李明魯

?

侵犯公民個人信息罪的理論認定與適用空間

李明魯

（中國政法大學 刑事司法學院，北京 海淀 100088）

在信息社會，公民個人信息面臨著巨大的安全隱患，從而滋生一系列信息違法犯罪行為，對此刑法應當作出回應。公民個人信息的身份可識別性意味著對于個人信息的保護模式不同于傳統(tǒng)的財產(chǎn)犯罪，盜竊罪不足以評價個人信息犯罪的人身權(quán)利與財產(chǎn)權(quán)利的復雜客體，故應以特殊罪名定罪論處。侵犯公民個人信息罪屬于不純正的不作為犯罪，亦可以表現(xiàn)為不作為方式。如果網(wǎng)絡服務提供者知道或者應當知道他人利用其提供的網(wǎng)絡技術(shù)幫助實施信息違法犯罪行為，而不履行其法定的網(wǎng)絡安全管理義務的，則構(gòu)成本罪的幫助犯。維護信息安全依靠網(wǎng)絡技術(shù)、行政監(jiān)管和刑法制裁等多元保護，但刑法的過度干預不利于數(shù)據(jù)的應用與發(fā)展，因此應當堅持刑法的謙抑性，處理好信息違法與信息犯罪的關系。

公民個人信息；信息犯罪；不作為犯；行政違法

隨著大數(shù)據(jù)時代的到來，公民個人信息已發(fā)展成為一種無形資產(chǎn)，在商業(yè)投資、政府管理、個人發(fā)展等各個方面發(fā)揮著越來越重要的作用，但收益與風險相伴相生，公民信息泄露、信息非法買賣等信息安全事件屢次發(fā)生。公民信息安全形勢不容樂觀，為此《十三屆全國人大常委會立法規(guī)劃》中正式將“個人信息保護法”納入未來五年的立法規(guī)劃之中，并作為立法條件較成熟、擬提請審議的第一類項目①。為了更好地發(fā)掘公民個人信息的潛在價值，保證數(shù)據(jù)產(chǎn)業(yè)的可持續(xù)發(fā)展，應當明確個人信息的權(quán)利歸屬，規(guī)范數(shù)據(jù)信息的利用，同時，為了應對與公民個人信息安全相關的網(wǎng)絡灰產(chǎn)和網(wǎng)絡黑產(chǎn)日益猖獗的現(xiàn)狀，則有必要加強刑法對于保護公民個人信息安全的全面保護。

一、侵犯公民個人信息罪的要素解讀與認定

侵犯公民個人信息罪被列于刑法分則“侵犯公民個人權(quán)利、民主權(quán)利”一章中，表明該犯罪行為所侵犯的客體主要是人身權(quán)利。但是《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對于侵害公民個人信息的行為危害后果分別從財產(chǎn)方面（“造成重大經(jīng)濟損失”）和人身方面（“造成被害人死亡、重傷、精神失?；蛘弑唤壖艿葒乐睾蠊摹保┳鞒隽肆炕?guī)定，這表明公民個人信息兼具財產(chǎn)性質(zhì)和人身性質(zhì)?！斑`反國家有關規(guī)定”作為侵犯公民個人信息罪的前置性要件，故對于“國家有關規(guī)定”的界定在認定本罪成立方面也尤為關鍵。

（一）“公民個人信息”的雙重法律屬性：人身權(quán)利與財產(chǎn)權(quán)利

公民個人信息如公民個人的銀行賬號密碼、游戲賬號密碼等，能夠為權(quán)利人帶來一定的財產(chǎn)利益，理論上作為一種虛擬財產(chǎn)而存在，具有相應財產(chǎn)價值。同時，個人信息也具備人格屬性特征，是一種人身利益，因信息被泄露而遭到連續(xù)惡意的的電話騷擾，給信息權(quán)利人帶來精神上的痛苦，“構(gòu)成對個人生活安寧權(quán)的侵擾”[1]。因此，公民個人信息同時具有財產(chǎn)性質(zhì)和人身性質(zhì)的雙重屬性。

1.公民個人信息的人身屬性

首先應當明確的是，公民對其個人信息享有哪些權(quán)利？歐盟《一般數(shù)據(jù)保護條例》為保護公民個人數(shù)據(jù)安全，對于企業(yè)和網(wǎng)絡服務商非法處理公民個人數(shù)據(jù)的行為作出了嚴厲規(guī)制。公民對于其本人的信息享有獲取、披露和使用的處理權(quán)，在信息流動的過程中，他人如果未經(jīng)允許而獲取、披露或者使用其個人信息的，則構(gòu)成對公民個人信息的侵犯[2]。

