侵犯公民个人信息犯罪司法认定难题的研究

侵犯公民个人信息犯罪司法认定难题的研究 硕 士 学 位 论 文 侵犯公民个人信息犯罪司法认定难题研究 Research on judicial determination problems of Infringement of citizens' personal information crimes 作 者 姓 名: 王艳玲 指 导 教 师: 陈世伟 副教授 西 南 政 法 大 学 Southwest University of Political Science and Law 内容摘要 公民个人信息是反映一个人姓名、性别、年龄、身份、职业等一切与特定个人存在 )》新增了侵犯公民个人信息犯罪， 紧密关联的信息。《中华人民共和国刑法修正案(七 将侵犯个人信息的行为纳入刑法规制，但由于相关司法解释尚未出台，司法实践中对该 罪的认定遇到了许多难题。本文试从司法实践的角度对认定该罪可能遇到的难题进行了 一些研究。全文共约 25000 字，除引言外共分为五个部分: 第一部分是侵犯公民个人信息犯罪概述。该部分在对侵犯公民个人信息犯罪的立法 背景作了简要叙述后，讨论了该罪的犯罪客体，分别指出了侵犯公民个人信息犯罪所侵 犯的主要客体和次要客体，同时指出公民个人信息被侵害后所涉及到的其他权利。 第二部分是侵犯公民个人信息犯罪的对象——公民个人信息的界定。该部分首先简 要介绍了国外对公民个人信息的界定，讨论了国内理论界存在的争议，明确定义了公民 个人信息的涵义及其范围，指出死者个人信息应受到刑法保护，并将关于胎儿的个人信 息直接作为胎儿母亲的个人信息依法进行保护。 第三部分是侵犯公民个人信息犯罪的主体认定。该部分明确了出售、非法提供以及 非法获取公民个人信息罪的自然人和单位犯罪主体，指出出售、非法提供公民个人信息 罪的自然人犯罪主体是包括国家机关在内的六种单位以及其他与国家机关等六种单位 性质相同、具有公共职责或提供公共服务功能的单位或机构的工作人员，其单位犯罪主 体则是能够合法收集、掌控公民个人信息的一切单位;非法获取公民个人信息罪的自然 人犯罪主体是一切达到刑事责任年龄、具有刑事责任能力的自然人，同时，任何单位均 可构成本罪的犯罪主体。 第四部分是出售、非法提供、非法获取公民个人信息罪的行为方式解读。该部分对 出售、非法提供、非法获取方式的具体内涵进行了认定，指出非法泄露、非法公然发布 公民个人信息的行为属于非法提供，以其他方法非法获取的方式包括以敲诈勒索、抢劫、 抢夺、骗取的方式获取，同时指出收买、收受行为也属于非法获取。该部分还对行为人 在出售、非法提供、非法获取公民个人信息过程中采取某些方式而触犯其他犯罪的情况 进行了说明。 第五部分是司法实践中关于“情节严重”的认定。刑法作为最后的保障法，只处罚 1 违法性与有责性达到值得科处刑罚的程度的行为，该部分对侵犯公民个人信息犯罪情节 严重的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 进行了界定，指出认定本罪应综合考虑的因素是:出售、非法提供、非法获 取公民个人信息后所造成的后果、侵犯信息的数量、侵犯次数、行为手段等。 关键词:公民个人信息;个人信息权;犯罪主体;行为方式;情节严重 2 Abstract The personal information of citizens is a reflection of a name, gender, age, identity, occupation and all information which closely related to a specific individual. “Amendments to the Criminal Law of People's Republic of China (7)”provides for criminal infringement of citizens' personal information, making the invasion of personal information into Criminal Law regulation. But because judicial interpretation has not yet been issued, there are many problems in the judicial practice. The paper, just from the point of view of the judicial practice, tries to make some research on problems that encountered in the process of recognition of the crime. Besides the introduction, the text consists of five parts: The first part is the overview of infringement of citizens' personal information crimes. After the brief description of legislative background of the infringement of citizens 'personal information crime, this part discusses the object of the crime, points that the primary and secondary object of the infringement of citizens' personal information crimes .This part also comes out of the right that behind the right of citizens 'personal information, other rights that relates to the personal information of citizens which had been infringed. The second part is the object of the crime - the definition of citizens' personal information. This part firstly makes a brief introduction to the definition of personal information of citizens in abroad. Then makes a discussion of the controversy of the personal information in domestic theorists. This part defined the connotation of the citizens 'personal information, and pointed that the deceased personal information should be protected.，and regarded the fetus personal information as the mother’s to be protected. The third part is the identification of the subject of the crime. This part makes a identification of natural persons subject and units subject of illegally selling and providing and getting personal information of citizens, pointed out that the natural persons subject of illegally selling and providing personal information of citizens are the staff of state agencies and financial, telecommunications, transportation, education, health care and other units which have the same nature of the six units or agency ,with public duties or the provision of public services. The unit subjects of the crime are all units which can collect and control the personal information of citizens legally. The natural person’s subject of illegally obtaining personal information of citizens is any people that reach the criminal age of responsibility, has criminal responsibility, and any units can be become the subject of the crime. 1 The fourth part is the interpretation of the crime-ways of illegally selling, providing and getting the citizens personal information. The part makes a identification of the way of illegally selling and providing and obtaining personal information of citizens, pointed out that illegally discoursing and illegally publishing the personal information of citizens belonging to the illegally providing, other illegal ways to obtain the personal information of citizens including extortion, robbery, snatch, fraudulently obtain the personal information of citizens, and also pointed out that bribery, acceptance is also illegally obtain. This part also makes an explanation of the problem which would be encountered in the process of illegally selling and providing and obtaining personal information. The fifth part is the identification of the serious circumstances in the judicial practice. As a last security law, criminal law only makes punishment of the behavior which are worthy of the penalty, this part defines the standards of serious circumstances of infringement of citizens' personal information, that the serious circumstances should be considered the factors that the consequence of selling, providing and getting the citizens' personal information, the amount of information, the number of violations of information, ,behavior means and so on. Key words: The personal information of citizens; The rights of personal information; Subject of the crime; Behavior; Serious circumstances 2 目 录 引言 ........................................................................................................................................ 