◇于 冲

《民法典》明确将个人信息作为人格权编的保护对象，但囿于个人信息的权利属性争议、个人信息权属主体的争议，以及互联网环境下自然人个体对个人信息维权与侵权主体之间的力量失衡，对于个人信息的保护实则更多是以行政立法、刑法为主，尤其自《刑法修正案（七）》增设出售、非法提供侵犯公民个人信息罪以来，个人信息的刑法保护不断增强。关于公民个人信息保护刑法先行甚至刑法扩张的模式一度受到民法、行政法学界的批评和质疑，刑法学界也在不断探讨限缩侵犯公民个人信息罪的解释路径。尤其大数据背景下，数字经济的发展更对数据共享、数据开放提出了极大需求，个人信息的多元数据属性不断增强，有必要系统审查刑法“法域”内的个人信息属性，将不值得刑法保护的信息属性剥离出刑法之外，同时以教义学解释原理为依托，将侵犯公民个人信息的“正当化行为”予以明确化，在刑民分界、行刑分界的基础上，发挥民法、行政法等前位法的法律功能，兼而实现刑法对个人信息的精准保护。

一、侵犯公民个人信息罪既有犯罪圈的梳理性考察

个人信息保护成为热议话题，也越来越受到民商事立法、行政立法等诸多部门法的关注。自刑法关于侵犯公民个人信息罪增设以来，就一直受到刑法过度超前的批评。如果说刑法在对于具有严重社会危害性的行为，在前位法没有及时跟进保护相关权益的情况下，迫于无奈进行积极介入保护法益情有可原。那么，随着民事立法、行政立法的完善，刑法有必要重新回到最后法和保障法的地位，收缩侵犯公民个人信息罪的犯罪圈。

（一）公民个人信息刑法保护的初衷：涉个人信息犯罪链条的前置化打击

互联网环境下，网络犯罪的链条化、集群化趋势明显，侵犯公民个人信息犯罪几乎都是作为其他犯罪的上游犯罪、伴生犯罪所出现，其社会危害性随着社会信息化程度的增强也在与日倍增。基于对犯罪“产业链”的斩断，刑法对侵犯公民个人信息行为的犯罪化，很大程度上是对侵犯个人信息行为的制裁，兼顾实现对网络犯罪产业链、网络黑产的前置化打击。

1.刑法253条之一的目的功能：“链条化”犯罪的刑法斩断。

侵犯个人信息作为网络黑产、网络犯罪链条的上游犯罪、伴生犯罪，逐渐形成了以公民个人信息为上游、为伴生的上下游犯罪产业链。犯罪上游行为人利用黑客技术、特殊身份等手段非法获取个人信息，中间商从上游买入个人信息后进行清洗、整合后卖给下游犯罪人。①参见张婷：《犯罪产业链背景下“技术中立原则”对犯罪定性的干扰和反思——以“侵犯公民个人信息犯罪”为视角》，《青海社会科学》2018年第2期，第139页。在以个人信息非法获取、非法交易、非法使用为中心的产业链上，上下游犯罪分工密切，甚至形成了上游专门买卖公民个人信息的网站或者公司，②利子平、周建达:《非法获取公民个人信息罪“情节严重”初论》，《法学评论》2012 年第 5期。相较于以往零散式侵犯公民个人信息的行为而言更具集聚性和精准性。侵犯公民个人信息的行为客观上能促进下游犯罪衍生，引发链条式反应。当前犯罪分子买卖或非法获取公民个人信息的目的，已经从单纯地为商业活动提供便利逐渐向为后续的下游犯罪提供便利转变。③参见韦尧瀚：《侵犯公民个人信息罪在司法认定中的若干问题研究——兼评〈刑法修正案（九）〉第十七条》，《北京邮电大学学报（社会科学版）》2016 年第1期。值得注意的是，很多情况下，侵害个人信息的行为具有“依附性”的特征，往往是作为其他更为严重的犯罪中的某个环节出现的，本身虽未独立成罪，但继续实施其他行为，可能构成犯罪。④吴苌弘：《个人信息的刑法保护研究》，上海社会科学院出版社2014年版，第115-116页。因此，刑法将侵犯公民个人信息行为入罪化，实质就是对涉信息犯罪产业链的源头打击：上游获取和提供个人信息的行为和下游严重犯罪具有高度盖然性，等到下游严重犯罪发生再来评价为时已晚，所以需要前移评价节点，制裁上游非法获取信息的行为，阻断犯罪产业链的供应。

