“持有公民个人信息”的罪与非罪｜天同网事

发布时间：2024.07.10 15:37 来源：天同诉讼圈

文 / 伍歌，天同律师事务所上海办公室

引言：我国现行刑法第二百五十三条之一规定的侵犯公民个人信息罪包括“向他人出售或者提供”、“窃取或者以其他方法非法获取”两种行为模式，而对“持有公民个人信息”是否构成犯罪没有明确规定。近年来，大数据技术的快速发展使得侵犯公民个人信息罪日渐“活跃”。为全过程打击侵犯公民个人信息犯罪产业链，实务和理论界出现了将“持有个人信息”情形纳入该罪规制范围的呼声。基于此，本文尝试对将“非法持有公民个人信息”纳入侵犯公民个人信息罪规制范围是否具有合理性和必要性进行探讨，以期对司法实务和企业合规有所裨益。

侵犯公民个人信息罪保护的法益

犯罪的实质在于行为对刑法法益的侵害，以此为指导对构成要件进行解释的结论才能实现刑法设立该规范的目的。[1]因此，首先有必要对侵犯公民个人信息罪所保护的法益进行释明。

目前理论界对个人信息保护法益的争论主要在于“超”个人与否，个人法益观认为本罪保护的是公民个人信息权，超个人法益观认为公民个人信息还关乎公共利益、国家安全，因此具有超个人法益属性。[2]从体系解释角度看，本罪位于刑法分则第四章“侵犯公民人身权利、民主权利罪”一章，而不是“破坏社会管理秩序罪”一章，应当认为本罪保护的法益是公民的个人信息自决权。从条文设置和修法趋势看，坚持本罪对公民个人法益保护的定位既有利于保障个人信息免受平等市场主体的侵害，又有利于保障个人信息免受政府滥用行政管理权力的侵害。[3]

将“非法持有”个人信息界定为“非法获取”个人信息不具有合理性

当前，将“非法持有公民个人信息”纳入侵犯公民个人信息罪规制范畴主要有两种思路，一是将“非法持有”解释为“非法获取”，二是呼吁在侵犯公民个人信息罪中增设“非法持有公民个人信息”这一情形。

就前者而言，支持者的主要理由在于网络犯罪中客观证据取证困难，只要在案证据相互印证，就能排除获取方式的“合理性”、“正当性”，即将不具有合法性的“持有”推定为“非法获取”[4]，或主张“对于信息来源不明的，嫌疑人拒不供述信息获取方式或者辩解与其身份、职业不相称，非法持有公民个人信息也应当认定为非法获取”[5]，抑或认为获取应是指行为人掌握他人信息的一种延续的状态，广义的“获取”包括初始取得信息的动作与之后的持有行为。[6]然而，“非法获取”和“非法持有”具有明显区别，不宜将“非法获取”扩大解释为包括“非法持有”。

（一）保护公民个人信息不应突破刑法条文的语义边界

刑法是限权法，应当对其坚持保障公民权利的严格解释[7]，因此语义解释是刑法解释的前提。虽然不同读者对同一刑法条文可能产生不同认知，但若某一行为被解释为某罪，明显让人感觉突兀时，通常可以判断该解释已经突破了刑法条文的语义边界。以“获取”和“持有”为例，社会公众的交流中是明确区分二者的，获取更接近主动改变物品权属的行为，持有则是指对物品的占有状态。此外，刑法在规定了非法持有枪支、非法持有毒品等罪名的同时，还规定了抢夺枪支等针对违禁品的非法获取罪名，也能说明刑法将二者进行了区分。[8]

（二）“非法持有”与“非法获取”个人信息不具有同质性

刑法第二百五十三条之一第三款明确将“窃取”作为非法获取型侵犯公民个人信息罪的先例条款，有关非法获取的“其他方法”[9]则属于兜底条款。兜底条款的解释应当与先例条款保持同质性，故其他非法获取的方法应具有与“窃取”行为相当的违法性，同时也应具有“违背信息主体意志“这一要素。因此，可以将未经信息主体同意的购买、收受、交换评价为非法获取，但不应将单纯的持有信息界定为非法获取。

首先，目前学界对持有的行为性质争论不休，存在“行为说”、“状态说”、“第三种行为方式”等观点，也有观点主张刑法设定的持有型犯罪，是“在一定行为之下所形成的稳定的、持续的状态，且在这种行为作用下形成的状态为刑法所禁止”，即持有型犯罪的特征之一是行为性与状态性结合。因此，很难认定持有与动态的窃取具有同质性。[10]且非法获取信息着眼于信息的流转，而单纯持有信息不涉及信息流转，无法评价手段是否平和。

