侵犯公民个人信息罪若干疑难问题的司法认定

刘 芳 葛晓娟

一、侵犯公民个人信息犯罪的概况

（一）公民个人信息保护面临多重风险

互联网大数据时代，信息资源的重要性凸显，个人信息成为竞相追逐的资源。信息畅通、数据共享为人们生活带来便利的同时，也使得个人信息安全面临着诸多风险。个人信息泄露问题严重，个人信息安全成为全社会高度关注的问题。目前，个人信息保护面临的风险主要有两个方面：

1.平台软件过度索权，公民个人信息暴露机会增多。获取用户权限是平台软件收集用户隐私数据的第一步。合法、正当、必要，是网络平台运营商采集用户信息的法定原则，然而，软件开发商过度索权已是不争的事实。

2.利益相关者寄生共存，数据黑市交易猖狂。在整个数据交易过程中，内鬼、黑客、爬虫软件开发商、清洗者、加工者、料商、买家等寄生于此，催生出一个巨大规模的数据黑市。[3]《大数据黑市调查：内鬼 黑客 清洗者 料商 买家等寄生的千亿产业链》，《证券时报》2021年3月24日，第1版。“内鬼”监守自盗是个人信息流入黑市的重要渠道之一。黑客、爬虫软件开发商则通过各种技术手段窃取公民个人信息。料商即数据的中间商，他们上通数据源头下达数据买家，层级越高的料商距离信息源头越近，所拥有的数据信息更全、更真实。从信息收集到信息贩卖再到信息利用，每一个环节环环相扣，形成庞大的“灰色产业链”。一些不法分子将获取到的公民个人信息用于实施违法犯罪活动。侵犯公民个人信息的犯罪不仅助长了传统违法行为向网络社会发展蔓延，也为许多违法犯罪提供信息源头，是电信网络诈骗、帮助信息网络犯罪、掩饰隐瞒犯罪所得等罪名的上游型犯罪。[4]喻海松编著：《侵犯公民个人信息罪司法解释理解与适用》，中国法制出版社2018年版，第22页。

（二）侵犯公民个人信息犯罪的立法沿革

2009年《刑法修正案（七）》增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，首次将侵犯公民个人信息行为入刑；2013年4月23日，最高人民法院、最高人民检察院、公安部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》；2015年8月29日，《刑法修正案（九）》（以下简称《刑修九》）第17条又将前述两罪修订为一个罪名——“侵犯公民个人信息罪”，将犯罪主体从特殊主体扩大到一般主体，并且增加了单位犯。2017年5月8日，最高人民法院、最高人民检察院发布《关于办理公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）。《解释》对侵犯公民个人信息犯罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定。从法律体系看，侵犯公民个人信息罪置于我国刑法分则第四章“侵犯公民人身权利、民主权利罪”，因此，其所保护的法益为公民人格权利与自由。从行为方式看，本罪主要有两种行为类型：一是违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的。二是窃取或者以其他方法非法获取公民个人信息。从犯罪主体看，本罪的犯罪主体是一般主体，且单位可构成本罪。

（三）侵犯公民个人信息罪的司法实践现状

以笔者所在检察院（以下简称“S院”）为例，自《刑修九》施行以来，S院共办理侵犯公民个人信息案件21件，经梳理，案件主要呈现以下特点：

1.所涉公民个人信息数量趋于庞大。由于信息技术的不断发展，批量处理和传递个人信息越来越便捷，案件所涉的公民个人信息数量呈现几何式爆炸增长。近五年间，S院办理案件所涉信息条数从普遍千余条到个别案件所涉信息十万条、百万条、千万条为普遍现象。

2.单条公民个人信息所含要素趋于缩减。考虑到商业推广效率和效果，嫌疑人购买数据时往往需要精准定位目标群体，偏重信息的针对性而非信息要素的齐备性。近年来，查获的公民个人信息中，姓名、年龄、地域、身份证号等与需求无关的要素一再删减，呈现“群体+手机号码”样态，如，车主群、宝妈群、女司机等，有的甚至表现为“文档序号+手机号码”。

