侵犯公民个人信息罪司法统计分析——以上海法院2019年-2021年354份裁判文书为样本

来源:中国上海司法智库

文章摘要
编者按 2015年,《刑法修正案(九)》(以下简称“《刑(九)》”)正式颁布实施,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”统一纳入“侵犯公民个人信息罪”中。
编者按
2015年,《刑法修正案(九)》(以下简称“《刑(九)》”)正式颁布实施,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”统一纳入“侵犯公民个人信息罪”中。2017年,“两高”颁布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)进一步细化了个人信息的定义、种类和量刑标准,为司法实践提供了指引。2021年,《个人信息保护法》颁布实施,对个人信息的内涵、分类和侵犯个人信息方式进行了更加系统和详细的划分,并将个人信息保护纳入公益诉讼。随着信息技术的发展,公民个人信息遭受侵害的情况日益严重,公民个人信息亟待保护。因此,本文分析整理了上海法院近三年来侵犯个人信息罪相关案件的情况,描绘该类案件总体形态,梳理司法实践中存在的问题,并结合前置法相关规定提出建议,以期为公民个人信息提供更加有力的刑法保护。
侵犯公民个人信息罪司法统计分析——以上海法院2019年-2021年354份裁判文书为样本
一、侵犯公民个人信息罪的司法实践样态
本文在C2J法官办案智能辅助系统中以“侵犯公民个人信息罪”为关键词,收集到上海法院2019年-2021年354份与侵犯公民个人信息罪相关的法律文书。其中,339份以侵犯公民个人信息罪定罪量刑,15份未以本罪定罪量刑。具体情况如下:
1.案件数量和涉案人数逐年减少,单位犯罪数量不多。近三年生效判决中,侵犯公民个人信息罪的案件共339件,涉案人数为575人。其中, 2019年140件206人,2020年104件197人,2021年95件172人(详见图一)。在单位犯罪方面,虽然刑法规定单位可以构成本罪犯罪主体,但单位犯罪数量不多,近三年来共2件,均为2021年案件。

2. 二审撤诉率和改判率较高,案件地域分布较为均匀。近三年,侵犯公民个人信息罪案件上诉率略高于同期刑事案件上诉率,改判率较高。一审案件共294件,其中,2019年155件,2020年93件,2021年97件。二审案件共45件,其中,一中院17件,二中院28件。经统计,同期刑事案件上诉率为12.8%,本罪案件上诉率为15.3%;上诉人申请撤诉18件,占二审案件比重的40%;二审改判案件19件,改判率为42%(详见图二)。

案件地域分布较为分散,虹口36件,杨浦35件,嘉定31件,静安28件,宝山28件,金山27件,松江26件,浦东17件,徐汇14件,青浦13件,闵行13件,长宁10件,黄浦10件,奉贤7件,普陀4件,崇明1件,上铁1件(详见图三)。

3.附带民事公益诉讼案件多,部分公益诉讼调解结案。近三年来,附带民事公益诉讼案件共53件,一审49件,二审4件,占案件总量的15.63%。民事部分达成调解10件,占附带民事公益诉讼案件总数的18.87%。民事部分承担责任方式主要为以下三种:43件要求在媒体公开道歉(其中,30件国家级媒体,7件省级媒体,6件当庭赔礼道歉);23件要求被告人删除涉案公民个人信息;19件要求被告人赔偿损失。(详见图四)

4.量刑以有期徒刑为主,约半数涉案人员判处缓刑。在量刑方面,单处罚金的10人;判处拘役的33人;三年以下有期徒刑的176人;三年以上七年以下有期徒刑的91人;七年以上有期徒刑2人;适用缓刑263人,占总人数的45.73%。(详见图五)

