周光權(quán)

在現(xiàn)代信息社會，個人信息一旦被非法獲取就可能在網(wǎng)絡(luò)中迅速擴散，有些敏感個人信息一旦脫離了合法的處理范圍被泄露和使用，會給被害人造成巨大精神傷害，衍生出包括惡意人身騷擾、盜用他人名義注冊、精準實施電信網(wǎng)絡(luò)詐騙犯罪、綁架犯罪等各種復(fù)雜問題，網(wǎng)絡(luò)“黑產(chǎn)”參與非法獲取、提供個人信息還可能引發(fā)社會管理秩序的混亂。因此，對侵犯公民個人信息罪依法進行懲處極為必要。本文結(jié)合正在討論中的個人信息保護法草案(二審稿)對侵犯公民個人信息罪的行為對象尤其是個人信息的范圍、分類、公開性等三個問題進行探討，厘清其與民法上相關(guān)概念的關(guān)聯(lián)性與細微差異，以期消除刑事司法實務(wù)上的相關(guān)分歧。

一、刑法中個人信息的概念及種類

根據(jù)《刑法》第253條之一的規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息情節(jié)嚴重的，以及竊取或者以其他方法非法獲取公民個人信息的，構(gòu)成侵犯公民個人信息罪。據(jù)此，目前我國法律并不禁止企業(yè)或個人從事個人信息相關(guān)業(yè)務(wù)，更不會禁止對信息的合理使用，刑法要反對的是違反國家規(guī)定，向他人出售、提供或非法獲取公民個人信息的行為，并非只要從事與個人信息相關(guān)的非法業(yè)務(wù)均成立犯罪，因此，本罪的處罰范圍是有限的。

除了行為手段的限制之外，本罪在行為對象上也有嚴格限制。本罪并不籠統(tǒng)處罰所有非法獲取、提供信息、數(shù)據(jù)的行為，僅將與個人有關(guān)的信息作為保護對象。這一規(guī)定與網(wǎng)絡(luò)安全法的相關(guān)規(guī)定相一致。該法第42條規(guī)定，網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外。其第44條規(guī)定，任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

關(guān)于刑法上個人信息的概念及其外延是否必須和民法典、網(wǎng)絡(luò)安全法以及個人信息保護法草案(二審稿)的規(guī)定保持一致，個人信息的可識別性是否需要堅持，在刑法學上存在爭議，很值得探討。

(一)刑法上個人信息概念的演進

我國個人信息保護的實踐早期主要在刑事領(lǐng)域展開，而且從現(xiàn)有的治理侵犯公民個人信息的措施看，刑罰仍然承擔著主要角色，且持一種嚴罰的態(tài)度。(1)參見汪明亮：《治理侵犯公民個人信息犯罪之刑罰替代措施》，載《東方法學》2019年第2期，第16頁。最高人民法院、最高人民檢察院、公安部《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》(2013年4月23日)規(guī)定，公民個人信息，包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料。這是刑事司法解釋中最早出現(xiàn)個人信息的概念，其在廣義上把握個人信息，將識別個人身份或者涉及公民個人隱私的信息都包括在內(nèi)。這種刑事司法取向，即使是在2016年網(wǎng)絡(luò)安全法頒布之后，也沒有大的調(diào)整。

根據(jù)《網(wǎng)絡(luò)安全法》第76條第5項的規(guī)定，個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。網(wǎng)絡(luò)安全法基本屬于在狹義上理解個人信息，將其界定為能夠識別個人身份的信息，沒有明確提到個人信息包括“涉及公民個人隱私的信息”。

此后，最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(2017年5月8日發(fā)布，以下簡稱“2017年刑事司法解釋”)，其也并未按照網(wǎng)絡(luò)安全法的邏輯界定個人信息，而是對其有較大拓展，該解釋第1條規(guī)定，《刑法》第253條之一規(guī)定的公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。這樣一來，在個人身份信息之外能夠“反映特定自然人活動情況的各種信息”，也屬于個人信息。對于這一解釋，可以認為其比之前實施的網(wǎng)絡(luò)安全法以及《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》中關(guān)于個人信息的界定還要寬泛，因為在2013年的通知中，個人身份之外的“公民個人隱私”可以成為個人信息。但是，在2017年的司法解釋中，只要是“反映特定自然人活動情況的各種信息”，即便其不屬于《民法典》第1032條與第1034條第3款規(guī)定的個人隱私，不涉及私人生活安寧，或者與私密空間、私密活動、私密信息無關(guān)，也是個人信息。例如，乙每天固定坐班車前往單位的行蹤軌跡，也可能成為本罪的行為對象，行為人甲對被害人乙的日常生活軌跡進行技術(shù)追蹤定位，然后將該信息非法提供給被害人的仇人丙，丙掌握領(lǐng)導(dǎo)乙的生活規(guī)律后，對離開班車后步行回家途中的乙實施綁架行為的，可以認定甲構(gòu)成侵犯公民個人信息罪。

在2017年刑事司法解釋實施之后，立法上進一步對個人信息概念進行了明確。根據(jù)《民法典》第1034條第2款的規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！秱€人信息保護法草案(二審稿)》第4條第1款規(guī)定，個人信息是以電子或者其他方式記錄的與已識別或可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

