侵犯公民个人信息罪的辩护词

1、辩护词之立功认定

关于涉嫌非法获取公民个人信息罪的辩护意见被告人×××的行为不构成非法获取公民个人信息罪，理由如下：

一、关于非法获取公民个人信息罪中公民个人信息的范围没有法律的明文规定。既然没有法律对此作出明文规定，根据“法无明文规定不为罪”的原则，被告人×××的行为就不构成非法获取公民个人信息罪。

本罪侵犯的客体是公民个人身份信息的安全。因此明确公民个人信息的范围，尤其是在《刑法》第二百五十三条之一第二款中的范围，是适用《刑法》第二百五十三条之一第二款的前提。然而，截至目前，不仅我国尚无哪部法律对公民个人信息的范围作出过明确规定，就连学术界也是众说风云，尚无定论。

另外，公民个人信息的范围极其广泛，利用民法、行政法及刑法手段保护公民的个人信息安全实属必要。但刑罚手段有其特殊的适用范围，并非一切非法获取公民个人信息的行为均应受到刑罚处罚。因此，在法律没有对《刑法》第二百五十三条之一第二款中的公民个人信息范围作出明确规定的情况下，被告人的行为不应由《刑法》来调整。

二、关于非法获取公民个人信息罪中情节严重的界定标准没有法律的明文规定。既然没有法律对此作出明文规定，根据“法无明文规定不为罪”的原则，被告人×××的行为就不构成非法获取公民个人信息罪。

由于“情节严重”是本条的客观成罪条件，是区分罪与非罪的重要标准，所以必须要有法律对此作出明确的界定。然而，截至目前，我国尚无哪部法律对《刑法》第二百五十三条之一第二款中的“情节严重”作出过具体界定标准。根据“罪刑法定原则”，被告人×××的行为就不构成非法获取公民个人信息罪。

三、被告人×××获取公民个人信息的方式不符合《刑法》第二百五十三条之一第二款规定的非法获取信息的方式。因此，被告人×××的行为不构成非法获取公民个人信息罪。

《刑法》第二百五十三条之一第二款规定，窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

该法律条文对非法获取的方式作出了例示性规定——窃取，也就是说，其他非法获取上述信息的方法应当与窃取具有大致相同的社会危害性，适用同一刑法评价标准。比如通过骗取、利诱、胁迫、抢夺、抢劫、恐吓、非法侵入他人计算机系统等法律明文禁止的且与窃取具有大致相同社会危害性的手段。但是从本案证据材料来看，被告人×××获取公民个人信息时并没有采用法律明文禁止的且与窃取具有大致相同社会危害性的手段，因此，其获取公民个人信息的方式不符合《刑法》第二百五十三条之一第二款规定的非法获取信息的方式。

综上所述，辩护人认为，被告人×××的行为不符合《刑法》第二百五十三条之一第二款规定的非法获取公民个人信息罪的客体要件和客观要件，其行为不构成非法获取公民个人信息罪。

三、关于被告人×××具有自首情节的辩护意见

据2012年05月27日17时00分至2012年05月28日01时00分在十堰市公安局茅箭区分局人民路派出所作的第一次《询问笔录》第2页、第3页和2013年5月14日第一次《法庭审理笔录》第10页等案卷材料显示：被告人×××于案发后自动到公安机关投案自首，并主动上缴个人非法所得。

根据《中华人民共和国刑法》第六十七条和《最高人民法院印发<关于处理自首和立功若干具体问题的意见>的通知》第八条之规定，具有自首或者立功情节的，一般应依法从轻、减轻处罚;犯罪情节较轻的，可以免除处罚。

本案一审判决书中虽然认定被告人×××具有自首和赃款全部退还情节<{{tjlytel}}>，但在量刑时只是“可从轻处罚”，而不是 “应依法从轻、减轻处罚”。况且本案中被告人×××犯罪情节较轻，故可以免除处罚。

因此，一审判决书中量刑过重，违反了《最高人民法院印发<关于处理自首和立功若干具体问题的意见>的通知》第八条之规定。

2、刑法认定的基础：个人信息的识别性

比较国内理论界和国外立法对个人信息的定义，可以看到，对个人信息概念定义的差别主要集中在识别性和隐私性两种分歧上。关联说对个人信息的定义较为宽泛，其将所有与个人相关的信息都囊括其中，“以任何形式存在并与个人存在关联的信息”涵盖了社会生活的各个方面，其概念仍然具有模糊性，不利于司法实践中对个人信息的准确认定；而且事实上任何信息都能与不特定的人沾上千丝万缕的关系，如果将所有与个人相关联的信息都纳入刑法保护范围，也容易造成犯罪打击面的扩大化。因此<{{tjlytel}}>，本文并不赞同关联说。

而在识别性与隐私性之中，本文倾向于将识别性作为认定个人信息的核心属性。理由在于：第一，相对于识别性而言，隐私性并没有一个符合社会一般标准的定义，是否属于个人私密领域，是需要通过权利人的主观感受来进行辨认和定夺的。同样类别的个人信息，有的人认为属于隐私，而另外的人却并不介意公开。以隐私性作为个人信息的核心属性并不能做到有效甄别和区分<{{tjlytel}}>。第二，个人隐私与个人信息并不完全等同，部分个人信息虽然可以公开，但仍然应当在法律的保护范围内<{{tjlytel}}>。法律对个人信息的保护不仅仅是对于个人隐私的保护，更重要的是对社会秩序的保护，保障社会个人免受因信息泄露而可能遭受的危害。第三，信息泄露的危害在于获取信息者能够通过信息锁定特定的个人，并通过信息反映的特定个人的具体情况，进行有针对性的侵害行为甚至犯罪行为。保护公民个人信息本质上就是为了保障根据个人信息所识别出来的每一个具体个人享有的免受侵害而正常生活的权利。因此，以识别性作为个人信息的核心属性，能够合理地涵盖刑法所应保护的范围，从而有效、精确地打击犯罪，保护公民合法权益。

