王静

论侵犯公民个人信息罪

王静

（广西政法管理干部学院，广西南宁 530022）

《中华人民共和国刑法修正案（九）》对侵犯公民个人信息的犯罪进行了修改，并规定了“侵犯公民个人信息罪”。本文对侵犯公民个人信息罪的犯罪构成进行了较详细地论证分析，对司法实务中的一些问题进行了讨论。

个人信息;非法获取;情节严重

一、侵犯公民个人信息罪的概述

个人信息在社会交往中的作用越来越重要，随着商品经济和技术的快速发展，对个人信息的侵害出现了严峻的情况。很多诈骗犯在网上先以低价购买个人信息，然后根据信息进行各类电话诈骗；出于商业收益考虑，部分公司企业一次性购买数百个人电话号码，以此进行推销活动。在网络上以“购买个人信息”为关键词进行搜索时，我们就会发现，一些论坛里存在许多售卖个人信息的帖子；当你在医院、银行等场所办理业务之后，在购物网站下了一个订单之后，自己的信息就可能被无数次转卖，完全不受自己控制，此后冷不防就能接到陌生人的电话，对方能说出自己的姓名或基本情况。

商业交往中信息能带来极大的经济效益，拥有个人信息意味着拥有资源，对个人信息的大量需求，使得在网络上出卖和收集个人信息成为了一条链状的非法产业。快递业、酒店业、相亲机构等一些行业出于业务往来的需要也收集了大量个人信息。虚拟世界中，电子商务和互联网的发展更使得个人信息处于难以控制的情况，注册资料、登陆论坛、发表博客等都有可能被人收集个人信息。侵害个人信息的行为特点是代价小收益大，一次买卖个人信息基本百条以上，覆盖面广，而且犯罪成本低，手段隐秘，更新快，难追踪。随着国际贸易的发展，对个人信息的保护是互联网时代的自由贸易中不可或缺的要素。为了维护互联网和电子商务的安全，对个人信息保护必不可少。为此，2015年11月1日生效的《中华人民共和国刑法修正案（九）》①以下简称《刑法修正案（九）》再次对公民个人信息的相关犯罪进行了修改完善。

在《刑法修正案（七）》生效以前我国刑法中关于保护个人信息的相关罪名有：侵犯通信自由罪、私自开拆、隐匿、毁弃邮件、电报罪和非法使用窃听、窃照等专用器材罪。

《刑法修正案（七）》在刑法第253条之后增加一条，作为第253条之一。第一款规定了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”第二款“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”第三款规定“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”最后通过司法解释将侵犯公民个人信息犯罪认定为两个罪名：一是出售、非法提供公民个人信息罪，二是非法获取公民个人信息罪。

为了更好地保护个人信息，《刑法修正案（九）》将刑法第二百五十三条之一修改为：第一款“违反国家有关规定，向他人出售或者提供公民个人信息，情

节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”第二款“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。”第三款“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”第四款“单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”《刑法修正案（九）》将刑法第二百五十三条之一的条款由三款改为四款，罪名由两个罪名变为一个罪名“侵犯公民个人信息罪。”

简单地说修改后的罪名有几个特点：

1.最明显的修改是扩大了主体的范围，由特殊主体扩大为一般主体，删掉了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的限制，符合了实践中保护个人信息的要求，避免了修改前对“等”表述范围不明确的争议。

2.将“非法提供”修改为“提供”，新的法条先表述“违反国家有关规定”的出售和提供行为。强调了只要是违反国家规定向他人出售或提供公民个人信息的，不论如何获取，都构成本罪。

