非法获取公民个人信息行为研究

摘 要 《刑法修正案（九）》修改了侵犯公民个人信息犯罪的规定，将原刑法中的出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名合并为侵犯公民个人信息罪，通过扩大侵犯公民个人信息罪的主体范围、提高法定刑来加大对公民个人信息的保护力度。但是在前置法律缺位的情况下，对非法获取公民个人信息条款中的“个人信息”和“非法获取”的理解和认定都存在模糊不清之处。本文主要从非法获取公民信息行为的行为对象和行为方式的认定两方面对非法获取公民个人信息的行为进行探讨。

关键词 个人信息 窃取 非法获取

作者简介：李珂，北京师范大学刑事法律科学研究院刑法学硕士，研究方向：刑法学。

中图分类号：D924.3 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2017.02.150

个人信息被誉为二十一世纪最有价值的资源，它不但可以为政府决策提供依据，产生公共管理上的效益，并且可以产生丰厚的商业利润。为了追求个人信息所承载的经济价值和政治价值，对个人信息的争夺早已似一场没有硝烟的战争蔓延至社会的各个领域。近年来，计算机网络技术的高速发展无疑使这场个人信息的争夺战变得更加激烈，计算机网络收集、处理信息的便捷性和隐蔽性更使个人信息面临着前所未有的威胁。面对侵犯个人信息的行为愈演愈烈的社会现实，《刑法修正案（九）》修改了侵犯公民个人信息犯罪的规定，将原刑法中的出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名合并为侵犯公民个人信息罪，通过扩大侵犯公民个人信息罪的主体范围、提高法定刑来加大对公民个人信息的保护力度。修改之后，非法获取公民个人信息不再是独立的罪名，而是侵犯公民个人信息罪的一种行为方式。对侵犯公民个人信息罪的修改体现了刑法在保护个人信息方面的进步，但是我国《个人信息保护法》的缺位却给非法获取公民个人信息行为中的“个人信息”和“非法”方式的认定造成了困难。本文将从这两个方面出发对非法获取公民个人信息的行为进行探讨。

一、个人信息的认定

（一） 个人信息的界定标准

人信息的概念起源于1968年联合国“国际人权会议”中提出的“资料保护”。之后的几十年中世界范围内诸多国家都制定并通过了本国的个人信息保护法。但由于个人信息是人类步入信息社会后的一个崭新的法律现象，各国学界和立法对个人信息的认识也并不一致。关于个人信息的定义有两种代表性观点：第一，关联说定义。此种定义方式将凡是与个人相关联的信息均认定为个人信息，“所谓个人信息，包括个人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等之所有信息在内。” 第二，隐私权说定义。此种定义方式认为与个人隐私相关联的信息才构成个人信息。 “个人信息系指社会中多数所不愿想外透漏者，或者是个人极敏感而不愿他人知道的信息。”关联说的定义方式虽然为司法实践中如何认定个人信息提供了指引，但范围显然过宽过宽，如果以此标准来认定刑法中的个人信息，将导致行為人在信息社会动辄得咎，不利于维护正常的社会秩序。隐私权说只把个人信息局限于个人隐私，范围又失之过窄，从形式上看，个人隐私只是个人信息的一部分。而且我国民法中尚未明确建立隐私权制度，其他相关法律只是概括指出公民的隐私受法律保护，都没有具体明确地划定个人隐私的范围，以此标准来界定个人信息，仍然存在含混不清之处，缺乏可操作性。

识别说由于具有现实的操作性且所划定的个人信息范围合理而逐渐成为各国个人信息保护法中所采取的通说。识别说定义方式认为个人信息是指可以直接或间接识别个人的信息。所谓“识别”，就是把资料与信息主体存在某一客观确定的可能性，简单说就是通过这些资料能够把当事人直接或间接“认出来”。 识别说道出了个人信息最关键的特征即信息与个人的相关性，同时又把一些过于琐细而不能够识别特定主体的信息排除在外，为个人信息的判定提供了合理的标准。许多国家的个人信息保护法都采纳了识别说的定义方式，如《英国资料保护法》规定，“个人资料是指可以直接或者间接识别一个活着的人的所有资料”。我国“台湾资料法”规定，“个人资料指自然人之姓名、出生年月、……等足资识别该个人之资料。”

