于陽，陳培云

(天津大學(xué)法學(xué)院，天津 300072)

互聯(lián)網(wǎng)的迅猛發(fā)展，使得數(shù)據(jù)和信息在當(dāng)今社會的作用愈發(fā)重要，但公民個人信息也面臨著被侵犯的可能性。[1]患者信息作為公民個人信息的重要組成部分，無論是對公民個人、社會還是國家數(shù)據(jù)庫保護而言，都具有極高的敏感性。保護患者信息具有不同于保護一般公民個人信息的重要意義。據(jù)360互聯(lián)網(wǎng)安全中心的一項數(shù)據(jù)統(tǒng)計，近年來醫(yī)療機構(gòu)日益成為網(wǎng)絡(luò)入侵的重災(zāi)區(qū)，這表明保護患者信息具有相當(dāng)?shù)木o迫性和重要性。(1)數(shù)據(jù)顯示，2016年全球范圍內(nèi)針對醫(yī)療保健行業(yè)的網(wǎng)絡(luò)攻擊增加了63%。2017年全球15%的數(shù)據(jù)泄漏事件來自醫(yī)療保健行業(yè)，僅次于金融業(yè)。參見360互聯(lián)網(wǎng)安全中心，360威脅情報中心.全球關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全狀況分析報告(2017)[EB/OL].http://zt.#/1101061855.php?dtid=1101062514&did=491171819.在司法實踐中，相較于侵犯一般公民個人信息犯罪案件，對侵犯患者信息犯罪案件的處理標(biāo)準(zhǔn)應(yīng)當(dāng)有所不同，這也是筆者研究侵犯患者信息犯罪案件司法適用問題的主要原因。在司法實務(wù)中，司法工作人員對于侵犯患者信息犯罪案件重視不夠，導(dǎo)致在法律適用過程中將侵犯患者信息犯罪案件與侵犯公民個人信息犯罪案件的認(rèn)定標(biāo)準(zhǔn)等同視之，客觀上造成了犯罪分子在受到同等處罰的情況下優(yōu)先選擇搜集可能獲得更多經(jīng)濟利益的患者信息。此外，從當(dāng)前治理侵犯公民個人信息犯罪案件的司法適用來看，相關(guān)案例觀點和判決要旨基本上是持一種嚴(yán)罰態(tài)度。但嚴(yán)罰對侵犯公民個人信息犯罪的威懾作用實在有限。有學(xué)者指出，為了實現(xiàn)治理侵犯公民個人信息類犯罪的最佳效果，需深入研究該類犯罪的生成模式，分析刑罰規(guī)制之不足，并從中尋找刑罰替代措施。治理侵犯公民個人信息犯罪的對策只能定位為控制犯罪，而非消滅犯罪；在適用刑罰替代措施的時候，需進(jìn)行“成本—效益”評估；治理侵犯公民個人信息犯罪應(yīng)重視公眾參與。在對侵犯公民個人信息犯罪予以刑罰制裁的時候，應(yīng)有所寬容、有所例外。[2]本文通過對侵犯患者信息犯罪司法適用問題進(jìn)行重點探討，力求能夠較為準(zhǔn)確地對侵犯患者信息犯罪的行為主體做到定罪準(zhǔn)確、量刑適當(dāng)，使得罪刑相均衡，抑制和預(yù)防侵犯患者信息犯罪發(fā)生，進(jìn)而達(dá)到患者信息特別保護的目的。

一、公民個人信息與患者信息辨析

(一)公民個人信息的界定

1.法律中公民個人信息的界定

2012年12月28日，全國人大常委會通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》(以下簡稱《決定》)首次對個人信息保護進(jìn)行規(guī)定?！稕Q定》第1條規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息?！痹谄浜蟮?013年4月23日，最高人民法院、最高人民檢察院、公安部發(fā)布的《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》(以下簡稱《通知》)在第2條中規(guī)定了公民個人信息的范圍。與《決定》相比，《通知》以“可識別性”與“隱私性”作為公民個人信息的核心要素，將其范圍從公民個人的電子信息擴大到所有類型的信息，實現(xiàn)對其較為全面的保護。2016年11月7日通過的《網(wǎng)絡(luò)安全法》在第76條第5項規(guī)定了“個人信息”的定義和范圍。這一定義與《決定》和《通知》相比，一是“隱私性”不再是公民個人信息的要素；二是將“能夠單獨識別”擴大到“能夠單獨或者與其他信息結(jié)合識別”。這一變化反映出立法者認(rèn)識到“個人信息”和“隱私權(quán)”存在交叉關(guān)系，交叉的內(nèi)容是“個人隱私信息”。因此《網(wǎng)絡(luò)安全法》將“能夠識別公民個人信息”和“涉及公民個人隱私”的信息都納入到“能夠識別公民個人身份”的信息中。

2017年5月8日，最高人民法院和最高人民檢察院聯(lián)合發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)?！督忉尅吩诘?條就規(guī)定了公民個人信息的定義與范圍。該《解釋》將《網(wǎng)絡(luò)安全法》中公民個人信息的概念進(jìn)一步擴張，在先前概念的基礎(chǔ)上又增加了四種個人信息，這與其背后蘊含的法益有關(guān)?！盎顒忧闆r”和“行蹤軌跡”主要是針對公民可能發(fā)生的人身犯罪進(jìn)行規(guī)定，而“賬號密碼”和“財產(chǎn)狀況”是對公民的財產(chǎn)權(quán)利進(jìn)行保護?！督忉尅返囊?guī)定使得公民個人信息被界定為個人身份認(rèn)證信息和可能影響人身、財產(chǎn)安全的個人信息。[3]

2.公民個人信息相關(guān)學(xué)說梳理

當(dāng)前，學(xué)界對公民個人信息的界定意見不一，主要分為“關(guān)聯(lián)說”“隱私說”和“識別說”。這三種學(xué)說分別從獨特視角切入，對于公民個人信息的概念界定提出不同思路。持“關(guān)聯(lián)說”的學(xué)者認(rèn)為，公民個人信息是指能夠影響公民財產(chǎn)權(quán)利、人身安全的，凸顯具有公民個人生理與社會特征的信息?！缎谭ㄐ拚?七)》未對公民個人信息的范圍作出任何限制和例外性規(guī)定，因而我國刑法保護的是與公民相關(guān)聯(lián)的所有個人信息。[4]持“隱私說”的學(xué)者認(rèn)為，公民個人信息體現(xiàn)的是個人隱私權(quán)，只有體現(xiàn)個人隱私權(quán)的信息才屬于公民個人信息。[5]持“識別說”的學(xué)者則提出，公民個人信息是指與已被識別或可以被識別的個體有關(guān)的信息。個人信息強調(diào)對特定個體(自然人)的識別，凡是能夠識別某個人的信息均歸入個人信息。[6]筆者認(rèn)為，“關(guān)聯(lián)說”將與公民個人信息有關(guān)的信息均納入公民個人信息的范疇。該學(xué)說的優(yōu)點是全面囊括公民個人信息的內(nèi)容，并盡可能地避免遺漏。但是公民個人信息的內(nèi)容相當(dāng)廣泛，悉數(shù)納入法律的保護范圍，既不可能，也無必要。此外，“隱私說”也有其不足之處，個人隱私不能完全涵蓋公民個人信息的全部內(nèi)容。公民個人信息中還包含一些可以公開的個人信息，盡管這部分信息不屬于隱私，但其需要受到法律的保護。此外，并不是任何個人信息公布以后都可能對公民權(quán)益造成損害，而且信息的擴散對于不同公民的意義是不同的。同樣泄露某信息，對于甲的權(quán)利可能造成損害，而對于乙來說，則可能是其所希望的(如當(dāng)下許多公民在網(wǎng)絡(luò)上通過各種手段將自己炒作為名人等)。所以對于不同公民，某信息是否可以成為本罪對象具有不確定性。有學(xué)者指出，作為本罪對象的公民個人信息應(yīng)當(dāng)具有以下特點：主觀上本人不希望擴散該信息；客觀上該信息具有保護價值，一旦擴散將可能對公民權(quán)利造成損害。[7]

