洪纖柳 何菲

作者單位：浙江農(nóng)林大學文法學院

隨著信息網(wǎng)絡(luò)技術(shù)的迭代更新，個人信息數(shù)據(jù)在源源不斷地產(chǎn)生和積累，侵犯公民個人信息的犯罪行為也只增不減。目前大量侵犯公民個人信息案件，其多發(fā)原因為犯罪成本低且收益高、掌握信息者缺乏約束、個人信息安全意識薄弱等，加上網(wǎng)絡(luò)調(diào)查中證據(jù)難以收集和固定，使得信息侵害者逃脫法律制裁。

一、 侵犯公民個人信息罪刑法規(guī)制存在的困境

（一） 法益內(nèi)涵不明確

對于侵犯公民個人信息罪的相關(guān)條文，不論是《刑法》還是《最高人民法院解釋》（簡稱《解釋》），其立法原意都偏向于保護個人信息主體的隱私權(quán)、人格權(quán)和財產(chǎn)權(quán)，強調(diào)個人對其信息的專有權(quán)以及他人對于侵犯個人信息行為的禁止。而在審判實踐中，法官對于該罪法益識別與判斷將會直接影響刑罰幅度，從而間接影響該罪的治理效果。在前置法律規(guī)范尚不完善，民法和行政法規(guī)制效果不佳的情況下，侵犯公民個人信息罪的法益保護的涵攝力也大打折扣，其可操作性并沒有達到社會治理要求。

（二） 入罪標準模糊

2017年兩高發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》細化了侵犯公民個人信息罪的追訴標準。該《解釋》設(shè)置了四個維度的入罪標準：一是侵犯公民個人信息數(shù)量；二是違法獲利金額；三是與他人犯罪的關(guān)系；四是社會危害性衡量。

然而，目前司法實務(wù)對侵犯公民個人信息罪的定罪量刑，基本以“侵犯信息數(shù)量”和“違法獲利數(shù)額”為準，但對于如何認定個人信息的條數(shù)，還是存在較大爭議。并且，實踐中對信息條數(shù)的認定并不契合某些特殊類型的信息。例如，一般個人信息中的住房信息，這類信息具有可變更、可增減性，難以準確計量個人信息數(shù)量。而個人敏感信息中的生物識別信息獨一無二，以簡單的侵犯條數(shù)來確定定量情節(jié)顯然不恰當。因此，認定不同類型、不同性質(zhì)、不同適用范圍的信息犯罪情節(jié)在刑事領(lǐng)域的入罪標準，需得到立法的進一步細化和厘清。

（三） 刑罰適用規(guī)定不完備

罰金刑的適用通常依照主刑情況進行，但目前刑法尚未對罰金刑做出統(tǒng)一規(guī)定，由此各地根據(jù)審判工作的實際情況形成自己的一個標準。在罰金刑具體幅度的判斷上，也極大依賴于法官對案件事實的分析以及對犯罪人情況的認證結(jié)果，出現(xiàn)了隨意性過大的情形。犯罪情節(jié)和罰金數(shù)額之間的聯(lián)系會因為地域、經(jīng)濟差異等外在條件以及法官的主觀判斷等因素的影響導(dǎo)致罪輕重罰或罪重輕罰的現(xiàn)象時有發(fā)生。由此可見，我國刑法處理性質(zhì)相同、情節(jié)相似的侵犯公民個人犯罪并沒有達到罪刑的綜合平衡，刑罰適用規(guī)定存在一定的欠缺。

