侵犯公民個人信息罪的刑罰研究

■朱凡雨

（安徽大學法學院，安徽 合肥 230000）

一、刑法語境下公民個人信息概述

（一）個人信息在刑法中的定義

在刑法中，公民個人信息是由個人隱私與個人專屬信息組成的。個人信息不能僅僅局限于個人隱私，個人隱私是公民個人不愿意向公眾公開或者為公眾所知曉的秘密，即不會危害公共利益，自己所保有的對自己的私有領(lǐng)域、私人活動的自由支配的權(quán)利。公民個人所專屬的信息比如身份證信息、家庭住址、婚姻狀況等也都屬于公民個人信息的范疇。一般來說，一個人的種族、膚色、年齡、婚姻、家庭狀況、宗教信仰、思想觀點、興趣愛好、受教育的情況、財產(chǎn)狀況、血型、指紋、病歷資料、職業(yè)、家庭住址、電話號碼、電子郵件等都屬于他的個人信息[1]。

（二）刑法保護公民個人信息的依據(jù)

1.個人信息被侵害的嚴重性與現(xiàn)實性

對于個人信息的收集從古代到現(xiàn)代其實或多或少都是存在的，政府管理部門為了履行自身的對于社會公共事務(wù)的管理職能，經(jīng)濟組織為了組織經(jīng)濟活動，乃至市井中家長里短的傳播，都涉及到對公民的個人信息，但是在網(wǎng)絡(luò)還未興起時，這些信息傳播范圍的廣度與深度都是有限的，只要對于人員以及傳播的空間加以限制，個人信息傳播的危害較容易消除。隨著網(wǎng)絡(luò)社會的來臨，信息爆炸式的增長，網(wǎng)絡(luò)空間的人員通常是匿名交流，渠道更是多種多樣，個人信息量增加，個人信息甚至唾手可得，傳播人員的尋找難度加大，渠道的多樣性使得追查信息來源的難度也同樣加大，這些種種現(xiàn)實性，使得許多人都有著身為“透明人”的惶恐。

2.非刑法保護方式對于公民個人信息的保護具有一定的局限性

社會利益是多種多樣的，對于社會利益的保護也并非只有刑法這樣一種方式，刑法作為最為嚴厲的一種保護方式，只有在窮盡其他保護方式不足以保護所要保護的法益時才采取刑法這種保護方式。

在民法領(lǐng)域，雖然對公民的個人信息也有一定的保護，但是民事責任的承擔方式主要有恢復(fù)原狀、賠償損失等。對于侵犯公民個人信息適用恢復(fù)原狀，并不是十分適宜。因為信息具有非排他性，一個人對于信息進行占有與使用，并不是排斥他人對于信息的占有與使用，民事責任適用恢復(fù)原狀，不能起到很好彌補作用，只是事后來進行補救，并不能很好地對于公民的法益進行保護。

在行政法領(lǐng)域，行政主體與行政相對人是關(guān)于公民個人信息保護的兩大主體。對行政主體而言，對公民個人信息的收集是其正常運行的保證，政府為了正常的履行自己的職能不可避免地收集一些個人信息，這就極易發(fā)生公民個人信息泄漏的情形。但是，對于行政機關(guān)工作人員的行政處分，包括警告、記過、記大過等六種方式，這幾種方式不足以阻止侵犯公民個人信息的行為的發(fā)生。由此可見，對于公民個人信息的保護，必須探究刑法上的救濟措施，規(guī)范人們的行為，才能很好地保護公民的個人信息。

二、侵犯公民個人信息罪在刑法規(guī)定上的不足

（一）犯罪主體在刑罰適用上未做區(qū)分

侵犯公民個人信息罪的主體是一般主體，也就是所有人都可能構(gòu)成本罪，是對《刑法修正案（七）》主體的擴充，但是做出這樣的變動，是為了適應(yīng)社會生活的發(fā)展變化、經(jīng)濟發(fā)展的需求，同樣也是基于當今對于公民個人信息保護的迫切性。這種改進是符合侵犯公民個人信息高發(fā)性與普遍性的現(xiàn)狀的，但是在刑法的規(guī)定上，并未明確指出一般主體與特殊主體適用刑罰有何不同，特殊主體由于其職業(yè)所形成的優(yōu)勢地位，更容易對公民的個人信息造成侵害，有必要規(guī)定更高的法定刑來規(guī)范其行為，但是目前的法律并未做出明確的規(guī)定，具體在實踐中如何把握也并沒有給出切實的解決辦法。

