侵犯公民个人信息犯罪治理的经济学分析

叶小琴,赵忠东

(1.武汉大学 法学院,湖北 武汉 430072;2.广东泛邦律师事务所,广东 佛山 528300)

保护公民个人信息的法律规范逐渐完善,但侵犯个人信息犯罪呈恶化趋势,个人信息在网上明码标价、随处叫卖的现象屡见报端。2009年2月至2017年12月期间全国法院新收侵犯个人信息罪案3 086件、审结2 826件、生效4 942人。2015年11月以来侵犯案件增长明显[1]，从2018年初侦破的一批侵犯个人信息安全的大案可知,我国侵犯个人信息犯罪呈现涉案人员多、涉案地域广、犯罪团伙化、侵犯个人信息种类多样且数量巨大等特点。

总之,刑法等保护个人信息安全的立法不断完善与侵犯个人信息犯罪的不断恶化形成鲜明的反差,立法目的和法律实施的效果之间存在巨大差距。法律的不断完善为何没有有效遏制住侵犯个人信息犯罪的泛滥趋势?这有必要对打击个人信息犯罪的实践效果进行测量和评估,以总结司法实践中的缺陷和不足。本文通过分析大量判决书的文本内容,探明侵犯个人信息犯罪的一般规律,明确司法工作人员在处理和制裁犯罪过程中的不足,为提出针对性建议提供实证材料。

一、侵犯公民个人信息犯罪治理效果的统计分析路径

利用刑法保护个人信息安全的司法实践已经运行了7年有余,可以通过一定方式测量刑法治理效果。测量的标准是什么?这是测量和评估工作必须解决的首要问题。借助经济学模型对侵犯个人信息犯罪的刑法治理效果进行定量分析更具有客观性。

(一)以经济学模型作为统计分析指标

经济学是研究人类选择行为的科学[2],犯罪行为如商业行为一样,是一种特殊的行为选择。曾获得过诺贝尔经济学奖的贝克尔教授认为,一种有用的犯罪行为理论,只要扩展经济学家们对于选择的通常分析就可以[3];经济分析是一种统一的方法,适用于解释全部人类行为[4]。犯罪行为作为一种特殊的人类行为,当然适合经济学分析。此外,经济学实证主义几乎不怀疑他们观点的力量,认为“人类学家、社会学家、心理学家、政治学家和其他社会科学家都对法律制度进行积极分析,但是,他们的工作无论是在理论内容,还是在经验内容方面,都不够丰富,都不足以和经济学家进行严肃的竞争”[5]。总之,将经济学引入犯罪学领域十分必要。

从犯罪防治角度分析,经济学思维的引入能够为决策提供充分的经验材料。犯罪是最严重的外部不经济行为,向他人、社会乃至国家输出负价值,这部分负价值就是犯罪造成的损失。刑法的任务是利用刑罚与犯罪做斗争,目标是减少并控制犯罪。但毫无疑问,刑法的制定、实施与执行都需要消耗一定的公共资源,分配到预防和打击犯罪的这部分公共支出就是预防犯罪的成本。显然,正确的决策必须考虑“犯罪造成的损失”与“防治犯罪的成本”之间的比例关系,意即只有当防治犯罪的成本等于或者小于犯罪造成的损失时，决策才是科学合理的。犯罪化过剩或不足、刑罚过剩或不足都不符合犯罪经济学的观点。因此,在制定犯罪治理策略时应将经济学指标作为决策的重要参考项,将犯罪成本、犯罪风险、犯罪收益和犯罪治理成本作为重要的决策资料。

(二)以刑事判决书内容作为统计分析对象

本文以北大法宝司法案例库作为研究平台，检索所得650份侵犯个人信息犯罪刑事判决书[注]操作流程如下：以2018年3月15日为时间节点，以北大法宝为研究平台，以“个人信息”为标题，精确检索一审刑事判决书，共命中782项，剔除重复和内容缺失的样本，得到650份有效样本。,采用内容分析法,以行为人、罪名、宣告刑、涉案金额、侵犯次数、是否利用网络、信息用途等作为变量,形成研究的基本数据。通过SPSS 21中文版软件对数据进行分析,能够较为直观地显现侵犯个人信息犯罪的特征和规律,并能够反映出司法实践的一些隐性偏好。然后从经济学的视角对其进行审视,透析出侵犯个人信息犯罪所蕴含的经济特征和规律,提炼出司法实践中违反经济规律的具体做法,进而以“最大效率原则”为指导,在刑事立法和刑事司法等多个面向上提出治理侵犯个人信息犯罪的对策和建议。

