侵犯公民個人信息罪定罪量刑標準再析

劉憲權 房慧穎

侵犯公民個人信息罪定罪量刑標準再析

劉憲權 房慧穎*

公民個人信息包括身份識別信息和特定自然人的活動情況信息。公民個人信息必須與特定自然人相關聯，主體不限于中國公民，但不包括單位。公民個人信息不包括依法公開的個人信息。本罪中“國家有關規定”的范圍將部門規章納入其中，但應該排除地方性法規等非國家層面和國家層面部門規章之外的其他部門規范性文件等規定。“提供公民個人信息”可以分為“一對一”和“一對多”兩種方式；“非法獲取公民個人信息”中的“非法”與“違反國家有關規定”應作同樣理解。確立“情節嚴重”、“情節特別嚴重”的認定標準和涉案公民信息的計算規則對于本罪的定罪量刑至關重要。提供者單方明知使用者實施犯罪仍為其提供公民個人信息，應以本罪論處；提供者與獲得并利用信息者雙方有通謀時，提供者構成本罪與獲得并利用信息者實施犯罪共犯的想象競合犯。

公民個人信息 出售或提供 竊取或非法獲取 定罪量刑 共同犯罪

最高人民法院、最高人民檢察院于2017年5月8日聯合頒行了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）。《解釋》對《刑法》第253條之一規定的侵犯公民個人信息罪的理解與適用問題作出了明確而詳盡的細化規定，在一定程度上厘清了該罪設立以來所凸顯的司法爭議和疑難問題，有助于促進相關刑事司法的統一性和準確性。然而，由于刑事司法實踐的復雜性以及相關刑法規定本身的原則性和模糊性，《解釋》尚未完全厘清侵犯公民個人信息罪中的問題。立基于對個人信息更充分、有效的保護，也為相關司法實踐提供些許借鑒和參考，本文擬結合《解釋》的新規定，對侵犯公民個人信息罪的司法認定與適用問題作進一步的分析和探討。

一、公民個人信息概念和范圍界定的理解

侵犯公民個人信息罪的對象是公民個人信息，正確把握和界定“公民個人信息”的概念和范圍，對于侵犯公民個人信息罪的適用具有重要意義。雖然《刑法》第253條之一未對“公民個人信息”的概念和范圍作出明確的規定，但是《解釋》與我國2016年頒布的《網絡安全法》對于“公民個人信息”內涵的闡釋，對我們確定和界定公民個人信息的概念和范圍具有重要的啟示。

《解釋》第1條規定：“‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。”可見，《解釋》認定的“公民個人信息”包括身份識別信息和特定自然人的活動情況信息。而2016年11月7日頒布的《網絡安全法》第76條對個人信息〔1〕應該看到，刑法條文與《解釋》均使用了“公民個人信息”的提法，而《網絡安全法》則使用“個人信息”的提法，筆者認為，其實兩者只是提法上的不同而并無本質的區別。的定義規定為：“……個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等。”由此可見，《網絡安全法》認定的“個人信息”僅包括身份識別信息。對于《解釋》與《網絡安全法》對公民個人信息概念所作的不同規定，應從以下三個方面來理解。

第一，《解釋》關于“公民個人信息”的概念以《網絡安全法》對“個人信息”的定義為基礎。在信息網絡時代，公民的個人信息被暴露在網絡空間中，信息泄露事件頻繁發生，公民的個人信息安全受到前所未有的挑戰。應該看到，《網絡安全法》理順了網絡安全管理體制中各主體的權責界限，明確規定了網絡運營商對用戶信息保護的原則，提高了對隱私信息的管控程度，增強了對侵犯個人信息違法犯罪行為的打擊力度。就此而言，筆者認為，《網絡安全法》對個人信息的保護力度確實是空前的，對個人信息的界定也較為權威，這些與之后頒布生效的《解釋》顯然在方向上是完全一致的，從而也為《解釋》對“公民個人信息”概念內容的界定奠定了基礎，也即《解釋》關于“公民個人信息”的概念應該是以《網絡安全法》對“個人信息”的定義為基礎的。

