出售或提供公民个人信息入罪的边界

一、引言

自2009 年《刑法修正案(七) 》(以下简称: 《刑修七》) 首次将侵犯公民个人信息行为纳入《刑法》打击的范围后，这种保护力度不断得到强化。2015 年《刑法修正案(九) 》(以下简称: 《刑修九》) 进一步将个人信息犯罪的主体扩大到任何主体，取消了“非法提供”中的“非法”，将入刑的行为确定为“出售或提供公民个人信息”和“窃取或者以其他方法非法获取公民个人信息”两种行为。这意味着，不仅出售公民个人信息和购买公民个人信息(归类到以其他方法获取行为之内) 可能入刑，而且向他人提供公民个人信息或者接受公民个人信息也存在承担刑事责任的风险。（《刑修七》中“出售、非法提供公民个人信息罪”的主体为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。——作者原注）

我国《刑法》有关个人信息犯罪的修改，引起了社会的广泛关注。个人信息(又称个人数据) 是社会活动尤其是开展商业活动必不可少的要素，尤其是伴随大数据的应用，人类进入数据化时代，收集和分析各种数据并应用于各种决策成为社会运营的常态。政府在社会治理和决策中要大量应用个人数据，基于对个人数据分析的精准营销、网络推送、个性化定制等也已成为现代商业的基本样态。除了在提供服务或商品中自行收集个人数据外，许多商家开始依赖外部数据，其获取方式包括分享、互换、许可使用等。此外，各地也纷纷建立专业大数据交易服务机构，搭建数据交易平台，推进数据的社会化利用。《刑修九》无疑给商业活动中广泛存在的数据交换和正在兴起的数据交易蒙上一层阴影。

由于个人数据保护立法和执法的滞后，我国的个人信息滥用、无序利用已经到了危害公民人身和财产安全的地步，因而国家就率先运用刑法，惩治侵害公民个人信息的犯罪行为。但是，刑法的不正确适用会抑制我国大数据应用的创新和正当的合乎国际规则的商业应用。因此，必须对《刑修九》规定的侵犯公民个人信息罪进行正确的解释和适用，这样才能在打击公民个人信息犯罪的同时，为正当的个人信息收集和使用提供良好的制度环境。

本文以“出售或提供”公民个人信息行为为核心，着重讨论我国侵犯公民个人信息罪所保护的客体，在对刑法保护的核心——侵害的法益进行分析的基础上，论述该罪所禁止行为的实质违法性，试图回答以下两个问题：出售或提供何种公民个人信息才具有刑法上的可责性，何种出售或提供行为才具有实质违法性并构成犯罪。

二、侵犯公民个人信息罪所保护的法益

刑法理论认为，犯罪的客体是指刑法所保护的、为犯罪行为所侵害的社会关系，严重社会危害性是犯罪的本质特征。有学者提出，纵观刑法分则，并没有将犯罪客体表述为社会关系，而是将权利、秩序、利益等作为犯罪客体; 因此，刑法所保护的利益用法益来概括比用社会关系来概括更为合适。依此，“行为是否具有实质违法性，是根据法益是否受到侵害或者威胁来评价的”。笔者认同该观点，应当先分析侵犯公民信息罪所保护的法益，再进一步分析出售或提供哪些公民个人信息构成实质性违法，应受刑法处罚。

笔者认为，侵犯公民个人信息罪所保护的法益应为人格尊严与个人自由，个人隐私只是人格尊严的组成部分。这一观点可以从立法解释和个人信息保护目的解释两个角度加以分析。

(一) 刑法条文的解读

侵犯公民个人信息罪被置于我国《刑法》分则的第四章“侵犯公民人身权利、民主权利罪”，那么从整体而言，侵犯公民个人信息罪所要保护的法益应在公民人身权利或民主权利范畴之内。至于侵犯公民个人信息罪到底保护何种公民人身权利或民主权利，还需根据刑法具体罪名的编排以及个人信息所需保护的利益进行进一步分析。