3、刑法认定的路径：构建不同类型个人信息效力等级的计算框架

在确定公民个人信息的核心属性后，我们回到图表1所反映的问题：个人信息认定的杂乱无序和跨类繁多。根据统计情况来看，实践中认定的个人信息类型大概有身份信息、财产信息等6大类，姓名、电话、地址等22小类<{{tjlytel}}>。但同时，未明确认定个人信息类型的案件有52起，占到总数的36.6%。显然，这52起案件中的个人信息能否成为适格的犯罪对象，法官并不能作出有效判定<{{tjlytel}}>。那么，哪些信息单独或同时存在时能够达到可识别性的要求，从而成为适格的犯罪对象呢？本文认为可以从以下几个方面进行考虑。

划定个人信息识别效力等级

个人信息的基本功能在于识别特定的个人，而不同种类的信息在识别能力上是不同的，因此，虽然较多种类的信息都属于刑法保护的范围，但并非每一类信息都能独立成为本罪的犯罪对象。在司法实践中认定本罪的个人信息时，就需要先对信息的识别效力进行分类和划定，可以包括以下三类：第一，唯一性信息。如身份证号、指纹、DNA鉴定等，该类信息为个人唯一专有<{{tjlytel}}>，具有完整的识别能力，即使群体众多，也能从中毫无差错地识别出单独的个人。第二，有效性信息。如姓名、电话、消费记录等。该类信息一般情况下为个人专有，但并不具有唯一性，存在重复的可能。第三，共享性信息。如年龄、职业、学校等。该类信息并非个人专有，而是部分群体共同享有的信息，识别效力较低。在效力等级上，唯一性信息>有效性信息>共享性信息。

4、构建个人信息识别效力计算框架

在划定的个人信息识别效力等级中，属于第一层级的唯一性信息识别效力最高，如指纹、DNA等生物性信息属于先天个人专属信息，以目前医学角度来看，每个人的DNA结构都各不相同，能够直接锁定特定的个人。与此相类似，身份证号等标识性信息属于后天个人专属信息，是国家为了进行有效地识别和区分个人而设立的信息，其本身存在的功能即是个体识别，也具有最高识别效力<{{tjlytel}}>。因此，属于该第一层级的信息是以点对点的形式对应独立的个人，故其单独存在也达到了可识别性的标准。

属于第二层级的为有效性信息，该类信息识别效力较高，但因其存在重复的可能性而无法直接对应具体个人，例如姓名、电话等信息在一定范围内足以识别单独的个人，但当搜索范围扩大时其具有的识别效力将明显降低<{{tjlytel}}>，属于该第二层级的信息所对应的多人可以用线段的形式予以表达，而想要凭借线段识别独立的点，就需要至少两条以上的线段进行交叉。因此，属于该层级的信息独立存在不能达到可识别性的标准，只有包含有两条以上该层级信息的个人信息才符合标准。以目前司法实践认定情况来看，姓名和电话的组合是认定个人信息的最低要求，其即是包含了两条以上的有效性信息。

属于第三层级的为共享性信息，此类信息因由部分群体共享，所以每一信息所识别的都是对应的群体，例如职业、学校等信息所包含的个体繁多，很难识别单独的个人。属于该第三层级的信息所对应的群体可以用圆的形式予以表达，而无论多少圆的交叉，其所共同涵盖的区域只是不断缩小范围而无法成为独立的点。因此，属于第三层级的信息即使数量众多<{{tjlytel}}>，也无法达到可识别性的标准。

当三个层级的信息互有存在时，需要考虑的是后两个层级的信息组合如何达到可识别的标准的问题，即存在一条有效性信息和多条共享性信息时是否符合标准。同样以图形的形式予以模拟，当存在一条有效性信息和一条共享性信息时，此时线段和圆的交叉的结果可能存在一个点，也可能为两个点。例如当个人信息包含姓名和单位时，一般情形下足以准确地识别个人（此时即交叉结果为一个点<{{tjlytel}}>），但不排除同一单位同姓名的人存在（此时即交叉结果为两个点）。当存在一条有效性信息和两条共享性信息时，此时线段和圆的交叉的结果可能有唯一点（即线段通过两圆切面）。因此，当不同层级信息混杂时<{{tjlytel}}>，至少需要一条有效性信息和两条共享性信息才符合可识别性标准。当然，此处借助图形模拟分析是为了方便和直观，司法实践中对于不同层级信息混杂的，仍然需要在此基础上结合具体信息种类予以最后认定。

5、最终认定路径和体系

公民个人信息的具体认定路径包括：第一步，按照效力等级将个人信息予以分类；第二步，将不同等级的个人信息予以组合；第三步，将组合后个人信息按照计算标准予以认定；第四步，确定最终是否构成公民个人信息。
相关文章：