侵犯公民個人信息罪刑事判決實證研究
——以2015-2018年335份相關生效判決為樣本

文立彬

(廣西民族大學 民族學與社會學院，廣西 南寧 530006)

黨的十九大及相關會議精神要求實施大數(shù)據(jù)國家戰(zhàn)略，推進大數(shù)據(jù)、人工智能和實體經(jīng)濟的深度融合，構建以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟、運用大數(shù)據(jù)促進民生改善以及切實保障國家數(shù)據(jù)安全。數(shù)據(jù)作為信息化建設和數(shù)字化經(jīng)濟發(fā)展的生產(chǎn)力要素，其安全已上升至前所未有的國家戰(zhàn)略高度。

一、大數(shù)據(jù)環(huán)境下個人信息安全面臨威脅且保護不善

2018年《政府工作報告》指出，推進平安中國建設，整治電信網(wǎng)絡詐騙、侵犯公民個人信息、網(wǎng)絡傳銷等突出問題，維護國家安全和公共安全。公安部公安發(fā)展戰(zhàn)略研究所公布的《中國犯罪形勢分析與預測(2017-2018)》顯示，傳統(tǒng)的暴力犯罪、財產(chǎn)犯罪數(shù)量逐步減少，而以互聯(lián)網(wǎng)等為媒介的非接觸性犯罪數(shù)量日益增長。其中，以侵犯公民個人信息罪為源頭的網(wǎng)絡犯罪、詐騙犯罪的發(fā)案率仍處于高位運行狀態(tài)。騰訊安全聯(lián)合實驗室發(fā)布的《2017年度互聯(lián)網(wǎng)安全報告》同時指出，中國“網(wǎng)絡黑產(chǎn)從業(yè)人員”已經(jīng)超過150萬，“市場規(guī)?！币矊覄?chuàng)新高。2017年上半年，全球泄露或被盜的數(shù)據(jù)達19億條，這一數(shù)字已經(jīng)超過2016年全年被盜數(shù)據(jù)總量。可知，近年來圍繞著數(shù)據(jù)非法刺探、非法獲取、非法使用的灰黑色數(shù)據(jù)產(chǎn)業(yè)鏈已經(jīng)形成，并以網(wǎng)絡作為媒介、對象和空間，數(shù)據(jù)黑產(chǎn)正朝著“公然侵害”“隱蔽升級”“目標轉化”和“精準詐騙”的方向轉變。個人信息是經(jīng)法律確認后的數(shù)據(jù)，其范圍窄于個人數(shù)據(jù)，主要包括直接識別信息和部分間接識別信息。基于網(wǎng)絡犯罪治理思維，個人信息犯罪、計算機犯罪、詐騙犯罪等罪形成了上下游犯罪關系，具有相互利用、相互促進的關系。為了更好地剖析侵犯公民個人信息犯罪的法理依據(jù)和規(guī)制效果，本研究主要采用理論分析、比較分析和實證分析的方法展開深入探討，采用隨機抽樣的方式選取335份刑事生效判決并比較域內外相關的立法經(jīng)驗，以期厘清我國侵犯公民個人信息犯罪的法益定位、量刑標準、責任分配、證據(jù)規(guī)定等司法實踐難題。

二、侵犯公民個人信息犯罪主體與行為的特征解析

以2015年《刑法修正案(九)》對侵犯公民個人信息罪的修正為起點，通過中國裁判文書網(wǎng)搜索到2015年11月至2018年4月全國侵犯公民個人信息罪刑事判決共1 703份，從侵犯公民個人信息罪案件來源地區(qū)抽取335份生效判決作為研究樣本，即所抽樣判決占全部判決的比率是19.6%，能夠達到較高的精確性。

本研究抽取的侵犯公民個人信息罪案件來源地區(qū)包括東北、華北、華中、華東、華南、西南和西北。在每個地區(qū)隨機抽樣50份侵犯公民個人信息罪生效判決作為研究樣本。其中，西北地區(qū)在中國裁判文書網(wǎng)上僅有35份侵犯公民個人信息罪生效判決，故該地區(qū)的樣本數(shù)量為35份。

(一)侵犯公民個人信息犯罪案件逐年遞增且發(fā)案地域差距大

從2015-2017年間我國侵犯公民個人信息罪刑事判決地域分布看，東北(57份)、華北(108份)、華中(158份)、華東(935份)、華南(211份)、西南(199份)和西北(35份)，由此可知，該類犯罪集中發(fā)案于我國華東、華南和西南地區(qū)。究其原因，新技術、新產(chǎn)業(yè)、新業(yè)態(tài)和新模式不斷涌現(xiàn)，沿海地區(qū)的數(shù)據(jù)產(chǎn)業(yè)具有較好的內部基礎和外部環(huán)境。在此背景下，個人信息灰黑色產(chǎn)業(yè)鏈條已成規(guī)模并逐步擴大，呈現(xiàn)從沿海區(qū)域向內陸區(qū)域擴散的趨勢。從犯罪關聯(lián)性考察，侵犯公民個人信息的行為多與網(wǎng)絡詐騙、信用卡詐騙、非法傳銷、商業(yè)推廣、考試舞弊等行為相聯(lián)系。犯罪人得益于對他人個人信息的掌握，下游犯罪行為呈現(xiàn)“精準化”的蔓延態(tài)勢，行為體現(xiàn)出更高的人身危害性和后果危害性。

