王月|实证分析数字时代刑民一体化视线下个人信息保护问题
原创 王月 上海市法学会 东方法学
刑法不再是公民个人信息保护的唯一途径,因为个人信息保护法律规定日益完善。通过分析侵犯公民个人信息罪的司法判决,发现刑法打击预防功能比例失调、量刑标准不明确导致轻微犯罪容易犯罪、预防前置法、缺乏惩罚功能等问题。在侵犯公民个人信息罪的司法实践中。为了解决上述问题,提出了三项对策建议:调整犯罪标准、规范量刑标准、坚持比例原则,促进前置法的犯罪预防功能在新的立法体系下得到充分发挥,实现刑法打击功能的回归,保持刑法的谦逊。
第一,提出问题
2015年8月29日,刑法修正案(9)将公民个人信息犯罪的主体从特殊主体改为一般主体,促使犯罪成为常见犯罪,可见国家开始从刑法领域扩大个人信息犯罪的治理。2017年6月1日,最高人民法院和最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》开始实施,明确了侵犯公民个人信息犯罪的构成要素,进一步明确了公民个人信息犯罪的犯罪标准。《民法典人格权编制》第1034条规定,自然人的个人信息受法律保护,并对个人信息的民事概念进行了界定。数据安全法于2021年9月1日开始实施,规定了促进数据综合利用和保护个人合法权益的规定。个人信息保护法于2021年11月1日开始实施,这一专门针对公民个人信息保护的立法,标志着我国从行政法的角度对公民个人信息进行了全面系统的规定。本文将通过分析2015年以来侵犯公民个人信息罪司法的变化,进一步探讨刑民一体化下侵犯公民个人信息的治理对策。
二是司法样态分析侵犯公民个人信息罪。
(一)
数量特征
以侵犯公民个人信息罪、刑事一审、基层法院、判决书为关键词,在中国裁判文书网上搜索,可获得2015-2021年侵犯公民个人信息罪的判决数量分别为:2015年10件,2016年241件,2017年1053件,2018年1828件,2019年2066件,2020年1830件,2021年1145件,2022年431件,2023年59件。
从上述数据分析可以看出,2017年最高人民法院和最高人民检察院印发的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《两高》和《解释》)正式实施后,侵犯公民个人信息犯罪数量不断增加,到2019年达到顶峰,随后案件数量持续下降,2022年此类数量急剧下降到案件巅峰时期的20.86%,在2023年,案件数量大幅减少到2.85%的巅峰阶段。归根结底,本文认为主要包括以下几个方面:
首先,刑法的修改扩大了侵犯公民个人信息的适用范围。2015年刑法修正案(9)第17条修订,符合司法实践发展需要,将侵犯公民个人信息罪的主体从特殊主体修改为一般主体,增加了从重处罚的规定,将最高法定刑罚提升至7年,体现了刑法对公民个人信息保护的重视和保护广度。根据2017年《两高》和《解释》的规定,如果本罪没有达到“特别严重的情节”,可以认定为情节轻微,不起诉或者免于刑事处罚,但需要判处刑罚的,应当从宽处罚,体现刑法宽严相济的刑事司法政策,这也意味着本罪入罪门槛低,适用范围广。
其次,我国公民个人信息的刑法保护侧重于预防功能。随着经济的发展模式和信息技术的发展,个人信息的收集和应用越来越普遍,个人信息的保护模式极其匮乏,个人信息的侵害也越来越猖獗。在如此快速的社会转型下,刑法走在个人信息保护的前列,在打击侵犯公民个人信息犯罪的同时,具有很强的犯罪预防功能。正如一些学者指出的那样,“将犯罪意图排除在侵犯公民个人信息罪的犯罪构成之外,大大扩大了犯罪的适用范围,大大提前了刑法介入制裁的时间点,突出了防止后续违法犯罪的作用”。根据“两高”和“解释”,个人信息的非法收集和销售行为不要求侵权人有犯罪意图,犯罪意图是本罪的量刑情节。所以,在2017年实施“两高”“解释”之后,案件数量急剧增加。
