刑法第253条之一第3款规定了本罪非法获取型的两种行为方式：一是窃取，二是以其他非法方法获取。虽然刑法将“窃取”和“非法获取”行为并列表述，但事实上窃取行为是非法获取行为的一种，只是因为窃取行为具有典型性，所以本罪将“窃取”行为做出独立规定。为了与本罪的刑法条文保持一致性，笔者先就“窃取”行为展开认定，再研究窃取行为之外的“以其他非法方法获取”。

（一）“窃取”行为的认定

从语义上来说，窃取即偷窃、偷取。在我国刑法中除了本罪使用了窃取一词，另外还有其他罪名中也使用了“窃取”一词。^[49]在对本罪的研究中，学者们通常会对“盗窃”和“窃取”行为进行比较研究，那么二者之间从本质上来说是否存在差异呢？我国通说认为，盗窃的对象是财物必须并且为有体物，而“窃取”的对象不只限于有形财物，根据我国刑法分则规定有关窃取的罪名来看，窃取的对象不仅可以是个人信息，还可以是国有档案以及国家情报。所以从上述内容来看，两者之间有区别的。但从实然的角度来说，笔者认为两者可以等同使用，因为刑法第219条规定的侵犯商业秘密罪中就明确使用了“盗窃”一词，此罪中的商业秘密属于企业信息，虽不是有体物但同样采用了盗窃一词，可见两者可以做相同意义的理解。目前，关于“窃取”认定的争议焦点主要集中体现在以下三个方面。

第一，“窃取”是否应以秘密方式进行。有学者认为，“窃取”需要以秘密为要件，即行为人需要以不被主体知悉的方式取得公民个人信息。^[50]反对学者认为，窃取不应以秘密为要件，即便是公开进行的也不影响其行为的成立。笔者认为，本罪中的“窃取”不需要以秘密方式进行。从个人信息的特征来说，个人信息不同于一般意义上的有体物，它不具有实体性和独占性，即使权利主体的信息受到侵犯也不宜察觉，当前利用高科技手段作案的例子不胜枚举，即使是在公开的环境下行为人也能轻而易举的以平和的手段获取。若仅将“窃取”行为限定为以秘密的方式，会放纵部分犯罪行为的发生。

第二，“窃取”是否以转移占有为前提。占有最明显的特征就是独占性和排他性。无论是刑法上的占有还是民法上的占有，都具有一个共同点，即排除他人支配的权利。只有形成转移占有，被害人才会受到损失，行为人才会获得利益。就公民个人信息来说，其不同一般意义上的物，个人信息不具有物理空间性并且具有共享性，公民个人信息可以同时被多人获得，所以行为人窃取公民的个人信息之后，信息主体并不丧失对信息的所有权，只是对信息控制权的丧失。立法者规制本罪的目的是为了保护信息主体的个人信息权，而非对个人信息的占有权，可见窃取并不以转移占有为成立要件。

第三，“窃取”的对象是否包括个人信息载体。笔者认为，“窃取”对象可以为个人信息也可以为个人信息载体。随着大数据信息时代的到来，很多个人信息往往都通过一定的载体保存，比如保存在电脑。司法实践中也有很多为了窃取个人信息而盗取电脑等信息载体的行为。对于盗窃中获得的较大价值的载体，若行为人只是基于盗窃目的，那么由于行为人缺乏侵犯个人信息的主观故意，不构成侵犯公民个人信息罪，仅构成盗窃罪；若行为人即有盗窃故意，又有侵犯公民个人信息的故意，则成立想象竞合，择一重罪处罚；若个人信息载体的价值数额没有达到盗窃金额的数额标准，仅构成侵犯公民个人信息罪一罪。

（二）“以其他非法方法获取”行为的认定

1.“非法”之认定分析

正确界定“非法”的含义是认定非法获取公民个人信息的前提。目前对于此处“非法”的理解存在诸多争议。第一种观点认为，非法指获取手段非法，主要是针对获取手段和方法的性质而言，认为“非法”和“窃取”应具有相同的性质，如骗取、抢夺、胁迫等^[51]；第二种观点主张，“非法指违反法律禁止性规定或者违背公序良俗”^[52]；第三种观点认为，“非法仅指违反法律的禁止性规定”^[53]。

