昂思梦

(华东政法大学 法律学院，上海 200042)



论侵犯公民个人信息犯罪的司法适用
——以《刑法修正案(九)》为视角

昂思梦

(华东政法大学 法律学院，上海 200042)

摘要：《刑法修正案(九)》对侵犯公民个人信息犯罪进行了修正，将本罪的主体修改为一般主体，并规定对特殊主体要从重处罚，扩大了对公民信息的保护范围。但“公民个人信息”、“情节严重”、“违反国家有关规定”三个概念尚存争议，对此，应尽快出台相关司法解释，对公民个人信息的范围进行界定，明确本罪“情节严重”的含义，同时，完善前置性行政法律法规的设立，处理好刑法和前置性行政法规的关系。

关键词：侵犯公民个人信息犯罪;《刑法修正案(九)》;司法适用

当今社会是一个信息高速流通的时代，全面保护公民个人信息，维护信息安全具有重要的意义。在大时代背景下，《刑法修正案(七)》首先规定了出售、非法提供公民个人信息犯罪，本罪的设立在一定程度上来说对于打击侵犯公民个人信息犯罪，保护公民个人信息安全起了不可忽视的作用。2015年8月29日《刑法修正案(九)》针对侵犯公民个人信息犯罪的新情况，进一步完善刑法有关公民个人信息犯罪的规定，对侵犯公民个人信息犯罪进行了修改，加强了对公民个人信息的保护。

一、侵犯公民个人信息犯罪司法认定困境

信息时代侵犯公民个人信息犯罪频繁发生，保护公民个人信息，将侵犯公民个人信息行为纳入刑事法网打击范围具有现实意义。然而，司法实践中侵犯公民个人信息犯罪的认定存在一些困境：

其一，公民个人信息范围界定不清。在侵犯公民个人信息罪的犯罪构成中， “公民个人信息”的范围尚未出台相关司法解释，为司法实践中打击侵犯公民个人信息犯罪带来了困境。理论界对于公民个人信息范围也存在多种学说，包括主观说、客观说、折中说、择一说[1]。公民个人信息范围难以认定与个人信息的内在属性息息相关。一方面，随着时代的发展，公民个人信息有不同的意义，涵盖范围也发生了变化。另一方面，有些公民信息不仅仅具备个人识别的“私领域”功能，更承载了一定的社会价值、利益，具有“公领域”职能，如何在不损害更大范围内公共利益的同时保护公民的个人信息也是一道难题。

其二，“情节严重”含义不明。侵犯公民个人信息犯罪中，对于“情节严重”的含义立法者并未给出确切的判断标准，这为司法实践认定侵犯公民个人信息犯罪带来模糊性。公民个人信息的价值判断是个主观过程，“甲之砒霜，乙之蜜糖”，相同的信息对不同人而言意义不同，故而对于“情节严重”难以确立一个具体的标准。我国幅员辽阔，东西部地区经济发展差异较大，同一信息在不同地域意义也不尽相同，这也为“情节严重”的判定带来一定难度。

其三，前置性行政法规的空缺。侵犯公民信息犯罪是法定犯，具有二次违法性，也就是说刑法处罚侵犯公民信息犯罪的前提是成立行政违法[2]。侵犯公民个人信息犯罪中“违反国家规定”应与《刑法》第96条的规定保持一致，但我国《个人信息保护法》尚未出台，现今也没有形成完整的关于个人信息保护的法律法规，前置性法规的留白，给刑法的适用带来一定障碍。

二、《刑法修正案(九)》对侵犯公民个人信息犯罪修正评述

《刑法修正案(九)》对侵犯公民个人信息犯罪的修改主要表现为对主体的修正。《刑法修正案(九)》扩大了侵犯公民个人信息罪的主体范围。原刑法第253条之一出售、非法提供公民个人信息罪的主体为特殊主体，即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，而《刑法修正案(九)》将本罪主体扩展至一般主体，包括一切向他人出售或者提供公民个人信息的人员。本罪主体范围的扩大完善是《刑法修正案(九)》的一大亮点，通过扩大犯罪主体范围，符合刑事法网严而不厉的立法要求，有助于全面地保护公民个人信息进而维护公民的人身、财产安全。主要有以下两个方面的原因：

