現代社會的公民個人信息不僅具有傳統的社會屬性，還被賦予了法律屬性和經濟屬性。 在大數據時代公民個人信息迅速增長，其經濟價值日益凸顯，同時也隱藏著巨大的安全風險。 因此，對于侵犯公民個人信息的行為，不得不通過刑法來加以規制。 對于侵犯公民個人信息犯罪的刑法規制， 目前學界還存在爭議。 合理構建侵犯公民個人信息犯罪的罪名體系，對于切實保障公民權益具有重要的現實意義。

一、侵犯公民個人信息罪的立法變遷

（一）有關概念解讀

侵犯公民個人信息犯罪，這里指于 2011 年修正后《刑法》第 253 條規定的"出售、非法提供公民個人信息罪"與"非法獲取公民個人信息罪".根據法條對罪狀的描述， 侵犯公民個人信息的手段限于"出售""非法提供""非法獲取"3 種。 "出售"與"非法提供"以違反國家規定為前提，"非法獲取"無此前提。 如果未違反國家規定或者違反的是國家其他規范和地方規定，則不構成侵犯公民個人信息罪。

出售與購買相對應， 是買賣雙方中的賣方。 對"出售"法條未以"非法"限制 ,這意味著公民個人信息禁止出售， 公民個人信息的經濟價值不在于出售而在于其他方面；對于買方而言，可以構成非法獲取公民個人信息罪。非法提供與合法提供相對應。 此處"非法"中的"法",顯然指代"國家規定". 如果符合"國家規定"而將個人信息提供給他人， 或者違反地方規定和國家其他規范而將個人信息提供給他人，則不屬于"非法提供". 由此可見，個人信息在一定范圍內允許提供給他人。

非法獲取與合法獲取相對應。 只要是獲取公民個人信息的流程、資格、信息種類等都符合"國家規定",就屬于合法獲??；反之，就是"非法獲取". 最常見的非法獲取是竊取。

關于"公民個人信息"的含義，由于目前尚無專門性的公民個人信息保護法， 因此沒有法定統一的表述。 2011 年有學者統計，我國涉及公民個人信息保護的規范分散于 37 部法律、15 部司法解釋、124 部行政法規和部門規章中. 這些法律僅對公民個人信息采取列舉式表述， 大致規定了哪些個人信息屬于各自規范的調整范圍， 未觸及公民個人信息的核心特征。 《刑法》在規定侵犯公民個人信息罪時，僅指出了公民個人信息的來源，即"在履行職責或者提供服務過程中獲得的". 有學者給出了一個界定：公民個人信息是指足以識別該個人的所有信息.

（二）有關立法的變遷

2009 年《刑法修 正案七 》第 7 條 ,增加 "出售 、非法提供公民個人信息罪"與"非法獲取公民個人信息罪". 刑法對于侵犯公民個人信息罪的犯罪手段僅限于"出售""非法提供"和"非法獲取"這 3 種。 對于贈送、交換、濫用、披露等手段，學界認為可以通過刑法解釋，使其歸入這 3 種。

2014 年 11 月公布的 《刑法修正案九 （草案 ）》第16 條的規定，擬從犯罪手段 、犯罪主體 、法定刑及個人信息來源 4 個方面， 對刑法中的侵犯公民個人信息罪規定進行修正。 對比這 2 部刑法修正案中對于侵犯公民個人信息罪的規定， 可以看出一些細微變化（見表 1、表 2）。

關于犯罪手段，增加了"未經本人同意，向他人出售或者非法提供",也就是增加了本人的自主選擇權。 關于犯罪主體，取消了特定機關與單位的限制，僅保留"職責履行者"與"服務提供者"限制，降低了犯罪門檻，擴大了主體范圍，中介組織、信息查詢機構等掌握大量個人信息的單位及工作人員等均被涵蓋。 在法定刑上，相應增加"處 2 年以下有期徒刑或者拘役，并處或者單處罰金"這一較低法定刑，具有一定合理性。 未經本人同意侵犯其個人信息的涉眾面狹窄，社會危害性小。 關于個人信息來源，"出售、非法提供公民個人信息罪" 取消了特定機關和單位的限制，增加"本人的個人信息";"非法獲取公民個人信息罪"取消了"上述信息"的限制，使得其中的"個人信息"具有獨立屬性和來源。 總體來說，《刑法修正案九（草案）》擴大了個人信息的源頭范圍。

