高富平 王文祥

(華東政法大學，上海 200042)

出售或提供公民個人信息入罪的邊界*──以侵犯公民個人信息罪所保護的法益為視角

高富平 王文祥

(華東政法大學，上海 200042)

自2009年《刑法修正案(七)》將個人信息納入刑法保護以來，侵犯公民個人信息罪的范圍一直存在爭議。侵犯公民個人信息罪所保護的法益是公民人格尊嚴與個人自由，從出售或提供公民個人信息行為的實質(zhì)違法性角度出發(fā)，應當將個人信息限縮在具有危害該法益的“公民個人信息”內(nèi)，且應當將行為目的作為該罪的必要要件。這一結(jié)論不僅對現(xiàn)行刑法的正確適用具有指導價值，而且對刑法進一步修訂提出了期待；其要求在有效打擊我國侵犯公民個人信息犯罪行為的同時，為大數(shù)據(jù)應用提供寬松的環(huán)境。

個人信息；個人信息保護出售或提供公民個人信息；侵犯公民個人信息罪

①《刑修七》中“出售、非法提供公民個人信息罪”的主體為“國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”。

自2009年《中華人民共和國刑法修正案(七)》(以下簡稱：《刑修七》)首次將侵犯公民個人信息行為納入刑法保護后，這種保護力度不斷得到強化。2015年《中華人民共和國刑法修正案(九)》(以下簡稱：《刑修九》)進一步將個人信息犯罪的主體擴大到任何主體，①取消了“非法提供”中的“非法”，將入刑的行為確定為“出售或提供公民個人信息”和“竊取或者以其他方法非法獲取公民個人信息”兩種行為。這意味著，不僅出售公民個人信息和購買公民個人信息(歸類到以其他方法獲取行為之內(nèi))可能入刑，而且向他人提供公民個人信息或者接受公民個人信息也存在承擔刑事責任的風險。

我國《刑法》有關(guān)個人信息犯罪的修改，引起了社會的廣泛關(guān)注。個人信息(又稱個人數(shù)據(jù))是社會活動尤其是開展商業(yè)活動必不可少的要素，尤其是伴隨大數(shù)據(jù)的應用，人類進入數(shù)據(jù)化時代，收集和分析各種數(shù)據(jù)并應用于各種決策成為社會運營的常態(tài)。政府在社會治理和決策中要大量應用個人數(shù)據(jù)，基于對個人數(shù)據(jù)分析的精準營銷、網(wǎng)絡推送、個性化定制等也已成為現(xiàn)代商業(yè)的基本樣態(tài)。除了在提供服務或商品中自行收集個人數(shù)據(jù)外，許多商家開始依賴外部數(shù)據(jù)，其獲取方式包括分享、互換、許可使用等。此外，各地也紛紛建立專業(yè)大數(shù)據(jù)交易服務機構(gòu)，搭建數(shù)據(jù)交易平臺，推進數(shù)據(jù)的社會化利用。*繼2014年12月10日北京大數(shù)據(jù)交易服務平臺正式上線運行后，國內(nèi)又有許多省市成立大數(shù)據(jù)交易機構(gòu)，比如貴陽大數(shù)據(jù)交易所(2015年4月14日)、長江大數(shù)據(jù)交易所(2015年7月16日)、杭州錢塘大數(shù)據(jù)交易中心有限公司(2015年12月15日)、上海數(shù)據(jù)交易有限公司(2016年4月1日)等?！缎绦蘧拧窡o疑給商業(yè)活動中廣泛存在的數(shù)據(jù)交換和正在興起的數(shù)據(jù)交易蒙上一層陰影。由于個人數(shù)據(jù)保護立法和執(zhí)法的滯后，我國的個人信息濫用、無序利用已經(jīng)到了危害人身和財產(chǎn)安全的地步，因而國家就率先運用刑法，懲治侵害公民個人信息的犯罪行為。但是，刑法的不正確適用會抑制我國大數(shù)據(jù)應用的創(chuàng)新和正當?shù)暮虾鯂H規(guī)則的商業(yè)應用。因此，必須對《刑修九》規(guī)定的侵犯公民個人信息罪進行正確的解釋和適用，這樣才能在打擊公民個人信息犯罪的同時，為正當?shù)膫€人信息收集和使用提供良好的制度環(huán)境。

筆者于本文中以“出售或提供”公民個人信息行為為核心，著重討論我國侵犯公民個人信息罪所保護的客體，在對刑法保護的核心——侵害的法益進行分析的基礎(chǔ)上，論述該罪所禁止行為的實質(zhì)違法性，試圖回答出售或提供何種公民個人信息才具有刑法上的可責性，何種出售或提供行為才具有實質(zhì)違法性并構(gòu)成犯罪。

一、侵犯公民個人信息罪所保護的法益

傳統(tǒng)刑法理論認為犯罪的客體是指刑法所保護的、為犯罪行為所侵害的社會關(guān)系，嚴重社會危害性是犯罪的本質(zhì)特征。有學者提出，縱觀刑法分則，并沒有將犯罪客體表述為社會關(guān)系，而是將權(quán)利、秩序、利益等作為犯罪客體；因此，刑法所保護的利益用法益來概括比用社會關(guān)系來概括更為合適。*參見張明楷：《刑法原理》，商務印書館出版2011年版，第73-74頁。依此，“行為是否具有實質(zhì)違法性，是根據(jù)法益是否受到侵害或者威脅來評價的”。*同上注，張明楷書，第75頁。筆者認同該觀點，應當先分析侵犯公民信息罪所保護的法益，再進一步分析出售或提供哪些公民個人信息構(gòu)成實質(zhì)性違法，應受刑法處罰。

