導語：云計算視角個人信息與刑法保護一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

2006年，Google提出了云計算；而作為現在及未來計算機行業具有重要影響力的新型技術，云計算一直受到計算機業界的重視，并逐漸成為大家追逐的新寵。至目前為止，國際間對于“云計算”的具體定義尚未取得共識[1]。有人認為，云計算“是一種以互聯網為基礎的新的服務模式，通過把互聯網上各種異構或自治的資源組織起來為個人和企業提供按需獲取的計算服務。由于計算資源存在于互聯網上，并且在計算機流程圖中互聯網往往作為一個云狀圖形表達，所以云是各種資源的抽象”[2]；或者說，“云計算是通過Internet提供動態的、易擴展的、虛擬化的計算資源的一種計算方式，用戶不需了解‘云’中基礎設施的細節，不必具有相應的專業知識，也無需進行直接地控制”[3]。通過云計算方式來管理信息，優點有五個方面：到期即付模式；實際使用訂購模式；前端電信成本降低；計算資源彈性調配與效益；不分時地，永遠可以取用信息并使用到強大的計算能力。缺點有五個方面：交由第三人代管的信息安全與隱私問題；無法直接對實體的硬件予以管控或取用；對于累贅及企業永續經營信息的管控；無法確知實體信息的實際所在（管轄權歸屬認定）與知識產權權益的界定與維護；與服務提供商之間的定型化契約爭議[4]。可見，“交由第三人代管的信息安全與隱私問題”是云計算時代急需克服的主要難題之一，信息安全成為“云”落地化雨、潤澤全球的一大瓶頸。2011年3月，谷歌郵箱爆發大規模的用戶數據泄漏事件，約15萬Gmail用戶的所有郵件和聊天記錄被刪除，部分用戶的賬戶被重置，谷歌表示受到影響的用戶約為總數的0.08%。同年4月，被認為是亞馬遜史上最為嚴重的云計算安全事件發生，即亞馬遜云數據中心服務器大面積宕機。同時，索尼旗下Playstation網站遭入侵，黑客侵入索尼公司位于美國的數據服務器，竊取其PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息，受影響用戶多達7700萬人，涉及57個國家和地區……毋庸置疑，信息資源是信息社會的核心資源，個人信息是其中非常特殊的一部分，因為它與自然人的人身、財產以及社會管理秩序等密切相關。根據識別性定義，個人信息是指可以直接或間接識別本人的信息的總和，包括一個人生理的、心理的、智力的、個體的、社會的、經濟的、文化的、家庭的等方面[5]。世界上許多國家均已將個人信息納入到法律保護體系之中，主要包括民法、刑法和行政法的保護。由于國家背景、社會環境以及法系傳統等差異，各國對個人信息與隱私的界定區別較大[6]，其刑法保護不盡相同，但是力度和范圍都在不斷加大、逐步完善，以解決日益增多的相關法律問題。對于云計算時代個人信息的安全，刑法將起到不可替代的作用。對國內外關于個人信息刑法保護的立法進行比較研究，有利于取長補短，可為我國立法提供借鑒與參考。

一、國外對個人信息刑法保護的典型立法評析

目前，國際上已有的個人信息保護專門立法中，大多規定有多種法律責任。對于刑法責任，這里分別針對歐美與亞洲的典型立法作出評析，以資借鑒。

（一）俄羅斯

俄羅斯于2006年頒布的《個人資料法》第二十四條規定：“在違反本聯邦法律的要求中有過錯的人承擔民事責任、刑事責任、行政責任、紀律責任和俄羅斯聯邦法律規定的其他責任。”該法只作出概括性規定，其中犯罪主體是一般人，主觀方面表現為過錯，此外并沒有詳細規定具體的犯罪行為，顯得過于籠統，操作性較差。《俄羅斯聯邦信息、信息化與信息保護法》第十五條規定了信息資源占有者的義務和責任，第二款為：“依照俄聯邦法律規定，信息資源的占有者違反信息工作規章要承擔法律責任。”第二十四條是保護詢索信息的權益，其中第三款規定了刑事責任：“在非法限制信息詢索和違反信息保護制度上有過錯的國家政權機關、機構的領導人、其他職員，依照刑法、民法和關于行政違法的立法承擔責任。”可見，該法把個人信息作為信息資源的一部分，明確規定“非法限制信息詢索”的犯罪行為和籠統規定“違反信息保護制度”的犯罪行為，主觀方面均要求“過錯”，犯罪主體限制為“國家政權機關、機構的領導人、其他職員”，雖然較《個人資料法》具體一些，但存在犯罪主體范圍小、犯罪行為不具體、主觀方面不全面等局限，使該法不夠具體、操作性差，預防和打擊個人信息犯罪的作用有限。

