论侵犯公民个人信息罪立法完善

■杨雅朝／天津商业大学法学院

随着社会的发展和进步,各种新型的侵犯公民个人信息的行为层出不穷，我们时常收到关于各种电商的骚扰。特别是当信息核对准确的时候，不仅让我们反思，个人信息泄露太过严重，更有甚者利用公民个人信息从事违法犯罪活动，这让我们公民个人权利受到严重威胁。因此，研究侵犯公民个人信息的行为显得更加重要。

一、公民个人信息的界定

近年来，对明确个人信息范畴的呼吁居高不下。确实，对什么是个人信息做出明确规定，不仅有利于人们按规范行事，不触及刑法，也有利于司法实践的裁量，节省司法成本。于是，2017年5月9日，最高人民法院和最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）。其中《解释》第一条明确指出，公民个人信息是指，以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。很显然，两高在“个人信息”界定上采取的是“身份识别说”，即认为只有能识别特定自然人身份或者反映其活动的信息，才是刑法范围内的个人信息。但是学术界对于个人信息的范围争议很大，另外还有：价值重要说，该说认为只有那些具有重要价值的信息才属于公民个人信息，因为只有这些信息才能启动刑法来保护，持这一观点的有苏州大学的王昭武教授；隐私权利说，该说认为只有体现公民个人隐私权的信息才属于公民个人信息，持这一观点的有河南大学法学院副教授蔡军等。笔者认为涉及隐私权的信息当然属于个人信息，但是个人信息不止限于涉及隐私的权利，即个人信息分范围要比隐私权的范围大。对于价值重要说，笔者认为有一定道理，但也不全面，该学说遵守刑法谦抑性原则，同时也给了建立我们个人信息保护体系的启示，值得反思；对于身份识别说，笔者认为，有些个人信息虽然不能直接识别他人身份，但是却关乎他人名誉、人格或者财产，例如他人的网上支付密码，其本人并不能识别某人身份，但却对他人的财产造成威胁。归根结底，造成上述问题的关键在于，我国没有统一的个人信息保护法来明确规定上述内容，这正是因为这个原因，制约着我们对于侵犯公民个人信息犯罪的惩治。

由此，笔者认为，公民个人信息是指，以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况以及关乎他人名誉、人格或者财产的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

二、情节严重问题的研究

《刑法修正案九》出台后，重新修改了《刑法》第253条之一的规定，但是何为情节严重，没有详细说明。在强烈的呼吁下，《解释》第5、6条做出了规定，可谓是为司法实践做出了指引。但是笔者认为，上述规定并非全面，一方面有些条款值得商榷，另一方面有些情形已构成严重威胁，但是却没纳入其中。

《解释》第5条的（一）规定，出售或者提供行程踪迹信息，被他人用于犯罪的；紧接着（二）规定，知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的。很显然（一）中对行为人是否知道他人用于犯罪的主观方面不予考虑，而（二）中，行为人需要知道或者应当知道信息是用来犯罪的，但是有些信息即使不是行踪轨迹，也可能对人构成犯罪，既然出售或者提供了，就有实害的危险，如果分别考虑，会让行为人以为，出售或者提供非行踪轨迹类信息的违法成本低，所以笔者认为，不应该对行为人的主观方面做出限定，所以不管行为人对他人犯罪是否明知，都不影响情节严重的成立，都构成侵犯公民个人信息罪。另外（四）规定，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的属于情节严重，但是其中住宿信息，健康生理信息此类属于及其隐蔽的个人隐私性极强的信息，此处规定数量为500条，是否过于多？如果“不多”是考虑刑法谦抑性的话，那么500条以下的由何法来调整？笔者认为这些都值得深思和探讨。

从之前的司法实践上来看，认定情节严重的直接标准就是“信息数量”和“获利数额”，如今看来，单纯以这两项指标认定情节严重，难以应对当前复杂的社会生活，并且法官在判决中单纯以此做依据，说理不够严谨和充分。《解释》虽然在情节严重方面做了大量研究，但是规定并不是很全面。例如《解释》第5条的（九）规定，曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的属于情节严重，但是如果行为人因侵犯公民个人信息并未受过刑事处罚或者二年内并未受过行政处罚，仅仅是多次出售或者提供公民个人信息，换言之行为人多次出售和提供公民个人信息的行为之前并未被发现和处罚过，只是在最后一次行为时被发现，继而才发现了其前几次的行为，而最后一次的行为并不符合构成《解释》中其他情节严重的情形，那么此时行为人的“多次出售或者提供”是否构成情节严重？显然，此种情形已对社会造成威胁，符合情节严重的情形，因此笔者认为应当在《解释》中增加此类“多次出售或者提供”行为。