第二，《解釋》對“公民個人信息”的定義不完全受制于《網絡安全法》對“個人信息”的定義。2015年頒布生效的《刑法修正案（九）》新增設侵犯公民個人信息罪，但未對“公民個人信息”作出具體規定，《解釋》實際上是彌補其空白。事實上，《解釋》除參考《網絡安全法》對個人信息的界定之外，還參考了其他相關法律法規，例如《電信和互聯網用戶個人信息保護規定》、《護照法》、《身份證法》、《商業銀行法》等涉及對公民個人信息的保護條款。由于特定自然人的活動情況信息對公民人身安全和財產安全具有重要影響（如，行蹤軌跡信息），如將其排除在“公民個人信息”之外，便不能體現侵犯公民個人信息罪的立法目的，因此，《解釋》專門將特定自然人的活動情況信息納入“公民個人信息”范疇之中。而顯然這一內容《網絡安全法》并未作規定。

第三，《解釋》與《網絡安全法》對公民個人信息的含義界定了不同的范圍。有學者認為，《網絡安全法》將體現特定自然人活動的信息涵括在“身份識別信息”的范疇內，即可以將身份識別信息作廣義理解，認為其還包括特定自然人的活動情況信息。〔2〕喻海松：《侵犯公民個人信息罪司法適用探微》，載《中國應用法學》2017年第4期。對此，筆者認為，《網絡安全法》提及的身份識別信息與《解釋》中提及的特定自然人的活動情況信息，其實是并列且無法涵括的兩個不同概念。從屬性上分析，身份識別信息是一種靜態的信息，而特定自然人的活動情況信息則是一種動態的信息。應該看到，《網絡安全法》對“個人信息”進行了列舉，如姓名、出生日期、身份證件號碼等，且有“包括但不限于”的表述。但是，從立法的規范性要求分析，如果條文中出現列舉后的“等”字，那么，條文中未列舉的內容應當與已列舉的內容具有相當性或同質性。由于身份識別信息與特定自然人的活動情況信息在屬性上并不相同，對兩者加以涵括解釋似乎并不十分妥當。

需要指出的是，《解釋》與《網絡安全法》是從不同規制的側重點出發對個人信息內涵進行定義的。《網絡安全法》規制的側重點是保障網絡安全，維護網絡空間主權和國家安全，盡管對公民合法權益的保護也在其規制的范圍之中，但與網絡安全保護相比，公民合法權益的保護顯然不是《網絡安全法》關注的重點。有基于此，《網絡安全法》對個人信息作了較為狹義的界定，即只提及個人身份識別信息，而未提及特定自然人的活動情況信息。而《解釋》規制的側重點則是公民人身安全與財產安全利益的保護，在此基礎上，當然就會對個人信息作較為廣義的理解。因此，司法實踐在追究行為人侵犯公民個人信息罪刑事責任時，沒有必要因《網絡安全法》與《解釋》有關個人信息范圍界定的不同而有所區別。

筆者認為，確定侵犯公民個人信息罪的客體（或法益）對于明確本罪中“公民個人信息”的具體內容具有重要意義。時下，有關侵犯公民個人信息罪的法益理論上主要有以下三種觀點。一是認為，本罪保護的法益是公民個人的隱私權。〔3〕參見張明楷：《刑法學》（第5版），法律出版社2016年版，第921頁；劉艷紅主編：《刑法學》（第2版），北京大學出版社2016年版，第253、254頁。二是認為，本罪保護的法益是公民個人的信息自由和安全。〔4〕參見郭自力主編：《中國刑法論》（第6版），北京大學出版社2016年版，第382頁。三是認為，本罪保護的法益是公民個人的信息自由、安全和隱私權。〔5〕參見周光權：《刑法各論》（第3版），中國人民大學出版社2016年版，第71、72頁；陳興良主編：《刑法學》（第3版），復旦大學出版社2016年版，第256頁。筆者贊同第三種觀點，因其最符合立法原意。正如有學者指出的，立法者設立侵犯公民個人信息罪的初衷在于“保護公民個人信息不被泄露，保護公民人身、財產安全和個人隱私以及正常的工作、生活不受非法侵害和干擾”。〔6〕黃太云：《刑法修正案解讀全編——根據〈刑法修正案（九）〉全新闡釋》，人民法院出版社2015年版，第219頁。可見，侵犯公民個人信息罪侵害的是雙重法益——公民個人的信息自由、安全權以及隱私權。因而也就決定了侵犯公民個人信息犯罪對象內容的多樣性。筆者認為，對于侵犯公民個人信息罪中“公民個人信息”具體內容的框定，應注意把握以下三點。

