尚权推荐SHANGQUAN RECOMMENDATION

关键词：首例开盒网暴案；刑法规制；泄露他人隐私信息罪；纠缠骚扰罪

一、基本案情及裁判要旨

（一）基本案情

2019 年 1 月至 5 月，被告人刘某某因与斗鱼上的网络主播王某（化名）发生感情纠纷，为泄愤报复，被告人刘某某利用自己的 QQ 联系到出售公民个人信息的被告人吴某某，后分别以 200 元至 500 元不等的价格三次从被告人吴某某处购买了被害人王某及其父母的个人信息，含姓名、年龄、住址、身份证号码、照片等。被告人刘某某将上述信息进行编辑，并在照片上添加诅咒、辱骂被害人王某及其父母的文字，再通过其微博账号及其购买的几十个鱼吧账号将上述信息多次大量发布在网上，抹黑被害人王某在斗鱼平台树立的清纯可爱形象，还留言“王某的身份证号，大家拿去借网贷”，上述微博及帖子的点击阅读量达 1 万余次。同时，被告人刘某某利用鱼吧账号大量添加并私聊被害人王某的粉丝，将被害人王某的照片及个人身份信息私发给粉丝，并在与粉丝的聊天中发表恐吓被害人王某的言论和在天猫购买刀具的订单截图，扬言要蹲点杀害被害人王某，造成被害人王某在此期间因恐惧不敢出门。2019 年 4 月至 5 月，被害人王某也因此事件直播收入减少 4 万余元，大量粉丝对其取消了关注。

（二）裁判要旨

湖南省醴陵市人民法院于 2019 年 11 月 18 日对此案作出了刑事判决。法院认为，被告人刘某某违反国家有关规定，非法获取公民个人信息并通过网络账号发布，综合考虑信息类型、行为方式，以及被害人王某遭受重大经济损失和生活受到严重影响等情节，依法认定该情形符合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10 号，以下简称《解释》）第 5 条第 1 款第 10 项规定的“其他情节严重的情形”，构成侵犯公民个人信息罪。最终，被告人刘某某因犯侵犯公民个人信息罪，被判处有期徒刑 10 个月，宣告缓刑 1 年，并处罚金 2 万元。案件宣判后，被告人没有上诉、抗诉，判决已发生法律效力。

2023 年 9 月 25 日，最高人民法院发布了 7 起依法惩治网络暴力违法犯罪典型案例，刘某某侵犯公民个人信息案为其中之一。最高人民法院就该案的典型意义指出，“网络暴力所涉行为类型多样，侵犯公民个人信息即为类型之一。特别是，通过‘人肉搜索’‘开盒’等，在网络上非法曝光他人隐私、发布公民个人信息，导致网络暴力直接针对具体个体，危害更加严重，甚至还可能转化为网下暴力，进而对人身权益造成直接损害。基于此，对网络暴力所涉侵犯公民个人信息的行为，必须严厉惩治，以有效维护被害人合法权益。本案即通过侵犯公民个人信息实施的网络暴力案件，行为人购买个人信息并通过网络对外发布，严重侵犯被害人个人信息权益，且对被害人正常工作、生活造成严重滋扰，应当认定为‘情节严重’”。

2024 年，人民法院案例库将该案收录为参考案例。该案作为参考案例，其裁判要旨主要被归结为以下两点：“第一，向不特定多数人发布公民个人信息，情节严重，符合刑法第二百五十三条之一规定的，构成侵犯公民个人信息罪。司法实践中，对于通过‘人肉搜索’‘开盒’等方式，在网络上非法曝光他人隐私、发布公民个人信息等网络暴力行为，可以依法适用侵犯公民个人信息罪的规定。第二，《解释》第五条第一款对侵犯公民个人信息罪的入罪标准‘情节严重’规定了九项具体情形和一个兜底项‘其他情节严重的情形’。对于兜底项，应当综合行为动机、方式、危害及信息类型等情节考量，准确判断所涉情形是否与所列举的九项具体情形具有相当性，从而妥当决定应否适用。”

后来，入库参考案例编写小组又结合该案案情对上述裁判要旨进行了更为详细的说明。第一，该案中，被告人刘某某违反国家有关规定，非法获取公民个人信息并通过网络账号发布，就是通过信息网络发布公民个人信息的行为，故法院依法认定为《刑法》第 253 条之一规定的“提供公民个人信息”，以侵犯公民个人信息罪论处。第二，该案中，被告人刘某某为泄愤报复网络主播王某，从他人处购买王某及其父母的姓名、年龄、住址、身份证号码、照片等个人信息，并通过网络账号发布。所涉行为并未直接符合《解释》第 5 条第 1 款所列举的 9 项具体情形，故有必要进一步判断是否适用兜底项。具体而言：其一，从信息类型来看，涉案个人信息较为重要，直接涉及他人隐私，甚至包含高度私密信息；其二，从行为方式来看，刘某某不仅利用所涉信息编造侮辱性信息并通过网络发布，还利用网络账号大量添加被害人王某的粉丝，私信发送王某照片等个人身份信息，并扬言要蹲点杀害王某；其三，从引发的后果来看，刘某某的行为不仅使被害人王某遭受了重大经济损失，还严重影响了王某的正常生活。经综合考量，法院认为该案符合《解释》第 5 条第 1 款第 10项规定的“其他情节严重的情形”，构成侵犯公民个人信息罪。

