原创|互联网环境下侵犯公民个人信息犯罪问题辨析

内容提要：2015年《刑法修正案(九)》将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合成“侵犯公民个人信息罪”，扩大了犯罪主体的范围并提升了法定刑配置。根据修改后的刑法规定，两高发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号，以下简称《解释》)，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，完善了公民个人信息保护，但在理论与司法实践中关于侵犯公民个人信息犯罪的理解与适用仍存在争议，需要进一步加以分析。本文围绕侵犯公民个人信息犯罪的行为与对象等方面进行评析，希望更加清晰的界定罪与非罪的界限，并对金融机构提出建议。

关 键 词：刑法修正案九  侵犯公民个人信息  罪与非罪  数罪并罚  防范措施

公民个人信息数据泄露事件屡见不鲜，2018年1月5日新华社郑州报道称：中国人民银行郑州中心支行向社会公布的行政处罚信息显示，自2017年11月6日至12月底不到两个月的时间内，因涉及过失泄露信息等违规行为，河南辖内47家金融机构受到行政处罚，罚款金额达716万元。被处罚的违规机构涵盖各类金融机构，既包括四大国有银行，民生、光大、广发、中信、浦发等5家全国股份制银行，也包括21家地方农商行和农信社、7家村镇银行以及中原银行、平顶山银行等2家城商行;同时还包括6家保险公司、1家资产管理公司和1家涉及金融服务的网络科技公司。由此可见，金融机构信息泄露问题的严重性，笔者认为这一方面是因为金融机构缺乏保护公民个人信息的意识，另一方面是相关法律法规对公民个人信息的保护力度和侵犯公民个人信息的惩罚力度不足。因此有必要再次审视有关公民个人信息的法律法规。

我国于2009年通过的《刑法修正案(七)》首次规定了侵犯公民信息的罪名，2015年《刑法修正案(九)》将其修改，将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合成“侵犯公民个人信息罪”，扩大了犯罪主体的范围并提升了法定刑配置。根据修改后的刑法规定，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号，以下简称《解释》)，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，完善了公民个人信息保护，但在理论与司法实践中关于侵犯公民个人信息犯罪的理解与适用仍存在争议，需要进一步加以分析。

(一)我国《刑法》第二百五十三条规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

“单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

(二)《解释》对于“国家有关规定”、“公民个人信息”、“出售、提供公民个人信息”、“非法获取”和“情节严重”作出了较为详细的规定，笔者将在下文展开论述。

《解释》第1条规定：“‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”可见，《解释》认定的“公民个人信息”包括身份识别信息和特定自然人的活动情况信息。同时，笔者检索到7例最高法院典型案例，发现从信息内容来看，包括个人征信信息、行踪信息、住宿信息、户籍信息、网购订单信息、学生信息等。

1.公民个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性

经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人的活动情况，但与特定自然人无直接关联，不属于公民个人信息的范畴。与特定自然人关联，既可以是识别特定自然人身份，也可以是反映特定自然人的活动情况。需要注意的是，无论是识别特定自然人身份，还是反映特定自然人的活动情况，都不应要求是相应个人信息单独所具有的功能。

对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些可以纳入“公民个人信息”的范畴，必然会存在较大的认识分歧。喻海松法官认为在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时应当注意以下几点:一是需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高，需要结合的其他信息相对较少，则认定为“公民个人信息”的可能性较大;反之，如果需要结合的其他信息过多，则认定为“公民个人信息”的可能性较小。二是信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关，敏感程度较高，则对于此类信息在认定是否属于“公民个人信息”时，可以采取相对从宽的标准。三是行为人主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况，则此类部分关联信息原则上不宜认定为“公民个人信息”。

2.第二，公民个人信息的主体不限于中国公民，应涵盖外国人、无国籍人，但不包括单位

从本罪罪名来看，侵犯公民个人信息罪中的“公民”是否仅限于我国公民?换言之，外国人(包含具有外国国籍的公民和无国籍人)的个人信息是否属于本罪的保护范围。相关法律并未明确公民的范围，因此笔者认为不应该局限于中国公民，理由如下：

(1)对于刑法规范用语，不应故意缩小适用范围。刑法第253条的用语是“公民个人信息”，并未限定为“中华人民共和国公民的个人信息”，因此不应将此处的“公民个人信息”限制为中国公民的个人信息。