（二）日本

2003年頒布的《日本個人信息保護法》中，個人信息“系指與生存著的個人有關的信息中因包含有姓名、出生年月以及其他內容而可以識別出特定個人的部分（包含可以較容易地與其他信息相比照并可以借此識別出特定個人的信息）”，其刑法保護主要體現在第五十六條至第五十九條，內容包括：

（1）犯罪主體是“個人信息處理業者”，即將個人信息數據庫用于其業務的當事人，但是國家機關、地方公共團體、獨立行政法人和對個人權利利益造成危害的可能性較小（從其所處理的個人信息數量及利用方法考慮）且由政令所規定的當事人除外。根據第五十八條，要承擔刑法責任的主體除了當事人本身以外，還包括從業者，即法人（包含規定有代表者或管理人的非法人團體）的代表者、法人或自然人的人、雇員以及其他從業者。

（2）犯罪行為主要是個人信息處理業者違反法律規定的義務行為，包括利用個人信息時超越利用目的之限制的行為、以虛假或其他不正當手段獲取個人信息的行為、獲取個人信息時對利用目的未按要求通知的不作為、違反采取安全管理措施義務的行為、違反對從業者和被委托人實行監督義務的行為、不遵守向第三人提供個人數據的限制規定的行為、違反就所持有之個人數據所涉及事項的公布等義務的行為、違反個人信息公開和訂正等義務的行為、違反個人信息的利用停止等規定的行為、未向主管大臣提交個人信息報告或提供虛假報告的行為。

（3）刑法處罰為6個月以下的徒刑和30萬日元以下的罰金。

（4）刑法保護客體是個人信息數據庫，即包含個人信息的集合物，包括可以利用計算機檢索特定的個人信息的、系統地構成的物品，以及由政令規定的、可以容易地檢索個人信息的、系統地構成的物品。總體來看，《日本個人信息保護法》對個人信息的刑法保護規定比較詳細，易于操作，并且對當事人及其從業者采取雙罰制，有利于實現保護目的。該法不足之處在于：刑罰以罰金刑為主、整體較輕、懲戒力度不大；規制的犯罪行為主要是個人數據庫的二次利用，基本沒有涉及信息的提取、收集等原始獲得行為；保護客體是個人信息數據庫，不包括其他形式的個人信息，失之過窄；對犯罪主觀方面未作規定，過于籠統寬泛。這些將降低犯罪的違法成本，不利于個人信息權益的保護。

（三）美國

美國隱私權法刑事處罰部分規定了三種輕罪，犯罪主體分兩類：機關官員、雇員和任何人；前者的犯罪行為是泄露相關信息材料或不按要求保管檔案系統，后者是以虛假身份向某機關申請得到或得到有關個人的檔案材料；兩類主體的犯罪主觀方面均是明知、故意，刑罰均為輕罪并處5000美元以下罰金。此外，由于美國對個人信息保護采取的是分散立法模式，個人信息的刑法保護主要體現在《公平信用報告法》中。該法針對兩種社會危害性較為嚴重的行為追究刑事責任，其保護對象限于征信機構中的相關信息，主觀方面都要求“明知或故意”：對消費者信息，犯罪行為只包括從征信機構欺詐獲得的行為，主體是任何人，應被單處或并處罰款或兩年以下的監禁；對本征信機構文檔中的信息，犯罪主體限于其職員或雇員，犯罪行為表現為向未被授權接受者提供信息，被單處或并處罰款或2年監禁。可見，美國相關法律對個人信息犯罪的刑事責任雖較日本重些，但也不算嚴厲，尤其是打擊的犯罪行為極其有限，沒有涉及信息的收集、提取階段。當然，這也許是考慮到世界銀行有關專家的提醒：如果強加了太嚴厲的法律職責，可能會產生許多信息主體、授信機構不愿提供信息，而最終損害個人信息管理行業的發展[7]。

