侵犯公民個人信息罪的情節要素與數量標準研究
作者:李靜然(武漢大學法學院博士研究生,最高人民法院刑五庭審判員);王肅之(最高人民法院第二巡迴法庭法官助理)。來源:《法律適用》2019年第9期。
【摘要】 《刑法》第253條之1侵犯公民個人信息罪採用了「情節犯」的立法模式,引發了一定的理論爭議和實踐分歧。在現有司法解釋的基礎上對該罪的情節要素進行系統地梳理和歸納,形成科學完整的情節要素體系,構建合理的個人信息數量認定標準,有利於侵犯公民個人信息罪的定罪量刑走向科學化、規範化、均衡化。
《中華人民共和國刑法》(以下簡稱《刑法》)253條之1侵犯公民個人信息罪在定罪量刑標準上均採用了「情節犯」的立法模式。但是,實踐中情節犯最突出的問題就是內容和標準的模糊性。對於本就十分複雜的侵犯公民個人信息罪而言,「情節犯」的模式更使其認定存在較大的不統一性。由此,在現有司法解釋和司法實踐的基礎上進行歸納和分析,從情節要素和數量標準認定兩個層面確定侵犯公民個人信息罪的定罪量刑標準,具有重要的理論和實踐意義。
一、引言
隨著信息社會的發展,侵犯公民個人信息的行為愈演愈烈,《刑法》也在不斷新增和完善打擊侵犯公民個人信息犯罪的條款。2009年,通過《刑法修正案(七)》,在《刑法》253條之1增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。2015年,通過《刑法修正案(九)》,將「出售、非法提供公民個人信息罪」「非法獲取公民個人信息罪」調整為「侵犯公民個人信息罪」,並對其規定進行系統的完善,將犯罪主體擴大至一般主體,修改了犯罪的特定條件,對於特殊主體予以加重處罰,並提高了刑罰處罰區間。這些修改及時適應了該類犯罪的發展變化趨勢,有利於實現《刑法》對個人信息的全面、有效保護。
然而,即便《刑法》作出如上修改,仍未解決侵犯公民個人信息罪認定和處罰上的一個基本問題—「情節嚴重」的理解與適用。情節犯是指以概括性定罪情節作為犯罪構成要件所決定的犯罪類型。對於(狹義)情節犯的理解,刑法學界的共識是「必須以特定情節(如嚴重情節、惡劣情節等)作為犯罪成立標誌的犯罪形態」。也有論者認為「情節犯還包括以『數額較大』『數量較大』『造成嚴重後果的』『後果嚴重的』『造成重大損失』『致使國家利益遭受重大損失』『嚴重損害股東或其他人利益的』等等為犯罪構成要件的犯罪形態,這可以稱為廣義的情節犯」。侵犯公民個人信息罪更是直接規定了「情節嚴重的」「情節特別嚴重的」等具體情節內容,無疑是典型的「情節犯」。但是,對於「情節嚴重的」「情節特別嚴重的」的理解與適用,當時司法實踐中並未形成統一、科學的認定標準。
情節犯中的「情節嚴重」作為一種綜合性規定,本身只有一個大致範圍,沒有明確的界限,故而具有一定的模糊性。由於情節犯的表述的模糊性,由此引發其與刑法明確性原則是否相衝突的問題。但也有學者指出,情節犯的特點之一就是刑法規範中「情節嚴重」或者「情節惡劣」內涵的模糊性,而這種模糊性並不完全是立法者被動選擇的結果,恰恰相反,在有些情況下,正是基於特定歷史階段的刑事政策的考慮,立法者主動地、積極地選擇並利用刑法規範的模糊性以實現其立法目標。對於侵犯公民個人信息罪而言更是如此,由於個人信息的內涵變遷與範疇變化,立法難以在保持定罪標準精準性的基礎上維持長久的適用性,因而選擇情節犯作為其構罪標準就顯得順理成章,並將這一問題交由司法解釋解決。由此,通過司法解釋等方式,選擇合理的判斷模式,明確該罪的具體情節判定要素,並且採用具體、科學的具體判斷標準,是有效治理侵犯公民個人信息犯罪的必然選擇。
