非法獲取型侵犯公民個人信息罪中“其他方法”的規范判斷

李 瑞

（西北政法大學，陜西 西安 710063）

一、問題的提出

刑法為非法獲取型侵犯公民個人信息罪規定了“以其他方法非法獲取”，2017 年發布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）明確“違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息”的行為屬于“以其他方法非法獲取”，同時在第5 條進一步細化了“情節嚴重”的認定。然而該解釋僅通過不完全列舉的方式明確了“購買、收受、交換等”屬于“以其他方法非法獲取”，并沒有真正提供實質標準。同時，《解釋》所列舉的“購買”“收受”“交換”等“獲取”方式均為“行為性質中立的”行為①參見駱群：《對侵犯公民個人信息罪客觀行為的解讀》，載《法治論壇》2022 年第2 期，第293 頁。，因而冠以“違反國家有關規定”的前提，這是否意味著《刑法》第253 條之一第3 款中的“以其他方法非法獲取”的行為方式只能與《解釋》所列舉的行為方式同質也存在疑問。

許多非法獲取型侵犯公民個人信息罪的司法判決中都出現了過分擴張認定非法獲取行為的傾向，例如在（案例一）張某侵犯公民個人信息案中②參見廣東省深圳市福田區人民法院（2017）粵0304 刑初247 號刑事判決書。，張某在公司微信群下載他人上傳的含有大量公民個人信息的文件的行為被認定為“非法獲取公民個人信息，情節嚴重”而構成侵犯公民個人信息罪，而并未考察其在獲取該大量信息的目的和后續利用活動。在（案例二）張某等侵犯公民個人信息、詐騙案中③參見浙江省衢州市中級人民法院（2019）浙08 刑終333 號刑事裁定書。，被告人利用從網絡上下載的公民頭像制作3D模型，實名注冊支付寶賬戶，獲取支付寶相應獎勵，人民法院認為其獲取信息用于實施詐騙犯罪活動而認定獲取行為的非法性，其行為構成侵犯公民個人信息罪。在（案例三）劉某侵犯公民個人信息案中④參見廣東省深圳市福田區人民法院（2021）粵0304 刑初997 號刑事判決書。，劉某通過網絡下載、從朋友處獲取、購買等方式獲取客戶信息后供業務員聯系客戶并賺取服務費用，人民法院均將其認定為非法獲取行為。此外還存在將為推銷產品或招攬業務而購買或者通過其他方式收集個人信息的行為認定為侵犯公民個人信息罪，但又適用緩刑的情況⑤例如江蘇省建湖縣人民法院（2021）蘇0925 刑初440 號刑事判決書；河南省鹿邑縣人民法院（2022）豫1628 刑初67 號刑事判決書；浙江省余姚市人民法院（2021）浙0281 刑初1156 號刑事判決書等。。在上述案例中，要么僅存在違法獲取公民個人信息的行為，只要達到《解釋》所規定的“情節嚴重”的數量規模，即認定為本罪而并不實質考察其獲取信息的目的、后續使用行為是否對相關信息主體的人身財產權益造成威脅等，要么由于其將獲取的公民個人信息用于違法犯罪活動而并不考察其獲取行為是否具有非法性而直接認定為本罪的情形。

司法認定過于寬泛，其原因在于刑法規范不能對作為犯罪的非法獲取行為進行明確定型，“以其他方法非法獲取”的兜底性規定無法為司法適用提供明確指引。非法獲取公民個人信息行為處于侵犯公民信息權益及其他人身財產權益的前端，且該行為并不會直接導致公民人身財產權益受損，與核心法益之間存在一定距離，對該行為的規制本身即是刑法防線的前移。社會發展無時無刻不依賴于信息的流通與利用，如果不能準確把握刑法所要規制的非法獲取公民個人信息行為，將導致刑法過度介入社會生活。

此外，盡管根據體系解釋和有關司法解釋規定，以其他方法非法獲取公民個人信息依然需要達到“情節嚴重”才能構罪，但是由于《解釋》規定了明確的數量規模，在司法認定中只要將行為認定為非法獲取行為，往往很容易達到“情節嚴重”的認定標準，因而對于情節輕微、危害不大的非法獲取行為，實踐中往往通過判處緩刑的方式實現罪刑均衡。因而解決問題的關鍵仍在于通過對“以其他方法非法獲取”行為確立更加實質的判斷標準，以防止本罪認定范圍過于寬泛，刑法觸角從犯罪圈伸向違法行為圈。

二、非法獲取公民個人信息的規范實質與本罪保護法益

個人信息不同于傳統財物，獲取公民個人信息行為形式上表現為信息的轉移，實質上是個人信息權益利用主體的擴大，其本身無涉價值，只是獲取手段或方式的非法性使其具有了負面價值。因而刑法提前介入規制非法獲取行為，其規范實質在于公民個人信息權益由于轉移手段的非法性而升高被非法利用的危險。鑒于此，本罪的保護法益是公民個人信息之上的人身財產權益和公共信息安全流通秩序，前者既是本罪保護的核心法益，也是對后者的侵犯是否達到實質可罰程度的重要判斷依據。