就上述三种观点来看，笔者认为，第一种观点从理论层面来说具有一定的合理性，但是就实践层面来说，该观点不能满足大数据背景下规制侵犯公民个人信息犯罪的需要。从“同类解释规则”的角度出发，“以其他方法”应和“窃取”行为程度相当，甚至比窃取行为更为严重。但结合实践中的案例来看，购买信息、交换信息等行为案发率已经远远超过了窃取行为，若将“购买”“交换”等行为排除在外，实践中大量的购买行为都无法得到刑法的规制，最新《解释》也明确将“购买”“交换”等行为纳入本罪的规制范围，所以第一种观点不具有可采性。第二种观点将违反公序良俗认定非法获取中的“非法”，从司法实践层面来看也不具有操作性。公序良俗原则是民法中的概念，我国刑法中并没有公序良俗的相关规定，即使认定行为人的行为违背了公序良俗，也应该是从道德上加以谴责而不能动用刑法加以规制。所以以违背公序良俗来认定“非法”不具有可取性。如上文所述，对出售和提供行为方式的认定需以“违反国家有关规定”为前提，对于“非法”二字的理解，可运用体系解释的原理，通过分析刑法第253条之一第二款和第三款之间的关系来对“非法”进行界定。刑法第253条之一对将本罪的行为方式规定为“出售或者提供”和“窃取或非法获取”，就上述两类行为方式而言，刑法规定了完全相同的法定刑，说明这两种行为类型的社会危害性具有相当性，所以两者的入罪前提也应保持一致，综上应对非法获取中的“非法”与“违反国家有关规定”作相同的理解。

2.“其他方法”之认定分析

但是刑法修正案（七）和刑法修正案（九）在规定时均未对“以其他方法”进行明确规定，造成了司法适用中对这一类型行为方式认定不明。根据《解释》第4条，本罪中的“其他方法”主要包括：购买、收受、交换及收集行为。下面笔者围绕实践中常见的非法获取方式，结合《解释》的最新规定展开讨论。

（1）购买行为。对于“购买”行为能否入罪，一直是理论界争议的焦点。有学者认为，“以其他非法方法”应和“窃取”行为在违法层面上具有相当性，相比之下，将“购买”行为纳入本罪难以与“窃取”行为匹配。^[54]在最新司法解释中明确将“购买”行为纳入“以其他非法方法”。《解释》将购买行为纳入“以其他非法方法”具有其合理性。理由主要有三点：第一，虽然购买行为本身不具有非法性，但从笔者搜集的案例中不难发现，大多数行为人实施购买行为的目的都可以归结为经济利益的驱使，有的是为了出售牟利、有的是为了实施诈骗、有的是为了业务推销。倘若不对购买行为加以规制，无法遏制侵犯公民个人信息行为的发生。第二，在司法实务中，窃取个人信息的行为发生较少，而购买行为占非法获取行为的一半以上，在笔者检索的浙江省的53个案例中（85条数据），在单一行为方式中共29人采用了非法获取方式。其中以“窃取”方式获取的有1人，以“购买”方式获取的有22人，以“交换”方式获取的有4人，以“网络下载”方式获取的有2人。具体的行为方式如表1-3所示。

表1-3　非法获取的方式

（数据来源：北大法宝网）

由上表可知，司法实践中，以“购买”“交换”等手段获取公民个人信息的不在少数，理论服务与实践，无法将购买行为排除在外。第三，根据体系解释，我国刑法第111条，为境外窃取、刺探、收买、非法提供国家秘密罪中，就明确了将窃取和收买行为并列，可见将购买行为纳入上述范围符合体系解释的要求。

