項 谷，張 菁，薛阿敏

（上海市人民檢察院第一分院，上海 200052）

2009年2月28日起施行的《刑法修正案（七）》增設(shè)了《刑法》第253條之一的出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，2015年11月1日起施行的《刑法修正案（九）》對該罪名進行修訂，將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪整合為“侵犯公民個人信息罪”，并對罪狀進行了修改完善。近年來，隨著社會經(jīng)濟的快速發(fā)展和信息網(wǎng)絡(luò)的廣泛普及，侵犯公民個人信息犯罪呈高發(fā)多發(fā)態(tài)勢，并由此滋生大量的電信詐騙、網(wǎng)絡(luò)詐騙、敲詐勒索、綁架等犯罪，社會危害性大，嚴重影響人民群眾的安全感和社會的和諧穩(wěn)定發(fā)展。2016年公安部開展了打擊整治侵犯公民個人信息犯罪專項行動，取得了明顯成效。但是，在查辦案件過程中，因刑法定罪量刑標準較為原則所帶來的查證認定難、法律適用難等問題，一定程度上影響了案件的辦理。為保障刑法的準確、統(tǒng)一適用，最高人民法院、最高人民檢察院于2017年5月8日出臺了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），全面、系統(tǒng)地規(guī)定了侵犯公民個人信息犯罪的定罪量刑和有關(guān)法律適用標準，對司法實踐中的困惑和難題予以積極回應(yīng)。本文結(jié)合上海司法實踐，就適用《解釋》的重點和難點作一分析和探討，以期為司法辦案提供參考。

一、如何理解“公民個人信息”的分類和定罪量刑標準

（一）“公民個人信息”的分類

為了全面保護公民個人信息，《解釋》第一條明確了“公民個人信息”的范圍包括身份識別信息和活動情況信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者特定自然人活動情況的各種信息，包括姓名、身份證號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。同時《解釋》第五條根據(jù)信息的重要程度、敏感程度，即信息對公民人身、財產(chǎn)安全的影響程度，將“公民個人信息”分為三類：第一類是特別敏感信息，包括行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息；第二類是相對敏感信息，包括住宿記錄、通信記錄、健康生理信息、交易信息；第三類是其他公民個人信息，即除了第一、二類信息以外的其他公民個人信息。

公民個人信息的類型繁多，作分類是為了準確適用定罪量刑標準，以更好地體現(xiàn)罪責刑相適應(yīng)原則。但實踐中有些信息可能存在類型競合的情況，如股票交易信息，作為交易信息，一般歸類為相對敏感信息，但也可能反映公民的個人財產(chǎn)狀況，則符合特別敏感信息的特征。對于這類信息如何正確分類，我們認為，應(yīng)當結(jié)合信息用途、對信息主體人身及財產(chǎn)安全的影響程度等因素綜合判斷。仍以股票交易信息為例，如該信息僅是某一只特定股票成交情況的部分記錄，不能全面反映公民個人財產(chǎn)狀況的，一般應(yīng)認定為相對敏感信息。如信息能完整反映公民私人賬戶絕大多數(shù)股票交易的流水記錄，并依據(jù)交易信息能大致判斷公民個人財產(chǎn)狀況的，則應(yīng)當認定為特別敏感信息。如該股票交易信息僅僅是作為分析投資趨勢的工具，則不應(yīng)納入保護公民個人信息的范疇討論。

（二）侵犯公民個人信息罪的定罪量刑標準

刑法將“情節(jié)嚴重”規(guī)定為侵犯公民個人信息罪的入罪要件，將“情節(jié)特別嚴重”規(guī)定為法定加重情節(jié)。為更加精準打擊侵犯公民個人信息犯罪，《解釋》在細化標準方面做足了功夫，除了最為常見的“信息類型和數(shù)量”外，還將“違法所得數(shù)額”“信息用途”“主體身份”“前科情況”列入“情節(jié)嚴重”的認定標準，每一類中又規(guī)定了具體的標準。①張智全：《用精細標準精準打擊信息犯罪》，載《法制日報》2017年5月17日。對法定刑升格也規(guī)定了“數(shù)量數(shù)額”和“嚴重后果”兩個具體標準。

