陈志慧

（太原市公安局小店分局，山西 太原 030000）

随着我国经济快速发展和信息网络的快速流通，个人信息成为企业重要的生产资源。企业通过对获取的个人信息进行二次处理获得商业价值，并经过对客户需求分析进行精准推送，给人们的生活带来方便的同时也面临巨大的风险。在大数据背景下利用信息进行电信诈骗等犯罪活动猖獗，给人民生活的安宁和安全带来巨大的伤害，甚至给社会管理和国家安全也造成巨大的威胁。在此背景下，2017年我国 《刑法》修正案九增设了侵犯公民个人信息罪，特别是2018年《关于办理侵犯公民个人信息刑事案件适用法律若干规定的解释》（以下简称《司法解释》）的出台有力严惩个人信息犯罪，有效遏制个人信息大量流失和利用的现象。然后由于立法和司法规范的不明确，导致司法实践模糊不清。特别是《司法解释》第十一条第三款之规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外”的适用不明晰，批量信息如何认定，每条信息是否需要查明真伪，是否适用推定规制等问题一直困扰着司法工作人员，严重影响了批量信息的入罪标准。出现上述司法疑虑的主要原因是对于批量信息保护的法益认定不准确，刑事推定理论认识误区导致的。

一、批量信息权属定位——公共性法益

侵犯公民个人信息罪的法益定位一直以来都存在争议，主要有个人法益和超个人法益之争。个人法益的观点认为：“个人信息的保护是基于宪法权利基础之上的隐私和自由的人格权，丧失与个人人身紧密的附属性，个人信息将沦为物化并丧失人性尊严的客体表现”；[1]超个人法益的观点认为：“在大数据背景下个人信息的法益已经不再局限于 ‘个人’，而是个人法益背后关于国家和社会安全的公共性利益”，[2]上述两种观点争议的主要焦点在于个人信息所附属的人格权在大数据背景下是否与个人分离。笔者支持超个人法益说，理由如下：

第一，批量个人信息具有财产属性。《司法解释》关于个人信息的概念包含了具有财产属性的“帐号密码和财产状况”的内容，表明个人信息在刑法保护领域已经超越人格权的附属具有了社会属性。而且在大数据背景下，海量的个人信息对于信息收集者来说所具有的财产价值已然高于个人财产权利，特别是在个人财产权不值得处罚但海量集体信息具有巨大价值而值得刑法规制的情形下，批量信息的财产性质已然脱离人格权具有了社会属性，囊括在刑法保护的法益范畴内而形成一种新型的财产权。

第二，知情同意原则在信息流通下的困境。个人法益的核心是个人信息自决权，即信息主体对于个人信息的控制和处分权，亦即信息的流转和使用必须经过个人的同意。然而在大数据背景下数据的流通和共享才使得信息具有更高价值，过度强调知情同意原则导致信息的流转和共享受到限制，使得信息的交换成本提高，不利于经济的发展，不符合刑法立法本意。

第三，批量信息法益属性为公共性利益。“法益的整体应当是：法益承载的内容+法益的社会评价，并不是所有的权利和利益都是刑法法益，只有经过刑法整体评价具备了刑法保护的必要性时才是刑法的特征”，[3]亦即大数据背景下的批量信息的侵害不能只看到信息所承载人格权的内容，更应该看到其背后关乎公共安全甚至是国家安全的整体社会评价和社会效果。对于批量信息刑法规制不能忽视其公共性利益而仅局限在个人法益范围内，这样导致整体评价不完整，处罚范围的过度限缩而放纵犯罪，不符合刑事立法宗旨。在法益位阶定位上，公共性利益大于个人利益而受到刑法保护的必然性就在于此。

对于将公共性法益作为刑法保护的法益范畴是受到刑法风险理论在刑事立法中过度依赖的表现，将预防型刑法提前至实害结果出现前导致入罪标准模糊，不利于法益定罪和解释功能的实现。笔者在此提出公共性法益背后数据控制者信息权能够在自由和安全之间寻找刑法解释的可行性路径，具体原因不在此处赘述。

总之，在大数据背景下批量信息权属性质具有了社会属性而成为一种新型的财产权利，批量信息所承载的不仅仅是个人信息，不能受到字面解释的限制而将其法益限缩在人格权上，而应从刑法整体评价出发看到批量信息背后保护的公共性法益。

