汤小景

（华东政法大学， 上海 200042）

为了打击日益猖獗的侵害公民个人信息行为，最高人民法院和最高人民检察院联合发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，该规定对侵犯公民个人信息罪的定罪量刑以及相关法律适用作了较为全面的规定。该规定现已生效施行，对于司法实践中涉嫌侵犯公民个人信息罪案件的办理有着重大的影响，本文即是结合该司法解释的规定，对侵犯公民个人信息罪的司法适用进行分析，以期对司法实践有一定帮助。

一、侵犯公民个人信息罪适用现状及其保护重点

侵犯公民个人信息行为最早被确定为犯罪是在2009年，《刑法修正案（七）》第七条规定在刑法第二百五十三条后增设一条作为二百五十三条之一，即为出售、非法提供、非法获取公民个人信息罪，犯罪主体包括国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，是特殊主体。之后《刑法修正案（九）》对该条文进行了修改，将犯罪主体改为一般主体，同时增加了“情节特别严重”这一法定刑档次。此次新出台的司法解释即是将“个人信息”“情节严重”“情节特别严重”等具体认定标准问题进行了细致的规定，有利于司法实践中的具体操作。

从侵犯公民个人信息罪的发展来看，立法中对于侵犯公民个人信息罪的关注度越来越高，同时规定也越为细致，这和侵犯公民个人信息犯罪的高发态势有关。另外，无论是2016年还是2017年的全国人大会议上，最高人民法院的工作报告都有提及要严惩电信犯罪，严惩非法买卖信息等犯罪行为，维护个人信息安全，一方面是侵犯公民个人信息犯罪的多发，一方面是司法机关要求严惩，两者不断相互影响，也促进了在侵犯公民个人信息犯罪领域方面的研究和法律规定的不断完善。

尽管侵犯公民个人信息罪不断发展完善，打击的力度在逐步增强，司法实务工作者在办理相关案件时仍存在困惑。笔者认为，在处理具体案件时，大家应当明确侵犯公民个人信息罪的保护重点，才能在结合不断更新的法律条文的基础上，正确合理地处理具体案件。

有学者认为，立法者设立侵犯公民个人信息罪的初衷就在于“保护公民个人信息不被泄露，保护公民人身、财产安全和个人隐私以及正常的工作、生活不受非法侵害和干扰”，①参见黄太云：《刑法修正案解读全编——根据<刑法修正案（九）>全新阐释》，人民法院出版社2015年版，第219页。对于这一观点，笔者是认同的。事实上，侵犯公民个人信息的行为，一方面会造成民众的困扰，侵犯公民的生活安宁，需要受到规制；另一方面，侵犯公民个人信息的行为特别是出售他人信息会对其他犯罪起帮助作用。以电信诈骗为例，实施电信诈骗行为的团伙除自身搜集信息以外，大部分的信息来源于非法购买，通过利用购买的他人信息，广泛布置诈骗网，最终获得诈骗收益。从这一流程来看，如果诈骗团伙无法通过购买渠道获取大量他人信息，那么其实施犯罪的效率会大大降低。电信诈骗犯罪背后存在大量的经济因素，高犯罪收益使得这一犯罪行为并非严密法网能够禁止，应当从源头上进行治理，加大对于侵犯公民个人信息罪的惩治力度即是对于电信网络诈骗起一个预防作用。不仅是电信诈骗，侵犯公民个人信息行为对于其他犯罪也能起到帮助作用，公民个人信息关乎公民个人人身财产安全。②关于这一点，司法解释第五条第一款第一项的规定也有体现，该条规定，出售或者提供行踪轨迹信息，被他人用于犯罪的，属于情节严重的情形，没有条数以及主观故意的规定，规定上较为严格。当然该条对于被提供的公民个人信息具有较大的限制，仅限于行踪轨迹信息，也避免将大量的无意提供少量其他信息给犯罪分子的行为规定为犯罪。

