下载客户端

王月｜数字时代刑民一体化视野下个人信息保护问题实证研究

2024-04-15 07:31

来源：澎湃新闻·澎湃号·政务

随着个人信息保护法律规定的不断完善，刑法不再是公民个人信息保护的唯一手段。通过对侵犯公民个人信息罪的司法判决进行分析，发现侵犯公民个人信息罪的司法实践中存在着刑法的打击和预防功能比例失衡、量刑标准不清导致轻微犯罪入罪容易出罪难，前置法预防、惩戒功能缺失等问题出现。为解决上述问题，提出了调整入罪标准、规范量刑标准、坚持比例原则三项对策建议，促进在新的立法体系下充分发挥前置法的犯罪预防功能，实现刑法打击功能的回归，保持刑法的谦抑性。

一、问题的提出

2015年8月29日，刑法修正案（九）将公民个人信息罪主体由特殊主体修改为一般主体，使得本罪成为一个常见罪名，由此可见国家开始从刑法领域扩大对个人信息犯罪的问题治理。2017年6月1日，最高人民法院、最高人民检察院印发的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》正式实施，并对侵犯公民个人信息犯罪的构成要素进行了较为明确的规定，进一步明确了公民个人信息犯罪的入罪标准。2021年1月1日起施行的民法典人格权编第1034条规定，自然人的个人信息受法律保护，并对个人信息的民事概念进行了界定。2021年9月1日，数据安全法开始施行，对促进数据开发利用和保护个人的合法权益作出了规定。2021年11月1日，个人信息保护法开始施行，这一针对公民个人信息保护的专门立法标志着我国从行政法角度对公民个人信息进行了全面系统性的规定。本文将通过分析2015年以来侵犯公民个人信息罪司法状况的变迁，进一步探讨刑民一体化下侵犯公民个人信息的治理对策。

二、侵犯公民个人信息罪的司法样态分析

（一）

数量特征

在中国裁判文书网上，以侵犯公民个人信息罪、刑事一审、基层法院、判决书为关键词进行搜索，可以获得2015-2021年侵犯公民个人信息犯罪判决数量分别是：2015年10件，2016年241件，2017年1053件，2018年1828件，2019年2066件，2020年1830件，2021年1145件，2022年431件，2023年59件。

通过上述数据分析可知，2017年最高人民法院、最高人民检察院印发《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“两高”《解释》）正式实施后，侵犯公民个人信息罪数量不断攀升，到2019年数量达到顶点，之后案件数量持续下降，2022年此类数量急剧降低到案件顶峰时期的20.86%，2023年案件数量大幅度缩水到顶峰时期的2.85%。究其原因，本文认为主要是以下几个方面：

第一，刑法的修改扩大了侵犯公民个人信息的适用范围。2015年刑法修正案（九）第17条修订，顺应司法实践的发展需要，将侵犯公民个人信息罪的主体由特殊主体修改为一般主体，并增设了从重处罚规定，将法定最高刑提高为7年，体现了刑法对公民个人信息保护的重视程度和保护广度。2017年“两高”《解释》规定，对于本罪没有达到“情节特别严重”的，可以认定为情节轻微，不起诉或者免于刑事处罚，却有必要判处刑罚的，应当从宽处罚，体现了刑法宽严相济的刑事司法政策，这也意味着本罪的入罪门槛较低，适用范围较广。

第二，我国公民个人信息的刑法保护侧重于预防功能。随着经济发展方式和信息技术的发展，个人信息的收集和利用越发地广泛，个人信息的保护手段极其匮乏，个人信息的侵犯愈发猖獗，在如此急速的社会转型之下，刑法冲在了个人信息保护的前列，在打击侵犯公民个人信息犯罪的同时，具有很强了犯罪预防功能。正如有学者指出，“将犯罪意图排除在侵犯公民个人信息罪的犯罪构成之外，使该罪名的适用范围大幅扩展，刑法介入制裁的时间点大幅提前，凸显了预防后续违法犯罪的功能”。根据“两高”《解释》，将个人信息的违法收集和出售行为作为构罪要件，并不要求行为人具有犯罪意图，犯罪意图是本罪的量刑情节。因此，2017年“两高”《解释》实施后，案件数量急剧上升。