通過上述梳理可以看出：①前述司法解釋以及立法都試圖厘清個人信息概念，在相關(guān)規(guī)定中，都重視信息在識別特定個人方面的功能發(fā)揮，采用列舉與概括相結(jié)合的規(guī)范方式，其中關(guān)于“等信息”的規(guī)定，能夠?qū)⑿枰Ｗo的個人信息“兜得住”，不會形成利益保護方面的漏洞。單純從文字表述上看，刑法中個人信息的外延與民法典以及個人信息保護法草案(二審稿)有所差異。但是，這樣的差異基本上是無關(guān)緊要的。在刑事司法實踐中，行為人所侵犯的個人信息，基本都是民事上常見的信息類型，且大多表現(xiàn)為多種信息的組合。例如，行為人一次性非法出售含有身份證號碼、住所地址、手機號碼、車牌號碼、車輛品牌、機動車所有人、車輛識別代碼等多種信息的案件在實踐中屢見不鮮。(2)參見江蘇省南通市中級人民法院(2018)蘇06刑終字第342號刑事裁定書。②民法典或個人信息保護法草案(二審稿)中有明確規(guī)定，但刑事司法解釋上未明確列舉的信息類型，不等于刑法上不處罰。例如，《民法典》第1034條第2款將健康信息明確規(guī)定為個人信息。2017年刑事司法解釋上并無類似規(guī)定。但是，實務(wù)上對于非法獲取、提供慢性病監(jiān)測系統(tǒng)病人信息的案件，仍然以本罪論處。(3)參見重慶市忠縣人民法院(2017)渝0233刑初字第198號刑事判決書。此外，在民法典以及網(wǎng)絡(luò)安全法中，都將生物識別信息明確規(guī)定為個人信息，在《個人信息保護法草案(二審稿)》第29條第2款中，將“個人生物特征”明確規(guī)定為個人敏感信息。但是，在2017年刑事司法解釋中并無相關(guān)規(guī)定。不過，這絲毫不影響司法機關(guān)未來對非法獲取、提供個人生物信息的行為認定為犯罪。例如，行為人如果使用“人臉識別軟件”識別他人的人臉信息，或?qū)θ四樧R別數(shù)據(jù)進行加工，然后提供給第三方的，完全可以構(gòu)成本罪。③刑法上早期重視隱私，將其與個人身份信息并列，但是，近年來已經(jīng)不再強調(diào)信息的隱私性質(zhì)。但是，實務(wù)上，對于客觀上與特定自然人相關(guān)聯(lián)的隱私信息的保護非常重視，侵犯的個人信息涉及個人隱私的更容易成為定罪理由。例如，2016年12月至2017年4月，被告人朱仕展利用在青島市公安局城陽分局指揮中心工作便利，私自利用民警邊某的數(shù)字證書查詢他人的“開房信息”700余條，販賣給被告人蘭倩倩，后者向被告人朱仕展支付人民幣7萬余元，法院以本罪判處被告人朱仕展有期徒刑3年2個月。(4)參見山東省青島市城陽區(qū)人民法院(2017)魯0214刑初字第635號刑事判決書。④刑法和民法對個人信息保護的側(cè)重點有所不同。在2017年刑事司法解釋中特別將賬號密碼、財產(chǎn)狀況明確列舉出來，實務(wù)中對于財產(chǎn)信息的保護也特別看重。例如，被告人王敏利用其在寧波市不動產(chǎn)登記中心的工作便利，以每條70至100元的價格，向被告人陳建波出售公民個人房產(chǎn)信息190余條，法院認定被告人構(gòu)成本罪。(5)參見浙江省寧波市中級人民法院(2018)浙02刑終字第893號刑事裁定書。但是，在《民法典》第1034條第2款中并未明確列舉賬號密碼、財產(chǎn)狀況。而在《個人信息保護法草案(二審稿)》第29條第2款中，金融賬戶不僅是個人信息，而且是敏感個人信息。不過，由于財產(chǎn)所有者的財產(chǎn)狀況、賬戶密碼等信息總是和個人相關(guān)聯(lián)，能夠?qū)?yīng)個人其他信息，因此，民法典與其他部門法或者2017年刑事司法解釋之間的規(guī)范表述差異，并不意味著民法典的規(guī)定有缺漏。例如，行為人通過不法手段獲取其他公民在網(wǎng)絡(luò)上所注冊使用的賬號密碼(如微信號、郵箱賬戶密碼、支付寶賬號等)的，這些賬號的賬戶本身外在表現(xiàn)為數(shù)字符號，但賬戶內(nèi)往往記載或者能反映出注冊人的姓名、手機號、身份證號等個人信息，賬號最終都指向具體個人。尤其是在2016年7月1日《非銀行支付機構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》實施之后，凡是具有支付功能的第三方支付賬號都將要求實名認證后才可以使用。這些經(jīng)過實名認證的賬號具有極強的身份屬性，可以理解為2017年刑事司法解釋中的賬號密碼，也可以將其理解為包含了《民法典》第1034條第2款規(guī)定的自然人的姓名、身份證件號碼等信息。此外，個人財產(chǎn)狀況等信息也總是和個人相關(guān)聯(lián)的，行為人非法購買公民戶籍信息、機動車檔案信息等公民個人信息，小區(qū)業(yè)主信息等，既涉及個人財產(chǎn)信息，也涉及個人身份信息。例如，被告人李某將自己在名為“成都樓盤信息”的通訊群中非法獲取的數(shù)萬條含有樓盤名稱及樓棟號、業(yè)主姓名、業(yè)主電話的公民個人信息非法出售、提供的，法院認定被告人構(gòu)成本罪，(6)參見成都市錦江區(qū)人民法院(2019)川0104刑初字第31號刑事判決書。在這里，個人財產(chǎn)信息和身份信息密不可分，不能認為該行為僅違反2017年刑事司法解釋的規(guī)定，而不違反《民法典》第1034條第2款的規(guī)定。

上述分析說明，關(guān)于個人信息的外延，刑法上的認識確實和其他部門法之間存在細微差別，不同部門法的規(guī)范目的不同，在概念使用上有所不同，這是非常正常的現(xiàn)象。(7)刑法上關(guān)于信用卡的理解和金融管理法規(guī)的觀點不同，就屬于這種情形。但是，這絲毫不意味著刑法上的判斷可以拋開民法典、網(wǎng)絡(luò)安全法乃至個人信息保護法草案(二審稿)“另搞一套”；也并不是像有的學者所認為的那樣，刑法中的個人信息可以不要求可識別性。(8)持這種觀點的學者為數(shù)極少。相關(guān)論述請參見晉濤：《刑法中個人信息“識別性”的取舍》，載《中國刑事法雜志》2019年第5期，第70頁。

一方面，由于本罪的成立以違反國家有關(guān)規(guī)定為前提，那么，民法典、網(wǎng)絡(luò)安全法以及個人信息保護法草案(二審稿)等前置法關(guān)于個人信息外延的規(guī)定對于定罪就會產(chǎn)生影響，這是法秩序統(tǒng)一性原理的內(nèi)在要求。要遵循法秩序的統(tǒng)一性，就要防止將前置法上不具有違法性的行為在刑法上認定為犯罪。法秩序統(tǒng)一性要求在處理某一個行為時，所有的規(guī)范秩序不能相互矛盾，如果某種利益在民法上不受保護，刑法上卻將針對該利益所實施的行為認定為犯罪，公眾的自由行動就會不當受限。唯有民法、行政法等前置法所要反對的行為，才有可能成為犯罪行為。在刑法與民法規(guī)范的保護目的相一致的場合，刑法應(yīng)當從屬于民法，這是法秩序統(tǒng)一性的當然要求。(9)參見周光權(quán)：《處理刑民交叉案件需要關(guān)注前置法》，載《法治日報》2021年4月7日，第9版。對于本罪的成立而言，民法典、網(wǎng)路安全法乃至個人信息保護法草案(二審稿)對于個人信息外延的框定，為定罪提供支撐，同時成為刑法保護個人信息的最大邊界。

當然，由于刑法的構(gòu)成要件設(shè)計上存在縮小處罰范圍的政策考慮，也由于刑法主要在與公民人身、財產(chǎn)權(quán)利相關(guān)聯(lián)的意義上把握個人信息，因此，前置法上的違法行為中只有極小部分最終被作為本罪處理，刑法上必須做相對獨立的違法性判斷?！捌渌ㄓ蛘J為違法而刑法上亦應(yīng)認定為違法這一推論，既非推論上的必然，亦非刑事政策與刑罰目的的彰顯，因而刑法不可能為了追求‘邏輯的統(tǒng)一性’，而將所有民事違法行為、行政違法行為均認定為具有刑事違法性，只能將那些違法性達到值得科處刑罰程度的行為認定為具有刑事違法性，這就需要在一定程度上承認違法判斷的‘相對性’?！?10)王昭武：《法秩序統(tǒng)一性視野下違法判斷的相對性》，載《中外法學》2015年第1期，第179頁。在這個意義上可以認為，刑法實務(wù)上對于個人信息的把握，在很大程度上要小于民法典等前置法所劃定的范圍。

另一方面，個人信息和隱私這兩個概念有所區(qū)別，但是二者之間存在交叉，不是對立的概念?！睹穹ǖ洹返?032條第2款規(guī)定，隱私是自然人的私生活安寧和不愿為人所知曉的私密空間、私密活動、私密信息。這里的私密信息與個人信息有區(qū)別也有聯(lián)系：區(qū)別在于個人信息既包括私密信息，也包括非私密信息，其范圍廣于私密信息；聯(lián)系是私密信息對個人有很強的識別性，其也屬于個人信息的范疇。由此可見，有的數(shù)據(jù)信息既屬于個人信息，又屬于個人私密信息(隱私)，例如，行蹤軌跡、健康信息、手機定位等信息，可以認為其屬于隱私，當其與個人的姓名、手機號碼有關(guān)聯(lián)時，其又屬于個人信息。因此，認為“被害人的日?；顒硬⒉痪哂泻侠淼淖R別性”(11)參見葉良芳、應(yīng)家赟：《非法獲取公民信息罪之“公民個人信息”的教義學闡釋》，載《浙江社會科學》2016年第4期，第75頁以下。的觀點，未必站得住腳。更何況，從實踐來看成為問題的那些行蹤信息的獲取都一定和特定的人直接關(guān)聯(lián)，至少屬于“姓名+行蹤信息”的組合，將其作為可以識別個人的信息看待完全是沒有問題的。對此，從《民法典》第1034條第2款規(guī)定“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的……行蹤信息等”的表述中可以印證，即行蹤信息仍然具有識別特定自然人的特征。換言之，刑法上的個人信息，既包括可以識別身份的個人信息，也包括極少數(shù)能夠識別個人的隱私信息，只不過這種能夠識別個人的隱私信息在2017年刑事司法解釋中被表述為“反映特定自然人活動情況的各種信息”而已。如此一來，呼吁刑法學要在民法典等前置法之外另行提出個人信息概念的觀點，(12)同前注〔8〕，晉濤文，第71頁。既與學理不符，也與《民法典》第1034條第2款的規(guī)定相抵觸。

