李 軍

(華東政法大學(xué)，上海 200042)

一、問題的提出

人類歷史已經(jīng)走過農(nóng)業(yè)文明和工業(yè)文明，目前正處于大數(shù)據(jù)信息時代，信息成為新的聚焦點。個人信息的利用在增進(jìn)社會福祉的同時，也可能引起信息主體的權(quán)益受到威脅和侵害，由此催生了個人信息保護(hù)的需要[1]。自2009年《中華人民共和國刑法修正案(七)》設(shè)立出售、非法提供公民個人信息罪和非法獲取公民個人信息罪始，我國對于公民個人信息的保護(hù)在刑事領(lǐng)域才有了新的突破。但遺憾的是當(dāng)時的立法比較粗糙，保護(hù)不夠周延，因而2015年《中華人民共和國刑法修正案(九)》(以下簡稱《刑法修正案(九)》)對侵犯公民個人信息犯罪進(jìn)行了新的修正，將二者合并為一，特殊主體從重處罰，提高法定刑。

由于《刑法》第253條之一的前提要件是“違反國家有關(guān)規(guī)定”，因而對前置法的考察就成為判斷構(gòu)成要件符合性的首要任務(wù)。2021年8月20日，第十三屆全國人大常委會第三十次會議正式表決通過《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)，明確了個人信息的內(nèi)涵和處理規(guī)則，為前置法的考察確立了明確的標(biāo)準(zhǔn)，但采取抽象化立法的方式與司法解釋“概念+列舉”模式之間仍有沖突之處。犯罪的本質(zhì)是侵犯法益，當(dāng)前對于個人信息的法益屬性存在個人法益與超個人法益之爭，前者為主流觀點[2-5]。此外，被害人同意能否成為違法阻卻事由也尚未成定論，因而對現(xiàn)行的構(gòu)成要件要素的規(guī)范解釋成為正確理解和適用該罪的前提。

基于此，本文的行文思路是，在個人法益觀的立場下，依次討論各個構(gòu)成要件要素，尤其是厘清司法解釋與《個人信息保護(hù)法》對于行為對象的差異性規(guī)定；然后進(jìn)一步討論與本罪的關(guān)聯(lián)問題，以期正確理解侵犯公民個人信息罪的各個要件，消除刑事司法實務(wù)中的相關(guān)分歧。

二、構(gòu)成要件要素的邊界

根據(jù)我國《刑法》第253條之一的規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴(yán)重的，以及竊取或者以其他方法非法獲取公民個人信息的，構(gòu)成侵犯公民個人信息罪；如果違反國家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人的，則從重處罰。因而，為全面了解本罪的構(gòu)成要件要素，有必要結(jié)合司法解釋和相關(guān)法律規(guī)定，從構(gòu)罪前提、行為、對象和特殊主體四個方面依次展開分析。

(一)構(gòu)罪前提

按照我國《刑法》規(guī)定，“違反國家有關(guān)規(guī)定”是判斷行為構(gòu)成侵犯公民個人信息罪的前提。一般情況下，法定犯構(gòu)成要件的表述為“違反國家規(guī)定”或明示相關(guān)法律法規(guī)，例如，第128條“違反槍支管理規(guī)定”，第133條“違反交通運(yùn)輸管理法規(guī)”，第139條“違反消防管理法規(guī)”等①。但是，侵犯公民個人信息罪是唯一規(guī)定“違反國家有關(guān)規(guī)定”的條文。我國《刑法》中只有第96條明確規(guī)定了“違反國家規(guī)定”的內(nèi)涵，即“本法所稱違反國家規(guī)定，是指違反全國人民代表大會及其常務(wù)委員會制定的法律和決定，國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令”，并沒有規(guī)定“違反國家有關(guān)規(guī)定”的具體條文。為了明確“違反國家有關(guān)規(guī)定”的含義，2017年最高人民法院、最高人民檢察院頒布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱2017年《信息解釋》)第2條規(guī)定：“違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個人信息保護(hù)的規(guī)定的，應(yīng)當(dāng)認(rèn)定為刑法第253條之一規(guī)定的‘違反國家有關(guān)規(guī)定’”。

