侵犯公民个人信息罪的认定

杨丰帆，彭 荣

（云南大学法学院，云南 昆明 650000）

近年来，日新月异的互联网、大数据等技术不仅给我们的生活带来了便利，同时也在某种程度上威胁着我们的个人信息安全，比如最近几年大数据杀熟、AI 换脸与手机APP 过度收集个人信息等事件频发，严重威胁着公民的个人信息安全。立法机关也关注到了这一问题，有针对性地制定相应的立法。在刑法中设立了侵犯公民个人信息罪，并在相关司法解释及规范性文件中作出了更为细化的规定。2021 年8 月20 日出台的《个人信息保护法》也标志着我国在个人信息法治化道路上迈出了重要一步。在此基础上，刑法中对侵犯公民个人信息罪的规定应被赋予新的内涵，并及时调整认定标准，使其更符合司法实践的需要。我们对侵犯公民个人信息罪的相关立法和理论进行系统分析，具体到该罪的认定细节上，从个人信息内涵的界定、“违反国家有关规定”的限定以及行为方式内容的调整三个方面对该罪的认定标准进行审视，并提出相应的调整策略，以期能对司法实践中认定该罪有所助益。

一、个人信息内涵的界定

《刑法》第253 条之一对侵犯公民个人信息罪进行了规定，但并未明确个人信息的定义。2017 年颁行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）和2021 年颁布的《个人信息保护法》对个人信息进行了不尽相同的规定。通过对《解释》第1 条和《个人信息保护法》第4条规定内容的解读可知，二者对个人信息的规定不完全相同。但通过仔细推敲可知，二者虽然在表达上存在差异，但本质并无二致，都体现了个人信息的可识别性这一本质属性。并且《个人信息保护法》和《解释》是根据不同的部门法制定的，不同部门法规制的侧重点不同，《解释》作为刑法条文的补充，其侧重点在于打击犯罪，《个人信息保护法》则更注重保护个人信息权益，二者出现不同的规定是可以理解的。

《个人信息保护法》第49条还规定了死者个人信息，这是《刑法》和相关司法解释中在规定侵犯公民个人信息罪中没有提及的。那么，死者个人信息可否成为刑法中侵犯公民个人信息罪的规制范围？学界有不同观点。对此，笔者持否定观点。一方面，从文义解释角度看，侵犯公民个人信息罪的主体限定为“公民”，而公民不包括死者。另一方面，从法益角度看，侵犯公民个人信息罪被规定在侵犯公民人身权利、民主权利一章，通过对该章罪名的分析可知，该章的犯罪对象都是自然人，人身权利、民主权利的也都以生命的存在为前提，死者失去了生命，相应的也就没有人身权利，其个人信息自由也就不复存在。因此，侵犯公民个人信息罪的主体不应包括死者。然而，《个人信息保护法》第49条规定了死者个人信息，这是否与前述内容相冲突？笔者对此持否定观点，《个人信息保护法》规定死者个人信息是基于《民法典》第994 条的影响，在《民法典》的基础上进行的细化规定。在刑法上个人信息的定义排斥死者的个人信息的基础上，对于《个人信息保护法》对死者个人信息的保护的理解更倾向于对其近亲属权益的保护。

值得注意的是，个人信息在《个人信息保护法》中被分为两大类，分别是一般个人信息和敏感个人信息，并对敏感个人信息进行了概括式和列举式相结合方式的规定。而《解释》则将公民个人信息分为三大类，并多是以列举方式进行分类。显然，与《个人信息保护法》相比，《解释》对个人信息分类较为混杂，且归纳性较差，不同类别还可能存在交叉、重合的现象。根据《解释》的分类很难将融合度较高的信息准确划分类别，比如“健康码”既可以因其反映个人身体健康状况被划分为“健康生理信息”，也可以因其包含行程信息被划分为“行踪轨迹信息”，这就导致司法认定的分歧。加之《解释》对个人信息的分类采取列举规定的方式，容易忽略一些信息，比如信息时代下越来越引起重视的生物识别信息，生物识别信息包括指纹、人脸、虹膜、笔迹、声音等，与健康生理信息不同，其与公民人身安全、财产安全联系密切，应在刑法上给予特殊保护。

