文立彬

(广西民族大学 民族学与社会学院，广西 南宁 530006)

党的十九大及相关会议精神要求实施大数据国家战略，推进大数据、人工智能和实体经济的深度融合，构建以数据为关键要素的数字经济、运用大数据促进民生改善以及切实保障国家数据安全。数据作为信息化建设和数字化经济发展的生产力要素，其安全已上升至前所未有的国家战略高度。

一、大数据环境下个人信息安全面临威胁且保护不善

2018年《政府工作报告》指出，推进平安中国建设，整治电信网络诈骗、侵犯公民个人信息、网络传销等突出问题，维护国家安全和公共安全。公安部公安发展战略研究所公布的《中国犯罪形势分析与预测(2017-2018)》显示，传统的暴力犯罪、财产犯罪数量逐步减少，而以互联网等为媒介的非接触性犯罪数量日益增长。其中，以侵犯公民个人信息罪为源头的网络犯罪、诈骗犯罪的发案率仍处于高位运行状态。腾讯安全联合实验室发布的《2017年度互联网安全报告》同时指出，中国“网络黑产从业人员”已经超过150万，“市场规模”也屡创新高。2017年上半年，全球泄露或被盗的数据达19亿条，这一数字已经超过2016年全年被盗数据总量。可知，近年来围绕着数据非法刺探、非法获取、非法使用的灰黑色数据产业链已经形成，并以网络作为媒介、对象和空间，数据黑产正朝着“公然侵害”“隐蔽升级”“目标转化”和“精准诈骗”的方向转变。个人信息是经法律确认后的数据，其范围窄于个人数据，主要包括直接识别信息和部分间接识别信息。基于网络犯罪治理思维，个人信息犯罪、计算机犯罪、诈骗犯罪等罪形成了上下游犯罪关系，具有相互利用、相互促进的关系。为了更好地剖析侵犯公民个人信息犯罪的法理依据和规制效果，本研究主要采用理论分析、比较分析和实证分析的方法展开深入探讨，采用随机抽样的方式选取335份刑事生效判决并比较域内外相关的立法经验，以期厘清我国侵犯公民个人信息犯罪的法益定位、量刑标准、责任分配、证据规定等司法实践难题。

二、侵犯公民个人信息犯罪主体与行为的特征解析

以2015年《刑法修正案(九)》对侵犯公民个人信息罪的修正为起点，通过中国裁判文书网搜索到2015年11月至2018年4月全国侵犯公民个人信息罪刑事判决共1 703份，从侵犯公民个人信息罪案件来源地区抽取335份生效判决作为研究样本，即所抽样判决占全部判决的比率是19.6%，能够达到较高的精确性。

本研究抽取的侵犯公民个人信息罪案件来源地区包括东北、华北、华中、华东、华南、西南和西北。在每个地区随机抽样50份侵犯公民个人信息罪生效判决作为研究样本。其中，西北地区在中国裁判文书网上仅有35份侵犯公民个人信息罪生效判决，故该地区的样本数量为35份。

(一)侵犯公民个人信息犯罪案件逐年递增且发案地域差距大

从2015-2017年间我国侵犯公民个人信息罪刑事判决地域分布看，东北(57份)、华北(108份)、华中(158份)、华东(935份)、华南(211份)、西南(199份)和西北(35份)，由此可知，该类犯罪集中发案于我国华东、华南和西南地区。究其原因，新技术、新产业、新业态和新模式不断涌现，沿海地区的数据产业具有较好的内部基础和外部环境。在此背景下，个人信息灰黑色产业链条已成规模并逐步扩大，呈现从沿海区域向内陆区域扩散的趋势。从犯罪关联性考察，侵犯公民个人信息的行为多与网络诈骗、信用卡诈骗、非法传销、商业推广、考试舞弊等行为相联系。犯罪人得益于对他人个人信息的掌握，下游犯罪行为呈现“精准化”的蔓延态势，行为体现出更高的人身危害性和后果危害性。

从侵犯公民个人信息犯罪的判决数量看，从2015年的23件，2016年的373件到2017年的1 090件，判决数量增长率分别为1 521%和192%。犯案率大幅度增长的背后，集中反映了四个问题。其一，个人信息违法犯罪问题较为泛滥，相应的灰黑色产业已经形成，受到了社会普遍关注。据统计，以个人信息为核心要素的中国网络黑产经济规模已达千亿级别。其二，我国个人信息犯罪刑事立法经过两次刑法修正案的调整，不仅确立了罪名，还规定了犯罪主体的范围扩大和刑罚配置的标准提升，为打击个人信息犯罪提供了明确的法律依据。其三，近三年我国公安部开展了数次专项打击行动，侦破了一大批大案要案。在个人信息违法犯罪中，常见的行为包括非法获取、非法泄露、非法处理、非法交易等。个人信息黑灰色产业链正是建立在这些行为的基础上，从而不断蔓延、不断壮大。其四，与个人信息相关的涉数据网络犯罪受到国际社会关注，区域性、国际性司法合作正在接轨。个人信息犯罪作为网络犯罪的核心，已从将网络作为犯罪工具、犯罪对象，发展成犯罪空间，因此构建和加强此类犯罪的区域性及国际性刑事司法协作势在必行。

