为合法经营活动而侵犯公民个人信息的刑法规制

贺洪波

摘要：最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第六条对为合法经营活动而侵犯公民个人信息行为进行独立规制，是新型犯罪罪状表述抽象化与罪状解释具体化、信息时代信息价值多元化与危害行为多样化、现代社会犯罪治理精细化与刑法评价精准化的内在要求。为合法经营活动而侵犯公民个人信息行为相关规范要素中的“为合法经营活动”应理解为主观超过要素，“获利五万元”应作严格解释，“曾因侵犯公民个人信息”应作广义解释，“其他情节严重”应包括信息数量标准。

关键词：合法经营活动；侵犯公民个人信息；刑法规制

中图分类号：DF792；D924.3 文献标识码：A文章编号：1673-8268（2018）03-0028-08

一、问题的提出

侵犯公民个人信息犯罪是当前我国司法实践中的常见多发犯罪。近年来，“随着信息网络的进一步普及发展，侵害公民个人信息的违法犯罪愈发突出，通过网络出售、非法提供和非法获取公民个人信息的行为增多” [1]。特别是出售、非法提供和非法获取公民个人信息的犯罪出现了一些新情况，这类犯罪往往与网络电信诈骗、敲诈勒索等次生犯罪前后勾连、相互交织，形成犯罪行为网和犯罪利益链，其产生的社会危害连锁效应明显。为从源头上严惩侵犯公民个人信息犯罪活动，保护公民个人信息安全，最高人民法院、最高人民检察院于2017年5月8日公布并自2017年6月1日起施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），以实践问题为导向，以解读立法“关键词”的形式，对《中华人民共和国刑法》（以下简称《刑法》）第二百五十三条之一侵犯公民个人信息罪中的“公民个人信息”“国家相关规定”“提供公民个人信息”“其他方法非法获取公民个人信息”“情节严重”“情节特别严重”等重要立法术语做出了有针对性的细化规定。这些规定全面及时地为当前司法实践中办理侵犯公民个人信息刑事案件提供了政策指引和明确遵循。综观《解释》全文，其中的一大亮点便是《解释》第六条在第五条基础上对为合法经营活动而侵犯公民个人信息行为进行独立规制。

《解释》第五条第一款通过采用综合认定标准，从信息用途（信息被用于犯罪）、信息类型及数量（高度敏感信息五十条、一般敏感信息五百条、普通信息五千条、三类信息比例合计）、违法所得（五千元）、主体身份（行业“内鬼”）、主观恶性（曾因侵犯公民个人信息受过刑事处罚或二年内受过行政处罚）、其他情节严重（兜底规定）等六个层面明确了“情节严重”的规范内涵。《解释》第五条第二款从犯罪后果（造成被害人死亡、重伤、精神失常或者被绑架，造成重大经济损失或者恶劣社会影响）、数量数额（达到情节严重的十倍）、其他情节严重（兜底规定）等三个层面明确了“情节特别严重”的规范内涵。在此基础上，《解释》第六条对实践中较为普遍存在的非法获取信息用于广告推销、精准营销等合法经营性活动的情形作了专门规定。根据《解释》第六条第一款规定，为合法经营活动而非法购买、收受普通信息，具有下列三种情形之一的，应当认定为“情节严重”：一是利用非法购买、收受的公民個人信息获利五万元以上（非法获利）；二是曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息（主观恶性）；三是其他情节严重的情形（兜底规定）。根据《解释》第六条第二款规定，实施该条第一款规定的行为，将购买、收受的公民个人信息非法出售或者提供的，定罪量刑标准适用《解释》第五条的规定。

