“侵犯公民人格權犯罪問題”課題組

（上海市虹口區(qū)人民檢察院，上海200082；上海市人民檢察院第一分院，上海200052）

論侵犯公民個人信息犯罪的司法認定

“侵犯公民人格權犯罪問題”課題組

（上海市虹口區(qū)人民檢察院，上海200082；上海市人民檢察院第一分院，上海200052）

《刑法修正案(七)》將侵犯公民個人信息的犯罪行為納入刑法調整范圍，由于該修正案對該行為的規(guī)定比較原則和概括，特別是對于如何認定公民個人信息的范圍、如何界定情節(jié)嚴重的標準等都沒有明確規(guī)定，也未有相關司法解釋予以完善，導致司法實踐中法律適用疑問很多。侵犯公民個人信息的犯罪對象僅指自然人的信息，不包括法人和其它組織的信息，犯罪主體不應僅限于利用公權力采集信息的單位和個人?！胺欠ǐ@取公民個人信息”是指違反法律禁止性規(guī)定，竊取、收買、交換或以其它不正當方法獲取公民個人信息的行為。認定“情節(jié)嚴重”應結合犯罪事實、犯罪情節(jié)、危害后果進行綜合考量。

公民個人信息；非法獲??；情節(jié)嚴重；個人數據

信息化是現代社會發(fā)展的重要標志之一。個人信息作為信息資源的一部分，無疑具有極其特殊的地位，往往附帶巨大的經濟價值，1而泄露和非法利用個人信息將嚴重威脅公民的人身權利和財產安全。早在2003年國務院信息辦就委托科研單位調查研究，并于2005年形成《個人信息保護法（專家建議稿）及立法研究報告》，2008年《個人信息保護法（草案）》呈交國務院審議，但由于種種原因至今尚未出臺。2009年2月全國人大常委會審議通過的《刑法修正案（七）》首次將公民個人信息納入刑法保護范圍，設立了兩個罪名，即出售、非法提供公民個人信息罪和非法獲取公民個人信息罪。自全國首例侵犯公民個人信息犯罪案在廣東宣判后，新疆、浙江、北京、上海等地也相繼報道了各地首例侵犯公民個人信息犯罪案件。因《刑法修正案（七）》頒布時間不長，相關法律及司法解釋均未出臺，法律條文的具體含義也未能達成共識，導致司法機關在適用法律時產生了很多的困惑。2當然，《刑法修正案（七）》出臺后理論和實務界針對法律適用中遇到的問題對該罪名的具體解釋作了不少有益的探討。本文圍繞司法案例，針對司法實踐中出現的法律適用難點提出建議。

一、“公民個人信息”的內涵與外延

由于我國尚未制定專門的公民個人信息保護法律，現有其他法律法規(guī)亦無有關公民個人信息的規(guī)定，因此在司法實踐中對于如何確定刑法保護的公民個人信息的范圍有較大的爭議?？v觀世界各國個人信息保護立法，有的采用個人信息（personal information）的概念，如日本的《個人信息保護法》（Act on the Protection of Personal Information），也有的采用隱私（privacy）的概念，如美國的《隱私法》（Privacy Act），3還有的采用個人數據（personal date）的概念，如德國的《聯邦個人數據保護法》（Federal Data Protection Act）。4從概念的基本內涵來說，三者大體一致，從立法動機和基本原則來說，三者的背景也基本一致。從權利基礎來說，個人信息、個人數據的概念和隱私的概念代表著當今世界兩種保護公民個人信息的模式，即人格權保護模式和隱私保護模式。前者如德國等國家，堅持個人對其個人信息的控制而實現其維護主體人格權和人格尊嚴的價值理念，強調對個人信息，尤其是敏感個人信息和可識別個人信息的收集必須得到個人的明示同意。5后者如美國，個人信息被認為是一種非常實在的利益，原則上，只要個人沒有明確反對的話，應該允許對個人信息的收集和使用，但是，不能對個人信息進行濫用，如果消費者覺得商家的信息行為不妥當，他可以選擇退出。

