中英個人信息犯罪比較研究*

陳夢尋

(中國人民大學 法學院，北京 100872)

個人信息犯罪是一種犯罪類型，有狹義與廣義之分。狹義上，個人信息犯罪是指以個人信息為行為對象的犯罪。買賣個人信息，非法獲取、保留、披露、提供、使用個人信息，重新識別去標識化的個人信息等都屬于狹義的個人信息犯罪。廣義上，個人信息犯罪還包括其他破壞個人信息保護制度的犯罪。妨礙數(shù)據(jù)保護監(jiān)管機關(guān)執(zhí)法，未按規(guī)定處理敏感個人信息，未采取必要措施保證個人信息安全等都屬于廣義的個人信息犯罪。個人信息犯罪是典型的法定犯，其與前置法上的個人信息保護規(guī)定緊密相關(guān)，是個人信息保護法律制度的重要部分與最后防線。目前，我國《刑法》只規(guī)定了侵犯公民個人信息罪，用以懲治嚴重的非法獲取、提供與買賣個人信息的行為。如何看待我國的個人信息犯罪規(guī)定？未來個人信息犯罪將如何發(fā)展？本文試通過比較中英兩國的個人信息犯罪，獲取有益啟示。

比較法的價值在于拓展認識與促進反思?！笆澜缟戏N種法律體系能夠提供更多的、在它們分別發(fā)展中形成的豐富多彩的解決辦法，不是那種局處本國法律體系的界限之內(nèi)即使是最富有想象力的法學家在他們短促的一生中能夠想到的?！盵1]比較法要求平等看待他國法律，甚至要陌生化處理本土法律，祛除傲慢與偏見，以深度反思本土法律，形成新的法律共識[2]。通過比較，能了解他國應(yīng)對個人信息犯罪的不同策略，反思我國個人信息犯罪立法的不足，窺察未來個人信息犯罪的發(fā)展方向。相比其他國家，英國的個人信息犯罪更具研究價值。為保證脫歐前符合歐盟法律的要求，脫歐后個人信息保護仍有法可依，英國的立法既保持了一定的獨立性，又體現(xiàn)了一定的融合性。因此，英國的《2018數(shù)據(jù)保護法案》既反映了歐盟《通用數(shù)據(jù)保護條例》的新要求，又承繼了英國的數(shù)據(jù)保護傳統(tǒng)。就其刑事犯罪規(guī)定而言，《2018數(shù)據(jù)保護法案》既體現(xiàn)了個人信息保護領(lǐng)域的最新進展，又延續(xù)了《1998數(shù)據(jù)保護法案》中的詳細犯罪規(guī)定。

一、中英個人信息犯罪的立法概況

(一)英國的個人信息犯罪立法

迄今為止，英國一共經(jīng)歷了三代數(shù)據(jù)保護法案，三代法案的出臺都受到了歐盟法律的直接推動。第一代法案《1984數(shù)據(jù)保護法案》受1981年《個人資料自動化處理之個人保護公約》的影響，于1984年7月通過，共計43條、4個附件。第二代法案《1998數(shù)據(jù)保護法案》受1995年《數(shù)據(jù)保護指令》的影響，于1998年7月通過，共計75條、16個附件。第三代法案《2018數(shù)據(jù)保護法案》受2016年《通用數(shù)據(jù)保護條例》和英國脫歐的雙重影響，于2018年5月通過，共計215條、20個附件?？紤]到《1984數(shù)據(jù)保護法案》年代久遠，不切合當代實際，以下重點考察第二代、第三代法案。