其一，将本罪主体扩展至一般主体是与司法实践相结合的必然结果。《刑法修正案七》将侵犯公民个人信息的行为纳入刑事打击范围。当时立法者将其主体限制为特殊主体是因为较之一般人，此类特殊主体更易获得公民个人信息，且此类主体代表国家履行职务，出于对相关工作人员的恪守职业操守和廉洁性需求，对此类主体严格要求本无可厚非[3]。然而，要全面保护公民个人信息，维护公民的人身、财产权利，仅仅将特殊主体纳入本罪打击范围是远远不够的。事实上，能够大量收集公民个人信息的单位远不局限于上述机关单位，其他单位如电商网站、网络游戏公司、律师事务所等也同样能够接触大量的公民个人信息。上述行业中，由于部分尚属于新兴产业，对员工规范可能相对也较差些，实际生活中其实施出售、提供公民个人信息的行为更为普遍，社会危害性也更加严重[4]。因此，对于那些一般主体合法获得公民个人信息后实施的侵害个人信息的行为也应当纳入刑法的规制范围。否则，可能存在实施相同的行为但由于主体身份的差异进行罪与非罪的不同评价，这将直接导致规范的不平等与打击面的失衡，也违背了打击侵犯个人信息犯罪和保护公民合法权利的立法初衷。

其二，将本罪主体扩展至一般主体顺应国际刑事立法的发展趋势。考察域外立法，侵犯个人信息犯罪的主体主要包括两类：一类是公共管理部门及其工作人员,另一类是一般私营单位及其工作人员。但大多数国家或地区不加区分地将侵犯个人信息犯罪适用于上述两类主体，如波兰、奥地利、阿根廷。也有的是在同一部法律中的不同章节分别对上述两类主体实施的侵犯个人信息的行为加以规制，如德国和我国台湾地区。还有的是在不同法律中对公共管理部门和私营单位实施相关行为进行规定的，如日本、加拿大等国家[5]。但上述国家或地区均在制裁规范中规定了个人妨害公共机关处理个人信息业务的刑事处罚。可见，将一般主体纳入个人信息犯罪打击范围是国际刑事立法的一大趋势，此次《刑法修正案(九)》的修改符合国际刑事立法的发展潮流。

三、侵犯公民个人信息犯罪司法适用

《刑法修正案(九)》对于侵犯公民个人信息犯罪的主体修改扩大犯罪主体范围，符合刑事法网严而不厉的立法要求，有助于全面地保护公民个人信息进而维护公民的人身、财产安全。但司法实践中对于“公民个人信息”、“情节严重”、“违反国家规定”尚存争议，对此，应尽快出台相关司法解释，对公民个人信息的范围进行界定，明确本罪“情节严重”的含义，同时，完善前置性行政法律法规的设立，处理好刑法和前置性行政法规的关系。

(一)“公民个人信息”范围之界定

目前，在侵犯公民个人信息犯罪构成中，“公民个人信息”的范围尚未出台相关司法解释，为实际中打击侵犯公民个人信息犯罪带来了争议，鉴于此，应加快发布相关司法解释，确立公民个人信息的内涵。

理论界关于刑法所保护的个人信息，存在四种学说，即主观说、客观说、折中说、择一说[6]。主观说认为，个人信息就是指与行为人密切相关的，行为人主观上存在保护意思的信息。客观说认为，个人信息是指存在一定价值，一般人均会采取相关措施进行保护的信息。折中说认为，所谓个人信息，需客观上存在保护价值，值得保护，同时，也需行为人主观上具备保护意思的信息。择一说认为个人信息是指客观上存在保护价值，或者行为人主观上具备保护意思的信息。笔者认同折中说，主观说、客观说、择一说都过于片面，主观说只考虑行为人的主观意识，而不考虑信息本身是否需要值得刑法保护，容易陷入主观归罪的误区。客观说不考虑行为人的主观意志，忽略了相同信息可能对不同人有不同的价值，甲之砒霜，乙之蜜糖，每个人都是独立的客体，不同人对相同信息不同对待实属正常，客观说不考虑行为人的主观意志，容易陷入客观归罪的泥沼。折中说既考虑了行为人对于信息的保护意识，又衡量了信息本身的价值存在，主客观相统一，更加全面、合理地保护了公民的个人信息。

