石聚航【摘要】 “情节严重”的认定是侵犯公民个人信息罪的关键问题之一。司法解释对“情节严重”的认定采取了混合认定模式,这容易导致犯罪评价次序错位、“情节严重”内涵不清、刑法有演变为风险防控法之虞、司法实践认定“避难就易”等后果。理论上应当明确“情节严重”属于违法构成要件要素,其内涵是反映法益侵害程度的客观事实;在界定“情节严重”的内涵时,应摒弃人身危险性、恶劣社会影响等要素;违法所得数额与侵犯公民个人信息罪的法益侵害及其程度没有必然联系,不应被规定为“情节严重”的认定标准之一。【关键词】 侵犯公民个人信息罪;情节严重;混合认定模式根据刑法第253条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪;违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照侵犯公民个人信息罪从重处罚。[1]关于本罪,“情节严重”的认定历来是刑法理论和司法实践中的棘手问题。近年来出台的相关规范性文件,也一直力求为认定“情节严重”提供具体标准。随着2017年5月《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高司法解释”)的发布,侵犯公民个人信息罪“情节严重”的认定标准终于落地,但与之相关的理论争议并未彻底平息。如关于“情节严重”的犯罪论体系地位、其内在要素如何遴选以及认定的规则等,都可能在今后的司法实践中引发一系列问题。本文以侵犯公民个人信息罪中的“情节严重”为研究对象,具体内容为:(1)以“两高司法解释”关于“情节严重”的具体规定为基础,阐明其在认定“情节严重”时采取的是混合认定模式,并进一步反思这一模式所面临的困境。(2)梳理关于“情节严重”的犯罪论体系地位的学理方案,评析其得与失,最终明确“情节严重”应属于违法构成要件要素。(3)基于不法与责任区分的立场,重构侵犯公民个人信息罪“情节严重”的内在要素。(4)简要论述侵犯公民个人信息罪“情节严重”的若干认定问题。一、司法解释关于侵犯公民个人信息罪“情节严重”的认定模式由于刑法未对侵犯公民个人信息罪“情节严重”的内涵作明确规定,2013年最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称“两高一部通知”),对“情节严重”作了概括性规定:“对于在履行职责或者提供服务过程中,将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成受害人人身伤害或者死亡,或者造成重大经济损失、恶劣社会影响的,或者出售、非法提供公民个人信息数量较大,或者违法所得数额较大的,均应当依法以出售、非法提供公民个人信息罪追究刑事责任。对于窃取或者以购买等方法非法获取公民个人信息数量较大,或者违法所得数额较大,或者造成其他严重后果的,应当依法以非法获取公民个人信息罪追究刑事责任。”2017年,“两高司法解释”进一步细化了“两高一部通知”的内容,形成了关于侵犯公民个人信息罪“情节严重”最为系统的规定。(一)侵犯公民个人信息罪“情节严重”的司法解释规定“两高司法解释”从信息类型和信息数量、信息流向及用途、违法所得数额、主体身份、主观要素、预防刑要素等诸多方面,对“情节严重”的内容作了规定。第一,信息类型和信息数量。不同类型的信息对公民的价值和意义是不同的,侵犯不同类型的信息,其危害程度自然应有所区别。一般而言,信息保护的重要性和紧迫性越大,成立犯罪的标准就应当越低。沿此思路,“两高司法解释”对信息进行分类,分别设定了侵犯不同类型信息构成“情节严重”的具体标准。根据第5条第1款第3项至第5项的规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的,非法获取、出售或者提供该款第3项、第4项规定以外的公民个人信息5000条以上的,均可认定为“情节严重”。第二,信息流向及用途。公民个人信息既可能被用于合法活动,也可能被用于违法犯罪活动,二者的危害程度显然有区别。“两高司法解释”依此作了分类:一是行踪轨迹信息被用于犯罪的,即第5条第1款第1项的规定:“出售或者提供行踪轨迹信息,被他人用于犯罪的”。在此情形下,构成“情节严重”并无信息数量上的要求。二是个人信息用于合法经营的,即第6条第1款第1项的规定:“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)利用非法购买、收受的公民个人信息获利五万元以上的”。第三,违法所得数额。根据“两高司法解释”第5条第1款第7项的规定,侵犯公民个人信息“违法所得五千元以上的”,属于“情节严重”。第四,主体身份。针对特定主体侵犯公民个人信息,“两高司法解释”降低了入罪门槛。其第5条第1款第8项规定,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的”,为“情节严重”。降低入罪门槛的理由是,在实际发生的公民个人信息泄露案件中,有不少系内部人员作案或者参与作案,若不就此设置特殊标准,往往难以惩治此类源头行为。[2]第五,主观要素。