文/高富平 王文祥

出售或提供公民個人信息入罪的邊界

文/高富平 王文祥

自2009年《中華人民共和國刑法修正案（七）》（以下簡稱“《刑修七》”）首次將侵犯公民個人信息行為納入刑法的保護(hù)后，該犯罪不斷得到強(qiáng)化。2015年《中華人民共和國刑法修正案（九）》（以下簡稱“《刑修九》”）進(jìn)一步將個人信息犯罪的主體擴(kuò)大到所有主體，取消了“非法提供”中的“非法”，將入刑的行為確定為“出售或提供公民個人信息”和“竊取或者以其他方法非法獲取公民個人信息”兩種行為。這意味著，不僅出售公民個人信息和購買公民個人信息（歸類到以其他方法獲?。┛赡苋胄蹋蚁蛩颂峁┕駛€人信息或者接受公民個人信息也存在刑事責(zé)任風(fēng)險。這無疑給商業(yè)活動廣泛存在的數(shù)據(jù)交換和正在興起的數(shù)據(jù)交易蒙上一層陰影。

由于個人數(shù)據(jù)保護(hù)立法和執(zhí)法的滯后，我國的個人信息濫用、無序利用已經(jīng)到了危害人身和財產(chǎn)安全的地步，因而國家就率先運用刑法，懲治侵害公民個人信息的犯罪行為。但是，刑法的不正確適用會抑制我國大數(shù)據(jù)應(yīng)用的創(chuàng)新和正當(dāng)?shù)暮虾鯂H規(guī)則的商業(yè)應(yīng)用。因此，我們必須對《刑修九》規(guī)定的侵犯公民個人信息罪進(jìn)行正確的解釋和適用，這樣才能在打擊公民個人信息犯罪的同時，為正當(dāng)?shù)膫€人信息收集和使用提供良好的制度環(huán)境。

本文以“出售或提供”公民個人信息行為為核心，著重討論我國侵犯公民個人信息罪所保護(hù)的客體，在對刑法保護(hù)的核心——侵害的法益——進(jìn)行分析的基礎(chǔ)上，論述所禁止行為的實質(zhì)違法性，試圖回答出售或提供何種公民個人信息才具有刑法上的可責(zé)性，何種出售或提供行為才具有實質(zhì)違法性，構(gòu)成犯罪。

侵犯公民個人信息罪所保護(hù)的法益

行為是否具有實質(zhì)違法性，是根據(jù)法益是否受到侵害或者威脅來評價的。因此，應(yīng)當(dāng)先分析侵犯公民個人信息罪所保護(hù)的法益，再進(jìn)一步分析出售或提供哪些公民個人信息構(gòu)成實質(zhì)性違法，應(yīng)受刑法處罰。筆者認(rèn)為，侵犯公民個人信息罪所保護(hù)的法益應(yīng)為人格尊嚴(yán)與個人自由，個人隱私只是人格尊嚴(yán)的組成部分。這一觀點可以從立法解釋和個人信息保護(hù)目的解釋兩個角度加以分析。

（一）刑法條文的解讀

侵犯公民個人信息罪被置于《刑法》分則的第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”，那么從整體上而言，侵犯公民個人信息罪所要保護(hù)的法益應(yīng)在公民人身權(quán)利或民主權(quán)利范疇之內(nèi)。至于侵犯公民個人信息罪到底保護(hù)何種公民人身權(quán)利或民主權(quán)利還需根據(jù)刑法具體罪名的編排以及個人信息所需保護(hù)的利益進(jìn)行進(jìn)一步分析?！缎绦奁摺肥状未_定侵犯公民個人信息時就將其條文序號定為第253條之一，位于“侵犯通信自由罪”與“私自開拆、隱匿、毀棄郵件、電報罪”之后。不難看出，“侵犯通信自由罪”與“私自開拆、隱匿、毀棄郵件、電報罪”所保護(hù)的法益均為公民人格權(quán)利與自由，包括公民個人通信自由和人格尊嚴(yán)。因此，從具體罪名的編排來看，侵犯公民個人信息罪所保護(hù)的法益應(yīng)與上述兩個罪名類似，是對公民人格尊嚴(yán)與個人自由的保護(hù)。

