闵婉

摘要：

在信息网络时代，网络侵犯个人信息违法犯罪现象日益严重，在此背景下，我国个人信息保护立法工作近年来也取得了显著的成效，但相关立法不协调、法律适用不一致等问题仍然存在。公安机关在治理网络侵害个人信息违法行为的执法实践中，要准确适用相关法律、法规及司法解释，正确界定法律保护的个人信息的范畴，准确把握侵犯个人信息一般违法行为与犯罪行为的界线，合理适用行政处罚权，精准打击侵犯个人信息犯罪行为。

关键词：公安机关;个人信息;违法行为;法律适用

近年来，我国信息泄露事件层出不穷，信息买卖日益猖獗，个人信息安全面临严峻挑战。尤其是随着互联网技术的迅猛发展，收集、储存、传输、处理和利用个人信息变得易如反掌，个人信息保护的漏洞与风险被进一步放大，公民个人信息通过网络被泄露、窃取的案件高发，各类个人信息违法行为正严重影响着社会的安全与秩序。在此背景下，我国个人信息保护立法工作近年来也取得了显著的成效，《刑法修正案（九）》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《决定》）、《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）等法律和司法解释的出台为网络个人信息保护提供了更明确的法律指引。但我们也不能忽视，当前我国关于个人信息保护的法律法规仍然呈现出庞杂和分散的状态，立法不协调、法律适用不一致等问题仍然存在，因此，从公安机关执法职能的角度出发，厘清网络侵犯个人信息的违法行为的法律适用，是公安机关有效治理此类违法行为的基础。

一、个人信息的概念及范畴的界定

对“个人信息”的概念和范畴的界定，理论界一直众说纷纭。“隐私说”认为，“个人信息”具有隐私性，是权利主体不愿意为他人知晓的私密性、非公开性的信息;“识别说”认为，“个人信息”具有可识别性，是与特定权利主体具有特定关联性的信息，通过这些信息能够直接或间接识别出权利主体的具体身份;“广义说”认为，“个人信息”是以任何形式存在的与权利主体存在关联的各类信息。[1]从各国立法实践来看，对“个人信息”范畴的界定也各不相同。欧盟《个人数据保护指令》认为，“个人数据”是指可据以识别特定自然人的与数据主体相关的任何信息，包括姓名、性别、身份证号码、照片、定位数据、基因数据、健康数据等;美国《隐私法》认为，“个人信息”是指一个机构所持有的与一个人相关的各类单项信息或信息组合，包括但不限于：教育、金融交易、医疗病史、工作履历、识别号码、指纹、照片等。[2]

对“个人信息”的概念和范畴的不同界定，直接关系到个人信息保护法律制度所保护的法益范畴的大小，从而直接影响到对侵犯个人信息违法犯罪行为的准确界定。从我国的立法实践来看，关于这一问题的解读也呈现出不断发展的态势。2012年颁布的《决定》将“个人信息”的界定为“能够识别公民个人身份和涉及公民个人隐私的电子信息。”这一概括性的界定综合了“隐私说”和“识别说”的观点，保护范畴足够宽泛，但是因规定不够具体，不利于执法和司法实践中准确把握。2016年颁布的《网络安全法》采纳的是概括加列举的定义方式，该法明确规定：“个人信息，是指以电子或其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”不难看出，该法对“个人信息”范畴的界定采纳了“识别说”，但是，在大数据背景下，严格以“识别说”为标准，会导致用户网页浏览记录、购物记录、行踪轨迹等不必然具有识别性却能反映出权利主体的活动情况的个人信息得不到法律的保护。为了更加科学地界定受法律保护的“个人信息”的范畴，适应网络环境下侵犯个人信息违法犯罪行为高发的社会现状，2017年颁布的《解释》第1条对“个人信息”的概念和范畴作出了拓展化的解释：“刑法第二百五十三条之一规定的‘公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”通过司法解释的方式对“个人信息”的概念和范畴作出扩大化的界定，将反映自然人活动情况的信息明确纳入了“个人信息”的范畴，使得法律对“个人信息”的保护更加严格，这一发展性解释更加符合大数据背景下个人信息保护的需求，有效厘清了此前的模糊认知，并为公安机关精准打击侵犯个人信息违法犯罪行为提供了明确的法律依据。

