浅析侵犯公民个人信息犯罪的刑事立法政策

◆沈宇佳

浅析侵犯公民个人信息犯罪的刑事立法政策

◆沈宇佳

（中国人民公安大学 北京 100038）

在信息技术不断突破、飞速发展的时代背景下，侵犯公民个人信息犯罪呈现出形式多样、手段隐蔽、追踪困难、危害范围广泛等特征。“刑法先行”的现象导致我国对个人信息的保护多为“事后救济”，对“人肉搜索”等非法煽动性行为重视不足。对刑事立法政策进行适时引导和补充，可以延展刑法规范的灵活性，增强其应对现实状况以及新型犯罪形式多变的功能。

侵犯公民个人信息罪；公民个人信息；刑事立法政策

自2016年以来，全国公安机关持续重拳打击危害公民个人信息安全的犯罪活动，开展了打击整治黑客攻击破坏犯罪和网络侵犯公民个人信息犯罪专项行动，于2018、2019、2020年分别开展了“净网”行动并取得了阶段性的成果。侵犯公民个人信息犯罪是较为典型的新型犯罪，同时也为电信诈骗、网络诈骗、敲诈勒索等人身、财产犯罪提供了“捷径”，对公民的人身权和财产权造成了重大损害[1]。2020年4月15日公安部公布了2019年以来公安机关侦破的10起侵犯公民个人信息违法犯罪典型案件，其中，行动迅速、追踪困难的“暗网”侵犯公民个人信息案共4件，涉疫情公民个人信息违法犯罪活动两件[2]。侵犯公民信息犯罪的形式跟随着大数据技术的发展而不断变换，刑法规范的稳定性使其不能根据犯罪形式的变化而随时更改，刑事政策的灵活性则能使其更好地适应社会的快速发展。因此，在罪刑法定和刑法谦抑性原则的基础上，以刑事立法政策作为刑法规范与现实情况的桥梁，在规范判断中增加事实判断，根据侵犯公民个人信息犯罪的现状不断调整应对策略，为公民个人信息提供及时、有效的保护。

1 我国侵犯公民个人信息犯罪现状

1.1 侵犯公民个人信息犯罪数量持续增长

《2019网民网络安全感满意度调查活动总报告》显示，政府不断推动网络安全等级保护的举措取得了显著成效，网络安全状况得到了改善，网民的网络安全感有了较大的提升。同时，该报告指出，随着网民安全意识的增强，个人信息保护获得了人们的焦点关注，据统计，37.4%的网民认为网络个人信息泄露非常多和比较多，58.75%的公众网民表示曾遇到个人信息侵犯[3]。故此，完善公民个人信息保护之路任重而道远。本文通过在中国裁判文书网以“侵犯公民个人信息罪”、“刑事案件”、“判决书”为关键词，搜集到我国自2016年—2020年侵犯公民个人信息罪共8714起。值得注意的是2016—2017年间、2017—2018年间侵犯公民个人信息案件数增幅最大，分别为257.14%、68.75%。根据图1可以看出，在现有犯罪高发的基础上，犯罪数量依旧呈增长趋势。

1.2 侵犯公民个人信息犯罪发案区域分布不均衡

根据中国裁判文书网收集的数据可知，侵犯公民个人信息犯罪的发案区域集中于东南沿海地区。在搜集到2016—2019年侵犯公民个人信息罪的8714起案件中，仅江苏、福建、浙江、上海、广东五个省市的案件数就达到了4914起，占全国案件总数的56%。侵犯公民个人信息犯罪集中于沿海发达地区的原因主要有以下两点：沿海地区现代服务业、金融业、电商行业发达，其覆盖领域涉及到公民日常生活的方方面面，也意味着这些行业不可避免地掌握了大量的公民个人信息，为不法分子提供了可乘之机。其次，东南沿海地区也是金融犯罪、电信诈骗等犯罪的高发地。根据最高法发布的《司法大数据专题报告之电信网络诈骗》及《司法大数据专题报告之网络犯罪特点和趋势（2016.1-2018.12）》显示，排名靠前的网络犯罪案件地区大多位于东南沿海，在网络犯罪案件中从事信息传输、计算机服务、金融业的被告人最多，电信网络诈骗案审理法院主要集中在福建、广东、浙江等沿海地区[4]。大部分网络犯罪均建立在犯罪人掌握了公民个人信息的基础上进行的，侵犯公民信息安全的违法犯罪行为亦如此，个人信息作为珍贵资源的需求量越大，越会刺激不法分子为获取巨额利益铤而走险，致使此类犯罪行为屡禁不止[5]。

