趙 龍

（東南大學 法學院，江蘇 南京 211189）

隨著世界經濟進入“數據驅動”時代，數據即資源，數據流動即創(chuàng)造價值。數字技術的全方位普及和應用，帶領人們快速步入數字化生存時代。數字化生存必然催生數據經濟的衍生和發(fā)展，并進一步推動數據生活以及數據流動形態(tài)的迭代升級，包括中國在內的世界主要經濟體無疑將迎來數據經濟的歷史性發(fā)展機遇。但數據經濟的發(fā)展常常伴隨著熊彼特式“創(chuàng)造性破壞”效應。突出表現在日趨嚴重的“數據污染”不僅給個人隱私、商業(yè)安全、社會治安甚至國家安全造成嚴重威脅，且成為新型數據犯罪的重災區(qū)，個人信息侵權已經成為一種“公害”。根據2018年11月28日中國消費者協(xié)會發(fā)布的《100款APP個人信息收集與隱私政策測評報告》顯示，85.2%受訪者表示遭遇過個人信息泄露。在其測試的100款APP之中多達91款APP列出的權限涉嫌不當采集個人信息，存在擅自、超范圍收集個人信息、私自共享給第三方個人信息、強制使用推送功能、不給權限不讓用、頻繁申請權限、過度索取權限、為賬號注銷設置障礙等侵犯個人信息權行為。數據經濟形態(tài)中個人信息權不僅強調保護，也注重利用。由此，各國普遍尋求數據流通與權利保護之間的協(xié)調與平衡。

實踐對理論具有天然和多維的形塑作用，而非簡單地被理論框架所束縛。信息化背景下，社會轉型過程中的各種“矢量”作用也必然投射在個人信息保護和利用二律背反的境域之中。依法保障數據安全是信息化社會良法善治的基本向度，但“大數據時代，個人信息保護絕不僅僅是制定個人信息保護法那么簡單。”[1]科學界定個人信息法益并通過法律有效平衡和協(xié)調個人信息保護與利用之間的關系，成為DT時代乃至AI時代信息化治理與可持續(xù)發(fā)展的重要課題。

一、既有法益類型的局限性及其法理批判

“法益是作為個人、社會和國家的具體利益而成為法律保護對象，不管在解釋論還是在立法論上，法益都起著指導性作用?！盵2]數據經濟發(fā)展離不開作為基礎構成信息元數據的處理，而任何一組數據的生成都是人類社會活動的信息化記載。因此，個人信息法益保護問題備受關注，但學界在個人信息法益屬性方面存在不同的觀點立場，如隱私權說、人格權說、基本權利說、公民個人信息權說、人格權兼財產權說以及超個人法益說等。除公民個人信息權說之外，其他較為有力的觀點主要是基本權利說、人格權說、隱私權說。但無論基本權利說、人格權說亦或隱私權說均難以涵蓋個人信息保護和利用一體兩面、二律背反的權利特征。

基本權利說認為個人信息是個人基本權利與自由的客體，其常見于相關國際條約或區(qū)域性條約，如歐盟《通用數據保護條例》。中國也有學者主張此說[3]?；緳嗬ǔＶ笐椃ㄉ系臋嗬瑧椃ㄊ腔緳嗬拇_認但并不是其終極根據。于此，將個人信息權視為一項基本權利主要存在以下問題：一是基本權利更多指向的憲法層面公民的基礎性權利，如平等權主要強調一種法律意義上的平等，其與個人信息權并不存在關聯。二是盡管通信自由和通信秘密與個人信息保護具有一定的關聯性，但通信自由只是公民自由的一個方面，通訊信息也只是整體個人信息中一項組成部分。三是個人信息權不是一項具有推定性質的基本權利。中國《憲法》中并沒有規(guī)定生命權，但生命權當然屬于一項基本權利，無需在《憲法》中明確規(guī)定。而個人信息權是否具有推定意義上的基本權利屬性，結論是否定的?！皺嗬贫ǖ姆绞接袃煞N，一是由權利去推定權利，二是由義務去推定權利。”[4]個人信息權顯然難以采用這種推定方式證成其基本權利性質。除此，基本權利具有一定的歷史性，個人信息權則屬于近年來新興權利類型，與基本權利的一貫性存在一定脫節(jié)。將個人信息權作為一項基本權利具有明顯的邏輯悖論和法理欠缺性。

