侵犯公民個人信息罪的行為構(gòu)造

童德華，彭 勉

（中南財經(jīng)政法大學 刑事司法學院，湖北 武漢 430073）

2021 年8 月20 日十三屆全國人大常委會第三十次會議通過《中華人民共和國個人信息保護法》，作為公民個人信息保護的專門法，本法的通過和實施對完善公民個人信息保護法制體系具有重大而深遠的意義。我國民眾關(guān)于個人信息重要性的認識有一個不斷發(fā)展的過程，立法對個人信息的保護也呈現(xiàn)不斷完善的特點。從刑事法律看，這種不斷完善的特點十分明顯。2009 年2 月通過的《刑法修正案（七）》增設(shè)出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，作為刑法第253條之一。2015 年8 月通過的《刑法修正案（九）》將兩罪修改為統(tǒng)一的“侵犯公民個人信息罪”，將其主體由國家機關(guān)、金融、電信、交通、教育、醫(yī)療等單位及其工作人員修改為一般主體，擴大本罪所指“個人信息”的范圍，降低入罪門檻，提高其法定刑。為適應(yīng)司法實踐需要，“兩高”于2017 年5 月發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《信息犯罪司法解釋》），對困擾司法實踐的諸多定罪量刑難題作出回應(yīng)、提供指引?！缎谭ㄐ拚福ň牛泛汀缎畔⒎缸锼痉ń忉尅饭餐_立了較為完整的規(guī)制侵犯公民個人信息行為的刑事規(guī)范體系，有利于侵犯公民個人信息罪的司法適用，也有利于進一步加強對公民個人信息權(quán)的有效保護。

盡管公民個人信息保護網(wǎng)絡(luò)涉及面逐步擴大，有關(guān)行政、民事、刑事保護法律規(guī)范不斷完善，但從刑事規(guī)范和刑事司法實踐來講，還存在不少漏洞和問題。例如，侵犯公民個人信息罪保護法益含糊不清，刑法及相關(guān)司法解釋與《個人信息保護法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等前置法的關(guān)系處理不當。為了應(yīng)對不斷發(fā)展的侵犯公民個人信息犯罪態(tài)勢，優(yōu)化對侵犯公民個人信息行為的刑法規(guī)制，對本罪所涉常見行為進行類型化研究，從客觀行為角度探討和厘清侵犯公民個人信息罪的適用問題具有相當?shù)谋匾院途o迫性。根據(jù)《刑法》第253 條之一及《信息犯罪司法解釋》的規(guī)定，侵犯公民個人信息犯罪行為可分為“非法提供型”和“非法獲取型”兩大類。“非法提供型”行為是指“違反國家有關(guān)規(guī)定，向他人出售和提供公民個人信息”的行為，主要有出售公民個人信息、向他人非法提供公民個人信息兩種具體行為類型?！胺欠ǐ@取型”行為是指“竊取或者以其他方法非法獲取公民個人信息”的行為，主要有竊取和以其他方法非法獲取公民個人信息兩種具體行為方式。本文著重從類型化研究的視角，對侵犯公民個人信息犯罪兩大類四種具體行為的構(gòu)造進行分析。值得注意的是，行為構(gòu)造不僅由特殊的行為方式組成，而且還包括主體的主觀目的要素。

一、向他人出售公民個人信息行為的界定

（一）出售行為的司法界定

“出售”是指為牟取利益，將行為人掌握的物品售賣給他人的行為。在個人信息刑法保護體系中，“出售個人信息”的表述早見于《刑法修正案（七）》增設(shè)的出售、提供公民個人信息罪。《刑法修正案（九）》對該條進行修改，同樣將“出售”作為侵犯公民個人信息罪的典型行為。根據(jù)全國人大常委會法制工作委員會《中華人民共和國刑法釋義》（以下簡稱《刑法釋義》）的解釋，“出售”應(yīng)理解為“將自己掌握的公民信息賣給他人，自己從中牟利的行為”[1]。本質(zhì)上而言，出售公民個人信息是為謀取經(jīng)濟利益或?qū)崿F(xiàn)其他非法目的，通過合法或非法方式將公民個人信息作為商品在市場上進行交易、買賣的行為。[2]

（二）出售的對象

立法上侵犯公民個人信息罪是一個整體性罪名，對公民個人信息的出售行為、非法提供行為、竊取行為和以其他方法非法獲取行為所侵犯的對象具有一致性，因而在后文對其他三類行為的討論中，不再重復(fù)行為對象的論述。

