侵犯公民个人信息罪司法适用探微

载《中国应用法学》2017年第4期

　　
　　当今世界各国都将个人信息保护置于重要地位，不少国家对个人信息的保护都有专门立法。我国迄今尚未制定一部完整、统一的公民个人信息保护法，只在相关法律中作出了相应规定。为进一步加强对公民个人信息的保护，《刑法修正案(九)》将出售、非法提供公民个人信息罪和非法获取公民个人信息罪整合成侵犯公民个人信息罪，扩大了犯罪主体的范围并提升了法定刑配置。根据修改后的刑法规定，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号，以下简称《解释》)，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。本文不揣冒昧，尝试围绕《解释》的相关规定对侵犯公民个人信息罪司法适用的具体问题作进一步探究，衷心希望学界专家和实务同仁不吝指教。
　　

　　如何妥当把握“公民个人信息”的范围，直接影响到侵犯公民个人信息罪在司法实践中的正确适用。由于刑法第253条之一未对“公民个人信息”作出明确界定，司法实践中对此问题存在较大的认识分歧。在《解释》第1条关于“公民个人信息”的规定中，以下三个方面的具体问题值得进一步探讨：
　　(一)“公民个人信息”的主体
　　在《刑法修正案(七)》施行后，对非法获取公民个人信息罪中的“公民”如何理解，是限于中国公民，还是包括外国公民在内，存在着不同认识。[1]本文认为，对“公民个人信息”的主体范围应采取相对宽泛的理解，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息，理由为：
　　第一，对于刑法规范用语，不应人为限缩其适用范围。刑法第253条之一的用语是“公民个人信息”，并未限定为“中华人民共和国公民的个人信息”，因此不应将此处的“公民个人信息”限制为中国公民的个人信息。可以类比的是，刑法第232条规定故意杀人罪的对象为“人”，毫无疑问不能将此处规定的“人”理解为中国人，否则在中国境内杀害外国公民的案件将无法适用该条规定。
　　第二，外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护，否则就会出现对外籍人、无国籍人个人信息保护的缺失，而这显然是不适当的。从个人信息的刑法保护角度而言，“我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人，一视同仁地提供刑法的保护，不主张有例外。”[2]
　　第三，从司法实践来看，将大量外籍人、无国籍人个人信息排除在刑法保护之外，无疑会放纵犯罪。特别是在侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息，也有外国公民、无国籍人的个人信息时，只处罚涉及我国公民个人信息的部分，既不合理，也难操作。
　　(二)“公民个人信息”的内涵
　　目前，我国关于个人信息的界定，最为权威的当属《网络安全法》的规定。《网络安全法》76条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”对侵犯公民个人信息罪中“公民个人信息”的界定，无疑应当以《网络安全法》的规定为基础，但能否直接适用这一规定，则存在不同认识。《解释》第1条在《网络安全法》76条规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息。本文认为，上述规定是妥当的，理由如下：
　　第一，对《网络安全法》关于“个人信息”的界定宜采取广义的理解。《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”。本文认为，此处显然使用的是广义的“身份识别信息”的概念，既包括狭义的身份识别信息(能够识别出特定自然人身份的信息)，也包括体现特定自然人活动的信息。从实践来看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。但是，行踪轨迹信息显然难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外，恐难以为一般人所认同。合理的解释是，《网络安全法》将体现特定自然人活动的信息涵括在“身份识别信息”的范畴内。
