刑事推定在批量侵犯公民个人信息刑事案件中的司法运用_网络犯罪的司法面孔-QQ阅读男生历史网

书名：网络犯罪的司法面孔
作者名：刘仁文主编
本章字数：8874字
更新时间：2021-09-30 12:02:47

刑事推定在批量侵犯公民个人信息刑事案件中的司法运用

张铮

人文主义大师罗素认为，参差多态乃幸福之本源。用这种“参差多态”的幸福来形容大数据时代下的生活是再合适不过的。大数据时代给人们的生活带来的便捷多种多样，不一而足。但正如善与恶、光与影，像哲学意义上的一体两面一样，大数据给人们带来的威胁和挑战亦如影随形，山东徐玉玉案即是典型代表。归根结底，这种挑战源于大数据时代海量个人信息在公共领域的交互与传导以及不可避免地被非法泄露和利用。

从司法层面观之，近年来，侵犯公民个人信息刑事案件和随之而来的网络电信诈骗案件已呈多发之势。侵犯公民个人信息刑事案件及其下游犯罪案件也已逐渐成为刑事司法领域的一大热点和难点。最高人民法院在2018年的工作报告中将“出台办理侵犯公民个人信息案件司法解释，严惩泄露个人信息、非法买卖信息等犯罪行为，维护公民信息安全”列为2017年的工作重点。[1]

在公民个人信息的认定范围和批量公民个人信息相结合的案件中，何种信息可称为公民个人信息？批量公民个人信息真伪又如何鉴别？自2009年侵犯公民个人信息行为入罪以来，这些问题并没有得到妥善的解决。在法院判决中，只有极少数裁判者主动关注了这个棘手的问题。大多数法院面对辩护人或被告人的质疑，只能用司法解释或举证责任来搪塞，这说明了批量侵犯公民个人信息刑事案件存在明显的可检视空间。

一侵犯公民个人信息刑事案件裁判差异的实证考察 [2]

笔者在中国裁判文书网上，分别以侵犯公民个人信息罪、非法获取公民个人信息罪和出售、非法提供公民个人信息罪为组别，不设时间、地域和审级限制，在筛除指定管辖及减刑假释类刑事裁判文书的基础上，无差别地随机各选取200篇，共计400篇相关裁判文书为分析样本。

在400份刑事裁判文书中，两个组别均呈现批量侵犯公民个人信息案件为主的特点，具体见图1-1、图1-2。

图1-1 非法获取公民个人信息罪、出售、非法提供公民个人信息罪组别

图1-2 侵犯公民个人信息罪组别

通过分析图1-1、图1-2，不难看出，在两个组别中涉案信息达1万条到1000万条的案件所占百分比较大，其总和分别达到了各自组别的82.5%和79.0%。

以《办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号，下称《解释》）第5条第1款第（三）（四）（五）项为标准，学界将第（三）项的公民轨迹信息、通信内容、征信信息、财产信息称为个人敏感信息；[3]将第（四）项中的住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息，称为一般公民个人信息；而将除上述两种以外的信息归入其他公民个人信息。[4]依此种划分方式来分析，侵犯公民个人信息刑事案件还有如下特点：

（一）案件数量及比例存在差异

由图1-3所示，以涉案公民个人信息条数为标准，敏感信息案件在50条以下和50条到500条区间居多，占比分别为100%和69.5%；而一般公民信息和其他个人信息则是500条到5000条和5000条以上区间的主力部分，分别占比为93.7%和81.9%。这种分布情况与《解释》第5条第1款的分类存在相关性，也说明了《解释》的划分标准是比较合理的。且从案件绝对数量占全体选材的比例来看，一般及其他公民个人信息类案件所占比亦高达88.0%。

图1-3 以条数为标准的三类信息分布情况

图1-3反映的公民个人信息类型与案件分布情况，从侧面说明了敏感公民个人信息较之一般公民个人信息、其他公民个人信息，在获取难度上较大。敏感公民个人信息一般源于有权限进入公民个人信息库的国家工作人员，或代为履行公务人员的“监守自盗”。如赵某利用其在派出所做临时工的便利，秘密使用其他干警数字证书查询公安内网，获取公民个人信息，并在淘宝网上进行售卖的案件就是其中的典型代表。[5]

