侵犯公民个人信息罪的规制边界探析

饶惠智

摘要：《刑法修正案（九）》新增“侵犯公民个人信息罪”，扩大了侵犯公民个人信息的犯罪主体和行为范围，加强了对大数据时代个人信息的保护。但无论是日常生活中还是疫情这类特殊情况下，仍有众多具有相当社会危害性的侵犯个人信息的行为由于该罪的规制边界模糊而没能纳入刑法规制范畴。因此立法应进一步明确侵犯公民个人信息罪的法益属性、客体、主观方面、定量性门槛、犯罪对象等归罪要素，以减少游离在罪与非罪边缘的侵权行为，为公民个人信息提供更加全面完善的保护。

关键词： 侵犯公民个人信息罪;个人信息;规制边界

一、法益属性——个人法益

目前，学界对于公民个人信息的法益属性是“个人法益”还是所谓的“超个人法益”存在争议。从理论上看，《民法典》人格权编已经明确将个人信息权作为一项独立的权利，因此该罪的法益是具有个人专属性的个人信息权，此个人法益不因数量之多而发生性质之变，即集合之后的利益形态不会跃升为一个超级存在体，形成所谓的超个人法益。从实践上看，“超个人法益说”使实践中一些严重侵犯个人信息的行为无法得到有效规制。例如，按照该说，行为人非法出售或提供某一单个人的个人信息，不论数量多大、违法所得多少，因其被害人数量只是“一”，没有达到群体性标准，因而不能被认定为犯罪。这显然不利于打击侵犯个人信息的行为，也与该罪保护个人信息权的立法宗旨相悖。因此，立法应明确个人信息的法益属性为个人法益。

二、客体——个人信息的认定

（一）个人信息无需具备隐私性

目前，学界对于信息主体已在商业活动等场合公开过的不具有隐私性的信息是否属于刑法意义上的个人信息争议较大。我国相关司法解释明确了“可识别性”为个人信息的法定属性，那么已公开的商业类公民个人信息只要具备“可识别性”就仍属于刑法意义上的公民个人信息。只是在判定行为人是否入罪时，应当结合其获取信息的方式、获取之后使用途径和目的等方面着手，以刑事违法性为切入点进行分析。比如，行为人在正常商业活动或者公开网站下载他人信息用于合法商业推广，虽然客观上造成个人信息的对外扩散，但鉴于这些信息是信息所有人作为商业使用曾公开的信息，可以考虑从被害人承诺角度，判定行为人不具有刑事违法性。但是，如果信息所有人或者持有人对信息使用途径、公开范围有明确限制规定，若行为违反限制规定持有、使用，则应当考虑入罪。

（二）“财产类信息”认定的限制

根据两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售或者提供财产信息 50 条以上的，即应认定为侵犯公民个人信息罪。相比其他类型信息，解释明显作出了更宽泛的入罪规定以示对财产类信息的高度保护，因此不宜将任何与财产有关的信息均认定为刑法意义上的财产类信息。结合文意解释和目的解释，财产类信息首先必须是能够反映财产基本价值的信息。其次，单纯的汽车登记信息、机动车辆登记信息或者模糊的住房等并未反映信息主体财产具体状况的信息，不能认定为刑法意义的财产信息。

三、主观方面——包括间接故意

学界多认为该罪的主观方面只包括直接故意，司法实践也多不将间接故意的侵犯个人信息行为认定为犯罪。但是在疫情期间，大量武汉返乡人员的信息被泄露转发，这些泄露和转发主体虽明知自己的行为可能发生危害他人信息权益的结果，但是他们并非希望这种结果发生，只是为了追求避免自己和亲人感染病毒的目的，放任了他人的个人信息遭受侵害的结果，从而实施了“非法提供”的违法行为。对于类似的间接故意犯，其行为只要满足了“情节严重”的要求，就应当认定为犯罪，否则会不当限缩刑法的规制范围，不利于对个人信息的全面保护。

四、定量性门槛——情节严重的认定

其一，从《解释》来看，行为性质标准、数量标准等五大认定标准只能单独适用。但是通过问卷调研，我们发现 78.85%的调研对象认为“非法获取、提供、出售电话号码 4000 条，违法所得 4000 元”也属于“情节严重”。即在公众的认知中，即使行为人出售电话号码未满足

50 条的数量标准，也未满足违法所得 5000 元的数额标准，仍然具有严重的社会危害性。因此，《解释》应适当考虑进一步明确混合认定标准，以全面规制犯罪行为。

其二，在数量标准方面，《解释》根据个人信息的不同性质，划分了三个入罪档次，分别是 50、500 以及 5000 条，同时规定未达到各项规定标准，但是按相应比例合计达到有关数量标准的也视为“情节严重”。由于三个不同档次规定的信息数量之比是 1：10：100，因此此处的“相应比例”应明确为 1：10：100。例如行为人非法获取行踪轨迹信息 15 条，交易信息 200 条以及电话号码 2000 条的，虽然没有达到三个档次中的任一标准，但是可以折算为非法获取行踪轨迹 55 条而入罪。

五、犯罪对象——不宜限制为“公民”

目前，我国侵犯公民个人信息罪的犯罪对象限制为具有中华人民共和国国籍的人。但是，一方面，从刑法理论上看，对侵犯中国公民个人信息的犯罪行为以及侵犯外国人、无国籍人个人信息的我国有刑事管辖权的行为，都要按照中国刑法追究刑事责任，侵犯个人信息犯罪当然也不例外。另一方面，对非中国公民的个人信息不提供刑法保护也是与现实情况不符的。不论是在疫情还是日常情况下，我国的国家机关或金融、电信、医疗等单位及其工作人员在履职或提供服务的过程中都需要广泛地收集使用外国人及无国籍人的个人信息。既然如此，我们不能只要求他们履行如实填报信息的义务而不给予足夠的个人信息权益保护。因此将个人信息主体限定为“中国公民”是不合理的，应删除这一表述为宜。

参考文献

[1] 赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报，2014（01）：117-127.

[2] 张磊.司法实践中侵犯公民个人信息犯罪的疑难问题及其对策[J].当代法学，2011，25（01）：72-78.

基金项目：2020年“全国大学生创新创业训练计划”国家级项目阶段性研究成果 项目编号：202010511023

（华中师范大学法学院 430079）