解读侵犯公民个人信息罪

解读侵犯公民个人信息罪

贾凌1 常秀娇2

[摘 要] 本文从刑事司法实务操作的角度对刑法修正案（七）规定的“侵犯公民个人信息罪”进行剖析，提出个人信息概念具有群体性特征论断以及界定“情节严重”的“质”与“量”标准，从所保护的法益来看，该法条以不区分特殊主体、一般主体为宜。

[关键词] 刑法修正案（七）；个人信息；犯罪主体；情节严重

2009年2月28日，十一届全国人大常委会七次会议表决通过了《刑法修正案（七）》，修正案的第7条在刑法典第253条后增加了一条关于侵犯公民个人信息罪的规定，作为第253条之一，具体条文如下：

“国家机关或者金融、电信、交通、教育、医疗等单位工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

对上述条款的含义，有学者认为，该条第1款和第2款分别规定了“出售、非法提供个人信息罪”和“非法获取个人信息罪”的构成要件及量刑，第3款将单位纳入本罪的主体范围。出售、非法提供个人信息罪，是指特殊主体（即国家机关或者金融、电信、交通、教育、医疗等单位工作人员）在明知自己出售或者非法提供其所获得的公民个人信息的行为会对公民个人信息安全造成伤害，而希望或者放任这种危害结果发生的主观心态支配下，违反国家法律、法规或者规章中关于公民个人信息的规定，实施的将本单位在履行职责或者提供服务过程中合法获得的公民个人信息，出售或者非法提供给他人，造成公民个人信息大量泄露、使个人信息大量流向境外、造成被害人人身严重伤害以及造成财产重大损失的危害行为。非法获取个人信息罪，是指一般主体在明知自己窃取或者以其他方法非法获得公民个人信息的行为会对公民个人信息安全造成危害，希望或者放任这种危害后果发生的主观心态支配下，实施的秘密窃取或者以其他方法非法获取公民个人信息，造成公民个人信息大量泄露、使个人信息大量流向境外、造成被害人人身严重伤害以及造成财产重大损失的危害行为。①

从规范刑法学角度看，上述理解符合法条的字面含义。但此文并非探讨对字面意义的再理解，而是结合司法实践，从本罪法条设置的应然角度解读，笔者认为上述理解存在可完善空间。

一、对本罪规定特殊主体的必要性思考

从学界对《刑法修正案（七）》第7条撰文理解适用的相关内容看，认为本条文前两款规定了两个罪名：第1款是关于“出售、非法提供个人信息罪”的规作者简介：1.贾凌（1971-），女，云南昆明人，昆明理工大学法学院教授，北京师范大学刑事法律科学研究院博士研究生。研究方向：刑法学。 2.常秀娇（1984-），女，辽宁锦州人，北京师范大学刑事法律科学研究院硕士研究生。研究方向：刑法学。

① 参见赵秉志主编：《〈刑法修正案〉最新理解适用》，中国法制出版社2009年版，第114-123页。

定，其主体为特殊主体；第2款是关于“非法获取个人信息罪”的规定，其主体是一般主体。侵犯个人信息的行为，区分特殊主体和一般主体从而分别设立两个法定刑完全一致的罪名是否必要？条文中所做出的列举性主体是否表明此条文所涉及的犯罪只能由特殊主体构成？笔者认为，从刑法理论及司法实践看，分款设置区分特殊主体、一般主体的意义不大，主要理由如下：

（一）从立法保护的法益分析

一种行为之所以被规定为犯罪，是因为其对法所保护的利益和价值造成了侵害或者侵害的危险性。我国刑法分则十章的划分标准，正是行为侵害的法益。修正案新增侵犯公民个人信息的犯罪并将其纳入刑法分则的第四章“侵犯公民人身权利、民主权利罪”第253条之一进行明确规定，可以看出，侵犯公民个人信息罪的本质是对公民人身权利侵害，其所保护的法益不会因主体不同而导致受侵害程度不同，故笔者认为，本条文所要强调的核心内容是因为侵犯公民个人信息而导致公民人身权利受到侵害的行为应当追究其刑事责任，是否具备特殊身份并不会影响到犯罪本质的认定和量刑的区别，换言之，如果特殊主体和一般主体实施行为会导致侵犯法益的区别，或者会导致量刑的不同，立法做出主体的区别在司法实践中才有其存在的必要性和意义，否则就不必做出区分。