二、關于罪名體系問題

（一）犯罪手段存在競合、包容關系

無論是《刑法修正案七》還是《刑法修正案九（草案）》， 都沒有對侵犯公民個人信息罪的犯罪手段種類作出修正。 在刑法框架下，侵犯方式僅包括"出售""非法提供"與"非法獲取". 然而，這三者之間并非絕對排斥關系。 這不利于司法實踐中對犯罪行為類型的認定。

首先，"出售"與"非法提供"之間存在種屬關系.

出售， 是指沒有合法根據而將合法擁有的公民個人信息有償提供給他人。 非法提供，是指沒有合法根據而將公民個人信息提供給他人， 自然包含有償提供與無償提供。 可以看出，"非法提供" 必然包含 "出售". 那么，規定"出售"這一行為的獨立意義何在？"非法"二字的限定已然說明 ,只要沒有合法根據而將公民個人信息流出的行為， 就構成侵犯公民個人信息，有償與無償之分并不是決定因素。 現實中還存在行為人不以獲取利益為目的而向他人提供公民個人信息， 獲取一方事后可能給予提供方報酬， 此時"出售"與"非法提供"之間的界限就顯得更加模糊.

司法實踐中通常將此情形認定為"非法提供",而非"出售". 事實上，此情形更接近于有償提供。 有償提供的對價支付，時間不一定在交付之前，可以在交付之后。

其次，"非法提供"與"非法獲取"之間存在競合關系。 從表面上看，"非法提供"與"非法獲取"之間是排斥關系，兩者的刑法責難重心不同，前者主要責難提供一方，后者主要責難獲取一方。 但是，兩者依然存在競合關系。 譬如：在雙方互相交換各自合法所有的公民個人信息的情形下，"交換信息" 這一行為本身包含著非法提供與非法獲取 2 種行為， 非法獲取是非法提供的目的，非法提供是非法獲取的手段。 任何一方在交換信息時， 都同時觸犯了非法提供公民個人信息罪與非法獲取公民個人信息罪。 由于只存在一個行為， 卻同時觸犯兩個罪名， 構成想象競合犯，此時需要擇一重罪處罰。 但由于兩者法定刑完全相同，選擇適用何種罪名對于最終量刑無任何影響。

實踐中常常以非法獲取公民個人信息罪定罪處罰，畢竟行為人最終的目的是為了獲取公民個人信息，非法提供只是犯罪手段而已。 由此可見，對于侵犯公民個人信息犯罪手段的不當規定， 導致司法實踐的隨意性，在個別案件中會被放大。

（二）"違反國家規定"的約束范圍不明確

2011 年 《刑法 》第 96 條規定 了 "違反國家規定之含義","是指違反全國人民代表大會及其常務委員會制定的法律和決定，國務院制定的行政法規、規定的行政措施、發布的決定和命令". 國家規定不同于地方規定或者以國家名義頒布的其他規范性文件?！缎谭ㄐ拚妇牛ú莅福啡∠颂囟▎挝坏南拗?，保留了"違反國家規定",表明在一般情形下，"出售"與"非法提供"仍然必須以"違反國家規定"為前提[5]. 那么 ,對于 "未 經本人同意 "情形中的 "出售 "與"非法提供",是否需要堅持這個前提？筆者認為不需要。 大數據時代，信息收集、儲存與保管的主體不再限于國家機關、金融、電信、交通、教育、醫療等象征著國家公權力的特定單位，還包括中介組織、私家偵探、網購平臺、用人單位、信息查詢機構等。這些組織機構擁有大量的公民個人信息，可能出現出售、非法提供公民個人信息的情況。但它們有一個共同特點，那就是與信息主體之間存在某種形式（書面、口頭或者隱性）的保密協議，或者禁止擅自出售的協議。 違反這些協議并不必然違反國家規定。 "未經本人同意"的側重點，應該在于公民個人信息的自主決定權和自主流通權， 非國家對公民個人信息安全的強制保護。