第一，公民個人信息必須與特定自然人相關聯。根據《解釋》第1條對公民個人信息作出的定義，能夠與特定自然人相關聯是公民個人信息的必備要件。《解釋》第3條第2款有關“……經過處理無法識別特定個人且不能復原的除外”的規定從側面印證了這一觀點，即不能與特定自然人相關聯的信息被《解釋》排除在公民個人信息的范圍之外。可以說，“識別性”（或曰與特定自然人的關聯性）是公民個人信息的核心屬性。應當看到，與特定自然人相關聯并不意味著信息與特定個人都能一一對應。例如，單獨的一條家庭住址信息通常無法準確與特定自然人相關聯，但是如果與手機號碼、工作單位等相結合就可以實現與特定自然人的關聯，因而應當將其列入公民個人信息的范圍之中。

第二，公民個人信息的主體不限于中國公民，但不包括單位。對侵犯公民個人信息罪中的“公民”，應采取相對寬泛的理解，不能將外國人和無國籍人的個人信息排除在本罪保護的范圍之外。我國應一視同仁地對本國公民、外國人和無國籍人提供刑法保護。〔7〕參見趙秉志主編：《刑法修正案（七）立法背景與理解適用》，北京師范大學出版社2011年版，第150頁。現實中侵犯公民個人信息的行為人提供或獲取外國人、無國籍人的個人信息，與提供或獲取中國公民的個人信息的社會危害性相比，并無差別。另外，筆者贊同不能將單位納入“公民”涵蓋的范圍之內的觀點，〔8〕參見劉艷紅主編：《刑法學》（第2版），北京大學出版社2016年版，第253、254頁。理由是：其一，本罪的罪名是“侵犯公民個人信息罪”，“個人”與“單位”是完全互斥的兩個概念，無論作怎樣的擴大解釋，都不可能將“單位”解釋到“個人”涵括的范圍之內。其二，單位不享有個人所具有的信息自由、安全權和隱私權，從法律上分析，絕大多數信息自由、安全權和隱私權均是產生于個人人格權，而單位又不具有個人人格權，因而單位也就不可能具有這些只有個人才有的信息權。相反，有時甚至還需要承擔信息公開的義務。例如，上市公司有依照法定方式公開其經營狀況或者有可能影響股票價格的信息的義務。〔9〕參見呂明瑜：《論上市公司信息公開的基本原則》，載《中國法學》1998年第1期。其三，雖然單位也具有一定范圍刑法需要保護的信息權，例如，單位所具有的“商業秘密”、“商業信譽”和“商品聲譽”權等，但是對于侵犯單位有關商業秘密、商業信譽和商品聲譽等信息權，完全可以侵犯商業秘密罪和損害商業信譽、商品聲譽罪等罪名追究相關行為人的刑事責任。

第三，公民個人信息不包括依法公開的個人信息。正如前述，侵犯公民個人信息罪所侵害的法益是公民個人的信息自由、安全權和隱私權。在這些公民個人信息權益中，除涉及隱私權的信息不存在依法公開的問題外，其他已經被依法公開的個人信息不應當被納入侵犯公民個人信息罪的對象中。理由是，依法公開的公民個人信息，意味著任何人都可能或有權利獲取，此時的獲取或提供不會違反國家規定，相關行為也就不可能具有非法性。但是，應當注意的是，對于非法“公開”的公民個人信息，如果行為人的獲取或提供行為違反了國家規定，則仍然有可能構成侵犯公民個人信息罪。

二、侵犯公民個人信息罪客觀行為的司法認定

根據《刑法》第253條之一的規定，侵犯公民個人信息罪是指違反國家有關規定，向他人提供（包括出售）公民個人信息或者非法獲取（包括竊取）公民個人信息的行為。準確理解和認定“違反國家規定”“提供公民個人信息”和“非法獲取公民個人信息”等客觀行為的實際內容，對于本罪的司法認定無疑具有重要意義。

