论侵犯公民个人信息犯罪的司法认定

“侵犯公民人格权犯罪问题”课题组

（上海市虹口区人民检察院，上海200082；上海市人民检察院第一分院，上海200052）

论侵犯公民个人信息犯罪的司法认定

“侵犯公民人格权犯罪问题”课题组

（上海市虹口区人民检察院，上海200082；上海市人民检察院第一分院，上海200052）

《刑法修正案(七)》将侵犯公民个人信息的犯罪行为纳入刑法调整范围，由于该修正案对该行为的规定比较原则和概括，特别是对于如何认定公民个人信息的范围、如何界定情节严重的标准等都没有明确规定，也未有相关司法解释予以完善，导致司法实践中法律适用疑问很多。侵犯公民个人信息的犯罪对象仅指自然人的信息，不包括法人和其它组织的信息，犯罪主体不应仅限于利用公权力采集信息的单位和个人。“非法获取公民个人信息”是指违反法律禁止性规定，窃取、收买、交换或以其它不正当方法获取公民个人信息的行为。认定“情节严重”应结合犯罪事实、犯罪情节、危害后果进行综合考量。

公民个人信息；非法获取；情节严重；个人数据

信息化是现代社会发展的重要标志之一。个人信息作为信息资源的一部分，无疑具有极其特殊的地位，往往附带巨大的经济价值，1而泄露和非法利用个人信息将严重威胁公民的人身权利和财产安全。早在2003年国务院信息办就委托科研单位调查研究，并于2005年形成《个人信息保护法（专家建议稿）及立法研究报告》，2008年《个人信息保护法（草案）》呈交国务院审议，但由于种种原因至今尚未出台。2009年2月全国人大常委会审议通过的《刑法修正案（七）》首次将公民个人信息纳入刑法保护范围，设立了两个罪名，即出售、非法提供公民个人信息罪和非法获取公民个人信息罪。自全国首例侵犯公民个人信息犯罪案在广东宣判后，新疆、浙江、北京、上海等地也相继报道了各地首例侵犯公民个人信息犯罪案件。因《刑法修正案（七）》颁布时间不长，相关法律及司法解释均未出台，法律条文的具体含义也未能达成共识，导致司法机关在适用法律时产生了很多的困惑。2当然，《刑法修正案（七）》出台后理论和实务界针对法律适用中遇到的问题对该罪名的具体解释作了不少有益的探讨。本文围绕司法案例，针对司法实践中出现的法律适用难点提出建议。

一、“公民个人信息”的内涵与外延

由于我国尚未制定专门的公民个人信息保护法律，现有其他法律法规亦无有关公民个人信息的规定，因此在司法实践中对于如何确定刑法保护的公民个人信息的范围有较大的争议。纵观世界各国个人信息保护立法，有的采用个人信息（personal information）的概念，如日本的《个人信息保护法》（Act on the Protection of Personal Information），也有的采用隐私（privacy）的概念，如美国的《隐私法》（Privacy Act），3还有的采用个人数据（personal date）的概念，如德国的《联邦个人数据保护法》（Federal Data Protection Act）。4从概念的基本内涵来说，三者大体一致，从立法动机和基本原则来说，三者的背景也基本一致。从权利基础来说，个人信息、个人数据的概念和隐私的概念代表着当今世界两种保护公民个人信息的模式，即人格权保护模式和隐私保护模式。前者如德国等国家，坚持个人对其个人信息的控制而实现其维护主体人格权和人格尊严的价值理念，强调对个人信息，尤其是敏感个人信息和可识别个人信息的收集必须得到个人的明示同意。5后者如美国，个人信息被认为是一种非常实在的利益，原则上，只要个人没有明确反对的话，应该允许对个人信息的收集和使用，但是，不能对个人信息进行滥用，如果消费者觉得商家的信息行为不妥当，他可以选择退出。

在我国，理论界大多主张采取德国式的人格权保护模式，并且从现有的现实规范来看，对公民个人信息的保护也基本采取了人格权保护的模式，如最高人民法院《关于审理名誉权案件若干问题的解答》第七条、《关于确定民事侵权精神损害赔偿责任若干问题的解释》第一条和第三条分别以名誉权和一般人格权保护个人隐私。《刑法修正案（七）》将侵犯公民个人信息犯罪置于《刑法》第二百五十三条之后，刑法分则第四章“侵犯公民人身权利、民主权利罪”之下，更表明了我国立法者的态度。

