人大毕业生被指违法获取学生个人信息并建“颜值打分网站”一事引发关注，业内人士因此聚焦案件背后的法理逻辑。

7月3日，北京海淀警方通报称，针对“中国人民大学部分学生信息被非法获取”的情况，海淀警方接到报警后，立即开展调查。经查，嫌疑人马某某(男，25岁，该校毕业生)涉嫌非法获取该校部分学生个人信息等违法犯罪行为。目前，马某某已被海淀公安分局依法刑事拘留，案件正在进一步调查中。

(相关资料图)

围绕涉案个人信息保护问题，业内人士表达了不同观点：有的意见认为，侵犯公民个人信息行为侵犯了公民的人身权利，且容易引发次生犯罪，需要予以打击。也有意见表示，在个人信息保护问题上，立法应该重点规制滥用行为，建议制定信息滥用防治法。

值得一提的是，最高法院曾针对公民个人信息刑事保护发布指导性案例，明确未经公民本人同意，在一定范围内非法利用已公开的公民个人信息，情节严重的，构成侵犯公民个人信息罪。

侵犯公民人身权利易引发次生犯罪，需要予以打击

从刑法规制上，我国自2009年《刑法修正案(七)》增设刑法第二百五十三条之一，并经2015年《刑法修正案(九)》修订之后，侵犯公民个人信息罪成为对个人信息实行刑事保护的主要罪名。

具体而言，《刑法》第二百五十三条之一规定了侵犯公民个人信息罪。根据规定，违反国家有关规定，向他人出售或者提供公民个人信息情节严重的，构成侵犯公民个人信息罪，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

就此次事件，北京京都律师事务所律师臧德胜分析说，从通报的内容看，马某某系非法获取他人个人信息，根据《刑法》第二百五十三条之一第三款的规定，窃取或者以其他非法方法获取公民个人信息的，应依照侵犯公民个人信息罪处罚。

“侵犯公民个人信息罪是我国《刑法修正案(七)》增加的罪名，这种犯罪行为侵犯了公民的人身权利，且容易引发次生犯罪，需要予以打击。”臧德胜表示，判断马某某的行为是否构成犯罪以及罪行严重程度，需要考虑多个因素：一是获取公民个人信息的手段，是否为非法手段。二是获取的公民个人信息的条数，是否达到了定罪的标准。三是获取公民个人信息的目的和对个人信息的处置方式，是否向他人提供，将个人信息用于何种用途等。四是违法所得情况，即从犯罪行为中获利情况。

臧德胜为此提醒，公民个人应当树立保护个人信息的意识，一是加强自己个人信息的保护，不要随意提供自己的个人信息，防止个人信息泄露。二是不通过非法手段获取他人个人信息，对在履职过程中获取的公民个人信息要妥善保管，不向他人提供。

“对于嫌疑人马某某来说，其已经被刑事立案，所以，马某某无疑已经涉嫌犯罪。”北京航空航天大学法学院副教授吉冠浩观察指出，根据目前网络上的信息，嫌疑人马某某在读人大硕士研究生期间，利用专业技术盗取全校学生个人信息，包括照片、姓名、学号、籍贯、生日等，并搭建了给全校学生颜值打分的网站。若属实，嫌疑人马某某涉嫌触犯“侵犯公民个人信息罪”，其行为涉嫌本罪构成要件行为中的第三种类型，即窃取或者以其他方法非法获取公民个人信息，情节严重的行为。

吉冠浩认为，行为人违反国家有关规定，向他人出售或者提供公民个人信息，或者将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，以及窃取或者以其他方法非法获取公民个人信息的，情节严重的，均会涉嫌侵犯公民个人信息罪。

重点规制个人信息滥用行为，应制定信息滥用防治法

“从警方通报来看，涉事毕业生可能涉嫌犯罪了，但最终是否构罪，应该严格依法认定。”亚太网络法律研究中心主任刘德良提醒，对此问题应该从两个层面上分析：一是从立法上，一是从法理上。从现行立法上，涉事学生的行为涉嫌违法，甚至有可能构成犯罪。但这并不意味着现行的立法就是合理的。从法理上讲，行为构成犯罪的前提是具有严重社会危害性，如果某一行为本身没有社会危害性，就不能视为犯罪。

他认为，保护个人信息和保护物权在本质上应该都是一样的，即保护的是权利人存在于客体之上的利益，个人信息保护法的宗旨应该是保护个人信息之上的人格利益和商业价值不受侵害，而不是防止他人滥用信息干坏事。

“防止他人利用信息干坏事应该是信息滥用防治法的职能。”刘德良表示，我们现行立法及其理论试图用“保护法”之名实现“滥用防治法之功能”，不仅有悖于逻辑，而且也不切实际，“没有信息滥用，我们所担心的垃圾短信、骚扰电话、身份假冒等就不会成为问题。”

刘德良为此建议，在个人信息滥用问题上，立法应该重点规制银行、电信、保险公司等特定主体承担起相应的身份识别义务，对滥用行为所造成的后果应承担责任。如此，信息滥用行为才能够得到有效的遏制，“不能把信息披露和后续的滥用行为及其所造成的危害混为一谈。”

他认为，未来立法应该制定信息滥用防治法，对各种信息滥用行为进行规范，让银行、电信等有关机构因未尽义务而导致他人遭受侵害的，承担相应的法律责任。

最高法明确类案裁判规则：非法利用已公开的个人信息可构罪

关于个人信息的刑法保护，不仅体现在刑法立法规定之中，还涉及司法规则的具体建构。

比如，在《刑法修正案(九)》施行后，最高人民法院、最高人民检察院于2017年5月联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对侵犯公民个人信息罪的定罪量刑标准和有关法律适用问题作了系统规定。

这一《解释》将公民个人信息明确界定为“身份识别信息+活动情况信息”，全面激活了侵犯公民个人信息罪在刑事司法中的适用。

与此同时，《解释》还将侵犯公民个人信息罪中的个人信息分为三种，即敏感信息、重要信息与一般信息，并根据不同的类型设定了不同的定罪量刑标准。

具体而言，敏感信息包括行踪轨迹信息、通信内容、征信信息与财产信息，入罪的数量标准为50条以上，法定刑升格的标准为500条以上；重要信息包括住宿信息、通信记录、健康生理信息、交易信息等其他可能危及人身、财产安全的，入罪的数量标准为500条以上，法定刑升格的标准为5000条以上；一般信息为前述两类之外的公民个人信息，入罪的数量标准为5000条以上，法定刑升格的标准为50000条以上。

值得一提的是，为明确类案裁判规则，最高法院曾于去年底发布第35批指导性案例。这一批指导性案例均为公民个人信息保护刑事案件，涉及人脸识别信息、居民身份证信息等刑法保护的公民个人信息范畴。

其中，指导性案例193号明确了居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等多种个人信息，属于前述《解释》第五条第一款规定的“其他可能影响人身、财产安全的公民个人信息”。

指导性案例194号也对已公开个人信息的问题作出明确，肯定在一定范围内已公开的个人信息，仍可成为侵犯公民个人信息罪的行为对象。

根据裁判要点阐述，未经公民本人同意，或未具备具有法律授权等个人信息保护法规定的理由，通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用，改变了公民公开个人信息的范围、目的和用途，不属于法律规定的合理处理，属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”行为，情节严重的，构成侵犯公民个人信息罪。(澎湃新闻资深记者 林平)