武旭强

（四川警察学院 四川泸州 646000）

一、问题的缘起

随着“互联网+”日渐融入生活，大数据、人工智能等技术的迅速发展，越来越多的人既获得技术进步的红利，也面临着前所未有的个人信息泄露风险。在此背景下，为保护公民个人信息的正当合法权益，我国的刑事立法机关相继通过刑法修正案的方式给予了积极回应。2009年《刑法修正案(七)》增设了第253条之一，即“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。在此基础上，2015年《刑法修正案（九）》对该罪的主体和前置法范围以及量刑情节做了进一步的修订，旨在从刑法规范角度对公民个人信息加以保护。而与此同时，学界对“侵犯公民个人信息罪”所保护的法益属性之争却愈来愈不可调和，主要有“个人法益说”与“超个人法益说”之分歧。为此，笔者拟从梳理刑法关于保护“公民个人信息”的历史沿革切入，对大数据时代下公民个人信息的实质内涵与法益结构属性展开探讨，进而明晰公民个人信息的法益结构属性，并在此基础上从刑法保护体系内部与外部两方面来阐述公民个人信息法益属性分歧的调和路径，以期确保公民个人信息得到应有的刑法保护。

二、刑法保护公民个人信息的历史考察

法律规范是一个发展的过程，在这种发展过程中，具有连续性与变动性的双重变奏。故而从历史沿革的角度考察刑法关于“公民个人信息”的保护可以更全面理解法律的内在逻辑，有助于我们正确界定“公民个人信息”的内涵与法益结构。

（一）关于“公民个人信息”一词界定的历史考察

我国刑法意义上有关“公民个人信息”的雏形最早见诸于2005年《刑法修正案（五）》中第177条之一第2款关于窃取、收买、非法提供信用卡信息罪的罪状表述中。而在随后的立法跟司法解释中先后有“个人信息”“身份信息”“身份认证信息”等表述，直至2009年《刑法修正案（七）》增设了出售、非法提供公民个人信息和非法获取公民个人信息罪，“公民个人信息”一词才正式被引用在刑法规范条文中。

然而，有关公民个人信息的内涵与外延却一直处于模糊不清的地带。从梳理有关“公民个人信息”的法律规范文献来看，我国第一个有关公民个人信息保护的法律规范文件是2013年颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》），该《指南》将个人信息定义为：可以被信息系统所处理、与特定自然人相关、能够单独或通过其他信息结合识别该特定自然人的计算机数据。随后2013年《最高人民法院、最高人民检察院、公安部关于惩处侵害公民个人信息犯罪活动的通知》（以下简称《通知》）将公民个人信息定义拓展为公民个人的隐私以及能够识别公民个人身份的信息。可见，“公民个人信息”的概念首次被法律文件赋予了两个特征，即“可识别性”和“隐私性”。2016年《中华人民共和国网络安全法》（以下简称《网络安全法》）没有将个人隐私纳入个人信息的定义范围内，只保留了“可识别性”。2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《2017两高解释》）在保留“可识别性”的基础之上又将“公民个人信息”背后的财产利益、人身利益与公共利益纳入了刑法所保护范畴。在法条中设置了信息数量、涉案金额、人身伤害程度以及社会影响程度的入罪门槛。所以，纵观近些年关于公民个人信息的密集立法，公民个人信息一词的内涵和外延旨在“可识别性”与“隐私性”两大方面，且更倾向于“可识别性”。

笔者认为，随着信息技术的更新换代和大数据应用的发展，可识别性与不可识别性、隐私与非隐私的界限正在变得模糊不清，如若继续沿用“可识别性”与“隐私性”两特征来界定公民个人信息的内涵，会在一定程度上限缩其外延，难以实现对公民个人信息犯罪蔓延态势的遏制。故而，对公民个人信息内涵的界定应着重从安全、秩序的价值角度出发，以“可识别性”与“隐私性”为基础，兼顾考察公民个人信息背后的“人格属性”与“财产属性”，而非单纯侧重“人格属性”忽略其“财产属性，才更符合大数据环境下公民个人信息内涵的多元化发展趋势。

