张明楷：侵犯公民个人信息罪——向他人提供电话号码，但没有其他信息，构成本罪吗？

2009年，《刑法修正案（七）》增设了侵犯公民个人信息罪。当时，我国还没有一部法律专门针对公民个人信息予以专门保护。实际上，在2020年《民法典》颁布之前，有关个人信息保护的条款只是散落于《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》等其他法律中。可以说，当时增加这个罪名，对公民个人信息权益起到了十分有效的保障作用。2021年，在保护公民个人信息领域发生了一件大事—一8月20日，第十三届全国人大常委会表决通过了《中华人民共和国个人信息保护法》（后文简称《个人信息保护法》），这是我国第一部个人信息保护方面的民事专门法律。这也使侵犯公民个人信息罪再次受到了大家的关注。

在介绍这个罪名的具体内容之前，还是先来看一个问题：行为人向他人提供了100个电话号码，但只有号码，没有姓名等其他信息，构成本罪吗？

侵犯公民个人信息罪的保护法益和行为对象

《刑法》第253条之一分3款规定了侵犯公民个人信息罪：违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

这个罪名保护的法益是公民的个人信息权，包括个人信息不被不正当收集、采集的权利，不被不正当扩散的权利，以及不被滥用的权利。

本罪的行为对象是公民个人信息。在司法实践中，首先要解决的问题是，什么是刑法意义上的公民个人信息。2021年8月通过的《个人信息保护法》第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”这个规定比较抽象。2017年5月8日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定：“刑法第二百五十三条之一规定的'公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

从法益保护的角度来说，凡是与自然人有关的各种信息，都是公民个人信息。除了上述司法解释列举的信息，公民个人信息还包括婚姻状况、工作单位、学历、履历等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料，以及公民生理状态、遗传特征、经济状况、电话通话清单、个人具体行踪等。但是，“公民”并不包含单位和死者。比如，在一些网络平台上可以查询企业的工商信息、诉讼信息等，这些都属于单位的信息，不是公民个人信息。

怎么判断呢？我觉得大体上可以说，并不是任何单独的一项信息，就能构成公民个人信息。另外，除了考虑个人信息的公共属性，还需要根据一般人的观念进行判断。比如，行为人对外公布全国所有刑法学专业博士生的姓名或者刑法学教授的姓名，就不可能成立本罪。

只要是能识别公民身份等方面的相对重要的信息，就可以成为公民个人信息。例如，姓名＋手机号、姓名＋家庭住址、姓名＋银行卡号、姓名＋身份证号、姓名＋存款信息、姓名＋行踪轨迹等，都属于刑法保护的公民个人信息。但一般来说，姓名＋性别、姓名＋毕业院校、姓名＋学历、姓名＋职务等，难以成为刑法保护的公民个人信息。不过，如果是姓名＋多项不重要的信息，也可能被综合评价为刑法保护的公民个人信息。

到这里，就可以回答本节开头的问题了。如果行为人只是提供了100个手机号码，但没有提供对应的姓名，也没有其他可以识别身份的信息，那这就不是公民个人信息，行为人不构成本罪。

侵犯公民个人信息罪的行为内容

本罪的构成要件行为包括三种类型。

第一，违反国家有关规定，向他人出售或者提供公民个人信息。这里的“出售”其实也是“提供”的一种方式，因为它是一种常见的类型，所以法条把它独立规定了出来。关于提供的方式，没有限定，凡是使他人可以知悉公民个人信息的行为，都属于提供。

第二，违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人。例如，银行工作人员在工作中获得的储户个人信息，宾馆工作人员在工作中获得的旅客个人信息，网络、电信服务商在提供网络、电信服务过程中获得的公民个人信息，都属于这一类型下的公民个人信息。行为人将这些公民个人信息出售或者提供给他人的，成立侵犯公民个人信息罪。

