涉警侵犯公民个人信息犯罪的原因分析与对策思考——基于中国裁判文书网302份裁判文书的实证分析

匡一帆

个人信息权是公民基本权利的合理延伸，与姓名权、肖像权、荣誉权等处在同等地位。随着大数据技术的日趋成熟，大数据的使用为人们带来很多便利的同时也增加了个人信息泄露的风险。《中华人民共和国刑法修正案（九）》增设了侵犯公民个人信息罪，该罪名的设立对于遏制此类犯罪行为起到了一定作用，但并非十分理想，类似“徐玉玉案”①案的悲剧还时有发生。导致公民信息泄露的主体较多，本文的研究涉及民警和警务辅助人员（以下简称“辅警”）两类。

以往对侵犯公民个人信息犯罪的研究侧重于刑法、行政法的完善。例如，陈瑞华教授认为，应当引入“官告民”色彩的事前司法审查机制［1］，李英教授认为，应当重新定位公安机关性质和职能［2］。笔者查阅知网等文献数据库，尚未发现关于涉警侵犯公民个人信息犯罪的研究成果。侵犯公民个人信息犯罪被称为网络犯罪的“百罪之源”，治理涉警侵犯公民个人信息犯罪意义重大：一是预防此类犯罪衍生电信诈骗、敲诈勒索、绑架等次生犯罪；
二是维护公安机关执法权威，推进社会治理能力现代化；
三是构建和谐警民关系，践行以人民为中心的发展思想。笔者以中国裁判文书网中相关裁判文书为例，梳理分析涉警侵犯公民个人信息犯罪的现状、特征及原因，并提出相应对策，期望推进本课题的相关研究。

笔者从【中国裁判文书网】，以“侵犯公民个人信息罪”为案由，以“数字证书”为关键词进行高级检索，收集到364 份相关裁判文书②。起始年份为2016 年，截止年份为2022 年，地域涉及19 省、2 直辖市、2 自治区。在排除59 件二审案件、2 件刑事审判监督案件、2022 年1件案件（截至2022 年3 月23 日）后，实际数据为302 件。其中2016 年9 件、2017 年27 件、2018年95 件、2019 年104 件、2020 年52 件，2021 年15 件。

上述案件案由都是侵犯公民个人信息罪，犯罪主体皆为民警和辅警。可以看到，2016至2019 年该类案件逐年上升，并于2019 年达到最高值。最早的涉警侵犯公民个人信息案件发生在河南省永城市③，之后此类案件逐渐增多。随着2017 年《中华人民共和国网络安全法》、2017 年《公安信息网安全管理规定（试行）》、2017 年《两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”）、2018 年《公安机关互联网安全监督检查规定》、2021 年《数据安全法》等法律法规的陆续出台，尤其是2021 年《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）正式实施，加之2021 年全国政法队伍教育整顿的开展，这种案件降至历史最低值。笔者就上述302 份裁判文书进行归纳分析，总结提炼出以下特征。

（一）犯罪主体特殊

302 份裁判文书中，辅警作为犯罪主体的案件有195 件，协警作为犯罪主体的案件有73件，二者合计268 件，占比88.7%，民警作为犯罪主体的案件有34 件，占比11.3%。这表明，涉警侵犯公民个人信息案件的犯罪主体绝大部分是辅警（协警）。

（二）行为表象合法

为了解决基层警力不足问题，在执法执勤、户籍登记、交通管理的辅助性工作岗位上，各地公安机关纷纷聘用大量辅警。在公安日常工作中，辅警协助民警采集、使用、管理公民个人信息。由于具有便利条件，有的辅警在经济利益的驱使下，往往以工作需要的名义借用民警的数字证书，登录公安机关内部系统违规或越权查询公民个人信息，然后将这些信息出售给“二道贩子”。这些打着因公幌子的行为从表象上看似具有合法性。

（三）侵犯方式便捷

我国多部法律法规直接或间接赋予公安机关采集公民个人信息的权力，如《刑事诉讼法》第54 条、《网络安全法》第28 条、《数据安全法》第35 条④。由于警察权的行使具有法律依据，公安机关可以通过出具调取证据通知书的形式，向公民和组织调取有关信息。此外，公安机关内部建有专用的信息平台和资源系统，如户籍信息系统、交通管理系统、警综平台等。民警、辅警只需使用数字证书或者输入登录平台系统的账号、密码，即可直接查询他人信息。相较于普通公民，民警、辅警很容易获取公民个人信息。