在我國，理論界大多主張采取德國式的人格權保護模式，并且從現有的現實規(guī)范來看，對公民個人信息的保護也基本采取了人格權保護的模式，如最高人民法院《關于審理名譽權案件若干問題的解答》第七條、《關于確定民事侵權精神損害賠償責任若干問題的解釋》第一條和第三條分別以名譽權和一般人格權保護個人隱私?！缎谭ㄐ拚福ㄆ撸穼⑶址腹駛€人信息犯罪置于《刑法》第二百五十三條之后，刑法分則第四章“侵犯公民人身權利、民主權利罪”之下，更表明了我國立法者的態(tài)度。

那么，公民個人信息到底應當包括哪些呢？有觀點將公民個人信息定位于姓名、職業(yè)、職務、年齡、婚姻狀況、學歷等“能夠識別公民個人身份的信息”。6也有觀點認為“公民個人信息是指以任何形式存在的、與公民個人存在關聯并可以識別特定個人的信息。其外延十分廣泛，幾乎有關個人的一切信息、數據或者情況都可以被認定為個人信息”。7還有觀點認為，確定刑法保護的公民個人信息范圍時應綜合考慮個人意愿和社會評價。8盡管各種觀點所表述的范圍不同，但基礎是相同的——“識別性”（identi fied or identif iable），也就是采用直接或間接的方式，能識別出公民個人身份。

筆者認為，公民個人信息是指能直接指明或間接推斷出公民個人身份的信息，比如：姓名、身份證號碼、電話號碼、家庭住址、職業(yè)、醫(yī)療記錄等。從內涵上講，公民個人隱私也應包括在內。不能因為要控制刑罰適用而人為地隨意擴大或縮小公民個人信息的外延。關于公民個人信息的界定，應采取概括加列舉方式，以適應社會的發(fā)展需求，同時在刑法適用上根據不同信息對于個人的重要性以及公共利益的需要在“情節(jié)嚴重”的認定上做差別認定，以適當控制刑罰的適用，保持刑法的謙抑性。應當指出的是，法人等其他組織的信息不在《刑法》第二百五十三條的保護之內。不法分子在販賣公民個人信息的同時，一般也經營企業(yè)的工商資料等信息交易，在買賣信息的過程中，個人信息和工商信息不分，在認定過程中應當嚴格區(qū)分兩者，將非公民個人信息予以剔除，但涉及企業(yè)法定代表人或者其他經營者的個人信息的，應當認定為公民個人信息。還比如，在一些車主信息數據中，既包括個人車主信息，同時包括單位車主信息，在認定中同樣應當剔除單位車主信息。司法實踐中應當嚴格按照認定公民個人信息的標準去偽存真，準確計算。有條件的話，辦案單位可以委托相關部門進行鑒定，確定涉案公民個人信息的數量等。

應該指出的是，公民個人信息不僅包括能識別公民個人身份的靜態(tài)信息，還包括能夠體現公民行蹤的動態(tài)信息，如賓旅館住宿信息和機場登機、到達信息等。如在上海浦東新區(qū)人民法院審理的賴某非法獲取公民個人信息罪一案中，被告人賴某為開展幫人討債尋人、婚外戀跟蹤取證、打假等業(yè)務，為滿足客戶需求，由賴某利用朋友職務便利及互聯網搜尋等方式購買、收集所需信息，并以高價出售給客戶獲取利益，總計獲利人民幣60余萬元。其中，賴某與某公安分局消防支隊的吳某約定，由吳某通過公安內部網查詢大量人口信息和客人入住賓館信息并傳給賴某，賴某獲得相關信息后，再轉售牟利。經查證，自2009年3月至案發(fā)之前，賴某獲取公民個人信息五十余條，支付給吳某好處費37300元。上海市浦東新區(qū)人民法院于2010年1月，以非法獲取公民個人信息罪判處賴某有期徒刑一年，并處罰金人民幣二萬元。個人入住賓館記錄這類信息體現公民行蹤的動態(tài)信息，往往比姓名、家庭住址、電話號碼等靜態(tài)信息更關乎公民人身安全，一旦被不法分子掌握，極易造成重大危害結果，理應納入公民個人信息保護的范圍。