1 一、侵犯公民个人信息犯罪概述............................................................................................ 3 二、侵犯公民个人信息犯罪的对象——公民个人信息的界定 ........................................... 5 (一)公民个人信息的概述 ................................................................................................ 5 (二)死者个人信息问题 .................................................................................................... 7 (三)对第二款中“上述信息”的范围的理解 ................................................................ 9 三、侵犯公民个人信息犯罪的主体认定.............................................................................. 10 (一)出售、非法提供公民个人信息罪的犯罪主体 ...................................................... 11 (二)非法获取公民个人信息罪的犯罪主体 .................................................................. 15 四、出售、非法提供、非法获取公民个人信息罪的行为方式解读 ................................. 16 (一)出售、非法提供公民个人信息罪的行为方式 ...................................................... 16 (二)非法获取公民个人信息罪的行为方式 .................................................................. 19 五、司法实践中关于“情节严重”的认定............................................................................ 23 (一)出售、非法提供或非法获取公民个人信息后， 公民个人信息被利用实施违法犯罪活动的 .......................................................... 24 (二)出售、非法提供或非法获取公民个人信息后， 获利较大或者造成被害人重大财产损失的 .......................................................... 25 (三)严重危及公民正常生活或者造成社会恶劣影响的 .............................................. 26 (四)出售、非法提供或非法获取公民个人信息数量较大、次数较多的 .................. 26 (五)行为手段的恶劣程度 .............................................................................................. 28 结 语 ...................................................................................................................................... 29 致 谢 ...................................................................................................................................... 30 参考文献 .................................................................................................................................. 31 1 侵犯公民个人信息犯罪司法认定难题研究 引 言 近年来，由于我国经济的飞速发展、社会科技化信息化以及互联网技术的大范围普 及，公民个人信息在日常生活中的使用涉及方方面面，个人信息泄露情况日益泛滥，尤 其在互联网领域，信息安全问题更是日益突出。公民的身份证号码、银行卡账号、家庭 成员、家庭住址详细情况、个人手机通话记录、短信内容等隐私被他人大量掌握并且贩 卖，侵犯公民个人信息的手段形形色色、日益猖獗。公民个人信息安全不仅关系到公民 人身权利、财产权利的安全，还会影响社会安定，扰乱国家信息管理秩序，因此，公民 个人信息理应受到法律的保护。在立法上，我国对公民个人信息保护的相关规定散见于 各种法律法规之中，如《中华人民共和国身份证法》(以下简称《身份证法》)、《中 华人民共和国护照法》(以下简称《护照法》)、《中华人民共和国传染病防治法》(以 下简称《传染病防治法》)等法律法规都对公民个人信息的保护作了相关规定。1然而， 对于这些机关及其工作人员违反规定向他人提供或者泄露公民个人信息的行为如何处 置，我国法律只是简单的规定了对相关人员“依法给予行政处分;构成犯罪的，依法追 究刑事责任”。2具体应该如何定罪处罚并如何追究刑事责任、怎样才能实现对日益出现 的形形色色的侵犯公民个人信息行为的有效预防和有力打击，我国法律并没有作出明确 规定。 正是基于此，2009 年 2 月 28 日，第十一届全国人民代表大会常务委员会第七次会 议表决通过了《中华人民共和国刑法修正案(七)》，本修正案第 7 条明确规定，在《刑 法》第 253 条后增加一条，作为第 253 条之一，即国家机关或者金融、电信、交通、教 育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中 获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或 者拘役，并处或者单处罚金。 1 我国《身份证法》第 6 条规定，公安机关及其人民警察对在制作、发放、查验、扣押居民身份证过程所知悉的公民 个人信息应当予以保密。《护照法》第 12 条规定,护照签发机关及其工作人员对在制作、签发护照过程中而知悉的 公民个人信息应当予以保密。《传染病防治法》第 68 条、第 69 条规定，医疗机构、疾病预防控制机构不得将涉及 传染病病人、病原携带者、疑似传染病病人以及密切接触者的个人隐私的有关信息和资料故意泄露。 2 参见我国《护照法》第 20 条、《身份证法》第 19 条。另，根据《传染病防治法》第 68 条、第 69 条的规定，疾病预 防控制机构、医疗机构故意泄露传染病病人、病原携带者、疑似传染病病人、密切接触者涉及个人隐私的有关信息、 资料的，由县级以上人民政府卫生行政部门责令限期改正，通报批评，给予警告;对负有责任的主管人员和其他直 接责任人员，依法给予降级、撤职、开除的处分，并可以依法吊销有关责任人员的执业证书;构成犯罪的，依法追 究刑事责任。 1 西南政法大学硕士学位论文 窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任 人员，依照各该款的规定处罚。 该修正案通过后不久，《最高人民法院、最高人民检察院关于执行<中华人民共和国 刑法>确定罪名的补充规定(四)》规定，将刑法修正案(七)第 7 条第 1 款规定为出售、 非法提供公民个人信息罪，第 2 款规定为非法获取公民个人信息罪。本文将这两个罪统 称为“侵犯公民个人信息犯罪”。 《中华人民共和国刑法修正案(七)》的此次规定，将严重侵犯公民个人信息的行为 纳入到刑法规制，衔接了我国其他部门法律、法规中关于公民个人信息法律保护的规定， 使公民个人信息的法律保护有了刑法依据。这不仅体现了法律在保护公民个人信息方面 的进步，更体现了刑法对国家尊重和保障人权的宪法原则的遵守与贯彻。然而，尽管此 次修正案将侵犯公民个人信息的严重行为纳入犯罪，但是，对于该条规定在司法实践中 的具体运用和解读并没有一个统一的标准，例如，什么是公民个人信息、侵犯公民个人 信息犯罪的行为主体是什么、具体的行为方式表现在哪些方面、情节严重的具体内涵等 问题，这造成了司法实践的尴尬困境。本文立足于立法初衷，在对侵犯公民个人信息犯 罪进行简要概括后，对这两个罪名在司法适用过程中可能出现的问题作深入的理论解 析，以期在理论和司法实践中能够确定统一并且清晰的适用标准。 2 侵犯公民个人信息犯罪司法认定难题研究 一、侵犯公民个人信息犯罪概述 侵犯公民个人信息犯罪(以下简称本罪或该罪)，简言之，即是非法利用公民个人 信息从而侵犯公民个人的权利和利益，给公民及其社会带来危害且应受刑罚惩罚的行 为。该罪是伴随着经济社会的发展而显现出来的社会法律问题，尤其是信息社会的到来， 危害公民个人信息安全问题日益突出。在信息时代里，个人信息不再仅仅是个人的社会 识别标志，更被赋予了产生经济利益的功能。例如，公民个人在办理购房购车手续、住 院登记、公证证明手续后，大量相关信息被相关机构或其工作人员出售给房产置业公司、 家装公司、汽车保险公司等单位;又如社会上出现的出售电信电话用户信息、股民资料 信息、重病患者信息等行为;学校、考试中心等机构将学生、应试人员信息出售给各大 培训辅导机构等;再如，一些犯罪团伙通过获得的公民身份信息办理假身份证冒领他人 申办的信用卡挂号信，并购买他人的个人征信记录等资料，从而激活信用卡、刷卡套现 牟利;医院太平间工作人员将死者家属的家庭住址、联系方式出售给丧葬公司、乐队、 花店和墓地。出售者通过出售公民个人信息直接获得经济利益，购买者通过购买获得公 民个人信息并加以利用从而实现巨大经济利益或其他利益。这些事例表明公民个人信息 成为了能够进入商业领域并能带来巨大经济利益的宝贵资源，成为了能够进行交易的商 品，公民个人信息演变成了一种新型的权益，即个人信息权。 个人信息权是侵犯公民个人信息罪的主要客体。所谓个人信息权，即是个人信息所 有者对其个人信息进行控制、支配和排除他人侵害的权利，这种权利体现为一般人格利 益，是一种新型的人格权，这种权利具体包括以下内容: 1(信息决定权，即本人决定其个人信息能否被他人收集、利用和处理以及决定其 个人信息以什么样的方式、基于什么目的、在什么范围内进行收集、利用与处理的权利， 这种权利表现为本人对其个人信息的直接控制与支配权。 