五、侵犯公民个人信息犯罪的司法适用

自2009年2月《刑法修正案（七）》增设侵犯公民个人信息犯罪以来，各级公检法机关依据修正后刑法的规定，坚决依法惩处侵犯公民个人信息犯罪活动，取得了明显成效。2009年2月至2017年12月间，全国法院新收侵犯公民个人信息刑事案件3086起，审结2826起，生效判决人数4942人。概括而言，侵犯公民个人信息犯罪的司法适用呈现出如下几个特点：

1.侵犯公民个人信息刑事案件增长明显。综观2009年2月以来的情况，适用刑法第二百五十三条之一的案件数，历经了飞速增长的过程。大体而言，可以划分为如下三个阶段：（1）2009年2月至2015年10月，全国法院新收出售、非法提供公民个人信息、非法获取公民个人信息刑事案件988起，审结969起，生效判决人数1415人。其中，新收出售、非法提供公民个人信息刑事案件101件，审结98件，生效判决人数142人；新收非法获取公民个人信息刑事案件887件，审结871件，生效判决人数1273人。（2）2015年11月至2017年5月，全国法院新收侵犯公民个人信息刑事案件（含出售、非法提供公民个人信息、非法获取公民个人信息刑事案件）952件，审结814件，生效判决人数1295人。（3）2017年6月至2017年12月，全国法院新收侵犯公民个人信息刑事案件1146件，审结1043件，生效判决人数2232人。

侵犯公民个人信息刑事案件迅速增长，原因可以概括为如下几点：（1）社会各方对公民个人信息泄露高度关注，打击非法获取、出售、提供公民个人信息违法犯罪，已经成为社会共识。（2）《刑法修正案（九）》的施行是侵犯公民个人信息刑事案件明显增长的一个关键时间点。可以说，《刑法修正案（九）》对刑法第二百五十三条之一作出修改，特别是扩大犯罪主体范围和提升刑罚配置水平，切实加大了对侵犯公民个人信息犯罪惩治力度。（3）《解释》的施行是侵犯公民个人信息刑事案件明显增长的另一个关键时间点。《解释》根据法律规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，为惩治该类犯罪提供了有效法律武器，对于案件的增长发挥了至关重要的作用。（4）公安机关对侵犯公民个人信息犯罪的打击力度不断加大。2017年以来，公安部组织全国公安机关深入推进打击网络侵犯公民个人信息犯罪专项行动，侦破了一批大要案件。据统计，截至2017年12月20日，全国公安机关当年累计侦破侵犯公民个人信息案件4911起，抓获犯罪嫌疑人15463名，打掉涉案公司164个。[16]

2.侵犯公民个人信息刑事案件地域分布不均衡。从地域分布来看，侵犯公民个人信息犯罪案件明显存在相对集中的特点。以2017年为分析样本，全国法院审结侵犯公民个人信息刑事案件1393件，其中半数以上的案件集中于江苏、浙江、广东、上海、福建。据统计，江苏审结238件，位居全国首位；浙江、广东、上海、福建分别审结155件、136件、117件、100件。

侵犯公民个人信息刑事案件相对集中于部分省市、其中东部地区的现象尤为突出，主要在于相关省市公安机关、尤其是公安网安部门打击力度较大。特别是，相关省市公安网安部门将侵犯公民个人信息犯罪与危害计算机信息系统安全犯罪一起作为网警办理刑事案件的主要考核指标，客观上促使地方公安网安部门积极寻找线索，深挖链条，有力打击该类犯罪。

3.侵犯公民个人信息的刑罚力度不断加大。在《刑法修正案（九）》施行前，刑法第二百五十三条之一只配置了一档法定刑，即“处三年以下有期徒刑或者拘役，并处或者单处罚金”。《刑法修正案（九）》增加配置了一档法定刑，即“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。在《刑法修正案（九）》施行后，特别是《解释》施行后，对该类犯罪的刑罚力度明显加大。例如，2017年，侵犯公民个人信息罪的生效判决人数为2920人，其中判处三年以上有期徒刑的人数为917人。

究其原因，这与《解释》明确了侵犯公民个人信息罪“情节特别严重”的具体情形直接相关。特别是，《解释》规定非法获取、出售或者提供非敏感公民个人信息达到五万条以上的，即应当升档量刑。而从实践来看，该类案件往往涉案的公民个人信息数量较大，不少超过了五万条。