從文義解釋的角度看，“有關(guān)”一詞意味著不確定性，若嚴(yán)格按照2017年《信息解釋》去適用本罪，則司法機(jī)關(guān)必然要對所有的“有關(guān)”規(guī)定進(jìn)行審查，這勢必極大地增加司法機(jī)關(guān)的負(fù)擔(dān)。此外，根據(jù)學(xué)者對本罪判例的統(tǒng)計分析，發(fā)現(xiàn)理論和實務(wù)上已經(jīng)遺忘了對“違反國家有關(guān)規(guī)定的說明義務(wù)”，這種怠于找法的裁判習(xí)慣導(dǎo)致本要素被虛置[2]78。同時，該學(xué)者還從法秩序統(tǒng)一性的角度論證，既然民法和網(wǎng)絡(luò)安全法都沒有規(guī)定“部門規(guī)章”，那么刑法的違法性判斷就不能自外于前置法[2]81。不過，也有學(xué)者認(rèn)為，2017年《信息解釋》在確定“國家有關(guān)規(guī)定”的范圍時，并未使用“等”字，而僅規(guī)定了法律、行政法規(guī)、部門規(guī)章三種國家層面的規(guī)定，因而，地方性法規(guī)等非國家層面的規(guī)定以及除國家層面部門規(guī)章之外的其他部門規(guī)范性文件應(yīng)予以排除[6]110-111。

可見，2017年《信息解釋》擴(kuò)大了“國家規(guī)定”的范圍，將部門規(guī)章也包含在前置法當(dāng)中。這一擴(kuò)張性規(guī)定雖然滿足了對公民個人信息犯罪加大打擊的現(xiàn)實需要，卻有背離罪刑法定原則之嫌。對此，本文認(rèn)為應(yīng)當(dāng)對該司法解釋的內(nèi)容作限縮解釋，即“違反國家有關(guān)規(guī)定”僅限于違反法律、行政法規(guī)中關(guān)于公民個人信息保護(hù)的規(guī)定，而部門規(guī)章只能是對法律、行政法規(guī)中已有的規(guī)定予以進(jìn)一步明確、細(xì)化，不能超出后者的規(guī)定范圍。換言之，司法解釋不能越位，突破刑法條文的明確規(guī)定，必須堅持《刑法》第96條關(guān)于“國家規(guī)定”范圍的規(guī)定。再者，2021年8月20日通過的《個人信息保護(hù)法》將于2021年11月1日正式生效，這意味著對于“國家有關(guān)規(guī)定”的判斷將集中于該法。但是《刑法》與《個人信息保護(hù)法》的規(guī)范保護(hù)目的并不相同，因此，在2017年《信息解釋》未根據(jù)《個人信息保護(hù)法》作出調(diào)整之前，仍應(yīng)堅持前述規(guī)則，同時嚴(yán)格按照構(gòu)成要件來認(rèn)定本罪。

(二)行為

此外，根據(jù)2017年《信息解釋》第3條的規(guī)定，向特定人提供公民個人信息，以及通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息的，應(yīng)當(dāng)認(rèn)定為《刑法》第253條之一規(guī)定的“提供公民個人信息”。那么，若嚴(yán)格按照司法解釋的規(guī)定，則提供的對象只能是特定主體，值得討論的是向不特定多數(shù)人實施上述行為應(yīng)當(dāng)如何認(rèn)定。首先，以故意殺人罪為例，針對特定主體實施的殺人行為，認(rèn)定上沒有異議，那么針對不特定主體實施的殺人行為，在認(rèn)定上是否存在問題，答案顯然是否定的。即使是針對不特定多數(shù)人的殺人行為，也完全可以按照危害公共安全罪來認(rèn)定，換言之，針對不特定主體實施的行為不影響客觀上的評價，甚至比針對特定主體實施的法益侵害性更大。其次，以本罪為例，比如行為人甲將獲得的關(guān)于乙的個人信息在網(wǎng)上公開，以造成對乙個人聲譽(yù)的貶損和生活的騷擾，對此可以根據(jù)個人信息的真實程度予以分別認(rèn)定：1.若甲所公開的個人信息是真實的，那么完全可以按照侮辱罪認(rèn)定，如果獲取本身是非法手段，則可能數(shù)罪并罰；2.若甲所公開的個人信息是虛假的，那么可以按照誹謗罪認(rèn)定，如果獲取本身是非法手段，則也可能數(shù)罪并罰；3.若甲公開乙個人信息的行為妨害社會管理秩序，則還可能構(gòu)成尋釁滋事罪。

