侵犯公民个人信息罪司法适用疑难问题探究

Tencentccc

题图 | 网络

      【摘要】 互联网信息时代新形势下，基于数据海量特征及司法实践通行做法于法有据之需要，公民个人信息真伪举证责任应当引入举证责任倒置规则。从适应当前严厉打击侵犯公民个人信息犯罪的政策需求角度看，“被他人用于犯罪”条款的客观处罚条件设计具有相应合理性。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）中按比例折算方法具有一定瑕疵，将危害性较大的信息折算为危害性较小的信息符合当然解释的原理但不可颠倒运用；仅以违法所得数额作为入罪门槛违反刑事目的解释原则，应当采用“数量+情节”模式。对于近来各地试行的违法违约信息公开机制，应当加以区分地限制公开范围和对象。

一

公民个人信息真伪举证责任分配之考量

（一）司法实践遭遇的窘境

 

      侵犯公民个人信息罪以“情节严重”作为入罪门槛，而“情节严重”认定标准以信息类型和数量为主。实际司法实践中，涉案信息数量彰显大数据海量的特征，动辄千万甚至上亿条，真伪信息掺杂，给公诉机关举证带来沉重负担。以往的司法实践中一般是随机挑选若干信息进行核实，从而推定全部信息为真。有调查表明：在74份裁判文书中，只有一案中查证了涉案的公民个人真实信息数量，而在其他案件中，涉案的公民个人信息是否真实存在、是否重复等，公安司法机关均未进行核实。

毋庸置疑，侵犯公民个人信息罪之个人信息需要以真实有效信息为前提。因而在现行刑事举证责任制度下，公诉机关需要“额外”承担海量信息的筛选工作。经初步计算，十亿条信息鉴别真伪需要耗时1年半，花费百万成本。这样的结果显然不利于严厉打击侵犯公民个人信息犯罪势头，也违背了《解释》出台的初衷。对此，应当引入举证责任倒置规则。

 

（二）举证责任倒置规则应用的可行性

 

      就一般刑事举证责任而言，2012年修改后的《刑事诉讼法》第49条首次明文确立“公诉案件中被告人有罪的举证责任由人民检察院承担，自诉案件中被告人有罪的举证责任由自诉人承担”的刑事举证责任分配规则。有学者理解为“人民检察院承担举证责任，人民法院承担补充性的举证责任，被告人则不承担举证责任”。这样的理解虽与该法第2条新增的“尊重和保障人权原则”相呼应，但不意味着将所有与犯罪有关的事实举证责任全部交由人民检察院承担。不加分辨地一概由控方承担举证责任，早已被视为“没有什么实际效益的概念”。有学者指出，“被告人不承担责任也不是绝对的，而是相对的，有条件的。这项条件就是存在对被告人不利的推定。在存在不利于被告人推定的条件下，被告人应当存在证明自己无罪的责任。”

 

就特殊情况而言，借助于实体法上的推定作为“由公诉机关承担证明责任”的补充情形已有先例。以巨额财产来源不明罪为例，检察机关只要证明嫌疑人合法收入与所持有财产之间存在巨大差额这一事实成立。由于行为人先前的违法行为或者违法状态引起的犯罪嫌疑，行为未能履行或者履行未能达到标准的，就应该推定为有罪。从巨额财产来源不明罪的立法沿革看，由于一般性举证责任无法适应司法实践需要以及严厉打击贪腐犯罪政策，最终确定该罪举证责任倒置的例外情形。同理，当下互联网时代侵犯公民个人信息犯罪高发、频发，是以2017年3月20日通过的《解释》整体呈现扩大化惩处力度，切实加大对公民个人信息的刑法保护力度。因此，侵犯公民个人信息罪适当引入举证责任倒置规则具有现实基础和政策基础。

 

从司法效率角度看，传统理论中也有待证事实证明难易程度决定举证责任分配的观点。根据证明难易程度，一般将犯罪构成要件事实分为主观要素事实或客观要素事实。这就意味着一些事实距离公诉方很远但却离被告人更近，一定程度上减轻检察机关对这些要件事实的举证责任便具有相应合理性。在侵犯公民个人信息犯罪中，公诉机关证明上亿条信息真伪的时间成本及金钱成本过于高昂，而被告人作为真伪信息制作者及传播者，其真伪分辨成本则大大降低。举证责任的规则本是为了尊重保障人权，也即避免被告人需要非常努力地证明自己无罪或者罪轻的责任，但是不加区分地加重公诉方责任也不尽合理。面对大数据犯罪，公诉机关无法投入大量司法资源，只为一一核实每一条信息的真实性，且公民往往对应多个信息，信息工作量无法想象。此外，从国际视野看，无论是《联合国反腐败公约》关于“冻结、扣押和没收”的规定，亦或是日本《刑法》第207条的规定以及美国1973年最高法院对巴恩斯诉合众国一案的判决意见确立的一个举证责任倒置和事实上有罪推定的原则，都早已确立特殊情况下的举证责任倒置规则。

