侵犯公民個人信息犯罪立法探析

丁 瑜

（中央民族大學法學院，北京 100000）

引言

隨著大數據時代到來，信息化發展程度加深，公民個人信息中隱藏著巨大的價值，若被不法分子掌握、利用，人與人之間的隱私將蕩然無存，也會對社會秩序產生不利影響。我國刑法通過兩個刑法修正案將侵犯個人信息犯罪予以規定后，頒布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），更加系統的規定了侵犯個人信息犯罪的量刑標準與實踐中法律適用的問題。

一、大數據環境下個人信息的刑法保護

（一）《刑法修正案（七）》對于個人信息犯罪的規定

面對互聯網犯罪的指數增長，個人信息泄露問題日益嚴重的現象，2009年的《刑法修正案（七）》首先規定了公民個人信息權的刑法保護，增設了刑法第二百五十三條“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的規定。

（二）《刑法修正案（九）》對于個人信息犯罪的完善

2015年，我國《刑法修正案（九）》對侵犯公民個人信息罪進行了修改。主要進步之處如下：第一，《刑法修正案（九）》第十七條將“竊取、其他非法方式”加入到侵犯公民個人信息罪的具體行為方式中，并增加了相關履職與服務人員的從重規定，在司法實踐中具有較強的確定性和操作性；第二，《刑法修正案（九）》升格法定刑，規定侵犯公民個人信息罪情節特別嚴重的處三年以上七年以下有期徒刑，有利于遏制當前頻繁發生的侵犯公民個人信息的犯罪現象；第三，新增的第二款規定了從重處罰，對于因工作性質而掌握大量個人信息的人員一旦泄露個人信息，會造成極大的不良影響，因此對于特殊主體的從重規定十分必要。

（三）《解釋》對個人信息的完善

2017年6月1日最高人民法院、最高人民檢察院聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，解決了《刑法修正案（九）》頒布后的諸多司法難題，進一步完善了該類犯罪的認定。第一，明確了對公民個人信息的范圍，并確定了公民個人信息應當具有識別性的特點?！督忉尅分袑⒐駛€人信息分為三類：敏感信息、可能影響人身財產安全的公民個人信息和上述兩項以外的公民個人信息。第二，明晰定罪量刑標準。非法獲取、出售或者提供五十條以上個人敏感信息即構成犯罪。為牟取利益，出售或非法提供公民個人信息違法所得5000元以上，即構成犯罪?！督忉尅访鞔_規定了“情節嚴重”和“情節特別嚴重”的認定標準，主要從：信息類型和數量、違法所得數額、信息用途、主體身份、前科情況五個方面來認定?！扒楣澨貏e嚴重”的認定需要結合數量數額標準和嚴重后果兩個方面進行認定。

二、對個人信息刑法保護困境的審視

（一）侵犯個人信息犯罪的法益界定

學界對于侵犯個人信息犯罪的法益界定仍有爭論，主流觀點認為侵犯個人信息罪的法益是公民的人格權。支持這一觀點的人認為，從其在刑法典中的位置來看，立法者的意思是侵犯個人信息的行為是侵犯公民人格權的行為，因此將其規定在刑法第四章“侵犯公民人身權利、民主權利罪”之中。而且從其他部門法規范來看，基本立場是承認個人信息具有人格權益屬性，應采取人格權保護的模式。反對的觀點認為，侵犯公民個人信息犯罪不應僅在“個人信息”字眼上來進行法益界定，在當今這個大數據時代，其還可能對公民的財產權益產生影響，比如近年來比較普遍的現象是部分國家機關或者電信、醫療等掌握大量公民個人信息的單位，經常出現泄露大批公民個人信息而牟利的事件，從而引起諸如網絡詐騙、公民虛擬財產被盜等事件。此外，侵犯公民信息類犯罪具有大規模信息泄露的特點，侵害公民群體的利益，其侵犯的法益已經不再局限于個人，而具有一定程度的公共性和社會性（比如希拉里“郵件門”事件），若仍局限在公民個人的人身權益上，顯然是不合適的。