2(信息保密权，即本人对其个人信息进行保密或请求信息控制者对其个人信息进 行保密的权利。 3(信息查询权，即本人对其个人信息的处理情况等能够进行查询的权利。 4(信息更正权，即本人对涉及其个人信息不准确、不全面的情况要求信息控制者 进行更正与补充的权利。 3 西南政法大学硕士学位论文 5(信息封锁权，即在个人信息存有争议时，本人得以请求将个人信息封锁起来以 限制继续处理和使用个人信息的权利。 6(信息删除权，即当法定或约定的事由出现时，本人请求删除其个人信息的权利。 公民有权依据自己的意愿对其个人信息自由行使控制权、支配权和排除侵害权，在 法律允许的范围内实现并保护自己的利益。公民个人信息权在现实生活中表现为公民的 个人信息安全，侵犯公民个人信息权关系到公民的隐私及其生活安宁，甚至关系到公民 的人身安全和财产安全。例如，行为人利用其获得的公民住所信息对公民个人进行跟踪、 监听、偷窥从而侵犯公民的隐私权;利用公民个人信息侵犯公民的姓名权、名誉权、肖 像权从而扰乱公民正常生活安宁，给公众带来巨大困扰;利用非法获取的公民个人信息 对该公民进行跟踪对其实施殴打、杀害、绑架等行为从而侵害公民的生命健康权;利用 获得的公民个人信息进行抢劫、盗窃、诈骗、敲诈勒索从而获取财物侵犯公民的财产安 全。 本罪同时还侵犯了国家对公民个人信息的社会管理秩序。我国目前涉及公民个人信 息保护的规定散见于其他法律法规，根据这些法律法规的规定，国家相关机构或有关组 织对其收集到的公民个人信息的安全负有保障义务，有责任设置严格的保护措施保障公 民个人信息安全，以预防信息被泄露、窃取，或被他人不当篡改和非法利用。对公民个 人信息进行上述侵犯即是对这些法律法规的违反，是对国家对公民个人信息的管理秩序 的侵犯。同时，由于在现代信息社会日常生活中，大量公民个人信息都不可避免的处于 透明之中，一些犯罪团伙甚至个人通过各种途径收集并掌握了大批量公民个人信息，公 民个人信息的大量泄漏不仅侵害了受害者的个人信息权益，造成了当事人的心理恐慌， 还给周围不特定多数人带来 6 月曝光的深圳市孕产妇个人信 了心理恐慌。例如，2008 年 息光盘事件，该光盘经大量出售后使得多数孕产妇时常受到广告推销电话或短信的骚 扰，骚扰内容涉及月子保姆、婴儿奶粉、百日摄影、胎毛毛笔、产妇健身等;3同年 12 月发生的西安电子科技大学学生信用卡事件，学校为了回馈支持学校建设的银行，在学 生毫不知情、未经学生本人同意的情况下配合中国工商银行为学生集体办理了信用卡， 这使得学生对学校的 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 产生了怀疑，并担心自己的档案信息等个人信息会被学校 随意透露给外界。4这些事件不仅严重影响了公民的正常生活，还严重扰乱了社会公共秩 3 该资料来源于《南方都市报》，2008 年 6 月 10 日。 4 该资料来源于新华网，2008 年 12 月 20 日。 4 侵犯公民个人信息犯罪司法认定难题研究 序、社会管理秩序。因此，国家对公民个人信息的社会管理秩序即是本罪的次要客体。 二、侵犯公民个人信息犯罪的对象——公民个人信息的界定 我国有关公民个人信息保护的相关规定散见于其他法律法规中，对公民个人信息的 概念并没有一个明确的定义。《刑法修正案(七)》关于侵犯公民个人信息犯罪的规定也 并未明确什么是公民个人信息，这给司法实践造成了困境。因此，对公民个人信息的准 确界定，直接关系到罪与非罪的界限，确定是否构成犯罪才能进一步明确是否予以刑事 处罚。 (一)公民个人信息的概述 在国外，很多国家及其他地区都较早颁布了有关公民个人信息保护的专门法律， 对个人信息的称谓也各有差异。例如，德国对公民个人信息的保护规定在 1977 年制定 的《个人资料保护法》中，该法第 3 条第 1 项直接规定:“个人资料是指可以直接或间 接识别自然人的任何资料”;5英国则使用了“个人数据”的概念，其 1984 年制定的《数 据保护法》中规定，“个人数据”为“由有关一个活着的人的信息组成的数据信息，对 于这个人，可以通过该信息识别出来，该信息包括对有关该个人的评价”;6日本于 2005 年 4 月 1 日起实施的《个人信息保护法》第 2 条规定:“个人信息系指与生存着的个人 有关的信息中因包含有姓名、出生年月、以及其他内容可以识别出特定个人的部分(包 含可以较容易地与其他信息相比照并可以借此识别出特定个人的信息)”;7韩国 1994 年 颁布的《公共机关个人信息保护法》第 2 条第 1 款规定:“个人信息系指与生存着的个 人有关的信息中，可以利用该信息中所包含的姓名、居民登记号码等事项识别该个人的 信息(包含虽然仅仅利用该信息并不能够识别出特定个人，但可以较为容易地将其同其 他信息相结合并识别出特定个人的信息)”;8《1995 年个人数据保护指南(欧盟)》规定: “个人数据是指任何与已经确认的或可以确认的自然人(数据主体)有关的信息;可以 确认的自然人是指直接或间接地参考他的识别号码或他特有的身体、生理、精神、经济、 5 周汉华主编:《域外个人数据保护法汇编》，北京:法律出版社 2006 年第 1 版，第 350 页。 6 朱庆华、杨坚争主编:《信息法教程》，北京:高等教育出版社 2001 年版，第 54 页。 7 周汉华主编:《域外个人数据保护法汇编》，北京:法律出版社 2006 年第 1 版，第 366 页。 8 周汉华主编:《域外个人数据保护法汇编》，北京:法律出版社 2006 年第 1 版，第 389 页。 5 西南政法大学硕士学位论文 9 文化和社会识别等众多因素中的一个或几个可以对其进行确认的人”; 我国台湾地区于 1995 年 8 月 11 日通过的《电脑处理个人资料保护法》第 3 条规定:“ 个人资料:指自然 人之姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健 康、病历、财务情况、社会活动及其他足资识别该个人之资料”;10美国、加拿大等国家 对公民个人信息的保护以民法上的隐私权为基础，主要是保护个人隐私，分别制定了专 门的隐私权法。 纵观国外及其他地区的法律，对公民个人信息的定义可归结为三种类型定义:“1. 综合型定义。个人信息是包括人的内心、身体、身份、地位以及其他关于个人的一切事 项之事实、判断、评价等所有信息在内的信息。2.隐私型定义。美国 Parent 教授认为， 个人信息是社会中多数所不愿向外透露的或是个人极敏感而不愿他人知道的信息。3.识 别型定义。指据此能够直接或间接识别出特定自然人身份而又与公共利益没有直接关系 的私有信息。”11综合型定义所界定的公民个人信息是指与个人有关的一切信息，根据这 一概念，综合型定义也可称为关联型定义;隐私型定义则是从个人的主观愿望出发，认 为个人信息是个人所不愿向外界透露的敏感信息;识别型定义是主流学说，该定义既将 个人信息与特定的公民个人联系起来，又从社会角度和主观意愿出发来界定公民个人信 息的内涵。 我国理论界对公民个人信息的称谓并不像国外那样或称为个人数据，或称为个人资 料，但是，对公民个人信息的内涵也存在着不同的理解，主要表现为以下两种学说: 1(狭义说。该说将公民个人信息定义为与公民人身、人格密切相关的不为公共生 活所知悉的信息。如有学者认为，公民个人信息即是指与公民的人身和人格密切相关、 为公民个人所有并且与公共生活无关、不为公共生活所知悉的信息。12 2(广义说。该说所持的观点是，公民个人信息是包括以任何形式存在的、与公民 个人存在关联的所有信息。如赵秉志教授就认为，公民个人信息就是与公民个人存在关 联且可以识别特定个人并以任何形式存在的信息。13 另有学者采取了列举的方式定义公民个人信息，即个人信息是包括姓名、性别、年 龄、职业、职务、工作经历、学历、专业资格、婚姻状况、家庭住址、联系方式、信用 9 周汉华主编:《域外个人数据保护法汇编》，北京:法律出版社 2006 年第 1 版，第 44 页 1周汉华主编:《域外个人数据保护法汇编》，北京:法律出版社 2006 年第 1 版，第 398 页。 0 1郭鲲:“专家谈个人信息保护法”，载《信息导刊》，2005 年第 16 期。 1 1该观点由杨兴培教授于 2009 年 7 月 13 日在浦东新区检察院案例研讨会上所主张。 2 1赵秉志、王东阳:“信息时代更应强化人权保障”，载《法制日报》2009 年 3 月 4 日出版。 3 6 侵犯公民个人信息犯罪司法认定难题研究 卡账号、网上登录账号及密码等能够识别公民个人身份的信息;14我国有关专家起草的 《中华人民共和国个人信息保护法》(专家建议稿)中规定，“个人信息是指个人姓名、 住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可 以识别特定的个人的信息”。15 从一定意义上讲，狭义说关于公民个人信息的定义更接近于公民个人隐私这一概 念。个人隐私，一般是指“一种与公共利益和群体利益无关，且当事人不愿他人知道或 者他人不便知道的信息，当事人不愿他人干涉或者他人不便干涉的个人私事以及当事人 不愿他人侵入或者他人不便侵入的个人领域”。16将刑法保护的公民个人信息限定为公民 个人隐私，不免有打击不力、保护不全之嫌，现实生活中，公民因办理购房购车登记、 商场超市会员卡登记而填写个人身份、家庭住址、单位地址等信息的情况普遍存在，这 些信息并非与公民隐私密切相关。若按照狭义说，对因此而获得公民电话号码、家庭住 址、单位地址信息并将这些信息大量出售牟取经济利益的行为，又该如何追究行为人的 法律责任呢, 实际上，个人信息与个人隐私是两个不同的概念，其内涵与外延并不完全一致，二 者的范围是一种交集的关系，即个人隐私中的一部分内容是以个人信息为形式，同时个 人信息中有一部分是属于个人隐私的范畴。许多个人信息并不涉及个人隐私，比如政府 部门、司法机关等公开的公民个人信息则不属于公民个人隐私信息，但这些个人信息仍 然应该受到法律的保护。因此，个人信息的范围要远远大于个人隐私的范畴。在信息时 代里，公民个人信息是一个外延十分广泛的概念，采用列举的方式界定公民个人信息也 不能囊括所有与公民个人存在关联的信息，不利于全面保护公民个人信息安全。 根据广义说界定公民个人信息，其外延十分广泛，几乎有关公民的一切个人信息或 者所有个人情况都可以被认定为个人信息，这种定义必然也包含了狭义说以及采取列举 方式对公民个人信息界定的范围。因此，广义说更合理，此种界定有利于司法机关在最 大、最广、最深程度上打击侵犯公民个人信息的犯罪行为，从而全面保护公民个人信息 安全及其公民个人权益，与立法目的是一致的，符合立法本意。 (二)死者个人信息问题 1黄太云:“刑法修正案(七)解读”，载《人民检察》，2009 年第 6 期。 4 1周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》，法律出版社 2006 年版，第 3 页。 5 1王利明、杨立新:《侵权行为法》，北京:法律出版社，1996 年第 1 版，第 181 页。 6 7 西南政法大学硕士学位论文 立法上，有将死者个人信息排除在法律保护范围内的法律规定，如英国的《数据保 护法》规定，个人数据是由有关一个生存着的人的信息组成的数据情况;17我国台湾 1995 年的《电脑处理个人资料保护法施行细则》也明确规定，个人资料是指关于有生命的自 然人的资料，不包括已死亡的人;韩国、日本的相关法律也将个人信息限定为与生存着 的个人有关的信息。18与之相反的立法例则规定死者个人信息应受到法律的保护，如欧 洲理事会在对《理事会资料保护条例》的修改建议稿中就规定，个人资料是指有关可以 识别自然人(不论是活着的人还是死去的人)的任何信息，并且该信息包括了任何种类 和任何形式的可以识别一个人的信息。19 笔者以为，尽管在理论界和司法实践中都普遍承认死者因死亡而丧失主体资格，但 对死者的权益保护是仍然存在的，如我国相关司法解释就明确规定了保护死者的名誉权 以及其他人格权。20公民个人信息权是一种新型的人格权，在公民死亡后，其个人信息 权作为人格权的内容也应继续受到法律的保护。