这些规定确实在很大程度上解决了近年来司法实践中侵犯公民个人信息罪“情节严重”和“情节特别严重”认定难的困惑。但仔细分析亦不难发现，由于《解释》第六条未像第五条那样对“情节特别严重”做出规定，而对“情节严重”的规定也未像第五条那样明示信息数量入罪标准，且第六条中的公民个人信息仅限于普通信息等原因，无疑为当前司法个案处理留存了适用困惑，为理论研究留存了遐想空间。这主要体现在：（1）“为合法经营活动”如何认定？是否需要将非法购买、收受的公民个人信息实际用于合法经营活动？（2）“获利五万元”应如何认定？其到底是纯利还是毛利？（3）“曾因侵犯公民个人信息”包括哪些行为？是否限于侵犯公民个人信息罪规定的侵犯公民个人信息行为类型？（4）在《解释》第六条未明示信息数量入罪的情况下，如何理解和适用该条中“其他情节严重的情形”？能否将信息数量入罪涵盖进“其他情节严重的情形”？对此，本文将在植根刑法基本原理、夯实对为合法经营活动而侵犯公民个人信息行为进行独立规制的理论依据的基础上，着重运用刑法体系解释方法对为合法经营活动而侵犯公民个人信息的相关规范要素进行合理解释，以期优化我国刑法规制侵犯公民个人信息犯罪的司法效果，深化我国刑法理论对大数据背景下侵犯公民个人信息犯罪的研究。这对于当前科学合理有效地打击侵犯公民个人信息犯罪活动，无疑具有重大的理论意义和实践意义。二、对为合法经营活动而侵犯公民个人信息行为进行独立规制的理论依据（一）新型犯罪罪状表述抽象化与罪状解释具体化

罪状是刑法分则条文对相关犯罪行为的类型化表达，是“对犯罪具体状况的描述，指明适用该罪刑规范的条件，行为只有符合某罪刑规范的罪状，才能适用该规范”[2]。自1997年《刑法》实施以来，在过去20年时间里，我国先后有10个修正案与时俱进地对刑法进行了大范围的修正。从修正内容看，虽有对刑法总则条文的结构性调整，但更多的是在刑法分则中增设了不少新罪名。通过分析这些新增罪名不难发现，一方面，为了充分体现落实罪刑法定原则关于罪状表述的明确性要求以及增强刑事司法个案处理的可操作性，刑法大都以叙明罪状方式尽可能详尽地规定犯罪成立的规范要素。比如，除《刑法修正案（七）》增设、《刑法修正案（九）》修改补充的侵犯公民个人信息罪之外，《刑法修正案（六）》增设的虚假破产罪，《刑法修正案（八）》增设的危险驾驶罪，《刑法修正案（九）》增设的虚假诉讼罪，等等。另一方面，为了保持新增罪名罪状表述的相对稳定性以及应因社会变迁而灵活处理各种新型犯罪行为的相对开放性，刑法在以叙明罪状方式尽可能详尽地规定犯罪成立的规范要素的同时，又不得不在相关规范要素的立法表述上保持相对的抽象性，以使新增罪名在立法稳定性与社会适应性之间保持动态平衡。

对此，就我国《刑法》第四章侵犯公民人身权利、民主权利罪中第二百五十三条之一关于侵犯公民个人信息犯罪的现有规定及其立法变迁而言，无论是2009年2月28日《刑法修正案（七）》第七条规定的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，还是2015年8月29日《刑法修正案（九）》第十七条将这两个罪修改补充、整合规定后的侵犯公民个人信息罪，其相关表述中都用了“情节严重”的立法术语。“情节严重”是判断犯罪成立与否的重要标准。但何为“情节严重”就像一个立法留给司法的“谜团”，一段时间以来成为了我国公民个人信息犯罪司法认定的“哥德巴赫猜想”。从司法个案裁判需求看，“情节严重”的立法抽象化表达需要司法的具体化解释方可准确适用。因此，《解释》第五条、第六条分别就“情节严重”作了类型化规定，以满足司法认定“情节严重”的迫切需求。其中，《解释》第六条对为合法经营活动而侵犯公民个人信息行为的“情节严重”认定问题作了专门规定。这可谓是我国刑法修正活跃时代，司法解释应对新型犯罪立法罪状表述抽象化、实现罪状解释具体化的典范，具有重要的司法解释示范和司法实践意义。