（一）對“違反國家有關規定”的理解

根據《刑法》第253條之一的規定，“違反國家有關規定”是出售或者提供公民個人信息行為的入罪前提。《解釋》第2條規定，“違反法律、行政法規、部門規章有關公民個人信息保護的規定的，應當認定為《刑法》第253條之一的‘違反國家有關規定’”。

應該看到，在《解釋》出臺前，對于侵犯公民個人信息罪中“國家有關規定”的范圍，基本上均是按照《刑法》第96條“國家規定”的相關內容加以確定的。2011年4月8日最高人民法院《關于準確理解和適用刑法中“國家規定”的有關問題的通知》中指出，根據《刑法》第96條的規定，刑法中的“國家規定”是指，全國人民代表大會及其常務委員會制定的法律和發布的決定，國務院制定的行政法規、規定的行政措施、發布的決定和命令。《解釋》的出臺，明確了侵犯公民個人信息罪中“國家有關規定”的范圍應大于《刑法》第96條的“國家規定”，即明確將部門規章納入其中。但同時也應注意到，《解釋》在確定“國家有關規定”的范圍時，并未使用“等”字，而僅規定了法律、行政法規、部門規章三種國家層面的規定。這意味著，地方性法規等非國家層面的規定以及除國家層面部門規章之外的其他部門規范性文件等規定應予以排除。

特別需要指出的是，《刑法》只是將“違反國家有關規定”作為構成侵犯公民個人信息罪的前提，而并沒有將“未經公民個人同意”作為行為入罪的必要要件。這是因為，行為人在違反國家有關規定的前提下獲取或提供權利人的信息，其獲取或提供的過程當然就會對權利人個人信息權益造成侵害，而不會因為權利人的同意而有所改變。

（二）“出售或者提供公民個人信息”行為的認定

《刑法》第253條之一第1款明確規定了侵犯公民個人信息罪的客觀行為：即向他人出售或者提供公民個人信息。理論上一般認為，所謂“提供公民個人信息”是指將本人知悉的公民個人信息告知他人；所謂“出售公民個人信息”則是指將本人知悉的公民個人信息告知他人并因此而獲得報酬。兩者的共同點在于都是將本人知悉的公民個人信息告知他人，而兩者的區別點則在于是否因此而獲得報酬。換言之，“出售”比“提供”多一個“獲得報酬”的內涵，“出售”的外延小于“提供”，即只要“出售”必然存在“提供”的內容。就此而言，我們完全可以說，出售可以包含在提供之中，但是由于“出售”是“提供”的一種常見且典型的方式，故而《刑法》第253條之一將出售這種方式單獨列出。

《解釋》第3條第1款規定，“向特定人提供公民個人信息，以及通過信息網絡或者其他途徑發布公民個人信息的，應當認定為刑法第253條之一規定的‘提供公民個人信息’。”《解釋》的這一規定實際上將“提供”分為兩種類型：一種是向特定人提供，即提供者和獲取者為“一對一”的方式；另一種是通過網絡或其他途徑發布，此時獲取信息者為不特定多數人，即提供者和獲取者為“一對多”的方式。應當看到，在“一對多”方式下信息的擴散范圍是不可預期的，且通常會遠遠大于“一對一”方式下信息的擴散范圍，社會危害性顯然大于“一對一”方式。由于《刑法》第253條之一規定的出售或者提供對象是“他人”，之前對“他人”是否包括不特定多數人存在爭議，《解釋》則回答了這一問題。筆者認為，非法向特定人提供公民個人信息構成本罪應無異議，而根據“其應入罪者，則舉輕以明重”〔10〕（唐）長孫無忌等：《唐律疏議?名例》。的原理，將危害更大的非法向不特定多數人提供公民個人信息的行為亦可納入本罪規制的范疇。

《解釋》第3條第2款規定，“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于《刑法》第253條之一規定的‘提供公民個人信息’，但是經過處理無法識別特定個人且不能復原的除外。”《解釋》的這一規定與《網絡安全法》的規定在內容上是契合的。《網絡安全法》第42條第1款規定，“網絡運營者……未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人信息且不能復原的除外。”由此可以看出：一方面，法律不禁止合法的信息流動。在符合法律法規及相關規定的前提下，經被收集者同意，將公民個人信息提供給他人，不應作為犯罪處理。這既符合信息社會發展的現實需要，也與當下大數據產業的蓬勃發展相吻合。另一方面，經過匿名化處理的個人信息因不能與特定自然人相關聯，不再是刑法及相關法律法規所保護的對象。

