江媛媛

南京信息工程大学，江苏 南京 210000

一、问题的提出

互联网技术飞速发展带来信息安全风险问题，为应对这一挑战，我国在个人信息保护领域形成了刑法一马当先，而民事手段、行政手段保护个人信息的效果却尚未彰显的特有格局。然而，在民法这一最重要的前置法日益完善的背景下，个人信息应回归民法保护优先的应然状态，刑法作为保障法应坚守自身谦抑性。同时，民法和刑法本就具有同源性，因此，在确定侵犯公民个人信息罪时的入罪标准时还应当考量民法对于个人信息保护的合理制度设计。如此，民刑既得到合理区分，又相互渗透，实现个人信息保护方面刑法和民法的协调衔接，实现信息流动和信息保护的平衡。

二、刑民一体化视角下个人信息内涵的厘清

（一）个人信息的根本属性——可识别性

通过《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）①参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条：“《刑法》第二百五十三条规定的‘公民个人信息’是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹。”和《中华人民共和国民法典》（以下简称《民法典》）②参见《中华人民共和国民法典》第一千零三十四条：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”我们可以看出民刑关于个人信息的定义基本相同，都采用了“可识别说”，即相关信息与特定公民具有一定的关联性与专属性，通过这些信息符号直接识别出信息主体，或者与其他信息结合间接识别出主体身份和个体特征。但是，仔细对比，我们会发现《中华人民共和国刑法》(以下简称《刑法》)中的个人信息内涵经历了这样一个过程：从2012年12月28日全国人大常委会通过的《关于加强网络信息保护的决定》（以下简称《决定》）、2013年4月23日两高一部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》中“狭义的可识别性加隐私性”到《中华人民共和国网络安全法》（以下简称《网络安全法》）中“广义的可识别性”再到《解释》中“具有广义可识别性的个人身份认证信息和不需要可识别性的可能影响人身、财产安全的个人信息”。从中可以看出个人信息概念外延在不断扩张。该种做法实际上是坚持了预备行为实行化和法益保护前置的预防性刑事立法思想。司法者通过扩大公民个人信息的内涵来扩大个人信息犯罪的保护范围，实现预防个人信息被滥用引发的人身、财产安全风险的目的。

笔者认为，从民刑一体化视角出发，民法作为前置法，采用“可识别性”作为个人信息判断的核心标准，为了保持前置法和保障法之间的协调一致，刑法也应当坚持将可识别性作为刑法意义上的个人信息的根本属性，对于账号密码此类信息原本不具有可识别性，但由于电子支付技术的发展，具有支付功能的第三方支付账号都要求实名认证后才可以使用。这些账号由于经过实名认证，具有极强的身份属性，具备可识别性，但仍存在有些账号密码可能“未绑定”身份证号、手机号码等特定信息，不具备可识别性，不属于公民个人信息。

（二）敏感信息

此次施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）进步之处之一在于首次对敏感个人信息进行了专节规定，加大了敏感信息的保护力度。《个人信息保护法》对敏感信息的定位采取概括加列举的方式，根据该法第二十八条规定，敏感信息主要是指与人格尊严、人身、财产安全联系更紧密的一类信息，例如医疗健康信息、金融账户等。然而，该条列举的是较为泛化的信息类型，并不指向某一具体信息。敏感信息与一般信息的本质区别在于此类信息处理被用于违法行为、导致人格尊严、人身财产权益受侵害的可能性、风险性更高。［1］形式上属于《个人信息保护法》第二十八条列举的敏感信息类型，但实质上不符合上述本质特征的信息，并不属于敏感信息。《个人信息保护法》对一般信息保护和利用并重，而针对敏感信息，更注重对人格利益的保护，对处理者提出了更严格的限制，例如处理敏感信息必须征得权利人的单独同意，履行更严格的告知义务等。［2］

三、刑民一体化视角下侵犯公民个人信息罪的要素解构

（一）法益要素

侵犯公民个人信息罪的法益认定历来存在个人法益与超个人法益之争。笔者认为，侵犯公民个人信息罪的保护法益是一种新型复合型的法益，需要从公民、社会、国家多个维度解读。

1.严重个人法益的侵犯

（1）个人法益的核心——信息自决权。信息自决权即个人对于其自身相关的信息，能拥有充分的自主权，能自主决定于何时、向何人、在何种范围、以何种方式进行处分使用。［3］世界上个人信息保护存在欧洲法和美国法两种不同的理论源头和保护模式，但是其本质均是个人对自己信息的自治。我国现行立法也表明侵犯公民个人信息行为的个人法益核心是信息自决权。根据《民法典》《网络安全法》《个人信息保护法》的规定，处理个人信息都要取得个人的同意，从中体现了尊重信息主体的意志，由个人自主决定个人信息的处理。而且当前立法对于个人信息保护采取的是利益衡量进路的立场，优先保护国家与社会利益，对信息主体利益保护严重不足。［4］因此，将信息自决权作为个人法益的核心有利于加强对信息主体权益的保护，发挥刑法自由保障机能。

（2）人格权属性的延伸——财产权属性。对于个人信息的财产利益需要从自然人和数据经营者两个维度展开：一方面，人格权的商业化利用使得个人信息具有了财产权属性；另一方面，单个的个人信息往往经济价值微薄，数据经营者（一般多为企业）通常对收集来的海量个人信息加工处理，使之成为具有使用价值的信息，构建数据库。由此，数据企业便具有了数据财产权。由于自然人个人信息法益的核心是信息自决权，因此自然人的个人信息的处理更加强调知情同意原则，而对数据企业的数据财产权弱化知情同意原则。［5］

