陳夢(mèng)尋

(中國人民大學(xué) 法學(xué)院，北京 100872)

個(gè)人信息犯罪是一種犯罪類型，有狹義與廣義之分。狹義上，個(gè)人信息犯罪是指以個(gè)人信息為行為對(duì)象的犯罪。買賣個(gè)人信息，非法獲取、保留、披露、提供、使用個(gè)人信息，重新識(shí)別去標(biāo)識(shí)化的個(gè)人信息等都屬于狹義的個(gè)人信息犯罪。廣義上，個(gè)人信息犯罪還包括其他破壞個(gè)人信息保護(hù)制度的犯罪。妨礙數(shù)據(jù)保護(hù)監(jiān)管機(jī)關(guān)執(zhí)法，未按規(guī)定處理敏感個(gè)人信息，未采取必要措施保證個(gè)人信息安全等都屬于廣義的個(gè)人信息犯罪。個(gè)人信息犯罪是典型的法定犯，其與前置法上的個(gè)人信息保護(hù)規(guī)定緊密相關(guān)，是個(gè)人信息保護(hù)法律制度的重要部分與最后防線。目前，我國《刑法》只規(guī)定了侵犯公民個(gè)人信息罪，用以懲治嚴(yán)重的非法獲取、提供與買賣個(gè)人信息的行為。如何看待我國的個(gè)人信息犯罪規(guī)定？未來個(gè)人信息犯罪將如何發(fā)展？本文試通過比較中英兩國的個(gè)人信息犯罪，獲取有益啟示。

比較法的價(jià)值在于拓展認(rèn)識(shí)與促進(jìn)反思。“世界上種種法律體系能夠提供更多的、在它們分別發(fā)展中形成的豐富多彩的解決辦法，不是那種局處本國法律體系的界限之內(nèi)即使是最富有想象力的法學(xué)家在他們短促的一生中能夠想到的?！盵1]比較法要求平等看待他國法律，甚至要陌生化處理本土法律，祛除傲慢與偏見，以深度反思本土法律，形成新的法律共識(shí)[2]。通過比較，能了解他國應(yīng)對(duì)個(gè)人信息犯罪的不同策略，反思我國個(gè)人信息犯罪立法的不足，窺察未來個(gè)人信息犯罪的發(fā)展方向。相比其他國家，英國的個(gè)人信息犯罪更具研究價(jià)值。為保證脫歐前符合歐盟法律的要求，脫歐后個(gè)人信息保護(hù)仍有法可依，英國的立法既保持了一定的獨(dú)立性，又體現(xiàn)了一定的融合性。因此，英國的《2018數(shù)據(jù)保護(hù)法案》既反映了歐盟《通用數(shù)據(jù)保護(hù)條例》的新要求，又承繼了英國的數(shù)據(jù)保護(hù)傳統(tǒng)。就其刑事犯罪規(guī)定而言，《2018數(shù)據(jù)保護(hù)法案》既體現(xiàn)了個(gè)人信息保護(hù)領(lǐng)域的最新進(jìn)展，又延續(xù)了《1998數(shù)據(jù)保護(hù)法案》中的詳細(xì)犯罪規(guī)定。

一、中英個(gè)人信息犯罪的立法概況

(一)英國的個(gè)人信息犯罪立法

迄今為止，英國一共經(jīng)歷了三代數(shù)據(jù)保護(hù)法案，三代法案的出臺(tái)都受到了歐盟法律的直接推動(dòng)。第一代法案《1984數(shù)據(jù)保護(hù)法案》受1981年《個(gè)人資料自動(dòng)化處理之個(gè)人保護(hù)公約》的影響，于1984年7月通過，共計(jì)43條、4個(gè)附件。第二代法案《1998數(shù)據(jù)保護(hù)法案》受1995年《數(shù)據(jù)保護(hù)指令》的影響，于1998年7月通過，共計(jì)75條、16個(gè)附件。第三代法案《2018數(shù)據(jù)保護(hù)法案》受2016年《通用數(shù)據(jù)保護(hù)條例》和英國脫歐的雙重影響，于2018年5月通過，共計(jì)215條、20個(gè)附件。考慮到《1984數(shù)據(jù)保護(hù)法案》年代久遠(yuǎn)，不切合當(dāng)代實(shí)際，以下重點(diǎn)考察第二代、第三代法案。

