王圓圓

（河南警察學院 指揮戰(zhàn)術系，河南 鄭州 450046)

互聯(lián)網(wǎng)時代，公民個人信息價值巨大，不僅關乎公民個人的財產(chǎn)利益和人身利益，而且對社會公共利益產(chǎn)生影響。由于個人信息蘊含巨大價值，實踐中侵犯公民個人信息的犯罪案件頻發(fā)，不僅對公民個人造成嚴重影響，而且造成社會秩序混亂。為應對個人信息犯罪案件，《中華人民共和國刑法修正案（七）》（以下簡稱《刑法修正案（七）》）對個人信息犯罪進行了規(guī)定，《中華人民共和國修正案（九）》（以下簡稱《刑法修正案（九）》）對此罪加以進一步拓展與細化。隨著信息技術的不斷發(fā)展，侵犯公民個人信息的違法犯罪行為愈演愈烈，類型也越發(fā)多樣，現(xiàn)有刑事立法難以有效應對侵害公民個人信息的犯罪行為，司法實踐領域存在大量難以用刑法規(guī)制的侵害公民個人信息的犯罪行為，不僅給公民的人身權益和財產(chǎn)利益造成影響，而且公民個人信息一旦被有違法犯罪傾向的不法人員加以利用，就會加劇各種詐騙和敲詐勒索案件的滋生，不利于國家和社會秩序的和諧與穩(wěn)定。鑒于此，有必要對刑法規(guī)制視域下的個人信息保護加以研究，以進一步促進對公民個人信息的保護，推進信息化社會的建設。

一、公民個人信息刑法保護的必要性

在信息社會，隨著公民個人信息經(jīng)濟價值的凸顯，由于利益的誘導及個人信息的易獲取性，對該類信息的收集與利用現(xiàn)象呈爆發(fā)增長態(tài)勢，公民個人信息受侵害的犯罪活動呈多發(fā)性、嚴峻性特點，僅通過民法、行政法等非刑法手段來對個人信息予以保護難以起到相應的震懾作用，也難以實現(xiàn)對個人信息的有效保護，因此，有必要從刑法角度對公民個人信息加以保護。

（一）公民個人信息受侵害的高發(fā)性與嚴峻性

信息技術的普及與升級在為信息的高速流動提供了技術手段、給人們的工作生活帶來諸多便利的同時，也給自身被用作犯罪工具帶來可能。在此種背景下，公民個人信息作為一種新的信息資源，關乎公民個人的隱私、人格與相應的財產(chǎn)利益，而且在大數(shù)據(jù)時代，隨著云計算、人工智能與區(qū)塊鏈技術的發(fā)展，海量的個人信息可能涉及國家安全、行業(yè)秩序與商業(yè)秘密等多方面?？梢?，公民個人信息蘊含巨大的經(jīng)濟價值，并成為信息社會的重要資源。面對個人信息蘊含的巨大潛力，同時由于此罪通常作為上游犯罪，可以為下游諸如詐騙、綁架、敲詐勒索等犯罪提供幫助，導致實踐中侵犯公民個人信息犯罪處于高發(fā)態(tài)勢。據(jù)相關數(shù)據(jù)統(tǒng)計，中國有超過80%的網(wǎng)民受到個人信息泄露的影響，僅2015年一年全國網(wǎng)民因個人信息泄露而受到垃圾信息、詐騙信息與騷擾信息等影響而產(chǎn)生的損失約為805億元。①中國網(wǎng)信網(wǎng)：《網(wǎng)民權益報告：網(wǎng)絡侵權致中國網(wǎng)民人均損失124元》，2015年7月22日，http://www.scio.gov.cn/m/zhzc/8/5/Document/1441916/1441916.htm，2022年3月4日。根據(jù)公安部調(diào)查數(shù)據(jù)顯示，2020年以來，全國共偵辦侵犯公民個人信息刑事案件3100余起，抓獲犯罪嫌疑人9700余名，②公安部：《2020年公安機關偵辦侵犯公民個人信息刑事案件3100余起》，2022年12月30日，http://www.gov.cn/xinwen/2020-12/30/content_5575322.htm，2022年3月4日。其中違法行為主要集中在房產(chǎn)租賃、裝飾裝修、教育培訓三個領域。此外，一些因公民個人信息受侵害而產(chǎn)生的后果的嚴峻性也成為刑法規(guī)制此類犯罪的重要原因之一。例如，2019年，江蘇南通市公安局發(fā)現(xiàn)林某多次在非法交易平臺出售銀行開戶、手機注冊等公民個人信息，數(shù)量高達500余萬條，非法牟利70余萬元，嚴重損害經(jīng)濟社會秩序；同年，河南省開封市公安局發(fā)現(xiàn)大量公民個人信息在微信圈被販賣，經(jīng)過偵察發(fā)現(xiàn)販賣個人信息背后隱藏著多部門“內(nèi)鬼”與外部人員勾結，層層倒賣公民個人信息至下游電信網(wǎng)絡詐騙、暴力催債、網(wǎng)絡賭博等違法犯罪集團，其中共涉及犯罪嫌疑人200余名，非法暴力催收公司2個，公民個人信息1億余條。③公安部網(wǎng)安局：《“公安2021”年終盤點打擊侵犯公民個人信息犯罪這一年:公安部公布十大典型案例》，2022年1月10日，http://news.youth.cn/jsxw/202201/t20220110_13384870.htm，2022年3月4日。綜上，實踐領域公民個人信息受侵害的高發(fā)性與嚴峻性使得刑法有必要對其予以保護。

