“云计算是通过Internet提供动态的、易扩展的、虚拟化的计算资源的一种计算方式，用户不需了解‘云’中基础设施的细节，不必具有相应的专业知识，也无需进行直接地控制”[3]。通过云计算方式来管理信息，优点有五个方面：到期即付模式；
实际使用订购模式；
前端电信成本降低；
计算资源弹性调配与效益；
不分时地，永远可以取用信息并使用到强大的计算能力。

缺点有五个方面：交由第三人代管的信息安全与隐私问题；
无法直接对实体的硬件予以管控或取用；
对于累赘及企业永续经营信息的管控；
无法确知实体信息的实际所在（管辖权归属认定）与知识产权权益的界定与维护；
与服务提供商之间的定型化契约争议[4]。可见，“交由第三人代管的信息安全与隐私问题”是云计算时代急需克服的主要难题之一，信息安全成为“云”落地化雨、润泽全球的一大瓶颈。2011年3月，谷歌邮箱爆发大规模的用户数据泄漏事件，约15万Gmail用户的所有邮件和聊天记录被删除，部分用户的账户被重置，谷歌表示受到影响的用户约为总数的0.08%。同年4月，被认为是亚马逊史上最为严重的云计算安全事件发生，即亚马逊云数据中心服务器大面积宕机。同时，索尼旗下Playstation网站遭入侵，黑客侵入索尼公司位于美国的数据服务器，窃取其PS3和音乐、动画云服务网络Qriocity用户登录的个人信息，受影响用户多达7700万人，涉及57个国家和地区……毋庸置疑，信息资源是信息社会的核心资源，个人信息是其中非常特殊的一部分，因为它与自然人的人身、财产以及社会管理秩序等密切相关。根据识别性定义，个人信息是指可以直接或间接识别本人的信息的总和，包括一个人生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等方面[5]。

世界上许多国家均已将个人信息纳入到法律保护体系之中，主要包括民法、刑法和行政法的保护。由于国家背景、社会环境以及法系传统等差异，各国对个人信息与隐私的界定区别较大[6]，其刑法保护不尽相同，但是力度和范围都在不断加大、逐步完善，以解决日益增多的相关法律问题。对于云计算时代个人信息的安全，刑法将起到不可替代的作用。对国内外关于个人信息刑法保护的立法进行比较研究，有利于取长补短，可为我国立法提供借鉴与参考。一、国外对个人信息刑法保护的典型立法评析目前，国际上已有的个人信息保护专门立法中，大多规定有多种法律责任。

对于刑法责任，这里分别针对欧美与亚洲的典型立法作出评析，以资借鉴。

（一）俄罗斯俄罗斯于2006年颁布的《个人资料法》第二十四条规定：“在违反本联邦法律的要求中有过错的人承担民事责任、刑事责任、行政责任、纪律责任和俄罗斯联邦法律规定的其他责任。”该法只作出概括性规定，其中犯罪主体是一般人，主观方面表现为过错，此外并没有详细规定具体的犯罪行为，显得过于笼统，操作性较差。《俄罗斯联邦信息、信息化与信息保护法》第十五条规定了信息资源占有者的义务和责任，第二款为：“依照俄联邦法律规定，信息资源的占有者违反信息工作规章要承担法律责任。”第二十四条是保护询索信息的权益，其中第三款规定了刑事责任：“在非法限制信息询索和违反信息保护制度上有过错的国家政权机关、机构的领导人、其他职员，依照刑法、民法和关于行政违法的立法承担责任。”可见，该法把个人信息作为信息资源的一部分，明确规定“非法限制信息询索”的犯罪行为和笼统规定“违反信息保护制度”的犯罪行为，主观方面均要求“过错”，犯罪主体限制为“国家政权机关、机构的领导人、其他职员”，虽然较《个人资料法》具体一些，但存在犯罪主体范围小、犯罪行为不具体、主观方面不全面等局限，使该法不够具体、操作性差，预防和打击个人信息犯罪的作用有限。

