黃彬

摘要面對大數(shù)據(jù)背景下衍生的公民個人信息安全日益嚴(yán)重的問題，刑法以修正案的形式作出了回應(yīng)，但是在該罪的入罪機制上仍然存在亟待理清的問題。該罪的主體、主觀方面之犯罪目的、法益侵害性及行為類型的認定對于正確適應(yīng)該罪具有積極意義，也為良好的數(shù)據(jù)運用提供適宜的法律環(huán)境。

關(guān)鍵詞公民 個人信息 法益保護 入罪機制

2018年2月1日上午，由最高人民法院、中央電視臺聯(lián)合評選出的2017年推動法治進程十大案件結(jié)果新鮮出爐，徐玉玉被電信詐騙案位列第二位入選。該案因犯罪嫌疑人杜某利用技術(shù)手段攻擊了“山東省2016高考網(wǎng)上報名信息系統(tǒng)”并在網(wǎng)站植入木馬病毒，獲取了網(wǎng)站后臺登錄權(quán)限，盜取了包括徐玉玉在內(nèi)的大量考生報名信息，而后將信息轉(zhuǎn)賣出去，導(dǎo)致徐玉玉成為案件受害人。該案作為全國法院一年來審理的2500多萬起案件的典型代表之一，雖然主罪為詐騙罪，但是該詐騙得以成功的重要途徑便是“侵犯公民個人信息”。

從犯罪學(xué)視角來看，任何犯罪現(xiàn)象都是人類社會肌體的“贅生物”，它的產(chǎn)生和存在與某一階段人類社會的特點密切相關(guān)。因此，為了應(yīng)對大數(shù)據(jù)時代的來臨是信息尤其是個人信息的安全保護所面臨的前所未有的挑戰(zhàn)。2009年《刑法修正案（七）》的出臺，將出售或非法提供履行職責(zé)或提供服務(wù)過程中獲得的公民個人信息的行為、非法獲取公民個人信息的行為入罪。時隔六年，針對該罪在司法實踐中出現(xiàn)的新情況、刑法在規(guī)制該類型犯罪的復(fù)雜情況時出現(xiàn)的不相適應(yīng)等情形，2015年8月29日通過的《刑法修正案（九）》對該罪的規(guī)制作出了進一步完善。

一、侵犯公民個人信息罪入罪沿革及發(fā)展

基于實踐中一些國家機關(guān)以及金融、電信、交通、教育、醫(yī)療等單位的工作人員將履行職責(zé)或提供服務(wù)過程中收集和儲存的大量公民個人信息出售或非法提供給他人獲取非法利益，從而對公民人身、財產(chǎn)安全、個人隱私以及生活安寧構(gòu)成嚴(yán)重威脅的社會現(xiàn)實，2009年2月28日我國通過《刑法修正案（七）》，在第二百五十三條后增加一條，作為第二百五十三條之一，即出售、非法提供、非法獲取公民個人信息罪。將該行為納入刑事打擊的范圍，彰顯了立法機關(guān)在網(wǎng)絡(luò)信息時代對公民個人權(quán)利的特殊保護和對民生的關(guān)注。

然而，面對司法實踐中層出不窮的侵犯公民個人信息的新型案件，《刑法修正案七》所規(guī)定的主體、對象均難以予以規(guī)制，司法實踐中因該罪被追究刑事責(zé)任的實例并不多。故，對該罪立法規(guī)定的完善勢在必行?！缎谭ㄐ拚妇拧返某雠_對該罪的適用面擴展作出了重大修訂：

（一）擴張了犯罪主體

《修正案七》中界定的主體為身份犯，即國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，且必須是在履職或提供服務(wù)過程中獲得的公民個人信息。因此，不具備特定身份的行為人實施的該罪就應(yīng)基于罪刑法定原則被排除在犯罪之外（司法實際中在修正案九出臺前也出現(xiàn)不具備特定身份的行為人認定為此罪的情形顯然違背罪刑法定原則）。然而，司法實踐中大量的侵犯公民個人信息行為的主體遠不限于上述人員，物業(yè)公司、房產(chǎn)中介、保險、快遞等服務(wù)也中的工作人員將履行職務(wù)或提供服務(wù)過程中獲得的公民個人信息出售、非法提供的案件也時有發(fā)生。甚至后者作為主體的發(fā)生率遠遠高于前者。因此，《修正案九》將此罪的主體進行了修改，即為一般主體，不再有身份的限制。特定身份僅僅屬于量刑身份而非定罪身份。

