隨著數(shù)字經(jīng)濟的發(fā)展，數(shù)據(jù)大爆炸的時代已經(jīng)到來。個人信息的保護關乎個人的尊嚴與自由，關于經(jīng)濟與社會的發(fā)展，甚至關乎國家主權安全。2021年8月20日，十三屆全國人大常委會第三十次會議通過了《中華人民共和國個人信息保護法》（以下簡稱《信保法》），該法將于2021年11月1日正式施行。我國對個人信息的保護歷來非常重視，個人信息保護不僅在《信保法》、《民法典》中加以保護，在此以前，多部法律法規(guī)也對此有所涉及，例如《數(shù)據(jù)安全法》（2021年6月10日通過，2021年9月1日施行），《網(wǎng)絡安全審查辦法》（2020年4月發(fā)布，2020年6月實施），《網(wǎng)絡安全法》（2016年11月7日通過，2017年6月1日施行）等。與此配套的，最高法頒布了《關于審理人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》（2021年6月8日通過，2021年8月1日施行），《關于審理信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》（2020年12月29日通過，2021年1月1日施行），國務院頒布了《關鍵信息基礎設施安全保護條例》（2021年4月27日通過，2021年9有1日實施），最高檢頒布了《關于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》，由此說明我國正在積極建立保護信息數(shù)據(jù)安全，維護網(wǎng)絡秩序的法律系統(tǒng)。

       除以上民事法律規(guī)范外，我國《刑法》還規(guī)定了侵犯公民個人信息罪（《刑法》第二百五十三條）、非法利用網(wǎng)絡信息罪（《刑法》第二百八十七條）、拒不履行網(wǎng)絡安全管理義務罪（《刑法》第二百八十六條）等罪罰，以刑事處罰的方式對侵犯公民個人信息的行為加以打擊。在民刑兼?zhèn)涞那闆r下，如何厘清邊界，區(qū)分不同規(guī)定的適用情形，做到刑法與民法的銜接，是我們需要探討的問題。

       1、明確個人信息的定義

       要認定侵犯公民個人信息犯罪，首先應是準確界定“公民個人信息”的內涵和范圍。在《信保法》出臺之前，根據(jù)《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，以下簡稱《解釋》）第一條的定義，公民個人信息為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”而根據(jù)《信保法》第四條第1款，個人信息指的是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。”根據(jù)《刑法》第九十六條規(guī)定，所謂“違反國家規(guī)定”是指“違反全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”，其中自然包括《信保法》，因此《信保法》對于“個人信息”的定義使得《刑法》的保護客體內涵和外延更加豐富。

        2、個人信息保護的刑法銜接

       《信保法》在個人信息處理、跨境、權責分配、擔責機關等問題上均有創(chuàng)設性規(guī)定，這一方面有利于相關義務人明確職責范圍，更好地履行保護個人信息的義務，另一方面，也將使不法侵害個人信息的行為更加清晰地暴露于《刑法》之下，增加入罪的明確性。

       舉例而言，如個人信息處理者委托處理個人信息，而受托人擅自轉委托的，無論是否盈利，無論個人信息是否因此向不特定人泄露，其行為均違背了《信保法》第二十一條第3款的規(guī)定，根據(jù)個人信息種類的不同，在提供信息達至一定數(shù)量后，受托人將有可能因此涉嫌侵犯公民個人信息罪。

        3、個人信息保護中的“告知-同意”

       《信保法》確立“告知-同意”為個人信息保護核心規(guī)則，要求處理個人信息應當在事先充分告知的前提下取得個人同意，個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意。《刑法》中侵犯公民個人信息罪的兩種實行行為，其前提均為“未經(jīng)同意”，該要素屬于不成文的構成要件要素，因此該原則是民刑保護的基礎性規(guī)則。

       同時，《信保法》第十三條第1款第（二）至（七）項規(guī)也定了例外情形。比如第（二）項規(guī)定“實施人力資源管理所必需”的個人信息的處理不需取得個人同意，前提是“按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同”。

       但是，不同于傳統(tǒng)意義上的“告知-同意”體系，在《信保法》出臺后，個人信息處理者即使事先取得了用戶同意，也有可能違反法律法規(guī)。如《信保法》第二十四條第1款明確規(guī)定，“個人信息處理者利用個人信息進行自動化決策，應當保證決策的透明度和結果公平、公正，不得對個人在交易價格等交易條件上實行不合理的差別待遇。”這意味著，一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習慣、價格敏感程度等信息進行自動化決策，對消費者在交易價格等方面實行歧視性的差別待遇，也即俗稱的“大數(shù)據(jù)殺熟”行為，將被禁止。違反該規(guī)定，達到相應嚴重程度后，個人信息處理者仍將可能因此涉嫌犯罪。

       4、違法處理個人信息行為的罰則

       《信保法》根據(jù)個人信息處理的不同情況，對違法處理個人信息的行為設置了不同梯次的行政處罰。對未造成嚴重后果的輕微或一般違法行為，可由執(zhí)法部門責令改正、給予警告、沒收違法所得，對拒不改正的最高可處一百萬元罰款；對情節(jié)嚴重的違法行為，最高可處五千萬元或上一年度營業(yè)額百分之五的罰款，并可以對相關責任人員作出相關從業(yè)禁止的處罰。同時，《信保法》還專門規(guī)定，對違法處理個人信息的應用程序，可以責令暫?；蚪K止提供服務。

       在民事責任方面，《信保法》明確，處理個人信息侵害個人信息權益造成損害的，以及個人信息處理者的過錯推定責任（個人信息處理者如不能證明自己沒有過錯的，應當承擔損害賠償?shù)惹謾嘭熑危?/p>

       在刑事責任方面，犯侵犯公民個人信息罪的將根據(jù)情節(jié)嚴重程度處三年以下有期徒刑或拘役，或三年以上七年以下有期徒刑。犯拒不履行信息網(wǎng)絡安全管理義務罪，或犯非法利用信息網(wǎng)絡罪的，可被判處三年以下有期徒刑、拘役或者管制。

       5、個人訴訟與公益訴訟

       《信保法》第七十條規(guī)定：“個人信息處理者違反本法規(guī)定處理個人信息，侵害眾多個人的權益的，人民檢察院、法律規(guī)定的消費者組織和由國家網(wǎng)信部門確定的組織可以依法向人民法院提起訴訟。”該法條將檢察機關和消費者協(xié)會納入到訴訟主體范圍內，檢察機關也將個人信息保護作為拓展公益訴訟案件范圍的新領域重點部署推進。2021年8月21日，最高人民檢察院下發(fā)《關于貫徹執(zhí)行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》，將個人信息保護納入檢察公益訴訟新領域，對檢察機關辦理此類案件的立案標準、起訴條件、訴訟請求等實體和程序問題加以規(guī)范。

       結語：

       《個人信息保護法》將個人信息保護帶入了一個新紀元。在積極保護公民個人信息、嚴厲打擊侵犯公民個人信息行為的同時，也區(qū)分不同的適用情形，做到刑法與民法的銜接，力求更全面地保護公民個人信息，維護社會秩序，打擊違法犯罪行為。

特別鳴謝：北京高文律師事務所  

                                                                                                                                                                                    李明燕律師