顾炳鑫 许天行

（浙江泽大律师事务所，浙江 杭州 310020）

伴随互联网经济的高速发展，近年来，侵犯公民个人信息犯罪呈高发态势。据统计，2015年至2017年，全国法院关于侵犯公民个人信息罪的刑事判决数量经历了指数型的增长过程，并在2018年达到了1928件的高峰。［1］其主要原因，一方面是由于2015年11月1日起施行的《刑法修正案（九）》和2017年6月1日起施行的《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”）扩大了侵犯公民个人信息罪的内涵外延，提升了该罪的刑罚配置，显著增强了对该类犯罪的刑事惩治力度；另一方面源于全社会对个人信息保护的意识日益提升，司法机关对该类犯罪的打击力度同步加强。本文以实务案例为切入点，探讨侵犯公民个人信息罪辩护实践中的几个焦点问题。

一、案例概述

方方公司（本文当事人姓名、公司名称均为化名）是一家互联网金融公司，其主营业务是为小额民间借贷提供居间平台服务。方方公司使用的格式化借款合同中包含以下条款：“借款人发生逾期情形的，借款人授权方方公司进行催收，并授权方方公司转授权给其合作方催收，催收方式包括但不限于：发送短信、发送函件、电话催收，联系通讯录联系人”。为协助出借人收回逾期债权，方方公司将大量逾期未还款的借款人信息发送给其委托的第三方催收公司——成成公司用于债务催收。发送的借款人信息包括：借款人姓名、身份证号码、家庭地址、欠款金额、逾期天数、工作单位、电话号码、淘宝订单地址以及借款人通讯录联系人的名字和电话号码等。成成公司在催收过程中采取了上门催收，密集电话骚扰，发送淫秽、性病、威胁、侮辱类短信等软暴力手段威胁、恐吓借款人及其关系人。蔡某是方方公司的一名员工，其工作职责是根据上级指令，向成成公司发送大量逾期未还款的借款人及其通讯录关系人的个人信息。案发后，公诉机关分别以侵犯公民个人信息罪和寻衅滋事罪对蔡某和成成公司的部分员工提起公诉。

二、焦点问题解析

本案的辩护涉及四个问题：一是借款人对允许方方公司向第三方催收公司提供其本人及亲属的公民个人信息的授权是否能阻却该行为的违法性；二是借款人明确授权、推定授权的有效性和适用条件；三是明知他人会利用特定信息从事犯罪活动仍然提供信息的刑事责任后果；四是本案是否构成单位犯罪。

（一）借款人的授权是否能阻却违法性

要回答上述问题首先需要识别侵犯公民个人信息罪所保护的法益属性，再以此判断该法益是否属于可以由公民个人进行处分的一种法益。

1.辨别本罪所保护的法益属性

侵犯公民个人信息罪涉及的法益在个人层面主要是公民的人身权、隐私权、人格权、财产权，法学界对该罪所保护的具体权利关系众说纷纭，学者们对公民个人信息权所涉及的复杂的权利属性进行了持续而深入的研讨，本文对各家纷争观点不加赘述，仅将以上权利统称为公民的个人法益。在国家与社会的层面，该罪还有可能涉及国家对公民个人信息的管理秩序、国家安全乃至信息主权［2］，我们将这些关系归类为公共法益。

研究上述两方面法益的主次轻重的价值在于，如果说公民个人法益是侵犯公民个人信息罪所保护的主要对象，那么作为权利所有者的公民就可以授权他人获取、传播和使用自己的个人信息；如若国家安全、社会对公民个人信息的管理秩序等公共法益是首要法益，或者该两种法益处于同样重要的地位，该法益即不可由公民的个人意志支配，因为公民个人不是授权放弃该法益保护的合格主体。

鉴于以下几方面的思考，笔者主张公民的个人法益是本罪保护的主要法益。

（1）从体系解释角度。法国学者亨利· 布律尔在《法律社会学》中提到，“法律条文只有当它处于与它有关的所有条文的整体之中才显出其真正的含义，或它所出现的项目会明确该条文的真正含义。”［3］。法律人在理解具体法条的时候，要有整体的、全局的眼界，将片段的信息放在全文中进行理解和分析。