（二）日本 2003年颁布的《日本个人信息保护法》中，个人信息“系指与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识别出特定个人的部分（包含可以较容易地与其他信息相比照并可以借此识别出特定个人的信息）”，其刑法保护主要体现在第五十六条至第五十九条，内容包括：
（1）犯罪主体是“个人信息处理业者”，即将个人信息数据库用于其业务的当事人，但是国家机关、地方公共团体、独立行政法人和对个人权利利益造成危害的可能性较小（从其所处理的个人信息数量及利用方法考虑）且由政令所规定的当事人除外。根据第五十八条，要承担刑法责任的主体除了当事人本身以外，还包括从业者，即法人（包含规定有代表者或管理人的非法人团体）的代表者、法人或自然人的代理人、雇员以及其他从业者。（2）犯罪行为主要是个人信息处理业者违反法律规定的义务行为，包括利用个人信息时超越利用目的之限制的行为、以虚假或其他不正当手段获取个人信息的行为、获取个人信息时对利用目的未按要求通知的不作为、违反采取安全管理措施义务的行为、违反对从业者和被委托人实行监督义务的行为、不遵守向第三人提供个人数据的限制规定的行为、违反就所持有之个人数据所涉及事项的公布等义务的行为、违反个人信息公开和订正等义务的行为、违反个人信息的利用停止等规定的行为、未向主管大臣提交个人信息报告或提供虚假报告的行为。

（3）刑法处罚为6个月以下的徒刑和30万日元以下的罚金。

（4）刑法保护客体是个人信息数据库，即包含个人信息的集合物，包括可以利用计算机检索特定的个人信息的、系统地构成的物品，以及由政令规定的、可以容易地检索个人信息的、系统地构成的物品。总体来看，《日本个人信息保护法》对个人信息的刑法保护规定比较详细，易于操作，并且对当事人及其从业者采取双罚制，有利于实现保护目的。该法不足之处在于：刑罚以罚金刑为主、整体较轻、惩戒力度不大；
规制的犯罪行为主要是个人数据库的二次利用，基本没有涉及信息的提取、收集等原始获得行为；
保护客体是个人信息数据库，不包括其他形式的个人信息，失之过窄；
对犯罪主观方面未作规定，过于笼统宽泛。

这些将降低犯罪的违法成本，不利于个人信息权益的保护。

（三）美国美国隐私权法刑事处罚部分规定了三种轻罪，犯罪主体分两类：机关官员、雇员和任何人；
前者的犯罪行为是泄露相关信息材料或不按要求保管档案系统，后者是以虚假身份向某机关申请得到或得到有关个人的档案材料；
两类主体的犯罪主观方面均是明知、故意，刑罚均为轻罪并处5000美元以下罚金。此外，由于美国对个人信息保护采取的是分散立法模式，个人信息的刑法保护主要体现在《公平信用报告法》中。该法针对两种社会危害性较为严重的行为追究刑事责任，其保护对象限于征信机构中的相关信息，主观方面都要求“明知或故意”：对消费者信息，犯罪行为只包括从征信机构欺诈获得的行为，主体是任何人，应被单处或并处罚款或两年以下的监禁；
对本征信机构文档中的信息，犯罪主体限于其职员或雇员，犯罪行为表现为向未被授权接受者提供信息，被单处或并处罚款或2 年监禁。可见，美国相关法律对个人信息犯罪的刑事责任虽较日本重些，但也不算严厉，尤其是打击的犯罪行为极其有限，没有涉及信息的收集、提取阶段。当然，这也许是考虑到世界银行有关专家的提醒：如果强加了太严厉的法律职责，可能会产生许多信息主体、授信机构不愿提供信息，而最终损害个人信息管理行业的发展[7]。

