非法獲取公民個(gè)人信息行為研究

摘 要 《刑法修正案（九）》修改了侵犯公民個(gè)人信息犯罪的規(guī)定，將原刑法中的出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪兩個(gè)罪名合并為侵犯公民個(gè)人信息罪，通過擴(kuò)大侵犯公民個(gè)人信息罪的主體范圍、提高法定刑來加大對公民個(gè)人信息的保護(hù)力度。但是在前置法律缺位的情況下，對非法獲取公民個(gè)人信息條款中的“個(gè)人信息”和“非法獲取”的理解和認(rèn)定都存在模糊不清之處。本文主要從非法獲取公民信息行為的行為對象和行為方式的認(rèn)定兩方面對非法獲取公民個(gè)人信息的行為進(jìn)行探討。

關(guān)鍵詞 個(gè)人信息 竊取 非法獲取

作者簡介：李珂，北京師范大學(xué)刑事法律科學(xué)研究院刑法學(xué)碩士，研究方向：刑法學(xué)。

中圖分類號：D924.3 文獻(xiàn)標(biāo)識碼：A DOI：10.19387/j.cnki.1009-0592.2017.02.150

個(gè)人信息被譽(yù)為二十一世紀(jì)最有價(jià)值的資源，它不但可以為政府決策提供依據(jù)，產(chǎn)生公共管理上的效益，并且可以產(chǎn)生豐厚的商業(yè)利潤。為了追求個(gè)人信息所承載的經(jīng)濟(jì)價(jià)值和政治價(jià)值，對個(gè)人信息的爭奪早已似一場沒有硝煙的戰(zhàn)爭蔓延至社會(huì)的各個(gè)領(lǐng)域。近年來，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展無疑使這場個(gè)人信息的爭奪戰(zhàn)變得更加激烈，計(jì)算機(jī)網(wǎng)絡(luò)收集、處理信息的便捷性和隱蔽性更使個(gè)人信息面臨著前所未有的威脅。面對侵犯個(gè)人信息的行為愈演愈烈的社會(huì)現(xiàn)實(shí)，《刑法修正案（九）》修改了侵犯公民個(gè)人信息犯罪的規(guī)定，將原刑法中的出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪兩個(gè)罪名合并為侵犯公民個(gè)人信息罪，通過擴(kuò)大侵犯公民個(gè)人信息罪的主體范圍、提高法定刑來加大對公民個(gè)人信息的保護(hù)力度。修改之后，非法獲取公民個(gè)人信息不再是獨(dú)立的罪名，而是侵犯公民個(gè)人信息罪的一種行為方式。對侵犯公民個(gè)人信息罪的修改體現(xiàn)了刑法在保護(hù)個(gè)人信息方面的進(jìn)步，但是我國《個(gè)人信息保護(hù)法》的缺位卻給非法獲取公民個(gè)人信息行為中的“個(gè)人信息”和“非法”方式的認(rèn)定造成了困難。本文將從這兩個(gè)方面出發(fā)對非法獲取公民個(gè)人信息的行為進(jìn)行探討。

一、個(gè)人信息的認(rèn)定

（一） 個(gè)人信息的界定標(biāo)準(zhǔn)