最高人民法院、最高人民检察院高度重视打击侵犯公民个人信息行为，最重要的原因是侵犯公民个人信息行为在一定程度上对其他犯罪特别是电信诈骗犯罪起帮助作用，仅仅侵犯公民生活安宁的行为，并不是打击重点，因此司法实务工作者在办理具体案件时，应当对这一点进行把握，认真考虑和搜集相关证据，对两类侵犯公民个人信息犯罪行为进行区分。

二、“公民个人信息”的具体认定

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的一大亮点是对“公民个人信息”进行了认定，该司法解释第一条规定：“‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”这一规定改变了之前关于“公民个人信息”混乱的认定状况，给了司法实践一个较为明确标准。

1．“公民个人信息”的核心属性是识别性

在该司法解释出台之前，对于“公民个人信息”的概念存在关联说、隐私说和识别说三种观点，司法实践中的认定也不具有统一标准，主要观点与这三种学说吻合。关联说的主要观点是，公民个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。①参见赵秉志：《刑法修正案最新理解适用》，中国法制出版社2009年版，第117页。其外延十分广泛，基本上有关个人的一切信息、数据或者情况都可以被认定为个人信息。隐私说的认定范围相对较小，认为公民个人信息体现的是个人隐私权，因此，只有体现个人隐私权的信息才属于公民个人信息。②参见蔡军：《侵犯个人信息犯罪立法的理性分析—兼论对该罪立法的反思与展望》，载《现代法学》2010年第4期。识别说认为，公民个人信息是指姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息。③参见雷建斌主编：《中华人民共和国刑法修正案（九）解释与适用》，人民法院出版社2015年版，第126页。

此次司法解释的规定很明显是采纳了识别说的观点，充分重视个人信息的识别性，这一方面是与《网络安全法》的规定相一致，④《网络安全法》第七十六条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”一方面也是因为具有识别性的信息能够被较为准确地界定，能够被甄别，识别性这一概念更为客观，且现实中行为人实施犯罪就是利用具有识别性的信息，进行具有针对性的犯罪。将识别性作为认定“公民个人信息”的核心因素具有合理性。“公民个人信息”的识别性也是法律工作者在处理具体案件时应当注意分析的重点，司法解释通过列举的方式认定“公民个人信息”的大致范围，但“公民个人信息”的实际范围并不限于此，确定信息是否具备识别性是关键。

2.“公民个人信息”包括已经公开的个人信息

司法解释对“公民个人信息”进行了列举，但并未对是否包括已经公开的个人信息进行表态，笔者认为，侵犯公民个人信息罪中所指“公民个人信息”应当包括已经公开的信息。

首先，就司法解释的表述而言，司法解释写明的是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”，并未将已经公开的个人信息排除在外，且司法解释采纳识别说的观点，公民个人信息的范围应当超出个人隐私的范畴。

其次，认定“公民个人信息”包括已经公开的个人信息符合打击犯罪的需要。已经公开的公民个人信息也并非唾手可得，需要花费一定的时间进行搜集，将已经公开的公民个人信息搜集整理出售，同样有可能为犯罪提供便利，侵害公民人身财产权利。

最后，国际社会主要是从保护个人基本权利和基本自由的角度来保护个人数据，其保护范围远超出个人隐私，⑤高富平、王文祥：《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》，载《政治与法律》2017年第2期。认定“公民个人信息”包括已经公开的个人信息也与国际社会的规定相一致。

三、司法解释第五条与第六条的区分对比

此次司法解释占据篇幅最长，且最值得关注的就是第五条和第六条。司法解释第五条和第六条均为关于“情节严重”的认定，两者的区别在于第五条是关于“非法获取、出售或者提供公民个人信息”的规定，第六条是关于“为合法经营活动而非法购买、收受公民个人信息”的规定，从社会危害性上看，为合法经营活动而非法购买、收受公民个人信息的行为社会危害性较小，也因此其与非法获取、出售或者提供公民个人信息的“情节严重”认定标准不一致，前者主要以条数计算，后者主要以获利计算。通过对这两条进行对比，笔者认为第六条的认定标准明显高于第五条，因此，在实际案件处理中，如果适用第六条的规定，无疑对于被告人的有利的。

