规训与克制：论两高解释第五条（一）至（三）项对侵犯公民个人信息罪判定的解读与反思

2022.10.26

代莉陈耀森

[摘要]互联网发展也带来了数据的共享，而数据中包含的个人信息被侵害的现状日益严重。审判实践中一般根据犯罪数额直接进行情节认定，个别非客观数额认定情形类案件，其判决结果一经作出即引发争议。规制侵犯公民个人信息的行为适用的法律主要是刑法分则第二百五十三条之一以及相关的司法解释，而最新的两高解释中第五条关于对“情节严重”的认定有十项，其中第一至三项是本文重点探讨对象。首先，针对法益评价，本罪保护的是公民个人人身财产权益以及社会属性法益的结合；其次，公民个人信息在认定上应当和个人隐私权、电子数据等区分，因为根据定义它更强调可识别性；最后，对“行踪轨迹”的深入探讨再结合案例法条分析，利于在今后适用时能更准确的在主观层面进行限制，以防滥用，从而违背刑法谦抑性原则。

[关键词]个人信息；两高解释；解读反思

[中图分类号]D923 [文献标识码]A [文章编号]1009—0274（2018）05—0099—06

[作者简介]代莉，女，四川省荣县人民法院立案庭审判辅助人员；陈耀森，男，四川省自贡市中级人民法院民三庭审判辅助人员。

互联网时代，公民个人信息拥有主体已从金融机构、通信、医疗机构、教育机构、国家机关等突破至一般互联网平台甚至个体经营。如阿里、腾讯、新浪、携程等社交平台、网络应用均掌握了大量公民个人信息。侵犯公民个人信息常与下游犯罪如盗窃、诈骗、敲诈勒索、绑架等相联系，它影响的不仅是个人隐私的泄露，更是个人安宁权、财产权乃至人身权的保护。尽管刑法分则、刑修七、九及两高司法解释等均有相关法律条文，但除犯罪数额结合犯罪情形对犯罪分子进行定罪量刑的一般情况外，对犯罪行为人主观恶性的评价在“情节严重”认定上仍然值得探讨。

一、失控的信息——公民个人信息的危机现状

从主动的信息供给，如国家机关、事业单位等的信息采用、信息核对，金融、教育、交通、通讯等部门的业务办理，到被动的信息分享、泄漏，如互联网科技类企业在公民个人信息的搜集基础上进行深度分析，最后形成大数据。我们时刻都暴露在“第三只眼”之下：淘宝、京东等监视着者我们的消费习惯，百度、360监视着我们的浏览习惯，微信、微博掌控着我们的社交关系网。与赤裸裸的未来相比较，当前大数据时代的一个致命缺点，在于数据共享的价值或福利是集体体验，而风险确却是个人承担。？譹？訛信息共享便利了生活，也滋生了新的权益侵害。

（一）受侵犯个人信息基数庞大

根据川渝两地区2018年上半年已上网的刑事一审裁判文书共53件统计，涉案信息数量远超4000万件，犯罪分子因此获利的金额总计高达六位数。

■图1 2018上半年川渝地区侵犯公民个人信息罪

刑事一审数据表

从图1可以看出，信息数量占比最大的当属一般公民个人信息，总共接近3500万件，占所选调研样本总量的87.5%。其次是楼盘业主信息，其信息件数总量接近500万件，虽比重较小，但基数庞大，且53件样本案件中有29件是关于楼盘业主信息的泄露，从犯罪客体的比例来看已超过50%。究其犯罪动机，主要是因为犯罪分子为拓展自身销售业务需要而向房地产商工作人员通过购买、交换等方式获取楼盘、楼号、门牌号、业主姓名、电话号码等公民个人信息。