（三）“竊取或者非法獲取公民個人信息”行為的認定

正如前述，對于出售或者提供公民個人信息的行為，刑法條文明確規定，“違反國家有關規定”是入罪前提。但是對于獲取公民個人信息，條文中并未明確規定“違反國家有關規定”的要件，而是使用了“非法”二字。對“非法”二字的含義，可以根據體系解釋的原理進行確定。“法律條文只有當它處于與它有關的所有條文的整體之中才顯出其真正的含義，或它所出現的項目會明確該條文的真正含義。有時，把它與其他的條文——同一法令或同一法典的其他條款——進行比較，其含義也就明確了。”〔11〕［法］亨利?萊維?布律爾：《法律社會學》，許鈞譯，上海人民出版社1987年版，第243頁。根據《刑法》第253條之一的規定，侵犯公民個人信息罪的行為手段包括“出售或者提供”和“竊取或者非法獲取”兩種，由于《刑法》對獲取行為規定了與出售或者提供行為完全相同的處罰，因此獲取和出售或者提供的社會危害程度應相一致，二者的入罪前提也應保持一致。也即刑法有關侵犯公民個人信息罪中的“非法”與“違反國家有關規定”的含義相同。

根據《解釋》的規定，竊取或者非法獲取公民個人信息的行為包括以下三種。一是竊取，即秘密獲取他人個人信息。在網絡時代，公民個人信息往往以電子信息的形式呈現。通過侵入計算機信息系統等手段竊取公民個人電子信息的行為，往往同時觸犯非法獲取計算機信息系統數據罪。〔12〕雖然非法獲取公民個人信息的行為往往伴隨著非法侵入計算機信息系統的行為，但是根據《刑法》規定，只有侵入國家事務、國防建設、尖端科學技術領域的計算機系統，才有可能構成非法侵入計算機信息系統罪，而這些系統一般不會涉及公民個人信息，因此，通過侵入計算機系統來竊取公民個人信息的行為通常不會構成非法侵入計算機信息系統罪。此時，應按照想象競合犯的原則從一重處斷。二是以其他方法非法獲取，包括購買、收受、交換等方式。此處的“等”字表明，只要行為方式被認定為“非法”，即違反國家有關規定獲取公民個人信息，且與購買、收受和交換這些方式具有相當性或者同質性，都可以被認定為“其他方法”。三是在履行職責、提供服務的過程中收集。如《網絡安全法》第41條規定，“網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息”。若網絡運營者違反上述規定收集公民個人信息的，應被認定為非法獲取公民個人信息。

三、侵犯公民個人信息罪定罪量刑標準的司法確定

《刑法》第253條之一根據侵犯公民個人信息行為的情節嚴重程度，分別設立了“情節嚴重”和“情節特別嚴重”兩檔法定刑，并確立了對特殊主體的從重處罰原則，《解釋》對此作了進一步的細化規定。

（一）對“情節嚴重”認定標準的理解

《刑法》第253條之一明確規定，“情節嚴重”是構成侵犯公民個人信息罪的必備要件，但并未明確規定“情節嚴重”的具體認定標準，有可能導致司法實踐中產生適用標準不一或者“同罪不同罰”的現象。《解釋》根據信息用途、信息類型和數量、違法所得數額、主體身份、違法犯罪次數和時間等情況，對“情節嚴重”進行了較為詳細的規定，確定了統一的適用標準。

第一，根據信息用途認定“情節嚴重”。《解釋》明確規定，“出售或者提供行蹤軌跡信息，被他人用于犯罪的”以及“知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的”這兩種情形，應當被認定為“情節嚴重”。這兩種情形主要根據出售或者提供對象對信息的用途（即被他人利用實施犯罪），同時結合信息種類來確定判斷標準。行蹤軌跡信息與一般的公民個人信息不同，是最有可能被犯罪分子利用從而威脅信息主體人身或財產安全的敏感信息，所以應認定其對于這種信息被他人用于犯罪具有概括的認識，無需再證明其“知道或應當知道”他人利用該信息進行犯罪。

