侵犯公民個人信息罪的刑罰研究

■朱凡雨

（安徽大學法學院，安徽 合肥 230000）

一、刑法語境下公民個人信息概述

（一）個人信息在刑法中的定義

在刑法中，公民個人信息是由個人隱私與個人專屬信息組成的。個人信息不能僅僅局限于個人隱私，個人隱私是公民個人不愿意向公眾公開或者為公眾所知曉的秘密，即不會危害公共利益，自己所保有的對自己的私有領域、私人活動的自由支配的權利。公民個人所專屬的信息比如身份證信息、家庭住址、婚姻狀況等也都屬于公民個人信息的范疇。一般來說，一個人的種族、膚色、年齡、婚姻、家庭狀況、宗教信仰、思想觀點、興趣愛好、受教育的情況、財產狀況、血型、指紋、病歷資料、職業、家庭住址、電話號碼、電子郵件等都屬于他的個人信息[1]。

（二）刑法保護公民個人信息的依據

1.個人信息被侵害的嚴重性與現實性

對于個人信息的收集從古代到現代其實或多或少都是存在的，政府管理部門為了履行自身的對于社會公共事務的管理職能，經濟組織為了組織經濟活動，乃至市井中家長里短的傳播，都涉及到對公民的個人信息，但是在網絡還未興起時，這些信息傳播范圍的廣度與深度都是有限的，只要對于人員以及傳播的空間加以限制，個人信息傳播的危害較容易消除。隨著網絡社會的來臨，信息爆炸式的增長，網絡空間的人員通常是匿名交流，渠道更是多種多樣，個人信息量增加，個人信息甚至唾手可得，傳播人員的尋找難度加大，渠道的多樣性使得追查信息來源的難度也同樣加大，這些種種現實性，使得許多人都有著身為“透明人”的惶恐。

2.非刑法保護方式對于公民個人信息的保護具有一定的局限性

社會利益是多種多樣的，對于社會利益的保護也并非只有刑法這樣一種方式，刑法作為最為嚴厲的一種保護方式，只有在窮盡其他保護方式不足以保護所要保護的法益時才采取刑法這種保護方式。

在民法領域，雖然對公民的個人信息也有一定的保護，但是民事責任的承擔方式主要有恢復原狀、賠償損失等。對于侵犯公民個人信息適用恢復原狀，并不是十分適宜。因為信息具有非排他性，一個人對于信息進行占有與使用，并不是排斥他人對于信息的占有與使用，民事責任適用恢復原狀，不能起到很好彌補作用，只是事后來進行補救，并不能很好地對于公民的法益進行保護。

在行政法領域，行政主體與行政相對人是關于公民個人信息保護的兩大主體。對行政主體而言，對公民個人信息的收集是其正常運行的保證，政府為了正常的履行自己的職能不可避免地收集一些個人信息，這就極易發生公民個人信息泄漏的情形。但是，對于行政機關工作人員的行政處分，包括警告、記過、記大過等六種方式，這幾種方式不足以阻止侵犯公民個人信息的行為的發生。由此可見，對于公民個人信息的保護，必須探究刑法上的救濟措施，規范人們的行為，才能很好地保護公民的個人信息。

二、侵犯公民個人信息罪在刑法規定上的不足

（一）犯罪主體在刑罰適用上未做區分

侵犯公民個人信息罪的主體是一般主體，也就是所有人都可能構成本罪，是對《刑法修正案（七）》主體的擴充，但是做出這樣的變動，是為了適應社會生活的發展變化、經濟發展的需求，同樣也是基于當今對于公民個人信息保護的迫切性。這種改進是符合侵犯公民個人信息高發性與普遍性的現狀的，但是在刑法的規定上，并未明確指出一般主體與特殊主體適用刑罰有何不同，特殊主體由于其職業所形成的優勢地位，更容易對公民的個人信息造成侵害，有必要規定更高的法定刑來規范其行為，但是目前的法律并未做出明確的規定，具體在實踐中如何把握也并沒有給出切實的解決辦法。

