文/高富平 王文祥

出售或提供公民个人信息入罪的边界

文/高富平 王文祥

自2009年《中华人民共和国刑法修正案（七）》（以下简称“《刑修七》”）首次将侵犯公民个人信息行为纳入刑法的保护后，该犯罪不断得到强化。2015年《中华人民共和国刑法修正案（九）》（以下简称“《刑修九》”）进一步将个人信息犯罪的主体扩大到所有主体，取消了“非法提供”中的“非法”，将入刑的行为确定为“出售或提供公民个人信息”和“窃取或者以其他方法非法获取公民个人信息”两种行为。这意味着，不仅出售公民个人信息和购买公民个人信息（归类到以其他方法获取）可能入刑，而且向他人提供公民个人信息或者接受公民个人信息也存在刑事责任风险。这无疑给商业活动广泛存在的数据交换和正在兴起的数据交易蒙上一层阴影。

由于个人数据保护立法和执法的滞后，我国的个人信息滥用、无序利用已经到了危害人身和财产安全的地步，因而国家就率先运用刑法，惩治侵害公民个人信息的犯罪行为。但是，刑法的不正确适用会抑制我国大数据应用的创新和正当的合乎国际规则的商业应用。因此，我们必须对《刑修九》规定的侵犯公民个人信息罪进行正确的解释和适用，这样才能在打击公民个人信息犯罪的同时，为正当的个人信息收集和使用提供良好的制度环境。

本文以“出售或提供”公民个人信息行为为核心，着重讨论我国侵犯公民个人信息罪所保护的客体，在对刑法保护的核心——侵害的法益——进行分析的基础上，论述所禁止行为的实质违法性，试图回答出售或提供何种公民个人信息才具有刑法上的可责性，何种出售或提供行为才具有实质违法性，构成犯罪。

侵犯公民个人信息罪所保护的法益

行为是否具有实质违法性，是根据法益是否受到侵害或者威胁来评价的。因此，应当先分析侵犯公民个人信息罪所保护的法益，再进一步分析出售或提供哪些公民个人信息构成实质性违法，应受刑法处罚。笔者认为，侵犯公民个人信息罪所保护的法益应为人格尊严与个人自由，个人隐私只是人格尊严的组成部分。这一观点可以从立法解释和个人信息保护目的解释两个角度加以分析。

（一）刑法条文的解读

侵犯公民个人信息罪被置于《刑法》分则的第四章“侵犯公民人身权利、民主权利罪”，那么从整体上而言，侵犯公民个人信息罪所要保护的法益应在公民人身权利或民主权利范畴之内。至于侵犯公民个人信息罪到底保护何种公民人身权利或民主权利还需根据刑法具体罪名的编排以及个人信息所需保护的利益进行进一步分析。《刑修七》首次确定侵犯公民个人信息时就将其条文序号定为第253条之一，位于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”之后。不难看出，“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”所保护的法益均为公民人格权利与自由，包括公民个人通信自由和人格尊严。因此，从具体罪名的编排来看，侵犯公民个人信息罪所保护的法益应与上述两个罪名类似，是对公民人格尊严与个人自由的保护。

（二）个人信息保护的目的

个人信息刑法保护是个人信息保护的最后一道防线，其保护目的仍然不能脱离个人信息保护的宗旨。个人信息保护区别于隐私保护，个人信息保护旨在确立个人信息使用规范，所保护个人权益包括但不限于隐私利益。虽然我国许多民事法律（如《消费者权益保护法》）开始引入个人信息保护制度，但是对个人信息保护的宗旨并没有统一的认识。因此，我们仍然需要追本溯源，了解一下国际社会个人信息保护制度的形成和基本宗旨。

个人信息保护制度既有个别国家的立法渊源，也有国际文件渊源。德国黑森州在1970年颁布了世界上第一部专门针对个人数据保护的法律，1977年在国家层面也制定了《联邦个人数据保护法》（BDSG）。之后，1983年德国宪法法院判决确立了个人信息自决权为公民宪法上的权利。于是，个人自行决定何时、在何范围披露个人信息成为一项宪法权利。在美国，1973年美国卫生、教育和福利部（现为卫生和人权服务部）提出“正当信息通则”（又称隐私原则），也成为美国1974年《隐私法》的基础，并成为当今个人数据保护立法的重要源头。 美国的《隐私法》仅规范公共部门的个人信息处理行为，防范公权力对公民隐私的侵害，然而它体现的正当信息通则也被私人领域广泛接受，成为美国保护个人信息的一般原则。

进入20世纪80年代，先后有两个有关个人信息保护的国际性文件发布，一个是1980年经济合作与发展组织的《隐私保护和个人数据跨境流通指南》（以下简称“《指南》”），另一个是1981年欧洲委员会《个人数据自动处理中的个人保护公约》（以下简称“《公约》”）。《指南》提出适用于个人信息保护的8项原则，已经被许多国家接受并作为保护个人隐私与自由的基本原则。《公约》则是在人权保护的意义和框架下定位个人数据保护制度的，它明确宣布个人数据保护是为了保护个人权利和基本自由（尤其隐私权）。该《公约》成为1995年欧盟《个人数据保护指令》制定的依据和基础。《个人数据保护指令》及欧盟于2016年4月颁布的《统一数据保护条例》（2018年生效后将替代《个人数据保护指令》成为在全欧盟范围内具有直接法律效力的法律）均将个人数据保护目的定位于“保护自然人的基本权利和自由”。