二、侵犯公民个人信息犯罪治理效果的统计分析

(一)犯罪风险的统计分析

经济学上的风险是指生产目的与劳动成果之间的不确定性,包括两层含义:一是收益的不确定性,二是成本或代价的不确定性[6]。相对应的,犯罪学上对犯罪风险也有两种理解:一是犯罪的可能性,如再犯罪风险;二是犯罪的成本和代价,如定罪可能性。本文在第二种意义上使用犯罪风险,基本等同于定罪可能性。

1.犯罪风险低

犯罪风险与犯罪黑数之间存在紧密联系,一般而言,犯罪风险高说明犯罪受到刑罚处罚的可能性大,犯罪黑数就会相对较少。从表1可知,行为人实施1次侵犯个人信息犯罪行为即案发的案件数量只有176件,占比27.1%,比例较少。相比之下,实施2次以上侵犯个人信息犯罪行为才案发的案件高达447件,其中5次以上的案件数量达394件,占比60.6%,比例最大。可见,行为人实施犯罪次数越多,其受到刑罚惩罚的概率就越大。这从一个侧面反映出侵犯个人信息犯罪得不到及时有效侦破,因此犯罪黑数较大,犯罪风险偏低。

表1 侵犯个人信息次数统计表

2.存在规避风险的有效手段

犯罪运行的安全律是指以某种犯罪手段实施犯罪越安全,行为人就越会采取此种手段实施犯罪,“安全律越高,犯罪行为就越会发生”[7]。据统计,侵犯个人信息犯罪以网络作为犯罪工具的有544件,占比83.7%;未利用网络实施的案件数量只有106件,案件数量较少。可见,侵犯个人信息犯罪网络化趋势明显。网络根本性地改变了数据信息的储存、传输和处理方式,利用网络既可以通过网络攻击行为有效获取大量的个人信息,又可以利用网络空间中的海量数据作为“掩体”有效逃避侦查，例如利用大数据技术的APT进行攻击,攻击代码隐藏在海量数据中,极难被发现[8]。网络空间成为侵犯个人信息犯罪的安全场域,利用网络作为工具实施犯罪可以有效降低犯罪风险。

3.风险分配不合理

经济学认为,风险与收益成正比。犯罪防控政策的制定与实施也应当使得犯罪风险与犯罪收益呈现此种比例关系,即社会危害性较大的犯罪,犯罪风险也应当较大。从表2可知,650份判决书中以非法提供个人信息罪判决的案件仅有28件,相比以非法获取个人信息罪判决的541件而言,数量很少[注]《刑法修正案(七)》确立“非法提供公民个人信息罪”和“非法获取公民个人信息罪”；2015年11月1日，《刑法修正案(九)》生效，将前述两个罪名统一为“侵犯个人信息罪”。。可见,非法提供型侵犯个人信息犯罪的犯罪风险远远低于非法获取型侵犯个人信息犯罪。但是,打击侵犯公民个人信息犯罪的“源头性”行为才是治理侵犯个人信息犯罪的关键[9],而非法提供型侵犯个人信息犯罪才是源头性行为。基本可以认为,我国司法实践中对于侵犯个人信息犯罪的犯罪风险配置不尽合理。

表2 判决罪名统计表

(二)犯罪成本的统计分析

宣告刑越高,刑法对犯罪的利益剥夺就越多,犯罪成本就越大。犯罪成本是对犯罪对象需求量的一个重要因素,一般而言,犯罪成本量与犯罪者对犯罪对象的需求量成反比[10]。对表3进行分析可知，第一,责任刑适用较为轻缓。在650件案例中,判处免刑的9件,单处罚金的28件,拘役的160件,有期徒刑的453件,刑罚适用上虽然以有期徒刑为主,但适用非徒刑的案件达197件,占比30.3%,比例较大。并且判处有期徒刑(实刑)的均值为10.9个月,不到1年。可见,司法实践对侵犯个人信息犯罪的刑罚裁量均较为轻缓。第二,对预防刑缺乏足够的重视。判处拘役(缓刑)及有期徒刑(缓刑)的案件数量高达301件,占比46.3%,比例较大且远远高于我国刑事案件的平均缓刑适用率。我国2014年判刑总人数为1 184 562人,有期徒刑、拘役缓刑为368 129人,缓刑适用率为31.1%[11].因此,在侵犯个人信息犯罪的审判实践中缓刑适用率高,预防必要性考量不足。

