高富平 王文祥

(华东政法大学，上海 200042)

出售或提供公民个人信息入罪的边界*──以侵犯公民个人信息罪所保护的法益为视角

高富平 王文祥

(华东政法大学，上海 200042)

自2009年《刑法修正案(七)》将个人信息纳入刑法保护以来，侵犯公民个人信息罪的范围一直存在争议。侵犯公民个人信息罪所保护的法益是公民人格尊严与个人自由，从出售或提供公民个人信息行为的实质违法性角度出发，应当将个人信息限缩在具有危害该法益的“公民个人信息”内，且应当将行为目的作为该罪的必要要件。这一结论不仅对现行刑法的正确适用具有指导价值，而且对刑法进一步修订提出了期待；其要求在有效打击我国侵犯公民个人信息犯罪行为的同时，为大数据应用提供宽松的环境。

个人信息；个人信息保护出售或提供公民个人信息；侵犯公民个人信息罪

自2009年《中华人民共和国刑法修正案(七)》(以下简称：《刑修七》)首次将侵犯公民个人信息行为纳入刑法保护后，这种保护力度不断得到强化。2015年《中华人民共和国刑法修正案(九)》(以下简称：《刑修九》)进一步将个人信息犯罪的主体扩大到任何主体，*《刑修七》中“出售、非法提供公民个人信息罪”的主体为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。取消了“非法提供”中的“非法”，将入刑的行为确定为“出售或提供公民个人信息”和“窃取或者以其他方法非法获取公民个人信息”两种行为。这意味着，不仅出售公民个人信息和购买公民个人信息(归类到以其他方法获取行为之内)可能入刑，而且向他人提供公民个人信息或者接受公民个人信息也存在承担刑事责任的风险。

我国《刑法》有关个人信息犯罪的修改，引起了社会的广泛关注。个人信息(又称个人数据)是社会活动尤其是开展商业活动必不可少的要素，尤其是伴随大数据的应用，人类进入数据化时代，收集和分析各种数据并应用于各种决策成为社会运营的常态。政府在社会治理和决策中要大量应用个人数据，基于对个人数据分析的精准营销、网络推送、个性化定制等也已成为现代商业的基本样态。除了在提供服务或商品中自行收集个人数据外，许多商家开始依赖外部数据，其获取方式包括分享、互换、许可使用等。此外，各地也纷纷建立专业大数据交易服务机构，搭建数据交易平台，推进数据的社会化利用。*继2014年12月10日北京大数据交易服务平台正式上线运行后，国内又有许多省市成立大数据交易机构，比如贵阳大数据交易所(2015年4月14日)、长江大数据交易所(2015年7月16日)、杭州钱塘大数据交易中心有限公司(2015年12月15日)、上海数据交易有限公司(2016年4月1日)等。《刑修九》无疑给商业活动中广泛存在的数据交换和正在兴起的数据交易蒙上一层阴影。由于个人数据保护立法和执法的滞后，我国的个人信息滥用、无序利用已经到了危害人身和财产安全的地步，因而国家就率先运用刑法，惩治侵害公民个人信息的犯罪行为。但是，刑法的不正确适用会抑制我国大数据应用的创新和正当的合乎国际规则的商业应用。因此，必须对《刑修九》规定的侵犯公民个人信息罪进行正确的解释和适用，这样才能在打击公民个人信息犯罪的同时，为正当的个人信息收集和使用提供良好的制度环境。

笔者于本文中以“出售或提供”公民个人信息行为为核心，着重讨论我国侵犯公民个人信息罪所保护的客体，在对刑法保护的核心——侵害的法益进行分析的基础上，论述该罪所禁止行为的实质违法性，试图回答出售或提供何种公民个人信息才具有刑法上的可责性，何种出售或提供行为才具有实质违法性并构成犯罪。

一、侵犯公民个人信息罪所保护的法益

传统刑法理论认为犯罪的客体是指刑法所保护的、为犯罪行为所侵害的社会关系，严重社会危害性是犯罪的本质特征。有学者提出，纵观刑法分则，并没有将犯罪客体表述为社会关系，而是将权利、秩序、利益等作为犯罪客体；因此，刑法所保护的利益用法益来概括比用社会关系来概括更为合适。*参见张明楷：《刑法原理》，商务印书馆出版2011年版，第73-74页。依此，“行为是否具有实质违法性，是根据法益是否受到侵害或者威胁来评价的”。*同上注，张明楷书，第75页。笔者认同该观点，应当先分析侵犯公民信息罪所保护的法益，再进一步分析出售或提供哪些公民个人信息构成实质性违法，应受刑法处罚。

有学者基于《刑修七》对于犯罪主体的特殊限定，认为侵犯公民个人信息罪所保护的主要法益为“‘公权 (益) 关联主体’对公民个人信息的保有”，同时兼顾了公民个人信息的自由和安全或个人隐私。*赵军：《侵犯公民个人信息犯罪法益研究——兼析〈刑法修正案(七)〉的相关争议问题》，《江西财经大学学报》2011年第2期。显然，《刑修九》对侵犯公民个人信息罪犯罪主体的修改，足以说明该罪所保护之主要法益并非公权益关联主体对公民个人信息的保有。此外，部分学者认为该罪保护的法益为“个人信息所体现的公民的隐私权”，*王昭武、肖凯：《侵犯公民个人信息犯罪认定中的若干问题》，《法学》2009年第12期。“只有个人信息中体现着个人隐私权的那一部分信息才属于刑法保障的范围”。*蔡军：《侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望》，《现代法学》2010年第4期。这样的观点并不全面。笔者认为，侵犯公民个人信息罪所保护的法益应为人格尊严与个人自由，个人隐私只是人格尊严的组成部分。这一观点可以从立法解释和个人信息保护目的解释两个角度加以分析。

