侵犯公民个人信息犯罪相关问题探析

徐州市人民检察院课题组

摘 要：近年来侵犯公民个人信息犯罪频发，因此有必要深入探讨相关争议问题。企业在网络上公开发布的联系人信息是否属于刑法保护的公民个人信息，当结合公民个人信息的内涵综合考量;“人肉搜索”行为情节严重的，应当归于“以其他方法非法获取”公民个人信息的行为范畴而具有刑事可罚性;司法实践中对公民个人信息的类别归属存在不清晰的问题，不同信息类型配置的构罪标准和罪量档次是否合理，有待进一步商榷。

关键词：网络公开信息 公民个人信息 以其他方法非法获取

当世界迈向信息时代，“一个致命缺点在于数据共享的价值或福利是集体体验，而风险却是由个人承担的。”[1]大数据时代在改变人类基本的生活与思考方式的同时，也在推动公民信息管理准则的重新定位。[2]我国2015年《刑法修正案（九）》和2017年“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）强化了对公民个人信息的刑法保护，但侵犯公民个人信息犯罪频发，我们还须从法律适用层面进一步破解司法实践中的争议问题。

一、网络公开信息的界定

[案例一]王某等人开发了一款可以从公开的网站上采集企业联系人信息的软件，后成立公司将搜集的企业信息数据备份至公司数据库内，又以收取会员费的形式向社会不特定群体推销该公司开发的软件，购买会员后可以大批量搜索相关数据信息。

案例一中，王某等人的行为能否认定为侵犯公民个人信息罪，其在网络搜集的企业联系人信息是否属于刑法保护的“公民个人信息”，存在争议。有观点认为，网络公开信息不宜纳入刑法保护的范围，信息权利人主动公开就应推定其放弃了该信息的隐私性，对该信息的获取存在概括的同意和授权，任何人都有权利获取。笔者认为，考察网络公开信息是否属于公民个人信息的范畴应当先对刑法意义上的公民个人信息进行全方位地界定。

公民个人信息，包含“公民”“个人”“信息”三个词语。“公民”，不仅限于中国公民，外国人和无国籍人的信息也同样受到刑法的平等保护;“信息”既包括身份识别信息，如手机号、身份证号、银行账号等，也包括反映特定自然人活动情况的信息，比如航班信息、住宿记录、手机定位信息等。

“个人”则强调了信息的专属性和隐私性。专属性，即指直接或间接与特定自然人的身份相连接，从功能上讲亦可称作可识别性。可识别性，是“公民个人信息”的核心特征，即该信息能够直接指向特定主体或与其他信息相结合指向特定主体。“直接（单独）识别”很易理解，比如身份证号就是能够单独识别特定自然人身份的信息，那么“间接识别”如何理解呢？在大数据时代，很多相关信息经过整合处理后都有可能关联到特定个人，这些单独不具识别性的公民个人信息因通过大数据的超强智慧分析而具有了识别性。笔者认为，这样的信息就属于“间接识别”信息，理应纳入公民个人信息的范畴，而不应因其本身识别性不强而将其排除在公民个人信息的范畴之外。例如，快递单信息和网购订单信息虽然不能直接识别到特定的主体，但通过网络和数字系统均可以查询到与其相关联的自然人，因此非法买卖快递单信息或网购订单信息情节严重的，构成侵犯公民个人信息罪。又如，医药代表通过私人渠道获取的病床号和使用特定药品情况，无病人姓名、身份证号等信息，对于该信息是否具识别性、能否认定为公民个人信息就存在争议。笔者认为，在特定时间段，病床号与住在该病床的病人是一一对应的，由病床号足以关联到特定自然人，且获知其使用特定药品情况就侵犯了其隐私，存在进一步打扰其个人生活安宁的可能性，应当认定行为人获取的信息是受刑法保护的公民个人信息。有论者认为，只有一项信息或多项信息组合具有特定指向时，方能将这个或这些信息认定为公民个人信息[3]，这显然狭隘地理解了公民个人信息的定义和范围。但是，如果某信息必须通过极其不合理的时间、成本和技术整合处理后，方能与特定的主体相关联，则认为该信息不具备可识别性。[4]