3.新条文下，对通过履行职责或提供服务过程中犯此罪的，由原来的单独构成“出售、非法提供公民个人信息罪”，变为了“侵犯公民个人信息罪”从重处罚的条件。

4.增加了三到七年有期徒刑的量刑档，并处罚金，这是适用于情节特别严重的情形。

二、侵犯公民个人信息罪的概念和犯罪构成

（一）侵犯公民个人信息罪的概念

侵犯公民个人信息罪是指单位或个人违反国家有关规定，向他人出售或提供公民个人信息，情节严重，或者窃取或以其他方法非法获取公民个人信息的行为。

（二）侵犯公民个人信息罪的构成要件

1.侵犯公民个人信息罪的客体

笔者认为，该罪侵犯了公民的人身权利中的信息自决权。该罪规定在《刑法》第253条之中，属于侵犯公民人身权利、民主权利罪章的内容，随意出售、提供、窃取和非法提供个人信息的行为，侵犯了公民的信息自决权。所谓的信息自决权 (das Rechtauf in-for matione lleSelb st b estimm u ng)，是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利。”[1]其产生的基础为一般人格权。因此，信息自决权应归属于人格权。

修改后本罪的犯罪对象包括所有的个人信息，不再限于本单位在履行公共职权或公共服务职能中依法收集的个人信息。解决了之前对使用“等”这个表述，范围不清的争议。笔者认为，个人信息应该是指可以单独或结合其他信息，识别出某个信息主体的个人隐私和其他个人信息。如身份证号码、身高、指纹、视网膜、电子邮箱、电话号码、基因等。

公民是指具有或取得某国国籍，并根据该国宪法和法律享有权利和承担义务的人。[2]外国人，无国籍人的信息是否也属于本罪保护对象？随着全球化的推进，我国与各国的交往越来越密切。无论外国人还是无国籍人，在我国活动都要遵守我国法律法规，承担相应的义务，其合法权利也应得到保障。按照刑法的属地原则，根据我国刑法规定，只要在我国领域内犯罪的，都适用本法。无论犯罪行为或结果任一发生在我国领域内都适用我国刑法管辖。可知侵犯公民个人信息的行为只要是在我国领域内实施的，我国刑法就可以管辖。从这个意义，也应该如此认为，在我国领域内，外国人、无国籍人的个人信息受到侵害，也按照我国刑法处理。外国人、无国籍人的个人信息也应该是本罪保护的对象。

死者的个人信息是否也属于该罪的保护对象？死者的个人信息是否属于刑法保护范围，在现行刑法规定中没有明确的说法。在民法上一般认为，人格权随着人的死亡而终止，但法律仍保护死者的名誉权、著作人格权等。笔者认为，死者的个人信息仍然应予以保护。一是因为死者的个人信息仍然具有一定财产价值，特别是一些名人的信息，哪怕在其去世后这些信息仍然能产生巨大的经济利益；二是因为对于死者的亲属，仍然可能因为随意公布死者的信息，感觉到名誉、人格的伤害；三是有利于维护社会秩序，死者虽然离开人世，但不代表由某机构收集的信息可以随意公开、出售，这样同样会扰乱个人信息的管理秩序。

随着科学技术的发展，能够识别个人身份的数据类型越来越多。以前只出现在电影里或一些保密度高场所里的技术都逐渐运用到平常生活中，这些新出现的数据是否都属于个人信息值得讨论。比如某品牌手机推出了指纹解锁功能，既然手机储存了指纹，那么指纹数据就有可能被人盗取，非法使用的危险。另外，利用视网膜作为解锁的技术的推广也指日可待。很多电子设备都提供了“云”服务，云存储是通过网络提供可配置虚拟的存储及相关数据的服务。在一个看不见摸不着的地方，人们的照片、视频、联系人、邮件等被上传储存，而且大部分开通后可及时自动备份。这些技术的出现，引起了民众的关注，新奇好用是一方面，而最大的顾虑就是这些被储