刑法分则一共有十章，这十章内容的划分依据是不同罪名所侵犯的客体，也就是不同罪名所侵害的共同法益。在体系解释的视野里，我们看到侵犯公民个人信息罪被设置于刑法分则的第四章——侵犯公民人身权利、民主权利罪，而不是其他章节（如，分则第一章：危害国家安全罪；第六章：妨害社会管理秩序罪）。这是判断该罪所保护的主要法益的较明确的指标，由此我们可以判断，该罪所保护的主要法益是公民的个人法益。

（2）从目的解释角度。侵犯公民个人信息罪在《刑法修正案（九）》予以确立，其前身是《刑法修正案（七）》中增设的非法获取公民个人信息罪和出售、非法提供公民个人信息罪。全国人大常委会法制工作委员会主任李适时在《关于<中华人民共和国刑法修正案（七）（草案）>的说明》中指出：“近年来，一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄露的情况时有发生，对公民的人身、财产安全和个人隐私构成严重威胁。对这类侵害公民权益情节严重的行为，应当追究刑事责任”。以上是立法者对立法目的的明确表述，可见非法获取公民个人信息罪的犯罪对象是公民的人身、财产安全和个人隐私，这点在之后的刑法修正案中没有被改变。《关于<中华人民共和国刑法修正案（九）（草案）>的说明》指出，扩大非法获取公民个人信息罪犯罪主体的范围，增加规定出售或者非法提供公民个人信息的犯罪是为了在网络犯罪的新情况下“进一步加强对公民个人信息的保护”。此外，《解释》也明确其起草目的是“为依法惩治侵犯公民个人信息犯罪活动，保护公民个人信息安全和合法权益”。

（3）从“公民个人信息”外延界定的角度。《解释》将公民个人信息的外延界定为“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。该界定虽回避了对公民个人信息罪的权利属性的定义，但是该条文将认定公民个人信息的标准确定为“可识别标准”，而没有将落脚点放在该行为对国家安全、社会秩序的影响或所造成的威胁上，这也透露了两高在理解该罪权利属性上的一个导向。

综上，笔者认为公民的个人法益即便不是本罪所保护的唯一法益，也应是最主要的法益。

2.判断法益的可处分性

（1）借款人本人信息的可处分性。首先，现代刑法的规范不应该是家长式的管束，而应适当尊重被害人的选择自由。因为，公民的自由意志本身也是值得考虑和尊重的法益。［4］法益主体对他人侵害自己能够支配的利益表示同意，这种承诺的行为具有阻却犯罪的刑法效力，有效的被害人承诺使得某些在通常意义上被认为会构成犯罪的行为具备了一定的正当性。然而，并不是所有的个人法益都可以按照当事人的自由意志被处分或者放弃。传统意义上的被害人承诺主要是针对客观损害结果较轻的伤害行为以及纯粹的个人财产处分行为。［5］比如，甲明确授权乙砸碎自己的笔记本电脑，乙因此将该笔记本电脑砸碎。此时，由于甲的授权阻却了乙行为的违法性，不能以故意毁坏财物罪追究乙的刑事责任。但是，如果甲授权乙将自己杀死，乙在获得甲的明确授权的情况下将甲杀害，依然构成故意杀人罪。这是因为生命权和重大健康权虽然是个人法益但剥夺自然人生命的后果超出了被害人承诺能力的范围，这体现了法律对生命法益的绝对保护。因此，被害人本人允许甚至请求他人杀害自己进而放弃生命权的授权无效。侵犯公民个人信息罪更多的是保护公民的人格权、财产权、隐私权等个人法益且一般不直接涉及生命与重大健康等法益，因此通常情况下公民个人对该罪保护的法益具有可处分性。

其次，让公民对其个人信息保有一定的自主决定权符合刑法的基本特征。《解释》所采用的“公民个人信息”的概念所涵盖的信息内容非常广泛，但凡是与其他信息结合后能识别特定自然人身份或者反映其活动情况的各种信息都属于刑法所保护的“公民个人信息”。在信息网络高度发达的今天，任何一条看似无关紧要的信息都有可能在与大数据网络结合后指向特定自然人。这些海量的信息虽都有确实的法律保护价值，但并不都需要由刑法来保护。刑法作为强制性最为严厉的一种法律手段，是其他法律的保障和后盾，如不承认公民对个人信息的可处分性，则势必导致刑法打击范围的泛滥化。