以我国《刑法》侵犯公民人身权利、民主权利罪章(第四章) 为例，处于该章的第232 条“故意杀人罪”至第235 条“过失致人重伤罪”所保护的法益均为公民人身权利，且属于人身权利中的人身安全利益，包括生命权、身体权与健康权。对侵犯公民个人信息罪而言，《刑修七》首次确定该罪名时就将其条文序号定为第253 条之一，位于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”之后。不难看出，“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”所保护的法益均为公民人格权利与自由，包括公民个人通信自由和人格尊严。

因此，从具体罪名的编排来看，侵犯公民个人信息罪所保护的法益应与上述两个罪名相类似，是对公民人格尊严与个人自由的保护。

(二)个人信息保护的目的

个人信息刑法保护是个人信息保护的最后一道防线，其保护目的仍然不能脱离个人信息保护的宗旨。个人信息的属性与特征决定了个人信息所保护的利益，同时也决定了侵犯公民个人信息罪所保护的具体法益。

个人信息是指与已被识别或可以被识别的个体有关的信息。个人信息强调对特定个体(自然人) 的识别，凡是能够识别某个人的信息均归入个人信息。个人信息是开展社会交往和社会活动所必需的因素，无论是接受公共服务、申请项目、上学就业，还是进行商业交易等，均要提供个人信息，以实现相互联系和相互了解。因此，个人信息是社会的润滑剂，具有社会性、公共性，在社会活动中向他人提供(披露) 和获得他人个人信息，是社会运行的基本需要。

但个人信息同时涉及个人利益，有些个人信息本身就是个人隐私，不适宜公开，而有些个人信息虽然可以被公开或获取使用，但如果被滥用则会危害个人利益，侵害个人自由、安宁等。因此，个人信息应当受到保护也已成为社会共识。显然，个人信息保护区别于隐私保护，个人信息保护旨在确立个人信息的使用规范，其保护个人权益包括但不限于隐私利益。虽然我国许多民事法律(如《消费者权益保护法》) 开始引入个人信息保护制度，但对个人信息保护的宗旨并没有统一的认识。因此，我们需要追本溯源，先了解一下国际社会个人信息保护制度的形成和基本宗旨。

个人信息保护制度既有个别国家的立法渊源，也有国际文件渊源。在德国，其黑森州在1970 年颁布了世界上第一部专门针对个人数据保护的法律，1977 年在国家层面也制定了《联邦个人数据保护法》( BDSG) 。之后， 1983 年德国宪法法院判决确立了个人信息自决权为公民宪法上的权利。于是，个人自行决定何时、在何范围披露个人信息成为一项宪法权利。在美国，1973 年美国卫生、教育和福利部(现为卫生和人权服务部) 提出“正当信息通则”(又称隐私原则) ，也成为美国1974 年《隐私法》的基础，并成为当今个人数据保护立法的重要源头。美国的《隐私法》仅规范公共部门的个人信息处理行为，防范公权力对公民隐私的侵害，只是它体现的正当信息通则也被私人领域广泛接受，成为美国保护个人信息的一般原则。

进入上世纪80 年代，先后有两个有关个人信息保护的国际性文件发布，一个是1980 年经济合作与发展组织的《隐私保护和个人数据跨境流通指南》(以下简称: 《指南》) ，另一个是1981 年欧洲委员会《个人数据自动处理中的个人保护公约》(以下简称: 《公约》) 。

《指南》提出的适用于个人信息保护的8 项原则，已经被许多国家接受并作为保护个人隐私与自由的基本原则。《公约》是在人权保护的意义和框架下定位个人数据保护制度的，它明确宣布个人数据保护是为了保护个人权利和基本自由(尤其是隐私权) 。《公约》成为1995 年欧盟《个人数据保护指令》(以下简称: 《指令》) 制定的依据和基础。《指令》及欧盟于2016 年4 月颁布的《统一数据保护条例》( 2018 年生效后将替代《指令》成为在全欧盟范围内具有直接法律效力的法律) 均将个人数据保护目的定位于“保护自然人的基本权利和自由”。