“两高司法解释”第5条第1款第2项规定,“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”,构成“情节严重”。“知道或者应当知道”表明的是行为人的主观认识,即“明知”他人利用公民个人信息实施犯罪而向其出售或提供公民个人信息。“两高司法解释”之所以采取“知道或者应当知道”的表述,源于以往的司法解释通常采取“明知”的表述,但“明知”是否包括“应当知道”,刑法理论上有不同意见,[3]采取“知道或者应当知道”的表述在一定程度上回避了理论分歧。第六,预防刑要素。理论上认为,属于预防刑要素的主要有累犯、再犯、犯罪前后的表现、一般违法事实等。[4]“两高司法解释”在界定“情节严重”时,纳入了部分预防刑要素。根据第5条第1款第9项、第6条第1款第2项的规定,“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”,“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚”,为合法经营活动又非法购买、收受公民一般个人信息的,[5]均构成“情节严重”。(二)侵犯公民个人信息罪“情节严重”的混合认定模式在侵犯公民个人信息罪“情节严重”的认定上,“两高司法解释”采取的是混合认定模式,这与传统刑法理论关于社会危害性评价的立场一脉相承。传统刑法理论在判断行为是否达到严重的社会危害性时,主要综合考虑如下几个方面:(1)行为侵犯的是什么样的社会关系;(2)行为的性质、方法、手段或其他有关情节;(3)行为是否造成严重后果、危害后果的大小或者是否可能造成危害后果;(4)行为人本身的情况;(5)行为人主观方面的情况;(6)情节是否严重、恶劣;(7)行为实施时的社会形势等。[6]与此形成对照,有关“两高司法解释”的权威解读认为,“侵犯公民个人信息罪系情节犯,定罪量刑标准为情节严重、情节特别严重。对于这一概括性的定罪量刑情节,宜根据司法实践的情况从犯罪的客体、客观方面、主体、主观方面等多个角度加以考察”。[7]由此,侵犯公民个人信息罪的“情节严重”成了一个杂糅诸多不同性质要素的混合范畴。值得注意的是,“两高司法解释”第5条第1款第10项还作了兜底性规定:“其他情节严重的情形”。根据同类解释规则,既然明确列举的“情节严重”是多种不同性质要素的混合,那么,在认定“其他情节严重的情形”时也应按照混合认定模式进行认定。这样理解会对个案认定产生影响。例如,侵犯党政机关领导人的个人信息的,在没有达到“两高司法解释”明确列举的“情节严重”标准时,是否可以通过“其他情节严重的情形”的规定,按照“情节严重”论处?若坚持“情节严重”是混合范畴,就有可能将这一行为认定为“其他情节严重的情形”。再比如,行为并未达到“两高司法解释”规定的“情节严重”具体标准,但造成一定经济损失或者社会影响的,能否通过“其他情节严重的情形”的规定,认定为“情节严重”?“两高司法解释”第5条第1款对此未作规定,但根据该条第2款第2项的规定,“造成重大经济损失或者恶劣社会影响的”,构成“情节特别严重”。如此,若坚持“情节严重”是混合范畴,就有可能将上述行为认定为“其他情节严重的情形”。(三)对混合认定模式的反思1.犯罪评价次序错位总体而言,“两高司法解释”采取的混合认定模式缺乏内在的逻辑层次性。第一,错置了预防刑要素的功能。比如,将“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚”这样的反映人身危险性的要素纳入“情节严重”,是将预防刑要素不当评价为决定犯罪成立与否的要素,而理论上预防刑要素只能影响量刑而不能影响定罪。第二,违法所得数额未必能够体现并区分侵犯公民个人信息罪的法益侵害程度。例如,甲非法提供公民个人财产信息10条,违法所得5000元;乙非法提供同类信息40条,但违法所得仅为1000元。按照“两高司法解释”的规定,甲因达到违法所得数额标准,构成“情节严重”;乙却因信息数量和违法所得数额均未达到“情节严重”标准,只得以无罪论处。但实际上,乙的行为的危害明显大于甲的行为;如此,轻行为构成犯罪,重行为无罪,显然不合理。有关“两高司法解释”的权威解读认为,“出售或非法提供公民个人信息往往是为了牟利,故应当以违法所得作为认定‘情节严重’的情形之一”。[8]但问题是,刑法规制侵犯公民个人信息行为的目的在于保护公民个人信息不受非法侵犯,惩处的基点并不是附带性的获利结果。而且就本罪而言,实际牟利多少与法益受损程度并不一定成正比关系,获利不多却严重侵犯公民个人信息的情形,获利较大却未严重侵犯公民个人信息的情形,在司法实践中并不少见。2.刑法有演变为风险防控法之虞“建立在自由的法治国基本原则上的一种法律制度,总是倾向于行为刑法的。”[9]按照行为刑法的基本理念,如果行为本身没有达到值得处罚的危害程度,就不得任意动用刑法。尽管风险社会的到来使得刑法的价值取向开始侧重秩序与安全,刑法功能日渐偏向风险预防,但就我国而言,刑法理论界对于风险刑法理论还是持较为警惕的心理。[10]侵犯公民个人信息罪中的“情节严重”,其功能在于区分侵犯公民个人信息行为的行政不法与刑事不法。“两高司法解释”将“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息”这种包括行政不法行为在内、反映人身危险性的要素评价为刑事不法,意味着风险防控成为设立本罪所要追求的价值目标。