三是我国公民个人信息保护立法属于“刑法先行”。“民法是前置法,是阻止违法行为。刑法是保障法,后处不成功阻止的犯罪行为;民法首先确立违法性,刑法后确立犯罪性。“2017年“两高”《解释》实施后,为侵犯公民个人信息罪提供了明确的司法标准。但在此之前,我国公民个人信息保护缺乏外部民事和行政立法,因此酷刑成为个人信息保护的前沿。2017年后,此类犯罪数量急剧增加。随着2021年《民法典》对个人信息保护的专项规定和作为专项法的实施,民法和行政法对个人信息保护进行了更详细、更全面的规定,为个人信息保护提供了前置法依据,也为个人信息保护提供了更多的方法和途径。所以,自2021年以来,侵犯公民个人信息罪的案件数量急剧下降。
(二)
地区特点
从以下可以看出,全国侵犯公民个人信息罪主要集中在经济相对发达、人口密集的中南部地区。根据裁判文书网搜索数据,江苏1682份占比最高,占比16.26%。在侵犯公民个人信息罪的8个地区,如江苏、浙江、广东等,裁判文书总数占54.77%。
中、南部各省市自治区侵犯公民个人信息的裁判文件数量及比例
(三)
行为特点
侵犯公民个人信息犯罪的行为类型主要是通过非法获取他人个人信息,然后出售给第三方获利。通过分析最高人民检察院发布的5起典型侵犯公民个人信息的经典案例,可以看出这批案例主要体现了加强公民信用信息、生物识别信息、行踪信息、健康生理信息等个人信息保护的政策导向。
【案例一】解某某、辛某某等50余人在网上发布贷款信息,将他人基本信息转卖给银行贷款人员,每条信息30-50元,总利润超过450万元,侵犯公民个人信息超过31万条。
【案例二】李某制作盗取个人信息软件,通过人脸识别获取他人个人信息,获取个人信息8100万条,无明显利润。
【案例三】谢某、李某等人开发了一款面部识别App,通过免费承接业务,获取他人个人信息,销售个人信息超过19,000条,再次被转卖,获得了70多万元的非法所得,其余11人的利润共计超过31万元。
[案例4]陈某甲、于某、陈某乙从事个人调查活动,泄露他人行踪,致人死亡,三人利润39500元。
【案例五】产科医生韦某、保健按摩中心个体工商户吴某甲、吴某乙向保健按摩中心出售产妇信息,每条信息50-60元,办卡10%。500多条个人信息侵犯了公民。
通过分析可以看出,刑法对侵犯公民个人信息的保护范围很广,涉及各种损害公民个人信息的行为类型。虽然经典案例的发布在一定程度上引导了此类案件的处理,但与现有的法律法规和司法解释相比,仍然对我们判断此类案件的犯罪行为感到困惑:
第一,信息等级划分作用不明显。虽然“两高”和“解释”在犯罪和量刑标准上对敏感信息和普通信息有明确的量化规定,但这种区分量刑在案件中的表现水平并不明显。例如,第五种情况中的健康生理信息是普通信息,其他四种情况是敏感信息。虽然第五种情况下侵犯公民个人信息的数量只在犯罪中起到一定的作用,但与其他四种侵犯敏感个人信息的情况相比,“两高”和“解释”要求侵犯敏感个人信息的定罪量刑数量更高,但显然侵犯敏感个人信息的数量远远超过普通个人信息。因此,经典案例在个人信息类型上没有更有选择性的指导,从五种情况下不同类型的个人信息对案件的量刑来看,影响和差异并不大。