為指導司法實踐,2013年最高人民法院、最高人民檢察院、公安部頒布了《關於依法懲處侵害公民個人信息犯罪活動的通知》(以下簡稱《侵犯個人信息犯罪通知》);2017年最高人民法院、最高人民檢察院頒布了《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯個人信息犯罪司法解釋》)。特別是《侵犯個人信息犯罪司法解釋》,較為系統、全面地規定了侵犯公民個人信息罪的情節內容,有利於該罪司法適用標準的明確化、規範化。然而,《侵犯個人信息犯罪司法解釋》頒布後,關於該罪情節認定的一些問題仍未得到徹底地解決,有待於進一步研究。例如,該司法解釋第5條採用了四個維度的情節評價方式,包括:第一,侵犯個人信息的數量維度(50條、500條、5000條);第二,侵犯個人信息的獲利金額維度(5000元);第三,與他人犯罪的關係維度(行蹤軌跡信息被用於犯罪;明知他人犯罪為其提供個人信息);第四,前科維度(曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰的)。而這四個維度中有的系定性維度,有的系定量維度,如何對不同性質、不同適用範圍的情節予以認定仍需探討;如何認定構成個人信息的「條」,從而準確適用數量標準也需要進一步明確。
例如,在杜立明、馮丹侵犯公民個人信息案中,「2015年下半年以來,被告人杜立明利用其為河北順豐速運有限公司員工的便利條件,自己獲取一部分公民個人信息,並向被告人汪甜蜜、***龍等順豐公司內部工作人員購買公民個人信息,同時還向被告人劉淘女、楊燦等人購買公民個人信息,再通過QQ郵箱賣給被告人楊峰、曹衛雄、白國良、魏彥斌、楊盼等人以獲取非法利益⋯⋯經查,在杜立明QQ郵箱中查獲52封郵件,總計19965條公民個人信息。經對杜立明微信帳單情況進行統計,其出售公民個人信息違法所得為16萬餘元」;最終「被告人杜立明犯侵犯公民個人信息罪,判處有期徒刑三年,並處罰金人民幣二十萬元」。而在鄒春隆、李洪倉等侵犯公民個人信息案中,「2012年11月至2017年初,被告人鄒春隆在網際網路架設『中國黑防聯盟』(× ×)社工庫論壇網站,並在該網站發布其非法獲取的公民個人信息數據供網站註冊會員免費下載。2016年2月,鄒春隆以牟利為目的,開通充值付費服務,並將公民個人信息數據存放在其百度雲盤sho × × × @ hkc5.com、 adm × × × @ hkc5.com和小鳥雲盤www.haina99.com內,供網民下載,同時建立『黑防聯盟』VIPQQ群(群號588986146),在該『群文件共享』中存放公民個人信息數據下載連結供網民下載。公安機關從鄒春隆處扣押4TB的公民個人信息數據約1000000000條。鄒春隆通過「中國黑防聯盟」論壇網站出售公民個人信息,非法獲利人民幣71091元」;最終「被告人鄒春隆犯侵犯公民個人信息罪,判處有期徒刑四年,並處罰金人民幣三十萬元」。
在以上兩個案件中,鄒春隆侵犯的公民個人信息約1000000000條,杜立明侵犯的公民個人信息為19965條,二者在數量上有天壤之別,而最終鄒春隆被判處有期徒刑4年,杜立明被判處有期徒刑3年,刑期差距並不大。此外,鄒春隆出售公民個人信息違法所得為16萬餘元,最終被判處罰金人民幣20萬元,杜立明出售公民個人信息非法獲利71091元,卻被判處罰金人民幣30萬元,獲利較少的行為人被判處罰金的數額反而更高。這兩個案件均系在《侵犯個人信息犯罪司法解釋》頒布後作出裁判,說明如何認定侵犯公民個人信息罪的情節要素與數量標準仍有待進一步探討。
二、情節要素的內容層次
2013年《侵犯個人信息犯罪通知》雖未規定具體的定罪量刑標準,但對侵犯公民個人信息罪的「情節嚴重」標準作出提示性規定。2017年《侵犯個人信息犯罪司法解釋》除了在第5條圍繞前述「四個維度」作出「情節嚴重」的要素規定外,還在第6條就合法經營活動收受個人信息的「情節嚴重」標準作出補充規定。此外,《侵犯個人信息犯罪司法解釋》第5條還就「情節特別嚴重」作出規定,其中規定新的情節內容的有兩處:「造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的」,以及「造成重大經濟損失或者惡劣社會影響的」。從情節要素內容的規定來看,《侵犯個人信息犯罪司法解釋》顯然更為細緻和全面,但是也存在體系性、科學性不足的問題,需要進行深入分析。