與中國不同，英國的個(gè)人信息犯罪直接規(guī)定在數(shù)據(jù)保護(hù)法案中。《1998數(shù)據(jù)保護(hù)法案》共規(guī)定了12個(gè)罪名(見表1),《2018數(shù)據(jù)保護(hù)法案》共規(guī)定了13個(gè)罪名(見表2)。新通過的《2018數(shù)據(jù)保護(hù)法案》在《1998數(shù)據(jù)保護(hù)法案》的基礎(chǔ)上既有廢除，又有延續(xù)和發(fā)展。首先，新法案廢除了與數(shù)據(jù)處理登記有關(guān)的犯罪。雖然《通用數(shù)據(jù)保護(hù)條例》在歐盟范圍內(nèi)取消了數(shù)據(jù)保護(hù)登記制度，但英國仍然保留了數(shù)據(jù)控制者向ICO登記的義務(wù)，數(shù)據(jù)控制者需要向ICO提供名稱、地址、員工數(shù)目、營業(yè)額等信息以確定其應(yīng)當(dāng)繳納的注冊(cè)費(fèi)用[注]參見The Data Protection (Charges and Information) Regulations 2018。。未遵照登記事項(xiàng)不再構(gòu)成刑事犯罪。其次，新法案延續(xù)了《1998數(shù)據(jù)保護(hù)法案》中的很多規(guī)定，非法獲取、披露個(gè)人數(shù)據(jù)，出售或要約出售個(gè)人數(shù)據(jù)，妨礙或不協(xié)助執(zhí)法，虛假陳述，信息專員披露個(gè)人數(shù)據(jù)以及要求數(shù)據(jù)主體提供相關(guān)記錄以應(yīng)聘或獲取服務(wù)等在新法案中仍是犯罪。最后，新法案設(shè)立了3個(gè)新罪名。新法案第171條規(guī)定，未經(jīng)數(shù)據(jù)控制者同意，明知或輕率地重新識(shí)別去標(biāo)識(shí)化的信息，構(gòu)成犯罪；明知或輕率地處理前述被重新識(shí)別的個(gè)人數(shù)據(jù)，也構(gòu)成犯罪。第173條規(guī)定，數(shù)據(jù)控制者及其員工為了避免向提供請(qǐng)求的有權(quán)主體披露信息，實(shí)施更改、污損、封鎖、刪除、毀壞或者隱瞞信息的行為，構(gòu)成犯罪。

表1 《1998數(shù)據(jù)保護(hù)法案》罪名列表

表2 《2018數(shù)據(jù)保護(hù)法案》罪名列表

(二)我國的個(gè)人信息犯罪立法

2009年《刑法修正案(七)》新增第253條之一，設(shè)立了“出售、非法提供公民個(gè)人信息罪”與“非法獲取公民個(gè)人信息罪”。前者是指，“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重”；后者是指，一般主體“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重”。然而，隨著信息科技的發(fā)展，侵犯?jìng)€(gè)人信息的違法犯罪行為愈發(fā)多見，非法買賣個(gè)人信息的行為日益泛濫，“出售、非法提供公民個(gè)人信息罪”的犯罪主體范圍過窄，難以應(yīng)對(duì)現(xiàn)實(shí)形勢(shì)。為了遏制犯罪，2015年《刑法修正案(九)》修訂了第253條之一，取消了對(duì)犯罪主體身份的要求，擴(kuò)大了本罪的規(guī)制范圍，并變更罪名為“侵犯公民個(gè)人信息罪”。違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息、竊取或者以其他方法非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的，成立本罪。

2017年，最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)，進(jìn)一步明確了“公民個(gè)人信息”的定義，同時(shí)指出“向特定人提供公民個(gè)人信息”，“通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個(gè)人信息”以及“未經(jīng)被收集者同意，將合法收集的公民個(gè)人信息向他人提供的”，都屬于侵犯公民個(gè)人信息罪規(guī)定的“提供”，而違反國家規(guī)定，購買、收受、交換或在履職過程中收集公民個(gè)人信息的，屬于侵犯公民個(gè)人信息罪規(guī)定的“以其他方法非法獲取”。從罪名內(nèi)容來看，我國的個(gè)人信息犯罪僅限于以公民個(gè)人信息為對(duì)象的犯罪，也即狹義的個(gè)人信息犯罪，英國的個(gè)人信息犯罪除了狹義的個(gè)人犯罪之外，還設(shè)立了很多維護(hù)個(gè)人信息保護(hù)制度以及維護(hù)數(shù)據(jù)主體利益的罪名，前者如“妨礙檢查或者不協(xié)助檢查罪”，后者如“禁止提供相關(guān)記錄罪”。妨礙或者不協(xié)助執(zhí)行公務(wù)類的罪名意在保障有關(guān)機(jī)構(gòu)的執(zhí)行權(quán)，是為個(gè)人信息保護(hù)制度的有序運(yùn)行提供保障，而“禁止提供相關(guān)記錄”則是為了保障數(shù)據(jù)主體的切身利益，禁止用人單位、雇主在招聘、續(xù)約的過程中要求雇員提供相關(guān)信息，或者禁止商家在向公眾提供商品或服務(wù)的過程中要求消費(fèi)者提供相關(guān)個(gè)人信息，以防止個(gè)人信息的過度披露。

