杨 闻 石 魏

近年来，我国对个人信息的保护力度在不断强化，《民法典》对个人信息设专章予以保护，2021 年出台了针对个人信息保护的专门法律——《个人信息保护法》。《个人信息保护法》对个人信息的内涵、敏感信息、信息处理规则、信息处理者的权利义务及法律责任等进行了全面规定。侵犯公民个人信息罪将“违反国家有关规定”作为入罪前提，这就牵涉到前置法与刑法的关系。结合个人信息民刑规范差异，有必要检视目前侵犯公民个人信息定罪机制。笔者尝试引入嵌入理论中强弱连接关系，明确前置法对侵犯公民个人信息入罪的影响程度，希望能够对本罪认定提供一种新的研究视角，在此基础上，合理调适侵犯公民个人信息定罪机制①本文所指的定罪机制实质是对行为不法的判断，入罪标准和出罪事由同属不法判断的一体两面，无论积极判断抑或消极判断，均属于不法判断。，更为合理地划定本罪的犯罪圈。

一、公民个人信息民刑保护困境及定罪机制检视

对公民个人信息的保护，我国民刑法呈现倒置的立法形态，先有《刑法》法条及司法解释，后有《民法典》及《个人信息保护法》。我国《刑法》对公民个人信息的保护早期主要体现在“信用卡信息”保护方面，2009 年《刑法修正案（七）》增设第253 条之一“出售、非法提供公民个人信息罪和非法获取公民个人信息罪”，2015 年《刑法修正案（九）》将上述两罪名合并为本罪，由原先的特殊主体变更为一般主体，成为非真正身份犯。不管是出售、非法提供公民个人信息罪还是本罪，入罪的前提条件均包括“违反国家有关规定”，随着相关前置法规范不断完善，个人信息前置法与本罪的对接成为关注的重点。

笔者以北京市2017—2021 年审结的1058 件侵犯公民个人信息案件为样本，刑事方面以“侵犯公民个人信息罪”为关键词，民事方面以“个人信息”“侵权”为关键词在中国裁判文书网分别检索到236 件、822 件案例。结合民刑规范差异，探究个人信息司法保护的现状。

（一）标准不一：“个人信息”认定及分类差异大

1.民刑“个人信息”认定标准差异导致入罪难

不管是民法规范还是刑事法律规范都试图厘清个人信息的概念，并试图采用概括和列举的方式进行立法规范。对个人信息的认定，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10 号） （以下简称《个人信息解释》）和《民法典》均采取“识别说”，即能够单独或者与其他信息结合识别特定自然人作为确定该信息是否属于个人信息的标准。而《个人信息保护法》则在“识别说”的基础上增加了“关联说”，即与已识别或者可识别的自然人有关的各种信息。但鉴于“识别性”概念缺乏深入阐释及“批量信息”处理规则，民刑转化案例数量少，且缺乏对涉案信息是否具备识别性及识别深度的具体论证，样本案件中，涉及民转刑的案件为7 件，涉及刑转民的案件数为0。此外，存在将连接型信息认定为公民个人信息的判例，如将行为人非法获取、出售iPhone 机主的Apple ID、手机号码、解锁信息认定为《个人信息解释》条款中规定的“可能影响财产安全的公民个人信息”，①参见黄永聪、魏云飞侵犯公民个人信息罪案，广东省广州市越秀区人民法院（2017）粤0104 刑初312 号刑事判决书。这在事实上就牵扯到民刑对个人信息的认定范畴问题。

2.民刑信息分类差异导致刑事立法对特殊主体缺乏有效保护

刑法对本罪采取“定性”和“定量”相结合的认定逻辑。在定量方面，信息重要程度影响入罪数量标准，信息重要程度越高，入罪要求信息数量越少，故信息类型及重要程度在本罪认定方面至关重要。《个人信息解释》第5 条第1 款第3、4、5项实质上对个人信息进行了概括分类，将个人信息按照重要程度区分为敏感信息、重要信息、一般信息。②参见周光权：《侵犯公民个人信息罪的行为对象》，载《清华法学》2021 年第3 期。但《个人信息解释》以信息重要程度不同划分敏感信息和重要信息，在实践中操作层面存在诸多问题，一方面，信息重要性会随着场景不同而发生变化；另一方面，敏感信息中的“财产信息”与重要信息中的“交易信息”在重要程度的比较上缺乏具体标准。另外，《个人信息解释》对提供个人信息用于他人实施犯罪行为在保护力度上存在实质差异。比如，行踪轨迹信息并不需要行为人知道他人用于犯罪可构成本罪，而对于除行踪轨迹信息以外的其他个人信息，则要求行为人知道或应当知道他人将该信息用于犯罪。该规定实质上降低了行踪轨迹信息入罪难度，而刑法规范对于行踪轨迹信息与其他敏感信息差别化保护缺乏合理充分的依据支撑。