（二）信息时代信息价值多元化与危害行为多样化

人是社会关系的统一体。在人与客观世界的各种关系中，价值是历史性、动态性的一对关系范畴，是客观事物满足主体需要的一种主观感受和体验。由于价值评判的主观性，同样的事物因时空差异往往会呈现出不同的价值状态。个人信息的价值特性亦随着经济社会的发展而呈现出动态变迁态势。在网络和通信技术高度发达的信息时代，个人信息的价值属性日趋多元化。总体观之，个人信息的财产属性和社会属性日益凸显，个人信息的财产价值和社会价值日益增强[3]。在网络大数据可以将个人信息汇集并进行“云计算”“秒传播”的信息时代，对于信息拥有者个人而言，个人信息的价值意蕴不再限于传统的以隐私权为核心的人身权利范畴，而是越来越兼具财产权利属性，信息变得越来越“值钱”了，信息即是财富，交换信息即是融通财富、创造财富。对于“觊觎”海量个人信息的社会经济主体，特别是企业盈利组织而言，个人信息的个体属性与社会属性变得越来越交织缠绵，个人信息变得越来越具有社会性的一面。在各企业之间的市场经济角逐中，由海量个人信息累积起来的大数据资源正日渐成为企业最具价值前景的无形财产。通过匿名化处理后的大数据产品交易正成为引领我国企业创新发展的不竭动力。这在国家政策层面得到了顶层政策设计的首肯和支持。2015年《国务院关于印发促进大数据发展行动纲要的通知》正以积极的姿态“引导培育大数据市场……鼓励产业链各环节主体进行数据交换和交易，促进数据资源流通……”[4]2017年12月8日，习近平总书记在就实施国家大数据战略主持中共中央政治局第二次集体学习时强调：要推动大数据技术产业创新发展，构建以数据为关键要素的数字经济[5]。这为我国新时代实施国家大数据战略吹响了时代号角。然而，人类历史表明，新生事物在给社会发展带来福音的同时，往往也会伴随着些许阵痛。

在当今信息时代，由无数公民个人信息聚合起来的财产价值和社会价值闪烁着的财富光环，在物欲穿梭的市场经济大环境中，就像蜜糖会吸引蜜蜂一样，吸引着不法分子聚焦于此“榨取”信息财富。在信息价值多元化背景下，在各种价值指引和违法犯罪动机支配下，各种各样的不法逐利行为得以滋生，使得侵犯公民个人信息的危害行为日益多样化，侵犯公民个人信息行为的危害程度日益差别化。以往常见的侮辱型，诽谤型，披露他人隐私型，私自开拆、隐匿、毁弃邮件、电报等传统型侵犯公民个人信息的违法犯罪已成为“非主流”，通过非法获取、出售、提供、购买、收受、交换等方式侵犯他人信息谋取暴利、实施网络电信诈骗等违法犯罪活动开始走向“前台”，并越来越呈现出常见多发态势。在多样化的信息违法犯罪行为面前，我国《刑法》第二百五十三条之一侵犯公民个人信息犯罪中“情节严重”的抽象性规定难以满足有针对性、区别性地打击侵犯公民个人信息犯罪的现实需要，其潜藏着通过司法解释实现信息治理精细化与刑法评价精准化的迫切需求。

（三）现代社会信息治理精细化与刑法评价精准化

当前，我国正处于信息社会建设的峰值期[6]。“如果将中国当前正在建设的信息社会比作一个前行中的人，那么无疑数据产业发展是其前行的一条支撑腿，而另一条不可或缺的支撑腿便是公民的个人信息保护。”[7]诚然，在信息社会快速建设进程中，对个人信息进行大规模网络数字化处理已渐成常态。然而，“随着个人信息处理方式的数字化转变，人们在享受信息数字化带来的诸多便利的同时，也面临着个人信息数字化带来的风险”[8]。在网络交往频繁、信息海量迸发、信息风险剧增、安全焦虑凸显的现代社会，谋求科学有效的信息治理之道是现代各国面临的共同难题。一方面，由海量信息组成的大数据具有较大的经济社会价值。比如，运用市民出行大数据，通过精准投放共享单车、及时调整轨道交通发车频次、错时安排上下班时间等方式缓解城市交通拥堵。而在司法领域，上海、贵州等地主动作为，先行先试，将人工智能与大数据充分结合，在智能驱动下的大数据司法已经打破信息壁垒，打通信息孤岛，建立起了跨部门与区域的工作平台，创造性地实现了互联共享共融的数据司法[9]。

另一方面，在海量信息匯集成大数据的过程中，公民个人的各种信息被不断地从自身跨时空抽离、储存到数据“云端”，这种在虚拟网络空间跨时空“场域”的信息汇集、储存、运用过程，与传统社会信息的收集、运用相比，在效率倍增的同时也成倍地增加了公民个人信息被泄露、被不法利用的风险。比如，“很多人刚买房，就会接到装修、家具公司的推销电话；一些婴儿刚出生，其父母便会接到奶粉、婴儿用品销售人员的电话……甚至还会接到一些诈骗电话或诈骗短信”[10]。而最近备受社会关注的山东学生“徐玉玉被电信诈骗案”[11]，就是因为包括徐玉玉在内的高考考生信息从源头上被不法侵害，进而衍生出被电信诈骗致死的恶果。同时，该案网络舆情亦折射出人民群众要求严惩电信网络诈骗犯罪、强化公民个人信息保护的强烈愿望。

