中英個人信息犯罪比較研究

陳夢尋

摘要：中英個人信息犯罪的差異表現在諸多方面。立法模式上，英國采罪群模式，《2018數據保護法案》共規定了13個罪名，可分為四大罪群;我國采單一罪名模式，《刑法》以侵犯公民個人信息罪統一規制買賣、提供與非法獲取個人信息的行為。定罪模式上，英國檢察官與ICO均有權起訴，警告是案件分流的重要措施;我國以司法解釋細化侵犯公民個人信息罪的追訴標準，“情節嚴重”的才構成犯罪。犯罪構成上，兩國在個人信息的定義、犯罪主體、行為方式、主觀過錯上存在異同。刑事責4～z_E，英國只配置了罰金刑，我國配置了自由刑和罰金刑。未來，個人信息犯罪將圍繞具體的個人信息權利、義務不斷完善。

關鍵詞：個人信息犯罪;侵犯公民個人信息罪;《2018數據保護法案》

中圖分類號：D924.3 文獻標識碼：A 文章編號：1673-8268（2019）06-0040-09

個人信息犯罪是一種犯罪類型，有狹義與廣義之分。狹義上，個人信息犯罪是指以個人信息為行為對象的犯罪。買賣個人信息，非法獲取、保留、披露、提供、使用個人信息，重新識別去標識化的個人信息等都屬于狹義的個人信息犯罪。廣義上，個人信息犯罪還包括其他破壞個人信息保護制度的犯罪。妨礙數據保護監管機關執法，未按規定處理敏感個人信息，未采取必要措施保證個人信息安全等都屬于廣義的個人信息犯罪。個人信息犯罪是典型的法定犯，其與前置法上的個人信息保護規定緊密相關，是個人信息保護法律制度的重要部分與最后防線。目前，我國《刑法》只規定了侵犯公民個人信息罪，用以懲治嚴重的非法獲取、提供與買賣個人信息的行為。如何看待我國的個人信息犯罪規定？未來個人信息犯罪將如何發展？本文試通過比較中英兩國的個人信息犯罪，獲取有益啟示。

比較法的價值在于拓展認識與促進反思。“世界上種種法律體系能夠提供更多的、在它們分別發展中形成的豐富多彩的解決辦法，不是那種局處本國法律體系的界限之內即使是最富有想象力的法學家在他們短促的一生中能夠想到的。”比較法要求平等看待他國法律，甚至要陌生化處理本土法律，祛除傲慢與偏見，以深度反思本土法律，形成新的法律共識。通過比較，能了解他國應對個人信息犯罪的不同策略，反思我國個人信息犯罪立法的不足，窺察未來個人信息犯罪的發展方向。相比其他國家，英國的個人信息犯罪更具研究價值。為保證脫歐前符合歐盟法律的要求，脫歐后個人信息保護仍有法可依，英國的立法既保持了一定的獨立性，又體現了一定的融合性。因此，英國的《2018數據保護法案》既反映了歐盟《通用數據保護條例》的新要求，又承繼了英國的數據保護傳統。就其刑事犯罪規定而言，《2018數據保護法案》既體現了個人信息保護領域的最新進展，又延續了《1998數據保護法案》中的詳細犯罪規定。

一、中英個人信息犯罪的立法概況

（一）英國的個人信息犯罪立法

迄今為止，英國一共經歷了三代數據保護法案，三代法案的出臺都受到了歐盟法律的直接推動。第一代法案《1984數據保護法案》受1981年《個人資料自動化處理之個人保護公約》的影響，于1984年7月通過，共計43條、4個附件。第二代法案《1998數據保護法案》受1995年《數據保護指令》的影響，于1998年7月通過，共計75條、16個附件。第三代法案《2018數據保護法案》受2016年《通用數據保護條例》和英國脫歐的雙重影響，于2018年5月通過，共計215條、20個附件。考慮到《1984數據保護法案》年代久遠，不切合當代實際，以下重點考察第二代、第三代法案。

