刘宪权，王 哲

自我国刑法中设立侵犯公民个人信息罪以来，针对该罪适用规则的争议便从未停止过。当前，侵犯公民个人信息罪的法律适用主要存在个人信息概念不明确、“违反国家有关规定”的含义不清晰、保护法益不明确以及“情节严重”认定标准不合理等问题(1)参见叶良芳、应家赟《非法获取公民个人信息之“公民个人信息”的教义学阐释——以〈刑事审判参考〉第1009号案例为样本》，《浙江社会科学》2016年第4期；高楚南《刑法视野下公民个人信息法益重析及范围扩充》，《中国刑事法杂志》2019年第2期；于冲《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》，《政治与法律》2018年第4期；李川《个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入》，《中国刑事法杂志》2019年第5期；张勇《个人信用信息法益及刑法保护：以互联网征信为视角》，《东方法学》2019年第1期；马永强《侵犯公民个人信息罪的法益属性确证》，《环球法律评论》2021年第2期；刘宪权、房慧颖《侵犯公民个人信息罪定罪量刑标准再析》，《华东政法大学学报》2017年第6期。。如不能将上述问题予以正确解决则将增加司法人员恣意适用侵犯公民个人信息罪刑法条文的风险。考虑到侵犯公民个人信息罪的准确适用与该罪前置法的规定密不可分，单独依靠刑法条文及其自身逻辑体系所构建的刑法适用规则难免片面且不够准确、合理，故而我们应该从个人信息整体法律保护体系的视角重新构建侵犯公民个人信息罪的刑法适用规则。刚颁行不久的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)增加了个人信息处理者和国家有关部门对个人信息处理的义务，并赋予了公民对个人信息控制更为优越的权利，这无疑为我们完善侵犯公民个人信息罪的刑法适用规则提供了重要基础和依据。本文将在法秩序统一的视角下，明确侵犯公民个人信息罪中个人信息的定义，确立侵犯公民个人信息罪中“违法国家有关规定”的基本含义，界定该罪的保护法益，并进一步明确该罪“情节严重”的标准，以助力于准确适用和完善侵犯公民个人信息罪的刑法规定。

一、侵犯公民个人信息罪中个人信息的再定义

认定侵犯公民个人信息罪的基本前提是明确个人信息的定义，确立刑法对个人信息的保护范围。《个人信息保护法》对个人信息的定义与侵犯公民个人信息罪司法解释中个人信息的定义存在一定差异。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息解释》)第1条将个人信息定义为：以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。但是，《个人信息保护法》则在第4条将个人信息定义为：以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

相较而言，《个人信息保护法》与《个人信息解释》对个人信息的定义主要有三点不同：其一，在个人信息范围方面，《个人信息解释》所界定的范围包括“反映自然人活动情况的各种信息”，而《个人信息保护法》则并未涉及该类个人信息；其二，在个人信息特征方面，《个人信息解释》将“能够单独识别”与“可以和其他信息结合识别”规定为个人信息的特征，而《个人信息保护法》并未采用此种表述；其三，在个人信息识别对象方面，《个人信息解释》中的个人信息的识别对象是“自然人身份(自然人活动情况)”，而《个人信息保护法》中个人信息的识别对象是“自然人”。笔者认为，应对《个人信息解释》中个人信息的定义进行适当调整，以与《个人信息保护法》的定义保持一致，具体包括以下几点：

首先，《个人信息解释》对个人信息范围的表述应与《个人信息保护法》一致。按照法律位阶的基本规则，如果一个行为不受行政法处罚，则自然更不应当受刑法的规制。在侵犯公民个人信息犯罪行为的认定上，刑法应具有片段性，只能将一小部分违反前置法的侵犯公民个人信息违法行为认定为犯罪。因此，刑法所界定的个人信息的范围，只能小于或者等于《个人信息保护法》所界定的个人信息的范围。但是，《个人信息解释》所界定的个人信息的范围包含了“反映自然人活动情况的各种信息”等内容，而《个人信息保护法》却并未将此列入其所界定的个人信息范围。需要指出的是，“反映自然人活动情况的各种信息”重在强调个人信息的关联性而非识别性，而具有关联性的个人信息范围显然要大于具有识别性的个人信息范围。因为具有识别性的个人信息必定与特定自然人发生关联，但有关特定人的个人信息却不一定具有识别功能(2)杨楠：《个人数位足迹刑法规制的功能性偏误与修正》，《安徽大学学报(哲学社会科学版)》2019年第4期。。就此而言，《个人信息解释》对个人信息的定义范围显然超出了《个人信息保护法》的定义范围。《个人信息解释》对个人信息范围的规定中有关“反映自然人活动情况的各种信息”的内容似乎应该予以剔除，以最大限度地保持与《个人信息保护法》对个人信息规定范围的一致。

