刑民共治视角下个人信息保护的规范衔接

2023-08-26王玮

长春市委党校学报 2023年3期

摘要：传统法制下公民个人信息保护的规范进路呈现出“刑法扩张”“先刑后民”的适用特征。中国式法治现代化以追求良法善治为目标，在个人信息保护的规制中，理应找寻《刑法》《民法典》《个人信息保护法》三者之间的共通性，对其所涉及的个人信息保护规范予以梳理比对，进而实现不同规范之间法益、行为及责任内容的衔接顺畅。这不仅是法秩序统一性的内在需要，更是惩治犯罪行为、保障权利自由的应有之义。

关键词：刑民共治；个人信息；法益

中图分类号：D923

DOI：10.13784/j.cnki.22-1299/d.2023.03.005

一、问题的提出

党的二十大报告指出，“新时代党的中心任务就是团结带领全国各族人民全面建成社会主义现代化强国、实现第二个百年奋斗目标，以中国式现代化全面推进中华民族伟大复兴”。要继续推进中国式现代化，就必须以国家治理现代化为蓝图，以法治中国建设为引领。[1]毋庸置疑，维护现实社会的稳定与和谐，保障人民财产的安全与自由，运用现代化的法治模式对违法犯罪行为予以有效治理是中国式法治现代化的内在要义。而要完成传统法制向现代法治的顺畅转型，就必须坚持运用《刑法》《民法典》《个人信息保护法》等多部门法律的交叉融合，推进构建共建共治共享的新型社会治理模式，发挥公私法在不同实践中的独特张力，形成独具中国特色的社会主义法律体系。

在数字经济时代，随着大数据的广泛使用，为了避免数据的交换流动导致个人信息的随意扩散与管理失控，法律已对侵犯公民个人信息的行为予以规制。2021年11月1日起施行的《个人信息保护法》，不仅及时回应了数字经济发展对个人信息权利确认的迫切需要，更深化了《民法典》有关个人信息规范的认识。但这也对《刑法》第253条中侵犯公民个人信息罪的理解与适用产生了一定影响。面对诸种侵犯公民个人信息的新型犯罪，刑事犯罪的法益如何界定，行为入罪的边界如何区划，刑事与民事的责任如何对接，诸如此类问题已成为当下亟待解决的重要问题。为此应对《刑法》《民法典》《个人信息保护法》中涉及的个人信息相关规范作进一步审视，增强个人信息在法益、行为、责任内容方面的衔接性，以化解理论与实践中对个人信息理解不足与适用矛盾的问题，为今后个人信息刑民规范的和谐适用提供方向。

二、个人信息规范衔接的必要性分析

在个人信息保护的发展初期，由于诸多前置法的缺位导致刑法对个人信息的保护呈现独大擴张趋势，具有强烈的公权主义色彩。《民法典》与《个人信息保护法》施行之后，公平正义、权利本位的观念逐渐深入人心，以刑法为中心的刑罚治理模式已落后于中国式刑民共治的法治现代化基本要求。改进以刑法为中心的传统法制模式、增强个人信息适用的刑民衔接性，不仅是法秩序统一性的内在需要，更是惩治违法犯罪与保障合法权利的现实要求。

●法秩序统一性的内在需要

法秩序统一性原理规制着法律的解释与适用。如何理解法秩序统一性的价值与内涵，历来见仁见智。从价值视域来看，法秩序统一的重要意义在于不同部门法之间的法律目标是一致的，都坚守“良善是最高的法律”“正义是法律的永恒追求”“充分保护公民权利是法治的根本目标”[2]的重要理念，这也是法秩序统一的必要前提。毫无例外，学者们对于法秩序统一性原理的内涵存在基本的共识：法秩序的统一应当是整体法秩序的统一，并不要求所有的部门法都达到“严丝合缝”的统一状态。换言之，针对不同的主体、领域，不同的部门法仍有对该内容予以规范的必要，在内容上可以予以区分。我国学者林来梵指出，所谓的法秩序，“简单说指的就是法律制度体系”[3]。因此，法律制度体系应当具备广泛的包容性，在单独从某一部门法进行思考之余，仅需与整个法律体系相契合，满足其目的性要求即可。正如学者周光权对法秩序统一性原理的理解，法秩序的统一性是“法规范的集合”，不存在内在的、根本的矛盾，是目的论层面的统一。[4]

