侵犯公民个人信息罪的基本问题

　　庄绪龙

　　【中文关键词】 公民个人信息；“获取型”行为；“使用型”行为；运气现象

　　【摘要】 公民个人信息的概念和范畴的科学界定是《刑法》第253条之一准确适用的基本前提。关于公民个人信息范畴界定的学说，隐私权说、生活安宁权说以及信息价值说各有侧重但也各存偏颇。在上述三种学说基础之上，融合三种学说之优势且补足其劣势的“折中说”具有科学性。本罪的犯罪对象，即公民个人信息应为“违背公民本人真实意思表示且在客观上公开会造成公民个人人身、财产安全隐患的一切信息”。在类型化角度，对于“结合型”公民个人信息而言，犯罪主体应当聚焦于信息的整合者、组织者，单纯获取、提供不具刑法保护价值的数据信息，不宜作为本罪处理；在本罪行为方式上，单纯的“获取型”行为并未侵害刑法保护的法益，不宜作为本罪处理，而“使用型”行为不作为犯罪处理的规定却难以自圆其说，科学性与合理性不足。“两高”关于本罪最新出台的司法解释，在规范解释论上虽然与“行为-结果”的因果关联存在解释论上的落差，但却具有司法价值引导的功效，其中彰显的法理价值科学且充分。

　　【全文】

　　在互联网时代，信息成为一种重要的社会资源，信息在社会生活中的地位逐渐凸显。近年来，随着我国经济快速发展和信息网络的广泛普及，侵害公民个人信息的违法犯罪日益突出，互联网上非法买卖公民个人信息比较泛滥，由此滋生的电信诈骗、网络诈骗、敲诈勒索、绑架和非法讨债等犯罪屡打不绝，甚至一些犯罪分子为追逐不法利益，利用互联网大肆倒卖公民个人信息，已逐渐形成庞大“地下产业”和黑色利益链，社会危害极其严重。我们能够感同身受的是，在社会生活中大多数公民表示都受到各种推销房产、高息贷款等电话骚扰，公民个人信息泄露已经十分普遍，例如浙江丽水松阳警方经过13个月的连续奋战成功破获一起特大侵犯公民个人信息案件，查获非法获取的各类公民信息7亿余条，共370G的电子数据，个人信息保护已经成为全社会的共识。[1]

　　在此背景下，近年来我国立法和司法机关先后出台了整治侵犯公民个人信息犯罪的法律和司法解释。比如，2009年2月28日《刑法修正案(七)》7条首先增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，重点治理国家机关、金融、电信、交通、教育、医疗等单位及其工作人员“获取型”和“提供型”侵犯公民个人信息犯罪的行为；2012年12月28日全国人大常委会通过了《关于加强网络信息保护的决定》，对个人信息保护和网络信息安全作了规定，尤其是对网络服务提供者作了比较严格的要求和限制；2013年4月23日最高人民法院、最高人民检察院、公安部联合发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》，对于依法严厉打击侵犯个人信息犯罪活动作了全面部署；2015年8月29日《刑法修正案(九)》17条又将《刑法修正案(七)》规定的上述两罪重新修订为一罪，即“侵犯公民个人信息罪”，将“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”这一特殊主体扩展至一般主体，并非限于国家机关、金融、电信、教育、医疗等单位，一定意义上也终结了《刑法修正案(七)》规定的“等”究竟是“等内”还是“等外”的解释异议；2016年11月7日十二届全国人大常委会第二十四次会议经表决通过了《网络安全法》，对网络安全和信息保护作了比较明确的规定；2017年5月8日，最高人民法院和最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)，对于侵犯公民个人信息犯罪的适用如情节严重、情节特别严重，作了具体规定。应当认为，在法律体系上，关于网络安全和个人信息保护的立法和司法解释已经比较完备，目前对于侵犯个人信息犯罪的治理也取得了一定成效。但毫不讳言的是，在侵犯个人信息犯罪领域尤其是《解释》中的一些具体规定问题，还需要在学理上深入讨论。本文拟根据《解释》的最新规定，对侵犯公民个人信息犯罪的基本概念、行为类型以及价值导向等问题稍作分析。

　　一、公民个人信息范畴的基本类型及其分析

　　侵犯公民个人信息罪，首先需要确认的核心概念便是“公民个人信息”。《解释》第1条对此问题就开宗明义的指出，《刑法》253条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。即便如此，对此前提问题，学界仍有不同观点。比如，有观点认为，个人信息是指能实现对公民个人情况的识别，被非法利用时可能对公民个人生活和安宁构成损害和威胁的信息；[2]也有观点认为，个人信息是指本人不希望扩散，具有保护价值，一旦扩散，将可能对公民权利造成损害的信息；[3]还有观点指出，个人信息是指以任何形式存在的、与公民个人存在关联并可以识别特定个人的信息。[4]具体到《解释》本身，有些问题也充满争议。比如，单纯的姓名或者年龄等可以识别自然人身份的信息是否属于《解释》规定的“公民个人信息”？按照《解释》规定回答毫无疑问是肯定的，但学界有观点却对此提出质疑：姓名、年龄是不值得刑法保护的单纯性的数据信息，不属于刑法中的“公民个人信息”。[5]由此观之，侵犯公民个人信息罪的准确认定，必须对《解释》第1条所规定的公民个人信息的概念和范畴在学理上进行正本清源。

