宽严相济刑事政策视野下公民个人信息的刑法保护

沐 玲

(曲靖师范学院 法律与公共管理学院，云南 曲靖 655011)

随着时代变迁和技术的不断进步，刑法在立法和司法层面对个人信息的保护内容和模式也在发生着变化，然而与实践中日益复杂的个人信息犯罪类型和模式相比，刑法仍面临着立法滞后和司法裁判过于谨慎和僵硬的困境。在传统社会中形成的刑法规范随着时代的变迁在应对新问题上显得捉襟见肘，引起刑法学界开始重视利用刑事政策来指导刑事立法和刑事司法。信息时代、大数据时代的到来使传统的个人信息犯罪形态和结构发生了巨大的变化，在这样的时代背景下，运用我国宽严相济的基本刑事政策来指导个人信息的刑事立法与刑事司法，对于惩治个人信息犯罪，保护公民个人信息权具有十分的重要意义。

一、宽严相济刑事政策的提出

我国基本刑事政策依据历史发展和我国所处的阶段，具有不同的内涵和很强的时代性。在新中国成立初期，面对敌对势力妄图颠覆国家政权、推翻社会主义制度的狼子野心，毛泽东在1950年6月6日的七中全会报告中提出“对一切危害人民群众的反革命分子，必须实行镇压与宽大相结合的政策”。1956年，立法者认为刑事政策调整的对象还应扩大，不仅应包括反革命分子，还应包括反革命分子以外的其他犯罪分子，因此将我国的刑事政策由“镇压与宽大相结合”修改为“惩办与宽大相结合”。1979年，我国制定的第一部《刑法》中，第一条就明确提出了我国的基本刑事政策为“惩办与宽大相结合”。至此之后，我国开始进入“改革开放”的重要历史阶段，在这一时期，新中国的政治、经济、文化和其他各项事业都取得前所未有的发展和进步，与此同时我国的社会治安状况却急转直下，犯罪率达到新中国成立后的第一个高峰，因此为了巩固改革开放所取得的成就、维护社会稳定团结、有效惩治和震慑犯罪，“严打”的刑事政策在这一时期被提出，即对严重犯罪要依法从重从快惩处。“严打”政策虽然在快速提升民众安全感和加强我国法治建设中起到了良好的作用，但由于其出现了一些“轻罪重罚”的罪行不均衡现象，我国并不认为其属于我国的常规刑事政策。但实际上，“严打”政策作为客观事实存在，在很长一段时间成为了我国一项具体的刑事政策。[1]2004年9月，我国提出“构建和谐社会”的目标，党中央最高司法机关提出了“宽严相济”的刑事政策，随后2010年最高人民法院在深入调查、广泛征求意见的基础上，制定了《最高人民法院关于贯彻宽严相济刑事政策的若干意见》，由此确立了宽严相济刑事政策成为我国当前乃至今后很长一段时间的基本刑事政策。不同历史时期我国刑事政策的变化实质也是我国应对风险的过程，虽然基本刑事政策的内涵会因时代的不同而进行调整和改变，然而刑事政策作为指导刑事立法、刑事司法和刑事执法的政策，也决定了刑事政策必须具有相对的稳定性，不能朝令夕改。我国目前仍处于社会主义初级阶段，即使随着近几年我国经济的腾飞和科技的高速发展使得我国正逐渐进入风险社会，宽严相济的刑事政策仍然是适应我国当下时代和社会发展必须坚守的基本政策。

“宽严相济”的刑事政策作为我国的基本刑事政策，不是“宽大政策”和“严厉政策”的简单结合，而是宽与严相互协调、调和的政策，即通过宽与严的良性互动、相互调和，来实现刑罚效益最大化。宽严相济刑事政策是我国在新时期科学判断时代发展与犯罪态势关系的基础上做出的新思考和提出的新理念，具有很强的时代意义，根据其指导刑法内容的不同可以分为“刑事立法的刑事政策化”和“刑事司法的刑事政策化”。[2]在宽严相济的刑事政策中，“宽”是指宽大、宽恕、宽宥；“严”是指严格、严厉、严密；“济”指的是救济、协调、结合。宽严相济刑事政策指代的具体内容就是“该宽则宽，该严则严，宽严互相协调”，但宽严相济的核心在于“济”，即“以宽济严、以严济宽”。[3]宽严相济的刑事政策从其提法就可以看出，立法者是将“宽”放在了刑事政策的第一位，这是与建立和谐社会的目标相适应的，说明我国现行刑事政策侧重于宽缓化，以宽大来调和刑罚的严厉。

