張 楚

(西南政法大學(xué),重慶 401120)

最高人民法院、最高人民檢察院于2017 年出臺(tái)了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱(chēng)《辦理侵犯公民個(gè)人信息刑事案件的解釋》),規(guī)定影響侵犯公民個(gè)人信息罪的量刑情節(jié)主要包括信息類(lèi)型和數(shù)量、違法所得數(shù)額、信息用途及主體身份等。 其中,第5 條規(guī)定的非法獲取公民個(gè)人信息50 條、500 條和5000 條的入罪梯度,是信息分級(jí)制度在刑法適用中的體現(xiàn)。 隨著信息分級(jí)制度的逐漸成形,侵犯公民個(gè)人信息罪的量刑開(kāi)始關(guān)注涉案?jìng)€(gè)人信息的類(lèi)別、級(jí)別和重要程度,因而信息分級(jí)的顆粒度和精準(zhǔn)度在量刑上開(kāi)始受到重視。①參見(jiàn)童云峰:《證立與提倡:讀者個(gè)人信息的民法分類(lèi)分級(jí)保護(hù)》,載《現(xiàn)代情報(bào)》2021 年第12 期,第97-106 頁(yè);洪延青:《國(guó)家安全視野中的數(shù)據(jù)分類(lèi)分級(jí)保護(hù)》,載《中國(guó)法律評(píng)論》2021 年第5 期,第71-78 頁(yè)。然而,我國(guó)尚未出臺(tái)關(guān)于個(gè)人信息分級(jí)的具體法律法規(guī),侵犯公民個(gè)人信息罪量刑情節(jié)的法律評(píng)價(jià)和適用,可以在準(zhǔn)確把握侵犯公民個(gè)人信息罪法益內(nèi)涵的基礎(chǔ)上,依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》)、《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱(chēng)《數(shù)據(jù)安全法》)、《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》)等法律進(jìn)行考量。

一、侵犯公民個(gè)人信息罪的量刑梯度評(píng)析與法益重釋

《辦理侵犯公民個(gè)人信息刑事案件的解釋》對(duì)個(gè)人信息的分級(jí)保護(hù)進(jìn)行了嘗試,此前的量刑規(guī)則把涉案?jìng)€(gè)人信息的種類(lèi)、級(jí)別和其他影響侵犯公民個(gè)人信息罪的量刑因素雜糅在一起,量刑情節(jié)梯度與邏輯層次有待在后續(xù)立法中進(jìn)一步凝練。 2018 年起關(guān)于個(gè)人信息保護(hù)和數(shù)據(jù)保護(hù)的立法逐漸落地,并伴隨國(guó)家對(duì)網(wǎng)絡(luò)、信息和數(shù)據(jù)分級(jí)管理制度的進(jìn)一步完善,《個(gè)人信息保護(hù)法》和配套規(guī)范對(duì)個(gè)人信息類(lèi)別與等級(jí)的劃分有了進(jìn)一步探索。 侵犯公民個(gè)人信息罪的量刑梯度的科學(xué)設(shè)置,以及與當(dāng)前信息保護(hù)制度的銜接,均應(yīng)當(dāng)在信息分級(jí)治理的基礎(chǔ)上進(jìn)行,同時(shí)還應(yīng)當(dāng)考慮侵犯公民個(gè)人信息罪的保護(hù)法益。

(一)侵犯公民個(gè)人信息罪的量刑梯度評(píng)析

《個(gè)人信息保護(hù)法》和《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273—2020)(以下簡(jiǎn)稱(chēng)《安全規(guī)范》)把個(gè)人信息分為了一般個(gè)人信息與敏感個(gè)人信息。 較于《辦理侵犯公民個(gè)人信息刑事案件的解釋》,《安全規(guī)范》根據(jù)數(shù)量和等級(jí)把涉案?jìng)€(gè)人信息分為3 個(gè)數(shù)量層次,分別對(duì)應(yīng)3 個(gè)信息等級(jí),即(1)軌跡、通信、征信和財(cái)產(chǎn)一類(lèi)的信息;(2)住宿、健康、交易一類(lèi)的信息;(3)其他信息。 《辦理侵犯公民個(gè)人信息刑事案件的解釋》的出臺(tái)時(shí)間較早,雖然其在嘗試根據(jù)個(gè)人信息的等級(jí)進(jìn)行量刑劃分,但不足之處也比較明顯。

第一,《辦理侵犯公民個(gè)人信息刑事案件的解釋》對(duì)個(gè)人信息的分類(lèi)忽略了個(gè)人信息的時(shí)效性?！掇k理侵犯公民個(gè)人信息刑事案件的解釋》把軌跡、征信一類(lèi)的信息規(guī)定為最敏感的信息,但現(xiàn)實(shí)生活中軌跡通常發(fā)生變化,軌跡信息具有很強(qiáng)的即時(shí)性,超過(guò)三天已無(wú)太大價(jià)值。 財(cái)產(chǎn)、通信和征信一類(lèi)的個(gè)人信息也是處于變化中的信息。 此外,3 個(gè)等級(jí)的入刑標(biāo)準(zhǔn)按照十個(gè)等比升序設(shè)置也有待商榷,因?yàn)? 種不同的個(gè)人信息只是在類(lèi)別上進(jìn)行劃分,在認(rèn)定上必然存在重合和交叉。 比如,軌跡、財(cái)產(chǎn)一類(lèi)的信息和住宿、交易一類(lèi)的信息就存在重合關(guān)系,在具體認(rèn)定中也只能以該信息的敏感程度來(lái)區(qū)分信息的級(jí)別。

第二,《辦理侵犯公民個(gè)人信息刑事案件的解釋》對(duì)個(gè)人信息的分類(lèi)忽略了個(gè)人信息的可識(shí)別性。 以軌跡信息為例,在《安全規(guī)范》中的個(gè)人信息示例中,其僅僅屬于個(gè)人位置信息的一個(gè)子類(lèi),是一般個(gè)人信息,而非敏感個(gè)人信息。 因?yàn)楫?dāng)前智能設(shè)備對(duì)實(shí)時(shí)個(gè)人信息的采集多用于消費(fèi)推薦或者地圖導(dǎo)航,不關(guān)注設(shè)備主體的具體身份,因而在技術(shù)上切斷了與信息主體的身份關(guān)聯(lián)。 相反,身份證、面部識(shí)別信息等個(gè)人信息才屬于敏感個(gè)人信息,因?yàn)槠鋵儆谏矸菪畔⒒蛘呱镒R(shí)別信息,具有難以篡改性,對(duì)特定個(gè)人具有很強(qiáng)的可識(shí)別性。

第三,《辦理侵犯公民個(gè)人信息刑事案件的解釋》對(duì)個(gè)人信息的分類(lèi)忽略了個(gè)人信息的脫敏度。根據(jù)《個(gè)人信息保護(hù)法》及相關(guān)法律規(guī)定,已識(shí)別、可識(shí)別、直接識(shí)別及間接識(shí)別到特定個(gè)人的各種信息均屬于個(gè)人信息。 《安全規(guī)范》把經(jīng)過(guò)去標(biāo)識(shí)化的個(gè)人信息作為個(gè)人信息,根據(jù)合規(guī)要求,個(gè)人信息在處理活動(dòng)中均需經(jīng)過(guò)技術(shù)加密,但與匿名化的個(gè)人信息不同,去標(biāo)識(shí)化的個(gè)人信息在借助額外信息的情況下可以對(duì)個(gè)人信息進(jìn)行重識(shí)別,而經(jīng)過(guò)匿名化的信息則不能被復(fù)原。 基于此,去標(biāo)識(shí)化的個(gè)人信息關(guān)聯(lián)到特定個(gè)人時(shí)需要啟動(dòng)重識(shí)別,因而去標(biāo)識(shí)化的個(gè)人信息的顆粒度比一般個(gè)人信息模糊,以這一類(lèi)個(gè)人信息作為侵犯公民個(gè)人信息罪犯罪對(duì)象時(shí),在量刑適用時(shí)可以適當(dāng)克減。

因此,從涉案?jìng)€(gè)人信息等級(jí)的時(shí)效性、可識(shí)別性和脫敏程度來(lái)看,以絕對(duì)等比序列設(shè)置侵犯公民個(gè)人信息罪的量刑梯度合理性不足。 涉案?jìng)€(gè)人信息的種類(lèi)和級(jí)別的劃定,應(yīng)該充分考慮信息的顆粒度。 而信息顆粒度的合理劃分,應(yīng)當(dāng)充分考慮信息的實(shí)質(zhì)內(nèi)容。 同時(shí),結(jié)合構(gòu)成侵犯公民個(gè)人信息罪的法益本質(zhì),考量侵犯公民個(gè)人信息的行為到底侵害何種社會(huì)關(guān)系,以及此種社會(huì)關(guān)系的社會(huì)危害性程度有哪些評(píng)定因素,方能更好地研究侵犯公民個(gè)人信息罪的量刑梯度。