毫无疑问，在公法与私法高度融合发展的数字时代，对于个人信息保护所涉及的刑事与民事问题，亦应在法秩序统一的原理下坚守刑民共治理念。不仅如此，从一般违法性的法律制裁理念来看，对个人信息进行刑民衔接的必要性在于法只能用一个声音说话。首先，法秩序统一性原理的重要功能在于提供清晰一致、稳定且不矛盾的行为指引，这是形式法治的最低要求。如果法秩序是一个混乱无章、相互冲突的矛盾集合，那么社会个体将无法基于行动原则而进行自我行为的建构。另一方面，在人类社会发展中，法律是在道德非议与国家稳定中寻求调试的制度方案，理应具有权威性。在个人信息多元复杂的时代，没有一套完美的法律规范能够毫无遗漏地约束所有人。要克服个人信息保护在刑民规制中所涉及的空白与重合难题，就必须增强刑民之间的衔接性，用法秩序的权威性实现定分止争。最后，各部门法虽然有各自独立的成因与目的，但最终都要受制于根本大法《宪法》的规制，这是法秩序统一性的根本体现，尤其是刑民中具备关联性的相关条款，要始终以合宪为依归。

●惩治犯罪与权利保护的现实要求

对侵犯公民个人信息的犯罪行为，刑法的重要目标在于保护公民对个人信息的自主权与维护社会既有的和谐稳定。作为一种严厉的法律手段，刑法在对公民的人身自由与相关财产利益进行规制时，难免出现对个人信息保护内容的扩大解释，导致“刑法扩张”“先刑后民”的现象出现，进而损害公民的个人信息权益并易引发社会恐慌。故而，在数字经济时代，刑法在维护公民个人信息安全与社会公共秩序时，要始终防止刑法对个人信息权保护的过度扩张，防止民事责任转变为非必要的刑事责任。因此，有必要在极具威慑力的刑法与权利保护的民法规范上予以全面检视，以实现个人信息保护的有效衔接。

不仅如此，刑法的谦抑性亦需对刑民衔接问题进行新的认识。作为保护公民法益的工具，基于比例原则的要求，只有当用尽其他手段无法充分地保护公民法益时，方能适用刑法并动用刑罚。刑法谦抑性原则的目的在于进行规范化的构造，对刑民之间的矛盾予以调整并平衡不同部门法体系之间的法律张力，进而兼顾法的准确性与安定性。另外，谦抑性原则亦是对法秩序统一性的思考与呼应，只有明晰刑法在个人信息保护中所蕴含的价值取向，把握内在的作用力度，才有利于保障法律理论与实践的一致性，进而完成由法律条文到法律正义的切换，实现惩治犯罪与权利保障的和谐稳定。

三、个人信息保护的刑民规范审视

按照以法秩序统一性原理推动构建刑民共治的现代化法治时代要求，要完成公民个人信息保护的规范重构，首先应对已有的个人信息相关法律规范予以审视，在理解《刑法》中侵犯公民个人信息罪的要义基础上，比对《民法典》《个人信息保护法》的内涵差异与规范逻辑，发掘三者之间的共通性，为个人信息保护的刑民衔接奠定基础。

●侵害个人信息的刑法规范理解

回顾个人信息的刑法规范历程，正式的规定源自2009年起施行的《刑法修正案（七）》第7条增设的关于侵犯公民个人信息的规定，标志着我国迈入了个人信息刑事保护的新阶段。2015年施行的《刑法修正案（九）》对于《刑法》第253条进一步修改，形成统一的侵犯公民个人信息罪。除此之外，刑法关于个人信息的保护还体现在司法解释的规则之中。主要有2013年4月最高法、最高检、公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》及2017年5月最高法、最高检联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），对于侵犯公民个人信息罪的定罪标准和法律适用问题作出系统性规定。

