许桂敏 张 莹

当今社会，敏感个人信息被以不同的方式记录和使用，面临着巨大的泄露和滥用风险。敏感个人信息的刑法保护不仅关系信息主体的人格尊严、人身和财产安全，还关系着网络信息科技的发展、商业活动的有序开展和公共利益的维护。这一社会现实构成了当下敏感个人信息刑法保护研究的基本语境。①韩啸、张光顺：《侵犯公民个人信息罪犯罪对象研究》，《河北法学》2021年第10 期。由此出发，本文尝试就敏感个人信息的刑法保护问题进行分析探讨，以寻求法律保护与开发利用之间的平衡点、探索相关刑法规范的调整路径。

一、敏感个人信息刑法保护的现状

我国刑法第253 条规定了侵犯公民个人信息罪的构成要件，其中包含了“违反国家有关规定”的表述。这意味着在分析敏感个人信息刑法保护现状时，除了要重点关注刑法条文和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）外，还需要关注其他法律和行政法规，以形成对敏感个人信息保护的全景式观察。

（一）敏感个人信息的基本含义

刑法修正案（九）虽然修改了刑法第253 条的相关内容，但并未明确“敏感个人信息”的内涵。随后颁布的《解释》确立了个人信息分类分级保护模式，通过赋予不同类型的个人信息以不同的保护力度，在事实上将敏感个人信息与一般个人信息区分开来。②周光权：《侵犯公民个人信息罪的行为对象》，《清华法学》2021年第3 期。笔者认为，保护力度较强的两类个人信息应当属于敏感个人信息的范畴：首先是个人的行踪轨迹信息、通信内容、征信信息和财产信息。这四种信息在内容上并不属于同一领域，但在重要程度上具有相当性，所以《解释》将它们列为同一层级。同时，由于这四种信息的重要程度比其他敏感个人信息和一般个人信息更高，所以刑法对这四种信息的保护力度最强。其次是可能影响个人的人身、财产安全的敏感个人信息，例如住宿信息、交易信息等等。此类信息的重要程度要高于一般的个人信息，因此刑法保护力度亦强于一般的个人信息。

围绕敏感个人信息保护问题，刑法与其他多部法律共同形成了相关保护体系。民法典将个人信息区分为一般个人信息和私密信息两类，并设置不同的适用规定。《中华人民共和国个人信息保护法》明确了个人信息和敏感个人信息的概念，实现了敏感个人信息保护的重大突破。①参见《中华人民共和国民法典》第1034 条、《中华人民共和国个人信息保护法》第4 条和第28 条。其中，需要注意的是，“生物识别”与“医疗健康”同时出现在“敏感个人信息”概念中，表明这两者并非包含关系而是并列关系。②杜嘉雯、皮勇：《人工智能时代生物识别信息刑法保护的国际视野与中国立场》，《河北法学》2022年第1 期。

通过比较可以发现，尽管民法典、个人信息保护法和《解释》都认可个人信息的二分法，但它们对敏感个人信息保护的规定却并不完全相同。在敏感个人信息的概念方面，个人信息保护法予以明确，而民法典和《解释》则没有；在敏感个人信息的类型方面，《解释》和个人信息保护法进行了列举，而民法典则没有。同时，在已经列举出的敏感个人信息类型中，部分个人信息的敏感属性得到了《解释》和个人信息保护法的双重确认，如行踪轨迹信息、健康生理信息等；而部分个人信息的敏感属性则存在疑问，如生物识别信息、宗教信仰、不满十四周岁未成年人的个人信息等等。在敏感个人信息的再分类方面，《解释》进一步做出了细分，而民法典和个人信息保护法则没有。

