韋堯瀚

(廣東省珠海市香洲區(qū)人民檢察院，廣東 珠?！?19000)

?

侵犯公民個人信息罪在司法認定中的若干問題研究
——兼評《刑法修正案(九)》第十七條

韋堯瀚

(廣東省珠海市香洲區(qū)人民檢察院，廣東 珠海519000)

摘要:針對《刑法修正案(九)》對侵犯公民個人信息罪的修訂而產(chǎn)生的爭議，通過結合司法實踐，指出應當以信息主體相關性、可識別性把握公民個人信息的內涵，同時應以多個維度考量本罪的“情節(jié)嚴重”標準，以期為理論研究及司法認定該罪名提供參考。

關鍵詞:公民個人信息；《刑法修正案(九)》第十七條；侵犯公民個人信息罪；司法認定

一、加強打擊公民個人信息犯罪的立法背景

1.應對侵犯公民個人信息犯罪嚴峻態(tài)勢的客觀要求

第一，被侵犯的公民個人信息總量巨大。據(jù)公安部2012年打擊侵害個人信息犯罪專項行動成果顯示：專項行動共打掉近1 000個團伙，抓獲犯罪嫌疑人4 000余名，查獲公民個人信息高達50億條，并查獲下游犯罪上萬余起。[1]

第二，被泄露的公民個人信息涵蓋面較廣，涉及公民各種信息。經(jīng)統(tǒng)計，所在基層檢察院從2011年至今所辦理的侵犯公民個人信息犯罪的案件中所涉及的公民個人信息內容包括通話記錄、手機定位信息、短信息記錄、電話機主資料、企業(yè)老板信息等。

第三，大量公職人員、國企員工牽涉公民個人信息買賣案件。據(jù)工業(yè)與信息產(chǎn)業(yè)部統(tǒng)計，公民個人信息的泄露案件中八成是來自于內部人員作案。[2]諸多涉及公民個人信息買賣的案件中大多都可以見到“內部”人員參與的“影子”。

2.新形勢下應對侵犯公民個人信息犯罪的迫切需要

在司法實踐中，犯罪分子買賣或非法獲取公民個人信息的目的從為商業(yè)活動提供便利逐漸向為后續(xù)的下游犯罪提供便利轉變，而這種轉變已成為目前侵犯公民個人信息犯罪的新常態(tài)。在司法實踐中呈現(xiàn)了如下幾種趨勢。

第一，與敲詐勒索、綁架等暴力犯罪相結合。在已破獲的敲詐勒索、綁架等暴力犯罪案件中，掌握被害人的公民個人信息已經(jīng)成為某些犯罪分子實施暴力犯罪的前提。犯罪分子通過掌握被害人的公民個人信息為暴力犯罪提供便利，進而嚴重侵害公民的合法權益。

第二，與盜竊罪等財產(chǎn)類犯罪結合。在實踐當中，因公民個人信息被犯罪分子非法獲取，導致被害人銀行卡被盜刷、網(wǎng)上銀行賬戶被轉賬的案件已不鮮見。由于此類案件往往涉及跨地區(qū)甚至跨境犯罪，極難追贓，一旦發(fā)生會給被害人造成重大的經(jīng)濟損失。

第三，與電話、網(wǎng)絡詐騙等新型犯罪相結合。大量公民個人信息被非法買賣，這已經(jīng)成為某些犯罪分子運用電話和網(wǎng)絡進行詐騙等新型犯罪的助推劑。例如，某市曾連續(xù)發(fā)生過多起利用被害人的公民個人信息進行電話詐騙的案件，造成了被害人巨大損失。[3]

