浅析侵犯公民个人信息罪

这是首次直接对侵害公民个人信息的违法行为进行刑罚治理。立法工作机构在说明立法理由时指出，上述罪名的增设是为了保护公民的人身、财产安全、个人隐私以及正常的工作、生活不受侵害和干扰，保护公民个人信息不被泄露。

2015年11月1日起施行的《刑法修正案（九）》对刑法第253条之一作出修改完善：

一.是扩大犯罪主体的范围，规定任何单位和个人违反国家有关规定，获取、出售或者提供公民个人信息，情节严重的，都构成犯罪，而不限于特殊主体；

二.是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；

三.是加重法定刑，增加规定“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；四是对个别词语进行调整，如在“违反国家规定”中增加“有关”二字，即形成“违反国家有关规定”。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。对此，立法工作机构解释，这次修改的主要是为了惩治一般主体违背公民个人意愿出售、非法提供公民个人信息的行为，以及从源头上打击利用公民个人信息实施的其他侵害公民权益的违法犯罪行为。

一、个人信息进行界定

1、具有可识别性。个人信息必须与自然人相关联，而且与特定自然人相关联，同时具有识别性，即通过该信息已识别或者可识别特定自然人。但经过匿名化处理后无法识别特定个人且不能复原的信息，虽然也可能反映自然人的活动情况，但与特定的自然人无直接关联，不属于公民个人信息的范畴。

2、属于有效的信息。信息必须有效，这是定罪时不能忽略的硬性要求。信息明显虚假、无效（例如，手机号仅有10个数字，仅有座机号）的，这些信息由于其不能对应到具体公民，不属于本罪的个人信息。

3、经技术处理脱敏达到去标识化的信息不属于公民个人信息范畴。经过处理无法识别特定自然人信息，不属于公民个人信息的范畴。此规定也是在保障公民个人信息安全的同时，也要兼顾大数据发展的需要。因此，对经数据脱敏后无法识别的信息排除出公民个人信息的范畴，是现阶段寻求信息安全与大数据发展的重要法律平衡点。

关于个人信息的外延，刑法上的认识确实和其他部门法之间存在细微差别，不同部门法的规范目的不同，在概念使用上有所不同，但是，这不意味着刑法上的判断可以抛开民法典、网络安全法乃至个人信息保护法。

二、刑法上侵犯公民个人信息的犯罪行为与普通的民事侵权行为有何区别

基于法益在犯罪论体系的作用是“确定某一行为是否侵害了刑法所保护的法益、是否达到应受刑罚处罚的程度”的前提，只有侵犯了本罪名保护的法益的行为，才是侵犯公民个人信息罪中的犯罪行为，而“信息自决权”恰好是民法典、个人信息保护法确立的个人信息权的核心。侵犯了其他个人信息权的行为，属于一般侵权行为，用民法进行调控即可。

民法是规范公民民事生活各方面的法律，刑法是所有部门法的保障法，在公民社会生活治理层面，刑法对公民个人信息保护的法益以及公民个人信息权的保护范围势必要窄于民法。个人信息权的核心是信息自决权，即信息主体有权决定其个人信息能否被他人获悉以及被获悉的方式、范围。由此，侵犯这项权利的实质是对个人行为自由权的侵犯。以信息自决权作为侵犯公民个人信息罪的保护法益，非常契合民法典与个人信息保护法的规定，最大限度地实现了刑民两大部门法保护法益内在的统一，又符合刑法对一般性自决权日益丰富和具体化的趋势，更能发挥刑法充分保护公民自由等个人法益的机能，彰显人作为法律行为主体的地位。