其次，《个人信息解释》对个人信息特征的表述应与《个人信息保护法》一致。如前所述，《个人信息解释》采用了“能够单独识别”以及“可以和其他信息结合识别”的提法来具体区分和表述个人信息特征。这种特征表述实际上存在一定的缺陷，因为不存在通过一条个人信息可以单独识别“特定自然人身份”的情况。例如，如欲根据某一身份证号码来确定某人身份，则至少需要两条个人信息，即“身份证号码”和“该身份证号码对应用户的真实姓名”，只有两者相互结合方可识别特定自然人身份。就此而言，《个人信息解释》用“能够单独识别”和“可结合识别”这些特征表述对个人信息进行分类显然存在不妥之处。需要指出的是，《个人信息解释》对个人信息特征的表述来源于前置法的相关规定。结合相关规定颁布的时间可知，《个人信息解释》(2017年)对个人信息特征的表述基本参照《网络安全法》(2016年)对个人信息的相关规定(3)参见《网络安全法》第76条：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。。笔者认为，随着《个人信息保护法》(2021年)的出台，无论是行政法还是刑法司法解释对个人信息特征的表述都应该以最新《个人信息保护法》的规定为基准。据此，我们对侵犯公民个人信息罪的司法解释中个人信息特征的表述进行相应的修正，既有必要也十分紧迫。

最后，《个人信息解释》对个人信息识别对象的表述应与《个人信息保护法》一致。相较而言，《个人信息解释》将个人信息的识别对象规定为“自然人身份”，而《个人信息保护法》将个人信息的识别对象规定为“自然人”。有观点认为，需要区分“自然人身份”和“自然人”两个概念，“自然人身份”实际上是指“你是谁”，而“自然人”是指“你是某个谁”，前者指向具有身份标识的显名的个人，后者指向符号化的隐名的个人(4)杨君琳：《论北斗时代的个人位置信息法律保护》，《法学杂志》2021年第2期。。笔者认同上述观点，“识别特定自然人身份”和“识别特定自然人”的含义并不完全相同。“自然人身份”可以有很多个，而“自然人”只能是特指。例如，识别到某人是某公司高层人员属于识别特定自然人身份，而识别到某人姓名为张三才属于识别特定自然人。由于“自然人”与公民人身、财产权利的联系更为紧密，相比之下，“自然人”较“自然人身份”似乎更值得刑法保护。由此，侵犯公民个人信息罪的司法解释中有关个人信息识别对象的表述，理应参照《个人信息保护法》的表述进行修正。

综上所述，《个人信息解释》与《个人信息保护法》对侵犯公民个人信息罪中个人信息的范围、特征以及识别对象的表述均存在不同，司法解释理应做出一定程度的修正，可将侵犯公民个人信息罪中的个人信息明确定义为：“以电子或者其他方式记录的、与已识别或者可识别的自然人有关的各种信息。”

需要特别说明的是，现行刑法有关侵犯公民个人信息罪客观行为方式为非法获取、提供、出售的行为，受这些行为方式决定，侵犯公民个人信息罪中个人信息范围并不包括已公开个人信息。因为就已公开个人信息而言，不存在对其进行非法获取、提供、出售的情形，任何人都可能或有权利获取已公开个人信息。由于对已公开个人信息的获取或提供行为不会违反国家有关规定，相关行为也就不可能具有非法性(5)参见刘宪权、房慧颖《侵犯公民个人信息罪定罪量刑标准再析》，《华东政法大学学报》2017年第6期。。但是，滥用个人信息不必然以非法获取他人信息为前置条件(6)李怀胜：《公民个人信息保护的刑法扩展路径及策略转变》，《江淮论坛》2020年第3期。，刑法理应将合法获取但非法使用个人信息的行为归入侵犯公民个人信息罪的行为方式之中，侵犯公民个人信息罪的个人信息范围也应包含已公开个人信息。具体理由如下：其一，从刑法内在体系层面考虑，对于已公开个人信息而言，虽不存在对其非法获取、提供或出售的行为，但完全可能存在合法获取但非法使用已公开个人信息的行为。如果侵犯公民个人信息罪将合法获取但非法使用个人信息的行为规定为该罪行为方式之一，则合法获取但非法使用已公开个人信息行为当然属于侵犯公民个人信息罪的行为范畴。其二，从刑行衔接层面考虑，《个人信息保护法》明确了对于已公开个人信息的保护。《个人信息保护法》第27条明确规定，个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。同时，个人拥有拒绝他人对于已公开个人信息进行处理的权利。据此，当个人信息处理者非法使用已公开个人信息并危及个人权益的，相关行为也构成侵犯公民个人信息行政违法行为。因此刑法具备规制合法获取但非法使用已公开个人信息行为的前提条件，而不会与前置法产生冲突。其三，从社会危害性层面考虑，合法获取但非法使用已公开个人信息行为具备一定的社会危害性，相关行为值得刑法予以规制。随着科技的发展和进步，网络空间中出现大量利用已公开个人信息从事非法活动的情形，如利用换脸、换声技术损害当事人名誉，在某种程度上这些行为对于公民个人权益可能造成严重的侵害。如果仅仅依靠民法和行政法的相关规定对这些具有严重社会危害性的行为加以规制，显然不足以有效遏止这类现象的发展势头。综上，侵犯公民个人信息罪中的个人信息应包含已公开个人信息。