（三）该案值得研究的问题

众所周知，网络暴力违法犯罪行为是近年来我国司法实务中的治理难点，也是刑法理论讨论的热点问题。当前，网络暴力违法犯罪行为时有发生，一些新型的网络暴力也不断涌现。开盒型网络暴力是近年来一种新型的网络暴力违法犯罪行为。“开盒”一词最初来源于贴吧，意思是每个人的网络社交账号就像一个盲盒，打开盒子获取某个人的个人信息，就是所谓的开盒。发展至今，开盒已成为一种新型网络暴力违法犯罪行为。开盒行为的实施者首先非法获取他人隐私信息，包括姓名、身份证号、手机号码、家庭住址、社交账号、消费记录等各种信息，然后在网上将这些信息公开后，再直接或者间接地煽动网民对受害者进行攻击、谩骂，甚至延伸至线下进行骚扰。乍看之下，开盒行为和早年的“人肉搜索”具有一定的相似性，两者均呈现出在网上公布他人隐私信息并实施网络暴力的特征。然而，在获取他人隐私信息方面，“人肉搜索”主要依靠网民自发协作、多人参与，共同搜集他人的信息。而搜集渠道主要是利用他人在公共空间发布动态或者晒照片时不经意暴露的一些个人信息，来整理和拼凑出他人的真实情况。但开盒与“人肉搜索”相比，实施起来则要简单得多。开盒者不再需要寻求多人协同作战，去费力搜寻关于他人的零星信息碎片，而是直接到海外的“社工库”购买他人的数据信息，而购买的程序也不复杂，可能只需要几十块钱到几百块钱就搞定了。开盒者基本上可以通过海外“社工库”一站式获取他人的多种隐私信息，比起原来通过“人肉搜索”获取他人隐私信息的方式门槛大为降低。这也是现在开盒行为如此泛滥的主要原因之一。

司法机关在应对开盒型网络暴力案件方面已经作出了不少努力。其中，最高人民法院在 2023年将上述刘某某侵犯公民个人信息案作为典型案例发布，并在 2024 年将其作为首例开盒网暴参考案例，试图通过该参考案例的发布以明确相应的裁判要旨，为今后的相关案例提供裁判指引。然而，既然是参考案例，那么就需要体现出充分的参考价值。从参考价值的角度而言，该案是否具有普遍意义，则值得进一步追问。具体而言，关于该案，至少有如下两个问题值得进一步研究。

第一，通过兜底项的适用来应对发布个人隐私信息的行为是否足够？无论是最高人民法院对本案意义的评价，还是入库参考案例编写小组对该案裁判要旨的解读，都表明该案在未来对司法实践具有重要参考价值，即通过对《解释》第 5 条第 1 款第 10 项规定的“其他情节严重的情形”的适用，将行为人以侵犯公民个人信息罪定罪处罚。对于某个具体个案而言，通过这种适用方案来应对发布个人隐私信息的行为并不能说有什么问题。但是，试图为今后类似的案件提供指引，即将通过兜底项的适用来应对发布个人隐私信息的行为的这种处理模式作为司法标杆，是否可行，便另当别论了。兜底项的规定毕竟较为模糊。一方面，虽然参考案例提供了相关判断指标，但其在具体案件中的适用性仍存在疑问；另一方面，如果大量的案件都适用兜底项的规定，其与罪刑法定原则之间是否存在紧张关系，也有待研究。因此，该案作为参考案例在应对发布个人隐私信息的行为时采取的模式能否对今后的类案提供普遍参考价值，有待进一步探讨。

第二，发布个人信息后的网暴以及骚扰行为是否不再需要单独评价？无论是裁判要旨，还是入库参考案例编写小组对本案的解读，好像都在传达一种理念，即行为人发布个人信息后的网暴以及骚扰行为是判断兜底项能否适用的重要考量标准。如此一来，行为人在发布个人隐私信息后，再对被害人实施的网暴以及骚扰行为便与之前发布个人信息的行为被一并评价了。而实际上，该案也确实没有对后续的网暴以及骚扰行为再进行单独评价。但是，行为人之后的网暴以及骚扰行为是否不再需要单独评价则值得进一步追问。因为，对于被害人来说，最令他们感到恐惧的，也是导致许多被害人直接退网甚至精神抑郁的，主要就是后续的网暴以及骚扰行为。如果将这些行为仅作为判断兜底项能否适用的考虑因素，与前面发布个人信息的行为一并处罚，那么会不会存在对行为人处罚不足的问题。因此，对于行为人在网上公布他人信息后再进行网暴以及骚扰的后续行为的刑法评价问题也有待进一步研究。

总之，虽然刘某某侵犯公民个人信息案作为首例开盒网暴参考案例入选了人民法院案例库，试图为今后的类似案件提供指引参考，但是，对于开盒型网络暴力而言，能否通过这一参考案例中所提供的应对模式来对其进行合理且充分的刑法规制，尚待研究。下文将围绕上述两个具体问题展开分析，以期针对开盒型网络暴力提出合理的刑法规制路径，从而实现有效打击与遏制。

二、开盒案件中发布个人隐私信息行为的刑法规制

（一）通过兜底项的适用来应对发布个人隐私信息行为的局限性

我们知道，兜底项只有在极其特殊的案件情况下才会被适用，通常情况下仍然需要依据明确具体的常规项来应对大多数案件。但是，在面对开盒型网络暴力时，如果我们要将其中的大部分案件处以侵犯公民个人信息罪的话，可能都需要适用兜底项的规定。因为，在《解释》第 5 条第 1 款第1 项到第 9 项的具体规定中，前两项规定要求他人利用提供的个人信息实施犯罪行为，第 3 项到第6 项规定都对案涉的个人信息有明确的数量要求（最少 50 条），第 7 项要求违法所得 5000 元以上，第 8 项是在履行职责或者提供服务过程中获得的公民个人信息，不适用开盒类案件，第 9 项要求曾因侵犯公民个人信息受过刑事处罚或者两年内受过行政处罚。而实践中发生的多数开盒案件都达不到这里的数量要求，或者满足不了被他人利用进行犯罪的要求，所以，难以根据前九项规定成立侵犯公民个人信息罪。要对实践中的多数开盒案件论以侵犯公民个人信息罪的话，就不得不求助于兜底项的规定。然而，如果想要通过大规模地适用兜底项的规定来应对开盒案件的话，一方面存在是否能够真正贯彻下去的问题，即由于兜底项本身的难以把握性而导致司法工作人员不敢轻易适用的问题；另一方面又存在如果真的大规模适用的话，是否会出现由于滥用该规定而与罪刑法定原则所要求的明确性产生冲突的问题。

