侵犯公民个人信息罪【争议焦点】探析

自2009年2月《刑法修正案（七）》增设侵犯公民个人信息犯罪以来，各级公检法机关依据修正后刑法的规定，坚决依法惩处侵犯公民个人信息犯罪活动，取得了明显成效。2017年5月，最高人民法院、最高人民检察院联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号，以下简称《解释》），在明确侵犯公民个人信息犯罪定罪量刑标准的基础上，对有关法律适用问题作了专门规定。然而，《解释》自2017年6月1日起施行以来，侵犯公民个人信息罪的司法适用仍存在一些法律适用难题，个别问题甚至争议较大。基于此，本文以2009年2月至2017年12月间人民法院审理侵犯公民个人信息刑事案件的情况为基础，对侵犯公民个人信息罪的司法适用态势进行总结分析，并对相关争议焦点问题进行探讨分析。

一、侵犯公民个人信息罪的司法适用态势

2009年2月至2017年12月间，全国法院新收侵犯公民个人信息刑事案件3086起，审结2826起，生效判决人数4942人。概括而言，侵犯公民个人信息罪的司法适用呈现出如下几个特点。

（一）侵犯公民个人信息刑事案件增长明显

综观2009年2月以来的情况，适用《刑法》253条之一的案件数，历经了飞速增长的过程。大体而言，可以划分为如下3个阶段。1.2009年2月至2015年10月，全国法院新收出售、非法提供公民个人信息、非法获取公民个人信息刑事案件988起，审结969起，生效判决人数1415人。其中，新收出售、非法提供公民个人信息刑事案件101件，审结98件，生效判决人数142人；新收非法获取公民个人信息刑事案件887件，审结871件，生效判决人数1273人。2.2015年11月至2017年5月，全国法院新收侵犯公民个人信息刑事案件（含出售、非法提供公民个人信息、非法获取公民个人信息刑事案件）952件，审结814件，生效判决人数1295人。3.2017年6月至2017年12月，全国法院新收侵犯公民个人信息刑事案件1146件，审结1043件，生效判决人数2232人。

侵犯公民个人信息刑事案件迅速增长，原因可以概括为如下几点。

1.社会各方对公民个人信息泄露高度关注，打击非法获取、出售、提供公民个人信息违法犯罪，已经成为社会共识。

2.《刑法修正案（九）》的施行是侵犯公民个人信息刑事案件明显增长的一个关键时间点。可以说，《刑法修正案（九）》对刑法第253条之一作出修改，特别是扩大犯罪主体的范围和提升刑罚配置水平，切实加大了对侵犯公民个人信息犯罪惩治力度。

3.《解释》的施行是侵犯公民个人信息刑事案件明显增长的另一个关键时间点。《解释》根据法律规定和立法精神，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，为惩治该类犯罪提供了有效法律武器，对于案件的增长发挥了至关重要的作用。

4.公安机关对侵犯公民个人信息犯罪的打击力度不断加大。2017年以来，公安部组织全国公安机关深入推进打击网络侵犯公民个人信息犯罪专项行动，侦破了一批大要案件。据统计，截至2017年12月20日，全国公安机关当年累计侦破侵犯公民个人信息案件4911起，抓获犯罪嫌疑人15463名，打掉涉案公司164个。

（二）侵犯公民个人信息刑事案件地域分布不均衡

从地域分布来看，侵犯公民个人信息犯罪案件明显存在相对集中的特点。以2017年为分析样本，全国法院审结侵犯公民个人信息刑事案件1393件，其中半数以上的案件集中于江苏、浙江、广东、上海、福建。据统计，江苏审结238件，位居全国首位；浙江、广东、上海、福建分别审结155件、136件、117件、100件。

侵犯公民个人信息刑事案件相对集中于部分省市、特别是东部地区的现象，主要在于相关省市公安机关、特别是公安网安部门打击力度较大。特别是，相关省市公安网安部门将侵犯公民个人信息犯罪与危害计算机信息系统安全犯罪一起作为网警办理刑事案件的主要考核指标，客观上促使地方公安网安部门积极寻找线索，深挖链条，有力打击该类犯罪。

