侵犯患者信息犯罪司法适用问题研究

2020-02-23于阳陈培云

山东警察学院学报 2020年5期

于阳，陈培云

(天津大学法学院，天津 300072)

互联网的迅猛发展，使得数据和信息在当今社会的作用愈发重要，但公民个人信息也面临着被侵犯的可能性。[1]患者信息作为公民个人信息的重要组成部分，无论是对公民个人、社会还是国家数据库保护而言，都具有极高的敏感性。保护患者信息具有不同于保护一般公民个人信息的重要意义。据360互联网安全中心的一项数据统计，近年来医疗机构日益成为网络入侵的重灾区，这表明保护患者信息具有相当的紧迫性和重要性。(1)数据显示，2016年全球范围内针对医疗保健行业的网络攻击增加了63%。2017年全球15%的数据泄漏事件来自医疗保健行业，仅次于金融业。参见360互联网安全中心，360威胁情报中心.全球关键信息基础设施网络安全状况分析报告(2017)[EB/OL].http://zt.360.cn/1101061855.php?dtid=1101062514&did=491171819.在司法实践中，相较于侵犯一般公民个人信息犯罪案件，对侵犯患者信息犯罪案件的处理标准应当有所不同，这也是笔者研究侵犯患者信息犯罪案件司法适用问题的主要原因。在司法实务中，司法工作人员对于侵犯患者信息犯罪案件重视不够，导致在法律适用过程中将侵犯患者信息犯罪案件与侵犯公民个人信息犯罪案件的认定标准等同视之，客观上造成了犯罪分子在受到同等处罚的情况下优先选择搜集可能获得更多经济利益的患者信息。此外，从当前治理侵犯公民个人信息犯罪案件的司法适用来看，相关案例观点和判决要旨基本上是持一种严罚态度。但严罚对侵犯公民个人信息犯罪的威慑作用实在有限。有学者指出，为了实现治理侵犯公民个人信息类犯罪的最佳效果，需深入研究该类犯罪的生成模式，分析刑罚规制之不足，并从中寻找刑罚替代措施。治理侵犯公民个人信息犯罪的对策只能定位为控制犯罪，而非消灭犯罪；在适用刑罚替代措施的时候，需进行“成本—效益”评估；治理侵犯公民个人信息犯罪应重视公众参与。在对侵犯公民个人信息犯罪予以刑罚制裁的时候，应有所宽容、有所例外。[2]本文通过对侵犯患者信息犯罪司法适用问题进行重点探讨，力求能够较为准确地对侵犯患者信息犯罪的行为主体做到定罪准确、量刑适当，使得罪刑相均衡，抑制和预防侵犯患者信息犯罪发生，进而达到患者信息特别保护的目的。

一、公民个人信息与患者信息辨析

(一)公民个人信息的界定

1.法律中公民个人信息的界定

2012年12月28日，全国人大常委会通过的《关于加强网络信息保护的决定》(以下简称《决定》)首次对个人信息保护进行规定。《决定》第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”在其后的2013年4月23日，最高人民法院、最高人民检察院、公安部发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)在第2条中规定了公民个人信息的范围。与《决定》相比，《通知》以“可识别性”与“隐私性”作为公民个人信息的核心要素，将其范围从公民个人的电子信息扩大到所有类型的信息，实现对其较为全面的保护。2016年11月7日通过的《网络安全法》在第76条第5项规定了“个人信息”的定义和范围。这一定义与《决定》和《通知》相比，一是“隐私性”不再是公民个人信息的要素；二是将“能够单独识别”扩大到“能够单独或者与其他信息结合识别”。这一变化反映出立法者认识到“个人信息”和“隐私权”存在交叉关系，交叉的内容是“个人隐私信息”。因此《网络安全法》将“能够识别公民个人信息”和“涉及公民个人隐私”的信息都纳入到“能够识别公民个人身份”的信息中。

2017年5月8日，最高人民法院和最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《解释》在第1条就规定了公民个人信息的定义与范围。该《解释》将《网络安全法》中公民个人信息的概念进一步扩张，在先前概念的基础上又增加了四种个人信息，这与其背后蕴含的法益有关。“活动情况”和“行踪轨迹”主要是针对公民可能发生的人身犯罪进行规定，而“账号密码”和“财产状况”是对公民的财产权利进行保护。《解释》的规定使得公民个人信息被界定为个人身份认证信息和可能影响人身、财产安全的个人信息。[3]

2.公民个人信息相关学说梳理

当前，学界对公民个人信息的界定意见不一，主要分为“关联说”“隐私说”和“识别说”。这三种学说分别从独特视角切入，对于公民个人信息的概念界定提出不同思路。持“关联说”的学者认为，公民个人信息是指能够影响公民财产权利、人身安全的，凸显具有公民个人生理与社会特征的信息。《刑法修正案(七)》未对公民个人信息的范围作出任何限制和例外性规定，因而我国刑法保护的是与公民相关联的所有个人信息。[4]持“隐私说”的学者认为，公民个人信息体现的是个人隐私权，只有体现个人隐私权的信息才属于公民个人信息。[5]持“识别说”的学者则提出，公民个人信息是指与已被识别或可以被识别的个体有关的信息。个人信息强调对特定个体(自然人)的识别，凡是能够识别某个人的信息均归入个人信息。[6]笔者认为，“关联说”将与公民个人信息有关的信息均纳入公民个人信息的范畴。该学说的优点是全面囊括公民个人信息的内容，并尽可能地避免遗漏。但是公民个人信息的内容相当广泛，悉数纳入法律的保护范围，既不可能，也无必要。此外，“隐私说”也有其不足之处，个人隐私不能完全涵盖公民个人信息的全部内容。公民个人信息中还包含一些可以公开的个人信息，尽管这部分信息不属于隐私，但其需要受到法律的保护。此外，并不是任何个人信息公布以后都可能对公民权益造成损害，而且信息的扩散对于不同公民的意义是不同的。同样泄露某信息，对于甲的权利可能造成损害，而对于乙来说，则可能是其所希望的(如当下许多公民在网络上通过各种手段将自己炒作为名人等)。所以对于不同公民，某信息是否可以成为本罪对象具有不确定性。有学者指出，作为本罪对象的公民个人信息应当具有以下特点：主观上本人不希望扩散该信息；客观上该信息具有保护价值，一旦扩散将可能对公民权利造成损害。[7]