至于人格權說，該觀點認為個人信息權是一項具體人格權。持此觀點的學者主要是從個人信息權與隱私權存在差異角度論證個人信息權不能被隱私權完全涵蓋，故而應該獨立。主張應在民法總則的基礎上進一步完善人格權的類型，規(guī)定個人信息權，細化具體人格權的內容，并對人格權的行使規(guī)則、利用規(guī)則、限制規(guī)則及權利沖突規(guī)則等作出明確規(guī)定[5]。相對一般人格權，具體人格權的定位顯然更具合理性，問題在于“無論從憲法亦或法理上解釋自然人的人格權均具有強烈的個體專屬性和不可交易性，在其權利行使過程中即便產生經濟利益，也不能將其視為財產權利，否則必然貶損自然人之人格意義?！盵6]

隱私權說是個人信息保護法益之爭中比較有力的學說觀點，但隱私權與個人信息權相比，二者在客體范疇、權利性質、權利內容以及保護方式等方面均存在顯著差異?！爸袊睹穹倓t》第111條規(guī)定是個人身份信息，并非隱私權層面的私人隱私信息?！盵7]隱私信息重在保護個人的私密空間，而個人信息側重于識別，同時個人信息權還具有法益自決意義上的信息自決權。二者存在一定的交叉，但個人信息的概念范疇顯然比隱私信息更寬泛。隱私權具有一定的消極性，體現為被侵害后的救濟性，具有被動防御的特征。而個人信息權則不止于這種消極防御，亦具有積極利用的雙重特征。在刑法上，將侵犯個人信息權犯罪置于“侵犯公民人身權利民主權利罪”之下，作為第253條之一，即表明立法者試圖將侵犯公民個人信息權罪犯罪客體預設為個人的隱私權[6]10?！靶谭ń塘x學固然以刑法規(guī)范為研究對象，但這并非意味著其放棄了批判。”[8]隨著DT乃至AI時代的到來，現行刑法基于傳統(tǒng)隱私權的規(guī)制立場愈發(fā)難以適應各類新型數據犯罪形態(tài)。除此，“權利主體還享有積極利用其個人信息的基本權利，‘同意’即構筑了信息自由與刑法介入之間的邊界?！盵9]

任何理論成為真理之前都要經歷一個試錯的階段、糾偏的環(huán)節(jié)和證偽的過程，最后經過實踐檢驗得以證立。當前，針對侵犯公民個人信息罪保護法益的諸多爭論，充分表明該罪是刑法罪名中法益屬性分歧較大一類犯罪。面對如此激烈的觀點爭議，如何辨析各觀點學說之真理性，首先需要明確個人信息權作為一項新型獨立性權利的法理依據，在此基礎上科學界定侵犯公民個人信息罪之保護法益。

二、法益界定:作為新型權利的個人信息權之提倡

“法律作為人類社會一種文化現象和人類智慧的杰作，既帶有塵世的重負，也具有天堂的吸引力?！盵10]隨著社會由DT時代向AI時代快速過渡，信息技術逐漸成為引領社會變革的核心因素和主導力量。作為信息技術之基礎構成的個人信息日益成為一項引領社會變革的基礎性和戰(zhàn)略性資源?，F實生活中，各類新型數據犯罪早已跨越傳統(tǒng)人格性利益損害階段，新型數據犯罪已然常態(tài)化。由此，刑法需要轉變保護理念和立場，將個人信息權作為一項新型獨立性權利對待，結合司法實踐科學、合理地拓展“侵犯公民個人信息罪”涵攝范圍。

（一）個人信息權作為一項獨立性權利的法理依據

上述關于個人信息法益的學說觀點均建立在將公民個人信息相關權利界定為一項權利的基礎之上，只是在權利屬性方面存在較大分歧，其核心爭點是個人信息權是否具有獨立性法律地位問題。此外，在法概念體系層面也存在權利說和非權利說之爭，權利說屬主流學說。權利說又分為獨立性權利說和非獨立權利說兩種不同立場。獨立性權利說認為，個人信息權屬于一項獨立的權利且在民法中已經予以確立，在刑法上也應起到法益解釋層面的指導作用。非獨立權利說則認為個人信息權只是隸屬于其他權利的內容，其本身并不屬于或者不應當屬于一項獨立的權利。若將個人信息權與其他權利予以明確劃分，首先應當對其作為一項獨立性權利的合理性予以充分論證。如果一項權利能夠與其他權利進行明確劃分，其自身也就具備獨立性法律地位之基礎?？陀^而言，“通過權利方式保護個人信息是一種世界趨勢?！盵11]數據經濟形態(tài)中個人信息被賦予傳統(tǒng)工具意義之外的角色，否定個人信息權作為一項獨立性權利是不合時宜的，其存在未認清數據經濟時代個人信息權利保護與合理利用的重要性。反之，將個人信息權作為一項獨立的、新型權利形態(tài)則更加科學、合理。原則承載價值，法律規(guī)制行為。個人信息處理法律規(guī)制具有對個人信息處理①《一般數據保護條例》（GDPR）第4條對個人信息處理內涵之定義，處理是指對個人信息或個人信息集合對任何單一或一系列的自動化或非自動化操作，包括對個人信息的收集、記錄、組織、建構、存儲、適配，或修改、檢索、咨詢、使用、披露、傳播，或其他利用、排列、組合、限制、刪除與銷毀。行為較強的限制性，若法律規(guī)定不明確，極易被信息處理者不當利用，進而侵害權利主體個人信息權。

