侵犯公民个人信息犯罪的实证分析

马忠泉

（湖北警官学院法律系 湖北 武汉 430034）

通过对《中国裁判文书网》公布的针对“侵犯公民个人信息犯罪”的600份判决书的梳理和分析发现：2011年，该罪的判决书只有1份；2012年，有11份判决书；2013年，有62份判决书，相比前两年，年度内此类案件数量明显增多；2014年，多达261起的侵犯公民个人信息犯罪被依法判决，数量呈爆发式增长；2015年，有193起此类案件依法被追究刑事责任，数量有所减少，但发案量仍然很高；2016年，减少到72起，数量显著减少。

分析促成这一变化趋势的原因主要有以下两点：一是智能通信设备的普及。智能化通信设备兴起于2010前后，基于安卓、iOS系统的智能手机迅速普及，几乎人人用手机社交软件进行沟通，为犯罪分子提供了可乘之机，因此，在2011至2014年间，案件数量呈爆炸式增长。二是国家加大了对相关犯罪的打击力度。2015年11月1日起施行的《刑法修正案（九）》对刑法第253条做出修改完善，其特点是加大了对侵犯公民个人信息犯罪的处罚力度，自2015年开始，案件数量呈明显下降趋势。

事实上，2012年3月公安部刑侦局就已在全国部署开展打击侵害公民个人信息犯罪集中统一行动，但现实告诉我们，这是一项应该长期坚持的行动。行动的成果不仅取决于行动的组织与实施，也取决于对侵犯公民个人信息犯罪的研究与认识。本文针对侵犯公民个人信息犯罪进行实证分析，分析犯罪背后的一般规律、特点与成因，进而提出犯罪预防与打击的建议，服务于基层办案和管理层的政策制定和立法完善。

1 侵犯公民个人信息犯罪构成的一般规律

1.1 谁在滥用公民的信息：侵犯公民个人信息犯罪主体职业类型分析

通过对《中国裁判文书网》公布的针对“侵犯公民个人信息犯罪”的600份判决书显示的犯罪人职业类型进行统计分析，除去没有提及犯罪分子职业的案例外，大致归纳为12种职业，共281人。其中，公司高管69人，约占24.6%；公司员工56人，约占19.9%；公司股东9人，约占3.2%；农民31人，约占11%；个体工商户38人，约占13.5%；税务局工作人员3人，约占1%；公安局工作人员4人，约占1.4%；无业人员36人，约占12.8%；无固定职业者7人，约占2.4%；未知3人，约占1%；务工23人，约占8.2%；非法经营者2人，约占0.7%。

通过对数据分析可以看出：第一，各个社会层面都有信息泄露的现象存在，无论是政府工作人员，或是平民百姓，都存在侵犯公民个人信息的情况。第二，在所有侵犯公民个人信息的犯罪人员中，公司高管所占比例最高，约24.6%。这说明在公司层面，不仅缺乏外部的法律监督，也缺乏内部的监管措施。第三，政府工作人员中存在滥用职权，侵犯公民个人信息的状况。税务部门工作人员和公安部门工作人员，利用职权之便侵犯公民个人信息，说明我国对于政府工作人员的监督管理机制还不够完善。总之，在缺乏相应的监督管理机制，制度构建又明显滞后，加之打击力度不够的背景下，在利欲的诱惑下，无论何种职业的人都可能变成侵犯公民个人信息的犯罪分子。

1.2 犯罪分子对什么信息最感兴趣：侵犯公民个人信息犯罪侵犯信息的类型分析

从“漏洞”中流出的个人信息究竟属于什么类型，以至于吸引如此多的人为之铤而走险？侵犯公民个人信息犯罪嫌疑人提供、获取公民个人的信息包含诸多方面，包括公民个人的姓名、电话、地址、行踪、各类账号密码、银行卡信息等。大多数公民个人对自己的重要信息泄露一无所知。举一个简单的例子，我们日常生活中无论填什么资料，总会要填写自己的姓名、性别、手机号或其他联系方式。这仅仅是最简单和普遍的，更有甚者，包括详细的个人信息，如生活环境、家庭状况之类的。而在这巨量的信息中，公民根本无法察知是否自己的个人信息已经泄露。事实上，犯罪分子仅仅根据一张快递单上的个人信息就可以关联出公民几乎所有的生活、工作信息，直接辨别出你是谁。进而可能有针对性地盗取、买卖公民的个人信息，甚至对其实施诈骗。《中国裁判文书网》公布的针对“侵犯公民个人信息犯罪”的600份判决书显示，被侵犯的公民个人信息类型分析如图1所示。