至于隐私性，有学者认为刑法保护的个人信息应当是反映公民隐私权的个人信息，这涉及到个人信息是否具有保护价值的判断基准问题。[5]从比较法的角度看，德日等大陆法系国家对于泄露秘密罪中秘密的认定，是否要考虑被害人的主观期待存在不同见解。以日本法为例，主观说认为只要本人主观上具有作为秘密的意思就够了，客观说认为必须是对于本人来说具有作为秘密加以保护的客观价值，综合说认为必须是在客观上具有作为秘密的价值，而且本人也具有将其作为秘密的愿望，择一说认为二者只要具备其一即可。[6]笔者认为，刑法保护的公民个人信息应当采用择一说，即该信息或者客观上具有作为隐私加以保护的价值或者本人主观上具有将其作为隐私不被外人所知的意思。如果采综合说，只有主客观均具有隐私特征的信息才属于公民个人信息，那么很多信息都会被排除在公民个人信息的范畴外，显然不利于刑法对公民个人信息的保护。比如在下载手机app时的“隐私权限授权”，虽然app使用者将个人隐私信息和定位信息授权软件开发商，似乎不具备将个人信息作为隐私保护的意思，但站在客观角度从社会通念来看，使用者只是为了方便使用app，并非想将自己的个人信息被外人所知，因此这种授权并不能改变个人信息的隐私性，如果将通过这种方式获取的个人信息进行出售且情节严重的，应当构成侵犯公民个人信息罪。

根据以上特点，网络公开信息似乎可以排除在刑法保护的公民个人信息之外，然而不能一概而论，当综合考量。笔者认为，应当考量网络信息发布人对信息公开程度和被利用渠道的主观意愿与信息被收集、售卖之后具体用途之间的差异性。比如律师在微博上发布联系方式是为了获得诉讼代理或案件委托，并不想接受贷款、保险等广告推销甚至诈骗电话，其在网络发布联系方式并不意味着完全放弃了个人信息的隐私性，上文案例中企业在网络发布联系人信息，也是為了经营需要，各种类型的广告推销和诈骗电话只会影响其正常的经营活动，甚至会使其企业财产安全陷入风险中。主动公开并不等于主动接受“被骚扰”[7]，如果收集此类信息并向他人提供，获取信息者进行推销、诈骗等打扰信息发布者私人生活安宁甚至影响人身财产安全的行为，情节严重的应当认定为侵犯公民个人信息罪。

二、“获取”公民个人信息行为的认定

我国《刑法》第253条对“获取”公民个人信息行为的规定是“窃取或者以其他方法非法获取”。那么，“以其他方法非法获取”包括那些方法？

[案例二]证券公司赵某用其手机号码登录注册某股票网站时，发现此手机号码已在该网站上注册过，如果某手机号码已在网站上注册，再用该号码注册时，页面上就会显示“该手机号码已经注册”。于是，赵某通过网络搜索获取了其所在省的手机号码号段，编排了一系列手机号码，在该股票网站尝试登录，并将页面显示“该手机号码已经注册”的手机号码予以收集，用于电话推销证券业务。

[案例三]行为人李某在论坛上发布希望得到某方面公民个人信息的帖子，解某看到这个帖子后，无偿向李某提供了其需要的公民个人信息。

案例二中赵某通过尝试登录网站并排查注册号码从而获取股民手机号的行为，是否属于“以其他方法非法获取”公民个人信息的行为？案例三中，对于发布帖子并收受信息的李某能否认定为“以其他方法非法获取”公民个人信息？与之类似的还有“人肉搜索”，在《刑法修正案（九）（草案）》审议过程中，就有将“人肉搜索”入罪的呼声。上述行为是否归于“以其他方法非法获取”公民个人信息的行为范畴而具有刑事可罚性，存在不同认识。

有观点认为，“其他方法”应当限于与“窃取”危害性相当的方式（如抢夺），不宜将“购买”等手段包括在内。[8] “两高”《解释》显然持相反观点，将购买、收受、交换等方式认定为获取公民个人信息的“其他方法”，争议关键点在于对“违反国家有关规定”和“非法”的理解。我国《刑法》第253条对于“提供”公民个人信息行为规定了“违反国家有关规定”的前提性条件，对于“获取”公民个人信息行为则规定了“非法”的要求，那么，如何理解“违反国家有关规定”与“非法”呢？关于“非法”，德国法学家克劳斯·罗克新认为，德国有些刑法分则条文中规定的“违法”或“非法”的字眼，并非构成要件要素，仅仅是一种对违法性的一般犯罪特征的提示（本身是多余的）。[9]笔者认同此观点，“以其他方法非法获取公民个人信息”中的“非法”只是对该行为违法性的提示，不属于构成要件要素，即这里的“非法”并非指获取手段或方法行为的性质，而是指行为人获取公民个人信息的行为在本质上是违法的。因此，获取公民个人信息的“其他方法”并不要求是与窃取具有相当社会危害性或违法性的手段、方法。