(二)犯罪人呈年轻化特征且法人责任追诉率低

从犯罪主体分布看，自然人犯罪占绝大多数(共604人，占99.5%)，法人犯罪追诉率较低(共3人，占0.05%)。从判决可知，在服务型企业中，自然人非法获取个人信息往往是基于经济目的，而企业作为最终的受益者却几乎不需要承担责任。在员工案发的情况下，企业往往可将全部责任归结于员工行为，这导致个人信息保护中法人责任的缺失，进而有必要探讨如何完善法人个人信息安全保护责任的制度体系。

从犯罪人的年龄层次观察，18～30岁犯罪人共417人，占69%；31～40岁犯罪人共176人，占29%；41岁以上犯罪人共11人，占2%。从犯罪人地区分布看，华中地区18～30岁犯罪人比率最高(占75%)，华东地区31～40岁犯罪人比率最高(占40%)。综上，侵犯公民个人信息犯罪者呈现年轻化特性，亦说明实施个人信息犯罪的门槛较低，实施此类犯罪行为多不需要较高的技术水平。

(三)个人信息罪犯呈现有职业者受教育程度较高且集中于服务行业

从侵犯公民个人信息犯罪人的文化层次看，初中学历比重最大(共262人，占43%)，其次是本(专)科学历(共230人，占38%)，再者是高中学历(共67人，占11%)，研究生学历和小学学历占比较小。在有职业的罪犯中，有超1/3接受过高等教育。对于个人信息这类无形财产而言，价值性、无消耗性、易转移性特征使得犯罪人有利可图又不易引起察觉。在判决书中发现，一部分犯罪人并不认为非法获取和非法提供他人信息是犯罪行为，最多是违法行为或侵权行为。这说明在法定犯逐步递增的同时，民众法律意识仍有较大提升空间。

从侵犯公民个人信息犯罪者的“职业”分布来看，无业人员比例最高(共327人，占54%)，其次是服务业人员(共159人，占26%)，再者是个体户人员(共26人，占11%)、公务单位人员(共43人，占7%)、事业单位人员(共8人，占2%)。从对有职业的犯罪者进行比较可看出，服务业从业人员占比最高(共159人，占57%)。《中国犯罪形势分析与预测(2017-2018》指出，“内鬼”监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。此外，人数占比最少的公务单位人员和事业单位人员的刑罚幅度相对较高，原因在于刑法规定将履职过程中泄露个人信息给他人的行为施加重罚，重罚的背后是此类行为人实施个人信息犯罪的后果将更为严重。还有，判决表明有职业者往往与无业人员形成犯罪团伙关系，即上游负责利用职务便利条件获取他人个人信息，中游的中间商则专门从事个人信息的买卖服务，下游的犯罪者利用非法获取的个人信息实施“精准诈骗”等犯罪行为。综上，有必要进一步规范个人信息的搜集、使用和监管制度。

三、当前侵犯公民个人信息犯罪的刑事司法样态分析

我国个人信息犯罪刑事规制经历了从无到有、从简到详的发展过程，犯罪行为随着科技发展与市场需求亦不断变化。通过对335份侵犯公民个人信息罪刑事判决书的剖析，能对当前该罪的刑事司法样态进行理性归纳。

(一)侵犯公民个人信息行为定罪主要以“数量”和“数额”为标准

根据罪状及司法解释，侵犯公民个人信息50条以上可认定为“情节严重”，500条以上可认定为“情节特别严重”。研究中发现，侵犯公民个人信息数量往往较为巨大，故选择了50条、5 000条和5万条这三个较为集中的数量区间(见表1)。

表1 侵犯公民个人信息数量统计

如表1所示，具有该“数量”情节的犯罪主体共452人，各统计区间侵犯公民个人信息数量占比相对平均。其中，侵犯个人信息5 000条以上不满5万条占比最高(共181人，占40%)，其次是侵犯个人信息50条以上不满5 000条的(共136人，占30%)和侵犯个人信息5万条以上的(共135人，占30%)。根据上述数据和《中国犯罪形势分析与预测(2017-2018》可知，我国侵犯公民个人信息犯罪呈现涉案个人信息种类和数量日益增长的趋势，并且侵犯公民个人信息的渠道、方式和群体亦呈现增多态势。值得注意的是，在我们统计的335份刑事判决中，有的判决仅写明“侵犯公民个人信息5 000余条”，有的判决甚至回避了对侵犯个人信息条数的数量统计，可推测司法机关在实践中就个人信息条数认定存在一定的困惑，故有必要就侵犯公民个人信息犯罪中信息条数的认定规则做进一步研究。

就“数额”情节而言，统计区间分布以侵犯公民个人信息罪的规定和相关司法解释为依据，侵犯公民个人信息违法所得数额5 000元以上的可认定为“情节严重”，5万元以上的可认定为“情节特别严重”，故将统计区间划分为以下三个(见表2)。