（二）个人信息的范围

在识别说的基础之上，我国一些刑法学者认为刑法所保护的个人信息除了具有一般个人信息的特征之外，还应具有刑法保护的特殊价值，即刑法只保护那些涉及公民人格、尊严，甚至人身安全、财产权利的重要个人信息。而姓名、年龄、身高、体重等单纯的数据性信息，虽能起到识别公民个人身份的作用，侵害行为也会给公民生活带来不便，但是否值得超越民法、行政法的保护手段而运用刑法，值得商榷。 但笔者认为刑法所保护的个人信息应涵盖上述纯数据性信息。第一，刑法对个人信息进行保护，实际上是保护个人信息所承载的权利。首先是个人信息的自由与安全，或者个人信息权，即自然人依法对其个人信息所享有的控制和支配并排除他人侵害的权利。虽然一些个人信息涉及信息主体的财产、隐私等其他重要信息，侵犯这些信息除了侵犯公民个人信息权之外还会侵犯公民的财产权、名誉权等其他为刑法所保护的重要权利。但是在侵犯公民个人信息罪中刑法是通过保障公民个人信息的自由与安全而为个人信息所承载的财产权等其他权利提供间接保护。侵犯公民纯数据性的个人信息首先侵犯了公民个人信息的自由与安全。第二，刑法在评价具体行为的危害程度时不只关注行为对象的价值，还要考虑具体的情节、手段。而侵犯公民个人信息罪中的“情节严重”并不局限于行为造成的危害结果和信息主体造成的损失，而应从犯罪客观方面、主体、主观方面等多角度综合考虑。因此，不能简单地因公民的姓名、年龄等纯数据性个人信息缺乏重要价值而将其排除在刑法的保护之外。

综上，公民个人信息的认定应采取识别说的标准，并应涵盖全部能够直接或间接识别个人的信息。

二、非法获取行为方式的认定

在高速发展的信息时代，公民个人信息几乎随着信息主体的活动而散落于社会生活的各个领域，获取公民个人信息的途径和方式多种多样，要认定何种方式属于非法获取必须要首先界定“非法”的内涵。但由于我国还没有颁布统一的《个人信息保护法》，在公民个人信息的收集、处理等各个阶段几乎毫无规则可言，这就为“非法”前提的认定带来了困难。究竟如何确定“非法”的依据也成为了学者们讨论的重点。笔者将在几种具有代表性的观点的基础上确立“非法”的认定标准，并讨论司法实践中几种常见的获取公民个人信息的方式。

（一）对“非法”的解读

关于“非法”的含义，有两种较为代表性的观点，分别是“违反法律的禁止性规定”和“没有法律依据”。持第一种观点的学者认为，首先，在法理上公民有权实施任何法律法规未禁止的行为，即使该行为违反公共道德，也不能上升到刑罚处罚的高度；其次，将非法理解为“违反法律的禁止性规定”能够和侵犯公民个人信息罪第一款当中的“违反国家规定”的表述保持一致。 但笔者认为将非法解读为“违反法律的禁止性规定”有以下两点缺陷：第一，在我国关于个人信息保护的前置立法缺位，民法、行政法等法律对个人信息保护极不完善的情况下，如果只把违反法律禁止性规定的行为认定为非法，将把大量没有被法律禁止但实质上严重侵犯公民个人信息的行为排除在外，这将极大地削弱对公民个人信息的法律保护。第二，在法理上，法律规范分为命令性规范和禁止性规范，违反法律命令性规范，同样可以因违反法律规定而被认定为非法。如已经通过但尚未生效的《网络安全法》中明确规定，网络运营者在收集个人信息时，应明示收集的目的，并经被收集者同意。如果网络运营者在收集用户信息时没有履行网络安全法的规定，应当被认定为非法获取公民个人信息。所以，将非法解读为“违反法律法规的禁止性规定”不当缩小了非法的内涵。

