徐州市人民檢察院課題組

摘 要：近年來侵犯公民個人信息犯罪頻發(fā)，因此有必要深入探討相關(guān)爭議問題。企業(yè)在網(wǎng)絡(luò)上公開發(fā)布的聯(lián)系人信息是否屬于刑法保護的公民個人信息，當結(jié)合公民個人信息的內(nèi)涵綜合考量;“人肉搜索”行為情節(jié)嚴重的，應(yīng)當歸于“以其他方法非法獲取”公民個人信息的行為范疇而具有刑事可罰性;司法實踐中對公民個人信息的類別歸屬存在不清晰的問題，不同信息類型配置的構(gòu)罪標準和罪量檔次是否合理，有待進一步商榷。

關(guān)鍵詞：網(wǎng)絡(luò)公開信息 公民個人信息 以其他方法非法獲取

當世界邁向信息時代，“一個致命缺點在于數(shù)據(jù)共享的價值或福利是集體體驗，而風險卻是由個人承擔的。”[1]大數(shù)據(jù)時代在改變?nèi)祟惢镜纳钆c思考方式的同時，也在推動公民信息管理準則的重新定位。[2]我國2015年《刑法修正案（九）》和2017年“兩高”《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）強化了對公民個人信息的刑法保護，但侵犯公民個人信息犯罪頻發(fā)，我們還須從法律適用層面進一步破解司法實踐中的爭議問題。

一、網(wǎng)絡(luò)公開信息的界定

[案例一]王某等人開發(fā)了一款可以從公開的網(wǎng)站上采集企業(yè)聯(lián)系人信息的軟件，后成立公司將搜集的企業(yè)信息數(shù)據(jù)備份至公司數(shù)據(jù)庫內(nèi)，又以收取會員費的形式向社會不特定群體推銷該公司開發(fā)的軟件，購買會員后可以大批量搜索相關(guān)數(shù)據(jù)信息。

案例一中，王某等人的行為能否認定為侵犯公民個人信息罪，其在網(wǎng)絡(luò)搜集的企業(yè)聯(lián)系人信息是否屬于刑法保護的“公民個人信息”，存在爭議。有觀點認為，網(wǎng)絡(luò)公開信息不宜納入刑法保護的范圍，信息權(quán)利人主動公開就應(yīng)推定其放棄了該信息的隱私性，對該信息的獲取存在概括的同意和授權(quán)，任何人都有權(quán)利獲取。筆者認為，考察網(wǎng)絡(luò)公開信息是否屬于公民個人信息的范疇應(yīng)當先對刑法意義上的公民個人信息進行全方位地界定。

公民個人信息，包含“公民”“個人”“信息”三個詞語?！肮瘛?，不僅限于中國公民，外國人和無國籍人的信息也同樣受到刑法的平等保護;“信息”既包括身份識別信息，如手機號、身份證號、銀行賬號等，也包括反映特定自然人活動情況的信息，比如航班信息、住宿記錄、手機定位信息等。

“個人”則強調(diào)了信息的專屬性和隱私性。專屬性，即指直接或間接與特定自然人的身份相連接，從功能上講亦可稱作可識別性?？勺R別性，是“公民個人信息”的核心特征，即該信息能夠直接指向特定主體或與其他信息相結(jié)合指向特定主體?！爸苯樱▎为殻┳R別”很易理解，比如身份證號就是能夠單獨識別特定自然人身份的信息，那么“間接識別”如何理解呢？在大數(shù)據(jù)時代，很多相關(guān)信息經(jīng)過整合處理后都有可能關(guān)聯(lián)到特定個人，這些單獨不具識別性的公民個人信息因通過大數(shù)據(jù)的超強智慧分析而具有了識別性。筆者認為，這樣的信息就屬于“間接識別”信息，理應(yīng)納入公民個人信息的范疇，而不應(yīng)因其本身識別性不強而將其排除在公民個人信息的范疇之外。例如，快遞單信息和網(wǎng)購訂單信息雖然不能直接識別到特定的主體，但通過網(wǎng)絡(luò)和數(shù)字系統(tǒng)均可以查詢到與其相關(guān)聯(lián)的自然人，因此非法買賣快遞單信息或網(wǎng)購訂單信息情節(jié)嚴重的，構(gòu)成侵犯公民個人信息罪。又如，醫(yī)藥代表通過私人渠道獲取的病床號和使用特定藥品情況，無病人姓名、身份證號等信息，對于該信息是否具識別性、能否認定為公民個人信息就存在爭議。筆者認為，在特定時間段，病床號與住在該病床的病人是一一對應(yīng)的，由病床號足以關(guān)聯(lián)到特定自然人，且獲知其使用特定藥品情況就侵犯了其隱私，存在進一步打擾其個人生活安寧的可能性，應(yīng)當認定行為人獲取的信息是受刑法保護的公民個人信息。有論者認為，只有一項信息或多項信息組合具有特定指向時，方能將這個或這些信息認定為公民個人信息[3]，這顯然狹隘地理解了公民個人信息的定義和范圍。但是，如果某信息必須通過極其不合理的時間、成本和技術(shù)整合處理后，方能與特定的主體相關(guān)聯(lián)，則認為該信息不具備可識別性。[4]