从以上对国际社会个人数据保护制度形成和立法定位的简要分析可以看出，国际社会主要是从保护个人基本权利和基本自由的角度来保护个人数据的，其基本理念是，个人数据的处理涉及公民（或自然人）的个人尊严、自由，应当规范个人数据的处理行为，以防止对公民基本权利和自由的侵害，其中包括但不限于对隐私（特指个人对敏感信息的控制）的保护。因此，所谓个人数据保护，就是保护个人数据收集、处理等数据利用过程中所涉及的个人基本权利与自由。

我国尚未制定个人数据保护法，因而对于个人数据保护目的还没有统一法律表述。但从国际社会个人数据保护基本规律来看，我国的个人数据保护亦应当建立在宪法规定的公民基本权利基础上。若这些公民权利同时体现为人格权益，需要民法予以认可和保护，那么也同时纳入民法（比如能够以名誉权、隐私权来保护人格尊严）。只有这样我们才能理解为什么在民法上没有相应规范的情形下，《刑法》先行对个人信息予以保护。也就是说，我国刑法对于公民个人信息保护是建立在《中华人民共和国宪法》对公民基本权利保护的基础上，是履行“国家尊重和保障人权”基本义务，保护公民人格尊严、人身自由等宪法权利，而不是直接基于人格权或隐私权保护。一旦我们制定个人信息保护法之后，就可以全面确立我国个人信息保护的目的，使宪法保护的基本权利得到细化，并使宪法对公民权利的保护延伸到民事法律领域。因此，从个人信息保护的法律基础和基本宗旨角度，刑法中侵犯公民个人信息罪所保护的法益应当理解为公民人格尊严与个人自由，隐私利益只是人格尊严保护的内容之一。

出售、提供公民个人信息行为实质违法性之界定

既然侵犯公民个人信息罪所保护的法益是公民的人格尊严与个人自由，那么对出售或提供公民个人信息行为的实质违法性判定必须围绕该法益展开，即如果出售或提供公民个人信息对公民的人格尊严与个人自由造成严重侵害或威胁，那么该行为就具有实质违法性，应被视为侵犯公民个人信息行为，应受刑法处罚。刑法控制的应该是对个人隐私、人格尊严和个人自由造成严重侵害的行为，这就意味着我们需要对可入刑的行为作出明确的限定，将不具有实质性违法的行为排除在刑法调整之外。笔者认为，这种限定须从两个方面进行，一是在既有规范下限缩公民个人信息的范围，将明显具有潜在危害性信息纳入；二是增加该罪要件，将非法目的作为侵犯公民个人信息罪的必要要件。

（一）限缩公民个人信息的范围

侵犯公民个人信息罪规定了两种侵犯公民个人信息的行为，一种是“向他人出售或者提供公民个人信息”的行为，另一种是“窃取或者以其他方法非法获取公民个人信息”的行为。这两种行为的行为方式在本质上具有很大的差异。对于“窃取或者以其他方式非法获取”，无论是窃取还是以其他方式非法获取，其核心都突出了“非法”，其获取公民个人信息的行为缺乏合法性基础，必定会对公民个人自由造成侵害，同时也可能会对公民个人隐私与人格尊严造成侵害或极大的威胁，当然具有实质违法性。

“向他人出售或提供”行为本身属于一种中性的行为，单纯出售和提供公民个人信息行为并无所谓的合法或非法问题。通过对刑法罪名的梳理，我们发现标的物（如枪支、弹药、危险物质、毒品等）的特殊性是导致整个行为被认定为非法，并将其作为犯罪行为纳入刑法调整范畴的关键。因此，对“出售或提供公民个人信息”行为的实质违法性分析的落脚点并不在于出售和提供这一行为方式上，而在行为对象，即公民个人信息上。公民个人信息因其承载着公民人格尊严和个人自由，本身具有一定的特殊性。但出售或提供公民个人信息并不具有直接危险性，不会直接对国家安全造成威胁或影响国家市场经济秩序；相反，个人信息的利用与流通具有巨大的价值。因此，刑法不应完全禁止出售或提供公民个人信息的行为。从实质违法的角度，笔者认为纳入刑法保护的应当只限于能够直接识别公民个人身份的个人信息。

国际社会对于个人信息的定义多强调其可识别性，但是，可识别性有两种含义，即识别特定个人身份与识别特定个人个性特征（可以不知道具体个人，但了解该人特征）。如果单纯出售、提供可识别特定个人个性特征的个人信息（比如对个人信息作了去身份化处理），而不包含身份信息，不能直接侵害或威胁该个人的隐私或人格尊严，不具有直接危害性。 因为可识别特定个人个性特征的个人信息在不包含个人身份信息的情况下，虽然该个人信息同样指向某个人，但无法明确知道该个人的身份，也即无法特定化。即便某些爱好或习惯具有一定的敏感性，但由于无法特定化至一个明确的信息主体的身份，对该信息主体的侵犯也就无从谈起。相反，如果行为人出售或提供的个人信息属于可直接识别特定个人身份的个人信息，那么因该信息与特定主体直接相关联，该出售或提供行为就可能直接侵害公民的个人隐私与人格尊严，甚至也可能威胁到其他法益。