表2 侵犯公民个人信息违法数额统计

如表2所示，侵犯公民个人信息违法所得数额占比最高的是1万元以上不满5万元的区间(共136人，占54%)，其次是5万元以上的区间(共65人，占26%)，最后是5 000元以上不满1万元的区间(共53人，占20%)。

综上，通过分析侵犯公民个人信息的“数量”情节和“数额”情节可知，一是“数量”和“数额”不能单独反映出侵犯公民个人信息行为的社会危害性，必须进行综合判断；二是不同地区对相同的“数量”情节或“数额”情节的刑事危害性评价存在较大差距。通过查阅相关文献资料可知，受经济差距的影响，对于相同的“数量”或“数额”，发达地区的危害性评价相较于不发达的地方要低。

(二)个人信息犯罪刑罚轻缓化趋势明显

本研究记录了准确的主刑裁量区间。各区域侵犯公民个人信息犯罪“情节特别严重”的分布情况为：东北(8人)，华北(12人)，华中(9人)，华东(21人)，华南(8人)，西南(16人)，西北(13人)。具体而言，《刑法修正案(七)》首次规定了非法获取公民个人信息罪，《刑法修正案(九)》将该罪名修改为侵犯公民个人信息罪，该罪主刑量刑区间为“情节严重的，处三年以下有期徒刑或者拘役，情节特别严重的，处三年以上七年以下有期徒刑”。2017年两高出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》进一步明确了“情节严重”和“情节特别严重”的适用条件。从生效判决可以看出，有期徒刑不满一年的占比最大(共227人，占38%)，有期徒刑一年以上不满二年的占比次之(共169人，占28%)，再者是有期徒刑三年以上(共121人，占20%)，相对占比较小的是拘役(共48人，占8%)和有期徒刑二年以上不满三年(共39人，占6%)。此外，侵犯公民个人信息犯罪人的缓刑的适用率较高(共222人，占总人数的36.8%)，免刑率较低(共6人，占1%)。以上数据共同说明了三方面的问题：一是个人信息犯罪刑事规制形势仍较为严峻，相应的灰黑色产业链条已经形成并逐步扩张，个人信息源头安全把控仍为该现象的治理关键；二是体现了现代刑法的轻缓化，这要求刑法通过多种途径控制和预防犯罪；三是缓刑的适用条件和实际效果有待深入剖析。

(三)个人信息犯罪的量刑与涉案金额呈不完全正相关关系

侵犯公民个人信息罪的附加刑是单处罚金和并处罚金。并处罚金占比较高(共570人，占94%)，单处罚金占比较低(共31人，占5%)，剩余6人免于刑事处罚。在罚金额度层面，被判处1万元以上不满5万元者占比最高(共281人，占46%)，其次是被判处罚金1万元以下者(共266人，占44%)，最后是被判处罚金5万元以上不满10万元者(共40人，占6%)和被判处罚金10万元以上者(共14人，占4%)。一般说来，设置罚金刑的目的在于实现威慑、剥夺、替代和预防。侵犯公民个人信息犯罪中罚金刑的不同目的，将对罚金刑和自由刑的关系产生重要影响。

(四)侵犯公民个人信息犯罪人多具有法定减轻处罚情节且共犯认定少

从侵犯公民个人信息犯罪人量刑情节的分布情况看，自首(共49人，占8%)，坦白(共324人，占43%)，认罪(共182人，占30%)，退赃(共126人，占21%)，共同犯罪(共74人，占12%)。具有法定的量刑情节，法官可据此判断“犯罪情节是否轻微”“再犯危险性程度高低”。从生效判决的研究发现，自首、认罪、退赃对于侵犯公民个人信息犯罪者的缓刑适用影响最大，有前科、实施数罪、共同犯罪则是侵犯公民个人信息犯罪者使用缓刑的消极要素。相较而言，法官在司法实践中更倾向于“以不宣告缓刑为原则，以宣告缓刑为例外”的立场，这说明了消极要素的作用更为明显。

四、侵犯公民个人信息犯罪刑事规制的困境剖析

党的十九大报告提出“保护人民人身权、财产权、人格权”，这与保护个人信息权的价值取向相一致，并凸显个人信息立法保护问题在大数据时代的重要意义。我国个人信息保护立法以“先刑后民”为特点为个人信息保护提供法律依据。我国刑法自2009年首次设立个人信息类犯罪至今，在预防和惩处个人信息犯罪领域起到了不可替代的作用。随着信息化社会的逐步深入，以大数据技术、人工智能为代表的科技发展对个人信息的保护和利用提出了更高的要求。