針對竊取型行為，需要討論的是“非法”的含義，換言之，此處的“非法”是否應(yīng)當(dāng)與前兩款的“違反國家有關(guān)規(guī)定”保持相同解釋。對此，學(xué)界通說認(rèn)為，根據(jù)體系解釋，此處的“非法”要同前兩款的解釋保持一致，做到立法用語相協(xié)調(diào)，因此在認(rèn)定上并無異議。

(三)對象

從個人信息立法進(jìn)程來看，我國并未按照一般民先刑后的模式，反而是刑先民后，換言之，刑法率先對公民個人信息進(jìn)行保護(hù)，進(jìn)而倒逼前置法不斷完善。這就在一定程度上導(dǎo)致了個人信息保護(hù)的法律處于混亂狀態(tài)，內(nèi)涵概念不統(tǒng)一，保護(hù)不周延。不過，2021年8月20日正式通過的《個人信息保護(hù)法》，已經(jīng)明確了個人信息的含義和種類，因此，關(guān)于本罪對象的爭議應(yīng)當(dāng)著眼于司法解釋與《個人信息保護(hù)法》和《民法典》之間的分歧與統(tǒng)一。

公民個人信息的內(nèi)涵在部門法上經(jīng)歷了較大的轉(zhuǎn)折，由最初的單一列舉到采取“概念+列舉”的模式，以及最后《個人信息保護(hù)法》直接進(jìn)行抽象定義。2017年《信息解釋》也采取的是“概念+列舉”的立法模式，將個人信息擴(kuò)張為身份信息和活動信息。應(yīng)當(dāng)說，《個人信息保護(hù)法》的抽象定義模式，對于個人信息的保護(hù)當(dāng)然要廣于其他部門法和司法解釋，但這是由個人信息的特殊性和規(guī)范保護(hù)目的決定的。值得注意的是，《個人信息保護(hù)法》對個人信息采取兩分法，將公民個人信息分為一般個人信息和敏感個人信息，而2017年《信息解釋》則采取三分法，將公民個人信息分為特別敏感信息、相對敏感信息和其他一般信息，并設(shè)置了差異化的入罪標(biāo)準(zhǔn)。從個人信息分類角度看，2017年《信息解釋》中的各個類別之間存在交叉、融合，這種分類是否科學(xué)有待商榷。例如，被告人美鋒電話接受詹某請求查詢被害人趙某1個人信息之托，利用其在寧波市公安局鄞州分局邱隘派出所大廳值班之機(jī)，使用他人數(shù)字證書，通過浙江綜合信息平臺查詢趙某1的暫住地及相關(guān)信息，并用手機(jī)拍攝該信息圖片后以彩信方式發(fā)送給詹某。詹某獲悉后，截取部分信息有償提供給況松，導(dǎo)致當(dāng)晚況松至鎮(zhèn)海區(qū)莊市街道永旺村蔣家32號趙某1暫住房處，用尖刀連續(xù)捅刺趙某1數(shù)刀致其大出血當(dāng)場死亡②。本案中，被害人的家庭住址信息也可以評價為行蹤軌跡，事實上檢察院也是以“行蹤軌跡”起訴，但將該個人信息評價為家庭住址信息也似無不當(dāng)。再比如，行為人購買涉及車主、車輛型號、發(fā)動機(jī)號等信息后主要用于電話推銷車險，此時應(yīng)認(rèn)定該信息屬于財產(chǎn)信息還是交易信息，也有可討論的空間。因此，既然三分法無法準(zhǔn)確認(rèn)定個人信息種類，導(dǎo)致入罪標(biāo)準(zhǔn)出現(xiàn)差異，就應(yīng)當(dāng)對三分法的分類模式進(jìn)行反思，考慮采取《個人信息保護(hù)法》的二分法模式，即只要可能對人身、財產(chǎn)造成嚴(yán)重侵害的就按照較低標(biāo)準(zhǔn)入罪，反之則按照較高標(biāo)準(zhǔn)入罪，這既不違背前置法的規(guī)定，也對個人信息保護(hù)相對更為科學(xué)。