其次，合法获取但“非法持有”的“非法”通常没有超出特定信息主体授权范围，不满足非法获取型侵犯公民个人信息罪的要素之一“未获得信息主体的同意”。在受托人接受委托人委托，处理个人信息的情形下，受托人一般都会要求委托人保证已取得信息主体的知情同意，并对委托人信息来源的合法性进行形式审查，即使受托人缓存或保留委托人相关数据，但未将数据销售或非法提供给他人，也就没有证据证明其实施了超出信息主体授权的行为，委托人和受托人的纠纷也就仅仅停留在民事委托合同争议的范围内。[11]

综上，非法获取公民个人信息不应无限宽泛化，否则将违反刑法的解释原则。

将“非法持有公民个人信息”犯罪化不具有合理性

立法者设置持有型犯罪这种推定性规范，主要基于以下考虑：一是刑法具有严格限制社会风险，提前保护法益的功能；二是以预防为特征的抽象危险犯越来越受到我国刑事立法的重视；三是通过禁止关联度极高的犯罪预备行为，预防相对较重罪行；四是基于堵截犯罪的需要而采取立法推定技术。因此，持有型犯罪具有严密刑事法网、阻塞法律漏洞、降低证明难度，提高诉讼效率等价值。[12]

但是，持有行为犯罪化至少需要满足以下特征：第一，持有行为的非法性特征。持有非法性的判断主要包括两个因素：一是是否获得持有的授权，二是持有对象的性质。持有型犯罪主要针对没有授权的持有管制类物品的行为。第二，持有对象的法定性特征。管制物品本身即具有损害人身安全（如枪支、弹药、毒品）、国家安全等的危险性，但在罪刑法定原则下，只有当其危险性达到确需刑法介入的程度时，才能按照法定程序对持有管制物品的行为进行刑法规制。第三，持有行为性与状态性结合的特征，且持有需要达到稳定、持续，足以对法益产生具体危害的状态。[13]结合前述特征可知，现阶段将“非法持有”个人信息犯罪化不具有合理性，原因在于：

（一）在没有明确规定的情况下用刑法规制“非法持有”个人信息将违反罪刑法定原则

“无论将持有视为作为，还是介于作为与不作为之间的行为方式，持有型犯罪都必须有刑法的明确规定，不能因为违反了其他部门法的义务就将其视为刑法上的持有”。[14]虽然刑法的明确性是相对明确性，但如前所述，现行法规定的“非法获取”行为不能涵盖“非法持有”，因此，在立法出现真空时不应违反罪刑法定原则，将“非法持有”公民个人信息纳入刑法规制范畴。

（二）“非法持有”公民个人信息不具有严重的法益侵害性

侵犯公民个人信息罪是一种具体危险犯，必须足以危及他人的人身或财产权利才构成犯罪。[15]

从犯罪对象看，个人信息不是本身具有危害性的管制物品，也不具有禁止流通性。举例而言，持有假币罪以及持有伪造信用卡、发票的行为，作为其对象的“假币”“伪造信用卡、发票”本身既具有社会危害性，也具有较强流通性以及流通后对金融秩序的严重破坏性。[16]枪支、弹药、毒品等违禁品的流转也是绝对禁止的。而个人信息不具有前述特性，其流转、持有存在正当、合法的空间，不能一律认为持有个人信息的行为具有危害性。

从行为方式看，一方面，单纯的持有公民个人信息，未将个人信息进行非法出售或提供，不具有规范的实质违法性。例如，高校、房地产、电信通讯、银行业、医疗机构等行业的人员出于工作需要，通常会储存海量个人信息，难以认为其持有行为具有潜在的社会危害性。[17]另一方面，云端平台的发展为个人信息持有行为的认定带来挑战。云端平台的使用者可能将非法获取的信息储存在云端平台，此时若认为云端平台对平台的管理、服务以及维续行为是对个人信息的“非法持有”将有失公正。[18]

从主观方面看，倘若是单纯为信息储备而持有，不具有违法目的，也不能按侵犯公民个人信息罪进行处罚。[19]在受托人受委托处理个人信息时，为对账需要，受托人可能会持有一段时间委托人提供的数据。此种情况下受托人不构成“非法持有”。[20]此外，持有行为犯罪化是刑事推定的结果，但推定是否具有可靠性也值得怀疑。司法机关证明行为人持有特定物品是为关联犯罪做准备的难度大，若盲目扩大持有型犯罪的范围，将极大增加刑法推定带来的误判风险。[21]

