侵犯公民個人信息犯罪相關問題探析*

●徐州市人民檢察院課題組/文

當世界邁向信息時代，“一個致命缺點在于數據共享的價值或福利是集體體驗，而風險卻是由個人承擔的。”［1］大數據時代在改變人類基本的生活與思考方式的同時，也在推動公民信息管理準則的重新定位。［2］我國2015 年《刑法修正案（九）》和2017 年“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）強化了對公民個人信息的刑法保護，但侵犯公民個人信息犯罪頻發(fā)，我們還須從法律適用層面進一步破解司法實踐中的爭議問題。

一、網絡公開信息的界定

［案例一］王某等人開發(fā)了一款可以從公開的網站上采集企業(yè)聯系人信息的軟件，后成立公司將搜集的企業(yè)信息數據備份至公司數據庫內，又以收取會員費的形式向社會不特定群體推銷該公司開發(fā)的軟件，購買會員后可以大批量搜索相關數據信息。

案例一中，王某等人的行為能否認定為侵犯公民個人信息罪，其在網絡搜集的企業(yè)聯系人信息是否屬于刑法保護的“公民個人信息”，存在爭議。有觀點認為，網絡公開信息不宜納入刑法保護的范圍，信息權利人主動公開就應推定其放棄了該信息的隱私性，對該信息的獲取存在概括的同意和授權，任何人都有權利獲取。筆者認為，考察網絡公開信息是否屬于公民個人信息的范疇應當先對刑法意義上的公民個人信息進行全方位地界定。

公民個人信息，包含“公民”“個人”“信息”三個詞語?！肮瘛保粌H限于中國公民，外國人和無國籍人的信息也同樣受到刑法的平等保護；“信息”既包括身份識別信息，如手機號、身份證號、銀行賬號等，也包括反映特定自然人活動情況的信息，比如航班信息、住宿記錄、手機定位信息等。

“個人”則強調了信息的專屬性和隱私性。專屬性，即指直接或間接與特定自然人的身份相連接，從功能上講亦可稱作可識別性?？勺R別性，是“公民個人信息”的核心特征，即該信息能夠直接指向特定主體或與其他信息相結合指向特定主體。“直接（單獨）識別”很易理解，比如身份證號就是能夠單獨識別特定自然人身份的信息，那么“間接識別”如何理解呢？在大數據時代，很多相關信息經過整合處理后都有可能關聯到特定個人，這些單獨不具識別性的公民個人信息因通過大數據的超強智慧分析而具有了識別性。筆者認為，這樣的信息就屬于“間接識別”信息，理應納入公民個人信息的范疇，而不應因其本身識別性不強而將其排除在公民個人信息的范疇之外。例如，快遞單信息和網購訂單信息雖然不能直接識別到特定的主體，但通過網絡和數字系統(tǒng)均可以查詢到與其相關聯的自然人，因此非法買賣快遞單信息或網購訂單信息情節(jié)嚴重的，構成侵犯公民個人信息罪。又如，醫(yī)藥代表通過私人渠道獲取的病床號和使用特定藥品情況，無病人姓名、身份證號等信息，對于該信息是否具識別性、能否認定為公民個人信息就存在爭議。筆者認為，在特定時間段，病床號與住在該病床的病人是一一對應的，由病床號足以關聯到特定自然人，且獲知其使用特定藥品情況就侵犯了其隱私，存在進一步打擾其個人生活安寧的可能性，應當認定行為人獲取的信息是受刑法保護的公民個人信息。有論者認為，只有一項信息或多項信息組合具有特定指向時，方能將這個或這些信息認定為公民個人信息［3］，這顯然狹隘地理解了公民個人信息的定義和范圍。但是，如果某信息必須通過極其不合理的時間、成本和技術整合處理后，方能與特定的主體相關聯，則認為該信息不具備可識別性。［4］