其一，兜底项本身难以把握，导致司法工作人员不敢轻易适用该规定。虽然最高司法机关在发布首例开盒网暴案——刘某某侵犯公民个人信息案时，对兜底项的适用考量因素作出了相应说明，但从我们目前看到的司法现状来说，其在真实司法实践中的适用效果似乎仍不乐观。例如，2024 年公安部公布的 10 起打击整治网络暴力违法犯罪典型案例中，首例便是关于开盒的案件。公安部一开始公布的基本案情为：犯罪嫌疑人赵某、成某某等人通过黑客等手段非法获取公民个人信息，在网络上曝光某虚拟偶像团体成员和粉丝等 800 余人的隐私信息，并恶意侮辱谩骂受害人，造成恶劣影响。因此，2 名犯罪嫌疑人被依法采取刑事强制措施。然而，到了法院审判阶段，最终赵某、成某某却并没有被以侵犯公民个人信息罪定罪，而是按照非法利用信息网络罪判处了刑罚。法院指出，被告人赵某、成某某伙同境外人员，设立用于实施违法犯罪活动的通信群组，发布有关违法犯罪的信息，群组成员账号累计超过了 3 万个，情节严重，其行为已构成非法利用信息网络罪。根据法院认定的案件事实，将赵某、成某某按照非法利用信息网络罪判处刑罚自然没有问题。不过，让我们疑惑的是，为什么在认定非法利用信息网络罪之外，法院没有将行为人以侵犯公民个人信息罪论处？毕竟根据公安部公布的案件事实，行为人主要的犯罪行为是非法获取公民个人信息，并在网络上曝光他人的隐私信息。对此，一个重要的原因或许是，司法机关在审判过程中发现，将该案认定为侵犯公民个人信息罪会存在很大的入罪障碍，而障碍的根源在于该案难以满足《解释》前 9项的规定。因为根据媒体报道，该案中被赵某、成某某开盒的受害者多达 3000 人。而根据《解释》第 5 项的规定，非法获取、出售或者提供第 3 项、第 4 项规定以外的公民个人信息 5000 条以上的，才符合“情节严重”的标准。根据《解释》第 6 项的规定，数量未达到第 3 项至第 5 项规定标准的，也需要按相应比例合计达到有关数量标准。所以，该案最后才被认定为非法利用信息网络罪。我们看到，在该案中，司法机关并没有轻易地通过适用《解释》第 10 项的兜底规定来将案件认定为侵犯公民个人信息罪。那么，我们应该责怪司法机关没有魄力适用兜底项吗？答案是显而易见的。即使有一定的参考指标，但是在面对具体个案时，经常属于具体情况具体分析的状态，此时，由于兜底项规定本身的难以把握性，司法机关工作人员在具体适用时表现得比较犹豫并非不能理解。尤其是在当下的司法环境下，在缺乏明确具体的法律指引的情况下，要求司法机关都适用兜底项这种具有实质立法性质的规定来处理多数案件，并承担相应的司法风险，显然是强人所难了。对于这一点，从实践中多数被开盒者所面临的巨大维权困境中也可见一斑。在不能通过前九项的规定来给开盒者定罪的前提下，如果能通过兜底项的适用来轻易地认定开盒者构成侵犯公民个人信息罪，被开盒者也不会表现得如此无助了。

其二，大规模适用兜底项的规定可能产生与罪刑法定原则所要求的明确性之间的冲突。根据刑法学理中对兜底规定的分类，《解释》第 10 项的兜底规定属于类型的兜底规定。类型的兜底规定在我国《刑法》中比较典型地体现为第 225 条非法经营罪规定的四种行为类型中的第 4 项，即“其他严重扰乱市场秩序的非法经营行为”的兜底规定。由于第 225 条前 3 项列举的违法行为类型缺少共同点，在适用第 4 项的兜底规定时也难以根据同类解释的规则来确定其适用范围，因而在司法实践中往往会导致该项兜底规定适用时的模糊性和扩张性，出现要么不用，要么滥用的不良局面。所以，有观点提出，对于这种类型的兜底规定，应该进一步明确其处罚的具体类型，并限制其处罚范围。而反观参考案例适用的《解释》第 10 项的兜底规定，虽然是在司法解释中的兜底规定，但性质上与第 225 条第 4 项的兜底规定并无区别。虽然《解释》前 9 项中的某些项之间存在一定的关联，但就所有 9 项规定整体而言，仍缺乏明显的共同点，所以，在适用第 10 项的兜底规定时也难以参照前 9 项的规定来实施。对于我国《刑法》正文中的类型的兜底规定，我们还可以由最高司法机关通过发布司法解释的方式来进一步确定处罚的具体类型，但是，对于已经是规定在司法解释中的类型的兜底规定，这种进一步明确处罚范围的方式也没办法采用了。因此，在这样的前提下，我们还要试图通过大规模地适用《解释》第 10 项的兜底规定来应对司法实践中的多数开盒案件，使我们不得不担忧其会不会与罪刑法定原则所要求的明确性之间产生越来越多的冲突，甚至由于对该项兜底规定的滥用而对行为人的权利造成过度的侵害。