为了防止大数据引发的相关个人信息泄露，刑法旨在提供最后也是最有力的防范。首先应厘清侵犯公民个人信息罪所具体侵犯的法益内容。尽管当下刑法理论不应当过分要求法益概念具有绝对的明确性，[5]但是为了防止法益理解松弛化导致的适用混乱，应当尽可能将侵犯公民个人信息罪的法益予以具体化。根据《刑法》第253条对侵犯公民个人信息罪的规定，该罪的犯罪性质仍属于自然犯，其所侵犯的法益内容当然是个人法益而不是超个人法益，所保护的对象也应是具体的个人信息权。其次，2017年最高法、最高检的《解释》对“公民个人信息”“提供公民个人信息”以及“以其他方法非法获取公民个人信息”的内涵作了进一步解释，有助于改进对侵犯公民个人信息罪的准确适用。但也有学者认为，在刑事司法上应当继续对公民个人信息的概念进行限缩性解释，而在刑事立法上对公民个人信息罪的适用范围进行扩充。以司法的“退一步”与立法的“进一步”重新调适侵犯公民个人信息罪的适用范围[6]。不可否认，对个人信息犯罪适用范围的立法扩充固然给予了公民个人信息有利的保护，但该方式是否真正有助于刑民的衔接值得探讨。总体来说，当下对于侵犯公民个人信息的刑法规范呈现出逐步扩张的趋势，加大了对侵犯公民个人信息行为的惩治力度，回应了社会的现实关切。

●个人信息权利的民法规范比对

民法被誉为“权利之法”。2021年1月1日起施行的《民法典》在人格权编的第六章中用6个条文对公民个人信息的保护作出了相关规定。其中，第1034条对于个人信息的内涵范围作出明確阐述，其重要的意旨在于对自然人所独有的相关可识别性信息予以保护。这反映了民法对于非法侵入他人网络、处理甚至贩卖个人信息等数字时代新型违法行为的积极关注。可以说，民法在某种意义上直接确立了公民的个人信息权，公民个人可以依法享有对专有的个人信息支配、控制及排除他人侵害的权利。

2021年11月1日起施行的《个人信息保护法》在《民法典》基础上对个人信息保护的规范予以了细化，二者具有高度一致的契合性。换言之，《民法典》是《个人信息保护法》的基础性法律，《个人信息保护法》在适用实施过程中与《民法典》的已有规范进行了结合，共同构筑起个人信息保护的法律防线。[7]具体来看，在《民法典》所规定的6个条文中，其中4个条文将规范的重心放在了个人信息处理问题上，对于信息处理的限制、免责事由、自决权、信息安全等作了规定。而《个人信息保护法》所规范的重点内容亦是个人信息的处理问题。除此之外，《民法典》中的相关条文也在《个人信息保护法》中有迹可循，如《民法典》第1035条的规定与《个人信息保护法》第5条、第6条、第7条的规定不仅具有重合性，更在价值意蕴上展现了高度的统一性。又如《民法典》第1036条处理个人信息免责事由的规定与《个人信息保护法》第27条存在类似表述。再如《民法典》第1037条中对于个人信息决定权的规定转化为《个人信息保护法》第四章第45条中个人在个人信息处理时的一项权利。可以说《个人信息保护法》在个人信息权利的范围、行为的方式、责任的承担上作了进一步细化，这将更有利于对个人信息的保护。

四、个人信息保护的刑民规范衔接

法律是社会全体广泛认同的社会公共规则，而对于公民个人信息自由的限制，不能超过必要的范围。因此，当基于公共秩序的法益对仅造成抽象危险的行为进行定罪时，就意味着公民将以牺牲个人权利来换取一定的公共安全，这或许会带来更为严重的社会问题。在个人信息保护问题上，应坚持以人为本的法治理念，深度剖析刑法中侵犯公民个人信息罪的法益、行为、责任内容，尤其对于轻罪、出罪等本该由民法规制的行为，刑法不妨保持一定的距离，发挥民事违法性的过渡功能，进而实现刑民规制的和谐共舞。