综上，笔者基本赞同“识别说”。“识别说”的观点符合刑法保护的范围和限度，其囊括了需保护的公民个人信息，又不超越刑法立法本意和目的。因为在司法实践中，只有对公民有重要价值的信息，即具有可识别性的信息，才应当列入法律保护的范围，并有可能作为刑法所要保护的对象。

(二)患者信息的界定

1.患者信息的医学含义

医疗领域个人信息是指与医疗活动相关的个人信息，主要由患者生理或心理健康、医疗状况等信息组成。[8]不同于一般的个人信息，医疗领域个人信息含大量敏感的个人信息，其包括的医疗个人信息分为广义和狭义两种。(2)广义的医疗个人信息还包括医疗机构和医疗机构从业人员等所有与医疗相关的信息。狭义的医疗个人信息是指在体检、诊断、疾病控制、治疗和医学研究过程中涉及到的个人肌体特征、健康状况、遗传基因、病史病历等信息。参见李国红.论医疗领域个人信息及民法保护[D].苏州：苏州大学,2013.16.我国台湾地区的“医疗法”规定，医疗信息包括：各项检查、检验报告资料；医师依医师法执行业务所制作的病历；其他各类医事人员执行业务所制作的记录。[9]根据日本财团法人医疗情报系统开发中心的汇总，日本的医疗个人信息共包括11大类。(3)《电子保存诊疗记录情报交换的数据项目集合》规定的11类信息分别为：(1)患者基本信息；(2)健康保险、福利信息；(3)诊疗管理信息；(4)生活背景信息；(5)医学背景；(6)诊察记录信息；(7)指令实施记录信息；(8)治疗信息的交流情报；(9)治疗的说明同意信息；(10)汇总信息；(11)死亡记录信息。参见[日]開原成允·樋口範雄.医療個人情報保護とセキュリテイ—個人情報保護法とHIPAA法(第2版)[M].东京:有斐閣,2005.28-29.我国学者认为，医疗信息不仅包括信息主体的医疗、健康信息，也包括与医疗有关的其他个人基本信息和经济信息。[10]由此可见，医疗个人信息不仅包括患者本人的生理或心理健康、疾病状况，还包括与医疗有关的患者个人基本信息和经济信息。

2.刑法意义上的患者信息界定

我国刑法学界并未专门对患者信息的定义进行过研究，但在关于侵犯公民个人信息罪的《解释》第5条第1款第4项中提到“健康生理信息”。“健康生理信息”是否即为患者信息，目前还无定论。美国个人信息保护在《健康保险携带和责任法》中提到受保护的健康信息具体是指用电子媒介或其他方式传输或保存的个人可识别健康信息。[11]亦有学者对个人健康生理信息的内容进行了详细列举，认为个人健康生理信息是指个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录等。[12]

此外，笔者在搜集侵犯患者信息犯罪相关案例的裁判文书时发现，在“程某、邱某侵犯公民个人信息案”一审刑事判决书中，审理法院对“健康生理信息”进行了简要阐述。(4)参见山东省禹城市人民法院刑事判决书(2018)鲁1482刑初67号。该院认为，《解释》第5条第1款第4项所述及的“健康生理信息”，应当是涉及公民身体、心理等方面具有个体特征，且内容具体的公民信息。笔者认为，“健康生理信息”是患者信息的一部分，但不等于患者信息。患者信息不仅包括患者医疗信息，也包括患者个人基本信息，也即公民个人一般信息的内容，如姓名、身份证件号码、家庭住址等。

(三)患者信息与公民个人信息的关系辨析

1.患者信息与公民个人信息的联系

首先，从内涵上来看，患者是公民中的特殊成员，患者信息作为特殊的公民个人信息，其内容包含在公民个人信息中，如姓名、家庭住址等。其次，患者信息与公民个人信息均包含公民的隐私信息，且均能通过单独或者与其他信息结合达到识别公民身份的目的。最后，患者信息和公民个人信息同作为信息，其背后均有着不可估量的经济、政治、文化以及社会价值。其中，巨大的经济价值就是引起相关犯罪频繁发生的重要原因之一。同理，患者信息和公民个人信息在遭受不法分子侵犯后，其价值形态便不再受控制，特别是当前互联网已经十分发达，公民个人信息一旦被泄漏并为不法分子利用，就难以通过其他任何方式恢复到未受侵犯前的状态，因此信息在遭受侵犯后产生的危害性大且不可恢复。