至于隱私性，有學(xué)者認為刑法保護的個人信息應(yīng)當是反映公民隱私權(quán)的個人信息，這涉及到個人信息是否具有保護價值的判斷基準問題。[5]從比較法的角度看，德日等大陸法系國家對于泄露秘密罪中秘密的認定，是否要考慮被害人的主觀期待存在不同見解。以日本法為例，主觀說認為只要本人主觀上具有作為秘密的意思就夠了，客觀說認為必須是對于本人來說具有作為秘密加以保護的客觀價值，綜合說認為必須是在客觀上具有作為秘密的價值，而且本人也具有將其作為秘密的愿望，擇一說認為二者只要具備其一即可。[6]筆者認為，刑法保護的公民個人信息應(yīng)當采用擇一說，即該信息或者客觀上具有作為隱私加以保護的價值或者本人主觀上具有將其作為隱私不被外人所知的意思。如果采綜合說，只有主客觀均具有隱私特征的信息才屬于公民個人信息，那么很多信息都會被排除在公民個人信息的范疇外，顯然不利于刑法對公民個人信息的保護。比如在下載手機app時的“隱私權(quán)限授權(quán)”，雖然app使用者將個人隱私信息和定位信息授權(quán)軟件開發(fā)商，似乎不具備將個人信息作為隱私保護的意思，但站在客觀角度從社會通念來看，使用者只是為了方便使用app，并非想將自己的個人信息被外人所知，因此這種授權(quán)并不能改變個人信息的隱私性，如果將通過這種方式獲取的個人信息進行出售且情節(jié)嚴重的，應(yīng)當構(gòu)成侵犯公民個人信息罪。

根據(jù)以上特點，網(wǎng)絡(luò)公開信息似乎可以排除在刑法保護的公民個人信息之外，然而不能一概而論，當綜合考量。筆者認為，應(yīng)當考量網(wǎng)絡(luò)信息發(fā)布人對信息公開程度和被利用渠道的主觀意愿與信息被收集、售賣之后具體用途之間的差異性。比如律師在微博上發(fā)布聯(lián)系方式是為了獲得訴訟代理或案件委托，并不想接受貸款、保險等廣告推銷甚至詐騙電話，其在網(wǎng)絡(luò)發(fā)布聯(lián)系方式并不意味著完全放棄了個人信息的隱私性，上文案例中企業(yè)在網(wǎng)絡(luò)發(fā)布聯(lián)系人信息，也是為了經(jīng)營需要，各種類型的廣告推銷和詐騙電話只會影響其正常的經(jīng)營活動，甚至?xí)蛊淦髽I(yè)財產(chǎn)安全陷入風險中。主動公開并不等于主動接受“被騷擾”[7]，如果收集此類信息并向他人提供，獲取信息者進行推銷、詐騙等打擾信息發(fā)布者私人生活安寧甚至影響人身財產(chǎn)安全的行為，情節(jié)嚴重的應(yīng)當認定為侵犯公民個人信息罪。