與中國不同，英國的個人信息犯罪直接規(guī)定在數(shù)據(jù)保護法案中?！?998數(shù)據(jù)保護法案》共規(guī)定了12個罪名(見表1),《2018數(shù)據(jù)保護法案》共規(guī)定了13個罪名(見表2)。新通過的《2018數(shù)據(jù)保護法案》在《1998數(shù)據(jù)保護法案》的基礎(chǔ)上既有廢除，又有延續(xù)和發(fā)展。首先，新法案廢除了與數(shù)據(jù)處理登記有關(guān)的犯罪。雖然《通用數(shù)據(jù)保護條例》在歐盟范圍內(nèi)取消了數(shù)據(jù)保護登記制度，但英國仍然保留了數(shù)據(jù)控制者向ICO登記的義務(wù)，數(shù)據(jù)控制者需要向ICO提供名稱、地址、員工數(shù)目、營業(yè)額等信息以確定其應(yīng)當繳納的注冊費用[注]參見The Data Protection (Charges and Information) Regulations 2018。。未遵照登記事項不再構(gòu)成刑事犯罪。其次，新法案延續(xù)了《1998數(shù)據(jù)保護法案》中的很多規(guī)定，非法獲取、披露個人數(shù)據(jù)，出售或要約出售個人數(shù)據(jù)，妨礙或不協(xié)助執(zhí)法，虛假陳述，信息專員披露個人數(shù)據(jù)以及要求數(shù)據(jù)主體提供相關(guān)記錄以應(yīng)聘或獲取服務(wù)等在新法案中仍是犯罪。最后，新法案設(shè)立了3個新罪名。新法案第171條規(guī)定，未經(jīng)數(shù)據(jù)控制者同意，明知或輕率地重新識別去標識化的信息，構(gòu)成犯罪；明知或輕率地處理前述被重新識別的個人數(shù)據(jù)，也構(gòu)成犯罪。第173條規(guī)定，數(shù)據(jù)控制者及其員工為了避免向提供請求的有權(quán)主體披露信息，實施更改、污損、封鎖、刪除、毀壞或者隱瞞信息的行為，構(gòu)成犯罪。

表1 《1998數(shù)據(jù)保護法案》罪名列表

表2 《2018數(shù)據(jù)保護法案》罪名列表

(二)我國的個人信息犯罪立法

2009年《刑法修正案(七)》新增第253條之一，設(shè)立了“出售、非法提供公民個人信息罪”與“非法獲取公民個人信息罪”。前者是指，“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重”；后者是指，一般主體“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重”。然而，隨著信息科技的發(fā)展，侵犯個人信息的違法犯罪行為愈發(fā)多見，非法買賣個人信息的行為日益泛濫，“出售、非法提供公民個人信息罪”的犯罪主體范圍過窄，難以應(yīng)對現(xiàn)實形勢。為了遏制犯罪，2015年《刑法修正案(九)》修訂了第253條之一，取消了對犯罪主體身份的要求，擴大了本罪的規(guī)制范圍，并變更罪名為“侵犯公民個人信息罪”。違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息、竊取或者以其他方法非法獲取公民個人信息，情節(jié)嚴重的，成立本罪。

2017年，最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)，進一步明確了“公民個人信息”的定義，同時指出“向特定人提供公民個人信息”，“通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息”以及“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的”，都屬于侵犯公民個人信息罪規(guī)定的“提供”，而違反國家規(guī)定，購買、收受、交換或在履職過程中收集公民個人信息的，屬于侵犯公民個人信息罪規(guī)定的“以其他方法非法獲取”。從罪名內(nèi)容來看，我國的個人信息犯罪僅限于以公民個人信息為對象的犯罪，也即狹義的個人信息犯罪，英國的個人信息犯罪除了狹義的個人犯罪之外，還設(shè)立了很多維護個人信息保護制度以及維護數(shù)據(jù)主體利益的罪名，前者如“妨礙檢查或者不協(xié)助檢查罪”，后者如“禁止提供相關(guān)記錄罪”。妨礙或者不協(xié)助執(zhí)行公務(wù)類的罪名意在保障有關(guān)機構(gòu)的執(zhí)行權(quán)，是為個人信息保護制度的有序運行提供保障，而“禁止提供相關(guān)記錄”則是為了保障數(shù)據(jù)主體的切身利益，禁止用人單位、雇主在招聘、續(xù)約的過程中要求雇員提供相關(guān)信息，或者禁止商家在向公眾提供商品或服務(wù)的過程中要求消費者提供相關(guān)個人信息，以防止個人信息的過度披露。