“一項新興(新型)權利要得到證成首先要符合權利的概念標準，即被保護的合理性。”[12]個人信息權作為一項權利應當具有相應的法理依據，進而證成從應然權利到法律實然權利。有觀點認為，要全面正確地理解權利的概念和內涵，關鍵是精準把握權利要素而非權利的定義。“權利的要素主要包括五個方面，即利益（interest）、主張（claim）、資格（entitlement）、力量（包括權威power和能力capacity）以及自由（free），其中任何一個都可以用來闡釋權利概念，表示權利的某種本質[13]。按照這一權利檢驗標準，個人信息權已具備作為一項獨立性權利基本標準。此外，個人信息權既具有傳統(tǒng)權利的發(fā)展過程，也具有作為新型權利的數據資源性特征。一方面，個人信息權存在從權利需求到權利發(fā)現再到實然或者法律化的過程。隨著社會信息化發(fā)展，推動諸多新興權利發(fā)軔于這種時代變革之中。另一方面，個人信息在網絡環(huán)境中體現為一種數據，而數據承載的價值又體現為一定人身性、社會性和財產性等特征。事實上，盡管個人信息權尚未在民事基本法上給予明確的獨立確權，也未明確個人信息權稱謂。但隨著中國首部《民法典》的頒布實施，現有的一些民事立法已然體現了這種實然意義上的個人信息權保護，如《個人信息保護法（草案）》一審稿中更是明確提出了個人信息權這一新型權利形態(tài)和概念。據此可以證立個人信息權作為一項獨立性權利的存在，其在權利特征和權利要素方面也完全符合獨立性權利的構成要素。

（二）侵犯公民個人信息罪之法益界定：個人信息權

個人信息基本特征體現在其能夠獨立或與其他信息結合識別特定自然人身份。就權利屬性而言，個人信息權的人格權屬性側重隱私性權利保護與消極防御；而財產權屬性側重于權利的自主性利用，強調權利的積極行使和他人使用的許可性（即知情同意）。但個人信息權既不同于純粹的人格權，亦區(qū)別于新型財產權，而是介于二者之間以個人信息為客體的一項新型權利形態(tài)。個人信息權涵蓋數據的占有權和處理權，由此衍生的新型財產性利益亦屬其個人信息自決權的基本范疇。在權利類型上無論將其定性為人格權或者財產性權利，皆應建立在個人信息權——這一新型實體民事權利之上。當前，學界已就個人信息權作為一項實體民事權利基本達成共識，2020年5月28日頒布的《中華人民共和國民法典》從總則到分編也為其提供了實體法依據。除此，甚至有學者將其視為智慧社會背景下“第四代人權”的重要內容[14]，強化其實體權利屬性。中國個人信息保護法應確認權利主體在公法上的個人信息個人控制權，“不能也不應該回避基本權利話語?！盵1]3無論給予其何等法律地位，從權利本體論角度把握，賦予權利主體個人信息自決權②信息自決權理論發(fā)源并發(fā)源于德國，是德國《聯邦數據保護法》(BDSG)的理論根基，也是德國構建與完善個人信息保護法律法規(guī)的基點。從1995年歐洲議會通過的《個人信息保護指令》開始到2016年生效的《歐洲數據保護基本條例》，該理論對歐洲層面?zhèn)€人信息保護立法（尤其是GDPR的制定）產生了深遠影響。學界是認可和支持的。“侵犯公民個人信息罪的保護法益是個人法益，但不是隱私權層面的法益，而是作為新型權利的個人信息權?！盵15]就權利控制論而言，此即為權利控制語義下權利主體中心主義的典型存在。法教義學以法律規(guī)范為基礎，基于刑民一體化的思維，從《民法典》《網絡安全法》到《個人信息保護法(草案)》等法規(guī)范的制定和完善，從刑法外部相關法律規(guī)范中尋找個人信息保護的權利類型，并結合刑法關于侵犯公民個人信息罪構成要件之規(guī)定，如此才能準確把握該罪的法益歸屬。在此基礎上，明確侵犯公民個人信息罪保護法益為個人信息權。個人信息權法益的實踐有賴于權利主體自主、有效的權利控制，以及在理性協(xié)調權利保護與公共需求沖突之后，依法行使信息流動的自主決定權。由此，明確個人信息權獨立性法律地位，理性論證個人信息權法益及其法益自決性立場，科學發(fā)揮個人信息保護和利用作為個人信息權一體兩面的權利特征及其實踐價值是數據經濟形態(tài)中個人信息權實現的基本要求?！胺彩顷P系到別人權利的行為，而其準則與公共性不能一致的都是不正義的?！盵16]因此，權利主體對其個人法律權力的行使是單向的，不受個人信息公共屬性的制約。