（二）与侵犯财产权联系紧密

因陌生电话的频繁推销、诈骗短信导致当事人自身不堪其扰的现象不胜枚举。部分当事人因识别能力较弱、判断失误而遭受不同程度的财产损失。？譹？訛

如杭州李女士接到自称“长沙公安局”的电话，说其涉嫌非法集资。李女士听了对方说辞，便主动配合对方“办案”，前后共被骗取150多万元，一个月后李女士才醒悟报案。？譺？訛此案件涉及侵犯公民个人信息及电信诈骗，上下游关联犯罪侵犯他人财产的行为已达到典型程度。再如，人民法院接待当事人咨询情况中有因本人或近亲属、朋友等参与网络借贷而未偿还借款，虽本金较少，但利息逐日累计远超本金金额，对方或第三方使用虚假电话号码发送带有转账、恐吓、提供虚假信息性质的短信内容，基于当事人难辨真伪，且该信息已对本人及家属造成精神伤害，遂向法院核实、求助。此类情况普遍真实存在，严厉打击犯罪根源乃杜绝之本。

二、公民个人信息之立法保护现状

我国1979年刑法和1997年刑法均未对公民个人信息进行立法保护，直到互联网应用迅速扩张，用户逐渐庞大，侵犯公民个人信息的犯罪行为日益严重。

根据图2可知，对公民个人信息的保护在法律体系中已作出较为完备的规定。但缺点仍然十分明显，比如，分布散乱不便查询，杂乱无章易引用不当，部分法律条文不具操作性无处罚措施善后等等。具体到刑事法层面，虽有详细具体保护条文，但在罪与非罪的入罪认定上仍值得商榷。

（一）本罪法益评价：个人属性+社会属性

权利或者利益本身并不是法益全部，只是法益承载的内容，法益的整体应当是“法益承载的内容”+“法益的刑法评价”（或者称之为“法益的刑事规范价值”）。？譺？訛从本罪的位置分析，该罪属于刑法分则第四章侵犯公民人身权利、民主权利罪增设。根据立法原意，本章罪名保护的是公民人身民主权利，具体到侵犯公民个人信息罪，则保护的应当是有关公民个人的法益。从本罪的入罪条件“情节严重”之司法解释分析，公民个人信息并非完全自决于公民个人意愿，根据数量的底线限制也可以看出评价本罪并不以公民主观态度来决定对犯罪行為处置与否。因此，侵犯公民个人信息罪并非完全是个人法益属性，考虑更多的仍是社会属性法益的公共性。

（二）公民个人信息之界定

1.公民个人信息具有可识别性。根据表格一对个人信息的定义演变，公民个人信息的本质还是在于可识别性，不管是有关身份还是活动情况都要求是属于特定自然人。《两高解释》第三条第二款经过处理无法识别特定个人且不能复原的公民个人信息不能被计算其中。因此从法条的文字表述及含义理解来看，未能被识别为某个体的信息不属于公民个人信息。

2.公民个人信息比个人隐私更具客观性。具体来说，隐私涉及的私人信息具有强烈的主观意识，权利的中心更为注重对个体安全感的保护。王利明教授认为，隐私权作为一种重要的基本人权，涵盖个人的私生活整体，包括私人生活秘密、私生活空间以及私生活的安宁状态。？譹？訛作为超个人法益性质的公民个人信息，只有被他人以不被允许的方式掌控的信息才有可能被刑法纳入规制范围。？譺？訛若该信息不可识别，即使牵涉他人隐私，也不可算作其内。隐私权主观性强还表现在被害人事后可以个人自决权来定义该信息是否需要以法律形式加以保护，而根据两高解释中对入罪条件“情节严重”的规定来看，公民个人信息罪并不以公民个人的主观意志为转移，它具有更高的强制性和客观性。

3.公民个人信息外延小于电子数据。公民个人信息常以电子数据形式存在，但电子数据外延远大于公民个人信息。根据百度百科解释，电子数据是指基于计算机应用、通信和现代管理技术等电子化技术手段形成包括文字、图形符号、数字、字母等的客观资料，如商业秘密、研发产品、科技成果等可以电子数据形式储存。