从以上对国际社会个人数据保护制度形成和立法定位的简要分析可以看出，国际社会主要是从保护个人基本权利和基本自由的角度来保护个人数据的，甚至《欧盟基本人权宪章》明确将个人数据保护作为一项独立的人权或基本权利加以保护。其基本理念是，个人数据的处理涉及公民(或自然人) 的个人尊严、自由，应当规范个人数据的处理行为，以防止对公民基本权利和自由的侵害，其中包括但不限于对隐私(特指个人对敏感信息的控制) 的保护。虽然美国是在隐私法的框架下来保护个人可识别信息(也称为信息隐私权) ，但美国法中的隐私根源于宪法，通过制定法和普通法(判例法) 两套体系不断演绎，形成保护除诽谤、仿冒之外一切个人权益的侵权救济体系，承载着私人生活领域内保障基本权利的使命。在这样的法律体系中发展出的信息隐私权与欧洲在人权意义上创设的个人数据保护权异曲同工，具有相同的含义和内容。

因此，所谓个人数据保护，就是保护个人数据收集、处理等数据利用过程中所涉及的个人基本权利与自由(按照美国法，可以概括地表达为隐私权，但按照大陆法系的法律体系，应当是包括但不限于隐私权) 。

我国尚未制定个人数据保护法，因而对个人数据保护目的还没有统一法律表述。从国际社会个人数据保护基本规律来看，我国的个人数据保护亦应当建立在宪法规定的公民基本权利基础上。若这些公民权利同时体现为人格权益，需要民法予以认可和保护，那么也应同时纳入民法(比如能够以名誉权、隐私权来保护人格尊严) 。只有这样，我们才能理解为什么在没有相应民法规范的情形下，我国《刑法》先行对个人信息予以保护。

也就是说，我国《刑法》对于公民个人信息保护是建立在我国《宪法》对公民基本权利保护基础上的，是履行“国家尊重和保障人权”基本义务，保护公民人格尊严、人身自由等宪法权利，而不是直接基于人格权或隐私权保护。一旦我们制定个人信息保护法之后，就可以全面确立我国个人信息保护的目的，使宪法保护的基本权利得到细化，并使宪法对公民权利的保护延伸到民事法律领域。因此，从个人信息保护的法律基础和基本宗旨角度，《刑法》中侵犯公民个人信息罪所保护的法益应当理解为公民人格尊严与个人自由，隐私利益只是人格尊严保护的内容之一(在强调隐私的重要性时，亦可以与人格尊严并列加以表述) 。

根据以上两个层面的分析，我国《刑法》侵犯公民个人信息罪所保护的法益要宽泛于其他国家有关个人秘密或侵犯个人隐私类犯罪的立法。

早在上个世纪，一些国家对侵犯个人秘密的行为就进行了刑事立法。譬如，日本刑法典第134 条第1 款规定了“非法披露个人秘密信息罪” ; 同样，德国刑法在第十五章侵害私人生活和秘密中分别对侵害言论秘密(第201 条) 、侵害通信秘密( 第202 条) 、探知数据(第202 条a) 、侵害他人隐私(第203 条) 、利用他人秘密(第204 条) 、侵害邮政或电讯秘密(第206条) 作出了规定。其中第203 条规定了某些特殊类型行业的人员不得“非法披露他人秘密，尤其是该秘密属于个人隐私、商业或贸易秘密”，特殊行业人员通过列举的方式在法条中予以规定，主要包括从事医疗行业的人员、心理咨询师、法律从业人员、咨询机构、社会工作者 、私人保险机构以及政府官员和其他相关公共职能部门的人。这些罪名主要针对侵犯个人秘密信息、通信自由的犯罪行为，其保护范畴要远窄于侵犯公民个人信息罪。