司法解释第六条的主要内容是为了合法经营活动而非法购买、收受行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、健康生理信息、交易信息等以外的公民个人信息，且不存在将购买、收受的公民个人信息非法出售或者提供的，“情节严重”的认定标准以获利五万元计。这类行为包括以下几个特点：1.只是存在购买和收受的行为；2.目的是为了合法经营活动；3.购买或者收受的是行踪轨迹信息、通信内容、征信信息、财产信息等以外的与公民个人隐私关系不那么密切的公民个人信息。符合以上三个特征的行为主要是企业为了推销而购买公民个人信息的行为。就如某些家装协会，在举行大型家装展销会之前，会搜集或通过物业等购买周边新楼盘的业主信息，这已经是行业潜规则。对于这些家装展销会的商家而言，这些新楼盘的业主是最大的潜在客户，需要向其大力推广，电话销售即是其中最方便最有效的一种方式，非法获取业主信息在所难免。而对于业主而言，这类信息也是其所需要的，新楼盘的业主存在装修的需要，大型展销会不但能够提供一站式服务，且往往存在较大折扣，能够给新楼盘的业主带来便利。从各方面来看，这类行为社会危害性很小，即使存在部分业主不需要产品，商家的推广打扰了他们的工作生活，也不会上升到刑事案件的程度。因此，在处理这类案件时，法律工作者应当首先明确犯罪嫌疑人获取公民个人信息的目的是否属于“为了合法经营活动”。

在司法解释第六条规定的情况下，行为的社会危害性较轻，司法解释规定需要非法获利达到五万元以上，才能构成“情节严重”这一条件，这一条件无疑是对于犯罪嫌疑人非常有利的。在具体案件的处理中，我们会发现，往往商家使用的信息并非全部属于非法购买信息，仍有部分属于通过扫楼等方式获取的他人自愿提供的信息，在这两类信息混杂的情况下，犯罪嫌疑人获取的利益哪一部分属于非法获利，哪一部分属于合法所得，需要花费大量的人力进行区分，往往最后难以认定。因此，对于司法解释第六条，法律工作者应当进行重视，这可能是律师办理案件的突破口，也是司法机关需要认真对待和核实的点。另外，对于涉及司法解释第六条的案件，公安机关在办理的过程中应当审慎羁押，特别是单位犯罪，这类案件并非自然犯罪，嫌疑人的人身暴力性小，案件最终的处理结果也可能是不构成犯罪，为了维护公民的合法人身权益，对于这类案件，应当减少羁押。在扣留相关证据后，嫌疑人是否被羁押对于案件的侦查影响不大。

当然，进行前述分析并不意味着笔者肯定司法解释第六条的规定，购买信息进行商业推销的行为在一定程度上对公民生活的安宁造成一定的影响，但是其行为的社会危害性很小，对于这类行为，进行行政处罚完全可以达到规制的目的，并不需要上升到刑法处罚的高度，将该行为认定为刑事犯罪无疑是过重的，且在无法购买信息之后，商家可能会加大自身搜集信息的力度，可能对于公民生活的安宁造成更严重的影响，得不偿失。司法解释之所以将这类行为规定为犯罪，一方面可能是为了减少出售公民个人信息行为，就如加大对侵犯公民个人信息犯罪的惩处以达到减少电信诈骗犯罪一般，加大对于购买行为的惩处有利于减少购买行为，从而打击信息买卖市场，进而达到减少出售行为的目的；另一方面是为了严密法网，避免漏罪，但这一规定存在不合理性，笔者建议在今后的立法中进行改进。

四、对于涉案公民个人信息条数的认定

司法解释第六条给为了合法经营购买或收受公民个人信息行为的出罪提供了条件，而对于其他行为而言，是否构成犯罪最重要的仍是信息条数的认定。就司法解释第五条的规定来看，一般的出售、购买公民个人信息行为中，最高的定罪标准是五千条公民个人信息，而从实践来看，在实际案件中，涉案的公民个人信息很容易超出这一标准，在这种情况下，信息的筛选很重要，特别是对于一些少量超出定罪标准的案件，在剔除重复或者不完全的信息之后，可能会并不到达定罪标准。

