尚权推荐SHANGQUAN RECOMMENDATION

结语

导言

当前，侵犯公民个人信息罪被广泛使用，该罪最高可判7年有期徒刑。然而，在信息爆炸的年代，侵犯个人信息犯罪似乎无处不在。个人信息被侵犯也许是信息时代不得不容忍的危险，只有那些突破容忍极限的行为才应受到刑法的打击，司法限缩势在必行。

任何法律概念都有一定的模糊性，刑法中的个人信息也不例外。虽然相关法律和司法解释都对个人信息有过定义——“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。但定义从来都是危险的，因为它本身就是人类有限性的一种体现。

正如维特根斯坦（Wittgenstein）所言：我语言的有限性就是我世界的有限性。模糊性的定义必然导致定罪量刑的模糊，司法实践中依然存在大量悬而未决的问题：偷拍行为构成此罪吗？隐私活动或隐私部位是刑法中的个人信息吗？隐私活动是自然人的活动情况吗？在某种意义上，所有的法律问题都是解释学问题，只是并非所有的解释都是合理的。

本文试图从自然犯的角度来理解本罪，为司法限缩提供一种新的思路。侵犯公民个人信息罪是法定犯还是自然犯？这其实并无定论。从表面上看，该罪的入罪要件有“违反国家有关规定”的表述，很容易被视为法定犯。然而，有“违反国家规定”“违反某某法规”等字样的也不都是法定犯。比如《刑法》第244条之一规定的雇用童工从事危重劳动罪，再如《刑法》第133条规定的交通肇事罪。

不同的思考路径将得出不同的结论。如果侵犯公民个人信息罪是一种自然犯，那么它就必须具有道义上的可谴责性；但如果将其视为法定犯，对它的处罚则似乎更多只是一种法律上的规定。

自然犯与法定犯的区分

法定犯的“肥大”是当前一个不争的事实，如果刑法并非一种单纯的社会控制工具，那么法定犯的限缩就必须提上日程。法定犯是与自然犯相对应的概念。

（一）自然犯概念的历史探微

如果探究自然犯的缘起，法定犯似乎只是作为一种被批判的概念。“自然犯罪”概念由加罗法洛（Garofalo）首创，他认为:“在一个行为被公众认为是犯罪前所必需的不道德因素是对道德的伤害，而这种伤害又绝对表现为对怜悯和正直这两种基本利他情感的伤害。……我们可以确切地把伤害以上两种情感之一的行为称为自然犯罪。”在加罗法洛看来，只有自然犯才是真正的犯罪，自然犯的概念从一开始就是对犯罪的实然概念进行限缩。加罗法洛反复提醒的是“在没有对普遍道德感造成伤害的情况下，既不可能存在犯罪，也不可能存在罪犯”。

加罗法洛没有提过法定犯的概念，这个概念是后人的附会。在加罗法洛看来，法定犯根本就不是真正的犯罪。“那些未被我们列入的犯罪不属于社会学研究的犯罪范围。它们与特定国家的特定环境有关，它们并不能说明行为人的异常……这些法律根据国家的不同而不同，且对社会的共同存在并非必不可少。”

自然犯概念一经提出，就遭到强烈的反对。最普遍的反对意见是：如果按照加罗法洛设定的犯罪界限，大量的犯罪都将被排除在外。对此加罗法洛平静地指出：这正是自己研究的目的，他的研究只限于应罚之事实。在他看来，只有这才是科学研究的对象。对于实证法学派提出的犯罪是被刑法所禁止的行为，“唯一存在的自然犯罪就是法律认为是犯罪的犯罪”，加罗法洛进行了严肃的批评，认为他们不过是玩弄文字游戏。

因此，自然犯这个概念从一开始就具有限缩刑罚权的意义。不少刑法学者有一种固执的偏见，认为将犯罪与道德联系在一起会导致犯罪圈的扩大，这其实是将积极道德主义和消极道德主义混为一谈。以道德作为入罪基础，只要违反道德就是犯罪，自然会导致犯罪的模糊与膨胀。但是以道德作为出罪依据，用道德规范来限制处罚范围，没有违反道德就不应认定为犯罪，这不仅不会导致犯罪圈的扩张，还能为限缩刑罚权提供坚实的道德根据。事实上消极道德主义在当前的大多数国家都被普遍接受。

（二）自然犯与犯罪本质的学说

关于犯罪本质，历来有权利侵犯说与法益侵害说的争论，它们与自然犯的历史沿革也有密切的联系。

1.自然犯与权利侵犯说

与加罗法洛自然犯罪概念相呼应的是关于犯罪本质的权利侵犯说，这也是一种限缩刑罚权的理论。这种学说认为犯罪是侵犯他人权利的行为，如果没有侵犯权利，那就不是犯罪。“一个真正的犯罪人的这些侵犯自然的行为本身具有自体恶，社会必须保护自己远离这些人，故必须对其严厉处罚，将此作为首要（优先）选项，以保护社会。其他违反法律但不存在违反人性的行为主要有技术性违法行为，可以通过修改法律或民事罚款来处理此类行为”。