根據(jù)司法解釋關于公民個人信息的解釋性規(guī)定，公民個人信息以身份的可識別性為特征，所以均具有人身屬性，但部分才具有財產(chǎn)屬性。結(jié)合刑法將侵犯公民個人信息罪設置于“侵犯公民人身權(quán)利、民主權(quán)利一章，可見竊取公民個人信息必定侵犯了公民本人的人身利益，但卻不一定對其財產(chǎn)利益也造成損害。事實上，社會中實際非法出售公民個人信息的，一條征信信息或者財產(chǎn)信息可能僅售幾元錢，按照司法解釋之規(guī)定，非法出售公民個人行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的，即達到侵犯公民個人信息罪的入罪標準，若僅從個人信息具有的財產(chǎn)價值考慮，幾十條信息的財產(chǎn)價值尚不足以以犯罪論處，由此也可以看出，信息的財產(chǎn)權(quán)益并非侵犯公民個人信息罪所要保護的唯一法益，更核心的還是保護個人信息的人身權(quán)利方面的法益。

2.公民個人信息的財產(chǎn)屬性

利用個人信息可以直接或者間接地獲得財產(chǎn)利益?！皞€人信息可以為自己帶來某項社會服務或社會評價，比如應聘投遞簡歷，簡歷上的信息是對本人能力符合工作要求的評價，通過獲得這些評價，可以為自己帶來經(jīng)濟利益。而且，提供個人信息也是獲得服務的前提，金融、電信、醫(yī)療等開展業(yè)務都需要個人提供真實信息”[3]。對于數(shù)據(jù)信息所具有的財產(chǎn)價值，《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第七條中已經(jīng)作出肯定性回應②。將計算機信息系統(tǒng)中的數(shù)據(jù)及對計算機信息系統(tǒng)的控制權(quán)解釋為掩飾、隱瞞犯罪所得罪的行為對象，表明最高司法機關基本承認了數(shù)據(jù)的財產(chǎn)性質(zhì)，這種為嚴厲打擊針對計算機信息系統(tǒng)數(shù)據(jù)、計算機信息系統(tǒng)控制權(quán)的違法犯罪行為，而將“數(shù)據(jù)”解釋為“犯罪所得”的擴大解釋思路，也為數(shù)據(jù)的財產(chǎn)化保護提供了借鑒的經(jīng)驗和路徑[4]。有學者對此提出質(zhì)疑，認為如果把個人信息視作虛擬財產(chǎn)，將會帶來法律解釋上的困難?！氨热?，電話號碼屬于個人信息，但卻沒有確定的歸屬，可以多次授權(quán)給不同商家使用，同時數(shù)據(jù)信息與財產(chǎn)的轉(zhuǎn)換機制不明確，電話號碼的財產(chǎn)價值難以具體測定”[5]。

我認為，不管是單一的財產(chǎn)保護說，還是人格權(quán)保護說，都是為了尋求確定、唯一的保護客體，而刻意割裂個人信息所同時具有的財產(chǎn)屬性和人格屬性，不利于對公民個人信息的全面保護，也給司法實踐帶來法律適用上的困難。整體保護說肯定了個人信息同時具有人身價值和財產(chǎn)價值，并將人身利益和財產(chǎn)利益作為統(tǒng)一整體進行保護，那種“一元論、絕對論的保守選擇方式，與多元價值保護的刑法理念背道而馳”[6]。

（二）“違反國家有關規(guī)定”的法律內(nèi)涵界定

根據(jù)侵犯公民個人信息罪第一款“違反國家有關規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的”和第二款“違反國家有關規(guī)定，將在履行職責或者提供服務的過程中獲得的公民個人信息，出售或者提供給他人的”，只有當違反國家有關規(guī)定時，出售、提供公民個人信息的行為才構(gòu)成犯罪。因此并非只要出售或者提供公民個人信息就一定構(gòu)成犯罪，在符合國家有關規(guī)定的情況下，公民個人信息則允許出售和提供。

1.刑法中“違反國家規(guī)定”之內(nèi)涵

根據(jù)《刑法》第96條之規(guī)定，“違反國家規(guī)定”中的“國家規(guī)定”，具體是指“全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”。在刑法分則條文中，除了使用“違反國家規(guī)定”這一空白罪狀外，還存在“違反……的規(guī)定”“違反……法規(guī)”等罪狀描述，那么“違反……的規(guī)定”“違反……法規(guī)”中的“規(guī)定”“法規(guī)”與刑法第96條之“國家規(guī)定”的關系如何？應當認為刑法總則對于分則具有指導意義，分則中的空白罪狀描述是對總則的進一步具體化，而沒有改變或者超出總則中“國家規(guī)定”的限定范圍，所以不能將違反國家政策、地方性法規(guī)或者部門規(guī)章的規(guī)定也認為是違反了此處的“國家規(guī)定”?！爸挥性诜謩t條文明確規(guī)定違反的是國務院部委或者有關軍事部門制定的規(guī)章的情況下③，才能從法律擬制的角度，將其作為對‘國家規(guī)定’的例外或者補充”[7]34。因此，侵犯公民個人信息罪中的“國家有關規(guī)定”，應當根據(jù)總則規(guī)定所確定的“國家規(guī)定”的范圍作出。