图1 2016—2020年侵犯公民个人信息罪数量统计图

1.3 侵犯公民个人信息犯罪危害范围广

现今，互联网平台是公民进行通讯、出行、购物、医疗等必要日常活动的最佳方式之一，它贯穿着公民生活的衣食住行，也意味着公民个人信息将会不可避免地被获取、被收集。信息时代最重要的资源就是信息本身，公民个人信息同样也蕴含着巨大财富价值。随着网络储存、采集个人信息的不断普及，危害公民个人信息安全的新方法层出不穷，公民个人信息也无法得到有力的保护。此类案件不仅涉及公民的姓名、性别、住址等信息，还会涉及到公民个人的日常行程、银行存款、个人征信甚至是家人朋友的个人隐私。公安部多次开展了关于个人信息犯罪的专项活动，仅2017年就缴获了500亿条个人信息，涉案信息数量多，且涉及到金融、电商、房产、医疗等多个与公民个人息息相关的行业领域[6]，给公民人身、财产安全带来了极大的隐患。例如，2016年上海疾病防控中心工作人员韩某利用职务之便窃取上海市每月新生婴儿信息，并非法售卖给他人，自2014至2016年7月共非法获取、售卖信息约30万条[7]。

2 我国现行侵犯公民个人信息犯罪的刑事立法政策

2.1 我国侵犯公民个人信息犯罪的刑事立法政策

（1）“严”——法网的严密化

①拓宽公民个人信息的“保护范围”

数字经济的蓬勃发展，促进了大数据技术在各行各业中的应用。据统计，我国网络用户高达9亿，各类网站约400万个，应用程序超300万个[8]。在此背景下，公民个人信息的获取渠道更为多样，使用也更为广泛。为了适应这一现实情况，为公民个人信息提供更强有力的保护，我国不断拓宽了公民个人信息的保护范围。《刑法修正案（7）》（下文简称《修七》）中新增设了两个与公民个人信息保护相关的罪名，标志着公民个人信息正式被纳入了刑法保护范畴中来。随后《刑法修正案（9）》（下文简称《修九》）将这两个罪名进行了整合，以“保护范围”更广的侵犯公民个人信息犯罪对其进行了更新。2017年出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下文简称《解释》）中，将公民个人信息明确具体地规定为“一切可识别公民身份信息或活动的信息，其中包括单独识别或结合识别的信息形式”，自此对公民个人信息的保护不仅包括公民基本身份信息，如，姓名、性别等；也包括公民日常行为活动的相关信息，如出行轨迹等[9]，进一步保护了公民的个人隐私。同时《解释》还增设了“未经公民许可，擅自将合法收集且能够识别特定个人的信息提供给他人的行为亦为犯罪”的规定。由此可见，伴随着互联网信息技术的不断进步，从2009年至今，国家对公民个人信息保护问题的重视程度在不断提高。从法律视角出发，修七到修九再到《解释》，保护公民个人信息的法律依据不断得到完善，“公民个人信息”的外延也不断被扩大，公民个人信息被更好地保护起来。

②扩大犯罪主体的“身份范围”

侵犯公民个人信息的犯罪行为不仅会给公民的财产带来风险，也威胁着公民的人身安全。为了更及时有效地应对这些风险，该罪的犯罪主体由《修七》中规定的特殊主体向《修九》中规定的一般主体转变。《修七》规定，只有具有特定身份的人，例如，国家机关工作人员或金融、教育、医疗等行业人员，将在工作过程中获得的公民信息，提供给他人，且情节严重时才能构成犯罪，同时将单位主体排除在该罪的主体之外。然而《修七》忽略了在现实社会中，非国家机关工作人员或特定行业人员也可能成为该罪的犯罪主体，因此为了顺应形势，有效遏制该罪的发生，《修九》规定该罪的犯罪主体为一般主体，同时规定了单位犯罪主体应被判处罚金[10]。