　　(一)“单独型”公民个人信息范畴的基本标准当前，虽然《解释》对于“公民个人信息”的范畴作了比较明确的限定，但也还存在一些无法经由《解释》明确的问题。比如，个人隐私信息是否属于“公民个人信息”？按照《解释》中限定的“以电子或者其他记录”以及具有“识别”功能的规定，似乎并不能得出明确结论。理论上，关于“公民个人信息”的基本范畴主要存在以下几种观点。

　　第一，隐私权说。理论上一般认为，隐私权是一种排除他人对个人秘密生活进行干预的权利，隐私权强调的是排除他人干预。[6]也有观点认为，隐私权是一种当事人隐瞒私人秘密，防止他人公开的权利。[7]例如，在“孙某某诉中国联通网络通讯有限公司上海市分公司侵害隐私权”案中，法院认为隐私权赋予权利人一种私人生活的控制权，这种控制权不仅仅是单纯地防御法人窃取个人隐私，而且能够扩展到“是否向他人公开隐私以及公开范围的决定权”，并且只要存在将私人信息不当地披露给他人的事实便构成对隐私权的损害，而不论对私人生活是否有影响。[8]关于个人信息的权利属性，有观点明确指出，个人信息具有个人隐私的特征。[9]比如，某大龄女生谈了梦寐以求的男友，欲走进婚姻殿堂。然而在婚检时，不明就里的医生随口告知其男友，该女生曾堕胎，男友于是与之分手，该女生感觉人生无望自杀身亡。那么，这里该女生堕胎所谓隐私信息是否属于个人信息？按照上述观点，回答显然是肯定的。但是也有学者认为，这里的隐私信息并非一般意义上能够识别公民个人身份的信息。[10]笔者也认为，按照《解释》的界定，隐私信息显然并不属于“识别特定自然人身份或者反映特定自然人活动情况的各种信息”，至少在文义解释上与隐私权的特征并不符合。另外，隐私权说还面临的问题是，隐私的概念如何界定？合法公开的信息是否为隐私权意义上的个人信息？再比如，在一定范围内知晓的特殊个人信息是否属于公民的隐私信息？比如，某人为癫痫患者，在单位、小区等均为公开知晓的事实，该信息是否可以作为隐私权意义上的个人信息？[11]另外，并不具有隐私特征的非隐私性个人信息，比如通讯地址、手机号码等，是否就不属于公民个人信息？显然，上述疑问隐私权说的观点并不能作出合理解释。

　　第二，生活安宁权说。关于个人信息的属性，学界一种有力观点是生活安宁权说。如有观点认为，包括个人信息权在内的隐私权是为了维护个人生活安宁状况的目的；[12]还有观点认为，隐私权是个人对自己私人信息、私人生活和私人领域进行支配和控制的权利，这种观点经由美国控制权理论的演绎而生。毫无疑问，生活安宁权是公民生活的必要前提和基本条件。现阶段，我国立法虽然并未明确将生活安宁权载入法律，但在宪法和有关法律中已经隐约透视着对生活安宁权的格外保护。比如，宪法第39条规定，中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅；再比如，刑法中对于“户”的格外保护，非法侵入住宅罪的独立入罪规定以及入户盗窃、入户抢劫的从重处罚，都折射出法律对公民生活安宁权的保护。王利明教授在其《中国民法典草案》建议稿第二编“人格权”第5章第366条就对公民的生活安宁权作了规定：自然人的生活安宁受法律保护。禁止以窥视、窃听、跟踪、信件或电话骚扰等方式，干扰他人的私生活安宁。[13]笔者认为，生活安宁权在本质上与隐私权类似，都主张公民个人事务和生活不受外界打扰和侵犯，只是在外延上生活安宁权更为宽泛。因而，上述关于隐私权与个人信息范畴的覆盖对照问题，也同样适用于生活安宁权观点，并且生活安宁权范围更为广阔可能与《解释》所明确的“公民个人信息”存在较大差异。

　　第三，信息价值说。在信息属性的人格权学说之外，学界还有观点主张信息的价值性。有观点认为，公民个人信息的价值类型存在自主价值与使用价值两种情形。所谓个人信息的自主价值，是通过对个人信息的自主使用以实现人格发展的价值，个人人格的发展依赖于社会交往的参与，而社会交往的实质就是个人信息的使用。[14]另外一种价值类型，即信息的使用价值，是指个人信息可以通过在社会交往中公开并流转的方式，为本人带来各种利益的价值。这种价值类型包括：其一，利用自己的个人信息获得经济利益，比如公众人物(明星)对自己个人信息的披露；其二，利用自己的公民个人信息获得某种社会评价或服务。比如，求职者向雇主提供个人简历等信息获得工作机会，进而间接获得经济利益。信息价值说立足与隐私权、生活安宁权等人格权对立的经济利益权(财产权)，虽然弥补了隐私权说观点的弊端，但同样也存在隐私权说观点攻击的致命要害：不具有经济价值意义的公民个人信息难道就不属于法律上保护的个人信息了吗？显然这也是信息价值说观点难以解释的疑问。

