喻海松

當今世界各國都將個人信息保護置于重要地位，不少國家對個人信息的保護都有專門立法。我國迄今尚未制定一部完整、統(tǒng)一的公民個人信息保護法，只在相關(guān)法律中作出了相應規(guī)定。為進一步加強對公民個人信息的保護，《刑法修正案(九)》將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪整合成侵犯公民個人信息罪，擴大了犯罪主體的范圍并提升了法定刑配置。根據(jù)修改后的刑法規(guī)定，最高人民法院、最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10號，以下簡稱《解釋》），對侵犯公民個人信息犯罪的定罪量刑標準和有關(guān)法律適用問題作了全面、系統(tǒng)的規(guī)定。本文不揣冒昧，嘗試圍繞《解釋》的相關(guān)規(guī)定對侵犯公民個人信息罪司法適用的具體問題作進一步探究，衷心希望學界專家和實務(wù)同仁不吝指教。

一、“公民個人信息”的范圍

如何妥當把握“公民個人信息”的范圍，直接影響到侵犯公民個人信息罪在司法實踐中的正確適用。由于刑法第253條之一未對“公民個人信息”作出明確界定，司法實踐中對此問題存在較大的認識分歧。在《解釋》第1條關(guān)于“公民個人信息”的規(guī)定中，以下三個方面的具體問題值得進一步探討：

（一）“公民個人信息”的主體

在《刑法修正案（七）》施行后，對非法獲取公民個人信息罪中的“公民”如何理解，是限于中國公民，還是包括外國公民在內(nèi)，存在著不同認識?！?〕劉濤：《關(guān)于刑法第二百五十三條之一第二款有關(guān)內(nèi)容理解問題的研究意見》，載張軍主編：《司法研究與指導》(總第1輯)，人民法院出版社2012年版。本文認為，對“公民個人信息”的主體范圍應采取相對寬泛的理解，既包括中國公民的個人信息，也包括外國公民和其他無國籍人的個人信息，理由為：

第一，對于刑法規(guī)范用語，不應人為限縮其適用范圍。刑法第253條之一的用語是“公民個人信息”，并未限定為“中華人民共和國公民的個人信息”，因此不應將此處的“公民個人信息”限制為中國公民的個人信息。可以類比的是，刑法第232條規(guī)定故意殺人罪的對象為“人”，毫無疑問不能將此處規(guī)定的“人”理解為中國人，否則在中國境內(nèi)殺害外國公民的案件將無法適用該條規(guī)定。

第二，外國人、無國籍人的信息應當同中國公民的信息一樣受到刑法的平等保護，否則就會出現(xiàn)對外籍人、無國籍人個人信息保護的缺失，而這顯然是不適當?shù)?。從個人信息的刑法保護角度而言，“我國對中國公民、處在中國境內(nèi)的外國人和無國籍人以及遭受中國領(lǐng)域內(nèi)危害行為侵犯的外國人和無國籍人，一視同仁地提供刑法的保護，不主張有例外?！薄?〕趙秉志主編：《刑法修正案(七)專題研究》，北京師范大學出版社2011年版，第150頁。

第三，從司法實踐來看，將大量外籍人、無國籍人個人信息排除在刑法保護之外，無疑會放縱犯罪。特別是在侵犯公民個人信息犯罪案件所涉及的個人信息既有我國公民的個人信息，也有外國公民、無國籍人的個人信息時，只處罰涉及我國公民個人信息的部分，既不合理，也難操作。

（二）“公民個人信息”的內(nèi)涵

目前，我國關(guān)于個人信息的界定，最為權(quán)威的當屬《網(wǎng)絡(luò)安全法》的規(guī)定?！毒W(wǎng)絡(luò)安全法》第76條規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！睂η址腹駛€人信息罪中“公民個人信息”的界定，無疑應當以《網(wǎng)絡(luò)安全法》的規(guī)定為基礎(chǔ)，但能否直接適用這一規(guī)定，則存在不同認識。《解釋》第1條在《網(wǎng)絡(luò)安全法》第76條規(guī)定的基礎(chǔ)上，進一步明確“公民個人信息”包括身份識別信息和活動情況信息。本文認為，上述規(guī)定是妥當?shù)?，理由如下?/p>