从危害结果来看，持有信息不具有扩散目的，相较提供或者出售信息，持有的结果是相对静止的状态，信息传播范围更小，当然也不具有严重的法益侵害性。

（三）刑法具有谦抑性，只有在前置法难以有效规制的情况下才能启动刑法

刑法谦抑性指“只有当一般部门法不能充分保护某种法益时，才由刑法保护；只有当一般部门法还不足以抑止某种危害行为时，才由刑法禁止”。[22]《网络安全法》《数据安全法》《民法典》《个人信息保护法》等多部法律中均有涉及侵犯公民个人信息行为的规制条款。立法者将“违反国家有关规定”作为侵犯公民个人信息罪的成立前提，即是要求司法人员在犯罪审查的第一阶段将可罚性较低的行为排除出去，是对刑罚权的限制而非扩张。[23]在讨论对持有个人信息入罪问题时，须谨守刑法谦抑性原则。

例如，《个人信息保护法》所规定的法律义务并不能直接升格为刑法上的义务，如该法第四十七条规定的信息删除权。假设行为人使用车载视频摄像头获取大量个人信息，备份在个人电脑中，没有及时删除，这虽然违反了《个人信息保护法》，但是不能将其上升为刑法上的“删除义务”，更不能因行为人没有履行这种删除义务，就将行为人认定为刑法上“非法获取”的不作为犯或者认为其“非法持有”公民个人信息，构成犯罪。[24]

（四）将与信息流转相关的诸多行为均视为非法不利于信息效益的发挥

信息时代，公民个人信息确已成为日益重要的新型法益，应当严格保护，但不能以现代社会中信息风险的普遍性为由，把与信息流转相关的诸多行为均视为非法。过度保护会阻碍信息效益的发挥，阻碍信息处理技术的发展。在某些情况下，即使没有信息主体的明确许可，但只要相关的信息处理行为是当事人在该情形下能够合理预期的，且这种期待客观上被社会认为是合理的，就应当受到保护。[25]

我国刑法目前对“非法使用”个人信息未进行规制也可以看出立法者在保护公民个人信息权益和保护信息流通权益之间的平衡考虑。对个人信息权益可能造成直接侵害的“非法使用”行为尚且未被增设为新罪，“持有”信息原则上更不应视为违反刑法。

（五）事后堵截型的持有型犯罪容易造成公安机关工作的惰性

支持“非法持有”公民信息构成犯罪的另一理由是：在“非法获取”难以证明的情况下，增设对“非法持有”的处罚，有利于降低公诉机关的举证难度，实现诉讼经济。[26]但反过来看，该思路也容易造成公安机关工作的惰性：司法资源本就有限，如果司法人员在查证信息来源时遇到困难，可能就会以“非法持有”定罪，因此本应以“非法获取”被判处更重刑罚的罪犯反而逃脱了应得的处罚。[27]实际上，案件侦破的难度不能成为随意增设新罪进行补漏的借口。

在侦查时，公安机关应注重复杂的业务逻辑在计算机系统中是如何体现的。例如，与传统数据库不同，redis是存在内存中的，被广泛应用于缓存方向的存储系统。使用redis主要用于解决高性能、高并发问题。解决高性能问题指用户数据存在redis中，用户下一次访问数据时直接从redis中获取，存写速度极快。

解决高并发问题指用户一部分数据请求会直接转移到redis中而不经过数据库。

了解redis系统的运行逻辑有助于准确区分“获取”和“缓存”的数据数量。

委托处理个人信息场景的刑事风险防范建议

虽然将“持有公民个人信息”纳入刑法规制范畴在当前不具有合理性和必要性，不少学者也建议对侵犯个人信息罪进行司法限缩，但不排除持有型犯罪立法未来将继续扩张。

以十分常见的委托处理个人信息场景为例，受托人涉嫌犯罪的情形大致可分为以下几种情况：（1）受托人违反合同约定，故意留存部分数据，再把这些数据倒卖给消费信贷公司，导致公民个人信息泄露或滥用。（2）委托人提供的信息来源明显未经个人同意，受托人与委托人之间从未签订书面委托合同，受托人难以提供公民个人信息认证，且对于委托人的信息来源合法性完全不予审查，在发现个人信息来源明显存疑时不进行质疑和审核。这种行为有可能属于非法获取或“非法持有”公民个人信息的范畴。（3）委托人提供的有个人授权的信息数量明显少于实际交给受托人处理的信息数量时，受托人仍处理个人信息。（4）受托人从委托人处获取的信息极其有限，通过自己的努力非法收集个人信息后出售牟利。[28]此外，受托人合法取得委托人提供的数据后，到期经提醒后故意不删除，也存在成立“持有型”侵犯公民个人信息罪的风险。