　　有论者认为，理论界之所以对侵犯公民个人信息罪的犯罪对象争议颇多，主要是因为对“公民个人信息”的权利属性不甚明确。该论者指出，当前立法和司法解释，仅仅是从事实层面规定公民个人信息的内涵与外延，缺乏规范层面的宏观思考，对于公民个人信息的权利属性，即公民个人信息应当属于人格权还是财产权，抑或是一种独立权利类型却避而不谈。此种有意或无意的回避如果说在之前还可以蒙混过关，但随着公民个人信息概念的不断扩张，以及此次《民法总则》111条仅规定公民个人信息受到法律保护却未明确其性质，这样的尴尬局面被进一步放大。[15]笔者认为，经由以上3种学说的归纳和梳理，可以认为：不管是单纯的隐私权说、生活安宁权说还是价值说，均不能有效且完整涵摄公民个人信息的科学范畴。事实上，个人信息同时具有人格属性和财产属性，而这两种属性在社会交往中都可以得到充分体现。[16]笔者认为，公民个人信息的权利属性，既带有人身权属性也包括财产权属性，难以用绝对肯定一方而绝对否定一方的判断思维进行准确界定，因此不必纠结于个人信息到底属于何种权利属性和类型。

　　在此基础上，笔者提倡公民个人信息判断的“折中说”。具体而言，综合隐私权说、生活安宁权说与信息价值说等观点，探索3种理论观点的“最大公约数”，吸纳各观点的合理科学性，重新塑造公民个人信息的判断标准。事实上，公民个人信息本身并不能造成公民人身、财产的实际损害结果，但这种上游信息能够被下游犯罪行为所利用。换言之，真正危害公民个人人身、财产安全的并不是公民个人信息的获取、提供、披露或公开本身，而是行为人将获取、提供、披露或公开的个人信息作为犯罪手段的下游犯罪行为，比如利用公民个人信息进行的电信诈骗、网络诈骗、敲诈勒索、绑架和非法讨债等犯罪。[17]因此，在这个角度而言，公民个人信息仅仅是犯罪借助的手段，是犯罪行为发生和犯罪结果制造的“原材料”，至于经由犯罪行为产出何种成果、何种作品，完全决定于下游犯罪的具体行为。因此，公民个人信息在性质上并不能也不应当予以明确，否则必然会顾此失彼。关于公民个人信息判断的“折中说”，是指违背公民本人真实意思表示且在客观上公开会造成公民个人人身、财产安全隐患的一切信息。“折中说”判断的“先主观判断后客观判断”的两个步骤是：其一，首先尊重公民本人的主观意志，即是否违背公民本人真实的意思表示，排除公民自愿公开或者推定自愿公开以及事后追认的情形；其二，在主观判断的基础上，进行客观判断验证，即该个人信息公开客观上会造成安全隐患或者风险，比如公民财产的丧失、生活安宁权的侵犯以及个人名誉的损害等。

　　(二)“结合型”公民个人信息认定的类型区分

　　《解释》规定，“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。这里明确了公民个人信息的基本类型，即“单独具有识别特定自然人身份或者反映特定自然人活动情况的信息”和“与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的信息”两种刑法保护的信息类型。上文讨论了“单独型”的公民个人信息，这里还需要对“结合型”公民个人信息的生成机制进行讨论。正如前述王昭武教授所言，公民个人的有些信息本身并无人身、财产性价值，公开与否对公民个人而言并无实际损害，如公民的姓名和年龄即属此类。《解释》第5条第(四)项也规定，“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的”才作为本罪情节严重的类型，也从侧面说明本罪保护的公民个人信息应当是“可能影响人身财产安全的信息”，而非任何与公民有关的信息。那么，这里的问题是，这种并无刑法保护价值基础的单独型单纯性数据信息抑或结合型单纯性数据信息，是否属于《解释》中的“结合型信息”？