(二)刑法中個人信息的具體把握

1.具有可識別性

個人信息必須與自然人相關(guān)聯(lián)，而且與特定自然人相關(guān)聯(lián)，同時具有識別性，即通過該信息已識別或者可識別特定自然人。

(1)個人信息必須與特定化的自然人關(guān)聯(lián)，這是公民個人信息所具有的關(guān)鍵屬性。個人信息要能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況，因此，經(jīng)過匿名化處理后無法識別特定個人且不能復(fù)原的信息，雖然也可能反映自然人的活動情況，但與特定的自然人無直接關(guān)聯(lián)，不屬于公民個人信息的范疇。

在有的案件中，行為人與他人交換信息，但其中企業(yè)注冊登記信息的數(shù)量特別大，其中姓名采用代稱(比如，記錄為周經(jīng)理、李總、等稱呼或僅有王、馮等姓氏)的，無法識別到特定自然人，這些信息都屬于經(jīng)過匿名化處理的信息，在計算犯罪的個人信息數(shù)量時，應(yīng)當予以剔除。此外，行為人在交換信息之前將信息打亂導(dǎo)致信息不真實(比如將不同名單的姓名和手機號碼進行了對調(diào))的，個人姓名雖然還存在，但該信息事實上經(jīng)過了行為人的匿名化處理，無法對應(yīng)特定自然人，不屬于本罪的個人信息。(13)此時，通過交換獲取非法利益的行為人不構(gòu)成本罪，具有騙取對方財產(chǎn)性利益的性質(zhì)，對于這種與不法原因給付有關(guān)的問題，按照實踐及理論上多數(shù)說的觀點，有成立詐騙罪的余地。

(2)個人信息經(jīng)過處理后能否識別特定個人是一個相對的概念，對其的判斷需要考慮國民的認同。隨著大數(shù)據(jù)技術(shù)等信息技術(shù)的飛速發(fā)展，對信息進行處理的技術(shù)日益完善，很多單獨看難以識別信息主體的信息(如購物喜好、飲食偏好、興趣愛好、出行方式、交往圈子等)，都可能通過足夠的大數(shù)據(jù)畫像等技術(shù)手段最終處理成能夠識別具體個人的信息，尤其是有的網(wǎng)絡(luò)公司在窮盡一切手段，收集到足夠多的針對特定對象的海量數(shù)據(jù)之后，一定能夠通過對信息的系統(tǒng)化處理能力的運用，在經(jīng)過復(fù)雜的關(guān)聯(lián)性分析后，能夠?qū)μ囟ㄗ匀蝗诉M行辨識。那么，對于海量的信息必須結(jié)合在一起進行分析，且需要耗費大量人力物力，經(jīng)過無數(shù)次技術(shù)處理或轉(zhuǎn)化后才能指向特定自然人的，不應(yīng)當視為這里的“可識別特定自然人”，否則對數(shù)據(jù)和信息的合理利用就會受到限制，互聯(lián)網(wǎng)公司的利益和個人權(quán)利之間的平衡就會被打破。

2.屬于有效的信息

信息必須有效，這是定罪時不能忽略的硬性要求。對于信息沒有進行匿名化處理，但行為人為獲取高額經(jīng)濟利益，提供重復(fù)信息以增加信息數(shù)量的，或者信息經(jīng)多次流轉(zhuǎn)，行為人獲得的信息重復(fù)量大的，或信息明顯虛假、無效(例如，手機號僅有10個數(shù)字，僅有座機號)的，這些信息由于其不能對應(yīng)到具體公民，不屬于本罪的個人信息。

在實務(wù)中，絕大部分案件在被告方提出信息無效、不真實的辯解之后，判決大多認為：被告人一方僅提出可能存在信息重復(fù)或不真實的辯解，但無確切依據(jù)，或未提供相關(guān)證據(jù)證實，公訴機關(guān)對涉案信息數(shù)量的認定方式符合法律規(guī)定，相關(guān)辯解與事實和法律不符，不予采納。但是，在有的案件中，法官也未必對于指控的信息數(shù)量“照單全收”。對于無效或可疑信息，從目前判決看，大致有三種處理方式：①由于在案信息可能存在重復(fù)，他人非法使用這些信息的成功率也不高，因此，在量刑時酌情考慮從寬處罰。②在公訴機關(guān)指控信息和數(shù)據(jù)數(shù)量的基礎(chǔ)上，從有利于被告人的角度將部分存疑的信息或數(shù)據(jù)予以剔除，就低認定涉案的信息和數(shù)據(jù)數(shù)量。③同案犯及被告人均供述非法獲取的賬號、密碼大量存在錯誤，僅有一定比例能正常使用，最終按照供述的比例計算有效信息數(shù)量，或者按照辯護人隨機選取數(shù)據(jù)所做實驗記錄的重復(fù)率在總數(shù)中予以扣除。(14)參見江蘇省常熟市人民法院(2019)蘇0581刑初字第931號刑事判決書；浙江省嘉善縣人民法院(2018)浙0421刑初字第371號刑事判決書；福建省龍巖市中級人民法院(2018)閩08刑終字第213號刑事判決書；遼寧省沈陽經(jīng)濟技術(shù)開發(fā)區(qū)人民法院(2018)遼0191刑初字第418號刑事判決書。上述三種處理方式均難言完美，但考慮到類似案件精準計算信息數(shù)量的困難程度，可以認為這些審判結(jié)果相對具有合理性。

3.對某些信息突顯與個人行動自由的關(guān)聯(lián)性，弱化可識別性

根據(jù)2017年《刑事司法解釋》第5條第3項的規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息50條以上的，屬于情節(jié)嚴重，構(gòu)成本罪。由于侵犯行蹤軌跡信息的入罪標準非常低，實踐中應(yīng)嚴格把握其范圍，只宜理解為與個人行動自由(乃至人身安危)有關(guān)聯(lián)的GPS定位信息、車輛軌跡信息等可以直接定位特定自然人具體坐標的信息。據(jù)此，被認定為行蹤軌跡信息的個人信息應(yīng)當具備三個條件：①內(nèi)容上應(yīng)包含特定自然人的坐標信息；②精度上應(yīng)達到GPS定位信息、車輛軌跡信息同等標準；③該信息應(yīng)當系直接反映特定自然人坐標信息。例如，為索取債務(wù)，被告人許春耕、胡征宇先后購買7個GPS定位設(shè)備，由被告人施雙金等人安裝在酈某2可能駕駛的酈某2姐姐酈某1及其公司使用的五輛轎車上，被告人林毅平、胡征宇、許春耕通過在手機上查看車輛軌跡，與施雙金四人相互配合、信息共享，共同查找酈某2的行蹤，法院認定各被告人成立本罪共犯。(15)參見浙江省永康市人民法院(2019)浙0784刑初字第461號刑事判決書。這是將能夠?qū)Ρ缓θ诉M行精準定位獲取行蹤軌跡的行為認定為犯罪，判決具有合理性。

