侵犯公民個人信息犯罪實證研究

楊新京　葉萍　黃成

內容摘要：本文以實證與理論研究的方法，對《刑法》第253條之一實施以來B市C區人民檢察院所辦理的侵犯公民個人信息犯罪案件為樣本，分析了這類案件的特點及趨勢，對司法實踐中存在的關于主體范圍、公民個人信息的范疇、行為模式認定及情節嚴重的標準等方面進行了分析，并提出了相應的立法及司法建言。

關鍵詞：侵犯公民個人信息罪 非法獲取 情節嚴重

《刑法修正案（七）》增設《刑法》第253條之一，首次在我國《刑法》中規定了侵犯公民個人信息的犯罪。

一、2009-2013年B市C區辦理的侵犯公民個人信息犯罪案件的特點

據統計，2009-2013年B市C區人民檢察院受理侵犯公民個人信息犯罪案件20件41人。主要呈現出以下特點：

一是案件數及人數增長明顯。據統計，2012-2013年的案件量占到了五年案件量的90%，2013年的犯罪嫌疑人數是其余四年的總和，犯罪形勢更加復雜和嚴峻。

二是犯罪對象種類繁多并具有針對性。信息類型的比重從高到低依次集中于消費購物信息、車主信息、業主信息、通訊信息、企業及高管信息、戶籍信息、老年及病患人群信息等方面，且大多數案件經犯罪人的分類整合后，信息更加具有針對性。

三是犯罪目的主要是為廣告推銷及出售牟利。涉案信息中，公民的消費購物信息比重最大，其次是車主信息、業主信息、老人及患病信息等。一些公司、企業及個體經營者通過非法渠道購買以上信息，再通過電話、短信、上門等方式向目標客戶推銷保健品、收藏品、紀念品、高仿奢侈品等產品或服務。部分不法分子通過購買上述信息用于實施詐騙、偽造證件等違法犯罪活動。

四是“偵探、討債”公司催生黑色產業鏈。數據顯示，該部分犯罪群體的人數占到了總人數的50%以上，成為侵犯公民個人信息犯罪的主力軍，其獲取信息的針對性更強，手段更專業，非法獲利更高，更容易形成侵犯公民個人信息的黑色產業鏈條，社會危害性更大。[1]

五是犯罪手段以互聯網交易為主，新型高科技犯罪手段逐步涌現。經統計，約85%的案件為通過網絡非法獲取相應的信息。其中，通過網絡直接傳遞數據的約占88%，通過U盤交付的約占12%。另外，通過高科技手段非法獲取公民個人信息的案件也逐漸顯現。如張某等10人通過研發“靜默插件”，在用戶不知情的情況下實現對手機的實際控制并獲取手機短信、通話、通訊錄、GPS定位等信息，僅三個月內便獲取了十余萬部手機高達上千萬條通訊記錄。

二、司法實踐中法律適用的困惑與分析

（一）對犯罪主體的困惑與分析

《刑法》第253條第1款出售、非法提供公民個人信息罪的犯罪主體是“國家機關或者金融、交通、電信、醫療、教育等單位的工作人員”，該罪的主體究竟是一般主體還是特殊主體，法條規定的“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”中的“等”字如何理解，即除了法條列舉的六類單位之外，是否還包括其他單位，其他單位的范圍是什么？

根據體系解釋及文義解釋，一般認為，“等”應當包含其他單位。但對其他單位的范圍有不同理解：一種觀點認為，不宜將公民個人信息的刑事保護范圍擴大到沒有利用“公權力”采取的一切單位和個人。[2]據此，所未列舉的單位也應當屬于利用某種“公權力”采集公民個人信息的單位。另一種觀點認為，沒有必要作此限制，凡是合法成立的單位均屬于法條規定的范圍。[3]