二、中英個(gè)人信息犯罪的立法模式

(一)英國的罪群立法

英國的個(gè)人信息犯罪罪名雖多，但并不散亂，其圍繞著不同的權(quán)利、義務(wù)呈現(xiàn)出罪群的分布模式?！?018數(shù)據(jù)保護(hù)法案》大致包含4個(gè)罪群：(1)妨礙執(zhí)法——不協(xié)助調(diào)查或虛假陳述，可能構(gòu)成“妨礙檢查或者不協(xié)助檢查罪”“對(duì)信息專員的通知作虛假陳述罪”“毀損或者篡改信息和文件罪”“妨礙或者不協(xié)助執(zhí)行搜查令罪”或“對(duì)搜查令執(zhí)行者作虛假陳述罪”；(2)非法獲取、披露個(gè)人數(shù)據(jù)——非法獲取、披露與出售個(gè)人數(shù)據(jù)，可能構(gòu)成“非法獲取或披露個(gè)人數(shù)據(jù)罪”“出售個(gè)人數(shù)據(jù)罪”“要約出售個(gè)人數(shù)據(jù)罪”與“信息專員披露個(gè)人數(shù)據(jù)罪”；(3)侵犯訪問權(quán)——不履行披露義務(wù)或者利用數(shù)據(jù)主體的訪問權(quán)，可能構(gòu)成“為防止向數(shù)據(jù)主體披露而更改個(gè)人數(shù)據(jù)罪”與“禁止提供相關(guān)記錄罪”；(4)重新識(shí)別去標(biāo)識(shí)化的個(gè)人數(shù)據(jù)——將已經(jīng)去標(biāo)識(shí)化的個(gè)人數(shù)據(jù)重新識(shí)別可能構(gòu)成“重新識(shí)別去標(biāo)識(shí)化的個(gè)人數(shù)據(jù)罪”，明知或輕率地處理上述信息可能構(gòu)成“處理重新識(shí)別的個(gè)人數(shù)據(jù)罪”。英國的數(shù)據(jù)保護(hù)法案規(guī)定得非常詳細(xì)，一般規(guī)定、犯罪規(guī)定、辯護(hù)事由、適用范圍與術(shù)語解釋也被置于相同或鄰近的法條之中。這種立法便于理解和適用法律，有利于實(shí)現(xiàn)法律的精準(zhǔn)評(píng)價(jià)，但過于追求精確性的同時(shí)也容易導(dǎo)致立法資源的浪費(fèi)，在《1998數(shù)據(jù)保護(hù)法案》實(shí)施的二十年間，“實(shí)行待評(píng)估的數(shù)據(jù)處理罪”與“強(qiáng)迫數(shù)據(jù)主體查詢罪”幾乎從未被適用[3]。

(二)我國的單一罪名立法

我國只有刑法典可以設(shè)立犯罪，個(gè)人信息犯罪采用的是單一罪名模式。刑法典以侵犯公民個(gè)人信息罪統(tǒng)攝出售、提供與非法獲取個(gè)人信息的行為。單一罪名模式雖然節(jié)約了立法資源，卻“不得不有計(jì)劃地使用各類高度抽象的概念或者簡略的術(shù)語，希冀以相關(guān)規(guī)范語詞內(nèi)涵的收縮為代價(jià)換取其外延最大限度地?cái)U(kuò)充，這將不可避免地導(dǎo)致概念用語的模糊性和不可理解性”[4]，增加條文適用的難度。這種困境在某種程度上因非刑事法律與刑事法律之間的分離而加劇。附屬刑法只能象征性地規(guī)定“構(gòu)成犯罪的，依法追究刑事責(zé)任”，具體的罪與刑必須規(guī)定在刑法典之中，附屬刑法本具有的創(chuàng)制、修改與補(bǔ)充功能得不到發(fā)揮，導(dǎo)致刑法與其他部門法之間無法實(shí)現(xiàn)良性互動(dòng)[5]。

三、中英個(gè)人信息犯罪的定罪模式

我國《刑法》規(guī)定“情節(jié)顯著輕微危害不大的，不認(rèn)為是犯罪”，構(gòu)成要件既包含定性要素，亦包含定量要素，形成了“立法定性+立法定量”的一元定罪模式。而在英國等西方國家，構(gòu)成要件僅含有定性規(guī)定，定量因素由司法權(quán)衡，形成了“立法定性+司法定量”的二元定罪模式[6]。這種差異同樣體現(xiàn)在個(gè)人信息犯罪中。

(一)英國的“立法定性+司法定量”模式

英國刑事訴訟制度與我國不同，非警察機(jī)構(gòu)也可以提起訴訟[7]，涉及個(gè)人數(shù)據(jù)保護(hù)的刑事案件，除檢察官外，ICO也有權(quán)起訴[注]參見Data Protection Act 1998 S.60(1)。。ICO行使起訴權(quán)需要遵循《英國刑事案件起訴規(guī)則》(以下簡稱《規(guī)則》)和《ICO起訴政策聲明》(以下簡稱《聲明》)。根據(jù)《規(guī)則》，ICO決定是否起訴時(shí)，需要進(jìn)行兩項(xiàng)測(cè)試：(1)證據(jù)測(cè)試。起訴需要確認(rèn)有充足的定罪證據(jù)，既要檢驗(yàn)證據(jù)的可采性、可靠性和可信性，也要評(píng)估是否具有定罪的現(xiàn)實(shí)可能性，為此起訴方不僅需要考慮嫌疑人提出的任何信息(包括辯護(hù)事由在內(nèi))所可能帶來的影響，也要考慮公正的陪審團(tuán)或者法官根據(jù)法律是否更傾向于定罪。如果案件未通過證據(jù)測(cè)試，不論案件多么嚴(yán)重、敏感，都將終結(jié)刑事訴訟程序。(2)公共利益測(cè)試。起訴方要逐一考察犯罪的嚴(yán)重性、嫌疑人的可譴責(zé)性、受害者的境地等7項(xiàng)因素，經(jīng)過權(quán)衡決定是否起訴[8]?！堵暶鳌愤€要求考慮以下兩項(xiàng)因素：一是采取替代處置措施是否合適，例如給予警告(caution)；二是是否符合ICO的五項(xiàng)管理原則，即透明性原則、責(zé)任性原則、比例性原則、一致性原則以及必要性原則[9-10]。