這說明，雖然按照法秩序統(tǒng)一性原理，刑法和民法等前置法保護個人信息的規(guī)范目的并無根本差別，對于民法學者所提倡的個人信息權(quán)是一種新型的具體人格權(quán)，是“一項新興的民事權(quán)利”的主張，(16)參見王利明：《論個人信息權(quán)在人格權(quán)法中的地位》，載《蘇州大學學報(哲學社會科學版)》2012年第6期，第68頁。在刑法學上也應(yīng)該予以認可。不過，刑法上的個人信息概念與民法典等前置法相比可能更為限縮，這是由本罪的保護法益所決定的。對此，需要結(jié)合本罪在刑法分則中所處的位置進行體系解釋。體系解釋是要將個別的法律觀念放到整個法律秩序中去考察規(guī)范的內(nèi)在關(guān)聯(lián)。體系解釋包括無矛盾的要求、不贅言的要求、完整性的要求、以及體系秩序的要求等四方面的要求，其中，體系秩序的要求表明法律條文的編排都是有意義的。(17)參見[德]英格博格·普珀：《法學思維小課堂》，蔡圣偉譯，北京大學出版社2011年版，第57頁。本罪規(guī)定在侵犯人身權(quán)利罪中，因此，個人對自身特定的可識別信息的自主權(quán)就成為本罪的保護法益，這是對個人意思自治、自我決定權(quán)的尊重。要構(gòu)成本罪，就必須對這種自我決定權(quán)存在實際侵害或者現(xiàn)實危險。在這個意義上，也可以認為本罪是將特定情形下的故意殺人、搶劫、綁架、非法拘禁等罪的預(yù)備行為正犯化，行蹤、定位等信息在與特定個人的行動自由、生命身體安全有緊密關(guān)聯(lián)的意義上，具備廣義的可識別性特征。那么，對于定位信息模糊或者存在重大偏離的情形，對于公民個人行動自由的危險較小，對于個人信息自主權(quán)的侵害不值得動用刑法保護，在民事領(lǐng)域按照侵權(quán)行為處理即為已足。

二、刑法中的個人信息分類

對于本罪的定罪，司法上堅持“定性+定量”的邏輯。個人信息越重要，定罪數(shù)量要求越低。為此，區(qū)分信息的重要程度就在刑法上成為無法繞開的問題。但是，刑事司法解釋對于信息的分類與個人信息保護法草案(二審稿)等前置法并不相同，對此應(yīng)當如何認識，也值得研究。

(一)刑法上個人信息的分類標準

刑法上的信息分類采用三分法：敏感信息、重要信息、一般信息。對此，在2017年《刑事司法解釋》第5條中有明確規(guī)定，其中行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息屬于敏感信息；住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息屬于重要信息；除此之外的其他信息則屬于一般信息。對于不同的信息等級類型，定罪起點并不相同：非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息50條以上，非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息500條以上，非法獲取、出售或者提供前述信息以外的公民個人信息5000條以上的，屬于情節(jié)嚴重，可以構(gòu)成本罪。

刑法基于法益保護的考慮，對個人信息類型做出的分類基本是合適的。通過對刑事司法實務(wù)的觀察可見，侵犯公民個人信息罪大量表現(xiàn)為對公民普通身份信息(姓名、身份證號碼、住址、電話號碼等)的非法獲取、提供。例如，被告人陳某為某街道社區(qū)衛(wèi)生服務(wù)中心工作人員，其將獲得的部分新生兒父母姓名、聯(lián)系方式、家庭住址等內(nèi)容的公民個人信息提供給他人，法院認定其構(gòu)成本罪。(18)參見山東省日照市嵐山區(qū)人民法院(2016)魯1103刑初字第3號刑事判決書。又如，被告人劉宏受黑社會犯罪集團首要分子劉某請托，利用工作及職務(wù)便利條件，在公安部門的內(nèi)網(wǎng)中幫助黑社會犯罪集團查詢他人的戶籍、住址等信息，法院以本罪判處其有期徒刑4年6個月。(19)參見貴州省貴陽市中級人民法院(2020)黔01刑終字第147號刑事判決書。

對于非法獲取、出售或者提供一般個人信息的認定，在實務(wù)中爭議問題較少。一般而言，信息內(nèi)容越詳細，包含內(nèi)容越多，越可能構(gòu)成重要信息、敏感信息。例如，公訴機關(guān)指控被告人王某于2017年11月至2018年6月期間，以營利為目的，通過微信購買的方式從他人處非法獲取行蹤軌跡、住宿信息、車輛信息、戶籍信息等各類公民個人信息后出售獲利11萬余元。(20)參見江蘇省江陰市人民檢察院澄檢訴刑訴(2018)2717號起訴書。由于本案被告人非法獲取、提供的信息種類多，包含敏感信息和一般信息，對其定罪量刑不會出現(xiàn)分歧。但是，在某些爭議案件中，敏感信息、重要信息的區(qū)分如何準確理解和把握是一個難題。

(二)刑法上個人信息分類所帶來的復(fù)雜問題

1.關(guān)于財產(chǎn)信息和交易信息

按照2017年刑事司法解釋的規(guī)定，財產(chǎn)信息屬于刑法上的敏感信息，非法獲取、出售或者提供50條以上就構(gòu)成犯罪；交易信息則屬于重要信息，非法獲取、出售或者提供500條以上的，才構(gòu)成犯罪。財產(chǎn)信息和交易信息在實踐中有時候能夠大致分清楚。例如，被告人張儀應(yīng)他人要求，通過銀行職員陳某、董某志、周某的職務(wù)便利查詢大量儲戶信息，然后將其有償查詢到的儲戶姓名、身份證號碼、銀行卡號、賬戶余額、預(yù)留電話號碼等信息出賣給他人，從中獲利194553元，(21)參見湖北省安陸市人民法院(2017)鄂0982刑初字第20號刑事判決書。該儲戶信息可以認為是財產(chǎn)信息而非交易信息，即便儲戶可能用該賬戶從事股票交易，也應(yīng)該認為其具有財產(chǎn)的靜態(tài)性質(zhì)。再如，被告人謝偉良違反國家有關(guān)規(guī)定，非法獲取公民銀行卡信息等資料，屬于竊取他人敏感信息。(22)參見福建省龍巖市新羅區(qū)人民法院(2017)閩0802刑初字第407號刑事判決書。

但是，有的情形下交易信息和財產(chǎn)信息的界限并不那么清晰。比如，行為人在某公司擔任負責人期間，違反國家有關(guān)規(guī)定，通過電子郵件從他人處非法接收若干包含公民個人姓名、電話號碼、房屋地址、房屋面積、交易金額或簽約時間等信息的文檔，內(nèi)含共計400余條公民個人信息的，這種記載公民姓名、房屋地址、面積、交易金額的文檔系交易信息還是財產(chǎn)信息？對于信息分類不同，有時候決定了罪與非罪。

對此通常應(yīng)當認為，交易信息是能夠揭示交易過程的信息，他人之前的房屋交易信息指向的是靜態(tài)的房產(chǎn)，公民目前擁有房產(chǎn)但今后能否用于變現(xiàn)、能否實際成交還是一個疑問，因此，將房產(chǎn)信息一般作為交易信息而非財產(chǎn)信息看待，以區(qū)別于與人身、財產(chǎn)安全直接相關(guān)的敏感信息相對更為合適，非法獲取、出售或者提供記載公民房產(chǎn)的信息500條以上的，才能構(gòu)成本罪。

與房產(chǎn)信息緊密關(guān)聯(lián)的是業(yè)主信息。實踐中，非法獲取、提供小區(qū)業(yè)主信息的案件很多。其中，有少數(shù)判決認為，業(yè)主資料中因為包含了房號、業(yè)主姓名、聯(lián)系方式等內(nèi)容，能夠反映特定自然人的財產(chǎn)狀況，屬于財產(chǎn)信息、敏感信息。但是，也有一些法院傾向于認為，業(yè)主信息的財產(chǎn)屬性很弱，侵犯這些信息的危害性、隱秘性有限，其至多屬于重要信息。實務(wù)中，將業(yè)主信息認定為一般信息的判決占據(jù)絕大多數(shù)。

與此相關(guān)的還有車輛信息(包括車輛品牌、型號、號牌號碼初次登記日期、機動車所有人及其登記住所、聯(lián)系電話、抵押標記等內(nèi)容的車檔信息)問題，在信息種類上也可能存在交叉，這增加了認定的難度。

