侵犯公民个人信息罪起诉标准与定罪标准关联性问题研究

摘 要 信息化时代，数据成为重要的资源之一，其中，个人信息在数字经济发展中占据重要地位。但法制保障的不健全、网民信息安全意识的缺失使得个人信息泄漏问题日趋严重，更有甚者构成侵犯公民个人信息犯罪。但比较尴尬的局面是我国目前法律体系中对于认定公民个人信息侵权的几个关键概念没有足够清晰、明确的界定，起诉标准与定罪标准之间的平衡问题悬而未决。因此，清晰明确界定公民个人信息的范围，明晰认定侵犯公民个人信息犯罪的入罪和量刑标准是法律工作者的当务之急。另外，怎样的起诉标准和定罪标准关系模式才最为符合诉讼规律和法理精神，如何寻求两者之间统一性与平衡性？本文将对上述问题一一进行研究，旨在抛砖引玉，以此激发同仁对相关问题的深切关注。

关键词 侵犯公民个人信息罪 起诉标准 定罪标准 关联性

基金项目：本课题为最高人民检察院检察理论研究一般课题“起诉标准与定罪标准关系研究”（编号：GJ2017C23）阶段性研究成果。

作者简介：郭彦晨，浙江泰杭律师事务所金融资本部律师、团支部书记，杭州市上城区人民调解委员会特约调解员、浙江省亲情帮平台公益专家律师、杭州青年讲师团讲师，研究方向：互联网金融刑事犯罪问题研究、公民个人信息犯罪问题研究等。

中图分类号：D924.3                                                        文献标识码：A                       DOI：10.19387/j.cnki.1009-0592.2019.07.254

互联网的发展带来了信息生产和信息传播的革命性突破，而网络犯罪的产生则是互联网優势被不当利用的最严重法律后果。公民个人信息保护问题引起了国家机关的关注及强势介入，立法及司法举措屡屡推出。尤其是近些年巨大商业利益驱使下不法利用个人信息现象频发，公民个人信息保护提上了一个新的高度。“侵犯公民个人信息罪”作为保护公民个人信息的最后一道法律门闸，基本概念的厘清与梳理、刑事起诉标准与定罪标准的界定及两标准关联性模式选择的剖析，很有必要。

一、“公民个人信息”概述

个人信息保护的法源可追溯至人权或公民基本权利。我国对于个人信息的立法保护此前并没有专门性的立法，主要是散见于各部门立法文件，如《消费者权益保护法》《护照法》《身份证法》《统计法》《未成年人保护法》《律师法》等。目前正在制定中的《中华人民共和国个人信息保护法》将成为我国第一部专门性的个人信息权保护法律。但所有目前既有规定中都缺乏对于“公民个人信息”的明确分类及比较细致精准的法律责任承担方式的设定。这不得不说仍是我国关于个人信息立法的一大遗憾和亟待解决的前置性问题。

《关于加强网络信息保护的决定》（简称“《决定》”）对公民个人电子信息保护作了全面规定，对网络服务提供者和其他主体对公民个人电子信息的保护和相应责任作了明确规定。2016年11月7日审议通过、2017年6月1日起施行的《网络安全法》在第四章对网络运营者处理个人信息的行为作出规范。其中第76条第5项中对“公民信息”含义的界定表明《网络安全法》不再将“隐私性”作为公民个人信息的识别要素，并将“能够单独识别”扩大到“能够单独识别或者与其他信息结合识别”，即“广义的可识别性”。 《网络安全法》不再将“隐私性”作为公民个人信息的识别要素，并将“能够单独识别”扩大到“能够单独识别或者与其他信息结合识别”，即“广义的可识别性”。这相较于此前的“公民个人信息”界定来说，更为完善和成熟，也是当前对于“公民个人信息”最为权威的规定。2017年3月15日审议通过、2017年10月1日起实行的《民法总则》正式将“公民个人信息权”新增为一项民事权利予以保护。