（二）敏感个人信息的界定标准

对敏感个人信息的判定首先要遵循个人信息的基本判断标准——可识别性标准。其次，根据《解释》第5 条第1 款第4 项的概括性描述，敏感个人信息还应当符合人身安全标准或者财产安全标准。③宁园：《敏感个人信息的法律基准与范畴界定——以〈个人信息保护法〉第28 条第1 款为中心》，《比较法研究》2021年第5 期。人身安全标准主要考察个人信息与自然人生命、身体健康的紧密联系程度，例如行踪轨迹信息一旦被他人非法获取，可能引发故意杀人或故意伤害等犯罪。如赵某与男友况某因生活矛盾分手后，况某以2000 元人民币的价格向詹某购买了赵某的暂住地信息，随后持尖刀前往将赵某杀害。④参见（2017）浙02 刑初49 号刑事判决书。财产安全标准主要考察个人信息与财产安全的紧密联系程度，例如包含交易信息和财产信息的银行账户、电子账单一旦泄露，容易导致各种电信诈骗活动，给信息所有者造成财产损失。如吕某通过网络购买或者从上线接收的方式，非法获取个人财产信息17160 条，之后用于电信诈骗及出售获利。⑤参见（2021）赣0302 刑初79 号刑事判决书。可见，符合人身安全标准和财产安全标准的个人信息也应当纳入敏感个人信息的范畴，受到刑法重点保护。

（三）敏感个人信息的层级保护

不同类型的个人信息具有不同的重要性，通过对个人信息进行分类和定级，可以有针对性地实现对个人信息的保护。信息的分类和定级虽然属于不同的维度，但二者关系紧密，无法割裂。按照逻辑顺序，应当先“分类”后“定级”。⑥张勇：《数据安全分类分级的刑法保护》，《法治研究》2021年第3 期。与民法典和个人信息保护法相比，《解释》中敏感个人信息的层级保护模式存在特殊之处。

对于“出售或提供公民个人信息，该信息被他人用于犯罪”的情况，《解释》设置了两种证明要求：根据第5 条第1 款第1、2 项的规定，如果该信息属于行踪轨迹信息，无需考虑行为人主观是否明知；如果该信息属于行踪轨迹信息以外的其他公民个人信息，则需要证明行为人在主观上是明知的。⑦刘宪权：《敏感个人信息的刑法特殊保护研究》，《法学评论》2022年第3 期。换言之，出售或提供行踪轨迹信息行为的证明要求较低，可见对行踪轨迹信息的刑法保护力度较强。

对于“非法获取、出售或者提供个人信息”的情况，《解释》设置了三个入罪标准，体现在第5条第1 款第3-5 项。其中，适用“五十条以上”标准的个人信息属于第一层级，适用“五百条以上”标准的个人信息属于第二层级，适用“五千条以上”标准的个人信息属于第三层级。第一层级的个人信息范围受到严格限制，以列举的方式进行了明确，即只包含行踪轨迹信息、通信内容、征信信息、财产信息等四项。第二层级的个人信息以“列举+概括”的方式进行了规定，先列举出通信记录等敏感个人信息类型，然后借助概括性描述对敏感个人信息的类型进行“补强”。①王利明：《敏感个人信息保护的基本问题——以〈民法典〉和〈个人信息保护法〉的解释为背景》，《当代法学》2022年第1 期。此层级的保护对象与人身、财产安全密切相关，可以通过概括性描述作等外解释，即根据实际情况来衡量是否与通信记录等信息具有相当性。第三层级的保护对象是除前述信息以外的个人信息，是为了满足全面保护个人信息的需要、应对侵犯公民个人信息行为泛滥的现状而制定的。

二、敏感个人信息刑法保护的隐忧

在云计算和大数据技术快速发展的时代，敏感个人信息的类型会随着社会发展而改变，呈现出多样、融合、复杂等特点。复杂的信息环境使敏感个人信息刑法保护的界定标准和层级保护模式面临挑战，具体表现为对生物识别信息、符合人格尊严标准的敏感个人信息、不满十四周岁未成年人的个人信息的刑法保护力度较弱，行踪轨迹信息在司法适用中遭遇困境。

