张晓东

一、基本案情

犯罪嫌疑人龙某某系某房屋装修公司（私企法人）经理；犯罪嫌疑人常某某、李某某系该公司业务员。为拓展公司业务，2021年1月至2022年5月，犯罪嫌疑人龙某某授意员工常某某、李某某前往本市“薄荷花园”“毓秀之都”等房产楼盘交付处，偷拍包括业主姓名、移动电话及房号的花名册，先后获取公民房产交易信息3000余条。此后通过拨打电话招揽装修业务谋取非法利益，但具体数额无法查明。

二、分歧意见

本案在审查起诉环节，形成三种不同意见。

第一种意见认为，龙某某等3人行为的性质属于民事侵权，不构成犯罪。理由是：龙某某等3人尽管实施了非法获取公民个人信息的行为，但其主观动机是发展本公司装修业务，作为一种善意使用，客观上也方便了有装修需求的业主。从信息内容看，3人窃取的房产交易信息只包括业主姓名、手机号和房号等片面内容，不包含身份证号码、银行卡号等敏感内容，并非典型交易信息，且大多数业主并未实际入住该楼盘，因而属于隐私性较弱、敏感性不强的普通个人信息，应适用“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）中规定的“5000条以上”定罪标准。本案中3名行为人所窃取信息查证属实的只有3000余条，因而不构成犯罪。

第二种意见认为，龙某某等3人窃取公民个人信息尽管手段违法，但毕竟是出于拓展正当经营业务而为。根据“两高”《解释》第六条，“为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的‘情节严重’：（一）利用非法购买、收受的公民个人信息获利五万元以上的……”。本案中，3名行为人获取公民一般信息的行为虽然不属于“非法购买、收受”，但属于手段更为恶劣的非法窃取，根据“举轻明重”原则，应适用《解释》第六条规定，以获利数额作为定罪追诉依据。但由于本案非法获利具体数额无法查明，属于事实不清、证据不足，故不宜按犯罪处理。

第三种意见认为，本案3名行为人所窃取的公民房产交易信息，将业主姓名与手机号码、门牌号码绑定在一起，已具备身份识别功能且涉及住所等隐私内容，是介于高度敏感信息与普通个人信息之间的相对敏感信息，从内容上看与《解释》中规定适用“500条以上”定罪标准的“交易信息”相吻合。3名行为人总计窃取信息3000余条，数量远远超出该入罪标准，已构成侵犯公民个人信息罪。此外，由于《中华人民共和国刑法修正案（七）》（以下简称《刑法修正案（七）》）就侵犯公民个人信息罪规定了单位犯罪，而涉案装修公司具备法人资质，3名行为人窃取公民房产信息体现的是单位意志和利益，应以单位犯罪论处。

三、评析意见

上述分歧意见中，笔者倾向于第三种意见。理由如下：

（一）伴随风险社会持续深化，加强公民个人信息保护兹事体大

尽管个人信息兼具身份权、人格权、财产权等多重属性，但侵犯公民个人信息罪的犯罪客体或法益，以个人隐私权为基本阀域。［1］现代汉语中，隐私权是指自然人依法享有的不公开与其私人生活有关的事实和秘密的权利。［2］本案中，3名不法行为人所侵害的楼盘交易信息，直接涉及公民住所、手机号等个人私密内容，无疑已危及公民个人隐私权。从学理上看，隐私权是一种对世权，目的在于对个人提供一种以人而不是以财产为目的的保护。其“价值在于个人自由和尊严的本质，体现于个人自主，不受他人的操纵及支配。”［3］因而，第二种意见所持“以获利数额作为定罪追诉依据”之观点难以成立。从隐私权的权利归属看，表现为“自然人享有的对其个人与公共利益无关的私人信息、私人活动和私人空间等私生活安宁利益自主进行支配和控制，不得他人袭扰的具体人格权”［4］。正是基于隐私权这一固有特点，侵权人主观上是否具有“恶意”，是否通过侵犯隐私实际获取重大非法利益，均不影响刑事犯罪的成立。本案中持出罪意见的观点，或许确有统筹司法效果之考量，但无论从国家收紧公民个人信息保护法网的宏观政策，抑或个人信息安全依然面临的严峻形势看，强化公民个人信息保护无论如何不存在“过量”一说。［5］尽管风险刑法并非积极主义刑法观的唯一理论渊源，但两者所着眼的问题和基本诉求趋同。积极刑法观主张“刑事立法的活性化，表征的是立法者对社会问题的积极回应”。［6］风险刑法要求国家在社会秩序控制中由消极角色转为积极角色，强调安全价值优位性。正因为如此，有学者直陈——“越是处于风险社会，就越应强调对隐私权的保护”［7］。应当看到，风险社会背景下，刑法不再耐心等待社会危害结果的出现，而是着重在行为的非价值判断上，以制裁手段恫吓、震慑带有社会风险的行为［8］，具有逻辑自洽性与现实合理性。或许正是基于对侵犯公民个人信息罪具有实然危害与或然风险叠加之特点，“两高”《解释》基于宽严相济立场提出：“实施侵犯公民個人信息犯罪，不属于‘情节特别严重’，行为人系初犯，全部退赃，并确有悔罪表现的，可以认定为情节轻微，不起诉或者免予刑事处罚；确有必要判处刑罚的，应当从宽处罚”。