1.“情節(jié)嚴重”的“信息類型和數(shù)量”標準。分類信息入罪所采用的數(shù)量標準，在司法實踐中最為常用，需要我們予以重點關(guān)注?！督忉尅返谖鍡l第一款針對不同類型的信息分別設(shè)置了相應(yīng)的入罪標準，即特別敏感信息50條以上，相對敏感信息500條以上，其他信息5000條以上。同時對未達到上述數(shù)量的情況規(guī)定了按相應(yīng)比例合計認定。②《解釋》第五條 非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應(yīng)當認定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴重”：……（三）非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的；（五）非法獲取、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的；（六）數(shù)量未達到第三項至第五項規(guī)定標準，但是按相應(yīng)比例合計達到有關(guān)數(shù)量標準的；……如某個案件涉及特別敏感信息20條，相對敏感信息200條，其他信息1000條。按照1:10：100的倍比關(guān)系進行折算后，1000條其他信息相當于10條特別敏感信息，200條相對敏感信息相當于20條特別敏感信息，累計相當于50條特別敏感信息，故可以追究刑事責任。

2.“情節(jié)嚴重”的其他認定標準。分別為：一是違法所得數(shù)額。侵犯公民個人信息的行為往往出于牟利的目的，故《解釋》將違法所得5000元以上的認定為“情節(jié)嚴重”。二是信息用途。信息用途不同，對權(quán)利主體的利益侵害程度也會存在差異?；诖耍督忉尅穼ⅰ俺鍪刍蛘咛峁┬雄欆壽E信息，被他人用于犯罪的”和“知道或者應(yīng)當知道他人利用公民個人信息實施犯罪，向其出售或者提供的”規(guī)定為“情節(jié)嚴重”的兩種情形。三是主體身份。實踐中，多數(shù)信息泄露是內(nèi)部人員作案，工作中不盡責、不作為、故意“裝睡”甚至充當“內(nèi)鬼”牟利，比如蘋果公司員工泄露用戶信息案、智聯(lián)招聘工作人員出賣簡歷案。對于“內(nèi)鬼”必須用法治重拳將其“敲醒”，《解釋》規(guī)定，將在履行職責或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人，認定“情節(jié)嚴重”的數(shù)量或者數(shù)額標準減半計算，降低了入罪門檻。四是前科情況。曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個人信息的，反映了行為人主觀惡性大、不思悔改，故《解釋》將其規(guī)定為“情節(jié)嚴重”。

3.“情節(jié)特別嚴重”的認定標準?！督忉尅吩诿鞔_入罪條件的同時，亦進一步規(guī)定了法定刑升格的具體條件，體現(xiàn)了刑罰的階梯性，為打擊侵犯公民個人信息罪精準化奠定了法律基礎(chǔ)?！督忉尅返谖鍡l第二款規(guī)定了“情節(jié)特別嚴重”的兩類標準：一是數(shù)量數(shù)額標準。規(guī)定了十倍的倍比關(guān)系，即特別敏感信息500條以上，相對敏感信息5000條以上，其他信息50000條以上。比照“情節(jié)嚴重”，按照10倍的倍數(shù)關(guān)系認定。即根據(jù)信息類型不同，數(shù)量分別達到500、5000、50000條以上，或者違法所得50000元以上。二是嚴重后果標準。包括“造成被害人死亡、重傷、精神失常或者被綁架等嚴重不良后果”和“造成重大經(jīng)濟損失或者惡劣社會影響”。值得注意的是，現(xiàn)在侵犯公民個人信息數(shù)量十分驚人，動輒海量信息，公民人身財產(chǎn)安全風險性巨大，社會危害嚴重。在查辦這類案件時，一定要重點關(guān)注查獲的信息數(shù)量，特別是遇到海量信息案件、涉及“情節(jié)嚴重”或“情節(jié)特別嚴重”臨界點的案件，應(yīng)盡量查證信息數(shù)量，不該怕查證麻煩而就低認定信息數(shù)量，輕縱犯罪，而應(yīng)做到罪責刑相適應(yīng)。