第三，我国公民个人信息保护立法属于“刑法先行”。“民法是前置法，它在拦截违法行为，刑法是保障法，它在后惩治未被成功拦截的犯罪行为；民法先确立违法性，刑法后确立犯罪性。”2017年“两高”《解释》实施后，为侵犯公民个人信息罪提供了较为明确的司法标准，然而在此之前，我国公民个人信息保护缺少前置民事、行政立法，因此刑罚成为冲在了个人信息保护的前端，2017年以后此类犯罪数量急剧增加。随着2021年民法典对个人信息保护进行了专门规定，以及个人信息保护法作为专门法的实施，民法和行政法对个人信息保护进行了更为细致和全面的规定，为个人信息保护提供了前置法依据，更是为个人信息保护提供了更多的手段和方式。因此，2021年以来，侵犯公民个人信息罪案件数量急剧下降。

（二）

地域特征

通过下表可知，全国范围内侵犯公民个人信息罪主要集中在经济较为发达、人口较为密集的中、南部地区。通过裁判文书网检索数据来看，占比最高的是江苏1682份，占比16.26%。江苏、浙江、广东等8个地区占侵犯公民个人信息罪裁判文书总数的54.77%。

中、南部各省市自治区侵犯公民个人信息罪裁判文书数量及占比

（三）

行为特征

侵犯公民个人信息罪的行为类型主要是通过违法获取他人个人信息后出售给第三方获利的情形。通过分析最高检发布的5件依法惩治侵犯公民个人信息典型犯罪典型案例可知，该批案例主要体现了对公民征信信息、生物识别信息、行踪轨迹信息、健康生理信息等个人信息加强保护的政策导向。

[案例一]解某某、辛某某等50余人在网上发布贷款信息，将他人注册信息转卖给银行信贷员，每条信息30-50元，共计获利450余万元，侵犯公民个人信息31万余条。

[案例二]李某制作窃取个人信息软件，进行面部识别获取他人个人信息，获取个人信息8100万条，并无明显获利。

[案例三]谢某、李某等人研发人脸识别App，通过免费承接业务，获取他人个人信息，出售个人信息1.9万余条，又被多次转卖，获取违法所得70余万元，其余11人获利共计31万余元。

[案例四]陈某甲、于某、陈某乙从事私家侦探活动，泄露他人行踪轨迹，致人死亡，三人获利39500元。

[案例五]妇产科医生韦某和保健按摩中心个体经营者吴某甲、吴某乙将产妇信息卖给保健按摩中心，每条信息50-60元，并有办卡提成10%。侵犯公民个人信息500余条。

通过分析可知，刑法对侵犯公民个人信息的保护范围较广，涉及多种侵害公民个人信息的行为类型。典型案例的发布虽然对此类案件的办理起到了一定的引导作用，但是与现有的法律规定和司法解释相比，仍然为我们办理此类案件犯罪行为的判断产生了一些困惑：

一是信息等级分类作用不明显。虽然“两高”《解释》对敏感信息和普通信息在入罪和量刑标准上有较为明确的量化规定，但是在案例中这一区分量刑上的体现程度并不明显。例如，案例五中的健康生理信息为普通信息，其他四个案例为敏感信息，尽管案例五的侵犯公民个人信息数量仅在入罪上产生了一定的作用，但是与其他四个侵犯敏感个人信息的案例相比，“两高”《解释》要求侵犯敏感个人信息的定罪量刑数量更高，但是显然侵犯敏感个人信息的数量远远高于普通个人信息。因此，典型案例并没有在个人信息的类型上做更为有倾向性的引导，并且从五个案例中不同类型的个人信息对案件的量刑上来看，并无较大影响和差别。