綜上，筆者基本贊同“識別說”?！白R別說”的觀點符合刑法保護的范圍和限度，其囊括了需保護的公民個人信息，又不超越刑法立法本意和目的。因為在司法實踐中，只有對公民有重要價值的信息，即具有可識別性的信息，才應(yīng)當(dāng)列入法律保護的范圍，并有可能作為刑法所要保護的對象。

(二)患者信息的界定

1.患者信息的醫(yī)學(xué)含義

醫(yī)療領(lǐng)域個人信息是指與醫(yī)療活動相關(guān)的個人信息，主要由患者生理或心理健康、醫(yī)療狀況等信息組成。[8]不同于一般的個人信息，醫(yī)療領(lǐng)域個人信息含大量敏感的個人信息，其包括的醫(yī)療個人信息分為廣義和狹義兩種。(2)廣義的醫(yī)療個人信息還包括醫(yī)療機構(gòu)和醫(yī)療機構(gòu)從業(yè)人員等所有與醫(yī)療相關(guān)的信息。狹義的醫(yī)療個人信息是指在體檢、診斷、疾病控制、治療和醫(yī)學(xué)研究過程中涉及到的個人肌體特征、健康狀況、遺傳基因、病史病歷等信息。參見李國紅.論醫(yī)療領(lǐng)域個人信息及民法保護[D].蘇州：蘇州大學(xué),2013.16.我國臺灣地區(qū)的“醫(yī)療法”規(guī)定，醫(yī)療信息包括：各項檢查、檢驗報告資料；醫(yī)師依醫(yī)師法執(zhí)行業(yè)務(wù)所制作的病歷；其他各類醫(yī)事人員執(zhí)行業(yè)務(wù)所制作的記錄。[9]根據(jù)日本財團法人醫(yī)療情報系統(tǒng)開發(fā)中心的匯總，日本的醫(yī)療個人信息共包括11大類。(3)《電子保存診療記錄情報交換的數(shù)據(jù)項目集合》規(guī)定的11類信息分別為：(1)患者基本信息；(2)健康保險、福利信息；(3)診療管理信息；(4)生活背景信息；(5)醫(yī)學(xué)背景；(6)診察記錄信息；(7)指令實施記錄信息；(8)治療信息的交流情報；(9)治療的說明同意信息；(10)匯總信息；(11)死亡記錄信息。參見[日]開原成允·樋口範(fàn)雄.醫(yī)療個人情報保護とセキュリテイ—個人情報保護法とHIPAA法(第2版)[M].東京:有斐閣,2005.28-29.我國學(xué)者認(rèn)為，醫(yī)療信息不僅包括信息主體的醫(yī)療、健康信息，也包括與醫(yī)療有關(guān)的其他個人基本信息和經(jīng)濟信息。[10]由此可見，醫(yī)療個人信息不僅包括患者本人的生理或心理健康、疾病狀況，還包括與醫(yī)療有關(guān)的患者個人基本信息和經(jīng)濟信息。

2.刑法意義上的患者信息界定

我國刑法學(xué)界并未專門對患者信息的定義進(jìn)行過研究，但在關(guān)于侵犯公民個人信息罪的《解釋》第5條第1款第4項中提到“健康生理信息”?！敖】瞪硇畔ⅰ笔欠窦礊榛颊咝畔?，目前還無定論。美國個人信息保護在《健康保險攜帶和責(zé)任法》中提到受保護的健康信息具體是指用電子媒介或其他方式傳輸或保存的個人可識別健康信息。[11]亦有學(xué)者對個人健康生理信息的內(nèi)容進(jìn)行了詳細(xì)列舉，認(rèn)為個人健康生理信息是指個人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗報告、手術(shù)及麻醉記錄、護理記錄、用藥記錄等。[12]

此外，筆者在搜集侵犯患者信息犯罪相關(guān)案例的裁判文書時發(fā)現(xiàn)，在“程某、邱某侵犯公民個人信息案”一審刑事判決書中，審理法院對“健康生理信息”進(jìn)行了簡要闡述。(4)參見山東省禹城市人民法院刑事判決書(2018)魯1482刑初67號。該院認(rèn)為，《解釋》第5條第1款第4項所述及的“健康生理信息”，應(yīng)當(dāng)是涉及公民身體、心理等方面具有個體特征，且內(nèi)容具體的公民信息。筆者認(rèn)為，“健康生理信息”是患者信息的一部分，但不等于患者信息。患者信息不僅包括患者醫(yī)療信息，也包括患者個人基本信息，也即公民個人一般信息的內(nèi)容，如姓名、身份證件號碼、家庭住址等。

(三)患者信息與公民個人信息的關(guān)系辨析

1.患者信息與公民個人信息的聯(lián)系

首先，從內(nèi)涵上來看，患者是公民中的特殊成員，患者信息作為特殊的公民個人信息，其內(nèi)容包含在公民個人信息中，如姓名、家庭住址等。其次，患者信息與公民個人信息均包含公民的隱私信息，且均能通過單獨或者與其他信息結(jié)合達(dá)到識別公民身份的目的。最后，患者信息和公民個人信息同作為信息，其背后均有著不可估量的經(jīng)濟、政治、文化以及社會價值。其中，巨大的經(jīng)濟價值就是引起相關(guān)犯罪頻繁發(fā)生的重要原因之一。同理，患者信息和公民個人信息在遭受不法分子侵犯后，其價值形態(tài)便不再受控制，特別是當(dāng)前互聯(lián)網(wǎng)已經(jīng)十分發(fā)達(dá)，公民個人信息一旦被泄漏并為不法分子利用，就難以通過其他任何方式恢復(fù)到未受侵犯前的狀態(tài)，因此信息在遭受侵犯后產(chǎn)生的危害性大且不可恢復(fù)。

2.患者信息與公民個人信息的區(qū)別

作為公民個人信息的一部分，患者信息還具有自身的特殊性，如患者信息更強調(diào)包含個人身體健康信息，如家族病史、疾病癥狀等對個人更為敏感的信息?；颊咴卺t(yī)療活動中，向醫(yī)院提供的信息并非單一的而是關(guān)乎自身的綜合性信息，其敏感性與復(fù)雜性使得患者信息比單一個人信息更有價值，這也是患者信息屢屢遭到侵犯的重要誘因之一。[13]另外，對于一些特殊病患，如艾滋病等傳染性疾病患者的信息，一旦泄露會對患者的個人生活乃至對社會安寧等均會產(chǎn)生嚴(yán)重?fù)p害。[14]同時，由于醫(yī)療數(shù)據(jù)平臺的構(gòu)建，醫(yī)療機構(gòu)之間個人醫(yī)療信息的傳輸面臨非法傳輸風(fēng)險，加上網(wǎng)絡(luò)互聯(lián)致使網(wǎng)絡(luò)黑客入侵醫(yī)療機構(gòu)數(shù)據(jù)系統(tǒng)、破壞系統(tǒng)的正常運作、實施竊取或者破壞的違法犯罪行為愈發(fā)方便。而面對較為尖銳的醫(yī)患矛盾與糾紛，患者信息被侵害給患者及家屬帶來的損害無疑會加劇醫(yī)患之間的不信任，加劇社會矛盾。由此可見，患者信息被侵害的后果比之一般的公民個人信息危害性更大。