同时结合司法实践案例的情况进行分析，有学者以“侵犯公民个人信息罪”为关键词，选取2009年2月至2021 年7 月在裁判文书网上公开的刑事案件判决书，共覆盖案件8418件。通过相关技术处理，对案件进行实证研究分析，得出结论，个人信息的分类制度有待完善，对于敏感个人信息的认定，法官准确识别的准确性更不理想。[1]相较而言，笔者认为《个人信息保护法》的分类方式更加科学合理，且归纳性较强，通过“二分法”和“概括+列举”相结合的分类方式，可以比较精准地归纳个人信息，在司法实践中具有更强的可操作性。在此基础上，应及时对《解释》进行修改或者重新规定相关司法解释，适时调整个人信息的分类方式，对其进行“二分法”规定，既可以表明从刑法层面对《个人信息保护法》分类标准的肯定，又可以使不同法律文本之间更加协调。

二、“违反国家有关规定”的限定

根据《刑法》第253 条之一的规定，“违反国家有关规定”是侵犯公民个人信息罪的重要构成要件，同时，“违反国家有关规定”这一描述采用了空白罪状的形式进行表述。“违反国家有关规定”中的“有关”二字是《刑法修正案（九）》增加的，《解释》第2 条提出“违反国家有关规定”中的“国家有关规定”包含部门规章。然而，理论界和司法实践中对“国家有关规定”的范围仍不能达成一致。因此，有必要对“违反国家有关规定”的范围进行明确。

“违反国家有关规定”这一表述属于空白罪状，在当前信息化发展迅速的背景下，该部分采用空白罪状具有一定的优势，一方面有利于保证刑法条文的稳定，另一方面在罪名认定方面又具有灵活性，在不频繁修改刑法条文的情况下还能应对经济社会发展带来的信息犯罪的变化。[2]（P77）那么，“国家有关规定”是否应包含法律和行政法规之外的部门规章？学界有不同观点。有学者认为，此处的“国家有关规定”应包含部分部门规章，前提是这些部门规章不与相关法律、行政法规相矛盾。[3]还有学者认为，不应将部门规章涵盖在此处的国家有关规定范畴，以避免过于宽泛的前置法导致刑法适用的混乱。[4]对此，笔者比较赞同后一种观点。原因如下：其一，部门规章的目的与刑法的目的未必完全契合，且不同部门规章对侵犯公民个人信息罪的认定难免出现不一致的地方，如果此处的“国家有关规定”包含范围规定过大，容易在司法实践中产生不确定性，从而造成司法实践中的认定困难和认定差异。其二，根据《刑法》第96条的规定，刑法中“国家规定”的范围并不涵盖部门规章。其三，部门规章具有局限性，相比之下部门规章的法律位阶和效力层级较低，制定程序要求也不如法律和行政法规严格，不同部门规章在内容上可能存在矛盾冲突之处，与刑法的严厉、审慎的特质不符。总之，如果在确定“国家有关规定”的范围上，将部门规章囊括其中，则扩大了入罪的口径，可能影响侵犯公民个人信息罪的认定，从而影响信息社会的发展。因此应对侵犯公民个人信息罪中的“国家有关规定”应作限缩解释，认为其仅包括法律和行政法规的规定，且行政法规必须通过刑法目的和价值取向的检验。

同时还应注意到，只有违反侵犯公民个人信息罪的前置法中的规定的行为，才能认定为“违反国家有关规定”的行为，其前置法包括《个人信息保护法》《民法典》《网络安全法》等法律。然而并非前置法中的所有行为都属于此处的“违反国家有关规定”的行为。《个人信息保护法》作为该罪的前置法之一，对罪名的认定起着重要作用。侵犯公民个人信息罪是故意犯罪，并在刑法中规定了非法获取、非法提供和非法出售个人信息者三种行为方式。