也有觀點認為侵犯個人信息罪所設定的法益是公民的信息權或者公民的個人隱私，因為此罪主要還是在于其侵犯了公民的信息權益或者公民的私人信息不允許他人非法搜集利用的利益，造成了對法益的侵害[1]。第三種觀點認為，侵犯個人信息罪的法益是“公權（益）關聯主體對個人信息的保有”，保證掌握大型數據庫的國家機關對公民個人信息的保有，從而保護大量權利主體的利益。即在公民個人信息權和隱私權背后，一定還有立法者看來更為重大、更居優位的保護法益[2]。

（二）新《解釋》與已有刑罰體系相矛盾之處

1.相似罪名的規定有所矛盾?！督忉尅返谖鍡l第1款第2項的規定，知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的，認定為非法出售、提供公民信息“情節嚴重”的情形。但是按照共犯理論，知道或者應當知道他人利用個人信息實施犯罪，并向其出售、提供，行為人成立他人犯罪的幫助犯，這屬于幫助犯的正犯化。但是幫助犯被正犯化以后，幫助行為提升為正犯行為，那么在他人實施了侵犯公民個人信息的犯罪時，會出現利用公民信息犯罪和明知他人利用個人信息實施侵犯個人信息罪而向他人出售或者提供兩個犯罪，對個人信息這個法益評價了兩次。因此，該條值得商榷。

2.相似罪名的入罪規定有矛盾。侵犯公民信息罪和非法獲取計算機信息系統數據罪是相似罪名，實踐中也時常發生競合，但新《解釋》出臺后，兩罪的入罪標準有很大差異。在《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》中規定了非法獲取計算機信息系統數據罪的認定標準：非法獲取網絡金融服務的身份認證信息10組以上或者非法獲取其他身份認證信息500組以上，構成犯罪。但新《解釋》規定，非法獲取、出售或者提供行財產信息等敏感信息五十條以上或者其他可能影響人身、財產安全的公民個人信息五百條以上的，或者普通信息數據五千條以上的成立犯罪。對于違法所得數額的入罪標準，兩罪的規定都是五千元以上。這兩個罪名的危害結果大致相當，理應獲得相似的裁判，但一方面，兩罪在入罪標準上卻相差了五十倍、十倍，另一方面，在違法所得的數額標準兩罪卻等同，這不符合罪刑相適應的原則，更嚴重影響了刑法公平正義的形象和權威性。

（三）仍然沒有規制非法利用行為

我國刑罰明確了非法獲取公民個人信息罪以及出售、非法提供公民個人信息罪，而非法利用的行為仍然沒有被歸入刑法規制體系中。這非常不利于全面維護公民個人信息安全，原因如下：

第一，個人信息的最大價值在于被行為者利用，其猖獗的主要原因之一是市場需求廣闊，很多獲取、出售等環節最終都是為了使用個人信息，這是對公民的正常生活干擾破壞程度最大的侵犯行為。比如合法掌握大量公民個人信息的單位中的工作人員沒有將信息出售、非法提供給他人，而是自己進行非法利用。

第二，從刑法理論角度分析，非法收集個人信息行為僅對他人權利造成一種抽象危險，而非法利用個人信息行為卻對他人權利造成了實際侵害[3]。因此，相比非法收集、提供個人信息的行為，非法利用個人信息的行為對公民和社會的危害性更大，但其卻還沒有納入刑法規制，這顯然不利于個人信息的保護，也使刑法有失均衡。

