侵犯公民个人信息罪入罪机制探析

黄彬

摘要面对大数据背景下衍生的公民个人信息安全日益严重的问题，刑法以修正案的形式作出了回应，但是在该罪的入罪机制上仍然存在亟待理清的问题。该罪的主体、主观方面之犯罪目的、法益侵害性及行为类型的认定对于正确适应该罪具有积极意义，也为良好的数据运用提供适宜的法律环境。

关键词公民 个人信息 法益保护 入罪机制

2018年2月1日上午，由最高人民法院、中央电视台联合评选出的2017年推动法治进程十大案件结果新鲜出炉，徐玉玉被电信诈骗案位列第二位入选。该案因犯罪嫌疑人杜某利用技术手段攻击了“山东省2016高考网上报名信息系统”并在网站植入木马病毒，获取了网站后台登录权限，盗取了包括徐玉玉在内的大量考生报名信息，而后将信息转卖出去，导致徐玉玉成为案件受害人。该案作为全国法院一年来审理的2500多万起案件的典型代表之一，虽然主罪为诈骗罪，但是该诈骗得以成功的重要途径便是“侵犯公民个人信息”。

从犯罪学视角来看，任何犯罪现象都是人类社会肌体的“赘生物”，它的产生和存在与某一阶段人类社会的特点密切相关。因此，为了应对大数据时代的来临是信息尤其是个人信息的安全保护所面临的前所未有的挑战。2009年《刑法修正案（七）》的出台，将出售或非法提供履行职责或提供服务过程中获得的公民个人信息的行为、非法获取公民个人信息的行为入罪。时隔六年，针对该罪在司法实践中出现的新情况、刑法在规制该类型犯罪的复杂情况时出现的不相适应等情形，2015年8月29日通过的《刑法修正案（九）》对该罪的规制作出了进一步完善。

一、侵犯公民个人信息罪入罪沿革及发展

基于实践中一些国家机关以及金融、电信、交通、教育、医疗等单位的工作人员将履行职责或提供服务过程中收集和储存的大量公民个人信息出售或非法提供给他人获取非法利益，从而对公民人身、财产安全、個人隐私以及生活安宁构成严重威胁的社会现实，2009年2月28日我国通过《刑法修正案（七）》，在第二百五十三条后增加一条，作为第二百五十三条之一，即出售、非法提供、非法获取公民个人信息罪。将该行为纳入刑事打击的范围，彰显了立法机关在网络信息时代对公民个人权利的特殊保护和对民生的关注。

然而，面对司法实践中层出不穷的侵犯公民个人信息的新型案件，《刑法修正案七》所规定的主体、对象均难以予以规制，司法实践中因该罪被追究刑事责任的实例并不多。故，对该罪立法规定的完善势在必行。《刑法修正案九》的出台对该罪的适用面扩展作出了重大修订：

（一）扩张了犯罪主体

《修正案七》中界定的主体为身份犯，即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，且必须是在履职或提供服务过程中获得的公民个人信息。因此，不具备特定身份的行为人实施的该罪就应基于罪刑法定原则被排除在犯罪之外（司法实际中在修正案九出台前也出现不具备特定身份的行为人认定为此罪的情形显然违背罪刑法定原则）。然而，司法实践中大量的侵犯公民个人信息行为的主体远不限于上述人员，物业公司、房产中介、保险、快递等服务也中的工作人员将履行职务或提供服务过程中获得的公民个人信息出售、非法提供的案件也时有发生。甚至后者作为主体的发生率远远高于前者。因此，《修正案九》将此罪的主体进行了修改，即为一般主体，不再有身份的限制。特定身份仅仅属于量刑身份而非定罪身份。

（二）犯罪对象的来源不再予以限制

同上，如果将信息来源局限在国家机关或者金融、电信、交通、教育、医疗等单位履职或提供服务过程中获得的公民个人信息，则实践中出现的大量侵犯公民个人信息的行为同样将失去刑法规制的依据。通过查阅“中国裁判文书网”2016年来公布的裁判文书，大量信息属于修正案七限定的渠道以外获得的，不具备职务性质。因此，修正案九对该罪犯罪对象来源限制的取消是对司法实践的回应，同时也与该罪主体修改相协调，使法条逻辑更为妥当。