③降低“侵犯公民个人信息”的入罪门槛

《修七》中规定国家机关工作人员或特定行业相关人员只有在违反了“国家性”规定的情况下，才符合侵犯公民个人信息犯罪的入罪前提。换言之，如果犯罪主体只是违反了有关公民个人信息保护的地方性法规或部门规章等“非国家性规定”，则不构成犯罪行为，这一规定打击范围较窄，不利于公民信息保护。随后，《修九》将“违反国家规定”延伸为“违反国家有关规定”，对《修七》中有关公民个人信息犯罪的内容进行了适时补充。2017年发布的《解释》指出：违反有关公民个人信息保护的法律、行政法规及部门规章的规定，应包含在“违反国家有关规定”的范畴内。由此，“违反国家有关规定”既包括国家层面有关公民个人信息的规定，也包括行政法规等非国家层面的相关规定。

④进一步明确“罪量要素”

陈兴良教授将我国刑法这种“情节严重”、“情节恶劣”以及“数额较大”的定量规定称之为“罪量要素”[11]。在对公民个人信息保护的内容上，《修七》中只设立了“情节严重”作为构成侵犯公民个人信息犯罪要件的罪量要素。随后，《修九》对其进行了完善，规定了“情节严重”和“情节特别严重”两档反映行为人主观恶性的罪量要素，并据此规定相应的法定刑。但对于非法获取、提供信息的数量、违法所得金额、犯罪后果及其他应当被认定为侵犯公民个人信息犯罪的罪量要素并没有明确规定，有可能会导致司法适用中认定标准模糊的现象。《解释》发布后则对上述认定标准进行了规定，明确了认定“情节严重”及“情节特别严重”的具体情形[12]。

（2）“宽”——刑罚体系的层次性

刑事立法既要对主观恶性大、多次实施侵犯公民个人信息的行为并对公民人身财产造成了巨大伤害的犯罪人进行严惩，对其他不安分的社会群体进行威慑，使其意识到法律的严苛，不再为了利益铤而走险。同时也要给一些情节轻微的、主观恶性较小的人“一线生机”，以防他们一错再错，实施更为严重的犯罪行为。侵犯公民个人信息犯罪刑事立法政策的“严”体现在上文提到的刑事法网的严密化，其“宽”则体现在了刑罚体系的层次性。该罪有两档法定刑，包括罚金、拘役、有期徒刑三类刑种，其中罚金刑包括单处罚金和并处罚金两种，体现了罪刑法定的原则。《解释》中更为详细地规定了哪些情况可以被认定为“情节严重”、“情节轻微，不予起诉或免予刑事处罚”及“如有必要，从宽处罚”，对于非法获取后出售或提供信息不重复计数。同时补充说明了未经公民同意，将以合法方式获取的个人信息提供给第三方的，该信息经过处理后不能识别特定个人的行为，不作为犯罪处理。并且，在不违反相关法律法规的情况下，合法的信息流动是允许的，这既符合信息社会发展的现实需要，也与当下大数据产业的蓬勃发展相吻合。

2.2 我国现行侵犯公民个人信息犯罪的刑事立法政策的不足

（1）个人信息保护多为“事后救济”

在日常生活中，公民经常会被要求必须提供自己的身份信息进行注册才能够正常使用某些网络平台、软件，尽管这一步骤并不总是必要的。现阶段，我国针对公民个人信息的保护模式类似于对隐私权的保护方式，其法律属性并不明晰，因此针对“公民个人信息”的救济更多的是事后的惩罚打击[13]。《解释》中多数条款的规定仍将“同意”、“非法获取”作为预设机制。而对于一些披着“合法获取”外衣，实则强制索要或“不当滥用”公民个人信息的网络平台或APP缺少监督和管制。这些应用平台在收集公民隐私信息时，为了提高效率很少会让公民逐条选择敏感信息勾选同意与否。因此，对于这类用户“自愿”提供的个人信息的保护和救济措施仍是在“被侵犯”后。这一规定很难满足信息时代背景下，控制侵犯公民信息犯罪应以预防为主的新要求。