自然犯的道德内涵通过权利这个法律概念被类型化。法定权利的前提是道德权利，而道德权利所对应的则是道德义务。对于那些重要的道德义务，比如尊重生命、尊重身体、尊重财产，会在法律中上升为法定义务，与其对应的也就是法定权利。犯罪就是那些侵犯法定权利的行为，自然也是对道德权利的伤害。总之，道德所谴责的行为不一定是犯罪，但是道德所鼓励的行为因为不可能侵犯法定权利，自然不是犯罪。

2.法定犯与法益侵害说

权利侵犯说无法解释实然法中大量存在的法定犯，于是法益理论应运而生。法益理论通过社会法益和国家法益这些超个人法益为法定犯提供全面的辩护，几乎实然法中存在的所有法定犯都可以通过超个人法益得到论证。“二战”之后，出于对法益理论扩张刑罚权的反思，德国刑法学界开始提出法益还原理论。这种理论认为所有的超个人法益都必须还原为个人法益，否则就是一种虚假的法益。如果将个人法益替换为个人权利，那么法益还原理论就是重回权利侵犯说。

一般利益、法益和权利都是利益，但一般利益非常模糊，法益则相对类型化，而权利则更为类型化，或者说它是类型化的法益。就罪刑法定原则所要求的明确性而言，用权利概念取代法益可能更为合适，也能避免法益理论的僵化。法益虽然具有一定的类型化，但是对于相同犯罪，人们考虑的利益总是无穷无尽，这就不可避免带来法益概念的模糊性，使任何关于个罪本质的讨论都是自说自话，缺乏共识。

几乎每一种犯罪，学者们的法益观都不尽相同。比如，对于故意杀人罪，如果不使用生命权，而使用生命法益的概念，那么杀害智力残疾人士和杀害智商超高人士，二者的性质孰轻孰重，就很难认定。

再如在关于收买被拐卖的妇女、儿童罪讨论过程中，有些学者也会在人身权利以外考虑各种利益，问题也就变得无限复杂。

另外，法益是法律所保护的生活利益。但是，如果打破砂锅问到底，什么样的生活利益值得保护呢？法益理论给出的答案是法律选择去保护的重要生活利益。正是这样一种循环论证让法益理论日益僵化与教条。

因此，有必要以权利概念激活法益理论。一方面权利是一种类型化的法益，这可以让定罪量刑变得更为明确；另一方面权利和道德义务密不可分，从而可以让法益概念走出闭路循环，接上道德生活的活水泉源，让定罪量刑不至于脱离民众的常情常感常识。因此，法益侵害说应该转变为类型化的法益侵害理论，也就是权利侵犯说。

3.损害原则与权利侵犯说

无独有偶，在英美法系，穆勒（Mill）在《论自由》一书中所提出的“损害原则”（没有侵害就没有刑罚）一直是刑法规范正当化的基础。根据这个原则，如果没有侵害他人（harm to other）就没有刑罚。罗克辛（Roxin）将“损害原则”看成“法益理论”的同道，但他也承认，损害原则仅仅是个人法益理论的同路人。这种损害原则只关注对个人的直接侵害或间接侵害，无法包容与个人无关的其他侵害，这其实可以视为权利侵犯说的翻版。

作为穆勒忠实的门徒，20世纪80年代美国法学家范伯格（Feinberg）在其四卷本的巨著《刑法的道德界限》中细致研究了穆勒的观点，发展了损害原则。范伯格将损害定义为利益的丧失或阻碍，并将利益区分为福利性利益和终极利益，前者是最低限度而非终极的利益，虽然必要但尚不足以带来美好人生，它只是美好人生的基本条件，绝非美好人生的全部。

只有最核心的福利性利益才受到刑法的保护。范伯格认为，损害就是对权利的侵犯，福利性利益的前提是道德权利。如果要避免法定权利或法益理论的循环论证，那么就必须将不法侵害视为对纯粹道德权利的侵犯，这种道德权利是先于或独立于对国家执行请求的对其他所有人的请求权。

所有的法定权利都应当有道德权利（义务）的基础。道德权利具有合理的根据，可以诉诸请求者的良心及公众舆论。如果请求权为法律所认可，那它既是道德权利，又是法律权利。如果法律所支持的请求权纯属臆断而毫无根据，比如奴隶主殴打奴隶的权利，又如封建领主的初夜权。这种请求权看似法律权利，但在范伯格看来，这种法律权利是错误的，只是虚假的权利。

值得注意的是，范伯格也认为法定犯并非真正的犯罪，它不是原生而是衍生的犯罪。所以他对这种衍生的犯罪避而不谈。在他看来，法定犯的刑罚只是一种最后方案，在非刑事立法中出现作为威慑后盾的刑罚条款，只是为了维护政府的执行权威，刑罚的对象是单单对权威不服从，维护的只是证照管理、提高财政收入等犯罪化以外的目的。范伯格所说的“法定犯”和我国刑法中的法定犯其实有很大区别。一如英国学者德富林勋爵（Lord Devlin）所言，法定犯是非常轻微的犯罪，自然犯可以适用监禁刑，但法定犯则一般不能处以监禁刑罚。

（三）法定犯与自然犯的界分标准

无论是法定犯还是自然犯，都应该侵犯了类型化的法益，也就是个人权利。如果要维持法定犯的概念，那就应该将法定犯从行政犯中分离出来。我国刑法学界对于法定犯与行政犯一般不作区分，但是行政犯是单纯违反行政管理秩序的行为，属于行政不法，“行政犯并不伴随着对法益的侵害，而是仅指对国家行政法规的单纯不服从”。而法定犯除了具备行政不法，违反行政管理秩序，还必须同时具备刑事不法，具有类型化的法益侵害性。总之，自然犯直接侵犯了个人权利，而法定犯则是间接侵犯个人权利的犯罪。