信息的筛选也是对信息的梳理，首先，对于公民个人的多种类信息，因为指向的对象具有同一性，应当被认定为一条信息；其次，对于不真实的公民个人信息，因为并不具有指向性，应当被剔除，重复的信息以及虚假的信息，是两类不应当被计算的信息。当然，对于信息的逐一筛选需要耗费一定的人力物力，尽管有学者从实体法与程序法的关系出发，认为应当由公诉机关举证证明该个人信息是真实的个人信息，①参见叶小琴、赵忠东：《侵犯个人信息罪的对象应当是真实的个人信息》，载《人民法院报》2017年2月15日第6版。而此次司法解释对于这一观点并未采纳，也许是出于节省司法资源的考虑，此次司法解释将信息真实与否的证明责任归于嫌疑人一方。该司法解释第十一条第三款规定，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。公检法在办理具体案件，可以根据查获的数量直接认定定罪的条数，也因此，对于重复或不真实信息的筛选只能由嫌疑人及其辩护人负责，从而寻找出罪的证据，这一规定无疑减轻了公检法的证明责任，但也在一定程度上降低了证明标准，将证明责任转嫁给嫌疑人一方，存在不合理性。

尽管存在其不合理性，但在当前法律的规定下，对于司法解释第六条规定的行为，通过对涉案公民个人信息进行筛选无疑是律师办理某些案件的突破口，公检法在面对律师提交的具体证据时，也应当进一步筛选，验证其真实性。

除涉案公民个人信息的筛选以外，一案中存在不同类型信息的情况下，其计算标准在此次司法解释中存在较为合理的规定。司法解释第五条第一款第六项规定，数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的也构成“情节严重”，举例解释如下：甲非法获取他人行踪轨迹信息20条，健康生理信息200条，“姓名+电话号码”信息1000条，三类信息不存在重复或不真实，三类信息分别认定时，都未达到“情节严重”这一标准，而将三类信息按比例合计后，②当按比例计算时，该司法解释第三项规定的信息与第五项规定的信息之间的换算比例是1:100，而第四项规定的信息与第五项规定的信息之间的换算比例是1:10，20*100+200*10+1000=5000，刚好符合第五项规定的入罪标准。则达到关于“情节严重”的认定标准，该行为应当被定罪处罚。

另外值得注意的是，司法解释第六条第二款规定，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用本解释第五条的规定，也即是对于将购买、收受的公民个人信息非法出售或者提供的行为，其处理方法应当与司法解释第五条规定的行为一致。存在的问题是：因为前有购买、收受的行为，后有非法出售或者提供的行为，对于两次行为涉及的公民个人信息能否重复计算？笔者认为不应当重复计算。该司法解释第十一条规定，非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算，而购买和收受均是获取的手段。

五、结论

两高关于侵犯公民个人信息罪司法适用若干问题解释的出台，对于司法实践中一些具体问题的处理具有积极的影响，也凸显了我国对于涉及公民个人隐私和网络信息犯罪的惩治和防范。尽管该司法解释部分条文存在一定的不合理性，但法律不是嘲笑的对象，我们应当在理解相关法律条文的基础上，积极适用相关法律，恰当处理具体案件，做到公平公正，切实保护公民合法权益。

[1]黄太云.刑法修正案解读全编——根据《刑法修正案（九）》全新阐释[M].北京：人民法院出版社，2015.

[2]赵秉志.刑法修正案最新理解适用[M].北京：中国法制出版社，2009.

[3]雷建斌.中华人民共和国刑法修正案（九）解释与适用[M]，北京：人民法院出版社，2015.

[4]高富平，王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律，2017，（2）：46-55.

[5]蔡军.侵犯个人信息犯罪立法的理性分析—兼论对该罪立法的反思与展望[J].现代法学，2010，（4）：105-112.

[6]叶小琴，赵忠东.侵犯个人信息罪的对象应当是真实的个人信息[N].人民法院报，2017-02-15（6）.