（三）对相关部门的职务行为处罚更严厉

为了体现国家机关等相关部门的公信力，加大了对职务行为获取信息予以出售或提供的打击力度。

（四）降低入罪门槛

针对我国迄今为止尚未制定完整、统一的个人信息保护法律的现状，《修正案七》中的“违反国家规定”的标准显然缩小了打击面。对我国目前存在的法律、法规、部门规章等大量关于公民个人信息保护规定之违反、情节严重的均可以认定为犯罪。《修正案九》对此进行了完善，即修改为“违法国家有关规定”。

（五）针对情节特别严重的情形配置更重的法定型

从司法实践看，存在非常严重的侵犯公民个人信息的犯罪，涉案公民个人信息数量达上亿条，获利数额也非常巨大。《修正案七》中的三年以下有期徒刑或拘役，并处或单处罚金的法定刑已经不符合罪责行相适应原则。故，为了适应实践中的此类重大犯罪，《修正案九》针对该罪配置了更重的法定刑，即情节特别严重的，处三年以上七年以下有期徒刑，并处罚金（取消了单处罚金刑）。

时至今日，《刑法修正案九》出台已经两年半的时间，通过查阅《中国裁判文书网》，2016年至今该网站公布的全国审理侵犯公民个人信息罪数量为2016年423件、2107年1163件、2018年截止到2月23件。（同期侮辱罪所公布的审理数量为2016年376件、2017年343件、2018年截止到2月4件；同期诽谤罪所公布的审理数量为2016年88件、2017年58件、2018年截止到2月1件）。由此可见，该罪随着网络科技的迅猛发展对人民生活的渗透，发案率必定会超过同样侵犯人身权利法益的相关犯罪。

面对如“雨后春笋”般激增的侵犯公民个人信息的犯罪，其就是社会发展、技术变革的一个“赘生物”。国家在立法设立新罪名、出台修正案扩张该罪主体、扩大犯罪对象、降低入罪门槛的同时，无疑给商业活动中广泛存在的数据交换和正在兴起的数据交易蒙上一层阴影。如何对该罪的入罪标准进行正确理解与适用，惩治犯罪、保护公民个人信息安全的同时，为正当的个人信息收集和数据交换提供良好的制度环境是司法实践中亟待解决的问题。

二、侵犯公民个人信息罪入罪机制

（一）犯罪主体的界定

修正案九将该罪的两种犯罪类型，即出售、非法提供公民个人信息犯罪与窃取、非法获取公民个人信息犯罪的主体进行了统一，均为一般主体，且单位可以成为本罪的主体（尽管查阅中国裁判文书网，单位作为犯罪主体的裁判数量非常稀少，但是将单位列入其中能全方位遏制该类犯罪）。故对司法实践中大量非利用公权力涉及该类犯罪的情形能予以有效规制。

（二）犯罪主观方面的认定

虽然司法实践中存在过失泄露公民个人信息、造成较严重后果的情形，如有关单位在软件开发过程中遇到功能性与安全性相抗衡时更倾向于功能性的选择，导致本可以避免发生的信息泄露。由于目前立法上仍旧否认将过失致使公民个人信息泄露的行为入罪，故司法实践中一定要对涉案主体主观方面予以严格认定，避免扩大该罪的打击面。

但是，值得一提的是，该罪的故意要素中犯罪目的是否该列入评判罪与非罪的标准。修正案九将该罪的法定刑分为两档：情节严重的，三年以下有期徒刑、拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。“犯罪情节”成了该罪的重要考察因素。司法实践中大量侵犯公民个人信息的行为都与诈骗等犯罪相结合的，即实施该罪具有实施其他犯罪的非法目的。由于该罪与诈骗等犯罪侵犯的法益不同，故司法实践是按照数罪并罚的标准处罚。但是不可否认的是，司法实践中还存在相当一部分与犯罪无关，完全出于商业目的的利用信息的行为（如为了维持商业运转获取客户信息、根据客户浏览痕迹推送商品等）。因此，笔者认为综合判断该罪的目的，使利用个人数据行为的合法性变得明晰，是促进社会对个人信息数据的正当利用应有之意。