（二）犯罪對象的來源不再予以限制

同上，如果將信息來源局限在國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位履職或提供服務(wù)過程中獲得的公民個人信息，則實踐中出現(xiàn)的大量侵犯公民個人信息的行為同樣將失去刑法規(guī)制的依據(jù)。通過查閱“中國裁判文書網(wǎng)”2016年來公布的裁判文書，大量信息屬于修正案七限定的渠道以外獲得的，不具備職務(wù)性質(zhì)。因此，修正案九對該罪犯罪對象來源限制的取消是對司法實踐的回應(yīng)，同時也與該罪主體修改相協(xié)調(diào)，使法條邏輯更為妥當(dāng)。

（三）對相關(guān)部門的職務(wù)行為處罰更嚴(yán)厲

為了體現(xiàn)國家機關(guān)等相關(guān)部門的公信力，加大了對職務(wù)行為獲取信息予以出售或提供的打擊力度。

（四）降低入罪門檻

針對我國迄今為止尚未制定完整、統(tǒng)一的個人信息保護法律的現(xiàn)狀，《修正案七》中的“違反國家規(guī)定”的標(biāo)準(zhǔn)顯然縮小了打擊面。對我國目前存在的法律、法規(guī)、部門規(guī)章等大量關(guān)于公民個人信息保護規(guī)定之違反、情節(jié)嚴(yán)重的均可以認定為犯罪?！缎拚妇拧穼Υ诉M行了完善，即修改為“違法國家有關(guān)規(guī)定”。

（五）針對情節(jié)特別嚴(yán)重的情形配置更重的法定型

從司法實踐看，存在非常嚴(yán)重的侵犯公民個人信息的犯罪，涉案公民個人信息數(shù)量達上億條，獲利數(shù)額也非常巨大。《修正案七》中的三年以下有期徒刑或拘役，并處或單處罰金的法定刑已經(jīng)不符合罪責(zé)行相適應(yīng)原則。故，為了適應(yīng)實踐中的此類重大犯罪，《修正案九》針對該罪配置了更重的法定刑，即情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金（取消了單處罰金刑）。

時至今日，《刑法修正案九》出臺已經(jīng)兩年半的時間，通過查閱《中國裁判文書網(wǎng)》，2016年至今該網(wǎng)站公布的全國審理侵犯公民個人信息罪數(shù)量為2016年423件、2107年1163件、2018年截止到2月23件。（同期侮辱罪所公布的審理數(shù)量為2016年376件、2017年343件、2018年截止到2月4件；同期誹謗罪所公布的審理數(shù)量為2016年88件、2017年58件、2018年截止到2月1件）。由此可見，該罪隨著網(wǎng)絡(luò)科技的迅猛發(fā)展對人民生活的滲透，發(fā)案率必定會超過同樣侵犯人身權(quán)利法益的相關(guān)犯罪。

面對如“雨后春筍”般激增的侵犯公民個人信息的犯罪，其就是社會發(fā)展、技術(shù)變革的一個“贅生物”。國家在立法設(shè)立新罪名、出臺修正案擴張該罪主體、擴大犯罪對象、降低入罪門檻的同時，無疑給商業(yè)活動中廣泛存在的數(shù)據(jù)交換和正在興起的數(shù)據(jù)交易蒙上一層陰影。如何對該罪的入罪標(biāo)準(zhǔn)進行正確理解與適用，懲治犯罪、保護公民個人信息安全的同時，為正當(dāng)?shù)膫€人信息收集和數(shù)據(jù)交換提供良好的制度環(huán)境是司法實踐中亟待解決的問題。

二、侵犯公民個人信息罪入罪機制

（一）犯罪主體的界定

修正案九將該罪的兩種犯罪類型，即出售、非法提供公民個人信息犯罪與竊取、非法獲取公民個人信息犯罪的主體進行了統(tǒng)一，均為一般主體，且單位可以成為本罪的主體（盡管查閱中國裁判文書網(wǎng)，單位作為犯罪主體的裁判數(shù)量非常稀少，但是將單位列入其中能全方位遏制該類犯罪）。故對司法實踐中大量非利用公權(quán)力涉及該類犯罪的情形能予以有效規(guī)制。

