單位侵犯公民個人信息犯罪治理的優化路徑

[摘 要]單位是獲取和使用公民個人信息的重要主體，其所涉侵犯公民個人信息案件存在犯罪查處率較低、涉案行業覆蓋面廣、侵犯個人信息規模大、受處罰標準不一等問題，這表明當前刑法在治理單位侵犯個人信息方面效果欠佳。刑事合規作為國家倡導的治理單位犯罪的重要手段，通過激勵單位建立有效的風險防范機制，促進單位規范經營，有利于從源頭上治理單位犯罪。因此，以當前單位侵犯公民個人信息犯罪基本態勢和問題為出發點，從明確信息使用合規標準、倒逼單位進行合規建設、依據法益侵害程度開展刑事合規三方面優化侵犯公民個人信息的刑事合規制度，構建更具針對性的刑事合規治理模式，有利于從源頭上保障公民個人信息的安全。

[關鍵詞]侵犯公民個人信息罪；單位犯罪；刑事合規

[中圖分類號]DF624 [文獻標識碼]A [文章編號]1671-8372（2024）03-0055-09

Optimizing the governance of organizational crimes of infringing on citizens’ personal information

— from the perspective of criminal compliance

Abstract：Organizations are key entities in collecting and utilizing citizens’personal information. However，cases of organizations infringing on personal information often exhibit low criminal investigation rates，a wide range of industries involved，large-scale breaches of personal information，and inconsistent punishment standards. This indicates that the current criminal law has been less effective in addressing organizational infringements on personal information. As a state-endorsed tool for addressing corporate crime，criminal compliance encourages organizations to establish effective risk prevention mechanisms and promotes regulated operations，ultimately helping to address corporate crime at its source. Therefore，by focusing on the current trends and issues surrounding organizational infringements on citizens’personal information，improvements can be made in three key areas：clarifying standards for information usage compliance，encouraging organizations to implement compliance mechanisms，and basing criminal compliance on the degree of harm to legal interests. Establishing a more targeted criminal compliance governance model will help ensure the protection of citizens’personal information from the source.

Key words：the crime of infringing on citizens’personal information；organizational crime；criminal compliance

一、引言

近年來，隨著信息網絡技術的蓬勃發展，信息數據的商業價值在被廣泛開發的同時，也給公民的個人信息安全帶來了潛在的風險。為此，《中華人民共和國刑法修正案（七）》（下文簡稱《刑法修正案<七>》）增設了出售、非法提供公民個人信息罪。隨著數據安全的保護需求愈發強烈，《中華人民共和國刑法修正案（九）》（下文簡稱《刑法修正案<九>》）對此罪作了修改，將其變更為侵犯公民個人信息罪，進一步擴大了侵犯公民個人信息行為的保護范圍。在此罪法網嚴密化、擴張化的背景下，單位作為對信息資源有巨大需求的主體，若處理個人信息不規范，會面臨刑罰制裁的風險。誠然，通過修正罪名的方式能在一定程度上遏制單位侵犯公民個人信息的現象，但法網的日益嚴密化和刑罰的嚴苛性也讓單位在處理個人信息時有了更多的顧慮，打擊了單位利用數據資源的積極性。大數據時代下，信息數據的流通使用已是大勢所趨，只偏重于對侵犯公民個人信息的事后打擊，而忽視對信息獲取和使用的正向引導，必會阻塞信息流通的渠道。由于個人信息涉及公民、國家、單位等社會主體，僅依靠事后刑罰懲治，而忽視其他社會主體的協同治理，所取得的社會治理效果必然會差強人意。因此，應當認識到事后刑罰懲治這一治理模式的局限性，探求一種新型治理模式，以在保護個人信息的同時兼顧信息產業的發展。

刑事合規作為當前治理單位犯罪的重要手段，受到了學界的廣泛關注，不少學者提出可以利用刑事合規制度治理單位侵犯公民個人信息犯罪。譬如，楊猛從國家、公共和個人的三維數據安全法益的角度出發，提出構建保護與利用并重、單位自律與外部監管兼備的全方位單位數據刑事合規[1]；鄒開亮從敏感個人信息保護的角度，提出要確立專職性平臺單位數據合規監管機構以嚴格單位數據違規的法律責任[2]。此外，還有學者針對網絡平臺處理個人信息所面臨的刑事風險，提出應當明確網絡平臺合規義務范圍并構建網絡平臺履行合規義務下的出罪模式[3]。

上述學者們的研究表明，運用刑事合規制度治理單位侵犯公民個人信息犯罪具有可行性。然而，在綜合分析現有的研究文獻后，筆者發現當前學術界的研究忽視了單位侵犯公民個人信息犯罪的實際情況，并未提出針對性的刑事合規治理對策。因此，本文通過對公開的單位侵犯公民個人信息犯罪案件進行統計分析，采用實證研究的方法闡釋單位侵犯公民個人信息犯罪的基本態勢，分析單位侵犯公民個人信息犯罪的現實困境，并探討相應的刑事合規治理策略，以期從源頭上破解個人信息保護與信息發展之間的難題，為我國刑事合規的本土化建設提供參考。