再次，从提升社会运转效率的角度出发，有必要承认公民对个人信息的可处分性。在政府行政管理以及金融、电信、交通、医疗等社会公共服务领域，收集和储存了大量的公民个人信息。这些信息的共享和流动为提高行政管理和各项公共服务的质量和效率提供了便利。［6］否定公民对其个人信息的处分权的必然后果是社会运转效率的低下，这与我们日常社会生活的实际需要相冲突。

最后，《解释》第三条第二款似乎也有意为存在当事人本人授权的情况辟出合法空间：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”可见，经过公民同意而将其个人信息提供给第三人的情况不是该罪所明确规制的行为类型。

综上所述，笔者认为公民有权通过有效的约定，自主处分与自己个人信息相关的利益。

（2）借款人亲友信息的可处分性。前已述及，公民只能通过授权处分其本人可处分的法益，理论上借款人通讯录关系人的个人信息权利属于该关系人本人，不能由借款人处置。因此，在上述案例中，除非有借款人亲友本人的授权承诺，否则借款人单方面向方方公司授权使用、向第三方提供其关系人的个人信息的合同条款是无效条款，不能阻却方方公司行为的违法性。

（二）借款人明确授权、推定授权的有效性和适用条件

1.何为有效的被害人明确授权承诺

刑法学者们对有效的被害人承诺的构成要件描述各异，但核心要点基本相似：其一，法益主体必须具备承诺能力，具有完全民事行为能力和刑事责任能力。未成年人、不能完全辨认自己行为的精神病人虽然可能是某项法益的主体却不是被害人承诺的合格主体；其二，承诺必须是出于承诺人真实、自由的意思表达，被欺骗、胁迫而作出的承诺为无效承诺；其三，承诺时间必须早于行为时间（也有学者认为被害人承诺最晚时间只需在结果发生前作出即可），事后承诺为无效承诺。［7］被害人在犯罪行为发生后给出的“承诺”实际上是对行为人的一种谅解与宽恕，可以在量刑时酌情参考却不能阻却刑法对该行为的否定性评价；其四，行为人在实施犯罪之前必须已经在主观上知晓被害人承诺，如若行为人是完全基于自身的主观犯罪意图而实施的犯罪行为，那么被害人承诺即使确实存在于该行为发生之前，也不能排除该行为的犯罪性。［8］此外，存在明确的被害人承诺的证明存在举证责任倒置的情况。由于被害人承诺是超法规阻却犯罪性的事由，其证明责任一般在被告人方。因此辩护人应注重相关证据，尤其是口头证据的及时固定。

2.推定授权的适用条件

被害人推定授权，在刑法理论上称为推定的被害人承诺。笔者认为，对推定授权的鼓励将加重授权人的负担，造成授权行为后果的不可预测性，因此解释过程中，切忌将推定授权的范围随意扩大。在界定推定授权范围时，要遵循以下宗旨：第一，基于对事实情况的全面考虑，善意第三人可以推测出即使被害人事先知晓某种行为的发生也大概率会做出授权承诺，并允许行为人实施该行为［9］；第二，推定授权的行为对当事人权益所造成的客观损害不能大于明确授权的行为所造成的损害。比如，催收人员为了避免错寄催收信件，将借款人的家庭住址信息输入百度地图用于查询精确的邮政编码。该行为虽然没有得到借款人的明确授权，但即使被被害人所知也会大概率同意并且该行为对借款人权益的侵害程度甚微，小于合同中明确授权行为所造成的侵害。因此，虽然当事人没有明确授权自己提供的住址信息可以被用于查询邮政编码从而取得更精确的住址信息，但可以合理推定该行为在其授权范围内。

案例中借款人在借款合同中明确授权方方公司可出于催收目的将其个人信息提供给第三方，催收方式“包括但不限于”发送短信、发送函件、电话催收。借款合同虽然明确了方方公司向第三方提供借款人信息只能用于债务催收的目的，但对于催收的形式却没有详尽列举。在实际催收过程中，成成公司的催收人员存在利用方方公司所提供的借款人信息至借款人住宅、单位进行上门催收的情况。

