尚权推荐SHANGQUAN RECOMMENDATION

摘要

2015年，《刑法修正案（九）》生效，将“出售、非法获取公民个人信息罪”，与“非法获取公民个人信息罪”两个罪名，合并为“侵犯公民个人信息罪”，增加了单位犯罪的条款，将非法出售或者提供公民个人信息的主体扩大为一般主体，增加了“情节特别严重的”条款，丰富了量刑梯度，将行为入罪的前提从“违反国家规定”扩大为“违反国家有关规定”。2017年3月，两高出台的《关于办理侵犯个人信息刑事案件适用法律若干问题的解释》（后文称“《解释》”）。获取公民个人信息，如何以刑法来加以规制，又如何划定犯罪圈大小，在学理和实践中，都值得探讨。

一、获取公民个人信息行为之法益探讨

探讨罪名法益，可以确定罪名适用的具体社会关系，进而划定犯罪圈大小，确定刑罚的量刑幅度。以发展的眼光看问题，侵犯个人信息罪，应当放在互联网视域这一大的环境下来讨论：罪名之法益设定，不仅应当从静态上，以文本的理解为切入，考虑罪名保护的法益是什么，还应当以动态视角为研究，考虑该罪名应当保护怎样的社会关系。

（一）法益的本质是个人对国家的冒犯

人具有社会属性，从广义上讲，刑法所保护的都是某种社会关系。“私法关系和公法关系都是立足于社会大环境，对人与人、人与社会、人与国家之间的关系进行调整。”不同于个人与个人之间的平等私法关系，侧重于意思自治，刑法所保护的更多是人与社会、人与国家之间的公法关系，侧重于管理和调控。公法关系是一种管理关系，尽管不少学者以人权刑法将平等公法的理论作为主张，但是公法在实施过程中的外观，是国家通过某种授权或者许可，通过某种限制或者禁止，构建起一套有序的社会秩序。公法是否存在补偿性质尚无定论，但是公法在实施的过程中应当要起好震慑和预防的双重作用，如同一把双刃剑，合理地把握介入的尺度。

如果单纯地把侵犯公民个人信息罪的客体理解为隐私权或者个人信息权，尚未揭示罪名的实质，因为这样的解释只能说明侵犯公民个人信息行为的不法性，无法解释刑法介入侵犯公民个人行为的不得已性。故意杀人行为、故意伤害行为同样也存在民事侵权，刑法之所以介入，是因为无论是同态复仇的原始社会，还是自由文明的法治社会，“杀人有罪”的观点被公众情感所接受。杀人者不仅仅侵害了被害人的权益，而且侵害了一个主权国家对其国民生命权的保护、捍卫，以及在特定条件下的“处分”权力。杀人行为的冒犯形式，从个人与个人的对立，上升为个人与国家的对立。

然则，行为性质的突变，要么在于行为手段的越位，要么在于行为频度的剧增。在当前的网络环境下，侵犯个人信息的行为，应当以何种形式实施冒犯，才能将对个人的冒犯，上升为对国家某种秩序的冒犯？

（二）法益侵害的本质是公众情感的不安与恐惧

刑法所保护的社会法益，从自然犯法益发展到行政犯法益。

自然犯一类犯罪的法益，体现了人类的自然属性，衡量个人对个人侵害行为的程度与底线，评价刑法介入的不得已性，以人性、伦理等维度提供刑法调整的视角，表明生命健康、经济财产等某种个体属性遭到侵害时，个体意识上的受侵略感和不安感。

行政犯一类的犯罪法益，体现了人类的社会属性，将孤立的个体置于社会群体，以社会秩序和国家秩序作为统筹，评价刑法介入的正当性，以意识形态维度提供刑法调整的视角，表明职权类、贪贿类犯罪行为的发生，社会大众某种群体意识的恐惧和憎恶。

随着人类社会的进步，某种特定的社会秩序的构建，就是构建对某种特定社会关系的前置保护手段。公民的隐私权，是人类社会从野蛮到文明发展的必然产物。随着文明程度的提高与科学技术的进步，隐私权的重视程度逐渐增强，隐私权的法律保障逐渐完善，亦派生出邻接的权益。公民的个人信息权，是户籍管理制度逐渐深入的衍生物，也是互联网时代身份可信战略下逐渐丰满的新生儿。在网络环境下，公民被赋予持有和处分个人信息的权利。倘若某个公民的个人信息受到侵犯，他可以积极选择救济，也可以消极放弃救济，公权力一般不强行介入。但是，倘若公众的个人信息被大规模获取，或者滋生被侵犯的风险，国家应当采取必要措施，消除隐患，净化网络环境，消除公众情感中的不安与恐惧。

（三）获取公民个人信息行为侵犯集合性法益

有学者指出，公民登录并使用软件，受软件平台主要业务、核心业务的范围所制，对向提供其包括证件号码、联系方式、行踪轨迹等个人信息，这种因享受平台服务对个人信息的让渡行为，其实质就是个人信息决策权的放弃。个人信息的所有权即便归属于公民自身，但是个人信息的决策权属于网络后台的操控者，公民与网络平台在利益协同上存在契合，在使用相关软件的风险担负问题上，公民甘愿与网络平台共担。