（二）刑法关于“公民个人信息”保护的历史沿革

“公民个人信息”在大数据时代到来之前并未得到刑法规制层面的高度重视，而是以“附属化”的被动保护模式，依附于国家、社会等超个人法益之下进行相应的规制。从2005年《刑法修正案（五）》中第177条之一第2款关于窃取、收买、非法提供信用卡信息罪的罪状表述来看，公民个人信息第一次在刑法规制领域内的出现，是依附于金融管理秩序的法益之中。随后，2009年《刑法修正案（七）》增设了出售、非法提供公民个人信息和非法获取公民个人信息罪，看似明确了对“公民个人信息”的刑法保护，却由于前置法律的缺失而陷于“刑先民后”的尴尬局面，不得不附随于公共管理秩序的法益之下。直至2015年《刑法修正案（九）》的颁布施行，才进一步明确了对“公民个人信息”的独立化保护，但由于其内涵与外延的界定尚未明朗，学界对“公民个人信息”的法律属性地位仍存争议。而就目前大数据应用的快速发展趋势来看，在刑法层面继续沿用“附属化”的被动保护模式，已不能很好地适应复杂变化的时代需求[1]。笔者认为，在大数据应用越来越普遍的信息化时代，无论是理论界还是实务界都应将“公民个人信息”的独立法律地位给予明确化，积极赋予其独立的法益属性。

三、侵犯公民个人信息罪的法益学说之争与结构属性

国内学界对于公民个人信息的法益属性一直众说纷纭，其主要有“个人法益说”和“超个人法益说”两种不同主张。两种学说基于不同的定位与价值考量，来界定公民个人信息的权益属性边界，故而有必要对其展开讨论，进而明晰分歧的症结所在。

（一）侵犯公民个人信息罪的法益学说之争

持“个人法益说”的学者认为，公民个人信息具有鲜明的个人属性，其法益属性理应限缩在个人法益层面，这是公民个人信息犯罪的立法以及司法解释的演进趋势，也是刑法谦抑性理念的必然要求。而该学说内部又细分为公民个人的隐私权说、人格权说、个人信息自决权说、公民个人信息权说。其中，公民个人隐私权说的学者认为，公民个人信息是指能够识别公民个人身份的信息和数据资料以及公民个人的隐私[2]。而公民个人信息所涵盖的隐私权，既包括公民个人的隐私权不受侵犯的权利，也包括公民对自己个人信息的控制权[3]。而主张人格权说的学者认为，侵犯公民个人信息罪所保护的法益是人格尊严与人格自由，个人隐私只是人格尊严的组成部分，不值得单独列出[4]。还有一些学者主张个人信息自决权说，认为公民个人有权自行决定是否将个人资料交付或提供给他人利用[5]。此外，主张公民个人信息权说的学者认为，个人信息指能够识别公民个人身份的信息[6]。纵观持“个人法益说”学者们的观点，尽管其都对“公民个人信息”的人身属性作了精准的阐述与解释，但并没有突破其理论的局限。

在当今信息化的浪潮中，万物被信息化，人的活动也打上了信息化的烙印。当下社会，个人信息正逐渐突破传统的人身属性边界，不断兼具经济、社会等多重属性。在侵犯公民个人信息罪中，所侵犯的信息边界早已超出“个人”的范畴。据统计，在绝大多数的非法获取公民个人信息案件中，涉案的信息体量都十分庞大，经常数以百万计，有的高达数亿条[7]。在此种背景下，如若仍坚持侵犯公民个人信息罪中的法益属性为个人法益确有不妥之处。也正是基于此，部分学者提出了“超个人法益说”，主张在大数据时代，信息的流通和利用是必要的，应将个人数据信息作为公共产品加以治理，着力维护社会公共利益、国家和公共安全的刑法目的，逐渐向“超个人法益”方向扩展[8]。毋庸置疑，这种观点有着极大的说服力，但是侧重强调公民个人信息的超个人属性而忽视其个人属性，无疑是从一个极端走向另一个极端，未免有失偏颇。

随着大数据信息技术的应用与推广，网络空间与现实空间正逐步走向交叉融合，公民个人信息的私人属性在逐渐减弱，而其社会属性与公共属性正逐步增强。故而，公民个人信息的权益属性已兼具“个人法益”与“超个人法益”的双重属性。