(二)侵犯公民個(gè)人信息罪的法益本質(zhì)

目前,學(xué)界關(guān)于侵犯公民個(gè)人信息罪法益的探討,主要集中在其保護(hù)的法益是否具備私密性,以及是集體法益還是個(gè)人法益等方面。①參見(jiàn)徐翕明:《侵犯公民個(gè)人信息罪的法益重析——基于個(gè)人信息保護(hù)法制定的探討》,載《社會(huì)科學(xué)家》2022 年第8 期,第119-125 頁(yè);汪恭政:《侵犯公民個(gè)人信息罪認(rèn)定的應(yīng)然轉(zhuǎn)向》,載《西南政法大學(xué)學(xué)報(bào)》2022 年第3 期,第112-128 頁(yè);陳小彪:《侵犯公民個(gè)人信息之法益厘定及其司法展開(kāi)——以個(gè)人信息數(shù)量認(rèn)定為視角》,載《中國(guó)人民公安大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2022 年第2 期,第73-80頁(yè)。前者對(duì)于量刑因素的意義,在于量刑梯度是否應(yīng)當(dāng)考慮涉案?jìng)€(gè)人信息私密程度,以及對(duì)信息主體安寧程度的影響;后者對(duì)于量刑因素的意義,在于法益侵害程度是被害人數(shù)量的簡(jiǎn)單累加,還是應(yīng)當(dāng)考慮個(gè)人法益積聚之后是否會(huì)產(chǎn)生新的法益。 筆者認(rèn)為,侵犯公民個(gè)人信息罪的法益具備隱私性和聚合性的特征。

1.侵犯公民個(gè)人信息罪法益內(nèi)容的隱私性

有學(xué)者主張,侵犯公民個(gè)人信息權(quán)益的犯罪和侵犯公民隱私權(quán)利的犯罪在法理保護(hù)上應(yīng)當(dāng)分流。 因?yàn)殡S著數(shù)字科技向國(guó)民生活方方面面的滲透,公民信息和公民隱私的法律保護(hù)路徑已經(jīng)開(kāi)始分化。②參見(jiàn)鄭澤星:《論侵犯公民個(gè)人信息罪的保護(hù)法益——場(chǎng)景化法益觀的理論構(gòu)造與實(shí)踐立場(chǎng)》,載《清華法學(xué)》2023 年第3 期,第90-105 頁(yè);[德]克勞斯·羅克辛:《法益討論的新發(fā)展》,許絲捷譯,載《月旦法學(xué)雜志》2012 年第12 期,第257-280 頁(yè)。對(duì)于該觀點(diǎn),筆者持保留態(tài)度。 個(gè)人信息權(quán)益從隱私權(quán)中的分化和脫離,并不與二者的關(guān)聯(lián)和契合矛盾。 盡管學(xué)界還尚未承認(rèn)個(gè)人信息是一種基本民事權(quán)利,但對(duì)個(gè)人信息的保護(hù)是起源于隱私權(quán),而最終脫胎于隱私權(quán)。 首先,在民法的適用領(lǐng)域,隱私和個(gè)人信息存在調(diào)整范圍的重合性。 屬于隱私的個(gè)人信息,理論上被稱(chēng)為隱私信息。①參見(jiàn)劉磊:《論私密個(gè)人信息的合理使用困境與出路》,載《財(cái)經(jīng)法學(xué)》2023 年第2 期,第36-50 頁(yè);蔡一博、郭福卿:《隱私與個(gè)人信息區(qū)分下的銜接保護(hù)》,載《學(xué)術(shù)交流》2022 年第12 期,第105-118 頁(yè)。根據(jù)《中華人民共和國(guó)民法典》(以下簡(jiǎn)稱(chēng)《民法典》)相關(guān)規(guī)定,隱私權(quán)和個(gè)人信息發(fā)生競(jìng)合時(shí),優(yōu)先適用隱私權(quán)保護(hù)的救濟(jì)途徑。 其次,從刑法的罪名體系來(lái)看,侵犯公民個(gè)人信息罪緊隨侵犯通信自由罪和私自開(kāi)拆、隱匿、毀棄郵件、電報(bào)罪之后,其保護(hù)的法益有相似之處。 個(gè)人信息的公法保護(hù)是隨著運(yùn)輸業(yè)的興起,通信郵件隱私保護(hù)逐漸發(fā)展到快遞物流的信息安全保護(hù),最終擴(kuò)大到全生命周期的個(gè)人信息保護(hù)。 最后,就公民個(gè)人信息的功能和特性而言,個(gè)人信息能直接或者間接反映出特定信息主體的身份圈層、財(cái)產(chǎn)狀況、行蹤軌跡等特征,侵犯?jìng)€(gè)人信息可能會(huì)打擾信息主體的生活安寧。

因此,無(wú)論是保護(hù)單個(gè)的公民個(gè)人信息還是保護(hù)大量的公民個(gè)人信息,都要基于信息自決的權(quán)利基礎(chǔ)和知情同意的處理前提。 私法的調(diào)整和公法的保護(hù)殊途同歸,只是在不同場(chǎng)景下選擇不同的路徑。 侵犯公民個(gè)人信息的,一般侵犯公民隱私,個(gè)人信息經(jīng)本人公開(kāi)的除外。②也有學(xué)者認(rèn)為,侵犯已公開(kāi)的個(gè)人信息也可能構(gòu)成侵犯公民個(gè)人信息罪,但此種場(chǎng)景并未侵犯公民隱私。 參見(jiàn)歐陽(yáng)本祺:《侵犯公民個(gè)人信息罪的法益重構(gòu):從私法權(quán)利回歸公法權(quán)利》,載《比較法研究》2021 年第3 期,第55-68 頁(yè)。筆者認(rèn)為,民事法律和涉及個(gè)人信息保護(hù)的其他相關(guān)法律法規(guī),側(cè)重于信息主體對(duì)信息相關(guān)權(quán)益的支配、控制和自決,是私法領(lǐng)域正在探索的新型權(quán)利客體,而刑法對(duì)于個(gè)人信息保護(hù)的啟動(dòng)條件應(yīng)當(dāng)以傳統(tǒng)的隱私法益作為基礎(chǔ),以相關(guān)公民隱私的侵犯程度作為參考。 對(duì)于已經(jīng)向公眾披露的個(gè)人信息,并未侵犯信息主體的隱私,通過(guò)公開(kāi)渠道的提供和獲取亦并不會(huì)侵犯公民生活的安寧,因此,缺乏法益侵害的嚴(yán)重性和緊迫性。 若在使用公民個(gè)人信息的程序和方式上有瑕疵,完全可以通過(guò)民事救濟(jì)來(lái)解決。

2.侵犯公民個(gè)人信息罪法益本質(zhì)的聚合性

侵犯公民個(gè)人信息在侵犯隱私程度上的投射,可以以個(gè)人信息的數(shù)量作為重要參考。 根據(jù)《民法典》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》和《辦理侵犯公民個(gè)人信息刑事案件的解釋》的規(guī)定,侵犯公民個(gè)人信息罪中的“公民個(gè)人信息”,是可以識(shí)別到特定個(gè)人,或者和特定個(gè)人關(guān)聯(lián)的各類(lèi)個(gè)人信息,以及這些個(gè)人信息的數(shù)據(jù)集合。③參見(jiàn)劉新宇:《中華人民共和國(guó)個(gè)人信息保護(hù)法重點(diǎn)解讀與案例解析》,中國(guó)法制出版社2021 年版,第17 頁(yè)。非法獲取、出售或者提供個(gè)人信息,一般是達(dá)到一定數(shù)量級(jí)的個(gè)人信息,這些個(gè)人信息可以識(shí)別出特定群體的消費(fèi)水平、經(jīng)濟(jì)情況,甚至特定領(lǐng)域和地區(qū)的行業(yè)動(dòng)態(tài),屬于個(gè)人信息向重要數(shù)據(jù)的聚合。

近年來(lái),有學(xué)者認(rèn)為,侵犯公民個(gè)人信息罪的保護(hù)法益具有聚合性,在體系解釋和法秩序統(tǒng)一性視野下,個(gè)人信息衍生出在社會(huì)生活中的公共價(jià)值屬性,但刑法作為保障法,同樣關(guān)注信息主體的信息自決權(quán)和相對(duì)隱私,因而同樣保護(hù)信息自決衍生出來(lái)的個(gè)體社會(huì)交往利益。④參見(jiàn)張楚:《集體法益視野下獲取公民個(gè)人信息行為的入罪限度研究》,載《刑法論叢》2021 年第1 期,第250-274 頁(yè);馬永強(qiáng):《侵犯公民個(gè)人信息罪的法益屬性確證》,載《環(huán)球法律評(píng)論》2021 年第2 期,第102-118 頁(yè)。