隨著信息技術的發展和商業模式的轉變，如何更好地保護互聯網用戶隱私成為美國政府關心的問題。2010年，美國商務部就此啟動全面評估，征求公眾意見。2012年2月23日，美國政府提出網絡用戶隱私權利法案，并設立了指導方針，要求相關利益方商討制定這一法案的具體執行措施。根據白宮的報告，該法案為保護用戶隱私設定了7項原則，包括：網絡用戶有權控制哪些個人數據可以被收集和使用；有權得到易于理解的有關隱私和安全方面的信息；個人信息被收集、使用、披露的方式必須與用戶提供這些信息的背景相一致；企業必須負責任地使用用戶信息等。谷歌、雅虎、微軟和美國在線在內的眾多互聯網企業已表示將在瀏覽器上使用“不跟蹤”技術，以方便網絡用戶決定是否接受上述公司的追蹤行為。相信不久的將來，針對網絡中個人信息的刑法保護，尤其是為了預防和打擊云計算環境中的個人信息犯罪，更加具體、可操作性強的有力規范將會出臺。

（四）德國

1990年德國的《聯邦數據保護法》在刑事責任方面比美國嚴厲，根據其罰則部分規定[8]，表現為：第一，對于個人數據無權限地隨意地進行收集、提供、變更的人，或采取不正當方法提取個人數據者，無論是數據主體自身取得還是他人取得，都要處1年以下有期徒刑或罰金。該規定保護的個人數據范圍和處罰的犯罪主體沒有限制；主觀方面要求很低，只要是“無權限”即可；犯罪行為集中在信息的收集獲取階段，尤其是數據主體為自身取得而不正當提取個人數據的行為也構成犯罪，顯得異常嚴厲，體現了個人信息及其提取的公共性質且不容信息主體濫用的精神。第二，違反正當目的的個人數據接受或提供行為：接受數據的機關或提供個人數據的第三者，如把數據用于正當目的以外，處1年以下有期徒刑或罰金。第三，對非法目的的遏制：犯罪主體是征信機構或接受數據提供的機構，非法目的包括取得非法報酬、為了自身利益或陷害數據主體等，犯罪行為包括數據收集、提供或變更，處罰是2年以下有期徒刑或罰金。第四，對以上行為提起訴訟的，要予以受理，以從程序上保障權利人的救濟、追究犯罪人的責任。第五，對違反秩序的行為進行刑事處罰：沒有對數據主體進行通知的情況、沒有設置數據保護特使的場合、沒有把法律規定的有關征信機構業務等情況向監督官廳進行報告者，無論故意還是過失，都要處以5萬馬克的罰金。可見，德國1990年《聯邦數據保護法》的刑罰制裁涉及面廣、規定細致可行。德國2003年修改的《德國聯邦數據保護法》對侵犯個人數據的行為進行了更為詳細的規定。其中第四十四節規定了相關刑法處罰內容：犯罪主體是一般主體；犯罪主觀方面主要表現為故意，目的是獲取報酬、或者意圖為自己或他人牟取暴利、意圖損害他人利益等；犯罪行為及其客體主要指第四十三節第二款列舉的六種情形，涉及未經授權的收集、處理、恢復、持有和獲取通常情況下無法獲取之個人數據的行為、以虛假陳述的方式騙取非向公眾公開的個人數據之傳輸的行為、違反法律規定向第三方傳輸數據的行為、違反法律規定將某些特征和個人信息相結合的行為。該法的刑罰包括2年以下有期徒刑和罰金刑。第四十四節第二款還明確規定：第一款所規定的犯罪行為只有在有人針對其提出控告的情況下才能對行為人起訴，控告可以由數據主體、負責數據保護的聯邦委員和監督組織提出。可見，該法賦予多種主體以控告權，既可保障數據主體的權利得到及時救濟，也可維護司法公正、保證審判中立。德國《聯邦數據保護法》分別在2001年、2003年和2006年進行了重大修訂，內容均有大幅調整[9]。該法體系完整、結構清晰、規范明確，且根據信息技術和經濟發展的新情況不斷調整，可為立法參考。其中刑法規范確定的個人信息犯罪主體范圍廣泛，犯罪行為清晰詳細，犯罪要件明確，尤其是將犯罪行為延伸到個人信息的收集與獲取階段、同時打擊二次利用，極大地加強了對個人信息主體的保護，值得借鑒。