情况 8.5 若f3(v)=4,此时最坏的情况是v点关联6个6-面,4个(3,3,10)-面(两两不相邻),v的非三角邻点均为3-点,且它们各自还关联着一个3-面。由R1,R2.1,R3.1 或R3.2或R3.4及最坏3-面9+-点情形可得

（二）侵犯公民个人信息罪的法益结构属性

刑法法益是以国家强制力保护个人或集体享有的、在自然意义上能够伤害的实体利益，是实体权益与规范价值的复合体。所以，刑法意义上的权利或者利益本身并不是刑法法益的全部，只是刑法法益承载的内容，刑法法益的整体应当是“法益承载的内容”+“法益的刑法评价”（或者称之为“法益的刑事规范价值”）[9]。而侵犯公民个人信息罪的法益属性同样需要从其承载的权益内容与刑事规范价值两方面进行解构。

1.侵犯公民个人信息罪承载的权益内容。侵犯公民个人信息罪在我国刑法分则体系中设置在“侵犯公民人身权利、民主权利罪”一章当中，从条文的规定来看，其权益的载体为公民个人信息。而在《2017两高解释》中将公民个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。可以看出，两高解释对公民个人信息内涵与外延的界定是基于“可识别性”展开的，并在此基础上涵摄了“安全信息”①与“隐私信息”②两个更高层级的信息范畴。如果本罪保护的权益内容仅为公民个人的信息自由和安全的话，那么其范围拓展到“可识别性”的维度则明显超出了刑法保护的半径，不符合刑法谦抑性的基本理念。而从该罪的入罪标准的设置来考察，我们发现不仅设置了“情节严重”的基本情节，而且规定了“情节特别严重”的加重情节。如若该罪的法益仅为个人法益，而公民的人格权平等，则只要符合出售或提供公民个人信息的行为就应当构成本罪，但法条却以“情节严重”作为入罪门槛，表明该罪法益不仅是个人法益还包含了因侵犯个人信息涉及的公共信息安全方面的权益。此外，从本罪的最高7年法定刑可以看出，与本章其他侵犯公民人身权利的犯罪所规定的最高3年有期徒刑相比，刑罚明显偏重。如果本罪的权益内容仅为个人法益范畴的话，就难以解释该罪刑罚偏重的合理性，而将该罪的法益界定为兼具超个人法益属性的复杂法益，才更符合罪刑相一致的原则。

因此，侵犯公民个人信息罪所承载的权益内容，既包括以公民个人的信息自由和安全为内容的个人法益也包含一定程度上有规范社会数据信息秩序的超个人法益成分，即公民个人信息的权益内核应为“个人属性+超个人属性”的复杂法益综合体。

2.侵犯公民个人信息罪的刑法规范考量。刑法规范是基于立法者的意志而制定，其本身具有一定的完整性和体系性，考察侵犯公民个人信息罪的规范价值，有助于从宏观视角探求其法益结构。面对信息技术的发展，人们对网络技术的依存度愈发凸显，公民的个人信息在大数据技术的支撑下，蕴含着巨大的经济、社会价值。一旦大数据技术被个人、企事业单位甚至政府组织滥用，势必会给公民个人、社会乃至国家造成无可估量与不可挽回的损失。正是基于此种紧迫的形势，刑事立法者才不得不在短时间内，对公民个人信息进行密集立法。从侵犯公民个人信息行为的入刑到对该罪主体和前置法范围以及量刑情节做进一步的修订，再到《2017两高解释》的出台，体现了刑法对于互联网时代非法获取、出售、提供公民个人信息行为乱象的积极回应。而从立法条文中“违反国家有关规定、窃取、非法获取”等关键词可以看出，立法者的初衷并非只是保护公民个人信息的安全，而是兼顾规范公民个人信息的管理与使用秩序。换而言之，只要不违背国家有关规定，在合法的前提下，国家是允许相关主体对公民个人信息进行商业化的加工利用，所以本罪的设定旨在建立一种对公民个人信息可控的秩序，其设立之初就已潜藏着“个人属性+超个人属性”的复杂法益属性