2.刑法253条之一前置化的评价思路：预备行为实行化和帮助行为正犯化。

侵犯公民个人信息犯罪链条化背景下，非法获取个人信息的上游行为，无论是准备用于自己犯罪还是帮助他人犯罪，其行为与下游犯罪同样具有法益侵害性。同时，上游获取的个人信息流向和使用范围均难以掌握，所造成的法益侵害性更为严重。而检视刑法理论，传统的预备犯理论和共犯理论在适用于网络空间时遇到掣肘。传统共犯理论认为，共犯仅有对法益的侵害或者危险尚不能进入刑法的打击半径之内，必须通过正犯行为引发法益侵害或者危险。⑤于冲：《帮助行为正犯化的类型研究与入罪化思路》，《政法论坛》2016年第4期，第173页。然而网络空间的虚拟性和复杂性导致难以判断各犯罪人的犯意，也难以收集数量庞大的侵害行为证据。如果刑法对上游非法获取个人信息的预备行为和帮助行为不加以规制，将导致信息犯罪产业猖獗，侵犯公民个人信息的行为专业化和精细化，数量庞大的个人信息受侵害。一方面，侵犯公民个人信息的行为已具备类型化的特征，非法获取和提供个人信息作为信息犯罪产业链的源头，对于下游的诈骗、绑架等犯罪具有很大的工具性支撑作用。从某种程度上来讲，侵犯公民个人信息的行为与下游犯罪呈现高度的关联性，已成为相关下游犯罪的专门化、类型化的预备、帮助行为。另一方面，侵犯公民个人信息的行为也具有独立的法益侵害性，非法获取和提供个人信息的行为促使下游犯罪的既遂可能性大大增加。个人信息随犯罪产业链流动到下游，其所面向的是未来不可控的实行行为，这种行为的海量性基本确保了犯罪至少能够既遂一次。①参见于志刚：《网络空间中犯罪预备行为的制裁思路与体系完善——截至〈刑法修正案(九)〉的网络预备行为规制体系的反思》，《法学家》2017年第6期，第60页。从这个层面讲，非法获取和提供个人信息成为下游相关犯罪精准实施、“点对点”实施②点对点实施犯罪改变了诸如电信诈骗等犯罪的漫无目的性，由漫天撒网转向精准犯罪，加剧了犯罪既遂的可能性。的关键环节。

（二）公民个人信息刑法保护的问题：评价半径的过于扩张化

随着数字经济的发展，个人信息同公民个人的人身、财产安全更为紧密，更多的信息被纳入到公民个人信息范围之内，成为刑法所保护的对象。某种程度上讲，在个人信息的保护上，刑法比其他部门法都显示出格外的扩张性。以行政立法为例，2016年出台的《网络安全法》第76条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息, 包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”由此可见，《网络安全法》对于个人信息的界定，主要限于单独识别个人身份，以及与其他信息结合识别个人身份的信息，强调个人信息的身份识别性。2017年3月通过的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下文简称《解释》）第1条规定，“刑法第253条之一规定的‘公民个人信息’, 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”刑法在《网络安全法》的基础上，将单独识别或者与其他信息结合识别特定自然人的活动情况的信息，归入个人信息范围，同时将反映特定自然人身份情况、特定自然人活动情况的各种信息均纳入到个人信息的保护范围之内。刑法对个人信息保护范围的扩张化，某种程度上也推进了其他部门法的及时跟进，例如，2017年公布的《个人信息保护法（草案）》尚且没有将能够识别特定自然人活动情况的信息定义为个人信息。《民法典》将个人信息界定为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括……行踪信息等”，某种程度上采纳了刑法对于个人信息保护范围的定义。审视刑法内部理论，这种积极导向的立法并非没有缘由。有观点指出，在世界范围内,刑事立法的趋势已经不是非犯罪化,而是大量的犯罪化，③张明楷：《司法上的犯罪化与非犯罪化》，《法学家》2008年第4期，第65-75页。扩大犯罪圈和提前刑法介入等方式便应运而生，进而实现刑法对于个人信息法益的周延保护。④参见周光权：《转型时期刑法立法的思路与方法》，《中国社会科学》2016年第3期，第123-146页。但是，从刑法和民法、行政法的关系来看，侵犯公民个人信息罪的成立需要该行为“违反国家有关规定”，如果刑法对个人信息保护的范围大于前置法，而前置法并不评价为违法的行为，则导致刑法存在矫枉过正之嫌。因此，刑法积极导向式的个人信息立法需要保持适度，不可僭越前置法律而试图先行参与社会综合治理，需要考虑到与其他部门法的衔接适应。

