陈 伟，宋坤鹏

(西南政法大学 法学院，重庆 401120)

现代社会伴随着科技的发展而逐步进入数据化时代，社会民众依托于计算机网络平台的信息交流也随之日益频繁与便捷。但与之相对应，因公民个人信息泄露而导致的信息滥用情形也在不断加剧，呈现出更加丰富的实践样态，并逐渐衍生出众多下游犯罪，给公民个人带来一定的心理恐慌，甚至造成重大的财产及人身损失，破坏公民的生活安宁乃至整个社会的稳定秩序，危害甚重。诚然，我国已经通过《刑法修正案》的方式规定了“侵犯公民个人信息罪”等罪名，从刑法的角度对侵犯公民个人信息的行为进行相应规制。然而，实际上立法者对上述罪名中的“个人信息”采取了相对限缩的涵义解读，这显然不能完全适应数据化时代的基本要求。此时，作为关乎公民人身财产安全的个人信息，其具体的内涵和外延也应当发生着相应的转变，进而体现出一定的数据化时代特征。否则，将难以形成全面周延的公民个人信息法律保障机制并达致法律保护公民合法权益之应有目的。

一、公民个人信息的实质内涵厘清

自《刑法修正案(七)》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”以来，我国关于公民个人信息在刑事领域的全面保护日益得到重视与完善，并陆续在立法和司法实践中得到贯彻与彰显。同时，由于我国对公民个人信息的保护几乎全面涵盖民事、行政、刑事法律等不同部门法范畴，且伴随着科技社会的急剧变化产生了众多新的问题。因此，作为对社会问题必要的回应，公民个人信息的具体界定无论是在学术界还是在实务界均不绝于耳，并由此形成了不同的学术认知与观点，但是，至今尚未达成完全统一的理论共识。对此，笔者认为，虽然公民个人信息的内涵与外延必须同步于数据化时代的发展而进行相应的转变与扩充，但仍然不能贸然扩大，而必须回归公民个人信息的最初涵义与规范原意进行解读，以免陷入滥用国家刑罚权的解释窠臼。

(一)理论探讨中“个人信息”的观点集成

即使是在同一部门法的视域范围之内，基于不同的理解，从不同角度出发，学者之间有关“个人信息”的阐释与解读也存在着较大的差异，并由此形成了不同的观点学说，其中典型的观点主要包括：狭义识别说、广义识别说、个人隐私说、个人关联说、财产商品说等。

顾名思义，狭义识别说当然地以可识别性作为认定公民个人信息的核心要素与标准。狭义识别说认为公民个人信息仅包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。当然地，公民的生理状态、遗传特征、经济状况等也应当被包含在内[1]。然而，狭义识别说仅仅将公民个人信息的可识别性限缩于直接识别的范畴之内，显然具有一定的局限性，不能完全顺应时代之发展。也正是因此，《网络安全法》将个人信息的定义进行了一定扩充，认为能够与其他信息相结合而间接识别出公民个人基本信息或活动情况的也应当被包括，并由此进一步形成了包括直接识别和间接识别两种情况的广义识别说。

个人隐私说则更加注重公民个人隐私性信息的保护，认为各国对公民个人信息的保护主要是基于隐私权保护的需要而进行，其在人格利益的保护上具有隐私本质，因此法律规范所保护的公民个人信息应当将隐私性作为核心标准之一[2]。同时，持有该观点的学者也指出，并非所有的个人信息都是指公民的隐私信息，公民的隐私信息与个人信息只是存在着高度的交叉兼容性，而并非完全等同，将个人信息与隐私信息完全等同其实是一种相对狭隘的表现，信息时代的个人隐私与个人信息实际上也有准确区分与界定的必要性，并可以作为制定《个人信息保护法》的基本依据[3]。

