论侵犯公民个人信息罪适用标准的完善

王肃之

(武汉大学 法学院，湖北 武汉 430072)



论侵犯公民个人信息罪适用标准的完善

王肃之

(武汉大学 法学院，湖北 武汉 430072)

摘要：《中华人民共和国刑法修正案(九)》在侵犯公民个人信息罪的构罪标准上保留了“情节严重”的规定，未能解决司法适用中标准不统一的问题。关于“情节严重”的认定标准，既有观点认为应采取单层次的判断标准，也有观点认为应采取多层次的判断标准。文章认为，采用单层次判断标准更具有合理性，但是应该对“情节严重”的要素进行筛选并采用具体的数量化评价方式。

关键词：公民个人信息罪；单层次标准；情节严重；数量化评价

《中华人民共和国刑法修正案(九)》(以下简称《刑法修正案(九)》)就《中华人民共和国刑法》(以下简称为《刑法》)第253条做出了较大修改，相比于之前的立法有很大的进步，但是对于其具体适用标准仍就没有做出明确的规定，继续采用了“情节严重”的概括标准，导致了司法适用的混乱。如何明确侵犯公民个人信息罪的具体适用标准，正确地指导定罪量刑，仍有待于进一步的探讨和研究。

一、问题的提出

大数据时代开启了网络社会发展的新纪元，也带来了巨大的风险。伴随着人们数字生活内容的丰富,公民个人信息不可避免地出现、存储于网络空间，并且暴露在网络大众的视野之中,有可能被非法泄露、非法获取或非法利用。所以《中华人民共和国刑法修正案(七)》(以下简称《刑法修正案(七)》)在《刑法》第253条中增设了出售、提供公民个人信息罪和非法获取公民个人信息罪，并且构罪标准采用了“情节严重”的表述。《刑法修正案(九)》虽然对其他内容有较大修改，但在构罪标准上仍沿用了“情节严重”的表述。

然而，这样一种模糊的规定客观上导致了司法实践中的混乱。比如，在“银行员工出售储户信息900万条”的案件中，两行为人向154名买家出售“美容院消费者名单”和“车主、业主”等公民个人信息1亿余条,非法获利79万余元。一人被认定犯出售公民个人信息罪,判处有期徒刑一年,缓刑一年,罚金人民币1.5万元；另一人犯非法获取公民个人信息罪,判处有期徒刑二年六个月,罚金人民币8万元[1]。在另一起案件中，行为人先后多次为他人提供的90余个手机号码进行定位，非法获利9万元。23名犯罪人分别被判处有期徒刑二年六个月至六个月不等的刑罚，其中9人获宣告缓刑[2]。在上述两起案件中上亿条信息与90余个手机号码，79万元与9万元，尽管数量相差如此悬殊，但是这两个案件的被告人最后被判处的刑罚却没有特别明显的差别，让人感觉颇为疑惑。回归立法，语焉不详的“情节严重”究竟该如何理解？又当如何构建该罪合理的定罪量刑标准？上述问题关系到刑法能否，以及如何恰当地、有效地规制侵犯公民个人信息罪，因此需要深入分析。

二、关于“情节严重”认定标准的观点

由于目前对于该罪尚无如何认定“情节严重”的司法解释，使得该条规定在适用时出现了混乱，没有达到预期的立法效果。学界普遍认为应该出台相关规定，对于“情节严重”做出准确、恰当的解释，但是在采用何种标准的问题上存在着不同的观点。

第一种观点认为应采取单层次的判断标准。根据这一观点，对于“情节严重”的判断应该在同一层次进行，只不过学者们在对于判断要素的内容和数量概括上存有争执，有代表性的是如下两种意见。一种意见认为，“情节严重”一般是指，因出售、非法提供、非法获取公民个人信息获利数额较大、出售或非法提供多人信息、多次出售或者非法提供公民个人信息，以及公民个人信息被非法提供、出售给他人后，给公民造成了经济上的损失，或者严重影响到公民个人正常生活，或者被用于进行违法犯罪活动等情形[3]。另一种意见认为，“情节严重”是指：第一，公民个人信息的具体数额；第二，行为人在获取了信息后，是否将信息用于下游犯罪；第三，行为人获取信息后所造成的直接危害后果；第四，信息的来源方式；第五，注意诱惑侦查对嫌疑人主观恶性判断上的影响[4]。