二、如何理解為合法經(jīng)營而非法購買、收受公民個人信息須“獲利5萬元以上”的入罪標準

司法實踐中，非法購買、收受公民個人信息從事保險、教育培訓、房產(chǎn)銷售、廣告推銷等活動的情形較為普遍。從信息用途上看，此類非法購買、收受的公民個人信息是用于合法經(jīng)營活動，與其他將信息用于實施犯罪或者出售牟利相比，對權(quán)利人的侵害程度確實存有不同，不宜一概而論。刑法修正案（七）和刑法修正案（九）均沒有對“為合法經(jīng)營活動而非法購買、收受公民個人信息”（下稱“合法經(jīng)營”型）的定罪量刑標準作出規(guī)定，為此，《解釋》第六條專門對此情形設(shè)置了入罪標準，以更好地貫徹落實寬嚴相濟刑事政策。

（一）正確理解和把握《解釋》第六條的適用條件

《解釋》第六條規(guī)定，為合法經(jīng)營活動而非法購買、收受敏感信息以外的公民個人信息，具有下列情形之一的，應(yīng)當認定為“情節(jié)嚴重”：（1）利用非法購買、收受的公民個人信息獲利5萬元以上的（下稱“獲利型”標準）；（2）曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法購買、收受公民個人信息的（下稱“處罰型”標準）；（3）其他情節(jié)嚴重的情形。我們認為，《解釋》第六條在一定程度上抬高了“合法經(jīng)營”型的入罪門檻，適用時宜從嚴掌握。

一是從嚴認定信息類型。根據(jù)《解釋》第六條規(guī)定，為合法經(jīng)營活動而非法購買、收受的公民個人信息，必須是《解釋》第五條第一款第（三）項、第（四）項之外的信息。換言之，如果非法購買、收受的是行蹤軌跡信息、征信信息、財產(chǎn)信息、住宿信息、交易信息等特別敏感信息或者相對敏感信息，則應(yīng)排除適用《解釋》第六條，這體現(xiàn)了《解釋》在貫徹寬嚴相濟刑事政策的同時，對涉及公民人身及財產(chǎn)安全等重要信息的特殊保護。我們認為，正確認定信息類型是適用本條的重要前提，認定時應(yīng)從嚴掌握。如某條信息既包含了姓名、住址等一般內(nèi)容，又包含財產(chǎn)、健康生理等敏感內(nèi)容，則該條信息就不能適用《解釋》第六條，而應(yīng)計入適用《解釋》第五條的認定條數(shù)。同樣，對查獲的批量信息，只要其中含有敏感信息，則對該批量信息不能適用《解釋》第六條。

二是準確把握合法經(jīng)營范疇。合法經(jīng)營是指經(jīng)營資質(zhì)、經(jīng)營范圍等符合法律、行政法規(guī)規(guī)定。如專營、專賣物品或者其他限制買賣物品的，應(yīng)當經(jīng)許可；經(jīng)營證券、期貨、保險業(yè)務(wù)或者從事資金支付結(jié)算業(yè)務(wù)的，應(yīng)當經(jīng)國家有關(guān)主管部門批準等。實踐中，對是否用于合法經(jīng)營活動應(yīng)從整體把握認定，既要正確認識合法經(jīng)營過程中如偷稅、虛假廣告等違法行為與合法經(jīng)營活動的關(guān)系，也要注意不能以非法購買、收受公民個人信息這一行為本身的違法性來否定合法經(jīng)營的性質(zhì)。