(一)现行法律对于侵犯公民个人信息犯罪的法益界定问题

个人信息犯罪是信息社会深入发展的产物，在传统刑事立法体系中可归于新型犯罪。随着侵犯个人信息行为的大肆扩张与危害显现，该类危害行为被刑法明文规定为犯罪。2017年，《最高人民法院与最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)细化了该罪的司法适用细则。随着民法总则将“个人信息权”明文规定为公民权利，个人信息保护法益的定位从侧重于保护人身权向兼顾保护公民人身权、财产权和人格权转向。就现状而言，我国刑法规范与司法解释关于个人信息犯罪的法益定位仍存在完善空间。

1.刑事立法中对侵犯公民个人信息行为的法益界定

法益是指刑法所保护的利益。侵犯公民个人信息罪规定于我国《刑法》第253条之一，归属于《刑法》第四章侵犯公民人身权利、民主权利罪之中。由此可知，现行立法对于侵犯公民个人信息犯罪的保护法益偏向于个人隐私或个人人格，强调对于侵犯个人信息行为的禁止。

2.司法解释中对侵犯公民个人信息行为的法益界定

《解释》中明确了“情节严重”和“情节特别严重”的规定，尤其是对“侵犯信息条数”“违法所得数额”和“重大严重后果”进行了阐释，从个人信息主体的人格权、人身权和财产权三个方面完善了侵犯公民个人信息罪的法益保护，在司法实践中倾向于个人信息权的法益保护立场，且法益保护核心是公民个体对于信息的专有权。

3.个人信息犯罪案件审理中的法益识别问题

个人信息犯罪的法益定位决定了法官对于此类案件的审理思路与判决依据。若个人信息犯罪法益保护规定明显滞后，难免会导致定罪不一或量刑失衡的现象。个人信息包含的人身属性和财产属性在大数据时代更为明显，侵犯公民个人信息罪所保护的公民人身权利法益则是该罪在司法判定过程中法益识别与法益度量的核心因素。法益识别解决的问题是，司法官判别个人信息犯罪行为法益侵害性高低和采取刑事惩罚与否的标准，以准确落实法益保护。人身法益是刑法明文规定侵犯公民个人信息犯罪的保护法益，犯罪客体则是公民个人的人身权、人格权。就该罪而言，财产权利亦是保护法益的重要内涵。现行立法对于个人信息犯罪财产法益保护的忽视，导致各地法院对该罪罚金刑裁量的结果差距很大，以致于罚金刑功能发挥受限且影响整个刑事治理效果。本研究选取的生效判决主要来自全国的基层人民法院，在不同地域、不同经济环境下的法官对法益识别与度量会存在较大差异。正是由于个人信息犯罪法益侵害的多元性，学术界对于个人信息犯罪法益定位亦议论纷纷。

4.个人信息犯罪保护法益的争论

关于侵犯公民个人信息罪的保护法益，学界主要存在四种观点的争论。其一是隐私权说，该说认为个人信息犯罪的保护法益是个人隐私，侧重保护精神性的人格权，注重对私人生活、个人秘密的自主决定[1]。其二是人格权说，该说认为个人信息犯罪以人格权为保护法益，重视对个人人格利益的保护，是隐私权说的延伸，与隐私权模式相比较，人格权保护模式的保护范围更宽，能够覆盖所有的个人信息[2]。其三是财产权说，该说主张个人信息重在保护财产属性，当社会发展到一定程度时信息则不再依赖有形载体。赋予个人以信息权，以解决隐私权说和人格权说均无法有效解决的个人信息财产赔偿问题[3]。其四是个人信息权说，该说认为个人信息权属于人格利益与财产利益相结合的综合性法益，一方面包括积极使用并许可他人使用的权利，另一方面包括消极防御他人侵害的权利，兼具人格权和财产权[4]。个人信息权说又可细分为两种见解：第一种见解认为个人信息权以公民个人的信息专有权为基础；第二种见解认为个人信息权应以个人信息的社会属性为前提，否则难以回应如公司客户名单泄露导致的侵犯个人信息等问题[5]。侵犯公民个人信息罪保护法益的明确，将深刻影响本罪的适用范围和规制界限。从个人信息保护法益的历史沿革看，即是立法、司法为适用日新月异的数据处理技术而不断修正的过程，反映了此类不法行为具有明显的科技与网络依赖性、手段与危害多元性的特征。

下面将对上述观点加以具体分析。首先，隐私权说与人格权说反映至刑事立法上的不足在于规制半径过窄、规制措施针对性不强和追诉程序略显滞后。规制半径过窄是指将侵犯公民个人信息罪置于公民人身权利、民主权利一章之中，不能匹配大数据时代侵犯公民个人信息行为的损害扩张，无法对个人信息财产损失与赔偿提供适当的法律依据。规制措施针对性不强是指刑事治理的手段较为单一，立法着眼于消极预防和事后救济，导致刑事治理效果与预期差距甚远。追诉程序略显滞后是现行的个人信息犯罪追诉程序缺乏对个人信息主体的诉求满足，并且过多增加了司法资源的紧张程度。其次，财产权说的弊端在于忽视了个人信息精神利益的第一性，导致财产惩罚中缺乏精神损害的法理依据，无法对个人信息侵害行为作出妥当的法律评价。最后，个人信息权能够较好地结合人格权，注重消极防御他人非法侵害的侧面，同时重视保护财产，即信息的积极使用以及许可他人使用信息，在刑事立法上表现了刑法前置化和实现积极预防。重视个人信息的社会属性，转变以公民个体的信息自决权为核心的保护思路，逐步实现从安全本位向权利本位过渡，这与我国建设法治现代化的现实需求高度契合。综上，我们在查阅相关文献资料的基础上认为应将个人信息权作为个人信息犯罪的保护法益，并在刑事司法中逐步更新规范。

