淺析侵犯公民個人信息罪

洪纖柳 何菲

作者單位：浙江農林大學文法學院

隨著信息網絡技術的迭代更新，個人信息數據在源源不斷地產生和積累，侵犯公民個人信息的犯罪行為也只增不減。目前大量侵犯公民個人信息案件，其多發原因為犯罪成本低且收益高、掌握信息者缺乏約束、個人信息安全意識薄弱等，加上網絡調查中證據難以收集和固定，使得信息侵害者逃脫法律制裁。

一、 侵犯公民個人信息罪刑法規制存在的困境

（一） 法益內涵不明確

對于侵犯公民個人信息罪的相關條文，不論是《刑法》還是《最高人民法院解釋》（簡稱《解釋》），其立法原意都偏向于保護個人信息主體的隱私權、人格權和財產權，強調個人對其信息的專有權以及他人對于侵犯個人信息行為的禁止。而在審判實踐中，法官對于該罪法益識別與判斷將會直接影響刑罰幅度，從而間接影響該罪的治理效果。在前置法律規范尚不完善，民法和行政法規制效果不佳的情況下，侵犯公民個人信息罪的法益保護的涵攝力也大打折扣，其可操作性并沒有達到社會治理要求。

（二） 入罪標準模糊

2017年兩高發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》細化了侵犯公民個人信息罪的追訴標準。該《解釋》設置了四個維度的入罪標準：一是侵犯公民個人信息數量；二是違法獲利金額；三是與他人犯罪的關系；四是社會危害性衡量。

然而，目前司法實務對侵犯公民個人信息罪的定罪量刑，基本以“侵犯信息數量”和“違法獲利數額”為準，但對于如何認定個人信息的條數，還是存在較大爭議。并且，實踐中對信息條數的認定并不契合某些特殊類型的信息。例如，一般個人信息中的住房信息，這類信息具有可變更、可增減性，難以準確計量個人信息數量。而個人敏感信息中的生物識別信息獨一無二，以簡單的侵犯條數來確定定量情節顯然不恰當。因此，認定不同類型、不同性質、不同適用范圍的信息犯罪情節在刑事領域的入罪標準，需得到立法的進一步細化和厘清。

（三） 刑罰適用規定不完備

罰金刑的適用通常依照主刑情況進行，但目前刑法尚未對罰金刑做出統一規定，由此各地根據審判工作的實際情況形成自己的一個標準。在罰金刑具體幅度的判斷上，也極大依賴于法官對案件事實的分析以及對犯罪人情況的認證結果，出現了隨意性過大的情形。犯罪情節和罰金數額之間的聯系會因為地域、經濟差異等外在條件以及法官的主觀判斷等因素的影響導致罪輕重罰或罪重輕罰的現象時有發生。由此可見，我國刑法處理性質相同、情節相似的侵犯公民個人犯罪并沒有達到罪刑的綜合平衡，刑罰適用規定存在一定的欠缺。

（四） 刑法規制重點失衡

社交媒介的大量涌現及網絡實名制的浪潮，使得網民在個人信息輸入愈發頻繁。據相關調研統計，即便是公民上網時對自身個人信息的安全非常警惕，也難免要填寫一些個人真實情況。公民個人信息防護意識并不強，往往因貪小而失大。實際上，這也是app后臺運營商收集個人信息的通常手段，用戶對于使用者在獲得數據、超出用戶同意的范圍之后的犯罪一無所知。而像人臉信息一經生成不可撤銷，對像這類生物識別數據任何的盜用、濫用或數據的泄露，都會使數據主體處于“裸奔”狀態。個人信息不能被重置且個人難以尋求救濟甚至很有可能退出正常的社會交易活動。例如，被拒絕訪問系統、享受服務，喪失通信自由；被冒用身份進行財產犯罪（造成債務危機、資金流失)、人身犯罪（如個人精神遭受打擊，隱私泄露）。

二、 完善侵犯公民個人信息罪之刑法規制建議

（一） 明確法益的內涵和罪名罪數形態認定

1.法益內涵的界定

為明確侵犯公民個人信息罪的刑事保護界限，有學者提出“應按照形式不法的構成要件和違法性階層思維，先明確形式法益（個人信息流通知情權），再從違法性階層進行遴選”的方法來確定個人信息保護法益。以個體主義為出發點的個人信息具有專屬性、人格性、隱私性，將侵犯公民個人信息罪的法益確定為“個人信息權”，那么僅當存在被害人時，才啟動刑法社會保護的機能。但出售個人信息的行為沒有直接被害人，因此不能被評價為犯罪；在國家、社會視角下的個人信息具有秩序性、集權性以及公共性，將侵犯公民個人信息罪侵害的法益確定為“個人信息管理秩序”，那么個人行使權利時應當遵守維護社會秩序的義務。當行為人出售自己個人信息對社會管理造成損害時，應當認定其行為具有行政違法性。