二、侵犯公民个人信息罪评价半径的学界争议与反思

随着侵犯公民个人信息罪的犯罪圈不断扩张，学界为明确侵犯公民个人信息罪的恰当评价半径，对于侵犯公民个人信息罪的法益属性等评价半径进行了多方面的有益探讨，力图在罪刑法定原则的基础上合理打击侵犯公民个人信息的犯罪行为。

（一）侵犯公民个人信息罪评价半径收缩和转型的尝试

基于对侵犯公民个人信息罪评价半径的限缩，学界从法益属性角度对于该罪的评价半径进了探讨。关于侵犯公民个人信息罪的评价半径，学界有诸多争论，主要有法益限制论、超个人法益说、独立法益论三大观点。法益限制论立足个人信息的个人属性，从个人利益的不同侧面评价，存在人身权利说、财产权说、信息自决权说、公共信息安全说等内部分化。其一，人身权利说强调个人信息的人身性，将公民个人的信息自由、安全和隐私权等作为侵犯公民个人信息罪的保护法益。①周光权：《刑法各论》，中国人民大学出版社2016年版，第71页。侵犯公民个人信息罪规定于“侵犯公民人身权利与民主权利罪”一章，从刑法的体系性来看也为该说的合理性提供了有力依据。其二，财产权说则偏重个人信息的财产性，将个人信息的法益视同个人财产，具有信息资源、信息产品、信息商品、信息资产等多种表现形态，②陆小华：《信息财产权——民法视角中的财富保护模式》，法律出版社2009年版，第20页。公民个人对其享有占有、使用、收益、处分等权利。③参见汤擎:《试论个人数据与相关的法律关系》，《华东政法学院学报》2005年第5期，第41页。其三，个人信息自决权说杂糅人格性与财产性，认为公民个人有权自行决定是否将个人资料交付或提供给他人利用，④贺栩栩：《比较法上的个人数据信息自决权》，《比较法研究》2013年第2期，第61-76页。强调个体对于个人信息的完全控制决定。其四，公共信息安全说着重于个人信息的公益性，主张本罪法益限定为公共信息安全，只有对公共信息安全法益造成了损害的侵犯公民个人信息行为，才能构成犯罪。⑤刘艳红：《侵犯公民个人信息罪法益: 个人法益及新型权利之确证》2019年第5期，第21页。总体来看，法益限制论尽管认识到公民个人信息的人身属性、财产属性、安全属性等多元属性，但都只是抓住一个角度评价，无法完整全面地揭示公民个人信息属性，对于侵犯公民个人信息罪的评价半径过度收缩。

超个人法益说折中个人信息的私权性与公益性，认为公民个人信息不仅是个人法益，还具有超个人法益的属性。通常情况下，侵犯公民个人信息的行为涉及的个人信息量巨大，造成的损害是间接的、群体性的，很难与具体受害人建立直接联系。但是，随着侵犯公民个人信息犯罪的产业化和链条化，公民个人信息的法益内涵已经逐渐扩展至社会公共秩序、公共安全甚至是国家安全。具体言之，超个人法益说是对法益限制论的补充和完善，使得侵犯公民个人信息罪的评价半径由局限于公民个体而扩展到公民社会、国家的角度；但另一方面，在“侵犯公民人身权利与民主权利罪”章节的约束下，如何解释公民个人信息的内涵与公共安全相适配成为超个人法益说无法回避的问题。

独立法益论则兼顾人格性、财产性和公益性，倡导公民个人信息应当是一种新型的、独立的个人信息权。“公民个人信息”兼具人身特性、经济属性和社会属性等多重属性，在信息时代背景下呈现出的与传统的财产权、人身权和公共安全利益等法益不同的权利属性，应当予以独立化的规制和特别的保护。而从侵犯公民个人信息罪的前置法律角度来看，民法学者对于个人信息的权利属性的评价也从传统的隐私权逐渐转向个人信息权，倡导个人信息权的权利内容多样，包括信息保有权、决定权、知情权、更正权、锁定权、请求保护权、被遗忘权等。⑥参见杨立新：《个人信息：法益抑或民事权利》，《法学论坛》2018年第1期。可以说，独立法益论是侵犯公民个人信息罪评价半径的新突破，从局限于固有法益收缩抑或是扩张均不能完整评价本罪，到通过提出包含复杂属性的新型独立法益来使得犯罪圈保持在弹性伸缩的范围内。独立法益论在对公民个人信息周延、独立保护的同时，仍然有可能导致刑法对于前置法的干涉，因而需要避免个人信息权成为一种抽象空洞、无度发展的权利，并根据大数据时代发展进程对其内涵外延保持合理的变动。

