侵犯公民个人信息罪的理论认定与适用空间

李明鲁



侵犯公民个人信息罪的理论认定与适用空间

李明鲁

（中国政法大学 刑事司法学院，北京 海淀 100088）

在信息社会，公民个人信息面临着巨大的安全隐患，从而滋生一系列信息违法犯罪行为，对此刑法应当作出回应。公民个人信息的身份可识别性意味着对于个人信息的保护模式不同于传统的财产犯罪，盗窃罪不足以评价个人信息犯罪的人身权利与财产权利的复杂客体，故应以特殊罪名定罪论处。侵犯公民个人信息罪属于不纯正的不作为犯罪，亦可以表现为不作为方式。如果网络服务提供者知道或者应当知道他人利用其提供的网络技术帮助实施信息违法犯罪行为，而不履行其法定的网络安全管理义务的，则构成本罪的帮助犯。维护信息安全依靠网络技术、行政监管和刑法制裁等多元保护，但刑法的过度干预不利于数据的应用与发展，因此应当坚持刑法的谦抑性，处理好信息违法与信息犯罪的关系。

公民个人信息；信息犯罪；不作为犯；行政违法

随着大数据时代的到来，公民个人信息已发展成为一种无形资产，在商业投资、政府管理、个人发展等各个方面发挥着越来越重要的作用，但收益与风险相伴相生，公民信息泄露、信息非法买卖等信息安全事件屡次发生。公民信息安全形势不容乐观，为此《十三届全国人大常委会立法规划》中正式将“个人信息保护法”纳入未来五年的立法规划之中，并作为立法条件较成熟、拟提请审议的第一类项目①。为了更好地发掘公民个人信息的潜在价值，保证数据产业的可持续发展，应当明确个人信息的权利归属，规范数据信息的利用，同时，为了应对与公民个人信息安全相关的网络灰产和网络黑产日益猖獗的现状，则有必要加强刑法对于保护公民个人信息安全的全面保护。

一、侵犯公民个人信息罪的要素解读与认定

侵犯公民个人信息罪被列于刑法分则“侵犯公民个人权利、民主权利”一章中，表明该犯罪行为所侵犯的客体主要是人身权利。但是《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对于侵害公民个人信息的行为危害后果分别从财产方面（“造成重大经济损失”）和人身方面（“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的”）作出了量化规定，这表明公民个人信息兼具财产性质和人身性质。“违反国家有关规定”作为侵犯公民个人信息罪的前置性要件，故对于“国家有关规定”的界定在认定本罪成立方面也尤为关键。

（一）“公民个人信息”的双重法律属性：人身权利与财产权利

公民个人信息如公民个人的银行账号密码、游戏账号密码等，能够为权利人带来一定的财产利益，理论上作为一种虚拟财产而存在，具有相应财产价值。同时，个人信息也具备人格属性特征，是一种人身利益，因信息被泄露而遭到连续恶意的的电话骚扰，给信息权利人带来精神上的痛苦，“构成对个人生活安宁权的侵扰”[1]。因此，公民个人信息同时具有财产性质和人身性质的双重属性。

1.公民个人信息的人身属性

首先应当明确的是，公民对其个人信息享有哪些权利？欧盟《一般数据保护条例》为保护公民个人数据安全，对于企业和网络服务商非法处理公民个人数据的行为作出了严厉规制。公民对于其本人的信息享有获取、披露和使用的处理权，在信息流动的过程中，他人如果未经允许而获取、披露或者使用其个人信息的，则构成对公民个人信息的侵犯[2]。

根据司法解释关于公民个人信息的解释性规定，公民个人信息以身份的可识别性为特征，所以均具有人身属性，但部分才具有财产属性。结合刑法将侵犯公民个人信息罪设置于“侵犯公民人身权利、民主权利一章，可见窃取公民个人信息必定侵犯了公民本人的人身利益，但却不一定对其财产利益也造成损害。事实上，社会中实际非法出售公民个人信息的，一条征信信息或者财产信息可能仅售几元钱，按照司法解释之规定，非法出售公民个人行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的，即达到侵犯公民个人信息罪的入罪标准，若仅从个人信息具有的财产价值考虑，几十条信息的财产价值尚不足以以犯罪论处，由此也可以看出，信息的财产权益并非侵犯公民个人信息罪所要保护的唯一法益，更核心的还是保护个人信息的人身权利方面的法益。