（三）犯罪法益侵害性的判断——侵犯公民个人信息罪的法益为公民的人格尊严、人身自由

侵犯公民个人信息罪法益侵害性的准确把握在大数据充分运用、数据交换频繁的当今社会对于罪与非罪的认定具有非常重要的意义。政府在社会治理和决策中要大量应用个人数据，基于对个人数据分析的精准营销、网络推送、个性化定制等也已成为现代商业的基本样态。除了在提供服务或商品中自行收集个人数据外，许多商家开始依赖外部数据，其获取方式包括分享、交换、许可使用等。有鉴于此，不厘清该罪的法益侵害性，就会存在将正常的数据分享、交换等商业行为陷于刑法的囹圄。

侵犯公民个人信息的行为之所以入罪，在我国刑法的语境中一定是以有严重的社会危害性为前提的。“行为是否具有实质违法性，是根据法益是否受到侵害或者威胁来评价的”。那么该罪所侵害的法益具体是什么？修正案七将该罪放置在第四章“侵犯人身权利、民主权利罪”一章，条文序号为第253条之一，位于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”之后。则该罪从条文编排上来看应该与以上两罪具有同质性。基于以上两罪所保护的法益均为公民人格权利与自由，包括公民个人通信自由和人格尊严，故该罪所保护的法益也应该为公民人格权利和自由。尽管司法实践中存在因为公民被侵犯个人信息而出现伤亡的情况（如文章开篇提及的徐玉玉案件），但查阅“裁判文书网”的近千份裁判，该罪更多的是体现对人格权利、自由和安宁的侵犯，故不同于同属于第四章的生命权、身体权、健康权。

通过查阅2016年来侵犯公民个人信息罪的相关裁判，案件涉及的个人信息范围非常广泛：身份证信息、银行开户、就业、入学、出行、电话、购物、购房、购车、出生、死亡、病痛、保险……更有甚者，学生学校课表、班主任名称都能成为犯罪分子“青睐”的犯罪途径（为犯罪分子编造完整的诈骗信息提供素材）。浩如烟海的个人信息伴随着公民的出生、成长、死亡，其均具有一个共同特征——可识别性。这些信息中有的是涉及公民隐私的，如病痛、购物、出行等等，但绝大多数中性性质的信息，一旦被公开、获取、滥用，则会危害个人利益，侵害个人自由、安宁。最常见的便是购房、购车、孩子出生后装修公司、保险公司、奶粉公司连珠炮似的推销电话，严重侵害公民的生活安宁（对此要严格结合犯罪情节判断是否对生活安宁造成侵害，不要与正常的商业行为混同）。

前述，受到犯罪分子青睐的个人信息范围是非常广泛的，对该罪法益的理解不能局限于侵犯涉及公民个人隐私的信息，否则会极大的缩小该罪规制的行为范围。对此，可以通过有关个人信息保護的国际性文件予以求证。1981年欧洲委员会通过《个人数据自动处理中的个人保护公约》（以下简称《公约》）。《公约》是在人权保护的意义和框架下定位个人数据保护制度的，明确宣布个人数据保护是为了保护个人权利和基本自由（尤其是隐私权）。在我国尚未制定个人数据保护法的情况下，我国的个人数据保护的依据亦为宪法规定的公民基本权利。我国《宪法》第三十七、三十八条人身自由、人格尊严不受侵犯。根据宪法理论，人格尊严在民法意义上体现为人格权、主要包括姓名权、肖像权、名誉权、荣誉权和隐私权等权利。我国刑法对于公民个人信息保护是建立在《中华人民共和国宪法》对公民基本权利保护基础上的，是履行“国家尊重和保障人权”基本义务，保护公民人格尊严、人身自由等宪法权利，而不是直接基于人格权或隐私权保护。

（四）基于法益侵害性作出的对行为类型违法性的甄别

数据信息资源对社会生活影响如此广泛的今天，如果抛开该罪的法益侵害性对涉及数据运用的行为作出粗暴的犯罪认定的话，必然有违刑法的谦抑性，也有违该罪设置的初衷。因此，还需要进一步对该罪行为类型的违法性作出甄别。