我們認為,除了應基於罪責刑相適應的原則來篩選和優化侵犯公民個人信息罪的情節要素內容之外,也應基於侵犯公民個人信息罪情節要素的適用範圍來確定內容層次。實際上,侵犯公民個人信息罪的情節要素並非均可以適用於所有類型的犯罪,比如侵犯公民個人信息數量就不適用於以數萬元金額購買特定公民個人特定敏感信息的案件。由此,以下要素應作為侵犯公民個人信息罪的重點評價範疇:違法所得數額、嚴重社會後果、行為人再犯次數,以及侵犯的個人信息數量、造成受害人損害的大小。不過需要在此基礎上進行劃分,區分兩個層次來認定侵犯公民個人信息罪的情節要素內容:即適用於全部侵犯公民個人信息罪的情節要素和適用於部分侵犯公民個人信息罪的情節要素。
(一)適用於所有侵犯公民個人信息罪的情節要素包括違法所得數額、嚴重社會後果和行為人再犯次數,不論該行為侵犯的系多數公民的個人信息還是特定公民的個人信息。
第一,違法所得數額。侵犯公民個人信息罪往往與經濟目的相聯繫。德國《聯邦數據保護法》第44條規定的刑事處罰的前提之一即「為獲取報酬,為自己或他人謀取利益⋯⋯」。我國《刑法》253條之1侵犯公民個人信息罪雖未明確規定應具備牟利目的,但是該目的無疑為實施侵犯公民個人信息犯罪的最主要動因。《侵犯個人信息犯罪通知》表述為「違法所得數額較大」。《侵犯個人信息犯罪司法解釋》也認可違法所得數額為情節要素,在第5條將「違法所得五千元以上的」規定為「情節嚴重」的情形。特別是在行為人侵犯特定公民特定敏感個人信息的情況下,除了基於人身安全的考量,違法所得數額更是成為對行為人處罰的重要依據。例如,常某非法獲取公民個人信息案中,「2012年4月期間,委託人劉某委託『三晉龍城商務信息諮詢公司』要求調查其情人譚某的情況,並提供其情人譚某的基本信息、譚某手機中的4個經常聯繫人手機號碼、譚特定人照片、常住地等信息。在確定價錢後,被告人常某夥同牛志江、張惠平三人在甘肅省徽縣內對譚某進行跟蹤調查,並利用非法手段進行手機號碼定位、號碼機主調取、拍照攝像。後常某及同夥牛志江、張惠平將調查結果信息出售給委託人劉某,非法獲利20000元。」[8]在該案中,儘管行為人只是侵犯了譚某特定個人的行蹤軌跡信息,但是獲利數額巨大,在認定處理的過程中應充分考慮。
第二,嚴重社會後果。侵犯公民個人信息罪在實踐中往往也涉及眾多主體。在此意義上,「群體性是侵犯公民個人信息罪的核心特徵」。《侵犯個人信息犯罪司法解釋》對此也予以認可,將「造成重大經濟損失或者惡劣社會影響的」作為「情節特別嚴重」的情形之一。該罪往往涉及多數公民的敏感個人信息,不僅會影響人身層面、財產層面的公共安全,也會影響社會秩序。2018年8月28日,一張有關「出售華住旗下所有酒店數據」的網帖截圖在網絡上大範圍傳播,圖片內容顯示,約1.23億條華住官網註冊資料、1.3億條用戶身份信息和2.4億條酒店開房記錄被盜,合計近5億條用戶數據疑被泄露,由此引發了巨大的社會關注甚至擔心。這也表明侵犯公民個人信息罪不僅應作為侵犯個人法益的犯罪予以打擊,也需要考慮其社會影響。
第三,行為人再犯次數。隨著信息網絡的發展,信息的傳輸和處理愈發便捷,完成信息交互的成本和時間愈發減少,行為人往往多次實施侵犯個人信息的犯罪,以達到個人目的。對此《侵犯個人信息犯罪司法解釋》予以充分重視,在第5條和第6條中均規定將「曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰,又非法獲取、出售或者提供公民個人信息的」作為「情節嚴重」的情形之一。有學者認為「『多次』的界定應以三次以上為宜」。我們認為《侵犯個人信息犯罪司法解釋》的規定更為恰當,不僅體現了對於行為人多次實施侵犯公民個人信息行為的有力打擊,也體現了行政法與刑法的有效銜接。需要指出的是,構成《侵犯個人信息犯罪司法解釋》中上述規定情節的前提須是行為人已經受到處罰,如果未受到處罰則應作為犯罪情節予以整體評價。
