刘司墨



侵犯公民个人信息罪的司法适用探究——以两高最新司法解释为视角

刘司墨

（北京师范大学 刑事法律科学研究院，北京 100875）

2017年5月发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》使《刑法修正案（九）》中有关侵犯公民个人信息罪的司法适用更为明确、具体、周延。其中，“公民个人信息”的内涵应采用有效关联说，把公民的身份识别信息和特定活动信息包含在内；违反“国家有关规定”应以客观目的解释为基础，以维护罪刑法定原则的权威。这一司法解释使侵犯公民个人信息罪的入罪标准逐渐全面，同时采取多层次认定模式，使入罪与出罪的方式更加灵活。

侵犯公民个人信息罪；公民个人信息内涵；《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》；入罪标准

互联网技术的迅猛发展加速了大数据时代的到来，大数据时代以信息数据为基础，以云计算、物联网为技术平台，深刻地影响并改变了民众社会生活的方方面面：社会管理更加科学、高效，商业运作更加精准、有序，民众生活更加丰富、便捷。同时，随着大数据技术不断进步、信息数据价值不断提高，公民个人信息安全问题日益严重，公民信息受侵犯的形式多样、范围广泛、数量庞大。我国刑法作为传统工业社会的产物，面对这一新生事物，明显存在天然缺陷，具有鲜明的滞后性。为此，刑法通过调整，不断扩充自身的保护措施，以维护网络空间内公民个人信息安全。《刑法修正案（七）》在刑法第285条第2款的基础上新增非法获取、非法控制计算机信息系统罪，弥补了刑法专门保护国家信息、公共信息而忽视个人信息的缺憾。然而，刑法第285条、286条将计算机信息系统安全秩序作为保护法益，仍未满足大数据时代以信息数据为法益保护核心的迫切需求。《刑法修正案（九）》基于扩大法益保护范围的目的，在刑法第253条之一规定了“侵犯公民个人信息罪”，其中，涵盖了“非法出售、提供公民个人信息”和“非法获取公民个人信息”两种行为内容，并将本罪主体由特殊主体扩张至一般主体①，增设了加重情节的刑度，扩大了财产刑的适用。但是，2015年的立法修改过于笼统、宽泛，司法适用时容易出现裁量不准、判断不一等问题。为此，最高人民法院、最高人民检察院为了解决司法适用过程中的诸多问题，避免信息犯罪蔓延、失控，进一步强化公民个人信息的刑法保护，于2017年发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），回应了本罪中公民个人信息内涵、违反“国家有关规定”、定罪量刑标准等问题，从而有利于妥善解决司法实务难题。

一、侵犯公民个人信息罪中的“公民个人信息”的内涵

（一）“公民个人信息”的复合属性

1. “公民个人信息”兼具人身性与财产性

《民法总则》加强了个人信息权的独立保护，将其规定为一项基本的民事权利。确切地说，个人信息权是一种新型的人格财产权②。个人信息权之所以不同于传统的以人格利益为保护对象的人格权，是因为它同时兼有财产属性和人格属性。一方面，由于现实中存在人格权商品化现象，公民个人信息的人格利益与传统的财产利益可以相互转化，人格利益与个人信息所代表的财产利益具有单向度的一致性。另一方面，若个人信息权仅作为一项财产权，不仅有违其在民法总则中的独立人身权地位，还使具体人格权所体现的人格尊严、人格平等、通信自由等基本人权内容无法彰显[1]。私益侵害是公益侵害的起点，私益保护是公益保护的归宿。民法是私益保护的主要法律手段，刑法对公共利益的保护终归要落实到私益保护之上[2]。因而，民法中“个人信息”的性质界定为刑法中区分“个人信息”概念提供了理论指引，使“个人信息”的性质界定具有了规范评价的可能性。同时，“个人信息”的内涵是制定入罪标准的前提条件，是明确信息属性的基础，是确定信息范围的根源。“个人信息”的性质不明，会严重影响“个人信息”的判定范围，不利于规制逐步异化、扩张的网络信息犯罪。因此，确立“公民个人信息”人身性与财产性的双重性质，更利于体现个人信息在大数据时代的社会价值和战略价值。公民个人信息的刑法保护不单指向公民的隐私权与信息自由权，还包含个人信息自身及其衍生的经济价值。

2. “公民个人信息”兼具个体性与公共性

“公民个人信息”的超个人法益特性决定了其具有个体性和公共性的双重属性。根据不同的主体，法益可划分为个人、社会、国家三种不同的种类。传统理论认为，侵犯公民个人信息罪的法益应当是个人法益，即“公民个人信息”应属于个人法益。在侵犯公民个人信息罪个人法益的讨论中，主要包括隐私权说、个人信息权说两种学说。主张隐私权的论者认为，公民可排除他人公开自己私人秘密的行为；公民为维护生活安宁，可制止他人侵扰；公民可对自己的私人生活领域加以领导和控制。主张个人信息权的论者认为，公民的个人信息具有识别或可识别的特性，可通过具有身份识别特征的信息标志加以确定[3]。新近理论认为，“公民个人信息”不应仅满足于个人法益划定的范围，还具有超个人法益的属性。超个人法益，指非专属于特定个人法益，但又与个人法益相关联的社会法益、公共法益[4]。侵犯公民个人信息罪已经成为电信诈骗、网络诈骗、敲诈勒索、软暴力行为等人身、财产犯罪的上游犯罪，当侵犯公民个人信息的行为达到情节严重、情节特别严重的标准之时，往往会对公民的人身权和财产权造成重大损害，甚至造成恶劣的社会影响③，本罪所侵犯的法益已经超出了个人法益的涵盖范围，具备了公共秩序、公共利益等集体法益特点。有学者根据本罪的犯罪数量要求、罪刑均衡原则、刑罚惩罚程度，认为公民个人信息法益不属于超个人法益，而属于公共法益[5]。笔者认为，“公民个人信息”的隐私属性和信息识别属性决定了个体性是个人信息的基础，而公共性反映了刑法提前保护公共秩序、公共法益的积极态度。刑法通过保护个人信息预防下游犯罪的发生，如果行为侵害的法益超出了隐私权和个人信息权所涵盖的范围，使被害对象或社会秩序受到更为严重的损害，则公民个人信息法益具备了超个人法益的特征。但是，公民个人信息不属于纯粹的公共法益，如果没有个人法益射幸的超个人法益作为基础，会使刑法介入过于早期化，过度夸大刑罚的处罚范围，从而不当限制公民的个人自主决定权。