至于隱私性，有學者認為刑法保護的個人信息應當是反映公民隱私權的個人信息，這涉及到個人信息是否具有保護價值的判斷基準問題。［5］從比較法的角度看，德日等大陸法系國家對于泄露秘密罪中秘密的認定，是否要考慮被害人的主觀期待存在不同見解。以日本法為例，主觀說認為只要本人主觀上具有作為秘密的意思就夠了，客觀說認為必須是對于本人來說具有作為秘密加以保護的客觀價值，綜合說認為必須是在客觀上具有作為秘密的價值，而且本人也具有將其作為秘密的愿望，擇一說認為二者只要具備其一即可。［6］筆者認為，刑法保護的公民個人信息應當采用擇一說，即該信息或者客觀上具有作為隱私加以保護的價值或者本人主觀上具有將其作為隱私不被外人所知的意思。如果采綜合說，只有主客觀均具有隱私特征的信息才屬于公民個人信息，那么很多信息都會被排除在公民個人信息的范疇外，顯然不利于刑法對公民個人信息的保護。比如在下載手機app 時的“隱私權限授權”，雖然app 使用者將個人隱私信息和定位信息授權軟件開發(fā)商，似乎不具備將個人信息作為隱私保護的意思，但站在客觀角度從社會通念來看，使用者只是為了方便使用app，并非想將自己的個人信息被外人所知，因此這種授權并不能改變個人信息的隱私性，如果將通過這種方式獲取的個人信息進行出售且情節(jié)嚴重的，應當構成侵犯公民個人信息罪。

根據以上特點，網絡公開信息似乎可以排除在刑法保護的公民個人信息之外，然而不能一概而論，當綜合考量。筆者認為，應當考量網絡信息發(fā)布人對信息公開程度和被利用渠道的主觀意愿與信息被收集、售賣之后具體用途之間的差異性。比如律師在微博上發(fā)布聯系方式是為了獲得訴訟代理或案件委托，并不想接受貸款、保險等廣告推銷甚至詐騙電話，其在網絡發(fā)布聯系方式并不意味著完全放棄了個人信息的隱私性，上文案例中企業(yè)在網絡發(fā)布聯系人信息，也是為了經營需要，各種類型的廣告推銷和詐騙電話只會影響其正常的經營活動，甚至會使其企業(yè)財產安全陷入風險中。主動公開并不等于主動接受“被騷擾”［7］，如果收集此類信息并向他人提供，獲取信息者進行推銷、詐騙等打擾信息發(fā)布者私人生活安寧甚至影響人身財產安全的行為，情節(jié)嚴重的應當認定為侵犯公民個人信息罪。

二、“獲取”公民個人信息行為的認定

我國《刑法》第253 條對“獲取”公民個人信息行為的規(guī)定是“竊取或者以其他方法非法獲取”。那么，“以其他方法非法獲取”包括那些方法？

［案例二］證券公司趙某用其手機號碼登錄注冊某股票網站時，發(fā)現此手機號碼已在該網站上注冊過，如果某手機號碼已在網站上注冊，再用該號碼注冊時，頁面上就會顯示“該手機號碼已經注冊”。于是，趙某通過網絡搜索獲取了其所在省的手機號碼號段，編排了一系列手機號碼，在該股票網站嘗試登錄，并將頁面顯示“該手機號碼已經注冊”的手機號碼予以收集，用于電話推銷證券業(yè)務。

［案例三］行為人李某在論壇上發(fā)布希望得到某方面公民個人信息的帖子，解某看到這個帖子后，無償向李某提供了其需要的公民個人信息。

案例二中趙某通過嘗試登錄網站并排查注冊號碼從而獲取股民手機號的行為，是否屬于“以其他方法非法獲取”公民個人信息的行為？案例三中，對于發(fā)布帖子并收受信息的李某能否認定為“以其他方法非法獲取”公民個人信息？與之類似的還有“人肉搜索”，在《刑法修正案（九）（草案）》審議過程中，就有將“人肉搜索”入罪的呼聲。上述行為是否歸于“以其他方法非法獲取”公民個人信息的行為范疇而具有刑事可罰性，存在不同認識。

