探究非法提供公民个人信息罪问题

杨筠桦

郑州大学法学院，河南 郑州 450001

探究非法提供公民个人信息罪问题

杨筠桦

郑州大学法学院，河南 郑州 450001

随着社会进步和科技的发展，信息化的普及就像一把双刃剑，既跟人们带来便利又伴随着很多个人信息安全隐患。微信支付、支付宝等第三方支付的普及，使公民个人信息的经济属性日益凸显。一旦公民个人信息遭到泄露或被第三方非法利用，将对信息所有者造成极大的人身和财产损失。本文通过对我国侵犯公民个人信息犯罪的现状进行分析，充分了解和认识当今互联网快速发展的时代下非法提供公民个人信息的各种行为，认真分析侵犯公民个人信息犯罪司法认定中存在的问题，参照国外的相关立法，提出完善和改进的建议，以期为司法实践提供理论建议。

信息化；信息犯罪；立法

互联网技术和科技的发展给人们的生活带来了便利，聊天、交友工具使人们的交流更加便利；支付宝、微信支付等快捷支付使人们的交易更加快捷。但随之而来的就是公民个人信息安全的问题，一旦公民的个人信息被盗取，将会对其造成严重的损失。为了对公民的个人信息安全进行保护，2009年2月28日出台了《刑法修正案(七)》这是我国首次在刑法层面对侵犯公民个人信息的行为进行规制。在2015年8月29日出台的《刑法修正案(九)》中对公民个人信息罪作了修改。然而在实践方面，还有很多不足。在这个背景下，对非法提供公民个人信息罪做出探讨，并提出建议。

信息社会的发展对公民个人信息的保护提出了新的要求，公民在网络上的活动使得其个人信息也在网络上流传。公民的动态信息出现和活跃对公民个人信息的范围提出了新的要求，也对公民个人信息的保护提出了新的要求。一旦公民个人信息遭到泄露或被某些个人或机构非法利用，将会对信息所有者造成极大的财产和人身损害。公民个人信息的泄露又极易诱发诈骗、敲诈勒索等多种下游犯罪，严重危及到了公民的安全感，甚至破坏社会的和谐稳定。在互联网时代下，分析侵犯公民个人信息罪的现状，有利于发现我国刑法规制中存在的问题，并使之不断改进。有利于我国司法理论和实践的进步。

一、公民个人信息概述

(一)公民个人信息的含义和特征

1.公民个人信息的含义

公民是一个集合概念，泛指一国国籍的所有人。《辞海》中将公民解释为，获得某国国籍，并依据该国法律享有权利、承担义务的人。

个人是指单个的自然人。本罪所涉及的是侵犯自然人的信息而非单位的信息。而个人信息是指单个自然人的消息，即能够识别单个自然人的消息。在此所说的识别包括直接识别和间接识别。直接识别指能够直接确定人的身份的信息，比如身份证号；间接识别则是不能直接确定信息主人的身份，但借助分析或其他信息能够确定，比如姓名、电话号码等。

公民与个人信息一起使用组成公民个人信息一词，也应是一个集合概念，是指一类人的具有识别性的消息。

2.公民个人信息的特征

第一，识别性和隐私性。识别性即通过知悉的信息能辨别出特定的个人。隐私性是指信息所属人不愿意让公众知道的个人信息。

第二，非特定性。非特定性指本罪非法提供的公民个人信息不是针对特定的人，而是针对一类具有共同特征的人。

(二)公民个人信息与个人隐私

个人隐私是指公民在自己的个人生活中不愿意为他人公开或知悉的秘密。隐私权则是指自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的权利，属于人格权的一种。

个人隐私与隐私权在法律概念上也有所区别：个人隐私的含义是公民个人生活中不愿意对他人公开或知晓的秘密，而不是指公民个人在工作中不愿意为他人公开或知悉的秘密。例如，公民个人的私人存款及数额就属于个人隐私的范畴，其隐私权受到法律保护；但需要注意的是，公民个人在工作中的劳动所得，即工资的数额则不属于个人隐私。隐私权在法律上的法律概念则对个人隐私有了一些限制，一是指个人所有的；二是其与公共利益无关，换言之自然人只对其自己所有的、与公共利益没有关系的个人信息、个人活动和私有领域享有支配权。而对于不是其本人所有的、不是与公共利益无关的个人信息、私人活动和私有领域，个人对其没有支配权。不属于其本人所有的、与公共利益有关的个人信息不属于个人隐私，任何的个人对其不享有有支配权。

