侵犯公民個人信息罪客觀方面認(rèn)定問題研究

孫偉　劉靜　張愷　任楚翹

摘 要 兩高2017年發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》確立了該罪名法律適用的基本標(biāo)準(zhǔn)，本文依據(jù)刑法及最新司法解釋對“公民個人信息”、“違反國家有關(guān)規(guī)定”、“以其他方法非法獲取公民個人信息”三個仍存爭議的概念進(jìn)行深入解讀，以期為司法實踐提供參考。

關(guān)鍵詞 侵犯 公民 個人信息 保護(hù)

作者簡介：孫偉、劉靜、張愷、任楚翹，北京市朝陽區(qū)人民檢察院。

中圖分類號：D924.3 文獻(xiàn)標(biāo)識碼：A DOI：10.19387/j.cnki.1009-0592.2018.02.145

《刑法修正案（七）》增設(shè)了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，《刑法修正案（九）》又將其整合為侵犯公民個人信息罪，從刑事立法角度對個人信息提供全面保護(hù)。最高人民法院、最高人民檢察院發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋【2017】10號，下簡稱《解釋》）進(jìn)一步統(tǒng)一了該罪名的適用標(biāo)準(zhǔn)。作為一種新的犯罪類型，侵犯公民個人信息罪在司法實踐中仍有許多問題需要破解。既要加強人權(quán)司法保障，運用刑法手段有效遏制個人信息非法擴散、利用的態(tài)勢，切實保障公民信息權(quán)利，又要根據(jù)刑法謙抑性原則，合理劃定犯罪圈，為正當(dāng)?shù)男畔⑹占褪褂锰峁┲贫瓤臻g，有必要深入探討“公民個人信息”、違反國家有關(guān)規(guī)定”和“以其他方法非法獲取公民個人信息”的司法認(rèn)定。

一、“公民個人信息”的含義

“公民個人信息”的認(rèn)定，是正確適用侵犯公民個人信息罪的關(guān)鍵。刑法條文本身并沒有對這一個概念作出明確界定，《解釋》第1條采用定義加列舉的方式作了規(guī)定，為判定公民個人信息提供了基本依據(jù)，但該概念仍需要進(jìn)一步闡釋。

（一）“公民”概念的把握

《刑法修正案（七）》增設(shè)本罪名時即在“個人信息”前加上了“公民”二字，《刑法修正案（九）》繼續(xù)保留了條文中的“公民”一詞，而且將該條第二款中的“上述信息”也改為“公民個人信息”。如果嚴(yán)格按照《憲法》、《國籍法》對公民的界定，刑法對個人信息的保護(hù)僅及于中國公民。但無論是從平等保護(hù)出發(fā)，還是從有效打擊犯罪出發(fā)，對中國公民、外國公民、無國籍人的個人信息都應(yīng)該一視同仁。實踐中，運用刑罰手段保護(hù)個人信息，沒有必要也不大能可實現(xiàn)“中外有別”。有觀點認(rèn)為，《刑法》第253條之一出現(xiàn)“公民”扭曲了其本來概念，從簡潔和避免解釋誤區(qū)出發(fā)，應(yīng)當(dāng)刪除“公民”一詞。 但是，能夠用刑法解釋的解決的問題就不應(yīng)該訴諸頻繁的修法。合理解釋“公民”一詞，不能拘泥于該用語在其他法律中的基本含義，也應(yīng)考慮該詞在刑法中的規(guī)范含義。從體系解釋角度看，刑法分則多處使用“公民”一詞，如分則第四章章名為“侵犯公民人身權(quán)利、民主權(quán)利罪”，此處的“公民”顯然也不能解釋為國籍法意義上的中國人，外籍人士當(dāng)然也應(yīng)該得到刑法保護(hù)。從解釋原則來看，對“公民”作擴大解釋，并沒有超出國民預(yù)測可能性的范圍。刑法具有獨立性，依照刑法規(guī)范的目的，擴大國籍法“公民”概念的外延，仍然在刑法用語可能具有的含義內(nèi)，不違反罪刑法定原則。