随着信息技术的发展和商业模式的转变，如何更好地保护互联网用户隐私成为美国政府关心的问题。2010年，美国商务部就此启动全面评估，征求公众意见。2012年2月23日，美国政府提出网络用户隐私权利法案，并设立了指导方针，要求相关利益方商讨制定这一法案的具体执行措施。根据白宫发布的报告，该法案为保护用户隐私设定了7项原则，包括：网络用户有权控制哪些个人数据可以被收集和使用；
有权得到易于理解的有关隐私和安全方面的信息；
个人信息被收集、使用、披露的方式必须与用户提供这些信息的背景相一致；
企业必须负责任地使用用户信息等。谷歌、雅虎、微软和美国在线在内的众多互联网企业已表示将在浏览器上使用“不跟踪”技术，以方便网络用户决定是否接受上述公司的追踪行为。相信不久的将来，针对网络中个人信息的刑法保护，尤其是为了预防和打击云计算环境中的个人信息犯罪，更加具体、可操作性强的有力规范将会出台。

（四）德国 1990年德国的《联邦数据保护法》在刑事责任方面比美国严厉，根据其罚则部分规定[8]，表现为：第一，对于个人数据无权限地随意地进行收集、提供、变更的人，或采取不正当方法提取个人数据者，无论是数据主体自身取得还是他人取得，都要处1年以下有期徒刑或罚金。该规定保护的个人数据范围和处罚的犯罪主体没有限制；
主观方面要求很低，只要是“无权限”即可；
犯罪行为集中在信息的收集获取阶段，尤其是数据主体为自身取得而不正当提取个人数据的行为也构成犯罪，显得异常严厉，体现了个人信息及其提取的公共性质且不容信息主体滥用的精神。第二，违反正当目的的个人数据接受或提供行为：接受数据的机关或提供个人数据的第三者，如把数据用于正当目的以外，处1年以下有期徒刑或罚金。第三，对非法目的的遏制：犯罪主体是征信机构或接受数据提供的机构，非法目的包括取得非法报酬、为了自身利益或陷害数据主体等，犯罪行为包括数据收集、提供或变更，处罚是2年以下有期徒刑或罚金。第四，对以上行为提起诉讼的，要予以受理，以从程序上保障权利人的救济、追究犯罪人的责任。第五，对违反秩序的行为进行刑事处罚：没有对数据主体进行通知的情况、没有设置数据保护特使的场合、没有把法律规定的有关征信机构业务等情况向监督官厅进行报告者，无论故意还是过失，都要处以5万马克的罚金。可见，德国1990年《联邦数据保护法》的刑罚制裁涉及面广、规定细致可行。德国2003年修改的《德国联邦数据保护法》对侵犯个人数据的行为进行了更为详细的规定。其中第四十四节规定了相关刑法处罚内容：犯罪主体是一般主体；
犯罪主观方面主要表现为故意，目的是获取报酬、或者意图为自己或他人牟取暴利、意图损害他人利益等；

犯罪行为及其客体主要指第四十三节第二款列举的六种情形，涉及未经授权的收集、处理、恢复、持有和获取通常情况下无法获取之个人数据的行为、以虚假陈述的方式骗取非向公众公开的个人数据之传输的行为、违反法律规定向第三方传输数据的行为、违反法律规定将某些特征和个人信息相结合的行为。该法的刑罚包括2年以下有期徒刑和罚金刑。第四十四节第二款还明确规定：第一款所规定的犯罪行为只有在有人针对其提出控告的情况下才能对行为人起诉，控告可以由数据主体、负责数据保护的联邦委员和监督组织提出。可见，该法赋予多种主体以控告权，既可保障数据主体的权利得到及时救济，也可维护司法公正、保证审判中立。德国《联邦数据保护法》分别在2001年、2003年和2006年进行了重大修订，内容均有大幅调整[9]。该法体系完整、结构清晰、规范明确，且根据信息技术和经济发展的新情况不断调整，可为立法参考。其中刑法规范确定的个人信息犯罪主体范围广泛，犯罪行为清晰详细，犯罪要件明确，尤其是将犯罪行为延伸到个人信息的收集与获取阶段、同时打击二次利用，极大地加强了对个人信息主体的保护，值得借鉴。