2.司法解釋對于“違反國家有關規(guī)定”的范圍限定

刑法第二百五十三條之一侵犯公民個人信息罪中的“違反國家有關規(guī)定”具有兩種存在意義，“在第一款和第二款規(guī)定的行為方式中作為構(gòu)成要件因素存在，在第三款中沒有實質(zhì)限定價值而僅作為提示性規(guī)定而存在”[8]37。其中第三款“竊取或者以其他方法非法獲取公民個人信息”，由于竊取公民個人信息的行為本身就為法律所不允許，根據(jù)該具體行為方式即能夠認定成立本罪，而沒有必要再尋找“國家有關規(guī)定”的依據(jù)。然而，對于出售、提供公民個人信息，“國家有關規(guī)定”決定著犯罪成立與否。

最高人民法院、最高人民檢察院聯(lián)合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第二條，在解釋侵犯公民個人信息罪中的“違反國家有關規(guī)定”時，明確將部門規(guī)章也包括在內(nèi)。但是，除了“國務院批轉(zhuǎn)的或者以通知形式?jīng)Q定認可的各部委頒發(fā)的規(guī)章、規(guī)定”可以作為刑法第九十六條規(guī)定的“國家規(guī)定”以外[7]37，若將其他的部門規(guī)章也一律視為國家有關規(guī)定，則有超越既定法之嫌，在此意義上，司法解釋已經(jīng)違反了刑法的罪刑法定原則。鑒于法律、行政法規(guī)多為宏觀和原則性規(guī)定，在具體適用時往往需要依據(jù)規(guī)章等規(guī)定才能明確相關內(nèi)容的含義，并結(jié)合目前公民個人信息犯罪的嚴峻形勢，應當承認部門規(guī)章在司法適用中的實際效用和功能。但這并不代表對于部門規(guī)章作為認定犯罪成立依據(jù)正當性的肯定，判斷違法性的依據(jù)仍然僅為由全國人大及其常委會和國務院制定的法律、行政法規(guī)、決定、命令等，國務院部門制定的行政規(guī)章只是可以作為在確定“國家有關規(guī)定”的具體含義時的法律參考[8]41。

（三）侵犯公民個人信息罪為不純正不作為犯

侵犯公民個人信息罪屬于不純正的不作為犯，該罪在客觀方面主要表現(xiàn)為作為，但該罪同樣可以以不作為的方式構(gòu)成，這就會產(chǎn)生網(wǎng)絡服務提供者在消極地不履行信息網(wǎng)絡安全管理義務時，究竟是成立侵犯公民個人信息罪還是拒不履行信息網(wǎng)絡安全管理義務罪的區(qū)分問題。拒不履行信息網(wǎng)絡安全管理義務罪是純正不作為犯，只能以不作為的方式構(gòu)成，如果網(wǎng)絡服務提供者是以作為的方式違反信息網(wǎng)絡安全的有關規(guī)定的，則構(gòu)成信息犯罪的幫助犯。但是對于其消極地不履行法定義務這種不作為的情況，便需要從網(wǎng)絡服務提供主體的主觀方面進行考察，才能最終認定成立侵犯公民個人信息罪還是拒不履行信息網(wǎng)絡安全管理義務罪。

首先，網(wǎng)絡服務提供者構(gòu)成侵犯公民個人信息罪的幫助犯還是拒不履行信息網(wǎng)絡安全管理義務罪，應當根據(jù)其不履行法定信息網(wǎng)絡安全管理義務所處的行為階段進行判斷。只有在他人實施公民個人信息違法犯罪行為過程中，網(wǎng)絡服務提供者不履行信息網(wǎng)絡安全管理義務的行為，才有可能構(gòu)成侵犯公民個人信息罪的共犯；一旦他人的信息犯罪行為已經(jīng)實行完畢并且發(fā)生既遂結(jié)果，網(wǎng)絡服務提供者的不作為便不可能再成立與他人犯罪行為的共同犯罪。

其次，侵犯公民個人信息罪只能以故意構(gòu)成。司法解釋第五條規(guī)定了非法獲取、出售、提供公民個人信息“情節(jié)嚴重”的具體情形，其中第二項（“知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的”）對應故意犯罪，即明知他人獲取公民個人信息是為了用于犯罪目的，依然為其提供的，不論信息接受方最終是否利用信息進行犯罪，更不論該犯罪是否既遂，出售方或者提供方都依法構(gòu)成侵犯公民個人信息罪。但是第一項（“出售或者提供行蹤軌跡信息，被他人用于犯罪的”）是否表明本罪亦可由過失構(gòu)成？因為第一項針對“行蹤軌跡信息”，條文雖然未明確說明行為人在出售或提供此類信息時的心理態(tài)度，但行蹤軌跡類信息與公民人身和財產(chǎn)利益安全關系甚密，所以可以推定其在出售、提供此類信息時應當知道他人將利用該信息實施違法犯罪行為。因此，侵犯公民個人信息罪在主觀方面只能為故意。其他國家的立法對于侵犯公民信息安全的犯罪，一般也都規(guī)定只有具有故意時才能成立，比如，德國《聯(lián)邦數(shù)據(jù)保護法》（Federal Data Protection Act）中的“以獲取非法利益或者陷害數(shù)據(jù)主體為目的”，美國1974年《隱私法案》（The Privacy Act of 1974）也規(guī)定“明知泄露該信息為法所禁止”[9]27。