二、文书中反映的司法实践疑难问题
通过进一步梳理裁判文书,本文整理了裁判文书中反映出的法律适用和定罪量刑难题,具体表现在以下五个方面:
1. 公民个人信息的分类边界较为模糊
根据《解释》,将个人信息分为三类,各个类别的入罪信息数量各不相同:第一类是行踪轨迹信息、通信内容、征信信息、财产信息五十条以上;第二类是住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上;第三类是其他公民个人信息五千条以上。然而,该种划分较为抽象,难以与现实中侵害的公民个人信息一一对应,且第一类和第二类信息之间存在交叉重叠。因此,文书中所体现的个人信息类型未能与《解释》划分的信息类型相对应。例如,在文书中,一般是对当事人侵害的信息种类进行简单的罗列,并未将其归入到《解释》所划分的类型中。例如,145篇涉及公民姓名和联系方式,86篇涉及银行账号;34篇涉及公民房产相关信息;50篇涉及公民身份证号码;23篇涉及公民住址信息;27篇未写明信息类型。也有文书吸纳了《个人信息保护法》相关规定,采用了“能够识别特定个人”的表述方式。可见,由于现有关于个人信息的分类标准较为抽象,司法实践中难以将信息归入到《解释》的三类信息中,导致法官在后续的定罪量刑中存在一定程度上的采用信息数量反推信息类别的情况。
2.是否成立本罪存在争议
首先,文书对犯罪情节的论述不多,未能实现与法条的精准匹配。根据《刑(九)》,“情节严重”是侵犯个人信息入刑的基本标准,判处三年以下有期徒刑或拘役;“情节特别严重”的法定刑则提高至三年以上七年以下有期徒刑。《解释》列举了10种“情节严重”和4种“情节特别严重”的表现形式,进一步提高了量刑的可操作性。然而,在司法实践中,法律文本与实践存在一定程度上的衔接问题。在本文收集的裁判文书中,认为侵犯公民个人信息“情节严重”的案件数量要多于“情节特别严重”的。但是,文书中对于犯罪情节和犯罪事实之间的说理不多,仅在“本院认为”部分对于被告人犯罪情节一笔带过,缺乏详细的论述。
其次,控辩审三方对于是否成立本罪存在一定程度上的争议。对于公诉机关指控被告人犯侵犯公民个人信息罪的354份文书,法院未予以采纳15份,该批文书均系“金蝉财经”系列案件,文书指出,被告人虽然使用了非法获取的公民个人信息进行诈骗犯罪活动,但并未参与非法获取相关信息的事先共谋、具体实行、或其他帮助行为,故不应将被告人作为侵犯公民个人信息犯罪的共犯论处,因此未采纳公诉建议,判处侵犯公民个人信息罪。被告人或辩护人提出行为不构成本罪的抗辩8份,法院7份未采纳。例如,“金蝉财经”系列案件中,法院认为,四名被告人直接参与实施了侵害公民个人信息的行为,应被判处本罪;而另一名仅负责文案编辑的人员因未参与侵犯公民个人信息行为,采纳辩护人的意见,不构成本罪;该判决也得到了二审法院的支持。另外,在一些文书中,法院也认为,主管人员虽然没有具体实施侵犯公民个人信息的行为,但因其明知下属的犯罪行为,也成立本罪。
3.共同犯罪的认定存在困难
由于侵犯公民个人信息罪自身的特点,“非法出售”“非法提供”和“非法获取”之间存在较为紧密的关系,行为人买、卖、占有均触犯该罪,当事人之间是否达成共犯合意难以查明。但是,在同案存在多个被告人的案件中,各被告人之间是否成立共犯并区分主从关系,对于定罪量刑具有重要的意义。在本文收集的文书中,144份文书确认成立共犯,被告二人以上的文书中,91份文书未提及是否成立共犯。可见,文书对于是否成立共犯持有较为谨慎的态度,表明司法实践中对于共犯的认定存在困难。
另外,在部分案件中,侵犯公民个人信息与其他下游犯罪行为息息相关,被告人与其他合谋后实施的侵犯公民个人信息的行为,是否以共犯论处也存在争议。本文收集的裁判文书中,42篇文书中的被告人因行为触犯多个罪名而被数罪并罚,仅19份文书中确认被告人之间成立共犯。例如,被告人同时触犯诈骗罪、非法拘禁罪、敲诈勒索罪和侵犯公民个人信息罪,根据各自犯罪情节数罪并罚。也有被告人因触犯合同诈骗罪、信用卡诈骗罪和破坏信息系统罪等罪名后数罪并罚。
4.附带民事公益诉讼案件中“公共利益”的标准有待进一步明确
当侵犯公民个人信息的犯罪行为侵害了不特定公众的合法权益时,由公诉人提起附带民事公益诉讼,在很大程度上解决了个人信息保护中个体维权积极性不高、维权难度大等难题,对于维护社会公共利益,优化司法资源具有重要的意义。对于符合条件的案件应该一并提起附带民事公益诉讼,有利于及时、准确地查清案件事实,提高诉讼效率。然而,也存在诉讼规则有待进一步完善、机制运行中存在障碍等问题。具体到侵犯公民个人信息罪的刑事附带民事公益诉讼案件中,存在“不特定社会公众”范围不明确、民事部分诉讼请求较为单一等问题。