严重侵害公民个人信息的行为构成刑事犯罪，以上规定为我国公民信息权刑事保护制度的确立和完善奠定了基础。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（简称“《解释》”）第一条中对“公民个人信息”的界定结合了《网络安全法》的规定及刑法规制的特点。《解释》第一条规定，《刑法》第二百五十三条之一对公民个人信息的概念进行了界定。 该规定在《网络安全法》“广义的可识别性”基础上增加了“活动情况”要素，这一要素的增加将“个人信息”的概念进一步扩张，“账号密码”“财产状况”“行动轨迹”三项看似属于个人信息，实则是从立法目的的角度对个人信息概念与范围的突破，是为保护财产权而服务。

二、“侵犯公民个人信息罪”概述

《刑法修正案（七）》增设了刑法第二百五十三条之一，规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，这是我国法律首次将非法获取和提供个人信息的行为列入刑事犯罪领域予以规制，这标志着我国公民个人信息正式拉开刑事保护的序幕。但《修正案七》并未对“公民个人信息”的概念和范围予以明确。

其后，2015年8月29日审议通过的《刑法修正案（九）》第17条将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”一个罪名。这一变化不只是简单的罪名相加或者说合并，而是对于“公民个人信息保护”的一次全面强化。最重要的一点是侵害主体范围得到了扩大——所有自然人与单位均可成为犯罪主体;在侵害行为类型上，侵犯公民个人信息罪囊括了非法获取、合法获取和非法传播三种行为类型，基本上涵盖了现实中可能出现的侵害行为;此外，提升了法定刑配置水平，针对侵犯公民个人信息情节特别严重的情形，增加规定“处三年以上七年以下有期徒刑，并处罚金”，以更加符合罪责刑相适应原则。可以说，《修正案（九）》对于侵犯公民个人信息犯罪的修改体现了立法机关对于公民个人信息保护的司法实践问题的高度关注，但由于定罪量刑标准不够明确，导致在法律适用上存在一定的争议，这亟须出台相应的司法解释予以释明。

最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》里对于认定“侵犯公民个人信息权罪”几大关键词的含义和范围进行了明确，具体将在下文详述。

三、统一性原则要求下的“侵犯公民个人信息罪”起诉标准与定罪标准

基于刑事诉讼实质真实探知主义的司法传统，我国立法文本中对“起诉标准”和“定罪标准”做出较为严格的统性标准要求，都要求达到“案件事实清楚，证据确实、充分”。对于“刑事起诉标准”，我国法律并没有明确的概念。刑事起诉标准是证明标准吗？尽管学术界对此并没有明确，但基本上均把刑事起诉标准当作证明标准来对待。传统观点一般认为，刑事诉讼证明是指司法机关或当事人在诉讼中运用依法收集的证据，去查明、证实案件事实的诉讼活动。 《刑事诉讼法》第141条规定对于刑事起诉标准的规定表明，我国的刑事起诉标准是“犯罪事实已经查清，证据确实、充分”。根据最高人民检察院公诉厅关于印发《人民检察院办理起诉案件质量标准（试行）》和《人民检察院办理不起诉案件质量标准（试行）》的通知（（高检诉发[2007]63号）2007修订）第一条的规定，符合下列条件的，属于达到起诉案件质量标准：（一）指控的犯罪事实清楚;（二）证据确实、充分;（三）适用法律正确;（四）诉讼程序合法;（五）依法履行法律监督职责;（六）符合宽严相济刑事司法政策的要求;（七）其他情形。意即符合该七项要求的视为多达到刑事起诉标准，可以起诉。从这个意义上来说，起诉标准表面看是为检察官作出是否提起公诉的决定提供标准，实则是为检察官行使提起公诉的自由裁量权作以限制，或者说它是刑事诉讼法为检察官的求刑权而设置的一道障碍。 具体结合“侵犯公民个人信息罪”几个关键要素进行分析。