（二）在案证据存在差异

敏感公民个人信息案件与一般公民个人信息、其他公民个人信息案件在案件证据方面存在明显差异，主要表现在：

1.敏感公民个人信息一般可查证属实

敏感公民个人信息在获取渠道上相对单一，基本只能来源于被告人职权所形成的便利，这种区别在《刑法修正案（九）》未出台之前，侵犯公民个人信息罪还未吸收非法获取公民个人信息罪，出售、非法提供公民个人信息罪的时候，呈现得更为明显。[6]也正因为获得敏感公民个人信息的渠道单一，使得此类信息的真伪能够得到有效辨识。比如在公安工作人员利用全国公安信息系统侵犯公民个人信息案件中，很容易通过查询精确认定公民个人信息的真伪。

2.非敏感公民个人信息查证案例较少

在笔者选取的352件非敏感个人信息案件中，法院对于信息真伪、重复与否一般不主动查证，只以经过固定Hash值的电子证据勘验笔录来认定案件事实。在被告方提出存在虚假或重复信息时，法院一般会采取以下几种方式来回应。

表1-1 对于抗辩的否定性认定

表1-2 对于抗辩的肯定性认定

由表1-1和表1-2对比可知，法院认定批量公民个人信息真伪和是否重复时，采取不利于被告人的情况较多。但通过细致分析，可以发现，在做出不利于被告人抗辩的认定时，除（2014）奉刑初字第1802号案件是用司法鉴定意见来定案的外，其他认定方式更多地体现了法官自由心证的过程。但是，将自由心证应用在认定涉案公民个人信息真伪、重复与否方面是否合适，是一个值得商榷的问题。

（三）消极应对被告抗辩

在涉及批量公民个人信息的刑事案件中，法院面对被告方对信息真伪提出的质疑，多采取不予理睬的态度。有的判决对于此种抗辩，仅在判决主文中表述：“被告人（辩护人）的辩护意见于法无据，本院不予采纳。”[7]这也从侧面说明了法院在认定涉案公民个人信息是否重复、真实问题上办法不多。

有的审判者对于信息重复，或缺乏真实性的抗辩，适用《解释》第11条第3款予以应对。[8]他们认为既然被告方无法提出相反证据，则应该直接认定批量个人信息都是真实的；而被告方则认为应由“公诉人负主要举证责任，法院负补充举证责任，被告不承担举证责任”。[9]被告方往往认为法院直接认定信息为真与刑事证据规则相悖。有的案件在审理过程中，辩护律师提出自己可以拨打涉案电话号码，以此来排除虚假信息，但被法官以此举侵犯公民个人隐私为由制止。

（四）信息鉴定的客观困难

从理论上来说，批量公民个人信息是否真实，经电子数据司法鉴定即可，但现实情况并非如此简单。这种鉴定存在两方面的困难：

首先，批量侵犯公民个人信息案件中信息数量确实较为庞大。就笔者亲历的一个案件来说，诸被告中最多者非法获取、交换、出售公民个人信息达5亿多条，这给查证带来一定困难。[10]而在审判工作中，涉案几十万条、几百万条公民个人信息的案件亦不在少数。

其次，鉴定本身存在现实困难。上海市奉贤区人民法院（2014）奉刑初字第1802号案件中，出具鉴定意见的上海辰星司法电子数据鉴定中心的工作人员表示，进行公民个人信息鉴定的基础是由第三方提供相应的数据库。例如，如果涉案公民信息是用户在某电商平台的账号和密码，鉴定需要电商提供自己的数据库，但电商往往出于自身利益的考虑，对可能存在的民事责任，甚至刑事责任有所顾虑而不愿提供。[11]这也是公民个人信息司法鉴定方面的症结所在。