死者遗留的大量个人信息不但与死者本 身相关，同时还涉及到与死者有关的他人，对这些信息的任意侵犯即是对死者个人信息 权的侵犯，不仅如此，侵犯死者个人信息的行为还会扰乱正常的社会秩序以及破坏社会 善良风俗，如前面提到的医院太平间工作人员利用其掌握的大量死者信息及其死者遗留 的家属信息牟取经济利益;又如行为人恶意披露、出售死者的隐私信息以牟取财物或其 他利益。因此，对于死者的个人信息安全问题，立法不应忽视，死者的个人信息安全与 生存着的个人信息安全同等重要，对出售、非法提供、非法获取死者个人信息情节严重 的行为，应依法追究行为人侵犯公民个人信息犯罪的刑事责任。 还需要注意的一个问题是有关胎儿的个人信息(如有关胎儿发育状况、预产期等诊 断信息)是否以及如何受法律保护的问题。笔者认为，由于有关胎儿是否为独立的个体 这个问题本身还存在争议，在立法上，我国目前对胎儿利益的保护规定也只限于《中华 人民共和国继承法》中对胎儿保留遗产继承份额的规定，因此，在母亲怀孕期间所做的 一切有关胎儿发育状况、健康状况、预产期等孕期诊断信息，应直接视为母亲的个人信 1朱庆华、杨坚争主编:《信息法教程》，北京:高等教育出版社，2001 年版，第 54 页。 7 1周汉华主编《域外个人数据保护法汇编》，北京:法律出版社，2006 年第 1 版，第 389 页、第 366 页。 8 1齐爱民:“论个人信息的法律保护”，载《苏州大学学报》，2005 年第 2 期。 9 2例如，1993 年 8 月 7 日发布的最高人民法院《关于审理名誉权案件若干问题的解答》中就明确了死者的名誉权应受 0 到法律的保护，对侵犯死者名誉权的行为，死者近亲属有权向人民法院起诉。在 2001 年 3 月 10 日发布的最高人民 法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》中，对死者权利的保护被扩大延伸至对死者其他人格 权的保护，如死者的姓名、肖像、遗体、隐私等都应受到法律的保护。 8 侵犯公民个人信息犯罪司法认定难题研究 息加以保护。而在胎儿出生长大成人后，这些信息则可作为其本人的个人信息进行法律 保护。 综上，笔者认为，应从广义说的角度来定义公民个人信息，即公民个人信息是指以 任何形式客观存在的、与公民个人(无论生存者或是死者)存在关联并据此能够识别特 定个人的信息，总体上包括四类:(1)与公民个人身份紧密相关的信息，包括姓名、 性别、年龄、身份证号码、出生日期、职务、职业、婚姻家庭状况等信息;(2)与公民 个人财产状况相关的信息，如房产信息、银行信贷记录、信用卡号码、银行卡账号、商 业经济活动等信息;(3)涉及公民个人隐私方面的信息。如既往病史、医院诊断信息、 恋爱史、家庭背景、联系方式以及其他公民不愿公开的信息;(4)反映公民个人活动轨 迹情况的信息。如家庭住址、工作单位地址、上下班时间、路线以及出差、旅游情况等 信息。 (三)对第二款中“上述信息”的范围的理解 《刑法修正案(七)》第 7 条第 2 款是关于非法获取公民个人信息罪的规定，对于 该款中“上述信息”的范围的理解，理论界存在以下两种不同的解释方法。 1(文理解释。所谓文理解释，即是根据刑法用语的文义以及通常的使用方式来阐 释刑法意义的解释方法，其主要是根据字词的含义、句子结构、语法顺序、表达方式、 标点符号以及标题等进行解释。21根据这种解释方法，对此款中“上述信息”应理解为 上文提到的信息，即第一款中所列单位在履行职责或者提供服务的过程中收集、保存、 管理的公民个人信息。”22 2(目的解释。目的解释是论理解释的一种方法，所谓目的解释，就是“根据 刑法 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 的目的，阐明刑法条文真实含义的解释方法”。23按照目的解释方法，从保 护个人权益的立法目的出发，此款中的“上述信息”应理解为“任何符合条件的公 民个人信息”。24 文理解释严格按照法律条文字面意思进行解释，符合条文结构与文义，但是将“上 2张明楷:《刑法学》(第二版)，北京:法律出版社，2004 年版，第 125 页。 1 2参见孙平、刘靖晟:“刑法修正案(七)关于侵犯个人信息罪的理解与适用问题探讨”，载赵秉志、陈忠林、齐文远 2 主编:《新中国刑法 60 年巡礼——下卷:聚焦刑法修正案(七)》，中国人民公安大学出版社，2009 年版。 2张明楷:《刑法学》(第二版)，北京:法律出版社，2004 年版，第 130 页。 3 2赵秉志:《刑法修正案最新理解适用 》，北京:中国法制出版社，2009 年版，第 5 页。 4 9 西南政法大学硕士学位论文 述信息”仅理解为第一款所列单位在履行职责或者提供服务过程中获得的公民个人信 息，无疑会留下处罚上的真空。例如，行为人利用高科技手段侵入公民自己的电脑直接 获取个人信息的行为，从电脑黑客或私人侦探手中通过收买而获取公民个人信息，或者 行为人以窃取等其他方法非法获取的信息是机关或单位在履行职务过程中“不法”获取 的公民个人信息，并且，在实际案例中，由于信息网络的发达，行为人获取公民个人信 息的手段多种多样，信息来源也复杂多样，所获取的信息的源头根本无法具体查清归属 于哪个单位或机构控制管理。因此，对于这些情况，若按照文理解释的方法，便无法根 据刑法追究行为人的刑事责任，这显然是不符合立法本意的。 当不同的解释方法得出多种结论或不能得出妥当结论时，最终应选择目的解释的方 法，这是法律解释论遵循的总体原则。刑法分则是规定具体犯罪与刑罚的条文，每个条 文规定的具体罪名都有其特定的法益保护对象和保护目的，因此，对条文的解释应当以 正确理解刑法规范的目的为前提。《刑法修正案(七)》第 7 条设定《刑法》第 253 条之 一，其目的就是为了有力规制我国公民个人信息在进入信息社会以来被他人肆意泄露或 非法滥用等侵犯公民个人信息的行为，以求达到保护公民个人合法权益、维护社会秩序 的目的。因此，笔者认为，对第二款中“上述信息”的理解应遵循此目的，将“上述信 息”解释为“任何符合条件的公民个人信息”，而不是仅仅理解为“国家机关、金融、 电信、交通、教育、医疗等单位在履行职责或者提供服务过程中所获得的公民个人信息”。 解释为“任何符合条件的公民个人信息”才能达到有效地遏制非法获取公民个人信息行 为的目的，才能有力地打击非法获取公民个人信息犯罪，有效贯彻刑法的立法原意，从 而避免采取文义解释所造成的处罚上的真空。 司法实践中，还需要注意法条竞合的问题。例如，行为人窃取、收买或者非法提供 的公民个人信息是他人信用卡信息资料的，则可能同时构成侵犯公民个人信息犯罪和刑 法第 177 条之一第 2 款规定的窃取、收买、非法提供信用卡信息资料罪，又如，当侵犯 的公民个人信息是经一定程序被认定为国家秘密的公民个人信息时，则可能同时成立侵 犯公民个人信息犯罪和为境外窃取、刺探、收买、非法提供国家秘密、情报罪或者非法 获取国家秘密罪，此时，应按照特别法优于普通法的原则进行处理。 三、侵犯公民个人信息犯罪的主体认定 10 侵犯公民个人信息犯罪司法认定难题研究 (一)出售、非法提供公民个人信息罪的犯罪主体 根据《刑法修正案(七)》第 7 条第 1 款和第 3 款的规定，出售、非法提供公民个 人信息罪(以下简称本罪)的犯罪主体包括两类主体，一是自然人犯罪主体，即国家机 关、金融、电信、交通、教育、医疗等单位的工作人员。二是单位犯罪主体。这里的“国 家机关”，主要是指国家权力机关、审判机关、检察机关、军队等行使国家权力或管理 国家事务的机关以及其他依照法律授权管理国家事务的企事业单位组织。“金融”，是指 与信用货币的发行、保管、兑换、结算、融通等经济活动有关的一切机构或金融部门， 主要包括各大银行、信托投资公司、保险公司、证券公司、投资基金公司、财务公司、 金融资产管理公司、金融租赁公司、邮政储蓄机构、信用合作社以及证券、金银、外汇 交易所等。“电信”，是指利用电子技术在不同地点之间传递信息的电信部门和电信营 业机构，包括中国电信、中国移动、中国联通、中国网通、中国铁通等。“交通”，是 指从事旅客和货物运输及语言和图文传递的行业，包括运输和邮电两个方面。“教育”， 是指各级各类的学校或辅导培训机构，包括民办和公办的教育机构、青少年活动中心、 图书馆、阅览室等承担教育职能的机构。“医疗”，是指依据《中华人民共和国医疗机 构管理条例》和《中华人民共和国医疗机构管理条例实施细则》的规定，经登记取得《中 华人民共和国医疗机构执业许可证》的机构，如各级各类医院、疗养院、护理院、妇幼 保健院、临床检验中心、急救站等诊疗机构。 理论界对于该规定中的“等单位”存在不同的理解，对于这些单位中的“工作人员” 的范围也存在不同理解，这就决定了对本罪自然人犯罪主体的范围的理解存在着争议。 下面将对这些问题进行讨论。 1.对“国家机关或者金融、电信、交通、教育、医疗等单位的工作人 员”中“等单位”的不同理解 一种观点认为，“等单位”中的“等”应理解为“等内”，即出售、非法提供公民 个人信息罪的自然人犯罪主体应当限定为国家机关工作人员以及特定单位的工作人员。 2理由是:这里的“等单位”只是一种用语习惯，在没有相关司法解释作出具体规定前， 5 2参见吴盛:“公民个人信息的刑法保护宜更为周全——对《刑法修正案(七)(草案)》第六条的完善建议”，载《检 5 察日报》，第 1 版，2008 年 9 月 15 日。 11 西南政法大学硕士学位论文 应坚持罪刑法定原则以及刑法的谦抑性，严格依据法条规定，对本款规定只能作字面上 的解释。立法之所以将上述六种单位列举出来，是因为上述六种单位是具有公共职责或 提供公共服务功能的单位，其工作人员能够利用职务便利条件掌握大量公民个人信息， 相比其他单位的工作人员或其他任何人，上述六种单位的工作人员更有条件获取公民个 人信息，他们对这些信息承担着更严格更重要的保密义务，其接触公民个人信息的广度 和深度也超过其他单位的工作人员，因此可能存在更严重的侵犯个人信息的行为，所以 刑法明确予以入罪，若是作扩张解释，本款对自然人单位的限定就失去了意义，也违背 了立法本意。 另一种观点认为，我国刑法条文中常用“等”字来表示不同行为主体列举未穷尽， 其代指的通常是具有一定共性的主体，“等单位”属于“兜底性”文字，立法采取这样 的表述实际上是表明应对犯罪主体作扩张性解释，即这里的“等单位”包括了其他能够 合法行使法律所规定的权力，并且也能够在本单位履行公职或者提供社会公共服务的过 程中掌握大量公民个人信息的服务机构或者公共机构。26 笔者认为，按照第一种观点解释本罪的犯罪主体，其范围过于狭窄，该观点给出的 理由也不够充分。立法本意若仅仅只是为了规制上述六种单位的工作人员出售、非法提 供公民个人信息的行为，则完全没有必要在这六种单位后面加一个“等”字，并且，法 条规定既然加上了这个“等”字，说明这种规定本身存在一定的意义，其立法本意即是 要求在司法实践中根据具体情况对本罪的犯罪主体作扩张性解释。因为，随着市场经济 的快速发展，社会中出现了大量其他公众服务性机构，具有公共职责或提供公共服务功 能的单位不仅仅局限于国家机关、金融、电信、交通、教育、医疗六种单位，例如电力 公司、自来水公司、煤气公司、物业公司、快递公司、房地产销售或房屋中介公司、婚 姻介绍所、律师事务所、会计师事务所、评估机构、拍卖公司、担保公司、投资与理财 公司、人才中介服务机构、宾馆酒店以及各类社会团体、居民委员会等群众自治组织都 属于具有公共职责或提供公共服务功能的单位。这些单位都有可能在履行职责或提供公 共服务过程中收集、储存大量公民个人信息，其工作人员同样可能因职务便利接触到公 民个人信息，并实施出售、非法提供公民个人信息的行为从而造成严重后果。同时，法 律条文本身并不能将现实社会中存在的大量具有公共职责或提供公共服务功能的单位 列举穷尽，为适应这种客观实际情况，严厉打击相关单位工作人员利用职务便利条件大 2参见李心强:“论公民个人信息的刑法保护”，西南政法大学硕士学位论文，2010 年 3 月。 6 12 侵犯公民个人信息犯罪司法认定难题研究 量出售、非法提供公民个人信息的行为，立法才采用了“等单位”的表述方式来规定本 罪的犯罪主体，从而将其他可能出售、非法提供公民个人信息犯罪的主体纳入到刑法规 制中来。