(二)適用於部分侵犯公民個人信息犯罪的情節要素包括侵犯的個人信息數量和造成的受害人損害。需要明確得是,侵犯的個人信息數量同樣適用於侵犯多數公民個人信息的犯罪,造成的受害人損害僅適用於侵犯特定個人信息的犯罪。
第一,侵犯的個人信息數量。這一情節要素是理論界和實務界最為關注的。如有觀點認為「情節嚴重一般是指,因出售、非法提供、非法獲取公民個人信息獲利數額較大、出售或非法提供多人信息⋯⋯」[11]或者「情節嚴重」是指「公民個人信息的具體數額⋯⋯」。司法解釋也均從這方面作出了規定,無論是《侵犯個人信息犯罪通知》,還是《侵犯個人信息犯罪司法解釋》,均規定了「數量較大」這一情節要素,《侵犯個人信息犯罪司法解釋》更是在第5條中分「五十條」「五百條」「五千條」作出較為詳盡的規定。通常情況下,侵犯的個人信息數量越大,那麼其法益侵害性越為顯著。但是應明確,這一最為重要、最為核心的情節要素並不能適用於侵犯特定公民特定個人信息的情形。比如前述常某非法獲取公民個人信息案,其僅侵犯了特定公民的個人信息,該案更需要結合違法所得數額進行判定。
第二,造成的受害人損害。即被害人如果因個人信息被侵犯而遭受財產損害或人身損害,那麼也應在認定中予以考慮。這是基於我國《刑法》對於犯罪法益侵害性量的要求—不同於其他國家存在諸如「違警罪」等輕微犯罪,我國《刑法》中規定的犯罪均具有相當程度的社會危害性。就侵犯公民個人信息罪而言,其或者侵犯大量公民的個人信息,或者侵犯特定公民的個人信息造成一定的危害後果或者危險。基於此,《侵犯個人信息犯罪通知》中規定了「造成受害人人身傷害或者死亡」的危害後果,《侵犯個人信息犯罪司法解釋》中也將「造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果的」規定為「情節嚴重」的情形之一。但是,通常「造成被害人死亡、重傷」或「被綁架」等後果還需要介入後續的傷害、綁架行為,而這些傷害、綁架行為往往並非侵犯公民個人信息的行為人自身實施,在此情況下該如何理解「造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果」的規定?我們認為,在此情況下對於該規定應當作限定理解,即通常限定在侵犯特定公民個人信息,進而導致其「死亡、重傷、精神失常或者被綁架等嚴重後果」,一般不應包括侵犯多數公民個人信息的情況,即便該多數公民個人信息被後續犯罪行為利用造成嚴重後果。這是因為基於刑法的責任主義原則,行為人對且僅對自己實施的行為負責,在侵犯特定公民個人信息的情況下應認為其能夠預見該信息被後續利用造成嚴重後果的可能性,而其實施了這一行為,應當承擔刑事責任。反之,則會超過其預見可能。
徐玉玉案的判決可以為上述理解提供支持。在該案中,除了陳文輝等人被以詐騙罪追究刑事責任外,杜天禹則是被以侵犯公民個人信息罪追究刑事責任。該案判決指出:「被告人杜天禹違反國家有關規定,非法獲取公民個人信息64萬餘條,出售公民個人信息10萬餘條,其行為已構成侵犯公民個人信息罪。杜天禹侵犯公民個人信息造成惡劣社會影響,情節特別嚴重」。該判決作出時,《侵犯個人信息犯罪司法解釋》已經頒布,然而法官是以《侵犯個人信息犯罪司法解釋》第6條第2款「造成重大經濟損失或者惡劣社會影響」而非第1款「造成被害人死亡、重傷、精神失常或者被綁架等嚴重後果」認定構成情節特別嚴重。這說明在該案中並不是以徐玉玉死亡的嚴重後果作為構成加重情節的理由,值得肯定。