（二）法定刑的設定不完善

1.有期徒刑的適用缺乏確切的標準

刑法上對侵犯公民個人信息罪規定的法定最高刑為七年有期徒刑，但是在實踐法律適用中不僅很少被判處到七年，而且基本上判處一年左右，與最高刑的設定相去甚遠，最高刑的設立并未體現出意義。比如在2016年4月，周濱城購買了浙江省學生信息193萬余條，并且將這些個人信息又出手，獲利6萬余元，卻僅僅被判處一年十一個月的刑期。這么多個人信息的泄露，對于學生們的人身安全也將會造成影響，個人信息不僅僅是一個個數據，泄露的背后也存在著種種風險，過低刑期的適用，會增加犯罪分子的氣焰，巨額的經濟效益也會使得犯罪分子不惜以違反刑法為代價，這些都將不利于公民個人信息的保護。

2.罰金刑的設定存在不足

侵犯公民個人信息罪，行為人實施犯罪行為絕大部分都是追求經濟利益，因此罰金刑的適用對于本罪而言至關重要，適用罰金刑有助于實現刑法的目的，威懾犯罪分子，避免其走上犯罪的道路。《刑法修正案（九）》對于本罪規定了罰金刑，現行的司法解釋對于本罪規定的罰金是處于違法所得一倍到五倍的罰金，但是對于何種情形下適用1倍或者什么情形下適用5倍都沒有具體的規定，在適用上很可能會造成巨大差異。假設犯罪人侵犯公民個人信息罪違法所得為20萬，判處的罰金金額是20萬以上100萬以下，給予法官的自由裁量權的空間較大，這對于法官的素質要求是很高的。

（三）本罪相關概念的內涵、外延不明

1.犯罪對象的定義未明確

公民的個人信息受到刑法保護，公民二字在憲法中是指具有中華人民共和國國籍的公民。對于公民一詞，是否應當進行擴大解釋存在疑問，也就是當法人的信息受到侵犯是否應當適用本罪的有關規定，同樣外國以及無國籍人是否受到我國刑法保護，這些問題法律并未明確說明。最后，關于死者的個人信息是否適用本罪的有關規定，也并未明確。犯罪對象的不明確，將會在適用該罪名時造成疑難。

三星電子一位高管表示，手機和電子產品兩大部門的利潤率不斷下滑，因此公司正在考慮將一些富余的人力資源轉移到研發中心。其中消費電子事業部的軟件工作人員正在被抽調到三星人工智能中心。

2.罪過范圍存在缺失

對侵犯公民個人信息罪而言，過失這一主觀心理態度是否構成本罪存在爭議，就現行刑法而言，對于侵犯公民個人信息罪的刑法條文的表述中，沒有存在“疏忽”或者“過失”這種過失犯罪鮮明地表述方式，此外“竊取”“非法出售”這些詞語的表述是屬于行為人積極的身體活動，而不是消極的動作，因此過失是不構成本罪的。但是，將過失排除于本罪之外，會限制本罪的適用范圍，疏忽大意這種心理態度是值得刑罰進行處罰的，將“過失”排除出本罪的主觀要件是不利于對公民個人信息的保護的，是對于一些犯罪行為的放縱。

3.本罪對于“情節嚴重”的認定存在不足

現行的司法解釋對于本罪的“情節嚴重”，分為兩種，一種是犯罪構成要件，一種則是“情節特別嚴重”，是屬于加重處罰的情形。本文重點探討的是第一種即屬于犯罪構成要件。但是對于在本罪中，何為情節嚴重，則存在著爭議。在學術界，給出的情節嚴重的表述是非常抽象的，比如表述為獲得利益較大，違法獲得信息數量較大，或者對于信息主體造成的財產損失較大。這些表述，在實踐中是比較難進行量化的，難以對司法實踐提供確切的指導。

