吴旭冉

（中南大学 法学院，湖南 长沙 410012）

随着信息技术的飞速发展，互联网的普及，大数据时代来临，公民个人信息被运用于各种网络活动中。与此同时，各种类型的侵犯公民个人信息的手段也不断出现，如设立钓鱼网站、网站绑定、间谍程序录入、人肉搜索、WIFI的溢波犯罪以及制作专门侵犯公民个人信息的软件、黑客入侵等，严重侵害了公民的个人信息［1］。也有极少数掌握公民个人信息的特殊行业内部人员利用职务之便，对个人信息进行违法收集，如2016年6月，一群犯罪团伙用“快递单号生成器”等软件对快递单号进行筛选，与快递公司内部人员进行勾结，泄露公民个人的信息7万多条，牟取非法利益3万余元。个人信息的泄漏一般只会扰乱公民的日常生活，但如果利用公民个人信息实施犯罪，那么就会造成严重后果。如山东女大学生徐玉玉因个人教育信息泄漏遭电信诈骗而自杀身亡；清华大学某教授因房屋交易信息泄漏而被电信诈骗，导致财产损失 1 700万元，等等。

2015年《刑法修正案（九）》的颁布与实施，并没有从根本上遏制住我国侵犯公民个人信息的犯罪，而信息侵犯行为的频繁发生也从侧面反映了我国的刑法保护体制有待健全。我国刑法的目的是为了维护社会秩序，保护人民群众。目前以侵犯公民个人信息为核心的犯罪逐渐趋向产业化和体系化，已严重危害了社会的稳定和公民的安宁，为此，我国需要从刑法上进一步完善公民个人信息犯罪的各类法律规制。本文拟从我国公民信息刑法保护的前置性规范、“情节严重”的界定和刑法设置等三方面作探讨分析。

一、我国公民个人信息刑法保护的前置性规范

当今社会个人信息管理与保护呈现多元化发展的趋势，我国实行的是由政府主导，各行业自律分散立法的管理模式，以及政府帮助各行业管理的混合式立法模式。该模式主要依靠各项司法解释和修正案进行具体指导，这显然跟不上我国社会发展的脚步，无法解决现阶段的社会矛盾。在社会生活中，我国公民个人信息刑法保护前置性规范非常单一。有时，即使存在侵犯公民个人信息危害较大的行为，但若没有触犯刑法的相关规定，则仍然不构成犯罪，也就不会受到刑事处罚。以“人肉搜索”为例，其虽然对主体的名誉、个人隐私进行了侵犯，却没有触犯刑法的相关规定，所以不构成犯罪，逃离了法律的管制，造成严重的社会影响。

（一）明确“非法”的定义

我国现有的法律规定，“非法”获取公民个人信息的行为被判定为犯罪，但对于“非法”的概念是模糊不清的，导致在司法实践中出现许多问题。究竟哪些行为属于非法行为？赵秉志认为，“非法”指的是公民不符合获得个人信息的法律法规，并不是获取的方式不正当［2］；刘艳红则认为这里的“非法”是指违法了法律法规的相关规定，必须考虑此行为是否危害社会，是否必须接受刑法［3］，等；韩玉胜认为，“非法”指的是获取公民信息的手段，不符合法律法规［4］。“非法”的定义在学界及社会上引起了广泛的讨论。若违反了正当化事由则被判定为“违法”。以法律依据为标准，如果获取公民个人信息的行为无相应法律依据，或者违反了法律依据，则可以被界定为“非法”；另一方面以违背当事人意愿与否为标准。没有经过当事人同意就受到侵害、可识别公民身份，且具有刑法保护价值的信息，就是受刑法保护的公民个人信息。公民本人对于自身的信息有处置权，我国刑法保护的是处置权以外的相关权利。例如，虽然没有经过个人同意就使用个人信息开展社会公共事务是合法的，但是违背个人意愿使用个人信息的行为可以被纳入到“非法”中。总之，我们需要对“非法”的判定标准进行细分，构建出一个完整的认定体系，达到主客观相统一，以实现刑法的罪刑法定原则。