3.保護患者信息的特殊意義和價值

在“互聯(lián)網(wǎng)+”時代之下，隨著醫(yī)療數(shù)據(jù)平臺的搭建，患者信息的意義不再是僅關(guān)乎患者及其家庭自身的重要信息，而是更加關(guān)乎社會穩(wěn)定和國家數(shù)據(jù)與信息庫的安全，尤其是對患者個人和社會更加具有敏感性的患者醫(yī)療信息，也即對健康生理信息的保護。在《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)的個人信息保護指南》(5)參見2012年11月5日由國家質(zhì)量監(jiān)督檢測檢疫總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布，自2013年2月1日起施行的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)的個人信息保護指南》(GB/Z 28828-2012)。和《信息安全技術(shù)個人信息安全規(guī)范》(6)參見2017年12月29日由國家質(zhì)量監(jiān)督檢測檢疫總局、國家標(biāo)準(zhǔn)化管理委員會發(fā)布，自2018年5月1日起施行的《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017)。中，均對“個人敏感信息”進(jìn)行了闡釋。(7)在《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273-2017)的3.2中，將“個人敏感信息”界定為一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或者歧視性待遇等的個人信息。同時，個人敏感信息的列舉包括健康生理信息等在內(nèi)的個人信息。轉(zhuǎn)引自喻海松.侵犯公民個人信息罪司法解釋理解與適用[M].北京:中國法制出版社,2018.240-242.在上述兩個文件中，均指出健康生理信息屬于個人敏感信息。[15]這些敏感信息一旦被侵害，其所帶來的危害不僅是對被侵害者的具體實害，還會給社會帶來諸多潛在危險。例如，患者DNA樣本數(shù)據(jù)等信息如果被不法分子所掌握，極有可能對社會穩(wěn)定和國家安全產(chǎn)生毀滅性的影響。在基因編輯嬰兒事件發(fā)生之后，我們更應(yīng)當(dāng)重視對醫(yī)療領(lǐng)域基因數(shù)據(jù)和信息的保護。

當(dāng)前，深入研究侵犯患者信息犯罪的預(yù)防和懲治具有重要的理論和實踐價值。尤其在司法實務(wù)中，正確適用法律解決相關(guān)司法疑難問題，能在一定程度上減少侵犯患者信息案件的發(fā)生，從而有利于維護社會穩(wěn)定。因此，對侵犯患者信息犯罪司法適用疑難問題的研究必不可少。

二、侵犯患者信息犯罪特定行為方式的認(rèn)定

刑法不僅懲罰提供公共服務(wù)者非法向他人提供公民個人信息的行為，而且處罰非法侵犯公共服務(wù)提供者對公民個人信息之保有狀態(tài)的行為。[16]《刑法》第253條之一規(guī)定該罪的行為方式包括“出售或者提供”和“竊取或者以其他方法非法獲取”的行為。對此，也應(yīng)以相同的方式認(rèn)定侵犯患者信息犯罪的行為方式。同時，針對有學(xué)者提出增設(shè)“非法利用”這一行為方式，筆者認(rèn)為對此有必要加以深入探討。

(一)出售、提供患者信息行為的認(rèn)定

1.出售患者信息行為的認(rèn)定

我國刑法學(xué)界一般認(rèn)為，出售信息是告知他人本人所知悉的信息，并因此獲利的行為。在“黃某某、王某某侵犯公民個人信息案”(8)本案中，被告人黃某某于2016年4月以來，通過互聯(lián)網(wǎng)向他人購買新生兒信息19,540條，后加價出售給他人。同年4月間，被告人王某某通過互聯(lián)網(wǎng)向被告人黃某某等人購買新生兒信息6450條，后加價出售給他人。參見福建省安溪縣人民法院刑事判決書(2016)閩0524刑初608號。中，新生兒信息作為醫(yī)療機構(gòu)及醫(yī)務(wù)人員在醫(yī)療活動中保存的信息，無疑是患者信息。二被告人通過互聯(lián)網(wǎng)向他人購買多條新生兒信息的行為是以其他方法非法獲取患者信息的行為。同時，二被告人在非法獲取患者信息后又加價出售給他人，此行為是將本人知悉的信息告知他人，并從中牟利的行為，屬于違反國家有關(guān)規(guī)定，向他人出售患者信息的行為，構(gòu)成侵犯患者信息犯罪。昆山破獲的“侵犯公民個人健康信息案”(9)本案中，犯罪嫌疑人孫某從網(wǎng)上大量購買醫(yī)院的客戶信息，之后通過自己設(shè)立的網(wǎng)站將信息販賣給全國各地醫(yī)院牟利。參見昆山破獲全國首例侵犯公民個人健康信息案[EB/OL].http://www.xinhuanet.com/2017-07/06/c_1121277403.htm.中，關(guān)于男科、婦科或整形美容等方面的個人信息被大量竊取和買賣。此類信息為醫(yī)療診療活動過程中涉及到的公民個人信息，屬于患者信息。本案中，犯罪嫌疑人從網(wǎng)上大量購買患者信息的行為是以其他手段非法獲取患者信息的行為。同時，犯罪嫌疑人在獲得患者信息之后又販賣出去以達(dá)到牟利目的，這種“販賣”牟利的行為即為“出售”患者信息。在“孫某侵犯公民個人信息案”(10)本案中，被告人孫某以300元的價格從被告人張某手中購買了珠海市衛(wèi)計局服務(wù)信息系統(tǒng)內(nèi)的慢性病診斷名冊，名冊中共計96,904條患者個人信息。參見男子花300元購買近10萬條患者信息，被判侵犯個人信息罪獲刑3年[EB/OL].http://www.sohu.com/a/214866549_420076.中，被告人孫某的購買行為是以其他方法非法獲取患者信息的行為，而張某則違反國家有關(guān)規(guī)定向他人出售患者信息。