2.患者信息与公民个人信息的区别

作为公民个人信息的一部分，患者信息还具有自身的特殊性，如患者信息更强调包含个人身体健康信息，如家族病史、疾病症状等对个人更为敏感的信息。患者在医疗活动中，向医院提供的信息并非单一的而是关乎自身的综合性信息，其敏感性与复杂性使得患者信息比单一个人信息更有价值，这也是患者信息屡屡遭到侵犯的重要诱因之一。[13]另外，对于一些特殊病患，如艾滋病等传染性疾病患者的信息，一旦泄露会对患者的个人生活乃至对社会安宁等均会产生严重损害。[14]同时，由于医疗数据平台的构建，医疗机构之间个人医疗信息的传输面临非法传输风险，加上网络互联致使网络黑客入侵医疗机构数据系统、破坏系统的正常运作、实施窃取或者破坏的违法犯罪行为愈发方便。而面对较为尖锐的医患矛盾与纠纷，患者信息被侵害给患者及家属带来的损害无疑会加剧医患之间的不信任，加剧社会矛盾。由此可见，患者信息被侵害的后果比之一般的公民个人信息危害性更大。

3.保护患者信息的特殊意义和价值

在“互联网+”时代之下，随着医疗数据平台的搭建，患者信息的意义不再是仅关乎患者及其家庭自身的重要信息，而是更加关乎社会稳定和国家数据与信息库的安全，尤其是对患者个人和社会更加具有敏感性的患者医疗信息，也即对健康生理信息的保护。在《信息安全技术公共及商用服务信息系统的个人信息保护指南》(5)参见2012年11月5日由国家质量监督检测检疫总局、国家标准化管理委员会发布，自2013年2月1日起施行的《信息安全技术公共及商用服务信息系统的个人信息保护指南》(GB/Z 28828-2012)。和《信息安全技术个人信息安全规范》(6)参见2017年12月29日由国家质量监督检测检疫总局、国家标准化管理委员会发布，自2018年5月1日起施行的《信息安全技术个人信息安全规范》(GB/T 35273-2017)。中，均对“个人敏感信息”进行了阐释。(7)在《信息安全技术个人信息安全规范》(GB/T 35273-2017)的3.2中，将“个人敏感信息”界定为一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或者歧视性待遇等的个人信息。同时，个人敏感信息的列举包括健康生理信息等在内的个人信息。转引自喻海松.侵犯公民个人信息罪司法解释理解与适用[M].北京:中国法制出版社,2018.240-242.在上述两个文件中，均指出健康生理信息属于个人敏感信息。[15]这些敏感信息一旦被侵害，其所带来的危害不仅是对被侵害者的具体实害，还会给社会带来诸多潜在危险。例如，患者DNA样本数据等信息如果被不法分子所掌握，极有可能对社会稳定和国家安全产生毁灭性的影响。在基因编辑婴儿事件发生之后，我们更应当重视对医疗领域基因数据和信息的保护。

当前，深入研究侵犯患者信息犯罪的预防和惩治具有重要的理论和实践价值。尤其在司法实务中，正确适用法律解决相关司法疑难问题，能在一定程度上减少侵犯患者信息案件的发生，从而有利于维护社会稳定。因此，对侵犯患者信息犯罪司法适用疑难问题的研究必不可少。

二、侵犯患者信息犯罪特定行为方式的认定

刑法不仅惩罚提供公共服务者非法向他人提供公民个人信息的行为，而且处罚非法侵犯公共服务提供者对公民个人信息之保有状态的行为。[16]《刑法》第253条之一规定该罪的行为方式包括“出售或者提供”和“窃取或者以其他方法非法获取”的行为。对此，也应以相同的方式认定侵犯患者信息犯罪的行为方式。同时，针对有学者提出增设“非法利用”这一行为方式，笔者认为对此有必要加以深入探讨。

(一)出售、提供患者信息行为的认定

1.出售患者信息行为的认定

我国刑法学界一般认为，出售信息是告知他人本人所知悉的信息，并因此获利的行为。在“黄某某、王某某侵犯公民个人信息案”(8)本案中，被告人黄某某于2016年4月以来，通过互联网向他人购买新生儿信息19,540条，后加价出售给他人。同年4月间，被告人王某某通过互联网向被告人黄某某等人购买新生儿信息6450条，后加价出售给他人。参见福建省安溪县人民法院刑事判决书(2016)闽0524刑初608号。中，新生儿信息作为医疗机构及医务人员在医疗活动中保存的信息，无疑是患者信息。二被告人通过互联网向他人购买多条新生儿信息的行为是以其他方法非法获取患者信息的行为。同时，二被告人在非法获取患者信息后又加价出售给他人，此行为是将本人知悉的信息告知他人，并从中牟利的行为，属于违反国家有关规定，向他人出售患者信息的行为，构成侵犯患者信息犯罪。昆山破获的“侵犯公民个人健康信息案”(9)本案中，犯罪嫌疑人孙某从网上大量购买医院的客户信息，之后通过自己设立的网站将信息贩卖给全国各地医院牟利。参见昆山破获全国首例侵犯公民个人健康信息案[EB/OL].http://www.xinhuanet.com/2017-07/06/c_1121277403.htm.中，关于男科、妇科或整形美容等方面的个人信息被大量窃取和买卖。此类信息为医疗诊疗活动过程中涉及到的公民个人信息，属于患者信息。本案中，犯罪嫌疑人从网上大量购买患者信息的行为是以其他手段非法获取患者信息的行为。同时，犯罪嫌疑人在获得患者信息之后又贩卖出去以达到牟利目的，这种“贩卖”牟利的行为即为“出售”患者信息。在“孙某侵犯公民个人信息案”(10)本案中，被告人孙某以300元的价格从被告人张某手中购买了珠海市卫计局服务信息系统内的慢性病诊断名册，名册中共计96,904条患者个人信息。参见男子花300元购买近10万条患者信息，被判侵犯个人信息罪获刑3年[EB/OL].http://www.sohu.com/a/214866549_420076.中，被告人孙某的购买行为是以其他方法非法获取患者信息的行为，而张某则违反国家有关规定向他人出售患者信息。

