其中有一例“男子在外网下载上亿条公民个人信息”的案件，在认定“非法获取个人信息”的问题上，有一定的讨论空间。我们简单摘录案例公开的信息，作简要探讨。

01 案情简述

1.【翻墙下载个人信息1亿多条】被告人吴某是某安全科技有限公司员工，2024年2月，被告人吴某通过翻墙软件违规访问境外Telegram平台，并在该软件“ling某”群的“资源共享”内下载含有公民个人信息的文件，储存在其持有的移动硬盘中，同时将上述下载渠道提供给他人。经鉴定，被告人吴某非法获取的公民个人信息共计1亿余条。

2.【未使用数据，但可能被扩散】吴某虽然尚未将非法获取的信息投入使用，亦未谋取不法利益，但经全面调阅吴某的手机微信聊天记录，发现其曾将数据截图发送给他人。

3.【判1年6个月，缓刑1年6个月】经某区检察院提起公诉，法院以侵犯公民个人信息罪判处吴某有期徒刑一年六个月，缓刑一年六个月，并处罚金人民币二千元。

4.【检察院归纳争议焦点：通过境外网络平台下载公民个人信息的行为是否属于“非法获取”行为】检察院认为：

（1）侵犯公民个人信息罪中，对于“非法”的认定，可以将是否违反国家有关规定作为判断标准。根据《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条第二款，任何单位和个人不得自行建立或者使用其他信道进行国际联网。

（2）吴某作为网络安全从业者，没有法律授权的对个人信息的收集、储存或使用的权利，也没有获得相关当事人的许可，其违反国家规定违规访问国际互联网的行为属于“非法获取”。

（叠甲：由于无法检索到该检察院公开的法律文书，以下分析将基于澎湃新闻报道中转述的内容展开。分析内容不构成对具体案件对法律意见）

02 问题的提出

根据新闻报道，检察院在论述吴某的行为构成“侵犯公民个人信息罪”时，描述了吴某的两个行为：

（1）违规访问国际网络；

（2）在“没有法律授权……也没有获得相关当事人的许可”（下文简称为“未获得法律或个人授权”）的情况下，非法获取个人信息。

我们想讨论的问题是：

1.根据当前法律规定，“未获得法律或个人授权”的情形下收集个人信息，是否符合《刑法》规定的“侵犯公民个人信息罪”中的犯罪行为？亦即，吴某是否实施了“非法获取”公民个人信息的行为？

2.违规访问国际网络，与本罪的构成是否有必然联系？

下面，我们逐一进行分析。

03 问题的分析

1.吴某是否实施了“非法获取”公民个人信息的行为？

根据《刑法》第二百五十三条的规定，“侵犯公民个人信息罪”主要分为两种情形，其中第一款规定的行为，属于“非法提供”；第三款属于“非法获取”。

由于本案中的吴某，尚未实际出售所持有的个人信息，故不适用第一款的“非法提供”情形，仅需讨论是否属于第三款规定的“非法获取”的情形。

《刑法》第二百五十三条第三款规定：

“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。”

目前，仅有《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条规定，解释了“非法获取公民个人信息”的情形：

违反国家有关规定，通过购买、收受、交换等方式获取公民个人信息……属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

按照该司法解释的描述，“违反国家有关规定”，自然属于“非法”的情形，但这些有关规定，到底指向什么规定，仍然语焉不详；所提及的“购买、收受、交换”等方式，则解释了“获取”可能存在的几种形式。但仅凭几种形式的列举，仍不足以视为对“非法获取”进行定义。

除此之外，尚其他无法律直接定义“非法获取”。（《网络安全法》第四十四条与《刑法》第二百五十三条第三款在“非法获取”的描述上无本质区别。）

但是，虽然没有直接定义“非法获取”，我们却可以通过《个人信息保护法》第十三条列举的“合法处理”的七种情形，对法律明确允许的获取行为进行排除。

根据《个人信息保护法》第四条第二款规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等8种情形。这8种情形较为完整地归纳了个人信息处理的“全生命周期”。从语义上看，《刑法》第二百五十三条第三款规定的“获取”，与《个人信息保护法》第四条第二款规定的“收集”，并无本质区别，即便考虑前述司法解释提及的“购买、收受、交换”，也可以认为均属于“收集”的具体表现形式，仍难以超出“收集”的外延。

因此，我们可以认为：只要定义了什么是“合法处理”个人信息，就能够涵盖“合法获取”个人信息的情形。

《个人信息保护法》第十三条，采用了“正面清单+兜底条款”的方式，明确列举了“合法处理”个人信息的七种情形，具体规定如下：

第十三条符合下列情形之一的，个人信息处理者方可处理个人信息：

（一）取得个人的同意；

（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；

（三）为履行法定职责或者法定义务所必需；

（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；

（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；

（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；

（七）法律、行政法规规定的其他情形。

依照本法其他有关规定，处理个人信息应当取得个人同意，但是有前款第二项至第七项规定情形的，不需取得个人同意。

相反，如果某处理行为超出前述“正面清单+兜底条款”的范围，则意味着该行为超出了《个人信息保护法》规定的“合法处理”情形，属于“非法处理”行为，如果该处理行为是“获取”行为，那么应当认为该行为属于在《个人信息保护法》意义上的“非法获取”行为。

那么关键的问题是，《个人信息保护法》意义上的“非法获取”行为，能否等同于《刑法》第二百五十三条第三款规定的“其他方法非法获取”行为呢？

我们认为，恐怕不能直接等同。

试举一例：

某小区物业安装了人脸识别门禁，虽然没有强制将人脸识别作为出入小区的唯一验证方式，但也无差别地在未经业主单独同意的情况下，采集了全小区的人脸信息（超过5000条）。