（四） 刑法規(guī)制重點失衡

社交媒介的大量涌現(xiàn)及網(wǎng)絡(luò)實名制的浪潮，使得網(wǎng)民在個人信息輸入愈發(fā)頻繁。據(jù)相關(guān)調(diào)研統(tǒng)計，即便是公民上網(wǎng)時對自身個人信息的安全非常警惕，也難免要填寫一些個人真實情況。公民個人信息防護意識并不強，往往因貪小而失大。實際上，這也是app后臺運營商收集個人信息的通常手段，用戶對于使用者在獲得數(shù)據(jù)、超出用戶同意的范圍之后的犯罪一無所知。而像人臉信息一經(jīng)生成不可撤銷，對像這類生物識別數(shù)據(jù)任何的盜用、濫用或數(shù)據(jù)的泄露，都會使數(shù)據(jù)主體處于“裸奔”狀態(tài)。個人信息不能被重置且個人難以尋求救濟甚至很有可能退出正常的社會交易活動。例如，被拒絕訪問系統(tǒng)、享受服務(wù)，喪失通信自由；被冒用身份進行財產(chǎn)犯罪（造成債務(wù)危機、資金流失)、人身犯罪（如個人精神遭受打擊，隱私泄露）。

二、 完善侵犯公民個人信息罪之刑法規(guī)制建議

（一） 明確法益的內(nèi)涵和罪名罪數(shù)形態(tài)認定

1.法益內(nèi)涵的界定

為明確侵犯公民個人信息罪的刑事保護界限，有學者提出“應(yīng)按照形式不法的構(gòu)成要件和違法性階層思維，先明確形式法益（個人信息流通知情權(quán)），再從違法性階層進行遴選”的方法來確定個人信息保護法益。以個體主義為出發(fā)點的個人信息具有專屬性、人格性、隱私性，將侵犯公民個人信息罪的法益確定為“個人信息權(quán)”，那么僅當存在被害人時，才啟動刑法社會保護的機能。但出售個人信息的行為沒有直接被害人，因此不能被評價為犯罪；在國家、社會視角下的個人信息具有秩序性、集權(quán)性以及公共性，將侵犯公民個人信息罪侵害的法益確定為“個人信息管理秩序”，那么個人行使權(quán)利時應(yīng)當遵守維護社會秩序的義務(wù)。當行為人出售自己個人信息對社會管理造成損害時，應(yīng)當認定其行為具有行政違法性。

2.罪名罪數(shù)形態(tài)認定依據(jù)的完善

侵犯公民個人信息犯罪已經(jīng)形成“信息提供方—中間販賣方—購買使用方”的互聯(lián)網(wǎng)犯罪產(chǎn)業(yè)鏈，并且與計算機犯罪、網(wǎng)絡(luò)詐騙犯罪等下游犯罪緊密相關(guān)。針對侵犯公民個人信息犯罪與信用卡犯罪的法條競合，學界、司法實踐中嚴格采取特別法條優(yōu)于普通法條的原則。針對侵犯公民個人信息罪與其他罪名的想象競合，在審判實踐中，想象競合犯通常以從一重為處斷原則。針對牽連犯的罪數(shù)認定，若行為人的目的和手段牽連性不強，則實行數(shù)罪并罰。

（二） 侵犯公民個人信息罪的入罪標準和量刑規(guī)則的完善

1.入罪標準的明確化

為更好地治理侵犯公民個人信息犯罪，需要準確定義“情節(jié)”要素。當“情節(jié)嚴重”成為界定罪與非罪的標準時，需要充分考量以下幾個因素：一是不同信息類型的影響范圍。例如生物識別信息這類敏感信息，一旦被犯罪分子不法收集、利用，其法益侵害程度遠高于一般個人信息，這些信息都應(yīng)當受到刑法的特殊保護。借此，有學者認為應(yīng)當“運用實質(zhì)解釋的辦法，針對兩高《解釋》第5條當中的兩個兜底條款，將侵犯生物識別信息5條及以上認定為‘情節(jié)嚴重’，將侵犯生物識別信息50條及以上認定為‘情節(jié)特別嚴重’?！?；二是數(shù)目及人次標準。公民個人信息的輻射范圍極廣，涉及到的公民信息愈多，危險系數(shù)愈大。在判定情節(jié)時，不僅要考量侵犯個人信息的條數(shù)，還有必要引入人次標準的評價，即在犯罪人使用個人信息過程中侵犯的具體人員數(shù)目，如發(fā)送騷擾短信、撥打騷擾電話的真實人次；三是主觀惡性考量。行為人將自己的信息提供或出售給他人，他人用于犯罪的以及行為人獲取他人的信息用于自身犯罪的或提供給他人用于犯罪的這兩種情形，顯然自己的信息和他人的信息，前者主觀惡性小于后者，而自己用于犯罪或被他人用于犯罪的情況，在難以考量主觀惡性的狀態(tài)下，可以參照《解釋》，盡管《解釋》中僅規(guī)定獲取他人的信息，被他人用于犯罪的情形，并沒有規(guī)定用于自己犯罪的情形，但可以根據(jù)當然解釋的方法，將其認定為“情節(jié)嚴重”。