存，上传的信息是否安全，如果受到非法获取能否构成犯罪？为了更好的保护个人信息，笔者认为，这些指纹、视网膜、云服务等新兴的数据也属于个人信息。个人的生物特性可以识别个人，无论存储手段如何，不影响识别性。从个人信息的定义来看，无论是生物属性的信息，还是虚拟储存的信息，无论形态如何，只要有信息主体，有价值，能够识别信息个体的都应算刑法保护的个人信息。随着技术的发展，人类的基因信息也可以获取和利用，它是否还属于我们现在说的个人信息呢？笔者认为，这种情况同样可以根据上述分析来判断。在《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条的规定也把基因列在个人信息范围内。一般而言个人信息基本都是静态的，动态的信息是否也属于个人信息？例如手机定位所获得的个人位置移动位置的信息。手机定位是随着手机在社会生活中的广泛使用而出现的一种技术手段。可以通过技术获取到移动手机或终端用户的位置信息，在电子地图上记录被定位对象的位置。公民有些活动轨迹不希望他人知悉或者被其他人利用来进行违法活动。由于它可以根据移动的位置识别信息主体，也属于不应该被其他人获知的信息，所以这类也是刑法所保护的个人信息。私自定位他人手机信息，或者从电信部门购买此信息，都应该按侵犯公民个人信息罪处罚。

2.侵犯公民个人信息罪的客观方面

本罪的客观表现为两种情况：一是违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的；二是窃取或者以其他方法非法获取公民个人信息的。

（1）对于“违反国家有关规定”的理解

“违反国家有关规定”在认定上应该采用范围广的理解，包括相关法律、行政法规、部门规章以及其他规范性文件等。行为人的行为违反了相关规定，没有履行好管理义务，导致社会危害性，才受到刑法惩罚。我国现在还没有针对个人信息保护的专门法，现在已有一定数量保护个人信息的规定，分散于各种法律法规之中，这些是追究该罪刑事责任的前提。比如《未成年人保护法》规定：“任何组织和个人不得披露未成年人的个人隐私”等规定。

（2）对于“出售或者提供个人信息”的理解

“出售”是指行为人将自己所掌握的公民个人信息以交易的方式给他人而获得物质利益。出售强调获得物质利益，即为了一定经济利益把个人信息出卖给不应该知晓的人。按照法律法规收集的个人信息不属于任何人，任何人也不能随意出售。

“提供”并不以获得物质利益为目的，它指行为人违反国家规定，将自己在工作中或其他场合获取、接触到的公民个人信息交由不应该知晓的他人的行为。提供的动机很多，可能是为了达到自己的某种目的，交换满足某些条件或是报复。无论什么动机不影响提供行为的认定。提供的方式可以很多种，有书面的、口头的、拷贝的等。可以是向犯罪人直接提供，也可以是间接提供给他人，他人既可以是自然人也可以是单位。由于没有专门的关于个人信息的法律法规，原来对于“非法”是违反了什么法律规范很难定义。《中华人民共和国修正案（九）》保留了“违反国家规定”的提法，而将“出售或者非法提供给他人”修改为“出售或者提供给他人”。可见立法者保护个人信息的决心，在专门的保护个人信息法规出现前，将实践中较模糊难认定的部分给取消，只要有“提供”的行为就可以构成本罪。它取消了“非法”的提法，表达上比较简练。

关于“将在履行职责或者提供服务过程中获得的公民个人信息出售或提供他人”的问题。个人信息被收集主要有两种情况：基于公权力和基于合同关系。履行职责或者提供服务过程中获得的，说明了先合法取得公民个人信息，之后才违反国家相关规定出售或提供。《刑法修正案（九）》前的规定对于是否仅属于公共管理、公共服务的单位或个人才能构成犯罪有很大的争议。修改后，这里的履行职责或者提供服务没有了特殊主体的限制，是否还仅指在公共管理、公共服务中的履行职责或者提供服务值得研究。

