网络电信诈骗案件中公民个人信息的刑法保护

夏凉

摘 要：近年來，网络电信诈骗案件增多，同时还牵连出不少侵犯公民个人信息的犯罪。刑事司法解释应对侵犯公民个人信息罪中的“情节严重”条款的具体内容进行合理化设置;同时对一定程度的购买公民个人信息的行为和制作、伪造信用卡的行为独立成罪。对于在整个网络电信诈骗案件中所涉及的处置公民个人信息的电信、金融机构有关工作人员应按照中立的帮助犯理论，视具体情况分析处置，一般而言大致可以分为主观无罪过或过失（无罪）、间接故意（不起诉）与直接故意（定罪处罚）三种情形。网络电信诈骗同时侵犯公民个人信息的一般应予数罪并罚。

关键词：网络犯罪 公民个人信息 共犯 中立帮助行为 罪数

在犯罪领域中，信息网络技术发生着三个阶段的演变，即从犯罪对象到犯罪工具，再到犯罪空间，在此过程中，犯罪行为借助信息网络技术对法益的侵害和威胁不断加重。[1]从目前公安机关查获的涉及网络犯罪的作案团伙情况来看，以网络为手段的电信诈骗是近年来较为多发的一类犯罪，且呈现出明显的地域性特征。尤其自2017年上半年以来（截至2017年6月30日），浙江省电信网络诈骗案件增长迅猛，全省检察机关共受理审查逮捕电信网络诈骗犯罪2304人，同比增长368%。[2]

网络电信诈骗往往会牵涉到对个人信息的侵犯。自《刑法修正案（七）》增设侵犯公民个人信息罪以来，“两高一部”《关于依法惩处侵害公民个人信息犯罪活动的通知》虽然着重规定了依法加大对财产刑的适用力度以及案件管辖原则，但由于条文中诸如“对使用非法获取的个人信息，实施其他犯罪行为，构成数罪的，应当依法予以并罚”的表述，限定了其处罚范围，使通过正当或合法途径获取的个人信息而予以非法使用的行为人得以规避法律制裁。鉴于此，《刑法修正案（九）》对相应条款进行了修订，增加了对侵犯公民个人信息犯罪行为的打击力度。随后，“两高”又出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），对如何认定公民个人信息、侵犯公民个人信息的手段、“情节严重”和“情节特别严重”的具体认定标准等作了规定。

一、网络电信诈骗中侵犯公民个人信息行为的案例分析

[基本案情]行为人朱某伙同赵某某等3人制作可用于查询假信用卡信息并可修改后台数据的假网页及二维码，在制作假信用卡后即通过QQ联系并贩卖给刘某某等6名电信诈骗人员。刘某某等人则在网络上购得部分公民个人信息（主要是姓名和手机号码）后，以代办信用卡为名，通过电话、微信等通讯工具进一步获取被害人信息，后快递员按照电信诈骗人员要求将假信用卡及二维码寄送给被害人，电信诈骗人员则诱使被害人扫码进入假网页，进而以授信银行信用卡大额透支额度等名义继续诱骗被害人交付各种手续费、流水费，以此骗取大量钱款。[3]

以上述电信网络诈骗案为例，这类犯罪的主要特征有以下三点：一是整个犯罪集团呈树状结构分布，除以朱某为首的主干集团之外还有刘某某、胡某某和鲁某某3个分支集团，集团成员均系同乡、亲友等熟人;二是整个犯罪集团为专业化流水作业，其外围有专人负责在网上出售公民个人信息（上游犯罪），刘某某等人网购公民个人信息后即以代办信用卡为名使用电话、微信、QQ等通讯工具进行电信网络诈骗，犯罪过程中由赵某某、陈某某、段某某等3人制作并提供假信用卡及可供查询假信用卡信息的假网站（下游犯罪），其中陈某某、段某某至少为6个电信诈骗集团提供了此项“服务”;三是整个犯罪集团软硬件装备配置到位，由赵某某提供有关网页的技术支持，另专门为具体实施电信诈骗的话务员、假信用卡制作人员、收款洗钱人员等配备了手提电脑、手机、打码机、烫金机、空白假信用卡、POS机、收款宝等犯罪工具。