警告是個(gè)人數(shù)據(jù)犯罪案件分流的重要措施。適用警告必須滿足四項(xiàng)條件：(1)證據(jù)充足且有定罪的現(xiàn)實(shí)可能性；(2)被指控人承認(rèn)犯罪；(3)被指控人同意接受警告處置；(4)適用警告符合公共利益?！堵暶鳌吩敿?xì)列舉了適用警告的影響因素：犯罪性質(zhì)不嚴(yán)重、沒有特別加重因素、初犯、協(xié)助調(diào)查或者行為與決定之間存在不合理延誤，可適用警告；被指控人以牟利為目的、利用職務(wù)之便、以系統(tǒng)的方法獲取或者試圖獲取個(gè)人數(shù)據(jù)、多人申訴、曾因類似犯罪被定罪或警告、違反承諾、無視先前的守法提示或者有再犯可能性的，可提起訴訟[注]參見ICO Prosecution Policy Statement, para.13-16, pp.3-4。?？偟膩砜矗畔T也是從行為和行為人兩個(gè)角度，考察犯罪程度的輕重、人身危險(xiǎn)性的大小以及再犯可能性的強(qiáng)弱，綜合決定是提起訴訟還是適用警告。

(二)我國的“立法定性+立法定量”模式

我國《刑法》規(guī)定，侵犯公民個(gè)人信息達(dá)到“情節(jié)嚴(yán)重”才構(gòu)成犯罪。何為“情節(jié)嚴(yán)重”曾引起熱議[11]，直到2017年《解釋》出臺(tái)才有所平息?！督忉尅返?條從信息用途、信息數(shù)量、違法所得、行為次數(shù)四個(gè)方面確定“情節(jié)嚴(yán)重”的度：(1)信息用途。信息被用于犯罪，知道或者應(yīng)當(dāng)知道他人利用個(gè)人信息實(shí)施犯罪，應(yīng)當(dāng)追訴。(2)信息數(shù)量。個(gè)人信息內(nèi)容千差萬別，《解釋》初步構(gòu)建了個(gè)人信息分級(jí)分類保護(hù)的機(jī)制。不同種類的個(gè)人信息構(gòu)罪數(shù)量不同，還可按比例合計(jì)。(3)違法所得。《解釋》規(guī)定違法所得5 000元以上的即為“情節(jié)嚴(yán)重”。(4)多次實(shí)施侵犯公民個(gè)人信息的行為。曾因侵犯公民個(gè)人信息受到刑事處罰或者二年內(nèi)受過行政處罰，又實(shí)施非法獲取、出售或者提供公民個(gè)人信息的，表明行為人的人身危險(xiǎn)性較大，不考慮信息數(shù)量也可認(rèn)定為“情節(jié)嚴(yán)重”。

對(duì)比《聲明》和《解釋》可知，中英兩國在決定是否追訴時(shí)有著相似的考慮，例如，行為人是否以牟利為目的、是否利用了職務(wù)之便、是否曾經(jīng)因?qū)嵤╊愃菩袨槎艿椒勺肪?。?dāng)然二者也存在不同之處，《聲明》第16段規(guī)定，當(dāng)行為人采用系統(tǒng)方法獲取或者試圖獲取個(gè)人數(shù)據(jù)時(shí)，應(yīng)傾向于起訴，這一點(diǎn)在我國的《解釋》中沒有明確。采用系統(tǒng)方法意味著行為人有組織、有預(yù)謀地實(shí)施犯罪，采用技術(shù)性的手段大批量地獲取個(gè)人信息，影響范圍廣，社會(huì)危害性大。個(gè)人信息的非法獲取與流通早已成為我國網(wǎng)絡(luò)黑產(chǎn)鏈條的重要環(huán)節(jié)，受經(jīng)濟(jì)利益驅(qū)使，黑客加入其中，侵入有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，盜走用戶數(shù)據(jù)庫，利用各種技術(shù)破解相關(guān)用戶數(shù)據(jù)，將各種數(shù)據(jù)整合成包含多種個(gè)人信息的“社工庫”，最后通過黑市將其變現(xiàn)[12]。因此，采用系統(tǒng)方法，例如，利用黑客編寫的軟件竊取個(gè)人信息，參與非法購銷個(gè)人信息網(wǎng)絡(luò)的情形，應(yīng)當(dāng)作為《解釋》第5條第10項(xiàng)規(guī)定的“其他情節(jié)嚴(yán)重的情形”。

四、中英個(gè)人信息犯罪的犯罪構(gòu)成

犯罪構(gòu)成的比較僅在兩國規(guī)定重合范圍內(nèi)可行，妨礙執(zhí)法犯罪在我國依照擾亂公共秩序罪或妨害司法罪規(guī)制即可，侵犯訪問權(quán)與重新識(shí)別去標(biāo)識(shí)化的個(gè)人數(shù)據(jù)犯罪在我國刑法上尚未規(guī)定，因此本部分僅涉及英國非法獲取、披露個(gè)人數(shù)據(jù)類犯罪與我國侵犯公民個(gè)人信息罪的比較。