（一）非法獲取公民個人信息的規范實質

公民個人信息之所以值得保護，在于其上的公民人身財產權益，“個人信息逐漸發展成為與公民個人權利相關的客觀存在，是需要從法律上對公民個人信息予以保護的原因”⑥參見楊軍、杜宇：《非法獲取公民個人信息的規范闡釋》，載《人民司法》2022 年第10 期，第10 頁。。同時，刑法將直接侵害信息流通秩序的非法獲取行為規定為侵犯公民個人信息罪，也意味個人信息的刑法保護同樣關注公民個人信息在流通過程中的安全。如有觀點認為，“在刑事領域，公民個人信息的法益目前或者在未來一段時間應當定位在流動安全之上”⑦參見陳小彪：《侵犯公民個人信息之法益厘定及其司法展開——以個人信息數量認定為視角》，載《中國人民公安大學學報（社會科學版）》2022 年第2 期，第79 頁。?！秱€人信息保護法》第4 條規定了個人信息處理行為，作為個人信息處理的第一步工作即為個人信息的收集，在刑法條文中的表述即為“獲取”。由于刑法規范關注法益的保護，并以此為目標，對于獲取公民個人信息的行為，其關注核心仍應是公民個人信息所承載的公民個人相關利益安全。以此作為出發點，檢視刑法規制非法獲取公民個人信息的規范實質，能夠明確非法獲取公民個人信息行為的刑法保護與前置法規范保護之間的關系。

刑法關注的權益客體，即附著于個人信息之上的隨著個人信息被收集可能受到影響的個人權益，是其刑法規范屬性的核心。又因為獲取公民個人信息行為本身表現出的個人信息的流通特點，其在規范上則表現為個人信息權益在不同主體間的轉移⑧參見前注⑥，楊軍、杜宇文，第11 頁。。個人信息具有的非排他性以及再生性、交互性和分享性等⑨參見于改之：《從控制到利用：刑法數據治理的模式轉換》，載《中國社會科學》2022 年第7 期，第62 頁。都使個人信息的轉移同傳統財物轉移所導致的占有和所有狀態發生變化有所不同。公民個人信息的竊取等轉移獲取方式，同一般意義上的竊取、獲取或者其他方式轉移相比，并不會打破公民個人信息主體對其個人信息原有的占有狀態，只是擴大了其占有主體。但這種占有主體的擴大也直接影響和威脅了個人信息主體的權益，個人信息的價值和其公共屬性正在于“信息利用利益”⑩參見蔡燊：《侵犯公民個人信息罪的保護法益及其運用——從個人信息的公共屬性切入》，載《大連理工大學學報（社會科學版）》2022 年第3 期，第77 頁。，因而單純的信息收集和獲取并不會導致公民權益的直接損害，只是使其他行為主體也獲取了“信息利用利益”，但是未經同意或允許的非法手段收集和獲取個人信息的行為，升高了信息被非法利用的危險?！秱€人信息保護法》明確指出其立法目的在于“促進個人信息合理利用”，通過合法手段而為的獲取行為所存在的信息非法利用風險在一定程度上為法律所允許，也為社會公眾所接受。相應的，利用非法手段而為的獲取行為，不僅為法所不允許，而且幾乎必然使得公民個人信息面臨被非法利用的危險，尤其是在買賣公民個人信息等交易手段獲取中。刑法作為行為規范，明確宣示了不允許以非法手段獲取公民個人信息，也在于消除個人信息轉移過程中的負面價值。

由此可見，公民個人信息的收集和獲取本身只是個人信息的轉移，值得關注的是其“信息利用利益”，非法獲取方式對公民個人信息權益的損害并非針對公民個人信息本身，而是對其上所承載的一旦被不法利用則遭到損害的信息主體的人身財產權益，同時直接損害了公共信息安全流通秩序。公民個人信息權益的轉移實質上使得個人信息權益的利用主體擴大，刑法規制非法獲取行為的規范實質則在于公民個人信息權益由于轉移手段的非法性而升高被非法利用的危險，從而保護信息安全流通秩序。

（二）本罪的保護法益

實踐中非法獲取公民個人信息行為往往伴隨著后續提供、出售等行為，甚至是作為實施詐騙等違法犯罪活動的預備行為，也正因為如此，刑法才要提前規制此類行為。然而并非所有非法獲取行為均需要運用刑罰手段進行規制，對于僅存在非法獲取行為或者非法獲取公民個人信息后僅用于自身商品的推銷等活動的情形一律認定為犯罪既不符合法益保護原則，也有悖于刑法目的的實現。因而，有必要明確本罪保護法益以為“其他方法非法獲取”的判斷提供實質根據。

犯罪的實質在于行為對刑法法益的侵害，只有對刑法規范所保護的法益造成侵害的行為才有可能成為犯罪行為，以此為指導對構成要件進行解釋的結論才能實現刑法規定設立該規范的目的?參見張明楷：《法益初論》，中國政法大學出版社2000 年版，第216 頁。。對于侵犯公民個人信息罪的保護法益，學界主要存在個人法益說、超個人法益說以及混合法益說等不同觀點。結合《刑法》和《解釋》對于該罪的規定、公民個人信息的個人和社會屬性以及侵犯公民個人信息行為的特點，本文認為本罪旨在保護公民個人信息之上的公民人身財產權益，同時也注重保護以公民對信息流通安全的信賴為核心的公共信息流通秩序。