实务中有人主张将该“包括但不限于”条款理解为开放性授权，即借款人授权了包含上门催收等全部形式的催收手段。笔者认为这种理解存在其明显的不合理性，主要理由有二：其一，如此理解会造成授权范围过广，后果为授权人所不可控、不可预知，对授权人造成过重的负担；其二，并非所有催收行为所侵犯的法益均为借款人个人可处分之法益。比如，通过暴力殴打、切手指等方式进行的催收由于涉及被害人的生命健康权，其可处分性更是有待商榷。基于以上分析，笔者认为在分析案例中开放性授权条款时，应采用与推定授权相同的标准。根据上文提出的推定授权二要件可知，上门催收对公民的人身财产权利的侵害要远大于电话、短信等远程催收方式，授权电话、短信催收的借款人必然不会接受上门催收的方式，因此即使本案中合同的措辞是“包括但不限于”，上门催收和其他“软暴力”催收方式也不在借款人的合理推定授权范围内。

至于方方公司超出借款人授权范围而向成成公司提供公民个人信息的行为是否构成侵犯公民个人信息罪则取决于方方公司的主观状态。如果方方公司明知或应知成成公司会采取超出借款人授权范围的上门催收行为却依然提供借款人信息，则其行为触犯侵犯公民个人信息罪；如果对于成成公司的催收手段毫不知情，或者已尽到审查义务并且明确禁止成成公司采取超出借款人授权范围的催收方式，则会因缺少本罪故意的主观构成要件，不构成本罪。

（三）明知他人会利用特定信息从事犯罪活动仍然提供信息的刑事责任后果

《解释》第五条第一款第（二）项规定，非法获取、出售或者提供公民个人信息，并且存在“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”的情况的，属于刑法第二百五十三条之一规定的“情节严重”的情形。欲构成侵犯公民个人信息罪，不能单凭“明知他人会利用所提供信息而依然提供”这一个要素判定，还需要寻找刑法上“非法获取、出售或者提供”的依据。

1.假设一

假设案例中借款人授权方方公司向第三方提供借款人信息用于电话催收，并明确许可高频率电话呼叫、电话恐吓、辱骂等催收手段。

高频电话呼叫属于客观损害结果较轻的“软暴力”行为，借款人理论上可以通过合同约定的方式处分其本人的相关法益并阻却方方公司侵害该法益的行为的违法性。但通过电话进行恐吓、辱骂等行为所侵害的法益很有可能突破个人法益的边界而进入公共法益的范畴，从而丧失公民个人的可处分性。因此，即使借款人在协议中明确约定上述可能涉嫌违法的行为作为其许可的催收方式，该行为所侵犯的法益是否能为借款人所有效处分仍是一个亟待讨论的话题，这需要结合事实场景、所涉及罪名以及行为的危害程度具体分析。

2.假设二

假设案例中借款人仅明确授权方方公司向第三方提供借款人信息用于电话催收。方方公司明知成成公司会对借款人采取高频率电话呼叫、电话恐吓、辱骂等涉嫌寻衅滋事罪的行为却依然向其提供信息。

至此，这一问题又回归到了上文分析的授权范围的问题：借款协议是否包含了对高频率电话呼叫、恐吓、辱骂的行为的许可。笔者认为，借款人授权他人使用其个人信息用于电话催收、信函催收不可推定其许可他人使用其个人信息用于上述涉嫌寻衅滋事罪的软暴力手段，并且上述行为在客观上对借款人的人身、财产权利所造成的侵害要大于借款协议明确授权的行为。故，假设方方公司明知成成公司会利用其提供的信息对借款人进行违法的软暴力催收，其提供信息的行为构成侵犯公民个人信息罪。与此同时，方方公司还可能因向成成公司提供用于犯罪的信息，起到了事实上帮助的作用而构成寻衅滋事罪的共犯。

