當前，網絡時代侵犯公民個人信息的犯罪可謂愈演愈烈，社會危害性日益凸現(xiàn)，據中國互聯(lián)網協(xié)會發(fā)布的《中國網民權益保護調查報告(2016)》顯示，一年來，我國網民因個人信息泄露等遭受的財產損失就高達915億元，72%的網民認為個人信息泄露情況嚴重，84%的網民親身感受到了個人信息泄露帶來的不良影響。為此，《刑法修正案(七)》增設了刑法第253條之一，即“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”。

然而，實踐中被追究刑事責任的案件并不多見，相反，侵犯公民個人信息的行為卻有增無減。為扭轉這一形勢，《刑法修正案(九)》再一次對刑法第253條之一進行了修訂，一方面，擴大了侵犯公民個人信息罪的主體和前置法的范圍，另一方面，增加了加重情節(jié)的法定刑和對特定身份犯從重處罰的規(guī)定，還降低了非法獲取型犯罪的入罪門檻。盡管《刑法修正案(九)》做出了努力，但是這一修訂還存在個人信息范圍不明、情節(jié)標準不清的問題。為進一步解決這些問題，兩高又聯(lián)合制定了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，并于2017年6月1日起開始實施。但這一解釋并沒有化解理論界對本罪的保護法益之爭，對于本罪的犯罪構成要件界定和司法實踐的具體認定也存在一些值得探討的問題，值得研究。

針對侵犯公民個人信息罪的法益，事實上在本罪立法之前，即刑法規(guī)定“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”時，就存在法益上的爭論。目前，針對侵犯公民個人信息罪的法益，主要存在如下幾種觀點:

一是公民個人的信息自由、安全和隱私權說。該說往往認為本罪保護的法益是公民個人的信息自由、安全和隱私權。公民個人信息是指能識別公民個人身份的所有信息。但在法益性質歸屬上，卻存在人格權利說和民主權利說的爭論。

二是公民個人隱私權說。該說認為本罪保護的法益為公民個人的隱私權，刑法中的個人信息是指一般公民不隨意公布、涉及公民隱私的個人信息。另外在該說內部，也存在人格權利說和民主權利說的爭議。前者還對公民個人信息作了擴大解釋，認為公民個人信息包括能夠識別公民個人身份或者涉及公民個人隱私的信息和數(shù)據資料。后者則對公民個人的隱私權作了擴大解釋，認為公民的隱私權，既包括公民的個人隱私不受侵犯的權利，也包括公民對自己個人信息的控制權。

三是公民個人信息權說。該說認為本罪保護的法益為公民的個人信息權或信息安全權。刑法中的公民個人信息是指能夠識別公民個人身份或涉及公民個人隱私的信息。根據法益歸屬的性質不同，該說也可以分為人格權利說和民主權利說兩種觀點。

除上述觀點之外，實踐中還普遍存在復雜客體說，往往將國家或社會對個人信息的管理秩序作為次要法益看待，認為侵犯公民個人信息的行為，不僅侵犯了公民的隱私權或者個人信息權，還侵害了國家機關或有關單位對公民個人信息的管理活動或正常工作秩序。

　　首先，就個人隱私權說而言，該說盡管明確具體，但存在的主要問題是不當縮小了本罪的打擊范圍。隱私權的法益說起源于英美，但隨著時間的發(fā)展，英美法系的隱私權概念已經發(fā)展成為了“人格自由發(fā)展權利”的新概念，其內涵已被大大擴張。然而，我國對隱私權概念尚缺乏擴大解釋的基礎，如果僅僅將隱私權作為本罪的保護法益，就不可能對非法利用公民已公開的個人信息從事危害社會的行為進行有效的懲治，難以實現(xiàn)本次修法的目的。

其次，就個人信息權說而言，該說看似全面而簡潔，但是卻存在抽象化和精神化的問題。法益是刑法所要保護的生活利益，法益的確定既是刑法立法的起點，也是刑法立法的目標，必須要堅持具體化、明確化的原則，排斥抽象法益已經成為理論界的共識。個人信息權包括個人信息決定權、保密權、查詢權、更正權、封鎖權、刪除權、報酬請求權等多項權利。是否所有的具體權利都需要納入刑法保護不無疑問。

再次，就國家和社會的次要法益而言，這種復雜客體說確實符合我國傳統(tǒng)刑法對客體的界定，然而，卻并不符合刑事立法的初衷以及法益理論的發(fā)展。一方面，本次刑法修正之所以嚴懲侵犯公民個人信息的行為，原因就在于這種行為在實踐中往往極易引發(fā)其他犯罪或者本身就是其他犯罪的一部分，而且隨著信息技術的發(fā)展，這種侵犯公民個人信息的行為已經具有了嚴重的社會危害性。另一方面，國家法益和社會法益本身也要求可以還原為個人法益，在已明確保護個人法益的同時，再強調國家和社會法益，既無必要，還可能沖淡對個人法益的保護重要性的認識。