2.提供患者信息行为的认定

提供信息是指将本人知悉的信息告知他人。“出售”和“提供”都是泄露本人得知的信息给他人，不同点在于其行为是否因此获利。换言之，前者比后者多了谋取利益的内涵。因此，事实上“提供”行为包含了“出售”行为的范围，但因“出售”方式更加常见和典型，因此《刑法》第253条之一将其单独列出。《解释》第3条第1款的规定表明“提供”的对象既可以是特定人，也可以是不特定多数人。该款规定解决了以往理论界对出售或者提供的对象，也即“他人”的理解意见不一的问题。同时，由于医务人员特殊的工作性质以及出于保护患者信息和维持医患双方良好的信赖关系的考虑，法律科处医务人员负有守密义务。因此，其在提供医疗服务的过程中不能把患者信息提供给他人。如果在履行职责过程中违反了该义务，除需承担民事、行政责任外，若造成严重后果，医务人员将可能被追究刑事责任。[17]在“社区医生贩卖患者个人信息案”(11)在该案中，被告人张某在担任社区卫生服务站医生期间，利用其负责社区卫生服务资料录入及掌握卫计局社区卫生服务信息系统的账户、密码的职务之便，通过QQ联系，以人民币400元的价格向孙某(另案处理)贩卖了约98,009条珠海市患者的个人信息，并将卫计局社区卫生服务信息系统的账户、密码交给孙某自行登录、下载患者的相关信息。参见社区医生以400元卖10万条患者个人信息，获刑1年[EB/OL].http://www.sohu.com/a/139409061_114731.中，被告人张某的行为即触犯了《刑法》第253条之一第2款的规定，其中“出售”是被告人贩卖患者信息并获利，“提供”即为不出于牟利目的将系统账户、密码交给他人使他人获取信息的行为。对此，在司法实践中，司法人员在认定行为方式时应当区分“出售”与“提供”之间的不同，避免造成认定错误。

(二)窃取或者以其他方法非法获取患者信息行为的认定

1.窃取患者信息行为的认定

随着医疗档案共享的发展，在窃取患者信息案件中，行为方式多是黑客攻击医院的网络共享平台。由于一些医院的传输数据没有加密，如防火墙、密钥等，一些患者的信用卡账户和密码被盗，医院网站可以被不法分子随意打开，对患者信息和医院内部信息进行非法利用。[18]此种情形下不法分子即为通过科技手段获取患者信息，此类行为是“窃取”行为。再如，福州市公安局日前破获的一起“盗窃患者个人信息案”(12)在该案中，犯罪嫌疑人曾窃取过医院部分患者的个人信息，在再一次准备窃取医院系统里的患者信息等资料时被抓获。参见男子窃取患者信息被抓，涉嫌侵犯公民个人信息罪[EB/OL].http://fj.china.com.cn/p/110141.html.中，犯罪嫌疑人通过秘密“窃取”的方式获取患者信息。此外，我们应注意“窃取”行为并非限于秘密获取的手段，而且也应包括公开获取的手段。(13)此处的公开获取，是指犯罪分子实施的窃取患者信息行为已经被相关医疗机构察觉，但受制于网络特殊环境的影响，医疗机构对此无法给予及时处置。例如，在前述昆山破获的全国首例“侵犯公民个人健康信息案”[19]中，警方通过犯罪嫌疑人孙某抓获了其“上家”李某某。李某某利用全国各大医院网站的系统漏洞，用黑客手段予以破解，以非法获取网站聊天数据并进行贩卖。此案中，犯罪嫌疑人李某某通过黑客手段暴力破解医院网站系统，则其非法获取网站聊天数据的行为是窃取行为还是以其他方法非法获取行为存在较大争议。笔者认为，在黑客攻击网络平台获取患者信息的案件中，侵害人的攻击行为可以是秘密进行的，也可以是公开的。如对医务人员和医疗机构明知网站被攻击却无能为力的情形，应认定为“窃取”而非“以其他方法非法获取”的行为。

2.以“其他方法”非法获取患者信息行为的认定

以“其他方法”非法获取的行为方式主要是对“其他方法”和“非法”的理解。在“黄某诈骗、侵犯公民个人信息案”(14)本案经审理查明，被告人黄某于2015年4月1日至8月24日间，事先向他人非法购买新出生婴儿等公民信息1000余条，并通过拨打上述非法获取的公民个人信息的手机号码，谎称可以向新出生婴儿家属发放补贴，诱骗被害人。参见福建省安溪县人民法院刑事判决书(2016)闽0524刑初202号。中，新出生婴儿信息作为医疗机构的医务人员在进行医疗活动过程中所保存的信息，该信息应当属于患者信息。同时，此种信息应当受到严密保护与管理，不能为他人所利用和非法使用。而被告人通过非法手段和渠道购买到此种患者信息，同时利用该信息进行违法犯罪活动。其非法购买新生儿患者信息的行为经法院认定，为以购买方式非法获取公民个人信息的情节严重的情形，其行为是“以其他方法非法获取”公民个人信息的行为，构成侵犯公民个人信息罪。

同时，此案还符合《解释》第5条的规定。“以其他方法非法获取公民个人信息”的具体行为方式包括：(1)购买、收受和交换等方式。(2)在履行职责、提供服务过程中收集公民个人信息的行为。本案就是以购买的方式获取患者信息，是“以其他方法非法获取”患者信息的行为。对此，《网络安全法》第41条规定的内容主要是针对涉及公共领域的单位和工作人员，如银行、保险公司以及医院等日常接触大量公民个人信息的单位及其工作人员。以医疗领域为例，若医疗单位或人员在提供医疗服务过程中非法收集患者信息的，即为“以其他方法非法获取”患者信息。

