论公民个人信息犯罪的刑法规制

张蕾　王峰鹃

【摘要】《刑法修正案（七）》在刑法第253条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。两款罪侵犯的客体为公民个人信息的管理秩序和他人的合法权益，犯罪对象为公民的个人信息。第一款罪主体为特殊主体，第二款罪主体为一般主体。客观方面表现为行为人实施了出售、非法提供个人信息或非法获取。前罪的行为方式主要包括出售、违规披露、非法利用等；后罪行为方式包括窃取、收买等。两罪的主观方面为故意。

【关键词】公民个人信息犯罪；刑法规制；犯罪构成

近年来，随着计算机、网络技术的普及和不断升级，以电子商务、电子政务为代表的信息化服务极大地改变了人们的生活方式，在向信息化社会的转型过程中，公民的个人信息也从原有的单纯记载个人身份用于个体识别的记录变为一类具有潜在商业价值的重要资源。但在社会转型时代，个人信息安全问题不容乐观。因信息泄露、盗用导致人身、财产利益受损的事件时有发生。我国在《刑法修正案（七）》出台之前，对于这类个人信息泄露致使合法权益遭严重损害的行为通常作为实施其他犯罪的手段或是犯罪预备阶段，以相应的罪名定罪处罚。《刑法修正案（七）》在第7条，填补了公民个人信息刑法保护的空白。

经修正后的《刑法》第253条第2款规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或非法提供给他人的，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。根据最高人民法院、最高人民检察院2009年10月发布的《关于执行<<中华人民共和国刑法>确定罪名的补充规定（四）》，前款罪名被确定为“出售、非法提供公民个人信息罪”，后款罪名为“非法获取公民个人信息罪”。

但笔者发现，尽管《刑法修正案（七）》颁布实施三年了，学界较少将该罪从犯罪构成要件的角度进行全面、系统的研究。实践中，司法机关在处理涉及侵害个人信息案件中还存在争议。这就需要我们进一步加大对该罪的理论研究，明确其犯罪构成要件的内容，为今后司法机关处理此类案件提供强有力的理论依据。

客体的认定：

出售、非法提供公民个人信息罪和非法获取公民个人信息罪归入侵犯公民人身权利、民主权利罪一类，人身、民主权利是我国公民享有的并为宪法所确认的最根本的权利。保障公民人身权利和民主权利不受侵犯，也是我国刑法的主要任务之一。侵害个人信息安全的行为，其侵犯的客体从广义上来说人身、民主权利；从狭义上来讲，是信息管理秩序和公民对个人信息在法定范围内的自主、自决和保密的权利。这是一个复杂客体，它的复合型是由该罪的犯罪对象——公民个人信息的特殊性所决定的。

“个人信息”在世界范围内的称谓有：“隐私”、“个人数据”、“个人资料”等，不同的称谓反映了各国在个体身份信息保护上的选择与定位。大陆法系的“隐私”仅为人格利益的一部分，仅限于不愿他人知道或他人不便知道的个人信息；而“个人数据”技术性更强，是欧盟相关国家所采用的概念。相比较而言，“个人信息”的提法，其保护范围广于“隐私”，技术上的定位也符合我国向信息化社会转型的需要。

明确“公民个人信息”的范围在司法实践中有重要意义，有助于划分罪与非罪，此罪与彼罪的界限。首先，个人信息立法必须与国内文化相协调，个人信息的范围界定是一个共识问题，是对相关个人或公民利益的尊重问题。《人民日报》曾于2011年10月12日通过人民网对有关公民个人信息保护的热点问题进行网上调查，对于 “最需立法保护的个人信息”项中，十大类信息按比例依次为：身份证号（19.28%）、电话号码（17.17%）、家庭住址（17.01%）、收支情况（11.01%）、医疗记录（9.25%）、所在单位（8.53%）、人际关系网络（6.57%）、婚姻状况（5.23%）、教育背景（4.09%）和宗教信仰（1.87%）。由此可见，随着经济快速发展，民众对个人信息保护范围的要求亦与时俱进，不仅包括与本人直接相关的信息，也包括间接信息。

理论上，个人信息一般须满足形式要件和实质要件。形式要件是指构成个人信息必须满足的特定的形式要素，构成要素有两个：得以固定和可以处理。实质要件是指构成个人信息在内容上不可或缺的法律要件。构成个人信息的实质要件是“识别”。个人信息是可以直接或间接识别本人的信息，包括姓名、性别、种族、职业、职务、年龄、婚姻状况、身份证号码、社保号码、医保号码、指纹、声纹、DNA信息、书写签名、电子签名等等。

在范围界定上，我们要特别注意对间接信息的保护。在不久前披露的一犯罪嫌疑人通过银行工作人员兜售的客户信息包括银行卡号、详细住址、手机号、家庭电话、职业、生日等，从其中筛选出最有可能的六位密码，逐个进入网银，共造成受害人损失3000多万。为从源头上遏制相关犯罪，就需要相关主体在信息收集上恪守“目的明确”、“最少使用”原则，在履行公共管理职责或提供服务中，获取个体的信息量满足使用目的即可。

主体的认定：

出售、非法提供公民个人信息罪的主体是特殊主体，即必须是国家机关或者金融、电信、交通、教育、医疗等特殊单位及其中从事相关工作的工作人员。法条采列举的方式，将以收集、处理公民个人信息为工作职责范围或业务范围的单位相关工作人员一并纳入刑法调整的对象。非法获取公民个人信息罪的主体为一般主体。

主观方面的认定：

两款罪的主观方面均为故意。即行为人明知自己的出售、非法提供和窃取、非法获取公民个人信息的行为违反法律规定，会对公民个人信息管理秩序和当事人合法权益带来损害，仍决意为之的心态。过失不构成本罪。至于行为人的动机多样，是否为了实施获取个人信息之后的下游犯罪如诈骗罪，不是构成本罪的故意要素。

结尾

个人信息保护是一个随时代变迁而不断发展的课题，刑法规制所具备的事后救济的功能只有与相关的行规、技术保障相配合，并在实践中让个人信息的系统保护成为人们的自觉行为，我们才能在真正意义上享用信息时代带来的便利。

参考文献：

[1]刘宪权. 刑法学 [M]. 上海：上海人民出版社，2008.

[2]齐爱民. 个人信息保护法研究 [J]. 河北法学，2008，26，4.

[3]中国人民大学信息法研究中心[M]. 北京：法律出版社，2006.

[4]周汉华. 个人信息保护前沿问题研究 [M]. 北京：法律出版社，2006.