《个人信息保护法》对公民个人信息分类采用“二分法”，即敏感信息和一般信息，将生物识别、不满14 周岁未成年人的个人信息纳入敏感信息予以特殊保护。但刑事规范对未成年人个人信息缺乏特殊保护规则，导致民刑对未成年人等特殊主体衔接方面存在背离、冲突，不利于对未成年人个人信息权益的特殊保护。

（二）规范缺失：“合理处理”作为出罪事由缺乏衔接

1.告知同意规则难以适应刑事司法实践

《个人信息保护法》将告知同意原则设立为公民个人信息处理规则的核心，该原则也是“合理处理”认定的核心。同意的前提是告知，鉴于《个人信息保护法》并未明确规定同意为意思表示，本文仅将同意作为违法阻却事由。大数据时代，往往伴随着大规模数据处理，告知同意规则越来越受到质疑。首先，个人与网络平台的信息不对称妨碍同意的基础。其次，现如今个人信息形态多样，经历多环节流转而减损了同意的有效性。同时，各网络平台用户协议、隐私条款等内容专业且繁多，包含大量格式条款，导致个人同意流于形式。此外，司法资源难以承受同意规则条款的全面适用。刑事案件所涉信息数量往往数以万计，核实信息真伪已存在较大难度，若还需核实被害人是否同意信息处理，司法资源难以承受，因此不具备司法可能性。

2.刑事法律规范对于出罪事由缺乏明确规定

《个人信息解释》第3 条第2 款将“未经被收集者同意，将合法收集的公民个人信息向他人提供的”纳入本罪规范范围。反过来说，若被收集者同意，则提供公民个人信息的行为可作为本罪的违法阻却事由，即当前刑法规范中本罪唯一的出罪事由。学界和实务界也将该条款作为再提供行为需“二次同意”的依据。民事法律规范方面，《民法典》将个人同意、为维护公共利益等处理行为作为免责事由；《个人信息保护法》第13、27 条归纳合理处理行为，将取得个人同意、订立合同所必需、履行法定义务所必需、突发公共卫生事件所必需、公共利益所需等处理个人信息行为作为法定许可的合法化事由。民刑关于免责事由的偏差极易导致裁判不一。

（三）保护限缩：民刑针对信息类型及行为分别各有侧重

1.刑事侧重身份信息和通讯信息，而民事规制信息类型更为多样

虽然《个人信息解释》规定的公民个人信息类型包括姓名、身份证件号码、行踪轨迹、征信信息、交易信息等，但是目前侵犯公民个人信息罪的信息类型集中表现为身份信息和通讯信息。样本案例中，侵犯手机号码的案件数量占比最高，占比高达73%，其他信息占比从高到低依次为身份证信息、账号信息、征信信息等，分别占比为9.7%、5.2%、4.6%。身份信息与通讯信息数量最多，原因在于此类信息与个人财产权益、人身权益密切相关，对此类信息侵犯可为下一步实施的诈骗行为、精准传销等提供便利。区别于刑事案件偏重特殊类型，民事案件与社会现实联系更为紧密，社会现实纷繁芜杂，反映到案件中，所涉个人信息更为复杂多样。个人信息具体包括姓名、身份证号码、通讯信息、肖像、活动信息、交易财产信息、病情记录及资格证书等多种类型。

2.刑事主要规制获取、买卖行为，而民事主要规制收集和使用行为

在236 件刑事样本案例中，规制行为以非法获取和非法买卖为主，出售个人信息类型案件最多，高达87 件；通过微信或QQ 交换个人信息案件71 件；被告人通过编制程序、超越权限非法抓取等方式获取个人信息案件68 件；购买个人信息案件41 件。而民事案件多集中在收集和使用两个环节，比如行为人多以“一揽子授权”过度收集个人信息或者利用格式条款“胁迫”用户接受霸王条款等方式擅自扩大同意范围，收集的信息多为其服务过程中的非必要信息，例如位置信息、通讯录等，此类案件数量高达457 件，占比高达55.59%。信息使用环节，82 件案件存在未经他人同意擅自将他人个人信息进行传播的情形，占比达10%，典型情形包括公司员工将掌握的单位机密等信息在存储及使用过程故意泄露、交易；熟人之间将夫妻隐私、婚外情等信息基于多种目的披露、传播等。

