●黄 帆

一直以来，我国没有一部专门针对公民个人信息进行保护的法律，对公民个人信息的保护散见于多部法律中，所保护的对象只是具体的、特定的某一部分个人信息，属于个人信息的下位概念。2009年刑法开始介入公民个人信息保护的领域。《刑法修正案（七）》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，给公民个人信息予以了全面的、严厉的保护。但当时的目光主要集中于一些国家机关和电信、金融等单位，原因是其在履行公务或提供服务的过程中能够较为轻易地获取个人信息，因此当时刑法所规制的只是特殊主体的犯罪。2015年《刑法修正案（九）》出台，将上述两罪合并为侵犯公民个人信息罪，主体由特殊主体调整为一般主体，犯罪的客观方面、量刑等也相应进行了调整，形成了当前对公民个人信息的保护现状。

一、侵犯公民个人信息罪所保护的法益分析

法益是指法所保护的利益，在刑法领域内，法益就是刑法所保护的利益。犯罪行为必须是实质上为法律所不允许的行为，如果一个行为不具备实质违法性，那么不能将其认定为犯罪。笔者赞同“法益侵害说”，认为法益侵害性就是实质违法性。回归到侵犯公民个人信息罪，行为人只有针对本罪所保护的法益实施了侵害行为，才有可能被认定构成本罪。

侵犯公民个人信息罪所保护的对象是公民个人信息，但公民个人信息的法律属性却一直有争论，总的来说有以下几种观点：其一，所有权说；其二，隐私权说；其三，人格权说；其四，个人信息权说。

笔者认为，首先，所有权说主要着眼个人信息的“价值性”，但忽略了“人格性”，个人信息与物的概念应当予以区别。其次，所谓“隐私”，最明显的是具有私密性的特征，一般只能在特定的范围内公开，超出这一范围则会打扰到隐私权人的私生活安宁。但隐私被侵犯、私生活被打扰的标准实际上因人而异，尤其在我国，受传统文化的影响，比如父母对子女、老师对学生、基于养育和管教上的原因对其隐私的涉及大多被认为是理所应当的。可以说，我国对隐私权的重视是比较弱的，这与英美等国家不同。另外，个人信息的外延明显宽于隐私，2017年最高人民法院、最高人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下称《解释》）中对个人信息进行了定义，其列举的姓名、联系方式、住址等信息很难说都属于个人隐私的范畴。在《解释》出台前，对于个人信息的界定，实务上是根据最高人民法院、最高人民检察院、公安部在2013年发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下称《通知》）进行判断。《通知》规定的是“个人信息包括公民的姓名、年龄、有效证件号码……等能够识别公民个人身份或涉及公民个人隐私的信息，数据资料”。但《解释》将个人信息的定义更改为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息……”。对比二者可知，在概括何为个人信息时，《解释》删除了《通知》中“涉及公民个人隐私”的表述。由此也可以看出，至少在当前的我国，个人信息的法律属性不应当限制为隐私权。最后，人格权说与个人信息权说不存在矛盾，只不过个人信息权是作为一个具体的人格权被提及。

笔者赞同人格权说，认为对个人信息的保护实际上是对人格权的保护，侵犯公民个人信息罪保护的法益是个人的人格尊严与自由，保护依据来源于《宪法》。具体来说是在排除了基于国家管理等公共利益的前提下，个人享有的决定个人信息是否被收集、如何被使用的权利，有学者称之为“信息自决权”。

二、对“侵犯”的认定

概括来说，我国侵犯公民信息罪规定的“侵犯”有两种模式，一是“出售或提供”模式，二是“窃取或以其他方法非法获取”模式。

出售或提供模式中，被出售或提供的个人信息的来源是否合法在所不问，均构成对公民个人信息的侵犯。侵犯公民个人信息罪保护的法益是人格尊严与自由，具体说是公民对个人信息是否被收集与如何被利用享有的自我决定权。即使是合法收集的个人信息，公民个人也仅仅对收集时所表明的合法事项进行了授权，合法收集后再出售或提供都超出了授权的范围，因此会造成对公民个人信息的侵犯。