從公民個人信息所具有的個人屬性來看，公民個人信息之所以值得保護，在于個人信息除其固有的記錄功能，其與公民重大人身、財產法益之間的關聯越來越緊密?參見王肅之：《侵犯公民個人信息罪行為體系的完善》，載《河北法學》2017 年第7 期，第152 頁。。也正是由于其本身所承載的各種利益，各種侵犯公民個人信息的行為層出不窮，并成為滋生其他財產或人身犯罪的源頭環節。侵犯公民個人信息罪規定在“侵犯公民人身權利、民主權利”一章，這一立法安排即彰顯了公民個人信息法益的人身屬性?！秱€人信息保護法》規定了以“知情—同意”原則作為個人信息處理的基本原則，也凸顯了公民個人的自我意志在個人信息保護領域的支配性地位。但是本罪保護的法益并不僅是個人信息自決權，因為對于大多數個人法益，刑法都尊重個人在一定范圍內享有的自我決定權，其在刑法理論中的體現即為符合特定條件的被害人承諾能夠阻卻行為人侵害其法益的行為的刑事違法性。所以，自決權應作為法益主體對其法益所具備的一種權利，不宜將此種自決權定位為本罪的保護法益。借助“違反國家有關規定”和“被害人承諾阻卻違法”，個人信息自決權受刑法保護是顯而易見的。況且如前所述，刑法之所以注重保護個人信息安全，乃源于其與公民人身、財產利益存在重大關聯，一旦被非法利用，將會給信息主體的人身或財產權益造成不確定的損害，當公民行使個人信息自決權時，實際上也是對個人信息之上所附著的人身、財產權益的處分或是對這種風險的接受。因此，其真正值得刑法保護的是作為自決權對象的個人信息本身所承載的某些利益。因而，即便主張本罪保護法益為個人信息權的觀點也同樣關注個人信息的人格和財產雙重屬性?參見于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，載《政治與法律》2018 年第4 期，第21 頁。。誠然，對公民個人信息的保護，其核心在于公民個人信息本身所承載的人身和財產權益，對于各種侵犯公民個人信息的行為，直接導致公民人身財產權益受損的是對個人信息的非法利用行為，因而懲治尚處于侵犯公民個人信息行為前端的非法獲取、出售、提供公民個人信息行為也體現了源頭治理的思路。

盡管公民個人信息對公民個人本身具有重要價值，并不意味著否定其所具有的公共屬性。一方面，《個人信息保護法》《民法典》等有關個人信息保護的規范在確立“同意”作為個人信息處理原則的基礎上都對基于公共利益而處理個人信息的行為作出了例外規定，這意味著個人信息同時具有公共面向，同時蘊含著超個人法益?參見徐翕明：《侵犯公民個人信息罪的法益重析——基于個人信息保護法制定的探討》，載《社會科學家》2022 年第8 期，第121 頁。。另一方面，個人信息的價值在于流通，大數據的發展和人們生活便利的需要也使得過分強調公民對其個人信息的控制權變得不再可能?！霸诨ヂ摼W上，通過各種途徑實時地進行數據自動收集，進而生成巨量電子數據的時代已經到來?！?儲陳城：《大數據時代個人信息保護與利用的刑法立場轉換——基于比較法視野的考察》，載《中國刑事法雜志》2019 年第5 期，第51 頁。為了獲取服務和便利，公民在使用互聯網的過程中幾乎不得不“自愿”交出自己的個人信息，并允許運營商“訪問”甚至控制。在有些情況下，公民“自愿”交出個人信息甚至包含著對某些信息侵害危險的接受。各種互聯網產品不斷方便個人工作生活的同時，作為用戶的個人的信息無時無刻不被收集，“大數據時代的私人領域、用戶意志被進一步壓縮與弱化”?參見前注⑩，蔡燊文，第77 頁。。這些都無疑體現了個人信息不是個人專屬的私人物品，因為其不具有傳統財物所具有的專有性和排他性。在信息被獲取、提供和轉移的過程中，信息主體對于信息本身所享有的占有和其他權益并未受到破壞。但是違反規范的大量非法獲取、提供和買賣公民個人信息的行為，不僅嚴重威脅著附著于個人信息上的公民的人身財產權益，而且嚴重破壞了信息流通秩序。

此外，《解釋》為本罪情節嚴重的判斷確立了不同的信息數量規模標準，這種規定正是基于不同信息數量規模與法益侵害程度的相關關系所確定，也直觀地體現了行為所具有的法益侵害性以及刑法對各種信息類型的保護力度?黃陳辰：《侵犯公民個人信息罪“情節嚴重”中信息分級保護的結構重塑》，載《東北大學學報（社會科學版）》2022 年第1 期，第96 頁。。同時，有觀點認為，基于《解釋》第11 條第3 款確立的“批量公民個人信息”數量認定規則，當涉及信息數量巨大時，此時刑法處罰的核心不再是信息類型，對行為人的可罰性本質在于行為人侵犯了大量的個人信息?參見付玉明：《侵犯公民個人信息案件之“批量公民個人信息”的數量認定規則——〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉第11 條第3 款評析》，載《浙江社會科學》2017 年第10 期，第28 頁。。本罪的可罰性既然與數量規模聯系如此緊密，就必然不旨在單純保護個人法益。只有具備一定數量規模的個人信息受到侵犯，才能達到值得科處刑罰的程度，同時不同信息類型由于其自身與公民人身財產權益的聯系緊密程度不同，因而達到可罰性程度的數量規模也存在差異。這也說明本罪的保護法益最終要立足于個人信息之上的公民人身財產權益。如前所述，非法獲取、出售和提供公民個人信息的行為處于非法利用公民個人信息行為的前端，直接影響的是信息流通秩序，而該秩序之所以值得保護，在于公民個人信息所承載的公民的人身、財產權益?；诜欠ㄊ侄潍@取、交易公民個人信息的行為嚴重威脅著公民個人信息所承載的人身財產權益，因而也破壞了信息合法流通這一社會法益。