二、《刑法修正案(九)》第十七條的立法評析

1.立法現(xiàn)狀

我國1979年刑法和1997年刑法中，均未設定專門的條款對于公民個人信息進行保護。直到2009年，為應對日益嚴重的侵犯公民個人信息的犯罪行為，《刑法修正案(七)》增加了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名對侵犯公民個人信息行為進行規(guī)制。這是我國首次以刑事手段直接維護公民個人信息安全的立法嘗試。然而，《刑法修正案(七)》對以上兩罪名的罪狀表述未能詳盡，相關司法解釋又未能及時出臺，造成學術界和實務界對于兩罪名的認定出現(xiàn)較大爭議。為順應社會發(fā)展和打擊犯罪的需求，《刑法修正案(九)》第十七條將刑法第二百五十三條之一由三款修訂為四款，具體而言：第一款表述為“違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。第二款表述為“違反國家有關規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。”第三款表述為“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰?！钡谒目畋硎鰹椤皢挝环盖叭钭锏?，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！倍笞罡呷嗣駲z察院、最高人民法院出臺的《刑法修正案(九)罪名司法解釋》將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩罪合并為侵犯公民個人信息罪一罪。

2.立法評析

(1)進步之處

首先，擴大入罪主體，增加追責范圍。原刑法條文將該罪犯罪主體規(guī)定為特殊主體，即僅限于國家機關或者金融、電信、交通、教育、醫(yī)療等單位及其工作人員。但隨著社會的發(fā)展，實名制已經(jīng)成為許多機構提供服務的前提，因此快遞公司、民航公司、保險公司、網(wǎng)站等機構及其工作人員可在其提供服務過程中掌握大量的公民個人信息，這些單位或其工作人員一旦實施侵犯公民個人信息的行為，對于公民人身和財產(chǎn)安全所造成的潛在威脅也不容小覷。且在司法實踐中，買賣公民個人信息已經(jīng)形成一條完整的利益鏈條，因此，目前司法機關抓獲的諸多出售公民個人信息的行為人只是該利益鏈條的中間一環(huán)，而他們往往并不是國家機關或者金融等單位的工作人員，如果嚴格限制侵犯公民個人信息罪主體，司法機關對這些處于犯罪中游的行為人追究刑事責任就缺乏法律上的支持。而《刑法修正案(九)》將侵犯公民個人信息罪的犯罪主體從特殊主體擴大至一般主體，可謂在公民個人信息的刑事法律保護上邁出了重大一步。

其次，明確犯罪成立的客觀要件，避免司法認定中出現(xiàn)爭議。原刑法第二百五十三條之一第二款將非法獲取公民個人信息行為的罪狀表述為“竊取或者以其他方法非法獲取上述信息……”，雖然有觀點認為“上述信息”應理解為公民個人信息，但基于立法者原意，實踐當中司法機關一般將“上述信息”理解為第一款中特殊主體履行職責或提供服務過程中獲得的公民個人信息。因此，行為人從網(wǎng)絡、直接從信息主體處等其他渠道獲取的公民個人信息不屬于“上述信息”?！缎谭ㄐ拚?九)》則明確只要行為人“竊取或者以其他方法非法獲取公民個人信息”達到情節(jié)嚴重標準即可入罪。該修訂不但加強了對公民個人信息的保護力度，更增強了司法機關認定侵犯公民個人信息犯罪行為的可操作性。因為公民個人信息的獲取來源具有隱秘性，難以溯源。假如行為人辯稱自己非法獲取的公民個人信息并非源自國家機關或者金融機構等單位，或是辯稱這些公民個人信息并非獲取自上述單位的工作人員在履行職責或提供服務之中，這無疑會導致司法機關的舉證成本和舉證難度大大增加。此外，在司法實踐當中，已出現(xiàn)行為人對被害人的駕駛路線、活動地點等日常生活軌跡進行跟蹤定位，進而將該信息提供給雇主的新型案件，如果將非法獲取公民個人信息行為對象嚴格限制為特殊主體履行職責或提供服務過程中獲得的公民個人信息，那么司法機關對于這些新型的非法獲取公民個人信息犯罪行為就處罰無據(jù)。