第一，對《網(wǎng)絡(luò)安全法》關(guān)于“個人信息”的界定宜采取廣義的理解。《網(wǎng)絡(luò)安全法》將“個人信息”界定為“能夠識別自然人個人身份的各種信息”。本文認為，此處顯然使用的是廣義的“身份識別信息”的概念，既包括狹義的身份識別信息（能夠識別出特定自然人身份的信息），也包括體現(xiàn)特定自然人活動的信息。從實踐來看，行蹤軌跡信息系事關(guān)人身安全的高度敏感信息，無疑應納入法律保護范圍，且應當重點保護。但是，行蹤軌跡信息顯然難以納入狹義的“身份識別信息”的范疇。如果認為《網(wǎng)絡(luò)安全法》將此類信息排除在“個人信息”的范圍外，恐難以為一般人所認同。合理的解釋是，《網(wǎng)絡(luò)安全法》將體現(xiàn)特定自然人活動的信息涵括在“身份識別信息”的范疇內(nèi)。

第二，《網(wǎng)絡(luò)安全法》對個人信息的界定目的不完全同于刑法第253條之一的規(guī)制目的?！毒W(wǎng)絡(luò)安全法》第1條規(guī)定：“為了保障網(wǎng)絡(luò)安全，維護網(wǎng)絡(luò)空間主權(quán)和國家安全、社會公共利益，保護公民、法人和其他組織的合法權(quán)益，促進經(jīng)濟社會信息化健康發(fā)展，制定本法。”據(jù)此，《網(wǎng)絡(luò)安全法》主要是從網(wǎng)絡(luò)信息安全的角度對個人信息作出規(guī)定，而刑法第253條之一的主要目的在于保護公民個人信息安全和相關(guān)合法權(quán)益，二者的目的不完全一致。因此，從更為有效保障公民個人信息權(quán)益的角度，對“公民個人信息”不應人為限縮范圍，宜將反映特定自然人活動情況的信息明確納入“公民個人信息”的范疇。

第三，刑法關(guān)于侵犯公民個人信息犯罪的規(guī)定早于《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定。對侵犯公民個人信息罪所涉及的“公民個人信息”的解釋不必完全受制于在此之后施行的《網(wǎng)絡(luò)安全法》的規(guī)定?！?〕順帶提及的是，對于行政犯的相關(guān)術(shù)語的界定，不必完全受限于相關(guān)行政法律法規(guī)的規(guī)定。例如，信用卡犯罪無疑屬于行政犯，但全國人大常委會《關(guān)于＜中華人民共和國刑法〉有關(guān)信用卡規(guī)定的解釋》規(guī)定：“刑法規(guī)定的‘信用卡’，是指由商業(yè)銀行或者其他金融機構(gòu)發(fā)行的具有消費支付、信用貸款、轉(zhuǎn)賬結(jié)算、存取現(xiàn)金等全部功能或者部分功能的電子支付卡?！倍?999年中國人民銀行頒布的《銀行卡業(yè)務(wù)管理辦法》第5條第1款明確規(guī)定：“銀行卡包括信用卡和借記卡?！憋@而易見，立法解釋將刑法中的“信用卡”等同于銀行卡，并沒有受制于相關(guān)行政規(guī)定。而且此前全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條第1款明確規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。”以此為基礎(chǔ)，《最高人民法院、最高人民檢察院、公安部關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》（公通字〔2013〕12號）也明確指出“公民個人信息”包括“能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料”。而從司法實踐來看，相關(guān)典型案例也明確被告人通過非法跟蹤他人行蹤所獲取的公民的日?；顒有畔儆凇肮駛€人信息”的范疇。〔4〕鐘麗、范冬明：《胡某等非法獲取公民個人信息案》，載《刑事審判參考》（第99輯），法律出版社2015年3月版。此外，有案例分析進一步指出：“公民個人信息的本質(zhì)特征在于隱私性和可識別性。手機定位可以指向特定信息主體，能夠顯示出被害人的活動軌跡，侵犯了其隱私權(quán)，因此屬于刑法中的公民個人信息?！苯鹆?、袁海鴻：《手機定位屬于刑法中的公民個人信息》，載《人民司法》2013年第16期。