（四）危害后果严重

根据对已有涉警侵犯公民个人信息案件进行分析，凡是个人信息被泄露的公民每天会接收许多垃圾短信和骚扰电话。对方能准确说出自己的姓名、住址、银行卡号、子女就学情况、父母就医情况等真实信息。这给公民及其家人的生活造成严重困扰，容易导致电信诈骗犯罪的滋生，甚至可能使公民生命安全受到威胁。例如，2017 年1 月5 日，原宁波市公安局民警詹某锋接受詹某请托，次日在值班期间登录公安综合信息平台违规查询赵某暂住地，并将地址反馈给詹某，詹某将赵某所在地截图转发给况某，况某根据詹某提供的地址找到赵某，并掏出随身携带的凶器捅刺赵某，导致赵某当场死亡⑤。涉警侵犯公民个人信息犯罪的发生也将影响公安机关公信力和人民警察为人民的良好形象。

（一）基层警力不足

近年来我国公安机关基本没有“一人所”，但是基层部门大量招录辅警，以应对警力不足问题的现象仍然十分突出［3］。一是“一警多能”的工作模式增加了民警、辅警的工作压力，影响警力效能。中央党校吴忠民教授认为我国正处于社会矛盾凸显期［4］。我国警民比例普遍偏低，警力更加捉襟见肘。笔者所在派出所的民警、辅警大多身兼数职，如既打击违法犯罪又负责日常接处警，有时还参与安保执勤。二是“科层制”的组织结构形成了业务边界藩篱，增加警力工作量。科层制工作机制过分强调职责定位、部门边界，可能导致“信息孤岛”产生［5］。有些机关与基层在信息资源共享上存在脱节问题，一定程度上导致基层工作量的增加。

（二）行为人法纪意识不强

当前辅警素质良莠不齐，一些辅警未接受系统全面的培训就直接上岗，法纪意识堪忧。有的聘用部门迫切需要辅警，将培训重心放在队列训练、体能训练上，忽视法纪素养和保密意识的培育。大多数辅警通过与劳务派遣公司签订合同上岗，工作后发现待遇远低于民警，心理容易失衡，产生“别人都有我也要有”的攀比心理。于是他们动起“歪脑筋”，千方百计为自己牟利。

（三）犯罪成本较低

公安机关的监管存在权责不一致问题，导致对民警、辅警侵犯公民个人信息的行为的监管不到位，一些人因此有机可乘。事情发生后，公安机关对这些人的处理存在大事化小小事化了倾向，对违规查询、私自转发他人信息的民警、辅警的处罚多停留在口头警告和批评教育的层面，当事人难以在思想上引起重视。在司法实践中，人民法院多基于宽严相济刑事政策，对犯罪嫌疑人倾向于从轻处理。如刑事处罚以管制、拘役为主，判处有期徒刑为辅，或是对判处管制、拘役、有期徒刑的犯罪人员多适用缓刑。因此，这类犯罪动机未得到严厉震慑。

（四）监督存在漏洞

一是内部监督管理滞后。虽然各地公安机关内部已建立法制、督察、信访的监督闭环体系，但是个人信息多以数据形式存储，而民警、辅警往往利用职务便利实施犯罪行为。发现案件线索是公安机关启动侦查的前提［6］。一般只有当被害人提出控告或报案后，公安机关才采取事后处置机制。这远不及事前预防、事中制止取得的效果。二是外部监督制度缺位。《个人信息保护法》第60 条规定，国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。这虽然明确了国家网信部门是总体牵头部门，也明确了各有关主管部门的职责，但是没有设置独立的监管机构。各部门难免存在“九龙治水”的多头管理现象。

（五）被害人的权利救济缺乏

当被害人发现自己的信息泄露时，往往自认倒霉。其原因主要有以下几个方面。一是行政诉讼受案范围的局限。《中华人民共和国行政诉讼法》第12 条规定，对于行政机关侵犯其他人身权、财产权等合法权益的可以提起行政诉讼。但该规定未明确对个人信息权的保护，导致公民面临个人信息被侵犯时只能以隐私权被侵犯提起行政诉讼，这使个人信息保护的范围相对缩窄。二是行政复议范围的模糊。《中华人民共和国行政复议法》第6 条规定，公民认为行政机关的其他具体行政行为侵犯其合法权益的，可以向上级机关申请行政复议。笔者认为，该规定未明确民警、辅警侵犯公民个人信息行为是否属于公安机关的具体行政行为。这让公民在面临民警、辅警对其实施侵犯行为时，容易感到困惑。三是告知同意原则的异化。《个人信息保护法》以告知同意为基本原则，当用户打开一款新App 或网页时，网络运营商会展示各种“隐私政策”。这些隐私政策内容繁多而专业、且“不同意内容就不能使用”，大多数用户直接选择“同意”，这也违背了保护公民个人信息权的立法初衷［7］。四是公民知情权的缺失。我国现行宪法没有直接规定公民知情权，《宪法》第41 条规定，公民对于任何国家机关和国家工作人员，有提出批评和建议的权利。由此可推知其中隐含了公民知情权的规定，但这毕竟不够明确。公民向公安机关提出关于个人信息的监管、使用等问题时，常常得到“为了保密，不便透露”的回应。