个人信息具备社会属性，侵犯公民个人信息罪的客体不应当是特定个体的个人信息安全或者风险。彰明较著，侵犯公民个人信息，侵犯的必然是是公民个人信息的专有权，在公权力对个人信息的处分权趋于寡头垄断管理模式下，应当认为公民个人信息的处分主体是国家和相关行业部门。笔者认为，基于网络空间的特殊性，公民个人信息出现所有权与控制权相分离的状态。公民个人信息的所有权在于公民本身，自决权也在其本身，公民以默许、推定的方式，将个人信息的处分权和运营权，或交由国家公权力，以强制力为保障，或交由管理信息的社交平台，以行业的自治推动信息产业的有效运行。

侵犯公民个人信息罪的法益不应当局限于特定公民的个人信息权利，不同于第四章的其他侵犯人身权利的犯罪，刑法关注特定公民的生命权、健康权、性自由权的个体保护，因而就算是剥夺一个公民的生命，刑法的介入也是顺理成章，多个公民连续被侵犯，不影响罪质的认定，只影响量刑的评判。然而侵犯某一个公民的个人信息，赔礼道歉、赔偿损失、消除影响等民事救济，已经足以实现法律的补偿功能，无须动用法律的惩戒功能，难以达到刑事手段介入的程度。随着侵犯公民个人信息数量的累加，实现从民事侵权到刑事犯罪的聚变，刑法才有介入的可能前提。因此，侵犯公民个人信息罪的法益不是对特定公民个体法益的侵犯，而是对公民个人信息的集合性权益的侵犯。

立足于信息量大、自媒体发达的网络时代背景，“大数据的经济价值不在于单个数据的精确性，而在于集合数据多样性。”行为人获取、交换、购买公民个人信息的利益驱动，也在于大数据流转背后潜在的经济效益。笔者认为，侵犯公民个人信息的法益，可以概括为“个人信息管理秩序”。被冠以某种“秩序”的法益，是典型的集合性法益。与“扰乱公共秩序罪”“妨害司法罪”等“妨害社会管理秩序罪”的类罪类似，其法益是国家在公共生活领域、司法活动中对人民群体生活秩序的指挥控制的权力。以公民的视角，这种秩序隐射的是公民个人信息处分和保护的专属权，以国家的视角，这种秩序包含的是国家对公民个人信息的垄断掌控权。

在当今信息大爆炸的时代，任何有关信息数据的收集、处分、交易、流通等活动必然存在潜在风险。公民接受个人信息置于后台托管、控制、复制、传输，这并不代表公民甘愿接受个人信息被泄露和被侵犯的风险。网络平台或者其他网络运营者，无论从法律法规，还是行业自治规范，都有义务净化网络，保障公民的信息安全。当公民的基本权益受到侵害，或者有受到侵害可能之时，国家公权力应当在一定限度下介入，将公民的私力救济转变为公力救济。

与信息犯罪类似的五个自诉罪，均为人身犯罪或者财产犯罪，除侵占罪以外均遵循“不告不理”原则，只有在造成严重结果或者情节严重时，检察机关才介入，这体现出刑法介入的不得已性和公民维护人身权利自决性的边界问题，以及法益保护的公权力干涉程度。

笔者认为，公民以人身权和财产权为代表的私权利有四个层次法律救济的维度：第一层维度，纯粹的私力救济，表现为个人权益通过单方意定或双方协商等民事途径维护，没有公权力的干预和司法活动的启动，本质上是民事主体对双方权利边界的磋商。第二层维度，公权力保障下的私力转公力救济，表现为个人权益通过启动民事诉讼程序实现救济，公权力在救济活动中的作用表现为对诉讼活动秩序的保障，而不主动对侵权行为的不法性进行追究，本质上是司法权对平等主体权利义务的裁决。第三层维度，公权力参与下的私力转公力救济，表现为刑事自诉案件，通过私权利启动，凭借刑事司法手段实现捍卫，公权力在救济过程中一方面承担裁决的职能，另一方面有条件的参与追究犯罪，其本质是司法权对侵犯个体犯罪的裁断和有条件的介入。第四层维度，绝对的公力救济，表现为刑事公诉案件，从侦查机关立案开始，通过公权力的启动，而后经过审查起诉、审判等一系列流程，公权力全程参与实现权益保护，其本质是公民将自身权利的救济全权交由公权力追究与裁判。

行为人侵犯特定的一两个公民的个人信息，不构成犯罪，完全可以通过第一层和第二层维度实现自我救济。侵犯公民个人信息，构成犯罪的，几乎没有自诉案件成立的空间，公权力必然参与该案件刑事诉讼的全流程活动。这意味着，案件当事人的意愿，对于刑事诉讼程序启动的作用微乎其微，即便被收集个人信息的当事人事后联合声明放弃个人信息权利，也不影响行为人犯罪构成符合性的评价，只会一定程度上影响行为人的量刑。因此，讨论侵犯公民个人信息的入罪条件，应当恪守刑法的谦抑性原则：公民个人信息的控制与自决是有一定限度的，侵犯个别公民的个人信息不足以入罪，类似于刑法理论上的徐行犯，随着个人信息交易量的增加和个人信息重要性的加剧，法益受到侵害的程度加深，公权力才应当在特定条件下介入。