（二）进一步的反思：个人信息多元属性下个人利益与公共利益的平衡

法益限制论、超个人法益说和独立法益论对立的背后，实质上是个人信息利益与信息公共利益之间的角力。在侵犯公民个人信息罪法益视角下，个人信息利益与信息公共利益的平衡基础在于两者都关注“人”的保护。个人信息利益落脚在个人，而信息公共利益则以无数的个体集合为基础，着眼在群体意义上的人。维护个人信息利益保护个人隐私、生活安宁、财产等的自由发展，而维护信息公共利益则是保护个人自由发展的社会条件，二者最终都是服务于保障个体自由发展的可能性。因此，个人信息利益与信息公共利益若要实现平衡，关键在于两者之间保持依存关系：只有能从个人信息利益角度推导出来的信息公共利益，才能证明其目的在于服务个人，其刑法上的保护才具有正当性；而只有信息公共利益保障下的个人信息利益，才有自由、有序、健康行使的空间。

为了平衡个人信息利益与信息公共利益，应当限缩刑法所保护的个人信息的权利属性与法益内涵。2017年提交的《个人信息保护法（草案）》第11条规定，个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘，依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。可以说，个人信息保护法对于个人信息权利进行了全面细致的规定，但个人信息权利扩张的同时也会挤压信息公共利益的维护，如果刑法按照《个人信息保护法（草案）》的规定承认个人信息的权利属性带有决定性、控制性和全方位性，势必给大数据产业和公共事业的发展套上枷锁，导致信息公共利益维护的困顿。因此，笔者认为刑法所保护的个人信息的权利属性应当仅限于信息保密权。换言之刑法所要保护的个人信息是公民个人有保密要求、采取保密措施的个人信息，公共领域的个人信息受损应当由信息查询、更正、封锁等个人信息的民事权利和救济措施来适用。如此一来，大数据产业和公共事业能够免除处理个人信息时面临刑法这一达摩克里斯之剑的顾虑，在信息公共利益与个人利益之间达成平衡。对此，有观点认为：“个人信息保护法不是对个人信息自决权的承认和保护，而是作为人格或财产的前置保护机制，旨在防范抽象的人格侵害或财产侵害的危险。”①杨芳：《个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体》，《比较法研究》2015年第6期。刑法亦是如此，作为惩罚犯罪的部门法，所保护的个人信息应是关涉人身、财产、安全等多元法益侵害危险，而不是保护虚无缥缈、束之高阁的权利。同时，信息自决权过于重视个人信息的控制，试图赋予个人高位而忽视大数据产业信息自由交流的需求。事实上，公民个人决定和控制信息的能力却是有限的，除了受到物理空间和认知水平的限制外，还包括了诸多的可操作性限制。

三、侵犯公民个人信息罪犯罪圈“收缩”的必要性根据

随着大数据产业的发展和数字经济的日渐成型，个人信息的数据多元属性为个人信息的刑法保护边界提出了诸多新的要求。个人信息的多元利益属性决定了个人信息的“个人主体”受到保护的同时，个人信息的获取、利用也应受到保护，因而刑法对于个人信息保护范围的收缩势在必行。