此外，“以其他方法非法获取”作为侵犯患者信息犯罪行为方式中的兜底条款，在司法适用中往往被当作“口袋”，许多行为都可能被纳入进去。应当指出，“其他方法”是除去“出售”“提供”和“窃取”行为之外的“其他”获取的方法。如果行为人的行为可以归入“出售”“提供”和“窃取”，就应当按照其明文规定办理。只有不属于上述这三种行为方式，而该行为方式又与前三种行为方式的危害程度相等同的行为方式才可以纳入“其他方法”。对“非法获取”中的“非法”二字可以用体系解释来确定其内涵。根据体系解释的原理，有时一个法条在结合它所在法律法规的前后条文进行语境和语义分析时，能够比较容易地理解立法者想表达的真正意思。[20]由此，《刑法》第253条之一对法律条文中的四种行为方式规定了完全相同的刑罚幅度，表明两类行为的社会危害性和入罪前提应当一致。简言之，此处“非法”与“违反国家有关规定”的内涵大致相同。

(三)非法利用患者信息的认定

在“基因编辑婴儿事件”[21]发生后，对于那些以从事科研为名而非法收集和利用患者信息的行为(非法科研)应当引起有关方面的高度重视。针对部分科研工作者以科研名义收集公民个人数据信息的行为，乃至从医疗机构非法收集并利用患者疾病、生理、基因等信息的行为，应当就上述行为的具体认定加以深入研究。在传统的侵犯患者信息行为手段中，法条对侵犯患者信息犯罪行为方式的列举是封闭式的，仅包括四种行为方式。而笔者认为科研工作者非法利用患者信息从事非法科研活动的行为显然不属于上述几种行为方式中的一种，此种非法利用患者信息的行为是否能够界定为侵犯患者信息的犯罪行为有待探讨；进而针对侵犯患者信息犯罪的行为方式种类是否应当予以增加和完善也应当引起注意。

有些国家或地区在刑法典中规定了与滥用公民个人信息(或者秘密)情形相对应的罪名，如《德国刑法典》第204条和《澳门刑法典》第190条。有学者曾针对某移动通信公司滥发垃圾短信对社会大众的生活产生干扰的类似行为，建议在《刑法》第253条之一中规定“非法利用”的行为。”[22]笔者认为，对于相关人员非法利用患者信息从事非法科研活动等类似的行为可列入“非法利用”患者信息的行为中。若实现增设“非法利用”公民个人信息行为方式，则对保护患者信息无疑十分有利。此举可实现对现行法条所存在的漏洞的弥补，有助于避免司法实践中出现“非法利用”公民个人信息的违法犯罪行为却无法定罪处罚的尴尬局面。同时，针对心怀不轨的科研人员等打着科研旗号却非法收集和利用患者信息进行研究的不法行为，此举可以对其行为予以刑罚处罚，对非法收集行为就以“其他方法”非法获取患者信息的行为进行处罚；对非法利用患者信息行为也予以相应的惩治，以刑法的威慑力促使其不敢以身试法。

三、侵犯患者信息犯罪中情节犯的司法适用

随着网络信息技术、电子商务的发展，公民个人信息背后所承载的价值利益与日俱增，针对公民个人信息实施的违法犯罪行为也呈现出高发态势。《刑法修正案(七)》增设的“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”对于遏制非法泄漏、非法获取公民个人信息犯罪行为，切断公民个人信息犯罪产业链具有重要意义。但是，由于立法规定的概括性和“应急性”，导致对于侵害公民个人信息犯罪的规定在司法操作过程中存在诸多困惑性问题，诸如对于《刑法》第253条之一并未明确规定“情节严重”和“情节特别严重”的具体认定标准，导致司法实务中对其适用不同标准。[23]正是在此情形下，《解释》适时出台并对二者的适用进行了较为详细的规定。对于“情节严重”主要是根据信息的数量、用途、信息类型、犯罪数额等进行认定；而对于“情节特别严重”主要是根据对被害人或社会是否造成严重影响、涉案信息数量、涉案数额是否特别巨大等加以认定。但在实践中，往往并未根据此种综合性的标准加以认定，而是以单一因素作为主要衡量标准。

(一)侵犯患者信息犯罪“情节严重”的司法认定

1.对患者信息“情节严重”量刑标准划定不科学

“情节严重”是侵犯患者信息犯罪的入罪条件。但理论界对应当如何理解和把握“情节严重”的看法却并不一致。有学者指出，可以依照涉案信息的数量、违法所得、给被害人和家属造成损失的程度等进行判断。[24]有学者认为，应当根据涉案信息的重要程度、对公民和社会的影响以及违法获取次数进行判断。[25]也有学者提出，可以从交易金额、信息数量、侵权次数和信息用途以及对被害人和对社会的影响等进行综合判断。[26]还有学者认为，“情节严重”一般是指大量出售或多次出售公民个人信息获利数额较大，以及公民个人信息被他人非法使用后，给公民个人在经济和生活上造成了重大影响等情况。[27]