最后，合理規(guī)定法定刑，更符合罪責刑相適應原則。根據(jù)原刑法條文規(guī)定，出售、非法提供公民個人信息罪的犯罪和非法獲取公民個人信息罪兩罪的法定刑皆為三年以下有期徒刑或者拘役，并處或者單處罰金?！缎谭ㄐ拚?九)》在保留原量刑檔的同時，增加了三年到七年的量刑檔，同時明確對特殊主體向他人出售或者提供公民個人信息的行為進行從重處罰，不再沿用原刑法條文對特殊主體和一般主體侵犯公民個人信息處以相同法定刑的條款，使侵犯公民個人信息罪的法定刑的設定更具區(qū)分度及合理性。

(2)局限之處

第一，入罪行為方式具有局限性。在司法實踐中，由于侵犯公民個人信息犯罪的手段日益多樣化，除出售、非法提供和非法獲取公民個人信息行為外，還包括非法使用公民個人信息、擅自提供公民個人信息、非法破壞公民個人信息等行為。綜覽其他國家涉及公民個人信息保護的立法，將此類行為納入刑事制裁范圍的規(guī)定并不鮮見。例如，葡萄牙《個人數(shù)據(jù)保護法》將未經(jīng)正當授權刪除、破壞個人數(shù)據(jù)，非法披露個人數(shù)據(jù)等行為規(guī)定為犯罪。因此，在堅持刑法謙抑性的前提下，為滿足打擊犯罪之需要，刑法可適當擴大侵犯公民個人信息罪的入罪行為方式，逐漸完善侵犯公民個人信息罪的犯罪圈。

第二，缺乏完善的行政與刑事制裁銜接體系?！缎谭ㄐ拚?九)》第十七條規(guī)定，認定侵犯公民個人信息罪成立的前提是該行為違反國家規(guī)定。目前雖然也有部分行政法律法規(guī)對公民個人信息的保護作出了一般性規(guī)定，但我國目前尚未建立法律層面的行政與刑事制裁銜接體系，這部分行政法律法規(guī)與刑法并不能無縫對接，導致實踐當中司法機關在認定侵犯公民個人信息犯罪時，只要行為人侵犯公民個人信息的行為達到情節(jié)嚴重標準，即可將其行為認定為侵犯公民個人信息罪。因此，應盡快梳理目前分散的法律、法規(guī)，健全相關法律體系，為《刑法修正案(九)》第十七條的順利實施提供必要的法律依據(jù)。

三、司法實踐中存在的問題

1.如何理解侵犯公民個人信息犯罪對象范圍

“公民個人信息”一詞由“公民”與“個人信息”兩部分構成。從漢語語義上理解，“個人信息”被“公民”所限定。所謂“公民”指的是憲法上的概念。按照我國憲法理論，“公民”指的是具有某國國籍并承擔該國義務和享受該國權利的自然人，需具備三個要素：第一，公民需為自然人；第二，需擁有某國的國籍；第三，需要根據(jù)該國法律承擔一定的義務和享受一定權利。照此理解，這里的“公民個人信息”僅指擁有公民身份者的個人信息。但筆者認為，任何人的個人信息皆可納入刑法保護范圍。在此基礎上，涉及公民個人信息保護犯罪對象問題主要有以下兩點：

第一，無國籍者個人信息保護問題。無國籍人因不具有一國國籍，因此其并不屬于公民，其個人信息亦即不屬于公民個人信息。但筆者認為無國籍人的個人信息也應納入刑法保護。一方面，根據(jù)權利與義務對等性原則，無國籍人履行我國刑法義務時就有權享有刑法保護的權利。當涉及無國籍人的個人信息被非法侵犯時，我國刑法也應給予無國籍人同本國公民同一的保護。另一方面，基于社會管理需要，某些機構在提供管理和服務過程中也可獲取無國籍人個人信息，而這些無國籍個人信息也存在被非法侵犯之可能。因此，對無國籍者個人信息進行保護也是刑法應有之義。