1.给予行为的实质违法性之价值判断

该罪的行为涉及两种类型，即违反国家规定出售、提供公民个人信息；窃取或者以其他方法非法获取公民个人信息。对于后一种行为方式自不待言，实质违法性一目了然。在此，重点讨论第一种行为方式。修正案九对该罪做了限制性规定，即“违反国家有关规定”（如护照法、身份证法、统计法、未成年人保护法、律师法等对个人信息的保护性规定）。这是否意味着只要有关法律对公民个人信息的出售或提供有了禁止性规定，就完全应该禁锢公民个人信息的出售和提供了呢？笔者认为，对此问题的机械理解无疑会使得正当的个人信息流通、使用面临法律上的巨大障碍。所以，鉴于刑法的严厉性、最后保障性，司法实践中必须对该行为的实质危害性作出评价，仅惩治那些严重危害个人尊严和自由的行为，而给正当个人信息流通和使用留下空间。

对此，应重点评价的是因为侵犯公民个人信息导致公民生活安宁被侵害的行为。因为此类行为较之间接侵害公民个人尊严、自由的侵犯信息行为而言，具有商业性的外表，如若入罪机制把握不当会影响正常的商业行为。所以，此种行为实质违法性的价值判断应结合行为人给公民生活安宁造成的侵害程度。即，实际干扰的公民数量。

2.给予行为对象之缩限考察

前述，可以被犯罪分子青睐的公民信息涉及范围极其广泛，更有甚者，学生学校课表、班主任名称都能成为犯罪分子“青睐”的犯罪途径。在此，有必要对不同的行为类型针对的不同信息种类作出区别。

对于窃取或者以其他方法非法获取公民个人信息的行为，行为本身自带感情色彩，意味着其行为方式本身就为法律所禁止，其获取公民個人信息的行为缺乏合法性基础。因此，无需对行为对象的价值作出判断，就可认定该类行为的实质违法性。

对于出售、提供公民个人信息的行为，在未违反国家有关规定的情况下因其具有中性色彩，故该类行为如果纳入刑法的规制领域，则需要对行为对象进行缩限解释。2013年最高人民法院、最高人民检察院和公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称：《通知》）。《通知》认为“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”除了能够识别公民个人身份的信息外，该《通知》还将“涉及公民个人隐私的信息”纳入其中。笔者认为《通知》对刑法保护的公民个人信息的界定过于宽泛，从实质违法的角度，纳入刑法保护的应当只限于能够直接识别公民个人身份的个人信息。司法实践中，行为人通过将获取的公民个人相关信息进行组合，作为诈骗罪基础信息的方式实施诈骗的行为，如果其涉案相关信息很难剥离出来起到直接识别公民个人身份的作用，则将涉及信息的行为认定为侵犯公民个人信息罪无疑扩大了该罪的打击面。

所以，从刑法谦抑性的角度出发，也应该将行为对象——公民个人信息限定在能够根据信息对个人进行识别的信息源上，不应该泛化到涉及公民生活的任何信息之上。

3.非法利用个人信息行为方式入罪的考量

正如“拐卖妇女儿童罪”一般，正是由于存在巨大买买方市场，该类犯罪才难以遏制。司法实践中对公民个人信息非法利用的评价机制是基于后续犯罪行为的情节予以考量，如利用信息进行诈骗。但如人肉搜索等行为，往往基于个人信息的非法利用导致极为严重的人身后果、精神后果，却不易通过现有刑法规定予以有效规制。因此，侵犯公民个人信息犯罪的行为类型中应该对非法利用的行为予以足够重视。但是由于非法利用的行为主体在实践中会与非法获取的主体相分离、相区别，对该行为类型予以认定时应与出售、非法提供与窃取、非法获取的行为主体相区别（第一种行为主体为有权获得信息的主体、第二种行为主体为无权获取信息的主体）。非法利用个人信息罪的主体既包括有权获取该信息的主体，也包括无权获取该信息的主体。

三、结语

面对信息时代给社会带来的巨大变革，我们必须辨物居方、有的放矢。在享受大数据便捷的同时，应该更加关注公民人格尊严、人身自由的保护。但是刑法的严厉性、第二次权益保障性使然，要求我们在运用刑法规制侵犯公民个人信息的行为必须严格把握入罪机制，以达到社会昌明、人民幸福的良好状态。