從侵犯公民個人信息犯罪的判決數(shù)量看，從2015年的23件，2016年的373件到2017年的1 090件，判決數(shù)量增長率分別為1 521%和192%。犯案率大幅度增長的背后，集中反映了四個問題。其一，個人信息違法犯罪問題較為泛濫，相應的灰黑色產(chǎn)業(yè)已經(jīng)形成，受到了社會普遍關注。據(jù)統(tǒng)計，以個人信息為核心要素的中國網(wǎng)絡黑產(chǎn)經(jīng)濟規(guī)模已達千億級別。其二，我國個人信息犯罪刑事立法經(jīng)過兩次刑法修正案的調整，不僅確立了罪名，還規(guī)定了犯罪主體的范圍擴大和刑罰配置的標準提升，為打擊個人信息犯罪提供了明確的法律依據(jù)。其三，近三年我國公安部開展了數(shù)次專項打擊行動，偵破了一大批大案要案。在個人信息違法犯罪中，常見的行為包括非法獲取、非法泄露、非法處理、非法交易等。個人信息黑灰色產(chǎn)業(yè)鏈正是建立在這些行為的基礎上，從而不斷蔓延、不斷壯大。其四，與個人信息相關的涉數(shù)據(jù)網(wǎng)絡犯罪受到國際社會關注，區(qū)域性、國際性司法合作正在接軌。個人信息犯罪作為網(wǎng)絡犯罪的核心，已從將網(wǎng)絡作為犯罪工具、犯罪對象，發(fā)展成犯罪空間，因此構建和加強此類犯罪的區(qū)域性及國際性刑事司法協(xié)作勢在必行。

(二)犯罪人呈年輕化特征且法人責任追訴率低

從犯罪主體分布看，自然人犯罪占絕大多數(shù)(共604人，占99.5%)，法人犯罪追訴率較低(共3人，占0.05%)。從判決可知，在服務型企業(yè)中，自然人非法獲取個人信息往往是基于經(jīng)濟目的，而企業(yè)作為最終的受益者卻幾乎不需要承擔責任。在員工案發(fā)的情況下，企業(yè)往往可將全部責任歸結于員工行為，這導致個人信息保護中法人責任的缺失，進而有必要探討如何完善法人個人信息安全保護責任的制度體系。

從犯罪人的年齡層次觀察，18～30歲犯罪人共417人，占69%；31～40歲犯罪人共176人，占29%；41歲以上犯罪人共11人，占2%。從犯罪人地區(qū)分布看，華中地區(qū)18～30歲犯罪人比率最高(占75%)，華東地區(qū)31～40歲犯罪人比率最高(占40%)。綜上，侵犯公民個人信息犯罪者呈現(xiàn)年輕化特性，亦說明實施個人信息犯罪的門檻較低，實施此類犯罪行為多不需要較高的技術水平。

(三)個人信息罪犯呈現(xiàn)有職業(yè)者受教育程度較高且集中于服務行業(yè)

從侵犯公民個人信息犯罪人的文化層次看，初中學歷比重最大(共262人，占43%)，其次是本(專)科學歷(共230人，占38%)，再者是高中學歷(共67人，占11%)，研究生學歷和小學學歷占比較小。在有職業(yè)的罪犯中，有超1/3接受過高等教育。對于個人信息這類無形財產(chǎn)而言，價值性、無消耗性、易轉移性特征使得犯罪人有利可圖又不易引起察覺。在判決書中發(fā)現(xiàn)，一部分犯罪人并不認為非法獲取和非法提供他人信息是犯罪行為，最多是違法行為或侵權行為。這說明在法定犯逐步遞增的同時，民眾法律意識仍有較大提升空間。

從侵犯公民個人信息犯罪者的“職業(yè)”分布來看，無業(yè)人員比例最高(共327人，占54%)，其次是服務業(yè)人員(共159人，占26%)，再者是個體戶人員(共26人，占11%)、公務單位人員(共43人，占7%)、事業(yè)單位人員(共8人，占2%)。從對有職業(yè)的犯罪者進行比較可看出，服務業(yè)從業(yè)人員占比最高(共159人，占57%)?！吨袊缸镄蝿莘治雠c預測(2017-2018》指出，“內鬼”監(jiān)守自盜和黑客攻擊仍是公民個人信息泄露的主要渠道。此外，人數(shù)占比最少的公務單位人員和事業(yè)單位人員的刑罰幅度相對較高，原因在于刑法規(guī)定將履職過程中泄露個人信息給他人的行為施加重罰，重罰的背后是此類行為人實施個人信息犯罪的后果將更為嚴重。還有，判決表明有職業(yè)者往往與無業(yè)人員形成犯罪團伙關系，即上游負責利用職務便利條件獲取他人個人信息，中游的中間商則專門從事個人信息的買賣服務，下游的犯罪者利用非法獲取的個人信息實施“精準詐騙”等犯罪行為。綜上，有必要進一步規(guī)范個人信息的搜集、使用和監(jiān)管制度。

三、當前侵犯公民個人信息犯罪的刑事司法樣態(tài)分析

我國個人信息犯罪刑事規(guī)制經(jīng)歷了從無到有、從簡到詳?shù)陌l(fā)展過程，犯罪行為隨著科技發(fā)展與市場需求亦不斷變化。通過對335份侵犯公民個人信息罪刑事判決書的剖析，能對當前該罪的刑事司法樣態(tài)進行理性歸納。

(一)侵犯公民個人信息行為定罪主要以“數(shù)量”和“數(shù)額”為標準

根據(jù)罪狀及司法解釋，侵犯公民個人信息50條以上可認定為“情節(jié)嚴重”，500條以上可認定為“情節(jié)特別嚴重”。研究中發(fā)現(xiàn)，侵犯公民個人信息數(shù)量往往較為巨大，故選擇了50條、5 000條和5萬條這三個較為集中的數(shù)量區(qū)間(見表1)。

表1 侵犯公民個人信息數(shù)量統(tǒng)計

如表1所示，具有該“數(shù)量”情節(jié)的犯罪主體共452人，各統(tǒng)計區(qū)間侵犯公民個人信息數(shù)量占比相對平均。其中，侵犯個人信息5 000條以上不滿5萬條占比最高(共181人，占40%)，其次是侵犯個人信息50條以上不滿5 000條的(共136人，占30%)和侵犯個人信息5萬條以上的(共135人，占30%)。根據(jù)上述數(shù)據(jù)和《中國犯罪形勢分析與預測(2017-2018》可知，我國侵犯公民個人信息犯罪呈現(xiàn)涉案個人信息種類和數(shù)量日益增長的趨勢，并且侵犯公民個人信息的渠道、方式和群體亦呈現(xiàn)增多態(tài)勢。值得注意的是，在我們統(tǒng)計的335份刑事判決中，有的判決僅寫明“侵犯公民個人信息5 000余條”，有的判決甚至回避了對侵犯個人信息條數(shù)的數(shù)量統(tǒng)計，可推測司法機關在實踐中就個人信息條數(shù)認定存在一定的困惑，故有必要就侵犯公民個人信息犯罪中信息條數(shù)的認定規(guī)則做進一步研究。

