閔婉

摘要：

在信息網(wǎng)絡時代，網(wǎng)絡侵犯個人信息違法犯罪現(xiàn)象日益嚴重，在此背景下，我國個人信息保護立法工作近年來也取得了顯著的成效，但相關立法不協(xié)調、法律適用不一致等問題仍然存在。公安機關在治理網(wǎng)絡侵害個人信息違法行為的執(zhí)法實踐中，要準確適用相關法律、法規(guī)及司法解釋，正確界定法律保護的個人信息的范疇，準確把握侵犯個人信息一般違法行為與犯罪行為的界線，合理適用行政處罰權，精準打擊侵犯個人信息犯罪行為。

關鍵詞：公安機關;個人信息;違法行為;法律適用

近年來，我國信息泄露事件層出不窮，信息買賣日益猖獗，個人信息安全面臨嚴峻挑戰(zhàn)。尤其是隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展，收集、儲存、傳輸、處理和利用個人信息變得易如反掌，個人信息保護的漏洞與風險被進一步放大，公民個人信息通過網(wǎng)絡被泄露、竊取的案件高發(fā)，各類個人信息違法行為正嚴重影響著社會的安全與秩序。在此背景下，我國個人信息保護立法工作近年來也取得了顯著的成效，《刑法修正案（九）》、《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》（以下簡稱《決定》）、《網(wǎng)絡安全法》、《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）等法律和司法解釋的出臺為網(wǎng)絡個人信息保護提供了更明確的法律指引。但我們也不能忽視，當前我國關于個人信息保護的法律法規(guī)仍然呈現(xiàn)出龐雜和分散的狀態(tài)，立法不協(xié)調、法律適用不一致等問題仍然存在，因此，從公安機關執(zhí)法職能的角度出發(fā)，厘清網(wǎng)絡侵犯個人信息的違法行為的法律適用，是公安機關有效治理此類違法行為的基礎。

一、個人信息的概念及范疇的界定

對“個人信息”的概念和范疇的界定，理論界一直眾說紛紜?！半[私說”認為，“個人信息”具有隱私性，是權利主體不愿意為他人知曉的私密性、非公開性的信息;“識別說”認為，“個人信息”具有可識別性，是與特定權利主體具有特定關聯(lián)性的信息，通過這些信息能夠直接或間接識別出權利主體的具體身份;“廣義說”認為，“個人信息”是以任何形式存在的與權利主體存在關聯(lián)的各類信息。[1]從各國立法實踐來看，對“個人信息”范疇的界定也各不相同。歐盟《個人數(shù)據(jù)保護指令》認為，“個人數(shù)據(jù)”是指可據(jù)以識別特定自然人的與數(shù)據(jù)主體相關的任何信息，包括姓名、性別、身份證號碼、照片、定位數(shù)據(jù)、基因數(shù)據(jù)、健康數(shù)據(jù)等;美國《隱私法》認為，“個人信息”是指一個機構所持有的與一個人相關的各類單項信息或信息組合，包括但不限于：教育、金融交易、醫(yī)療病史、工作履歷、識別號碼、指紋、照片等。[2]

對“個人信息”的概念和范疇的不同界定，直接關系到個人信息保護法律制度所保護的法益范疇的大小，從而直接影響到對侵犯個人信息違法犯罪行為的準確界定。從我國的立法實踐來看，關于這一問題的解讀也呈現(xiàn)出不斷發(fā)展的態(tài)勢。2012年頒布的《決定》將“個人信息”的界定為“能夠識別公民個人身份和涉及公民個人隱私的電子信息?！边@一概括性的界定綜合了“隱私說”和“識別說”的觀點，保護范疇足夠寬泛，但是因規(guī)定不夠具體，不利于執(zhí)法和司法實踐中準確把握。2016年頒布的《網(wǎng)絡安全法》采納的是概括加列舉的定義方式，該法明確規(guī)定：“個人信息，是指以電子或其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！辈浑y看出，該法對“個人信息”范疇的界定采納了“識別說”，但是，在大數(shù)據(jù)背景下，嚴格以“識別說”為標準，會導致用戶網(wǎng)頁瀏覽記錄、購物記錄、行蹤軌跡等不必然具有識別性卻能反映出權利主體的活動情況的個人信息得不到法律的保護。為了更加科學地界定受法律保護的“個人信息”的范疇，適應網(wǎng)絡環(huán)境下侵犯個人信息違法犯罪行為高發(fā)的社會現(xiàn)狀，2017年頒布的《解釋》第1條對“個人信息”的概念和范疇作出了拓展化的解釋：“刑法第二百五十三條之一規(guī)定的‘公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”通過司法解釋的方式對“個人信息”的概念和范疇作出擴大化的界定，將反映自然人活動情況的信息明確納入了“個人信息”的范疇，使得法律對“個人信息”的保護更加嚴格，這一發(fā)展性解釋更加符合大數(shù)據(jù)背景下個人信息保護的需求，有效厘清了此前的模糊認知，并為公安機關精準打擊侵犯個人信息違法犯罪行為提供了明確的法律依據(jù)。