有學者基于《刑修七》對于犯罪主體的特殊限定，認為侵犯公民個人信息罪所保護的主要法益為“‘公權(quán) (益) 關(guān)聯(lián)主體’對公民個人信息的保有”，同時兼顧了公民個人信息的自由和安全或個人隱私。*趙軍：《侵犯公民個人信息犯罪法益研究——兼析〈刑法修正案(七)〉的相關(guān)爭議問題》，《江西財經(jīng)大學學報》2011年第2期。顯然，《刑修九》對侵犯公民個人信息罪犯罪主體的修改，足以說明該罪所保護之主要法益并非公權(quán)益關(guān)聯(lián)主體對公民個人信息的保有。此外，部分學者認為該罪保護的法益為“個人信息所體現(xiàn)的公民的隱私權(quán)”，*王昭武、肖凱：《侵犯公民個人信息犯罪認定中的若干問題》，《法學》2009年第12期。“只有個人信息中體現(xiàn)著個人隱私權(quán)的那一部分信息才屬于刑法保障的范圍”。*蔡軍：《侵犯個人信息犯罪立法的理性分析——兼論對該罪立法的反思與展望》，《現(xiàn)代法學》2010年第4期。這樣的觀點并不全面。筆者認為，侵犯公民個人信息罪所保護的法益應為人格尊嚴與個人自由，個人隱私只是人格尊嚴的組成部分。這一觀點可以從立法解釋和個人信息保護目的解釋兩個角度加以分析。

(一)刑法條文的解讀

侵犯公民個人信息罪被置于我國《刑法》分則的第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”，那么從整體而言，侵犯公民個人信息罪所要保護的法益應在公民人身權(quán)利或民主權(quán)利范疇之內(nèi)。至于侵犯公民個人信息罪到底保護何種公民人身權(quán)利或民主權(quán)利還需根據(jù)刑法具體罪名的編排以及個人信息所需保護的利益進行進一步分析。以我國《刑法》侵犯公民人身權(quán)利、民主權(quán)利罪章(第四章)為例，處于該章的第232條“故意殺人罪”至第235條“過失致人重傷罪”所保護的法益均為公民人身權(quán)利，且屬于人身權(quán)利中的人身安全利益，包括生命權(quán)、身體權(quán)與健康權(quán)。對于侵犯公民個人信息罪而言，《刑修(七)》首次確定該罪名時就將其條文序號定為第253條之一，位于“侵犯通信自由罪”與“私自開拆、隱匿、毀棄郵件、電報罪”之后。不難看出，“侵犯通信自由罪”與“私自開拆、隱匿、毀棄郵件、電報罪”所保護的法益均為公民人格權(quán)利與自由，包括公民個人通信自由和人格尊嚴。因此，從具體罪名的編排來看，侵犯公民個人信息罪所保護的法益應與上述兩個罪名相類似，是對公民人格尊嚴與個人自由的保護。

(二)個人信息保護的目的

個人信息刑法保護是個人信息保護的最后一道防線，其保護目的仍然不能脫離個人信息保護的宗旨。個人信息的屬性與特征決定了個人信息所保護的利益，同時也決定了侵犯公民個人信息罪所保護的具體法益。

個人信息是指與已被識別或可以被識別的個體有關(guān)的信息。個人信息強調(diào)對特定個體(自然人)的識別，凡是能夠識別某個人的信息均歸入個人信息。識別個人是開展社會交往和社會活動所必需的因素，無論是接受公共服務、申請項目、上學就業(yè)，還是進行商業(yè)交易等均要提供個人信息，以實現(xiàn)相互聯(lián)系和相互了解。因此，個人信息是社會的潤滑劑，具有社會性、公共性，在社會活動中向他人提供(披露)和獲得他人個人信息是社會運行的基本需要。但是，個人信息同時涉及個人利益，有些個人信息本身就是個人隱私，不適宜公開，而有些個人信息雖然可以被公開或獲取使用，但是如果被濫用則會危害個人利益，侵害個人自由、安寧等，因此，個人信息應當受到保護也已成為社會共識。顯然，個人信息保護區(qū)別于隱私保護，個人信息保護旨在確立個人信息使用規(guī)范，其保護個人權(quán)益包括但不限于隱私利益。雖然我國許多民事法律(如我國《消費者權(quán)益保護法》)開始引入個人信息保護制度，但是對個人信息保護的宗旨并沒有統(tǒng)一的認識。因此，我們?nèi)匀恍枰繁舅菰?，先了解一下國際社會個人信息保護制度的形成和基本宗旨。

個人信息保護制度既有個別國家的立法淵源，也有國際文件淵源。在德國，其黑森州在1970年頒布了世界上第一部專門針對個人數(shù)據(jù)保護的法律，1977年在國家層面也制定了《聯(lián)邦個人數(shù)據(jù)保護法》(BDSG)。之后，1983年德國憲法法院判決確立了個人信息自決權(quán)為公民憲法上的權(quán)利。*https://de.wikipedia.org/wiki/Volksz?hlungsurteil，2016年12月5日訪問。于是，個人自行決定何時、在何范圍披露個人信息成為一項憲法權(quán)利。在美國，1973年美國衛(wèi)生、教育和福利部(現(xiàn)為衛(wèi)生和人權(quán)服務部)提出“正當信息通則”(又稱隱私原則)，也成為美國1974年《隱私法》的基礎(chǔ)，并成為當今個人數(shù)據(jù)保護立法的重要源頭。*參見金耀譯：《美國〈正當信息通則〉中的基本原則》，載高富平主編：《個人數(shù)據(jù)保護和利用國際規(guī)則：源流和趨勢》，法律出版社2016年版，第305-311頁。美國的《隱私法》僅規(guī)范公共部門的個人信息處理行為，防范公權(quán)力對公民隱私的侵害，只是它體現(xiàn)的正當信息通則也被私人領(lǐng)域廣泛接受，成為美國保護個人信息的一般原則。