根据前述理由，结合第253条之一的内容，笔者认为，不应将该条第1款理解为特殊主体。

第一，第253条之一规定的侵犯公民个人信息的犯罪，其惩罚的是因侵犯公民个人信息而导致公民人身权利被侵害的行为，行为主体不同不会导致定性不同。这完全不同于必须是特殊主体实施行为的犯罪，例如，刑法规定贪污罪的犯罪主体是特殊主体，是因为贪污罪主要是侵犯了职务的廉洁性，国家工作人员的特殊身份与法益受到侵害有直接联系，如果不具有该身份就不可能造成国家公职人员职务廉洁性这一法益的侵害。故贪污罪只能由特殊主体构成。而第253条之一规定侵犯公民个人信息罪的犯罪行为不会因为主体不同而产生定性的不同。

第二，结合司法实践看，侵犯公民个人信息的犯罪并不仅限于条文中所列举的主体，除国家机关或者金融、电信、交通、教育、医疗等单位工作人员外，包括房地产公司、酒店、高级会所等在内的服务机构甚至公民个人（如心理咨询师、个体医生、理疗师等），都能获得公民个人信息，都可能实施本条所规定的犯罪行为。因此，笔者认为，只要是在其履职或者是服务过程中能够获取公民个人信息的单位，都可能实施出售、非法提供公民个人信息的行为，都会对公民的人身权利造成侵害。如此看来，该条所作的国家机关或者金融、电信、交通、教育、医疗等单位工作人员的规定，理解为对一般主体的列举性规定似乎更为恰当，不至于因为特殊主体而成为入罪之限制。

综上，笔者认为，修正案第7条的犯罪主体，应当理解为一般主体，立法只是采用列举的方法将常见的主体加以明示，以利于对法律条文的理解、司法机关实务操作。

如果认为条文中所指的国家机关或者金融、电信、交通、教育、医疗等单位工作人员这样具有特定身份的主体应当严惩，也可以借非法拘禁罪的立法例，将上述特殊的单位作为身份加重情况，设置从重处罚的条款。当然，如果要这样的话，就涉及到立法的修改了，而频繁的立法修改不是本文所赞同的，笔者认为，在刑法解释（包括立法、司法、学理解释）能够和打击犯罪目标一致时，修改立法的必要性就不大了。

（二）从法条条文的内容分析

从第253条之一的法条规定看，若将第1款和第2款规定的犯罪主体分别理解为特殊主体和一般主体，则此两款的题中之义是：特殊主体（国家机关或者金融、电信、交通、教育、医疗等单位工作人员）将依职权或者服务合法获取的信息出售或者非法提供给他人，情节严重的构成犯罪；一般主体只有窃取或者以其他方法非法获取信息，情节严重的才构成犯罪。由此会产生以下问题：

1.一般主体具备第253条之一第1款行为定性问题

当一般主体具备符合第253条之一第1款规定的行为时如何定罪？即一般主体将合法持有的信息出售牟利或者非法提供给他人是否构成犯罪？

根据刑法修正案的规定，出售、非法提供个人信息罪的主体是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，若将此规定理解为特殊主体，带来的问题是：第一，除法条列举主体以外的其他单位的工作人员只要取得信息的手段是合法的，不是窃取或者以其他方法非法获取，即使故意实施了将公民个人信息出售牟利或者非法提供给他人的行为，都不得定侵犯公民个人信息罪。但结合前述关于法益分析的内容可以看出，既然本罪立法所保护的法益是公民的人身权利，则只要实施了出售、非法提供等侵犯公民个人信息的行为，达到情节严重的程度，就已经侵害了法益，此时行为对法益的侵害程度和主体是否第1款规定的那些主体没有必然联系，例如，商务会所、房地产公司都可能出现将个人信息出售谋利或者非法提供给他人的行为。第二，第253条第1款中规定的“国家机关或者金融、电信、交通、教育、医疗等单位工作人员”中的“等”是否应当理解成其他没有列举出来的各种在履职或者服务过程中能够获取公民个人信息的各种单位，如果包括其他诸如商务会所、房产公司等单位，则我们如果将第1款理解为特殊主体才能实施的犯罪，那么就会缩小此类行为法网控制的范围。

此外，公民个人也可能在服务过程中合法获取其他公民的信息，如心理诊疗所、个体诊所都可能拥有患者的个人信息，若将第253条第1款采用列举式的立法模式等同于这就是特殊主体的话，则法律无法对此部分人入罪。