2.提供患者信息行為的認(rèn)定

提供信息是指將本人知悉的信息告知他人?！俺鍪邸焙汀疤峁倍际切孤侗救说弥男畔⒔o他人，不同點在于其行為是否因此獲利。換言之，前者比后者多了謀取利益的內(nèi)涵。因此，事實上“提供”行為包含了“出售”行為的范圍，但因“出售”方式更加常見和典型，因此《刑法》第253條之一將其單獨列出?！督忉尅返?條第1款的規(guī)定表明“提供”的對象既可以是特定人，也可以是不特定多數(shù)人。該款規(guī)定解決了以往理論界對出售或者提供的對象，也即“他人”的理解意見不一的問題。同時，由于醫(yī)務(wù)人員特殊的工作性質(zhì)以及出于保護患者信息和維持醫(yī)患雙方良好的信賴關(guān)系的考慮，法律科處醫(yī)務(wù)人員負(fù)有守密義務(wù)。因此，其在提供醫(yī)療服務(wù)的過程中不能把患者信息提供給他人。如果在履行職責(zé)過程中違反了該義務(wù)，除需承擔(dān)民事、行政責(zé)任外，若造成嚴(yán)重后果，醫(yī)務(wù)人員將可能被追究刑事責(zé)任。[17]在“社區(qū)醫(yī)生販賣患者個人信息案”(11)在該案中，被告人張某在擔(dān)任社區(qū)衛(wèi)生服務(wù)站醫(yī)生期間，利用其負(fù)責(zé)社區(qū)衛(wèi)生服務(wù)資料錄入及掌握衛(wèi)計局社區(qū)衛(wèi)生服務(wù)信息系統(tǒng)的賬戶、密碼的職務(wù)之便，通過QQ聯(lián)系，以人民幣400元的價格向?qū)O某(另案處理)販賣了約98,009條珠海市患者的個人信息，并將衛(wèi)計局社區(qū)衛(wèi)生服務(wù)信息系統(tǒng)的賬戶、密碼交給孫某自行登錄、下載患者的相關(guān)信息。參見社區(qū)醫(yī)生以400元賣10萬條患者個人信息，獲刑1年[EB/OL].http://www.sohu.com/a/139409061_114731.中，被告人張某的行為即觸犯了《刑法》第253條之一第2款的規(guī)定，其中“出售”是被告人販賣患者信息并獲利，“提供”即為不出于牟利目的將系統(tǒng)賬戶、密碼交給他人使他人獲取信息的行為。對此，在司法實踐中，司法人員在認(rèn)定行為方式時應(yīng)當(dāng)區(qū)分“出售”與“提供”之間的不同，避免造成認(rèn)定錯誤。

(二)竊取或者以其他方法非法獲取患者信息行為的認(rèn)定

1.竊取患者信息行為的認(rèn)定

隨著醫(yī)療檔案共享的發(fā)展，在竊取患者信息案件中，行為方式多是黑客攻擊醫(yī)院的網(wǎng)絡(luò)共享平臺。由于一些醫(yī)院的傳輸數(shù)據(jù)沒有加密，如防火墻、密鑰等，一些患者的信用卡賬戶和密碼被盜，醫(yī)院網(wǎng)站可以被不法分子隨意打開，對患者信息和醫(yī)院內(nèi)部信息進(jìn)行非法利用。[18]此種情形下不法分子即為通過科技手段獲取患者信息，此類行為是“竊取”行為。再如，福州市公安局日前破獲的一起“盜竊患者個人信息案”(12)在該案中，犯罪嫌疑人曾竊取過醫(yī)院部分患者的個人信息，在再一次準(zhǔn)備竊取醫(yī)院系統(tǒng)里的患者信息等資料時被抓獲。參見男子竊取患者信息被抓，涉嫌侵犯公民個人信息罪[EB/OL].http://fj.china.com.cn/p/110141.html.中，犯罪嫌疑人通過秘密“竊取”的方式獲取患者信息。此外，我們應(yīng)注意“竊取”行為并非限于秘密獲取的手段，而且也應(yīng)包括公開獲取的手段。(13)此處的公開獲取，是指犯罪分子實施的竊取患者信息行為已經(jīng)被相關(guān)醫(yī)療機構(gòu)察覺，但受制于網(wǎng)絡(luò)特殊環(huán)境的影響，醫(yī)療機構(gòu)對此無法給予及時處置。例如，在前述昆山破獲的全國首例“侵犯公民個人健康信息案”[19]中，警方通過犯罪嫌疑人孫某抓獲了其“上家”李某某。李某某利用全國各大醫(yī)院網(wǎng)站的系統(tǒng)漏洞，用黑客手段予以破解，以非法獲取網(wǎng)站聊天數(shù)據(jù)并進(jìn)行販賣。此案中，犯罪嫌疑人李某某通過黑客手段暴力破解醫(yī)院網(wǎng)站系統(tǒng)，則其非法獲取網(wǎng)站聊天數(shù)據(jù)的行為是竊取行為還是以其他方法非法獲取行為存在較大爭議。筆者認(rèn)為，在黑客攻擊網(wǎng)絡(luò)平臺獲取患者信息的案件中，侵害人的攻擊行為可以是秘密進(jìn)行的，也可以是公開的。如對醫(yī)務(wù)人員和醫(yī)療機構(gòu)明知網(wǎng)站被攻擊卻無能為力的情形，應(yīng)認(rèn)定為“竊取”而非“以其他方法非法獲取”的行為。

2.以“其他方法”非法獲取患者信息行為的認(rèn)定

以“其他方法”非法獲取的行為方式主要是對“其他方法”和“非法”的理解。在“黃某詐騙、侵犯公民個人信息案”(14)本案經(jīng)審理查明，被告人黃某于2015年4月1日至8月24日間，事先向他人非法購買新出生嬰兒等公民信息1000余條，并通過撥打上述非法獲取的公民個人信息的手機號碼，謊稱可以向新出生嬰兒家屬發(fā)放補貼，誘騙被害人。參見福建省安溪縣人民法院刑事判決書(2016)閩0524刑初202號。中，新出生嬰兒信息作為醫(yī)療機構(gòu)的醫(yī)務(wù)人員在進(jìn)行醫(yī)療活動過程中所保存的信息，該信息應(yīng)當(dāng)屬于患者信息。同時，此種信息應(yīng)當(dāng)受到嚴(yán)密保護與管理，不能為他人所利用和非法使用。而被告人通過非法手段和渠道購買到此種患者信息，同時利用該信息進(jìn)行違法犯罪活動。其非法購買新生兒患者信息的行為經(jīng)法院認(rèn)定，為以購買方式非法獲取公民個人信息的情節(jié)嚴(yán)重的情形，其行為是“以其他方法非法獲取”公民個人信息的行為，構(gòu)成侵犯公民個人信息罪。

同時，此案還符合《解釋》第5條的規(guī)定?！耙云渌椒ǚ欠ǐ@取公民個人信息”的具體行為方式包括：(1)購買、收受和交換等方式。(2)在履行職責(zé)、提供服務(wù)過程中收集公民個人信息的行為。本案就是以購買的方式獲取患者信息，是“以其他方法非法獲取”患者信息的行為。對此，《網(wǎng)絡(luò)安全法》第41條規(guī)定的內(nèi)容主要是針對涉及公共領(lǐng)域的單位和工作人員，如銀行、保險公司以及醫(yī)院等日常接觸大量公民個人信息的單位及其工作人員。以醫(yī)療領(lǐng)域為例，若醫(yī)療單位或人員在提供醫(yī)療服務(wù)過程中非法收集患者信息的，即為“以其他方法非法獲取”患者信息。