進入上世紀80年代，先后有兩個有關(guān)個人信息保護的國際性文件發(fā)布，一個是1980年經(jīng)濟合作與發(fā)展組織的《隱私保護和個人數(shù)據(jù)跨境流通指南》(以下簡稱：《指南》)，*該指南于2013年修訂重新發(fā)布，Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data (2013)[C(80)58/FINAL, as amended on 11 July 2013 by C(2013)79, http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf，2016年9月3日訪問。另一個是1981年歐洲委員會《個人數(shù)據(jù)自動處理中的個人保護公約》(以下簡稱：《公約》)。《指南》提出的適用于個人信息保護的8項原則，已經(jīng)被許多國家接受并作為保護個人隱私與自由的基本原則。《公約》是在人權(quán)保護的意義和框架下定位個人數(shù)據(jù)保護制度的，它明確宣布個人數(shù)據(jù)保護是為了保護個人權(quán)利和基本自由(尤其是隱私權(quán))。*2012年該公約重新修訂，更名為《個人數(shù)據(jù)處理中個人保護公約》。其前言中，對其宗旨表述略有差異。2012年公約表述的更為完整清晰： 鑒于在個人數(shù)據(jù)處理和交換多樣化、集約化和全球化的背景下，有必要捍衛(wèi)每個人的個人尊嚴和保護基本人權(quán)和基本自由，尤其是通過對自有數(shù)據(jù)及其處理的控制權(quán)來實現(xiàn)保護。 參見前注⑨，高富平主編書，第305-311頁、第102頁。該《公約》成為1995年歐盟《個人數(shù)據(jù)保護指令》(以下簡稱：《指令》)制定的依據(jù)和基礎(chǔ)。*1995年歐盟《個人數(shù)據(jù)保護指令》的全稱為《歐盟議會與歐盟理事會關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流通的第95/46/EC號指令》《指令》及歐盟于2016年4月頒布的《統(tǒng)一數(shù)據(jù)保護條例》(2018年生效后將替代《指令》成為在全歐盟范圍內(nèi)具有直接法律效力的法律)均將個人數(shù)據(jù)保護目的定位于“保護自然人的基本權(quán)利和自由”。*Paragraph 2, Article 2: “This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.” General Data Protection Regulation (GDPR) [Regulation (EU) 2016/679], http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN, 2016年9月3日訪問。

從以上對國際社會個人數(shù)據(jù)保護制度形成和立法定位的簡要分析，可以看出國際社會主要是從保護個人基本權(quán)利和基本自由的角度來保護個人數(shù)據(jù)的，甚至 《歐盟基本人權(quán)憲章》明確地將個人數(shù)據(jù)保護作為一項獨立的人權(quán)或基本權(quán)利加以保護。*參見《歐盟基本人權(quán)憲章》第8條。該憲章由歐盟主導起草并于2000年發(fā)布，該憲章吸收許多憲法傳統(tǒng)、國際人權(quán)公約文本， 其中包括《歐洲人權(quán)公約》， 所規(guī)定公民享有的政治、社會和經(jīng)濟權(quán)利，構(gòu)成歐盟法律的基礎(chǔ)。該憲章最初只是政治宣言，2004年憲章被正式納入《歐盟憲法條約》，實現(xiàn)歐盟基本權(quán)利的憲法化。后因此，歐盟憲法條約陷入僵局，憲章再次被并入2009年生效的《里斯本條約》(是在原《歐盟憲法條約》基礎(chǔ)上修改而成，被視為簡版的《歐盟憲法條約》)，由此，《歐盟基本人權(quán)憲章》正式成為具有法律效力的文件。2000年文本參見The Charter of Fundamental Rights of the European Union (2000/C 364/01), http://www.europarl.europa.eu/charter/pdf/text_en.pdf其基本理念是，個人數(shù)據(jù)的處理涉及公民(或自然人)的個人尊嚴、自由，應當規(guī)范個人數(shù)據(jù)的處理行為，以防止對公民基本權(quán)利和自由的侵害，其中包括但不限于對隱私(特指個人對敏感信息的控制)的保護。雖然美國是在隱私法的框架下來保護個人可識別信息(也稱為信息隱私權(quán))，但是，美國法中的隱私根源于憲法，通過制定法和普通法(判例法)兩套體系不斷演繹，形成保護除誹謗、仿冒之外一切個人權(quán)益的侵權(quán)救濟體系，承載著私人生活領(lǐng)域內(nèi)保障基本權(quán)利的使命。在這樣的法律體系中發(fā)展出的信息隱私權(quán)與歐洲在人權(quán)意義上創(chuàng)設的個人數(shù)據(jù)保護權(quán)異曲同工，具有相同的含義和內(nèi)容。因此，所謂個人數(shù)據(jù)保護，就是保護個人數(shù)據(jù)收集、處理等數(shù)據(jù)利用過程中所涉及的個人基本權(quán)利與自由(按照美國法，可以概括地表達為隱私權(quán)，但按照大陸法系的法律體系，應當是包括但不限于隱私權(quán))。

我國尚未制定個人數(shù)據(jù)保護法，因而對于個人數(shù)據(jù)保護目的還沒有統(tǒng)一法律表述。從國際社會個人數(shù)據(jù)保護基本規(guī)律來看，我國的個人數(shù)據(jù)保護亦應當建立在憲法規(guī)定的公民基本權(quán)利基礎(chǔ)上。若這些公民權(quán)利同時體現(xiàn)為人格權(quán)益，需要民法予以認可和保護，那么也應同時納入民法(比如能夠以名譽權(quán)、隱私權(quán)來保護人格尊嚴)。只有這樣我們才能理解為什么在沒有相應民法規(guī)范的情形下，我國《刑法》先行對個人信息予以保護。也就是說，我國刑法對于公民個人信息保護是建立在《中華人民共和國憲法》對公民基本權(quán)利保護基礎(chǔ)上的，是履行“國家尊重和保障人權(quán)”基本義務，保護公民人格尊嚴、人身自由等憲法權(quán)利，而不是直接基于人格權(quán)或隱私權(quán)保護。一旦我們制定個人信息保護法之后，就可以全面確立我國個人信息保護的目的，使憲法保護的基本權(quán)利得到細化，并使憲法對公民權(quán)利的保護延伸到民事法律領(lǐng)域。因此，從個人信息保護的法律基礎(chǔ)和基本宗旨角度，刑法中侵犯公民個人信息罪所保護的法益應當理解為公民人格尊嚴與個人自由，隱私利益只是人格尊嚴保護的內(nèi)容之一(在強調(diào)隱私的重要性時，亦可以與人格尊嚴并列加以表述)。