個(gè)人信息的聚合程度和處理活動(dòng)的批量程度,橫跨私法領(lǐng)域和公法領(lǐng)域,影響侵犯公民個(gè)人信息罪的成立。 然而,隨著個(gè)人信息的積聚,個(gè)人信息的可識(shí)別性和可計(jì)算性會(huì)引發(fā)信息的進(jìn)一步“增值”,從個(gè)人信息累積成重要數(shù)據(jù),進(jìn)而可能折射出一個(gè)企業(yè)或者行業(yè)的動(dòng)態(tài)。 比如,銀行客戶(hù)的大量個(gè)人信息、網(wǎng)約車(chē)司機(jī)的大量駕駛信息、醫(yī)院患者的大量病史信息等,于相關(guān)主體而言屬于個(gè)人信息的范疇,于相關(guān)行業(yè)而言可能屬于重要數(shù)據(jù)的范疇,反映出金融趨勢(shì)、地圖路況或者國(guó)民健康情況。 然而,在我國(guó)刑法對(duì)數(shù)據(jù)保護(hù)不充分的現(xiàn)實(shí)下,倘若非法獲取、出售或者提供大量的個(gè)人信息尚不構(gòu)成侵犯商業(yè)秘密或者國(guó)家秘密類(lèi)犯罪,則可以在侵犯公民個(gè)人信息罪的量刑適用上進(jìn)行調(diào)整。

綜上,刑法所保護(hù)的公民個(gè)人信息,兼具隱私性和聚合性。 隱私性是在個(gè)體上考慮個(gè)人信息對(duì)信息主體的敏感程度和關(guān)聯(lián)程度,體現(xiàn)公民個(gè)人信息的社會(huì)屬性,即便姓名、聯(lián)系方式等個(gè)人信息在一定程度上公開(kāi),也應(yīng)當(dāng)具備相對(duì)私密性,其私密程度和信息價(jià)值均影響信息主體對(duì)于涉案信息的敏感程度,進(jìn)而影響侵犯公民個(gè)人信息罪的量刑適用。 聚合性是侵犯公民個(gè)人信息罪法益內(nèi)容的數(shù)量特征,即犯罪對(duì)象涵蓋信息主體的不特定性和多量性,表現(xiàn)為信息主體上考慮所涉數(shù)據(jù)的量值,以及涉及到相關(guān)行業(yè)的重要程度。 換言之,侵犯公民個(gè)人信息罪的量刑梯度,應(yīng)當(dāng)充分考慮涉案?jìng)€(gè)人信息的隱私程度和聚合程度。

二、侵犯公民個(gè)人信息罪涉案信息的級(jí)別

隨著個(gè)人信息分級(jí)制度的形成,公民個(gè)人信息的保護(hù)方式逐漸從一元轉(zhuǎn)向?yàn)槎嗑S,侵犯公民個(gè)人信息的評(píng)價(jià)從之前的重?cái)?shù)量評(píng)價(jià)逐漸轉(zhuǎn)為以信息等級(jí)為因數(shù)的質(zhì)量雙項(xiàng)評(píng)價(jià)。 根據(jù)當(dāng)前的技術(shù)水平和司法現(xiàn)狀,個(gè)人信息的分級(jí)方法有基于“敏感程度”“保護(hù)能力”“等級(jí)保護(hù)”的3 種方法①參見(jiàn)許力、朱瑞、曾雅麗:《認(rèn)知無(wú)線(xiàn)電網(wǎng)絡(luò)中基于SpaceTwist 的位置隱私保護(hù)方案》,載《信息網(wǎng)絡(luò)安全》2019 年第2 期,第18-27頁(yè);傅彥銘、李振鐸:《基于拉普拉斯機(jī)制的差分隱私保護(hù)k-means++聚類(lèi)算法研究》,載《信息網(wǎng)絡(luò)安全》2019 年第2 期,第43-52 頁(yè);李怡霖、閆崢、謝皓萌:《車(chē)載自組織網(wǎng)絡(luò)的隱私保護(hù)綜述》,載《信息網(wǎng)絡(luò)安全》2019 年第4 期,第63-72 頁(yè)。,這些方法在標(biāo)準(zhǔn)上存在交叉,更多是出于對(duì)信息管理的分類(lèi)需求,而并不完全對(duì)應(yīng)侵犯公民個(gè)人信息罪的量刑情節(jié)輕重。 侵犯公民個(gè)人信息罪中的量刑情節(jié)梯度,可以參考公民個(gè)人信息的敏感程度、關(guān)聯(lián)程度及公民個(gè)人信息指向數(shù)據(jù)類(lèi)別的重要程度。

(一)公民個(gè)人信息的敏感程度

盡管對(duì)于單個(gè)信息主體而言,“敏感”具有強(qiáng)烈的主觀色彩和個(gè)體差異性②參見(jiàn)寧園:《敏感個(gè)人信息的法律基準(zhǔn)與范疇界定——以個(gè)人信息保護(hù)法第28 條第1 款為中心》,載《比較法研究》2021 年第5期,第35 頁(yè);胡文濤:《我國(guó)個(gè)人敏感信息界定之構(gòu)想》,載《中國(guó)法學(xué)》2018 年第5 期,第241 頁(yè)。,但就信息本身而言,敏感程度應(yīng)當(dāng)視為其“固有屬性”。 《個(gè)人信息保護(hù)法》將這類(lèi)信息列舉為生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶(hù)、行蹤軌跡及未滿(mǎn)14 周歲未成年人的個(gè)人信息等。 《安全規(guī)范》附錄B 列舉了“財(cái)產(chǎn)信息”“健康生理信息”“生物識(shí)別信息”“身份信息”及“其他信息”5 類(lèi)敏感個(gè)人信息。其中,《個(gè)人信息保護(hù)法》和《安全規(guī)范》均對(duì)生物識(shí)別信息作了區(qū)別于其他幾類(lèi)敏感個(gè)人信息的規(guī)定,提出了更嚴(yán)格的保護(hù)要求,如“告知必要性”“生物識(shí)別信息應(yīng)當(dāng)與其他個(gè)人身份信息分開(kāi)存儲(chǔ)”“原則上禁止存儲(chǔ)原始個(gè)人生物識(shí)別信息”“僅存儲(chǔ)生物識(shí)別信息的摘要信息”等。

因此,個(gè)人信息分級(jí)并非“敏感個(gè)人信息”與“一般個(gè)人信息”的二元?jiǎng)澐?個(gè)人信息的保護(hù)等級(jí)應(yīng)該隨著其敏感程度、關(guān)聯(lián)程度和重要程度遞增。 如前所述,個(gè)人信息的敏感程度屬于個(gè)人信息的當(dāng)然屬性,不以人的意志為轉(zhuǎn)移,其內(nèi)容指向信息主體的個(gè)人名譽(yù)、身心健康、社會(huì)評(píng)價(jià)或者財(cái)產(chǎn)安全等。 這類(lèi)個(gè)人信息或許能在技術(shù)上進(jìn)行脫敏加密處理,人為降低識(shí)別度,削弱該類(lèi)個(gè)人信息與信息主體的關(guān)聯(lián),但不能改變此類(lèi)信息的指向、內(nèi)容和性質(zhì)。 從社會(huì)管理學(xué)上看,越是關(guān)系到國(guó)民的敏感個(gè)人信息,越傾向管理的集中①參見(jiàn)李立豐、王俊松:《論敏感信息二元同意規(guī)則的刑法構(gòu)造》,載《西北民族大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2023 年第1 期,第62-72 頁(yè)。;從社會(huì)心理學(xué)上看,越是敏感的個(gè)人信息,在內(nèi)容上也越傾向于隱私保護(hù)。 因此,可以從外觀和內(nèi)核兩個(gè)維度衡量個(gè)人信息的敏感程度。