正如“技术的进步与法律规则的发展具有微妙的互动关系，历史上科学技术的每一次飞跃都会引起社会结构的重组以及法律规则的全新升级和调整，大数据时代也不例外”[12]。保护个人信息安全与促进经济社会发展的二元价值诉求确需用法治智慧有效平衡。这种价值平衡及其信息治理精细化的内在要求，转化到刑法规制技术层面，最需要的便是刑法评价精准化。刑法评价精准化要求刑法对为合法经营活动而侵犯公民个人信息行为的处理应着重确立和坚持三个方面的处理原则。

一是提供公民个人信息匿名化处理例外原则。对此，《解释》第二条第二款作了专门规定，根据该规定，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于《刑法》第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。

二是受侵犯的不同公民个人信息区别对待原则。对此，《解释》第五条第一款作了专门规定，根据该规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息等公民个人高度敏感信息五十条以上的，应当认定为“情节严重”；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人一般敏感信息五百条以上的，应当认定为“情节严重”；而非法获取、出售或者提供第三项、第四项规定以外的公民个人普通信息五千条以上的，才被认定为“情节严重”。

三是侵犯公民个人信息的不同行为区别对待原则。对此，根据《解释》第五条和第六条的规定，知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的，由于该类行为性质严重、社会危害性大、行为人主观罪过明显，其“情节严重”的认定不以信息种类和数量为限，即便是出售或者提供一条公民个人普通信息亦构成侵犯公民个人信息罪。而对于为合法经营活动而侵犯公民个人信息的行为，该类行为与知道或者应当知道他人利用公民个人信息实施犯罪而向其出售或者提供等严重侵犯公民个人信息的行为相比，行为性质、社会危害、主观罪过皆有可值得从宽处理之处，因此，其认定为“情节严重”的标准更高。比如，一般侵犯公民个人信息行为，“违法所得五千元以上”即可认定为“情节严重”，而为合法经营活动而侵犯公民个人信息的行为，需要“获利五万元以上”才可认定为“情节严重”。可见，《解释》对以上这三个方面原则的相关规定，特别是《解释》第六条对为合法经营活动而侵犯公民个人信息行为有区别的独立规制，充分体现和应因了现代社会信息治理精细化与刑法评价精准化的内在要求，应因了“提高社会治理社会化、法治化、智能化、专业化水平”[13]的时代需求。三、对为合法经营活动而侵犯公民个人信息行为相关规范要素的体系解释体系解释是刑法的基本解释方法。“没有一个法律规范是独立存在的，它们必须作为整个法律秩序的部分要素来理解。”[14]法典内部各法条之间、法条中各术语之间具有内在的相互关联性，这种内在的逻辑关联性以追求法律秩序整体的协调统一为价值依归。因此，从司法实践的角度看，一旦有人在理解一个法律术语，他就是在理解整个法律条文，“一旦有人适用一部法典的一个条文，他就是在适用整个法典”[15]。而刑法作为以剥夺公民人身自由、财产、资格等基本权利为适用后果的其他法律的最后保障法，尤其需要运用体系解释方法，格外严谨、精准地实现刑事司法公平正义。就为合法经营活动而侵犯公民个人信息行为的司法个案处理而言，《解释》第六条的准确适用需要对其中的“为合法经营活动”“获利五万元”“曾因侵犯公民个人信息”“其他情节严重”等规范术语做出体系性理解，对这些规范术语的准确理解决定着涉案行为是否属于“情节严重”的认定、涉案行为人是否构成侵犯公民个人信息罪的判断。

（一）“为合法经营活动”