本罪中，出售的對象是公民個人信息?，F(xiàn)行法律對公民個人信息的定義聚焦于可識別性，但不同的部門法涵蓋的范疇有所不同。刑法第253 條之一規(guī)定了侵犯公民個人信息罪，但并未對何為“公民個人信息”下明確的定義。對個人信息內(nèi)涵的把握一般認為應(yīng)參照其前置法的內(nèi)容。2016 年11 月7 日通過的《網(wǎng)絡(luò)安全法》第76 條和2020 年5 月28 日通過的《民法典》第1034 條對個人信息予以明確定義，均強調(diào)個人信息對“自然人”的可識別性，并以“包括但不限于”的表述方式對“個人信息”范圍作出列舉?！秱€人信息保護法》未對個人信息的范圍作出列舉，而以“有關(guān)的各種信息”作概括性規(guī)定，表明了對個人信息保護范圍的開放性。2017 年3 月20 日發(fā)布的《信息犯罪司法解釋》亦對“個人信息”作出明確，除強調(diào)“識別特定自然人身份”外，明確將“反映特定自然人活動情況”的信息納入“個人信息”范疇。

在學理上，對公民個人信息的本質(zhì)究竟為何主要有三種觀點：一為關(guān)聯(lián)說，認為只要是和信息主體有所關(guān)聯(lián)的信息，不論其信息來源、內(nèi)容差異、關(guān)聯(lián)程度大小，只要是能夠和信息主體產(chǎn)生關(guān)聯(lián)的信息，都屬于個人信息的范疇[3]；二為隱私說，認為與個人隱私有關(guān)、不愿被他人知曉，且不涉及公共利益的信息都是公民個人信息[4]；三為識別說，也是目前通說的觀點，認為公民個人信息指的是可以單獨或與其他信息結(jié)合，識別出特定自然人的信息。[5]本文支持識別說觀點。關(guān)聯(lián)說對個人信息的刑法保護不加以區(qū)分，既造成入罪標準過低，違背刑法謙抑性，又導(dǎo)致刑法與前置部門法規(guī)定的割裂，違反刑法“二次保護”的屬性。隱私說的主張缺乏確定性，“個人隱私”并非客觀判斷，更多依賴于權(quán)利人“不愿被他人知曉”的主觀態(tài)度。此外，隱私說局限于個人隱私，不利于保護隱私以外的公民個人信息。對識別說的批判往往在于個人信息界定狹隘，無法滿足司法實踐的需求。但筆者認為，識別說的界定并不狹隘。所謂“識別”，是指通過對信息內(nèi)容的分析直接或間接關(guān)聯(lián)到特定個人的過程。[6]參照前置法的規(guī)定，對此處的“識別”不能僵化地判斷，應(yīng)理解為“既包括對個人姓名、地址的直接識別，也包括對個人其他身份的識別”，[7]從而對個人信息的本質(zhì)進行綜合性評價。

根據(jù)識別說觀點，公民個人信息應(yīng)具有以下兩個主要特征：第一，具有可識別性。這是其關(guān)鍵屬性。公民個人信息必須與特定的自然人相關(guān)聯(lián)，如果經(jīng)過匿名化處理后無法識別特定個人，不屬于本罪中公民個人信息范疇。第二，必須屬于有效信息。如果信息明顯虛假、無效，也即存在明顯的錯誤，無法對應(yīng)到具體公民的，不屬于本罪中所指的公民個人信息。也即具備該兩個特征的信息則是本罪保護的“公民個人信息”。

（三）出售的意圖

出售行為的典型方式體現(xiàn)為財物交易，其目的是為了牟利或者實現(xiàn)其他非法目的。在規(guī)定侵犯公民個人信息犯罪行為的有關(guān)條文中，多將出售和非法提供行為并行羅列。從邏輯上講，出售行為是非法提供行為的典型方式之一，二者向他人提供公民個人信息的方式是類似的。立法和理論通說觀點將這兩種行為并列而作出一定的區(qū)分，意在強調(diào)兩者意圖上的差異。出售行為主要是指“以獲得對價的商業(yè)目的而進行的出賣”，非法提供強調(diào)的則更多是“不以獲得對價的商業(yè)目的，但卻違背國家規(guī)定、職業(yè)操守而提供的行為”。[8]可見，出售的意圖明確為牟利，當然也不排除同時為實現(xiàn)其他非法目的。

