論侵犯公民個人信息犯罪的司法適用——以《刑法修正案(九)》為視角

昂思夢

(華東政法大學 法律學院，上海 200042)

?

論侵犯公民個人信息犯罪的司法適用
——以《刑法修正案(九)》為視角

昂思夢

(華東政法大學 法律學院，上海 200042)

摘要：《刑法修正案(九)》對侵犯公民個人信息犯罪進行了修正，將本罪的主體修改為一般主體，并規定對特殊主體要從重處罰，擴大了對公民信息的保護范圍。但“公民個人信息”、“情節嚴重”、“違反國家有關規定”三個概念尚存爭議，對此，應盡快出臺相關司法解釋，對公民個人信息的范圍進行界定，明確本罪“情節嚴重”的含義，同時，完善前置性行政法律法規的設立，處理好刑法和前置性行政法規的關系。

關鍵詞：侵犯公民個人信息犯罪;《刑法修正案(九)》;司法適用

當今社會是一個信息高速流通的時代，全面保護公民個人信息，維護信息安全具有重要的意義。在大時代背景下，《刑法修正案(七)》首先規定了出售、非法提供公民個人信息犯罪，本罪的設立在一定程度上來說對于打擊侵犯公民個人信息犯罪，保護公民個人信息安全起了不可忽視的作用。2015年8月29日《刑法修正案(九)》針對侵犯公民個人信息犯罪的新情況，進一步完善刑法有關公民個人信息犯罪的規定，對侵犯公民個人信息犯罪進行了修改，加強了對公民個人信息的保護。

一、侵犯公民個人信息犯罪司法認定困境

信息時代侵犯公民個人信息犯罪頻繁發生，保護公民個人信息，將侵犯公民個人信息行為納入刑事法網打擊范圍具有現實意義。然而，司法實踐中侵犯公民個人信息犯罪的認定存在一些困境：

其一，公民個人信息范圍界定不清。在侵犯公民個人信息罪的犯罪構成中， “公民個人信息”的范圍尚未出臺相關司法解釋，為司法實踐中打擊侵犯公民個人信息犯罪帶來了困境。理論界對于公民個人信息范圍也存在多種學說，包括主觀說、客觀說、折中說、擇一說[1]。公民個人信息范圍難以認定與個人信息的內在屬性息息相關。一方面，隨著時代的發展，公民個人信息有不同的意義，涵蓋范圍也發生了變化。另一方面，有些公民信息不僅僅具備個人識別的“私領域”功能，更承載了一定的社會價值、利益，具有“公領域”職能，如何在不損害更大范圍內公共利益的同時保護公民的個人信息也是一道難題。

其二，“情節嚴重”含義不明。侵犯公民個人信息犯罪中，對于“情節嚴重”的含義立法者并未給出確切的判斷標準，這為司法實踐認定侵犯公民個人信息犯罪帶來模糊性。公民個人信息的價值判斷是個主觀過程，“甲之砒霜，乙之蜜糖”，相同的信息對不同人而言意義不同，故而對于“情節嚴重”難以確立一個具體的標準。我國幅員遼闊，東西部地區經濟發展差異較大，同一信息在不同地域意義也不盡相同，這也為“情節嚴重”的判定帶來一定難度。

其三，前置性行政法規的空缺。侵犯公民信息犯罪是法定犯，具有二次違法性，也就是說刑法處罰侵犯公民信息犯罪的前提是成立行政違法[2]。侵犯公民個人信息犯罪中“違反國家規定”應與《刑法》第96條的規定保持一致，但我國《個人信息保護法》尚未出臺，現今也沒有形成完整的關于個人信息保護的法律法規，前置性法規的留白，給刑法的適用帶來一定障礙。

二、《刑法修正案(九)》對侵犯公民個人信息犯罪修正評述

《刑法修正案(九)》對侵犯公民個人信息犯罪的修改主要表現為對主體的修正。《刑法修正案(九)》擴大了侵犯公民個人信息罪的主體范圍。原刑法第253條之一出售、非法提供公民個人信息罪的主體為特殊主體，即國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，而《刑法修正案(九)》將本罪主體擴展至一般主體，包括一切向他人出售或者提供公民個人信息的人員。本罪主體范圍的擴大完善是《刑法修正案(九)》的一大亮點，通過擴大犯罪主體范圍，符合刑事法網嚴而不厲的立法要求，有助于全面地保護公民個人信息進而維護公民的人身、財產安全。主要有以下兩個方面的原因：