二、中英個人信息犯罪的立法模式

(一)英國的罪群立法

英國的個人信息犯罪罪名雖多，但并不散亂，其圍繞著不同的權(quán)利、義務(wù)呈現(xiàn)出罪群的分布模式?！?018數(shù)據(jù)保護法案》大致包含4個罪群：(1)妨礙執(zhí)法——不協(xié)助調(diào)查或虛假陳述，可能構(gòu)成“妨礙檢查或者不協(xié)助檢查罪”“對信息專員的通知作虛假陳述罪”“毀損或者篡改信息和文件罪”“妨礙或者不協(xié)助執(zhí)行搜查令罪”或“對搜查令執(zhí)行者作虛假陳述罪”；(2)非法獲取、披露個人數(shù)據(jù)——非法獲取、披露與出售個人數(shù)據(jù)，可能構(gòu)成“非法獲取或披露個人數(shù)據(jù)罪”“出售個人數(shù)據(jù)罪”“要約出售個人數(shù)據(jù)罪”與“信息專員披露個人數(shù)據(jù)罪”；(3)侵犯訪問權(quán)——不履行披露義務(wù)或者利用數(shù)據(jù)主體的訪問權(quán)，可能構(gòu)成“為防止向數(shù)據(jù)主體披露而更改個人數(shù)據(jù)罪”與“禁止提供相關(guān)記錄罪”；(4)重新識別去標識化的個人數(shù)據(jù)——將已經(jīng)去標識化的個人數(shù)據(jù)重新識別可能構(gòu)成“重新識別去標識化的個人數(shù)據(jù)罪”，明知或輕率地處理上述信息可能構(gòu)成“處理重新識別的個人數(shù)據(jù)罪”。英國的數(shù)據(jù)保護法案規(guī)定得非常詳細，一般規(guī)定、犯罪規(guī)定、辯護事由、適用范圍與術(shù)語解釋也被置于相同或鄰近的法條之中。這種立法便于理解和適用法律，有利于實現(xiàn)法律的精準評價，但過于追求精確性的同時也容易導致立法資源的浪費，在《1998數(shù)據(jù)保護法案》實施的二十年間，“實行待評估的數(shù)據(jù)處理罪”與“強迫數(shù)據(jù)主體查詢罪”幾乎從未被適用[3]。

(二)我國的單一罪名立法

我國只有刑法典可以設(shè)立犯罪，個人信息犯罪采用的是單一罪名模式。刑法典以侵犯公民個人信息罪統(tǒng)攝出售、提供與非法獲取個人信息的行為。單一罪名模式雖然節(jié)約了立法資源，卻“不得不有計劃地使用各類高度抽象的概念或者簡略的術(shù)語，希冀以相關(guān)規(guī)范語詞內(nèi)涵的收縮為代價換取其外延最大限度地擴充，這將不可避免地導致概念用語的模糊性和不可理解性”[4]，增加條文適用的難度。這種困境在某種程度上因非刑事法律與刑事法律之間的分離而加劇。附屬刑法只能象征性地規(guī)定“構(gòu)成犯罪的，依法追究刑事責任”，具體的罪與刑必須規(guī)定在刑法典之中，附屬刑法本具有的創(chuàng)制、修改與補充功能得不到發(fā)揮，導致刑法與其他部門法之間無法實現(xiàn)良性互動[5]。

三、中英個人信息犯罪的定罪模式

我國《刑法》規(guī)定“情節(jié)顯著輕微危害不大的，不認為是犯罪”，構(gòu)成要件既包含定性要素，亦包含定量要素，形成了“立法定性+立法定量”的一元定罪模式。而在英國等西方國家，構(gòu)成要件僅含有定性規(guī)定，定量因素由司法權(quán)衡，形成了“立法定性+司法定量”的二元定罪模式[6]。這種差異同樣體現(xiàn)在個人信息犯罪中。

(一)英國的“立法定性+司法定量”模式

英國刑事訴訟制度與我國不同，非警察機構(gòu)也可以提起訴訟[7]，涉及個人數(shù)據(jù)保護的刑事案件，除檢察官外，ICO也有權(quán)起訴[注]參見Data Protection Act 1998 S.60(1)。。ICO行使起訴權(quán)需要遵循《英國刑事案件起訴規(guī)則》(以下簡稱《規(guī)則》)和《ICO起訴政策聲明》(以下簡稱《聲明》)。根據(jù)《規(guī)則》，ICO決定是否起訴時，需要進行兩項測試：(1)證據(jù)測試。起訴需要確認有充足的定罪證據(jù)，既要檢驗證據(jù)的可采性、可靠性和可信性，也要評估是否具有定罪的現(xiàn)實可能性，為此起訴方不僅需要考慮嫌疑人提出的任何信息(包括辯護事由在內(nèi))所可能帶來的影響，也要考慮公正的陪審團或者法官根據(jù)法律是否更傾向于定罪。如果案件未通過證據(jù)測試，不論案件多么嚴重、敏感，都將終結(jié)刑事訴訟程序。(2)公共利益測試。起訴方要逐一考察犯罪的嚴重性、嫌疑人的可譴責性、受害者的境地等7項因素，經(jīng)過權(quán)衡決定是否起訴[8]?！堵暶鳌愤€要求考慮以下兩項因素：一是采取替代處置措施是否合適，例如給予警告(caution)；二是是否符合ICO的五項管理原則，即透明性原則、責任性原則、比例性原則、一致性原則以及必要性原則[9-10]。

