非法获取公民个人信息罪研究

非法获取公民个人信息罪研究摘要2009年2月28日颁布施行的《刑法修正案（七）》中增设出售、非法提供公民个人信息罪，后于2009年10月16日出台司法解释确立了两个侵犯公民个人信息犯罪罪名，分别为出售、非法提供公民个人信息罪和非法获取公民个人信息罪。本文就非法获取公民个人信息罪这一问题，分四个部分进行探讨。在第一章的时候首先简单介绍了国外关于非法获取个人信息罪的立法进行评析，然后分析我国的立法背景以及立法发展的历程。第二章主要对非法获取公民个人信息的构成特征进行分析，这一部分主要分析了犯罪客体、犯罪客观方面、犯罪主体、犯罪主观方面。第三章节主要对非法获取公民个人信息罪的司法认定进行分析，这一部分主要从罪与非罪的界限区分、共同犯罪形态的认定、一罪与罪数的认定三个方面进行详尽的论述。文章第四部分就是针对非法获取公民个人信息罪在立法上的缺陷进行分析，并且针对这些缺陷，提出了相关解决方案。关键词：个人信息罪；犯罪主体；非法获取；人肉搜索前言在理论界，目前学者们对非法获取公民个人信息罪也只是进行一般性的解读，并没有进行深入的探讨，对直接影响定罪的“情节严重”没有细化研究，对客体的范围、法定刑的设立等问题也没有相应的研讨，与其他部门法之间的协调也是必须要解决的问题。鉴于此，本文在对非法获取公民个人信息罪的构成要件解读的基础上进行深入分析，然后对本罪在司法认定方面涉及到的问题进行探讨，最后提出完善本罪的立法建议。一、非法获取公民个人信息罪的立法考察（一）国外立法的概况与评析国外发达国家的刑法对侵犯公民个人信息类犯罪行为的规定除了在立法时间上较早，也因国情的各异，这些国家的刑法对这类犯罪的罪名称法和规定的内容上也有差异。但是从总体上看，侵犯公民个人信息类犯罪在这些刑法中都属于轻罪，大多把泄露公民个人信息类犯罪规定为“身份犯”，即犯罪主体具备一定的特殊身份（主要是职业身份），而且实施侵犯公民个人信息的犯罪行为也是基于特殊身份形成的条件；而对于非法获取公民个人信息类犯罪的规定，则未要求行为人具有特殊身份。我国《刑法修正案（七）》对侵犯公民个人信息犯罪的规定也具有这样的特点：将出售、非法提供公民个人信息罪规定为身份犯，将非法获取公民个人信息罪规定为一般主体犯罪。（二）我国关于非法获取公民个人信息罪的发展历程我国在2009年2月28日颁布实施的《刑法修正案(七)》中对此作了规定。《刑法修正案（七）》第七条规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照该款的规定处罚。”《刑法修正案(七)》第七条第二款将窃取或者以其他方法非法获取本条第一款规定的信息，情节严重的行为规定为犯罪。《刑法修正案(七)》颁布实施后，“两高”研究室共同对《刑法修正案(七)》涉及的罪名适用问题进行了研究，经过多次征求意见，反复修改，形成共识。经2009年9月21日最高人民法院审判委员会第1474次会议、2009年9月28日最高人民检察院第十一届检察委员会第20次会议审议通过，《最高人民法院、最高人民检察院关于执行<中华人民共和国刑法>确定罪名的补充规定(四)》于2009年10月16日公布施行。该规定将《刑法修正案（七）》第七条第二款犯罪的罪名确定为“非法获取公民个人信息罪”。二、非法获取公民个人信息罪的构成特征非法获取公民个人信息罪是指个人或单位窃取或者以其他方法非法获取上述信息，情节严重的行为。（一）犯罪客体“犯罪直接客体揭示了具体犯罪侵犯的社会关系性质及对社会危害程度的轻重，对区分各种具体犯罪的界限，决定量刑轻重有至关重要的作用。”肖本山:“侵犯公民个人信息罪若干疑难问题探讨—兼论相关立法之完善”，载《黑龙江政法管理干部学院学报》2009年第3期，第44页.鉴于此，对这一问题进行研究的学者众多，百家争鸣，各执一词。有人认为该罪名的直接客体为身份信息资料管理秩序和他人的合法权益。