“与传统事后回应型刑法相比,不可否认,预防刑法能起到一定的阻止危险、保护法益的效果,但其所隐含的巨大的法治风险和运行成本,也使得其不能当然成为值得国家优先选择和提倡的制度。”[11]3.司法实践认定侵犯公民个人信息罪“避难就易”“两高司法解释”将违法所得数额规定为“情节严重”的认定标准之一,这容易导致司法实践在认定侵犯公民个人信息罪时,倾向于回避适用证据搜集难度较大的有关信息类型、信息数量等的规定,而选择适用更易认定的有关违法所得数额的规定。例如,在曾某某侵犯公民个人信息案中,被告人曾某某利用担任协警的职务之便,使用民警左某的公安数字证书非法获取公民个人信息;之后将获取的公民个人信息在网络平台出售,获利10280元。原审法院根据被告人违法所得达到5000元以上的标准,认定其构成侵犯公民个人信息罪,判处其拘役5个月,并处罚金2000元。再审法院维持原判。[12]按照“两高司法解释”的规定,上述判决没有问题,但其在学理上却不乏值得商榷之处。法院认定“情节严重”的事实是被告人违法所得10280元,但其并未具体指明被侵犯的公民个人信息的类型和数量。这反映出司法实践在认定侵犯公民个人信息罪时“避难就易”的懒惰思维,即当行为人的违法所得达到数额标准后,就放弃认定信息的类型和数量,而直接认定行为“情节严重”。但实际上,当行为符合“情节严重”的多项标准时,尽管不会使行为直接升格为“情节特别严重”,却仍会对量刑产生一定影响。比如,倘若上述案件中被告人的行为既达到违法所得数额标准,又符合“情节严重”的其他规定,根据刑法第253条之一的规定,量刑时就应首选3年以下有期徒刑而非拘役。但是,由于没有进一步查明信息的类型和数量,就可能造成个案量刑上的不合理。二、“情节严重”的犯罪论体系地位总结上述“两高司法解释”混合认定模式的不足,可以认为这些不足根源于“两高司法解释”未能准确把握“情节严重”在犯罪论体系中的地位,使其成为包含多种不同性质要素的混合范畴。而理论上关于“情节严重”的犯罪论体系地位,存在不同的观点。(一)传统刑法理论的观点及其缺陷传统刑法理论通常将“情节严重”置于犯罪的客观方面,[13]但在内容上又强调:“犯罪情节是主观和客观的统一,我国刑法对犯罪情节的规定,具有一定的模糊性。对于情节犯应当从主观与客观两个方面把握。”[14]可见,传统刑法理论在逻辑上存在矛盾。虽然存在上述矛盾,但大体上可以认为,在四要件犯罪论体系下,“情节严重”是包含主客观要素在内的混合范畴。问题是,当“情节严重”成为罪与非罪的界定标准时,传统刑法理论无法回答行为人是在什么阶段构成或者不构成犯罪,从而可能将不法与责任之间的关系理解为并列相加的关系。但实际上,不法与责任之间是递进关系,只有在行为成立不法时,才能进一步评价行为人是否具有非难可能性(责任);不法与责任的逻辑顺序不能颠倒。例如,甲基于报复乙的心理,将乙公司员工的个人信息散布到网络上,但其散布的信息数量未达到“两高司法解释”规定的标准。如果按照不法在先、责任在后的评价顺序,甲的行为由于不该当构成要件符合性而被否定不法,从而不会进一步评价甲的非难可能性(责任)。但是,如果认为不法与责任是并列相加的关系,就有可能考虑行为人动机卑劣等因素,将上述情形认定为“其他情节严重的情形”,这显然扩大了处罚范围。(二)阶层犯罪论体系关于“情节严重”的理论分歧1.客观处罚条件说客观处罚条件说认为,违法构成要件要素与客观处罚条件是排斥的关系,我国刑法中的“情节严重”并不是对违法性提出的要求,而是“对行为是否构成犯罪提出的刑事可罚性要求,是一种规范的评价”。[15]倘若客观处罚条件说能够成立,则意味着行为人无须对“情节严重”有认识。“罪体—罪责—罪量”的犯罪论体系也否认行为人须对罪量要素有认识,[16]这与客观处罚条件说的观点类似。[17]本文认为,将“情节严重”界定为客观处罚条件,会不当扩大刑法的干涉范围。其一,按照客观处罚条件说,行为人无须对“情节严重”有认识,这势必会弱化责任要素的个别化评价机能。同时,肯定“情节严重”是客观处罚条件,无异于导向严格责任。其二,客观处罚条件是刑事政策渗透刑法规范的体现,而对于当下中国,恰恰需要提防刑事政策过度侵入刑法规范的危险。倘若行为是否要受到刑罚处罚,除了一般的犯罪成立条件,还要受到刑事政策因素的影响,则不仅矮化了犯罪论体系的地位,也会使定罪活动无章法可循。其三,客观处罚条件的要素确定也是一个难题。在确定客观处罚条件要素的具体操作上,我国台湾学者提出“抽离测试”(Abzugsthese)的方法:“先将疑似客观可罚性的语句从构成要件中抽离,然后看剩余的部分是否仍可承担法条中所订的刑罚效果。如果得出否定的答案,就表示抽离的语句并非不法中性(unrechtsneutral),就不能将之定性为客观可罚性条件,而应归入不法要素。”[18]但是,这种操作并非易事,这是因为,关于“剩余的部分是否仍可承担法条中所订的刑罚效果”,恐怕也是见仁见智。而且,即便是主张全面引入客观处罚条件的观点,对此也感到力不从心,反而强调“决不能随意或扩大解读我国刑法中类似客观处罚条件的范围。否则,将可能直接消解作为法治国家自由保障基础的责任主义原则。至于我国刑法中具体哪些规定属于客观处罚条件,还有待我国学者进行审慎的解读与甄别”。