公民个人信息兼具人格权和财产权双重属性。一方面，公民个人信息存在较强的人身依赖性和专属性，这些信息的泄露，会对公民的精神带来一定的困扰和伤害，公民有权抵御外界利用自己的个人信息影响自己的生活，侵入私人隐私地带。另一方面，公民个人信息存在一定的财产价值和经济利益，具有财产权的属性。对于公民个人信息的界定，要考虑公民个人信息权利，维护信息自由流动，同时，还要考虑刑法的谦抑性，不能随意扩大公民个人信息的保护范围。因此，对于公民个人信息范围的界定，应该考虑如下几个因素：

第一，公民个人信息的本质特征是要具有直接识别信息主体的功能。信息主体需为自然人，公民个人信息的所有权属于公民本人而非信息用户，信息用户仅在公民的授权下享有公民个人信息的使用权。公民个人信息需具有独立识别主体的功能，换句话说，该信息可用于直接、独立识别出信息主体，其他不能直接识别出信息主体的不属于公民信息的范畴，如单纯血型信息不属于公民个人信息的范畴，因只用血型信息无法直接识别出信息主体，除非存在DNA片段等辅助信息。

第二，公民个人信息需有被刑法保护的价值。值得刑法保护的信息需要有较高的价值度，需对公民个人和公共社会秩序有所影响。因为我国关于保护公民个人信息的民事法规和行政法规尚未出台，直接动用刑法来保护公民个人信息，本身就已经跳跃了民法和行政法的保护，故而需要信息有较高的价值度。因此，身高、体重、年龄等单纯反映公民个人特征的信息不应该纳入刑法所保护的公民个人信息的范畴。

第三，公民个人信息需为公民不愿为外界知晓的个人信息，个人隐私如病史、奖惩记录等属于公民个人信息[7]。刑法保护公民个人隐私和生活不被外界干扰，故而，公民隐私当然需要纳入公民个人信息中予以保护。再者，隐私等公民不愿为外界知晓的个人信息较之商业秘密与公众利益联系更为紧密，我国刑法已经规定了对于商业秘密的保护，出于对刑事法律体系的平衡，也应该保护公民的隐私，将其纳入公民个人信息的范畴。相反，单纯的公共生活、公共秩序信息不属于侵犯公民个人信息犯罪的保护对象，因其已脱离了公民个人信息的范畴。

(二)“情节严重”标准之厘定

侵犯公民个人信息犯罪中何谓“情节严重”？立法者并未给出确切的判断标准，这为司法实践对侵犯公民个人信息犯罪的认定带来模糊性。公民个人信息的价值判断是个主观过程，“甲之砒霜，乙之蜜糖”，相同的信息对不同人而言意义不同，故而对于“情节严重”难以确立一个具体的标准。因此，有学者倡导为维护刑法的严肃性，保证国民预测可能性，应删除本罪中“情节严重”的表述。对此，笔者持反对意见，侵犯公民个人信息犯罪中规定“情节严重”为入罪条件是有必要的。本罪规定的“情节严重”属于构成要件要素表明只有实施的侵犯公民个人信息的行为达到情节严重的程度才构成犯罪，我国刑法条文对于犯罪的规定采取既定性又定量的方式在其他要件齐备的前提下达到“情节严重”的程度，才符合本罪的犯罪构成，同时也有利于划清行政违法与刑事犯罪的界限。尽快明确“情节严重”标准，对于侵犯公民个人信息犯罪的司法适用有指导意义。

在司法适用中，关于“情节严重”的认定可以参考以下几个方面的因素：第一，以公民人身、财产权利受损害的程度作为“情节严重”的认定标准。换句话说，对于“情节严重”的认定可以参考出售、非法提供公民个人信息的行为是否导致他人人身伤害、死亡，是否干扰他人正常生活，对他人名誉的侵犯程度，以及给他人带来的财产损失数额等情形。第二，可以以信息用途来认定是否达到“情节严重”。也就是说在实施侵犯公民个人信息的行为时，行为人是否明知或者应该知道此信息将用于实施违法犯罪等具有一定社会危害性的行为。第三，若不存在上述情节，可以以行为人的主观恶性、危害后果以及行为造成的影响来判断是否构成“情节严重”[8]。可以根据行为人是否形成完整的犯罪组织网络，出售、非法提供公民个人信息的数量、次数，获利金额，以及出售、非法提供公民个人信息的空间范围，是否流往境外等来判断把握。

