非法獲取公民個人信息行為研究

摘 要 《刑法修正案（九）》修改了侵犯公民個人信息犯罪的規定，將原刑法中的出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名合并為侵犯公民個人信息罪，通過擴大侵犯公民個人信息罪的主體范圍、提高法定刑來加大對公民個人信息的保護力度。但是在前置法律缺位的情況下，對非法獲取公民個人信息條款中的“個人信息”和“非法獲取”的理解和認定都存在模糊不清之處。本文主要從非法獲取公民信息行為的行為對象和行為方式的認定兩方面對非法獲取公民個人信息的行為進行探討。

關鍵詞 個人信息 竊取 非法獲取

作者簡介：李珂，北京師范大學刑事法律科學研究院刑法學碩士，研究方向：刑法學。

中圖分類號：D924.3 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2017.02.150

個人信息被譽為二十一世紀最有價值的資源，它不但可以為政府決策提供依據，產生公共管理上的效益，并且可以產生豐厚的商業利潤。為了追求個人信息所承載的經濟價值和政治價值，對個人信息的爭奪早已似一場沒有硝煙的戰爭蔓延至社會的各個領域。近年來，計算機網絡技術的高速發展無疑使這場個人信息的爭奪戰變得更加激烈，計算機網絡收集、處理信息的便捷性和隱蔽性更使個人信息面臨著前所未有的威脅。面對侵犯個人信息的行為愈演愈烈的社會現實，《刑法修正案（九）》修改了侵犯公民個人信息犯罪的規定，將原刑法中的出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名合并為侵犯公民個人信息罪，通過擴大侵犯公民個人信息罪的主體范圍、提高法定刑來加大對公民個人信息的保護力度。修改之后，非法獲取公民個人信息不再是獨立的罪名，而是侵犯公民個人信息罪的一種行為方式。對侵犯公民個人信息罪的修改體現了刑法在保護個人信息方面的進步，但是我國《個人信息保護法》的缺位卻給非法獲取公民個人信息行為中的“個人信息”和“非法”方式的認定造成了困難。本文將從這兩個方面出發對非法獲取公民個人信息的行為進行探討。

一、個人信息的認定

（一） 個人信息的界定標準

人信息的概念起源于1968年聯合國“國際人權會議”中提出的“資料保護”。之后的幾十年中世界范圍內諸多國家都制定并通過了本國的個人信息保護法。但由于個人信息是人類步入信息社會后的一個嶄新的法律現象，各國學界和立法對個人信息的認識也并不一致。關于個人信息的定義有兩種代表性觀點：第一，關聯說定義。此種定義方式將凡是與個人相關聯的信息均認定為個人信息，“所謂個人信息，包括個人之內心、身體、身份、地位及其他關于個人之一切事項之事實、判斷、評價等之所有信息在內。” 第二，隱私權說定義。此種定義方式認為與個人隱私相關聯的信息才構成個人信息。 “個人信息系指社會中多數所不愿想外透漏者，或者是個人極敏感而不愿他人知道的信息。”關聯說的定義方式雖然為司法實踐中如何認定個人信息提供了指引，但范圍顯然過寬過寬，如果以此標準來認定刑法中的個人信息，將導致行為人在信息社會動輒得咎，不利于維護正常的社會秩序。隱私權說只把個人信息局限于個人隱私，范圍又失之過窄，從形式上看，個人隱私只是個人信息的一部分。而且我國民法中尚未明確建立隱私權制度，其他相關法律只是概括指出公民的隱私受法律保護，都沒有具體明確地劃定個人隱私的范圍，以此標準來界定個人信息，仍然存在含混不清之處，缺乏可操作性。

識別說由于具有現實的操作性且所劃定的個人信息范圍合理而逐漸成為各國個人信息保護法中所采取的通說。識別說定義方式認為個人信息是指可以直接或間接識別個人的信息。所謂“識別”，就是把資料與信息主體存在某一客觀確定的可能性，簡單說就是通過這些資料能夠把當事人直接或間接“認出來”。 識別說道出了個人信息最關鍵的特征即信息與個人的相關性，同時又把一些過于瑣細而不能夠識別特定主體的信息排除在外，為個人信息的判定提供了合理的標準。許多國家的個人信息保護法都采納了識別說的定義方式，如《英國資料保護法》規定，“個人資料是指可以直接或者間接識別一個活著的人的所有資料”。我國“臺灣資料法”規定，“個人資料指自然人之姓名、出生年月、……等足資識別該個人之資料。”