概而言之，侵犯公民个人信息罪的司法适用成效十分明显，充分发挥了强化公民个人信息的保护，维护人民群众个人信息安全以及财产、人身权益的重要作用，应当充分予以肯定。然而，从实践来看，当前公民个人信息的保护还存在一些亟须解决的问题：（1）“刑法先行”的现象亟待克服。一般认为，侵犯公民个人信息罪系行为犯，理想的状态应当是先有前置法律法规，后由作为“其他部门法的保障法”的刑法加以规制。然而，就公民个人信息领域而言，刑法先于其他部门法明确了侵犯公民个人信息犯罪的界限，而后才有对网络公民个人信息保护作出集中规定的《网络安全法》自2017年6月1日起施行，但专门的公民个人信息保护法迄今尚未出台。通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延，是不得已而为之的举措，但并非上策。刑法只能治标，尚难治本。而且，当前侵犯公民个人信息罪的司法适用存在相当争议，不少与缺乏前置的公民个人信息保护规范直接相关。当下，应当尽快推进公民个人信息保护法的制定，构建起公民个人信息民事、行政、刑事的全方位保护体系，推进侵犯公民个人信息违法犯罪的系统治理。（2）“重打击、轻管理”的现象亟待解决。运用刑法这一最为严厉的手段保护公民个人信息，是我国在公民个人信息保护领域的充分尝试。但是，与公民个人信息保护发达的国家相比，我国关于公民个人信息的收集、保存、流转、使用等方面的管理亟须加强，特别是要严防内部人员非法出售、提供公民个人信息，切实防止公民个人信息泄露事件的发生，有效切断侵犯公民个人信息违法犯罪的“源头”。（3）刑法适用的平等性亟待增强。长期以来，侵犯公民个人信息罪的惩治对象主要是自然人，单位、特别是规模以上单位成为该类犯罪主体的现象并不多见。就此而言，存在两个方面的突出问题：一是个别规模以上单位、特别是互联网企业非法获取、出售、提供公民个人信息仍呈“有恃无恐”的现象，亟待法律、特别是刑事法律的规制。实际上，只有有效规制规模以上单位关于公民个人信息的收集和使用，才能确保公民个人信息保护落到实处、见到实效。因此，未来侵犯公民个人信息犯罪的惩治能否向纵深推进，加大对规模以上单位侵犯公民个人信息违法犯罪的查处力度，确保法律适用的平等性，值得进一步观察。二是有关单位掌握海量公民个人信息，但保护公民个人信息的职责并没有完全落到实处，造成公民个人信息泄露事件时有发生。[17]对此，《解释》第九条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”未来，这一条文的适用尚待观察。

---

[1]参见《个人信息泄露正为罪犯“开后门”》，载《青年报》2016年9月15日第7版。

[2]参见《两高发布办理侵犯公民个人信息刑事案件司法解释》，载《人民法院报》2017年5月10日第1版。

[3]以安徽合肥为例，公安机关于2016年4月至11月在全市集中开展打击整治网络侵犯公民个人信息犯罪专项行动，先后破获侵犯公民个人信息犯罪案件37起，抓获犯罪嫌疑人员115名，涉案金额1000余万元，查获公民个人信息数据两亿余条。参见《合肥侦破侵犯公民个人信息案三十七起查获信息数据两亿余条》，载《法制日报》2016年12月2日第8版。

[4]据公安机关介绍，“不法分子获取的公民个人信息已经从简单的身份信息、电话、地址等，扩展到手机短信、手机通讯录、网络账号和密码、银行账号和密码、购物记录、出行记录，涉及各地以及各个行业”。参见《合肥侦破侵犯公民个人信息案三十七起查获信息数据两亿余条》，载《法制日报》2016年12月2日第8版。

[5]目前网上贩卖个人信息来源主要分为六大类——网购类、银行类、医疗类、通信类、考试信息类和邮递类。网购类主要出售网上购物网站的客户个人信息，包括淘宝、京东、苏宁易购等；银行类信息主要为商业银行客户信息、个人征信信息；医疗类信息主要为医疗保障数据；通信类的个人信息则包括邮箱数据、手机数据等；考试类信息主要来自建筑师、药师、会计等职称考试的考生信息；快递类信息主要来源于顺丰、EMS等快递企业，网购的兴盛促使快递行业掌握了大量公民的个人信息。参见《保护公民个人信息亟须综合治理本报专访公安部网络安全保卫局有关负责人》，载《人民公安报》2016年9月26日第4版。