1.公民個(gè)人信息的壟斷管理程度

從外觀上看,信息的敏感程度體現(xiàn)為信息存儲(chǔ)、處理和管理的強(qiáng)度。 這類(lèi)個(gè)人信息包括:(1)身份信息。 這類(lèi)個(gè)人信息只能由公安機(jī)關(guān)進(jìn)行管理,酒店、車(chē)站及其他應(yīng)用場(chǎng)景的信息處理者只能借助公安機(jī)關(guān)的相關(guān)平臺(tái)進(jìn)行用戶(hù)身份管理,而不能對(duì)用戶(hù)個(gè)人信息進(jìn)行長(zhǎng)時(shí)間保存。 (2)財(cái)產(chǎn)信息。 這類(lèi)個(gè)人信息包括個(gè)人的銀行賬戶(hù)、存款信息、信貸記錄、交易記錄等,只能在銀行等金融機(jī)構(gòu)及征信管理機(jī)構(gòu)間共享。 (3)個(gè)人的健康信息和行程信息。 這類(lèi)個(gè)人信息只能由國(guó)家衛(wèi)生健康管理部門(mén)等相關(guān)部門(mén)掌握,其他單位只享有例行檢查、配合記錄等職權(quán)。 (4)個(gè)人的醫(yī)療信息、疾病診斷、犯罪記錄等體現(xiàn)信息主體特定經(jīng)歷的信息。 這類(lèi)個(gè)人信息只能由醫(yī)療機(jī)構(gòu)、司法機(jī)關(guān)等單位嚴(yán)格保存,并在被遺忘權(quán)尚未建構(gòu)的個(gè)人信息保護(hù)體系中,通過(guò)信息黑匣確立個(gè)人信息的封存制度。②參見(jiàn)石義彬、周夏萍:《大數(shù)據(jù)時(shí)代“被遺忘權(quán)”之爭(zhēng):記憶與遺忘的思想困局》,載《編輯之友》2022 年第12 期,第88-99 頁(yè)。(5)未成年人個(gè)人信息。 受?chē)?guó)家未成年人保護(hù)政策的影響,《個(gè)人信息保護(hù)法》和相關(guān)法律法規(guī),都規(guī)定處理未成年人個(gè)人信息必須經(jīng)過(guò)未成年人監(jiān)護(hù)人的同意。

對(duì)于非法獲取、出售或者提供上述集中管理或者壟斷管理的個(gè)人信息,在量刑時(shí)應(yīng)當(dāng)酌情從重。 “將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息……從重處罰”的規(guī)定,一方面是對(duì)特殊主體的約束,另一方面也體現(xiàn)了對(duì)特殊個(gè)人信息的保護(hù)。

2.公民個(gè)人信息的私密程度

從內(nèi)核上看,個(gè)人信息的敏感程度體現(xiàn)為與信息主體的親疏程度和私密程度。 個(gè)人信息作為人類(lèi)文明發(fā)展的產(chǎn)物,遵循漣漪效應(yīng),伴隨著信息主體的活動(dòng)軌跡,由內(nèi)而外展開(kāi),可以分為“隱私領(lǐng)域”和“社會(huì)領(lǐng)域”。③參見(jiàn)謝遠(yuǎn)揚(yáng):《信息論視角下個(gè)人信息的價(jià)值——兼對(duì)隱私權(quán)保護(hù)模式的檢討》,載《清華法學(xué)》2015 年第3 期,第94-110 頁(yè)?！睹穹ǖ洹焚x予了隱私權(quán)保護(hù)的優(yōu)先性,即優(yōu)先保護(hù)信息主體的“隱私領(lǐng)域”。 私密信息通常情況下是指只為信息主體知曉或者其身邊少數(shù)人知曉的信息,其也有可能是敏感個(gè)人信息,如健康信息、通信記錄、好友列表、性取向等。 同時(shí),《民法典》賦予了隱私信息更高的保護(hù),倘若非法獲取、出售或者提供的個(gè)人信息中包含私密信息,那么在處罰時(shí)可以酌情從重。

屬于非隱私的個(gè)人信息,是信息主體的“社會(huì)領(lǐng)域”,是自然人在社會(huì)生活中被賦予的身份符號(hào)。 這類(lèi)個(gè)人信息主要包括學(xué)習(xí)信息、工作信息,如專(zhuān)業(yè)學(xué)歷、單位工號(hào)及學(xué)習(xí)經(jīng)歷、工作履歷等,這是伴隨信息主體的社會(huì)生活而產(chǎn)生的標(biāo)識(shí)和痕跡。 同時(shí),這類(lèi)個(gè)人信息通常情況處于半公開(kāi)狀態(tài),即使經(jīng)過(guò)了官方的公示或者一定范圍披露,但倘若相關(guān)的信息處理行為不具備“正當(dāng)性”“合法性”和“必要性”,如未經(jīng)授權(quán)爬取各類(lèi)公開(kāi)或非公開(kāi)網(wǎng)站中的個(gè)人信息,仍然可能違反《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等前置法的規(guī)定,進(jìn)而可能構(gòu)成侵犯公民個(gè)人信息罪,只是此類(lèi)個(gè)人信息的敏感度較隱私信息弱,在量刑時(shí)按照侵犯一般個(gè)人信息對(duì)待即可。

(二)公民個(gè)人信息的關(guān)聯(lián)程度

信息關(guān)聯(lián)程度是個(gè)人信息的“修正屬性”,具有較強(qiáng)的人為因素。 個(gè)人信息與個(gè)人的關(guān)聯(lián)程度,一方面取決于信息對(duì)特定個(gè)人的可識(shí)別性,另一方面取決于個(gè)人信息在技術(shù)上的處理程度。 前者是指?jìng)€(gè)人信息的可識(shí)別程度,后者是指可識(shí)別個(gè)人信息通過(guò)加密或者脫敏的技術(shù)處理效果。

1.公民個(gè)人信息的可識(shí)別程度

可識(shí)別程度,是從個(gè)人信息到人的“關(guān)聯(lián)”程度。 根據(jù)《個(gè)人信息保護(hù)法》的定義,個(gè)人信息的可識(shí)別性,既可以是“單獨(dú)識(shí)別”,也可以是“結(jié)合識(shí)別”。 部分學(xué)者將此類(lèi)個(gè)人信息的微數(shù)據(jù)分為直接標(biāo)識(shí)、準(zhǔn)標(biāo)識(shí)和通用信息三個(gè)層次,直接標(biāo)識(shí)相當(dāng)于定義中的“單獨(dú)識(shí)別”,而準(zhǔn)標(biāo)識(shí)相當(dāng)于定義中的“結(jié)合識(shí)別”。 通用信息是鎖定個(gè)人信息的通用數(shù)據(jù),如辦理入住手續(xù)使用的證件類(lèi)型、證件名稱(chēng)等,在識(shí)別過(guò)程中起輔助作用,不具備識(shí)別功能。①參見(jiàn)何維群:《基于分類(lèi)分級(jí)的個(gè)人信息保護(hù)》,載《信息安全與通信保密》2021 年第10 期,第107-114 頁(yè)。個(gè)人信息的關(guān)聯(lián)程度對(duì)應(yīng)的是可識(shí)別性,而非上文提及的敏感程度。

具有“單獨(dú)識(shí)別性”的個(gè)人信息,在形態(tài)上具備一元性,在識(shí)別效果上是“一對(duì)一”,如個(gè)人的證件號(hào)碼、通訊信息、精準(zhǔn)定位信息及唯一標(biāo)識(shí)碼等。 具有“結(jié)合識(shí)別性”的個(gè)人信息,在識(shí)別效果上是“多對(duì)一”,需結(jié)合其他個(gè)人信息共同識(shí)別出特定個(gè)人,如通過(guò)姓名、工作單位、年齡、性別、出生年月等信息中的部分信息能識(shí)別出特定個(gè)人。

從信息價(jià)值來(lái)說(shuō),單獨(dú)識(shí)別和結(jié)合識(shí)別體現(xiàn)出不同的顆粒度,在數(shù)據(jù)分析和計(jì)算中都能作為生產(chǎn)要素,但對(duì)信息主體的侵害的程度和可能性有所區(qū)別,屬于結(jié)合識(shí)別的個(gè)人信息,本質(zhì)上是多條個(gè)人信息對(duì)應(yīng)一個(gè)信息主體。 非法獲取、出售或者提供的個(gè)人信息中包含此種類(lèi)別的,在犯罪情節(jié)的認(rèn)定上可以酌情從輕。

2.公民個(gè)人信息的脫敏程度

《安全規(guī)范》對(duì)信息的脫敏處理作出了“匿名化”和“去標(biāo)識(shí)化”的區(qū)分,兩種技術(shù)均是針對(duì)個(gè)人信息的脫敏手段。 如前所述,從個(gè)人信息重識(shí)別的難度上看,匿名化高于去標(biāo)識(shí)化。 流動(dòng)方能實(shí)現(xiàn)數(shù)據(jù)和個(gè)人信息的價(jià)值。 數(shù)據(jù)脫敏技術(shù)為信息流動(dòng)和共享提供了支持,也進(jìn)一步實(shí)現(xiàn)了私人權(quán)利向社會(huì)權(quán)益的讓渡和轉(zhuǎn)化,架構(gòu)了“匿名化<去標(biāo)識(shí)化<原信息”的敏感梯度。 在量刑幅度上,非法獲取、出售或者提供經(jīng)過(guò)去標(biāo)識(shí)化的個(gè)人信息,應(yīng)當(dāng)在犯罪情節(jié)的認(rèn)定上酌情從輕。