利用公权力或提供公共服务过程中依法获得的信息。国家机关和公共管理职能的单位与被收集信息的主体之间是行政法律关系，依靠的是公权力；一般组织机构与被收集信息的主体之间是民事合同关系，依靠的是合同。当然负有公共管理职能的组织能接触收集大量的信息，而且很多信息为信息主体办事过程中自动提供的，甚至不用考虑信息主体是否愿意提供而是必须提供。这样负有公共管理职能的单位就轻易掌握了大量个人信息，掌握信息后更应该按照相关法律法规尽到保密，正确储存使用的义务。从力量对比上看，这些单位属于强势主体，公权力较个人力量确实强大得多，在收集的自愿度上就可以体现，还有个人很难得知、监督自己信息如何被这些单位储存处理。

何况还可能存在委托或其他情况下，本无公共管理职能的单位突然从事了公共服务过程中收集、接触了个人信息的工作。比如在我市办理电动自行车上牌初期，不单纯是车管所、交警部门，部分街道

办事处也设点办理，而且每天排队的车主络绎不绝，能接触的个人信息数量巨大，如果存在出售、提供个人信息的情况应该是也可以按照本罪处罚的。

实践中一些非公共管理单位也能大量收集、接触到个人信息，比如美容院、酒店、网络公司、中介和物流等。而这些都不属于履行职责或提供公共服务过程中收集的个人信息。以我们不陌生的快递业务为例，随着电子商务的发展，经常可见一个普通老百姓一个星期都有2、3个包裹，甚至一天内上下楼领好几个包裹。物流公司掌握了大量买主的电话、姓名，地址等信息，可以轻易识别锁定个人。酒店收集的住客个人身份信息和开房信息一旦被非法获取，造成的危害和对个人权益的伤害是非常巨大的。其社会危害性，与在公共管理范围内非法获取个人信息不相上下，甚至有时候更严重。刑法只处罚公共管理范围内的该情况，是个非常大的缺陷，而且不能满足实际需要的。实践中，有些信息被转手出卖几次，也很难追究到来源是否由公共管理机关提供的。

刑法对个人信息的保护，就是禁止不该获知个人信息的人通过各种不法手段取得个人信息，控制对个人信息胡乱使用的情况。如此看没有局限于公权力下的履行职责和提供服务。但笔者认为所有的单位、组织、个人构成犯罪无可非议，但有第一款的规定就可以了，第二款中的履行职责或者提供服务作为从重处罚的情况应该限制于公权力下的履行职责和提供公共服务中，更为合理。否则不易区分第一款和第二款的情况。负有公共管理职能的组织能接触收集大量的信息，而且很多信息为信息主体办事过程中自动提供的，甚至不用考虑信息主体是否愿意提供而是必须提供。从力量对比上看，这些单位属于强势主体，公权力较个人力量确实强大得多。这样负有公共管理、服务职能的单位就轻易掌握了大量个人信息，掌握信息后更应该按照相关法律法规尽到保密，正确储存使用的义务。

（3）对于“窃取或者以其他方法非法获取公民个人信息”的理解

“窃取”强调在行为人不知道的情况下，将东西、成果占为己有。对于个人信息而言，窃取说明了该行为的非法性。窃取的方式可以多种多样，比如直接偷走、偷看、翻拍、窃听、利用计算机侵入拷贝等。原始信息不一定全部脱离所有者、保管者的占有。可以是把原始信息窃走，也可以是复制信息保留原始信息。利用特殊的手段或系统漏洞侵入系统或存储设备取得个人信息的，应该可以归入窃取。

在立法上“窃取”与“其他方法非法获取”是并列关系，它要求“其他方法”与“窃取”在性质与危害程度上大体相当。如何理解“其他”非法手段，这里强调了“非法”，违反了法律的禁止性规定获得。如果是合法手段取得个人信息不构成犯罪。常见的“其他”非法手段有：