个人关联说则是再次将公民个人信息的范围进行扩大，认为“公民个人信息必须与特定的自然人相关联，这是认定公民个人信息的关键属性”[4]。甚至，持有此类观点的部分学者主张将“与公民相关联的个人信息”按照关联程度进一步划分为紧密层和一般层，其所谓的紧密层其实就是个人信息中属于隐私信息的那一部分，而一般层则是隐私信息以外的其他一般个人信息[5]。

财产商品说则是基于信息与金融科技的迅速发展态势而提出，认为个人信息在现代社会具有了一定的交换价值与使用价值，其财产属性与商品属性愈发明显并带来了一定的经济利益[6]。恰恰也正是在这种经济利益的驱动下，方才衍生出一系列涉及公民个人信息的违法犯罪行为，继而触发了侵犯公民个人信息行为的法律规制的必要性。

笔者认为，上述理论观点均存在一定的局限性，其对公民个人信息的解读并不能完全揭示公民个人信息的实质内涵。对于识别说而言，无论是狭义识别说还是广义识别说，均将公民个人信息限缩在体现于公民本身范围之内的显性信息特征(1)笔者此处所谓“显性信息特征”，实际上就是指代那些非常明显指向公民个人的信息特征，例如身份证号、家庭住址、相貌、工作单位、联系电话等身份信息。即使是广义识别说将信息的可识别性涵盖到间接识别，但其识别的对象仍然属于该类信息。，而忽视其他应当属于公民个人信息的非显性部分，这种观点显然太过狭隘。而对于个人隐私说而言，将公民个人隐私信息涵盖进入公民个人信息的范围之内，当然地具备其应有的合理性与可取性，但正如前述学者所表达的观点，个人信息与隐私信息几乎等同的状态反而使得公民个人信息的空间范围在个人隐私说的范畴内更为狭小，毕竟，公民个人信息不仅仅包括从属于公民个人的隐私信息，还存在隐私信息之外的一般信息，乃至政府依法而定的公开信息。个人关联说虽然将公民与个人信息的关联度予以有效衔接，但其将这种关联性作为认定公民个人信息关键属性的观点却是有待商榷的，在“关联”的标准和要求未得到相应地明确以前，片面地强调“关联”反而会导致司法实践因适用依据的匮乏而运行不当，甚至产生违反罪刑法定原则与刑法谦抑性理念的实践可能性空间。而对于财产商品说而言，虽然“利益是侵犯公民个人信息的首要驱动力”这一点具有显著的现实性根据，但该说过于看重公民个人信息的财产利益与商品价值属性，并较高程度地忽视了公民个人信息的其他属性，显然存在局限性。

(二)法律适用中“个人信息”的应然实质

如前文所言，虽然理论界不同观点的切入角度和结论有所差异，但无论是哪种学说，均认为公民个人信息从本质上而言是指向特定自然人的，其指向对象也是非常明确的。也即，上述观点均未从根源上否认可识别性应当是公民个人信息的首要属性和根本特征，笔者对此也予以认可。但正如前述，笔者同时也认为任何单向认定公民个人信息的观点都是有失偏颇的，公民个人信息的认定需要在文意与规范的基础上从不同层面进行切入，并必须同时满足一些必要要件，从而在立法上对其进行扩张，在司法上对其进行限缩，以符合数据化时代公民个人信息的保护趋势。

1.语言词汇中“个人信息”的基本释义

“信息”自人类产生以来就已经存在，并在不同的国家与地区具有不同的表达方式。例如，在日本，“信息”被称为“情报”；在我国台湾地区，“信息”被称为“资讯”；我国古代则将“信息”称为“音信”。一般意义上，现代科学则将“信息”解释为事物发出的消息、指令、数据、符号等所包含的内容，人们可以通过获得、识别自然界和社会的不同信息来区别不同的事物，进而得以认识和改造世界(2)此为百度百科的基本释义解读，具体参见https://baike.so.com/doc/933443-986650.html。。据此，笔者认为，从语言学的角度进行解读，“信息”几乎可以等同于“情报”“资料”等，此时的“个人信息”就可以理解为是能够根据公民个人基本身份信息、相貌信息、语言信息等特征而判断出公民个人身份的基本资料情况，其内容就是公民个人独有的前述典型身份特征，其核心特点则是具备一定的身份或属性可识别性。同时，所谓个人信息的“可识别”，则是指根据前述相貌、语言等资料情况可以直接或间接地明显指向特定的公民个人，将其基本身份信息、活动轨迹乃至其他更为重要的个人隐私情况予以清楚标明的情况。也正是基于此，“信息”与“可识别”的统一方可构成“个人信息”的最基本原理。

