信息分级视域下侵犯公民个人信息罪的量刑梯度研究

张 楚

(西南政法大学,重庆 401120)

最高人民法院、最高人民检察院于2017 年出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《办理侵犯公民个人信息刑事案件的解释》),规定影响侵犯公民个人信息罪的量刑情节主要包括信息类型和数量、违法所得数额、信息用途及主体身份等。 其中,第5 条规定的非法获取公民个人信息50 条、500 条和5000 条的入罪梯度,是信息分级制度在刑法适用中的体现。 随着信息分级制度的逐渐成形,侵犯公民个人信息罪的量刑开始关注涉案个人信息的类别、级别和重要程度,因而信息分级的颗粒度和精准度在量刑上开始受到重视。①参见童云峰:《证立与提倡:读者个人信息的民法分类分级保护》,载《现代情报》2021 年第12 期,第97-106 页;洪延青:《国家安全视野中的数据分类分级保护》,载《中国法律评论》2021 年第5 期,第71-78 页。然而,我国尚未出台关于个人信息分级的具体法律法规,侵犯公民个人信息罪量刑情节的法律评价和适用,可以在准确把握侵犯公民个人信息罪法益内涵的基础上,依据《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)、《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)等法律进行考量。

一、侵犯公民个人信息罪的量刑梯度评析与法益重释

《办理侵犯公民个人信息刑事案件的解释》对个人信息的分级保护进行了尝试,此前的量刑规则把涉案个人信息的种类、级别和其他影响侵犯公民个人信息罪的量刑因素杂糅在一起,量刑情节梯度与逻辑层次有待在后续立法中进一步凝练。 2018 年起关于个人信息保护和数据保护的立法逐渐落地,并伴随国家对网络、信息和数据分级管理制度的进一步完善,《个人信息保护法》和配套规范对个人信息类别与等级的划分有了进一步探索。 侵犯公民个人信息罪的量刑梯度的科学设置,以及与当前信息保护制度的衔接,均应当在信息分级治理的基础上进行,同时还应当考虑侵犯公民个人信息罪的保护法益。

(一)侵犯公民个人信息罪的量刑梯度评析

《个人信息保护法》和《信息安全技术 个人信息安全规范》(GB/T 35273—2020)(以下简称《安全规范》)把个人信息分为了一般个人信息与敏感个人信息。 较于《办理侵犯公民个人信息刑事案件的解释》,《安全规范》根据数量和等级把涉案个人信息分为3 个数量层次,分别对应3 个信息等级,即(1)轨迹、通信、征信和财产一类的信息;(2)住宿、健康、交易一类的信息;(3)其他信息。 《办理侵犯公民个人信息刑事案件的解释》的出台时间较早,虽然其在尝试根据个人信息的等级进行量刑划分,但不足之处也比较明显。

第一,《办理侵犯公民个人信息刑事案件的解释》对个人信息的分类忽略了个人信息的时效性。《办理侵犯公民个人信息刑事案件的解释》把轨迹、征信一类的信息规定为最敏感的信息,但现实生活中轨迹通常发生变化,轨迹信息具有很强的即时性,超过三天已无太大价值。 财产、通信和征信一类的个人信息也是处于变化中的信息。 此外,3 个等级的入刑标准按照十个等比升序设置也有待商榷,因为3 种不同的个人信息只是在类别上进行划分,在认定上必然存在重合和交叉。 比如,轨迹、财产一类的信息和住宿、交易一类的信息就存在重合关系,在具体认定中也只能以该信息的敏感程度来区分信息的级别。

第二,《办理侵犯公民个人信息刑事案件的解释》对个人信息的分类忽略了个人信息的可识别性。 以轨迹信息为例,在《安全规范》中的个人信息示例中,其仅仅属于个人位置信息的一个子类,是一般个人信息,而非敏感个人信息。 因为当前智能设备对实时个人信息的采集多用于消费推荐或者地图导航,不关注设备主体的具体身份,因而在技术上切断了与信息主体的身份关联。 相反,身份证、面部识别信息等个人信息才属于敏感个人信息,因为其属于身份信息或者生物识别信息,具有难以篡改性,对特定个人具有很强的可识别性。

第三,《办理侵犯公民个人信息刑事案件的解释》对个人信息的分类忽略了个人信息的脱敏度。根据《个人信息保护法》及相关法律规定,已识别、可识别、直接识别及间接识别到特定个人的各种信息均属于个人信息。 《安全规范》把经过去标识化的个人信息作为个人信息,根据合规要求,个人信息在处理活动中均需经过技术加密,但与匿名化的个人信息不同,去标识化的个人信息在借助额外信息的情况下可以对个人信息进行重识别,而经过匿名化的信息则不能被复原。 基于此,去标识化的个人信息关联到特定个人时需要启动重识别,因而去标识化的个人信息的颗粒度比一般个人信息模糊,以这一类个人信息作为侵犯公民个人信息罪犯罪对象时,在量刑适用时可以适当克减。

因此,从涉案个人信息等级的时效性、可识别性和脱敏程度来看,以绝对等比序列设置侵犯公民个人信息罪的量刑梯度合理性不足。 涉案个人信息的种类和级别的划定,应该充分考虑信息的颗粒度。 而信息颗粒度的合理划分,应当充分考虑信息的实质内容。 同时,结合构成侵犯公民个人信息罪的法益本质,考量侵犯公民个人信息的行为到底侵害何种社会关系,以及此种社会关系的社会危害性程度有哪些评定因素,方能更好地研究侵犯公民个人信息罪的量刑梯度。

