朱俊梅赵强

侵犯个人信息类案件刑法应用问题研究

朱俊梅＊赵强＊

对于个人信息，我国目前有两种主要的学说：一是隐私权说,即“个人信息指社会中多数所不愿意向外透漏者；或是个人极敏感而不愿他人知道者”；二是可识别说，即“个人信息是指那些据此能够直接或间接识别出特定自然人身份而又与公共利益没有直接关系的私有信息”。由于《刑法修正案(七)》中没有规定个人信息的具体内容，所以对于侵犯个人信息类案件的刑法适用就存在一定的探讨必要。

个人信息 《刑法修正案（七）

一、个人信息的概念

由于《刑法修正案（七）》第七条中没有规定个人信息的具体内容，因此在研究侵犯个人信息犯罪之前需要明确刑法所保护的个人信息概念。

1.个人信息概念的现状

关于个人信息的概念，我国目前有两种主要的学说：一是隐私权说,即“个人信息指社会中多数所不愿意向外透漏者（除了家人、朋友等之外）；或是个人极敏感而不愿他人知道者（如多数人不在意他人知道自己的身高，但是有人则对自己的身高极为敏感，不欲外人知道）”[ 陈起行：《信息隐私权法理探讨——以美国法为中心》，载《政大法律评论》，2000（64）]；二是可识别说，即“个人信息是指那些据此能够直接或间接识别出特定自然人身份而又与公共利益没有直接关系的私有信息”，例如自然人的姓名、出生日期、户籍、婚姻、健康、教育、财务状况等。

通过上述定义可以得出，隐私权说将个人信息简单地定义为个人的隐私，在个人隐私的概念尚不明确的前提下，以此来定义个人信息，是不能正确解决司法实践中所遇到的问题的。从个人信息刑事立法的目的来看，就是保护个人信息不受非法披露和转让，严格禁止他人利用这些信息对信息主体进行干扰。只有反映出特定个人的信息，才会对个人的生活产生实际的影响，因此“识别说”是可取的。

2.刑法保护下的个人信息概念

《刑法修正案（七）》新增此类犯罪，那么个人信息必须具有刑法保护的价值。

基于上述分析，在“可识别说”的基础上刑法保护下的个人信息应具备以下特征：第一，权利人不愿意为社会一般人所获的个人信息；第二，能反映出特定的个人情况；第三，能够为犯罪主体提供经济利益或满足犯罪主体其他非法目的。

二、犯罪主体内涵的研究

根据《刑法修正案（七）》第七条第一款规定，出售、非法提供公民个人信息罪的犯罪主体是国家机关或者金融机构、电信、交通、教育、医疗等单位的工作人员。本款中规定的“等单位”是否仅仅包括所列举的五种特殊单位存在认识上的分歧；本款中规定的单位工作人员是否仅为在单位中具有合法资格获取和控制公民个人信息的人员在认识上同样存在分歧。

1.“等单位”的认定

“等单位”不应限于所列举的五种单位。所列举的五种单位在实践中一般掌握着大量的个人信息，其可能实施侵犯个人信息行为的机会较多，往往容易造成较为严重的社会危害性。条款中“等”字本身就表示列举未尽的意思，如果仅将本罪的犯罪主体限于所列举的五种单位的工作人员，也就没有加“等”字的必要性。从立法本意上看，本罪主要是为了保护个人信息不受非法侵害，所列举的单位展示了本罪单位的性质即掌握大量个人信息，如果将犯罪主体仅仅理解为所列举的五种单位势必会造成非所列举的五种单位工作人员，出售、非法提供个人信息将不受本罪处罚，显然是违背立法原意的。

在市场经济充分发展的今天，并非只有上述单位才合法掌握大量相关公民的个人信息，可以合法掌握公民个人信息的单位越来越多，比如生活小区内的物业公司、会员制的商场、注册类的网站等，都会掌握大量的个人信息，假设这些单位将合法收集的个人信息再出售或非法提供给他人，其侵害行为同样可能造成严重的社会危害性。