二、获取公民个人信息行为入罪之理论基础

网络空间中犯罪防治手段的前置化理论，来源于风险刑法理论和集体法益理论。在当今时代，网络途径逐渐发展为泄露公民个人信息的主要渠道。网络犯罪的比重大、危害性大，也滋生了网络诈骗、电信诈骗等下游犯罪。通过网络获取的个人信息，呈现出精确化、迅速化以及多样化等特征。有学者统计过数据，在个人信息的来源中，通过网络非法购买的占38.46%，通过网络购买的6.1%，通过侵入网络系统的4.61%，2016年公安机关清理的网络有害信息高达35万条，关停的网站有60余个。在此种环境下，刑法对公民信息安全的保护，逐渐由打击犯罪，开始转向事前预防，逐渐从个体保护，开始转向集体保护，信息犯罪的防治，逐渐呈现出前置化、公法化的趋势。

（一）风险刑法理论的主张及其适用

我国有关风险刑法理论的探讨不过十余年。何谓“风险”？发明该概念的德国刑法学者认为“在自然和传统失去效力并依赖于人决定的地方，才可能谈的上风险”。公民个人信息的控制权和自决权所派生出的网络秩序，其运转的关键在于网络技术的纯熟度，以及网民对网络环境的信赖程度。一旦网络技术的漏洞被放大，网民对网络空间的信赖程度降低，网络技术可能引发的潜在风险就会扩大。网络风险典型的技术风险，关于技术风险，有英国学者将其概括为三个特征：第一，从科技研发的角度，风险的不确定性和不可预测性；第二，从人类活动和行为的方式上，该风险具有不确定性；第三，从文化环境上看，该风险的大小还取决于个人的可接受性。

随着网络信息技术的进一步发展，公民个人信息的外延不断扩大，《解释》除将公民的姓名、证件号码、联系方式、住址等列举为“个人信息”，财产状况和行踪轨迹也被包含在其内，《网络安全法》和其他法律法规亦将生物识别信息、用户画像等要素也纳入了个人信息范畴。

以“公民信息管理秩序”为最终的落脚点，无论是静态的信息还是动态的信息，都有可能成为非法侵犯公民个人信息罪的犯罪对象。如果公民的隐私被侵犯，意味着公民的人格尊严受到侵犯。但是公民的个人信息被非法获取，除了人身权益被侵犯，还意味着潜在违法犯罪活动的滋生。之所以说是“潜在”，是因为这种违法犯罪发生的危害性具有不确定性，非法获取公民个人信息行为入罪的违法性，不是单纯在于其行为打破了网信部门和部分网络运营商对信息管理的垄断，也在于在信息交换或者信息交易过程中暗含的其他风险。

“公共秩序的政策功能，决定了风险社会刑法理论的导向带有一定的功利性。”随着网络技术对国民生活方方面面的深入，网民们在使用网络时“自愿”将自己的个人信息交付给网络后台进行运作，绝非网民们“自愿”地接受了信息泄露的风险，因此无法适用被害人同意的理论来消解网络运营者的刑事责任。

（二）集体法益理论的提出及运用

量变积累引发质变。侵权行为转变为违法犯罪，要么在于情节上不断深化和加强，要么在于犯罪对象不断累积和叠加。“个人法益的凝结可以汇聚成集体法益，通过公民的个人让渡，汇聚成某种社会秩序，由公权力来调控和分配。”“集体法益理论”，也被学者们成为“超个人法益”，学术界主要有一元论和二元论之分。一元论观点认为，集体法益不作为一种具备特殊利益的法益存在，集体法益的保护，在于刑法对集体法益所彰显的个体法益的保护；二元论观点认为，集体法益具备独立的特征和性质，因为其不可分割性，个体法益汇合为的集体阀体被赋予了被保护的前阶，因而刑法可以提前介入。

笔者赞同二元论的学说，“个体”权利积少成多实现质的飞跃，被赋予“集体”法益的名义，并不意味集体的意志替代了个人意志，而是随着集体法益的构建，为大多数人的利益和需求划定了一道最起码的底线。正如同劳动合同法中集体合同的法理，倘若劳动者团体与用人单位签订集体合同，就劳动报酬、工作时间、休假时间、保险福利以及劳动安全等问题达成书面协议，这样的协议应当作为合同双方的底线协议，在此底线下，劳动者与用人单位签订的劳动合同，其待遇只能更高，不能更低。天赋人权理论主张，当个体的私权利聚合成国家和社会的公权力，国家公权力的调控对象在于政权，但作用对象在于国民。“集体法益理论”的提出，旨在解决，当保护对象与决策对象出现分离时，公法手段应当以什么理由介入，刑法应当在何种限度介入。

“二元论与一元论都不否认个体利益的原始性，以个体利益为起点，两种观点的区别在于，由众多的个体利益派生出来的集体利益，与个体利益发生冲突时，集体法益优先，还是个体法益优先。”“无论是集体法益理论学说还是风险刑法理论学说，出于刑法的保障功能，都是功利主义计算的结果。”集体利益理论的适用，须具备“包容性”，将个人法益无限拔高，体现该类法益的“超个体性”，对所有个体法益的浓缩和概括。