图5示，与CON组相比，OPC组、IGF-1组和OPC+IGF-1组LC3-Ⅱ相对表达量分别为10.32±0.31、1.02±0.20和5.73±0.11，F值分别为5 083.113、524.294和583.542，均P<0.001，OPC与IGF-1主效应均有统计学意义，两者联合有拮抗效应；p62相对表达量分别为0.64±0.02、1.03±0.02和0.87±0.01，F值分别为1017.038、257.225和162.558，均P<0.001，OPC与IGF-1主效应差异均有统计学意义，两者联合有拮抗效应。说明OPC通过抑制 PI3K/AKT 信号通路诱导TU686细胞发生自噬。

(二)个人信息犯罪中法人责任追诉的缺失问题

从犯罪主体分布看，自然人犯罪占绝大多数(共604人，占99.5%)，其中18～30岁犯罪人共417人，占69%，而追究法人刑事责任的情形较少(共3人，占0.05%)。在有职业的犯罪者中，服务业从业人员占比最高(共159人，占57%)。由上可知：一是服务型企业人员侵犯公民个人信息罪的可能性较高，从年龄分布可推测人员主要涉及一线员工和中层管理人员。从判决书中我们发现，企业员工多通过网络购买、相互交易、相互交换的方式获取他人个人信息，侵犯个人信息条数集中在5 000条至5万条区间，其行为目的主要是用于商业推广和精准营销。二是法人作为利益的最终享有者，追诉率偏低，导致犯罪收益与犯罪成本比例失衡。个人信息作为企业发展的重要资源，非法获取、使用个人信息行为在企业负责人观念中多是涉及不正当竞争，而遗憾的是该类行为的行政责任与刑事责任之间缺乏有机衔接，导致行为评价出现断层。在大数据时代，企业对于数字化经济发展的推动功不可没，但部分企业已经沦为个人信息泄露的重灾区，这不禁让我们进行反思。对此，一方面，企业过度搜集个人信息、超权限使用个人信息的行为较为普遍，目前追诉率低、责任承担少的现状加剧了该类不法行为的蔓延；另一方面，“个人信息隐身份制度”尚未确立，企业是否享有经匿名处理后属于间接个人信息的数据所有权仍缺乏法律依据。此外，法人的不作为责任在个人信息犯罪中的适用问题亟待解决。以刑法手段超前规制严重的个人信息侵害行为只能暂时抑制该类行为的扩张，要扭转目前“重打击、轻管理”的状况，急需解决的是涉个人信息企业的内部管理和外部监管问题。只有有效引导、监管和规制企业对于个人信息的相关行为，尤其是规模以上的企业，才能将个人信息保护予以落实，实现刑法适用的平等性，避免陷入隔靴搔痒的治理困境。

(三)司法实践中个人信息犯罪的“信息数量”认定问题

随着信息化社会的深入发展，以云计算、大数据、人工智能为代表的信息革命正加快改变着我们的生活，各类生产要素和生活信息日益转变为数据，并以网络为依托进而影响整个人类社会。数据化产业发展的核心在于对个人信息的充分利用，实现个性化服务和满足群体性需求，个人信息包含的人身属性和财产属性正成为数据市场竞争中的重要资源。刑法规定公民个人信息犯罪属于情节犯，《解释》对侵犯公民个人信息罪中的信息条数规定了明确的定量标准和认定规则。侵犯公民个人信息罪中的信息条数作为重要的构成要件要素，对于区分罪与非罪、罪轻与罪重具有重要作用。但我们从生效判决中发现，部分文书中没有写明具体的涉案个人信息数量和获利数额，也未就涉案个人信息的真伪性、重复性作出判断，而是仅写明通过买卖个人信息获取差价牟利，即认定构成犯罪和判处刑事责任。司法实践中的困惑可概括为二方面。一是认定公民个人信息数量的标准是什么？对于本罪而言，个人信息数量兼具有主观性质和客观性质，并且在不同情形下呈现不同的性质，应当如何实现“数量”认定上的统一？二是个人信息犯罪中“批量”信息应如何理解与适用？

(四)刑罚轻缓化趋势下个人信息犯罪的刑罚适用问题

刑罚轻缓化是世界刑事立法的主流趋势，反映了人道主义的重要发展和人权保障的时代进步。刑罚轻缓化反映至刑罚立法上表现为人身刑罚减少，财产刑罚增加，换言之，即逐步下调刑罚区间和提升罚金刑地位。在侵犯公民个人信息犯罪中，刑罚轻缓化的趋势较为明显，并且存在一些亟待解决的问题。