二是量刑标准畸轻畸重。通过案例来看，影响量刑的要素主要为获取信息数量、获利金额、对被害人造成的影响以及社会影响的恶劣程度。是否获利成为影响本罪量刑的重要因素，案例二中李某制作的窃取个人信息软件获取个人信息8100万条，数量极其巨大，但是并无明显获利，李某被判处有期徒刑三年缓刑三年的刑罚；案例三中主犯谢某研发人脸识别App获取公民个人信息1.9万余条，数量与案例二相比相差几千倍，但是因其获利70余万元，谢某被判处有期徒刑4年。也就是说，在这两个案例中获利金额成为影响量刑的主要因素，但是前者获取的个人信息数量是后者的几千倍，根据“两高”《解释》本罪主要惩罚的是“违法收集”行为，是否获利以及获利金额实践中受到不同主体出售个人信息的能力、地域情况等因素的影响较大，仅仅通过违法获利金额来区分量刑存在主观随意性较强、可能产生影响司法公正的情况。

综上，典型案例虽然对现阶段侵犯公民个人信息罪的量刑采用了“信息数量+获利金额”的方式，但是缺少规范化的量刑尺度，司法实践中的侵犯公民个人信息数量是司法解释中规定的入罪和量刑数量的千万倍，立法现状与司法实践需求仍有较大差距，量刑具有较强的随意性。

（四）

处罚特征

从侵犯公民个人信息罪的刑罚上来看，本罪分为两个层级，情节严重的为三年以下有期徒刑，情节特别严重的为三年以上七年以下有期徒刑。从刑法和“两高”《解释》的规定来看，此罪的刑罚方式体现了宽严相济的刑事司法政策。这种刑事司法政策在司法判决中得到了贯彻。通过检索裁判文书网侵犯公民个人信息罪，统计共有10341件刑事判决案件，其中判处缓刑的6241件，占案件总数的60.35%；判处拘役的414件，占案件总数的4%；判处一年有期徒刑的3591件，占案件总数的34.72%；判处二年有期徒刑的1501件，占案件总数的14.51%；判处三年有期徒刑的3881件，占案件总数的37.53%。由此，通过反向推算可知，判处三年以上有期徒刑的案件占比为9.24%，处于少数，大部分案件处罚较轻。

从判处刑罚与侵犯公民个人信息数量的关系上来看，以最高检2022年12月7日发布的5件依法惩治侵犯公民个人信息犯罪典型案例为例，犯罪人通过网络获取公民个人信息1.9万条，获利100万，判处4年至2年；获取公民个人信息31万条，获利450万，判处3年6个月至1年4个月；获取公民个人信息8100万条，获利0元，判处缓刑3年。由此可见，与获取公民敏感个人信息50条，普通个人信息500条的入罪数量相比，情节特别严重侵犯公民个人信息数量为基础刑的10倍以上法定刑升格的数量标准相比，司法实践中侵犯公民个人信息数量与法定的量刑标准相差极其悬殊，无论是从获利数额还是侵犯公民个人信息数量均为巨大的情况下，依然判处较为轻缓刑的刑罚。

三、侵犯公民个人信息罪司法适用存在的问题

“在个人信息电子化交换和海量利用的网络时代，个人信息出现大量分享和快速流转的趋势，个人信息主体和信息控制主体的分立已经成为常态现象，逐渐形成个人信息非独占、易复制、不可控的突出特点”。正是在这一时代发展的现实背景下，仅仅依靠刑法进行个人信息保护问题的社会治理存在以下两个方面的问题：

（一）

刑法在公民个人信息保护上的预防和打击功能比例失衡

第一，刑法对个人信息保护的预防功能不断下降。通过上文可知，一段时期以来，我国立法对公民个人信息的保护属于“刑法先行”，由于前置法的缺失，侵犯公民个人信息罪兼具犯罪预防功能和刑罚打击功能。2021年开始，关于个人信息保护的民事、行政法律法规陆续实施之前，刑法对个人信息的保护占据主导地位。2021年之后，运用刑事手段制裁侵犯公民个人信息行为的案件数量急转直下，从顶峰时期2019年的2066件下降为2022年的431件。