此外，“以其他方法非法獲取”作為侵犯患者信息犯罪行為方式中的兜底條款，在司法適用中往往被當(dāng)作“口袋”，許多行為都可能被納入進(jìn)去。應(yīng)當(dāng)指出，“其他方法”是除去“出售”“提供”和“竊取”行為之外的“其他”獲取的方法。如果行為人的行為可以歸入“出售”“提供”和“竊取”，就應(yīng)當(dāng)按照其明文規(guī)定辦理。只有不屬于上述這三種行為方式，而該行為方式又與前三種行為方式的危害程度相等同的行為方式才可以納入“其他方法”。對“非法獲取”中的“非法”二字可以用體系解釋來確定其內(nèi)涵。根據(jù)體系解釋的原理，有時一個法條在結(jié)合它所在法律法規(guī)的前后條文進(jìn)行語境和語義分析時，能夠比較容易地理解立法者想表達(dá)的真正意思。[20]由此，《刑法》第253條之一對法律條文中的四種行為方式規(guī)定了完全相同的刑罰幅度，表明兩類行為的社會危害性和入罪前提應(yīng)當(dāng)一致。簡言之，此處“非法”與“違反國家有關(guān)規(guī)定”的內(nèi)涵大致相同。

(三)非法利用患者信息的認(rèn)定

在“基因編輯嬰兒事件”[21]發(fā)生后，對于那些以從事科研為名而非法收集和利用患者信息的行為(非法科研)應(yīng)當(dāng)引起有關(guān)方面的高度重視。針對部分科研工作者以科研名義收集公民個人數(shù)據(jù)信息的行為，乃至從醫(yī)療機構(gòu)非法收集并利用患者疾病、生理、基因等信息的行為，應(yīng)當(dāng)就上述行為的具體認(rèn)定加以深入研究。在傳統(tǒng)的侵犯患者信息行為手段中，法條對侵犯患者信息犯罪行為方式的列舉是封閉式的，僅包括四種行為方式。而筆者認(rèn)為科研工作者非法利用患者信息從事非法科研活動的行為顯然不屬于上述幾種行為方式中的一種，此種非法利用患者信息的行為是否能夠界定為侵犯患者信息的犯罪行為有待探討；進(jìn)而針對侵犯患者信息犯罪的行為方式種類是否應(yīng)當(dāng)予以增加和完善也應(yīng)當(dāng)引起注意。

有些國家或地區(qū)在刑法典中規(guī)定了與濫用公民個人信息(或者秘密)情形相對應(yīng)的罪名，如《德國刑法典》第204條和《澳門刑法典》第190條。有學(xué)者曾針對某移動通信公司濫發(fā)垃圾短信對社會大眾的生活產(chǎn)生干擾的類似行為，建議在《刑法》第253條之一中規(guī)定“非法利用”的行為?！盵22]筆者認(rèn)為，對于相關(guān)人員非法利用患者信息從事非法科研活動等類似的行為可列入“非法利用”患者信息的行為中。若實現(xiàn)增設(shè)“非法利用”公民個人信息行為方式，則對保護患者信息無疑十分有利。此舉可實現(xiàn)對現(xiàn)行法條所存在的漏洞的彌補，有助于避免司法實踐中出現(xiàn)“非法利用”公民個人信息的違法犯罪行為卻無法定罪處罰的尷尬局面。同時，針對心懷不軌的科研人員等打著科研旗號卻非法收集和利用患者信息進(jìn)行研究的不法行為，此舉可以對其行為予以刑罰處罰，對非法收集行為就以“其他方法”非法獲取患者信息的行為進(jìn)行處罰；對非法利用患者信息行為也予以相應(yīng)的懲治，以刑法的威懾力促使其不敢以身試法。

三、侵犯患者信息犯罪中情節(jié)犯的司法適用

隨著網(wǎng)絡(luò)信息技術(shù)、電子商務(wù)的發(fā)展，公民個人信息背后所承載的價值利益與日俱增，針對公民個人信息實施的違法犯罪行為也呈現(xiàn)出高發(fā)態(tài)勢?！缎谭ㄐ拚?七)》增設(shè)的“非法獲取公民個人信息罪”和“出售、非法提供公民個人信息罪”對于遏制非法泄漏、非法獲取公民個人信息犯罪行為，切斷公民個人信息犯罪產(chǎn)業(yè)鏈具有重要意義。但是，由于立法規(guī)定的概括性和“應(yīng)急性”，導(dǎo)致對于侵害公民個人信息犯罪的規(guī)定在司法操作過程中存在諸多困惑性問題，諸如對于《刑法》第253條之一并未明確規(guī)定“情節(jié)嚴(yán)重”和“情節(jié)特別嚴(yán)重”的具體認(rèn)定標(biāo)準(zhǔn)，導(dǎo)致司法實務(wù)中對其適用不同標(biāo)準(zhǔn)。[23]正是在此情形下，《解釋》適時出臺并對二者的適用進(jìn)行了較為詳細(xì)的規(guī)定。對于“情節(jié)嚴(yán)重”主要是根據(jù)信息的數(shù)量、用途、信息類型、犯罪數(shù)額等進(jìn)行認(rèn)定；而對于“情節(jié)特別嚴(yán)重”主要是根據(jù)對被害人或社會是否造成嚴(yán)重影響、涉案信息數(shù)量、涉案數(shù)額是否特別巨大等加以認(rèn)定。但在實踐中，往往并未根據(jù)此種綜合性的標(biāo)準(zhǔn)加以認(rèn)定，而是以單一因素作為主要衡量標(biāo)準(zhǔn)。

(一)侵犯患者信息犯罪“情節(jié)嚴(yán)重”的司法認(rèn)定

1.對患者信息“情節(jié)嚴(yán)重”量刑標(biāo)準(zhǔn)劃定不科學(xué)

“情節(jié)嚴(yán)重”是侵犯患者信息犯罪的入罪條件。但理論界對應(yīng)當(dāng)如何理解和把握“情節(jié)嚴(yán)重”的看法卻并不一致。有學(xué)者指出，可以依照涉案信息的數(shù)量、違法所得、給被害人和家屬造成損失的程度等進(jìn)行判斷。[24]有學(xué)者認(rèn)為，應(yīng)當(dāng)根據(jù)涉案信息的重要程度、對公民和社會的影響以及違法獲取次數(shù)進(jìn)行判斷。[25]也有學(xué)者提出，可以從交易金額、信息數(shù)量、侵權(quán)次數(shù)和信息用途以及對被害人和對社會的影響等進(jìn)行綜合判斷。[26]還有學(xué)者認(rèn)為，“情節(jié)嚴(yán)重”一般是指大量出售或多次出售公民個人信息獲利數(shù)額較大，以及公民個人信息被他人非法使用后，給公民個人在經(jīng)濟和生活上造成了重大影響等情況。[27]

《解釋》對“情節(jié)嚴(yán)重”標(biāo)準(zhǔn)的界定在一定程度上吸收了理論界部分學(xué)者的觀點。其中，根據(jù)信息類型和數(shù)量將公民個人信息劃分為行蹤軌跡信息、財產(chǎn)信息和健康生理信息等公民個人敏感信息。此類信息“情節(jié)嚴(yán)重”是因?qū)θ松砗拓敭a(chǎn)安全具有重大影響，被侵犯后易引發(fā)關(guān)聯(lián)犯罪，具有較大社會危害性。同時，因公民個人信息的重要程度不同，對不同類型的公民個人信息設(shè)置了三種入罪標(biāo)準(zhǔn)，健康生理信息被認(rèn)定為侵犯“500條以上”構(gòu)成犯罪。但是與被設(shè)置在“50條以上”標(biāo)準(zhǔn)的行蹤軌跡、財產(chǎn)信息等和被設(shè)置在“500條以上”標(biāo)準(zhǔn)的住宿、交易信息等相比，健康生理信息的敏感性甚至更強。一旦被非法泄漏不僅會對公民的人身和財產(chǎn)產(chǎn)生嚴(yán)重威脅，乃至對社會公眾和國民健康的危害都是極大的。如健康生理信息中所包含的遺傳基因不僅涉及個人信息，還是整個國家、民族基因庫的一部分，若被非法侵犯將會產(chǎn)生非常嚴(yán)重的后果。因此，將健康生理信息僅劃分為被侵犯“500條以上”才構(gòu)成犯罪是明顯不合理的。