值得一提的是，所有的法定权利背后都离不开体现道德义务的道德权利。因此，无论是法定犯还是自然犯，其责任论的根基只能是道义责任论。有些法益论者在责任根据上反对道义责任论，采取法律责任论。论者认为，责任非难是一种法律上的非难，而不是道德审判与伦理评价。

因此，只能根据法律判断，而不能根据伦理道德判断行为人是否具有责任。按照这个观点，只要行为人的行为根据法律是违法的，即便在道德上可得宽恕，也无法免责，司法也就不可避免地僵化与教条，类似天津老太摆射击摊获罪的案件，可谓这种立场的自然结果。事实上，无论是忽视道德规范的法益理论，还是无视道义的法律责任论，在逻辑上都是循环论证，在实践中也将导致机械司法。

法定犯侵害的是超个人的法益，但是侵犯超个人法益的行为并不都是法定犯。在某种意义上，所有的超个人法益都具有个人法益的性质，所有的个人法益也都具有超个人法益的性质。故意杀人侵犯了生命权，但生命权自然也与社会和国家利益休戚相关。但如果学术研究不是一种纯粹相对主义的语言游戏，还是应该对这两个概念进行一定的界分。社会法益和国家法益属于超个人法益，对于超个人法益与个人法益的关系，学说上有两种立场：一种立场认为个人法益和超个人法益是并列关系；另一种立场认为两者具有同一性，超个人法益都应该归结于对个人法益保护，两者并无本质的不同。

如果采取第一种立场，那么法益理论就会成为纯粹的空洞说教，对于立法也就没有任何限定与批判，立法者所规定的一切犯罪都可以归结为某种超个人法益。当前大部分学者开始采取第二种立场，主张法益还原理论，认为各种超个人法益都应该归属于对个人法益的侵犯，只能从个人法益的概念来探究刑法的可罚性。这里的个人法益应当被类型化，也就是个人权利。

超个人法益作为一种公共利益，它可以在两种意义上归结于对个人权利（法益）的损害。

一种是无数个人所拥有的某种特定利益的总和，比如放火罪所危及的公共安全。这种利益作为整体并不必定属于每个人，却可以不加区别地属于任何人。危及公共安全虽然并非指名道姓地危及特定个人，但几乎没有一个恰好身处该地的人不会遭受危害。

另一种是所有人或绝大多数人在同一或类似的事情中所包含的利益，该利益并非个人所特有的利益，而是每一个人在同类事务中所包含的利益，比如环境损害对几乎所有人的利益都会造成损害。显然，侵犯第一种公共利益的犯罪其实是自然犯，这种公共利益完全是个人利益量的集合。法定犯所侵害的是后一种公共利益，这种公共利益并不要求绝对还原，但它在经验法则上最终可以归结于对个人法益（权利）的侵犯。

侵犯公民个人信息罪是自然犯

个人信息是任何能够认知、辨析、了解特定个人的信息，是社会交往和社会运行的必要工具或媒介。侵犯公民个人信息罪属于刑法分则第四章侵犯公民人身权利、民主权利罪，这清晰地表明了立法者认为这种犯罪侵犯了个人的人身权利。人身权利在信息方面的投射就是个人信息权。

《个人信息保护法》也已将重要的个人信息法益类型化为个人信息权。在信息时代，个人信息是人的信息影像，它与人身、自由、财产等个人权利休戚相关，个人信息权就是这些个人权利的信息载体。

侵犯公民个人信息罪是对个人信息权的侵犯，是一种直接侵犯个人权利的犯罪，显然属于自然犯，而非间接侵犯个人权利的法定犯。那么如何解释“违反国家有关规定”“非法”这些空白罪状的表述呢？

（一）作为法定犯的刑罚扩张事由

如果将侵犯公民个人信息罪理解为法定犯，那么空白罪状就是一种典型的刑罚扩张事由。立法者也可能确实把此罪视为法定犯。

2009年由《刑法修正案（七）》第7条规定了出售、非法提供公民个人信息罪——“国家机关或者金融……等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人……”根据《刑法》第96条的规定，“违反国家规定”是指，“违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。”但是按照法定犯的逻辑，出售、非法提供公民个人信息罪就属于超前立法，当时并没有可以援引的前置法律和行政法规等。

2015年《刑法修正案（九）》将出售、非法提供公民个人信息罪修改为侵犯公民个人信息罪，并以“违反国家有关规定”取代了“违反国家规定”。《个人信息司法解释》第2条将“国家有关规定”解释为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”，突破了《刑法》第96条关于法定犯前置法的限定。