另外，還應當注意法律中的“例外”情形，在保護公民個人信息權利的同時還應當保持其與保障信息公開和鼓勵電子商務等公共利益之間的平衡。加拿大《隱私權法》第三條在列舉隱私的范圍同時亦列舉了豁免的數種情形，如與公職人員職務相關的個人信息等。我國臺灣地區(qū)“電腦處理個人資料保護法”第八條規(guī)定了數種例外的情形，如為維護公共安全、為增進公共利益、為防止他人權益之重大危害而有必要等等。將來我國在制定公民個人信息相關細則或者個人信息立法時應做相應的考慮，將為保護國家與公共安全的需要以及公民本人同意采集公民信息作為保護公民個人信息的例外。

二、犯罪主體的性質和范圍

根據《刑法》第二百五十三條之一的規(guī)定，出售、非法提供公民個人信息罪的犯罪主體是特殊主體，也即“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，非法獲取公民個人信息罪的犯罪主體為一般主體，這一點并無異議，但是對于出售、非法提供公民個人信息罪中“等單位”的理解，理論界和實務界仍存有爭議。除列舉的“國家機關或者金融、電信、交通、教育、醫(yī)療等單位”之外，這里的“單位”是否還包括在提供服務中合法采集公民個人信息的保險、房地產銷售或中介、汽車銷售、公民職業(yè)技能培訓等其他單位呢？有觀點認為：“考慮到本條主要是對在履行職責或提供公共服務過程中利用某種程度的‘公權力’采集到的公民個人信息的國家機關或者單位，違反法律規(guī)定的保密義務的應負的刑事責任……不宜將公民個人信息的刑事保護范圍擴大到沒有利用‘公權力’采集的一切單位和個人?！?

理解法律條文應該結合法律條文內部的邏輯以及立法目的和宗旨。公民個人信息的泄露無非有兩種途徑，一是合法占有該信息的單位或個人非法泄露，二是不具有該信息的單位或個人通過非法手段獲得，參照《刑法修正案（七）》第七條第三款，該條第一款規(guī)范的是前者，第二款規(guī)范的是后者，如果將前者狹義理解為具有公權力的國家機關或其他單位，則會造成保護公民個人信息的漏洞。既然通過第二種途徑非法泄露公民個人信息的單位或個人應受到處罰，為什么通過第一種途徑非法泄露公民個人信息的非公權力機關或單位就不應該受到處罰呢？法條本身只是規(guī)定“本單位在履行職責或者提供服務過程中”，既沒有強調利用某種程度的“公權力”，也沒有要求必須是在“提供公共服務過程中”，因此作此限定亦無法律依據。10“金融、電信、交通、教育、醫(yī)療等單位”既包含國有單位、集體單位亦包括私營單位，如果遵照法條的原意，私營教育、醫(yī)療、金融等單位理應包括在內，那么其他能夠在提供服務中依法獲取公民個人信息的私營單位又有什么理由應當被排除在外呢？反觀其他國家的立法，其均未規(guī)定泄露公民個人信息的主體必須是享有公權力或者提供公共服務的單位或其工作人員。如1974年《日本改正刑法草案》第三百十七條規(guī)定：“從事醫(yī)療業(yè)務、法律業(yè)務、會計業(yè)務或者其他基于與委托人的信賴關系而知悉他人秘密的業(yè)務的人或者其輔助者，或者曾經處于這種地位的人，無正當理由，泄露就其業(yè)務所知悉的他人的秘密的，處一年以下懲役、禁錮或者二十萬元以下罰金。從事宗教職業(yè)的人或者曾經從事宗教職業(yè)的人，無正當理由，泄露就其業(yè)務所知悉的他人秘密的，與前項同?！?999年《奧地利聯邦個人數據保護法》第五十一條第一款規(guī)定：“無論何人，如果使用已經被委任的，或者由于專業(yè)原因而獲得的個人數據，或者非法獲取數據，并為個人使用或者把這些數據提供給他人或者為營利或致害目的而公開這些數據，除去數據所有人應受保護的利益外，應該由法院處以一年的監(jiān)禁處罰，除非另外的條款規(guī)定了更重的處罰?！?/p>