（四）出售的方式

出售行為本身是積極的作為行為，其方式主要包括以下幾種：第一，金錢交易形式，這是最為典型的出售形式。第二，物品交換形式，此處的物品指的是具備經(jīng)濟價值和使用價值的商品，包括有體物和無體物。在以上兩種形式中，是否要求所獲利益與個人信息的價值大致等同，也即是否要求合理對價，存在一定的爭論。筆者認為，出售行為的成立不必以獲取與個人信息價值的合理對價為基礎(chǔ)，存在“有償轉(zhuǎn)讓”的形式即可。個人信息權(quán)具有專屬性和排他性，與公民的人格尊嚴、人身權(quán)益、財產(chǎn)權(quán)益緊密相連，泄露、轉(zhuǎn)讓、出售等行為本身就是對其合法權(quán)益的侵害，也即屬于本罪的構(gòu)成要件行為。同時，從合理對價的數(shù)額認定看，由于個人信息涉及的家庭住址、行蹤信息等不具有明確的經(jīng)濟價值，但可能對信息所有者的人身權(quán)益、財產(chǎn)權(quán)益造成重大威脅，究竟怎樣才算“合理對價”，難以確定一個明確的量化標準。第三，財產(chǎn)性利益交換形式，指的是用財物以外具有財產(chǎn)價值的利益進行交換，其主要方法包括使對方負擔債務(wù)、使自己免除債務(wù)、接受別人提供的勞務(wù)三種。[9]

二、向他人非法提供公民個人信息行為的界定

（一）提供行為的司法界定

在我國刑法分則中，“提供類”犯罪主要包含兩層含義：第一，將作為犯罪對象的“物”提供給他人，如提供虛假證明文件罪等；第二，將“信息”告知給沒有權(quán)限知曉的他人，如為境外竊取、刺探、收買、非法提供國家秘密、情報罪。顯然，向他人非法提供公民個人信息行為屬于后一種。

《個人信息保護法》確立了一系列以“告知—同意”為核心的個人信息處理規(guī)則，明確規(guī)定除具有特定目的和充分必要性的情形外，處理公民個人信息應(yīng)當取得個人的同意，且“該同意應(yīng)當由個人在充分知情的前提下自愿、明確作出”。出售、未經(jīng)同意提供公民個人信息以及下文中的竊取和“以其他方法非法獲取”公民個人信息，均明顯違反《個人信息保護法》等法律的規(guī)定，具有違法性，屬刑事法律重點規(guī)制的對象。

（二）非法提供的意圖

非法提供行為的意圖應(yīng)限定為故意，也即行為人希望或者放任其非法提供行為造成信息權(quán)利人合法權(quán)益損害或損害危險。對過失行為是否構(gòu)成本罪中的非法提供行為，現(xiàn)有法律沒有作出明確規(guī)定。有論者從過失泄露個人信息的危害性和危險考慮，認為本罪的意圖可以包括過失。但這種認識值得商榷。將“過失或者是無意識泄露他人隱私的行為認為構(gòu)成此罪”的觀點顯然是不恰當?shù)?，從現(xiàn)行刑法條文來看，“出售”“提供”等行為本身暗含著一定的積極色彩，與“過失行為”互斥。過失提供行為不應(yīng)納入本罪中非法提供行為的范疇，而應(yīng)由民事、行政法律予以規(guī)制。

區(qū)別于出售公民個人信息行為，非法提供行為主觀上不是為了謀取物質(zhì)性、財產(chǎn)性利益，但其有著獲取財物或財產(chǎn)性利益之外的目的。這里的“非法提供”可分為無償提供和以非財產(chǎn)性利益為目的的提供。

第一，行為人無償向他人提供公民個人信息主要分為贈與和散播兩種形式。贈與形式中，不論行為人是通過贈與有形的物質(zhì)載體而使他人獲取其中承載的個人信息，還是通過互聯(lián)網(wǎng)等無形載體贈與信息，都屬于提供行為。故意散播的行為，主要指未經(jīng)權(quán)利人同意以公開途徑將其個人信息進行傳播。對于無償提供的行為，雖然其主觀上沒有牟利目的，但客觀上對權(quán)利人合法權(quán)益的危害性與出售行為無異，只要違反了國家有關(guān)規(guī)定，也應(yīng)屬典型的非法提供行為。

第二，以非財產(chǎn)性利益為目的的提供行為應(yīng)當歸入非法提供行為的范疇。此處的非財產(chǎn)性利益指的是不具有直接經(jīng)濟價值的利益，如在人事任免獎懲、升學就業(yè)、資格資質(zhì)評定等過程中獲得的名譽、資格等。行為人以獲取他人性服務(wù)為條件，向他人提供公民個人信息的，就屬于典型的非法提供公民個人信息行為。

