来源:《法律适用》,2019年第9期。
作者:李静然,武汉大学法学院博士研究生,最高人民法院刑五庭审判员;王肃之,最高人民法院第二巡回法庭法官助理。
【摘要】 《刑法》第253条之1侵犯公民个人信息罪采用了“情节犯”的立法模式,引发了一定的理论争议和实践分歧。在现有司法解释的基础上对该罪的情节要素进行系统地梳理和归纳,形成科学完整的情节要素体系,构建合理的个人信息数量认定标准,有利于侵犯公民个人信息罪的定罪量刑走向科学化、规范化、均衡化。
《中华人民共和国刑法》(以下简称《刑法》)253条之1侵犯公民个人信息罪在定罪量刑标准上均采用了“情节犯”的立法模式。但是,实践中情节犯最突出的问题就是内容和标准的模糊性。对于本就十分复杂的侵犯公民个人信息罪而言,“情节犯”的模式更使其认定存在较大的不统一性。由此,在现有司法解释和司法实践的基础上进行归纳和分析,从情节要素和数量标准认定两个层面确定侵犯公民个人信息罪的定罪量刑标准,具有重要的理论和实践意义。
一、引言
随着信息社会的发展,侵犯公民个人信息的行为愈演愈烈,《刑法》也在不断新增和完善打击侵犯公民个人信息犯罪的条款。2009年,通过《刑法修正案(七)》,在《刑法》253条之1增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年,通过《刑法修正案(九)》,将“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”调整为“侵犯公民个人信息罪”,并对其规定进行系统的完善,将犯罪主体扩大至一般主体,修改了犯罪的特定条件,对于特殊主体予以加重处罚,并提高了刑罚处罚区间。这些修改及时适应了该类犯罪的发展变化趋势,有利于实现《刑法》对个人信息的全面、有效保护。
然而,即便《刑法》作出如上修改,仍未解决侵犯公民个人信息罪认定和处罚上的一个基本问题—“情节严重”的理解与适用。情节犯是指以概括性定罪情节作为犯罪构成要件所决定的犯罪类型。对于(狭义)情节犯的理解,刑法学界的共识是“必须以特定情节(如严重情节、恶劣情节等)作为犯罪成立标志的犯罪形态”。也有论者认为“情节犯还包括以‘数额较大’‘数量较大’‘造成严重后果的’‘后果严重的’‘造成重大损失’‘致使国家利益遭受重大损失’‘严重损害股东或其他人利益的’等等为犯罪构成要件的犯罪形态,这可以称为广义的情节犯”。侵犯公民个人信息罪更是直接规定了“情节严重的”“情节特别严重的”等具体情节内容,无疑是典型的“情节犯”。但是,对于“情节严重的”“情节特别严重的”的理解与适用,当时司法实践中并未形成统一、科学的认定标准。
情节犯中的“情节严重”作为一种综合性规定,本身只有一个大致范围,没有明确的界限,故而具有一定的模糊性。由于情节犯的表述的模糊性,由此引发其与刑法明确性原则是否相冲突的问题。但也有学者指出,情节犯的特点之一就是刑法规范中“情节严重”或者“情节恶劣”内涵的模糊性,而这种模糊性并不完全是立法者被动选择的结果,恰恰相反,在有些情况下,正是基于特定历史阶段的刑事政策的考虑,立法者主动地、积极地选择并利用刑法规范的模糊性以实现其立法目标。对于侵犯公民个人信息罪而言更是如此,由于个人信息的内涵变迁与范畴变化,立法难以在保持定罪标准精准性的基础上维持长久的适用性,因而选择情节犯作为其构罪标准就显得顺理成章,并将这一问题交由司法解释解决。由此,通过司法解释等方式,选择合理的判断模式,明确该罪的具体情节判定要素,并且采用具体、科学的具体判断标准,是有效治理侵犯公民个人信息犯罪的必然选择。