2.“单位工作人员”的认定

笔者认为，出售、非法提供公民个人信息罪中的“单位工作人员”应当仅限于有合法资格获取公民个人信息的人员，即在职责范围内对公民个人信息具有管理、控制、查阅等知悉权力的人员，因而本罪属于真正的身份犯，不具备该身份不构成本罪的主体。如果单位中没有合法资格的人未经单位允许而私自采取非法手段获取了本单位掌握的公民个人信息，进而出售或非法提供给他人，情节严重的情况下可以构成非法获取公民个人信息罪。

已经不再基于单位职权合法掌握公民个人信息的工作人员，利用其在职期间获得的个人信息出售、非法提供给他人，情节严重的，该类人员是否符合出售、非法提供公民个人信息罪的主体？笔者认为应当认定为符合本罪的主体。因为出售、非法提供公民个人信息罪从法条上讲，只是单位中的工作人员将本单位履行职责或提供服务过程中获得公民个人信息，出售或非法提供给他人，情节严重的行为，对于出售或非法提供的时间并有明确的限制。即便是离职的人员，只要出售或非法提供的公民个人的信息是基于其特定的身份利用履职或提供服务之际而有权获取的信息，同样构成本罪主体，并不违反罪刑法定原则。

三、“情节严重”的认定

在《刑法修正案（七）》中规定，构成“出售、非法提供公民个人信息罪”或“非法获取公民个人信息罪”均需要行为的社会危害性达到情节严重，但何为情节严重，并没有明确的规定。笔者认为，应当将以下情形认定为情节严重。

1.多次侵犯个人信息

参照盗窃罪相关司法解释，多次盗窃被理解为两年内盗窃三次以上。在认定侵犯个人信息类犯罪时，同样可以参照此标准进行认定。多次侵犯个人信息是指两年内侵犯个人信息三次以上，既可以是多次针对同一人的信息进行侵犯，也可以是针对不同人的个人信息进行多次侵犯。多次侵犯反映出行为人的主观恶性较深，如果不加制止任由其发展，势必会造成更为严重的后果，此时需要刑法介入进行规制。

2.侵犯500人的公民个人信息

在刑法中，数量是否达到一定的标准往往是衡量一个行为是否构成犯罪的标准之一，达到一定的数量反映出行为的社会危害性程度。侵犯个人信息类犯罪的认定中也可以依据侵犯个人信息的数量认定是否达到情节严重，但是个人信息是无形的，在认定时可以参照《河北省高级人民法院〈人民法院量刑指导意见〉实施细则》关于诈骗罪的规定，发送诈骗信息五千条、拨打诈骗电话五百人次以上的可以认定为刑法第266条规定的其他严重情节，以诈骗罪（未遂）定罪处罚。达到上述两项标准十倍的，认定为刑法第266条规定的“其他特别严重情节”以诈骗罪（未遂）定罪处罚。上述有关诈骗罪的规定反映出诈骗行为在客观上可能造成社会法益被侵害的危险，所以规定为诈骗罪（未遂）。参照该条款，规定侵犯500人信息的构成“情节严重”，将此作为定罪标准也是有参考依据的。

3.所侵犯的个人信息被用于犯罪活动

个人信息作为一种具有价值的资源，在不同的行为人那里会有不同价值，犯罪分子可以用来实施犯罪活动。如果侵犯个人信息的行为是其他下游犯罪的预备行为，即行为人明知第三人可能要实施犯罪活动，仍将以侵害方式所获得信息出售或非法提供给第三人，第三人利用该信息去实施犯罪活动或者非法获取的个人信息的人用该信息实施犯罪活动。此种侵害个人信息的行为当然会对公民个人人身、财产安全造成被侵害的危险，因此应当规定为情节严重。

4.被侵害的个人信息被广为传播

在信息化时代里，信息的传播途径更为广阔，除了传统的广播、电视、报纸外，互联网使得信息的传播速度更快、范围更广。侵害个人信息行为导致个人信息被散布的时间较长、地域范围较广也应当认定为情节严重的表现之一。例如所侵犯的个人信息被多家电视台转播、或出现在各大著名网站等，势必会使很多人了解被侵害的个人信息，甚至在很长时间内无法消除其恶劣影响，针对此情况应当认定被侵害的信息被广泛传播。

*朱俊梅，赵强，河北邯郸市峰峰矿区人民检察院。