(一)刑法条文的解读

侵犯公民个人信息罪被置于我国《刑法》分则的第四章“侵犯公民人身权利、民主权利罪”，那么从整体而言，侵犯公民个人信息罪所要保护的法益应在公民人身权利或民主权利范畴之内。至于侵犯公民个人信息罪到底保护何种公民人身权利或民主权利还需根据刑法具体罪名的编排以及个人信息所需保护的利益进行进一步分析。以我国《刑法》侵犯公民人身权利、民主权利罪章(第四章)为例，处于该章的第232条“故意杀人罪”至第235条“过失致人重伤罪”所保护的法益均为公民人身权利，且属于人身权利中的人身安全利益，包括生命权、身体权与健康权。对于侵犯公民个人信息罪而言，《刑修(七)》首次确定该罪名时就将其条文序号定为第253条之一，位于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”之后。不难看出，“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”所保护的法益均为公民人格权利与自由，包括公民个人通信自由和人格尊严。因此，从具体罪名的编排来看，侵犯公民个人信息罪所保护的法益应与上述两个罪名相类似，是对公民人格尊严与个人自由的保护。

(二)个人信息保护的目的

个人信息刑法保护是个人信息保护的最后一道防线，其保护目的仍然不能脱离个人信息保护的宗旨。个人信息的属性与特征决定了个人信息所保护的利益，同时也决定了侵犯公民个人信息罪所保护的具体法益。

个人信息是指与已被识别或可以被识别的个体有关的信息。个人信息强调对特定个体(自然人)的识别，凡是能够识别某个人的信息均归入个人信息。识别个人是开展社会交往和社会活动所必需的因素，无论是接受公共服务、申请项目、上学就业，还是进行商业交易等均要提供个人信息，以实现相互联系和相互了解。因此，个人信息是社会的润滑剂，具有社会性、公共性，在社会活动中向他人提供(披露)和获得他人个人信息是社会运行的基本需要。但是，个人信息同时涉及个人利益，有些个人信息本身就是个人隐私，不适宜公开，而有些个人信息虽然可以被公开或获取使用，但是如果被滥用则会危害个人利益，侵害个人自由、安宁等，因此，个人信息应当受到保护也已成为社会共识。显然，个人信息保护区别于隐私保护，个人信息保护旨在确立个人信息使用规范，其保护个人权益包括但不限于隐私利益。虽然我国许多民事法律(如我国《消费者权益保护法》)开始引入个人信息保护制度，但是对个人信息保护的宗旨并没有统一的认识。因此，我们仍然需要追本溯源，先了解一下国际社会个人信息保护制度的形成和基本宗旨。

个人信息保护制度既有个别国家的立法渊源，也有国际文件渊源。在德国，其黑森州在1970年颁布了世界上第一部专门针对个人数据保护的法律，1977年在国家层面也制定了《联邦个人数据保护法》(BDSG)。之后，1983年德国宪法法院判决确立了个人信息自决权为公民宪法上的权利。*https://de.wikipedia.org/wiki/Volksz?hlungsurteil，2016年12月5日访问。于是，个人自行决定何时、在何范围披露个人信息成为一项宪法权利。在美国，1973年美国卫生、教育和福利部(现为卫生和人权服务部)提出“正当信息通则”(又称隐私原则)，也成为美国1974年《隐私法》的基础，并成为当今个人数据保护立法的重要源头。*参见金耀译：《美国〈正当信息通则〉中的基本原则》，载高富平主编：《个人数据保护和利用国际规则：源流和趋势》，法律出版社2016年版，第305-311页。美国的《隐私法》仅规范公共部门的个人信息处理行为，防范公权力对公民隐私的侵害，只是它体现的正当信息通则也被私人领域广泛接受，成为美国保护个人信息的一般原则。

进入上世纪80年代，先后有两个有关个人信息保护的国际性文件发布，一个是1980年经济合作与发展组织的《隐私保护和个人数据跨境流通指南》(以下简称：《指南》)，*该指南于2013年修订重新发布，Recommendation of the Council concerning Guidelines governing the Protection of Privacy and Transborder Flows of Personal Data (2013)[C(80)58/FINAL, as amended on 11 July 2013 by C(2013)79, http://www.oecd.org/sti/ieconomy/2013-oecd-privacy-guidelines.pdf，2016年9月3日访问。另一个是1981年欧洲委员会《个人数据自动处理中的个人保护公约》(以下简称：《公约》)。《指南》提出的适用于个人信息保护的8项原则，已经被许多国家接受并作为保护个人隐私与自由的基本原则。《公约》是在人权保护的意义和框架下定位个人数据保护制度的，它明确宣布个人数据保护是为了保护个人权利和基本自由(尤其是隐私权)。*2012年该公约重新修订，更名为《个人数据处理中个人保护公约》。其前言中，对其宗旨表述略有差异。2012年公约表述的更为完整清晰： 鉴于在个人数据处理和交换多样化、集约化和全球化的背景下，有必要捍卫每个人的个人尊严和保护基本人权和基本自由，尤其是通过对自有数据及其处理的控制权来实现保护。 参见前注⑨，高富平主编书，第305-311页、第102页。该《公约》成为1995年欧盟《个人数据保护指令》(以下简称：《指令》)制定的依据和基础。*1995年欧盟《个人数据保护指令》的全称为《欧盟议会与欧盟理事会关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC号指令》《指令》及欧盟于2016年4月颁布的《统一数据保护条例》(2018年生效后将替代《指令》成为在全欧盟范围内具有直接法律效力的法律)均将个人数据保护目的定位于“保护自然人的基本权利和自由”。*Paragraph 2, Article 2: “This Regulation protects fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data.” General Data Protection Regulation (GDPR) [Regulation (EU) 2016/679], http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN, 2016年9月3日访问。