二、單位侵犯公民個人信息犯罪態勢分析

（一）單位侵犯公民個人信息犯罪查處率低

通過中國裁判文書網，以案由“侵犯公民個人信息罪”和當事人“單位”進行關鍵詞高級檢索，去除重復、未公開等無參考價值的判決書后，筆者獲取了2016—2023年上半年關于單位涉侵犯公民個人信息罪的判決書共118份，反觀自然人涉侵犯公民個人信息案件公開的判決書數量卻為8774份，遠遠高于單位犯罪數量（見表1）。此外，根據工信部發布的《關于侵害用戶權益行為的APP（SDK）通報》內容來看，2019—2023年，共有1287個APP涉嫌侵害用戶權益。其中違規使用個人信息、違規或超范圍收集個人信息共計1004個，占比高達78%。在APP違法收集、使用個人信息的情況日益嚴重的背景下，單位侵犯公民個人信息犯罪的刑事裁判文書在7年內僅百余份，這一現象表明，單位侵犯公民個人信息的實際情況與司法實踐中查處單位侵犯公民個人信息犯罪的情況存在明顯的不一致性。誠然，《刑法修正案（九）》及司法解釋雖將侵犯公民個人信息罪法網嚴密化，但是在實踐中，單位員工通過非法獲取公民個人信息擴展業務的行為，在絕大多數的情況下是得到了單位高層的默許。而案發后，單位往往又以非單位意志為由予以抗辯，司法實踐也往往以單位部分人員的違法行為不能體現單位意志為由，不認為單位構成犯罪。并且，當前刑法對于侵犯公民個人信息的行為規制僅停留在信息非法獲取層面，對于信息使用層面的規制有所缺失，致使單位在采用合法或者灰色手段獲取個人信息后進行濫用的行為尚未得到有效規制。

（二）涉案行業覆蓋面廣，侵犯個人信息規模大

通過對所收集判決書的初步統計，涉嫌侵犯公民個人信息罪的單位類型呈現多樣性特點，信息技術型單位占比達23.93%，位居第一；緊隨其后的是建設工程類占比約22.22%，銷售服務類與信息咨詢類單位數量相當，占比約19.66%（見表2）。中介業務型和電子商務型相較于前幾類單位涉案數量雖相對較少，但仍具有較大的入罪風險。從統計的受侵害信息規模來看，單位侵犯公民個人信息的規模龐大，超過一半的涉案單位侵犯公民個人信息的數量超過10萬條，近1/5以上的案件侵犯公民個人信息數量超過50萬條，而涉案數量最多的非法獲取公民個人信息則高達1676萬余條①。這些數據既體現了單位侵犯公民個人信息犯罪的基本特征，也從側面反映出數據時代下絕大多數行業的單位對于信息數據都有著較為龐大的需求。通過案例分析發現，絕大多數涉案單位非法獲取個人信息的目的是進行業務推廣，為單位獲取更多利益。而當前我國刑法偏重于打擊侵犯公民個人信息的現象，因未給單位劃定獲取和使用個人信息的框架，導致一些單位因違規獲取個人信息而遭到刑法制裁。

（三）單位侵犯公民個人信息處罰標準尚不統一

通過對已公開判決書的分析，當前涉嫌侵犯公民個人信息罪的單位被判處的罰金數額過半數集中在1萬～10萬，平均罰金數額在20.6萬元，整體來看單位侵犯公民個人信息犯罪處罰力度較弱，呈輕刑化態勢（見表3）。但值得注意的是，由于《刑法修正案（九）》和侵犯公民個人信息罪司法解釋的出臺，侵犯公民個人信息罪入罪條件較多，司法機關在此罪下自由裁量權較大，導致部分案件在量刑程度上存在著較大的差異。譬如，在（2018）滬0107刑初906號案件中，涉案單位侵犯了7萬條公民個人財產信息被判處了200萬元罰金；而在（2019）魯1703刑初115號案件中，涉案單位僅侵犯了1.2萬條公民身份信息卻被判處高達200萬元的罰金數量。同樣的，在（2018）川0107刑初439號案件與（2017）魯0702刑初432號案件中，涉案單位都是出于拓展公司業務的目的侵犯了公民的個人財產信息，但侵犯公民個人信息數量相差240萬條，卻都受到相同的10萬元罰金處罰（見表4）。這些實例表明，在當前司法實踐中，由于對單位侵犯公民個人信息的處罰標準尚不統一，存在著保護單位發展與保護公民權益相互交織的矛盾，而規制理念的不同又導致了同樣的案件在量刑方面存在著較大的差異。

三、當前刑法治理單位侵犯公民個人信息犯罪之困境

綜上所述，單位侵犯公民個人信息犯罪在我國呈現出侵犯個人信息現象頻發但犯罪查處率低，涉案單位行業范圍廣、侵犯信息規模龐大，涉案單位受罰標準不一等基本態勢。這些現狀都表明現有刑法在治理單位侵犯公民個人信息犯罪方面效果欠佳，存在對實際情況的忽視，缺乏有針對性的措施來規制單位侵犯公民個人信息犯罪的問題。