基于以上認識，本罪保護法益的核心應在于公民個人信息之上的人身財產權益，同時包含著公共信息流通秩序的安全。但是如前所述，刑法對這一秩序的保護是對公民個人信息之上的人身財產權益保護的提前介入，因而公民個人信息之上的人身財產權益既是本罪保護法益的核心，也是判斷公共信息流通安全秩序是否受到實質侵犯以及是否達到可罰性程度的重要判斷依據。

三、“以其他方法非法獲取”的實質判斷標準

通過明確刑法提前介入規制距離核心法益較遠的非法獲取行為的規范實質，明確其保護法益，為“以其他方法非法獲取”的判斷確立了實質根據。根據法條罪狀表述特點，“其他方法”是對獲取方式的描述，“非法”則是對獲取手段的限制，其應同時具有形式和實質限縮的功能。對于非法的判斷，應遵循前置法規范定性而刑事法規范定量的原則，在形式判斷基礎上進行實質的考量，以實現行刑有效銜接，最大限度降低社會成本。

（一）“其他方法”的限縮路徑

1.“竊取”不能成為“其他方法”的例示指引

“刑法條文在列舉了具體項（要素）之后緊接著使用了‘等’或‘其他’+概括項的表述時，對‘等’或‘其他’+概括項的解釋應與具體列舉項保持同類?！?俞小海：《司法裁判中刑法同類解釋規則運用的反思與重塑》，載《西南政法大學學報》2022 年第6 期，第124 頁。這一解釋規則被稱為同類解釋規則，也是解釋這類兜底條款或者概括性規定的一般性解釋規則?參見李軍：《兜底條款中同質性解釋規則的適用困境與目的解釋之補足》，載《環球法律評論》2019 年第4 期，第120 頁；俞小海：《司法裁判中刑法同類解釋規則運用的反思與重塑》，載《西南政法大學學報》2022 年第6 期，第124 頁。。

運用同類解釋方法的前提是要能夠在條文所列舉的各具體項中概括出體現條文規范保護目的的特征，從而使概括項與具體項保持同質，以使其在實質上符合規范保護目的，同時又對其進行形式上的限制。在《刑法》第253 條之一第3 款中，其例示項僅有“竊取”一項，由于單一列舉事項不足以組成包含某一共同特征的行為類型?參見李軍：《兜底條款中同質性解釋規則的適用困境與目的解釋之補足》，載《環球法律評論》2019 年第4 期，第120 頁。，因而無法通過該例示項概括出符合本罪規范保護目的的類型化特征進而實現對“其他方法”的“保持同類”的解釋。況且即使基于同類解釋規則，對其例示項所具有的類型化特征的概括也必須同規范保護目的相一致，“只有在特定規范目的下，才能探尋例示條文類型的本來面貌”?梅傳強、刁雪云：《刑法中兜底條款的解釋規則》，載《重慶大學學報（社會科學版）》2021 年第3 期，第114 頁。。同時，同類解釋的出發點就是基于明確列舉的例示項所體現出的規范保護目的而對概括項的解釋起到限制作用。為了保持刑法的明確性，則要求在形式上必須符合例示項所共有的某些特征，而這些特征的選擇必須符合規范保護目的。因而即使存在多個例示項，在其所共有的特征中有與規范保護目的無關或不一致者，應當不予考慮作為概括項解釋的依據和限制。否則，對概括項的解釋則會成為“解釋者論證個人價值預設的工具”?參見前注?，梅傳強、刁雪云文，第112 頁。。

因此，“竊取”這一單一例示項無法為“以其他方法非法獲取”的判斷提供例示指引。根據這一要素對“其他方法”進行同質解釋不僅客觀上不具有可能性，而且很大程度上會導致解釋的恣意性。

2.《解釋》的列舉也不能成為“其他方法”的例示指引

問題在于，盡管法條在“其他方法”之前僅列舉了“竊取”一種行為方式，但是《解釋》卻作了進一步列舉，這是否意味著對“其他方法”的解釋必須同《解釋》所列舉的幾種行為方式保持同質。比如有觀點認為，“其他方法”應當與“竊取”以及解釋中所列舉的行為方式具有同質性，并將其同質特征概括為非暴力性?參見黃陳辰：《搶劫公民個人信息行為刑法規制的困境與疏解——以樊某等搶劫微信賬號密碼案為切入》，載《海南大學學報（社會科學版）》2023 年第2 期，第155 頁。。