人信息的概念起源于1968年聯(lián)合國“國際人權(quán)會(huì)議”中提出的“資料保護(hù)”。之后的幾十年中世界范圍內(nèi)諸多國家都制定并通過了本國的個(gè)人信息保護(hù)法。但由于個(gè)人信息是人類步入信息社會(huì)后的一個(gè)嶄新的法律現(xiàn)象，各國學(xué)界和立法對個(gè)人信息的認(rèn)識也并不一致。關(guān)于個(gè)人信息的定義有兩種代表性觀點(diǎn)：第一，關(guān)聯(lián)說定義。此種定義方式將凡是與個(gè)人相關(guān)聯(lián)的信息均認(rèn)定為個(gè)人信息，“所謂個(gè)人信息，包括個(gè)人之內(nèi)心、身體、身份、地位及其他關(guān)于個(gè)人之一切事項(xiàng)之事實(shí)、判斷、評價(jià)等之所有信息在內(nèi)?！?第二，隱私權(quán)說定義。此種定義方式認(rèn)為與個(gè)人隱私相關(guān)聯(lián)的信息才構(gòu)成個(gè)人信息。 “個(gè)人信息系指社會(huì)中多數(shù)所不愿想外透漏者，或者是個(gè)人極敏感而不愿他人知道的信息?！标P(guān)聯(lián)說的定義方式雖然為司法實(shí)踐中如何認(rèn)定個(gè)人信息提供了指引，但范圍顯然過寬過寬，如果以此標(biāo)準(zhǔn)來認(rèn)定刑法中的個(gè)人信息，將導(dǎo)致行為人在信息社會(huì)動(dòng)輒得咎，不利于維護(hù)正常的社會(huì)秩序。隱私權(quán)說只把個(gè)人信息局限于個(gè)人隱私，范圍又失之過窄，從形式上看，個(gè)人隱私只是個(gè)人信息的一部分。而且我國民法中尚未明確建立隱私權(quán)制度，其他相關(guān)法律只是概括指出公民的隱私受法律保護(hù)，都沒有具體明確地劃定個(gè)人隱私的范圍，以此標(biāo)準(zhǔn)來界定個(gè)人信息，仍然存在含混不清之處，缺乏可操作性。

識別說由于具有現(xiàn)實(shí)的操作性且所劃定的個(gè)人信息范圍合理而逐漸成為各國個(gè)人信息保護(hù)法中所采取的通說。識別說定義方式認(rèn)為個(gè)人信息是指可以直接或間接識別個(gè)人的信息。所謂“識別”，就是把資料與信息主體存在某一客觀確定的可能性，簡單說就是通過這些資料能夠把當(dāng)事人直接或間接“認(rèn)出來”。 識別說道出了個(gè)人信息最關(guān)鍵的特征即信息與個(gè)人的相關(guān)性，同時(shí)又把一些過于瑣細(xì)而不能夠識別特定主體的信息排除在外，為個(gè)人信息的判定提供了合理的標(biāo)準(zhǔn)。許多國家的個(gè)人信息保護(hù)法都采納了識別說的定義方式，如《英國資料保護(hù)法》規(guī)定，“個(gè)人資料是指可以直接或者間接識別一個(gè)活著的人的所有資料”。我國“臺灣資料法”規(guī)定，“個(gè)人資料指自然人之姓名、出生年月、……等足資識別該個(gè)人之資料。”

（二）個(gè)人信息的范圍

在識別說的基礎(chǔ)之上，我國一些刑法學(xué)者認(rèn)為刑法所保護(hù)的個(gè)人信息除了具有一般個(gè)人信息的特征之外，還應(yīng)具有刑法保護(hù)的特殊價(jià)值，即刑法只保護(hù)那些涉及公民人格、尊嚴(yán)，甚至人身安全、財(cái)產(chǎn)權(quán)利的重要個(gè)人信息。而姓名、年齡、身高、體重等單純的數(shù)據(jù)性信息，雖能起到識別公民個(gè)人身份的作用，侵害行為也會(huì)給公民生活帶來不便，但是否值得超越民法、行政法的保護(hù)手段而運(yùn)用刑法，值得商榷。 但筆者認(rèn)為刑法所保護(hù)的個(gè)人信息應(yīng)涵蓋上述純數(shù)據(jù)性信息。第一，刑法對個(gè)人信息進(jìn)行保護(hù)，實(shí)際上是保護(hù)個(gè)人信息所承載的權(quán)利。首先是個(gè)人信息的自由與安全，或者個(gè)人信息權(quán)，即自然人依法對其個(gè)人信息所享有的控制和支配并排除他人侵害的權(quán)利。雖然一些個(gè)人信息涉及信息主體的財(cái)產(chǎn)、隱私等其他重要信息，侵犯這些信息除了侵犯公民個(gè)人信息權(quán)之外還會(huì)侵犯公民的財(cái)產(chǎn)權(quán)、名譽(yù)權(quán)等其他為刑法所保護(hù)的重要權(quán)利。但是在侵犯公民個(gè)人信息罪中刑法是通過保障公民個(gè)人信息的自由與安全而為個(gè)人信息所承載的財(cái)產(chǎn)權(quán)等其他權(quán)利提供間接保護(hù)。侵犯公民純數(shù)據(jù)性的個(gè)人信息首先侵犯了公民個(gè)人信息的自由與安全。第二，刑法在評價(jià)具體行為的危害程度時(shí)不只關(guān)注行為對象的價(jià)值，還要考慮具體的情節(jié)、手段。而侵犯公民個(gè)人信息罪中的“情節(jié)嚴(yán)重”并不局限于行為造成的危害結(jié)果和信息主體造成的損失，而應(yīng)從犯罪客觀方面、主體、主觀方面等多角度綜合考慮。因此，不能簡單地因公民的姓名、年齡等純數(shù)據(jù)性個(gè)人信息缺乏重要價(jià)值而將其排除在刑法的保護(hù)之外。

