論個人信息盜竊行為的刑事責任認定
——兼評《刑法修正案(九)》相關規定的司法適用

楊海霞

(廣州商學院 法學院，廣東 廣州 511363)

?

論個人信息盜竊行為的刑事責任認定
——兼評《刑法修正案(九)》相關規定的司法適用

楊海霞

(廣州商學院 法學院，廣東 廣州 511363)

網絡帶來的個人信息安全問題近十年來逐步凸顯，但我國學界對此回應卻相當緩慢，目前直接針對網絡個人信息盜竊行為的法律主要體現在刑法規制上，但司法實踐層面的判例卻并不多見。究其原因，主要在于個人信息盜竊行為從立法到實踐的很多問題還模糊不清，難以界定，從而導致該行為的刑事責任認定困難重重。因此，明確該行為刑事責任認定中各關鍵要素的定位與標準是打擊個人信息盜竊犯罪、維護人民信息安全的迫切需要。

個人信息盜竊；行為歸罪；量刑標準；刑事責任

一、問題的提出

如果說工業革命改變人類的生產方式，那么如今的互聯網正改變著我們生活的方方面面，網絡已經成為今天人類除了衣食住行之外的第五大要素。伴隨著網絡與大數據技術的發展，個人信息在網絡社會中出現的頻率和起到的作用也越來越明顯；與此同時，也給我們的個人信息安全帶來前所未有的挑戰：近年來我們頻繁遭遇網絡個人信息失竊事故①從全國范圍來看，個人信息被盜的情況也頗為嚴重，2015年國內外發生的重大網絡信息泄露事件高達上千起，如：酒店開房記錄泄露、海康威視監控設備被境外控制、超30省過5000萬社保信息泄露、人壽10萬保單信息泄露、考生信息泄露、申通快遞13個信息漏洞，約3萬信息被竊取等；從地方來看，就在2016年10月，廣東“安網7號”行動中破獲各類盜竊公民個人信息犯罪系列案件百余起，其中包括重大盜竊個人信息團伙犯罪120余宗，抓獲犯罪嫌疑人450余名，查扣手機、服務器電腦、存儲設備等790余部，保護個人信息2.3億條。。如今，信息盜竊及其衍生的數據黑市已經形成一條龐大的灰色產業鏈，個人信息已不再局限于簡單的電話號碼。智能手機通訊錄、短信、購物記錄、住所記錄等各種信息，在網絡聯通情況下無不成為被竊取的對象，而且一旦被竊取的個人信息進入黑市，則有可能落到全球犯罪分子的手中，成為實施各種犯罪活動的工具，從而導致更為嚴重的社會后果[1]。

針對個人信息盜竊，我國目前的法律規制還相當有限。民事領域沒有專設法律，行政法為應對網絡技術迅速發展帶來的挑戰，國務院和相關部委近年來出臺不少法規條例，但效果并不理想。相比之下，從《刑法修正案(五)》到《刑法修正案(九)》，刑法針對該問題的回應則更為積極和具體：《刑法修正案(九)》在整合原有相關罪行的基礎上，設置了“侵犯公民個人信息罪”，這個罪名的開口很大，足見立法對打擊個人信息犯罪的態度與決心。與現實需要存在極大反差的是司法實踐中直接適用該法進行判決的案件卻并不多見，究其原因，主要是該立法在實踐層面還存在諸多難點。例如：個人信息盜竊行為方式有哪些，如何認定，盜竊個人信息行為罪與非罪、此罪與彼罪的界限，以及如何適用懲罰幅度等問題無不為難著審判者。為此，下文將緊緊圍繞“個人信息盜竊行為”的刑事責任認定來展開探討，以期為司法審判提供更為細致性與明確化的參考。

