陈 祺

一、公民个人信息刑法保护的历史沿革

在刑法领域，最早涉及个人信息保护的是《刑法修正案(五)》，增设了“窃取、收买、非法提供信用卡信息罪”(刑法第一百七十七条之一第二款)，“信用卡信息资料”属于个人信息，所以对信用卡信息资料的保护也证实该罪的设立是刑法保护公民个人信息的开端。

随着信息技术的发展，为了应对侵害公民个人信息的相关犯罪，《刑法修正案(七)》(以下简称刑修七)明确规定出售、非法提供公民个人信息罪和非法获取公民个人信息罪(刑法第二百五十三条之一)，打击特定工作人员违反国家规定，出售、非法提供或非法获取公民个人信息的行为。这一修订是刑法保护公民个人信息的明确举措，弥补了刑法的缺陷，为我国公民个人信息安全提供了刑法保障。但由于当时立法的“应急性”，还存在不符合主体条件的该类犯罪，对社会安定造成侵害[1]。

此后，《刑法修正案(九)》(以下简称刑修九)进一步修正，将上述两罪整合为“侵犯公民个人信息罪”一罪，并将犯罪主体从特殊主体转变为普通主体，删除“非法提供”中的“非法”，扩大打击范围。《刑修九》的出台，表明个人信息保护在我国刑法中步入一个较为成熟的阶段，但关于公民个人信息范围的判定却并未给出刑法层面的指导。

2017年5月，两高发布侵犯公民个人信息刑事案件的司法解释，对该罪的法律适用等问题作了全面、系统的规定，意在降低入罪门槛，严惩侵犯公民个人信息犯罪。该解释第一条对“公民个人信息”的概念做出明确规定，以便对该类犯罪进行刑事制裁时能更好地把握侵犯公民个人信息的范围。

刑法作为我国法律体系中最严厉的法律，刑法条文不断地修改完善体现出刑法在打击侵犯个人信息类案件上的力度不断增强，范围逐步明确，但仍存在不足。

二、公民个人信息刑法保护的实践困境

(一)侵犯已公开信息的入罪标准不明确

我国刑法关于公民个人信息的规定不以是否属于隐私为区分标准，所以存在侵犯已公开的公民个人信息也构成犯罪的情况，已公开公民个人信息是指经合法途径公开、他人可进行检索和查看的个人信息，不包含非法公开的情况。当前已公开信息主要分为公民自行公开和其他已经合法公开的信息。公民自行公开的信息一般由信息主体主动公开，出于商业发展、求职或交友等目的[2]。而其他已经合法公开的信息主要为依公权力强制公开的个人信息，如国家企业信用信息公示系统对企业相关信息进行公示，以及中国执行信息公开网将失信被执行人的相关信息曝光等情况。

实践中涉及侵犯已公开个人信息的案例很多，苏州中院和北京四中院曾对受理的案情相仿的两起案件做出相反的判决。两案中被告将涉及原告个人信息的裁判文书从裁判文书网转载到自己运营的提供裁判文书查询服务的网站。两案原告认为这种转载行为作为二次公开侵犯了其个人信息权益，诉至法院。被告转载涉及原告个人信息的裁判文书的行为，是否侵犯原告的个人信息相关权益，两个法院对此产生分歧。苏州中院认为被告的行为有悖于原告作为信息主体对已公开信息进行传播控制的意思表示，对原告造成重大利益影响，侵犯了原告的个人信息权益(1)伊某与苏州贝尔塔数据技术有限公司人格权纠纷案，(2019)苏05民终4745号。https://mp.weixin.qq.com/s/hc_EcjeNndLNQ-YjxoTkuA。而北京四中院则认为被告转载和使用的裁判文书信息来源于权威司法机构，是公开可见的，无需个人授权，被告的行为不构成对原告个人信息的侵权，判决驳回起诉(2)梁某与北京汇法正信科技有限公司网络侵权责任纠纷案，(2021)京04民终71号。https://mp.weixin.qq.com/s/TNhm6gtcKSARoCE0yc3eoA。

两家法院的判决体现了各自侧重的价值理念，但也说明侵犯已公开个人信息的入罪标准不明确，这一问题亟待解决。

(二)前置性规定不明

《刑修七》侵犯个人信息罪名的前置性规定为“违反国家规定”，《刑修九》修改为“违反国家有关规定”，但并未指出具体的法律法规。《刑修九》之所以对前置性规定做了修改，是因为当时对公民个人信息保护针对性最强的前置法《个人信息保护法》还未出台，为了保护公民个人信息，打击犯罪行为，需要根据其他有关规范判断该罪成立的前置性条件[3]。对比刑法总则，司法解释将“部门规章”纳入其中，扩大了前置法的范围，这在一定意义上扩大了该罪的打击范围，增强了对公民个人信息的保护，但是这种任意扩张前置法的行为导致了刑法司法解释与刑法总则中的解释性规定产生冲突。

