摘要：自2009年《刑法修正案（七）》将个人信息纳入刑法保护以来，侵犯公民个人信息罪范围一直存在争议。侵犯公民个人信息罪所保护的法益是公民人格尊严与个人自由，从出售或提供公民个人信息行为的实质违法性角度出发，以出售、提供信息只有电话无姓名情况为例，说明应当将个人信息限缩在具有危害该法益的“公民个人信息”内。要求在有效打击我国侵犯公民个人信息犯罪行为的同时，为大数据应用提供宽松的发展环境。

关键词：侵犯公民个人信息罪 个人信息

侵犯公民个人信息入刑，是在我国个人数据保护立法执法落后，个人信息频繁遭受侵犯，甚至威胁人生安全的情况下，不得已强制为之。但是，在大数据的时代下，个人信息是各类企业经营、决策必需的数据，刑法的过度保护可能抑制我国大数据应用的创新与企业的正当、蓬勃发展。自2009年《中华人民共和国刑法修正案(七) 》( 以下简称:《刑修七》) 首次将侵犯公民个人信息行为纳入刑法保护后，这种保护力度不断得到强化。2015 年《中华人民共和国刑法修正案( 九)》( 以下简称: 《刑修九》) 进一步将个人信息犯罪的主体扩大到任何主体，取消了“非法提供”中的“非法”，将入刑的行为之一确定为“出售或提供公民个人信息”。这意味着，不仅出售公民个人信息和购买公民个人信息( 归类到以其他方法获取行为之内) 可能入刑，而且向他人提供公民个人信息或者接受公民个人信息也存在承担刑事责任的风险。那么，出售何种公民个人信息具有刑法上的违法性、实质上的应罚性？以点窥面，以出售提供信息只有电话无姓名的情况，是否构成侵犯公民个人信息罪？如何才能在打击公民个人信息犯罪的同时，为正当的个人信息收集和使用提供良好的制度环境？以上问题的回答，须对侵犯公民个人信息罪所保护的法益进行分析，探究保护个人信息的目的，对出售或提供公民个人信息入罪范围进行界定。

一、侵犯公民个人信息罪所保护的法益

（一）我国侵犯个人信息罪范围审视

一是侵犯公民个人信息罪是《刑九》中新出现的罪名，该罪名涵盖、修正了之前《刑七》中的“非法提供、出售公民个人信息罪”和“非法获取公民个人信息罪”。此外，还增设了2个新罪名对公民个人信息进行间接保护：(1)增设第286条，“拒不履行信息网络安全管理义务罪”，对“致使用户信息泄露，造成严重后果”的行为进行专门规制; (2)增设第108条之一，新增“泄露不应公开的案件信息罪”和“披露、报道不应公开的案件信息罪”，对不应公开的案件信息进行刑法保护。

二是扩大犯罪行为方式范围，包括（1）违反国家有关规定，向他人出售、提供公民个人信息的行为；（2）窃取或者以其他方法非法获取公民个人信息的行为。有别于《刑七》规定，对于提供公民个人信息行为，只要求违法国家有关规定即可，不再作“非法提供”要求。

三是降低犯罪标准。取消了在履行职责或者提供服务的过程中获得的公民个人信息扩大了犯罪主体范围，提高了法定刑，规定了从重处罚的情形。

（二）侵犯公民个人信息罪保护法益的实质

侵犯何种法益，是据以定罪的基础。侵犯公民个人信息罪被置于我国《刑法》分则的第四章“侵犯公民人身权利#民主权利罪"，那么从整体而言，侵犯公民个人信息罪所要保护的法益应在公民人身权利或民主权利范畴之内。《刑修( 七) 》首次确定该罪名时就将其条文序号定为第253条之一，位于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”之后。不难看出，”侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”所保的法益均为公民人格权利与自由，包括公民个人通信自由和人格尊严。因此，从具体罪名的编排来看，侵犯公民个人信息罪所保护的法益应与上述两个罪名相类似，是对公民人格尊严与个人自由的保护。