3.公民个人信息泄露的源头趋于模糊。在个人信息的获取渠道中，如，因履行职责或者提供服务过程中获得公民个人信息，则信息源头较为明确。如，最初有诸如医院护士将新生儿信息出售给儿童摄影店的案件，信息泄露的源头明确，便于追责。近两年的案件中，嫌疑人获取信息的方式多为从信息中间商处购买、收受，信息泄露的源头难以查清。

4.公民个人信息的用途呈现两级分化。个人信息的用途或为商业推销，或专门出售牟利。众所周知，个人信息是商业推广中的重要资源，市场有对公民个人信息的需求，出售信息牟利的中间商随即产生。上述案件中，有16件属于将获取的公民信息用于业务推销，占案件量的76.19%；另有5人单纯为二次出售牟利而获取信息。

二、司法实践中的疑难问题梳理

（一）仅有手机号码是否认定为公民个人信息

如前所述，司法实践中查获的涉案单条公民个人信息所含要素趋于缩减，个别案件表现为“文档序号+手机号码”。如，S院办理的王某某侵犯公民个人信息案，其招募百余名员工，为京外的男士会所提供电话推销服务。民警从其办公电脑中查获上海、温州等地的手机号码700余万条，除了文档名称显示出号码归属地外，文档内仅有手机号码，不含姓名、身份、地址等其他要素，是否可以认定为公民个人信息呢？《解释》第1条规定：“刑法第253条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”可见，公民个人信息有两个属性，即与特定自然人的关联性和可识别性。手机号码的关联性毋庸置疑。根据工信部《电话用户真实身份信息登记规定》的相关规定，[5]《电话用户真实身份信息登记规定》第三条规定：“本规定所称电话用户真实身份信息登记，是指电信业务经营者为用户办理固定电话、移动电话（含无线上网卡，下同）等入网手续，在与用户签订协议或者确认提供服务时，如实登记用户提供的真实身份信息的活动。”当前，手机号码已基本实现实名登记，每个手机号码都对应特定的自然人。但关于仅有手机号码是否具有可识别性存在认识争议。有观点认为，手机号码不能单独识别特定自然人身份或反映特定自然人活动情况，不应认定为“公民个人信息”。有观点认为，在当前手机号码已实名登记的背景下，每个号码对应特定的自然人，结合其他信息能够识别公民身份，单纯手机号码应认定为公民个人信息。

（二）批量信息来源不明时能否认定为非法获取

从实践看，非法获取公民个人信息的方式主要表现为购买、收受、交换和采用技术手段侵入计算机信息系统。具体到个案中，侵犯公民个人信息罪的行为方式为非法获取时，一般应当查明获取的过程。如，通过购买获取公民个人信息的，一般需要有买家卖家的聊天记录、资金转账记录、公民个人信息传递记录、已查获的公民个人信息等证据，上述证据可形成一个完整的证据链证实购买公民个人信息的事实。然而，司法实践中大部分案件中，嫌疑人供述的上家及交易过程往往无法查证，即在案查获行为人持有大量的公民个人信息，却无法证实信息的获取手段是否合法。如，S院办理的陈某某侵犯公民个人信息案，从其随身携带的U盘内查获公民个人信息500余万条，其本人辩解U盘不是自己的，拒不供述信息来源。此类案件中，能否推定公民个人信息的获取手段“非法性”，存在认识分歧。有观点认为，刑法没有明文规定持有公民个人信息为犯罪行为，信息来源不明时如推定非法获取，属于不利于被告人的有罪推定。也有观点认为，对于信息来源不明的，嫌疑人拒不供述信息获取方式或者辩解与其身份、职业不相称，非法持有公民个人信息也应当认定为非法获取。