为指导司法实践,2013年最高人民法院、最高人民检察院、公安部颁布了《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《侵犯个人信息犯罪通知》);2017年最高人民法院、最高人民检察院颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯个人信息犯罪司法解释》)。特别是《侵犯个人信息犯罪司法解释》,较为系统、全面地规定了侵犯公民个人信息罪的情节内容,有利于该罪司法适用标准的明确化、规范化。然而,《侵犯个人信息犯罪司法解释》颁布后,关于该罪情节认定的一些问题仍未得到彻底地解决,有待于进一步研究。例如,该司法解释第5条采用了四个维度的情节评价方式,包括:第一,侵犯个人信息的数量维度(50条、500条、5000条);第二,侵犯个人信息的获利金额维度(5000元);第三,与他人犯罪的关系维度(行踪轨迹信息被用于犯罪;明知他人犯罪为其提供个人信息);第四,前科维度(曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚的)。而这四个维度中有的系定性维度,有的系定量维度,如何对不同性质、不同适用范围的情节予以认定仍需探讨;如何认定构成个人信息的“条”,从而准确适用数量标准也需要进一步明确。
例如,在杜立明、冯丹侵犯公民个人信息案中,“2015年下半年以来,被告人杜立明利用其为河北顺丰速运有限公司员工的便利条件,自己获取一部分公民个人信息,并向被告人汪甜蜜、***龙等顺丰公司内部工作人员购买公民个人信息,同时还向被告人刘淘女、杨灿等人购买公民个人信息,再通过QQ邮箱卖给被告人杨峰、曹卫雄、白国良、魏彦斌、杨盼等人以获取非法利益⋯⋯经查,在杜立明QQ邮箱中查获52封邮件,总计19965条公民个人信息。经对杜立明微信账单情况进行统计,其出售公民个人信息违法所得为16万余元”;最终“被告人杜立明犯侵犯公民个人信息罪,判处有期徒刑三年,并处罚金人民币二十万元”。而在邹春隆、李洪仓等侵犯公民个人信息案中,“2012年11月至2017年初,被告人邹春隆在互联网架设‘中国黑防联盟’(× ×)社工库论坛网站,并在该网站发布其非法获取的公民个人信息数据供网站注册会员免费下载。2016年2月,邹春隆以牟利为目的,开通充值付费服务,并将公民个人信息数据存放在其百度云盘sho × × × @ hkc5.com、 adm × × × @ hkc5.com和小鸟云盘www.haina99.com内,供网民下载,同时建立‘黑防联盟’VIPQQ群(群号588986146),在该‘群文件共享’中存放公民个人信息数据下载链接供网民下载。公安机关从邹春隆处扣押4TB的公民个人信息数据约1000000000条。邹春隆通过“中国黑防联盟”论坛网站出售公民个人信息,非法获利人民币71091元”;最终“被告人邹春隆犯侵犯公民个人信息罪,判处有期徒刑四年,并处罚金人民币三十万元”。
在以上两个案件中,邹春隆侵犯的公民个人信息约1000000000条,杜立明侵犯的公民个人信息为19965条,二者在数量上有天壤之别,而最终邹春隆被判处有期徒刑4年,杜立明被判处有期徒刑3年,刑期差距并不大。此外,邹春隆出售公民个人信息违法所得为16万余元,最终被判处罚金人民币20万元,杜立明出售公民个人信息非法获利71091元,却被判处罚金人民币30万元,获利较少的行为人被判处罚金的数额反而更高。这两个案件均系在《侵犯个人信息犯罪司法解释》颁布后作出裁判,说明如何认定侵犯公民个人信息罪的情节要素与数量标准仍有待进一步探讨。
二、情节要素的内容层次
2013年《侵犯个人信息犯罪通知》虽未规定具体的定罪量刑标准,但对侵犯公民个人信息罪的“情节严重”标准作出提示性规定。2017年《侵犯个人信息犯罪司法解释》除了在第5条围绕前述“四个维度”作出“情节严重”的要素规定外,还在第6条就合法经营活动收受个人信息的“情节严重”标准作出补充规定。此外,《侵犯个人信息犯罪司法解释》第5条还就“情节特别严重”作出规定,其中规定新的情节内容的有两处:“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”,以及“造成重大经济损失或者恶劣社会影响的”。从情节要素内容的规定来看,《侵犯个人信息犯罪司法解释》显然更为细致和全面,但是也存在体系性、科学性不足的问题,需要进行深入分析。