對于網(wǎng)絡服務提供者主觀心態(tài)的認定，可以借助“監(jiān)管部門責令改正”，分別對責令改正之前和之后的心理態(tài)度作出判斷。如果網(wǎng)絡服務提供者在經(jīng)監(jiān)管部門責令改正之后，仍不履行法定信息網(wǎng)絡安全管理義務的，很難說其對于信息犯罪損害結(jié)果的發(fā)生不存在間接故意，因此在這種情況下可以認定其具有犯罪故意。對于監(jiān)管部門責令改正之前網(wǎng)絡服務提供者不履行法定安全管理義務的行為，需要證明其知道或者應當知道他人利用其提供的網(wǎng)絡服務實施信息不法行為的事實及行為危害后果。如果能夠確定網(wǎng)絡服務提供者主觀上為明知或者應知的故意，客觀上未采取及時斷開鏈接、刪除信息等措施，違反法定網(wǎng)絡安全管理義務的，在他人的信息犯罪行為尚未實施完畢的情況下，則認定其以不作為的方式構(gòu)成侵犯公民個人信息罪的幫助犯。

二、盜竊公民個人信息以特殊法條——侵犯公民個人信息罪認定

竊取公民個人信息后，又利用該信息實施詐騙行為的，應當以本罪與具體財產(chǎn)犯罪數(shù)罪并罰。但是，對于竊取公民的賬號密碼，由于銀行賬號密碼、游戲賬號密碼等賬號密碼具有財產(chǎn)價值，能否認定為盜竊罪？如果構(gòu)成盜竊罪，究竟與侵犯公民個人信息罪成立想象競合還是法條競合關系？

（一）盜竊罪與侵犯公民個人信息罪形成法條競合

對于竊取型公民個人信息犯罪，當竊取的信息是具有財產(chǎn)價值的信息時，與盜竊罪形成競合關系。要判斷兩罪之間是想象競合關系還是法條競合關系，關鍵不在于看同一個行為是否同時觸犯多個罪名，因為僅從外部表現(xiàn)來看，想象競合犯與法條競合犯都滿足一行為符合數(shù)罪名的特征，所以二者實質(zhì)上的區(qū)別在于行為所觸犯的多罪名是否本身存在從屬或者交叉的邏輯關系，而在想象競合中不具有這種邏輯關系[10]383。兩罪之間存在法條競合關系，如果以其中一罪認定便足以對全部犯罪事實進行完整評價的，那么該罪名相對于另一罪名就是特殊罪名?！靶畔⒁蚱渚哂锌蓮椭菩远鄙佟加小?，從而區(qū)別于傳統(tǒng)的有體物犯罪。有些信息還具有公共屬性，如重要的發(fā)明能夠為所有人使用，因此刑法對于針對信息的犯罪行為進行了特別規(guī)定”[11]。

在肯定竊取型侵犯公民個人信息罪與普通盜竊罪成立法條競合的前提下，如果竊取的系具有財產(chǎn)價值的公民個人信息，應當以特殊法條即侵犯公民個人信息罪定罪論處，而不宜認定為盜竊罪。因為在個人信息犯罪所要保護的法益方面，保護公民個人信息不僅僅是保護個人對于信息的財產(chǎn)所有權(quán)，還包括對其人身權(quán)利的保護，而盜竊罪不足以評價該竊取個人信息的行為對于公民人身權(quán)益的侵害。比如，著作權(quán)具有一定經(jīng)濟價值，可以作為一種財產(chǎn)性利益進行保護，然而從我國現(xiàn)行刑法的規(guī)定上來看，侵犯著作權(quán)的行為并未以財產(chǎn)犯罪盜竊罪論處，而是以專門的法條——侵犯著作權(quán)罪定罪。例如，盜竊商業(yè)秘密的行為不構(gòu)成盜竊罪，而是以獨立罪名侵犯商業(yè)秘密罪定罪論處。這些都表明竊取型侵犯公民個人信息罪與普通盜竊罪之間成立交叉關系的法條競合犯。

（二）處理規(guī)則：適用特殊法條即侵犯公民個人信息罪

對于法條競合犯，存在兩種處理規(guī)則：一是按照特別法條優(yōu)先于一般法條進行認定；二是按照重法優(yōu)于輕法定罪論處。由于盜竊罪的法定刑最高可達無期徒刑，當以侵犯公民個人信息罪認定會出現(xiàn)刑罰與嚴重罪行之間的不協(xié)調(diào)時，是否應按重罪盜竊罪論處？在選擇適用何種規(guī)則時，有學者主張應當以適用特別法為原則，只有在法律明確規(guī)定按照重法處理時，才能例外地按照重法優(yōu)于輕法規(guī)則定罪處罰[12]。因為從理論根據(jù)上講，重法優(yōu)于輕法只是在適用特別法將造成罪行與刑罰之間的不對等時，出于功利目的考慮而作出的一種解決方案，當特別法所規(guī)定的刑罰與普通法相當或者重于普通法時，重法優(yōu)于輕法的規(guī)則根本沒有適用的空間和存在價值[13]。由于在侵犯公民個人信息罪中，刑法條文和司法解釋都沒有在罪刑不適應時作出應適用盜竊罪的例外規(guī)定，因此當出現(xiàn)兩罪的競合時，只能以侵犯公民個人信息罪這一特殊法條加以認定。