表3 宣告刑分布表

对此存在两种解释:一是侵犯个人信息犯罪罪质较轻,因此适用较轻的刑罚。这种解释直接否定了《刑法修正案(九)》增加本罪法定刑的做法,因为法定刑的增加极易产生刑罚过剩而导致司法资源的过度浪费。二是司法实践在适用刑罚打击犯罪时适用较轻的刑罚,与从严打击侵犯个人信息犯罪的刑事政策相违背。就我国侵犯个人信息犯罪所呈现的多发态势来看,并不存在不法减轻、责任减轻与预防必要性降低的实质理由,因此笔者支持第二种观点。随着大数据技术的进一步发展,社会对数据犯罪的需求量将进一步加强,而侵犯个人信息犯罪的成本偏低,将大大折损了刑法利用犯罪成本遏制犯罪数量的功效。

(三)犯罪收益的统计分析

1.犯罪收益高

犯罪本质上是一种行为选择,决策就是在一个目标与另一个目标之间进行权衡取舍,并且选择任何的行为都需付出一定机会成本,因此当且仅当一种行为的边际利益大于边际成本时,一个理性决策者才会采取这种行为[12]。对判决书的定量分析表明,2014年涉案金额均值为45 640元,2015年为62 478元,2016年为36 418元,2014—2016年3年的涉案金额均值为52 682元。与此形成对比的是,城镇居民人均可支配收入2014—2015年分别为29 381元、31 790元;而农村居民人均纯收入2014—2015年仅有9 892元、10 772元。可见犯罪收益远远高于城乡居民人均可支配收入,意即因实施侵犯个人信息犯罪而获得的收益远远大于实施犯罪的边际成本,因此行为人选择实施侵犯个人信息犯罪而放弃正当职业是一种理性选择。

2.犯罪成功率高

犯罪的成功率越高,发生率就越高,这是犯罪运行的成功率。从表4可知,利用非法获取的个人信息实施诈骗犯罪的成功率在2014年为81%,2015年为90.5%,2016年为66.7%,3年平均成功率为85.4%,平均诈骗数额为90 106.5元。因此可以推论,侵犯个人信息犯罪提高了诈骗犯罪的成功率。利用非法获取的个人信息实施诈骗犯罪更容易成功,密切了个人信息犯罪与诈骗犯罪的联系,使得个人信息犯罪成为上游犯罪,而诈骗犯罪成为下游犯罪。这一结论得到了印证,我国电信诈骗案件每年以20～30%的速度增长,并且绝大多数电信诈骗案件的背后涉及个人信息买卖[13]。

表4 利用个人信息诈骗案统计表

三、侵犯公民个人信息犯罪治理策略的优化

若犯罪防控策略仅考虑刑罚的威慑,可使定罪可能性无限接近百分之百,使惩罚大于违法收益,这样几乎可使违法数量任意降低。但定罪可能性增大会引起防控犯罪的社会成本增大,定罪可能性趋近于百分之百时社会成本可能趋近于最大值。而投入到治理犯罪的公共资源是有限的,公共政策的制定需要考虑增加威慑所产生的社会收益与增加威慑所耗费的社会成本之间比例关系,以最少投入换取最大效益。以经济学标准对650份刑事判决书进行分析发现,侵犯个人信息犯罪的治理效果欠佳,表现在侵犯个人信息犯罪黑数大,犯罪风险偏低;刑罚适用偏轻,犯罪成本低;利用个人信息实施诈骗犯罪,犯罪成功率高,犯罪收益大。因此,应当以犯罪学为指导优化侵犯个人信息犯罪治理体系,增加犯罪成本,提高治理效率和犯罪风险,控制惩罚成本。