此外，對于“生物識別信息”，2017年《信息解釋》并未規(guī)定，但《民法典》第1034條第2款和《個人信息保護(hù)法》第28條都將其明確為個人信息，而且司法實踐中對于非法獲取該信息的行為仍按本罪論處。比如，2020年6月至9月，被告人李某某制作一款具有非法竊取安裝者相冊照片的手機(jī)“黑客軟件”，發(fā)布于暗網(wǎng)論壇售賣，并偽裝成“顏值檢測”軟件發(fā)布于論壇提供免費(fèi)下載，竊取安裝者相冊照片共計1700余張，其中部分照片含有人臉信息、身份證號碼、聯(lián)系方式、家庭住址等100余條公民個人信息，最終奉賢區(qū)人民法院以侵犯公民個人信息罪論處③。可見，在本罪行為對象的判斷上，堅持個人信息的可識別性是基本原則，而且2017年《信息解釋》雖然未規(guī)定“生物識別信息”，但完全可以將行為人非法獲取、提供該信息的行為認(rèn)定為本罪。因而，對于本罪行為對象的判斷，并不能認(rèn)為司法解釋未列舉而不予處罰。當(dāng)然，另一個要避免的極端是，完全將前置法作為個人信息的判斷邊界。對此，本文認(rèn)為雖然刑法在違法性的判斷上要依據(jù)前置法，但并不絕對從屬于前置法。從體系解釋的角度看，本罪屬于侵犯個人法益的犯罪，那么刑法中的個人信息概念就必須比前置法更為限縮。因此，刑法對個人信息范圍的認(rèn)定要小于前置法，不能將全部的前置規(guī)范作為刑法認(rèn)定犯罪的依據(jù)，刑法本身也要進(jìn)行相對獨立的判斷。

(四)特殊主體的司法認(rèn)定

《刑法》第253條之一第2款規(guī)定了特殊主體實施侵犯公民個人信息行為的，要從重處罰。2017年《信息解釋》第5條1款第8項規(guī)定：“將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人，數(shù)量或者數(shù)額達(dá)到第3項至第7項規(guī)定標(biāo)準(zhǔn)一半以上的”，認(rèn)定為“情節(jié)嚴(yán)重”，構(gòu)成侵犯公民個人信息罪。2017年《信息解釋》第5條第2款第3項規(guī)定：“數(shù)量或者數(shù)額達(dá)到前款第3項至第8項規(guī)定標(biāo)準(zhǔn)10倍以上的”，認(rèn)定為“情節(jié)特別嚴(yán)重”，處三年以上七年以下有期徒刑，并處罰金。可見，對于特殊主體，刑法和司法解釋存在不同認(rèn)識，具體言之，刑法將特殊主體作為加重量刑身份；而司法解釋規(guī)定特殊主體減半入罪和減半跳檔。二者應(yīng)如何適用？是否存在重復(fù)評價？或者說司法解釋的減半入罪本身就屬于《刑法》第253條第2款的“從重處罰”規(guī)定？

采用SPSS18.0系統(tǒng)軟件統(tǒng)計分析資料;兩組患者ICU天數(shù)、住院天數(shù)、器官支持天數(shù)以及不同時間段炎癥指標(biāo)變化情況其中計量資料用(±s)表示,并用t檢驗;兩組患者不良反應(yīng)發(fā)生率其計數(shù)資料用(n,%)表示,并用X 2檢驗;P<0.05表示有統(tǒng)計學(xué)意義。