《解释》在将购买、收受、交换等方式认定为获取公民个人信息的“其他方法”时，放置了“违反国家有关规定”的前提性条件，与提供公民个人信息的规定相统一，均以“违反国家有关规定”作为前置性要件。这属于典型的空白罪状，即在条文中没有详细地规定某一犯罪构成的特征，具体认定还要参照其他法律、法规。根据《解释》，“违反国家有关规定”是指违反法律、行政法规、部门规章中有关公民个人信息保护的规定。但是，由于我国目前有关公民个人信息保护的法律、法规极为分散、不成系统，散见于我国《居民身份证法》《护照法》《邮政法》《档案法》《消费者权益保护法》《电信条例》《道路交通安全法》《反洗钱法》《律师法》《公证法》《劳动争议调解仲裁法》《银行业监督管理法》《网络安全法》等涉及不同行业的法律法规中，导致侵犯个人信息犯罪的刑法适用遭遇构成要素内容含混不清的困境，这给司法实践的具体适用造成较大障碍，因此有学者建议取消“违反国家有关规定”这样的前置性条款。笔者认为，当务之急是尽快完善有关公民个人信息保护的法律、法规，制定专门的个人信息保护法，以提高前置法规的保护密度，充实侵犯个人信息犯罪的法律适用依据，防止因前置法规的不完善而阻却构成要件符合性，不当限缩该罪处罚范围，降低公民个人信息的刑法保护力度。

在个人信息保护法尚未出台的情况下，有必要对“违反国家有关规定”进行符合立法原意、司法实践和社会现状的解读。笔者认为，“违反国家有关规定”可以解读为：提供或获取公民个人信息“没有法律依据、法律授权和法律资格”，即无权提供或获取公民个人信息的行为人实施了提供或获取公民个人信息的行为，情节严重的，构成侵犯公民个人信息罪。这就要排除行为人具有法律依据、法律授权和法律资格的情形——依照法律的行为、执行命令的行为、正当业务行为、经权利人承诺的行为。具体来说，一是依职权提供或获取公民个人信息;二是经当事人同意提供或获取公民个人信息;三是提供或获取公民个人信息具有明确的法律依据、法律授权和法律资格。第一种情形，比如公检法机关在办理案件过程中因办案需要而依法提供或获取公民个人信息，显然是具有法律依据和法律授权的。但是，如果仅仅是在履行职责和提供服务的过程中有权接触公民个人信息，并无法律依据和法律授权可以获取或对外提供其接触的公民个人信息，那么其擅自将接触到的信息私自记录保存（收集）的行为就属于违反国家有关规定，获取公民个人信息的行为。第二种情形，以经权利人允诺而作为阻却违法的正当化事由，因为“信息自决权为个人信息保护立法的权利基础，公民个人信息权是公民个人自决权范围内的个人权利”[10]，所以在未经当事人同意或授权的情况下提供或獲取公民个人信息的，应以侵犯信息自决权作为认定行为违法的实质根据。从“违反国家有关规定”的角度讲，实际上违反了《网络安全法》《消费者权益保护法》《居民身份证法》等相关法律法规的内容，以及《民法总则》对公民隐私权、个人信息权的保护。那么，如果行为人不具备前述三种情形，则认为行为人提供或获取公民个人信息的行为“违反国家有关规定”，符合侵犯公民个人信息罪的行为方式要件。

由此可见，上文案例中通过尝试登录股票网站并排查注册号码从而获取股民手机号的行为、生活中的“人肉搜索”行为，都应当属于《刑法》第253条“以其他方法非法获取公民个人信息”中的“其他方法”，属于《解释》第4条“违反国家有关规定，通过购买、收受、交换等方式”中的“等方式”。其中“人肉搜索”行为，并非单纯地通过搜索引擎搜索网络公开信息的行为，而是通过某个网络ID在百度、微博、贴吧等各种公开和内置的搜索引擎搜索相关资料，再进一步将这些资料比对、分析、过滤，最终找到搜索对象的个人信息，其“人肉”到的信息通常都是搜索对象作为隐私进行保护的信息，而且后续往往伴随着网络公布和网络暴力行为，对搜索对象的生活安宁和人身安全造成极大的伤害。从获取信息的手段上来看，“人肉搜索”是一种积极、主动搜集他人隐私信息的行为，其可罚性并不低于购买、收受信息行为，而且“人肉搜索”行为并没有法律依据和法律授权，符合“违反国家有关规定”的前置性要件，情节严重的情况下应当入罪处理。