（四）实务中单位犯罪和个人犯罪界限模糊的问题

《刑准，也不会直接减轻直接负责主管人员和其他直接责任人员的法修正案（九）》将本罪的犯罪主体从国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员扩大到一般自然人和单位，并规定，“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚”。《解释》第七条再次明确单位犯侵犯公民个人信息罪的，直接负责的主管人员和其他直接责任人员的定罪处罚依照相应自然人犯罪的定罪量刑标准。虽然对本罪而言，对单位犯罪的定性改变不了本罪的入罪标法定刑，但在实务中对特定的嫌疑人却可能有着重大的影响。主要原因在于单位犯罪中只有“直接负责的主管人员”和“其他直接责任人员”会被起诉，而对于个人犯罪，只要是对整个犯罪事件起到一定帮助作用的个人都有被定性为共犯的可能。

根据《全国法院审理金融犯罪案件工作座谈会纪要》（以下简称“《纪要》”）之规定，具体案件中对犯罪主体的决定权主要在于检察机关而非法院。对于应当以单位犯罪起诉而检察机关只以自然人犯罪起诉的案件，法院只能建议检察院对单位犯罪补充起诉，如果检察院决定不补充起诉，人民法院仍应受理，并对被起诉的自然人按照刑法对单位犯罪中的直接负责的主管人员或者其他直接责任人员的规定追究刑事责任。这在事实上严重压缩了辩护人的辩护空间。《纪要》指出，在单位犯罪中，直接负责的主管人员是起决定、批准、授意、纵容、指挥等作用的人员；其他直接责任人员是具体实施犯罪并起较大作用的人员；对于仅仅是根据单位上级领导的指令而实施犯罪的人员，一般不认定为直接责任人员。据此，上述案例中的数据分析员蔡某是在其部门领导的授意下向成成公司发送借款人个人信息数据，不属于单位犯罪中的直接责任人员，可能会因此被免于刑事问责。但事实上上述案例却是以个人犯罪起诉，蔡某在整个事件中起到的作用虽小，且是受部门领导指示，但由于确实实施了向第三方非法提供大量公民个人信息的行为，仍难逃脱刑事处罚。

在侵犯公民个人信息罪的司法实践中，一方面，不乏为了维护大企业的社会声誉和经济效益而“弃车保帅”“避重就轻”，错误地理解和适用国家保护民营企业的刑事政策导向，将单位犯罪行为定性为个人犯罪行为，甚至有将企业底层员工作为犯罪主体的案例；另一方面，也存在笼统地将以单位名义进行的犯罪活动定性为单位犯罪，造成不必要的经济损失和人员失业的情况。因此，在具体案例中辨明单位犯罪与个人犯罪的认定标准意义重大。

本案中，区别侵犯公民个人信息罪的犯罪主体是方方公司，还是负责发送数据的工作人员蔡某需要综合考虑以下三个问题：一是蔡某是以单位名义还是个人名义向成成公司提供公民个人信息数据？二是催收所得款项是流向方方公司还是蔡某个人？三是向成成公司发送信息的行为是否通过公司的决策机制，体现的是公司意志还是蔡某的个人意志？回答上述问题有助于明确本罪的犯罪主体。在具体案例的分析中，没有一个因素是决定性的，需要结合具体案件情况综合考虑。

三、结论

互联网的加速普及和各种互联网服务推陈出新给社会大众的生活带来便利的同时，也为侵犯公民个人信息犯罪创造了滋生地。首先，侵犯公民个人信息犯罪不仅危害公民个人信息安全，且通常与其他更具社会危害性的犯罪结合在一起（如：电信网络诈骗、寻衅滋事、绑架、敲诈勒索等），其社会危害日渐加剧，是刑法应当严厉打击的对象；其次，刑法作为调整社会关系最严厉的手段，其作用的发动不宜过分地前置化，对于用其他法律就可以禁止的危害行为应当保持一定的谦抑性，尤其要适当尊重公民本人的信息支配权。笔者认为，侵犯公民个人信息罪所侵犯的法益是以当事人可处分的个人法益为主。对于当事人基于真实、自愿的意思表示授权他人获取、提供、使用自己的个人信息的行为，刑法应当予以尊重和承认。在分析公民允许第三人使用其个人信息的授权范围时，应审慎地进行任何扩大解释，被害人授权不能阻却授权范围之外的行为的违法性。最后，在侵犯公民个人信息罪的司法实践中应当谨慎区别单位犯罪和个人犯罪，不能将其作为利益权衡的手段，这也是保护当事人利益和维护法律公正性的必然之义。