洪纤柳 何菲

作者单位：浙江农林大学文法学院

随着信息网络技术的迭代更新，个人信息数据在源源不断地产生和积累，侵犯公民个人信息的犯罪行为也只增不减。目前大量侵犯公民个人信息案件，其多发原因为犯罪成本低且收益高、掌握信息者缺乏约束、个人信息安全意识薄弱等，加上网络调查中证据难以收集和固定，使得信息侵害者逃脱法律制裁。

一、 侵犯公民个人信息罪刑法规制存在的困境

（一） 法益内涵不明确

对于侵犯公民个人信息罪的相关条文，不论是《刑法》还是《最高人民法院解释》（简称《解释》），其立法原意都偏向于保护个人信息主体的隐私权、人格权和财产权，强调个人对其信息的专有权以及他人对于侵犯个人信息行为的禁止。而在审判实践中，法官对于该罪法益识别与判断将会直接影响刑罚幅度，从而间接影响该罪的治理效果。在前置法律规范尚不完善，民法和行政法规制效果不佳的情况下，侵犯公民个人信息罪的法益保护的涵摄力也大打折扣，其可操作性并没有达到社会治理要求。

（二） 入罪标准模糊

2017年两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》细化了侵犯公民个人信息罪的追诉标准。该《解释》设置了四个维度的入罪标准：一是侵犯公民个人信息数量；二是违法获利金额；三是与他人犯罪的关系；四是社会危害性衡量。

然而，目前司法实务对侵犯公民个人信息罪的定罪量刑，基本以“侵犯信息数量”和“违法获利数额”为准，但对于如何认定个人信息的条数，还是存在较大争议。并且，实践中对信息条数的认定并不契合某些特殊类型的信息。例如，一般个人信息中的住房信息，这类信息具有可变更、可增减性，难以准确计量个人信息数量。而个人敏感信息中的生物识别信息独一无二，以简单的侵犯条数来确定定量情节显然不恰当。因此，认定不同类型、不同性质、不同适用范围的信息犯罪情节在刑事领域的入罪标准，需得到立法的进一步细化和厘清。

（三） 刑罚适用规定不完备

罚金刑的适用通常依照主刑情况进行，但目前刑法尚未对罚金刑做出统一规定，由此各地根据审判工作的实际情况形成自己的一个标准。在罚金刑具体幅度的判断上，也极大依赖于法官对案件事实的分析以及对犯罪人情况的认证结果，出现了随意性过大的情形。犯罪情节和罚金数额之间的联系会因为地域、经济差异等外在条件以及法官的主观判断等因素的影响导致罪轻重罚或罪重轻罚的现象时有发生。由此可见，我国刑法处理性质相同、情节相似的侵犯公民个人犯罪并没有达到罪刑的综合平衡，刑罚适用规定存在一定的欠缺。

（四） 刑法规制重点失衡

社交媒介的大量涌现及网络实名制的浪潮，使得网民在个人信息输入愈发频繁。据相关调研统计，即便是公民上网时对自身个人信息的安全非常警惕，也难免要填写一些个人真实情况。公民个人信息防护意识并不强，往往因贪小而失大。实际上，这也是app后台运营商收集个人信息的通常手段，用户对于使用者在获得数据、超出用户同意的范围之后的犯罪一无所知。而像人脸信息一经生成不可撤销，对像这类生物识别数据任何的盗用、滥用或数据的泄露，都会使数据主体处于“裸奔”状态。个人信息不能被重置且个人难以寻求救济甚至很有可能退出正常的社会交易活动。例如，被拒绝访问系统、享受服务，丧失通信自由；被冒用身份进行财产犯罪（造成债务危机、资金流失)、人身犯罪（如个人精神遭受打击，隐私泄露）。

二、 完善侵犯公民个人信息罪之刑法规制建议

（一） 明确法益的内涵和罪名罪数形态认定

1.法益内涵的界定

为明确侵犯公民个人信息罪的刑事保护界限，有学者提出“应按照形式不法的构成要件和违法性阶层思维，先明确形式法益（个人信息流通知情权），再从违法性阶层进行遴选”的方法来确定个人信息保护法益。以个体主义为出发点的个人信息具有专属性、人格性、隐私性，将侵犯公民个人信息罪的法益确定为“个人信息权”，那么仅当存在被害人时，才启动刑法社会保护的机能。但出售个人信息的行为没有直接被害人，因此不能被评价为犯罪；在国家、社会视角下的个人信息具有秩序性、集权性以及公共性，将侵犯公民个人信息罪侵害的法益确定为“个人信息管理秩序”，那么个人行使权利时应当遵守维护社会秩序的义务。当行为人出售自己个人信息对社会管理造成损害时，应当认定其行为具有行政违法性。