與之類似,《侵犯個人信息犯罪通知》中的「被他人用以實施犯罪」也應限於侵犯特定公民的個人信息,不應包括侵犯不特定多數公民的個人信息。《侵犯個人信息犯罪司法解釋》中也有類似規定,如第5條中「出售或者提供行蹤軌跡信息」「被他人用於犯罪的」。也即,對於犯罪行為的評價應秉持罪責刑相適應的原則,行為人不應對於超過預見可能的行為承擔刑事責任,否則不符合現代刑法精神。
三、個人信息的數量標準
侵犯公民個人信息罪司法適用中的另一個難題,則是個人信息的數量該如何予以認定。由於《侵犯個人信息犯罪通知》沒有規定具體的數量標準,此前對於侵犯多少個人信息構成侵犯公民個人信息罪存在爭論。有學者認為「參照最高法、最高檢《關於辦理利用網際網路、移動通訊終端、聲訊台製作、複製、出版、販賣、傳播淫穢電子信息刑事案件具體應用法律若干問題的解釋》1條第1款第4項關於『製作、複製、出版、販賣、傳播的淫穢電子信息,實際被點擊數達到10000次以上的』規定,以10000條信息作為本罪『數量較大』的具體標準,即非法獲取公民個人信息10000條以上的,認定為『情節嚴重』。」也有學者認為「數量較大是非法獲取公民個人信息數量達200條以上的」。《侵犯個人信息犯罪司法解釋》第5條和第6條則對侵犯公民個人信息罪的定量標準作出全面的規定:第一,在人罪標準上根據個人信息性質和內容的不同,分別以「五十條以上」「五百條以上」「五千條以上」和「按相應比例合計達到有關數量標準的」為「情節嚴重」;第二,「將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人」達到前述標準一半以上的為「情節嚴重」;第三,數量達到前兩項標準十倍以上的為「情節特別嚴重」。以上標準的出台,對於指導侵犯公民個人信息罪的司法適用具有重要的作用。
然而,還有一個關鍵問題尚未解決,即符合何種條件的信息可以認定為一條「公民個人信息」?在增設侵犯公民個人信息罪以前,個人信息的刑法保護依附於計算機信息系統中的數據保護,相關司法解釋也有規定數量標準。最高人民法院、最高人民檢察院《關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》(以下簡稱《計算機犯罪司法解釋》)第1條規定:「(一)獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上的」和「(二)獲取第(一)項以外的身份認證信息五百組以上的」,均「應當認定為刑法第285條第2款規定的『情節嚴重』」。可以看出,一方面《計算機犯罪司法解釋》在個人信息認定數量要求上更低,另一方面《計算機犯罪司法解釋》採用了的是「組」而非「條」的單位。
實踐中侵犯公民個人信息罪也廣泛採用了「組」數來作為「條」數認定。例如,雷遠、羅飛平侵犯公民個人信息案中,「被告人雷遠在網際網路上利用QQ以人民幣150元的價格出售給楊某車主信息、業主信息4萬條。同年9月7日又以300元的價格出售給楊某車主、業主混合信息10萬條。」該案中,車主信息、業主信息顯然是包括姓名與車輛登記信息(車牌號碼)、房屋登記信息(住址)等個人信息的結合。再如易庚申侵犯公民個人信息案,「2014年4月份以來,被告人易庚申陸續非法獲取公民房產信息、學生相關信息、新生兒相關信息、淘寶網購客戶信息等公民個人信息存儲於電腦中,後利用上述公民個人信息進行電信詐騙活動。至2014年7月8日被查獲,其非法獲取公民個人信息共計2315條。」在該案中,「公民房產信息」等個人信息也顯然包括多項直接或間接識別公民個人的信息。歸納起來即司法實踐中多採用「組」作為認定個人信息的數量標準。
