侵犯公民个人信息罪客观方面认定问题研究

孙伟　刘静　张恺　任楚翘

摘 要 两高2017年发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》确立了该罪名法律适用的基本标准，本文依据刑法及最新司法解释对“公民个人信息”、“违反国家有关规定”、“以其他方法非法获取公民个人信息”三个仍存争议的概念进行深入解读，以期为司法实践提供参考。

关键词 侵犯 公民 个人信息 保护

作者简介：孙伟、刘静、张恺、任楚翘，北京市朝阳区人民检察院。

中图分类号：D924.3 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.02.145

《刑法修正案（七）》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，《刑法修正案（九）》又将其整合为侵犯公民个人信息罪，从刑事立法角度对个人信息提供全面保护。最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释【2017】10号，下简称《解释》）进一步统一了该罪名的适用标准。作为一种新的犯罪类型，侵犯公民个人信息罪在司法实践中仍有许多问题需要破解。既要加强人权司法保障，运用刑法手段有效遏制个人信息非法扩散、利用的态势，切实保障公民信息权利，又要根据刑法谦抑性原则，合理划定犯罪圈，为正当的信息收集和使用提供制度空间，有必要深入探讨“公民个人信息”、违反国家有关规定”和“以其他方法非法获取公民个人信息”的司法认定。

一、“公民个人信息”的含义

“公民个人信息”的认定，是正确适用侵犯公民个人信息罪的关键。刑法条文本身并没有对这一个概念作出明确界定，《解释》第1条采用定义加列举的方式作了规定，为判定公民个人信息提供了基本依据，但该概念仍需要进一步阐释。

（一）“公民”概念的把握

《刑法修正案（七）》增设本罪名时即在“个人信息”前加上了“公民”二字，《刑法修正案（九）》继续保留了条文中的“公民”一词，而且将该条第二款中的“上述信息”也改为“公民个人信息”。如果严格按照《宪法》、《国籍法》对公民的界定，刑法对个人信息的保护仅及于中国公民。但无论是从平等保护出发，还是从有效打击犯罪出发，对中国公民、外国公民、无国籍人的个人信息都应该一视同仁。实践中，运用刑罚手段保护个人信息，没有必要也不大能可实现“中外有别”。有观点认为，《刑法》第253条之一出现“公民”扭曲了其本来概念，从简洁和避免解释误区出发，应当删除“公民”一词。 但是，能够用刑法解释的解决的问题就不应该诉诸频繁的修法。合理解释“公民”一词，不能拘泥于该用语在其他法律中的基本含义，也应考虑该词在刑法中的规范含义。从体系解释角度看，刑法分则多处使用“公民”一词，如分则第四章章名为“侵犯公民人身权利、民主权利罪”，此处的“公民”显然也不能解释为国籍法意义上的中国人，外籍人士当然也应该得到刑法保护。从解释原则来看，对“公民”作扩大解释，并没有超出国民预测可能性的范围。刑法具有独立性，依照刑法规范的目的，扩大国籍法“公民”概念的外延，仍然在刑法用语可能具有的含义内，不违反罪刑法定原则。

（二）“个人信息”的内涵与外延

互联网、大数据、云计算等新技术飞速发展，个人信息的数量不断膨胀，内容愈加庞杂，将海量的个人信息全部纳入刑法保护范围，既不可能也无必要。随着数字经济的出现，个人信息不仅是应受保护的权利，也是信息产业发展的重要资源，是社会公共管理的基础设施。保护个人信息，必须兼顾权利全面保护的要求和信息流通自由的需要，既要防止信息滥用，也要防止信息禁锢。对个人信息作限制解释，严格划定犯罪圈，也是刑法谦抑性的要求。

《解释》从可识别性的角度定义个人信息，强调其对于“识别特定自然人身份或反映特定自然人活动情况”的作用。只有与个人身份的紧密联系的信息，即反映身体特征、社会特征，能够直接或间接地用于识别信息主体身份的信息，才能进入刑法视野。个人信息的可识别性，可以细分为主体可识别性与信息本身可识别性两方面。

主体可识别性，即信息内容与信息主体具有关联性，反映信息主体专属的某些特征，用于识别特定主体的身份，通过信息可以将个人“认出来”。正是可识别性，让个人信息具有个人专属性，从而与人格尊严联系起来，具有了法律保护价值 。个人对与其身份相关的信息的掌控，是自主决定私人生活的重要表现，承载着个人自决等人格利益。法律保护个人信息，是对个人掌控其信息的尊重，体现着信息时代的人格平等。而滥用个人信息，既是对信息主体生活的滋扰，也是对信息主体的人格尊严的贬损。没有主体可识别性的信息，不可能影响到个人法益，也就无需刑法保护。主体可识别性并不要求信息直接指向个人，信息组合或者信息简单处理后指向个人的，也应视为具有主体关联性。信息指向个人的必须是真实存在的，虛假个人信息不可能与任何主体关联，也就不具有法律保护的意义。判断可识别性，应当考虑信息获取者或信息使用者可能利用到的识别特定人身份的一切方法。比如判断IP地址、cookie信息等是否属于“个人信息”，应当着重审查行为人是否有能力通过这些信息查找、锁定现实世界中的公民身份，网络运营商与普通网络使用者的识别能力显然是不同的。经过技术处理即可识别身份信息的原始数据当然属于个人信息，而经处理后无法识别特定个人亦不能复原的数据则应排除在外。识别特定主体的个性特征与识别主体身份应作区别对待。 去身份化处理之后的网络购物记录，不能特定化至明确的信息主体，不具有侵害人格尊严的潜在危险，提供、出售此类信息也就不应纳入刑法调整范围。