（二）個人信息保護(hù)的目的

個人信息刑法保護(hù)是個人信息保護(hù)的最后一道防線，其保護(hù)目的仍然不能脫離個人信息保護(hù)的宗旨。個人信息保護(hù)區(qū)別于隱私保護(hù)，個人信息保護(hù)旨在確立個人信息使用規(guī)范，所保護(hù)個人權(quán)益包括但不限于隱私利益。雖然我國許多民事法律（如《消費者權(quán)益保護(hù)法》）開始引入個人信息保護(hù)制度，但是對個人信息保護(hù)的宗旨并沒有統(tǒng)一的認(rèn)識。因此，我們?nèi)匀恍枰繁舅菰?，了解一下國際社會個人信息保護(hù)制度的形成和基本宗旨。

個人信息保護(hù)制度既有個別國家的立法淵源，也有國際文件淵源。德國黑森州在1970年頒布了世界上第一部專門針對個人數(shù)據(jù)保護(hù)的法律，1977年在國家層面也制定了《聯(lián)邦個人數(shù)據(jù)保護(hù)法》（BDSG）。之后，1983年德國憲法法院判決確立了個人信息自決權(quán)為公民憲法上的權(quán)利。于是，個人自行決定何時、在何范圍披露個人信息成為一項憲法權(quán)利。在美國，1973年美國衛(wèi)生、教育和福利部（現(xiàn)為衛(wèi)生和人權(quán)服務(wù)部）提出“正當(dāng)信息通則”（又稱隱私原則），也成為美國1974年《隱私法》的基礎(chǔ)，并成為當(dāng)今個人數(shù)據(jù)保護(hù)立法的重要源頭。 美國的《隱私法》僅規(guī)范公共部門的個人信息處理行為，防范公權(quán)力對公民隱私的侵害，然而它體現(xiàn)的正當(dāng)信息通則也被私人領(lǐng)域廣泛接受，成為美國保護(hù)個人信息的一般原則。

進(jìn)入20世紀(jì)80年代，先后有兩個有關(guān)個人信息保護(hù)的國際性文件發(fā)布，一個是1980年經(jīng)濟(jì)合作與發(fā)展組織的《隱私保護(hù)和個人數(shù)據(jù)跨境流通指南》（以下簡稱“《指南》”），另一個是1981年歐洲委員會《個人數(shù)據(jù)自動處理中的個人保護(hù)公約》（以下簡稱“《公約》”）。《指南》提出適用于個人信息保護(hù)的8項原則，已經(jīng)被許多國家接受并作為保護(hù)個人隱私與自由的基本原則?！豆s》則是在人權(quán)保護(hù)的意義和框架下定位個人數(shù)據(jù)保護(hù)制度的，它明確宣布個人數(shù)據(jù)保護(hù)是為了保護(hù)個人權(quán)利和基本自由（尤其隱私權(quán)）。該《公約》成為1995年歐盟《個人數(shù)據(jù)保護(hù)指令》制定的依據(jù)和基礎(chǔ)。《個人數(shù)據(jù)保護(hù)指令》及歐盟于2016年4月頒布的《統(tǒng)一數(shù)據(jù)保護(hù)條例》（2018年生效后將替代《個人數(shù)據(jù)保護(hù)指令》成為在全歐盟范圍內(nèi)具有直接法律效力的法律）均將個人數(shù)據(jù)保護(hù)目的定位于“保護(hù)自然人的基本權(quán)利和自由”。

從以上對國際社會個人數(shù)據(jù)保護(hù)制度形成和立法定位的簡要分析可以看出，國際社會主要是從保護(hù)個人基本權(quán)利和基本自由的角度來保護(hù)個人數(shù)據(jù)的，其基本理念是，個人數(shù)據(jù)的處理涉及公民（或自然人）的個人尊嚴(yán)、自由，應(yīng)當(dāng)規(guī)范個人數(shù)據(jù)的處理行為，以防止對公民基本權(quán)利和自由的侵害，其中包括但不限于對隱私（特指個人對敏感信息的控制）的保護(hù)。因此，所謂個人數(shù)據(jù)保護(hù)，就是保護(hù)個人數(shù)據(jù)收集、處理等數(shù)據(jù)利用過程中所涉及的個人基本權(quán)利與自由。

