侵犯公民个人信息罪的司法认定

作者：黄奥 安徽金亚太律师事务所律师 安徽亚太刑事司法研究所常务副所长    

          曹富乐 安徽金亚太律师事务所实习律师 华东政法大学刑法学硕士

编者按：合肥市公安部门加大了对侵犯公民个人信息罪的打击力度，王亚林刑事辩护团队的黄奥律师近期承办了几起重大侵犯公民个人信息案件，其中有几起案件的犯罪嫌疑人被成功取保候审。为了打击愈演愈烈的侵害公民个人信息行为，2009年出台的《刑法修正案（七）》将出售、非法提供、非法获取公民个人信息的行为纳入犯罪的范畴，2015年出台的《刑法修正案（九）》对此进行了修改，不仅扩大了犯罪主体的范围，更增加了“情节特别严重”的法定刑幅度。刑事立法的逐渐严密，将越来越多的侵犯公民个人信息行为归入犯罪的行列，但司法实践中仍存在诸多尚未解决的问题。笔者结合进行办理的案件，进行梳理，以期抛砖引玉，希望能够为司法实践的完善尽绵薄之力。

信息时代的飞速发展，使得个人信息保护成为亟待解决的问题，“徐玉玉案件”更是将个人信息保护问题推向了风口浪尖。据公安部披露，自今年4月公安部部署打击整治网络侵犯公民个人信息犯罪专项行动以来，截至9月下旬，全国公安机关网络安全保卫部门已查破刑事案件1200余起，抓获犯罪嫌疑人3300余人，其中银行、教育、电信、快递、证券、电商网站等行业内部人员270余人，网络黑客90余人，查获信息290余亿条，清理违法有害信息42万余条，关停网站、栏目近900个。刑法作为规制社会风险的最后一道防线，在个人信息保护方面也发挥着越来越重要的作用。

一、侵犯公民个人信息罪的立法规定

《刑法》第二百五十三条之一规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

二、“个人信息”的内涵

由于立法上没有明确，关于个人信息的内涵，存在较大争议，主要存在关联说、隐私说与识别说。关联说认为，凡是与个人存在关联的信息都属于个人信息，其外延十分广泛，几乎包括了有关个人的一切信息、数据或者情况；隐私说认为，只有与个人隐私相关的才属个人信息，其包括社会一般人不愿向对外透露的信息与个人敏感信息；识别说认为，姓名、职业、职务、年龄、婚姻状况、学历、专业资格等能够识别公民个人身份的信息才是个人信息。

关联说对于个人信息的界定几乎涵盖了与个人有关的各个方面，虽然全面却十分的宽泛，其不仅不能为司法实践对个人信息的认定提供明确的指引，更容易导致刑法适用范围的过分扩大化。而对于隐私说，其以社会一般人作为界定隐私的标准，这显然与“隐私”的个别化与差异化不相适应（同样的信息，有人认为属于隐私，有人认为不属于隐私，很难为司法实践对于个人信息的认定找出适当的标准）。事实上，法律尤其是刑法之所以对个人信息进行保护，主要在于个人信息是特定个人具体情况的表征，其相对社会信息具有独有性。换言之，“保护公民个人信息本质上就是为了保障根据个人信息所识别出来的每一个具体个人享有的免受侵害而正常生活的权利。”刑法之所以规制侵犯公民个人信息行为，主要在于他人极易通过个人信息锁定特定的个人，从而引发有针对性的犯罪行为的高风险。因此，笔者认为将识别说作为个人信息的内涵更加科学。

三、“出售、提供、获取”行为的内涵

通过立法演进可以看出，刑法修正案（九）将“出售、非法提供公民个人信息”中的“非法”予以删除，看似在入罪标准更加宽松，实质上，我们很难在社会现实中找出“合法”提供个人信息的途径。无论是出售、提供、获取（通过公共服务中公民个人的许可提供而获取的除外）哪种行为，其本质都是对公民的个人权利的侵犯，其实质都是非法的。因此，司法实践中，也很难以获取、出售、提供行为未违反法律的禁止性规定为由进行无罪辩护。

