二、侵犯公民个人信息犯罪的沿革

个人信息保护的法源可溯至人权或公民基本权利。各国一般将联合国1948年《世界人权宣言》第十二条视作保护个人信息的法律渊源，即个人信息保护源自对个人生活的尊重和个人事务自决（自由）原则。《欧盟基本人权宪章》将个人数据保护权视为一项独立的人权加以保护，第八条明确规定：“人人有权保护涉及自身的个人数据。”[6]现代社会，各国都将个人信息保护置于重要地位，不少国家对公民个人信息的保护都有专门立法。[7]

我国迄今尚未制定完整、统一的个人信息保护法，但相关法律已先后作出相应规定。例如，《中华人民共和国消费者权益保护法》《中华人民共和国护照法》《中华人民共和国身份证法》《中华人民共和国统计法》《中华人民共和国未成年人保护法》《中华人民共和国律师法》等均对个人信息保护作了规定。特别是，针对侵害公民个人电子信息行为多发的现象，2012年12月28日《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《关于加强网络信息保护的决定》）对公民个人电子信息的保护作了全面规定，确立了国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息的原则，对网络服务提供者和其他主体对公民个人电子信息的保护和相应责任作了明确规定。而2016年11月7日审议通过、2017年6月1日起施行的《中华人民共和国网络安全法》（以下简称《网络安全法》）在第四章“网络信息安全”用相当的篇幅对网络运营者处理个人信息的行为做出了规范。2017年3月15日审议通过、2017年10月1日起实行的《民法总则》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”上述有关公民个人信息保护的规定，为刑法规制侵犯公民个人信息犯罪，确立公民个人信息的刑法保护奠定了重要基础。

1997年刑法没有针对侵犯公民个人信息直接规定相应罪名，但个别罪名可能涉及侵犯公民个人信息犯罪，如侵犯商业秘密罪等。1997年刑法施行后，关于公民个人信息的刑事保护不断增强，2005年2月28日第十届全国人大常委会第十四次会议审议通过的《刑法修正案（五）》增设了窃取、收买、非法提供信用卡信息罪，而该罪所涉及的“信用卡信息资料”无疑属于公民个人信息的范畴。当然，直至《刑法修正案（七）》，我国才迈入公民个人信息直接刑事保护的新阶段。

（一）《刑法修正案（七）》的规定

为了保护公民个人信息安全，2009年2月28日第十一届全国人大常委会第七次会议通过的《刑法修正案（七）》将侵犯公民个人信息情节严重的行为增设为犯罪，即在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”上述规定将非法获取、出售、提供公民个人信息的行为纳入刑事打击的范围，迈出了公民个人信息刑事保护的关键一步，对于惩治侵犯公民个人信息犯罪，维护公民个人信息安全发挥了重要作用。

此外，《刑法修正案（七）》增设的非法获取计算机信息系统数据罪也属于与公民个人信息相关的罪名，该罪所针对的计算机信息系统数据、特别是其中所涵括的“身份认证信息”，也是公民个人信息的重要范畴。

（二）《刑法修正案（九）》的规定

自《刑法修正案（七）》施行以来，一直有著述分析论证关于侵犯公民个人信息犯罪的法律规定，并提出立法修改完善建议。实际上，该刑法条文确实存在较大的改进空间。[8]从司法适用来看，关于侵犯公民个人信息犯罪的立法规定亟需根据实践情况作进一步完善，主要表现在如下三个方面：（1）出售、非法提供公民个人信息的主体不断扩展。刑法第二百五十三条之一规定出售、非法提供公民个人信息罪的主体为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”[9]，但从实践看，出售、非法提供公民个人信息的主体远不限于上述人员，物业公司、房产中介、保险、快递等服务业中的工作人员将履行职务或者提供服务过程中获得的公民个人信息出售、非法提供的案件也时有发生。[10]（2）实践中非法获取公民个人信息的来源较为广泛。根据刑法第二百五十三条之一的规定，无论是出售、非法提供公民个人信息罪，还是非法获取公民个人信息罪，犯罪对象须为国家机关或者金融、电信、交通、教育、医疗等单位履行职责或者提供服务过程中获得的公民个人信息。[11]对于行为人以其他方式获取公民个人信息，只要该信息不是通过“公权力”、公共服务获得的，就不能纳入犯罪的范围。随着形势发展，上述限定同司法实践的复杂情况逐渐不相适应：一方面，实践中对涉案的公民个人信息的来源往往难以查明其是否系在履行职责或者提供服务过程中获取的。在办案实践中，出售和非法提供公民信息的源头往往难以查获，而大多非法获取的公民个人信息案件中的信息都是几经转手或者直接购买于网络，犯罪嫌疑人也不知道信息最初的来源。因此，除了一些户籍底卡、储户信息、新生儿信息等显而易见系从国家机关、金融、医疗等单位方能获取的之外，对于其他一些综合类信息及经过加工的信息，办案人员很难从信息内容上判断信息的来源，给定罪带来困难。[12]另一方面，将公民个人信息限制在履行职责或者提供服务过程中获得，难以涵括实践中的复杂情形。例如，从司法实践来看，企业负责人和私家侦探公司经营者成为新兴的犯罪主体。一些企业负责人为主动招揽客源而购买大量公民个人信息，雇佣业务员进行联系。2010年北京海淀检察院受理的案件中，犯罪主体为企业负责人的10件13人，占32.2％，犯罪主体为私家侦探公司经营者的4件5人，占12.9％。私家侦探行业近年发展迅速，但缺少行业规范的规制，相关法律法规尚不完善，犯罪嫌疑人在接受委托获取特定信息的过程中，实施了侵犯公民信息的犯罪行为。[13]从这些新兴犯罪主体实施的非法获取公民个人信息的行为来看，不少公民个人信息并非是国家机关或者有关单位在履行职责、提供服务过程中获取的。例如，犯罪嫌疑人熊某某、任某受雇于某甲，通过跟踪等手段非法获取了外籍人某乙的住处等个人信息，并提供给某甲。后某甲利用熊某某、任某提供的关于某乙的个人信息，找到某乙，并将某乙杀害。本案中，由于熊某某、任某并未非法获取国家机关或者有关单位履行职责或者提供服务过程中获得的公民个人信息，难以构成非法获取公民个人信息罪。[14]（3）法定刑配置水平亟待提升。从实践看，有的侵犯公民个人信息的犯罪危害非常严重，涉案公民个人信息数量达上亿条，获利数额也非常巨大。然而，对此类犯罪最高只能处三年有期徒刑，不符合罪责刑相适应原则的要求。

在公民个人信息安全重要性日益凸显的当下，刑事立法理应及时跟进，根据民众对个人信息认识的不断深化而赋予侵犯公民个人信息犯罪以新的内涵，切实加大对公民个人信息的刑法保护力度。根据有关方面的意见，2015年8月29日第十二届全国人大常委会第十六次会议通过的《刑法修正案（九）》对刑法第二百五十三条之一规定的侵犯公民个人信息犯罪作出修改完善：一是扩大犯罪主体的范围，将违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为规定为犯罪；二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚；三是提升法定刑配置水平，针对侵犯公民个人信息情节特别严重的情形，增加规定“处三年以上七年以下有期徒刑，并处罚金”，以更加符合罪责刑相适应原则。修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。可以说，《刑法修正案（九）》关于侵犯公民个人信息犯罪的修改，体现了立法机关对涉民生犯罪的高度关注，进一步加大了对公民个人信息的刑事保护力度。