（五）总结分析综上，国际上的立法趋势是，多数国家和地区对个人信息侵犯行为给予相应的刑法处罚，但因各自经济发展水平、法律传统、决策的价值取向等差异，具体规定不完全相同，甚至区别很大；
并由于网络技术的快速发展与立法滞后的矛盾，导致直接针对网络中、尤其是云计算技术带来的个人信息安全的法律保护不理想。总结起来，国外现有的立法主要表现在：一是犯罪主体方面，有一般主体与特殊主体、法人与自然人、单位与职员、公务机关与非公务机关等区分，不同主体涉嫌的犯罪行为及处罚后果也有区别。二是犯罪客体上，一般都以个人信息（数据）为客体，或者区分不同种类和行业的个人信息进行不同规定，也有仅对个人数据库或个人数据文档进行保护而不包括所有的、各种形式的个人信息。三是犯罪行为是刑法规范的核心内容，多数立法仅限于规范个人信息的二次利用行为，如泄露、出售、传输等，但是德国对收集行为和信息主体自己收集都作出刑法规制，实属创举、意义重大。四是犯罪主观方面，有些立法并未明确规定，仅以“违反法律”作为笼统条件，尚需结合不同法律作出具体分析，而有明确规定的立法多以“故意”、“明知”为要件，打击面侧重于惩戒主观过错，对过失犯罪的规定不够明确。五是刑罚上，种类比较相似，一般都是有期徒刑和罚金刑，但程度有别：日本、美国偏轻，德国则比较严厉；
另外，日本采取双罚制，有利于保护个人信息主体的利益。六是对于诉讼性质，有自诉和公诉（如德国）两种方式，各有优劣，或可互补。

二、我国对个人信息刑法保护的立法与实践评析在我国的刑法体系中，可以找到一些直接或间接保护个人信息的法律规定，以及一些典型的司法实践，对此加以评析，有利于突出优点、发现不足，为全面有力地保护个人信息和完善立法提供参考。

（一）我国《刑法》的相关规定我国现行《刑法》中，许多犯罪行为与公民个人信息有着紧密联系，例如第二百四十五条、第二百四十六条、第二百五十二条等设立的非法搜查罪、侮辱诽谤罪、非法侵入住宅罪和侵犯通信自由罪等，在一定程度和范围内通过惩罚侵犯公民个人生活安宁权和私人信息保密权的行为，加强了对公民名誉权和隐私权的保护。行为人实施上述犯罪行为的过程中必然会侵犯到公民个人信息，对其处罚也是对公民个人信息的间接刑法保护。但由于立法当时并未考虑到个人信息管理这种特殊经营形态，因而存在欠缺和疏漏，对以上犯罪行为应采取原有规定罪名还是采取侵犯个人信息的罪名也存在诸多争议，此种方式的个人信息刑法保护也处于名不正言不顺的尴尬境地，有待有关专业人士对此深入研究。我国于2009 年通过的《刑法修正案（七）》在刑法第二百五十三条后增加了规定，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”至此，我国个人信息刑法保护得以确立，尽管其中仍有不足之处，但毕竟在个人信息刑法保护上向前迈进了重要一步。2011年5月1日起施行的《刑法修正案（八）》并没有继续关注个人信息犯罪。但是，随着云计算的普遍落地应用，原有的个人信息网络犯罪问题将会被进一步扩大、加重，新的犯罪类型也会逐渐显现。到时，刑法的进一步修正与个人信息专门保护法的制定及二者之间的衔接又将为社会所关注，而此方面的学术研究与论证也会为修法与立法打下理论基础。