总之，通过兜底项的适用来应对发布个人隐私信息行为的做法存在局限性。一方面，如果要求司法机关今后在处理这类案件时，都需要灵活地参考适用兜底项的规定来应对大多数的发布个人隐私信息的开盒案件，最后究竟能执行到什么程度，谁也不敢保证。另一方面，如果适用多了，我们又不得不担心这种做法会对罪刑法定原则产生冲击。参考案例试图通过只有在极其例外情况下才得以适用的兜底规定，来应对实践中发生的多数开盒型网暴案件，对于今后相关案件的审判是否能起到良好的指引效果，值得怀疑。

（二）发布个人隐私信息行为刑法规制的努力方向

尽管参考案例对于多数开盒型网络暴力案件在具体法律适用层面的参考价值可能并不具有普遍性，然而，司法机关通过对参考案例的发布想要传达的主旨思想我们完全可以理解。那就是要对网络暴力严厉惩治，以有效维护被害人的合法权益。基于此，在参考案例所传达的严厉治理网络暴力精神的引领下，我们在理论上需要研究的主要是，针对开盒型网络暴力行为，如何从刑法角度更加全面完善地来对其进行规制。既然参考案例提供的兜底项适用方案存在局限性，那么，我们又应该采用什么样的应对方案呢？即应该在哪些方面做出努力来改变现在的司法状况呢？换言之，在未来，我们应将刑法规制的努力方向放在何处，才是应对开盒型网络暴力的合理出路呢？

对此，我们非常容易想到的一个努力方向便是针对现有刑法罪名框架下存在的入罪障碍进行直接的调适与修改。因为，如前所述，对于开盒案件中公布他人隐私信息的行为，如果排除适用《解释》第 10 项的兜底规定，那么，在现有刑法罪名体系下，仅根据《解释》前 9 项的规定来处罚公布他人隐私信息的行为，的确存在一定程度的入罪障碍。而简单粗暴的改进做法便是对这些入罪障碍直接予以修订，以使其能够将公布他人隐私信息的行为纳入其处罚范围。比如，大幅降低《解释》前 9 项规定的入罪标准，甚至取消对侵犯公民个人信息数量要求的限制。如果采用这样的应对思路，虽然能对遏制开盒乱象起到直接的效果，但这种以问题性思考为主要应对策略的解决方案，在解决具体问题的同时，可能由于体系性思考的缺失，造成相关罪名在刑法体系上的混乱。例如，我们虽然可以通过降低侵犯公民个人信息罪的入罪标准来处罚在网上公布他人隐私信息的行为，但是，这一标准的降低也会导致所有侵犯公民个人信息的行为类型的入罪标准都降低，这会不会使得开盒案件以外的其他类型的侵犯公民个人信息的行为动辄入罪，从而造成刑法处罚范围的大幅扩张，同时模糊刑罚与行政处罚之间的界限。所以，这一努力方向未必是应对开盒案件中公布他人隐私信息行为的合适途径。

那么，对于开盒案件中公布他人隐私信息行为的刑法规制，应从何处着手作为刑法规制的努力方向呢？本文认为，应在现有刑法规范体系之外，另行通过刑法规范明确公布他人隐私信息行为的刑事处罚，而不能只依靠对现有规范的粗暴调整。因为现行法律对开盒者处罚力度不足，别说入刑，成功立案都十分困难。在实践中，这些行为没有引起足够重视的原因主要有两方面：一方面，自然是受限于现有罪名体系下的入罪障碍；另一方面，也是更为关键的是，我们在刑法规范设置上就没有对这些行为给予足够的关注。当没有明确的法律指引的时候，我们也不能过多地要求司法工作者冒着巨大的风险通过现有罪名体系下的一些规定来曲折地维护被害人的权利。因此，只有当我们在刑法中给出明确的指示，细化入罪的具体条件，这种现象才可能减少，开盒者才不会如此有恃无恐、肆无忌惮。所以，对于开盒者在网上公布被害人隐私信息的行为，从刑法规范设置层面给予足够的重视，应成为我们今后的努力方向。

（三）发布个人隐私信息行为刑法规制的优化路径

如前所述，参考案例试图通过兜底项的适用来加强对在网上公布他人隐私信息行为的刑事处罚，但是实践效果并不理想。对此，我们还是应将今后的努力方向放在具体的刑事立法层面，即通过直接明确的刑法规范来表明对这种行为的刑事处罚态度。在此努力方向之下，我们接下来要做的主要是，如何使这种刑法规范的设立更加合理，即今后在这一努力方向下的刑法规制路径如何做到更为优化的问题。

对于这一在未来如何具体设立刑法规范的问题，其实在我国刑法学理上也已经有所讨论，只是理论中尚存在一定的分歧。有的学者主张，应在我国刑法中增设“泄露他人隐私罪”或其他类似罪名，将公布他人隐私信息的行为单独纳入刑法规制范围。有的学者则认为，独立增设新罪的必要性并不充分，可以在侵犯公民个人信息罪的基本框架下，借助司法解释对侵犯公民个人信息罪进行规范填充来应对在网上公布他人隐私信息的行为。对于上述分歧，本文认为，其实两种规制路径的实质差别不大。即使是在侵犯公民个人信息罪的基本框架下，通过司法解释来解决问题，那也无异于实质性的立法，只是还披着司法解释的外衣而已。因为，根据这种方案，需要对公布个人隐私信息的行为设置独立的入刑门槛和罪量标准。这就意味着要对“通过信息网络或者其他途径发布公民个人信息”型的“非法提供”行为与“向特定人提供公民个人信息”型的“非法提供”行为采取不同的入罪标准。而“向特定人提供公民个人信息”型的“非法提供”行为仍然可以适用《解释》第 5 条的入罪标准，但“通过信息网络或者其他途径发布公民个人信息”型的“非法提供”行为，原本依据《解释》第 5 条前 9 项的规定无法入罪，至多根据《治安管理处罚法》第 50 条第 6 项的规定，以散布他人隐私为由予以行政处罚。现在设置独立的入刑标准后，通过降低相应标准，使此类行为得以入罪。这与实质性的立法已经没有多大区别。