針對該問題，實務(wù)中的觀點認(rèn)為，司法解釋中對特殊主體在入罪時減半認(rèn)定系《刑法》第253條之一第1款規(guī)定中的“情節(jié)嚴(yán)重”，屬于定罪情節(jié)；而第2款規(guī)定的對于該類主體“從重處罰”，系量刑情節(jié)；減半跳檔亦屬于量刑情節(jié)，三者不可同時適用[7]。筆者對此表示贊同，同一事由不能經(jīng)歷兩次評價是一個法理上的基本前提。當(dāng)然，也有學(xué)者認(rèn)為，2017年《信息解釋》所規(guī)定的特殊主體涉案的數(shù)量或數(shù)額是一般主體的一半，僅僅是解釋“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)，即只是針對侵犯公民個人信息的入罪標(biāo)準(zhǔn)而言的，而《刑法》有關(guān)特殊主體的規(guī)定強(qiáng)調(diào)的是行為達(dá)到“情節(jié)嚴(yán)重”和“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)后再從重處罰[6]113。事實上，后者的觀點是將定罪情節(jié)和量刑情節(jié)分開，并認(rèn)為特殊主體優(yōu)先適用定罪情節(jié)，其次再進(jìn)行加重量刑，二者本質(zhì)上并無沖突。

三、關(guān)聯(lián)問題的追問

以上是對侵犯公民個人信息罪的基本問題的討論，但是圍繞本罪的其他問題仍需要進(jìn)一步追問，比如被害人同意能否成為本罪的違法阻卻事由，非法使用行為是否應(yīng)當(dāng)納入規(guī)制范圍，共犯如何認(rèn)定等。因此，接下來將針對前述三個關(guān)聯(lián)問題展開追問。

(一)被害人同意

被害人的同意(承諾)，是由于法益主體的有效同意而致法益失去其要保護(hù)性，由此犯罪的成立而被否定的場合，是以“法益性的欠缺”為理由的違法性阻卻事由[8]。如前所述，本罪的法益是個人法益，而被害人承諾的對象只能是個人法益，故可以認(rèn)為個人信息權(quán)能夠適用被害人同意原則，當(dāng)然具體如何適用還需進(jìn)一步論證。

以已公開的個人信息為例，認(rèn)定其屬于經(jīng)過個人同意的個人信息沒有異議，問題在于是否所有的公開信息都必然不屬于本罪規(guī)制的范圍。針對此問題，實務(wù)中存在有罪說、無罪說，目前最新的動向是，對于從已公開的企業(yè)信息中獲取公民個人信息的行為總體上定罪的態(tài)勢，在《民法典》通過之后似乎得到了一定程度的扭轉(zhuǎn)[9]。也有學(xué)者認(rèn)為，APP用戶知情同意也不必然能夠成為排除刑事違法性的事由，但可以成為阻卻或減輕個人信息侵權(quán)行為刑事責(zé)任的根據(jù)[10]。換言之，即使是經(jīng)過知情同意的公開信息也不必然成為違法性阻卻事由，要根據(jù)具體情形具體判斷。

從立法規(guī)定上看，《民法典》第1036條規(guī)定，在該自然人或者其監(jiān)護(hù)人同意的范圍內(nèi)合理實施的行為，行為人不承擔(dān)民事責(zé)任。根據(jù)法秩序統(tǒng)一性的原理，對民法上不予保護(hù)的行為，刑法也不能強(qiáng)加干涉，因而可以說被害人同意具備了法律依據(jù)。但是，該條還強(qiáng)調(diào)了，要合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息。此外，《個人信息保護(hù)法》第27條也規(guī)定，個人信息處理者只能在合理范圍內(nèi)處理已公開的個人信息，同時也賦予了個人拒絕權(quán)。因此，對于已公開的個人信息不能一概而論，而應(yīng)視其是否按照合理范圍和合理目的獲取、提供公民個人信息。

基于此，有學(xué)者得出結(jié)論：對于已公開的個人信息的處理，在與該信息公開的目的沒有根本抵觸的，無論被處理的信息數(shù)量達(dá)到何種數(shù)量，都不宜定罪；但是，處理已公開的個人信息侵害了被害人的法益處分自由的，應(yīng)當(dāng)成立本罪[9]40。對此，筆者基本贊同，即使是公開的個人信息，也要按照公開的目的和用途獲取，否則仍屬于侵犯公民個人信息。但是另外的問題是，是否獲取個人信息必須經(jīng)過個人同意，獲取未公開的信息必然成立本罪嗎？顯然，按照《個人信息保護(hù)法》第13條第1款的規(guī)定，符合第(二)項至第(七)項情形的，不需取得個人同意。因此，未經(jīng)同意獲取個人信息的行為并不必然構(gòu)成本罪，經(jīng)過同意獲取個人信息的行為也并不一定不會構(gòu)成本罪，前者還要考慮法定例外情形，后者則要考慮獲取的合理目的和合理范圍。