（二）借鉴国外经验，构建多元化、全方位的个人信息保护模式

以德国和美国为例，这两个国家对公民个人信息刑法保护都主要集中在隐私权上。但是，德国实行的是统一立法，公民信息保护基于大陆法系的特征，民事是以人格权为根本，刑事以隐私权为根据，在此基础上分别进行延伸。与此不同的是，美国采取混合编排的方式，把民事、行政和刑事相互融合。美国对于信息保护存在于不同的法律中，覆盖了美国人民社会生活的多方面［5］。德国刑法典规定了7种隐私权保护的罪名，其中的秘密罪和侵害私人生活罪包含了6种，以上几种罪名涵盖了众多严重侵害隐私的行为。此外，德国刑法典还规定了法人犯罪①《德国刑法典》203条侵害他人秘密罪第1款共6项，第3项规定：律师、办理专利问题的律师、公证人、诉讼程序中的辩护人、会计师、审计员、税务顾问、税务代理人或者律师公司、专利代理公司、经济审查公司、账簿审查公司或税务顾问公司的机关或其成员。。同样属于大陆法系的日本却并没有规定隐私权的单位犯罪，在现实生活中，单位非法提供、出售个人信息的情况是一直存在的。因此，我们可以借鉴国外相关的合理规定，就公民个人信息保护统一立法，将侵犯隐私权类犯罪单独列于刑法一章，实施专门化立法。为了适应社会发展的变化，对于侵犯公民信息的单位犯罪也可以适当增加，真正完善相关的前置性规范，实现系统化、多元化、全方位的体系构建。如果前置性的法律法规与刑法之间配合紧密，将更加有效地发挥刑法强大的保护作用，进一步打击侵犯公民个人信息的行为，维护社会稳定［6］。

二、我国公民个人信息刑法保护“情节严重”的界定

我国最高人民法院、最高人民检察院于2017年5月8日联合颁行的 《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），对于侵犯公民个人信息罪在“情节严重”的判定标准都给出了实务指导，在《解释》中分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。虽然数量的多少可以直接反映犯罪行为对刑法所保护的法益侵害程度，且从量化的特点上看减少了司法人员在适用法律过程中的主观判断。但在司法实践中，这种以信息量多少的认定标准也存在以下问题：由于各地方经济水平的高低不同，加上社会公众对于侵害公民个人信息危害性的理解差异，容易形成不同数量的认定标准。在对数量判断的同时，裁判者往往还要考虑被侵犯信息的经济价值，这导致了各地区对于公民个人信息“情节严重”的标准各不一样。这不仅要求法官在处理该类案件时要清楚法律事实，而且还要对“情节严重”进行判断。由于没有统一的界定标准，也会导致类似案件出现多种不同的判定结果，有些甚至相差甚大。因此，应有必要对“情节严重”进行界定和区分，有利于确认犯罪与有效地裁处刑罚。另一方面，明确“情节严重”的内容，也可以看做是对犯罪分子合法权益的保护，用来保障其平等地适用刑罚，承担与他们罪行相统一的罪责，以维护法律的公平、公正，树立法律的权威。

我国司法机关在确认 “情节严重”的过程中，除了唯信息量以外，还应考虑以下几个因素：一是非法获利的数额。公民的个人信息在当今社会的潜在价值非常高，但受保护的程度却很低。不法分子利用较低的金钱交易可以获得大量的个人信息数据，并利用这些信息实施一系列行为，以获取高额的利润。例如，某些中介公司出售公民姓名、性别、房屋信息、住址、手机号码、家庭成员等信息。司法机关在确认“情节严重”时，应考虑犯罪人实施该行为获取了多少利益。二是行为人犯罪频率。倘若行为人只是初次犯罪且社会影响小，可以从轻处罚。倘若行为人屡次犯罪，可以依照其犯罪的频率进行定罪。三是获取信息时所采用的手段。倘若行为人用卑劣乃至暴力的方式获得公民的个人信息，则应该从重认定。四是信息侵犯对于社会的危害性。被认定“情节严重”的行为一般都具有很大的社会危害性。一方面，某些被侵犯信息价值极大，当这些信息遭受侵犯时往往会为个人、单位甚至国家带来巨大损失；另一方面，虽然这些信息价值量不大，但由于规模大、影响广，造成了社会秩序的严重混乱。总之，对“情节严重”的判定进行具体化、细节化的规范，有助于司法机关更好地执法，进一步保护公民的个人信息［7］。

三、我国公民个人信息刑罚的设置

我国的法律条文虽然对侵犯公民个人信息罪设置了具体的刑罚及罚金，但是没有遏制住该类犯罪。首先，刑罚配置有欠缺，我国刑法对于侵犯公民个人信息罪量刑过轻，低成本的犯罪及过轻的刑罚与其带来的严重后果不相匹配，无法真正起到预防和打击犯罪的目的，这也是此类犯罪的不断出现的原因。法官关于该类犯罪的刑罚拥有较大的自由裁量权，缺乏统一的适用标准，具体就罚金额度而言，由于没有明确罚金的额度，司法人员可以依据自己的价值判断并结合犯罪情节的严重性来确定其罚金数额，容易滋生腐败，造成司法不公［8］。为了打击犯罪和维护司法公正的需要，我国应完善现有刑罚体制。