当然，可能有学者会质疑：若将本罪理解为一般主体，会不会使刑法的规制范围过泛，犯罪圈过大，有违刑法的谦抑性？但笔者认为这种担忧是多余的，因为当第253条第1款理解为一般主体后，似乎扩大了犯罪圈，从而加大了打击面。其实不然，扩大犯罪圈与刑罚处罚量不是同比增长，因为从实体法角度看可以通过刑法总则第13条但书的规定进行控制，从程序法角度看可以依靠不起诉制度将轻微的该类行为排除在刑罚处罚之外，不会施之过泛，也不违反刑法谦抑性。

不可否认，依笔者观点，将第253条之一第1款理解为一般主体后，是会一定程度上扩大了犯罪圈，但这种扩大是必要的：一方面，只有这样规定才能够保证刑法立法上对侵犯个人信息罪规定的周延性和科学性；另一方面，能体现我国的法治化程度，因为目前我国实际上对侵犯公民个人信息的行为加大了控制力度，但更多的是通过行政手段在规制，比如前述提到的国家广电总局严禁炒作名人丑闻、绯闻、劣迹的禁令以及公安部联手开展打击违法短信行动②等等。笔者认为，与其赋予行政手段过大的裁量权，不如将其纳入到刑法的框架之内，通过司法程序规制。

综上，第253条之一第1款的主体为一般主体，只要将合法持有的信息出售牟利或者非法提供给他人，情节严重的，亦应构成本罪。 ② 参见：“公安部等昨起联手开展打击违法短信行动”，信息来源：

http://tech.sina.com.cn/t/2005-11-02/0911754299.shtml（访问日期：2009-5-19）

2.对第1款列举的主体的理解

换句话讲，除了国家机关或者金融、电信、交通、教育、医疗等单位以外是否还有其他单位的工作人员将依职权合法获取的信息出售或者非法提供给他人，如房地产公司、高级会所、酒店和网络公司等单位。通过前面的论述我们可以得出结论，只要是符合能够依职权或者服务获取公民个人信息的单位或者个人，都可以构成本罪的主体。在此结合前面论述，进一步阐释第235条之一应为一般主体的理由：

（1）这些单位能够实施完全符合本罪客观方面的行为。该条第1款规定的行为的客观方面可以概括为“合法获取+非法提供”。何谓合法获取？笔者理解为主体依照职权、依照相关规定取得或者相对人自愿提供。如为了治安需要，规定入住酒店必须出示身份证并进行严格登记；又如学生或者社会人员为考试、注册等提供的个人信息，上述情形下取得的公民个人信息是合法的。何谓非法提供？笔者理解为以获得对价的商业目的卖出或者违反国家规定而提供公民个人信息。如房地产开发公司将商户信息出卖给房屋中介机构就是典型的非法提供。

（2）司法实践中，除国家机关或者金融、电信、交通、教育、医疗等单位的工作人员外，其他单位诸如房地产公司、商务会所等单位工作人员实施的侵犯公民个人信息行为的危害程度可能旗鼓相当，甚至更为严重。综上，第235条之一第1款列举中的“等”其意义即昭示出该罪主体的广泛性，并从中可以进行一个合理的推断：侵犯公民个人信息罪主体的判断标准为，是否依职权或者在服务过程中能够获取公民个人信息？是，则能够成为本罪主体，否，则不能成为本罪主体。

（三）从量刑设置上考虑

刑法第235条之一的第1、第2款设置了相同的法定刑，笔者认为这两款的区别主要是行为方式不同，如前所述，当第1、2款中区分特殊主体和一般主体没有意义后，不同行为方式产生出的不同罪名可以采用选择性罪名模式概括出本条的罪名(即行为选择性罪名，在刑法典中类似的罪名诸如走私、贩卖、运输、制造毒品罪)，如此而言，将本条中的两款分别解释为两个不同的罪名就不符合罪名确立的原则。基于此，笔者认为，在对本条确定罪名时，采用选择性罪名（行为选择）模式加以规定比较合理，即定为“出售、非法提供、非法获取公民个人信息罪”。

基于上述论述，笔者认为，刑法第235条之一的主体应当理解为一般主体，罪名采用选择性罪名模式确定一个罪名即“出售、非法提供、窃取公民个人信息罪”足矣。

二、对本罪中“个人信息”的界定

目前，无论学术界还是实践中，对于个人信息概念的界定处于混乱无序的状态，个人隐私、个人资料、个人数据和个人信息等名词纷见。分类标准也有区别，笔者拟从宏观和微观两个方面探讨个人信息的内容。