(2)外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护，否则就会出现对外籍人、无国籍人个人信息保护的缺失，而这显然是不适当的。从个人信息的刑法保护角度而言，我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人，一视同仁地提供刑法的保护，不主张有例外。

(3)从司法实践来看，将大量外籍人、无国籍人个人信息排除在刑法保护之外，无疑会放纵犯罪。特别是在侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息，也有外国公民、无国籍人的个人信息时，只处罚涉及我国公民个人信息的部分，既不合理，也难操作。

笔者赞同不能将单位纳入“公民”涵盖的范围之内的观点，理由是：首先本罪的法益为公民个人信息权，是一种体现人格尊严和人格自由的新型人格权。在民法领域，法人无人格权是基本共识。人格权是一个历史性的概念，保护的是专属于自然人人格所具有的伦理性要素。而法人的名誉权、名称权等并无精神上的利益，本质上是一种财产权，不具有专属性，所以法人无人格权;其次，本罪的罪名是“侵犯公民个人信息罪”，“个人”与“单位”是完全互斥的两个概念，无论作怎样的扩大解释，都不可能将“单位”解释到“个人”涵括的范围之内;再次，单位不享有个人所具有的信息自由、安全权和隐私权，从法律上分析，绝大多数信息自由、安全权和隐私权均是产生于个人人格权，而单位又不具有个人人格权，因而单位也就不可能具有这些只有个人才有的信息权。相反，有时甚至还需要承担信息公开的义务。例如，上市公司有依照法定方式公开其经营状况或者有可能影响股票价格的信息的义务。最后，正如刘宪权教授所言，虽然单位也具有一定范围刑法需要保护的信息权，例如，单位所具有的“商业秘密”、“商业信誉”和“商品声誉”权等，但是对于侵犯单位有关商业秘密、商业信誉和商品声誉等信息权，完全可以侵犯商业秘密罪和损害商业信誉、商品声誉罪等罪名追究相关行为人的刑事责任。

对此问题，笔者最近检索到一个相关案例，以下将做简单分析。

被告人李某自2016年起，在网上通过QQ、微信等方式向他人贩卖公民个人信息。2017年3月，刘某、黄某向李某购买公民个人信息用于犯罪，李某向此二人贩卖公民个人信息777313条，在缴获的李某的电脑内查获167354条公民个人信息。

广东省深圳市罗湖区人民法院经审理认为，被告人出售的信息中含有公司名称、法定代表人姓名、手机号码、公司地址、经营范围、注册资金、所属行业、企业类型等，属于能够单独识别特定自然人身份的信息，该类信息属于公民个人信息。被告人未经被收集者同意，将合法收集的公民个人信息出售给他人，情节特别严重，构成侵犯公民个人信息罪。被告人构成坦白，可从轻处罚。判处被告人有期徒刑四年，并处罚金人民币4万元。被告人不服提出上诉。

广东省深圳市中级人民法院经审理认为，企业根据法律法规规定或为经营所需而公开的企业信息，即使包含了个人姓名、联系方式，亦不属于刑法意义上的公民个人信息，原审认定该类信息属公民个人信息有误。本案被告人使用计算机软件收集信息，该软件是否具备非法窃取功能并未查明，导致查获的个人信息是否均为企业公开信息的事实不清。遂以事实不清，适用法律错误为由，裁定撤销原判，发回重审。

本案被告人利用特定软件收集互联网中包含自然人姓名及联系方式的企业信息，并将该信息出售给他人，该行为如何定性?目前有三种观点，第一种观点认同原审意见，李某利用软件在网络中搜索包含自然人姓名及联系方式的企业信息，属合法收集公民个人信息，但其未经被收集者同意，将合法收集的公民个人信息出售给他人，构成侵犯公民个人信息罪;第二种观点认为，被告人收集、出售的信息不属于刑法意义上的公民个人信息，被告人不构成侵犯公民个人信息罪。根据原审查明的事实，被告人收集的对象是企业在互联网中公开的包含自然人姓名及联系方式的企业信息，该类公开的企业信息中包含自然人姓名及联系方式或者为符合法律规定，或者是经营所需，该自然人信息应从属于企业信息范围，不存在法益保护的需要，应属于刑法规定的公民个人信息的例外;第三种观点认为，企业信息中公开的自然人姓名及联系方式不构成刑法上的公民个人信息，但本案还存在事实不清的问题。本案被告人利用计算机软件收集信息，该软件的搜索范围是否仅限于互联网中依法公开的企业信息并不明确。如果该软件还具备非法侵入、窃取功能，则表明本案收集的自然人姓名及联系方式可能是窃取得来，窃取得来的自然人身份信息，当然不是企业依法或为经营主动公开的企业信息，该自然人信息就属于刑法保护的公民个人信息，被告人收集、出售该类信息，构成侵犯公民个人信息罪。故应撤销原判，将案件发回重审。