(三)对“非法提供”的理解

“非法提供”指掌握公民个人信息的机构或个人在没有合法依据或未经信息所有人同意的情况下，把在其履行职责或提供服务时合法获得的公民个人信息无偿提供给第三人。此处“提供”前缀“非法”是因为行为存在阻却事由。有些行为经过允许实施或在特定条件下实施因而没有侵害法益时，就不具有违法性。此处违法阻却事由有两个：第一是有合法依据。指公民个人信息提供给他人有依据。第二是信息主人同意。

二、本罪的界限问题

(一)关于“人肉搜索”行为的定性

人肉搜索是随着互联网的发展而出现的一种行为，它区别于机器搜索，但又是一种以互联网为媒介的行为。人肉搜索是一种网络群众运动，它部分采用人工的方式对网络搜索引擎提供的信息一一辨别真伪，同时还会通过一些知情人士采取匿名方式提供信息来达到搜集的目的，以此来查找特定人物或揭露事件真相。

人肉搜索一般是由一起事件引发的。这个事件可能是犯罪行为，也可能是是不违反法律，但违背主流道德观的行为，也可能只是一个不合常理的事件的主角。一起特定事件发生后，事件的相关人或对此事情的真相好奇者，通常会在网络论坛上发表帖子，罗列出已经掌握的相关人物资料和事件资料，并会号召网友帮助查找事件相关人的真实身份和详细的个人资料。感兴趣的网民会通过网络、社会人际关系等手段，寻找更多的资料，并将这些资料汇总后发布到网上。因此，对“人肉搜索”行为应当慎重对待。

(二)本罪罪与非罪的界限

《刑法修正案(九)》第十七条增设的非法提供公民个人信息罪规定构成本罪的行为要达到“情节严重”，这是区分本罪罪与非罪界限的最主要依据。但是立法本身对“情节严重”没有做出更加详尽的规定，也没有相应的司法解释对其进行细化或更加详细的规定，这就导致在司法实践中法官对本罪的认定会存在一定难度。

笔者认为，将刑法学的理论与司法实践相结合来说，上述“情节严重”可能出现以下几种情况：(1)非法提供公民个人信息的获利相对较大；(2)非法提供公民个人信息次数过多或向多人提供；(3)情节特别严重、目的手段特别恶劣的，一般认为对国家利益造成损害或严重扰乱社会秩序的；(4)公民个人信息被用于违法犯罪活动；(5)由于非法提供公民个人信息而造成公民在经济上遭受重大损失；(6)其他情节严重的行为。

由此可见，当行为人已经实施了非法提供公民个人信息的行为，但没有达到“情节严重”的标准时，并不能构成非法提供公民个人信息罪。此种区分不但能划清本罪罪与非罪的界限，还有利于缩小犯罪范围以及刑法的打击面。

(三)本罪与相似犯罪的界限

1.本罪与非法提供信用卡资料罪的界限

本罪与非法提供公民信用卡资料罪都是侵犯公民个人信息的犯罪，这二者有相似之处，但二者之间也有区别。主要区别有：1.主体的区别。非法提供公民个人信息罪的主体是特殊主体，一般包括国家机关或金融、电信等单位的工作人员。而对于非法提供信用卡资料罪的主体，只要是年满16周岁，且具有完全刑事责任能力的自然人，都可以成为本罪主体，是一般主体。2.客体不同。非法提供公民个人信息罪侵犯的是公民的个人信息的合法权益，侵犯的客体是公民的人格权。非法提供信用卡资料罪侵犯的是持卡人的经济利益。3.违反规定不同。非法提供公民个人信息罪是违反了国家规定，将自己在本单位工作过程中获取的公民个人信息给予无权获取和知晓的人。非法提供信用卡资料罪是违反信用卡管理规定，是非法提供他人信用卡信息的行为。

2.本罪与非法泄露国家秘密罪的界限

本罪与非法泄露国家秘密罪的主要区别有：1.主体不同。非法提供公民个人信息罪的主体一般包括国家机关或者金融、电信等单位的工作人员，是特殊主体。非法泄露国家机密罪的主体是自然人，主体为一般主体。2.客体不同。本罪侵犯的是公民的个人信息的合法权益，侵犯的客体是公民的人格权。而泄露国家机密罪是违反了国家保守秘密法的有关规定。3.行为对象及其方式不同。本罪的对象是公民个人信息，行为方式是将自己在本单位工作过程中获取的公民个人信息给予无权获取和知晓的人。非法泄露国家秘密罪的行为对象是国家秘密，行为方式是个人用任何方式将国家秘密非法泄露给无权知晓国家秘密的个人。