二、“獲取”公民個人信息行為的認定

我國《刑法》第253條對“獲取”公民個人信息行為的規(guī)定是“竊取或者以其他方法非法獲取”。那么，“以其他方法非法獲取”包括那些方法？

[案例二]證券公司趙某用其手機號碼登錄注冊某股票網(wǎng)站時，發(fā)現(xiàn)此手機號碼已在該網(wǎng)站上注冊過，如果某手機號碼已在網(wǎng)站上注冊，再用該號碼注冊時，頁面上就會顯示“該手機號碼已經(jīng)注冊”。于是，趙某通過網(wǎng)絡(luò)搜索獲取了其所在省的手機號碼號段，編排了一系列手機號碼，在該股票網(wǎng)站嘗試登錄，并將頁面顯示“該手機號碼已經(jīng)注冊”的手機號碼予以收集，用于電話推銷證券業(yè)務(wù)。

[案例三]行為人李某在論壇上發(fā)布希望得到某方面公民個人信息的帖子，解某看到這個帖子后，無償向李某提供了其需要的公民個人信息。

案例二中趙某通過嘗試登錄網(wǎng)站并排查注冊號碼從而獲取股民手機號的行為，是否屬于“以其他方法非法獲取”公民個人信息的行為？案例三中，對于發(fā)布帖子并收受信息的李某能否認定為“以其他方法非法獲取”公民個人信息？與之類似的還有“人肉搜索”，在《刑法修正案（九）（草案）》審議過程中，就有將“人肉搜索”入罪的呼聲。上述行為是否歸于“以其他方法非法獲取”公民個人信息的行為范疇而具有刑事可罰性，存在不同認識。

有觀點認為，“其他方法”應(yīng)當限于與“竊取”危害性相當?shù)姆绞剑ㄈ鐡寠Z），不宜將“購買”等手段包括在內(nèi)。[8] “兩高”《解釋》顯然持相反觀點，將購買、收受、交換等方式認定為獲取公民個人信息的“其他方法”，爭議關(guān)鍵點在于對“違反國家有關(guān)規(guī)定”和“非法”的理解。我國《刑法》第253條對于“提供”公民個人信息行為規(guī)定了“違反國家有關(guān)規(guī)定”的前提性條件，對于“獲取”公民個人信息行為則規(guī)定了“非法”的要求，那么，如何理解“違反國家有關(guān)規(guī)定”與“非法”呢？關(guān)于“非法”，德國法學(xué)家克勞斯·羅克新認為，德國有些刑法分則條文中規(guī)定的“違法”或“非法”的字眼，并非構(gòu)成要件要素，僅僅是一種對違法性的一般犯罪特征的提示（本身是多余的）。[9]筆者認同此觀點，“以其他方法非法獲取公民個人信息”中的“非法”只是對該行為違法性的提示，不屬于構(gòu)成要件要素，即這里的“非法”并非指獲取手段或方法行為的性質(zhì)，而是指行為人獲取公民個人信息的行為在本質(zhì)上是違法的。因此，獲取公民個人信息的“其他方法”并不要求是與竊取具有相當社會危害性或違法性的手段、方法。

《解釋》在將購買、收受、交換等方式認定為獲取公民個人信息的“其他方法”時，放置了“違反國家有關(guān)規(guī)定”的前提性條件，與提供公民個人信息的規(guī)定相統(tǒng)一，均以“違反國家有關(guān)規(guī)定”作為前置性要件。這屬于典型的空白罪狀，即在條文中沒有詳細地規(guī)定某一犯罪構(gòu)成的特征，具體認定還要參照其他法律、法規(guī)。根據(jù)《解釋》，“違反國家有關(guān)規(guī)定”是指違反法律、行政法規(guī)、部門規(guī)章中有關(guān)公民個人信息保護的規(guī)定。但是，由于我國目前有關(guān)公民個人信息保護的法律、法規(guī)極為分散、不成系統(tǒng)，散見于我國《居民身份證法》《護照法》《郵政法》《檔案法》《消費者權(quán)益保護法》《電信條例》《道路交通安全法》《反洗錢法》《律師法》《公證法》《勞動爭議調(diào)解仲裁法》《銀行業(yè)監(jiān)督管理法》《網(wǎng)絡(luò)安全法》等涉及不同行業(yè)的法律法規(guī)中，導(dǎo)致侵犯個人信息犯罪的刑法適用遭遇構(gòu)成要素內(nèi)容含混不清的困境，這給司法實踐的具體適用造成較大障礙，因此有學(xué)者建議取消“違反國家有關(guān)規(guī)定”這樣的前置性條款。筆者認為，當務(wù)之急是盡快完善有關(guān)公民個人信息保護的法律、法規(guī)，制定專門的個人信息保護法，以提高前置法規(guī)的保護密度，充實侵犯個人信息犯罪的法律適用依據(jù)，防止因前置法規(guī)的不完善而阻卻構(gòu)成要件符合性，不當限縮該罪處罰范圍，降低公民個人信息的刑法保護力度。