（三）非法提供的方式

隨著信息網(wǎng)絡(luò)技術(shù)的發(fā)展，大數(shù)據(jù)時代信息的收集、流動、利用不斷廣泛化、普遍化，混雜其中的非法提供個人信息的行為方式五花八門。對非法提供方式的判定關(guān)鍵是要把握好其“非法性”。從行為提供的對象和提供方式的類型看，主要包括以下幾類：

1.向特定人員提供公民個人信息

向特定人員提供公民個人信息，即通過網(wǎng)絡(luò)平臺、微信、QQ、直接交易等方式向相對明確的人員或人群提供公民個人信息。“特定人員”既可以是個體，也可以是某類群體。當前侵犯公民個人信息犯罪多與謀取非法利益有關(guān)，實際存在的各類個人信息“暗網(wǎng)”交易平臺，因其上、下游人員相對清楚，仍屬向特定人員提供公民個人信息。

2.向不特定的多數(shù)人發(fā)布公民個人信息

通過信息網(wǎng)絡(luò)或者其他途徑對所收集的個人信息進行公開發(fā)布，雖然沒有明確的提供對象，但其本質(zhì)仍然是向可能訪問該信息網(wǎng)絡(luò)的不特定多數(shù)人公開這部分信息，從而對他人的信息權(quán)益造成侵害?；凇芭e重明輕”的法理，既然向特定的個別人提供個人信息已經(jīng)構(gòu)成本罪中的提供行為，通過信息網(wǎng)絡(luò)或其他途徑向不特定多數(shù)人提供公民個人信息的行為對公民個人信息權(quán)益的侵害力更強，可能造成的危害結(jié)果也更嚴重，此類行為更應(yīng)納入非法提供行為的范疇進行規(guī)制。

3.合法收集公民個人信息后未經(jīng)同意而向他人提供

根據(jù)《信息犯罪司法解釋》第3 條第2 款，即便是合法收集的公民個人信息，若未經(jīng)被收集者同意而向他人提供，仍然符合本罪對于提供行為的規(guī)定，可能構(gòu)成侵犯公民個人信息罪。司法解釋的規(guī)定與《個人信息保護法》“告知—同意”為核心的個人信息處理系列規(guī)則相契合。一些服務(wù)性行業(yè)從業(yè)人員，在提供服務(wù)過程中收集、掌握大量的公民個人信息，未經(jīng)信息權(quán)利人同意擅自對外提供而觸犯刑律的情況常有發(fā)生。

（四）不作為方式提供的認定

不作為方式的提供行為多見于網(wǎng)絡(luò)服務(wù)提供者未履行信息網(wǎng)絡(luò)安全管理義務(wù)，造成嚴重后果的情形。《信息犯罪司法解釋》第9 條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，造成嚴重后果的，應(yīng)以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。實踐中網(wǎng)絡(luò)服務(wù)提供者疏于安全管理的問題比較常見，為更好地推動公民個人信息保護工作，促進網(wǎng)絡(luò)服務(wù)提供者采取切實有效的舉動，加強對其所監(jiān)管信息的保護力度是必然的要求，完善公民個人信息保護體系也必須準確把握拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的適用。

拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪的成立要求行為人經(jīng)監(jiān)管部門責令采取改正措施而拒不改正。其中責令改正的內(nèi)容與網(wǎng)絡(luò)服務(wù)提供者的網(wǎng)絡(luò)管理義務(wù)范圍直接相關(guān)，在責令改正法律文書規(guī)定的期限內(nèi)未采取改正措施的，應(yīng)當認定為“拒不改正”?？梢?，該罪行為上以不作為為要件，且這種不作為是長期且持續(xù)的。雖然網(wǎng)絡(luò)服務(wù)提供者并未實行向他人提供公民個人信息的行為，但由于其在履行安全管理義務(wù)方面的不作為行為，導(dǎo)致公民個人信息泄露等嚴重后果的發(fā)生，為他人侵犯公民個人信息造成了一定的空隙。該網(wǎng)絡(luò)服務(wù)提供者的行為不僅構(gòu)成拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪中純正的不作為，而且也符合侵犯公民個人信息罪中消極意義上提供行為的標準。

三、竊取公民個人信息行為的認定

（一）竊取行為的司法界定和學理評說

竊取行為是法定的非法獲取個人信息行為中的典型類型，《刑法釋義》中將其解釋為“采用秘密的方法或不為人知的方法取得公民個人信息的行為”，如用攝像機偷拍他人銀行卡密碼、卡號或者身份證號，或通過網(wǎng)絡(luò)技術(shù)手段獲得他人的個人信息等情況。