（四）适用分歧：定罪及量刑存在类案不统一现象

1.擅自处理已公开个人信息行为裁判迥异

对于擅自处理已公开个人信息行为，司法实践中存在类案异判的情形，更有甚者，存在有罪和无罪的本质差异，严重损害司法公信力。比如，有裁判文书认为，被告人买卖的个人信息超出国家企业信用信息公示系统公开的信息种类，故属于刑法意义上的“个人信息”。①参见吴守怡、王超阳、邵久秀等侵犯公民个人信息罪案，浙江省台州市中级人民法院（2018）浙10刑终748 号刑事判决书。信息主体公开个人信息并不意味着放弃对其个人信息的控制，已公开信息仍具有个人利益，应受刑法保护。②参见高坡、陈召康：《收集并出售已公开的个人信息是否构成犯罪》，载《江苏法治报》2020 年8 月6日，第7 版。另一方面，实务中也有检察院直接适用《个人信息解释》第3 条、《民法典》第1036 条规定，认为既然没有证据证实行为人出售合法公开信息的行为遭到权利人拒绝或侵害其重大利益，就不应当认定为构成本罪。③参见卢志坚、白翼轩、田竞：《出卖公开的企业信息谋利，检察机关认定行为人不构成犯罪》，载《检察日报》2021 年1 月20 日，第1 版。

2.量刑不统一问题频发

实践中，存在案件事实相同且量刑情节相似情况下，量刑相差迥异的情形；亦存在案件事实相差悬殊，但量刑差异较小的情形。比如，秦帅等侵犯公民个人信息案④参见秦帅等侵犯公民个人信息罪案，北京市海淀区人民法院（2018）京0108 刑初770 号刑事判决书。和李光辉侵犯公民个人信息案⑤参见李光辉侵犯公民个人信息罪案，北京市海淀区人民法院（2018）京0108 刑初1003 号刑事判决书。，秦帅侵犯的公民个人信息1100 多万条，李光辉侵犯的公民个人信息为1.4 万多条，二者在侵犯个人信息数量上差别巨大，而最终秦帅被判处有期徒刑2 年，李光辉被判处有期徒刑2 年10 个月，刑期差距却不大。此外，2份判决书均未论述秦帅等与李光辉获利数额，但判处秦帅罚金4 万元，李光辉罚金3万元，前者主刑较低，财产刑却更高，表明如何认定本罪的情节要素与数量标准仍有待进一步探讨。

综上，公民个人信息民刑规范差异和本罪适用困境反映出，我国目前对公民个人信息的保护仍处于民刑“各自为政”阶段，未充分考虑法秩序的统一性。为避免大规模信息泄露导致的严重后果，并在源头上斩断涉个人信息犯罪“链条”，刑法将严重行为入罪化有一定的合理性。随着个人信息理论研究不断深入，前置法规范的不断完善，整体法秩序日趋失衡，造成合法与非法、罪与非罪界限愈加模糊。为加强民刑关于个人信息的综合保护，在检视和反思现有个人信息民刑保护模式下，有必要结合前置法的相关规定，合理调适本罪的定罪机制。

二、侵犯公民个人信息定罪机制调适之立场——内嵌个人法益因素

民刑规范保护的个人信息均包含个人信息权益。考虑到刑法入罪与前置法的关联性和衔接性，笔者借助嵌入理论的强弱连接关系，分析民法规范如何影响本罪认定，厘清个人信息民刑保护规则间的关系，明确民法规范对本罪入罪标准和出罪机制影响的差异性。

（一）本罪理应内嵌个人法益因素

法益争论影响着本罪构成要件符合性和违法性的判断，进而决定犯罪圈划定，实质影响了侵权与犯罪的界限。学界对于本罪法益长期存在个人法益说①个人法益说认为，本罪保护的法益是个人信息的私权益。持个人法益说根据私益类型具体分为人格权说，该说认为本罪的法益是保护公民人格尊严与个人自由；隐私权说；新型权利说；个人信息自决权，认为本罪保护的是个人信息权中的信息自决权等。参见高富平、王文祥：《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》，载《政治与法律》2017 年第2 期；李伟民：《“个人信息权”性质之辩与立法模式研究——以互联网新型权利为视角》，载《上海师范大学学报（哲学社会科学版）》2018 年第3期；刘艳红：《民法编纂背景下侵犯公民个人信息罪的保护法益：信息自决权——以刑民一体化及〈民法总则〉第 111 条为视角》，载《浙江工商大学学报》2019 年第6 期。与超个人法益说②超个人法益说则认为个人信息不仅直接关系个人人格权益的实现，更关乎社会公共利益、国家安全乃至信息主权，认为本罪保护的法益为信息安全的社会信赖。也有学者认为鉴于本罪的处罚模式是“预防性处罚”，而非“实害性处罚”，个人信息的泄露使公民陷入一种可能被控制的风险之中，故将其法益确立为社会信息管理秩序。参见江海洋：《侵犯公民个人信息罪超个人法益之提倡》，载《交大法学》2018年第3 期；凌萍萍、焦冶：《侵犯公民个人信息罪的刑法法益重析》，载《苏州大学学报》2017 年第6 期。的争论，两者实质上是私权益与公权益之间的角力。在本罪法益视角下，私权益与公权益平衡的基础在于两者都关注“人”的保护。私权益针对的是个人，而公权益则以个体的集合为基础，落脚于群体意义上的人，二者最终立足点均为保护个人权益实现。只有从个人权益推导出的公权益才具有可保护价值，相关刑法规范才具有正当性，故本罪法益包含个人信息权益。