(一)個(gè)人信息

就個(gè)人信息的定義而言，兩國的規(guī)定高度相似。英國《2018數(shù)據(jù)保護(hù)法案》第3條規(guī)定：“個(gè)人數(shù)據(jù)”是指與一個(gè)已識(shí)別或可識(shí)別的在世個(gè)人相聯(lián)系的任何信息，“可識(shí)別的在世個(gè)人”是指，能被直接或者間接地識(shí)別的在世的個(gè)人，尤其是參照了諸如姓名、身份證號(hào)碼、位置數(shù)據(jù)的識(shí)別符或者網(wǎng)絡(luò)標(biāo)識(shí)，或是參照了與個(gè)人生理、心理、基因、精神、經(jīng)濟(jì)、文化或者社會(huì)特性相關(guān)的因素。我國《解釋》第1條規(guī)定：“公民個(gè)人信息”是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。二者雖然具體表述不同，卻都以識(shí)別性為核心屬性，承認(rèn)直接識(shí)別與間接識(shí)別；都有記錄性的要求，數(shù)據(jù)本身即有記錄之義，與“以電子或者其他方式記錄的”的含義是一致的；都將識(shí)別對(duì)象限于自然人[13]。至于我國定義突出強(qiáng)調(diào)的“反應(yīng)特定自然人活動(dòng)情況”，不是與英國個(gè)人數(shù)據(jù)定義的根本差異，而是我國打擊個(gè)人信息犯罪的現(xiàn)實(shí)之需，無論是身份還是活動(dòng)情況都為識(shí)別的應(yīng)有之義。

就個(gè)人數(shù)據(jù)的判斷而言，英國法官在“相聯(lián)系”的理解上存有分歧。在Durant v Financial Services Authority案中，奧爾德法官認(rèn)為，僅在文件中提到數(shù)據(jù)主體，不足以認(rèn)為其構(gòu)成個(gè)人數(shù)據(jù)，關(guān)鍵看信息與主體之間是否具有持續(xù)的相關(guān)性與接近性。就此需要考慮兩點(diǎn)：第一，信息是否具有重要的傳記性(biographical)，即信息是否超出了對(duì)推定數(shù)據(jù)主體參與的無個(gè)人涵義的事件或是未影響個(gè)人隱私的生命事件的簡單記錄；第二，信息是否具有聚焦性(focus)，信息應(yīng)當(dāng)聚焦于推定的數(shù)據(jù)主體，而不是關(guān)于其他人或者其感興趣的其他事務(wù)[注]參見〔2003〕 EWCA Civ 1746, para 28。。奧爾德法官的限制論引發(fā)了巨大爭(zhēng)議，第29工作小組為澄清個(gè)人信息的含義發(fā)布了專門的意見書。意見書稱，當(dāng)信息是“關(guān)于”這個(gè)人時(shí)，即可以被認(rèn)為是與一個(gè)人相“聯(lián)系”的[注]參見Opinion 4/2007 on the concept of personal data (WP136)，p.9。。而在Durant案件之后，一部分英國法官接受了奧爾德法官的限制論，另外一部分法官則采取了更加廣泛的理解，在R v Rooney案中，法官甚至考慮了與案件相關(guān)的事實(shí)與情境(即個(gè)人之間特殊的關(guān)系)，以確定相關(guān)信息可以識(shí)別出數(shù)據(jù)主體[14]。英國有學(xué)者指出，盡管個(gè)人數(shù)據(jù)邊界的劃定十分復(fù)雜，個(gè)人數(shù)據(jù)仍是十分廣泛的，一旦滿足了識(shí)別的要求，事實(shí)上一切都有可能與個(gè)人相關(guān)而落入個(gè)人數(shù)據(jù)的范疇之內(nèi)[15]25。

我國雖未專門就“聯(lián)系”要素作出規(guī)定，但“識(shí)別”與“反映”的措辭在某種程度上也是對(duì)信息與主體之間關(guān)系的一種要求。法律的解釋會(huì)受到政策影響，但應(yīng)盡量保持法律適用的一致性，同樣是“聯(lián)系”的要素，英國的不同法院卻采取了完全不同的立場(chǎng)，不免導(dǎo)致民眾無法根據(jù)法律規(guī)定預(yù)測(cè)自己的行為后果，有損法的正義性。這啟示我們，在理解確定個(gè)人信息的邊界之時(shí)，要確立一定的原則，防止對(duì)個(gè)人信息進(jìn)行不當(dāng)?shù)南蘅s解釋或擴(kuò)大解釋。然而不可否認(rèn)的是，在個(gè)人信息的認(rèn)定上，英國的探索更加深入，除了在司法實(shí)踐中法官闡明了不同立場(chǎng)，ICO還發(fā)布了指南《確定何為個(gè)人信息》，將個(gè)人數(shù)據(jù)的認(rèn)定劃分為8個(gè)步驟，為個(gè)人數(shù)據(jù)的判斷提供具體指導(dǎo)[16]。我國關(guān)于個(gè)人信息邊界的研究才剛剛起步，還需基于我國的具體情況，借鑒英國的有益經(jīng)驗(yàn)，對(duì)個(gè)人信息要素進(jìn)行分解細(xì)化，同時(shí)避免出現(xiàn)英國司法實(shí)踐中法律適用不一致的問題。

(二)犯罪主體

犯罪主體影響犯罪的社會(huì)危害程度。具有特殊資格或身份的主體實(shí)施犯罪，所獲刑罰可能高于同等情況下的一般主體。我國侵犯公民個(gè)人信息罪的犯罪主體是一般主體，但對(duì)特殊主體從重處罰。行為人對(duì)利用職務(wù)便利、工作便利獲取的信息負(fù)有一定的保密義務(wù)，行為人違反義務(wù)將個(gè)人信息出售或者提供給他人，較之一般主體不法含量更高，為實(shí)現(xiàn)罪刑適應(yīng)，應(yīng)當(dāng)從重處罰。英國非法獲取或者披露個(gè)人數(shù)據(jù)罪、出售個(gè)人數(shù)據(jù)罪、要約出售個(gè)人數(shù)據(jù)罪均未就行為主體的量刑身份作出規(guī)定，“信息專員披露個(gè)人數(shù)據(jù)罪”也不是為了對(duì)信息專員從重處罰，相反，通過限定個(gè)人數(shù)據(jù)的范圍與規(guī)定辯護(hù)事由限縮了構(gòu)罪范圍。