（二）公民個人信息非刑法保護具有局限性

在中國法律體系中，刑罰是國家最嚴厲的懲治手段，只有在其他法律難以實現(xiàn)對公民個人信息有效保護時，才能運用刑事法律手段予以保護。④高富平、尹臘梅：《數(shù)據(jù)上個人信息權益：從保護到治理的范式轉(zhuǎn)變》，《浙江社會科學》2022年第1期，第58-67頁。在侵害公民個人信息的案件中，該類犯罪的成本低、行為隱蔽但回報收益大的特點，導致此類犯罪行為不斷滋生且發(fā)展逐漸成熟。例如，在實踐中經(jīng)常出現(xiàn)批量盜取個人信息進行販賣進而獲益的行為，或者通過技術手段非法獲取公民個人信息后，利用相關數(shù)據(jù)實施網(wǎng)絡電信詐騙或進行其他違法犯罪活動。當所侵害的公民個人信息過于龐大而對社會秩序造成嚴重影響時，如果僅依靠民法領域的停止侵害、排除妨害、賠償損失等要求行為人承擔責任，不僅難以起到震懾作用，而且難以計算α單個公民所受損失的范圍。雖然行政機關對侵害公民個人信息行為的保護更具主動性，但其處罰手段僅為警告、罰款、沒收違法所得、行政拘留等，難以實現(xiàn)對情節(jié)嚴重的侵害公民個人信息案件的規(guī)制。鑒于此，為了實現(xiàn)對嚴重侵害公民個人信息行為的規(guī)制，從刑法領域?qū)ζ溥M行保護必不可少。

二、公民個人信息刑法保護的不足

對公民個人信息予以刑法保護具有必要性，在刑法及相關司法解釋中也進行了相應規(guī)定。但在實踐中，隨著信息技術的不斷發(fā)展與個人信息蘊含價值的逐漸顯現(xiàn)，侵犯公民個人信息的犯罪行為愈演愈烈，類型也越發(fā)多樣，現(xiàn)有刑事立法在對侵害公民個人信息的犯罪行為進行規(guī)制時顯現(xiàn)出不足，不僅對公民個人信息安全造成影響，而且給社會秩序的穩(wěn)定造成沖擊。

（一）對公民個人信息界定困難

對侵害公民個人信息的犯罪行為加以規(guī)制的前提便是明確哪些屬于公民個人信息范圍，即判斷是否構成侵害公民個人信息犯罪的第一步需要對公民個人信息進行界定。關于公民個人信息在刑法中的界定，兩高在2017年發(fā)布的司法解釋第一條予以了明確，①張珺：《個人信息保護:超越個體權利思維的局限》，《大連理工大學學報（社會科學版）》2021年第1期，第90-97頁。雖然整體對個人信息進行了相應界定，并為該罪在實踐領域的使用提供了理論基礎，但仍然存在一些問題，導致對此罪保護法益存在不統(tǒng)一問題。首先，對主體范圍的認識存在不同，即法律規(guī)定的犯罪主體為公民，公民即具有一國國籍之人，根據(jù)文義解釋，此罪保護的主體通常是具有中國國籍的公民。但隨著信息的無邊界性、即時性傳播與各國人員流動的頻繁，僅對公民個人信息予以保護的條款顯現(xiàn)出不足。其次，對公民個人信息是否具有真實性判斷上存在一些問題，當案件涉及大量公民個人信息時，若對公民個人信息真實性難以判斷的情況下，能否將其計入個人信息范疇，也是當前實踐領域面臨的難題，若將其統(tǒng)計為個人信息，結果明顯不利于行為人。最后，在實踐中，部分犯罪嫌疑人會以信息由公開渠道獲取不屬于刑法規(guī)定的公民個人信息來進行辯護，那么，已經(jīng)公開的個人信息是否屬于侵犯公民個人信息犯罪所保護的法益在實踐中存在爭議。