第三，窃取或者以其他方法非法获取公民个人信息。“窃取”也是“非法获取”的一种方式，只是因为这种方式比较常见，所以法条把它独立规定了出来。凡是非法获取公民个人信息的行为，如买入、骗取、夺取等，都属于“以其他方法非法获取”。比如，张三冒充司法工作人员，欺骗国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，让他们给自己提供公民个人信息的行为，就属于这种类型。

下面来看一个案例。客户张三向小额贷款公司借款，公司不能确定张三提供的身份证是否真实，于是要求张三手持身份证拍照，也向张三说明了他们要将其身份证上的相关信息和照片提交给有关公司、部门，以验证身份证的真伪，张三当场表示同意。之后，小额贷款公司将上述个人信息提交给相关公司，相关公司又将上述信息提供给有关部门，有关部门人员依法根据上述信息调取张三身份证的存档照片（没有其他信息），并在对照片进行网格化处理后将其交给相关公司，相关公司再交给小额贷款公司，由小额贷款公司自己判断身份证的真伪。

在这样的案件中，身份证及其相关信息与照片都是张三自愿提供且同意他人使用的，除此之外，只有一张网格照片，所以，从规范意义上说，只能就这张网格照片本身来判断相关人员的行为是否构成侵犯公民个人信息罪。因为网格照片上没有其他信息，所以不能认定为侵犯公民个人信息罪。

简单地说，这样认定有两个理由：一是不能认为相关人员非法获取了公民个人信息；二是不能认为相关人员非法提供了公民个人的姓名、身份证号、照片等信息，因为公民个人同意他人使用。也就是说，如果公民自愿提供、同意他人使用自己的个人信息，行为人不成立本罪。当然，如果相关人员超出公民同意的范围使用、提供上述信息，那还是有可能构成本罪。

还有一点需要注意：只有当上述三种类型的行为达到情节严重的程度时，才符合本罪的构成要件。总的来说，我认为对本罪的构成要件行为和“情节严重”的解释不要过于严格，不要想着去限制本罪的成立范围，因为法条已经对此做出了限制、那学理解释也好，司法解释也好，就不能再进一步加以限制。比如、司法解释规定、“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的”属于情节严重，应当追究刑事责任。可是，究竟该如何认定行踪轨迹的信息条数呢？

举个例子。一位大学老师早晨从家里出发去到学校办公室（第1条信息），在办公室工作一小时（第2条信息），然后去教学楼（第3条信息），上了三节课（第4条信息），下课后去教工餐厅吃饭（第5条信息），饭后又回到了办公室（第6条信息）。如果行为人向他人提供了这位老师的这个行踪轨迹，是认定为提供了1条信息，还是认定为提供了6条信息呢？我认为要认定为提供了6条信息。另外，不能要求行踪轨迹很具体，大体的行踪轨迹也包括在内。比如，行为人提供的信息是某个公民前三个月都在北京，这当然也属于行踪轨迹。

侵犯公民个人信息罪的责任形式和处罚

本罪的责任形式是故意，也就是说，成立本罪不需要特定的目的或动机。比如，行为人非法获取了10所著名大学新生的个人信息，旨在研究各地高中教育的现状。这一动机不影响其行为构成侵犯公民个人信息罪。

由于公民个人的信用卡信息资料同时也是公民个人信息，因此，实施侵犯公民个人信息罪的行为，同时触犯《刑法》第177条之一规定的窃取、收买、非法提供信用卡信息罪的，属于想象竞合，从一重罪处罚。比如，无业人员张三从银行窃取了许多持卡人的信用卡信息资料。这一行为就同时构成了侵犯公民个人信息罪和窃取信用卡信息罪，由于只有一个行为，就只能按想象竞合，从一重罪处罚。

非法获取公民个人信息后，又出售或者提供给他人的，视情节分别认定为情节严重或者情节特别严重，不必实行数罪并罚。

（图片与内容无关）

原文载《张明楷刑法学讲义》，新星出版社，2021年10月第一版，P348-353。

整理：江苏省苏州市公安局法制支队（直属分局）“不念，不往”“诗心竹梦”。转载请注明文章及公众号出处。