（一）扩充基层警力

扩充基层警力是遏制涉警侵犯公民个人信息犯罪的关键措施之一，与此同时，也要注重警力配置的优化。现代警务机制实质是对有限资源进行科学配置，以实现警务资源的最小化，和警务效能的最大化。对中国裁判文书网相关案例的分析显示，涉警侵犯公民个人信息案件的犯罪主体大多是辅警。因此应当适度扩增民警编制，减少辅警的招聘。这对预防此类犯罪起到正本清源的作用。一是推行“一警一专”工作模式。基层派出所应当设立信息监管员，专职负责对日常信息采集管理工作进行监管。二是构建“小机关、大基层”治理新格局。机关各部门对口支援基层派出所，下沉民警实行两年一轮换制度，以改善基层大量雇佣辅警的现状，实现基层警力资源的优化配置。三是新入职民警优先充实基层。除具备特殊能力的新警分配到专业对口的业务部门外，其余原则上充实派出所，并规定其工作时间不少于5 年。坚持基层人员“一进一出”原则，发挥老民警“传帮带”工作优势。这既为基层注入新鲜血液，又能调动老民警工作积极性。四是建立部门协调联动工作机制。合理调整公安管辖服务范围，实行扁平化管理模式［8］。建议公安协调城管、工商、劳动、住建等职能部门成立应急联动中心，将非职责范围内的警情分流至相关职能部门处理，以减少非警务活动、从而缓解民警、辅警工作压力。

（二）强化学习教育

强化学习教育是遏制涉警侵犯公民个人信息犯罪的基础。民警、辅警要树立正确的权力观，增强法治意识。一是开展警示教育专题学习。如举办个人信息保护主题日活动，集中观看保密警示教育片等。充分利用身边反面典型案例，通过当事人讲述鲜活真实的泄密案例，深入剖析泄密原因、途径以及带来的危害，从现实角度阐述保密工作的重要性，提醒全体民警、辅警高度警惕，以提升保密工作水平。组建法纪宣讲团到基层进行全覆盖式宣讲，宣讲团成员现场与受训人员互动答疑。二是加强法律法规培训教育。组织民警、辅警对《中华人民共和国保守国家秘密法》《公安机关人民警察内务条令》《公安机关公民个人信息安全管理规定》《公安信息共享查询应用“七不准”》等法律法规的学习。三是提高民警、辅警保密意识。警务工作中需使用数字证书的民警、辅警须签订保密承诺书和网络信息安全责任书，以及填写保密工作自查自纠报告，以防止“一机两用”问题发生。

（三）完善相关法律法规

完善相关法律法规是遏制涉警侵犯公民个人信息犯罪的重点。应当厘清入罪标准，以规范警察权的运行。一是明确警务大数据使用的主体资格。研究人员在开发警务大数据系统时会根据公安机关的需求设置参数，在转换程序语言时会增加公安机关的裁量空间。建议在《警察法》中增设为公安机关配备“数据检查官”的规定。该岗位职责为审查第三方的数据成果，和监督管理平台的运行情况。二是确立“情节严重”的认定标准。《解释》第5条关于前科情况认定标准的规定之一是，因侵犯公民个人信息二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的。《中华人民共和国治安管理处罚法》规定侵犯公民个人信息的处罚标准为5 日以下拘留或者500 元以下罚款，处罚力度较低，加上经济利益的诱惑，这导致行为人难以痛改前非，反而继续顶风作案。如果行为人知法犯法，应当依法对其从重处罚。对此，笔者认为，应当将“二年内受过行政处罚”修改为“受过行政处罚”，以增加犯罪代价，遏制此类犯罪动机的产生。三是明确个人信息权。我国《刑法》关于侵犯公民个人信息罪的保护法益众说纷纭。从国外立法例来看，德国根据《人口普查法案》，意大利根据《个人数据保护法》，美国根据《隐私权法》等等，纷纷确立了“个人信息自决权”“一般人格权”“隐私权”。张新宝教授认为《刑法》的保护法益是公民个人信息权［9］。《民法典》第111 条规定，自然人的个人信息受法律保护。这里采用的措辞是“个人信息”而非“个人信息权”，没有确立具备绝对权特征的“个人信息权”。笔者认为，《民法典》应当明确“个人信息权”的权利属性。并且对个人信息的类型和权利内容进行更典型和充分的列举。