2.準(zhǔn)確劃定侵犯患者信息的量刑標(biāo)準(zhǔn)

與其他個人敏感信息相比，作為個人敏感信息的健康生理信息背后所代表的法益更加重要，應(yīng)當(dāng)給予更大程度的保護。在受到侵犯時，其入罪門檻應(yīng)當(dāng)降低，以達(dá)到預(yù)防侵犯患者信息犯罪、嚴(yán)厲處罰犯罪分子使其不敢犯罪的目的。在司法實踐中，應(yīng)當(dāng)對侵犯患者信息的行為主體入罪標(biāo)準(zhǔn)予以明晰，將侵犯患者信息的入罪標(biāo)準(zhǔn)予以降低，也即應(yīng)當(dāng)將侵犯患者信息數(shù)目歸入到“50條以上”標(biāo)準(zhǔn)中。原因之一為患者信息中所包含的健康生理信息本身就極為重要，應(yīng)當(dāng)列入“50條以上”標(biāo)準(zhǔn)中；原因之二為患者信息作為健康生理信息和公民基本個人信息兩種信息的結(jié)合，根據(jù)體系解釋，其應(yīng)當(dāng)?shù)玫礁訃?yán)格的保護，更應(yīng)當(dāng)被列入更低標(biāo)準(zhǔn)“50條以上”，以保證更大程度上保護患者信息，力求罪刑均衡，實現(xiàn)公平公正。同時，此種實踐操作也不需修改立法，在節(jié)約司法成本的同時，也節(jié)省了立法所需要審核通過的時間成本。更重要的是，當(dāng)司法人員在司法實踐中遇到侵犯患者信息犯罪時可以據(jù)此靈活審理案件，以最小的司法成本實現(xiàn)最大的公平正義。

(二)侵犯患者信息犯罪“情節(jié)特別嚴(yán)重”的司法適用

在侵犯患者信息犯罪“情節(jié)特別嚴(yán)重”的司法適用中，存在“情節(jié)特別嚴(yán)重”司法認(rèn)定標(biāo)準(zhǔn)不統(tǒng)一的現(xiàn)象。筆者通過搜集整理“吳某侵犯公民個人信息案”(15)被告人吳某通過騰訊QQ等平臺，陸續(xù)向杜某(已判決)出售健康生理類公民個人信息5萬余條，其出售的公民個人信息中包含公民的姓名、電話號碼、住址，以及曾經(jīng)購買何種養(yǎng)生產(chǎn)品等健康生理類信息。法院認(rèn)定被告人吳某違反國家相關(guān)規(guī)定，向他人出售健康生理類公民個人信息5萬余條，情節(jié)特別嚴(yán)重，被告人吳某構(gòu)成侵犯公民個人信息罪，判處其有期徒刑3年10個月，并處罰金人民幣2萬元。參見重慶市奉節(jié)縣人民法院刑事判決書(2017)渝0236刑初431號?！巴跄城址腹駛€人信息罪案”(16)被告人王某某多次向劉某(另案處理)等人購買公民個人信息。經(jīng)查，其非法獲取的公民個人信息達(dá)200余萬條，其中屬于交易信息及健康生理信息共計20余萬條、財產(chǎn)信息17，639條。法院認(rèn)定被告人王某某違反國家有關(guān)規(guī)定，非法獲取公民個人信息，情節(jié)特別嚴(yán)重，被告人王某某構(gòu)成侵犯公民個人信息罪，判處有期徒刑3年，并處罰金3萬元。參見浙江省溫州市甌海區(qū)人民法院刑事判決書(2016)浙0304刑初999號。和“李某侵犯公民個人信息罪案”(17)經(jīng)查明，2015年間，被告人李某某在本市海淀區(qū)等地使用木馬程序竊取某酒店旅客的住宿信息12，424條，并于2017年間上傳至其經(jīng)營的狼盾資源網(wǎng)(網(wǎng)址為http:/www.langdn.cn)向會員出售。在2017年間，被告人李某某使用木馬程序竊取某醫(yī)院患者的健康生理信息86條，并上傳至其經(jīng)營的上述網(wǎng)站向會員出售。另被告人李某某以上述方式獲取了其他公民個人信息1598條，存儲在自己的百度云盤賬戶中。該案中，法院認(rèn)為被告人李某某非法獲取公民個人信息，侵犯了公民個人信息的安全，情節(jié)特別嚴(yán)重，其行為已構(gòu)成侵犯公民個人信息罪，應(yīng)予懲處。判決被告人李某某犯侵犯公民個人信息罪，判處有期徒刑2年10個月，并處罰金人民幣3萬元(有自動投案情節(jié))。參見北京市海淀區(qū)人民法院刑事判決書(2018)京0108刑初1003號。后發(fā)現(xiàn)，首先，三起案件均只是對侵犯公民個人信息的類型和數(shù)量納入了量刑情節(jié)，而對于違法所得的數(shù)額、對社會造成的危害性以及對被害人造成的影響并未考慮其中，量刑標(biāo)準(zhǔn)依舊過于單一。其次，在對以侵犯信息數(shù)量為標(biāo)準(zhǔn)的衡量上，上述三起案件存在較大差異。在吳某案中，被告人出售患者信息5萬余條，是《解釋》第5條第1款第4項“情節(jié)嚴(yán)重”情形的100倍以上，是第5條第2款第3項“情節(jié)特別嚴(yán)重”標(biāo)準(zhǔn)的10倍以上。在王某案中，被告人非法獲取公民個人信息200余萬條，其中交易信息及健康生理信息共計20余萬條、財產(chǎn)信息17,639條。在李某案中，被告人竊取并出售住宿信息12,424條、患者健康生理信息86條，以及其他公民個人信息1598條。通過計算不難發(fā)現(xiàn)，三起案件中涉及侵犯患者信息數(shù)量差距明顯，但是均適用“情節(jié)特別嚴(yán)重”標(biāo)準(zhǔn)。(18)其中，吳某案中，被告人出售患者信息5萬余條，是“情節(jié)特別嚴(yán)重”標(biāo)準(zhǔn)的10倍以上；在王某某案中，交易信息及健康生理信息數(shù)量是“情節(jié)特別嚴(yán)重”標(biāo)準(zhǔn)的40多倍，財產(chǎn)信息數(shù)量是“情節(jié)特別嚴(yán)重”標(biāo)準(zhǔn)的30多倍，還有公民一般個人信息數(shù)量遠(yuǎn)超“情節(jié)特別嚴(yán)重”標(biāo)準(zhǔn)的36倍左右；在李某某案中，就信息數(shù)量而言，本案中住宿信息和患者健康生理信息數(shù)量是“情節(jié)特別嚴(yán)重”標(biāo)準(zhǔn)的2.4倍以上，公民個人其他信息數(shù)量未達(dá)到“情節(jié)嚴(yán)重”規(guī)定的“5000條以上”的標(biāo)準(zhǔn)，也未達(dá)到“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)。