当然，如果追求短期规制效果，这种规制路径也并非不可接受。不过，这种规制路径相较于真正的专门的刑事立法却可能会产生更多的不协调。因为“通过信息网络或者其他途径发布公民个人信息”型的“非法提供”行为与“向特定人提供公民个人信息”型的“非法提供”行为的危害性显然不同。“向特定人提供公民个人信息”型的“非法提供”行为与“非法获取”和“非法出售”行为的危害性相当，侵犯公民个人信息罪在设计法条时也是将三种行为类型并列规定的。现在，刑法法条中的“非法提供”行为还包含了危害性更为严重的“通过信息网络或者其他途径发布公民个人信息”型的“非法提供”行为，而且还是与原来的两种行为类型并列，则多少有些怪异。所以，如果是这样的话，还不如直接将这种名义上的司法解释修订方案予以扶正，通过专门的刑事立法形式表现出来。同时也保留了侵犯公民个人信息罪中“非法提供”行为的正常含义，而不用再通过司法解释勉强将“通过信息网络或者其他途径发布公民个人信息”解释为“非法提供”。尽管类似解释在以刑法解释学见长的刑法理论中并不鲜见，但始终存在类推解释的嫌疑。

至于具体的刑事立法方案，则可能需要在参考域外立法经验的基础上审慎展开。例如，荷兰在 2024 年 1 月起开始实施的新的刑法修正案，便正式将直接在网上公布他人隐私信息的行为列为犯罪。根据新法案的内容，以恐吓、骚扰为目的，在互联网公开他人姓名、私人地址和电话号码等个人信息的行为，将被处以最长 2 年监禁或最高 2.25 万欧元的刑罚；若对市政雇员、科学家、记者等特殊职业群体实施此类行为，最高刑罚将再加重 30%。实际上，荷兰之前也并非缺乏规制这种行为的相关法律，只是和我国的情况类似，原来的法律入罪门槛较高，导致实践中针对这些行为的起诉经常以失败告终。因此，荷兰这次的刑法修正案为今后更有针对性地打击这些行为提供了更为坚实的依据。又如，我国香港地区在 2021 年对《个人资料（私隐）条例》进行重新修订，首次将“起底”行为定为刑事犯罪。该条例针对“起底”行为引入了两级制的新罪行。经修订后的条例第 64（3A）条属于适用简易程序审讯的罪行，主要内容为：任何人在未获得当事人的同意下披露与之相关的个人信息，故意或罔顾其行为对当事人及其家人造成任何指明伤害的，可处以最高 10 万港元罚款及 2 年监禁。而经修订后的条例第 64（3C）条属于适用公诉程序审讯的罪行，主要内容为：任何人在未获得当事人的同意下披露与之相关的个人信息，故意或罔顾其行为对当事人及其家人造成任何指明伤害，且对当事人或其家人造成实质性伤害后果的，最高刑罚可达 100 万港元罚款及 5 年监禁。而这里的“指明伤害”定义宽泛，包括滋扰、骚扰、威胁或恐吓，身体伤害或心理伤害，对安全和福祉受到伤害的合理担忧，财产损失，等等。总之，其他法域针对公开散布私人信息行为的入罪化规定越来越多，这给了我们今后制定相关立法时以资借鉴的经验。

本文初步设想，我们未来在刑法中专门立法来加强对于公布他人隐私信息行为的处罚力度时，应将罪状设计得尽量明确具体一些。比如，首先，在客观上要求行为人没有获得当事人的同意而公开披露该当事人的个人信息，在主观上要求披露者带有希望或者放任被害人或其家人受到任何伤害的故意。其次，为避免对合理的公布隐私行为造成不必要的打击，过度影响言论自由，也应为合法主体的公布行为提供免责事由，如发布新闻的记者、不法行为的举报人或者有正当依据的维权者，在符合公众利益的情况下，便不应受到惩罚。再次，对于个人信息、家人等构成要素的涵盖范围，如果有必要的话，仍应在司法解释中进一步明确。最后，在法定刑的设置上，应按照轻罪的立法思路来进行。前述荷兰以及我国香港地区的立法对基本犯规定的最高刑均为 2 年，不过鉴于我国原本对这种行为只是在《治安管理处罚法》中进行过规定，若直接设定如此高的刑罚，恐与既有法律体系存在过大落差。因此，本文认为，在今后的立法中关于基本犯的法定刑的设置原则上最高刑应控制在 1 年有期徒刑以内。关于这一点，其实我们看到，参考案例的最终量刑也并不重。此外，关于新立法在分则体系中的位置，鉴于这种行为针对的对象仍是公民个人信息，但其与目前侵犯公民个人信息罪——主要规制的是已经掌握公民个人信息并非法提供给他人或者非法获取公民个人信息的行为——存在明显差异，所以，最好在侵犯公民个人信息罪之后，另设一条泄露他人隐私信息罪或者非法披露公民个人信息罪作为第 253 条之二。

总之，根据本文的这一初步设想，目前司法实践中令人头疼的随意公布他人隐私信息的开盒行为会受到大幅遏制。当然，本文在立法设计的细节上可能仍不免存在思虑不周之处，但是，相信在未来的立法中，这种应对方案将是在刑法领域针对上述行为的合理规制路径。

三、开盒案件中实施的网暴、骚扰行为的刑法规制

（一）对后续实施的行为予以独立评价的必要性与目前的入罪障碍

1.对后续实施的行为予以独立评价的必要性

参考案例中没有对行为人发布个人隐私信息后实施的网暴及骚扰等后续行为进行刑法的单独评价，这一做法是否合理存在疑问。在本文看来，对这些行为进行刑法的独立评价具有必要性。