此外，个人信息的数量是侵犯公民个人信息案件定罪量刑标准的主要依据。实践中，公安机关查获的涉案信息数量动辄上万条、数十万条，甚至以兆计算，其中不乏大量虚假的信息条目，怎样科学、合理认定信息数量是公安机关在办案过程中必须面对的问题。首先应当明确的是，个人信息既然是能够识别自然人个人身份的信息，因此必须具有真实性，虚假的信息不符合我国法律对“个人信息”内涵的界定，不应计算在内。

[3]但是考虑到执法过程中的实际可操作性，《解释》规定，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实的除外。其次，非法获取公民个人信息后又向他人非法出售或者提供的，這种情况下，侵害的个人信息条数不应重复计算。最后，行为人将相同的公民个人信息向不同对象分别出售、提供的，属于重复出售或者提供个人信息，社会危害性较一次性出售或提供危害性更大，数量应累计计算。

二、公安机关治理网络侵犯个人信息一般违法行为的法律适用

违反国家有关个人信息保护的法律法规，侵害权利主体的个人信息权利，但情节轻微，尚不足以构成侵害公民个人信息罪的，属于侵犯个人信息一般违法行为。对这类行为人，不适用刑法规定的刑事处罚形式，而应当依据行为人实施行为的违法性程度及损害后果不同，对其实施行政处罚或追究民事责任。国家网信部门及其他有关主管部门在各自职权范围内对不同类型的网络侵犯个人信息一般违法行为进行监督和管理，并有权对违法行为人依法给予警告、罚款、没收违法所得等行政处罚措施。但是由于我国目前尚未出台《个人信息保护法》，对于侵犯个人信息的一般违法行为的界定、管辖及处罚均没有统一明确的体系化规定，不利于主管部门对此类违法行为及时有效地进行管理。

对公安机关而言，治理网络侵犯个人信息一般违法行为的主要法律依据是《网络安全法》的第四十四条和六十四条。根据这两个条款的规定，任何组织和个人窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。根据这一规定，公安机关对网络侵犯个人信息一般违法行为享有没收违法所得及罚款的行政处罚权。那么公安机关是否有权对违法行为人处以其他类型的行政处罚呢？就目前法律规定来看，答案是否定的。因为当前公安机关治理各类一般违法行为的主要法律依据是《治安管理处罚法》，而该法中并没有将侵犯个人信息的行为纳入治安管理处罚范围，导致对侵害个人信息的一般违法行为的行政处罚体系并不完善。[4]

三、公安机关治理网络侵犯个人信息犯罪行为的法律适用

（一）关于犯罪主体的法律适用

我国《刑法修正案（七）》将侵犯个人信息犯罪的行为主体限定为“国家机关或者电信、金融等单位及其工作人员”，对犯罪主体的限定直接导致实务中大量侵犯个人信息的行为无法纳入刑法调控范畴，极不利于对公民个人信息的全面有效保护。现行的《刑法修正案（九）》及时回应了这一现实诉求，删除了对侵犯个人信息罪特殊主体的限定性规定，将此罪的行为主体扩充为一般主体，加大了对公民个人信息的保护力度。也就是说，任何单位或者个人，只要违反国家有关规定，窃取或以其他方法非法获取公民个人信息或者向他人出售或提供公民个人信息，情节严重的，均构成侵犯个人信息罪。但不可否认，对国家机关、电信、金融、互联网服务企业等特殊行业及其工作人员来说，因为职务便利或业务需求极为便利地掌握着大量的公民个人信息，一旦被非法泄露，不仅会侵害公民的个人信息权，也会极大破坏上述公共服务机构的社会公信力，进而严重影响社会公共秩序的安宁和稳定。相对于一般社会主体而言，这类特殊主体的犯罪成本更低，社会危害性更大，因此，《刑法修正案（九）》同时规定：“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚。”此外，《解释》还明确规定，针对此类特殊主体，认定“情节严重”的数量、数额标准减半计算。通过对特殊主体从重处罚并降低入罪门槛的方式，贯彻了罪行相适应的原则，更周全地实现了对公民个人信息的严格保护。