（二）判别公民个人信息敏感程度，应以立法原意为根本标尺

我国刑法第253条之一规定的侵犯公民个人信息罪，是指违反国家有关规定，向他人出售或者提供公民个人信息，或者将在履行职责或者提供服务过程中获得的公民个人信息出售、提供给他人，以及窃取或以其他方法获取公民个人信息，情节严重的行为。司法实践中，作为本罪犯罪对象的“公民个人信息”，主要包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等可以识别公民个人身份或者涉及公民个人隐私的信息、数据资料。［9］进入新世纪以来，随着信息技术深度普及，可识别的公民个人信息迅猛增加，非法侵犯公民个人信息的社会危害性也日益凸显。《刑法修正案（七）》和《中华人民共和国刑法修正案（九）》两度出台强化公民个人信息保护相关规制后，为进一步统一司法尺度，2017年“两高”联合出台司法解释，进一步明确个罪中“公民个人信息”的范畴：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。同时，结合公民个人信息涉密涉敏程度，以及借助非法获取个人信息获利数额等，就“情节严重”进行了必要的类型化规制。

本案定性分歧之焦点，集中表现在对涉案信息敏感度存在不同认识。根据涉密、敏感程度的差异，《解释》第5条规定了三个档次的信息数量入罪标准，明确“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上”，或者“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上”，或者“非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上”，均属于侵犯公民个人信息“情节严重”，应追究刑事责任之情形。本案中持前两种意见的观点，实质上是将上述《解释》中的“交易信息”进行了人为限缩，将内容相对简约的房产交易信息不当排除在“可能影响人身、财产安全的公民个人信息”以外，降格认定为“交易信息”以外的一般个人信息。笔者对此无法认同。首先，从文理上看，所谓“交易”，在现代汉语中意指“买卖商品”或“生意”。［10］本案中，包含房号、业主手机号及业主姓名的房产信息，合法管理、使用的主体是代表房屋开发方的售楼处，体现的是作为“卖主”的房屋开发方与作为“买主”的购房业主之间的房产交易关系。将这种基于买卖合同产生，由楼盘交付处登记、管理、使用的房产信息排斥于“交易信息”之外，不仅有悖文理，而且不符合常情常理。如此内容多元、相对完整的房产信息一旦泄露给电信诈骗等不法分子，事实上很难避免“可能影响人身、财产安全”的问题发生。其次，从法理上看，根据2021年11月1日起实施的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）第28条，“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”。本案中，集房号、业主手机号和业主姓名“三位一体”的房产信息，不仅足以反映特定公民的行踪轨迹，而且直接关涉公民私人生活，既可独立体现特定自然人的经济状况，亦可与其他信息相结合进一步识别具体身份，因而与职业、学历等一般公民个人信息判然有别。就此，诚如有学者所论及，“《解释》将敏感个人信息划分为‘行踪轨迹信息、通信信息、征信信息、财产信息’一档和‘住宿信息、通信信息、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息’一档。侵犯不同级别的敏感个人信息，认定‘情节严重’的标准也不同”［11］。

（三）本案并非一般共同犯罪，而是有组织有预谋的单位犯罪

我国刑法中的单位犯罪，是指由公司、企业、事业单位、机关、团体基于本单位意志，由其单位成员实施的依法应当承担刑事责任的危害社会的行为。［12］单位中自然人实施的行为之所以有必要评价为单位行为，根本上在于其体现的是单位的意志和利益而并非个人合意的简单叠加。关于侵犯公民个人信息罪的犯罪主体，我国刑法第253条之一规定了自然人犯罪和单位犯罪双重主体。根据刑法第253条之一第4款，“单位犯前三款罪的，对单位判处罚金，并对直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚”。本案中，某房屋装修公司员工常某某、李某某在本公司经理龙某某授意、指使下，前往本市相关楼盘交付处秘密窃取房产交易信息多达3000余条，并将所窃取信息用于本单位利益，其行为完全符合单位犯罪的本质特征。