二、侵犯公民个人信息罪中“违反国家有关规定”的再限缩

(一)“国家有关规定”应限于法律和行政法规

“违反国家有关规定”是侵犯公民个人信息罪的重要构成要件。根据《个人信息解释》第2条的规定，违反法律、行政法规、部门规章有关个人信息保护的规定的，应当认定为《刑法》第253条之一规定的“违反国家有关规定”。据此，我们有必要首先明确“违反国家有关规定”中的“国家有关规定”的范围，是仅指法律和行政法规，还是说既包括法律和行政法规，也包括部门规章和地方性法规？对此，有观点认为，参照最高人民法院对有关“以国务院办公厅名义制发的文件”作出的界定，只要部门规章与相关法律、行政法规不相抵触，就可以视为“国家有关规定”，而不必以法律、行政法规有明确规定为前提(7)参见张勇《APP个人信息的刑法保护：以知情同意为视角》，《法学》2020年第8期。。也有学者认为，“违反国家有关规定”只宜限于法律和行政法规，而不应包含部门规章和地方性法规，由此可达到限缩侵犯公民个人信息罪适用范围的目的，防止宽泛、抽象的前置法导致刑法适用不明确(8)参见冀洋《法益自决权与侵犯公民个人信息罪的司法边界》，《中国法学》2019年第4期。。依笔者看来，由于部门规章与地方性法规等对侵犯公民个人信息情形的认定难免存在一定的差异，如果侵犯公民个人信息罪中的“国家有关规定”包含部门规章和地方性法规，则容易导致认定侵犯公民个人信息罪时产生不确定性。同时，考虑到部门规章和地方性法规的变动较为频繁，而刑法不宜朝令夕改，所以我们不应对“国家有关规定”包含的内容作宽泛的理解。由此，笔者认为，应当将“国家有关规定”限于法律和行政法规，而不应包含部门规章和地方性法规。

(二)刑法对个人信息保护范围应小于《个人信息保护法》规定的范围

虽然“国家有关规定”应限于法律和行政法规，但也并非所有违反法律和行政法规的侵犯公民个人信息行为均需要刑法予以规制。这就涉及刑法与其他法律法规对个人信息的保护应当如何进行有效衔接的问题。需要指出的是，《个人信息保护法》不仅涵盖了《民法典》《网络安全法》等法律和行政法规对个人信息保护的内容，同时还更全面、广泛地规定了个人信息保护的其他内容。相较而言，《个人信息保护法》对个人信息保护规定的严密性已经超越了其他法律法规的相关规定。由此，我们完全可以得出结论，刑法与其他法律法规对个人信息保护的衔接问题，实际上就是刑法与《个人信息保护法》对个人信息保护的衔接问题。

有效解决刑法与《个人信息保护法》对个人信息保护衔接问题的关键在于如何准确理解刑法与前置法的位阶关系。也就是在法秩序统一视角下，应当如何界定侵犯公民个人信息犯罪行为与一般侵犯公民个人信息行政违法行为的边界。总体而言，刑事违法性的判断应从属于行政违法性的判断，如果相关行为不具有行政违法性，则该行为不具有刑事违法性。而更为重要的是，刑事违法性的判断也具有相对的独立性。犯罪行为的认定，最终仍然取决于刑法有关规定和理论(9)王绍武：《法秩序统一性视野下违法判断的相对性》，《中外法学》2015年第1期。。也就是说，在个人信息保护的刑行衔接上，应重视刑法对侵犯公民个人信息行为定性所考虑的因素与《个人信息保护法》对侵犯公民个人信息违法行为认定所考虑因素的相关区别。在犯罪行为的认定上，一方面需要明确相关行为是否触犯了刑法的相关规定，是否符合相关犯罪的构成要件；另一方面还需明确相关行为是否对刑法保护的法益造成严重侵害。

首先，侵犯公民个人信息罪是故意犯罪，且该罪仅规定了非法获取、非法提供和非法出售个人信息这三种犯罪行为方式。但是，《个人信息保护法》除规定了非法收集(相当于刑法中的获取行为)、提供以及买卖个人信息行为(相当于刑法中的出售行为)，还规定了过失侵犯公民个人信息行为、合法获取但非法存储个人信息行为以及合法获取但非法使用个人信息行为等。严格按照罪刑法定原则的要求，有些行为就没有构成侵犯公民个人信息罪的可能性。理由主要是：

第一，过失侵犯公民个人信息行为不构成侵犯公民个人信息罪。结合侵犯公民个人信息罪法条规定，无论是该罪第1、2款规定的出售或提供行为，还是该罪第3款规定的窃取或以其他方法非法获取行为，三种犯罪行为方式中的行为人主观方面均表现为故意的心态。该罪属于刑法分则中典型的故意犯罪，这在刑法理论上已经形成共识。而《个人信息保护法》中的侵犯个人信息违法行为虽然在条文规定中没有明确包括过失行为，实际上确实是包括过失行为的。例如，在获取个人信息的授权之后，个人信息处理者确有可能产生错误认识，认为自己也同时获得了转让个人信息处理的相关权限，而将相关个人信息提供给他人使用。此时，由于行为人对公民个人信息的侵犯是一种过失的心态，行为人虽违反《个人信息保护法》的有关规定，但相关行为并不构成侵犯公民个人信息罪。

