公民个人信息刑法保护范围的动态分析

　　随着互联网络技术的不断发展，信息成为一种高附加值的社会资源，特别是随着数据存储技术及数据分析技术的不断发展，信息背后所隐含的经济利益日益凸显，随之而来的，收集、贩卖及窃取公民个人信息的现象泛滥成灾，利用公民个人信息进行网络诈骗、勒索、电信欺诈等犯罪行为屡见不鲜。
　　有鉴于此，《刑法修正案（七）》于2009年2月28日正式颁布实施。最高人民法院和最高人民检察院于2017年5月8日联合颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），虽然《解释》第一条即对公民个人信息明确定义，但实践中仍存在许多问题以待解决。本文拟从行为类型化角度入手，分析不同行为类型下，公民个人信息的不同范围。
　　一、公民个人信息的类型化解构
　　侵犯公民个人信息罪的实践适用前提是解决公民个人信息认定问题。《解释》第一条规定了公民个人信息概念。从该定义来看，我国当前司法实践中对于公民个人信息范畴认定采用识别说，有人认为，个人信息是指通过其可识别出具体个人，其被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息。有人认为，个人信息是指公民跟人不愿公开和传播，一旦对外公开和传播，将可能对公民权利造成损害的信息。根据《解释》对公民个人信息的定义，其无法单独成为公民个人信息。可见，公民个人信息并无法作为罪与非罪的认定标准。公民个人信息离开提供、出售或非法获取等行为，其本身并不足以造成对公民个人及社会的危害。公民个人信息仅仅是犯罪行为所针对的对象，公民个人信息与不同的行为类型向结合，必然产生不同的后果，因此，公民个人信息在性质上并不能也不应当予以明确。从这个意义上而言，笔者赞同个人信息是并不存在具体的形式，只要信息与公民个人之间存在关联性和映射性，可以通过该信息识别特定个人，即属于公民个人信息。因此，应当对公民个人信息进行类型化分析后，明确不同行为模式下，公民个人信息范围，否则必然会顾此失彼。
　　（一）公民个人信息的类型化解构
　　其一，基于公民个人信息自身属性的分类。第一，商业型信息。信息自决权为个人信息保护立法的权利基础，公民个人信息权是公民个人自决权范围内的个人权利，公民可基于个人真实意思表示，决定个人信息是否予以公开，也可由公民决定个人信息是否可作为交易的对象等等。因此，部分互联网供应商通过使用说明的方式，要求使用者让渡部分个人信息，对于公民个人基于意思表示所让渡的个人信息，应当结合行为方式及给公民的造成影响进行进行判断。第二，安全型信息。我国自古以来奉行国家利益一元化的理念，《孟子》一书中：民为贵，社稷次之，君为轻的民本思想，正是对国家利益至上的经典表述，当公民个人利益与国家利益相冲突时，公民个人利益应让位与国家利益。因此，与公共利益息息相关的个人信息应当不包含在侵犯公民个人信息罪的公民个人信息范畴内。
　　其二，基于公民个人信息的对其利益关联性的分类。基于公民个人信息与公民个人之间利益关联性，可将公民个人信息区分为：无益型信息及利害型信息。第一，无益型信息。虽然《解释》第一条对公民个人信息做了列举，如：姓名、身份证号码、通信通讯联系方式、地址、账号密码等，但在脱离具体行为模式的情况下，简单的将所有公民个人信息作为犯罪对象，似乎不当的扩大了侵犯公民个人信息罪的适用范围。有学者认为：姓名、年龄是不值得刑法保护的单纯性的数据信息，不属于刑法中的公民个人信息。第二，利害型信息。《解释》第五条中将其他可能影响人身、财产安全的公民个人信息作为衡量本罪情节轻重的标准，从某种程度上说明侵犯公民个人信息罪中的公民个人信息应当是与行为结合之后可能影响人身财产安全的信息，而非任何与公民有关的信息。也就是说，对于公民个人存在相当利害关系的个人信息应当收到更为全面的保护。
　　二、行为类型化模式下公民个人信息的范围
　　我国刑法第253条之一规定将侵犯公民个人信息罪的行为方式分为两类，依据该两类行为的特征，我们可以将侵犯公民个人信息罪的行为方式可以归纳为提供型或者获取型。
　　（一）提供型行为类型下公民个人信息的认定
　　根据我国《刑法》第253条之一的规定，提供型行为类型主要包括：出售和提供两种模式。这两种行为模式是一种中性行为。所谓出售一般指等价有偿交易，若未有不法目的，仅存在出售和提供公民个人信息的行为，并不一定存在非法问题。导致法律行为出现瑕疵的原因一般有行为能力欠缺、标的不适当、意思表示不健全等。上述情况的出现，仅产生法律行为无效后果，并不存在非法的情况。笔者认为，我国《刑法》对提供型行为加以刑罚规制的主要原因在于此类行为所指的公民个人信息具有一定的特索性。如前文所述对无益型信息，如对于公民姓名及年龄等公民个人信息，应当排除在提供型行为犯罪对象的范围之外。同时，随着数据产业的不断发展，信息财产属性日益突出，对于经过技术处理的商业型信息，也应当排除在提供型行为犯罪对象的范围之外，对出《解除》第三条第二款也作出了规定。
　　（二）获取型行为类型下公民个人信息范围的认定
　　根据我国《刑法》第253条之一的规定，获取型行为类型主要包括：窃取和其他方法非法获取两种模式。有的学者认为，《解释》一律将其作为犯罪处理过于武断。其认为获取型行为在行为阶段未侵害公民法益，仅是为下游犯罪提供可能性。这种观点着眼于行为的危害后果，但忽视了获取型行为本身的非法性和可责性。《解释》第四条规定，违反国家有关规定，通过购买、收受、交换等获取公民个人信息，或者在履行职责、提供服务工程中收集个人信息的，属于刑法第二百五十三条之一第三款规定的以其他方法非法获取公民个人信息。该规定在行为前冠以违反国家有关规定，再次申明了获取型行为的非法性。因此，相较于提供型行为，在获取型行为方式之下，笔者认为应当将公民个人信息范围扩大化，只要获取公民个人信息的行为没有合法性基础，即应当对该行为进行处罚，同时，根据获取的信息类型确定具体的量刑标准，如獲取利害型信息的行为，较之获取无益型信息的处罚要更为严格。
　　注释：
　　朗胜。《刑法修正案（七）》立法背景与理解适用〔A〕。赵秉志。公民个人信息刑法保护研究〔J〕。华东政法大学学报，2014（1）。
　　张磊。司法实践中侵犯公民个人信息犯罪的疑难问题及其对策〔J〕。当代法学，2011（1）。
　　张玉华，温春玲。侵犯公民个人信息安全犯罪解读〔J〕。中国检察官，2009（8）。
　　曲新久。论侵犯公民个人信息犯罪的超个人法益属性〔J〕。人民检察，2015（11）：9。
　　王昭武，肖凯。侵犯公民个人信息犯罪认定中的若干问题〔J〕。法学，2009（12）。
　　庄绪龙。侵犯公民个人信息罪的基本问题以两高最新颁布的司法解释为视角展开〔J〕。法律适用，2018（7）。
　　王泽鉴。民法总则〔M〕。北京大学出版社，2009：378。