该观点中“身份信息”的概念与“公民个人信息”的概念有所偏差，“他人的合法权益肖本山:“侵犯公民个人信息罪若干疑难问题探讨—兼论相关立法之完善”，载《黑龙江政法管理干部学院学报》2009年第3期，第44页.王兰高、王娟:“对盗窃罪若干立法问题的思考”，载《河南公安高等专科学校学报》2008年第2期，第65页.黄丽勤:“我国《刑法》对档案保护的新进展—论非法提供个人信息罪与非法获取个人信息罪”，载《档案与建设》2009年第6期，第14页.（二）犯罪客观方面1.客观行为“窃取”和“以其他方法非法获取”归属于非法获取公民个人信息罪的客观行为方式。窃取是指没有被人察觉或者自己认为没有被人察觉而取得公民个人信息的行为。“窃取”与“盗窃”的含义并非完全等同，准确定罪需要将二者区别开来，“‘盗’着重于因‘贪’而取，与行为人是采用公开的还是秘密的、暴力的或是非暴力的手段无关；‘窃’则必须是乘人不知而取，强调‘乘人不知’，其外延较‘盗’之外延小得多。”王兰高、王娟:“对盗窃罪若干立法问题的思考”，载《河南公安高等专科学校学报》2008年第2期，第65页.窃取更偏重于“窃”的含义，与“盗”的内涵不尽相同。至于“窃取”的具体行为方式，“既包括盗窃载有公民个人信息的载体，如法院刑事案件案宗、医院病历、电信部门的客户资料等，也包括不盗窃载体而仅复制有关信息，如摘抄、摘录、翻拍、复印、窃听、窃录、窃照等。王兰高、王娟:“对盗窃罪若干立法问题的思考”，载《河南公安高等专科学校学报》2008年第2期，第65页.黄丽勤:“我国《刑法》对档案保护的新进展—论非法提供个人信息罪与非法获取个人信息罪”，载《档案与建设》2009年第6期，第14页.2.犯罪情节对于危害结果，本罪并未明文规定，却出现了“情节严重”的字眼，即构成本罪没有危害结果的要求却有犯罪情节的限制，有学者将其概述为情节犯。至于“情节严重”的具体内涵，还有待最高人民法院、最高人民检察院的相关司法解释作出明确规定，目前在司法实践中应先根据主客观相统一的原则具体问题具体分析，大致包括非法获取公民个人信息数量较多的，违法所得数额较大的，引发其他违法犯罪行为的(多为下游犯罪)等等多个方面。（三）犯罪主体1.自然人就本罪而言，自然人即已满16周岁具有辨认和控制自己行为能力的人。“这既是行为人承担刑事责任的必要条件，也是行为人成为犯罪主体的必要条件。”阮齐林:《刑法学》，中国政法大学出版社2010年版，第90页.阮齐林:《刑法学》，中国政法大学出版社2010年版，第90页.非法获取公民个人信息罪中的自然人属于一般主体。在新增法条第二百五十三条之一第二款的规定中并无特殊限制，因此，该罪名中的自然人既包括出售、非法提供公民个人信息罪中国家机关和金融、电信、交通、教育、医疗等单位通过履行职责或者提供服务所获取公民个人信息的工作人员，也包括这些国家机关和单位中不是通过正当途径取得公民个人信息的工作人员，还包括这两种情形之外的其他自然人，由此可知，这里的自然人应属于一般主体的范畴。2.单位单位也是非法获取公民个人信息罪的犯罪主体，根据我国《刑法》第三十条的规定:“公司、企业、事业单位、机关、团体实施的危害社会的行为，法律规定为单位犯罪的，应当负刑事责任。”可知，非法获取公民信息罪的单位是指公司、企业、事业单位、机关、团体。本罪对单位犯罪采用的是“双罚制”，既对单位判处罚金，又对其直接负责的主管人员和其他直接责任人员依照《刑法》第二百五十三条之一，各条款的具体规定判处相应的刑罚。（四）犯罪主观方面对于非法获取公民个人信息罪，笔者认为非法获取公民个人信息者仅有直接故意的心理，即明知自己的行为破坏国家对公民个人信息的管理秩序，侵犯了公民享有的与个人信息相关的权利，仍然希望这种危害发生，而不存在间接故意的情形，因为窃取或者以其他方法非法获取都是基于主动希望心理的积极取得行为。