从以上对国际社会个人数据保护制度形成和立法定位的简要分析，可以看出国际社会主要是从保护个人基本权利和基本自由的角度来保护个人数据的，甚至 《欧盟基本人权宪章》明确地将个人数据保护作为一项独立的人权或基本权利加以保护。*参见《欧盟基本人权宪章》第8条。该宪章由欧盟主导起草并于2000年发布，该宪章吸收许多宪法传统、国际人权公约文本， 其中包括《欧洲人权公约》， 所规定公民享有的政治、社会和经济权利，构成欧盟法律的基础。该宪章最初只是政治宣言，2004年宪章被正式纳入《欧盟宪法条约》，实现欧盟基本权利的宪法化。后因此，欧盟宪法条约陷入僵局，宪章再次被并入2009年生效的《里斯本条约》(是在原《欧盟宪法条约》基础上修改而成，被视为简版的《欧盟宪法条约》)，由此，《欧盟基本人权宪章》正式成为具有法律效力的文件。2000年文本参见The Charter of Fundamental Rights of the European Union (2000/C 364/01), http://www.europarl.europa.eu/charter/pdf/text_en.pdf其基本理念是，个人数据的处理涉及公民(或自然人)的个人尊严、自由，应当规范个人数据的处理行为，以防止对公民基本权利和自由的侵害，其中包括但不限于对隐私(特指个人对敏感信息的控制)的保护。虽然美国是在隐私法的框架下来保护个人可识别信息(也称为信息隐私权)，但是，美国法中的隐私根源于宪法，通过制定法和普通法(判例法)两套体系不断演绎，形成保护除诽谤、仿冒之外一切个人权益的侵权救济体系，承载着私人生活领域内保障基本权利的使命。在这样的法律体系中发展出的信息隐私权与欧洲在人权意义上创设的个人数据保护权异曲同工，具有相同的含义和内容。因此，所谓个人数据保护，就是保护个人数据收集、处理等数据利用过程中所涉及的个人基本权利与自由(按照美国法，可以概括地表达为隐私权，但按照大陆法系的法律体系，应当是包括但不限于隐私权)。

我国尚未制定个人数据保护法，因而对于个人数据保护目的还没有统一法律表述。从国际社会个人数据保护基本规律来看，我国的个人数据保护亦应当建立在宪法规定的公民基本权利基础上。若这些公民权利同时体现为人格权益，需要民法予以认可和保护，那么也应同时纳入民法(比如能够以名誉权、隐私权来保护人格尊严)。只有这样我们才能理解为什么在没有相应民法规范的情形下，我国《刑法》先行对个人信息予以保护。也就是说，我国刑法对于公民个人信息保护是建立在《中华人民共和国宪法》对公民基本权利保护基础上的，是履行“国家尊重和保障人权”基本义务，保护公民人格尊严、人身自由等宪法权利，而不是直接基于人格权或隐私权保护。一旦我们制定个人信息保护法之后，就可以全面确立我国个人信息保护的目的，使宪法保护的基本权利得到细化，并使宪法对公民权利的保护延伸到民事法律领域。因此，从个人信息保护的法律基础和基本宗旨角度，刑法中侵犯公民个人信息罪所保护的法益应当理解为公民人格尊严与个人自由，隐私利益只是人格尊严保护的内容之一(在强调隐私的重要性时，亦可以与人格尊严并列加以表述)。