（二）“個人信息”的內(nèi)涵與外延

互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算等新技術(shù)飛速發(fā)展，個人信息的數(shù)量不斷膨脹，內(nèi)容愈加龐雜，將海量的個人信息全部納入刑法保護(hù)范圍，既不可能也無必要。隨著數(shù)字經(jīng)濟的出現(xiàn)，個人信息不僅是應(yīng)受保護(hù)的權(quán)利，也是信息產(chǎn)業(yè)發(fā)展的重要資源，是社會公共管理的基礎(chǔ)設(shè)施。保護(hù)個人信息，必須兼顧權(quán)利全面保護(hù)的要求和信息流通自由的需要，既要防止信息濫用，也要防止信息禁錮。對個人信息作限制解釋，嚴(yán)格劃定犯罪圈，也是刑法謙抑性的要求。

《解釋》從可識別性的角度定義個人信息，強調(diào)其對于“識別特定自然人身份或反映特定自然人活動情況”的作用。只有與個人身份的緊密聯(lián)系的信息，即反映身體特征、社會特征，能夠直接或間接地用于識別信息主體身份的信息，才能進(jìn)入刑法視野。個人信息的可識別性，可以細(xì)分為主體可識別性與信息本身可識別性兩方面。

主體可識別性，即信息內(nèi)容與信息主體具有關(guān)聯(lián)性，反映信息主體專屬的某些特征，用于識別特定主體的身份，通過信息可以將個人“認(rèn)出來”。正是可識別性，讓個人信息具有個人專屬性，從而與人格尊嚴(yán)聯(lián)系起來，具有了法律保護(hù)價值 。個人對與其身份相關(guān)的信息的掌控，是自主決定私人生活的重要表現(xiàn)，承載著個人自決等人格利益。法律保護(hù)個人信息，是對個人掌控其信息的尊重，體現(xiàn)著信息時代的人格平等。而濫用個人信息，既是對信息主體生活的滋擾，也是對信息主體的人格尊嚴(yán)的貶損。沒有主體可識別性的信息，不可能影響到個人法益，也就無需刑法保護(hù)。主體可識別性并不要求信息直接指向個人，信息組合或者信息簡單處理后指向個人的，也應(yīng)視為具有主體關(guān)聯(lián)性。信息指向個人的必須是真實存在的，虛假個人信息不可能與任何主體關(guān)聯(lián)，也就不具有法律保護(hù)的意義。判斷可識別性，應(yīng)當(dāng)考慮信息獲取者或信息使用者可能利用到的識別特定人身份的一切方法。比如判斷IP地址、cookie信息等是否屬于“個人信息”，應(yīng)當(dāng)著重審查行為人是否有能力通過這些信息查找、鎖定現(xiàn)實世界中的公民身份，網(wǎng)絡(luò)運營商與普通網(wǎng)絡(luò)使用者的識別能力顯然是不同的。經(jīng)過技術(shù)處理即可識別身份信息的原始數(shù)據(jù)當(dāng)然屬于個人信息，而經(jīng)處理后無法識別特定個人亦不能復(fù)原的數(shù)據(jù)則應(yīng)排除在外。識別特定主體的個性特征與識別主體身份應(yīng)作區(qū)別對待。 去身份化處理之后的網(wǎng)絡(luò)購物記錄，不能特定化至明確的信息主體，不具有侵害人格尊嚴(yán)的潛在危險，提供、出售此類信息也就不應(yīng)納入刑法調(diào)整范圍。

信息本身的可識別性即信息在一定程度上具有穩(wěn)定性、靜止性、不變性和可復(fù)制性。 通常意味著信息以某種形式記錄、固定下來。個人信息本身不是有體物，對其進(jìn)行控制體現(xiàn)在對收集、處理、利用的授權(quán)與禁止，而這些操作都是針對特定載體的。信息本身不具有可識別性，非法利用信息的可能性也不存在。