此外，笔者考察了近年的300份相关判决，其中判决内容对公民个人信息有明确描述或根据判决全文可判断个人信息类型的判决共207份。在该207份判决中，有206份明确涉及典型的可直接识别特定个人身份的个人信息，如姓名、身份证号、电话号码或住址等。可见，我国目前司法实践对公民个人信息的界定也印证了笔者的这一观点。

因此，笔者认为，只有出售或提供的公民个人信息属于可直接识别特定个人身份的公民个人信息才会对侵犯公民个人信息罪所保护的法益造成侵害或威胁，出售或提供公民个人信息中“公民个人信息”的范畴应限缩为可直接识别特定个人身份的公民个人信息。

（二）将犯罪目的作为必要要件

由于个人身份信息仍然具有社会性和公共性，可直接识别特定个人身份的公民个人信息的流通仍然是社会运行不可缺少的环节，所以简单地将出售或提供可直接识别特定个人身份的个人信息的行为入刑，在保护个人尊严和个人自由的同时，可能妨碍个人信息的正当流通和使用。因此，作为社会行为最严厉的禁止性规范，刑法必须给出明确的限定，惩治那些严重危害个人尊严和自由的行为，而给正当个人信息流通和使用留下空间。就买卖或提供行为而言，其行为的性质显然取决于其目的。因此，笔者认为，应将犯罪目的作为侵犯公民个人信息罪的必要要件，即将《刑法》第253条之一中“向他人出售或者提供公民个人信息”改为“以非法目的向他人出售或者提供公民个人信息”。

基于不同的目的，出售或提供可直接识别特定个人身份的公民个人信息所产生的社会危害性具有本质差异。基于正当的目的，如企业间信息共享，在不同主体之间出售或提供可直接识别特定个人身份的公民个人信息，如果保护措施不当，也可能会对相关信息主体的个人隐私、个人尊严造成不必要的侵害或威胁。在该情况下，信息主体的隐私等人格利益完全可以通过民事法律途径予以救济，使得信息主体因侵犯隐私、人格尊严所受损失得到恢复或补偿，无须动用刑法来保护信息主体。因为在民事救济中，允许司法裁量在个人尊严和自由的法益（个人利益）与个人信息自由流通（代表着公共利益）之间进行平衡，作出恰当的责任分配。相反，如果行为人基于诈骗或帮助他人诈骗等非法目的出售或提供可直接识别特定个人身份的公民个人信息，公民个人的人格尊严与自由势必完全遭到侵害，不仅如此，该出售或提供行为进一步加大了对公民人身安全、财产利益的威胁。因此，基于非法目的的出售或提供行为才具有刑法意义上的实质违法性，也只有基于非法目的的出售或提供行为才有必要动用刑法进行规制。

结论

侵犯个人信息罪填补了我国个人信息刑法保护的空白，为公民个人隐私、人格尊严与个人自由提供了更加强有力的保护，体现了国家对人权的重视与保障。但在打击侵犯个人信息行为的同时，要保障和引导个人信息的有序利用和自由流通，平衡公民个人利益的保护与信息产业的发展，发挥个人信息在经济、科技、文化等领域的促进作用。鉴于此，刑法一方面要发挥其威慑和教育的作用，通过适当的法定刑让从事侵犯个人信息犯罪的行为人获得应有的惩罚；另一方面，刑法应保持其明确性和谦抑性，这样才能避免不当地阻碍了新生事物对社会发展的促进作用。而目前侵犯公民个人信息罪的法定最高刑相对较低，“情节严重”的情况，法定最高刑只有三年；“情节特别严重”的情况，法定最高刑为七年。笔者认为，这样相对较低的法定刑，并没有给犯罪分子足够的威慑力，无法有效遏制犯罪；同时，由于侵犯公民个人信息罪的构成要件过于简单，实践中哪些行为构成犯罪不明确，无形中增加了合法利用个人信息的行为人的刑事风险，阻碍了社会对个人数据的充分利用。 本文认为，只有出售或提供可直接识别特定个人身份的公民个人信息行为才具有实质违法性，应受刑罚处罚，同时应将“以从事违法活动或侵害个人权益活动为目的”作为出售或提供个人信息行为构成犯罪的要件。一旦这样的建议得到采纳，我们还可以考虑提高刑罚的力度，提高法定最高刑，或者明确罚金数量。如此，既满足侵犯公民个人信息罪的立法目的，也有利于保障个人信息的自由流通，推动信息产业的发展，释放数据红利。

（高富平系华东政法大学法律学院教授，王文祥系华东政法大学民商法专业硕士生；摘自《政治与法律》2017年第2期；本文系国家社科基金重大项目“信息服务和信息交易法律制度研究”的阶段性成果；原题为《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》）