對竊取行為的認定在一定程度上可參照盜竊罪的認定。盜竊罪中的竊取行為應(yīng)當具有以下幾個特征：一是具有非法占有目的；二是不具備暴力沖突性；三是違背了財物占有人的意志。對竊取行為是否需要具備隱蔽性則存在爭論。雖然通說認為其需要具備隱秘性特點，但也有學者提出，“盜竊應(yīng)當指的是采取非暴力的平和方式，破壞財物的原有占有而建立新的占有”[10]，不要求局限于秘密行為，只要采取的是平和的、非暴力的行為，就可以認定為竊取。

由于侵犯公民個人信息罪中的犯罪對象，即個人信息的價值在于其內(nèi)容，較之傳統(tǒng)的財物具有一定的特殊性。因而，對竊取公民個人信息的行為是否以秘密性和非暴力性為必要條件更是需要討論的問題。筆者認為，對此應(yīng)根據(jù)個人信息是否依附于載體來分別認定。如果是有載體的個人信息，如儲存于電腦、U 盤或是傳統(tǒng)介質(zhì)中的，由于可以通過獲取信息載體來獲得該個人信息，則竊取行為的直接對象——該儲存介質(zhì)是典型的有形物。因而對于該介質(zhì)的竊取行為可以直接參照盜竊罪的行為構(gòu)造予以界定，要求手段具有秘密性和非暴力性。而如果是無載體的個人信息，也即儲存于網(wǎng)絡(luò)空間、以數(shù)據(jù)形式存在的個人信息，由于網(wǎng)絡(luò)空間不同于物質(zhì)世界，具有相當?shù)奶摂M性，不存在傳統(tǒng)意義上的暴力手段，在此情況下，認定行為是否秘密進行和非暴力性已無意義，該類行為也隨之失去了竊取的典型特征。筆者認為，此類行為應(yīng)當認定為以其他方法非法獲取公民個人信息行為。

（二）竊取的意圖

在竊取行為的意圖上，分為認識要素、意志要素和目的要素三個方面。

認識要素主要指對犯罪構(gòu)成事實的認識方面，行為人是否認知到自己竊取的是公民個人信息而非他人財物。這就從主觀方面對侵犯公民個人信息罪和一般的盜竊罪作了區(qū)分。如果行為人的主觀目的為竊取財物，而事實上竊取了個人信息的載體，在這種主客觀不一致的情況下，應(yīng)當認定為何種罪名，理論上存在一定的分歧。有學者認為，不論其犯罪目的如何，只要竊取的是個人信息的載體，都應(yīng)當認定為竊取公民個人信息[11]。也有學者認為，為了合理解釋竊取行為的主觀故意，除非行為人明確認識到自己竊取的對象是公民個人信息，否則都只能構(gòu)成一般的盜竊罪[12]。筆者認為，應(yīng)當根據(jù)對象錯誤的理論，認定為盜竊罪未遂，不以侵犯公民個人信息罪中的竊取行為認定。但如果該行為人事后對所獲取的個人信息進行出售或利用處理，則應(yīng)以出售公民個人信息型侵犯公民個人信息罪論處。

意志要素方面，要求行為人對危害行為有明確的認識，對危害結(jié)果具有主觀上的追求，也即竊取行為的主觀方面只能由直接故意構(gòu)成，過失行為不滿足竊取行為的條件。

在目的要素上，行為人必須具備非法占有或牟利目的。在此方面延伸出了對如何判斷“占有”狀態(tài)的討論。一般的盜竊罪中，竊取行為是否達到既遂以權(quán)利人是否失去對財物的占有為基準，但由于公民個人信息可通過復(fù)制、翻錄等手段實現(xiàn)權(quán)利人和行為人的同時占有。因為存在行為人實際占有和權(quán)利人并未失去占有的矛盾情形，此處的竊取行為不應(yīng)以權(quán)利人失去占有為準，而應(yīng)以行為人實際占有信息的時間基點認定既遂。[13]

（三）竊取的方式

從語義學的角度，“竊取”行為本身暗含著積極的動機。參照盜竊罪的認定，本罪要求行為人對自身行為具備內(nèi)心確認，意志上積極追求結(jié)果的發(fā)生，主觀要素上屬于直接的犯罪故意。認定本罪的竊取行為要求行為人對獲取公民個人信息手段的非法性及行為的危害性具有明確認知，并在此基礎(chǔ)上實施了該竊取行為。