第二，死者個人信息保護問題。我國現(xiàn)行刑法對于死者是否可以作為信息主體并沒有做出明確的規(guī)定。但筆者認為，司法機關也宜對死者的個人信息進行保護。一方面，雖然死者已不再是自然人，死者的自然屬性已經(jīng)隨之去世而消失，但死者的個人信息還涉及其親屬及利害關系人的情感與名譽。因此，從社會穩(wěn)定與公序良俗的角度上考慮，也應當對死者個人信息加以保護，以防可能衍生的次生社會危害。另一方面，死者遺留了大量能客觀甄別其身份特征的個人信息，從這個角度看，死者的個人信息與生者沒有區(qū)別。因此，法理對于死者是否可以作為個人信息主體這一問題的回答是肯定的。綜上，為達到法律效果與社會效果的和諧統(tǒng)一，刑法也宜對死者的個人信息進行保護。

2.如何理解公民個人信息內涵

對某項犯罪而言，明確犯罪對象是首先必須解決的問題。[4]同理，明確公民個人信息的內涵是司法機關打擊犯罪的前提。但我國目前尚未出臺《個人信息保護法》，刑法對于公民個人信息的定義語焉不詳，而學術界對個人信息的定義也莫衷一是。有的觀點主張應狹義地理解公民個人信息，將個人信息理解為個人隱私。還有的觀點主張從廣義上對公民個人信息進行界定，如“所謂個人信息是指以任何形式存在的，與信息主體有關聯(lián)性的個人信息。”[5]另有觀點又主張突顯個人信息的可識別性。而筆者認為，應從實質上把握個人信息的內涵。

第一，公民個人信息應當與信息主體具有相關性。有學者就指出，信息與信息主體相關性是判斷信息是否構成個人信息另一重要的關鍵點。[6]而這種相關也應包括間接相關，因而宜將此類與信息主體間接相關的個人信息理解為公民個人信息。因為此類個人信息也可以間接地識別信息主體，如被不法分子所利用，仍可以對其人身與財產(chǎn)安全及社會產(chǎn)生潛在的危險?；诖?，法國《數(shù)據(jù)處理、文件處理及個人自由法》明確規(guī)定，只要是能夠直接或間接識別自然人的任何信息都可以認為是個人數(shù)據(jù)。

第二，公民個人信息應當具有可識別性。所謂可識別性就是通過信息的內容即可以區(qū)分此主體與彼主體。[7]可識別性是目前國際上通行的對個人信息進行界定的核心理念，在國內也有眾多學者主張個人信息應當具有可識別性。例如，在我國第一個《個人信息保護法(專家建議稿)》當中，就明確指出應當突出個人信息的可識別性。[7]從內容的角度看，可識別具有唯一的對應性，即只需要一個或多個獨特信息就可以確定信息主體。從價值的層面看，由于公民個人信息基于可識別產(chǎn)生獨特的辨認維度，因此，公民個人信息在現(xiàn)代信息社會中不僅僅產(chǎn)生了最基本人格利益，還在社會交往、商業(yè)運營、社會管理等多個方面產(chǎn)生了重要的價值。故而，要判斷某一個人信息是否屬于公民個人信息，識別性是重要的參考依據(jù)。

此外，需強調的是公民個人信息不宜同于個人隱私，個人隱私的范圍只是公民個人信息的一部分。首先，侵犯公民個人信息犯罪所侵犯的法益是公民個人的信息自由和安全，并不是公民的隱私權，保護隱私權只是信息安全的一部分。其次，行為人買賣在一定范圍內公眾可知的公民個人信息，如姓名、電話號碼、住址等個人信息仍然會對信息主體的人身和財產(chǎn)安全產(chǎn)生潛在威脅。如在一起案件中，林某為實施電話詐騙，從網(wǎng)絡上購買了包括姓名、電話、地址及車牌在內的公民個人信息3 000多條。在該案中，如果把公民個人信息的范圍等同于個人隱私，那么對林某追究刑事責任就缺乏正當性依據(jù)。而且在司法實踐中，涉案的公民個人信息數(shù)量巨大，動輒數(shù)萬條甚至數(shù)十萬條，如需要司法機關區(qū)分涉案公民個人信息的是否涉及隱私，需耗費大量的司法資源和成本，這顯然并不符合我國司法實際及滿足打擊犯罪的需要。綜上，只要符合相關性和可識別性特征的個人信息，無論是涉及個人隱私的指紋、DNA、個人癖好、病例、婚姻狀況、婚育狀況、網(wǎng)上登錄賬號、密碼等，還是在一定范圍內公眾可知的公民姓名、年齡、職業(yè)、住址及聯(lián)系方式等個人信息都可以認為是公民個人信息。