2.规范条文中“个人信息”的内涵界定

和语言学范畴的“个人信息”涵义有所不同，法律规范层面的“个人信息”则因其所处法域不同而有不一样的理解。例如，对于大陆法系国家而言，多将公民个人信息的界定侧重于其可识别性特征，而英美法系国家则更为注重其隐私性的保护[7]。实际上，对于我国而言，基于不同部门法领域的定位差异，对公民个人信息的定义也有所区别。例如，在民事法律领域中，《民法典》对公民个人信息的保护是分离于公民隐私权的，只有在涉及隐私以外的公民个人信息方能适用有关个人信息保护的基本规定，也即，这时的公民个人信息与公民隐私是截然不同的(3)2020年1月1日正式生效的《民法典》第一千零三十四条规定：自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。。然而，在刑事法律领域中则是一种完全不同的情形，由于我国现行《刑法》仅仅规定了侵犯公民个人信息的“侵犯公民个人信息罪”而没有专门涉及隐私权保护的条文规定，此时有关公民隐私权受侵犯时的刑法规制就有待斟酌。

况且，虽然关于公民个人信息的概念界定在我国法律规范上不甚清晰，并存在着一定的民刑差异，但有关侵犯公民个人信息行为的司法认定在实践中仍然是具有明确适用依据的。事实上，目前我国关于公民个人信息的规定除《民法典》第一千零三十四条的规定之外，最普遍的适用参考依据是2016年《网络安全法》第七十六条第五项规定的个人信息定义(4)《网络安全法》第七十六条第五项规定：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。。可以发现，这里的个人信息仍然是以身份的可识别性为核心特征的，但这里的可识别性不仅包括了直接识别，也包括了间接识别，同时，该规定也认为个人信息不仅仅指公民个人的隐私性信息，也指个人的一般信息[8]。而在刑事案件的司法解释规范中，最高人民法院、最高人民检察院也曾于2017年联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)，进一步对公民个人信息进行了基本的界定，并在将其范围扩充解释到可以反映公民个人活动情况的信息之外，首次将公民个人的财产状况、行踪轨迹等情况予以概括列举(5)根据该《解释》第一条规定：刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。。

综上所述，笔者认为对公民个人信息的认定应当遵循三个标准。第一，必须始终将可识别性作为公民个人信息的根本属性和核心标准。通过身份识别标准对公民个人信息的范围边界进行厘定是目前国际上的通行做法，也已得到我国部分法律法规的立法认可，这就意味着，只有能够帮助识别出公民个人身份的信息方可作为法律保护范围内的公民个人信息，否则便不在此保护范围之列[9]。第二，公民个人信息认定时的身份识别标准应当科学细化。虽然《网络安全法》对公民个人信息的认定已经扩充到结合型间接识别的情形，但间接识别的具体程度仍然有待明确，应当将其限缩为能够帮助识别出特定公民的实质性信息，而对于非实质性信息则无需纳入。例如，公民的网络账号、经常出现地等可以认定为公民的个人信息，但公民的血型信息就不宜认定，因为除个别罕见血型以外，人类血型的种类是特定与有限的，仅仅根据血型信息并不能明确指向特定公民个人。第三，公民个人信息的种类与范围应当动态调整。无论是《网络安全法》还是《解释》的规定，均采取了概括加列举的方式对公民个人信息进行界定，并有后缀“等”字，这就意味着随着现代社会的发展变化，公民个人信息的具体表现形式也会相应变化，不断补充新的内涵，这样方能符合立法精神与司法解释的基本原意。