（二）我国个人信息刑法保护的实证分析2010年1月3日，因周建平向其他被告人（涉嫌诈骗）非法出售个人信息资料，广东省珠海市香洲区法院以非法获取公民个人信息罪判处其有期徒刑一年六个月，并处罚金2000元。此即国内第一起以非法获取公民个人信息罪定罪的案件，是打击个人信息出卖泛滥的一剂“猛药”，令人欣喜[10]。2009年9月，北京民航机关服务局下属联营办的工作人员周广进利用工作便利，向该联营办离职职员李笑辰、甘雪斌提供大量机场工作人员的个人信息；
随后李笑辰、甘雪斌利用这些信息仿造民航机场巴士乘车证1000多张并出售，共获利20余万元，被北京市朝阳区人民检察院提起公诉。这是北京第一起因出卖个人信息被追究刑事责任的案件。

以前，类似案件一般会以伪造有价票证罪的共犯来追究犯罪人的刑事责任，但要求有共同主观故意，如果无法证明周广进知道李笑辰、甘雪斌利用他透露的个人信息作何用途，就无法追责；
现在依据《刑法修正案（七）》出售个人信息罪名，可以直接定罪[11]。可见，《刑法修正案（七）》的实施确实“终结”了肆意盗用公民个人信息而不受刑事处罚的时代，但是两案中依然存在缺憾，比如：一是犯罪主体限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员、单位和其直接责任人，打击范围较为有限。事实上，随着经济的高速发展和网络技术的不断进步，个人信息滥用造成的隐患日益严重，且常常是被动地、途径多样地被他人、他方泄露，比如在银行、电信等部门或在买车、买房等环节。任何人、任何单位都可能因滥用个人信息而给他人和社会带来危害。国际立法上，许多立法例都未对犯罪主体进行具体限制，所以我国刑法应扩大犯罪主体范围。二是在犯罪行为及其环节上，两案中被追究刑责的都只是“二道贩子”，“只管支流，没抓源头”，到底是谁首先非法获得或首先出卖这些个人信息依然悬而未决。根据现有刑法规定，“出售或者非法提供给他人”、“窃取或者以其他方法非法获取上述信息”之外的非法收集、提取、传输、删除等处理行为，得不到刑罚打击。信息提取和收集行为是一切个人信息处理行为的源头，各国法律都规定收集者应当说明自己的身份、征集信息的目的等，禁止采取欺骗、窃取、贿赂、利诱、胁迫、利用计算机网络侵扰或者其他不正当的方式收集个人信息等，以有效保护信息主体个人信息权。一般认为，采取非法手段收集个人信息本身就是对个人信息权的侵犯，对于严重的损害行为，造成严重社会危害性的，则有必要对加害人强加刑事责任予以制裁。我国刑法规定在此处的缺憾有待弥补。三是在保护客体上，《刑法修正案（七）》保护的是国家机关与五大行业在履行职责或者提供服务过程中获得的公民个人信息，对于其他单位和个人以其他渠道和方式获得的公民个人信息，将得不到该条刑法的保护，范围偏窄。另外，对个人信息的概念，《刑法》也未作出界定，对此可采《个人信息保护法》界定的概念，但缺憾是我国目前尚无《个人信息保护法》。这点可谓《刑法》的缺陷之一，因为在罪刑法定视野下，不能对概念随意推定和解释，因此《个人信息保护法》应当尽早出台，其中应当对公民个人信息的定义作出明确规定，包括公民个人信息的范围、内涵、外延等诸多细节方面。四是在犯罪主观方面，我国并未明确区分故意与过失，较为简单，对实施相同行为而主观过错不同的犯罪，得不到区别惩罚。因此，此方面应该细化规定。

三、我国个人信息刑法保护的加强与完善大势所趋的云时代正渐行渐近，不论以何种方式，加强和完善个人信息的刑法保护、保障“云端”的信息安全，是现在和将来相当一段时间的国际性课题。