（一）数字经济模式下个人信息的数据多元性利益

数字经济模式下，个人信息成为至关重要的社会资源，承载着多元性的数据利益，被广泛用于大数据产业、公共事业等领域。有学者指出，个人信息保护领域的利益主要涉及三种类型的利益：“个人信息本身所附着的信息主体的个人利益，以及与个人信息处理紧密结合的信息使用者（数据控制者）的利益和公共利益。”②高富平：《个人信息使用的合法性基础——数据上利益分析视角》，《比较法研究》2019年第2期，第72-85页。对于信息主体而言，个人信息是能够单独识别或者结合识别个人身份、活动情况的信息，关系到个人的人身、财产、安全等方面法益，信息主体享有的个人信息权利应当得到刑法保护，个人信息的不当处理如果对信息主体的法益造成侵害威胁应当受到刑法制裁。对于信息使用者而言，个人信息是数据时代发展的重要驱动力。企业对海量社会数据的搜集与分析是其商业模式的基础，社会数据已然成为了基本的生产资料。某种程度上讲，公共利益的维护和公共秩序的构建，都需要依赖于部分个人信息利益的牺牲和让渡。例如，在2020年新冠肺炎疫情事件中，全国各地卫健委每天通报疫情数据，并公布部分肺炎患者的活动路线和行踪轨迹。需要明确，在数字经济模式下，信息主体利益、信息使用者利益和公共利益都是合法利益。2016年欧盟《通用数据保护条例》第1条第3款规定：“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制和禁止。”2014年发布的《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》指出，为了社会公共利益且在必要范围内披露公民个人信息是合法的。因此，为了促进个人信息的多元性数据利益和谐共存，侵犯公民个人信息罪的犯罪圈收缩势在必行，在保障信息主体的个人信息权利的同时，也要促进个人信息的合理收集、利用和流通，并在必要时适当让渡个人信息权利以维护公共利益。

（二）大数据模式下刑法的谦抑性坚守

大数据背景下，刑法在个人信息保护领域呈现主动出击的态势，尤其在完善的个人信息保护法尚未落实的情况下，刑法与行政立法一道取代民事法律成为个人信息保护的主力。刑法对于公民个人信息的“过度化”保护，学界有诸多观点倡导应回归刑法的谦抑性。刑法不能因为时下个人信息保护成为热点问题，其他部门法积极推进立法而趋之若鹜，仍应科学论证调整刑法规制个人信息的合理性。因此，对于个人信息的刑法保护，应当“具体地、实质地探求为保全国民利益所必需的最小限度的刑罚。”①张明楷：《网络时代的刑法理念——以刑法的谦抑性为中心》，《人民检察》2014年第9期，第6-12页。

为了维持个人信息保护与数据应用之间的平衡，刑法仍应当坚持谦抑的基本立场，完善个人信息保护罪名体系的同时，避免对大数据产业发展造成禁锢。侵犯公民个人信息罪的成立，需要相关行为“违反国家有关规定”，根据法秩序统一性的要求，刑法对个人信息保护启动的前提，是行为人已经违反个人信息保护前置性法律。同时，刑法的最后性要求，刑法所要制裁的数据应用中侵犯个人信息的行为，应当是具有严重社会危害性、值得动用刑罚处罚的行为。大数据时代的刑法并不是激进地将任何侵扰到个人信息的行为定罪处罚，而应当做好与个人信息保护前置性法律的衔接，为大数据应用留有一定的发展空间。这种谦抑立场的保持有赖于两方面的配合：一方面，完善个人信息保护前置性法律，避免前置法缺位下刑法的“被迫介入”。当前我国正加紧个人信息安全保护方面的法律体系构建，已出台《民法典》《网络安全法》《电子商务法》《个人信息保护法（草案）》等一系列法律法规，明确个人享有的信息权利，并对不当使用个人信息的行为作出处罚。但是，现阶段的个人信息安全保护法律体系仍显粗糙，有待进一步精细化、专门化。另一方面，需要体现出刑法与前置性法律的层次适应，以便实现精准、合理打击个人信息犯罪。侵犯公民个人信息罪对于个人信息范围和犯罪行为的认定，应与前置性法律有所衔接适应。部分不具备高度敏感性的个人信息以及较低危害性的行为，应在前置性法律内部规制，刑法所要保护的个人信息范围则要明确，要制裁的犯罪行为需要设定能够体现报应和预防的刑罚。