第二，侵犯公民个人信息罪的量刑以轻缓刑为主。通过对裁判文书网侵犯公民个人信息罪判决数据进行分析可知，判处三年以上有期徒刑的案件占比为9.24%。侵犯公民个人信息罪的量刑分为两个层级，第一层级为三年以下有期徒刑，第二层级为三至七年有期徒刑，因此从量刑设置上看，立法层面注重对此罪的打击力度。并且在司法解释中，也体现了对本罪事实宽严相济的刑事政策。但是司法实践中，本罪大多以轻缓刑的方式处理，杀鸡偏要用牛刀，使得本罪打击与预防的价值功能比例失衡。

第三，刑法对侵犯公民个人信息行为的打击作用尚未凸显。毫无疑问，随着网络信息技术日新月异的蓬勃发展和经济发展模式的转型，人人似乎暴露在网络的真空当中，与个人信息的广泛应用相比，保护制度和措施的滞后使得个人信息被大规模收集信息成为可能。近些年，侵犯个人信息犯罪和骚扰电话、电信诈骗不断升级和扩张。刑法的重锤高高举起却轻轻放下，与针对侵犯公民个人信息行为的简单性和获利的高额性相比，刑法所起到的打击和防范作用十分有限，这与法律体系设置的不完善、不科学不无关系。

（二）

量刑缺少细化的客观标准，主观随意性程度较大

[案例六]手机验证码。代理运营商办理等业务时，利用职务便利，擅自将他人实名注册的手机号码和验证码提供给他人注册各类App账号从中牟利。出售他人身份信息办理的电话卡38张，获利9170元，被告人李某犯侵犯公民个人信息罪，判处拘役六个月，缓刑十个月，并处罚金人民币3000元。

[案例七]微信号。收购他人的电话号码、身份证号及姓名并注册微信号，注册后在自己的手机上登录“养号”再将微信号卖出。共计贩卖给孙某（另案处理）实名认证微信号13个，共计收款5320元。被告人姚某犯侵犯公民个人信息罪，判处拘役三个月，并处罚金人民币六千元。

[案例八]2021年4月至2022年8月期间，利用在某通信店工作的便利，在为客户办理手机卡业务时，未经客户许可，以激活手机卡的名义，将客户手机卡插入营业厅专用机中，通过将手机号及验证码发给“接码人”（另案处理）所在微信群里完成App注册，每张手机卡及对应验证码宋艳艳从中获利3至10元不等，非法获利共计人民币9869.01元。被告人宋某犯侵犯公民个人信息罪，判处有期徒刑八个月，缓刑一年，并处罚金人民币一万五千元。

一是刑事判决中普通信息和敏感信息的区分并不明显。案例六和案例七是现阶段十分常见的两种侵犯公民个人信息的手段，一种是利用职务之便，在他人不知情的情况下将他人手机验证码注册App账号牟利；另一种是收购他人手机号后注册微信后，销售微信账号的情况。但是在两起案件的判决中，并无对两种不同个人信息重要性的区分和描述，两个案件侵犯的公民个人信息数和获利金额也趋于同一数量区间，因此两起案件的量刑也相差无几。

但是通过比较可知，案例六中侵害的个人信息属于手机号码，案例七中侵害的个人信息包括手机号码、身份证号和姓名，进而注册的微信账号，前者仅具有简单信息性质，后者兼具人身和财产性质。因此，从信息的重要性和复杂性上来看后者的信息重要性更强。

二是量刑畸轻，量刑核心要素和规范化尚未实现。“公民个人信息的数量规模体现了侵犯公民个人信息罪法益的超个人属性，从民事保护到刑事保护，公民个人信息数量规模体现了刑法保护公民个人信息的特殊之处。”因此，数量特征是行为人承担责任的主要因素。案例六和案例八是两个手段相同的侵犯公民个人信息案例，判处的刑罚也相近。通过比较可知，二者侵犯的公民个人信息数量相距悬殊，前者是侵犯了38张电话卡，后者从获利金额和单价来看，侵犯公民个人信息千余个，但是数量特征在量刑上并没有明显的区别。通过上述案例可知，影响侵犯公民个人信息罪的量刑要素主要有被告人获利金额、侵犯公民个人信息类型和数量。同时，根据刑法第253条之第2款的规定，“在履行职责过程中”侵犯公民个人信息属于从重情节。但是上述量刑要素在刑罚判决中也并没有体现出明显的差异。