事實上，本罪所保護的法益即公民個人的信息自由、安全和隱私權的雙重法益，其中，主要法益為公民個人的信息自由和安全。理由如下：

首先，符合立法原意。盡管學者對是否存在立法原意尚有爭論，但必須承認立法者所追求保護的生活利益，恰恰最能說明本罪的具體法益。根據立法者的解釋，刑法保護公民個人信息，“不僅是保護公民的隱私權，更是保護公民身份信息的安全和公民身份管理秩序”。刑法修正案增設本罪的初衷就在于“保護公民個人信息不被泄露，保護公民人身、財產安全和個人隱私以及正常的工作、生活不受非法侵害和干擾”。可見，立法者在增設該罪時就考慮到了保護公民隱私權和保護信息自由和安全的法益，而且立法者使用一個“更”字，恰恰體現(xiàn)了立法所追求的保護重點就在于信息的自由與安全。

其次，符合行為變化了的社會危害性。在前網絡社會，刑法對泄露公民個人信息的行為沒有納入刑法懲治，原因就在于以往泄露公民個人信息的行為侵犯的主要是個人的隱私權，彼時，由于電信網絡沒有普及化，實踐中，既沒有出現(xiàn)大范圍泄露的情況，也不可能出現(xiàn)這一情況，相應的，也就不存在大范圍利用泄露的公民信息進一步侵害其他法益的可能性。然而，時至今日，網絡的普及化已是陽光照進現(xiàn)實，在信息時代，包括公民個人信息在內的一切信息都成為了最重要的資源，泄露信息的情況不僅愈演愈烈，而且利用泄露信息侵害其他法益的情況也比比皆是。二者之間的反差，恰恰說明刑法增設侵犯公民個人信息罪的重點不在于公民個人信息不法為他人所知，而是在于他人利用不法所知的公民個人信息，危害了公民的生活安寧。當然，也應該承認，在網絡社會下，公民個人信息被廣泛批量泄露后，公民的隱私權遭受的侵害也在加重。這也就說明了本罪所保護的主要法益在于公民個人信息的自由與安全，同時兼顧了保護隱私權。

再次，符合域外最新的立法趨勢。在我國《刑法修正案七》增設相關針對公民個人信息犯罪之前，域外大陸法系國家的刑法典一般都規(guī)定了泄露利用職務便利獲知的他人秘密的犯罪，例如德國刑法典規(guī)定了“侵犯他人隱私罪”，日本刑法典規(guī)定了“侵犯秘密罪”，都規(guī)定只要認定為泄露行為就具有可罰性。與我國一樣，面對網絡信息社會的沖擊，侵犯公民個人信息行為的泛濫，各國也相繼補充了立法，如最新的法國刑法典就新增了“侵害因數(shù)據集獲信息處理產生的人之權利犯罪”，規(guī)定“任何人未經當事人同意，在信息處理過程中，收集此類信息并將其泄露給無權獲得該信息的第三人，會對當事人的名譽或私生活造成損害的，處5年監(jiān)禁并科300000歐元的罰金。并規(guī)定竊取第三人身份信息或使用可識別第三人的任何行政的信息，會擾亂其安寧或他人安寧，或者損害其名譽或他人對其敬意的，處1年監(jiān)禁并科15000歐元的罰金?！笨梢?，法國最新的刑事立法一方面堅持了公民個人信息認定的廣泛性，另一方面也強調行為對當事人私生活的侵害，后者就是私生活的安寧秩序，在法益上就體現(xiàn)為公民個人信息的自由與安全。而“損害名譽或敬意”在法益上就體現(xiàn)為隱私權。

最后，符合罪刑相一致的原則。根據刑法的規(guī)定，侵犯公民個人信息罪，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或單處罰金，情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。可見其最高刑為七年有期徒刑并處罰金。然而，《刑法》第四章侵犯公民人身權利、民主權利罪的其他犯罪，如非法拘禁罪、侮辱罪、誹謗罪、非法搜查罪、非法侵入住宅罪、刑訊逼供罪、侵犯通信自由罪等，其最高刑僅為三年有期徒刑，而上述這些罪名侵犯的法益往往是公民生命、健康、自由或其他人身權利。如果將侵犯公民個人信息罪所保護的法益僅僅認定為系隱私權，就難以說明本罪刑罰重于上述犯罪的合理性，而將本罪認定為雙重法益，恰恰符合罪刑相一致的原則。