（2）对部分非法利用公民信息的行为重视不足

侵犯公民信息犯罪与拐卖妇女儿童罪有相同之处，二者都是基于巨大的需求市场，呈现出犯罪的高发态势。互联网的匿名性使部分网民产生了误区：网络世界是精神的“自由国度”，他们可以不受拘束地发表对时事和社会生活的见解，或对其不认同的人、事、物破口大骂，或通过“人肉搜索”他人信息实施网络暴力行为。在现实生活中，很多网民往往出于好意却行了坏事，他们低估了网络的煽动性，也低估了互联网的传播速度。詹姆士·威尔逊及乔治·凯林提出了著名的“破窗理论”，即不良行为一旦被放任，很可能会诱使他人竞相模仿，甚至更加猖獗。本文中的非法利用公民信息行为也可以用这一理论进行解释，当一个网民出于非牟利意图对某个公民进行人身攻击或者泄露其个人信息（第一个打破窗子的人）而没有受到惩罚时（没有及时修补破窗子），其他的网民很可能会蜂拥而至，以“正义”或“言论自由”作为旗帜盲目地对被害人进行口诛笔伐，进而引发大规模的网络暴力，甚至会导致被害人身心受损，造成严重后果。在实践中，很多参与“网络暴力”的公民没有受到法律的审判，他们自身也没有意识到自己的行为已经侵犯了他人的信息安全，因此，非法利用公民信息的行为应该被给予足够的重视[14]。

3 我国侵犯公民个人信息犯罪刑事立法政策的完善

3.1 为个人信息提供系统的刑法保护

这是一个能够轻松获取信息进行资源共享的时代，也是一个“网络比你还了解自己”的时代。在信息时代的新潮流推动下，个人信息安全的边界频遭挑战，公民个人信息面临着前所未有的风险。作为实现“网络强国”、“智慧社会”新目标的重要战略举措，针对侵犯公民个人信息犯罪的刑事立法政策，对于公民个人信息的保护应当是系统的、及时的。第一，保障公民的信息安全，可借助刑法修正案进一步规范房产中介、保险、信贷等以集体用户为核心的行业，利用收集到的公民姓名、联系方式、通讯地址等个人信息，通过骚扰电话、垃圾短信、邮件等方式扰乱公民私人生活的行为。第二，从预防该罪下游犯罪的角度出发，提高网络运营商的市场准入标准[15]，管控部分网络平台强制要求用户使用真实姓名、身份证号、电话号码及电子邮件等可被识别公民个人身份信息的行为，防止不法分子利用公民的身份信息冒充公、检、法机关工作人员以及网络客服等易于取信公民的角色实施诈骗行为，更好地落实“防为上、防为主”的新要求。

3.2 细化个人信息的“分级”标准

个人信息所具有的巨大的商业价值吸引了众多渴求财富的人选择铤而走险，走上违法犯罪的道路，利用犯罪生成模式理论则可以很好地解释侵犯公民个人信息犯罪的高发现象。对犯罪生成模式的界定包括宏观和微观两个方面，本文主要涉及个体的微观犯罪生成模式理论，即犯罪行为的产生是由于“带菌个体”和“致罪因素”在“催化剂”的促进作用下产生的，其犯罪化学反应方程式可表示为[16]：

该罪中“带菌个体”主要是指“非法获取、买卖、利用”或“合法获取，非法利用”公民个人信息的个体或单位犯罪主体，在利益的去驱动下逐渐产生犯罪的心理。信息时代的到来、公民信息获取渠道的多元化和获取手段的便捷性是“致罪因素”的主要表现，缺乏“致罪因素”，即使产生了犯罪心理，也无法完成侵犯公民个人信息犯罪。“催化剂”则包括对公民个人信息保护的滞后性及公民自身对个人信息权利意识较弱等因素[17]。因此，进一步明确信息“等级”的划分，有利于消除犯罪诱因、提高公民的自我信息保护意识，更好地预防侵犯公民个人信息犯罪的发生。《解释》将公民信息根据重要程度进行了“分级”，并规定了相应的入罪的“罪量要素”[18]。我国对公民个人信息的分级既可以在《解释》的实践基础上继续细化其内容，明确将房产、性取向、犯罪情况等个人信息补充进去，也可以对公民的敏感信息进一步划分：将公民姓名、年龄、性别等对人身、财产影响较小的信息划分为一般个人信息；身份证号码、通讯地址、婚姻状况、宗教信仰等较为私密的信息划分为轻度隐秘信息；将财产信息、密码、DNA信息等极为重要的信息划分为重度敏感信息等[19]。