2.量刑規(guī)則的健全

刑法真正的犯罪通常表現(xiàn)為倫理道德上的可責性，諸如殺人、搶劫、強奸等犯罪。相較之下，侵犯公民個人信息罪的法益危害程度較低。在是否適用緩刑的判斷上，應(yīng)當考慮緩刑的執(zhí)行效果。適用緩刑具有眾多益處，例如，不致監(jiān)獄中罪犯混雜關(guān)押的情況下“交叉感染”，不影響犯罪人的家庭生活。在統(tǒng)一量刑幅度的問題上，主要是量刑檔次和罰金數(shù)額的差異。罰金刑作為附加刑，其性質(zhì)屬于財產(chǎn)刑，剝奪的是犯罪人合法所有的財產(chǎn)。實踐中，大多數(shù)罰金數(shù)額在犯罪人違法所得數(shù)額的基礎(chǔ)上加以設(shè)定，但違法所得數(shù)額未必能充分體現(xiàn)侵犯公民個人信息罪的法益侵害程度。并且，在裁判中法官的自由裁量權(quán)易受主觀色彩的影響，導(dǎo)致被單處罰金的案例難免會有“以錢贖刑”之嫌。侵犯公民個人信息案件中大量“人傳人”的轉(zhuǎn)賣亂象，公安機關(guān)在辦案過程中也難以追本溯源，就同一犯罪鏈上的違法所得數(shù)額的確定也存在實際上的誤差。建議以犯罪情節(jié)為基礎(chǔ)，綜合評價本罪的社會危害程度，并將公民個人履行能力及其家庭經(jīng)濟生活狀況納入考量范圍，來合理確定緩刑及罰金刑的適用。

3.細化責任梯度

建構(gòu)個人信息的梯級保護機制，首先要遵循“個人信息—個人敏感信息—個人行蹤軌跡/生物識別信息等”自上而下的保護層級，再從數(shù)據(jù)的采集、傳輸、使用、存儲、銷毀五個階段根據(jù)法益侵害程度形成“一般違法性—刑事違法性”的責任梯度，明確民刑的銜接程序。

要充分考慮信息處理過程中各個階段違法行為的性質(zhì)、嚴重程度等判斷標準。在民事領(lǐng)域，一般要進行形式判斷?！睹穹ǖ洹纷鳛橹匾那爸梅ǎ涞?036條規(guī)定了“在自然人同意的范圍內(nèi)處理個人信息”不承擔民事責任?！秱€人信息保護法（草案）》也確立了“告知——同意”為核心的個人信息處理規(guī)則，說明行為人應(yīng)用個人信息只要征得主體同意，他人的損害行為就能阻卻行為的違法性。而判斷侵犯公民個人信息行為的“刑事違法性”則需要結(jié)合刑法機能進行實質(zhì)性判斷，再根據(jù)兩階層體系的原理進行定罪。違法性判斷首先考慮前置法的規(guī)范，可以簡要分為行為之前和行為之后兩個階段。對于行為之前的情況，若數(shù)據(jù)主體對他人收集自己的個人信息并沒有明確知情并且同意，則違反相關(guān)法律或雙方的約定，達到需要刑法規(guī)范的范疇。對于行為之后的情況，若能證明數(shù)據(jù)主體被收集自己的個人信息之后的行為確實沒有發(fā)生危害結(jié)果，則排除該行為的違法性。由此可得出：“被害人的知情同意”在違法階層的認定并不能成為其免責的正當事由，當然具備違法性認識可能性或期待可能性在責任階層也不能成為其責任阻卻事由。