简论侵犯公民个人信息犯罪的刑法适用及司法机制研究

论文摘要 随着社会经济的发展，人们之间的信息交流不在依赖于传统的方式，“距离不是问题，地域没有关系”的新型快、狠、准成为信息交流的新渠道，正所谓信息灵通，生意兴隆。但是，新型技术并非人们想象的那样美好，一旦涉及个人信息泄露，所带了的负面效应将更为严重。由于现有的保护个人信息刑法体系不完善，机制的不健全，如主体较窄、个人信息定义问题及情节严重的认定等都亟待明确和完善。本文综合分析该类案件存在的司法实践问题，并提出了相应的对策建议，以正个人信息的个人性及法律的权威性。同时希望能对对法院今后在审理此类案件有所裨益，为相关部门加强社会管理、维护社会稳定提供支持。

论文关键词 个人信息 主体 情节严重

自信息时代以来，个人信息登记成为各行各业以及办理各项业务的必须程序。毋庸置疑，这一举措既为公民的合法权益提供法律依据，又有力打击了一些不法犯罪行为。但是，个人信息登记的同时，又为那些不法分子提供了新的犯罪手段和犯罪对象。在不法分子通过不正当手段牟巨利的同时，严重扰乱了公民个人的生活，侵犯了公民个人的隐私权等合法权益。笔者认为，公民个人信息登记固然重要，但更重要的是个人信息登记后如何确保不为犯罪分子和其他利害关系人非法所用，真正做到“个人信息”。

一、目前个人信息泄露情况分析及国内外立法现状

案情回放：涉嫌通过网络买卖公民个人信息的犯罪嫌疑人甄某被江苏省南京市警方抓获。警方在其作案用的电脑中，发现了海量的公民个人信息，其中包括私家车主、医院患者、企业老总、楼盘业主、移动联通用户、银行客户等分门别类的文件夹多达20多万个，而每个文件夹中都有几百条甚至几万条个人信息。信息的详细程度则令人瞠目。据交代，搜集方式不外乎3个渠道：通过网络自动下载、与“网友”交换资料、低价购买公民信息。

这些除了泄露公民姓名、个人电话等基本信息外，还会泄露其他隐私信息，严重侵犯公民权益，而且受害者无法知晓侵权者，遏制这类侵权行为单靠追究民事责任任重道远。

国外关于个人信息刑法保护的立法例主要有：（1）美国早在1974年就颁发了《隐私权法》。美国法典第5编详细规定了对隐私的保护。（2）日本曾经专门制订的《日本个人信息保护法》对相关内容给予了较多规定，并在近年来不断加以完善。（3）韩国在该部分也有相关的立法规定，例如于1994年1月制定，1999年1月部分修订的《韩国公共机关个人信息保护法》。

目前我国关于侵犯公民个人信息犯罪的刑事法律规定主要是2009年2月28日通过的《中华人民共和国刑法修正案（七）》，其中对《刑法》第二百五十三条的修改规定将侵犯公民个人信息的行为定罪，着重体现的是刑法打击和预防犯罪的价值导向。

二、新罪在司法实践中的应用困惑

虽然我国已经将保护个人信息，严打涉及个人信息犯罪上升到刑法犯罪领域，但就目前形势而言，此类犯罪本身固有的特点：一是作案方式主要以网络交易，网络交易的便捷性和低风险性使其成为罪犯获取公民个人信息的首选方式；二是作案目的主要是辅助拓展业务和出售牟利；三是犯罪对象主要集中在车主信息、银行客户信息、企业负责人信息等；四是产品推销行业和保险行业从业人员成为该类犯罪的“高发人群”；五是企业负责人和私家侦探公司经营者成为新兴犯罪主体。促使该现象有增无减，在惩治此类犯罪方面还尚未形成共识，缺乏重拳。

第一，犯罪主体的狭隘性。《刑法修正案（七）》第七条规定了出售、非法提供公民个人信息罪的犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员。”是否可以认为本罪的犯罪主体仅限于特殊的主体，即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，其他单位的工作人员或非单位的人员不能犯此罪。

本文所提到的关于甄某案件，其只是一名刚毕业的大学生，并不是上述规定里的工作人员即主体，显然其并不符合出售、非法提供公民个人信息罪的犯罪主体。若以非法获取公民个人信息罪论处，似乎有点牵强。按照罪刑法定原则和主客观一致原则，非法获取公民个人信息罪主观上应以获取为最终目的，并没有付出出售牟利行为等。本案中，甄某并非以获取个人信息为最终目的，其主观意图是对获取的信息进行出售牟利，客观方面给他人造成损失，具有严重的社会危害性。因此，公民个人也完全可能将他人信息进行出售、非法提供，而这些行为的危害性，远远大于非法获取信息的行为。