此外，個人信息的數(shù)量是侵犯公民個人信息案件定罪量刑標準的主要依據(jù)。實踐中，公安機關查獲的涉案信息數(shù)量動輒上萬條、數(shù)十萬條，甚至以兆計算，其中不乏大量虛假的信息條目，怎樣科學、合理認定信息數(shù)量是公安機關在辦案過程中必須面對的問題。首先應當明確的是，個人信息既然是能夠識別自然人個人身份的信息，因此必須具有真實性，虛假的信息不符合我國法律對“個人信息”內涵的界定，不應計算在內。

[3]但是考慮到執(zhí)法過程中的實際可操作性，《解釋》規(guī)定，對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實的除外。其次，非法獲取公民個人信息后又向他人非法出售或者提供的，這種情況下，侵害的個人信息條數(shù)不應重復計算。最后，行為人將相同的公民個人信息向不同對象分別出售、提供的，屬于重復出售或者提供個人信息，社會危害性較一次性出售或提供危害性更大，數(shù)量應累計計算。

二、公安機關治理網(wǎng)絡侵犯個人信息一般違法行為的法律適用

違反國家有關個人信息保護的法律法規(guī)，侵害權利主體的個人信息權利，但情節(jié)輕微，尚不足以構成侵害公民個人信息罪的，屬于侵犯個人信息一般違法行為。對這類行為人，不適用刑法規(guī)定的刑事處罰形式，而應當依據(jù)行為人實施行為的違法性程度及損害后果不同，對其實施行政處罰或追究民事責任。國家網(wǎng)信部門及其他有關主管部門在各自職權范圍內對不同類型的網(wǎng)絡侵犯個人信息一般違法行為進行監(jiān)督和管理，并有權對違法行為人依法給予警告、罰款、沒收違法所得等行政處罰措施。但是由于我國目前尚未出臺《個人信息保護法》，對于侵犯個人信息的一般違法行為的界定、管轄及處罰均沒有統(tǒng)一明確的體系化規(guī)定，不利于主管部門對此類違法行為及時有效地進行管理。

對公安機關而言，治理網(wǎng)絡侵犯個人信息一般違法行為的主要法律依據(jù)是《網(wǎng)絡安全法》的第四十四條和六十四條。根據(jù)這兩個條款的規(guī)定，任何組織和個人竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個人信息，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款。根據(jù)這一規(guī)定，公安機關對網(wǎng)絡侵犯個人信息一般違法行為享有沒收違法所得及罰款的行政處罰權。那么公安機關是否有權對違法行為人處以其他類型的行政處罰呢？就目前法律規(guī)定來看，答案是否定的。因為當前公安機關治理各類一般違法行為的主要法律依據(jù)是《治安管理處罰法》，而該法中并沒有將侵犯個人信息的行為納入治安管理處罰范圍，導致對侵害個人信息的一般違法行為的行政處罰體系并不完善。[4]

三、公安機關治理網(wǎng)絡侵犯個人信息犯罪行為的法律適用

（一）關于犯罪主體的法律適用

我國《刑法修正案（七）》將侵犯個人信息犯罪的行為主體限定為“國家機關或者電信、金融等單位及其工作人員”，對犯罪主體的限定直接導致實務中大量侵犯個人信息的行為無法納入刑法調控范疇，極不利于對公民個人信息的全面有效保護?，F(xiàn)行的《刑法修正案（九）》及時回應了這一現(xiàn)實訴求，刪除了對侵犯個人信息罪特殊主體的限定性規(guī)定，將此罪的行為主體擴充為一般主體，加大了對公民個人信息的保護力度。也就是說，任何單位或者個人，只要違反國家有關規(guī)定，竊取或以其他方法非法獲取公民個人信息或者向他人出售或提供公民個人信息，情節(jié)嚴重的，均構成侵犯個人信息罪。但不可否認，對國家機關、電信、金融、互聯(lián)網(wǎng)服務企業(yè)等特殊行業(yè)及其工作人員來說，因為職務便利或業(yè)務需求極為便利地掌握著大量的公民個人信息，一旦被非法泄露，不僅會侵害公民的個人信息權，也會極大破壞上述公共服務機構的社會公信力，進而嚴重影響社會公共秩序的安寧和穩(wěn)定。相對于一般社會主體而言，這類特殊主體的犯罪成本更低，社會危害性更大，因此，《刑法修正案（九）》同時規(guī)定：“違反國家有關規(guī)定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，從重處罰?！贝送猓督忉尅愤€明確規(guī)定，針對此類特殊主體，認定“情節(jié)嚴重”的數(shù)量、數(shù)額標準減半計算。通過對特殊主體從重處罰并降低入罪門檻的方式，貫徹了罪行相適應的原則，更周全地實現(xiàn)了對公民個人信息的嚴格保護。