是否为合法经营活动而非法购买、收受公民个人一般信息，决定着相关不法行为是否应当依照《解释》第六条作为判断“情节严重”，进而是否构成犯罪的标准。因此，对“为合法经营活动”的准确理解是合理适用《解释》第六条首先要面临的问题。从表述方式看，“为合法经营活动”是一种目的性表述。特定的犯罪目的，是行为人主观罪过程度及行为社会危害程度的重要征表，是定罪量刑的重要依据。从刑法中目的犯的目的与行为的关系状态看，区分属于主观超过要素的目的和不属于主观超过要素的目的，对于相关行为的定罪量刑具有重要意义。不属于主观超过要素的目的，即行为人成立犯罪既遂不要求“目的”相对应的客观事实存在，比如，在我国《刑法》关于目的犯的相关规定中，《刑法》第一百七十五条规定的高利转贷罪，要求“以转贷牟利为目的”，并且犯罪既遂要求“以转贷牟利为目的”相对应的客观事实存在（“高利转贷他人，违法所得数额较大”）。而属于主观超过要素的目的，即行为人成立犯罪既遂不要求“目的”相对应的客观事实存在，这种目的犯在刑法理论上通常被称为“短缩的二行为犯”[16]，比如在我国《刑法》第三百六十三条传播淫秽物品谋利罪中，“以谋利为目的”即是主观超过要素，行为人是否实际谋利，甚至是否实际实施谋利行为，并不影响传播淫秽物品谋利罪的成立及其既遂认定，只要其以谋利为目的而实施了传播淫秽物品的行为即可。

正确区分刑法中的“以……为目的”及其類似表述的规范属性对相关行为正确定罪量刑具有重要价值。比如，根据《刑法》第三百六十三条、第三百六十四条关于传播淫秽物品谋利罪、传播淫秽物品罪的规定，如果不是“以谋利为目的”传播淫秽物品的，构成传播淫秽物品罪，其法定最高刑是二年有期徒刑；如果“以谋利为目的”传播淫秽物品的，构成传播淫秽物品谋利罪，其法定最高刑是“十年以上有期徒刑或者无期徒刑，并处罚金或者没收财产”，这里的“以谋利为目的”就是一种典型的“主观超过要素”的目的性表述，该犯罪成立不以行为人事实上实施谋利行为为必要。而《解释》第六条中“为合法经营活动”，并没有表述为“以合法经营为目的”或者“以合法经营活动为目的”。那么，“为合法经营活动”的规范属性是什么？是否需要行为人将非法购买的公民个人信息实际用于从事合法经营活动呢？

对此，从《解释》对为合法经营活动而侵犯公民个人信息的行为进行单独规定的价值取向和体系解释看，《解释》第六条中“为合法经营活动”应当从实质上理解为主观超过要素的目的，只是其与《刑法》第三百六十三条传播淫秽物品谋利罪中“以谋利为目的”等主观超过要素的目的相比，具有相对特殊之处。我国《刑法》中“以谋利为目的”等类似主观超过要素的目的，是“恶”的值得刑法作否定评价的目的，因此与同类前行为（如传播淫秽物品）相比，具有该目的（“谋利”）更应“从严”处罚。而《解释》第六条中“为合法经营活动”，则是“善”的值得刑法作宽宥评价的目的，因此与同类前行为（如侵犯公民个人信息）相比，具有该目的（“合法经营活动”）更应“从宽”处罚。可见二者在价值取向上呈反向态势。在司法个案处理中，如果没有证据证明行为人是为合法经营活动而非法购买、收受公民个人一般信息，就应当适用《解释》第五条的定罪量刑标准；如果有证据证明行为人确实是为合法经营活动而非法购买、收受公民个人一般信息，就应当适用《解释》第六条的定罪量刑标准；如果将这些信息已经用于从事合法经营活动的，应当在同等情况下比照还没有用于从事合法经营活动的处理相对更重。

（二）“获利五万元”

根据《解释》第六条第一款第一项规定：对于为合法经营活动而侵犯公民个人信息行为，“利用非法购买、收受的公民个人信息获利五万元以上的”，将被认定为侵犯公民个人信息罪的“情节严重”。与之对应的是，根据《解释》第五条第一款第七项规定，对于非为合法经营活动而侵犯公民个人信息行为，“违法所得五千元以上的”应当认定为情节严重。那么，这里的“获利五万元”怎么理解、认定？是指“毛利”还是“纯利”？“获利五万元”与“违法所得五千元”是不是简单的十倍对应关系？对此，首先必须明确“获利”数额与“违法所得”数额的关系。