根据以上两个层面的分析，我国刑法侵犯公民个人信息罪所保护的法益要宽泛于其他国家有关个人秘密或侵犯个人隐私类犯罪的立法。早在上个世纪，一些国家对侵犯个人秘密的行为就进行了刑事立法。譬如，日本刑法典(Act No.45 of 1907)第134条第1款规定了“非法披露个人秘密信息罪”(Unlawful Disclosure of Confidential Information)；*日本《刑法》第134条第1款规定：“医生、药剂师、医药分销商、助产士、代理律师、辩护人、公证人或者任何其他曾经从事此类职业的人，无正当理由，披露由于处理业务而知悉的他人的秘密的，处六个月以下惩役(imprisonment with work)或者十万日元以下罚金。”PENAL CODE (Act No.45 of 1907), http://www.japaneselawtranslation.go.jp/law/detail/?id=1960&vm=04&re=02, 2016年7月9日访问。同样，德国刑法在第十五章侵害私人生活和秘密中分别对侵害言论秘密(第 201条)、侵害通信秘密(第 202 条)、探知数据(第 202 条 a)、侵害他人隐私(第203 条)、利用他人秘密(第 204 条)、侵害邮政或电讯秘密(第 206 条)作出了规定。*参见吴苌弘：《个人信息的刑法保护研究》，上海社会科学院出版社2014年版，第84页。其中第203条规定了某些特殊类型行业的人员不得“非法披露他人秘密，尤其是该秘密属于个人隐私、商业或贸易秘密”，*Section 203 “Violation of private secrets”, GERMAN CRIMINAL CODE, https://www.gesetze-im-internet.de/englisch_stgb/german_criminal_code.pdf, 2016年7月8日访问。特殊行业人员通过列举的方式在法条中予以规定，主要包括从事医疗行业的人员、心理咨询师、法律从业人员、咨询机构、社会工作者(social worker)、私人保险机构以及政府官员和其他相关公共职能部门的人。*德国《刑法》第203条所列举的医疗健康从业人员包括医生、牙医、兽医、药剂师等，法律从业人员包括代理人律师、专利律师、公证人、辩护律师，会计从业人员包括注册会计师、审计师、税务顾问、纳税代理人或相关机构或组织的会员；其他相关公共职能部门的人包括行使特殊公共服务职能的人、基于雇员代表法律行使权力和职责的人、为联邦或州立法机构工作的调查委员会的成员(该委员会本身不是立法机构的一部分)、官方指定的基于法律履行职责的专家以及基于法律履行职责参与科研项目且具有保密义务的人。这些罪名主要针对侵犯个人秘密信息、通信自由的犯罪行为，其保护范畴要远窄于侵犯公民个人信息罪。

因此，我国刑法基于宪法上公民权利所规定的侵犯公民个人信息罪具有更高的定位，所保护的公民个人信息也不限于隐私信息。但是，由于个人信息本身具有社会性、公共性，个人信息本质上是可为人使用的，只是该使用不得侵犯他人人格尊严和个人自由。由于刑法自身的谦抑性，其不能将所有侵犯公民个人信息的行为纳入其调整范围，不能将所有出售或提供公民个人信息的行为视为犯罪行为。因此，还需要进一步分析出售或提供哪些公民个人信息以及何种出售或提供行为构成实质性违法，应当为刑法所禁止。

三、出售、提供公民个人信息行为实质违法性之界定

既然侵犯公民个人信息罪所保护的法益是公民的人格尊严与个人自由，那么对出售或提供公民个人信息行为的实质违法性判定必须围绕该法益展开，即如果出售或提供公民个人信息对公民的人格尊严与个人自由造成严重侵害或威胁，那么该行为就具有实质违法性，应被视为侵犯公民个人信息行为，应受刑法处罚。刑法控制的应该是对个人隐私、人格尊严和个人自由造成严重侵害的行为,这就意味着需要对可入刑的行为作出明确的限定，将不具有实质违法性的行为排除在刑法调整之外。笔者认为,这种限定须从两个方面进行，一是在既有规范下限缩公民个人信息的范围，将明显具有潜在危害性的信息纳入；二是增加要件，将非法目的作为侵犯公民个人信息罪的必要要件。