第二，根據信息類型和數量認定“情節嚴重”。其一，對于行蹤軌跡信息、通信內容、征信信息、財產信息，認定“情節嚴重”的標準是“50條以上”。應當注意的是，《解釋》在列舉這些信息之后并沒有用“等”字，因此，司法實踐中不能將這一標準擴大適用到其他類型的信息。其二，對于住宿信息、通信記錄、健康生理信息、交易信息等可能影響人身、財產安全的公民個人信息，認定“情節嚴重”的標準是“500條以上”。《解釋》在列舉完這些信息之后使用了“等”字，因此，與所列舉的住宿信息、通信記錄等信息具有相當性或者同質性的信息均可以包括在內。應該看到，上述兩種情況涉及的信息都是與公民人身安全和財產安全密切相關的信息，也是最容易被犯罪分子利用進行詐騙、敲詐勒索等犯罪的信息，因此《解釋》對侵犯此類信息的行為規定了較低的入罪門檻。其三，對于上述兩種情況之外的一般公民個人信息，認定“情節嚴重”的標準是“5000條以上”。由于實踐中行為人提供或獲取的信息可能會既涉及入罪標準為“500條以上”的公民個人信息，又涉及入罪標準為“5000條以上”的公民個人信息，但這兩種公民個人信息的數量分開來看都未達到相應入罪標準，對于這種情況，《解釋》第5條第1款第6項規定了按比例合計計算的方法。具體而言，將上述第一種情況（50條對應）列舉的公民個人信息記為N1，第二種情況（500條對應）列舉的公民個人信息記為N2，上述兩種情況以外的情況（5000條對應）列舉的公民個人信息記為N3，計算公式為：N1*100+N2*10+N3≥5000或者N1*10+N2 ≥500，符合公式計算結果的即可以認定為“情節嚴重”。

第三，根據其他標準認定“情節嚴重”。《解釋》將“違法所得5000元以上”作為認定“情節嚴重”的標準。需要指出的是，《解釋》對特殊主體規定了與一般主體不同的數額標準。《刑法》第253條之一將非法“提供公民個人信息”分為兩種：一種是“違反國家有關規定，向他人出售或者提供公民個人信息”；另一種是“違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的”。《解釋》明確規定，后者的入罪數量或者數額為前者標準的一半，那么，當特殊主體涉案的數量或者數額達到入罪標準但未達到一般主體的入罪標準時，是否應該再根據《刑法》第253條之一的規定對特殊主體從重處罰？由于《解釋》并未特別明確，因此，理論上會有不同的理解。有觀點認為，在入罪標準上特殊主體涉案的數量或者數額規定是一般主體的一半，已經體現了從重處罰的內容，如果在此基礎上再從重處罰，就有重復評價的嫌疑。筆者對此觀點并不贊同，《解釋》所規定的特殊主體涉案的數量或者數額是一般主體的一半，僅僅是解釋“情節嚴重”的標準，即只是針對侵犯公民個人信息罪的入罪標準而言的。而刑法有關特殊主體的規定強調的是行為達到“情節嚴重”和“情節特別嚴重”的標準后再從重處罰。嚴格按《刑法》和《解釋》的規定理解是完全必要的。另外，《解釋》還規定，對于曾因侵犯公民個人信息受過刑事處罰或者2年內受過行政處罰的主體，只要再次非法獲取或提供公民個人信息，不再考慮數量、數額、違法所得等標準，一經實施，就應認定為“情節嚴重”，體現了立法者對侵犯公民個人信息犯罪強調“高壓”的態度。

（二）對“情節特別嚴重”認定標準的理解

我國《刑法》對于侵犯公民個人信息罪明確規定了兩檔法定刑：即“情節嚴重”和“情節特別嚴重”。與“情節嚴重”相同，《解釋》從犯罪后果及數量數額等方面對刑法條文中“情節特別嚴重”的認定規定了詳細的標準。