（二）犯罪主觀方面的認定

雖然司法實踐中存在過失泄露公民個人信息、造成較嚴(yán)重后果的情形，如有關(guān)單位在軟件開發(fā)過程中遇到功能性與安全性相抗衡時更傾向于功能性的選擇，導(dǎo)致本可以避免發(fā)生的信息泄露。由于目前立法上仍舊否認將過失致使公民個人信息泄露的行為入罪，故司法實踐中一定要對涉案主體主觀方面予以嚴(yán)格認定，避免擴大該罪的打擊面。

但是，值得一提的是，該罪的故意要素中犯罪目的是否該列入評判罪與非罪的標(biāo)準(zhǔn)。修正案九將該罪的法定刑分為兩檔：情節(jié)嚴(yán)重的，三年以下有期徒刑、拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金?！胺缸锴楣?jié)”成了該罪的重要考察因素。司法實踐中大量侵犯公民個人信息的行為都與詐騙等犯罪相結(jié)合的，即實施該罪具有實施其他犯罪的非法目的。由于該罪與詐騙等犯罪侵犯的法益不同，故司法實踐是按照數(shù)罪并罰的標(biāo)準(zhǔn)處罰。但是不可否認的是，司法實踐中還存在相當(dāng)一部分與犯罪無關(guān)，完全出于商業(yè)目的的利用信息的行為（如為了維持商業(yè)運轉(zhuǎn)獲取客戶信息、根據(jù)客戶瀏覽痕跡推送商品等）。因此，筆者認為綜合判斷該罪的目的，使利用個人數(shù)據(jù)行為的合法性變得明晰，是促進社會對個人信息數(shù)據(jù)的正當(dāng)利用應(yīng)有之意。

（三）犯罪法益侵害性的判斷——侵犯公民個人信息罪的法益為公民的人格尊嚴(yán)、人身自由

侵犯公民個人信息罪法益侵害性的準(zhǔn)確把握在大數(shù)據(jù)充分運用、數(shù)據(jù)交換頻繁的當(dāng)今社會對于罪與非罪的認定具有非常重要的意義。政府在社會治理和決策中要大量應(yīng)用個人數(shù)據(jù)，基于對個人數(shù)據(jù)分析的精準(zhǔn)營銷、網(wǎng)絡(luò)推送、個性化定制等也已成為現(xiàn)代商業(yè)的基本樣態(tài)。除了在提供服務(wù)或商品中自行收集個人數(shù)據(jù)外，許多商家開始依賴外部數(shù)據(jù)，其獲取方式包括分享、交換、許可使用等。有鑒于此，不厘清該罪的法益侵害性，就會存在將正常的數(shù)據(jù)分享、交換等商業(yè)行為陷于刑法的囹圄。

侵犯公民個人信息的行為之所以入罪，在我國刑法的語境中一定是以有嚴(yán)重的社會危害性為前提的?！靶袨槭欠窬哂袑嵸|(zhì)違法性，是根據(jù)法益是否受到侵害或者威脅來評價的”。那么該罪所侵害的法益具體是什么？修正案七將該罪放置在第四章“侵犯人身權(quán)利、民主權(quán)利罪”一章，條文序號為第253條之一，位于“侵犯通信自由罪”與“私自開拆、隱匿、毀棄郵件、電報罪”之后。則該罪從條文編排上來看應(yīng)該與以上兩罪具有同質(zhì)性。基于以上兩罪所保護的法益均為公民人格權(quán)利與自由，包括公民個人通信自由和人格尊嚴(yán)，故該罪所保護的法益也應(yīng)該為公民人格權(quán)利和自由。盡管司法實踐中存在因為公民被侵犯個人信息而出現(xiàn)傷亡的情況（如文章開篇提及的徐玉玉案件），但查閱“裁判文書網(wǎng)”的近千份裁判，該罪更多的是體現(xiàn)對人格權(quán)利、自由和安寧的侵犯，故不同于同屬于第四章的生命權(quán)、身體權(quán)、健康權(quán)。