（二）個人信息的范圍

在識別說的基礎之上，我國一些刑法學者認為刑法所保護的個人信息除了具有一般個人信息的特征之外，還應具有刑法保護的特殊價值，即刑法只保護那些涉及公民人格、尊嚴，甚至人身安全、財產權利的重要個人信息。而姓名、年齡、身高、體重等單純的數據性信息，雖能起到識別公民個人身份的作用，侵害行為也會給公民生活帶來不便，但是否值得超越民法、行政法的保護手段而運用刑法，值得商榷。 但筆者認為刑法所保護的個人信息應涵蓋上述純數據性信息。第一，刑法對個人信息進行保護，實際上是保護個人信息所承載的權利。首先是個人信息的自由與安全，或者個人信息權，即自然人依法對其個人信息所享有的控制和支配并排除他人侵害的權利。雖然一些個人信息涉及信息主體的財產、隱私等其他重要信息，侵犯這些信息除了侵犯公民個人信息權之外還會侵犯公民的財產權、名譽權等其他為刑法所保護的重要權利。但是在侵犯公民個人信息罪中刑法是通過保障公民個人信息的自由與安全而為個人信息所承載的財產權等其他權利提供間接保護。侵犯公民純數據性的個人信息首先侵犯了公民個人信息的自由與安全。第二，刑法在評價具體行為的危害程度時不只關注行為對象的價值，還要考慮具體的情節、手段。而侵犯公民個人信息罪中的“情節嚴重”并不局限于行為造成的危害結果和信息主體造成的損失，而應從犯罪客觀方面、主體、主觀方面等多角度綜合考慮。因此，不能簡單地因公民的姓名、年齡等純數據性個人信息缺乏重要價值而將其排除在刑法的保護之外。

綜上，公民個人信息的認定應采取識別說的標準，并應涵蓋全部能夠直接或間接識別個人的信息。

二、非法獲取行為方式的認定

在高速發展的信息時代，公民個人信息幾乎隨著信息主體的活動而散落于社會生活的各個領域，獲取公民個人信息的途徑和方式多種多樣，要認定何種方式屬于非法獲取必須要首先界定“非法”的內涵。但由于我國還沒有頒布統一的《個人信息保護法》，在公民個人信息的收集、處理等各個階段幾乎毫無規則可言，這就為“非法”前提的認定帶來了困難。究竟如何確定“非法”的依據也成為了學者們討論的重點。筆者將在幾種具有代表性的觀點的基礎上確立“非法”的認定標準，并討論司法實踐中幾種常見的獲取公民個人信息的方式。

（一）對“非法”的解讀

關于“非法”的含義，有兩種較為代表性的觀點，分別是“違反法律的禁止性規定”和“沒有法律依據”。持第一種觀點的學者認為，首先，在法理上公民有權實施任何法律法規未禁止的行為，即使該行為違反公共道德，也不能上升到刑罰處罰的高度；其次，將非法理解為“違反法律的禁止性規定”能夠和侵犯公民個人信息罪第一款當中的“違反國家規定”的表述保持一致。 但筆者認為將非法解讀為“違反法律的禁止性規定”有以下兩點缺陷：第一，在我國關于個人信息保護的前置立法缺位，民法、行政法等法律對個人信息保護極不完善的情況下，如果只把違反法律禁止性規定的行為認定為非法，將把大量沒有被法律禁止但實質上嚴重侵犯公民個人信息的行為排除在外，這將極大地削弱對公民個人信息的法律保護。第二，在法理上，法律規范分為命令性規范和禁止性規范，違反法律命令性規范，同樣可以因違反法律規定而被認定為非法。如已經通過但尚未生效的《網絡安全法》中明確規定，網絡運營者在收集個人信息時，應明示收集的目的，并經被收集者同意。如果網絡運營者在收集用戶信息時沒有履行網絡安全法的規定，應當被認定為非法獲取公民個人信息。所以，將非法解讀為“違反法律法規的禁止性規定”不當縮小了非法的內涵。