(一)限缩公民个人信息的范围

侵犯公民个人信息罪规定了两种侵犯公民个人信息的行为，一种是“向他人出售或者提供公民个人信息”的行为，另一种是“窃取或者以其他方法非法获取公民个人信息”的行为。这两种行为的行为方式在本质上具有很大的差异。对于“窃取或者以其他方式非法获取”，无论是窃取还是以其他方式非法获取，其核心都突出了“非法”，这意味着其行为方式本身就为法律所禁止，其获取公民个人信息的行为缺乏合法性基础。*欧盟2016年《统一数据保护条例》第6条第1款规定了6项“数据处理”的一般合法性基础：(a)数据主体已经对基于一个或多个具体目的而处理其个人数据的行为表示同意；(b)履行数据主体为一方当事人的合同或在订立合同前为实施数据主体要求的行为所必要的数据处理；(c)为履行数据控制者的法定义务所必要的数据处理；(d)为保护数据主体或另一自然人的重大利益所必要的数据处理；(e)为履行涉及公共利益的职责或实施已经授予数据控制者的职务权限所必要的数据处理；(f)数据控制者或第三方为追求合法利益目的而进行的必要数据处理，但当该利益与要求对个人数据进行保护的数据主体的基本权利和自由相冲突时，尤其是当该数据主体为儿童时，则不得进行数据处理。无论其所获取的个人信息是否包含敏感信息，只要个人信息获取行为没有合法性基础，甚至采取盗窃等违法方式，即直接侵犯公民个人自由；如果所获取的个人信息还包含个人敏感信息，则可能进一步对公民个人隐私、人格尊严造成侵害或威胁。因此，窃取或以其他方式非法获取公民个人信息因其行为方式本身必定会对公民个人自由造成侵害，同时也可能会对公民个人隐私与人格尊严造成侵害或极大的威胁，当然具有实质违法性。“向他人出售或提供”行为本身属于一种中性的行为。所谓出售一般指有偿的交易；“提供”可以涵盖非交易性的数据共享或移转行为。如果出售和提供的标的(即公民个人信息)和目的没有违反法律规定，单纯出售和提供公民个人信息的行为并无所谓合法或非法的问题。这是因为，导致法律行为出现瑕疵的原因一般有行为能力欠缺、标的不适当、意思表示不健全等，*通常“行为能力欠缺、标的不适当、意思表示不健全”导致法律行为无效、可撤销或效力待定。参见王泽鉴：《民法总则》，北京大学出版社2009年版，第378页。这些瑕疵只发生民事后果，不至于导致违法或非法。因此，在一般情况下，如果某一出售或提供行为被认为是非法的，那么一定是其出售或提供的标的物具有特殊性。以“买卖”为例，通过对法条的检索，我们发现刑法将如下几类物品的买卖行为作为犯罪行为：第一，该标的物本身具有危险性或危害性，可能对公共安全利益或公民个人安全利益造成侵害或威胁，如“枪支、弹药、爆炸物、危险物质、毒品”*对应的罪名为“非法制造、买卖、运输、邮寄、储存枪支、弹药、爆炸物罪；非法制造、买卖、运输、储存危险物质罪；违规制造、销售枪支罪”。以及“伪劣商品”*我国《刑法》第三章第一节“生产、销售伪劣商品罪”规定了若干罪名，所涉及标的物均对消费者人身具有巨大的威胁，如“伪劣产品、假药、劣药、不符合安全标准的食品、有毒有害食品、不符合标准的医用器材、不符合安全标准的产品、伪劣农药、兽药、化肥、种子、不符合卫生标准的化妆品”。等；第二，该标的物本身虽然并不直接具有危险性或危害性，但基于特定的利益考量，国家对其进行管制，限制或禁止其流通。如为了保护国家安全利益，禁止销售专用间谍、窃听、窃照专用器材；为了保护公共安全利益，禁止擅自出卖国有档案、禁止买卖武装部队公文、证件、印章；为了维护公共管理秩序，禁止买卖国家机关公文、证件、印章、身份证件、试题与答案等；为了维护社会主义市场经济秩序，禁止购买假币，禁止出售伪造的信用卡，禁止出售各类发票等。*所涉罪名包括“伪造、出售伪造的增值税专用发票罪；非法出售增值税专用发票罪；非法购买增值税专用发票、购买伪造的增值税专用发票罪；非法制造、出售非法制造的用于骗取出口退税、抵扣税款发票罪；非法制造、出售非法制造的发票罪；非法出售用于骗取出口退税、抵扣税款发票罪；非法出售发票罪”。可见，标的物的特殊性是导致整个行为被认定为非法，并将其作为犯罪行为纳入刑法调整范围的关键。因此，对“出售或提供公民个人信息”行为的实质违法性分析的落脚点并不在于出售和提供这一行为方式上，而在于行为对象，即公民个人信息上。

公民个人信息因其承载着公民人格尊严和个人自由，本身具有一定的特殊性，但是，首先，公民个人信息显然并不像枪支、弹药、危险物质以及毒品那样本身就具有极强的危险性和危害性，会对个人人身安全或公共安全造成直接威胁，需要国家对其流通进行严格的管制；其次，除了包含国家秘密的公民个人信息外，公民个人信息一般仅承载个人的人格尊严和自由，不会直接对国家安全造成威胁；再次，公民个人信息与国家机关的公文、证件、印章、身份证件、试题和答案有本质区别，前者主要是基于私人之活动形成的产物，后者主要是代表国家的机关或机构形成的产物；前者的买卖并不会对国家的管理造成严重的影响，也不会损害国家机关或机构的公信力，而后者的买卖可能就会危害国家的管理秩序；最后，公民个人信息的正常流通并不会危害社会主义市场经济秩序，相反，在数据时代，个人信息的利用与流通具有巨大的价值。信息的利用不仅成为了企业竞争和发展的关键基础，*See Manyika J, Chui M, Brown B, et al. Big data: The next Frontier for Innovation, Competition, and Productivity. 2011.也是帮助政府提高社会治理水平，发展国家经济，提高国家医疗卫生、能源、军事等科技水平的重要途径。因此，刑法不应完全禁止出售或提供公民个人信息的行为。

目前，刑事司法领域，有关侵犯公民个人信息罪之公民个人信息范畴较为权威的解释出自2013年最高人民法院、最高人民检察院和公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称：《通知》)。《通知》认为“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”除了能够识别公民个人身份的信息外，该《通知》还将“涉及公民个人隐私的信息”纳入其中。笔者认为《通知》对刑法保护的公民个人信息的界定过于宽泛，从实质违法的角度，纳入刑法保护的应当只限于能够直接识别公民个人身份的个人信息。

首先，并非所有能够识别公民个人的信息对外提供都具有刑法上的可责性。国际社会对于个人信息的定义多强调其可识别性，只有可以识别特定个人的信息才被称为个人信息或个人数据，并对其利用加以规范和保护。例如，欧盟《统一数据保护条例》规定：“个人数据(personal data)是指与已识别或者可识别的自然人(数据主体)相关的任何数据。”*Paragraph 1, Article 4, General Data Protection Regulation (GDPR) [Regulation (EU) 2016/679], http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=EN, 2016年9月3日访问。个人信息可识别性包括两种含义，即识别特定个人身份与识别特定个人个性特征(可以不知道具体个人，但了解该人特征)。识别特定个人身份是指当公民个人信息中包含个人身份信息，如姓名、身份证号、手机号、地址，获取该公民个人信息的人可以通过其中的个人身份信息直接识别该信息主体的身份(身份具有特定性和唯一性)。识别特定个人个性特征是指公民个人信息中包含能够反映信息主体个性特征的数据，如有关该信息主体的兴趣爱好、购物记录，获取该公民个人信息的人可以通过此类信息对信息主体各个方面的性格特征或需求进行分析。如果单纯出售、提供可识别特定个人个性特征的个人信息(比如对个人信息作了去身份化处理)，而不包含身份信息，不能直接侵害或威胁该个人的隐私或人格尊严，不具有直接危害性。因为可识别特定个人个性特征的个人信息在不包含个人身份信息的情况下，虽然该个人信息同样指向某个人，但无法明确知道该个人的身份，也即无法特定化。即便某些爱好或习惯具有一定的敏感性，但由于无法特定化至一个明确的信息主体的身份，对该信息主体的侵犯也就无从谈起。