（一）侵犯公民个人信息罪客观行为的司法认定

1.“违反国家有关规定”

《解释》第2条将法律、行政法规、部门规章有关个人信息保护的规定都纳入“有关国家规定”之中。笔者认为，该规定虽然契合了惩治公民个人信息犯罪的现实需要，回应了司法认定的实践困难，却不当的扩大了刑法条文的含义，将一般性违法行为纳入到刑事规制范围之中，违反了刑法罪刑法定原则的要求。

我国《刑法》第96条对违反国家规定进行了明确， 2015年颁行的《刑法修正案（九）》对我国《刑法》第253条之一作出了修改。一是将原有两个罪名整合，二是将原条文中的“违反国家规定”修改为“违反国家有关规定”，且成为刑法中唯一一处对于“违法国家规定”的界定。 这是否意味着《解释》对于“违反国家有关规定”的释义就是精确的？未必。对此，作者认为这与我国刑法罪刑法定原则与法理精神不一致。笔者更认同《刑法》第235条之一“违反国家有关规定”的含义应遵循《刑法》第96条的规定的观点。 刑法总则中的条文对刑法分则条文具有指导和制约意义。“违反国家有关规定”应该是“违反国家规定”的下位概念，只限于与公民个人信息保护有关的国家规定。地方性法规、行政规章不能列人“国家规定”的范围内，这也是理论界的主流观点。笔者认为，这样的观点更为符合刑法和刑诉法精神的要求。

2.“向他人出售或者提供公民个人信息”

《解释》第3条第1款就应当认定为“提供公民个人信息规定”的情形作了补充。关于“提供”的具体表现形式，《解释》里分为向特定对象提供和向不特定对象提供两种情形。根据《解释》的相关规定，即使是合法收集的个人信息，未经被收集人同意仍然是属于侵犯公民个人信息权的行为，符合刑事犯罪认定条件的构成侵犯公民个人信息权犯罪，但是“经过处理无法识别特定个人且不能复原的除外。”这一但书规定与《网络安全法》的规定在内容上是一致的，与刑法保护公民个人信息的法益精神要求也是一致的。

3.“窃取或者以其他方法非法获取公民个人信息”

这里的关键词是“非法”，关于怎样才是“非法”，法条的规定采用了列举加兜底的模式。顾名思义，“窃取”即是利用权力人不知而秘密索取。那么，在如何理解和把握“窃取”之外的哪些行为属于“其他方法非法获取”这个问题上，对“非法”二字的理解就显得格外重要。笔者认为，对此二字含义的理解应当根据体系解释的原理，结合上文中有关“违反国家有关规定”的界定进行确定较为妥当。

（二）侵犯公民个人信息罪定罪量刑标准的司法确定

所谓定罪标准，我国刑诉法也没有具体定义，一般是指由人民法院牵头制定判断罪与非罪的标准，以此认定被告人的罪名是否成立并判处刑罚的基点和依据。《刑事诉讼法》第162条关于有罪判决证明标准的规定与第141条规定的刑事起诉标准并没有本质上的差别。具体到侵犯公民个人信息权罪，由于是新型犯罪，我国目前的法律、司法解释并没有制定具体的起诉标准。但《刑法》和《解释》中对侵犯公民个人信息罪的定罪和量刑标准作出了规定，设定了“情节严重”和“情节特别严重”两档法定刑。

1.“情节严重”的认定标准

根据《刑法》第253条之一的规定，“情节严重”是构成“侵犯公民个人信息罪”的必备要件，《解释》弥补了《刑法》中缺少具体认定标准的遗憾，从信息数量、违法所得数额、信息用途、主体身份、主观恶性等对“情节严重”进行了较为详细的规定，确定了“情节严重”的适用标准，这在一定程度上减少了司法实践中由于适用标准不一导致的“同罪不同罚”现象。