针对我国的现实情况，借鉴其他国家的先进立法，我国个人信息刑法保护的加强与完善，应着重考虑以下几个方面：
（一）加强网络与云计算技术的科普宣传，培养个人信息网络安全法律意识尽管对于网络社会、网络技术、网络犯罪等名词与现象，许多人并不陌生，但是就个人信息本身，尤其是网络中的个人信息安全，许多人并没有相关的法律意识。在云计算时代，通过实现IT技术、资源的共享和高度集中使其成为真正的基础资源，使得普通用户能够享用更高端的IT服务，但同时减弱了用户的控制能力，使云计算个人用户的数据安全性和隐私保护问题面临更大的威胁。对此，人们进一步思考到，当自己的数据由第三方托管时，服务商具有数据的优先访问权，可随意处置，甚至通过数据挖掘等技术发现可用的私密信息，而这些行为一旦发生，云计算用户很难发现或追查取证。可见，对个人信息安全，云计算带来的是空前的挑战，“预防”远比“救济”重要得多，所以应加强网络用户个人信息安全法律意识的培养。

（二）完善现有的刑法规范，扩大个人信息的保护面虽然我国在个人信息刑法保护上迈出了很大一步，但现有的个人信息刑法保护制度仍存在诸多空白和漏洞，规定较少，尚未形成完善的法律保护体系。在尚无专门的《个人信息保护法》时，将个人信息犯罪纳入传统刑法、以修正案的方式进行规范，是现实可行的做法。但是，许多方面需要参考和借鉴其他国家和地区的立法，进一步完善。如上所述，《刑法修正案（七）》不论在打击的犯罪主体、犯罪行为上，还是在个人信息范围上，保护都是有限的；
同时，其条文规定也不够细致、全面，比如，对非法获取公民个人信息罪要求“情节严重”，但目前并无明确的细则规定。

（三）尽快出台《个人信息保护法》，增大行为人的违法成本 2012年央视“315”晚会的现场，公民个人隐私被恶意泄露和滥用的猖獗现象被集中曝光，个人信息保护问题再一次成为社会各界关注的焦点。目前，一些人不怕被追究刑责，除了法律意识淡泊以外，还因为违法成本不大。打击个人信息犯罪行为不应止于刑罚，还应将行政责任、刑事责任、民事责任三者对接，全面杜绝个人信息的泄露。从现有立法例来看，一般都将三种法律责任统一规定在个人信息保护的专门法中，便于信息主体的维权与司法的适用。我国保护个人信息的法律仍散见于一些法律、法规及规章中，专门法尚未出台。个人信息作为法律保护对象，无论是民法保护、行政法保护还是刑法保护，其保护的客体范围应当一致，《个人信息保护法》中对公民个人信息方面的基本概念和基本问题应有明确而统一的规定，理论上对个人信息权的内容结构、权利义务与责任体系等进行研究[12]，在专门法中对云计算、云安全等涉及的个人信息问题作出规定，并在此基础上完善个人信息的法律保护体系，避免疏漏、落实保护。

（四）加强司法与执法力度，确保个人信息权益的实现个人信息具有无形、可复制、易传播等特点，使个人信息违法行为的认定比较困难，尤其是网络中的个人信息违法犯罪，对司法实践是一个很大的挑战。

一是取证较难，个人信息的泄露途径较多，究竟如何被泄露等，调查起来十分困难。二是实践中非法提供个人信息的犯罪主体比立法广泛，如各类事务所、职业介绍所、物业管理处等都可能实施相同行为，网络中的主体因具有虚拟性、跨国界性等，都增加了追究其法律责任的难度。三是管辖困难，个人信息传播迅速，行为地点多变，致使管辖时确定犯罪地点和管辖地不太容易。因“徒法不足以自行”，没有司法与执法的有效实施与保护，制定得再好的法律最终也会因毫无威信而被束之高阁，因此，加强立法的同时，还要针对现实中执法困难等问题，加强司法规制与执法力度，从正面鼓励人们维权、从反面威慑违法犯罪，以达成法治秩序。