论侵犯公民个人信息罪的罪数形态认定

2018-12-14 16:52:00 来源：

李　鹏

司法实践中，侵犯公民个人信息犯罪范围较广，经常和其他犯罪产生了交集。由于公民个人信息的泄漏，常常导致大量诈骗、敲诈勒索、故意伤害等案件高发，这些案件时常交织在一起，给公民的人身和财产安全带来了极大的损害。因此探讨侵犯公民个人信息罪和其他相关罪名之间的关系，厘清一罪与数罪以及相关的法律适用争议，不仅贯彻了禁止重复评价原则（涵盖定罪上和量刑上的重复评价），而且能够对行为人准确定罪和量刑，保证司法适用的准确统一，具有重要的意义。

一、罪数及罪数形态概说

罪数即行为人所犯之罪的数量，即行为人实行的犯罪究竟是构成一罪还是数罪。它不仅关乎对行为人准确定罪和科学量刑，体现严禁重复评价的刑法准则，而且有益于刑事立法和司法的完善，有助于刑法理论的发展和进步。罪数形态是一罪与数罪中诸种复杂的犯罪形态的总称，罪数形态研究的主要任务在于根据行为人具体犯罪行为事实，确定其犯罪个数究竟为一罪还是数罪，揭示各种复杂的罪数形态的本质特征和构成要件，以阐明各种罪数形态的共性、界定相互区别的标准，并确立对各种罪数形态的处断原则。罪数形态的种类主要包括法条竞合犯、想象竞合犯、结果加重犯、继续犯、转化犯、结合犯、连续犯和牵连犯等。罪数形态的基本特征是犯罪构成的复数性和非典型性，法律后果不实行并罚。①

行为人施行的犯罪，如何在刑法上进行科学合理的评价，不仅关乎犯罪人本身，也关乎国家、社会和大众的利益，因此而确立科学规范的罪数判断标准显得尤其重要。罪数判断标准存在着一定的争议，概括来说，其标准主要有行为说、犯意说、法益说、构成要件说及犯罪构成说等理论观点。行为说主张，犯罪的本质是由人的行为来构成的，只有存在行为，才能构成犯罪；如果没有行为，那么犯罪无法成立。因此，应当以行为的数量为标准区分一罪与数罪，即实施一个行为的为一罪，实施数个行为的为数罪。②德国刑法学界即以行为说作为其通说标准。犯意说主要是由主观主义学派提出的，认为应当按照犯罪意思的数量，作为认定犯罪罪数的依据。如日本刑法学家木村龟二提出的：“犯罪的意思是由构成要件的行为来体现的，而作为违法、有责评价对象的行为又能综合地包括构成犯罪的所有要素。所以把犯罪意思的单复作为决定犯罪个数的标准是最为适当的。”③法益说提出，犯罪是应当得到刑罚处罚的不当行为，刑罚惩罚犯罪人的依据就是其损害了某种法益，犯罪行为是实现犯罪人主观意愿的一种方式，方式的单一还是复数不能作为罪数认定的依据，犯罪的本质就是法益受到了损害，应当按照法益受到侵害的数量来决定犯罪的数量。行为侵害一个法益的为一罪，行为侵害数个法益的为数罪。④

构成要件说将犯罪的行为、犯意、法益等多重因素一起进行了考量，提出犯罪的数量应当以构成要件的评判次数作为标准，如果按照一个构成要件做出一次评判的，则构成了一罪；如果按照多个构成要件做出多次评判时，那么构成了数罪。构成要件说是日本、我国台湾地区刑法理论的通说。我国刑法理论界通常持犯罪构成标准说，该学说提出犯罪的构成应当具备犯罪构成，因此符合一个犯罪构成的为一罪，具备二个以上犯罪构成的为数罪。⑤笔者也赞成犯罪构成标准说，该学说体现了主客观统一的原则，符合了罪刑法定的原则，揭示了罪数认定的实质标准。由于罪数认定的标准与犯罪成立的标准是一致的，而犯罪构成是行为事实能否成立犯罪的唯一根据，因此，犯罪构成标准作为犯罪成立的唯一标准，其同样也是计算犯罪个数的唯一标准。⑥罪数问题构建起了犯罪论和刑罚论之间的连接点，既包括了犯罪论里的犯罪个数的认定也包含了刑罚论里的处罚结果。