《解释》对“情节严重”标准的界定在一定程度上吸收了理论界部分学者的观点。其中，根据信息类型和数量将公民个人信息划分为行踪轨迹信息、财产信息和健康生理信息等公民个人敏感信息。此类信息“情节严重”是因对人身和财产安全具有重大影响，被侵犯后易引发关联犯罪，具有较大社会危害性。同时，因公民个人信息的重要程度不同，对不同类型的公民个人信息设置了三种入罪标准，健康生理信息被认定为侵犯“500条以上”构成犯罪。但是与被设置在“50条以上”标准的行踪轨迹、财产信息等和被设置在“500条以上”标准的住宿、交易信息等相比，健康生理信息的敏感性甚至更强。一旦被非法泄漏不仅会对公民的人身和财产产生严重威胁，乃至对社会公众和国民健康的危害都是极大的。如健康生理信息中所包含的遗传基因不仅涉及个人信息，还是整个国家、民族基因库的一部分，若被非法侵犯将会产生非常严重的后果。因此，将健康生理信息仅划分为被侵犯“500条以上”才构成犯罪是明显不合理的。

2.准确划定侵犯患者信息的量刑标准

与其他个人敏感信息相比，作为个人敏感信息的健康生理信息背后所代表的法益更加重要，应当给予更大程度的保护。在受到侵犯时，其入罪门槛应当降低，以达到预防侵犯患者信息犯罪、严厉处罚犯罪分子使其不敢犯罪的目的。在司法实践中，应当对侵犯患者信息的行为主体入罪标准予以明晰，将侵犯患者信息的入罪标准予以降低，也即应当将侵犯患者信息数目归入到“50条以上”标准中。原因之一为患者信息中所包含的健康生理信息本身就极为重要，应当列入“50条以上”标准中；原因之二为患者信息作为健康生理信息和公民基本个人信息两种信息的结合，根据体系解释，其应当得到更加严格的保护，更应当被列入更低标准“50条以上”，以保证更大程度上保护患者信息，力求罪刑均衡，实现公平公正。同时，此种实践操作也不需修改立法，在节约司法成本的同时，也节省了立法所需要审核通过的时间成本。更重要的是，当司法人员在司法实践中遇到侵犯患者信息犯罪时可以据此灵活审理案件，以最小的司法成本实现最大的公平正义。

(二)侵犯患者信息犯罪“情节特别严重”的司法适用

在侵犯患者信息犯罪“情节特别严重”的司法适用中，存在“情节特别严重”司法认定标准不统一的现象。笔者通过搜集整理“吴某侵犯公民个人信息案”(15)被告人吴某通过腾讯QQ等平台，陆续向杜某(已判决)出售健康生理类公民个人信息5万余条，其出售的公民个人信息中包含公民的姓名、电话号码、住址，以及曾经购买何种养生产品等健康生理类信息。法院认定被告人吴某违反国家相关规定，向他人出售健康生理类公民个人信息5万余条，情节特别严重，被告人吴某构成侵犯公民个人信息罪，判处其有期徒刑3年10个月，并处罚金人民币2万元。参见重庆市奉节县人民法院刑事判决书(2017)渝0236刑初431号。“王某侵犯公民个人信息罪案”(16)被告人王某某多次向刘某(另案处理)等人购买公民个人信息。经查，其非法获取的公民个人信息达200余万条，其中属于交易信息及健康生理信息共计20余万条、财产信息17，639条。法院认定被告人王某某违反国家有关规定，非法获取公民个人信息，情节特别严重，被告人王某某构成侵犯公民个人信息罪，判处有期徒刑3年，并处罚金3万元。参见浙江省温州市瓯海区人民法院刑事判决书(2016)浙0304刑初999号。和“李某侵犯公民个人信息罪案”(17)经查明，2015年间，被告人李某某在本市海淀区等地使用木马程序窃取某酒店旅客的住宿信息12，424条，并于2017年间上传至其经营的狼盾资源网(网址为http:/www.langdn.cn)向会员出售。在2017年间，被告人李某某使用木马程序窃取某医院患者的健康生理信息86条，并上传至其经营的上述网站向会员出售。另被告人李某某以上述方式获取了其他公民个人信息1598条，存储在自己的百度云盘账户中。该案中，法院认为被告人李某某非法获取公民个人信息，侵犯了公民个人信息的安全，情节特别严重，其行为已构成侵犯公民个人信息罪，应予惩处。判决被告人李某某犯侵犯公民个人信息罪，判处有期徒刑2年10个月，并处罚金人民币3万元(有自动投案情节)。参见北京市海淀区人民法院刑事判决书(2018)京0108刑初1003号。后发现，首先，三起案件均只是对侵犯公民个人信息的类型和数量纳入了量刑情节，而对于违法所得的数额、对社会造成的危害性以及对被害人造成的影响并未考虑其中，量刑标准依旧过于单一。其次，在对以侵犯信息数量为标准的衡量上，上述三起案件存在较大差异。在吴某案中，被告人出售患者信息5万余条，是《解释》第5条第1款第4项“情节严重”情形的100倍以上，是第5条第2款第3项“情节特别严重”标准的10倍以上。在王某案中，被告人非法获取公民个人信息200余万条，其中交易信息及健康生理信息共计20余万条、财产信息17,639条。在李某案中，被告人窃取并出售住宿信息12,424条、患者健康生理信息86条，以及其他公民个人信息1598条。通过计算不难发现，三起案件中涉及侵犯患者信息数量差距明显，但是均适用“情节特别严重”标准。(18)其中，吴某案中，被告人出售患者信息5万余条，是“情节特别严重”标准的10倍以上；在王某某案中，交易信息及健康生理信息数量是“情节特别严重”标准的40多倍，财产信息数量是“情节特别严重”标准的30多倍，还有公民一般个人信息数量远超“情节特别严重”标准的36倍左右；在李某某案中，就信息数量而言，本案中住宿信息和患者健康生理信息数量是“情节特别严重”标准的2.4倍以上，公民个人其他信息数量未达到“情节严重”规定的“5000条以上”的标准，也未达到“情节特别严重”的标准。