其一，將本罪主體擴展至一般主體是與司法實踐相結合的必然結果?！缎谭ㄐ拚钙摺穼⑶址腹駛€人信息的行為納入刑事打擊范圍。當時立法者將其主體限制為特殊主體是因為較之一般人，此類特殊主體更易獲得公民個人信息，且此類主體代表國家履行職務，出于對相關工作人員的恪守職業操守和廉潔性需求，對此類主體嚴格要求本無可厚非[3]。然而，要全面保護公民個人信息，維護公民的人身、財產權利，僅僅將特殊主體納入本罪打擊范圍是遠遠不夠的。事實上，能夠大量收集公民個人信息的單位遠不局限于上述機關單位，其他單位如電商網站、網絡游戲公司、律師事務所等也同樣能夠接觸大量的公民個人信息。上述行業中，由于部分尚屬于新興產業，對員工規范可能相對也較差些，實際生活中其實施出售、提供公民個人信息的行為更為普遍，社會危害性也更加嚴重[4]。因此，對于那些一般主體合法獲得公民個人信息后實施的侵害個人信息的行為也應當納入刑法的規制范圍。否則，可能存在實施相同的行為但由于主體身份的差異進行罪與非罪的不同評價，這將直接導致規范的不平等與打擊面的失衡，也違背了打擊侵犯個人信息犯罪和保護公民合法權利的立法初衷。

其二，將本罪主體擴展至一般主體順應國際刑事立法的發展趨勢?？疾煊蛲饬⒎?，侵犯個人信息犯罪的主體主要包括兩類：一類是公共管理部門及其工作人員,另一類是一般私營單位及其工作人員。但大多數國家或地區不加區分地將侵犯個人信息犯罪適用于上述兩類主體，如波蘭、奧地利、阿根廷。也有的是在同一部法律中的不同章節分別對上述兩類主體實施的侵犯個人信息的行為加以規制，如德國和我國臺灣地區。還有的是在不同法律中對公共管理部門和私營單位實施相關行為進行規定的，如日本、加拿大等國家[5]。但上述國家或地區均在制裁規范中規定了個人妨害公共機關處理個人信息業務的刑事處罰?？梢姡瑢⒁话阒黧w納入個人信息犯罪打擊范圍是國際刑事立法的一大趨勢，此次《刑法修正案(九)》的修改符合國際刑事立法的發展潮流。

三、侵犯公民個人信息犯罪司法適用

《刑法修正案(九)》對于侵犯公民個人信息犯罪的主體修改擴大犯罪主體范圍，符合刑事法網嚴而不厲的立法要求，有助于全面地保護公民個人信息進而維護公民的人身、財產安全。但司法實踐中對于“公民個人信息”、“情節嚴重”、“違反國家規定”尚存爭議，對此，應盡快出臺相關司法解釋，對公民個人信息的范圍進行界定，明確本罪“情節嚴重”的含義，同時，完善前置性行政法律法規的設立，處理好刑法和前置性行政法規的關系。

(一)“公民個人信息”范圍之界定

目前，在侵犯公民個人信息犯罪構成中，“公民個人信息”的范圍尚未出臺相關司法解釋，為實際中打擊侵犯公民個人信息犯罪帶來了爭議，鑒于此，應加快發布相關司法解釋，確立公民個人信息的內涵。

理論界關于刑法所保護的個人信息，存在四種學說，即主觀說、客觀說、折中說、擇一說[6]。主觀說認為，個人信息就是指與行為人密切相關的，行為人主觀上存在保護意思的信息?？陀^說認為，個人信息是指存在一定價值，一般人均會采取相關措施進行保護的信息。折中說認為，所謂個人信息，需客觀上存在保護價值，值得保護，同時，也需行為人主觀上具備保護意思的信息。擇一說認為個人信息是指客觀上存在保護價值，或者行為人主觀上具備保護意思的信息。筆者認同折中說，主觀說、客觀說、擇一說都過于片面，主觀說只考慮行為人的主觀意識，而不考慮信息本身是否需要值得刑法保護，容易陷入主觀歸罪的誤區?？陀^說不考慮行為人的主觀意志，忽略了相同信息可能對不同人有不同的價值，甲之砒霜，乙之蜜糖，每個人都是獨立的客體，不同人對相同信息不同對待實屬正常，客觀說不考慮行為人的主觀意志，容易陷入客觀歸罪的泥沼。折中說既考慮了行為人對于信息的保護意識，又衡量了信息本身的價值存在，主客觀相統一，更加全面、合理地保護了公民的個人信息。