與中國不同，英國的個人信息犯罪直接規定在數據保護法案中。《1998數據保護法案》共規定了12個罪名（見表1），《2018數據保護法案》共規定了13個罪名（見表2）。新通過的《2018數據保護法案》在《1998數據保護法案》的基礎上既有廢除，又有延續和發展。首先，新法案廢除了與數據處理登記有關的犯罪。雖然《通用數據保護條例》在歐盟范圍內取消了數據保護登記制度，但英國仍然保留了數據控制者向ICO登記的義務，數據控制者需要向ICO提供名稱、地址、員工數目、營業額等信息以確定其應當繳納的注冊費用①。未遵照登記事項不再構成刑事犯罪。其次，新法案延續了《1998數據保護法案》中的很多規定，非法獲取、披露個人數據，出售或要約出售個人數據，妨礙或不協助執法，虛假陳述，信息專員披露個人數據以及要求數據主體提供相關記錄以應聘或獲取服務等在新法案中仍是犯罪。最后，新法案設立了3個新罪名。新法案第171條規定，未經數據控制者同意，明知或輕率地重新識別去標識化的信息，構成犯罪;明知或輕率地處理前述被重新識別的個人數據，也構成犯罪。第173條規定，數據控制者及其員工為了避免向提供請求的有權主體披露信息，實施更改、污損、封鎖、刪除、毀壞或者隱瞞信息的行為，構成犯罪。

（二）我國的個人信息犯罪立法

2009年《刑法修正案（七）》新增第253條之一，設立了“出售、非法提供公民個人信息罪”與“非法獲取公民個人信息罪”。前者是指，“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重”;后者是指，一般主體“竊取或者以其他方法非法獲取上述信息，情節嚴重”。然而，隨著信息科技的發展，侵犯個人信息的違法犯罪行為愈發多見，非法買賣個人信息的行為日益泛濫，“出售、非法提供公民個人信息罪”的犯罪主體范圍過窄，難以應對現實形勢。為了遏制犯罪，2015年《刑法修正案（九）》修訂了第253條之一，取消了對犯罪主體身份的要求，擴大了本罪的規制范圍，并變更罪名為“侵犯公民個人信息罪”。違反國家有關規定，向他人出售或者提供公民個人信息、竊取或者以其他方法非法獲取公民個人信息，情節嚴重的，成立本罪。

2017年，最高人民法院、最高人民檢察院發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），進一步明確了“公民個人信息”的定義，同時指出“向特定人提供公民個人信息”，“通過信息網絡或者其他途徑發布公民個人信息”以及“未經被收集者同意，將合法收集的公民個人信息向他人提供的”，都屬于侵犯公民個人信息罪規定的“提供”，而違反國家規定，購買、收受、交換或在履職過程中收集公民個人信息的，屬于侵犯公民個人信息罪規定的“以其他方法非法獲取”。從罪名內容來看，我國的個人信息犯罪僅限于以公民個人信息為對象的犯罪，也即狹義的個人信息犯罪，英國的個人信息犯罪除了狹義的個人犯罪之外，還設立了很多維護個人信息保護制度以及維護數據主體利益的罪名，前者如“妨礙檢查或者不協助檢查罪”，后者如“禁止提供相關記錄罪”。妨礙或者不協助執行公務類的罪名意在保障有關機構的執行權，是為個人信息保護制度的有序運行提供保障，而“禁止提供相關記錄”則是為了保障數據主體的切身利益，禁止用人單位、雇主在招聘、續約的過程中要求雇員提供相關信息，或者禁止商家在向公眾提供商品或服務的過程中要求消費者提供相關個人信息，以防止個人信息的過度披露。

四、中英個人信息犯罪的犯罪構成

犯罪構成的比較僅在兩國規定重合范圍內可行，妨礙執法犯罪在我國依照擾亂公共秩序罪或妨害司法罪規制即可，侵犯訪問權與重新識別去標識化的個人數據犯罪在我國刑法上尚未規定，因此本部分僅涉及英國非法獲取、披露個人數據類犯罪與我國侵犯公民個人信息罪的比較。

（一）個人信息

就個人信息的定義而言，兩國的規定高度相似。英國《2018數據保護法案》第3條規定：“個人數據”是指與一個已識別或可識別的在世個人相聯系的任何信息，“可識別的在世個人”是指，能被直接或者間接地識別的在世的個人，尤其是參照了諸如姓名、身份證號碼、位置數據的識別符或者網絡標識，或是參照了與個人生理、心理、基因、精神、經濟、文化或者社會特性相關的因素。我國《解釋》第1條規定：“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。二者雖然具體表述不同，卻都以識別性為核心屬性，承認直接識別與間接識別;都有記錄性的要求，數據本身即有記錄之義，與“以電子或者其他方式記錄的”的含義是一致的;都將識別對象限于自然人。至于我國定義突出強調的“反應特定自然人活動情況”，不是與英國個人數據定義的根本差異，而是我國打擊個人信息犯罪的現實之需，無論是身份還是活動情況都為識別的應有之義。

