出售或提供公民個人信息入罪的邊界

文/高富平 王文祥

出售或提供公民個人信息入罪的邊界

文/高富平 王文祥

自2009年《中華人民共和國刑法修正案（七）》（以下簡稱“《刑修七》”）首次將侵犯公民個人信息行為納入刑法的保護后，該犯罪不斷得到強化。2015年《中華人民共和國刑法修正案（九）》（以下簡稱“《刑修九》”）進一步將個人信息犯罪的主體擴大到所有主體，取消了“非法提供”中的“非法”，將入刑的行為確定為“出售或提供公民個人信息”和“竊取或者以其他方法非法獲取公民個人信息”兩種行為。這意味著，不僅出售公民個人信息和購買公民個人信息（歸類到以其他方法獲取）可能入刑，而且向他人提供公民個人信息或者接受公民個人信息也存在刑事責任風險。這無疑給商業活動廣泛存在的數據交換和正在興起的數據交易蒙上一層陰影。

由于個人數據保護立法和執法的滯后，我國的個人信息濫用、無序利用已經到了危害人身和財產安全的地步，因而國家就率先運用刑法，懲治侵害公民個人信息的犯罪行為。但是，刑法的不正確適用會抑制我國大數據應用的創新和正當的合乎國際規則的商業應用。因此，我們必須對《刑修九》規定的侵犯公民個人信息罪進行正確的解釋和適用，這樣才能在打擊公民個人信息犯罪的同時，為正當的個人信息收集和使用提供良好的制度環境。

本文以“出售或提供”公民個人信息行為為核心，著重討論我國侵犯公民個人信息罪所保護的客體，在對刑法保護的核心——侵害的法益——進行分析的基礎上，論述所禁止行為的實質違法性，試圖回答出售或提供何種公民個人信息才具有刑法上的可責性，何種出售或提供行為才具有實質違法性，構成犯罪。

侵犯公民個人信息罪所保護的法益

行為是否具有實質違法性，是根據法益是否受到侵害或者威脅來評價的。因此，應當先分析侵犯公民個人信息罪所保護的法益，再進一步分析出售或提供哪些公民個人信息構成實質性違法，應受刑法處罰。筆者認為，侵犯公民個人信息罪所保護的法益應為人格尊嚴與個人自由，個人隱私只是人格尊嚴的組成部分。這一觀點可以從立法解釋和個人信息保護目的解釋兩個角度加以分析。

（一）刑法條文的解讀

侵犯公民個人信息罪被置于《刑法》分則的第四章“侵犯公民人身權利、民主權利罪”，那么從整體上而言，侵犯公民個人信息罪所要保護的法益應在公民人身權利或民主權利范疇之內。至于侵犯公民個人信息罪到底保護何種公民人身權利或民主權利還需根據刑法具體罪名的編排以及個人信息所需保護的利益進行進一步分析。《刑修七》首次確定侵犯公民個人信息時就將其條文序號定為第253條之一，位于“侵犯通信自由罪”與“私自開拆、隱匿、毀棄郵件、電報罪”之后。不難看出，“侵犯通信自由罪”與“私自開拆、隱匿、毀棄郵件、電報罪”所保護的法益均為公民人格權利與自由，包括公民個人通信自由和人格尊嚴。因此，從具體罪名的編排來看，侵犯公民個人信息罪所保護的法益應與上述兩個罪名類似，是對公民人格尊嚴與個人自由的保護。

（二）個人信息保護的目的

個人信息刑法保護是個人信息保護的最后一道防線，其保護目的仍然不能脫離個人信息保護的宗旨。個人信息保護區別于隱私保護，個人信息保護旨在確立個人信息使用規范，所保護個人權益包括但不限于隱私利益。雖然我國許多民事法律（如《消費者權益保護法》）開始引入個人信息保護制度，但是對個人信息保護的宗旨并沒有統一的認識。因此，我們仍然需要追本溯源，了解一下國際社會個人信息保護制度的形成和基本宗旨。