(一)增加犯罪成本:强化预防刑在配刑与量刑中的比重

1.法定刑强化一般预防

事实上,除了特殊情形以外,立法者在确定法定刑时均会考虑一般预防的必要性[14]。从法益侵犯性上看,盗窃罪与故意毁坏财物罪几乎没有任何差异,但是盗窃罪的法定刑重于故意毁坏财物罪,其正当化根据就是对一般预防刑的考虑。对于侵犯个人信息犯罪而言,在其他条件相同的情况下,非法获取个人信息与非法提供个人信息侵犯的法益几乎相同,但我国刑法第153条第2款明文规定,从重处罚在履行职责或者提供服务过程中获得的公民个人信息并出售或者提供给他人的行为,其正当化根据依然是预防必要性。根据法定刑增加则犯罪率降低,法定刑降低则犯罪率提高的犯罪预测经济模型[15],《刑法修正案(九)》针对呈现多发态势的侵犯个人信息犯罪引入一般预防刑来构建侵犯个人信息犯罪的刑罚层次,值得肯定。

2.量刑与行刑阶段强化特殊预防

根据表3数据显示,侵犯个人信息犯罪司法实践中对于缓刑的适用比率较高,可能存在特殊预防必要性考虑不充分的嫌疑。法官应当全面并且正确地把握量刑正当化根据,扩大特殊预防刑的考量要素,将表明犯罪人再犯罪危险性大的事实作为量刑情节予以考虑。新出台的司法解释强化了定罪量刑时对于特殊预防的考量,认为“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”或者“又非法购买、收受公民个人信息的”可以认定为“情节严重”。可见,司法实践意在强化特殊预防目的在定罪中的比重，但此种将特殊预防刑要素融入“情节严重”中的路径存在显而易见的缺陷,即仅能影响定罪不能影响量刑，而特殊预防必要性不仅仅是有无的问题,更包括程度的问题。

(二)提高犯罪风险:纵向治理体系的构建

1.堵源

堵源是打击个人信息供给侧,目的在于通过封堵源头以防止个人信息流入网络黑色个人信息数据库,主要治理非法提供型侵犯个人信息罪。网络环境对侵犯个人信息犯罪起到支持作用,网络应用根本性地改变侵犯个人信息犯罪的层级式组织结构,侵犯个人信息犯罪实现去层级化和交互式数据流通,使得个人信息一旦泄露就很难复归到原来状态。因此,打击侵犯个人信息犯罪的“内入”端点是治理侵犯个人信息犯罪的关键环节。从刑事立法的变革上看,我国《刑法修正案(九)》第17条第2款明确规定对特殊主体向他人出售或者提供公民个人信息的行为应从重处罚,改变了之前非法提供与非法获取行为同等对待的刑事政策,强化了对非法提供型侵犯个人信息罪的处罚力度,使侵犯公民个人信息罪的法定刑的设定更具区分度及合理性[16]。

2.截流

截流是指打击连接个人信息源头(供给)与终端消费(需求)的中间环节,主要治理倒卖型侵犯个人信息犯罪。根据刑法规定,侵犯个人信息罪并不存在“非法获取+非法提供”倒卖型侵犯个人信息的行为类型,一般按照非法提供型侵犯个人信息罪处理。可见,对于中间环节的打击主要参照对于“内入”端点的打击模式进行规制。但是,与个人信息犯罪的中间倒卖环节相伴随的是个人数据的非法储存、非法处理等数据窝藏行为,这也是整个侵犯个人信息犯罪链条上最为薄弱的环节。因此,选取数据窝藏这一中间环节进行有针对性的刑事立法,无疑是一条可行之路[17]。2015年德国的刑法修正案增加第202d条,强化了对个人信息犯罪中间环节的打击力度,值得我国借鉴。

3.断需

根据马克思的供求平衡理论,在社会经济发展中社会总产品的供给和需求必须保持平衡比例关系[18]。所以,如果仅仅打击供给侧而忽视需求侧的有效控制,说明防控犯罪的工作只进行了一半。断需是打击个人信息需求侧,目的在于遏制个人信息非法需求以减少需求对供给的“驱动力”,主要治理非法获取型侵犯个人信息罪。从数据犯罪链条上看,需求侧是数据动态链条上的最后一个环节——数据使用。在大数据时代下,个人信息是社会活动尤其是开展商业活动必不可少的要素,收集和分析各种数据并应用于各种决策成为社会运营的常态[19]。大数据时代下对于个人信息的需求量将有增无减,并且经济发展程度越高对于个人信息的需求量就越大。但个人信息的需求并非拉动侵犯个人信息犯罪数量增长的直接原因,其症结应该在于个人信息的合理需求得不到有效满足,从而转向非法需求。因此,切断个人信息的非法需求的关键不在于“堵”而在于“疏”,意即通过引进适当的个人信息流动机制满足社会对个人信息的合理需求。