2.公民个人信息的财产属性

利用个人信息可以直接或者间接地获得财产利益。“个人信息可以为自己带来某项社会服务或社会评价，比如应聘投递简历，简历上的信息是对本人能力符合工作要求的评价，通过获得这些评价，可以为自己带来经济利益。而且，提供个人信息也是获得服务的前提，金融、电信、医疗等开展业务都需要个人提供真实信息”[3]。对于数据信息所具有的财产价值，《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第七条中已经作出肯定性回应②。将计算机信息系统中的数据及对计算机信息系统的控制权解释为掩饰、隐瞒犯罪所得罪的行为对象，表明最高司法机关基本承认了数据的财产性质，这种为严厉打击针对计算机信息系统数据、计算机信息系统控制权的违法犯罪行为，而将“数据”解释为“犯罪所得”的扩大解释思路，也为数据的财产化保护提供了借鉴的经验和路径[4]。有学者对此提出质疑，认为如果把个人信息视作虚拟财产，将会带来法律解释上的困难。“比如，电话号码属于个人信息，但却没有确定的归属，可以多次授权给不同商家使用，同时数据信息与财产的转换机制不明确，电话号码的财产价值难以具体测定”[5]。

我认为，不管是单一的财产保护说，还是人格权保护说，都是为了寻求确定、唯一的保护客体，而刻意割裂个人信息所同时具有的财产属性和人格属性，不利于对公民个人信息的全面保护，也给司法实践带来法律适用上的困难。整体保护说肯定了个人信息同时具有人身价值和财产价值，并将人身利益和财产利益作为统一整体进行保护，那种“一元论、绝对论的保守选择方式，与多元价值保护的刑法理念背道而驰”[6]。

（二）“违反国家有关规定”的法律内涵界定

根据侵犯公民个人信息罪第一款“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的”和第二款“违反国家有关规定，将在履行职责或者提供服务的过程中获得的公民个人信息，出售或者提供给他人的”，只有当违反国家有关规定时，出售、提供公民个人信息的行为才构成犯罪。因此并非只要出售或者提供公民个人信息就一定构成犯罪，在符合国家有关规定的情况下，公民个人信息则允许出售和提供。

1.刑法中“违反国家规定”之内涵

根据《刑法》第96条之规定，“违反国家规定”中的“国家规定”，具体是指“全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”。在刑法分则条文中，除了使用“违反国家规定”这一空白罪状外，还存在“违反……的规定”“违反……法规”等罪状描述，那么“违反……的规定”“违反……法规”中的“规定”“法规”与刑法第96条之“国家规定”的关系如何？应当认为刑法总则对于分则具有指导意义，分则中的空白罪状描述是对总则的进一步具体化，而没有改变或者超出总则中“国家规定”的限定范围，所以不能将违反国家政策、地方性法规或者部门规章的规定也认为是违反了此处的“国家规定”。“只有在分则条文明确规定违反的是国务院部委或者有关军事部门制定的规章的情况下③，才能从法律拟制的角度，将其作为对‘国家规定’的例外或者补充”[7]34。因此，侵犯公民个人信息罪中的“国家有关规定”，应当根据总则规定所确定的“国家规定”的范围作出。

2.司法解释对于“违反国家有关规定”的范围限定

刑法第二百五十三条之一侵犯公民个人信息罪中的“违反国家有关规定”具有两种存在意义，“在第一款和第二款规定的行为方式中作为构成要件因素存在，在第三款中没有实质限定价值而仅作为提示性规定而存在”[8]37。其中第三款“窃取或者以其他方法非法获取公民个人信息”，由于窃取公民个人信息的行为本身就为法律所不允许，根据该具体行为方式即能够认定成立本罪，而没有必要再寻找“国家有关规定”的依据。然而，对于出售、提供公民个人信息，“国家有关规定”决定着犯罪成立与否。