就個人數據的判斷而言，英國法官在“相聯系”的理解上存有分歧。在Durant v FinancialServices Authority案中，奧爾德法官認為，僅在文件中提到數據主體，不足以認為其構成個人數據，關鍵看信息與主體之間是否具有持續的相關性與接近性。就此需要考慮兩點：第一，信息是否具有重要的傳記性（biographical），即信息是否超出了對推定數據主體參與的無個人涵義的事件或是未影響個人隱私的生命事件的簡單記錄;第二，信息是否具有聚焦性（focus），信息應當聚焦于推定的數據主體，而不是關于其他人或者其感興趣的其他事務①。奧爾德法官的限制論引發了巨大爭議，第29工作小組為澄清個人信息的含義發布了專門的意見書。意見書稱，當信息是“關于”這個人時，即可以被認為是與一個人相“聯系”的②。而在Durant案件之后，一部分英國法官接受了奧爾德法官的限制論，另外一部分法官則采取了更加廣泛的理解，在R v Rooney案中，法官甚至考慮了與案件相關的事實與情境（即個人之間特殊的關系），以確定相關信息可以識別出數據主體。英國有學者指出，盡管個人數據邊界的劃定十分復雜，個人數據仍是十分廣泛的，一旦滿足了識別的要求，事實上一切都有可能與個人相關而落人個人數據的范疇之內。

我國雖未專門就“聯系”要素作出規定，但“識別”與“反映”的措辭在某種程度上也是對信息與主體之間關系的一種要求。法律的解釋會受到政策影響，但應盡量保持法律適用的一致性，同樣是“聯系”的要素，英國的不同法院卻采取了完全不同的立場.不免導致民眾無法根據法律規定預測自己的行為后果，有損法的正義性。這啟示我們，在理解確定個人信息的邊界之時，要確立一定的原則，防止對個人信息進行不當的限縮解釋或擴大解釋。然而不可否認的是，在個人信息的認定上，英國的探索更加深入，除了在司法實踐中法官闡明了不同立場，ICO還發布了指南《確定何為個人信息》，將個人數據的認定劃分為8個步驟，為個人數據的判斷提供具體指導。我國關于個人信息邊界的研究才剛剛起步，還需基于我國的具體情況，借鑒英國的有益經驗，對個人信息要素進行分解細化，同時避免出現英國司法實踐中法律適用不一致的問題。

（二）犯罪主體

犯罪主體影響犯罪的社會危害程度。具有特殊資格或身份的主體實施犯罪，所獲刑罰可能高于同等情況下的一般主體。我國侵犯公民個人信息罪的犯罪主體是一般主體，但對特殊主體從重處罰。行為人對利用職務便利、工作便利獲取的信息負有一定的保密義務，行為人違反義務將個人信息出售或者提供給他人，較之一般主體不法含量更高，為實現罪刑適應，應當從重處罰。英國非法獲取或者披露個人數據罪、出售個人數據罪、要約出售個人數據罪均未就行為主體的量刑身份作出規定，“信息專員披露個人數據罪”也不是為了對信息專員從重處罰，相反，通過限定個人數據的范圍與規定辯護事由限縮了構罪范圍。

兩國都規定了個人信息單位犯罪。我國《刑法》第253條之一第4款規定，單位犯前三款罪的，對單位判處罰金，對相關責任人員依各該款定罪處罰。英國《2018數據保護法案》第198條規定，如果該法案下之罪行由法人團體實施，如果證明犯罪是在董事、經理、秘書或相關責任人員的同意、默許之下實施的，或者可歸因于以上人員的疏忽，那么以上人員與法人團體均構成相關犯罪，依法對其提起訴訟并判處刑罰。法人犯罪雖然依附于自然人的行為，但是將單位作為犯罪主體處罰能夠達到刑罰的預防目的，促使法人在決策之前權衡利弊，放棄實施犯罪行為。