法律不是萬能的，其自身不會洞察社會變革。針對個人信息權問題，也有學者認為這項權利并非物權等可以積極利用的絕對權，只有在權利被侵害且導致其他民事權利被侵害時才能得到法律救濟[17]。因此，明確個人信息處理的正當化依據與行為準則是實現個人信息權的基本要求，也是期待違法阻卻機制有效實施的前提要件?！皬姆ㄖ蔚拿}中可以合乎邏輯地引申出刑事法治命題和概念?！盵18]就法教義學而言，刑事法治是法教義學在刑事實踐領域中的體現，也是刑法教義學的基本視閾和價值立場。個人信息權的刑事司法實踐，理應建立在個人信息刑事法律規(guī)范基礎上進行教義學展開。從權利的實踐屬性分析，雖然個人信息權表現出來的更多是其私權屬性，但隨著數據經濟時代個人信息權屬性的日益多元化及其內涵外延的多變性，權利主體必須在自主行使個人信息權前提下依法維權，理性應對。

（三）個人信息權法益實踐的刑法跟進

刑法對個人信息權的保護與完善主要體現在相關刑法規(guī)范的變遷和發(fā)展方面。隨著《民法典》對個人信息保護給予一般和獨立性規(guī)定，刑法對個人信息的保護范圍隨之擴大。立法的變遷無不體現出個人信息權保護的嚴峻性和重要性，以預防犯罪、保護人權為立法宗旨的刑法，理應以個人信息權為核心，由單純隱私權轉向個人信息權，形成既具有理論邏輯自洽性亦彰顯實踐功能自足性的刑法結構樣態(tài)，“完成個人信息保護從安全本位向權利本位的優(yōu)雅轉身?！盵19]

一是優(yōu)化刑法保護結構，賦予個人信息權獨立性刑事法律地位。

從法哲學層面分析，權利理論的科學性指標有兩個，一個是可解釋性，另一個是可實踐性。針對侵犯個人信息權行為，中國刑法和民法保護的權利客體（本質）是屬于公民基礎性權利范疇的一項新型民事實體權利。由此，相應立法設計應堅持個人信息權立場，確立權利主體對其個人信息自主決定論，補強利益關系中弱勢一方。就刑法規(guī)定而言，“在犯罪圈外，形式合理性是實質合理性的制度保障；而在犯罪圈內，實質合理性則是形式合理性的實現手段?！盵20]142-145相對傳統(tǒng)隱私權法益為核心的個人信息保護理念，通過科學闡釋個人信息權的時代性和法理內涵，合理延伸公民個人信息權涵攝范圍，進而平衡和融合個人信息人格權和財產權的雙重屬性。在明確個人信息權作為一項獨立性權利法律地位基礎上，現行刑法亟須摒棄傳統(tǒng)隱私權法益保護結構，提高“侵犯公民個人信息罪”刑法位階。通過賦予個人信息權獨立性刑事法律地位，合理拓展個人信息權的刑法空間，為有效協(xié)調和平衡個人信息保護與利用奠定規(guī)范和實踐依據。