第一种抢夺

古语有云，取非其物谓之“盗”（《晋书.刑法志》）。根据方式不同又分为“强盗”与“盗窃”两种，抢是跟偷相对应的。取得个人信息的手段还可以通过强行抢夺获得。

第二种骗取

可以通过虚构事实，利用虚假的身份，伪造文件、证件等手段骗取到个人信息。采用虚假身份，假冒文件、证件的手段，取得个人信息，手段和目的都涉及犯罪，两者是牵连关系，按一罪处罚。冒充国家机关工作人员身份骗取个人信息的，同时又构成招摇撞骗罪，“从一重罪”处罚。若冒充一般群众身份骗取个人信息，由于诈骗罪限制于骗取数额较大的公司财产，个人信息不能直接折合为财产，宜定本罪。通过伪造、变造国家机关公文、证件、印章骗取到个人信息的，也是根据情节“从一重罪”处罚。

第三种购买

购买基于合同关系，有观点认为购买这种方式不算非法，也和“窃取”在内容形式上不能并列，而不能构成本罪。本罪中的“购买”是指以财物换取不应取得的公民个人信息的行为。笔者认为，是否属于本罪的“其他方法”，不单看这个行为本身是否合法和具有社会危害性，主要还是看这个行为，是否会对社会产生危害，对法益造成损害。本罪设立的目的就是为了保护个人信息，这样的买卖基本是在信息主体不知道、不愿意的情况下进行的，而且不论购买后作何目的，都已经对个人信息的保密性造成了侵害。所以，只要未经信息主体同意的获取行为都应定为非法。单纯的购买个人信息自己使用，数量不大的，社会危害性也小，不宜按犯罪处理。为了出售而购买大量个人信息，或购买个人信息进行使用，达到情节严重的，应该按本罪处罚。

第四种胁迫

以他人不愿被别人知晓的情况为条件，从心理上施加压力，而取得不应获知的个人信息的行为。

在个人信息专门的保护法未出台的情况下，如何认定本罪的“其他方法”非法获取不光看这个行为本身性质是否已经是违法行为，笔者认为，只要是未经信息主体同意，没有其他合法依据下的不当获取都应该视为非法获取。例如，客户填写自己的姓名、身份证号、地址给电信运营商只是为了办理相关业务，如果其信息被出卖，甚至多次出卖明显超出了信

息主体一开始提交个人信息的初衷和意愿范围。再如，毕业生向某单位递交求职书，上面有自己的简历、电话等个人信息，出发点是让单位了解自己的情况而争取工作岗位，而不是让单位出卖其个人信息。不当获取归纳起来，有两种情况：一是行为人向承担公共管理的部门以各种手段获取个人信息，违反了相关法律，使在规定范围外的人获知不应掌握的个人信息，同时意味着破坏了个人信息管理秩序，也未经信息主体同意。二是行为人其他行业其他途径收集获取的个人信息，肯定也未经信息主体同意，破坏了信息主体对自己信息的控制权，也违背了合同中的契约精神，没有尽到保密的责任的。这两种情况都说明了未经授权，没有合法依据的不当获取存在危害，应该考虑构成本罪。当然，互联网是个公开的平台，个人或单位自己公开在网络上发布个人信息，在公开的时候应该意识到这些信息有可能被其他人查看收集，那么在这种情况下，有人收集这样的个人信息作为自用，不应按犯罪处理。出于学术研究、公益目的，收集网上公开的信息应不构成犯罪。

3.侵犯公民个人信息罪的主体

本罪的犯罪主体是一般主体，达到刑事责任年龄且具备刑事责任能力的自然人以及单位均可构成本罪。这也是修改后最大的改变，由以前的特殊主体改为了一般主体，减少了争议，扩大了打击侵害个人信息的范围。

4.侵犯公民个人信息罪的主观方面

本罪在主观方面为故意，包括直接故意和间接故意。如果误把其他信息或虚假的信息当做个人信息出售、提供的，应该按本罪的未遂处理。过失不能构成该罪。

三、侵犯公民个人信息罪的司法实务问题

（一）如何认定“情节严重”

本罪第一款中明确规定要达到“情节严重”，才可构成犯罪。而后两款没有写明要达到情节严重，但情节方面也可以作为构成犯罪的参考。对于“情节严重”没有明确的规定是一个重大缺失。本罪第一款“情节严重”的规定提醒了我们在评价该罪时须综合考虑各方面的情况。“情节严重”一方面将严重危害社会秩序和个人权益的行为纳入到刑事制裁的范畴中，另一方面也将情节轻微，通过民法、行政法等法律即可处理的行为排除出刑法视野。