常見的竊取方式主要包括以下幾種：

第一，直接竊取公民個人信息。通常表現(xiàn)為利用工作便利竊取本單位所掌握的公民個人信息和通過“盜號”等方式獲取公民個信息，通過技術(shù)手段或其他方法盜取公民個人微信號、手機號、登錄密碼、支付密碼等行為，屬于典型的“秘密的方法或不為人知的方法”，應(yīng)歸入直接竊取行為之列。

第二，侵入計算機信息系統(tǒng)竊取個人信息。指的是未經(jīng)計算機所有人或系統(tǒng)控制者同意，進入他人控制下的計算機系統(tǒng)并獲取個人信息的行為。侵入計算機信息系統(tǒng)的行為與非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪的行為有一定相似之處，但本罪中的侵入行為主觀目的是竊取個人信息，后者的目的則不限于此，還可以涵蓋其他數(shù)據(jù)資料等。

第三，其他常見的竊取方式。主要包括：（1）復(fù)制、摘抄，指在他人不知情的情況下，復(fù)制他人控制下的個人信息；（2）利用網(wǎng)絡(luò)或其他器材進行監(jiān)聽、監(jiān)視，此類行為還可能同時構(gòu)成非法使用竊聽、竊照專用器材罪；（3）手機定位，也即通過定位技術(shù)，獲取終端用戶的行蹤信息，其實質(zhì)是在他人不知情的情況下，秘密獲取自然人的行蹤信息，無異于秘密竊取。

四、以其他方法非法獲取公民個人信息行為的界定

（一）以其他方法非法獲取行為的司法界定和學界觀點

在本罪中，“竊取或以其他方法非法獲取”是典型的列舉加概括式的立法模式，“以其他方法非法獲取公民個人信息”是對非法獲取行為的兜底概括性條款。其要素有二，一是“非法獲取”，二是“其他方法”?！胺欠ǐ@取”指的是沒有法律根據(jù)而獲得公民個人信息的行為，排除了那些諸如為了國家安全或者偵查機關(guān)為了案件偵破等合法事項而采用技術(shù)手段調(diào)取、獲得上述信息行為的非法性。[14]“其他方法”則是一種概括性的開放式規(guī)定。

（二）以其他方法非法獲取的方式

“獲取”行為本身是一個積極的表述，不存在“不作為的獲取”形態(tài)，因而本罪的行為方式只能是作為。由于以其他方法非法獲取行為屬于兜底性條款，從語用學的角度進行分析，在該條文的表述結(jié)構(gòu)上，“以其他方法獲取”應(yīng)該是社會危害性與“竊取”相當?shù)男袨椋Ｒ姷陌ㄒ韵骂愋停?/p>

1.以明顯違法的方式非法獲取個人信息

在違法性的角度上，與竊取行為相當?shù)男袨橹饕忻{迫、騙取。

以脅迫方式非法獲取個人信息是指通過對個人信息權(quán)利人的合法權(quán)益造成一定損害或者以此為要挾，脅迫對方作出違背真實意思表示的行為。在侵犯公民個人信息罪中，“違背真實意思表示的行為”常表現(xiàn)為權(quán)利人受脅迫而交付信息。脅迫行為可以包括明示或暗示、作為或不作為、對權(quán)利人本人或其關(guān)系人等，只要足以對權(quán)利人產(chǎn)生精神上的強制即可。不論權(quán)利人是否最終交付個人信息，達成行為人非法獲取目的，都不影響脅迫行為的認定。

騙取個人信息是指以虛構(gòu)事實、隱瞞真相的方法使信息權(quán)利人產(chǎn)生錯誤的認知，以主觀自愿的心理交付其個人信息的行為。在騙取行為的認定上，應(yīng)注意與詐騙罪、招搖撞騙罪的區(qū)分。在與詐騙罪的辨析上，雖然行為人的行為情節(jié)上有與詐騙行為重合的部分，但因其騙取的對象并非財物而是個人信息，適用特別法優(yōu)于一般法的規(guī)則，應(yīng)認定為侵犯公民個人信息罪。在與招搖撞騙罪的辨析上，既要考察行為的次數(shù)，又應(yīng)關(guān)注法條競合問題。招搖撞騙罪中，行為人騙取的利益既可以是物質(zhì)性利益，也可以是非物質(zhì)性利益，個人信息屬于后者范疇。同時，招搖撞騙罪的行為必須具備連續(xù)性和多次性的特點。當行為人騙取的是公民個人信息時，應(yīng)視騙取信息的行為次數(shù)是否符合多次的特點，選擇適用侵犯公民個人信息罪，或與招搖撞騙罪競合、從一重罪論處。[15]