(三)入罪的行为方式不全面

《刑修七》规定侵犯公民个人信息罪的三种方式：出售、非法提供和非法获取，《刑修九》在此基础上，将该罪的行为方式更改为出售、提供和非法获取。但实践中侵犯公民个人信息的行为方式复杂多样，远不止法条规定的这三种，行为人对信息进行其他操作，如非法使用、篡改、披露等。由于刑法未对其他处理个人信息的行为方式加以规制，在这些行为对公民或社会造成危害后，无法适用侵犯公民个人信息罪的罪名。如用民法、行政法等法律进行制裁，则不能使其得到应有的处罚[4]。针对这类情况，当前刑事案件中主要采取吸收处理，即行为人的行为触犯到其他罪名，就依该罪论处。但这种方式存在弊端，判处他罪不仅没有使侵犯公民个人信息的行为得到评价，还具有局限性，不适用于所有场景。如行为人从网站上合法获取公民的个人信息，将这些信息用于其他刑事犯罪，这里获取个人信息的行为是合法的，但是获取之后的使用行为具有违法性，在使用行为未构成其他犯罪的情况下，应当如何处理？

鉴于实践中存在的大量获取个人信息后使用信息的行为，构建全面的侵犯公民个人信息的入罪行为方式具有必要性。

三、公民个人信息刑法保护的完善路径

(一)明确侵犯已公开信息的入罪标准

为了更好地保障公民个人信息权益，明确侵犯已公开个人信息的入罪标准，本文借鉴德国数据立法中的“一般可访问性”概念，从对信息的可访问性，即客观外在角度分析侵犯公民已公开个人信息是否构成犯罪。从“一般可访问性”概念引申到日常生活中对个人信息的访问，即判断已公开信息的客观开放程度[5]。

对于公民自行公开的个人信息，不论信息的开放程度如何，信息主体都享有充分的信息自主权，处理这类信息是否构成侵犯公民个人信息罪，首先需要考虑是否违反该罪的前置性规定。《个人信息保护法》第十三条、第二十七条，《民法典》第一千零三十六条对处理个人信息规定了“在合理范围内”的限制条件，即对于公民自行公开的个人信息，不论是否设置了观看权限，处理该信息都需要取得信息主体的同意，且保证该处理行为不侵害其重大利益，在满足上述条件后，“在合理范围内”对信息进行处理。这里的“合理范围”应理解为不对信息主体的利益造成损害，不与信息主体主动公开个人信息的目的相违背，如果超出“合理范围”，对信息主体的权益存在造成危害的风险，达到了刑法之规定，则构成侵犯公民个人信息罪[6]。

其他依据法律法规等强制公开的公民个人信息，这类信息无论信息主体同意与否都会被公开，公开是为了社会治理等公共目的。如果信息的开放程度是完全开放，即客观上没有任何限制，任何人都能查阅该信息，对于该类信息的处理，原则上符合《司法解释》第三条第二项、《个人信息保护法》第二十七条和《民法典》第一千零三十六条第二项规定的免责条件。上文两个案例中，被告方把裁判文书网上的文书转载到自己运营的网站，供用户查阅，用户无论是选择在中国裁判文书网的平台上获取信息，还是从居间者那里获取信息，信息内容不变，行为性质也没有变化，所以没有必要对该类行为进行刑法制裁。但是，如果信息主体明确拒绝，或者对信息的处理侵犯了权利人的重大利益，免责规范就不再适用，对已公开个人信息的处理可能会受到刑事制裁。其他合法公开的个人信息中开放程度为限制开放的个人信息，查阅该类已公开信息具有限制条件，需要满足特定资格或者拥有权限的人员才能访问该信息，比如需要向特定机关申请后才能查阅的信息。这类已公开信息不是直接向社会公开，而是满足条件之后才能访问。因此，对这类已公开信息的处理在不满足刑法及其前置性规定的条件下，可以受到刑法处罚[7]。