图1 侵犯公民个人信息犯罪中的信息类型分析

1.3 一切为了钱：侵犯公民个人信息犯罪的动机分析

通过对侵犯公民个人信息的犯罪动机分析可以发现，犯罪人实施犯罪的动机，仅非法牟取利益便占了59.56%；其次，占较大比重的是营销发展公司业务、电话短信推销商品，分别占18.89%、13.56%；诈骗、违规办理交通违章业务占1.69%；互相交换信息，扩大储存量占1.45%；寻找他人踪迹占1.21%；报复他人占0.73%；其他占1.45%。可见，侵犯公民个人信息犯罪背后的动机多种多样，但几乎都是为了钱财，谋取非法的经济利益。

1.4 公民的信息是如何泄露的：侵犯公民个人信息犯罪手段分析

从犯罪手段的角度剖析来看，可以清晰地了解到在此类案件的犯罪构成中，通过互联网和即时通信工具进行犯罪占据很大比例，尤其体现在网络非法购买个人信息和非法应用腾讯QQ等软件获取公民个人信息。通过这两种方式侵犯公民个人信息的犯罪在此类案件的所占比例中高居前两位，几乎达到整个犯罪手段总量的66%，这反映出在当今我国网络开放与自由下存在的公民信息安全隐患。在互联网上毫无个人隐私可言，这是侵犯公民个人信息犯罪的一个很重要的形成条件。其次，在侵犯公民个人信息的途径中，被害人任职单位非法获取也占10%的比例。当前话务公司和信息公司等都收集和保存着大量的公民个人信息，犯罪嫌疑人能使用相关手段获取这些个人信息，说明这些单位对客户的个人信息保护没有达到预期的保护效果，应该承担相应的责任。在其他的几种途径中，非法技术（如制造病毒）和跟踪记录（如卫星定位）都具有明显的技术性，犯罪嫌疑人通过使用高科技手段达到自己的犯罪目的，这两者占比之和接近10%，足够引起我们的重视。侵犯公民个人信息犯罪手段分析如图2所示。

图2 侵犯公民个人信息犯罪手段分析

2 侵犯公民个人信息犯罪的一般特点

前文通过对判决书的统计、分析，从犯罪构成和微观、定量的视角对侵犯公民个人信息犯罪进行了分析。结合公安机关的侦查、讯问、取证过程中获得的材料，以下笔者从犯罪的整体表现、宏观、定性的视角来分析其一般特点。

2.1 涉案信息数量大、种类多、范围广

通过前述分析可以发现，侵犯公民个人信息犯罪侵犯的公民个人信息数量大、种类多、范围广。公安机关办案实践同样反映出以上特点，且有的案件涉案信息数量之大达到了惊人的地步。以湖南省公安厅公安简报发布的数据为例，从2012年前4个月查获的电信诈骗案件涉案信息看，被非法泄露和买卖的个人信息包括社保、银行、通信、房产等40余个项目，涉及电信、金融、公安、教育、医疗、国土、工商等数个部门，信息资料数量巨大、触目惊心。如“XX”团伙涉案电脑内储存有移动电话机主、汽车车主、小区业主、工商注册和银行客户等各类信息1.5亿余条，涉及全国31个省市，其中包括湖南省移动电话机主信息3500万条，四川省移动电话机主信息4000万条，辽宁省移动电话机主信息1009万条；北京建设银行金卡客户信息15万条，上海建设银行金卡客户信息8万条。

2.2 犯罪方式隐蔽性强、科技含量高、手法多样

侵害公民个人信息违法犯罪主要通过互联网进行，犯罪分子虚拟身份、“点对点”服务，具有极强的犯罪隐蔽性，调查取证工作难度极大。同时，犯罪分子的作案手法随着公安机关打击工作的开展而不断翻新，并采用包括窃听、跟踪、窃照器材使用、手机定位、短信群发等先进、多样的作案手段和高科技作案工具。

2.3 犯罪团伙相互串联、资源共享

无论是公安机关的案卷还是法院的判决书都清楚地表明，犯罪团伙之间已经通过互联网密切合作、互通有无，犯罪资源高度共享，已形成巨大的“黑色信息网络”。犯罪团伙为扩充信息储备量，相互之间会交换客户资料，交流盗取信息的技术，以不断扩大实施犯罪的信息源及手段。

2.4 犯罪网络覆盖面广、危害严重

侵犯公民个人信息犯罪涉及地域覆盖全国，其滋生的电信诈骗、非法追债、跟踪骚扰等违法犯罪现象日益突出。类似于“个体侦探公司”的犯罪团伙为客户进行手机定位、非法追债；有的犯罪团伙调取他人的银行信用报告；有的犯罪团伙为客户调查某人的行踪等。需要指出的是，这些侵犯公民个人信息的犯罪，其引发的犯罪不仅仅限于诈骗犯罪，还可能引发其他可能危及人身安全的犯罪（报复性伤害、杀人等）和公共安全的犯罪（爆炸、恐怖袭击等）。