三、個人信息犯罪刑事立法的完善路徑

（一）重新界定侵犯公民個人信息罪的法益

我國刑法將侵犯個人信息罪規定在第四章中，但筆者認為侵犯個人信息罪的法益不能簡單認定為是公民的人身權利，其還具有一定程度的公共性。首先，將侵犯個人信息納入人身權保護范疇的理論基礎不扎實。個人信息中不僅包含個人的人身法益，還包含了個人的財產法益，新《解釋》中對公民“個人信息”的定義也包括了“財產狀況、行蹤軌跡”等?；谶@樣的理解，個人信息顯然是包括身份信息和資金賬戶信息，會涉及到個人的財產利益。此外，如果可以認為侵犯個人信息犯罪也包括了侵犯單位信息，那其法益就不能被人身權利這一法益所涵蓋。其次，從刑法的謙抑性和嚴厲性角度，只有具有社會危害性的行為才需要被刑法制裁。我國法律對個人信息保護應當是一套完整的體系，需要民事賠償、行政處罰和刑事制裁相銜接。基于刑法的謙抑性和嚴厲性，如果僅僅是侵犯特定公民的個人信息，沒有達到對社會有危害程度時，應當依照《侵權責任法》進行民事賠償或者采取行政處罰，否則也可能損害刑法在人們心中的威信。新《解釋》規定了“情節嚴重”應當入刑的幾種情形，這也表明不是侵犯到個人信息的人身權法益就要采取刑事制裁，只有危及到公共安全時才需要刑法的規制。因此侵犯個人信息犯罪歸入《刑法》第四章并不妥當，應當重新考慮該類罪的法益界定。

（二）增設非法利用個人信息和持有型犯罪的考量

首先，非法利用個人信息的行為對社會的危害性更大，有必要將其納入刑法規制。從比較法上看，很多國家和地區都將來個人信息利用行為規定在刑法中，如《德國刑法典》在204條設置了“利用他人秘密罪”，最高可處2年自由刑；類似的立法還有《澳門刑法典》第190條設置了“不當利用秘密罪”。但對于非法利用行為的認定的條件，不能過于嚴苛，不當擴大刑法規制范圍，也不能限制寬泛，量刑輕于非法提供行為。筆者認為，非法利用的條件應當滿足“未經本人同意”以及“造成他人損害或者危害社會”，還應增設因職務便利而掌握大量個人信息的人員非法利用的從重處罰規定。

其次，對于持有行為是否需要規定，存在很多爭議。贊同者認為之所以將持有納入犯罪，主要基于刑法的積極一般預防機能[4]。將對個人信息事實上的支配、控制入刑具有堵截犯罪的作用。因為行為人持有個人信息并不能實現獲利，所以其后續行為一般都會利用其掌握的個人信息實施犯罪，即持有大量個人信息的行為具有導致法益被侵害這一后果的高度蓋然性。互聯網發展使得信息類犯罪隱蔽性增強，侵犯個人信息犯罪越來越不容易得到控制，因此，確有必要將持有、儲存個人信息達到一定數量或具有一定危害程度的行為納入刑法規制，更好地預防該類犯罪。反對者的觀點是，在互聯網領域動輒將某些行為納入犯罪體系，對互聯網犯罪的行為做擴張性解釋，擴大各類罪行的打擊范圍和打擊力度，會導致刑法的泛刑主義抬頭[5]。將非法持有行為規定為犯罪并不恰當。第一，非法持有入刑雖然在一定程度上是基于互聯網的超強傳播能力，易引發群體性事件而維護社會公共秩序，但刑法作為規制社會秩序的最后一道防線，不能將任何可能危害社會的行為都包含在內。應當清晰界定犯罪的界限，嚴格區分違法行為與犯罪行為，不宜擴大個人信息犯罪的懲治范圍。第二，持有行為其實是一種持有狀態，不能認為個人信息持有者的利益和社會公共秩序在毫無知覺和沒有損害的情況下被侵犯了。若一定要以持有目的論，那么首先應當明確持有大量個人信息的目的是什么，若其目的并不在于非法提供利用，那么將持有入罪無異于實行了有罪推定；即使認為持有個人信息的行為目的一般在于牟利，必會侵犯個人信息，那么一旦明確其目的，就會構成侵犯個人信息類犯罪，沒有必要通過持有來兜底預防。第三，此種做法可能不當影響個人信息的有效利用。在如今這個互聯網、大數據時代，網絡經濟發展十分依賴海量信息匯聚成的大數據，需要對信息的有效利用。數據的流通與獲取是信息有效利用的前提，如果個人信息數據無法流通、無法獲取，大數據產業也將成為無水之源[6]。因此，抑制信息的持有無疑會使得個人信息收集與利用受到影響，降低個人信息的利用效率。