　　在解释论上，《解释》中规定的“与其他信息结合”中的“结合”显然应当包括“一一结合”与“一多结合”等情形。例如，姓名与年龄这种“一一结合”，同样都不具刑法保护价值的单纯数据信息的结合，是否属于《解释》规定的情形？换言之，行为人A与行为人B分别获取公民的姓名与年龄，进而进行结合，这种“一一结合”而成的信息是否属于《解释》中规定的“公民个人信息”？是否有必要对A与B进行刑事处罚？笔者认为，对于A与B而言并无刑法处罚必要，毕竟姓名与年龄的信息数据结合，对于公民个人而言并无任何人身、财产等风险隐患。如果行为人A与行为人B分别获取了公民姓名和公民的通讯方式、住址信息，这种“一多结合”的信息显然属于《解释》中的公民个人信息，对此是否对A与B都进行刑事处罚？笔者认为，如果行为人A或者B单纯获取公民的姓名、年龄这种并无刑法保护价值的数据信息并不构成本罪，那么在“一一结合”或者“一多结合”情形下，与具有刑法保护价值的通讯方式、住址信息等相结合，继而客观上形成了《解释》所规定的“公民个人信息”，A和B作为本罪的犯罪主体承担刑事责任并无任何理论障碍。但是，在社会生活中，A与B如果作为自然人几乎不可能无意识的搜集不具有刑法保护价值的数据信息，行为人感兴趣的信息必然是具有交易价值的信息。如果行为人搜集、获取的信息为不具有刑法保护价值的单纯数据信息，不可能无利所图，也不可能纯属个人欣赏，背后往往可能存在这样的预设：一种可能是，行为人A与行为人B分别搜集、获取公民个人信息，只不过A搜集的是不具有刑法保护价值的纯粹数据信息，如姓名、年龄，而B搜集的是具有刑法保护价值的公民个人信息，只不过这种信息本身并不完备规范，需要A搜集的信息与之匹配，才能真正产出具有交易价值的信息。在这种情形下，A虽然获取的是不具有刑法保护价值的个人信息，但是与B搜集、获取的公民个人信息能够形成完整准确的信息，则属于《解释》中规定的“结合型”个人信息，具有处罚必要性；另外一种情形是，A与B搜集、获取的公民个人信息虽然均不属于刑法保护的对象，但是A、B将该信息与相关信息的整合者、组织者进行交易，将原本不具有刑法保护价值的单纯性数据信息与信息整合者、组织者原本占有的信息相结合，进而形成《解释》中所规定的“结合型”个人信息，那么A与B以及信息整合者、组织者之间就存在共同犯罪的刑法评价基础，也应当是《解释》所规制的犯罪类型。

　　二、侵犯公民个人信息罪的行为类型及其性质辨析根据我国刑法第253条之一的规定，侵犯公民个人信息罪的行为方式可以归纳为“获取型”或者“提供型”。例如，该条第1款和第2款均规定了“出售或者提供”的行为类型，第3款规定了“窃取、非法获取”的行为类型。换言之，本罪的行为类型主要表现为，窃取或者以其他方法非法获取公民个人信息，或者将自己掌握的公民个人信息出售、非法向他人提供。在本罪的行为方式上，除却法律和司法解释规定的“获取型”和“提供型”两种类型外，还存在“使用型”的情形。对于上述3种侵犯公民个人信息的具体行为性质，虽然法律和司法解释作了比较明确的规定，但在学理上仍然存在讨论的空间。笔者认为，立法和《解释》对“提供型”行为方式纳入刑事犯罪的基本类型，存在科学性与合理性。这是因为，侵犯公民个人信息罪之所以可以作为上游犯罪，应当归结于行为人对公民个人信息的非法泄露。换言之，“提供型”信息犯罪行为方式是本罪的核心，没有信息的提供与输出前提，就不可能有侵犯的可能，非法提供行为作为刑事打击的对象无疑具有正当性。但是，立法以及《解释》对于“获取型”作为犯罪处理与“使用型”不作为犯罪处理的规定，笔者认为值得讨论。