我国刑法第二百五十三条规定了侵犯公民个人信息罪，将违反国家有关规定，向他人出售或者提供公民个人信息，或者窃取或者以其他方法非法获取公民个人信息的行为，均纳入了刑法规制的范围。从侵害对象看，行为对象必须是公民个人信息，如果是商业秘密则可能构成侵犯商业秘密罪，而涉及其他刑法予以保护的数据则应根据相应的刑法规范予以评价。但如果刑法没有规定为犯罪的，则不构成任何犯罪。因此，对于侵犯公民个人信息的犯罪案件，应该把握好行为与对象两个关键，并围绕这两个方面进行审理。本案被告人收集并出售对象是包含了部分自然人信息的企业信息，如何认定该对象的性质直接关系到本案罪与非罪及审理思路，显得尤为重要。由此引出了本案值得关注讨论的问题即如何理解认定企业信息中依法或者为经营公开的自然人信息?

刘宪权教授认为侵犯公民个人信息罪所侵害的法益是公民个人的信息自由、安全权和隐私权。在这些公民个人信息权益中，除涉及隐私权的信息不存在依法公开的问题外，其他已经被依法公开的个人信息不应当被纳入侵犯公民个人信息罪的对象中。理由是，依法公开的公民个人信息，意味着任何人都可能或有权利获取，此时的获取或提供不会违反国家规定，相关行为也就不可能具有非法性。但是，应当注意的是，对于非法“公开”的公民个人信息，如果行为人的获取或提供行为违反了国家规定，则仍然有可能构成侵犯公民个人信息罪。笔者赞同“依法公开的个人信息”不属于刑法253条规定的“侵犯公民个人信息犯罪”的对象。企业公开的法人信息，是一种符合法律规定的市场自愿行为，因此收集此信息的行为不具有非法性。

根据《刑法》第253条之一的规定，侵犯公民个人信息罪是指违反国家有关规定，向他人提供、出售公民个人信息或者以窃取等非法方式获取公民个人信息的行为。准确理解和认定“违反国家规定”“提供、出售公民个人信息”和“非法获取公民个人信息”等客观行为的实际内容，对于本罪的司法认定无疑具有重要意义。

《解释》第2条规定违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为刑法第二百五十三条之一规定的“违反国家有关规定”。该规定明确排除地方性法规、政府规章等，限定只有以上三种规定。因此，如果行为人未违反以上三种规定，则不应被认定为侵犯公民个人信息罪，因为违反国家有关规定是一个前置性条件。

出售，是指有偿转让，刑法上有偿转让的对象一般是指财产和财产性利益。前者如金钱和物品，后者债务免除等可折算为货币的物品，及需要支付货币才能获得的利益，如会员服务。将作为“出售”公民个人信息交换对象的财物解释为包含财产性利益在内，没有超出口语的范围和国民的预测可能性，不是类推。然而，若把交换对象进一步扩大到非财产性利益，就不能认定是该类行为方式中的“出售”，否则将违背民众能够接受的“出售”的射程，而应当属于本条规定的“提供”。

提供的日常含义为供给，包含无偿提供和有偿提供。在我国刑法分则中，提供包含两种意义，一是把“物”这种犯罪对象供给他人，二是将“信息”告诉他人，使没有权限的他人知悉。而提供信息显然属于后一种。但提供究竟是无偿还是有偿?有偿提供是否等同于“出售”?这些都需要予以明确。笔者认为，提供应当包含有偿与无偿两种方式，其一，如果可谴责性较轻的无偿提供行为受到刑法规制，举轻以明重，那么有偿提供行为自然不能成为刑法处罚的例外;其二，有偿提供是不同于出售的，因为出售仅包含财物或财产性利益为交换对象的行为，而现实中非财产性利益为交换对象提供公民个人信息的行为是可能存在的，例如提供公民个人信息换取性服务的行为，由于性服务不能解释为财物或财产性利益，进而该行为不能被认定为出售。如果提供仅仅指无偿提供的话，将造成处罚的空隙。因此有必要将提供与出售同时规定在一个法条中。