三是從嚴限定客觀行為。《解釋》第六條第二款規(guī)定：“實施前款規(guī)定的行為，將購買、收受的公民個人信息非法出售或者提供的，定罪量刑標準適用本解釋第五條的規(guī)定?！睋?jù)此，非法購買、收受的公民個人信息只能用于合法經(jīng)營活動，如果還被非法出售、提供給他人的，則應(yīng)排除適用本條。

（二）“獲利型”標準的適用困惑及應(yīng)對建議

《解釋》第六條設(shè)置了“合法經(jīng)營”型的三個入罪標準，其中最常用的是“獲利型”標準，即“利用非法購買、收受的公民個人信息獲利五萬元以上”。我們認為，在適用這一標準時，必須把握好“非法購買、收受的公民個人信息”與“合法經(jīng)營并獲利”的對應(yīng)關(guān)系，即非法購買、收受的公民個人信息系被用于合法經(jīng)營活動，且該合法經(jīng)營活動的獲利達到五萬元。

堅持這一對應(yīng)關(guān)系是適用“獲利型”標準的應(yīng)有之義，但在司法實踐中缺乏可操作性，由于司法機關(guān)無法收集到證明合法經(jīng)營獲利5萬元系利用了非法購買、收受的公民個人信息的證據(jù)，致使“獲利型”標準的適用陷入困境。通常情況下，非法購買、收受的信息數(shù)量是非常龐大的，而從海量的信息中甄別出那些系被利用且已獲利的信息幾乎是不可能的，除非行為人自己制作信息來源、用途、獲利清楚對應(yīng)的賬目再將之提供給司法機關(guān)以證明自己的犯罪事實。同時，對于那些非法購買、收受的公民個人信息，在尚未用于合法經(jīng)營活動或者雖已用于合法經(jīng)營活動但尚未獲利的情形下，亦無法適用這一標準。司法機關(guān)更不可能等行為人利用信息獲利5萬元以后再追究其刑事責任?！矮@利型”標準的設(shè)置，可能促使更多合法經(jīng)營的單位出于增加獲利的目的，非法購買、收受公民個人信息，這既不利于從源頭打擊非法出售、提供公民個人信息的犯罪，也會因該標準難以適用而導致單位非法購買、收受公民個人信息的行為愈演愈烈。

有鑒于此，為了使《解釋》第六條不被虛置，我們提出以下建議：一是加大適用兜底條款的力度。以《解釋》第五條設(shè)置的定罪量刑標準為參考，按照“情節(jié)嚴重”情形的同質(zhì)性要求，明確其他情節(jié)嚴重的具體情形。如非法購買、收受的信息數(shù)量達到5000條以上的；造成重大經(jīng)濟損失或者惡劣社會影響的；造成被害人死亡、重傷等嚴重后果的等。二是探索嘗試按比例認定原則。鑒于非法購買、收受的公民個人信息與合法經(jīng)營獲利之間的對應(yīng)關(guān)系很難被逐一證明，故可嘗試以比例方式予以整體認定。即以某一時期非法購買、收受的公民個人信息在所有信息中所占的比例，計算同一時期利用購買、收受的信息獲利的數(shù)額。

三、如何理解公民個人信息累計計算規(guī)則和直接認定規(guī)則

實踐中，公民個人信息數(shù)量“計算難”是困擾司法人員的一大難題。主要表現(xiàn)為兩個方面：一是認識問題。如對于同一條公民個人信息，先有非法獲取行為，后有出售、提供行為，如何計算；如分別出售、提供給不同單位或個人的，又如何計算，實踐中認識不一。二是技術(shù)問題。非法獲取、出售、提供的公民個人信息海量化已成為常態(tài)，對于容量較大的批量信息，目前為止從技術(shù)層面來看尚不具備相應(yīng)的計算能力。而對于一些容量較小的批量信息，計算出較為精確的結(jié)果則需要耗費巨大的人力、物力、財力，且周期長、司法成本高。針對這些實際問題，《解釋》第十一條確立了公民個人信息的條數(shù)計算規(guī)則和批量信息的數(shù)量認定規(guī)則。