（二）法定刑的設(shè)定不完善

1.有期徒刑的適用缺乏確切的標準

刑法上對侵犯公民個人信息罪規(guī)定的法定最高刑為七年有期徒刑，但是在實踐法律適用中不僅很少被判處到七年，而且基本上判處一年左右，與最高刑的設(shè)定相去甚遠，最高刑的設(shè)立并未體現(xiàn)出意義。比如在2016年4月，周濱城購買了浙江省學生信息193萬余條，并且將這些個人信息又出手，獲利6萬余元，卻僅僅被判處一年十一個月的刑期。這么多個人信息的泄露，對于學生們的人身安全也將會造成影響，個人信息不僅僅是一個個數(shù)據(jù)，泄露的背后也存在著種種風險，過低刑期的適用，會增加犯罪分子的氣焰，巨額的經(jīng)濟效益也會使得犯罪分子不惜以違反刑法為代價，這些都將不利于公民個人信息的保護。

2.罰金刑的設(shè)定存在不足

侵犯公民個人信息罪，行為人實施犯罪行為絕大部分都是追求經(jīng)濟利益，因此罰金刑的適用對于本罪而言至關(guān)重要，適用罰金刑有助于實現(xiàn)刑法的目的，威懾犯罪分子，避免其走上犯罪的道路?！缎谭ㄐ拚福ň牛穼τ诒咀镆?guī)定了罰金刑，現(xiàn)行的司法解釋對于本罪規(guī)定的罰金是處于違法所得一倍到五倍的罰金，但是對于何種情形下適用1倍或者什么情形下適用5倍都沒有具體的規(guī)定，在適用上很可能會造成巨大差異。假設(shè)犯罪人侵犯公民個人信息罪違法所得為20萬，判處的罰金金額是20萬以上100萬以下，給予法官的自由裁量權(quán)的空間較大，這對于法官的素質(zhì)要求是很高的。

（三）本罪相關(guān)概念的內(nèi)涵、外延不明

1.犯罪對象的定義未明確

公民的個人信息受到刑法保護，公民二字在憲法中是指具有中華人民共和國國籍的公民。對于公民一詞，是否應(yīng)當進行擴大解釋存在疑問，也就是當法人的信息受到侵犯是否應(yīng)當適用本罪的有關(guān)規(guī)定，同樣外國以及無國籍人是否受到我國刑法保護，這些問題法律并未明確說明。最后，關(guān)于死者的個人信息是否適用本罪的有關(guān)規(guī)定，也并未明確。犯罪對象的不明確，將會在適用該罪名時造成疑難。

三星電子一位高管表示，手機和電子產(chǎn)品兩大部門的利潤率不斷下滑，因此公司正在考慮將一些富余的人力資源轉(zhuǎn)移到研發(fā)中心。其中消費電子事業(yè)部的軟件工作人員正在被抽調(diào)到三星人工智能中心。

2.罪過范圍存在缺失

對侵犯公民個人信息罪而言，過失這一主觀心理態(tài)度是否構(gòu)成本罪存在爭議，就現(xiàn)行刑法而言，對于侵犯公民個人信息罪的刑法條文的表述中，沒有存在“疏忽”或者“過失”這種過失犯罪鮮明地表述方式，此外“竊取”“非法出售”這些詞語的表述是屬于行為人積極的身體活動，而不是消極的動作，因此過失是不構(gòu)成本罪的。但是，將過失排除于本罪之外，會限制本罪的適用范圍，疏忽大意這種心理態(tài)度是值得刑罰進行處罰的，將“過失”排除出本罪的主觀要件是不利于對公民個人信息的保護的，是對于一些犯罪行為的放縱。

3.本罪對于“情節(jié)嚴重”的認定存在不足

現(xiàn)行的司法解釋對于本罪的“情節(jié)嚴重”，分為兩種，一種是犯罪構(gòu)成要件，一種則是“情節(jié)特別嚴重”，是屬于加重處罰的情形。本文重點探討的是第一種即屬于犯罪構(gòu)成要件。但是對于在本罪中，何為情節(jié)嚴重，則存在著爭議。在學術(shù)界，給出的情節(jié)嚴重的表述是非常抽象的，比如表述為獲得利益較大，違法獲得信息數(shù)量較大，或者對于信息主體造成的財產(chǎn)損失較大。這些表述，在實踐中是比較難進行量化的，難以對司法實踐提供確切的指導。

三、域外公民個人信息的立法借鑒

(一)域外公民個人信息的法律規(guī)定

美國對于公民個人信息保護的規(guī)定散落在各個不同的判例以及立法之中，至今未形成一個統(tǒng)一的個人信息保護的法律，當然這也是英美法系自身的一種特點。美國是一個格外講求民主自治的國家，注重運用行業(yè)自律來維護公民的個人信息。所謂的行業(yè)自律也就是指以公司或者行業(yè)內(nèi)部所規(guī)定的行業(yè)規(guī)章或者章程提供行為的指引，為個人信息的保護提供一種模式[2]。