以明顯違法的方式非法獲取個人信息還包括其他方式。如利誘行為，即以金錢、物品或者其他利益為誘餌，使知悉他人個人信息內(nèi)容的人提供該信息的行為。

2.以形式上合法的方式非法獲取公民個人信息

實踐中存在許多看似合法實則非法獲取公民個人信息的行為，常表現(xiàn)為在履行職責或提供服務(wù)的過程中非法收集公民個人信息，主要包括兩個方面：

第一，違反國家有關(guān)規(guī)定，超過法定范圍收集公民個人信息。雖然有關(guān)單位具備收集、儲存、使用公民個人信息的資格，但如果行為人出于單位或個人利益，在法定范圍之外要求或引導(dǎo)權(quán)利人提供個人信息，則可能被認定為非法獲取公民個人信息行為。此類超范圍收集信息的行為入罪，需要具體分析，把握的要點包括：主觀上為單位或個人牟取利益的目的，強要或騙取的行為方式，不履行告知權(quán)利人其提供的個人信息已超出法定范圍的義務(wù)等。[16]

第二，通過在欺瞞或強迫情況下簽署的服務(wù)協(xié)議，強制或秘密竊取公民個人信息。在智慧社會環(huán)境下，相當部分網(wǎng)絡(luò)服務(wù)提供商在提供服務(wù)、收集用戶個人信息前，會要求用戶簽署同意其收集隱私等個人信息的服務(wù)協(xié)議，如若用戶拒絕信息收集，則無法使用所提供的服務(wù)，從而使得用戶同意對本人信息的收集成為獲得服務(wù)的前提條件，這直接導(dǎo)致用戶知情同意原則的失效。筆者認為，雖然用戶確實簽署了同意收集其信息的協(xié)議，但此類行為仍然應(yīng)當認定為非法獲取個人信息的行為。權(quán)利人表面上作出了同意，但這種同意實際上是在網(wǎng)絡(luò)服務(wù)提供商的欺瞞或強迫條件下簽署的、無效的同意，不能代表用戶的真實意思表示，不能肯定這種同意的有效性。

3.非法交換獲取公民個人信息

社會生活中，以信息交換的方式獲取公民個人信息的情況比較常見，在此情況下，行為人既是公民個人信息的提供者也是獲得者，且這種交換行為往往與非法購買、出售公民個人信息行為密切相關(guān)。對信息交換行為是否“入罪”，需要綜合分析其進行信息交換前獲取該信息的行為和交換后使用該信息的行為，也即要將交換行為放在行為人系列行為過程之中進行考察。信息的來源和交換后的使用不違反法律規(guī)定，單純的交換行為不是刑法意義上的侵犯公民個人信息的行為。基于出售營利及其他非法目的的交換行為，則屬于犯罪行為。

4.以網(wǎng)絡(luò)技術(shù)手段非法收集公民個人信息

利用信息網(wǎng)絡(luò)技術(shù)非法獲取公民個人信息是侵犯公民個人信息犯罪的一種常見行為方式。重點分析“黑客”行為和網(wǎng)絡(luò)爬蟲行為。

“黑客”行為。即針對計算機系統(tǒng)和網(wǎng)絡(luò)缺陷、漏洞實施技術(shù)攻擊而獲取公民個人信息，其危害性甚于普通的侵入計算機系統(tǒng)獲取個人信息的行為，屬于刑法打擊的重點。

網(wǎng)絡(luò)爬蟲行為。網(wǎng)絡(luò)爬蟲行為是一種按照一定的規(guī)則，自動地抓取萬維網(wǎng)信息的程序或者腳本，其是信息時代一種常見的數(shù)據(jù)抓取技術(shù)。當前，利用爬蟲技術(shù)獲取公民個人信息越來越便利，侵犯公民個人信息的現(xiàn)象也越來越嚴重。網(wǎng)絡(luò)爬蟲行為已由單純的中立技術(shù)轉(zhuǎn)而被人們認為是“道德上可疑的并可被視為違法”的技術(shù)，已從涉嫌民事違法的技術(shù)發(fā)展成為涉嫌構(gòu)成刑事犯罪的技術(shù)[17]。