（一）敏感个人信息的界定标准问题

《解释》确立的可识别性标准、人身安全标准和财产安全标准为界定敏感个人信息提供了基本尺度，但没有直接和全面地反映人格尊严保护和未成年人个人信息保护的需求。泄露或者非法利用上述两类信息，很容易给信息主体带来重大风险。例如，周某通过非法软件获取300 余条女生裸贷照片。②参见（2019）苏02 刑终528 号刑事判决书。这些信息一旦泄露，便会侵害信息所有者的隐私权和名誉权，使其受到歧视或者不平等对待，给她们的正常生活带来极大的困扰。再如，在陈某展等人实施的侵犯公民个人信息、诈骗犯罪中，其侵害的对象包括未成年人和在校学生。③参见（2019）浙0602 刑初151 号刑事判决书。此种行为会侵害未成年人的身心健康，其影响程度和作用时间难以估量，甚至可能会给未成年人今后的人生埋下巨大隐患。显然，有关敏感个人信息的法定内涵缺失、界定标准不合理，无法将重要的敏感个人信息纳入其中，难以有效应对快速发展和灵活多变的社会现实。

（二）敏感个人信息的层级保护问题

在敏感个人信息的层级保护方面，某些重要敏感个人信息的应受重视程度与实际保护程度之间仍不匹配。例如，生物识别信息包括个人基因、虹膜、指纹、面部识别特征等，此类信息在智能支付、手机解锁、身份认证、罪犯甄别、出入境管理等诸多场景中应用广泛。④参见国家市场监督管理总局、国家标准化管理委员会2020年3月6日发布的《信息安全技术个人信息安全规范》第23-24 页。以智能支付场景为例，生物识别信息具有唯一性与不可变更性，可用作支付密码，与个人财产安全关系密切。随着人工智能技术的飞速发展，人脸合成技术水平不断提高，侵害生物识别信息的方式更具多样性和隐蔽性。⑤李明鲁：《“深度伪造”的刑法治理路径》，《科技与法律（中英文）》2021年第6 期。此类信息一旦泄露、滥用或被别有用心的人掌握，便很容易造成重大的财产安全风险，甚至在某些情况下，信息主体都并不知晓侵害行为的存在。

由此可知，首先，生物识别信息在数智时代中的应用前景十分广阔，其重要程度与第一层级的信息具有相当性。①周光权：《涉人脸识别犯罪的关键问题》，《比较法研究》2021年第6 期。但目前，第一层级仅列举了四类敏感个人信息，且无概括性术语规范。所以，生物识别信息无法被列入第一层级，而只能将其解释为“可能影响人身、财产安全的公民个人信息”，列入第二层级。其次，在符合人格尊严标准或未成年人标准的敏感个人信息中，有部分敏感个人信息同时满足第二层级的人身安全标准或者财产安全标准，因此这部分敏感个人信息可以适用第二层级的入罪门槛。但符合人格尊严标准或未成年人标准，却不符合第二层级标准的信息，只能列入第三层级。综合看来，对上述重要敏感个人信息的层级保护力度与其重要程度还不适配，刑法难以有效打击侵犯上述敏感个人信息的行为。

（三）行踪轨迹信息的司法适用问题

行踪轨迹信息与公众的日常活动息息相关，运动手环、手机等智能设备和汽车等出行工具大多能够提供位置服务，这些信息以数据形式储存于私人设备或云端。目前，违规收集行踪轨迹信息的新闻报道屡见不鲜，如“滴滴出行”App 被曝存在严重违法违规收集使用个人信息问题。②《关于下架“滴滴出行”App 的通报》， http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm， 访问日期：2022年4月24日。行踪轨迹信息在民法典、个人信息保护法和《解释》中均有涉及，但其概念并未明确。有学者从其他相关文件中进行探寻，发现《网络安全标准实践指南——网络数据分类分级指引》将行踪轨迹定义为基于实时地理位置形成的个人行踪和行程信息；而《汽车采集数据处理安全指南》只界定了行踪轨迹的下位概念“位置轨迹数据”；《信息安全技术个人信息安全规范》中将行踪轨迹与精准定位信息、住宿信息、经纬度一起列为“个人位置信息”。③文进宝、肖冬梅：《我国行踪轨迹信息保护范围认定困境与出路》，《图书馆论坛》2022年第7 期。虽然相关标准和规范性文件对行踪轨迹及其下位概念进行了界定或举例，但其效力不及刑法或司法解释，并在实践中出现了线状轨迹与点状位置之争。同时，行踪轨迹信息还可能与其他敏感个人信息发生融合。例如，财产信息中的交易消费记录可能含有行为轨迹信息。再如，当信息主体经常到访宗教寺庙或同性酒吧时，该信息既符合行踪轨迹信息，也可以推测个人的宗教信仰或性取向信息。④韩新远：《个人行为轨迹信息的法律属性与分类保护研究》，《交大法学》2021年第3 期。换言之，多种信息经过组合后可能属于不同的敏感个人信息类型，此时适用哪一层级的入罪标准就会存在疑问。

