“人肉搜索”合法吗？人肉搜索有没有侵犯公民个人信息？

现在的技术实在让人头疼，曾经有一位网友只是在网上晒了几张鞋架的买家秀，就被强大的网友们扒出了包括姓名、职业、住址、联系方式等在内的个人信息。我们在感叹人肉搜索的威力的同时，也不得不对人肉搜索表示担忧：

类似的事情早已屡见不鲜。仅凭少量的线索，再加上超能的搜索能力，网友就能把当事人的各种信息“扒个底朝天”。然而在现行的法律中，似乎一直未能对这些涉及犯罪的行为提供特别权威和具体的解决方案。

5月9日，最高人民法院和最高人民检察院在北京发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）。

除了明确界定了公民个人信息的具体范围之外，还为“人肉搜索”、非法买卖、收受公民个人信息等违法行为的入罪、量刑标准进行了说明；而近年来造成公民个人信息泄露的主要源头——来自特殊行业机构的内部信息泄露，也有望得到进一步的遏制。

对公民个人信息的法律界定

从前，虽然立法机构和法律法规都曾强调要规范对个人信息的保护、加大打击侵权行为的力度，但是对于“公民个人信息”这个主体的界定却非常模糊。再加上近些年侵犯公民个人信息的案件日益增长，如何从法律层面去对其进行规范就显得特别迫在眉睫。

（图片来自：Bedroom Champion）

在本次的《解释》中，“公民个人信息”终于有了较为详细的司法解释。

刑法第二百五十三条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

从规定中可以看出，“公民个人信息”主要包括身份识别信息和活动情况信息两部分。将活动情况信息纳入个人信息的范畴，是立法在科技发展下的与时俱进。中国社科院法学所研究员周汉华表示，有些信息虽然不能直接识别个人身份，比如说个人的行踪轨迹，但在实践中却有可能通过进一步的挖掘对人身、财产安全造成损害。

他还指出，如果按照之前的《网络安全法》，公民个人信息仅指身份识别信息，范围太窄，不符合当前的国际和技术发展趋势。

人肉搜索终“被正名”，应属侵犯个人信息罪

人肉搜索，一直是一项充满争议的行动。当网络上的匿名人士们打着正义的旗号进行口诛笔伐的时候，被“肉搜”出来的人却经历着前所未有的舆论压力。

近些年，网络上发生了许多人肉搜索事件。比如说当年引起广泛讨论的陈自瑶事件，被称开创了人肉搜索的先河。

后来的魔兽“铜须门”事件，也让人们看到了人肉搜索的威力。

2006年4月，有网友发帖自曝妻子与玩游戏时结识的公会会长“铜须”发生婚外恋，并公布了“铜须”的QQ号码。随后，网友们纷纷加入“肉搜”行列，不断曝出“铜须”的姓名、籍贯、学校等真实信息，直接影响到了他的正常生活。后来“铜须”选择发表声明，希望网友能让此事平息。

类似于“铜须门”，此前大部分人肉搜索事件最后都不了了之。尽管受害者的人身甚至财产都不同程度地受到了损害，但是由于维权难度大、个人意愿等主客观因素，由人肉搜索引发的侵权行为很难被追责。

此前，人肉搜索类案件并没有专设的法律规范可供参考，多以侵犯他人隐私作为切入点，根据损害的程度以普通民事侵权和刑事诽谤入罪。前者根据被侵犯者的名誉和隐私损害程度进行赔偿和公开道歉；如果构成侮辱或者诽谤罪，则要承担刑事责任，最多可判处三年以下有期徒刑。

另外，《刑法修正案（七）》的颁布虽然增加了非法获取公民个人信息罪，但由于侵权主体一般比较复杂，证据和造成的危害也很难确认，所以在实际的诉讼中仍然很难操作。

在本次的司法解释发布会现场，最高人民法院研究院主任颜茂昆指出，人肉搜索应该被认定为“非法提供个人信息”的行为。

他认为，进行“人肉搜索”的行为人，往往在未经权利人同意的情况下，将后者的身份、照片、姓名、生活细节等个人信息公之于众，对其正常工作、生活造成了严重的损害。这就构成了《刑法修正案（九）》中规定的“违反国家有关规定，向他人提供公民个人信息”的行为，可以依法对其进行追责。