二刑事推定的应用和理论误区

（一）刑事推定的基本概念

推定（Presumption）是一种源于英美法系国家的法律术语，在大陆法系国家也被认为是一种事实认定的机制，是具有普遍性的证据法制度。日本法学家田口守一曾对推定下过一个比较通俗易懂的定义：“推定是从A事实（前提事实）推认B事实（推定事实），B事实难以证实时，可以用比较容易证实的A事实推认B事实的存在。”[12]推定有3个关键要素：推定必须根植于一个基础性事实，简言之，就是想要得出推定事实乙，必须证明基础事实甲的存在；经验法则是基础性事实和推定事实之间的桥梁，没有经验法则，则推定这种证据制度就不会存在；推定过程允许反驳，通过上述两个要素可知，基础性事实和待证事实之间以经验法则作为必然要素，那也就必须允许反驳的存在。因此，推定实质上是在证据不是特别充分的条件下，不能达到高度盖然性或排除合理怀疑时，利用经验法则得出待证事实的一种证据制度。

在不断演化的过程中，推定作为一种证据制度被普遍地应用于刑事审判中。在我国，刑事推定最为经典的范例就是《刑法》第395条巨额财产来源不明罪，其罪状表述为：“国家工作人员的财产、支出明显超过合法收入，差额巨大的，可以责令该国家工作人员说明来源，不能说明来源的，差额部分以违法所得论。”

分析该罪状，我们可以得出图1-4中的推理过程。图1-4诠释的是一个经典的刑事推定过程，即有待证事实、基础事实以及通用的经验法则，并且这种经验法则已为立法所固定。巨额财产来源不明罪中的推定因被《刑法》以条文形式固定下来，故又被称为立法推定；与之相对的，我国立法例中还存在司法推定，例如《最高人民法院关于审理挪用公款案件具体应用法律若干问题的解释》（法释〔1998〕9号），以携带公款潜逃的行为来推定非法占有的目的。

图1-4 经验法则：国家工作人员的合法收入水平不高

（二）刑事推定在批量侵犯公民个人信息罪中的理论误区

在审理批量型侵犯公民个人信息刑事案件中，已有学者提出可适用刑事推定，但存在一定的理论误区。有学者提出，面对海量侵犯公民个人信息案件时，在无法查证信息真伪的情况下，可直接适用推定认定信息的真实性。[13]然笔者认为，这种认定方法，在理论方面存在一定的缺陷。

首先，这种认定方式混淆了刑事推论和刑事推定的区别。刑事推论就是平时案件审理中最常见的三段式演绎推理，即由大前提（刑事法律规定）、小前提（案件事实）推论出结论（被告人有罪与否）；如得出被告人有罪的结论，则必须达到排除合理怀疑的证明标准，其基础是证据裁判原则。刑事推定则是经验法则的体现，其在有证据证明基础事实的情况下，以经验法则为桥梁，直接推导出待证事实。

图1-5

如图1-5所示，刑事推论与刑事推定的最大区别，在于推论是在案件证据达到确实充分的标准下，在排除合理怀疑的基础上才可以对被告人科以刑罚。而刑事推定的核心就是经验法则，而且这种经验法则不能是某个法官的审判经验和内心确认，而应当是一种成文的规定。因为我国作为成文法国家，不允许法官造法。如果允许法官在无授权的情况下设立这种改变证明责任、降低证明标准的刑事推定规则，则会破坏国家法制。[14]例如，在非法吸收公众存款案中，法院不能因账目过于复杂，难以查清案件事实，就“推定”公诉机关起诉的所有账目均是真实有效的，因为这违反了刑事证明规则。

反观侵犯公民个人信息刑事案件，涉案信息的真伪应是案件所需证明的核心内容，倘若信息不真实，那么对被告人定罪的基础就不存在。在信息真伪都未查明时，不能推论出被告触犯侵犯公民个人信息罪的结论；从推定的角度看，在有关侵犯公民个人信息罪的刑法条文及相关司法解释中并未规定，在何种情形下，可推定批量公民个人信息为真。这种“推定”是未达到证明标准的推论。[15]

其次，刑事推定应存在一定程度的证明责任倒置。降低刑事案件证明标准意味着减轻公诉机关的举证责任，加重被告人一方的证明责任。例如，依据《关于依法查处盗窃、抢劫机动车案件的规定》（公通字〔1998〕31号）第17条，如果案情符合对机动车系赃物的明知情形，且被告人无法提供相反证据，则这种明知即可成立。