在明確了本罪屬于侵犯公民人身權利、民主權利犯罪后，本罪究竟屬于侵犯公民人身權利，和侵犯公民民主權利的哪一類犯罪，也應當予以明確，這恰恰是理論研究的初衷與歸宿。事實上，人格權利說與民主權利說的區(qū)別就在于二者的保護程度不同。前者體現(xiàn)的是對“人”的保護，后者體現(xiàn)的是對“享有民主權利”的公民的保護，如果以“對公民保護”為界限的話，前者是“對公民保護”的擴張，后者則是“對公民保護”的限縮。具體差別體現(xiàn)為：一是對侵犯外國公民個人信息的行為，人格權利說肯定可罰性，而民主權利說則否定可罰性；二是對侵犯罪犯個人信息的行為，如果罪犯系被剝奪民主權利的我國公民，人格權利說仍肯定可罰性，而民主權利說否定可罰性。

無論從司法實踐的角度看，還是從需保護性的理論角度考慮，對外國公民和被剝奪民主權利的我國公民的個人信息進行同等保護都是必要的，因此，人格權利說比較可取。

盡管最新的司法解釋已經對本罪的部分構成要件要素做出了界定，具有積極的意義，但理論上和實踐中仍然存在一些亟待明確的問題，具體如下：

公民個人信息的范圍直接影響本罪的犯罪圈大小，是本罪構成要件的關鍵要素。根據司法解釋的規(guī)定，“公民個人信息”是指：以電子或其他形式記錄、能單獨或結合其他信息、識別特定自然人身份或反映特定自然人活動的各種信息。這一概念存在問題如下：

一是將“結合其他信息”方具有識別性的信息作為公民個人信息，無法解決“空量信息”(即完全不具有識別性的公民個人信息)的問題。任何的空量信息在與其他可識別信息結合的情況下都會具有可識別性，但這種識別性完全是由后者提供的，而不是前者，但根據目前司法解釋的表述，非法提供、出售、獲取前者也屬于公民個人信息，似有不妥。

二是司法解釋將公民個人信息僅僅限于“可識別身份或反映活動的信息”，卻同時認為“財產狀況”也屬于公民個人信息，二者存在一定的沖突。財產狀況直接體現(xiàn)了一個人的財產所有權，還涉及個人隱私的利益，確實屬于需要刑法保護的公民個人信息，因此，將公民個人信息僅限于身份或活動的信息并不妥當。建議，將公民個人信息直接確定為：涉及公民個人人身權、財產權的各種靜態(tài)信息以及公民個人活動情況的一切動態(tài)信息，不需要限定記載形式，但應強調公民個人信息本身應具有可識別性，至于識別性的強弱則不需限定，但可以通過限定強弱識別性信息入罪的數(shù)量，達到對不同公民個人信息進行區(qū)別對待的效果。

在《刑事審判參考》刊登的第1009號“胡某等非法獲取公民個人信息案”中，胡某、王某受人所雇，實施了非法跟蹤獲取被害人行車路線、實時定位等信息的行為，后案發(fā)被法院判處侵犯公民個人信息罪。然而，有學者對這一判決提出批評，認為刑法對公民個人信息的保護應僅限于強識別和強法益關聯(lián)的那部分公民個人信息，行車路線和實時定位信息僅僅屬于弱識別的公開性信息，不屬于刑法中的公民個人信息。事實上，這一觀點僅僅將個人信息識別性的強弱作為了區(qū)分犯罪與否的標準，而沒有看到侵犯一定數(shù)量的弱識別性信息也可能達到或超過侵犯強識別性信息的社會危害性，同時，劃定刑法與行政法的邊界，完全可以針對不同識別性的信息設置不同的數(shù)量標準加以實現(xiàn)，沒有必要固守強弱識別性信息的標準。

　　就現(xiàn)有刑法規(guī)定而言，本罪屬于法定犯，前置法的規(guī)定直接影響本罪的成立范圍。根據《刑法》第96條的規(guī)定，刑法中“違法國家規(guī)定”是指違反全國人大及其常委會制定的法律和決定，國務院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令。而根據司法解釋的規(guī)定，本罪要求“違反國家有關規(guī)定”是指違反法律、行政法規(guī)、部門規(guī)章。可見司法解釋認為刑法中的“國家有關規(guī)定”不等于“國家規(guī)定”，在當下有關保護公民個人信息專門法律和法規(guī)缺位的情況下，這種觀點無疑是具有積極意義的，但也存在明顯的弊端。