持第二種觀點的學者認為只要行為人沒有獲取公民個人信息的法律依據或者資格而獲取相關個人信息的，就可能構成犯罪。 這種觀點的缺陷同樣是在我國個人信息保護統一立法缺位的情況下，實際中大量存在的獲取個人信息的方式并沒有法定的依據，如果將這些行為都認定為非法不利于信息的流通和利用，將會阻礙社會的正常發展秩序。但是這種觀點與前者相比從更為本質的角度，從更大的范圍為公民信息提供了保護。因此，在平衡公民個人信息保護和促進信息流通的基礎上，可將“非法”解讀為：沒有法律上的依據，并且足以危機公民信息安全的。

（二）竊取

竊取是侵犯公民信息罪中明文規定的非法獲取公民個人信息的方式，對于竊取行為的認定可以比照盜竊罪進行。但同時又要注意此處竊取行為的具體對象公民個人信息和傳統盜竊罪犯罪對象的不同特點對竊取公民個人信息中的一些問題進行具體認定。

通說認為，盜竊是指以非法占有為目的，秘密竊取他人數額較大的財物的行為。其客觀方面表現為以隱秘的、不為財物所有人或保管人所知的手段將財物取走。傳統觀點認為竊取行為的重點在于手段的隱秘性，并主張在認定秘密手段時采取主觀標準。即不論行為人竊取財物的行為客觀上是否為所有人或保管人所知，只要行為人自認為自己的行為是秘密的就可認定為秘密手段。但是通說最大的缺陷在于，它在一定程度上割裂了主客觀相一致的原則，僅依靠行為人的主觀認識來認定其客觀行為。當實踐中出現客觀情況和行為人的主觀認識不一致的時候就難以判定行為性質，甚至在一些情況下行為人根本就沒有考慮過自己的行為是否隱秘。因此，在對傳統通說進行批判的基礎上一些學者提出了新的學說，認為盜竊就是采用非暴力的平和方式，破壞財物的原有占有而建立新的占有。新學說不再將竊取行為局限于秘密行為，一些公然實施的行為，只要采取的是平和的、非暴力的行為依然可以認定為竊取。

上述對盜竊罪中竊取行為的理解能否直接適用于此處的竊取公民個人信息的認定呢？筆者認為，應該分情況討論。個人信息可以分為兩類，一類是有載體的個人信息，一類是無載體的個人信息。前者可能存儲于未連入網絡的本地電腦、U盤等其他現代或傳統存儲介質中，而后者則往往是指位于網絡空間的個人信息。對于第一種有載體的個人信息，行為人往往是通過竊取信息的載體從而獲得儲存于載體之中的個人信息，此時竊取行為的直接對象是物，可以直接適用上述討論的關于盜竊罪中竊取行為的理論。此時還需注意的一個問題是，行為人通過竊取信息載體而獲取公民個人信息的情況下，行為人可能成立盜竊罪和侵犯公民個人信息罪的想象競合犯。這種情況下行為人的主要目的還是為了獲取儲存于載體之上的個人信息，一般應成立侵犯公民個人信息罪，但當信息載體的價值過高時，仍有成立盜竊罪的可能。

當行為人竊取的是無載體的個人信息時，行為人的手段是否是平和的、非暴力的手段似乎就不那么清楚了。如上文所述，新的學說根據手段的平和性、非暴力性認定竊取。但虛擬空間不同于物理空間，虛擬空間中并不存在傳統意義上的暴力手段。例如黑客侵入甲公司的數據庫，意欲竊取數據庫中的大量客戶個人信息，但在竊取過程中被甲公司的技術人員發現，技術人員采取攔截措施，但并未成功。首先，該名黑客的行為肯定不具有秘密性，其潛入行為已被甲公司技術人員發現。同時，甲公司的技術人員對該名黑客的行為進行了攔截，但是沒有成功。此時黑客的行為仍應認定為平和手段嗎？筆者認為，由于網絡空間原本就不存在傳統意義上的暴力行為，所以此時把竊取行為理解為采取平和手段也就無從談起。沒有了秘密性和手段的平和性的標準，網絡空間的竊取行為該如何認定和區分呢？如果對網絡空間中未經權利人同意侵入計算機系統獲取信息的行為不加區分的認定為竊取行為，似乎也不太合適。因為上述例子中提到的行為人憑借自己的技術優勢不顧對方系統的攔截而帶有公然掠奪性質的獲取信息的行為之危害性明顯大于一般意義上的竊取行為。因此在此種情況下，筆者認為行為人獲取信息的行為不應評價為竊取，可以認定為其他方法，并在評價情節嚴重時考慮其手段的惡劣性。行為人通過侵入計算機系統而獲取公民個人信息時還可能觸犯刑法中的另外一個罪名，即非法獲取計算機信息系統數據罪。存在于計算機系統中的個人信息屬于計算機系統數據的一種特殊數據，依據特殊罪名優先于一般罪名適用的原則，此時仍應成立侵犯公民個人信息罪。