(二)侵犯公民个人信息罪的法益本质

目前,学界关于侵犯公民个人信息罪法益的探讨,主要集中在其保护的法益是否具备私密性,以及是集体法益还是个人法益等方面。①参见徐翕明:《侵犯公民个人信息罪的法益重析——基于个人信息保护法制定的探讨》,载《社会科学家》2022 年第8 期,第119-125 页;汪恭政:《侵犯公民个人信息罪认定的应然转向》,载《西南政法大学学报》2022 年第3 期,第112-128 页;陈小彪:《侵犯公民个人信息之法益厘定及其司法展开——以个人信息数量认定为视角》,载《中国人民公安大学学报(社会科学版)》2022 年第2 期,第73-80页。前者对于量刑因素的意义,在于量刑梯度是否应当考虑涉案个人信息私密程度,以及对信息主体安宁程度的影响;后者对于量刑因素的意义,在于法益侵害程度是被害人数量的简单累加,还是应当考虑个人法益积聚之后是否会产生新的法益。 笔者认为,侵犯公民个人信息罪的法益具备隐私性和聚合性的特征。

1.侵犯公民个人信息罪法益内容的隐私性

有学者主张,侵犯公民个人信息权益的犯罪和侵犯公民隐私权利的犯罪在法理保护上应当分流。 因为随着数字科技向国民生活方方面面的渗透,公民信息和公民隐私的法律保护路径已经开始分化。②参见郑泽星:《论侵犯公民个人信息罪的保护法益——场景化法益观的理论构造与实践立场》,载《清华法学》2023 年第3 期,第90-105 页;[德]克劳斯·罗克辛:《法益讨论的新发展》,许丝捷译,载《月旦法学杂志》2012 年第12 期,第257-280 页。对于该观点,笔者持保留态度。 个人信息权益从隐私权中的分化和脱离,并不与二者的关联和契合矛盾。 尽管学界还尚未承认个人信息是一种基本民事权利,但对个人信息的保护是起源于隐私权,而最终脱胎于隐私权。 首先,在民法的适用领域,隐私和个人信息存在调整范围的重合性。 属于隐私的个人信息,理论上被称为隐私信息。①参见刘磊:《论私密个人信息的合理使用困境与出路》,载《财经法学》2023 年第2 期,第36-50 页;蔡一博、郭福卿:《隐私与个人信息区分下的衔接保护》,载《学术交流》2022 年第12 期,第105-118 页。根据《中华人民共和国民法典》(以下简称《民法典》)相关规定,隐私权和个人信息发生竞合时,优先适用隐私权保护的救济途径。 其次,从刑法的罪名体系来看,侵犯公民个人信息罪紧随侵犯通信自由罪和私自开拆、隐匿、毁弃邮件、电报罪之后,其保护的法益有相似之处。 个人信息的公法保护是随着运输业的兴起,通信邮件隐私保护逐渐发展到快递物流的信息安全保护,最终扩大到全生命周期的个人信息保护。 最后,就公民个人信息的功能和特性而言,个人信息能直接或者间接反映出特定信息主体的身份圈层、财产状况、行踪轨迹等特征,侵犯个人信息可能会打扰信息主体的生活安宁。

因此,无论是保护单个的公民个人信息还是保护大量的公民个人信息,都要基于信息自决的权利基础和知情同意的处理前提。 私法的调整和公法的保护殊途同归,只是在不同场景下选择不同的路径。 侵犯公民个人信息的,一般侵犯公民隐私,个人信息经本人公开的除外。②也有学者认为,侵犯已公开的个人信息也可能构成侵犯公民个人信息罪,但此种场景并未侵犯公民隐私。 参见欧阳本祺:《侵犯公民个人信息罪的法益重构:从私法权利回归公法权利》,载《比较法研究》2021 年第3 期,第55-68 页。笔者认为,民事法律和涉及个人信息保护的其他相关法律法规,侧重于信息主体对信息相关权益的支配、控制和自决,是私法领域正在探索的新型权利客体,而刑法对于个人信息保护的启动条件应当以传统的隐私法益作为基础,以相关公民隐私的侵犯程度作为参考。 对于已经向公众披露的个人信息,并未侵犯信息主体的隐私,通过公开渠道的提供和获取亦并不会侵犯公民生活的安宁,因此,缺乏法益侵害的严重性和紧迫性。 若在使用公民个人信息的程序和方式上有瑕疵,完全可以通过民事救济来解决。

2.侵犯公民个人信息罪法益本质的聚合性

侵犯公民个人信息在侵犯隐私程度上的投射,可以以个人信息的数量作为重要参考。 根据《民法典》《个人信息保护法》《网络安全法》和《办理侵犯公民个人信息刑事案件的解释》的规定,侵犯公民个人信息罪中的“公民个人信息”,是可以识别到特定个人,或者和特定个人关联的各类个人信息,以及这些个人信息的数据集合。③参见刘新宇:《中华人民共和国个人信息保护法重点解读与案例解析》,中国法制出版社2021 年版,第17 页。非法获取、出售或者提供个人信息,一般是达到一定数量级的个人信息,这些个人信息可以识别出特定群体的消费水平、经济情况,甚至特定领域和地区的行业动态,属于个人信息向重要数据的聚合。