学理上，对于个人信息兼具个体和社会双重属性已达成普遍共识。③参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015 年第3 期。个人信息最初源于对隐私权的保护，信息产生于个人的行为和交往，承载着个人的人格利益。个人信息不仅承载着隐私、名誉等人格权益，更包含财产安全，甚至生命健康等多重利益，从这个意义来说，本罪被规定在侵犯公民人身权利、民主权利章节有其合理性，且刑法中本罪的犯罪对象是公民个人信息，而非抽象的社会公共利益。信息自身流通价值和社会管理需求又决定个人信息的社会属性，该社会属性接近于公益特质。关于个体属性与社会属性的关系，首先，社会属性蕴含个体属性成分，社会属性从属于个体属性。信息的流通共享不能以侵害个人合法权益为代价，社会属性的实现不应建立在侵犯个体属性基础上。其次，在刑法保护和保障机能下，保障公民个人利益功能是保障国家整体利益和社会利益的基础，故虽然本罪保护法益存在争议，但个人信息个体属性价值决定本罪理应内嵌个人法益因素。

（二）借助“嵌入”厘清个人信息民刑保护规则关系

卡尔·波兰尼最早提出“嵌入”概念，最初“嵌入”主要适用于解释经济现象与社会关系之间的关联。①嵌入理论广泛用于新制度经济学领域，而在法学领域应用较少，未形成统一分析方法。卡尔· 波兰尼指出经济现象通常潜藏于社会关系中，经济体系嵌入社会关系。See Karl Polanyi，The Great Transformation，Boston：Beacon Press，1944，P.272.马克·格兰诺维持发展、扩大、延伸了嵌入理论，将分析框架划分为结构嵌入和关系嵌入两种类型。结构嵌入研究视角是多元主体参与者间相互联系的总体性结构，具体到法内部，是指协调不同法律规范内在衔接的“法秩序”：按照刑法、民法、行政法等各自不同的法理完善生根形成独自的领域，每个法域之间至少应保证不产生冲突，从而形成内在的、有一定逻辑规则的统一规范。②参见[日]曾根威彦：《刑法学基础》，黎宏译，法律出版社2005 年版，第212 页。马克·格兰诺维持按照关系强度将之分为强连接关系、弱连接关系和强弱混合型关系等三种类型。③在经济学领域，强弱连接关系主要用于解决企业以何种强度嵌入网络更有利于提升企业创新绩效等问题，“过度嵌入”和“嵌入不足”均会对企业绩效产生负面效应。See Mark Granovetter，Economic action and social structure:the problem of embeddedness，Americian Journal of Sociology，1985，P.481-510.他认为基于社会信任的弱连接关系和基于制度约束的强连接组成了社会行为的网络结构，而弱连接更能分享多元信息，增加行为选择的弹性，提高人的行为能力。法律实质上是规范介入法律事实过程中形成的制度化规范，在整体法秩序下，各法域也存在一定的互动关系。本文借助嵌入理论中企业嵌入网络的强弱连接关系，试图明确个人信息民刑保护规则之间的关系，有助于厘清前置法如何影响本罪定罪。

1.适度弱连接化入罪标准：民事法律规范通过合理性判断嵌入本罪构成要素影响入罪

弱连接关系是建立在民事法律规范与刑事法律规范独立价值基础上所形成的良性互动关系，主要体现在民事法律规范为本罪划定合法性边界，但不直接决定是否入罪。

（1）民事法律规范为本罪划定合法性边界

本罪的重要构成要件是“违反国家有关规定”，相关民事法律规范颁布之前，由于前置法缺失，该要件处于虚化状态。随着前置法的逐步完善，该要件空白规范的功能定位也在发生变化。《个人信息保护法》等前置法对网络服务提供者、信息控制者等法定义务有明确规定，这些义务构成了相应合法性边界。如需判断是否构成本罪中的“违反国家有关规定”，应回归到这些义务性规范，没有履行上述义务的，属于违反国家规定，在此基础上，非法收集信息或者造成信息不当泄露，情节严重的，构成本罪。