　　其一，“获取型”行为作为犯罪处理的辨析。理论上一般认为，刑事处罚范围的确定、犯罪形态的明确等立法内容，主权国家具有立法选择权。例如，关于刑法第114条危险犯的停止形态认定理论上存在争议。有观点认为“危险状态”的出现并不能绝对作为犯罪停止形态，在后续发展过程中，仍然可以存在中止可能；[18]而有观点认为刑法第114条危险犯中，符合构成要件要素的“危险状态”出现即为犯罪停止形态的表征，即为犯罪既遂。在犯罪停止形态的具体认定上，立法者有权选择犯罪进程中的犯罪既遂这一具体停止形态之点，这在其他国家刑法理论中是没有任何争议的。[19]对此犯罪停止形态认定的问题上，笔者也认为应当以国家立法机关确立的标准作为认定的依据，因此在危险犯中，按照法律规定及其文义解释，危险状态的出现就应当视为危险犯的“结果”，危险状态的出现也应当被视为犯罪停止形态意义上的“停顿”。[20]但是，立法及司法解释的规定应当符合法律原则和基本法理，而不能任性、随意和情绪化，否则会破坏立法和司法的权威性和稳定性。[21]言及至此，笔者可以分享一则笑话《急性子》以作启发和说明：大汉甲是个急性子。有一天，他到餐馆吃饭。坐下后，吆喝道：小二赶紧给我来一碗面！小二应声回答“好叻，客官稍等”。在等面上桌的过程中，大汉火急火燎的催促了五六次。一会儿小二端着一碗热腾腾的面来了，只见小二将一碗面倒在桌子上。大汉一惊，问道：这是干啥？小二道：你着急吃面，我还着急刷碗呢！笑过之余，不禁反思：大汉与小二都是急性子，其火急火燎催促上饭与着急刷碗而将面条倒在桌上，是否可以归结同类行为？可以预见的是，人们的回答必将是否定的。这是因为，在规范解释的视角，催促上饭虽然急躁，但却并未超出顾客就餐的一般预测，而小二着急刷碗将面倒在桌子上，则显然不符合合同给付内容的一般法则，顾客的合同目的已经不能实现。同样道理，主权国家当然可以对立法作出自主选择，但必须遵循共通的基本法理和规律，否则难以经受逻辑、原则与法理的推敲，无疑是违背规律的强行立法、情绪立法。就“获取型”侵犯公民个人信息罪而言，笔者认为《解释》一律将其作为犯罪处理过于武断。事实上，刑法第253条之一第3款规定的“窃取或者以其他方法非法获取公民个人信息的”行为，在单纯“窃取”或者“非法获取”的行为阶段，并未侵害公民的任何法益，仅仅具有作为上游犯罪的可能性，即窃取或者非法获取后行为人极有可能作为交换对象进行有偿交易。换言之，单纯“窃取”或者“非法获取”的行为并未违反法益侵害的犯罪原理，行为在此阶段内并不具有任何社会危险性。正如公民购买菜刀一样，在其明显表露杀人行为之前，难以认定其购买菜刀的行为具有非法性。对此问题，有论者也有清晰认识并作了比较严格限缩的解释：非法获取公民个人信息行为需要达到“情节严重”的程度才能构成本罪。这里的“情节严重”包括非法获取的手段恶劣、数量大、多次以及非法获取后又出售给他人牟利等情形。[22]笔者认为，“非法获取后又出售给他人牟利”与前述“手段恶劣、数量大、多次”的性质存在差异，不可做类型化归类。换言之，只有“非法获取后又出售给他人牟利”才属于本罪规制的情形。事实上《，解释》也是贯彻了这一解释原理，如《解释》第11条规定，“非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算”，也从侧面否定了单纯获取公民个人信息行为的刑法处罚必要性。

　　其二，“使用型”行为不作为犯罪处理的反思。根据法律及《解释》规定，我们可以得出这样一个结论：将自己合法或者非法掌握的公民个人信息非法使用的行为，却并非本罪的行为方式。[23]有观点认为，单纯非法使用公民个人信息的行为并未单独入罪，只是意味着不能仅仅因为使用公民个人信息的行为非法，而认定其具有刑事违法性，并不意味着不能依据相关行为的刑事违法性程度予以刑事惩治：如果行为人所掌握的公民个人信息系窃取或者以其他方法非法获取的，可以对非法获取行为适用侵犯公民个人信息罪；如果非法使用所掌握的公民个人信息，实施诈骗、敲诈勒索等其他犯罪行为的，可以依据其他犯罪论处。[24]笔者认为，虽然非法使用公民个人信息的情形可能因为使用的信息系窃取或者非法获取而构成本罪而受处罚，或者因为使用公民个人信息从事其他犯罪行为而受处罚，但是并不能涵盖所有非法使用公民个人信息犯罪的处罚范围。

　　也许有观点会认为，卖淫、赌博、吸毒者并不构成犯罪，相反组织卖淫、协助组织卖淫，开设赌场以及走私、制造、运输、贩卖毒品则是刑法重点打击的罪名。[25]由此，刑法打击的是组织行为与提供行为，单纯的卖淫、赌博和吸毒行为并非刑法打击的对象。而侵犯公民个人信息罪与此类似，法律只规定打击提供者与传播者，对于使用者则不必打击。笔者认为，这种类比性观点虽然在形式上具有一定对比价值，但却忽略了“黄赌毒”现象与侵犯公民个人信息行为的本质差异，带有明显的机械性。第一，社会危害的指向对象不同。不管是卖淫、赌博还是吸毒，行为指向的侵害对象基本上是行为人本人。行为人本人所从事的“黄赌毒”行为虽然也具有非法性，也会受到社会治安处罚法处罚，但是不作为犯罪处理的根源在于行为人自我决定权的基本原理。在理论上，自杀、自伤等自我决定行为，根本不可能作为犯罪处理，这是显而易见的道理。然而，“使用型”侵犯公民个人信息行为所指向的危害对象显然是行为人之外的其他公民。这与卖淫、赌博和吸毒不作为犯罪处理的自我决定权法理完全不同，“使用型”侵害公民个人信息的行为所指向的对象并非行为人本人，而是其他与自我决定权无关的不特定人，故而也就不可与“黄赌毒”行为人的行为性质同日而语。第二，社会防控政策的不同导向。不可否认的是，在我国长期以来的社会惯性机制下，“黄赌毒”现象虽然被我国法律所禁止，且成为社会治安处罚法的处罚对象，但客观上却比较普遍，这是客观存在的现象。对此，科学的治理方案是经由社会综合治理方略逐渐管制和约束，而非经由刑事处罚。换言之，单纯的“黄赌毒”行为不作为犯罪处理，存在社会防控政策的价值导向。然而，侵犯公民个人信息行为并不存在上述社会防控政策的顾忌，是当前我国刑法重点打击的犯罪行为。如果以此类比否认“使用型”侵犯公民个人信息行为的刑事处罚性，显然混淆了二者在政策导向层面的差异。