（三）“公民個人信息”的外延

根據(jù)《解釋》第1條的規(guī)定，關(guān)于“公民個人信息”的外延，有以下幾個具體問題應當引起注意：

第一，個人信息包括公開的個人信息。概覽域外的數(shù)據(jù)信息法律保護模式，美國主要采取隱私權(quán)保護模式，以隱私權(quán)為基礎(chǔ)，通過大量判例逐步構(gòu)建起了一套保護制度；而歐盟關(guān)于數(shù)據(jù)信息的保護則是從法律上將數(shù)據(jù)信息視為人格權(quán)的延伸。〔5〕來小鵬：《數(shù)據(jù)信息法律保護模式思考》，載《中國審判》2017年第3期。但是，“國際社會對個人信息的保護目的遠超隱私利益，是在全面的個人基本權(quán)利意義上設(shè)計個人數(shù)據(jù)保護規(guī)則的”。〔6〕高富平：《法律應如何保護個人信息》，載《中國審判》2017年第3期。從世界范圍來看，對于個人信息的保護，已經(jīng)逐漸過渡到將個人信息作為獨立的權(quán)利加以保護。對于“個人隱私”的范圍存在不同認識，通說認為，個人信息與個人隱私之間雖有交叉但亦有區(qū)別。《解釋》第1條沒有采用“涉及個人隱私信息”的表述，而是表述為“反映特定自然人活動情況的各種信息”。因此，公民個人信息不要求具有個人隱私的特征。對此實踐中須注意的是，即便相關(guān)信息已經(jīng)公開，不屬于個人隱私的范疇，但仍有可能成為“公民個人信息”，如有關(guān)國家機關(guān)或者部門為救濟、救助或者獎勵而公示的公民個人信息。〔7〕趙秉志：《公民個人信息刑法保護問題研究》，載《華東政法大學學報》2014年第1期。對于此類信息獲取可能是合法的，而獲取后出售或者提供的行為是否構(gòu)成侵犯公民個人信息罪，則須判斷是否“違反國家有關(guān)規(guī)定”。對于權(quán)利人自愿公開的信息，特別是有意公開的信息，經(jīng)整理后（未形成新的信息內(nèi)容）向他人提供的行為，是否可以推定被收集者存在概括同意，從而無須就出售或者提供行為再次獲得被收集者同意，實踐中存在不同認識。為穩(wěn)妥起見，本文主張，對于上述情形追究刑事責任，應當進一步審查出售、提供行為是否違反法律、行政法規(guī)、部門規(guī)章的禁止性規(guī)定。〔8〕根據(jù)《解釋》第3條第2款的規(guī)定，將合法收集的公民個人信息向他人提供的，屬于“提供公民個人信息”，但此種情形是否構(gòu)成侵犯公民個人信息罪，還需要進一步判斷是否“違反國家有關(guān)規(guī)定”。

第二，公民個人信息須與特定自然人關(guān)聯(lián)，這是公民個人信息所具有的關(guān)鍵屬性。因此，經(jīng)過處理無法識別特定個人且不能復原的信息，雖然也可能反映自然人的活動情況，但與特定自然人無直接關(guān)聯(lián)，不屬于公民個人信息的范疇。與特定自然人關(guān)聯(lián)，既可以是識別特定自然人身份，也可以是反映特定自然人的活動情況。需要注意的是，無論是識別特定自然人身份，還是反映特定自然人的活動情況，都不應要求是相應個人信息單獨所具有的功能。例如，身份證號與公民個人身份一一對應，可以單獨識別公民個人身份，無疑屬于公民個人信息的范疇；而工作單位、家庭住址等雖然通常無法單獨識別公民個人身份，但同其他信息結(jié)合就能識別公民個人身份，所以也屬于公民個人信息的范疇。