（三）个人信息保护中个人利益与公共利益的平衡

如前所述，个人信息具有多元属性，既事关公民个人的人身、财产等个人利益，也是大数据产业、公共事业发展的基础，承载着重大公共利益。然而在当前侵犯公民个人信息犯罪的惩治与打击过程中，存在对个人信息进行绝对化保护的倾向，为了保护个人权利而肆意扩张本罪打击面积，导致公共信息产业发展受阻，社会公共秩序被迫让位于膨胀的个人信息自由。②参见[日]大谷实：《刑事政策学》，黎宏译，法律出版社2000年版，第175页。事实上，个人信息利益和公共利益同等重要，应当寻求平衡点，二者应在两个平行的空间协调发展，互不挤压、互不干涉，以刑法规制为个人信息数据的利用保驾护航，从而发挥个人信息在信息产业发展等经济领域与社会管理领域的重要价值，释放出信息数据时代的信息红利。③参见高富平、王文祥: 《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》，《政治与法律》2017 年第2期，第46-55页。人类个体永远无法做到孤立于社会，其社会群居性管理需求决定个人信息具有公共利益属性。只要个体仍处于社会中的个体，则其个人信息势必被统一掌握以加强社会联系。从司法实践来看，侵犯公民个人信息的行为涉及的个人信息量巨大，造成的损害是间接的、群体性的，很难与具体受害人建立直接联系。①参见王肃之：《被害人教义学核心原则的发展——基于侵犯公民个人信息罪法益的反思》，《政治与法律》2017年第10期，第28页。这也印证了个体与公共社会之间已日趋融合，难分彼此，个体信息的受损亦会牵动他人的个人信息。人类个体无法完全斩断与他人若有若无的联系，在公共社会想要保持个人信息保护的独善其身无疑为空想。从社会发展趋势来看，个人信息的公共流通会更加频繁，信息公共利益属性只会愈加明显。换言之，个人信息的公共利益属性是未来大数据产业发展的基础，个人信息的保护应当是个人信息个人属性与公共属性的平衡。

四、侵犯公民个人信息罪的出罪化路径

面对个人信息保护的需求和大数据时代的趋势，当前侵犯公民个人信息罪的犯罪圈过于扩张，将违法程度较低甚至未被前位法规制的行为纳入评价范围，导致前位法成为虚置法，压缩了大数据产业和数字经济的发展空间。对此，有必要在对侵犯公民个人信息犯罪化的同时，明确相应的出罪化路径，实现个人信息内部属性兼顾与利益保护的平衡。

（一）数据属性从个人信息属性中的剥离

个人信息与个人隐私、个人数据一度存在适用上的概念混乱，从用语习惯上讲，2016年《欧盟通用数据保护条例》使用个人数据这一概念，我国民法学界则长期以来对个人信息的研究停留在个人隐私层面。鉴于个人信息的多元属性，侵犯公民个人信息罪犯罪圈的收缩，则需要明确刑法所应保护的个人信息属性类型和范围。

一般认为，个人隐私是指个人不愿为外界所知悉的私生活领域相关事务，具有明显的私密性。②李婕：《刑法如何保护隐私——兼评〈刑法修正案（九）〉个人信息保护条款》，《暨南学报（哲学社会科学版）》2016年第12期，第118-125页。个人隐私主体通常希望将隐私保留在私人空间中，并且自己能够掌握控制。个人信息则一般具有很强的交互性，同时还具有显著的国家治理价值。③参见廖宇弈:《我国个人信息保护范围界定——兼论个人信息与个人隐私的区分》，《社会科学研究》2016年第2期，第70-76页。申言之，个人隐私的敏感程度较高，而个人信息广泛应用于大数据时代。有学者指出：“个人信息概念远远超出了隐私信息的范围，应当将个人信息权单独规定，而非附属于隐私权之下。”④王利明《: 论个人信息权在人格权法中的地位》，《苏州大学学报（哲学社会科学版）》2012年第6期，第70页。因此，在公民个人信息中有一部分公民个人信息属于个人隐私，但也有一部分信息不属于个人隐私范畴，个人信息和个人隐私存在相互交叉的部分。另一方面，个人数据是脱敏化、碎片化的个人信息，两者亦存在重合的部分。个人数据附着于电子信息系统载体，是部分个人信息经过数据库化处理后形成的可供检索的系统数据。相较于个人信息，个人数据更加面向大数据产业，能够在市场交易、流通和流转。值得注意的是，个人数据在一定条件下能够转化为个人信息。有学者指出，若干详细的小数据从睡眠、饮食、出行、作息等方面事无巨细地记录了一个人，这些有针对性和特定性的个性化数据记录完全能够实现从一般数据到个人核心信息的转化。⑤于志刚、李源粒:《大数据时代数据犯罪的类型化与制裁思路》，《政治与法律》2016年第9期，第22页。个人数据本身是经过技术处理后无法识别个人身份的个人信息，如果行为人通过技术处理将其还原成个人信息，亦构成侵犯公民个人信息罪。整体上讲，个人隐私、个人信息和个人数据共同重合于个人信息的部分，可以纳入侵犯公民个人信息罪的保护范围。⑥于冲：《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》，《政治与法律》2018年第4期，第19页。从促进大数据时代数据的广泛流动的角度来看，数据属性应从个人信息属性中剥离，让前置法来调整规制数据交易，而刑法则恪守个人信息的边界，回归保护敏感程度较高、能够识别个人身份的个人信息。