其一，就行为本身的危害性而言，目前司法实践中的许多开盒型网络暴力案件中，开盒之后的网暴以及骚扰行为已经达到了非常严重的程度。开盒者在网上煽动网民对开盒对象进行攻击谩骂，并伴有各种严重的骚扰行为。这一点在之前的参考案例中已经有所体现。开盒者为达成打击目的，会持续采用多种恶劣手段对受害者进行骚扰，包括密集发送垃圾短信、邮件，拨打骚扰电话；利用获取的住址信息寄送寿衣、粪便等侮辱性物品；对受害者照片进行恶意篡改（如合成至棺材或色情图片中）。若开盒者支付足够费用，甚至会出现人员实际前往被开盒对象的住所，实施敲门、泼油漆、焚烧照片等恐吓行为。此外，开盒带来的不仅是精神折磨，还包括现实生活中的巨大困扰。例如，用被开盒者的身份证号办理遗体捐献登记、进行网络贷款，甚至对其父母、亲友实施人身威胁与骚扰。所以，对普通人而言，一旦遭遇开盒，轻则被迫退网，重则陷入抑郁状态。与此前的网络暴力行为相比，这种新型的网络暴力行为呈现出了更为显著的组织化和产业化趋势，其对公民基本权利以及网络空间秩序的伤害更为严重，可能直接摧毁受害者的正常生活，也可能严重挤压公共讨论的空间，破坏网络生态的健康发展。因此，从保护公民权利、维护社会利益的角度出发，对于这些严重的网暴以及骚扰行为，刑法须给予特别关注。

其二，仅将“开盒”之后的网暴以及骚扰行为作为判断能否适用兜底项规定的参考标准，并不足以评价这些行为的危害性。如前文所述，在首例“开盒”网暴案刘某某侵犯公民个人信息案中， “开盒”之后的网暴以及骚扰行为没有被单独评价，而是与前面的发布隐私信息行为一并作为侵犯公民个人信息罪处罚了。但是，这种处理模式本身就是存在疑问的。在实践中发生的“开盒”案件中，当“开盒”之后的网暴以及骚扰行为较为严重时，如果仍沿用参考案例的上述处理模式，显然对这些行为的危害性评价不足。因为，仅对行为人以侵犯公民个人信息罪论处，虽然评价了其对被害人隐私信息权益的侵害，却未充分评价由严重网暴和骚扰行为所造成的对被害人人身权益的侵害。如果行为人发布个人隐私信息后，是由行为人之外的他人再对被害人实施网暴以及骚扰行为的，鉴于其严重的法益侵害性，我们当然会再对行为人之外的他人进行刑法上的独立评价。既然如此，也就没有理由不对行为人自己后续实施的严重网暴以及骚扰行为再进行刑法上的单独评价，而仅将其作为发布个人隐私信息行为能否适用兜底项的参考因素。

总之，鉴于网暴及骚扰行为具有严重危害性，我们不能因参考案例没有对其进行刑法上的单独评价，就在今后相关案例中忽视对这部分行为进行刑法上的单独评价与规制。无论参考案例未对后续实施的网暴以及骚扰行为进行单独评价是有意为之还是无意忽略，我们都应指出这一问题。

2.目前对后续实施的行为予以入罪的主要障碍

当然，在目前的刑法规范体系下，对后续实施的网暴以及骚扰行为的独立评价确实也存在一定的障碍，这可能也是参考案例以及一系列类似案件对这部分行为评价不足的重要原因。

其一，对于一般的网暴行为而言，虽然根据相关司法解释的规定，存在成立诽谤罪、侮辱罪或者寻衅滋事罪的可能，然而，要想成立上述这些犯罪却存在诸多限制。一是，就诽谤罪、侮辱罪的成立而言，两罪作为原则上的亲告罪，被害人想要告诉的话，首先就需要自己收集证据，但是，被害人除了开盒者的一些 ID 号和网名，几乎没有他们的任何个人信息。如果要获得开盒者的真实信息的话，在实践中就需要先起诉平台的多个网络账号对其造成侵权，并让平台提供用户的真实身份信息。虽然根据《刑法》第 246 条第 3 款的规定，被害人提供证据确有困难的，人民法院可以要求公安机关提供协助。但是，这又要求被害人被侵害的程度达到了人民法院认可的入罪条件。然而，实践中的许多开盒案件也难说可以达到两罪中的“情节严重”的标准。二是，就寻衅滋事罪的成立而言，根据《关于公安机关管辖的刑事案件立案追诉标准的规定（一）的补充规定》，利用信息网络辱骂、恐吓他人的，要达到刑事追诉标准，需要多次实施，造成恶劣社会影响。或者辱骂、恐吓精神病人、残疾人、流浪乞讨人员、老年人、孕妇、未成年人，造成恶劣社会影响，或者引起他人精神失常、自杀等严重后果；又或者严重影响他人的工作、生活、生产、经营。其中的 “恶劣社会影响”“严重后果”“严重影响”等标准，一方面说明辱骂、恐吓他人的行为需要具备较为严重的法益侵害性，另一方面也反映出这些标准存在界定模糊的问题。这也是实践中并未见多少开盒案件被以寻衅滋事罪定罪的原因。