近年来,有学者认为,侵犯公民个人信息罪的保护法益具有聚合性,在体系解释和法秩序统一性视野下,个人信息衍生出在社会生活中的公共价值属性,但刑法作为保障法,同样关注信息主体的信息自决权和相对隐私,因而同样保护信息自决衍生出来的个体社会交往利益。④参见张楚:《集体法益视野下获取公民个人信息行为的入罪限度研究》,载《刑法论丛》2021 年第1 期,第250-274 页;马永强:《侵犯公民个人信息罪的法益属性确证》,载《环球法律评论》2021 年第2 期,第102-118 页。

个人信息的聚合程度和处理活动的批量程度,横跨私法领域和公法领域,影响侵犯公民个人信息罪的成立。 然而,随着个人信息的积聚,个人信息的可识别性和可计算性会引发信息的进一步“增值”,从个人信息累积成重要数据,进而可能折射出一个企业或者行业的动态。 比如,银行客户的大量个人信息、网约车司机的大量驾驶信息、医院患者的大量病史信息等,于相关主体而言属于个人信息的范畴,于相关行业而言可能属于重要数据的范畴,反映出金融趋势、地图路况或者国民健康情况。 然而,在我国刑法对数据保护不充分的现实下,倘若非法获取、出售或者提供大量的个人信息尚不构成侵犯商业秘密或者国家秘密类犯罪,则可以在侵犯公民个人信息罪的量刑适用上进行调整。

综上,刑法所保护的公民个人信息,兼具隐私性和聚合性。 隐私性是在个体上考虑个人信息对信息主体的敏感程度和关联程度,体现公民个人信息的社会属性,即便姓名、联系方式等个人信息在一定程度上公开,也应当具备相对私密性,其私密程度和信息价值均影响信息主体对于涉案信息的敏感程度,进而影响侵犯公民个人信息罪的量刑适用。 聚合性是侵犯公民个人信息罪法益内容的数量特征,即犯罪对象涵盖信息主体的不特定性和多量性,表现为信息主体上考虑所涉数据的量值,以及涉及到相关行业的重要程度。 换言之,侵犯公民个人信息罪的量刑梯度,应当充分考虑涉案个人信息的隐私程度和聚合程度。

二、侵犯公民个人信息罪涉案信息的级别

随着个人信息分级制度的形成,公民个人信息的保护方式逐渐从一元转向为多维,侵犯公民个人信息的评价从之前的重数量评价逐渐转为以信息等级为因数的质量双项评价。 根据当前的技术水平和司法现状,个人信息的分级方法有基于“敏感程度”“保护能力”“等级保护”的3 种方法①参见许力、朱瑞、曾雅丽:《认知无线电网络中基于SpaceTwist 的位置隐私保护方案》,载《信息网络安全》2019 年第2 期,第18-27页;傅彦铭、李振铎:《基于拉普拉斯机制的差分隐私保护k-means++聚类算法研究》,载《信息网络安全》2019 年第2 期,第43-52 页;李怡霖、闫峥、谢皓萌:《车载自组织网络的隐私保护综述》,载《信息网络安全》2019 年第4 期,第63-72 页。,这些方法在标准上存在交叉,更多是出于对信息管理的分类需求,而并不完全对应侵犯公民个人信息罪的量刑情节轻重。 侵犯公民个人信息罪中的量刑情节梯度,可以参考公民个人信息的敏感程度、关联程度及公民个人信息指向数据类别的重要程度。

(一)公民个人信息的敏感程度

尽管对于单个信息主体而言,“敏感”具有强烈的主观色彩和个体差异性②参见宁园:《敏感个人信息的法律基准与范畴界定——以个人信息保护法第28 条第1 款为中心》,载《比较法研究》2021 年第5期,第35 页;胡文涛:《我国个人敏感信息界定之构想》,载《中国法学》2018 年第5 期,第241 页。,但就信息本身而言,敏感程度应当视为其“固有属性”。 《个人信息保护法》将这类信息列举为生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹及未满14 周岁未成年人的个人信息等。 《安全规范》附录B 列举了“财产信息”“健康生理信息”“生物识别信息”“身份信息”及“其他信息”5 类敏感个人信息。其中,《个人信息保护法》和《安全规范》均对生物识别信息作了区别于其他几类敏感个人信息的规定,提出了更严格的保护要求,如“告知必要性”“生物识别信息应当与其他个人身份信息分开存储”“原则上禁止存储原始个人生物识别信息”“仅存储生物识别信息的摘要信息”等。

因此,个人信息分级并非“敏感个人信息”与“一般个人信息”的二元划分,个人信息的保护等级应该随着其敏感程度、关联程度和重要程度递增。 如前所述,个人信息的敏感程度属于个人信息的当然属性,不以人的意志为转移,其内容指向信息主体的个人名誉、身心健康、社会评价或者财产安全等。 这类个人信息或许能在技术上进行脱敏加密处理,人为降低识别度,削弱该类个人信息与信息主体的关联,但不能改变此类信息的指向、内容和性质。 从社会管理学上看,越是关系到国民的敏感个人信息,越倾向管理的集中①参见李立丰、王俊松:《论敏感信息二元同意规则的刑法构造》,载《西北民族大学学报(哲学社会科学版)》2023 年第1 期,第62-72 页。;从社会心理学上看,越是敏感的个人信息,在内容上也越倾向于隐私保护。 因此,可以从外观和内核两个维度衡量个人信息的敏感程度。