當利用爬蟲技術(shù)非法收集公民個人信息對公民信息權(quán)利造成損害或危險時，爬蟲行為屬于刑法意義上的“以其他非法侵犯公民個人信息的行為”。對此，核心是正確認識爬蟲行為的非法性，其主要判斷標準有形式判斷和實質(zhì)判斷兩個層面。第一，判斷爬蟲行為形式上非法的重要標準是其違背合法性原則而獲取公民個人信息。我國《個人信息保護法》第5 條明確確定處理公民個人信息“應(yīng)當遵循合法、正當、必要和誠信原則”，《網(wǎng)絡(luò)安全法》、全國人大常委會通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、工業(yè)和信息化部制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等“國家有關(guān)規(guī)定”均明確了個人信息的取得、適用等要遵循合法性原則。如果爬蟲行為違背合法性原則，無疑是非法的，將不再是技術(shù)中立的行為，而屬于“非法獲取型”侵犯公民個人信息違法犯罪行為。第二，認定網(wǎng)絡(luò)爬蟲行為構(gòu)成犯罪除進行“非法性”形式判斷外，還需從實質(zhì)價值層面來作進一步判斷，主要是考量是否有正當化阻卻事由。[18]比如，爬蟲行為經(jīng)過授權(quán)或許可阻卻其“實質(zhì)非法”，不構(gòu)成犯罪。反之，如果爬蟲控制者在未獲取用戶同意的情況下抓取其個人信息，則有可能滿足侵犯公民個人信息罪的行為構(gòu)成，達到刑事可罰性要求即構(gòu)成侵犯公民個人信息罪。又如，行為人利用網(wǎng)絡(luò)爬蟲技術(shù)非法收集的公民個人信息無法識別特定自然人的身份，因該信息不符合公民個人信息“可識別性”的本質(zhì)特征，則爬蟲行為不構(gòu)成侵犯公民個人信息罪。

關(guān)于“人肉搜索”行為。“人肉搜索”指的是發(fā)起人通過互聯(lián)網(wǎng)，借助大量社會公眾的力量，不斷補充、完善和整合信息，并公之于眾的行為，其過程中往往會侵害他人的個人信息權(quán)。學界關(guān)于如何規(guī)制“人肉搜索”行為，存在道德規(guī)制論、網(wǎng)絡(luò)內(nèi)部規(guī)制論、民事規(guī)制論、行政和刑事規(guī)制論等學說。筆者認為，“人肉搜索”行為雖然屬于以其他方法非法獲取公民個人信息行為，但不應(yīng)以侵犯公民個人信息罪進行評價。一方面，雖然“人肉搜索”行為客觀上確實對他人個人信息存在收集整合（獲取）、在網(wǎng)絡(luò)上公開發(fā)布（提供）的情節(jié)，但如何判斷該行為是“非法獲取”則存在困難?，F(xiàn)行法律中，雖然存在一些禁止開展人肉搜索違法行為的規(guī)定，但層級較低，并不屬于刑法第253 條之一中規(guī)定的違反“國家有關(guān)規(guī)定”。另一方面，“人肉搜索”行為具有相當?shù)膹?fù)雜性，由于參與主體眾多，發(fā)展環(huán)節(jié)層層推進，對個人信息的共享提供及整合行為實際上是一個完全的整體，難以對各參與主體所起到的具體作用進行準確評價，繼而難以對各主體所應(yīng)承擔的責任進行厘清。[19]因此，雖然“人肉搜索”行為客觀上符合非法獲取公民個人信息行為特征，但更應(yīng)通過行政手段進行處罰。

五、余論

侵犯公民個人信息罪是典型的抽象危險犯，是立法中抽象危險犯擴張的產(chǎn)物，只要行為人實施了出售、提供、購買、竊取、非法獲取公民個人信息等行為，就可以認定為具有違法性，而不考察行為是否實際侵犯了法益或者制造了法益侵害的危險。[20]盡管我國刑法中的本罪為情節(jié)犯，“情節(jié)嚴重”才構(gòu)成犯罪，但與歐洲推崇行政監(jiān)管，美國倚重民事救濟相比，刑事追訴是我國個人信息保護領(lǐng)域應(yīng)用最廣泛的法律手段，[21]加之我國侵犯公民個人信息罪具有適用主體廣、入罪門檻低等特征，如何在發(fā)揮刑事規(guī)制有效作用的基礎(chǔ)上，防止刑事手段的過度擴張、恣意甚至濫用帶來的后果或危險，保持刑法的謙抑性，是一個需要高度重視的課題。從行為構(gòu)造的角度對侵犯公民個人信息犯罪行為進行類型化分析，把握好其犯罪構(gòu)成的核心要素，是一種有效的路徑。同時，《個人信息保護法》的出臺和實施，同樣會對侵犯公民個人信息罪的立法完善和司法實務(wù)帶來便利和挑戰(zhàn)，對刑法修正案進行再修正、對司法解釋進行再完善，也就成為必然。