[19]2.“类构成要件复合体”说“类构成要件复合体”说认为,一方面,情节犯中的情节大多属于构成要件的基本不法量域;另一方面,当出现行为人无法控制的结果时,这一结果不仅不归属在基本犯罪构成要件的范围之内,而且超出了结果加重犯的规制范围,其应当是客观处罚要件。在我国,被司法解释补充和修改的犯罪构成是一个包含了基本构成要件、加重结果、客观处罚条件以及其他刑事政策要素的“类构成要件复合体”。[20]本文认为,“类构成要件复合体”的提法并不妥当。“类构成要件复合体”说是基于司法解释的规定而提炼出来的,依该说的观点,“两高司法解释”第5条第1款第9项,“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的”,是溢出构成要件基本不法量域的情节。但问题是,当行为并不充足侵犯公民个人信息罪的不法类型时,缘何将人身危险性大但行为不法的量较小的情形纳入处罚范围,这在理论上存在疑问。刑法教义学固然以实定规范为研究对象,但这并不意味着放弃了批判。“法教义学应当兼具解释与批判的双重功能。在立法者的纰漏面前,理论不能放弃批判而沦为单纯提供解释的工具。”[21]面对立法尚且应当如此,面对变动频繁、规模庞大、前后逻辑冲突甚至与刑法立法冲突的司法解释,刑法教义学更应有所坚守。事实上,司法解释的规定很多是非常具体的,但是,规定越具体,一些案件越无法处理,司法解释的漏洞也就越多。[22]3.整体的评价要素说整体的评价要素说认为,“当行为符合了客观构成要件中的基本要素后,并不意味着行为的违法性达到了值得科处刑罚的程度,在此基础上,还需要对行为进行整体评价。情节严重、情节恶劣就是这种整体的评价要素。”[23]但是,“情节严重”中的情节并不是任何情节,而只能是客观方面表明法益侵害程度的情节。[24]就此而言,整体的评价要素说在立场上与违法构成要件要素说是一致的,但在具体案件的认定上,二者还是存在一定差异。整体的评价要素说坚持“情节严重”属于客观要素的立场具有合理性,但其也存在可商榷之处。第一,判断要素不明确。以侮辱罪为例,按照整体的评价要素说,侮辱罪的认定不仅要考虑行为人是否实施了侮辱行为,还要基于侮辱的情节进行整体判断。那么,哪些要素可以被整合为评价侮辱“情节严重”的要素?从整体的评价要素说的立场看,显然只能是客观要素,但即便如此,客观要素的范围也难以界定。例如,甲系计生部门工作人员,因乙超生,前往乙家催缴社会抚养费;甲在遇见乙时说明来由,乙听后便对甲破口大骂,骂甲是私生子(事实如此,且当地群众均知悉),“怎么好意思来收取社会抚养费”,引来众多群众围观热议。在这一情形下,乙的行为是否构成侮辱罪的“情节严重”?按照整体的评价要素说,首先,乙骂甲是私生子的行为是侮辱行为;其次,再整体判断侮辱行为是否“情节严重”,在客观要素方面,只能从侮辱对象、围观群众的人数和围观群众热议的内容来作整体判断。在上述情况下,倘若因为甲是国家工作人员而认为乙的行为的不法程度重,就会造成刑法评价上的不平等;倘若根据围观群众的人数多少和热议内容来认定“情节严重”,又会导致不法判断的随意。第二,判断要素评价错位。仍以侮辱罪为例,如果在司法实践中贯彻整体的评价要素说,则可能导致本身并不属于侮辱行为的关联要素被不当评价为“情节严重”。例如,自诉人龙某某与被告人刘某某系同乡,二人在打工期间同居;被告人刘某某得知龙某某结识新男友后,找到龙某某,将其带到自己家中;在刘某某家,刘某某对龙某某进行殴打,强行扒光龙某某的衣裤,并将其带往派出所;龙某某从刘某某家出来时,仅用一张塑料布围住下身;此后,刘某某将自己的上衣脱给龙某某穿,后二人搭乘他人的摩托车前往派出所。经鉴定,龙某某头部被钝器损伤致单纯头皮软组织挫裂伤属轻微伤。法院认为,刘某某与龙某某发生矛盾后,对龙某某进行殴打致其轻微伤,在扒光龙某某衣裤后,被告人刘某某强行拉赤身裸体的龙某某在公路上行走,公然贬损其人格尊严,情节严重,刘某某的行为已构成侮辱罪。[25]从判决理由看,法院认定刘某某构成侮辱罪“情节严重”的要素包括刘某某殴打龙某某致其轻微伤,刘某某扒光龙某某衣裤后强行拉其在公路上行走。可以说法院综合考虑了侮辱行为的关联要素,这与整体的评价要素说思路一致。但是,本文认为,法院的判决理由存在问题。殴打行为发生在刘某某家中,不符合成立侮辱罪所要求的公然性要件,故殴打行为不能被纳入侮辱罪的“情节严重”进行评价。本案中的侮辱行为既非殴打行为,也非刘某某在其家中强行扒光龙某某衣裤的行为,而是强行将赤身裸体的被害人拉到公路上行走的行为。因为只有最后一个行为才可能构成公然侮辱他人,并被评价为“情节严重”。在侵犯公民个人信息罪的认定中,若采取整体的评价要素说,也可能造成判断要素评价错位。如甲采取威逼方法获取他人掌握的公民工作单位信息500条,这种情况下能否将甲使用的威逼方法作为“情节严重”的考量要素之一进行评价?一种方案是,既然没有达到“两高司法解释”规定的信息数量标准,自然无需进一步对威逼方法作刑法评价;另一种方案则可能通过“其他情节严重的情形”的规定,认定威逼方法和信息数量整体构成“情节严重”。在本文看来,第一种方案是违法构成要件要素说的思路,既然甲的行为本身没有达到侵犯公民个人信息罪“情节严重”的信息数量要求,就应当否定行为成立不法,而不能因为甲采取了威逼方法,就将上述行为认定为“其他情节严重的情形”。