陈伟　熊波

 

　　近年来，侵犯公民个人信息类的刑事案件数量呈逐渐上升趋势，国双司法大数据中心利用其专属的文书解析技术，针对中国裁判文书网中2013年至2016年间涉及侵犯公民个人信息类刑事案件进行了数据分析得知，侵犯公民个人信息犯罪案件由2013年的76件激增到2014年的359件、2015年的421件以及2016年的437件，且其中80%的刑事案件中行为人将其获得的个人信息数据用于实施诈骗、敲诈勒索等众多违法犯罪行为。对此，在个人信息侵犯行为规范层面治理的对策研讨也在如火如荼的进行。“无行为则无刑罚”，行为要素的实质判断作为不法层面中构成要件符合性的前提阶段，在个人信息犯罪的初步认定环节中起着提纲挈领的作用。

 

　　刑法修正案（九）分别针对个人信息侵犯行为的主体认定、危害程度的细化规定以及窃取手段的严苛处罚进行了明确的规范评价。2017年5月9日最高人民法院、最高人民检察院颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）将购买、收受纳为侵犯公民个人信息犯罪的侵犯行为。至此，个人信息犯罪的侵犯行为模式存在“刺探型”“交易型”“泄露型”以及“利用型”四种类型化概念。但是，在现有理论探讨中，逐渐出现将“持有个人信息”的情形千篇一律地认定为“持有型”侵犯行为的观点，且该观点呈现出扩大化发展趋势。

 

　　侵犯个人信息的“持有”行为是指行为人对他人信息的实际支配起着关键性作用的行为，并且此种行为具备实质刑事违法性评价可能性的特质。为强化刑法实质正义观以及人权保障最大化价值，刑事司法者应当慎重对待个人信息犯罪中的“持有行为”，切不可囫囵吞枣，一概而论地将其同等化视之。有鉴于此，审慎对待个人信息犯罪的“持有行为”可从以下方面予以规范认定：

 

　　首先，侵犯个人信息的“持有行为”理应具有规范的实质违法性。依据罪刑法定原则，积极的入罪和消极的出罪都应当遵照刑法立法的文本规定。对于刑法规范的形式化认定，应当将其限定为文本对接工作的第一步，持有行为的本质认定环节还在于规范的实质违法性认定。基于此，从刑法规范的形式文本来看，对照刑法第253条之规定，持有行为不属于“窃取、出售、提供”中的任何一种，但是否可以视为“以其他方式非法获取”行为中的一种？单从刑法规范的形式化认定来看待，暂且可以将持有行为划归为侵犯个人信息犯罪行为中的一种。然而，从规范的实质违法性考察，高校、房地产、电信通讯、银行业、医疗卫生等机构的工作人员，由于其自身所管理的信息量巨大、种类繁杂以及信息流转环节的多重性，难以将持有行为与其职业行为的操作习性脱离开来。因而，针对特殊行业的信息持有行为无法实现构罪的违法性评价，上述类型的持有行为也并非一律认定为个人信息犯罪的侵犯行为。综上所述，可以得知，特定情境下的非法持有行为貌似可以从形式文本范式上实现行为违法性的对接，但透过持有行为背后的特殊“意境”，则无法实现实质违法性的规范评价。

 

　　其次，侵犯个人信息的“持有行为”应当牵涉到重大法益的关联性。众所周知，法益保护主义的规范评价作为犯罪行为非难谴责性的基础，其除了强调刑罚的可罚性之外，还在于对严重性危害行为的否定。刑事司法者应当将重大性法益的保护视为构成要件行为解释的原则性遵循，以此发挥刑法的谦抑性机能。重大法益作为抽象化概念认定，其势必需要从法益关联性和重大关联性两个角度进行具体解读：第一，对象的关联性。其要求将持有行为的对象限定为“通过非法途径而获得的个人信息”。对于正常途径搜寻个人数据的行为，例如“人肉搜索、引擎链接、履行职责”背后的信息持有行为，由于缺乏主观罪过的人身危险性要素涵盖，对象关联性评价便无从进行。第二，程度的关联性。法益作为法律评价、认定、保护的利益，在刑法视域，持有行为作为一种独立的行为方式，要求具有行为程度的限制，对于利用非法途径所获取信息的行为，应当有别于个人信息的“窃取、提供、出售”行为。因而，《解释》中的数量规定、牟利数额规定都应当审慎适用于“持有”行为要件。换言之，“持有”信息行为的两类定罪标准都应当远远高于“窃取、提供、出售”行为。

 