三、侵犯公民個人信息罪與行政違法的界限與銜接

《刑法修正案（九）》將原本只能由“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”構(gòu)成的個人信息犯罪主體修改為一般主體，而將身份要素僅作為加重處罰的情節(jié)對待。犯罪責任主體范圍的擴大，表明了刑法對于公民個人信息違法犯罪行為從嚴處理、從重處罰的態(tài)度。但是，由于刑罰制裁手段的嚴厲性，刑法必須堅持其適用的最后性原則——在使用其他法律救濟仍不能充分保護法益時，才得以啟動刑法加以保護。在窮盡行政救濟后才能適用刑法，此時便需要行政法與刑法的銜接，合力打擊公民個人信息違法犯罪行為。

（一）信息本人同意阻卻犯罪成立

工信部聯(lián)合其他部門起草的《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》中規(guī)定，只有在取得個人信息主體同意（對于敏感信息應獲得個人信息主體的明示同意，對于一般信息允許默示同意）的前提下，才可以對個人信息進行處理，否則必須停止收集或刪除個人信息。公民有權(quán)自由處分其本人的個人信息，因為公民個人信息與個體活動相關聯(lián)，針對其進行的不法活動一般僅能對信息個人的人身或者財產(chǎn)安全帶來危險，而不會對社會公共秩序和國家利益造成直接威脅[14]。

當個人信息主體對于出售或者披露其個人信息的行為作出承諾，在理解其行為意義的前提下，便不存在值得保護的法益，此時出售和披露信息的行為屬于對個人信息的正當使用，而不能定性為針對公民個人信息的不法行為。即使最終因出售、提供個人信息而造成危害后果的，責任也應歸屬于承諾主體，因為出售和提供公民個人信息的行為因被承諾而獲得正當性。根據(jù)《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第三條的規(guī)定，“未經(jīng)被收集者同意”，而將公民個人信息提供給他人的，才符合違反規(guī)定提供公民個人信息的構(gòu)成要件。為了保障信息在傳輸環(huán)節(jié)的安全，在進行數(shù)據(jù)交易時應當通過正規(guī)數(shù)據(jù)交易平臺，但如果交易雙方在征得信息主體同意的情況下，于交易平臺之外買賣個人信息的，并且沒有造成危害后果，則不能一律認為系違反國家規(guī)定出售、獲取公民個人信息。

在“互聯(lián)網(wǎng)+”的時代背景下，在此意義上也應該適當放開信息流通規(guī)制的門檻，以平衡效率與秩序之間的利益沖突。德國刑法學者埃里克·希爾根多夫也認為，在風險性的互聯(lián)網(wǎng)社會交際中，刑法不應再充當“家長主義”的角色，對被害人予以無微不至的保護，現(xiàn)代網(wǎng)絡刑法的任務正是劃清被害人自我答責與自擔風險的范圍[15]。

（二）犯罪目的與刑事可罰性

美國1998年《身份盜用和假冒制止法》（The ldentity T'heft and Assumption Deterrence Act）中對盜用身份罪作出的定義為：“未獲得合法授權(quán)，以實施或者教唆、幫助實施聯(lián)邦法律、州地方法律所規(guī)定的禁止性不法行為為目的，而轉(zhuǎn)移或者使用他人身份的行為”④。該法案對于竊取、使用公民個人信息的違法行為，通過限定以進行違法行為這一目的，縮小了犯罪的成立范圍。而反觀我國司法解釋第五條第五項，當非法出售、提供或者獲取的個人信息達五千條時，行為人即構(gòu)成侵犯公民個人信息罪，該規(guī)定似乎僅以客觀損害結(jié)果入罪，對于行為人主觀目的卻不作要求，是否會導致犯罪成立范圍的不當擴大？

1.目的犯及犯罪目的的法律內(nèi)涵

陳立教授認為，“刑法中的目的犯實際上存在兩種目的，一種是與直接故意內(nèi)容相重合的一般犯罪目的，如故意殺人罪中的將人非法殺害的目的；另一種是故意內(nèi)容之外的特定犯罪目的，某些犯罪在具有一般犯罪目的之外，還必須同時存在某種不為故意內(nèi)容（即一般犯罪目的）所具備的主觀要素，該主觀要素即特定犯罪目的”[16]。以傳播淫穢物品罪為例，成立本罪要求行為人對于傳播淫穢物品行為主觀上持故意的心態(tài)，此處的目的即一般犯罪目的；當行為人同時還具有牟利目的時，則成立刑法第三百六十三條傳播淫穢物品牟利罪，該罪既具有故意實施傳播淫穢物品的一般犯罪目的，并且存在牟利這一特定犯罪目的。

侵犯公民個人信息罪因為是故意犯罪，所以自然具有違反規(guī)定故意獲取、出售或者提供個人信息的一般犯罪目的，但刑法并未明文規(guī)定該非法獲取、出售、提供個人信息之行為是為了進一步實施違法犯罪，那么該內(nèi)心傾向究竟屬于不成文的構(gòu)成要件還是對于認定犯罪所不重要的犯罪動機？

