当前位置:首页 >

非法利用个人金融信息行为刑法规制强化论

【中文关键词】 金融信息;侵犯公民个人信息罪;个人信息;金融隐私;金融安全

【摘要】 基于非法利用个人金融信息行为凸显的严重社会危害性、惩治侵财犯罪上游行为的需要,以及推进我国信息网络化发展的需要等,应强化对非法利用个人金融信息行为的刑法规制。然而,现行刑法尚未突出对非法利用个人金融信息行为的规制,也未与个人金融信息保护的行政法律法规相衔接;当前对非法利用个人金融信息行为的刑事司法规制也尚存定罪量刑缺乏统一性的突出问题。对此,在立法层面,应增设非法使用个人金融信息罪,并完善相关民事法律和行政法规;在司法层面,应调整司法解释对“情节特别严重”的倍化标准规定,增设目的要素不同情况下的法定刑升格标准,并在对“以其他方法非法获取公民个人信息”的司法解释中增加列举未尽之意的表述。

【全文】

目次

一、非法利用个人金融信息行为刑法规制强化之必要

二、非法利用个人金融信息行为刑事立法规制之缺憾

三、非法利用个人金融信息行为刑事司法规制之疏忽

四、非法利用个人金融信息行为刑法规制强化之路径

五、结语

在信息技术高速发展的今天,金融信息安全与个人财产安全的关联度日益显现。近年来,因非法利用个人金融信息[1]而导致侵犯公民人身权和财产权的违法犯罪案件频发,并促发了洗钱、电信诈骗等诸多下游犯罪,不仅严重侵害了个人的隐私权,也严重侵害了民众的财产权,同时还损害了金融机构的声誉,阻碍了金融业的发展,给我国金融稳定和金融环境带来了诸多负面影响。面对时下愈演愈烈之非法利用个人金融信息行为,相关刑事立法和司法凸显出了诸多问题,例如非法使用个人金融信息等行为无法纳入侵犯公民个人信息罪中进行规制,司法不统一现象较为严重,相关司法解释的规定可能导致罪刑失衡等。这些问题或缺憾的存在,直接导致诸多社会危害性凸显的非法利用个人金融信息行为无法得到有效规制,也充分表明现行刑事立法和司法状况已无法满足现代社会对个人金融信息保护的需要。因此,如何继续完善刑事立法并妥适司法,强化对非法利用个人金融信息行为的刑法规制,以实现对个人金融信息的充分有效保护,仍是值得我们深究的一个重要课题。

一、非法利用个人金融信息行为刑法规制强化之必要

现行刑法中的侵犯公民个人信息罪对侵犯公民个人信息行为进行了规制,但因个人信息范围的宽泛、含糊而无法突出对个人金融信息之特别保护,同时侵犯公民个人信息行为却无法涵括所有非法利用个人金融信息行为。如同合同诈骗罪独立于诈骗罪,贷款诈骗罪等金融诈骗罪独立于合同诈骗罪,非法利用个人金融信息犯罪亦应独立于侵犯公民个人信息罪。强化对非法利用个人金融信息行为的刑法规制并非率性而为、心血来潮,而是基于非法利用个人金融信息行为所凸显的严重社会危害性,以及推进我国信息网络化之现实需要。这两个方面的因素从不同角度也在不同程度上说明了对非法利用个人金融信息行为的刑法规制强化之必要。

(一)非法利用个人金融信息行为凸显严重社会危害性

社会危害性始终是刑法视野中对某一行为考察关注的核心,其反映了社会在一段时间内对某一行为的容忍程度,系刑事立法中罪名设置与刑罚确定的标尺。对此,贝卡利亚曾指出:“什么是衡量犯罪的真正标尺,即犯罪对社会的危害。这是一条显而易见的真理,尽管认识这类明了的真理并不需要借助于象限仪和放大镜,而且它们的深浅程度都不超出任何中等智力水平的认识范围。”[2]我国《刑法》13条但书也规定,情节显著轻微危害不大的行为,不认为是犯罪。可见,我国刑法就是将社会危害性作为判断是否构成犯罪的标尺。