當然，房產(chǎn)信息、車輛檔案信息是否絕對不能作為財產(chǎn)信息看待，也是值得討論的。在極少數(shù)案件中，有的房產(chǎn)信息不僅涉及房產(chǎn)所有人的姓名、電話、身份證號、家庭成員、是否長期居住，還包括房屋詳細位置、面積、交易價格、交易時間、裝修程度、抵押或貸款等各種詳細情況，其中的某些信息可能影響公民人身、財產(chǎn)安全，獲取類似公民房屋信息的行為，實際上是掌握了公民的財產(chǎn)狀況，根據(jù)案件的實際情況，將上述信息認定為敏感信息似乎也是有道理的，非法獲取、出售或者提供50條以上的即可入罪。

當然，在區(qū)分財產(chǎn)信息和交易信息確實比較困難的場合，應(yīng)當按照有利于被告人的原則確定信息種類。例如，有為數(shù)不少的判決認為，車輛檔案信息、業(yè)主信息、房產(chǎn)信息等是否涉及個人財產(chǎn)安全，或能否對交易產(chǎn)生實際影響難以判斷，因而直接將其認定為普通信息。筆者認為，這種做法也具有其合理性。

2.關(guān)于住址信息與住宿信息

按照2017年刑事司法解釋的規(guī)定，住宿信息是可能影響人身、財產(chǎn)安全的個人重要信息，非法獲取、提供500條以上的，即屬于情節(jié)嚴重；住址信息則屬于一般個人信息，非法獲取、提供5000條以上的，才屬于情節(jié)嚴重。

但是，這一解釋將住宿信息一概作為重要信息看待未必合適。其實，對于住宿信息的歸類似乎不能一概而論，如果該信息是大批量的，且僅涉及某個或某些酒店大量住宿者的姓名、身份證號、電話號碼，只能視作普通信息；但這些信息中，如果包括個人具體房號、開房及退房時間等內(nèi)容，則屬于住宿信息，是重要信息。如果行為人獲取的是特定個人長時間內(nèi)出入住該酒店的情況、規(guī)律等，則還可能屬于行蹤軌跡信息，系敏感信息。

住址信息和住宿信息存在一定差異：家庭住址是固定的；住宿可能體現(xiàn)短期內(nèi)個人的行蹤軌跡，即便住宿時間較長，個人對于在賓館住宿和在家里居住的感受顯然也是有差異的。一般而言，基于對個人私生活通常處于平穩(wěn)狀態(tài)的評價，不宜將住址信息認定為可能影響人身、財產(chǎn)安全的住宿信息。因此，大多數(shù)判決還是將住址信息認定為普通信息。當然，如果行為人為他人提供被害人住址的導(dǎo)航定位信息，導(dǎo)致被害人在其家里被侵害的，該住址信息僅在與行蹤軌跡有關(guān)的意義上成為敏感信息。但是，此時不考慮住址的信息歸類，而考慮行為人是否非法提供行蹤軌跡或定位信息，也能夠?qū)ζ浞缸镄赃M行準確評價，因此，將住址信息與住宿信息同等看待甚至將其視作敏感信息的主張，并無存在必要性。

3.關(guān)于行蹤軌跡信息和手機位置信息

行蹤軌跡能夠清晰反映個人的活動情況。從實踐看，行蹤軌跡信息系事關(guān)人身安全的高度敏感信息，無疑應(yīng)納入法律保護范圍，且應(yīng)當重點保護。(23)參見喻海松：《侵犯公民個人信息罪司法解釋理解與適用》，中國法制出版社2018年版，第15頁。因此，行蹤軌跡信息是敏感信息。值得進一步研究的問題是手機位置信息的歸類問題。如果將手機位置信息作為通訊記錄，其僅屬于重要信息，如果認為其能夠?qū)€人定位，則屬于敏感信息。對二者的定罪數(shù)量要求不同。

對此應(yīng)該認為，如果行為人通過一定程序能夠獲取未經(jīng)個人授權(quán)的手機號碼位置信息的，該信息既屬于行蹤軌跡信息，也屬于通訊記錄，應(yīng)當將其作為敏感信息予以保護。例如，2017年7月，被告人韓軍經(jīng)營的被告單位神州偉智(天津)科技有限公司入駐“京東萬象平臺”，通過該平臺對外出售未經(jīng)信息主體授權(quán)的手機號碼位置信息數(shù)據(jù)產(chǎn)品。2017年10月至2018年4月，被告人孔德玉通過“京東萬象平臺”花費28600元先后購買被告單位神州偉智(天津)科技有限公司出售的未經(jīng)信息主體授權(quán)的手機號碼位置信息數(shù)據(jù)產(chǎn)品，包括：位置反欺詐聯(lián)通經(jīng)緯度校驗、位置反欺詐電信經(jīng)緯度校驗、位置反欺詐聯(lián)通實時城市編碼校驗、位置反欺詐電信實時城市編碼校驗。被告單位神州偉智(天津)科技有限公司違法所得28600元歸該公司所有。2017年10月，被告人孔德玉雇傭他人將其從“京東萬象平臺”購買的位置反欺詐聯(lián)通經(jīng)緯度校驗、位置反欺詐電信經(jīng)緯度校驗、位置反欺詐聯(lián)通實時城市編碼校驗、位置反欺詐電信實時城市編碼校驗、身份證實名認證返照片等數(shù)據(jù)用于制作“永途反欺詐”手機應(yīng)用程序，并吸收注冊會員使用。注冊會員充值交費后，使用該應(yīng)用程序可獲取未經(jīng)信息主體本人授權(quán)的電信、聯(lián)通手機號碼位置信息、居民身份證照片等公民個人信息。截止2018年4月，被告人孔德玉共收取注冊會員充值16578.29元。法院認為，被告單位神州偉智(天津)科技有限公司違反法律規(guī)定，向被告人孔德玉出售手機號碼位置等公民個人信息，情節(jié)嚴重，被告單位神州偉智(天津)科技有限公司及直接負責的主管人員被告人韓軍構(gòu)成侵犯公民個人信息罪；被告人孔德玉違反國家規(guī)定，向他人出售公民個人信息，情節(jié)嚴重，其行為構(gòu)成侵犯公民個人信息罪。(24)參見山東省桓臺縣人民法院(2019)魯0321刑初字第41號刑事判決書。在本案判決中，法院并未明確交代手機位置信息屬于敏感信息還是重要信息，但從學理上看，將其評價為敏感類信息的行蹤軌跡是合適的。

(三)刑法上對個人信息的分類有必要進行調(diào)整

個人信息保護法草案(二審稿)將信息分為敏感信息和非敏感信息兩類，其第29條規(guī)定，敏感個人信息是一旦泄露或者非法使用，可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息。

雖然不同部門法的規(guī)范目的并不相同，刑法對個人信息等級類型的確定有特定的規(guī)范目的考慮，據(jù)此做出不同于個人信息保護法草案(二審稿)的分類似乎也無可厚非。但是，2017年刑事司法解釋將個人信息等級分得太細，其弊端也是很明顯的：一方面，勢必導(dǎo)致敏感信息和重要信息之間、重要信息和一般信息之間甚至敏感信息和一般信息之間均存在交叉、重合的問題，前述關(guān)于財產(chǎn)信息和交易信息難以辨明，關(guān)于住址信息與住宿信息糾纏不清，關(guān)于行蹤軌跡信息和手機位置信息高度重合的分析都說明，將個人信息分為三級的做法是值得商榷的，由此導(dǎo)致不同法院對于信息的等級認定有別，在有的案件中罪與非罪的確定不統(tǒng)一，在有的案件中量刑差異很大，從而造成罪刑失衡。另一方面，在很多時候，信息的重要程度與其外在表現(xiàn)之間的關(guān)系較弱，而與信息的用途或者行為獲取、提供信息的目的有關(guān)，例如，車輛信息抽象地看事關(guān)被害人的財產(chǎn)，但是，獲取該信息的目的是為了確定個人行蹤軌跡的，以及是為了向其推銷保險或者促成二手車交易的情形，明顯存在差別，因此，硬性地、籠統(tǒng)地將車輛信息確定為敏感信息、重要信息或一般信息，原本就比較困難。