2. 法益侵害與犯罪可罰性

對于不成文的主觀要件和犯罪動機的判斷，應當從法益侵害的角度，根據(jù)該主觀要素對于本罪所保護法益的侵害程度來判斷。當某種內(nèi)心動向?qū)τ谠撟锒栽跊Q定法益侵害或者影響法益侵害程度方面具有重要作用，但刑法未作出成文規(guī)定時，應將其解釋為本罪主觀構(gòu)成要件的內(nèi)容；反之，則不可以把該主觀動向認定為本罪的主觀超過要素[17]。因此，對于侵犯公民個人信息罪所保護的法益的判斷，在辨別犯罪動向是否侵害法益時至為關鍵。由于立法規(guī)定不能夠?qū)τ诜缸锞唧w侵害的法益作出準確的說明，而在理論學界對于該罪的法益又未達成共識的情況下，則需要借助刑事處罰的必要性進行認定[18]。

刑法對侵犯公民個人信息罪規(guī)定了三種行為方式，分別是非法獲取、非法出售和非法提供，并且司法解釋第三條又將“通過信息網(wǎng)絡發(fā)布”規(guī)定為其中提供的一種方式。將公民的個人信息發(fā)布在開放的信息網(wǎng)絡空間，其本質(zhì)仍然是向網(wǎng)絡空間中的“他人”提供公民個人信息。“信息面向不特定的社會公眾廣泛傳播，使被公開信息的人面臨著被‘人肉搜索’或者其家屬被騷擾等風險，嚴重干擾了其正常生活”⑤。從刑法和司法解釋的規(guī)定上來看，僅這種發(fā)布或者提供的行為即具有法益侵害性，即使違法提供的個人信息未被實際用于其他違法犯罪，但由于侵害了“公民對其本人信息的控制權(quán)”[19]，該行為本身就是值得處罰的。大數(shù)據(jù)時代中公民的信息安全形勢異常嚴峻，刑法處罰的必要性應當依據(jù)行為的危險而不是已然的后果，不要等到更為嚴重的后果發(fā)生時才予以保護[9]32。

由此可見，侵犯公民個人信息罪不具有非法使用這一特定犯罪目的，為利用該信息實施后續(xù)不法行為而獲取、出售或者提供的內(nèi)心動向，僅作為該罪的犯罪動機，對于犯罪的認定沒有影響。若將公民個人信息用于非法目的，在符合其他犯罪的構(gòu)成要件時，則依法構(gòu)成相應的其他犯罪。因此，司法解釋第五條第五項之規(guī)定，并非僅根據(jù)結(jié)果歸罪，只要行為人主觀上對于違法獲取、出售或提供公民個人信息系明知，且理解其行為意義的，就已符合本罪故意構(gòu)成要件的要求。

（三）公民個人信息犯罪的未遂成立可能性分析

侵犯公民個人信息罪規(guī)定“……情節(jié)嚴重的，處……情節(jié)特別嚴重的，處……”，司法解釋進一步對“情節(jié)嚴重”與“情節(jié)特別嚴重”作出更為具體的客觀標準。那么，“情節(jié)嚴重”能否存在未遂狀態(tài)，或者說該嚴重情節(jié)和特別嚴重情節(jié)究竟是作為認定犯罪成立的構(gòu)成要件，還是判斷犯罪既遂的條件？關于犯罪成立標準與犯罪既遂標準的區(qū)分，是判斷信息一般違法行為與犯罪行為的前提。如果作為犯罪成立條件，當行為不滿足情節(jié)嚴重的標準時，則只能依照行政違法進行處理；而如果作為犯罪既遂條件，雖未達到既遂的標準，卻仍有構(gòu)成犯罪（未遂）的可能，從而擴大了信息犯罪的成立范圍。

刑法對于侵犯公民個人信息罪規(guī)定了非法出售、提供、獲取等具體的行為方式，同時要求行為必須達到一定嚴重情節(jié)，所以本罪不應是抽象危險犯。不能以一旦實施構(gòu)成要件中的行為就認為成立犯罪，行為必須同時具備一定的社會危害性。司法解釋對于“情節(jié)嚴重”與“情節(jié)特別嚴重”的具體規(guī)定，為社會危害性提供客觀事實判斷的基礎。類似的刑法中的規(guī)定，還有第二百一十九條侵犯商業(yè)秘密罪，該罪規(guī)定：“給商業(yè)秘密的權(quán)利人造成重大損失的，處三年以下有期徒刑或者拘役，并處或者單處罰金”，而對于“造成重大損失”是屬于犯罪成立標準還是既遂的標準，在理論界仍有爭議，不過司法實務中一般將其作為犯罪成立要件對待[20]。

