侵犯公民个人信息罪中“公民个人信息”的认定问题研究

徐 玲

金华市人民检察院，浙江 金华 321000

《刑法》第253条中侵犯公民个人信息罪所规定的行为要件是“违反国家有关规定，向他人出售或提供公民个人信息，情节严重的”；2017年5月，“两高”发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对罪名中侵犯的对象“公民个人信息”，有了更为详细的列举式规定。但是，侵犯公民个人信息犯罪类案件数量急速增长，侵犯公民个人信息犯罪越来越多的与网络诈骗犯罪等产生关联，司法界因此而面临着更为严峻的挑战。

一、刑法层面的“公民个人信息”

（一）认定“公民个人信息”应当遵循的原则

刑法是一部单独的部门法，它的目的就在于有效的对犯罪行为进行惩罚、保护法益。在侵犯公民个人信息罪中，“公民个人信息”就是刑法需要保护的其中一个法益。法益，也就是在传统刑法理论中所言之“犯罪客体”，从它受侵害的方面考虑，称之为“被害法益”；在它受到保护的方面来考虑，被称为“保护法益”。张明楷教授在其著作中提出了认定法益所须遵循的原则，于是本文将结合公民个人信息的特征，总结出认定该信息所应当遵循的以下原则：

首先，“公民个人信息”应与公民的个人利益有关。法律都是为某种社会利益而生，正如来自日本的美农部达吉学者所言，“法是利益的规律，法也正义的规律。如果说利益是法的目的，那么正义便是法的最高标准，这二者并不是相互矛盾、相互对立的。”其次，作为侵犯公民个人信息罪的法益的“公民个人信息”，必须与刑法相关联。即便是主体的需求的利益，若不与刑法相关联，也不能认定其为法益。再次，所认定的“公民个人信息”应当属于宪法所保护的法益。宪法是根本法，宪法所规定由刑法保护的利益，当属刑法所认定的法益。最后，所认定的“公民个人信息”，需具备可侵害性。

（二）“公民个人信息”法律性质的界定

目前在理论界，我国主要存在以下四种对公民个人信息的法律性质认定的主流学说，持有信息权说、隐私权说、所有权说、人格权说。

持有信息权说的重点在于将信息权打造成一种本源性的权利，呼吁增强对信息权利的专门性关注，该学说认为，信息权并不是目前大众认知中的人格权或隐私权的一部分，以使其成为一项专门性的、与其他权利有所区分的公民基本权利。

隐私权①说公民不希望公之于众，或让他人知晓其个人隐私的权利。有一些学者的观点认为，该罪所侵害的，是双重乃至多重法益，如信息自由安全权和隐私权，以及个人信息安全权、人身财产安全权、隐私权与生活秩序安宁权均属所要保护的法益。

根据所有权说的观点，“公民个人信息”的含义应当是，为了满足自身、他人的利益需求，收集信息，建立数据、资料库，这些信息的整合者被称为信息的所有权人，并能够在所整合的这一范围内，享有对于这些信息完整的权利。

人格权说②，认为公民个人信息的法律性质如同公民的人身权利、人格尊严与个人自由；本文认为，“公民的个人信息”与人格权是一种包含、交叉的关系，将人格权说与持有信息权说综合考虑，加强对信息持有者权益的保护，最有利于保障公民对自己的个人信息能够享有充分、完整的权利。认定“公民个人信息”的法律性质，若仅从法益的视角来看待，那么对于应对目前犯罪高发的现实情况显然是不够的。若要更加准确的认定刑法层面的“公民个人信息”，本文认为有必要从立法方面入手，细化具体界定，并进行更深一步的探讨。

二、实践中公民个人信息范围认定的争议问题

根据前述“两高”《解释》第1条，以列举的方式提出，刑法层面“公民个人信息”的范围包括身份证件号码、住址、账号密码等，能与其他信息结合识别特定自然人身份、或反映出特定的自然人活动动态的各种信息。根据目前的实践情况，在具体的刑事案件中对于“公民个人信息”认定的争议仍然未有定论，最主要的争议体现在对于主体范围的认定包不包含外籍人士和无国籍人，包不包含“公开的信息”、“公民个人信息”具体的可识别性应怎样判断等3个方面的问题。