(二)明确前置性规定的具体适用

当前我国还未明确刑法司法解释的效力，所以当司法解释与刑法规定产生冲突时，如何判断二者之间的适用关系成了争议焦点。有观点认为，刑法司法解释应当认定为与其解释的刑法条文具有同样的效力，这样可以增强司法解释的效力，同时也解决了司法解释与刑法的适用冲突问题。刘宪权教授认为这种观点在私法领域可以适用，但是在刑法领域，如果赋予刑法司法解释与刑法同样的效力，会导致罪刑法定原则的突破[8]。还有观点认为司法解释是依附于刑法而存在的，没有刑法就没有刑法司法解释，所以司法解释不具有独立性，只能在刑法适用过程中提供“解释”功能。这种观点也具有明显的缺陷，司法解释不仅对刑法条文做字面上的阐释，还对刑法起着更新、补充和解释作用。此外，刑法司法解释在司法人员处理案件过程中也起着重要作用。所以，司法解释并不是完全依附于刑法的，其本身也具有一定的独立性。这就要求二者产生适用冲突时，需要立法对司法解释的效力作出明确规定。在立法还未规定这一问题时，如何化解适用冲突，笔者认为，该罪前置性规定中“违反国家有关规定”的范围应适用司法解释中的内容。

我国刑法司法解释是由最高司法机关作出的，具有法律效力，且具有一定的独立性，司法解释的适用是为了维护刑法规范的统一性。司法解释在刑法设置了侵犯公民个人信息罪之后出台，对该罪在适用问题上起着补充说明的作用，从规范适用的角度考虑，优先适用司法解释中该罪的前置性规定更具合理性。此外，我国对个人信息保护立法起步较晚，对该类犯罪的立法需求与当前立法现状不匹配，如果仅将法律、行政法规作为该罪的前置性规定，那么生活中很多涉案行为可能会因不满足前置性规定而不能受到刑法处罚。所以此处的“违反国家规定”按照司法解释中的内容来理解，更能从刑法意义上实现打击侵犯公民个人信息罪的目的，最大限度保护公民的个人信息权益。

(三)完善侵犯公民个人信息的行为类型

2015以来，我国互联网发展呈现繁荣的态势，4G网络、“互联网+”等不仅对经济和社会产生巨大影响，也为犯罪提供了新的技术手段。实践中除了非法获取公民个人信息直接谋取利益外，更多的是获取个人信息后利用该信息实施其他犯罪，如诈骗罪、信用卡诈骗罪等。这表明，在实际犯罪中，大量侵犯公民个人信息类犯罪以获取加非法使用个人信息的形态呈现。按照当前刑法规定，非法获取公民个人信息可能会受到刑法制裁，而同样情况下非法使用该信息的行为却不作为该罪的行为方式不能以该罪名进行规制。非法使用甚至比非法获取信息的行为更易造成严重后果和危害，将非法使用排除在该罪的行为方式之外，从刑法原理上看，具有很大的不合理性[9]。而且随着技术水平不断提高，如2017年兴起的深度伪造技术，侵犯公民个人信息的方式变得更加多样和复杂。如果沿用之前法条中规定的三种信息处理方式来规制侵犯公民个人信息的行为，那么刑法就没有随着社会发展和立法需求及时更新，就不能最大限度起到保护公民个人信息的作用。

此外，《刑修九》出台时，我国在个人信息保护方面的立法还未完善，侵犯公民个人信息罪的前置法还存在很大空缺，但随着《民法典》《个人信息保护法》《数据安全法》等法律法规的出台，我国在个人信息保护方面逐渐形成了多层次、多领域的法律保护体系。相比于刑法，前置法对于个人信息的处理规定了更多方式，前置法中规定的使用、泄露、篡改等行为都属于违法行为，虽然这些违法行为不都构成犯罪，但在违法程度上相当。将非法使用行为也作为侵犯公民个人信息罪的行为方式之一，有助于扩大刑法的打击面，使刑法与前置法相衔接，因此，应将非法使用行为也纳入侵犯公民个人信息罪中[10]。

四、结语

刑法对个人信息的保护是发展要求，也是个人信息权益的合理诉求。随着《民法典》《个人信息保护法》等法律法规的出台，公民个人信息刑法保护也逐步完善，但在实际应用中还存在问题。需要明确已公开信息的入罪标准，针对不同类型的公开信息做不同处理。当刑法总则与司法解释产生冲突时，侵犯公民个人信息罪的前置性规定应优先适用司法解释中的内容，把部门规章也作为该罪的前置法，从刑法意义上实现立法目的。完善非法使用作为该罪的行为方式，以便更好地保障公民个人信息权益，促进社会健康发展。