大数据时代下个人信息保护面临两难抉择:基于经济效率的目的,个人信息的商事利用价值巨大,应当弱化个人信息的收集、保存、利用程序并扩大可合理使用的个人信息范围,乃至将个人信息作为“公地资源”加以开发使用;而基于公平目的则反对个人权益过度让位,应优先确保个体的个人信息自决权,减少因信息流转引发的、对个体而言非预期的后果。社会伦理与经济效益的冲突伴随大数据产业发展愈演愈烈。作为理性的经济人,追逐利润与扩大规模永远是大数据产业者最大的追求。重开发利用、轻信息保护的现状难以通过大数据产业者主动形成的内生机制加以调节,培育良性运行的个人信息保护的外部环境尤为必要。大数据时代下个人信息领域的风险图景徐徐展开。在个人信息收集环节中,个人信息的收集规模扩大、信息利用途径难以明确预知、隐私条款晦涩难懂、被动收集等使得个人信息主体的知情权难以保障;在个人信息的加工环节中,仅获取具有逻辑性的结构化数据不再满足精确营销等商业需要,大数据产业者转向获取碎片式的非结构化、半结构化数据,通过海量存储、数据挖掘等方式大规模重塑时间、地点、人物等个人活动场景要素,以达到获知用户需求的目的;在个人信息的利用环节中,数据利用形式的多样化,也增加了个人信息泄露的风险。刑事司法在应对个人信息领域的新风险时尤其要注意人格利益与社会效益的平衡。本文正文分为七个部分。本文的第一章、第二章是基础理论铺垫。本文的第一章介绍了大数据时代的基本情况。从大数据、大数据时代等概念入手,具体分析来自数据收集、保存、利用环节等的数据安全风险。本文的第二章探讨了个人信息、隐私概念在刑事语境中的统一的问题,厘定了个人信息的范围,区分了个人私密信息与公开信息、可直接识别身份的个人信息与可间接识别的个人身份信息等概念,介绍了个人信息产业主体、个人信息产业的概念。本文的第三章介绍公民个人信息保护的现有罪名体系。侵犯公民个人信息犯罪、计算机网络犯罪的刑事立法分别对个人信息实现直接、兜底性保护。就主体而言,刑事立法保护、限制个人信息控制者,而不直接保护个人信息主体;就犯罪客观方面而言,刑法禁止个人信息的非法转让。本文的第四章研究收集个人信息环节风险的刑事司法认定问题。其一,个人信息的收集者假借“合法授权”形式收集公民个人信息并流转,并不符合个人信息流通的正当性要求。个人信息授权合同因以合法形式掩盖非法目的、缺乏正当性而无效。由于个人信息来源的非法性,也不应以“被害人自我答责”为由,排除个人信息收集、流转行为的有责性。其二,大数据产业发展使得直接收集个人信息的技术更加成熟、普及,但根据体系解释、立法溯源、国外个人信息刑事立法比较,侵犯公民个人信息罪并不规制直接收集行为。其三,个人信息主体主动公开个人信息并不意味着对个人信息的全权放弃,在无书面授权的情况下,收集、利用超出授权同意的范围则需考察个人信息主体公开个人信息的合理风险预期。本文的第五章研究保存个人信息环节风险的刑事司法认定问题。保存环节的风险主要来自于数据加工能力的提升。根据知情同意的隐私框架,通过数据加工获得个人信息,应当认定为非法获取个人信息的行为。在考察个人信息的去识别化程度时,可借鉴英国和欧盟的判断策略。英国的再识别判断主要从经验主义出发,要考虑个案中的信息属性以及再识别技术等变动因素,受主观因素影响较大,是一种灵活、变通的方法。欧盟的匿名化判断从事实判断出发,更为客观,但在具体操作过程较为繁琐。为追求准确度,可借鉴欧盟的判断策略。本文的第六章研究使用、处理个人信息风险的刑事司法认定问题。大数据时代下个人信息可以各种形式加以利用。行踪轨迹等信息不属于传统意义的个人信息,而由于高度的人身依附性、敏感性,被纳入刑法的保护范围,在认定行踪轨迹信息时应考察信息来源的实时性及依附现代技术的情况。此外,侵犯公民个人信息犯罪的犯罪主体难以成为下游犯罪的共犯;在互联网因素介入下公民个人信息流转帮助行为应根据具体情形认定不同罪名。本文的第七章研究经济主义数据保护价值观如何在刑事司法领域的落地问题。2009年《刑法修正案(七)》在民法、行政法所建构的计算机数据保护框架中突围,首次将个人信息纳入到刑法保护范围。所以,刑事司法应对个人信息领域风险是在民事、行政法领域尚无立法基础的前提下创造性展开的。为平衡个人信息安全与大数据产业发展之间的关系,侵犯公民个人信息罪等罪名适用应当保持谦抑、谨慎,允许合理的个人信息收集、使用行为,即基于个人信息去识别化的规范指引、个人信息合理使用的场景限制确定个人信息合理使用的边界。刑事司法应当保障个人信息私权的前提下,为大数据产业发展提供预留空间。没有个体权益保护的“水滴石穿”,何谈大数据产业发展的“大江大河”。