一方面，在刑法領域之外，幾乎沒有觀點認為“國家有關規(guī)定”與“國家規(guī)定”之間存在質的差別。另一方面，盡管將規(guī)章的范圍限于部門規(guī)章的范圍之內，也存在部門規(guī)章立法主體過多，以致前置法的范圍過寬，造成犯罪圈過大的問題。同時，就“違反國家有關規(guī)定”是否包括“違反國家有關程序性規(guī)定”的內容，實踐中也不無疑問。以王某等侵犯公民個人信息案為例，王某系公安機關戶派出所民警，吳某系某律師事務所律師，二人系大學同學，吳某先后多次委托王某私下為其查詢他人戶籍信息，用于其律師業(yè)務活動，兩年來，共涉及公民80余人，公民個人信息500余條。假設身份證號碼、家庭住址、聯(lián)系方式等屬于中度信息，那么吳某的行為是否成立本罪就值得探討。根據目前法律規(guī)定，律師持介紹信、委托協(xié)議書、律師執(zhí)業(yè)證、律師本人身份證可以向派出所查詢公民戶籍信息，可見，王某向吳某提供戶籍信息的行為僅僅是違反了程序性規(guī)定。

對此，我們認為，出于維護法律程序設置的嚴肅性和保護公民個人信息的需要，以及忠實司法解釋的文字表述，應當承認違反程序規(guī)定也屬于違反國家有關規(guī)定。建議，在未來公民個人信息保護條例或法律出臺以后，進一步明確前置的范圍僅限于刑法明確規(guī)定的“國家規(guī)定”的范圍內。同時，也應承認無論是“國家有關規(guī)定”，還是“國家規(guī)定”，都包括了程序性規(guī)定。

本罪的行為方式主要包括非法提供、出售公民個人信息，以及非法獲取公民個人信息的行為。根據司法解釋的規(guī)定，提供公民個人信息包括了向特定人提供(即定向提供)、向不特定人發(fā)布(即不定向發(fā)布)、合法收集后未經被收集者同意向他人擅自提供(即擅自提供)三種具體行為類型。對于這一分類的具體問題主要如下：

一是沒有明確提供與出售的關系。實踐中，有觀點認為出售與提供在主客觀上均有差別，故將二者并列規(guī)定并不合適。相反，也有觀點認為盡管二者主觀有別，但客觀差別不大，故將二者并列規(guī)定并無不妥。對此，我們認為本罪中的出售和提供并非并列關系，因而，探討并列規(guī)定是否妥當?shù)那疤岜旧聿⒉淮嬖?，出售與提供屬于包容關系，否則就難以說明二者在法定刑上的一致性。

二是將擅自提供與定向提供、不定向提供相并列不妥。事實上，擅自提供系對刑法從重處罰條文的具體解釋，要么屬于定向提供，要么屬于非定向提供，而非獨立于二者之外的第三種提供行為的類型。同時，對擅自提供公民個人信息中的“公民個人信息”的可識別性特征，已經為公民個人信息的概念所說明，沒有必要再予強調。建議：在司法實踐中，進一步廓清本罪中提供與出售之間的包容關系，在未來司法解釋修訂中，直接刪除擅自提供的規(guī)定，或者另作注意規(guī)定。

另外，需要說明的是，針對實踐中發(fā)生的設置公民個人信息的查詢網絡平臺，注冊收取會員費的行為，究竟屬于出售還是提供的問題，由于二者屬于包容，故二者在定罪上差別不大，在量刑上可能存在輕微差別。最高人民法院公布的丁亞光侵犯公民個人信息案就是一起通過設置查詢網絡平臺收取會員費而侵犯公民個人信息的案件，被告人丁亞光非法獲取住宿記錄等公民個人信息后通過網站提供查詢服務牟利，供查詢的公民個人信息近2000萬條，共有查詢記錄49698條，收取會員費191440.92元。公安部公布的江蘇淮安公安機關偵破的陳某某侵犯公民個人信息案，也是通過誘使他人注冊會員后充值，以實現(xiàn)出售公民個人信息的目的。對此，應明確無論以何種方式提供，只要是有償?shù)奶峁?，都應當視為出售?/p>

非法獲取公民個人信息包括竊取和以其他方法非法獲取公民個人信息的行為兩類。根據司法解釋的規(guī)定，后者包括有對價的非法獲取、無對價的非法獲取和職務收集型非法獲取三類行為，同時，規(guī)定“為合法經營而非法購買、收受一般公民個人信息行為”的可罰性僅限于獲利五萬元以上，或者曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法購買、收受公民個人信息的情形。對此，需要討論的問題如下：

一是對直接向公民個人購買其個人信息，或者收受公民個人提供的其個人信息行為的刑事可罰性問題。本罪同時處罰提供與獲取行為的目的在于切斷提供行為的源頭，這無可厚非。然而，由于國家并不禁止個人處分其本人公民個人信息的行為，因此，公民個人提供其本人公民個人信息的行為就不具有違法性，就更談不上刑事違法性，相應的，其獲取的對合行為也就不具有刑事違法性。