在個人信息保護法尚未出臺的情況下，有必要對“違反國家有關(guān)規(guī)定”進行符合立法原意、司法實踐和社會現(xiàn)狀的解讀。筆者認為，“違反國家有關(guān)規(guī)定”可以解讀為：提供或獲取公民個人信息“沒有法律依據(jù)、法律授權(quán)和法律資格”，即無權(quán)提供或獲取公民個人信息的行為人實施了提供或獲取公民個人信息的行為，情節(jié)嚴重的，構(gòu)成侵犯公民個人信息罪。這就要排除行為人具有法律依據(jù)、法律授權(quán)和法律資格的情形——依照法律的行為、執(zhí)行命令的行為、正當業(yè)務(wù)行為、經(jīng)權(quán)利人承諾的行為。具體來說，一是依職權(quán)提供或獲取公民個人信息;二是經(jīng)當事人同意提供或獲取公民個人信息;三是提供或獲取公民個人信息具有明確的法律依據(jù)、法律授權(quán)和法律資格。第一種情形，比如公檢法機關(guān)在辦理案件過程中因辦案需要而依法提供或獲取公民個人信息，顯然是具有法律依據(jù)和法律授權(quán)的。但是，如果僅僅是在履行職責和提供服務(wù)的過程中有權(quán)接觸公民個人信息，并無法律依據(jù)和法律授權(quán)可以獲取或?qū)ν馓峁┢浣佑|的公民個人信息，那么其擅自將接觸到的信息私自記錄保存（收集）的行為就屬于違反國家有關(guān)規(guī)定，獲取公民個人信息的行為。第二種情形，以經(jīng)權(quán)利人允諾而作為阻卻違法的正當化事由，因為“信息自決權(quán)為個人信息保護立法的權(quán)利基礎(chǔ)，公民個人信息權(quán)是公民個人自決權(quán)范圍內(nèi)的個人權(quán)利”[10]，所以在未經(jīng)當事人同意或授權(quán)的情況下提供或獲取公民個人信息的，應(yīng)以侵犯信息自決權(quán)作為認定行為違法的實質(zhì)根據(jù)。從“違反國家有關(guān)規(guī)定”的角度講，實際上違反了《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護法》《居民身份證法》等相關(guān)法律法規(guī)的內(nèi)容，以及《民法總則》對公民隱私權(quán)、個人信息權(quán)的保護。那么，如果行為人不具備前述三種情形，則認為行為人提供或獲取公民個人信息的行為“違反國家有關(guān)規(guī)定”，符合侵犯公民個人信息罪的行為方式要件。

由此可見，上文案例中通過嘗試登錄股票網(wǎng)站并排查注冊號碼從而獲取股民手機號的行為、生活中的“人肉搜索”行為，都應(yīng)當屬于《刑法》第253條“以其他方法非法獲取公民個人信息”中的“其他方法”，屬于《解釋》第4條“違反國家有關(guān)規(guī)定，通過購買、收受、交換等方式”中的“等方式”。其中“人肉搜索”行為，并非單純地通過搜索引擎搜索網(wǎng)絡(luò)公開信息的行為，而是通過某個網(wǎng)絡(luò)ID在百度、微博、貼吧等各種公開和內(nèi)置的搜索引擎搜索相關(guān)資料，再進一步將這些資料比對、分析、過濾，最終找到搜索對象的個人信息，其“人肉”到的信息通常都是搜索對象作為隱私進行保護的信息，而且后續(xù)往往伴隨著網(wǎng)絡(luò)公布和網(wǎng)絡(luò)暴力行為，對搜索對象的生活安寧和人身安全造成極大的傷害。從獲取信息的手段上來看，“人肉搜索”是一種積極、主動搜集他人隱私信息的行為，其可罰性并不低于購買、收受信息行為，而且“人肉搜索”行為并沒有法律依據(jù)和法律授權(quán)，符合“違反國家有關(guān)規(guī)定”的前置性要件，情節(jié)嚴重的情況下應(yīng)當入罪處理。