（三）對侵犯公民個人信息罪和其他犯罪之罪數確定

1.侵犯公民個人信息罪與竊取、收買、非法提供信用卡信息罪的罪數確定。兩罪雖近似，但在犯罪客體和行為方式還存在明顯不同。前罪的行為方式包括出售、提供、竊取以及其他方式，后罪包括竊取、收買和非法提供；前罪的犯罪客體是公民的信息自由與安全，后罪的犯罪客體是信用卡信息和金融管理秩序?？梢钥闯?，兩罪之間存在包容與交叉的關系，行為人實施的一個行為可能同時觸犯這兩個法條，構成法條競合犯。在刑法沒有特別規定的情況下，應按照特別法優于一般法的規則，且后罪的量刑較前罪更重，所以按照后罪進行定罪處罰。此外，侵犯公民個人信息犯罪與非法獲取計算機信息系統數據罪也是法條競合的關系，后罪相對于前罪是特殊法，應按后罪處理。

2.侵犯公民個人信息罪與侵犯商業秘密罪的罪數確定。若行為人侵犯的公民個人信息包含了商業秘密，同時符合侵犯公民個人信息罪和侵犯商業秘密罪的構成要件，但兩罪的法條不存在包容和交叉的關系，屬于刑法中的想象競合犯，應當擇一重罪論處。

3.侵犯公民個人信息犯罪與詐騙罪等犯罪。司法實踐中，許多行為人獲取公民個人信息都是為了詐騙他人錢財，這時侵犯公民個人信息犯罪與詐騙罪等犯罪存在牽連關系，一般情況下，適用從一重罪論處的罪數原理，但根據《最高人民法院、最高人民檢察院、公安部關于依法懲處侵害公民個人信息犯罪活動的通知》規定，在獲取個人信息已構成犯罪后又使用其非法獲取的個人信息實施其他犯罪，構成數罪的，應當依法予以并罰。

四、結語

21世紀是互聯網時代，也是大數據時代，信息社會的發展進入了新的歷史階段，伴隨而來的侵犯公民個人信息的現象迅速增長。我國刑法也在不斷完善對公民個人信息犯罪的制裁規定，從《刑法修正案（七）》中的入罪規定，到《刑法修正案（九）》和新《解釋》的修改完善，但這在信息技術發展一日千里的情況下，這些規制還遠遠不夠，應當不斷進行完善，重新思考個人信息罪的法益，增設非法利用個人信息犯罪，并明確侵犯個人信息犯罪與其他犯罪之間的界限?！?/p>

[1]付強.非法獲取公民個人信息罪的認定[J].國家檢察官學院學報，2014，（2）:121.

[2]皮勇,王肅之.大數據環境下侵犯個人信息犯罪的法益和危害行為問題[J].海南大學學報（人文社會科學版），2017，（9）.

[3]陳璐.論《網絡安全法》對個人信息刑法保護的新啟示——以兩高最新司法解釋為視角[J].法治研究，2017，（04）：86-94.

[4]張建軍.謙抑理念下持有型犯罪的立法選擇[J].國家檢察官學院學報，2011，（6）:108．

[5]袁永新,馬獻釗.新刑法實施后司法中的泛刑主義[J].河南省政法管理干部學院學報，2000，（4）.

[6]金耀.個人信息去身份的法理基礎與規范重塑[J].法學評論,2017，（3）:120-130．