因此，我国《刑法》基于《宪法》上公民权利所规定的侵犯公民个人信息罪具有更高的定位，所保护的公民个人信息也不限于隐私信息。但是，由于个人信息本身具有社会性、公共性，个人信息本质上是可为人使用的，只是该使用不得侵犯他人人格尊严和个人自由。由于刑法自身的谦抑性，其不能将所有侵犯公民个人信息的行为纳入其调整范围，不能将所有出售或提供公民个人信息的行为视为犯罪行为。因此，还需要进一步分析出售或提供哪些公民个人信息以及何种出售或提供行为构成实质性违法，应当为刑法所禁止。

三、出售、提供公民个人信息行为实质违法性之界定

既然侵犯公民个人信息罪所保护的法益是公民的人格尊严与个人自由，那么对出售或提供公民个人信息行为的实质违法性判定必须围绕该法益展开，即如果出售或提供公民个人信息对公民的人格尊严与个人自由造成严重侵害或威胁，那么该行为就具有实质违法性，应被视为侵犯公民个人信息行为，应受刑法处罚。刑法控制的应该是对个人隐私、人格尊严和个人自由造成严重侵害的行为，这就意味着需要对可入刑的行为作出明确的限定，将不具有实质违法性的行为排除在刑法调整之外。

笔者认为，这种限定须从两个方面进行：一是在既有规范下限缩公民个人信息的范围，将明显具有潜在危害性的信息纳入; 二是增加要件，将非法目的作为侵犯公民个人信息罪的必要要件。

(一)限缩公民个人信息的范围

侵犯公民个人信息罪规定了两种侵犯公民个人信息的行为，一种是“向他人出售或者提供公民个人信息”的行为，另一种是“窃取或者以其他方法非法获取公民个人信息”的行为。这两种行为的行为方式在本质上具有很大的差异。

“窃取或者以其他方式非法获取”，无论是窃取还是以其他方式非法获取，其核心都突出了“非法”，这意味着其行为方式本身就为法律所禁止，其获取公民个人信息的行为缺乏合法性基础。无论其所获取的个人信息是否包含敏感信息，只要个人信息获取行为没有合法性基础，即属于直接侵犯公民个人自由; 如果所获取的个人信息还包含个人敏感信息，则可能进一步对公民个人隐私、人格尊严造成侵害或威胁。因此，窃取或以其他方式非法获取公民个人信息因其行为方式本身，必定会对公民个人自由造成侵害，同时也可能会对公民个人隐私与人格尊严造成侵害或极大的威胁，当然具有实质违法性。

“向他人出售或提供”行为本身属于一种中性的行为。所谓出售一般指有偿的交易; “提供”可以涵盖非交易性的数据共享或移转行为。如果出售和提供的标的(即公民个人信息) 和目的没有违反法律规定，单纯出售和提供公民个人信息的行为并无所谓合法或非法的问题。这是因为，导致法律行为出现瑕疵的原因一般有行为能力欠缺、标的不适当、意思表示不健全等，这些瑕疵只发生民事后果，不至于导致违法或非法。因此，在一般情况下，如果某一出售或提供行为被认为是非法的，那么一定是其出售或提供的标的物具有特殊性。

以“买卖”为例，通过对法条的检索，我们发现，我国《刑法》将如下几类物品的买卖行为作为犯罪行为:

第一，该标的物本身具有危险性或危害性，可能对公共安全利益或公民个人安全利益造成侵害或威胁，如“枪支、弹药、爆炸物、危险物质、毒品”以及“伪劣商品”等。

第二，该标的物本身虽然并不直接具有危险性或危害性，但基于特定的利益考量，国家对其进行管制，限制或禁止其流通。如为保护国家安全利益，禁止销售专用间谍、窃听、窃照专用器材; 为保护公共安全利益，禁止擅自出卖国有档案、禁止买卖武装部队公文、证件、印章; 为维护公共管理秩序，禁止买卖国家机关公文、证件、印章、身份证件、试题与答案等; 为维护社会主义市场经济秩序，禁止购买假币，禁止出售伪造的信用卡，禁止出售各类发票等。