通過查閱2016年來侵犯公民個人信息罪的相關(guān)裁判，案件涉及的個人信息范圍非常廣泛：身份證信息、銀行開戶、就業(yè)、入學(xué)、出行、電話、購物、購房、購車、出生、死亡、病痛、保險……更有甚者，學(xué)生學(xué)校課表、班主任名稱都能成為犯罪分子“青睞”的犯罪途徑（為犯罪分子編造完整的詐騙信息提供素材）。浩如煙海的個人信息伴隨著公民的出生、成長、死亡，其均具有一個共同特征——可識別性。這些信息中有的是涉及公民隱私的，如病痛、購物、出行等等，但絕大多數(shù)中性性質(zhì)的信息，一旦被公開、獲取、濫用，則會危害個人利益，侵害個人自由、安寧。最常見的便是購房、購車、孩子出生后裝修公司、保險公司、奶粉公司連珠炮似的推銷電話，嚴(yán)重侵害公民的生活安寧（對此要嚴(yán)格結(jié)合犯罪情節(jié)判斷是否對生活安寧造成侵害，不要與正常的商業(yè)行為混同）。

前述，受到犯罪分子青睞的個人信息范圍是非常廣泛的，對該罪法益的理解不能局限于侵犯涉及公民個人隱私的信息，否則會極大的縮小該罪規(guī)制的行為范圍。對此，可以通過有關(guān)個人信息保護的國際性文件予以求證。1981年歐洲委員會通過《個人數(shù)據(jù)自動處理中的個人保護公約》（以下簡稱《公約》）?！豆s》是在人權(quán)保護的意義和框架下定位個人數(shù)據(jù)保護制度的，明確宣布個人數(shù)據(jù)保護是為了保護個人權(quán)利和基本自由（尤其是隱私權(quán)）。在我國尚未制定個人數(shù)據(jù)保護法的情況下，我國的個人數(shù)據(jù)保護的依據(jù)亦為憲法規(guī)定的公民基本權(quán)利。我國《憲法》第三十七、三十八條人身自由、人格尊嚴(yán)不受侵犯。根據(jù)憲法理論，人格尊嚴(yán)在民法意義上體現(xiàn)為人格權(quán)、主要包括姓名權(quán)、肖像權(quán)、名譽權(quán)、榮譽權(quán)和隱私權(quán)等權(quán)利。我國刑法對于公民個人信息保護是建立在《中華人民共和國憲法》對公民基本權(quán)利保護基礎(chǔ)上的，是履行“國家尊重和保障人權(quán)”基本義務(wù)，保護公民人格尊嚴(yán)、人身自由等憲法權(quán)利，而不是直接基于人格權(quán)或隱私權(quán)保護。

（四）基于法益侵害性作出的對行為類型違法性的甄別

數(shù)據(jù)信息資源對社會生活影響如此廣泛的今天，如果拋開該罪的法益侵害性對涉及數(shù)據(jù)運用的行為作出粗暴的犯罪認定的話，必然有違刑法的謙抑性，也有違該罪設(shè)置的初衷。因此，還需要進一步對該罪行為類型的違法性作出甄別。

1.給予行為的實質(zhì)違法性之價值判斷

該罪的行為涉及兩種類型，即違反國家規(guī)定出售、提供公民個人信息；竊取或者以其他方法非法獲取公民個人信息。對于后一種行為方式自不待言，實質(zhì)違法性一目了然。在此，重點討論第一種行為方式。修正案九對該罪做了限制性規(guī)定，即“違反國家有關(guān)規(guī)定”（如護照法、身份證法、統(tǒng)計法、未成年人保護法、律師法等對個人信息的保護性規(guī)定）。這是否意味著只要有關(guān)法律對公民個人信息的出售或提供有了禁止性規(guī)定，就完全應(yīng)該禁錮公民個人信息的出售和提供了呢？筆者認為，對此問題的機械理解無疑會使得正當(dāng)?shù)膫€人信息流通、使用面臨法律上的巨大障礙。所以，鑒于刑法的嚴(yán)厲性、最后保障性，司法實踐中必須對該行為的實質(zhì)危害性作出評價，僅懲治那些嚴(yán)重危害個人尊嚴(yán)和自由的行為，而給正當(dāng)個人信息流通和使用留下空間。