随着全世界信息化浪潮的展开,我国也迈入了信息化社会的转型与发展过程中,信息逐渐成为社会变革、产业转型升级的最重要资源。信息安全保障也逐渐引起了人们的重视,各种形式的信息侵权、信息犯罪侵害了人们的合法权益,损害了信息产业的健康发展,因而亟须法律规制。这也是《刑法修正案(七)》将侵犯公民个人信息行为纳入刑法规制范畴的主要原因。侵犯公民个人信息行为的社会危害性随着信息社会转型与信息产业发展出现了根本性变化。在其他部门法无法充分保护个人信息主体的合法权益,无法充分保障信息产业发展与信息社会深入转型的情况下,就有必要动用刑罚手段规制侵犯公民个人信息行为。

不可否认,社会危害性也具有一定程度的模糊性,人们对某种行为的社会危害性的认识在不同的时期与不同的社会背景下均会有所不同。在个人金融信息保护领域,对社会危害性大小或程度的判断也会因人们对金融信息敏感程度和保护意识存在差异而有所不同。在当今信息爆炸的大数据时代,个人金融信息不仅具有身份上的意义,而且能够产生巨大的经济利益,在很多领域都有着广泛的用途。与此同时,非法利用个人金融信息行为日益猖獗,从而导致个人金融信息被广泛地不当使用和传播。应当看到,个人金融信息被不当使用和传播的直接后果是,不法分子获取了大量个人金融信息,并由此成为诸多犯罪的源头。被获取的个人金融信息成了电信诈骗犯罪的最佳“原料”。个人金融信息含有丰富的财产信息内容,不法分子获取后,往往会利用其进行电信诈骗。在近来发生的多起电信诈骗案件中,均存在受害者个人金融信息被不当使用和传播的情况。[3]此外,被获取的个人金融信息还为冒名办理信用卡套现、复制银行卡盗取资金提供了诸多便利。一些不法分子在获取足够的个人金融信息后,便通过冒名办理信用卡、复制银行卡等手段,盗取客户资金,并且严重影响了真实客户的金融信用。而互联网的发展和普及则加剧了这些后果。同时,随着科技的发展,出现了更多可以存储数据的工具,如移动硬盘,各种网站的服务器、U盘、PC机、带库。这些设备的出现使得大量的数据能够被存储、传递、流通进而被利用。如果人们利用互联网对他人金融信息进行泄露,再被存储设备记录下来,被泄露的金融信息就会被永久地保存在信息主体完全不能控制的地方,随时有被再次传播的风险,以致会大大降低人们对自己金融信息安全的信心。

(二)惩治侵财犯罪上游行为的需要

近年来,通过非法手段获取他人银行卡及密码等个人金融信息后实施侵财犯罪的案件时有发生,严重危及了公众的财产安全。对于已经利用非法获取的个人金融信息实施侵财犯罪的行为,我们依据相关侵财犯罪进行规制并无障碍。然而,对于那些仅实施了非法获取个人金融信息而尚未利用这些信息实施侵财犯罪的行为,我们往往难以追究(证明其意图实施侵财的证据难以收集)甚至不追究其刑事责任(侵财犯罪的预备虽构成犯罪,但实践中一般不追究犯罪预备的刑事责任),而现行刑法规定的侵犯公民个人信息罪也仅可规制部分“情节严重”[4]的非法获取个人金融信息行为,而无法规制那些并非非法获取但非法使用个人金融信息的行为,由此可能导致对侵财犯罪上游行为的放任。

应当看到,对非法利用个人金融信息行为的刑法规制,有利于从犯罪准备行为阶段遏制诈骗、盗窃等后续犯罪的产生和发展,进而维护社会的稳定与发展。当今世界各国刑法大多对预备行为采取原则上不处罚的态度,而我国现行刑法却与此相反,对预备行为采取原则上处罚的态度。但是对于处罚预备犯来说,犯罪故意的证明是非常困难的,且将所有预备行为都宣告为刑事可罚,不仅违反刑法的经济性原则,而且容易造成国家刑罚权的滥用,无形中扩大了刑法处罚范围。非法利用个人金融信息行为往往会作为某个或某类严重犯罪的犯罪链中的准备行为而存在,对非法利用个人金融信息犯罪的打击,有利于从源头上遏制后续侵财等更严重犯罪的产生和发展。如果个人金融信息被不法采集、随意篡改、恶意使用乃至非法转卖牟利,轻则会导致公民信息权利遭受侵害,重则会造成直接经济损失甚至精神损害。例如,在涉信用卡犯罪中,利用网络诱骗个人用户透露他们的银行和金融账户信息或其他个人信息比如用户名和密码,再利用这些信息实施金融欺诈犯罪;也有行为人通过收购他人废置的信用卡,而后盗取其中的个人金融信息,为信用卡诈骗、行贿、赌博、洗钱等犯罪活动提供帮助。虽然公安机关在调查取证过程中容易查处非法收集个人信息的犯罪证据,但对后续犯罪行为,在没有足够的证据支持下,不能单凭主观臆断,对行为人以其他罪名定罪处罚。因此,由于对后续犯罪行为的准备行为存在定罪量刑上的困难,加上目前也无法用现行罪名囊括所有社会危害性严重的非法利用个人金融信息行为,致使一些严重危害社会的非法利用个人金融信息行为无法受到有效规制。而如果突出对非法利用个人金融信息行为的刑法规制,对后续犯罪行为从准备阶段加以遏制,则可弥补司法实践中证据不足难以用现有罪名的犯罪预备定罪处罚的问题,能够在某些犯罪链的第一个阶段破坏这个犯罪链,进而避免严重犯罪后果的发生。