公民個人信息兼具人格權和財產權雙重屬性。一方面，公民個人信息存在較強的人身依賴性和專屬性，這些信息的泄露，會對公民的精神帶來一定的困擾和傷害，公民有權抵御外界利用自己的個人信息影響自己的生活，侵入私人隱私地帶。另一方面，公民個人信息存在一定的財產價值和經濟利益，具有財產權的屬性。對于公民個人信息的界定，要考慮公民個人信息權利，維護信息自由流動，同時，還要考慮刑法的謙抑性，不能隨意擴大公民個人信息的保護范圍。因此，對于公民個人信息范圍的界定，應該考慮如下幾個因素：

第一，公民個人信息的本質特征是要具有直接識別信息主體的功能。信息主體需為自然人，公民個人信息的所有權屬于公民本人而非信息用戶，信息用戶僅在公民的授權下享有公民個人信息的使用權。公民個人信息需具有獨立識別主體的功能，換句話說，該信息可用于直接、獨立識別出信息主體，其他不能直接識別出信息主體的不屬于公民信息的范疇，如單純血型信息不屬于公民個人信息的范疇，因只用血型信息無法直接識別出信息主體，除非存在DNA片段等輔助信息。

第二，公民個人信息需有被刑法保護的價值。值得刑法保護的信息需要有較高的價值度，需對公民個人和公共社會秩序有所影響。因為我國關于保護公民個人信息的民事法規和行政法規尚未出臺，直接動用刑法來保護公民個人信息，本身就已經跳躍了民法和行政法的保護，故而需要信息有較高的價值度。因此，身高、體重、年齡等單純反映公民個人特征的信息不應該納入刑法所保護的公民個人信息的范疇。

第三，公民個人信息需為公民不愿為外界知曉的個人信息，個人隱私如病史、獎懲記錄等屬于公民個人信息[7]。刑法保護公民個人隱私和生活不被外界干擾，故而，公民隱私當然需要納入公民個人信息中予以保護。再者，隱私等公民不愿為外界知曉的個人信息較之商業秘密與公眾利益聯系更為緊密，我國刑法已經規定了對于商業秘密的保護，出于對刑事法律體系的平衡，也應該保護公民的隱私，將其納入公民個人信息的范疇。相反，單純的公共生活、公共秩序信息不屬于侵犯公民個人信息犯罪的保護對象，因其已脫離了公民個人信息的范疇。

(二)“情節嚴重”標準之厘定

侵犯公民個人信息犯罪中何謂“情節嚴重”？立法者并未給出確切的判斷標準，這為司法實踐對侵犯公民個人信息犯罪的認定帶來模糊性。公民個人信息的價值判斷是個主觀過程，“甲之砒霜，乙之蜜糖”，相同的信息對不同人而言意義不同，故而對于“情節嚴重”難以確立一個具體的標準。因此，有學者倡導為維護刑法的嚴肅性，保證國民預測可能性，應刪除本罪中“情節嚴重”的表述。對此，筆者持反對意見，侵犯公民個人信息犯罪中規定“情節嚴重”為入罪條件是有必要的。本罪規定的“情節嚴重”屬于構成要件要素表明只有實施的侵犯公民個人信息的行為達到情節嚴重的程度才構成犯罪，我國刑法條文對于犯罪的規定采取既定性又定量的方式在其他要件齊備的前提下達到“情節嚴重”的程度，才符合本罪的犯罪構成，同時也有利于劃清行政違法與刑事犯罪的界限。盡快明確“情節嚴重”標準，對于侵犯公民個人信息犯罪的司法適用有指導意義。

在司法適用中，關于“情節嚴重”的認定可以參考以下幾個方面的因素：第一，以公民人身、財產權利受損害的程度作為“情節嚴重”的認定標準。換句話說，對于“情節嚴重”的認定可以參考出售、非法提供公民個人信息的行為是否導致他人人身傷害、死亡，是否干擾他人正常生活，對他人名譽的侵犯程度，以及給他人帶來的財產損失數額等情形。第二，可以以信息用途來認定是否達到“情節嚴重”。也就是說在實施侵犯公民個人信息的行為時，行為人是否明知或者應該知道此信息將用于實施違法犯罪等具有一定社會危害性的行為。第三，若不存在上述情節，可以以行為人的主觀惡性、危害后果以及行為造成的影響來判斷是否構成“情節嚴重”[8]?？梢愿鶕袨槿耸欠裥纬赏暾姆缸锝M織網絡，出售、非法提供公民個人信息的數量、次數，獲利金額，以及出售、非法提供公民個人信息的空間范圍，是否流往境外等來判斷把握。

