丁学文

现代社会的公民个人信息不仅具有传统的社会属性，还被赋予了法律属性和经济属性。在大数据时代公民个人信息迅速增长，其经济价值日益凸显，同时也隐藏着巨大的安全风险。因此，对于侵犯公民个人信息的行为，不得不通过刑法来加以规制。对于侵犯公民个人信息犯罪的刑法规制，目前学界还存在争议。合理构建侵犯公民个人信息犯罪的罪名体系，对于切实保障公民权益具有重要的现实意义。

一、侵犯公民个人信息罪的立法变迁

（一）有关概念解读

侵犯公民个人信息犯罪，这里指于2011年修正后《刑法》第253条规定的“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”。

根据法条对罪状的描述，侵犯公民个人信息的手段限于“出售”“非法提供”“非法获取”3种。“出售”与“非法提供”以违反国家规定为前提，“非法获取”无此前提。如果未违反国家规定或者违反的是国家其他规范和地方规定，则不构成侵犯公民个人信息罪。

出售与购买相对应，是买卖双方中的卖方。对“出售”法条未以“非法”限制，这意味着公民个人信息禁止出售，公民个人信息的经济价值不在于出售而在于其他方面；对于买方而言，可以构成非法获取公民个人信息罪。

非法提供与合法提供相对应。此处“非法”中的“法”，显然指代“国家规定”。如果符合“国家规定”而将个人信息提供给他人，或者违反地方规定和国家其他规范而将个人信息提供给他人，则不属于“非法提供”。由此可见，个人信息在一定范围内允许提供给他人。

非法获取与合法获取相对应。只要是获取公民个人信息的流程、资格、信息种类等都符合“国家规定”，就属于合法获取；反之，就是“非法获取”。最常见的非法获取是窃取。

关于“公民个人信息”的含义，由于目前尚无专门性的公民个人信息保护法，因此没有法定统一的表述。2011年有学者统计，我国涉及公民个人信息保护的规范分散于37部法律、15部司法解释、124部行政法规和部门规章中［1］。这些法律仅对公民个人信息采取列举式表述，大致规定了哪些个人信息属于各自规范的调整范围，未触及公民个人信息的核心特征。《刑法》在规定侵犯公民个人信息罪时，仅指出了公民个人信息的来源，即“在履行职责或者提供服务过程中获得的”。有学者给出了一个界定：公民个人信息是指足以识别该个人的所有信息［2］。

（二）有关立法的变迁

2009年《刑法修正案七》第7条，增加“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”。刑法对于侵犯公民个人信息罪的犯罪手段仅限于“出售”“非法提供”和“非法获取”这3种。对于赠送、交换、滥用、披露等手段，学界认为可以通过刑法解释，使其归入这3种。

2014年11月公布的《刑法修正案九（草案）》第16条的规定，拟从犯罪手段、犯罪主体、法定刑及个人信息来源4个方面，对刑法中的侵犯公民个人信息罪规定进行修正。对比这2部刑法修正案中对于侵犯公民个人信息罪的规定，可以看出一些细微变化（见表 1、表 2）。

关于犯罪手段，增加了“未经本人同意，向他人出售或者非法提供”，也就是增加了本人的自主选择权。关于犯罪主体，取消了特定机关与单位的限制，仅保留“职责履行者”与“服务提供者”限制，降低了犯罪门槛，扩大了主体范围，中介组织、信息查询机构等掌握大量个人信息的单位及工作人员等均被涵盖。在法定刑上，相应增加“处2年以下有期徒刑或者拘役，并处或者单处罚金”这一较低法定刑，具有一定合理性。未经本人同意侵犯其个人信息的涉众面狭窄，社会危害性小。关于个人信息来源，“出售、非法提供公民个人信息罪”取消了特定机关和单位的限制，增加“本人的个人信息”；“非法获取公民个人信息罪”取消了“上述信息”的限制，使得其中的“个人信息”具有独立属性和来源。总体来说，《刑法修正案九（草案）》扩大了个人信息的源头范围。