由此可知，根据我国所处的历史时代，结合当下预防和惩治犯罪的需要，宽严相济基本刑事政策的出台为刑法立法的制定和刑法司法适用指明了方向。我们只有坚守宽严相济这一基本刑事政策，灵活把握宽严之度，并在适当的时候“以宽济严”或者“以严济宽”，才能有效调和社会稳定和犯罪增长之间的矛盾，更好地实现构建我国的和谐社会，维护社会的公平正义的目标。

二、公民个人信息刑法保护应贯彻宽严相济的刑事政策

宽严相济刑事政策作为我国当前时代必须贯彻和执行的基本刑事政策，其最大的现实意义在于对不同的犯罪行为和主体进行区别对待，这样才能从能用较小的司法资源，收到较大的遏制和预防犯罪的社会效果。即任何具有严重的社会危害性，具有刑事违法性，应受到刑罚处罚的犯罪行为都可以在“宽严相济”的结构内找到一个符合罪行均衡原则的位置。具体到个人信息犯罪领域，刑法对侵犯公民个人信息犯罪的惩治也应贯彻宽严相济的基本刑事政策。

(一)个人信息保护的刑法立法和刑法司法应贯彻宽严相济刑事政策

宽严相济刑事政策中“宽”在立法和司法上体现为非犯罪化。即对于那些本应作为犯罪予以处理的行为，根据社会发展的具体需要，就不再作为犯罪进行认定处理。宽严相济刑事政策中的“严”则立法上表现为刑法作为保护正常社会秩序的最后一道屏障，必须编织起严密的刑事法网，对于刑法中明确规定的犯罪行为，应该给与相应的刑罚处罚。应该说倡导“严”与倡导“非犯罪化”实际是并不矛盾的，因为在任何时候和任何情况下，非犯罪化都是以犯罪化为前提条件的。从宽严相济刑事政策的实现上看，刑法领域目前更加提倡立法和司法上的“非犯罪化”。[4]但在我国刑事立法层面，实现非犯罪化的空间并不大，因此我国主要从司法层面入手来实现非犯罪化。而司法层面的非犯罪化应以“规范性文件”的出台为依托。具体到刑法领域对个人信息保护的规定，我国《刑法》第253条之一专门出台了“侵犯公民个人信息罪”，并于2015年又出台了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息犯罪的司法解释》)，应该说上述法条和司法解释的出台，为实践中侵犯公民个人信息犯罪案件的罪与非罪、诉与不诉、判与不判提供了明确的规定，这对于贯彻宽严相济刑事政策具有十分重要的意义。举例来说，《个人信息犯罪司法解释》第10条就有规定：“实施侵犯公民个人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚”。这就是刑法司法上对个人信息犯罪贯彻宽严相济刑事政策的具体规范依据。因此，在实践中对于侵犯公民个人信息的犯罪行为，只有依据罪刑法定原则，严格按照刑法立法和刑法司法的规定，对构成侵犯公民个人信息犯罪的行为依法追究刑事责任，对情节轻微，危害不大的犯罪行为，依法作出不起诉或者从宽处罚的决定，才能使宽严相济刑事政策在个人信息保护的刑法立法和司法活动中的得到切实的贯彻与执行。