第二，合法获取但非法存储个人信息行为不构成侵犯公民个人信息罪。《个人信息保护法》第47条明确规定了个人信息处理者应当主动删除个人信息的相关情形，包括处理目的已实现、无法实现或者为实现处理目的不再必要；个人信息处理者停止提供产品或者服务，或者保存期限已届满；个人撤回同意等。所谓“合法获取但非法存储个人信息”行为，是指个人信息处理者先合法获取了相关个人信息，但由于上述《个人信息保护法》所规定的相关原因，处理者丧失了合法存储个人信息的相关权利，未履行相关删除义务而继续持有该个人信息的行为。从形式上看，现行刑法中侵犯公民个人信息罪仅规定了非法获取、非法提供和非法出售个人信息三种行为方式，合法获取但非法存储个人信息行为不属于上述三种犯罪行为方式的任何一种，故该行为显然不可能构成侵犯公民个人信息罪。从实质上看，合法获取但非法存储个人信息行为的社会危害性要低于非法获取个人信息行为的社会危害性。因为非法获取个人信息行为以作为的方式主动破坏了公民自由授权个人信息处理相关权限的权利，而非法存储个人信息行为仅属于一种不履行《个人信息保护法》相关规定义务的不作为行为。因此，合法获取但非法存储个人信息的行为不应构成侵犯公民个人信息罪。

第三，合法获取但非法使用个人信息行为不构成侵犯公民个人信息罪。《个人信息保护法》第14条规定，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。所谓“合法获取但非法使用个人信息”行为，是指个人信息处理者先合法获取了相关个人信息，但由于上述《个人信息保护法》所规定的相关原因，处理者丧失了合法存储个人信息的相关权利，未履行相关删除义务而继续使用该个人信息的行为。同理，就实然层面而言，现行刑法也未将合法获取但非法使用个人信息行为纳入侵犯公民个人信息罪的行为方式中。因此，现阶段只能对该行为按侵犯公民个人信息行政违法行为论处。然而，就应然层面而言，合法获取但非法使用个人信息行为与非法获取个人信息行为一样，均主动破坏了公民自由处理个人信息的相关权利。在某种程度上该行为的社会危害性并不一定低于非法获取个人信息行为。司法实践中，合法获取但非法使用个人信息行为也并不少见，该类行为严重侵害个人对于个人信息的自决权，且对个人人格尊严、人身及财产安全会产生一定甚至严重的危害。同时，根据《个人信息保护法》第10条的规定，任何组织、个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。可见，个人信息的使用环节与个人信息的收集、提供、出售环节一样，是个人信息处理流程中的关键阶段，受《个人信息保护法》的重点保护。为加强对个人信息的全面保护，刑法理应将合法获取但非法使用个人信息行为纳入侵犯公民个人信息罪的行为方式之中。当个人信息使用者合法获取个人信息之后，又任意改变个人信息的使用目的、范围时，相关个人信息使用行为应当构成侵犯公民个人信息罪。

其次，如果侵犯公民个人信息的行为符合侵犯公民个人信息罪规定的具体行为方式，但不具有法益侵害的可能性，则该行为不构成侵犯公民个人信息罪。虽然《个人信息保护法》第10条明确规定，所有非法获取、提供、出售个人信息的行为都属于行政违法行为，但是这并不意味着，任何非法获取、提供、出售个人信息且达到构罪标准的违法行为均应构成侵犯公民个人信息罪。因为，行政法仅强调公民对法律规范的遵守，其所规制的违法行为必须违背法律规定的行为准则，而可以不具备法益侵害性。相比之下，刑法所规制的犯罪行为不仅应符合相关犯罪的构成要件，还应具有法益侵害性。犯罪的认定不仅要求相关行为违反特定的法律规范，还要求行为侵害或者威胁了刑法所保护的法益。因此，如果行为人违反秩序的行为并未导致刑法所不容许的损害结果的发生，则该行为就不应当被认定为犯罪(10)参见[英]威廉姆·威尔逊《刑法理论的核心问题》，谢望原、罗灿、王波译，北京：中国人民大学出版社，2015年，第31页。。就侵犯公民个人信息犯罪行为的法益侵害对象而言，结合立法本意来看，刑法设立侵犯公民个人信息罪并将其规定在刑法分则第四章侵犯公民人身权利、民主权利罪中，旨在保障个人权利不受非法侵害，而不是强调对公共利益的保障。因此，该罪的法益不应包含公共利益(11)参见王哲《侵犯公民个人信息罪中“个人信息”的限定》，《青少年犯罪问题》2021年第3期。。据此，当行为人实施了违反《个人信息保护法》相关规定的行为，但未给个人权益造成损害的，该行为不构成侵犯公民个人信息罪。例如，网络购物平台为提升用户的购物体验，需要优化平台的商品检索系统以提升用户的检索效率。但受限于技术条件，该网络购物平台需要委托第三方平台对相关检索系统予以升级，并未经用户同意将用户的个人信息提供给第三方平台进行个人信息分析和系统优化。应该看到，在该案中，网络购物平台未经平台用户同意而将用户个人信息提供给第三方平台的行为属于非法提供个人信息违法行为，且符合侵犯公民个人信息罪的行为方式。但是，由于该行为的最终目的是为了提升用户的购物体验，该非法提供个人信息行为不具有对个人财产权、人格权造成侵害的可能。此时，即便该行为违反了相关行为规范，但由于行为不具备法益侵害可能性，该行为不构成侵犯公民个人信息罪。