持第二种观点的学者认为只要行为人没有获取公民个人信息的法律依据或者资格而获取相关個人信息的，就可能构成犯罪。 这种观点的缺陷同样是在我国个人信息保护统一立法缺位的情况下，实际中大量存在的获取个人信息的方式并没有法定的依据，如果将这些行为都认定为非法不利于信息的流通和利用，将会阻碍社会的正常发展秩序。但是这种观点与前者相比从更为本质的角度，从更大的范围为公民信息提供了保护。因此，在平衡公民个人信息保护和促进信息流通的基础上，可将“非法”解读为：没有法律上的依据，并且足以危机公民信息安全的。

（二）窃取

窃取是侵犯公民信息罪中明文规定的非法获取公民个人信息的方式，对于窃取行为的认定可以比照盗窃罪进行。但同时又要注意此处窃取行为的具体对象公民个人信息和传统盗窃罪犯罪对象的不同特点对窃取公民个人信息中的一些问题进行具体认定。

通说认为，盗窃是指以非法占有为目的，秘密窃取他人数额较大的财物的行为。其客观方面表现为以隐秘的、不为财物所有人或保管人所知的手段将财物取走。传统观点认为窃取行为的重点在于手段的隐秘性，并主张在认定秘密手段时采取主观标准。即不论行为人窃取财物的行为客观上是否为所有人或保管人所知，只要行为人自认为自己的行为是秘密的就可认定为秘密手段。但是通说最大的缺陷在于，它在一定程度上割裂了主客观相一致的原则，仅依靠行为人的主观认识来认定其客观行为。当实践中出现客观情况和行为人的主观认识不一致的时候就难以判定行为性质，甚至在一些情况下行为人根本就没有考虑过自己的行为是否隐秘。因此，在对传统通说进行批判的基础上一些学者提出了新的学说，认为盗窃就是采用非暴力的平和方式，破坏财物的原有占有而建立新的占有。新学说不再将窃取行为局限于秘密行为，一些公然实施的行为，只要采取的是平和的、非暴力的行为依然可以认定为窃取。

上述对盗窃罪中窃取行为的理解能否直接适用于此处的窃取公民个人信息的认定呢？笔者认为，应该分情况讨论。个人信息可以分为两类，一类是有载体的个人信息，一类是无载体的个人信息。前者可能存储于未连入网络的本地电脑、U盘等其他现代或传统存储介质中，而后者则往往是指位于网络空间的个人信息。对于第一种有载体的个人信息，行为人往往是通过窃取信息的载体从而获得储存于载体之中的个人信息，此时窃取行为的直接对象是物，可以直接适用上述讨论的关于盗窃罪中窃取行为的理论。此时还需注意的一个问题是，行为人通过窃取信息载体而获取公民个人信息的情况下，行为人可能成立盗窃罪和侵犯公民个人信息罪的想象竞合犯。这种情况下行为人的主要目的还是为了获取储存于载体之上的个人信息，一般应成立侵犯公民个人信息罪，但当信息载体的价值过高时，仍有成立盗窃罪的可能。

当行为人窃取的是无载体的个人信息时，行为人的手段是否是平和的、非暴力的手段似乎就不那么清楚了。如上文所述，新的学说根据手段的平和性、非暴力性认定窃取。但虚拟空间不同于物理空间，虚拟空间中并不存在传统意义上的暴力手段。例如黑客侵入甲公司的数据库，意欲窃取数据库中的大量客户个人信息，但在窃取过程中被甲公司的技术人员发现，技术人员采取拦截措施，但并未成功。首先，该名黑客的行为肯定不具有秘密性，其潜入行为已被甲公司技术人员发现。同时，甲公司的技术人员对该名黑客的行为进行了拦截，但是没有成功。此时黑客的行为仍应认定为平和手段吗？笔者认为，由于网络空间原本就不存在传统意义上的暴力行为，所以此时把窃取行为理解为采取平和手段也就无从谈起。没有了秘密性和手段的平和性的标准，网络空间的窃取行为该如何认定和区分呢？如果对网络空间中未经权利人同意侵入计算机系统获取信息的行为不加区分的认定为窃取行为，似乎也不太合适。因为上述例子中提到的行为人凭借自己的技术优势不顾对方系统的拦截而带有公然掠夺性质的获取信息的行为之危害性明显大于一般意义上的窃取行为。因此在此种情况下，笔者认为行为人获取信息的行为不应评价为窃取，可以认定为其他方法，并在评价情节严重时考虑其手段的恶劣性。行为人通过侵入计算机系统而获取公民个人信息时还可能触犯刑法中的另外一个罪名，即非法获取计算机信息系统数据罪。存在于计算机系统中的个人信息属于计算机系统数据的一种特殊数据，依据特殊罪名优先于一般罪名适用的原则，此时仍应成立侵犯公民个人信息罪。