　　三、侵犯公民个人信息犯罪司法解释所蕴含的价值导向

　　(一)侵犯公民个人信息犯罪司法解释中的“运气”现象描述

　　最高人民法院和最高人民检察院联合发布的《解释》，对于人民法院办理侵犯公民个人信息犯罪案件提供了规范指引，具有鲜明的指导价值。但是，对于解释中的有关内容，实务界也存在一些反思性观点。主要反思内容归纳如下：《解释》第5条规定了非法获取、出售或者提供公民个人信息“情节严重”的情形，其中第(一)项为：出售或者提供行踪轨迹信息，被他人用于犯罪的。实务界有观点认为，从该项规定可知，在该种情形下行为人是否构成本罪，取决于信息接受者的行为性质。具体而言，信息接受者取得公民的行踪轨迹信息如果用于非犯罪行为，比如接受者仅仅是为了满足其内心的好奇心理或者作为民事证据取证手段等，那么行为人就不构成本罪；相应地，如果信息接受者取得公民的行踪轨迹信息为了实施犯罪，比如抢劫、绑架、杀人、伤害、非法拘禁等严重侵害公民人身和财产权利的犯罪，那么公民行踪轨迹信息的提供者、出售者则应成立本罪。这里的问题是：既然公民行踪轨迹信息的提供者、出售者并不知晓信息接受者、购买者的具体用途，行为人是否承担本罪刑事责任完全取决于他人，似乎充斥着不确定性的因素，具有明显的“运气”现象色彩，并不符合“行为—结果”因果关系确定性的法律评价内涵。

　　事实上，对于上述观点抑或看法，相关规范性文件也存在类似规定。例如，与《解释》第5条第(一)项所彰显的“运气”现象类似的情形是，2009年12月16日最高人民法院、最高人民检察院联合发布的《关于办理妨害信用卡管理刑事案件问题的解释》关于“恶意透支”型信用卡诈骗罪“非法占有目的”的司法认定问题。该司法解释第6条第2款分项列举了6条推定型事由，亦即只要行为人透支后无法归还银行资金，有其中规定之一的，就可以推定其透支之前的主观目的究竟是善意还是恶意，究竟是否具有“非法占有目的”。对此规定，有观点认为这种不区分具体情况唯以不具有确定性的“或然结果”为定性标准的理念恐怕是一种“事后价值倾向性评价”。所谓“事后价值倾向性”评价，是指有些制度、政策或者其他规范性文件为达到某种理想化、合目的性的预定目标，在评价某种行为性质之时不是以其本无善恶之分的客观表现为评定依据，而是根据行为之发展趋势，人为的设计对行为可能产生之或然结果的否定性评价标准，以达到特定法律效果和社会效果的倾向性价值目标。该观点继而认为，“事后价值倾向性”的评价模式有违现代法治理念。现代法治理念一般认为，对于代表国民绝对意志的立法机关将某种行为纳入到各种法律体系予以规范、规制甚至惩处的一个前提条件是——被规范、规制、惩处的行为是具体、确定的，国民能够根据自己的行为比照法律规定大致预测自己的行为责任。因此，只有为一般国民普遍认识、感知的确定性行为及其后果才具有入法的法理依据，而“事后价值倾向性”评价模式对此完全忽略。[26]

　　经由上述两件司法解释的规定，可以认为“运气”现象的主观内容推定在我国司法解释的具体认定中比较常见。不仅如此，在具体的司法实践中，“运气”现象也时有发生。关于“运气”现象的更直观表达，可以结合两起死刑案件来具体观察。

　　[例1]南京普方灭门惨案。2000年4月1日深夜，来自江苏北部沭阳县的4个失业青年持刀杀害了屋主德国人普方及其妻儿。事故发生后，普方先生的母亲从德国赶到南京，老人作出一个让中国人觉得很陌生的决定：她表示不希望判4个年轻人死刑。“德国没有死刑，他们的死不能改变现实”。但最终，江苏省高级人民法院驳回了4名被告的上诉，维持死刑的判决。同年11月，在南京居住的德国人设立了纪念普方的基金会，致力于改变江苏贫困地区儿童的教育状况。[27]

　　[例2]林森浩投毒杀人案。2013年4月，复旦大学研究生黄洋遭室友林森浩投毒死亡。2014年2月18日，上海市第二中级人民法院一审宣判，被告人林森浩犯故意杀人罪被判死刑。在本案死刑复核期间，林父数次联系黄洋父母表达道歉、赔偿意愿，并向最高人民法院提出不核准林森浩死刑的请求。对此诉请，黄父强调：我不是不讲理的人，事发至今，我没有找过复旦大学，没有找过中山医院。为什么？冤有头债有主，我只要林森浩还我儿子一个公道！[28]