(二)个人信息犯罪的刑罚裁量中应贯彻宽严相济的刑事政策

刑罚裁量就是确定犯罪人究竟应受到什么样的处罚。宽严相济刑事政策要求对刑事犯罪应根据轻重不同，对重罪予以重罚，对轻罪予以轻罚，即使对于严重的犯罪，如果符合法定从宽条件的，也应当依法从宽处理。刑罚裁量对宽严相济刑事政策的贯彻实质就是坚持罪刑均衡原则。[5]具体到个人信息犯罪的刑罚裁量，要贯彻宽严相济刑事政策，就必须对侵犯公民个人信息犯罪的犯罪情节、犯罪主体、犯罪造成的严重后果、犯罪人主观方面的恶性、犯罪的停止形态、犯罪人的认罪、悔罪等方面严格区分各种界限。即对于犯罪情节区分情节特别严重、情节严重和情节轻微；对犯罪主体应区分主犯、累犯、惯犯与从犯、初犯、偶犯；对犯罪后果区分严重程度；对主观恶性区分大小；对犯罪的既遂与犯罪的预备、未遂和中止进行区分；对犯罪人有无认罪和悔罪的表现进行区分。对上述界限的区分就是宽严相济刑事政策在刑罚裁量中的具体体现。在个人信息犯罪的刑罚裁量活动中，只有准确区分和把握上述界限，才能实现对宽严相济刑事政策的贯彻。

(三)个人信息犯罪的刑罚执行中应贯彻宽严相济的刑事政策

刑罚的执行，针对的是行为已经构成犯罪被依法判处刑罚的犯罪人，将他们判处刑罚的内容付诸实施。刑罚执行阶段对宽严相济刑事政策的贯彻要求将减刑、假释制度和非刑罚的方法落到实处。具体到个人信息犯罪领域，对于那些侵犯公民个人信息并被追究刑事责任、判处刑罚的犯罪人，不仅应对其判处的刑罚种类，包括非刑罚处理方法，认真贯彻落实，还应该在此基础上准确评估犯罪人的人身危险性、再犯可能性以及改造的效果，对于符合减刑、假释条件的犯罪人应按规定应给予减刑和假释。

综上，对于实践中发生的侵犯公民个人信息的犯罪行为，刑法要实现对这类犯罪行为的有效预防和惩治，不仅要接受宽严相济基本刑事政策的指导，而且在制刑阶段、量刑阶段和行刑阶段也要保证对这一基本刑事政策的贯彻和执行，这对于刑法保护公民个人信息具有十分重要的现实意义。

三、宽严相济刑事政策在公民个人信息刑法保护中的具体运用

信息和网络通讯技术高速发展的时代，个人信息所具有的巨大价值被不断发掘，由此造成我国公民个人信息被泄露和侵害的案件呈高发和增长态势，这给公民个人的人身和财产安全带来极大的威胁。因此，在公民个人信息保护的非刑事法律规范和措施不足的情形下，刑法不得不优先承担起保护公民个人信息的重任，并因此成为个人信息保护过于倚重的法律。从2009《刑法修正案(七)》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名，直接将个人信息犯罪纳入刑法规制的范畴，到2015年我国《刑法修正案(九)》对上述两个罪名进行修改，并将其由两个独立的罪名合并为一个罪名“侵犯公民个人信息罪”，再到最高人民法院、最高人民检察院对个人信息犯罪出台专门的司法解释，刑法已成为个人信息保护的最主要手段和措施。通过刑法领域对个人信息保护的法律规范，可以看出，刑法对个人信息的保护体现了从严的刑事政策取向，具体体现在《刑法修正案(九)》将“侵犯公民个人信息罪”的犯罪主体由特殊主体扩大为一般主体，最高法定刑由“三年以下有期徒刑”修改为“三年以上七年以下有期徒刑”。而且，随着我国2017年《网络安全法》的出台，其不仅对个人信息的定义进行界定，而且很多条款涉及到对个人信息的保护；我国《民法典》也制定专门条款对个人信息进行保护，《刑法》作为个人信息保护过于倚重的法律，其弊端也在不断凸显。因此，在当下社会，刑法在治理个人信息犯罪的时候，应在我国宽严相济刑事政策的指导下，在刑事法律规范基础上作出合乎社会价值和现实状况的事实判断选择。