（二）犯罪的主觀層面設置不合理

刑法與相關司法解釋對侵害公民個人信息犯罪所規(guī)定的行為手段包括出售、提供、竊取等，該種行為手段通常需要行為人積極主動作為，行為人在主觀層面有明確認識，即主觀層面為故意狀態(tài)，包括直接故意與間接故意，但卻未對過失犯罪進行規(guī)定。有學者主張侵害公共個人信息犯罪的過失犯罪存在舉證難度，因果關系較難證明，還有可能導致刑罰被濫用，刑法的謙抑性被破壞，所以對公民個人信息過失犯罪不予處罰。但也有學者主張在實踐中因過失導致公共個人受侵害的案件并不在少數(shù)，尤其在進入信息社會的當下，一些掌握公民個人信息的公私機構因疏忽導致信息泄露的情況時有發(fā)生，不僅給公民造成了精神與物質(zhì)層面的損害，而且給社會帶來恐慌，甚至使社會出現(xiàn)信任危機，②劉國華、羅欣、張力之：《論我國公民個人信息的刑法保護》，《黑龍江社會科學》2020年第4期，第108-113頁。其危害程度并不亞于刑法規(guī)定的故意出售、提供、竊取等行為。因此，現(xiàn)有刑法及相關司法解釋對此罪僅規(guī)定了故意狀態(tài)而缺乏對過失犯罪的規(guī)定具有不合理性。

（三）犯罪行為類型概括不全面

中國刑法對侵害公民個人信息的犯罪行為僅規(guī)定了非法出售、提供、竊取或以其他非法方法獲取。在實踐中，面對數(shù)字化與信息化發(fā)展的不斷深入，面對信息資源帶來的巨大經(jīng)濟利益，侵害公民個人信息的犯罪方式與技術手段更新迭代，刑法所規(guī)定的幾種犯罪行為類型難以覆蓋全部侵害公民個人行為。例如，在公民個人信息受到嚴侵害的當下，諸多對公民個人信息的違法利用甚至形成黑色產(chǎn)業(yè)鏈，相較刑法所規(guī)定的傳統(tǒng)侵害公民個人信息的行為，該種非法使用造成的法益侵害更具直接性與精準性。一方面，對公民個人信息的非法使用行為而言，其與傳統(tǒng)出售、提供與竊取公共個人信息具有本質(zhì)差異，傳統(tǒng)的犯罪行為僅是對個人信息的物理流轉(zhuǎn)，僅涉及對個人信息形式上的破壞，而使用則對個人信息具有直接破壞性。①類延村、徐潔涵：《個人信息法律保護的權利基礎與實踐邏輯》，《圖書館建設》2021年第1期，第84-92頁。另一方面，非法使用行為的法益侵害具有準確性，由于公民個人信息的本質(zhì)特征就在于可識別性，當非法使用該類信息時，容易對信息主體造成直接的人格與財產(chǎn)侵害。雖然非法使用公民個人信息行為具有嚴重的法益侵害性，但由于刑法條文中并未對該種行為加以規(guī)制，最終影響刑法對公民個人信息的保護。