警告是個人數(shù)據(jù)犯罪案件分流的重要措施。適用警告必須滿足四項條件：(1)證據(jù)充足且有定罪的現(xiàn)實可能性；(2)被指控人承認犯罪；(3)被指控人同意接受警告處置；(4)適用警告符合公共利益?！堵暶鳌吩敿毩信e了適用警告的影響因素：犯罪性質(zhì)不嚴重、沒有特別加重因素、初犯、協(xié)助調(diào)查或者行為與決定之間存在不合理延誤，可適用警告；被指控人以牟利為目的、利用職務(wù)之便、以系統(tǒng)的方法獲取或者試圖獲取個人數(shù)據(jù)、多人申訴、曾因類似犯罪被定罪或警告、違反承諾、無視先前的守法提示或者有再犯可能性的，可提起訴訟[注]參見ICO Prosecution Policy Statement, para.13-16, pp.3-4。。總的來看，信息專員也是從行為和行為人兩個角度，考察犯罪程度的輕重、人身危險性的大小以及再犯可能性的強弱，綜合決定是提起訴訟還是適用警告。

(二)我國的“立法定性+立法定量”模式

我國《刑法》規(guī)定，侵犯公民個人信息達到“情節(jié)嚴重”才構(gòu)成犯罪。何為“情節(jié)嚴重”曾引起熱議[11]，直到2017年《解釋》出臺才有所平息?！督忉尅返?條從信息用途、信息數(shù)量、違法所得、行為次數(shù)四個方面確定“情節(jié)嚴重”的度：(1)信息用途。信息被用于犯罪，知道或者應(yīng)當知道他人利用個人信息實施犯罪，應(yīng)當追訴。(2)信息數(shù)量。個人信息內(nèi)容千差萬別，《解釋》初步構(gòu)建了個人信息分級分類保護的機制。不同種類的個人信息構(gòu)罪數(shù)量不同，還可按比例合計。(3)違法所得?！督忉尅芬?guī)定違法所得5 000元以上的即為“情節(jié)嚴重”。(4)多次實施侵犯公民個人信息的行為。曾因侵犯公民個人信息受到刑事處罰或者二年內(nèi)受過行政處罰，又實施非法獲取、出售或者提供公民個人信息的，表明行為人的人身危險性較大，不考慮信息數(shù)量也可認定為“情節(jié)嚴重”。

對比《聲明》和《解釋》可知，中英兩國在決定是否追訴時有著相似的考慮，例如，行為人是否以牟利為目的、是否利用了職務(wù)之便、是否曾經(jīng)因?qū)嵤╊愃菩袨槎艿椒勺肪?。當然二者也存在不同之處，《聲明》?6段規(guī)定，當行為人采用系統(tǒng)方法獲取或者試圖獲取個人數(shù)據(jù)時，應(yīng)傾向于起訴，這一點在我國的《解釋》中沒有明確。采用系統(tǒng)方法意味著行為人有組織、有預謀地實施犯罪，采用技術(shù)性的手段大批量地獲取個人信息，影響范圍廣，社會危害性大。個人信息的非法獲取與流通早已成為我國網(wǎng)絡(luò)黑產(chǎn)鏈條的重要環(huán)節(jié)，受經(jīng)濟利益驅(qū)使，黑客加入其中，侵入有價值的網(wǎng)絡(luò)站點，盜走用戶數(shù)據(jù)庫，利用各種技術(shù)破解相關(guān)用戶數(shù)據(jù)，將各種數(shù)據(jù)整合成包含多種個人信息的“社工庫”，最后通過黑市將其變現(xiàn)[12]。因此，采用系統(tǒng)方法，例如，利用黑客編寫的軟件竊取個人信息，參與非法購銷個人信息網(wǎng)絡(luò)的情形，應(yīng)當作為《解釋》第5條第10項規(guī)定的“其他情節(jié)嚴重的情形”。

四、中英個人信息犯罪的犯罪構(gòu)成

犯罪構(gòu)成的比較僅在兩國規(guī)定重合范圍內(nèi)可行，妨礙執(zhí)法犯罪在我國依照擾亂公共秩序罪或妨害司法罪規(guī)制即可，侵犯訪問權(quán)與重新識別去標識化的個人數(shù)據(jù)犯罪在我國刑法上尚未規(guī)定，因此本部分僅涉及英國非法獲取、披露個人數(shù)據(jù)類犯罪與我國侵犯公民個人信息罪的比較。