(三)控制惩罚成本:犯罪化的三重限制

1.刑法介入治理的第一个嵌入点:知情同意

被害人同意作为刑法上的超法规出罪事由已经成为学界的共识[20]。个人信息具有的个人属性要求刑法介入治理时必须尊重信息主体的意思自治,意即“个人原则上有能力决定其个人信息的披露与使用”[21]。我国刑法保护个人信息的目的在于通过控制个人信息的知悉范围与状态构筑个人安宁、人身与财产安全的“防火墙”。从此种意义上讲,个人信息安全的刑法保护是个人安宁、人身与财产安全法益保护的早期化,是“基于打击一系列与公民信息权益相关的后续犯罪的立法考虑”[22],其目的在于消除下游犯罪风险。作为意志自由的个体有权放弃此种保护,并且此种放弃并不意味着对个人安宁、人身与财产法益本身的放弃,而仅仅是将法益置于一种风险之中。是故,知情同意成为刑法介入保护个人信息安全的第一个嵌入点,通过信息自决权谋求信息安全与信息自由间的平衡。

2.刑法介入治理的第二个嵌入点:可识别性

侵犯个人信息犯罪的犯罪对象是个人信息,而“互联网的出现意味着信息的自由流动成为世界经济的命脉,数据保护法律可能成为影响公司商务业绩的主要法律障碍”[23]。犯罪经济学的观点认为,不能过分追求以刑法的手段保护个人信息而忽视个人信息在商业社会和国家管理中的作用和价值,否则会导致刑法保护所产生的负价值大于刑法所保护的价值。因此,刑法保护个人信息的范围应以可识别性为标尺进行合理限缩。

我国对个人信息的界定基本遵循了“可识别性”的基本特征,《最高人民法院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括直接识别和间接识别的个人信息。直接识别和间接识别是对可识别性的分类,前提是必须具备可识别性,立法目的是将单项不具有可识别性(如身高)但整体具有可识别性的结构化信息纳入个人信息的保护范围。但学界对此种分类产生重大误解,如一些学者认为,个人信息的外延十分广泛,几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息[24]。但是,直接识别的个人信息几乎不存在,姓名、身份证号、电话号码对于由陌生人组成的网络社会而言,均不具有单独直接识别的可能性;而任何个人信息与其他信息结合均可能产生可识别性。直接识别与间接识别的分类基本上是一个伪命题。其不仅造成理论和司法实践中对个人信息认定的误解,而且会不当地扩大个人信息的范围,因为间接可识别性仅具有识别的可能性,不应单独受到保护,其只有因结构化而获得可识别性后才是保护的对象。因此,可识别性是具体的个案认定,只是有无的判断,从抽象层面将个人信息分为直接或间接可识别性不具有可操作性。

3.刑法介入治理的第三个嵌入点:情节严重

刑法的保障法和谦抑性特征要求刑法必须是保护法益的最后手段。刑法在保护个人信息安全方面必须保持谦抑性,与民法、行政法保持一定的处罚梯度,处罚范围限定在最为严重的侵犯个人信息行为。立法者以“情节严重”的构罪标准来限制入罪门槛,但《刑法修正案(九)》修正了非法获取型侵犯个人信息犯罪 “情节严重”的条件。因此,有学者认为立法者删去“情节严重”降低了非法获取公民个人信息行为的入罪要求[25],体现了国家打击公民个人信息犯罪的力度和决心，也有学者持相反的观点[26]。在侵犯个人信息犯罪恶化的情势下将刑罚的触角向轻微行为延伸,不仅会增加司法成本而且导致司法资源的无效和浪费,不符合犯罪经济学的立场和观点。相反,刑法应当坚持情节严重的入罪门槛,将有限的资源集中到惩治严重的犯罪行为上,才符合资源优化配置的基本要求。