但是，这种“法定犯”的立法现象无论在观念上、逻辑上，还是实践上都是完全错误的。

首先，在观念上，如果将本罪视为法定犯，在缺乏前置法的情况下，刑法先行的积极态度与刑法的补充性完全背离，从根本上违反了刑法作为最后法的立场。其次，在逻辑上，“国家规定”是大概念，“国家有关规定”是小概念，连大概念都不允许部门规章作为空白罪状的补充规范，但是小概念却认为部门规章可以作为补充规范，这严重违反形式逻辑，也与民众朴素的直觉相背离。最后，在实践上，既然违反国家有关规定可以援引部门规章来发动刑罚权，那么刑法中所有使用“违反某某规定”表述的（如《刑法》第337条的妨害动植物防疫、检疫罪——违反有关动植物防疫、检疫的国家规定……）都可以进行类似的解读，《刑法》第96条的规定也就形同虚设，这会从根本上动摇罪刑法定原则。

因此，即便立法者认为这种犯罪是法定犯，对于这种立法错误也必须进行补正解释，根据客观解释的需要将此罪解读为自然犯。

（二）作为自然犯的刑罚收缩事由

“违反国家有关规定”等空白罪状应该视为一种刑罚收缩，而非扩张事由。侵犯公民个人信息的行为具有道德上的不法性，直接侵犯了个人信息权，属于自然犯罪，但是由于信息时代个人信息的泛滥，侵权行为比较常见。每个人都害怕信息泄露所带来的权利损害，但同时也不得不接受信息外泄的风险，如果一律打击，这无助于信息社会的发展。“作为社会治理最后法律防线的刑法，对于法律责任及其制裁体系中最为严厉的刑事责任及其刑罚制裁，不是但凡有不法行为就要刑法出鞘动用刑罚”，刑法只能选择对那些严重的侵权行为进行惩罚。

一如所有故意伤害本都应视为犯罪，但是刑法只将轻伤及以上视为故意伤害罪的入罪标准。更为经典的例子是交通肇事罪，《刑法》第133条规定，“违反交通运输管理法规，因而发生重大事故，致人重伤、死亡或者使公私财产遭受重大损失的，处三年以下有期徒刑或者拘役……”。交通肇事是典型的自然犯，致人重伤或死亡原本构成过失致人重伤罪或过失致人死亡罪，但是由于现代社会必须对交通运输的风险持一定的容忍态度，因此只有违反了交通运输法规的过失行为才可能构成交通肇事罪，该罪中的“违反交通运输管理法规”显然是收缩了过失致人重伤、死亡犯罪的适用范围。

再如《刑法》第134条规定的重大责任事故罪，第135条规定的重大劳动安全事故罪，第137条规定的工程重大安全事故罪等责任事故类犯罪，立法者都使用了“违反有关安全管理的规定”、违反或不符合国家规定的表述，这些空白条款都属于刑罚收缩事由。事故类犯罪属于业务过失，这种过失的注意义务来源于空白罪状所涉及的业务规定。因此，如果只是违反了日常生活准则，没有违反业务规定，那就不构成过失犯罪，这显然也是基于可容许的风险理论对过失致人重伤、死亡犯罪在生产、作业领域中的限缩。

2018年，英国学者萨斯坎德（JamieSusskind）在《算法的力量》一书中写道：到2020年，世界上将有40泽字节（一泽字节代表十万亿亿字节）的数据，相当于每个活着的人拥有300万本书。预计，我们每隔几小时产生的信息量，相当于我们从文明诞生到2003年之间创造的信息量。到了今天，萨斯坎德的预测可能已经滞后。如此庞大并不断膨胀的信息量，使得侵犯个人信息的行为越来越常见，法律不得不保持必要的容忍，只能对其中最严重的侵权行为论以犯罪。

总之，在信息时代，刑法不可能彻底禁绝个人信息被侵害的风险，刑法只能将其中最严重的侵害行为规定为犯罪，“违反国家有关规定”是一种对自然犯的刑罚收缩事由。这种收缩性的空白罪状既可能出现在立法领域，也可能出现在司法过程中。比如《刑法修正案（十一）》第39条规定的非法植入基因编辑、克隆胚胎罪，法条并无“非法”的表述，只要将基因编辑、克隆的人类胚胎植入人体或者动物体内，或者将基因编辑、克隆的动物胚胎植入人体内，本就自然应该以犯罪论处，但是司法解释在确定罪名的时候加上了“非法”两字，这就意味在司法实践中要对此自然犯进行必要的限缩，平衡科学与道德之间的关系。

作为入罪条件，“违反国家有关规定”不能超越《刑法》第96条的规定，部门规章不能作为发动刑罚权的依据。但是作为出罪事由，“国家有关规定”并不必然要受制于“国家规定”的限制，部门规章可以作为弱化刑罚权的违法阻却的依据。如果一种行为符合法律、行政法规或者部门规章的规定，那么就不能以侵犯公民个人信息罪追究刑事责任。比如，《个人信息保护法》第13条规定取得个人的同意，个人信息处理者方可处理个人信息，这就意味着只要有个人的同意，“个人便需要对后续的风险及其现实化的结果自我答责”，处分个人信息就不应该构成侵犯公民个人信息罪。

又如该法第27条规定：个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。比如，行为人收集整理律师在事务所网站上公布的个人电话和电子邮件，出售给需要法律服务的当事人，对于行为人的收集整理、出售行为都不宜认定为侵犯公民个人信息罪。再如《汽车数据安全管理若干规定（试行）》是国家互联网信息办公室、国家发展和改革委员会等部门联合发布的文件，属于部门规章，如果汽车数据处理者按照这个规定收集处理个人信息，自然也不构成侵犯公民个人信息罪。