第一，个人信息财产权利保护较弱，且各地罚金量刑标准差距较大。根据《解释》第12条的规定，罚金数额一般在违法所得的一倍以上五倍以下。研究中发现，比较部分案件中罚金数额的确定让人疑惑。例如，在(2017)京0105刑初543号案件中，行为人侵犯他人个人信息15万余条，判处罚金30万元；在(2017)内0802刑初9号案件中，行为人侵犯他人个人信息200万余条，判处罚金3万元；又如，在(2017)黔0222刑初22号案件中，行为人非法获利30余万元，判处罚金5 000元。由上可知，罚金数额与犯罪情节之间的关系飘忽。对此，我们研究后认为，其一，现行个人信息保护刑事立法侧重于人格权和人身权，对于财产权保护较弱，导致罚金数额整体不高。其二，各地法院对于个人信息犯罪罚金量刑标准掌握不一，导致罪刑不均衡。其三，法官对于犯罪人的经济状况了解甚少，导致司法实践中罚金刑存在执行结案率低[6]等问题，以致罚金刑诸多功能难以实现。关于准确适用刑罚的意义，有观点指出：只有公正的刑罚，才能对一般人产生威慑作用，对一般人的法律意识起强化作用，并对行为人产生威慑和教育作用[7]507。因此有必要深入探讨个人信息犯罪罚金裁量的具体标准。

第二，侵犯公民个人信息犯罪缓刑适用条件缺乏确定性。前述提及，近三年我国侵犯公民个人信息犯罪人缓刑的适用率较高(共222人，占总人数的36.8%)，接近发达国家约40%缓刑率的水平。从历史沿革看，我国缓刑制度适用率总体偏低，一般缓刑制度经《刑法修正案(八)》修正后，优化了操作性和明确性，从而推动了缓刑适用率上升。在司法实践中我们发现，司法官就如何理解与适用“犯罪情节较轻”和“没有再犯罪的危险”存在一定的偏差，且就个人信息犯罪属于上游犯罪的地位考虑不足，这共同导致了个人信息罪犯缓刑适用过泛。有观点就此指出，我国法官更倾向于从罪行整体轻重的角度来解读“犯罪情节较轻”，但是由于缺乏刚性约束，法官们往往又能轻易突破这个自设的限制，进而对大量减轻处罚至三年有期徒刑的罪犯适用缓刑[8]。因此，在个人信息犯罪缓刑适用中，应以犯罪预防目的作为缓刑正当性事由，逐步为缓刑适用注入确定性因素。

五、侵犯公民个人信息犯罪刑事治理的完善对策

大数据环境下，个人信息犯罪呈现的多端变化对刑事治理提出了更高的要求，不仅是刑事立法上的理念更新和原则延伸，更是刑事规制实践中的标准优化与程序完善。

(一)个人信息权保护法益的适时确立与适用思路

(二)侵犯公民个人信息犯罪法人责任的合理分配

目前侵犯公民个人信息犯罪中法人责任追诉率明显偏低，而导致该问题的原因主要是罪名适用范围较窄和行政犯衔接较弱。对此，我们建议一方面扩大侵犯公民个人信息罪于法人的适用范围，另一方面优化侵害公民个人信息行为的法律规制体系。详言之，第一，在《刑法》第253条之一中增添一款“单位不履行法律、行政法规规定的公民个人信息安全管理义务，导致公民个人信息泄露等严重后果的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人人员，依照各该款项的规定处罚”。就此条款而言，侵犯公民个人信息罪法人的主观要件为过失，属于过失责任。理由在于，这既能从刑事立法层面提高涉公民个人信息企业的注意义务，又能与拒不履行信息网络安全管理义务罪和帮助信息网络犯罪活动罪构成公民个人信息安全监管责任的刑事规制体系，避免法条之间的功能重叠；更可从刑事立法层面提高涉公民个人信息企业的注意义务，充分实现刑法的指引功能、评价功能和教育功能。第二，完善法律和行政法规中企业的个人信息安全管理责任，实现法律评价的有机衔接。刑法的发展在自由价值和安全价值之间徘徊前进，刑法的极端化发展必然会遭受到恶法的质疑，因此刑法必须秉持谦抑性原则[11]。刑法谦抑性要求刑法仅能置于最后法的地位，只有在其他部门法无法有效规制某类危害行为时，刑法才具有规制该行为的正当性[12]。我国个人信息犯罪立法呈现“先刑后民”的显著特点，从司法实践上看是产生了积极的社会效果，但从立法发展看，应当逐步完善法律和行政法规中企业的个人信息安全管理责任，实现法律评价的有机衔接。《网络安全法》的出台明确了相关部门的工作范围与责任。同时，为进一步落实《网络安全法》的各项要求，具有立法权限的政府部门应进一步细化企业个人信息安全管理法律责任的构建要件。对此，我们建议国家网信部门应适时出台行政规范，规定“违反本条例规定，有下列侵权行为之一的，根据情况承担停止侵害、消除影响、赔礼道歉、赔偿损失等民事责任；同时损害公共利益的，可以由网信部门责令停止侵权行为，没收违法所得，非法经营额5 000元以上的，可以处非法经营额一倍以上五倍以下的罚款；没有非法经营额或者非法经营额5 000元以下的，根据情节轻重，可处10万元以下的罚款；构成犯罪的，依法追究刑事责任。一，企业未在公民授权的范围内搜集和使用个人信息；二，企业疏于监管而导致公民个人信息泄露，情节严重的”。第三，逐步确立“个人信息隐身份制度”，确认企业数据产权。所谓个人信息隐身份制度，是指数据控制者将数据集中可识别个人身份的数据进行删除或者改变的过程。该项制度又被称为“数据脱敏处理”(data desensitization)，学术研究多存在于计算机学科，本质在于将个人信息中的直接识别信息进行剔除，仅就部分的间接识别信息提供合法使用[13]。合理恰当地运用“个人信息隐身份制度”，将个人信息进行模糊化处理，能更好地促进政府数据开放水平和拓宽企业数据利益空间，利于实现“数据产权制度”的构建，避免企业面临诸多的合规风险。对此，首先，应确立个人信息分类，明确个人信息保护的界限，规范政府的数据公开与企业的数据利用；其次，确立数据流通的原则与规定，要求并引导企业落实“个人信息隐身份制度”，由专门部门对企业进行长效监管，科学避免个人信息侵害风险；最后，重点监管和打击个人身份再识别行为，即通过数据使用许可协议，限制个人信息的使用与披露，在发现违反使用许可协议时，依行为性质追究信息再识别行为人的法律责任。