因此，未來應(yīng)該考慮在刑法上拋棄對于個人信息種類進行細分的思路，直接采用個人信息保護法的方案將個人信息區(qū)分為敏感信息和一般信息兩種。對于一旦泄露或者非法使用，可能導(dǎo)致個人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的種族、民族、宗教信仰、個人生物特征、醫(yī)療健康、金融賬戶、個人行蹤等信息進行嚴格保護，規(guī)定相對較低的定罪數(shù)量標準。(25)附帶指出，在現(xiàn)代信息社會，海量的個人信息可以被處理在一個文檔中，一次獲取或提供少量個人信息的情形極為鮮見，因此，2017年刑事司法解釋將非法獲取、提供敏感信息50條以上的行為即作為犯罪處理，存在打擊面過大的疑慮。其實，即便針對敏感信息的侵害行為適度提高定罪數(shù)量規(guī)定并不會削弱法律懲處力度，因為針對侵犯公民個人信息的行為被害人可以提出侵權(quán)損害賠償，檢察機關(guān)等單位還可以提起公益訴訟，在刑法之外尚有其他法律救濟途徑的情形下，刑法必須為前置法的實施留有空間，與前置法合理銜接，以盡可能回歸民事保護優(yōu)先的權(quán)利救濟思路。與此相同的觀點，請參見喻海松：《〈民法典〉視域下侵犯公民個人信息罪的司法適用》，載《北京航空航天大學學報(社會科學版)》2020年第6期，第3頁。對于除此之外的一般信息規(guī)定相對較高的定罪數(shù)量標準，同時在行為人處理一般信息實施違法犯罪行為的對其數(shù)罪并罰，以防止輕縱犯罪人。

三、已公開的個人信息成為本罪對象的限定

(一)刑法上對處理已公開的個人信息的定性爭議

對于未經(jīng)被收集者同意，獲取部分已在公眾網(wǎng)絡(luò)上公開的企業(yè)登記信息、征信信息并出售或提供給他人的情形是否定罪，實務(wù)上歷來有爭議。

1.有罪說

這是實務(wù)上一直以來的多數(shù)說(2017年《刑事司法解釋》第5條第3項也將征信信息作為敏感信息進行保護，其中可能包含已公開的個人信息)。此說的基本主張是：個人信息與個人隱私不同。個人已公開的信息不再具有隱私特性，但仍不失其識別個人的功能，獲取或者利用這樣的信息仍然可能侵害個人私生活的安寧，危及公民人身或者財產(chǎn)權(quán)利，因此，從市場主體信息中剝離出來的個人姓名及身份證件號碼、家庭住址、通訊方式等信息，仍然具有個人信息的本質(zhì)屬性。(26)參見蔡云：《公民個人信息的司法內(nèi)涵》，載《人民司法》2020年第2期，第25頁。行為人未經(jīng)個人同意從企業(yè)信息中將個人信息剝離出來進行處理的，可以成立本罪。例如，被告人田某使用QQ郵箱從他人處非法獲取載有公民個人征信信息的文件，內(nèi)有公民個人征信信息去重后計166條，法院認定被告人田某違反國家有關(guān)規(guī)定，非法獲取公民個人信息，情節(jié)特別嚴重，其行為已構(gòu)成侵犯公民個人信息罪。(27)參見徐州市銅山區(qū)人民法院(2018)蘇0312刑初字第85號刑事判決書。被告人黃某某為了推銷貸款中介業(yè)務(wù)，以300元的價格，通過電子郵箱接收的方式，從其同事羅某處購買公民個人信息合計284條，其中個人征信報告224條，檢察機關(guān)指控被告人構(gòu)成本罪。(28)參見江蘇省徐州市銅山區(qū)人民檢察院銅檢訴刑訴(2018)425號起訴書；類似案件，請參見江蘇省豐縣人民法院(2017)蘇0321刑初字第678號刑事判決書。

2.無罪說

實務(wù)中，少數(shù)判決認同無罪說。例如，法院認為，公訴機關(guān)指控被告人從他人處“獲取的16165條信息中的6260條信息，司法審計書反映為法人信息，不屬于公民個人信息，依法應(yīng)予排除”。(29)參見重慶市渝中區(qū)人民法院(2017)渝0103刑初字第1563號刑事判決書。

無罪說的主要理由是：根據(jù)《企業(yè)信息公示暫行條例》(2014年)第8條的規(guī)定，企業(yè)應(yīng)當于每年1月1日至6月30日，通過企業(yè)信用信息公示系統(tǒng)向工商行政管理部門報送上一年度報告，并向社會公示。其第9條規(guī)定，企業(yè)年度報告中應(yīng)當包括企業(yè)通信地址、郵政編碼、聯(lián)系電話、電子郵箱等信息等內(nèi)容。因此，企業(yè)根據(jù)法律法規(guī)規(guī)定或為經(jīng)營所需而必須通過企業(yè)年度報告等文件公開其企業(yè)信息，上述信息已進入公共信息系統(tǒng)，任何人都可以公開查詢，其中企業(yè)名稱及法定代表人姓名、電話號碼等內(nèi)容，在市場監(jiān)管部門設(shè)立的《國家企業(yè)信用信息公示系統(tǒng)》中能夠輕易查詢。在上述公開網(wǎng)絡(luò)中存在的個人信息，既不涉及個人隱私，也包含著個人放棄權(quán)利的同意在內(nèi)，即便法定代表人是自然人，但對與之相關(guān)的信息不應(yīng)再視作個人信息，或者可以說成是“值得刑法保護的個人信息”并不存在，即使其中包含了個人的姓名、聯(lián)系方式、手機號碼等，也不屬于本罪要保護的個人信息。

此外，根據(jù)《征信業(yè)管理條例》(國務(wù)院2013年1月21日發(fā)布)第21條的規(guī)定，征信機構(gòu)可以通過信息主體、企業(yè)交易對方、行業(yè)協(xié)會提供信息，政府有關(guān)部門依法已公開的信息，人民法院依法公布的判決、裁定等渠道，采集企業(yè)信息。企業(yè)在經(jīng)營過程所公開的相關(guān)信息被征信機構(gòu)采集后，其中的個人信息也就屬于企業(yè)公開征信信息的范疇。從這個意義上講，不能將刑法意義上的公民個人信息與企業(yè)征信信息所包含的自然人姓名及聯(lián)系方式等信息絕對等同。這一觀點能夠得到《征信業(yè)管理條例》第13條的印證。該條明確規(guī)定：“采集個人信息應(yīng)當經(jīng)信息主體本人同意，未經(jīng)本人同意不得采集。但是，依照法律、行政法規(guī)規(guī)定公開的信息除外。企業(yè)的董事、監(jiān)事、高級管理人員與其履行職務(wù)相關(guān)的信息，不作為個人信息?！边@里的“企業(yè)的董事、監(jiān)事、高級管理人員與其履行職務(wù)相關(guān)的信息，不作為個人信息”即明確否定了與公開的企業(yè)信息有關(guān)的自然人身份信息不屬于個人信息。成立侵犯公民個人信息罪須以行為違反國家有關(guān)規(guī)定為前提。對于這種前置法不再保護的已公開信息中的個人信息，將其作為本罪對象就是不合適的，否則就會不當擴大打擊面。

最高人民檢察院《檢察機關(guān)辦理侵犯公民個人信息案件指引》(高檢發(fā)偵監(jiān)字〔2018〕13號)指出，對于企業(yè)工商登記等信息中所包含的手機、電話等號碼信息，應(yīng)該“明確該號碼的用途”。由公司購買、使用的手機、電話號碼等信息，不屬于個人信息的范疇，從而嚴格區(qū)分“手機、電話號碼等由公司購買，歸公司使用”與“公司經(jīng)辦人在工商登記等活動中登記個人電話、手機號碼”兩種不同情形。這一指引似乎仍然堅持了已公開的信息中屬于個人的信息是本罪對象的觀點，但缺乏可操作性。因為在實行實名制購買手機號碼的今天，手機號碼由公司購買的情形本來就難以做到，手機號碼是否歸公司使用就更難以判斷，最終的結(jié)局是一旦發(fā)生侵權(quán)的情形，即便是公司購買的手機號碼，被害單位也可能主張公司和個人混用，從而總是能夠得出行為人成立侵犯個人信息罪的結(jié)論。