我國尚未制定個人數(shù)據(jù)保護(hù)法，因而對于個人數(shù)據(jù)保護(hù)目的還沒有統(tǒng)一法律表述。但從國際社會個人數(shù)據(jù)保護(hù)基本規(guī)律來看，我國的個人數(shù)據(jù)保護(hù)亦應(yīng)當(dāng)建立在憲法規(guī)定的公民基本權(quán)利基礎(chǔ)上。若這些公民權(quán)利同時體現(xiàn)為人格權(quán)益，需要民法予以認(rèn)可和保護(hù)，那么也同時納入民法（比如能夠以名譽(yù)權(quán)、隱私權(quán)來保護(hù)人格尊嚴(yán)）。只有這樣我們才能理解為什么在民法上沒有相應(yīng)規(guī)范的情形下，《刑法》先行對個人信息予以保護(hù)。也就是說，我國刑法對于公民個人信息保護(hù)是建立在《中華人民共和國憲法》對公民基本權(quán)利保護(hù)的基礎(chǔ)上，是履行“國家尊重和保障人權(quán)”基本義務(wù)，保護(hù)公民人格尊嚴(yán)、人身自由等憲法權(quán)利，而不是直接基于人格權(quán)或隱私權(quán)保護(hù)。一旦我們制定個人信息保護(hù)法之后，就可以全面確立我國個人信息保護(hù)的目的，使憲法保護(hù)的基本權(quán)利得到細(xì)化，并使憲法對公民權(quán)利的保護(hù)延伸到民事法律領(lǐng)域。因此，從個人信息保護(hù)的法律基礎(chǔ)和基本宗旨角度，刑法中侵犯公民個人信息罪所保護(hù)的法益應(yīng)當(dāng)理解為公民人格尊嚴(yán)與個人自由，隱私利益只是人格尊嚴(yán)保護(hù)的內(nèi)容之一。

出售、提供公民個人信息行為實質(zhì)違法性之界定

既然侵犯公民個人信息罪所保護(hù)的法益是公民的人格尊嚴(yán)與個人自由，那么對出售或提供公民個人信息行為的實質(zhì)違法性判定必須圍繞該法益展開，即如果出售或提供公民個人信息對公民的人格尊嚴(yán)與個人自由造成嚴(yán)重侵害或威脅，那么該行為就具有實質(zhì)違法性，應(yīng)被視為侵犯公民個人信息行為，應(yīng)受刑法處罰。刑法控制的應(yīng)該是對個人隱私、人格尊嚴(yán)和個人自由造成嚴(yán)重侵害的行為，這就意味著我們需要對可入刑的行為作出明確的限定，將不具有實質(zhì)性違法的行為排除在刑法調(diào)整之外。筆者認(rèn)為，這種限定須從兩個方面進(jìn)行，一是在既有規(guī)范下限縮公民個人信息的范圍，將明顯具有潛在危害性信息納入；二是增加該罪要件，將非法目的作為侵犯公民個人信息罪的必要要件。

（一）限縮公民個人信息的范圍

侵犯公民個人信息罪規(guī)定了兩種侵犯公民個人信息的行為，一種是“向他人出售或者提供公民個人信息”的行為，另一種是“竊取或者以其他方法非法獲取公民個人信息”的行為。這兩種行為的行為方式在本質(zhì)上具有很大的差異。對于“竊取或者以其他方式非法獲取”，無論是竊取還是以其他方式非法獲取，其核心都突出了“非法”，其獲取公民個人信息的行為缺乏合法性基礎(chǔ)，必定會對公民個人自由造成侵害，同時也可能會對公民個人隱私與人格尊嚴(yán)造成侵害或極大的威脅，當(dāng)然具有實質(zhì)違法性。