其二，仅将“开盒”之后的网暴以及骚扰行为作为判断能否适用兜底项规定的参考标准，并不足以评价这些行为的危害性。如前文所述，在首例“开盒”网暴案刘某某侵犯公民个人信息案中， “开盒”之后的网暴以及骚扰行为没有被单独评价，而是与前面的发布隐私信息行为一并作为侵犯公民个人信息罪处罚了。但是，这种处理模式本身就是存在疑问的。在实践中发生的“开盒”案件中，当“开盒”之后的网暴以及骚扰行为较为严重时，如果仍沿用参考案例的上述处理模式，显然对这些行为的危害性评价不足。因为，仅对行为人以侵犯公民个人信息罪论处，虽然评价了其对被害人隐私信息权益的侵害，却未充分评价由严重网暴和骚扰行为所造成的对被害人人身权益的侵害。如果行为人发布个人隐私信息后，是由行为人之外的他人再对被害人实施网暴以及骚扰行为的，鉴于其严重的法益侵害性，我们当然会再对行为人之外的他人进行刑法上的独立评价。既然如此，也就没有理由不对行为人自己后续实施的严重网暴以及骚扰行为再进行刑法上的单独评价，而仅将其作为发布个人隐私信息行为能否适用兜底项的参考因素。

总之，鉴于网暴及骚扰行为具有严重危害性，我们不能因参考案例没有对其进行刑法上的单独评价，就在今后相关案例中忽视对这部分行为进行刑法上的单独评价与规制。无论参考案例未对后续实施的网暴以及骚扰行为进行单独评价是有意为之还是无意忽略，我们都应指出这一问题。

（二）对后续实施的行为予以刑法规制的努力方向

如前文所述，针对开盒案件中公布他人隐私信息行为的刑法规制，不应将未来努力方向简单置于对侵犯公民个人信息罪现行入罪标准的直接调整上。那么，对于后续实施的网暴及骚扰行为应如何处理？是否通过修改现有罪名体系中的入罪障碍即可有效解决问题？例如，改变诽谤罪、侮辱罪的亲告罪属性，并降低这两罪以及寻衅滋事罪的入罪标准；又如，扩充现有罪名体系的行为类型，使之能涵盖单纯的骚扰行为。对此，前景似乎仍不乐观。虽然降低诽谤罪、侮辱罪以及寻衅滋事罪的入罪标准，或者改变前两罪的亲告罪属性，确实会对当前网络暴力行为起到较好的规制效果，但此举可能会面临与降低侵犯公民个人信息罪入罪标准相似的质疑。同时，将诽谤罪、侮辱罪改为公诉罪，可能会导致相关案件数量大幅增加，使司法部门不堪重负。如果通过扩充现有罪名体系的行为类型来涵盖单纯的骚扰行为，如在寻衅滋事罪的行为类型中增加一项新的行为类型，则需审慎评估新增行为是否达到与原有四类行为相当的危害程度。若将此类行为的法定最高刑设定为 5 年有期徒刑，可能引发罪刑失衡的问题。

在笔者看来，在克服目前开盒案件中后续实施的网暴、骚扰行为面临的入罪障碍时，上述几种应对思路难以消除体系性思考的缺失可能造成的负面影响，这些处理思路均不应成为我们今后规制开盒案件的主要方案，否则可能会带来更多的理论疑问。既然这些方案存在问题，而司法实践中对后续的网暴和骚扰行为的处罚不足也往往和前述的发布个人隐私信息行为的处罚不足一样，很大程度上源于刑事立法层面对其重视不够，那么，对于后续的网暴和骚扰行为的刑法规制而言，可能更好的努力方向仍需要向后者看齐。因此，为了避免被害人在实践中陷入无尽的维权困难，对于后续的网暴和骚扰行为的处罚也应与我们对发布个人隐私信息行为的刑法规制一样，在现有刑法规范体系之外再专门通过刑法规范明确后续的网暴和骚扰行为的刑事处罚。在笔者看来，这应成为我们在今后通过刑法规制开盒案件中后续实施的网暴、骚扰行为时的主要努力方向。

（三）对后续实施的行为予以刑法规制的优化路径

在明确了后续实施的网暴、骚扰行为的刑法规制方向之后，接下来的重点便是在这一方向下如何具体地优化刑法规制的路径。关于一般的在线上网暴他人的行为，在我国刑法领域，近年来已经有了相当多的成熟研究成果，尤其是立法修正方面的建议。对此，我们需要做的可能更多的是如何把这些研究成果落实到真实的立法以及司法实践中。因此，本文在这里对该问题不再做过多的讨论。而对于开盒案件中所表现出的严重骚扰行为，目前刑法理论中的讨论仍然不多且难说成熟，下文主要对这种行为的刑法规制的优化路径尝试展开探索，希望能推动相关理论研究，弥补实践不足。具体来说，本文认为，我们可以通过设立专门的纠缠骚扰罪的形式来规制严重的骚扰行为，以加强人身权利的刑法保护。

如前所述，目前我国刑法中并没有针对严重骚扰行为设置专门的罪名，而现有的罪名在司法实践中的适用效果也不理想。其实，这与我们多年来一直对精神伤害的重视不足有很大的关系。所谓精神伤害，是指使他人长期处于神经衰弱、抑郁、不安、惊恐的状态，或引发应激反应障碍等后果的行为。在以往的司法实践中，除非存在极其严重、特殊的情形，否则通常不会将精神伤害纳入故意伤害罪的处罚范围。但是近年来，理论界逐渐重视人身权利的刑法保护问题。精神伤害被认为对人体的危害并不亚于肉体伤害。长时间的精神伤害甚至比肉体上的伤害更为严重。所以，不应忽视精神伤害的危害性，完全可以将严重的精神伤害作为故意伤害罪来处理。只不过，由于司法惯性的影响，仅仅通过理论的解释与呼吁，对司法现状产生的影响可能也比较有限。这一点从实践中故意伤害罪在开盒案件中极低的适用比例就可以看出来。同时，鉴于故意伤害罪基本犯的法定最高刑为 3 年有期徒刑，如果将精神伤害纳入故意伤害罪的规制范畴，是否会导致罪刑失衡的问题，需要进一步讨论。因此，如果仅从理论解释出发，以故意伤害罪的适用来应对实践中的严重骚扰行为恐怕并不现实。本文认为，要解决这一问题，可能仍需要优先从立法论的角度进行考虑。