笔者认为，采取单层次标准的观点大致可取，但是在具体要素的设置上还需要一一予以分析。比如，后一种意见中对于诱惑侦查的影响，作为一般意义上的该类犯罪“情节严重”的判断要素似有不妥；而前一种意见中提到的给某个公民造成具体的经济损失的情况，一般都会触犯下游犯罪，或许直接将对侵犯公民个人信息的行为评价作为犯罪情节，按照相应的下游犯罪处理更为得当。所以，建立科学的“情节严重”判断标准体系还需做进一步的探讨。

第二种观点认为应采取多层次的判断标准。学者具体的概括也有所区别，分为三种意见。第一种意见认为，应在单一标准的基础上辅之以接近标准，一是虽未达到单一标准，但有两个或两个以上情节接近单一标准的;二是虽不完全符合某一单一标准，但却接近该单一标准，并且具有其他从重情节的[5]。第二种意见认为，应以单一认定标准和整体性认定标准的混合模式为基础，从社会危害性、手段恶劣程度，以及侵权范围大小三个方面来确立“情节严重”的司法认定标准[6]。第三种意见认为，应分目的、数量两个层次予以考量，具体可分为两个梯次。第一，以直接出售信息牟利或推销假冒伪劣产品、不法业务为目的非法获取公民个人信息的。第二，在行为人不具有非法目的的情况下，应对情节进行量化，以行为人获取公民个人信息的次数或数量作为定罪依据：(1)多次实施非法获取公民个人信息行为的；“多次”的界定应以三次以上为宜；(2)非法获取公民个人信息1万条以上的[7]。

笔者认为，无论是辅之以接近标准的意见，还是采用综合标准或者整体标准的意见，实际上都会突破单层次的具体标准，赋予了法官过大的自由裁量权，容易导致裁量的随意性，确不可取。不过，分目的、数量两个层次予以考量的意见将犯罪目的作为“情节严重”的判断要素确有新意，可以提供一定的参考；其对于数量给出了非法获取公民个人信息1万条的具体标准，在探索该类犯罪“情节严重”判断要素数量化的方面也有新意。但是整体而言，人为地将犯罪目的判断与其他要素判断割裂为两个层次的做法确属不妥，不利于科学的“情节严重”判断标准体系的构建。

《刑法修正案(九)》同样未能解决这一问题，依旧在《刑法》第253条第1款中规定了“情节严重”，第3款规定了“依照第1款的规定处罚”。而第3款实际上并未否定“情节严重”，只不过在立法技术上为了避免重复，所以做出这样的规定。“依照第1款的规定处罚”应该也包括依照“情节严重”的标准。也就是说，《刑法修正案(九)》依然没有解决该罪情节认定的模糊性问题，仍旧需要进一步明确“情节严重”的具体适用标准。总体来看，在单层次判断标准与多层次判断标准之间，前者更具有合理性。不过虽然单层次的“情节严重”判断标准总体上是合理的，但是现有的理论也有一定的不足之处，可以借鉴多层次判断标准中的有益内容加以完善，以构建科学、合理的“情节严重”的判断标准体系。

三、应明确“情节严重”的具体标准

解决侵犯公民个人信息罪“情节严重”标准模糊的问题，不宜通过立法的方式破坏法律的稳定性，而应该通过司法解释的方式予以解决。2013年，《最高人民法院最高人民检察院公安部关于依法惩处侵害公民个人信息犯罪活动的通知》曾对“情节严重”做了如下规定：对于在履行职责或者提供服务过程中，将获得的公民个人信息出售或者非法提供给他人，被他人用以实施犯罪，造成受害人人身伤害或者死亡，或者造成重大经济损失、恶劣社会影响的，或者出售、非法提供公民个人信息数量较大，或者违法所得数额较大的，均应当依法以出售、非法提供公民个人信息罪追究刑事责任。对于窃取或者以购买等方法非法获取公民个人信息数量较大，或者违法所得数额较大，或者造成其他严重后果的，应当依法以非法获取公民个人信息罪追究刑事责任。