实践中产生违法所得的财产犯罪和经济犯罪通常包括两类：一是直接获取利益型犯罪（如盗窃罪、抢劫罪、贪污罪、受贿罪）；二是经营获取利益型犯罪（如非法经营罪、销售侵权复制品罪、非法经营同类营业罪）。对于直接获取利益型犯罪，一般情况下，违法所得数额即是犯罪金额，特殊情况下，由于犯罪所得产生的孳息会被一并计入违法所得，因此违法所得数额可能会大于犯罪金额。而对于经营获取利益型犯罪，违法所得数额即获利数额，比如1998年最高人民法院《关于审理非法出版物刑事案件具体运用法律若干问题的解释》第十七条第二款规定：“本解释所称‘违法所得数额，是指获利数额。”那么，什么是获利数额呢？《最高人民法院研究室关于非法经营罪中“违法所得”认定问题的研究意见》认为，非法经营罪中的“违法所得”，应是指获利数额，即以行为人违法生产、销售商品或者提供服务所获得的全部收入（即非法经营数额），扣除其直接用于经营活动的合理支出部分后剩余的数额[17]。这表明，在经营获取利益型犯罪中，“获利”之“利”既非未作任何扣除的“毛利”，亦非扣除全部成本的“纯利”，而是仅扣除“直接用于经营活动的合理支出部分后剩余的数额”，该数额通常大于“纯利”但小于“毛利”。

因此，《解释》第六条第一款第一项规定的“获利五万元”应作严格解释和具体认定，而不能机械地等同于“纯利五万元”或者“毛利五万元”。同时，这里的“获利五万元”亦不能简单地等同于《解释》第五条第一款第七项规定“违法所得五千元”的十倍，因为二者的内涵、计算的方式不完全一致。详言之，这里的“获利五万元”是指利用非法购买、收受的公民个人普通信息用于合法经营活动而得的“经营获取利益型”获利。而“违法所得五千元”，既可能是将非法获取的公民个人敏感信息用于合法经营活动而得的“经营获取利益型”获利，也可能是将非法获取的公民个人敏感信息用于直接犯罪（如诈骗、敲诈勒索、盗窃等）的“直接获取利益型”获利。

（三）“曾因侵犯公民个人信息”

根据《解释》第六条第一款第二项规定：“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的”，将被认定为侵犯公民个人信息罪的“情节严重”。那么，应当怎样理解这里的“曾因侵犯公民个人信息”？是否仅限于《刑法》第二百五十三条之一关于侵犯公民个人信息罪中规定的“违反国家有关规定，向他人出售或者提供公民个人信息”和“窃取或者以其他方法非法获取公民个人信息”这两种行为方式？对此，笔者认为，从规范目的和体系解释看，这里的“曾因侵犯公民个人信息”不應作如此狭义理解，而应该作广义解释。

首先，《解释》第六条第一款第二项的规定，是关于行为人因“主观恶性”较大而被认定为“情节严重”，进而构成侵犯公民个人信息罪的情形。该规定与《解释》第五条第一款第九项的规定在价值取向上完全相同。根据《解释》第五条第一款第九项规定，“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的”，将被认定为侵犯公民个人信息罪的“情节严重”。这意味着，在“曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚”的情形下，行为人再次实施侵犯公民个人信息行为时，由于其主观恶性较大，因此，无论其是否“为合法经营活动”，在以“情节严重”方式入罪的标准上是同一的，不会因其是“为合法经营活动”而在“情节严重”认定之“主观恶性”方面区别性地降低入罪标准。

其次，《刑法》第二百五十三条之一并非我国《刑法》中关于侵犯公民个人信息犯罪的唯一规定，更不能涵盖其他法律法规关于侵犯公民个人信息及其行政处罚的规定。比如，根据《刑法》第一百七十七条之一第二款规定，“窃取、收买或者非法提供他人信用卡信息资料的”，将可能构成窃取、收买、非法提供信用卡信息罪。

最后，在行政法规方面，虽然我国《治安管理处罚法》尚未规定侵犯公民个人信息的行政违法行为及其行政处罚措施，但在《身份证法》《护照法》《统计法》《传染病防治法》《未成年人权益保护法》《职业医师法》《律师法》等专门领域、专门人群的相关法规中，大都有关于侵犯公民个人信息违法行为的行政处罚规定。因此，从我国法律对公民个人信息的体系保护现状、体系保护需要和体系解释目的看，应当对这里的“曾因侵犯公民个人信息”作广义解释。一旦行为人曾受过上述处罚，都可能属于《解释》第六条“曾因侵犯公民个人信息”规定的情形，将被认定为“情节严重”，进而构成侵犯公民个人信息罪。