(三)侵犯公民个人信息罪中信息条数认定的司法规则优化

虽然《解释》对于个人信息条数的计算和认定出台了相关的规定，但司法实践中仍对该问题有着不同的看法。关于公民个人信息数量的认定标准，存在着“主观说”和“客观说”的争议，在查阅相关文献资料的基础上，我们建议采用“主客观结合说”。首先，“主观说”认为，应当以行为人主观意欲出售或者提供的方式来认定公民个人信息的条数。换句话说，行为人将多条特定个人信息进行统一编辑，其主观目的在于出售或提供编辑完毕的个人信息。其次，“客观说”主张，应依据涉案公民个人信息客观可能侵害的法益进行认定。即行为人将他人个人信息按照人身信息、财产信息等分类编辑成一条信息，但该条个人信息在客观上却指向被害人的多项法益，应当在数量上认定为多条个人信息。在研究中发现，司法实践多采用“主观说”，即对于查获的个人信息在排除重复、不真实的信息后予以直接认定[14]。主观说的优势可概括为两点，其一是能节约有限的司法资源且提高办案效率，其二是司法机关认定的依据是行为人编辑的原始数据且异议可能性较小，进而案件质量较有保证。然而在司法实践中，个人信息犯罪的信息条数根据信息类型的不同而划分为不同的入罪门槛。因此采用一刀切的方式或适用“主观说”或适用“客观说”，并不能有效解决实践中的信息条数认定困难。因此，我们建议采用“主客观结合说”。详言之，其一，在信息数量直接影响罪与非罪、犯罪情节轻重判断的情况下，以客观说为依据，仔细甄别信息涉及的保护法益，并依据所侵犯的法益数量评价犯罪构成及罪数情况。其二，在个人信息条数达到一定规模时，且信息数量的认定不会影响罪与非罪、法定刑档次的选择时可以采用主观说。采用主客观结合说，既能确保个人信息犯罪中的正义实现，又能较好地解决司法资源紧张的问题。

关于公民个人信息犯罪中“批量信息”的理解与适用，我们认为应以涉案个人信息数量达5 000条为标准。《解释》第11条规定，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。为准确适用《解释》，我们认为应着重把握以下三点内容。其一，结合《解释》关于个人信息类别的划分及犯罪情节设定，“批量公民个人信息”宜认定为数量在五千条以上的公民个人信息[15]。对于未达到此数量标准的个人信息，建议采用客观说对“敏感”个人信息和“重要”个人信息进行逐一甄别，避免国家刑罚权力的滥用。其二，控方运用抽样检测办法验证信息真伪。在生效判决中我们发现，部分判决未写明涉案个人信息鉴定的程序与结果。《解释》规定对于批量个人信息可以查获的数量直接认定，但缺乏证明标准和证明程序，很可能导致司法不公的情况出现。对此，我们建议推广适用抽样取证的办法，即通过抽样检测以表明涉案个人信息为真的高度盖然性，从概率上建立起基础实施和推定事实之间的常态联系。其三，保障犯罪嫌疑人的反驳权利。《解释》规定，对于犯罪嫌疑人能够举证证明信息重复或者不真实的，不计入涉案个人信息。对于批量个人信息数量的计算，控方只需要对基础事实提出证据加以证明即可完成举证责任，而犯罪嫌疑人则需要提供反驳、反证使控方的主张或事实处于真伪不明的状态[16]。犯罪嫌疑人拥有的反驳权不仅是刑事诉讼中辩护权的延伸，而且是刑事诉讼推定证明中法律赋予被告人的举证负担。

