论个人信息盗窃行为的刑事责任认定
——兼评《刑法修正案(九)》相关规定的司法适用

杨海霞

(广州商学院 法学院，广东 广州 511363)



论个人信息盗窃行为的刑事责任认定
——兼评《刑法修正案(九)》相关规定的司法适用

杨海霞

(广州商学院 法学院，广东 广州 511363)

网络带来的个人信息安全问题近十年来逐步凸显，但我国学界对此回应却相当缓慢，目前直接针对网络个人信息盗窃行为的法律主要体现在刑法规制上，但司法实践层面的判例却并不多见。究其原因，主要在于个人信息盗窃行为从立法到实践的很多问题还模糊不清，难以界定，从而导致该行为的刑事责任认定困难重重。因此，明确该行为刑事责任认定中各关键要素的定位与标准是打击个人信息盗窃犯罪、维护人民信息安全的迫切需要。

个人信息盗窃；行为归罪；量刑标准；刑事责任

一、问题的提出

如果说工业革命改变人类的生产方式，那么如今的互联网正改变着我们生活的方方面面，网络已经成为今天人类除了衣食住行之外的第五大要素。伴随着网络与大数据技术的发展，个人信息在网络社会中出现的频率和起到的作用也越来越明显；与此同时，也给我们的个人信息安全带来前所未有的挑战：近年来我们频繁遭遇网络个人信息失窃事故①从全国范围来看，个人信息被盗的情况也颇为严重，2015年国内外发生的重大网络信息泄露事件高达上千起，如：酒店开房记录泄露、海康威视监控设备被境外控制、超30省过5000万社保信息泄露、人寿10万保单信息泄露、考生信息泄露、申通快递13个信息漏洞，约3万信息被窃取等；从地方来看，就在2016年10月，广东“安网7号”行动中破获各类盗窃公民个人信息犯罪系列案件百余起，其中包括重大盗窃个人信息团伙犯罪120余宗，抓获犯罪嫌疑人450余名，查扣手机、服务器电脑、存储设备等790余部，保护个人信息2.3亿条。。如今，信息盗窃及其衍生的数据黑市已经形成一条庞大的灰色产业链，个人信息已不再局限于简单的电话号码。智能手机通讯录、短信、购物记录、住所记录等各种信息，在网络联通情况下无不成为被窃取的对象，而且一旦被窃取的个人信息进入黑市，则有可能落到全球犯罪分子的手中，成为实施各种犯罪活动的工具，从而导致更为严重的社会后果[1]。

针对个人信息盗窃，我国目前的法律规制还相当有限。民事领域没有专设法律，行政法为应对网络技术迅速发展带来的挑战，国务院和相关部委近年来出台不少法规条例，但效果并不理想。相比之下，从《刑法修正案(五)》到《刑法修正案(九)》，刑法针对该问题的回应则更为积极和具体：《刑法修正案(九)》在整合原有相关罪行的基础上，设置了“侵犯公民个人信息罪”，这个罪名的开口很大，足见立法对打击个人信息犯罪的态度与决心。与现实需要存在极大反差的是司法实践中直接适用该法进行判决的案件却并不多见，究其原因，主要是该立法在实践层面还存在诸多难点。例如：个人信息盗窃行为方式有哪些，如何认定，盗窃个人信息行为罪与非罪、此罪与彼罪的界限，以及如何适用惩罚幅度等问题无不为难着审判者。为此，下文将紧紧围绕“个人信息盗窃行为”的刑事责任认定来展开探讨，以期为司法审判提供更为细致性与明确化的参考。