（五）總結分析

綜上，國際上的立法趨勢是，多數國家和地區對個人信息侵犯行為給予相應的刑法處罰，但因各自經濟發展水平、法律傳統、決策的價值取向等差異，具體規定不完全相同，甚至區別很大；并由于網絡技術的快速發展與立法滯后的矛盾，導致直接針對網絡中、尤其是云計算技術帶來的個人信息安全的法律保護不理想。總結起來，國外現有的立法主要表現在：一是犯罪主體方面，有一般主體與特殊主體、法人與自然人、單位與職員、公務機關與非公務機關等區分，不同主體涉嫌的犯罪行為及處罰后果也有區別。二是犯罪客體上，一般都以個人信息（數據）為客體，或者區分不同種類和行業的個人信息進行不同規定，也有僅對個人數據庫或個人數據文檔進行保護而不包括所有的、各種形式的個人信息。三是犯罪行為是刑法規范的核心內容，多數立法僅限于規范個人信息的二次利用行為，如泄露、出售、傳輸等，但是德國對收集行為和信息主體自己收集都作出刑法規制，實屬創舉、意義重大。四是犯罪主觀方面，有些立法并未明確規定，僅以“違反法律”作為籠統條件，尚需結合不同法律作出具體分析，而有明確規定的立法多以“故意”、“明知”為要件，打擊面側重于懲戒主觀過錯，對過失犯罪的規定不夠明確。五是刑罰上，種類比較相似，一般都是有期徒刑和罰金刑，但程度有別：日本、美國偏輕，德國則比較嚴厲；另外，日本采取雙罰制，有利于保護個人信息主體的利益。六是對于訴訟性質，有自訴和公訴（如德國）兩種方式，各有優劣，或可互補。

二、我國對個人信息刑法保護的立法與實踐評析

在我國的刑法體系中，可以找到一些直接或間接保護個人信息的法律規定，以及一些典型的司法實踐，對此加以評析，有利于突出優點、發現不足，為全面有力地保護個人信息和完善立法提供參考。

（一）我國《刑法》的相關規定

我國現行《刑法》中，許多犯罪行為與公民個人信息有著緊密聯系，例如第二百四十五條、第二百四十六條、第二百五十二條等設立的非法搜查罪、侮辱誹謗罪、非法侵入住宅罪和侵犯通信自由罪等，在一定程度和范圍內通過懲罰侵犯公民個人生活安寧權和私人信息保密權的行為，加強了對公民名譽權和隱私權的保護。行為人實施上述犯罪行為的過程中必然會侵犯到公民個人信息，對其處罰也是對公民個人信息的間接刑法保護。但由于立法當時并未考慮到個人信息管理這種特殊經營形態，因而存在欠缺和疏漏，對以上犯罪行為應采取原有規定罪名還是采取侵犯個人信息的罪名也存在諸多爭議，此種方式的個人信息刑法保護也處于名不正言不順的尷尬境地，有待有關專業人士對此深入研究。我國于2009年通過的《刑法修正案（七）》在刑法第二百五十三條后增加了規定，作為第二百五十三條之一：“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。”至此，我國個人信息刑法保護得以確立，盡管其中仍有不足之處，但畢竟在個人信息刑法保護上向前邁進了重要一步。2011年5月1日起施行的《刑法修正案（八）》并沒有繼續關注個人信息犯罪。但是，隨著云計算的普遍落地應用，原有的個人信息網絡犯罪問題將會被進一步擴大、加重，新的犯罪類型也會逐漸顯現。到時，刑法的進一步修正與個人信息專門保護法的制定及二者之間的銜接又將為社會所關注，而此方面的學術研究與論證也會為修法與立法打下理論基礎。