第二,量刑标准轻畸重。就案例而言,影响量刑的主要因素是获取信息的数量、盈利的金额、对受害者的影响以及对社会的极端影响。利润是否成为影响本罪量刑的关键因素,案件二中李某制作的盗窃个人信息软件获取个人信息8100万条,数量极其巨大,但没有明显的利润,李某被判有期徒刑三年缓刑三年;案件三中主犯谢某研发了一款面部识别App,获得了19,000多条公民个人信息,数量比案件二差几千倍,但由于其利润超过70万元,谢某被判处有期徒刑4年。换句话说,在这两种情况下,盈利金额已经成为影响量刑的主要因素,但前者获得的个人信息数量是后者的几千倍。根据“两高”和“解释”,这一罪行主要受到“非法收集”行为的惩罚。在实践中,不同主体销售个人信息的能力和地区情况受到不同主体的影响很大。量刑存在主观随意性较强,可能影响司法公正的情况,仅通过非法盈利额度来区分。
综上所述,虽然经典案例使用了现阶段侵犯公民个人信息罪的量刑“信息数量” “盈利额度”的方式,但缺乏标准化的量刑规模。司法实践中侵犯公民个人信息的数量是司法解释规定的犯罪和量刑数量的几千倍。立法现状与司法实践需求仍有较大差距,量刑具有较强的随机性。
(四)
惩罚特点
从侵犯公民个人信息罪的酷刑来看,这一罪行分为两个层次。情节严重的,三年以下有期徒刑,情节特别严重的,三年以上七年以下有期徒刑。根据刑法和《两高》《解释》的规定,这一罪行的酷刑方式反映了宽严相济的刑事司法政策。司法判决中贯彻了这一刑事司法政策。共有10341起刑事判决案件,其中6241起是通过检索裁判文书网侵犯公民个人信息罪,占案件总数的60.35%。;414起拘役案件,占案件总数的4%。;一年中3591起被判刑,占案件总数的34.72%。;1501起判处二年刑期,占案件总数的14.51%。;3881件被判三年有期徒刑,占案件总数的37.53%。因此,从反向计算可以看出,判处三年以上有期徒刑的案件比例为9.24%,处于少数情况,大多数情况下处罚较轻。
从刑罚与侵犯公民个人信息数量的关系来看,以最高人民检察院2022年12月7日发布的5起依法惩治侵犯公民个人信息犯罪的经典案例为例。犯罪分子通过互联网获得公民个人信息1.9万条,利润100万条,判处4年至2年;获得公民个人信息31万条,利润450万条,判处3年6个月至1年4个月;获得公民个人信息8100万条,利润0元,判处缓刑3年。可以看出,与50条公民敏感个人信息和500条一般个人信息的犯罪数量相比,情节特别严重侵犯了基于公民个人信息数量的10倍以上法定刑罚升级总数标准,司法实践中侵犯公民个人信息数量与法定量刑标准相差甚远。无论是盈利金额还是侵犯公民个人信息数量,仍然处于相对较轻的折磨状态。
第三,侵犯公民个人信息罪司法应用存在的问题
“在个人信息电子交换和大量利用的互联网时代,个人信息有大量共享和快速流通的趋势。个人信息主体与信息控制主体的分离已经成为一种常态现象,逐渐形成了个人信息不专属、易复制、不可控的显著特征”。正是在这个时代发展的现实背景下,仅依靠刑法保护个人信息的社会治理存在以下两个问题:
(一)
刑法对公民个人信息保护的防范和打击功能比例失调
首先,刑法对个人信息保护的预防作用持续下降。从上面可以看出,自一段时间以来,由于缺乏前置法,侵犯公民个人信息罪兼顾了犯罪预防功能和酷刑打击功能,我国立法对公民个人信息的保护是“刑法先行”。从2021年开始,刑法对个人信息的保护在民事、行政法律法规陆续实施之前占据主导地位。2020年以后,利用刑事手段对侵犯公民个人信息行为的案件数量急剧下降,从2019年的2066件减少到2022年的431件。
