书名：个人信息盗窃法律问题研究
作者名：何培育等
本章字数：5015字
更新时间：2025-03-28 19:10:40

引言

随着大数据时代的到来，个人信息不仅关乎公民的基本人格和尊严，更成为商业竞争、社会管理等方面所必需的重要资源，对个人信息大数据的开发利用已经势不可挡。与此同时，个人信息盗窃及其衍生的黑市交易已经形成一条庞大的灰色产业链，个人信息被滥用情况触目惊心。中国互联网协会2016年6月26日发布的《中国网民权益保护调查报告2016》显示，近一年，我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失总计超过900亿元。[1]近年来，随着大数据技术的发展，个人信息盗窃防范和规制形势更加严峻。中国信息通信研究院（以下简称“中国信通院”）发布的《2020年上半年网络安全态势情况综述》显示，2020年上半年，我国共发生1.3亿件移动恶意程序事件，致使大量个人信息遭到泄露。2018年4月，习近平总书记在全国网络安全和信息化工作会议上提出“关口前移”以及“依法治网”的重要思想。个人信息盗窃行为正是相关违法犯罪活动的前置关口。因此，我们应当运用法律手段及各种配套措施，通过构建协同治理机制对个人信息盗窃行为进行规制。本书研究内容主要包括七个部分：

第一，大数据时代的个人信息安全危机。在大数据时代，数据控制者的数据处理能力显著提升，全社会数据整合的趋势愈发显著。大数据与云计算、人工智能结合更为紧密，使得个人信息的利用价值更为凸显，激发了各类主体获取个人信息的需求，导致个人信息盗窃事件发生更为频繁，并可能造成更为严重的危害后果。在大数据时代，危害个人信息安全的行为主要有窃取、非法购买、收受、交换等非法获取公民个人信息的行为，出售、非法提供公民个人信息的行为，以及非法利用公民个人信息的行为。上述行为相互衔接，共同形成个人信息盗窃灰色产业链，持续威胁着公民个人信息安全以及人身、财产安全。

第二，个人信息权与个人信息盗窃的基本理论探讨。关于个人信息的本质，学界曾出现过财产说、隐私说和人格利益说等不同观点，但从《中华人民共和国民法典》（以下简称《民法典》）的有关规定来看，立法者选择将个人信息视为人格利益加以保护。个人信息权的权能包含决定权、更正权、删除权、获取报酬权、被遗忘权与可携带权等。在大数据时代，确立个人信息权的边界有助于调和信息自由与个人信息权之间的冲突，也是我国进一步完善个人信息立法的必由之路。

第三，个人信息盗窃案件的类型化梳理。笔者对2014年1月1日至2020年6月18日期间“中国裁判文书网”发布的与个人信息盗窃有关的裁判文书进行了梳理，共查询到相关裁判文书9031份：除刑事管辖和民事审判监督案件外，刑事案件8028件，民事案件882件；检索的主要关键词包括“侵犯公民个人信息罪”“非法获取公民个人信息”“非法提供公民个人信息”“个人信息保护”等。通过对个人信息盗窃案件的裁判文书进行分析，将案件按照盗窃主体、盗窃目的、盗窃信息的类型进行不同的分类，提炼出不同种类个人信息盗窃案件的突出特征与发展趋势。

第四，个人信息盗窃灰色产业链的技术路径及运作机理。个人信息盗窃灰色产业链是伴随大数据技术等信息时代各种新技术的发展而出现和兴起的。作为一种以信息技术为基础的违法犯罪行为，个人信息盗窃技术与各种网络攻击、网络入侵等技术有着天然联系。一方面，黑客团体为个人信息盗窃灰色产业链提供工具、资源、平台；另一方面，个人信息盗窃灰色产业链为黑客团体提供经济收益和变现渠道，促使黑客行为从单纯的炫耀技术转变为以获取经济利益为目的的商业行为，并刺激着黑客团体不断更新技术。常见的个人信息盗窃技术包括黑客攻击技术、社会工程学攻击技术、高级持续性威胁等。

第五，境外个人信息盗窃法律规制立法比较与启示。20世纪70年代以来，个人信息保护立法活动在全球范围内展开，个人信息盗窃法律规制的序幕也逐渐拉开。本书对美国、德国、英国、欧盟、日本、韩国等国家和我国香港、澳门、台湾地区的个人信息保护和个人信息盗窃规制立法现状进行了研究和比较，对其立法模式选择及优劣、个人信息概念界定、个人信息权能设置、个人信息盗窃规制切入环节、个人信息保护主管机关设置、个人信息盗窃法律责任规定等进行了深入分析。