同时，《解释》第3条规定了两种“提供行为”，其一，向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的“提供公民个人信息”，这一般被认为是“一对一”和“一对多”的方式，通过信息网络或者其他途径予以发布，实际是向不特定多数人提供公民个人信息，向特定人提供公民个人信息的行为属于“提供”，基于“举轻明重”的法理，前者更应当认定为“提供”;其二，未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的“提供公民个人信息”，但是经过处理无法识别特定个人且不能复原的除外。针对第二种“提供行为”，笔者检索了相关典型案例，以助加深理解。在“李某某等人侵犯公民个人信息案”中，犯罪嫌疑人李某某利用在某证券公司上班时的便利以及使用软件和论坛下载保存下来的大量各类公民个人信息，伙同孙某某、曾某某和袁某某，在网上销售信息，买家通过支付宝、微信、QQ红包等方式付款，收到付款后将买家所需要的公民个人信息通过网络传送给买家。截至目前，4人共售出公民个人信息500余万条，非法获利5万余元，属于刑法第二百五十三条之一规定的“提供公民个人信息”。

(三)窃取或者以其他方法非法获取型行为认定

对“非法”二字的含义，可以根据体系解释的原理进行确定。“法律条文只有当它处于与它有关的所有条文的整体之中才显出其真正的含义，或它所出现的项目会明确该条文的真正含义。有时，把它与其他的条文——同一法令或同一法典的其他条款——进行比较，其含义也就明确了。”根据《刑法》第253条之一的规定，侵犯公民个人信息罪的行为手段包括“出售或者提供”和“窃取或者非法获取”两种，由于《刑法》对获取行为规定了与出售或者提供行为完全相同的处罚，因此获取和出售或者提供的社会危害程度应相一致，二者的入罪前提也应保持一致。也即刑法有关侵犯公民个人信息罪中的“非法”与“违反国家有关规定”的含义相同。

此外，《解释》第4条规定了违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。根据这一规定，窃取或非法获取公民个人信息的方式有三种：第一是通过窃取，一般是通过侵入计算机软件获得个人信息;第二是通过购买、收受、交换等非法方式获取，这是一个不完全列举的规定，其中“等方式”是指与购买、收受、交换具有相当性的行为;第三是在履行职责、提供服务过程中收集公民个人信息的方式，一般是相关机构工作人员。笔者检索了有关第三种方式的案例，举在“汉某、虞某非法获取公民个人信息案”中，被告人汉某和虞某以购买的方式非法获取公民个人信息，并用于制作调查报告出售牟利。其制作的调查报告中，既有入职人员的背景调查、商业合作伙伴的尽职调查等具有商业调查性质的调查报告，也有对公司内部员工涉嫌盗窃公司资料、涉嫌行贿受贿等具有社会调查性质的调查报告。由于我国相关法规明确规定限制外商投资且从事社会调查活动，更不允许商业调查机构涉足刑事调查领域，因此，两人从事的调查活动本身即在一定程度上具有非法性。两人在制作的调查报告中，还使用了跟踪、窃听等违法手段，更重要的是，大量使用了非法获取的公民个人信息，对所涉及公民的个人隐私和合法权益，造成了直接的损害。行为人违反国家有关规定，以购买方式获取公民个人信息，用于制作调查报告出售牟利，同时在制作报告过程中收集公民个人信息的，对公民个人隐私和信息安全造成直接侵害，属于“非法获取公民个人信息”。

我国《刑法》第253条规定“情节严重”与“情节特别严重”两个档次的法定刑，同时这两个要素也是构成侵犯公民个人信息罪的要件。但将“情节严重”作为犯罪构成要件之一，难免会有争议。陈兴良教授认为“犯罪情节是主观和客观的统一，动机、目的和认罪志度等是主观方面的情节，而犯罪的行为方式、行为后果等是客观方面的情节。需要从两方面综合考察，对犯罪情节严重与否进行全面评价。”张明楷教授从法益侵害的角度，主张“‘情节严重’中的情节，并非指任何情节，只能是指客观方面表明法益侵害的情节。如果行为本身的违法性没有达到值得科处刑罚的程度，那即便主观上再值得谴责，也不应当认定为犯罪。”我国传统理论将社会危害性当作犯罪的本质特征，行为的社会危害性是否严重，取决于客观危害的大小和主观恶性的大小。因而，当一个行为的客观危害性较小，但主观恶性较大时，就会被评价为社会危害性达到值得科处刑罚的程度。笔者赞同张明楷教授的观点，只有危害行为才会产生侵犯法益的情形，行为人的主观状态若不通过客观行为表现出来是不会产生侵犯法益的情形。