司法解釋是最高司法機關作出的具有法律效力的解釋，罪刑法定原則也決定了司法解釋不能超出刑法的文義射程?參見吳亞可：《論刑事司法解釋與刑法文義射程之間的緊張關系》，載《法學家》2022 年第3 期，第46 頁。。但是，這并不意味著司法解釋對刑法條文的解釋具有封閉性，相反，司法解釋“只能采取列舉式規定（列舉對何種行為適用哪一刑法條文）”?參見張明楷：《刑法學》，法律出版社2021 年版，第38 頁。，即司法解釋列舉出來的情形當然包含于刑法規定。反之，司法解釋未列舉的情形并不必然排除于某一刑法規范的適用范圍?！督忉尅穼Α捌渌椒ā绷信e的幾種行為方式，當然可以認為其屬于《刑法》第253 條之一第3 款中的“以其他方法非法獲取”，但是并不能因此認為該款中的“其他方法”只能是《解釋》所規定的幾種行為方式或者與其同等性質的其他行為方式。只有在對《解釋》第4 條中的“其他方法”進行解釋時，才能通過其所列舉的“購買”“收受”“交換”等方式進行同質解釋，而不能將其用于對《刑法》第253 條之一第3 款中“其他方法非法獲取”中的“其他方法”的解釋之中。

因而，《解釋》所列舉的行為方式也不能成為對“以其他方法非法獲取”判斷的例示指引。由于《解釋》列舉的“購買”“收受”“交換”等均為行為性質中立的行為，因而以“違反國家有關規定”為前提，這也說明了“以其他方法非法獲取”中的“其他方法”首先應該是違反相關前置法規范的方式，相關前置法規范為判斷“其他方法”的形式非法性提供了依據。

3.手段的非法性為“其他方法”的判斷提供實質限縮

基于前述非法獲取公民個人行為的規范屬性，可以得出結論，即合法獲取或者收集公民個人信息的行為本身不會受到刑法的負面評價，只有通過非法手段，使公民個人信息發生不正常轉移的情況下，由于其所具有的負面價值，才被刑法評價為犯罪。因而，由此出發，可以認為，無論何種方式的獲取，其實質都是公民個人信息的轉移，正如出售其實是作為提供的一種常見典型方式而被單獨規定一樣?參見駱群：《對侵犯公民個人信息罪客觀行為的解讀》，載《法治論壇》2022 年第2 期，第292頁.，竊取也是非法獲取的一種典型方式被單獨列出，除此之外，法條更關注的是公民個人信息的非法轉移，而轉移的具體方式不在其關注范疇之內。

在對法條的列舉項“竊取”與概括項“其他方法非法獲取”作上述理解后，對“其他方法”的解讀也就不需要執著于從“竊取”行為中發掘出“其他方法”所應具備的某些特征，比如“平和”或“秘密”轉移等。所以對該方法的限定上還是應當立足于獲取行為的規范屬性，即只要達到個人信息權益轉移，使信息潛在利用主體擴大，且該轉移過程具有非法性的程度，即可以評價為此處的“其他方法”。

即使這樣認定，也不會使得本罪規制范圍無限擴大，其所明確列舉的竊取行為本身就具有反倫理規范和反道德性，其本身就是不正當手段，該種方式轉移公民個人信息本身即賦予了此種獲取行為負面價值。同時，以“其他方法”獲取，構成本罪尚且具有“非法”要求，唯其如此，才能體現出該種個人信息轉移所具有的負面價值。因而從其規范保護目的出發，刑法所關注的并非單純的公民個人信息權益轉移，其具體轉移方式也不是刑法關注的重點，刑法真正予以否定的是轉移手段的非法性所帶來的負面價值，即對于公民信息被濫用的風險升高。

綜上所述，無論是法條規范中的“竊取”還是《解釋》中所列舉的幾種獲取方式都不能成為對“其他方法”進行同質解釋的依據，對“其他方法”的判斷只能直接求之于其規范保護目的，在形式上滿足前置法規范違反性，同時擴大個人信息權益的享有和利用主體即可。在實質上，則需要對非法性進行考量以為“其他方法”的限定提供實質限縮。

（二）“非法性”的實質來源

非法獲取型侵犯公民個人信息行為的法益侵害性直接體現為該獲取手段的非法性所具有的負面價值，“以其他方法非法獲取”的準確認定，核心在于對行為“非法性”的實質判斷。

刑法之所以要處罰并未直接侵害“信息利用利益”的非法獲取的行為，即非法獲取公民個人信息引起刑法處罰的負面價值在于：一方面，非法獲取是非法使用以及非法提供和利用的預備行為，“對于非法獲取、非法提供其最終的依歸在于非法利用行為”?參見前注?，王肅之文，第155 頁。。非法獲取行為盡管沒有侵犯到個人信息所承載的公民人身財產權益，不可能使“信息利用利益”受損進而使信息主體產生損失，只是使信息的潛在利用主體有所擴大，進而產生并升高信息被非法利用的風險。通過非法手段實現的這一潛在利用主體范圍的擴大，由于其手段的非法性使信息主體對這一潛在利用主體范圍缺乏認識，升高了個人信息之上所附著的公民人身財產權益所面臨的危險?；谛畔⒘魍ê吞幚淼奶攸c，在完成信息獲取，進入信息流通之后，該實現過程幾乎不為信息主體所控制。但是，對通過非法手段獲取公民個人信息的行為進行刑法規制，其目的在于保護其背后的公民人身財產權益作為核心的個人法益。因而盡管獲取手段的非法性只能對背后的個人法益產生抽象危險，這種危險必須達到極有可能向具體危險實現的程度才能為行為的非法性提供實質可罰性根據。