（2）收受行为。根据字面意思理解，“收受”具体包括两层含义，一是指收到，即行为人收到他人提供的公民个人信息；二是指接受，即行为人对他人提供的公民个人信息进行的一系列储存等后续接收行为，即主观上有接收信息的意思表示，客观上对他人提供的信息实施了接收的行为。收受和购买行为区别的关键在于“是否承担对待给付义务”，收受行为不需要以负担给付义务为前提，通常表现为“受赠”，而购买行为给是以负担给付义务为前提。因此，违反法律的禁止性规定，收受他人赠予的个人信息属于“其他方法”。

（3）为合法经营而非法购买、收受行为。

《解释》第6条专门规定了“为合法经营活动而非法购买、收受公民个人信息”应当认定为情节严重的三种情形：①获利5万元以上的；②曾因实施本罪受过刑事处罚或者二年内又受过行政处罚的；③其他情节严重的情形。虽然《解释》从以上三个方面认定了构成情节严重的具体情形，但该条款在司法认定仍需要进一步厘清，具体而言需要从以下两个方面来把握。

第一，严格认定信息类型。正确认定信息的类型是适用本条的前提，《解释》第6条明确规定购买、收受的是敏感信息以外的信息。倘若行为人非法购买、收受的是特别敏感信息或者是相对敏感信息，则不能适用《解释》第6条之规定。严格来说，只要信息中涉及敏感信息，即排除本条的适用。

第二，准确把握“合法经营”的内涵。“合法经营”是对行为人主观目的的要求，对其内涵的界定应从实质层面加以理解，这里的“合法经营”强调企业的经营必须符合法律或者行政法的规定。例如，经营证券、保险业务的，应经过国家有关部门的批准；经营专营、专卖物品的，应当经过行政许可。在现实生活中，很多企业在经营过程中会存在一些偷税、夸大宣传等违法性行为，此时要区别上述这些行为与合法经营活动的关系。另外，虽然非法购买、收受个人信息行为本身具有违法性，但不能因上述行为的违法性来否定合法经营的性质，对行为人是否用于经营活动应从整体上加以把握。

（4）交换行为。通常说的交换是指人与人之间交换劳动产品的过程，即以物换物。此处的交换是指不同信息主体之间进行信息交换的过程，即以信息换信息。在实践中，不乏很多交换公民个人信息的行为。如杨某为了开拓公司业务，与从事汽车贷款业务的蔡某联系，通过邮箱与蔡某交换各自拥有的公民的个人信息，形成信息“共享”，以达到“合作共赢”的局面。笔者认为，《解释》中的交换具备两个特点：第一，交换的主体要求为特定人。以个人信息作为媒介而产生的相互交换，是基于双方主体都认为对方的信息价值高于自身所拥有的个人信息价值的心理，此时，双方为将自己持有的个人信息价值最大化而实施交换、转移行为。在实现交换的过程中，会在“一对一”的特定主体之间进行，这一点与提供行为不同，提供的行为的对象既可以是特定人也可以是不特定人。第二，交换内容是个人信息。这一点是与出售行为相区别，出售行为表现为一方主体用金钱、财物或者财产性利益换取另一方主体拥有的个人信息，而此处的交换是个人信息和个人信息之间的交换，两者之间是存在差异的。

从2009年刑法修正案（七）增设侵犯公民个人信息罪，到2017年“两高”《解释》的出台，可以看出国家对公民个人信息保护的重视程度。在《解释》颁布之前，关于本罪的很多问题争议不断，2017年《解释》的出台对这些争议问题做出了较为全面细致的规定，具有重要理论意义和现实意义。但基于《解释》本身规定之局限性及本罪犯罪行为、手段的多变性，本罪在具体的法律适用过程中还尚存争议。本书在《解释》的基础之上，围绕侵犯公民个人信息罪客观方面的疑难问题展开研究。首先分析了本罪客观方面认定存在的困境，阐述了我国刑法对个人信息保护的立法现状，并结合司法实践中的案例得出本罪客观方面认定面临的三大困境。接着，通过案例分析并结合理论界对本罪争议问题的探讨，给出自己对侵犯公民个人信息罪客观方面的认定标准，包括犯罪对象的认定、行政违法性的认定、行为方式的认定，以期给本罪的司法适用带来一些借鉴作用。侵犯公民个人信息罪客观方面的认定是一个复杂的过程，受笔者学术水平的限制，若有不足和疏漏之处，还望各位读者批评指正，笔者会在今后的学习和工作中，提高自己的水平，完善自己的知识体系，密切关注本罪的司法适用动态，对本罪客观方面的疑难问题做出进一步的思考和研究。