三、域外公民個人信息的立法借鑒

(一)域外公民個人信息的法律規定

美國對于公民個人信息保護的規定散落在各個不同的判例以及立法之中，至今未形成一個統一的個人信息保護的法律，當然這也是英美法系自身的一種特點。美國是一個格外講求民主自治的國家，注重運用行業自律來維護公民的個人信息。所謂的行業自律也就是指以公司或者行業內部所規定的行業規章或者章程提供行為的指引，為個人信息的保護提供一種模式[2]。

歐盟在1995年時就出臺了《歐盟個人資料保護指令》。這部法令的應用范圍是比較廣泛的，適用主體有自然人、法人以及機關。對于敏感的信息采取的原則是禁止處理，結合以特殊情況下的處理。當個人信息受到侵犯時，對于比較輕的侵犯公民個人信息的行為適用罰款，同時很多的成員國也規定了刑事制裁的方式。總體上看，歐盟對于公民個人信息的管理比較全面。

日本對于個人信息進行保護的最大特色在于其明確區分了公部門與私部門。日本于1988年出臺了《行政機關計算機處理個人信息保護法》，這部法律適用只存在于公領域。此外在私領域，日本于1989年出臺了《非公務機關電腦處理個人信息保護綱要》[3]。由此可以看出，日本不僅僅有同時適用于兩者的規定還對兩個部門采取不同的立法模式，而且公領域與私領域也根據自身的特點制定了不同特別法。在對于個人信息的保護上，國家與公共團體是相互交流與配合的狀態，公共團體根據行業個人信息的特點，主管機關出臺相應的方針，政府也出臺相應的指導方針。

（二）域外公民個人信息法律保護的借鑒性分析

無論是英美法系還是大陸法系，對于公民個人信息的保護都是與本國法律體系相協調的，都是根植于本國的法律傳統，我們很難去評判到底哪種法律保護更好，我國可以對于各國的法律進行比較分析，取其精華，更好地指導我國的立法工作。具體而言，各國基本上都有專門的個人信息保護立法，而我國在2005年就有制定專門立法的建議稿，但是十幾年都未出臺專門的立法。關于公民個人信息保護的規定散落在各個法律規范中，因此，我國十分有必要出臺專門的個人信息保護法，明確規定對于各種侵犯公民個人信息的行為將會受到怎樣的刑罰處罰，以及相關的責任承擔。本罪的刑罰規定也可以借鑒日本刑罰的規定，即從源頭對于此種行為進行規制，以便減少此類的犯罪行為，刑罰所針對的對象主要是從事信息收集與利用的員工，對于他們在信息的收集與處理上的行為進行規范。同時也可以結合美國的規定，從行業自律出發，重視信息行業自身對于公民個人信息的保護[4]。

四、侵犯公民個人信息罪在立法上的完善

（一）根據犯罪主體確定刑罰

犯罪主體存在一般主體與特殊主體，特殊主體基于其特殊身份在行使職權以及履行職務的過程中，會接觸大量的個人信息，而且一旦將其所掌握的個人信息泄露危害也更大，而且特殊主體基于其職責更有責任有必要保護個人信息，法律應當對其有更高的要求，所以對于特殊主體犯本罪應當從重處罰。同時規定比較嚴厲的定罪標準，比如一般主體違法所得為5000元就可以認定為情節嚴重即構成本罪，那么對于特殊主體可以規定為2000元就可以認定為情節嚴重即構成本罪。可以參考日本，將對于公民個人信息的保護，分為公法領域與私法領域，兩者相互結合來更好地保護公民的個人信息。

（二）完善本罪的法定刑

1.有期徒刑的刑期合理劃分

我國刑法規定犯本罪判處三年以下有期徒刑或拘役，并處或單處罰金。“情節特別嚴重”的判處三年以上七年以下有期徒刑，并處罰金。但是如前所述，本罪在實踐中，基本上判處的刑期都是一年左右，刑法規定的有期徒刑的刑期失去其原有的意義。所以，刑期的適用應當有確切的劃分標準，比如根據獲利的多少結合具體泄露信息的數量，劃分具體的等級。