可见，标的物的特殊性是导致整个行为被认定为非法，并将其作为犯罪行为纳入刑法调整范围的关键。因此，对“出售或提供公民个人信息”行为的实质违法性分析的落脚点并不在于出售和提供这一行为方式上，而在于行为对象，即公民个人信息上。

公民个人信息因其承载着公民人格尊严和个人自由，本身具有一定的特殊性，但是，首先，公民个人信息显然并不像枪支、弹药、危险物质以及毒品那样本身就具有极强的危险性和危害性，会对个人人身安全或公共安全造成直接威胁，需要国家对其流通进行严格的管制。其次，除了包含国家秘密的公民个人信息外，公民个人信息一般仅承载个人的人格尊严和自由，不会直接对国家安全造成威胁。再次，公民个人信息与国家机关的公文、证件、印章、身份证件、试题和答案有本质区别，前者主要是基于私人之活动形成的产物，后者主要是代表国家的机关或机构形成的产物; 前者的买卖并不会对国家的管理造成严重的影响，也不会损害国家机关或机构的公信力，而后者的买卖可能就会危害国家的管理秩序。最后，公民个人信息的正常流通并不会危害社会主义市场经济秩序，相反，在数据时代，个人信息的利用与流通具有巨大的价值。信息的利用不仅成为企业竞争和发展的关键基础，也是帮助政府提高社会治理水平，发展国家经济，提高国家医疗卫生、能源、军事等科技水平的重要途径。

因此，《刑法》不应完全禁止出售或提供公民个人信息的行为。

目前，刑事司法领域，有关侵犯公民个人信息罪之公民个人信息范畴较为权威的解释出自2013年最高人民法院、最高人民检察院和公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称: 《通知》) 。《通知》认为：“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”除了能够识别公民个人身份的信息外，该《通知》还将“涉及公民个人隐私的信息”纳入其中。

笔者认为，《通知》对刑法保护的公民个人信息的界定过于宽泛，从实质违法的角度，纳入刑法保护的应当只限于能够直接识别公民个人身份的个人信息。因为识别是一个宽泛的概念，并非所有能够识别公民个人的信息对外提供都具有刑法上的可责性，而其他识别性信息对个人危害限于对尊严、隐私利益的侵犯，不具有刑法上社会危害性。

国际社会对个人信息的定义多强调其可识别性，只有可以识别特定个人的信息才被称为个人信息或个人数据，并对其利用加以规范和保护。例如，欧盟《统一数据保护条例》规定: “个人数据( personal data) 是指与已识别或者可识别的自然人(数据主体) 相关的任何数据。”

个人信息的可识别性包括两种含义，即识别特定个人身份与识别特定个人个性特征(可以不知道具体个人，但了解该人特征) 。识别特定个人身份是指当公民个人信息中包含个人身份信息，如姓名、身份证号、手机号、地址，获取该公民个人信息的人可以通过其中的个人身份信息直接识别该信息主体的身份(身份具有特定性和唯一性) 。识别特定个人个性特征是指公民个人信息中包含能够反映信息主体个性特征的数据，如有关该信息主体的兴趣爱好、购物记录，获取该公民个人信息的人可以通过此类信息对信息主体各个方面的性格特征或需求进行分析。

如果单纯出售、提供可识别特定个人个性特征的个人信息(比如对个人信息作了去身份化处理) ，而不包含身份信息，不能直接侵害或威胁该个人的隐私或人格尊严，不具有直接危害性。因为可识别特定个人个性特征的个人信息在不包含个人身份信息的情况下，虽然该个人信息同样指向某个人，但无法明确知道该个人的身份，也即无法特定化。即便某些爱好或习惯具有一定的敏感性，但由于无法特定化至一个明确的信息主体的身份，对该信息主体的侵犯也就无从谈起。