就“數(shù)額”情節(jié)而言，統(tǒng)計區(qū)間分布以侵犯公民個人信息罪的規(guī)定和相關司法解釋為依據(jù)，侵犯公民個人信息違法所得數(shù)額5 000元以上的可認定為“情節(jié)嚴重”，5萬元以上的可認定為“情節(jié)特別嚴重”，故將統(tǒng)計區(qū)間劃分為以下三個(見表2)。

表2 侵犯公民個人信息違法數(shù)額統(tǒng)計

如表2所示，侵犯公民個人信息違法所得數(shù)額占比最高的是1萬元以上不滿5萬元的區(qū)間(共136人，占54%)，其次是5萬元以上的區(qū)間(共65人，占26%)，最后是5 000元以上不滿1萬元的區(qū)間(共53人，占20%)。

綜上，通過分析侵犯公民個人信息的“數(shù)量”情節(jié)和“數(shù)額”情節(jié)可知，一是“數(shù)量”和“數(shù)額”不能單獨反映出侵犯公民個人信息行為的社會危害性，必須進行綜合判斷；二是不同地區(qū)對相同的“數(shù)量”情節(jié)或“數(shù)額”情節(jié)的刑事危害性評價存在較大差距。通過查閱相關文獻資料可知，受經(jīng)濟差距的影響，對于相同的“數(shù)量”或“數(shù)額”，發(fā)達地區(qū)的危害性評價相較于不發(fā)達的地方要低。

(二)個人信息犯罪刑罰輕緩化趨勢明顯

本研究記錄了準確的主刑裁量區(qū)間。各區(qū)域侵犯公民個人信息犯罪“情節(jié)特別嚴重”的分布情況為：東北(8人)，華北(12人)，華中(9人)，華東(21人)，華南(8人)，西南(16人)，西北(13人)。具體而言，《刑法修正案(七)》首次規(guī)定了非法獲取公民個人信息罪，《刑法修正案(九)》將該罪名修改為侵犯公民個人信息罪，該罪主刑量刑區(qū)間為“情節(jié)嚴重的，處三年以下有期徒刑或者拘役，情節(jié)特別嚴重的，處三年以上七年以下有期徒刑”。2017年兩高出臺的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》進一步明確了“情節(jié)嚴重”和“情節(jié)特別嚴重”的適用條件。從生效判決可以看出，有期徒刑不滿一年的占比最大(共227人，占38%)，有期徒刑一年以上不滿二年的占比次之(共169人，占28%)，再者是有期徒刑三年以上(共121人，占20%)，相對占比較小的是拘役(共48人，占8%)和有期徒刑二年以上不滿三年(共39人，占6%)。此外，侵犯公民個人信息犯罪人的緩刑的適用率較高(共222人，占總人數(shù)的36.8%)，免刑率較低(共6人，占1%)。以上數(shù)據(jù)共同說明了三方面的問題：一是個人信息犯罪刑事規(guī)制形勢仍較為嚴峻，相應的灰黑色產(chǎn)業(yè)鏈條已經(jīng)形成并逐步擴張，個人信息源頭安全把控仍為該現(xiàn)象的治理關鍵；二是體現(xiàn)了現(xiàn)代刑法的輕緩化，這要求刑法通過多種途徑控制和預防犯罪；三是緩刑的適用條件和實際效果有待深入剖析。

(三)個人信息犯罪的量刑與涉案金額呈不完全正相關關系

侵犯公民個人信息罪的附加刑是單處罰金和并處罰金。并處罰金占比較高(共570人，占94%)，單處罰金占比較低(共31人，占5%)，剩余6人免于刑事處罰。在罰金額度層面，被判處1萬元以上不滿5萬元者占比最高(共281人，占46%)，其次是被判處罰金1萬元以下者(共266人，占44%)，最后是被判處罰金5萬元以上不滿10萬元者(共40人，占6%)和被判處罰金10萬元以上者(共14人，占4%)。一般說來，設置罰金刑的目的在于實現(xiàn)威懾、剝奪、替代和預防。侵犯公民個人信息犯罪中罰金刑的不同目的，將對罰金刑和自由刑的關系產(chǎn)生重要影響。

(四)侵犯公民個人信息犯罪人多具有法定減輕處罰情節(jié)且共犯認定少

從侵犯公民個人信息犯罪人量刑情節(jié)的分布情況看，自首(共49人，占8%)，坦白(共324人，占43%)，認罪(共182人，占30%)，退贓(共126人，占21%)，共同犯罪(共74人，占12%)。具有法定的量刑情節(jié)，法官可據(jù)此判斷“犯罪情節(jié)是否輕微”“再犯危險性程度高低”。從生效判決的研究發(fā)現(xiàn)，自首、認罪、退贓對于侵犯公民個人信息犯罪者的緩刑適用影響最大，有前科、實施數(shù)罪、共同犯罪則是侵犯公民個人信息犯罪者使用緩刑的消極要素。相較而言，法官在司法實踐中更傾向于“以不宣告緩刑為原則，以宣告緩刑為例外”的立場，這說明了消極要素的作用更為明顯。

四、侵犯公民個人信息犯罪刑事規(guī)制的困境剖析

黨的十九大報告提出“保護人民人身權、財產(chǎn)權、人格權”，這與保護個人信息權的價值取向相一致，并凸顯個人信息立法保護問題在大數(shù)據(jù)時代的重要意義。我國個人信息保護立法以“先刑后民”為特點為個人信息保護提供法律依據(jù)。我國刑法自2009年首次設立個人信息類犯罪至今，在預防和懲處個人信息犯罪領域起到了不可替代的作用。隨著信息化社會的逐步深入，以大數(shù)據(jù)技術、人工智能為代表的科技發(fā)展對個人信息的保護和利用提出了更高的要求。