3.3 扩大法律规制范围

严格意义上来讲，非法利用公民个人信息进行“人肉搜索”等损害公民身心健康的行为应当被定性为侵犯公民个人信息的行为。但由于被侵害人信息被揭露往往是由于其自身有错误行为导致的，并且这些非法利用他人信息的行为通常达不到《解释》所规定的侵犯公民个人信息犯罪的“罪量”条件或其他入罪门槛。且个人信息安全受到侵犯的公民大多只受到了名誉损害，因此揭露者的行为并没有引起重视，对于一些人来说反而是对其“揭露”行为的变相鼓励。但“人肉搜索”类的行为具有一定的煽动功能，会对被侵害人的生活造成严重影响，这类行为应当予以禁止，刑法也应当对此有所规定[20]。出于预防角度，在立法中，应当涉及关于侵犯公民个人信息的具体程度等级的认定，例如：根据公民个人生活的被扰乱程度进行分级，或根据公民因个人信息安全被侵犯而导致的心理、生理及物质损害的严重程度进行分级，从而判断“非法利用、散布、传播”行为是否应当被认定为刑事犯罪，对这些特殊行为进行合理规制。

4 结语

在大数据时代背景下，公民个人信息的获取愈加体现了渠道多样化、手段便捷化、内容广泛化等特点，法律能否有效保护公民个人信息不被泄露，一直以来都是社会关注的焦点。随着立法的不断完善，我国公民个人信息的刑法保护范围逐渐扩大，为更好地保护个人信息奠定了法律基础。随着公民信息内容的不断丰富，其内在价值也在不断提升，因此，为了适应打击侵犯公民个人信息犯罪的现实需要，应细化个人信息“分级”标准、扩大法律规制范围等方面，实现刑事立法政策对公民信息保护的全面化和系统化，以更好打击和预防侵犯公民个人信息犯罪，增强公民个人信息安全感。

[1]刘司墨.侵犯公民个人信息罪的司法适用探究——以两高最新司法解释为视角[J].天中学刊，2018，33（04）：32-42.

[2]中华人民共和国公安部官网：《公安部公布十起侵犯公民个人信息违法犯罪典型案件》https://www.mps.gov.cn/n 2254098/n4904352/c7140573/content.html.

[3]中国青年网：《2019网民网络安全感满意度调查总报告》http://news.youth.cn/jsxw/201909/t20190916_12069917.htm.

[4]中华人民共和国最高人民法院官网：《司法大数据专题报告之电信网络诈骗》、《司法大数据专题报告之网络犯罪特点和趋势（2016.1-2018.12）》http://www.court.gov.cn/fabu-gengduo-662.html.

[5]李川.个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入[J].中国刑事法杂志，2019（05）： 34-47.

[6]刘国华，沈杨.论侵犯公民个人信息犯罪的成因分析及其防治对策[J].黑龙江省政法管理干部学院学报，2019（04）： 14-18.

[7]最高人民检查院发布《侵犯公民个人信息犯罪典型案例》https://www.spp.gov.cn/spp/zxjy/qwfb/201801/t20180131_362951.shtml.

[8]中国人大网：http://www.npc.gov.cn/npc/ c30834/202010/569490b5b76a49c292e64c416da8c994.shtml.

[9]缪春华，殷思源.侵犯公民个人信息罪中“公民个人信息”认定的相关问题初探[J].上海公安学院学报，2019，29（06）：63-69.

[10]方郑鑫.论侵犯公民个人信息罪的定罪标准[J].武警学院学报，2020，36（07）：56-64.

[11]陈兴良.作为犯罪构成要件的罪量要素——立足于中国刑法的探讨[J].环球法律评论，2003（03）：275-280.

[12]让·雅克·卢梭.社会契约论[M].何兆武译.商务印书馆，1980：73.

[13]王秀哲.信息社会个人隐私权的公法保护研究[M].中国民主法制出版社，2017：180.

[14]王春燕.浅谈大数据环境下公民个人信息的法律保护[J].武警学院学报，2019，35（07）：44-48.

[15]孙靖珈.论刑事政策对侵犯公民个人信息犯罪的影响[J].铁道警察学院学报，2017，27（05）：85-91.

[16]胡艺林.从犯罪生成模式看毒品犯罪的治理[D].重庆：西南政法大学，2018.

[17]汪明亮.治理侵犯公民个人信息犯罪之刑罚替代措施[J].东方法学，2019（02）：16-28.

[18]周杰.侵犯公民个人信息罪中的信息分类[N].江苏法制报，2019-12-30（003）.

[19]蔡一润.我国个人信息分级制度探析[D].北京：中国人民公安大学，2020.

[20]刘龙月.侵犯公民个人信息行为的刑法规制[D].济南：山东大学，2018.