有的学者认为本罪应限定为以营利为目的，这种观点缩小了本罪的适用范围，将不以营利为目的但仍可能造成严重后果的行为非犯罪化。有的学者认为本罪应规定以实施下游违法犯罪行为为目的，但是司法实践中对于行为人获取公民个人信息之后是否为了实施其他违法犯罪的主观意图有时很难认定，如果仅靠揣测势必造成误断，况且本罪的立法重点在于惩罚侵犯公民个人信息的若干行为，限定了以实施下游违法犯罪行为为目的有所偏失。三、非法获取公民个人信息罪的司法认定（一）罪与非罪界限的区分本罪侵犯的客体是公民个人信息权及生活安宁权，主要是公民个人信息权，而公民个人信息权的核心是个人信息自主权，罪与非罪的界限主要以“情节严重”与否来进行判断。因此情节严重与否主要看这些行为的具体样态对公民信息自主权的危害程度，而不应单纯看行为人的目的和获利的多少。笔者认为，对“情节严重”可以从以下几个方面判断:1.对个人侵害程度对个人侵害程度的判断主要体现在以下几个方面:（l）对个人造成的损失大小。个人信息权既有财产属性又具有人身属性，因此，对个人造成的损失既包括财产损失，也包括人身损害，以及精神损害。对个人造成的财产损害是可以用数额衡量的，损害的数额越大，情节越严重；有些人获取个人信息可能是为了获利，也可能是为了人身攻击，在获取的过程中也有可能会对人身造成伤害，因此，人身受到的伤害越大，情节越严重。（2）信息的重要程度。信息因其对个人的价值不同必然有重要与一般重要之分，行为人非法获取的是一般重要的个人信息带来的后果必然轻于获取的是重要信息所带来的后果。（3）侵害行为持续时间。对此主要考虑的是对信息主体造成经济损失、人身伤害或精神损害的行为所持续的时间，时间越久，对信息主体的伤害就越大，损害程度越深，行为危害性也就越大，动用刑罚来干预的必要性也就越大。（4）涉及地理区域。有一研究犯罪的美国学者曾指出，“一个发生在特定邻居或社区的犯罪不会被认为与一个跨州的、跨区域甚至超越国界的犯罪具有相同的严重性。”行为人将获取的信息在小范围内使用或传播，其危害性要小于在更大的区域内造成的影响。2.对社会影响程度对社会的影响主要考虑以下几个方面:（1）影响范围。一个对全国造成影响力的案件对人们的影响是很大的，其影响力就像水的波纹一样从中心向外逐渐扩大，人们面对某一案件时，都会在潜意识中形成一种防范力和恐慌感，范围越大，受影响的人群越多，过度的防范意识容易导致信息壁垒，过度的恐慌则会造成社会的混乱，因此，影响范围很大程度上决定了社会危害性的程度。（2）影响深度，即对社会造成的损害程度。每一种犯罪行为必然会对社会造成一定的损失，获取公民个人信息的主要目的是为了获取经济利益，因此对社会造成的损失也主要体现在经济利益的损害上。当然由非法获取个人信息所导致的一系列侵害中也会有对身体和精神的伤害。有些案件，也许对单个个人并没有造成很大的损失也没有带来人身或精神上的伤害，但是对某类信息集合的非法使用则会给社会或大多数人带来损害，因此，这也是考察情节严重的一个3.行为人获利多少据中央电视台3.15晚会节目曝光，100元可以买到1000条各式各样的信息，记录有姓名、手机号码、身份证号码等。虽然获利与损害很多时候并不能对等，但是获利的多少也反映了行为人的行为侵害程度的大小，而且，将获利多少作为定罪量刑的依据之一也体现的了刑法的惩罚性，并且也能很好的起到预防犯罪的作用，因为大部分获取个人信息的行为目的是为了获取利益。获利越多，获取的信息的重要程度可能就越大，涉及的人群也可能就越广，因此，危害性也就越大。4.主观恶性的大小虽然刑法立法以社会危害性为主要范畴，以社会危害性大小来安排刑罚的体系、种类及法定刑幅度。但是刑法立法不可能忽视人身危险性的存在。纵观世界各国刑法，在定罪量刑时除对行为的社会危险性进行考虑以外，还要考虑犯罪人的人身危险性程度。主观恶性的大小体现了行为人在实施行为时的主观心态，判断行为人主观恶性的大小对刑法对行为的评价具有重要的作用。