相反，如果行为人出售或提供的个人信息属于可直接识别特定个人身份的个人信息，那么因该信息与特定主体直接相关联，该出售或提供行为就可能直接侵害公民的个人隐私与人格尊严，甚至也可能威胁到其他法益。

因此，不包含可直接识别特定个人身份的个人信息，或隐去身份的个人信息的买卖和提供，不应当直接被纳入刑法调整，刑法应当将单纯识别个人特征的个人信息的流通和提供排除于刑法之外。因此，将“公民个人信息”限缩为可直接识别特定个人身份的公民个人信息具有其合理性与正当性。

综上所述，只有出售或提供的公民个人信息属于可直接识别特定个人身份的公民个人信息，才会对侵犯公民个人信息罪所保护的法益造成侵害或威胁，出售或提供公民个人信息中“公民个人信息”的范畴应限缩为可直接识别特定个人身份的公民个人信息。

(二)将犯罪目的作为必要要件

如前所述，只有出售或提供可直接识别特定个人身份的公民个人信息才会对侵犯公民个人信息罪所保护的法益造成侵害或威胁。那么，是否意味着所有出售或提供可直接识别特定个人身份的公民个人信息都具有实质违法性，从而有必要通过刑法进行规制呢? 现行的《刑修九》所作出的限制性规定为“违反国家有关规定”。即使将国家有关规定限定在法律层次，那么，法律已经明确不得出售或者非法向他人提供个人信息，是否意味着只要出售或提供可直接识别特定个人身份的公民个人信息就意味着违反法律规定?

如果认为法律完全禁止公民个人信息的出售和提供，那么无疑将使正当的个人信息流通、使用面临法律上的巨大障碍。

个人身份信息具有社会性和公共性，可直接识别特定个人身份的公民个人信息的流通仍然是社会运行不可缺少的环节，所以简单将出售或提供可直接识别特定个人身份的个人信息的行为入刑，在保护个人尊严和个人自由的同时，可能妨碍个人信息的正当流通和使用。为此，作为对社会行为最严厉的禁止性规范，刑法必须给出明确的规定，仅惩治那些严重危害个人尊严和自由的行为，而给正当个人信息流通和使用留下空间。就买卖或提供个人信息行为而言，其行为的性质显然取决于其目的。因此，笔者认为，应将犯罪目的作为侵犯公民个人信息罪的必要要件，即将我国《刑法》第253 条之一中“向他人出售或者提供公民个人信息”改为“以非法目的向他人出售或者提供公民个人信息”。

基于不同的目的，出售或提供可直接识别特定个人身份的公民个人信息所产生的社会危害性具有本质差异。基于正当的目的，如企业间信息共享，在不同主体之间出售或提供可直接识别特定个人身份的公民个人信息，如果保护措施不当，也可能会对相关信息主体的个人隐私、个人尊严造成不必要的侵害或威胁。在该情况下，信息主体的隐私等人格利益完全可以通过民事法律途径予以救济，无须动用刑法来保护信息主体。因为在民事救济中，允许司法裁量在个人尊严和自由的法益(个人利益) 与个人信息自由流通(代表着公共利益) 之间进行平衡，作出恰当的责任分配。相反，如果行为人基于诈骗或帮助他人诈骗等非法目的，出售或提供可直接识别特定个人身份的公民个人信息，公民个人的人格尊严与自由势必遭到严重侵害，不仅如此，该出售或提供行为进一步加大了对公民人身安全、财产利益的威胁。