1.相比较于理论上的争议，目前司法实践中已经出台了相关认定标准。《解释》第5条规定非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的“情节严重”：

(1)出售或者提供行踪轨迹信息，被他人用于犯罪的;

(2)知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的;

(3)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(4)非法获取、出售或者提供住宿信息、通信记录、征信信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(5)非法获取、出售或提供第三项、第四项规定以外的公民个人信息五千条以上的;

(6)数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的;

(7)违法所得五千元以上的;

(8)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的;

(9)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的;

(10)其他严重情形。

2.通过分析上述“情节严重”的情形，笔者认为可以从以下两个方面进行认定：

(1)区分信息类型设置差异数量标准。

侵犯公民个人信息罪的对象为公民个人信息，以公民个人信息的数量作为量化的标准，最能直接反映该罪的社会危害性。而在金融领域应该格外关注非法获取、出售或者提供征信信息、财产信息，笔者检索到相关案例，如“韩世杰、旷源鸿、韩文华等侵犯公民个人信息案”一案。2015年9月3日至4日，被告人韩世杰、旷源鸿、韩文华利用连光辉(湖北省巴东县农村商业银行沿渡河支行征信查询员)的征信查询ID号、密码及被告人李冲、耿健美(洛阳银行郑州东风路支行客户经理)提供的洛阳银行郑州东风路支行的银行专用网络，在该行附近使用电脑非法查询公民个人银行征信信息3万余条。2015年9月5日至6日，被告人韩世杰、旷源鸿、韩文华利用连光辉的征信查询ID号、密码及被告人李楠、卢惠生(德州银行滨州金廷支行行长)提供的德州银行滨州分行的银行专用网络，在该行南面的停车场内，使用电脑分两次非法查询公民个人银行征信信息2万余条。2015年9月8日，被告人韩世杰、旷源鸿、韩文华利用李涛(江苏省淮安市农村商业银行徐溜支行职工)的银行征信查询ID号及密码及被告人李楠、卢惠生提供的德州银行滨州分行专用网络，在该行南面的停车场内，使用电脑非法查询公民个人银行征信信息近3万条。被告人韩亮、邓佳勇获得征信查询ID号、密码并非法提供给被告人韩世杰等人使用，双方通过被告人陈莎莎中转租金、传递密码。被告人韩世杰、旷源鸿、韩文华将查询获得的上述公民个人银行征信信息出售给他人，向被告人韩亮、李冲、李楠支付了相关费用。湖北省巴东县人民法院判决认为：被告人韩世杰、旷源鸿、韩文华、韩亮、邓佳勇、李楠、陈莎莎、卢惠生、李冲、耿健美违反国家有关规定，非法获取公民个人信息出售牟利，情节严重，其行为已构成侵犯公民个人信息罪。需要予以注意的是，由于规定的入罪标准较低，因此应该严格限制涉及公民个人信息的类型，仅限于行踪轨迹信息、通信内容、征信信息、财产信息四类信息，不允许司法适用中再通过等外解释予以扩大。对于财产信息，可以根据案件具体情况把握：既包括银行账户、第三方支付结算账户、证券期货等金融服务账户的身份认证信息(一组确认用户操作权限的数据，包括账号、口令、密码、数字证书等)，也包括存款、房产等财产状况信息。

对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准，就在于敏感信息涉及人身安全和财产安全，其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性。这是认定公民个人敏感信息应当考量的关键因素。

3.此外，对于《解释》第6条关于为合法经营活动而非法购买、收受公民信息的认定应该加以判断。实践中获取公民个人信息之后从事电话推销等本身不违法的经营活动非常常见，这种情形是否可能构成犯罪?对于这一问题，《解释》第6条规定为合法经营活动而非法购买、收受本解释第五条第一款第三项、第四项规定以外的公民个人信息，如果满足以下条件，可能构成犯罪：(1)利用非法购买、收受的公民个人信息获利五万元以上的;(2)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法购买、收受公民个人信息的;(3)其他情节严重的情形。《解释》第6条与第5条是特别条款与一般条款的关系，如果行为人达到第五条规定的数量要求，但未达到第六条的获利则不构成犯罪。