　　第二，《网络安全法》对个人信息的界定目的不完全同于刑法第253条之一的规制目的。《网络安全法》1条规定：“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”据此，《网络安全法》主要是从网络信息安全的角度对个人信息作出规定，而刑法第253条之一的主要目的在于保护公民个人信息安全和相关合法权益，二者的目的不完全一致。因此，从更为有效保障公民个人信息权益的角度，对“公民个人信息”不应人为限缩范围，宜将反映特定自然人活动情况的信息明确纳入“公民个人信息”的范畴。
　　第三，刑法关于侵犯公民个人信息犯罪的规定早于《网络安全法》的相关规定。对侵犯公民个人信息罪所涉及的“公民个人信息”的解释不必完全受制于在此之后施行的《网络安全法》的规定。[3]而且此前全国人大常委会《关于加强网络信息保护的决定》1条第1款明确规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”以此为基础，《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)也明确指出“公民个人信息”包括“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。而从司法实践来看，相关典型案例也明确被告人通过非法跟踪他人行踪所获取的公民的日常活动信息属于“公民个人信息”的范畴。[4]
　　(三)“公民个人信息”的外延
　　根据《解释》第1条的规定，关于“公民个人信息”的外延，有以下几个具体问题应当引起注意：
　　第一，个人信息包括公开的个人信息。概览域外的数据信息法律保护模式，美国主要采取隐私权保护模式，以隐私权为基础，通过大量判例逐步构建起了一套保护制度；而欧盟关于数据信息的保护则是从法律上将数据信息视为人格权的延伸。[5]但是，“国际社会对个人信息的保护目的远超隐私利益，是在全面的个人基本权利意义上设计个人数据保护规则的”。[6]对于“个人隐私”的范围存在不同认识，通说认为，个人信息与个人隐私之间虽有交叉但亦有区别。《解释》第1条没有采用“涉及个人隐私信息”的表述，而是表述为“反映特定自然人活动情况的各种信息”。因此，公民个人信息不要求具有个人隐私的特征。对此实践中须注意的是，即便相关信息已经公开，不属于个人隐私的范畴，但仍有可能成为“公民个人信息”，如有关国家机关或者部门为救济、救助或者奖励而公示的公民个人信息。[7]对于此类信息获取可能是合法的，而获取后出售或者提供的行为是否构成侵犯公民个人信息罪，则须判断是否“违反国家有关规定”。对于权利人自愿公开的信息，特别是有意公开的信息，经整理后(未形成新的信息内容)向他人提供的行为，是否可以推定被收集者存在概括同意，从而无须就出售或者提供行为再次获得被收集者同意，实践中存在不同认识。为稳妥起见，本文主张，对于上述情形追究刑事责任，应当进一步审查出售、提供行为是否违反法律、行政法规、部门规章的禁止性规定。[8]
　　第二，公民个人信息须与特定自然人关联，这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人的活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。与特定自然人关联，既可以是识别特定自然人身份，也可以是反映特定自然人的活动情况。需要注意的是，无论是识别特定自然人身份，还是反映特定自然人的活动情况，都不应要求是相应个人信息单独所具有的功能。例如，身份证号与公民个人身份一一对应，可以单独识别公民个人身份，无疑属于公民个人信息的范畴；而工作单位、家庭住址等虽然通常无法单独识别公民个人身份，但同其他信息结合就能识别公民个人身份，所以也属于公民个人信息的范畴。
　　在大数据时代，就理论上而言，任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况。因此，对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些可以纳入“公民个人信息”的范畴，必然会存在较大的认识分歧。本文主张，在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时应当注意以下几点：一是需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高，需要结合的其他信息相对较少，则认定为“公民个人信息”的可能性较大；反之，如果需要结合的其他信息过多，则认定为“公民个人信息”的可能性较小。二是信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关，敏感程度较高，则对于此类信息在认定是否属于“公民个人信息”时，可以采取相对从宽的标准。三是行为人主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况，则此类部分关联信息原则上不宜认定为“公民个人信息”。