侵犯公民个人信息罪中“以其他方法非法获取公民个人信息”中的“非法”也是一种刑罚收缩事由。在自然犯中，不仅存在“违反国家规定”的现象，使用“非法”一词的现象更为常见，比如刑法中有五个侵犯个人基本权利的自然犯（非法拘禁罪、非法搜查罪、非法侵入住宅罪、非法剥夺公民宗教信仰自由罪、侵犯通信自由罪）都使用了“非法”一词。

在法定犯中，刑法中的“非法”作为入罪条件，应当等同于“违反国家规定”，遵循《刑法》第96条的规定，部门规章不能发动刑罚权。这也从侧面证明，本罪的“违反国家有关规定”不宜理解为积极的入罪要素。按照司法解释，“违反国家有关规定”可以包括部门规章，但“非法”一语又排斥部门规章的适用，这显然互相矛盾。因此，合理的解释还是把侵犯公民个人信息罪视为自然犯，此处的“非法”如同非法拘禁罪一样，只是一种违法阻却事由的提示规定，提示司法机关注意在法律、法规授权的情况下，获取个人信息可能是法令行为等违法阻却行为，不能认定为“非法获取”。

情节严重与情节特别严重的认定

侵犯公民个人信息罪属于刑法分则第四章，它所侵害的主要客体是人身权利，同时人身权利可能伴随财产权利，故财产权也是本罪的次要客体。个人信息权是个人的生命权、身体健康权、人身自由、财产权等个人基本权利以信息形式体现的一种权利，这种权利体现着人的尊严，是人的信息投射。个人信息是个人所能支配的一种自我信息决定权，因此必须具有可识别性，可以归结于对具体个人权利的侵犯。如果一种信息无法识别出具体的个人，那么就不可能侵犯个人权利，自然也就不能以此罪论处。

（一）作为具体危险的情节严重

侵犯公民个人信息罪的基本刑是3年以下有期徒刑或者拘役，它与侵害身体健康权的故意伤害罪，侵害人身自由的非法拘禁罪、强迫劳动罪，侵害名誉权的侮辱罪、诽谤罪、诬告陷害罪，以及侵害财产权的盗窃罪、诈骗罪等犯罪的基本刑相似。从罪刑相当的角度来说，只有对个人信息权的侵害足以危及个人的人身权利或财产权，才能动用刑罚。

所以，立法者使用了“情节严重”的限定，这就表明并非所有出售或者提供、窃取、非法获取公民个人信息的行为都构成犯罪，只有非常严重的侵犯行为才构成犯罪。情节严重可以理解为足以危及生命权、身体健康权、人身自由等人身权利及其伴随的财产权。因此，侵犯公民个人信息罪是一种具体危险犯。这种具体危险是一种司法认定的危险，而非立法推定的危险。对于侵犯个人信息的行为，司法机关必须证明该行为足以危及个人的人身权利及其伴随的财产权利。如果无法证明存在这种具体危险，那就不能以侵犯公民个人信息罪论处。

对于实害犯而言，实际损害的结果认定是一种事后的客观判断。行为人向被害人投放氰化物，但被害人体质特殊，没有死亡，显然就没有实害结果，只能认定为故意杀人罪的未遂。然而，具体危险的判断是否也应该遵循事后的客观判断标准呢？具体危险和实害结果都是一种构成要件结果，无论是具体危险犯还是实害犯都属于结果犯。

因此，从逻辑的一致性来看，具体危险的结果认定也应该从事后的角度进行客观判断。事前的一般人标准因人而异，过于模糊，缺乏统一的标准。另外，如果采取事前的一般人标准来判断具体危险犯，那么也将导致具体危险犯无法成立未遂、中止等未完成形态，这并不合理。比如行为人准备放火烧毁大楼，点火时打火机突然失灵，无法点着（点火案）。

如果认为放火罪（既遂）的具体危险应该从一般人的角度来进行事前判断，那么放火罪的未遂就不可能存在。只有根据事后的客观标准判断放火行为是否足以危及公共安全，以此作为放火罪基本犯（具体危险）的既遂标准，这样才能以事前的一般人标准来作为着手的判断标准。具有现实危险的点火行为就可以认定为着手实施放火，如果由于意志以外原因未能得逞则属于放火罪的未遂。总之，对于具体危险犯，既遂标准应该从事后的角度来看是否存在权利侵犯的紧迫危险，而着手标准则是从事前的一般人角度来看是否存在侵犯权利的现实危险。

因此，对于侵犯个人信息罪而言，司法机关必须从事后的角度证明侵犯个人信息的行为在客观上具有侵犯人身权利或财产权利的紧迫危险。《个人信息司法解释》将个人信息区分为超敏信息、敏感信息和一般信息，并分别以50条、500条、5000条作为情节严重的认定标准。这种分类标准本身并不合理，它也并未从事后的角度进行客观判断，很难为具体危险的认定提供合理的尺度。

比如，财产信息属于超敏信息，但可能影响财产安全的个人信息则属于敏感信息，二者如何区分，见仁见智。如房产面积、居住小区、衣着品牌等属于财产信息，还是影响财产安全的个人信息，这其实很难判断。