兩國都規(guī)定了個(gè)人信息單位犯罪。我國《刑法》第253條之一第4款規(guī)定，單位犯前三款罪的，對(duì)單位判處罰金，對(duì)相關(guān)責(zé)任人員依各該款定罪處罰。英國《2018數(shù)據(jù)保護(hù)法案》第198條規(guī)定，如果該法案下之罪行由法人團(tuán)體實(shí)施，如果證明犯罪是在董事、經(jīng)理、秘書或相關(guān)責(zé)任人員的同意、默許之下實(shí)施的，或者可歸因于以上人員的疏忽，那么以上人員與法人團(tuán)體均構(gòu)成相關(guān)犯罪，依法對(duì)其提起訴訟并判處刑罰。法人犯罪雖然依附于自然人的行為，但是將單位作為犯罪主體處罰能夠達(dá)到刑罰的預(yù)防目的，促使法人在決策之前權(quán)衡利弊，放棄實(shí)施犯罪行為。

(三)行為方式

《2018數(shù)據(jù)保護(hù)法案》第170條第1款、第4款規(guī)定，未經(jīng)數(shù)據(jù)控制者同意，明知或輕率地獲取、披露個(gè)人數(shù)據(jù)或者未經(jīng)數(shù)據(jù)控制者同意，繼續(xù)保留之前取得的個(gè)人數(shù)據(jù)，構(gòu)成犯罪。第4款規(guī)定，將違反第1款規(guī)定所獲之個(gè)人數(shù)據(jù)出售者，構(gòu)成犯罪。第5款規(guī)定，要約出售違反第1款規(guī)定所獲之個(gè)人數(shù)據(jù)，或者要約出售個(gè)人數(shù)據(jù)并隨后違反第1款規(guī)定獲取個(gè)人數(shù)據(jù)，構(gòu)成犯罪。該條文一共規(guī)定了5種行為方式，即非法獲取、非法披露、出售、要約出售或繼續(xù)保留個(gè)人數(shù)據(jù)。我國《刑法》第253條之一第1款規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，構(gòu)成犯罪；第3款規(guī)定，非法獲取公民個(gè)人信息，情節(jié)嚴(yán)重的，構(gòu)成犯罪。該條文一共規(guī)定了3種行為方式，即非法獲取、提供以及出售個(gè)人信息。提供，可以是對(duì)特定人提供，也可以是通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布個(gè)人信息，與非法披露意思相近。

兩國規(guī)定的區(qū)別主要在于要約出售個(gè)人數(shù)據(jù)、繼續(xù)保留個(gè)人數(shù)據(jù)是否構(gòu)成犯罪?！?018數(shù)據(jù)保護(hù)法案》第170條第6款規(guī)定，在廣告中表明出售或者可能出售個(gè)人數(shù)據(jù)就是一種要約。與廣告相關(guān)的要約和要約邀請(qǐng)之間的界限是純學(xué)術(shù)上的，在該款之下，只要廣告中含有出售個(gè)人數(shù)據(jù)可能性的任何表示，都將被視為一種要約[15]252。我國刑法中雖未將要約出售規(guī)定為實(shí)行行為，但要約出售可以構(gòu)成侵犯公民個(gè)人信息的預(yù)備犯。繼續(xù)保留個(gè)人信息是行為人合法取得了個(gè)人信息，但是未經(jīng)數(shù)據(jù)控制者同意繼續(xù)保留了個(gè)人信息，從文義的射程來看，“繼續(xù)保留”超出了“非法獲取”可能性含義范圍，難以解釋為“非法獲取”的行為，因此不符合侵犯公民個(gè)人信息罪的構(gòu)成要件。

(四)主觀過錯(cuò)

侵犯公民個(gè)人信息罪的主觀心態(tài)僅限于故意，《2018數(shù)據(jù)保護(hù)法案》規(guī)定行為人實(shí)施非法獲取或披露個(gè)人數(shù)據(jù)行為時(shí)的主觀心態(tài)包括明知和輕率。在英國刑法中，明知是指意識(shí)到某種行為事實(shí)已經(jīng)存在或?qū)⒁l(fā)生，或者懷疑某種行為事實(shí)已經(jīng)存在或?qū)⒁l(fā)生但不采取確認(rèn)措施，仍然實(shí)施行為；輕率是指意識(shí)到危險(xiǎn)事實(shí)已經(jīng)存在或者將要發(fā)生而實(shí)施行為，或者意識(shí)到危害結(jié)果可能發(fā)生無正當(dāng)理由冒險(xiǎn)實(shí)施行為[17]。一般而言，有意識(shí)地冒險(xiǎn)實(shí)施犯罪行為時(shí)，不會(huì)在乎危險(xiǎn)是否會(huì)現(xiàn)實(shí)化，但是即便不希望危險(xiǎn)發(fā)生，有意識(shí)地冒險(xiǎn)行動(dòng)就已經(jīng)構(gòu)成了輕率[18]。而在我國刑法中，直接故意是明知自己的行為必然會(huì)或可能會(huì)發(fā)生危害結(jié)果，而對(duì)危害結(jié)果的發(fā)生持希望態(tài)度。間接故意是指明知自己的行為可能會(huì)發(fā)生危害結(jié)果，而對(duì)危害結(jié)果的發(fā)生持放任態(tài)度，對(duì)結(jié)果是否發(fā)生滿不在乎，在這點(diǎn)上，間接故意與輕率存在重疊。當(dāng)行為人認(rèn)識(shí)到危害結(jié)果可能發(fā)生，但是不希望或者排斥、反對(duì)危害結(jié)果發(fā)生時(shí)，在我國刑法中屬于過于自信的過失，在英國法中仍然歸于輕率。比較而言，在規(guī)制非法獲取或披露個(gè)人信息的行為時(shí)，英國設(shè)置了更低的入罪門檻。