（一）宏观的个人信息概念

宏观的个人信息概念即从一般意义上探讨的个人信息，因为个人信息的概念界定离不开个人隐私和个人资料等相关概念的理解，结合相关概念剖析，我们认为，个人信息是指自然人的姓名、住址、出生日期、身份证号码、联系方式、指纹、婚姻、学历、职业、医疗记录、财务状况等单独或者与其他资料相结合能够将本人识别出来的，本人不愿为不特定人所获知的个人资料。

（二）微观的个人信息概念

在此，我们认为，微观的个人信息概念要把握的标准是：在宏观概念保护的由多个要素组成的个人信息范畴中，足够影响到个人人身权利的那些要素就是微观个人信息要素，根据这些要素归纳出来的个人信息的概念就是刑法第235条之一中公民个人信息的含义。

在宏观的个人信息概念中，组成个人信息的要素很多，但在不同的场合，只需其中的部分要素足够，例如，在法院的法律文书中，个人信息要素为：姓名，性别、出生日期、民族、文化程度、身份证号、家庭住址、电话等。在公证文书中的要求也基本同上。在房地产交易合同中，个人信息要素为：姓名、身份证号、婚姻状况（尤其是在贷款购房时要求提供配偶明知的证明）。电话号码等。在医院病历中，个人信息要素为：姓名、性别、婚否、过敏史、家庭住址等。基于此，在不同行为表现的形形色色侵犯个人信息犯罪案件中，个人信息概念不要求是宏观概念，而是微观即可，而微观概念中个人信息要素标准应当为：这些要素是否具备在这类案件中足以侵犯到公民人身安全的条件。

深入理解宏观的个人信息概念会发现：当获知姓名、住址或出生日期等信息要素中的一个就可以将信息本人识别出来的情况下，出售、窃取或者非法获取提供这个信息要素就构成对个人信息的侵犯；而当需要多个信息要素相结合才能够将信息本人识别出来的情况下，同时出售、窃取或者非法获取提供这些信息要素才构成对个人信息的侵犯。可见，具体案件中的个人信息概念并不是一成不变的，在不同案件中，虽然都是对公民个人信息自由安全的侵犯，但对构成侵犯个人信息罪所要披露的个人信息要素量的要求是不同的。例如，在涉嫌房地产管理部门或者房地产公司将个人信息披露给房屋中介机构的案例中，房屋中介机构只需获得对不动产具有实质处分权的产权人的姓名、联系方式、不动产的坐落位置等少数几个信息要素就能够准确的识别定位信息本人，构成侵犯个人信息的行为只需是针对这有限几个信息要素即可成立，因此在涉嫌房地产管理部门或者房地产开发商侵犯公民个人信息的犯罪中，达到入罪条件的个人信息要素只要求产权人姓名、联系方式、不动产坐落地等即可。而其他的诸如产权人的出生日期、身份证号码、婚姻状况、医疗记录等则在所不问。但如果涉及医疗机构将分娩患者的信息泄露给孕妇保健公司或婴儿用品公司的案件中，则孕妇的姓名、联系方式、出生日期、婚姻状况、医疗记录和婴儿生育状况就成为能够识别信息本人的信息要素。故对个人信息的理解应当以宏观概念为基础，在具体案件中把握微观概念的不同。

换言之，个人信息的宏观概念具有一般性、基础性特征，而微观概念具有群体性特征。当信息本人属于不同群体时，如属文艺界、商界、房主、会员等不同的群体，对个人信息概念外延的界定有所不同，而识别属于相同群体的信息本人所要求的信息要素具有相似性。相对不同群体而言，公众认知度越高的群体，构罪对信息要素要求的量就越低③。例如年龄，对于普通人来讲仅仅泄露年龄可能尚不构成对其个人信息的侵犯，但对于明星这样的公众人物却可能带来物质上或③ 反对者会认为该结论与“公众人物无隐私”的新闻法原则相抵触。但我国目前没有新闻法，也没有类似的规定。恰恰相反的是，国家广电总局于2009年4月13日下发了《关于重申严禁炒作名人丑闻、绯闻、劣迹的通知》，禁令指出：广播电视综艺、娱乐、访谈等各类节目，严格禁止谈论名人绯闻秘史、艺人隐私恋情等花边新闻、八卦新闻，凡再有播出此类节目的电台、电视台，一经发现，要从策划选题者开始，层层追究责任。因此，从我国现实国情出发，本文笔者对所谓的“公众人物无隐私”原则持否定态度。