《最高人民法院、最高人民检察院关于检察公益诉讼案件适用法律若干问题的解释》第十三条和《个人信息保护法》第七十条为公诉机关对侵犯公民个人信息提起附带民事公益诉讼提供了依据。但是,公共利益的标准尚未明确。在本文收集的附带民事公益诉讼案件中,满足了“侵害众多个人权益”这一要求,而在未提起附带民事公益诉讼的案件中,大部分案件侵害的也是“不特定公众”的个人信息,但并未提出附带民事公益诉讼。因此,哪一类案件应该提起附带民事公益诉讼需要进一步明确。
另外,附带民事公益诉讼案件中,附带民事部分的判决一般是“永久删除”涉案公民个人信息和在媒体上公开道歉。在达成调解的附带民事公益诉讼案件中,被告人一般会按照公诉机关建议的赔偿金额缴纳赔偿金,而未达成调解的案件中,基本上没有案件判处赔偿金额。可见,附带民事公益诉讼案件中,民事部分的诉讼请求较为单一,未能充分发挥公益诉讼的优势,难以起到对被告人的惩戒和被害人的损失填补作用。
5.量刑情节较为杂乱
针对侵犯公民个人信息罪,法定的从重情节是“将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”,因此,被告人的身份是重要的量刑情节。在本文收集的裁判文书中,37份文书涉及“提供服务”,6份涉及“履行职务”;但有的文书中,虽然被告人属于“提供服务或履行职务”,但并为作为从重情节在量刑中予以体现。该罪法定的从宽情节为“不属于‘情节特别严重’,行为人系初犯,全部退赃,并确有悔罪表现”,在本文收集的裁判文书中,无符合从宽情节的案件。
对于刑法一般规定中的量刑情节,适用情况较为杂乱,文书中并未就被告人的具体行为表现予以论述,只是在法院认为部分,写明量刑情节。认定被告人“如实供述”的文书298份,“认罪认罚”的278份,“退出违法所得”的42份,“自首”的37份,“预缴罚金”的16份,“有悔罪表现”的8份,“初犯”8份,“坦白”的6份,“立功”的4份,“累犯”3份,“用于其他犯罪”2份,“社会危害性大”1份。另外,履行附带公益诉讼中的民事判决或调解,可以在刑事判决中作为从轻情节。
同时,裁判文书撰写存在一定程度上的不规范。本文收集的文书中,部分文书存在说理不充分等问题,简单引用法条规定,对于是否符合犯罪构成未进行阐述。有文书对于涉案公民个人信息的种类和数量都未曾提及,文书难以反映案件事实和法律适用。
三、完善侵犯公民个人信息罪司法适用的建议
针对本文收集裁判文书中反映的法律适用、定罪量刑和刑民衔接等方面存在的问题,结合该类案件逐年高发的趋势,本文建议从以下四方面进一步优化侵犯公民个人信息罪的司法适用。
1.合理吸纳前置法的规定,对信息种类予以更加明确的分类
本罪所涉及的公民个人信息种类较多,如身份证正反面、车辆信息、征信、住宿、产调、通讯录等信息,难以将其对应到信息类别并计算信息数量。实践所暴露出的问题需要审视识别性与个人信息权之间。学术界对《解释》中个人信息种类的划分标准存在争议,认为第一类信息和第二类信息之间存在重叠和交叉。并且,随着大数据时代的来临,个人信息种类日渐增多,但未能囊括到第一类和第二类的信息入刑数量太高,不利于公民个人信息的保护,也忽略了个人信息权的财产性与独立性,应当予以修订完善。
为确保法律秩序统一,侵犯公民个人信息罪中,“公民个人信息”的内涵和外延,建议要以《民法典》在内的前置法律法规为基础。《个人信息保护法》中,将个人信息分为敏感个人信息和一般个人信息两类,分类较为简洁明了。相对于《解释》,采纳《个人信息保护法》中分类更为合理:一是“二分法”的归纳性更强,二是更能突出对生物识别信息的保护力度。据此,建议修改《解释》中信息分类,促使保障法与前置法之间衔接顺畅。在司法实践中,对标《民法典》关于个人信息相关规定,以涉非公开信息的案件为重点,严厉惩治非法获取、提供非公开个人信息的案件,也有利于强化对个人信息的保护。
因此,建议在今后出台有关侵犯公民个人信息罪的司法解释时,建议结合《民法典》《个人信息保护法》等前置法中关于个人信息种类的规定,明确个人信息种类的划分标准,吸收前置法较为简洁明了、便于区分的“两分法”,为个人信息种类划分提供更具操作性的指引。
2.理顺侵犯公民个人信息的行为与其他犯罪行为之间的关系
