公民个人信息范围应重新界定

    刑法修正案(七)在刑法第253条增设出售、非法提供公民个人信息罪:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”因相关配套司法解释的缺失，该罪在理论研究与实践适用中存在诸多分歧。

    (一)对“公民个人信息”概念的界定。传统观点认为，“公民个人信息”是指能够识别公民个人身份的信息，主要包括:姓名、年龄、性别、身份证号码、职业、婚姻状况、工作经历、家庭背景、住址、电话号码、银行卡号码、教育、医疗、经济活动等记录。笔者认为，上述定义只强调身份性与可识别性，过分狭窄地限定了公民个人信息的内涵和外延，例如，上述定义不能将公民个人活动轨迹情况包含在内。随着信息技术的发展，对公民活动轨迹进行追踪变得越来越容易，通过手机定位、GPS追踪均可轻松地实现这一点。犯罪分子很可能通过获取上述信息准确定位公民的所在地及活动情况实施不法行为。为切实保护公民权利，笔者认为，可将公民个人信息界定为“与公民个人相关的一切信息的总和”，凡是符合这一定义的，即可成为本罪的犯罪对象。

    (二)出售、非法提供公民个人信息罪主体范围的认定。刑法第253条规定，“国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员”为本罪的主体。对该条中的“等”字，汉语词典中有“列举未尽”和“列举后煞尾”两种解释，因此对该罪的主体范围存在着不同的理解。如果对“等”字取“列举后煞尾”之意，则意味着将该罪的主体仅限定在法条所列举的六种单位及其工作人员之内，这显然是不妥当的，将严重缩小刑法的调整范围。例如，物流企业、猎头公司、中介组织、市场调查公司、房地产公司，尤其是各类新型的互联网企业同样因工作关系具有强大的信息收集能力，一旦这些信息被不当应用，造成的社会危害性将非常巨大。因此，对本条中的“等”字应取“列举未尽”之意，将出售、非法提供公民个人信息罪的主体界定为所有可以较为系统地获取公民个人信息的单位及其工作人员。

    (三)情节严重的认定标准。刑法第253条之一规定，出售、非法提供公民个人信息的行为，只有达到“情节严重”的才构成犯罪。笔者认为，可以按照以下标准认定是否属于“情节严重”:多次出售、非法提供公民个人信息或者出售、非法提供多人信息的。我国刑法对“多”的通常定义为“三次以上”，因此，一年内出售、非法提供公民个人信息三条以上的，或者出售、非法提供三人以上公民个人信息的;公民个人信息被非法提供、出售给他人，致使被害人遭受重大的精神、财产损失，或者给被害人生活带来严重影响的;行为人出售、非法提供的公民个人信息被他人用于实施故意犯罪的;出售公民个人信息违法所得数额较大的;其他情节严重的情形，可认定为情节严重。

    (作者:广东省广州市人民检察院 卫斌)