（二）關于犯罪行為的法律適用

1.入罪行為方式認定

一是“提供”的認定。在“人肉搜索”案件中，行為人未經權利人同意即將其身份、照片、姓名、生活細節(jié)等個人信息公布于眾，影響其正常的工作、生活秩序，危害嚴重。更有甚者，一些行為人惡意利用泄露的個人信息進行各類違法犯罪活動。經研究認為，通過信息網(wǎng)絡或者其他途徑予以發(fā)布，實際是向不特定多數(shù)人提供公民個人信息，向特定人提供公民個人信息的行為屬于“提供”，基于“舉輕明重”的法理，前者更應當認定為“提供”?；诖耍督忉尅芬?guī)定：“向特定人提供公民個人信息，以及通過信息網(wǎng)絡或者其他途徑發(fā)布公民個人信息的，應當認定為刑法第二百五十三條之一規(guī)定的‘提供公民個人信息。”二是合法收集公民個人信息后非法提供的認定。根據(jù)《網(wǎng)絡安全法》的規(guī)定，經得被收集者同意，以及做匿名化處理（剔除個人關聯(lián)），是合法提供公民個人信息的兩種情形?；诖?，《解釋》規(guī)定：“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的‘提供公民個人信息，但是經過處理無法識別特定個人且不能復原的除外?！备`取或者以其他方法非法獲取公民個人信息，是侵犯公民個人信息罪的客觀行為方式之一。根據(jù)司法實踐的情況，《解釋》第四條對“非法獲取公民個人信息”的認定作了進一步明確。一是規(guī)定“違反國家有關規(guī)定，通過購買、收受、交換等方式獲取公民個人信息”的，屬于“非法獲取公民個人信息”。二是根據(jù)《網(wǎng)絡安全法》規(guī)定的收集、使用個人信息的規(guī)則，明確違反國家有關規(guī)定，“在履行職責、提供服務過程中收集公民個人信息”的，屬于“非法獲取公民個人信息”。

2.入罪行為情節(jié)認定

根據(jù)《解釋》的規(guī)定，“情節(jié)嚴重”的認定標準主要包括四個方面：一是信息類型和數(shù)量。特殊敏感信息為五十條以上;一般敏感信息為五百條以上;一般信息為五千條以上。二是違法所得數(shù)額。出售或者非法提供公民個人信息違法所得五千元以上為“情節(jié)嚴重”。三是信息用途。非法獲取、出售或者提供行蹤軌跡信息，被他人用于犯罪的;知道或者應當知道他人利用公民個人信息實施犯罪仍向其出售或者提供的，均為“情節(jié)嚴重”。四是前科情況。曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的，行為人屢教不改、主觀惡性大。

（三）關于刑事責任的法律適用

侵犯個人信息罪的量刑一般為三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！扒楣?jié)特別嚴重”的認定標準主要涉及兩個方面：一是數(shù)量數(shù)額標準，根據(jù)信息類型不同，非法獲取、出售或者提供公民個人信息五百條以上、五千條以上、五萬條以上，或者違法所得五萬元以上的，即屬“情節(jié)特別嚴重”。二是嚴重后果，如造成被害人死亡、重傷、精神失?；蛘弑唤壖艿葒乐睾蠊约霸斐芍卮蠼洕鷵p失或者惡劣社會影響等嚴重后果。

公安機關擔負著治理侵害個人信息違法行為的重要使命。公安機關在偵辦各類侵害個人信息案件的執(zhí)法實踐中，要正確適用現(xiàn)行法律法規(guī)，準確界定法律保護的個人信息的范圍，準確把握侵犯個人信息違法行為罪與非罪的界線，合理適用侵犯個人信息一般違法行為的處罰權，準確理解和適用侵犯個人信息罪的構成要件。唯有如此，公安機關才能有效履行打擊各類侵犯個人信息違法行為，維護人民的人身和財產安全，維護網(wǎng)絡安全及社會秩序的重要職責。

[參考文獻]

[1]趙宗濤.網(wǎng)絡安全視野下“個人信息”范圍的刑法界定[J].山東青年政治學院學報，2017（5）.

[2]黃藍.個人信息保護的國際比較與啟示[J].情報科學，2014（1）.

[3]葉小琴.侵犯個人信息罪的犯罪對象應當是真實的個人信息[N].人民法院報，2017.2.15第6版.

[4]文立彬.個人信息犯罪立法之反思與優(yōu)化[J].理論月刊，2015（12）.

基金項目：湖北警官學院社會治安治理研究中心2019年課題《公安機關治理網(wǎng)絡侵犯個人信息違法行為的法律適用研究》（2019C013）;湖北警官學院2019年院級科研課題《網(wǎng)絡環(huán)境下侵犯個人信息罪的防控策略研究》.

（作者單位：湖北警官學院法律系，湖北 武漢 430030）