 

（三）小结

 

      目前，在侵犯公民个人信息犯罪中引入举证责任倒置规则大致有以下几种途径。第一，借鉴巨额财产来源不明罪模式，利用刑法修正案修正现有刑法条文，借助于实体法规则设计“推定查获公民个人信息为真，除非被告人证明为假”的条文；第二，从尽快解决当前司法机关通行做法的法律依据问题，利用立法解释单独增加诸如“侵犯公民个人信息罪中个人信息真伪举证责任由被告人承担”的例外规定；第三，从现行通常做法出发，运用司法解释在《解释》基础上进行更加细化的解释，增加该条特殊规定。此外，基于信息时代海量数据特征，举证责任倒置规则在刑法中的运用也将更加广泛。

二

客观处罚条件设计之辨析

（一）“被他人用于犯罪的”设计背景考量

 

      《解释》第5条第1款第1项“出售或者提供行踪轨迹信息，被他人用于犯罪的”作为“情节严重”的一种表现形式，在外在形式上符合“客观上取决于他人”的入罪门槛。也即，行为人单独实施“出售或者提供行踪轨迹信息”的行为本身无法入罪，因而其后在结果层面“被他人用于犯罪的”，即是否入罪取决于客观上他人的行为。此种认定方式一定程度上对传统刑法理论有所突破，无法完全契合人们普通法感情、罪责自负以及主客观相统一原则。

有学者指出：“行为可罚性的实现需要客观条件，意味着行为本身就‘应该受到刑罚处罚’，只是出于适当性的考虑，法律才将某种特定结果作为行为‘必须受到惩罚’的条件”。这自是从有利于被告人角度出发。林钰雄教授则指出：“立法者选择将某种要件列为不法与罪责之外的客观处罚条件，其适用结果便是纯粹取决于客观上的条件是否成就。

至于行为人主观上是否对该条件有所认知，并非所问，因此不会发生主客观不一致的刑法错误问题。”《解释》第5条第1款第1项已经确定行为人实施“出售或者提供行踪轨迹信息”的前提规定，表明行为人最终接受刑罚制裁内因是由其自身行为引起，因而行为人是否受到刑罚处罚完全取决于他人行为的观点是不妥当的。

 

（二）客观处罚条件设计比较阐释

 

      这样的一种客观处罚条件设计并非首次出现。早于2013年9月5日通过的《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第2条关于利用信息网络诽谤他人的“情节严重”情形之一，“同一诽谤信息实际被点击、浏览次数达到五千次以上，或者被转发次数达到五百次以上的”反映出类似的处罚思路。

对此，有学者认为一个人是否构成犯罪如果由他人或第三方的行为来决定，不符合我国刑法罪责相当基本原则，也违背了犯罪构成的基本原理、不符合刑法的价值目标追求。与其相对，有学者则认为“诽谤信息转发500次入刑”的规定具有合理性，符合刑法原理且并不违宪。“诽谤信息转发500次”的行为属于客观处罚条件，其构成对责任主义的冲击属于责任原则的例外。

 

诽谤罪中行为人就必须为能够证明所涉及事实的真实性负责。但完全可能存在行为人捏造事实损害他人名誉，但行为人为免除处罚，得出“确有其事”的结论。此时，法益损害事实存在，但对行为人的刑罚惩罚不能实现。网络诽谤与传统诽谤间具有显著差异，网络诽谤在传播范围、传播速度方面有着得天独厚的优势，相应地说，其所产生的社会危害性同样倍增。正是在这样的背景下，“诽谤信息转发500次”规定才会应运而生。同样，侵犯公民个人信息罪所要保护的公民个人信息对公民产生的危害范围大小恰恰是由他人之于行为人“出售或者提供”之后的行为范围决定，并且具备网络传播及时性、广泛性特征。此外，大数据能产生精准的“痕迹”，从而实现“影响量化”的效果。

 