在大數(shù)據(jù)時代，就理論上而言，任何信息與其他足夠多的信息相結(jié)合都可以識別特定自然人身份或者反映特定自然人的活動情況。因此，對于不能單獨識別特定自然人身份或者反映特定自然人的活動情況的部分關(guān)聯(lián)信息中的哪些可以納入“公民個人信息”的范疇，必然會存在較大的認識分歧。本文主張，在司法適用中具體判斷部分關(guān)聯(lián)信息是否可以認定為“公民個人信息”時應當注意以下幾點：一是需要結(jié)合的其他信息的程度。如果涉案信息本身與特定自然人的身份、活動情況關(guān)聯(lián)程度高，需要結(jié)合的其他信息相對較少，則認定為“公民個人信息”的可能性較大；反之，如果需要結(jié)合的其他信息過多，則認定為“公民個人信息”的可能性較小。二是信息本身的重要程度。如果涉案的信息與人身安全、財產(chǎn)安全密切相關(guān)，敏感程度較高，則對于此類信息在認定是否屬于“公民個人信息”時，可以采取相對從寬的標準。三是行為人主觀目的。如果行為人主觀上獲取涉案信息就不需要識別特定自然人身份或者反映特定自然人活動情況，則此類部分關(guān)聯(lián)信息原則上不宜認定為“公民個人信息”。

第三，賬號密碼屬于“公民個人信息”。對于“賬號密碼”能否納入“公民個人信息”的范圍，存在不同認識。實際上，當前賬號密碼往往綁定身份證號、手機號碼等特定信息，非法獲取賬號密碼后也可以進一步實施侵犯財產(chǎn)、甚至人身的行為。因此，《解釋》第1條明確將“賬號密碼”列為“公民個人信息”的范圍，有利于保護公民個人信息安全和合法權(quán)益。

順帶提及的是，對于IP地址、設(shè)備ID等信息〔9〕軟件收集的用戶終端數(shù)據(jù)一般分為三類：第一類是系統(tǒng)信息，即終端計算機操作系統(tǒng)和硬件系統(tǒng)的配置信息，包括用戶的IP地址、設(shè)備ID等信息（被收集后可以用于精準廣告投放）；第二類是軟件信息，即用戶下載、購買和使用各種應用軟件所涉及的信息，如殺毒軟件對用戶訪問的網(wǎng)站進行云調(diào)查、對用戶計算機上的新文件（包括下載、傳輸、拷貝等）進行自動掃描所獲取的信息；第三類是個人信息，即在使用中需要輸入的姓名、地址等信息。目前存在爭議的主要是前兩類信息。和cookie信息〔10〕cookie是網(wǎng)站為了辨別用戶身份、跟蹤而儲存在用戶本地終端上的數(shù)據(jù)，網(wǎng)站可以利用cookie跟蹤統(tǒng)計用戶訪問網(wǎng)站的習慣，記錄用戶登錄信息。是否屬于“公民個人信息”存在較大的爭議。以cookie信息為例，用戶的cookie信息反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好，具有隱私屬性，但是否屬于“公民個人信息”則存在不同認識：一種觀點認為，這些信息無法確定具體的信息歸屬主體，其終端是瀏覽器，沒有定向識別使用該瀏覽器的網(wǎng)絡(luò)用戶身份。而且，如果將這些信息納入公民個人信息的范疇，將使得精準廣告業(yè)務(wù)被完全禁止，不符合產(chǎn)業(yè)發(fā)展趨勢。另一種觀點認為，瀏覽器背后是特定用戶，且多數(shù)瀏覽器終端是特定用戶長期使用，這些信息實際上具有識別用戶身份的特征，而且精準廣告投放的目標也是針對瀏覽器背后的用戶，所以這些信息應當被納入公民個人信息的范疇。對于上述問題，本文主張不要一概而論，而是應當根據(jù)案件具體情況作出判斷。申言之，應當根據(jù)公民個人信息所具有的“識別特定自然人身份或者反映特定自然人活動情況”這一關(guān)鍵屬性，對上述信息是否屬于公民個人信息作出判斷?！?1〕對此，有論者作了結(jié)論基本一致的闡釋：“這些網(wǎng)絡(luò)信息需要與現(xiàn)實世界的公民相對應、相聯(lián)系，能否辨別、查找公民個人（及其身份信息）以及能夠顯示出相應公民的個人嗜好、上網(wǎng)習慣、疾患等個人隱私。反之，如果這些網(wǎng)絡(luò)信息不具有可識別性，不能與生活現(xiàn)實中具體的公民個人直接相對應、相聯(lián)系的，則不屬于公民個人信息?！眳⒁娗戮茫骸墩撉址腹駛€人信息犯罪的超個人法益屬性》，載《人民檢察》2015年第11期。