二、个人信息盗窃的行为的表现和特点

所谓个人信息盗窃主要是指不法分子通过各种黑客技术，如木马病毒技术、远程控制后门技术以及服务器入侵技术等方法对个人信息实施的盗窃行为[1]。个人信息盗窃行为的对象是“个人信息”，按照即将于2017年6月1日施行的《中华人民共和国网络安全法》的规定，该“个人信息”必须具有识别性*学界对于个人信息一直存在争议：广义说认为一切与个人相关的信息均为“个人信息”；狭义说包括“宪法人权说”“一般人格权说”“个人隐私说”等；将于2017年6月1日起施行的《中华人民共和国网络安全法》采纳的是“识别说”，由此，关于“个人信息”的学说之争就此尘埃落定。。所谓识别性是指能够通过个人信息实现对某个具体对象的特定化。个人信息盗窃作为一种违法行为，其社会危害性不言而喻。与传统的盗窃行为相比，个人信息的盗窃行为同样也具有“秘密窃取”的特征，但由于借助网络，这种“秘密窃取”方式极具技术色彩，这为案件侦破和司法追责都带来不小难度。

(一)利用正常软件恶意捆绑盗窃

所谓软件恶意捆绑盗窃是指不法分子利用一些手机或网络常用APP经过恶意捆绑或木马植入后放在网络应用商店供用户下载，一旦用户真的下载该程序，其中绑定的恶意程序就随之被自动安装并打开，之后该恶意程序就可以利用后台对手机或网络用户的个人信息进行盗窃。该种APP最典型的特征是免费快速下载，而且几乎没有安装提示信息，即使有其用语也颇具隐蔽性，让你很难识别，这种方式主要针对那些贪图便捷和不太懂得网络安全的用户。

(二)采用木马入侵、黑客攻击方式盗窃

木马程序种类繁多，在联网的条件下它可以躲藏在一些合法网页和程序中，一旦用户链接到这些网页或程序则可同时被种植木马程序，之后它可以通过后台键盘输入识别和屏幕截取等方式对用户输入的个人信息进行窃取并完成远程传输。例如，用户在登录某个网站需要验证账户的时候，它会在用户输入的时候记下该键盘击打痕迹，然后通过电脑数据分析从而获得可能的账号密码，达到盗取信息的目的，甚至还可以直接盗取用户的网上财产。相对于木马入侵，黑客技术要更高明些，其主要针对电脑服务器进行，利用服务器中的技术漏洞和网站缺口植入后门程序，从而直接远程操控服务器，由于服务器信息资源的汇聚性，因此，采用黑客攻击的方法获得的个人信息数量要远大于木马入侵，其造成的破坏力也远远大于前者。因此，同样是盗窃，后者的社会危害性要大得多。

(三)钓鱼诈骗式盗窃

钓鱼诈骗式盗窃的主要手法之一是通过发送大量电子邮件，以中奖、顾问、对账等虚假内容引诱用户中套，而这些邮件多需要用户填入各种网络账号和密码，或是以紧迫的理由要求收件人登录某个网站提交个人信息，继而盗窃用户信息。二是通过建立虚假的网上银行、网上证券站，骗取用户账号密码实施盗窃。在后面这种方式下，不法分子建立的域名和网页与真正网上银行系统、网上证券交易平台在内容上极为相似，而且为了以假乱真，有的还利用跨站脚本，在站点的某些网页中插入恶意 Html代码，屏蔽住一些可以用来辨别网站真假的重要信息，在这种情况下，一般人就很难鉴别网站的真假，当用户被引诱在这些钓鱼网站输入账号密码等信息后，这些信息就全部落入不法分子手中[2]。

以上盗窃方式中无论是恶意捆绑、木马入侵还是钓鱼诈骗，基本都是采用技术手段对网络进行伪装修改，意在使用户不知或陷入错误认识而使用该网络，从而达到盗取信息实施进一步犯罪的目的。在司法实践中对于以上不同行为方式的认知需要清晰明确，而对于具体刑事责任的追究，则需要配合相应的网络痕迹的鉴定技术以确保刑法适用的严密性。