第一，对于“信息数量”，通过区分信息类型设置差异化的数量标准。但关于“公民个人敏感信息”的认定标准没有具体明确，只是指出判断是否为敏感信息的关键考量因素是涉及人身和财产安全，具有更大的社会危害性。

第二，对于“违法所得数额”，认定情节严重的标准为违法所得5000元以上，实践中对于“违法所得”在具体认定时是否应该扣除成本存在争议。笔者认为不应该扣除成本。主要是考虑到我国刑法罪名中关于“违法所得”的认定一般不會考察犯罪所花成本并进行扣除的问题。

第三，对于“信息用途”，《解释》第五条第一款第二项将“知道或者应当知道他人利用公民个人信息实施犯罪，向其提供出售或者提供的规定为‘情节严重”，而第一项则直接将“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪的规定为‘情节严重”，对于主观上是否知晓没有做认定要求。

第四，对于“主体身份”，《解释》也针对特殊主体做了特殊规定。如第五条第一款第八项履职或服务过程中的“情节严重”认定设置了特殊标准，规定此种情形下出售或者提供公民个人信息的进行标准减半处理。笔者认为，这样的规定处理后不能再根据《刑法》第二百三十五条之一第二款的规定从重处罚，否则有重复处罚之嫌。

第五，对于“主观恶性”，《解释》对于“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的”认为其主观恶性较大，认定为“情节严重”。

2.“情节特别严重”的认定标准

《解释》从数量数额标准及严重后果两个角度对 “情节特别严重”的认定作出了规定。笔者认为，《解释》对于数量数额的规定方式不符合刑法常规意义上的法定刑升格处理模式，将两种标准的区分设置为十倍而非传统犯罪的法定刑升档要件与基本要件之间的数量基本确定为三倍或者五倍的倍数关系，在未来的司法实践中有必要作出调整。

3.为合法经营活动购买、收受公民个人信息定罪量刑的特殊标准

为了秉持刑法的谦抑性，体现宽严相济的刑事政策，《解释》对合法经营活动购买、收受公民个人信息的行为设置了专门的定罪量刑标准，而且只规定了“情节严重”的情形，并未规定升档量刑。但此种情形必须同时满足：为了合法经营;限于一般公民个人信息;信息没有再流出扩散，行为方式仅限于购买、收受。

4.侵犯公民个人信息单位犯罪的定罪量刑标准

根据我国刑法总则的规定，结合分则对于个人信息犯罪的具体规定，个人信息权犯罪中单位和个人可成为犯罪主体。《解释》第七条对此予以了明确，规定单位实施侵犯公民个人信息犯罪的，适用自然人犯罪的定罪量刑标准。

四、“侵犯公民个人信息罪”起诉和定罪标准关联性分析

根据我国刑事诉讼法的要求，起诉标准与定罪标准应保持统一性。关于侵犯公民个人信息权罪则体现在起诉机关和定罪机关共同制定了《解释》，将侵犯公民个人信息罪起诉标准和定罪标准从制度层面将统一性予以落实。但起诉标准和定罪标准的统一标准危害很多，具体到侵犯公民个人信息罪“情节严重”“情节非常严重”的认定标准上，尽管有《解释》对于认定标准的规定，但公安、检察院与法院对于具体证据的认定上一定会存在差异认知和处理，如果强行要求三者保持一致，则是违背诉讼认识规律的表现，不利于打击犯罪;另一方面可能导致法庭审判流于形式，压缩辩护的空间，抑制被追诉人辩护权的行使，导致诉讼拖延，浪费司法资源，违背公民个人信息刑法保护制度设立的初衷。