为了应对可能存在的风险，委托方作为个人信息处理者，应当严格遵守《个人信息保护法》等相关规范，按照“告知-同意”规则处理个人信息，同时也不得利用交易机会擅自获取受托人信息。受托方不仅需在委托合同中约定委托人要对信息来源的自愿性、合法性负责，也可以定期或不定期对委托人取得用户授权情况进行抽查，并对个人信息采取合理的技术保护措施，相关行为可以有效证明受托人在经营中尽到了风险防范义务。此外，如果发现委托人在短时间内不断异常地发出查询服务申请，有可能非法获取超越委托范围的个人信息时，受托人应及时关停数据接口，断绝与委托人成立共同犯罪的可能。[29]

参考文献：

[1]张明楷：《法益初论》，中国政法大学出版社2000年版，第216页。

[2]周光权：《委托处理个人信息与侵犯公民个人信息罪———结合<个人信息保护法>第21条的分析》，载《环球法律评论》2021年第6期。

[3]靳宁：《大数据背景下个人信息刑罚治理的合理边界——以侵犯公民个人信息罪的法益属性为例》，载《黑龙江社会科学》2018年第3期。

[4]马骏：《“非法获取型”侵犯公民个人信息罪的认定》，载《中国检察官》第8期。

[5]刘芳、葛晓娟：《侵犯公民个人信息罪若干疑难问题的司法认定》，载《北京政法职业学院学报》2021年第2期；同时参见北京市第三中级人民法院（2021京03刑终316号刑事裁定书。

[6]黄陈辰：《APP侵犯公民个人信息行为的刑法规制及其合理边界》，载《江汉学术》第42卷第6期。

[7]赖隹文：《非法获取公民个人信息：实践现状、价值检视与规则塑造》，载《江苏警官学院学报》，2023年11月版。

[8]同序号[7] 。

[9]《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条规定，以其他方法非法获取信息是指通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的行为。

[10]周光营：《持有型犯罪刑法规制体系研究》，华东政法大学2021年博士学位论文。

[11]同序号[2]。

[12]同序号[10]。

[13]同序号[10]。

[14]罗翔：《论人脸识别刑法规制的限度与适用 ——以侵犯公民个人信息罪指导案例为切入》，载《比较法研究》，2023年第2期。

[15]同上。

[16]陈伟熊波：《审慎认定“持有型”侵犯公民个人信息罪》，载《检察日报》。

[17]同上。

[18]同上。

[19]张楚：《集体法益视野下获取公民个人信息行为的入罪限度研究》，载《刑法丛论》，2021年第1卷，总第65卷。

[20]同序号[2]。

[21]段阳伟杨方伟：《持有型犯罪的扩张及反思》，载《社会科学动态》，2021年第5期。

[22]张明楷：《刑法学》，法律出版社2016年版。

[23]田淼：《侵犯公民个人信息罪中“违反国家有关规定”的功能失灵与修复》，载《北京警察学院学报》。

[24]同序号[14]。

[25]王利明：《数据共享与个人信息保护》，载《现代法学》，2019年第1期

[26]朱红李婧：《论增设非法持有公民信息罪的必要性》，载《武汉金融》2017年第1期。

[27]姜敏詹惟凯《论持有型犯罪的性质、正当性根据及其限度》，载《中国人民公安大学学报（社会科学版），2022年第1期。

[28]同序号[2]。

[29]同上。

“天同网事”栏目由邹晓晨律师主笔/主持，本栏目深入研究互联网产业中竞争领域、知识产权领域、信息安全领域的相关技术问题与法律问题，并致力于将其打造成一门全新的“边缘学科”。我们希望借此栏目与法律同行和互联网产业同行一起分享资讯，碰撞观点，传播知识经验。如您有任何想法、意见、建议，欢迎点击文末留言。

查看近期文章，请点击以下链接：