“互聯網+”時代，在社會經濟飛速發展的同時，非法獲取、侵害公民個人信息的案件日益增多。根據刑法第253條之一規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，構成犯罪。2017年3月15日全國人大通過的《中華人民共和國民法總則》（下稱“民法總則”）第111條規定，公民的個人信息受法律保護，任何組織和個人不得非法收集、使用、加工、傳輸他人個人信息；不得非法買賣、提供或者公開他人個人信息。至此，在我國尚未出臺公民個人信息保護法的前提下，關于個人信息保護之實體法律規制的民法、刑法保護的二元維度已經初步形成。但是，發生侵犯公民個人信息行為時如何適用法律，是普通民事侵權，還是構成犯罪，已成為一個亟須解決的問題。筆者認為，在民法、刑法二元界分上必須秉持“雙階層”判斷標準，即通過綜合考慮“行為+危害”與“數額+情節”來判斷是普通民事侵權還是構成犯罪。

“行為+危害”是罪與非罪的判斷基準。第一，行為是任何犯罪成立的共同構成要件要素，侵犯公民個人信息罪亦有其行為構成。侵犯公民個人信息罪的實行行為主要是出售、非法提供以及非法獲取；而普通侵犯公民個人信息的行為是非法收集、使用、加工、傳輸和非法買賣、提供或者公開。二者除在非法提供以及非法買賣中的出售環節有交集外，其他都是分立的。所以，從行為上進行界分是基礎性的判斷標準，二者存在交集的行為也恰恰體現了法律規制的完整性。第二，在行為存在交集的情況下，要考慮行為的危害后果，后果的嚴重程度應成為判斷罪與非罪的程度性判斷標準。例如，將獲得的公民個人信息出售或者非法提供給他人，被他人用以實施犯罪，造成被害人人身傷亡或者死亡的，應當以侵犯公民個人信息罪追究刑事責任。在共同犯罪的情況下，還需要考慮是否存在明知行為人要實施電信詐騙、網絡犯罪、敲詐勒索、綁架等犯罪而非法提供公民個人信息的情況，如果存在這種情況，將構成相應犯罪的幫助犯。

“數額+情節”是罪與非罪的考量因素。首先，以個人信息的相關數量作為量化標準，最能直接反映侵犯公民個人信息罪的社會危害性，所以，綜合考量出售、非法提供或者非法獲取個人信息的次數、數量和牟利數額，制定具體的標準才是判斷罪與非罪的量化標準。基于此，筆者認為，可以參考最高法、最高檢《關于辦理詐騙刑事案件具體應用法律若干問題的解釋》相關規定，以具體的侵犯公民個人信息的數量、次數以及牟利數額確定處罰基準。至于應確定怎樣的具體數額標準，需要理論界與實務界進一步研究。其次，根據刑法第253條之一第1款規定，“情節嚴重”的才構成犯罪。在侵犯公民個人信息罪中，“情節嚴重”作為一種概括性的定罪情節，要具體考量影響定罪的情節，不能單純從個罪的角度出發，仍應當回到犯罪構成的邏輯框架當中，以其為基礎和角度對個罪進行全方位的考察。由于我國刑法及司法解釋關于犯罪“情節嚴重”“情節特別嚴重”認定標準的缺位，導致司法裁判認定“情節嚴重”時顯得過于“隨意”，尚未形成統一標準，需要出臺相關司法解釋予以明確。筆者認為，關于“情節嚴重”的認定標準，可以結合個人信息的數量、信息種類、牟利數額、信息用途、給被害人造成的損失等綜合評判。

在“互聯網+”時代，個人信息已經成為市場競爭的重要砝碼，個人信息日益凸顯的重要價值也迫切需要實體法律規定以及司法適用的日臻完善。但是基于刑法謙抑的精神，對行為的刑事處罰應限制在迫不得已的必要限度以內，同時也要兼顧已經造成以及將要造成的危害后果。

作者：天津市人民檢察院第一分院　唐守東