(一)現(xiàn)行法律對于侵犯公民個人信息犯罪的法益界定問題

個人信息犯罪是信息社會深入發(fā)展的產(chǎn)物，在傳統(tǒng)刑事立法體系中可歸于新型犯罪。隨著侵犯個人信息行為的大肆擴張與危害顯現(xiàn)，該類危害行為被刑法明文規(guī)定為犯罪。2017年，《最高人民法院與最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)細化了該罪的司法適用細則。隨著民法總則將“個人信息權”明文規(guī)定為公民權利，個人信息保護法益的定位從側重于保護人身權向兼顧保護公民人身權、財產(chǎn)權和人格權轉向。就現(xiàn)狀而言，我國刑法規(guī)范與司法解釋關于個人信息犯罪的法益定位仍存在完善空間。

1.刑事立法中對侵犯公民個人信息行為的法益界定

法益是指刑法所保護的利益。侵犯公民個人信息罪規(guī)定于我國《刑法》第253條之一，歸屬于《刑法》第四章侵犯公民人身權利、民主權利罪之中。由此可知，現(xiàn)行立法對于侵犯公民個人信息犯罪的保護法益偏向于個人隱私或個人人格，強調對于侵犯個人信息行為的禁止。

2.司法解釋中對侵犯公民個人信息行為的法益界定

《解釋》中明確了“情節(jié)嚴重”和“情節(jié)特別嚴重”的規(guī)定，尤其是對“侵犯信息條數(shù)”“違法所得數(shù)額”和“重大嚴重后果”進行了闡釋，從個人信息主體的人格權、人身權和財產(chǎn)權三個方面完善了侵犯公民個人信息罪的法益保護，在司法實踐中傾向于個人信息權的法益保護立場，且法益保護核心是公民個體對于信息的專有權。

3.個人信息犯罪案件審理中的法益識別問題

個人信息犯罪的法益定位決定了法官對于此類案件的審理思路與判決依據(jù)。若個人信息犯罪法益保護規(guī)定明顯滯后，難免會導致定罪不一或量刑失衡的現(xiàn)象。個人信息包含的人身屬性和財產(chǎn)屬性在大數(shù)據(jù)時代更為明顯，侵犯公民個人信息罪所保護的公民人身權利法益則是該罪在司法判定過程中法益識別與法益度量的核心因素。法益識別解決的問題是，司法官判別個人信息犯罪行為法益侵害性高低和采取刑事懲罰與否的標準，以準確落實法益保護。人身法益是刑法明文規(guī)定侵犯公民個人信息犯罪的保護法益，犯罪客體則是公民個人的人身權、人格權。就該罪而言，財產(chǎn)權利亦是保護法益的重要內涵?，F(xiàn)行立法對于個人信息犯罪財產(chǎn)法益保護的忽視，導致各地法院對該罪罰金刑裁量的結果差距很大，以致于罰金刑功能發(fā)揮受限且影響整個刑事治理效果。本研究選取的生效判決主要來自全國的基層人民法院，在不同地域、不同經(jīng)濟環(huán)境下的法官對法益識別與度量會存在較大差異。正是由于個人信息犯罪法益侵害的多元性，學術界對于個人信息犯罪法益定位亦議論紛紛。

4.個人信息犯罪保護法益的爭論

關于侵犯公民個人信息罪的保護法益，學界主要存在四種觀點的爭論。其一是隱私權說，該說認為個人信息犯罪的保護法益是個人隱私，側重保護精神性的人格權，注重對私人生活、個人秘密的自主決定[1]。其二是人格權說，該說認為個人信息犯罪以人格權為保護法益，重視對個人人格利益的保護，是隱私權說的延伸，與隱私權模式相比較，人格權保護模式的保護范圍更寬，能夠覆蓋所有的個人信息[2]。其三是財產(chǎn)權說，該說主張個人信息重在保護財產(chǎn)屬性，當社會發(fā)展到一定程度時信息則不再依賴有形載體。賦予個人以信息權，以解決隱私權說和人格權說均無法有效解決的個人信息財產(chǎn)賠償問題[3]。其四是個人信息權說，該說認為個人信息權屬于人格利益與財產(chǎn)利益相結合的綜合性法益，一方面包括積極使用并許可他人使用的權利，另一方面包括消極防御他人侵害的權利，兼具人格權和財產(chǎn)權[4]。個人信息權說又可細分為兩種見解：第一種見解認為個人信息權以公民個人的信息專有權為基礎；第二種見解認為個人信息權應以個人信息的社會屬性為前提，否則難以回應如公司客戶名單泄露導致的侵犯個人信息等問題[5]。侵犯公民個人信息罪保護法益的明確，將深刻影響本罪的適用范圍和規(guī)制界限。從個人信息保護法益的歷史沿革看，即是立法、司法為適用日新月異的數(shù)據(jù)處理技術而不斷修正的過程，反映了此類不法行為具有明顯的科技與網(wǎng)絡依賴性、手段與危害多元性的特征。

下面將對上述觀點加以具體分析。首先，隱私權說與人格權說反映至刑事立法上的不足在于規(guī)制半徑過窄、規(guī)制措施針對性不強和追訴程序略顯滯后。規(guī)制半徑過窄是指將侵犯公民個人信息罪置于公民人身權利、民主權利一章之中，不能匹配大數(shù)據(jù)時代侵犯公民個人信息行為的損害擴張，無法對個人信息財產(chǎn)損失與賠償提供適當?shù)姆梢罁?jù)。規(guī)制措施針對性不強是指刑事治理的手段較為單一，立法著眼于消極預防和事后救濟，導致刑事治理效果與預期差距甚遠。追訴程序略顯滯后是現(xiàn)行的個人信息犯罪追訴程序缺乏對個人信息主體的訴求滿足，并且過多增加了司法資源的緊張程度。其次，財產(chǎn)權說的弊端在于忽視了個人信息精神利益的第一性，導致財產(chǎn)懲罰中缺乏精神損害的法理依據(jù)，無法對個人信息侵害行為作出妥當?shù)姆稍u價。最后，個人信息權能夠較好地結合人格權，注重消極防御他人非法侵害的側面，同時重視保護財產(chǎn)，即信息的積極使用以及許可他人使用信息，在刑事立法上表現(xiàn)了刑法前置化和實現(xiàn)積極預防。重視個人信息的社會屬性，轉變以公民個體的信息自決權為核心的保護思路，逐步實現(xiàn)從安全本位向權利本位過渡，這與我國建設法治現(xiàn)代化的現(xiàn)實需求高度契合。綜上，我們在查閱相關文獻資料的基礎上認為應將個人信息權作為個人信息犯罪的保護法益，并在刑事司法中逐步更新規(guī)范。