(图片来自：BreakingNewsLive）

根据《刑法修正案（九）》第十七条规定：

违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

而在对其的最新《解释》中，只要是未经被收集者同意就向他人提供公民个人信息的，无论是合法还是非法途径，都被认定为“提供公民个人信息”，需要受到处罚。

中国信息安全研究院副院长左晓栋还强调，人肉搜索虽然是基于已经在互联网上公开的个人信息，但由于已经改变了信息的受众范围和用途，因此也属于“非法提供公民个人信息”。

此外，涉嫌实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组等，如果构成侵犯公民个人信息罪，也应定罪受到处罚；情节特别严重的，以非法利用信息网络罪定罪处罚。

信息从内部泄露？“内鬼”们请注意

个人信息泄露总是防不胜防，尤其是为我们提供各项服务的行业机构，正成为信息泄露的主要来源。

根据公安部提供的数据，2016年，全国公安机关共侦办各类侵犯公民个人信息的案件1886起，抓获犯罪嫌疑人4261人，其中来自各行业的内部人员就有多达391人。

（图片来自：The Independent）

而银行、教育、工商、电信、物流、证券、电商等行业，因为掌握着大量的用户个人信息，也成为了个人信息泄露的重灾区。

在本次的《解释》中，在履行职责或者提供服务过程中，将合法获得的公民个人信息出售或者提供给他人的特殊主体，只要数量达到一般犯罪主体的一半，就构成刑法中“情节严重”的侵权行为。

最高人民法院研究室主任颜茂昆表示，与以往相比，《刑法修正案（九）》进一步扩大了侵犯个人信息犯罪的主体和范围，任何单位和个人都可以构成犯罪主体，而造成信息泄露的行业“内鬼”们，以后的犯罪成本将会进一步增加。

比如说，一般主体只要非法获取、出售或者提供公民个人行踪轨迹信息、通信内容、征信信息、财产信息50条以上，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身财产安全的信息500条以上，或者除以上两条规定以外的信息5000条以上的，就构成“情节严重”的侵权行为。而对于行业“内鬼”们，这些入罪标准都将减半。

（图片来自：Playbuzz）

并且，如果单位犯罪的，将依照法律规定的相应自然人犯罪的定罪量刑标准，对直接负责的主管人员和其他责任人员定罪处罚，单位也将被判处罚金。

除了卖信息的，那些购买信息的人也将遭受重罚。《解释》规定，为合法经营活动而非法购买、收受除规定以外的公民个人信息的，如果获利5万元以上的，将被认定为“情节严重”的侵权行为，可以依法入罪。

从某种程度上来说，以后“内鬼”们再想靠公民的个人信息牟利，可就得多考虑考虑了。

公民个人信息侵权有法可依了，但并非万事大吉

对于人肉搜索、个人信息泄露等侵犯公民个人信息的犯罪行为来说，《刑法修正案（九）》和《解释》的出台让追责和维权变得更加有法可依。

数据显示，自《刑法修正案（九）》施行以来，以2015年11月至2016年12月为统计区间，全国各级法院新收侵犯公民个人信息刑事案件495起，审结464起，生效判决人数697人。

（图片来自：National Cyber Skills Centre）

从前因犯罪行为认定、入罪标准、刑罚适用范围等不甚明晰而造成的案件具体操作问题，因《解释》的出台，似乎迎刃而解。但仍需注意的是，随着互联网技术的发展，这类犯罪行为往往更加隐蔽，数量更多，影响范围也更广，很难去具体进行量化、获取证据。

也正是因为如此，如果不是造成了特别重大的损失，很多被侵权者往往会选择放弃维权。

从根本上来说，当需要通过法律途径去进行追责和维权时，一般侵害行为已经发生了，所能做的也只是事后的补偿。因此除了寄希望于发挥法律对侵权行为的惩戒作用之外，公民自己也要时刻留意保护自己的个人信息安全。