最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条，在解释侵犯公民个人信息罪中的“违反国家有关规定”时，明确将部门规章也包括在内。但是，除了“国务院批转的或者以通知形式决定认可的各部委颁发的规章、规定”可以作为刑法第九十六条规定的“国家规定”以外[7]37，若将其他的部门规章也一律视为国家有关规定，则有超越既定法之嫌，在此意义上，司法解释已经违反了刑法的罪刑法定原则。鉴于法律、行政法规多为宏观和原则性规定，在具体适用时往往需要依据规章等规定才能明确相关内容的含义，并结合目前公民个人信息犯罪的严峻形势，应当承认部门规章在司法适用中的实际效用和功能。但这并不代表对于部门规章作为认定犯罪成立依据正当性的肯定，判断违法性的依据仍然仅为由全国人大及其常委会和国务院制定的法律、行政法规、决定、命令等，国务院部门制定的行政规章只是可以作为在确定“国家有关规定”的具体含义时的法律参考[8]41。

（三）侵犯公民个人信息罪为不纯正不作为犯

侵犯公民个人信息罪属于不纯正的不作为犯，该罪在客观方面主要表现为作为，但该罪同样可以以不作为的方式构成，这就会产生网络服务提供者在消极地不履行信息网络安全管理义务时，究竟是成立侵犯公民个人信息罪还是拒不履行信息网络安全管理义务罪的区分问题。拒不履行信息网络安全管理义务罪是纯正不作为犯，只能以不作为的方式构成，如果网络服务提供者是以作为的方式违反信息网络安全的有关规定的，则构成信息犯罪的帮助犯。但是对于其消极地不履行法定义务这种不作为的情况，便需要从网络服务提供主体的主观方面进行考察，才能最终认定成立侵犯公民个人信息罪还是拒不履行信息网络安全管理义务罪。

首先，网络服务提供者构成侵犯公民个人信息罪的帮助犯还是拒不履行信息网络安全管理义务罪，应当根据其不履行法定信息网络安全管理义务所处的行为阶段进行判断。只有在他人实施公民个人信息违法犯罪行为过程中，网络服务提供者不履行信息网络安全管理义务的行为，才有可能构成侵犯公民个人信息罪的共犯；一旦他人的信息犯罪行为已经实行完毕并且发生既遂结果，网络服务提供者的不作为便不可能再成立与他人犯罪行为的共同犯罪。

其次，侵犯公民个人信息罪只能以故意构成。司法解释第五条规定了非法获取、出售、提供公民个人信息“情节严重”的具体情形，其中第二项（“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”）对应故意犯罪，即明知他人获取公民个人信息是为了用于犯罪目的，依然为其提供的，不论信息接受方最终是否利用信息进行犯罪，更不论该犯罪是否既遂，出售方或者提供方都依法构成侵犯公民个人信息罪。但是第一项（“出售或者提供行踪轨迹信息，被他人用于犯罪的”）是否表明本罪亦可由过失构成？因为第一项针对“行踪轨迹信息”，条文虽然未明确说明行为人在出售或提供此类信息时的心理态度，但行踪轨迹类信息与公民人身和财产利益安全关系甚密，所以可以推定其在出售、提供此类信息时应当知道他人将利用该信息实施违法犯罪行为。因此，侵犯公民个人信息罪在主观方面只能为故意。其他国家的立法对于侵犯公民信息安全的犯罪，一般也都规定只有具有故意时才能成立，比如，德国《联邦数据保护法》（Federal Data Protection Act）中的“以获取非法利益或者陷害数据主体为目的”，美国1974年《隐私法案》（The Privacy Act of 1974）也规定“明知泄露该信息为法所禁止”[9]27。

对于网络服务提供者主观心态的认定，可以借助“监管部门责令改正”，分别对责令改正之前和之后的心理态度作出判断。如果网络服务提供者在经监管部门责令改正之后，仍不履行法定信息网络安全管理义务的，很难说其对于信息犯罪损害结果的发生不存在间接故意，因此在这种情况下可以认定其具有犯罪故意。对于监管部门责令改正之前网络服务提供者不履行法定安全管理义务的行为，需要证明其知道或者应当知道他人利用其提供的网络服务实施信息不法行为的事实及行为危害后果。如果能够确定网络服务提供者主观上为明知或者应知的故意，客观上未采取及时断开链接、删除信息等措施，违反法定网络安全管理义务的，在他人的信息犯罪行为尚未实施完毕的情况下，则认定其以不作为的方式构成侵犯公民个人信息罪的帮助犯。