在犯罪竞合方面,《解释》将本罪与非法利用信息网络罪定罪、拒不履行信息网络安全管理义务罪之间的关系予以规定,但本罪与为获取个人信息而实施的诈骗、敲诈勒索、招摇撞骗等行为是否存在竞合,是否适用数罪并罚尚无明确规定。因此,建议在行为人为获取个人信息实施了骗取、胁迫等行为时,适用特别法由于一般法的规则,认定为侵犯公民个人信息罪。
实践中,行为人在非法获取公民个人信息后,又实施了诈骗、敲诈勒索等侵害公民人身财产安全的犯罪行为,当行为人行为均符合侵犯公民个人信息罪和下游犯罪构成时,择一重罪处罚或数罪并罚在司法实践中尚未统一。行为人非法途径获取个人信息是后续犯罪的手段行为,属于手段与目的相互牵连的牵连犯,不应当 “从一重处”。另一方面,从刑法自身的逻辑与目的考虑,数罪并罚理论更具有优势。行为人前后两个行为触犯了不同罪名、 侵害了不同法益,既侵犯了公民个人信息权,又构成财产犯罪、人身犯罪等;对于实施了两个行为、侵害了两种法益、构成了两个犯罪的情形,应数罪并罚。
另外,《解释》将“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”作为“情节严重”的表现形式之一。然而,在明知他人实施犯罪的情况下,行为人与其他犯罪行为是否成立共犯尚未明确。明知他人利用获得的信息实施犯罪并与其通谋,为其提供公民个人信息的,提供信息者既构成侵犯公民个人信息罪,同时又构成获得并利用信息者实施的相应犯罪之帮助犯,对提供信息者应按照想象竞合的原则,从一重罪处罚。
3.完善附带民事公益诉讼案件相关机制,为公民个人信息保护提供更为全面系统的保护
在附带民事公益诉讼案件范围确定方面,最高检《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》中,提出了重点把握的四方面:生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息;儿童、妇女、残疾人、老年人、军人等特殊群体的个人信息;教育、医疗、就业、养老、消费等重点领域处理的个人信息,以及 100 万人以上的大规模个人信息;对因时间、空间等联结形成的特定对象的个人信息。因此,检察机关在决定是否提起公益诉讼时,需考虑公民个人信息被侵犯的程度以及对整个社会造成的影响等因素。还需要依据个人信息保护法有关规定,综合从个人信息保护、互联网反垄断、反不正当竞争等领域探索开展公益诉讼。
针对附带民事公益诉讼中诉讼请求较为单一,难以有效实现诉讼目的的问题,可以在判决中采纳诸如赔偿损失、消除影响、恢复名誉等多种责任承担方式,强化公民个人信息保护。为弥补公共利益和对类似行为的预防,在民事部分要适用侵权责任中的惩罚性赔偿标准,加大对被害人的保护力度;基层检察机关应探索诉讼请求多元化,提出消除危险等责任承担方式;设立公益诉讼专项账户,将资金用于赔偿广泛的受害人,进一步加强赔偿资金的管理使用。
4.规范量刑情节,细化量刑区间和罚金规则
在量刑情节方面,侵犯公民个人信息罪中,履行职责或者提供服务中获取的个人信息提供或出售给他人的,属于“从重情节”。特殊主体的行为践踏了公民对单位尤其是权力机关的信赖,极大冲击了社会诚信,并且根据《解释》规定,个人信息数量或数额达到一般主体的一半时即可入罪。然而,在司法实践中,部分在提供服务中获取个人信息的行为人,如中介、银行职员等并未受到从重处罚。因此,司法实践中要统一认定特殊主体的标准,明确具有何种身份的人应该从重处罚。另外,由于特殊主体入罪标准低于一般主体,在入罪标准低于一般主体时,为防止对特殊主体这一行为重复评价,建议建议综合考虑上述问题,比照量刑幅度、重复评价等因素予以确定,以达到最好的法律效果和社会效果。
在量刑方面,《刑(九)》规定了“处三年以下有期徒刑或者拘役”和“三年以上七年以下有期徒刑”两档,尚无较为细化的量刑标准。在罚金规则适用方面,行为人一旦触犯侵犯公民个人信息罪,均会被判处罚金,而根据本文统计,罚金使用规则较为杂乱。不同于财产类犯罪的可量化性、可查明性,对于侵犯公民个人信息罪,如果法院无法查明违法所得或者行为人侵犯公民个人信息并不以获利为目的,《解释》第12 条规定的“罚金数额一般在违法所得的一倍以上五倍以下”则无法适用。因此,随着侵犯公民个人信息罪的案件数量不断增加,建议将侵犯公民个人信息罪也纳入到《<关于常见犯罪的量刑指导意见>实施细则》中,将量刑规则进一步细化,根据个人信息数量和涉案金额,综合考虑个人信息数量、实际犯罪所得、造成损失的大小、社会危害性等犯罪情节,确定对应的罚金数额范围,规范罚金适用规则。
技术驱动法律,专业成就未来