毋庸讳言，房屋建造与装潢存在关联，本案中涉案公司对所窃取房产信息的使用，截至案发并未超出其日常业务，因而表面上看行为人主观恶性不大，甚至“情有可原”。但问题在于，非法窃取和使用公民房产信息數量或者获利数额较大，本身即对公民隐私权构成严重威胁，违背“任何人不因不法行为获利”原则；无论从国内立法还是域外立法看，侵犯公民个人信息罪的成立，并不以特定动机和目的为责任要件。现实中，非法窃取公民个人信息的行为，对被害人人身、人格、名誉或财产安全通常具有显性与潜性叠加的严重危害。大数据时代，信息泄露更是无异于将被害公民推向“裸奔”境地，为电信诈骗、绑架、强奸、故意伤害、故意杀人等次生恶性犯罪埋下伏笔。就市场主体而言，信息固然属于不可或缺的生产要素，但“君子爱财，取之有道”。在我国，“经营者收集、使用消费者个人信息，应当……经消费者同意”，早已明文载入《中华人民共和国消费者权益保护法》；近年颁布的民法典和《个人信息保护法》［13］亦立足“民法典在中国特色社会主义法律体系中具有重要地位，是一部固根本、稳预期、利长远的基础性法律”［14］，以及公民信息安全保障之重要部门法之定位，分别就公民个人信息保护作出严格规约。鉴此，对于未经授权、同意而窃取、使用消费者信息推销商品和服务，达到一定数量、规模或产生较为严重后果的行为，只有严格依法处理，才能防止“破窗效应”，切实满足人民群众安全感。

*浙江省义乌市人民检察院第九检察部四级高级检察官［322000］

［1］ 除“隐私权说”以外，较有代表的观点如“信息自决权说”“信息专有权说”等等。前者提出，基于人权和自由的保护，人应当独立自主掌控个人信息，对个人信息享有法律上的自主决定权；后者则是以“信息自决权是网络时代一种新型人格权”为前提，认为侵犯公民个人信息罪侵害的法益是“具体的有权利实质内涵的信息专有权，即法定主体拥有对其个人信息的处分权限”。参见程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期；徐楠：《信息社会公民个人信息权的刑法保护》，赵秉志、陈泽宪、陈忠林主编：《改革开放新时代刑事法治热点聚焦》，中国人民公安大学出版社2018年版，第1143页。

［2］ 参见《辞海》，上海辞书出版社2020年版，第5273页。

［3］ 王泽鉴：《人格权法：法释义学、比较法、案例研究》，北京大学出版社2013年版，第 179页。

［4］ 杨立新：《人格权法》，法律出版社2015年版，第259页。

［5］ 继2016年山东临沂发生震动全国的“徐玉玉事件”后，山东理工大学宋振宁遭电信网络诈骗猝死案、广东省高考录取新生蔡淑妍遭电信诈骗自杀溺亡案等命案接连爆出，由此引发对公民个人信息安全保护、网络虚拟运营商监管等社会问题的深层追问。参见胡雨丹：《撑起“保护伞”：大数据时代公民个人信息刑法保护研究》，载赵秉志、陈泽宪、陈忠林主编：《改革开放新时代刑事法治热点聚焦》，中国人民公安大学出版社2018年版，第1172页。

［6］ 劳东燕主编：《刑法修正案（十一）条文要义》，中国法制出版社2021年版，第1页。

［7］ 刘艳红：《公共空间运用大规模监控的法理逻辑及限度——基于个人信息有序共享之视角》，《法学论坛》2020年第2期。

［8］ 参见林东茂：《危险犯与经济刑法》，台湾五南图书出版公司1996年版，第15页。

［9］ 参见张明楷：《刑法学》，法律出版社2016年版，第921页。

［10］ 参见《现代汉语词典》，商务印书馆2005年版，第681页。

［11］ 刘宪权：《敏感个人信息的刑法特殊保护研究》，《法学评论》2022年第3期。

［12］ 参见林亚刚：《刑法学教义》（总论），北京大学出版社2014年版，第138页。

［13］ 比如，我国《个人信息保护法》第10条规定，“任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息；不得从事危害国家安全、公共利益的个人信息处理活动”。民法典第1035条规定，处理个人信息应遵循合法、正当、必要的原则。

［14］ 习近平：《实施好民法典》（2020年5月29日），载《习近平谈治国理政》（第四卷），外文出版社2022年版，第281页。