二、侵犯公民个人信息罪中的法条竞合犯

（一）法条竞合犯的概念及处断原则

法条竞合是指一个行为同时符合数个法条规定的犯罪构成，但从数个法条之间的逻辑关系看，只能适用其中一个法条，当然排除适用其他法条的情况。⑦法条竞合犯产生的主要原因是犯罪行为的复杂多样，刑法立法过程中难免对某一犯罪行为进行重复规定，造成法律条文之间存在包容或者交叉关系；而在刑法适用过程中对该行为的定罪量刑要贯彻禁止重复评价原则。因为在法条竞合的情况下，仅存在一个行为，虽然在表面上这一行为与数个法律条文相符合，但不能同时用数个罪名对这一个行为加以评价，否则就是重复评价。⑧法条竞合的具体特征包括：一是实行了一个行为；二是符合多个刑法条款规定的犯罪构成要件的特征；三是多个法条之间可以互相包容或者交叉；四是最后只能适用一个条文规定的犯罪构成要件，不采纳其他刑法条款。法条竞合的认定核心在于行为符合的法律条款互相可以重合或者交叉。比如我国《刑法》第五章侵犯财产罪第266条规定了诈骗罪，而《刑法》第三章破坏社会主义市场经济秩序罪第192条到200条则另外规定了金融诈骗罪，包括集资诈骗罪、贷款诈骗罪、信用卡诈骗罪、有价证券诈骗罪等罪名。诈骗罪和金融诈骗罪显然在构成要件上具有重合性，不法行为在符合金融诈骗罪的构成要件时，一般也会符合诈骗罪的犯罪构成要件。法条竞合犯主要体现为普通法条和特别法条之间的关系。

法条竞合犯的处理原则为：一是当某一行为既契合不同法律之间的普通刑法设置的构成要件也契合特别刑法设置的构成要件时，则按照特别刑法优先普通刑法的精神进行认定；二是当某一行为既契合一部法律的普通条款设置的构成要件，也契合该部法律的特别条款设置的构成要件的，则按照特别法条优先于普通法条，法定刑重的条款优先于法定刑轻的条款进行认定。

（二）窃取、收买、非法提供他人信用卡信息中的个人信息的罪数形态认定

在司法实践中，行为人窃取、收买、非法提供他人信用卡信息是比较常见的犯罪情形。信用卡信息一般包含了发卡银行的编码、信用卡持有者的账户信息及密码等经过加密处理的电子类资料，其中信用卡持有者的账户信息及密码等属于公民个人信息的范畴。因此，行为人窃取、收买、非法提供公民信用卡信息中的个人信息，情节严重的行为，同时符合了窃取、收买、非法提供信用卡信息罪和侵犯公民个人信息罪的构成要件。本罪名的竞合是由于行为对象——即信用卡信息中个人信息的特殊性，形成了普通法条和特殊法条的关系。窃取、收买、非法提供信用卡信息罪和侵犯公民个人信息罪在构成要件上具备了包容和交叉的关系，因此构成了法条竞合犯。

由于窃取、收买、非法提供信用卡信息罪和侵犯公民个人信息罪同属于刑法典的规定，窃取、收买、非法提供信用卡信息罪属于特殊法条，侵犯公民个人信息罪属于一般法条；而且窃取、收买、非法提供信用卡信息罪的法定刑更重，数量巨大或者有其他严重情节的，处三年以上十年以下有期徒刑。因此，无论是适用特别法条优先于普通法条的原则，还是法定刑重的条款优先于法定刑轻的条款的原则，窃取、收买、非法提供他人信用卡信息资料中的个人信息都应当按照窃取、收买、非法提供信用卡信息罪进行定罪处罚。