相反，如果行为人出售或提供的个人信息属于可直接识别特定个人身份的个人信息，那么因该信息与特定主体直接相关联，该出售或提供行为就可能直接侵害公民的个人隐私与人格尊严，甚至也可能威胁到其他法益。诚如某学者所述，具有可识别性的个人身份信息能够识别公民个体，进而能够将公民个人信息进行分类，形成公民个人身份信息系统“资源”，如此，才可能扰乱公民生活的安宁以及间接地威胁人身、财产权利。*参见曲新久：《论侵犯公民个人信息犯罪的超个人法益属性》，《人民检察》2015年第11期。因此，不包含可直接识别特定个人身份的个人信息或隐去身份的个人信息的买卖和提供不应当直接被纳入刑法调整，刑法应当将单纯识别个人特征的个人信息的流通和提供排除于刑法之外。

因此，将“公民个人信息”限缩为可直接识别特定个人身份的公民个人信息具有其合理性与正当性。我国目前司法实践对公民个人信息的界定也印证了笔者的这一观点。

笔者以“中国裁判文书网”(http://wenshu.court.gov.cn/)为检索数据库，以“非法获取公民个人信息”为关键词进行全文检索，并分别限制判决日期为2015年和2016年，不限地区与法院层级，经筛选后获得相关判决书275份，其中2015年170份，2016年105份(截至2016年8月5日)；以“买卖、非法提供公民个人信息”为关键词进行全文检索，不限年份、地区与法院层级，获得25份不重复判决书(截至2016年8月5日)。合计共考察300份判决书。根据对所有判决书的内容进行的梳理，笔者发现，很大一部分判决书对于“公民个人信息”并没有展开描述，仅采用“公民个人信息”*如(2016)沪0116刑初119号、(2016)黑0381刑初66号、(2016)沪0104刑初493号等判决。、“客户资料”*如(2015)双流刑初字第884号等判决。、“楼主业主资料”*如(2015)洛刑初字第258号、(2015)弋刑初字第00050号、(2015)朝刑初字第1214号等判决。或“淘宝买家客户信息”*如(2016)闽0802刑初273号、(2016)闽0802刑初274号、(2016)沪0114刑初413号等判决。等表达，且根据判决书全文无法准确判断所涉公民个人信息的类型以及是否包含可直接识别特定个人身份的个人信息。在所考察的300份判决书中，该类判决书有93份，在所有判决书中所占的比例为31%。相应地，判决书内容对公民个人信息有明确描述或根据判决书全文可判断个人信息类型的判决书共207份，占69%。

其次，在207份可判断公民个人信息类型的判决书中，有206份明确涉及典型的可直接识别特定个人身份的个人信息，如姓名、身份证号、电话号码或住址等；只有深圳市罗湖区公开的1份判决书不涉及典型的个人身份信息，但依旧被认定为侵犯公民个人信息犯罪。该判决书所涉个人信息为“法院公务车辆的行驶路线、停车位置”。*(2016)粤0303刑初304号。也就是说，在所有的判决书中，至少有206份(占68.7%)判决书所涉的个人信息是包含可直接识别特定个人身份的个人信息的。

从上述数据可以看出，排除无法判断公民个人信息类型的判决书外，其余可判断公民个人信息类型的判决书中的公民个人信息几乎均涉及可直接识别特定个人身份的个人信息。然而，无法判断公民个人信息类型的判决书并不意味着就不涉及可直接识别特定个人身份的个人信息，只是由于判决书表述不详细，无法确定是否包含可直接识别特定个人身份的个人信息而已。也就是说，所有判决书中所涉个人信息包含可直接识别特定个人身份的个人信息的比例至少应在68.7%以上，同时，可判断个人信息类型的判决书中所涉个人信息包含可直接识别特定个人身份的个人信息的比例更是高达99.52%。这表明，在目前我国司法实践中，当所涉公民个人信息不包含可直接识别特定个人身份的个人信息时被认定为侵犯公民个人信息罪的概率是极低的。不仅如此，针对深圳市罗湖区所判决的案例，有学者还提出：“公民日常活动情况无论如何不能纳入刑法调整。”*叶良芳、应家赟：《非法获取公民个人信息罪之“公民个人信息”的教义学阐释——以〈刑事审判参考〉第1009号案例为样本》，《浙江社会科学》2016年04期。笔者同样认为，当所涉公民个人信息仅包括车辆的行驶路线、停车位置时，将其认定为侵犯公民个人信息犯罪是不妥当的。如前所述，只有所涉公民个人信息能够直接识别特定个人身份才会对侵犯个人信息罪所保护的法益造成侵害或威胁，从而具有实质违法性；而单纯获取公民个人的行车路线、停车位置等生活轨迹，但并未识别公民个人身份，并不具有实质违法性。更何况在上述案件中，所获取的是法院用车，并非个人车辆，所获取的信息是否对个人具有识别性都有待探讨，更不应被认定为侵犯公民个人信息的行为。当然，获取公车的行车路线如果侵犯了其他法益应以其他的犯罪进行定罪处罚。