这样的立法设计更是法律指引、指示功能的体现。从立法目的层面解释，一方面，为了严密保护公民个人信息安全以及相关利益不受侵犯，指示行为人审慎对待自己掌握的公民个人信息，尽到严密的保管义务、禁止做出出售或者提供行踪轨迹信息行为，否则一旦被他人用于犯罪，就需要承受相应刑罚处罚。另一方面，将他人之行为考虑进来，旨在提醒网民应当正确行使自己的合法权利。公民应该对他人对社会负责，尽到自己的责任，才能共同建设和谐美好的社会，共享美好的幸福生活。此举并非限制网民的正当权利，因为守法是网民应尽的义务。

 

（三）小结

 

      综合上述两种突破传统的“情节严重”判定模式可知，其均与互联网大数据背景紧密相依。大数据作为风险社会的一种表现形式，给人们的生活带来了新的风险，也改变了原有的信息秩序。整个数据时代最重要的事就是有预防机制。这与风险刑法相呼应，风险刑法本质上是一种预防刑法，因此，有必要在正视预防的前提之下，从现有的体系中发展出合适的控制标准。

客观处罚条件是将行为人的注意义务提高至类似于“严格责任”的地位，从而更好地实现刑法预防功能。从当前国家对于公民个人信息保护严密性形势看，《民法总则》第111条规定新增关于“自然人的个人信息受法律保护”条款，民法总则扩大公民个人信息保护的范围之后，刑法有必要及时跟进，刑法相关规制行为呈现扩大化发展趋势。

从保护必要性方面看，犯罪分子买卖或非法获取公民个人信息的目的从为商业活动提供便利逐渐向为后续的下游犯罪提供便利转变，而这种转变已成为目前侵犯公民个人信息犯罪的新常态。从保护方向层面看，《网络安全法》以国家基本法律的形式采用专章对网络信息安全作出一般规定，立法位阶的提高，都显示了国家综合治理信息犯罪的方向和决心。

 

但需要强调的是，客观处罚条件仅仅作为责任主义的例外而存在。责任主义作为现代法治国国民自由保障的基石地位不可撼动。因此，例外规定应当具备一定的界限。根据《解释》第5条可知，基于不同类型公民个人信息与人身财产重要程度划分为三档并且设置相应的数量标准。比较《解释》第5条第1款第2项“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”，可知两者最大区别在于行为人主观方面是否明知。《解释》第5条第1款第1项的规定客观程度更强。

因此，条文设计将前者范围限定为个人行踪轨迹信息，后者则针对个人行踪轨迹信息之外的个人信息，因其与个人人身安全的关联度降低而对其主观态度提高了要求。因而，在司法实践中，《解释》第5条第1款第1项应用应当谨慎地鉴别个人行踪轨迹信息以及严格限定个人行踪轨迹信息的范围。

三

按比例折算方法之批判

（一）按比例折算方法合理性质疑

 

      《解释》第5条第1款第6项规定“数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”。第3项至第5项分为“高度敏感信息50条”、“重要敏感信息500条”、“一般敏感信息5000条”3档，并且呈现1∶10∶100的比例。根据此条规定，按比例折算可以分为几种情形。举例明之，“470条重要敏感信息+3条高度敏感信息”中无论是重要敏感信息或是过度敏感信息单独都达不到数额标准，但是两者相加符合“重要敏感信息500条”标准因而入罪。其中，运用折抵办法将3条高度敏感信息视作30条重要敏感信息进行合并处理；第二，“30条高度敏感信息+200条重要敏感信息”将200条重要敏感信息折算为20条高度敏感信息，总量上达到50条同样达到入罪门槛。第三，“30条高度敏感信息+100条重要敏感信息+1000条一般敏感信息”同样经过折算后达到“高度敏感信息50条”门槛。

 

但是这样的折算方法的合理性值得深入讨论。对于第一种情形，将危害性较大的高度敏感信息折算成危险性较小的重要敏感信息符合理性，但是后两种情形却与“高度敏感信息50条”门槛相去甚远，将危害性较小的重要敏感信息、一般敏感信息视作危害性较大的高度敏感信息是不妥的。这表现在，从解释论的角度看，将属性定义为危害较小的信息算作危害性较大的信息，本身对行为人是不利的。一般看来，折算需要以同条件、同种性质作为基础，即使《解释》将3种不同类型的公民个人信息划分不同数量标准作为入罪门槛，但这并不意味着《解释》第5条第1款的第3项至第5项情形可以等同。因此，原则上说，不同类型的信息之间是无法折算的。只是，按照当然解释原理，将危害性较大的信息视作危害性较小的信息符合常理。

 

（二）按比例折算方法正确应用之道

 