同時，《刑法》第253條之一第3款明確規(guī)定了“情節(jié)特別嚴(yán)重”情形下應(yīng)當(dāng)判處的刑罰。在上述三個案件中，被告人侵犯信息的數(shù)量差距懸殊。然而在具體量刑適用上，吳某案判處被告人有期徒刑3年10個月，并處罰金2萬元；王某案判處被告人有期徒刑3年，并處罰金3萬元；李某案判處被告人有期徒刑2年10個月，并處罰金3萬元(有自動投案情節(jié))。通過比較發(fā)現(xiàn)，針對侵犯一般公民個人信息和患者信息的數(shù)量遠(yuǎn)超法律規(guī)定標(biāo)準(zhǔn)的案件，司法實務(wù)對其處罰并未加以類型區(qū)分，導(dǎo)致上述三個案件被告人在量刑上的差異并不大。特別是對于王某案，筆者認(rèn)為其量刑畸輕。這也是司法實務(wù)對患者信息未加以重視且未落實信息類型劃分目的的緣故。侵犯更多公民個人信息的行為與侵犯較少數(shù)量的行為，在行為人具體量刑幅度上幾乎一致，這是不符合罪刑均衡原則的。此種存有較大差異的裁決方式會造成“同案不同判”的后果，不能使行為人和被害人感受到法律的公平正義，會使得公民難以認(rèn)同刑法的權(quán)威，進(jìn)而不能使刑法發(fā)揮其預(yù)防犯罪、保障人權(quán)的功能，不利于減少侵犯患者信息犯罪的發(fā)生，不利于保護公民的人身與財產(chǎn)權(quán)利，不利社會和國家的穩(wěn)定與發(fā)展。對此，司法機關(guān)應(yīng)當(dāng)對量刑標(biāo)準(zhǔn)予以統(tǒng)一，同時綜合考慮量刑因素，落實對侵犯信息類型的認(rèn)定，對侵犯患者信息的數(shù)量和類型進(jìn)行綜合考量。尤其應(yīng)當(dāng)對《解釋》中關(guān)于信息類型劃分的意圖進(jìn)行解釋和完善，重視對于公民、社會和國家十分敏感的患者信息的保護。針對侵犯患者信息的案件，依據(jù)相應(yīng)的裁量標(biāo)準(zhǔn)從重處理。因此，在侵犯患者信息犯罪的量刑標(biāo)準(zhǔn)上，應(yīng)摒棄單一的裁量標(biāo)準(zhǔn)，加入違法所得數(shù)額、信息用途、對社會的危害性以及對被害人產(chǎn)生的影響等因素和標(biāo)準(zhǔn)，使其更能突顯患者信息在公民個人信息中的重要地位，使司法人員認(rèn)識到保護患者信息的重要性以及侵犯患者信息犯罪的嚴(yán)重性，促使其在相關(guān)案件的量刑處理上更加科學(xué)合理。

四、侵犯患者信息犯罪中行為主體量刑的司法適用

侵犯患者信息犯罪的行為主體并非僅局限于醫(yī)療單位及其內(nèi)部人員，而是還包括相關(guān)外部單位和人員?；颊咝畔⒌奶厥庑詻Q定了對侵犯患者信息的行為主體應(yīng)當(dāng)從重處罰。但是《刑法》相關(guān)條文僅對醫(yī)療領(lǐng)域單位及其內(nèi)部人員作出了從重處罰的規(guī)定，進(jìn)而忽視了對外部單位和人員也應(yīng)當(dāng)給予從重處罰。隨著科技的快速發(fā)展，如黑客等外部人員一旦侵犯醫(yī)療機構(gòu)的信息存儲系統(tǒng)，其所造成的危害與醫(yī)療機構(gòu)及其內(nèi)部人員非法泄漏患者信息是大致相同的，甚至在個別情況下有過之而無不及，均會造成對患者信息的嚴(yán)重侵犯。因此，在不同行為主體侵犯患者信息犯罪后造成大致相同危害的情形下，對侵犯患者信息犯罪的行為主體處罰卻并不相同，這明顯違反罪刑相適應(yīng)原則。

(一)侵犯患者信息犯罪行為主體處罰標(biāo)準(zhǔn)不統(tǒng)一

1.侵犯患者信息犯罪行為主體的認(rèn)定

相較于公民個人信息保護更加嚴(yán)密的國家，我國應(yīng)加強對公民個人信息的收集、流轉(zhuǎn)和使用等方面的管理。特別是嚴(yán)防內(nèi)部人員泄露公民個人信息事件的發(fā)生，以達(dá)到有效切斷侵犯公民個人信息的“源頭”，進(jìn)而實現(xiàn)保護公民個人信息的目的。[28]對此，《刑法》第253條之一第2款和第4款均作出了相應(yīng)規(guī)定。這是國家為實現(xiàn)對信息的保護管理所做出的刑法層面上的努力，其有利于從源頭上遏制和減少侵犯患者信息行為的產(chǎn)生。但是，在司法實踐中，侵犯患者信息的行為主體不是限于醫(yī)療機構(gòu)和醫(yī)務(wù)機構(gòu)的內(nèi)部人員，也包括非醫(yī)療單位及外部人員。在我國，醫(yī)療數(shù)據(jù)系統(tǒng)被非醫(yī)療單位和外部人員侵犯的案例并不少見。早在2012年,浙江省溫州市警方偵破一起“利用黑客軟件盜取醫(yī)院用藥信息案”；[29]2016年5月，寧夏回族自治區(qū)某基層法院宣判“宋某等非法侵入某部委網(wǎng)站，盜取新生兒、精神病患者信息案”；[30]2018年發(fā)生“多家醫(yī)療機構(gòu)計算機系統(tǒng)被勒索病毒攻擊案”。[31]在國內(nèi)，醫(yī)療業(yè)遭受勒索軟件攻擊是僅次于能源業(yè)的行業(yè)，從中可見外部單位和人員侵犯患者信息行為之猖獗。因此，侵犯患者信息犯罪行為主體的認(rèn)定范圍應(yīng)予以擴大。

2.對侵犯患者信息犯罪行為主體的處罰規(guī)定

在我國《母嬰保健法》《執(zhí)業(yè)醫(yī)師法》和《傳染病防治法》中都有針對工作人員應(yīng)當(dāng)為當(dāng)事人保守秘密、保護患者隱私或是醫(yī)療機構(gòu)不得泄露涉及個人隱私的有關(guān)信息、資料之義務(wù)的規(guī)定。但是對違反后果在前兩部法律中均無明確規(guī)定?！缎谭ā返?53條之一的第2款、第4款針對侵犯患者信息犯罪的行為均規(guī)定要依法從重處罰，也即針對侵犯患者信息的醫(yī)療機構(gòu)及其人員依法從重處罰。醫(yī)療機構(gòu)及其人員本是救死扶傷之場所及人員，如果其特殊身份成為謀取私利的工具，將是對患者信息保護的巨大打擊，也會成為當(dāng)前尖銳的醫(yī)患關(guān)系糾紛的又一誘導(dǎo)因素，處置不當(dāng)其必將對社會和諧穩(wěn)定產(chǎn)生極為不利的影響。因此，針對醫(yī)療機構(gòu)及其人員侵犯患者信息的行為予以從重處罰有其立法原因，該規(guī)定有其合理之處。