根據(jù)以上兩個層面的分析，我國刑法侵犯公民個人信息罪所保護的法益要寬泛于其他國家有關(guān)個人秘密或侵犯個人隱私類犯罪的立法。早在上個世紀，一些國家對侵犯個人秘密的行為就進行了刑事立法。譬如，日本刑法典(Act No.45 of 1907)第134條第1款規(guī)定了“非法披露個人秘密信息罪”(Unlawful Disclosure of Confidential Information)；*日本《刑法》第134條第1款規(guī)定：“醫(yī)生、藥劑師、醫(yī)藥分銷商、助產(chǎn)士、代理律師、辯護人、公證人或者任何其他曾經(jīng)從事此類職業(yè)的人，無正當理由，披露由于處理業(yè)務而知悉的他人的秘密的，處六個月以下懲役(imprisonment with work)或者十萬日元以下罰金?！盤ENAL CODE (Act No.45 of 1907), http://www.japaneselawtranslation.go.jp/law/detail/?id=1960&vm=04&re=02, 2016年7月9日訪問。同樣，德國刑法在第十五章侵害私人生活和秘密中分別對侵害言論秘密(第 201條)、侵害通信秘密(第 202 條)、探知數(shù)據(jù)(第 202 條 a)、侵害他人隱私(第203 條)、利用他人秘密(第 204 條)、侵害郵政或電訊秘密(第 206 條)作出了規(guī)定。*參見吳萇弘：《個人信息的刑法保護研究》，上海社會科學院出版社2014年版，第84頁。其中第203條規(guī)定了某些特殊類型行業(yè)的人員不得“非法披露他人秘密，尤其是該秘密屬于個人隱私、商業(yè)或貿(mào)易秘密”，*Section 203 “Violation of private secrets”, GERMAN CRIMINAL CODE, https://www.gesetze-im-internet.de/englisch_stgb/german_criminal_code.pdf, 2016年7月8日訪問。特殊行業(yè)人員通過列舉的方式在法條中予以規(guī)定，主要包括從事醫(yī)療行業(yè)的人員、心理咨詢師、法律從業(yè)人員、咨詢機構(gòu)、社會工作者(social worker)、私人保險機構(gòu)以及政府官員和其他相關(guān)公共職能部門的人。*德國《刑法》第203條所列舉的醫(yī)療健康從業(yè)人員包括醫(yī)生、牙醫(yī)、獸醫(yī)、藥劑師等，法律從業(yè)人員包括代理人律師、專利律師、公證人、辯護律師，會計從業(yè)人員包括注冊會計師、審計師、稅務顧問、納稅代理人或相關(guān)機構(gòu)或組織的會員；其他相關(guān)公共職能部門的人包括行使特殊公共服務職能的人、基于雇員代表法律行使權(quán)力和職責的人、為聯(lián)邦或州立法機構(gòu)工作的調(diào)查委員會的成員(該委員會本身不是立法機構(gòu)的一部分)、官方指定的基于法律履行職責的專家以及基于法律履行職責參與科研項目且具有保密義務的人。這些罪名主要針對侵犯個人秘密信息、通信自由的犯罪行為，其保護范疇要遠窄于侵犯公民個人信息罪。

因此，我國刑法基于憲法上公民權(quán)利所規(guī)定的侵犯公民個人信息罪具有更高的定位，所保護的公民個人信息也不限于隱私信息。但是，由于個人信息本身具有社會性、公共性，個人信息本質(zhì)上是可為人使用的，只是該使用不得侵犯他人人格尊嚴和個人自由。由于刑法自身的謙抑性，其不能將所有侵犯公民個人信息的行為納入其調(diào)整范圍，不能將所有出售或提供公民個人信息的行為視為犯罪行為。因此，還需要進一步分析出售或提供哪些公民個人信息以及何種出售或提供行為構(gòu)成實質(zhì)性違法，應當為刑法所禁止。

三、出售、提供公民個人信息行為實質(zhì)違法性之界定

既然侵犯公民個人信息罪所保護的法益是公民的人格尊嚴與個人自由，那么對出售或提供公民個人信息行為的實質(zhì)違法性判定必須圍繞該法益展開，即如果出售或提供公民個人信息對公民的人格尊嚴與個人自由造成嚴重侵害或威脅，那么該行為就具有實質(zhì)違法性，應被視為侵犯公民個人信息行為，應受刑法處罰。刑法控制的應該是對個人隱私、人格尊嚴和個人自由造成嚴重侵害的行為,這就意味著需要對可入刑的行為作出明確的限定，將不具有實質(zhì)違法性的行為排除在刑法調(diào)整之外。筆者認為,這種限定須從兩個方面進行，一是在既有規(guī)范下限縮公民個人信息的范圍，將明顯具有潛在危害性的信息納入；二是增加要件，將非法目的作為侵犯公民個人信息罪的必要要件。