（一）缺乏對“合法獲取，不當濫用”個人信息的有效規制

根據《中華人民共和國刑法》（以下簡稱《刑法》）對于侵犯公民個人信息罪狀的表述，侵犯公民個人信息行為類型包括出售或提供以及以其他非法手段獲取個人信息。此后的司法解釋在此基礎上對于侵犯公民個人信息的獲取行為進行了細化，但并未對此罪的行為方式進行補充。然而，這兩種行為在《刑法》及其司法解釋上都屬于轉移公民個人信息行為[4]。現有規定對于不當使用公民個人信息的規定有所缺失。誠然，從信息轉移層面對于侵犯公民個人信息的行為進行刑法規制，其初衷在于從信息獲取的源頭上阻斷犯罪現象，從而達到一勞永逸的效果。然而，互聯網時代下，由于數據的即時傳播性，公民的個人信息無時無刻不在進行傳輸和運用，個人信息的歸屬者和控制者已經呈現分離狀態[5]，公民無論是基于社會交往還是日常生活都需要進行個人信息的共享和傳輸，因此確保公民個人信息完全由本人控制并保持其秘密性并不現實。而我國《刑法》及其司法解釋對于侵犯公民個人信息的行為規制還停留在以信息轉移為核心的層面，此種規定實則忽略了數據時代下個人信息的開放共享性。

對于公民個人信息的侵害，單從信息的轉移層面進行規制，其實是忽略了信息轉移的目的—信息使用。隨著侵犯公民個人信息罪規定的嚴密化，單位這一社會主體逐漸意識到不當獲取個人信息存在涉刑風險，但同時也察覺到現有規定的漏洞，于是出現了通過采用“合法獲取，不當濫用”的方式對于公民個人信息予以侵害的現象。譬如某些網絡平臺通過冗長的用戶須知條款，使用戶為了獲取軟件服務進行信息轉移的打包授權，就是通過這種方式在合法獲取公民個人信息后，再濫用這些信息達成自身的目的。這也是現實中的個人信息雖有刑法保護，但受侵犯的現象又屢見不鮮的根源所在。由于非法使用個人信息的行為對法益侵害具有直接性，不法分子可以直接利用個人信息進行電信詐騙等違法犯罪行為，相較于非法獲取個人信息，其社會危害性更大。然而現行法律規定卻忽視了個人信息獲取后的不當濫用行為，致使公民個人信息權利的保護并未達到預期的立法效果。由于信息的非法使用不同于信息的非法獲取，無法通過擴大解釋將其納入當前侵犯公民個人信息罪。同時，保護法益的不同，非法使用個人信息行為也無法被其他罪名所涵蓋[6]。鑒于此，不少學者建議將濫用個人信息行為納入侵犯公民個人信息罪的范圍。筆者對此持贊同態度。但值得思考的是，在數據時代，單位通過利用公民個人信息提高經營效率已經成為一種普遍現象，若將濫用個人信息納入侵犯公民個人信息罪的范圍，單位及相關人員一旦在處理個人信息方面不合規范，則易于遭到刑法的制裁。然而，若單位因此打上犯罪的標簽，不僅會對后續的生產和經營活動產生巨大的負面影響，還可能導致其他單位在獲取和利用信息提高生產效率時產生更多顧慮，從而削弱單位使用信息的積極性，不利于信息經濟的發展。制定法律的目的絕非限制單位的經營自由，而是為了保護和擴大單位的正當經營自由。因此，刑法作為社會的產物，其條文的增設需要與當前社會發展相符，在保護個人信息的同時也應當考慮信息經濟發展的需要，亦即在規制不當個人信息行為濫用的同時，不能僅是將之納入刑事打擊范圍后就一勞永逸，而是應當通過健全相應的制度，保障單位能最大限度地正當使用信息資源，促進自身的生產經營。

（二）過度依賴刑法懲治，缺乏多元主體參與治理

從近些年國家對于公民個人信息的立法保護來看，我國《刑法》充當了先行者角色。早在《刑法修正案（七）》中就有了侵犯個人信息犯罪的雛形，在此之后盡管有《個人信息保護法》《網絡安全法》等非刑事法律的出臺，但其目的只是進一步保護公民個人信息，與《刑法》之間的界限并不分明，這使得當前對于個人信息的保護隱隱有著“過度刑法化”的跡象[7]。一方面，《刑法修正案（九）》加大了侵犯公民個人信息罪的處罰力度；另一方面，《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規定，“公民個人信息”是指那些能夠單獨或與其他信息結合起來用于識別公民個人身份或反映公民活動情況的信息，其特點在于具有“可識別性”。然而，在當前科技發達的時代下，絕大多數信息都可以通過技術手段直接或者間接地識別出公民特性，這使得公民個人信息的概念界定有“口袋化”傾向，意味著可以通過擴大解釋“公民個人信息”的內涵來拓寬刑事處罰范圍，也因此，在刑事領域，對于侵犯公民個人信息罪的懲治處于不斷擴張的態勢，表現出了刑法治理的嚴密化走向[8]。