《刑法修正案（十一）》已将“自洗钱”行为予以入罪，适当扩大了洗钱罪的外延，使之适用范围涵括网络型侵财等各类犯罪案件，有利于对通过专门的取款团伙经多次转账等方式洗白网络诈骗、网络盗窃等犯罪所得钱款的行为进行刑法规制，有效阻断了网络电信诈骗案件中通过侵犯公民个人信息行为攫取非法利益的途径和渠道，削弱了该类犯罪的犯罪企图或犯罪动机。

上述案例可以说是一个较为典型的网络电信这一非传统安全领域的犯罪。而国家刑事立法及司法在非传统安全领域的总体态势是趋于严苛的，但是在总体趋严的刑事政策导向下，亦应把握好宽严之度，使这方面的立法与司法保持克制、理性、严密与妥适，使之符合刑法的实质正义。

二、中立帮助行为的处置

在前述案例中，如果电信部门和金融机构等个人信息处理者亦介入其中，那么对其是否应予法律规制，且如何规制值得我们深思。

据此，对电信、金融等个人信息处理者、提供者是否按照共犯原理进行定罪处刑，笔者认为应区别对待。由于网络社会的去中心化（即扁平化），犯罪行为产生相应的变化，在网络犯罪产业链中，很多参与主体并非为了同一犯罪目的而实施行为，而是为了各自的具体目的而分工合作，不存在对于产业链整体支配地位的“正犯行为”，或者说各主体的行为均系正犯行为。况且信息交互以必要性为目标，而非以整体性为目标，在网络犯罪产业链中行为人只是各自实施相应的行为，其既无需了解下游（或上游）犯罪行为的具体内容，也无须同其他犯罪主体进行意思联络与达成犯罪合意，亦即意思联络性消解。进而该论者认为诸如上游犯罪与下游犯罪是一种协作犯罪关系，而非共同犯罪关系。[4]陈兴良教授也指出，在专门化分工的情况下，有人专门从事诈骗信息的传播，为他人诈骗提供便利，因而诈骗的预备和帮助行为与正犯之间的关系疏离化，甚至演变为一种交易关系。[5]很多情形甚至是在日常业务工作过程中虽有一定认识但非专门加功于正犯行为的行为。

上文所述的电信部门和金融机构工作人员的行为从客观上看是其正常业务或职务行为，那么是否可以就此否认其存在犯罪故意，笔者认为不能一概而论，而应视具体情况作具体分析：（1）如果上述作为个人信息处理者的电信、金融工作人员未认识到朱某等人主导下的该电信诈骗集团的犯罪性质，仅仅是在营业时间在营业场所通过正常的工作流程处置有关个人信息而被该电信诈骗集团成员非法获取，那么鉴于其主观上不具有罪过或仅存过失，对其应予出罪;（2）如果上述工作人员已认识到该电信诈骗集团成员可能存在一定的违法犯罪活动或不法目的，但为了不惹是生非，仍然以放任的态度继续自己所从事的日常业务活动，其主观上无疑是一种间接故意的罪过形式。但如果该工作人员仅仅是依职务正常处置相关个人信息，即使这些信息被电信诈骗集团成员非法获取，笔者倾向于对其作非罪化或不起诉处理。但如果该工作人员收受了基于业务活动之外的利益，如接受该电信诈骗集团成员赠送的烟酒等礼品抑或钱款等财物，则应对其以共犯论处;（3）如果上述工作人员已认识到该电信诈骗集团成员的行为性质，但为获取明显高于手续费的额外报酬而向对方提供其他公民个人信息，数量较大，则表明其主观罪过较深、直接故意明显，属针对特定对象而深度参与的情形，那么就应该考虑对其追究相应的刑事责任。