二、公民个人信息的法益属性解构

既然将公民个人信息纳入法律的范畴进行研究探讨，那就不可避免地要涉及公民个人信息的法益属性。“法益概念为刑法的保护对象提供经验的、事实的基础，法益是作为人们的生活利益而成为保护对象的。不管是在解释论上还是在立法论上，法益概念都起着指导作用。”[10]也正是因此，数据化时代背景下对公民个人信息进行重新解读,不仅需要充分理解其基本含义，明确侵犯公民个人信息行为所触犯的基本法益，也是正确界定公民个人信息范围的基本前提。总体而言，从刑法领域来说，对于公民个人信息的属性方面主要存在着“个人法益说”与“超个人法益说”的理论争讼[11]。

个人法益说是将侵犯公民个人信息犯罪的法益属性限缩在单一的个人法益范围内进行研究讨论。同前述对公民个人信息的内涵理解相一致的是，有关公民个人信息的法益属性实际上也因切入角度的不同而存在诸多学说，如隐私权说、人格权说、人格利益说、财产权说、个人信息权说[12]等。然而，不得不说，个人法益说中的部分观点存在一定的局限性且不符合当前的具体事实情况，例如，虽然学界已然在探讨“个人信息权”的权利属性问题，但我国立法至今尚未确立“个人信息权”的具体阐述，而只是对侵犯公民个人信息的行为予以规制，可以说采用“个人信息权”的称谓仅仅是对国外“个人信息自决权”的一种学术借鉴，而非是出自本土的规范用语。

恰恰相反，超个人法益说则是坚决反对侵犯公民个人信息犯罪的法益仅仅为个人法益，而认为“公民个人信息不仅直接关系个人信息安全与生活安宁，而且关系社会公共利益、国家安全乃至于信息主权，所以‘公民’一词表明‘公民个人信息’不仅是一种个人法益，而且具有超个人法益属性，还需要从公民、社会、国家的角度进行解释。”[13]笔者对此表示认可。在现代互联网信息社会，任何侵犯公民个人信息的行为都不可能仅仅体现为对个人合法权益的侵害，单纯将其归结为对个人信息权益侵害的做法是极其不全面的，也即，侵犯公民个人信息罪虽然被归属于《刑法分则》第四章，但其实际上仍然是一种复杂客体，任何侵害公民个人信息的行为本质上都具备着对公民个人人格利益、财产利益与社会利益的同时侵扰[14]。这就意味着，数据化时代下的公民个人信息不能仅仅以个人利益保护为目标和视角，而应当从整体性的视角出发，最终形成以人格利益保护为起点、以社会秩序利益为重点与依归的公民个人信息保护模式。

(一)人格利益是侵犯公民个人信息行为的直接指向

正如前文所述，公民个人信息的认定必然以身份的可识别性作为其本质属性与特征，侵犯公民个人信息的行为必然最终会指向特定的公民个人。因此，“个人信息作为识别信息主体的信息或者信息综合，始终与信息主体相伴相生，是真实人格的外在体现，其正确存在和安全流转与信息主体的人格完整、人格尊严密切关联，具有人格属性”[15]。而这种人格完整、人格自由、人格尊严的人格属性毫无疑问从属于人格权的基本范畴。况且，正当利益乃是人们通过法律所追求的重要目标，也是法律权利的内容表现。从这个角度出发进行考量，公民所追求的人格利益自然也应当是人格权最基本、最核心的内容。实际上，无论是认为公民个人信息应当属于传统的人格权还是认为其属于一种新型的人格权利，公民个人信息本身所存在的人格权属性事实上已经得到学界的共同认可。也即，无论是基于人格尊严而主张设置独立的“个人信息权”，亦或是基于身份权、隐私权的属性而主张加强保护，公民个人信息所蕴含的人格利益均当然地被其人格权属性包含在内。