又如，行踪轨迹属于超敏信息，如果行为人提供某大学当天的课程表，课程表记载了该大学任课老师的上课时间和上课地点。课程表并不对社会公众公布，如果当天上课的老师有50位，提供课程表似乎就符合侵犯公民个人信息罪的入罪标准，这显然不太合理。

再如，通信内容也属于超敏信息，电子邮件自然是通信内容的一种，如果行为人公布前男友50封大同小异、只是收件方不同的求职邮件，这是否也构成犯罪呢？又如寄给前任租客的广告宣传单，如果房东将50封广告信件直接作为废品卖掉，这是否属于出售个人信息，而废品购买者是否属于非法获取个人信息呢？

因此，唯数额论并不恰当。事实上，《个人信息司法解释》关于敏感信息的情节严重标准也采取了数额加实质的认定方式，“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”属于情节严重。

其实，无论是唯数额论，还是唯实质论可能都不太合适。比如《个人信息司法解释》对于某些特殊的个人信息也部分采取了实质论的认定标准，比如“出售或者提供行踪轨迹信息，被他人用于犯罪的”，即便行为人只提供了一条行踪轨迹，但在客观上被他人用于犯罪，就可以入罪；又如“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”，只要行为人主观上有对他人利用个人信息实施犯罪的明知，无论提供多少条个人信息，都可以构成犯罪。但是，这种唯实质论的认定标准也不太合理。

比如，张三觊觎李四新购的摩托车，便向李四球友王五打听最近是否会和李四打球。王五告知张三周末会和李四在某体育馆打球，并将自己和李四微信约定的时间地点截图发给了张三。张三估计李四会驾驶摩托车前往，遂乘李四周末打球的时候，将摩托车窃走。显然，王五故意向张三提供了自己和李四的行踪轨迹，也被张三用于盗窃犯罪。如果机械地按照司法解释的字面含义，王五的行为构成犯罪，但是这显然与我们的直觉相抵触。

再如，赵某知道钱某放高利贷，依然将债务人李某的家庭住址用短信发给钱某。钱某准备带人去到李某家采取暴力催收，但发现李某家徒四壁，于心不忍，遂自动放弃。钱某属于犯罪中止，没有造成损害结果，应当免于处罚。但是赵某却构成侵犯公民个人信息罪的犯罪既遂，这并不合理。假设钱某在讨债途中遭遇车祸，还未着手即被动放弃，这可能属于催收非法债务罪的犯罪预备，一般不会处理。按照帮助犯的理论，当正犯没有实行行为，帮助犯也不构成犯罪。但是按照司法解释的规定，赵某却依然成立侵犯公民个人信息罪的犯罪既遂，这并不公平。

因此，对于侵犯公民个人信息罪的入罪标准还是应该统一为数额加实质的认定标准。考虑到超敏信息、敏感信息和一般信息的区分标准并不明确，在信息爆炸的当下，有必要提高侵犯公民个人信息罪的入罪标准。初步的看法是可以都提升为5000条以上，同时要在实质上足以危及人身、财产安全。也就是从事后的角度来看，具有侵犯人身、财产权利的紧迫危险，只是因为偶然的原因，没有造成实际损害。

（二）作为结果加重犯的情节特别严重

《个人信息司法解释》对于“情节特别严重”主要采取了实际损害结果的判断标准，即“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；造成重大经济损失或者恶劣社会影响的”，但同时也保留了单纯的数额认定标准。既然情节严重属于具体危险犯，那么情节特别严重也就可以理解为出现实害结果的结果加重犯。因此，司法解释关于数额认定的标准可以删除，仅仅保留严重后果的加重规定即可。

当前，由于个人信息的获取方式越来越便捷，行为人多以批量式的方式获取个人信息，如果严格按照司法解释10倍数额即为情节特别严重的规定，相当比例的行为人可能适用3年以上7年以下的加重法定刑，刑罚成本过高。这也是为什么大量的司法判决都对形式上符合情节特别严重加重档的行为人适用坦白、初犯等法定或酌定从宽情节，尽量避免适用过重的法定刑。

比如2017年5月10日最高人民法院、最高人民检察院发布了7起侵犯公民个人信息犯罪典型案例，所侵犯的个人信息数额大多达到了情节特别严重的数额标准，但均被判处3年以下有期徒刑。其中，丁某某侵犯公民个人信息案，丁某某非法提供近2000万条住宿记录供他人查询牟利，法院认为其构成侵犯公民个人信息罪“情节特别严重”，但也只判处丁某某有期徒刑3年，并处罚金人民币2万元。又如2022年2月21日最高人民检察院第三十四批指导性案例“柯某侵犯公民个人信息案”，柯某通过运营“房利帮”网站共非法获取业主房源信息30余万条，以会员套餐方式出售获利达人民币150余万元，法院以侵犯公民个人信息罪判处柯某有期徒刑3年，缓刑4年。

常见的几个问题

理论与实践有区别，但并不能分离。侵犯公民个人信息罪是对个人信息权的侵犯，这种侵犯行为必须具备人身权利或财产权利受到侵害的紧迫危险。作为自然犯，侵犯公民个人信息罪的责任根据只能是道义责任论，犯罪必须是道义谴责的行为，道义所鼓励的行为属于正当化的违法阻却行为（Justification），道德所容忍的行为则是可得宽恕的责任阻却事由（Excuse）。