二、個人信息盜竊的行為的表現和特點

所謂個人信息盜竊主要是指不法分子通過各種黑客技術，如木馬病毒技術、遠程控制后門技術以及服務器入侵技術等方法對個人信息實施的盜竊行為[1]。個人信息盜竊行為的對象是“個人信息”，按照即將于2017年6月1日施行的《中華人民共和國網絡安全法》的規定，該“個人信息”必須具有識別性*學界對于個人信息一直存在爭議：廣義說認為一切與個人相關的信息均為“個人信息”；狹義說包括“憲法人權說”“一般人格權說”“個人隱私說”等；將于2017年6月1日起施行的《中華人民共和國網絡安全法》采納的是“識別說”，由此，關于“個人信息”的學說之爭就此塵埃落定。。所謂識別性是指能夠通過個人信息實現對某個具體對象的特定化。個人信息盜竊作為一種違法行為，其社會危害性不言而喻。與傳統的盜竊行為相比，個人信息的盜竊行為同樣也具有“秘密竊取”的特征，但由于借助網絡，這種“秘密竊取”方式極具技術色彩，這為案件偵破和司法追責都帶來不小難度。

(一)利用正常軟件惡意捆綁盜竊

所謂軟件惡意捆綁盜竊是指不法分子利用一些手機或網絡常用APP經過惡意捆綁或木馬植入后放在網絡應用商店供用戶下載，一旦用戶真的下載該程序，其中綁定的惡意程序就隨之被自動安裝并打開，之后該惡意程序就可以利用后臺對手機或網絡用戶的個人信息進行盜竊。該種APP最典型的特征是免費快速下載，而且幾乎沒有安裝提示信息，即使有其用語也頗具隱蔽性，讓你很難識別，這種方式主要針對那些貪圖便捷和不太懂得網絡安全的用戶。

(二)采用木馬入侵、黑客攻擊方式盜竊

木馬程序種類繁多，在聯網的條件下它可以躲藏在一些合法網頁和程序中，一旦用戶鏈接到這些網頁或程序則可同時被種植木馬程序，之后它可以通過后臺鍵盤輸入識別和屏幕截取等方式對用戶輸入的個人信息進行竊取并完成遠程傳輸。例如，用戶在登錄某個網站需要驗證賬戶的時候，它會在用戶輸入的時候記下該鍵盤擊打痕跡，然后通過電腦數據分析從而獲得可能的賬號密碼，達到盜取信息的目的，甚至還可以直接盜取用戶的網上財產。相對于木馬入侵，黑客技術要更高明些，其主要針對電腦服務器進行，利用服務器中的技術漏洞和網站缺口植入后門程序，從而直接遠程操控服務器，由于服務器信息資源的匯聚性，因此，采用黑客攻擊的方法獲得的個人信息數量要遠大于木馬入侵，其造成的破壞力也遠遠大于前者。因此，同樣是盜竊，后者的社會危害性要大得多。

(三)釣魚詐騙式盜竊

釣魚詐騙式盜竊的主要手法之一是通過發送大量電子郵件，以中獎、顧問、對賬等虛假內容引誘用戶中套，而這些郵件多需要用戶填入各種網絡賬號和密碼，或是以緊迫的理由要求收件人登錄某個網站提交個人信息，繼而盜竊用戶信息。二是通過建立虛假的網上銀行、網上證券站，騙取用戶賬號密碼實施盜竊。在后面這種方式下，不法分子建立的域名和網頁與真正網上銀行系統、網上證券交易平臺在內容上極為相似，而且為了以假亂真，有的還利用跨站腳本，在站點的某些網頁中插入惡意 Html代碼，屏蔽住一些可以用來辨別網站真假的重要信息，在這種情況下，一般人就很難鑒別網站的真假，當用戶被引誘在這些釣魚網站輸入賬號密碼等信息后，這些信息就全部落入不法分子手中[2]。

以上盜竊方式中無論是惡意捆綁、木馬入侵還是釣魚詐騙，基本都是采用技術手段對網絡進行偽裝修改，意在使用戶不知或陷入錯誤認識而使用該網絡，從而達到盜取信息實施進一步犯罪的目的。在司法實踐中對于以上不同行為方式的認知需要清晰明確，而對于具體刑事責任的追究，則需要配合相應的網絡痕跡的鑒定技術以確保刑法適用的嚴密性。