最后，获得被害人同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪。根据刑法条文规定，非法获取个人信息行为是指窃取或者以其他方法非法获取公民个人信息的行为。因此，在个人同意的情况下，不存在非法获取个人信息的可能性。然而，在个人同意的情况下，如果个人信息处理者未履行《个人信息保护法》规定的“通过国家网信部门组织的安全评估、保证个人信息自动化决策的透明度和结果公平、公正”等义务，其依然存在实施非法提供或非法出售个人信息行为的可能，但此时相关行为不可能构成侵犯公民个人信息罪。根据刑法相关理论，被害人同意的范围仅限于对其自身个人法益侵害的承诺(但不包括对生命和身体健康侵害的承诺)，且被害人同意的行为不应损害善良风俗或者公共利益(12)参见[德]汉斯·海因里希·耶赛克、[德]托马斯·魏根特《德国刑法教科书(上)》，徐久生译，北京：中国法制出版社，2017年，第511～516页。。否则，被害人同意不能阻却行为构成犯罪的认定。根据上述观点，其一，刑法设立侵犯公民个人信息罪所保护的是个人法益而不是公共利益。分析《个人信息解释》以及《个人信息保护法》对个人信息的定义，我们不难发现，个人信息的核心特征在于相关个人信息的可识别性。而法律对个人信息保护的关键在于防止个人信息处理者肆意利用个人信息的可识别性来识别特定自然人或特定自然人身份，进而对相关自然人的个人权益产生侵害。其二，个人信息并不同于国家秘密，侵犯公民个人信息行为并不存在直接危及公共利益的可能性。其三，侵犯公民个人信息行为侵害的法益为个人信息权利而非个人的生命和健康等人身权。其四，侵犯公民个人信息罪是一种典型的“法定犯”，个人信息的权利完全由法律规范而非伦理道德规范所决定，因此被害人同意情形下的侵犯公民个人信息行为也不存在损害相关善良风俗的问题。综上，在获得被害人同意的情况下，如果个人信息处理者未履行《个人信息保护法》规定的义务而实施非法提供或非法出售个人信息行为，由于该行为并不会直接损害个人的生命和身体健康法益，也不会违反相关善良风俗，更不会直接危及公共利益，相关行为仅构成侵犯公民个人信息行政违法行为，而不构成侵犯公民个人信息罪。

需要注意的是，被害人对侵犯公民个人信息行为的知情同意不应当存在意识表示缺陷，且应以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。一方面，被害人的知情同意应当真实有效。《个人信息保护法》第14条明确规定，基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。该法第23条规定，个人信息处理者向其他个人信息处理者提供其处理的个人信息的，应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。据此，被害人因受欺骗、胁迫等而同意个人信息处理者对其个人信息进行侵犯的，相关行为仍可能构成侵犯公民个人信息罪。另一方面，根据《个人信息保护法》对知情同意规则的相关规定，公民对其授权的个人信息使用目的、范围、种类等在信息处理各阶段中均享有更改权和删除权。据此，“公民知情同意”的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。换言之，在公民授权个人信息之后，公民又主动行使对个人信息的撤回权，对该类个人信息的非法处理行为依然可能构成侵犯公民个人信息罪。

