关键词: 个人信息 非法获得 情节严重

内容提要: 《刑法》第253条之一是针对侵犯公民个人信息犯罪的规定，该条文由2009年2月《刑法修正案（七）》增设，旨在保护公民个人生活的安全，惩戒因个人信息被非法泄露而导致的人身、财产和个人隐私受到的严重侵害。结合上海首例侵犯公民个人信息犯罪的案例，在司法实践适用中，应该以折中说限定个人信息的范围，明确“收买”与“收受”个人信息行为的性质，并主要以受害程度，并辅之以信息数量、牟利数额、行为手段等作为情节严重的判断标准。


一、问题的提出

2009年7月，上海市浦东新区人民检察院以非法获取公民个人信息罪批准逮捕犯罪嫌疑人赖某，指认犯罪嫌疑人赖某自2006年3月至2009年6月案发之前，伙同他人以成立咨询公司为名，开展帮人讨债寻人、婚外恋跟踪取证、打假等业务。为满足客户需求，犯罪嫌疑人采取跟踪、守候等方式，非法获取公民个人信息并高价出售，获利人民币60余万元。其中，自2006年初结识某公安分局消防支队士官吴某后，约定吴某通过公安内部网查询大量人口信息和客人人住宾馆信息，然后以手机短信、传真及电话等方式告知，由赖某支付一定报酬。赖某获得相关信息后，再转售牟利。经查证，赖某自吴某处共获取信息1万余条，其中自2009年3月至案发之前，获取公民个人信息50余条，支付给吴某好处费3万7千余元。

该案是2009年2月28日全国人大常委会颁布的《刑法修正案（七）》增设侵犯公民个人信息罪以来，国内较早适用相关罪名保护公民个人信息的案件。LocaLHOSt[1]因《刑法修正案（七）》刚刚出台，且首次以刑法手段保护公民个人信息，尚未有相关判例，理论研究也并不充分，在司法实践中如何适用该新罪名值得深入探讨。

按照《刑法修正案（七）》第7条的规定，为了强化对公民个人信息安全的保护，在《刑法》第253条后增加一条，作为第253条之一（以下简称“本条”），规定侵犯公民个人信息，情节严重的构成犯罪。这是对近年来日益严峻的公民个人信息被无端泄露的刑法回应。[2]个人信息被不当采集、随意泄露、任意篡改、恶意使用乃至非法转卖牟利，不仅是对公民权益的严重侵害，[3]而且一旦个人信息流人犯罪分子手中而引发盗窃、诈骗、绑架等刑事犯罪，会给公民造成二次甚至三次侵害，成为其他犯罪的源头犯罪。长期以来，我国刑法更侧重对公共利益的保护，侧重对个人财产权、生命权的保护，而缺乏对公民个人信息、个人隐私的保护。从目前来看，侵害公民个人信息的行为已远非民事企业的秘密，而没有保护个人秘密的条款，这种不均衡的刑法条款体系在某种意义上是与《宪法》中的人权保障精神相违背的。[11]事实上，作为社会人，每个人都或多或少地依赖个人隐私而相对平稳地生活在这个社会之中，个人隐私理应与个人的财产权、人身权作同等保护。因此，考虑到我国刑法尚未设置侵犯个人秘密或隐私的犯罪这一立法疏漏，[12]就不应将个人隐私排斥在本条的犯罪对象之外，甚至可以期待，本条能发挥侵犯个人隐私罪或者泄露个人隐私罪的功能。

基于以上分析，对个人信息的定义采取限制说更为妥当。接下来的问题就是如何确定具体的判断标准？对此，存在主观说（只要本人主观上有保护的意思即可）、客观说（必须是客观上对本人具有保护的价值）、折中说、择一说（只要本人主观上有保护的意思或者客观上对本人具有保护的价值即可）四种观点。笔者认为，折中说更为合适，应同时考虑个人意愿与社会评价。具体而言，首先，必须是本人不希望为一般人所知晓的个人信息，若本人希望更多地公开个人信息以扩大知名度，甚至有意借此炒作，即便采取不法手段获取了这些信息，符合本条犯罪的客观方面要件，也不宜作为犯罪来处理。其次，客观上还需存在值得保护的价值。质言之，即对于一般人--而言，若放任侵害，会足以危及公民的个人生活乃至社会生活的平稳。其中，传真号码、电话号码、家庭住址是比较特殊的信息，它既不同于身份证号码、银行卡账号等私密性极强的信息，又不同于姓名、年龄等尚不值得刑法保护的单纯的数据性信息。对此，虽不可一概而论，但一般情况下，宜以民法、行政法规制为善。

概言之，应结合本条的立法宗旨来决定犯罪对象即个人信息的范围，不应过于狭义地理解，个人隐私的保护应是题中之义；同时，也不能作过于宽泛的理解，还应看客观上有无保护的价值。重要的是，要看披露这些信息是否违背公民个人意愿，且足以影响其现有平稳生活。

值得注意的是，犯罪对象的具体形态不限于文字，还包括录音、图像、图片等其他可揭示个人信息的资料；同时，也不限于静态信息，还包括动态信息，例如本案中的“客人人住宾馆信息”。

（二）何为第2款中的“上述信息”？

根据法条的明文规定，第1款中的个人信息，必须是国家机关或相关单位“在履行职责或者提供服务过程中获得的公民个人信息”。第2款的罪状表述中使用了“上述信息”这一指代性词语，对此存在两种理解：一种观点认为应按照条文的上下结构，将“上述信息”理解为第1款中“国家机关或者企业出现信息管理上的混乱。虽然规定了刑罚。但并非处罚泄漏行为本身，而是处罚掌握个人信息的企业违反主管部门命令的行为，属于一种“间接处罚”，而且必须有受害人投诉，因而又被称作“并无实际效果的法律”。不过《日本刑法典》并无保护个人信息的条款，更多以特别法（行政法规中的附属刑法）或者刑法中的背任罪、盗窃罪、侵占罪等财产性犯罪来处罚。但若所泄漏的信息事关个人秘密，则可能构成泄漏秘密罪；若泄漏信息的行为本身符合毁损名誉罪或侮辱罪，则以此来处罚。若不违反相关行政法规，也不构成财产性犯罪，行为本身又不符合毁损名誉罪或侮辱罪，即便是泄漏了个人信息，也不被处罚。
[6]参见黄太云：《刑法修正案（七）解读》，《人民检察》2009年第6期。
[7]赵秉志主编：《刑法修正案最新理解适用》，中国法制出版社2009年

[1] [2] 下一页