此外，从近些年司法实践对于侵犯公民个人信息罪的判处也可窥探本罪的复杂法益属性。在Openlaw裁判文书网上，通过检索“侵犯公民个人信息罪”关键词，共检索到7338个结果，对检索结果的案由进行归纳分类发现，以“侵犯公民人身权利、民主权利”为案由的案件为3230件，占比约为44%，以“侵犯财产、危害公共安全、妨害社会管理秩序、破坏社会主义市场经济秩序”为案由的案件为2334件，占比约为32%，其他类案由的案件为1774件，占比约为24%。③可以看出，虽然以侵犯公民人身权利、民主权利的案件为主，但是涉及财产、公共安全、社会管理秩序、市场经济秩序等超个人法益的案件占比也很高。显然，司法实践中关于涉及侵犯公民个人信息罪的法益定性已非单纯地认定为个人法益，一定程度上正在向着“个人属性+超个人属性”的复杂法益方向迈进。

综合以上分析，侵犯公民个人信息罪无论是从其所承载的权益内容还是从规范价值的立法初衷来看，公民个人信息的法益结构属性理应界定为复杂法益则更为妥当，单纯将其限缩为个人法益或者扩张为超个人法益，都难免存在不周延。一方面，大数据时代，公民个人对自己信息的自我支配能力在不断减弱，其社会性与公共性逐渐增强。基于公民个人信息的社会公共属性，涉及侵犯公民个人信息行为所导致的危害结果，兼具个体性与公共性，若继续固守个人法益的传统限缩式保护模式则很难全面评价其行为的全部法律意义。另一方面，不容忽视的是公民个人信息的超个人法益属性其内容过于抽象和模糊，若脱离了公民个体的限缩则容易出现刑罚权扩张的风险，而传统个人法益的限缩式保护模式正好可以有效防范刑罚滥用和处罚范围越界。所以，在平衡好个人信息安全与实现公民信息经济价值社会化之间紧张矛盾的迫切形势下，把公民个人信息界定为兼具“个人属性+超个人属性”的复杂法益，既契合刑法规范价值的要求又贴近司法实践的需要。

四、大数据时代下刑法保护公民个人信息的路径

刑法中公民个人信息的法益结构属性不仅涵摄个体层面包括隐私权在内的人身权、财产权方面的权益，而且也兼具社会层面涉及国家和社会公共安全、利益及秩序的超个人法益。因而，大数据时代背景下，刑法保护公民个人信息的路径需从刑法内部与外部建立多元化、多层次的体系化规范展开。也就是既要从刑法保护体系内部通过立法技术与司法解释对公民个人信息罪进行调整，也要从刑法保护体系外部逐步完善相应的法律法规，确保刑法内部与外部其他法律法规相衔接。

（一）刑法保护公民个人信息的内部调整

在大数据技术发展的助推下，公民个人信息的法益属性从个人层面向超个人层面发生了扩张，意味着其法益从传统的个人法益转化为兼具“个人属性+超个人属性”的复杂法益，而法益属性的转变必然要求通过立法技术对相应法条做出适当的调整。侵犯公民个人信息罪处于刑法分则“侵犯公民人身权利、民主权利罪”的章节中，按照刑法体系的设置，该章节之下所保护的法益应属个人法益，从而使得具有复杂法益属性的侵犯公民个人信息罪与该章节的保护体系不相协调，而如果将该罪整体调整到其他章节亦有不妥，因为该罪的复杂法益属性之中依然是以个人法益为主，超个人法益为辅的法益结构。故而应通过立法技术，采取法律拟制的方法将侵犯公民个人信息罪中涉及财产法益与社会公共法益的部分分别归置于“侵犯财产罪”和“危害公共安全罪”章节之下，从而修正或补充侵犯公民个人信息罪的基本罪状构成，对侵犯不同法益的行为准确规制，使侵犯公民个人信息的行为在刑法体系中更加完善。在刑法分则中通过立法技术采取法律拟制的做法广泛存在，譬如《刑法》第247条规定，刑讯逼供、暴力取证，致人伤残、死亡的，依照故意伤害、故意杀人定罪处罚。第267条第2款，携带凶器抢夺的，以抢劫罪定罪处罚等，都是立法者为了满足社会需要、减少法律漏洞，补充刑法中主要规定之不足而采取的法律拟制。所以，采取法律拟制的立法技术对侵犯公民个人信息罪进行部分调整，保证该罪所蕴含的的法益属性与所属章节的协调统一，是大数据时代下刑法保护公民个人信息路径抉择的应然之选。