有觀點認(rèn)為，個人信息在可識別性之外，還應(yīng)具有“法益關(guān)聯(lián)性” 、“商業(yè)性使用價值” 。事實上，可識別性已經(jīng)決定了個人信息關(guān)乎人格尊嚴(yán)，與個人法益高度關(guān)聯(lián)，具有刑法保護(hù)之必要，再設(shè)置“法益關(guān)聯(lián)性”的標(biāo)準(zhǔn)實屬疊床架屋。而具有商業(yè)價值的標(biāo)準(zhǔn)則過于主觀。同樣的信息，對某個使用者可能具有極高的商業(yè)價值，而對另一個使用者則毫無用處，采用這樣的標(biāo)準(zhǔn)無疑會引起司法判斷的混亂。

準(zhǔn)確把握“個人信息”外延，必須明確個人信息不等于隱私，還應(yīng)包括公開的個人信息。有觀點認(rèn)為，“并非所有的個人信息都是刑法調(diào)整的對象，只有個人信息中體現(xiàn)著個人隱私權(quán)的那一部分信息才屬于刑法保障的范圍” 。這種將個人信息等同于隱私的論斷不可取。首先，個人信息不等于隱私，許多個人信息具有一定程度的私密性，但是民法上的個人信息權(quán)與隱私權(quán)有著嚴(yán)格界分，二者的權(quán)利屬性、權(quán)利客體、權(quán)利內(nèi)容和保護(hù)方式均不相同。 個人信息既包括較敏感的隱私信息，也包括一般信息。這一點也為立法機關(guān)所接受，全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》第 1 條第 1 款即規(guī)定“國家保護(hù)能夠識別公民個人身份和涉及公民個人隱私的電子信息”。其次，個人信息權(quán)的實質(zhì)是對個人信息的控制，部分信息即使在一定范圍內(nèi)已公開也仍應(yīng)視為受到主體有意識的控制，比如親友間掌握的電話號碼、家庭住址等信息。權(quán)利主體對此類信息再擴散與再利用的掌控，理應(yīng)受到法律保護(hù)。再次，大數(shù)據(jù)時代下，公開的個人信息可能與社會公共利益、國家安全有關(guān)。

司法實踐中，判斷個人信息還應(yīng)充分考慮公共利益。遵循信息公開原則，特定人員的個人信息在一定程度內(nèi)可能不屬于法律保護(hù)的對象，比如與公職人員職務(wù)相關(guān)的個人信息。收集、匯總公職人員財產(chǎn)申報后的公示信息、公車所在位置一般不應(yīng)構(gòu)成犯罪。此外，部分個人信息與公共生活有關(guān)，也可能存在國家強制收集、使用的情況，比如個人征信系統(tǒng)。

二、“違反國家有關(guān)規(guī)定”的認(rèn)定

由于我國尚未頒布《個人信息保護(hù)法》，全國人大或國務(wù)院層面的限制性、列舉性法律法規(guī)缺失，如果以《刑法》第96條對“國家規(guī)定”設(shè)定的標(biāo)準(zhǔn)，侵犯公民個人信息罪中的“違反國家有關(guān)規(guī)定”將面臨無法可依的窘境?！督忉尅返?條將“國家有關(guān)規(guī)定”解釋為“法律、行政法規(guī)、部門規(guī)章有關(guān)公民個人信息保護(hù)的規(guī)定”，擴充了參照法規(guī)的范圍，但前置法律明確性的問題又凸顯出來。有關(guān)個人信息保護(hù)的規(guī)范散見于民法、行政法之中，刑事立法上的指代不明，意味著法官找法存在現(xiàn)實困難。從司法實踐看，幾乎沒有法官在判決中援引法律、法規(guī)條文來說明被告人違反的具體法律法規(guī)。但是，這并不意味著“違反國家有關(guān)規(guī)定”是無效條款。應(yīng)將“違反國家有關(guān)規(guī)定”理解為對違法阻卻事由的提示，即“違反法律有關(guān)規(guī)定”只為特別提示司法工作人員注意：單位或個人依據(jù)法律法規(guī)等規(guī)范性文件而獲取、提供、出售公民個人信息的，具有違法阻卻事由，不成立該罪。