三、侵犯公民个人信息罪保护法益的再确认

有关侵犯公民个人信息罪的保护法益，有学者认为，该罪的保护法益仍为传统法益，如人格权(13)参见王利明《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期；张新宝《〈民法总则〉个人信息保护条文研究》，《中外法学》2019年第1期。、隐私权(14)参见喻海松《侵犯公民个人信息罪的司法适用态势与争议焦点探析》，《法律适用》2018年第2期；徐翕明《“网络隐私权”刑法规制的应然选择——从“侵犯公民个人信息罪”切入》，《东方法学》2018年第5期。、公共利益(15)参见王肃之《被害人教义学核心原则的发展——基于侵犯公民个人信息罪法益的反思》，《政治与法律》2017年第10期；敬力嘉《大数据环境下侵犯公民个人信息罪法益的应然转向》，《法学评论》2018年第2期。等。也有学者认为，由于个人信息蕴含多种权利属性，侵犯公民个人信息罪的保护法益应不同于传统法益，而属于一种新兴法益，如个人信息自决权(16)参见周光权《侵犯公民个人信息罪的行为对象》，《清华法学》2021年第3期。、个人信息安全(17)参见姜涛《新罪之保护法益的证成规则——以侵犯公民个人信息罪的保护法益论证为例》，《中国刑事法杂志》2021年第3期。、个人信息受保护权(18)参见欧阳本祺《侵犯公民个人信息罪的法益重构：从私法权利回归公法权利》，《比较法研究》2021年第3期。等。为限定侵犯公民个人信息罪的适用范围，一些学者先通过刑法的体系和理论来证伪其不予支持的法益观，再依据自身对个人信息蕴含权利的相关判断来对该罪的保护法益进行界定，最后根据该罪保护法益对该罪的刑法适用范围进行限缩。但学界对法益的概念和功能尚有争议，并不存在清晰的法益界定规则；同时，个人信息所蕴含的权利繁多，侵犯公民个人信息罪的司法解释有关规定也较为模糊。这些都是导致学界对侵犯公民个人信息罪的保护法益久久未能达成共识的原因。

为准确界定侵犯公民个人信息罪的保护法益，笔者认为，首先，应当考虑到侵犯公民个人信息罪的构成要件与《个人信息保护法》等前置法的紧密联系，结合《个人信息保护法》以及侵犯公民个人信息罪的相关规定对该罪保护法益进行推导；其次，对该罪保护法益的界定不应导致刑法体系的内在冲突；最后，对该罪保护法益的界定应符合该罪设立的规范保护目的。相比之下，笔者更倾向于将侵犯公民个人信息罪的保护法益界定为个人信息自决权，这是一种包含了公民个人的信息自由、安全权和隐私权的新兴权利(19)参见刘宪权、房慧颖《侵犯公民个人信息罪定罪量刑标准再析》，《华东政法大学学报》2017年第6期。。同时，个人信息自决权的法益观应受到侵犯公民个人信息罪规范保护目的的限定。

个人信息自决权的法益观最为契合《个人信息保护法》等前置法的规定以及侵犯公民个人信息罪的法律规定。综观《个人信息保护法》有关规定，对侵犯公民个人信息行政违法行为认定的关键在于判断个人信息处理者是否获得了个人的知情同意，有关“个人同意”的字眼在《个人信息保护法》的规定中多达27处。例如，该法第13条规定，取得个人的同意或具备其他法律规定的相关情形，个人信息处理者方可处理个人信息。该法第14条规定，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。该法第15条规定，基于个人同意处理个人信息的，个人有权撤回其同意。可见，个人信息处理者违反国家有关规定的主要内容是由于处理者对个人信息相关权限的处理未获得个人的同意。同时，根据侵犯公民个人信息罪的法律规定，该罪的三种行为方式分别是非法获取、非法提供以及非法出售个人信息行为。其中，非法获取个人信息行为是指以窃取或者其他方法获取个人信息的行为，非法提供和非法出售个人信息行为是指违反国家有关规定，向他人出售或提供个人信息的行为。在侵犯公民个人信息罪的认定中，无论是非法获取、非法提供还是非法出售行为，其行为“非法”性的认定关键在于相关行为未获得个人的知情同意。由此可见，无论是《个人信息保护法》还是刑法的侵犯公民个人信息罪，均重视对个人知情同意规则的维护，即重视对个人信息自决权的保护。

侵犯公民个人信息罪的其他法益观与刑法其他涉个人信息犯罪法益观相重合。如果将侵犯公民个人信息罪的保护法益限定为单一的人格权、财产权、公共安全、个人信息安全或个人信息受保护权等，则将导致侵犯公民个人信息罪与刑法其他涉个人信息犯罪相重合。根据我国现行刑法的规定，非法获取信息数据行为可能构成侵犯公民个人信息罪、非法获取计算机信息系统数据罪、侵犯商业秘密罪、非法获取国家秘密、情报罪、盗窃罪等多个罪名，这些罪名分别对包括公民个人权利、市场经济秩序、国家安全等在内的重要法益予以不同程度的保护(20)参见张勇《数据安全法益的参照系与刑法保护模式》，《河南社会科学》2021年第5期。。如果侵犯公民个人信息罪的保护法益为上述任意单一法益，则该罪的适用范围必将与刑法其他涉信息数据犯罪相重合，如此势必有违刑事立法中应坚持的节省立法资源、不重复立法的基本立场。由此可见，侵犯公民个人信息罪的其他法益观并没有结合刑法对个人信息保护的体系设计进行考虑，也忽视了刑法对个人信息的保护并非仅限于通过设立侵犯公民个人信息罪来实现的客观事实。