《解釋》規定了“造成被害人死亡、重傷、精神失常或者被綁架等嚴重后果的”以及“造成重大經濟損失或者惡劣社會影響的”，應當認定為“情節特別嚴重”。同時《解釋》將數量或數額達到前款“情節嚴重”標準10倍以上作為認定“情節特別嚴重”的標準，但該標準是否合理，有待商榷。簡單的數量或數額的增多并不一定代表社會危害性會發生質的變化，而且10倍以上的數量或數額的增大所導致的社會危害性，確實很難與對被害人的生命、健康、人身安全等造成嚴重侵害、造成重大經濟損失或者社會影響極其惡劣的嚴重后果相提并論。另外，實踐中侵犯公民個人信息犯罪的行為人提供或者獲取公民個人信息的數量動輒幾十萬甚至上百萬條，以“10倍”作為認定“情節特別嚴重”的標準，客觀上完全可能會引發對侵犯公民個人信息罪實際“量刑不平衡”甚至“量刑過高”的情況出現。

（三）對為合法經營活動而侵犯公民個人信息特殊定罪量刑標準的理解

實踐中獲取公民個人信息之后從事電話推銷等本身不違法的經營活動非常常見，是否可能構成犯罪并加以處罰？對此，《解釋》作了明確，為合法經營活動而非法購買、收受第5條第1款第3項、第4項以外的公民個人信息的，仍然可能構成犯罪，但是，在定罪量刑標準上作了特殊的規定。筆者認為，《解釋》第6條與第5條的關系實際上是特別規定與普通規定的關系，應當適用特別法條優于普通法條的一般原則。例如，從事合法經營活動的行為人非法購買或收受公民個人信息5000條以上但獲利未滿5萬元時，若依據《解釋》第5條的規定，可以構成侵犯公民個人信息罪，而根據《解釋》第6條的規定則不能構成侵犯公民個人信息罪。此時，應當優先適用《解釋》第6條的規定。

《解釋》第6條從獲利數額和行為人的主觀惡性等方面確立了判斷“情節嚴重”的特殊標準。第一，《解釋》規定，“利用非法購買、收受的公民個人信息獲利5萬元以上的”，應當被認定為“情節嚴重”。雖然購買、收受公民個人信息的行為是非法的，但是由于經營活動合法，因此將“獲利數額”而非“違法所得”作為認定“情節嚴重”的標準是妥當的。第二，與前述規定類似，《解釋》將行為人違法犯罪次數和時間也作為認定“情節嚴重”的標準。而第6條第1款第3項規定的“其他情節嚴重的情形”作為本條的兜底條款，只有當行為人的行為與前兩項行為具有相當性時，才可以適用。

（四）對涉案個人信息數量計算標準與規則的理解

涉案公民個人信息的數量對于侵犯公民個人信息罪定罪量刑具有重要作用。《解釋》明確規定了公民個人信息數量的計算方法：“非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數不重復計算。向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數累計計算。對批量公民個人信息的條數，根據查獲的數量直接認定，但是有證據證明信息不真實或者重復的除外。”筆者認為，對《解釋》的這一規定應作以下理解。

第一，對于非法獲取公民個人信息后又提供給同一單位或個人的，在獲取和提供的過程中，對象始終具有同一性，且獲取的行為和提供的行為是前后發展的關系。根據《解釋》的規定，對于公民個人信息的條數，僅計算一次，毋需重復計算。

第二，對于非法獲取公民個人信息后又提供給不同單位或個人的，與前一種情況相比，作為對象的信息從行為人處轉手多次，為多個獲取信息的單位或個人知曉。此類行為使得公民個人信息傳播的范圍更廣，社會危害性明顯更大。根據《解釋》的規定，對于公民個人信息的條數，應當累計計算。

第三，對于批量查獲的公民個人信息，由于通常所涉及的信息數量極為龐大，所以《解釋》規定“根據查獲的數量直接認定”，但同時允許將不真實或重復的信息予以排除。對于排除不真實的信息的理解，筆者認為，如果要求辦案機關對海量龐雜的個人信息（實踐中涉案的公民個人信息通常以數十萬甚至數百萬計）逐一核對其真實性，會過度消耗司法資源，除非行為人可以提供證據或者有其他證據能夠證明某些信息不真實。對于排除重復的信息的理解，首先應該明確何謂重復的信息。司法實踐中查獲的信息經常會針對同一對象并存數條信息。例如，針對同一對象，同時存在“姓名+身份證號碼”、“姓名+銀行卡號”、“姓名+住址”、“姓名+電話號碼”等數條信息。對于這種情況下信息的計算，要考慮交易規則和習慣，宜將其認定為重復信息，應按照一條計算。但是在海量信息中甄選出符合上述條件的信息并將其排除確實是一項極為耗時耗力的工程，要求司法機關逐一甄別和排除這些信息，同樣也是不合理的。而對于完全重合的數據，筆者認為，可以要求司法機關對于查獲的數據進行簡單的去除重復數據的技術操作，以免不合理地增加行為人的刑事責任。