（2）民事法律规范影响但不决定是否入罪

某一行为入罪的前提是该行为具备刑事违法性。虽然“违反国家有关规定”为本罪构成要件，但并不意味着前置法与本罪处于“前置法定性、刑事法定量”的状态，刑事违法性具有一定独立性。民事责任的核心是利益衡平，主要手段是停止侵害、赔偿损失，而刑事责任的核心是行使国家赋予的刑罚权，二者在规范行为路径、责任承担等方面存在本质不同。比如，非法收集公民个人信息行为，民事规制重点在于行为人利用该信息导致相对方损失；而刑事方面，若被告人非法收集个人信息达到法定数量，即使未传播且未对相对人造成严重损失，也不能排除其刑事违法性。为避免法律规范之内部冲突，结合个人信息双重属性，可以采用违法性判断相对统一的“缓和的违法一元论”之立场。

（3）适度弱连接化判断标准——民事法律规范嵌入合理性判断

前置法判断某一行为具有民事违法性（如违反义务性规范），在一定程度上可作为刑事“初查”门槛，但此类行为并不必然具有刑事违法性。刑事违法性判断取决于本罪构成要件（尤其是客观构成要素）的确定，并综合考量法益侵害、立法意图等因素。《个人信息保护法》第71 条规定“违反本法规定，构成犯罪的，依法追究刑事责任”，但其所产生的实质意义有限，并不能直接决定行为入罪。调适行为入罪的标准在于民事法律规范对本罪客观构成要素的影响，故有必要在考察民刑规范衔接的合理性前提下，结合本罪条款设置的规范目的，分析嵌入本罪构成要素的必要性，故民事法律规范对于本罪的影响应体现在构成要素调整上，但并不必然影响本罪的定性。

2.强连接化出罪事由：引入比例原则将民事合法化事由直接转化为本罪出罪事由

强连接关系针对民事合法化事由和本罪出罪规则的制度化连接关系，具体表现为即使刑法规范未明确规定出罪事由，民事合法化事由也可直接转化为本罪出罪事由。

（1）民法合法化事由转化为本罪出罪事由

民事法律规范认定的“合理处理”行为，必然不可能构成本罪。①参见刘双阳、李川：《法秩序统一性视野下被动获悉型内幕交易犯罪主体的识别》，载《河南财经政法大学学报》2020 年第1 期。其合理性在于，某一行为在规制较轻社会危害的法域被认定为合法行为，若仍要受到刑法制裁，该逻辑对于一般人来说是无法接受的，也不符合刑法作为最后保障法的制度价值以及刑法谦抑性的基本立场。②参见[德]克劳斯·罗克辛：《德国刑法学总论》（第1 卷），王世洲译，法律出版社2005 年版，第397 页。结合前置法规范，民事合法化事由的核心是“合理处理”。以已公开个人信息为例，信息合法公开后并不等于免除信息处理者就二次利用行为履行告知并征得个人同意的义务，③参见龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021 年版，第123 页。还满足“合理处理”抑或“在合理范围内”条件，才能认定为民法上的合法行为，如处理行为超出合理范围仍需取得相对人“二次同意”。基于法秩序统一原理，“合理处理”认定也应作为本罪出罪规则的核心。

（2）强连接关系判断标准——引入比例原则判断

强连接关系是具有法律效力的制度化连接方式。如果缺乏密度控制，容易出现将本罪“广泛适用”或将本罪“束之高阁”的倾向，引入比例原则可有效防止本罪的扩大化及严苛化倾向，并有效衔接民事合法化事由向本罪出罪事由的转化。

法律拟制合理处理规则本身具有必要性，该规则并非直接调整行为人与相对人之间的权利义务关系，而是通过法定拟制手段对行为进行约束，将法益侵害控制在比例范围内。依法判断某一行为是否为“合理处理”，关键在于衡量“合理性”，需要在信息处理目的和拟采取处理手段之间利益关系的法律分析框架内。①参见刘双阳：《“合理处理”与侵犯公民个人信息罪的出罪机制》，载《华东政法大学学报》2021 年第6 期。引入比例原则的操作规则，具体从正当性、适当性、必要性及均衡性四个角度审查。若行为人处理信息行为符合比例原则所蕴含的“目的正当、手段适当、损害最小、损益均衡”四项标准，则可认为属于“合理处理”，此时不需要获取相对人的“二次同意”。