（二）“公民个人信息”的学说主张

“公民个人信息”的复合属性使其内涵界定极为复杂。在这方面，学界主要存在关联说、识别说、隐私说三种学说。

1. 关联说主张关联性是个人信息的核心性质

公民个人信息是指以任何形式存在的、与公民个人存在关联并可识别特定个人的信息。其外延涵盖与个人有关的一切信息，譬如个人的身份信息、财产信息、家庭信息、工作信息等具有识别和隐私功能的各方面信息[6]。反对关联说的理论主要包括识别说和隐私说两种，二者通过对广义的信息外延进行限制以避免信息范围的无限扩张。但是，由于个人信息的识别功能和隐私功能关联性极强且极易重合，主观上机械区分两种功能的界限会使个人信息的适用范围具有较大弹性，容易误导司法者的主观裁判。

2. 识别说主张可识别性是个人信息的核心性质

2017年6月实施的《中华人民共和国网络安全法》（简称《网络安全法》）第76条第五项规定，个人信息指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。可见，我国《网络安全法》坚持个人信息的识别说。除此之外，《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》《信息安全技术公共及商用服务信息系统个人信息保护指南》均主张识别说。在域外立法中，日本《个人信息保护法》将“个人信息”定义为“与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可识别出特定个人的部分”[7]368。《葡萄牙个人数据保护法》规定“个人数据指在不考虑所涉媒介类型的情况下，与已识别或可识别的自然人（数据主体）相关的任何类型的信息”。同时该法详述了“可识别”的概念，认为“可识别”是指“可以直接或间接地被识别，特别是以指示号码为参考，或是以个人特定的自然、生理、心理、经济、文化或社会身份相关的一个或若干个因素为参考”[7]275。综合识别说的立法规定，笔者认为立法者的主要考虑有五：一是大部分个人信息可以直接表明个人身份；二是某些个人信息虽然不能直接表明个人身份，但是可以通过信息组合指向特定的个人身份；三是识别性和隐私性存在差异，隐私性不存在统一的社会评价标准，因而适用于不同时空范围，其内涵不同，无法有效区分同类信息；四是个人信息可以通过共享的形式存在，而隐私权是一次性权利，信息暴露之后的保护周延性不足；五是识别性有具体指向，便于违法行为和犯罪行为的直接锁定，而隐私性社会危害的针对性不强[8]138–147。但是，若唯识别论，则会忽视个人信息的私密特性和敏感特性。譬如，受害人的私密财产信息无法识别受害人的具体身份，行为人通过非法获取该信息盗取了对应财产，而识别说却将该私密财产信息排除在“个人信息”的范畴之外，这有违罪责刑相适应原理。再如，行为轨迹信息是与人身安全有关的高度敏感信息，若不将其纳入个人信息的范畴，对于个人的信息保护甚至是人身安全保护无疑是一种漏洞。

3. 隐私说主张隐私性是个人信息的核心性质

隐私说主张个人信息本质上是一种隐私，而隐私是我们对自身所有的信息控制，是个人不愿向他人或社会公开的信息，是不涉及公共利益的个人事务的组成部分，与个人私生活密切相关，因而个人信息应当作为一种隐私利益来保护。美国是坚持隐私说的典型国家，其1974年《隐私法》着力规制各类信息的收集、持有、使用和传输行为，以隐私权为基础保护个人信息[9]。诚然，个人信息权与隐私权的关系十分紧密，但是二者之间又存在着明显的区别，如果唯隐私论，势必影响个人信息的保护。首先，二者权利属性不同。隐私权是一种精神性的人格权，主要体现人格利益，其财产属性并不突出；个人信息权是集人格属性与财产属性于一身的新型人身权利，在市场经济的环境下，其财产利益凸显，利用价值得到提升。其次，二者权利状态不同。隐私权是消极的防御权，只有在遭受侵害时方可提出自我防护；个人信息权是能动的控制权，既可以主动防御，又可以积极利用。最后，权利客体不同。如上文所述，隐私权保护的是具有私密性质的信息或活动，个人不愿披露给他人或社会的信息都属于个人隐私，比如个人的家庭情况、身体状况、行为轨迹，但不具备普遍意义上的具体识别指向；个人信息保护的客体是人格利益与财产利益，既注重隐私保护，又关注身份识别，其外延更为广泛，且与隐私信息存在一定的内容重合。若单采用隐私说，则缺乏全面考虑。