1.公民个人信息的垄断管理程度

从外观上看,信息的敏感程度体现为信息存储、处理和管理的强度。 这类个人信息包括:(1)身份信息。 这类个人信息只能由公安机关进行管理,酒店、车站及其他应用场景的信息处理者只能借助公安机关的相关平台进行用户身份管理,而不能对用户个人信息进行长时间保存。 (2)财产信息。 这类个人信息包括个人的银行账户、存款信息、信贷记录、交易记录等,只能在银行等金融机构及征信管理机构间共享。 (3)个人的健康信息和行程信息。 这类个人信息只能由国家卫生健康管理部门等相关部门掌握,其他单位只享有例行检查、配合记录等职权。 (4)个人的医疗信息、疾病诊断、犯罪记录等体现信息主体特定经历的信息。 这类个人信息只能由医疗机构、司法机关等单位严格保存,并在被遗忘权尚未建构的个人信息保护体系中,通过信息黑匣确立个人信息的封存制度。②参见石义彬、周夏萍:《大数据时代“被遗忘权”之争:记忆与遗忘的思想困局》,载《编辑之友》2022 年第12 期,第88-99 页。(5)未成年人个人信息。 受国家未成年人保护政策的影响,《个人信息保护法》和相关法律法规,都规定处理未成年人个人信息必须经过未成年人监护人的同意。

对于非法获取、出售或者提供上述集中管理或者垄断管理的个人信息,在量刑时应当酌情从重。 “将在履行职责或者提供服务过程中获得的公民个人信息……从重处罚”的规定,一方面是对特殊主体的约束,另一方面也体现了对特殊个人信息的保护。

2.公民个人信息的私密程度

从内核上看,个人信息的敏感程度体现为与信息主体的亲疏程度和私密程度。 个人信息作为人类文明发展的产物,遵循涟漪效应,伴随着信息主体的活动轨迹,由内而外展开,可以分为“隐私领域”和“社会领域”。③参见谢远扬:《信息论视角下个人信息的价值——兼对隐私权保护模式的检讨》,载《清华法学》2015 年第3 期,第94-110 页。《民法典》赋予了隐私权保护的优先性,即优先保护信息主体的“隐私领域”。 私密信息通常情况下是指只为信息主体知晓或者其身边少数人知晓的信息,其也有可能是敏感个人信息,如健康信息、通信记录、好友列表、性取向等。 同时,《民法典》赋予了隐私信息更高的保护,倘若非法获取、出售或者提供的个人信息中包含私密信息,那么在处罚时可以酌情从重。

属于非隐私的个人信息,是信息主体的“社会领域”,是自然人在社会生活中被赋予的身份符号。 这类个人信息主要包括学习信息、工作信息,如专业学历、单位工号及学习经历、工作履历等,这是伴随信息主体的社会生活而产生的标识和痕迹。 同时,这类个人信息通常情况处于半公开状态,即使经过了官方的公示或者一定范围披露,但倘若相关的信息处理行为不具备“正当性”“合法性”和“必要性”,如未经授权爬取各类公开或非公开网站中的个人信息,仍然可能违反《个人信息保护法》《网络安全法》等前置法的规定,进而可能构成侵犯公民个人信息罪,只是此类个人信息的敏感度较隐私信息弱,在量刑时按照侵犯一般个人信息对待即可。

(二)公民个人信息的关联程度

信息关联程度是个人信息的“修正属性”,具有较强的人为因素。 个人信息与个人的关联程度,一方面取决于信息对特定个人的可识别性,另一方面取决于个人信息在技术上的处理程度。 前者是指个人信息的可识别程度,后者是指可识别个人信息通过加密或者脱敏的技术处理效果。

1.公民个人信息的可识别程度

可识别程度,是从个人信息到人的“关联”程度。 根据《个人信息保护法》的定义,个人信息的可识别性,既可以是“单独识别”,也可以是“结合识别”。 部分学者将此类个人信息的微数据分为直接标识、准标识和通用信息三个层次,直接标识相当于定义中的“单独识别”,而准标识相当于定义中的“结合识别”。 通用信息是锁定个人信息的通用数据,如办理入住手续使用的证件类型、证件名称等,在识别过程中起辅助作用,不具备识别功能。①参见何维群:《基于分类分级的个人信息保护》,载《信息安全与通信保密》2021 年第10 期,第107-114 页。个人信息的关联程度对应的是可识别性,而非上文提及的敏感程度。

具有“单独识别性”的个人信息,在形态上具备一元性,在识别效果上是“一对一”,如个人的证件号码、通讯信息、精准定位信息及唯一标识码等。 具有“结合识别性”的个人信息,在识别效果上是“多对一”,需结合其他个人信息共同识别出特定个人,如通过姓名、工作单位、年龄、性别、出生年月等信息中的部分信息能识别出特定个人。

从信息价值来说,单独识别和结合识别体现出不同的颗粒度,在数据分析和计算中都能作为生产要素,但对信息主体的侵害的程度和可能性有所区别,属于结合识别的个人信息,本质上是多条个人信息对应一个信息主体。 非法获取、出售或者提供的个人信息中包含此种类别的,在犯罪情节的认定上可以酌情从轻。

2.公民个人信息的脱敏程度

《安全规范》对信息的脱敏处理作出了“匿名化”和“去标识化”的区分,两种技术均是针对个人信息的脱敏手段。 如前所述,从个人信息重识别的难度上看,匿名化高于去标识化。 流动方能实现数据和个人信息的价值。 数据脱敏技术为信息流动和共享提供了支持,也进一步实现了私人权利向社会权益的让渡和转化,架构了“匿名化<去标识化<原信息”的敏感梯度。 在量刑幅度上,非法获取、出售或者提供经过去标识化的个人信息,应当在犯罪情节的认定上酌情从轻。