三、“個人信息盜竊”行為的罪責認定

“個人信息盜竊”在此文中是關于行為對象和方式的表述，而非性質的劃定。事實上，我國刑事法律文件中對于“盜竊個人信息”行為也并沒有明確的定性和罪名適用，《刑法修正案(九)》設置的“侵犯公民個人信息罪”的開口很大，從含義上來講“盜竊行為”也是屬于“侵犯行為”的一種，但由于我國刑法罪名的確定并非只由行為方式來判斷，因此，二者并不能完全等同。

(一) 犯罪行為主體的認定

對犯罪行為刑事責任的追究離不開犯罪主體的確定，沒有主體就沒有犯罪。首先，對于該行為涉及的刑事責任年齡問題，按刑法規定屬于一般情況，以16歲為界限。其次，從身份要件上看，傳統的盜竊犯罪屬于一般主體，即凡達到刑事責任年齡且具備刑事責任能力的人均能構成，這里的人指的是“自然人”，不包括單位；但若適用“侵犯公民個人信息罪”，按《刑法修正案(九)》的規定，單位是可以成為該罪主體的。本文認為，“侵犯行為”有多種，如果認定其行為方式為“竊取”，那該行為項下的主體只能是自然人，這不僅是為了保證法律體系上的邏輯理性，更是因為客觀條件上的“竊取”行為具有很強的目的性，且行為的完成需要人的能動作用，即使行為人是在單位上層授意下行為且其所得利益歸屬于單位，也只能推定其主管人員和主要直接責任人對該行為負刑事責任。當然，其他“侵犯行為”，如修改、出售、傳播、泄露等非法提供因履行職責而獲得的公民個人信息的，則可能涉及單位成為犯罪主體。最后，關于主體國別范圍的認定不要局限于“侵犯公民個人信息罪”中“公民”二字的限定，認為既然是“公民”當然就只指享有我國國籍的人。按我國法律體系的解釋，它既包括中國公民的個人信息，也包括外國公民和其他無國籍人的個人信息。基于我國的立法精神，我國刑法對中國公民、處在中國境內的外國人和無國籍人以同等待遇，一視同仁地予以信息保護。事實上，網絡領域的國籍相比現實更加淡化，現在的跨國個人信息盜竊也十分猖獗，從司法實踐看，將大量外籍人、無國籍人個人信息排除在刑法保護之外，無疑放縱了犯罪。

(二) 犯罪行為的主觀方面

主觀方面指的是行為人對于盜竊個人信息的主觀認識樣態。首先，需要對“個人信息”可識別性有清晰的認識。個人信息如果僅僅只是具有客觀上的可識別性還不足以成為刑法保護的對象，因為大數據技術的發展本身就存在對零散信息的整理功能，利用這種強大的整合能力而生成可識別信息不但可以幫助商家提高自己的競爭力，而且對于消費者的特性消費需求的滿足也是有利的。因此，對于網絡時代這種必然的商業模式，我們不能因噎廢食，而是需要盡量從技術和法律上來避免可能出現的基于非法目的而使用該信息的情況。其次，既然是“盜竊”行為，那么行為人在主觀上必然基于“故意”，這種“故意”不但體現在采取行為的主動性上，而且行為人對于個人信息盜竊后果的發生是基于“放任的間接故意”或是“積極追求的直接故意”。此外，“個人信息”能夠產生個人信息權[3]。個人信息權利主體在主觀上也有不希望其被擴散的心理訴求，在這種心理下，其對“個人信息”被暴露是反感的，一旦該信息擴散，則可能對其權利造成損害。

(三) 犯罪行為的客體

本行為侵犯的最直接的客體是“個人信息安全”。個人信息安全與網絡自由存在一定張力，在具體責任認定中，一是注意不宜將個人信息限定為個人隱私，即便是公開的個人信息，仍有可能成為竊取的對象；二是也不宜將個人信息限定為能夠識別個人身份的專屬性信息，換言之，公民的姓名、年齡、證件號碼、婚姻情況、單位、學歷、住址、電話號碼等能夠識別公民個人身份的信息屬于“個人信息”的范圍，但并非全部；三是在日常生活中，偽基站利用自身功率優勢強行與目標用戶建立連接并在此過程中獲取得手機號碼、IMSI 碼、IMEI 碼等不宜認定為該行為的對象；否則，不但在技術上難以掌控，而且容易陷入“一旦社會關系復雜化，便可看到作為社會控制手段而隨便創設犯罪的傾向”的窘境[4](P56)。