需要明確的是,經(jīng)過(guò)徹底匿名化的個(gè)人信息,是否仍然需要納入刑法的保護(hù)? 有學(xué)者從信息風(fēng)險(xiǎn)防控的角度,主張徹底脫敏后的個(gè)人信息仍然應(yīng)當(dāng)納入刑法調(diào)整。①參見(jiàn)李潤(rùn)生:《個(gè)人信息匿名化的制度困境與優(yōu)化路徑——構(gòu)建“前端寬松+過(guò)程控制”規(guī)制模式之探討》,載《江淮論壇》2022 年第5 期,第112-121 頁(yè);陳璐:《個(gè)人信息刑法保護(hù)之界限研究》,載《河南大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2018 年第3 期,第74 頁(yè)。筆者認(rèn)為,當(dāng)前從技術(shù)上無(wú)法實(shí)現(xiàn)數(shù)據(jù)的徹底匿名化,法律規(guī)范追求的是“相對(duì)匿名化”,從重識(shí)別成本和識(shí)別動(dòng)機(jī)來(lái)看,信息處理者在充分利用數(shù)據(jù)的商用價(jià)值的前提下,不會(huì)刻意識(shí)別數(shù)據(jù)背后信息主體的真實(shí)身份,況且根據(jù)《安全規(guī)范》,經(jīng)過(guò)匿名化的個(gè)人信息已不再屬于個(gè)人信息,在計(jì)算個(gè)人信息條數(shù)時(shí),匿名化的個(gè)人信息應(yīng)當(dāng)予以剔除。

(三)公民個(gè)人信息的重要程度

侵犯公民個(gè)人信息罪的量刑梯度,與個(gè)人信息的敏感程度、關(guān)聯(lián)程度直接相關(guān),也受個(gè)人信息聚變生成的大數(shù)據(jù)的重要程度,以及個(gè)人信息處理場(chǎng)景的影響。 如前所述,大數(shù)據(jù)的保護(hù)立足于國(guó)家安全的宏觀視角,其重要程度取決于大數(shù)據(jù)的體系標(biāo)準(zhǔn)及歸屬部門(mén),而巨量個(gè)人信息的保護(hù)立足于中觀視角,大量個(gè)人信息的不當(dāng)處理、違規(guī)出境和非法泄露未必直接侵害國(guó)家安全,但可能造成行業(yè)重要訊息的流失而間接關(guān)乎非傳統(tǒng)國(guó)家安全。②參見(jiàn)鄭智航:《數(shù)據(jù)安全與數(shù)據(jù)利用平衡的法治保障》,載《人民論壇·學(xué)術(shù)前沿》2023 年第6 期,第79-87 頁(yè)。數(shù)據(jù)的來(lái)源和性質(zhì)取決于個(gè)人信息,數(shù)據(jù)的種類(lèi)和重要性可以作為信息主體法益所受侵害程度的間接參考,從數(shù)據(jù)類(lèi)別和重要程度上反襯法益侵害的程度,進(jìn)而對(duì)接侵犯公民個(gè)人信息罪的量刑梯度。

如果侵犯公民個(gè)人信息的同時(shí)危害國(guó)家秘密和商業(yè)機(jī)密的,可以直接適用有關(guān)國(guó)家安全和商業(yè)秘密一類(lèi)的罪名。 倘若適用侵犯公民個(gè)人信息罪,其中大量涉案?jìng)€(gè)人信息能夠分析出重要數(shù)據(jù),可以在量刑梯度上適度調(diào)整。 根據(jù)《數(shù)據(jù)安全法》《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》等法律法規(guī)和部門(mén)規(guī)章,重要數(shù)據(jù)是原本不涉及國(guó)家秘密,但在特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模,可能間接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康的數(shù)據(jù)。③參見(jiàn)袁康、鄢浩宇:《數(shù)據(jù)分類(lèi)分級(jí)保護(hù)的邏輯厘定與制度構(gòu)建——以重要數(shù)據(jù)識(shí)別和管控為中心》,載《中國(guó)科技論壇》2022 年第7 期,第167-177 頁(yè)。 另外,《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》雖然提出了“重要數(shù)據(jù)”,但都未界定概念,直至2021 年的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定(試行)》才首次在規(guī)章層面作出了概念界定,即重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)。

能分析出重要數(shù)據(jù)的個(gè)人信息并非直接涉及國(guó)家安全、個(gè)人隱私或者商業(yè)秘密,但信息的匯集可能折射出一個(gè)國(guó)家或者地區(qū)的購(gòu)買(mǎi)水平、健康程度、車(chē)行路況,進(jìn)而有可能反映一個(gè)國(guó)家的經(jīng)濟(jì)水平、國(guó)民醫(yī)療及地理環(huán)境。 因此,能分析出重要數(shù)據(jù)的個(gè)人信息被納入了數(shù)據(jù)安全法律體系的調(diào)整范圍。

個(gè)人信息匯集的數(shù)據(jù)類(lèi)別是影響數(shù)據(jù)重要程度的重要參考。 大數(shù)據(jù)分類(lèi)分級(jí)的實(shí)踐,主要分為“主題分類(lèi)”“行業(yè)分類(lèi)”及“服務(wù)分類(lèi)”。 主題分類(lèi)參考政務(wù)信息資源的分類(lèi),行業(yè)分類(lèi)是在主題分類(lèi)中的進(jìn)一步細(xì)分,服務(wù)分類(lèi)是考量經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管等職能實(shí)現(xiàn)的跨部門(mén)、跨行業(yè)的數(shù)據(jù)線(xiàn)面結(jié)合。 從當(dāng)前網(wǎng)絡(luò)等級(jí)保護(hù)、計(jì)算機(jī)信息系統(tǒng)安全,以及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐來(lái)看,“影響對(duì)象—影響范圍—影響程度”成為數(shù)據(jù)的重要等級(jí)的重要參考依據(jù)。

筆者認(rèn)為,以潛在的消極損害論證個(gè)人信息的重要價(jià)值在邏輯上難以自洽的。 與個(gè)人信息的敏感程度不同,大數(shù)據(jù)價(jià)值的重要程度應(yīng)當(dāng)取決于數(shù)字資產(chǎn)本身。 與隱私權(quán)交叉的個(gè)人信息權(quán)益具有較強(qiáng)的對(duì)世性,積極防御的立法模式旨在對(duì)抗和打擊提供、出售和持有個(gè)人信息的不法亂象。大數(shù)據(jù)的交換和使用的日常化、規(guī)范化賦予了大數(shù)據(jù)越來(lái)越明顯的財(cái)產(chǎn)屬性。 因此,數(shù)據(jù)價(jià)值的重要程度,可根據(jù)數(shù)據(jù)屬性、行業(yè)業(yè)務(wù)、調(diào)整范圍等內(nèi)容酌情評(píng)斷。 由于侵犯公民個(gè)人信息罪的客體為公民人身權(quán)利和民主權(quán)利,加之刑法并未對(duì)重要數(shù)據(jù)進(jìn)行專(zhuān)項(xiàng)保護(hù),在涉案?jìng)€(gè)人信息涉及重要數(shù)據(jù)或者可能凝練出重要數(shù)據(jù)時(shí),可以在認(rèn)定為侵犯公民個(gè)人信息罪的基礎(chǔ)上酌定從重處罰。

(四)公民個(gè)人信息的處理場(chǎng)景

個(gè)人信息的概念和范圍高度依附于具體應(yīng)用場(chǎng)景。①參見(jiàn)丁曉東:《論個(gè)人信息概念的不確定性及其法律應(yīng)對(duì)》,載《比較法研究》2022 年第5 期,第46-60 頁(yè)。個(gè)人信息的判定隨著信息處理活動(dòng)的場(chǎng)景而變化,其等級(jí)和類(lèi)別亦是如此。 考慮到個(gè)人信息質(zhì)量和個(gè)人信息等級(jí)具有相對(duì)性和動(dòng)態(tài)性,有學(xué)者主張信息處理場(chǎng)景可以從個(gè)人信息的處理方式和數(shù)據(jù)庫(kù)類(lèi)型兩個(gè)維度來(lái)考慮。②參見(jiàn)王苑:《敏感個(gè)人信息的概念界定與要素判斷——以〈個(gè)人信息保護(hù)法〉第28 條為中心》,載《環(huán)球法律評(píng)論》2022 年第2期,第85-99 頁(yè)。歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)第九章專(zhuān)章規(guī)定了特定情形處理個(gè)人信息的條款,在原本的責(zé)任和義務(wù)上進(jìn)行增加或者克減。 我國(guó)《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的自動(dòng)化決策、委托處理或者向他人提供、向境外提供等場(chǎng)景也賦予了信息處理者的個(gè)人信息保護(hù)影響評(píng)估義務(wù)③參見(jiàn)龍衛(wèi)球:《中華人民共和國(guó)個(gè)人信息保護(hù)法釋義》,中國(guó)法制出版2021 年版,第78-86 頁(yè)。,表現(xiàn)出相同性質(zhì)個(gè)人信息在不同場(chǎng)景處理活動(dòng)中保護(hù)規(guī)則的差異。