(三)“違反國家規定”之理解

侵犯公民個人信息犯罪中“違反國家規定”應與《刑法》第96條的規定保持一致。但我國《個人信息保護法》尚未出臺，現今也沒有形成完整的關于個人信息保護的法律法規，前置性法規的留白，給刑法的適用帶來一定障礙。對于此情況存在兩種解決方式：其一，刪除侵犯公民個人信息犯罪中的“違反國家規定”，盡可能刪除刑法中的空白罪狀，取消授權性條款，維護刑法的嚴肅性，防止行政法律法規介入公民的憲法權利領域，更全面地保護公民權利，落實憲法的規定。其二，加快前置法規制定步伐，處理好刑法和前置性行政法規的關系，將刑法的實施落到實處。

筆者同意上述第二種方式，應盡快出臺前置性法律法規，處理好其與刑法的關系。首先，侵犯公民個人信息犯罪是法定犯，法定犯的特征是具有雙重違法性，刑事違法的前提是存在行政違法，即便刪除了本罪構成要件中的“違法國家規定”，也需盡快出臺前置性行政法律法規，才能實現法律法規對此問題的有效銜接。其次，對于法定犯而言，有些具體構成要件及其含義由行政法進行規定較好，若均由刑法進行規定會顯得過于煩瑣，使整個刑事法律體系過于龐大冗長，有悖于刑法簡明扼要的立法需求，不利于刑法國民預測可能性功能的實現。再次，缺乏前置性行政法律法規，會顯得刑事立法依據不足，根基不穩。全面保護公民個人信息，需要刑法和其他法律法規相輔相成，若不存在前置性行政法律法規，會降低刑法威信，使刑法立法依據不足。最后，無行政法規作為緩沖，直接由最后一道屏障——刑法進行處理，跨度過大，會給社會公眾造成“要么不追究，要追究就動用刑罰”的誤解。

基于上述理由，盡快出臺《個人信息保護法》，完善侵犯公民個人信息犯罪的前置性法律法規迫在眉睫。要全面保護公民個人信息安全，僅僅依靠刑法是不夠的，還需建立健全相應的民事、行政保護機制，實現民事、行政保護與刑事保護的對接。在民事領域，我國目前僅僅靠侵權責任法保護公民個人信息安全是不夠的，可以將出售、非法提供公民個人信息的行為納入違約領域。承認信息主體、收集者、適用者間的合同關系，一旦出現出售、提供公民個人信息的行為，即可因違約要求其進行損害賠償。在行政領域，應盡快出臺《個人信息保護法》，完善對公民個人信息安全的行政保護。

尚未出臺行政規范，就動用刑法進行規制的現象在我國法律創設中屢見不鮮。先制定刑法處罰，從而逼迫相關部門出臺對應的前置性行政法律法規不失為一個提高立法效率的方法。然而，這種“倒逼”式立法也存在一定的缺陷。一方面如前文所述，會降低刑法威信，使刑事立法顯得依據不足。另一方面，因先制定刑法，再出臺前置性行政法律法規所帶來的時間差，會產生一定的法律沖突問題，使得執法效果大大降低，“倒逼”式立法會給處理好刑法和前置性行政法律法規的關系帶來一定的難度。因此，在今后的刑事立法活動，要盡量避免“倒逼”式立法。

參考文獻:

[1]趙秉志.公民個人信息刑法保護問題研究[J].華東政法大學學報,2014,(1).

[2]凌鴻.非法獲取公民個人信息罪的認定[N].人民法院報,2010-06-17.

[3]劉憲權,方晉曄.個人信息權刑法保護的立法及完善[J].華東政法大學學報,2009,(3).

[4]吳萇弘.個人信息的刑法保護研究[M].上海：上海社會科學院出版社，2014：156-162.

[5]周漢華.個人信息保護前言問題研究[M].北京：法律出版社，2006：227-228.

[6]王昭武,肖凱.侵犯公民個人信息犯罪認定中的若干問題[J].法學,2009,(12).

[7]張玉潔.論“非法獲取公民個人信息罪”的司法認定——基于190件案例樣本的分析[J].華東政法大學學報,2014,(6).

[8]趙秉志.刑法修正案最新理解適用[M].北京：中國法制出版社，2009:114-126.

[責任編輯:范禹寧]

中圖分類號：DF624

文獻標志碼：A

文章編號：1008-7966(2016)02-0031-03

作者簡介：昂思夢(1992-)，女，云南昆明人，2014級刑法學專業碩士研究生。

收稿日期:2016-01-05