信息本身的可识别性即信息在一定程度上具有稳定性、静止性、不变性和可复制性。 通常意味着信息以某种形式记录、固定下来。个人信息本身不是有体物，对其进行控制体现在对收集、处理、利用的授权与禁止，而这些操作都是针对特定载体的。信息本身不具有可识别性，非法利用信息的可能性也不存在。

有观点认为，个人信息在可识别性之外，还应具有“法益关联性” 、“商业性使用价值” 。事实上，可识别性已经决定了个人信息关乎人格尊严，与个人法益高度关联，具有刑法保护之必要，再设置“法益关联性”的标准实属叠床架屋。而具有商业价值的标准则过于主观。同样的信息，对某个使用者可能具有极高的商业价值，而对另一个使用者则毫无用处，采用这样的标准无疑会引起司法判断的混乱。

准确把握“个人信息”外延，必须明确个人信息不等于隐私，还应包括公开的个人信息。有观点认为，“并非所有的个人信息都是刑法调整的对象，只有个人信息中体现着个人隐私权的那一部分信息才属于刑法保障的范围” 。这种将个人信息等同于隐私的论断不可取。首先，个人信息不等于隐私，许多个人信息具有一定程度的私密性，但是民法上的个人信息权与隐私权有着严格界分，二者的权利属性、权利客体、权利内容和保护方式均不相同。 个人信息既包括较敏感的隐私信息，也包括一般信息。这一点也为立法机关所接受，全国人大常委会《关于加强网络信息保护的决定》第 1 条第 1 款即规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。其次，个人信息权的实质是对个人信息的控制，部分信息即使在一定范围内已公开也仍应视为受到主体有意识的控制，比如亲友间掌握的电话号码、家庭住址等信息。权利主体对此类信息再扩散与再利用的掌控，理应受到法律保护。再次，大数据时代下，公开的个人信息可能与社会公共利益、国家安全有关。

司法实践中，判断个人信息还应充分考虑公共利益。遵循信息公开原则，特定人员的个人信息在一定程度内可能不属于法律保护的对象，比如与公职人员职务相关的个人信息。收集、汇总公职人员财产申报后的公示信息、公车所在位置一般不应构成犯罪。此外，部分个人信息与公共生活有关，也可能存在国家强制收集、使用的情况，比如个人征信系统。

二、“违反国家有关规定”的认定

由于我国尚未颁布《个人信息保护法》，全国人大或国务院层面的限制性、列举性法律法规缺失，如果以《刑法》第96条对“国家规定”设定的标准，侵犯公民个人信息罪中的“违反国家有关规定”将面临无法可依的窘境。《解释》第2条将“国家有关规定”解释为“法律、行政法规、部门规章有关公民个人信息保护的规定”，扩充了参照法规的范围，但前置法律明确性的问题又凸显出来。有关个人信息保护的规范散见于民法、行政法之中，刑事立法上的指代不明，意味着法官找法存在现实困难。从司法实践看，几乎没有法官在判决中援引法律、法规条文来说明被告人违反的具体法律法规。但是，这并不意味着“违反国家有关规定”是无效条款。应将“违反国家有关规定”理解为对违法阻却事由的提示，即“违反法律有关规定”只为特别提示司法工作人员注意：单位或个人依据法律法规等规范性文件而获取、提供、出售公民个人信息的，具有违法阻却事由，不成立该罪。

刑事立法上适用“违法”等表述，既可能是空白罪状，需要法官另外找法，也可能“仅仅是对于（作为犯罪的一般要素的）违法性的一种没有什么特殊意义的提示。” 《刑法》第253条的规定正属于后者。首先，“违反国家有关规定”并不是侵犯公民个人信息的本质特征，并非真正的构成要件要素。个人信息权的核心是主体对个人信息的支配和自主决定。 出售、提供、非法获取的可罚性主要在于侵害了主体的信息自决权，而不是违反了特定的法律。在国家对公民个人信息提供全面保护的情况下，如果没有法律的特殊许可对提供、获取公民个人信息的行为加以正当化，则行为已经是违法的。反之，因为存在着合法地提供或获取公民个人信息的情况，即使删去“违反国家有关规定”，个案判断中对违法阻且事由的审查也必不可少。其次，从刑法体系角度看， 刑法分则第四章、第五章中出现“违反国家有关规定”的条文较少，即使出现也只是“弱意义”的构成要件，无须前置配套的专门性法律法规。 再次，强调行政违法性作为入罪前提条件，一定程度上构成了本罪司法适用的障碍。 如果将“违反国家有关规定”作为构成要件要素，意味着司法机关承担着查明行为违反的具体行政管理法规的责任，而且必须说明违反的具体条款。该表述没有也不可能指明各种法规的具体条文与国家规定的具体内容，只能导致处罚范围的不明确。结局是，要么不当扩大处罚范围，要么不当缩小处罚范围。 在个人信息保护立法缺位的情况下，这种要求只会加重司法负担，影响刑法适用效果。