個人信息保護制度既有個別國家的立法淵源，也有國際文件淵源。德國黑森州在1970年頒布了世界上第一部專門針對個人數據保護的法律，1977年在國家層面也制定了《聯邦個人數據保護法》（BDSG）。之后，1983年德國憲法法院判決確立了個人信息自決權為公民憲法上的權利。于是，個人自行決定何時、在何范圍披露個人信息成為一項憲法權利。在美國，1973年美國衛生、教育和福利部（現為衛生和人權服務部）提出“正當信息通則”（又稱隱私原則），也成為美國1974年《隱私法》的基礎，并成為當今個人數據保護立法的重要源頭。 美國的《隱私法》僅規范公共部門的個人信息處理行為，防范公權力對公民隱私的侵害，然而它體現的正當信息通則也被私人領域廣泛接受，成為美國保護個人信息的一般原則。

進入20世紀80年代，先后有兩個有關個人信息保護的國際性文件發布，一個是1980年經濟合作與發展組織的《隱私保護和個人數據跨境流通指南》（以下簡稱“《指南》”），另一個是1981年歐洲委員會《個人數據自動處理中的個人保護公約》（以下簡稱“《公約》”）。《指南》提出適用于個人信息保護的8項原則，已經被許多國家接受并作為保護個人隱私與自由的基本原則。《公約》則是在人權保護的意義和框架下定位個人數據保護制度的，它明確宣布個人數據保護是為了保護個人權利和基本自由（尤其隱私權）。該《公約》成為1995年歐盟《個人數據保護指令》制定的依據和基礎。《個人數據保護指令》及歐盟于2016年4月頒布的《統一數據保護條例》（2018年生效后將替代《個人數據保護指令》成為在全歐盟范圍內具有直接法律效力的法律）均將個人數據保護目的定位于“保護自然人的基本權利和自由”。

從以上對國際社會個人數據保護制度形成和立法定位的簡要分析可以看出，國際社會主要是從保護個人基本權利和基本自由的角度來保護個人數據的，其基本理念是，個人數據的處理涉及公民（或自然人）的個人尊嚴、自由，應當規范個人數據的處理行為，以防止對公民基本權利和自由的侵害，其中包括但不限于對隱私（特指個人對敏感信息的控制）的保護。因此，所謂個人數據保護，就是保護個人數據收集、處理等數據利用過程中所涉及的個人基本權利與自由。

我國尚未制定個人數據保護法，因而對于個人數據保護目的還沒有統一法律表述。但從國際社會個人數據保護基本規律來看，我國的個人數據保護亦應當建立在憲法規定的公民基本權利基礎上。若這些公民權利同時體現為人格權益，需要民法予以認可和保護，那么也同時納入民法（比如能夠以名譽權、隱私權來保護人格尊嚴）。只有這樣我們才能理解為什么在民法上沒有相應規范的情形下，《刑法》先行對個人信息予以保護。也就是說，我國刑法對于公民個人信息保護是建立在《中華人民共和國憲法》對公民基本權利保護的基礎上，是履行“國家尊重和保障人權”基本義務，保護公民人格尊嚴、人身自由等憲法權利，而不是直接基于人格權或隱私權保護。一旦我們制定個人信息保護法之后，就可以全面確立我國個人信息保護的目的，使憲法保護的基本權利得到細化，并使憲法對公民權利的保護延伸到民事法律領域。因此，從個人信息保護的法律基礎和基本宗旨角度，刑法中侵犯公民個人信息罪所保護的法益應當理解為公民人格尊嚴與個人自由，隱私利益只是人格尊嚴保護的內容之一。