（三）收买、收受

将收买与收受公民个人信息放在一起讨论是因为二者是侵犯公民个人信息罪犯罪第一款中出售和提供的对向行为，刑法将出售和非法提供公民个人信息的行为认定为侵犯公民個人信息，那么二者的对象行为是否当然地构成非法获取呢？

实践中，对收买公民个人信息行为的认定为非法获取基本已经形成统一的认识，笔者在中国裁判文书网进行检索，仅2016年一年就有近40起案件中的行为人购买公民个人信息的行为被认定为非法获取。 从刑法本身看，刑法中多个涉及秘密、信息的犯罪都将“收买”与“窃取”并列规定，如《刑法》第111条：“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报的”；第282条：“以窃取、刺探、收买方法，非法获取国家秘密的”。可见立法上也认可“收买”与“窃取”行为有大致相同的危害性。因此将“收买”认定为非法获取既有立法上的依据，同时也符合我国司法实践中的做法。

那么关于“收受”该如何认定呢？按照上文关于“非法”的解读，应将没有法律依据而且足以危害公民个人信息的行为认定为非法。具体到收受行为，它作为提供的一种对向行为，由提供行为违反国家规定可以推出收受行为没有法律依据，也就是说行为人收受的个人信息是不应当被提供的。接下来要考虑收受行为是否足以危害公民个人信息。首先，一般来说收受行为表现为消极、被动的接受，其危害性要小于主动的窃取和收买，但不排除有时收受也表现为通过积极劝诱对方而获取，在这种积极主动的情况下，收受行为的危险性明显增加。也即当收受行为超出了定型性、通常性，对“非法提供”起到了不可或缺的作用时，就可能被认定为非法获取。 其次，可以从收受行为的后续行为来判断其危害性。实践中行为人收受公民个人信息往往并不是单纯为了了解信息主体，而会进一步利用所收取公民个人信息。目前刑法只把出售、非法提供和非法获取公民个人信息的行为规定为犯罪，并没有对利用公民个人信息的行为做出规定。实践中大量存在的利用公民个人信息的行为，例如将公民个人信息大肆用于商业营销推广，已经给信息主体的生活造成严重困扰，但由于缺少明确的规定，这些利用公民个人信息的行为还无法受到刑法的制裁。因此，如果行为人在收取公民个人信息之后进一步实施了利用公民个人信息的行为，可认为其收受行为具备了足够的危害性，并将其认定为非法，这样可以为公民个人信息提供更加全面的保护。

注释：

齐爱民.大数据时代个人信息保护法国际比较研究.法律出版社.2015.135，136.

齐爱民.拯救信息社会中的人格.北京大学出版社.2009.85.

王昭武、肖凯.侵犯公民个人信息罪认定中的若干问题.法学.2009（12）.

张磊.司法实践中侵犯公民个人信息犯罪的疑难问题及其对策.当代法学.2011（1）.

赵秉志.公民个人信息刑法保护问题研究.法学论坛.2014（1）.

何显兵.再论盗窃与抢夺的界限.中国刑事法杂志.2012（5）.

资料来源：http：//wenshu.court.gov.cn/.访问时间：2017-01-06.

王昭武、肖凯.侵犯公民个人信息罪认定中的若干问题.法学.2009（12）.