在上述司法解释对“情节严重”的解释中有两点内容需要注意。

第一，其中规定的判定“情节严重”的要素是否恰当？笔者认为，首先，“数量较大”作为其“情节严重”的判断要素是必需的。我国刑法所规定的犯罪范围相对狭窄，不同于外国存在轻微犯罪或者违警罪，凡是我国刑法规定的犯罪都必须具有相当程度的法益侵害性。比如，基于非法的手段获取了某个公民的个人信息，但是实际对个人的人身、财产或者其他重大法益未造成损害，可以按照《刑法》第253条之一予以处罚吗？答案自然是否定的。之所以这种行为不应受到刑罚处罚，是因为未达到“情节严重”的标准。公认的、最主要的“情节严重”判断要素就是信息数量是否巨大。其次，“违法所得数额较大”，“造成其他严重后果”，“造成重大经济损失、恶劣社会影响”都是从该信息造成的影响或后果进行评价，“情节严重”当然包括后果严重，做出这样的规定并无不妥。不过笔者建议对这三种情形予以合并，使之与“数量较大”成为并列关系，因为在性质上这三种情形有着类似之处，与“数量较大”在性质上不同，如果将这四种情节予以并列，存在逻辑上的问题。再次，“被他人用以实施犯罪”表明该信息事实上发挥了负面的作用，对于其他具有社会危害性的行为具有加工的效果，判定为“情节严重”并无不妥。

也就是说，对于“数量较大”，“违法所得数额较大”，“造成其他严重后果”，“造成重大经济损失、恶劣社会影响”，“被他人用以实施犯罪”，这些要素一般都关系到公共安全与公共利益，作为情节严重的判定要素没有问题。然而“造成受害人人身伤害或者死亡”则有待讨论，因为这涉及侵犯公民个人信息犯罪与下游犯罪的关系。对于有关公民个人信息的下游犯罪，造成受害人人身伤害或者死亡的，都可以将对侵犯公民个人信息的行为评价作为下游犯罪的情节，不必单独考虑。比如，侵犯某个公民的个人信息，利用该信息直接对个人的人身、财产或者其他重大法益造成损害，像诈骗罪、敲诈勒索罪等，只需将侵犯公民个人信息的行为作为下游犯罪的一个情节考虑即可，不必单独做出处罚。事实上，侵害个人法益的犯罪很难不与公民个人信息相关联，除了已经提到的诈骗犯罪外，受委托杀人需要了解公民的姓名甚至行踪，入户盗窃也需要知道公民的地址，等等。所以，对于“造成受害人人身伤害或者死亡”要素应予排除。

第二，应否采用具体的数量化评价方式？前文中已有观点提出要引入具体的数量标准。笔者认为，这样一种思路是可以参考的，有利于改变“情节严重”判断标准模糊的现状，而且，之前有关信息犯罪的司法解释也曾采用过具体的数量标准，起到了较好的效果，可以提供一定的借鉴。所以，对于信息犯罪“情节严重”采取数量化评价是有实践基础的，当然更为重要的是这样一种做法有助于改变该罪情节判定标准模糊的状况。

笔者认为明确侵犯公民个人信息罪中“情节严重”的具体标准十分必要，需要在最高人民法院与最高人民检察院统一规定范围的基础上，结合各地自身情况制定具体标准，形成既相对具体又符合实际情况的标准体系。参考相关司法解释，如下标准或可作为参考：关系公民人身安全的个人信息1 000条或者500组以上，关系公民财产安全的个人信息3 000条或者1 500组以上，其他可能与公民人身、财产相关的个人信息5 000条或者2 500组以上，可以认为属于“情节严重”。