但是,如果按照整体的评价要素说,就可能得出上述第二种方案的结论。4.违法构成要件要素说本文认为,“情节严重”应属于违法构成要件要素。行为尚未达到“情节严重”的量,意味着无须动用刑法对该行为进行评价,而应当按照一般违法行为处理。肯定“情节严重”是违法构成要件要素,意味着只有行为人对“情节严重”有故意或过失,才能对行为人予以责难,从而发挥责任要素的个别化评价机能。违法构成要件要素说坚持了对刑法的规范性理解,可以防止刑事政策考量的过度侵入,对此可以李某某侵犯公民个人信息案为例进行说明。自2014年以来,被告人李某某多次受人委托,通过互联网等途径,非法购买他人信息,再转售或提供给受托人,从中获利。截至2016年6月12日被告人李某某被公安机关查获,其侵犯的公民个人信息达200余份,内容包含户籍信息、个人征信信息、个人车辆信息、个人轨迹信息、快递信息、学籍信息等。法院认为,被告人李某某无视国家法律,违反国家有关规定,向他人出售或提供公民个人信息,情节严重,其行为已构成侵犯公民个人信息罪,判处被告人李某某有期徒刑11个月,并处罚金5000元。[26]从刑事政策的角度考虑,侵犯公民个人信息是当前信息网络背景下泛滥成灾的违法犯罪行为,对之应当予以及时、合理的回应。但是,过度强调刑事政策立场,也可能会使司法实践的实际运作游离于刑法规范之外。从判决理由看,法院认为李某某侵犯公民个人信息达到200余份,但问题是,“两高司法解释”关于“情节严重”的认定标准中,对信息数量的单位规定的是“条”,而法院认定的单位是“份”,二者是完全不同的计算标准。而且,判决书未对各种信息的类型和数量进行区别说明。此外,法院还特意强调行为人“无视国家法律”,但是,行为本身违反国家有关规定,就已经表明行为的违法性,在此之外特意强调“无视国家法律”,其背后所隐含的无非是要认定行为人主观恶性大。这种精细化和规范化程度有限的判决,从反面印证了在阶层犯罪论体系下规范地理解“情节严重”的必要性和重要性。三、侵犯公民个人信息罪“情节严重”的要素重构在承认“情节严重”属于违法构成要件要素之后,还需要进一步讨论不法的属性问题,以便明确“情节严重”所应包括的要素。(一)不法属性问题的理论争议在当今的阶层犯罪论体系中,达成共识的是构成要件具有推定违法性的机能,但在不同的阶层犯罪论体系中,对不法的理解存在差异。古典体系认为构成要件是“对客观存在的行为事实所作的类型化规范,刑法构成要件的本质,是完全客观的、中性的、不具有任何价值评价色彩的”。[27]例如,贝林认为,违法性不包含主观评判,不存在所谓的主观不法要素,故意、过失、目的、主观倾向等既不是主观构成要件要素,也不是主观的不法要素。[28]新古典体系在承袭古典体系的基础上,适度修正客观不法的内容:一方面,不法评价的对象仍然限于行为的客观侧面;另一方面,在目的犯等个别犯罪中,又例外地承认特定的主观不法要素。自韦尔策尔提出目的行为论以来,主观要素开始融入不法范畴,不法与责任的层次性区分开始变得模糊,以至于有“不法的客观性消失之时,就是阶层犯罪论模式出现动摇之日”这样的说法。[29]韦尔策尔认为,“被判定为具有违法性的对象,即人所实施的符合于构成要件的举动,是外部世界(客观的)要素和内心(主观的)要素的统一体。”[30]在目的行为论中,故意从责任阶层前移至构成要件阶层。目的行为论关于主观不法要素的立场被修正的客观违法性说部分继承,即在违法性的判断上部分吸纳主观违法性的内容,故意、过失以及特殊的主观构成要件要素之目的等主观违法性要素在不法中被承认。[31]本文坚持客观违法性论的立场,否定主观的不法要素。第一,这一立场有利于保持违法性判断标准的一致性。例如,故意在网络上散布公民个人信息3000条的,因没有谨慎履行信息保护义务而导致同样类型、数量的公民个人信息泄露的,很难说这二者的不法程度有明显差异;更不能认为,因前者是故意行为而具有更重的违法性,因后者是过失行为而具有较轻的违法性。从被害人的角度看,法益侵害程度只应与行为人的客观行为及其结果有关,故意或过失只能在责任评价中起作用。倘若将主观要素纳入不法评价,就会陷入混合认定模式所面临的困境。第二,这一立场可以确保违法性判断的可操作性。在司法实践中,对侵犯公民个人信息的行为、信息类型、信息数量等客观要素的判断,相对较为容易;而对于故意的认定、人身危险性的评估,相对缺乏比较明确的判断标准,用于判断的基础事实也较为复杂。例如,对于“明知”的认定,司法实践的通常做法是综合全案进行判断,而用于判断的基础事实已经不完全局限于构成要件事实。第三,这一立场可以确保客观不法判断优先的司法认定逻辑。客观违法性论坚持先客观不法判断、后主观责任判断的认定逻辑顺序,但是,司法实践若采取混合认定模式来认定侵犯公民个人信息罪的“情节严重”,就可能先判断主观要素、再判断客观要素,这在一定场合会不当扩大处罚范围。例如,甲基于对社会的报复心理,破坏了某民政部门的计算机系统,将大量公民个人信息泄露了出去。在这一场合,如果信息数量无法查明,根据客观违法性论,就无法认定甲的行为构成不法,也无需进一步评价主观要素。然而,依照混合认定模式,司法机关就可能优先考虑甲有报复社会的心理,具有较大的主观恶性,从而将其认定为“其他情节严重的情形”。