二是侵犯公民个人信息罪的量刑主要是轻判缓刑。通过分析判决文书网侵犯公民个人信息罪的判决数据,可以看出,9.24%的案件被判处三年以上有期徒刑。侵犯公民个人信息罪的量刑分为两个层次,第一层次为三年以下有期徒刑,第二层次为三至七年。因此,从量刑的设定来看,立法注重对此罪的打击。而在司法解释中,也体现了对本罪事实宽严相济的刑事政策。但在司法实践中,本罪多以轻判缓的方式处理,宰鸡硬要用牛刀,促使本罪打击与预防的价值功能比例失衡。
三是刑法对侵犯公民个人信息行为的打击作用尚未突出。毫无疑问,随着网络信息技术的快速发展和经济发展模式的转型,每个人似乎都暴露在网络的真空中。与个人信息的广泛应用相比,保护机制和措施的滞后使得大规模收集个人信息成为可能。近几年来,侵犯个人信息犯罪、骚扰电话、电信诈骗不断升级和扩大。与侵犯公民个人信息行为的简单性和高利润相比,刑法的打击和防范作用非常有限,这与法律规范设置的不完善和不合理有关。
(二)
缺乏细化量刑的客观标准,主观随意程度较高。
【案例六】短信验证码。代理运营商办理其他业务时,利用职务便利,将他人实名认证的手机号码和验证码提供给他人注册各种应用账户牟利。销售他人身份信息的手机卡38张,利润9170元。被告人李侵犯公民个人信息罪,判处拘留6个月,判处缓刑10个月,罚款3000元。
【案例七】微信号。购买他人的手机号、身份证号、名称并注册微信号,注册后在手机上登录“保留号”,然后出售微信号。共有13个实名认证微信号出售给孙某(另案处理),共收款5320元。被告姚某犯有侵犯公民个人信息罪,被判处拘役三个月,罚款6000元。
【案例八】2021年4月至2022年8月,在一家通讯店工作的便利,在为客户办理手机卡业务时,以激活手机卡的名义,将客户手机卡插入营业厅专用机,通过向“接码人”(另案处理)所在的微信群中发送手机号和验证码完成App注册,每张手机卡和相应的验证码宋艳艳从中获利3-10元左右。人民币9869.01元非法获利。被告人宋某犯有侵犯公民个人信息罪,判处有期徒刑八个月,缓刑一年,并处罚金1.5万元。
第一,一般信息和敏感信息在刑事判决中的区别并不明显。案例六和案例七是现阶段侵犯公民个人信息的两种非常常见的手段。一种是利用职务之便,在别人不知情的情况下,用别人的短信验证码注册App账号牟利;另一种是收购别人的手机号后注册微信后销售微信账号的情况。然而,在许多案件的判决中,没有区分和描述两种不同个人信息的重要性。两起案件侵犯的公民个人信息数量和利润金额趋于在同一数量范围内,因此许多案件的量刑几乎相同。
但从比较可以看出,案件六中侵犯的个人信息属于手机号,案件七中侵犯的个人信息包括手机号、身份证号、名称,从而注册的微信账号,前者只有简单的信息特征,后者兼顾个人和财产特征。因此,从信息的重要性和复杂性来看,后者的信息更加重要。
第二,量刑畸轻,量刑的关键因素和标准化尚未实现。“公民个人信息的总规模反映了侵犯公民个人信息罪法益的超个人属性。从民事保护到刑事保护,公民个人信息的数量和规模反映了刑法保护公民个人信息的特殊性。所以,数量特征是侵权者承担责任的主要因素。案例六和案例八是两种同样侵犯公民个人信息的案例,判处的酷刑也差不多。从对比可以看出,两者侵犯的公民个人信息数量相差甚远。前者侵犯了38张手机卡,后者侵犯了1000多条公民个人信息,从盈利金额和价格来看,但数量特征在量刑上没有明显差异。从上述案例可以看出,影响侵犯公民个人信息罪的量刑因素主要包括被告利润额度、侵犯公民个人信息的类型和数量。与此同时,根据刑法第253条第2款的规定,“在履行职责过程中”侵犯公民个人信息属于从重情节。但上述量刑因素在酷刑判决中也没有表现出明显的差异。