在有关侵犯公民个人信息罪的条文中，并没有刑事推定的条款，也不存在证明责任倒置的情况。仅凭《解释》第11条第3款“有证据证明信息不真实或重复的除外”之表述，并不能想当然地认为证明责任就转移到被告人一方。有观点认为，依据上述条文，可以确定需要提供信息不真实或重复的主体就是被告人，并不存在证明责任倒置。[16]这种观点同样值得商榷。

笔者认为，辨明动辄成百万上千万条的公民个人信息的真伪，对司法资源确实是一种巨大的挑战。同样的，刑事推定也是解决批量公民个人信息案件顽疾的利器，但不能简单地依据现有的刑法条文和司法解释就直接适用刑事推定。

三刑事推定在批量侵犯公民个人信息案件中的具体适用

（一）入罪公民个人信息的限缩

如果说适用刑事推定是对侵犯公民个人信息罪所做的一次刑法意义上的扩张，那么在扩张之前，应对公民个人信息的入罪标准做一定的限缩，因为刑事推定往往会带给被告人不利的后果。[17]

1.限缩的必要性

现阶段，对于公民个人信息的外延，在我国立法中没有一个统一的标准。诚然，由于不同法律、行政法规或部门规章规制的范围与主体不尽相同，所以不同文件所界定的“公民个人信息”必然会有差异。

根据《解释》第5条第1款第（五）项“其他公民个人信息”的表述来看，所有被冠以“公民个人信息”之名的信息都可以入罪。但是，这种入罪标准过宽地界定了公民个人信息的外延，有悖于刑法谦抑性原则。依据《解释》第2条的规定，违反法律、行政法规、部门规章有关公民个人信息保护的措施的行为，都可以被认为是侵犯公民个人信息罪的“违反国家有关规定”。笔者认为，《解释》此条所界定的“公民个人信息”外延过于宽泛，特别是对于刑法所调整的行为尤其如此。

图1-6 对公民个人信息的保护路径

由图1-6可见，《刑法》所保护的公民个人信息的范围是非常宽泛的，尤其在《宪法》《民法通则》未对公民个人信息有明确界定的情况下，这种宽泛的入罪标准存在一定的恣意性。虽然《刑法》所保护的公民个人信息，并非要局限在法律和行政法规层面，但部门规章相较于法律、行政法规的严谨，其本身的随意性较强。如果侵犯公民个人信息罪所调整的法益，包含所有部门规章及规范性文件中涉及的公民个人信息的全部内容，其打击范围就会有过宽之嫌。

2.入罪公民个人信息实践化重构

陈兴良教授认为：“宽严相济的刑事政策不仅是指对于犯罪应当有宽有严，而且在宽严之间还应当具有一定的平衡，互相衔接，形成良性互动，以避免宽严皆误结果的发生。”[18]笔者认为，宽严相济的刑事政策不仅体现在定罪量刑的刑事司法理性，也体现在具体罪名的入罪、出罪的标准上。具体到侵犯公民个人信息罪，应对入罪标准做一次法律上的重构，以匹配刑事推定在侵犯公民个人信息罪案件中的应用。

笔者选取的案例中，涉案公民个人信息主要有如下几种类型：

表1-3 公民个人信息的类型

表1-3基本涵盖了网上贩卖公民个人信息的绝大部分类型。经分析，上表的第一到第七种类型的公民个人信息，无论其来源如何，都可以归结到《解释》第5条第1款（三）（四）项中，比如招考网站上的公民个人信息，无非也是姓名、电话、地址等，即使是考生报考哪个专业、院校的信息也可以归入第（四）项的“其他影响人身、财产安全的个人信息”。[19]

司法实践中，较为常见的大批量公民个人信息是上表中第八种的账号密码类公民个人信息，涉案信息可达到数亿条。[20]笔者认为，可以将《解释》第5条第1款第（五）项的“其他公民个人信息”修改为“其他的账号、密码类公民个人信息”，原因如下：