二是秉持謙抑理念，完善“先民后刑”的個人信息法律保護機制。

基于個人信息權權利屬性的多元化分歧，在法律依據和適用上亦體現出較大的差異性。中國個人信息保護之所以呈先刑后民的法律保護機制，緣于中國民法關于公民個人信息權保護的立法滯后所致，并非民法本身不作為。司法實踐中，由于保護理念的滯后性，針對個人信息處理行為中國民法并未予以重點關注，使得公民在尋求個人信息權保護時過于依賴刑法，主要依據刑法規(guī)范進行維權訴訟。隨著《民法典》頒布實施，無論立法規(guī)定還是立法理念皆體現了對個人信息權保護的重視。法律作為國家治理社會的重要工具，各部門法之間是一個位階高低、內容相異、處罰手段不同且銜接良好的有機體。基于刑民一體化的思維，結合《民法》《刑法》等有關法律規(guī)定，從建構和完善個人信息保護法律體系角度而言，立足發(fā)展的立場，中國個人信息保護法律體系的結構應當是開放性的。在中國《個人信息保護法》尚未頒行之前，《民法典》與《刑法》《網絡安全法》等合力構筑了中國個人信息權保護的主要法律依據。在公民權利保護的法律預設中，民法無疑是保障公民主體地位的基本手段和基礎規(guī)范，能夠為個人信息權實現提供民事法律體系支撐。鑒于個人信息權的民事權利之特性，在民法已有明確規(guī)定的情況下，刑法應秉持謙抑性理念，尊重前置法相關規(guī)定，對侵犯個人信息權行為的法律規(guī)制首先應選擇以《民法典》為主的民事法律規(guī)范予以調整和規(guī)制。只有在超出民事法律規(guī)范調整范疇時，方可出民入刑尋求刑法保護，即采“先民而后刑”的個人信息法律保護機制。在人類社會發(fā)展的歷史規(guī)律中，科學技術的更新迭代，皆有伴隨著社會結構重組以及相關法律規(guī)則的進步與完善，二者共生共長，共同推動人類社會的文明與進步。在全面依法治國，推進國家治理體系與治理能力現代化進程中，個人信息權利主體究竟是享受著大數據帶的信息化陽光，還是迷失在浩瀚的數據海洋之中，完全取決于數據規(guī)則尤其是法律規(guī)則對個人信息的保護及其合理利用的理性規(guī)制。

三是優(yōu)化罪刑體系，增強“侵犯公民個人信息罪”解釋力。

刑罰正義的首要原則體現于在罪行與刑罰之間建立一種等量關系，而刑法的基本立場就是運用等量的規(guī)則或尺度，使得行與罪、罪與刑在相當的程度保持對等和平衡。但這種對等與平衡并不等于相同，如司法實踐中常常發(fā)生“犯罪的認定可能因裁判理念差異、辯護技巧以及社會輿論因素等而有所不同。”[21]隨著時代發(fā)展和司法實踐的客觀需要，侵犯公民個人信息罪的司法內涵逐漸由單純保護公民身份數據信息，發(fā)展至規(guī)制侵犯公民各項人身、社會活動以及其他直接或間接財產性信息的行為。就犯罪類型而言，侵犯公民個人信息罪屬典型的情節(jié)犯。針對本罪定罪量刑的主要依據為最高人民法院、最高人民檢察院于2017年5月頒布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（簡稱《解釋》）的相關規(guī)定，即通過界定侵犯公民個人信息類型和數量、違法所得數額、信息用途、主體身份、前科情況、嚴重后果六項因素進行定罪量刑。其中多數案件是依據侵犯公民個人信息類型和數量這一情節(jié)因素予以定罪和量刑。為準確把握該罪名在《解釋》頒布前后司法實踐中實際適用情況，筆者借助中國裁判文書網對侵犯公民個人信息相關刑事案例的裁判文書進行定量實證分析。由于《刑法修正案（九）》將侵犯公民個人信息相關罪名進行了整合，筆者分別以侵犯公民個人信息罪與非法獲取個人信息罪和出售、非法提供公民個人信息罪兩組罪名對相關裁判文書下載分析。不預設時間、區(qū)域、審判級別，同時篩除指定管轄、減刑假釋類相關裁判文書，無差別、隨機各下載400篇，合計800篇相關裁判文書樣本進行考察分析。非法獲取公民個人信息罪與出售、非法提供公民個人信息罪400篇，其中涉案個人信息一千條以下14篇，占比3.5%；一千條到一萬條16篇，占比4%；一萬條到五萬條74篇，占比18.5%；五萬條到一百萬條86篇，占比21.5%；一百萬條到一千萬條170篇，占比42.5%；一千萬條以上40篇，占比10%。侵犯公民個人信息罪400篇，其中涉案個人信息一千條以下8篇，占比2%；一千條到一萬條22篇，占比5.5%；一萬條到五萬條60篇，占比15%；五萬條到一百萬條100篇，占比25%；一百萬條到一千萬條158篇，占比39.5%；一千萬條以上52篇，占比13%。由此可以看出，侵犯個人信息數量一萬條至一千萬條的案件比重最大，兩組數據值分別占比82.5%和79.5%。考察《解釋》第五條第一款第（三）（四）（五）項規(guī)定的“情節(jié)嚴重”之情形，分析可知，立法機關將個人信息內容進行了類型化界定，如將第（三）項個人信息內容界定為個人敏感信息，將第（四）項個人信息內容界定為一般個人信息，除此之外的信息類型劃為其他個人信息范疇①《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條第一款：非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應當認定為刑法第253條之一規(guī)定的“情節(jié)嚴重”：（一）出售或者提供行蹤軌跡信息，被他人用于犯罪的；（二）知道或者應當知道他人利用公民個人信息實施犯罪，向其出售或者提供的；（三）非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的；（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的；（五）非法獲取、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的；（六）數量未達到第三項至第五項規(guī)定標準，但是按相應比例合計達到有關數量標準的；（七）違法所得五千元以上的；（八）將在履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人，數量或者數額達到第三項至第七項規(guī)定標準一半以上的；（九）曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的；（十）其他情節(jié)嚴重的情形。。據此，這種將個人信息從內容、類型到量的規(guī)定對侵犯公民個人信息犯罪定罪量刑的影響是客觀的，發(fā)揮的作用也是直接的。