值得注意的是，在取消"國家機關以及金融、電信、交通、教育、醫療等單位"的前提下，"違反國家規定"還存在多少理論與實踐空間？ "違反國家規定"必然與"國家機關以及金融、電信、交通、教育、醫療等單位"相對應，因為后者代表著一種采集、儲存、保管公民個人信息的公權力[6],而這種公權力必須受到國家規定的規范調整。 我國對于公民個人信息的規范保護不限于國家規定， 還有地方規范或者國家其他規范。

（三）"公民個人信息"的含義待法定

根據《刑法修正案七》，公民個人信息是指國家機關或者金融、電信、交通、教育、醫療等單位在履行公務或者提供服務中獲得的公民個人信息。 這只是就公民個人信息的來源限制。 《刑法修正案九 （草案）》也沒有采取"引證罪狀"這一立法表述。 有學者建議，"公民個人信息"應是包括姓名、出生年月日、身份證號碼、戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他可以識別該個人的信息. 換言之，公民個人信息包括了身份信息、 財產信息、 社會信息等可以識別該個人， 將該個人與其他人區分開的信息。 這就明確了"公民個人信息"的核心特征。 刑法中的公民個人信息應該與行政法中的公民個人信息的概念界定相同， 只是在個人信息遭受嚴重侵害時才給予刑法保護而已[7].

（四）法定刑配置不協調

在《刑法修正案九（草案）》之前，刑法對"出售"" 非法提供 " 與 " 非法獲取 " 配置了完全相同的法定刑。 《刑法修正案九（草案）》增加"未經本人同意"情形， 并為此配置較低的法定刑。 當一方未經本人同意，擅自與他人交換其個人信息，另一方非法獲取該個人信息時，雙方均構成"出售""非法提供"和"非法獲取",此時為想象競合，擇一重罪處罰。 在《刑法修正案九（草案）》之前，可以任意選擇罪名適用，因為法定刑完全相同。 以后，由于最高法定刑的不同，最終定罪量刑結果會有所不同。 由于非法獲取公民個人信息罪的法定刑，比出售、非法提供公民個人信息罪的法定刑高， 所以交換公民個人信息應構成非法獲取公民個人信息罪。 由此一來，罪名認定與法定刑配置之間的緊張關系將加劇。

三、侵犯公民個人信息罪的罪名體系重構

針對上述問題，筆者認為，侵犯公民個人信息罪的罪名體系應進行重構。

（一）犯罪手段"去類型化"

侵犯公民個人信息罪的犯罪手段存在競合或者包容關系， 難以有效應對各種侵犯公民個人信息行為類型，如交換公民個人信息等。 有學者建議，在當前侵犯公民個人信息現象泛濫的情形下， 侵犯公民個人信息犯罪應該"去類型化",改為籠統式規定，將現有多個罪名統一表述為 "侵犯公民個人信息罪",以擴大打擊范圍，加強刑法保護。 筆者贊同"去類型化"的主張。

首先，"侵犯某某罪"的立法表述已經約定俗成，如侵犯通信自由罪、侵犯少數民族風俗習慣罪、侵犯著作權罪、侵犯商業秘密罪等。 此類罪名都為一種去類型化規定， 雖然根據具體行為方式可能有 "再分類",但罪名依然為"侵犯某某罪".