(四) 個人信息盜竊行為涉及法條競合的處理

我國《刑法》中存在多種樣態的競合：如同樣實施盜竊，如果竊取的是公私財物，且“數額較大”可以適用《刑法》第264條對于盜竊罪的規定；如果針對計算機與互聯網資源，則可能構成“破壞計算機信息系統罪”；若該網絡數據正是關涉個人信息的，按照《刑法修正案(九)》則可能定“侵犯公民個人信息罪”；但如果盜竊的是信用卡信息則可能成立“妨礙信用卡管理秩序罪”“信用卡詐騙罪”等。以上法條競合的情形在我國刑法中普遍存在，實踐中遇到此類情況的處理原則有“特別法優于一般法”“整體法優于部分法”“擇一重論處”等[5]。對于本文而言，“侵犯公民個人信息罪”與“盜竊罪”并不是“特別法與一般法”的關系，因為“侵犯”行為除了包括“盜竊”，還包括“泄露、出售”等其他非法方式，因此，二者從語義邏輯上來說主要是存在交叉關系。具體到“盜竊個人信息”行為時，其刑法罪名的選擇需要結合具體案例做出判斷。

筆者認為，對于個人信息盜竊行在適用“侵犯公民個人信息罪”時應把握三點：一是個人信息雖然也能轉化為經濟價值，但對于所有權人來說，其除了傳統的經濟性價值，還包含精神價值(例如因人肉搜索而給當事者帶來的痛苦)，因此，其侵犯的法益與傳統盜竊罪相比更為復雜；二是“個人信息”被盜取后并不像普通財物那樣會轉移占有，當事人依然可以使用該信息；三是適用該罪名不會顯失公平。例如，“侵犯公民個人信息罪”的最高刑為有期徒刑七年，而“盜竊罪”則可達到死刑，由此，對于盜竊個人信息特別嚴重的情形，如若判處最高的七年有期徒刑仍然顯失公平的，則可在法條競合情形下“擇一重論處”。

四、侵犯公民個人信息罪的量刑把握

對于盜竊個人信息一旦定罪就需要考慮量刑的問題，如果是盜竊罪，司法實踐已經有了較為成熟的量刑標準，在此不贅述。如果按《刑法修正案(九)》：“竊取或者以其他方法非法獲取公民個人信息，情節嚴重的，方可追究刑事責任”的規定來定罪量刑，那么何為“情節嚴重”這個問題就顯得極為重要。

所謂“情節”就是事情的變化和經過，“情節嚴重”指一件事情的態勢變化和前后經過在一定區域內影響大、程度深、范圍廣。從刑法角度看，“‘情節嚴重’不是屬于犯罪構成某一方面要件，而是一個綜合性的構成要件，它涉及客觀方面、主體、主觀方面的內容”[6]。一般來說，就盜竊個人信息的量刑標準要想完全格式化操作幾乎不可能，更多還是必須依賴于法官的經驗理性。在這種經驗理性下，結合司法實踐的需要，可以從以下四個方面進行把握： 第一，主體身份特殊的。即如果行為人是利用身份之便(如銀行職員)，實施過多次侵犯個人信息的行為，即使每次竊取數量少但也可認定為其主觀惡性較大，屬于情節嚴重。 第二，侵犯多個法益的。侵犯公民個人信息罪針對的法益主要是他人信息安全，但如果該行為人手段惡劣，其在盜竊個人信息的過程中還對網絡系統造成危害(采用病毒攻擊等方式)，或者盜竊后又泄露和使用該信息，給信息所有人帶來嚴重后果的(當然如果后行為已觸犯其他更嚴重的罪行則以后行為定罪，前行為被吸收成為后行為的量刑考量因素)，屬情節嚴重。 第三，涉案范圍廣，導致的后果嚴重的。如觸及國家公共安全、公共利益或將個人信息倒賣給國外不法分子的；盜竊信息數量大，引起社會恐慌的；利用所盜竊的個人信息從中獲利數額較大的。至于具體數額較大的標準,可以根據當地經濟社會發展情況及相關犯罪立案標準綜合確定,例如廣州5000元以上的,可確定為情節嚴重[7]。 第四，本“情節嚴重”的標準考量主要針對的是“竊取行為”，其他應當認定為出售、提供、獲取公民個人信息情節嚴重的行為也可以參照適用，但無論如何以上標準不宜采用司法解釋的方式進行統一規定。因為現實的情況太過復雜，為了防止刑法的“朝令夕改”和執行的穩定，以上標準可作為法官自由裁量時的學理參考依據。有些案件雖然可能并未達到以上標準,但綜合考量案件的全部情況,有兩個以上情節接近以上標準或者有一個情節接近以上標準,同時具有其他從重情節的，也應當認定為非法獲取公民個人信息情節嚴重。