(二)非法使用行為

《刑法》第253條之一只規(guī)定了非法出售、提供和竊取或者以其他方式獲取公民個人信息，而對非法使用公民個人信息沒有規(guī)定，按照罪刑法定原則，對于非法使用的行為不能定罪。但是，從處罰范圍周密的角度看，非法使用個人信息的行為也具有嚴(yán)重的法益侵害性，相較于非法獲取、出售及提供公民個人信息行為而言，甚至社會危害性更大。因此，有必要針對非法使用個人信息行為入罪進(jìn)行分析。

有學(xué)者從法益侵害性、刑法涵蓋范圍、法秩序統(tǒng)一和域外立法四個方面論證了非法使用公民個人信息行為入罪的可能性[11]。對此，筆者另外的思考是：首先，非法出售、提供和竊取行為均是雙向行為，即將公民個人信息從A處轉(zhuǎn)移到B處，但是使用行為屬于行為人自行處分，并未轉(zhuǎn)移個人信息，而且往往是下游犯罪的預(yù)備行為。其次，所謂使用行為，是發(fā)揮行為人占有物的功效，而使用的前提是行為人先占有該物。以盜竊罪為例，行為人盜竊該物后再處分的行為，由于并未侵犯新的法益或不具有期待可能性，往往后行為被認(rèn)定為不可罰的事后行為④。那么使用個人信息是否可以認(rèn)為也是獲取行為的延伸，不具有處罰必要性。再次，至于前置法上的使用行為，主要是信息收集者事先基于合法或非法手段獲取了被害人的個人信息，比如行為人通過APP上的授權(quán)協(xié)議獲得被害人的個人信息，進(jìn)而向被害人發(fā)送相關(guān)推送信息，尤其是在關(guān)聯(lián)公司旗下的多款A(yù)PP之間共享個人信息。若基于合法原因，是否可以從內(nèi)部共享違背個人同意的角度，直接以本罪認(rèn)定即可；若基于非法原因，則根本不用考慮后續(xù)行為，也完全可以依照本罪認(rèn)定。復(fù)次，如前所述，前置法的規(guī)定不能完全等同于刑法的判斷素材，否則刑法本身的獨立性喪失，而且前置法與刑法的目的不同，后者的打擊范圍明顯小于前者，因而以法秩序統(tǒng)一性的角度來論證是否合理，有待商榷。最后，域外法的規(guī)范雖然可以作為參照依據(jù)，但是各國國情不同，思想觀念也不一樣，不宜全盤移植。比如，對于死者名譽(yù)權(quán)的問題，日本設(shè)毀損名譽(yù)罪⑤，但我國通說并不贊同死者存在名譽(yù)權(quán)一說，而是認(rèn)為名譽(yù)權(quán)與人身權(quán)、生命權(quán)緊密相關(guān)，即無生命的個體根本不存在名譽(yù)，對死者名譽(yù)的侵犯往往認(rèn)為是對死者家屬名譽(yù)的侵犯[12]。至于《中華人民共和國刑法修正案(十一)》增設(shè)侵犯英雄烈士名譽(yù)、榮譽(yù)罪，對英雄烈士的名譽(yù)、榮譽(yù)進(jìn)行保護(hù)，乃是基于樹立社會主義核心價值觀和維護(hù)社會秩序的目的，因而也未將其放在刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪，而是作為第299條之一放在第六章妨害社會管理秩序罪中[13]。