【注释】

[1]买机票遇“取消”被骗10万　法院判携程赔五万并写道歉信［N/OL］。中国消费者报，（2018-12-29）［2019-1-10］.https：//finance.sina.com.cn/chanjing/gsnews/2018-12-29/doc-ihqhqcis148　5626.shtml.

[2]希尔顿就泄露花总信息致歉［EB/OL］.（2018-11-17）［2018-11-20］.http：//think.szonline.net/rjgc/20181117/20181128066.html.

[3]喻海松.侵犯公民个人信息罪的司法适用态势与争议焦点探析［J］.法律适用，2018（7）：10-15.

[4]刘宪权，方晋晔.个人信息权刑法保护的立法及完善［J］.华东政法大学学报，2009（3）：120-130.

[5]赵秉志.公民个人信息刑法保护问题研究［J］.华东政法大学学报，2014（1）：117-127.

[6]赵军.侵犯公民个人信息犯罪法益研究：兼析《刑法修正案（七）》的相关争议问题［J］.江西财经大学学报，2011（2）：108-113.

[7]敬力嘉.大数据环境下侵犯公民个人信息罪法益的应然转向［J］.法学评论，2018，36（2）：116-127.

[8]曲新久.论侵犯公民个人信息犯罪的超个人法益属性［J］.人民检察，2015（11）：5-9.

[9]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界［J］.政治与法律，2018（4）：15-25.

[10]喻海松.侵犯公民个人信息罪司法适用探微［J］.中国应用法学，2017（4）：173-183.

[11]叶良芳.法秩序统一性视域下“违反国家有关规定”的应然解释：《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第2条评析［J］.浙江社会科学，2017（10）：15-23+155.

[12]胡江.侵犯公民个人信息罪中“违反国家有关规定”的限缩解释：兼对侵犯个人信息刑事案件法律适用司法解释第2条之质疑［J］.政治与法律，2017（11）：34-42.

[13]王昭武，肖凯.侵犯公民个人信息犯罪认定中的若干问题［J］.法学，2009（12）：146-155.

[14]黄晓丹，郑丽莉.购买公民个人信息中“购买”行为入罪空间探究［J］.中国检察官，2018（24）：24-27.

[15]皮勇，王肃之.大数据环境下侵犯个人信息犯罪的法益和危害行为问题［J］.海南大学学报（人文社会科学版），2017，35（5）：114-124.(www.daowen.com)

[16]Dodd.J.Desiree.Data Security Law-State Statutory Requirements for Protecting Personal Date［J］.American Joumal of Trial Adcocacy.Vol.38，2015，p.623.

[17]Charlotte A.Tschider.Experimenting with Privacy：Driving Efficiency Through a State-Informed Federal Data Breach Notifi cation and Data Protection Law［J］.Tulane Journal of Technology & Intellectual Property，Vo.18，2015，p.45.

[18]梁成意，徐杰.侵犯公民个人信息罪实务问题论究［J］.河北公安警察职业学院学报，2018（3）：50.

[19]张明楷.刑法原理［M］.北京：商务印书馆，2011：73-74.

[20]张明楷.法益保护与比例原则［J］.中国社会科学，2017（7）.

[21]江苏省泗洪县人民法院（2018）苏1324刑初3号，刑事判决书。

[22]江苏省海门市人民法院（2017）苏0684刑初383号，刑事判决书。

[23]Jessica Litman.Cyberspace and Privacy New legal Pardigm Information Properyty，52 Stan.l.Rev.note21.