“违反国家有关规定”只具有提示违法阻却事由的意义，不要求司法裁判时寻找到对应的具体的行政法律规范。在认定侵犯公民个人信息罪时，一般只需要查明行为符合客观构成要件，没有违法阻却事由，就可以肯定行为是违法的，不需要查明符合客观构成要件的行为是否违反了其他法律或行政管理法规，也不需要以刑法以外的法律法规有“追究刑事责任”等规定为前提。司法实务界的观点认为，“对判断依据‘国家有关规定可以作相对灵活的把握，只要有一般性规定即可，而不应要求专门性规定。” 现实的判决也大多采纳了这种做法。

三、“以其他方法非法获取公民个人信息”的理解

侵犯公民个人信息的手段多样，出售、提供、窃取等形式较为常见，而具有兜底性质的“以其他方法非法获取公民个人信息”则存在一定争议，有必要加以辨析。

《解释》出台前，对于“非法”有多种理解。有观点认为“非法”应理解为违反法律的禁止性规定。 也有观点认为，“非法”并不等同于手段的非法性，只要没有法律依据或资格就构成“非法”。 《解释》第四条将“非法”定义为“违反国家有关规定”。从体系解释原则出发，两处规定的实质均是提示违法阻却事由。 除法律强制收集个人信息或公民个人自愿等存在合法依据的情况外，其他方法获取公民个人信息均属非法。非法获取不仅包括盗取、骗取、暴力胁迫等自身具有非法性的手段，《解释》列举的购买、交换等较中性的行为当然也可构成。

“非法”的本质是对信息主体信息自决权的侵犯，这是判断其他方法是否构成犯罪的重要依据，至于方法本身是否合乎道德伦理、公序良俗在所不问。通常而言，信息主体对信息的支配表现为收集、使用和对外提供。 现代社会生活，就是一个不断交换信息的过程，每个人在社会交往中都或多或少地自愿提供一部分个人信息并许可他人使用，获取这类信息显然并不构成对信息自决权的侵犯。因此，从第三人处打听某人住址、电话等信息，从网络、报刊等公共信息发布渠道收集、整理公民个人的公开信息（如人肉搜索），即使行为人主观上具有恶意，即使行为可能对他人生活造成影响，也不能认定为侵犯公民个人信息罪。除了有意识地对外提供信息，个人在公共空间的行动轨迹、接触人员等信息也属于公开信息。即使信息主体可能不希望他人掌握这些情况，但却并不具有对这部分信息的支配权，所以单纯采取盯梢方式跟踪、狗仔偷拍等也不构成犯罪。但是，安装跟踪器或窃听器调查行踪、使用高倍望眼镜拍摄他人住宅内活动，获取的信息超出了公开信息的范畴，应属于非法获取。

注释：

赵秉志.公民个人信息刑法保护问题研究.华东政法大学学报.2014（1）.

王利明.论个人信息权在人格权法中的地位.苏州大学学报.2012（6）.70-71.

高富平、王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角.政治与法律.2017（2）.53.

叶良芳、应家赟.非法获取公民个人信息罪之“公民个人信息”的教义学阐释——以《刑事審判参考》第1009号案例为样本.浙江社会科学.2016（4）.

张玉洁.论“非法获取公民个人信息罪”的司法认定——基于190件案例样本的分析.华东政法大学学报.2014（6）.

蔡军.侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望.现代法学.2010（4）.

王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013（4）.

张明楷.刑法学（第五版）.法律出版社.2016.922.

[德]乌尔斯·金德霍伊泽尔著.蔡桂生译.刑法总论教科书（第六版）.北京大学出版社.2015.71.

王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013（4）.67.

曲新久.“公民个人信息”的超个人法益属性及其构成要件的意义——兼评《刑法修正案（九）》对于侵犯公民个人信息罪的修改.侦查监督指南.2015年第3辑.38，39.

刘宪权、方晋晔.个人信息权刑法保护的立法及完善.华东政法大学学报.2009（3）.125.

张明楷.刑法立法的发展方向.中国法学.2006（6）.

喻海松.侵犯公民个人信息罪司法适用探微.中国应用法学.2017（4）.181.

王昭武、肖凯.侵犯公民个人信息犯罪认定中的若干难问题.法学.2009（12）.151.

陈璐.论《网络安全法》对个人信息刑法保护的新启示——以两高最新司法解释为视角.法治研究.2017（4）.93.