　　第三，账号密码属于“公民个人信息”。对于“账号密码”能否纳入“公民个人信息”的范围，存在不同认识。实际上，当前账号密码往往绑定身份证号、手机号码等特定信息，非法获取账号密码后也可以进一步实施侵犯财产、甚至人身的行为。因此，《解释》第1条明确将“账号密码”列为“公民个人信息”的范围，有利于保护公民个人信息安全和合法权益。
　　顺带提及的是，对于IP地址、设备ID等信息[9]和cookie信息[10]是否属于“公民个人信息”存在较大的争议。以cookie信息为例，用户的cookie信息反映了网络用户的网络活动轨迹及上网偏好，具有隐私属性，但是否属于“公民个人信息”则存在不同认识：一种观点认为，这些信息无法确定具体的信息归属主体，其终端是浏览器，没有定向识别使用该浏览器的网络用户身份。而且，如果将这些信息纳入公民个人信息的范畴，将使得精准广告业务被完全禁止，不符合产业发展趋势。另一种观点认为，浏览器背后是特定用户，且多数浏览器终端是特定用户长期使用，这些信息实际上具有识别用户身份的特征，而且精准广告投放的目标也是针对浏览器背后的用户，所以这些信息应当被纳入公民个人信息的范畴。对于上述问题，本文主张不要一概而论，而是应当根据案件具体情况作出判断。申言之，应当根据公民个人信息所具有的“识别特定自然人身份或者反映特定自然人活动情况”这一关键属性，对上述信息是否属于公民个人信息作出判断。[11]
　　

　　根据刑法第253条之一第1款、第2款的规定，违反国家有关规定，向他人非法出售或者提供公民个人信息，是侵犯公民个人信息罪的客观行为方式之一。从司法适用的角度来看，以下几个问题值得关注：
　　(一)“提供公民个人信息”的认定
　　向特定人提供公民个人信息，属于“提供”公民个人信息，对此不存在疑义。但是，对于通过信息网络或者其他途径发布公民个人信息是否属于“提供公民个人信息”，存在不同认识。本文认为，通过信息网络或者其他途径发布公民个人信息实际是向不特定多数人提供公民个人信息，既然向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”。因此，《解释》第3条第1款将“通过信息网络或者其他途径发布公民个人信息”与“向特定人提供公民个人信息”并列规定为刑法第253条之一规定的“提供公民个人信息”的情形，无疑是妥当的。
　　(二)出售或者提供公民个人信息“非法”的判断
　　《刑法修正案(九)》(草案一次审议稿)将出售或者提供个人信息入罪的前提要件设置为“未经公民本人同意”，即采用的是主观判断的标准；但是，从《刑法修正案(九)》(草案二次审议稿)开始采取了客观判断标准，即“违反规定”；《刑法修正案(九)》延续了这一立场，调整为“违反国家有关规定”。[12]对于这一立法审议过程，即对“非法”的判断从主观标准调整为客观标准，实际上彰显了对公民个人信息保护的不断全面化。但是更为值得注意的是，主观标准本身存在一定的缺陷。正如有论者所指出的，“个人信息保护是在个人信息使用过程中保护个人权益不受侵犯。在人类文明史上，任何国家、任何法律均没有将信息置于私权控制下，而是将其暴露在法律的支配权之外。个人信息不属于个人所有，法律也不会赋予个人对个人信息的排他支配权。因为这样的授权会产生‘非经个人(也称为数据主体)同意，不得使用个人信息’的法则。在这样的法则下，许多人类社会活动无从开展。”[13]因此，刑法第253条之一第1款、第2款关于出售或者提供公民个人信息的罪状表述将“违反国家有关规定”作为前提要件。据此，对于提供公民个人信息是否系非法，应当以是否违反国家有关规定作为标准。需要注意的是，判断提供公民个人信息的行为是否“非法”，不能仅以是否经权利人同意作为判断标准，而应当以国家有关规定作为基准。例如，为了维护国家安全，基于侦查、起诉、审判工作的需要，依据相关法律向司法机关提供有关犯罪嫌疑人、被告人的个人信息的，虽未经该犯罪嫌疑人、被告人许可，但符合法律规定，属于合法提供。