（三）“公民个人信息”的概念界定

“公民个人信息”应采用有效关联说。单独适用隐私说或识别说均只关注个人信息的单方面特质，而关联说又造成个人信息的外延过于宽泛。因此“个人信息”应当采取以识别说和隐私说为基础的有效关联说。《解释》确立了“个人信息”的这一性质。其第一条规定的“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。并列式的规定，确证了个人信息既具备身份识别功能，也具备活动反馈功能，故两者代表不同类型的信息功效。前者表明信息具有可识别性，能够指向特定的个人身份；后者表明信息集可识别性与隐私性与一身。可识别性表现在个人信息能够识别特定自然人的活动情况，隐私性表现在个人信息能够反映特定自然人的隐私活动情况。我们需要注意的是，“特定自然人活动情况”不应包含一切非隐私活动。隐私活动在“活动情况”范围之内，自不必赘言。非隐私活动只要能够有效反映特定自然人关联信息活动就应当被纳入“特定自然人活动情况”的范围。如果信息无效或部分有效但不能反映特定自然人、特定自然人的活动情况，那么该信息也不能称之为“公民个人信息”。同样，如果行为人获取的公民信息不真实，甚至是虚假的个人信息，但其若能有效反映公民特定活动情况，亦由“公民个人信息”参酌适用。因而，有效关联说为个人信息的判定提供了合理顺位，即信息的识别性或隐私性处第一顺位，信息的有效关联性处第二顺位。当无法判断信息是否具有识别性或隐私性时，有效关联性可作为补充内容辅助认定，这也符合《解释》对“特定自然人活动情况”的规定。

二、侵犯公民个人信息罪中的“违反国家有关规定”释解

（一）“违反国家有关规定”的问题展开

1. “违反国家有关规定”与“违反国家规定”的冲突

刑法第253条之一规定侵犯公民个人信息罪的客观行为内容需要具备“违反国家有关规定”的前提要件。2011年最高法院发布《关于准确理解和适用刑法中“国家规定”的有关问题的通知》明确了《刑法》第96条的“违反国家规定”的范围④，《解释》规定本罪中的“违反国家有关规定”指违反法律、行政法规、部门规章有关公民个人信息保护的规定。可见，《解释》将“部门规章”明确纳入“国家有关规定”的范围。诚然，“违反国家有关规定”作为空白罪状，消除了刑法条文具体、详尽描述“国家有关规定”的压力，由刑法之外的相关规范对个人信息保护的具体举措加以确定。这一操作方式符合刑法经济性原则，存在个人信息刑法保护的现实价值。一方面，符合严惩信息犯罪的需要。面对信息犯罪指数式增长的态势，严密信息犯罪的刑事法网，避免处罚漏洞，符合当下严厉惩治信息犯罪的要求。另一方面，为刑法规制提供法定根据。由于我国有关个人信息保护的法律体系尚待完善，许多信息保护立法迟滞于刑法立法，如果过于限缩“国家规定”的范畴，会使本罪完全排斥今后有关公民个人信息保护的立法、法规和决定。例如，在《刑法修正案（九）》施行之前，出售、非法提供公民个人信息罪要求具备“违反国家规定”的前提，然而我国立法实践中并无相关法律依据，致使司法实践中出现了前置性法律缺失的局面，行为人因此脱罪。这显然严重违背罪刑法定原则。《网络安全法》虽然缓解了这一尴尬局面，但是若日后全国人大常委会、国务院之外的其他部委出台公民信息保护的决定或条例意在解释上述立法内容，而“国家规定”却将其排除在外，这不禁有违行政犯的灵活性和时代性特质。行政犯要求刑法规范同时兼有稳定性和灵活性，能够伴随社会变化做出恰当的文理解释或扩张解释。“国家规定”固守传统内涵，会使本罪的规制对象与相关行政、经济法律规范相脱节，使得本罪具有一定滞后性。然而，《解释》将部门规章纳入“国家有关规定”的做法虽然在一定程度上扩张了“国家规定”的范围，但是违背了《刑法》条文本身对“国家规定”的界定，更是对罪刑法定原则的突破。罪刑法定的明确性原则要求立法者须明确、具体地规定刑法条文的内容，用以防止法官等执行机关肆意动用刑罚、滥用刑罚权[10]。法官在定罪量刑时应当以刑法总则和分则中的刑法规范为根据，刑法分则的具体、特定规定应当附属于刑法总则的一般性、普适性规定，刑法总则发挥指引、制约功能。因此，本条文中的“违反国家有关规定”应当在刑法总则第96条“违反国家规定”的框架内理解。《解释》将部门规章与法律、行政法规等同的做法并未有效协调刑法总则和信息犯罪之间的关系，反而造成了实践适用中的自相矛盾。