“向他人出售或提供”行為本身屬于一種中性的行為，單純出售和提供公民個人信息行為并無所謂的合法或非法問題。通過對刑法罪名的梳理，我們發(fā)現(xiàn)標(biāo)的物（如槍支、彈藥、危險物質(zhì)、毒品等）的特殊性是導(dǎo)致整個行為被認(rèn)定為非法，并將其作為犯罪行為納入刑法調(diào)整范疇的關(guān)鍵。因此，對“出售或提供公民個人信息”行為的實質(zhì)違法性分析的落腳點并不在于出售和提供這一行為方式上，而在行為對象，即公民個人信息上。公民個人信息因其承載著公民人格尊嚴(yán)和個人自由，本身具有一定的特殊性。但出售或提供公民個人信息并不具有直接危險性，不會直接對國家安全造成威脅或影響國家市場經(jīng)濟(jì)秩序；相反，個人信息的利用與流通具有巨大的價值。因此，刑法不應(yīng)完全禁止出售或提供公民個人信息的行為。從實質(zhì)違法的角度，筆者認(rèn)為納入刑法保護(hù)的應(yīng)當(dāng)只限于能夠直接識別公民個人身份的個人信息。

國際社會對于個人信息的定義多強(qiáng)調(diào)其可識別性，但是，可識別性有兩種含義，即識別特定個人身份與識別特定個人個性特征（可以不知道具體個人，但了解該人特征）。如果單純出售、提供可識別特定個人個性特征的個人信息（比如對個人信息作了去身份化處理），而不包含身份信息，不能直接侵害或威脅該個人的隱私或人格尊嚴(yán)，不具有直接危害性。 因為可識別特定個人個性特征的個人信息在不包含個人身份信息的情況下，雖然該個人信息同樣指向某個人，但無法明確知道該個人的身份，也即無法特定化。即便某些愛好或習(xí)慣具有一定的敏感性，但由于無法特定化至一個明確的信息主體的身份，對該信息主體的侵犯也就無從談起。相反，如果行為人出售或提供的個人信息屬于可直接識別特定個人身份的個人信息，那么因該信息與特定主體直接相關(guān)聯(lián)，該出售或提供行為就可能直接侵害公民的個人隱私與人格尊嚴(yán)，甚至也可能威脅到其他法益。

此外，筆者考察了近年的300份相關(guān)判決，其中判決內(nèi)容對公民個人信息有明確描述或根據(jù)判決全文可判斷個人信息類型的判決共207份。在該207份判決中，有206份明確涉及典型的可直接識別特定個人身份的個人信息，如姓名、身份證號、電話號碼或住址等。可見，我國目前司法實踐對公民個人信息的界定也印證了筆者的這一觀點。

因此，筆者認(rèn)為，只有出售或提供的公民個人信息屬于可直接識別特定個人身份的公民個人信息才會對侵犯公民個人信息罪所保護(hù)的法益造成侵害或威脅，出售或提供公民個人信息中“公民個人信息”的范疇?wèi)?yīng)限縮為可直接識別特定個人身份的公民個人信息。

（二）將犯罪目的作為必要要件

由于個人身份信息仍然具有社會性和公共性，可直接識別特定個人身份的公民個人信息的流通仍然是社會運行不可缺少的環(huán)節(jié)，所以簡單地將出售或提供可直接識別特定個人身份的個人信息的行為入刑，在保護(hù)個人尊嚴(yán)和個人自由的同時，可能妨礙個人信息的正當(dāng)流通和使用。因此，作為社會行為最嚴(yán)厲的禁止性規(guī)范，刑法必須給出明確的限定，懲治那些嚴(yán)重危害個人尊嚴(yán)和自由的行為，而給正當(dāng)個人信息流通和使用留下空間。就買賣或提供行為而言，其行為的性質(zhì)顯然取決于其目的。因此，筆者認(rèn)為，應(yīng)將犯罪目的作為侵犯公民個人信息罪的必要要件，即將《刑法》第253條之一中“向他人出售或者提供公民個人信息”改為“以非法目的向他人出售或者提供公民個人信息”。