综上所述，笔者认为，只有出售或提供的公民个人信息属于可直接识别特定个人身份的公民个人信息，才会对侵犯公民个人信息罪所保护的法益造成侵害或威胁，出售或提供公民个人信息中“公民个人信息”的范畴应限缩为可直接识别特定个人身份的公民个人信息。

(二)将犯罪目的作为必要要件

如前所述，只有出售或提供可直接识别特定个人身份的公民个人信息才会对侵犯公民个人信息罪所保护的法益造成侵害或威胁。那么，是否意味着所有出售或提供可直接识别特定个人身份的公民个人信息都具有实质违法性，从而有必要通过刑法进行规制呢？现行的《刑修九》所作出的限制性规定为“违反国家有关规定”。即使将国家有关规定限定在法律层次，那么，法律已经明确不得出售或者非法向他人提供个人信息，*例如2012年12月28日第十一届全国人民代表大会常委会作出的《关于加强网络信息保护的决定》规定：“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”我国《消费者权益保护法》第29条规定：“经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供。”是否意味着只要出售或提供可直接识别特定个人身份的公民个人信息就意味着违反法律规定？如果认为法律完全禁止公民个人信息的出售和提供，那么无疑使得正当的个人信息流通、使用面临法律上的巨大障碍。

笔者认为，个人身份信息具有社会性和公共性，可直接识别特定个人身份的公民个人信息的流通仍然是社会运行不可缺少的环节，所以简单地将出售或提供可直接识别特定个人身份的个人信息的行为入刑，在保护个人尊严和个人自由的同时，可能妨碍个人信息的正当流通和使用。为此，作为社会行为最严厉的禁止性规范，刑法必须给出明确的规定，仅惩治那些严重危害个人尊严和自由的行为，而给正当个人信息流通和使用留下空间。就买卖或提供个人信息行为而言，其行为的性质显然取决于其目的。因此，笔者认为，应将犯罪目的作为侵犯公民个人信息罪的必要要件，即将我国《刑法》第253条之一中“向他人出售或者提供公民个人信息”改为“以非法目的向他人出售或者提供公民个人信息”。

基于不同的目的，出售或提供可直接识别特定个人身份的公民个人信息所产生的社会危害性具有本质差异。基于正当的目的，如企业间信息共享，在不同主体之间出售或提供可直接识别特定个人身份的公民个人信息，如果保护措施不当，也可能会对相关信息主体的个人隐私、个人尊严造成不必要的侵害或威胁。在该情况下，信息主体的隐私等人格利益完全可以通过民事法律途径予以救济，使得信息主体因隐私、人格尊严受到侵犯所受损失得到恢复或补偿，无须动用刑法来保护信息主体。因为在民事救济中，允许司法裁量在个人尊严和自由的法益(个人利益)与个人信息自由流通(代表着公共利益)之间进行平衡，作出恰当的责任分配。相反，如果行为人基于诈骗或帮助他人诈骗等非法目的出售或提供可直接识别特定个人身份的公民个人信息，公民个人的人格尊严与自由势必遭到严重侵害，不仅如此，该出售或提供行为进一步加大了对公民人身安全、财产利益的威胁。因此，基于非法目的的出售或提供行为才具有刑法意义上的实质违法性，也只有基于非法目的的出售或提供行为才有必要动用刑法进行规制。

此外，明确给予出售或提供行为以目的限制，对于在正常业务往来中提供个人信息的行为实践来说尤为重要。譬如，在企业集团内部、母子公司之间就可能存在数据转移的情况；如果是基于企业内部管理的需要，子公司将其合法收集的可直接识别特定个人身份的信息转移给母公司，这样的“转移”如主观上没有明显侵犯个人尊严和自由的目的，客观上也没有造成严重后果，不应当构成侵犯公民个人信息犯罪。同样，为企业运转或完成交易所必要而提供可直接识别特定个人身份的个人信息，而没有其他非法目的，也不应认定为犯罪。如某些保险代理公司或保险经纪公司,在代售保险或从事保险经纪业务过程中合法收集了公民的个人信息,其中会包括姓名、身份证号、电话号码等可直接识别特定个人身份的个人信息；事后，为了实现代售这一合法的商业交往，将信息提供给合作的保险公司，以购买相应的保险。因此，在具有正常商业关系的前提下，并以实现合法目的所必要，将合法收集的可直接识别特定个人身份的个人信息提供给他人，不会对个人尊严和个人自由造成侵害，不具有实质违法性。

上述分析意味着，对我国的出售和提供个人信息犯罪应当作两方面限制性规定，一是对象上限于可直接识别特定个人身份的公民个人信息，二是行为上限定于非法目的。这样可以使我国刑法对出售或提供个人信息行为的规定大致相当于美国的身份盗用罪(identity theft)。