那么，公民个人信息到底应当包括哪些呢？有观点将公民个人信息定位于姓名、职业、职务、年龄、婚姻状况、学历等“能够识别公民个人身份的信息”。6也有观点认为“公民个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。其外延十分广泛，几乎有关个人的一切信息、数据或者情况都可以被认定为个人信息”。7还有观点认为，确定刑法保护的公民个人信息范围时应综合考虑个人意愿和社会评价。8尽管各种观点所表述的范围不同，但基础是相同的——“识别性”（identi fied or identif iable），也就是采用直接或间接的方式，能识别出公民个人身份。

笔者认为，公民个人信息是指能直接指明或间接推断出公民个人身份的信息，比如：姓名、身份证号码、电话号码、家庭住址、职业、医疗记录等。从内涵上讲，公民个人隐私也应包括在内。不能因为要控制刑罚适用而人为地随意扩大或缩小公民个人信息的外延。关于公民个人信息的界定，应采取概括加列举方式，以适应社会的发展需求，同时在刑法适用上根据不同信息对于个人的重要性以及公共利益的需要在“情节严重”的认定上做差别认定，以适当控制刑罚的适用，保持刑法的谦抑性。应当指出的是，法人等其他组织的信息不在《刑法》第二百五十三条的保护之内。不法分子在贩卖公民个人信息的同时，一般也经营企业的工商资料等信息交易，在买卖信息的过程中，个人信息和工商信息不分，在认定过程中应当严格区分两者，将非公民个人信息予以剔除，但涉及企业法定代表人或者其他经营者的个人信息的，应当认定为公民个人信息。还比如，在一些车主信息数据中，既包括个人车主信息，同时包括单位车主信息，在认定中同样应当剔除单位车主信息。司法实践中应当严格按照认定公民个人信息的标准去伪存真，准确计算。有条件的话，办案单位可以委托相关部门进行鉴定，确定涉案公民个人信息的数量等。

应该指出的是，公民个人信息不仅包括能识别公民个人身份的静态信息，还包括能够体现公民行踪的动态信息，如宾旅馆住宿信息和机场登机、到达信息等。如在上海浦东新区人民法院审理的赖某非法获取公民个人信息罪一案中，被告人赖某为开展帮人讨债寻人、婚外恋跟踪取证、打假等业务，为满足客户需求，由赖某利用朋友职务便利及互联网搜寻等方式购买、收集所需信息，并以高价出售给客户获取利益，总计获利人民币60余万元。其中，赖某与某公安分局消防支队的吴某约定，由吴某通过公安内部网查询大量人口信息和客人入住宾馆信息并传给赖某，赖某获得相关信息后，再转售牟利。经查证，自2009年3月至案发之前，赖某获取公民个人信息五十余条，支付给吴某好处费37300元。上海市浦东新区人民法院于2010年1月，以非法获取公民个人信息罪判处赖某有期徒刑一年，并处罚金人民币二万元。个人入住宾馆记录这类信息体现公民行踪的动态信息，往往比姓名、家庭住址、电话号码等静态信息更关乎公民人身安全，一旦被不法分子掌握，极易造成重大危害结果，理应纳入公民个人信息保护的范围。

另外，还应当注意法律中的“例外”情形，在保护公民个人信息权利的同时还应当保持其与保障信息公开和鼓励电子商务等公共利益之间的平衡。加拿大《隐私权法》第三条在列举隐私的范围同时亦列举了豁免的数种情形，如与公职人员职务相关的个人信息等。我国台湾地区“电脑处理个人资料保护法”第八条规定了数种例外的情形，如为维护公共安全、为增进公共利益、为防止他人权益之重大危害而有必要等等。将来我国在制定公民个人信息相关细则或者个人信息立法时应做相应的考虑，将为保护国家与公共安全的需要以及公民本人同意采集公民信息作为保护公民个人信息的例外。

二、犯罪主体的性质和范围

根据《刑法》第二百五十三条之一的规定，出售、非法提供公民个人信息罪的犯罪主体是特殊主体，也即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，非法获取公民个人信息罪的犯罪主体为一般主体，这一点并无异议，但是对于出售、非法提供公民个人信息罪中“等单位”的理解，理论界和实务界仍存有争议。除列举的“国家机关或者金融、电信、交通、教育、医疗等单位”之外，这里的“单位”是否还包括在提供服务中合法采集公民个人信息的保险、房地产销售或中介、汽车销售、公民职业技能培训等其他单位呢？有观点认为：“考虑到本条主要是对在履行职责或提供公共服务过程中利用某种程度的‘公权力’采集到的公民个人信息的国家机关或者单位，违反法律规定的保密义务的应负的刑事责任……不宜将公民个人信息的刑事保护范围扩大到没有利用‘公权力’采集的一切单位和个人。”9