第六，我国个人信息盗窃的法律规制与存在的问题。近年来，保护个人信息安全的法律制度不断出台，我国基本形成了以宪法为基石，以民法、行政法、刑法、经济法为组成部分的个人信息盗窃法律规制体系，法律层次涉及全国人大及其常委会制定的法律、行政法规、部门规章以及地方性法规与规章。但是，当前我国个人信息盗窃法律规制体系仍然存在法律法规整体系统性有待加强、部分重要条款有待进一步细化、权利义务体系全面性有待提升、法律责任规范完备性有待加强等不足之处，其配套机制也存在个人信息行业自律规范建设有待加强、个人信息保护氛围营造工作有待完善、个人信息保护技术规范体系不够健全等亟待改进之处。

第七，我国个人信息盗窃协同治理机制的构建。个人信息盗窃不仅仅是法律问题，更是社会问题，因此其防治应在社会协同治理理论的宏观视野下展开，才能找到系统化的解决方案。对此，应当构建“双重保障，五方协同”的基本框架：从技术层面和法律层面为个人信息盗窃防治提供双重保障，以信息安全为共同价值目标，促进数据主体、数据控制者、行政机关、司法机关、行业协会之间的共同协作，完善规制个人信息盗窃相关立法、升级个人信息安全保障技术应用、加强个人信息安全领域行政保护、优化个人信息盗窃司法救济程序、健全个人信息安全相关配套机制。

通过从理论和实践上分别对大数据时代个人信息保护、个人信息盗窃规制现状的分析研究，并从法律规范层面及其配套措施存在的问题切入，本书得出以下重要观点：

第一，“个人信息盗窃”概念有广义和狭义之分，而根据现实情况中个人信息盗窃行为的复杂性，采用广义定义对学术研究以及打击个人信息盗窃产业链更具积极意义。狭义的“个人信息盗窃”是指秘密窃取个人信息的行为，而广义的“个人信息盗窃”是指违反信息主体意愿收集个人信息的行为以及收集国家法律法规明文规定禁止收集的个人信息的行为，其中包括行为人针对个人信息的窃取行为和信息控制者的非法收集行为。具体来说，构成个人信息盗窃行为，需要行为人主观上具有过错，其行为方式包括违反信息主体意愿的窃取、购买、收受、交换等，行为对象为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。美国《华盛顿刑法典》第9A.90.100条对“电子数据盗窃罪”的概念就采用了此广义概念进行界定。采用此概念的好处，一是更符合个人信息盗窃灰色产业链的运作机制，有利于个人信息盗窃规制的理论研究，因为狭义的概念仅涵盖整个产业链条的一小部分，仅对该部分进行研究不足以深入探析个人信息盗窃行为的本质；二是更符合个人信息盗窃灰色产业链法律规制的要求，更能为规制个人信息盗窃的立法、司法和执法实践提供参考，因为仅对狭义的个人信息盗窃规制进行分析，不足以为有效打击现实中的个人信息盗窃提供充分的理论支撑。

第二，大数据时代个人信息盗窃案件中呈现的共同趋势为盗窃技术门槛降低、涉案信息数量增大、社会影响更为深远等。在大量案件中，盗窃主体采用的技术手段并不复杂，但通过利用特殊身份便利以及个人信息持有单位的制度漏洞，能较容易地非法获取公民个人信息。在越来越多的案件中，被盗窃的个人信息数量常达到百万级以上，经灰色产业链中的违法犯罪分子不断转手，很可能被下游不法分子用于实施诈骗、盗窃等犯罪活动，严重危害个人信息主体的财产与人身安全。

第三，我国应当进一步完善个人信息保护法律体系、扩大个人信息权权能范围、设立统一的个人信息保护主管部门，以顺应世界个人信息保护和个人信息盗窃规制立法趋势。多数个人信息立法先进的国家和地区，都采用统一的立法模式，制定了专门的个人信息保护法，对个人信息收集、传输、使用的原则进行规定，明确个人信息主体的权利。同时，许多国家和地区都通过扩大个人信息权的范围以更好地规制大数据技术发展带来的个人信息安全危机。比如，德国1990年对其《联邦数据保护法》（BDSG）进行修改时确立了个人信息主体对其信息享有以何种方式被使用的自主决定权，2009年在BDSG中增加了信息主体对消费者贷款信息的知情权；为了与欧盟《通用数据保护条例》（General Data Protection Regulation, GDPR）保持一致，2017年又在BDSG中规定了个人信息的更正权、删除权、反对权、封存权、拒绝自动化处理权等。此外，大多数国家和地区都设立了专门负责个人信息保护工作的政府机构，如英国、德国、韩国以及我国香港、澳门地区等，其中韩国更是在2020年将其个人信息保护主管部门的行政级别上调至中央行政机构的层级。