案例：陈某、唐某、张某是同一个玩家QQ群里的网友，三人通过“小薇”（许某，已另案处理）提供的钓鱼网站，获取玩家的游戏账号及秘码共6606组，通过购买数据获取玩家账号、密码共36687组。获取玩家信息后，陈某三人先用账号及密码在官方网站上进行登录以验证正确与否以及查看玩家是否在线，若不在线就趁机登入，并将玩家装备及游戏币转入自己账号，然后通过网络平台贩卖获利。三人以此方式获利共计10.5万余元。最后法院一审将三被告以非法获取计算机信息系统数据罪获罪。？譻？訛

在本案例中，数据包含玩家账号及密码，但这些信息并不具备“对应性”特征，对信息主体不可识别；即使部分数据经查实可对应出某玩家的个人基本信息，但被告人并没有将这部分数据进行分析，而使得数据也仅是数据，不是公民个人信息。所以本案认定为非法获取计算机信息系统数据罪。

三、关于两高解释第五条（一）至（三）项入罪适用的解读

（一）“行踪轨迹”之理解

两高司法解释在第五条（一）和（三）项分别就“出售或提供行踪轨迹信息，被他人用于犯罪的”和“非法获取、出售或者提供行踪轨迹信息五十条以上”情形认定为属“情节严重”构成侵犯公民个人信息罪。由于行踪轨迹信息具有较强的人身属性，因其泄露所导致的危害较之于其他通信、信征、财产信息泄露之危害通常则更大，故该司法解释对行踪轨迹予以了“重点关照”。那么行踪轨迹内涵如何呢？尽管现行相关法律文件并未对此加以明确，不过我们可首先对此进行文义解释以明晰其基本概念，再通过体系解释确定其具体内涵。现代汉语词典对此解释为：行踪轨迹即行踪，指行动的踪迹（且多指目前停留的地方）。因此，可知行踪轨迹同时也包括了特定人在已经或将要发生的行动踪迹；而结合本司法解释的全文语境与第一条对“公民个人信息”的定义来看，则行踪轨迹应属于能单独或者结合得出识别特定自然人在特定地点的活动情况信息。即“行踪轨迹”既包括某特定自然人在特定时间所处的位置信息，也可包括其特定行为信息。值得注意的是，位置信息与行为信息二者间并非且的关系而是或的关系。

以刑事审判参考指导案例第1009号为例。？譼？訛在本案中，审判意见认为：手机定位属于动态信息，当公民从事某些活动不希望被他人获悉时，因其所处具体位置与其从事的活动具有直接联系，一旦所处位置被他人获悉，其所从事的活动也就相应暴露，从而可能损害其利益。故其所处的具体位置就具有明显的隐私性和权益性，属于刑法所保护的“公民个人信息”。“被跟踪车辆为专用公务车，该车的行驶路线、停车地点和时间等信息即反映了乘车人的日常活动情况。被告人胡某、王某获取的被害人的日常行动轨迹和活动地点等信息，涉及家庭住址、单位地址、经常出入的场所等公民隐私和生活习惯性内容，具有个人专属性，能反映出该公民某些个人特征，且信息内容关系到公民日常生活的基本安全性，信息的泄露会使公民彻底失去安全感，严重影响其日常生活。”

对上述审判意见，也有不同意见认为？譹？訛，本案中对目标车辆进行非法跟踪获取的行驶路线、停车地点及时间等组合信息只是间接信息，并不具备清晰的识别功能。一是该信息不符合日常所知私人隐私范围，若将日常行为活动归类于个人隐私，就扩大了隐私内涵，有违刑法谦抑性原则。二是被跟踪人的日常活动路线属于公开状态，仅以被他人获悉就推测出其合法权益有被侵害的可能性，主观臆测毫无事实根据，如此联系太过牵强。三是仅凭行踪轨迹信息，难与被跟踪人相对应，也就不符合公民个人信息识别性的本质特征，因此不宜纳入刑法保护范围。

对此，笔者以为严格把控概念的界限是判断罪与非罪的重要手段。“行踪轨迹”与个人隐私是明显不同的概念，行踪轨迹即可能是公开的日常活动，亦可为隐私活动。刑法将非法获取、提供、出售行踪轨迹信息情节严重情形规定为犯罪的原因在于，情节严重的非法获取、提供、出售行为本身所固有的社会危害性，而这无涉于行踪轨迹是否属于隐私的范畴。但不可否认的是，作为刑法所保护行踪轨迹，其必然应当与被追踪人相对应，并能够有效反映出被追踪人的行为或位置信息。