（一）偷拍隐私部位或活动

偷拍女生裙底，在出租房安放针孔摄像头偷拍他人隐私活动，这些行为应该如何处理？类似行为既要承担民事责任，也要承担行政责任，这毋庸置疑。《民法典》第1033条规定：除法律另有规定或者权利人明确同意外，任何组织或者个人不得拍摄、窥视、窃听、公开他人的私密活动；不得拍摄、窥视他人身体的私密部位。《治安管理处罚法》第42条也规定：偷窥、偷拍、窃听、散布他人隐私的，最高可以处10日行政拘留。但这样的行为是否可以评价为侵犯公民个人信息罪，则不无争议。

偷拍行为在不少国家和地区都被规定为犯罪。最早将此行为规定为犯罪的是1996年的《瑞士联邦刑法典》。21世纪之后，随着拍摄技术尤其是手机拍摄的普及，偷拍行为越来越成为一个严重的社会问题，很多国家和地区都将此行为规定为犯罪。

在司法实践中，偷拍行为一般可以区分为手段行为与目的行为。其中手段行为可能适用《刑法》第284条的非法使用窃听、窃照专用器材罪。但是如果行为人没有使用窃听、窃照专用器材，只是使用手机进行拍摄，那就很难以此罪论处。事实上，非法使用窃听、窃照专用器材罪的“非法”也缺乏符合《刑法》第96条的前置法规定，缺乏处罚的前置法依据。至于目的行为，如果行为人将偷拍的图片、视频进行传播，可能触犯传播淫秽物品罪、传播淫秽物品牟利罪或侮辱罪。但是，如果行为人没有传播行为，只是自我欣赏，那就无法构成上述犯罪。因此，上述行为能否构成侵犯公民个人信息罪就成为一个必须思考的问题。

首先是识别性问题，也即私密活动或私密部位根据一般人的生活经验，是否可能识别出具体的自然人。根据《个人信息保护法》采取的已识别和可识别的分类方法，如果偷拍人知道被偷拍者的身份，那么所获得一切信息都属于已识别的个人信息。其次，偷拍行为本身就侵犯了他人隐私权。私密信息属于《个人信息保护法》所说的敏感个人信息。偷拍者所获取的私密信息具有伤害他人的巨大危险，足以侵犯他人的人身权利和财产权利。这种偷拍行为本身可以解释为和“出售、提供、窃取”具有等价性的“其他方法非法获取”行为。如果达到数额标准，完全可以评价为侵犯公民个人信息罪。

需要说明的是，如果偷拍人不知道被偷拍者的身份，如在商城、地铁偷拍隐私部位，若同时记录了他人的脸部特征或其他可以识别特定自然身份的信息，如学校校服、说话声音，这也属于具有识别性的私密信息，偷拍行为本身也可能构成侵犯公民个人信息罪。另外，如果偷拍人将上述信息发送到社交平台，那既属于侵犯公民个人信息罪中的提供行为，还同时触犯传播淫秽物品（牟利）罪和侮辱罪。

（二）微信、私信截屏

《个人信息司法解释》第3条规定：向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为《刑法》第253条之一规定的“提供公民个人信息”。根据这个司法解释，“人肉搜索”可能构成侵犯公民个人信息罪。

但是，在中国裁判文书网公布的以侵犯公民个人信息罪为案件名称的5698份判决书或裁定书，没有一份与人肉搜索有关。唯一一份援引了该司法解释相关条款的是上海市第一中级人民法院的一份二审裁判书。被告人朱某为骗取“饿了么”等平台的新用户“首单优惠”，通过QQ群下载包含公民姓名及身份证号码的公民个人信息100万条后予以使用。法院认为互联网上出现的公民个人信息，无论是被动公开，还是主动公开，同样受到法律保护，不得随意获取、出售或者提供，通过信息网络发布公民个人信息的，应当认定为《刑法》第253条之一规定的“提供公民个人信息”。朱某通过QQ群获取公民姓名及身份证号码等个人信息100万条，系以其他方法非法获取公民个人信息，其行为构成侵犯公民个人信息罪。

之所以大多数未按犯罪论处，可能与人肉搜索泛滥成灾导致法不责众的思维观念有关。既然“人肉搜索”符合侵犯公民个人信息罪的构成要件，那么刑事司法就不应该置之不理。徒法不足以自行，如果一种法律规则成为僵尸条款，也会极大损害法治的声誉。

常见的现象是行为人使用微信或社交媒体的私信截图在网络上对他人进行人身攻击。值得讨论的问题可能有两个：第一，微信或社交媒体的内容是否属于刑法上的个人信息；第二，当个人信息权和言论自由、公众的知情权等权利发生冲突，刑法应该如何取舍？

对于第一个问题，笔者的态度是肯定的。无论是微信还是其他社交媒体的私信内容在本质上都属于公民的通信自由。在立法顺序上，《刑法》第253条之一的侵犯公民个人信息罪位列第253条私自开拆、隐匿、毁弃邮件、电报罪之后，因此侵犯公民个人信息罪与通信自由权有着密切的关系。换言之，如果一种承载通信自由权的个人信息符合识别性，并足以危及个人的人身权和财产权，那它就属于侵犯公民个人信息罪的犯罪对象。