二、盗窃公民个人信息以特殊法条——侵犯公民个人信息罪认定

窃取公民个人信息后，又利用该信息实施诈骗行为的，应当以本罪与具体财产犯罪数罪并罚。但是，对于窃取公民的账号密码，由于银行账号密码、游戏账号密码等账号密码具有财产价值，能否认定为盗窃罪？如果构成盗窃罪，究竟与侵犯公民个人信息罪成立想象竞合还是法条竞合关系？

（一）盗窃罪与侵犯公民个人信息罪形成法条竞合

对于窃取型公民个人信息犯罪，当窃取的信息是具有财产价值的信息时，与盗窃罪形成竞合关系。要判断两罪之间是想象竞合关系还是法条竞合关系，关键不在于看同一个行为是否同时触犯多个罪名，因为仅从外部表现来看，想象竞合犯与法条竞合犯都满足一行为符合数罪名的特征，所以二者实质上的区别在于行为所触犯的多罪名是否本身存在从属或者交叉的逻辑关系，而在想象竞合中不具有这种逻辑关系[10]383。两罪之间存在法条竞合关系，如果以其中一罪认定便足以对全部犯罪事实进行完整评价的，那么该罪名相对于另一罪名就是特殊罪名。“信息因其具有可复制性而缺少‘占有’要素，从而区别于传统的有体物犯罪。有些信息还具有公共属性，如重要的发明能够为所有人使用，因此刑法对于针对信息的犯罪行为进行了特别规定”[11]。

在肯定窃取型侵犯公民个人信息罪与普通盗窃罪成立法条竞合的前提下，如果窃取的系具有财产价值的公民个人信息，应当以特殊法条即侵犯公民个人信息罪定罪论处，而不宜认定为盗窃罪。因为在个人信息犯罪所要保护的法益方面，保护公民个人信息不仅仅是保护个人对于信息的财产所有权，还包括对其人身权利的保护，而盗窃罪不足以评价该窃取个人信息的行为对于公民人身权益的侵害。比如，著作权具有一定经济价值，可以作为一种财产性利益进行保护，然而从我国现行刑法的规定上来看，侵犯著作权的行为并未以财产犯罪盗窃罪论处，而是以专门的法条——侵犯著作权罪定罪。例如，盗窃商业秘密的行为不构成盗窃罪，而是以独立罪名侵犯商业秘密罪定罪论处。这些都表明窃取型侵犯公民个人信息罪与普通盗窃罪之间成立交叉关系的法条竞合犯。

（二）处理规则：适用特殊法条即侵犯公民个人信息罪

对于法条竞合犯，存在两种处理规则：一是按照特别法条优先于一般法条进行认定；二是按照重法优于轻法定罪论处。由于盗窃罪的法定刑最高可达无期徒刑，当以侵犯公民个人信息罪认定会出现刑罚与严重罪行之间的不协调时，是否应按重罪盗窃罪论处？在选择适用何种规则时，有学者主张应当以适用特别法为原则，只有在法律明确规定按照重法处理时，才能例外地按照重法优于轻法规则定罪处罚[12]。因为从理论根据上讲，重法优于轻法只是在适用特别法将造成罪行与刑罚之间的不对等时，出于功利目的考虑而作出的一种解决方案，当特别法所规定的刑罚与普通法相当或者重于普通法时，重法优于轻法的规则根本没有适用的空间和存在价值[13]。由于在侵犯公民个人信息罪中，刑法条文和司法解释都没有在罪刑不适应时作出应适用盗窃罪的例外规定，因此当出现两罪的竞合时，只能以侵犯公民个人信息罪这一特殊法条加以认定。