3 侵犯公民个人信息违法犯罪行为泛滥的主要成因

3.1 犯罪嫌疑人法律意识淡薄

多数违法犯罪嫌疑人缺乏法律常识，没有公民个人信息权利属性的认识，对侵害公民个人信息的违法犯罪行为不以为然。同时，受利益驱动，认为利用高科技手段作案安全隐蔽、一本万利，因而抱有侥幸心理，铤而走险、以身试法。在某实践案例中，犯罪嫌疑人曾某用500元在网上购得某省2011年9月份的移动电话机主资料库，转手即以1000多元的价格在网上卖给了另外一名犯罪嫌疑人。足不出户即可坐收渔利的方式，对于法律意识淡薄的违法犯罪嫌疑人是极具诱惑性的。

3.2 刑罚较轻

刑法第253条为侵犯公民个人信息犯罪定罪量刑提供了实证法的依据。但是，在司法实践中，司法机关对犯罪人所处刑罚普遍较轻，以管制、拘役为主，有期徒刑较少，或者在处以有期徒刑时会适用缓刑。司法实践中的较轻处罚，一定程度上放纵了侵犯公民个人信息犯罪行为。

侵犯公民个人信息罪是一种新型犯罪，在法律适用上的概念较为模糊。所以，公安机关在查办涉嫌侵犯公民个人信息犯罪的案件时，检察机关往往以“事实不清、证据不足”为由不予批捕或者“犯罪情节显著轻微、有悔罪表现、不需要判处刑罚”为由作出不起诉决定，这从一定层面上导致侵犯公民个人信息犯罪的多发。但随着2017年6月1日《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的实施，这一现状可能会在将来有所改善。

3.3 个人信息管理主体的失职

公民个人信息被侵犯往往与个人信息运营和管理主体的失职有关。公民个人信息管理主体可能是运营的企业，也可能是有收集和管理职能的国家机关。相关信息源头管理部门把关不严，涉及公民个人信息的管理机制不健全，应用操作不规范，权限设置不准确，导致运营和管理单位能接触到海量涉及公民个人信息的工作人员过多过杂。同时，部分运营和管理部门对工作人员缺乏监管和约束，导致公民个人信息被有意识贩卖或无意识泄露。

研究发现，在所统计的前述案件判决书中，极少提到公民个人信息管理主体的失职在犯罪过程中起到怎样的作用，这也反映出法官对个人信息管理主体的失职缺乏足够的重视。

3.4 没有明确的受害人

在前述的600份判决书中，对受害人有表述的判决书只有40份，占比6.7%，并且这40份判决书中有一部分载明的受害人仍是不明确的，例如“受害人为某大学的研究生”。由于没有明确的受害人或者办案单位事实上忽略了受害人，加之犯罪人实施犯罪行为又是针对不特定的群体，这给司法机关追诉犯罪增加了一定的难度（如缺少受害人的言辞证据），导致对侵犯公民个人信息犯罪的打击力度明显不足。

3.5 对公民个人信息的保护重视不够

公民个人信息作为公民身份识别的重要要素之一，大多关系到公民个人的精神生活层面。无论是公民个人还是有关运营和管理主体，都存在对公民个人信息的重要性和价值不够重视的现象，在这样的整体社会环境背景下，侵犯公民个人信息犯罪自然容易发生与泛滥。

3.6 损害赔偿额难以计算

针对侵犯公民个人信息犯罪对公民个人造成的财产损失，我国未明确损害赔偿的性质及赔偿数额。德国司法实践采用损害赔偿的方式[1]，在计算实际损害时的难度非常大，对于我国而言同样很难借鉴。此类问题的存在，也对打击该类犯罪行为造成了司法实践中的困难。

4 保护公民个人信息，预防和打击相关犯罪的建议

4.1 厘清理论认识

对于个人信息权属于宪法上的基本权利、人格权还是财产权，目前尚未形成统一的意见[2]。笔者主张，公民个人信息权属于人格权的认识更为科学，也更有利于维护信息主体权益目标的实现。

