律师研究 | 单纯非法获取公民个人信息入罪之商榷：实务梳导与价值检视

单纯非法获取公民个人信息

入罪的相关规定

侵犯公民个人信息罪主要包括“非法获取”与“非法提供”两种类型。非法获取型侵犯公民个人信息罪主要规定在《刑法》第二百五十三条之一第三款，以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称：《个人信息刑事司法解释》）第四、五、六条。根据上述规定，非法获取公民个人信息的，只要达到“情节严重”的程度便以侵犯公民个人信息罪入罪。同时，根据《检察机关办理侵犯公民个人信息案件指引》（下称：《案件指引》）的规定，对“违反国家有关规定”的审查认定扩大到全国人大及其常委会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令，以及部门规章。同时，《案件指引》亦规定，对“非法获取”的审查认定，“在窃取或者以其他方法非法获取公民个人信息的行为中，需要着重把握‘其他方法’的范围问题”，例如购买、交换、收集等行为。关于非法获取的行为方式，除窃取外，有学者通过对400份刑事判决书的比对和梳理后总结到司法实践中认定的“其他方法”主要包括以下十种类型，即购买，骗取，交换，索取，下载、拷贝、复制，跟踪调查，接受、接收，收集，受赠和持有。由此便导致了对“非法获取”的宽泛认定，并扩张了非法侵犯公民个人信息罪的犯罪圈，这虽然有助于实现对信息网络犯罪的前端治理，但却与刑法的谦抑性原则相矛盾，亦与立法意旨相冲突。

本文所称单纯非法获取公民个人信息的行为，是指行为人仅存在非法获取的故意，不存在诸如出售、提供、交换，或用于其他犯罪的故意。

单纯非法获取公民个人信息

入罪的实务梳导——以重庆市为例

在威科先行法律数据库，以“侵犯公民个人信息罪”、“非法获取”、“基层人民法院”、“刑事”“一审”、“判决书”为关键词，共检索9153份判决书，近五年有3641份判决书，因数量较多，实难在短时间内整理归类，特以重庆市为例试阐之。以“侵犯公民个人信息罪”、“基层人民法院”、“重庆市”、“刑事”、“一审”、“判决书”为关键词，共检索出311份判决书，其中，在2017年6月1日以后，即《个人信息刑事司法解释》生效后作出的判决书共计301份，除去5份补正判决书、2份未成年未公开、1份不宜公开以及4份被告曾因侵犯公民个人信息罪已被定罪的判决书外，有效样本共计279份，行为方式及发生频次统计如下图：

（备注：1.本表将使用目的作为考量因素予以统计。2.判决书中未载明非法获取具体方式的，按照“非法获取”进行统计。3.一份判决书有多名被告，且行为方式一致时，分别统计；如多名被告行为方式一致，则不重复统计。）

对该279份判决书进行梳理，具有以下特征：第一，在案件数量上居少。尤其近五年共计39件，2020—2024年分别为25件、5件、1件、1件和6件，尤其是2021年以后，重庆市范围内判决的侵犯公民个人信息罪的案件为个位数，甚至2022年和2023年均为1件。第二，根据对行为方式的考察，可以看出主要集中在出售、购买、交换、提供等行为，占据了一半左右。根据《个人信息刑事司法解释》第四条的规定，对于“违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的”，只要达到“情节严重”的程度，都进行了定罪处罚。另外，有五起用于合法经营的收受行为被定罪处罚。

由此可见，在司法实务中，该罪重点惩治的是对公民个人信息的流通和扩散，除了《个人信息刑事司法解释》第四条规定的情形之外，对非法获取行为进行了一定程度的限缩适用，重点考察了非法获取的行为方式以及使用目的。

单纯非法获取公民个人信息

入罪的价值检视

（一）现行规定之间存在不契

假设，从事合法经营活动的行为人非法购买或收受一般公民个人信息5000条以上但获利未满5万元，根据《个人信息刑事司法解释》第五条的规定，其符合“情节严重”中第5种情形，可以构成侵犯公民个人信息罪，但是根据第六条的规定，为合法经营而非法购买、收受一般公民个人信息的，只有符合获利要求、特殊再犯及其他严重情节之一时才达到构罪标准，因此，前述行为则不构成侵犯公民个人信息罪，同一司法解释的上下条文之间出现冲突。由此，又可推导出，如果行为人只是单纯的实施了购买、收受等非法获取行为，并没有或者无法查明其有任何使用目的，是不是更不应当构罪。根据特别法条优于普通法条的原则，应当优先适用第六条的规定，认定上述行为不属于“情节严重”，亦不构罪。但是，在司法实务中，以上冲突并未引起重视和矫正。由于《个人信息刑事司法解释》第五条规定了明确的数量规模，一旦认定为非法获取行为，往往很容易达到“情节严重”的认定标准，大量的单纯非法获取行为被定罪处罚，而通常以判处缓刑的方式实现罪刑均衡。