三、侵犯公民个人信息罪与行政违法的界限与衔接

《刑法修正案（九）》将原本只能由“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”构成的个人信息犯罪主体修改为一般主体，而将身份要素仅作为加重处罚的情节对待。犯罪责任主体范围的扩大，表明了刑法对于公民个人信息违法犯罪行为从严处理、从重处罚的态度。但是，由于刑罚制裁手段的严厉性，刑法必须坚持其适用的最后性原则——在使用其他法律救济仍不能充分保护法益时，才得以启动刑法加以保护。在穷尽行政救济后才能适用刑法，此时便需要行政法与刑法的衔接，合力打击公民个人信息违法犯罪行为。

（一）信息本人同意阻却犯罪成立

工信部联合其他部门起草的《信息安全技术公共及商用服务信息系统个人信息保护指南》中规定，只有在取得个人信息主体同意（对于敏感信息应获得个人信息主体的明示同意，对于一般信息允许默示同意）的前提下，才可以对个人信息进行处理，否则必须停止收集或删除个人信息。公民有权自由处分其本人的个人信息，因为公民个人信息与个体活动相关联，针对其进行的不法活动一般仅能对信息个人的人身或者财产安全带来危险，而不会对社会公共秩序和国家利益造成直接威胁[14]。

当个人信息主体对于出售或者披露其个人信息的行为作出承诺，在理解其行为意义的前提下，便不存在值得保护的法益，此时出售和披露信息的行为属于对个人信息的正当使用，而不能定性为针对公民个人信息的不法行为。即使最终因出售、提供个人信息而造成危害后果的，责任也应归属于承诺主体，因为出售和提供公民个人信息的行为因被承诺而获得正当性。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条的规定，“未经被收集者同意”，而将公民个人信息提供给他人的，才符合违反规定提供公民个人信息的构成要件。为了保障信息在传输环节的安全，在进行数据交易时应当通过正规数据交易平台，但如果交易双方在征得信息主体同意的情况下，于交易平台之外买卖个人信息的，并且没有造成危害后果，则不能一律认为系违反国家规定出售、获取公民个人信息。

在“互联网+”的时代背景下，在此意义上也应该适当放开信息流通规制的门槛，以平衡效率与秩序之间的利益冲突。德国刑法学者埃里克·希尔根多夫也认为，在风险性的互联网社会交际中，刑法不应再充当“家长主义”的角色，对被害人予以无微不至的保护，现代网络刑法的任务正是划清被害人自我答责与自担风险的范围[15]。

（二）犯罪目的与刑事可罚性

美国1998年《身份盗用和假冒制止法》（The ldentity T'heft and Assumption Deterrence Act）中对盗用身份罪作出的定义为：“未获得合法授权，以实施或者教唆、帮助实施联邦法律、州地方法律所规定的禁止性不法行为为目的，而转移或者使用他人身份的行为”④。该法案对于窃取、使用公民个人信息的违法行为，通过限定以进行违法行为这一目的，缩小了犯罪的成立范围。而反观我国司法解释第五条第五项，当非法出售、提供或者获取的个人信息达五千条时，行为人即构成侵犯公民个人信息罪，该规定似乎仅以客观损害结果入罪，对于行为人主观目的却不作要求，是否会导致犯罪成立范围的不当扩大？

1.目的犯及犯罪目的的法律内涵

陈立教授认为，“刑法中的目的犯实际上存在两种目的，一种是与直接故意内容相重合的一般犯罪目的，如故意杀人罪中的将人非法杀害的目的；另一种是故意内容之外的特定犯罪目的，某些犯罪在具有一般犯罪目的之外，还必须同时存在某种不为故意内容（即一般犯罪目的）所具备的主观要素，该主观要素即特定犯罪目的”[16]。以传播淫秽物品罪为例，成立本罪要求行为人对于传播淫秽物品行为主观上持故意的心态，此处的目的即一般犯罪目的；当行为人同时还具有牟利目的时，则成立刑法第三百六十三条传播淫秽物品牟利罪，该罪既具有故意实施传播淫秽物品的一般犯罪目的，并且存在牟利这一特定犯罪目的。

侵犯公民个人信息罪因为是故意犯罪，所以自然具有违反规定故意获取、出售或者提供个人信息的一般犯罪目的，但刑法并未明文规定该非法获取、出售、提供个人信息之行为是为了进一步实施违法犯罪，那么该内心倾向究竟属于不成文的构成要件还是对于认定犯罪所不重要的犯罪动机？