(一)個人信息

就個人信息的定義而言，兩國的規(guī)定高度相似。英國《2018數(shù)據(jù)保護法案》第3條規(guī)定：“個人數(shù)據(jù)”是指與一個已識別或可識別的在世個人相聯(lián)系的任何信息，“可識別的在世個人”是指，能被直接或者間接地識別的在世的個人，尤其是參照了諸如姓名、身份證號碼、位置數(shù)據(jù)的識別符或者網(wǎng)絡(luò)標識，或是參照了與個人生理、心理、基因、精神、經(jīng)濟、文化或者社會特性相關(guān)的因素。我國《解釋》第1條規(guī)定：“公民個人信息”是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。二者雖然具體表述不同，卻都以識別性為核心屬性，承認直接識別與間接識別；都有記錄性的要求，數(shù)據(jù)本身即有記錄之義，與“以電子或者其他方式記錄的”的含義是一致的；都將識別對象限于自然人[13]。至于我國定義突出強調(diào)的“反應(yīng)特定自然人活動情況”，不是與英國個人數(shù)據(jù)定義的根本差異，而是我國打擊個人信息犯罪的現(xiàn)實之需，無論是身份還是活動情況都為識別的應(yīng)有之義。

就個人數(shù)據(jù)的判斷而言，英國法官在“相聯(lián)系”的理解上存有分歧。在Durant v Financial Services Authority案中，奧爾德法官認為，僅在文件中提到數(shù)據(jù)主體，不足以認為其構(gòu)成個人數(shù)據(jù)，關(guān)鍵看信息與主體之間是否具有持續(xù)的相關(guān)性與接近性。就此需要考慮兩點：第一，信息是否具有重要的傳記性(biographical)，即信息是否超出了對推定數(shù)據(jù)主體參與的無個人涵義的事件或是未影響個人隱私的生命事件的簡單記錄；第二，信息是否具有聚焦性(focus)，信息應(yīng)當聚焦于推定的數(shù)據(jù)主體，而不是關(guān)于其他人或者其感興趣的其他事務(wù)[注]參見〔2003〕 EWCA Civ 1746, para 28。。奧爾德法官的限制論引發(fā)了巨大爭議，第29工作小組為澄清個人信息的含義發(fā)布了專門的意見書。意見書稱，當信息是“關(guān)于”這個人時，即可以被認為是與一個人相“聯(lián)系”的[注]參見Opinion 4/2007 on the concept of personal data (WP136)，p.9。。而在Durant案件之后，一部分英國法官接受了奧爾德法官的限制論，另外一部分法官則采取了更加廣泛的理解，在R v Rooney案中，法官甚至考慮了與案件相關(guān)的事實與情境(即個人之間特殊的關(guān)系)，以確定相關(guān)信息可以識別出數(shù)據(jù)主體[14]。英國有學者指出，盡管個人數(shù)據(jù)邊界的劃定十分復雜，個人數(shù)據(jù)仍是十分廣泛的，一旦滿足了識別的要求，事實上一切都有可能與個人相關(guān)而落入個人數(shù)據(jù)的范疇之內(nèi)[15]25。

我國雖未專門就“聯(lián)系”要素作出規(guī)定，但“識別”與“反映”的措辭在某種程度上也是對信息與主體之間關(guān)系的一種要求。法律的解釋會受到政策影響，但應(yīng)盡量保持法律適用的一致性，同樣是“聯(lián)系”的要素，英國的不同法院卻采取了完全不同的立場，不免導致民眾無法根據(jù)法律規(guī)定預測自己的行為后果，有損法的正義性。這啟示我們，在理解確定個人信息的邊界之時，要確立一定的原則，防止對個人信息進行不當?shù)南蘅s解釋或擴大解釋。然而不可否認的是，在個人信息的認定上，英國的探索更加深入，除了在司法實踐中法官闡明了不同立場，ICO還發(fā)布了指南《確定何為個人信息》，將個人數(shù)據(jù)的認定劃分為8個步驟，為個人數(shù)據(jù)的判斷提供具體指導[16]。我國關(guān)于個人信息邊界的研究才剛剛起步，還需基于我國的具體情況，借鑒英國的有益經(jīng)驗，對個人信息要素進行分解細化，同時避免出現(xiàn)英國司法實踐中法律適用不一致的問題。

(二)犯罪主體

犯罪主體影響犯罪的社會危害程度。具有特殊資格或身份的主體實施犯罪，所獲刑罰可能高于同等情況下的一般主體。我國侵犯公民個人信息罪的犯罪主體是一般主體，但對特殊主體從重處罰。行為人對利用職務(wù)便利、工作便利獲取的信息負有一定的保密義務(wù)，行為人違反義務(wù)將個人信息出售或者提供給他人，較之一般主體不法含量更高，為實現(xiàn)罪刑適應(yīng)，應(yīng)當從重處罰。英國非法獲取或者披露個人數(shù)據(jù)罪、出售個人數(shù)據(jù)罪、要約出售個人數(shù)據(jù)罪均未就行為主體的量刑身份作出規(guī)定，“信息專員披露個人數(shù)據(jù)罪”也不是為了對信息專員從重處罰，相反，通過限定個人數(shù)據(jù)的范圍與規(guī)定辯護事由限縮了構(gòu)罪范圍。