2. “违反国家有关规定”与“非法获取”的关系

在我国刑法分则中，存在大量“违反……规定”“违反……法规”“违反国家规定”“未经……批准”“未经……许可”和“违法”“非法”的表述。有学者认为，出现以上表述的原因可能有三：首先，立法者使用“违反”类概念和“非法”类概念时较为随意，有些表述实质上是一种强调表达和重复表达，没有独立作用和价值，可以将之删除。其次，我国施行统一刑法典，刑法典中存在大量行政犯，因而需要“违反”类或“非法”类表述作为犯罪构成中违反行政管理法规的形式表征。最后，我国四要件的犯罪构成具有犯罪描述功能，缺少犯罪评价功能，形式上没有区分违法与责任，因而刑法特意通过“违反”与“非法”强调行为本身的违反性与非法性[11]533。由于以上原因，导致法官在司法适用中对“非法”和“违反”类概念存在多种解释的情形，如何处理二者之间的关系亦成为需要重点探讨的问题。针对“非法”类概念，我国刑法中存在四种情形。第一种是“非法”作为提示违法阻却事由的情形。“非法”作为一项注意规定，需要在个案中具体判断行为是否符合特定的允许条件，行为未侵害法益或保护了优越利益而不具有违法性。“非法”具有提示作用，即使删除了“非法”，也不影响行为违法阻却的查明⑤。第二种是“非法”作为违反法律法规表示的情形。“非法”不同于“非法性”评价，而是指行为违反了行政管理的相关法规⑥。第三种是“非法”作为强调行为非法性的情形。“非法”仅具有语感上的意义，是对行为非法性的强调。第四种是“非法”作为同位语表述的情形。该情形和第三种情形具有相似之处，均是对已有表述的强调，不影响法条的适用和犯罪的成立[11]535–542。“违反”类概念在不同条文中的作用情形，大体与“非法”类概念相同。因此，当出现“违反”和“非法”并用情形时，应当从刑法条文本身的规范保护目的出发进行解释，避免违背罪刑法定原则。刑法第253条第一款规定，“违反国家有关规定”是向他人出售、提供公民个人信息的前提条件，而第三款规定非法获取公民个人信息不需要“违反国家有关规定”，但《解释》第四条规定“以其他方法非法获取公民信息”的行为内容要求具有“违反国家有关规定”这一前置内容。可见，立法虽然对“非法获取”的含义加以明晰，但仍未妥善梳理“违反国家有关规定”与“非法获取”之间的关系。

（二）“违反国家有关规定”的解释方式

1. 理性选择：客观目的解释方式

刑法解释是规范刑法学的基本范畴，适用刑法的过程就是刑法解释的过程。刑法解释主要包括解释目的和解释方法两种内容。传统理论主张，刑法解释目的是遵从立法者原意，立法原意客观存在于整个立法过程。还有理论认为，刑法解释目的是贯彻罪刑法定原则，只要解释方法接受罪刑法定原则的指导和制约，解释结论就是正当的。再有理论认为，刑法解释目的是通过不同的解释方法揭示刑法规范的内涵及法条背后的立法精神，以实现刑法保障人权的正义观[12]。笔者赞同最后一种理论，即刑法解释并非为了单纯表达立法者原意，而是为了通过行为规范功能和裁判规范功能预防犯罪，教育公众，满足不断变化的社会现实需求。同时，罪刑法定原则是刑法解释应当遵守的根本原则，而不是最终目标。刑法解释应当在罪刑法定原则的基础之上解释法条的可能含义，实现维护正义和保护法益的统一。目的解释与解释目的存在本质差异，目的解释是一种解释方法，它根据法律规范欲保护的法益或宗旨而阐明法条的真实含义，以此达到刑法解释的最终目的。客观目的解释由目的解释衍生而来，更多关注法律规范的现实价值和将来效果，以缓和法律滞后性和现实性的矛盾。客观目的解释方式是实现解释目的之重要途径，既有利于维护法的安定性，又能够使法律条文顺应动态的社会现实，法官可以通过假定的条文本身目的做出适合现实生活的解释[13]。同时，客观目的解释又是扩张解释和限缩解释的现实依据。扩张解释要求解释边界不能超出刑法用语的可能文义，限缩解释则是为了限制过于宽泛的法律条文，而采用刑法规范的直接相关的核心文义。换言之，扩张解释和限缩解释都应当考虑立法语境和现实环境，二者若脱离立法者意图、法律目的、法律体系等参照系的支撑，其解释结论根本不具备正当性。因此，客观目的解释恰好可以为二者提供充分的立法根据和现实根据。在侵犯公民个人信息罪中，有学者主张用限缩解释限制“国家有关规定”的范围，有学者主张用扩张解释扩大“国家规定”的范围；为调和“违反”与“非法”的关系，原则上应当运用体系解释来实现二者的媾和。笔者认为，客观目的解释能够降低限缩解释和扩张解释的主观任意性，强化罪刑法定原则的制约机能，还能从客观的法条关系和司法现实出发说明《解释》第四条的正当性。