具体什么情况算是本罪的情节严重，需要立法部门、司法机关尽快出台刑法解释明确。笔者认为，本罪的“情节严重”应该考虑以下几个方面：

1.出售、提供、窃取或非法获取个人信息次数

一般来说，刑法中三次或三次以上认为次数较多。次数应该是有一段时间限制，不是无限累积的。规定有时间限制一方面节约了诉讼成本，一方面在较短时间内重复的进行该犯罪行为的行为人，反映其主观恶性，并有一定的社会危害性。很多人认为本罪的三次或三次以上，应规定在一年之内。但笔者持不同看法，笔者认为应规定在两年内有三次或三次以上出售、提供、窃取或非法获取公民个人信息的行为构成犯罪。根据有关司法解释，盗窃罪的“多次盗窃”，已由一年内三次改为了二年内盗窃三次以上的，这符合实践。很多机构收集、整理个人信息都以年度为频率，那么出售、非法提供也常以年度进行，一年的限制较窄，规定的时间限制在两年内更有利于打击犯罪。

同时，随着量刑规范化的推广，近几年的司法解释越来越全面，具有明确可操作性。《最高人民法院最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》和《最高人民法院最高人民检察院关于办理盗窃刑事案件适用法律若干问题的解释》都提到了，把没达到犯罪的标准但曾受到行政处罚的情况，考虑作为情节严重。所以，本罪也应该把受过行政处罚考虑进情节严重，应规定，两年内存在有出售、提供、窃取或非法获取个人信息受过行政处罚的，只要再有该类行为，就构成犯罪。

2.出售、提供、窃取或非法获取个人信息数量达到较大

信息达到数量较大，也可以认为“情节严重”。对数量的认定应有两方面的考虑，一是涉及的信息主体人数多，而单个人涉及的信息数量少；二是涉及的信息主体人数不算多，而单个人涉及的信息条数和内容数量多。在认定时，这两方面都应该考虑，无论是涉及的人数多还是涉及的信息条数多都应该属于情节严重。具体的数目应结合实践论证得出，可参考诽谤罪的转发500次，浏览5000次。要注意，对于涉及的信息条数的规定数量应该比信息主体的规定数量要多。

3.出售、非法提供个人信息涉及公民人身、财产严重损失

由于个人信息被出售、非法提供后导致被害人伤残、死亡的，应该属于情节严重。这里的导致在因果关系上必须是间接的，如果是明知道他人利用个人信息是要造成被害人伤残、死亡还出售、非法提供的，应以故意伤害、故意杀人的共犯论处。笔者认为这里的人身损失应该指过失的导致1人以上，造成重伤、残疾或死亡的后果的，轻伤不应包含在内。有些提出该情况应该数罪并罚，笔者认为：本罪与过失

致人重伤、过失致人死亡罪应该从一重罪处罚。导致人伤残或死亡的情况属于间接的危害结果，是考虑是否到达情节严重的标准，作为定罪情节已经考量过，不应该再次评价处罚。

有时候个人信息被出售、非法提供后没有导致人身伤害，但是造成了公私财产的损失，这也应该属情节严重。具体的数额范围，应参考各省份的经济发展情况。

4.出售、非法提供个人信息获利

获利是指行为人通过出售公民个人信息，违法所得钱财达到一定的数额。获利数额较大的也应属于“情节严重”的情况。获利的大小可以反映犯罪主体的主观危害和对社会的危害程度，是应该考虑的。犯罪单位或个人在信息主体不知道的情况下，将其个人信息出售，类似于盗窃行为。所以确定本罪数额较大的标准也可以参考构成盗窃罪的标准。