兩國都規(guī)定了個人信息單位犯罪。我國《刑法》第253條之一第4款規(guī)定，單位犯前三款罪的，對單位判處罰金，對相關(guān)責任人員依各該款定罪處罰。英國《2018數(shù)據(jù)保護法案》第198條規(guī)定，如果該法案下之罪行由法人團體實施，如果證明犯罪是在董事、經(jīng)理、秘書或相關(guān)責任人員的同意、默許之下實施的，或者可歸因于以上人員的疏忽，那么以上人員與法人團體均構(gòu)成相關(guān)犯罪，依法對其提起訴訟并判處刑罰。法人犯罪雖然依附于自然人的行為，但是將單位作為犯罪主體處罰能夠達到刑罰的預防目的，促使法人在決策之前權(quán)衡利弊，放棄實施犯罪行為。

(三)行為方式

《2018數(shù)據(jù)保護法案》第170條第1款、第4款規(guī)定，未經(jīng)數(shù)據(jù)控制者同意，明知或輕率地獲取、披露個人數(shù)據(jù)或者未經(jīng)數(shù)據(jù)控制者同意，繼續(xù)保留之前取得的個人數(shù)據(jù)，構(gòu)成犯罪。第4款規(guī)定，將違反第1款規(guī)定所獲之個人數(shù)據(jù)出售者，構(gòu)成犯罪。第5款規(guī)定，要約出售違反第1款規(guī)定所獲之個人數(shù)據(jù)，或者要約出售個人數(shù)據(jù)并隨后違反第1款規(guī)定獲取個人數(shù)據(jù)，構(gòu)成犯罪。該條文一共規(guī)定了5種行為方式，即非法獲取、非法披露、出售、要約出售或繼續(xù)保留個人數(shù)據(jù)。我國《刑法》第253條之一第1款規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，構(gòu)成犯罪；第3款規(guī)定，非法獲取公民個人信息，情節(jié)嚴重的，構(gòu)成犯罪。該條文一共規(guī)定了3種行為方式，即非法獲取、提供以及出售個人信息。提供，可以是對特定人提供，也可以是通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布個人信息，與非法披露意思相近。

兩國規(guī)定的區(qū)別主要在于要約出售個人數(shù)據(jù)、繼續(xù)保留個人數(shù)據(jù)是否構(gòu)成犯罪?！?018數(shù)據(jù)保護法案》第170條第6款規(guī)定，在廣告中表明出售或者可能出售個人數(shù)據(jù)就是一種要約。與廣告相關(guān)的要約和要約邀請之間的界限是純學術(shù)上的，在該款之下，只要廣告中含有出售個人數(shù)據(jù)可能性的任何表示，都將被視為一種要約[15]252。我國刑法中雖未將要約出售規(guī)定為實行行為，但要約出售可以構(gòu)成侵犯公民個人信息的預備犯。繼續(xù)保留個人信息是行為人合法取得了個人信息，但是未經(jīng)數(shù)據(jù)控制者同意繼續(xù)保留了個人信息，從文義的射程來看，“繼續(xù)保留”超出了“非法獲取”可能性含義范圍，難以解釋為“非法獲取”的行為，因此不符合侵犯公民個人信息罪的構(gòu)成要件。