（一）“公民个人信息”主体范围

对于“公民个人信息”主体范围，应当从广义的角度来理解与解释，这其中应包含中国公民和外籍人士、无国籍人的个人信息。对于刑法的条文表述方式，如果是对于主体有限定的，一般会有明确的相关规定予以说明。对于侵犯公民个人信息罪，刑法所规定的对象，表述没有采用“中华人民共和国公民个人信息”这样的限定，而是表述为“公民个人信息”，所以该罪名的犯罪对象“公民个人信息”中的“公民”不仅指代中国公民，也指外籍人士与无国籍人士。

（二）能否排除公开的个人信息

实践中，涉嫌侵犯公民个人信息罪的嫌疑人可能会辩称其信息是通过一些公开渠道获得，以开脱罪名，那么对于通过网络等方式向公众公开的个人信息是否也属于刑法的保护范围，在实践中尚未有定论，在《解释》第1条中，对于“公民个人信息”的定义，并没有采用“涉及个人隐私信息”的表述。在学术界，学者们也普遍认为“个人隐私”与“个人信息”的涵盖范围或属交叉关系。故在该罪中，“公民个人信息”并不必须具有个人隐私性，已经公开的信息也可能被认定为刑法层面的犯罪对象。本文认为，1、应查明该信息的公开是否基于依法公开的理由。对于依法公开的个人信息，此时的获取、提供等行为，参照征信相关条例内容，不违反国家相关规定，该行为也就属于合法。2、判断公开的信息是信息主体是否基于自愿。构成该罪的前提是“违反国家有关规定”，当信息主体自愿、主动公开相关信息，行为人获取信息后，出售或者提供该信息，是否需要权利人的再次允许，目前缺乏明确规定，故这种情况不应当认定为“违反国家有关规定”，故不构罪。此外，权利人对信息主动、自愿公开，对可能引发的后果也具有相当程度的可预见性。

（三）“公民个人信息”的可识别性

“公民个人信息”，在刑法层面，必须与特定自然人产生关联，即通过该信息，能够识别特定自然人身份、获取特定自然人的活动动态。通过对能够识别特定个人活动状态的信息作出一些特殊处理，导致无法识别出特定的个人，并且该信息无法恢复处理前的状态，便不能认定为这一信息具有可识别性。但是，在实践中，对于部分关联信息，到底哪些达到了“公民个人信息”的要求，仍没有达成完全一致的意见。在判断该信息的可识别程度时，可从行为人的主观目的、该信息与其他相关信息的联系程度等方面综合判断。

三、如何认定公民个人信息

针对以上对公民个人信息法律性质的梳理比较，及目前争议问题的分析，本文认为认定公民个人信息需要从以下四个方面把握：1.从公民个人信息的属性考量。“公民个人信息”具有可识别性、法益性、关联性等特性，对“公民个人信息”的认定，应考量其附着的法益对人身财产、隐私、生活安宁方面侵害的程度与可能性，优先保护事关公民切身利益的信息。2.从个人信息的用途考量。在判断时应结合信息的用途，对其行为的法益侵害性、社会危险性等进行综合考虑，以防止打击面过宽。3.对于公民个人信息的排除。本文认为，对以下两种类型的信息可予以排除：一是依法公开的个人信息，如在国家企业信用公示系统公开的企业法人信息；二是为维护公共利益而公开的个人信息，比如对失信被执行人身份信息的进行公开，以保证社会公众的知情权；4.刑法作为法律体系的“最后一道防线，”在从刑法层面认定“公民个人信息”时，需要牢牢把握住刑法的谦抑性原则，防止不当扩大“公民个人信息”的认定范畴，导致泛刑化的产生。此外，应当在刑事政策加大处罚力度与有利于被告人原则间找到平衡点。

注释：

①周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研充报告[M].北京：法律出版社，2006.48.

②李源粒.网络数据安全与公民个人信息保护的刑法完善[J].中国政法大学学报，201（54）：69.