提供包含了有偿与无偿两种方式，有偿提供里最常见的就是出售，是指相对方必须支付一定的财产或财产性利益为对价。除此之外，有偿提供还包括支付非财产性利益进行交换的方式。无偿提供则不需要相对人支付对价。笔者认为，从主观恶性上看，有偿提供行为的主观恶性要大于无偿提供行为。行为人在获得对价时应该谨慎地认识到自己用以交换的个人信息实际上并不属于自己，“任何人不得从自己的错误行为中获利”，提供别人的信息使自己获益的行为比仅使他人获益的无偿提供行为更应该被处罚。在刑法条文上虽然没有明确区分，但从《解释》中可以看出违法所得的数额是认定是否构成“情节严重”的标准之一，如《解释》第五条规定了违法所得五千元以上的应当认定为“情节严重”，正是基于行为人主观恶性的考虑。

以“窃取或者其他方法非法获取公民个人信息”中的“其他方法”是仅限于窃取等性质上明确的非法方法，还是包括购买等中性的手段，一直以来引发了诸多讨论。因此《解释》第四条明确指出违反国家规定的购买、收受、交换等均属于其他方法。事实上《解释》只是起到了引导作用，即使未作出解释也应当认定这些行为属于刑法条文规定的其他方法。侵犯公民信息罪的设置是为了保护公民能够依照其意愿自由决定个人信息的收集与使用，以窃取这类违法手段或是购买这类中性手段都不是本质问题，关键看是否侵害了本罪保护的法益。窃取或购买个人信息均不是遵循信息所有人的意愿完成的信息流动，如果遵从了信息所有人的意愿则不会有“窃”一说。购买虽说本身是正常手段，但其购买指向的对象仅仅是信息持有人而并非信息所有人，因此如果违背了信息所有人的意愿则应当认为是侵害了其个人信息的自决权，也就侵害了本罪保护的法益，那么可能构成本罪。

在出售或提供的模式中，公民个人信息的流向是由行为人向外走，在窃取或其他方法非法获取的模式中，公民个人信息的流向是从外指向行为人。只要是侵犯了公民自由的决定个人信息的收集使用等权利，不论处于箭头的何方都被规制。但是如果信息没有流动，并不存在流向环节，而是直接利用，即行为人合法获取公民个人信息后利用这些信息的行为，应该如何认定？笔者认为要分情况进行讨论：首先，合法获取时，信息的所有人实际上会对该信息的使用范围有一个明示或默示地授权，获取信息的一方在授权的范围内利用这些信息则毫无疑问是合法的。其次，若合法获取信息的一方对所获取的信息超过了信息所有人的授权范围进行使用，尤其在默示授权的场合，不论进行何种解释均不能合乎情理地将其使用行为解释在授权范围内时，则侵害了信息所有人的利益。个人信息的所有人并没有决定自己的信息可以被超出授权地使用，合法收集非法利用个人信息的行为已经侵害到了侵犯公民个人信息罪所保护的法益，但“利用”无论如何也不能解释为“出售或提供”或“窃取或以其他方法非法获取”。在当前的法律体系下，基于罪刑法定原则，合法获取非法利用个人信息的行为还不能以侵犯公民个人信息罪进行处罚。如果其利用个人信息进行了犯罪活动，构成其他犯罪的，则是另一个层次的问题。有学者建议将非法利用个人信息的行为入罪，笔者赞同这一建议，侵犯公民个人信息罪没有对合法获取非法利用行为进行规制是一个缺陷，应在本罪的行为模式中增加“非法利用”模式，使得对公民个人信息的保护更加完善。

三、对“公民”的认定

侵犯公民个人信息罪罪名中使用了“公民”一词，根据《中华人民共和国宪法》规定，凡具有中华人民共和国国籍的人都是中华人民共和国公民。这是否表明本罪所指的个人信息仅限于具有中华人民共和国国籍的自然人的个人信息？笔者认为答案是否定的，事实上对这一问题进行过讨论的学者基本都认为应该包括外国籍人士与无国籍人士。