      按比例折算作为一种司法实践中常用的方式，在不少司法解释中发挥着重要作用，以往司法解释关于数额的折算方式处理思路正确。例如，《最高人民法院最高人民检察院关于办理贪污贿赂刑事案件适用法律若干问题的解释》第5条“挪用公款归个人使用，进行非法活动，数额在三万元以上的，应当依照刑法第三百八十四条的规定以挪用公款罪追究刑事责任。”第6条“挪用公款归个人使用，进行营利活动或者超过三个月未还，数额在五万元以上的，应当认定为刑法第三百八十四条第一款规定的数额较大。”其中，“2万元用于非法活动+3万元用于营利活动”可以视作“5万元用于营利活动”从而达到入罪门槛就是运用了当然解释的方法。

 

再例如《最高人民法院、最高人民检察院关于办理生产、销售伪劣商品刑事案件具体应用法律若干问题的解释》第2条“伪劣产品尚未销售，货值金额达到刑法第一百四十条规定的销售金额三倍以上的，以生产、销售伪劣产品罪（未遂）定罪处罚。”有学者认为“这种情况下，可以把货值金额按照3∶1的比例来折算成销售金额。”此条司法解释确实在货值金额和销售金额两种不同性质的金额建立起一种近似的比例关系，但因未遂与既遂存在性质上的差异，故不能算作真正意义上的折算。

 

综上所述，《解释》第5条第1款的第3项至第5项情形在按照比例折算时，只可以将高度敏感信息按照1∶10比例折算为重要敏感信息或者按照1∶100比例折算为一般敏感信息，将重要敏感信息按1∶10比例折算为一般敏感信息。而不可颠倒折算，即将重要敏感信息按照10∶1折算为高度敏感信息或者将一般敏感信息按100∶1折算为高度敏感信息；将一般敏感信息按10∶1折算为重要敏感细信息。

四

仅以违法所得数额作为入罪门槛之瑕疵

      《解释》第5条第1款第7项单独以“违法所得五千元以上的”作为入罪标准一定程度上违反刑事目的解释原则。法定犯时代的到来使得刑事目的解释运用地愈加广泛，尤其是存在兜底性条款时，因其范围并不能明确，因此，解释时探寻条文的规范目的就存在一定必要性。从刑事目的角度看，《刑法》第253条之一“侵犯公民个人信息罪”属于第4章“侵犯公民人身权利、民主权利罪”，其主要保护的对象是公民的人身、民主权利而并非财产权利，而第7项单独“违法所得五千元以上的”表述显然将保护对象指向公民财产权利。公民个人信息事关公民的人身、财产安全和生活安宁，已然影响生活的方方面面，因而呈现全方位、多角度的保护内容。然而，刑法作为最后一道防线在最终权衡下选择更为重要的人身权利作为主要保护对象亦在情理之中。

 

刑法目的解释因标准判断的实质化倾向而存在任意解释的风险，这就需要在后果考察过程中接受检验。如若按照此条规定，司法实践中会出现这样的问题：一人出售或提供1000条普通信息（本身不构成犯罪）但因买家大方给予其5000元入罪，而另一人出售或者提供4000条普通信息但却只得到3000元报酬最终不入罪。这样一来，行为人是否构成侵犯公民个人信息罪与其提供的信息数量多少并无关联，而取决于买方是否大方的结论显然不合理。

另外需要说明的是，实践中，一般公民个人信息的价格相对较低，甚至不会按条计价；而公民个人敏感信息价格通常较高，通常按条计价，因而《解释》作出如此的数额规定确有依据。但此处的违法所得数额比较宽泛，同时包含3种不同类型信息而显得粗略。因此就会出现上述同种类型信息本身危害性由数量大小确定，最终深陷因违法所得多少确定是否入罪的泥潭。

 

是以，仅以违法所得数额作为侵犯公民个人信息罪入罪门槛不够妥当，而借鉴“贪污贿赂犯罪司法解释”中的“数额+情节”模式则更为合理。具体而言，可以沿用《解释》第5条第1款第8项数量减半规定，结合非法所得额，最终设计为“违法所得五千元以上，并且非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息二十五条以上的，或者非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息二百五十条以上的，或者非法获取、出售或者提供第三项、第四项规定以外的公民个人信息二千五百条以上的”。如此，便可解决由单纯以非法所得为认定标准产生的瑕疵。

五

违法违约信息公开与公民信息保护关系之辨析

（一）违法违约信息公开现象初探

 