（四）對“情節(jié)嚴重”認定粗糙

對侵犯公民個人信息犯罪“情節(jié)嚴重”的認定是司法實踐領域難以回避的問題，雖然在2017年兩高所發(fā)布的司法解釋中對“情節(jié)嚴重”的認定標準進行了明確，但仍存在一些問題。一方面，雖然司法解釋規(guī)定了對侵害公民個人信息“情節(jié)嚴重”的認定要采用綜合認定形式，但由于信息數(shù)量的易獲取性與對數(shù)額標準判定的簡單性，使得在司法實踐中對“情節(jié)嚴重”進行認定時，通常以信息數(shù)量與違法所得作為量刑標準，該種唯數(shù)量論的量刑形式不僅架空了其他認定要素，使司法解釋形同虛設，而且在大數(shù)據(jù)時代，數(shù)據(jù)庫存儲的信息通常難以計算，如果僅以特定信息數(shù)量作為認定標準，則難以確保罪行統(tǒng)一性。此外，在司法實踐中對信息數(shù)量進行統(tǒng)計時，通常會將行為人移動終端的原始信息進行直接認定，較少進行信息數(shù)量的真假性、重復性與有效性勘驗，難以反映犯罪行為情節(jié)嚴重的程度。另一方面，對“情節(jié)嚴重”的認定存在雙重評價的問題。由于公民個人信息所蘊含的巨大經(jīng)濟價值，在實踐中行為人通常會通過竊取、打包出售給其他犯罪主體來進行詐騙、傳銷等犯罪活動，即侵害公民個人信息通常與電信詐騙、傳銷等犯罪活動并發(fā)，可能不僅將其以“情節(jié)嚴重”進行認定，而且將其作為單獨刑事犯罪進行定罪量刑，出現(xiàn)同一行為兩次認定的雙重評價問題。②楊亞婕：《侵犯公民個人信息“情節(jié)嚴重”認定問題研究》，碩士學位論文，中國政法大學,2020年，第14頁。

三、加強公民個人信息刑法保護的對策

為實現(xiàn)刑法規(guī)制視域下公民個人信息的保護，需要明確界定公民個人信息范圍，拓展侵害公民個人信息犯罪的主觀層面，將非法使用行為入刑法規(guī)制范圍，對“情節(jié)嚴重”的標準予以明確。

（一）對公民個人信息范圍予以明確界定

針對實踐領域?qū)駛€人信息界定不明導致法益保護不完整性問題，首先，在對主體范圍的認識上，由于信息傳播的無邊界性與人口流動的頻繁性，中國領土范圍內(nèi)既有中國公民，也有外籍人士與無國籍人士，信息安全對于其同樣重要，若僅保護中國公民的信息安全，忽視對外籍人士與無國籍人士個人信息的保護，則可能會使刑法難以全方位對個人信息予以保護。其次，對公民個人信息是否真實性的判斷上，為符合罪行相適應原則，避免犯罪行為與刑事責任不統(tǒng)一現(xiàn)象的發(fā)生，便需要對公民個人信息是否真實予以證明。尤其是在涉及大批量信息時，在進行犯罪認定時，可以用等約計量的方式代替精準計量，以對海量信息進行估推式計量作為認定其是否真實的依據(jù)，不僅可以解決司法實踐中難以精準認定海量信息真實性的弊端，而且符合大數(shù)據(jù)時代對司法實踐提出的要求。最后，針對當前公開信息是否屬于公民個人信息的爭議，從《最高人民法院.最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中能夠明確認定是否屬于刑法所保護的公民個人信息關鍵在于是否具有可識別性，并非隱私性，公民個人隱私與個人信息之間屬于交叉關系而非重疊關系，所以，信息的公開獲取并不是否認信息屬于公民個人信息的絕對原因。③姬蕾蕾：《大數(shù)據(jù)時代個人敏感信息的法律保護》，《圖書館》2021年第1期，第99-106頁。此外，一方面由于刑事法律規(guī)范對公民個人信息的規(guī)范程度要遠大于其他法律規(guī)范，刑法認定屬于犯罪的行為，其他法律也可能對其作出否定性評價。另一方面，為了保證法律規(guī)范的統(tǒng)一性，對于公民個人信息范圍的界定同樣也適用于非刑法規(guī)制。

（二）對犯罪的主觀層面予以拓展

現(xiàn)有刑法在對侵害公民個人信息犯罪的主觀層面僅規(guī)定了犯罪的主觀層面，未對過失犯罪作出說明，根據(jù)罪刑法定原則要求，實踐中因過失造成他人個人信息泄露并不構成犯罪。但在某些情況下，尤其是對于公民個人信息負有義務的主體，因其過失給公民個人信息造成的損害并不亞于故意侵害行為，所以，應對侵害公民個人信息犯罪的主觀層面予以拓展，增加對過失侵犯公民個人信息的懲處。對于不作為的義務來源而言，主要包括法律明文規(guī)定的作為義務、相關職業(yè)要求的作為義務、先行行為引起的積極作為義務三種，上述行為所涉及的主體對公民個人信息均負有較高的義務，若其不慎或者疏忽大意泄露了公民個人信息，給公民與社會造成嚴重損失，應承擔相應責任。對侵害公民個人信息犯罪的主觀層面予以拓展，不僅能有效提高特殊主體收集、使用與存儲公民個人信息的警惕性，進而實現(xiàn)事前預防，而且能進一步督促其履行自身保管公民個人信息義務，實現(xiàn)對公民個人信息安全的保護。