首先，账号、密码类公民个人信息看似可以归入财产类公民个人信息，比如京东、淘宝账号密码与公民个人财产息息相关，医院网站的信息则涉及公民的健康信息等。但在案件审判中，账号密码类信息的呈现往往只是压缩文件，比如“某某商城账号密码.ZIP”、“某某网账号.rar”等。这类信息在未查证之前，无法确定是不是该电子商城的账号，更无法确定账号是否正确，再加上鉴定工作有较大困难，促使涉及这种类型信息的案件需要以推定方式认定信息的真实性。

其次，刑事推定可能使被告人承担不利后果，且我国尚无《公民个人信息法》对公民个人信息的权威定义。正因如此，在适用刑法规制侵犯公民个人信息刑事案件时，应有一个明确的界限，以较为空泛的“其他公民个人信息”作为入罪标准，可能使被告人承担的刑事责任超出必要限度。

（二）刑事推定的扩张适用

刑事推定应以《刑法》条文及司法解释予以明确，这是应用刑事推定的基本原则。在以往的立法例中，有大量利用司法解释来推定被告人主观犯意的例子。如《全国法院审理金融犯罪案件工作座谈会纪要》（法〔2001〕8号）对被告人的非法占有目的规定了推定规则。

刑事推定不仅可以适用于犯罪主观方面的认定，还可以应用于客观方面。[21]如巨额财产来源不明罪中，对财产来源的非法推定就是此方面的典范。这就给在真伪不明的批量侵犯公民个人信息刑事案件中适用刑事推定提供了土壤。

参考相关司法解释中的刑事推定表述，可以在《解释》中增设一条“符合下列情形之一的，可以认为公民个人信息是真实的”的条款，而“下列情形”就是推定中的经验法则，也是推定的核心内容。

1.真伪信息辨明中的经验法则

经过对侵犯公民个人信息罪大量相关案例的分析，笔者认为，可以通过信息来源、信息用途、是否用于其他犯罪等方式，来确定适用于辨明信息真伪方面的经验法则。

（1）以信息来源为划分标准，可增设“利用非法侵入计算机信息系统手段获取公民个人信息，或明知公民个人信息系他人利用非法侵入计算机信息系统方式获取而仍予购买、获取的”作为认定信息真伪的经验法则之一。如比较常见的黑客利用非法软件侵入各大网站、电商平台等方式获取的公民个人信息，这些信息通常都是用户经注册并确认的真实个人信息。以这种非法方式获取的公民个人信息的真伪，其可信度较高。

（2）以涉案信息是否被用于犯罪为划分标准，可增设“将非法购买、获取的公民个人信息用于下游犯罪，或将公民个人信息交予他人，被他人用作下游犯罪，经查证属实的”一项。司法实践中，非法取得的公民个人信息用于电信诈骗等下游犯罪，且经司法程序查证属实的，都可以确定公民个人信息的真实性。

（3）以取得信息后是否继续传播为划分标准，可增设“非法购买、获取公民个人信息后，又转售或非法提供给他人的”一项。取得公民个人信息并非被告人的最终目的，其本意是通过出售、交换公民个人信息获得经济利益，或套取其需要的其他公民个人信息。尤其在出售信息时，被告人往往利用“撞库软件”“号码魔方”等软件来对公民个人信息进行筛选，然后再出售或用于交换其他公民个人信息。

（4）以为合法经营而非法取得公民个人信息为标准，可增设“为合法经营活动而非法购买、收受公民个人信息，已从非法使用取得的公民个人信息中获利的”一项。在现在的商业活动中，常有为拓展业务、开拓客户资源而非法使用公民个人信息的情况，如被告人已从中获利，则可推定信息的真实性和有效性，但是，其是否构成侵犯公民个人信息罪，还要参照《解释》所规定的获利标准来综合认定。

需要注意的是，无论案件符合哪种经验法则，都应当允许被告提出反证，也正是由于通常被告人在非法取得公民个人信息时会使用“撞库软件”或“号码魔方”等对信息进行筛选，以便之后出售或交换其他公民个人信息，使其较之公诉机关，对信息真实与否更有鉴别能力。而且，在批量侵犯公民个人信息案中所适用的刑事推定，只是转移了证明责任，即被告人只需证实涉案公民个人信息不是真实的，而案件的说服责任，仍然由公诉机关承担。