理解法律条文应该结合法律条文内部的逻辑以及立法目的和宗旨。公民个人信息的泄露无非有两种途径，一是合法占有该信息的单位或个人非法泄露，二是不具有该信息的单位或个人通过非法手段获得，参照《刑法修正案（七）》第七条第三款，该条第一款规范的是前者，第二款规范的是后者，如果将前者狭义理解为具有公权力的国家机关或其他单位，则会造成保护公民个人信息的漏洞。既然通过第二种途径非法泄露公民个人信息的单位或个人应受到处罚，为什么通过第一种途径非法泄露公民个人信息的非公权力机关或单位就不应该受到处罚呢？法条本身只是规定“本单位在履行职责或者提供服务过程中”，既没有强调利用某种程度的“公权力”，也没有要求必须是在“提供公共服务过程中”，因此作此限定亦无法律依据。10“金融、电信、交通、教育、医疗等单位”既包含国有单位、集体单位亦包括私营单位，如果遵照法条的原意，私营教育、医疗、金融等单位理应包括在内，那么其他能够在提供服务中依法获取公民个人信息的私营单位又有什么理由应当被排除在外呢？反观其他国家的立法，其均未规定泄露公民个人信息的主体必须是享有公权力或者提供公共服务的单位或其工作人员。如1974年《日本改正刑法草案》第三百十七条规定：“从事医疗业务、法律业务、会计业务或者其他基于与委托人的信赖关系而知悉他人秘密的业务的人或者其辅助者，或者曾经处于这种地位的人，无正当理由，泄露就其业务所知悉的他人的秘密的，处一年以下惩役、禁锢或者二十万元以下罚金。从事宗教职业的人或者曾经从事宗教职业的人，无正当理由，泄露就其业务所知悉的他人秘密的，与前项同。”1999年《奥地利联邦个人数据保护法》第五十一条第一款规定：“无论何人，如果使用已经被委任的，或者由于专业原因而获得的个人数据，或者非法获取数据，并为个人使用或者把这些数据提供给他人或者为营利或致害目的而公开这些数据，除去数据所有人应受保护的利益外，应该由法院处以一年的监禁处罚，除非另外的条款规定了更重的处罚。”

出售、非法提供公民个人信息罪中“单位的工作人员”应限于依职权管理公民个人信息的人，即根据单位的相关规定或工作安排，对公民个人信息履行职责或提供服务的人员，出售或者向他人非法提供公民个人信息，情节严重的，应构成出售、非法提供公民个人信息罪。如行为人虽是单位工作人员，但不具有采集或管理公民信息职责，仅利用容易获知公民信息的工作便利，秘密窃取公民个人信息，应以非法获取公民个人信息罪论处。浙江省温州市苍南县人民法院审理的郑某、苏某非法获取公民个人信息一案中，被告人苏某系苍南县公安局交警大队灵溪中队协警，其利用灵溪交警中队晚上无人值班之际，多次利用窃取的公安数字身份证书登陆公安内网全国交通管理信息查询系统，非法查询和下载了五十五万条车辆车主信息，并通过互联网全部发给郑某，得款三万余元。苏某尽管是交警大队协警，但其获取个人信息时并未利用自身的职权管理职责，而是通过窃取的方式，故苍南县人民法院以非法获取公民个人信息罪判处苏某有期徒刑一年六个月并处罚金。11

三、“非法获取”的理解与认定

《刑法》第二百五十三条之一第二款规定：“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”所谓“非法获取”，有观点认为是指没有法律根据而获取。12对比该条前款发现，前款的要求是“违反国家规定”，如果将该款中的“非法”理解为“没有法律根据”，是不符合立法精神的，因为前款中的机关或单位虽明显处于强势地位，却利用职权便利，出售或非法提供个人信息，其处罚限制条件理应不比该款宽松。13该条的“非法”理应是“违反法律禁止性规定”的含义而非“没有法律依据”。但也有观点担心，我国公民个人信息保护法尚未出台，如果理解为“违反法律禁止性规定”会导致前位法律缺失最终影响该罪名的适用。从法理上分析，法无明文规定不禁止，除非该行为损害公共利益和社会秩序、违反社会公德，因此将此处的“非法”理解为“违反法律禁止性规定或社会公序良俗”更为恰当。14