圖5示，與CON組相比，OPC組、IGF-1組和OPC+IGF-1組LC3-Ⅱ相對表達量分別為10.32±0.31、1.02±0.20和5.73±0.11，F(xiàn)值分別為5 083.113、524.294和583.542，均P<0.001，OPC與IGF-1主效應均有統(tǒng)計學意義，兩者聯(lián)合有拮抗效應；p62相對表達量分別為0.64±0.02、1.03±0.02和0.87±0.01，F(xiàn)值分別為1017.038、257.225和162.558，均P<0.001，OPC與IGF-1主效應差異均有統(tǒng)計學意義，兩者聯(lián)合有拮抗效應。說明OPC通過抑制 PI3K/AKT 信號通路誘導TU686細胞發(fā)生自噬。

(二)個人信息犯罪中法人責任追訴的缺失問題

從犯罪主體分布看，自然人犯罪占絕大多數(shù)(共604人，占99.5%)，其中18～30歲犯罪人共417人，占69%，而追究法人刑事責任的情形較少(共3人，占0.05%)。在有職業(yè)的犯罪者中，服務業(yè)從業(yè)人員占比最高(共159人，占57%)。由上可知：一是服務型企業(yè)人員侵犯公民個人信息罪的可能性較高，從年齡分布可推測人員主要涉及一線員工和中層管理人員。從判決書中我們發(fā)現(xiàn)，企業(yè)員工多通過網(wǎng)絡購買、相互交易、相互交換的方式獲取他人個人信息，侵犯個人信息條數(shù)集中在5 000條至5萬條區(qū)間，其行為目的主要是用于商業(yè)推廣和精準營銷。二是法人作為利益的最終享有者，追訴率偏低，導致犯罪收益與犯罪成本比例失衡。個人信息作為企業(yè)發(fā)展的重要資源，非法獲取、使用個人信息行為在企業(yè)負責人觀念中多是涉及不正當競爭，而遺憾的是該類行為的行政責任與刑事責任之間缺乏有機銜接，導致行為評價出現(xiàn)斷層。在大數(shù)據(jù)時代，企業(yè)對于數(shù)字化經(jīng)濟發(fā)展的推動功不可沒，但部分企業(yè)已經(jīng)淪為個人信息泄露的重災區(qū)，這不禁讓我們進行反思。對此，一方面，企業(yè)過度搜集個人信息、超權限使用個人信息的行為較為普遍，目前追訴率低、責任承擔少的現(xiàn)狀加劇了該類不法行為的蔓延；另一方面，“個人信息隱身份制度”尚未確立，企業(yè)是否享有經(jīng)匿名處理后屬于間接個人信息的數(shù)據(jù)所有權仍缺乏法律依據(jù)。此外，法人的不作為責任在個人信息犯罪中的適用問題亟待解決。以刑法手段超前規(guī)制嚴重的個人信息侵害行為只能暫時抑制該類行為的擴張，要扭轉目前“重打擊、輕管理”的狀況，急需解決的是涉?zhèn)€人信息企業(yè)的內部管理和外部監(jiān)管問題。只有有效引導、監(jiān)管和規(guī)制企業(yè)對于個人信息的相關行為，尤其是規(guī)模以上的企業(yè)，才能將個人信息保護予以落實，實現(xiàn)刑法適用的平等性，避免陷入隔靴搔癢的治理困境。

(三)司法實踐中個人信息犯罪的“信息數(shù)量”認定問題

隨著信息化社會的深入發(fā)展，以云計算、大數(shù)據(jù)、人工智能為代表的信息革命正加快改變著我們的生活，各類生產(chǎn)要素和生活信息日益轉變?yōu)閿?shù)據(jù)，并以網(wǎng)絡為依托進而影響整個人類社會。數(shù)據(jù)化產(chǎn)業(yè)發(fā)展的核心在于對個人信息的充分利用，實現(xiàn)個性化服務和滿足群體性需求，個人信息包含的人身屬性和財產(chǎn)屬性正成為數(shù)據(jù)市場競爭中的重要資源。刑法規(guī)定公民個人信息犯罪屬于情節(jié)犯，《解釋》對侵犯公民個人信息罪中的信息條數(shù)規(guī)定了明確的定量標準和認定規(guī)則。侵犯公民個人信息罪中的信息條數(shù)作為重要的構成要件要素，對于區(qū)分罪與非罪、罪輕與罪重具有重要作用。但我們從生效判決中發(fā)現(xiàn)，部分文書中沒有寫明具體的涉案個人信息數(shù)量和獲利數(shù)額，也未就涉案個人信息的真?zhèn)涡?、重復性作出判斷，而是僅寫明通過買賣個人信息獲取差價牟利，即認定構成犯罪和判處刑事責任。司法實踐中的困惑可概括為二方面。一是認定公民個人信息數(shù)量的標準是什么？對于本罪而言，個人信息數(shù)量兼具有主觀性質和客觀性質，并且在不同情形下呈現(xiàn)不同的性質，應當如何實現(xiàn)“數(shù)量”認定上的統(tǒng)一？二是個人信息犯罪中“批量”信息應如何理解與適用？