当然，对电信、金融机构工作人员进行犯罪化处理的过程中在共犯尤其是犯罪合意的认定依据上还是会存在一定的理论困惑。笔者认为，对电信、金融机构等个人信息处置者的处理可以用中立帮助行为理论来进行释法说理以支持司法实践的判定。所谓中立帮助行为，是指在日常生活中，行为至少在外形上是中立的，即不存在犯罪的主观意思，但这种行为在客观上对正犯行为起到了促进作用。对这种行为是否可以作为帮助犯来处理则是该行为理论的核心问题。[6]据此，笔者认为，上述三种情形中，第一种情形属于不可罚的中立帮助行为;第三种情形属于共犯中的帮助犯;第二种情形中的前一种行为属于不可罚的中立帮助行为，也是狭义的中立帮助行为，而后一种行为则属于可罚的中立帮助行为，即可将之归属于共犯中的帮助犯予以处罚。同理，对于前述案件中快递员寄送假信用卡的行为亦可按此理论区分不同情况作相应处理。与此问题相类似的还有为获利对网络传播淫秽物品提供技术支持者的相关行为。对此有人认为，有关司法解释已然突破性地将网络共犯行为按照正犯予以处罚。[7]对此观点笔者不能全部认同。如上所述，对于这一类行为还是应区分情形区别对待，尤其是对于网络中立帮助行为，更应慎重对待和处置，正如帮助信息网络犯罪活动罪，其提供的技术支持必须系针对专门用于违法犯罪活动。

三、有关罪数问题

司法实践中，很多网络电信诈骗行为以及通过网络、电信侵犯公民个人信息的行为还涉及到罪数问题，即其究竟是想象竞合犯、牵连犯还是吸收犯的问题。一般而言，不少电信诈骗或侵犯公民个人信息犯罪都属于牵连犯，因其还涉及到其他相关犯罪，所以究竟是定一罪还是数罪成为司法实践中的一个难点。当前，不少国家如德国并未明确规定有关牵连犯的概念，且多以数罪并罚为原则，以一罪处断为例外。而我国刑法虽经11次修正仍有牵连犯的规定，且学界通说仍以从一重罪处罚为原则，以数罪并罚为例外，实际上这在司法实践中不无问题。根据当前司法实践中多数案例显示，此类犯罪均侵犯了不同的法益，故根据罪刑相适应原则应以数罪并罚处置较为适宜。如前文所述案例中，对行为人朱某等组织、领导该电信诈骗犯罪集团的首要分子，按照现行刑法应当以诈骗罪、侵犯公民个人信息罪与伪造、变造金融票证罪予以数罪并罚。当然，目前部分司法解释所体现的刑事政策精神也开始支持数罪论这一观点，其已开始在刑事司法实务上逐渐与国际接轨。

四、刑事立法与司法解释的建议

根据该类案件中行为人的上述犯罪特征，笔者提出进一步完善有关刑事立法与司法解释的建议：

第一，《解释》对侵犯公民个人信息罪“情节严重”及“情节特别严重”规定了具体标准，但有值得商榷之处。如：该《解释》第5条第1款第2项，“知道或者应当知道……”实际上容易造成各省、自治区、直辖市在实践中难以统一司法裁量标准的困境。因为该条文需借助于司法推定，但“知道或者应当知道”的具体判断标准是什么，其需要依托的客观证据载体又有哪些，都是令司法实务部门头疼的问题。尤其是“应当知道”这一规定，其究竟是以社会一般人的注意义务为标准还是以个案中的具体行为人的认知能力为标准就显得模糊不清。根据目前司法解释之现状，需要各地再次出台有关会议纪要或指导性意见等政策性规定，以统一省域、市域内的司法裁量实践标准。笔者认为，此处设置以故意作为主观罪过形式的构罪标准较为合理。因为故意形式相对容易确定，且较之“知道或者应当知道”的“明知”概念更为明确，而且也符合刑法构罪意义上主观罪过之认知。有鉴于此，应将该司法解释条款修改为：故意向利用公民个人信息实施犯罪的他人出售或者提供公民个人信息的……再如：该《解释》第5条第1款第3-5项，其中公民个人信息条数皆以10倍增量的梯次作为不同类别信息达到“情节严重”的标准，暂不论这种大间隔的差距是否会造成司法实践中按比例合计折算有失公允，即便是公民个人信息种类的划分也不尽合理。例如：健康生理信息（如：在人脸识别技术应用中的人脸数据信息）的等级是否一定低于行踪轨迹信息呢？另外，鉴于侵害公民个人信息犯罪网络覆盖面较大，关系错综复杂，犯罪行为发生地、犯罪结果发生地、犯罪人所在地等往往不一致，且由于犯罪行为大多依托互联网、移动电子设备，通过即时通讯工具、电子邮件等多种方式实施，公安机关调查取证难度较大，[8]故建议合理划分不同信息类别，适当降低不同信息“情节严重”标准的倍比增量;适当降低该类犯罪入罪的具体证明标准，以加大打击此类犯罪之力度，并尽可能将之后的网络电信诈骗犯罪阻断在上游阶段或预备阶段。