三、侵犯公民个人信息定罪机制之重塑

结合前文论证的强弱连接关系，笔者试图在民事规范嵌入入罪及出罪事由框架下对本罪定罪机制进行重塑。

（一）标准统一：民刑个人信息认定和分类标准不应相悖

1.本罪“个人信息”认定应与《个人信息保护法》一致

民刑均将“识别性”作为判断个人信息的主要标准，是否构成本罪首先需要判定某项信息是否具有可识别性，识别性具体区分为已识别和可识别。已识别是指单独信息可明确指向特定人，可识别则需要信息的组合指向特定人，这些信息本身属于辅助信息，甚至可能较为松散、杂乱，但结合起来依然可识别特定人。有学者认为，《个人信息保护法》将“与自然人有关”的信息均纳入个人信息范围，在侵权案件中降低甄别个人信息的难度，有助于保护被侵权人的权益，但对于侵犯公民个人信息罪来说，会导致本罪的适用范围无限扩张。②参见郑朝旭：《论侵犯公民个人信息罪的司法适用误区及其匡正》，载《财经法学》2022 年第1 期。

笔者认为，“不法行为方式”“个人信息”“情节严重”共同构成本罪“不法”的客观构成要素，不能将三者共同的任务全部归于“个人信息”概念完成。即便个人信息范围扩张可能导致个人信息的过度保护，立法上也可通过明确出罪事由等方式限制本罪的扩张，而不应通过限缩个人信息范围来解决上述问题，否则容易导致部分信息保护程度畸高，另一部分又完全排除在刑法保护之外，这种忽强忽弱的保护力度，难以应对现实中日趋复杂多样的信息类型。相较于刑法规范，《个人信息保护法》对个人信息的界定更为明确、全面，因此本罪关于个人信息的界定应适度调整，与《个人信息保护法》一致，既可有效保持法秩序的统一性，还可提升个人信息的保护力度和强度。

2.本罪个人信息分类应采用《个人信息保护法》“二分法”

个人信息的分类影响入罪数量设置，进而影响本罪定罪量刑。笔者认为，刑事对个人信息的分类应参照《个人信息保护法》的“二分法”界分标准。

一方面，采用“二分法”能有效避免《个人信息解释》对个人信息分类缺乏可行性的问题。除前文提到的“财产信息”与“交易信息”互相重合、难以辨明之外，实践中还存在一些融合度较高的信息难以归类问题。大数据时代背景下信息融合越来越丰富，一条信息可能包含多种内容，比如新冠疫情防疫下出现的“健康码”既可归于“行踪轨迹信息”，也可属于“健康生理信息”，甚至还蕴含着身份、通讯信息等。《个人信息保护法》以“信息一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”作为划分敏感信息和一般个人信息的标准，具有较强的归纳性，可有效避免上述问题。

另一方面，采用“二分法”有助于尽快明确生物识别信息在刑事上的归类和规范。虽然最高人民法院、最高人民检察院、公安部印发的《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见（二）》（法发〔2021〕22 号）将生物识别信息纳入本罪规范范围，但对于生物识别信息归类，仍有颇多争议。有的认为该信息符合重要信息中“……等其他可能影响人身、财产安全的个人信息”兜底规定，应认定为重要信息；也有观点认为，该信息应被归入一般信息；还有观点认为，为了突出该信息重要性，可直接纳入敏感信息范围。①参见欧阳本祺、王兆利：《涉人脸识别行为刑法适用的边界》，载《人民检察》2021 年第13 期；李怀盛：《滥用个人生物识别信息的刑事制裁思路——以人工智能“深度伪造”为例》，载《政法论坛》2020 年第4 期。如果本罪也采用“二分法”，生物识别信息可直接归入敏感信息，既可避免上述争议，也能体现刑法规范对于生物识别信息的特殊保护。

综上，本罪直接采用前置法关于个人信息界定及分类标准，不仅有利于避免实务中因规范不统一引发的争议，也有助于个人信息民刑规范之间的有效衔接。

（二）环节优化：本罪行为方式应增设“使用”行为

1.从危害后果看，增设“使用”行为具有必然性

从某些场景下，“非法使用”比“非法获取”行为社会危害性更大。比如，近年流行的具有换脸、变音等功能的AI 软件，借助人工智能具备自我识别、信息提取等功能，将视频信息碎片化，整理后可将原有视频的面容、声音轻松替换为他人面容、声音，此类行为造成的危害后果要远大于非法获取行为本身。然而当前的刑事立法体系下却缺乏惩治的具体罪名。互联网时代，人们可通过网络渠道较为轻易地获取他人信息，后续再利用上述技术手段生成新的视频、照片等信息内容，极易引发套路贷、养老诈骗等“链条式”犯罪行为。此外，非法使用行为亦可能造成较为严重的危害后果，如《个人信息保护法》出台前民众反映强烈的“大数据杀熟”问题，信息处理者借助自动化决策，在相对人不知情的情况下轻松获取个人信息，再利用“人工智能算法”自动分析使用信息，完成一系列的“杀熟”“广告推送”等侵害行为。若放任非法使用行为的肆意蔓延，极易衍生出个人信息处理过程中的黑色产业链，造成更为严重的社会危害性。