第四，当前我国个人信息盗窃规制法律体系及其配套机制仍然存在一定问题。在法律体系上，我国个人信息盗窃有关法律条文散见于《民法典》《中华人民共和国网络安全法》（以下简称《网络安全法》）、《中华人民共和国刑法》（以下简称《刑法》）、《中华人民共和国电子商务法》（以下简称《电子商务法》）以及其他众多法律中，不同法律之间在基本概念、价值目标等方面均有所不同，导致在责任认定、规制对象的衔接等问题上存在一些困难。同时，由于个人信息保护专门法的缺位，部分重要条款也由于缺乏细化规则而存在适用上的困难。此外，我国法律中个人信息主体权利范围过窄，比如对被遗忘权、获取报酬权、可携带权等权能均未进行规定。另外，在法律责任上也存在衔接不足的问题，例如，在刑事案件中往往涉及大量被盗窃个人信息，对于如何通知个人信息主体其权利受到侵害并有权请求民法救济的制度尚处于空白。在配套机制上，则存在个人信息行业自律规范建设有待加强、个人信息保护氛围营造工作有待完善、个人信息保护技术规范体系不够健全等问题。

第五，我国应当构建“双重保障，五方协同”的个人信息盗窃协同治理机制。在“双重保障”的层面，一方面需要运用法律对技术的非法应用进行规制，另一方面需要通过技术手段协助法律实现其规制目标。在“五方协同”层面，应当发挥政府在个人信息盗窃防治中的主导作用、司法机关对社会关系的调整功能、行业协会对企业的引导规范作用，积极引导和鼓励信息控制者采取更为严密的个人信息盗窃防范措施、提升个人信息主体防范个人信息盗窃行为意识。构建上述协同治理机制的具体路径为：首先，完善规制个人信息盗窃相关立法，对现行个人信息保护条款进行完善，并加快制定《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）与《中华人民共和国数据安全法》（以下简称《数据安全法》），健全个人信息侵权法律责任体系。其次，升级个人信息安全保障技术应用，推动信息匿名化技术的升级与迭代，加快开发信息安全新技术。再次，加强个人信息安全领域行政保护，协调监管部门的职权分配，完善监管职权与处罚措施，优化救济途径的衔接机制。此外，需要优化个人信息盗窃司法救济程序，探索个人信息盗窃公益诉讼制度，在个人信息盗窃侵权诉讼中引入举证责任倒置规则。最后，需要健全个人信息安全相关配套机制，提升网络用户信息安全意识，加强行业自律规范建设，明确行业自律组织的法律地位，制定完善的个人信息保护行业自律规则，并完善个人信息保护的国家标准。

随着大数据技术应用场景的不断拓宽，个人信息盗窃防治的问题受到立法者、学界、社会公众的广泛关注。本书对相关各方关注的问题进行了较为深入的研究，具有如下理论和现实意义：

第一，为我国保障国家网络安全，切断网络犯罪利益链条，推动建设网络强国提供理论支撑。本书对个人信息盗窃行为及其衍生产业链的运行机制进行了深入研究，提出了打击个人信息盗窃行为的协同治理机制，有助于从源头切断网络犯罪的利益链条，进一步推动我国网络强国建设工作。

第二，对我国个人信息立法完善，提高对信息化发展的驾驭能力具有应用价值。本书深入分析了大数据时代个人信息安全危机的表现形式及其具体特征，并对国外个人信息立法体系进行了深度解析，能够为我国制定《个人信息保护法》提供学理支撑和实例参考。

第三，探索法律治理协同机制，为提升我国在国际数据治理体系制定中的话语权提供研究成果。习近平总书记在中共中央政治局第二次集体学习时指出：“要加强国际数据治理政策储备和治理规则研究，提出中国方案”。本书在研究我国个人信息盗窃法律规制存在的难题基础上，通过借鉴国外先进经验，并进行本土化应用可行性的分析，提出了构建数据主体、数据控制者、行政机关、司法机关、行业协会之间相互协同的治理机制，能够为我国提出国际数据治理规则的中国方案提供参考。