(三)司法实务中对于“情节特别严重”的认定

《解释》第5条规定实施前款规定的行为，具有下列情形之一的，应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”：

1.造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

2.造成重大经济损失或者恶劣社会影响的;

3.数量或者数额达到前款第三项至第八项规定标准十倍以上的;

4.其他情节特别严重的情形。

实践中经常出现行为人在非法获取公民个人信息后进行其他违法犯罪行为，比如将个人信息用于诈骗、办理假冒信用卡等，对于这类问题，应该案中侵犯公民个人信息犯罪认定还是应当数罪并罚，为此，笔者检索了相关案例，比如在“杨海鸿、吴彩云、黄晋河侵犯公民个人信息和诈骗罪”一案中，被告人杨海鸿单独或伙同被告人黄晋河通过购买的方式非法获取公民个人信息2万余条，并雇用被告人吴彩云在福建省龙岩市租房，通过拨打上述公民个人信息中的手机号码，谎称可以向对方发放残疾人补贴、教育补贴等方式，骗取被害人邓佳等人将钱款转入其指定的账户。截至2015年9月9日被查获时，被告人杨海鸿、吴彩云共骗取7万元。归案后，被告人杨海鸿、黄晋河、吴彩云均能如实供述自己的罪行。一审法院认定被告人杨海鸿、黄晋河犯侵犯公民个人信息罪和诈骗罪。后被告上诉，但最终撤回上诉。

本案争议焦点在于被告人杨海鸿、黄晋河通过购买的方式非法获取公民个人信息后，通过拨打上述公民个人信息中的手机号码骗取被害人财物的行为，是构成一罪还是数罪存在争议，主要有两种不同的意见。第一种意见认为被告人获取公民信息是手段行为，而通过拨打电话骗取他人财物是目的行为，手段与目的触犯不同罪名，成立牵连犯，从一重罪进行处罚。第二种观点认为获取公民个人信息的行为与诈骗行为不具有密切关联性，应采取数罪并罚的原则进行处罚。

笔者认同第二种观点，即成立数罪。因为首先，被告人的行为符合侵犯公民个人信息罪与诈骗罪的构成要件;其次，非法获取公民个人信息与进行诈骗不存在密切联系，非法获取公民个人信息之后可能会实施其他犯罪行为，比如出售、敲诈勒索等，同时，实施诈骗行为不一定会采取非法获取公民个人信息后进行，可能直接进行虚构事实的诈骗，因此二者不具有密切联系性;再次如果只是采取从一重罪处罚，那么就不能完全评价行为人的犯罪行为;最后，相关法律并未规定非法获取公民个人信息后进行诈骗的行为成立牵连犯，从一重罪处罚，相反地，2013年4月23日最高人民法院、最咼人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字[2013]12号)明确规定，对于窃取或者以购买等方法非法获取公民个人信息数量较大，或者违法所得数额较大，或者造成其他严重后果的，应当依法以非法获取公民个人信息罪(注：现改为侵害公民个人信息罪)追究刑事责任。对使用非法获取的个人信息实施其他犯罪行为，构成数罪的，应当依法予以并罚。这也表明，最高人民法院对该问题有着明确的意见，应当在具体审判实践中贯彻落实。

对于金融机构尤其是互联网金融机构来说，需要投资人在平台注册时填写真实姓名、联系方式等基本信息，这一行为属于合法收集公民个人信息，但是收集之后如何处理呢?许多金融机构在获取信息之后就放松了对信息的管制，导致公民个人信息被内部人员转卖牟利，严重影响企业形象甚至可能带来刑事风险。即使以免费的价格将金融机构获取的个人信息转让给他人也会因为情节严重从而构成犯罪。

结合现实情况与“侵犯公民个人信息罪”的构成要件，笔者认为可以从以下方面进行防范：

(一) 认真学习法律、行政法规、部门规章对公民个人信息保护的规定，

尤其是金融监管部门的规章，因为其更具有操作性，明确界定哪种行为是被法律允许，哪种行为是被法律禁止;充分认识个人信息保护禁区，不越雷池半步，个人信息安全已经同人身安全、财产安全一道受到了法律的严格保护。该类信息包括银行在经营过程中获得的公民身份信息、通信信息、财产信息、征信信息等，银行员工对此不得侵犯。