三、“个人信息盗窃”行为的罪责认定

“个人信息盗窃”在此文中是关于行为对象和方式的表述，而非性质的划定。事实上，我国刑事法律文件中对于“盗窃个人信息”行为也并没有明确的定性和罪名适用，《刑法修正案(九)》设置的“侵犯公民个人信息罪”的开口很大，从含义上来讲“盗窃行为”也是属于“侵犯行为”的一种，但由于我国刑法罪名的确定并非只由行为方式来判断，因此，二者并不能完全等同。

(一) 犯罪行为主体的认定

对犯罪行为刑事责任的追究离不开犯罪主体的确定，没有主体就没有犯罪。首先，对于该行为涉及的刑事责任年龄问题，按刑法规定属于一般情况，以16岁为界限。其次，从身份要件上看，传统的盗窃犯罪属于一般主体，即凡达到刑事责任年龄且具备刑事责任能力的人均能构成，这里的人指的是“自然人”，不包括单位；但若适用“侵犯公民个人信息罪”，按《刑法修正案(九)》的规定，单位是可以成为该罪主体的。本文认为，“侵犯行为”有多种，如果认定其行为方式为“窃取”，那该行为项下的主体只能是自然人，这不仅是为了保证法律体系上的逻辑理性，更是因为客观条件上的“窃取”行为具有很强的目的性，且行为的完成需要人的能动作用，即使行为人是在单位上层授意下行为且其所得利益归属于单位，也只能推定其主管人员和主要直接责任人对该行为负刑事责任。当然，其他“侵犯行为”，如修改、出售、传播、泄露等非法提供因履行职责而获得的公民个人信息的，则可能涉及单位成为犯罪主体。最后，关于主体国别范围的认定不要局限于“侵犯公民个人信息罪”中“公民”二字的限定，认为既然是“公民”当然就只指享有我国国籍的人。按我国法律体系的解释，它既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。基于我国的立法精神，我国刑法对中国公民、处在中国境内的外国人和无国籍人以同等待遇，一视同仁地予以信息保护。事实上，网络领域的国籍相比现实更加淡化，现在的跨国个人信息盗窃也十分猖獗，从司法实践看，将大量外籍人、无国籍人个人信息排除在刑法保护之外，无疑放纵了犯罪。

(二) 犯罪行为的主观方面

主观方面指的是行为人对于盗窃个人信息的主观认识样态。首先，需要对“个人信息”可识别性有清晰的认识。个人信息如果仅仅只是具有客观上的可识别性还不足以成为刑法保护的对象，因为大数据技术的发展本身就存在对零散信息的整理功能，利用这种强大的整合能力而生成可识别信息不但可以帮助商家提高自己的竞争力，而且对于消费者的特性消费需求的满足也是有利的。因此，对于网络时代这种必然的商业模式，我们不能因噎废食，而是需要尽量从技术和法律上来避免可能出现的基于非法目的而使用该信息的情况。其次，既然是“盗窃”行为，那么行为人在主观上必然基于“故意”，这种“故意”不但体现在采取行为的主动性上，而且行为人对于个人信息盗窃后果的发生是基于“放任的间接故意”或是“积极追求的直接故意”。此外，“个人信息”能够产生个人信息权[3]。个人信息权利主体在主观上也有不希望其被扩散的心理诉求，在这种心理下，其对“个人信息”被暴露是反感的，一旦该信息扩散，则可能对其权利造成损害。

(三) 犯罪行为的客体

本行为侵犯的最直接的客体是“个人信息安全”。个人信息安全与网络自由存在一定张力，在具体责任认定中，一是注意不宜将个人信息限定为个人隐私，即便是公开的个人信息，仍有可能成为窃取的对象；二是也不宜将个人信息限定为能够识别个人身份的专属性信息，换言之，公民的姓名、年龄、证件号码、婚姻情况、单位、学历、住址、电话号码等能够识别公民个人身份的信息属于“个人信息”的范围，但并非全部；三是在日常生活中，伪基站利用自身功率优势强行与目标用户建立连接并在此过程中获取得手机号码、IMSI 码、IMEI 码等不宜认定为该行为的对象；否则，不但在技术上难以掌控，而且容易陷入“一旦社会关系复杂化，便可看到作为社会控制手段而随便创设犯罪的倾向”的窘境[4](P56)。