三、持有行为增设的必要性

《刑法》第253条之一明确规定，“出售、提供、窃取、其他方法非法获取”的行为属于侵犯行为，而购买行为，似乎可以放在“其他方法非法获取”中，勉强还能让人接受，但是从获取到出售（或提供）这段期间的持有行为是否有必要纳入刑法处罚？如果有必要，将它放入“其他方法非法获取”中显然不合适，那么是否有必要增设一款为持有型犯罪？笔者认为有必要。

首先，不具备持有公民个人信息的主体，持有大量公民个人信息，又不能说明合法来源的，该行为在客观上已经对公民的人身和财产安全造成了威胁，同时也可能会诱发行为人准备实施其他犯罪的源头，其本身存在社会危害性。其次，我们不能等到行为人对受害人造成彻底的实害时，才启动刑法保护，而应当将这类准备行为纳入调整范围，如果说这些行为可以作为出售或者提供的准备行为的话，司法机关需要从事大量的前期侦查举证工作，而规定持有行为，可以简化这一点。最后，从《刑法修正案九》中即可看出，立法机关有意加大刑事惩罚力度，特别是几近年侵犯公民个人信息犯罪数量增多，下游性诈骗、金融类犯罪造成了严重危害后果，因此，设立持有型犯罪符合立法精神。

四、对于侵犯公民个人信息犯罪的建议

第一，出台《个人信息保护法》，建立个人信息保护制度。在保护个人信息方面我国法律有一个特别尴尬局面，那就是一说到侵害公民个人信息，就想到刑法，而不符合《刑法》情节严重的那些行为，却无其他法律加以规范。其实《民法》中也只是对“名誉权”“隐私权”做了规定，而对于不属于侵害隐私权、名誉权并且也不符合《刑法》情节严重的那些行为，并未作调整，甚至连《治安管理处罚法》都未将上述行为作为行政违法行为规定处罚的措施。没有《民法》、《行政法》的衔接，使得有些行为仍然逍遥法外，而一旦没有法律规范，必将后患无穷，如果将希望寄托于《刑法》，那么也会势必造成司法资源的浪费和成本的增加，关键是取得的保护公民个人信息的效果并不是最理想的。

因此，有必要加快出台民事上的《个人信息保护法》，建立个人信息保护制度。明确公民个人信息的范围，可以从反面规定哪些不属于公民个人信息等。此外，该法出台，不仅可以完善我国法律，使我们法律衔接有据有度，还可以对此类犯罪的下游型犯罪起到很好的预防作用。

第二，明确入罪标准，对情节严重情形作出调整。笔者建议，合并《解释》第5条第（一）、（二）款规定为“出售或者提供公民个人信息，被他人用于犯罪的”，这样一方面可以对行为人起到警示威慑作用，另一方面也会减少司法机关证明行为人主观思想的工作量。

改《解释》第5条第（四）款中的500条为100条，对健康生理、住宿情况等信息，给予更大力度的保护。

在《解释》第5条增加一款，1年内出售、提供、持有、窃取或者用其他方法非法获取个人信息3次以上的，属于情节严重。

第三，增设“持有”行为作为侵犯公民个人信息的行为。在《刑法》第253条之一后增加一款，内容是“持有大量公民个人信息，又不能说明其来源的，情节严重，处一年以下有期徒刑或者拘役，并处或者单处罚金，情节特别严重的，处一年以上三年以下有期徒刑，并处罚金。”，具体原因，已在上文说清，再次不予赘述。

［1］最高人民检察院检察理论研究所课题组.互联网领域侵犯公民个人信息犯罪问题研究［J］.人民检察,2017(2):9.

［2］胡江.互联网时代惩治侵犯公民个人信息犯罪的困境与出路［J］.山东警察学院学报,2016(5):68.

［3］朱江,李婧.论增设非法持有公民个人信息罪的必要性［J］.武汉金融,2017(1):15.

［4］高富平,王文祥.出售或提供公民个人信息入罪的边界［J］.政治与法律,2017(2):46.

［5］李振林.非法利用个人金融信息行为之刑法规制制度［J］.法学,2017(2):104.

［6］王肃之.侵犯公民个人信息罪行为体系的完善［J］.河北法学,2017(7):151.

［7］郭溢.试论侵犯公民个人信息的犯罪［J］.法制博览,2017(8):203.

［8］李婕.刑法如何保护隐私——兼评《刑法修正案(九)》个人信息保护条款［J］.暨南学报,2016(12):118.