四、侵犯公民個人信息罪與共同犯罪的關系辨析

根據《解釋》的規定，“知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的”，構成侵犯公民個人信息罪。但同時，明知（知道或者應當知道）他人實施犯罪行為，為其提供信息方面的幫助，也有可能構成相應犯罪的共犯。筆者認為，根據幫助者和被幫助者雙方意思聯絡的程度不同，我們大致可以將共同犯罪分為片面共犯、“心照不宣”的共犯〔13〕所謂“心照不宣”，即指提供公民個人信息的行為人明知自己在幫助具體實行者，而具體實行者也明知在接受提供公民個人信息行為人的幫助，但雙方沒有通謀的情形。和有通謀的共犯三類。對于向他人提供公民個人信息的行為，前兩種類型均應按照侵犯公民個人信息罪處理，第三種類型則可能成立侵犯公民個人信息罪與被幫助者所實施犯罪的想象競合。

由于《解釋》第5條第1款第2項僅指出了“知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的”即可構成犯罪，此規定并沒有排除侵犯公民個人信息行為人單方知悉他人利用獲得的信息實施犯罪，而仍為其提供信息的情況。因此，筆者認為，對于提供信息者“明知”而獲得信息者“不明知”的情形，我們不能再按照傳統刑法有關片面共犯的原理，將提供信息者的片面幫助行為認定為共犯，而應該直接以侵犯公民個人信息罪定性。

當然，在“心照不宣”的情形下，我們對于提供信息一方的行為同樣應該認定為侵犯公民個人信息罪，而不能按相應的共犯論處。因為在此種情形下，提供信息者和獲得信息者之間沒有通謀，不符合成立共同犯罪的基本條件。與片面共犯的情形相比較，“心照不宣”是提供信息者和獲得信息者均“明知”的情形，由于《解釋》只對提供信息者的“明知”作了明確要求，因此，將其認定為侵犯公民個人信息罪也不會存在任何異議。

明知他人利用獲得的信息實施犯罪并與其通謀，為其提供公民個人信息的，則提供信息者既構成侵犯公民個人信息罪，同時又構成獲得并利用信息者實施的相應犯罪之幫助犯，對提供信息者應按照想象競合的原則，從一重罪處罰。具體而言，提供信息者與獲得并利用信息者之間有通謀，符合“二人以上共同故意犯罪”的要求，提供信息者可以構成相應犯罪的幫助犯；同時提供信息者“明知”他人利用公民個人信息實施犯罪，仍向其提供，也符合侵犯公民個人信息罪的構成要件。

應當看到，行為人的主觀認識可以包括三種狀態：確實知道、應當知道和確實不知道。根據多數司法解釋的規定，現行刑法分則中故意犯罪的“明知”包括確實知道和應當知道兩種狀態。“應當知道”是一種推定知道，司法機關對于被告人明知的證明有比較充足的客觀事實依據，只是沒有得到被告人的印證。〔14〕參見劉憲權：《論信息網絡技術濫用行為的刑事責任——〈刑法修正案（九）〉相關條款的理解與適用》，載《政法論壇》2015年第6期。故此，在一般故意犯罪中，證明行為人“應當知道”時，行為人有提出反證的義務，即必須證明其確實不知道，方可否定其“明知”，否則，“應當知道”的推定就成立。

目 次

一、公民個人信息概念和范圍界定的理解

二、侵犯公民個人信息罪客觀行為的司法認定

三、侵犯公民個人信息罪定罪量刑標準的司法確定

四、侵犯公民個人信息罪與共同犯罪的關系辨析

* 劉憲權，華東政法大學教授，博士生導師；房慧穎，華東政法大學博士研究生。本文系國家社科基金重大項目“涉信息網絡違法犯罪行為法律規制研究”（項目號14ZDB147）的階段性研究成果。

盧勤忠）