根据客观解释的实际需要，无论是微信、短信、电子邮件还是其他社交媒体的信息都可以解释为邮件，因此任意删除他人的电子邮件、私信、微信，这完全符合《刑法》第252条侵犯通信自由罪的构成要件。微信或社交媒体的私信内容属于通信内容。根据《个人信息司法解释》，通信内容属于敏感信息，获取、出售或者提供通信内容50条以上的，就构成犯罪。

但是一如前文所言，单纯的数额入罪标准并不合理，而且通信内容的数量认定标准也比较模糊。比如一次截屏出现了50条对话记录，这是1条还是50条通信内容？如果认定为50条通信内容对话记录，那么按照司法解释，提供一次截屏就构成犯罪，这太过严厉。通信内容还是应该采取数额加实质的认定标准。

首先，通信内容必须达到如5000条以上，这里的条可以采取日常生活上关于“条”的认定。其次，这种通信内容必须足以侵犯他人的人身权或财产权。因此，如果微信或私信截屏内容具有可识别性，足以危及他人人身权利或财产权利，那就属于刑法中的个人信息。如果行为人将这种个人信息提供给他人或者在信息网络发布，情节严重就可以侵犯公民个人信息罪论处。需要说明的是，截屏的信息应当限缩为一对一的信息，不包括在微信群组或朋友圈发布的信息。

至于第二个问题则涉及在个人信息保护中实现利益平衡问题，非常复杂，值得另行撰文讨论。初步的看法是，当知情权、言论自由符合社会公共利益，那么个人信息权就要受到一定的限制。《个人信息保护法》第13条规定，为公共利益实施新闻报道、舆论监督等行为，在合理的范围内可以处理个人信息。德国刑法理论认为，如果一种言论涉及“公共辩论”，那它就是法治社会应当允许的危险，即便它侵犯了他人的名誉，也不构成犯罪。

因此，对于公众人物的个人隐私信息，如果为了社会公共利益，即便这种信息有可能侵犯个人的名誉权或财产权，比如在网络公布某公众人物招妓的微信截屏导致他人名誉和财产受损，对于这种隐私信息的侵犯也不宜以犯罪论处。但是，如果对于他人隐私信息的揭露足以危及公众人物及其家人的人身安全，那还是构成侵犯公民个人信息罪。

另一个相关问题是隐私权和夫妻忠实义务之间的冲突，比如妻子在网上发布丈夫和“小三”出轨的微信截屏。《民法典》第1043条第2款规定：“夫妻应当互相忠实，互相尊重，互相关爱……”因此，“互相忠实”是夫妻的法定义务，但是这种义务更多是一种原则性的提倡，基本上没有法律的强制力。妻子发布丈夫的隐私信息除了会侵犯丈夫的隐私权、名誉权等权利，同时也会侵犯他人（“小三”）的权利。

然而，这种行为具有一定的社会相当性，属于道德生活可以容忍的行为，没有必要发动刑罚权，通过民事手段解决矛盾更为妥当。但是如果“小三”发布原配的隐私信息，或者发布“小四”的隐私信息，那就不存在社会相当性问题，自然可以犯罪论处。至于还未结婚的同居男女，一方发布另一方出轨的隐私信息，这也具备一定的社会相当性，一般不宜动用刑法加以打击。这种行为在道义上可以容忍，不具有道义上的可谴责性，没有必要进行责任非难。

结语

自然犯罪这个概念原本是为了在刑法中剔除法定犯，为刑法瘦身。它以道德正当性来限制国家意志，以道义责任论反对法律责任论。但法定犯却因法益理论日益“肥大”，在刑法中无限膨胀。因此必须正本清源，以权利侵犯说重塑法益理论，所有的超个人法益都必须还原为对类型化的个人法益也就是个人权利的侵犯。无论自然犯，还是法定犯，都应该具有道义上的可谴责性，道德始终是刑事立法的源泉，是司法适用的“瘦身药”。

自然犯是直接侵犯个人权利的犯罪，法定犯则间接侵犯了个人权利。个人信息是人的信息符号，侵犯公民个人信息罪是一种直接侵犯个人信息权的自然犯。刑法只能将最为严重的侵犯个人信息的行为视为犯罪。因此，必须提高本罪的入罪门槛。该罪的空白罪状是一种刑罚限缩事由，情节严重则是具体危险犯的一种表现形式，这种具体危险应该进行事后的客观判断，必须对人身权利或财产权利具有紧迫侵害的危险。司法实践中的偷拍窥淫行为以及微信、私信截屏行为如果具有强烈的道义谴责性是有可能构成犯罪的。

狄更斯在《双城记》的开头说：“这是最好的时代，这是最坏的时代；这是智慧的时代，这是愚蠢的时代；这是信仰的时期，这是怀疑的时期；这是光明的季节，这是黑暗的季节；这是希望之春，这是失望之冬；人们面前有着各种事物，人们面前一无所有。”人们生活在信息与现实的“双城”之中，两个“城市”的界限已经越来越模糊。生活总是危机四伏，没有危险就没有机遇，刑法不可能禁绝个人信息被侵犯的全部危险，不惜一切代价打击犯罪只是一种不切实际的梦呓，最终也将让人们的正常生活成为代价之一。我们必须容忍生活中无时无刻个人信息被侵犯的危险，刑法只能惩罚其中最严重的侵权行为。

来源： 《中国法律评论》2023年第3期