基于不同的目的，出售或提供可直接識別特定個人身份的公民個人信息所產(chǎn)生的社會危害性具有本質(zhì)差異?；谡?dāng)?shù)哪康?，如企業(yè)間信息共享，在不同主體之間出售或提供可直接識別特定個人身份的公民個人信息，如果保護(hù)措施不當(dāng)，也可能會對相關(guān)信息主體的個人隱私、個人尊嚴(yán)造成不必要的侵害或威脅。在該情況下，信息主體的隱私等人格利益完全可以通過民事法律途徑予以救濟(jì)，使得信息主體因侵犯隱私、人格尊嚴(yán)所受損失得到恢復(fù)或補(bǔ)償，無須動用刑法來保護(hù)信息主體。因為在民事救濟(jì)中，允許司法裁量在個人尊嚴(yán)和自由的法益（個人利益）與個人信息自由流通（代表著公共利益）之間進(jìn)行平衡，作出恰當(dāng)?shù)呢?zé)任分配。相反，如果行為人基于詐騙或幫助他人詐騙等非法目的出售或提供可直接識別特定個人身份的公民個人信息，公民個人的人格尊嚴(yán)與自由勢必完全遭到侵害，不僅如此，該出售或提供行為進(jìn)一步加大了對公民人身安全、財產(chǎn)利益的威脅。因此，基于非法目的的出售或提供行為才具有刑法意義上的實質(zhì)違法性，也只有基于非法目的的出售或提供行為才有必要動用刑法進(jìn)行規(guī)制。

結(jié)論

侵犯個人信息罪填補(bǔ)了我國個人信息刑法保護(hù)的空白，為公民個人隱私、人格尊嚴(yán)與個人自由提供了更加強(qiáng)有力的保護(hù)，體現(xiàn)了國家對人權(quán)的重視與保障。但在打擊侵犯個人信息行為的同時，要保障和引導(dǎo)個人信息的有序利用和自由流通，平衡公民個人利益的保護(hù)與信息產(chǎn)業(yè)的發(fā)展，發(fā)揮個人信息在經(jīng)濟(jì)、科技、文化等領(lǐng)域的促進(jìn)作用。鑒于此，刑法一方面要發(fā)揮其威懾和教育的作用，通過適當(dāng)?shù)姆ǘㄐ套審氖虑址競€人信息犯罪的行為人獲得應(yīng)有的懲罰；另一方面，刑法應(yīng)保持其明確性和謙抑性，這樣才能避免不當(dāng)?shù)刈璧K了新生事物對社會發(fā)展的促進(jìn)作用。而目前侵犯公民個人信息罪的法定最高刑相對較低，“情節(jié)嚴(yán)重”的情況，法定最高刑只有三年；“情節(jié)特別嚴(yán)重”的情況，法定最高刑為七年。筆者認(rèn)為，這樣相對較低的法定刑，并沒有給犯罪分子足夠的威懾力，無法有效遏制犯罪；同時，由于侵犯公民個人信息罪的構(gòu)成要件過于簡單，實踐中哪些行為構(gòu)成犯罪不明確，無形中增加了合法利用個人信息的行為人的刑事風(fēng)險，阻礙了社會對個人數(shù)據(jù)的充分利用。 本文認(rèn)為，只有出售或提供可直接識別特定個人身份的公民個人信息行為才具有實質(zhì)違法性，應(yīng)受刑罰處罰，同時應(yīng)將“以從事違法活動或侵害個人權(quán)益活動為目的”作為出售或提供個人信息行為構(gòu)成犯罪的要件。一旦這樣的建議得到采納，我們還可以考慮提高刑罰的力度，提高法定最高刑，或者明確罰金數(shù)量。如此，既滿足侵犯公民個人信息罪的立法目的，也有利于保障個人信息的自由流通，推動信息產(chǎn)業(yè)的發(fā)展，釋放數(shù)據(jù)紅利。

（高富平系華東政法大學(xué)法律學(xué)院教授，王文祥系華東政法大學(xué)民商法專業(yè)碩士生；摘自《政治與法律》2017年第2期；本文系國家社科基金重大項目“信息服務(wù)和信息交易法律制度研究”的階段性成果；原題為《出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護(hù)的法益為視角》）