2.超个人法益的侵犯

公民个人信息不仅仅直接关系个人的信息安全与生活安宁，而且影响社会公共利益、国家安全。具体来说，超个人法益分为社会法益和国家法益两个层面。（1）社会法益主要是一种社会信息管理秩序。［6］侵犯公民信息犯罪极易滋生绑架、电信诈骗、敲诈勒索等下游犯罪，不仅危害个人的人身、财产安全，还影响社会稳定。《解释》将侵犯个人信息用途、侵犯个人信息造成的后果作为决定“情节严重”与“情节特别严重”的因素，就体现了个人信息的社会法益属性。（2）国家法益。个人信息有可能涉及国家秘密，而个人信息跨境流动也可能涉及国家安全。

尽管风险社会背景下社会法益逐渐具有扩张趋势，但笔者认为，首先，国家法益和社会法益这类集合性的法益在本质上都是对个人法益的高度抽象化［7］，且“公共利益”“社会利益”本身就是最富争议性的概念，在法益理论限制刑罚处罚方面的解释机能方面较弱，而传统个人法益相比较而言，能够较好限制刑罚发动和处罚范围；［8］其次，在互联网时代，公民个人信息安全风险大大增加，然而个人在强大的公权力和科技力量面前，自身抵御风险的能力削弱，因此，必须把个人权利和自由放在法益位阶上的优先地位，以传统个人法益保护为主，合理限制“超个人法益”的保护范围和力度。

（二）数量要素

根据《解释》规定，把公民个人信息分为敏感个人信息、重要信息、普通信息三类，对不同类型的公民个人信息设定了不同的数量要求。一般来说，个人信息的数量与侵犯公民个人信息罪的社会法益密切相连，数量越大社会法益遭受的侵害程度越大。然而，就同一类型的信息而言，例如非法获取、出售或者提供一般个人信息500条，难道一定比非法获取5000条的行为对法益的现实侵害或者侵害的危险性小吗，侵犯非常敏感的私密信息，例如身份证号、银行账号密码，即使未达到一定的数量标准，也可能对信息主体的人格利益、财产利益产生损害，同样具有刑罚可罚性；就不同类型信息而言，侵犯一般个人信息500条与侵犯敏感的行踪轨迹信息、征信信息、财产信息5条的法益侵害性如何比较，孰轻孰重?侵犯个人信息的数量越多，法益风险等级并不一定就越高。［9］然而由于数量要素是最易于统计也是最易认定的因素，因此，实务中法官往往以此为标准进行情节认定，不再考虑行为人所侵犯的公民个人信息的类型、流向等其他因素，使得其他几个方面的认定角度虚置化，出现唯数量论倾向。

总之，数量要素与法益风险等级并不必然成正比，侵犯公民个人信息数量越多，法益侵害性并不一定越严重，在判断侵犯公民个人信息行为是否需要入罪处罚时，应当结合犯罪构成因素之间的相互影响，综合考虑信息类型、信息数量、信息用途等因素加以评判其行为是否构成“情节严重”。［10］

（三）前置性要素

根据《刑法》规定，要构成侵犯公民个人信息罪，必须“违反国家有关规定”，因此对侵犯公民个人信息罪的界定有赖于行政前置性法律法规的相关规定。那么该行政前置性法律法规的具体指什么呢？事实上，在《刑法修正案（七）》中该空白罪状为“违反国家规定”，《刑法修正案（九）》中为“违反国家有关规定”。通过对比《刑法》第九十六条规定①参见《中华人民共和国刑法》第九十六条：“本法所称‘违反国家规定’，是指违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令。和《解释》第二条②参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第二条：“违反法律、行政法规、部门规章有关公民个人信息保护的规定的，应当认定为《刑法》第二百五十三条之一规定的‘违反国家有关规定’”。会发现，显然《解释》中多了“部门规章”，范围大于《刑法》总则第九十六条的规定。《刑法》总则条文对《刑法》分则条文适用起指导和制约作用，对分则条文中“违反国家有关规定”的理解必须受总则约束。［11］在既有规定下，为平衡罪刑法定原则与司法适用的矛盾，应当对《解释》第二条的内容作限缩解释，即“国家有关规定”指的是法律、行政法规，而只有当部门规章是对法律、行政法规中的规定予以明确、细化的情形下，才能与法律、行政法规一起作为判断行为是否“违反国家有关规定”的依据。

为了进一步限缩不当扩张的“国家有关规定”，发挥行政前置要素厘清入罪边界的功能，应将“违反国家有关规定”作为违法阻却事由。“国家有关规定”主要体现在依法取得、确保信息安全、依法依约使用处理三个方面，因此只要行为人做到了以上三个方面就不具有违法性，阻却违法性，不能定罪处罚。［12］

四、结语

2021年8月20日通过的《个人信息保护法》回应了人民群众对于个人信息保护的重大关切，为个人信息保护提供了更有力的法治保障。治理侵犯公民个人信息行为，如果只依靠刑法规制，不利于信息的流动、经济价值的发挥和公民的自由保障。应当发挥民法、行政法作为前置法对侵犯公民个人信息的调节作用，合理确定刑事法律的入罪边界，鼓励个人信息的合理流通和利用。