(四)刑罰輕緩化趨勢下個人信息犯罪的刑罰適用問題

刑罰輕緩化是世界刑事立法的主流趨勢，反映了人道主義的重要發(fā)展和人權保障的時代進步。刑罰輕緩化反映至刑罰立法上表現(xiàn)為人身刑罰減少，財產(chǎn)刑罰增加，換言之，即逐步下調刑罰區(qū)間和提升罰金刑地位。在侵犯公民個人信息犯罪中，刑罰輕緩化的趨勢較為明顯，并且存在一些亟待解決的問題。

第一，個人信息財產(chǎn)權利保護較弱，且各地罰金量刑標準差距較大。根據(jù)《解釋》第12條的規(guī)定，罰金數(shù)額一般在違法所得的一倍以上五倍以下。研究中發(fā)現(xiàn)，比較部分案件中罰金數(shù)額的確定讓人疑惑。例如，在(2017)京0105刑初543號案件中，行為人侵犯他人個人信息15萬余條，判處罰金30萬元；在(2017)內0802刑初9號案件中，行為人侵犯他人個人信息200萬余條，判處罰金3萬元；又如，在(2017)黔0222刑初22號案件中，行為人非法獲利30余萬元，判處罰金5 000元。由上可知，罰金數(shù)額與犯罪情節(jié)之間的關系飄忽。對此，我們研究后認為，其一，現(xiàn)行個人信息保護刑事立法側重于人格權和人身權，對于財產(chǎn)權保護較弱，導致罰金數(shù)額整體不高。其二，各地法院對于個人信息犯罪罰金量刑標準掌握不一，導致罪刑不均衡。其三，法官對于犯罪人的經(jīng)濟狀況了解甚少，導致司法實踐中罰金刑存在執(zhí)行結案率低[6]等問題，以致罰金刑諸多功能難以實現(xiàn)。關于準確適用刑罰的意義，有觀點指出：只有公正的刑罰，才能對一般人產(chǎn)生威懾作用，對一般人的法律意識起強化作用，并對行為人產(chǎn)生威懾和教育作用[7]507。因此有必要深入探討個人信息犯罪罰金裁量的具體標準。

第二，侵犯公民個人信息犯罪緩刑適用條件缺乏確定性。前述提及，近三年我國侵犯公民個人信息犯罪人緩刑的適用率較高(共222人，占總人數(shù)的36.8%)，接近發(fā)達國家約40%緩刑率的水平。從歷史沿革看，我國緩刑制度適用率總體偏低，一般緩刑制度經(jīng)《刑法修正案(八)》修正后，優(yōu)化了操作性和明確性，從而推動了緩刑適用率上升。在司法實踐中我們發(fā)現(xiàn)，司法官就如何理解與適用“犯罪情節(jié)較輕”和“沒有再犯罪的危險”存在一定的偏差，且就個人信息犯罪屬于上游犯罪的地位考慮不足，這共同導致了個人信息罪犯緩刑適用過泛。有觀點就此指出，我國法官更傾向于從罪行整體輕重的角度來解讀“犯罪情節(jié)較輕”，但是由于缺乏剛性約束，法官們往往又能輕易突破這個自設的限制，進而對大量減輕處罰至三年有期徒刑的罪犯適用緩刑[8]。因此，在個人信息犯罪緩刑適用中，應以犯罪預防目的作為緩刑正當性事由，逐步為緩刑適用注入確定性因素。

五、侵犯公民個人信息犯罪刑事治理的完善對策

大數(shù)據(jù)環(huán)境下，個人信息犯罪呈現(xiàn)的多端變化對刑事治理提出了更高的要求，不僅是刑事立法上的理念更新和原則延伸，更是刑事規(guī)制實踐中的標準優(yōu)化與程序完善。

(一)個人信息權保護法益的適時確立與適用思路

(二)侵犯公民個人信息犯罪法人責任的合理分配

目前侵犯公民個人信息犯罪中法人責任追訴率明顯偏低，而導致該問題的原因主要是罪名適用范圍較窄和行政犯銜接較弱。對此，我們建議一方面擴大侵犯公民個人信息罪于法人的適用范圍，另一方面優(yōu)化侵害公民個人信息行為的法律規(guī)制體系。詳言之，第一，在《刑法》第253條之一中增添一款“單位不履行法律、行政法規(guī)規(guī)定的公民個人信息安全管理義務，導致公民個人信息泄露等嚴重后果的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人人員，依照各該款項的規(guī)定處罰”。就此條款而言，侵犯公民個人信息罪法人的主觀要件為過失，屬于過失責任。理由在于，這既能從刑事立法層面提高涉公民個人信息企業(yè)的注意義務，又能與拒不履行信息網(wǎng)絡安全管理義務罪和幫助信息網(wǎng)絡犯罪活動罪構成公民個人信息安全監(jiān)管責任的刑事規(guī)制體系，避免法條之間的功能重疊；更可從刑事立法層面提高涉公民個人信息企業(yè)的注意義務，充分實現(xiàn)刑法的指引功能、評價功能和教育功能。第二，完善法律和行政法規(guī)中企業(yè)的個人信息安全管理責任，實現(xiàn)法律評價的有機銜接。刑法的發(fā)展在自由價值和安全價值之間徘徊前進，刑法的極端化發(fā)展必然會遭受到惡法的質疑，因此刑法必須秉持謙抑性原則[11]。刑法謙抑性要求刑法僅能置于最后法的地位，只有在其他部門法無法有效規(guī)制某類危害行為時，刑法才具有規(guī)制該行為的正當性[12]。我國個人信息犯罪立法呈現(xiàn)“先刑后民”的顯著特點，從司法實踐上看是產(chǎn)生了積極的社會效果，但從立法發(fā)展看，應當逐步完善法律和行政法規(guī)中企業(yè)的個人信息安全管理責任，實現(xiàn)法律評價的有機銜接?！毒W(wǎng)絡安全法》的出臺明確了相關部門的工作范圍與責任。同時，為進一步落實《網(wǎng)絡安全法》的各項要求，具有立法權限的政府部門應進一步細化企業(yè)個人信息安全管理法律責任的構建要件。對此，我們建議國家網(wǎng)信部門應適時出臺行政規(guī)范，規(guī)定“違反本條例規(guī)定，有下列侵權行為之一的，根據(jù)情況承擔停止侵害、消除影響、賠禮道歉、賠償損失等民事責任；同時損害公共利益的，可以由網(wǎng)信部門責令停止侵權行為，沒收違法所得，非法經(jīng)營額5 000元以上的，可以處非法經(jīng)營額一倍以上五倍以下的罰款；沒有非法經(jīng)營額或者非法經(jīng)營額5 000元以下的，根據(jù)情節(jié)輕重，可處10萬元以下的罰款；構成犯罪的，依法追究刑事責任。一，企業(yè)未在公民授權的范圍內搜集和使用個人信息；二，企業(yè)疏于監(jiān)管而導致公民個人信息泄露，情節(jié)嚴重的”。第三，逐步確立“個人信息隱身份制度”，確認企業(yè)數(shù)據(jù)產(chǎn)權。所謂個人信息隱身份制度，是指數(shù)據(jù)控制者將數(shù)據(jù)集中可識別個人身份的數(shù)據(jù)進行刪除或者改變的過程。該項制度又被稱為“數(shù)據(jù)脫敏處理”(data desensitization)，學術研究多存在于計算機學科，本質在于將個人信息中的直接識別信息進行剔除，僅就部分的間接識別信息提供合法使用[13]。合理恰當?shù)剡\用“個人信息隱身份制度”，將個人信息進行模糊化處理，能更好地促進政府數(shù)據(jù)開放水平和拓寬企業(yè)數(shù)據(jù)利益空間，利于實現(xiàn)“數(shù)據(jù)產(chǎn)權制度”的構建，避免企業(yè)面臨諸多的合規(guī)風險。對此，首先，應確立個人信息分類，明確個人信息保護的界限，規(guī)范政府的數(shù)據(jù)公開與企業(yè)的數(shù)據(jù)利用；其次，確立數(shù)據(jù)流通的原則與規(guī)定，要求并引導企業(yè)落實“個人信息隱身份制度”，由專門部門對企業(yè)進行長效監(jiān)管，科學避免個人信息侵害風險；最后，重點監(jiān)管和打擊個人身份再識別行為，即通過數(shù)據(jù)使用許可協(xié)議，限制個人信息的使用與披露，在發(fā)現(xiàn)違反使用許可協(xié)議時，依行為性質追究信息再識別行為人的法律責任。