另外，《个人信息刑事司法解释》和《案件指引》对于“以其他方法获取”个人信息的行为，亦有细微不同：最高法认为，违反国家有关规定，通过购买、收受、交换等方式获取个人信息或信息处理者在处理信息过程中获取个人信息的行为，都应当被视为“以其他方法非法获取”个人信息的类型，其范围相对宽泛；而最高检认为，“以其他方法非法获取”应当与“窃取”在性质上具有同等的危险性，也即是说，对于与“窃取”危险性不相匹配的获取个人信息的行为，不能被认定为“以其他方法非法获取”，其范围相对狭窄。

（二）就其危害性而言，尚未达到刑事可罚性

应当看到，刑法不是保护公民个人信息权益的唯一手段，而是最后手段，因而只有当其非法性所具有的危险性和破坏性达到刑法所预定的不法程度时，才能运用刑法评价。《个人信息刑事司法解释》一概将非法获取行为作为犯罪处理不免过于武断。首先，单纯非法获取行为只是增加了公民个人信息被传播和扩散的潜在风险，并不具有现实的具体危险性。正如公民购买菜刀一样，在其明显表露杀人行为之前，难以认定其购买菜刀的行为具有非法性。事实上，《个人信息刑事司法解释》也是贯彻了这一解释原理，如第十一条规定，“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算”，也从侧面否定了单纯获取公民个人信息行为的刑罚必要性。对单纯非法获取行为，应当从获取信息的目的以及其后续信息处理判断是否具有刑事可罚性，即在获取公民个人信息的行为具有形式非法性之后，必须能够证明该获取行为的非法性对于个人信息上的人身财产权益产生的危险达到极有可能向具体危险实现的程度。

以目前日益增多的爬取方式为例，单纯在网络上利用技术手段搜集个人信息的行为，根据《案件指引》的规定，“其他方法”应与窃取行为具有同等危险性，否则，则不应当在刑法层面予以评价，但是，爬取和窃取实难在性质上归为一致。针对此类行为，不应去判断行为人爬取行为的合法性，而应着眼于行为人是否利用、出售或者向他人提供其所爬取的信息，如此才符合刑法谦抑性的原则。

（三）非法使用行为尚未入罪，单纯非法获取行为亦不应入罪

单纯非法获取行为对公民个人信息法益的侵害具有预备性，只是将公民个人信息之上的人身财产权益置于一种潜在危险当中，没有也不打算实施后续处理行为，并不会实质侵害个人信息法益。侵犯公民个人信息罪的立法初衷也是为了规制转移行为。相较单纯非法获取行为，对公民个人信息的使用和滥用对公民个人信息法益的侵害更为直接和严重，危害程度更突出，发生频率也更普遍，但是目前，刑法及相关司法解释并未对非法使用行为予以入罪。其实，早在《刑法修正案（九）》出台之前，就有学者明确建议立法机关将非法使用行为予以入罪，但立法机关未予以采纳，单纯非法获取公民个人信息的行为只可能侵害个人信息自决权、隐私权等。既然危害性更大的非法使用行为都未入罪，危害性较小的单纯非法获取行为就更不应入罪。

（四）单纯非法获取行为并未直接侵犯核心法益

侵犯公民个人信息的法益在理论界存在争议，但是其核心法益应是附着其上的人身财产权益，但单纯非法获取行为并不会直接导致公民人身财产权益受损，与核心法益之间存在一定距离。实践中非法获取公民个人信息行为往往伴随着后续提供、出售乃至诈骗等行为，也正因为如此，刑法才要提前规制此类行为，但是这种行为只是升高了信息被非法利用的危险，属于抽象危险，“对于非法获取、非法提供其最终的依归在于非法利用行为”，如果此类行为难以认定有后续处理行为，则必然可以否定其对直接法益的侵犯。所以，并非所有非法获取行为均要运用刑罚手段进行规制，对于仅存在非法获取行为或者非法获取公民个人信息后仅用于合法经营的情形一律认定为犯罪既不符合法益保护原则，也有悖于刑法目的的实现。

北京 | 上海 | 深圳 | 重庆 | 杭州 | 武汉 | 天津 | 长沙 

郑州 | 济南 | 合肥 | 西安 | 烟台 | 厦门 |  南宁 | 贵阳 

 银川 | 海口 | 苏州 |昆明 |香港 | 新西兰