2. 法益侵害与犯罪可罚性

对于不成文的主观要件和犯罪动机的判断，应当从法益侵害的角度，根据该主观要素对于本罪所保护法益的侵害程度来判断。当某种内心动向对于该罪而言在决定法益侵害或者影响法益侵害程度方面具有重要作用，但刑法未作出成文规定时，应将其解释为本罪主观构成要件的内容；反之，则不可以把该主观动向认定为本罪的主观超过要素[17]。因此，对于侵犯公民个人信息罪所保护的法益的判断，在辨别犯罪动向是否侵害法益时至为关键。由于立法规定不能够对于犯罪具体侵害的法益作出准确的说明，而在理论学界对于该罪的法益又未达成共识的情况下，则需要借助刑事处罚的必要性进行认定[18]。

刑法对侵犯公民个人信息罪规定了三种行为方式，分别是非法获取、非法出售和非法提供，并且司法解释第三条又将“通过信息网络发布”规定为其中提供的一种方式。将公民的个人信息发布在开放的信息网络空间，其本质仍然是向网络空间中的“他人”提供公民个人信息。“信息面向不特定的社会公众广泛传播，使被公开信息的人面临着被‘人肉搜索’或者其家属被骚扰等风险，严重干扰了其正常生活”⑤。从刑法和司法解释的规定上来看，仅这种发布或者提供的行为即具有法益侵害性，即使违法提供的个人信息未被实际用于其他违法犯罪，但由于侵害了“公民对其本人信息的控制权”[19]，该行为本身就是值得处罚的。大数据时代中公民的信息安全形势异常严峻，刑法处罚的必要性应当依据行为的危险而不是已然的后果，不要等到更为严重的后果发生时才予以保护[9]32。

由此可见，侵犯公民个人信息罪不具有非法使用这一特定犯罪目的，为利用该信息实施后续不法行为而获取、出售或者提供的内心动向，仅作为该罪的犯罪动机，对于犯罪的认定没有影响。若将公民个人信息用于非法目的，在符合其他犯罪的构成要件时，则依法构成相应的其他犯罪。因此，司法解释第五条第五项之规定，并非仅根据结果归罪，只要行为人主观上对于违法获取、出售或提供公民个人信息系明知，且理解其行为意义的，就已符合本罪故意构成要件的要求。

（三）公民个人信息犯罪的未遂成立可能性分析

侵犯公民个人信息罪规定“……情节严重的，处……情节特别严重的，处……”，司法解释进一步对“情节严重”与“情节特别严重”作出更为具体的客观标准。那么，“情节严重”能否存在未遂状态，或者说该严重情节和特别严重情节究竟是作为认定犯罪成立的构成要件，还是判断犯罪既遂的条件？关于犯罪成立标准与犯罪既遂标准的区分，是判断信息一般违法行为与犯罪行为的前提。如果作为犯罪成立条件，当行为不满足情节严重的标准时，则只能依照行政违法进行处理；而如果作为犯罪既遂条件，虽未达到既遂的标准，却仍有构成犯罪（未遂）的可能，从而扩大了信息犯罪的成立范围。

刑法对于侵犯公民个人信息罪规定了非法出售、提供、获取等具体的行为方式，同时要求行为必须达到一定严重情节，所以本罪不应是抽象危险犯。不能以一旦实施构成要件中的行为就认为成立犯罪，行为必须同时具备一定的社会危害性。司法解释对于“情节严重”与“情节特别严重”的具体规定，为社会危害性提供客观事实判断的基础。类似的刑法中的规定，还有第二百一十九条侵犯商业秘密罪，该罪规定：“给商业秘密的权利人造成重大损失的，处三年以下有期徒刑或者拘役，并处或者单处罚金”，而对于“造成重大损失”是属于犯罪成立标准还是既遂的标准，在理论界仍有争议，不过司法实务中一般将其作为犯罪成立要件对待[20]。