一般认为，公民的个人信息权虽然不同于隐私权，但其本质上仍然是对私人生活安宁与私人信息秘密的一种保护，当然地应涵摄于隐私权的内容范围。也就是说，除依照法律明确规定的属于政府信息公开事项以外，需要通过法律所规制与保护的公民个人信息，均为公民个人不愿为人所知的自我掌控的个人信息，是公民所享有的一种绝对排他性权利。公民所享有的关于个人信息的这种绝对排他性权利，是基于公民的人格利益而产生的，是公民享有基本人权的重要体现。因此，侵犯公民个人信息的行为同刑法中诽谤罪、侮辱罪等相似，毫无疑问是对公民享有的这种绝对排他性权利的侵犯，是对公民生活安宁的严重侵扰，更是对公民所享有的人格利益的直接破坏，应当予以刑事处置。

(二)财产利益是侵犯公民个人信息行为的动力源泉

“追求利益是人类最一般、最基础的心理特征和行为规律，是一切创造性活动的源泉。”[16]诚然，利益的表现形式多种多样，但在众多的利益表现形式中，财产利益绝对是最直接、最重要的一种表现，也是推动大多数人实施特定行为的原始动力。虽然说同抢劫罪、盗窃罪等不同，公民的财产权并非侵犯公民个人信息行为的主要指向对象，侵犯公民个人信息的行为也无法纳入侵犯财产罪的具体章节中，但该类行为所引起的一系列后续行为同财产性利益之间的关系却是不可分割的。一般认为，公民个人信息在现代社会的商业化特征日益凸显，认为其“具有人格权延伸出来的财产权属性，其财产利益是现代社会精神性人格利益商业化的典型”[17]。

具体展开而言，侵犯公民个人信息行为所侵犯的财产利益主要包括两层面。第一，现代社会的公民个人信息正逐步走向商业化。个人信息商业化的表现其实有两方面：一是公民个人信息成为商业利用、商业交易的一种工具，针对公民个人信息进行商业性收集、分析与处理进而挖掘消费者群体的现象愈发常见；二是公民个人信息成为部分群体进行非法牟利的工具，公民个人信息的泄露趋势在现代互联网社会也日益严峻，甚至形成一套以搜集、购买、出卖等为重要手段的公民个人信息灰色产业链。第二，因个人信息泄露造成公民人格权遭受侵犯而引发的次生负面经济影响。暂且不论所泄露个人信息的真假情况，也不论因个人信息泄露对社会的作用是正面还是负面，但对公民本人而言，其必然会因个人信息的泄露而影响自身的经济利益。例如，在现代信用经济社会之中，除政府依法主动公开以外，一旦公民的个人信用信息遭受不当泄露，必然会对其进行商业投资、商业合作、商业贷款等产生一定影响，特别是负面信用信息的曝光造成其名誉权受损，甚至可能致使其商业运作遭受致命打击，严重影响经济效益。

(三)社会利益是侵犯公民个人信息行为的隐含内在

“在网络化、数据化、智能化的时代，全息化、多样化的大规模个人数据，不仅成为社会治理、企业管理创新和改善的资源，也成为科学文化艺术创新进步的资源池。”[18]必须要承认的是，公民个人信息所体现的人格利益和财产利益是相对显性的属性表征，其背后实际上也必然蕴含着一定的社会利益，而这种社会利益包含着一定的安全利益、秩序利益乃至法律利益等。此时，公民个人信息遭受侵害的事情一旦发生，必然会产生危害社会公共利益的不利后果。