(一)在刑事立法上的运用：严密刑事法网

我国在治理侵犯公民个人信息犯罪行为时存在刑事立法“严而不厉”的现象，具体表现在对非法利用个人信息的行为缺乏足够的认识和重视，可能导致“本质上对法益侵害有支配力的人不必负责，本质上对于不法侵害没有支配力的人却要负责”。[6]面对大数据时代下个人信息犯罪发展的新态势，将新的犯罪类型及时补充到现有的刑法框架和体系中，用以解决传统刑法对新出现的犯罪行为无法进行有效规制的局面，是时代发展的必然要求。因此，我们对个人信息保护的理论和立法，更应重视对个人信息利用环节的考量，而并非个人信息的收集和加工环节。我国刑事领域对侵犯公民个人信息犯罪的打击重点也应从“非法提供”“非法获取”环节转移到“非法利用环节”，而将非法利用公民个人信息行为予以独立入罪，正符合刑法对个人信息犯罪链条由个人信息“产生、收集、加工、利用”的整个环节的治理。因此，笔者认为，个人信息的非法利用环节将会成为侵犯公民个人信息犯罪链条的核心环节，将其作为侵犯公民个人信息罪的一个类型对其进行独立的刑法评价，是严密个人信息刑事法网的必然要求。

(二)在刑事司法上的运用：实现罪刑均衡

侵犯公民个人信息罪的出台，使得刑事立法对公民个人信息的保护开始步入正轨。与此同时，为了使司法实践中对公民个人信息犯罪的定罪量刑有统一的衡量标准，我国在2017年6月1日出台了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息司法解释》)，《个人信息司法解释》第五条规定了“十种”情节严重的情形、规定了“四种”情节特别严重的情形，在第六条规定了“为合法经营活动而购买、收受公民个人信息”情节严重的情形，在第十条规定了侵犯公民个人信息罪“从宽处罚”的情形。应该说，《个人信息司法解释》的出台，细化了侵犯公民个人信息罪成立的情节，使司法机关在认定和处理该罪时更容易把握和进行操作。

然而，通过对《个人信息司法解释》规定的进一步探究，笔者发现其仍然存在入罪标准过低、认定规则无序等问题。例如《个人信息司法解释》第五条对于“信息数量”的认定标准，最低只要求50条，如果是利用身份的便利条件获得的，只需要达到25条，这样低的数量标准与实践中出现的动辄上万条、几十万条甚至几百、几千万条公民个人信息受到侵害的案件相比，入罪门槛过低，必然导致司法实践中此种犯罪数量大增，在我国司法资源不足的情况下，容易造成选择性执法，进而引发司法不公。从“违法所得”来看，仅5000元的违法所得、甚至2500元的违法所得即可入罪，这样低的标准与其他更为严重的犯罪(如贪污罪、受贿罪)的处罚而言，其入罪标准过于苛刻，容易造成罪与罪之间的刑罚失衡。

由此可知，《个人信息司法解释》的出台，使得侵犯公民个人信息罪“情节严重”的标准得到细化，使侵犯公民个人信息罪的定罪量刑更加明确，然而《个人信息司法解释》对侵犯公民个人信息犯罪的认定在“情节严重”的具体标准方面并没与实现刑事立法与刑事司法的之间的协调。为了使我国在司法实践中能正确适用刑事立法关于“侵犯公民个人信息罪”的规定，对《解释》的每一项规定还需进一步探究，并对司法实践中实际发生的案件进行调研、分析、总结，以期形成科学的定罪量刑体系，用以指导司法实践中对公民个人信息犯罪案件的正确治理，达到刑事政策要求刑罚体系“宽严适当、宽严相互协调”的要求。

(三)在刑事执法上的运用：多部门协同、联合执法

宽严相济刑事政策要求各执法部门在打击和制裁侵犯公民个人信息的犯罪案件时，形成多部门协同联动，联合执法。在“侵犯公民个人信息罪”出台以后，公安机关将公民个人信息犯罪案件的治理提上日程。2017年间，公安部相继发布了“侵犯公民个人信息犯罪的典型案例”。2020年，公安部又公布了2019年公安机关侦破的10起侵犯公民个人信息违法犯罪的典型案例。与此同时，各地公安也纷纷对公民个人信息的违法犯罪活动进行专项整治，取得较好成效，在一定程度扼制了此类犯罪的高发态势，有效保护了民众的个人信息安全。