(三)“违反国家规定”之理解

侵犯公民个人信息犯罪中“违反国家规定”应与《刑法》第96条的规定保持一致。但我国《个人信息保护法》尚未出台，现今也没有形成完整的关于个人信息保护的法律法规，前置性法规的留白，给刑法的适用带来一定障碍。对于此情况存在两种解决方式：其一，删除侵犯公民个人信息犯罪中的“违反国家规定”，尽可能删除刑法中的空白罪状，取消授权性条款，维护刑法的严肃性，防止行政法律法规介入公民的宪法权利领域，更全面地保护公民权利，落实宪法的规定。其二，加快前置法规制定步伐，处理好刑法和前置性行政法规的关系，将刑法的实施落到实处。

笔者同意上述第二种方式，应尽快出台前置性法律法规，处理好其与刑法的关系。首先，侵犯公民个人信息犯罪是法定犯，法定犯的特征是具有双重违法性，刑事违法的前提是存在行政违法，即便删除了本罪构成要件中的“违法国家规定”，也需尽快出台前置性行政法律法规，才能实现法律法规对此问题的有效衔接。其次，对于法定犯而言，有些具体构成要件及其含义由行政法进行规定较好，若均由刑法进行规定会显得过于烦琐，使整个刑事法律体系过于庞大冗长，有悖于刑法简明扼要的立法需求，不利于刑法国民预测可能性功能的实现。再次，缺乏前置性行政法律法规，会显得刑事立法依据不足，根基不稳。全面保护公民个人信息，需要刑法和其他法律法规相辅相成，若不存在前置性行政法律法规，会降低刑法威信，使刑法立法依据不足。最后，无行政法规作为缓冲，直接由最后一道屏障——刑法进行处理，跨度过大，会给社会公众造成“要么不追究，要追究就动用刑罚”的误解。

基于上述理由，尽快出台《个人信息保护法》，完善侵犯公民个人信息犯罪的前置性法律法规迫在眉睫。要全面保护公民个人信息安全，仅仅依靠刑法是不够的，还需建立健全相应的民事、行政保护机制，实现民事、行政保护与刑事保护的对接。在民事领域，我国目前仅仅靠侵权责任法保护公民个人信息安全是不够的，可以将出售、非法提供公民个人信息的行为纳入违约领域。承认信息主体、收集者、适用者间的合同关系，一旦出现出售、提供公民个人信息的行为，即可因违约要求其进行损害赔偿。在行政领域，应尽快出台《个人信息保护法》，完善对公民个人信息安全的行政保护。

尚未出台行政规范，就动用刑法进行规制的现象在我国法律创设中屡见不鲜。先制定刑法处罚，从而逼迫相关部门出台对应的前置性行政法律法规不失为一个提高立法效率的方法。然而，这种“倒逼”式立法也存在一定的缺陷。一方面如前文所述，会降低刑法威信，使刑事立法显得依据不足。另一方面，因先制定刑法，再出台前置性行政法律法规所带来的时间差，会产生一定的法律冲突问题，使得执法效果大大降低，“倒逼”式立法会给处理好刑法和前置性行政法律法规的关系带来一定的难度。因此，在今后的刑事立法活动，要尽量避免“倒逼”式立法。

参考文献:

[1]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报,2014,(1).

[2]凌鸿.非法获取公民个人信息罪的认定[N].人民法院报,2010-06-17.

[3]刘宪权,方晋晔.个人信息权刑法保护的立法及完善[J].华东政法大学学报,2009,(3).

[4]吴苌弘.个人信息的刑法保护研究[M].上海：上海社会科学院出版社，2014：156-162.

[5]周汉华.个人信息保护前言问题研究[M].北京：法律出版社，2006：227-228.

[6]王昭武,肖凯.侵犯公民个人信息犯罪认定中的若干问题[J].法学,2009,(12).

[7]张玉洁.论“非法获取公民个人信息罪”的司法认定——基于190件案例样本的分析[J].华东政法大学学报,2014,(6).

[8]赵秉志.刑法修正案最新理解适用[M].北京：中国法制出版社，2009:114-126.

[责任编辑:范禹宁]

中图分类号：DF624

文献标志码：A

文章编号：1008-7966(2016)02-0031-03

作者简介：昂思梦(1992-)，女，云南昆明人，2014级刑法学专业硕士研究生。

收稿日期:2016-01-05