關(guān)于個(gè)人信息敏感程度的動(dòng)態(tài)變化,部分學(xué)者運(yùn)用場(chǎng)景理論來(lái)解釋④參見(jiàn)丁曉東:《論個(gè)人信息概念的不確定性及其法律應(yīng)對(duì)》,載《比較法研究》2022 年第5 期,第46-60 頁(yè);孫玉榮、盧潤(rùn)佳:《“場(chǎng)景完整性理論”的應(yīng)用檢視和功能再造——以個(gè)人信息保護(hù)司法裁判為視角》,載《北京聯(lián)合大學(xué)學(xué)報(bào)(人文社會(huì)科學(xué)版)》2022 年第3期,第70-79 頁(yè)。,也有部分學(xué)者持反對(duì)觀點(diǎn)。⑤參見(jiàn)谷兆陽(yáng):《論“場(chǎng)景理論”不是私密信息判斷的合理標(biāo)準(zhǔn)》,載《科技與法律(中英文)》2022 年第4 期,第83-93、104 頁(yè);韓旭至:《敏感個(gè)人信息的界定及其處理前提——以〈個(gè)人信息保護(hù)法〉第28 條為中心》,載《求是學(xué)刊》2022 年第5 期,第132-145 頁(yè)。筆者對(duì)該理論持保留態(tài)度,認(rèn)為場(chǎng)景本身不屬于影響個(gè)人信息性質(zhì)和等級(jí)的相關(guān)因素。 首先,個(gè)人信息的敏感程度是個(gè)人信息的客觀屬性和固有特征,信息處理場(chǎng)景是信息處理活動(dòng)的環(huán)境因素,場(chǎng)景變化可能帶來(lái)的是信息處理風(fēng)險(xiǎn)的變化,而非個(gè)人信息性質(zhì)的變化。 但個(gè)人信息的敏感程度和處理環(huán)境會(huì)相互作用,影響信息處理活動(dòng)的實(shí)然風(fēng)險(xiǎn)。 其中,前者是個(gè)人信息的內(nèi)在屬性,前文已經(jīng)提及,后者是信息處理的外部特征,與處理場(chǎng)景的管理和技術(shù)保障能力、處理環(huán)境可能面臨的泄露篡改風(fēng)險(xiǎn)因素大有關(guān)聯(lián)。

由于侵犯公民個(gè)人信息罪規(guī)制的是“提供”“出售”和“獲取”的行為,信息處理場(chǎng)景的評(píng)價(jià),主要集中在信息處理者轉(zhuǎn)移和復(fù)制個(gè)人信息的階段。 筆者認(rèn)為,影響信息處理活動(dòng)的場(chǎng)景因素,可以結(jié)合個(gè)人信息影響評(píng)估方法,從信息接收方和信息處理環(huán)境兩個(gè)方面來(lái)考慮。 就信息接收方而言,可以考慮其前科經(jīng)歷及工作性質(zhì),結(jié)合《辦理侵犯公民個(gè)人信息刑事案件的解釋》第5 條第(一)項(xiàng)和第(九)項(xiàng)規(guī)定的內(nèi)容,考量涉案?jìng)€(gè)人信息是否會(huì)造成信息被用于違法活動(dòng)或者滋生被二次轉(zhuǎn)移的風(fēng)險(xiǎn)。 從信息處理環(huán)境來(lái)看,可以考慮個(gè)人信息是否跨境、信息處理的技術(shù)程度、信息處理的政策法律環(huán)境等因素。 如果信息處理的場(chǎng)景可能加劇信息處理的風(fēng)險(xiǎn),在侵犯公民個(gè)人信息罪的量刑上可以酌情從重。

三、侵犯公民個(gè)人信息罪量刑梯度的重置

《辦理侵犯公民個(gè)人信息刑事案件的解釋》第5 條列舉了構(gòu)成侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的10 種情形,主要包括:(1)非法獲取、出售或者提供個(gè)人信息的數(shù)量較大;(2)非法獲取、出售或者提供個(gè)人信息的違法所得數(shù)額較大;(3)出售或提供個(gè)人信息被他人用于犯罪,或者明知、應(yīng)知他人利用個(gè)人信息而向其出售或提供;(4)行為人有履行特定的職責(zé)或者有犯罪前科。 其中,個(gè)人信息的類(lèi)型和級(jí)別與涉案?jìng)€(gè)人信息的數(shù)量被綁定在一起,根據(jù)涉案?jìng)€(gè)人信息的種類(lèi)區(qū)分了50 條、500 條和5000 條的入罪門(mén)檻。 在所有情節(jié)因素中,個(gè)人信息數(shù)量和犯罪違法所得同屬于犯罪的客觀方面,兩者相輔相成,一體兩面,其本質(zhì)都是對(duì)個(gè)人信息數(shù)量的評(píng)價(jià),與主體身份、第三方介入因素屬于相并列的量刑因素。

(一)侵犯公民個(gè)人信息罪量刑情節(jié)的要素

有學(xué)者把侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的10 種情形概括為4 類(lèi)不同的情節(jié)要素:一是個(gè)人信息的數(shù)量和種類(lèi);二是行為主體的特殊身份;三是犯罪的違法所得數(shù)額;四是第三方在犯罪活動(dòng)中的介入因素。①參見(jiàn)陳建清、王禎:《侵犯公民個(gè)人信息罪行為與情節(jié)之認(rèn)定》,載《政法學(xué)刊》2021 年第4 期,第42-49 頁(yè)。在《辦理侵犯公民個(gè)人信息刑事案件的解釋》出臺(tái)之初就有學(xué)者指出,對(duì)“情節(jié)嚴(yán)重”的解讀存在“犯罪評(píng)價(jià)次序錯(cuò)位”“刑事立法有衍變風(fēng)險(xiǎn)防控之虞”“實(shí)踐認(rèn)定與侵犯公民個(gè)人信息罪適用‘避難就易’”等弊端。②參見(jiàn)石聚航:《侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的法理重述》,載《法學(xué)研究》2018 年第2 期,第62-75 頁(yè)。而“情節(jié)嚴(yán)重”的最終評(píng)價(jià),倘若一味地?cái)U(kuò)張情節(jié)犯之“情節(jié)”,會(huì)把部分酌定量刑要素評(píng)價(jià)為法定量刑要素,甚至把案外因素誤作為構(gòu)成要件要素。

我國(guó)現(xiàn)行刑法中的情節(jié)犯多表述為“情節(jié)嚴(yán)重”或者“情節(jié)惡劣”,其中在妨害社會(huì)管理秩序罪、破壞社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序罪中最為多見(jiàn),這也能折射出“情節(jié)嚴(yán)重”這一空白罪狀更多表現(xiàn)為社會(huì)法益和集體法益。③參見(jiàn)張慶立:《我國(guó)情節(jié)犯立法的歷程與趨向》,載《犯罪研究》2021 年第2 期,第72-84 頁(yè)。需要明確的是,“量刑情節(jié)”之“情節(jié)”,并非“情節(jié)嚴(yán)重”之“情節(jié)”。 前者是指包含所有主觀客觀的定性定量事實(shí),是廣義的情節(jié)概念,也被有關(guān)學(xué)者稱(chēng)之為“情節(jié)因素”;后者僅指行為人實(shí)施犯罪的客觀事實(shí)情節(jié)。 “情節(jié)嚴(yán)重”之“情節(jié)”,考慮到量刑情節(jié)要素的規(guī)范化,應(yīng)當(dāng)排除預(yù)防性情節(jié)和主體性因素,將犯罪數(shù)額和違法所得作為單獨(dú)的情節(jié)要素。 因此,有學(xué)者主張最狹義的情節(jié)只能在行為的方式和行為的對(duì)象上集中評(píng)價(jià),以此來(lái)確定“情節(jié)嚴(yán)重”的“情節(jié)”的范疇。①參見(jiàn)張慶立:《我國(guó)情節(jié)犯立法的隨意性與規(guī)范化——以不純正情節(jié)犯為視角》,載《南海法學(xué)》2022 年第4 期,第31-43 頁(yè)。