我们认为,除了应基于罪责刑相适应的原则来筛选和优化侵犯公民个人信息罪的情节要素内容之外,也应基于侵犯公民个人信息罪情节要素的适用范围来确定内容层次。实际上,侵犯公民个人信息罪的情节要素并非均可以适用于所有类型的犯罪,比如侵犯公民个人信息数量就不适用于以数万元金额购买特定公民个人特定敏感信息的案件。由此,以下要素应作为侵犯公民个人信息罪的重点评价范畴:违法所得数额、严重社会后果、行为人再犯次数,以及侵犯的个人信息数量、造成受害人损害的大小。不过需要在此基础上进行划分,区分两个层次来认定侵犯公民个人信息罪的情节要素内容:即适用于全部侵犯公民个人信息罪的情节要素和适用于部分侵犯公民个人信息罪的情节要素。
(一)适用于所有侵犯公民个人信息罪的情节要素包括违法所得数额、严重社会后果和行为人再犯次数,不论该行为侵犯的系多数公民的个人信息还是特定公民的个人信息。
第一,违法所得数额。侵犯公民个人信息罪往往与经济目的相联系。德国《联邦数据保护法》第44条规定的刑事处罚的前提之一即“为获取报酬,为自己或他人谋取利益⋯⋯”。我国《刑法》253条之1侵犯公民个人信息罪虽未明确规定应具备牟利目的,但是该目的无疑为实施侵犯公民个人信息犯罪的最主要动因。《侵犯个人信息犯罪通知》表述为“违法所得数额较大”。《侵犯个人信息犯罪司法解释》也认可违法所得数额为情节要素,在第5条将“违法所得五千元以上的”规定为“情节严重”的情形。特别是在行为人侵犯特定公民特定敏感个人信息的情况下,除了基于人身安全的考量,违法所得数额更是成为对行为人处罚的重要依据。例如,常某非法获取公民个人信息案中,“2012年4月期间,委托人刘某委托‘三晋龙城商务信息咨询公司’要求调查其情人谭某的情况,并提供其情人谭某的基本信息、谭某手机中的4个经常联系人手机号码、谭特定人照片、常住地等信息。在确定价钱后,被告人常某伙同牛志江、张惠平三人在甘肃省徽县内对谭某进行跟踪调查,并利用非法手段进行手机号码定位、号码机主调取、拍照摄像。后常某及同伙牛志江、张惠平将调查结果信息出售给委托人刘某,非法获利20000元。”[8]在该案中,尽管行为人只是侵犯了谭某特定个人的行踪轨迹信息,但是获利数额巨大,在认定处理的过程中应充分考虑。
第二,严重社会后果。侵犯公民个人信息罪在实践中往往也涉及众多主体。在此意义上,“群体性是侵犯公民个人信息罪的核心特征”。《侵犯个人信息犯罪司法解释》对此也予以认可,将“造成重大经济损失或者恶劣社会影响的”作为“情节特别严重”的情形之一。该罪往往涉及多数公民的敏感个人信息,不仅会影响人身层面、财产层面的公共安全,也会影响社会秩序。2018年8月28日,一张有关“出售华住旗下所有酒店数据”的网帖截图在网络上大范围传播,图片内容显示,约1.23亿条华住官网注册资料、1.3亿条用户身份信息和2.4亿条酒店开房记录被盗,合计近5亿条用户数据疑被泄露,由此引发了巨大的社会关注甚至担心。这也表明侵犯公民个人信息罪不仅应作为侵犯个人法益的犯罪予以打击,也需要考虑其社会影响。
第三,行为人再犯次数。随着信息网络的发展,信息的传输和处理愈发便捷,完成信息交互的成本和时间愈发减少,行为人往往多次实施侵犯个人信息的犯罪,以达到个人目的。对此《侵犯个人信息犯罪司法解释》予以充分重视,在第5条和第6条中均规定将“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”作为“情节严重”的情形之一。有学者认为“‘多次’的界定应以三次以上为宜”。我们认为《侵犯个人信息犯罪司法解释》的规定更为恰当,不仅体现了对于行为人多次实施侵犯公民个人信息行为的有力打击,也体现了行政法与刑法的有效衔接。需要指出的是,构成《侵犯个人信息犯罪司法解释》中上述规定情节的前提须是行为人已经受到处罚,如果未受到处罚则应作为犯罪情节予以整体评价。