2.从立法逻辑看，增设“使用”行为具有可行性

《民法典》《个人信息保护法》等相关法律的出台，极大丰富了个人信息“处理”的内涵。从本文可以看出，私法规范多集中在使用端，同时也为刑法将合法获取再非法使用个人信息行为纳入本罪的规制范围提供了有力的依据。此外，刑法中已有类似罪名将部分非法使用个人信息行为规定为犯罪的先例，如使用虚假身份证件、盗用身份证件罪，其行为方式之一就是非法使用他人身份信息。还有冒名顶替罪，实质上是以冒用、篡改等方式侵害他人身份信息。既然部分非法使用身份信息行为已纳入刑法规范，那增设合法获取后再非法使用个人信息行为作为本罪行为方式，也就不存在障碍。

综上，笔者建议将情节严重的非法使用个人信息行为纳入本罪的行为类型，在解释“情节严重”时应加入行为性质标准，如恶意使用或欺诈、严重改变目的或冒用篡改、“人肉搜索”等。《个人信息保护法》等前置法明确信息处理者的义务性规范，实质包含了非法“使用”个人信息的情节因素，故有必要将相关义务性规范嵌入本罪客观构成要件，实现刑民规制的有效衔接。

（三）科学量刑：调整本罪“情节严重”规则

本罪是典型的情节犯，构成本罪“定量”方面要求达到“情节严重”的危害程度，个人信息认定及类型与“情节严重”直接相关。《个人信息解释》第5 条分别从信息用途、信息数量、信息获利、侵犯前科四个维度阐释本罪“情节严重”，并在第6 条规定了为合法经营活动购买、收受信息的行为，亦应认定为“情节严重”。从逻辑上说，往往个人信息越重要，侵犯该信息入罪要求越低。具体体现在信息数量设定上，则是行为人侵犯敏感个人信息入罪条数标准应低于一般个人信息。

对此，笔者建议，《个人信息解释》第5 条第1 款第1、2 项可按照“二分法”区分规范，为提供个人信息用于他人犯罪行为设置入罪要求，基本逻辑应当是信息重要程度与入罪数量、举证责任呈反比。依照处理目的不同具体判定侵犯个人信息是否可能严重影响人身财产安全。对于侵犯敏感信息行为，可能造成被害人生命财产安全严重受损，起刑点可设置在50 条以上，其他侵犯敏感信息行为入罪条数可设置在500条以上；侵犯一般个人信息行为，可能造成被害人生命财产安全受损，入罪条数可设置在500 条以上，其他侵犯一般信息行为入罪条数在5000 条以上。需要明确的是，侵犯不满14 周岁的未成年人信息在内的敏感信息，起刑点应低于一般个人信息，以体现刑法对于敏感信息的特殊保护。

（四）类型转化：重塑本罪出罪事由

鉴于刑法作为“最后保障法”具有谦抑性，目前刑事法律规范对个人信息出罪事由缺乏规定，不符合前文所述“强连接关系”。

1.“合理处理”作为出罪事由的依据

相较于《个人信息保护法》中“处理”的丰富内涵，本罪行为方式显然进行了适度限缩，将其范围限定为获取、出售、提供。获取个人信息若取得相对人同意或基于公共利益所需等合法化事由，本身就不构成本罪的“非法获取”，民刑规范之间也不存在实质冲突。相反，民事法律规范还有助于限定本罪非法获取的范围，防止不当入罪。出售层面，若行为人基于谋利目的出售个人信息，鉴于其目的的非正当性，如满足“情节严重”应构成本罪。

本罪认定中，最大争议莫过于合法获取后再使用或提供行为可否入罪。首先，需要考量信息主体对他人处理其信息的接受程度，“合理处理”的前提是行为人使用或提供行为符合信息主体的合理预期。值得注意的是，合理预期应该具有一定的客观性，至少在一般理性人角度来看是合理的。其次，引入“场景完整理论”，从信息主体、信息类型、处理信息行为及原则等角度，结合信息敏感程度、对被害人造成损失程度等综合判定行为人的失范行为是否超出“合理范围”。同时，依据社会公认的价值观念和标准，考察行为人处理个人信息的目的和拟处理行为是否超出信息主体的接受程度，只有符合比例原则所蕴含的四项标准，才能推定行为人的使用或提供行为取得相对人的默示同意，从而不构成本罪。

2.出罪事由类型化考量

结合前置法关于合法化事由的列举，笔者将出罪事由分为四类，即“被害人同意”、法令行为、正当业务行为、特殊目的行为，并结合具体类型阐述可否实质出罪。

（1）“被害人同意”