2. 用客观目的解释限缩“国家有关规定”的范围

《解释》作为一部司法解释，仍应严格遵守罪刑法定原则，不应违背《刑法》的规定。然而其对“国家有关规定”的界定已然超出了《刑法》中“国家规定”的内涵。再者，考虑到司法适用的困境，如果草率废除这一规定，将使侵犯公民个人信息罪的前置性法律适用范围回归之前的模糊状态，又将严重影响实务认定。据此，合理解释“国家有关规定”和“国家规定”就显得尤为必要。限缩论主张应从“有关性”和“国家规定”两个层面限制“国家有关规定”的范围。在“有关性”方面，“国家有关规定”仅限于与公民个人信息有关的国家规定。在“国家规定”层面，尤其是部门规章层面，应当限定部门规章的适用条件，即只有在明确要求细化法律、行政法规的情况下出台的部门规章才可以被纳入“国家规定”的范畴[14]。相比之下，扩张论主张从刑法第96条的“国家规定”入手，对“国务院制定的行政法规、规定的行政措施、发布的决定和命令”进行扩张解释，操作难度较大，可行性较小。可见，无论是限缩解释还是扩张解释，都不可避免地渗入主观解释意图和对立法目的的探讨。由此，笔者认为，应当以客观目的解释为基底，通过限缩的方式限制“国家有关规定”的范围。有学者将这种解释方式称之为“目的性限缩解释方法”[15]。其具体步骤依次为：(1) 限缩方式应当与整体法序相协调，“国家规定”的范畴应当与公民个人信息保护的法序构成合目的意义的统一体，以维护刑法规范的先进性、安定性。我国尚未出台《个人信息保护法》，且缺乏民法、行政法、刑法等法律统一合作的信息保护法律体系。在该法律体系之内，势必包含国务院所属的各部、委员会制定的命令、指示、规定等部门规章。如果将部门规章从本罪的适用前提中祛除，会与保护个人信息的整体法序背道而驰。(2) 限缩方式应当经过刑法本体的双重检验。一方面，限缩方式应当具备手段的适当性、有益性。由于第96条对“国家规定”的制定或通过主体做出了限制，因而《解释》中只有部分部门规章可以成为“国家规定”的内容。其一，如果是全国人大常委会或国务院授权国务院所属各部、委员会制定的部门规章，可以纳入《解释》中“国家有关规定”。其二，经国务院、国务院办公厅批准或转批的部门规章可以纳入该范畴。其三，为明确、细化、弥补法律、行政法规的相关规定而制定的部门规章可以纳入该范畴。上述操作方案既可以保持规制信息犯罪的灵活性，又最大限度地将非特定主体通过的部门规章排除在外，使《解释》仍未超越罪刑法定原则的范围。另一方面，限缩方式不得超出规范目的，造成不利的附属后果。前一方面是从部门规章能否通过的手段考查，此处则是从通过的特定部门规章是否损害重要利益或价值、可能给政治社会生活带来不利后果角度出发，用以限制部门规章的范围。参照客观社会和未来规范保护目的，如果已通过的部门规章成为“国家有关规定”的内容，从而将本应属于行政违法行为转换为犯罪行为，不当扩大犯罪圈，浪费司法资源，违背基本人权，那么该类部门规章应当一并排除在外。

3. 用客观目的解释调和“违反”与“非法”的关系

刑法第253条第三款明确规定，“窃取或者以其他方法非法获取公民个人信息”，符合第一款“情节严重”“情节特别严重”规定的，应当按照侵犯公民个人信息罪处罚。依照上述规定可知，“窃取”和“以其他方法非法获取”，均是侵犯公民个人信息罪的行为内容。窃取公民个人信息的行为本质上属于盗窃行为，刑法将之规定于侵犯公民个人信息罪中，实际上建构了盗窃罪与以盗窃公民个人信息行为为核心的侵犯公民个人信息罪之间的法条竞合关系。法条竞合指一个行为同时符合数个法条规定的构成要件，但由于数个法条之间存在固定的逻辑关系，法官裁量时只能适用其中一个法条，而当然排斥适用其他法条的情形。易言之，法条竞合是法条之间的竞合，而非犯罪的竞合。当盗窃公民个人信息的行为符合盗窃罪的一般犯罪构成，又满足侵犯公民个人信息罪的特别犯罪构成时，应当优先适用侵犯公民个人信息罪。窃取公民个人信息的行为本应具有违法性、非法性特征，无须以“非法”作为“窃取”的前置表述。然而，获取行为明显不同于窃取行为，获取公民个人信息的途径既有可能是合法的，也有可能是非法的。《解释》通过“非法”限定不正当的获取行为，意在强调该类行为的非法性。但是这一违法性质究竟是对行政管理法规的违反，还是对刑法的违反，《解释》并未明确说明。有学者认为，若“非法”作为对行为非法性的强调，则这里的“非法”既可以是违反行政管理法规，也可以是违反刑法规范[11]540。笔者赞同这种观点，原因有三：(1) 违法性的实质是行为对法益造成了侵害和威胁[16]。只要“以其他方法非法获取”的行为与“窃取行为”在法益侵害程度上保持相当性，行为的现实危害、影响范围、发展情况达到了刑法规制的标准，那么前述行为就应当犯罪化，而不论行为违反了何种法律前提。(2) 第三款意在简化法条内容，保持法条之间的协调性。首先，由上文可知，窃取行为不需要满足“违反国家有关规定”这一前提。若第三款规定“违反国家有关规定，窃取公民个人信息的”才能构成侵犯公民个人信息罪，则窃取行为的入罪范围会不当缩小。其次，“非法”包容“违反国家有关规定”能够使本罪条文内部保持协调，为不当获取公民个人信息的行为提供法律认定依据。最后，“非法”包容刑法规定，使刑法条文之间保持协调，避免放纵更为严重的罪行。譬如，抢劫公民个人信息未达到相应数额标准，但满足侵犯公民个人信息罪的“情节严重”标准，抢劫行为当然符合“非法获取行为”的定性，因而以后罪论处更符合罪责刑相适应原则。(3) 利于保持《解释》与《刑法》相协调，避免《解释》陷入违背罪刑法定原则的泥淖。客观目的解释要求解释者应当考量现实的立法意图与今后的法律适用目的，《解释》第四条的本意是为了明确“非法获取”的具体内容，为“非法获取公民个人信息”的司法判断提供详尽的操作指南，其本意绝不是为了突破罪刑法定的法律主义原则。故而，若“违反国家有关规定”是“非法”的部分内容，则第四条的规定并不是对第三款的突破，反而是在具体说明、解释第三款应当如何理解和适用，是对罪刑法定原则的践行和强化。