出售、非法提供公民個人信息罪中“單位的工作人員”應限于依職權管理公民個人信息的人，即根據單位的相關規(guī)定或工作安排，對公民個人信息履行職責或提供服務的人員，出售或者向他人非法提供公民個人信息，情節(jié)嚴重的，應構成出售、非法提供公民個人信息罪。如行為人雖是單位工作人員，但不具有采集或管理公民信息職責，僅利用容易獲知公民信息的工作便利，秘密竊取公民個人信息，應以非法獲取公民個人信息罪論處。浙江省溫州市蒼南縣人民法院審理的鄭某、蘇某非法獲取公民個人信息一案中，被告人蘇某系蒼南縣公安局交警大隊靈溪中隊協(xié)警，其利用靈溪交警中隊晚上無人值班之際，多次利用竊取的公安數字身份證書登陸公安內網全國交通管理信息查詢系統(tǒng)，非法查詢和下載了五十五萬條車輛車主信息，并通過互聯網全部發(fā)給鄭某，得款三萬余元。蘇某盡管是交警大隊協(xié)警，但其獲取個人信息時并未利用自身的職權管理職責，而是通過竊取的方式，故蒼南縣人民法院以非法獲取公民個人信息罪判處蘇某有期徒刑一年六個月并處罰金。11

三、“非法獲取”的理解與認定

《刑法》第二百五十三條之一第二款規(guī)定：“竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰?！彼^“非法獲取”，有觀點認為是指沒有法律根據而獲取。12對比該條前款發(fā)現，前款的要求是“違反國家規(guī)定”，如果將該款中的“非法”理解為“沒有法律根據”，是不符合立法精神的，因為前款中的機關或單位雖明顯處于強勢地位，卻利用職權便利，出售或非法提供個人信息，其處罰限制條件理應不比該款寬松。13該條的“非法”理應是“違反法律禁止性規(guī)定”的含義而非“沒有法律依據”。但也有觀點擔心，我國公民個人信息保護法尚未出臺，如果理解為“違反法律禁止性規(guī)定”會導致前位法律缺失最終影響該罪名的適用。從法理上分析，法無明文規(guī)定不禁止，除非該行為損害公共利益和社會秩序、違反社會公德，因此將此處的“非法”理解為“違反法律禁止性規(guī)定或社會公序良俗”更為恰當。14

本條在“非法獲取”前加了“竊取或者以其他方法”的定語，如果我們把“非法獲取”理解為沒有明文法律規(guī)定，那么“竊取”又違背了哪一條法律規(guī)范呢？其實不然，竊取行為是明顯違背社會倫理道德，侵害公共秩序和善良風俗而為一般社會正義所不容的，是天然的“非法”，這也正是“自然犯”理論的基礎。以此類推，其他譬如搶劫、搶奪、騙取、脅迫等類似行為理應認定為天然的“非法”。

那么常見的“購買”、“交換”公民個人信息等行為是否屬于“非法獲取”呢？從立法經驗來看，現有刑法體系內，“竊取”多與“收買”相提并論，如《刑法》第一百一十條規(guī)定“為境外的機構、組織、人員竊取、刺探、收買、非法提供國家機密或者情報的”等，《刑法》第一百七十七條第二款規(guī)定“竊取、收買或者非法提供他人信用卡信息資料的”等。當然，僅有立法經驗或慣例還不夠，關鍵是看“購買”公民個人信息到底有沒有違反法律禁止性規(guī)定。追根溯源，“購買”的公民個人信息要么來自于國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員出售或者非法提供，要么來自于他人竊取、搶劫、搶奪、騙取、脅迫等。對于后者，購買他人通過非法手段獲取的屬“非法”應無異議；對于前者，明知或者應當明知是他人違反相關法律法規(guī)出售或者非法提供的公民個人信息仍予以購買，同樣是違反前述法律法規(guī)的，應為“非法”?！敖粨Q”本身就是同“價值”信息之間的流轉，本質上與“購買”無異，自不待言。