第二，立法应考虑将达到一定程度的购买公民个人信息的行为单独入罪。随着网络的普及，信息流转速度大大提高，社会风险也因此提升到一个新的高度，公民个人信息及隐私遭到侵犯的概率随之增大，这使得公民个人安全系数进一步降低。如果个人无法知道自己的信息在何种程度上被何人获取并利用，那么个人将失去作为主体参与的可能性，而沦为他人可以操纵的信息客体，进而被沦为客体是人被物化并丧失人性尊严之体现。[9]保障公民社会安全感是现代刑法的一项任务，也是现代刑法保护社会机能的体现，更是社会防卫、社会控制、法益保护等子项机能的具体要求。鉴于当前公民个人信息通常能够被轻易地获取并在网络上任意传播、流转，而购买所得的公民个人信息往往被用于后续违法犯罪活动，因此有必要予以相应的法律制裁。现行刑法第253条之一侵犯公民个人信息罪第3款中虽然规定对“窃取或者以其他方法非法获取公民个人信息的”行为进行处罚，但“以其他方法非法获取”的表述不够明确，其是否足以涵摄全部犯罪行为仍存在疑问。笔者认为，除基于公民个人同意获取其个人信息外，购买公民个人信息条数累计达到一定数量，一般是为进行流水化定向犯罪的预备行为，虽然这一行为具有一定的附随性，但社会危险性较大，应将之独立成一罪名予以刑法规制，使之成为出售、提供公民个人信息行为的对向犯，这样也更有利于明示这类行为的违法性。而这一违法犯罪现象的频繁发生总会使人联想到电信、金融等机构将公民个人姓名、手机号码等信息非法泄漏甚至出售给利害关系人。其本身就侵犯了作为继股权、知识产权之后的又一新型民事权利——个人信息自决权。[10]如果能够责令实施网络电信诈骗客观上所借助的电信、金融机构及其他个人信息处理者，为其在网络电信诈骗实施过程中存在的过失或故意行为承担相应的法律责任（包括民事责任与刑事责任），既能实现对受害人的损害救济，也能倒逼上述主体积极履行相应防范与管理义务，从而有效预防网络电信诈骗犯罪的发生。[11]

第三，将制作、伪造信用卡的行为单独成立一个罪名，或者将其从伪造、变造金融票证罪中移至妨害信用卡管理罪之中。现行刑法第177条“伪造、变造金融票证罪”虽然涵括了制作、伪造信用卡这一不法行为，但将这一行为置于这一罪名中是否合理、妥适不无疑问。而在2005年颁布的《刑法修正案（五）》第1条则增设了作为刑法第177条之一的“妨害信用卡管理罪”。笔者认为，为就近指代以指代内容與实际不符法条设置不甚合理，给人以混乱、随意之感。从当前的司法实践来看，制作、伪造信用卡的现象在网络电信诈骗犯罪以及侵犯公民个人信息罪中时有出现，并有形成一个地下产业链的趋势，这对金融行业及其秩序的破坏和冲击是非常严重的，尤其对正常的信用卡管理造成了一定程度的干扰与侵犯。因此将其从伪造、变造金融票证罪中独立出来单独成立一个罪名，或者将其直接归置于妨害信用卡管理罪之中就显得较为合适。

民法典的出台标志着从民事、刑事两方面双层保护公民个人信息的法律体系架构已经形成并渐趋完善。民法典第1038条规定，未经自然人同意，不得向他人非法提供其个人信息，但是经过加工无法识别特定个人且不能复原的除外。这一禁止性规定突显了对个人信息的民法保护，也更好地实现了个人信息法律保障过程中的民刑衔接之目标。《最高人民检察院关于充分发挥检察职能服务保障“六稳”“六保”的意见》也明确指出，要加大对电信网络诈骗、网络传销、侵犯个人信息等各类违法犯罪行为的惩治力度，积极配合公安、工信等部门坚决整治网络黑灰产业链，强化源头治理，营造清朗网络空间。如今，《个人信息保护法》已出台，其将与《网络安全法》《数据安全法》构成我国网络空间安全和数据保护的三驾马车，预示着我国个人信息保护法治进程即将进入新篇章。[12]