二、非法“出售或者提供公民個人信息”的認定

根據(jù)刑法第253條之一第1款、第2款的規(guī)定，違反國家有關(guān)規(guī)定，向他人非法出售或者提供公民個人信息，是侵犯公民個人信息罪的客觀行為方式之一。從司法適用的角度來看，以下幾個問題值得關(guān)注：

（一）“提供公民個人信息”的認定

向特定人提供公民個人信息，屬于“提供”公民個人信息，對此不存在疑義。但是，對于通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息是否屬于“提供公民個人信息”，存在不同認識。本文認為，通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息實際是向不特定多數(shù)人提供公民個人信息，既然向特定人提供公民個人信息的行為屬于“提供”，基于“舉輕明重”的法理，前者更應當認定為“提供”。因此，《解釋》第3條第1款將“通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息”與“向特定人提供公民個人信息”并列規(guī)定為刑法第253條之一規(guī)定的“提供公民個人信息”的情形，無疑是妥當?shù)摹?/p>

（二）出售或者提供公民個人信息“非法”的判斷

《刑法修正案（九）》（草案一次審議稿）將出售或者提供個人信息入罪的前提要件設(shè)置為“未經(jīng)公民本人同意”，即采用的是主觀判斷的標準；但是，從《刑法修正案（九）》（草案二次審議稿）開始采取了客觀判斷標準，即“違反規(guī)定”；《刑法修正案（九）》延續(xù)了這一立場，調(diào)整為“違反國家有關(guān)規(guī)定”。〔12〕喻海松：《刑法的擴張——〈刑法修正案（九）〉及新近刑法立法解釋司法適用解讀》，人民法院出版社2015年版，第149頁。對于這一立法審議過程，即對“非法”的判斷從主觀標準調(diào)整為客觀標準，實際上彰顯了對公民個人信息保護的不斷全面化。但是更為值得注意的是，主觀標準本身存在一定的缺陷。正如有論者所指出的，“個人信息保護是在個人信息使用過程中保護個人權(quán)益不受侵犯。在人類文明史上，任何國家、任何法律均沒有將信息置于私權(quán)控制下，而是將其暴露在法律的支配權(quán)之外。個人信息不屬于個人所有，法律也不會賦予個人對個人信息的排他支配權(quán)。因為這樣的授權(quán)會產(chǎn)生‘非經(jīng)個人（也稱為數(shù)據(jù)主體）同意，不得使用個人信息’的法則。在這樣的法則下，許多人類社會活動無從開展?！薄?3〕同前引〔6〕，高富平文。因此，刑法第253條之一第1款、第2款關(guān)于出售或者提供公民個人信息的罪狀表述將“違反國家有關(guān)規(guī)定”作為前提要件。據(jù)此，對于提供公民個人信息是否系非法，應當以是否違反國家有關(guān)規(guī)定作為標準。需要注意的是，判斷提供公民個人信息的行為是否“非法”，不能僅以是否經(jīng)權(quán)利人同意作為判斷標準,而應當以國家有關(guān)規(guī)定作為基準。例如，為了維護國家安全，基于偵查、起訴、審判工作的需要，依據(jù)相關(guān)法律向司法機關(guān)提供有關(guān)犯罪嫌疑人、被告人的個人信息的，雖未經(jīng)該犯罪嫌疑人、被告人許可，但符合法律規(guī)定，屬于合法提供。