二是應否強調其他非法方法與竊取行為在非法程度上的一致性。有觀點認為，本罪中的其他非法獲取方法應當與竊取具有非法程度上的一致性，因此，將購買、收受、交換等行為作為非法獲取行為是不妥當?shù)?。對此，我們認為非法獲取主要是著眼于非法得到的結果而言的，強調的是不應獲取而獲取的結果，而不是著眼于獲取方式上，更不是強調不應通過這種方式獲取而獲取。

三是對于職務收集型非法獲取而言，其并非與有對價的非法獲取、無對價的非法獲取相并列的類型，也完全可以歸于上述兩種類型，因此，將其并列規(guī)定并不妥當。建議：在司法實踐中，排除向公民本人購買、收受其公民個人信息行為的刑事可罰性，并明確其他非法獲取行為不必要求達到與竊取行為完全等同的程度，在未來司法解釋修訂中，直接刪除職務收集型非法獲取的規(guī)定，或者視為注意規(guī)定看待。

本罪屬于情節(jié)犯，只有達到情節(jié)嚴重的程度，方才成立本罪。以往，由于對“情節(jié)嚴重”和“情節(jié)特別嚴重”沒有細化規(guī)定，導致司法實踐中處刑偏輕。據統(tǒng)計，中國裁判文書網上公布的133件案件中，沒有被判處三年以上有期徒刑的案件，被判處二到三年有期徒刑的案件僅有5件，被判處有期徒刑實刑的案件僅有70件。根據司法解釋的規(guī)定，本罪的情節(jié)嚴重包括了用途、主觀、數(shù)量、數(shù)額、前科等情節(jié)要素。對其理解如下：

一是用途方面，被他人用于犯罪中的“他人”，應排除共犯，如果系共犯，應在堅持刑法充分評價的前提下，按照牽連犯或數(shù)罪處理。

二是數(shù)量方面，同一個人的信息既包括了身份證號碼、聯(lián)系電話、居住地址、工作單位等，應當根據具體的信息確定數(shù)量，而不是根據綜合信息后可識別的具體人員的人數(shù)確定數(shù)量。

三是對于“中度信息”中的“等”字的理解應當作嚴格的解釋，對于沒有明示列舉的信息，應以一般信息看待為原則，對于已經生效裁判確認的其他中度信息，可以作為中度信息看待。

四是數(shù)額方面，就違法所得數(shù)額而言，實踐中普遍存在非法經營額和非法獲利額的爭議，在目前刑法沒有明確規(guī)定的前提下，出于有利被告的考慮，建議將其限縮解釋為非法獲利額，即以非法經營額扣除直接用于經營活動的合理支出部分的數(shù)額。

五是前科方面，本罪強調的是曾有侵犯公民個人信息收到刑事處罰或行政處罰的行為，在犯罪的罪名上卻并非一定是侵犯公民個人信息罪，完全可能成立盜竊罪、非法侵入計算機信息系統(tǒng)罪等。

六是單位犯罪方面，規(guī)定了單位犯罪與自然人犯罪相同的定罪量刑標準，相對于以往在定罪量刑上區(qū)分單位犯罪與自然人犯罪的做法，這一統(tǒng)一定罪量刑的做法，更加有利于維護法益，并且有利于做到罪責刑相一致。

就情節(jié)嚴重解釋而言，存在的問題如下：

一是對非法獲取與非法出售、提供規(guī)定了一致的數(shù)額、數(shù)量要求并不妥當。實踐中，有觀點從刑法對二行為條文表述的不同，主張二者情節(jié)嚴重的要求也應不同。但也有學者主張統(tǒng)一二行為情節(jié)嚴重的程度標準。最新司法解釋采納了后者的意見。對此，應當認為既然刑法修正案明確刪除了非法獲取行為中“情節(jié)嚴重”的要求，就表明了在立法者看來，非法獲取行為與非法出售、非法提供行為在入罪上的差別化，司法解釋無視這一差別繼續(xù)采取同等視之的做法，有違罪刑法定的基本原則。另外，主張非法獲取手段與非法出售、提供手段在定量上的差異性，并不等于不考慮非法獲取手段在入罪上的量的要求，由于我國采取定性加定量的犯罪立法模式，因此，非法獲取行為的入罪化仍需要考慮一定的量上的要求。

二是對“造成重大經濟損失或惡劣社會影響”的規(guī)定仍然模糊，司法實踐中難以判斷，也容易造成各地、各司法機關認定的不統(tǒng)一。建議：將非法提供、出售與非法獲取行為的“情節(jié)嚴重”和“情節(jié)特別嚴重”分開規(guī)定；將從重處罰的數(shù)額和數(shù)量要求的規(guī)定，與前述擅自提供、職務收集型非法獲取行為一并另設條文規(guī)定；明確造成重大經濟損失的數(shù)額。