出售、提供公民個人信息行為實質違法性之界定

既然侵犯公民個人信息罪所保護的法益是公民的人格尊嚴與個人自由，那么對出售或提供公民個人信息行為的實質違法性判定必須圍繞該法益展開，即如果出售或提供公民個人信息對公民的人格尊嚴與個人自由造成嚴重侵害或威脅，那么該行為就具有實質違法性，應被視為侵犯公民個人信息行為，應受刑法處罰。刑法控制的應該是對個人隱私、人格尊嚴和個人自由造成嚴重侵害的行為，這就意味著我們需要對可入刑的行為作出明確的限定，將不具有實質性違法的行為排除在刑法調整之外。筆者認為，這種限定須從兩個方面進行，一是在既有規范下限縮公民個人信息的范圍，將明顯具有潛在危害性信息納入；二是增加該罪要件，將非法目的作為侵犯公民個人信息罪的必要要件。

（一）限縮公民個人信息的范圍

侵犯公民個人信息罪規定了兩種侵犯公民個人信息的行為，一種是“向他人出售或者提供公民個人信息”的行為，另一種是“竊取或者以其他方法非法獲取公民個人信息”的行為。這兩種行為的行為方式在本質上具有很大的差異。對于“竊取或者以其他方式非法獲取”，無論是竊取還是以其他方式非法獲取，其核心都突出了“非法”，其獲取公民個人信息的行為缺乏合法性基礎，必定會對公民個人自由造成侵害，同時也可能會對公民個人隱私與人格尊嚴造成侵害或極大的威脅，當然具有實質違法性。

“向他人出售或提供”行為本身屬于一種中性的行為，單純出售和提供公民個人信息行為并無所謂的合法或非法問題。通過對刑法罪名的梳理，我們發現標的物（如槍支、彈藥、危險物質、毒品等）的特殊性是導致整個行為被認定為非法，并將其作為犯罪行為納入刑法調整范疇的關鍵。因此，對“出售或提供公民個人信息”行為的實質違法性分析的落腳點并不在于出售和提供這一行為方式上，而在行為對象，即公民個人信息上。公民個人信息因其承載著公民人格尊嚴和個人自由，本身具有一定的特殊性。但出售或提供公民個人信息并不具有直接危險性，不會直接對國家安全造成威脅或影響國家市場經濟秩序；相反，個人信息的利用與流通具有巨大的價值。因此，刑法不應完全禁止出售或提供公民個人信息的行為。從實質違法的角度，筆者認為納入刑法保護的應當只限于能夠直接識別公民個人身份的個人信息。

國際社會對于個人信息的定義多強調其可識別性，但是，可識別性有兩種含義，即識別特定個人身份與識別特定個人個性特征（可以不知道具體個人，但了解該人特征）。如果單純出售、提供可識別特定個人個性特征的個人信息（比如對個人信息作了去身份化處理），而不包含身份信息，不能直接侵害或威脅該個人的隱私或人格尊嚴，不具有直接危害性。 因為可識別特定個人個性特征的個人信息在不包含個人身份信息的情況下，雖然該個人信息同樣指向某個人，但無法明確知道該個人的身份，也即無法特定化。即便某些愛好或習慣具有一定的敏感性，但由于無法特定化至一個明確的信息主體的身份，對該信息主體的侵犯也就無從談起。相反，如果行為人出售或提供的個人信息屬于可直接識別特定個人身份的個人信息，那么因該信息與特定主體直接相關聯，該出售或提供行為就可能直接侵害公民的個人隱私與人格尊嚴，甚至也可能威脅到其他法益。

此外，筆者考察了近年的300份相關判決，其中判決內容對公民個人信息有明確描述或根據判決全文可判斷個人信息類型的判決共207份。在該207份判決中，有206份明確涉及典型的可直接識別特定個人身份的個人信息，如姓名、身份證號、電話號碼或住址等。可見，我國目前司法實踐對公民個人信息的界定也印證了筆者的這一觀點。

因此，筆者認為，只有出售或提供的公民個人信息屬于可直接識別特定個人身份的公民個人信息才會對侵犯公民個人信息罪所保護的法益造成侵害或威脅，出售或提供公民個人信息中“公民個人信息”的范疇應限縮為可直接識別特定個人身份的公民個人信息。