（一）公民個人信息的條數(shù)計算

《解釋》第十一條第一款規(guī)定，非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數(shù)不重復計算；第二款規(guī)定，向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數(shù)累計計算。這兩款規(guī)定解決了公民個人信息條數(shù)的計算問題。對于非法獲取公民個人信息后又出售或者提供的，非法獲取行為與出售、提供行為具有前后發(fā)展關(guān)系，前行為是后行為的所經(jīng)階段，后行為是前行為發(fā)展的當然結(jié)果，前后行為侵害的法益具有同一性。因此，這種情況下對公民個人信息的條數(shù)不重復計算是合理的。而向不同單位或者個人分別出售、提供同一公民個人信息的，由于被害人的個人信息重復受到侵害，增加進一步受害的可能性，累計計算條數(shù)符合從嚴打擊犯罪的需要。

（二）批量信息的數(shù)量認定

《解釋》第十一條第三款規(guī)定，對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實或者重復的除外。該條款有兩層含義：對于批量信息，一是直接認定數(shù)量；二是推定信息是真實且不重復的。由此引申出兩個問題：

1. 關(guān)于直接認定數(shù)量的方法。如前所述，批量信息呈海量化特點，現(xiàn)有技術(shù)無法計算出數(shù)量，或在較合理的時間內(nèi)難以得出計算結(jié)果。而在數(shù)量都無法確定的情況下，直接認定似乎缺乏基礎(chǔ)。我們認為，對批量信息數(shù)量的計算，在理念上應(yīng)由傳統(tǒng)的“精確計量”向“等約計量”轉(zhuǎn)變，在方法上可采用抽樣計算按比例認定的做法。即在批量信息中選取一定數(shù)量的信息為樣本，實際分析樣本信息的真實性和重復率，得出予以認定的信息比例，并按此比例評估其余未被抽樣的信息，最終計算出批量信息的數(shù)量。

2. 關(guān)于信息真實性與重復性的舉證責任。按照《解釋》第十一條第三款的文意理解，直接認定信息數(shù)量的內(nèi)容應(yīng)當包括兩層含義，一是推定信息是真實的，二是推定信息是不重復的。對于“但是有證據(jù)證明信息不真實或者重復的除外”，有觀點認為是舉證責任倒置。我們持不同意見，這并不涉及舉證責任倒置問題，而是對批量信息真實性及重復性在刑事法律層面的一種客觀推定。即對批量信息直接認定為真實且不重復，無需檢察機關(guān)舉證。但當辯護方提出信息不真實或者重復的意見并提供相應(yīng)的證據(jù)或線索時，具體查證和證明責任仍應(yīng)由檢察機關(guān)承擔。

需要指出的是，雖然批量信息的數(shù)量可以直接認定，并且推定為真實且不重復，但前提是必須構(gòu)成侵犯公民個人信息罪。即根據(jù)《解釋》第五條的規(guī)定，有符合入罪標準或法定刑升格條件的信息已被查證屬實，而其他直接認定的信息數(shù)量則可作為量刑情節(jié)在量刑時予以考慮。

四、如何理解《解釋》的適用時效

法律文本的時間效力，通常包括生效時間、失效時間和溯及力問題?！督忉尅返谑龡l規(guī)定，本解釋自2017年6月1日起施行。實踐中，主要是《解釋》溯及力的問題，最高人民法院、最高人民檢察院《關(guān)于適用刑事司法解釋時間效力問題的規(guī)定》（下稱《規(guī)定》），對于司法解釋實施前發(fā)生的行為，行為時沒有相關(guān)司法解釋，司法解釋施行后尚未處理或者正在處理的案件，依照司法解釋的規(guī)定辦理。對于新的司法解釋實施前發(fā)生的行為，行為時已有相關(guān)司法解釋，依照行為時的司法解釋辦理，但適用新的司法解釋對犯罪嫌疑人、被告人有利的，適用新的司法解釋?？梢?，我國司法解釋的溯及力采取“行為時有無司法解釋和是否有利于被告人相結(jié)合”的標準，與刑法溯及力采取“從舊兼從輕，禁止不利于行為人的溯及既往”的原則相一致，同時還要遵循“上訴不加刑”等訴訟原則。