5.出售、非法提供个人信息，造成国家、社会严重影响的

出售、非法提供个人信息数量较大一般都会对国家、社会有严重影响。使群众觉得紧张、社会秩序被打乱，甚至引发群体事件。①参考了《最高人民法院 最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》第三条的规定。应考虑以下情况(一)引发群体性事件的;(二)引发公共秩序混乱的;(三)引发民族、宗教冲突的;(四)利用个人信息进行其他犯罪，造成恶劣社会影响的;(五)损害国家形象，严重危害国家利益的;(六)造成恶劣国际影响的。

情节严重，应该是个综合考虑的结果，但从构成犯罪角度，应该是达到其中任一条件即可构成犯罪。同时满足几个条件的，可作为量刑上的参考标准。

（二）共犯问题

本罪的共犯问题是非常复杂，实践中，应关注以下几个问题：（1）先商量好由单位或个人出售、提供、窃取或非法获取的个人信息后，凭借提供的个人信息，再由其他人进行犯罪比如诈骗罪、侮辱罪。应以诈骗罪、侮辱罪的共犯追究这些人员的刑事责任。（2）事前没有通谋，单位或个人出售、提供、窃取或非法获取的个人信息后，其他人再利用个人信息进行其他犯罪的，这些单位或个人仅构成本罪。（3）当出售、提供、窃取或非法获取的个人信息数额、数量较少，其他人利用这些信息进行其他犯罪的情况，可作为本罪是否构成“情节严重”考虑；已构成本罪的，可以作为量刑情节考虑。

现实中有中介人专门负责联系有职责或提供服务的单位或个人，为他们寻找买家，或为买家牵线搭桥。随着经济的发展，为了经济利益个人信息的需求会越来越多，该类人也应该会越来越多。由于侵犯公民个人信息的犯罪没有像受贿类罪规定有介绍贿赂罪，那么该类人能否追究刑事责任是个问题。笔者认为如果达到长期多次的合作，但还是应该按照共同犯罪的理论构成本罪处罚。

（三）本罪与受贿罪的一罪与数罪问题

如果行为人属于国家工作人员，先收受他人提供的财物后，答应为其谋利，提供个人信息，应该以本罪和受贿罪数罪并罚。单纯只处罚受贿行为，不足以保护个人信息，凸显该行为的危害性。在收受他人提供的财物后，非法提供个人信息，这样不仅侵害了公务人员的廉洁型，也侵犯了个人信息的管理秩序，危害性也大于只有受贿行为。存在这样的情况，不应该只处罚受贿行为，也应该处罚侵犯个人信息的行为。否则，既有受贿行为又有侵犯个人信息的行为处罚比单独只有受贿行为处罚的还低，不合理。

（四）本罪与非法获取计算机信息系统数据、非法控制计算机信息系统罪

一般情况下，本罪与非法获取计算机信息系统数据、非法控制计算机信息系统罪容易区分。但当运用侵入计算机系统的方式窃取个人信息时，或非法获取的计算机数据为个人信息时，会形成手段和目的的牵连犯。从理论上看，本罪与侵犯计算机类犯罪不适合数罪并罚。应该结合情节和行为方式，“从一重罪”处罚。

（五）本罪的溯及力问题

对于犯罪行为发生于《刑法修正案（九）》生效前，审判发生在生效后的行为，要按照从旧兼从轻的原则处理。对于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，若按照新法则处罚较重，应该按照旧法的规定处理。非上述人员出售、提供公民个人信息，若按旧法的规定不构成犯罪，按新法构成犯罪，应该按照旧法的规定处理。

［1］王利明.论个人信息权的法律保护———以个人信息权与隐私权的界分为中心［J］，现代法学，2013年7月第35卷第4期，第64页。

［2］中国社会科学院语言研究所词典编辑室.现代汉语词典［M］.北京：商务印书馆，第五版，第473页。

［责任编辑：炫 蓉］

DF624

A

1008-8628（2016）06-0037-06

2016-09-19

王静，女，广西政法管理干部学院讲师。