[6]参见高富平：《法律应如何保护个人信息》，载《中国审判》2017年第3期。

[7]例如，英国制定了统一的《数据保护法》，确立了信息专员制度，用以监管该法的执行，确保个人数据的安全。2005年实施的《信息公开法》将信息公开的监管职责纳入数据保护专员的权责范围。参见刘武俊：《筑牢个人信息的安全防线》，载《人民法院报》2013年8月14日第2版。而在德国，早在1970年黑森州就颁布了保护公民个人信息的《数据保护法》，这是全世界最早的隐私保护法。随后，有16个州相继通过与个人信息保护相关的法律。1977年，德国联邦政府正式颁布《联邦数据保护法》，全面保护德国公民个人信息。此外，德国也设有数据保护专员制度，对个人信息保护与信息自由法律实施予以监督。

[8]例如，有论者对个人信息刑法保护的立法提出了四个方面的改进和完善建议：（1）将“公民个人信息”的表述简化为“个人信息”；（2）在刑法关于侵犯个人信息犯罪的条文中以单独的一款规定“个人信息”的概念；（3）对两种侵犯个人信息犯罪规定不同的犯罪对象；（4）将非法利用个人信息的行为入罪。参见赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期。

[9]关于《刑法修正案（七）》增设的刑法第二百五十三条之一第一款规定的出售、非法提供公民个人信息罪的主体范围，存在不同认识：有观点认为，该罪主体为国家机关或者金融、电信、交通、教育、医疗等利用公权力获取公民个人信息的单位及工作人员，而不包括非利用公权力收集公民个人信息的单位和个人。参见黄太云：《〈刑法修正案（七）〉解读》，载《人民检察》2009年第6期；张磊：《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》，载《当代法学》2011年第1期。也有观点认为，具有公权力并非该罪之单位主体的基本特征。参见赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期。

[10]根据司法实践的具体情况，《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》明确：“出售、非法提供公民个人信息罪的犯罪主体，除国家机关或金融、电信、交通、医疗单位的工作人员之外，还包括在履行职责或者提供服务过程中获得公民个人信息的商业、房地产业等服务业中其他企事业单位的工作人员。”

[11]关于《刑法修正案（七）》增设的刑法第二百五十三条之一第一款与第二款的犯罪对象是否一致，理论界存在肯定说、否定说和折中说三种观点。肯定说认为，第二款规定的“上述信息”与第一款规定的对象一致，即国家机关或者金融、电信、交通、教育、医疗等单位在履行职责或者提供服务过程中获得的公民个人信息。参见赵秉志主编：《刑法修正案（七）专题研究》，北京师范大学出版社2011年版，第150页。否定说认为，第二款规定的“上述信息”不限于第一款规定的个人信息，还包括其他符合条件的各种信息。参见张磊：《司法实践中侵犯公民个人信息犯罪的疑难问题及其对策》，载《当代法学》2011年第1期。折中说认为，从立法本意来看，肯定说是合适的；但从强化公民个人信息法律保护的角度而言，否定说更符合社会发展的实际情况。因此，综合肯定说和否定说两种观点，折中说认为第二款规定的“上述信息”是指属于各种公共服务单位所收集或者发布的个人信息，从而将行为人直接从公民那里刺探或者收集的信息排除出去。参见赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期。从实践来看，司法实务部门通常主张肯定说。参见刘涛：《关于刑法第二百五十三条之一第二款有关内容理解问题的研究意见》，载《司法研究与指导》（第1辑），人民法院出版社2012年版。然而，也有司法实务部门在个案处理中采纳了否定说。

[12]参见庄晓晶、林洁、白磊：《非法获取公民个人信息犯罪区域性实证分析》，载《人民检察》2011年第5期（上）。

[13]参见庄晓晶、林洁、白磊：《非法获取公民个人信息犯罪区域性实证分析》，载《人民检察》2011年第5期（上）。

[14]参见刘涛：《关于刑法第二百五十三条之一第二款有关内容理解问题的研究意见》，载《司法研究与指导》（总第1辑），人民法院出版社2012年版。

[15]参见赵秉志：《公民个人信息刑法保护问题研究》，载《华东政法大学学报》2014年第1期。

[16]参见《去年公安机关侦破侵犯公民个人信息案件4900余起》，载《法制日报》2018年1月10日第3版。

[17]参见《去年公安机关侦破侵犯公民个人信息案件4900余起》，载《法制日报》2018年1月10日第3版。