此外，值得注意的是，在《中華人民共和國刑法修正案(九)(草案)》研擬和審議過程中，有關(guān)部門和專家學(xué)者建議借鑒國外立法例，將非法使用公民個人信息的行為入罪。然而，上述建議最終未被《刑法修正案(九)》采納[14]。另，筆者的上述分析并不代表否定非法使用行為入罪，只是提出其他的一些思考，以期對使用行為入罪的設(shè)立更具合理性。還應(yīng)注意的是，即使將非法使用行為入罪，也要考慮罪數(shù)的問題。如前所述，非法使用行為往往是下游犯罪的預(yù)備行為，比如行為人使用被害人的個人信息實施詐騙、盜竊等行為，使用行為本身是否具備單獨處罰的必要性，符合預(yù)備犯正犯化的立法，也值得進(jìn)一步商榷。

(三)共犯的認(rèn)定

最后需要討論的一個問題是關(guān)于本罪共犯的認(rèn)定，即對于行為人提供信息給他人實施犯罪，能否認(rèn)定行為人構(gòu)成后罪的共犯。根據(jù)2017年《信息解釋》第5條第1款第2項的規(guī)定，知道或者應(yīng)當(dāng)知道他人利用公民個人信息實施犯罪，向其出售或者提供的，應(yīng)當(dāng)認(rèn)定為《刑法》第253條之一的“情節(jié)嚴(yán)重”，即構(gòu)成侵犯公民個人信息罪。按照該解釋的規(guī)定，似乎未將他人實施的犯罪歸責(zé)于行為人。有學(xué)者認(rèn)為，對于行為人“明知”而獲得信息者“不明知”的情形，不能按照傳統(tǒng)刑法有關(guān)片面共犯的原理，將提供信息者的片面幫助行為認(rèn)定為共犯，而應(yīng)該直接以侵犯公民個人信息罪定性[6]115。但是，筆者并不贊同該觀點。比如，以盜竊為例，行為人甲實施入戶盜竊，乙為甲放風(fēng)，甲對此不知情，乙為了甲能順利實施盜竊而將房主丙騙離。即使甲對乙?guī)椭男袨椴恢?，但片面共?幫助犯)包括物理的因果性(幫助)和心理的因果性(幫助)，此時乙的行為完全可以認(rèn)定為物理的幫助，構(gòu)成盜竊罪的片面共犯(幫助犯)。因此，對于行為人明知他人實施犯罪而提供幫助的行為，應(yīng)當(dāng)認(rèn)定為本罪和后罪幫助犯的想象競合。

與第2項不同，本款第1項規(guī)定，出售或者提供行蹤軌跡信息，被他人用于犯罪的，認(rèn)定為“情節(jié)嚴(yán)重”，構(gòu)成本罪。值得討論的是，本罪對行為的主觀認(rèn)定、“犯罪”的范圍和是否存在違背責(zé)任主義的問題。首先，從文義解釋上看，本項并未將行為人不明知排除在外，若行為人主觀上并不知道他人利用事先獲取的個人信息實施犯罪，而將他人實施犯罪的結(jié)果歸責(zé)于行為人，這似乎與責(zé)任主義原則相悖，也不存在共犯認(rèn)定的問題。若行為人主觀上本身明知他人會利用事先獲取的個人信息實施犯罪，則處理結(jié)論與前面的論述一致。其次，本項規(guī)定的“犯罪”一詞并未限定，如果他人利用行為人出售、提供的個人信息再實施侵犯公民個人信息的行為，應(yīng)當(dāng)如何認(rèn)定。筆者認(rèn)為，對于利用先前獲得的個人信息再實施該行為的，并不違反“犯罪”一詞的含義，兩者侵犯的法益不是同一個主體，并且這種上下游鏈條式的犯罪危害性更大，當(dāng)然值得刑法處罰，因此，完全可以將其評價為此處的“犯罪”。

此外，在共犯的認(rèn)定上，是否一定需要他人實施犯罪的行為最終被評價為犯罪，換言之，若最終查明他人實施的行為沒有被認(rèn)定為犯罪，應(yīng)作何評價。根據(jù)2018年11月9日最高檢《檢察機(jī)關(guān)辦理侵犯公民個人信息案件指引》(以下簡稱2018年《信息指引》)關(guān)于“信息用途”的規(guī)定，公民個人信息被他人用于違法犯罪活動的，不要求他人的行為必須構(gòu)成犯罪，只要行為人明知他人非法獲取公民個人信息用于違法犯罪活動即可。可見，2018年《信息指引》規(guī)定只需要行為人明知他人實施違法犯罪活動，至于最終是否構(gòu)成犯罪在所不問。因此，若他人實施的“犯罪行為”最終沒有構(gòu)成，那么行為人仍可以本罪論處。同時，由于他人的行為沒有被認(rèn)定為犯罪，也就不存在共犯的問題。