三、国外个人信息保护的立法规定

(一)美国

在隐私权的保护方面，美国在国际上起步较早。在信息化进程中，虽然美国一直强调自由，但这并不能说明美国不重视个人信息的保护。美国早在1970年就颁布了《公平信用报告法》，以保护公民信用卡信息。1974年12月31日，美国的参、众两院通过了《隐私权法》，该法对公民个人信息的采集、公开、使用等做了详细的规定，是美国隐私权保护的基本法律。以虚假身份骗取、泄露和侵犯公民个人信息都被纳入美国刑法规制的范围。随后的《联邦隐私法》详细规定了政府和法律执行机关收集、储存、公开个人资料的程序问题。在这个时期内，美国制订颁布了一系列保护公民个人信息的法律，如《信息保护和安全法》《防止身份盗用法》《网上隐私保护法》《消费者隐私保护法》《反网络欺诈法》和《社会安全号码保护法》等。早在1997年，保护网络隐私权作为一项基本原则就被克林顿政府在《全球电子商务发展框架》报告中提了出来。

总之，在公民个人信息的保护这个方面美国的制度和法律比较分散，但又比较全面。在法律方面又专门法来保护，在实践过程中也会有美国消费者委员会的支持。

(二)欧洲

欧洲的法律制度可以被分为两个层次。一是在欧盟体制内的立法，为欧盟的公民提供个人信息的保护；二是欧盟各国在自己国内制定的法律。

本文选择英国、法国和德国三个国家的法律为例进行分析。为了保护公民个人信息，英国在1984年就颁布了《个人数据保护法》。1999年，英国议会又对其进行了修改，信息保护的原则被确立，信息主体的权力与义务也做出了完善。此外，《信息公开法》首次对信息进行了界定。

与英国有所不同，在德国，所有个人信息被采用统一立法的模式进行同等保护。德国关于公民个人信息保护、损害赔偿、监督等法律制度相对成熟。1983年德国颁布的《人口普查法案》中规定了信息自决权，这使个人资料权利成为一种宪法权利，德国公民个人信息保护的发展由此可见一斑。

四、我国立法缺陷及完善建议

(一)我国立法缺陷

1.本罪概念的内涵与外延模糊

本罪条文对犯罪主体的表述采用列举的方式，非法提供公民个人信息罪的主体是国家机关或金融、电信、教育、医疗等单位及其工作人员，在列举单位后用“等”字结尾，会造成人们对“等”字不同的理解和解释，也可能导致本罪主体范围的不同。由此可见，本罪主体范围的规定相对模糊，可能导致司法实践过程中受到影响。

即使《刑法修正案(九)》将侵犯公民个人信息这一行为认定为犯罪，但也为此罪设置了前提，那就是达到“情节严重”。按照本法条的规定，本罪需要达到“情节严重”这一标准方可入罪，但对于“情节严重”的标准，立法机关还没有出台相关规定或说明。此缺陷使得司法实践中法官在审理具体案件时可能会出现量刑标准失衡、入罪门槛悬殊等现象。

2.可操作性不强

本罪的另一个缺陷就是可操作性不强，在司法实践中有所不足。主要表现在调查取证存在一定难度，本罪主体在履行职责的过程中有没有将获得的公民个人信息非法提供给他人，在本罪的调查取证中做到有效的证明是一件相当困难的事情。在缺乏相应的调查取证的措施的情况下，本罪规定的具体实施会有很多困难。当前社会是一个信息化的社会，人与人之间在交流信息的过程中伴随着大量的信息流通。人们对信息进行处理成为生活中的常态。如何判断对公民个人信息的处理是否合法，在实践操作方面还存在很大的困难。

3.缺乏系统法律规范

我国目前的法律体系中，保护公民个人信息的相关配套规定有所缺失，例如，相关的民事处罚和行政处罚等制裁措施缺失，法定犯的刑事违法性的前提是其行政违法性，构成相应犯罪的前提是违反了法律法规的行为经过刑事法律的选择，将其中严重的违法行为规定为犯罪。由此可知，行政违法性是刑事违法性的前提，非法提供公民个人信息罪应具有行政违法和刑事违法的双重性。《刑法修正案(九)》的公布，使我国公民个人信息的刑事立法先于行政法、民事法规等前置性立法出台，只用刑法这一种手段规制公民个人信息的流通、制止非法提供公民个人信息行为还有很大缺陷。相关立法机关应尽快出台个人信息保护法，避免在对违法行为的规制上出现断层。