司法实践中，类似于此类案件的犯罪嫌疑人因为证据、主体等多重难题，直接导致了各地在处理时具体理解的不尽相同，一定程度影响了对此类违法犯罪行为的打击力度和效果。笔者认为，当前侵犯个人信息犯罪，无论是出售、非法提供或是非法获取，其主体岂止条文中列举的几个单位。所以对该条文中的两罪的犯罪主体进行限制确实没有必要，应改为一般主体。

第二，如何认定个人信息，进一步明确犯罪客体。其实在国外立法中，比较常见的是“个人数据”、“隐私”等。根据1995年欧盟颁发的《个人数据保护指南》第2条的规定，个人数据是指任何与已经确认的或可以确认的自然人（数据主体）有关的信息。而隐私，《汉语大辞典》释义为“不愿告人的或不愿公开的个人的事”，法学家解释为“私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开”。《刑法修正案（七）》增设的第二百五十三条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，在履行职责或者提供服务过程中所获得的公民个人信息”，但各地现行的司法实践对公民个人信息还尚未达成共识，对是否构成侵犯公民个人信息犯罪难以认定。

就目前刑法及其修正案来看，并未对公民的个人信息做一明确界定。美国国会1974年通过的隐私权法规定了个人医疗记录属隐私，外人打听不到；学生的学习成绩也是隐私，老师不得将其公布。我国民法对公民的隐私权做了相应的规定，学者梁慧星指出，隐私是指自然人不愿意公开的个人事务、个人信息或个人领域。2011年8月5日在北京宣判的北京市最大一起出售公民个人信息案中，犯罪分子将电信用户的机主信息、通话订单、手机定位等出售牟利。因此，有学者认为，“个人信息常常具有公开性，在日常生活中对公民个人生活的影响相比较个人隐私而言较小，同时个人信息的外延和内涵与个人隐私的外延和内涵并不完全重叠，其往往较个人隐私更为广泛”。但同时也有学者坚持认为，“信息安全问题从本质上将是对于隐私权的侵犯，因此将个人信息理解为一种广义的隐私也具有现实可行性”。笔者认为，个人信息应该是广义概念，包括了已公开信息及个人隐私信息。个人信息是一切与公民个人有关的信息。除姓名、住址、出生日期、身份证号、职业、学历、婚姻状况、电话号码、照片等，还应包括个人的财产状态、心理状况、身体状况等等，一切可以单独或与其他信息对照识别特定的个人的信息。对于那些已向特定人群公开的包含公民姓名、电话号码、家庭住址等信息，同样对公民的人身安全、财产安全和个人隐私构成威胁，笔者认为纳入应当保护的公民个人信息范围毫无疑问。

第三，何为情节严重。这是关于是量变还是质变、是民事责任还是刑事责任的问题。刑法对一般的侵犯公民个人信息的行为不予追究，只有达到一定的“质变”才予以刑法惩处，这个从量变到质变的关键点就是“情节严重”。目前还没有及时出台相关的立法、司法解释来具体明确界定“情节严重”。在安徽一检察机关办理的吴伟非法获取公民个人信息案中，吴某既实施了伪造、变造、买卖国家机关公文、证件、印章的行为，又实施了非法获取公民个人信息的行为，检察机关因“情节严重”不好把握，难以确定吴某是否构成非法获取公民个人信息罪，只能以其涉嫌伪造、变造、买卖国家机关公文、证件、印章罪对其批捕。而作为吴伟下家的陈静，因其只实施了三次非法获取公民个人信息的行为，且最后一次未遂，检察机关对陈静的行为是否被认定为“情节严重”无法把握，而是否“情节严重”关系到能否认定其构成犯罪的问题。

纵观我国司法实践，判断“情节严重”的依据主要有行为人的犯罪行为及犯罪结果是否严重、主观恶性是否恶劣、社会危害性等。笔者认为，侵犯个人信息犯罪的“情节严重”可以从以下几个方面来加以认定：（1）公民个人信息数量较大或者获利较多的；（2）多次侵犯公民个人信息或者同时侵犯多人个人信息的；（3）造成严重后果或者严重影响的，如给国家、集体、他人造成较大损失的等；（4）非法获取公民个人信息后公之于众的；（5）以暴力、威胁手段获取公民个人信息的；（6）其他情节严重的情形。至于提到的数量、次数等，笔者不敢妄加评论，希望立法者通过调研、研究，做出进一步的细化。

三、结语

“法的安定性要求缘起于它的深层需求（如对自然法则之理念的需求）：这种需求渴望将现实既定的和预定的纷乱纳入秩序之中，渴望对纷乱有事先的防范，并使之在人的控制之内。”刑法修正案首次将侵犯个人信息行为入罪，为公民个人信息的保护提供了刑法的保障。但我们应该清醒的是我国目前的个人信息保护的法律法规体系不够完善，司法实践中仍有亟待解决的法律适用问题。因此，公民个人信息保护仍有很长的路要走。基于法律的稳定性要求，我们又不能对涉及人的生命和自由的刑法进行频繁的变动。这就需要我们适应时代的需求，深刻地挖掘刑法法条所暗含的一系列指引。