然而，众所周知，个人信息犯罪现在已经形成了完整的黑色利益链条。对于犯罪分子而言，一方面收集和获取个人信息的途径和方式很多，例如网络黑客的大规模盗取个人信息，各类服务行业的“内鬼”非法收集个人信息，这些途径使得犯罪分子获取信息的成本非常低廉。另一方面，信息的共享性特点，使得个人信息能被犯罪分子重复出售，被多个犯罪主体交换、转让和使用，用以牟取暴利。这样的情形导致实践中个人信息违法犯罪活动仍然十分猖獗。针对个人信息犯罪涉案链条长，违法成本低，监管空白多，网上网下衔接困难等突出特点，单纯依靠公安机关一家是无法对该类犯罪进行根治性打击的。因此，多部门协同、联合执法才能彻底有效地查处和惩治个人信息犯罪类案件。

第一，多部门协同、联合执法是信息社会治理个人信息等网络新型违法犯罪的必然选择。2016年，国务院批准成立打击治理电信网络违法犯罪工作部际联席会议制度，成员单位有公安机关、检察院、法院、工信部、中国人民银行等23个部门和单位，形成打击治理电信网络诈骗“信息共享、合成作战、快速反应、整体联动”的良好执法局面。[8]据调查，电信网络诈骗案件的背后元凶正是公民个人信息的泄露，个人信息犯罪已成为电信网络诈骗的上游犯罪。因此，在国务院打击治理电信网络违法犯罪工作部际联席会议制度的推动下，各部门也应对个人信息犯罪高度重视，形成多部门联动协同、合成作战的良好态势，这样才不仅能有效遏制个人信息犯罪，也能从源头治理电信网络诈骗犯罪。

第二，多部门协同、联合执法能确保个人信息涉案证据材料的连贯和完整，使犯罪分子的刑事责任能被有效追诉。我国《刑事诉讼法》6条规定，公、检、法机关进行刑事诉讼，必须以事实为根据，以法律为准绳。以事实为根据，就是必须以查对属实的证据作为认定案件事实的根据。以法律为准绳，就是必须以刑法等法律规定为标准来定罪量刑，处理案件。为了能有效追究犯罪分子的刑事责任，公检法机关在办案时就必须形成扎实、确凿的证据材料，使得犯罪分子在证据面前难以狡辩、认罪伏法。如前所述，个人信息犯罪往往与网络关系密切，犯罪分子实施窃取、非法获取、非法买卖个人信息的犯罪行为几乎都是通过网络完成，有些是线上线下结合实施犯罪，这样就给证据的收集带来很大困难，单纯通过公安机关来收集证据很难形成确实充分的证据链条。在实践中，每一个侵犯公民个人信息的犯罪分子最终能被绳之以法，离不开公安机关在侦查阶段的证据收集，检察机关在审查起诉阶段对证据的补充，法院在审理阶段对证据的认定，以及其他部门例如网络技术部门对上网痕迹的保存，银行对转账记录的提供。

第三，多部门协同，联合执法能形成多部门之间相互监督的良好氛围。宽严相济刑事政策要求执法必严、违法必究。多部门协同不仅能提升执法的效率，还能确保各部门之间形成相互监督的良好执法氛围，使个人信息犯罪案件在诉讼各个阶段都得到公平公正的处理，有效杜绝徇私枉法等情形，使犯罪分子获得公正的定罪与量刑。

总体而言，犯罪总是随着时代变迁而不断发生变化。我国自从进入大数据时代，公民个人信息犯罪也在不断发生新的变化。面对当前时代背景下保护公民个人信息的新命题，我国刑事政策的使命之一就是对现存的刑事制度进行审视并提出改善的建议，以更好地应对大数据时代出现的犯罪嬗变。以我国宽严相济刑事政策为基本导向，对刑事立法和司法在治理侵犯公民个人信息犯罪方面的具体表现进行审视，并有效贯彻宽严相济刑事政策的基本精神，对我国预防和治理公民个人信息犯罪将发挥重要作用。