(二)侵犯公民个人信息罪的“情节严重”反映的是法益侵害程度已如前述,“情节严重”属于违法构成要件要素,对其的判断应当反映客观违法性程度,进一步言之,即反映法益侵害程度。据此,在侵害公民个人信息罪中,“情节严重”的要素应当仅限于危害行为(非法获取、出售或者提供公民个人信息的行为)、行为对象(信息类型和信息数量)、危害后果(对被害人造成或可能造成的损害)等要素。反思“两高司法解释”的相关规定,下列要素应当从“情节严重”中剥离出去。1.违法所得数额“两高司法解释”将违法所得数额规定为“情节严重”的要素之一,这或许有助于弥补处罚漏洞,但这一规定值得商榷。如前所述,违法所得数额反映的主要是行为人的犯罪行为收益,其未必能够反映侵犯公民个人信息罪的法益侵害程度;而理论上,行为人所侵犯的信息的类型、数量更能反映本罪的法益侵害程度。况且,侵犯公民个人信息罪是侵犯公民人身权利、民主权利的犯罪,以违法所得数额作为入罪的标准之一,实际上是将经济犯罪的认定方法生搬硬套于侵犯公民人身权利、民主权利的犯罪。而这两类犯罪的认定原理显然是不一样的,对于经济犯罪,犯罪金额的大小是定罪量刑的一个重要标准。[32]而且,实际发生的侵犯公民个人信息犯罪未必都是获利性犯罪,故不能完全套用经济犯罪的认定方法。2.“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”公民个人信息“两高司法解释”第5条第1款第2项将“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供”公民个人信息,也规定为“情节严重”,这存在体系安排不当的问题。就实行行为而言,根据上述规定,行为人在知道或者应当知道他人利用公民个人信息实施犯罪时,仍向他人出售或提供公民个人信息的,在成立侵犯公民个人信息罪时并无信息类型、数量上的要求。然而,若单就客观的出售、提供公民个人信息的行为而言,如果没有达到信息类型、数量的标准,是不可能构成“情节严重”的。可见,“两高司法解释”将这一情形认定为“情节严重”的理由在于,行为人“知道或者应当知道他人利用公民个人信息实施犯罪”。但是,“知道或者应当知道他人利用公民个人信息实施犯罪”反映的是行为人的主观认识要素,而“情节严重”属于违法构成要件要素,其以反映客观不法的事实为内容,故不应包括主观要素。3.反映人身危险性的要素人身危险性在刑法中的地位,迄今仍无定论。从近代刑法发展的经验看,对于主观主义刑法理论所钟爱的人身危险性,我们需要审慎对待,不宜将其设置为定罪要素。倘若将人身危险性要素设置为定罪要素,则现代刑法有蜕变为人格刑法甚至“心情刑法”之虞。当代刑法理论通常将人身危险性置于刑罚论中予以讨论,侧重考察行为人的矫正难度。既然如此,在“情节严重”是犯罪成立要件的场合,就不能错误地将反映人身危险性的要素纳入“情节严重”。在“两高司法解释”中,第5条第1款第9项关于“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息”的规定,第6条第1款第2项关于“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,为合法经营活动又非法购买、收受公民一般个人信息”的规定,都反映的是行为人的人身危险性。根据本文的立场,这些情节不应成为侵犯公民个人信息罪“情节严重”的要素。4.恶劣社会影响在当前的司法实践中,有判决以“恶劣社会影响”作为认定侵犯公民个人信息罪“情节严重”的依据。[33]然而,这一观点值得商榷。这是因为“恶劣社会影响”的内容无法清晰界定,容易将与侵犯公民个人信息罪的法益侵害无关的因素不当纳入关于犯罪成立与否的评价,从而有将社会秩序作为本罪保护法益的危险。如此一来,侵犯公民个人信息罪的处罚范围恐怕将无边无际。而且,从方法论上讲,刑法将“情节严重”规定为构成要件要素,本就是迫不得已的做法;在“情节严重”的界定本身就不明确的情况下,如果将“恶劣社会影响”也认定为“情节严重”的要素之一,这实际上是使用比刑法用语更不明确的概念来解释刑法中不明确的概念,[34]这在解释方法上显然是成问题的。5.特定主体身份根据“两高司法解释”第5条第1款第8项的规定,“将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的”,是“情节严重”。然而,这一规定并不合理。侵犯公民个人信息罪是不真正身份犯,根据刑法第253条之一第2款的规定,具有特定身份的人违背职务要求实施侵犯公民个人信息的行为的,依照第1款的规定从重处罚。在此种情况下,“两高司法解释”第5条第1款第8项的规定却对具有特定主体身份的人侵犯公民个人信息降低了入罪门槛,未免过于严苛,并且与第253条之一第2款将特定主体身份规定为从重处罚条件的立法有冲突。毕竟“两高司法解释”关于“情节严重”的规定是对刑法相关规定的解释,其不能为了强调特殊主体的义务,就任意规定与刑法相关规定有冲突的内容,否则就是以解释之名行立法之实。四、侵犯公民个人信息罪“情节严重”的若干认定问题(一)信息类型的实质化评价“两高司法解释”中规定的“行踪轨迹信息”,不仅包括可以直接反映被害人行动路线、行动记录的信息,还应当包括行为人基于公民个人的其他信息分析得来的可以反映被害人上述情况的信息。