（二）关于犯罪行为的法律适用

1.入罪行为方式认定

一是“提供”的认定。在“人肉搜索”案件中，行为人未经权利人同意即将其身份、照片、姓名、生活细节等个人信息公布于众，影响其正常的工作、生活秩序，危害严重。更有甚者，一些行为人恶意利用泄露的个人信息进行各类违法犯罪活动。经研究认为，通过信息网络或者其他途径予以发布，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当認定为“提供”。基于此，《解释》规定：“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息。”二是合法收集公民个人信息后非法提供的认定。根据《网络安全法》的规定，经得被收集者同意，以及做匿名化处理（剔除个人关联），是合法提供公民个人信息的两种情形。基于此，《解释》规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息，但是经过处理无法识别特定个人且不能复原的除外。”窃取或者以其他方法非法获取公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。根据司法实践的情况，《解释》第四条对“非法获取公民个人信息”的认定作了进一步明确。一是规定“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息”的，属于“非法获取公民个人信息”。二是根据《网络安全法》规定的收集、使用个人信息的规则，明确违反国家有关规定，“在履行职责、提供服务过程中收集公民个人信息”的，属于“非法获取公民个人信息”。

2.入罪行为情节认定

根据《解释》的规定，“情节严重”的认定标准主要包括四个方面：一是信息类型和数量。特殊敏感信息为五十条以上;一般敏感信息为五百条以上;一般信息为五千条以上。二是违法所得数额。出售或者非法提供公民个人信息违法所得五千元以上为“情节严重”。三是信息用途。非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪的;知道或者应当知道他人利用公民个人信息实施犯罪仍向其出售或者提供的，均为“情节严重”。四是前科情况。曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，行为人屡教不改、主观恶性大。

（三）关于刑事责任的法律适用

侵犯个人信息罪的量刑一般为三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。“情节特别严重”的认定标准主要涉及两个方面：一是数量数额标准，根据信息类型不同，非法获取、出售或者提供公民个人信息五百条以上、五千条以上、五万条以上，或者违法所得五万元以上的，即属“情节特别严重”。二是严重后果，如造成被害人死亡、重伤、精神失常或者被绑架等严重后果以及造成重大经济损失或者恶劣社会影响等严重后果。

公安机关担负着治理侵害个人信息违法行为的重要使命。公安机关在侦办各类侵害个人信息案件的执法实践中，要正确适用现行法律法规，准确界定法律保护的个人信息的范围，准确把握侵犯个人信息违法行为罪与非罪的界线，合理适用侵犯个人信息一般违法行为的处罚权，准确理解和适用侵犯个人信息罪的构成要件。唯有如此，公安机关才能有效履行打击各类侵犯个人信息违法行为，维护人民的人身和财产安全，维护网络安全及社会秩序的重要职责。

[参考文献]

[1]赵宗涛.网络安全视野下“个人信息”范围的刑法界定[J].山东青年政治学院学报，2017（5）.

[2]黄蓝.个人信息保护的国际比较与启示[J].情报科学，2014（1）.

[3]叶小琴.侵犯个人信息罪的犯罪对象应当是真实的个人信息[N].人民法院报，2017.2.15第6版.

[4]文立彬.个人信息犯罪立法之反思与优化[J].理论月刊，2015（12）.

基金项目：湖北警官学院社会治安治理研究中心2019年课题《公安机关治理网络侵犯个人信息违法行为的法律适用研究》（2019C013）;湖北警官学院2019年院级科研课题《网络环境下侵犯个人信息罪的防控策略研究》.

（作者单位：湖北警官学院法律系，湖北 武汉 430030）