2.罪名罪数形态认定依据的完善

侵犯公民个人信息犯罪已经形成“信息提供方—中间贩卖方—购买使用方”的互联网犯罪产业链，并且与计算机犯罪、网络诈骗犯罪等下游犯罪紧密相关。针对侵犯公民个人信息犯罪与信用卡犯罪的法条竞合，学界、司法实践中严格采取特别法条优于普通法条的原则。针对侵犯公民个人信息罪与其他罪名的想象竞合，在审判实践中，想象竞合犯通常以从一重为处断原则。针对牵连犯的罪数认定，若行为人的目的和手段牵连性不强，则实行数罪并罚。

（二） 侵犯公民个人信息罪的入罪标准和量刑规则的完善

1.入罪标准的明确化

为更好地治理侵犯公民个人信息犯罪，需要准确定义“情节”要素。当“情节严重”成为界定罪与非罪的标准时，需要充分考量以下几个因素：一是不同信息类型的影响范围。例如生物识别信息这类敏感信息，一旦被犯罪分子不法收集、利用，其法益侵害程度远高于一般个人信息，这些信息都应当受到刑法的特殊保护。借此，有学者认为应当“运用实质解释的办法，针对两高《解释》第5条当中的两个兜底条款，将侵犯生物识别信息5条及以上认定为‘情节严重’，将侵犯生物识别信息50条及以上认定为‘情节特别严重’。”；二是数目及人次标准。公民个人信息的辐射范围极广，涉及到的公民信息愈多，危险系数愈大。在判定情节时，不仅要考量侵犯个人信息的条数，还有必要引入人次标准的评价，即在犯罪人使用个人信息过程中侵犯的具体人员数目，如发送骚扰短信、拨打骚扰电话的真实人次；三是主观恶性考量。行为人将自己的信息提供或出售给他人，他人用于犯罪的以及行为人获取他人的信息用于自身犯罪的或提供给他人用于犯罪的这两种情形，显然自己的信息和他人的信息，前者主观恶性小于后者，而自己用于犯罪或被他人用于犯罪的情况，在难以考量主观恶性的状态下，可以参照《解释》，尽管《解释》中仅规定获取他人的信息，被他人用于犯罪的情形，并没有规定用于自己犯罪的情形，但可以根据当然解释的方法，将其认定为“情节严重”。

2.量刑规则的健全

刑法真正的犯罪通常表现为伦理道德上的可责性，诸如杀人、抢劫、强奸等犯罪。相较之下，侵犯公民个人信息罪的法益危害程度较低。在是否适用缓刑的判断上，应当考虑缓刑的执行效果。适用缓刑具有众多益处，例如，不致监狱中罪犯混杂关押的情况下“交叉感染”，不影响犯罪人的家庭生活。在统一量刑幅度的问题上，主要是量刑档次和罚金数额的差异。罚金刑作为附加刑，其性质属于财产刑，剥夺的是犯罪人合法所有的财产。实践中，大多数罚金数额在犯罪人违法所得数额的基础上加以设定，但违法所得数额未必能充分体现侵犯公民个人信息罪的法益侵害程度。并且，在裁判中法官的自由裁量权易受主观色彩的影响，导致被单处罚金的案例难免会有“以钱赎刑”之嫌。侵犯公民个人信息案件中大量“人传人”的转卖乱象，公安机关在办案过程中也难以追本溯源，就同一犯罪链上的违法所得数额的确定也存在实际上的误差。建议以犯罪情节为基础，综合评价本罪的社会危害程度，并将公民个人履行能力及其家庭经济生活状况纳入考量范围，来合理确定缓刑及罚金刑的适用。

3.细化责任梯度

建构个人信息的梯级保护机制，首先要遵循“个人信息—个人敏感信息—个人行踪轨迹/生物识别信息等”自上而下的保护层级，再从数据的采集、传输、使用、存储、销毁五个阶段根据法益侵害程度形成“一般违法性—刑事违法性”的责任梯度，明确民刑的衔接程序。

要充分考虑信息处理过程中各个阶段违法行为的性质、严重程度等判断标准。在民事领域，一般要进行形式判断。《民法典》作为重要的前置法，其第1036条规定了“在自然人同意的范围内处理个人信息”不承担民事责任。《个人信息保护法（草案）》也确立了“告知——同意”为核心的个人信息处理规则，说明行为人应用个人信息只要征得主体同意，他人的损害行为就能阻却行为的违法性。而判断侵犯公民个人信息行为的“刑事违法性”则需要结合刑法机能进行实质性判断，再根据两阶层体系的原理进行定罪。违法性判断首先考虑前置法的规范，可以简要分为行为之前和行为之后两个阶段。对于行为之前的情况，若数据主体对他人收集自己的个人信息并没有明确知情并且同意，则违反相关法律或双方的约定，达到需要刑法规范的范畴。对于行为之后的情况，若能证明数据主体被收集自己的个人信息之后的行为确实没有发生危害结果，则排除该行为的违法性。由此可得出：“被害人的知情同意”在违法阶层的认定并不能成为其免责的正当事由，当然具备违法性认识可能性或期待可能性在责任阶层也不能成为其责任阻却事由。