(二)最新動向

對于從已公開的企業(yè)信息中獲取公民個人信息的行為總體上定罪的態(tài)勢，在民法典通過之后似乎得到了一定程度的扭轉(zhuǎn)。2020年5月至7月，吳某在天眼查、企查查等網(wǎng)站下載公開的各地企業(yè)工商登記信息，梳理分類后共出售1.8萬余條信息，獲利1萬余元。公安機關(guān)以涉嫌侵犯公民個人信息罪傳喚吳某，后該案被移送至江蘇省泰州醫(yī)藥高新區(qū)檢察院審查起訴。檢察官認為，公安機關(guān)根據(jù)2017年《刑事案件司法解釋》第3條規(guī)定的“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的”,屬于提供公民個人信息，從而認定吳某的行為涉嫌本罪。但民法典自2021年1月1日起正式施行，給案件處理帶來了新變化。《民法典》第1036條規(guī)定，合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息的，行為人不承擔民事責任。但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。根據(jù)這一規(guī)定，既然沒有證據(jù)證實吳某出售合法公開信息的行為遭到權(quán)利人拒絕或侵害其重大利益，就不應(yīng)當認定為構(gòu)成侵犯公民個人信息罪。為此，檢察機關(guān)建議公安機關(guān)撤案。2021年1月7日，公安機關(guān)對吳某解除取保候?qū)?，并予以撤案?30)參見盧志堅、白翼軒、田競：《出賣公開的企業(yè)信息謀利：檢察機關(guān)認定行為人不構(gòu)成犯罪》，載《檢察日報》2021年1月20日，第1版。

雖然這一動向的持續(xù)效果如何還有待觀察，但是，如果對于從已公開的企業(yè)信息中獲取公民個人信息的行為一概作無罪處理，這樣的思考方式顯然太粗放，而應(yīng)當結(jié)合處理公開信息的目的和用途思考。

(三)合理的主張：獲取、提供已公開的個人信息但改變信息公開的目的或者用途的可能成立本罪

對于行為人在公開的網(wǎng)絡(luò)上(包括“企查查”“天眼查”等企業(yè)信息查詢網(wǎng)站、裁判文書網(wǎng)站等)爬取已公開的企業(yè)登記信息，從中獲取個人信息，再對這些已公開的個人信息進行有償轉(zhuǎn)讓、出售的，也全部都屬于對已公開的個人信息的合法處理，均不應(yīng)當構(gòu)成侵犯個人信息的犯罪？答案是否定的。

對此，需要特別關(guān)注民法典的相關(guān)規(guī)定?！睹穹ǖ洹返?036條強調(diào)，如果行為系對已公開的個人信息進行不合理處理的，仍然應(yīng)當承擔侵權(quán)責任。換言之，并不是所有對已公開的個人信息的處理行為都合法，法律對于“不合理地處理”已公開的個人信息的行為仍然持反對態(tài)度。

對于已公開的個人信息必須合理處理的進路，在個人信息保護法草案(二審稿)中得到了堅持。該法第6條規(guī)定，處理個人信息應(yīng)當具有明確、合理的目的，并應(yīng)當限于實現(xiàn)處理目的所必要的最小范圍，并采取對個人權(quán)益影響最小的方式。第13條第5項規(guī)定，“依照本法規(guī)定在合理的范圍內(nèi)處理已公開的個人信息”的，不需要取得個人同意。本條也特別強調(diào)僅在“合理的范圍內(nèi)”對于個人信息的獲取、提供行為，不需要取得個人同意。第14條第2款規(guī)定，個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當重新取得個人的同意。第28條更為明確地規(guī)定，個人信息處理者處理已公開的個人信息，應(yīng)當符合該個人信息被公開時的用途。超出與該用途相關(guān)的合理范圍的，應(yīng)當依照本法規(guī)定取得個人同意。

1.個人公開其信息的目的以及信息的用途屬于法益的內(nèi)容

羅克辛教授認為，犯罪的本質(zhì)是經(jīng)驗上可以把握的法益侵害，這樣的理解會使得犯罪的現(xiàn)實形象不被沖淡，刑法的社會治理任務(wù)也就更易于完成。(31)參見[德]羅克辛：《刑事政策與刑法體系》，蔡桂生譯，中國人民大學出版社2011年版，第88頁。也就是說，法益與我們所能夠感知的實存事物有緊密關(guān)聯(lián)，如果沒有能呼吸的個體、個人的身體行動、財物等具體概念，就不可能產(chǎn)生出生命法益、身體法益、自由法益、財產(chǎn)法益等概念。因此，有必要肯定實存的法益概念對于具體犯罪認定的意義。但是，是不是由此就必須將“法益處分的自由”理解為法益之外的東西，認為其與法益不同是一個有爭議的問題。傳統(tǒng)上通常堅持狹義的法益概念。例如，在行為人有意放棄特定法益時，通說就認為此時不存在法益關(guān)系錯誤，原則上就應(yīng)該肯定被害人的承諾有效，違法性被阻卻。如果一定要否定承諾效果去對被告人定罪，就不是相應(yīng)的法益值得刑法所保護，而是法益之外的法益處分自由(意思決定的自由)本身被相應(yīng)構(gòu)成要件所保護。

近年來，有學者對此提出了質(zhì)疑，認為法益處分自由也應(yīng)包含在法益概念之中。例如，山口厚教授就認為，法益處分自由本身就是法益的構(gòu)成要素，而不是全然不同于法益的其他東西。比如，在支付對價的場合實施欺騙的，也可能成立詐騙罪，就可以明確看出“法益處分自由”被作為財產(chǎn)法益的內(nèi)容而受到保護。(32)參見[日]山口厚：《刑法總論》(第3版)，付立慶譯，中國人民大學出版社2018年版，第170頁。

按照這種邏輯可以認為，個人公開其信息的目的、信息的用途屬于法益的一部分，而非法益之外的東西。按照民法學上的主流觀點，個人信息權(quán)包括對信息的占有權(quán)、決定權(quán)、保護權(quán)、知情權(quán)、更正權(quán)、鎖定權(quán)、遺忘權(quán)等內(nèi)容。(33)參見王利明等：《民法學(下)》(第6版)，法律出版社2020年版，第914頁。其中的知情權(quán)，是指信息主體對于任何組織或者個人如何處理個人信息的知曉權(quán)，如果已公開信息被不合理處理，包括被改變公開目的或者用途，但未取得個人同意的，都是對其知情權(quán)的侵害，既屬于對個人信息權(quán)的損害，也屬于對個人的法益處分自由的侵害。雖然企業(yè)法人的信息屬于企業(yè)應(yīng)當對社會公眾公開的登記或企業(yè)運行信息，對于其中所涉及的已公開個人信息，他人可以通過工商登記網(wǎng)站對此類信息進行查詢，但是，個人選擇在企業(yè)公開的信息中，對于自己的姓名、通訊方式等予以公開有特定目的：使自己所在的企業(yè)的設(shè)立和運行符合國家行政主管機關(guān)的要求，為企業(yè)合法獲取商業(yè)利益創(chuàng)造機會。因此，已公開的個人信息中，信息的內(nèi)容成為法益保護對象，基于特定目的對信息的處分自由(對信息的最終決定權(quán))也是法益的一部分。不可否定的是，“個人信息的失控將會打破社會交往過程的‘防火墻’，威脅與個人信息自決權(quán)相關(guān)的人身安全、財產(chǎn)安全及隱私安全等公民個體社會交往利益?！端痉ń忉尅返?條涉及的人身、財產(chǎn)安危危險及實害后果的特別罪量規(guī)定，正是充分體現(xiàn)了對信息失控后的公民個體社會交往利益威脅的附隨保護”。(34)馬永強：《侵犯公民個人信息罪的法益屬性確證》，載《環(huán)球法律評論》2021年第2期，第112頁。