三、行为方式内容的调整

在侵犯公民个人信息罪行为方式内容的认定上，需要明确两点：其一，行为人的行为是否符合刑法中关于侵犯公民个人信息罪的构成要件；其二，行为人的行为是否造成了法益侵害。根据《刑法》第253 条之一第1 款和第3 款的规定可知，非法出售、非法提供、非法获取公民个人信息共同构成了侵犯公民个人信息罪的行为方式，即这三种行为是侵犯公民个人信息罪的行为方式内容。这三种行为方式看似囊括了所有对公民个人信息的侵犯行为，但仔细研究不难发现，这三种行为都指的是以非法方式处理个人信息的行为，而不包括合理取得又非法使用行为，这就构成法律规定上的漏洞，忽略了对合法取得后又非法使用个人信息行为的规制。仅靠刑法解释论把非法使用行为解释入罪的路径缺陷较大，需要立法论加以确立。解释论受到罪刑法定原则和行为性质的限制，一方面若将非法使用行为解释入罪，易囿于类推解释的困境，无法保障民众的预测可能性，另一方面，待解释入罪的行为需要和被解释的行为具有同质性，而非法使用行为和现行刑法条文相解释，超出刑法用语可能的含义，那么就需要刑法将非法使用行为作为独立的行为规定为犯罪。

个人信息的保护具有风险预防性质，[5]关于侵犯公民个人信息罪所保护的法益，存在个人法益论与超个人法益论两种不同的观点。个人法益论可分为隐私权说、人格尊严说与个人信息权说等，笔者支持个人法益论中的个人信息权说。个人法益观更倾向于对公民个人权利和自由的保护，将侧重点置于主体层面；个人信息权说，作为一种新型权利，提倡侵犯公民个人信息罪的法益不再是高度概括性的公民人格尊严与个人隐私，而是根据民法等实定法相关规定，从中分离为独立的个人信息权。个人信息权说是在当代大数据时代的背景下提出的，蕴含信息自决权，也就是对于信息的排他、选择与决定权。个人信息保护具有风险预防属性，信息自决权也意味着以手机软件商为代表的此类行为人，不能在以合法的手段获取、利用用户合法的个人信息的前提下，却非法使用用户个人信息甚至给用户带来涉及人格或财产方面的损害。有学者提出个人信息保护的风险预防属性，[6]需重视规制合理取得但又非法使用的行为。个人信息犯罪的自我决定权决定着他人的个人信息即使源于合理取得，也不能非法使用甚至给信息所有人造成包括人格与财产上的损害。，侵犯个人信息自决权的实质是对个人自由权的侵犯，此应是刑法保护的重点之一。当前《刑法》中规定的侵犯公民个人信息罪的行为方式内容不够全面，应全面分析并概括侵犯公民个人信息罪的行为方式内容，及时对当前的相关规定作出调整，并将合法取得公民个人信息后又非法使用的行为也纳入刑法规制范围。

调整侵犯公民个人信息罪的行为方式内容有其合理性和必要性。与单纯非法使用行为相比，合法取得后又非法使用的行为显然更具社会危害性。因为与合法获取公民个人信息相比，非法获取公民个人信息在现实中本身就更具困难性，而通过合法手段，行为人可以比较轻松地获取到大量的公民个人信息。比如现在多数手机软件在注册使用之前首先要求获得用户的基本信息，否则不能正常使用该软件，而用户基于生活便利或者其他原因，不得不同意获取其信息的要求从而继续使用该软件。2021 年出台的《个人信息保护法》对非法使用个人信息行为作了明确的禁止性规定，然而《刑法》第253条之一的规定却有一定的局限性，并未包括单纯的非法使用行为。在《个人信息保护法》已经颁布的时下，应将合法获取又非法使用的行为增添至刑法之中，以最大程度规范使用公民个人信息的行为。[7]相较于非法获取个人信息，以合法方式获取个人信息难度要更小一些，再加上当前信息时代，互联网技术的发展使信息的获取更加便捷，互联网上存在着大量可供随时获取的信息，其中就包含公民个人信息，这些信息并不需要借助非法手段即可轻易获取，这加剧了侵害公民个人信息的形式多元化态势。[8]通过实践考察可知，单纯非法使用公民个人信息行为在现实中占据重要地位，这迫使刑法不得不重新审视非法使用个人信息行为的社会危害性。信息的非法使用行为的侵害具有直接性和精确性，甚至可能危机社会安全和国家安全。如果放任这些行为，容易衍生出更多黑灰产业链侵犯公民的个人信息安全。[9]应以风险防范为基础构建个人信息合理利用的规范体系，根据个人信息的性质，分为隐私性、流通性、存在潜在风险性三个层次，采取不同的预防措施。同时根据刑法“入罪举轻以明重”的原则，应调整并扩充侵犯公民个人信息罪的行为内容，使其更加全面具体。