有觀點認為，“其他方法”應當限于與“竊取”危害性相當的方式（如搶奪），不宜將“購買”等手段包括在內。［8］“兩高”《解釋》顯然持相反觀點，將購買、收受、交換等方式認定為獲取公民個人信息的“其他方法”，爭議關鍵點在于對“違反國家有關規(guī)定”和“非法”的理解。我國《刑法》第253 條對于“提供”公民個人信息行為規(guī)定了“違反國家有關規(guī)定”的前提性條件，對于“獲取”公民個人信息行為則規(guī)定了“非法”的要求，那么，如何理解“違反國家有關規(guī)定”與“非法”呢？關于“非法”，德國法學家克勞斯·羅克新認為，德國有些刑法分則條文中規(guī)定的“違法”或“非法”的字眼，并非構成要件要素，僅僅是一種對違法性的一般犯罪特征的提示（本身是多余的）。［9］筆者認同此觀點，“以其他方法非法獲取公民個人信息”中的“非法”只是對該行為違法性的提示，不屬于構成要件要素，即這里的“非法”并非指獲取手段或方法行為的性質，而是指行為人獲取公民個人信息的行為在本質上是違法的。因此，獲取公民個人信息的“其他方法”并不要求是與竊取具有相當社會危害性或違法性的手段、方法。

《解釋》在將購買、收受、交換等方式認定為獲取公民個人信息的“其他方法”時，放置了“違反國家有關規(guī)定”的前提性條件，與提供公民個人信息的規(guī)定相統(tǒng)一，均以“違反國家有關規(guī)定”作為前置性要件。這屬于典型的空白罪狀，即在條文中沒有詳細地規(guī)定某一犯罪構成的特征，具體認定還要參照其他法律、法規(guī)。根據《解釋》，“違反國家有關規(guī)定”是指違反法律、行政法規(guī)、部門規(guī)章中有關公民個人信息保護的規(guī)定。但是，由于我國目前有關公民個人信息保護的法律、法規(guī)極為分散、不成系統(tǒng)，散見于我國《居民身份證法》《護照法》《郵政法》《檔案法》《消費者權益保護法》《電信條例》《道路交通安全法》《反洗錢法》《律師法》《公證法》《勞動爭議調解仲裁法》《銀行業(yè)監(jiān)督管理法》《網絡安全法》等涉及不同行業(yè)的法律法規(guī)中，導致侵犯個人信息犯罪的刑法適用遭遇構成要素內容含混不清的困境，這給司法實踐的具體適用造成較大障礙，因此有學者建議取消“違反國家有關規(guī)定”這樣的前置性條款。筆者認為，當務之急是盡快完善有關公民個人信息保護的法律、法規(guī)，制定專門的個人信息保護法，以提高前置法規(guī)的保護密度，充實侵犯個人信息犯罪的法律適用依據，防止因前置法規(guī)的不完善而阻卻構成要件符合性，不當限縮該罪處罰范圍，降低公民個人信息的刑法保護力度。

在個人信息保護法尚未出臺的情況下，有必要對“違反國家有關規(guī)定”進行符合立法原意、司法實踐和社會現狀的解讀。筆者認為，“違反國家有關規(guī)定”可以解讀為：提供或獲取公民個人信息“沒有法律依據、法律授權和法律資格”，即無權提供或獲取公民個人信息的行為人實施了提供或獲取公民個人信息的行為，情節(jié)嚴重的，構成侵犯公民個人信息罪。這就要排除行為人具有法律依據、法律授權和法律資格的情形——依照法律的行為、執(zhí)行命令的行為、正當業(yè)務行為、經權利人承諾的行為。具體來說，一是依職權提供或獲取公民個人信息；二是經當事人同意提供或獲取公民個人信息；三是提供或獲取公民個人信息具有明確的法律依據、法律授權和法律資格。第一種情形，比如公檢法機關在辦理案件過程中因辦案需要而依法提供或獲取公民個人信息，顯然是具有法律依據和法律授權的。但是，如果僅僅是在履行職責和提供服務的過程中有權接觸公民個人信息，并無法律依據和法律授權可以獲取或對外提供其接觸的公民個人信息，那么其擅自將接觸到的信息私自記錄保存（收集）的行為就屬于違反國家有關規(guī)定，獲取公民個人信息的行為。第二種情形，以經權利人允諾而作為阻卻違法的正當化事由，因為“信息自決權為個人信息保護立法的權利基礎，公民個人信息權是公民個人自決權范圍內的個人權利”［10］，所以在未經當事人同意或授權的情況下提供或獲取公民個人信息的，應以侵犯信息自決權作為認定行為違法的實質根據。從“違反國家有關規(guī)定”的角度講，實際上違反了《網絡安全法》《消費者權益保護法》《居民身份證法》等相關法律法規(guī)的內容，以及《民法總則》對公民隱私權、個人信息權的保護。那么，如果行為人不具備前述三種情形，則認為行為人提供或獲取公民個人信息的行為“違反國家有關規(guī)定”，符合侵犯公民個人信息罪的行為方式要件。