（三）行為方式

《2018數據保護法案》第170條第1款、第4款規定，未經數據控制者同意，明知或輕率地獲取、披露個人數據或者未經數據控制者同意，繼續保留之前取得的個人數據，構成犯罪。第4款規定，將違反第1款規定所獲之個人數據出售者，構成犯罪。第5款規定，要約出售違反第1款規定所獲之個人數據，或者要約出售個人數據并隨后違反第1款規定獲取個人數據，構成犯罪。該條文一共規定了5種行為方式，即非法獲取、非法披露、出售、要約出售或繼續保留個人數據。我國《刑法》第253條之一第1款規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，構成犯罪;第3款規定，非法獲取公民個人信息，情節嚴重的，構成犯罪。該條文一共規定了3種行為方式，即非法獲取、提供以及出售個人信息。提供，可以是對特定人提供，也可以是通過信息網絡或者其他途徑發布個人信息，與非法披露意思相近。

兩國規定的區別主要在于要約出售個人數據、繼續保留個人數據是否構成犯罪。《2018數據保護法案》第170條第6款規定，在廣告中表明出售或者可能出售個人數據就是一種要約。與廣告相關的要約和要約邀請之間的界限是純學術上的，在該款之下，只要廣告中含有出售個人數據可能性的任何表示，都將被視為一種要約。我國刑法中雖未將要約出售規定為實行行為，但要約出售可以構成侵犯公民個人信息的預備犯。繼續保留個人信息是行為人合法取得了個人信息，但是未經數據控制者同意繼續保留了個人信息，從文義的射程來看，“繼續保留”超出了“非法獲取”可能性含義范圍.難以解釋為“非法獲取”的行為，因此不符合侵犯公民個人信息罪的構成要件。

（四）主觀過錯

侵犯公民個人信息罪的主觀心態僅限于故意，《2018數據保護法案》規定行為人實施非法獲取或披露個人數據行為時的主觀心態包括明知和輕率。在英國刑法中，明知是指意識到某種行為事實已經存在或將要發生，或者懷疑某種行為事實已經存在或將要發生但不采取確認措施，仍然實施行為;輕率是指意識到危險事實已經存在或者將要發生而實施行為，或者意識到危害結果可能發生無正當理由冒險實施行為。一般而言，有意識地冒險實施犯罪行為時，不會在乎危險是否會現實化，但是即便不希望危險發生，有意識地冒險行動就已經構成了輕率。而在我國刑法中，直接故意是明知自己的行為必然會或可能會發生危害結果，而對危害結果的發生持希望態度。間接故意是指明知自己的行為可能會發生危害結果，而對危害結果的發生持放任態度，對結果是否發生滿不在乎，在這點上，間接故意與輕率存在重疊。當行為人認識到危害結果可能發生，但是不希望或者排斥、反對危害結果發生時，在我國刑法中屬于過于自信的過失，在英國法中仍然歸于輕率。比較而言，在規制非法獲取或披露個人信息的行為時，英國設置了更低的人罪門檻。

五、中英個人信息犯罪的刑事責任

就非法獲取、非法披露、出售個人信息犯罪而言，無論是從刑種上還是從刑度上，我國的刑事責任都明顯高于英國。英國此類犯罪的刑罰僅限于罰金。我國刑法則規定，情節嚴重的，處3年以下有期徒刑或者拘役、并處或者單處罰金;情節特別嚴重的，處3年以上7年以下有期徒刑，并處罰金。因此，觸犯本罪最高可判7年有期徒刑，并處罰金。

英國試圖為個人信息犯罪配置監禁刑，但是經過多次努力沒有成功。《1998數據保護法案》第60條規定，除“妨礙或不協助執行搜查令罪”，凡本法之罪，可循簡易程序定罪，也可循公訴程序定罪，但僅能判處罰金，刑事法院沒有數額限制，治安法院不得超過5 000英鎊。2006年，信息專員向國會強烈建議增加監禁刑.指出為了從根本上打擊個人數據的非法交易，必須增加監禁刑適用的可能性，讓公眾慎重考慮自己行為的后果。英國政府接受了信息專員提高刑罰的建議，在2008《刑事司法和移民法》第77條中賦予了英國大臣依法令對違反第55條的行為規定監禁刑的權力。根據該規定，治安法院最高可以判處12個月監禁，刑事法院最高可以判處2年監禁，但是沒有進一步制定法令將該條付諸實施。