(一)限縮公民個人信息的范圍

侵犯公民個人信息罪規(guī)定了兩種侵犯公民個人信息的行為，一種是“向他人出售或者提供公民個人信息”的行為，另一種是“竊取或者以其他方法非法獲取公民個人信息”的行為。這兩種行為的行為方式在本質(zhì)上具有很大的差異。對于“竊取或者以其他方式非法獲取”，無論是竊取還是以其他方式非法獲取，其核心都突出了“非法”，這意味著其行為方式本身就為法律所禁止，其獲取公民個人信息的行為缺乏合法性基礎(chǔ)。*歐盟2016年《統(tǒng)一數(shù)據(jù)保護條例》第6條第1款規(guī)定了6項“數(shù)據(jù)處理”的一般合法性基礎(chǔ)：(a)數(shù)據(jù)主體已經(jīng)對基于一個或多個具體目的而處理其個人數(shù)據(jù)的行為表示同意；(b)履行數(shù)據(jù)主體為一方當事人的合同或在訂立合同前為實施數(shù)據(jù)主體要求的行為所必要的數(shù)據(jù)處理；(c)為履行數(shù)據(jù)控制者的法定義務所必要的數(shù)據(jù)處理；(d)為保護數(shù)據(jù)主體或另一自然人的重大利益所必要的數(shù)據(jù)處理；(e)為履行涉及公共利益的職責或?qū)嵤┮呀?jīng)授予數(shù)據(jù)控制者的職務權(quán)限所必要的數(shù)據(jù)處理；(f)數(shù)據(jù)控制者或第三方為追求合法利益目的而進行的必要數(shù)據(jù)處理，但當該利益與要求對個人數(shù)據(jù)進行保護的數(shù)據(jù)主體的基本權(quán)利和自由相沖突時，尤其是當該數(shù)據(jù)主體為兒童時，則不得進行數(shù)據(jù)處理。無論其所獲取的個人信息是否包含敏感信息，只要個人信息獲取行為沒有合法性基礎(chǔ)，甚至采取盜竊等違法方式，即直接侵犯公民個人自由；如果所獲取的個人信息還包含個人敏感信息，則可能進一步對公民個人隱私、人格尊嚴造成侵害或威脅。因此，竊取或以其他方式非法獲取公民個人信息因其行為方式本身必定會對公民個人自由造成侵害，同時也可能會對公民個人隱私與人格尊嚴造成侵害或極大的威脅，當然具有實質(zhì)違法性?！跋蛩顺鍪刍蛱峁毙袨楸旧韺儆谝环N中性的行為。所謂出售一般指有償?shù)慕灰?；“提供”可以涵蓋非交易性的數(shù)據(jù)共享或移轉(zhuǎn)行為。如果出售和提供的標的(即公民個人信息)和目的沒有違反法律規(guī)定，單純出售和提供公民個人信息的行為并無所謂合法或非法的問題。這是因為，導致法律行為出現(xiàn)瑕疵的原因一般有行為能力欠缺、標的不適當、意思表示不健全等，*通常“行為能力欠缺、標的不適當、意思表示不健全”導致法律行為無效、可撤銷或效力待定。參見王澤鑒：《民法總則》，北京大學出版社2009年版，第378頁。這些瑕疵只發(fā)生民事后果，不至于導致違法或非法。因此，在一般情況下，如果某一出售或提供行為被認為是非法的，那么一定是其出售或提供的標的物具有特殊性。以“買賣”為例，通過對法條的檢索，我們發(fā)現(xiàn)刑法將如下幾類物品的買賣行為作為犯罪行為：第一，該標的物本身具有危險性或危害性，可能對公共安全利益或公民個人安全利益造成侵害或威脅，如“槍支、彈藥、爆炸物、危險物質(zhì)、毒品”*對應的罪名為“非法制造、買賣、運輸、郵寄、儲存槍支、彈藥、爆炸物罪；非法制造、買賣、運輸、儲存危險物質(zhì)罪；違規(guī)制造、銷售槍支罪”。以及“偽劣商品”*我國《刑法》第三章第一節(jié)“生產(chǎn)、銷售偽劣商品罪”規(guī)定了若干罪名，所涉及標的物均對消費者人身具有巨大的威脅，如“偽劣產(chǎn)品、假藥、劣藥、不符合安全標準的食品、有毒有害食品、不符合標準的醫(yī)用器材、不符合安全標準的產(chǎn)品、偽劣農(nóng)藥、獸藥、化肥、種子、不符合衛(wèi)生標準的化妝品”。等；第二，該標的物本身雖然并不直接具有危險性或危害性，但基于特定的利益考量，國家對其進行管制，限制或禁止其流通。如為了保護國家安全利益，禁止銷售專用間諜、竊聽、竊照專用器材；為了保護公共安全利益，禁止擅自出賣國有檔案、禁止買賣武裝部隊公文、證件、印章；為了維護公共管理秩序，禁止買賣國家機關(guān)公文、證件、印章、身份證件、試題與答案等；為了維護社會主義市場經(jīng)濟秩序，禁止購買假幣，禁止出售偽造的信用卡，禁止出售各類發(fā)票等。*所涉罪名包括“偽造、出售偽造的增值稅專用發(fā)票罪；非法出售增值稅專用發(fā)票罪；非法購買增值稅專用發(fā)票、購買偽造的增值稅專用發(fā)票罪；非法制造、出售非法制造的用于騙取出口退稅、抵扣稅款發(fā)票罪；非法制造、出售非法制造的發(fā)票罪；非法出售用于騙取出口退稅、抵扣稅款發(fā)票罪；非法出售發(fā)票罪”?？梢姡瑯说奈锏奶厥庑允菍е抡麄€行為被認定為非法，并將其作為犯罪行為納入刑法調(diào)整范圍的關(guān)鍵。因此，對“出售或提供公民個人信息”行為的實質(zhì)違法性分析的落腳點并不在于出售和提供這一行為方式上，而在于行為對象，即公民個人信息上。

公民個人信息因其承載著公民人格尊嚴和個人自由，本身具有一定的特殊性，但是，首先，公民個人信息顯然并不像槍支、彈藥、危險物質(zhì)以及毒品那樣本身就具有極強的危險性和危害性，會對個人人身安全或公共安全造成直接威脅，需要國家對其流通進行嚴格的管制；其次，除了包含國家秘密的公民個人信息外，公民個人信息一般僅承載個人的人格尊嚴和自由，不會直接對國家安全造成威脅；再次，公民個人信息與國家機關(guān)的公文、證件、印章、身份證件、試題和答案有本質(zhì)區(qū)別，前者主要是基于私人之活動形成的產(chǎn)物，后者主要是代表國家的機關(guān)或機構(gòu)形成的產(chǎn)物；前者的買賣并不會對國家的管理造成嚴重的影響，也不會損害國家機關(guān)或機構(gòu)的公信力，而后者的買賣可能就會危害國家的管理秩序；最后，公民個人信息的正常流通并不會危害社會主義市場經(jīng)濟秩序，相反，在數(shù)據(jù)時代，個人信息的利用與流通具有巨大的價值。信息的利用不僅成為了企業(yè)競爭和發(fā)展的關(guān)鍵基礎(chǔ)，*See Manyika J, Chui M, Brown B, et al. Big data: The next Frontier for Innovation, Competition, and Productivity. 2011.也是幫助政府提高社會治理水平，發(fā)展國家經(jīng)濟，提高國家醫(yī)療衛(wèi)生、能源、軍事等科技水平的重要途徑。因此，刑法不應完全禁止出售或提供公民個人信息的行為。

目前，刑事司法領(lǐng)域，有關(guān)侵犯公民個人信息罪之公民個人信息范疇較為權(quán)威的解釋出自2013年最高人民法院、最高人民檢察院和公安部聯(lián)合發(fā)布的《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》(以下簡稱：《通知》)。《通知》認為“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料?！背四軌蜃R別公民個人身份的信息外，該《通知》還將“涉及公民個人隱私的信息”納入其中。筆者認為《通知》對刑法保護的公民個人信息的界定過于寬泛，從實質(zhì)違法的角度，納入刑法保護的應當只限于能夠直接識別公民個人身份的個人信息。