三、敏感个人信息刑法保护的功能改进

个人信息保护法对敏感个人信息的概念和处理规则规定得最为细致，是认定侵犯公民个人信息犯罪行为的重要前置法。⑤许亚洁：《个人信息安全风险调控的刑法模式》，《求是学刊》2022年第2 期。因此，敏感个人信息刑法保护的合理调整需要借鉴个人信息保护法的相关规定，使敏感个人信息的刑法保护能够适应时代快速发展所带来的改变，回应现实需求，并有效破除法律适用中的困境。

（一）明确敏感个人信息的概念

法律的生命力在于实施。在敏感个人信息的保护体系中，重点协调刑法与个人信息保护法的关系，可以增强敏感个人信息保护的力度和效能。与民法典、网络安全法等法律和行政法规相比，个人信息保护法全面、广泛地规定了个人信息保护的内容，其严密性已经超越了其他法律法规的相关规定。⑥王利明、丁晓东：《论〈个人信息保护法〉的亮点、特色与适用》，《法学家》2021年第6 期。其中，第28 条对敏感个人信息的界定不仅体现了人身安全标准和财产安全标准，还体现了人格尊严标准和未成年人标准，具有现实合理性。因此，笔者认为《解释》第1条可以参照个人信息保护法第28条的规定增加敏感个人信息的定义，以实现刑法与其他法律法规对个人信息保护的合理衔接，保持法秩序的统一。

具体而言，依据人格尊严标准，就是要从个人信息与人格尊严的关系出发，将一旦泄露或者非法使用就可能使信息所有者的人格尊严受到侵害的信息列入敏感个人信息，如宗教信仰信息、性生活信息、性取向信息、私密照片或视频等等。依据未成年人标准，就是要从保护未成年人这一特殊主体出发，将不满十四周岁的未成年人的部分个人信息列入敏感个人信息进行保护。当然，这并不意味着盲目地将不满十四周岁未成年人的所有个人信息都按照敏感个人信息进行刑法保护。①刘宪权、王哲：《侵犯公民个人信息罪刑法适用的调整和重构》，《安徽大学学报(哲学社会科学版)》2022年第1 期。按照法律位阶的基本规则，刑法需依据一定的规则控制处罚范围与处罚程度，将一小部分违反前置法的侵犯公民个人信息行为认定为犯罪。所以，应当进一步细化侵犯公民个人信息罪中涉及未成年人个人信息的条款。

（二）完善敏感个人信息的层级保护

由于个人信息的内容是海量的，不同类型的个人信息在刑法保护的必要性与紧迫程度上存在差异，因此，将个人信息分为一般个人信息和敏感个人信息的做法具有正当性与必要性。由此，《解释》第5条第1 款的第2 项与第5 项的保护对象应当修改为“公民一般个人信息”，第1 项与第4 项的保护对象修改为“公民敏感个人信息”；同时，对具有高保护必要性与紧迫性的敏感个人信息应当给予高强度的特殊刑法保护，对保护必要性与紧迫性较低的个人信息则给予低强度的一般刑法保护。