升格为“集体法益”的公民法益，要么侵犯了绝大多数公民的权益或者潜在利益，要么违反了国家的某种强制性规定。就犯该罪的实质而言，依据《解释》，必须“情节严重”。“情节严重”包括的情形有：其一，获取公民个人信息的行为衍生出了下游犯罪，其二，获取公民个人信息的交易量大，交易次数多。就犯该罪的形式而言，该公民个人信息的交换行为必须“违反国家有关规定”，对于该空白罪状，《解释》将其限制为“违反法律、行政法规、部门规章有关公民个人信息保护的规定”。

三、获取公民信息行为的入罪限度研究

张明楷教授曾言：“解释结论非无限，但解释方法无穷；真诠或者是真释非但要符合文义，还要符合正义。”文义解释是形式解释，强调解释要紧扣文本；正义解释是目的解释，在于刑法的适用最终要符合于刑法的原则，即在罪刑均衡原则的指引下尽可能保护被告人。

（一）违法程度的限度：有滋生信息犯罪的危险性

在网络时代背景下，获取公民个人信息之入罪，是对“获取”行为下游犯罪的规制，是对“获取”信息之后持有状态的防范，或者是对“获取”行为本身之否定？三种不同定位的指向，决定了获取型侵犯公民个人信息罪的性质，是预备行为的实行犯化，是状态犯还是行为犯？“非法获取”之非法性，包含手段途径的不合法，并且获取公民信息之后，有滋生其他违法犯罪的危险性。具体而言：

1.获取信息应当比提供信息具有更严重的犯罪紧迫性

与“获取型”侵犯公民个人信息罪互为对向关系的是“提供型”侵犯公民个人信息罪，在法条中，两类侵犯公民个人信息罪的量刑基本类似，然而“提供型”和“获取型”在入罪前提条件，入罪违法程度要求，以及侵害法益紧迫性程度上有所区别。

首先，两类侵犯公民个人信息行为的入罪前提条件不同。从法条上解读，提供公民个人信息行为的入罪前提是“违反国家有关规定”，获取公民个人信息行为的入罪前提是“非法”。提供公民个人信息的行为具有较强的行政犯色彩，由从前的“非法提供公民个人信息罪”发展而来，扩大了犯罪主体的范围。但是，能够大规模掌握其他公民个人信息的，或为国家机关、金融、电信、交通、教育、医疗等单位的执业从业者，或为包括网络所有者、服务提供者、管理者的网络运营者。这一类主体对公民的个人信息监管义务，要么来源于法律法规的明确授权，要么来源于行业业务上的公约规定。“非法”的范畴更为广泛，可以是违反某些行政法规，比如非法吸收公众存款罪之“非法”，也可以是某种不法状态的当然评价，比如金融诈骗罪中的非法占有目的之“非法”。

其次，两类侵犯公民个人信息行为的入罪违法程度要求不同。从法条列举的行为方式来看，与“提供”行为并列的，是公民个人信息的“出售”行为；与“获取”行为并列的，是公民个人信息的“窃取”行为。“提供”行为本身是中性的，只有提供、出售的渠道方式不合适，或者不符合提供主体资格，才被评定为违法犯罪。“窃取”的本意为偷，即以不正当的手段获得某种信息或者资讯，其行为本身就存在一定的违法性。“获取”公民信息的行为在违法程度上能与“窃取”并列，至少是较为严重的行政违法，甚至可能触犯到刑律。

最后，两类侵犯公民个人信息行为的侵害法益紧迫性不同。不具有犯罪目的或者违法目的的信息获取行为，不具有严重侵犯公民个人信息的紧迫性危险。而提供公民个人信息的行为，本身就具有侵害法益的紧迫性。获取行为可以是公民个人信息交易的终点，也可能是交易的一个站点，获取行为是否具有后续信息泄露的危险，取决于行为人本人。而提供行为无疑是有对接的下游行为，行为人在明知的前提下提供，加剧了信息泄露，滋生了后续不正当交易的风险，比获取公民个人信息的行为，具备更多的侵害法益紧迫危险性。

2.获取行为应当具备滋生后续犯罪的违法可能性

获取公民个人信息的行为作为上游犯罪，可以视为电信诈骗、网络金融诈骗等涉信息犯罪的预备行为。从犯罪推进的过程上分析，犯罪预备和犯罪实行两个阶段，行为人的主观方面应当具备连贯性，指向特定的犯罪活动。倘若“准备工具，制造条件”的行为并未对特定的犯罪有所指向，或者缺乏明确的犯罪目的，可以在一定程度上阻却犯罪，不具有作为犯罪预备行为的刑事违法性。比如，买一把剔骨刀为了杀人，买刀行为可以视为是预备行为，买一把剔骨刀为了切肉，买刀行为只是日常行为。