此外，对公民个人信息还应从司法解释的层面做出客观的等级评定，即把公民个人信息细化为“识别性信息”“安全性信息”“隐私性信息”三个等级，而对不同等级的信息可以通过多元化的法律途径进行规制，避免产生刑法规制手段过度插手以致与其谦抑性精神不相符的“刑先民后”的尴尬。具体言之：应将“识别性信息”分置于民法范畴，通过民事平等主体之间相互协商、达成一致的民事法律手段进行规制，如未能协商一致，可采取民事侵权行为进行处理；对于“安全性信息”根据所涉及的信息内容、造成损害后果的严重度以及潜在风险的可控性进行层次化保护，即侵犯的信息内容仅涉及个人、损害程度、风险性都较低的行为，可以通过侵权法进行规制；如果信息内容范畴涉及社会层面或者造成损害后果严重亦或存在巨大的潜在风险的行为，则可以采取刑法手段进行评价；对于侵犯“隐私性信息”的行为一般由刑法进行规制，如果该犯罪仅危害个人层面的法益，尚未涉及超个人法益范畴，则可采取“亲告罪”的模式由公民个人决定是否起诉，即案件的发起以“告诉才处理”为基本模式，以公诉为补充。综上，可以通过司法解释的手段对公民个人信息进行等级评定进而采取差异化的保护路径，做到刑法保护体系内部的协调一致。

（二）刑法保护公民个人信息的外部衔接

有鉴于此，有必要从立法层面构建行政法规优先规制、民法重点保护的刑法前置性法律法规体系，推进“刑民衔接”“刑行衔接”的层次化、体系化保护机制的完善。具体言之，应从行政法规层面建立完备统一的规制体系，即对涉及搜集、处理和流通公民个人信息的相关行业，根据其行业的具体特征做出相应规范和约束，确保无论是官方渠道抑或是民间途径，还是公共机构或是私营企业都有具体的部门行业法规。针对侵犯公民个人信息的违规、违法行为施以警告、罚款、没收违法所得、责令停产停业、暂扣或吊销许可证及执照等相应的处罚措施，做到行政法规优先规制。与此同时，应加快推进《公民个人信息保护法》的制定与完善，并积极梳理散见于其他法律法规中关于公民个人信息保护的规定，使其形成完备的法律法规体系。此外，恰逢我国着手编撰《民法典》之际，一些私权领域的民法研究学者已开始逐步探索公民个人信息新的保护模式，故而在刑法积极回应社会关切的同时需要做好与私法领域的主动对接，尤其是在认定“情节严重”的入罪边界时，应从违法所得额、信息用途、个人信息的安全等级与类别等方面做出严格的刑民界限划分。

其次，刑法保护公民个人信息的外部衔接还应从司法层面对“违反国家规定”做出明确的限缩解释，即“违反国家规定”不只是一种违法性提示语，更具有实质性内容，在认定侵犯公民个人信息罪的过程中，应明确前置性规定的限缩作用，厘清侵犯公民个人信息行为的入罪边界。具体言之，“违反国家有关规定”中的国家规定仅指全国人大及其常委会、国务院作为制定主体出台的法律、行政法规、部门规章，不包括地方政府作为制定主体颁行的地方性法规。即“违反国家规定”应认定为违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令[10]。

五、结语

大数据技术的应用与发展，在助推传统社会结构改变的同时，也促使公民个人信息蕴涵的法益结构发生着改变。本文从安全本位兼顾权利保护的角度出发，倾向于把公民个人信息界定为兼具“个人属性+超个人属性”的复杂法益，虽然试图提出一些开放包容性的见解，但仍需要更多的经验和理论加以论证。

[注释]：

①安全信息：主要是涉及公民个人的人身、财产安全的信息，例如账户信息、活动轨迹等。

②隐私信息：其涉及的主要是公民个人对于私密安全的感受性要求而生成的权利，例如性的隐秘性、个人癖好等基于人类羞耻心或者能够使得公民产生强烈冲突性情感的信息。

③数据来源于http://openlaw.cn/analytics/search?type=&typeValue=&lawyerId=&lawFirmId=&courtId=&keyword=%E4%BE%B5%E7%8A%AF%E5%85%AC%E6%B0%91%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF%E7%BD%AA，最后访问时间2018年10月3日。