這種擴大化、嚴密化的刑法保護態勢，表明我國對于公民個人信息的保護是注重事后懲戒而忽視了事前預防，而這并非最佳模式。其原因在于，一方面，事后懲戒性的刑事法律規制手段是在公民個人信息被侵害之后予以救濟，這種手段雖對傳統的違法犯罪能夠取得一般預防和特殊預防相統一的成效，但對于侵犯公民個人信息罪，這種因時代發展而出現的新型犯罪僅能治標而不能治本。在數字時代，公民的個人信息在受到侵害后，其危險性并未結束，這些被非法獲取的個人信息還會被用于更加嚴重的下游犯罪。譬如電信詐騙，不但會對公民的財產造成極大的侵害，而且會使公民的生活隱私、財產賬戶等陷于不安全狀態，致使人人自危，不利于社會的穩定。因此不能僅靠事后懲戒來保護公民的個人信息，還需通過事前的預防措施來避免更為嚴重的下游犯罪。另一方面，侵犯公民個人信息罪所涉及的主體極為廣泛，不僅僅是公民個人，還涉及單位，甚至于國家。多方主體與公民個人信息都存在著千絲萬縷的聯系，僅依靠國家刑法懲治的力量必然是不夠的，還需要多元主體參與協同治理才能發揮出更大的功效。然而，當前對于公民個人信息的治理仍然局限在國家公權力層面，忽視了信息收集和使用的重點主體，即單位在保護公民個人信息安全所起到的關鍵作用。由于單位內部風險防控機制和自身的規范運行是從事前預防的角度規范侵犯公民個人信息行為，通過與刑法事后處罰機制有機結合，形成多元化治理體系，有利于從根本上解決侵犯公民個人信息的問題。但遺憾的是，關于單位個人信息保護的合規建設尚未得到應有的關注，單位在內部出現員工侵犯公民個人信息罪時，難以將有效的合規計劃作為抗辯事由證明自身無罪①。也因此，單位在個人信息保護的合規建設方面缺少積極性，使得單位在保護個人信息方面存在缺位。

（三）法益定位爭端下公民個人信息安全和發展缺乏平衡

刑法法益對于正確認識犯罪的本質具有重要作用，對于刑事立法起著指導作用[9]。理論界關于侵犯公民個人信息罪的法益屬性的確定，存在個人法益說和超個人法益說之爭，這使得侵犯公民個人信息罪的刑事立法規制的目的和范圍并不明確。個人法益說認為侵犯公民個人信息罪侵犯的是公民個人的法益，其學說內部又包含隱私權說和信息權說。隱私權說認為侵犯公民個人信息罪是以保護隱私權這一主要法益為目的，即對公民的私人秘密、生活安寧等信息做統一保護；信息權說注意到隱私權說對于個人信息財產屬性的不當忽略，認為侵犯公民個人信息罪保護的法益是公民的個人信息權，即公民對其個人信息享有的決定權、保密權等多重控制權，屬于一種綜合性權利，兼具公民信息的人格利益和財產利益雙重屬性[10]。超個人法益說則認為，刑法作為最后的保護手段，只有當某個法益具有保護之必要時，才能運用刑法手段予以規制。也就是說，當單一或者少數公民個人信息遭到侵害時，刑法不能貿然介入其中。因此，超個人法益說認為侵犯公民個人信息罪所保護的是具有一定規模的公民個人信息，而非單個主體信息[11]。目前，我國《刑法》第253條規定，對于情節特別嚴重的侵犯公民個人信息的行為最高法定刑可達到七年有期徒刑，但此規定的嚴厲程度應當被認為侵犯公民個人信息罪法益屬于公共信息管理秩序，才能與此刑罰嚴厲程度相匹配[12]。

侵犯公民個人信息罪法益定位的爭論導致了侵犯公民個人信息罪規制理念的分歧。個人法益說認為本罪法益屬于公民積極、排他的絕對權[13]，應當注重私權絕對保護；而超個人法益則是將此罪置于防范社會風險的目的之下，強調“社會本位”，認為侵犯公民個人信息罪所侵害的是信息管理秩序，主張當公民個人信息受到侵害但未對公共安全造成危害時，刑法不應介入[14]。因此司法實踐中對于單位侵犯公民個人信息有著兩種不同做法：一種是注重私權保護，對于涉案單位予以嚴厲打擊，但會使得涉嫌單位因此一蹶不振；另一種是出于經濟發展需要而注重公共利益，對于單位侵犯公民個人信息但未造成巨大危害的行為采取遷就態度，但會使得公民權利遭到侵害。此兩種做法各有利弊，但都未兼顧信息安全和發展的問題。故而需要打破傳統的刑法治理方式，尋找新的模式，在有效保護公民個人信息的同時，能夠兼顧我國信息產業的發展。