其次，"侵犯某某罪"是一種動賓結構，由侵犯的行為和侵犯的對象共同組成。 從侵犯的對象上看，都具有容易被他人侵犯的性質， 而且無論哪種侵犯方式都可能造成該對象的法益損害。 公民個人信息恰恰具有這種性質，無論手段是出售、購買、非法提供、非法獲取還是交換， 都可能造成對公民個人信息法益的嚴重侵犯。 此類犯罪重點強調侵犯對象的特殊性，而不是侵犯手段的特定性。

最后，統一表述為"侵犯公民個人信息罪",有利于克服司法實踐中存在的混亂局面。 譬如購買行為，其與出售行為相對應， 但實踐中有些法院對購買者不定罪處罰[8],而有些則判決購買者構成非法獲取公民個人信息罪[9]. 統一規定為 "侵犯公民個人信息罪",并增加兜底性規定，則上述矛盾判決就沒有了存在空間。

（二）刑法與前置法的協調

《刑法修正案九（草案）》取消公民個人信息的來源限制，意在擴大公民個人信息的保護范圍，但依舊沒有規定公民個人信息的核心內涵以及外延范圍。

這對公民個人信息的刑法保護帶來很大的挑戰，一方面增加了法官的自由裁量權； 另一方面可能導致刑法的保護范圍縮小， 一些本應加以刑法保護的公民個人信息，可能被排除在外。 筆者認為，應采取"引證罪狀"的模式，增加對公民個人信息的具體規范引證。 具體模式可以借鑒交通肇事罪的立法表述（違反交通運輸管理法規），取消"違反國家規定"這一限制，代之以"違反公民個人信息保護規范". 在取消特定單位限制的前提下，前置法理應同時做出修改，不再限定于"國家規定". "公民個人信息保護規范"才是與"侵犯公民個人信息罪"相對應的前置法。 這樣，可以做到刑法與前置法的協調。

（三）法定刑的重新配置

在法定刑上增加 "處兩年以下有期徒刑或者拘役，并處或者單處罰金"這一較低法定刑，對應"未經本人同意"情形下"向他人出售或者非法提供其個人信息"的犯罪手段。 這是合理的。 畢竟未經本人同意侵犯其個人信息的涉眾面狹窄， 僅限于本人而不涉及大多數，社會危害性較小。 在統一使用"侵犯公民個人信息罪" 的前提下， 將該種行為單獨配置法定刑，也能使得法定刑相對協調。

同時，在維持基本的法定刑（處 3 年以下有期徒刑、拘役，并處或者單處罰金）的前提下，還應增加法定加重情節， 并相應配置加重刑。 隨著侵犯手段在"量"方面的不斷積累，有的可能造成被害人人身、財產的重大損害，或者名譽、榮譽、日常生活、日常生產經營等方面被嚴重侵害； 有的可能出現多次侵犯行為； 有的可能造成數量巨大或者特別巨大的公民個人信息被侵犯； 有的非法獲利數據巨大或者特別巨大，等等。 對上述情形相應增加"情節特別嚴重"的法定刑， 使侵犯公民個人信息罪的法定刑配置趨于完善，具有重要的現實意義。

另外，還應增加"有前款行為，同時構成其他犯罪的，依照數罪并罰的規定處罰". 因為現實中存在著行為人在侵犯公民個人信息的同時， 又實施了其他犯罪行為。 取消"國家機關、金融、電信、交通、教育、醫療等單位"的限制后，還應增加"國家工作人員利用職務上的便利實施侵犯公民個人信息犯罪的，依照前款的規定從重處罰". 國家工作人員利用職務上的便利實施侵犯公民個人信息犯罪， 比其他犯罪主體具有更大社會危害性，理應從重處罰。 對此，也可以借鑒非法拘禁罪的立法模式。

參考文獻：
[1] 胡雁云。 我國個人信息法律保護的制度選擇與模式建構[J].中州學刊，2011（4）。
[2] 齊愛民。 中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學，2005（6）。
[3] 慈健。非法提供與獲取公民個人信息行為的刑法規制[J].西南科技大學學報（哲學社會科學版），2012（1）。
[4] 周海洋。出售、非法提供公民個人信息罪與非法獲取公民個人信息罪的理解與適用[J].中國審判，2010（1）。
[5] 張磊。 司法實踐中侵犯公民個人信息犯罪的疑難問題及其對策[J].當代法學，2011（1）。
[6] 李江林。出售及非法提供公民個人信息罪主體的厘定[J].云南警官學院學報，2013（6）。