綜上，公民個(gè)人信息的認(rèn)定應(yīng)采取識別說的標(biāo)準(zhǔn)，并應(yīng)涵蓋全部能夠直接或間接識別個(gè)人的信息。

二、非法獲取行為方式的認(rèn)定

在高速發(fā)展的信息時(shí)代，公民個(gè)人信息幾乎隨著信息主體的活動(dòng)而散落于社會(huì)生活的各個(gè)領(lǐng)域，獲取公民個(gè)人信息的途徑和方式多種多樣，要認(rèn)定何種方式屬于非法獲取必須要首先界定“非法”的內(nèi)涵。但由于我國還沒有頒布統(tǒng)一的《個(gè)人信息保護(hù)法》，在公民個(gè)人信息的收集、處理等各個(gè)階段幾乎毫無規(guī)則可言，這就為“非法”前提的認(rèn)定帶來了困難。究竟如何確定“非法”的依據(jù)也成為了學(xué)者們討論的重點(diǎn)。筆者將在幾種具有代表性的觀點(diǎn)的基礎(chǔ)上確立“非法”的認(rèn)定標(biāo)準(zhǔn)，并討論司法實(shí)踐中幾種常見的獲取公民個(gè)人信息的方式。

（一）對“非法”的解讀

關(guān)于“非法”的含義，有兩種較為代表性的觀點(diǎn)，分別是“違反法律的禁止性規(guī)定”和“沒有法律依據(jù)”。持第一種觀點(diǎn)的學(xué)者認(rèn)為，首先，在法理上公民有權(quán)實(shí)施任何法律法規(guī)未禁止的行為，即使該行為違反公共道德，也不能上升到刑罰處罰的高度；其次，將非法理解為“違反法律的禁止性規(guī)定”能夠和侵犯公民個(gè)人信息罪第一款當(dāng)中的“違反國家規(guī)定”的表述保持一致。 但筆者認(rèn)為將非法解讀為“違反法律的禁止性規(guī)定”有以下兩點(diǎn)缺陷：第一，在我國關(guān)于個(gè)人信息保護(hù)的前置立法缺位，民法、行政法等法律對個(gè)人信息保護(hù)極不完善的情況下，如果只把違反法律禁止性規(guī)定的行為認(rèn)定為非法，將把大量沒有被法律禁止但實(shí)質(zhì)上嚴(yán)重侵犯公民個(gè)人信息的行為排除在外，這將極大地削弱對公民個(gè)人信息的法律保護(hù)。第二，在法理上，法律規(guī)范分為命令性規(guī)范和禁止性規(guī)范，違反法律命令性規(guī)范，同樣可以因違反法律規(guī)定而被認(rèn)定為非法。如已經(jīng)通過但尚未生效的《網(wǎng)絡(luò)安全法》中明確規(guī)定，網(wǎng)絡(luò)運(yùn)營者在收集個(gè)人信息時(shí)，應(yīng)明示收集的目的，并經(jīng)被收集者同意。如果網(wǎng)絡(luò)運(yùn)營者在收集用戶信息時(shí)沒有履行網(wǎng)絡(luò)安全法的規(guī)定，應(yīng)當(dāng)被認(rèn)定為非法獲取公民個(gè)人信息。所以，將非法解讀為“違反法律法規(guī)的禁止性規(guī)定”不當(dāng)縮小了非法的內(nèi)涵。

