对于“来源”条件,笔者认为,不应对该罪中的“单位”作出过于封闭的解释,仅局限于国家机关、金融、电信、交通、医疗五类单位所获得的信息。首先,法律条文中的“等”表明立法者并未在形式上严格限定以上五类单位,已经给予司法者进行裁量的空间。其次,应当进一步从实质层面去理解公民个人信息的范畴。刑法的目的是保护法益,所以法益成为刑法解释的重要工具。[2]我国刑法将非法获取公民个人信息罪规定在侵犯公民人身权利、民主权利罪一章,保护的是普通民众自身信息的私密性。而现实中存在大量与普通民众生产生活和社会正常运转密切关联的重要领域或单位,如保险、房产、邮政、物流等行业的单位,甚至电视购物公司、汽车4S店等服务性行业的单位,这些单位在日常营业过程中也会掌握大量顾客的个人信息,此类顾客信息也正是当下较易受到不法分子侵害的公民个人信息类型。如果将“单位”的范畴限定在金融、电信、交通等刑法列举的行业领域,则不利于对普通民众个人信息的保护,亦不符合立法者打击目前一些行业中滥用公民个人信息、侵害公民人身权利现象的立法目的。另外,并非所有来源于上述单位的信息都能认定为公民个人信息,例如企业类信息虽然包含法定代表人姓名、联系方式等内容,但其并非针对公民个人隐私,因此也不宜纳入本罪的保护范畴。
对于“违法”条件,“违反国家规定”的概念过于模糊,在实践中通常无法判断,且规定也非面面俱到,在没有相关国家规定的情况下,是否就可免除信息获取者的刑事责任?这些亟须立法者的进一步明示。随着隐私意识的加强,公民在向服务者提供个人信息时,通常会有保密条款,笔者认为,只要信息内容足以泄露个人隐私,而为双方约定不得向第三方透露,此类保密条款保护下的信息亦应属于公民个人信息的范畴。
2.情节严重的标准设定。目前关于“情节严重”具体标准的设定问题主要有以下观点。有人认为,对于何为情节严重应该考量以下因素:“(一)个人或单位侵犯公民个人信息次数较多的;(二)个人或单位侵犯公民个人信息数量众多的;(三)是否造成了被害人人身或财产的严重损害;(四)侵犯公民个人信息违法所得数额较大的;(五)是否造成恶劣的社会影响”。[3]有的观点认为,“情节严重”应包括以下几种情形:“(1)多次实施侵犯公民个人信息的;(2)侵犯多人的公民个人信息的;(3)获利较多的;(4)因侵犯公民个人信息造成严重后果或者造成严重影响的;(5)其他情节严重的情形”。[4]也有观点认为,“情节严重主要是指非法获取公民个人信息数量较大、获利较多、手段恶劣、对信息所有人的名誉、财产等权利造成了严重损害,等等。”[5]综上,目前对“情节严重”具体标准的设计思路主要可以概括为以下五条路径:(1)非法获取公民个人信息行为的次数;(2)非法获取公民个人信息的数量;(3)通过相关行为获利受益的多少;(4)非法获取行为手段的恶劣程度;(5)非法获取公民个人信息造成的损害后果和社会影响。