四、刑事合規視角下單位侵犯公民個人信息犯罪治理模式構建

在風險社會背景下，刑事合規作為治理單位犯罪的重要手段，包括事前合規和事后合規兩個方面。前者是指單位在未涉嫌違法犯罪前，已經建立有效的合規計劃，并將之作為單位犯罪違法阻卻事由；后者是指涉案單位在涉嫌違法犯罪后，接受司法機關督促進行合規整改，建立有效的合規計劃以獲得刑罰寬免[15]。事前合規的價值在于將單位侵犯公民個人信息犯罪的風險控制點轉移至犯罪行為之前，起到事先預防的作用；而事后合規的價值則在于給了涉嫌侵犯公民個人信息犯罪的單位改過自新的機會，單位在檢察機關督促下進行有效的合規整改，可預防再次犯罪。總體而言，刑事合規制度實際上是通過刑事責任的加重或減免，以外部強制力推動單位貫徹落實合規計劃，確保單位在法律框架內規范運行，實現對于單位犯罪的預防和控制。當前刑法對于單位侵犯公民個人信息犯罪是依賴于事后刑罰懲戒，忽視了單位自治的預防效果和數據時代下單位對于信息資源的合理需求。刑事合規制度作為一種“規制的自治”，不但能夠推動單位發揮自我治理的優勢，而且通過明確合規標準能夠讓單位在合法框架內自由處理信息資源，有助于彌補事后刑罰懲戒治理的不足之處，解決當前刑法在治理單位侵犯公民個人信息犯罪的困境。

（一）侵犯公民個人信息罪刑事合規治理之可行性

1.理論基礎

單位犯罪的歸責問題是刑事合規的一個核心問題[16]。當前，刑法理論界對于單位犯罪責任的構成可以歸納為替代責任和組織體責任兩種學說[17]。前者認為單位犯罪歸根到底是單位內部自然人實施犯罪，單位責任應該來源于自然人責任，這一理論因忽視了法人這一主體的獨立性，所以既會出現讓自然人責任無條件轉移給法人的局面，也會出現單位內部自然人責任難以認定而使單位責任無法確定的問題。而后者注意到替代責任的弊端，認為自然人雖然是單位的組成部分，但是自然人的行為并不一定能夠體現單位的意志，單位意志具有獨立性。因此，在組織體責任理論下，認定單位犯罪需要從單位的整體意志出發，以單位文化、單位內部決策等為核心因素判斷單位是否構成犯罪。這一觀點逐漸為刑法學界所認可，同時也被我國司法裁判逐漸采納。例如，在蘇某虛開增值稅專用發票罪案中，法院認為即使單位領導決定的行為也并不能認定為單位意志，還需要經過單位決策程序方能認定為單位犯罪①；又如在魏某非法吸收公眾存款罪案中，法院認為魏某雖然經過了公司決策程序，但公司經營范圍并不包括吸收存款業務，因此不認為單位構成犯罪②。司法實踐的做法表明我國認定單位犯罪的做法正在逐步接納組織體責任理論，即以單位意志為歸責要素，不再僅因單位內部人員實施違法行為而認定單位構成犯罪。而在刑事合規制度下，單位犯罪歸責原則的實質在于將單位意志轉化為合規這一規范化表達。因此通過判定單位是否實施有效的合規計劃可作為單位出罪或者入罪的核心要素[18]，并可在組織體歸責模式的基礎上構造以合規為核心的單位刑事責任論。

2.制度實踐

在實踐中，刑事合規制度具有兩方面的作用。一是能夠作為排除單位罪責的事由。只要單位建立并實施有效的合規計劃即可免除罪責。例如，《英國反賄賂法案》第7條規定，單位若擁有足以預防單位成員實施犯罪的合規措施，就能夠成為單位的合法辯護事由[19]。在我國刑事合規制度試點尚未開始之前，也有零星案例能夠肯定合規作為出罪事由。例如，在“雀巢員工侵犯公民個人信息案”中，公司提出的抗辯理由是，公司章程中明確規定，公司不允許雇員參與侵犯公民隱私的犯罪活動。最后法庭判決公司無罪。二是具有量刑激勵之功能。法院以單位是否開展合規計劃為量刑考量依據：如果單位開展并實行了有效的合規計劃則可以減輕刑罰。例如，《美國聯邦量刑指南》第8章“組織量刑”中規定，如果公司建立了一套行之有效的合規計劃，那么其刑罰的減免將會降低到95%。但是如果單位沒有或者缺少有效合規計劃，那么最高能夠處4倍罰金[20]。從近年來我國各部門發布的合規文件來看，刑事合規制度在我國已經提上日程并開展試點。譬如《關于建立涉案企業合規第三方監督評估機制的指導意見（試行）（高檢發〔2021〕6號）》《中央企業合規管理辦法（國務院國有資產監督管理委員會令第42號）》等都要求單位依照法律法規開展合規建設。在刑事領域，我國檢察機關積極貫徹《最高人民檢察院關于全面履行檢察職能推動民營經濟發展壯大的意見》中“促進企業合規經營，優化營商環境”的原則，對于已經合規整改的單位采取從輕處罰的量刑建議。而從上文單位侵犯公民個人信息犯罪基本態勢可以得知，各地對于單位侵犯公民個人信息的處罰標準并不統一，這在一定程度上有背離罪責刑相適應原則之嫌。但如果通過引入刑事合規制度用以標準化量刑舉措，就極為契合我國寬嚴相濟的刑事政策。此外，刑事合規制度在刑事訴訟法層面具有暫緩起訴或者不起訴功能，若單位在涉罪后，能夠積極配合檢察機關進行有效的事后合規整改，經過考察判定合規計劃有效，那么就可以獲得不起訴的寬大處理。這種模式既可調動單位進行合規運營的積極性，也可在最大程度上降低因刑事制裁而給單位帶來的負面影響。