（三）个人信息保护的目的

个人信息是指与已被识别或可以被识别的个体有关的信息。个人信息保护旨在确立个人信息使用规范，其保护个人权益包括但不限于隐私利益。个人信息是社会的润滑剂，具有社会性、公共性，在社会活动中向他人提供( 披露) 和获得他人个人信息是社会运行的基本需要。但是，个人信息同时涉及个人利益，有些个人信息本身就是个人隐私，不适宜公开；而有些个人信息虽然可以被公开或获取使用，但是如果被滥用则会危害个人利益，侵害个人自由、安宁。

所以，我国刑法对于公民个人信息保护，针对是在我国个人数据保护立法执法落后，个人信息频繁遭受侵犯的状况，建立在《中华人民共和国宪法》对公民基本权利保护基础上的，是履行“国家尊重和保障人权”基本义务，保护公民人格尊严、人身自由等宪法权利。

二、出售、提供公民个人信息行为实质违法之界定

既然侵犯公民个人信息犯罪所保护的法益是公民的人格尊严和个人自由，那么违法性的分析必须围绕该法益展开，即如果出售或提供公民个人信息对公民人格尊严与个人自由造成严重侵害或威胁的，那么该行为就具有实质违法性。以出售、提供信息只有电话无姓名为例，笔者认为，这类行为不构成侵犯公民个人信息罪的表现形式，将入刑范围限定在既有规范下限缩公民个人信息的范围，将明显具有潜在危害性的信息纳入，是为可取之道。

《刑修九》)将入刑的行为之一确定为“出售或提供公民个人信息”，单实际上，“向他人出售或提供”行为本身属于一种中性的行为，所谓出售一般指有偿的交易; “提供”可以涵盖非交易性的数据共享或移转行为。如果出售和提供的标的( 即公民个人信息) 和目的没有违反法律规定，单纯出售和提供公民个人信息的行为并无所谓合法或非法的问题。因此，对“出售或提供公民个人信息：行为的实质违法性分析的关键点并不在于出售和提供这一行为方式上，而在于行为对象，即“公民个人信息”上。

目前，刑事司法领域，有关侵犯公民个人信息罪之公民个人信息范畴较为权威的解释出自2013年最高人民法院、最高人民检察院和公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》( 以下简称: 《通知》) 。《通知》认为“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。"《通知》还将“涉及公民个人隐私的信息”纳入其中。笔者认为，《通知》对刑法保护的公民个人信息的界定过于宽泛，从实质违法的角度，纳入刑法保护的应当只限于能够直接识别公民个人身份的个人信息。如果单纯出售、提供可识别特定个人的个人信息，例如电话，而不包含身份信息，例如姓名，不能直接侵害或威胁该个人的隐私或人格尊严，不具有直接危害性。因为可识别特定个人个性特征的个人信息在不包含个人身份信息的情况下，虽然该个人信息同样指向某个人，但无法明确知道该个人的身份，也即无法特定化。例如电话的泄漏，频繁的推销可能对身份主体造成困扰，但由于无法特定化至一个明确的信息主体的身份，对该信息主体的人格尊严的侵犯也就无从谈起。没有侵犯信息主体的人格尊严、人身自由，即没有侵犯公民个人信息罪所保护的法益，即不构成侵犯公民个人信息罪。

三、打击犯罪与保障大数据发展并举

侵犯公民个人信息罪填补了我国个人信息刑法保护的空白，为公民个人隐私、人格尊严与个人自由提供了更加强有力的保护，体现了国家对人权的重视与保障。但值得注意的是，在打击侵犯个人信息行为的同时，要保障和引导个人信息的有序利用和自由流通，平衡公民个人利益的保护与信息产业的发展，充分发挥个人信息在经济、科技、文化等领域的促进作用。

同时，侵犯公民个人信息罪构成要件过于简单，实践中哪些行为构成犯罪依然十分模糊，无形中使得犯罪分子有了可趁之机，页增加了合法利用个人信息行为人的刑事风险，须要司法解释对其进行进一步说明与完善。

笔者认为，只有出售或提供可直接识别特定个人身份的公民个人信息行为才具有实质违法性，应受刑罚处罚，同时应将“以从事违法活动或侵害个人权益活动为目的”作为出售或提供个人信息行为构成犯罪的要件。如此，既满足侵犯公民个人信息罪的立法目的，也有利于保障个人信息的自由流通，推动大数据时代下信息产业的蓬勃发展。