對此，應(yīng)重點評價的是因為侵犯公民個人信息導(dǎo)致公民生活安寧被侵害的行為。因為此類行為較之間接侵害公民個人尊嚴(yán)、自由的侵犯信息行為而言，具有商業(yè)性的外表，如若入罪機制把握不當(dāng)會影響正常的商業(yè)行為。所以，此種行為實質(zhì)違法性的價值判斷應(yīng)結(jié)合行為人給公民生活安寧造成的侵害程度。即，實際干擾的公民數(shù)量。

2.給予行為對象之縮限考察

前述，可以被犯罪分子青睞的公民信息涉及范圍極其廣泛，更有甚者，學(xué)生學(xué)校課表、班主任名稱都能成為犯罪分子“青睞”的犯罪途徑。在此，有必要對不同的行為類型針對的不同信息種類作出區(qū)別。

對于竊取或者以其他方法非法獲取公民個人信息的行為，行為本身自帶感情色彩，意味著其行為方式本身就為法律所禁止，其獲取公民個人信息的行為缺乏合法性基礎(chǔ)。因此，無需對行為對象的價值作出判斷，就可認定該類行為的實質(zhì)違法性。

對于出售、提供公民個人信息的行為，在未違反國家有關(guān)規(guī)定的情況下因其具有中性色彩，故該類行為如果納入刑法的規(guī)制領(lǐng)域，則需要對行為對象進行縮限解釋。2013年最高人民法院、最高人民檢察院和公安部聯(lián)合發(fā)布的《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》（以下簡稱：《通知》）。《通知》認為“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料?！背四軌蜃R別公民個人身份的信息外，該《通知》還將“涉及公民個人隱私的信息”納入其中。筆者認為《通知》對刑法保護的公民個人信息的界定過于寬泛，從實質(zhì)違法的角度，納入刑法保護的應(yīng)當(dāng)只限于能夠直接識別公民個人身份的個人信息。司法實踐中，行為人通過將獲取的公民個人相關(guān)信息進行組合，作為詐騙罪基礎(chǔ)信息的方式實施詐騙的行為，如果其涉案相關(guān)信息很難剝離出來起到直接識別公民個人身份的作用，則將涉及信息的行為認定為侵犯公民個人信息罪無疑擴大了該罪的打擊面。

所以，從刑法謙抑性的角度出發(fā)，也應(yīng)該將行為對象——公民個人信息限定在能夠根據(jù)信息對個人進行識別的信息源上，不應(yīng)該泛化到涉及公民生活的任何信息之上。

3.非法利用個人信息行為方式入罪的考量

正如“拐賣婦女兒童罪”一般，正是由于存在巨大買買方市場，該類犯罪才難以遏制。司法實踐中對公民個人信息非法利用的評價機制是基于后續(xù)犯罪行為的情節(jié)予以考量，如利用信息進行詐騙。但如人肉搜索等行為，往往基于個人信息的非法利用導(dǎo)致極為嚴(yán)重的人身后果、精神后果，卻不易通過現(xiàn)有刑法規(guī)定予以有效規(guī)制。因此，侵犯公民個人信息犯罪的行為類型中應(yīng)該對非法利用的行為予以足夠重視。但是由于非法利用的行為主體在實踐中會與非法獲取的主體相分離、相區(qū)別，對該行為類型予以認定時應(yīng)與出售、非法提供與竊取、非法獲取的行為主體相區(qū)別（第一種行為主體為有權(quán)獲得信息的主體、第二種行為主體為無權(quán)獲取信息的主體）。非法利用個人信息罪的主體既包括有權(quán)獲取該信息的主體，也包括無權(quán)獲取該信息的主體。

三、結(jié)語

面對信息時代給社會帶來的巨大變革，我們必須辨物居方、有的放矢。在享受大數(shù)據(jù)便捷的同時，應(yīng)該更加關(guān)注公民人格尊嚴(yán)、人身自由的保護。但是刑法的嚴(yán)厲性、第二次權(quán)益保障性使然，要求我們在運用刑法規(guī)制侵犯公民個人信息的行為必須嚴(yán)格把握入罪機制，以達到社會昌明、人民幸福的良好狀態(tài)。