(三)推进我国信息网络化发展的现实需要

从另一个方面来看,突出强调非法利用个人金融信息行为的刑法规制,实际上也是进一步推进我国信息网络化的现实需要,具体主要体现在以下两个方面。

1.提升信息化水平的需要

当今时代,信息化迅猛推进,给人类的生产和生活方式带来了巨大变革,人类社会正从工业社会迈向信息社会,信息化水平也由此成为衡量一个国家和地区现代化水平的重要标志。目前,许多国家和地区都在大力推进信息化建设,我国欲要加快实现现代化,就必须牢牢抓住世界信息技术革命和信息化发展带来的机遇,大力推进我国国民经济和社会的信息化。为此,中共中央办公厅、国务院办公厅印发的《2006—2020年国家信息化发展战略》中提出,“加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的良好法制环境”。[5]其中,个人信息保护尤其是个人金融信息保护是加快推进信息化建设、提升信息化水平的重要内容。信息化在给人类社会带来诸多便捷的同时,也导致了个人信息被过度收集、被擅自披露及被非法买卖等滥用个人信息的问题。信息化给人们的生活带来越来越多的便利。例如,通过微信或支付宝等链接银行卡,省去许多传统上烦琐的操作程序,就可轻松便捷地实现在线支付。个人金融信息的安全性遭遇前所未有的种种风险,实际上就是我们获得生活的便利性所支付的代价。[6]因此,信息化时代解决个人金融信息保护问题的关键,是要解决对科技发展和生活便捷最大追求和将个人金融信息置于高风险的环境下进行暴露的平衡问题。正如有学者所言,此时“制约甚至决定人们设计或者选择具体理论方案的驱动力,是要回答一个宪法的,甚至是法哲学和公共政策上的一般性问题。那就是,一个行为可能在某些场合创造了风险,但同时,它又是一种在日常生活中大量出现的、被这个社会生活秩序允许和接纳的行为,那么,这个行为创设风险的后果,究竟是要归责给这个行为人,还是要作为社会存续和进步所必付的代价,而由这个社会自己消化、自我答责呢?”[7]诚然,社会存续和进步必然会付出一定的代价,需要社会对此进行消解,但实现社会消解的有效方法之一便是对违法犯罪者的行为予以否定评价,其中刑法评价往往是最直接、有效的方法。因此,要全面推进信息化,提升信息化水平,就必须突出强调对个人金融信息的法律保护尤其是刑法保护,突出强调非法利用个人金融信息行为的刑法规制。

2.促进电子商务发展的需要

随着互联网的不断发展与普及,电子商务已经成为国人所熟悉的商务模式。然而,在我国庞大的网民群体中,仍有一大部分网民从未进行过网络购物。据中国互联网络信息中心(CNNIC)中国互联网络发展状况统计报告显示,截至2018年6月,我国网民规模为8.02亿,上半年新增网民2968万人,较2017年末增加3.8%,互联网普及率达57.7%,庞大的用户基础为网络购物等网络消费的高速增长提供了强劲动力;截至2018年6月,我国网络购物用户规模达5.69亿。[8]相对于庞大的网民群体,网络购物用户的规模实际上并不算太大。笔者认为,我国网民参与网络购物的规模相对较小的一个重要原因就在于对互联网尚缺乏足够的信任。