另一方面，也正是由于獲取手段的非法性使本為預備階段的獲取行為使個人信息之上所附著的個人法益面臨的危險升高且變得不可控，從而引起公民對信息流通安全的信賴發生動搖，因而獲取行為“非法性”的負面價值直接體現為對以信息流通安全的信賴為核心的公共信息流通秩序的破壞。在雙層法益觀看來，保護集體法益只是手段，保護其背后的個人法益才是目的?參見藍學友：《規制抽象危險犯的新路徑：雙層法益與比例原則的融合》，載《法學研究》2019 年第6 期，第137 頁。，而就本罪而言，作為手段的集體法益之所以值得保護，也即在于以非法手段實現的個人信息獲取行為對個人信息之上的個人法益所存在或升高的潛在危險。進一步而言，如果行為沒有產生或升高對其背后法益的抽象危險，則必然可以否定其對直接法益的侵犯。

（三）“以其他方法非法獲取”的判斷規則

獲取手段的非法性為“其他方法”提供實質限制，而非法性的實質來源在于其行為對公民人身財產權益的抽象危險，這也就為其對“以其他方法非法獲取”實質限縮提供了基礎。就判斷成本而言，形式化判斷無疑是簡單經濟的，然而刑法的最后手段性要求并非所有非法獲取公民個人信息的行為都要納入刑法評價。換言之，盡管形式化判斷對于判斷成本而言是簡單經濟的，但是在刑罰成本與實現規范保護目的之間卻難成比例而最終增加社會成本，浪費司法資源。對于本罪“前置法＋保障法”的立法模式，利用前置法規范完成形式定性判斷，通過刑事法規范進行實質定量判斷則是經濟和可行的。

1.前置法定性：形式非法的判斷

《個人信息保護法》等有關個人信息保護的前置法規范構建起了個人信息保護和處理的相關原則和規則，作為個人信息保護領域的基本法?參見喻海松：《“刑法先行”路徑下侵犯公民個人信息罪犯罪圈的調適》，載《中國法律評論》2022 年第6 期，第123 頁。，其目的即在于“保護個人信息權益，規范個人信息處理活動，促進個人信息合理利用”。違反前置法規范的個人信息收集獲取行為本身即會對公共信息流通秩序造成破壞，而通過前置法違法性的判斷即可起到“定性”作用。因此，“非法”首先是指違反前置法規范，也可以稱為形式的非法性。由于“形式的違法性以行為在形式上違反刑法之行為規范”?陳子平：《刑法總論》，元照出版公司2017 年版，第235頁。，而刑法規定非法獲取公民個人信息作為犯罪的行為規制機能即在宣示不得以非法手段獲取公民個人信息。如前所述，“以其他方法非法獲取”在形式上只要能夠產生公民個人信息的非法轉移效果即可，所以根據前置法規范可以判斷非法獲取公民個人信息的行為方式。同時，違反前置法規范是進入刑法評價視野的前提，不具備該形式的非法性，也就不需要進行進一步判斷。

《個人信息保護法》第13、14 條確立了處理個人信息所要遵守的一般規則。符合前置法規范的公民個人信息獲取方式為取得信息主體有效同意或者具有法律依據。以是否取得信息主體同意為標準，可以將個人信息的獲取分為經過同意的獲取與未經同意的獲取。由于“知情—同意”規則要求信息收集主體要盡到充分的告知義務，而且這種告知義務不僅是形式要求，而且是實質要求?參見李懷勝、蘇鏝圯：《“告知—同意”規則的刑法定位與功能闡釋——以“侵犯公民個人信息罪”的出罪解釋為中心》，載《廣西政法管理干部學院學報》2023 年第1 期，第35 頁。，因而在經過同意的獲取中還應該考慮該同意是否有效。對于未經同意的獲取，則要考慮該信息是否為已公開的信息，從而判斷其獲取行為所帶來的信息利用風險是否為刑法所容許和為信息主體所接受。在通過前置法完成“定性”之后，還需要通過刑事法“定量”，即完成行為實質違法性的判斷。換言之，非法獲取型侵犯公民個人信息罪一定是由非法獲取公民個人信息的行為所構成，但是以非法手段獲取公民個人信息的行為并不必然需要通過刑法規制?！靶袨橹爸梅ú环ㄐ缘木邆洳⒎切袨橹淌逻`法性產生的充分條件”?田宏杰：《罪狀結構的開放性與罪狀類型化的反思》，載《法商研究》2023 年第2 期，第62頁。，前置法違法性的判斷只能幫助判斷獲取公民個人信息行為的非法類型。