(三)侵犯公民個人信息罪中信息條數(shù)認定的司法規(guī)則優(yōu)化

雖然《解釋》對于個人信息條數(shù)的計算和認定出臺了相關的規(guī)定，但司法實踐中仍對該問題有著不同的看法。關于公民個人信息數(shù)量的認定標準，存在著“主觀說”和“客觀說”的爭議，在查閱相關文獻資料的基礎上，我們建議采用“主客觀結合說”。首先，“主觀說”認為，應當以行為人主觀意欲出售或者提供的方式來認定公民個人信息的條數(shù)。換句話說，行為人將多條特定個人信息進行統(tǒng)一編輯，其主觀目的在于出售或提供編輯完畢的個人信息。其次，“客觀說”主張，應依據(jù)涉案公民個人信息客觀可能侵害的法益進行認定。即行為人將他人個人信息按照人身信息、財產(chǎn)信息等分類編輯成一條信息，但該條個人信息在客觀上卻指向被害人的多項法益，應當在數(shù)量上認定為多條個人信息。在研究中發(fā)現(xiàn)，司法實踐多采用“主觀說”，即對于查獲的個人信息在排除重復、不真實的信息后予以直接認定[14]。主觀說的優(yōu)勢可概括為兩點，其一是能節(jié)約有限的司法資源且提高辦案效率，其二是司法機關認定的依據(jù)是行為人編輯的原始數(shù)據(jù)且異議可能性較小，進而案件質量較有保證。然而在司法實踐中，個人信息犯罪的信息條數(shù)根據(jù)信息類型的不同而劃分為不同的入罪門檻。因此采用一刀切的方式或適用“主觀說”或適用“客觀說”，并不能有效解決實踐中的信息條數(shù)認定困難。因此，我們建議采用“主客觀結合說”。詳言之，其一，在信息數(shù)量直接影響罪與非罪、犯罪情節(jié)輕重判斷的情況下，以客觀說為依據(jù)，仔細甄別信息涉及的保護法益，并依據(jù)所侵犯的法益數(shù)量評價犯罪構成及罪數(shù)情況。其二，在個人信息條數(shù)達到一定規(guī)模時，且信息數(shù)量的認定不會影響罪與非罪、法定刑檔次的選擇時可以采用主觀說。采用主客觀結合說，既能確保個人信息犯罪中的正義實現(xiàn)，又能較好地解決司法資源緊張的問題。

關于公民個人信息犯罪中“批量信息”的理解與適用，我們認為應以涉案個人信息數(shù)量達5 000條為標準?！督忉尅返?1條規(guī)定，對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實或者重復的除外。為準確適用《解釋》，我們認為應著重把握以下三點內容。其一，結合《解釋》關于個人信息類別的劃分及犯罪情節(jié)設定，“批量公民個人信息”宜認定為數(shù)量在五千條以上的公民個人信息[15]。對于未達到此數(shù)量標準的個人信息，建議采用客觀說對“敏感”個人信息和“重要”個人信息進行逐一甄別，避免國家刑罰權力的濫用。其二，控方運用抽樣檢測辦法驗證信息真?zhèn)?。在生效判決中我們發(fā)現(xiàn)，部分判決未寫明涉案個人信息鑒定的程序與結果?！督忉尅芬?guī)定對于批量個人信息可以查獲的數(shù)量直接認定，但缺乏證明標準和證明程序，很可能導致司法不公的情況出現(xiàn)。對此，我們建議推廣適用抽樣取證的辦法，即通過抽樣檢測以表明涉案個人信息為真的高度蓋然性，從概率上建立起基礎實施和推定事實之間的常態(tài)聯(lián)系。其三，保障犯罪嫌疑人的反駁權利?！督忉尅芬?guī)定，對于犯罪嫌疑人能夠舉證證明信息重復或者不真實的，不計入涉案個人信息。對于批量個人信息數(shù)量的計算，控方只需要對基礎事實提出證據(jù)加以證明即可完成舉證責任，而犯罪嫌疑人則需要提供反駁、反證使控方的主張或事實處于真?zhèn)尾幻鞯臓顟B(tài)[16]。犯罪嫌疑人擁有的反駁權不僅是刑事訴訟中辯護權的延伸，而且是刑事訴訟推定證明中法律賦予被告人的舉證負擔。