具言之，危害社会公共利益的不利后果主要有三种表现形式。第一，从安全利益的角度出发，侵犯公民个人信息的行为无疑是对公民个人信息安全的严重破坏。由于安全是社会公民追求的重要法律价值之一，那么，对公民个人信息安全的破坏必然会导致社会公民信息安全感的缺失，进而偏离公民寄希望于通过法律所塑造的安全价值目标，从而影响整个社会的安全与稳定，阻碍现代安全社会建设进程的平稳推进。第二，从秩序利益的角度进行考量，侵犯公民个人信息的行为必然是对社会秩序稳定发展状态的直接冲击。同平等、正义一样，秩序也是现代法律所追求的重要价值目标之一，是现代社会可持续稳定发展的重要保障。之所以在多种途径对公民个人信息进行全面保护的同时建立公权力机关一定条件下的公民信用信息公开制度(例如“老赖”信息的公开)，恰恰就是为维护社会整体秩序持续向好而作出的制度性设计。因此，任何通过非法途径侵犯公民个人信息的行为实际上都是对整体秩序构建的一种阻碍，必须予以坚决打击。第三，从法律利益的角度进行切入，侵犯公民个人信息的行为一定会对现代国家的法治建设造成障碍。如前所述，我国已经通过《民法典》《刑法》《解释》等多种立法、司法途径确立了公民个人信息的法律定位，再加之专门性、针对性的《个人信息保护法》也即将出台，这些都足以说明我国在推动公民个人信息的法律保护方面始终处于持续不断地探索与完善进程之中。毋庸置疑，这是针对各项涉及公民个人信息等新型社会问题的“回应型”立法表现，也是推动法治国家建设的当然要求。这就意味着，任何侵犯公民个人信息的行为都是与国家对公民个人信息保护的立法精神相违背的，都是与国家法治能力现代化的要求相背离的，其在根源上都是阻碍国家法治建设与发展的一种表现。

三、公民个人信息的应然种类与范围扩充

如前文所述，落脚于整体性社会秩序利益理应成为数据化时代公民个人信息保护的应有之义。据此，笔者认为，立足于立法规范原意的基础，所谓公民个人信息，其实就是指以可识别性为核心特征，能够明确指向特定公民，兼具人格利益、财产利益及社会利益，并以人格利益为起点、以社会利益为依归的实质性符号信息。在此概念基础上，传统碎片化的概括加列举式的法律界定并不能促成公民个人信息的外延达到周延状态，也不能完全适应数据化社会的迅速发展。正如，“社会的需要和社会的意见常常是或多或少走在‘法律’前面的。我们可能非常接近地达到它们之间缺口的接合处，但永远存在的趋向是要把这缺口重新打开来”[19]。此时，就必须不断地对法律进行动态调整，使其与现代社会的发展进度相协调，以化解重大社会问题存在立法空白的尴尬与窘状。可以说，法律视域内的公民个人信息虽然表面上仅仅表现为体现于公民个人的身份识别信息，但加强公民个人信息的法律保护却是维护整体社会秩序的必需。因此，应当根据此理念的基本指导，立足于公民个人信息的实质内涵与法益基础，对公民个人信息的范围进行应然扩充，方可符合数据化时代的发展所需。

(一)个人隐私信息

“早在文字出现之前，人类的先民即已认识到某些纯属于私人的、不宜示人的事物——隐私之存在。而我们今天对于自然人的隐私权保护予以前所未有的关注，是因为它已经或者正在成为一个影响现代大众生活的重大问题。”[20]根据词汇结构进行分析，隐私包括两个层面的意涵：一是“隐”，表明其心理是不愿为人知；二是“私”，表明其内容为个人事务与活动。一般认为，隐私意识的萌发是基于人类自身的羞耻感，进而在不断的发展中形成隐私观念，并表现出期待个人事务与公共空间场所或他人相隔离、相对立的情绪。基于此，虽然说公民享有的个人信息权利和隐私权并不相同，但由于公民个人信息的内容范围是包括个人隐私信息的，因此无论是在立法规范还是理论观点中，均未否认个人信息权利与公民隐私权在内容上是存在一定交叉与重合的。诚然，《民法典》已然从立法上将隐私权的保护同公民个人信息保护作出了必要的区分，并在原则上遵循了隐私权保护优先于个人信息保护的法律适用原则。但必须要注意的是，法律视阈内对民事、刑事的角度标准并非需要绝对一致。例如，民事法律领域内的“婚姻”仅仅指经过民政部门登记的法律意义上的婚姻关系，但刑事领域的“重婚罪”则将事实意义上的婚姻同样纳入规制范围内。如前文所述，由于《刑法分则》并未将公民隐私遭受非法侵害的情形予以专门化保护，一定程度上造成公民隐私信息保护的刑法保护空白。因此，笔者认为可以通过司法解释的方式将公民隐私信息纳入侵犯公民个人信息罪的涵盖范围之内。