2017年颁布的《民法总则》明确了公民隐私权的民事权利属性，而且在第111条也规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。由此看来，个人信息权已经为我国法律所认可，被确定为一项法律权利。通过立法约束义务主体，以达到保护公民个人信息不受侵犯的目的，这是重大的进步。但是立法遗存的问题是并没有明确提出“个人信息权”的概念，从上下文关系来看也没有明确个人信息的权利属性。但是，司法实践中的判例却反映出“个人信息”的隐私权属性。浦民一民初字第9737号案件中，被告某通信公司在未经客户方孙XX同意的情况下，将其手中掌握的孙XX的个人信息泄露给第三方，在庭审中辩称其行为并未使原告受到财产损失，反而使原告因此获利，但最终法官依然认定被告方侵犯原告方的隐私权。需要指出的是，目前我国隐私权和公民个人信息权并没有严格区别，不同的学者基于自己的专业背景和习惯分别用“公民隐私权”或者“公民个人信息权”表达基本相同的权利内容[3]。而2010年7月1日施行的《中华人民共和国侵权责任法》第2条明确将隐私权列为一项受保护的具体人格权。由此可见，无论是法官还是立法者都是认同将个人信息权作为一项人格权来保护的。从人格权与财产权对于个人信息权保护的周延性上来说，人格权理论也更胜于财产权理论。人格权救济手段中的赔礼道歉、消除影响等方式可以保护个人信息权中的人格利益，精神损害赔偿可以保护个人信息权中的财产利益。

4.2 完善制度构建

目前我国对个人信息侵害的保护主要还是通过行为严重到构成犯罪后的刑法保护，以及当侵害的个人信息与名誉或者隐私联系的时候通过侵权责任法取得救济。针对公民个人信息的行政立法不多，目前主要集中于《护照法》《居民身份证法》《社会保险法》《统计法》等立法。并且行政立法多只是规定不能泄露和违规处理信息，至于泄露和违规处理的责任则不明确，也缺少具体的追责机制，加之对于信息的持续更新、保存时间、公民的查询权等都没有进行相关规定，其保护功能基本上没有实现，很难应对当前针对大规模公民个人信息的违法和犯罪。

因此，我国有必要制定专门的《个人信息保护法》，这也符合目前世界各国广泛且系统制定专门的个人信息保护相关法律规范的发展趋势。在立法原则上应遵循国际上一般坚持的同意原则、限制原则、安全原则和个人参与原则[4]；在立法模式上应该采取国家和行业共治的立法模式；在立法体例上应该采取“总—分”式的立法体例，即“通过总则部分规定个人信息的概念、原则、内容、权利和义务的分配等方面，分则可将不同行业的信息保护标准具体化，把与个人信息密切联系的行业，例如银行等金融业、医疗卫生部门、网络行业等部门的个人信息保护的具体标准分章节加以规定”的体例[5]。因为各职能部门、单位搜集个人信息的侧重点不同，只有行业内部才最清楚公民个人信息保护的重点，方便设计相关的系列保护措施，因此，需要行业内部将总则的精神细化下去，以取得更好的保护效果。

4.3 统一保护机构

加拿大通过专门立法授权，设置了个人信息保护的专门机构：加拿大隐私专员办公室，我国香港地区也设置了香港隐私专员公署。鉴于此，我国也应在全国范围内建立公民个人信息的统一保护机构：在县级以上政府部门内设信息保护机构，形成一站式的救济系统，这样既方便公民寻求救济，又提供了个人信息保护法实施的组织和机制保证。该机构要有权监督其他政府部门对个人信息的使用状况，同时由上级机构负责监督，对上级机构负责。

4.4 强化主体责任

前文的实证分析已经指出，在侵犯公民个人信息犯罪中，有很大比例的犯罪主体是政府部门工作人员和公司高管。因此，强化执法机关和一些公司的主体责任是非常必要的。我国《网络安全法》明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的基本原则，这一原则要在法律实施中认真贯彻。简而言之，凡是掌握着公民个人信息的主体都应该强化其主体责任意识，相关监督部门也应强化监督力度，尤其是对于国家机关工作人员和公司高管等敏感群体。

4.5 加大打击力度

针对侵犯公民个人信息犯罪，公安机关要不断加大刑事打击力度。一方面要在办案中强化合成作战，营造打击氛围，始终保持对此类犯罪的严打高压态势。要强化刑侦、技侦、网安、法制、宣传等部门的协调配合，建立合成作战工作机制。立案后，各相关部门要迅速联网查证、固定证据，厘清线索、深挖源头，对此类犯罪予以严厉打击；强化证据意识、诉讼意识，严格规范办案，坚决防止因证据不到位、深挖不彻底而放纵犯罪；大力宣传侵害公民个人信息犯罪的危害性和个人信息泄漏的防范措施，切实增强广大群众的个人信息保护意识。另一方面，要强化源头管理，建立长效机制。信息安全管理职能部门要和电信、银行等信息源头部门协调配合，切实加强公民个人信息的源头管理，从源头上阻断侵害公民个人信息的犯罪行为，建立完善公民个人信息管理、安全保密、监督等长效机制，确保公民个人信息安全。