（二）將犯罪目的作為必要要件

由于個人身份信息仍然具有社會性和公共性，可直接識別特定個人身份的公民個人信息的流通仍然是社會運行不可缺少的環節，所以簡單地將出售或提供可直接識別特定個人身份的個人信息的行為入刑，在保護個人尊嚴和個人自由的同時，可能妨礙個人信息的正當流通和使用。因此，作為社會行為最嚴厲的禁止性規范，刑法必須給出明確的限定，懲治那些嚴重危害個人尊嚴和自由的行為，而給正當個人信息流通和使用留下空間。就買賣或提供行為而言，其行為的性質顯然取決于其目的。因此，筆者認為，應將犯罪目的作為侵犯公民個人信息罪的必要要件，即將《刑法》第253條之一中“向他人出售或者提供公民個人信息”改為“以非法目的向他人出售或者提供公民個人信息”。

基于不同的目的，出售或提供可直接識別特定個人身份的公民個人信息所產生的社會危害性具有本質差異。基于正當的目的，如企業間信息共享，在不同主體之間出售或提供可直接識別特定個人身份的公民個人信息，如果保護措施不當，也可能會對相關信息主體的個人隱私、個人尊嚴造成不必要的侵害或威脅。在該情況下，信息主體的隱私等人格利益完全可以通過民事法律途徑予以救濟，使得信息主體因侵犯隱私、人格尊嚴所受損失得到恢復或補償，無須動用刑法來保護信息主體。因為在民事救濟中，允許司法裁量在個人尊嚴和自由的法益（個人利益）與個人信息自由流通（代表著公共利益）之間進行平衡，作出恰當的責任分配。相反，如果行為人基于詐騙或幫助他人詐騙等非法目的出售或提供可直接識別特定個人身份的公民個人信息，公民個人的人格尊嚴與自由勢必完全遭到侵害，不僅如此，該出售或提供行為進一步加大了對公民人身安全、財產利益的威脅。因此，基于非法目的的出售或提供行為才具有刑法意義上的實質違法性，也只有基于非法目的的出售或提供行為才有必要動用刑法進行規制。

結論

侵犯個人信息罪填補了我國個人信息刑法保護的空白，為公民個人隱私、人格尊嚴與個人自由提供了更加強有力的保護，體現了國家對人權的重視與保障。但在打擊侵犯個人信息行為的同時，要保障和引導個人信息的有序利用和自由流通，平衡公民個人利益的保護與信息產業的發展，發揮個人信息在經濟、科技、文化等領域的促進作用。鑒于此，刑法一方面要發揮其威懾和教育的作用，通過適當的法定刑讓從事侵犯個人信息犯罪的行為人獲得應有的懲罰；另一方面，刑法應保持其明確性和謙抑性，這樣才能避免不當地阻礙了新生事物對社會發展的促進作用。而目前侵犯公民個人信息罪的法定最高刑相對較低，“情節嚴重”的情況，法定最高刑只有三年；“情節特別嚴重”的情況，法定最高刑為七年。筆者認為，這樣相對較低的法定刑，并沒有給犯罪分子足夠的威懾力，無法有效遏制犯罪；同時，由于侵犯公民個人信息罪的構成要件過于簡單，實踐中哪些行為構成犯罪不明確，無形中增加了合法利用個人信息的行為人的刑事風險，阻礙了社會對個人數據的充分利用。 本文認為，只有出售或提供可直接識別特定個人身份的公民個人信息行為才具有實質違法性，應受刑罰處罰，同時應將“以從事違法活動或侵害個人權益活動為目的”作為出售或提供個人信息行為構成犯罪的要件。一旦這樣的建議得到采納，我們還可以考慮提高刑罰的力度，提高法定最高刑，或者明確罰金數量。如此，既滿足侵犯公民個人信息罪的立法目的，也有利于保障個人信息的自由流通，推動信息產業的發展，釋放數據紅利。

（高富平系華東政法大學法律學院教授，王文祥系華東政法大學民商法專業碩士生；摘自《政治與法律》2017年第2期；本文系國家社科基金重大項目“信息服務和信息交易法律制度研究”的階段性成果；原題為《出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護的法益為視角》）