（三）收買、收受

將收買與收受公民個人信息放在一起討論是因為二者是侵犯公民個人信息罪犯罪第一款中出售和提供的對向行為，刑法將出售和非法提供公民個人信息的行為認定為侵犯公民個人信息，那么二者的對象行為是否當然地構成非法獲取呢？

實踐中，對收買公民個人信息行為的認定為非法獲取基本已經形成統一的認識，筆者在中國裁判文書網進行檢索，僅2016年一年就有近40起案件中的行為人購買公民個人信息的行為被認定為非法獲取。 從刑法本身看，刑法中多個涉及秘密、信息的犯罪都將“收買”與“竊取”并列規定，如《刑法》第111條：“為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或者情報的”；第282條：“以竊取、刺探、收買方法，非法獲取國家秘密的”。可見立法上也認可“收買”與“竊取”行為有大致相同的危害性。因此將“收買”認定為非法獲取既有立法上的依據，同時也符合我國司法實踐中的做法。

那么關于“收受”該如何認定呢？按照上文關于“非法”的解讀，應將沒有法律依據而且足以危害公民個人信息的行為認定為非法。具體到收受行為，它作為提供的一種對向行為，由提供行為違反國家規定可以推出收受行為沒有法律依據，也就是說行為人收受的個人信息是不應當被提供的。接下來要考慮收受行為是否足以危害公民個人信息。首先，一般來說收受行為表現為消極、被動的接受，其危害性要小于主動的竊取和收買，但不排除有時收受也表現為通過積極勸誘對方而獲取，在這種積極主動的情況下，收受行為的危險性明顯增加。也即當收受行為超出了定型性、通常性，對“非法提供”起到了不可或缺的作用時，就可能被認定為非法獲取。 其次，可以從收受行為的后續行為來判斷其危害性。實踐中行為人收受公民個人信息往往并不是單純為了了解信息主體，而會進一步利用所收取公民個人信息。目前刑法只把出售、非法提供和非法獲取公民個人信息的行為規定為犯罪，并沒有對利用公民個人信息的行為做出規定。實踐中大量存在的利用公民個人信息的行為，例如將公民個人信息大肆用于商業營銷推廣，已經給信息主體的生活造成嚴重困擾，但由于缺少明確的規定，這些利用公民個人信息的行為還無法受到刑法的制裁。因此，如果行為人在收取公民個人信息之后進一步實施了利用公民個人信息的行為，可認為其收受行為具備了足夠的危害性，并將其認定為非法，這樣可以為公民個人信息提供更加全面的保護。

注釋：

齊愛民.大數據時代個人信息保護法國際比較研究.法律出版社.2015.135，136.

齊愛民.拯救信息社會中的人格.北京大學出版社.2009.85.

王昭武、肖凱.侵犯公民個人信息罪認定中的若干問題.法學.2009（12）.

張磊.司法實踐中侵犯公民個人信息犯罪的疑難問題及其對策.當代法學.2011（1）.

趙秉志.公民個人信息刑法保護問題研究.法學論壇.2014（1）.

何顯兵.再論盜竊與搶奪的界限.中國刑事法雜志.2012（5）.

資料來源：http：//wenshu.court.gov.cn/.訪問時間：2017-01-06.

王昭武、肖凱.侵犯公民個人信息罪認定中的若干問題.法學.2009（12）.