首先，并非所有能夠識別公民個人的信息對外提供都具有刑法上的可責性。國際社會對于個人信息的定義多強調(diào)其可識別性，只有可以識別特定個人的信息才被稱為個人信息或個人數(shù)據(jù)，并對其利用加以規(guī)范和保護。例如，歐盟《統(tǒng)一數(shù)據(jù)保護條例》規(guī)定：“個人數(shù)據(jù)(personal data)是指與已識別或者可識別的自然人(數(shù)據(jù)主體)相關(guān)的任何數(shù)據(jù)?！?Paragraph 1, Article 4, General Data Protection Regulation (GDPR) [Regulation (EU) 2016/679], http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN, 2016年9月3日訪問。個人信息可識別性包括兩種含義，即識別特定個人身份與識別特定個人個性特征(可以不知道具體個人，但了解該人特征)。識別特定個人身份是指當公民個人信息中包含個人身份信息，如姓名、身份證號、手機號、地址，獲取該公民個人信息的人可以通過其中的個人身份信息直接識別該信息主體的身份(身份具有特定性和唯一性)。識別特定個人個性特征是指公民個人信息中包含能夠反映信息主體個性特征的數(shù)據(jù)，如有關(guān)該信息主體的興趣愛好、購物記錄，獲取該公民個人信息的人可以通過此類信息對信息主體各個方面的性格特征或需求進行分析。如果單純出售、提供可識別特定個人個性特征的個人信息(比如對個人信息作了去身份化處理)，而不包含身份信息，不能直接侵害或威脅該個人的隱私或人格尊嚴，不具有直接危害性。因為可識別特定個人個性特征的個人信息在不包含個人身份信息的情況下，雖然該個人信息同樣指向某個人，但無法明確知道該個人的身份，也即無法特定化。即便某些愛好或習慣具有一定的敏感性，但由于無法特定化至一個明確的信息主體的身份，對該信息主體的侵犯也就無從談起。

相反，如果行為人出售或提供的個人信息屬于可直接識別特定個人身份的個人信息，那么因該信息與特定主體直接相關(guān)聯(lián)，該出售或提供行為就可能直接侵害公民的個人隱私與人格尊嚴，甚至也可能威脅到其他法益。誠如某學者所述，具有可識別性的個人身份信息能夠識別公民個體，進而能夠?qū)⒐駛€人信息進行分類，形成公民個人身份信息系統(tǒng)“資源”，如此，才可能擾亂公民生活的安寧以及間接地威脅人身、財產(chǎn)權(quán)利。*參見曲新久：《論侵犯公民個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期。因此，不包含可直接識別特定個人身份的個人信息或隱去身份的個人信息的買賣和提供不應當直接被納入刑法調(diào)整，刑法應當將單純識別個人特征的個人信息的流通和提供排除于刑法之外。

因此，將“公民個人信息”限縮為可直接識別特定個人身份的公民個人信息具有其合理性與正當性。我國目前司法實踐對公民個人信息的界定也印證了筆者的這一觀點。

筆者以“中國裁判文書網(wǎng)”(http://wenshu.court.gov.cn/)為檢索數(shù)據(jù)庫，以“非法獲取公民個人信息”為關(guān)鍵詞進行全文檢索，并分別限制判決日期為2015年和2016年，不限地區(qū)與法院層級，經(jīng)篩選后獲得相關(guān)判決書275份，其中2015年170份，2016年105份(截至2016年8月5日)；以“買賣、非法提供公民個人信息”為關(guān)鍵詞進行全文檢索，不限年份、地區(qū)與法院層級，獲得25份不重復判決書(截至2016年8月5日)。合計共考察300份判決書。根據(jù)對所有判決書的內(nèi)容進行的梳理，筆者發(fā)現(xiàn)，很大一部分判決書對于“公民個人信息”并沒有展開描述，僅采用“公民個人信息”*如(2016)滬0116刑初119號、(2016)黑0381刑初66號、(2016)滬0104刑初493號等判決。、“客戶資料”*如(2015)雙流刑初字第884號等判決。、“樓主業(yè)主資料”*如(2015)洛刑初字第258號、(2015)弋刑初字第00050號、(2015)朝刑初字第1214號等判決?；颉疤詫氋I家客戶信息”*如(2016)閩0802刑初273號、(2016)閩0802刑初274號、(2016)滬0114刑初413號等判決。等表達，且根據(jù)判決書全文無法準確判斷所涉公民個人信息的類型以及是否包含可直接識別特定個人身份的個人信息。在所考察的300份判決書中，該類判決書有93份，在所有判決書中所占的比例為31%。相應地，判決書內(nèi)容對公民個人信息有明確描述或根據(jù)判決書全文可判斷個人信息類型的判決書共207份，占69%。

其次，在207份可判斷公民個人信息類型的判決書中，有206份明確涉及典型的可直接識別特定個人身份的個人信息，如姓名、身份證號、電話號碼或住址等；只有深圳市羅湖區(qū)公開的1份判決書不涉及典型的個人身份信息，但依舊被認定為侵犯公民個人信息犯罪。該判決書所涉?zhèn)€人信息為“法院公務車輛的行駛路線、停車位置”。*(2016)粵0303刑初304號。也就是說，在所有的判決書中，至少有206份(占68.7%)判決書所涉的個人信息是包含可直接識別特定個人身份的個人信息的。

從上述數(shù)據(jù)可以看出，排除無法判斷公民個人信息類型的判決書外，其余可判斷公民個人信息類型的判決書中的公民個人信息幾乎均涉及可直接識別特定個人身份的個人信息。然而，無法判斷公民個人信息類型的判決書并不意味著就不涉及可直接識別特定個人身份的個人信息，只是由于判決書表述不詳細，無法確定是否包含可直接識別特定個人身份的個人信息而已。也就是說，所有判決書中所涉?zhèn)€人信息包含可直接識別特定個人身份的個人信息的比例至少應在68.7%以上，同時，可判斷個人信息類型的判決書中所涉?zhèn)€人信息包含可直接識別特定個人身份的個人信息的比例更是高達99.52%。這表明，在目前我國司法實踐中，當所涉公民個人信息不包含可直接識別特定個人身份的個人信息時被認定為侵犯公民個人信息罪的概率是極低的。不僅如此，針對深圳市羅湖區(qū)所判決的案例，有學者還提出：“公民日?；顒忧闆r無論如何不能納入刑法調(diào)整?！?葉良芳、應家赟：《非法獲取公民個人信息罪之“公民個人信息”的教義學闡釋——以〈刑事審判參考〉第1009號案例為樣本》，《浙江社會科學》2016年04期。筆者同樣認為，當所涉公民個人信息僅包括車輛的行駛路線、停車位置時，將其認定為侵犯公民個人信息犯罪是不妥當?shù)?。如前所述，只有所涉公民個人信息能夠直接識別特定個人身份才會對侵犯個人信息罪所保護的法益造成侵害或威脅，從而具有實質(zhì)違法性；而單純獲取公民個人的行車路線、停車位置等生活軌跡，但并未識別公民個人身份，并不具有實質(zhì)違法性。更何況在上述案件中，所獲取的是法院用車，并非個人車輛，所獲取的信息是否對個人具有識別性都有待探討，更不應被認定為侵犯公民個人信息的行為。當然，獲取公車的行車路線如果侵犯了其他法益應以其他的犯罪進行定罪處罰。