（三）侵犯公民个人信息的刑罚力度不断加大

在《刑法修正案（九）》施行前，《刑法》253条之一只配置了一档法定刑，即“处三年以下有期徒刑或者拘役，并处或者单处罚金”。《刑法修正案（九）》增加配置了一档法定刑，即“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。在《刑法修正案（九）》施行后，特别是《解释》施行后，对该类犯罪的刑罚力度明显加大。例如，2017年，侵犯公民个人信息罪的生效判决人数为2920人，其中判处3年以上有期徒刑的人数为917人。

究其原因，这与《解释》明确了侵犯公民个人信息罪“情节特别严重”的具体情形直接相关。特别是，《解释》规定非法获取、出售或者提供非敏感公民个人信息达到5万条以上的，即应当升档量刑。而从实践来看，该类案件往往涉案的公民个人信息数量较大，不少超过了5万条。

概而言之，侵犯公民个人信息罪的司法适用成效十分明显，充分发挥了强化公民个人信息的保护，维护人民群众个人信息安全以及财产、人身权益的重要作用，应当充分予以肯定。然而，从实践来看，当前公民个人信息的保护还存在一些亟须解决的问题。

1.“刑法先行”的现象亟待克服。一般认为，侵犯公民个人信息罪系行为犯，理想的状态应当是先有前置法律法规，后由作为“其他部门法的保障法”的刑法加以规制。然而，就公民个人信息领域而言，刑法先于其他部门法明确了公民个人信息犯罪的界限，而后才有对网络公民个人信息保护作出集中规定的《网络安全法》自2017年6月1日起施行，但专门的公民个人信息保护法迄今尚未出台。通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延，是不得已而为之的举措，但并非上策。刑法只能治标，尚难治本。而且，当前侵犯公民个人信息罪的司法适用存在相当争议，不少与缺乏前置的公民个人信息保护规范直接相关。当下，应当尽快推进公民个人信息保护法的制定，构建起公民个人信息民事、行政、刑事的全方位保护体系，推进公民个人信息违法犯罪的系统治理。

2.“重打击、轻管理”的现象亟待解决。运用刑法这一最为严厉的手段保护公民个人信息，是我国在公民个人信息保护领域的充分尝试。但是，与公民个人信息保护发达的国家相比，我国关于公民个人信息的收集、保存、流转、使用等方面的管理亟须加强，特别是要严防内部人员非法出售、提供公民个人信息，切实防止公民个人信息泄露事件的发生，有效切断侵犯公民个人信息犯罪的“源头”。

3.刑法适用的平等性亟待增强。长期以来，侵犯公民个人信息罪的惩治对象主要是自然人，单位、特别是规模以上单位成为该类犯罪主体的现象并不多见。就此而言，存在两个方面的突出问题：

一是个别规模以上单位、特别是互联网企业非法获取、出售、提供公民个人信息仍呈“有恃无恐”的现象，亟待法律、特别是刑事法律的规制。实际上，只有有效规制规模以上单位关于公民个人信息的收集和使用，才能确保公民个人信息保护落到实处、见到实效。因此，未来侵犯公民个人信息犯罪的惩治能否向纵深推进，加大对规模以上单位侵犯公民个人信息违法犯罪的查处力度，确保法律适用的平等性，值得进一步观察。

二是有关单位掌握海量公民个人信息，但保护公民个人信息的职责并没有完全落到实处，造成公民个人信息泄露事件时有发生。对此，《解释》第9条规定：“网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照刑法第二百八十六条之一的规定，以拒不履行信息网络安全管理义务罪定罪处罚。”未来，这一条文的适用尚待观察。

二、“公民个人信息”的范围

《解释》第1条规定：“刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”然而，从司法实践来看，在具体案件中仍然存在对于“公民个人信息”认定的争议，集中表现为公民个人信息的主体是否限于中国公民、公民个人信息是否包括公开信息、公民个人信息的关联程度如何判定等3个方面的问题。

【案例1】

行为人将其从他人手中获取的国外邮箱账号及密码，在互联网上通过微信群对外出售，违法所得达到数万元。经验证，可以正确登陆的邮箱账号密码达到数万组。

案例1的主要争议问题在于，对于刑法第253条之一的“公民个人信息”的主体如何把握，是限于中国公民，还是包括外国公民在内。对此，笔者主张，对“公民个人信息”的主体范围应采取相对宽泛的理解，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的信息。