（二）关于两高解释第五条（一）至（三）项入罪之对比解析

两高司法解释第五条第（一）项规定：出售或者提供行踪轨迹信息，被他人用于犯罪的属于情节严重。从该规范的语意来看，只要行为人出售/提供的轨迹信息被他人用于犯罪，而无需考虑所提供行踪轨迹信息的多寡、提供行为人的主观意图、以及被用于何种犯罪便可直接入罪。根据法律规范指引功能，我們大概可以推导出这样一个结论：适用本条定罪，取决于信息获得者是否真正用于犯罪，如果仅用作他用等非犯罪用途，则该行为不够成本罪。司法解释将出售/提供行踪信息行为直接认定为独立的犯罪，则说明出售、提供行为本身具有刑事可罚性，但这种刑事可罚性却又需以“被用于犯罪”的法定后果为限定条件。换言之，仅存在出售/提供行为社会危害性小还并不值得刑事处罚，只有满足“被用于犯罪”的要件的提供/出售行为才具有值得刑事处罚的社会危害性，当然此种说法是建立在所涉信息尚不能到达第（三）项的数量限制之上的。

与第（一）项相比，第（三）项所保护的信息除“行踪轨迹信息”外，还包括通信内容信息、征信信息、财产信息等属于极敏感型的公民个人信息。同时在数量上规定50条以上的入罪标准，从数量定罪量刑的角度看是最少的，由此可以看出对这四类信息的保护力度之大。本项值得注意的是，除出售或提供行为外，非法获取行为也受本项规定所规制。在第五条第一项和第三项中“行踪轨迹”相同的保护对象，但保护方式却不同，第一项以预测性后果作为入罪条件，而第三项以客观数量标准作为入罪条件，究其出现差异并同时作为情节严重情形的原因，笔者看来立法者是根据刑法切入保护法益程度囊括主客观方面来进行规定。以刑事审判指导案例第741号谢信冲出售公民个人信息案为例？譺？訛，原审判根据第253条分别定罪出售公民个人信息罪和非法获取公民个人信息罪。若放到现在，根据最新司法解释进行认定，则谢某在适用条文上应当考虑第三项及第八项，而不适用第一项，即只能从数量条件上进行规制，而无法从他人是否用于犯罪来直接归罪。相较之于第五条第一项侧重于强调被用于犯罪的客观结果，第（三）项则实现了主客观条件方面的结合。由于上述四类信息常涉及公民的人身财产安全，因此有条件的对上述信息的非法获取、出售、提供行为进行刑事谴责。那么为何要以施以50条的数量限制呢？笔者的看法是：这样一个量限设置有助于判断违法行为人的主观恶性与行为所产生的客观危害结果是否值得刑法谴责。若非法获取、出售、提供他人上述敏感信息达到50条，却还不足以说明行为人的主观恶性，这会令我们的朴素的法感情难以接受。至于数量标准为何是50，而非第（四）規定的500呢？笔者的看法是，行踪轨迹、通信内容、信征、财产信息相较于住宿信息、通信记录、交易记录等信息而言，具有更强的人身依附性和隐私性，其更为涉及公民的人身财产安全，受刑法所保护的需要更为急迫。