我認為，侵犯公民個人信息罪首先應當屬于行為犯中的具體危險犯，而非結(jié)果犯。具體危險犯與結(jié)果犯的成立都以行為產(chǎn)生一定的結(jié)果為前提，但不同于結(jié)果犯中實際的損害結(jié)果，危險犯中所要求的結(jié)果指達到“法定危險狀態(tài)”[21]。結(jié)合司法解釋第五條第四項之規(guī)定，“其他可能影響人身、財產(chǎn)安全的公民個人信息”也可以反映出將公民個人信息安全所處的危險狀態(tài)作為處罰的依據(jù)。其次，這種法定危險狀態(tài)應當作為犯罪成立要件，而不是犯罪既遂要件。如果僅竊取三十條公民個人征信信息，尚未達到司法解釋所規(guī)定的“五十條以上”的條件，則不能認為構(gòu)成犯罪未遂，而應認定不成立本罪。但這不意味著本罪無未遂之可能，對于具體危險犯既遂與未遂的判斷，應當以行為與結(jié)果之間是否存在相當因果關系為依據(jù)?！皬男袨榕e止與損害結(jié)果發(fā)生之間的蓋然性角度，如果法益遭受侵害的結(jié)果未發(fā)生僅僅取決于偶然，那么行為本身仍值得譴責”⑥[10]210。具體而言，如果某銀行內(nèi)部人員意圖將其在履行職責過程中獲取的一百條公民個人征信信息非法出售給他人，但在通過網(wǎng)絡傳輸征信信息時，電腦突然死機，信息并未發(fā)送成功的，該銀行工作人員構(gòu)成侵害公民個人信息罪的未遂。雖然公民征信信息未實際售出，但信息泄露結(jié)果沒有發(fā)生的原因僅僅是電腦死機這一偶然因素的出現(xiàn)，所以因外界偶然原因?qū)е碌姆缸镂吹贸殉闪⒎缸镂此臁?/p>

四、結(jié)語

維護公民個人信息安全，僅依靠企業(yè)自身的技術(shù)開發(fā)，對于日益增加的信息安全風險而言仍不足夠，因為再牢固的技術(shù)保護屏障也會被更加先進的技術(shù)而一舉擊潰，因此技術(shù)層面上的信息安全維護只是基礎，同時還需要行業(yè)監(jiān)督、政府監(jiān)管和法律法規(guī)的約束，形成網(wǎng)絡技術(shù)保障、管理監(jiān)督保障和法律保障等多重保障體系。

“我國的網(wǎng)絡安全行政監(jiān)管部門分為十六個不同的職能部門，如工業(yè)與信息化部門、工商管理部門、公安部門等”[22]。政府監(jiān)管各職能部門分別管轄不同領域，這種專項治理的監(jiān)管模式固然可以重點管理和監(jiān)督某一特定行業(yè)內(nèi)的不法行為，但面對日益猖獗的網(wǎng)絡黑色產(chǎn)業(yè)，僅依靠“各自為政”的條塊分割式監(jiān)管還遠遠不夠。企業(yè)內(nèi)部的行業(yè)監(jiān)管開啟了跨行業(yè)、跨地區(qū)的綜合監(jiān)管與整體治理模式，克服了政府監(jiān)管需受到職能管轄和地域限制的障礙，而且借助其自身掌握的技術(shù)專業(yè)優(yōu)勢，針對利用網(wǎng)絡技術(shù)實施的違法犯罪行為可以“以網(wǎng)治網(wǎng)”。如果行業(yè)的自身監(jiān)管與行政監(jiān)管都不足以打擊具有嚴重社會危害性的公民個人信息不法行為，則有必要借助刑法途徑。司法是維護社會公平正義的最后一道防線，在窮盡其他救濟手段仍不能有效保護法益時，則有必要啟動刑法予以規(guī)制。開展對于信息違法犯罪行為的綜合治理，加強企業(yè)、行政機關與司法機關之間的合作與交流，堅持懲治與預防并重，構(gòu)筑牢固的信息安全防火墻[23]。

[注 釋]

① 參見王峰“116件法律列入5年立法規(guī)劃，個人信息保護法躍升第一序列”一文，載于南方網(wǎng)，網(wǎng)址為：http://news.southcn.com/n/2018-09/11/content_183265233.htm。

② 《關于辦理危害計算機信息系統(tǒng)安全刑事案件應用法律若干問題的解釋》第七條：“明知是非法獲取計算機信息系統(tǒng)數(shù)據(jù)犯罪所獲取的數(shù)據(jù)、非法控制計算機信息系統(tǒng)犯罪所獲取的計算機信息系統(tǒng)控制權(quán)，而予以轉(zhuǎn)移、收購、代為銷售或者以其他方法掩飾、隱瞞，違法所得五千元以上的，應當依照刑法第三百一十二條第一款的規(guī)定，以掩飾、隱瞞犯罪所得罪定罪處罰”。

③ 《刑法》第331條傳染病菌種、毒種擴散罪：“從事實驗、保藏、攜帶、運輸傳染病菌種、毒種的人員，違反國務院衛(wèi)生行政部門的有關規(guī)定，造成傳染病菌種、毒種擴散，后果嚴重的，處三年以下有期徒刑或者拘役；后果特別嚴重的，處三年以上七年以下有期徒刑”。其中，“違反國務院衛(wèi)生行政部門的有關規(guī)定”即國務院衛(wèi)生部作出的部門規(guī)章。

④ The ldentity T'heft and Assumption Deterrence Act,Title 18,U.S.Code,Section 1028.