歐盟在1995年時就出臺了《歐盟個人資料保護指令》。這部法令的應(yīng)用范圍是比較廣泛的，適用主體有自然人、法人以及機關(guān)。對于敏感的信息采取的原則是禁止處理，結(jié)合以特殊情況下的處理。當個人信息受到侵犯時，對于比較輕的侵犯公民個人信息的行為適用罰款，同時很多的成員國也規(guī)定了刑事制裁的方式?？傮w上看，歐盟對于公民個人信息的管理比較全面。

日本對于個人信息進行保護的最大特色在于其明確區(qū)分了公部門與私部門。日本于1988年出臺了《行政機關(guān)計算機處理個人信息保護法》，這部法律適用只存在于公領(lǐng)域。此外在私領(lǐng)域，日本于1989年出臺了《非公務(wù)機關(guān)電腦處理個人信息保護綱要》[3]。由此可以看出，日本不僅僅有同時適用于兩者的規(guī)定還對兩個部門采取不同的立法模式，而且公領(lǐng)域與私領(lǐng)域也根據(jù)自身的特點制定了不同特別法。在對于個人信息的保護上，國家與公共團體是相互交流與配合的狀態(tài)，公共團體根據(jù)行業(yè)個人信息的特點，主管機關(guān)出臺相應(yīng)的方針，政府也出臺相應(yīng)的指導方針。

（二）域外公民個人信息法律保護的借鑒性分析

無論是英美法系還是大陸法系，對于公民個人信息的保護都是與本國法律體系相協(xié)調(diào)的，都是根植于本國的法律傳統(tǒng)，我們很難去評判到底哪種法律保護更好，我國可以對于各國的法律進行比較分析，取其精華，更好地指導我國的立法工作。具體而言，各國基本上都有專門的個人信息保護立法，而我國在2005年就有制定專門立法的建議稿，但是十幾年都未出臺專門的立法。關(guān)于公民個人信息保護的規(guī)定散落在各個法律規(guī)范中，因此，我國十分有必要出臺專門的個人信息保護法，明確規(guī)定對于各種侵犯公民個人信息的行為將會受到怎樣的刑罰處罰，以及相關(guān)的責任承擔。本罪的刑罰規(guī)定也可以借鑒日本刑罰的規(guī)定，即從源頭對于此種行為進行規(guī)制，以便減少此類的犯罪行為，刑罰所針對的對象主要是從事信息收集與利用的員工，對于他們在信息的收集與處理上的行為進行規(guī)范。同時也可以結(jié)合美國的規(guī)定，從行業(yè)自律出發(fā)，重視信息行業(yè)自身對于公民個人信息的保護[4]。

四、侵犯公民個人信息罪在立法上的完善

（一）根據(jù)犯罪主體確定刑罰

犯罪主體存在一般主體與特殊主體，特殊主體基于其特殊身份在行使職權(quán)以及履行職務(wù)的過程中，會接觸大量的個人信息，而且一旦將其所掌握的個人信息泄露危害也更大，而且特殊主體基于其職責更有責任有必要保護個人信息，法律應(yīng)當對其有更高的要求，所以對于特殊主體犯本罪應(yīng)當從重處罰。同時規(guī)定比較嚴厲的定罪標準，比如一般主體違法所得為5000元就可以認定為情節(jié)嚴重即構(gòu)成本罪，那么對于特殊主體可以規(guī)定為2000元就可以認定為情節(jié)嚴重即構(gòu)成本罪。可以參考日本，將對于公民個人信息的保護，分為公法領(lǐng)域與私法領(lǐng)域，兩者相互結(jié)合來更好地保護公民的個人信息。

（二）完善本罪的法定刑

1.有期徒刑的刑期合理劃分

我國刑法規(guī)定犯本罪判處三年以下有期徒刑或拘役，并處或單處罰金。“情節(jié)特別嚴重”的判處三年以上七年以下有期徒刑，并處罰金。但是如前所述，本罪在實踐中，基本上判處的刑期都是一年左右，刑法規(guī)定的有期徒刑的刑期失去其原有的意義。所以，刑期的適用應(yīng)當有確切的劃分標準，比如根據(jù)獲利的多少結(jié)合具體泄露信息的數(shù)量，劃分具體的等級。

2.完善罰金刑

本罪的一大特點就是行為人大多數(shù)都是追求經(jīng)濟利益的，那么適用罰金刑給予其經(jīng)濟上的處罰也是可行的，也有助于預(yù)防犯罪。目前，罰金的金額是違法所得一倍至五倍，規(guī)定的幅度大小基本足以給予犯罪者懲戒，但是具體適用是存在一定問題的，比如目前需要明確罰金具體增加的幅度，即如果在法律規(guī)定中加上以50%的幅度增減罰金的數(shù)額，結(jié)合現(xiàn)有的一至五倍的規(guī)定則更為適宜。