　　(二)“运气”现象的司法价值导向分析

　　对比上述两起命案，这种因他人意愿而决定结论的“非通常现象”，可能存在或生或死的天壤之别。这种现象，在法律解释的视野内如何评价？现阶段人们一般大都认同的理念是，个人只对其自主行为负责，而法律后果不应该从偶然性事件中推导出来。我们的法律制度应该是“理性”的，它不会因为一个人运气不好而惩罚他/她；而当谈论一个人的法律责任时，也不是在谈论他/她的运气。[29]理论上可能会有观点对“运气”现象持批判态度。在法律行为与事实的评价中“，运气”现象并不合理，它不仅覆盖了“行为→事实→结果”之间因果关系的客观性和相对必然性，还巧妙地制造了“行为虚无”的假象而误导人们忽视行为自身的基础性地位，不利于人们在法律明确性甚或罪刑法定的基本原则下提升对自己行为的谨慎性。此言谓之，“运气”现象在社会生活中虽然客观存在，但却不能否认行为与结果之间因果关联的客观性，更不能以此为由人为地控制行为人的命运。质言之，虽然“运气”现象在法律现象中客观存在，但相比起其对于法律稳定性以及“行为-结果”的因果关联性的折损，其存在的价值如何？司法解释对“非法占有目的”的类型化推定以及侵犯公民个人信息罪的成立与否交由不确定性的他人行为性质，是否过于武断？

　　对此质疑，笔者有不同看法。事实上，上述所谓法律制度应该是“理性”的“通常理解”，恐怕只能是一种“理想化”的想象，在复杂的社会生活中，决定一个人命运的因素，除却具体的基础性行为，往往还充满了运气的成分。有论者就正确的指出，“法律中的运气”是存在的，“人的一生中，总是充满了运气的成分。甚至一个人的出生与死亡，他/她成为什么样的人，碰到什么样的事，这些都不是个人所能控制的”。[30]事实上，以“行为→结果”关系的偶然性与不确定性为基本特征的、脱离基础事实及其通常预见性的“法律运气”甚至“运气决定论”，是客观存在的现象。包括法律行为和事实在内的社会评价，“运气”现象也是一种比较客观的“存在”，“它存在的原因或者是技术与资源的限制，或者是因为人类自然感情与本能的深刻影响，或者是两者的综合的表述”，[31]这种论断，合理阐释了运气存在及其决定论的缘由。

　　笔者认为，《解释》中所折射的“运气”现象虽然在客观上确实存在批评者指出的“行为-结果”之间因果关联的失衡现象，但是作为一种立法技术或者思维，却具有社会秩序维系的积极意义。事实上，“运气”虽然充满了极其随意的不确定性，但正是这种不确定性的两可情势，其对法律规范的遵循和运行却具有独特的魅力，这也就是法律一般预防的基本原理。在类比思维的视野下，这种法律规制原理与“犯罪黑数”理论类似。在学理上所谓“犯罪黑数”，是指由于各种原因而没有记载在刑事统计中的具体犯罪数据，也就是刑事统计犯罪个

　　数与实际发生的犯罪数之差。[32]顾名思义，“犯罪黑数”主要描述的是，违规违法甚至犯罪行为虽然发生，但却不能被有效查处，成为司法治理之外的“漏网之鱼”。[33]“犯罪黑数”理论所蕴含的价值是，虽然犯罪并不必然百分之百被刑罚惩治，但是却在理论上又存在被惩罚的概率性。这种惩罚概率性的威慑力，正是一般预防的魅力所在。由此，理性经济人视角下的公民在掌控自我行为时，头顶必然时刻高悬“达摩克里斯”之剑。事实上，“犯罪黑数”与“运气”现象在本质上是一个问题的两种理论表达方式，“运气现象”是内涵性表述，“犯罪黑数”是外延性描述，背后均体现理性经济人思维前提下的一般预防治理策略，这对于整体上的社会防控与行为规范而言无疑具有显著的价值牵引力。比如，A为公务人员与他人聚餐喝酒，后基于侥幸心理，酒后开车回家。不料，A被执勤民警查获，最终以危险驾驶罪被判处刑罚，A本人被开除公职，其正准备参军或者考公务员的子女的计划甚至也可能因为直系亲属犯罪的事实而不得不放弃，其本人及子女后代的命运可能由此而改变。事实上，A的醉驾行为，在事实上可能存在被查处与不被查处两种可能，其不幸被查处，可能确实是“运气不好”，但正是这种运气现象，客观上在社会生活中树立了“有则改之无则加勉”的对照典型。这对于其他公民尤其是公务人员而言，无疑具有明显的警示对照意义，客观上对于醉驾行为的规制也具有司法引导价值。

　　结合《解释》第5条第(一)项的规定而言，“出售或者提供行踪轨迹信息，被他人用于犯罪的”，作为侵犯公民个人信息罪的入罪情形之一，无疑带有“运气”的色彩。公民行踪轨迹信息提供者、出售者的行为性质，完全取决于信息接受者的后续行为。经由上文分析，这种“运气”现象的司法解释立场与技巧，虽然剥离了行为与结果及其责任之间的直接对应关系，但却具有独特的司法价值引导效用。况且，出售、提供他人行踪轨迹信息本身而言就充满了非正义的危险色彩，且在经验论上而言一般也会成为他人违法犯罪行为的前提和基础，故而通过“运气”现象的基本处罚立场可以有效威慑侵犯公民个人信息的潜在行为人，也符合公民个人信息保护的时代要求。