以上兩種觀點均有其合理性，但我們更傾向于后者。首先，對單位范圍作上述理解并未超出法條的文義范圍。法條本身也并未對單位的性質或者特征作明確限制，更未提及獲取公民的信息必須是要基于“公權力”。其次，更有利于加強對公民個人信息的保護。不可否認，“公權力”下的公民信息管理制度是本罪所保護的法益之一，但并非本罪保護的主要法益。根據體系解釋的方法，本罪被規定在侵犯公民人身權利、民主權利罪一章中，其保護的主要法益應當是公民個人的信息權利及信息安全。如果僅將本罪中的單位作僅限具有“公權力”的狹義理解，將會使對公民個人信息的保護存在真空地帶。邏輯上，對公民個人信息的侵犯，要么是合法占有者的非法利用（包括出售、非法提供），要么是非合法占有者的非法獲取及利用?！缎谭ā返?53條第2款所規制的正是后者，那么，為何同時還應承擔保障信息安全義務的前者中，就僅具有“公權力”的才會被規制呢？實踐中，諸如物流快遞、房產銷售、汽車銷售、保險公司、旅游公司、物業公司、咨詢公司以及各種網站等等，信息泄露的情況不在少數。這些單位同樣不同程度地掌握著大量的公民個人信息，但相對于“公權力”下的單位，這些單位對所獲信息的保護意識和強度又明顯不足，反而更易被犯罪分子覬覦。若將這些單位排除在外，勢必不利于對公民信息安全的保護，有違立法初衷及目的。第三，其他國家的立法例中對侵害公民個人信息犯罪的主體也鮮有限制。[4]日前全國人大常委會發布《刑法修正案九（草案）》，其中第16條對《刑法》第253條之一作出修改，取消了原條文中的“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”，修改后的條文適用于所有掌握公民個人信息資料的人，如果違反國家規定，將公民個人信息出售或者非法提供給他人，情節嚴重的，就將受到刑罰處罰。筆者認為，草案解決了當前司法機關在辦理侵犯公民個人信息犯罪方面存在的疑難問題，對于保護公民個人信息，懲治犯罪，具有重要意義。

（二）“公民個人信息”的適用困惑與分析

1.公民個人信息的界定。對此，較為有代表性的學說有關聯說、隱私說、識別說三種[5]。全國人大常委會于2012年12月28日通過的《關于加強網絡信息保護的決定》（下文簡稱《決定》）第1條規定，“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息?！笨梢娡瑫r采取了識別說與隱私說。筆者認為，首先是能夠直接或間接識別特定公民個人身份的信息?！肮瘛睉斘覈窈退麌?“個人”是指單個的自然人，不包括單位?！皞€人信息”是指能識別出特定人的直接識別和間接識別的消息。其次，包含涉及公民個人隱私的信息。筆者認為，除法條所列舉的國家機關、金融、電信、醫療等單位涉及的公民個人的隱私信息外，實踐中大量存在的諸如消費記錄、定位信息、賓館入住、航班旅程等涉及個人秘密或隱私的信息，因與法條列舉的單位掌握的個人信息具有等價性，也應納入個人信息的范圍。最后，應當排除依法公開或公民自愿在一定范圍內公開的信息。例如，稅務、工商等行政部門和司法機關依法公示的信息應視為公知信息。對于公民依約定公開以及公民單方自愿在一定范圍內公開的信息，若相對人或者其他行為人超越既定范圍使用仍可構成對公民個人信息的侵犯。

2.對“違反國家規定”的理解。由于《個人信息保護法》的缺位，加之《刑法》第96條對“國家規定”有著明確的解釋，實踐中確實會存在無法找到對應“國家規定”的情況?！稕Q定》為上述問題的解決及對侵犯公民個人信息犯罪的認定提供了一定的依據和指引。但對于非網絡信息、電子信息的其他信息，根據罪刑法定原則，現階段不宜納入《刑法》第253條之一的規制范圍。

3.對“在履行職責或提供服務過程中獲得的公民個人信息”的理解。筆者認為，至少包含兩個方面的限定：首先，是指信息獲取途徑的合法性。即要求履行職責或者提供服務于法有據，符合法律規定程序，且所獲取的信息在法律約束的范圍內，否則該收集行為不具有合法性。其次，是指信息的獲取應當是在履職或服務的時間和場合內，但對于該時間和場合應當作實質意義上的理解。如田某某非法經營案中，因田某某的公司通過欺騙手段非法獲取他人工作單位及地址信息以非法從事私人偵探業務，不符合出售公民個人信息罪犯罪對象的要求，最終法院認定田某某成立非法經營罪。