三、侵犯公民个人信息罪的入罪标准及其规则

根据司法实践的具体情况，《解释》对侵犯公民个人信息罪适时设置了两种不同的认定标准：一般认定标准与特殊认定标准。针对一般认定标准而言，《解释》吸收了“情节严重”的传统理论内容，从犯罪的客体、客观方面、主体多个角度加以考察。针对特殊认定标准而言，社会生活中购买、收受公民个人信息从事广告、推销等业务活动的情形十分普遍。为了体现宽严相济的刑事政策，《解释》将为合法经营而非法购买、收受相关信息并具有相应严重情节的行为规定为犯罪。

（一）认定标准

1. 信息用途标准

《解释》第五条第一、二项规定了认定“情节严重”的两类信息用途标准。第一类是行踪轨迹型，即行为人非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪的。第二类是明知应知型，即行为人知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的。由此可知，虽然行为人提供的信息属性和主观内容存在不同，但是二者的信息用途均指向连锁的犯罪行为。一般来说，由于个人信息具有人格属性和财产属性，行为人获得该信息后普遍有特定的用途，甚至将其用之于犯罪行为，而不是单纯的占有和损毁。例如，行为人可以利用个人信息所反映的特定自然人的姓名、肖像、家庭情况、生活习性来对其实施侮辱行为；对于公众人物而言，其个人信息可表现为一定财产价值，行为人掌握该信息后可对公众人物实施敲诈勒索行为。可见，信息获取本身未必一定直接产生社会危害，但信息泄漏所引发的犯罪行为会加剧公民的人身与财产侵害，影响社会秩序的安宁，导致被害人遭受“二次伤害”。同时，《解释》又对信息用途与行为人的主观意图进行了区分，这是因为用途不同、主观恶性不同会影响危害后果的判定，社会危害性也会因此存在差异。一方面，行踪轨迹信息与公民的个人动向具有最敏感的联系，将该类信息非法提供给他人，行为人主观上应当具有该信息被用于犯罪的概括认识。另一方面，行为人明知或应知他人利用该信息从事犯罪行为仍继续出售或提供，为犯罪分子实施犯罪提供了帮助与便利。如果行为人的出售或提供行为触犯了两项及以上罪名，还应当按照想象竞合犯从一重罪处理。

2. 信息效力和数量标准

虽然公民个人信息涉及广泛，类型繁杂，但是采用以识别说和隐私说为基础的有效关联说作为认定个人信息的准则，能够识别特定主体或特定活动的信息、具有一定私密性的信息和有效反映个人关联活动的信息，使其均在刑法的保护范围之内。然而，并非每一类信息的利用效力都是等同的，具有高度敏感性的信息被犯罪分子利用后对公民的危害程度更高，危险系数更大，所产生的社会危害性更为严重。相反，一般信息由于其重要性和敏感性较低，需要达到更高要求的数量标准，才可以成为适格的犯罪对象。《解释》将具有不同利用效力的信息与对应的数量标准相结合，使社会危害性评定能够从质与量两个方面进行综合评定。为了量化实质的社会危害性，《解释》将“信息效力＋数量”的模型分为三档。第一档效力信息包括行踪轨迹信息、通信内容、征信信息、财产信息四种。由于前述四种信息与公民的生命健康和个人财产关系密切，且存在特定的对象，一旦被不法分子利用会变现为犯罪，因而该四种信息具有高度敏感性。同时，本档次的入罪门槛极低，为了贯彻刑法的谦抑性原则，限缩犯罪圈，《解释》采用穷尽列举的方式确定了前述四种信息不允许司法适用中采用等外解释以扩大本档次个人信息的范围。第二档效力信息包括住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的公民个人信息。《解释》认为，这一档信息的敏感性和重要性弱于第一档信息，但仍然与人身、财产权利相关，往往被用于“精准”诈骗等违法犯罪活动。笔者认为，第二档信息的效力示弱源于该类信息具有特定性而不具有完整性，犯罪变现可能性不充分。例如，行踪轨迹信息精确地反映了信息者动态的行为轨迹和可能走向，为绑架、诈骗等犯罪提供了直接有效的参考；而住宿信息是固态的录入数据，无法精确把握信息者何时在宿的时间点。通信内容使行为人能够获取更加清晰和丰富的信息内容，而通讯记录只包含特定人与他人进行通讯的时间、次数，不能反映通讯的内容。第三档效力信息是指除第一档、第二档外的信息。此类信息虽效力较低，但往往数量较大，二者综合后，信息人的现实紧迫危险性升高。因此，此类信息也应当具有刑事可罚性。

3. 危害后果标准

情节是一个较为宽泛的概念，情节包含结果，而违法所得又是危害后果的一种类型。《解释》第五条第七项规定，“违法所得五千元以上的”属于“情节严重”的情形之一。将危害后果作为定罪标准的重要考量指标，其原因主要包括：第一，行为人具有主观恶性。通过出售或非法提供个人信息以谋取物质利益是部分行为人的犯罪动机，非法获取的物质利益多寡又从侧面反映了行为人的主观恶性，因此主观上的违法要素应当成为罪量因素。第二，通过出卖受害者的个人信息而获取的违法所得越多，意味着受害者数量越多或受害者遭受侵害的程度越深，社会影响更为恶劣。