持第二種觀點(diǎn)的學(xué)者認(rèn)為只要行為人沒有獲取公民個(gè)人信息的法律依據(jù)或者資格而獲取相關(guān)個(gè)人信息的，就可能構(gòu)成犯罪。 這種觀點(diǎn)的缺陷同樣是在我國個(gè)人信息保護(hù)統(tǒng)一立法缺位的情況下，實(shí)際中大量存在的獲取個(gè)人信息的方式并沒有法定的依據(jù)，如果將這些行為都認(rèn)定為非法不利于信息的流通和利用，將會(huì)阻礙社會(huì)的正常發(fā)展秩序。但是這種觀點(diǎn)與前者相比從更為本質(zhì)的角度，從更大的范圍為公民信息提供了保護(hù)。因此，在平衡公民個(gè)人信息保護(hù)和促進(jìn)信息流通的基礎(chǔ)上，可將“非法”解讀為：沒有法律上的依據(jù)，并且足以危機(jī)公民信息安全的。

（二）竊取

竊取是侵犯公民信息罪中明文規(guī)定的非法獲取公民個(gè)人信息的方式，對于竊取行為的認(rèn)定可以比照盜竊罪進(jìn)行。但同時(shí)又要注意此處竊取行為的具體對象公民個(gè)人信息和傳統(tǒng)盜竊罪犯罪對象的不同特點(diǎn)對竊取公民個(gè)人信息中的一些問題進(jìn)行具體認(rèn)定。

通說認(rèn)為，盜竊是指以非法占有為目的，秘密竊取他人數(shù)額較大的財(cái)物的行為。其客觀方面表現(xiàn)為以隱秘的、不為財(cái)物所有人或保管人所知的手段將財(cái)物取走。傳統(tǒng)觀點(diǎn)認(rèn)為竊取行為的重點(diǎn)在于手段的隱秘性，并主張?jiān)谡J(rèn)定秘密手段時(shí)采取主觀標(biāo)準(zhǔn)。即不論行為人竊取財(cái)物的行為客觀上是否為所有人或保管人所知，只要行為人自認(rèn)為自己的行為是秘密的就可認(rèn)定為秘密手段。但是通說最大的缺陷在于，它在一定程度上割裂了主客觀相一致的原則，僅依靠行為人的主觀認(rèn)識來認(rèn)定其客觀行為。當(dāng)實(shí)踐中出現(xiàn)客觀情況和行為人的主觀認(rèn)識不一致的時(shí)候就難以判定行為性質(zhì)，甚至在一些情況下行為人根本就沒有考慮過自己的行為是否隱秘。因此，在對傳統(tǒng)通說進(jìn)行批判的基礎(chǔ)上一些學(xué)者提出了新的學(xué)說，認(rèn)為盜竊就是采用非暴力的平和方式，破壞財(cái)物的原有占有而建立新的占有。新學(xué)說不再將竊取行為局限于秘密行為，一些公然實(shí)施的行為，只要采取的是平和的、非暴力的行為依然可以認(rèn)定為竊取。