這樣的認定做法雖然相比於《網絡安全法》等法律的規定更為狹窄,但是在現有情況下不失其合理性:第一,刑法中的個人信息未必與行政法、民法中的個人信息采同樣的概念,其認定標準可以更為嚴格。特別是目前我國還未出台專門的個人信息保護法,個人信息的標準體系尚未形成,基於刑法的嚴厲性、謙抑性,對於個人信息的範疇做限定理解不無道理。第二,行為人侵犯的多數公民個人信息通常也是按照「個人」的數量來統計信息的數量,比如前述車主、業主信息等。采這一標準更契合該罪的實際情況,也有利於個人信息的認定。因此,在現階段將以公民個人相關的一組信息認定為一條個人信息仍具有現實的合理性。即「五十條以上」「五百條以上」「五千條以上」可理解為「五十組以上」「五百組以上」「五千組以上」。當然,如果隨著我國個人信息保護立法和個人信息認定標準的完善,可以採取更為嚴格的個人信息認定標準。
此外,侵犯公民個人信息罪定量標準的一個特點就是侵犯個人信息的數量標準與違法所得的數額標準並存,在司法適用過程中應注意二者的銜接。以往犯罪涉及定量標準的往往是侵犯公私財產的犯罪,具體涉案財產的數額成為唯一的定量標準,結合其他的非定量標準決定該罪法定刑的適用。比如,《刑法修正案(九)》對貪污罪的刑罰條款採取了與盜竊罪同樣的模式,即都採取了「數額或情節」的模式來作為不同法定刑檔次的適用標準,尤其是在自由刑配置上,都規定了「三年以下有期徒刑或者拘役」「三年以上十年以下有期徒刑」「十年以上有期徒刑或者無期徒刑」三個區間。與之不同的是,侵犯公民個人信息罪則是同時涉及數量標準與數額標準。
然而,現有的數量標準與數額標準規定卻是自成體系的。《侵犯個人信息犯罪司法解釋》第5條第一款第(三)項至第(五)項分別規定了「五十條以上」「五百條以上」「五千條以上」的數量標準,第(六)項規定了「數量未達到第二項至第五項規定標準,但是按相應比例合計達到有關數量標準」的構罪情節;而第5條第一款第(七)項則規定「違法所得五千元以上」作為構罪情節,兩種定量標準之間並無換算或合計的規則,在具體犯罪認定時可能存在疑問。比如,行為人侵犯了四千條應適用「五千條以上」標準的個人信息,同時非法獲利四千元,亦未達到「違法所得五千元以上」的標準,如何換算,能否累加?是否能認定其構成侵犯公民個人信息罪?
對此,我們認為,從《侵犯個人信息犯罪司法解釋》的精神理解,這一情形不應作為犯罪處理。一是「數量未達到第三項至第五項規定標準,但是按相應比例合計達到有關數量標準」的條款規定於第(七)項規定「違法所得五千元以上」條款之前。二是該款第(八)項規定「在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人,數量或者數額達到第三項至第七項規定標準一半以上」作為構罪標準。綜合以上條款,應認為該司法解釋有意未將數量標準與數額標準混用,結合此精神應認為前述侵犯了4千條個人信息、非法獲利4千元的行為不構成侵犯公民個人信息罪。這也可以從「一事不再罰」的原理予以考察,無論是侵犯4千條個人信息,還是非法獲利4千元均是其侵犯個人信息行為導致的結果,無論是數量標準還是數額標準的考察,均已經完成了刑法對其行為的評價,因此不應再重複評價。
四、結語
隨著信息網絡技術的發展,特別是大數據的發展,個人信息的性質與意義均發生了巨大變化,其以識別性聯繫到個人,以法益關聯性聯繫到人身與財產,具有以前任何時代所不能具備的價值。侵犯個人信息犯罪由此也愈演愈烈,無論是出於經濟目的還是其他非法目的,非法獲取、非法提供和非法利用個人信息的行為層出不窮,危害巨大。但同時,對於該類犯罪的打擊又必須考慮社會發展對於信息數據的基本需要,實現信息保護與信息利用的平衡,從而使這一任務更加艱巨。實現對該類犯罪的全面打擊僅有刑事立法的更新是遠遠不夠的,更需要刑事司法的有效適用。侵犯公民個人信息罪的「情節犯」模式固然為立法的穩定性提供了一定的支持,但同時也將情節要素與個人信息數量認定的重要問題交由刑事司法解決。現有司法解釋雖然圍繞這一問題進行了深人的探索,但是仍需進一步釋明。從長遠來看,基於體系化、層次化的要素體系構建,不斷完善和優化個人信息的司法認定標準仍然需要司法實踐的不斷探索。
來源:刑事實務