4. 主体身份标准

主体身份影响保密义务履行。鉴于公民个人信息泄漏案件源于内部人员作案的实践情况，《解释》第五条第八项将“在履行职责或提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的”纳入“情节严重”之中。针对这一规定，《解释》有如下考虑：第一，单位内部人员负有信息保密义务，在履行职责或提供服务过程中应当保证该信息不被他人所知悉和支配；第二，该类行为主要发生于个人信息交易的初始阶段，涉案数量较少、获利数额较少，设置特殊的标准能够及时、有效地规制该类行为。

5. 行为人前科标准

行为人前科标准主要从主观恶性和人身危险性两个方面进行考察。《解释》规定“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的”属于“情节严重”的内容之一。犯罪本质二元论主张已然之罪和未然之罪是构成犯罪本体的两个方面。已然之罪的本质属性是社会危害性，即主观恶性与客观危害的统一；未然之罪指犯罪可能性，既包括初犯可能性又包括再犯可能性[17]。在行为人前科标准中，既包括犯罪前科，又包括违法前科。有犯罪前科的行为人，说明其在本犯前即存在反社会的应受道义谴责和刑罚惩罚的主观恶性。有违法前科的行为人，其初犯可能性高、人身危险性大，再而实施上述行为，是对刑法规范所保护的法益价值的蔑视。此外，行为次数是社会危害性和人身危险性的集中反映，多次行为实施表明法益受到损害的频率更高。行为人前科成为“情节严重”的一项标准正是区分罪与非罪的又一体现。

6. 特殊认定标准

《解释》第六条规定了为进行合法经营活动而非法购买、收受公民个人信息的“情节严重”标准。第六条特殊性体现在：(1) 犯罪对象限于普通的公民个人信息而非可能影响人身或财产安全的敏感信息。(2) 行为人客观上是信息的“输入”行为，而不是“输出”行为。其“输入”行为是为了进行合法营利的经营活动，相比依靠非法出售、提供个人信息以赚取非法利益，其社会危害性更小。因而《解释》规定其入罪标准为“获利五万元以上”，远高于第五条第七项的违法所得金额。(3) 行为后果以获利数额而不是销售或违法所得数额为标准。本条除了数额远高于第五条第七项外，还以“获利”为界限，进一步提高入罪门槛。一般看来，获利数额是经营所产生的利润，而违法所得和销售都是经营所得。因此，第六条的定罪标准更高，需要完成更多“犯罪业绩”。(4) 行为人主观上是为了非法购买、收受限定的公民个人信息。行为人不为获取非法利益，其根本目的是进行合法经营活动、获取合法利益。因此，其主观内容是认识到非法购买、收受限定的个人信息行为而故意为之。

（二）认定规则

传统上关于“情节严重”的认定规则包括单一认定规则、多层次认定规则、综合认定规则三种。单一认定规则指根据任何一个单一的情节指标认定“情节严重”的情形，即通过对本罪若干情节内容中的某一方面的考量来认定情节是否严重。一般认为，“情节严重”中的情节，非指特定的某一方面的情节，而包括任何方面的情节。只要具备任意一方面的严重情节，其行为的社会危害性达到了应受刑罚惩罚的程度，就应当认定为犯罪[18]。例如，行为人只要符合“非法获取、出售或者提供行踪轨迹信息，被他人用于犯罪”的一种情形，就应当构成侵犯公民个人信息罪。多层次认定规则主张“情节严重”的判定标准应当来源于多层次判断要素的考量，即不同种类的判定标准要通过对判断要素进行一定的排列组合而对其多层次地加以确定，譬如，信息属性和信息数量的组合，行为手段和行为次数的综合。多层次认定规则内部又存在三种争议，分别为接近标准说、混合模式说、层级结合说。接近标准说认为，应在单一认定的基础之上辅之以接近标准，其主要解决的是行为不完全符合“情节严重”的任何一项单一标准，但又达到一定临界点的入罪问题。该问题主要包括两种类型：一是行为未达到单一标准，但有两种或两种以上情节接近单一标准；二是行为虽不完全符合某一单一标准，但具有其他从重情节。混合模式说坚持数量型标准与综合情节标准相结合，即在审查信息数量有效性的基础之上判断社会危害程度的大小，同时基于补充性原则后置适用与侵犯次数、后续行为、牟利数额等有关的其他严重情节，整体评定行为是否属于“情节严重”[19]。层级结合说主张应划分目的、数量两个层次，从主观到客观进行考量。首先，行为人以牟利为目的出售个人信息或以不法业务为目的非法获取公民个人信息的，具有潜在的人身危险性，只要实施获取行为就应当构成本罪。其次，当行为人不具有非法目的时，以行为人侵犯个人信息的次数或数量作为定罪标准，从量化角度对情节的严重程度进行分析[20]。综合认定规则指在单一认定规则和多层次认定规则有序结合的基础之上，重视实质性的社会危害性评定。

《解释》确立了多层次认定规则，同时采用混合模式说和接近标准说两种学说。一方面，《解释》将数量计算规则作为独立条款，是坚持混合模式说的体现。一则，第十一条第一款、第二款明确了个人信息条数的计算法，即“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算”“向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算”。显然，前者行为次数限于一次，而后者行为次数可达到多次，因而后者的社会危害性更大，信息条数应当累计计算。二则，对于批量生产公民个人信息的，即使其中有重复或无效的信息，也应当根据查获的数量来认定，但有证据证明的除外，这便减轻了办案机关的办案难度，提高了对产业型信息犯罪的打击力度。另一方面，第五条第六项体现了接近标准说的认定规则，即“数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的”同样符合入罪条件，也就是说，当第三项至第五项规定的信息数量分别未达到对应的标准时，应当通过一定比例的不同效力类型的信息之组合，从整体上综合评定数量标准，才能满足犯罪标准所需的社会危害性要求。