第一种观点在解释的时候完全忽略这个“等”字和客观实际，将本罪的自然人 犯罪主体限于上述六种单位的工作人员显然是违背了立法本意，同时，根据此种解释会 不可避免地造成刑法对公民个人信息的保护的不平衡性，不利于在更广的范围内保护公 民个人信息安全。综上，笔者认为，这里的“等单位”应理解为其他具有同国家机关、 金融、电信、交通、教育、医疗六种单位相同性质、拥有一定职责或提供公共服务功能 的单位，因此，本罪的自然人犯罪主体即是以上六种单位和其他具有公共职责或提供公 共服务的单位或机构的工作人员。采取此种解释方法，一方面符合了立法本意，有利于 全面追究出售、非法提供公民个人信息的行为而不至于造成定罪处罚上的漏洞，另一方 面采取此种解释不存在违背“罪刑法定原则”的情形。 2(关于“国家机关或者金融、电信、交通、教育、医疗等单位的工作 人员”中“工作人员”的范围的不同理解 有观点认为，这里的“工作人员”应限于“有权人员”，即按照机关或单位的相关 规定或工作安排，有权对本机关或本单位合法获取的个人信息行使收集、管理、控制、 查阅等权利的人员。27采取此观点的理由是，这些人员相比其他人员更有条件、更容易 接触到公民个人信息，他们具有很大的可能性将其所能接触到的公民个人信息出售、非 法提供给他人，而这些人员对其直接管理、掌控的个人信息负有更加严格的保密义务。 因此，这些“有权人员”才是出售、非法提供公民个人信息罪重点规制、打击的对象。 笔者以为，这里的“工作人员”不限于上述有权对本机关或本单位合法获取的个人 信息行使收集、管理、控制、查阅等权利的人员，还应包括单位里其他能够在单位履职 过程中可能接触到公民个人信息的工作人员，如公司企业前台接待员、机关单位电话接 线员等人员，他们都有直接或间接的职务便利条件接触到本单位已获得的公民个人信 息，也具有很大可能性和条件将公民个人信息加以出售、非法提供。同时在实践中，上 述“有权人员”的范围本身也难以界定，因此，将这里的工作人员严格限定为上述“有 权人员”存在明显不当，与全面打击侵犯公民个人信息犯罪的立法本意是相违背的。 根据《刑法修正案(七)》第 7 条第 3 款的规定，单位可以构成出售、非法提供公 2参见王昭武、肖凯:“侵犯公民个人信息犯罪认定中的若干问题”，载《法学》2009 年第 12 期。 7 13 西南政法大学硕士学位论文 民个人信息罪的犯罪主体。有观点认为，此规定表明并非只有国家机关或者金融、电信、 交通、教育、医疗等单位才能实施该犯罪，对于其他单位违反国家规定出售、非法提供 公民个人信息的行为，也可以构成本罪，所以，本罪的单位犯罪主体应该涵盖所有单位， 泛指可以实施犯罪行为的一切单位。28还有观点认为，对于相同的罪名，由于其自然人 犯罪主体有特殊主体和一般主体的区分，则其相应的单位犯罪主体也应该有这种划分， 如果刑法规定某一罪的自然人犯罪主体是特殊主体，则其单位犯罪主体也应为特殊主 体，因此，对于出售、非法提供公民个人信息罪而言，其单位犯罪主体应仅限于国家机 关或者金融、电信、交通、教育、医疗等单位。29 笔者认为，如前文所述，实践中存在大量的可能在履行职务或提供公共服务过程中 获取公民个人信息的单位，这些单位为了谋取经济利益或其他利益也可能实施出售、非 法提供公民个人信息的行为，如前文提到的房屋中介公司、婚姻介绍所、人才中介服务 机构、宾馆酒店等。而随着经济的发展，社会分工会越来越细，将来也可能会出现更多 的提供公共服务的机构，这些机构也能够通过职责的履行或提供服务而收集大量的公民 个人信息，他们同样具有出售、非法提供公民个人信息的可能性。因此，为了适应社会 的发展，将社会上出现的众多具有提供公共服务功能的单位出售、非法提供公民个人信 息的行为纳入刑法规制，全面打击侵犯公民个人信息的行为，应将本罪的单位犯罪主体 理解为能够合法收集公民个人信息并实施出售、非法提供公民个人信息犯罪的一切单 位。 此外，社会上还出现了大量的私人侦探机构、私人调查机构，这些机构主要从事寻 人服务、债务追讨、婚外情调查、行踪调查、信用调查等业务。30对于这些机构通过跟 踪、偷拍、监听等方式非法收集公民个人信息随后进行出售、非法提供的行为，应予以 严厉打击。31但是，对于这些机构的上述侵犯公民个人信息的行为具体应该如何定罪呢, 笔者以为，由于我国目前并没有真正合法注册的私人侦探机构，这些机构的存在不符合 2参见应云总: 论公民个人信息的刑法保护”，华东政法大学硕士学位论文，2010 年 4 月。根据我国《刑法》的规定， 8 “ 单位犯罪主体即《刑法》第 30 条规定的公司、企业、事业单位、机关、团体实施危害社会的行为，法律规定为单位 犯罪的，应当负刑事责任。 2该观点参见方晋晔: 我国个人信息权的刑法保护相关问题研究”，华东政法大学硕士学位论文，2009 年 4 月。在本 “ 9 文中，作者指出出售、非法提供公民个人信息罪的单位犯罪主体应为特殊主体，但其在后文中又认为本罪的单位犯 罪主体应该涵盖所有的单位。显然，作者的观点前后是不一致的。 3我国现有约 3700 家各种私家侦探机构，这些机构多数冠以“调查公司”、“事务调查中心”、“事务调查所”等名称。 0 3如 2012 年 4 月 20 日，我国公安部统一部署北京、河北、山西等 20 个省区市公安机关开展了首次大规模集中打击 1 侵犯公民个人信息犯罪的行动，打掉了 611 个从事非法讨债、跟踪、婚外情调查等非法调查业务从而侵犯公民个人 信息的私人调查公司。 14 侵犯公民个人信息犯罪司法认定难题研究 法律规定，因此，对于他们采取非法手段收集公民个人信息并出售、非法提供的行为， 应直接以非法获取公民个人信息罪追究其直接负责的主管人员和其他直接责任人员的 刑事责任。32例如，2010 年 1 月 3 日宣判的全国首例侵犯公民个人信息安全犯罪案件中， 犯罪人周建平成立了“广州市华探调查有限公司”，其违反规定非法获取他人手机通话 清单及其清单上的人员资料，然后以每份上千元不等的价格先后向某诈骗团伙进行出售 并从中获利上万元，法院对周建平的上述行为就是以非法获取公民个人信息罪对其定罪 处罚的，即判处周建平有期徒刑 1 年 6 个月，并处罚金 2000 元;33又如 2010 年 12 月 16 日北京市海淀区人民法院判决的私家侦探非法获取公民个人信息罪案件中，被告人原 正、拥正德合伙开办了“东方摩斯商务调查中心”，该商务调查中心接受他人委托进行 婚外恋跟踪拍摄、查询银行账户、房产、户籍情况等，随后对收集到的公民个人信息进 行出售、非法提供并从中牟取了巨大的经济利益，对于该商务调查中心的上述行为，北 京市海淀区人民法院即是以非法获取公民个人信息罪对两位合伙人进行定罪并判处 1 年 有期徒刑。34 (二)非法获取公民个人信息罪的犯罪主体 根据《刑法修正案(七)》第 7 条第 2 款和第 3 款的规定，自然人和单位均可以成为 非法获取公民个人信息罪(以下简称本罪)的犯罪主体。任何达到法定刑事责任年龄、 具有刑事责任能力的自然人，只要是以窃取或者以其他方法非法获取公民个人信息，情 节严重的，均可成为本罪的自然人犯罪主体。 本罪的单位犯罪主体也为一般单位主体，即任何单位，不论是否具有获取他人信息 的公权力或具有提供公共服务的功能，也不论是否是在履行本单位职务过程中，只要是 非法获取公民个人信息，达到情节严重的，都可以构成本罪。实践中，任何单位都有可 能通过各种途径非法获取公民个人信息，将非法获取公民个人信息罪的单位犯罪主体界 31993 年，公安部发布 通知 关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知 ，禁止任何单位和个人开设各种形式的民事事务调查所、安全事务调查所等私人侦探所性 2 质的民间机构，明令禁止的业务包括:受理民事、经济纠纷，追讨债务以及安全防范技术咨询，涉及个人隐私的调 查等等。2002 年底，国家工商总局商标局调整了商标分类注册的范围，其中新增的允许注册类别包括提供私人保镖、 侦探公司和寻人调查等“安全服务”。但允许注册并不意味着中国“私家侦探”禁令已开，据工商部门证实，只有由 陆建于 1992 年 申请 关于撤销行政处分的申请关于工程延期监理费的申请报告关于减免管理费的申请关于减租申请书的范文关于解除警告处分的申请 开办的“宁夏神鹰侦探事务所”才是迄今为止中国大陆唯一真正合法注册并在名称中出现“侦探” 字样的私人侦探机构，但该私人侦探机构也于 1998 年注销了营业执照。 3该资料来源于《信息时报》，2010 年 1 月 4 日。 3 3参见丁一鹤、范静:“私家侦探的南柯一梦”，载《人民法院报》，2011 年 1 月 24 日。该案再次敲响了“私家侦探公 4 司不关闭将犯罪”的警钟。 15 西南政法大学硕士学位论文 定为任何单位，有利于全面打击非法获取公民个人信息的犯罪行为，符合立法本意。 四、出售、非法提供、非法获取公民个人信息罪的行为方式 解读 (一)出售、非法提供公民个人信息罪的行为方式 从罪名本身可以看出，出售、非法提供公民个人信息罪(以下简称本罪)的行为方 式包括出售和非法提供两种。同时，根据法条的规定，成立本罪的一个大前提是“违反 国家规定”，另一个前提即是行为人所出售、非法提供的公民个人信息是“本单位在履 行职责或者提供服务过程中获得的公民个人信息”。所谓“违法国家规定”，根据我国《刑 法》第 96 条的规定，即指违反全国人民代表大会及其常务委员会制定的法律和决定以 及国务院制定的行政法规、规定的行政措施、发布的决定和命令。从这一规定可以看出， 对其他各级国家机关发布的规定、国务院各部门颁布的规章以及地方政府制定的规章等 规定的违反，不能成立我国《刑法》所称的“违反国家规定”，因此，违反这些规定实 施侵犯公民个人信息的行为并不必然构成侵犯公民个人信息犯罪。35 对于“本单位在履 行职责或者提供服务过程中获得的公民个人信息”，笔者以为，这里的“获得”应该是 指“合法获得”。例如，行政机关在实施行政行为过程中依法获取的行政相对人的基本 身份信息以及其他个人信息;司法机关在审判活动过程中获得的与案件相关的个人信 息;金融类机构在提供业务服务过程中获得的公民财产状况、个人信贷记录信息等;医 疗单位在提供医疗服务过程中获得的公民基本身份信息、公民健康信息及其病史记录等 等。无论是个人还是单位获得这些信息都必须是以单位名义合法获得，这就排除了单位 工作人员以个人名义获取他人信息后出售、非法提供给他人而构成本罪的可能;同时， 这些信息必须是单位在履行职责或提供服务过程中获得，如果单位并非是因履行职责或 提供服务而获得公民个人信息，则应追究单位或其工作人员非法获取公民个人信息罪的 3如卫生部发布的《关于对艾滋病病毒感染者和艾滋病病人的管理意见》第 3 条就规定了任何单位和个人不得将艾滋 5 病病毒感染者和艾滋病病人的姓名、住址等个人情况公布或传播。又如由公安部颁布的《互联网安全保护技术措施 规定》第 4 条规定“未经用户同意不得公开、泄露用户注册信息，„„”、由信息产业部通过的《互联网电子公告服 务管理规定》第 12 条规定“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄 露，„„”。上述意见或规定都属于部门规章，不是我国刑法上所称的“违反国家规定”中的“国家规定”，因此， 对于单位和个人违反上述意见或规定侵犯公民个人信息的行为，只能对行为人予以行政处罚或要求其承担民事上的 责任，而不能依据我国《刑法》第 253 条之一的规定追究行为人侵犯公民个人信息犯罪的刑事责任。 16 侵犯公民个人信息犯罪司法认定难题研究 刑事责任，而不是构成出售、非法提供公民个人信息罪。 1. 对“出售”的认定 出售，亦即将公民个人信息作为商品进行流转以换取经济利益。这里的经济利益， 既包括金钱利益、财产性利益，也包括其他非财产性利益。现代社会是一个步入了信息 化时代的社会，公民个人信息成为了一种重要的社会资源，这种资源的获取成为各经济 主体争夺的对象，同时各种技术的发展又使得公民个人信息既可以通过有形的载体又可 以通过无形的方式进行传播，这一切促使出售公民个人信息成为了可能。公民个人信息 不同于普通的财物，它与公民的人身利益密切相关，一旦被滥用便可能给公民造成无法 预料的后果，因此，法律必须严厉禁止出售公民个人信息的行为，对出售公民个人信息 造成严重后果的行为，刑法必须加以规制。 