同时，《刑法》第253条之一第3款明确规定了“情节特别严重”情形下应当判处的刑罚。在上述三个案件中，被告人侵犯信息的数量差距悬殊。然而在具体量刑适用上，吴某案判处被告人有期徒刑3年10个月，并处罚金2万元；王某案判处被告人有期徒刑3年，并处罚金3万元；李某案判处被告人有期徒刑2年10个月，并处罚金3万元(有自动投案情节)。通过比较发现，针对侵犯一般公民个人信息和患者信息的数量远超法律规定标准的案件，司法实务对其处罚并未加以类型区分，导致上述三个案件被告人在量刑上的差异并不大。特别是对于王某案，笔者认为其量刑畸轻。这也是司法实务对患者信息未加以重视且未落实信息类型划分目的的缘故。侵犯更多公民个人信息的行为与侵犯较少数量的行为，在行为人具体量刑幅度上几乎一致，这是不符合罪刑均衡原则的。此种存有较大差异的裁决方式会造成“同案不同判”的后果，不能使行为人和被害人感受到法律的公平正义，会使得公民难以认同刑法的权威，进而不能使刑法发挥其预防犯罪、保障人权的功能，不利于减少侵犯患者信息犯罪的发生，不利于保护公民的人身与财产权利，不利社会和国家的稳定与发展。对此，司法机关应当对量刑标准予以统一，同时综合考虑量刑因素，落实对侵犯信息类型的认定，对侵犯患者信息的数量和类型进行综合考量。尤其应当对《解释》中关于信息类型划分的意图进行解释和完善，重视对于公民、社会和国家十分敏感的患者信息的保护。针对侵犯患者信息的案件，依据相应的裁量标准从重处理。因此，在侵犯患者信息犯罪的量刑标准上，应摒弃单一的裁量标准，加入违法所得数额、信息用途、对社会的危害性以及对被害人产生的影响等因素和标准，使其更能突显患者信息在公民个人信息中的重要地位，使司法人员认识到保护患者信息的重要性以及侵犯患者信息犯罪的严重性，促使其在相关案件的量刑处理上更加科学合理。

四、侵犯患者信息犯罪中行为主体量刑的司法适用

侵犯患者信息犯罪的行为主体并非仅局限于医疗单位及其内部人员，而是还包括相关外部单位和人员。患者信息的特殊性决定了对侵犯患者信息的行为主体应当从重处罚。但是《刑法》相关条文仅对医疗领域单位及其内部人员作出了从重处罚的规定，进而忽视了对外部单位和人员也应当给予从重处罚。随着科技的快速发展，如黑客等外部人员一旦侵犯医疗机构的信息存储系统，其所造成的危害与医疗机构及其内部人员非法泄漏患者信息是大致相同的，甚至在个别情况下有过之而无不及，均会造成对患者信息的严重侵犯。因此，在不同行为主体侵犯患者信息犯罪后造成大致相同危害的情形下，对侵犯患者信息犯罪的行为主体处罚却并不相同，这明显违反罪刑相适应原则。

(一)侵犯患者信息犯罪行为主体处罚标准不统一

1.侵犯患者信息犯罪行为主体的认定

相较于公民个人信息保护更加严密的国家，我国应加强对公民个人信息的收集、流转和使用等方面的管理。特别是严防内部人员泄露公民个人信息事件的发生，以达到有效切断侵犯公民个人信息的“源头”，进而实现保护公民个人信息的目的。[28]对此，《刑法》第253条之一第2款和第4款均作出了相应规定。这是国家为实现对信息的保护管理所做出的刑法层面上的努力，其有利于从源头上遏制和减少侵犯患者信息行为的产生。但是，在司法实践中，侵犯患者信息的行为主体不是限于医疗机构和医务机构的内部人员，也包括非医疗单位及外部人员。在我国，医疗数据系统被非医疗单位和外部人员侵犯的案例并不少见。早在2012年,浙江省温州市警方侦破一起“利用黑客软件盗取医院用药信息案”；[29]2016年5月，宁夏回族自治区某基层法院宣判“宋某等非法侵入某部委网站，盗取新生儿、精神病患者信息案”；[30]2018年发生“多家医疗机构计算机系统被勒索病毒攻击案”。[31]在国内，医疗业遭受勒索软件攻击是仅次于能源业的行业，从中可见外部单位和人员侵犯患者信息行为之猖獗。因此，侵犯患者信息犯罪行为主体的认定范围应予以扩大。

2.对侵犯患者信息犯罪行为主体的处罚规定

在我国《母婴保健法》《执业医师法》和《传染病防治法》中都有针对工作人员应当为当事人保守秘密、保护患者隐私或是医疗机构不得泄露涉及个人隐私的有关信息、资料之义务的规定。但是对违反后果在前两部法律中均无明确规定。《刑法》第253条之一的第2款、第4款针对侵犯患者信息犯罪的行为均规定要依法从重处罚，也即针对侵犯患者信息的医疗机构及其人员依法从重处罚。医疗机构及其人员本是救死扶伤之场所及人员，如果其特殊身份成为谋取私利的工具，将是对患者信息保护的巨大打击，也会成为当前尖锐的医患关系纠纷的又一诱导因素，处置不当其必将对社会和谐稳定产生极为不利的影响。因此，针对医疗机构及其人员侵犯患者信息的行为予以从重处罚有其立法原因，该规定有其合理之处。