由此，笔者认为，任何方式的出售、提供、获取公民个人信息行为，只要未取得公民个人的许可，都属于侵犯公民个人信息罪中的“出售、提供、获取“行为。

所谓“出售”，是指将自己掌握的公民信息卖给他人，自己从中牟利的行为（涵盖了提供行为，从行为性质上，出售行为的主观罪过要大于单纯的提供行为，但立法上并未体现，司法实践中属于酌定量刑的情节）；所谓“提供”是指不应将自己掌握的公民信息提供给其他个人或者单位而予以提供的行为（主观上是否谋取利益在所不论）；所谓“获取”，是指本不应当取得公民个人信息而予以获取的行为。

四、“情节严重”的内涵

对于侵犯公民个人信息罪中“情节严重”的内涵，尚无司法解释予以明确，对此，应当结合刑法的基本理论和个罪本身进行理解。“情节严重”作为刑事立法中的常见表述，其是行为社会危害性的一种综合性价值评价，正如张明楷教授认为，“情节严重”作为一种概括性的定罪情节，其内涵与外延应当从犯罪的客体、客观方面、主体、主观方面等多角度予以考察。结合司法实践与承办案件的相关情况，笔者认为，可以从以下几个方面对“情节严重”进行考察：

（一）信息数量及性质

侵犯公民个人信息罪的犯罪对象是个人信息，因此，涉案信息的数量是行为社会危害性最为直观的体现。关于具体数量的标准，在无明确司法解释的情况下，可以参照相关犯罪，如《最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释》（以下简称《诈骗解释》）第五条第二款第一项的规定：“利用发送短信、拨打电话、互联网等电信技术手段发送诈骗信息五千条以上的，以诈骗罪（未遂）定罪处罚。”此外，毫无疑问，不同性质的个人信息对公民的影响程度是不同的，因此，在认定“情节严重”也需要考虑涉案信息的性质，如同样的数额，个人敏感信息的危害程度要远大于个人普通信息。因此，笔者认为，“情节严重”的认定应当将不同性质的个人信息与数量相结合进行。

（二）行为性质

对于公民个人信息的获取可以有很多种（包括出售、提供者上游信息的来源途径），包括购买、索要、窃取、胁迫等等，一般而言以暴力、胁迫、欺诈，甚至是以非法侵入公民计算机系统等方式获取公民个人信息的行为性质明显情节更为严重。

（三）行为次数

侵害行为的次数是行为人的主观恶性程度的重要体现。一般而言，多次实施侵害公民个人信息行为相对于单次行为的情节更为严重。

（四）行为目的

在侵犯公民个人信息罪中，行为人侵害个人信息的目的一般是为了牟利，但具体实现途径又各不相同，有仅供自己使用，有为了进行商业推销，也有为了用于实施其它犯罪活动。综合考量，用于实施其他犯罪活动（例如诈骗）相对于将信息供自己使用或进行商业推销更为严重。

（五）获利数额

虽然说侵犯公民个人信息罪不以牟利为构成要件，但利用所掌握的公民个人信息所获利的数额也应当是犯罪情节考察的重要因素之一。

（六）危害结果

危害结果是犯罪行为社会危害性最直接的体现。行为人侵犯公民个人信息造成严重危害结果的（例如徐玉玉案），应当认定为情节严重。根据《关于依法惩处侵害公民个人信息犯罪活动的通知》，结合司法实践，严重危害结果应当包括以下情形：（1）造成他人人身伤害或重大经济损失的；（2）造成国家较大经济损失或具有严重社会影响的。

“情节严重”本身即属于自由裁量的范畴，很难通过某一具体标准予以量化，以上情节也只是司法实践中较为常见的类型，司法实践中经常出现多种情形并存的情况，对此也应当具体问题具体分析。至于侵犯公民个人信息罪中的“情节特别严重”的认定，亦可以参照上述思路。