(二)适用于部分侵犯公民个人信息犯罪的情节要素包括侵犯的个人信息数量和造成的受害人损害。需要明确得是,侵犯的个人信息数量同样适用于侵犯多数公民个人信息的犯罪,造成的受害人损害仅适用于侵犯特定个人信息的犯罪。
第一,侵犯的个人信息数量。这一情节要素是理论界和实务界最为关注的。如有观点认为“情节严重一般是指,因出售、非法提供、非法获取公民个人信息获利数额较大、出售或非法提供多人信息⋯⋯”[11]或者“情节严重”是指“公民个人信息的具体数额⋯⋯”。司法解释也均从这方面作出了规定,无论是《侵犯个人信息犯罪通知》,还是《侵犯个人信息犯罪司法解释》,均规定了“数量较大”这一情节要素,《侵犯个人信息犯罪司法解释》更是在第5条中分“五十条”“五百条”“五千条”作出较为详尽的规定。通常情况下,侵犯的个人信息数量越大,那么其法益侵害性越为显著。但是应明确,这一最为重要、最为核心的情节要素并不能适用于侵犯特定公民特定个人信息的情形。比如前述常某非法获取公民个人信息案,其仅侵犯了特定公民的个人信息,该案更需要结合违法所得数额进行判定。
第二,造成的受害人损害。即被害人如果因个人信息被侵犯而遭受财产损害或人身损害,那么也应在认定中予以考虑。这是基于我国《刑法》对于犯罪法益侵害性量的要求—不同于其他国家存在诸如“违警罪”等轻微犯罪,我国《刑法》中规定的犯罪均具有相当程度的社会危害性。就侵犯公民个人信息罪而言,其或者侵犯大量公民的个人信息,或者侵犯特定公民的个人信息造成一定的危害后果或者危险。基于此,《侵犯个人信息犯罪通知》中规定了“造成受害人人身伤害或者死亡”的危害后果,《侵犯个人信息犯罪司法解释》中也将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”规定为“情节严重”的情形之一。但是,通常“造成被害人死亡、重伤”或“被绑架”等后果还需要介入后续的伤害、绑架行为,而这些伤害、绑架行为往往并非侵犯公民个人信息的行为人自身实施,在此情况下该如何理解“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”的规定?我们认为,在此情况下对于该规定应当作限定理解,即通常限定在侵犯特定公民个人信息,进而导致其“死亡、重伤、精神失常或者被绑架等严重后果”,一般不应包括侵犯多数公民个人信息的情况,即便该多数公民个人信息被后续犯罪行为利用造成严重后果。这是因为基于刑法的责任主义原则,行为人对且仅对自己实施的行为负责,在侵犯特定公民个人信息的情况下应认为其能够预见该信息被后续利用造成严重后果的可能性,而其实施了这一行为,应当承担刑事责任。反之,则会超过其预见可能。
徐玉玉案的判决可以为上述理解提供支持。在该案中,除了陈文辉等人被以诈骗罪追究刑事责任外,杜天禹则是被以侵犯公民个人信息罪追究刑事责任。该案判决指出:“被告人杜天禹违反国家有关规定,非法获取公民个人信息64万余条,出售公民个人信息10万余条,其行为已构成侵犯公民个人信息罪。杜天禹侵犯公民个人信息造成恶劣社会影响,情节特别严重”。该判决作出时,《侵犯个人信息犯罪司法解释》已经颁布,然而法官是以《侵犯个人信息犯罪司法解释》第6条第2款“造成重大经济损失或者恶劣社会影响”而非第1款“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”认定构成情节特别严重。这说明在该案中并不是以徐玉玉死亡的严重后果作为构成加重情节的理由,值得肯定。