但是相关规定中对侵犯患者信息的外部非医疗单位和外部人员并未作出从重处罚的规定。这可以看作是立法者不重视对一般主体侵犯患者信息犯罪行为予以处罚的缘故。笔者认为，主要原因可能在于以下两点：一是立法者对患者信息和公民个人信息并未加以区分，未意识到患者信息相较于一般公民个人信息的特殊之处；二是相较于特殊主体侵犯患者信息的行为，认为一般主体对患者信息的侵犯不足以产生严重后果。然而，在司法实践中，无论行为主体是医疗单位及其内部人员，抑或是外部单位和人员，其侵犯的均是对患者个人、社会和国家极其敏感和重要的数据信息，所造成的危害后果是同等严重的。随着大数据时代的到来，一般主体对信息数据的接触变得愈发简单易行，一般主体对患者信息的侵害可能性有增无减。刑法条文从积极制裁内部单位及其人员的角度出发，对医疗单位及其内部人员规定要从重处罚，以进一步遏制医疗单位及其内部人员侵犯患者信息的行为，但此举却不一定能够起到更好保护患者信息的效果。在网络技术的支持下，近年来侵犯患者信息犯罪态势高发，就在于相较于侵犯一般公民个人信息，外部单位和外部人员利用较低的互联网成本却能获得更高的经济利益。[32]在此情况下，其当然做出理性选择进而实施侵犯患者信息的犯罪。由此，侵犯患者信息的行为更加肆无忌惮。若不对患者信息进行更加全面的保护，其将处于更加不利的被侵犯的地位。

(二)统一侵犯患者信息犯罪行为主体的刑罚标准

针对侵犯更具敏感性和重要性的患者信息的行为主体，由于其造成了更为严重的法益侵害后果，在量刑上应当给予从重处罚，而无论其为内部单位及其工作人员还是外部单位或者人员。笔者认为，在侵犯患者信息犯罪这一问题上，对侵犯相同法益的行为要同等处罚，不仅要对内部单位及其工作人员从重处罚，也要对外部单位和人员从重处罚。

此外，患者信息相比于一般公民个人信息所代表的法益更加重要。患者信息一旦遭受侵犯，其将造成更加严重的后果。因此，侵犯患者信息犯罪的行为主体在量刑上较于侵犯公民个人信息的行为主体所受到的量刑处罚应当进一步从重。立法者应当重视对侵犯患者信息犯罪的刑法规制，在侵犯公民个人信息罪的量刑条款中，应单独列出一条针对侵犯特殊公民个人信息的行为主体给予从重处罚的条款，如对侵犯患者信息的犯罪主体予以从重处罚，其中特别是对侵犯患者遗传信息的行为主体严厉处罚。立法的进一步完善可以为司法人员在实践中定罪处罚提供更为明晰的法律处罚依据，可实现对侵犯患者信息的行为主体科处与其犯罪行为危害性相对等的刑罚，避免外部人员或单位实施侵犯患者信息犯罪之后，在现实中制造了严重的法益危害却仅受到较轻的刑事制裁。此举将导致行为主体在经过犯罪成本与犯罪收益的精密计算之后毅然选择侵犯患者信息，诱发其滋生侵犯患者信息的心理。因其仅需付出较小的犯罪成本、犯罪风险等代价便可带来更多的经济利益，犯罪分子更愿意为之冒险。这是有悖于立法者保护公民个人信息立法原意的。

五、结语

在信息大爆炸时代，患者信息一旦遭受不法侵犯，对国家、社会乃至患者本人必将产生较大负面影响。因此，保护患者信息的重要性比之公民个人信息保护尤甚。公安司法机关在惩处侵犯患者信息犯罪时，理应与侵犯公民个人信息犯罪有所区分。但在当前侵犯公民个人信息犯罪的司法实践中，由于尚未意识到患者信息之特殊性与重要性，导致对侵犯患者信息犯罪并未作出明确规定，由此导致公安司法机关在处理侵犯患者信息犯罪和侵犯公民个人信息罪时并未对两种信息作进一步区分。此举将会导致犯罪分子在实施侵犯公民个人信息行为时，在受到同等处罚的情况下，更多地去侵犯带来更大经济效益的患者信息。

本文通过对患者信息与公民个人信息的合理界定，进一步厘清了患者信息与公民个人信息的联系与区别，进而揭示出保护患者信息所具有的特殊意义和价值。笔者同时结合司法案例和裁判要旨，针对侵犯患者信息犯罪中出售、提供、窃取或者以其他方法非法获取患者信息等特定行为方式进行了细致分析，并促使“非法利用”患者信息行为方式得到认定，以此更好地保护患者信息。在此基础上，针对侵犯患者信息犯罪情节犯、行为主体量刑的司法适用问题进行了较深入的研讨。在笔者看来，应当准确划定侵犯患者信息犯罪“情节严重”的量刑标准。目前将侵犯公民健康生理信息等同于侵犯公民个人一般信息，仅划分为被侵犯“500条以上”才构成犯罪是明显不合理的，建议尽快制定相对较低的认定标准。在侵犯患者信息犯罪“情节特别严重”的量刑标准上，应摒弃单一的裁量标准，加入违法所得数额、信息用途、对社会的危害性以及对被害人产生的影响等因素和标准，使其更能突显患者信息在公民个人信息中的重要地位。在司法实践中，侵犯患者信息犯罪行为主体的认定范围应予以扩大，该罪的行为主体还应当包括非医疗的外部单位和外部人员，并且针对各行为主体均有予以从重处罚的现实必要性。此外，还应统一侵犯患者信息犯罪行为主体的刑罚标准。