二、刑事推定在司法实践中的限缩

（一）刑事推定的必要性

在司法实践过程中，批量信息动辄几十万、上千万，甚至上亿条，如果要求司法机关对每条信息的真伪进行鉴定，不仅技术上存在困难，而且没有实际操作性。这样不仅会严重浪费司法资源，也会因信息无法核实真伪导致诉讼程序的中断。在信息化时代个人信息的更迭速度加快，个人信息具有了不稳定性和不确定性，而且在对个人信息进行真伪鉴定的过程也会对信息主体造成二次伤害，不符合立法本意。因此《司法解释》第十一条第三款规定，在面对批量信息时，不需要对信息的真伪进行鉴定，对查证的条数直接认定，在司法实践过程中往往采用刑事推定来解决这一问题。然而刑事推定理论是基础事实和待证事实之间由于缺乏足够的证据，法官运用超逻辑在彼此之间架设的桥梁，亦即运用经验法则从基础事实推到出待证事实的过程。刑事推定理论是为了缓解司法机关的举证责任，加重被告方证明责任负担，是一种责任倒置的情况，实则是法官自由心证在司法实践中的具体应用。于是有人提出刑事推定的适用有违无罪推定原则，过度适用将可能扩大公权力，而对私权利造成侵害。首先，提出这一疑问的人仍然是将批量信息的侵害限制在人格权基础之上，将个人信息的法益附属于信息主体，因此对于侵犯公民个人信息的行为必须核实每条信息是否真实，是否侵害了信息主体的隐私和人身安全，对于那些不具有识别身份信息则排除在外。然而在信息化时代，企业在获取信息的过程中，用户为了获得服务让渡了自己一部分信息权，亦即在大数据背景下，部分信息对于信息主体来说已经不属于隐私范畴，而对于信息收集企业来说却具有巨大的商业价值。其次，忽视了侵犯公民个人信息背后的公共性法益。批量的个人信息保护的法益已然超越了附属信息主体的个人财产价值，对批量个人信息在商业流转和共享过程中所产生的价值并不是基于每条信息主体财产权利的集合，而是市场经济中信息流转的自由和安全。亦即社会和国家对批量信息自由流转秩序的保护是刑法法益的应然走向。最后，批量的个人信息，特别是几十万甚至上千万的数量已经不会影响入罪标准和量刑，信息的真伪和重复已经不是刑法规制的重点，而是批量信息背后所反映的信息安全和社会管理公共性法益，“公民个人信息的超个人法益决定了司法机关无需落实每条信息与现实生活世界中具化公民之间的对应关系，只要根据可靠的事实证明此类信息与现实的个人相对应即可”。[4]

总之，在明确批量个人信息的法益为公共性利益时，刑事推定的适用不仅是法官经验法则在基础事实与待证事实之间的桥梁，更是公共性法益在刑法规制下解释论的应然走向。刑事推定在批量信息数量认定是在公共性法益背后国家和社会管理秩序与个人信息主体之间的分离和超越下，司法机关在实践过程中运用解释论的方法解决司法困境的一种经验和规制。同时也不是加重被告举证责任的负担的责任倒置，而是辩护权的延伸。因此，在公共性法益的保护模式下，刑事推定的适用是立法趋势下刑事解释理论的延伸法则，亦即刑事推定在批量信息数量认定上是司法实践中突破证据规制的严格限制，基于法益刑罚权限的边界作用和法益侵害是刑法入罪标准功能下的司法运用。

（二）刑事推定的限制

基于上述分析，司法实践过程中面对海量的个人信息，司法工作人员对刑事推定的理解存在理论误区，往往将其作为缓解司法困境的一种手段，面对辨认人提出对信息真伪和重复的疑问，只能以司法解释和刑事推定来搪塞，进而导致批量信息的入罪标准模糊不清，损害了被告人的辩护权利。因此需对刑事推定进行限缩，以防止其滥用导致公信力的丧失和公权力的无限扩张。

第一，基础事实必须查证属实

刑事推定是基于基础事实的认定来推定待证事实的过程，因此基础事实查证的证据必须符合《刑诉法》第53条的规定：“定罪量刑的事实都有证据证明、据以定案的证据均经法定程序查证属实”。我国的立法惯例是定罪和定量的符合构成要件，“数量是作为一种综合判断行为整体在不法的量上是否值得刑罚处罚的要素，需要进行价值评判才能确认，因而属于规范的构成要件要素”[5]，对于数量的认定必须达到确实充分的程度，不能因此降低公诉机关的证明标准，也不能转移证明责任，“只有当基础事实的证明达到案件事实清楚，证据确实充分，公诉方的主张才可以获得法庭的支持。否则就意味着公诉方提供的证据尚未达到判定行为人有罪的证明标准。所以在刑事诉讼中，基础事实证明标准不可能也不应当降低，这是刑诉法充分保障被告人合法权益的要求”。[6]