（四）“其他情节严重”

根据《解释》第六条关于为合法经营活动而侵犯公民一般信息的规定，并没有以信息数量入罪的明文规定，但《解释》第六条第一款第三项又设置了“其他情节严重”的兜底性条款。这为司法适用留下了遐想和困惑：对为合法经营活动而非法购买、收受一般信息的行为，可否以信息数量标准入罪？即行为人为合法经营活动而非法购买、收受一般信息，在行为人尚未实际利用非法购买、收受的一般信息获利，或者获利不足五万元，但非法购买、收受的信息条数达到一定数量时，可否以“其他情节严重”入罪？

面对“其他情节严重”的兜底规定，笔者在一些基层法院调研中发现，法官们存在两种截然不同的认识。第一种认识认为，为合法经营活动而侵犯公民一般信息行为的社会危害性本身较小，根据罪刑法定原则和有利于保障犯罪嫌疑人人权的要求，既然《解释》第六条没有明确规定信息数量标准，就不宜将“其他情节严重”解释为包含信息数量标准。第二种认识认为，虽然《解释》第六条没有明确规定信息数量标准，但《解释》第六条同时又规定“其他情节严重”的入罪标准，那么从逻辑上看，“其他情节严重”就不应当排除信息数量标准。

对此，从保护法益及体系解释角度看，“其他情节严重”应包括信息数量入罪情形。“犯罪的本质是侵犯合法权益，而不是犯罪人获得利益。”[18]对于通过刑法治理实现有效法益保护而言，为合法经营活动而侵犯公民一般信息且达到一定数量的行为，应当用刑法予以调整。行为人非法获取的信息数量是行为侵犯合法权益及其社会危害性的重要表征。《解释》第六条第一款第一项已明确将“利用非法购买、收受的公民个人信息获利五万元以上”的行为规定为侵犯公民个人信息罪“情节严重”情形之一，但没有明确将“为合法经营活动而非法购买、收受普通信息达到一定数量但尚未实际获利或实际获利不足五万元”的行为规定为侵犯公民个人信息罪“情节严重”情形之一。而“利用非法购买、收受的公民个人信息获利五万元以上”的这种行为，与“为合法经营活动而非法购买、收受普通信息达到一定数量但尚未实际获利或实际获利不足五万元”的这种行为相比，后者的社会危害性可能更大，更需要用刑法规制。试举一例说明。比如，张三利用非法获取的公民个人普通信息五千条从事精准营销活动，打一千个推销电话成功获利五万元；李四利用非法获取的公民个人普通信息五万条从事精准营销活动，打一万个推销电话成功获利一万元。从对公民个人信息的侵犯程度、对公民生活安宁的侵扰程度看，李四的行为比张三的行为社会危害性更大，更值得用刑法规制。举轻以明重。在现有司法解释规定基础上，如果张三的行为根据《解释》第六条第一款第一项被认定为 “情节严重”，李四的行为却不能根据《解释》第六条第一款第三项的“其他情节严重”，这显然是不公平的，也不利于保护公民个人信息的初衷。因此，应当将“为合法经营活动而非法购买、收受普通信息达到一定数量但尚未实际获利或实际获利不足五万元”的行为纳入《解释》第六条第一款第三项的“其他情节严重”之中，以实现司法适用的协调公正。就具体数量标准而言，笔者建议，可以考虑将五万条作为“为合法经营活动而非法购买、收受普通信息达到一定数量但尚未实际获利或实际获利不足五万元”这种行为入罪的数量标准。这从刑法规制必要性的角度，充分考虑了为合法经营活动而侵犯公民一般信息五万条的社会危害性程度；从刑法规制协调性的角度，充分考虑了与《解释》第五条中的五十条（高度敏感信息）、五百条（一般敏感信息）、五千条（普通信息）形成互为衔接的十倍梯度关系。