在传统消费模式下,买卖双方进行面对面交易,商家一般不要求消费者提供联络方式、家庭住址等具有一定隐私性的个人信息,遑论是身份证号码、银行账号甚至支付密码等个人金融信息了。然而,在电子商务的消费模式中,这些则是经常且必须填写的信息。电子商务利用网络和现代的信息技术掌握了几乎最全面的商业数据信息,电子商务的数据中不仅包含了用户的基本信息、在支付过程中使用的银行账号、支付密码等涉及财产的信息,还包含了用户在网络中的各种活动信息,包括用户在各个网站网页的浏览情况、购买记录、对商品的评价,甚至是消费习惯和偏好等各种信息。[9]

在开放的信息网络中,即使是存储在电脑硬盘或者是网络虚拟空间中的个人信息,也有可能被泄露。实际上,一般电子商务企业的数据库安全等级也不是很高,其往往会因后台访问限制存在疏漏而导致用户的个人信息没有得到有效保护。不但黑客入侵电子商务企业数据库的概率及成功率较高,电子商务从业者也可以十分便捷地利用其数据库内的用户个人信息,他们可以在用户不知情的情况下对用户的个人信息进行使用、存储、分析甚至是出售。这些问题的存在在行业内已是公开的秘密,别有用心者可以用少量的花费买到大量的用户信息。[10]因此,很多网民在使用网上银行或快捷支付方式时往往会担心自己的账户、密码及其他个人金融信息会被泄漏,在参与购物时也总是会担心自己的个人金融信息被购物网站非法收集、利用,而频频发生的个人金融信息遭遇泄露或非法利用事件更是加剧了这一不信任。这些问题均在很大程度上制约了我国电子商务的进一步发展。面对日益严峻的个人信息安全危机和人们对电子商务的信任危机,除了在技术层面通过不断更新安全技术软硬件来应对外,还应在法律层面对非法利用个人金融信息行为加以规制,由此为我国电子商务的发展保驾护航。因此,突出强调非法利用个人金融信息行为的刑法规制,也是促进我国电子商务发展的一项重要工作。

二、非法利用个人金融信息行为刑事立法规制之缺憾

导致个人金融信息遭受非法利用的原因无疑是多方面的,但法律规制尤其是刑法规制的缺憾无疑是其中一个重要原因。虽然现行刑法已经对非法利用个人金融信息行为进行了一定程度的规制,但实际上在诸多方面仍与突出强调对非法利用个人金融信息行为刑法规制的现实要求不相适应。

(一)应受刑事处罚之非法利用个人金融信息行为未受规制

现行刑法专门适用于规制侵犯个人信息的罪名并不多,主要是《刑法》253条之一规定的侵犯公民个人信息罪和第177条之一第2款规定的窃取、收买、非法提供信用卡信息罪。而且,这些罪名在保护范围上较为狭窄,未能涵盖所有应受刑事处罚之非法利用个人金融信息行为。在《刑法》253条之一规定的侵犯公民个人信息罪中,侵犯公民个人信息的行为方式被规定为“出售”“非法提供”或“非法获取”等,但随着信息网络的普及,获取公民个人金融信息将更加便利,实践中侵犯公民个人金融信息的行为方式也愈加复杂多样,很多行为是《刑法》253条之一的规定所无法规制的,典型的如对非法使用个人金融信息这一与侵犯公民个人信息罪具有相当社会危害性的行为就无法予以规制。

非法使用个人金融信息是指未经信息主体许可,非法使用自己已经掌握的公民个人金融信息以期实现自己特定目的的行为。使用的范围包括冒用以及用于实施威胁、恐吓、盗窃、诈骗等行为。依据现行刑法规定,行为人非法获取他人金融信息的行为以及出售、非法提供他人金融信息的行为可以受到相应的刑事追究,但行为人实施的非法使用他人金融信息行为则不会受到刑事制裁。如果行为人既实施了非法获取他人金融信息行为,事后又非法使用了其通过非法手段获取的金融信息,那么司法机关可以根据“事后不可罚”的刑法理论,以侵犯公民个人信息罪追究行为人的刑事责任。如果司法实务中出现通过合法手段获取他人金融信息后再非法使用等情况,则现行刑法势必难以应对。尽管在某些情况下,现行刑法中的内幕交易罪、使用未公开信息交易罪可以规制非法使用他人金融信息进行内幕交易或者非法使用未公开信息进行交易的行为,但如果行为人使用他人金融信息实施了内幕交易或者使用未公开信息交易以外的其他行为,我们似乎很难在现行刑法中找到相应的罪名予以规制。鉴于金融信息的特殊性以及保护金融信息的重要性,如果刑法中缺乏相应的罪名对非法使用个人金融信息的行为加以规制,显然不利于对公民个人金融信息安全的保护。