3. 如何把握 “情節(jié)嚴重”的標準

《刑法修正案(九)》仍采取情節(jié)犯的立法模式，雖然較為靈活地避免了立法時的爭論，但導致如何合理把握“情節(jié)嚴重”的標準成為了司法實踐中的難點。實踐中多采用侵犯公民個人信息的數(shù)量的單一標準，但單純的只以數(shù)量為認定“情節(jié)嚴重”的標準不能體現(xiàn)個案中法益被侵犯的嚴重程度?！扒楣?jié)嚴重”的社會危害性是一種綜合價值的評價，不應該如堆積木式地簡單的堆砌，應當運用綜合的標準衡量社會危害性的程度從而科學地確定“情節(jié)嚴重”的標準，具體而言，在實踐中可以根據(jù)以下幾個方面判斷“情節(jié)嚴重”標準。

第一，從數(shù)量上把握。在日常生活中，數(shù)量可客觀量化事物的總量情況。而我國的傳統(tǒng)犯罪構成理論認為，數(shù)量是社會危害性結果可量化的犯罪中最重要的定罪條件。即在一般情況下，出售或非法地獲取公民個人信息的數(shù)量越多，則犯罪產(chǎn)生的社會危害性就越大。因此，涉案公民個人信息數(shù)量是認定侵犯公民個人信息情節(jié)嚴重的重要的標準之一。

第二，從非法獲利和非法銷售金額上把握。牟取物質利益已成為某些行為人犯罪的重要動機，同時物質利益的大小在一定程度上又反映了行為人主觀惡性與所犯之罪的社會危害性程度，因此，行為人獲取利益的多寡與其犯罪行為的社會危害性成正比。如在我國現(xiàn)行刑法中，認定非法經(jīng)營罪的情節(jié)嚴重包括“違法所得額”和“非法經(jīng)營數(shù)額”兩個標準，而買賣公民個人信息是侵犯公民個人信息的常見行為，因此考量侵犯公民個人信息罪情節(jié)嚴重標準亦可借鑒非法經(jīng)營罪情節(jié)嚴重標準，即只要行為人達到 “非法獲利”和“非法銷售金額”任何一個標準，即可認為達到“情節(jié)嚴重”標準。

第三，從犯罪次數(shù)上把握。行為人實施的犯罪次數(shù)是衡量行為人社會危害性較為重要的條件，其不但反應了行為人侵害法益的頻率，還集中體現(xiàn)了行為人的主觀惡性。因此，犯罪次數(shù)較多的行為人其主觀惡性和人身危險性及其實施的犯罪行為所產(chǎn)生的社會危害性更大。對于侵犯公民個人信息的犯罪行為來說亦是同理，若行為人在一定時間內實施了一定次數(shù)的犯罪行為，或是一定時間內因實施了侵犯公民個人信息的行為受過行政處罰后再次實施應受行政處罰的侵犯公民個人信息的行為的，即可認為達到“情節(jié)嚴重”標準。

第四，從行為性質上把握。危害行為是犯罪構成的核心要件，是行為人思維對客觀事物的外在映射，反應了行為人的主觀惡性程度，同時危害行為也能說明犯罪的具體性質和社會危害性的程度。簡而言之，行為方式的惡劣程度與社會危害性成正比例關系。因此，在認定侵犯公民個人信息犯罪的情節(jié)嚴重程度時應考慮行為的具體性質。要具體考量侵犯公民個人信息罪行為性質是否惡劣，應結合該種犯罪的構成特點。第一，以賄賂手段從國家機關或金融、電信、教育等機構獲取公民個人信息的，可以認定為“行為性質惡劣”。第二，“獲取”的手段包括欺騙、盜竊、購買等多種非法手段，但如果獲取手段本身就具有嚴重社會危害性的，即可認定為“行為性質惡劣”。換句話說，行為人以暴力或脅迫手段獲取公民個人信息的，即可認定為“行為性質惡劣”。