三、侵犯公民个人信息罪中的想象竞合犯

（一）想象竞合犯的概念及处断原则

想象竞合犯是只实行了一个行为但同时符合了两个以上罪名的犯罪构成要件的一种犯罪形态。想象竞合犯具有两个特征：（1）只有一个行为。该行为在被评价前一般是指根据自然的和社会观念上的行为；在评价时，则是指构成要件上的行为，具有法律性。⑨（2）一行为同时触犯数罪名。即一行为在外观上或形式上同时符合数个犯罪的特征，在构成要件的评价中实质上符合数个构成要件，成立数个犯罪的情况。⑩从想象竞合犯的特征里可以看出，同一行为的判断需要同时考量自然重合和规范限定的双重标准。即一方面认为一个行为是指在社会观念上，行为作为事物的自然状态是一个；另一方面认为一个行为的意义，除了作自然的理解就够了的场合外，从与触犯两个以上罪名这一观念竞合的另一要件的关联来看，有的场合也需要某种程度的规范性理解。11

对于想象竞合犯的处理，刑法学界一般认为应当根据行为触犯数个罪名中的一个重罪进行定罪和处罚，不进行数罪并罚。想象竞合犯择一重罪处罚的出发点在于保护犯罪人的利益。由于行为人实行一个行为产生了多个侵害结果，符合了数个罪名的情形下，完全有依据实行数罪并罚；但想象竞合犯属于本质上的一罪、观念上的数罪，实际情况是行为人只实施了一个行为，作为数罪处罚有失妥当，依照罪责刑相适应原则对轻罪不作处理并无问题，体现了刑法的谦抑性原则。12

想象竞合犯和法条竞合犯的区分存在着一定的争议，一般认为两者存在着以下差别：一是想象竞合犯的行为一般侵犯的是多个法益，不同于法条竞合犯侵犯的是一个法益。从实质上来说，法条竞合时，只有一个法益侵害事实；想象竞合时，则有数个法益侵害事实。13二是想象竞合犯基于犯罪行为的实际来确定，行为构成了数个不同的法条，法条之间无法包容与交叉，而法条竞合犯不根据犯罪事实确定，认定核心在于行为符合的法律条款互相可以重合或者交叉。也有学者将两者的差别概括为：想象竞合是一种犯罪竞合，因而是一个事实问题，而法条竞合是一种法律竞合，因而是一个法律问题。确切地说，当一行为触犯的两个法条之间存在罪名之间的从属或者交叉的逻辑关系时，为法条竞合；如果不存在这种逻辑关系，则为想象竞合。14

（二）非法获取计算机信息系统的个人信息数据的罪数形态认定

以侵犯公民个人信息罪的对象而言，信息时代的公民个人信息常常以电子数据、硬盘等形式保存在计算机信息系统中。因此，司法实践中，行为人通过黑客手段入侵计算机信息系统获取公民个人信息屡见不鲜。比如山东考生徐玉玉个人信息被泄露案件中，犯罪嫌疑人杜某就是通过采取向网站植入木马的方式，非法侵入网上报名信息系统，获取了该网站的关联权限，窃取了徐玉玉和其他考生的个人信息60多万条，违法所得人民币5万多元。在该起案件中，行为人以获取公民个人信息为目的，违反国家规定，侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的个人信息数据，情节严重。15在自然状态下行为人只有一个侵入网上报名信息系统窃取公民个人信息的举动，而且该举动在承载非法获取计算机信息系统数据罪和侵犯公民个人信息罪的各自犯罪构成内涵方面都起到了主要作用。因此，符合想象竞合犯同一行为的自然重合和规范限制的双重标准，属于同一行为。

该同一行为不仅侵害了计算机信息系统数据的安全，而且对公民个人信息权也构成了严重侵害，同时存在着计算机信息系统数据安全和公民个人信息权的双重法益被侵害的情形。该行为同时符合非法获取计算机信息系统数据罪和侵犯公民个人信息罪的犯罪构成要件，只有同时考量这两个罪的犯罪构成才能完整评价该行为侵害的数个法益事实，而且非法获取计算机信息系统数据罪和侵犯公民个人信息罪不存在法条上的交叉或者包容关系。因此，该同一行为应当归类于想象竞合犯，按照“择一重罪处罚”的原则进行定罪和量刑。由于我国《刑法》285条第2款规定的非法获取计算机信息系统数据罪的法定刑为三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。16其法定刑和侵犯公民个人信息罪相同，因此，应当根据具体案件中行为人窃取公民个人信息的数量、具体情节、危害后果等实际情形综合进行考量，然后结合法定刑具体进行研判，选择量刑更重的罪名进行定罪和处罚。