例如,甲非法获取乙的住宿信息200条,此时尚无法按照“两高司法解释”第5条第1款第4项的规定处罚。但是,如果甲根据这200条信息分析获得了乙的行踪轨迹,则应当将上述分析结论认定为行踪轨迹信息。如果上述行踪轨迹信息被他人用于犯罪,就应当认定甲的行为构成“情节严重”。另外,从“两高司法解释”的规定看,诸如公民个人的手机号码等通常被认定为一般个人信息,只有非法获取、出售或提供上述信息达到5000条以上的,才构成“情节严重”。但是,在当前的信息网络环境下,手机号码的意义不再仅限于作为通讯手段,尤其是在支付宝、微信等具有移动支付、互联网金融功能、属性的手机应用得到广泛使用的情况下,行为人非法获取、出售、提供他人手机号码的,其危害性显然大于侵犯一般个人信息。“两高司法解释”的相关规定显然未能跟上信息网络时代的新形势,对于这类信息司法实践应当按照财产信息或可能影响财产安全的信息来处理。(二)“出售或者提供行踪轨迹信息,被他人用于犯罪”的界定根据“两高司法解释”第5条第1款第1项的规定,出售或者提供行踪轨迹信息,被他人用于犯罪的,不论信息的数量是多少,均应认定为“情节严重”。对于这种情形,在理论上需要回答如下几个问题。其一,行为人自己获取他人的行踪轨迹信息,并用于犯罪的,如何处理。“两高司法解释”仅规定了为他人出售或提供行踪轨迹信息的情形,而没有规定这一情形。本文认为,根据当然解释的原理,应当将这一情形也认定为“情节严重”。实际上,在“两高司法解释”出台之前,司法实践中就有采取此种处理思路的判决。例如,在谢某、邹某等侵犯公民个人信息罪案中,被告人谢某、邹某、赖某伙同他人(另案处理)通过互联网购买了大量淘宝买家的个人订单信息,并利用该信息实施犯罪活动。公安机关在被告人谢某使用的电脑里查获淘宝买家数据信息220条左右,在被告人邹某使用的电脑里查获淘宝买家数据信息230条左右,在被告人赖某使用的电脑里查获淘宝买家数据信息230条左右。法院认为,被告人谢某、邹某、赖某伙同他人通过网络非法获取公民个人信息,“情节严重”,其行为均已构成侵犯公民个人信息罪。[35]本案涉及的个人信息虽非行踪轨迹信息,但其处理思路值得借鉴。其二,出售或者提供的行踪轨迹信息被他人用于犯罪,是否要求他人的行为实际构成犯罪。本文认为,不应要求他人的行为实际构成犯罪,即此处的“犯罪”是违法意义上的犯罪概念。[36]实际上,已有司法解释在其他犯罪相关问题的处理上采纳了违法意义上的犯罪概念。如2015年最高人民法院《关于审理掩饰、隐瞒犯罪所得、犯罪所得收益刑事案件适用法律若干问题的解释》第8条规定:“认定掩饰、隐瞒犯罪所得、犯罪所得收益罪,以上游犯罪事实成立为前提。上游犯罪尚未依法裁判,但查证属实的,不影响掩饰、隐瞒犯罪所得、犯罪所得收益罪的认定。上游犯罪事实经查证属实,但因行为人未达到刑事责任年龄等原因依法不予追究刑事责任的,不影响掩饰、隐瞒犯罪所得、犯罪所得收益罪的认定。”因此,如下情形中的相关行为人应构成侵犯公民个人信息罪。甲应13周岁的乙的请求,向其提供了丙的行踪轨迹信息,后乙利用该信息对丙实施了盗窃。尽管乙未达到刑事责任年龄,但这只是责任阻却事由,乙的行为的违法性不容置疑。甲为乙提供了丙的行踪轨迹信息,且被乙用于犯罪,甲应当构成侵犯公民个人信息罪。(三)共同犯罪问题的处理根据“两高司法解释”第5条第1款第2项的规定,知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供公民个人信息的,构成“情节严重”。这一规定有可能涉及共同犯罪问题的处理。本文认为,关于这一规定所涉及的情形,司法机关应区分不同情况作出两种处理:一种是按想象竞合处理。比如,如果出售或提供公民个人信息的行为达到了“情节严重”的标准,出售者或提供者构成侵犯公民个人信息罪;若他人同时利用该信息实施了犯罪,则出售者或提供者与他人构成相应犯罪的共同犯罪,对出售者或提供者按想象竞合犯从一重罪处理。另一种是仅认定为共犯。比如,如果出售或提供公民个人信息的行为没有达到“情节严重”的标准,则只能根据被帮助的他人的实行行为,认定出售者或提供者构成相应犯罪的共犯。在共同犯罪问题的处理中,还涉及片面共犯问题。例如,甲要杀丙,从丁处购买了丙的行踪轨迹信息;乙知晓甲的上述行为后,发现甲购买的信息是错误的,遂以正确的行踪轨迹信息替换了错误信息,但甲并不知情;后甲利用乙提供的信息杀死了丙。在本案中,乙构成侵犯公民个人信息罪自无疑问。但问题是,乙是否需要对丙的死亡承担刑事责任,这就涉及了片面共犯问题。由于乙实施的仅仅是故意杀人罪的帮助行为,故乙是片面帮助犯。倘若采取否定片面帮助犯甚至片面共犯的观点,那么乙无需对丙的死亡承担刑事责任。但本文认为,至少应当承认片面帮助犯,乙应当对丙的死亡承担刑事责任。这是因为,认定共犯的核心在于共犯的因果性,具体包括物理上的因果性和心理上的因果性。[37]按照正犯结果说的观点,如果乙没有提供丙的正确行踪轨迹信息,甲就不可能顺利地杀死丙,因此,乙对甲的帮助与丙的死亡有物理上的因果关系。同时,乙对丙的死亡有故意。既然如此,就应当将丙的死亡结果在共犯(帮助犯)责任的范围内归属于乙。乙同时成立故意杀人罪(帮助犯)和侵犯公民个人信息罪(实行犯),二者构成想象竞合,最终从一重罪处断。