（二）我國個人信息刑法保護的實證分析

2010年1月3日，因周建平向其他被告人（涉嫌詐騙）非法出售個人信息資料，廣東省珠海市香洲區法院以非法獲取公民個人信息罪判處其有期徒刑一年六個月，并處罰金2000元。此即國內第一起以非法獲取公民個人信息罪定罪的案件，是打擊個人信息出賣泛濫的一劑“猛藥”，令人欣喜[10]。2009年9月，北京民航機關服務局下屬聯營辦的工作人員周廣進利用工作便利，向該聯營辦離職職員李笑辰、甘雪斌提供大量機場工作人員的個人信息；隨后李笑辰、甘雪斌利用這些信息仿造民航機場巴士乘車證1000多張并出售，共獲利20余萬元，被北京市朝陽區人民檢察院提起公訴。這是北京第一起因出賣個人信息被追究刑事責任的案件。以前，類似案件一般會以偽造有價票證罪的共犯來追究犯罪人的刑事責任，但要求有共同主觀故意，如果無法證明周廣進知道李笑辰、甘雪斌利用他透露的個人信息作何用途，就無法追責；現在依據《刑法修正案（七）》出售個人信息罪名，可以直接定罪[11]。可見，《刑法修正案（七）》的實施確實“終結”了肆意盜用公民個人信息而不受刑事處罰的時代，但是兩案中依然存在缺憾，比如：一是犯罪主體限于國家機關或者金融、電信、交通、教育、醫療等單位的工作人員、單位和其直接責任人，打擊范圍較為有限。事實上，隨著經濟的高速發展和網絡技術的不斷進步，個人信息濫用造成的隱患日益嚴重，且常常是被動地、途徑多樣地被他人、他方泄露，比如在銀行、電信等部門或在買車、買房等環節。任何人、任何單位都可能因濫用個人信息而給他人和社會帶來危害。國際立法上，許多立法例都未對犯罪主體進行具體限制，所以我國刑法應擴大犯罪主體范圍。二是在犯罪行為及其環節上，兩案中被追究刑責的都只是“二道販子”，“只管支流，沒抓源頭”，到底是誰首先非法獲得或首先出賣這些個人信息依然懸而未決。根據現有刑法規定，“出售或者非法提供給他人”、“竊取或者以其他方法非法獲取上述信息”之外的非法收集、提取、傳輸、刪除等處理行為，得不到刑罰打擊。信息提取和收集行為是一切個人信息處理行為的源頭，各國法律都規定收集者應當說明自己的身份、征集信息的目的等，禁止采取欺騙、竊取、賄賂、利誘、脅迫、利用計算機網絡侵擾或者其他不正當的方式收集個人信息等，以有效保護信息主體個人信息權。一般認為，采取非法手段收集個人信息本身就是對個人信息權的侵犯，對于嚴重的損害行為，造成嚴重社會危害性的，則有必要對加害人強加刑事責任予以制裁。我國刑法規定在此處的缺憾有待彌補。三是在保護客體上，《刑法修正案（七）》保護的是國家機關與五大行業在履行職責或者提供服務過程中獲得的公民個人信息，對于其他單位和個人以其他渠道和方式獲得的公民個人信息，將得不到該條刑法的保護，范圍偏窄。另外，對個人信息的概念，《刑法》也未作出界定，對此可采《個人信息保護法》界定的概念，但缺憾是我國目前尚無《個人信息保護法》。這點可謂《刑法》的缺陷之一，因為在罪刑法定視野下，不能對概念隨意推定和解釋，因此《個人信息保護法》應當盡早出臺，其中應當對公民個人信息的定義作出明確規定，包括公民個人信息的范圍、內涵、外延等諸多細節方面。四是在犯罪主觀方面，我國并未明確區分故意與過失，較為簡單，對實施相同行為而主觀過錯不同的犯罪，得不到區別懲罰。因此，此方面應該細化規定。

三、我國個人信息刑法保護的加強與完善

大勢所趨的云時代正漸行漸近，不論以何種方式，加強和完善個人信息的刑法保護、保障“云端”的信息安全，是現在和將來相當一段時間的國際性課題。針對我國的現實情況，借鑒其他國家的先進立法，我國個人信息刑法保護的加強與完善，應著重考慮以下幾個方面：