与之类似,《侵犯个人信息犯罪通知》中的“被他人用以实施犯罪”也应限于侵犯特定公民的个人信息,不应包括侵犯不特定多数公民的个人信息。《侵犯个人信息犯罪司法解释》中也有类似规定,如第5条中“出售或者提供行踪轨迹信息”“被他人用于犯罪的”。也即,对于犯罪行为的评价应秉持罪责刑相适应的原则,行为人不应对于超过预见可能的行为承担刑事责任,否则不符合现代刑法精神。
三、个人信息的数量标准
侵犯公民个人信息罪司法适用中的另一个难题,则是个人信息的数量该如何予以认定。由于《侵犯个人信息犯罪通知》没有规定具体的数量标准,此前对于侵犯多少个人信息构成侵犯公民个人信息罪存在争论。有学者认为“参照最高法、最高检《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》1条第1款第4项关于‘制作、复制、出版、贩卖、传播的淫秽电子信息,实际被点击数达到10000次以上的’规定,以10000条信息作为本罪‘数量较大’的具体标准,即非法获取公民个人信息10000条以上的,认定为‘情节严重’。”也有学者认为“数量较大是非法获取公民个人信息数量达200条以上的”。《侵犯个人信息犯罪司法解释》第5条和第6条则对侵犯公民个人信息罪的定量标准作出全面的规定:第一,在人罪标准上根据个人信息性质和内容的不同,分别以“五十条以上”“五百条以上”“五千条以上”和“按相应比例合计达到有关数量标准的”为“情节严重”;第二,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人”达到前述标准一半以上的为“情节严重”;第三,数量达到前两项标准十倍以上的为“情节特别严重”。以上标准的出台,对于指导侵犯公民个人信息罪的司法适用具有重要的作用。
然而,还有一个关键问题尚未解决,即符合何种条件的信息可以认定为一条“公民个人信息”?在增设侵犯公民个人信息罪以前,个人信息的刑法保护依附于计算机信息系统中的数据保护,相关司法解释也有规定数量标准。最高人民法院、最高人民检察院《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(以下简称《计算机犯罪司法解释》)第1条规定:“(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的”和“(二)获取第(一)项以外的身份认证信息五百组以上的”,均“应当认定为刑法第285条第2款规定的‘情节严重’”。可以看出,一方面《计算机犯罪司法解释》在个人信息认定数量要求上更低,另一方面《计算机犯罪司法解释》采用了的是“组”而非“条”的单位。
实践中侵犯公民个人信息罪也广泛采用了“组”数来作为“条”数认定。例如,雷远、罗飞平侵犯公民个人信息案中,“被告人雷远在互联网上利用QQ以人民币150元的价格出售给杨某车主信息、业主信息4万条。同年9月7日又以300元的价格出售给杨某车主、业主混合信息10万条。”该案中,车主信息、业主信息显然是包括姓名与车辆登记信息(车牌号码)、房屋登记信息(住址)等个人信息的结合。再如易庚申侵犯公民个人信息案,“2014年4月份以来,被告人易庚申陆续非法获取公民房产信息、学生相关信息、新生儿相关信息、淘宝网购客户信息等公民个人信息存储于电脑中,后利用上述公民个人信息进行电信诈骗活动。至2014年7月8日被查获,其非法获取公民个人信息共计2315条。”在该案中,“公民房产信息”等个人信息也显然包括多项直接或间接识别公民个人的信息。归纳起来即司法实践中多采用“组”作为认定个人信息的数量标准。