当然,如果乙并不知道甲要实施什么犯罪,在这种情况下,虽然乙提供正确行踪轨迹信息与丙的死亡有物理上的因果关系,但由于乙对丙的死亡并无认识,故在责任判断上,对乙只能以侵犯公民个人信息罪论处。【注释】[1]侵犯公民个人信息犯罪的立法大体经历了如下阶段:(1)1979年刑法和1997年刑法均未规定侵犯公民个人信息的犯罪,行为人利用公民个人信息实施其他犯罪的,按照相应犯罪论处。(2)2005年刑法修正案(五)增设了窃取、收买、非法提供信用卡信息罪,但本罪无法规制侵犯信用卡信息之外的公民个人信息的行为。(3)2009年刑法修正案(七)增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,前罪的主体限于特殊主体,且也以“情节严重”为犯罪成立条件。(4)2015年刑法修正案(九)取消了出售、非法提供公民个人信息罪的主体限制,将特殊主体规定为从重情节,并增加了“情节特别严重”的量刑档次,罪名也因此修改为侵犯公民个人信息罪。[2]参见周加海、邹涛、喻海松:《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》,《人民司法(应用)》2017年第19期,第35页。[3]具体争议情况参见曹子丹、侯国云:《中华人民共和国刑法精解》,中国政法大学出版社1997版,第174页;陈兴良:《奸淫幼女构成犯罪应以明知为前提——为一个司法解释辩护》,《法律科学》2003年第6期,第29页;周光权:《明知与刑事推定》,《现代法学》2009年第2期,第114页以下。[4]参见张明楷:《责任刑与预防刑》,北京大学出版社2015年版,第339页以下。[5]“公民一般个人信息”是指“两高司法解释”第5条第1款第3项、第4项规定以外的公民个人信息。[6]参见马克昌主编:《犯罪通论》,武汉大学出版社1999年版,第20页以下。[7]前引[2],周加海等文,第34页。[8]前引[2],周加海等文,第34页。[9][德]克劳斯·罗克辛:《德国刑法学总论》第1卷,王世洲译,法律出版社2005年版,第106页。[10]例如陈兴良:《风险刑法理论的法教义学批判》,《中外法学》2014年第1期。[11]何荣功:《预防刑法的扩张及其限度》,《法学研究》2017年第4期,第148页。[12]参见湖北省天门市人民法院(2017)鄂9006刑再3号刑事裁定书。[13]参见高铭暄、马克昌主编:《刑法学》,高等教育出版社、北京大学出版社2014年版,第482页。[14]李翔:《刑事政策视野中的情节犯研究》,《中国刑事法杂志》2005年第6期,第25页。[15]柏浪涛:《构成要件符合性与客观处罚条件的判断》,《法学研究》2012年第6期,第139页。[16]参见陈兴良:《规范刑法学》上册,中国人民大学出版社2008年版,第191页以下。[17]黑静洁认为,从本质上讲,“罪体—罪责—罪量”体系中的罪量就是一种客观处罚条件,尽管其主张者陈兴良并不承认这一点。参见黑静洁:《客观处罚条件之理论辨析——兼论客观处罚条件理论在中国刑法中的定位》,《政治与法律》2011年第7期,第147页。[18]蔡圣伟:《刑法案例解析方法论》,台湾元照出版公司2017年版,第133页。[19]梁根林:《责任主义及其例外——立足于客观处罚条件的考察》,《清华法学》2009年第2期,第57页。[20]参见王莹:《情节犯之情节的犯罪论体系地位》,《法学研究》2012年第3期,第137页以下。[21]车浩:《刑法立法的法教义学反思——基于〈刑法修正案(九)〉的分析》,《法学》2015年第10期,第3页。[22]参见车浩、陈兴良、张明楷:《立法、司法与学术——中国刑法二十年回顾与展望》,《中国法律评论》2017年第5期,第18页。[23]张明楷:《犯罪构成体系与构成要件要素》,北京大学出版社2010年版,第239页。[24]同上书,第241页。[25]参见贵州省黔东南苗族侗族自治州中级人民法院(2017)黔26刑终251号刑事附带民事裁定书。[26]参见广东省广州市番禺区人民法院(2017)粤0113刑初297号刑事判决书。[27]柯耀程:《通识刑法》,台湾元照出版公司2007年版,第41页。[28]参见[德]恩施特·贝林:《构成要件理论》,王安异译,中国人民公安大学出版社2006年版,第23页。[29]参见[德]汉斯·韦尔策尔:《目的行为论导论:刑法理论的新图景》,陈璇译,中国人民大学出版社2015年版,第127页。[30]前引[29],韦尔策尔书,第24页。[31]参见陈子平:《刑法总论》,中国人民大学出版社2008年版,第229页以下。[32]参见马克昌主编:《经济犯罪新论》,武汉大学出版社1998年版,第18页。[33]参见浙江省金华市中级人民法院(2016)浙07刑终457号刑事判决书。[34]参见前引[4],张明楷书,第294页。[35]参见福建省龙岩市新罗区人民法院(2016)闽0802刑初985号刑事判决书。[36]违法意义上的犯罪概念,参见付立庆:《违法意义上犯罪概念的实践展开》,《清华法学》2017年第5期,第83页。[37]参见张明楷:《共同犯罪的认定方法》,《法学研究》2014年第3期,第21页。【作者简介】石聚航,南昌大学法学院讲师。