（一）加強網絡與云計算技術的科普宣傳，培養個人信息網絡安全法律意識

盡管對于網絡社會、網絡技術、網絡犯罪等名詞與現象，許多人并不陌生，但是就個人信息本身，尤其是網絡中的個人信息安全，許多人并沒有相關的法律意識。在云計算時代，通過實現IT技術、資源的共享和高度集中使其成為真正的基礎資源，使得普通用戶能夠享用更高端的IT服務，但同時減弱了用戶的控制能力，使云計算個人用戶的數據安全性和隱私保護問題面臨更大的威脅。對此，人們進一步思考到，當自己的數據由第三方托管時，服務商具有數據的優先訪問權，可隨意處置，甚至通過數據挖掘等技術發現可用的私密信息，而這些行為一旦發生，云計算用戶很難發現或追查取證。可見，對個人信息安全，云計算帶來的是空前的挑戰，“預防”遠比“救濟”重要得多，所以應加強網絡用戶個人信息安全法律意識的培養。

（二）完善現有的刑法規范，擴大個人信息的保護面

雖然我國在個人信息刑法保護上邁出了很大一步，但現有的個人信息刑法保護制度仍存在諸多空白和漏洞，規定較少，尚未形成完善的法律保護體系。在尚無專門的《個人信息保護法》時，將個人信息犯罪納入傳統刑法、以修正案的方式進行規范，是現實可行的做法。但是，許多方面需要參考和借鑒其他國家和地區的立法，進一步完善。如上所述，《刑法修正案（七）》不論在打擊的犯罪主體、犯罪行為上，還是在個人信息范圍上，保護都是有限的；同時，其條文規定也不夠細致、全面，比如，對非法獲取公民個人信息罪要求“情節嚴重”，但目前并無明確的細則規定。

（三）盡快出臺《個人信息保護法》，增大行為人的違法成本

2012年央視“3•15”晚會的現場，公民個人隱私被惡意泄露和濫用的猖獗現象被集中曝光，個人信息保護問題再一次成為社會各界關注的焦點。目前，一些人不怕被追究刑責，除了法律意識淡泊以外，還因為違法成本不大。打擊個人信息犯罪行為不應止于刑罰，還應將行政責任、刑事責任、民事責任三者對接，全面杜絕個人信息的泄露。從現有立法例來看，一般都將三種法律責任統一規定在個人信息保護的專門法中，便于信息主體的維權與司法的適用。我國保護個人信息的法律仍散見于一些法律、法規及規章中，專門法尚未出臺。個人信息作為法律保護對象，無論是民法保護、行政法保護還是刑法保護，其保護的客體范圍應當一致，《個人信息保護法》中對公民個人信息方面的基本概念和基本問題應有明確而統一的規定，理論上對個人信息權的內容結構、權利義務與責任體系等進行研究[12]，在專門法中對云計算、云安全等涉及的個人信息問題作出規定，并在此基礎上完善個人信息的法律保護體系，避免疏漏、落實保護。

（四）加強司法與執法力度，確保個人信息權益的實現

個人信息具有無形、可復制、易傳播等特點，使個人信息違法行為的認定比較困難，尤其是網絡中的個人信息違法犯罪，對司法實踐是一個很大的挑戰。一是取證較難，個人信息的泄露途徑較多，究竟如何被泄露等，調查起來十分困難。二是實踐中非法提供個人信息的犯罪主體比立法廣泛，如各類事務所、職業介紹所、物業管理處等都可能實施相同行為，網絡中的主體因具有虛擬性、跨國界性等，都增加了追究其法律責任的難度。三是管轄困難，個人信息傳播迅速，行為地點多變，致使管轄時確定犯罪地點和管轄地不太容易。因“徒法不足以自行”，沒有司法與執法的有效實施與保護，制定得再好的法律最終也會因毫無威信而被束之高閣，因此，加強立法的同時，還要針對現實中執法困難等問題，加強司法規制與執法力度，從正面鼓勵人們維權、從反面威懾違法犯罪，以達成法治秩序。