侵犯公民個(gè)人信息罪的4 類(lèi)情節(jié)要素中,主體身份在犯罪構(gòu)成中原本屬于主體要件的范疇。身份的特殊性可能賦予犯罪主體更高的犯罪預(yù)見(jiàn)義務(wù)和結(jié)果回避義務(wù),從而造成特殊身份與普通身份在入罪標(biāo)準(zhǔn)和量刑評(píng)價(jià)上的分化。 侵犯公民個(gè)人信息罪屬于不真正身份犯,履行個(gè)人信息保護(hù)職責(zé)或者提供個(gè)人信息服務(wù)的特殊主體侵犯公民個(gè)人信息,或者因侵犯公民個(gè)人信息受過(guò)行政處罰或刑事處罰又犯侵犯公民個(gè)人信息罪的,可以作為侵犯公民個(gè)人信息罪的量刑情節(jié),但筆者認(rèn)為,從嚴(yán)格意義上講,這不應(yīng)當(dāng)屬于“情節(jié)嚴(yán)重”的范疇。

其他3 類(lèi)要素都屬于客觀方面要件的要素,個(gè)人信息數(shù)量是較為直觀的侵犯公民個(gè)人信息罪的要素。 犯罪違法所得是情節(jié)以財(cái)產(chǎn)損失為標(biāo)準(zhǔn)的具體化,從而折射出社會(huì)秩序被侵犯的程度。筆者認(rèn)為,可以將其作為侵犯公民個(gè)人信息罪的量刑情節(jié)要素來(lái)考慮,但將違法所得數(shù)額直接作為量刑的標(biāo)準(zhǔn)并不科學(xué),因?yàn)榍址腹駛€(gè)人信息罪的法益是人身權(quán)益而非財(cái)產(chǎn)權(quán)益,與財(cái)產(chǎn)犯罪相關(guān)數(shù)額的意義不同。 財(cái)產(chǎn)犯罪的數(shù)額可以直接反映所侵犯的財(cái)產(chǎn)權(quán)益的大小,而侵犯公民個(gè)人信息罪的犯罪所得數(shù)額僅能證明行為人因?yàn)榉缸铽@益多少,與信息主體的被侵害程度不能完全掛鉤,無(wú)法直接衡量犯罪情節(jié)的輕重和社會(huì)危害性的大小,只能間接體現(xiàn)涉案被害人的數(shù)量和涉案信息的數(shù)量。 第三方介入因素實(shí)際上是對(duì)個(gè)人信息主體的二次傷害,但由于二次侵害的不可預(yù)見(jiàn)性,鑒于因果關(guān)系的中斷,筆者認(rèn)為,該侵害結(jié)果原本不應(yīng)當(dāng)歸責(zé)于初次侵害人,可以用客觀超過(guò)要素理論來(lái)解釋,或者認(rèn)為該情節(jié)是為防范風(fēng)險(xiǎn)所設(shè)置。

(二)侵犯公民個(gè)人信息罪情節(jié)要素的邏輯

有學(xué)者把情節(jié)分為事前情節(jié)、事中情節(jié)和事后情節(jié)。②參見(jiàn)張慶立:《“情節(jié)嚴(yán)重(惡劣)”的法律解釋》,載《法律方法》2020 年第4 期,第330-345 頁(yè)。事前情節(jié)是指行為人受過(guò)行政處罰或者刑事處罰而再次犯罪的人身危險(xiǎn)性評(píng)價(jià),是行為人人格要素的情節(jié)③參見(jiàn)王鼎:《刑法結(jié)構(gòu)變革中的罪量要素應(yīng)力研究》,載《法學(xué)雜志》2017 年第4 期,第137 頁(yè)。,該情節(jié)在《辦理侵犯公民個(gè)人信息刑事案件的解釋》的規(guī)定中已有體現(xiàn)。 事后情節(jié)是指犯罪著手之后、立案之前的情節(jié),表現(xiàn)為行為人的悔罪態(tài)度,如是否配合相關(guān)機(jī)關(guān)進(jìn)行整改,犯罪對(duì)象或者犯罪衍生之物是否被繼續(xù)用于犯罪等。 第三方的介入因素可以視作侵犯公民個(gè)人信息罪的事后情節(jié)。 事前情節(jié)和事后情節(jié)都屬于預(yù)防性的情節(jié)要素,反映行為人的人身危險(xiǎn)性,事中要素一般屬于報(bào)應(yīng)性的情節(jié)要素,反映行為的社會(huì)危害性。

侵犯公民個(gè)人信息罪的4 類(lèi)量刑情節(jié),多為事中情節(jié)。 隨著信息網(wǎng)絡(luò)分級(jí)立法的逐漸完善,相關(guān)制度和標(biāo)準(zhǔn)對(duì)侵犯公民個(gè)人信息罪的量刑具有借鑒意義。 侵犯公民個(gè)人信息的量刑評(píng)價(jià),應(yīng)該強(qiáng)調(diào)公共利益優(yōu)先,遵循比例原則,注重公法上的區(qū)別保護(hù)。④參見(jiàn)黎曉露:《個(gè)人信息權(quán)引入刑事訴訟的理論證成與體系化建構(gòu)》,載《河北法學(xué)》2021 年第12 期,第139-155 頁(yè)。筆者認(rèn)為,《辦理侵犯公民個(gè)人信息刑事案件的解釋》所羅列的量刑情節(jié),可以分為主體因素情節(jié)和客觀方面情節(jié)。 主體因素情節(jié)是行為人在履行信息保護(hù)職責(zé)或者提供信息服務(wù)的特定身份。 客觀方面情節(jié)分為事前、事中和事后情節(jié)。 其中,事前情節(jié)如行為人因?yàn)榍址腹駛€(gè)人信息受到行政或者刑事處罰。 事中情節(jié)包括:(1)信息數(shù)量;(2)違法所得。 事后情節(jié)如涉案?jìng)€(gè)人信息被用于其他犯罪。

在這些情節(jié)中,主體因素情節(jié)及事前、事中、事后三個(gè)維度的客觀方面情節(jié)是串聯(lián)關(guān)系。 所謂串聯(lián)關(guān)系,就是對(duì)于法益侵害結(jié)果都具備歸因性,因而在量刑情節(jié)的梯度考量上,這些情節(jié)應(yīng)當(dāng)累加。 個(gè)人信息質(zhì)量和違法所得是評(píng)價(jià)事中情節(jié)的要素,二者屬于并聯(lián)關(guān)系。 所謂并聯(lián)關(guān)系,就是不能同時(shí)采用兩個(gè)標(biāo)準(zhǔn),在構(gòu)建量刑梯度時(shí),應(yīng)當(dāng)擇一重處。 個(gè)人信息的數(shù)量和級(jí)別是影響侵犯公民個(gè)人信息罪量刑因素,兩者的彼此影響,是重疊關(guān)系。 筆者把級(jí)別對(duì)數(shù)量的影響概括為“修正”,即可以在原定的數(shù)量上上浮或者下調(diào)。

(三)侵犯公民個(gè)人信息罪量刑情節(jié)的梯度構(gòu)建

量刑適用的可行性以刑法的適用基準(zhǔn)選定為前提。①參見(jiàn)劉長(zhǎng)偉:《立法定量視域下的情節(jié)犯研究》,經(jīng)濟(jì)管理出版社2019 年版,第3 頁(yè)。一般而言,作為事前因素和事后因素的情節(jié),可能影響量刑。 比如,行為人事前為實(shí)施犯罪進(jìn)行的謀劃,在犯罪既遂之后產(chǎn)生的影響。 而事中因素,可能影響行為人的定罪。 比如,犯罪數(shù)額、行為次數(shù)、行為強(qiáng)度等。 一方面,這些因素多與特定罪名的犯罪構(gòu)成直接相關(guān),因此,能抽象出定罪情節(jié);另一方面,事中因素大多為報(bào)應(yīng)性情節(jié)因素,相比事前因素和事后因素多為預(yù)防性情節(jié),事中因素能直觀反映法益侵害的程度。

就侵犯公民個(gè)人信息罪而言,涉案?jìng)€(gè)人信息數(shù)量和質(zhì)量是確定行為人量刑的關(guān)鍵因素。 數(shù)量越多,潛在的被害人越多。 涉案?jìng)€(gè)人信息越重要和敏感,被害人被侵犯的程度也越高。 因此,筆者認(rèn)為,應(yīng)當(dāng)以侵犯公民個(gè)人信息罪的事中情節(jié),即涉案?jìng)€(gè)人信息數(shù)量或者違法所得作為入罪門(mén)檻,確定量刑起點(diǎn),進(jìn)而調(diào)整基準(zhǔn)刑,再結(jié)合其他情節(jié)調(diào)整刑期,確定宣告刑。