（二）侵犯公民個人信息罪刑事合規治理模式之構建

《刑法》第253條對侵犯公民個人信息罪的表述為“違反國家有關規定……”，這不但說明單位構成侵犯公民個人信息犯罪需要滿足一定的前置條件，也表明遵守國家對于保護個人信息的前置性規定是單位避免構成侵犯公民個人信息犯罪的應有之義[21]。也因此，單位侵犯公民個人信息犯罪的刑事合規建設應當以《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）等前置性法律法規為基準，才能做好刑事合規的行刑銜接工作，維護法秩序的統一性。當前，《個人信息保護法》等法律法規的出臺以及國家近年來開展的合規試點，已經給單位侵犯公民個人信息犯罪提供了一個基礎的刑事合規框架[22]。然而，這一基礎框架尚未對當前刑法治理單位侵犯公民個人信息犯罪的困境做出回應。因此，可以從現有問題出發，對單位侵犯公民個人信息犯罪之刑事合規治理模式進行進一步完善。

1. 規制濫用行為的同時須明確使用個人信息之合規標準

《刑法》在擴充條文內容以擴大刑事處罰范圍的同時，也應當確保修訂后的法條內容與社會的實際發展需求相一致，避免出現因刑法過度干預而導致的系統性風險。由于《刑法》第253條僅對非法獲取個人信息的行為進行規制，而獲取層面對于個人信息的侵害并未觸及法益的核心內容，有學者將此稱為“外圍式”立法[23]。考慮到非法使用公民個人信息的行為對于個人信息的侵害具有直接性、精準性，其社會危害性更大，因此運用刑法規制濫用行為具有必要性。但是采用擴大入罪范圍的方式雖一方面能減少單位在使用層面侵犯公民個人信息的現象，但另一方面也會讓單位出于對刑罰制裁的畏懼而在使用個人信息時產生顧慮。《刑法》作為國家的基本法律，也應當是保護單位的最有力法律，不應在保護個人信息時顧此失彼，忽視單位在合理范圍內使用個人信息的正當需求。基于此，在利用刑法規制個人信息濫用的同時，應該盡可能減少侵犯公民個人信息犯罪對于單位運用信息資源生產經營的不利影響。刑事合規制度對于涉嫌犯罪的單位具有寬免刑罰、暫緩不起訴的功能。因此，可在擴大入罪范圍的基礎上，將刑事合規制度與單位侵犯公民個人信息犯罪進一步融合，激勵單位在法律框架內處理和使用公民個人信息，在保護個人信息的同時兼顧信息產業的發展。

然而，要真正發揮刑事合規制度在治理單位侵犯公民個人信息犯罪中的作用，還需要進一步明確單位使用不同個人信息的合規標準。在刑事領域，對于個人信息的分類出自《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條之中。此解釋將個人信息分為敏感信息、重要信息和一般信息，并按照此種分類以侵犯數量認定情節嚴重和情節特別嚴重進行定罪量刑。然而，這種分類方法也有其自身的問題。例如，敏感信息和重要信息存在交叉、重合時的區分，重要信息的重要性與信息的外部表現關聯性不強等問題[24]。因此，若將此種分類作為單位設定處理和使用個人信息的合規性標準，對于單位來說無疑會增添新的難題，這也和刑事合規的目的之一—優化營商環境的理念相悖[25]。基于此，應采用更具現實意義的分類方法為單位設定使用個人信息的合規標準。2021年頒布的《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）將個人信息分成敏感信息和一般信息兩類，且在第28條中對于敏感信息做出了概念和范圍的界定，有利于區分和判定敏感信息和一般信息。此外，《個人信息保護法》作為《刑法》侵犯公民個人信息罪的前置法，將個人信息的類型統一按照《個人信息保護法》的規定予以分類，有利于實現《刑法》與《個人信息保護法》的有效銜接并維護法秩序的統一性。單位在使用一般信息時，應當遵守《個人信息保護法》第13條關于一般信息合理使用的規定，在利用公開個人信息進行公司經營或擴大業務范圍時，應當確保信息使用不改變信息用途，并且不違反信息公開原則。單位在使用敏感信息時，基于敏感信息的特殊性，應當秉持保護優先的原則，嚴格遵守《個人信息保護法》第13條和第28條的規定，在使用敏感信息時，可通過留痕處理證明已經明確告知信息權利人并征得權利人同意，并采用匿名化處理方式以減少單位在使用敏感個人信息時對于信息權利人的不利影響，從而滿足使用敏感信息的合規標準[26]。通過明確個人信息使用的合規標準，給單位劃定個人信息合理使用的自由框架，使單位能夠有效地做好個人信息使用的合規建設，并以此作為單位出罪或寬免刑罰的事由，防止因擴大入罪范圍而給單位帶來的不利影響，從而在保護個人信息安全的同時兼顧信息經濟的發展。