綜上所述，筆者認為，只有出售或提供的公民個人信息屬于可直接識別特定個人身份的公民個人信息，才會對侵犯公民個人信息罪所保護的法益造成侵害或威脅，出售或提供公民個人信息中“公民個人信息”的范疇應限縮為可直接識別特定個人身份的公民個人信息。

(二)將犯罪目的作為必要要件

如前所述，只有出售或提供可直接識別特定個人身份的公民個人信息才會對侵犯公民個人信息罪所保護的法益造成侵害或威脅。那么，是否意味著所有出售或提供可直接識別特定個人身份的公民個人信息都具有實質(zhì)違法性，從而有必要通過刑法進行規(guī)制呢？現(xiàn)行的《刑修九》所作出的限制性規(guī)定為“違反國家有關(guān)規(guī)定”。即使將國家有關(guān)規(guī)定限定在法律層次，那么，法律已經(jīng)明確不得出售或者非法向他人提供個人信息，*例如2012年12月28日第十一屆全國人民代表大會常委會作出的《關(guān)于加強網(wǎng)絡信息保護的決定》規(guī)定：“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息?！蔽覈断M者權(quán)益保護法》第29條規(guī)定：“經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供?！笔欠褚馕吨灰鍪刍蛱峁┛芍苯幼R別特定個人身份的公民個人信息就意味著違反法律規(guī)定？如果認為法律完全禁止公民個人信息的出售和提供，那么無疑使得正當?shù)膫€人信息流通、使用面臨法律上的巨大障礙。

筆者認為，個人身份信息具有社會性和公共性，可直接識別特定個人身份的公民個人信息的流通仍然是社會運行不可缺少的環(huán)節(jié)，所以簡單地將出售或提供可直接識別特定個人身份的個人信息的行為入刑，在保護個人尊嚴和個人自由的同時，可能妨礙個人信息的正當流通和使用。為此，作為社會行為最嚴厲的禁止性規(guī)范，刑法必須給出明確的規(guī)定，僅懲治那些嚴重危害個人尊嚴和自由的行為，而給正當個人信息流通和使用留下空間。就買賣或提供個人信息行為而言，其行為的性質(zhì)顯然取決于其目的。因此，筆者認為，應將犯罪目的作為侵犯公民個人信息罪的必要要件，即將我國《刑法》第253條之一中“向他人出售或者提供公民個人信息”改為“以非法目的向他人出售或者提供公民個人信息”。

基于不同的目的，出售或提供可直接識別特定個人身份的公民個人信息所產(chǎn)生的社會危害性具有本質(zhì)差異。基于正當?shù)哪康?，如企業(yè)間信息共享，在不同主體之間出售或提供可直接識別特定個人身份的公民個人信息，如果保護措施不當，也可能會對相關(guān)信息主體的個人隱私、個人尊嚴造成不必要的侵害或威脅。在該情況下，信息主體的隱私等人格利益完全可以通過民事法律途徑予以救濟，使得信息主體因隱私、人格尊嚴受到侵犯所受損失得到恢復或補償，無須動用刑法來保護信息主體。因為在民事救濟中，允許司法裁量在個人尊嚴和自由的法益(個人利益)與個人信息自由流通(代表著公共利益)之間進行平衡，作出恰當?shù)呢熑畏峙洹Ｏ喾?，如果行為人基于詐騙或幫助他人詐騙等非法目的出售或提供可直接識別特定個人身份的公民個人信息，公民個人的人格尊嚴與自由勢必遭到嚴重侵害，不僅如此，該出售或提供行為進一步加大了對公民人身安全、財產(chǎn)利益的威脅。因此，基于非法目的的出售或提供行為才具有刑法意義上的實質(zhì)違法性，也只有基于非法目的的出售或提供行為才有必要動用刑法進行規(guī)制。

此外，明確給予出售或提供行為以目的限制，對于在正常業(yè)務往來中提供個人信息的行為實踐來說尤為重要。譬如，在企業(yè)集團內(nèi)部、母子公司之間就可能存在數(shù)據(jù)轉(zhuǎn)移的情況；如果是基于企業(yè)內(nèi)部管理的需要，子公司將其合法收集的可直接識別特定個人身份的信息轉(zhuǎn)移給母公司，這樣的“轉(zhuǎn)移”如主觀上沒有明顯侵犯個人尊嚴和自由的目的，客觀上也沒有造成嚴重后果，不應當構(gòu)成侵犯公民個人信息犯罪。同樣，為企業(yè)運轉(zhuǎn)或完成交易所必要而提供可直接識別特定個人身份的個人信息，而沒有其他非法目的，也不應認定為犯罪。如某些保險代理公司或保險經(jīng)紀公司,在代售保險或從事保險經(jīng)紀業(yè)務過程中合法收集了公民的個人信息,其中會包括姓名、身份證號、電話號碼等可直接識別特定個人身份的個人信息；事后，為了實現(xiàn)代售這一合法的商業(yè)交往，將信息提供給合作的保險公司，以購買相應的保險。因此，在具有正常商業(yè)關(guān)系的前提下，并以實現(xiàn)合法目的所必要，將合法收集的可直接識別特定個人身份的個人信息提供給他人，不會對個人尊嚴和個人自由造成侵害，不具有實質(zhì)違法性。

上述分析意味著，對我國的出售和提供個人信息犯罪應當作兩方面限制性規(guī)定，一是對象上限于可直接識別特定個人身份的公民個人信息，二是行為上限定于非法目的。這樣可以使我國刑法對出售或提供個人信息行為的規(guī)定大致相當于美國的身份盜用罪(identity theft)。