2.经验法则适用的注意事项

适用刑事推定来认定公民个人信息的真实性的方式，不能适用于敏感公民个人信息的案件。敏感公民个人信息通常是可以查证的信息，侦查、公诉机关通过正常渠道可以辨识信息真伪的，故不能适用刑事推定来认定信息真实与否。

五结语

社会生活的纷繁复杂，往往使其与法律的对接产生不适应，这种情况在批量侵犯公民个人信息刑事案件中尤其突出。这就要求我们另辟蹊径，充分利用经验法则，在此类案件中适用刑事推定。这既可以在一定程度上促进公正司法，又能改变批量侵犯公民个人信息刑事案件中的事实认定乱象；同时，应在适用刑事推定的基础上，适当地限缩侵犯公民个人信息罪的入罪边界，以此来避免刑事推定扩大化和滥用，保障被告人受到公正审判。

（作者为天津市第三中级人民法院员额法官。本文原载《法律适用》2019年第10期，收入本书时略有修改）

[1] 2017年全国各级法院审结涉侵犯公民个人信息及其下游的诈骗等刑事案件1.1万余件，占全年结案总数的2.0%。参见2018年《最高人民法院工作报告》，最高人民法院网站，http：//www.court.gov.cn/zixun-xiangqing-87832.html，最后访问日期：2018年6月18日。

[2] 为还原近年来侵犯公民个人信息刑事案件中出现的问题，笔者在搜索范围上并未局限于侵犯公民个人信息罪，而是也收录了部分非法获取公民个人信息罪及出售、非法提供公民个人信息罪的裁判文书，其区别也主要在于侵犯公民个人信息罪扩大了该类犯罪的主体范围。

[3] 参见喻海松《侵犯公民个人信息罪司法解释理解与适用》，中国法制出版社2018年版，第38页。

[4] 参见敬力嘉《大数据环境下侵犯公民个人信息罪法益的应然转向》，《法学评论》2018年第2期。

[5] （2016）苏1323刑初271号一审刑事审判书。

[6] 《刑法修正案（九）》修订后，将非法获取公民个人信息罪和出售、非法提供公民个人信息罪合并为侵犯公民个人信息罪，将出售、非法提供公民个人信息罪的特殊主体扩大到所有实施该行为的个人和单位。

[7] （2014）昌刑初字第248号刑事一审判决书。

[8] 《解释》第11条第3款规定：“对批量公民个人信息条数，根据查获的数量直接认定，但是有证据证明信息不真实或重复的除外。”

[9] 陈卫东、柴煜峰：《刑事证据制度修改的亮点与难点》，《证据科学》2012年第2期。

[10] （2017）津0103刑初第666号一审刑事判决书。

[11] 电商需承担的民事责任自不待言，且依据《刑法》第286条之一规定的拒不履行信息网络安全管理义务罪，其也有可能承担刑事责任。

[12] [日]田口守一：《刑事诉讼法》，刘迪等译，法律出版社2000年版，第227页。

[13] 参见喻海松《侵犯公民个人信息罪司法解释理解与适用》，中国法制出版社2018年版，第57页。

[14] 参见龙宗智《推定的界限及适用》，《法律适用》2008年第4期。

[15] 有学者将这种“推定”称为事实推定，并认为此“推定”混淆了推论和推定的界限。参见Bryan A. Garner，A Dictionary of Modern Legal Usage，2d Edition，Oxford：Oxford University Press，1995。

[16] 参见付玉明《侵犯公民个人信息案件之“批量公民个人信息”的数量认定规则——〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉第11条第3款评析》，《浙江社会科学》2017年第10期。

[17] 《刑法》总论也存在对被告人有利的推定，如14周岁以下的人不负刑事责任，但有利于被告人的推定在绝对数量上较少。

[18] 陈兴良：《宽严相济刑事政策研究》，中国人民大学出版社2007年版，第13页。

[19] 以徐玉玉案为例，其之所以被诈骗，很大程度上是犯罪分子掌握了其考取了某大专院校的信息，所以将升学信息归入“其他可能影响人身、财产安全的公民个人信息”是合理的。

[20] （2018）津02刑终202号刑事裁定书。

[21] 参见劳东燕《认真对待刑事推定》，《法学研究》2007年第2期。