(四) 个人信息盗窃行为涉及法条竞合的处理

我国《刑法》中存在多种样态的竞合：如同样实施盗窃，如果窃取的是公私财物，且“数额较大”可以适用《刑法》第264条对于盗窃罪的规定；如果针对计算机与互联网资源，则可能构成“破坏计算机信息系统罪”；若该网络数据正是关涉个人信息的，按照《刑法修正案(九)》则可能定“侵犯公民个人信息罪”；但如果盗窃的是信用卡信息则可能成立“妨碍信用卡管理秩序罪”“信用卡诈骗罪”等。以上法条竞合的情形在我国刑法中普遍存在，实践中遇到此类情况的处理原则有“特别法优于一般法”“整体法优于部分法”“择一重论处”等[5]。对于本文而言，“侵犯公民个人信息罪”与“盗窃罪”并不是“特别法与一般法”的关系，因为“侵犯”行为除了包括“盗窃”，还包括“泄露、出售”等其他非法方式，因此，二者从语义逻辑上来说主要是存在交叉关系。具体到“盗窃个人信息”行为时，其刑法罪名的选择需要结合具体案例做出判断。

笔者认为，对于个人信息盗窃行在适用“侵犯公民个人信息罪”时应把握三点：一是个人信息虽然也能转化为经济价值，但对于所有权人来说，其除了传统的经济性价值，还包含精神价值(例如因人肉搜索而给当事者带来的痛苦)，因此，其侵犯的法益与传统盗窃罪相比更为复杂；二是“个人信息”被盗取后并不像普通财物那样会转移占有，当事人依然可以使用该信息；三是适用该罪名不会显失公平。例如，“侵犯公民个人信息罪”的最高刑为有期徒刑七年，而“盗窃罪”则可达到死刑，由此，对于盗窃个人信息特别严重的情形，如若判处最高的七年有期徒刑仍然显失公平的，则可在法条竞合情形下“择一重论处”。

四、侵犯公民个人信息罪的量刑把握

对于盗窃个人信息一旦定罪就需要考虑量刑的问题，如果是盗窃罪，司法实践已经有了较为成熟的量刑标准，在此不赘述。如果按《刑法修正案(九)》：“窃取或者以其他方法非法获取公民个人信息，情节严重的，方可追究刑事责任”的规定来定罪量刑，那么何为“情节严重”这个问题就显得极为重要。

所谓“情节”就是事情的变化和经过，“情节严重”指一件事情的态势变化和前后经过在一定区域内影响大、程度深、范围广。从刑法角度看，“‘情节严重’不是属于犯罪构成某一方面要件，而是一个综合性的构成要件，它涉及客观方面、主体、主观方面的内容”[6]。一般来说，就盗窃个人信息的量刑标准要想完全格式化操作几乎不可能，更多还是必须依赖于法官的经验理性。在这种经验理性下，结合司法实践的需要，可以从以下四个方面进行把握： 第一，主体身份特殊的。即如果行为人是利用身份之便(如银行职员)，实施过多次侵犯个人信息的行为，即使每次窃取数量少但也可认定为其主观恶性较大，属于情节严重。 第二，侵犯多个法益的。侵犯公民个人信息罪针对的法益主要是他人信息安全，但如果该行为人手段恶劣，其在盗窃个人信息的过程中还对网络系统造成危害(采用病毒攻击等方式)，或者盗窃后又泄露和使用该信息，给信息所有人带来严重后果的(当然如果后行为已触犯其他更严重的罪行则以后行为定罪，前行为被吸收成为后行为的量刑考量因素)，属情节严重。 第三，涉案范围广，导致的后果严重的。如触及国家公共安全、公共利益或将个人信息倒卖给国外不法分子的；盗窃信息数量大，引起社会恐慌的；利用所盗窃的个人信息从中获利数额较大的。至于具体数额较大的标准,可以根据当地经济社会发展情况及相关犯罪立案标准综合确定,例如广州5000元以上的,可确定为情节严重[7]。 第四，本“情节严重”的标准考量主要针对的是“窃取行为”，其他应当认定为出售、提供、获取公民个人信息情节严重的行为也可以参照适用，但无论如何以上标准不宜采用司法解释的方式进行统一规定。因为现实的情况太过复杂，为了防止刑法的“朝令夕改”和执行的稳定，以上标准可作为法官自由裁量时的学理参考依据。有些案件虽然可能并未达到以上标准,但综合考量案件的全部情况,有两个以上情节接近以上标准或者有一个情节接近以上标准,同时具有其他从重情节的，也应当认定为非法获取公民个人信息情节严重。