但是相關(guān)規(guī)定中對侵犯患者信息的外部非醫(yī)療單位和外部人員并未作出從重處罰的規(guī)定。這可以看作是立法者不重視對一般主體侵犯患者信息犯罪行為予以處罰的緣故。筆者認(rèn)為，主要原因可能在于以下兩點：一是立法者對患者信息和公民個人信息并未加以區(qū)分，未意識到患者信息相較于一般公民個人信息的特殊之處；二是相較于特殊主體侵犯患者信息的行為，認(rèn)為一般主體對患者信息的侵犯不足以產(chǎn)生嚴(yán)重后果。然而，在司法實踐中，無論行為主體是醫(yī)療單位及其內(nèi)部人員，抑或是外部單位和人員，其侵犯的均是對患者個人、社會和國家極其敏感和重要的數(shù)據(jù)信息，所造成的危害后果是同等嚴(yán)重的。隨著大數(shù)據(jù)時代的到來，一般主體對信息數(shù)據(jù)的接觸變得愈發(fā)簡單易行，一般主體對患者信息的侵害可能性有增無減。刑法條文從積極制裁內(nèi)部單位及其人員的角度出發(fā)，對醫(yī)療單位及其內(nèi)部人員規(guī)定要從重處罰，以進(jìn)一步遏制醫(yī)療單位及其內(nèi)部人員侵犯患者信息的行為，但此舉卻不一定能夠起到更好保護患者信息的效果。在網(wǎng)絡(luò)技術(shù)的支持下，近年來侵犯患者信息犯罪態(tài)勢高發(fā)，就在于相較于侵犯一般公民個人信息，外部單位和外部人員利用較低的互聯(lián)網(wǎng)成本卻能獲得更高的經(jīng)濟利益。[32]在此情況下，其當(dāng)然做出理性選擇進(jìn)而實施侵犯患者信息的犯罪。由此，侵犯患者信息的行為更加肆無忌憚。若不對患者信息進(jìn)行更加全面的保護，其將處于更加不利的被侵犯的地位。

(二)統(tǒng)一侵犯患者信息犯罪行為主體的刑罰標(biāo)準(zhǔn)

針對侵犯更具敏感性和重要性的患者信息的行為主體，由于其造成了更為嚴(yán)重的法益侵害后果，在量刑上應(yīng)當(dāng)給予從重處罰，而無論其為內(nèi)部單位及其工作人員還是外部單位或者人員。筆者認(rèn)為，在侵犯患者信息犯罪這一問題上，對侵犯相同法益的行為要同等處罰，不僅要對內(nèi)部單位及其工作人員從重處罰，也要對外部單位和人員從重處罰。

此外，患者信息相比于一般公民個人信息所代表的法益更加重要?；颊咝畔⒁坏┰馐芮址福鋵⒃斐筛訃?yán)重的后果。因此，侵犯患者信息犯罪的行為主體在量刑上較于侵犯公民個人信息的行為主體所受到的量刑處罰應(yīng)當(dāng)進(jìn)一步從重。立法者應(yīng)當(dāng)重視對侵犯患者信息犯罪的刑法規(guī)制，在侵犯公民個人信息罪的量刑條款中，應(yīng)單獨列出一條針對侵犯特殊公民個人信息的行為主體給予從重處罰的條款，如對侵犯患者信息的犯罪主體予以從重處罰，其中特別是對侵犯患者遺傳信息的行為主體嚴(yán)厲處罰。立法的進(jìn)一步完善可以為司法人員在實踐中定罪處罰提供更為明晰的法律處罰依據(jù)，可實現(xiàn)對侵犯患者信息的行為主體科處與其犯罪行為危害性相對等的刑罰，避免外部人員或單位實施侵犯患者信息犯罪之后，在現(xiàn)實中制造了嚴(yán)重的法益危害卻僅受到較輕的刑事制裁。此舉將導(dǎo)致行為主體在經(jīng)過犯罪成本與犯罪收益的精密計算之后毅然選擇侵犯患者信息，誘發(fā)其滋生侵犯患者信息的心理。因其僅需付出較小的犯罪成本、犯罪風(fēng)險等代價便可帶來更多的經(jīng)濟利益，犯罪分子更愿意為之冒險。這是有悖于立法者保護公民個人信息立法原意的。

五、結(jié)語

在信息大爆炸時代，患者信息一旦遭受不法侵犯，對國家、社會乃至患者本人必將產(chǎn)生較大負(fù)面影響。因此，保護患者信息的重要性比之公民個人信息保護尤甚。公安司法機關(guān)在懲處侵犯患者信息犯罪時，理應(yīng)與侵犯公民個人信息犯罪有所區(qū)分。但在當(dāng)前侵犯公民個人信息犯罪的司法實踐中，由于尚未意識到患者信息之特殊性與重要性，導(dǎo)致對侵犯患者信息犯罪并未作出明確規(guī)定，由此導(dǎo)致公安司法機關(guān)在處理侵犯患者信息犯罪和侵犯公民個人信息罪時并未對兩種信息作進(jìn)一步區(qū)分。此舉將會導(dǎo)致犯罪分子在實施侵犯公民個人信息行為時，在受到同等處罰的情況下，更多地去侵犯帶來更大經(jīng)濟效益的患者信息。

本文通過對患者信息與公民個人信息的合理界定，進(jìn)一步厘清了患者信息與公民個人信息的聯(lián)系與區(qū)別，進(jìn)而揭示出保護患者信息所具有的特殊意義和價值。筆者同時結(jié)合司法案例和裁判要旨，針對侵犯患者信息犯罪中出售、提供、竊取或者以其他方法非法獲取患者信息等特定行為方式進(jìn)行了細(xì)致分析，并促使“非法利用”患者信息行為方式得到認(rèn)定，以此更好地保護患者信息。在此基礎(chǔ)上，針對侵犯患者信息犯罪情節(jié)犯、行為主體量刑的司法適用問題進(jìn)行了較深入的研討。在筆者看來，應(yīng)當(dāng)準(zhǔn)確劃定侵犯患者信息犯罪“情節(jié)嚴(yán)重”的量刑標(biāo)準(zhǔn)。目前將侵犯公民健康生理信息等同于侵犯公民個人一般信息，僅劃分為被侵犯“500條以上”才構(gòu)成犯罪是明顯不合理的，建議盡快制定相對較低的認(rèn)定標(biāo)準(zhǔn)。在侵犯患者信息犯罪“情節(jié)特別嚴(yán)重”的量刑標(biāo)準(zhǔn)上，應(yīng)摒棄單一的裁量標(biāo)準(zhǔn)，加入違法所得數(shù)額、信息用途、對社會的危害性以及對被害人產(chǎn)生的影響等因素和標(biāo)準(zhǔn)，使其更能突顯患者信息在公民個人信息中的重要地位。在司法實踐中，侵犯患者信息犯罪行為主體的認(rèn)定范圍應(yīng)予以擴大，該罪的行為主體還應(yīng)當(dāng)包括非醫(yī)療的外部單位和外部人員，并且針對各行為主體均有予以從重處罰的現(xiàn)實必要性。此外，還應(yīng)統(tǒng)一侵犯患者信息犯罪行為主體的刑罰標(biāo)準(zhǔn)。