本条在“非法获取”前加了“窃取或者以其他方法”的定语，如果我们把“非法获取”理解为没有明文法律规定，那么“窃取”又违背了哪一条法律规范呢？其实不然，窃取行为是明显违背社会伦理道德，侵害公共秩序和善良风俗而为一般社会正义所不容的，是天然的“非法”，这也正是“自然犯”理论的基础。以此类推，其他譬如抢劫、抢夺、骗取、胁迫等类似行为理应认定为天然的“非法”。

那么常见的“购买”、“交换”公民个人信息等行为是否属于“非法获取”呢？从立法经验来看，现有刑法体系内，“窃取”多与“收买”相提并论，如《刑法》第一百一十条规定“为境外的机构、组织、人员窃取、刺探、收买、非法提供国家机密或者情报的”等，《刑法》第一百七十七条第二款规定“窃取、收买或者非法提供他人信用卡信息资料的”等。当然，仅有立法经验或惯例还不够，关键是看“购买”公民个人信息到底有没有违反法律禁止性规定。追根溯源，“购买”的公民个人信息要么来自于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员出售或者非法提供，要么来自于他人窃取、抢劫、抢夺、骗取、胁迫等。对于后者，购买他人通过非法手段获取的属“非法”应无异议；对于前者，明知或者应当明知是他人违反相关法律法规出售或者非法提供的公民个人信息仍予以购买，同样是违反前述法律法规的，应为“非法”。“交换”本身就是同“价值”信息之间的流转，本质上与“购买”无异，自不待言。

当然，非法侵入他人计算机系统获取他人所有或者管理的公民个人信息亦属“非法获取”，因为“非法入侵他人计算机系统”本身就已触犯刑法，系非法手段。另外，为经营、买卖公民个人信息或者其他非法目的，以“合法的形式”收集公民的个人信息，是“以合法形式掩盖非法目的”，同样应属“非法”。

四、“情节严重”的认定

“情节严重”是侵犯公民个人信息犯罪的客观构成要件，也是区分罪与非罪的重要标准之一，因此受到司法实务界和理论界的极大关注。由于该罪名属新型犯罪，司法实践经验少，情况复杂，其标准难以制定，所以相关司法解释也未能出台。但对于具体办案单位来说，又急需明确情节严重的标准问题，因为情节严重的标准关系立案与否、逮捕与否、起诉与否乃至如何量刑等一系列问题。

对此实务界、学界讨论亦较多，基本达成一些共识，情节严重一般是指，因出售、非法提供、非法获取公民个人信息获利数额较大、出售或非法提供多人信息、多次出售或者非法提供公民个人信息，以及公民个人信息被非法提供、出售给他人后，给公民造成了经济上的损失，或者严重影响到公民个人正常生活，或者被用于进行违法犯罪活动等情形。还有一些公、检、法单位以共同研讨和会签发文的形式，制定了更为具体的入罪标准。本文提到的赖某非法获取公民个人信息案中，赖某从事非法获取公民个人信息行为时间长、次数多、涉及人员范围广、非法获利数额大，且被用于讨债寻人、婚外恋跟踪等非法活动，检察院据此认定其“情节严重”，以非法获取公民个人信息罪起诉后，得到法院判决认可。

从司法实践角度讲，具体且确定的标准易于操作，若能规定具体的出售信息的获利数额、非法提供信息的次数或数量、非法获取信息的次数或数量，无疑会满足司法人员的需求。但僵化的标准也会带来诸多问题，不同的公民个人信息及其组合对于个人的重要性差别巨大，对个人的危害性也是会差别巨大，确定的金额、数量、次数标准只能是一种基本因素，完全以该标准来决定罪与非罪有失妥当。全国首例侵犯公民个人信息犯罪的周建平非法获取公民个人信息案中，被告人周建平共计非法获取14位政府官员的个人信息并提供给他人用于诈骗犯罪活动，获利一万六千元，被珠海市香洲区人民法院判处有期徒刑一年六个月，并处罚金二千元。15又如上海市浦东新区人民法院审理的周某、李某等人非法获取公民个人信息一案，被告人李某于2009年获取的股民资料、长沙车主、北京车主、银行客户、保险客户、高收入人群名单等公民个人信息高达3000余万条。16对比上述两案，如果仅参照数量标准，周建平一案，其非法获取的公民个人信息数量较少，完全可以不入罪，但从危害结果来看，周建平非法获取的公民个人信息被用于他人实施诈骗活动，其社会危害性更大。因此，司法人员只有综合考量全案的犯罪事实、犯罪情节、社会危害性等各种因素后才能作出正确的定罪判断。