（四）健全监督机制

健全监督机制是遏制涉警侵犯公民个人信息犯罪的保障。应当从内部管理和外部监督双管齐下，以规范警察权、保障个人信息权。现有的公安内部监督体系主要针对执法办案、户籍管理、出入境管理等领域，但在监管公民个人信息方面难以取得预期效果。尤其是大数据时代，犯罪手段更加隐蔽多样，仅靠传统的监督方式难以实现对公民个人信息的有效保护。对此，县级以上公安机关应当设立信息监管业务部门。该部门负责对其他部门采集、使用、管理公民个人信息的情况开展监督工作，对公民举报投诉较多的“小程序”进行技术巡查，并定期集中向社会通报整改情况。同时，应完善《公安数字证书管理办法》。如安装数字证书管理柜，应用人脸+指纹混合识别技术，民警查询的对象和内容应当在呈请报告书中说明理由和依据。严格控制数字证书权限的下放数量，对不符条件者暂缓或不予审批。此外，还应设立专责机关。《个人信息保护法》未单设独立执法机关，建议参照欧盟《通用数据保护条例》设立统一规制个人信息活动的专责机关［10］。笔者认为，该机关旨在提高公民个人信息保护意识、受理公民有关投诉及后续处理、负责个人信息保护法的解释说明，以形成事前防范、事中规制、事后溯源的工作模式。这个专责机关直属于政府，可考虑与当地网信部门合署办公。

（五）拓宽救济渠道

一是扩大行政诉讼的范围。将个人信息权明确写入法律，被害人在面对侵权行为时可以向人民法院提起行政诉讼。二是增加行政复议的范畴。在公民个人信息监管过程中，民警、辅警如果存在处理不当或程序违法的情形时，相对人可以向上一级公安机关申请行政复议。若上级机关核实无误，应当及时采取补救措施，严肃处理行为人。三是明确规定公民知情权。通过法律赋予公民知情权，明确公民向公安机关了解个人信息的采集、使用、管理的权利。公安机关除了对涉及国家秘密、商业机密、个人隐私的信息做好保密工作，应当就有关情况作出答复。四是完善公益诉讼制度。《个人信息保护法》虽然设置了公益诉讼条款，但是只有人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以作为公益诉讼的提起主体［11］。建议成立专门针对个人信息权益保护的社会组织，这个组织可以代表受害人提起民事公益诉讼，同时需要满足以下条件：首先，行为人已构成侵犯公民个人信息的民事责任；
其次，至少十人以上权利人的权益已受到侵害；
再次，损害赔偿标准应当按照受害人的受损程度计算；
最后，社会组织的主体不得从中获利，将损害赔偿金占为己有。

保护公民个人信息安全既是国家文明的标志之一，也是建设社会主义法治国家的现实需要。司法实践中，涉警侵犯公民个人信息犯罪时有发生，这不仅侵犯公民个人权利，也损害了公安机关执法公信力。公民个人信息不仅关乎个人权益，而且牵涉公共利益、社会稳定甚至国家安全。强化公安机关对个人信息安全的监管，既有利于遏制由此类犯罪滋生的电信诈骗、网络诈骗、敲诈勒索等下游犯罪，又能促进公安机关履行好保护人民群众生命财产安全的法定职责，势在必行。

注释：

①2016 年8 月21 日，山东省临沂市高考录取新生徐玉玉被陈文辉等人以发放贫困助学金的名义骗取9900 元，并造成被害人徐玉玉死亡。山东省临沂市人民法院《陈文辉等侵犯公民个人信息罪一审刑事判决书》（2017）鲁13 刑初26 号。

②数据来自【中国裁判文书网】，网址http：//wenshu.court.gov.cn/，最后访问时间：2022 年3 月23 日。

③河南省永城市人民法院《郑某某侵犯公民个人信息罪一审刑事判决书》（2016）豫1481 刑初78 号。

④《刑事诉讼法》第54 条规定，人民法院、人民检察院和公安机关有权向有关单位和个人收集、调取证据。有关单位和个人应当如实提供证据。《网络安全法》第28 条规定，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。《数据安全法》第35 条规定，公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据，应当按照国家有关规定，经过严格的批准手续，依法进行，有关组织、个人应当予以配合。

⑤浙江省宁波市镇海区人民法院《詹美锋侵犯公民个人信息罪一审刑事判决书》（2017）浙0211 刑初482 号。