2.刑事法定量：實質非法的考察

非法獲取公民個人信息行為構成犯罪，要求其非法性所帶來的負面價值為刑法所否定評價。而在“貫穿刑法、民法和行政法的公民個人信息法律體系基本搭建完畢后”?李懷勝：《侵犯公民個人信息罪的刑法調適思路——以〈公民個人信息保護法〉為背景》，載《中國政法大學學報》2022 年第1 期，第139 頁。，刑法不是保護公民個人信息權益的唯一手段，而是最后手段，因而只有當其非法性所具有的負面價值達到刑法所預設的不法程度，才能運用刑法評價。如前所述，刑法所評價的非法獲取公民個人信息行為的負面價值。一方面在于該非法行為對于公民個人信息之上承載的公民人身財產權益的抽象危險，另一方面在于其所導致的公共信息流通秩序的破壞。其中，保護后者是防止前者面臨進一步的危險，即前者是最終目的，也承擔著判斷后者受到的侵害是否需要動用刑罰的作用?！霸凇ㄐ裕俊胱锬Ｊ降谋尘跋?，即使抽象危險犯的危險也不能被指向管控的風險所取代”，對其的判斷正是與行政違法相區分的重點?參見于潤芝：《抽象危險犯的解構：從法益關聯和危險控制展開》，載《南大法學》2022 年第3期，第111頁。。

對于實質“非法”的考量，必須從獲取信息的目的以及其后續信息處理活動是否具有非法性進行可罰性程度的判斷，即在獲取公民個人信息的行為具有形式非法性之后，必須能夠說明該獲取行為的非法性對于個人信息上的人身財產權益產生的危險達到極有可能向具體危險實現的程度。例如，為了實施違法犯罪活動而獲取公民個人信息，數量規模達到情節嚴重的程度，其獲取行為對于個人信息之上的人身財產權益即產生了極有可能向具體危險轉化的達到可罰程度的抽象危險。又如，為推銷產品而獲取公民個人信息的，由于其獲取行為對于個人信息之上的人身財產權益所產生的抽象危險并未向具體危險實現，即使數量規模達到《解釋》的情節嚴重標準，也不應認定為犯罪。

綜上所述，對“以其他方法非法獲取”的判斷，在形式上要違反前置法規范，產生信息權益利用主體擴大的效果。實質上要考察該獲取行為是否威脅到公民個人信息之上所承載的個人法益，是否需要通過刑法手段加以規制，從而判斷該非法獲取公民個人信息的行為是否構成侵犯公民個人信息罪。

四、應用與檢視：幾種獲取公民個人信息行為的判斷

根據前述“以其他方法非法獲取”的判斷標準，可以對以下幾種獲取行為作出是否屬于《刑法》第253 條之一第3 款中“以其他方法非法獲取”的判斷。

（一）“間接獲取”公民個人信息的行為

經過信息主體的有效同意而收集個人信息的獲取公民個人信息的行為，該信息轉移完全不具有負面價值，即使其依然存在個人信息被濫用的風險，但該風險是法律所允許且信息主體所接受的，在獲取階段并不會受到法律的負面評價。問題在于，獲取他人手中的經過信息主體同意而收集的公民個人信息是否合法，該危險是否在信息主體接受范圍內。在柯某侵犯公民個人信息案中，?參見上海市金山區人民法院（2018）滬0116 刑初839號刑事判決書?？履惩ㄟ^房產中介獲取大量業主房源信息，盡管這些業主房源信息屬于房產中介經過業主同意而收集，其收集是合法收集，但是并不意味著其可以再次提供給他人，柯某的獲取行為顯然使信息權益發生轉移，信息利用主體范圍擴大，且并不為信息主體所知曉?？履忱@過業主而直接從房產中介處獲取業主信息并不等于取得信息主體的有效同意，因為其并未履行告知義務，也就無所謂獲得同意。業主將個人信息同意由房產中介收集，也不等于其同意房產中介再次將其提供給他人?！巴ㄟ^特定渠道、有限范圍提供個人信息的，需要結合雙方約定、交易習慣、行為目的等因素，判斷信息權利人允許的信息使用方式和公開的范圍、程度?！?周光權：《被害人受欺騙的承諾與法益處分目的錯誤——結合檢例第140 號等案例的研究》，載《中國刑事法雜志》2022 年第2 期，第35 頁。因而其行為違反了前置法規范，其獲取行為具有形式非法性。

同時，柯某繞過業主而獲取其個人信息的，超出了信息主體所接受的風險范圍，其通過非正常手段獲取公民個人信息，使該個人信息流轉過程具有極大的不確定性，同時其事后的出售行為也進一步證明了其獲取行為的實質非法性，不僅破壞了信息合法流通的公共信息流通秩序，而且使信息主體的人身財產權益面臨不可控的危險，具有實質非法性。從上述案例可知，通過間接方式獲取公民個人信息的，是否屬于非法獲取型侵犯公民個人信息行為，既要考察信息主體在提供信息時的目的以及同意公開的范圍，又要通過間接獲取主體獲取公民個人信息時是否告知信息主體信息的真實用途，以及通過其獲取目的和后續信息處理活動，判斷其間接獲取行為是否損害了信息主體的合理信賴并威脅了信息主體的個人權益。