刑事立法上適用“違法”等表述，既可能是空白罪狀，需要法官另外找法，也可能“僅僅是對于（作為犯罪的一般要素的）違法性的一種沒有什么特殊意義的提示。” 《刑法》第253條的規(guī)定正屬于后者。首先，“違反國家有關(guān)規(guī)定”并不是侵犯公民個人信息的本質(zhì)特征，并非真正的構(gòu)成要件要素。個人信息權(quán)的核心是主體對個人信息的支配和自主決定。 出售、提供、非法獲取的可罰性主要在于侵害了主體的信息自決權(quán)，而不是違反了特定的法律。在國家對公民個人信息提供全面保護(hù)的情況下，如果沒有法律的特殊許可對提供、獲取公民個人信息的行為加以正當(dāng)化，則行為已經(jīng)是違法的。反之，因為存在著合法地提供或獲取公民個人信息的情況，即使刪去“違反國家有關(guān)規(guī)定”，個案判斷中對違法阻且事由的審查也必不可少。其次，從刑法體系角度看， 刑法分則第四章、第五章中出現(xiàn)“違反國家有關(guān)規(guī)定”的條文較少，即使出現(xiàn)也只是“弱意義”的構(gòu)成要件，無須前置配套的專門性法律法規(guī)。 再次，強調(diào)行政違法性作為入罪前提條件，一定程度上構(gòu)成了本罪司法適用的障礙。 如果將“違反國家有關(guān)規(guī)定”作為構(gòu)成要件要素，意味著司法機關(guān)承擔(dān)著查明行為違反的具體行政管理法規(guī)的責(zé)任，而且必須說明違反的具體條款。該表述沒有也不可能指明各種法規(guī)的具體條文與國家規(guī)定的具體內(nèi)容，只能導(dǎo)致處罰范圍的不明確。結(jié)局是，要么不當(dāng)擴大處罰范圍，要么不當(dāng)縮小處罰范圍。 在個人信息保護(hù)立法缺位的情況下，這種要求只會加重司法負(fù)擔(dān)，影響刑法適用效果。

“違反國家有關(guān)規(guī)定”只具有提示違法阻卻事由的意義，不要求司法裁判時尋找到對應(yīng)的具體的行政法律規(guī)范。在認(rèn)定侵犯公民個人信息罪時，一般只需要查明行為符合客觀構(gòu)成要件，沒有違法阻卻事由，就可以肯定行為是違法的，不需要查明符合客觀構(gòu)成要件的行為是否違反了其他法律或行政管理法規(guī)，也不需要以刑法以外的法律法規(guī)有“追究刑事責(zé)任”等規(guī)定為前提。司法實務(wù)界的觀點認(rèn)為，“對判斷依據(jù)‘國家有關(guān)規(guī)定可以作相對靈活的把握，只要有一般性規(guī)定即可，而不應(yīng)要求專門性規(guī)定?！?現(xiàn)實的判決也大多采納了這種做法。

三、“以其他方法非法獲取公民個人信息”的理解

侵犯公民個人信息的手段多樣，出售、提供、竊取等形式較為常見，而具有兜底性質(zhì)的“以其他方法非法獲取公民個人信息”則存在一定爭議，有必要加以辨析。

《解釋》出臺前，對于“非法”有多種理解。有觀點認(rèn)為“非法”應(yīng)理解為違反法律的禁止性規(guī)定。 也有觀點認(rèn)為，“非法”并不等同于手段的非法性，只要沒有法律依據(jù)或資格就構(gòu)成“非法”。 《解釋》第四條將“非法”定義為“違反國家有關(guān)規(guī)定”。從體系解釋原則出發(fā)，兩處規(guī)定的實質(zhì)均是提示違法阻卻事由。 除法律強制收集個人信息或公民個人自愿等存在合法依據(jù)的情況外，其他方法獲取公民個人信息均屬非法。非法獲取不僅包括盜取、騙取、暴力脅迫等自身具有非法性的手段，《解釋》列舉的購買、交換等較中性的行為當(dāng)然也可構(gòu)成。