上述對盜竊罪中竊取行為的理解能否直接適用于此處的竊取公民個(gè)人信息的認(rèn)定呢？筆者認(rèn)為，應(yīng)該分情況討論。個(gè)人信息可以分為兩類，一類是有載體的個(gè)人信息，一類是無載體的個(gè)人信息。前者可能存儲于未連入網(wǎng)絡(luò)的本地電腦、U盤等其他現(xiàn)代或傳統(tǒng)存儲介質(zhì)中，而后者則往往是指位于網(wǎng)絡(luò)空間的個(gè)人信息。對于第一種有載體的個(gè)人信息，行為人往往是通過竊取信息的載體從而獲得儲存于載體之中的個(gè)人信息，此時(shí)竊取行為的直接對象是物，可以直接適用上述討論的關(guān)于盜竊罪中竊取行為的理論。此時(shí)還需注意的一個(gè)問題是，行為人通過竊取信息載體而獲取公民個(gè)人信息的情況下，行為人可能成立盜竊罪和侵犯公民個(gè)人信息罪的想象競合犯。這種情況下行為人的主要目的還是為了獲取儲存于載體之上的個(gè)人信息，一般應(yīng)成立侵犯公民個(gè)人信息罪，但當(dāng)信息載體的價(jià)值過高時(shí)，仍有成立盜竊罪的可能。

當(dāng)行為人竊取的是無載體的個(gè)人信息時(shí)，行為人的手段是否是平和的、非暴力的手段似乎就不那么清楚了。如上文所述，新的學(xué)說根據(jù)手段的平和性、非暴力性認(rèn)定竊取。但虛擬空間不同于物理空間，虛擬空間中并不存在傳統(tǒng)意義上的暴力手段。例如黑客侵入甲公司的數(shù)據(jù)庫，意欲竊取數(shù)據(jù)庫中的大量客戶個(gè)人信息，但在竊取過程中被甲公司的技術(shù)人員發(fā)現(xiàn)，技術(shù)人員采取攔截措施，但并未成功。首先，該名黑客的行為肯定不具有秘密性，其潛入行為已被甲公司技術(shù)人員發(fā)現(xiàn)。同時(shí)，甲公司的技術(shù)人員對該名黑客的行為進(jìn)行了攔截，但是沒有成功。此時(shí)黑客的行為仍應(yīng)認(rèn)定為平和手段嗎？筆者認(rèn)為，由于網(wǎng)絡(luò)空間原本就不存在傳統(tǒng)意義上的暴力行為，所以此時(shí)把竊取行為理解為采取平和手段也就無從談起。沒有了秘密性和手段的平和性的標(biāo)準(zhǔn)，網(wǎng)絡(luò)空間的竊取行為該如何認(rèn)定和區(qū)分呢？如果對網(wǎng)絡(luò)空間中未經(jīng)權(quán)利人同意侵入計(jì)算機(jī)系統(tǒng)獲取信息的行為不加區(qū)分的認(rèn)定為竊取行為，似乎也不太合適。因?yàn)樯鲜隼又刑岬降男袨槿藨{借自己的技術(shù)優(yōu)勢不顧對方系統(tǒng)的攔截而帶有公然掠奪性質(zhì)的獲取信息的行為之危害性明顯大于一般意義上的竊取行為。因此在此種情況下，筆者認(rèn)為行為人獲取信息的行為不應(yīng)評價(jià)為竊取，可以認(rèn)定為其他方法，并在評價(jià)情節(jié)嚴(yán)重時(shí)考慮其手段的惡劣性。行為人通過侵入計(jì)算機(jī)系統(tǒng)而獲取公民個(gè)人信息時(shí)還可能觸犯刑法中的另外一個(gè)罪名，即非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪。存在于計(jì)算機(jī)系統(tǒng)中的個(gè)人信息屬于計(jì)算機(jī)系統(tǒng)數(shù)據(jù)的一種特殊數(shù)據(jù)，依據(jù)特殊罪名優(yōu)先于一般罪名適用的原則，此時(shí)仍應(yīng)成立侵犯公民個(gè)人信息罪。

（三）收買、收受

將收買與收受公民個(gè)人信息放在一起討論是因?yàn)槎呤乔址腹駛€(gè)人信息罪犯罪第一款中出售和提供的對向行為，刑法將出售和非法提供公民個(gè)人信息的行為認(rèn)定為侵犯公民個(gè)人信息，那么二者的對象行為是否當(dāng)然地構(gòu)成非法獲取呢？