大数据时代的信息保护是我国现代化建设过程中面临的全新问题。正确界定公民个人信息的内涵，合理调和“违反国家有关规定”的范围，明确“情节严重”和“情节特别严重”的判断标准及规则，对完善侵犯公民个人信息罪、建构完备的信息刑法体系大有裨益。当然，丰富公民个人信息的法律保护措施不应局限于刑法这一部后置法，民法、行政法等前置法也应当做出自己的独特贡献，与刑法等相关部门法共同合作。只有如此，才能筑起大数据时代防控信息违法、犯罪的“防火墙”。

注释：

①立法修改之前规定本罪的犯罪主体仅限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，须具备特定的特殊身份。

②《民法总则》第111条规定：“个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

③例如《解释》第五条第二款第（一）项规定“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”，第（二）项规定“造成重大经济损失或者恶劣社会影响的”，以被害人人身权受损、财产权受损甚至社会影响恶劣作为衡量法益受损的因素。

④刑法中的“国家规定”指：全国人民代表大会及其常务委员会制定的法律和发布的决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。

⑤例如，刑法第111条非法提供国家秘密或情报罪，第351条非法种植罂粟、大麻等毒品原植物罪。

⑥例如，刑法第208条非法购买增值税专用发票罪，第225条非法经营罪。

[1] 王利明．论个人信息权在人格权法中的地位[J]．苏州大学学报（哲学社会科学版），2012(6)：68–75．

[2] 袁彬．刑法与相关部门法的关系模式及其反思[J]．中南大学学报（社会科学版），2015(1)：44–50．

[3] 江海洋．论侵犯公民个人信息罪之法益[J]．江西警察学院学报，2017(6)：102–104．

[4] 贾健．人类图像与刑法中的超个人法益：以自由主义和社群主义为视角[J]．法制与社会发展，2015(6)：127–140．

[5] 王肃之．被害人教义学核心原则的发展：基于侵犯公民个人信息罪法益的反思[J]．政治与法律，2017(10)：35–37．

[6] 赵秉志．刑法修正案最新理解适用[M]．北京：中国法制出版社，2009：117．

[7] 周汉华．域外个人数据保护法汇编[G]．北京：法律出版社，2006．

[8] 林哲骏．尊重司法规律与刑事法律适用研究[C]//全国法院第27届学术讨论会获奖论文集．北京：人民法院出版社，2016．

[9] 王利明．论个人信息权的法律保护：以个人信息权与隐私权的界分为中心[J]．现代法学，2013(4)：62–72．

[10] 大谷实．刑法总论[M]．黎宏，译．北京：法律出版社，2003：46．

[11] 张明楷．刑法分则的解释原理[M]．2版．北京：中国人民大学出版社，2011．

[12] 肖中华．刑法目的解释和体系解释的具体运用[J]．法学评论，2006(5)：9–14．

[13] 吴煦．论客观目的解释[J]．江西社会科学，2016(7)：181–183．

[14] 胡江．侵犯公民个人信息罪“违反国家有关规定”的限缩解释：兼对侵犯个人信息刑事案件法律适用司法解释第2条之质疑[J]．政治与法律，2017(11)：34–42．

[15] 陈伟．论目的性限缩解释方法在刑事司法中的适用：以“在公共交通工具上抢劫”为例的分析[J]．法学论坛，2012(6)：66–72．

[16] 张明楷．刑法学[M]．5版．北京：法律出版社，2016：109．

[17] 陈兴良．刑法哲学[M]．北京：中国政法大学出版社，1997：142．

[18] 利子平，周建达．非法获取公民个人信息罪“情节严重”初论[J]．法学评论，2012(5)：147–151．

[19] 廖宇羿．侵犯公民个人信息犯罪“情节严重”认定研究[J]．法律适用，2016(2)：111–116．

[20] 庄晓晶，林洁，白磊．非法获取公民个人信息犯罪区域性实证分析[J]．人民检察，2011(9)：67–70．

〔责任编辑 叶厚隽〕

Research on Judicial Application of Crime of Infringing Citizen's Personal Information——Judicial Interpretation of the Supreme People's Court as a Perspective

LIU Simo

(Beijing Normal University, Beijing 100875, China)

The Interpretation of Several Issues Concerning the Application of Law in Handling Criminal Cases of Infringement of Citizens' Personal Information, published in May 2017, makes the judicial application of the crime of infringement of citizens' personal information in the Criminal Law Amendment (IX) more explicit, specific, and weekly. Among them, the connotation of “citizen's personal information” should include the effective relevance theory, include the citizen's identity identification information and specific activity information; violation of “the relevant regulations of the country” should be based on the interpretation of objective purpose, in order to maintain the authority of the principle of legally prescribed punishment for crimes and punishments. This judicial interpretation gradually makes the crime of infringing citizens' personal information more comprehensive, and at the same time adopts a multi-level model of accreditation to make the way of incrimination and crime more flexible.

Crime-of-infringing-citizen's-personal-information; personal information content; violation-of relevant-state-regulations; incrimination-standards

2018-03-05

2017年度北京师范大学研究生创新创业科研基金自选项目（3122121F1）

刘司墨（1994―），男，河北保定人，硕士研究生。

D924.34

A

1006–5261(2018)04–0032–11