4.對非法獲取公民個人信息罪中“上述信息”的理解。如前所述，實踐中，非法獲取公民個人信息罪占絕大多數，且大多數案件中的信息源無法查明，其所獲取的信息很可能是二手甚至多手信息，無法認定是否系“上述”單位在履行職責或者提供服務過程中獲得。若僅當行為人非法獲取了前述單位合法取得的公民個人信息時才成立本罪，而當行為人非法獲取了前述單位非法取得、其他單位合法取得、其他單位非法取得及非法單位（個人）非法取得的信息時均不構成本罪，這樣的結論難以讓人接受。故筆者認為，對此處“上述信息”的理解，應當基于立法目的，從法益保護的角度，作相對于第1款更寬泛的理解。即只要是《刑法》上的“公民個人信息”即可，來源是否合法不論?！缎谭ㄐ拚福ň牛┎莅浮分袑⒃摋l的“上述信息”直接規定為“公民個人信息”，顯然也與筆者觀點是相同的。

（三）對該罪客觀行為的認定難點

1.“非法提供”的認定。非法提供，是指符合主體要求的單位或工作人員，違反法律法規及規范性文件、行業規范等規定和要求，將單位在履行職責或者提供服務過程中合法獲得的公民個人信息無償提供給他人的行為。對“非法提供”與“出售”的區別，筆者認為，并非僅在于是否獲得利益，而關鍵要看行為人提供信息時是否具有獲得利益的目的。能夠判斷其行為時具有該目的的（比如事前有約定的），自然構成出售公民個人信息罪。對于無法判斷的，可以分情況討論：對于僅有一次行為，事前沒有約定，事后僅被動收受財物的，可以認定為非法提供;但對于有兩次以上行為，雖事前也無約定，均事后才收受財物，但不應再認定為非法提供，而應認定為出售行為，因為當行為人在獲得了利益之后再實施該行為并且再次收受了財物時，可以認定行為時行為人已經具有了對獲得相應利益的信賴和期待，也即可以認定其行為時具有獲得利益的目的。

2.“非法獲取”的認定。依法條規定，“非法獲取”是指“竊取或者以其他方法非法獲取”。重點在于對“其他方法”的理解，這里應當是指與竊取的社會危害程度相當的方法，例如騙取、脅迫、利誘、恐嚇、搶奪、購買等違反法律規定的獲取方式。但非法獲取與出售、非法提供并非是完全的對向關系，也即二罪并不屬于典型意義上的對向犯。即使能夠成立對向犯，也僅限于與第1款的規定所對應的購買、收受的行為。實踐中易引起適用分歧的主要是“先買后賣”的行為認定。因現行規定對于先買后賣中的出售行為未規定為犯罪，則不管行為人出售的目的產生于何時，在定罪上均僅構成非法獲取公民個人信息罪一罪。但當行為人不是以出售為目的，而是具有其他犯罪目的，又實施了其他犯罪行為時（如又利用信息實施詐騙等行為的），這種區分便具有了罪數認定上的意義?！缎谭ㄐ拚妇牛ú莅福分行略鲆豢睢拔唇浌癖救送?，向他人出售或者非法提供其個人信息，情節嚴重的，處二年以下有期徒刑或者拘役，并處或者單處罰金?！痹诖饲樾蜗?，先買后賣行為則可能出現牽連犯或者數罪可能性。如行為人購買信息時即具有出售的故意，則系手段行為與目的行為的牽連犯;如行為人購買信息時并不具有出售的目的，獲取之后才具有該故意的，則前后系兩個行為、兩個故意，構成數罪。

（四）“情節嚴重”的認定

法條明確規定“情節嚴重”的才構成犯罪，但何為“情節嚴重”目前尚無據可依，實踐中可能因司法者對法條的不同理解導致量刑不均衡。對此，理論界提出了三要素說[6]、六要素[7]說等多種標準。但從本質上看，均為單一標準，簡單、直觀、易于操作，具有一定的合理性，但也存在問題。其一，形式上僅能通過列舉的方式進行，當無法窮盡列舉或準確概括時，難免存在疏漏;其二，僅對情節嚴重進行扁平式的考量，缺乏考量的綜合性，難免放縱犯罪。因此，我們建議，對本罪“情節嚴重”的解釋應當以單一情節模式為基礎，同時采用對多個情節進行加權考量的綜合模式。以上幾種觀點中所列舉的單一情節要素，基本上都包含了信息的數量、用途、行為次數、獲利情況及危害結果等，故筆者認為可以單一標準中進行列舉式規定。同時，再規定一條綜合標準，對雖不符合某單一情節標準但有兩項情節以上已接近單一情節標準的和雖不符合某一項單一情節標準但已接近該標準并具有其他規定情節的情形進行規定。