目前，最新司法解釋對于侵犯公民個人信息罪的實踐認定問題也多有涉及，但存在部分規(guī)定不完善、不明確、難以操作等問題，還有些內容則沒有規(guī)定。具體如下：

　　根據司法解釋的規(guī)定，設立用于實施非法獲取、出售或者提供公民個人信息違法犯罪活動的網站、通訊群組，情節(jié)嚴重的，就成立非法利用信息網絡罪，其處罰的是設立網站、通訊群組的行為，屬于侵犯公民個人信息罪的預備行為。如果該預備行為不具有可罰性，則只成立非法利用信息網絡罪，反之，如該預備行為具有可罰性，則一行為同時觸犯數(shù)罪名，屬于想象競合，應從一重處斷，即按侵犯公民個人信息罪處斷。

與之類似的是，網絡服務提供者拒不履行法律、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的行為，成立拒不履行信息網絡安全管理義務罪，但根據該罪的規(guī)定，同時構成其他犯罪的，依照處罰較重的規(guī)定定罪處罰。上述網絡服務提供者的行為在本質上也屬于“不作為”類型的侵犯公民個人信息的行為，必須符合“應為能為而不為”的特征，至于能為應堅持技術判斷的標準，實踐中可以通過申請鑒定和專家輔助人出庭的方式加以證明。

因此，上述網絡服務提供者的不作為行為，同時成立侵犯公民個人信息罪時，應依照侵犯公民個人信息罪定罪處罰。建議司法解釋第9條適時明確想象競合時以侵犯公民個人信息罪定罪處罰的原則。對于司法實踐中發(fā)生的非法獲取以計算機信息系統(tǒng)數(shù)據形式存儲的公民個人信息的行為，同時符合非法獲取計算機信息系統(tǒng)數(shù)據罪和侵犯公民個人信息罪的規(guī)定，在分別達到兩罪入罪標準的前提下，成立想象競合犯，從一重罪處斷。由于刑法對兩罪同時規(guī)定了相同的法定刑，在兩罪處刑相同的情況下，刑法往往將嚴重的犯罪規(guī)定在前，相對較輕的犯罪規(guī)定在后，故應以侵犯公民個人信息罪認定。例如2016年6月，山東青島公安機關偵破的韓某某利用黑客技術，非法入侵航空公司訂票系統(tǒng)等網站，竊取公民個人信息數(shù)據一案，應認定為侵犯公民個人信息罪。

　　實踐中，本罪往往與其他罪名相牽連，一方面，本罪的預備行為，可能構成非法利用信息網絡罪，另一方面，本罪也可能成為其他犯罪行為的預備行為或者手段行為。因此，有觀點認為在法無明文規(guī)定的情況下都應當按牽連犯從一重罪處理。根據中國裁判文書網的統(tǒng)計，在133件網絡侵犯公民個人信息罪的案件中，具有牽連關系的案件有40件，占比30.1%。各地對這一問題處理意見不一，有按照牽連犯從一重處罰的，也有按照數(shù)罪并罰的。

對此，我們認為，對于先非法獲取公民個人信息，又利用該信息實施其他犯罪的，即便刑法條文沒有明確規(guī)定，也確實存在手段與目的的牽連關系，是否應按照牽連犯處斷還應注重法律評價的充分性，只有在目的罪名能夠對手段行為進行充分評價的場合，認定為牽連犯從一重處斷才是合適的，而在按照目的定罪不能對手段行為進行充分評價的場和，就應當按照數(shù)罪處理。例如為詐騙而偽造國家機關公文、證件、印章，并且實施了詐騙行為的，其中，偽造國家機關公文、證件、印章的行為就可以為詐騙罪中虛構事實的手段行為所包容，就可以成立牽連犯。反之，為搶劫而盜竊槍支、彈藥，并實施了搶劫行為的，由于盜竊槍支、彈藥的行為不能為搶劫罪中暴力、脅迫或其他的手段行為所包容，就應當采用數(shù)罪處斷。

如此來看，對于實踐中多發(fā)的為實施詐騙而非法獲取公民個人信息，且實施了詐騙行為的，由于虛構事實、隱瞞真相的手段行為不能包容非法獲取公民個人信息的行為，應當認定為數(shù)罪。

　　司法解釋明確規(guī)定，先獲取后提供的，信息條數(shù)不重復計算；向不同單位或個人提供的，信息條數(shù)累計計算；批量信息的，可按查獲數(shù)量直接認定，但不真實、重復的除外。該規(guī)定存在問題如下：一是在微信群、QQ群等通訊群組中發(fā)布公民個人信息的，信息數(shù)量應否累計計算。據中裁判文書網刊載的案例統(tǒng)計，自《刑法修正案(九)》實施以來，侵犯公民個人信息罪共判決135件，其中，網絡侵犯公民個人信息罪的判決共133件，以網絡社交軟件完成的共110件，就占這類犯罪的絕大多數(shù)。