（三）向下属或者同案犯提供公民个人信息是否属于向“特定人”提供公民个人信息

《解释》第3条对于“提供公民个人信息”的认定作出规定。向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为“提供公民个人信息”，属于侵犯公民个人信息罪的一种行为方式。司法实践中，大部分案件中嫌疑人将获取的公民个人信息用于商务推广。在公司企业中，因商务推广掌握信息的人员上至经理、主管，下至组长、组员。如，S院办理的宁某某侵犯公民个人信息案，宁某某为某商贸公司负责人，其雇用人员进行电话推销破壁机，经营期间向公司经理发送大量公民个人信息，经理又依次转发给组长、组员。这种公司内部上级将公民个人信息提供给下级，或者共同犯罪中向同案犯提供的是否属于提供，存在认识分歧。有观点认为，“特定的人”与“不特定的人”是一个相对概念，“特定的人”指的是嫌疑人自身之外某个具体的人；有观点认为，“特定的人”应当做限制性解释，不包括公司下级或者同案犯；还有观点认为，对于个案中提供给下属使用的行为如何认定要结合公司的规章制度判断，不能一概而论。[6]肖友广、张争辉等：《侵犯公民个人信息刑事案件司法认定疑难问题研究》，《上海法学研究》第7卷（2019年），第151页。

（四）公开商业类信息所涉个人信息是否应予以排除

在公民个人信息中，有一类信息比较特殊，公民对于信息的公开和扩散持积极追求的态度。如，公司、企业在商业经营和推广时，会依照相关法律法规，公示公司、企业法定代表人、负责人的姓名、职务、经营地点、联系方式等个人信息。行为人自行通过网络搜集、整理这类信息无疑是合法的。但类似的公开信息被第一个人获取后，经过层层流转，后续的人有偿出售给其他人使用，是否构成侵犯公民个人信息罪。如，S院办理的林某某侵犯公民个人信息案，从其个人使用的电脑中查获公民个人信息二百余万条，林某某供认所有公民个人信息均通过他人购买，其中50余万条信息属于公司法人信息。在办理上述案件时，认定行为人非法获取的信息数量是否应当将公司法人信息予以排除。有观点认为，公开的公民个人信息不属于《刑法》第253条之一规定的“公民个人信息”的范畴，对该部分信息数量应当全部排除。有观点认为，按照《解释》第3条的规定，未经收集者同意，将合法收集的公民个人信息向他人提供，应认定以提供公民个人信息入罪，第一个获取公开信息的人可以不追究，但将公开信息再行提供给他人的，他人从中间商处获取的，则不应当排除。上述侵犯公民个人信息案件的认识分歧，导致司法人员对案件处理采取较为严苛保守的态度，部分案件不能提起公诉或者仅认定少量公民个人信息，难以实现对侵犯公民个人信息行为的充分制约和打击，故迫切需要对上述问题进行明晰。

三、侵犯公民个人信息罪常见疑难问题的司法认定

对于以上司法实践中的争议问题，需结合公民个人信息的权利属性、侵犯公民个人信息的犯罪特点和规律、刑事立法本意以及刑事犯罪的基本理论等方面探寻上述疑难问题的解决路径。

（一）仅有手机号码应认定为公民个人信息

单独一条手机号码是否能成为一条公民个人信息，对这个问题的争议归根结底在于对“公民个人信息”的权利属性的界定。有学者认为，刑法对于“公民个人信息”的保护，可以概括为两类：一类是保护个人身份认证信息的典型侵犯公民个人信息罪。另一类是通过对可能涉及公民人身、财产的信息进行保护进而保护公民人身、财产的信息。[7]于志刚：《“公民个人信息”的权利属性与刑法保护思路》，《浙江社会科学》2017年第10期，第8页。笔者认同这样的分类，手机号码就属于可能涉及人身、财产的重要信息，单个手机号码应认定为一条公民个人信息。理由有以下几点：

1.手机号码具有关联身份的属性。在当前，电话用户实名登记的背景下，手机号码不仅是传统的联系方式，更是重要的身份认证方式，手机号码多与银行账户、购物网站、社交娱乐的账号绑定，人们对手机号码的忠诚度日益提高，号码的专属性和私密性更加重要。

2.手机号码属于可能涉及公民人身、财产的信息。手机号码相对于其他信息，有不受地域限制、可直达接收者的特点，便于信息的利用者对信息接收者施加影响从而实现自己的目的。从司法实践看，查获的手机号码往往具有其他特征，如，反映特定的地域、性别、职业、消费群体、资产状况、兴趣爱好等，一般具有很强的目的性和指向性。