（一）增设应当适用职业禁止的规定

《刑法修正案（九）》新增了职业禁止制度，使得我国刑法在预防利用职务犯罪中更具针对性。笔者认为，我国刑法增设职业禁止制度是完全必要的：第一，社会分工的日益精细，专业化程度越来越高，许多职业具有技术性强、身份特殊、专业知识能力要求高的特点［9］。对于“利用职业资格进行犯罪”有犯罪前科的人，因其职业条件和职业技能的特殊性增大了再犯罪的危险。禁止犯罪行为人在一定期间内从事该职业，这种做法可以从源头上杜绝短期内再犯罪行为的发生。第二，现阶段职业禁止无法覆盖到各行各业，无法全面禁止与职业相关的犯罪行为，有前科的人应该被剥夺这方面的从业资格，但无相关法律条文规定来实现。第三，行政处罚无法替代刑事制裁。将有犯罪前科的从业者禁止从事该职业，定位为一种刑事司法处分或是行政法上的处罚规定。前者的强制性和严厉程度是远高于后者的，凸显出法律对这种职业犯罪行为的惩罚力度，更具震慑力。

刑罚不是对犯罪报复，是国家、社会通过一定的手段预防犯罪，因此，在配置刑罚时，立法者应该优先考虑到行为人的人身危险性［10］。在司法实践中，侵犯公民个人信息的犯罪，很多时候都是行为人在履行职责和提供服务过程中实施的犯罪，与行为人的职务或职业具有较大的关联性，因此，刑法在该罪名中必须明确规定对犯罪行为人判处职业禁止，以防止犯人再次进入该行业实施侵犯公民个人信息的犯罪。

（二）明确处罚的金额

对于侵犯公民个人信息罪应当承担的处罚金额，我们需要做出明确的规定。现阶段，我国没有对具体罚金金额做出明确的规定，只是对于情节严重的罪行处以罚金。这样赋予了法官有很大的裁量空间，不仅容易滋生腐败，而且出现同类案件不同的判定结果。甚至导致出现罪犯贿赂法官以达到减少处罚金额的犯罪现象，而且，不确定的处罚金额会使得行为人出现重复作案的现象，不能起到刑罚处置的效果。因此必须明确处罚的具体金额，在可行的情况下给予法官一定自由裁定的空间，这样在司法实践中更加的公平、公正。

为了维护法律的公正性以及权威性，司法工作者要对犯罪相关行为作出最为准确、科学的全面评价，根据被害人的受损程度、所造成的社会危害性、罪犯当时的心理状态等来确定处罚的金额［11］。立法机关、司法机关和法学研究者应更多加以讨论和研究，尽快对于罚金的设置作出详细的规定，在司法实践中，明确罚金金额，有利于执法清廉。

四、结语

通过刑法手段来有效规制日益猖獗的侵犯公民个人信息罪势在必行，然而在我国公民个人信息刑法保护上有所缺失，难以有效地打击侵犯公民个人信息的行为［12］。本文主要对我国公民个人信息刑法保护的前置性规范、公民个人信息刑法保护“情节严重”界定、公民个人信息刑罚设置等三个方面进行了研究。我国应加强对公民个人信息保护的紧迫感，在信息技术迅速发展、大数据时代环境下，可以通过完善前置性规范、对“情节严重”进行标准框架的构建，进一步健全刑罚设置方式，保护公民个人信息的安全。公民权益的保护屏障是刑法，国家应严厉打击侵犯公民个人信息的犯罪活动。

［1］周骞.出售、非法提供公民个人信息罪若干问题研究［J］.河南财政税务高等专科学校学报,2013(2):84-89.

［2］赵秉志.公民个人信息刑法保护问题研究［J］.华东政法大学学报,2014(1):117-127.

［3］刘艳红.刑法的目的与犯罪论的实质化——“中国特色”罪刑法定原则的出罪机制［J］.环球法律评论,2008(1):40-45.

［4］韩玉胜.侵犯公民个人信息犯罪客观方面辨析［J］.人民检察,2013(9):5-10.

［5］肖登辉.个人资料隐私的法律保护［M］.武汉:湖北人民出版社,2011:48.

［6］赵秉志.《刑法修正案（七）》专题研究［M］.北京:北京师范大学出版社,2011:50.

［7］吴娉婷.侵犯公民个人信息罪的司法困境探究［J］.西安文理学院学报,2017(4):69-73,86.

［8］何荣功.刑法亮剑个人信息保护［J］.中国审判,2009(5):16-19

［9］郭溢.试论侵犯公民个人信息的犯罪［J］.法制博览,2017(23):203.

［10］喻海松.侵犯公民个人信息罪司法适用探微［J］.中国应用法学,2017(4):173-183.

［11］李海洋.两高精准打击侵犯公民个人信息犯罪［N］.中国商报,2017-05-18(5).

［12］詹红星.社会危害性理论研究［M］.北京:法律出版社,2012:179-180.