最后，從共犯錯誤認(rèn)識的角度來看，存在以下幾種情形：1.行為人提供信息給他人，以為實施合法行為，結(jié)果實施違法行為；2.行為人提供信息給他人，以為實施違法行為，結(jié)果實施合法行為；3.行為人提供信息給他人，以為實施輕罪，結(jié)果實施重罪；4.行為人提供信息給他人，以為實施重罪，結(jié)果實施輕罪。對于情形一，由于行為人主觀上并不明知他人會實施犯罪行為，從責(zé)任主義的立場出發(fā)，不宜認(rèn)定為共犯。對于情形二，由于他人并未實施違法行為，因而不成立共犯。對于情形三，認(rèn)定共犯無異議，但是只能認(rèn)定構(gòu)成輕罪的共犯。對于情形四，由于行為人只對他人實施輕罪提供幫助，因而應(yīng)認(rèn)定為構(gòu)成輕罪共犯，而不能構(gòu)成重罪共犯。

四、結(jié)語

21世紀(jì)是信息文明的時代，伴隨著現(xiàn)代科技的高速發(fā)展，公民個人信息保護(hù)也成為一個難題。基于個人法益觀的立場，在構(gòu)成要件要素的邊界上，本罪的構(gòu)罪前提“違反有關(guān)國家規(guī)定”應(yīng)當(dāng)以《刑法》第96條為依據(jù)，司法解釋不能突破刑法條文的規(guī)定，同時還要合理處理好司法解釋與《個人信息保護(hù)法》之間的銜接問題。出售與提供不是對立關(guān)系，出售本身就是一種提供。竊取行為的“非法”應(yīng)當(dāng)與前兩款的“國家有關(guān)規(guī)定”保持相同解釋。要堅持個人信息可識別性的核心原則，且刑法對前置法的態(tài)度應(yīng)當(dāng)是相對獨立的。對于特殊主體，既要考慮2017年《信息解釋》減半入罪的規(guī)定，也要考慮刑法規(guī)定的加重量刑身份，不宜重復(fù)評價。

最后，個人同意可以成為適格的“被害人同意”，阻卻行為的違法性，但要在合理范圍合理使用，未經(jīng)個人同意也并不必然構(gòu)成本罪，對前置法的法定例外情形應(yīng)當(dāng)予以考慮。非法使用公民個人信息的行為在入罪上還需要進(jìn)一步考慮設(shè)立的合理性，做好判斷上下游犯罪的銜接。在共犯的認(rèn)定上，要依據(jù)共犯原理及《信息解釋》的規(guī)定，主張明知他人利用事先獲取的公民個人信息實施犯罪的，也構(gòu)成本罪與后罪幫助犯的想象競合，同時區(qū)分共犯認(rèn)識錯誤的處理。

注釋：

① 對于本罪是自然犯還是法定犯存在爭議，有學(xué)者認(rèn)為

侵犯公民個人信息罪是自然犯，但不是典型的自然犯，而是帶有法定犯氣質(zhì)的自然犯。參見劉艷紅：《侵犯公民個人信息罪法益：個人法益及新型權(quán)利之確證》，《中國刑事法雜志》2019年第5期，第24頁。

② 參見(2017)浙0211刑初482號。

③ 上海檢察.公訴現(xiàn)場∣利用“顏值檢測”軟件竊取公民個人信息，判了！https://mp.weixin.qq.com/s/1PgFp3qhj1iaxNg_oU5MGA。

④ 此處的處分一般指窩藏贓物或故意毀壞財物，若利用盜竊所得實施詐騙犯罪，則應(yīng)數(shù)罪并罰。

⑤ 日本刑法第230條第2款規(guī)定：“毀損死者之名譽(yù)，如非出于指摘不實事實時，不罰?！?/p>