(四)侵犯公民个人信息犯罪刑罚适用的完善思路

第一，侧重一般预防的需求，规范罚金裁量的适用标准，逐步设立罚金缓刑制度和罚金替代制度。对于少发、偶发的犯罪，往往侧重于特殊预防的需要；对于多发、常发的犯罪，则侧重于一般预防的需求[7]518。刑法对于个人信息犯罪的干预应当秉承谨慎与宽和的态度，重视刑罚措施的轻缓性、多样性和实效性。

针对罚金刑数额差距大的问题，在查阅相关文献资料的基础上我们认为，可在个人信息犯罪案件庭审中探讨建立相对独立的量刑程序。具体而言，在法庭调查阶段，法官先就犯罪行为的定罪事实和相关证据进行调查，此后就涉案的量刑事实和相关证据进行调查。在法庭辩论阶段，应保障诉讼双方能就涉案的量刑问题展开充分的辩论。在判决书撰写过程中，法官应明确写明量刑的事实与依据，尤其是具有法定情节的法律事实，实现“看得见的正义”。

针对单处罚金适用率较低且罚金执行率较低的情况，一方面应逐步避免非必要的短期自由刑，扩大罚金刑的适用范围，另一方面可借鉴德国刑事立法经验，增设罚金缓刑制度。我国刑法中对性质较重的自由刑和财产刑都规定了缓刑的适用条件，然而对于性质较轻的罚金刑却无缓刑的适用空间，不符合“举重以明轻”的法理和逻辑。值得注意的是，罚金缓刑制度的适用应受到严格限制，并设置相应的考验期限。就个人信息犯罪而言，建议将罚金缓刑的适用条件设定为最高罚金数额10万元，以两年作为考验期限，并规定累犯、主犯不得适用。

针对个人信息犯罪罚金执行难的问题，亦可借鉴德国关于罚金替代制度的规定，即在罚金无法执行的情况下，可以自由刑替代罚金刑、以义务劳动间接替代罚金刑。罚金替代制度的目的在于实现刑法的平等适用，让所有的个人信息罪犯受到应有的惩罚，杜绝作为惩罚和预防轻罪重要手段的罚金刑沦为摆设[17]。进而，对于因生活苦难无力缴纳罚金、有能力却拒绝缴纳罚金的个人信息罪犯，可以通过建立自由刑替代或以社区义务劳动等社区服刑方式替代罚金刑的制度，确保罚金刑能够得到有效执行，实际发挥刑罚的应有作用。

第二，明确缓刑适用的前提要件和实质要件。个人信息罪犯适用缓刑的前提要件是指“犯罪情节较轻”，应侧重考虑刑罚的报应因素。司法实践中法官普遍将“犯罪情节较轻”理解为罪行整体较轻，进而对社会危害性相对高的罪犯不适用缓刑。法官从“犯罪情节较轻”整体性进行缓刑适用考量具有一定的合理性，但涉及的情节过多会导致规范冗余且缓刑制度内外冲突。因此，在查阅相关文献的基础上我们认为对“犯罪情节较轻”的考量应着重于“人身危险性较轻”与“再犯罪危险性较轻”。个人信息罪犯适用缓刑的实质要件是指“没有再犯罪的危险”，应侧重考虑刑罚的特殊预防因素。此外，要真正实现缓刑制度的科学适用，就应逐步转变“裁判结果中心主义”，即只要法官不存在违反职业伦理规范的行为，就不应以判决不当或判决有误来追究法官的责任。

六、小 结

随着数据产业的蓬勃发展，以侵害公民个人信息为逻辑起点的网络犯罪不断蔓延。数据表明，我国个人信息犯罪案件近年来呈现倍增式的上升，原因在于社会持续关注、刑法修正案出台、司法解释颁行和专项打击增加。分析可知，个人信息罪犯呈现年轻化和团伙化的特征，且追究单位刑事责任概率偏低。个人信息犯罪行为呈现侵犯对象增加和犯罪手段翻新的变化。从刑事司法样态考察，个人信息犯罪以“数量”和“数额”作为入罪情节，法官对该犯罪构成要件要素进行综合判断后对行为人宣告判决。就刑罚裁量而言，个人信息犯罪呈现“重身体刑而轻财产刑”的倾向，并且各地法院判处罚金刑的标准差距较大。个人信息犯罪缓刑率偏高使得缓刑适用的准确性和实效性受到质疑。对此，首先应确立个人信息权法益，兼顾个人信息中的人身权、人格权和财产权保护。其次，合理分配企业的个人信息安全保护法律责任，引导企业做好内部监管和落实政府监督职能。再者，以“主客观结合说”为依据优化个人信息罪中信息条数的认定规则。最后，通过罚金刑和缓刑的制度性优化，充分实现刑罚制度的积极作用。