(四)主觀過錯

侵犯公民個人信息罪的主觀心態(tài)僅限于故意，《2018數(shù)據(jù)保護法案》規(guī)定行為人實施非法獲取或披露個人數(shù)據(jù)行為時的主觀心態(tài)包括明知和輕率。在英國刑法中，明知是指意識到某種行為事實已經(jīng)存在或?qū)⒁l(fā)生，或者懷疑某種行為事實已經(jīng)存在或?qū)⒁l(fā)生但不采取確認措施，仍然實施行為；輕率是指意識到危險事實已經(jīng)存在或者將要發(fā)生而實施行為，或者意識到危害結(jié)果可能發(fā)生無正當理由冒險實施行為[17]。一般而言，有意識地冒險實施犯罪行為時，不會在乎危險是否會現(xiàn)實化，但是即便不希望危險發(fā)生，有意識地冒險行動就已經(jīng)構(gòu)成了輕率[18]。而在我國刑法中，直接故意是明知自己的行為必然會或可能會發(fā)生危害結(jié)果，而對危害結(jié)果的發(fā)生持希望態(tài)度。間接故意是指明知自己的行為可能會發(fā)生危害結(jié)果，而對危害結(jié)果的發(fā)生持放任態(tài)度，對結(jié)果是否發(fā)生滿不在乎，在這點上，間接故意與輕率存在重疊。當行為人認識到危害結(jié)果可能發(fā)生，但是不希望或者排斥、反對危害結(jié)果發(fā)生時，在我國刑法中屬于過于自信的過失，在英國法中仍然歸于輕率。比較而言，在規(guī)制非法獲取或披露個人信息的行為時，英國設(shè)置了更低的入罪門檻。

五、中英個人信息犯罪的刑事責任

就非法獲取、非法披露、出售個人信息犯罪而言，無論是從刑種上還是從刑度上，我國的刑事責任都明顯高于英國。英國此類犯罪的刑罰僅限于罰金。我國刑法則規(guī)定，情節(jié)嚴重的，處3年以下有期徒刑或者拘役、并處或者單處罰金；情節(jié)特別嚴重的，處3年以上7年以下有期徒刑，并處罰金。因此，觸犯本罪最高可判7年有期徒刑，并處罰金。

英國試圖為個人信息犯罪配置監(jiān)禁刑，但是經(jīng)過多次努力沒有成功?！?998數(shù)據(jù)保護法案》第60條規(guī)定，除“妨礙或不協(xié)助執(zhí)行搜查令罪”，凡本法之罪，可循簡易程序定罪,也可循公訴程序定罪，但僅能判處罰金，刑事法院沒有數(shù)額限制，治安法院不得超過5 000英鎊。2006年，信息專員向國會強烈建議增加監(jiān)禁刑，指出為了從根本上打擊個人數(shù)據(jù)的非法交易，必須增加監(jiān)禁刑適用的可能性，讓公眾慎重考慮自己行為的后果[19]。英國政府接受了信息專員提高刑罰的建議，在2008《刑事司法和移民法》第77條中賦予了英國大臣依法令對違反第55條的行為規(guī)定監(jiān)禁刑的權(quán)力。根據(jù)該規(guī)定，治安法院最高可以判處12個月監(jiān)禁，刑事法院最高可以判處2年監(jiān)禁，但是沒有進一步制定法令將該條付諸實施。

《1998數(shù)據(jù)保護法案》過于輕緩的刑罰，導致檢方依據(jù)其他能夠判處監(jiān)禁的條款起訴成為一種趨勢[20]。在R v Hardy一案中，警官Hardy因披露了全國警察電腦網(wǎng)中的個人信息，被以普通法上的濫用職權(quán)罪提起訴訟，法院判處28周監(jiān)禁暫緩兩年宣判并義務(wù)勞動300個小時，檢察官認為量刑畸輕遂提起上訴。上訴法院經(jīng)審理認為，應(yīng)當立即對行為人判處監(jiān)禁，為不正當目的進入全國警察電腦網(wǎng)獲取信息的行為包含了故意，應(yīng)當讓警察清楚如果實施類似犯罪將面臨嚴重后果，考慮到行為的嚴重性以及刑罰的威懾作用，對其判處18個月監(jiān)禁[注]參見〔2007〕 EWCA Crim 760。。相比之下，依照《1998數(shù)據(jù)保護法案》處理的案件明顯過于仁慈了，目前在ICO網(wǎng)站上公布的起訴案件中，被判處刑罰最高的是Minty，Leong and Craddock，三被告分別在不同時間受雇于一家租車公司，共謀將公司系統(tǒng)中的個人信息泄露給索賠管理公司用于人身損害索賠，并在兩年半的時間內(nèi)非法獲取了數(shù)以萬計的記錄，而法院最后判決Minty兩年內(nèi)繳納7 500英鎊罰金，判決Leong12個月有條件釋放，判決Craddock12個月有條件釋放[注]參見https://ico.org.uk/action-weve-taken/enforcement/minty-leong-and-craddock/2017/8/12。。兩種相距甚遠的刑罰后果，使得采取其他替代罪名規(guī)定起訴時更能打擊犯罪，實現(xiàn)刑罰目的?！?998數(shù)據(jù)保護法案》輕緩的刑罰最終引致其罪行規(guī)定虛置。而在新頒布的《2018數(shù)據(jù)保護法案》中，所有犯罪的刑罰仍僅限于罰金，并未配置任何監(jiān)禁刑，采用替代條款起訴嚴重的個人數(shù)據(jù)犯罪將仍是英國司法的必然選擇。