（二）信息安全属性从个人信息属性中的剥离

个人信息的多元属性，不仅仅涉及个人利益，还涉及到社会、国家的集体利益。侵犯公民个人信息罪的犯罪圈收缩，应限制为对公民个人信息权利侵犯行为的打击，将信息安全属性从个人信息法益属性中剥离，由刑法体系其他罪名评价。

个人信息属性中的安全属性关涉人身、财产等个人信息安全，但不应将253条之一的保护法益扩张到整体信息安全。侵犯公民个人信息罪作为“侵犯公民人身权利、民主权利罪”一章中的罪名，从体系解释来看，这一章中的其他罪名均未涉及公共安全的保护，本罪法益也不应包括整体信息安全。个人信息安全是个人信息属性的一部分，本质上仍是为了维护个人信息权利。同时，整体信息安全的概念过于宏大抽象，如果强行使个人信息法益承载整体信息安全属性，会使侵犯公民个人信息罪失去打击重点，沦为国家政策导向的工具。因此，如果刑法体系中现有罪名能够评价信息安全法益，则不必由侵犯公民个人信息罪重复评价。刑法规定的“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”“非法获取计算机信息系统数据罪”“妨害信用卡管理罪”等罪名，对于涉及个人信息国家安全属性、公共安全属性的行为，亦可以有效评价。

（三）侵犯公民个人信息罪构成要件的限缩

目前侵犯公民个人信息罪的主观构成要件中并没有设立目的性限制要件，意味着一旦违反国家有关规定，出售、提供或非法获取个人信息无论正当的目的还是不正当的目的，均触犯侵犯公民个人信息罪。此种罪名设置模式，体现出刑法对于侵犯公民个人信息行为的严厉打击，但同时也对大数据产业和数字经济的发展空间造成较大限制。因此，有必要对侵犯公民个人信息罪设立目的性限制要件，即“以非法目的向他人出售、提供或非法获取个人信息”。从当前的司法实践来看，“情节严重”成为替代目的性限制要件的判断因素，可以通过认定以不正当目的侵犯个人信息的行为为“情节严重”，以正当目的为“情节轻微”。此种解释模式，可以很大程度上限缩刑法的打击半径，但是犯罪情节作为量刑因素，并非罪与非罪的标准，仍然无法取代目的性要素的定罪价值。此外，在以正当目的维护公共利益过程中对个人信息的侵害或者威胁，同为了实施诈骗、绑架等犯罪而出售、提供、获取个人信息的行为，不具有相同的实质违法性，如果不区分两者而一概入罪，对于前者的刑法规制则显得过于严苛。

进一步检视侵犯公民个人信息罪的客观构成要件，本罪规定的实质违法行为包括非法获取、非法提供个人信息的行为，那么对应的合法获取、合法提供个人信息的行为边界何在，需明确刑法的评价范围和打击半径，既不过度干涉数据产业发展，也不遗漏对个人信息的保护。纵观域内外立法，对于合法行为的规定通常以原则来表述。以《个人信息保护法（草案）》为例，其中第4条规定，个人信息的收集、处理和利用应当遵循合法、正当、必要的原则，不得违反法律、法规的规定和双方的约定收集、处理和利用个人信息。笔者认为，“必要”“正当”等关键词较为抽象模糊，并且不同主体对此理解会带有自己的感情色彩。因此，应当对处理个人信息的合法原则尽可能释明，保证法律的确定性。对于合法获取、提供个人信息的行为规定较为具体的是欧盟《数据通用保护条例》（以下简称GPDR）。①GDPR第6条规定，至少满足以下中的一项，处理数据才是合法的:(1)数据主体同意为特定目的处理其数据;(2)处理数据是为签订或履行合同所需的;(3)处理数据是为遵守法定义务所需的;(4)处理数据是为了保护数据主体或其他自然人的至关重要的利益;(5)处理数据是为了公共利益或行使政府授予的权力;(6)处理数据是为追求数据控制者的合理利益，但不得损害数据主体的利益”GPDR规定了“合法处理数据”的主要内容，并对于如何实现数据开放与数据保护之间的平衡进行了制度性尝试，但对于“签订履行合同所需”“遵守法定义务所需”“合理利益”以及“至关重要的利益”等相对模糊性的规定，仍然存在难以操作的困难，尤其对于不同的数据主体或者角度，亦会产生不同的结论。②陈璐：《个人信息刑法保护之界限研究》，《河南大学学报（社会科学版）》2018年第3期，第73页。综上，合法获取、合法提供个人信息的行为边界在于合法、合意、合理，以更为明确的表述替代原则性表述。合法意味着合法获取、提供个人信息应当遵守个人信息保护相关的法律法规，按照法律规定行使权利，履行义务；合意指的是双方约定，包括口头约定、书面合同等体现、记录双方意思的形式；合理指的是追求公共利益在内的利益、正当目的、必要手段等需要依靠道德素养评价的行为。此类行为容易游走于犯罪的边缘，而又不易固定标准，应当由数据主体和数据处理者之外的第三方权力机构根据个案作出恰当判定。