（三）對犯罪的行為類型予以延伸

當前，侵害公民個人信息犯罪行為類型概括不全面，僅規(guī)定了非法出售、提供、竊取典型行為，未將非法使用行為納入刑法規(guī)制范疇，影響了刑法對公民個人信息保護的有效性。因此，應對侵害公民個人信息犯罪的行為類型予以延伸，對非法使用個人信息的行為加以規(guī)制。具體可以立法形式將非法使用行為與傳統(tǒng)侵害出售、提供、竊取行為并列，共同構成刑法對侵害公民個人信息犯罪的規(guī)制對象。①唐文莉：《侵犯公民個人信息罪行為方式研究》，碩士學位論文，湘潭大學,2017年，第38頁。非法使用公民個人信息與其他典型侵害公民個人信息在行為主體與行為客體層面具有一致性，在主觀層面則表現(xiàn)為故意，客觀方面即行為人在合法收集并存儲公民個人信息外，未經(jīng)授權或超出授權范圍，擅自將信息用作營利、實施違法犯罪行為或其他不正當用途，給公民或者社會造成嚴重損害。對于嚴重損害標準的認定，則可以參照相關司法及解釋予以認定。但同時需注意的是，大數(shù)據(jù)時代，商業(yè)主體的經(jīng)營好壞與其對市場信息掌握的程度密切相關。因此，在強調(diào)對公民個人信息保護時，應注意發(fā)揮刑法的謙抑性，避免將所有使用行為都納入刑法規(guī)制范圍的一刀切形式。總之，通過拓展侵害公民個人信息犯罪的行為類型，不僅能進一步規(guī)范相關主體對公民個人信息的使用，而且有利于實現(xiàn)刑法規(guī)制視域下公民個人信息的保護。

（四）明確對“情節(jié)嚴重”的認定

通過上文分析可知，當前，對侵害公民個人信息犯罪“情節(jié)嚴重”的認定過于粗糙，導致難以確保罪行統(tǒng)一，甚至可能難以真正區(qū)分犯罪的法益侵害程度，因此，應對“情節(jié)嚴重”進行明確認定。一方面，應改變實踐中認定“情節(jié)嚴重”唯信息數(shù)量論問題，鑒于犯罪情節(jié)是否嚴重直接反映侵權行為的社會危害性，并直接決定其是否應受到刑事處罰，不應僅通過案件涉及信息數(shù)量的多少直接決定情節(jié)是否嚴重，而應該綜合考量信息類型、數(shù)量、牟利數(shù)額、危害后果等，并對上述因素的標準加以明確，②趙祖斌：《從靜態(tài)到動態(tài):場景理論下的個人信息保護》，《科學與社會》2021年第4期，第98-116頁。在反映案件真實情況的同時，有效避免司法實踐中評判標準不統(tǒng)一的問題，保證案件的公平公正。另一方面，針對實踐領域?qū)Α扒楣?jié)嚴重”的認定存在雙重評價的問題，需要分析下游罪名能否對行為進行完全評價，如果能實現(xiàn)完全評價，則可以將侵害公民個人信息罪作為牽連犯，擇一重罪處理；如果未能實現(xiàn)完全評價，則應將侵害公民信息罪與下游犯罪數(shù)罪并罰，有效避免雙重評價現(xiàn)象的出現(xiàn)。

四、結語

隨著大數(shù)據(jù)時代的到來，公民個人信息蘊含的經(jīng)濟價值得以體現(xiàn)。在經(jīng)濟利益的誘導下，各類侵害公民個人信息的犯罪行為時有發(fā)生，在給公民的人身以及與財產(chǎn)安全造成侵害的同時，也對社會秩序造成沖擊。雖然立法與司法解釋對其進行了規(guī)定，但仍存在一定問題，難以應對不斷變化的侵害公民個人信息犯罪的新技術、新形態(tài)。為保證刑法對侵害公民個人信息犯罪規(guī)制的有效性，應從明確界定公民個人信息范圍、拓展犯罪的主觀層面、延伸犯罪的行為類型和明確對“情節(jié)嚴重”的認定入手，以真正實現(xiàn)對公民個人信息的保護，促進信息社會建設。