五、小结

判断侵犯公民个人信息犯罪罪与非罪的标准应当包括：首先是犯罪主体的界定，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员作为依法获取并管理公民个人信息，是大部分个人信息泄露的源头，其违法行为不仅侵犯了公民的人身权利还侵犯了公民个人信息管理制度，应当较之普通犯罪主体予以较重处罚；其次是主观恶性标准，即出售、非法提供、非法获取公民个人信息的用途，是用于经营牟利、从事违法犯罪活动、窥探隐私，或是其他用处，对于他人的用处是否明知等；再次是客观方面，即出售、非法提供、非法获取公民个人信息的数量、次数、手段及用途，非法获利金额；最后是客观后果，即公民个人信息泄露给公民造成的经济损失和人身伤害、对公民个人生活造成的影响等。

注：

1周伟萌、齐爱民：《论我国保险业个人信息保护的行业自律》，《甘肃社会科学》2011年第5期。

2例如，安徽省合肥市检察院在办理该市首例侵犯公民个人信息犯罪时，由于逮捕的标准尚无确定标准，因此从“审慎”的态度出发建议公安机关对犯罪嫌疑人取保候审。ht tp://www.chinacour t.org/html/ar ticle/200908/ 03/367906.shtml，2010年11月24日访问。

3隐私的概念源自美国，1960年，Prosser教授提出了四种侵犯隐私权的类型，奠定了美国隐私权的基础。美国将公民对个人信息享有的权利视为一种隐私利益，并对其保护，1970年制定的《公平信用报告法》、1974年制定的《隐私法》和1998年制定的《儿童网上隐私保护法》等主要规制政府机构处理个人信息的行为，同时侵权法、合同法或财产法等普通法主要规制私人侵犯隐私的行为。

4个人数据的概念则源自欧盟，欧盟1995年《个人数据保护指令》以个人数据作为其基本范畴，其所谓的个人数据，是指任何与一个明确的自然人或可识别的自然人（数据主体）身份有关的信息，其中，“可识别的人”是指可以直接或间接识别的人，尤其是借助于身份证号码或其他一些有关身体、心理、精神、经济、文化或社会身份等特定因素可以直接或间接识别其身份的信息。

5按照个人信息的敏感程度将个人信息区分为敏感个人信息和琐碎个人信息，据此采取不同程度的保护措施是欧盟等许多国家和地区立法的做法。所谓的敏感信息，一般是指那些对个人有重要影响的个人信息。一般来说，敏感个人信息包括主体的种族起源、政治观点、宗教与道德信仰、工会组织、代理关系及与此有关的诉讼、性生活等方面的个人信息。它与个人隐私有很多的重合或重叠之处，但却又与人们一般意义上的隐私范围有所不同。而所谓的琐碎个人信息，是指个人信息中除了敏感信息之外的其他信息。

6、9黄太云：《刑法修正案（七）解读》，《人民检察》2009年第6期。

7、12赵秉志：《刑法修正案最新理解适用》，中国法制出版社2009年版，第117页。

8、10、13王昭武、肖凯：《侵犯公民个人信息犯罪认定中的若干问题》，《法学》2009年第12期。

11参见《浙江温州首例非法获取公民个人信息案一审宣判》，ht tp://society.people.com.cn/GB/42733/12226420. html，2010年11月24日访问。

14凌鸿：《目前立法不完善、司法解释缺位的情况下，在司法实践中——非法获取公民个人信息罪的认定》，《人民法院报》2010年6月17日。

15ht tp://www.legal info.gov.cn/index/content/2010-01/04/content_2015167.htm?node=7880，2010年11月18日访问。

16ht tp://www.chinacourt.org/html/article/201008/06/422087.shtml，2010年11月26日访问。

（责任编辑：石泉）

DF624

A

1005-9512（2012）11-0149-06

“侵犯公民人格权犯罪问题”课题组组长：顾静薇，上海市虹口区人民检察院研究室主任。课题组成员：周健，上海市虹口区人民检察院公诉科干部；王英杰，上海市人民检察院第一分院二审处干部；赵宁，上海市长宁区人民检察院检察员。