《1998數據保護法案》過于輕緩的刑罰，導致檢方依據其他能夠判處監禁的條款起訴成為一種趨勢。在R v Hardv一案中，警官Hardv因披露了全國警察電腦網中的個人信息，被以普通法上的濫用職權罪提起訴訟，法院判處28周監禁暫緩兩年宣判并義務勞動300個小時，檢察官認為量刑畸輕遂提起上訴。上訴法院經審理認為，應當立即對行為人判處監禁，為不正當目的進入全國警察電腦網獲取信息的行為包含了故意，應當讓警察清楚如果實施類似犯罪將面臨嚴重后果，考慮到行為的嚴重性以及刑罰的威懾作用，對其判處18個月監禁①。相比之下，依照《1998數據保護法案》處理的案件明顯過于仁慈了，目前在ICO網站上公布的起訴案件中，被判處刑罰最高的是Minty，Leong and Craddock，三被告分別在不同時間受雇于一家租車公司，共謀將公司系統中的個人信息泄露給索賠管理公司用于人身損害索賠，并在兩年半的時間內非法獲取了數以萬計的記錄，而法院最后判決Minty兩年內繳納7 500英鎊罰金，判決Leongl2個月有條件釋放，判決Crad-dockl2個月有條件釋放①。兩種相距甚遠的刑罰后果，使得采取其他替代罪名規定起訴時更能打擊犯罪，實現刑罰目的。《1998數據保護法案》輕緩的刑罰最終引致其罪行規定虛置。而在新頒布的《2018數據保護法案》中，所有犯罪的刑罰仍僅限于罰金，并未配置任何監禁刑，采用替代條款起訴嚴重的個人數據犯罪將仍是英國司法的必然選擇。

六、中英個人信息犯罪比較的啟示

通過比較中英兩國的個人信息犯罪，本文得出如下啟示。

科技進步對法律規制提出了新要求，這在個人信息領域表現得極為明顯。不到四十年間，英國的數據保護法案經歷了三次更迭。這種速度是信息時代帶給法律的新挑戰，一旦技術實現了跨越，舊法律難以應對新興犯罪，便對立法產生了需求。在這樣的背景之下，是否有必要恢復附屬刑法的實質功能值得思考。當刑法法典化走到極致，雖極大降低了定罪量刑的隨意性，但也阻隔了刑事法與前置法的銜接互動。司法解釋雖然通過轉化部分前置法規定②，在一些問題上實現了刑事法與非刑事法的銜接，部分填補附屬刑法形式化后的空缺，但是，司法解釋的作用始終是極其有限的。從功能上看，司法解釋只能起到補充解釋刑法的作用，附屬刑法的創制、修改功能仍無從發揮;司法解釋從范圍上看，它在解釋空白刑法規范時，只能將個別的前置法規定引入刑法條文中，填補構成要件的空缺，采用的是點對點的對接模式，與此不同，實質化的附屬刑法規范直接規定在前置法中，與前置法中的一般規定共用語詞、語境，采用的是一種點對面的融合模式。個人信息犯罪只是一個代表，反映了信息時代對法律更新速度的要求。為了保證刑法典的穩定性，防止頻繁的法律變更損害刑法的權威.同時為了加強刑法與前置法的銜接互動，便利罪刑規定的理解與適用，或許附屬刑法實質化才是有效的應對之道。

具體到個人信息犯罪中，侵犯訪問權的犯罪與重新識別去標識化的個人數據的犯罪，顯示了未來個人信息犯罪的發展方向。訪問權（right ofaccess）在歐盟已經成為數據主體的個人信息權的重要子權利，與更正權、被遺忘權、可攜權、限制權并列。《2018數據保護法案》將對行使訪問權的數據主體不履行披露義務，與迫使數據主體行使訪問權的行為犯罪化，強化了對個人信息權的保護，同時也進一步肯認了個人信息權的法律地位。這種立法在某種程度上預示著，隨著個人信息權理論與實踐的發展，打擊個人信息犯罪保護的法益將日益細化，從個人信息權細化至個人信息權的子項權利細化。在此基礎上，個人信息犯罪體系將圍繞具體的權利、義務不斷拓展完善，我國個人信息犯罪也將循此路徑向前發展。重新識別去標識化的個人數據被犯罪化，是為了保障去標識化處理的有效性。去標識化是通過技術處理使在不借助額外信息的情況下，無法識別數據主體，意在提高數據處理的安全性，避免不必要的數據泄露。個人信息邊界具有流動性，若外界信息足夠充分，總能結合去標識化的信息完成識別。因此，相對于規制流動的個人信息而言，禁止非法的重新識別行為更加可行、有效。重新識別行為在某種意義上也是一種非法獲取行為，但是受文義限制，不能將“重新識別”解釋為“非法獲取”，若日后在我國有打擊重新識別行為的現實需要，可將第253條之一的第1款擴充為“重新識別去標識化信息、竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰”。