单纯的个人信息自决权法益观同样存在一定的疏漏。随着《个人信息保护法》对个人知情同意的相关权利进行拓展，个人信息自决的范围也得以扩张，不仅包括在个人信息获取和转让阶段对个人信息处理权限的被动知情同意，还包括在个人信息处理各阶段对个人信息处理权限主动更改和撤回的自决。绝大部分违反《个人信息保护法》有关规定的个人信息处理行为均将在不同程度上对个人信息自决权产生侵犯。如此，则将导致侵犯公民个人信息罪的刑法适用范围得到任意扩张。同时，个人信息自决权毕竟不属于传统的刑法法益，很难想象相关行为仅仅侵犯了公民的个人信息自决权就要受到刑事处罚。因此，应对个人信息自决权的法益观进行相应的限制，根据刑法设立侵犯公民个人信息罪的规范保护目的来限定该罪的适用范围。刑法的法益和规范保护目的均为刑法解释学中的重要概念，是影响犯罪认定的重要因素。刑法相关罪名的保护法益是指值得刑法予以保护的具体利益，传统刑法理论上也称之为相关犯罪行为所侵害的客体。而相关罪名的规范保护目的是指该罪名设立的立法目的或目标。可见，法益和规范保护目的不是同一个概念，法益是规范保护目的的对象，相关罪名保护法益的确证不能偏离刑法设立该罪名的目的。对规范保护目的的明确有助于理解法益保护的范围和必要性。据此，在侵犯公民个人信息罪的认定上，由于侵犯公民个人信息罪主要保护的是个人权益而非公共利益，刑法对个人信息保护的最终目的还应回归对个人权益的保护上，即保障个人人格权或财产权等不受侵犯。而个人信息自决权只是为了防止个人人格权和财产权等权利受到不法侵犯而赋予个人自主决定个人信息授权处理范围的权利。若侵犯公民个人信息的行为失去对个人人格权或财产权法益侵害的可能性，则即使相关行为侵犯了公民个人信息自决权，也不应受到刑法规制。所以，应将该罪的法益界定为与个人人格、财产权紧密关联的个人信息自决权。如此，我们既解决了传统法益观宽泛而模糊的问题，又可防止个人信息自决权法益观在刑法适用上的肆意扩张，使法益理论可以在侵犯公民个人信息罪的刑法适用中充分发挥其应有价值。由此，当个人信息处理者在获得个人信息授权后更改个人信息使用目的、范围、方式而不至于对个人人格权、财产权产生侵害时，相关行为不构成侵犯公民个人信息罪。

四、侵犯公民个人信息罪中“情节严重”标准的再明确

相关行为构成侵犯公民个人信息罪不仅需要符合该罪的行为要件，还需达到“情节严重”的标准。而在《个人信息解释》中，有关“情节严重”的认定标准规定存在诸多不合理之处，我们有必要对《个人信息解释》中“情节严重”的有关规定进行完善。

(一)刑法对个人信息的分类标准应参照《个人信息保护法》的规定

《个人信息解释》第5条明确规定了非法获取、出售或者提供公民个人信息“情节严重”的相关情形。据此规定，非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的，非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的，非法获取、出售或者提供上述信息以外的公民个人信息5000条以上的，属于侵犯公民个人信息“情节严重”的行为，相关行为可构成侵犯公民个人信息罪。

诚然，《个人信息解释》对个人信息进行分类的初衷是为了对个人信息进行分级区分，并突出对重要个人信息进行刑法保护，这一初衷无疑是值得肯定的。根据《个人信息解释》第5条的规定，司法解释主要根据个人生活中的不同场景和领域中对个人信息进行分类，将个人信息分为行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、健康生理信息、交易信息等不同信息，但这种归类思路并不合理。由于个人信息权利属性具有多样性，实际上同一个人信息完全可以在多个不同场景和领域中得到使用，我们无法通过对个人生活场景和领域的划分来界分不同类型的个人信息。以附带行程轨迹说明的健康码为例，我们既可以将其归属于行踪轨迹信息，又可以将其归属于健康生理信息。而根据《个人信息解释》规定，非法获取50条以上行踪轨迹信息即构成侵犯公民个人信息罪，而非法获取500条以上健康生理信息才构成该罪。据此分析，《个人信息解释》对个人信息的分类必然导致不同类型的个人信息范围产生重叠，并产生对侵犯公民个人信息“情节严重”认定或辨别上的困惑。有学者进而提出，应将个人信息按照其私密性高低，分为隐私领域、中间层的私人领域和最外层的社会领域。未经个人同意，获取或者提供最外层领域公开信息的行为不成立犯罪(21)参见欧阳本祺《侵犯公民个人信息罪的法益重构：从私法权利回归公法权利》，《比较法研究》2021年第3期。。但上述观点依然无法解决何种个人信息应明确归属于隐私领域、私人领域或社会领域的问题。依笔者之见，刑法对个人信息的分类保护应摆脱对个人信息所涉及场景和领域的单方面依靠，而应参考《个人信息保护法》的有关规定，重视个人信息对公民人身及财产相关权益的影响力大小，并考虑行为人主观上实施侵犯公民个人信息行为的动机(或者目的)，综合考量侵犯公民个人信息行为是否达到“情节严重”的标准。