　　需要提及的是，基于大数据发展的现实需要，《网络安全法》44条规定任何个人和组织“不得非法出售或者非法向他人提供个人信息”，不仅允许合法提供公民个人信息，而且为合法出售和交易公民个人信息留有空间。[14]而且，《网络安全法》42条第1款进一步明确了合法提供公民个人信息的情形，即“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。”据此，经得被收集者同意，以及匿名化处理(剔除个人关联)是合法提供公民个人信息的两种情形，不能纳入刑事规制范围。因此，《解释》第3条第2款“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第253条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外”的规定，与《网络安全法》的相关规定是衔接的。
　　

　　根据刑法第253条之一第3款的规定，窃取或者以其他方法非法获取公民个人信息是侵犯公民个人信息罪的客观行为方式之一。[15]具体而言，以下几个问题值得关注：
　　(一)购买公民个人信息的处理
　　从实践来看，非法获取公民个人信息的方式主要表现为购买、收受、交换和侵入计算机信息系统或者采用其他技术手段。对于“购买公民个人信息”是否属于“以其他方法非法获取公民个人信息”，存在不同认识。《解释》第4条对此明确规定：“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第253条之一第3款规定的‘以其他方法非法获取公民个人信息’。”可见，上述规定明确购买公民个人信息属于“非法获取公民个人信息”。本文认为这一规定是妥当的，理由如下：
　　第一，刑法253条之一第3款并未明确排除“购买”方法，且购买公民个人信息当然属于非法获取公民个人信息的情形。
　　第二，从实践来看，当前非法获取公民个人信息的方式主要表现为购买，如排除此种方式，则会大幅限缩侵犯公民个人信息罪的适用范围。
　　第三，在不少侵犯公民个人信息犯罪案件中，购买往往是后续出售、提供的前端环节，没有购买就没有后续的出售、提供。而且从侦查实践来看，相当比例的侵犯公民个人信息刑事案件都是从购买环节入手，然后顺着购买的路径发现出售、提供公民个人信息的犯罪嫌疑人。如果不将购买公民个人信息纳入刑事规制范围，对于购买的行为无法刑事立案，恐会影响对侵犯公民个人信息其他环节的侦办，进而影响对整个犯罪链条的惩治。
　　(二)获取公民个人信息行为“非法”的判断
　　对于获取公民个人信息，刑法第253条之一第3款将罪状直接表述为：“非法获取”。早在《刑法修正案(九)》之前，针对刑法第253条之一规定的“非法”获取公民个人信息，有论者从“公民个人信息”是“个人法益”且具有“超个人法益属性”的角度出发，主张“非法”无需根据前置的配套法律法规进行认定，无需等待我国公民个人信息保护法等类似的法律法规出台后才能确定，除依法强制公民提供公民个人信息的情形之外，凡是未经公民个人明示或者默示之同意而获取公民个人信息的，均属于“非法”获取。[16]本文认为，按照通行观点，侵犯公民个人信息罪属于行政犯而非自然犯，故而认定其行为的违法性宜以相应前置规定为基础。因此，《解释》第4条基于体系解释的原理规定明确“非法”应当以是否违反国家有关规定作为判断标准。当然，在具体案件涉及的获取公民个人信息行为是否“非法”的判断上，对判断依据“国家有关规定”可以作相对灵活的把握，只要有一般性规定即可，而不应要求专门性规定。
　　(三)非法收集公民个人信息的处理
　　《网络安全法》41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”“网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”违反上述规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息的，应当认定为“非法获取公民个人信息”。因此，《解释》第4条“违反国家有关规定……在履行职责、提供服务过程中收集公民个人信息的，属于刑法第253条之一第3款规定的‘以其他方法非法获取公民个人信息’”的规定是与《网络安全法》的相关规定相衔接的，需要依据《网络安全法》的相关规定作进一步判断。
　

　　(一)非法使用公民个人信息行为的定性