1998年，美國國會通過了《身份盜用和假冒制止法》。*the Identity Theft and Assumption Deterrence Act，Title 18，U.S. Code，Section 1028該法將身份盜用罪定義為：沒有合法授權(quán)，故意轉(zhuǎn)移或使用他人的身份，意圖從事或幫助或教唆任何構(gòu)成違反聯(lián)邦法律的不法活動，或者任何構(gòu)成可適用的州或地方法律的重罪的行為?？梢娫撟锩饕槍Ψ欠ㄞD(zhuǎn)移或使用某人的個人可識別信息，以冒用其身份從事如欺詐等不法活動。它不僅將個人信息限定在身份信息，顧名思義身份信息必然可以直接識別特定個人的身份，而且還強調(diào)轉(zhuǎn)移或使用他人身份的目的在于從事、幫助或教唆不法的活動。2012年，美國破獲了一起涉案人數(shù)與金額巨大的身份盜用案件，以至于被稱為美國2012年以來最大且典型的身份盜用案件。*RICHARD A. BROWN (DISTRICT ATTORNEY): 111 INDIVIDUALS CHARGED IN MASSIVE INTERNATIONAL IDENTITY THEFTAND COUNTERFEIT CREDIT CARD OPERATION BASED IN QUEENS，http://www.queensda.org/newpressreleases/2011/october/op%20swiper_credit%20card_id%20fraud_10_07_2011_ind.pdf. 2016年10月28日訪問。在該案中，某犯罪集團的成員通過不法手段獲取了來自多個國家公民的個人身份信息，獲取信息后，將該信息提供給其他成員偽造信用卡，最后利用偽造的信用卡進行無節(jié)制的奢侈消費。非法獲取、提供、使用公民個人身份信息對公民個人尊嚴與個人自由造成了極大的侵害，而后續(xù)的信用卡詐騙行為，進一步侵害了公民的財產(chǎn)權(quán)，同時無節(jié)制的消費也可能會對公民的個人尊嚴和個人自由造成二次侵害。因此，對侵犯公民個人信息犯罪進行目的上的限縮確有必要，也是打擊侵犯公民個人信息的應有之義。

在我國目前的司法實踐中，因為沒有將犯罪目的作為侵犯公民個人信息罪的構(gòu)成要件，因而“犯罪情節(jié)”成了重要考量因素。情節(jié)嚴重雖然可以包含行為目的這一因素，但由于犯罪情節(jié)是定罪量刑的因素，而不是罪與非罪的標準，因而它不能替代目的要素的規(guī)定，成為指導人們行為的明確規(guī)范。缺失目的要素的規(guī)定，依賴情節(jié)因素會使司法實踐過程中具有極大的彈性，也使人們的行為預期具有不確定性。根據(jù)對前述判決書的實證考察，筆者發(fā)現(xiàn)侵犯公民個人信息罪常與其他不法活動相伴而生，尤其和詐騙罪結(jié)合緊密。在所考察的判決書中，有63份判決書內(nèi)容顯示，侵犯公民個人信息犯罪與電信詐騙有關(guān)，占可判斷公民個人信息類型的判決的30.9%。雖然侵犯公民個人信息與其他不法活動結(jié)合程度較高，但30.9%的比例說明還有很大一部分的案件中的利用公民個人信息行為與詐騙等不法活動無關(guān)，而與其他商業(yè)活動有關(guān)。這就無法解決個人數(shù)據(jù)利用是否合法的不確定性的問題。

因此，筆者認為，應將犯罪目的作為侵犯公民個人信息罪的必要要件。只有如此，才既能對可直接識別特定個人身份的個人信息進行合理、有效的保護，同時也能使得基于合法目的使用個人數(shù)據(jù)的行為的合法性變得明晰，從而促進社會對個人信息數(shù)據(jù)的正當利用。

四、結(jié) 論

侵犯個人信息罪填補了我國個人信息刑法保護的空白，為公民個人隱私、人格尊嚴與個人自由提供了更加強有力的保護，體現(xiàn)了國家對人權(quán)的重視與保障。值得注意的是，在打擊侵犯個人信息行為的同時，要保障和引導個人信息的有序利用和自由流通，平衡公民個人利益的保護與信息產(chǎn)業(yè)的發(fā)展，發(fā)揮個人信息在經(jīng)濟、科技、文化等領(lǐng)域的促進作用。鑒于此，刑法一方面要發(fā)揮其威懾和教育的作用，通過適當?shù)男塘P讓從事侵犯個人信息犯罪的行為人受到應有的懲罰；另一方面，刑法應保持其明確性和謙抑性，這樣才能避免不當?shù)刈璧K新生事物對社會發(fā)展的促進作用。目前我國《刑法》規(guī)定的侵犯公民個人信息罪的法定最高刑相對較低，“情節(jié)嚴重”的，法定最高刑只有三年；“情節(jié)特別嚴重”的情況，法定最高刑為七年。筆者認為，這樣相對較低的法定刑，并沒有給日益猖獗的電信詐騙、網(wǎng)絡詐騙等犯罪分子足夠的威懾力，無法有效遏制身份盜用型犯罪；同時，由于侵犯公民個人信息罪的構(gòu)成要件過于簡單，實踐中哪些行為構(gòu)成犯罪不明確，無形中增加了合法利用個人信息的行為人的刑事風險，阻礙了社會對個人數(shù)據(jù)的充分利用。筆者認為，只有出售或提供可直接識別特定個人身份的公民個人信息行為才具有實質(zhì)違法性，應受刑罰處罰，同時應將“以從事違法活動或侵害個人權(quán)益活動為目的”作為出售或提供個人信息行為構(gòu)成犯罪的要件。在此基礎(chǔ)上，還可以考慮提高刑罰的力度，提高法定最高刑，或者明確罰金數(shù)量。如此，既滿足侵犯公民個人信息罪的立法目的，也有利于保障個人信息的自由流通，推動信息產(chǎn)業(yè)的發(fā)展，釋放信息紅利。

(責任編輯：杜小麗)

高富平，華東政法大學法律學院教授、博士研究生導師；王文祥，華東政法大學民商法專業(yè)碩士研究生。

*本文系國家社科重大項目信息服務與信息交易法律制度研究(項目編號：13&ZD178)的階段性成果。本文由高富平撰寫第一、二、四部分，王文祥撰寫第三部分。

DF624

A

1005-9512-(2017)02-0046-10