表1 出售、非法提供公民个人信息罪

表2 非法获取公民个人信息罪

二、关于罪名体系问题

（一）犯罪手段存在竞合、包容关系

无论是《刑法修正案七》还是《刑法修正案九（草案）》，都没有对侵犯公民个人信息罪的犯罪手段种类作出修正。在刑法框架下，侵犯方式仅包括“出售”“非法提供”与“非法获取”。然而，这三者之间并非绝对排斥关系。这不利于司法实践中对犯罪行为类型的认定。

首先，“出售”与“非法提供”之间存在种属关系［3］。出售，是指没有合法根据而将合法拥有的公民个人信息有偿提供给他人。非法提供，是指没有合法根据而将公民个人信息提供给他人，自然包含有偿提供与无偿提供。可以看出，“非法提供”必然包含 “出售”。那么，规定“出售”这一行为的独立意义何在？“非法”二字的限定已然说明，只要没有合法根据而将公民个人信息流出的行为，就构成侵犯公民个人信息，有偿与无偿之分并不是决定因素。现实中还存在行为人不以获取利益为目的而向他人提供公民个人信息，获取一方事后可能给予提供方报酬，此时“出售”与“非法提供”之间的界限就显得更加模糊［4］。?司法实践中通常将此情形认定为“非法提供”，而非“出售”。事实上，此情形更接近于有偿提供。有偿提供的对价支付，时间不一定在交付之前，可以在交付之后。

其次，“非法提供”与“非法获取”之间存在竞合关系。从表面上看，“非法提供”与“非法获取”之间是排斥关系，两者的刑法责难重心不同，前者主要责难提供一方，后者主要责难获取一方。但是，两者依然存在竞合关系。譬如：在双方互相交换各自合法所有的公民个人信息的情形下，“交换信息”这一行为本身包含着非法提供与非法获取2种行为，非法获取是非法提供的目的，非法提供是非法获取的手段。任何一方在交换信息时，都同时触犯了非法提供公民个人信息罪与非法获取公民个人信息罪。由于只存在一个行为，却同时触犯两个罪名，构成想象竞合犯，此时需要择一重罪处罚。但由于两者法定刑完全相同，选择适用何种罪名对于最终量刑无任何影响。实践中常常以非法获取公民个人信息罪定罪处罚，毕竟行为人最终的目的是为了获取公民个人信息，非法提供只是犯罪手段而已。由此可见，对于侵犯公民个人信息犯罪手段的不当规定，导致司法实践的随意性，在个别案件中会被放大。

（二）“违反国家规定”的约束范围不明确

2011年《刑法》第96条规定了“违反国家规定之含义”，“是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”。国家规定不同于地方规定或者以国家名义颁布的其他规范性文件。《刑法修正案九（草案）》取消了特定单位的限制，保留了“违反国家规定”，表明在一般情形下，“出售”与“非法提供”仍然必须以“违反国家规定”为前提［5］。 那么，对于“未经本人同意”情形中的“出售”与“非法提供”，是否需要坚持这个前提？笔者认为不需要。大数据时代，信息收集、储存与保管的主体不再限于国家机关、金融、电信、交通、教育、医疗等象征着国家公权力的特定单位，还包括中介组织、私家侦探、网购平台、用人单位、信息查询机构等。这些组织机构拥有大量的公民个人信息，可能出现出售、非法提供公民个人信息的情况。但它们有一个共同特点，那就是与信息主体之间存在某种形式（书面、口头或者隐性）的保密协议，或者禁止擅自出售的协议。违反这些协议并不必然违反国家规定。“未经本人同意”的侧重点，应该在于公民个人信息的自主决定权和自主流通权，非国家对公民个人信息安全的强制保护。