基于属地管辖原则，我国刑法的效力及于对在本国领域范围内的外国人与无国籍人，相应的也应该给予他们刑法保护。随着各国交流的日益密切，我国领域内的外国人数量日益增多，泄露的个人信息完全有可能包括到外国人的个人信息，因此从现实情况来看有必要将外国人的个人信息涵盖其中。另外，如果仅对侵犯本国公民个人信息的行为进行规制而无视侵犯外国公民的个人信息行为，也将影响我国的国际形象，更严重的可能会引发国际矛盾。笔者认为，我国刑法在此强调“公民”是想与单位进行区分，侵犯单位信息的不在本罪的规制范围。尽管与单位相对的通常是自然人，但在此语境下可以将“公民”理解为加重语气强调的“自然人”，不仅包含中国公民，也包含了外国公民与无国籍人。

对本罪“公民”的讨论从《刑法修正案（七）》出台后就存在，今年《解释》的出台却没有涉及此问题。笔者认为原因在于，不管是学界或是实务界，对这一问题基本达成了共识，没有过多的争议，仅仅是文字运用上使人产生了一点疑虑，没有造成实质困惑，因此《解释》无须对此进行说明。

四、对“个人信息”的认定

我国至今没有出台《公民个人信息保护法》，在《刑法修正案（七）》之前没有任何一部法律保护完整的全面的个人信息，只是对其中的某一方面有所涉及。《刑法修正案（七）》出台后，对于“个人信息”的定义一直争议不断。尽管2013年最高人民法院、最高人民检察院和公安部联合发布的《通知》中对“个人信息”进行了界定，但争议的声音也依然存在，比如有学者认为其规定的“涉及公民个人隐私的信息、数据资料”不妥，有学者认为其所给出的只是公民个人信息的主要表现形式，而不是对其内涵进行的定义。直到《网络安全法》的出台，第一次在法律中规定了何为个人信息，受其影响，今年颁布的司法解释也对侵犯公民个人信息罪中的个人信息进行了明确规定。

《解释》第一条即规定了个人信息的内涵，即指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。从定义中可以看出，我国侵犯公民个人信息罪规制的个人信息至少应具备以下两个特征：其一，必须有信息载体，未经固定的信息不应当成为此处的个人信息，即《解释》所指的“以电子或其他方式记录”。具有信息载体也是个人信息区别于个人隐私的一个重要特征，个人隐私强调的是私密性，是否记录下来不在其考虑范围，或者说更多时候个人隐私是不需要记载的。而个人信息则应当具有流通性，能够被人收集和利用，因此必须存在信息载体。如果仅以口头转达的方式提供的信息，笔者认为不属于此处的个人信息。根据《解释》规定，为他人提供第三者的行踪轨迹信息并被他人用于犯罪的行为构成侵犯公民个人信息罪，但笔者认为，如果是通过当面的谈话，且没有被以录音或其他方式将内容固定下来的，不应该构成本罪。由《解释》强调了“以电子方式记录”可以看出从电子记录中泄露的个人信息是目前被侵犯的个人信息的主要来源，近年的电信诈骗案件多发也体现了这一点。其二，可识别性。可识别性被认为是个人信息的本质属性，是从个人信息的功能出发得出的结论。个人信息精准的指向特定的个人，如果只是指向某个群体或仅仅为确定特定人缩小了范围，则其不属于个人信息的范畴。但并非说某一信息不能精准识别特定个人就一定不是个人信息，因为识别包含着单独识别与结合识别两种模式，具有单独识别功能的个人信息自己就能完成识别任务，如身份证件号码可以直接指向特定人。另一些信息则需要相互结合共同发挥作用，如住址、财产状况等信息需要配合其他信息才能完成对特定人的识别。正是由于个人信息具有可识别性，信息泄露的危害才大到值得动用刑法来保护。《解释》第三条第二款规定的“经过处理无法识别特定个人且不能复原的除外”也再一次强调了识别性的重要地位。