由此可见,在司法实践判决中,似乎没有具体明确的应用标准,因素之间的关系和重要性。虽然司法解释中的数量是判刑和量刑的关键因素,但在具体判决中的作用和差异并不明显。而且无论是几十条个人信息还是1000多条个人信息,都被判处拘役缓刑,大规模收集个人信息盈利的行为并没有受到更严重的刑法打击。
对策和建议四、对策
(一)
加强刑事和民事行政在个人信息保护领域的联系,调整犯罪标准。
另一方面,法律规范的科学建设将有助于全面保护个人信息。正如一些学者指出的那样,“侵犯公民个人信息罪司法量刑轻的情况,表面上是刑法规范设置的问题,深层次上是我国个人信息保护法律规范结构失衡的结果”。从上面可以看出,通过刑法实现公民个人信息保护的有效途径,并不能满足现阶段个人信息保护的实际需要。刑法立法是时代的产物。随着民法典和个人信息保护法的陆续实施,立法在民法和行政法上日益完善。个人信息保护的法律规范不断形成,刑法的作用和价值不再向前延伸。回归刑事立法体系本身,将有助于全面有效地保护个人信息。另一方面,大量的司法实践表明,经常会出现大规模侵犯公民个人信息的情况,大规模个人信息收集的简单性,个人信息的销售可以在短时间内获得更大的利益,从而诱发和滋生大量侵犯公民个人信息的违法犯罪行为。“两高”和“解释”关于侵犯公民个人信息的判决和量刑数量与实际司法数量相差甚远,不利于实现此类犯罪的准确有效打击。因此,侵犯公民个人信息罪的总数标准应进一步修改和完善。
(二)
规范量刑标准,明确侵犯公民个人信息行为的量刑要素
量刑的核心因素是确定犯罪行为量刑的重要客观标准。没有客观标准的要求,量刑的主观性也会增加。轻度畸形和重度畸形的量刑不利于司法公正。所以,个人信息量刑的核心要素要进一步明确。针对现阶段个人信息类型不明确、数量影响不明显、个人信息敏感度对量刑影响不大、信息数量与非法所得之间的重要性关系等问题,应采取进一步明确量刑要素和各要素之间关系的标准化标准。在逐步完善立法体系的基础上,提高民法和行政法的社会治理和犯罪预防功能,充分发挥刑法的打击作用,统一量刑标准和量刑标准,减少轻缓刑的适用性,实现罚当犯罪,改变损害公民个人信息犯罪量刑失调和社会治理功能有限的现状。
(三)
坚持比例原则,重视轻度犯罪,实现中国特色现代化的轻度犯罪治理
从上面可以看出,虽然侵犯公民个人信息罪的量刑分为三年以下、三年以上、七年以下有期徒刑两个层次,但从实际判决来看,三年以上有期徒刑的案件只占9.24%,大部分案件处罚较轻,属于轻度刑的范围。虽然这一罪行在刑法上并不是纯粹的轻罪,但在司法实践中更接近纯粹的轻罪。所以,对侵犯公民个人信息罪,更应遵循轻罪社会治理原则,坚持刑法谦虚原则,加强社会治理功能。对于极其轻微的犯罪情节,不按犯罪处理的案件,应敢于适用刑法第13条的犯罪条款,不按犯罪处理,促进司法实践中刑法宽严相济的司法政策的落实。同时,通过行刑衔接,充分发挥行政法对此类行为的制裁作用,促进侵犯公民个人信息行为的社会治理,坚持“轻则轻,重则重”的司法原则,实现打击、防范、治理轻度犯罪和违法行为的统一司法执法效果。
原题:王月|实证分析数字时代刑民一体化视线下个人信息保护问题
阅读原文
本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。
免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com