2. 加大處罰力度，倒逼單位進行合規建設

當前，我國刑法采用嚴格懲治的單一治理模式規制單位侵犯公民個人信息犯罪，忽視了單位的自治作用。通過引入刑事合規制度，能夠促使單位在合法框架下獲取和使用個人信息，發揮多元治理的作用。但如何有效推動單位自主開展合規建設？筆者認為既需要發揮刑事合規功能的正向激勵作用，也需要從處罰力度入手反向激勵單位自主合規。《刑法》對于侵犯公民個人信息罪的自然人刑罰有兩檔法定刑規定，但對于單位犯罪的罰金計算標準以及升格條件并不明晰。也因此，我國各地法院對于單位侵犯公民個人信息的處罰并不一致，而且出于經濟發展等角度的考慮，判處單位的刑罰程度也不嚴厲。應當引起關注的是，侵犯公民個人信息并非犯罪的終點。有學者通過調查發現，公民個人信息被侵犯后，后續常常會出現詐騙罪、買賣身份證件罪、信用卡詐騙罪等更加嚴重的犯罪，從而存在“一個行為、多個罪名”的復雜犯罪形態。此外，盡管我國對于侵犯公民個人信息的法網呈現嚴密態勢，但是根據裁判文書網公開案件的數量來看，關于單位侵犯公民個人信息犯罪數量并不多，這與當前我國個人信息泄露頻發的現狀并不相符。究其原因，一方面，是由于不可避免的“犯罪黑數”問題；另一方面，是因為許多地方司法機關出于經濟發展的考慮，對于單位尤其是大型單位犯此罪大多采取行政化處理的方式。而在這種情況下，治理侵犯公民個人信息犯罪就很難取得預期效果。因此，應提高單位侵犯公民個人信息犯罪的罰金標準。可以以50萬為罰金基準，并根據單位事前和事后的合規程度，在此罰金基準上予以加重或減輕罰金數額的考慮，以一改“罰酒三杯，無關痛癢”的處罰態勢，迫使單位主動開展合規建設，以真正做到刑事合規制度的推廣。在具體實施中，若單位具有行之有效的合規計劃，則可以以此作為其出罪事由或者刑罰減免事由予以寬大處置；如合規機制缺失，則應受到嚴厲的刑罰制裁。相信通過此種寬嚴相濟的政策引導，單位即便出于逐利性，也會自主開展合規計劃，以保障自身的規范運營。

3.肯定本罪法益的復合屬性，依據法益危害程度開展合規實踐

大數據時代下發展信息經濟已然是大勢所趨，保護個人信息固然重要，但如果因此強行阻礙個人信息和經濟社會發展的關系，無疑與時代發展背道而馳。刑法對于個人信息的保護絕非阻礙信息流通共享，而是要在保護個人信息的同時能夠為個人信息的規范流通共享創造一個良好的環境[27]。而要解決信息安全和發展的平衡問題，首先，應當肯定本罪法益的復合屬性，即肯定侵犯公民個人信息犯罪法益是以公民個人信息權為主，兼具有社會公共信息管理秩序利益的多屬性法益。在對涉案單位進行處理時，應當認識到個人信息權利實則是個人法益和社會法益兼具的復合法益，在保護個人信息安全的基礎上應兼顧信息經濟發展的問題。其次，應按照刑事合規制度，要求單位在法律框架內規范運行，并通過事前合規促使單位自治，使單位侵犯公民個人犯罪的風險控制點轉至實施犯罪之前，從而起到積極預防的作用。然而單位的事后合規，卻是在單位涉案后進行的整改，是執法單位依據單位的整改效果判定后續處理的措施。因此，在判定能否對單位采用刑事合規，以及在采取刑事合規制度后，是發揮出罪功能還是寬免刑罰功能時，可以通過綜合考量私法益和公法益因素，依據法益侵害程度開展合規實踐，以達到寬嚴相濟、安全與發展兼顧的目標。

具體而言，首先，應當確保刑法在規制單位侵犯公民個人信息犯罪時保持謙抑性原則，即若單位侵犯公民個人信息僅為一般違法現象，對于法益的侵害未達到刑事可罰性的，應當由《個人信息保護法》等前置法予以規制并引導單位合規經營。其次，當前置法無法實現保護目的時，由刑法介入。由于司法解釋將侵犯公民個人信息犯罪按照情節分為兩檔法定刑，此時可以將法益侵害程度納入犯罪情節考量。對個人法益造成侵害，且情節嚴重達成入罪條件的，兼以考慮公法益侵害程度，可以此作為采用刑事合規的依據，并通過考量事前合規有效與否或者事后合規整改的成果，發揮刑事合規出罪或者減免刑罰的作用。對于情節特別嚴重的，且其多重法益侵害都達到刑法可罰性標準，那么刑事合規的出罪功能應當予以擱置。但可以根據單位開展的合規情況，酌情考慮減輕刑罰。因此，通過綜合考慮法益侵害程度采取不同的刑事合規策略，采用層層過濾機制，既可以為單位預留較為寬緩的刑事規制余地，也能最大限度地調動單位自主合規的積極性，實現信息安全與發展的平衡。