此外,从加强对个人信息保护的角度分析,既然立法者已经将出售、非法提供公民个人信息、非法获取公民个人信息等行为纳入刑法规制的范围,那么我们也应当将更具社会危害性的非法使用个人金融信息行为纳入犯罪圈。实际上,非法利益链中的最后一个环节即“下家”实施的非法使用个人金融信息行为才会直接侵害公民权益,这种权益既包括财产权也包括人身权。比如我们在日常生活中司空见惯的白银现货之类的推销电话,正是“下家”非法使用公民个人信息的一种方式,一旦公民信以为真,即可能损失惨重;再如,讨债公司非法使用公民个人信息对公民进行暴力威胁、恐吓,可能会造成对公民的精神和身体的双重伤害。“没有买卖就没有伤害”,扼杀了使用公民个人信息牟利的“消费”市场后,“中间人”就没有了存在的意义,“上家”的信息产品也就只能压箱底,永无见天之日了。就此而言,在现行刑法没有将非法使用个人金融信息行为纳入侵犯公民个人信息罪的规制范围无疑是一个缺憾。虽然现行刑法并没有将非法使用个人金融信息行为纳入规制范围,但司法解释却率先作出了规定。根据2017年最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第6条第1款第1项的规定,为合法经营活动而非法购买、收受该司法解释第5条第1款第3项、第4项规定以外的公民个人信息,[11]利用非法购买、收受的公民个人信息获利5万元以上的,应当认定为《刑法》253条之一规定的“情节严重”。该司法解释将“使用”非法购买、收受的信息获利5万元以上的行为作为侵犯公民个人信息罪的情节严重的标准,从某种程度上说就是因为司法者已经充分认识到了“使用”行为的刑法规制必要性。

(二)未与个人金融信息保护的行政法律法规相衔接

虽然我国尚未制定关于个人金融信息保护的专门法律法规,但相关个人金融信息保护的法律法规较多,如《关于加强网络信息保护的决定》[12]《反洗钱法》《金融机构反洗钱规定》《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》《征信业管理条例》《个人存款账户实名制规定》《银行卡业务管理办法》《储蓄管理条例》《商业银行法》《银行存结办法》《个人存款账户实名制规定》《人民币结算账户管理办法》和《银行业监督管理办法》等。这些法律法规均或多或少对个人金融信息的保护进行了规定,其中规定了不少对非法利用个人金融信息行为的处罚原则,很多情况下还规定了情节严重的要追究刑事责任或移送司法机关处理。应当说,这些行政法规对非法利用个人金融信息行为的法律规制还是比较严密的,规定对那些社会危害性凸显的非法利用个人金融信息行为追究刑事责任也是非常有必要的。然而,这些行政法规所规定的应追究刑事责任的情形中,虽然有部分情形确实没有必要入刑,但有必要入刑的情形中,除了部分行为可以认定为现行刑法规定的侵犯公民个人信息罪外,很多行为在刑法中均找不到相应的罪名进行规制。针对非法利用个人金融信息行为法律规制的行刑衔接脱节问题之严重由此可见一斑。由此使得这些法规、规章的法律效果大打折扣,也由此导致无法实现对公民个人金融信息的充分保护。

例如,中国人民银行2005年颁行的《个人信用信息基础数据库管理暂行办法》39条规定:“商业银行有下列情形之一的,由中国人民银行责令改正,并处1万元以上3万元以下罚款,涉嫌犯罪的,依法移交司法机关处理(:一)违反本办法规定,未准确、完整、及时报送个人信用信息的;(二)违反本办法第七条规定的;(三)越权查询个人信用数据库的;(四)将查询结果用于本办法规定之外的其他目的的;(五)违反异议处理规定的;(六)违反本办法安全管理要求的。”然而,对于上述“未准确、完整、及时报送个人信用信息”“越权查询个人信用数据库”“违反异议处理规定”等非法利用个人金融信息违法行为,刑法中并无相应的罪名可以进行规制。此外,该暂行办法第41条规定,“征信服务中心工作人员有下列情形之一的,由中国人民银行依法给予行政处分;涉嫌犯罪的,依法移交司法机关处理(:一)违反本办法规定,篡改、毁损、泄露或非法使用个人信用信息的”。但现行刑法对于非法使用个人信用信息行为也没有相应的罪名可以进行规制。