數據經濟形態(tài)中的個人信息權法益蘊含著個人信息保護和利用的雙重價值，從隱私權到個人信息權，體現了利益衡量的理論與制度發(fā)展，其權利范疇和規(guī)范客體亦由單純的個人隱私性權利，演變?yōu)槿烁駲嗪拓敭a權雙重客體。據此，侵犯個人信息權之行為其實質屬性系屬侵害個人法益的自然犯，而非侵害超個人法益的法定犯。“尋求社會保護與自由保障的平衡是刑法解釋學永恒的追求，伴隨信息化發(fā)展以及犯罪業(yè)態(tài)的迭代升級，刑法解釋在網絡時代遇到新的挑戰(zhàn)?！盵22]中國刑法關于公民個人信息權保護的客體已然跨越由單一客體向多元客體轉變的歷史階段，體現了刑法作為二次保障法的歷史進步性。隨著這一歷史性轉變的完成，司法實踐亦為刑法發(fā)展指明了發(fā)展方向：其一，民刑兼容，明確個人信息權在民刑實體法中基礎性權利位階，由單一客體保護轉向多元客體的規(guī)范和保護。不僅包括典型的、傳統(tǒng)意義上的個人身份性數據和信息，亦包含信息化生活中通過大數據技術或平臺挖掘、提取和收集的權利主體的各項身份性信息和生物數據，如身體方面的指紋信息、面部數據、社會交往中的通訊數據、經濟交往中的財產性數據等；其二，明確個人信息權法益自決性立場，由安全本位向權利本位轉變；從側重傳統(tǒng)、典型侵犯個人身份信息安全犯罪的預防，轉向侵犯個人信息自主權犯罪的預防和懲治。以侵犯個人信息權財產性權益為例，個人信息處理者通過不當挖掘、讀取和采集身份性信息，進而侵犯由身份信息附帶和衍生的各類新型財產性利益、數據性利益。其三，從刑法目的論角度分析，通過打擊侵犯公民個人信息權犯罪行為, 預防二次財產性犯罪，追求阻止預備行為實行化的法律效果，避免重復性評價。由此，立足實質犯罪論解釋立場，以刑法第253條之一——侵犯公民個人信息罪這一刑法規(guī)范為邏輯起點，借助刑法教義學方法論，實現侵犯公民個人信息罪的法教義學解釋及其民刑體系化建構。

三、邏輯協(xié)調：實踐語境下個人信息處理同意的場景化差異

德國古典哲學康德以二律背反提出形而上學難題，實際上提出了一個存在論的難題，其根源在于世界存在論上的不一致性。純粹理性二律背反的發(fā)現不僅找到了形而上學陷入困境的根源，而且找到解決問題的基本途徑，即實踐。實踐可以使主觀見之于客觀，論證相對性與絕對性的統(tǒng)一[23]。在個人信息保護方面，個人信息權的語境實質是權利保護與個人信息利用二律背反的邏輯協(xié)調問題，也是權利處分自由以及要求他人（包括國家）給予法益尊重的法律問題，這本身就是一個實踐性命題。同意原則是個人信息保護的首要基本原則，是權利主體自由意志的體現，也是權利主體實現信息處分自由的基本前提?！懊穹ㄉ系囊馑甲灾卧瓌t貫徹到信息處理和使用領域，必然要遵循知情同意原則。”[24]針對個人信息保護與信息利用二律背反的實踐困境，應結合個人信息處理在全產業(yè)鏈條不同環(huán)節(jié)、不同處理目的、不同數據類型、不同處理方式以及不同主體等給予場景化、差異化的“同意”預設。司法實踐中，通過闡釋個人信息權的法理屬性，將“同意”形態(tài)進行場景化界定并不存在方法論上的困難。