[24]汤擎.试论个人数据与相关的法律关系［J］.华东政法学院学报，2000（5）：40-44+69.

[25]刘德良.论个人信息的财产权保护［J］.法学研究，2007（3）：80-91.

[26]蔡军.侵犯公民个人信息立法的理性分析：兼论对该罪立法的反思与展望［J］.现代法学，2010（4）：108.

[27]赵秉志.公民个人信息刑法保护问题研究［J］.华东政法大学学报，2014（1）：117-127.

[28]赵秉志.刑法修正案最新理解适用［M］.北京：中国法制出版社，2009：154.

[29]江苏省海门市人民法院（2017）苏0684刑初383号，刑事判决书.

[30]徐凤亮，马彦.公民个人信息保护的研究［J］.信息安全与技术，2015（2）：5.

[31]Schwartz，Paul M，Daniel J.Solove.The PII problem：Privacy and a new concept of personally identifi able information.NYUL rev.86（2011）：1814.

[32]See Schwartz，paul M，Daniel J.Solove.Reconciling Information in the United States and European Union.Cal.L.ReV.102（2014）：877.

[33]吴允锋，纪康.侵犯公民个人信息罪的司法适用：以《网络安全法》为视角［J］.河南警察学院学报.2017，26（2）：91-97.

[34]赵军.侵犯公民个人信息犯罪法益研究：兼析《刑法修正案（七）》的相关争议问题［J］.江西财经大学学报，2011（2）：108-113.

[35]喻海松.侵犯公民个人信息罪的司法适用态势与争议焦点探析［J］.法律适用，2018（7）：10-15.

[36]南京市鼓楼区人民法院（2017）苏0160刑初653号，刑事判决书。

[37]重庆市第五中级人民法院（2017）渝05刑终1090号，刑事判决书。

[38]南京市鼓楼区人民法院（2017）苏0160刑初653号，刑事判决书。

[39]喻海松.侵犯公民个人信息罪的司法适用态势与争议焦点探析［J］.法律适用，2018（7）：10-15.

[40]付强.非法获取公民个人信息罪的认定［J］.国家检察官学院学报，2014，22（2）：114-121.

[41]南京市鼓楼区人民法院（2018）苏0106刑初43号，刑事判决书。

[42]张明楷.刑法分则的解释原理（下）［M］.北京：中国人民大学出版社，2011：542-561.

[43]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界［J］.政治与法律，2018（4）：15-25.

[44]赵军.侵犯公民个人信息犯罪法益研究：兼析《刑法修正案（七）》的相关争议问题［J］.江西财经大学学报，2011（2）：108-113.

[45]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界［J］.政治与法律，2018（4）：15-25.

[46]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界［J］.政治与法律，2018（4）：15-25.

[47]喻海松.侵犯公民个人信息罪司法适用探微［J］.中国应用法学，2017（4）：173-183.

[48]赵秉志.刑法修正案（七）专题研究［M］.北京：北京师范大学出版社，2011：153.

[49]刑法第11条之规定“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”；第177条第2款之规定“窃取、收买、非法提供信用卡信息罪”；第329条之规定“抢夺、窃取国有档案罪”。

[50]韩玉胜，赵桂民.侵犯公民个人信息犯罪客观方面辨析［J］.人民检察，2013（19）：5-10.

[51]叶良芳.法秩序统一性视野下“违反国家有关规定”的应然解释——《关于办理侵犯个人信息刑事案件适用法律若干问题的解释》第2条评析［J］.浙江社会科学，2017（10）：15-23+155.

[52]凌鸿.非法获取公民个人信息罪的认定［N］.人民法院报，2010-06-17（7）.

[53]汤擎.试论个人数据与相关的法律关系［J］.华东政法学院学报，2000（5）：40-44+69.

[54]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界［J］.政治与法律，2018（4）：15-25.