2.罪名罪數形態認定依據的完善

侵犯公民個人信息犯罪已經形成“信息提供方—中間販賣方—購買使用方”的互聯網犯罪產業鏈，并且與計算機犯罪、網絡詐騙犯罪等下游犯罪緊密相關。針對侵犯公民個人信息犯罪與信用卡犯罪的法條競合，學界、司法實踐中嚴格采取特別法條優于普通法條的原則。針對侵犯公民個人信息罪與其他罪名的想象競合，在審判實踐中，想象競合犯通常以從一重為處斷原則。針對牽連犯的罪數認定，若行為人的目的和手段牽連性不強，則實行數罪并罰。

（二） 侵犯公民個人信息罪的入罪標準和量刑規則的完善

1.入罪標準的明確化

為更好地治理侵犯公民個人信息犯罪，需要準確定義“情節”要素。當“情節嚴重”成為界定罪與非罪的標準時，需要充分考量以下幾個因素：一是不同信息類型的影響范圍。例如生物識別信息這類敏感信息，一旦被犯罪分子不法收集、利用，其法益侵害程度遠高于一般個人信息，這些信息都應當受到刑法的特殊保護。借此，有學者認為應當“運用實質解釋的辦法，針對兩高《解釋》第5條當中的兩個兜底條款，將侵犯生物識別信息5條及以上認定為‘情節嚴重’，將侵犯生物識別信息50條及以上認定為‘情節特別嚴重’。”；二是數目及人次標準。公民個人信息的輻射范圍極廣，涉及到的公民信息愈多，危險系數愈大。在判定情節時，不僅要考量侵犯個人信息的條數，還有必要引入人次標準的評價，即在犯罪人使用個人信息過程中侵犯的具體人員數目，如發送騷擾短信、撥打騷擾電話的真實人次；三是主觀惡性考量。行為人將自己的信息提供或出售給他人，他人用于犯罪的以及行為人獲取他人的信息用于自身犯罪的或提供給他人用于犯罪的這兩種情形，顯然自己的信息和他人的信息，前者主觀惡性小于后者，而自己用于犯罪或被他人用于犯罪的情況，在難以考量主觀惡性的狀態下，可以參照《解釋》，盡管《解釋》中僅規定獲取他人的信息，被他人用于犯罪的情形，并沒有規定用于自己犯罪的情形，但可以根據當然解釋的方法，將其認定為“情節嚴重”。

2.量刑規則的健全

刑法真正的犯罪通常表現為倫理道德上的可責性，諸如殺人、搶劫、強奸等犯罪。相較之下，侵犯公民個人信息罪的法益危害程度較低。在是否適用緩刑的判斷上，應當考慮緩刑的執行效果。適用緩刑具有眾多益處，例如，不致監獄中罪犯混雜關押的情況下“交叉感染”，不影響犯罪人的家庭生活。在統一量刑幅度的問題上，主要是量刑檔次和罰金數額的差異。罰金刑作為附加刑，其性質屬于財產刑，剝奪的是犯罪人合法所有的財產。實踐中，大多數罰金數額在犯罪人違法所得數額的基礎上加以設定，但違法所得數額未必能充分體現侵犯公民個人信息罪的法益侵害程度。并且，在裁判中法官的自由裁量權易受主觀色彩的影響，導致被單處罰金的案例難免會有“以錢贖刑”之嫌。侵犯公民個人信息案件中大量“人傳人”的轉賣亂象，公安機關在辦案過程中也難以追本溯源，就同一犯罪鏈上的違法所得數額的確定也存在實際上的誤差。建議以犯罪情節為基礎，綜合評價本罪的社會危害程度，并將公民個人履行能力及其家庭經濟生活狀況納入考量范圍，來合理確定緩刑及罰金刑的適用。

3.細化責任梯度

建構個人信息的梯級保護機制，首先要遵循“個人信息—個人敏感信息—個人行蹤軌跡/生物識別信息等”自上而下的保護層級，再從數據的采集、傳輸、使用、存儲、銷毀五個階段根據法益侵害程度形成“一般違法性—刑事違法性”的責任梯度，明確民刑的銜接程序。

要充分考慮信息處理過程中各個階段違法行為的性質、嚴重程度等判斷標準。在民事領域，一般要進行形式判斷。《民法典》作為重要的前置法，其第1036條規定了“在自然人同意的范圍內處理個人信息”不承擔民事責任。《個人信息保護法（草案）》也確立了“告知——同意”為核心的個人信息處理規則，說明行為人應用個人信息只要征得主體同意，他人的損害行為就能阻卻行為的違法性。而判斷侵犯公民個人信息行為的“刑事違法性”則需要結合刑法機能進行實質性判斷，再根據兩階層體系的原理進行定罪。違法性判斷首先考慮前置法的規范，可以簡要分為行為之前和行為之后兩個階段。對于行為之前的情況，若數據主體對他人收集自己的個人信息并沒有明確知情并且同意，則違反相關法律或雙方的約定，達到需要刑法規范的范疇。對于行為之后的情況，若能證明數據主體被收集自己的個人信息之后的行為確實沒有發生危害結果，則排除該行為的違法性。由此可得出：“被害人的知情同意”在違法階層的認定并不能成為其免責的正當事由，當然具備違法性認識可能性或期待可能性在責任階層也不能成為其責任阻卻事由。