在这种情况下，小区物业显然不符合《个人信息保护法》规定的合法处理（合法采集）人脸信息的情形，属于在《个人信息保护法》意义上的“非法获取”个人信息，且采集的数量已经达到《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条关于“情节严重”的规定。

在此情况下，只要认为《个人信息保护法》意义上的“非法获取”个人信息，可以等同于《刑法》第二百五十三条第三款规定的“其他方法非法获取”行为，就可以认为小区物业的行为构成“侵犯公民个人信息罪”。

但如果得出这样的结论，恐怕难有小区物业可以免遭追责。

因此，不宜通过推论的方式，将《个人信息保护法》意义上的“非法获取”行为，直接等同于《刑法》第二百五十三条第三款规定的“其他方法非法获取”行为。

参考罗翔《论人脸识别刑法规制的限度与适用——以侵犯公民个人信息罪指导案例为切》中的观点：

窃取、非法获取这两类行为方式应当和“出售或者提供”具有等价值性，必须具有扩散目的。如果没有扩散目的，单纯的窃取或者以其他方法非法获取人脸信息的，并不具有对他人人身、财产权利侵犯的现实性危险，那就不应该动用刑罚……

在我们的例子中，小区物业仅出于安保的目的“非法采集”个人信息，但不具有等同于“出售或者提供”的扩散目的，不具有危险性。

但与我们的例子不同的是，根据新闻报道中检察院的描述，吴某“未获得法律或个人授权”就获取了1亿多条个人信息，且不存在其他合法处理个人信息的法定事由；同时经“全面调阅吴某的手机微信聊天记录，发现其曾将数据截图发送给他人”，说明其可能存在向他人销售或提供数据、导致个人信息扩散，对他人人身、财产权利侵犯的现实性危险。

因此，吴某的行为，可以认定属于《刑法》第二百五十三条规定的“其他方法非法获取”个人信息的行为。

至此，我们可以认为：即便不讨论“违规访问国际网络”的行为，吴某的行为也足以构成《刑法》第二百五十三条规定的“侵犯公民个人信息罪”。

2.“翻墙”与“非法获取”之间的关系是什么？

《“国际出入口信道”、“接入网络”概念的规范解释——再论“翻墙”行政处罚系适用法律错误》（虽然对该文的意见略有补充，但想说的核心观点都在这里了。有机会的话线下再聊）。此处姑且按照新闻稿中的意见，否认“翻墙”的行为的合法性，并在此基础上进一步讨论。

那么就算“翻墙”违法，“翻墙”的行为与“非法获取”公民个人信息的认定，有何关联？

如果按照澎湃新闻的报道，检察院对于“侵犯公民个人信息罪”的论述如下：

根据《中华人民共和国计算机信息网络国际联网管理暂行规定》第六条第二款，任何单位和个人不得自行建立或者使用其他信道进行国际联网……其违反国家规定违规访问国际互联网的行为属于“非法获取”。

根据该描述我们可以知悉，检察院认为吴某“违反国家规定违规访问国际互联网”的行为，与前文提及的“未获得法律或个人授权”就获取个人信息的行为，共同构成了“侵犯公民个人信息罪”。

那么，按照检察院的描述，是否应当认为，必须同时具备这两个行为，才能认定本罪呢？

我们分三种情形讨论：

（1）“未获得法律或个人授权”+“违规访问国际互联网”，是否构罪？

（2）“获得法律或个人授权”+“违规访问国际互联网”，是否构罪？

（3）仅“违规访问国际互联网”，是否构罪？

情形（1）构罪。前文我们已经使用了大量篇幅，讨论了即便只有“未获得法律或个人授权”的情形，也构成犯罪；而检察院已经认为该二行为共同构罪。因此，在构罪的最终结论上，我们与检察院的意见并无分别。

情形（2）我们认为不构成犯罪。在实践中，有大量从事跨境电商的商家，通过“违规访问国际互联网”的方式，向境外公众销售国内合法生产的产品。这些商家在业务过程中，必然基于境外公众同意，非常合法地获取了境外自然人的个人信息，并将信息从境外传输到境内。因此，该行为一般不构成犯罪。

情形（3）不构成犯罪，但可能被处以行政处罚。尽管行政处罚部分有争议（如前述），但在该行为不构成犯罪的定性上，应该也是没有争议的。

那么综合以上三种情况，我们就会发现：是否构成犯罪，与“违规访问国际互联网”与否，并没有直接关联。在情形（1）中，“侵犯公民个人信息罪”和《个人信息保护法》等法律，并未评价“违规访问国际互联网”在处理个人信息时有何关联；在情形（2）中，自然也不可能仅因为“违规访问国际互联网”，就在商家合法获取个人信息的情况下，认为其构成“侵犯公民个人信息罪”；而单从情形（3）来看，“违规访问国际互联网”单独也不可能构成犯罪。

因此，我们认为，检察院在论证吴某构成“侵犯公民个人信息罪”时，完全没有提及吴某“违规访问国际互联网”的必要。即便提及该行为，也不应与吴某未获得“未获得法律或个人授权”的行为并列描述，以至于容易让人误认为吴某的犯罪是由“未获得法律或个人授权”+“违规访问国际互联网”两个行为共同构成的。

参考资料：

[1]澎湃新闻，通过外网非法获取公民个人信息1亿余条，一科技公司员工获刑，https://news.qq.com/rain/a/20241028A09CCF00