2.完善罰金刑

本罪的一大特點就是行為人大多數都是追求經濟利益的，那么適用罰金刑給予其經濟上的處罰也是可行的，也有助于預防犯罪。目前，罰金的金額是違法所得一倍至五倍，規定的幅度大小基本足以給予犯罪者懲戒，但是具體適用是存在一定問題的，比如目前需要明確罰金具體增加的幅度，即如果在法律規定中加上以50%的幅度增減罰金的數額，結合現有的一至五倍的規定則更為適宜。

（三）統一侵犯本罪的法律適用

1.明確本罪的犯罪對象

本罪的犯罪對象就條文本身而言僅僅包括公民的信息，那么對于法人、外國人、無國籍人以及死者的信息的侵犯是否屬于本罪，司法解釋沒有給予具體規定。就本罪而言，出于保護的全面性考慮，對外國人、無國籍人和死者的實施本罪所規定的危害行為，是屬于本罪的打擊對象。法人信息的保護有另外的罪名給予保護，也就是用侵犯商業秘密這個罪名來進行保護更加適當，沒有適用本罪的迫切性。外國人與無國籍人的信息受到保護是由于現在全球化的浪潮，各國之間的交往日趨頻繁，外國人與無國籍人的個人信息也會為我國行政機關或者一些企業所掌握，因此具有保護的必要性，可以對公民一詞做擴大解釋。對于死者，死者雖然不存在利用個人信息的要求，但是他的親屬們仍然有利用信息的可能，因此死者的信息屬于本罪的保護對象。

2.罪過中增加過失的規定

現行刑法中，對于侵犯公民個人信息罪的規定并未包括過失的內容，但是從立法上而言，是有必要增加過失的規定，并且可以對于故意與過失給予不同的刑罰處罰。基于目前現狀，網絡的快速發展，大數據時代的到來，無論是故意還是過失都是對于刑法所保護的法益的侵害，并且信息傳播速度的加快，對于公民個人信息侵害一旦發生就具有不可逆性，很難完全地消除影響。并且，外國對于侵犯公民個人信息罪包括過失的主觀態度已有先例。例如，《法國刑法典》中就有此規定，過失侵犯公民個人信息也會受到刑法的處罰，從事特定職業的禁止。這些對于我國的立法都有切實的借鑒作用。我國也曾發生過由于過失泄漏公民個人信息，比如12306網站對于公民信息的泄漏，影響范圍十分之廣。這足夠體現出由于過失侵犯公民個人信息罪的發生并非是一個孤立的事件而是具有一定的普遍性。在立法上增加過失的內容，也有助于提高公民對于個人信息保護的重視程度，可以在一定程度上進行事前的預防。

3.明確情節嚴重的認定

本罪的構成要件中“情節嚴重”的認定不應當僅僅局限于現行法律所規定的幾種因素，而應當結合多方面的因素。

侵犯公民個人信息的數量。侵犯公民個人信息罪是對公民個人信息權的侵犯，侵犯信息數量與情節嚴重呈現出正相關的關系[5]。侵犯信息的數量越大，則對社會的危害性也就越大。在我國刑法中，對于酒駕的規定，也是以數量來進行的劃分。刑法是作為保護公民的最后一道防線，它不可能也不應當對所有的行為都進行調整，所以設定一個起始的標準是必須的，在這個標準以上的行為才由刑法來進行調整。設定一個具體的數量標準，也有利于司法實踐中適用，簡單直觀。那這個標準該如何設定呢，應當結合不同地區的具體情況，所侵犯公民個人信息的性質，以及現在社會的發展情況綜合各個方面來制定具體的數量標準。

侵犯公民個人信息所獲取的利益。侵犯公民個人信息所獲取的利益分為財產性利益與非財產性利益。對于財產性利益是較為容易認定“情節特別嚴重”的標準，可以比照盜竊罪來進行設定，但是對于非財產性的利益是難以量化的，比如通過提供給他人公民的個人信息，從而換取升職或者到某單位任職等。應當將行為人在從事犯罪活動中，所獲得的財產利益與非財產利益綜合考慮，來認定行為的社會危害性[6]。