我认为，侵犯公民个人信息罪首先应当属于行为犯中的具体危险犯，而非结果犯。具体危险犯与结果犯的成立都以行为产生一定的结果为前提，但不同于结果犯中实际的损害结果，危险犯中所要求的结果指达到“法定危险状态”[21]。结合司法解释第五条第四项之规定，“其他可能影响人身、财产安全的公民个人信息”也可以反映出将公民个人信息安全所处的危险状态作为处罚的依据。其次，这种法定危险状态应当作为犯罪成立要件，而不是犯罪既遂要件。如果仅窃取三十条公民个人征信信息，尚未达到司法解释所规定的“五十条以上”的条件，则不能认为构成犯罪未遂，而应认定不成立本罪。但这不意味着本罪无未遂之可能，对于具体危险犯既遂与未遂的判断，应当以行为与结果之间是否存在相当因果关系为依据。“从行为举止与损害结果发生之间的盖然性角度，如果法益遭受侵害的结果未发生仅仅取决于偶然，那么行为本身仍值得谴责”⑥[10]210。具体而言，如果某银行内部人员意图将其在履行职责过程中获取的一百条公民个人征信信息非法出售给他人，但在通过网络传输征信信息时，电脑突然死机，信息并未发送成功的，该银行工作人员构成侵害公民个人信息罪的未遂。虽然公民征信信息未实际售出，但信息泄露结果没有发生的原因仅仅是电脑死机这一偶然因素的出现，所以因外界偶然原因导致的犯罪未得逞成立犯罪未遂。

四、结语

维护公民个人信息安全，仅依靠企业自身的技术开发，对于日益增加的信息安全风险而言仍不足够，因为再牢固的技术保护屏障也会被更加先进的技术而一举击溃，因此技术层面上的信息安全维护只是基础，同时还需要行业监督、政府监管和法律法规的约束，形成网络技术保障、管理监督保障和法律保障等多重保障体系。

“我国的网络安全行政监管部门分为十六个不同的职能部门，如工业与信息化部门、工商管理部门、公安部门等”[22]。政府监管各职能部门分别管辖不同领域，这种专项治理的监管模式固然可以重点管理和监督某一特定行业内的不法行为，但面对日益猖獗的网络黑色产业，仅依靠“各自为政”的条块分割式监管还远远不够。企业内部的行业监管开启了跨行业、跨地区的综合监管与整体治理模式，克服了政府监管需受到职能管辖和地域限制的障碍，而且借助其自身掌握的技术专业优势，针对利用网络技术实施的违法犯罪行为可以“以网治网”。如果行业的自身监管与行政监管都不足以打击具有严重社会危害性的公民个人信息不法行为，则有必要借助刑法途径。司法是维护社会公平正义的最后一道防线，在穷尽其他救济手段仍不能有效保护法益时，则有必要启动刑法予以规制。开展对于信息违法犯罪行为的综合治理，加强企业、行政机关与司法机关之间的合作与交流，坚持惩治与预防并重，构筑牢固的信息安全防火墙[23]。

[注 释]

① 参见王峰“116件法律列入5年立法规划，个人信息保护法跃升第一序列”一文，载于南方网，网址为：http://news.southcn.com/n/2018-09/11/content_183265233.htm。

② 《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》第七条：“明知是非法获取计算机信息系统数据犯罪所获取的数据、非法控制计算机信息系统犯罪所获取的计算机信息系统控制权，而予以转移、收购、代为销售或者以其他方法掩饰、隐瞒，违法所得五千元以上的，应当依照刑法第三百一十二条第一款的规定，以掩饰、隐瞒犯罪所得罪定罪处罚”。

③ 《刑法》第331条传染病菌种、毒种扩散罪：“从事实验、保藏、携带、运输传染病菌种、毒种的人员，违反国务院卫生行政部门的有关规定，造成传染病菌种、毒种扩散，后果严重的，处三年以下有期徒刑或者拘役；后果特别严重的，处三年以上七年以下有期徒刑”。其中，“违反国务院卫生行政部门的有关规定”即国务院卫生部作出的部门规章。

④ The ldentity T'heft and Assumption Deterrence Act,Title 18,U.S.Code,Section 1028.