那么，對于處理已公開的個人信息且未偏離該信息公開的目的，沒有改變其用途的行為，沒有侵害法益主體的法益處分自由，對于這種尊重信息公開目的前提下的對個人信息的合理處理，民法典、網(wǎng)絡(luò)安全法、個人信息保護法等前置法均不反對，該個人信息是權(quán)利主體自愿放棄保護的財物，且處分行為沒有違背其處分財物的意思，其在刑法上的要保護性喪失，不屬于刑法所保護的行為對象。

2.處理已公開的個人信息可以定罪的情形

按照民法典、個人信息保護法草案(二審稿)的相關(guān)規(guī)定，處理已公開的個人信息，僅在合理利用該信息的限度內(nèi)不需要得到信息主體的同意，如果“處理該信息侵害其重大利益的”，就應(yīng)當?shù)玫交蛑匦氯〉脗€人的同意?！霸谟械那闆r下，自然人的個人信息雖然是自己主動公開或者是通過其他合法方式公開的，但若處理這些個人信息的行為損害該自然人重大利益的，行為人仍不能免除責任。例如，某人對外公開了自己的電話號碼，但行為人卻利用這些電話號碼頻頻向某人發(fā)送垃圾短信或者撥打電話，嚴重滋擾了某人的生活安寧，此時，行為人仍應(yīng)承擔民事責任”。(35)黃薇主編：《中華人民共和國民法典釋義及適用指南》(下冊)，中國民主法制出版社2020年版，第1551頁。因此，處理個人信息明顯違背個人公開其信息的目的，改變已公開信息的用途的，都有可能構(gòu)成本罪。例如，互聯(lián)網(wǎng)公司工作人員將其在工作中獲取的個人已公開信息出售給體檢機構(gòu)，以便于后者拓展客源的，顯然改變了個人公開其信息的目的和用途，可以構(gòu)成本罪；再比如，通過公開征信系統(tǒng)獲得他人手機號之后對個人進行追蹤定位的，使他人的生命、身體陷入危險，也違背了他人公開其信息的目的和用途，該信息仍然屬于本罪對象。

此時，再爭論該已公開的個人信息是否屬于個人隱私、注冊登記是不是阻卻違法，以及能否將處理已公開的個人信息推論為2017年《刑事司法解釋》第3條規(guī)定的“未經(jīng)被收集者同意”等，都沒有意義。問題的關(guān)鍵是：個人基于何種目的放棄法益保護？如果個人信息根據(jù)政府有關(guān)部門的要求公開，被他人以非專業(yè)的技術(shù)手段輕易獲取之后，用于電信詐騙業(yè)務(wù)，對該公開信息的處理既違反國家有關(guān)規(guī)定，也違背信息主體的處分意思，對于該信息仍然有利用刑法予以保護的必要。

3.實務(wù)上不宜定罪的情形

筆者認為，對于處理個人已公開的信息有以下情形的，不宜定罪：

第一，針對已公開的個人信息僅實施單純獲取或爬取、持有等行為的。由于行為人還沒有將該信息予以批量出售、提供，很難判斷他人后來對于該信息的使用目的是否與個人公開其信息時相同，也無法確定信息的用途是否被改變，難以得出行為人侵害被害人法益處分自由的唯一結(jié)論。

第二，獲取、提供他人已公開的個人信息的目的是幫助行為人拓展業(yè)務(wù)的情形。企業(yè)注冊登記或者將其信息在征信系統(tǒng)中收錄，其目的是為了企業(yè)自身發(fā)展。行為人處理企業(yè)公開信息中包含的個人信息，如果與該企業(yè)的經(jīng)營發(fā)展目的相一致的，應(yīng)當認定該處理信息行為具有合理性。

例如，某些特定行業(yè)的從業(yè)人員為擴展業(yè)務(wù)范圍、推銷產(chǎn)品、開展市場營銷，大量收集或向他人購買特定行業(yè)的企業(yè)注冊登記信息(包括企業(yè)法定代表人的姓名、工作單位、手機號碼等)，或者與他人交換上述信息的，實務(wù)上傾向于認為個人信息被侵犯。(36)參見安徽省合肥市蜀山區(qū)人民法院(2018)皖0104刑初字第268號刑事判決書。此外，實務(wù)上將為了尋找潛在客戶而獲取、提供公開的個人信息的行為認定為犯罪的情形為數(shù)不少。(37)參見儲陳城：《大數(shù)據(jù)時代個人信息保護與利用的刑法立場轉(zhuǎn)換：基于比較法視野的考察》，載《中國刑事法雜志》2019年第5期，第50頁。但是，在上述案件中，行為人為了企業(yè)利益獲取他人信息，但已公開信息所在企業(yè)也是為了開展市場營銷等經(jīng)濟活動而存在的，因此，行為人獲取、使用個人信息的行為與信息主體的目的之間具有大致相同性，其對信息的處理相對具有合理性。因此，不宜將為了擴展業(yè)務(wù)范圍、推銷產(chǎn)品、開展市場營銷尋找潛在客戶而獲取、提供公開的個人信息的行為認定為犯罪。

第三，獲取、提供他人已公開的個人信息的目的是為企業(yè)發(fā)展提供貸款等金融支撐的情形。企業(yè)的發(fā)展需要使用支付、結(jié)算器械，向企業(yè)推銷此類產(chǎn)品不違背企業(yè)設(shè)立的目的。例如，對于為了推銷POS機業(yè)務(wù)而接受羅某發(fā)送的郵件，其中包含公民個人征信信息共計456條的，法院認定被告人構(gòu)成本罪。(38)參見徐州市銅山區(qū)人民法院(2018)蘇0312刑初字第74號刑事判決書。但是，這一定罪結(jié)論是否妥當還需要推敲。企業(yè)存在的目的是開展市場交易活動，為此，需要金融結(jié)算工具的支持。行為人獲取企業(yè)登記信息然后向其推銷POS機，不宜認定為違背企業(yè)公開其個人信息的經(jīng)營目的，并未侵害個人的信息自主權(quán)。

此外，企業(yè)的存在一定需要資金支持，行為人為了幫助企業(yè)辦理借款，在公開的互聯(lián)網(wǎng)上獲得企業(yè)信息及法定代表人身份證等信息，然后將該信息提供給小貸公司乃至職業(yè)放貸人的，均不構(gòu)成本罪，(39)當然，行為人以幫助企業(yè)辦理借款為名，在互聯(lián)網(wǎng)上發(fā)送廣告誘騙他人提供企業(yè)信息及法人身份證等個人信息出售牟利的，顯然違背個人自愿公開其信息的目的，改變了信息用途，其有可能構(gòu)成本罪。因為企業(yè)自愿公開其個人信息的目的是獲取貸款，將這些公開的個人信息用于與此有關(guān)的業(yè)務(wù)的，沒有違背個人信息公開的目的，也未改變信息用途，該信息不值得動用刑法來保護。

據(jù)此，本文的基本結(jié)論是：對于獲取企業(yè)注冊登記信息、征信信息等公開信息中的個人信息，然后將其提供、交換給他人的，僅將信息數(shù)量作為區(qū)分罪與非罪的根據(jù)的思考方法過于簡單化。對于已公開的個人信息的處理(獲取、提供、交換、出售等)，在與該信息公開的目的沒有根本抵觸的，無論被處理的信息數(shù)量到何種程度，都不宜定罪，該已公開的個人信息并非本罪行為對象。但是，處理已公開的個人信息侵害了被害人的法益處分自由，有以下情形之一的，應(yīng)當成立本罪：①明顯違背已公開個人信息的公開目的的；②明顯改變已公開個人信息的用途的；③利用已公開個人信息實施可能危及公民人身或財產(chǎn)安全的違法犯罪行為的。