这里的标准设置立足于侵犯公民个人信息罪的具体情况，参考了《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》*第2条规定，同一诽谤信息实际被点击、浏览次数达到5 000次以上，或者被转发次数达到500次以上的，应当认定为刑法第246条第1款规定的“情节严重”。和《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》*第1条规定,非法获取计算机信息系统数据或者非法控制计算机信息系统，具有下列情形之一的，应当认定为刑法第285条第2款规定的“情节严重”：(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的；(二)获取第(一)项以外的身份认证信息500组以上的；(三)非法控制计算机信息系统20台以上的；(四)违法所得5 000元以上或者造成经济损失1 000元以上的；(五)其他情节严重的情形。，并根据公民个人信息的性质不同做了区分。首先，侵犯公民个人信息的犯罪行为屡禁不止，且往往收益巨大，必须对其进行严厉打击，笔者认为前面学者所提出的非法获取公民个人信息1万条的标准过高，不足以遏制该类犯罪行为的蔓延，所以将非法获取、非法提供公民个人信息1 000条作为构罪标准。其次，该司法解释规定，“……获取第(一)项以外的身份认证信息500组以上的应当认定为刑法第285条第2款规定的‘情节严重’”。由于两类犯罪在涉信息网络、信息数据的问题上有相似性，所以前面“500组”的规定参考了该司法解释的规定。而事实上，一般一组信息包括用户名和密码，所以对于以“组”的形式出现的公民个人信息设定了比以“条”的形式出现的公民个人信息更严的标准。再次，公民个人信息的种类众多，涉及的法益也各不相同，对于涉及人身、财产的信息应该予以区别，所以做出如上的层次考量。当然，具体标准还可以做进一步的探讨。

四、结语

通过刑法手段有效地规制侵犯公民个人信息罪势在必行，所以现行刑法在修正过程中不断加大了对侵犯公民个人信息罪的惩治力度。如果不明确侵犯公民个人信息罪的具体适用标准，而是放任标准不一的现状蔓延，将无法有效地打击该类犯罪，使付出的立法成本付之东流。所以，通过司法解释等方式，选择合理的判断模式，明确该罪的具体情节判定要素，并且采用具体、科学的具体判断标准，是有效治理侵犯公民个人信息犯罪的必然选择。

参考文献：

[1]张维,李鹏飞.银行员工出售储户信息900万条构成出售公民个人信息罪判一缓一罚金一万五[N].法制日报,2015-03-16(6).

[2]何靖.北京最大侵犯公民个人信息案宣判：21人因非法获取出售提供公民个人信息获刑[N].人民法院报,2011-08-06(3).

[3]“侵犯公民人格权犯罪问题”课题组.论侵犯公民个人信息犯罪的司法认定[J].政治与法律,2012(11):149-154.

[4]付强.非法获取公民个人信息罪的认定[J].国家检察官学院学报,2014(2):114-121.

[5]利子平,周建达.非法获取公民个人信息罪“情节严重”初论[J].法学评论,2012(5):146-152.

[6]张玉洁.论“非法获取公民个人信息罪”的司法认定——基于190件案例样本的分析[J].华东政法大学学报,2014(6):53-66.

[7]庄晓晶,林洁,白磊.非法获取公民个人信息犯罪区域性实证分析[J].人民检察,2011(9):67-70.

(编辑：李红)

*收稿日期：2016-01-01

作者简介：王肃之(1990- )，男，河北石家庄人，武汉大学博士生，主要从事中国刑法学、网络安全法学研究。

中图分类号：D924.34

文献标识码：A

文章编号：1009-5837(2016)03-0025-04

On the Perfection of the Criteria for the Crime of Infringing Citizens’ Personal Information

WANG Su-zhi

(SchoolofLaw,WuhanUniversity,WuhanHubei430072,China)

Abstract：The 9th Amendment to the Criminal Law of the People’s Republic of China retains the provision that “gravity of the circumstances” in terms of the criteria for the crime of infringing citizens’ personal information, which fails to resolve the problem of judicial application without unified criteria. As for the criteria for determining whether “gravity of the circumstances”, some stick to the single-level criteria while others prefer the multi-level criteria. According to this paper, it is more reasonable to adopt single-level criteria, but the elements of determining whether “gravity of the circumstances” should be screened and the specific quantitative evaluation should be adopted.

Key words：the crime of infringing citizens’ personal information; single-level criteria; gravity of the circumstances; quantitative evaluation