⑤ 北京市第二中级人民法院（2009）二中民终字第5603号民事判决书。

⑥ 此处的“结果”应理解为上文中的“法定危险状态”。

[1] 王利明.人格权法研究[M].北京:中国人民大学出版社,2012:502.

[2] KANG J.Information of Privacy in Cyberspace Transactions[J].STANFORD LAW REVIEW,1998,50:1203.

[3] 谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学,2015(3):105.

[4] 于志刚.“大数据”时代计算机数据的财产化与刑法保护[J].青海社会科学,2013(3):14.

[5] 于志刚.“大数据时代数据犯罪的制裁思路[J].中国社会科学,2014(10):116.

[6] 周光权.刑法学的向度——行为无价值论的深层追问(第二版)[M].北京:法律出版社,2014:11.

[7] 蒋玲.刑法中“违反国家规定”的理解和适用[J].中国刑事法杂志,2017(7).

[8] 胡江.侵犯公民个人信息罪中“违反国家有关规定”的限缩解释——兼对侵犯个人信息刑事案件法律适用司法解释第2条之质疑[J].政治与法律,2017(11).

[9] 杨溯.大数据时代信息安全的刑法保护问题研究[D].长沙:中南林业科技大学,2016.

[10] 陈兴良,周光权.刑法学的现代展开[M].北京:中国人民大学出版社,2006:383.

[11] (德)乌尔里希·齐白.全球风险社会与信息社会中的刑法[M].周遵友,江溯,等,译.北京:中国法制出版社,2012:285.

[12] 刘明祥.窃取网络虚拟财产行为定性研究[J].法学,2016(1):153.

[13] 龚培华.评法条竞合重法优于轻法原则[J].中国法学,1992(4):79.

[14] 高富平,王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律,2017(2):51.

[15] (德)埃里克·希尔根多夫.德国刑法学—从传统到现代[M].江溯,黄笑岩,译.北京:北京大学出版社,2015:360-363.

[16] 陈立.略论我国刑法的目的犯[J].法学杂志,1989(4):18-19.

[17] 张明楷.刑法分则的解释原理[M].北京:中国人民大学出版社,2004:191.

[18] 付立庆.非法定目的犯的甄别与定位——以伪造货币罪为中心[J].法学评论,2007(1):142.

[19] 孔令杰.个人资料隐私的法律保护[M].武汉:武汉大学出版社,2009:70.

[20] 贾学胜,郑泳彬.美国对商业秘密的刑法保护及其启示——由《反经济间谍法》的修正引入[J].知识产权,2014(5):104.

[21] 欧阳本祺.论刑法上的具体危险的判断[J].环球法律评论,2012(6):78.

[22] 刘素华.大数据时代保障公民数据信息安全的网络治理[J].理论视野,2016(11):46.

[23] 24时延安.个人信息保护与网络诈骗治理[J].国家检察官学院学报,2017(6):24.

The Theoretical Identification and Application Space of the Crime of Infringing Citizens’ Personal Information

LI MINGLU

In the information society, citizen personal information is faced with huge hidden dangers of security, which leads to a series of illegal or criminal acts on information. Therefore, criminal law must respond to it. The identifiability of citizens’ personal information means that the protection mode of personal information is different from the traditional property crime. Theft is not enough to evaluate the personal information crime, the complex object to which is personal rights and property rights. Therefore, the special crime should be convicted .The crime of infringing on citizen personal information is the non-pure omission crime, which the omission can also constitute. If the network service provider knows or should know that other people use the network technology provided by them to implement the information illegal crime and fails to fulfill its legal obligation of network security management, then it constitutes the accessory of this crime. The maintenance of information security needs the pluralistic protection of the network technology, administrative supervision and criminal sanctions, however,excessive intervention of the criminal law is not helpful enough for the application and development of data, so we should insist on the modesty of criminal law and handle the relationship between information violation and information crime.

citizenpersonal information; information crime;criminal omission; administrative violation

本文推荐专家：

韩松，西北政法大学，教授，研究方向:民商经济法。

焦和平，西北政法大学，副教授，研究方向:民法和知识产权法。

2017-05-14

李明鲁（1994-），女，山东菏泽人，中国政法大学硕士研究生，研究方向：刑法学。

D924.34

A

1008-472X(2018)03-0064-08