五、結語

個人信息安全對于當下乃至于未來都是一個不可忽視的問題，傳統的刑法手段通過嚴密法網、加大打擊力度雖然取得了一定成效，但并非治本之策。基于當前信息發展的趨勢，刑事合規制度作為一種新的治理手段，可通過督促單位建立行之有效的合規計劃形成行業自律，既可以確保單位在法律框架內正當獲取和使用個人信息，避免刑事風險，也可以通過將刑事合規制度融合到侵犯公民個人信息個罪當中，兼顧信息安全和發展，構建更加合理的公民個人信息保護機制，促進社會治理水平的提高。此外，從侵犯公民個人信息犯罪個罪角度出發，通過融合刑事合規制度探索新的治理方式，對于當前數據合規以及國內本土化合規制度的探索也會起到積極作用。

［參考文獻］

楊猛，李嘉碩. 企業數據刑事合規的建構路徑及其具體展開：以數據安全法益為切入[J]. 湘潭大學學報（哲學社會科學版），2024（2）：88-94.

鄒開亮，王馨笛. 敏感個人信息保護視閾下平臺企業數據合規制度要論[J]. 北京科技大學學報（社會科學版），2024（2）：87-93.

龔文博. 網絡平臺處理個人信息的合規義務及其出罪路徑[J]. 華東政法大學學報，2024（2）：52-66.

李川. 個人信息犯罪的規制困境與對策完善：從大數據環境下濫用信息問題切入[J]. 中國刑事法雜志，2019（5）：34-47.

楊立新. 個人信息：法益抑或民事權利——對《民法總則》第111條規定的“個人信息”之解讀[J]. 法學論壇，2018（1）：34-45.

劉仁文. 論非法使用公民個人信息行為的入罪[J]. 法學論壇，2019（6）：118-126.

何榮功. 社會治理“過度刑法化”的法哲學批判[J]. 中外法學，2015（2）：523-547.

張勇. 公民個人信息刑法保護的碎片化與體系解釋[J]. 社會科學輯刊，2018（2）：86-93.

龔健. 論刑74e8876c2ed116eb2dcd18c96857828cf90a515eca576a64125a323a1582e024法法益的功能[J]. 遼寧行政學院學報，2009（11）：36-38.

劉艷紅. 侵犯公民個人信息罪法益：個人法益及新型權利之確證——以《個人信息保護法（草案）》為視角之分析[J]. 中國刑事法雜志，2019（5）：19-33.

郭澤強，張鑫希. 走出侵犯公民個人信息罪的法益保護之迷思：超個人法益之提倡[J]. 天府新論，2020（3）：93-101.

王肅之. 被害人教義學核心原則的發展：基于侵犯公民個人信息罪法益的反思[J]. 政治與法律，2017（10）：27-38.

王利明. 論個人信息權的法律保護：以個人信息權與隱私權的界分為中心[J]. 現代法學，2013（4）：62-72.

楊芳. 個人信息自決權理論及其檢討：兼論個人信息保護法之保護客體[J]. 比較法研究，2015（6）：22-33.

劉艷紅. 企業合規責任論之提倡：兼論刑事一體化的合規出罪機制[J]. 法律科學（西北政法大學學報），2023（3）：89-102.

李本燦. 論企業合規改革中的個人模式與組織模式關系[J]. 北京社會科學，2024（1）：71-77.

孫國祥. 刑事合規與單位犯罪立法的完善[J]. 北京社會科學，2024（1）：65-70.

周振杰. 英國《2010年賄賂罪法》評介[M]//趙秉志. 刑法評論：第2卷. 北京：法律出版社，2013：312.

SIMPSON S S. Corporate Crime，Law and Social Control [M]. Cambridge：Cambridge University Press，2002：114.

劉品新. 論數據刑事合規[J]. 法學家，2023（2）：89-107.

敬力嘉. 個人信息保護合規的體系構建[J]. 法學研究，2022（4）：152-167.

鄭自飛. 由事后懲治向事前合規：侵犯公民個人信息罪的治理模式轉型[J]. 重慶郵電大學學報（社會科學版），2024（1）：35-46.

陳文昊. 侵犯公民個人信息罪中的“外圍”立法與解釋進路[J]. 重慶郵電大學學報（社會科學版），2018（3）：36-43.

周光權. 侵犯公民個人信息罪的行為對象[J]. 清華法學，2021（3）：25-40.

李本燦. 法治化營商環境建設的合規機制：以刑事合規為中心[J]. 法學研究，2021（1）：18.

李世剛，屈然. 論敏感個人信息的合理使用[J]. 江蘇社會科學，2022（6）：159-168.

王殿宇. 公權法益觀視閾下的人格法益：數字經濟時代侵犯公民個人信息罪的法益續造[J]. 廣西大學學報（哲學社會科學版），2023（6）：117-126.