精神上的严重侵害④。虽然在不同群体中侵犯个人信息导致情节严重所需的个人信息要素范围有不同的判断尺度，但有一个基本标准是应当遵循的：即信息要素的披露对公民人身安全构成了威胁。这是由该条款所要保护的法益所决定的。综上，对于个人信息微观概念的把握不应一刀切，应贯彻该标准做到具体案件具体分析。

三、关于“情节严重”的理解

刑法第253条之一第1款和第2款都规定了情节严重的才构成犯罪，判断情节严重的标准，是司法实践中的重大问题，也直接影响了犯罪圈的大小和法网的严疏。出现什么样的情况，就达到了情节严重呢？是以获利金额为标准吗？笔者认为不然，一方面并不是所有侵犯个人信息罪都是牟利的，有的犯罪根本不存在获利金额；另一方面，判断入罪标准应严格因循犯罪本质，本罪侵害的法益是公民的人身权利安全，那么把握情节严重的标准也应该围绕法益展开。笔者认为，可以考虑从侵犯个人信息行为的“量”和“质”两个方面来把握情节严重：

1.情节严重的“量”，顾名思义，具体指泄露公民个人信息行为造成损害的横向考察，即侵害广度、人群的范围大小和获利多少，简言之，无论是合法持有的还是非法持有的个人信息，只要出售或者以其他方法非法提供或者窃取达到一定的数目规模，就认定情节严重，追究犯罪人的刑事责任，关于这个人数多少规模大小问题，因没有相关横向法条作为参考，笔者提出以100人作为量的起点。⑤，关于获利额，结合刑法典相关犯罪的规定，笔者认为以非法获利5000元为犯罪起点。

2.情节严重“质”的体现，具体指泄露公民个人信息行为造成损害的纵深考察，即个体在信息受非法披露后受到损害的程度。这是当侵犯公民个人信息行为的波及面和获利数额虽然不大，达不到前述量的标准，无法入罪，但是因为侵犯公民个人信息导致被害人人身权利受到严重侵害，例如，从购买者为少数人甚至是一个人的个人信息所支付的金钱数额来看，出卖人应该知道购买者获取信息后对被害者侵犯的收益应该大于支付的对价，并可以推知对方获得信息后实施危害行为的严重程度，若行为人在此情形下仍然出卖相关信息牟利，并现实造成了信息被泄露者人身伤害的，应当构成犯罪。至于人身伤害的程度，结合故意伤害罪中入罪的伤害程度，笔者认为可以考虑以轻伤为标准，即在侵犯公民个人信息达不到前述量的要求（人数100人或者获利5000元）时，如果实施侵犯公民个人信息牟利行为直接导致被害人人身受到轻伤以上程度的伤害的，应当视为情节严重，定罪处罚。

四、结论

《刑法修正案（七）》规定的侵犯个人信息罪的出台，表明了我国在尊重人权和公民个人信息保护上所做出的努力，具有重要意义。本文认为：目前，应当④ 参见：“150位明星身份证曝光，多位女星涉嫌装嫩”，信息来源

http://news.sohu.com/20081126/n260856137.shtml（访问时间：2009-5-20）。

⑤关于此数字拟定的依据，因为没有相关的刑法条文做参照系，因而参考了2003年2月19日施行的由原国家经贸委、国家计委、财政部、国家统计局共同研究制定的《中小企业标准暂行规定》，该规定应用于工业、建筑业、交通运输和邮政业、批发和零售业、住宿和餐饮业等领域，根据企业的职工人数、销售额、资产总额等指标确定中小型企业的标准，其中在职工人数要求方面，上述各个领域中型企业职工人数最低标准分别从100人至600人不等。笔者便以中型企业要求的最低人数作为侵犯公民个人信息犯罪行为情节严重中的量的基础依据。

在尊重条文、不修改条文的基础上，本着打击侵犯公民个人信息犯罪的立法目的来对该条文进行释义：首先，第253条之一犯罪主体为一般主体；其次，应当将该条文以一个选择性罪名模式确定具体罪名即“出售、非法提供、非法获取公民个人信息罪”；最后，在法条具体运用过程中，对个人信息内涵和外延的理解应注重其群体性特征，以人身权是否受到侵犯为基准，做到具体案件具体分析，准确把握情节严重的“质”与“量”的标准，以充分发挥刑法在保护公民个人信息方面应有作用。