(二)生物识别信息

生物识别信息是个人基因信息的重要组成部分，其产生并依赖于人的生理特征，“由个人身份的本质所组成，与个人密切相关”[21]。虽然我国《网络安全法》已经将个人生物识别信息纳入公民个人信息的范围之中，但传统的学术理论探讨和司法实践往往局限于指纹识别的基本认定，对于人脸识别、虹膜识别等新型生物识别信息法律保护的研究探讨则是近期方出现的理论议题。笔者认为，无论人脸识别信息还是虹膜识别信息等其他生物识别信息，都应当从属于公民个人信息的重要组成部分。回归目前的实践现状，虽然我国的生物识别技术在现阶段得到了广泛的发展与应用，但有关生物识别信息的法律保护却在一定程度上显得有些滞后，也因此催生了一些滥用生物识别信息的严重错误行为乃至违法犯罪行为。其实，同公民的姓名、电话号码、家庭住址等个人信息相似，人体的生物识别信息对公民而言是独一无二的，并且也是可以明确指向特定自然人的，一旦被恶意使用，其造成的损失后果也是难以估量的。因此，作为一项极度重要的个人信息，人脸识别信息、虹膜识别信息等人体生物识别信息的法律保护最终还是要回归到个人信息法律法规的角度严格进行，无论是从民事领域亦或是刑事领域，均应对其进行更高规格的法律保护。例如，从刑事领域而言，虽然公民的生物识别信息仍然适用侵犯公民个人信息罪，但应当在该罪名的罪状及法定刑中进行特定的专门化规定，通过升格侵犯公民个人生物识别信息行为的法定刑予以高规格保护，方能符合刑法罪刑相适应原则的内涵要求。

(三)个人金融信息

相对于一般的个人信息，“个人金融信息除了具有个人信息的一般特性外，还具有其自身的突出特性，如因发生在金融活动中而具有显著的经济性、具有相当的信用性等”[22]。这些突出特性显示出个人金融信息相比普通的个人信息而言，其牵涉的经济利益更加明显与巨大，具有更大的保护必要性。同时，在司法实践中，借助公民个人金融信息而引发的下游犯罪时有发生，并造成巨大财产损失和较强的社会负面影响，从而展现出严重的社会危害性。目前，我国关于个人金融信息的保护虽然散见于各类法律法规之中，例如《商业银行法》《反洗钱法》等，但并未形成一套严密的个人金融信息法律法规保护体系。最为明显的是，在未涉及下游犯罪之时，确实存在相当一部分侵犯公民个人金融信息的行为，其恶劣程度已经具备了入刑处罚的必要性，但在实践中却难以在刑法中寻找到相对应的罪名，进而产生了刑法规制的困境。即使按照侵犯公民个人信息罪对其予以处罚，因公民个人信息的规定模糊性，不明确的法律依据也难以将该类行为完全纳入罪名的涵盖范围之内。这种司法现状的尴尬处境，极易催生公民个人金融信息黑色产业链的进一步发展，甚至危害社会经济秩序，必须进行严厉打击。基于法律权威性与稳定性的必要，此时通过解释或案例指导的方式将个人金融信息纳入侵犯公民个人信息罪的规制范围，利用司法的模式化解司法实践的困境显然是一种最优解。