　　再次，侵犯个人信息的“持有行为”在云端平台下存在着本质的差异性。云端信息平台在特殊储存环境下，其具备虚拟操作交互性、信息高度聚合性、引擎搜索立体性。在此种“泛云端化”信息储存平台的特质下，个人信息的云端持有行为也有了特殊视角。一是，从微观视角上看，信息引擎的链接引入行为不应当作为个人信息持有行为。在云端平台下，链接的一键式信息操控，极易出现信息笼统化转移。例如，在利用“百度云”“Cloud”实现链接化的信息转移过程中，也掺杂着大量的个人信息。但由于一键式引擎链接储存的快捷性，因此，对于此种持有行为则不能将其认定为一种侵犯公民个人信息罪间接故意的持有行为。二是，从宏观视角上看，云端系统创建平台的管理、服务以及维续行为不应当视为个人信息的持有行为。云端信息平台作为一种盈利性物联网产业下的新型“场域”，其不仅存在着云端平台的使用者，还有兼顾管理、服务与秩序维持于一体的所有权人。因而，作为云端信息平台的所有权人，不应当将其对使用者刺探、窃取、购买、收受所得来的云端储存信息的管理、运行行为视为自身的一种持有行为，否则有失实质公正、理性价值之评判。

 

　　最后，侵犯个人信息的“持有行为”状态应当具备自身特质的危害性。如果将侵犯个人信息的持有行为纳入罪名的侵犯行为包含要素的话，持有型犯罪作为一种典型的静态性、持续性的状态犯，其应当区别于动态性的、间续性的犯罪行为。审视持有型犯罪的立法体例，持有行为的状态具备其自身的特殊属性。具体包括：

 

　　1.持有行为对象的潜在与重大危险。持有行为的非难基准在于行为人实施法律所禁止的行为，而并非是应当排斥消极承担特定义务的行为，并且该种积极的持有行为所带来的潜在风险是巨大而无法弥补的。例如，非法持有宣扬恐怖主义、极端主义物品罪，非法持有枪支、弹药罪，非法持有国家绝密、机密文件、资料、物品罪，非法持有毒品罪。因而，随意将个人信息的持有行为一律视为持有型犯罪的种类并非权宜之计。持有信息后的危害状态在某种特定情形下可以恢复。譬如，固态移动硬盘中的个人信息数据，此类持有行为便不再是侵犯公民个人信息罪中的持有行为；但针对“云端平台”信息的持有行为所造成的信息泄露，由于既存空间的无限物理边界，其潜在的危害仍同非法持有宣扬恐怖主义、极端主义物品的行为状态一样，具有危害结果的潜在性、蔓延性，其应当归结为一种特殊情境的持有行为。

 

　　2.持有行为对象的虚假性与禁止流通性。持有对象本身的虚假性并非是持有型犯罪包含的唯一要素，持有行为针对的对象虚假性并不值得刑罚处罚。比如，持有盗版书籍、劣质产品、假药劣药等行为并不是犯罪行为。在对象虚假性的基础之上，仅在持有对象具备的持续流通可能性的境况下才值得刑法科处。由于持有的盗版书籍、劣质产品、假冒食药通常并不会持续到下一步的流通环节，因而，刑法并未将其作为一种持有型犯罪行为。但持有假币罪以及持有伪造信用卡、发票的行为，作为其对象的“假币”“伪造信用卡、发票”本身不仅凸显虚假特性，而且具有较强流通性以及流通后对金融秩序的严重破坏性，基于这点考虑，持有个人信息行为在此种特性下，便无法探寻其在刑法体例的立足根基。

 

　　3.持有行为主体的特殊职责与强制处断。持有行为不仅在于对持有对象进行一番考究，还在于考究持有行为主体的特殊职责性。持有型犯罪的典型罪名有巨额财产来源不明罪，该罪名被刑法规制的法理根基在于国家工作人员对自身的财产、支出明显超过合法收入且差额巨大，却不能说明其合法来源的利益而持有的行为。这体现了持有行为的特殊职责性和强制处断，但是否个人信息犯罪的持有行为也应当如此？正如前述，侵犯公民个人信息犯罪的持有行为并不能类型化、概括化判断，针对特定职责履行或者服务过程中的个人信息出售、提供行为，由于其自身的职责特殊性，不仅作为入罪的基本行为，还被视为从重处罚的特殊情节。但针对持有个人信息行为的主体特殊性，其本身除了前述的持有信息量较大的特定情形外，还存在着持有行为显著的外化性。概言之，职责的履行过程或者服务过程就是一种持有行为的外化状态。因而，个人信息犯罪的持有行为不同于巨额财产来源不明罪中的持有行为，前者的持有状态也是由于主体的特殊职责而具有普遍性和通常性，但这并不能作为一种持有型犯罪。

 

　　总而言之，侵犯公民个人信息罪的“持有行为”是否可以作为一种持有型犯罪，与“刺探型”“交易型”“泄露型”以及“利用型”个人信息犯罪同等处置？这还应当经历精确的定位以及缜密的推敲。在风险社会不特定因素渗透于日常生活之际，我们不应当无视持有行为所造成的大量个人信息泄露而导致的严重危害结果这一客观境地，但也应当怀揣着审慎的心态去看待前述几种特殊情形。

 

　　（作者分别为西南政法大学法学院教授、西南政法大学青少年犯罪研究中心研究人员）