五、中英個(gè)人信息犯罪的刑事責(zé)任

就非法獲取、非法披露、出售個(gè)人信息犯罪而言，無論是從刑種上還是從刑度上，我國的刑事責(zé)任都明顯高于英國。英國此類犯罪的刑罰僅限于罰金。我國刑法則規(guī)定，情節(jié)嚴(yán)重的，處3年以下有期徒刑或者拘役、并處或者單處罰金；情節(jié)特別嚴(yán)重的，處3年以上7年以下有期徒刑，并處罰金。因此，觸犯本罪最高可判7年有期徒刑，并處罰金。

英國試圖為個(gè)人信息犯罪配置監(jiān)禁刑，但是經(jīng)過多次努力沒有成功。《1998數(shù)據(jù)保護(hù)法案》第60條規(guī)定，除“妨礙或不協(xié)助執(zhí)行搜查令罪”，凡本法之罪，可循簡易程序定罪,也可循公訴程序定罪，但僅能判處罰金，刑事法院沒有數(shù)額限制，治安法院不得超過5 000英鎊。2006年，信息專員向國會(huì)強(qiáng)烈建議增加監(jiān)禁刑，指出為了從根本上打擊個(gè)人數(shù)據(jù)的非法交易，必須增加監(jiān)禁刑適用的可能性，讓公眾慎重考慮自己行為的后果[19]。英國政府接受了信息專員提高刑罰的建議，在2008《刑事司法和移民法》第77條中賦予了英國大臣依法令對(duì)違反第55條的行為規(guī)定監(jiān)禁刑的權(quán)力。根據(jù)該規(guī)定，治安法院最高可以判處12個(gè)月監(jiān)禁，刑事法院最高可以判處2年監(jiān)禁，但是沒有進(jìn)一步制定法令將該條付諸實(shí)施。

《1998數(shù)據(jù)保護(hù)法案》過于輕緩的刑罰，導(dǎo)致檢方依據(jù)其他能夠判處監(jiān)禁的條款起訴成為一種趨勢(shì)[20]。在R v Hardy一案中，警官Hardy因披露了全國警察電腦網(wǎng)中的個(gè)人信息，被以普通法上的濫用職權(quán)罪提起訴訟，法院判處28周監(jiān)禁暫緩兩年宣判并義務(wù)勞動(dòng)300個(gè)小時(shí)，檢察官認(rèn)為量刑畸輕遂提起上訴。上訴法院經(jīng)審理認(rèn)為，應(yīng)當(dāng)立即對(duì)行為人判處監(jiān)禁，為不正當(dāng)目的進(jìn)入全國警察電腦網(wǎng)獲取信息的行為包含了故意，應(yīng)當(dāng)讓警察清楚如果實(shí)施類似犯罪將面臨嚴(yán)重后果，考慮到行為的嚴(yán)重性以及刑罰的威懾作用，對(duì)其判處18個(gè)月監(jiān)禁[注]參見〔2007〕 EWCA Crim 760。。相比之下，依照《1998數(shù)據(jù)保護(hù)法案》處理的案件明顯過于仁慈了，目前在ICO網(wǎng)站上公布的起訴案件中，被判處刑罰最高的是Minty，Leong and Craddock，三被告分別在不同時(shí)間受雇于一家租車公司，共謀將公司系統(tǒng)中的個(gè)人信息泄露給索賠管理公司用于人身損害索賠，并在兩年半的時(shí)間內(nèi)非法獲取了數(shù)以萬計(jì)的記錄，而法院最后判決Minty兩年內(nèi)繳納7 500英鎊罰金，判決Leong12個(gè)月有條件釋放，判決Craddock12個(gè)月有條件釋放[注]參見https://ico.org.uk/action-weve-taken/enforcement/minty-leong-and-craddock/2017/8/12。。兩種相距甚遠(yuǎn)的刑罰后果，使得采取其他替代罪名規(guī)定起訴時(shí)更能打擊犯罪，實(shí)現(xiàn)刑罰目的?！?998數(shù)據(jù)保護(hù)法案》輕緩的刑罰最終引致其罪行規(guī)定虛置。而在新頒布的《2018數(shù)據(jù)保護(hù)法案》中，所有犯罪的刑罰仍僅限于罰金，并未配置任何監(jiān)禁刑，采用替代條款起訴嚴(yán)重的個(gè)人數(shù)據(jù)犯罪將仍是英國司法的必然選擇。