对敏感个人信息的再分类存在不同的方式。民法典和个人信息保护法并没有对敏感个人信息进行再分类，所有的敏感个人信息均被赋予相同的保护力度。笔者认为，敏感个人信息本身类型多样、应用场景存在差异，其敏感性和重要程度自然存在区别，而这种区别就构成了敏感个人信息再分类的现实基础。②田宇申：《互联网保险中个人信息保护的法律规制——以个人信息保护政策为切入》，《兰州学刊》2021年第9 期。所以，在《解释》第1条增加敏感个人信息的定义后，以统一定义为基础，有必要进一步明确敏感个人信息不同类型的本质、属性及其相互关系，然后再按照一定原则对分类后的敏感个人信息进行定级。③胡文涛：《我国个人敏感信息界定之构想》，《中国法学》2018年第5 期。根据前述，《解释》中敏感个人信息的层级保护模式存在一定的瑕疵，所以笔者建议将《解释》第5 条第1 款第3 项的保护对象修改为“可能影响人身、财产安全的公民敏感个人信息，如行踪轨迹信息、生物识别信息、通信内容、征信信息、财产信息等”；将第4 项的保护对象修改为“第3 项规定以外的其他公民敏感个人信息，如宗教信仰、与性相关的信息、不满十四周岁未成年人的信息等”；将第5 项的保护对象修改为“公民一般个人信息”。换言之，要在静态列举为主的立法模式下，同时兼顾信息利用的情景、目的等动态因素，以改进敏感个人信息的保护模式。④田野、张晨辉：《论敏感个人信息的法律保护》，《河南社会科学》2019年第7 期。

（三）厘清行踪轨迹信息的适用难点

行踪轨迹信息与公民的人身和财产安全具有高度关联性。当前，《解释》为侵犯个人行踪轨迹信息行为设定的入罪门槛和证明要求都与一般个人信息和较低层级的敏感个人信息存在明显区别。可见，行踪轨迹信息处在敏感个人信息刑法保护的最高层级。不过，由于行踪轨迹信息的特殊性质和地位，其在司法适用中仍有诸多认定难题，因而有必要进一步做出校准。对于行踪轨迹信息与其他信息组合后涉及敏感个人信息刑法保护不同层级的问题，笔者认为应当遵循侵犯较高层级个人信息的入罪标准。如果按照较低层级的入罪门槛，那么就降低了对行踪轨迹信息原有的保护力度，有违对行踪轨迹信息进行特殊保护的刑法内涵。⑤刘伟：《刑法视阈中的“公民个人信息”解读》，《社会科学家》2020年第7 期。至于行踪轨迹信息的刑法概念，笔者认为应当包括定位信息和行迹信息两个部分。前者表现为“点状位置”，是指特定时刻地球上特定主体的精确空间位置信息，以时空坐标参数为呈现形式，包括经度、纬度、高程、行进方向、记录位置信息的时间等具体信息。后者表现为“线状轨迹”，是指特定时间段地球上特定主体的连续空间位置信息。⑥杨君琳：《论北斗时代的个人位置信息法律保护》，《法学杂志》2021年第2 期。但是，线状轨迹信息的外延应当适当缩小。如果线状轨迹信息比较粗略，难以对特定个体的安全造成现实威胁，就不属于行踪轨迹信息。例如，载明起止位置与时间的机票、船票、火车票、汽车票等，以及“某人三个月内都在北京”的信息，此类信息可以分情况降级为其他类型的敏感个人信息或者一般个人信息。这样，既可以全面打击侵犯公民个人信息的行为，也可以避免行踪轨迹信息保护范围的无限扩张。

四、结语

在信息社会，全方位挖掘和利用个人信息已是一种普遍现象，敏感个人信息的安全风险也由此不断升高。①许桂敏、张转：《非法获取公民个人信息行为的智化、解读与规制——基于技术的多维面向》，《中国人民公安大学学报(社会科学版)》2020年第6 期。2015年，刑法修正案（九）确定了侵犯公民个人信息罪的罪名条款，并通过在“点”上对严重侵犯个人信息的犯罪行为进行精准打击，来实现“面”上的威慑效果。②张志强：《大数据时代裁判文书公开与个人信息保护》，《江苏警官学院学报》2021年第1 期。近年来，随着形势的发展变化以及公民个人信息保护意识的提高，刑法修正案（九）以及《解释》的部分内容已不能很好地适应治理犯罪的现实需求。因此，本文结合时代发展趋势和个人信息保护法的规定，就敏感个人信息的刑法保护提出调整思路，以期构建起更加完善的法律保护体系。