其一，有关个人信息对公民个人利益影响程度的考察可以参照《个人信息保护法》对个人信息的分类标准。如前所述，《个人信息保护法》第28条对个人信息进行了分类，即将个人信息分为敏感个人信息与一般个人信息。该条规定敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。只有在具有特定目的和充分必要性并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。可见，《个人信息保护法》将个人信息的保护层级与侵犯公民个人信息行为对公民人身、财产的侵害可能性相联系，而这种分类方式也完全契合刑法对个人信息的保护要义。因为刑法设立侵犯公民个人信息罪旨在规制侵害公民个人法益的行为，当对特定个人信息的侵犯将更容易导致对公民个人权益的侵犯时，该类个人信息便值得刑法予以重点保护。据此，我们应该纠正《个人信息解释》对个人信息的分类思路，参考并最大限度地吸收《个人信息保护法》对个人信息的分类方式，将个人信息明确区分为敏感个人信息和一般个人信息两类。

其二，应结合行为人的动机综合判断侵犯公民个人信息行为的社会危害性程度高低。行为人的动机虽然不是侵犯公民个人信息罪犯罪构成要件的考量因素，但却可以成为侵犯公民个人信息行为法益侵害性高低的考量因素。《个人信息解释》第6条也采用了类似的立场，该条规定，为合法经营活动而非法购买、收受本解释第5条第1款第3、4项规定以外的公民个人信息，即使非法获取个人信息条数超过5000条以上的，只要获利未超过5万元，且未曾因侵犯公民个人信息受过刑事处罚或者2年内未受过行政处罚，相关行为不构成犯罪。可见，同样是非法获取其他个人信息的行为，为合法经营活动而非法获取个人信息行为的入罪门槛便相对高于以违法犯罪为目的的非法获取行为。然而，《个人信息解释》仅在侵犯公民其他个人信息的情形下考虑了行为人动机对犯罪行为“情节严重”认定的影响，却并未将其进一步拓展。依笔者之见，当行为人以合法经营为目的而实施非法获取个人敏感信息行为的，其行为入罪的标准理应高于以违法犯罪为目的而实施非法获取个人敏感信息行为的入罪标准。

值得关注的是，《个人信息保护法》进一步加强了对未成年人个人信息的保护。该法第28条将未成年人个人信息纳入敏感个人信息的范畴，据此，刑法也理应降低侵犯未成年人个人信息行为的构罪标准。但是，刑法的目的始终在于规制具有严重社会危害性的行为，我们不能盲目将所有未成年人个人信息都按照敏感个人信息进行同等保护，而应具体结合未成年人个人信息与未成年人人格尊严、人身和财产权利的联系程度加以综合考量。未来全面修改侵犯公民个人信息罪司法解释时，可以根据不同未成年人个人信息的类型，再专门细化侵犯公民个人信息罪中关涉未成年人个人信息的条款(22)参见张旭、朱笑延《“全民触网”时代儿童个人信息安全的保护路径》，《青少年犯罪问题》2020年第1期。。

(二)刑法有关侵犯公民个人信息再犯构罪标准应作调整

《个人信息解释》对侵犯公民个人信息再犯行为的认定存在过于严苛的问题。该司法解释第5条第9项规定，曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，属于侵犯公民个人信息罪“情节严重”的情形，相关行为构成侵犯公民个人信息罪。笔者认为，该规定可能导致刑法适用的不当扩张。根据这一规定，个人信息处理者将很可能因为连续两次行政违法行为而构成犯罪。这一规定内容显然对专业从事个人信息处理的科技公司是极为不利的。由于行政违法的判断不受犯罪主观目的以及法益侵害有无的限制，在个人信息的日常流动过程中，难免发生数量较多的侵犯公民个人信息行政违法行为。如果规定两年内两次实施侵犯公民个人信息违法行为便可构成侵犯公民个人信息罪，不仅会导致犯罪数量的激增，而且会导致侵犯公民个人信息犯罪行为和违法行为将无法从本质上进行区分的结果。行为人是否构成侵犯公民个人信息罪取决于违法行为的数量和频率，甚至直接取决于行政执法单位的执法频率和积极性。可见，该规定显然有违罪刑均衡之刑法基本原则。笔者认为，应当对此规定予以修正，而修正思路完全可以参照最高法、最高检《关于办理盗窃刑事案件适用法律若干问题的解释》中第2条对盗窃再犯情形中构罪标准认定的相关思路。该条规定，盗窃公私财物，曾因盗窃受过刑事处罚的或1年内曾因盗窃受过行政处罚的，“数额较大”的标准可以按照前条规定标准的50%确定。该规定既降低了盗窃再犯情形构成犯罪的标准，也有效区分了刑事犯罪和行政违法的边界。同样，按照这一思路，当行为人具有侵犯公民个人信息违法犯罪前科的，其再犯行为的构罪标准虽然应低于一般侵犯公民个人信息罪的构罪标准，但也应同时达到侵犯相关个人信息的一定数量标准。因此，可以将《个人信息解释》第5条第9项规定修改为：“曾因侵犯公民个人信息受过刑事处罚或者2年内受过行政处罚，又非法获取、出售或者提供公民个人信息的，‘情节严重’的标准可以按照前述规定标准的50%确定。”