需要明确的是,经过彻底匿名化的个人信息,是否仍然需要纳入刑法的保护? 有学者从信息风险防控的角度,主张彻底脱敏后的个人信息仍然应当纳入刑法调整。①参见李润生:《个人信息匿名化的制度困境与优化路径——构建“前端宽松+过程控制”规制模式之探讨》,载《江淮论坛》2022 年第5 期,第112-121 页;陈璐:《个人信息刑法保护之界限研究》,载《河南大学学报(社会科学版)》2018 年第3 期,第74 页。笔者认为,当前从技术上无法实现数据的彻底匿名化,法律规范追求的是“相对匿名化”,从重识别成本和识别动机来看,信息处理者在充分利用数据的商用价值的前提下,不会刻意识别数据背后信息主体的真实身份,况且根据《安全规范》,经过匿名化的个人信息已不再属于个人信息,在计算个人信息条数时,匿名化的个人信息应当予以剔除。

(三)公民个人信息的重要程度

侵犯公民个人信息罪的量刑梯度,与个人信息的敏感程度、关联程度直接相关,也受个人信息聚变生成的大数据的重要程度,以及个人信息处理场景的影响。 如前所述,大数据的保护立足于国家安全的宏观视角,其重要程度取决于大数据的体系标准及归属部门,而巨量个人信息的保护立足于中观视角,大量个人信息的不当处理、违规出境和非法泄露未必直接侵害国家安全,但可能造成行业重要讯息的流失而间接关乎非传统国家安全。②参见郑智航:《数据安全与数据利用平衡的法治保障》,载《人民论坛·学术前沿》2023 年第6 期,第79-87 页。数据的来源和性质取决于个人信息,数据的种类和重要性可以作为信息主体法益所受侵害程度的间接参考,从数据类别和重要程度上反衬法益侵害的程度,进而对接侵犯公民个人信息罪的量刑梯度。

如果侵犯公民个人信息的同时危害国家秘密和商业机密的,可以直接适用有关国家安全和商业秘密一类的罪名。 倘若适用侵犯公民个人信息罪,其中大量涉案个人信息能够分析出重要数据,可以在量刑梯度上适度调整。 根据《数据安全法》《汽车数据安全管理若干规定(试行)》等法律法规和部门规章,重要数据是原本不涉及国家秘密,但在特定领域、特定群体、特定区域或达到一定精度和规模,可能间接危害国家安全、经济运行、社会稳定、公共健康的数据。③参见袁康、鄢浩宇:《数据分类分级保护的逻辑厘定与制度构建——以重要数据识别和管控为中心》,载《中国科技论坛》2022 年第7 期,第167-177 页。 另外,《网络安全法》和《数据安全法》虽然提出了“重要数据”,但都未界定概念,直至2021 年的《汽车数据安全管理若干规定(试行)》才首次在规章层面作出了概念界定,即重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。

能分析出重要数据的个人信息并非直接涉及国家安全、个人隐私或者商业秘密,但信息的汇集可能折射出一个国家或者地区的购买水平、健康程度、车行路况,进而有可能反映一个国家的经济水平、国民医疗及地理环境。 因此,能分析出重要数据的个人信息被纳入了数据安全法律体系的调整范围。

个人信息汇集的数据类别是影响数据重要程度的重要参考。 大数据分类分级的实践,主要分为“主题分类”“行业分类”及“服务分类”。 主题分类参考政务信息资源的分类,行业分类是在主题分类中的进一步细分,服务分类是考量经济调节、市场监管等职能实现的跨部门、跨行业的数据线面结合。 从当前网络等级保护、计算机信息系统安全,以及关键信息基础设施保护的实践来看,“影响对象—影响范围—影响程度”成为数据的重要等级的重要参考依据。

笔者认为,以潜在的消极损害论证个人信息的重要价值在逻辑上难以自洽的。 与个人信息的敏感程度不同,大数据价值的重要程度应当取决于数字资产本身。 与隐私权交叉的个人信息权益具有较强的对世性,积极防御的立法模式旨在对抗和打击提供、出售和持有个人信息的不法乱象。大数据的交换和使用的日常化、规范化赋予了大数据越来越明显的财产属性。 因此,数据价值的重要程度,可根据数据属性、行业业务、调整范围等内容酌情评断。 由于侵犯公民个人信息罪的客体为公民人身权利和民主权利,加之刑法并未对重要数据进行专项保护,在涉案个人信息涉及重要数据或者可能凝练出重要数据时,可以在认定为侵犯公民个人信息罪的基础上酌定从重处罚。

(四)公民个人信息的处理场景

个人信息的概念和范围高度依附于具体应用场景。①参见丁晓东:《论个人信息概念的不确定性及其法律应对》,载《比较法研究》2022 年第5 期,第46-60 页。个人信息的判定随着信息处理活动的场景而变化,其等级和类别亦是如此。 考虑到个人信息质量和个人信息等级具有相对性和动态性,有学者主张信息处理场景可以从个人信息的处理方式和数据库类型两个维度来考虑。②参见王苑:《敏感个人信息的概念界定与要素判断——以〈个人信息保护法〉第28 条为中心》,载《环球法律评论》2022 年第2期,第85-99 页。欧盟《通用数据保护条例》(GDPR)第九章专章规定了特定情形处理个人信息的条款,在原本的责任和义务上进行增加或者克减。 我国《个人信息保护法》对个人信息的自动化决策、委托处理或者向他人提供、向境外提供等场景也赋予了信息处理者的个人信息保护影响评估义务③参见龙卫球:《中华人民共和国个人信息保护法释义》,中国法制出版2021 年版,第78-86 页。,表现出相同性质个人信息在不同场景处理活动中保护规则的差异。