●法益内容的衔接

在刑民一体化的共治衔接中，首先应予解决的问题是刑法中侵犯公民个人信息罪所保护的法益与相关民法规范中所维护的权益之间的关系问题。换言之，刑法法益的确立，不能完全忽视或背离民法对于个人信息保护的认知规范，否则容易引发法律规制错位，无法发挥刑民既有的体系化功能。民法是前置性法，刑法是保障性法，刑法的重要功能在于惩治超出民法规范的犯罪行为。在一个完整的法律体系中，尽管有刑法、民法等不同部门法分支，但分支之间应当存在一定的衔接性。因此，确定刑法中侵犯公民个人信息罪的法益，一定要参考、比对《民法典》《个人信息保护法》中对于个人信息民事权益相关的规定，以此实现刑民一体化的有效衔接。

诚如前文所言，侵犯公民个人信息罪的犯罪性质系自然犯，其所侵犯的法益内容是具体的个人信息权，这与《民法典》《个人信息保护法》中所保护的权益并无差异。但探究个人信息保护的本质而言，作为发挥保障性功能的刑法，其所保护的重要法益在于处理个人信息中的决定权。个人信息的决定权蕴含了自然人最基本的尊严与自由，只有将个人信息保护的法益上升至与人本身的主体性地位相对应的权利，方能保证人不被沦为信息客体，丧失人性尊严。也正如学者程啸所言，法律也并不是为个人信息而保护个人信息的，而是由于个人信息上附着需要法律保护的利益。[8]另一方面，个人信息的决定权在已有的刑民体系中亦可以找到根据。检视《刑法》第253条，其正处在刑法分则第四章的侵犯公民人身民主权利罪中，目的就是为了保护每个公民所独有的个人信息决定权，而非泛泛的个人信息权。民法规范中亦是如此，《民法典》第1037条、《个人信息保护法》第45条等对个人信息保护的规定无不在强调个人信息决定权这一权利基础。正如民法学者们对于个人信息自决权的解释，“个人信息权主要是指对个人信息的支配和自主决定权”[9]，“自然人对于自己的个人信息，可以自我占有、自我控制、自我支配，他人不得非法干涉、不得非法侵害”[10]。可以说，对个人信息决定权的法益认识，刑法与民法高度统一。

当然，民法是规范公民方方面面社会生活的法律，而刑法是各个部门法的保障之法。公私法的不同属性决定了其在法益与权利衔接中的不同理念方式，公法上的个人信息权是一种积极的事前防御权，[11]私法上的个人信息权利的保护則以实际权利受到侵害为要件。在具体的衔接适用中，应当在刑民法益个人信息决定权相统一的理念基础上，再对刑事的犯罪边界与民事的个人权利予以区分，为实现个人信息刑民规范的有效统一奠定基础。换言之，刑法本身蕴含的保障性意义并不在于任何违反《民法典》侵害公民个人信息权的行为都要作入罪处理，只有违背了信息主体对于个人信息流转、控制的自我决定权，刑法的介入才具备正当性。就社会生活而言，刑法对于公民个人信息法益的保护范围理应窄于民法，更应当遵循“民法要扩张、刑法要谦抑”的理念，审慎适用刑法，贯彻“刑法要努力创造自由”的发展思维。

●行为内容的衔接

纵观个人信息保护的刑事立法沿革，其在立法层面经历了从间接保护到直接保护的转变。最高法、最高检尽管通过《解释》进一步明确了侵犯公民个人信息罪的司法适用，但随着大数据时代的到来及智能技术的广泛应用，传统的刑法规制已逐渐力不从心。较为明显的是现有刑法只将非法获取、出售、提供等行为予以规制，法益保护的不周延性十分突出。例如，《解释》对于非法获取、出售或者提供公民个人信息中“情节严重”的情形予以了明确，但面对当前普遍发生的、通过合法途径获取却非法利用的行为，刑事规制是否可以进行准确救济？过分救济是否又会违背刑法的谦抑性？