在近年来身体法益的刑法保护越发受到理论重视的背景下，也已经有学者逐渐注意到了纠缠骚扰行为对个人精神安宁的危害性，以及我国司法实践中对于纠缠骚扰行为规制不足的现状，并进而主张应在我国刑法中设立专门规制纠缠骚扰行为的罪名。本文也认同这种立法论的基本思路。实际上，放眼域外许多国家和地区的刑事立法，都能找到相关的立法规定。例如，大陆法系的德国、日本、法国，以及我国台湾地区，都有许多类似的刑事立法规定。尽管不同国家和地区在具体的立法细节上存在一些差异，但在要进行刑事立法这一点上却表现出极大的趋同性。目前，我国刑事立法对纠缠骚扰行为的规制效果并不好，因此，借鉴域外经验，并结合我国的实际情况，在刑法中设立类似的纠缠骚扰罪来规制严重的骚扰行为以加强人身权利的刑法保护在未来立法中就变得越来越有必要。换言之，对于开盒之后实施的严重骚扰行为，不仅如前所述有必要对其进行单独评价，而且在如何评价的问题上，更有必要通过独立的刑事立法予以具体规制。

关于具体的条文设置，本文的基本设想是，首先，由于实践中骚扰行为的样态多种多样，所以在基本犯的罪状设计上，既应具有概括性，又应尽量明确，以防止模糊罪状的不当入罪风险。对此，可以参考德国刑法中“概括 + 列举”的立法模式。至于具体的列举种类，需要在对我国实践中比较棘手的骚扰案件类型进行充分实证分析的基础上，有针对性地提炼重点，以做到有的放矢。其次，在法定刑的配置上，从域外的立法实践来看，该罪基本犯的法定刑普遍较低，属于轻罪范畴。我国也可以采取这种法定刑配置方案，即基本犯的最高刑原则上不高于 2 年有期徒刑。从罪刑均衡的角度来看，这样的设计符合骚扰行为对人身权利造成的基本侵害程度。而如果产生了更为严重的后果，我们可以通过其他的罪名或者与本罪之间产生想象竞合的罪名来进行应对。最后，在是否将本罪设置为亲告罪的问题上，从域外的立法实践来看，许多国家和地区的立法都将该罪设置为亲告罪。不过，也有一些国家将本罪设置为非亲告罪。例如，日本原来的立法是亲告罪模式，后来又改为了现在的非亲告罪模式。这主要是考虑到被害人不敢告诉、不能告诉的一些情况，以及当对个人的骚扰行为涉及对公共利益的危害时，亲告罪模式不利于对公共利益的保护等情况。当然，我国今后在立法时，也可以采取更为灵活的立法模式，将本罪原则设置为亲告罪模式，例外情况下为非亲告罪模式，类似于我国现在侮辱罪、诽谤罪的立法设置。正如我国有的学者所言，在更好地保护被害人的前提下可将本罪设定为亲告罪，但若涉及公共利益的损害，则可提起公诉。此外，关于本罪在刑法分则中的位置安排，由于这种纠缠骚扰行为主要侵犯的是公民日常生活的安宁权，属于对人身权利的侵犯，自然应放在我国刑法分则第四章“侵犯公民人身权利、民主权利罪”中。相信这样的立法设计会对未来实践中类似开盒案件中的各种骚扰行为起到直接的遏制效果，至少让被害人可以通过该罪直接维护自身的权利，也给了司法机关更为明确的法律指引来积极保护被害人免遭侵害。

四、结语

在由传统社会向数字社会转型的背景下，我们的生活场景逐渐从线下转到了线上，同时我们的个人信息也被越来越多地数据化。这些数据化的信息构成了我们网络上的数字身份。但是，伴随而来的则是个人信息数据大规模泄露愈演愈烈。这不仅严重影响我们的数字身份，甚至延伸到对线下真实身份的污损。司法实践中发生的各种开盒事件是我们当下正处于数据裸奔时代的鲜活反映，也暴露出我们当下对于隐私保护以及人身权利保护不足的残酷现实。为了避免我们今后每个人都随时可能沦为被开盒的对象，为了遏制这种低成本高收益的“暴力杠杆”在网络世界的肆虐及其对现实世界的严重伤害，我们应深入思考刑法层面的应对策略。

就刑法领域而言，应该积极介入针对开盒型网络暴力行为的规制。不过，从对首例开盒网暴参考案例的分析来看，我国目前刑法规范体系下的规制路径仍有待完善之处。在今后的规制优化上，除了进一步吸收落实目前理论中关于网络暴力刑法治理的成熟研究成果之外，还可以通过专门的刑事立法明确处罚在网上公布他人隐私信息的行为，以及设立纠缠骚扰罪来规制包括开盒网暴案件在内的类似案件中的严重骚扰行为，以加强人身权利的刑法保护。至于具体的立法细节，可以在未来的立法实践中进一步讨论。至少在总体的规制路径上，我们应朝着这个方向前进。当然，任何刑事立法的扩张都意味着对个人自由空间的压缩。我们在立法时也应注重对行为人权利的保障，确保立法的科学性和明确性，防止对立法权的滥用。希望通过以上的立法优化措施，既能够减少数字时代的技术异化所产生的负面效应，也可以明确对于开盒者的处罚界限，从而实现刑法法益保护机能与人权保障机能之间的动态平衡。

来源：《湖湘法学评论》2025年第5期（总第19期）“判解研究”栏目

作者：李志恒，法学博士、山东大学法学院助理研究员