（一）知情同意：個人信息處理合法性之核心依據

“個人信息與普通數據最大的區(qū)別即在于其‘可識別性’記載和處理?！盵25]由于語境差異，相對歐盟、美國等發(fā)達國家中國公民個人信息權意識尚顯淡薄。通常情況下，只有在數據處理行為直接涉及個人隱私、名譽或財產性利益等情形時才會引起權利主體的高度重視。由此即給予人們一種假象：只要不直接涉及個人隱私、名譽或財產性利益等，即便未經權利主體同意亦可進行個人信息處理。但在“大數據時代，碎片化的數據經過結構化處理即可形成完整的‘人格拼圖’，使人們無所遁形?！盵26]這一點在數據性經濟活動或商業(yè)活動中表現得尤為明顯。除此，許多公權主體認為只要是履行職責所需，即可進行個人信息處理，無須經過權利主體同意?？v觀中國相關法律規(guī)定，除《網絡安全法》第41、第42條明確規(guī)定個人信息處理需經權利主體同意外，作為保障個人信息權的主要法律依據《民法典》和《個人信息保護法（草案）》亦明確個人信息處理須經權利主體同意，進一步充實了司法實踐中針對非網絡場景中非法處理個人信息行為“知情同意”原則的法律依據。

信息處理有法度, 即個人信息處理應以恪守法律規(guī)范為前提。但“法律的滯后性常常使實踐走在理論前面，實踐對前沿問題給出的判斷經常在理論界引起爭議。”[27]如“隨著網絡爬蟲技術在個人信息處理過程中廣泛應用，其技術中立性立場逐漸衍變?yōu)椤赖律峡梢傻牟⒈灰暈檫`法’的技術。”[28]對正在制定的《個人信息保護法》是否應明確“知情同意”作為個人信息處理的合法性前提，學界頗有爭議：其一，無正當依據。個人信息雖然與個人相關，卻并非專屬個人所有，其他人在個人信息上也有利益點，是否進行個人信息處理不應由權利主體個人決定。以個人征信系統(tǒng)為例，個人信用報告制度之所以能夠發(fā)揮作用就是因為不需要經過權利主體同意，信用報告機構即可取得其敏感性數據。如果要求以同意為前提，由權利主體自行決定是否同意，必然導致整個信用報告系統(tǒng)崩潰。其二，缺乏實踐性。由于個人信息的隱蔽性和分散性，除非嚴重危及個人隱私安全、榮譽或財產性利益等，權利主體未必有興趣和精力對外界處理其個人信息進行制止和干預。信息化背景下，在現代信息化、智能化生活中時時需要個人信息進行商業(yè)或公共活動，嚴格和繁瑣的“同意”履行程序必然影響個人信息化生活的便捷性，缺乏實際操作價值。其三，阻礙信息化發(fā)展。大數據時代，數據流動即創(chuàng)造價值，嚴格的個人信息處理規(guī)范，必然影響個人信息資源的充分與高效化利用，遲滯社會信息化發(fā)展。其四，信息處理成本提高。嚴格的“同意”規(guī)定在客觀上造成程序繁瑣、時間延遲以及數據流動成本的大幅增加。如為取得權利主體的知情同意，須先與其取得聯系，同時需要制作、印刷和傳達個人信息處理通知等信息材料。如此必然帶來人力、物力和時間成本的規(guī)?；度耄@些投入也必將反映在個人信息產品和服務的價格上，最終由包括權利主體在內的消費者承擔。除此，產品成本的增加也會反映在個人信息處理者尤其是商業(yè)主體之間競爭格局的變化或失衡方面。

數據共享是數據利用、流通和產業(yè)發(fā)展的基礎，但“個人信息共享應當獲得信息權利人的授權?！盵29]否認個人信息權作為一項基礎性權利的法律地位，忽視權利主體對其個人信息處理“知情同意”的必要性與合理性，僅在權利被侵害或導致其他民事權利受到客觀侵害時才予以救濟，本質上是否定個人信息權的實體權性質，不符合信息化可持續(xù)發(fā)展要求，也有悖現代法治社會發(fā)展趨勢。以利用虛假廣告非法獲取公民個人信息為例，通過判例可知，此類行為利用虛假廣告，非法獲取公民個人信息的行為顯然違反了權利主體對真實情況知情之前提，缺乏知情同意之合法性基礎①張某某等利用虛假廣告非法獲取公民個人信息案。溫州市龍灣區(qū)人民法院〔2019〕浙0303刑初756號判決書。。根據國家互聯網信息辦公室、工業(yè)和信息化部、公安部以及國家市場監(jiān)督管理總局2019年11月28日聯合印發(fā)的《App違法違規(guī)收集使用個人信息行為認定方法》，明確規(guī)定九類可被認定為未經同意收集使用個人信息之行為②1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權限；2.用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用；3.實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍；4.以默認選擇同意隱私政策等非明示方式征求用戶同意；5.未經用戶同意更改其設置的可收集個人信息權限狀態(tài)，如App更新時自動將用戶設置的權限恢復到默認狀態(tài)；6.利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；7.以欺詐、誘騙等不正當方式誤導用戶同意收集個人信息或打開可收集個人信息的權限，如故意欺瞞、掩飾收集使用個人信息的真實目的；8.未向用戶提供撤回同意收集個人信息的途徑、方式；9.違反其所聲明的收集使用規(guī)則，收集使用個人信息。。正確認識“知情同意”作為個人信息處理的合法性依據乃法理所求、實踐所需。