需要提及的是，基于大數(shù)據(jù)發(fā)展的現(xiàn)實需要，《網(wǎng)絡(luò)安全法》第44條規(guī)定任何個人和組織“不得非法出售或者非法向他人提供個人信息”，不僅允許合法提供公民個人信息，而且為合法出售和交易公民個人信息留有空間?！?4〕此前，全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條第2款規(guī)定：“任何組織和個人……不得出售或者非法向他人提供公民個人電子信息。”依據(jù)這一規(guī)定，出售公民個人信息屬于禁止的范疇，不存在合法交易的空間。而且，《網(wǎng)絡(luò)安全法》第42條第1款進一步明確了合法提供公民個人信息的情形，即“網(wǎng)絡(luò)運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外?！睋?jù)此，經(jīng)得被收集者同意，以及匿名化處理（剔除個人關(guān)聯(lián)）是合法提供公民個人信息的兩種情形，不能納入刑事規(guī)制范圍。因此，《解釋》第3條第2款“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第253條之一規(guī)定的‘提供公民個人信息’，但是經(jīng)過處理無法識別特定個人且不能復原的除外”的規(guī)定，與《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定是銜接的。

三、“非法獲取公民個人信息”的認定

根據(jù)刑法第253條之一第3款的規(guī)定，竊取或者以其他方法非法獲取公民個人信息是侵犯公民個人信息罪的客觀行為方式之一。〔15〕順帶提及的是，刑法第253條之一只是將非法獲取、出售、提供公民個人信息的行為入罪，對于實踐中業(yè)已出現(xiàn)的非法持有大量公民個人信息案件，如果根據(jù)在案證據(jù)，適當運用推定規(guī)則，證明涉案公民個人信息系非法獲取或者用于非法出售、提供的，則可以適用侵犯公民個人信息罪定罪處罰。具體而言，以下幾個問題值得關(guān)注：

（一）購買公民個人信息的處理

從實踐來看，非法獲取公民個人信息的方式主要表現(xiàn)為購買、收受、交換和侵入計算機信息系統(tǒng)或者采用其他技術(shù)手段。對于“購買公民個人信息”是否屬于“以其他方法非法獲取公民個人信息”，存在不同認識?！督忉尅返?條對此明確規(guī)定：“違反國家有關(guān)規(guī)定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務(wù)過程中收集公民個人信息的，屬于刑法第253條之一第3款規(guī)定的‘以其他方法非法獲取公民個人信息’?！笨梢?，上述規(guī)定明確購買公民個人信息屬于“非法獲取公民個人信息”。本文認為這一規(guī)定是妥當?shù)?，理由如下?/p>

第一，刑法253條之一第3款并未明確排除“購買”方法，且購買公民個人信息當然屬于非法獲取公民個人信息的情形。

第二，從實踐來看，當前非法獲取公民個人信息的方式主要表現(xiàn)為購買，如排除此種方式，則會大幅限縮侵犯公民個人信息罪的適用范圍。

第三，在不少侵犯公民個人信息犯罪案件中，購買往往是后續(xù)出售、提供的前端環(huán)節(jié)，沒有購買就沒有后續(xù)的出售、提供。而且從偵查實踐來看，相當比例的侵犯公民個人信息刑事案件都是從購買環(huán)節(jié)入手，然后順著購買的路徑發(fā)現(xiàn)出售、提供公民個人信息的犯罪嫌疑人。如果不將購買公民個人信息納入刑事規(guī)制范圍，對于購買的行為無法刑事立案，恐會影響對侵犯公民個人信息其他環(huán)節(jié)的偵辦，進而影響對整個犯罪鏈條的懲治。

（二）獲取公民個人信息行為“非法”的判斷

對于獲取公民個人信息，刑法第253條之一第3款將罪狀直接表述為：“非法獲取”。早在《刑法修正案（九）》之前，針對刑法第253條之一規(guī)定的“非法”獲取公民個人信息，有論者從“公民個人信息”是“個人法益”且具有“超個人法益屬性”的角度出發(fā)，主張“非法”無需根據(jù)前置的配套法律法規(guī)進行認定，無需等待我國公民個人信息保護法等類似的法律法規(guī)出臺后才能確定，除依法強制公民提供公民個人信息的情形之外，凡是未經(jīng)公民個人明示或者默示之同意而獲取公民個人信息的，均屬于“非法”獲取?！?6〕同前引〔11〕，曲新久文。本文認為，按照通行觀點，侵犯公民個人信息罪屬于行政犯而非自然犯，故而認定其行為的違法性宜以相應前置規(guī)定為基礎(chǔ)。因此，《解釋》第4條基于體系解釋的原理規(guī)定明確“非法”應當以是否違反國家有關(guān)規(guī)定作為判斷標準。當然，在具體案件涉及的獲取公民個人信息行為是否“非法”的判斷上，對判斷依據(jù)“國家有關(guān)規(guī)定”可以作相對靈活的把握，只要有一般性規(guī)定即可，而不應要求專門性規(guī)定。