四、侵犯公民个人信息罪中的牵连犯

（一）牵连犯的概念及处断原则

按照刑法的一般理论，牵连犯是指基于一个犯罪目的出发，实行了两个以上单独的犯罪行为，而且这几个犯罪行为互相存在着牵连关系。所谓牵连关系一般是指犯罪的方式行为或结果行为，与达到目的行为或动因行为分别违反了刑法的数个罪名。也就是说当犯罪行为可以区分为手段行为和目的行为的时候，如果手段行为和目的行为分别触犯了刑法规定的不同罪名则构成牵连犯；同理，如果犯罪行为能够划分为原因行为和结果行为，且原因行为和结果行为分别触犯了刑法规定的不同罪名，也成立牵连犯。17这也符合刑法的罪责刑相适应原则以及法律禁止重复评价一行为的要求。牵连犯的成立一般应具备以下几个条件：一是行为的复数性，即必须有数个犯罪行为的存在；二是行为的独立性，即构成牵连犯的数个行为必须是刑法分则上具备独立构成要件的犯罪行为；三是行为的异质性，构成牵连犯的方法行为或结果行为与目的行为必须触犯不同的罪名；四是行为的牵连性，即构成牵连犯的数个独立的不同罪名的犯罪行为之间必须具有牵连关系。18

牵连犯的本质属于实质上的数罪，处断上的一罪。依据我国主流学术观点，在刑法没有明文规定数罪并罚的情形下，对于牵连犯的处罚一般不进行数罪并罚，而是从一重处罚或从一重重处罚。从一重处罚即按照牵连犯数罪中的最重的一个罪名进行定罪和处罚；从一重重处罚即处罚时按照牵连犯数罪中的最重的一个罪名进行定罪，同时在其法定刑范围内酌情从重进行处罚。19牵连犯是否可以数罪并罚存在着一定的争议。从牵连犯的概念源头考查可以发现，牵连犯产生之日起即和从一重处罚紧密联系，费尔巴哈创立牵连犯这一概念就是为了限制数罪并罚的应用。因此，牵连犯和数罪并罚应当难以共存。认定为牵连犯则排除数罪并罚，实行数罪并罚，则不能认定为牵连犯。20牵连犯尽管实质上归类于数罪，却由于数个罪之间存在的牵连关系而减少了对法益侵害的程度，所以对牵连犯不实行数罪并罚有其科学依据。

（二）侵犯公民个人信息罪与构成牵连关系的诈骗等犯罪的罪数形态认定

在我国刑事司法实践中，如果邮政人员为了出售或者提供公民个人信息而私自开拆、隐匿、毁弃他人邮件、电报的，则私自开拆、隐匿、毁弃他人邮件、电报是为了出售或者提供公民个人信息的目的服务，出售或者提供公民个人信息是私自开拆、隐匿、毁弃他人邮件、电报的终极目标和根本动力。行为人私自开拆、隐匿、毁弃他人邮件、电报的行为和出售或者提供公民个人信息的行为构成了手段和目的的牵连关系，而且两个行为均独立成罪的，构成牵连犯。应当按照择一重罪从重进行处罚的原则，从私自开拆、隐匿、毁弃邮件、电报罪和侵犯公民个人信息罪两个罪名中选择一个重罪罪名然后从重进行处罚。由于私自开拆、隐匿、毁弃邮件、电报罪的法定最高刑为二年有期徒刑，侵犯公民个人信息罪的法定最高刑为七年有期徒刑，因此，对此行为应当以侵犯公民个人信息罪定罪，同时从重进行处罚。