實(shí)踐中，對收買公民個(gè)人信息行為的認(rèn)定為非法獲取基本已經(jīng)形成統(tǒng)一的認(rèn)識，筆者在中國裁判文書網(wǎng)進(jìn)行檢索，僅2016年一年就有近40起案件中的行為人購買公民個(gè)人信息的行為被認(rèn)定為非法獲取。 從刑法本身看，刑法中多個(gè)涉及秘密、信息的犯罪都將“收買”與“竊取”并列規(guī)定，如《刑法》第111條：“為境外的機(jī)構(gòu)、組織、人員竊取、刺探、收買、非法提供國家秘密或者情報(bào)的”；第282條：“以竊取、刺探、收買方法，非法獲取國家秘密的”?？梢娏⒎ㄉ弦舱J(rèn)可“收買”與“竊取”行為有大致相同的危害性。因此將“收買”認(rèn)定為非法獲取既有立法上的依據(jù)，同時(shí)也符合我國司法實(shí)踐中的做法。

那么關(guān)于“收受”該如何認(rèn)定呢？按照上文關(guān)于“非法”的解讀，應(yīng)將沒有法律依據(jù)而且足以危害公民個(gè)人信息的行為認(rèn)定為非法。具體到收受行為，它作為提供的一種對向行為，由提供行為違反國家規(guī)定可以推出收受行為沒有法律依據(jù)，也就是說行為人收受的個(gè)人信息是不應(yīng)當(dāng)被提供的。接下來要考慮收受行為是否足以危害公民個(gè)人信息。首先，一般來說收受行為表現(xiàn)為消極、被動(dòng)的接受，其危害性要小于主動(dòng)的竊取和收買，但不排除有時(shí)收受也表現(xiàn)為通過積極勸誘對方而獲取，在這種積極主動(dòng)的情況下，收受行為的危險(xiǎn)性明顯增加。也即當(dāng)收受行為超出了定型性、通常性，對“非法提供”起到了不可或缺的作用時(shí)，就可能被認(rèn)定為非法獲取。 其次，可以從收受行為的后續(xù)行為來判斷其危害性。實(shí)踐中行為人收受公民個(gè)人信息往往并不是單純?yōu)榱肆私庑畔⒅黧w，而會(huì)進(jìn)一步利用所收取公民個(gè)人信息。目前刑法只把出售、非法提供和非法獲取公民個(gè)人信息的行為規(guī)定為犯罪，并沒有對利用公民個(gè)人信息的行為做出規(guī)定。實(shí)踐中大量存在的利用公民個(gè)人信息的行為，例如將公民個(gè)人信息大肆用于商業(yè)營銷推廣，已經(jīng)給信息主體的生活造成嚴(yán)重困擾，但由于缺少明確的規(guī)定，這些利用公民個(gè)人信息的行為還無法受到刑法的制裁。因此，如果行為人在收取公民個(gè)人信息之后進(jìn)一步實(shí)施了利用公民個(gè)人信息的行為，可認(rèn)為其收受行為具備了足夠的危害性，并將其認(rèn)定為非法，這樣可以為公民個(gè)人信息提供更加全面的保護(hù)。

注釋：

齊愛民.大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)法國際比較研究.法律出版社.2015.135，136.

齊愛民.拯救信息社會(huì)中的人格.北京大學(xué)出版社.2009.85.

王昭武、肖凱.侵犯公民個(gè)人信息罪認(rèn)定中的若干問題.法學(xué).2009（12）.

張磊.司法實(shí)踐中侵犯公民個(gè)人信息犯罪的疑難問題及其對策.當(dāng)代法學(xué).2011（1）.

趙秉志.公民個(gè)人信息刑法保護(hù)問題研究.法學(xué)論壇.2014（1）.

何顯兵.再論盜竊與搶奪的界限.中國刑事法雜志.2012（5）.

資料來源：http：//wenshu.court.gov.cn/.訪問時(shí)間：2017-01-06.

王昭武、肖凱.侵犯公民個(gè)人信息罪認(rèn)定中的若干問題.法學(xué).2009（12）.