由此可見，上文案例中通過嘗試登錄股票網站并排查注冊號碼從而獲取股民手機號的行為、生活中的“人肉搜索”行為，都應當屬于《刑法》第253 條“以其他方法非法獲取公民個人信息”中的“其他方法”，屬于《解釋》第4 條“違反國家有關規(guī)定，通過購買、收受、交換等方式”中的“等方式”。其中“人肉搜索”行為，并非單純地通過搜索引擎搜索網絡公開信息的行為，而是通過某個網絡ID 在百度、微博、貼吧等各種公開和內置的搜索引擎搜索相關資料，再進一步將這些資料比對、分析、過濾，最終找到搜索對象的個人信息，其“人肉”到的信息通常都是搜索對象作為隱私進行保護的信息，而且后續(xù)往往伴隨著網絡公布和網絡暴力行為，對搜索對象的生活安寧和人身安全造成極大的傷害。從獲取信息的手段上來看，“人肉搜索”是一種積極、主動搜集他人隱私信息的行為，其可罰性并不低于購買、收受信息行為，而且“人肉搜索”行為并沒有法律依據和法律授權，符合“違反國家有關規(guī)定”的前置性要件，情節(jié)嚴重的情況下應當入罪處理。

“在對實質的公民個人信息法益進行規(guī)范化的過程中，需要準確而精致地界定行為?！保?1］司法實踐中，獲取公民個人信息的行為存在多種樣態(tài)，必須準確界定何為“以其他方法非法獲取”，方能使嚴重侵害公民個人信息法益的行為受到刑罰懲處。

三、公民個人信息的類別歸屬

基于不同類型公民個人信息之于人身、財產安全的重要程度，《解釋》分別設置了“50 條以上”“500條以上”“5000 條以上”的入罪標準，以實現罪責刑相適應。［12］然而司法實踐中，辦案人員對于公民個人信息的類別歸屬常會產生爭議和分歧，有些信息很難被清晰地界定究竟屬于哪一檔信息類型。

［案例四］被告人劉某、譚某從樊某處購買了一批非法微信掃號軟件，又從網上購買了含有大量用戶名、密碼的微信登錄數據，將這些登錄數據導入上述軟件，通過運行軟件并采用“撞庫”的手段，非法獲取可以直接登錄的微信用戶名及密碼4000 余組，之后將獲取的微信信息轉賣給他人。［13］

本案中的“微信信息”包含“朋友通訊錄、聊天記錄、朋友圈信息、微信支付、微信零錢、微信運動”等，甚至還可能有實時位置這樣的行蹤軌跡信息，那么此類信息應當歸屬《解釋》第5 條中的“高度敏感信息”（50條構罪）、“重要信息”（500 條構罪）還是上述信息以外的“普通信息”（5000 條構罪）？公民個人信息歸屬類別不同，適用不同定罪標準將涉及到罪與非罪的問題，即使構罪也會涉及到罪輕與罪重的問題。“高度敏感信息”“重要信息”“普通信息”界限不清、“財產信息”“交易信息”“征信信息”等信息概念不明以及“可能影響人身、財產安全”的判斷標準模糊，導致司法實踐中公民個人信息的歸類障礙和歸類差異，存在法律適用的不確定性、不穩(wěn)定性和不準確性。