原则上，刑事起诉证据标准既不能太高，也不能太低，略高于定罪标准是较为理想的选择。笔者认为，对于侵犯公民个人信息罪，起诉标准应略高于定罪标准：过高的刑事起诉证据标准会使得一大批本应被追责的公民个人信息侵权分子归于合法范围内而逃脱刑事处罚的可能性，如今网络犯罪、公民个人信息侵权态势愈演愈烈的形势下，这样的标准不利于惩治犯罪和网络社会治理;且过高的刑事起诉标准与刑事诉讼程序运行的渐进性和规律性存在较大冲突，不符合法律制度设计规则，降低制度的合理性与可行性。但标准过低势必增加诉讼成本，不利于被告人合法权益的保护，甚至有损司法的公正性和权威性。所以，起诉标准略低于定罪标准的模式会更有利于扬长避短，也符合刑法谦抑性原则的要求。

五、余论

侵犯公民个人信息罪作为一种新型的网络犯罪行为，各国目前对于其起诉标准与定罪标准关联性问题研究均处于探索阶段，笔者通过本文对相关概念的厘清、起诉标准与定罪标准的阐明与剖析，对侵犯公民个人信息罪这一新型犯罪类型进行了全面梳理，对争议问题、难点问题进行了针对性研究。其中，起诉标准与定罪标准的衔接问题，是难点。如何设计出一套既符合刑诉法认识规律和刑法谦抑性要求、又能兼顾国家统一性标准的要求的刑事起诉标准与定罪标准关联性制度，值得每位学者继续深思与探究。笔者也提出了自己的若干思考与建议，期待能为各位同仁的相关研究与具体制度的设计提供些许借鉴。

注释：

中华人民共和国网络安全法[EB/OL].中國人大网：http：//www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.2016年11月7日.

最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释[EB/OL].最高人民法院官网：http：//www.court.gov.cn/fabu-xiangqing-43942.html.2017年5月9日.

崔敏.刑事证据理论研究综述[M].北京：中国人民公安大学出版社，1990年版，第69页.

王超.刑事起诉标准的性质之反思[J].甘肃政法学院学报，2007（11），第70页.

喻海松.刑法的扩张——《刑法修正案（九）》及新近刑法立法解释司法适用解读[M].北京：人民法院出版社，2015年版，第149页.

刘德法，尤国富.论空白罪状中的“违反国家规定”[J].法学杂志，2011（1）.

[法]亨利·莱维·布律尔.法律社会学[M].许钧，译.上海：上海人民出版社，1987年版，第243页.

喻海松.侵犯公民个人信息罪司法解释理解与适用[M].北京：中国法制出版社，2018年版，第47页.

参考文献：

[1]陈瑞华.刑事诉讼的前沿问题[M].北京：中国人民大学出版社，2000年版，第371-396页.

[2]叶良芳.量刑反制定罪：实践和理论的双重批判[J].东南大学学报（哲学社会科学版），2018（1），第84-93页.

[3]杨宇冠.论中国刑事诉讼法定罪证明标准——以排除合理怀疑为视角[J].浙江工商大学学报，2017（5），第6-14页.

[4]王超，姚晓东.我国刑事起诉标准的模式选择[J].时代法学，2009（5），第65页.

[5]王鼎.刑法结构变革中的罪量要素应力研究[J].法学杂志，2017（4），第132-140页.

[6]王超.刑事起诉标准的性质之反思[J].甘肃政法学院学报，2007（11），第70-73页.

[7]李学宽，汪海燕，张小玲.论刑事证明标准及其层次性[J].中国法学，2001（5）.

[8]熊黎.以《刑法修正案（七）》为视角浅析公民个人信息权刑法保护的发展趋势[J].湖北经济学院学报（人文社会科学版），2015（11）.

[9] 高富平，王文祥.出售或提供公民个人信息入罪的边界[J].政治与法律，2017（2），第50页.

[10]吴娉婷.侵犯公民个人信息罪的司法困境探究[J].西安文理学院学报（社会科学版），2017（4）.

[11]张勇，江奥立.侵犯公民个人信息罪中的信息数量及认定规则[J].上海政法学院学报，2018（1），第22-28页.