收集公民个人信息的行为，是否具备实质的可罚性，应当根据行为人的主观方面，以及后续行为的违法性程度，综合进行评判。如果行为人收集公民个人信息是为了公司合法经营或者社会资源调控的需要，收集手段和途径亦不存在违法，则具备排除犯罪的事由。比如，银行业务员为扩张信贷业务保存和收集客户信息，民营企业为扩大公司经营、笼络人才精英，通过正规途径搜求应聘者信息，劳动就业市场为中和劳动力市场的供给和需求预留求职者的信息，则可以排除该收集行为的刑事可罚性。倘若行为人获取公民个人信息的行为手段失范或者途径违法，如通过网络购买、商业交换等方式获得，可以作为行政违法行为处理。

获取公民个人信息行为的应受刑罚惩罚性，在于公民个人信息在非法获取后，卷入不正当、不合法交易的网络信息风险。与某些限制流通物类似的，如枪支和毒品，非法获取这一类物品的社会危害性不在于获取行为本身，而在于取得枪支和毒品后续滋生的违法犯罪。

以买卖枪支罪为例，购买枪支和出售枪支规定在同一罪名中，互为对向行为。出售枪支的行为构成犯罪，但有学者主张，购买枪支构成犯罪的，也应当以再次倒卖枪支，或者以实施某种犯罪为目的，倘若行为人购买枪支只是为了工作使用，或者以收藏为目的而购买的，应当以非法持有、私藏枪支罪论处。这种解释的拷问，在于刑事立法之目的，行为人获取某种禁止流通物、限制流通物的刑事违法性，是获取行为本身，还是在获取行为之后的持有状态。

3.单纯持有公民个人信息的行为不具有严重的社会危害性

“法律不禁止合法的信息流动，仅对信息的非法流动进行规制。”信息犯罪的社会危害性，要么是行为的非法性，要么是信息内容的非法性。作为获取公民个人信息的事后行为，“持有”公民个人信息的行为仍处于法律上的真空评价，刑法并没有明文规定储存、保管公民个人信息的相关犯罪。

部分主张持有公民个人信息入罪的论者，主要是从举证难度和诉讼成本上展开论述，在网络云端平台泛滥化的时代背景下，非法持有、储存和保管公民个人信息，极易引起公民个人信息的泄露。主张持有公民个人信息的行为出罪化的论者，多根据事后不可罚的理论，认为获取公民个人信息之后的持有行为，虽不具有合法性，但属于“获取”行为的事后行为，没有侵犯新的法益，不具有可罚性。

持有公民个人信息行为的严重的社会危害性，应当根据行为人的主观方面，以及对所持有公民个人信息的后续行为来综合评判。倘若是单纯为信息储备而持有，不具有违法目的或者犯罪目的，不能按照侵犯公民个人信息罪处罚。单纯持有公民个人信息的行为，未将他人个人信息投放进入信息出卖和转让的利益链条中，不会造成后续信息犯罪的危险状态。静态的信息持有，其本质是将公民个人信息进行暂时性储存，其行为暂时不会加剧信息转让或出售的实质威胁。

单纯的持有行为，是否具备刑事违法性和应受刑罚处罚性，一方面取决于持有物的性质，另一方面取决于持有人的资质。持有型犯罪的犯罪对象大多为限制流通物，在罪状的描述中，立法者选用的是“非法持有”，如枪支弹药、恐怖主义极端主义物品和毒品，只有“非法”持有才构成犯罪；对于少部分禁止流通物为犯罪的持有型犯罪，立法者直接选用的是“持有”，如假币、伪造的发票，也就意味着，一旦持有，一律构成犯罪。公民个人信息，并非禁止流通物，应当划分到限制流通物还是一般流通物，取决于法律和政策制定的目的和态度。因此，储存和持有公民个人信息的行为，应当由具备特别准入资质的主体行使，才能被评价为“合法”，这应当是由行政法一类的前置法律加以规定。

笔者认为，从信息储存的流动需求，以及信息数据立法实践趋势上看，公民个人信息，应当作为特殊性质的限制流通物予以保护。公民个人信息储存与保管，应当由相关具备经营垄断权的网络运营者来实现，在信息治理从依靠行业自治逐渐上升为依靠政府监管的模式转型下，通过法律法规的授权，赋予商用主体的信息储存权，以实现国家调控和行业规范的整合。其原因在于：

其一，在井喷式的信息化时代，公民的个人信息应当从个人保护模式调整为国家保护模式。在集体法益的视野下，个人信息的收集、使用和加工，通过数据分析、用户画像等形式实现资源供求的对接，提供、输出和配置合理的商业模式，全力营造政务形象。从个人信息的特点上看，个人数据属于新型权利，不同于传统意义上动产抑或不动产，数据属于可复制品，数据转让的本质上是个人信息的复制，经复制之后公民仍享有其个人信息，并不排除和妨碍国家公权力对公民个人信息的保存和控制。

其二，在信息爆炸的网络时代，公民个人信息的保管者和储存者的资质、权限和法律责任应当进一步明确。《网络安全法》将网络活动的权责主体除网信部门和相应的行业部门外，使用较多的是“网络运营者”，相应的配套法规逐渐健全，在网络安全等级、跨境数据流动和个人信息保护等方面开始架构。在网络主权和数据资源的政策主张下，信息数据的所有权和控制权逐渐分离：所有权归属于公权力机构，负责信息数据的分配、交换和使用，控制权归属于网络平台和相关运营者，负责信息储存和数据脱敏等技术服务。