⑤ 北京市第二中級人民法院（2009）二中民終字第5603號民事判決書。

⑥ 此處的“結(jié)果”應理解為上文中的“法定危險狀態(tài)”。

[1] 王利明.人格權(quán)法研究[M].北京:中國人民大學出版社,2012:502.

[2] KANG J.Information of Privacy in Cyberspace Transactions[J].STANFORD LAW REVIEW,1998,50:1203.

[3] 謝遠揚.信息論視角下個人信息的價值——兼對隱私權(quán)保護模式的檢討[J].清華法學,2015(3):105.

[4] 于志剛.“大數(shù)據(jù)”時代計算機數(shù)據(jù)的財產(chǎn)化與刑法保護[J].青海社會科學,2013(3):14.

[5] 于志剛.“大數(shù)據(jù)時代數(shù)據(jù)犯罪的制裁思路[J].中國社會科學,2014(10):116.

[6] 周光權(quán).刑法學的向度——行為無價值論的深層追問(第二版)[M].北京:法律出版社,2014:11.

[7] 蔣玲.刑法中“違反國家規(guī)定”的理解和適用[J].中國刑事法雜志,2017(7).

[8] 胡江.侵犯公民個人信息罪中“違反國家有關規(guī)定”的限縮解釋——兼對侵犯個人信息刑事案件法律適用司法解釋第2條之質(zhì)疑[J].政治與法律,2017(11).

[9] 楊溯.大數(shù)據(jù)時代信息安全的刑法保護問題研究[D].長沙:中南林業(yè)科技大學,2016.

[10] 陳興良,周光權(quán).刑法學的現(xiàn)代展開[M].北京:中國人民大學出版社,2006:383.

[11] (德)烏爾里希·齊白.全球風險社會與信息社會中的刑法[M].周遵友,江溯,等,譯.北京:中國法制出版社,2012:285.

[12] 劉明祥.竊取網(wǎng)絡虛擬財產(chǎn)行為定性研究[J].法學,2016(1):153.

[13] 龔培華.評法條競合重法優(yōu)于輕法原則[J].中國法學,1992(4):79.

[14] 高富平,王文祥.出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護的法益為視角[J].政治與法律,2017(2):51.

[15] (德)埃里克·希爾根多夫.德國刑法學—從傳統(tǒng)到現(xiàn)代[M].江溯,黃笑巖,譯.北京:北京大學出版社,2015:360-363.

[16] 陳立.略論我國刑法的目的犯[J].法學雜志,1989(4):18-19.

[17] 張明楷.刑法分則的解釋原理[M].北京:中國人民大學出版社,2004:191.

[18] 付立慶.非法定目的犯的甄別與定位——以偽造貨幣罪為中心[J].法學評論,2007(1):142.

[19] 孔令杰.個人資料隱私的法律保護[M].武漢:武漢大學出版社,2009:70.

[20] 賈學勝,鄭泳彬.美國對商業(yè)秘密的刑法保護及其啟示——由《反經(jīng)濟間諜法》的修正引入[J].知識產(chǎn)權(quán),2014(5):104.

[21] 歐陽本祺.論刑法上的具體危險的判斷[J].環(huán)球法律評論,2012(6):78.

[22] 劉素華.大數(shù)據(jù)時代保障公民數(shù)據(jù)信息安全的網(wǎng)絡治理[J].理論視野,2016(11):46.

[23] 24時延安.個人信息保護與網(wǎng)絡詐騙治理[J].國家檢察官學院學報,2017(6):24.

The Theoretical Identification and Application Space of the Crime of Infringing Citizens’ Personal Information

LI MINGLU

In the information society, citizen personal information is faced with huge hidden dangers of security, which leads to a series of illegal or criminal acts on information. Therefore, criminal law must respond to it. The identifiability of citizens’ personal information means that the protection mode of personal information is different from the traditional property crime. Theft is not enough to evaluate the personal information crime, the complex object to which is personal rights and property rights. Therefore, the special crime should be convicted .The crime of infringing on citizen personal information is the non-pure omission crime, which the omission can also constitute. If the network service provider knows or should know that other people use the network technology provided by them to implement the information illegal crime and fails to fulfill its legal obligation of network security management, then it constitutes the accessory of this crime. The maintenance of information security needs the pluralistic protection of the network technology, administrative supervision and criminal sanctions, however,excessive intervention of the criminal law is not helpful enough for the application and development of data, so we should insist on the modesty of criminal law and handle the relationship between information violation and information crime.

citizenpersonal information; information crime;criminal omission; administrative violation

本文推薦專家：

韓松，西北政法大學，教授，研究方向:民商經(jīng)濟法。

焦和平，西北政法大學，副教授，研究方向:民法和知識產(chǎn)權(quán)法。

2017-05-14

李明魯（1994-），女，山東菏澤人，中國政法大學碩士研究生，研究方向：刑法學。

D924.34

A

1008-472X(2018)03-0064-08