因此，筆者對《解釋》的罪量配置有一定的異議。從《解釋》第5 條第3、4 款列舉的8 類公民個人信息來看，行蹤軌跡信息應嚴格把握其范圍，只宜理解為GPS 定位信息、車輛軌跡信息等可以直接定位特定自然人具體坐標的信息，［14］這類信息之于人身、財產安全的重要度毋庸置疑，一旦被泄露給不法分子，極易觸發(fā)侵犯人身、財產安全的犯罪，使權利人的人身、財產安全陷入高風險狀態(tài)或者造成實質危害。而通信內容、征信信息、財產信息是否就要比住宿信息、通信記錄、健康生理信息、交易信息更重要呢？筆者認為，這些信息之于人身、財產安全的重要性難以區(qū)分高下，都屬于“可能影響人身、財產安全的公民個人信息”，比如徐玉玉案，就是其身份、考學等信息被泄露后引發(fā)的詐騙犯罪，最終導致了悲劇的發(fā)生；再如，很多人將生理健康信息看作非常重要的個人隱私，一旦泄露很可能對當事人產生較嚴重的影響和傷害。此外，在司法實踐中，很多信息的內涵和外延都存在交叉，比如財產信息，既包括銀行賬戶、第三方支付結算帳戶、證券期貨等金融服務賬戶的身份認證信息［15］，也包括存款、房產等財產狀況信息，那么房產交易、抵押或資金借貸信息究竟是屬于征信信息、交易信息還是財產信息很難具體界定，進一步說明這些信息之于人身、財產安全的重要性和敏感程度并沒有顯著差異。因此，建議將行蹤軌跡信息單獨置于第一檔中，適用“50 條以上”的入罪標準；通信內容、征信信息、財產信息、交易信息、住宿信息、通信記錄、健康生理信息等可能影響人身、財產安全的公民個人信息作為第二檔的保護對象，適用“500 條以上”的入罪標準。這樣的罪量配置更科學合理也更具可操作性，可在一定程度上解決司法實踐中公民個人信息歸類不清晰、法律適用不確定的問題。

注釋：

［1］［美］帕特里克·塔克爾：《大數據時代：如何預見未來的生活和自己》，錢峰譯，江蘇鳳凰文藝出版社2014 年版，第54 頁。

［2］參見［英］維克托·邁耶·舍恩伯格：《大數據時代：生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013 年版，第504 頁。

［3］參見薛檢祥、黃志：《刑法中“非法獲取公民個人信息”的認定》，江蘇省法學會刑法學研究會2017年年會《“新時代刑事法治的理論前沿及司法適用”論文集》。

［4］歐盟《通用數據保護條例》（GDPR）就以識別手段的合理性作為判斷信息是否可識別的標準。

［5］參見蔡軍：《侵犯公民個人信息犯罪立法的理性分析——兼論對該罪立法的反思與展望，《現代法學》2010 年第7 期。

［6］參見［日］大谷實：《刑法講義各論》，黎宏譯，中國人民出版社2008 年版，第142 頁。

［7］于廣飛、賈飛林：《出售網絡上公開信息應當構成侵犯公民個人信息罪》，江蘇省法學會刑法學研究會2017 年年會《“新時代刑事法治的理論前沿及司法適用”論文集》。

［8］參見張明楷：《刑法分則的解釋原理》，中國人民大學出版社2011 年版，第51 頁。

［9］參見［德］克勞斯·羅克新：《德國刑法學總論》，王世洲譯，法律出版社1997 年第3 版，第190 頁。

［10］張東生、戴有舉：《侵犯公民個人信息研究》，《河南財經政法大學學報》2018 年第5 期。

［11］于志剛、李源粒：《大數據時代數據犯罪的類型化與制裁思路》，《政治與法律》2016 年第9 期。

［12］第一檔是50 條標準，行蹤軌跡信息、通信內容、征信信息、財產信息等高度敏感信息是該檔標準的保護對象；第二檔是500 條標準，“非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息500條以上的”，屬于“情節(jié)嚴重”；第三檔是5000 條標準，適用于前兩檔以外的公民個人信息。

［13］參見江蘇省常州市新北區(qū)人民法院（2017）蘇0411 刑初4 號刑事判決書。

［14］參見喻海松：《侵犯公民個人信息罪司法解釋理解與適用》，中國法制出版社2018 年版，第172 頁。

［15］一組確認用戶操作權限的數據，包括賬號、口令、密碼、數字證書等。