关于个人信息敏感程度的动态变化,部分学者运用场景理论来解释④参见丁晓东:《论个人信息概念的不确定性及其法律应对》,载《比较法研究》2022 年第5 期,第46-60 页;孙玉荣、卢润佳:《“场景完整性理论”的应用检视和功能再造——以个人信息保护司法裁判为视角》,载《北京联合大学学报(人文社会科学版)》2022 年第3期,第70-79 页。,也有部分学者持反对观点。⑤参见谷兆阳:《论“场景理论”不是私密信息判断的合理标准》,载《科技与法律(中英文)》2022 年第4 期,第83-93、104 页;韩旭至:《敏感个人信息的界定及其处理前提——以〈个人信息保护法〉第28 条为中心》,载《求是学刊》2022 年第5 期,第132-145 页。笔者对该理论持保留态度,认为场景本身不属于影响个人信息性质和等级的相关因素。 首先,个人信息的敏感程度是个人信息的客观属性和固有特征,信息处理场景是信息处理活动的环境因素,场景变化可能带来的是信息处理风险的变化,而非个人信息性质的变化。 但个人信息的敏感程度和处理环境会相互作用,影响信息处理活动的实然风险。 其中,前者是个人信息的内在属性,前文已经提及,后者是信息处理的外部特征,与处理场景的管理和技术保障能力、处理环境可能面临的泄露篡改风险因素大有关联。

由于侵犯公民个人信息罪规制的是“提供”“出售”和“获取”的行为,信息处理场景的评价,主要集中在信息处理者转移和复制个人信息的阶段。 笔者认为,影响信息处理活动的场景因素,可以结合个人信息影响评估方法,从信息接收方和信息处理环境两个方面来考虑。 就信息接收方而言,可以考虑其前科经历及工作性质,结合《办理侵犯公民个人信息刑事案件的解释》第5 条第(一)项和第(九)项规定的内容,考量涉案个人信息是否会造成信息被用于违法活动或者滋生被二次转移的风险。 从信息处理环境来看,可以考虑个人信息是否跨境、信息处理的技术程度、信息处理的政策法律环境等因素。 如果信息处理的场景可能加剧信息处理的风险,在侵犯公民个人信息罪的量刑上可以酌情从重。

三、侵犯公民个人信息罪量刑梯度的重置

《办理侵犯公民个人信息刑事案件的解释》第5 条列举了构成侵犯公民个人信息罪“情节严重”的10 种情形,主要包括:(1)非法获取、出售或者提供个人信息的数量较大;(2)非法获取、出售或者提供个人信息的违法所得数额较大;(3)出售或提供个人信息被他人用于犯罪,或者明知、应知他人利用个人信息而向其出售或提供;(4)行为人有履行特定的职责或者有犯罪前科。 其中,个人信息的类型和级别与涉案个人信息的数量被绑定在一起,根据涉案个人信息的种类区分了50 条、500 条和5000 条的入罪门槛。 在所有情节因素中,个人信息数量和犯罪违法所得同属于犯罪的客观方面,两者相辅相成,一体两面,其本质都是对个人信息数量的评价,与主体身份、第三方介入因素属于相并列的量刑因素。

(一)侵犯公民个人信息罪量刑情节的要素

有学者把侵犯公民个人信息罪“情节严重”的10 种情形概括为4 类不同的情节要素:一是个人信息的数量和种类;二是行为主体的特殊身份;三是犯罪的违法所得数额;四是第三方在犯罪活动中的介入因素。①参见陈建清、王祯:《侵犯公民个人信息罪行为与情节之认定》,载《政法学刊》2021 年第4 期,第42-49 页。在《办理侵犯公民个人信息刑事案件的解释》出台之初就有学者指出,对“情节严重”的解读存在“犯罪评价次序错位”“刑事立法有衍变风险防控之虞”“实践认定与侵犯公民个人信息罪适用‘避难就易’”等弊端。②参见石聚航:《侵犯公民个人信息罪“情节严重”的法理重述》,载《法学研究》2018 年第2 期,第62-75 页。而“情节严重”的最终评价,倘若一味地扩张情节犯之“情节”,会把部分酌定量刑要素评价为法定量刑要素,甚至把案外因素误作为构成要件要素。

我国现行刑法中的情节犯多表述为“情节严重”或者“情节恶劣”,其中在妨害社会管理秩序罪、破坏社会主义市场经济秩序罪中最为多见,这也能折射出“情节严重”这一空白罪状更多表现为社会法益和集体法益。③参见张庆立:《我国情节犯立法的历程与趋向》,载《犯罪研究》2021 年第2 期,第72-84 页。需要明确的是,“量刑情节”之“情节”,并非“情节严重”之“情节”。 前者是指包含所有主观客观的定性定量事实,是广义的情节概念,也被有关学者称之为“情节因素”;后者仅指行为人实施犯罪的客观事实情节。 “情节严重”之“情节”,考虑到量刑情节要素的规范化,应当排除预防性情节和主体性因素,将犯罪数额和违法所得作为单独的情节要素。 因此,有学者主张最狭义的情节只能在行为的方式和行为的对象上集中评价,以此来确定“情节严重”的“情节”的范畴。①参见张庆立:《我国情节犯立法的随意性与规范化——以不纯正情节犯为视角》,载《南海法学》2022 年第4 期,第31-43 页。