它体现了行为人对特定个人或者社会的危险程度，并能反映出行为人的再犯可能性。对主观恶性的考察是定罪量刑的重要依据。行为人实施获取个人信息的行为，是为了主动追求报复社会、伤害个人的效果，还是为了获取利益，还是被欺骗、胁迫而为之，其造成的危害性也必然不同，在定罪处罚时应该有所区分，因此，主观恶性的大小也必然成为本罪情节严重的表现方面之一。（二）共同犯罪形态的认定本罪涉及的共犯问题有两种情况:1.本罪与其他犯罪的共犯问题在一些案件中，非法获取公民个人信息的行为常常是作为实施其他犯罪的手段或预备，此时，若行为人明知他人是为从事其他犯罪而为其获取公民个人信息，那么其应当成立共犯。比如，他人为实施绑架、诈骗等需要获取些个人信息，而行为人为其采用非法手段获取目的人的信息，则应当成立绑架罪、诈骗罪的共犯。若行为人获取公民个人信息的目的不是为了用于他人实施的其他犯罪，而是单纯的出卖或者自己使用，则不会出现共犯问题。’在行为人获取公民个人信息是为了其自己实施绑架、诈骗等犯罪的情况下，也不会出现共犯问题。2.本罪内的共犯若是两人以上共同实施非法获取的行为则成立本罪的简单共犯。若有人起到了帮助、教唆的作用，虽然没有直接实施非法获取的行为，也应成立本罪的共犯。对于购买行为，若行为人是从国家机关或者金融、电信、交通、教育、医疗等单位的工作人员处购买，则上述人员因触犯了非法提供公民个人信息罪而不成立共犯；但若是从国家机关或者金融、电信、交通、教育、医疗-等单位的工作人员以外的人员处购买，则以外的这些人员成立非法获取公民个人信息罪的共犯。在现实生活中，获取信息之后出卖提供给他人以获取经济利益是最常见的形式。（三）一罪与罪数的认定罪数问题主要涉及同一行为人所实施的行为是以一罪还是数罪处理。一罪与数罪判断的标准，不是看行为人有几个行为，或者有几个犯罪结果，也不是有几个目的，而是应该以构成要件为准则，即看其行为符合几个犯罪构成要件，符合一个犯罪构成要件就是一罪，符合两个或者两个以上犯罪构成要件就是数罪。在实践中，非法获取公民个人信息的行为往往并不是行为人或者第三人的最终目的，而常常伴随其它犯罪。因此，非法获取公民个人信息罪很容易发生与其它罪的牵连。另外，因个人信息所具有的隐秘性与价值型，也很容易使得本罪与其他犯罪产生竞合。1.牵连犯牵连犯，就是行为人以一个犯罪意图，实施的方法行为或者实施的结果又另外触犯了其他罪名。牵连犯具有两种形式，分别为方法行为与目的行为的牵连，原因行为与结果行为之间的牵连。此时，行为人主观上是要实施一种犯罪，客观上行为人为实施这种犯罪而采取的方法行为或者实施这种犯罪而形成的结果行为具有直接不可分离的关系。在司法实践中，非法获取公民个人信息罪因获取行为的多样性以及获取之后的目的差异性，使得与其他罪之间很容易形成牵连关系。2.竞合竞合分为法条竞合和想象竞合，两者都是一行为触犯了数个法规。但是，想象竞合是一行为导致发生数个结果，符合数个犯罪构成；而法条竞合是一行为发生一个结果，只符合一个犯罪构成。四、非法获取公民个人信息罪的立法缺陷及其完善（一）立法缺陷1.法律条文上的漏洞(l)犯罪构成要件不够明确。构成要件是犯罪概念的基础，是一个罪名之内涵的具体化。犯罪构成所回答的是犯罪是如何成立的、成立需要什么样的条件，即成立犯罪的标准。通过犯罪构成以说明什么样的行为应受刑罚处罚。(2)基础概念缺乏明确的界定。首要的就是对“公民个人信息”的界定。法条中使用的是“上述信息”，不仅没有对公民个人信息的概念和范围加以界定，反而使之与前一款所述的“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息”之间形成争议，之后也没有司法解释加以说明，那么对公民个人信息概念范围的争议必然会带来一些司法实践中的困难。