(四)个人信用信息

“个人信用信息能够反映特定主体信用状况，具有强烈的人格属性和财产价值……是能够反应经济交易中特定主体的履约能力和偿付能力的依据。”[23]毋容置疑，信用市场的建立健全是现代信用社会构建的重要内容和标准，也是现阶段征信事业日趋发展的强大推动力和明确目标。因此，为加强个人信用监督，个人信用信息的公开具有较大的必要性，合理的个人信用信息公开有助于商业活动与市场交易安全性的提高，为不同的商业主体提供足够的决策依据，减少交易风险，促进社会经济利益和信用利益的整体提升。但必须要注意到，任何权力和权利都有行使的边界，任何主体都不能不加限制地跨越这道法律底线。不合理的个人信用信息公开必然会对他人的合法权益造成损害，侵扰他人的正常活动与生活安宁。据此，中国人民银行曾于2005年颁行《个人信用信息基础数据库管理暂行办法》(以下简称《暂行办法》)，对不合理的个人信用信息公开作出一定规制(6)其中，该《暂行办法》第三十九条规定：“商业银行有下列情形之一的，由中国人民银行责令改正，并处1万元以上3万元以下罚款，涉嫌犯罪的，依法移交司法机关处理：(一)违反本办法规定，未准确、完整、及时报送个人信用信息的；(二)违反本办法第七条规定的；(三)越权查询个人信用数据库的；(四)将查询结果用于本办法规定之外的其他目的的；(五)违反异议处理规定的；(六)违反本办法安全管理要求的。”。然而，即使《暂行办法》明确规定如若涉及犯罪将移交司法机关进行处理，但正如前述，在刑法中并未有对应罪名对其进行明确规制。此时，将该类个人信息纳入刑法公民个人信息的内容范围内将有力弥补刑事立法、司法的一大缺憾，并促成刑法与其他法律法规在个人信息保护方面的有效衔接。

四、结语

基于制裁手段的严厉性和刑事责任承担后果的不可修复性特征，作为补充手段的刑事法律规范必须保持足够的谦抑，但这并不意味着刑事立法和司法对转型社会面临的一系列社会问题采取漠视的态度。针对层出不穷的社会问题，刑事立法和司法在必要时应当作出一定的回应并表明基本立场，从而为化解社会典型问题的处置困境提供坚实的后盾与保障。进入数据信息时代，各类社会现象将比以往更多地呈现出数据性和多变性特征，各类新型的社会风险持续增加，一些传统犯罪也必然会呈现出更多新的形势和特点，进而产生一些立法衔接和司法实践中的困惑与窘境。此时，对于具备刑罚处罚必要性的一些具备严重社会危害性的行为，通过刑事立法与司法解释的途径对这类行为进行合理范围内的追究和规制，不仅不是对罪刑法定原则的违背，反而契合刑事立法的基本精神与时代的吁求。同时，笔者认为，基于符合法治现代化要求的考量，在维护立法权威与稳定的前提下，立足于法律条文的文字原意和立法目的，尽可能综合运用各种法律解释方法，以法律解释的形式将公民个人信息在数据化时代所产生的各种新型风险纳入传统立法的规制范围之内，进而化解司法的困境与尴尬，不失为解决社会问题的一种最有效的途径。此外，必须要说明的是，在个人信息侵权现象频频发生的数据化时代，面对以人脸识别为代表的公民个人信息的各类新型表现形式，仅仅通过公民个人信息在现代社会背景下的范围界定将其纳入法律规制范围，并不能完全根治公民个人信息侵权问题。也即，如若构建体系性的公民个人信息保护机制以加强公民个人信息的全面保护，将会是一个需要持续推动的系统性、综合性工程，其中涉及的众多问题仍然需要更为深入地研究与探讨。