第五，危害結果上把握。所謂危害結果，是指危害行為對法益產(chǎn)生的一種實害危險。[8]危害結果是對危害行為引起法律所保護的社會關系產(chǎn)生的一種客觀實在的反應，集中反映了犯罪行為的社會危害性。是區(qū)分罪與非罪的一個重要因素，同時，危害結果的嚴重程度對成立某種具體犯罪的既遂與否具有決定性的意義。因此，侵犯公民個人信息的行為引起嚴重后果的，可作為認定侵犯個人信息犯罪“情節(jié)嚴重”的依據(jù)。根據(jù)刑法危害結果與情節(jié)犯的一般理論，造成他人重大經(jīng)濟損失的、造成他人心理或身體受到嚴重影響的、造成惡劣社會影響的都可以認定為引起嚴重危害結果。

四、結束語

雖然《刑法修正案(九)》對侵犯公民個人信息罪的修訂仍有可改進的空間，但不可否認，該修正案進一步完善了我國對公民個人信息的刑事立法保護，反映出國家立法機關對于涉及民生犯罪的關注，符合經(jīng)濟社會發(fā)展和人民對法治發(fā)展的需求。當然，我們還應當正視，刑事立法的完善過程并不可一蹴而就，需要刑法理論與司法實踐不斷地碰撞、吸收與融合。因此，完善我國公民個人信息刑事立法的過程仍任重而道遠。

參考文獻:

[1] 何春中. 為何會有大量公民個人信息泄露[N]. 中國青年報, 2013-06-20(11).

[2] 駱沙. 調研顯示: 個人信息泄露近八成源自于內部作案[N]. 中國青年報, 2012-04-19(03).

[3] 李榮華. 垃圾短信詐騙電話頻繁騷擾, 你的個人信息被盜了[N]. 南方日報, 2013-03-15(A04).

[4] 吳盛. 公民個人信息的刑法保護宜更為周全[N]. 檢察日報, 2008-09-15(03).

[5] 趙秉志. 刑法修正案最新理解適用[M]. 北京: 中國法制出版社, 2009.

[6] 齊愛民. 拯救信息社會中的人格——個人信息保護法總論[M]. 北京: 北京大學出版社, 2009.

[7] 周漢華. 中華人民共和國個人信息保護法(專家建議稿)及立法研究報告[M]. 北京: 法律出版社, 2006.

[8] 馬克昌. 犯罪通論[M]. 北京: 北京大學出版社, 高等教育出版社, 2006.

Controversial Issues Regarding Juridical Determination for Crime of Infringement on Personal Information of Citizens——Comments on Article 17 of the Amendment (IX) to theCriminalLawofthePeople’sRepublicofChina

WEI Yao-han

(People’s Procuratorate of Xiangzhou District, Zhuhai 519000, China)

Abstract:The revision for the crime of infringement on personal information of citizens in the Amendment (IX) to the Criminal Law of the People’s Republic of China has brought judicial controversies. In accordance with juridical practices, this article puts forward thresholds to determine what citizens’ personal information refers to, for instance, information subject relevance and distinction, and different angles to measure a “serious circumstance” of the crime so as to offer references to scholars in theoretical research and judicial determination.

Key words:personal information of citizens; Article 17 of the Amendment (IX) to the Criminal Law of the People’s Republic of China; the crime of infringement on personal information of citizens; juridical determination

文章編號:1008-7729(2016)01- 0034- 06

中圖分類號:D924.34；D924.4

文獻標識碼:A

作者簡介：韋堯瀚(1989—)，男，壯族，廣西桂林人，廣東省珠海市香洲區(qū)人民檢察院干警，主要研究方向為刑法學、刑事訴訟法。

收稿日期：2015- 11 - 23