(二)对信息的处理应该达到“无法识别特定个人且不能复原”的程度

《解释》规定如果数据无法识别为“特定个人”且“不能复原”，则不构成犯罪。因此对于数据信息，企业应当考虑如何销毁或有效处理废弃数据，防止刑法风险。“区块链”技术或许有助于解决此类问题。

每次使用数据和分享数据都必须经过“被收集人”的同意(以书面为宜)，金融机构员工在开展业务过程中获取的客户信息，如征信信息等，仅能用于与该信息相关的业务，如客户资信评估等，而不得用于与此无关的其他用途;数据导出的权限设定必须分级，一般员工不能看到公司收集的所有数据信息，高级别员工可以看到但无法复制，公司一把手要想动用这些数据都需要外部董事同意。

从《刑法修正案(七)》到《刑法修正案(九)》，再到《解释》的出台，标志着有关“公民个人信息保护”法律及其配套措施的不断完善，公民个人信息保护工作得到了较好的发展，但我们仍应关注一些存在的或隐藏着的不足之处，笔者希望通过本文，能更好的界定侵犯公民个人信息罪的界限，规范金融机构的行为，从而更好的保护公民个人信息。

[1] 新华网, 瞒报数据泄露信息 河南47家违规金融机构被罚716万元 http://www.xinhuanet.com/legal/2018-01/05/c_1122216539.htm  2018年7月3日访问.

[2] 北大法宝.案例报告|“侵犯公民个人信息罪”专题案例与数据分析报告,2018年4月13日.

[3] 喻海松.侵犯公民个人信息罪司法适用探微,载于《中国应用法学》,2017年第4期.

[4] 尹田.论法人人格权，《法学研究》2004年第4期,第51页.

[5] 参见刘艳红主编:《刑法学》(第2版),北京大学出版社2016年版,第253 254页.

[6] 吕明瑜.《论上市公司信息公开的基本原则》,载《中国法学》1998年第1期.

[7] 吴心斌.温锦资. 公民个人信息刑法保护的例外, 人民法院报2018年6月21日.

[8] 刘宪权.房慧颖.侵犯公民个人信息罪定罪量刑标准再析, 华东政法大学学报,2017年第6期.

[9] 根据2016年4月18日生效实施最高人民法院、最高人民检察院《关于办理贪污贿赂刑事案件适用法律若干问题的解释》第12条规定：贿赔犯罪中的“财物”，包括货币、物品和财产性利益益。财产性利益包括可折算为货币的物质利益如房屋装修、债务免除等，以及需要支付货币的其他利益如会员服务、旅游等。后者的犯罪数额，以实际支付或者应当支付的数额计算，可以得出上述结论。

[10]李玮.侵犯公民个人信息罪研究[D].武汉大学,2017.

[11]前者如刑法第229条规定的“提供虚假证明文件罪”，第405条第2款规定的“违法提供虚假证明文件罪”等;后者如刑法第111条规定的“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”。

[12]公安部公布八大网络侵犯公民个人信息犯罪典型案例, https://www.toutiao.com/i6309686698422829569/ 2018年7月3日访问.

[13][法]亨利·莱维 ·布律尔:《法律社会学》,许钧译,上海人民出版社 1987年版,第243页.

[14]2014年上海市第一中级人民法院案例精选

[15]陈兴良:《本体刑法学》商务印书馆2001年版,第198页.

[16]张明楷:《刑法分则的解释原理》(下),中国人民大学出版社2011年版,第597-598页.

[17]李玮.侵犯公民个人信息罪研究[D].武汉大学,2017.

[18](2016)鄂2823刑初132号

[19]非法获取公民信息数百万条电信诈骗百余万,人民法院报. http://rmfyb.chinacourt.org/paper/html/2017-05/25/content_125853.htm?div=-1 2018年7月3日访问.

[20]杨海鸿、黄晋河、吴彩云诈骗，杨海鸿、黄晋河侵犯公民个人信息案,中国法院网https://www.chinacourt.org/article/detail/2016/09/id/2257560.shtml 2018年7月3日访问.

[21]佚名.大量非法获取公民个人信息并诈骗应数罪并罚, 腾讯网络安全与犯罪研究基地、京师刑事法治网.

作者：黄梦奇律师 李瑞鹏

单位：北京德和衡（上海）律师事务所

电话：18301990773

微信：15160772861