4.公共机构与信息主体之间的权利失衡

当前的另一大缺陷就是现有的信息保护法律所授予的信息管理主体的权利与义务严重不对称。很多规定使公共机构获取公民个人信息更加容易，但由于缺乏对信息获取主体义务的规定，导致公共机构与信息主体之间权利严重失衡。信息获取主体可以以很便捷的方式和渠道得到公民个人信息，却缺乏相应的监督和制约，由此导致这些拥有公民个人信息的主体能够随意的向第三方提供公民个人信息，不论是合法的还是非法的。又由于合法与非法之间的界限规定不是很清晰，因此信息主体的权利更加不能得到有效的法律保护。如此一来，公民个人信息保护的形势会更加严峻。

(二)完善我国个人信息保护的立法建议

1.尽快完善立法

我国需要尽快出台专门的《个人信息保护法》，并依法加强对此罪行政手段和刑事处罚的力度。加大对公民个人信息的保护力度，同时加强对公民个人隐私的保护。完善公民信息获取主体的权利与义务，加强行业自律，调节公共机构与信息主体之间的权利失衡。对侵犯、非法提供公民个人信息而造成损失的行为进行处罚，并依法赔偿受害者损失。尽力避免对公民个人信息法律法规的杂乱行和实践上的缺乏可操作性，对于只规定对公民个人信息进行保密、不得非法提供，而没有规定违反这一义务后果的法律条款进行补充。

2.细化情节严重的认定标准

在《刑法修正案(九)》中，之规定了非法提供公民个人信息罪，但并没有对其他法律法规进行规制。在判定行为人的行为是否符合本罪的构成要件时，要判定其行为是否达到情节严重，在面对这种问题时，应当更加谨慎，判定所依据的标准也应当清晰明确。我国现行的刑法及司法解释并没有关于非法提供公民个人信息罪情节严重的认定标准。虽然这种不足可以在司法实践中由法官的自由裁量权得到解决，但这也为本罪的判定带来了很多不确定因素，因此必须细化本罪“情节严重”的认定标准。

3.明确个人信息的概念和法律属性

只有判定了一种行为侵犯了何种权益，才能将这种行为认定为某种犯罪。在对本罪进行认定时，要判定行为人的某种行为是否侵害了公民个人信息权益。公民个人信息的概念在我国现行的刑法和司法解释中还没有明确的界定。因此在今后的刑法修正案和司法解释中，要根据时代的发展和司法实践的要求对公民个人信息这一概念进行更明确的界定。在对此概念界定时，笔者认为应当用基本条款的形式进行定义，明确公民个人信息的内涵和外延，明确公民个人信息属于公民人格权的一部分，明确公民个人信息持有者的权利与义务，并对公民个人信息的收集、使用进行规定和限制。

4.制定有效的监督救济机制

我国在《刑法修正案(七)》中首次提出了非法提供公民个人信息罪，又在《刑法修正案(九)》中对此进行了完善。但由于没有出台《个人信息保护法》，此条只能是针对严重的侵犯公民个人信息的行为，并不能对公民个人信息进行全面保护。笔者认为，在国家颁布《个人信息保护法》之前，相关立法机关应当应当规定其他有效的救济手段，建立有效的监督救济机制。如果没有有效的监督机制，不论多么完善的实体法都有可能成为空洞的文字。要对公民个人信息有更全面、更有效的保护，就要在立法中明确法律责任，制定有效的监督救济机制。

[1]黄可.出售、非法提供公民个人信息罪若干问题之再思考[J].法制博览，2015(08).

[2]杨新京，叶萍，黄成.侵犯公民个人信息犯罪实证研究——以B市C区人民检察院近五年司法实践为样本[J].中国检察官，2015(03).

[3]张玉洁.论“非法获取公民个人信息罪”的司法认定——基于190件案例样本的分析[J].华东政法大学学报，2014(06).

[4]王翔.浅论侵犯公民个人信息犯罪处罚标准[J].金田，2014(09).

D924.3

A

2095-4379-(2017)31-0004-03

杨筠桦(1996-)，河南郑州人，郑州大学法学院，法学专业。