刑法如果明文规定对牵连行为进行数罪并罚的，则依照数罪并罚执行。比如我国《刑法》第157条第2款规定了：以暴力、威胁方法抗拒缉私的，以走私罪和本法第277条规定的阻碍国家机关工作人员依法执行职务罪，依照数罪并罚的规定处罚。21即走私罪和妨害公务罪虽然构成了牵连关系，但仍然实行数罪并罚的处理。由于牵连犯概念的必然含义是没有刑法规定性和不数罪并罚性，所以刑法此处规定了数罪并罚，不应认定为牵连犯。

司法实践中，为了诈骗他人钱财而非法获取他人信息屡见不鲜。对行为人非法获取公民个人信息又使用该非法获取的个人信息实施诈骗等其他犯罪的罪数形态认定，应当进行具体分析。第一种情形是：如果行为人非法获取公民个人信息的行为不能够单独成立犯罪，比如只获取了一条公民个人信息，然后利用该信息实行诈骗，造成被害人财产损失巨大构成诈骗罪的。由于后一行为的诈骗罪已经对被害人财产损失这一案件事实进行了刑法评价，根据刑法禁止重复评价的原则，对前一个非法获取公民个人信息的行为不能重复评价被害人的财产损失。由于行为人非法获取公民个人信息的数量较少，且不能重复评价被害人财产损失，也没有其他入罪情节，不符合“情节严重”的入罪标准，因此不构成侵犯公民个人信息罪。由于牵连犯成立的基本条件是两个行为均独立构成犯罪，因此此种情形不构成牵连犯。在行为人的行为只构成诈骗罪的情形下，只能以诈骗罪追究其刑事责任，但其非法获取公民个人信息的行为可以作为量刑情节进行考虑，适当从重处罚。

第二种情形是：如果行为人非法获取公民个人信息的行为构成犯罪（比如非法获取公民个人信息的数量巨大），并使用该非法获取的个人信息实施诈骗犯罪，则行为人的两个行为均已经独立构成犯罪，分别触犯了侵犯公民个人信息罪和诈骗罪。诈骗行为是非法获取公民个人信息行为的终极目标和根本动力，非法获取公民个人信息的行为是为了诈骗这个目的服务，行为人的诈骗行为和非法获取公民个人信息的行为之间形成了方法行为与目的行为的牵连关系，而且触犯了不同的罪名。但由于《最高人民法院、最高人民检察院、公安部关于惩处公民个人信息犯罪的通知》中规定，犯罪嫌疑人非法获取个人信息构成犯罪，并使用该非法获取的个人信息实施其他犯罪行为，构成数罪的，应当依法予以并罚。22而且牵连犯概念的必然含义是没有刑法规定性和不数罪并罚性，因此，第二种情形下，笔者认为对行为人应当实行并罚。司法实践中也经常存在将手段行为和目的行为均构成犯罪，而且具有牵连关系的以数罪论处的情形。

① 刘宪权:《罪数形态理论正本清源》，载《法学研究》2009年第4期。

② 张明楷：《刑法学》，法律出版社2011年版，第411页。

③ 吴振兴：《罪数形态论》，中国检察出版社2006年版，第16页。

④ 郭莉：《罪数判断标准研究》，载《法律科学》2010年第5期。

⑤ 郭莉：《罪数判断标准研究》，载《法律科学》2010年第5期。

⑥ 刘宪权：《罪数形态理论正本清源》，载《法学研究》2009年第4期。

⑦ 张明楷：《刑法学》，法律出版社2011年版，第418页。

⑧ 刘宪权：《罪数形态理论正本清源》，载《法学研究》2009年第4期。

⑨ 田文峰：《想象竞合犯与法条竞合犯的理解和区别》，http://china.findlaw.cn/info/lunwen/xingfalw/371363.html，2016年5月2日访问。

⑩ 田文峰：《想象竞合犯与法条竞合犯的理解和区别》，http://china.findlaw.cn/info/lunwen/xingfalw/371363.html，2016年5月2日访问。

11 [日]大冢仁：《刑法概说（分论）》，冯军译，中国人民大学出版社2003年版，第421页。

12 陈烨：《食品安全犯罪的罪名认定问题研究》，载《北方法学》2016年第2期。