帮助犯是为正犯提供帮助，可同正犯组成共同犯罪。两高解释第五条第二项指出，明知或应知他人利用公民个人信息实施犯罪而提供/出售的构成侵犯公民个人信息罪。此项形式似帮助犯而实为正犯，非共同犯罪而为独立犯罪，刑法理论对此称为帮助犯正犯化。本项规定所谴责的是行为人具有主观过错情形下为他人犯罪提供/出售公民个人信息的行为。将在明知或应知所涉公民个人信息将被用于犯罪情形下还积极提供/出售行为作为入罪情形之一，是因为行为人具有帮助犯罪的主观故意或过失，而此等主观过错下的“帮助行为”具有独立的刑事可罚性。为加大对公民个人信息的保护力度，因此将其规定为独立犯罪。从对“情形特别严重”的认定看，犯罪导致对公民人身造成严重后果的，或者造成与恶劣社会影响并列级别的重大经济损失，才升档加刑，而并非作为归罪条件，且此处没有强调个人的经济损失，可以理解为更看重的是对社会秩序的管控保护。因此司法解释独立评价第二项，需要结合出售或者提供者提供的公民个人信息在明知其犯罪的情况下继续提供，如此产生的不可挽回的甚至会较大概率产生严重人身财产损失后果等情形，才是符合适用本意，否则，可结合保护公民隐私权进行探讨。

案例：被告人李某自2016年其通过网络社交平台向他人贩卖公民个人信息，2017年3月，刘某、黄某向李某购买信息并用于犯罪，数量共70余万条。

案件原争议焦点是讨论公民个人信息概念问题，这里在所不论。李某明知刘某等二人用于犯罪，且刘、黄二人确用于犯罪，即使数量上不够，依然不影响对李某的定罪量刑。

四、关于两高解释第五条（一）至（三）项入罪适用的反思

（一）关于第（一）项事后价值倾向性评价的质疑

对于司法解释第五条第（一）项的规定有学者表示质疑。他们认为：前者获罪与后者主观意图并非完全吻合，这其中充满不确定性，既然因果关系上的评价不确定，那么直接以司法解释加以肯定，是不合适的。不区分具体情况唯以不具体确定性的“或然结果”为定罪标准的理念恐怕是一种“事后价值倾向性评价”，这与现代法治理念——国民能根据法律法规来确定自身行为是否是具体确定的被规制惩处的行为相违背。尽管在理论和实践中，这种主观性做法更为常规。比如，甲作为国家机关工作人员，在和朋友聚餐饮酒后，抱着侥幸心理独自驾驶汽车回家，结果被执勤的交警发现，最后人民法院以危险驾驶罪定罪处罚。因为甲的刑事处罚，连累的不仅是自己，还波及家人，有可能给同样即将从事体制工作的子女带来影响。甲如果没被查处，那么后续事情有可能不会发生。笔者以为，这无疑更算一种司法引导的作用，即其他有相同情况的公民应对此情形时会预判不利后果对自己带来的影响而因此终止行为。同理，将“被他人用于犯罪”这样的预测性结果作为入罪标准，一是意在提醒个人信息获得者应当规范管理并保障其安全性，二是在他人利用信息进行下游犯罪前及时扼杀于萌芽中。

（二）关于“被用于犯罪”的范围是否应当有所限制

第一项规定所引人深思的是，“被用于犯罪”要件中所涉犯罪是否应有所区分与限制？笔者以为：当他人获得公民行踪轨迹信息被用于实施绑架、抢劫、杀人等对公民人身法益有严重侵害的犯罪时，出售或提供行为成立本罪是毋庸置疑的。因为这些犯罪不仅社会危害性大，而且一旦实施便大多会对被追踪人造成严重的后果，由于行踪轨迹的提供或出售行为与后犯罪的发生具有一定的联系，对犯罪的发生有一定的加功，故此等行为社会危害性大，应当受到刑法的谴责与规制。但笔者所迟疑的是：倘若被提供行踪信息是被用于非人身法益侵害而是侵害财产法益的犯罪，如盗窃罪、诈骗罪时，此时不论行踪轨迹信息提供者的主观意图、提供数量、犯罪结果的严重程度而都追究提供行为的刑事责任，是否有违刑法的谦抑性原则？如后犯罪未遂其造成结果轻微或是犯罪行为尚未着手，而提供行为人不具有主观过错的情形。也许上述疑虑在司法实践中算不得什么问题，但笔者希望此项的适用应慎之又慎。正如柏拉图所言，法律应当着眼于善与德。司法者对于法律规范的服从并非是对规范的盲从，而应是对于法律的所追求的实质价值与利益的实现。

责任编辑：杨建平