“非法”的本質(zhì)是對信息主體信息自決權(quán)的侵犯，這是判斷其他方法是否構(gòu)成犯罪的重要依據(jù)，至于方法本身是否合乎道德倫理、公序良俗在所不問。通常而言，信息主體對信息的支配表現(xiàn)為收集、使用和對外提供。 現(xiàn)代社會生活，就是一個不斷交換信息的過程，每個人在社會交往中都或多或少地自愿提供一部分個人信息并許可他人使用，獲取這類信息顯然并不構(gòu)成對信息自決權(quán)的侵犯。因此，從第三人處打聽某人住址、電話等信息，從網(wǎng)絡(luò)、報刊等公共信息發(fā)布渠道收集、整理公民個人的公開信息（如人肉搜索），即使行為人主觀上具有惡意，即使行為可能對他人生活造成影響，也不能認(rèn)定為侵犯公民個人信息罪。除了有意識地對外提供信息，個人在公共空間的行動軌跡、接觸人員等信息也屬于公開信息。即使信息主體可能不希望他人掌握這些情況，但卻并不具有對這部分信息的支配權(quán)，所以單純采取盯梢方式跟蹤、狗仔偷拍等也不構(gòu)成犯罪。但是，安裝跟蹤器或竊聽器調(diào)查行蹤、使用高倍望眼鏡拍攝他人住宅內(nèi)活動，獲取的信息超出了公開信息的范疇，應(yīng)屬于非法獲取。

注釋：

趙秉志.公民個人信息刑法保護(hù)問題研究.華東政法大學(xué)學(xué)報.2014（1）.

王利明.論個人信息權(quán)在人格權(quán)法中的地位.蘇州大學(xué)學(xué)報.2012（6）.70-71.

高富平、王文祥.出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護(hù)的法益為視角.政治與法律.2017（2）.53.

葉良芳、應(yīng)家赟.非法獲取公民個人信息罪之“公民個人信息”的教義學(xué)闡釋——以《刑事審判參考》第1009號案例為樣本.浙江社會科學(xué).2016（4）.

張玉潔.論“非法獲取公民個人信息罪”的司法認(rèn)定——基于190件案例樣本的分析.華東政法大學(xué)學(xué)報.2014（6）.

蔡軍.侵犯個人信息犯罪立法的理性分析——兼論對該罪立法的反思與展望.現(xiàn)代法學(xué).2010（4）.

王利明.論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心.現(xiàn)代法學(xué).2013（4）.

張明楷.刑法學(xué)（第五版）.法律出版社.2016.922.

[德]烏爾斯·金德霍伊澤爾著.蔡桂生譯.刑法總論教科書（第六版）.北京大學(xué)出版社.2015.71.

王利明.論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心.現(xiàn)代法學(xué).2013（4）.67.

曲新久.“公民個人信息”的超個人法益屬性及其構(gòu)成要件的意義——兼評《刑法修正案（九）》對于侵犯公民個人信息罪的修改.偵查監(jiān)督指南.2015年第3輯.38，39.

劉憲權(quán)、方晉曄.個人信息權(quán)刑法保護(hù)的立法及完善.華東政法大學(xué)學(xué)報.2009（3）.125.

張明楷.刑法立法的發(fā)展方向.中國法學(xué).2006（6）.

喻海松.侵犯公民個人信息罪司法適用探微.中國應(yīng)用法學(xué).2017（4）.181.

王昭武、肖凱.侵犯公民個人信息犯罪認(rèn)定中的若干難問題.法學(xué).2009（12）.151.

陳璐.論《網(wǎng)絡(luò)安全法》對個人信息刑法保護(hù)的新啟示——以兩高最新司法解釋為視角.法治研究.2017（4）.93.