值得注意的是，在取消“国家机关以及金融、电信、交通、教育、医疗等单位”的前提下，“违反国家规定”还存在多少理论与实践空间？“违反国家规定”必然与“国家机关以及金融、电信、交通、教育、医疗等单位”相对应，因为后者代表着一种采集、储存、保管公民个人信息的公权力［6］，而这种公权力必须受到国家规定的规范调整。我国对于公民个人信息的规范保护不限于国家规定，还有地方规范或者国家其他规范。

（三）“公民个人信息”的含义待法定

根据《刑法修正案七》，公民个人信息是指国家机关或者金融、电信、交通、教育、医疗等单位在履行公务或者提供服务中获得的公民个人信息。这只是就公民个人信息的来源限制。《刑法修正案九 （草案）》也没有采取“引证罪状”这一立法表述。有学者建议，“公民个人信息”应是包括姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息［2］。换言之，公民个人信息包括了身份信息、财产信息、社会信息等可以识别该个人，将该个人与其他人区分开的信息。这就明确了“公民个人信息”的核心特征。刑法中的公民个人信息应该与行政法中的公民个人信息的概念界定相同，只是在个人信息遭受严重侵害时才给予刑法保护而已［7］。

（四）法定刑配置不协调

在《刑法修正案九（草案）》之前，刑法对“出售”“非法提供”与“非法获取”配置了完全相同的法定刑。《刑法修正案九（草案）》增加“未经本人同意”情形，并为此配置较低的法定刑。当一方未经本人同意，擅自与他人交换其个人信息，另一方非法获取该个人信息时，双方均构成“出售”“非法提供”和“非法获取”，此时为想象竞合，择一重罪处罚。在《刑法修正案九（草案）》之前，可以任意选择罪名适用，因为法定刑完全相同。以后，由于最高法定刑的不同，最终定罪量刑结果会有所不同。由于非法获取公民个人信息罪的法定刑，比出售、非法提供公民个人信息罪的法定刑高，所以交换公民个人信息应构成非法获取公民个人信息罪。由此一来，罪名认定与法定刑配置之间的紧张关系将加剧。

三、侵犯公民个人信息罪的罪名体系重构

针对上述问题，笔者认为，侵犯公民个人信息罪的罪名体系应进行重构。

（一）犯罪手段“去类型化”

侵犯公民个人信息罪的犯罪手段存在竞合或者包容关系，难以有效应对各种侵犯公民个人信息行为类型，如交换公民个人信息等。有学者建议，在当前侵犯公民个人信息现象泛滥的情形下，侵犯公民个人信息犯罪应该“去类型化”，改为笼统式规定，将现有多个罪名统一表述为 “侵犯公民个人信息罪”，以扩大打击范围，加强刑法保护。笔者赞同“去类型化”的主张。

首先，“侵犯某某罪”的立法表述已经约定俗成，如侵犯通信自由罪、侵犯少数民族风俗习惯罪、侵犯著作权罪、侵犯商业秘密罪等。此类罪名都为一种去类型化规定，虽然根据具体行为方式可能有 “再分类”，但罪名依然为“侵犯某某罪”。

其次，“侵犯某某罪”是一种动宾结构，由侵犯的行为和侵犯的对象共同组成。从侵犯的对象上看，都具有容易被他人侵犯的性质，而且无论哪种侵犯方式都可能造成该对象的法益损害。公民个人信息恰恰具有这种性质，无论手段是出售、购买、非法提供、非法获取还是交换，都可能造成对公民个人信息法益的严重侵犯。此类犯罪重点强调侵犯对象的特殊性，而不是侵犯手段的特定性。

最后，统一表述为“侵犯公民个人信息罪”，有利于克服司法实践中存在的混乱局面。譬如购买行为，其与出售行为相对应，但实践中有些法院对购买者不定罪处罚［8］，而有些则判决购买者构成非法获取公民个人信息罪［9］。统一规定为 “侵犯公民个人信息罪”，并增加兜底性规定，则上述矛盾判决就没有了存在空间。