调整侵犯公民个人信息罪的行为方式内容有其正当性与可行性。《民法典》《个人信息保护法》等相关法律的出台为此提供了前提和基础。2020 年《民法典》第111条从民法层面对个人信息保护进行了规定，该条规定属于概括性规定，具有原则性的特征。有了《民法典》这一个人信息保护基础框架的搭建，2021年《个人信息保护法》第10条对个人信息保护作了进一步的细化。从整体上看，《民法典》和《个人信息保护法》是侵犯公民个人信息罪的前置法。众所周知，前置法可以为此后立法提供借鉴和支持。前置法已经将非法出售、提供、获取的行为明确规定为违法行为，这些行为在刑法中也被规定在侵犯公民个人信息罪中。除此之外，前置法还将非法使用个人信息行为认定为违法，然而这些行为尚未被刑法规定为犯罪。笔者认为，对前置法认为是违法行为的，刑法确实不能当然认定为犯罪。换言之，并不是前置法规定的违法行为都要在刑法中被认定为犯罪，还需要考虑其法益侵害性和社会危害性。关于调整侵犯公民个人信息罪行为方式内容的重点在于，一方面前置法已经对合法取得并非法使用公民个人信息的行为进行了规制，刑法将其纳入规制范围有利于维护法秩序的统一；另一方面该行为的确具社会危害性，属于刑法打击犯罪的内容，需要刑法加以规制，因此刑法也应将其规定为犯罪。在具体条文的调整中，可以通过修改《刑法》第253条之一的规定，将“合法获取后非法使用个人信息”的行为作为新增内容纳入其中，并作出从重处罚的规定。具体而言，以合理获取为前提的非法使用行为，相比于非法获取、出售或提供的行为的法益侵害性更强、社会危害性更大，从重处罚该行为高于后者三种行为的法定刑，才能从严打击、规制非法使用行为，符合罪责刑相适应原则。新增内容因具有从重处罚的性质，应将其归入已经规定侵犯公民个人信息从重处罚的《刑法》第253条之一的第2款更为合适，法条整体变动性相对较小，更利于维护刑法的稳定性。若增添于第1款，不符合法条设立的简洁性与经济性；若增添于第3款，与第3款的非法获取个人信息存在源头上的矛盾。

从比较法上看，将非法使用个人信息行为作为独立行为入罪已经成为许多国家不谋而合的共识。以美国、韩国和日本的相关规定为例，美国处理个人信息的内容包括个人信息的使用，并将其规定在《防止身份盗窃及假冒法》中，此外，还规定了非法使用行为构成联邦犯罪；[10]韩国也对非法使用个人信息作出了限制性规定，在《个人信息保护法案》中对非法使用行为作出了五年以下法定刑的规定。[11]日本也将非法使用个人信息行为入刑。[12]

结语

信息时代下，互联网和大数据等技术不断向纵深发展，在给人们生产生活带来便利的同时，严重威胁着个人信息安全。在此背景下，对个人信息的保护不应是片面的，对侵犯公民个人信息罪的认定更是如此，讨论侵犯公民个人信息罪保护法益，无疑具有理论和实践意义。该罪法益的确定基于法律一体化思维，视角不易局限于刑法内部，结合《个人信息保护法》、《民法典》等前置法规定，确定该罪法益为个人法益，是大数据时代新型权利的个人信息权。在确定该罪法益基础上，对信息时代下侵犯公民个人信息罪的认定进行分析和调整，修改与前置法相冲突的内容，对个人信息的认定作出与时俱进的调整，使《刑法》与其他法律法规内容相协调，杜绝个人信息非法使用现象的发生，全方位保护公民个人信息安全，从而维护社会秩序的稳定。