在此，有必要再强调两点：第一，刑法的相关用语，如果对主体有限制的，通常会有明确规定。例如，侮辱国旗、国徽罪对象限制为中国的国旗、国徽，而不包括外国的国旗、国徽，故刑法第299条将对象明确规定为“中华人民共和国国旗、国徽”。因此，由于刑法第253条之一规定的对象为“公民个人信息”，而非“中华人民共和国公民个人信息”，故不应将侵犯公民个人信息罪的对象限制为中国公民的个人信息。第二，对于涉外国公民个人信息的案件，适用我国刑法第253条之一的前提是我国享有刑事管辖权。就案例1而言，行为人实际上是在中华人民共和国领域内实施侵犯外国公民个人信息犯罪，自然应当适用我国刑法第253条之一的规定。

【案例2】

行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息，包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库，供他人付费查询使用。

案例2的主要争议问题在于，公开的公民个人信息是否属于刑法第253条之一规定的“公民个人信息”的范畴，非法获取、出售或者提供此类公民个人信息的，是否构成侵犯公民个人信息罪？对此，笔者认为，《解释》第1条没有采用“涉及个人隐私信息”的表述，而是表述为“反映特定自然人活动情况的各种信息”。因此，公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开，不属于个人隐私的范畴，但仍有可能成为“公民个人信息”。然而，相关公民个人信息既然已经公开，获取行为无疑是合法的，但后续出售、提供的行为是否合法，则不应一概而论，宜区分情况作出处理。

其一，对于权利人自愿公开、甚至主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，目前不宜以侵犯公民个人信息罪论处。主要考虑如下。

1.关于公民个人信息的权利属性，存在不同看法。但一般认为，公民个人信息一定程度上是从隐私权中分离出来的权利。特别是在我国，以往对公民个人信息的界定直接采用了“涉及个人隐私”的表述。因此，侵犯公民个人信息罪所保护法益的重要方面应当为隐私和生活安宁。由于行为人自愿公开、甚至主动公开相关个人信息，将其获取后并出售或者提供的行为，通常不会对权利人的隐私和生活安宁造成侵犯，不宜适用侵犯公民个人信息罪。特别是，有些情形下行为人希望相关信息传播，如涉及公民个人信息的广告信息和商贸信息，将其认定为犯罪明显违背一般人的认知。

2.根据刑法第253条之一的规定，向他人出售或者提供公民个人信息构成侵犯公民个人信息罪，须以“违反国家有关规定”为前提。然而，对于权利人自愿公开、甚至主动公开的公民个人信息，经整理后（未形成新的信息内容）向他人提供的行为，是否可以推定被收集者存在概括同意，从而无须就出售或者提供行为再次获得被收集者同意，实践中存在不同认识。笔者认为，关于公开公民个人信息获取后出售或者提供的行为，是否需要权利人“二次授权”，目前我国相应的法律法规和部门规章缺乏明确规定。在此背景下，除相关权利人要求“二次授权”的外，宜推定存在概括同意，不宜对收集后出售或者提供的行为要求“二次授权”，也就不应认为行为人出售或者提供公民个人信息的行为系“违反国家有关规定”。

3.当前，我国侵犯公民个人信息违法犯罪泛滥，公民个人信息保护水平整体不高。在此背景下，对侵犯公民个人信息罪的适用应当主要以涉侵犯未公开的公民个人信息案件为重点，切实加大对公民个人信息的刑事保护水平。否则，由于涉出售或者提供公开公民个人信息的案件侦办难度相对较小，公安机关可能以此类案件为打击重点，反而会造成对未公开的公民个人信息刑事保护的不力，长此以往，可能会偏离侵犯公民个人信息罪的立法旨趣和修法精神。

其二，对于行为人非自愿公开或者非主动公开的公民个人信息，行为人获取相关信息后出售、提供的行为，可以根据情况以侵犯公民个人信息罪论处。实践中，有些公开信息并非权利人自愿公开，如个人信息被他人通过信息网络或者其他途径发布；有些信息并非权利人主动公开，如有关部门为救济、救助或者奖励而公示的公民个人信息；有些信息的扩散并非权利人的意愿，如权利人发现个人信息被收集后主动要求行为人删除。上述情形中，获取相关信息的行为可以认定为合法，但后续的出售或者提供行为明显违背了权利人意愿，对其个人隐私和生活安宁造成侵犯，对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。

【案例3】

行为人系医药代表，基于对医生给予回扣的目的，从医院计算机主管处非法获取了有关病床使用其负责销售的药品情况。相关信息只涉及病床号（相应病床由特定医生负责）和使用特定药品情况，无病人姓名、身份证号等其他个人信息。