民事上的告知同意原则与刑事上作为出罪事由的“被害人同意”实质上存在契合。“被害人同意”成为违法性阻却事由的前提至少包括：其一，相对人需具有法益处分权限，处理不满14 周岁的未成年人个人信息还需征得其监护人同意；其二，只有在信息处理者充分清楚地告知信息使用的范围、目的及伴随的风险情况下，相对人的同意才具备有效性，否则不能作为出罪事由；其三，“被害人同意”下处理行为不能违反公序良俗、侵害国家或社会公共利益。

相对人自行公开其个人信息的行为，实质上也是“被害人同意”的延伸。信息公开后二次处理行为是否需取得“二次同意”在实务中争议比较大。笔者认为，结合相关前置法规范，除相对人明确要求“二次同意”外，宜推定为概括同意，不宜对合理获取后再使用或提供行为要求“二次同意”，如符合前述“合理处理”出罪路径，即不构成本罪。

（2）法令行为

法令行为具体包括法定义务所需行为和法定职责所需行为。一是法定义务所需。如依据我国《反洗钱法》第16 条规定，客户初次办理金融业务时，金融机构应要求客户出示有效身份信息，进行核对并登记。相关工作人员处理上述信息一旦超出“合理范围”，情节严重，仍构成本罪。二是法定职责所需。为确保履行法定职责，公权力机关有权依法获取、使用个人信息，相对人应该予以配合。如依据《刑事诉讼法》第132 条规定，①《刑事诉讼法》第132 条规定，为了确定被害人、犯罪嫌疑人的某些特征、伤害情况或者生理状态，可以对人身进行检查，可以提取指纹信息，采集血液、尿液等生物样本。公安机关或检察机关为侦查犯罪可强制收集个人生物识别信息。但是，行使公权力的前提是法律法规授权，故是否具备法定权限，是其依法获取、使用个人信息的前提和基础。

（3）正当业务行为

一是为提供服务所需。在特殊情况下，为维持产品或服务的安全稳定运行，如修复故障等，信息处理者无需取得用户同意。随着互联网经济蓬勃发展，技术和服务不断更新换代。当推出某新型服务时，虽然双方达成用户协议，但该项服务对个人信息有何影响，双方都是未知的，故不可苛求信息处理者将全部风险纳入约定中。在此情况下，推定相对人同意，需要综合考虑，平衡各方利益。

二是为公共利益实施新闻报道等所需。民事实务中对此早有定论，如对于学校、科研机构等主体为研究或统计目的行为，处理他人信息造成损害并不构成侵权。②《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12 条规定，学校、科研机构等基于公共利益为学术研究或者统计的目的，经自然人书面同意，且公开的方式不足以识别特定自然人。理论上，新闻自由、学术自由受到宪法保障，为此产生的信息流通又是必不可少的，故在合理范围内使用、提供个人信息，阻却侵害行为的违法性。

（4）特殊目的行为

一是应对突发事件所需。《突发事件应对法》第3 条对于“突发事件”有明确定义。①《突发事件应对法》第3 条规定，突发事件是指突然发生，造成或者可能造成严重社会危害，需要采取应急处理措施予以应对的自然灾害、事故灾害、公共卫生事件和社会安全事件。自2020 年新冠疫情爆发以来，信息的公开透明对疫情防控显得尤为重要，全国各地超出“合理范围”侵犯个人信息的新闻也屡见不鲜。在面对具体案件时，需结合比例原则，考察能否满足上述“合理处理”出罪逻辑，综合判定后续处理个人信息的行为与原先收集目的是否兼容，收集目的应限定于防疫需求，因为相对人被采集信息时心理预期也是防疫要求。

二是紧急情况所需。当相对人面临紧急危险时，若信息处理者获取、使用、提供有效信息能够阻止此类危险，此时相对人可能无法及时作出意思表示，可推定相对人默示同意，从而排除违法性的认定。笔者认为，只有在情势危急且难以取得相对人及时同意时，为避免相对人遭受重大身体财产损失，信息处理者实行侵害个人信息才具有正当性，可作为本罪的出罪事由。

结 语

个人信息“合理使用”及有效流动共享，是大数据发挥创新效用的必然体现和具体要求，包括刑法在内相关法律规范应予以关注和回应。侵犯公民个人信息罪的认定涉及本罪与前置法的衔接配合，在刑法语境中，虽然违法性判断有其独立性，但本罪蕴含的个人法益属性以及民刑个人信息认定的一致性和共性特点，要求在法秩序统一原则下，根据前置法的合法事由合理调适本罪入罪范围，并确立以“合理处理”为核心的出罪机制，兼顾公民个人信息保护与法律规制的利益平衡。