　　实践中非法使用公民个人信息的行为日益增加，严重干扰了人民群众的正常工作和生活。[17]窃取或者以其他方法非法获取公民个人信息，或者将自己掌握的公民个人信息出售、非法向他人提供的行为可能构成相应犯罪。但是，将自己掌握的公民个人信息(包括合法获取或者非法获取的公民个人信息)非法使用的行为，却不能直接依据刑法第253条之一的规定入罪。[18]当然，单纯非法使用公民个人信息的行为未单独入罪，只是意味着不能仅仅因为使用公民个人信息的行为非法而认定其具有刑事违法性，并不意味着不能依据相关行为的刑事违法程度予以刑事惩治。对此，可以考虑相关行为的性质作出处理：如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的，可以对非法获取行为适用侵犯公民个人信息罪；如果非法使用所掌握公民个人信息，实施诈骗、敲诈勒索等其他犯罪行为的，可以依据其他犯罪论处。
　　(二)非法获取公民个人电子信息行为的处断
　　全国人大常委会《关于加强网络信息保护的决定》对公民个人电子信息的保护作了规定，在此基础上，《网络安全法》作了进一步的规定。违反相应规定非法获取公民个人电子信息的行为，无疑属于刑法第253条之一规定的非法获取公民个人信息的行为。但是，公民个人电子信息往往表现为计算机信息系统数据，故非法获取公民个人电子信息的行为有时会同时触犯侵犯公民个人信息罪与非法获取计算机信息系统数据罪。例如，违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的公民个人电子信息，同时符合了侵犯公民个人信息罪与非法获取计算机信息系统数据罪两个犯罪构成要件，但由于只有一个犯罪行为，属于刑法中的想象竞合犯，按照处理这一犯罪形态的规则，应当从一重罪处断。
　　

　　(一)公民个人信息的条数计算
　　《解释》未直接规定公民个人信息的条数计算规则，仅针对两种特殊情形作了明确规定。司法实践中应当根据案件具体情况准确认定公民个人信息的条数：(1)关于公民个人信息的条数计算，实践中往往会考虑交易规则和习惯。例如，一条信息中涉及多个个人信息的，如家庭住址、银行卡信息、电话号码，如果是按照一条公民个人信息来交易的，则往往会认定为一条公民个人信息。实践中对此并无太大争议，可以继续坚持这一做法。(2)对于实践中存在的针对同一对象非法获取公民信息后又出售或者提供的情形，则明显不宜先计算非法获取的公民个人信息数量后再计算出售或者提供的公民个人信息数量，而应当根据《解释》第11条第1款的规定，不重复计算条数。但是，公民个人信息可能被重复出售或者提供，其社会危害性明显不同于向他人出售或者提供一次的情形，对于此种情形，则应当根据《解释》第11条第2款的规定，累计计算公民个人信息的条数。
　　(二)批量公民个人信息的数量认定
　　从实践来看，除公民个人敏感信息外，涉案的公民个人信息动辄上万条甚至数十万条。此类案件中，不排除少数情况下存在信息重复，如针对同一对象并存“姓名+住址”“姓名+电话号码”“姓名+身份证号”等数条信息，但要求做到完全去除重复信息则较为困难，对于信息的真实性也难以一一核实。对此，在学理探讨中有论者从体系解释、认识错误、法益等角度出发，认为侵犯公民个人信息罪的对象应当是真实的个人信息，并从实体法与程序法的关系出发，主张公诉机关应当举证证明该个人信息是真实的个人信息。该论者还以此为基础对“逐一认定个人信息是否真实会消耗过多的司法资源”的观点进行了批驳。[19]而在司法实践中，也有个别案件要求办案机关联系权利人核实公民个人信息。本文对此则认为，上述观点在理论层面上无疑是合理的。但是在实务层面上，对于证据规则的具体应用无疑应当兼顾各类犯罪的具体情况。对于公民个人敏感信息，由于入罪门槛较低，实践中逐一核实信息的真实性并无困难；但是对于其他公民个人信息、特别是在海量状态之下，如果要求逐一核实信息的真实性，实践中难以做到。因此，应当允许适用推定规则。逐一核实信息的真实性，与运用规定规则认定信息的真实性，应当都是证明个人信息真实性的合适方法，只是基于案件实际情况作出的不同选择罢了。而且，推定规则的适用并不意味着背离刑事诉讼的证据规则，更不意味着举证责任的转移。对此问题已有诸多论者加以阐释，兹不赘言。为统一司法适用，《解释》第11条第3款规定：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”这是关于批量公民个人信息的条数认定规则。依据上述规定，根据查获的数量直接认定公民个人信息的条数，同时允许剔除不真实或者不充分的信息，实际上兼顾了公正与效率的关系，无疑是妥当的。
　　(责任编辑：周维明)