(四)侵犯公民個人信息犯罪刑罰適用的完善思路

第一，側重一般預防的需求，規(guī)范罰金裁量的適用標準，逐步設立罰金緩刑制度和罰金替代制度。對于少發(fā)、偶發(fā)的犯罪，往往側重于特殊預防的需要；對于多發(fā)、常發(fā)的犯罪，則側重于一般預防的需求[7]518。刑法對于個人信息犯罪的干預應當秉承謹慎與寬和的態(tài)度，重視刑罰措施的輕緩性、多樣性和實效性。

針對罰金刑數(shù)額差距大的問題，在查閱相關文獻資料的基礎上我們認為，可在個人信息犯罪案件庭審中探討建立相對獨立的量刑程序。具體而言，在法庭調查階段，法官先就犯罪行為的定罪事實和相關證據(jù)進行調查，此后就涉案的量刑事實和相關證據(jù)進行調查。在法庭辯論階段，應保障訴訟雙方能就涉案的量刑問題展開充分的辯論。在判決書撰寫過程中，法官應明確寫明量刑的事實與依據(jù)，尤其是具有法定情節(jié)的法律事實，實現(xiàn)“看得見的正義”。

針對單處罰金適用率較低且罰金執(zhí)行率較低的情況，一方面應逐步避免非必要的短期自由刑，擴大罰金刑的適用范圍，另一方面可借鑒德國刑事立法經(jīng)驗，增設罰金緩刑制度。我國刑法中對性質較重的自由刑和財產(chǎn)刑都規(guī)定了緩刑的適用條件，然而對于性質較輕的罰金刑卻無緩刑的適用空間，不符合“舉重以明輕”的法理和邏輯。值得注意的是，罰金緩刑制度的適用應受到嚴格限制，并設置相應的考驗期限。就個人信息犯罪而言，建議將罰金緩刑的適用條件設定為最高罰金數(shù)額10萬元，以兩年作為考驗期限，并規(guī)定累犯、主犯不得適用。

針對個人信息犯罪罰金執(zhí)行難的問題，亦可借鑒德國關于罰金替代制度的規(guī)定，即在罰金無法執(zhí)行的情況下，可以自由刑替代罰金刑、以義務勞動間接替代罰金刑。罰金替代制度的目的在于實現(xiàn)刑法的平等適用，讓所有的個人信息罪犯受到應有的懲罰，杜絕作為懲罰和預防輕罪重要手段的罰金刑淪為擺設[17]。進而，對于因生活苦難無力繳納罰金、有能力卻拒絕繳納罰金的個人信息罪犯，可以通過建立自由刑替代或以社區(qū)義務勞動等社區(qū)服刑方式替代罰金刑的制度，確保罰金刑能夠得到有效執(zhí)行，實際發(fā)揮刑罰的應有作用。

第二，明確緩刑適用的前提要件和實質要件。個人信息罪犯適用緩刑的前提要件是指“犯罪情節(jié)較輕”，應側重考慮刑罰的報應因素。司法實踐中法官普遍將“犯罪情節(jié)較輕”理解為罪行整體較輕，進而對社會危害性相對高的罪犯不適用緩刑。法官從“犯罪情節(jié)較輕”整體性進行緩刑適用考量具有一定的合理性，但涉及的情節(jié)過多會導致規(guī)范冗余且緩刑制度內外沖突。因此，在查閱相關文獻的基礎上我們認為對“犯罪情節(jié)較輕”的考量應著重于“人身危險性較輕”與“再犯罪危險性較輕”。個人信息罪犯適用緩刑的實質要件是指“沒有再犯罪的危險”，應側重考慮刑罰的特殊預防因素。此外，要真正實現(xiàn)緩刑制度的科學適用，就應逐步轉變“裁判結果中心主義”，即只要法官不存在違反職業(yè)倫理規(guī)范的行為，就不應以判決不當或判決有誤來追究法官的責任。

六、小 結

隨著數(shù)據(jù)產(chǎn)業(yè)的蓬勃發(fā)展，以侵害公民個人信息為邏輯起點的網(wǎng)絡犯罪不斷蔓延。數(shù)據(jù)表明，我國個人信息犯罪案件近年來呈現(xiàn)倍增式的上升，原因在于社會持續(xù)關注、刑法修正案出臺、司法解釋頒行和專項打擊增加。分析可知，個人信息罪犯呈現(xiàn)年輕化和團伙化的特征，且追究單位刑事責任概率偏低。個人信息犯罪行為呈現(xiàn)侵犯對象增加和犯罪手段翻新的變化。從刑事司法樣態(tài)考察，個人信息犯罪以“數(shù)量”和“數(shù)額”作為入罪情節(jié)，法官對該犯罪構成要件要素進行綜合判斷后對行為人宣告判決。就刑罰裁量而言，個人信息犯罪呈現(xiàn)“重身體刑而輕財產(chǎn)刑”的傾向，并且各地法院判處罰金刑的標準差距較大。個人信息犯罪緩刑率偏高使得緩刑適用的準確性和實效性受到質疑。對此，首先應確立個人信息權法益，兼顧個人信息中的人身權、人格權和財產(chǎn)權保護。其次，合理分配企業(yè)的個人信息安全保護法律責任，引導企業(yè)做好內部監(jiān)管和落實政府監(jiān)督職能。再者，以“主客觀結合說”為依據(jù)優(yōu)化個人信息罪中信息條數(shù)的認定規(guī)則。最后，通過罰金刑和緩刑的制度性優(yōu)化，充分實現(xiàn)刑罰制度的積極作用。