第二，被告人的反驳证据无需达到确实充分的程度

《司法解释》第十一条第三款之规定：“……但是有证据证明信息不真实或者重复的除外”，此规定说明对于批量信息的认定允许被告人提出异议和反驳，是为了证明自己无罪或罪轻必然要履行的举证负担，是被告人的权利而非义务或责任，不是举证责任的倒置而是被告人辩护权的延伸。被告人在诉讼程序过程中处于弱势地位，对于被查证的批量信息真伪和重复提出反驳不必然会推翻公诉方的推论，如诺要求其反驳意见达到确实充分的程度，必然会阻碍辩护权的实现、削弱其在诉讼中的地位和权利的保障。因此只要被告人对批量信息真伪和重复提出异议揭示了公诉方主张事实不实，有疑问或者证据链条断裂的可能性即可。但这并不意味着被告人只要提出抗辩理由法官就要对公诉方的主张提出质疑。由于“被告人对涉案信息较为了解，不能仅简单提出辩护意见，还应提供相对应的证据和线索，以此揭示涉案信息的真伪性和重复性。同时为推进刑事诉讼进程，应该对被告人提出时间、次数有所限制”，[7]既要保证被告人的辩护权，也要保障诉讼程序的正常开展。

三、刑事推定在司法中的适用规则

在大数据背景下，批量信息在商业市场中流转和共享的自由和安全是在国家和法律保护下得以实现的。对批量信息的侵害破坏了正常的社会管理秩序和信息安全，亦即侵害的是公共性法益。批量信息更多的是企业在提供服务的过程中获取的一般信息，而敏感信息和重要信息则是国家机关公共事业服务过程中依法收集的，因此批量信息包含的内容更多的是脱离信息主体的财产性权利。批量信息是“数据企业批量化收集的大数据集合和由此加工而成的大数据产品，是独立与信息主体个人财产性利益的数据财产权”[8]，只有对数据主体的财产权和信息安全造成威胁和侵害时，才有刑法规制的必要性。因此在对批量信息刑事推定司法适用过程中因以公共性法益为基础。

（一）批量信息数量的认定标准

由于《司法解释》对于“批量”没有明确规定导致司法实践中边界模糊不清，因此“批量”信息的数量认定则成为重点。《司法解释》分别以50条、500条、5000条规定了敏感信息、重要信息、一般信息的入罪标准，同时又以上述数量的十倍作为量刑升级的标准。有学者提出将5000条作为衡量批量信息的标准，笔者在此提出疑问。如果将5000条作为批量信息数量的标准在入罪边界适用刑事推定可能会导致罪与非罪之间的界限模糊，将可能仅因被害人未对信息真伪和重复提出异议而直接认定其行为构成犯罪，导致刑罚权限的随意性、有违无罪推定原则和责任主义。笔者认为，对于批量信息数量的认定应即不影响对入罪标准也不影响量刑，以保证刑罚的稳定性和权威性，所以应将5万条作为批量信息的数量边界。对查获的数量在5万条以上时可以直接认定，不需要核实每条信息的真伪和重复。

（二）以信息来源判定信息真伪的标准

司法实践过程中，司法机关对批量信息认定时不能简单适用《司法解释》的规定以查获的信息直接认定，而应对批量信息的真伪作初步的判断，信息的来源则是判断的标准。在大数据时代，批量信息的收集主要是企业在提供服务过程中获取的，顾客根据网络平台的要求输入了自己的真实信息，像各种电商平台、APP等，这些信息通常都是用户经过注册并确认的真实个人信息，以这样的方式获取的信息可行度较高。还有一些信息是数据企业收集后要加以利用和传播或者是用于合法经营的，这些信息的获取渠道可行度也较高。

（三）抽样检测

如果信息来源的判定是公诉机关经验法则的运用，抽样检测就是基础事实和待证事实之间达到刑法盖然性的桥梁。刑事推定是在缺乏高度盖然性的证据面前法官自由心证的过程，如果仅仅是对信息来源作初步判断便直接认定显得草率和盲目，也会降低推定事实的稳定性，提高了被证伪的风险。采取抽样检测的方法至少在概率上使得基础事实和待证事实之间的合理性加强，减轻了司法机关证明的压力。抽样的数量如何认定，笔者认为应以5000条作为标准。《司法解释》将5000条作为一般信息的入罪标准，在进行抽样检测时应以此作为标准，至少使得批量信息达到入罪的标准保证诉讼程序的顺利进行，减少控方的举证压力。控方对随机抽取的5000条信息进行统计分析，剔除重复和虚假的信息，再按照合比例原则进行换算，从而认定批量信息中真实信息的数量。