（三）統(tǒng)一侵犯本罪的法律適用

1.明確本罪的犯罪對象

本罪的犯罪對象就條文本身而言僅僅包括公民的信息，那么對于法人、外國人、無國籍人以及死者的信息的侵犯是否屬于本罪，司法解釋沒有給予具體規(guī)定。就本罪而言，出于保護的全面性考慮，對外國人、無國籍人和死者的實施本罪所規(guī)定的危害行為，是屬于本罪的打擊對象。法人信息的保護有另外的罪名給予保護，也就是用侵犯商業(yè)秘密這個罪名來進行保護更加適當，沒有適用本罪的迫切性。外國人與無國籍人的信息受到保護是由于現(xiàn)在全球化的浪潮，各國之間的交往日趨頻繁，外國人與無國籍人的個人信息也會為我國行政機關(guān)或者一些企業(yè)所掌握，因此具有保護的必要性，可以對公民一詞做擴大解釋。對于死者，死者雖然不存在利用個人信息的要求，但是他的親屬們?nèi)匀挥欣眯畔⒌目赡埽虼怂勒叩男畔儆诒咀锏谋Ｗo對象。

2.罪過中增加過失的規(guī)定

現(xiàn)行刑法中，對于侵犯公民個人信息罪的規(guī)定并未包括過失的內(nèi)容，但是從立法上而言，是有必要增加過失的規(guī)定，并且可以對于故意與過失給予不同的刑罰處罰?；谀壳艾F(xiàn)狀，網(wǎng)絡(luò)的快速發(fā)展，大數(shù)據(jù)時代的到來，無論是故意還是過失都是對于刑法所保護的法益的侵害，并且信息傳播速度的加快，對于公民個人信息侵害一旦發(fā)生就具有不可逆性，很難完全地消除影響。并且，外國對于侵犯公民個人信息罪包括過失的主觀態(tài)度已有先例。例如，《法國刑法典》中就有此規(guī)定，過失侵犯公民個人信息也會受到刑法的處罰，從事特定職業(yè)的禁止。這些對于我國的立法都有切實的借鑒作用。我國也曾發(fā)生過由于過失泄漏公民個人信息，比如12306網(wǎng)站對于公民信息的泄漏，影響范圍十分之廣。這足夠體現(xiàn)出由于過失侵犯公民個人信息罪的發(fā)生并非是一個孤立的事件而是具有一定的普遍性。在立法上增加過失的內(nèi)容，也有助于提高公民對于個人信息保護的重視程度，可以在一定程度上進行事前的預(yù)防。

3.明確情節(jié)嚴重的認定

本罪的構(gòu)成要件中“情節(jié)嚴重”的認定不應(yīng)當僅僅局限于現(xiàn)行法律所規(guī)定的幾種因素，而應(yīng)當結(jié)合多方面的因素。

侵犯公民個人信息的數(shù)量。侵犯公民個人信息罪是對公民個人信息權(quán)的侵犯，侵犯信息數(shù)量與情節(jié)嚴重呈現(xiàn)出正相關(guān)的關(guān)系[5]。侵犯信息的數(shù)量越大，則對社會的危害性也就越大。在我國刑法中，對于酒駕的規(guī)定，也是以數(shù)量來進行的劃分。刑法是作為保護公民的最后一道防線，它不可能也不應(yīng)當對所有的行為都進行調(diào)整，所以設(shè)定一個起始的標準是必須的，在這個標準以上的行為才由刑法來進行調(diào)整。設(shè)定一個具體的數(shù)量標準，也有利于司法實踐中適用，簡單直觀。那這個標準該如何設(shè)定呢，應(yīng)當結(jié)合不同地區(qū)的具體情況，所侵犯公民個人信息的性質(zhì)，以及現(xiàn)在社會的發(fā)展情況綜合各個方面來制定具體的數(shù)量標準。

侵犯公民個人信息所獲取的利益。侵犯公民個人信息所獲取的利益分為財產(chǎn)性利益與非財產(chǎn)性利益。對于財產(chǎn)性利益是較為容易認定“情節(jié)特別嚴重”的標準，可以比照盜竊罪來進行設(shè)定，但是對于非財產(chǎn)性的利益是難以量化的，比如通過提供給他人公民的個人信息，從而換取升職或者到某單位任職等。應(yīng)當將行為人在從事犯罪活動中，所獲得的財產(chǎn)利益與非財產(chǎn)利益綜合考慮，來認定行為的社會危害性[6]。