（二）获取途径的限度：以“违反国家有关规定”条件

在《解释》出台前，对“非法获取”之“非法”，学界主要存在两种理解：第一，行为人获取公民个人信息是否违反了国家有关规定，第二，行为人获取公民个人信息的行为是否经过权利人同意。国家标准和公民标准，也正是衡量违反国家信息管理秩序的两个维度。但是，部分公民对个人信息决策权的放弃，并不代表所有公民对权利的放弃。在公民个人信息的“国家托管”模式下，2017年出台的《解释》明确了“违反国家有关规定”是入罪的必要条件，“经过权利人同意”是量刑时的减免事由，在计算“获取”公民个人信息的数量上，可以予以适当扣除。

依据《解释》第2条规定，“违反国家有关规定”，是指违反法律、行政法规和部门规章中有关公民个人信息保护的有关规定。比起《刑法》第96条“违反国家规定”范围的外延，这里的“有关规定”多出了“部门规章”的规定。因此，只有违反中央机关有关公民个人信息保护的有关规定，获取公民个人信息的行为可能被评价为“非法获取”，如果违反的是地方性法规或者地方性政府规章的，不能认为是非法获取的前提。

根据相关刑法原理，“非法获取”之“非法”，应当理解为没有经过法律法规规章授权，还是被法律法规规章所明文禁止？法律、行政法规以及部门规章，对公民进行的是授权性的指引还是禁止性的指引？《刑法修正案（九）》将侵犯公民个人信息罪的犯罪主体从个人扩展到单位，笔者认为，两者“违反国家有关规定”的范畴应当有所区别。如果是行政单位构罪，其代表国家意志行使公权力，须有国家的明文授权，如果相关单位没有获取和收集公民个人信息的权限，则意味着“非法”；如果是个人构罪，必须有法律、行政法规或者部门规章的明文禁止，如果其收集公民个人信息，在手段和途径上没有被明文禁止，则不能作为犯罪处理。

如果是非行政单位，或者从事行政管理的个人，应当采用的是“授权性”标准还是“禁止性”标准呢？在刑法理论上，单位犯罪与个人犯罪的本质并不对立，单位犯罪亦是从个人犯罪中衍生而来。早期的集合理论、替代理论和同一理论等传统学术论断，以单位行为、单位意志与单位的实际控制人之间的同一关系或者替代关系来进行探讨。单位犯罪与个人犯罪的追责机理是殊途同归的，在未经过法律法规授权前提下的单位犯罪，没有公权力要素的掺杂，其犯罪当然不会造成权力滥用或权力寻租。因此，违反国家有关规定的非行政单位和有公共管理职权的公民，应当根据职权标准来判断，遵循“授权性”还是“禁止性”标准。如果不具备行政职权，则应当适用“禁止性”标准，如果具备相应职权，应当适用“授权性”标准。

（三）行为方式限度：须具备严重的社会危害性

根据部分学者的观点，侵犯公民个人信息罪分为“刺探型”“交易型”“泄露型”“利用型”和“持有型”五个类型。《解释》列举的“购买”“收受”“交换”和“收集”，是对“其他方法”的派生解释，列举形式并未穷尽。“以其他方式非法获取”，应当从实质的限度和列举的限度两个方面来分析。

1.实质的限度：非法程度应与“窃取”相当

“窃取”本义为“盗”，是侵财犯罪的一种手段，鉴于公民个人信息的无形物性质，在术语上用“窃取”来替代“盗窃”。能与“窃取”程度并列的非法手段，包括刑法分则财产犯罪中的部分罪名，以抢劫、诈骗、抢夺、敲诈勒索等方式为列举，以转移占有权、控制权或者所有权为行为实质，作为“违反国家有关规定”的行为列举。以暴力、诱骗、威胁等方式获取公民个人信息的，与“窃取”公民个人信息的社会危害性相当，具有实质的违法性。比如，以暴力或者暴力相威胁的方式，逼迫信息持有者交付公民个人信息，属于“非法获取”；再如，以求职招聘或者婚姻介绍等虚假借口大量骗取、获取公民个人信息的，亦属于“非法获取”。

与有形物不同的是，公民个人信息属于电子信息，是无形物。除了以传统的侵财手段窃取或者获取，还可能以通过入侵计算机系统、更改计算机程序等方式获取，这些行为当然属于窃取公民个人信息的行为，具备严重的社会危害性。结合刑法分则相关罪名关于“非法获取”罪状的描述，获取公民个人信息非法性的实质限度可以从以下三个方面来考量：

（1）手段的性质具备违法性：以违法程度相当的手段，获取公民个人信息。手段违法性的本质标准是其手段违背信息持有人、保管人的意志或者目的。如前所述，获取公民个人信息行为所侵犯的法益，是公民个人信息管理秩序，行为人以违背持有人的意志获取公民个人信息。譬如，通过强迫交易、强制威胁等，或者以违背持有人的意愿获取其个人信息；又如，通过欺诈和引诱，违背持有人的处分目的获取其个人信息。这些行为一方面侵犯了持有者对公民个人信息的专属权，另一方面侵犯了国家对公民个人信息的行政垄断权。在自然人侵权和国家秩序破坏的二元违法的前提下，刑事手段的介入并不违背其谦抑性。