根據(jù)《規(guī)定》的精神，對于《解釋》的適用可區(qū)分情況處理：

1. 已經(jīng)生效案件。對于在司法解釋施行前已辦結(jié)的案件，按照當時的法律和司法解釋，認定事實和適用法律沒有錯誤的，不再變動。

2. 一審案件。一審案件屬于正在處理的案件，由于之前沒有侵犯公民個人信息罪的相關(guān)司法解釋，按照《規(guī)定》，應(yīng)適用《解釋》。

3. 上訴案件。對于僅有被告人上訴的二審案件，亦屬于正在處理的案件，按照《規(guī)定》，應(yīng)適用《解釋》辦理案件。如果適用《解釋》作出的刑罰比一審判決刑罰重，因受限于 “上訴不加刑”原則，應(yīng)按有利于被告人原則，維持原判。如果二審判決罪責刑嚴重不相適應(yīng)，確需依法糾正的，那么鑒于原審判決適用法律確有錯誤，可以通過審判監(jiān)督程序提出抗訴，啟動刑事再審程序糾正原審判決。同時，鑒于司法解釋的效力適用于法律的施行期間，故在刑事再審程序中應(yīng)適用《解釋》的相關(guān)規(guī)定。

4.抗訴案件。對于刑事二審程序的抗訴案件，因一審判決尚未生效，也屬正在處理的案件，因我國刑事訴訟法明確規(guī)定抗訴案件不受“上訴不加刑”原則限制，故應(yīng)適用《解釋》的規(guī)定。而審判監(jiān)督程序的抗訴案件，亦應(yīng)適用《解釋》，理由同上。

5.既有上訴又有抗訴的案件。對于既有被告人上訴又有檢察機關(guān)抗訴的案件，屬于正在處理的案件，因有檢察機關(guān)提出抗訴而不受“上訴不加刑”原則的限制，故應(yīng)適用《解釋》規(guī)定。

[1]張茂月．大數(shù)據(jù)時代公民個人信息數(shù)據(jù)面臨的風險及應(yīng)對[J]． 情報理論與實踐，2015，（6）．

[2]董純樸．公民個人信息安全犯罪防控研究——以多元體參與信息時代保護公民隱私為視角[J]． 犯罪研究，2014，（1）．

[3]樊崇義．電子證據(jù)及其在刑事訴訟中的運用[N]． 檢察日報，2012-05-18（3）．

[4]韓丹東．保護公民個人信息須立法明確信息權(quán)[N]． 法制日報，2016-10-25（5）．

[5]沈寅飛．徐玉玉案調(diào)查[N]． 檢察日報，2016-10-12（5）．

[6]安辰． 美國法官判決個人信息遭泄露用戶可以起訴雅虎[J]．計算機與網(wǎng)絡(luò)，2017，43（18）：16．

[7]羅猛,鄧超．從精確計量到等約計量:犯罪對象海量化下數(shù)額認定的困境及因應(yīng)[J]． 預防青少年犯罪研究，2016，（2）．

[8]李源粒．網(wǎng)絡(luò)數(shù)據(jù)安全與公民個人信息保護的刑法完善[J]．中國政法大學學報，2015，（5）．

[9]曲新久．論侵犯公民個人信息犯罪的超個人法益屬性[J]．人民檢察，2015，（11）．

[10]孔祥承．海量證據(jù)的理論與實踐——以非法獲取公民個人信息罪為視角[J]． 江西警察學院學報，2014，（6）．

[11]王春暉．個人信息權(quán)是公民的基本民事權(quán)利[J]． 中國電信業(yè)，2017，（4）．

[12]宋娟．大數(shù)據(jù)時代公民個人信息權(quán)的民法保護[D]．寧夏大學，2016．