这里需要注意的问题是，如果行为人收受他人财物，利用职务之便将本单位合法获 取的公民个人信息提供给他人的行为，是属于“出售”还是“非法提供”,笔者认为， 如果双方并未明示将这笔财物作为交易代价，就不应认定为出售，而应认定为非法提供。 这里同时涉及到受贿或商业受贿的问题，笔者认为，由于此时行为人的行为已经符合了 两个罪的犯罪构成，侵犯的是两个不同的法益，并且，根据刑法的规定，本罪的法定刑 是“处三年以下有期徒刑或者拘役，并处或者单处罚金”，其刑罚是相对较轻的，而实 践中可能存在单位工作人员趁机收受大量钱财、获取巨大利益却只是提供少量公民个人 信息的行为，而该少量公民个人信息又可能是极其重要、其泄露可能会给被害人带来重 大人身伤害或财产损失的个人信息。针对此情形，既要追究并严厉打击侵犯公民个人信 息的行为，又应该严格依法维护职业的廉洁性，这样才能达到罪刑相适应的目的，因此， 应当以非法提供公民个人信息罪和受贿罪或商业受贿罪实行数罪并罚。 2. 对“非法提供”的认定 本罪中的“非法提供”，是指不以获取经济利益或其他财产性利益为目的，违反规 定将合法获得的公民个人信息提供给不具有获悉和拥有公民个人信息的权利的他人(包 括个人和单位)。根据我国相关法律法规的规定，相关单位或机构及其工作人员有义务 对本单位在履行职责或提供服务过程中获得的公民个人信息进行保密，不得非法提供或 泄露给他人。例如，《中华人民共和国邮政法》第 35 条第 2 款规定，邮政企业、邮政企 17 西南政法大学硕士学位论文 业从业人员不得向任何单位、个人泄露有关用户使用邮政服务情况的信息;由国务院发 布的《个人存款账户实名制规定》第 8 条规定，金融机构不得向任何单位或者个人提供 有关个人存款账户的情况。 非法提供的方法包括了除出售以外的各种方法，其方式可以是书面提供也可以是口 头提供，可以是直接提供也可以是间接提供，可以是主动提供也可以是被动提供。只要 是让不具有获悉公民个人信息权利的他人在没有法律法规依据的情况下，由于行为主体 的非出售行为而获悉了公民个人信息的，该行为主体的行为即构成“非法提供”。 基于上述定义，这里的“非法提供”理应包括了泄露行为，泄露的实质也是让不具 有获悉公民个人信息的权利的他人拥有了该公民个人信。社会上大量实例也表明，泄露 公民个人信息业已成为滋生违法犯罪活动的“温床”，非法跟踪调查、电信金融诈骗、 入户盗窃抢劫、敲诈勒索、绑架等等犯罪行为，其源头无不是因为公民个人信息的泄露， 个人信息被违法犯罪分子利用从而实施违法犯罪活动。我国相关法律也有关于泄露公民 个人信息的行为可能触犯刑法的明确规定，例如，我国《护照法》第 20 条就明确规定 了护照签发机关工作人员在办理护照过程中对因制作、签发护照而知悉的公民个人信息 进行泄露，侵害公民合法权益的，依法给予行政处分;构成犯罪的，依法追究刑事责任。 《身份证法》第 19 条规定了，人民警察泄露因制作、发放、查验、扣押居民身份证而 知悉的公民个人信息，侵害公民合法权益的，根据情节轻重，依法给予行政处分;构成 犯罪的，依法追究刑事责任。又如我国《传染病防治法》第 12 条规定，疾病预防控制 机构、医疗机构不得泄露涉及个人隐私的有关信息、资料，对泄露涉及上述人员有关个 人隐私的信息的行为，依法给予行政处分，构成犯罪的，依法追究刑事责任。 “非法公然发布”公民个人信息的行为是否属于“非法提供”,本人认为，将他人 个人信息进行非法公然发布，其行为主体的主观目的要么是积极追求让他人获取公民个 人信息的结果，要么是放任他人获取公民个人信息的结果，其结果都是让特定或不特定 的他人获取了公民个人信息。可以说，相比单纯的向特定个人或单位提供个人信息的行 为，非法公然发布公民个人信息所造成的结果更加严重，因为它所提供的对象是更多、 更广泛的不特定他人，其造成的最终结果是无法估量的，所以，“非法公然发布”属于 “非法提供”的行为方式。 此外，对于实践中存在的非法提供者虽不以获利为目的、但获取者事后仍给予提供 者好处的情况，是属于“非法提供”还是“出售”,笔者认为，考虑到行为人提供公民 18 侵犯公民个人信息犯罪司法认定难题研究 个人信息之时并不以获利为目的，所以仍应认定为“非法提供”，而不是“出售”。 (二)非法获取公民个人信息罪的行为方式 根据《刑法修正案(七)》第 7 条第 2 款规定，非法获取公民个人信息罪的行为方 式表现为“窃取”、“以其他方法非法获取”两种方式。由于信息的特殊性，获取行为可 以表现为对存有公民个人信息的载体的非法获取，也可以表现为对个人信息的直接复 制。那么何为“窃取”，“以其他方法非法获取”又包括哪些方法呢,下面将分别进行讨 论。 1(对“窃取”的认定 这里的“窃取”，即以秘密盗取或盗窃的方式将公民个人信息转移到自己或者第三 者控制之下、非法占有的行为。在实际操作中，窃取的具体手段包括利用互联网络盗取、 侵入计算机系统盗取、通过安装窃听器、拍摄装置摄取等。立法者将窃取行为单独分离 出来作为非法获取的一种行为方式，一方面是基于在目前的实践案例中以窃取方式获得 公民个人信息的现象极其严重也极为普遍，另一方面是考虑到窃取行为的本质特征，相 比其他非法获取公民个人信息的行为，窃取行为更具有隐蔽性，不容易被信息占有人察 觉，并且由于现代高科技的发展，使得窃取他人个人信息更加方便、也更容易大量获取。 因此，为了突出窃取的严重性和恶劣影响，为了更加严厉打击以窃取方式获取公民个人 信息的行为，刑法将窃取行为单独分离出来。 2(对“以其他方法非法获取”的认定 以其他方法非法获取，是指采取窃取以外的方法非法获得公民个人信息。实践中， “其他方法”的表现形式多种多样，但从法条的规定上看，法条例示性地列举出“窃取” 的方式，至少可以判断出“其他方法”应该是与“窃取”具有相当程度危险性的手段， 是属于“非法手段”。根据上海市浦东新区人民法院凌鸿法官的观点，所谓“非法手段”， 至少应当具备以下三个特点:一是违背了信息所有人的真实意愿或真实意思表示;二是 信息获得者没有权利或没有根据接触、拥有或使用相关公民个人信息;三是获取信息的 手段违反了法律禁止性规定或社会公序良俗。36据此，笔者认为，具有代表性的“其他 3凌鸿:“非法获取公民个人信息罪的认定”，载《上海法院网:法苑文化——案例研判》，2010 年 6 月 17 日。 6 19 西南政法大学硕士学位论文 方法”至少包括以下几种: (1)以敲诈勒索、抢劫、抢夺的方式获得公民个人信息 这里的“敲诈勒索”，即对信息占有人使用威胁或要挟的方法，强行索要公民个人 信息;“抢劫”，即对信息占有者当场使用暴力、以使用暴力相胁迫或者其他使信息占有 者不能反抗的强制方法，强行劫取公民个人信息的行为;“抢夺”，即乘人不备公然夺取 公民个人信息的行为。敲诈勒索、抢劫、抢夺的手段，都违背了信息占有者的意愿，都 是采取违反法律禁止性规定的方法而取得公民个人信息。 这里需要注意的是，在以抢劫、抢夺方式非法获取公民个人信息过程中，若造成他 人重伤、死亡的，属于一个危害行为同时造成了数个危害结果触犯不同罪名的情况，符 合想象竞合犯，此时的处理原则应是“从一重罪”定罪处罚。若是以抢劫的方式获取公 民个人信息同时造成他人重伤、死亡的，则以故意伤害罪、故意杀人罪追究行为人的刑 事责任;若是在抢夺过程中过失造成他人死亡的，则以过失致人死亡罪论处，而过失造 成他人重伤的，由于过失致人重伤罪与非法获取公民个人信息罪的法定刑相同，司法实 践中可以考虑行为主体的犯罪原意和主观恶性，以非法获取公民个人信息罪追究行为人 的刑事责任，并追究行为人致人重伤的附带民事责任。 (2)采用骗取的方法获取公民个人信息 这里的“骗取”，即使用虚构事实或隐瞒真相的方法获取公民个人信息的行为。骗 取行为，是行为人通过虚构事实或隐瞒真相的方法欺诈信息占有者，使信息占有者产生 错误认识而主动交出公民个人信息。例如，行为人冒充他人身份(如冒充国家机关工作 人员)使拥有公民个人信息的单位或工作人员误以为其具有合法理由和手续而向其交付 公民个人信息。又如，行为人使用虚假证明骗取公民个人信息，包括使用伪造、变造的 国家机关公文、证件、印章骗取公民个人信息;使用伪造、变造的公司、企业、事业单 位、人民团体印章骗取公民个人信息;使用伪造、变造的居民身份证骗取公民个人信息。 需要注意的问题是，采取上述方式骗取公民个人信息的行为涉及到牵连犯的问题。 如行为人冒充国家机关工作人员骗取公民个人信息的，同时符合招摇撞骗罪和非法获取 公民个人信息罪的犯罪构成;又如事先伪造、变造国家机关公文、证件、印章以及居民 身份证，然后用来骗取公民个人信息的行为，同时符合伪造、变造国家机关公文、证件、 印章罪或伪造、变造居民身份证罪与非法获取公民个人信息罪的构成要件;对于事先伪 造、变造公司、企业、事业单位、人民团体印章而用以骗取公民个人信息的行为，同样 20 侵犯公民个人信息犯罪司法认定难题研究 符合了伪造、变造公司、企业、事业单位、人民团体印章罪和非法获取公民个人信息罪 的犯罪构成。上述情形都属于手段行为和目的行为分别触犯了不同的刑法规定，属于牵 连犯，应按照牵连犯的原则进行处罚。 牵连犯的处罚原则，理论界存在很大争议，主要有以下三种学说:1、“从一重罪 处断说”，该说认为对于牵连犯应按数罪中最重的一个罪定罪，并在该罪的法定刑内从 重处罚，不认定为数罪;2、“数罪并罚说”，该说认为对于牵连犯的情形都应当实行 数罪并罚，这样才能达到刑罚威慑的效果;3、“折衷说”，折中说则认为对牵连犯的 处罚原则应以法律规定为标准，对刑法无明文规定的适用“从一重罪处断”原则，对刑 法有规定的则依刑法规定处罚。37 对于以骗取方式非法获取公民个人信息符合上述牵连犯的情形，笔者认为，应分情 况作出不同的处理。在行为人采取上述方式获取公民个人信息不成功或者获取信息后尚 未进行利用实施进一步的违法犯罪活动的，则应该适用“从一重罪处断”原则，由于招 摇撞骗罪、伪造、变造国家机关公文、证件、印章罪、伪造、变造公司、企业、事业单 位、人民团体印章罪、伪造、变造居民身份证罪的处罚较非法获取公民个人信息罪的处 罚重，因此，应分别按前罪定罪处罚。而对于行为人既采取上述方式非法获取公民个人 信息又在获取信息后实施了其他违法犯罪活动的，为有效规制行为人侵犯公民个人信息 的犯罪行为，达到罪刑相适应的目的，应实行数罪并罚。 实践中，还存在伪造、变造公司、企业、事业单位、人民团体的文件、证件并使用 从而骗取公民个人信息的行为，由于我国《刑法》并未规定伪造、变造公司、企业、事 业单位、人民团体文件、证件构成犯罪，因此，对于行为人伪造、变造上述文件、证件 后并使用从而骗取公民个人信息，情节严重的行为，应直接以非法获取公民个人信息罪 论处。 (3)收买、收受公民个人信息 实践中，收买者、收受者要么是从履行公共职责或提供公共服务的单位及其工作人 员处收买、收受个人信息，要么是从电脑黑客、私人侦探、大量信息调查公司手中收买 大量公民个人信息，其目的或是为了利用个人信息牟取商业上的利益，或是直接进行转 3例如，2011 年 3 月 1 日最高院、最高检《关于办理诈骗刑事案件具体应用法律若干问题的解释》第 8 条规定，行为 7 人冒充国家机关工作人员实施诈骗行为，同时构成诈骗罪和招摇撞骗罪的，依照处罚较重的规定定罪处罚。又如我 国《刑法》第 198 条规定，投保人、被保险人故意造成财产损失的保险事故，骗取保险金;投保人、受益人故意造 成被保险人死亡、伤残或者疾病，骗取保险金，“同时构成其他犯罪的，依照数罪并罚的规定处罚”。 21 西南政法大学硕士学位论文 售牟取利益，或是牟取其他非财产性利益，或是为了实施其他非法活动。从一定意义上 讲，有需求才有供给，正是因为市场上存在着收买、收受的需求，才出现了满足这种需 求的出售、非法提供行为，既然刑法处罚出售、非法提供行为，处罚收买、收受行为也 就成为必要。同时，我国刑法第 177 条之一第 2 款规定了收买他人信用卡信息资料罪， 表明收买行为能够构成犯罪，而他人信用卡信息资料又属于公民个人信息的范畴，因此， 对于收买、收受其他公民个人信息的行为理应作为非法获取的方式而受到刑法的规制。 行为人通过财物、金钱或给予其他利益的方式从国家机关或其他相关单位工作人员 手中收买而获取公民个人信息的行为，同时涉及到行贿或商业行贿的问题。