民法典人格权编草案明确保护公民的个人信息，其中规定个人信息是以电子或者其他方式记 录的、能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、 身份证件号码、个人生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。草案还规定 信息收集人、持有人不得泄露、篡改、毁损其收集、存储的个人信息；未经被收集者同意，不得 向他人提供个人信息。此外，草案进一步要求信息收集人、持有人应当采取技术措施和其他必要 措施，确保其收集、存储的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个 人信息泄露、毁损、丢失的情况时，应当及时采取补救措施并告知被收集者。由此可见，民法典 人格权编对个人信息权的保护是非常周延的。

刑法作为“最后手段”和“二次性法”，必须为民事权利的实现提供最为有力的保障。我国 刑法第 253 条之一第 1 款规定了侵犯公民个人信息罪，凡违反国家有关规定，向他人出售或者提 供公民个人信息，情节严重的行为即构成本罪。在实务中，对于大量非法出售、非法提供公民个 人手机号、身份证号、居住地址，以及通过 GPS 定位非法获取并提供公民行踪信息的行为予以定 罪处罚。在这些案件中，大多属于情节恶劣的情形，确实需要予以严厉打击，司法机关的裁判有 效地震慑了犯罪。不过，和公民的“体感治安”相比较，目前对侵犯个人信息犯罪的打击力度还 远远不够，刑法对公民个人信息权所提供的仅仅是“低水平”的保障，目前还有大量侵犯公民个 人信息的犯罪活动由于单个被害人举报的积极性不高、证明被告人情节严重的证据难以收集和固 定、犯罪集团化增加了侦破难度等原因没有得到应有刑罚处罚。

不过，另一侧面的问题也值得关注：在具体司法活动中，如何把案件办成“铁案”——准确 理解侵犯公民个人信息罪的保护法益，不搞打击扩大化，实现刑法谦抑性也是当下司法活动中需 要关注的。这是刑法谦抑性的题中之义，即刑罚作为最严厉的处罚手段，必须在其他制裁手段的 处罚力度明显不充分时，才能加以使用。

目前具有“类案”性质的情形是：处于下游的乙公司涉嫌在无授权的情况下，利用数据接口 产品与终端不法互联网公司丙签订销售合同，从中赚取差价，以及非法缓存海量公民个人信息（包 括公民姓名、身份证号、地址、电话以及信用积分等），然后予以出售或非法提供，或为他人非 法提供身份证返照查询业务数千万次，导致公民个人信息大多流向网络小贷公司，为其拉客户， 或者帮助其进行小额贷款并实施“软暴力”催收。对于这些非法缓存然后提供、出售公民个人信 息的下游公司以侵犯公民个人信息定罪量刑，我认为基本不存在疑问。

但目前在实务中值得讨论的问题是：甲公司作为乙公司的上游公司，如果其所掌握的所有个 人信息来源合法，且在与乙公司签订《公民身份信息识别认证服务协议》时对乙的义务有所约束， 其是否也构成侵犯公民个人信息罪？这就涉及到对侵犯公民个人信息罪保护法益的判断，以及对 行为性质、犯罪故意的准确认定等问题。而在当前的办案实践中，对于处于甲公司地位的法人， 也有被以本罪追究刑事责任的情形，这说明类似问题很有讨论价值。

首先，侵犯公民个人信息罪的保护法益是公民的个人信息权。虽然本罪规定了“违反国家有 关规定”，但是，从侵犯公民个人信息罪的条文设置以及相关司法解释、行政法规的规定来看， 本罪的主要保护法益仍然是公民的个人法益。因为其被设置于刑法分则第四章的“侵犯公民人身 权利、民主权利罪”一章中，从体系解释的角度来看，本罪作为刑法第 253 条之一，其保护法益应与“私自开拆、隐匿、毁弃邮件、电报罪”相协调，将公民的个人法益作为本罪的主要保护法益。

如果将本罪的法益解释为公民的个人信息权，再结合人格权法草案关于征得自然人或者其监 护人同意可以收集、使用自然人个人信息的规定，就可以认为在被害人承诺的情形下，法益的“要 保护性”不存在。与这一理解相同的是《最高人民法院、最高人民检察院关于办理侵犯公民个人 信息刑事案件适用法律若干问题的解释》（下称《解释》）第 3 条第 2 款的规定，即“未经被收集 者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供 公民个人信息’”。另外，网络安全法第 42 条第 1 款也规定：“网络运营者不得泄露、篡改、毁损 其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特 定个人且不能复原的除外。”上述规定都充分说明，侵犯公民个人信息罪的成立关键在于“是否 未经或者违背了被收集者的同意”，如果是经过被收集者同意的信息获取行为，就可以认为至少 存在被害人同意（承诺），自然也就不是该罪所规制的行为类型。因此，侵犯公民个人信息罪的 主要保护法益是公民对其信息的个人法益，虽然也会涉及国家对个人信息的管理秩序，但其只是 本罪的次要保护法益。在公民的个人法益没有被侵犯的情况下，即便违法了相关规定，也不能构 成本罪。

其次，上游公司甲公司的行为没有违反被收集者的同意，也尽到了其应尽的审查义务，不存 在客观上的侵权行为。在前面提到的实际案件中，作为上游的甲公司的行为没有违反被收集者的 个人同意，同时尽到了其必要的审查义务，不应当成立本罪。根据甲公司与官方授权的公民身份 证号码查询服务中心签订的《公民身份认证服务合同》与《公民身份信息认证服务补充合同》 ， 甲公司可在互联网 App 发布行业、网络直播行业、互联网短租房行业、网络众包寄递行业、手机 游戏玩家认证和管制刀具销售登记范围内提供公民个人信息服务；而甲公司与某行政机关（有权 依法获得公民个人信息）签订的《公民身份信息认证服务合作合同》《居民身份证网上应用项目 认证应用和认证服务合作协议》等协议也证明，甲公司的服务范围涵盖了互联网金融和电信运营 商等行业。因此，甲公司获取、提供公民个人信息的行为均为与前述（合法取得公民信息的）行 政机关订立合同的合法行为。

最后，公司连监督过失都不存在，更不要说存在本罪故意。甲公司确已尽到了对下游公司的 形式审查义务，其不应对下游公司可能涉嫌的侵犯公民个人信息行为负责。甲公司与下游公司签 订的《公民身份信息识别认证服务协议》中均约定对方“不得将认证结果下载、保存、打印” ，并设置了下游公司缴纳保证金的制度予以约束。

必须承认，需要法律加以保护的社会利益是多元的，其保护手段也是多方面的，刑法并没有 保护所有社会利益的功能与效力，刑罚手段具有局限性。对于侵犯公民个人信息而言，刑法的惩 罚和人格权法的保护之间形成合力是最为重要的，在运用人格权法予以保护即为已足的场合，刑 法并不需要出面。换言之，在实务中，并不是定罪越多越好，而是处罚越妥当越好。

来源：检察日报

作者：周光权