當然，非法侵入他人計算機系統(tǒng)獲取他人所有或者管理的公民個人信息亦屬“非法獲取”，因為“非法入侵他人計算機系統(tǒng)”本身就已觸犯刑法，系非法手段。另外，為經營、買賣公民個人信息或者其他非法目的，以“合法的形式”收集公民的個人信息，是“以合法形式掩蓋非法目的”，同樣應屬“非法”。

四、“情節(jié)嚴重”的認定

“情節(jié)嚴重”是侵犯公民個人信息犯罪的客觀構成要件，也是區(qū)分罪與非罪的重要標準之一，因此受到司法實務界和理論界的極大關注。由于該罪名屬新型犯罪，司法實踐經驗少，情況復雜，其標準難以制定，所以相關司法解釋也未能出臺。但對于具體辦案單位來說，又急需明確情節(jié)嚴重的標準問題，因為情節(jié)嚴重的標準關系立案與否、逮捕與否、起訴與否乃至如何量刑等一系列問題。

對此實務界、學界討論亦較多，基本達成一些共識，情節(jié)嚴重一般是指，因出售、非法提供、非法獲取公民個人信息獲利數額較大、出售或非法提供多人信息、多次出售或者非法提供公民個人信息，以及公民個人信息被非法提供、出售給他人后，給公民造成了經濟上的損失，或者嚴重影響到公民個人正常生活，或者被用于進行違法犯罪活動等情形。還有一些公、檢、法單位以共同研討和會簽發(fā)文的形式，制定了更為具體的入罪標準。本文提到的賴某非法獲取公民個人信息案中，賴某從事非法獲取公民個人信息行為時間長、次數多、涉及人員范圍廣、非法獲利數額大，且被用于討債尋人、婚外戀跟蹤等非法活動，檢察院據此認定其“情節(jié)嚴重”，以非法獲取公民個人信息罪起訴后，得到法院判決認可。

從司法實踐角度講，具體且確定的標準易于操作，若能規(guī)定具體的出售信息的獲利數額、非法提供信息的次數或數量、非法獲取信息的次數或數量，無疑會滿足司法人員的需求。但僵化的標準也會帶來諸多問題，不同的公民個人信息及其組合對于個人的重要性差別巨大，對個人的危害性也是會差別巨大，確定的金額、數量、次數標準只能是一種基本因素，完全以該標準來決定罪與非罪有失妥當。全國首例侵犯公民個人信息犯罪的周建平非法獲取公民個人信息案中，被告人周建平共計非法獲取14位政府官員的個人信息并提供給他人用于詐騙犯罪活動，獲利一萬六千元，被珠海市香洲區(qū)人民法院判處有期徒刑一年六個月，并處罰金二千元。15又如上海市浦東新區(qū)人民法院審理的周某、李某等人非法獲取公民個人信息一案，被告人李某于2009年獲取的股民資料、長沙車主、北京車主、銀行客戶、保險客戶、高收入人群名單等公民個人信息高達3000余萬條。16對比上述兩案，如果僅參照數量標準，周建平一案，其非法獲取的公民個人信息數量較少，完全可以不入罪，但從危害結果來看，周建平非法獲取的公民個人信息被用于他人實施詐騙活動，其社會危害性更大。因此，司法人員只有綜合考量全案的犯罪事實、犯罪情節(jié)、社會危害性等各種因素后才能作出正確的定罪判斷。