（四）法秩序统一原则下正当化事由与责任减免事由的关注

侵犯公民个人信息罪启动的前提是行为“违反国家有关规定”，对违法程度较高的侵犯公民个人信息行为进行刑事制裁。因此，侵犯公民个人信息罪的犯罪圈应当与前位法的规定保持一致，以实现法秩序的统一性，避免前位法规定不违法的行为反而由刑法评价。刑法与前位法在保护目的上均是出于对个人信息的保护，区别在于刑法规制的行为违法程度更高。这种违法程度的层次分明决定了刑法的评价半径不能大于前位法，否则前位法将沦为虚置法，刑法僭越评价尚未纳入违法范围的侵犯公民个人信息行为，违反罪刑法定原则。因此，为了维护法秩序的统一，应当对“违反国家有关规定”进一步释明，使得刑法对侵犯个人信息的出击有合法根据。一方面，此处的国家有关规定应当限缩，防止宽泛抽象的前位法导致刑法适用不明确。“违反国家有关规定”只宜限于国家层面的有关规定，而不能包括地方性法规等非国家层面的规定。①喻海松：《网络犯罪的立法扩张与司法适用》，《法律适用》2016年第9期。另一方面，刑法对于个人信息的定义范围和侵犯公民个人信息的行为类型应当跟进前位法的修订。刑法不能盲目扩张侵犯公民个人信息罪的犯罪圈，需要根据民法、行政法等前位法的新态势作出调整，使得刑法与前位法相衔接适应。

随着大数据时代的发展，信息公共利益和个人信息利益的摩擦会更趋频繁，如果这些摩擦均纳入侵犯公民个人信息罪的调整范围，会导致刑法“手臂”延伸过长，不利于公共利益的实现。因此，对于侵犯公民个人信息罪的适用，应关注相应的豁免事由，缩小刑法规制的半径，同时还应防止其成为犯罪分子逃脱刑罚制裁的助力。对此，可以将侵犯公民个人信息罪的豁免事由限定为：其一，被收集信息者同意，包括明示和推定。网络环境中对于个人信息者的同意，一般以隐私声明的形式体现，由用户在浏览声明以后作出是否同意信息被收集的同意表示。此外，在基于客观的判断，能够确实地期待信息主体同意的情况下，即使没有为明示的同意，也得以推定信息主体同意对其个人信息的提供或者利用，因欠缺法益侵害性而不构成犯罪。②参见杨楠:《个人数位足迹刑法规制的功能性偏误与修正》，《安徽大学学报(哲学社会科学版)》2019年第4期，第100页。其二，有权机构维护的信息公共利益是重大的、紧急的国家利益、社会利益。例如，在新冠肺炎疫情期间，由于事态严重且恶化迅速，政府相关部门没有能力做到尽善尽美，在把主要精力放在防疫举措上时，不可避免地会忽视疫情相关的个人信息保护。在这种情况下首要任务是维护公共卫生安全和社会秩序，个人信息利益必须让位。其三，法令行为，主要适用于打击违法犯罪活动时。一方面，司法机关根据法令实施职权职务行为，有权获取犯罪嫌疑分子的身份信息、住址、行踪轨迹等个人信息，以便抓捕犯罪嫌疑分子。另一方面，公民个人根据法令实施举报犯罪嫌疑分子的行为，向司法机关提供相关人员的个人信息。违法犯罪活动影响社会秩序的稳定，事关公共利益，此时限缩犯罪嫌疑分子的个人信息利益具有正当性。