1.涉案公民個(gè)人信息的數(shù)量評(píng)定

個(gè)人信息的等級(jí)可能發(fā)生變化,其數(shù)量標(biāo)準(zhǔn)也較為模糊。 依托大數(shù)據(jù)互聯(lián)和輻射的功能,一條個(gè)人信息可能關(guān)聯(lián)出信息主體的其他數(shù)據(jù),亦可能包含多條子信息。 比如,身份證號(hào)碼可能關(guān)聯(lián)出信息主體的手機(jī)號(hào)碼、戶(hù)籍地址或者其他電子信息。 個(gè)人信息的修正數(shù)量,是結(jié)合信息分級(jí)機(jī)制對(duì)個(gè)人信息的基礎(chǔ)數(shù)量進(jìn)行加權(quán)計(jì)算的結(jié)果。

在數(shù)據(jù)保護(hù)分級(jí)和平臺(tái)治理分級(jí)的探索階段,侵犯公民個(gè)人信息罪的量刑邏輯表現(xiàn)為先進(jìn)行個(gè)人信息的條數(shù)的計(jì)算,后進(jìn)行個(gè)人信息質(zhì)量和等級(jí)的評(píng)價(jià)。 雖量變最終會(huì)引發(fā)質(zhì)變,但刑法的適用邏輯是“定性為先,定量其后”,先確定量刑起點(diǎn),其后才調(diào)整基準(zhǔn)刑。 由于個(gè)人信息的外溢性和關(guān)聯(lián)性,個(gè)人信息條數(shù)的標(biāo)準(zhǔn)并非技術(shù)上的量化,難以進(jìn)行純客觀量化的評(píng)價(jià),同時(shí)實(shí)踐中也無(wú)須對(duì)涉案?jìng)€(gè)人信息的條數(shù)進(jìn)行絕對(duì)精細(xì)的判定,而是采用前述“成交金額÷交易單價(jià)”的模式計(jì)算大概數(shù)量①參見(jiàn)李新奇:《侵犯公民個(gè)人信息罪中涉案數(shù)額如何認(rèn)定》,載《檢察日?qǐng)?bào)》2021 年11 月9 日,第7 版。,確定個(gè)人信息的基礎(chǔ)條數(shù)。

2.涉案公民個(gè)人信息的數(shù)量修正

隨著數(shù)字經(jīng)濟(jì)時(shí)代公民個(gè)人信息的外延不斷擴(kuò)大,信息處理違法情節(jié)不再囿于對(duì)個(gè)人信息條數(shù)的機(jī)械量化,可以借鑒信息分級(jí)制度,通過(guò)個(gè)人信息內(nèi)容的敏感性和重要性,以及涉案?jìng)€(gè)人信息的數(shù)量,綜合評(píng)價(jià)涉案?jìng)€(gè)人信息的質(zhì)量。 鑒于個(gè)人信息的外溢性和復(fù)雜性,筆者把涉案?jìng)€(gè)人信息的數(shù)量分為基礎(chǔ)數(shù)量和修正數(shù)量,基礎(chǔ)數(shù)量體現(xiàn)出個(gè)人信息的聚合性與法益侵害的直觀程度,修正數(shù)量受個(gè)人信息等級(jí)的影響,即從個(gè)人信息的私密性、敏感性和重要性對(duì)原有數(shù)量進(jìn)行修正,進(jìn)而評(píng)定個(gè)人信息級(jí)別的等級(jí)因素。

具體而言,涉案?jìng)€(gè)人信息的級(jí)別可以根據(jù)管理程度、隱私關(guān)聯(lián)、識(shí)別效果、技術(shù)脫敏、價(jià)值大小和處理場(chǎng)景來(lái)綜合評(píng)定。 綜觀前述個(gè)人信息等級(jí)要素,“是否集中管理”“是否涉及私密信息”“是否涉及重要數(shù)據(jù)”,由個(gè)人信息的內(nèi)容屬性確定,若涉及,則個(gè)人信息條數(shù)的認(rèn)定可以上調(diào)若干比例。 “是否屬于間接識(shí)別”和“是否經(jīng)過(guò)技術(shù)脫敏”,由個(gè)人信息的形態(tài)屬性確定,若涉及,則個(gè)人信息條數(shù)的認(rèn)定上可以克減若干比例。 “是否增加場(chǎng)景風(fēng)險(xiǎn)”,由個(gè)人信息的外部環(huán)境決定,屬于個(gè)人信息的非內(nèi)容屬性,但能結(jié)合個(gè)人信息屬性,共同影響個(gè)人信息的等級(jí)和質(zhì)量的評(píng)定,若可能增加場(chǎng)景風(fēng)險(xiǎn),則可以在個(gè)人信息條數(shù)上上調(diào)若干比例。

3.侵犯公民個(gè)人信息罪量刑情節(jié)要素的組合

侵犯公民個(gè)人信息罪的量刑,最終應(yīng)當(dāng)回歸侵犯公民個(gè)人信息罪保護(hù)的法益,從涉案?jìng)€(gè)人信息入手,重點(diǎn)關(guān)注其數(shù)量、種類(lèi)和級(jí)別。 按照筆者的觀點(diǎn),行為人的身份,對(duì)下游信息犯罪的明知,行為人的違法犯罪前科,以及個(gè)人信息擴(kuò)散帶來(lái)的二次犯罪,都是影響侵犯公民個(gè)人信息罪的量刑情節(jié)。

因此,對(duì)侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的解釋,應(yīng)當(dāng)以侵犯公民個(gè)人信息的數(shù)量,或者違法所得的數(shù)額為標(biāo)準(zhǔn)劃定,根據(jù)修正數(shù)量,判定出售、提供或者非法獲取公民個(gè)人信息的行為人是否構(gòu)成犯罪,區(qū)分“情節(jié)嚴(yán)重”與“情節(jié)特別嚴(yán)重”兩個(gè)量刑幅度。 其后,在重新確定的量刑起點(diǎn)上,重新確定基準(zhǔn)刑的調(diào)整標(biāo)準(zhǔn)和計(jì)算方法,輔之以侵犯公民個(gè)人信息罪的其他情節(jié)調(diào)整基準(zhǔn)刑。 最后,結(jié)合具體案件中行為人的刑事責(zé)任能力、犯罪形態(tài)、自首、立功、坦白情節(jié)、被害人諒解、賠償被害人損失情況、羈押期間表現(xiàn)、認(rèn)罪認(rèn)罰情況、累犯或者侵犯公民個(gè)人信息罪之外的違法犯罪情況等量刑情節(jié),最終確定宣告刑。

四、結(jié)論

由于當(dāng)前《辦理侵犯公民個(gè)人信息刑事案件的解釋》的滯后性與科技立法的階段性,刑法的量刑情節(jié)設(shè)置有待與前置法進(jìn)一步協(xié)調(diào),以消解司法解釋與個(gè)人信息保護(hù)立法在適用過(guò)程中的沖突。當(dāng)前,侵犯公民個(gè)人信息罪的情節(jié)正在從扁平式結(jié)構(gòu)向立體式結(jié)構(gòu)的轉(zhuǎn)變。 在《辦理侵犯公民個(gè)人信息刑事案件的解釋》列舉的侵犯公民個(gè)人信息罪的諸多量刑情節(jié)因素中,事中情節(jié)因素的功效在放大,事前情節(jié)因素和事后情節(jié)因素的功效在限縮,應(yīng)當(dāng)以事中情節(jié)要素為核心重構(gòu)侵犯公民個(gè)人信息罪的量刑梯度。 受信息分級(jí)的影響,個(gè)人信息的等級(jí)成為涉?zhèn)€人信息犯罪的重要情節(jié)。 涉案?jìng)€(gè)人信息的數(shù)量、內(nèi)容和種類(lèi)應(yīng)當(dāng)成為侵犯公民個(gè)人信息罪量刑的核心情節(jié),其內(nèi)容和種類(lèi)決定涉案?jìng)€(gè)人信息的敏感程度、關(guān)聯(lián)程度和重要程度,進(jìn)而結(jié)合個(gè)人信息的處理場(chǎng)景影響涉案?jìng)€(gè)人信息的認(rèn)定。 在計(jì)算涉案?jìng)€(gè)人信息的數(shù)量時(shí),應(yīng)根據(jù)個(gè)人信息的內(nèi)容和種類(lèi)等對(duì)其酌情增加或者克減,以修正數(shù)量決定侵犯公民個(gè)人信息罪的量刑基準(zhǔn),并在此基礎(chǔ)上結(jié)合主體因素、事前因素和事后因素,最終確定宣告刑。