1998年，美国国会通过了《身份盗用和假冒制止法》。*the Identity Theft and Assumption Deterrence Act，Title 18，U.S. Code，Section 1028该法将身份盗用罪定义为：没有合法授权，故意转移或使用他人的身份，意图从事或帮助或教唆任何构成违反联邦法律的不法活动，或者任何构成可适用的州或地方法律的重罪的行为。可见该罪名主要针对非法转移或使用某人的个人可识别信息，以冒用其身份从事如欺诈等不法活动。它不仅将个人信息限定在身份信息，顾名思义身份信息必然可以直接识别特定个人的身份，而且还强调转移或使用他人身份的目的在于从事、帮助或教唆不法的活动。2012年，美国破获了一起涉案人数与金额巨大的身份盗用案件，以至于被称为美国2012年以来最大且典型的身份盗用案件。*RICHARD A. BROWN (DISTRICT ATTORNEY): 111 INDIVIDUALS CHARGED IN MASSIVE INTERNATIONAL IDENTITY THEFTAND COUNTERFEIT CREDIT CARD OPERATION BASED IN QUEENS，http://www.queensda.org/newpressreleases/2011/october/op%20swiper_credit%20card_id%20fraud_10_07_2011_ind.pdf. 2016年10月28日访问。在该案中，某犯罪集团的成员通过不法手段获取了来自多个国家公民的个人身份信息，获取信息后，将该信息提供给其他成员伪造信用卡，最后利用伪造的信用卡进行无节制的奢侈消费。非法获取、提供、使用公民个人身份信息对公民个人尊严与个人自由造成了极大的侵害，而后续的信用卡诈骗行为，进一步侵害了公民的财产权，同时无节制的消费也可能会对公民的个人尊严和个人自由造成二次侵害。因此，对侵犯公民个人信息犯罪进行目的上的限缩确有必要，也是打击侵犯公民个人信息的应有之义。

在我国目前的司法实践中，因为没有将犯罪目的作为侵犯公民个人信息罪的构成要件，因而“犯罪情节”成了重要考量因素。情节严重虽然可以包含行为目的这一因素，但由于犯罪情节是定罪量刑的因素，而不是罪与非罪的标准，因而它不能替代目的要素的规定，成为指导人们行为的明确规范。缺失目的要素的规定，依赖情节因素会使司法实践过程中具有极大的弹性，也使人们的行为预期具有不确定性。根据对前述判决书的实证考察，笔者发现侵犯公民个人信息罪常与其他不法活动相伴而生，尤其和诈骗罪结合紧密。在所考察的判决书中，有63份判决书内容显示，侵犯公民个人信息犯罪与电信诈骗有关，占可判断公民个人信息类型的判决的30.9%。虽然侵犯公民个人信息与其他不法活动结合程度较高，但30.9%的比例说明还有很大一部分的案件中的利用公民个人信息行为与诈骗等不法活动无关，而与其他商业活动有关。这就无法解决个人数据利用是否合法的不确定性的问题。

因此，笔者认为，应将犯罪目的作为侵犯公民个人信息罪的必要要件。只有如此，才既能对可直接识别特定个人身份的个人信息进行合理、有效的保护，同时也能使得基于合法目的使用个人数据的行为的合法性变得明晰，从而促进社会对个人信息数据的正当利用。

四、结 论

侵犯个人信息罪填补了我国个人信息刑法保护的空白，为公民个人隐私、人格尊严与个人自由提供了更加强有力的保护，体现了国家对人权的重视与保障。值得注意的是，在打击侵犯个人信息行为的同时，要保障和引导个人信息的有序利用和自由流通，平衡公民个人利益的保护与信息产业的发展，发挥个人信息在经济、科技、文化等领域的促进作用。鉴于此，刑法一方面要发挥其威慑和教育的作用，通过适当的刑罚让从事侵犯个人信息犯罪的行为人受到应有的惩罚；另一方面，刑法应保持其明确性和谦抑性，这样才能避免不当地阻碍新生事物对社会发展的促进作用。目前我国《刑法》规定的侵犯公民个人信息罪的法定最高刑相对较低，“情节严重”的，法定最高刑只有三年；“情节特别严重”的情况，法定最高刑为七年。笔者认为，这样相对较低的法定刑，并没有给日益猖獗的电信诈骗、网络诈骗等犯罪分子足够的威慑力，无法有效遏制身份盗用型犯罪；同时，由于侵犯公民个人信息罪的构成要件过于简单，实践中哪些行为构成犯罪不明确，无形中增加了合法利用个人信息的行为人的刑事风险，阻碍了社会对个人数据的充分利用。笔者认为，只有出售或提供可直接识别特定个人身份的公民个人信息行为才具有实质违法性，应受刑罚处罚，同时应将“以从事违法活动或侵害个人权益活动为目的”作为出售或提供个人信息行为构成犯罪的要件。在此基础上，还可以考虑提高刑罚的力度，提高法定最高刑，或者明确罚金数量。如此，既满足侵犯公民个人信息罪的立法目的，也有利于保障个人信息的自由流通，推动信息产业的发展，释放信息红利。

(责任编辑：杜小丽)

高富平，华东政法大学法律学院教授、博士研究生导师；王文祥，华东政法大学民商法专业硕士研究生。

*本文系国家社科重大项目信息服务与信息交易法律制度研究(项目编号：13&ZD178)的阶段性成果。本文由高富平撰写第一、二、四部分，王文祥撰写第三部分。

DF624

A

1005-9512-(2017)02-0046-10