（2）手段的途径具备不法性：通过刺探、收买等不法渠道，非法获取公民个人信息。刺探公民个人信息，是指通过侦查、探听等方式获取公民个人信息的行为，常用的方式是通过安插商业间谍，培养技术卧底，收买内部员工等方式，让公民个人信息监管者监守自盗，定量输出公民个人信息。收买公民个人信息的行为，是《解释》中明文列举的行为，是指通过收购的形式，通过非公开、不合法的渠道，批量获取公民个人信息的行为。“收买”强调途径的违法性，如若是企业间官方交换经过脱敏之后的用户数据，不具有信息的识别度，则不认为是“非法”。又如，人事单位组织内部员工捡拾网购纸盒、外卖包装，通过盘点他人未销毁的公民个人信息来进行收集，应当被评价为“非法获取”。因为公民对纸盒包装的废弃，并不等于对个人信息独占权的放弃，行为人通过“捡废纸”等渠道收集公民个人信息，仍然属于不法途径，只是是否构成犯罪，还应当根据行为人的主观方面、收集公民个人信息等数量来进行衡量。再如，通过违规网络页面或者网络聊天群组下载“公民个人信息”的数据包，无论行为人有没有经过付费，都应当评价为“非法获取”，因为行为人未经权利人同意，亦缺乏获取公民个人信息的法律依据和合法资格。

（3）手段的技术具备非法性：通过技术破解、系统侵入、图像识别、画像分析等技术获取公民个人信息。技术的中立性并不等于技术目的指向的合法性，“技术中立原则的适用也应当注重平衡点的把握，否则可能侵犯公法保护的某种特定秩序”。技术的合法性或者非法性并不取决于技术本身，而在于技术主体的主观目的，以及技术对象的重要程度与受保护程度。如果技术提供服务者为获取公民个人信息而主动进行技术攻击，明知他人为获取公民个人信息而提供技术攻击，或者攻击特定的公民个人信息缓存系统，应当认为技术手段上具备非法性。非法获取公民个人信息的侵入手段，可以是冒充合法用户、破译口令、IP欺骗以及通过“后门”入侵等多种方式。

2.列举的限度：购买、收受、交换和收集

购买、收受和交换公民个人信息构成犯罪的，应当以滋生下游信息犯罪的可能性为入罪前提。如果买受人获得个人信息只是为了公司商业营销或者客户服务，获取的公民个人信息不会实现再度交易，或者发生信息泄露的可能性较小，可以在刑事责任上对行为人进行一定减免。

（1）购买公民个人信息

从实践来看，当前绝大部分的不法分子都是通过网络购买来获取公民个人信息的，基于此种情况的考虑，《解释》将购买公民个人信息的行为规定为“非法获取”。《解释》所指的“购买”，要么购买的手段不合法，要么购买的途径不合法。

网络平台基于公权力的授权和公民的合法交付，获得持有、保管和储存公民个人信息的资质，根据《网络安全法》第37条和第43条之规定，在存储主体的资质上有一定的限制，在收集、使用和流动上的程序要求和实质要求，除为公共利益需要和相关业务需要，一般不允许信息数据的交换和流动。因此从流通渠道本身来看，购买公民个人信息的行为本身就具备违法性，公民个人信息进行无偿流通和互换尚且受到严格控制，更何况有偿交易。因此，行为人无论通过线下实体交易获得公民个人信息，还是通过网络渠道批量购买公民个人信息，都应当认为《解释》所指的“非法购买”。

根据市场经济学原理，需求决定供给，需求亦派生市场。公民个人信息的收买极易衍生出公民个人信息的定向收集和批量出售，发展出购买公民个人信息的上游违法行为。不同于后文论述的“收受”行为，“购买”意味着“找米下锅”而非“收受”的“等米下锅”，其行为具备较强的主动性和目的性，会刺激市场需求的不断扩张，进而发展出较为稳定的供给方，通过网络爬虫和数据抓取等信息技术收集公民个人信息，使公民个人信息的交易常态化、高频化。因此，无论从形势政策的制定，还是司法裁判的量刑上，购买公民个人信息的处罚，应当重于收受个人信息的行为。

（2）收受公民个人信息

收受公民个人信息的行为，通常情况下具备一定的被动性，是否达到构罪程度，还应当结合行为人的主观恶性，收受公民个人信息的渠道，以及收受公民个人信息的后续行为来综合考量。如果行为人明知他人提供公民个人的渠道严重违法，或者为其他不法目的收受公民个人信息，可以依照侵犯公民个人信息罪定罪处罚。譬如，行为人明知他人提供的信息系非法转让却收受，或者明知他人提供的信息系非法入侵门户网站获取却收受，可以认为构成犯罪。再如，如果行为人收受公民个人信息，是为处理加工、归类整合而实现再度出售，也可以认为达到构罪程度。