值得說明的是，實踐中的具體案件情節嚴重的認定，還有賴于司法裁量權的行使，應當由司法官按照一般人的標準，判斷行為人的行為是否已侵害或威脅了法益，是否達到了應受刑罰處罰的程度。

三、立法及司法建言

（一）建議立法機關對《刑法》第253條之一作出修改

筆者支持日前公布的《刑法修正案九（草案）》對第253條之一的修改，將本罪特殊主體改為一般主體，以及對出售和非法提供公民個人信息行為的進一步完善，即：“違反國家規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金?！?/p>

“竊取或者以其他方法非法獲取公民個人信息，情節嚴重的，依照前款的規定處罰?！?/p>

“未經公民本人同意，向他人出售或者非法提供其個人信息，情節嚴重的，處二年以下有期徒刑或者拘役，并處或者單處罰金?！?/p>

“單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰?！盵8]

（二）建議“兩高”對辦理侵犯公民個人信息犯罪作出相關司法解釋

1.對“公民個人信息”的概念和范圍作出釋義。建議：“公民個人信息是指能夠識別公民個人身份和涉及公民個人隱私的信息，包括姓名、性別、年齡、住址、身份證號碼、電話號碼等密切與公民個人身份相關的信息和就診信息、銀行信息、消費記錄、定位信息、賓館入住、航班旅程等涉及個人秘密或隱私的信息?！?/p>

2.對“情節嚴重”的認定標準作出規定。建議：“具有下列情形之一的，認定為《刑法》第253條之一規定的‘情節嚴重：（1）供他人或本人用于進行非法活動的;（2）出售、非法提供、非法獲取公民個人信息1000條以上[9];（3）多次出售、非法提供、非法獲取公民個人信息或曾因出售、非法提供、非法獲取公民個人信息受過二次行政處罰又實施的;（4）違法所得較大的;（5）造成嚴重后果的[10];（6）非法獲取公民個人信息手段惡劣的[11]。

具有下列情形之一的，可視為符合《刑法》第253條之一規定的‘情節嚴重：（1）出售、非法提供、非法獲取公民個人信息，雖未達到前款數量、金額要求，但數量、金額已分別達到上述標準80%以上的;（2）出售、非法提供、非法獲取公民個人信息，具有下列情節之一的，信息數量、違法所得金額超過前款規定的50%以上的：A.曾因出售、非法提供、非法獲取公民個人信息受過刑事處罰的;B.一年內曾因出售、非法提供、非法獲取公民個人信息受過行政處罰的?！?/p>

注釋：

[1]數據顯示，2009-2013年間，C區人民檢察院共辦理此類非法經營案件33件108人。

[2]參見黃太云：《刑法修正案（七）解讀》，載《人民檢察》2009年第6期。

[3]參見王昭武、肖凱：《侵犯公民個人信息犯罪認定中的若干問題》，載《法學》2009年第12期。

[4]參見劉憲權、方晉華：《個人信息權刑法保護的立法及完善》，載《華東政法大學學報》2009年第3期。

[5]參見齊愛民著：《中國信息立法研究》，武漢大學出版社2009年版，第76頁-77頁。

[6]參閱王昭武、肖凱：《侵犯公民個人信息犯罪認定中的若干問題》，載《法學》2009年第12期。

[7]參閱劉憲權、方晉曄：《個人信息權刑法保護的立法及完善》，載《華東政法大學學報》2009年第3期。

[8]《2014刑法修正案九最新消息：刑法修正案九草案》，引自找法網：http：//china.findlaw.cn/bianhu/xingshidongtai/1160492_6.html#p6，訪問日期2014年10月18日。

[9]參照2011年9月1日施行的《最高人民法院、最高人民檢察院關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》第1條對非法獲取計算機信息系統數據罪或者非法控制計算機信息系統罪的“情節嚴重”的解釋，結合本罪的司法實踐，筆者認為，限定在1000條以上較為合適。

[10]可以從以下幾個方面考量：一是嚴重影響他人的工作、生活、生產、經營的;二是造成較大經濟損失的;三是引起他人精神失常、自殺的。對于經濟損失，結合前述關于非法獲取計算機信息系統數據罪的解釋及司法實踐，可以考慮以人民幣10000元為起點。

[11]可以從以下幾個方面考量：一是以暴力、脅迫等方式非法獲取的;二是通過行賄的方式非法獲取的;三是通過非法侵入計算機信息系統的手段非法獲取的。