由此可知，在司法实践的判决中，各种要素之间的关系和重要程度似乎没有具体和明确的适用标准。虽然数量在司法解释中作为定罪和量刑的重要因素，但是在具体判决中表现的作用和差别并不明显。并且无论是几十条个人信息还是千余条个人信息，均判处拘役缓刑，大规模收集个人信息获利的行为并没有遭受更为严重的刑法打击。

四、对策和建议

（一）

调整入罪标准，加强刑事与民事和行政在个人信息保护领域的衔接

一方面，法律体系的科学构建将有利于个人信息的全面保护。正如有学者指出，“侵犯公民个人信息罪司法量刑畸轻的现象，表面是刑法规范设置的问题，深层次来看是我国个人信息保护法律体系结构性失调导致的结果”。通过上文可知，通过刑法来实现公民个人信息的有效保护路径并不能够满足现阶段个人信息保护的现实需求。刑法的立法先行是时代的产物，随着民法典、个人信息保护法的相继实施，立法在民法和行政法上的不断完善，个人信息保护的法律体系不断形成，刑法的作用和价值不再向前延伸，回归到刑事立法体系本身，将有利于个人信息的全面有效保护。另一方面，大量的司法实践表明，大规模侵犯公民个人信息的情况时常发生，大规模个人信息获取的简单性，个人信息的出售能够在短时间内获取较大利益，由此诱发和滋长了大量的侵犯公民个人信息的违法犯罪行为。“两高”《解释》关于侵犯公民个人信息的定罪和量刑数量与司法实际数量相差较为悬殊，不利于实现此类犯罪的精准有效打击，因此应该进一步修改和完善侵犯公民个人信息罪的数量标准。

（二）

规范量刑标准，明确侵犯公民个人信息行为的量刑核心要素

量刑的核心要素是确定犯罪行为量刑的重要客观标准，脱离了客观标准的要求，就会增加量刑的主观性，畸轻畸重的量刑都不利于司法公正。因此，应当进一步明确个人信息量刑的核心要素。针对现阶段存在的个人信息类型层级不清，数量影响不明显，个人信息的敏感程度对量刑影响不大，信息数量和违法所得之间的重要性关系等问题，应当采取进一步明确量刑要素以及各要素之间关系的规范化标准。在立法体系不断完善的基础之上，提高民法、行政法的社会治理和犯罪预防功能，充分发挥刑法的打击功能，统一量刑标准和量刑尺度，减少轻缓刑的适用，做到罚当其罪，改变侵害公民个人信息罪量刑失衡和社会治理功能效果有限的现状。

（三）

坚持比例原则，注重轻微犯罪出罪实现中国特色现代化的轻罪治理

通过上文可知，虽然侵犯公民个人信息罪的量刑分为两个层级，三年以下和三年以上七年以下有期徒刑，但是从实际判决情况上来看，判处三年以上有期徒刑的案件占比仅为9.24%，绝大部分案件处罚较轻，属于轻微刑的范畴。本罪刑法上虽然是不纯正的轻罪，但是从司法实践上看更趋近于纯正的轻罪。因此，对于侵犯公民个人信息罪更应当按照轻罪的社会治理原则，坚持刑法的谦抑性原则，强化社会治理功能。对于犯罪情节极其轻微，可以不按照犯罪处理的案件情况，应当勇于适用刑法第13条的出罪条款，不按照犯罪处理，促进刑法宽严相济的司法政策在司法实践中的落实。同时，通过行刑衔接，充分发挥行政法对此类行为的制裁作用，促进侵犯公民个人信息行为的社会治理，秉持“轻其所轻，重其所重”的司法原则，实现轻微犯罪、违法行为的打击、预防和治理相统一的司法和执法效果。