提供公民个人信息与收受公民个人信息是对向行为。但是在大多数情况下，对向行为不具有刑事责任的对等性。社会危害性较小一方的行为构成犯罪的，一般应当以社会危害性较大一方的行为构成犯罪为前提。比如，在司法实践中，行贿行为作为犯罪处罚，一般以受贿行为构成犯罪为前提。之所以有如此之区分，是因为对向行为的主体，可能存在一般主体与特殊主体之别。实践中的主要目的在于对特殊主体的从严打击，在特殊主体不构成犯罪的前提下，一般以“举重以明轻”的原则对一般主体进行出罪评价。

笔者认为，“收受行为”作为“提供行为”的下游行为，其刑事责任同样具备不对等性。首先，在双方行为都构成犯罪的前提下，“收受行为”的量刑应当轻于“提供行为”。前者的社会危害性略小于后者，因为能够批量提供公民个人信息的一方，通常情况下是负有保管、储存、持有公民个人信息的公权力组织或者网络运营者，具备特定的职务职权和业务职责，在公民个人信息的占有、转让和处分的权限上更加有严格的程序限制。其次，双方的刑事责任具备相对独立性。如果提供公民个人信息的行为系通过合法程序，或为实现公共管理和资源分配的目的，则该提供行为不具有可罚性。然而，提供公民个人信息行为的合法性并不完全阻却收受公民个人信息行为的违法性，倘若行为人通过正规渠道收受公民个人信息，以备实施其后的不法行为，则该收受公民个人信息的行为仍然具备刑事可罚性，作为下游信息犯罪的犯罪预备处罚。

（3）交换公民个人信息

交换公民个人信息的行为，是不同行为人对所持有和保管公民个人信息的相互置换行为，双方行为人在此过程中对各自所持的信息进行更新、加工和补强。交换公民个人信息，是公民个人信息互换的动态过程，在此过程中，交换双方都处于积极、主动的状态，以交换为目的和对价，双方在公民个人信息的使用上，有更加明确的企图指向和违法表示。

购买公民个人信息，作为公民个人信息的获取方，会滋生提供方或者出售方，而交换公民个人信息行为的双方，对对方无疑会产生强化、鞭策、反馈等激励机制，以便在后续的信息交易中实现提升和优化。与收集公民个人信息、被动收受公民个人信息在性质上的最大不同，就在于购买、交换公民个人信息的行为本身，就包含了潜在的不法。

从侵害法益的程度上看，持有公民个人信息的行为是静态的，购买和收受其公民个人信息，会使公民个人信息在后续处于暂时的休眠状态，只要没有进一步转让，亦不会产生新的法益侵害危险。交换公民个人信息的过程是动态的，每一次公民个人信息的转让和复制，都会加深公民个人信息的泄露程度，扩大公民个人信息的泄露范围，加剧公民个人信息的潜在危险。因此，几种类型的获取公民个人信息行为中，交换公民个人信息的社会危害性最大。

（4）收集公民个人信息

合法收集公民个人信息的行为，一是要明确信息收集的渠道和途径合法，二是要公民本人以明示或者推定的形式同意其个人信息被收集和使用。两个要素缺一不可，否则就应当认定为非法收集公民个人信息。然而，“非法”应当达到一定程度，收集的手段应当予以明确限制，方可纳入刑法评价。

《解释》第四条在收集公民个人信息前加上了“在履行职责，提供服务过程中”的修饰，“收集”是一个中性词，是指将零散的东西聚集，收拢在一起的行为。考虑到电子信息技术的特殊性，信息收集的本质是信息的复制，同时可能伴随着信息的共享、传播和泄露的风险。

《解释》将收集公民个人信息的入罪前提予以限制，原因有二：其一，刑法对于职务者和业务者，在履行职责过程中，赋予比起一般人更多的职业规范和注意义务，在这个过程中，信息管理人对其保管、缓存和持有的公民个人信息有妥善处置、储存的职责；其二，在管理信息的过程中，行为人比起一般人有更多接触公民个人信息的机会，权力滥用和权利的不当行使，会引发公民个人信息更大规模的泄露和不当使用，基于公民个人信息的特殊性和可复制性，在行使职权、提供服务的过程中擅自收集公民个人信息的行为，更加容易打破国家的数据垄断权，侵犯公民自身的信息自决权。

根据《刑法》第253条之一第2款之规定，在履行职责或者提供服务过程中获得公民个人信息而再度出售、提供给他人的，应当从重处罚。按照词义解释，“获得”与“收集”都属于“获取”的范畴，因此特定主体在履行职责与提供服务时，为转让公民个人信息而收集的，应当从重处罚。

四、结 语

以集体法益和超个人法益为切入，以法益侵害二元论为视角审视获取公民个人信息行为的法益，其法益侵害既包含公权力对信息的行政垄断权，也包含公民自身的信息自决权。以法益侵害的严重程度为标准，考察获取公民个人信息行为的入罪问题，要么获取信息的渠道和途径不合法，要么存在滋生后续犯罪的刑事风险。刑法原则上不对单纯持有公民个人的行为进行评价，“违反国家有关规定”是获取公民个人信息行为入罪的潜在条件，“获取”行为的社会危害性应当与“窃取”相当。《解释》明列的购买、收受、交换和收集的获取公民个人信息的行为，亦应当从获取行为的主体身份，获取行为的方式途径，获取行为的后续风险，以及获取行为的目的用途等方面逐一予以限制。