侵犯公民个人信息罪的4 类情节要素中,主体身份在犯罪构成中原本属于主体要件的范畴。身份的特殊性可能赋予犯罪主体更高的犯罪预见义务和结果回避义务,从而造成特殊身份与普通身份在入罪标准和量刑评价上的分化。 侵犯公民个人信息罪属于不真正身份犯,履行个人信息保护职责或者提供个人信息服务的特殊主体侵犯公民个人信息,或者因侵犯公民个人信息受过行政处罚或刑事处罚又犯侵犯公民个人信息罪的,可以作为侵犯公民个人信息罪的量刑情节,但笔者认为,从严格意义上讲,这不应当属于“情节严重”的范畴。

其他3 类要素都属于客观方面要件的要素,个人信息数量是较为直观的侵犯公民个人信息罪的要素。 犯罪违法所得是情节以财产损失为标准的具体化,从而折射出社会秩序被侵犯的程度。笔者认为,可以将其作为侵犯公民个人信息罪的量刑情节要素来考虑,但将违法所得数额直接作为量刑的标准并不科学,因为侵犯公民个人信息罪的法益是人身权益而非财产权益,与财产犯罪相关数额的意义不同。 财产犯罪的数额可以直接反映所侵犯的财产权益的大小,而侵犯公民个人信息罪的犯罪所得数额仅能证明行为人因为犯罪获益多少,与信息主体的被侵害程度不能完全挂钩,无法直接衡量犯罪情节的轻重和社会危害性的大小,只能间接体现涉案被害人的数量和涉案信息的数量。 第三方介入因素实际上是对个人信息主体的二次伤害,但由于二次侵害的不可预见性,鉴于因果关系的中断,笔者认为,该侵害结果原本不应当归责于初次侵害人,可以用客观超过要素理论来解释,或者认为该情节是为防范风险所设置。

(二)侵犯公民个人信息罪情节要素的逻辑

有学者把情节分为事前情节、事中情节和事后情节。②参见张庆立:《“情节严重(恶劣)”的法律解释》,载《法律方法》2020 年第4 期,第330-345 页。事前情节是指行为人受过行政处罚或者刑事处罚而再次犯罪的人身危险性评价,是行为人人格要素的情节③参见王鼎:《刑法结构变革中的罪量要素应力研究》,载《法学杂志》2017 年第4 期,第137 页。,该情节在《办理侵犯公民个人信息刑事案件的解释》的规定中已有体现。 事后情节是指犯罪着手之后、立案之前的情节,表现为行为人的悔罪态度,如是否配合相关机关进行整改,犯罪对象或者犯罪衍生之物是否被继续用于犯罪等。 第三方的介入因素可以视作侵犯公民个人信息罪的事后情节。 事前情节和事后情节都属于预防性的情节要素,反映行为人的人身危险性,事中要素一般属于报应性的情节要素,反映行为的社会危害性。

侵犯公民个人信息罪的4 类量刑情节,多为事中情节。 随着信息网络分级立法的逐渐完善,相关制度和标准对侵犯公民个人信息罪的量刑具有借鉴意义。 侵犯公民个人信息的量刑评价,应该强调公共利益优先,遵循比例原则,注重公法上的区别保护。④参见黎晓露:《个人信息权引入刑事诉讼的理论证成与体系化建构》,载《河北法学》2021 年第12 期,第139-155 页。笔者认为,《办理侵犯公民个人信息刑事案件的解释》所罗列的量刑情节,可以分为主体因素情节和客观方面情节。 主体因素情节是行为人在履行信息保护职责或者提供信息服务的特定身份。 客观方面情节分为事前、事中和事后情节。 其中,事前情节如行为人因为侵犯公民个人信息受到行政或者刑事处罚。 事中情节包括:(1)信息数量;(2)违法所得。 事后情节如涉案个人信息被用于其他犯罪。

在这些情节中,主体因素情节及事前、事中、事后三个维度的客观方面情节是串联关系。 所谓串联关系,就是对于法益侵害结果都具备归因性,因而在量刑情节的梯度考量上,这些情节应当累加。 个人信息质量和违法所得是评价事中情节的要素,二者属于并联关系。 所谓并联关系,就是不能同时采用两个标准,在构建量刑梯度时,应当择一重处。 个人信息的数量和级别是影响侵犯公民个人信息罪量刑因素,两者的彼此影响,是重叠关系。 笔者把级别对数量的影响概括为“修正”,即可以在原定的数量上上浮或者下调。

(三)侵犯公民个人信息罪量刑情节的梯度构建

量刑适用的可行性以刑法的适用基准选定为前提。①参见刘长伟:《立法定量视域下的情节犯研究》,经济管理出版社2019 年版,第3 页。一般而言,作为事前因素和事后因素的情节,可能影响量刑。 比如,行为人事前为实施犯罪进行的谋划,在犯罪既遂之后产生的影响。 而事中因素,可能影响行为人的定罪。 比如,犯罪数额、行为次数、行为强度等。 一方面,这些因素多与特定罪名的犯罪构成直接相关,因此,能抽象出定罪情节;另一方面,事中因素大多为报应性情节因素,相比事前因素和事后因素多为预防性情节,事中因素能直观反映法益侵害的程度。