（二）刑法与前置法的协调

《刑法修正案九（草案）》取消公民个人信息的来源限制，意在扩大公民个人信息的保护范围，但依旧没有规定公民个人信息的核心内涵以及外延范围。这对公民个人信息的刑法保护带来很大的挑战，一方面增加了法官的自由裁量权；另一方面可能导致刑法的保护范围缩小，一些本应加以刑法保护的公民个人信息，可能被排除在外。笔者认为，应采取“引证罪状”的模式，增加对公民个人信息的具体规范引证。具体模式可以借鉴交通肇事罪的立法表述（违反交通运输管理法规），取消“违反国家规定”这一限制，代之以“违反公民个人信息保护规范”。在取消特定单位限制的前提下，前置法理应同时做出修改，不再限定于“国家规定”。“公民个人信息保护规范”才是与“侵犯公民个人信息罪”相对应的前置法。这样，可以做到刑法与前置法的协调。

（三）法定刑的重新配置

在法定刑上增加 “处两年以下有期徒刑或者拘役，并处或者单处罚金”这一较低法定刑，对应“未经本人同意”情形下“向他人出售或者非法提供其个人信息”的犯罪手段。这是合理的。毕竟未经本人同意侵犯其个人信息的涉众面狭窄，仅限于本人而不涉及大多数，社会危害性较小。在统一使用“侵犯公民个人信息罪”的前提下，将该种行为单独配置法定刑，也能使得法定刑相对协调。

同时，在维持基本的法定刑（处3年以下有期徒刑、拘役，并处或者单处罚金）的前提下，还应增加法定加重情节，并相应配置加重刑。随着侵犯手段在“量”方面的不断积累，有的可能造成被害人人身、财产的重大损害，或者名誉、荣誉、日常生活、日常生产经营等方面被严重侵害；有的可能出现多次侵犯行为；有的可能造成数量巨大或者特别巨大的公民个人信息被侵犯；有的非法获利数据巨大或者特别巨大，等等。对上述情形相应增加“情节特别严重”的法定刑，使侵犯公民个人信息罪的法定刑配置趋于完善，具有重要的现实意义。

另外，还应增加“有前款行为，同时构成其他犯罪的，依照数罪并罚的规定处罚”。因为现实中存在着行为人在侵犯公民个人信息的同时，又实施了其他犯罪行为。取消“国家机关、金融、电信、交通、教育、医疗等单位”的限制后，还应增加“国家工作人员利用职务上的便利实施侵犯公民个人信息犯罪的，依照前款的规定从重处罚”。国家工作人员利用职务上的便利实施侵犯公民个人信息犯罪，比其他犯罪主体具有更大社会危害性，理应从重处罚。对此，也可以借鉴非法拘禁罪的立法模式。

[1]胡雁云.我国个人信息法律保护的制度选择与模式建构[J].中州学刊，2011（4）.

[2]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学，2005（6）.

[3]慈健.非法提供与获取公民个人信息行为的刑法规制[J].西南科技大学学报（哲学社会科学版），2012（1）.

[4]周海洋.出售、非法提供公民个人信息罪与非法获取公民个人信息罪的理解与适用[J].中国审判，2010（1）.

[5]张磊.司法实践中侵犯公民个人信息犯罪的疑难问题及其对策[J].当代法学，2011（1）.

[6]李江林.出售及非法提供公民个人信息罪主体的厘定[J].云南警官学院学报，2013（6）.

[7]赵江辉，陈庆瑞.公民个人信息的刑法保护[J].中国检察官，2009（6）.

[8]韩芳，杜宗杰，崔光同.北京首例出售公民个人信息案宣判[N].人民法院报，2012-06-12（2）.

[9]詹奕嘉.广州检察院首次以出售公民个人信息罪批捕犯罪嫌疑人[N].法制日报，2009-07-10（2）.