因此，基于非法目的的出售或提供行为才具有刑法意义上的实质违法性，也只有基于非法目的的出售或提供行为才有必要动用刑法进行规制。

此外，明确给予出售或提供行为以目的限制，对在正常业务往来中提供个人信息的行为实践来说尤为重要。譬如，在企业集团内部、母子公司之间就可能存在数据转移的情况; 如果是基于企业内部管理的需要，子公司将其合法收集的可直接识别特定个人身份的信息转移给母公司，这样的“转移”如主观上没有明显侵犯个人尊严和自由的目的，客观上也没有造成严重后果，不应当构成侵犯公民个人信息犯罪。

同样，为企业运转或完成交易所必要而提供可直接识别特定个人身份的个人信息，而没有其他非法目的，也不应认定为犯罪。如某些保险代理公司或保险经纪公司，在代售保险或从事保险经纪业务过程中合法收集了公民的个人信息，其中会包括姓名、身份证号、电话号码等可直接识别特定个人身份的个人信息; 事后，为了实现代售这一合法的商业交往，将信息提供给合作的保险公司，以购买相应的保险。

因此，在具有正常商业关系的前提下，并以实现合法目的所必要，将合法收集的可直接识别特定个人身份的个人信息提供给他人，不会对个人尊严和个人自由造成侵害，不具有实质违法性。

在我国目前的司法实践中，因为没有将犯罪目的作为侵犯公民个人信息罪的构成要件，因而“犯罪情节”成了重要考量因素。情节严重虽然可以包含行为目的这一因素，但由于犯罪情节是定罪量刑的因素，而不是罪与非罪的标准，因而不能替代目的要素的规定，成为指导人们行为的明确规范。缺失目的要素的规定，依赖情节因素会使司法实践过程中具有极大的弹性，也使人们的行为预期具有不确定性。

因此，笔者认为，应将犯罪目的作为侵犯公民个人信息罪的必要要件。只有如此，才既能对可直接识别特定个人身份的个人信息进行合理、有效的保护，同时也能使得基于合法目的使用个人数据的行为的合法性变得明晰，从而促进社会对个人信息数据的正当利用。

四、结论

侵犯个人信息罪填补了我国个人信息刑法保护的空白，为公民个人隐私、人格尊严与个人自由提供了更加强有力的保护，体现了国家对人权的重视与保障。值得注意的是，在打击侵犯个人信息行为的同时，要保障和引导个人信息的有序利用和自由流通，平衡公民个人利益的保护与信息产业的发展，发挥个人信息在经济、科技、文化等领域的促进作用。

有鉴于此，刑法一方面要发挥其威慑和教育的作用，通过适当的刑罚让从事侵犯个人信息犯罪的行为人受到应有的惩罚; 另一方面，刑法应保持其明确性和谦抑性，这样才能避免不当地阻碍新生事物对社会发展的促进作用。

目前我国《刑法》规定的侵犯公民个人信息罪的法定最高刑相对较低，“情节严重”的，法定最高刑只有三年; “情节特别严重”的情况，法定最高刑为七年。笔者认为，这样相对较低的法定刑，并没有给日益猖獗的电信诈骗、网络诈骗等犯罪分子足够的威慑力，无法有效遏制身份盗用型犯罪; 同时，由于侵犯公民个人信息罪的构成要件过于简单，实践中哪些行为构成犯罪不明确，无形中增加了合法利用个人信息的行为人的刑事风险，阻碍了社会对个人数据的充分利用。

笔者认为，只有出售或提供可直接识别特定个人身份的公民个人信息行为才具有实质违法性，应受刑罚处罚，同时应将“以从事违法活动或侵害个人权益活动为目的”作为出售或提供个人信息行为构成犯罪的要件。在此基础上，还可以考虑提高刑罚的力度，提高法定最高刑，或者明确罚金数量。如此，既满足侵犯公民个人信息罪的立法目的，也有利于保障个人信息的自由流通，推动信息产业的发展，释放信息红利。

（本文原刊于《政治与法律》2017年第2期，原题：“出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角”。 正文经重新编辑，有一定删节并略去注释。经作者审定，经授权刊用。）