　　(责任编辑：李琦)

　　【注释】 *庄绪龙，江苏省无锡市中级人民法院法官助理，华东政法大学2016级刑法学专业博士研究生。

　　[1]王春“：非法获取公民个人信息7亿余条浙江松阳破获特大侵犯公民个人信息案”，载《法制日报》2017年4月13日第8版。

　　[2]参见朗胜：“《刑法修正案(七)》立法背景与理解适用”，转引自赵秉志：“公民个人信息刑法保护研究”，载《华东政法大学学报》2014年第1期。

　　[3]张磊：“司法实践中侵犯公民个人信息犯罪的疑难问题及其对策”，载《当代法学》2011年第1期。

　　[4]张玉华、温春玲：“侵犯公民个人信息安全犯罪解读”，载《中国检察官》2009年第8期。

　　[5]参见王昭武、肖凯：“侵犯公民个人信息犯罪认定中的若干问题”，载《法学》2009年第12期。

　　[6]参见佟柔主编：《中国民法》，法律出版社1990年版，第487页。

　　[7]王冠：《论人格权(上)》，载《政法论坛》1991年第3期。

　　[8]参见上海市浦东新区人民法院(2009)浦民一初字第9737号民事判决书。

　　[9]赵军：“侵犯公民个人信息犯罪法益研究”，载《江西财经大学学报》2011年第2期。

　　[10]同注[5]。

　　[11]司法实践，对此情形一般以侵犯隐私权予以认定。例如，在“王菲诉张乐奕名誉权”案中，法院认为被告“扩大了原告私人信息向不特定社会公众传播的范围，对部分网民向原告发起人肉搜索谩骂、骚扰原告及其父母正常生活的不当行为有相当的推动和促进作用，严重干扰了原告的正常生活”，因此侵犯了原告的隐私权。

　　[12]参见王利明：《人格权法研究》，中国人民大学出版社2012年版，第502页。

　　[13]王利明：《中国民法典草案建议稿及说明》，中国法制出版社2004年版，第52页。

　　[14]谢远扬：“信息论视角下个人信息的价值——兼对隐私权保护模式的检讨”，载《清华法学》2015年第3期。

　　[15]于志刚：“‘公民个人信息’的权利属性与刑法保护思路”，载《浙江社会科学》2017年第10期。

　　[16]Vgl. Benedikt Buchner ,informationelle Selbestimmung im Privatrecht ,Tübingen,2006,S.221.转引自注[14]。

　　[17]当然隐私信息例外，因为隐私型信息本身公开即意味着权利侵害。

　　[18]刘宪权：“故意犯罪停止形态相关理论辩证”，载《中国法学》2010年第1期。

　　[19]徐光华：《犯罪既遂问题研究》，中国人民公安大学出版社2009年版，第54页。

　　[20]庄绪龙：“法益可恢复性犯罪概念之提倡”，载《中外法学》2017年第1期。

　　[21]刘宪权：“刑事立法应当力戒情绪——以《刑法修正案(九)》为视角”，载《法学评论》2016年第1期。

　　[22]参见朗胜主编：《中华人民共和国刑法释义》，法律出版社2015年版，第425页。

　　[23]据有论者介绍，在《刑法修正案(九)(草案)》审议过程中，有关部门和专家学者建议将非法使用公民个人信息的行为作为犯罪处理，但该建议最终未被采纳。参见喻海松：《刑法的扩张——〈刑法修正案(九)〉及新近刑法立法解释司法适用解读》，人民法院出版社2015年版，第148页。

　　[24]喻海松：“侵犯公民个人信息罪司法适用探微”，载《中国应用法学》2017年4期。

　　[25]事实上，依据我国刑法规定，单纯赌博行为也有可能成立赌博罪，这与卖淫、吸毒行为不构成犯罪而言还存在差异。

　　[26]具体参见刘宪权、庄绪龙：“‘恶意透支’型信用卡诈骗罪若干问题研究——兼评‘两高’《关于办理妨害信用卡管理刑事案件问题的解释》之有关内容”，载《当代法学》2010年第1期。

　　[27]参见蒋昕捷：“献给生命的礼物”，载《中国青年报》2009年12月30日。

　　[28]参见尚海明：“善终、凶死与杀人偿命——中国人死刑观念的文化阐释”，载《法学研究》2016年第4期。

　　[29]陈坤：“运气与法律”，载《中外法学》2011年第1期。

　　[30]同注[29]。

　　[31]同注[29]。

　　[32]罗贤河：“司法腐败与犯罪黑数”，载《检察日报》1999年12月31日第6版。

　　[33]参见陈兴良：《刑法哲学》，中国政法大学出版社1997年版，第170页。

　　【期刊名称】《法律适用》【期刊年份】 2018年 【期号】 7