(3)法定刑设立相对简单，法条中只是规定了“三年以下有期徒刑或者拘役，并处或者单处罚金;单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”法定刑较轻，不能完全与非法获取个人信息的行为所带来的危害想适应，有违罪刑相适应原则。(4)本罪条文设立在刑法第二百五十三条即私自开拆、隐匿、毁弃邮件、电报罪之后，虽然邮件电报涉及到公民的个人信息权，但是对公民个人信息权的保护不能单纯等同于对邮件电报的保护，这样设计法条，缺乏条理与逻辑性。2.司法实践中的缺陷首先是公民个人信息概念不明确，以及什么情况下才算达到情节严重存在多种理解，使得在司法实践中，容易导致同种行为在不同的法院、不同的法官之处被处以不同的刑罚，甚至导致是否成立本罪的差异。这样会极大损害刑法的权威，对刑法惩罚与防止犯罪的作用带来影响。另外，由于本罪多依托网络，具有速度快、范围广、隐蔽性强等特点，调查取证比较困难，传统的诉讼管辖原则以及举证责任原则都很难适应本罪的特点，从而难以有效的打击此类犯罪行为。（二）立法完善1.完善相关法律条文首先，作为本罪犯罪对象的“公民个人信息”的范围有待明确。本罪规定在刑法第四章侵犯公民人身权利、民主权利罪中，其侵犯的客体是公民对个人信息的所有权、使用权和支配权，犯罪对象是公民个人信息。公民个人信息作为法律保护的对象，无论是民法、行政法、刑法保护的范围应当是一致的，只是因为公民个人信息所遭受侵害的严重程度不同而采取轻重不同的法律保护手段，即只有到了刑法所规定的“情节严重的”程度，才给予刑法保护而已。所以，公民个人信息的内涵和外延在法律保护的范畴内应当是一致的。其次，对本罪设定的法定刑，笔者认为过于简单，而应提高法定刑幅度且增加量刑档次。对比国外立法例，我国对于非法获取个人信息的行为设定的法定刑相对较轻。非法获取个人信息的行为在现实生活中情况复杂多一样，所带来的社会危害性也很难说小或大，信息安全在信息时代对于社会的发展是至关重要的，但是信息的价值不能一概而论，而且获取个人信息的手段行为既可以轻松简单也可以复杂暴力，因此，对于本罪法定刑的设定应该充分考虑到现实情况，将手段恶劣影响后果严重的获取行为，在罪刑相适应的原则下提高法定刑，并根据情节的严重程度不同区分不同的量刑档次。2.完善相关内容科技的高速发展，给人们的生活带来了前所未有的变化。个人信息的范畴也随之不断的变化，比如基因信息是否可以作为个人信息加以保护等;也有越来越多新兴的社会现象出现在人们的生活里，比如“人肉搜索”等。个人信息作为一种特殊的犯罪对象，是处于不断的变化之中的，因此，法律也应该适应新情况的出现。第一，将非法获取基因信息的行为纳入本罪。第二，“人肉搜索”不能入罪。“人肉搜索”是近年来最新出现的一种社会现象，也带来了社会各界激烈而广泛的讨论。正是基于这种特殊的搜索方式，也由于广大网民的众人力量，往往使得被搜索人的个人信息被过度曝光，给被搜索人带来人身、名誉、精神的各种损害，严重影响了被搜索人的正常生活。3.协调相关立法在我国，对个人信息的保护刑法走在了其他法律的前头，通过刑罚手段弥补民事、行政法律制裁手段规定的不足，在个人信息保护法律手段空白的情形下是值得肯定的，但是，刑法作为其他法律实施的保障法，理应以民法或者个人信息保护法的相关规定为前提。因此，应加快《个人信息保护法》的立法进度，对侵犯个人信息的行为规定行政制裁手段。可喜的是，在刚刚出台的《侵权责任法》中，将隐私权作为公民权利确定下来，明确规定侵犯隐私权的行为应承担相应民事责任。《个人信息保护法》作为保护个人信息最有效最全面的法律，更应加快立法进程。另外，应尽快出台相关司法解释，对于刑法条文中的不确定因素加以确定，提高该罪在司法实践中的可操作性，并且与刑法、民法以及未出台的个人信息保护法之间相互协调，一起形成全面的保护网，对个人信息加以更全面更立体的保护。

结论通过文章分析，我们可以看出，我国关于非