五、結語

個人信息盜竊作為伴隨網絡發展而產生的一種新樣態犯罪，在未來可能還會更加復雜。為此，我們不僅要緊跟立法的步伐，還要提高司法處理該類型案件的能力。我國目前的司法面對新問題，過多地依賴于立法本身的詳盡和司法解釋的頒布，以致我國的司法解釋浩如煙海，這也極大地影響了司法人員正常的法理思維和常識判斷，削弱了司法人員在個案中自主解釋刑法的積極性。網絡大數據與個人信息安全并非絕對對立，法治社會的良性運行能最大限度地降低技術帶來的風險[8](P13)。刑罰作為最為嚴酷的一種責任追究是對社會危害性行為審慎選擇的結果。因此，對個人信息盜竊行為準確的刑事責任認定不僅威懾信息盜竊犯罪，還有利于更自由的網絡秩序的建立。

[1]何培育，蔣啟蒙.個人信息盜竊灰色產業鏈的技術手段與法律規制[J].科技管理研究，2015(24).

[2]David Lin.Misunderstanding Personal information:Durant Financial Serviees Authority,Privaet law and Poliey RePorter[R].PLPR，2004.

[3]齊愛民.個人信息保護法研究[J].河北法學，2008 (4).

[4][日]大谷實.大谷實刑事政策學：新版[M].黎宏，譯.北京：中國人民大學出版社，2009.

[5]賀偉.論法條競合[J]. 法制與社會，2014(14).

[6]張明楷.論刑法分則中作為構成要件的“情節嚴重”[J].法商研究，1995 (1).

[7]薛培,葉小舟.侵犯公民個人信息罪的理解與適用[EB/OL].檢察日報，http://www.jcrb.com/procuratorate/theories/practice/201607/t20160714_1634004.html.

[8]Walter P.Signorelli,Criminal Law,Procedure,and Evidence[M].CPC Press,2011.

[責任編輯 劉馨元]

Theory of personal information theft criminal responsibility identification ——and a revienw of the “criminal law amendment(9) ”

YANG Hai-xia

(School of Law,Guangzhou College of Commerce,Guangzhou 511363,China)

Security of personal information in the networkwas becoming more and more serious in nearly decade, but our legal system was ill-prepared to meet the challengeexcept Criminal?laws,But, which is rare in the practice, the main reason is that the sentencing standards are vague and controversial about personal information theft, which leads to the identification of criminal responsibility behavior. Therefore, it is clear that the connotation and extension of each element in the identification of the behavior is the urgent In order to combat crime of personal information theft.

personal information theft；determination of culpability；sentencing standards；criminal responsibility

2016-10-16

2016年國家社科基金項目“大數據時代個人信息盜竊的法律問題與對策研究”(16CFX027)； 2015年重慶市社會科學規劃項目“大數據時代個人數據信息隱私安全風險及應對機制研究”(2015YBGL110)

楊海霞，廣州商學院法學院講師，主要從事訴訟和司法制度研究。

D922.8

A

2095-0292(2016)06-0049-04