就侵犯公民个人信息罪而言,涉案个人信息数量和质量是确定行为人量刑的关键因素。 数量越多,潜在的被害人越多。 涉案个人信息越重要和敏感,被害人被侵犯的程度也越高。 因此,笔者认为,应当以侵犯公民个人信息罪的事中情节,即涉案个人信息数量或者违法所得作为入罪门槛,确定量刑起点,进而调整基准刑,再结合其他情节调整刑期,确定宣告刑。

1.涉案公民个人信息的数量评定

个人信息的等级可能发生变化,其数量标准也较为模糊。 依托大数据互联和辐射的功能,一条个人信息可能关联出信息主体的其他数据,亦可能包含多条子信息。 比如,身份证号码可能关联出信息主体的手机号码、户籍地址或者其他电子信息。 个人信息的修正数量,是结合信息分级机制对个人信息的基础数量进行加权计算的结果。

在数据保护分级和平台治理分级的探索阶段,侵犯公民个人信息罪的量刑逻辑表现为先进行个人信息的条数的计算,后进行个人信息质量和等级的评价。 虽量变最终会引发质变,但刑法的适用逻辑是“定性为先,定量其后”,先确定量刑起点,其后才调整基准刑。 由于个人信息的外溢性和关联性,个人信息条数的标准并非技术上的量化,难以进行纯客观量化的评价,同时实践中也无须对涉案个人信息的条数进行绝对精细的判定,而是采用前述“成交金额÷交易单价”的模式计算大概数量①参见李新奇:《侵犯公民个人信息罪中涉案数额如何认定》,载《检察日报》2021 年11 月9 日,第7 版。,确定个人信息的基础条数。

2.涉案公民个人信息的数量修正

随着数字经济时代公民个人信息的外延不断扩大,信息处理违法情节不再囿于对个人信息条数的机械量化,可以借鉴信息分级制度,通过个人信息内容的敏感性和重要性,以及涉案个人信息的数量,综合评价涉案个人信息的质量。 鉴于个人信息的外溢性和复杂性,笔者把涉案个人信息的数量分为基础数量和修正数量,基础数量体现出个人信息的聚合性与法益侵害的直观程度,修正数量受个人信息等级的影响,即从个人信息的私密性、敏感性和重要性对原有数量进行修正,进而评定个人信息级别的等级因素。

具体而言,涉案个人信息的级别可以根据管理程度、隐私关联、识别效果、技术脱敏、价值大小和处理场景来综合评定。 综观前述个人信息等级要素,“是否集中管理”“是否涉及私密信息”“是否涉及重要数据”,由个人信息的内容属性确定,若涉及,则个人信息条数的认定可以上调若干比例。 “是否属于间接识别”和“是否经过技术脱敏”,由个人信息的形态属性确定,若涉及,则个人信息条数的认定上可以克减若干比例。 “是否增加场景风险”,由个人信息的外部环境决定,属于个人信息的非内容属性,但能结合个人信息属性,共同影响个人信息的等级和质量的评定,若可能增加场景风险,则可以在个人信息条数上上调若干比例。

3.侵犯公民个人信息罪量刑情节要素的组合

侵犯公民个人信息罪的量刑,最终应当回归侵犯公民个人信息罪保护的法益,从涉案个人信息入手,重点关注其数量、种类和级别。 按照笔者的观点,行为人的身份,对下游信息犯罪的明知,行为人的违法犯罪前科,以及个人信息扩散带来的二次犯罪,都是影响侵犯公民个人信息罪的量刑情节。

因此,对侵犯公民个人信息罪“情节严重”的解释,应当以侵犯公民个人信息的数量,或者违法所得的数额为标准划定,根据修正数量,判定出售、提供或者非法获取公民个人信息的行为人是否构成犯罪,区分“情节严重”与“情节特别严重”两个量刑幅度。 其后,在重新确定的量刑起点上,重新确定基准刑的调整标准和计算方法,辅之以侵犯公民个人信息罪的其他情节调整基准刑。 最后,结合具体案件中行为人的刑事责任能力、犯罪形态、自首、立功、坦白情节、被害人谅解、赔偿被害人损失情况、羁押期间表现、认罪认罚情况、累犯或者侵犯公民个人信息罪之外的违法犯罪情况等量刑情节,最终确定宣告刑。

四、结论

由于当前《办理侵犯公民个人信息刑事案件的解释》的滞后性与科技立法的阶段性,刑法的量刑情节设置有待与前置法进一步协调,以消解司法解释与个人信息保护立法在适用过程中的冲突。当前,侵犯公民个人信息罪的情节正在从扁平式结构向立体式结构的转变。 在《办理侵犯公民个人信息刑事案件的解释》列举的侵犯公民个人信息罪的诸多量刑情节因素中,事中情节因素的功效在放大,事前情节因素和事后情节因素的功效在限缩,应当以事中情节要素为核心重构侵犯公民个人信息罪的量刑梯度。 受信息分级的影响,个人信息的等级成为涉个人信息犯罪的重要情节。 涉案个人信息的数量、内容和种类应当成为侵犯公民个人信息罪量刑的核心情节,其内容和种类决定涉案个人信息的敏感程度、关联程度和重要程度,进而结合个人信息的处理场景影响涉案个人信息的认定。 在计算涉案个人信息的数量时,应根据个人信息的内容和种类等对其酌情增加或者克减,以修正数量决定侵犯公民个人信息罪的量刑基准,并在此基础上结合主体因素、事前因素和事后因素,最终确定宣告刑。