六、中英個(gè)人信息犯罪比較的啟示

通過比較中英兩國的個(gè)人信息犯罪，本文得出如下啟示。

科技進(jìn)步對(duì)法律規(guī)制提出了新要求，這在個(gè)人信息領(lǐng)域表現(xiàn)得極為明顯。不到四十年間，英國的數(shù)據(jù)保護(hù)法案經(jīng)歷了三次更迭。這種速度是信息時(shí)代帶給法律的新挑戰(zhàn)，一旦技術(shù)實(shí)現(xiàn)了跨越，舊法律難以應(yīng)對(duì)新興犯罪，便對(duì)立法產(chǎn)生了需求。在這樣的背景之下，是否有必要恢復(fù)附屬刑法的實(shí)質(zhì)功能值得思考。當(dāng)刑法法典化走到極致，雖極大降低了定罪量刑的隨意性，但也阻隔了刑事法與前置法的銜接互動(dòng)。司法解釋雖然通過轉(zhuǎn)化部分前置法規(guī)定[注]例如《關(guān)于辦理侵犯公民個(gè)人信息刑事安全適用法律若干問題的解釋》第3條規(guī)定：未經(jīng)被收集者同意，將合法收集的公民個(gè)人信息向他人提供的，屬于《刑法》第253條之一規(guī)定的“提供公民個(gè)人信息”，但是經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。這直接來源于《網(wǎng)絡(luò)安全法》第42條：“未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外?！?，在一些問題上實(shí)現(xiàn)了刑事法與非刑事法的銜接，部分填補(bǔ)附屬刑法形式化后的空缺，但是，司法解釋的作用始終是極其有限的。從功能上看，司法解釋只能起到補(bǔ)充解釋刑法的作用，附屬刑法的創(chuàng)制、修改功能仍無從發(fā)揮；司法解釋從范圍上看，它在解釋空白刑法規(guī)范時(shí)，只能將個(gè)別的前置法規(guī)定引入刑法條文中，填補(bǔ)構(gòu)成要件的空缺，采用的是點(diǎn)對(duì)點(diǎn)的對(duì)接模式，與此不同，實(shí)質(zhì)化的附屬刑法規(guī)范直接規(guī)定在前置法中，與前置法中的一般規(guī)定共用語詞、語境，采用的是一種點(diǎn)對(duì)面的融合模式。個(gè)人信息犯罪只是一個(gè)代表，反映了信息時(shí)代對(duì)法律更新速度的要求。為了保證刑法典的穩(wěn)定性，防止頻繁的法律變更損害刑法的權(quán)威，同時(shí)為了加強(qiáng)刑法與前置法的銜接互動(dòng)，便利罪刑規(guī)定的理解與適用，或許附屬刑法實(shí)質(zhì)化才是有效的應(yīng)對(duì)之道。

具體到個(gè)人信息犯罪中，侵犯訪問權(quán)的犯罪與重新識(shí)別去標(biāo)識(shí)化的個(gè)人數(shù)據(jù)的犯罪，顯示了未來個(gè)人信息犯罪的發(fā)展方向。訪問權(quán)(right of access)在歐盟已經(jīng)成為數(shù)據(jù)主體的個(gè)人信息權(quán)的重要子權(quán)利，與更正權(quán)、被遺忘權(quán)、可攜權(quán)、限制權(quán)并列?！?018數(shù)據(jù)保護(hù)法案》將對(duì)行使訪問權(quán)的數(shù)據(jù)主體不履行披露義務(wù)，與迫使數(shù)據(jù)主體行使訪問權(quán)的行為犯罪化，強(qiáng)化了對(duì)個(gè)人信息權(quán)的保護(hù)，同時(shí)也進(jìn)一步肯認(rèn)了個(gè)人信息權(quán)的法律地位。這種立法在某種程度上預(yù)示著，隨著個(gè)人信息權(quán)理論與實(shí)踐的發(fā)展，打擊個(gè)人信息犯罪保護(hù)的法益將日益細(xì)化，從個(gè)人信息權(quán)細(xì)化至個(gè)人信息權(quán)的子項(xiàng)權(quán)利細(xì)化。在此基礎(chǔ)上，個(gè)人信息犯罪體系將圍繞具體的權(quán)利、義務(wù)不斷拓展完善，我國個(gè)人信息犯罪也將循此路徑向前發(fā)展。重新識(shí)別去標(biāo)識(shí)化的個(gè)人數(shù)據(jù)被犯罪化，是為了保障去標(biāo)識(shí)化處理的有效性。去標(biāo)識(shí)化是通過技術(shù)處理使在不借助額外信息的情況下，無法識(shí)別數(shù)據(jù)主體，意在提高數(shù)據(jù)處理的安全性，避免不必要的數(shù)據(jù)泄露。個(gè)人信息邊界具有流動(dòng)性，若外界信息足夠充分，總能結(jié)合去標(biāo)識(shí)化的信息完成識(shí)別。因此，相對(duì)于規(guī)制流動(dòng)的個(gè)人信息而言，禁止非法的重新識(shí)別行為更加可行、有效。重新識(shí)別行為在某種意義上也是一種非法獲取行為，但是受文義限制，不能將“重新識(shí)別”解釋為“非法獲取”，若日后在我國有打擊重新識(shí)別行為的現(xiàn)實(shí)需要，可將第253條之一的第1款擴(kuò)充為“重新識(shí)別去標(biāo)識(shí)化信息、竊取或者以其他方法非法獲取公民個(gè)人信息的，依照第一款的規(guī)定處罰”。