四、结语

《刑法》第二百五十三条之一关于侵犯公民个人信息罪的规定，是我国面对日益严重的个人信息犯罪问题，于2009年《刑法修正案（七）》增设，并经2015年《刑法修正案（九）》修改完善的最新立法成果。《解释》在此基础上作了进一步细化规定，为当前司法机关办理侵犯公民个人信息刑事案件提供了更为明确的裁判指南，其中不乏亮点可陈，特别是其对为合法经营活动而侵犯公民个人信息行为进行类型化规制的相关条款及其蕴含着的保护与发展并重的司法精神更值得“点赞”。但恰如“立法者只能在文字中表达自己的规定”[19]，解释者亦只能在自己的文字中表达自己的解释意图。囿于文字表达本身的逻辑张力及《解釋》中相关术语仍然留存的解释空间，注定了《解释》仍需在理论与实践的相互交会、不断磨合中接受再解释的内在需求。囿于《解释》制定时解释者有限理性与解释后社会生活发展变迁的实践张力，注定了《解释》的生命力仍需司法人员在个案处理时通过“从生活事实中发现法”的方式灵动延续[20]。据此，可以大胆预见当下我国侵犯公民个人信息刑事案件个案办理过程中的分歧和困顿并不会因为《解释》的出台而戛然而止，相反，这很可能是激发更多智慧火花良性碰撞，推动我国侵犯公民个人信息犯罪司法治理能力“螺旋上升”的崭新开始。这有待更多的理论探索与实践检视。

参考文献：

[1]全国人大常委会法制工作委员会刑法室.中华人民共和国刑法修正案（九）解读[M].北京：中国法制出版社，2015：117.

[2]张明楷.刑法学[M].北京：法律出版社，2015：665.

[3]项定宜.个人信息的类型化分析及区分保护[J].重庆邮电大学学报（社会科学版），2017（1）：33.

[4]张晨原.数据匿名化处理的法律规制[J].重庆邮电大学学报（社会科学版），2017（6）：52.

[5]习近平.审时度势精心谋划超前布局力争主动 实施国家大数据战略加快建设数字中国[N].人民日报，2017-12-10.

[6]“中国信息社会测评研究”课题组.中国信息社会建设十大趋势[N].人民邮电报，2013-09-09（6）.

[7]杨翱宇.我国个人信息保护的立法实践与路径走向[J].重庆邮电大学学报（社会科学版），2017（6）：42.

[8]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）：43.

[9]钱岩.智能数据下的大数据司法与主动作为[N].人民法院报，2017-07-22（2）.

[10]史洪举.公民个人信息不可侵犯[N].人民法院报，2017-07-23（2）.

[11]閆继勇.充分发挥刑事审判职能 严惩电信网络诈骗犯罪——临沂中院有关负责人就“徐玉玉被电信诈骗案”审理情况答记者问[N].人民法院报，2017-07-20（3）.

[12]于志刚.“公民个人信息”权利属性与刑法保护思路[J].浙江社会科学，2017（10）：12.

[13]习近平.决胜全面建成小康社会 夺取新时代中国特色社会主义伟大胜利——在中国共产党第十九次代表大会上的报告[R].北京：人民出版社，2017：49.

[14]伯恩·魏德士.法理学[M].丁晓春，吴越，译.北京：法律出版社，2005：320.

[15]卡尔·恩吉施.法律思维导论[M].郑永流，译.北京：法律出版社，2004：73.

[16]张明楷.论短缩的二行为犯[J].中国法学，2004（3）：147-156.

[17]张军.司法研究与指导[M].北京：人民法院出版社，2013（1）：155.

[18]张明楷.刑法第140条“销售”金额的展开[J].清华法律评论，1999（2）：32.

[19]克劳斯·罗克辛.德国刑法学总论：第1卷[M]//犯罪原理的基础构造.王世洲，译.北京：法律出版社，2005：86.

[20]张明楷.从生活事实中发现法[J].法律适用，2004（6）：31-35.

Abstract：Article 6 of The Interpretation on Several Issues Concerning the Application of Law in Handling Criminal Cases of Infringing the Personal Information of Citizens regulates the criminal behavior of infringing personal information for legitimate business. It is the intrinsic requirement for explaining the guilt concretely， responding to a variety of harmful behaviors and evaluating the criminal behavior accurately. “For legitimate business activities” should be understood as the subjective factors. “Profiting 50 000 RMB” should be strictly explained. “Once infringed citizens personal information” should be broadly explained. “Other serious circumstances” should include the standard of information quantity.

Keywords：legal business activities； infringe personal information； regulation of criminal law

（编辑：刘仲秋）