五、结语

个人信息盗窃作为伴随网络发展而产生的一种新样态犯罪，在未来可能还会更加复杂。为此，我们不仅要紧跟立法的步伐，还要提高司法处理该类型案件的能力。我国目前的司法面对新问题，过多地依赖于立法本身的详尽和司法解释的颁布，以致我国的司法解释浩如烟海，这也极大地影响了司法人员正常的法理思维和常识判断，削弱了司法人员在个案中自主解释刑法的积极性。网络大数据与个人信息安全并非绝对对立，法治社会的良性运行能最大限度地降低技术带来的风险[8](P13)。刑罚作为最为严酷的一种责任追究是对社会危害性行为审慎选择的结果。因此，对个人信息盗窃行为准确的刑事责任认定不仅威慑信息盗窃犯罪，还有利于更自由的网络秩序的建立。

[1]何培育，蒋启蒙.个人信息盗窃灰色产业链的技术手段与法律规制[J].科技管理研究，2015(24).

[2]David Lin.Misunderstanding Personal information:Durant Financial Serviees Authority,Privaet law and Poliey RePorter[R].PLPR，2004.

[3]齐爱民.个人信息保护法研究[J].河北法学，2008 (4).

[4][日]大谷实.大谷实刑事政策学：新版[M].黎宏，译.北京：中国人民大学出版社，2009.

[5]贺伟.论法条竞合[J]. 法制与社会，2014(14).

[6]张明楷.论刑法分则中作为构成要件的“情节严重”[J].法商研究，1995 (1).

[7]薛培,叶小舟.侵犯公民个人信息罪的理解与适用[EB/OL].检察日报，http://www.jcrb.com/procuratorate/theories/practice/201607/t20160714_1634004.html.

[8]Walter P.Signorelli,Criminal Law,Procedure,and Evidence[M].CPC Press,2011.

[责任编辑 刘馨元]

Theory of personal information theft criminal responsibility identification ——and a revienw of the “criminal law amendment(9) ”

YANG Hai-xia

(School of Law,Guangzhou College of Commerce,Guangzhou 511363,China)

Security of personal information in the networkwas becoming more and more serious in nearly decade, but our legal system was ill-prepared to meet the challengeexcept Criminal?laws,But, which is rare in the practice, the main reason is that the sentencing standards are vague and controversial about personal information theft, which leads to the identification of criminal responsibility behavior. Therefore, it is clear that the connotation and extension of each element in the identification of the behavior is the urgent In order to combat crime of personal information theft.

personal information theft；determination of culpability；sentencing standards；criminal responsibility

2016-10-16

2016年国家社科基金项目“大数据时代个人信息盗窃的法律问题与对策研究”(16CFX027)； 2015年重庆市社会科学规划项目“大数据时代个人数据信息隐私安全风险及应对机制研究”(2015YBGL110)

杨海霞，广州商学院法学院讲师，主要从事诉讼和司法制度研究。

D922.8

A

2095-0292(2016)06-0049-04