      不久前，浙江省慈溪市检察院牵头出台《性侵害未成年人犯罪人员信息公开实施办法》（以下简称《办法》）引发广泛关注。江苏省紧随其后，首次公开性侵未成年人犯罪人员信息设置行业禁入。《办法》规定，对符合条件的实施严重性侵害未成年人行为的犯罪人员，在其刑满释放后或者假释、缓刑期间，通过发文各单位的门户网站、微信公众号、微博等渠道对其个人信息进行公开，方便公众随时查询，警示犯罪，预防未成年人受到性侵害。对此，肯定者认为这种做法是司法创新举措，可有效预防未成年人受到性侵害；否定者认为，此办法缺乏上位法的明确依据，也不利于罪犯重新融入社会。

 

互联网时代随着个人信息电子档案系统的完善，诚实信用状况等个人信息与公民就业、生活紧密相关，甚至可能产生决定性影响。有的高校公布获奖学生初审名单时，在网页或者网页的附件中，披露了完整的身份证号码。一些政府部门网站也常公布参加低保、享受保障性住房等方面的详细个人信息，有关方面并没有作出必要的技术处理。一揽子将公民个人信息不加甄别、不加限制地公布于众，既违反法律规定，也侵害他人的合法权益。

 

（二）违法违约信息公开利弊比较

 

      违法违约信息公开合理性在于其追求的目的与效果。当下的刑事制裁对打击公开性侵害未成年人犯罪人员预防功能较为有限，并且性侵害未成年人行为具有较高重复可能性，因而通过人们常用的网站、手机终端平台公布性侵害未成年人犯罪人员信息，有利于潜在受害者提高警惕、远离危险人员。但是，缺陷在于其于法无据、有违公正原则，侵犯了更高层次的价值内容。原则上说，侵犯公民个人信息罪保护对象是公民个人信息，公民个人信息本身是中性的。

换句话说，公民个人信息保护不应仅局限于对合法合规信息，同样也包括一般性违法违约信息。性侵害未成年人犯罪惩处对象仅限于行为人性侵害未成年人行为，并不包含性侵害未成年人犯罪人员个人信息。虽然公开性侵害未成年人犯罪人员信息是出于更有效保护未成年人身心健康和安全目的考虑，但却不意味着可以不加限制地侵犯行为人的个人信息受保护的利益。性侵害未成年人犯罪人员的个人信息同等地受到刑法保护。

 

以恶制恶并非良善法治社会追求的目标。公民个人信息的法律保护体现法治的文明程度，对待违法违约信息的保护态度则更能反映新时代新形势下的法治文明程度。基于此，一些领域已经发现此类问题并作出相应回应，如食药监总局2017年12月28日发布《关于印发食品药品行政处罚案件信息公开实施细则的通知》中提到“各级食品药品监管部门在行政处罚案件信息公开工作中要注重对被处罚当事人的个人隐私和商业秘密等信息的保护，避免因公开信息不当侵犯公民、法人、其他组织的合法权益。”这样便明确行政处罚信息公开要注重个人隐私和商业秘密保护的要求。

 

（三）结论及建议

 

      权衡之下，笔者认为应当加以区分地限制公开范围、对象。此前于法有据的一般做法是由检察院启动限制涉性侵害违法犯罪人员从业工作的机制，对曾经有强奸、猥亵等涉性侵害违法犯罪记录人员，禁止其从事与未成年人有密切接触的行业。这一措施一定程度上已经将部分犯罪人再犯可能性客观条件遏制。《办法》公开内容广泛，包括犯罪人员的姓名、身份证号、照片、年龄、性别、案由等事项，公开方式则是通过各种媒体渠道主动展示，公开对象是所有公民。自然，并非所有公民都会主动关注或查询性侵害未成年人犯罪人员个人信息。通常予以关注的是知晓案件发生并且有相关保护利益方，此外不排除想要利用被公开人员信息进行侵犯公民个人信息的犯罪人。

 

因此，建议可将信息公开内容分级，一般可查询内容限定为姓名、照片、性别、年龄。公开方式避免主动推送式公示，可设立专门栏目供想要获取的公民点击获取，并且按照性侵害未成年人犯罪人员所在地限定公开的特定地域。其他具体信息采取有利害关系方申请公开方式并设定一定的程序规则，从而更好地维护全体公民合法权益，彰显法治文明的价值。

李翔，华东政法大学教授，法学博士。本文系上海市一流学科（法学）建设项目成果暨上海市哲学社会科学规划项目《刑法修订与刑法解释关系问题研究》（项目编号：2014JG009-BFX378）以及司法部一般项目《我国刑法立法中的价值取向与方法选择研究》（项目编号：16SFB2017）阶段性成果之一。

END