案例3的主要争议问题在于如何认定公民个人信息的可识别性。根据《解释》第1条的规定，公民个人信息须与特定自然人关联。申言之，可以识别特定自然人身份或者反映特定自然人活动情况，这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人的活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。需要注意的是，除了身份证号等极个别个人信息外，其他个人信息难以与公民个人身份或者活动情况一一对应，无法单独识别特定自然人。因此，无论是识别特定自然人身份，还是反映特定自然人的活动情况，都应当是能够单独或者与其他信息结合所具有的功能。然而，对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些可以纳入“公民个人信息”的范畴，即公民个人信息所要求的可识别性程度，实践中又存在不同认识。本案即是适例。

对此问题，笔者认为，在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时，可以从信息本身的重要程度、需要结合的其他信息的程度、行为人主观目的等3个方面加以判断。按照上述原则，笔者认为案例3所涉信息不宜纳入“公民个人信息”的范畴。主要考虑如下。

1.该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大，敏感性程度较低，将其认定为公民个人信息宜从严把握。

2.该案涉及的病床号、用药情况等信息无法直接识别特定自然人，需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人。

3.从行为人的主观目的来看，其就是想获取特定病床号的用药情况，至于该病床所关联的具体自然人并非其主观所追求的。

三、敏感公民个人信息的具体认定

基于不同类型公民个人信息的重要程度，《解释》第5条分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。从司法实践来看，在具体案件中仍然存在对于相关数量标准适用的争议，集中表现为敏感信息的认定问题。在展开具体案例讨论之前，有必要强调的是，对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准，就在于敏感信息涉及人身安全和财产安全，其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。

【案例4】

行为人设立钓鱼网站，获取了他人的12306账户名和密码，进而获取了他人的火车票信息。火车票载明了姓名、车次、时间、起始站点等信息。

案例4的主要争议问题在于如何把握“行踪轨迹信息”的范围。从实践来看，行踪轨迹信息系直接涉及人身安全的公民个人信息，敏感程度最高。从交易价格来看，行踪轨迹信息通常是最为昂贵的信息类型。因此，《解释》第5条明确规定非法获取、出售或者提供行踪轨迹信息50条以上的，即构成犯罪。鉴于行踪轨迹信息的入罪标准已极低，实践中宜严格把握其范围，只宜理解为GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。对于虽然也涉及公民个人轨迹的其他信息，通常不宜纳入其中。实践中不妨以信息的交易价格情况作为参考，判断是否可以纳入“行踪轨迹信息”的范畴。就案例4而言，行为人获取他人火车票信息后，可以根据火车票载明的信息判断出他人的行踪情况，但根据前述原则，不宜将其认定为《解释》所称的“行踪轨迹信息”。

【案例5】

行为人从车辆管理机构工作人员处非法购买车辆信息，具体涉及车主、车辆型号、发动机号、联系电话等信息。行为人购买上述信息后，拨打车主电话推销车辆保险。

案例5的主要争议问题在于如何把握“财产信息”的范围。财产信息包括存款、房产等财产状况信息，对此应无疑义。本案中，行为人获取的车辆信息已较为具体，通常认定为“财产信息”亦无不当。但是，综合考虑本案的具体情况，笔者还是主张将相关信息不认为“财产信息”。主要考虑如下。1.如前所述，鉴于涉敏感信息的案件入罪门槛低，应当采用严格适用的立场，以控制打击面。2.犯罪应当是主客观相统一的产物，坚持主客观相统一原则是刑法适用的基本要求。本案中，行为人获取的车辆相关信息确实较为具体，符合“财产信息”的一般特征，但行为人的主观目的就是为了推销车辆保险，并非用于实施针对人身或者财产的侵害行为，故对其适用一般公民个人信息的入罪标准更为妥当。

四、“违法所得”与“获利”的合理界分

鉴于非法出售、提供公民个人信息往往为了牟利，《解释》第5条明确规定违法所得5千元以上的构成“情节严重”；违法所得5万元以上的，构成“情节特别严重”。此外，《解释》第6条针对为合法经营活动购买、收受公民个人信息的情形，专门规定利用非法购买、收受的公民个人信息获利5万元以上的，构成“情节严重”。从司法实践来看，具体案件中对“违法所得”与“获利”的认定存在较大争议。