對此，我們認為只要是通訊群組中的人員都可以查看或下載的已發(fā)布的公民個人信息的，就應當累計計算。理由是：行為人在通訊群組中發(fā)布公民個人信息，即使主觀目的上僅是向特定人提供，但客觀上已經造成了向通信群組中的所有人提供，而且主觀上雖不希望，但也不排斥，屬于放縱的間接故意。二是對于查獲的批量信息，盡管司法解釋規(guī)定可以按照查獲數(shù)量直接認定，但同時也規(guī)定不真實、重復的除外，因此，實踐中，根本無法按照查獲的數(shù)量直接認定，成為了一紙空文。

例如公安部公布的重慶市巴南公安機關偵破的李某等人利用網絡出售中小學生及家長信息、各大樓盤業(yè)主信息、各省車主信息、各銀行客戶信息等公民個人信息，數(shù)據存儲達61.9G，而這一海量信息卻難以直接認定。理由是：在批量信息的情況下，公民個人信息是否真實和有無重復的確定耗時耗力，導致公安機關往往沒有直接認定的積極性，往往是委托鑒定了之。對此，建議明確規(guī)定在通訊群組中發(fā)布公民個人信息的，按通訊群組的人員數(shù)量累計計算，對查獲的批量信息，按照查獲數(shù)量直接認定，對于通訊群組中人員數(shù)量、批量信息中的公民個人信息數(shù)量不真實、重復的，應由辯方舉證，辯方不能證明的，可直接按照通訊群組中的人數(shù)、查獲的批量信息條數(shù)直接認定。

　　本罪未完成形態(tài)的可罰性，即討論侵犯公民個人信息行為的未遂、預備、中止應否給予刑事處罰的問題。由于本罪屬于情節(jié)犯，因此，在不具備“情節(jié)嚴重”的情形下，只能認為不構成本罪，而不能認定為本罪的未完成形態(tài)。如此探討本罪未完成形態(tài)的刑事可罰性問題，事實上是指在具備情節(jié)嚴重的情形下，是否存在本罪的未完成形態(tài)，以及該未完成形態(tài)有無刑事處罰的必要性的問題。對此，司法解釋并未明確規(guī)定。

我們認為：首先，本罪未完成形態(tài)是否存在的問題。根據司法解釋的規(guī)定，本罪情節(jié)嚴重的要素主要包括被他人用于犯罪(用途)、明知他人實施犯罪(主觀)、信息數(shù)量較多和違法所得金額較大(數(shù)額)、曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰(前科)等。根據通說，犯罪完成形態(tài)與犯罪未完成形態(tài)的區(qū)分標準就在于犯罪構成要件是否齊備。就用途、主觀、前科而言，三者分別屬于客觀、主觀和主體三方面犯罪構成要件要素的添加，并不影響客觀行為發(fā)展的進程，因此，存在犯罪的未完成形態(tài)。就對象數(shù)量而言，滿足行為指向的對象數(shù)量，并不意味著行為已完成，其也存在犯罪的未完成形態(tài)。相反，就違法所得金額而言，由于違法所得往往在行為之后才能確定，故違法所得金額的要求就意味著行為實施完畢，只成立既遂。

其次，本罪的未完成形態(tài)有無刑事可罰性的問題。判斷一行為有無刑事可罰性的關鍵在于判斷行為社會危害性的大小，而在我國刑法中，行為社會危害性大小就具體體現(xiàn)為犯罪構成四要件的方面。在滿足了用途、主觀、前科、數(shù)量等任一要素的前提下，盡管行為在客觀上未完成，降低了行為的社會危害性，但如果行為同時又在四要件的向度內進行了社會危害性的添加，就仍有可能達到刑事可罰性的程度。例如盡管侵犯公民個人信息情節(jié)嚴重的行為未完成的，不具有刑事可罰性，但侵犯公民個人信息情節(jié)特別嚴重的行為未完成的，就可能具有刑事可罰性。目前，司法解釋中規(guī)定“針對數(shù)額巨大的財物實施盜竊但未遂的，以盜竊罪未遂處罰”的規(guī)定，就是典型的例證。

　　至于從寬處理的尺度，根據最新司法解釋的規(guī)定，對于初犯、退贓、悔罪的，可以認定為情節(jié)輕微，做不起訴、免予刑事處罰、從寬處罰的處理，但并未包括“情節(jié)顯著輕微，不認為是犯罪”的處理。因此，從寬處理的尺度應否包括《刑法》第13條的情形就不無疑問，這涉及情節(jié)犯之情節(jié)與刑法但書規(guī)定的關系問題，或者說是情節(jié)犯是否可以適用刑法但書規(guī)定的問題。