这样的认定做法虽然相比于《网络安全法》等法律的规定更为狭窄,但是在现有情况下不失其合理性:第一,刑法中的个人信息未必与行政法、民法中的个人信息采同样的概念,其认定标准可以更为严格。特别是目前我国还未出台专门的个人信息保护法,个人信息的标准体系尚未形成,基于刑法的严厉性、谦抑性,对于个人信息的范畴做限定理解不无道理。第二,行为人侵犯的多数公民个人信息通常也是按照“个人”的数量来统计信息的数量,比如前述车主、业主信息等。采这一标准更契合该罪的实际情况,也有利于个人信息的认定。因此,在现阶段将以公民个人相关的一组信息认定为一条个人信息仍具有现实的合理性。即“五十条以上”“五百条以上”“五千条以上”可理解为“五十组以上”“五百组以上”“五千组以上”。当然,如果随着我国个人信息保护立法和个人信息认定标准的完善,可以采取更为严格的个人信息认定标准。
此外,侵犯公民个人信息罪定量标准的一个特点就是侵犯个人信息的数量标准与违法所得的数额标准并存,在司法适用过程中应注意二者的衔接。以往犯罪涉及定量标准的往往是侵犯公私财产的犯罪,具体涉案财产的数额成为唯一的定量标准,结合其他的非定量标准决定该罪法定刑的适用。比如,《刑法修正案(九)》对贪污罪的刑罚条款采取了与盗窃罪同样的模式,即都采取了“数额或情节”的模式来作为不同法定刑档次的适用标准,尤其是在自由刑配置上,都规定了“三年以下有期徒刑或者拘役”“三年以上十年以下有期徒刑”“十年以上有期徒刑或者无期徒刑”三个区间。与之不同的是,侵犯公民个人信息罪则是同时涉及数量标准与数额标准。
然而,现有的数量标准与数额标准规定却是自成体系的。《侵犯个人信息犯罪司法解释》第5条第一款第(三)项至第(五)项分别规定了“五十条以上”“五百条以上”“五千条以上”的数量标准,第(六)项规定了“数量未达到第二项至第五项规定标准,但是按相应比例合计达到有关数量标准”的构罪情节;而第5条第一款第(七)项则规定“违法所得五千元以上”作为构罪情节,两种定量标准之间并无换算或合计的规则,在具体犯罪认定时可能存在疑问。比如,行为人侵犯了四千条应适用“五千条以上”标准的个人信息,同时非法获利四千元,亦未达到“违法所得五千元以上”的标准,如何换算,能否累加?是否能认定其构成侵犯公民个人信息罪?
对此,我们认为,从《侵犯个人信息犯罪司法解释》的精神理解,这一情形不应作为犯罪处理。一是“数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准”的条款规定于第(七)项规定“违法所得五千元以上”条款之前。二是该款第(八)项规定“在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上”作为构罪标准。综合以上条款,应认为该司法解释有意未将数量标准与数额标准混用,结合此精神应认为前述侵犯了4千条个人信息、非法获利4千元的行为不构成侵犯公民个人信息罪。这也可以从“一事不再罚”的原理予以考察,无论是侵犯4千条个人信息,还是非法获利4千元均是其侵犯个人信息行为导致的结果,无论是数量标准还是数额标准的考察,均已经完成了刑法对其行为的评价,因此不应再重复评价。
四、结语
随着信息网络技术的发展,特别是大数据的发展,个人信息的性质与意义均发生了巨大变化,其以识别性联系到个人,以法益关联性联系到人身与财产,具有以前任何时代所不能具备的价值。侵犯个人信息犯罪由此也愈演愈烈,无论是出于经济目的还是其他非法目的,非法获取、非法提供和非法利用个人信息的行为层出不穷,危害巨大。但同时,对于该类犯罪的打击又必须考虑社会发展对于信息数据的基本需要,实现信息保护与信息利用的平衡,从而使这一任务更加艰巨。实现对该类犯罪的全面打击仅有刑事立法的更新是远远不够的,更需要刑事司法的有效适用。侵犯公民个人信息罪的“情节犯”模式固然为立法的稳定性提供了一定的支持,但同时也将情节要素与个人信息数量认定的重要问题交由刑事司法解决。现有司法解释虽然围绕这一问题进行了深人的探索,但是仍需进一步释明。从长远来看,基于体系化、层次化的要素体系构建,不断完善和优化个人信息的司法认定标准仍然需要司法实践的不断探索。