在民法领域，《个人信息保护法》在处理个人信息的问题上作出了较为系统完善的规定，涵盖了收集、储存、使用、提供、加工等诸多方面。但该规制中对个人信息违法处理的内容是否与刑法中的非法获取、提供的行为相重合？或者，如《个人信息保护法》中第21条、第22条规定的个人信息处理者的委托、转移的情形，是否属于刑法所规定的“提供行为”？尽管结合《民法典》合同编中对委托合同的规定可以为相关案件的解决提供指引，但在刑事领域中，当委托人、受托人对委托处理的个人信息使用不当时，就容易出现罪与非罪界限不清的争议。[12]因此，有必要对侵犯公民个人信息罪的适用问题予以重新审视。

在个人信息行为判定的过程中，刑法与民法的重要使命在于厘清个人信息权利保护过度与刑事规范弱化的界限，刑法的谦抑性决定了其不能对个人信息行为予以全方位的规制，而只能发挥既有的保障性作用。面对现阶段个人信息行为规范中的刑民衔接不足，应当从横纵两个方面进行构建。横向上要深化《个人信息保护法》与《刑法》中对于个人信息行为规范的认识。对于个人信息行为认定中所涉及的基础性概念、方式方法，应当进行全面充分的了解，防止陷入“扩大解释”“主观造法”的适用混乱。例如刑法规范中涉及的“提供行为”，应当首先对刑法规定的内涵予以明确，对于不符合刑法规范的行为应当及时予以排除，做到“法无明文规定不为罪，法无明文规定不处罚”。即使出现了与《个人信息保护法》行为重合的情况，也应优先从民事违法性上予以考量，发挥民法规范的前置性功能。纵向上要坚守“先民后刑”的行为适用理念。对于个人信息的法律规范，其特殊性在于存在多个部门法规范，在适用的过程中要始终秉持“当穷尽所有仍无法进行救济时方能适用刑法”的理念。在对行为规范的认定中，应当首先检视已有的民事行为规范，在民事规范中找寻依据，坚守刑法本身的保障性功能。

●责任内容的衔接

在责任视域中，刑事责任的适用前提在于行为挑战了社会共同体基本的共享价值，实施了于公民不法的行为，更违背了社会共同体基本的规范义务。民事责任则不同，其重要前提是侵犯了个人所享有的民事权利，违反了社会中排除他人妨碍、不受干扰的私人义务。刑民之间不同的责任内涵与价值划清了刑民之间的部门法界限，更影响了责任内容的规范。具体就刑法责任所涉及的入罪问题而言，2017年最高法、最高检在《解释》中对非法获取、出售或者提供公民个人信息的“情节严重”“情节特别严重”作了明确说明，有利于刑事责任的适用。但《解释》也同样存在刑法内部适用外延不清晰的问题，正如在阐明侵犯公民个人信息罪中关于“违反国家有关规定”这一空白规范时，扩张性地将部门规章也纳入判断前置违法性的规范依据中，这与《刑法》第96条中“违反国家规定”的含义并不一致。[13]因此，在刑民责任衔接之前，有必要重新厘清侵犯公民个人信息罪中的入罪事由，谨防将部门规章作为前置的违法性依据进而导致入罪扩大化的错误倾向。

《个人信息保护法》作为与《刑法》同等位阶的基础性部门法，是多年以来理论智慧与实践经验的结晶。其没有停留在已有规范的修补完善上，而是重新构建起全新的法律框架，尤其在责任问题上，其为刑法提供了个人信息合法性判断的前置性规定。然而，《个人信息保护法》在责任的衔接与适用上也存在不足。比较明显的是，其仅仅在法律责任章节的条款下进行了宣示性的规定，即“构成犯罪的，依法追究刑事责任”。这符合一般部门法的做法，但也引发了在援引前置条款时的衔接不畅，以致于常常引发争议。[14]不仅如此，《个人信息保护法》也存在权利与责任不相配套的情况，在适用第69条规定的侵权责任条款时，很容易产生法律赋予个人信息主体的权利难以得到有效救济的问题，[15]引发刑民责任衔接的不稳定。

