公民個人信息的刑法保護界限初探

(海南大學 法學院 海南 海口 570225)

據《最高人民檢察院第九批指導性案例》統計，網絡犯罪占我國犯罪總數近三分之一，并以每年近30%的幅度增長。[1]其中，侵犯公民個人信息犯罪呈現“井噴”態勢。因此，如何在利用信息的同時構筑完善的公民個人信息法律保護體系至關重要。本文擬結合相關刑事立法和司法解釋對該問題進行探討，希冀對完善公民個人信息的刑法保護體系有所裨益。

一、“情節嚴重”之司法難題：“獲利”要素的認定

根據2017年《關于辦理侵犯公民個人刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)第6條第1款規定，為合法經營活動非法購買、收受本解釋第五條第一款第三項、第四項規定以外的公民個人信息，獲利五萬元以上的，認定為“情節嚴重”。實踐中，企業非法購買、收受個人信息旨在通過對目標客戶的需求或者偏好進行分析，改進自身商品或者服務的質量，從而增加企業收入。但是，營業收入與“獲利”之間并不能等同，信息的獲取和使用僅僅是收入增加其中一個環節。因此，在司法實踐中確定“獲利”的數額則成為一個難題。

筆者認為，為了增強該條款的司法適用性，不至于成為僵尸條款，應當將“獲利”解讀為通過該非法所得的信息所獲得的經營收入。據此，凡是企業通過此類信息實施相關的經營活動所獲得的利益都可以視為“獲利”。

二、“違反國家有關規定”之解讀

根據《刑法修正案(九)》第253條之一的規定，“違反國家有關規定”屬于侵犯公民個人信息罪成立的前置性條款。《解釋》第2條進一步將該條款明確為“違反法律、行政法規、部門規章有關公民個人信息保護的規定”。學理上有觀點采用目的犯的路徑，即以非法目的出售、提供個人信息，解讀違反國家規定的內涵。[2]但是，“非法目的”內涵并不明確，最后仍需落實到“非法”內容的解讀上。根據“《網絡安全法》第42條規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”《解釋》第3條第2款規定：“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第253條之一規定的“提供公民個人信息”，但是經過處理無法識別特定個人且不能復原的除外。”據此，國家并不禁止正常的信息流通活動，這就為企業和行政機關利用信息留有空間。[3]

“違反國家有關規定”在司法適用中存在問題是條文間的協調。以法律責任為例，《消費者權益保護法》第56條：“經營者有下列情形之一，……，可以根據情節單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款，沒有違法所得的，處以五十萬元以下的罰款……。”而《網絡安全法》第64條規定：“網絡運營者、網絡產品或者服務的提供者違反本法第22條第三款、第41條至第43條規定，侵害個人信息依法得到保護的權利的，由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款。”據此，二者在罰款的數額解讀上存在沖突。既然“違反國家有關規定”屬于侵犯公民個人信息罪的構成要件要素，那么在刑事訴訟中，司法機關應當查明行為人觸犯了哪條前置性規定。但是，由于條文之間的不協調，導致司法機關在具體案件裁判中一直未釋明“違反國家有關規定”的內容。筆者在中國裁判書網輸入“侵犯公民個人信息罪”進行關鍵字搜索，共搜集到案例329個，其中2018年共計79份判決書，隨機抽取其中50判決書，法院在判決中基本未闡述違反了哪條前置性條款，可以說，該條款在司法實踐適用中一直處于虛置狀態，從證據的證明力方面，行為人的“有罪證明”存在瑕疵。

徒法不足以自行，為了消除該條款“法出多頭”的弊端，需要倒逼法律體系的自新。正如眾多學者所述，我國專門的信息保護法一直處于缺位狀態，個人信息的規范保護內容分散在不同法律、行政法規或者部門規章內，呈現出碎片化的特征，體系性的缺乏導致條文之間矛盾叢生，司法機關陷入適法不明的窠臼。[4]鑒于刑法設立本罪的法益是個人、信息業者和行政機關的信息權，應當設立專門的信息保護法，明晰各主體的權利、義務和法律責任。侵犯公民個人信息罪作為法定犯，以“行”入“刑”是必然的入罪邏輯，專門的信息保護法的設立能夠有效整合立法資源，為刑法的前置性條款提供持續的規范供給，以此滿足司法機關對“違反國家有關規定”的適用需求。