六、中英個人信息犯罪比較的啟示

通過比較中英兩國的個人信息犯罪，本文得出如下啟示。

科技進步對法律規(guī)制提出了新要求，這在個人信息領(lǐng)域表現(xiàn)得極為明顯。不到四十年間，英國的數(shù)據(jù)保護法案經(jīng)歷了三次更迭。這種速度是信息時代帶給法律的新挑戰(zhàn)，一旦技術(shù)實現(xiàn)了跨越，舊法律難以應(yīng)對新興犯罪，便對立法產(chǎn)生了需求。在這樣的背景之下，是否有必要恢復附屬刑法的實質(zhì)功能值得思考。當刑法法典化走到極致，雖極大降低了定罪量刑的隨意性，但也阻隔了刑事法與前置法的銜接互動。司法解釋雖然通過轉(zhuǎn)化部分前置法規(guī)定[注]例如《關(guān)于辦理侵犯公民個人信息刑事安全適用法律若干問題的解釋》第3條規(guī)定：未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于《刑法》第253條之一規(guī)定的“提供公民個人信息”，但是經(jīng)過處理無法識別特定個人且不能復原的除外。這直接來源于《網(wǎng)絡(luò)安全法》第42條：“未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外。”，在一些問題上實現(xiàn)了刑事法與非刑事法的銜接，部分填補附屬刑法形式化后的空缺，但是，司法解釋的作用始終是極其有限的。從功能上看，司法解釋只能起到補充解釋刑法的作用，附屬刑法的創(chuàng)制、修改功能仍無從發(fā)揮；司法解釋從范圍上看，它在解釋空白刑法規(guī)范時，只能將個別的前置法規(guī)定引入刑法條文中，填補構(gòu)成要件的空缺，采用的是點對點的對接模式，與此不同，實質(zhì)化的附屬刑法規(guī)范直接規(guī)定在前置法中，與前置法中的一般規(guī)定共用語詞、語境，采用的是一種點對面的融合模式。個人信息犯罪只是一個代表，反映了信息時代對法律更新速度的要求。為了保證刑法典的穩(wěn)定性，防止頻繁的法律變更損害刑法的權(quán)威，同時為了加強刑法與前置法的銜接互動，便利罪刑規(guī)定的理解與適用，或許附屬刑法實質(zhì)化才是有效的應(yīng)對之道。

具體到個人信息犯罪中，侵犯訪問權(quán)的犯罪與重新識別去標識化的個人數(shù)據(jù)的犯罪，顯示了未來個人信息犯罪的發(fā)展方向。訪問權(quán)(right of access)在歐盟已經(jīng)成為數(shù)據(jù)主體的個人信息權(quán)的重要子權(quán)利，與更正權(quán)、被遺忘權(quán)、可攜權(quán)、限制權(quán)并列?！?018數(shù)據(jù)保護法案》將對行使訪問權(quán)的數(shù)據(jù)主體不履行披露義務(wù)，與迫使數(shù)據(jù)主體行使訪問權(quán)的行為犯罪化，強化了對個人信息權(quán)的保護，同時也進一步肯認了個人信息權(quán)的法律地位。這種立法在某種程度上預示著，隨著個人信息權(quán)理論與實踐的發(fā)展，打擊個人信息犯罪保護的法益將日益細化，從個人信息權(quán)細化至個人信息權(quán)的子項權(quán)利細化。在此基礎(chǔ)上，個人信息犯罪體系將圍繞具體的權(quán)利、義務(wù)不斷拓展完善，我國個人信息犯罪也將循此路徑向前發(fā)展。重新識別去標識化的個人數(shù)據(jù)被犯罪化，是為了保障去標識化處理的有效性。去標識化是通過技術(shù)處理使在不借助額外信息的情況下，無法識別數(shù)據(jù)主體，意在提高數(shù)據(jù)處理的安全性，避免不必要的數(shù)據(jù)泄露。個人信息邊界具有流動性，若外界信息足夠充分，總能結(jié)合去標識化的信息完成識別。因此，相對于規(guī)制流動的個人信息而言，禁止非法的重新識別行為更加可行、有效。重新識別行為在某種意義上也是一種非法獲取行為，但是受文義限制，不能將“重新識別”解釋為“非法獲取”，若日后在我國有打擊重新識別行為的現(xiàn)實需要，可將第253條之一的第1款擴充為“重新識別去標識化信息、竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰”。