笔者认为， 对于此情形，正如前面对国家机关或其他相关单位工作人员收受他人财物利用职务便利 提供公民个人信息涉及受贿或商业受贿的问题所讨论的那样，该行为触犯了两个不同的 法益，为维护国家机关或其他相关单位工作人员职务行为的廉洁性，维护国家对国家机 关或相关单位的管理秩序，维护公民个人信息权益和国家对公民个人信息的管理秩序， 对行为人应当以非法获取公民个人信息罪和行贿罪或商业行贿罪实行数罪并罚。 (4)采取合法或法律并不禁止的方式获取公民个人信息后又加以出售的 采取合法或法律并不禁止的方式，如，利用互联网、报纸、期刊等出版物中公开登 载的信息收集公民个人信息。对于此情形，若行为人是以出卖为目的，采取此种合法手 段事先获取信息后再加以出售，或者行为人事先没有出售的目的但在获取信息后又进行 出售的，在这种情况下，行为人合法获取个人信息的手段已服务于出售这一非法目的， 具备了非法性，对其行为达到情节严重的，则应该直接以非法获取公民个人信息罪定罪 处罚。38 此外，对于邮政工作人员利用职务便利采取私自开拆、隐匿、毁弃邮件、电报的方 式获取其中的公民个人信息或者获取信息后进行出售、非法提供给他人的行为的处理， 笔者认为，应直接以非法获取公民个人信息罪或出售、非法提供公民个人信息罪进行定 罪并从重处罚。因为，根据我国《刑法》第 253 条的规定，邮政工作人员采取上述方式 而窃取财物的，依照盗窃罪定罪从重处罚，同理，邮政工作人员私自开拆或者隐匿、毁 弃邮件、电报而获取公民个人信息或获取公民个人信息后进行出售、非法提供给他人的， 应依照非法获取公民个人信息罪定罪从重处罚，或者按照出售、非法提供公民个人信息 3这里之所以对行为人以非法获取公民个人信息罪进行定罪处罚，是因为这里的行为人是不具有国家机关等单位工作 8 人员的身份或者虽具有该身份但并未通过本单位在履行公共职责或提供公共服务过程中获取公民个人信息。 22 侵犯公民个人信息犯罪司法认定难题研究 罪进行定罪并从重处罚。并且，私自开拆、隐匿、毁弃邮件、电报罪的刑罚是“处二年 以下有期徒刑或者拘役”，其刑罚轻于侵犯公民个人信息犯罪的刑罚，因此，依照侵犯 公民个人信息犯罪进行定罪并从重处罚，有利于严厉打击侵犯公民个人信息的行为，并 符合罪刑相适应的原则。39 五、司法实践中关于“情节严重”的认定 刑法作为最后的保障法，只处罚违法性与有责性达到值得科处刑罚的程度的行为， 这也是刑法的谦抑性的必然要求。因此，对于侵犯公民个人信息的行为，根据法条的规 定，必须达到“情节严重”才构成犯罪。“情节严重”的判断影响着司法机关对行为人 是否能够提起指控，是否能够予以定罪判刑，是区分罪与非罪的重要标准。目前，我国 刑法并没有对“情节严重”规定明确的界定标准，亦没有相关司法解释予以明确，这给 司法实践带来了适用上的困境。 理论界对侵犯公民个人信息犯罪(以下简称本罪)的“情节严重”给出了相对抽象 的标准，例如，对于出售、非法提供公民个人信息罪的“情节严重”，全国人大常委会 法制工作委员会刑法室副主任黄太云教授认为， 一般是指出售或者非法提供多人信息， “ 多次出售或者非法提供公民个人信息，出售公民个人信息获利较大以及公民个人信息被 非法提供、出售给他人后给公民造成了经济上的损失，或者严重影响到公民个人的正常 生活，或者被用于进行违法犯罪活动等情形”;40对于非法获取公民个人信息罪的“情节 严重”，赵秉志教授认为，“主要指非法获取的公民个人信息数量大、对被害人人身造成 41 了严重危害或者造成被害人财产的重大损失、使个人信息大量外泄等情况”。 笔者认为，过于抽象的标准难以为司法实践提供参考，而仅以硬性的量化标准来确 定本罪中的“情节严重”，既有过于僵化之嫌又很难全面贯彻。因为，在形形色色的具 体个案中，侵犯的次数或是信息的份数并无可比性，危害的大小不但与行为人侵犯的次 3我国《刑法》第 253 条第 1 款规定:邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或 9 者拘役。第 2 款规定:犯前款罪而窃取财物的，依照本法第二百六十四条的规定定罪从重处罚。 我国《刑法》 第 264 条是关于盗窃罪的规定，这表明，邮政工作人员采取私自开拆或者隐匿、毁弃邮件、电报的方式而窃取其中 财物的，直接以盗窃罪定罪并从重处罚，而不再追究其私自开拆、隐匿、毁弃邮件、电报罪的刑事责任。事实上， 刑法规定按盗窃罪定罪并从重处罚即是考虑到了行为人所采取的手段已经触犯了刑法的规定，但同时考虑到行为人 的主观目的及其两罪刑罚轻重程度的不一，因此，直接以盗窃罪定罪并从重处罚，这也达到了罪刑相适应的目的。 4黄太云:《刑法修正案(七)解读》，载《人民检察》2009 年第 6 期。 0 4赵秉志:《刑法修正案最新理解适用 》，北京:中国法制出版社 2009 年版。 1 23 西南政法大学硕士学位论文 数和信息的份数有关，还常常与信息的重要程度与否有关，甚至与信息主体的身份职务 等相关。因此，应以保护公民权益的立法宗旨为总的指导原则，在具体认定中，将抽象 与量化标准相结合，以此作为参考因素，并合理行使司法机关自由裁量权。 基于上述分析，笔者认为，对出售、非法提供公民个人信息罪和非法获取公民个人 信息罪的“情节严重”的认定，应综合考虑以下因素: (一)出售、非法提供或非法获取公民个人信息后，公民个人信 息被利用实施违法犯罪活动的 实践中，存在大量的他人利用行为人出售、非法提供、非法获取的公民个人信息实 施违法犯罪活动的案例。对于此种情形，有学者提出了具体的认定标准，即公民个人信 息被用于犯罪的“情节严重”的标准是，“行为人出售、非法提供、非法获取的公民个 人信息被他人用于实施故意犯罪并造成被害人轻伤以上，或者实施过失犯罪造成被害人 重伤、死亡的;他人利用行为人出售、非法提供、非法获取的公民个人信息实施犯罪， 可能对该利用信息人判处 3 年以上有期徒刑的”。42 笔者认为，上述有关学者的界定存在一定的不足之处，例如，某人具有潜入他人住 宅偷窥他人隐私的爱好，对于此人利用大量关于他人家庭住址信息非法侵入他人住宅的 行为，可能构成非法侵入住宅罪，对于该罪，我国《刑法》规定的刑罚是“处三年以下 有期徒刑或者拘役”，若按照上述标准，由于对利用信息人判处的不是三年以上有期徒 刑，则不属于“情节严重”，因而不能追究行为人出售、非法提供、非法获取公民个人 信息的行为。这无疑是对侵犯公民个人信息行为的放纵，不能发挥我国立法规定本罪的 作用，与立法本意相违背。因此，笔者认为，对于行为人出售、非法提供、非法获取的 公民个人信息被他人利用实施违法犯罪活动的，应直接认定为“情节严重”。所谓直接 认定为情节严重，即只要该信息被用于实施违法犯罪活动，就应视为“情节严重”，而 不用考虑信息利用人实施的是什么罪、造成了何种程度的结果、被判处了何种刑罚，也 不用再去考虑行为人出售、非法提供或非法获取的次数、信息份数、获利金额等。 现实中，还存在行为人非法获取公民个人信息后，利用所获取的信息，自己实施违 法犯罪活动的案例，此种情形下，收集公民个人信息是手段行为，利用获取的公民个人 4郝家英:“非法获取公民个人信息罪的理解与适用——以京城最大出售、非法提供、非法获取公民个人信息案为视 2 角”，载《中国检察官》，2012 年第 5 期。 24 侵犯公民个人信息犯罪司法认定难题研究 信息实施犯罪是目的行为，符合牵连犯的原则。如前文所述，对于此种情形，应分情况 作出不同的处理，可能适用“从一重罪处断”的原则，也可能对行为人适用“数罪并罚” 的原则。 对于行为人明知他人要利用公民个人信息实施违法犯罪活动，仍然出售或非法提供 给他人的，理应视为“情节严重”，对该行为人应当以本罪以及他人实施的犯罪的共犯 论处，实行数罪并罚。 (二)出售、非法提供或非法获取公民个人信息后，获利较大或 者造成被害人重大财产损失的 一般来讲，行为人因侵犯公民个人信息获利越多，情节就越严重;给被害人造成的 财产损失越大，情节越严重。但行为人到底获利多少才是“情节严重”，造成多少损失 才达到“情节严重”，我国立法也没有相关规定，亦未作出相应的司法解释。如前所述， 对于获利情况及其造成损失情况的量化也不能凭空想象，在相关司法解释尚未出台的情 况下，司法机关也只能参照我国刑法关于其他犯罪对获利金额、损失金额等的规定。有 观点提出，出售公民个人信息，单位获利 5 万元以上、个人获利 1 万元以上的，单位利 用所获取公民个人信息获利 5 元以上、个人获利 1 万元以上的，给单位造成经济损失 5 万元以上或者给个人造成 1 万元以上损失的，属于“情节严重”;43还有观点提出，出售、 非法提供或非法获取公民个人信息后获得人民币 500 元至 2000 元以上的，属于“情节 严重”;44再有观点提出，获利额以非法获利 5000 元为犯罪起点。45 获利情况，既包括获得物质性利益也包括获得非物质性利益。依据我国司法习惯， 以牟利为目的的犯罪或因犯罪而获取物质利益的，具有比未获取物质利益更为严重的情 节。对于获取物质性利益的，如获取金额的，其标准可以参照关于盗窃罪的数额起点规 定进行认定，如以 500 元至 2000 元以上为“情节严重”的标准。对于获取非物质性利 益的，如通过非法提供公民个人信息换取非物质利益，由于非物质性利益不同于物质性 利益，无法通过辨别大小和多少来确定情节的严重与否，因此，确定情节严重的标准应 4张磊:“司法实践中侵犯公民个人信息犯罪的疑难问题研究及其对策”，载《当代法学》，2011 年第 1 期。 3 4郝家英:“非法获取公民个人信息罪的理解与适用——以京城最大出售、非法提供、非法获取公民个人信息案为视 4 角”，载《中国检察官》，2012 年第 5 期。 4参见贾凌、常秀娇:“解读侵犯公民个人信息罪”，载赵秉志、陈忠林、齐文远主编:《新中国刑法 60 年巡礼— 5 —下卷:聚焦〈刑法修正案(七)〉》，北京:中国人民公安大学出版社，2009 年版。 25 西南政法大学硕士学位论文 以提供非物质性利益的整个过程中有无其他危害或影响为标准，例如，通过提供个人信 息而要求他人为其子女安排就学就业等，最终导致其他有资格的人因丧失就学就业等机 会而自杀或精神严重受损。 关于给被害人造成财产损失情况，可以考察其他犯罪中因侵犯国家、集体、个人财 产权或其他权益所造成的经济损失的数量标准，以各省份的平均经济状况为指标来确 定。 (三)严重危及公民正常生活或者造成社会恶劣影响的 例如，非法提供、泄露公民联系方式、家庭住址信息，而使公民不断遭受电话干 扰、跟踪监控;非法公然公布、泄露公民个人隐私信息，严重侵犯公民人格权利，甚至 导致其精神失常、家庭破裂、患病或自杀等。这些行为都给公民的生产、生活、工作、 学习等造成了严重影响，严重危及到公民的正常生活。又如，2008 年 5 月香港连续爆发 的 1.6 万名病人资料、16 万银行客户资料、4.4 万市民个人资料等泄密事件、再如前面 提到的深圳孕产妇个人信息光盘泄露事件、西安电子科技大学学生信用卡事件，这些事 件不但严重影响了公民的正常生活，给当事人带来了严重的影响，造成当事人极大的心 理恐慌，更是给社会上不特定多数公民带来了心理恐慌，人人自危，每个人就像是在社 会上“裸奔”的个体，没有任何隐私，完全透明。更为严重的是，导致公民对政府、医 院、金融等单位产生了严重的不信任，扰乱了社会公共秩序、社会管理秩序，造成社会 恶劣影响。因此，对于上述情形，理应属于“情节严重”，应依法追究行为人侵犯公民 公民个人信息的行为。 (四)出售、非法提供或非法获取公民个人信息的数量较大、次 数较多的 通常情况下，侵犯公民个人信息的信息数量越大，次数越多，情节就越严重。公民 个人信息如何计数，多少数量才为较大;出售、非法提供、非法获取多少次才为次数较 多;个人信息是否分类别进而对侵犯数量和次数加以区分，例如，对于不涉及个人隐私 的信息而言，构成“情节严重”的数量标准是 10 份，还是 20 份、30 份，抑或更多,就 涉及个人隐私的信息而言，又应该是多少份,我国立法对这些并未作出相应规定，也并 26 侵犯公民个人信息犯罪司法认定难题研究 未出台相应的司法解释。