【案例6】

行为人花费5千元购买公民个人信息，进而进行了加工整理。此后，行为人将上述公民个人信息以8千元的价格出售给他人。

案例6的主要争议问题在于违法所得是否需要扣除成本的问题。这并非侵犯公民个人信息犯罪所特有的问题，在其他刑事案件中同样存在。对此，有观点认为违法所得应当扣除5千元的购买成本，即认定为3千元；有观点则认为违法所得不应当扣除5千元的购买成本，即认定为8千元。笔者赞同后一种观点，即对于此处的“违法所得”不应扣除成本。主要考虑如下。

1.刑法中的“违法所得”，一般是指犯罪分子因实施违法犯罪活动而取得的全部财物。本案中，行为人非法出售公民个人信息，获得了8千元的对价，将其认定为违法所得，并无不妥。

2.从以往司法解释、规范性文件的规定来看，对于实践中需要资质的经营活动，行为人由于缺乏资质而构成非法经营罪等犯罪的，通常会区分“违法所得数额”与“非法经营数额”。此种情形下，自然不应将二者混同，对于违法所得数额的认定当然应当扣除成本。然而，对于实践中根本不允许存在的活动，构成相应犯罪的，通常只有“违法所得”而非“非法经营数额”的标准。对于后一种情形，则不应当再扣除成本。非法出售、提供公民个人信息即是适例，其本身就是法律所禁止从事的活动，不存在合法经营的情形，故《解释》只设置了“违法所得”标准。按照上述原则，对于此处的“违法所得”不应再扣除成本。

【案例7】

行为人合法开办企业后，为了进行广告推销，花费5千元购买电话号码等个人信息。至案发时，行为人开办的企业收入10万元。

案例7的主要争议问题在于获利数额是否需要扣除成本的问题。笔者主张，对于《解释》第6条规定的“获利”数额不宜与第5条规定的“违法所得”数额混为一谈，前者应当扣除成本。主要考虑如下。

1.《解释》第6条之所以对为合法经营活动购买、收受公民个人信息规定定罪量刑的特殊标准，就在于该类情形较为普遍，且社会危害性相对较小，故在具体适用刑法时应秉持谦抑，体现宽严相济。因此，在适用“利用非法购买、收受的公民个人信息获利五万元以上”规定时，自然应当体现控制打击面的精神。

2.实践中，合法经营活动的获利情况十分复杂，有利用非法购买、收受的公民个人信息的因素，也有行为人合法经营的因素。在此背景下，自然不宜不扣除成本计算获利数额。

五、公民个人信息数量计算的细节把握

《解释》第11条明确了涉案公民个人信息的数量计算规则，特别是第3款确立了批量公民个人信息的数量认定规则。这对于方便司法实务操作，便利相关案件的办理发挥了重要作用。但是，从实践情况来看，以下问题值得关注。

第一，一条公民个人信息的认定，应当综合考虑实践交易规则和习惯。例如，一条信息中涉及多个个人信息的，如家庭住址、银行卡信息、电话号码，如果是按照一条公民个人信息来交易的，则往往会认定为一条公民个人信息。由于实践中对此并无太大争议，故《解释》未再专门明确一条公民个人信息的认定规则，实践中可以沿用上述做法。此外，需要注意的是，有些情形下“一条”公民个人信息应当理解为“一组”公民个人信息。例如，公民个人的银行账户、支付结算帐户、证券期货等金融服务账户的身份认证信息，应当理解为一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等，而非单个数据。

第二，对于敏感公民个人信息不宜适用《解释》第11条第3款的规定，而应当逐一认定。主要考虑如下。1.从司法实践来看，一般公民个人信息的价格相对较低，甚至不会按条计价，故要求逐一认定不具有可操作性；而公民个人敏感信息价格通常较高，通常按条计价，逐条认定不存在难题。2.涉敏感信息的案件入罪标准较低，50条或者500条即达到入罪标准。为此，对于此类案件要求逐一认定敏感信息的数量，对于确保定罪量刑的准确，完全必要。

第三，对于批量公民个人信息可以适用《解释》第11条第3款的规定，即根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。需要注意的是，推定规则并不意味着举证责任的倒置，公诉机关仍然承担对公民个人信息数量的举证责任。基于此，对于批量公民个人信息仍然应当要求作去重处理，对于明显重复的信息应当予以排除。这从技术角度并不存在难题，且对于确保案件的质量大有裨益。