（三）非法收集公民個人信息的處理

《網(wǎng)絡(luò)安全法》第41條規(guī)定：“網(wǎng)絡(luò)運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”“網(wǎng)絡(luò)運營者不得收集與其提供的服務(wù)無關(guān)的個人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個人信息?！边`反上述規(guī)定，未經(jīng)他人同意收集公民個人信息，或者收集與提供的服務(wù)無關(guān)的公民個人信息的，應當認定為“非法獲取公民個人信息”。因此，《解釋》第4條“違反國家有關(guān)規(guī)定……在履行職責、提供服務(wù)過程中收集公民個人信息的，屬于刑法第253條之一第3款規(guī)定的‘以其他方法非法獲取公民個人信息’”的規(guī)定是與《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定相銜接的，需要依據(jù)《網(wǎng)絡(luò)安全法》的相關(guān)規(guī)定作進一步判斷。

四、侵犯公民個人信息相關(guān)犯罪的界分

（一）非法使用公民個人信息行為的定性

實踐中非法使用公民個人信息的行為日益增加，嚴重干擾了人民群眾的正常工作和生活?！?7〕例如2008年底被曝光的“西電卡門事件”，西安電子科技大學財務(wù)處在未經(jīng)學生同意的情況下，利用掌握的學生身份證號碼、家庭詳細住址等個人資料，為一萬多名學生集體辦理了“中國工商銀行牡丹圓夢學生卡”。然而，這一萬余名學生對自己擁有該信用卡卻一無所知。由于此事影響頗廣，最終以學校公開致歉并注銷信用卡結(jié)束。參見王作富主編：《刑法分則實務(wù)研究(中)》，中國方正出版社2013年版，第857頁。竊取或者以其他方法非法獲取公民個人信息，或者將自己掌握的公民個人信息出售、非法向他人提供的行為可能構(gòu)成相應犯罪。但是，將自己掌握的公民個人信息(包括合法獲取或者非法獲取的公民個人信息)非法使用的行為，卻不能直接依據(jù)刑法第253條之一的規(guī)定入罪?！?8〕在《刑法修正案(九)(草案)》研擬和審議過程中，有關(guān)部門和專家學者即建議借鑒國外立法例，將非法使用公民個人信息的行為入罪。然而，上述建議最終未被《刑法修正案(九)》采納。同前引〔12〕，喻海松書，第148頁。當然，單純非法使用公民個人信息的行為未單獨入罪，只是意味著不能僅僅因為使用公民個人信息的行為非法而認定其具有刑事違法性，并不意味著不能依據(jù)相關(guān)行為的刑事違法程度予以刑事懲治。對此，可以考慮相關(guān)行為的性質(zhì)作出處理：如果行為人所掌握的公民個人信息系竊取或者以其他方法非法獲取的，可以對非法獲取行為適用侵犯公民個人信息罪；如果非法使用所掌握公民個人信息，實施詐騙、敲詐勒索等其他犯罪行為的，可以依據(jù)其他犯罪論處。

（二）非法獲取公民個人電子信息行為的處斷

全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》對公民個人電子信息的保護作了規(guī)定，在此基礎(chǔ)上，《網(wǎng)絡(luò)安全法》作了進一步的規(guī)定。違反相應規(guī)定非法獲取公民個人電子信息的行為，無疑屬于刑法第253條之一規(guī)定的非法獲取公民個人信息的行為。但是，公民個人電子信息往往表現(xiàn)為計算機信息系統(tǒng)數(shù)據(jù)，故非法獲取公民個人電子信息的行為有時會同時觸犯侵犯公民個人信息罪與非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。例如，違反國家規(guī)定，侵入計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)墓駛€人電子信息，同時符合了侵犯公民個人信息罪與非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪兩個犯罪構(gòu)成要件，但由于只有一個犯罪行為，屬于刑法中的想象競合犯，按照處理這一犯罪形態(tài)的規(guī)則，應當從一重罪處斷。