（二）通過欺騙方式獲取公民個人信息的行為

對于雖然獲得信息主體形式的同意，但是并未獲得實質同意的個人信息獲取行為，依然屬于非法獲取。在“趙某某侵犯公民個人信息案”中?參見廣東省東莞市第二人民法院（2020）粵1972 刑初1603 號刑事判決書?；景盖闉椋罕桓嫒粟w某某通過“送禮品”等方法吸引他人提供身份證信息、肖像來辦理手機卡，再將這些身份信息在移動公司的終端上與手機卡綁定，只是最后不把卡給到客戶，但是將非法獲取的實名認證手機SIM 卡出售給他人。，被告人通過欺騙方式獲得“同意”而獲取公民個人信息的行為，由于該“同意”是通過欺騙方式獲得，即已經違反了作為取得同意前提的“充分告知”義務，因而該“同意”并不具有前置法的合法性，但是是否具備實質非法而成為刑法上的非法獲取，則需要進一步評價其欺騙行為是否使得信息主體對其信息的處分目的落空。如果信息收集行為盡管存在欺騙行為，但是其后續的信息處理活動并未超出信息主體的處分目的，則因為其獲取行為并未制造超出信息主體所接受的危險而沒有對信息流通安全造成威脅，因而不屬于刑法上的非法獲取行為。只有超出信息主體的處分目的而以欺騙方式獲取公民個人信息的行為，其形式上由于欺騙行為不具有前置法的合法性，實質上侵害了信息安全流通秩序，增加了信息被非法利用，信息主體權益受到侵害的現實危險，屬于刑法上的非法獲取行為。因此，在未充分如實告知信息主體其獲取該信息的意圖或者通過欺騙方式獲得信息主體同意而獲取公民個人信息的場合，應當在評價個人信息主體的法益處分目的是否發生重大錯誤之后，判斷基于該種錯誤認識而處分個人信息的行為，能否阻卻他人獲取和處理信息的違法性。

（三）對于公開個人信息的獲取行為

對于在已公開的個人信息中的獲取行為，需要區分信息公開的目的和范圍。個人信息處于公開狀態即意味著其具有可獲取性，意味著個人信息的可被知悉，即不特定第三人獲取信息的廣泛的可能性?參見寧園：《“個人信息已公開”作為合法處理事由的法理基礎和規則適用》，載《環球法律評論》2022 年第2 期，第74 頁。。對于任何人都可以知悉的已公開個人信息，獲取此類信息并沒有擴大信息利用的潛在主體范圍，因而單純的收集或提供行為都不具有非法性。如果其后來的非法利用行為實際上侵犯了公民人身財產權益，只能針對后續行為進行刑法評價，而不能以后續行為對公民人身財產權益產生重大威脅而將獲取行為直接評價為“以其他方法非法獲取”。在案例二中，行為人通過網絡下載公民人臉頭像的行為認定是否屬于“以其他方法非法獲取”時，應當進一步細化考察其下載途徑是否合法，其獲取行為是否屬于對該信息利用主體范圍的擴大，而非由于其獲取信息系實施違法犯罪活動而籠統地將其獲取行為全部認定為非法獲取。對于相對公開的個人信息，要考察信息主體公開該信息的目的和范圍，即可獲取的主體范圍。如果可獲取主體范圍內的人整理并提供給同樣范圍內的信息收集主體，兩者均不受刑法的否定評價，因為該信息移轉過程仍然符合信息主體的合理期待，但是超出該范圍的獲取行為則可能受到刑法的否定評價。

此外，對于僅僅具有獲取行為，尤其如案例一中僅僅通過微信群下載包含大量個人信息的文件，即使他人上傳行為非法，也不能直接將行為人的下載行為直接認定為本罪，必須通過考察其獲取信息的目的及其后續處理活動判斷其獲取行為對于信息主體的人身財產權益的威脅是否達到刑事可罰的程度。

結語

刑法對個人信息的保護，其所關注的不是信息本身，而是“在一個公正社會中信息對于人們有什么樣的重要意義”?[德]烏爾里?！R白：《全球風險社會與信息社會中的刑法——二十一世紀刑法模式的轉換》，周遵友、江溯等譯，中國法制出版社2012 年版，第283 頁。。獲取公民個人信息行為處于各種信息處理活動的前端，將一部分非法獲取公民個人信息的行為認定為侵犯公民個人信息罪體現了源頭治理和風險預防的治理理念。由于獲取公民個人信息的行為只是使個人信息發生移轉，使信息權益的利用主體范圍得到擴大，基于信息所具有的不同于傳統財物的非排他性、可復制性等特征，這種移轉本身不會直接對信息主體的權益和信息本身造成任何損害，因而如果不對非法獲取公民個人信息的行為進行實質定量判斷，則會導致侵犯公民個人信息罪的擴張適用。以非法手段獲取公民個人信息的行為直接侵害了公共信息流通秩序安全，但這種侵害以發生移轉的公民個人信息之上所承載的公民個人法益受到被非法利用的危險為前提。因而，個人信息之上所承載的公民人身財產權益，不僅是刑法規制非法獲取公民個人信息行為的目的，也是判斷其直接保護的信息流通安全是否受到侵害的重要資料。同時，個人信息保護領域的法律規范呈現出了“前置法＋保障法”的模式，因而借助“前置法定性，刑事法定量”的思路可以清晰地判斷某一非法獲取公民個人信息行為，是否為非法獲取型侵犯公民個人信息行為，而構成非法獲取型侵犯公民個人信息罪。