理论界还有学者综合侵犯信息数量、侵犯次数和侵犯公民个人 信息的人次作为“情节严重”的标准，如有学者提出，出售、非法提供、非法获取 10 人以上公民个人信息或者侵犯 30 条以上个人信息的，出售、非法提供、非法获取个人 信息 5 次以上的，导致 50 条以上公民个人信息流向境外的，属于“情节严重”。46也有 学者指出，在 1 年内出售、非法提供、非法获取公民个人信息 3 条以上的或者侵犯 3 人 以上公民个人信息的，属于“情节严重”。47还有观点提出，以 100 人作为出售、非法提 供或者非法获取公民个人信息所达到的“情节严重”的人次规模。48 笔者认为，对于信息数量、侵犯次数的量化也不能凭空想象，在相关司法解释尚未 出台的情况下，司法机关也只能参照我国刑法关于其他犯罪对数量、次数的规定，以现 实发生的案件为依据，充分发挥自由裁量权，从而比较准确地加以量化。而对于公民个 人信息是否分类别进而对侵犯数量和次数加以区分的问题，笔者认为没有这个必要，因 为现实生活中个人信息对特定个人的重要程度是不同的，这个程度是很难去把握的，并 且普通公民个人信息也可能因在国家机关的控制下转为国家秘密，此时则不论数量和侵 犯次数多少，都直接构成了侵犯国家秘密的犯罪，对此前文已有论述。 关于信息数量，例如，可以参照由 2010 年 1 月 14 日最高检检察委员会第 28 次会 议、2010 年 1 月 18 日最高院审判委员会第 1483 次会议通过的《最高人民法院、最高人 民检察院关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播 淫秽电子信息刑事案件具体应用法律若干问题的解释(二)》关于传播淫秽物品罪、制 作、复制、出版、贩卖、传播淫秽物品牟利罪的规定，确定本罪中关于信息数量的判断 标准。如出售、非法提供公民个人信息 10 条以上，非法获取公民个人信息 50 条以上， 可视为信息数量较大。 我国刑法惯用“多次”标准来认定次数的严重性，而“多次”通常指 3 次或 3 次以 上。对于侵犯公民个人信息的次数，则可以规定行为主体出售、非法提供或非法获取公 民个人信息在一定时间内累计 3 次或 3 次以上的，或者既有出售又有非法提供、非法获 4张磊:“司法实践中侵犯公民个人信息犯罪的疑难问题研究及其对策”，载《当代法学》2011 年第 1 期。 6 4郝家英:“非法获取公民个人信息罪的理解与适用——以京城最大出售、非法提供、非法获取公民个人信息案为视 7 角”，载《中国检察官》，2012 年第 5 期。 4参见贾凌、常秀娇:“解读侵犯公民个人信息罪”，载赵秉志、陈忠林、齐文远主编:《新中国刑法 60 年巡礼— 8 —下卷:聚焦〈刑法修正案(七)〉》，中国人民公安大学出版社 2009 年版。该文指出依据原国家经贸委、国家计 委等共同研究制订的《中小企业标准暂行规定》中对中型企业要求的最低人数作为侵犯公民个人信息犯罪“情节严 重”中的量的基础依据，即 100 人。 27 西南政法大学硕士学位论文 取行为共计 3 次或 3 次以上的，应认定为“情节严重”，其次，也可以按照我国刑法对 逃税罪的规定，以行为人因侵犯公民个人信息受到行政处罚的次数为标准。 (五)行为手段的恶劣程度 所谓行为手段的恶劣程度，主要是指行为人获取公民个人信息的手段的非法性程 度、行为方式本身的社会危害性程度。对于直接采取暴力手段的方式进行敲诈勒索、抢 劫、抢夺而获取公民个人信息的，就单一情节而言，足以认定为情节严重。对于采取非 暴力手段的方式进行敲诈勒索、抢劫、抢夺、收买、收受、骗取、窃取从而获取公民个 人信息的，其社会危害性相对于暴力方式要轻得多，在单一以手段为定罪情节的情况下， 一般不宜认定为“情节严重”，应综合考虑行为人非法获取公民个人信息后所采取的后 续行为及其造成的后果等因素。 综上，在具体个案的认定中，可以优先考虑公民个人信息是否被用于实施违反犯 罪活动，若被用于实施违反犯罪活动，则应直接认定为“情节严重”，成立犯罪;其次， 可以看侵犯公民个人信息的行为是否严重危及了公民的正常生活，是否给社会造成了恶 劣影响。当上述两种情形都无法认定时，再根据出售、非法提供、非法获取的个人信息 的数量、行为次数、获利情况、给被害人造成经济损失、非法获取信息的手段恶劣程度 等情况来判断情节严重与否。当然，事物是普遍联系的，大多数情况下，以上所有因素 之间相互影响、相互作用从而共同导致犯罪结果的发生，司法实践中，要认定某一侵犯 公民个人信息的行为是否达到情节严重而构成犯罪，应采用多因素分析法，综合考虑以 上全部因素。 28 侵犯公民个人信息犯罪司法认定难题研究 结 语 《刑法修正案(七)》规定的侵犯公民个人信息犯罪,为我国公民个人信息的刑法 保护提供了法律依据，在一定程度上满足了民众对个人信息保护的立法需求，也有效遏 制了现实生活中严重侵犯公民个人信息的不法行为。我国目前虽然有几十部涉及个人信 息保护的法律法规，但内容分散、层级偏低，对公民个人信息的刑法规定目前也限于出 售、非法提供公民个人信息罪以及非法获取公民个人信息罪，对这两个罪名具体适用的 相关司法解释亦未出台，刑法规定本身的这一薄弱现状及其司法解释的欠缺，满足不了 对现实社会中形形色色的侵犯公民个人信息行为的全面打击，也给司法实践造成了操作 上的困难。因此，在我国尚未构建起完善的个人信息保护法律框架的背景下，单靠刑法 的单个条文难以承受保护公民个人信息权的重任，所以，相关司法解释的尽快出台及其 一部具有统领意义的个人信息保护法的颁布，是准确适用刑法规定和全面保护公民个人 信息之必要。本文立足于我国公民个人信息刑法保护的现状，对法条规定进行了深入解 读，以期解决司法实践中可能遇到的问题，并以此推进相关司法解释的出台，同时，个 人信息保护法自 2003 年便开始起草，相信在未来的立法中，个人信息保护法也会很快 颁布。随着相关法律法规及其司法解释的配套完善,我国对公民个人信息的法律保护会 更加全面。 29 西南政法大学硕士学位论文 致 谢 三年的研究生时光，一晃而过，有如白驹过隙，当年在校园里辛苦求学的身影依旧 清晰，回想那份充满激情的求学精神，心中依旧澎湃。在这三年里，无论是在生活上还 是学习上，我都得到了不少的历练，然而通过本文的写作，我深刻地意识到自身学识的 浅薄，理论功底的欠缺。在写作过程中，无数次感到写作的艰难，“书到用时方恨少”， 是我在本次论文写作过程中的深刻体会。 尽管如此，本文却承载着不尽的感激之情。首先要万分感谢我的硕士生导师陈世伟 教授，恩师不仅年轻有为，厚德博学，还是一位极其认真负责的老师，他总是满怀激情 和耐心指导我的论文，本文的写作处处承载着恩师的辛劳与关怀。其次要感谢在课堂上 给我们授课的各位老师，他们总是不辞辛劳、充满激情地教授我们知识，不仅丰富深厚 了我们的理论知识，还结合案例加强了我们的实践能力。最后还要感谢在学习和生活上 都给予我很多鼓励和支持的同窗好友们，因为有了他们的陪伴，我的三年研究生生活才 可以如此充实和值得怀念。当然，还要感谢一直以来默默支持我完成学业的父母，因为 有了他们的支持，我才能安心和顺利地体验我的研究生生活。对所有人的恩情，我会铭 记于心，并以此不断勉励自己在将来的工作、生活和学习中继续前进～ 王艳玲 2013 年 3 月 30 侵犯公民个人信息犯罪司法认定难题研究 参考文献 一、著作类: [1]张明楷:《刑法学》(第二版)，北京:法律出版社，2004 年版。 [2]陈忠林主编:《刑法总论》，北京:高等教育出版社，2007 年版。 [3]高铭暄 马克昌主编:《刑法学》(第四版)，北京:北京大学出版社 高等教育出版社 2010 年 4 月第 4 版。 [4]杨兴培:《刑法新理念》，上海:上海交大出版社，2000 年版。 [5]杨兴培:《犯罪构成原论》，上海:中国检察出版社，2004 年 1 月版。 [6][日]小村麻理:《IT 的发展与个人信息保护》，夏平、王俊江、周伟民译，北京:经济日报 出版社，2007 年版。 [7][意]贝卡里亚:《论犯罪与刑罚》，黄风译，北京:中国大百科全书出版社，1996 年版。 [8][美]德沃金:《认真对待权利》，信春鹰、吴玉章译，北京:中国大百科丛书出版社，1998 年版。 [9][美]理查德.A.斯皮内洛:《世纪道德:信息技术的伦理方面》，刘刚译，北京:中央编译出 版社，1999 年版。 [10]齐爱民: 拯救信息社会中的人格——个人信息保护法总论》，北京:北京大学出版社，2009 《 年版。 [11]张新宝:《隐私权的法律保护》，北京:群众出版社，2004 年版。 [12]赵秉志主编:《刑事法治发展研究报告》，北京:中国方正出版社，2002 年版。 [13]曲新久:《刑法的精神与范畴》，北京:中国政法大学出版社，2003 年版。 [14]赵桂民:《扰乱公共秩序和司法活动犯罪司法适用(下)》，北京:法律出版社，2006 年 6 月版。 [15]周汉华:《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》，北京:法律 出版社，2006 年版。 [16]张莉:《论隐私权的法律保护》，北京:中国法制出版社，2007 年 7 月版。 [17]梅绍祖:《网络与隐私》，北京:清华大学出版社，2003 年 4 月版。 [18]李晓辉:《信息权利研究》，北京:知识产权出版社，2006 年版。 [19]周汉华主编:《个人信息保护前沿问题研究》，北京:法律出版社，2006 年版。 [20]周汉华主编:《域外个人数据保护法汇编》，北京:法律出版社，2006 年版。 [21]郎庆斌、孙毅、杨莉:《个人信息保护概论》，北京:人民出版社，2008 年 12 月版。 [22]齐爱民主编: 个人资料保护法原理及其跨国流通法律问题研究》，武汉:武汉大学出版社， 《 31 西南政法大学硕士学位论文 2004 年 8 月版。 二、论文类 [1]张磊: 司法实践中侵犯公民个人信息犯罪的疑难问题研究及其对策”，载《当代法学》，2011 “ 年第 1 期。 [2]周海洋: 出售、非法提供公民个人信息罪和非法获取公民个人信息罪的理解和适用”，载《中 “ 国审判》，2010 年第 1 期。 [3]方晋晔“我国个人信息权的刑法保护相关问题研究”，华东政法大学硕士学位论文 2009 年 4 月。 [4]郝家英:“非法获取公民个人信息罪的理解与适用——以京城最大出售、非法提供、非法获 取公民个人信息案为视角”，载《中国检察官》，2012 年第 5 期 [5]李心强:“论公民个人信息的刑法保护”，西南政法大学硕士学位论文， 2010 年 3 月。 6 期。 [6]赵江辉、陈庆瑞:“公民个人信息的刑法保护”，载《中国检察官》，2009 年第 [7]应云总:“论公民个人信息的刑法保护”，华东政法大学硕士学位论文，2010 年 4 月。 [8]张璐:“公民个人信息的刑法保护研究”，中国政法大学硕士学位论文，2010 年 4 月。 [9]王昭武、肖凯:“侵犯公民个人信息犯罪认定中的若干问题”，载《法学》，2009 年第 12 期。 [10]孙立伟:“论侵犯公民个人信息犯罪的认定”，吉林大学硕士学位论文，2010 年 5 月。 [11]陈春丹:“论公民个人信息的刑法保护”，华东政法大学硕士学位论文，2009 年 4 月。 [12]郭鲲:“专家谈个人信息保护法”，载《信息导刊》，2005 年第 16 期。 [13]洪海林:“信息时代的个人信息危及与法律保护”，载《重庆工学院学报》，2008 年第 4 期。 [14]刘宪权、方晋晔:“个人信息权刑法保护的立法及完善”，载《华东政法大学学报》，2009 年第 3 期。 [15]蒋兆荣:“论公民个人信息的刑法保护”，华东政法大学硕士学位论文，2009 年 4 月。 [16]沈海平:“为保护公民个人信息织就更严密的法网”，载《人民检察》2008 年第 23 期。 [17]黄丽勤: 我国《刑法》对档案保护的新进展——论非法提供公民个人信息罪与非法获取公 “ 民个人信息罪”，载《档案与建设》，2009 年第 6 期。 [18]李广都:“建立民生档案应注重公民个人信息保护”，载《上海档案》，2008 年第 8 期。 [19]洪海林: 个人信息财产化及其法律规制研究”，载《四川大学学报(哲学社会科学版)，2006 “ 年第 5 期。 [20]齐爱民:“个人信息保护法研究”，载《河北法学》，2008 年 4 月版。 32