3.将手机号码视为公民个人信息符合社会大众的一般认知。近年来，诸如贷款理财、房产中介、教育培训等骚扰电话经常侵扰人们的日常生活，号码泄露带来的骚扰电话不仅影响着个人的通讯体验，还让违法犯罪行为有可乘之机。个体对手机号码的保护意识不断增强，对泄露公民个人信息、买卖个人信息的行为普遍深恶痛绝，应当纳入刑罚打击的范围。

（二）批量信息来源不明时应综合认定是否系“非法获取”

与非法获取公民个人信息相对的概念是合法取得，合法取得的途径大致分为两类：一是有意主动获取型，如依法履行职责、提供服务过程中搜集的公民个人信息，利用网络平台、传统媒体等公开途径收集公民个人信息。二是无意被动接受型，如拾得公民个人信息，使用二手设备发现有他人存储的公民个人信息，客户主动致电垂询留存的信息等。批量信息来源不明时，且嫌疑人拒不供认或提出关于信息来源的具体辩解时，应当根据已查明的嫌疑人身份、所在行业、所从事职业综合判断，如不能排除有合法获取或接受与查获信息类型相当的公民个人信息，则不能认定其非法获取。但对于排除合法获取可能的案件，即来源不明且无权持有是否可以认定为“非法获取”？笔者对此持肯定观点，该认定逻辑不是有罪推定，而是没有直接证据认定时根据间接证据认定“非法获取”。需要注意的是，使用间接证据认定时应当严格遵循间接证据的适用规则，可参照最高人民法院《关于适用〈中华人民共和国刑事诉讼〉的解释》第140条的规定。

（三）向下属或者同案犯提供公民个人信息不宜认定为“非法提供”

在公司内部上级将公民个人信息提供给下级，或者共同犯罪中向同案犯提供的是否属于“非法提供”。笔者认为，应当结合立法本意对“特定人”作限制性解释。理由如下：

1.从立法目的看，刑事立法将“非法提供公民个人信息给他人”的行为作为刑法打击对象，是因为提供行为可能导致后续信息的继续扩散及传播。领导提供给下属用于公司日常运营，信息在公司内部流转，未向外扩散。

2.从公民个人信息的价值来看，信息的价值绝不是为了占有，而是为特定用途服务。对于公司内部，上级非法获取公民个人信息后，仅用于个人占有是没有意义的，上级必然将非法获取的公民个人信息向下属提供，如下属与上级之间如无非法获取信息的事先共谋，仅根据领导的安排使用信息，领取工资报酬，这里的提供行为实际上是上级对违法获取信息的使用。

3.从提供行为的性质来看，上级非法获取公民个人信息后向下级提供属于事后不罚行为。该行为类似于盗窃罪中窃取他人财物并使用，对于上级来说属于事后不可罚行为，不能再以提供行为对其进行处罚。当然，如果下属再将信息向外扩散，则可以另行追究下属的责任。而同案犯之间，基于不同的分工，有人负责获取信息，有人实施其他行为，非法获取公民个人信息后提供给同案犯使用，因未超出共同犯罪故意的范畴，应当认定共同犯罪人均属于非法获取公民个人信息，共犯内部之间的提供行为不再单独处罚。

（四）公开商业类信息所涉个人信息应当应予以排除

一般认为，公民个人信息一定程度上是从隐私权中分离出来的权利，侵犯公民个人信息罪所保护法益的重要方面应为个人隐私和生活安宁。公开的商业类信息所涉个人信息应当与单独个体的公民个人信息作区别对待，不宜认定为公民个人信息。从权利人对信息传播持有的态度看，公开的广告信息、商贸信息中所涉的个人信息，其权利人往往是自愿甚至主动公开个人信息，希望相关信息传播。而一般社会个体对其个人信息持有保守态度，以保密为原则、公开为例外，不希望自己的信息传播。[8]喻海松编著：《侵犯公民个人信息罪司法解释理解与适用》，中国法制出版社2018年版，第22页。当前，我国侵犯公民个人信息犯罪泛滥，公民个人信息保护水平整体不高，更宜侧重保护未公开的公民个人信息。在计算查获公民个人信息数量时，应当将公开商业类信息所涉个人信息部分予以排除。