對此，答案應是肯定的。一方面，就原則而言，無論是刑法總則的條文，還是刑法分則的條文，都具有司法適用性，刑法總則處于統(tǒng)領刑法分則的地位，對于刑法分則具有補充適用的機能。另一方面，就情節(jié)本身而言，盡管情節(jié)犯采用情節(jié)二字與但書中的情節(jié)二字相同，但并不能由此認為符合情節(jié)犯“情節(jié)嚴重”的情形，就必然不符合但書中“情節(jié)顯著輕微”的情形。

首先，二者體系地位不同，情節(jié)犯之情節(jié)是犯罪成立的積極要素，而但書之情節(jié)是犯罪成立的消極要素。其次，二是具體程度不同，情節(jié)犯之情節(jié)是被司法解釋具體化了的情節(jié)，但書之情節(jié)則是抽象的情節(jié)。再次，成立條件不同，情節(jié)犯之情節(jié)是整體把握個別充足即可成立的要素，而但書之情節(jié)是整體把握整體充足方可成立的要素。最后，如果但書不適用于情節(jié)犯，那么也就無法適用于情節(jié)被具體化了的目的犯、數(shù)額犯、危險犯、結果犯等，那么但書規(guī)定顯然就是多余的，而這有違當前刑法理論界的共識。

綜上可見，應當承認：在個別特殊的情形下，侵犯公民個人信息的行為，也可能存在“情節(jié)顯著輕微不認為是犯罪”的可能性。

從域外立法的情況看，對泄漏公民個人信息的犯罪往往規(guī)定了“本罪告訴才處理”的條件。例如德國刑法典中的“侵害他人隱私罪”、日本改正刑法草案中“泄露秘密罪”、意大利刑法典中“泄露職業(yè)秘密罪”和法國刑法典中的“侵害因數(shù)據集獲信息處理產生的人之權利罪”，均規(guī)定“本罪告訴才處理”。然而，我國現(xiàn)行刑法對于侵犯公民個人信息罪則沒有這一規(guī)定。那么究竟是否應將本罪修改為“告訴才處理”的犯罪，理論上也存在疑問。

對此，我們認為我國刑法的規(guī)定是合理的，原因如下：外國刑法將本罪規(guī)定為告訴才處理的犯罪，主要是將隱私權作為本罪的侵害法益或者傳統(tǒng)上是將隱私權作為本罪上一級的類罪名的侵害法益。在注重對隱私權保護的場合，如果強制追訴，就可能在刑事追訴中向更多的人暴露當事人的隱私，結果不僅不能保護當事人的隱私權，反而會加重對當事人隱私權的侵害，故域外規(guī)定本罪告訴才處理是可以理解的。然而，我國與域外國家的情況并不相同。

一方面，我國侵犯公民個人信息罪保護法益的重點在于公民個人的信息自由和安全，其次才是隱私權。另一方面，告訴才處理本身法律性質仍存在程序上的訴訟條件說與實體上的可罰性客觀條件說的爭議，按照多數(shù)說即程序上的訴訟條件說的觀點，由于此類犯罪所侵害的往往是輕微的個人法益，因此國家基于尊重被害人意愿的考慮，將求刑權讓渡給受害人行使，以實現(xiàn)阻斷國家刑罰權的效果。就當下的現(xiàn)實看，侵犯公民個人信息犯罪其行為所侵害的不僅是公民個人的隱私權，更是公民個人信的自由與安全，甚至還成為了詐騙、盜竊、尋釁滋事、故意傷害等其他犯罪的準備行為，因此既不能將該行為看作是輕微的犯罪行為，也不宜將其看作單純的侵害個人法益的行為。

另外，即便站在實體上可罰性客觀條件說的少數(shù)立場上看，告訴才處理也僅僅適用于那些由被害人的意愿才能準確反應違法性程度的行為，一行為侵害法益的程度是否達到了需要刑法懲罰的量度，原則上通過客觀的行為無價值和結果無價值就可以準確衡量，但是在個別罪名中也存在客觀無法準確衡量的情況，而必須依賴被害人的主觀感受確定。從實踐看，對侵犯公民個人信息的行為，社會對大眾的容忍度是較低的，要求嚴懲的呼聲不斷。同時，與域外刑事立法定性不定量的一元立法模式不同，我國堅持的是刑事立法定性又定量的二元立法模式，在已將輕微侵犯公民個人信息的行為交由行政法解決的情況下，對嚴重侵犯公民個人信息的行為，強制追訴并無不當。

作者：張慶立，華東政法大學刑法學博士研究生

來源：《時代法學》2018年第2期

分享到：