五、小結

判斷侵犯公民個人信息犯罪罪與非罪的標準應當包括：首先是犯罪主體的界定，國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員作為依法獲取并管理公民個人信息，是大部分個人信息泄露的源頭，其違法行為不僅侵犯了公民的人身權利還侵犯了公民個人信息管理制度，應當較之普通犯罪主體予以較重處罰；其次是主觀惡性標準，即出售、非法提供、非法獲取公民個人信息的用途，是用于經營牟利、從事違法犯罪活動、窺探隱私，或是其他用處，對于他人的用處是否明知等；再次是客觀方面，即出售、非法提供、非法獲取公民個人信息的數量、次數、手段及用途，非法獲利金額；最后是客觀后果，即公民個人信息泄露給公民造成的經濟損失和人身傷害、對公民個人生活造成的影響等。

注：

1周偉萌、齊愛民：《論我國保險業(yè)個人信息保護的行業(yè)自律》，《甘肅社會科學》2011年第5期。

2例如，安徽省合肥市檢察院在辦理該市首例侵犯公民個人信息犯罪時，由于逮捕的標準尚無確定標準，因此從“審慎”的態(tài)度出發(fā)建議公安機關對犯罪嫌疑人取保候審。ht tp://www.chinacour t.org/html/ar ticle/200908/ 03/367906.shtml，2010年11月24日訪問。

3隱私的概念源自美國，1960年，Prosser教授提出了四種侵犯隱私權的類型，奠定了美國隱私權的基礎。美國將公民對個人信息享有的權利視為一種隱私利益，并對其保護，1970年制定的《公平信用報告法》、1974年制定的《隱私法》和1998年制定的《兒童網上隱私保護法》等主要規(guī)制政府機構處理個人信息的行為，同時侵權法、合同法或財產法等普通法主要規(guī)制私人侵犯隱私的行為。

4個人數據的概念則源自歐盟，歐盟1995年《個人數據保護指令》以個人數據作為其基本范疇，其所謂的個人數據，是指任何與一個明確的自然人或可識別的自然人（數據主體）身份有關的信息，其中，“可識別的人”是指可以直接或間接識別的人，尤其是借助于身份證號碼或其他一些有關身體、心理、精神、經濟、文化或社會身份等特定因素可以直接或間接識別其身份的信息。

5按照個人信息的敏感程度將個人信息區(qū)分為敏感個人信息和瑣碎個人信息，據此采取不同程度的保護措施是歐盟等許多國家和地區(qū)立法的做法。所謂的敏感信息，一般是指那些對個人有重要影響的個人信息。一般來說，敏感個人信息包括主體的種族起源、政治觀點、宗教與道德信仰、工會組織、代理關系及與此有關的訴訟、性生活等方面的個人信息。它與個人隱私有很多的重合或重疊之處，但卻又與人們一般意義上的隱私范圍有所不同。而所謂的瑣碎個人信息，是指個人信息中除了敏感信息之外的其他信息。

6、9黃太云：《刑法修正案（七）解讀》，《人民檢察》2009年第6期。

7、12趙秉志：《刑法修正案最新理解適用》，中國法制出版社2009年版，第117頁。

8、10、13王昭武、肖凱：《侵犯公民個人信息犯罪認定中的若干問題》，《法學》2009年第12期。

11參見《浙江溫州首例非法獲取公民個人信息案一審宣判》，ht tp://society.people.com.cn/GB/42733/12226420. html，2010年11月24日訪問。

14凌鴻：《目前立法不完善、司法解釋缺位的情況下，在司法實踐中——非法獲取公民個人信息罪的認定》，《人民法院報》2010年6月17日。

15ht tp://www.legal info.gov.cn/index/content/2010-01/04/content_2015167.htm?node=7880，2010年11月18日訪問。

16ht tp://www.chinacourt.org/html/article/201008/06/422087.shtml，2010年11月26日訪問。

（責任編輯：石泉）

DF624

A

1005-9512（2012）11-0149-06

“侵犯公民人格權犯罪問題”課題組組長：顧靜薇，上海市虹口區(qū)人民檢察院研究室主任。課題組成員：周健，上海市虹口區(qū)人民檢察院公訴科干部；王英杰，上海市人民檢察院第一分院二審處干部；趙寧，上海市長寧區(qū)人民檢察院檢察員。