因此，在刑民责任衔接问题上，应当主要围绕以下几方面内容进行规范构建。第一，构设“民先刑后”的担责思维。这要求刑法应当放弃过分规制的扩张性思维，在法律规定的范围内，在个人信息权正常行使的前提下，要防止刑法适用的随意性，突出民事行为违法性适用，对刑法在民事领域的张力予以约束控制。当然，刑法是公法，民法是私法，刑法追究刑事责任，民法追究民事责任，二者分属不同的体系。刑事责任具有对未来可能发生的法益侵害亦或危险进行事前预防并向前看的保障性功能，而民事责任则具有弥补已经发生的损害并向后看的前置性功能。二者方向一前一后，共同完成对损害行为的预防和惩罚。这也意味着，在具体确定刑事责任前，如果追究行为人的民事责任的同时能实现“向后看”或“向前看”的功能，就没有必要追究刑事责任。第二，修补部门法内部的责任内容。面对个人信息保护在刑法与民法部门法内现存的适用矛盾问题，首要任务应当是在部门法内部进行梳理、优化，增强部门法内部的协调性与可适用性，为刑民责任的准确衔接奠定基础。第三，增强刑民责任过渡的协调性。在刑法语境中，为了保护公民个人信息自决权的法益内容，通过一系列刑事入罪的要件规范确立了承担刑事责任的基础。而在民法视域中，借助《个人信息保护法》对《民法典》相关内容的进一步完善，进而构建一套完备的个人信息保护法律体系，以实现公民个人信息权利的保障与救济。在刑民责任衔接的过程中，理应采用对个人信息进行综合性保护的方法，做好公法与私法、入罪与出罪、合法与违法的有效过渡。尤其在司法层面，对于已经进入刑法犯罪圈的行为，能够以民事违法处理的尽量不以刑事犯罪处理，在民刑处理上做好衔接。[16]故而在追究刑事责任的过程中，也应首先在现行罪名体系之下寻求解决方案，而非为了对接民法规定盲目在刑法中创设新罪，忽视民法对个人信息权利的保护价值。

五、结语

党的二十大报告指出，全面依法治国是国家治理的一场深刻革命，要继续推进科学立法、民主立法、依法立法，增強立法的系统性、整体性、协调性。当今社会的快速发展已离不开法律对个人信息的有效保护，而如何在已有的法律体系中增强不同部门法之间的衔接性，始终是重要的论题。为了确保法律在个人信息数据保护背景下最大限度地发挥大数据既有的潜在价值，法律特别是刑法，对侵犯公民个人信息行为的规制必须保持足够的克制。在以往的个人信息保护中，一直贯穿着刑法为主、民法为辅的理念，这与刑法本身的规制理念并不相符。刑法中的侵犯公民个人信息罪与民法中的个人信息保护作为维护社会秩序、保障人民权利重要的规范创设，理应在现有的立法框架内，加深二者在法益、行为、责任认识等方面上的优化衔接。坚持民法优先原则，着力彰显《民法典》以人为本的私法精神，恪守刑法谦抑原则，为涉及公民个人信息保护的相关刑民适用问题提供有效的解决机制，进而最大限度地实现良法善治，推进中国式法治现代化的高质量发展。

基金项目

国家社会科学基金一般项目《个人信息权利行使的平衡机制研究》（19BFX127）、教育部人文社会科学研究规划基金项目《乡镇街道行使行政处罚权的法律规则研究》（21YJA820014）阶段性成果。

参考文献

[1]张文显.论中国式法治现代化新道路[J].中国法学，2022，（1）.

[2]刘艳红.人性民法与物性刑法的融合发展[J].中国社会科学，2020，（4）.

[3]林来梵.宪法学讲义（第3版）[M].北京：清华大学出版社，2018：22.

[4]周光权.法秩序统一性的含义与刑法体系解释——以侵害英雄烈士名誉、荣誉罪为例[J].华东政法大学学报，2022，（2）.

[5]张明楷.刑法理论与刑事立法[J].法学论坛，2017，（6）.

[6]李怀胜.侵犯公民个人信息罪的刑法调适思路——以《公民个人信息保护法》为背景[J].中国政法大学学报，2022，（1）.

[7]王利明，丁晓东.论《个人信息保护法》的亮点、特色与适用[J].法学家，2021，（6）.

[8]程啸.论个人信息权益与隐私权的关系[J].当代法学，2022，（4）.

[9]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013，（4）.