又如,全国人大常委会2012年颁布的《关于加强网络信息保护的决定》2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息”。同时该决定第11条规定:“对有违反本决定行为的……构成犯罪的,依法追究刑事责任。”但对于其中的非法使用公民个人电子信息行为,现行刑法中并无相应罪名可以进行规制。

再如,国务院2013年颁行的《征信业管理条例》38条规定:“征信机构、金融信用信息基础数据库运行机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正……构成犯罪的,依法追究刑事责任:(一)窃取或者以其他方式非法获取信息;(二)采集禁止采集的个人信息或者未经同意采集个人信息;(三)违法提供或者出售信息;(四)因过失泄露信息;(五)逾期不删除个人不良信息;[13](六)未按照规定对异议信息进行核查和处理;(七)拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料;(八)违反征信业务规则,侵害信息主体合法权益的其他行为。”该条例第40条规定:“向金融信用信息基础数据库提供或者查询信息的机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正……构成犯罪的,依法追究刑事责任:(一)违法提供或者出售信息;(二)因过失泄露信息;(三)未经同意查询个人信息或者企业的信贷信息;(四)未按照规定处理异议或者对确有错误、遗漏的信息不予更正;(五)拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料。”该条例第42条规定:“信息使用者违反本条例规定,未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息,……构成犯罪的,依法追究刑事责任。”

然而,对于“采集禁止采集的个人信息或者未经同意采集个人信息”“因过失泄露信息”“逾期不删除个人不良信息”“未按照规定对异议信息进行核查和处理”“拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料”“违反征信业务规则,侵害信息主体合法权益的其他行为”“未按照与个人信息主体约定的用途使用个人信息”等按照上述行政法规定构成犯罪的行为,实际上现行刑法中均无相应的罪名可以进行规制。

三、非法利用个人金融信息行为刑事司法规制之疏忽

刑事立法存在的问题也不免会凸显于刑事司法中。笔者以“侵犯公民个人信息”为关键词在无讼案例库中共调取到2010年至2018年2398个侵犯公民个人信息刑事案件。这些案件基本上反映了我国对非法利用个人金融信息行为的刑事司法规制现状。综观这些案件,笔者发现,非法利用个人金融信息行为刑事司法规制过程中存在严重的缺乏统一性的问题。

《刑法》253条之一第一次将出售或非法提供公民个人信息等行为作为犯罪,显示出我国在刑事立法层面对个人金融信息保护的关注。但出售或非法提供公民个人信息行为入罪须以情节严重为前提,至于何谓情节严重,刑法并未明确规定,由此导致司法实践中对侵犯公民个人金融信息行为的定罪量刑不一。[14]有的法院仅仅根据侵犯公民个人信息行为所造成的后果进行定罪处罚,如根据侵犯公民个人信息行为是否给公民个人造成严重财产损失或精神损害,是否导致大量公民个人信息泄露,是否造成恶劣社会影响等进行定罪处罚;[15]也有的法院主要根据行为人的主观恶性、盈利情况以及是否形成产业化等因素进行定罪处罚;[16]还有的法院主要根据行为人出售、非法提供或非法获取的公民个人信息的次数和数量等进行定罪处罚。[17]虽然《解释》明确了“情节严重”的标准,有利于维护司法的统一性,但其中仍存在一些悬而未决的问题,其中比较突出的是以下三个问题。

(一)对“情节特别严重”的倍化标准规定不甚合理

从横向比较来看,《解释》第5条规定的“情节特别严重”的标准是“情节严重”的十倍以上。十倍以上的数额看起来似乎难以达到,但结合“情节严重”的标准,我们就会发现,即便是不可能影响人身、财产安全的公民个人信息,只要数量达到5万条,即属于情节特别严重。然而,应当看到,司法实践中大多数侵犯公民个人信息案件所涉及的个人信息数量动辄就是几百万、几千万条,即大多案件均可达到情节特别严重的标准,由此势必会导致实践中大量侵犯公民个人信息案件均要适用侵犯公民个人信息罪中最重一档的法定刑,该罪法定刑的区分度和适应性明显降低。

从纵向比较来看,同样被规定为“情节特别严重”的“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”“造成重大经济损失或者恶劣社会影响的”与“数量或者