五、涉案公民個人信息數(shù)量的計算

（一）公民個人信息的條數(shù)計算

《解釋》未直接規(guī)定公民個人信息的條數(shù)計算規(guī)則，僅針對兩種特殊情形作了明確規(guī)定。司法實踐中應當根據(jù)案件具體情況準確認定公民個人信息的條數(shù)：（1）關(guān)于公民個人信息的條數(shù)計算，實踐中往往會考慮交易規(guī)則和習慣。例如，一條信息中涉及多個個人信息的，如家庭住址、銀行卡信息、電話號碼，如果是按照一條公民個人信息來交易的，則往往會認定為一條公民個人信息。實踐中對此并無太大爭議，可以繼續(xù)堅持這一做法。（2）對于實踐中存在的針對同一對象非法獲取公民信息后又出售或者提供的情形，則明顯不宜先計算非法獲取的公民個人信息數(shù)量后再計算出售或者提供的公民個人信息數(shù)量，而應當根據(jù)《解釋》第11條第1款的規(guī)定，不重復計算條數(shù)。但是，公民個人信息可能被重復出售或者提供，其社會危害性明顯不同于向他人出售或者提供一次的情形，對于此種情形，則應當根據(jù)《解釋》第11條第2款的規(guī)定，累計計算公民個人信息的條數(shù)。

（二）批量公民個人信息的數(shù)量認定

從實踐來看，除公民個人敏感信息外，涉案的公民個人信息動輒上萬條甚至數(shù)十萬條。此類案件中，不排除少數(shù)情況下存在信息重復，如針對同一對象并存“姓名+住址”“姓名+電話號碼”“姓名+身份證號”等數(shù)條信息，但要求做到完全去除重復信息則較為困難，對于信息的真實性也難以一一核實。對此，在學理探討中有論者從體系解釋、認識錯誤、法益等角度出發(fā)，認為侵犯公民個人信息罪的對象應當是真實的個人信息，并從實體法與程序法的關(guān)系出發(fā)，主張公訴機關(guān)應當舉證證明該個人信息是真實的個人信息。該論者還以此為基礎(chǔ)對“逐一認定個人信息是否真實會消耗過多的司法資源”的觀點進行了批駁。〔19〕葉小琴、趙忠東：《侵犯公民個人信息罪對象應當是真實的個人信息》，載《人民法院報》2017年2月15日第006版。而在司法實踐中，也有個別案件要求辦案機關(guān)聯(lián)系權(quán)利人核實公民個人信息。本文對此則認為，上述觀點在理論層面上無疑是合理的。但是在實務(wù)層面上，對于證據(jù)規(guī)則的具體應用無疑應當兼顧各類犯罪的具體情況。對于公民個人敏感信息，由于入罪門檻較低，實踐中逐一核實信息的真實性并無困難；但是對于其他公民個人信息、特別是在海量狀態(tài)之下，如果要求逐一核實信息的真實性，實踐中難以做到。因此，應當允許適用推定規(guī)則。逐一核實信息的真實性，與運用規(guī)定規(guī)則認定信息的真實性，應當都是證明個人信息真實性的合適方法，只是基于案件實際情況作出的不同選擇罷了。而且，推定規(guī)則的適用并不意味著背離刑事訴訟的證據(jù)規(guī)則，更不意味著舉證責任的轉(zhuǎn)移。對此問題已有諸多論者加以闡釋，茲不贅言。為統(tǒng)一司法適用，《解釋》第11條第3款規(guī)定：“對批量公民個人信息的條數(shù)，根據(jù)查獲的數(shù)量直接認定，但是有證據(jù)證明信息不真實或者重復的除外。”這是關(guān)于批量公民個人信息的條數(shù)認定規(guī)則。依據(jù)上述規(guī)定，根據(jù)查獲的數(shù)量直接認定公民個人信息的條數(shù)，同時允許剔除不真實或者不充分的信息，實際上兼顧了公正與效率的關(guān)系，無疑是妥當?shù)摹?/p>