（二）相對同意：權利主體同意的基本形態(tài)

合理即要求合乎自然邏輯和原理，而合法自然要求合乎法理與規(guī)范。個人信息處理是否必須經過權利主體明確同意，國際方面尚沒有哪個國家制定非此即彼的規(guī)定，而是依據處理數據的類型、處理目的等區(qū)別對待。GDPR雖將“知情同意”視為個人信息處理的基本條件，但其中亦規(guī)定了諸多例外情形，如通過制定但書、克減條款等對例外情形作出補充③如在數據主體因為身體上或法律上的原因（緊急情況）不能作出同意時；處理是由具有政治、哲學、宗教或工會目的的非營利團體進行并且該處理僅涉及團體成員或前成員，且相關數據在未經數據主體同意的情況下不會向第三方披露；涉及已由數據主體公開的個人信息的處理；為合法訴求成立、行使或抗辯或法院行使其司法職能之目的所必需的處理；根據歐盟或成員國的法律，為重大公共利益所必需的處理等。，對權利作出適當限制，對義務和責任給予適當豁免。由此在很大程度上緩和了這一規(guī)范的嚴厲性。

在正確認識“知情同意”作為個人信息處理合法性依據的基礎上，為促進信息化發(fā)展，根據個人信息處理場景的差異，可將同意的形態(tài)分為絕對同意與相對同意。絕對同意即原則上要求一切個人或組織在處理個人信息之前須征得權利主體知情同意，否則權利主體有權反對和采取必要措施對抗未經同意的信息處理行為。同時，不反對即視為同意，即相對同意。但涉及個人生物性數據、兒童個人信息等敏感性數據類型的處理，排斥相對同意形態(tài)，針對此類信息的處理仍須堅持絕對同意為前提。由此，“絕對同意”賦予權利主體的權利結構更加充分和完整?，F實生活中，以上兩種情形下的同意權即便存在差別，卻并不顯著。差別僅僅體現在實踐中權利主體如何行使或把握個人信息權的問題，即權利主體個人信息權的單方行使方面。

作為個人信息自決權依據的“同意”，可等同于刑法教義學上的“被害人承諾”，其在實質犯罪論語境下具有阻卻行為違法性進而阻卻構成要件該當性之功能[30]。在實質犯罪論體系中“承諾行為”因不具違法性而應排除其構成要件符合性特征。但“個人信息權作為一項民事權利，基于公共利益、他人權利保護等應受到適當限制，這一限制實際上也劃定了個人信息權的權利邊界?！盵31]具體而言，在“相對同意”形態(tài)之下，除非權利主體明確表示反對，否則對個人信息處理不加干預。只要處理目的合法且通過合法途徑、采用合法方式處理個人信息，只需權利主體“相對同意”即可。理論的沖突與張力可以通過實踐和驗證方法進行緩和、協(xié)調并給予科學化定論。對何種場景下法律須明確規(guī)定“絕對同意”或“相對同意”，可通過對以上兩種同意形態(tài)的概率性分析進行把握。實踐中，針對某類個人信息處理行為一般人通常不會提出異議，如偵查機關為破案需要而對犯罪嫌疑人進行人格畫像，對此類處理行為即無須以“同意”為前提。反之，若涉及個人信息處理的行為一般人通常情況下皆可能表示反對，此時即符合“絕對同意”之構成要件。典型案例如在鄧某某等侵犯公民個人信息案中，被告被指控向他人非法出售公民個人信息，被告辯護稱出賣的是淘寶店鋪并非公民個人信息且未對注冊人造成實際損害。但審判人員認為侵犯公民個人信息罪保護法益不僅包括人身民主權利，還包括社會管理秩序。即便獲取個人信息行為得到權利主體同意且已支付相應對價，其仍侵犯了該罪客體，遂判處被告侵犯公民個人信息罪①廣東省開平市人民法院刑事判決書〔2018〕粵0783刑初215號。。本案中，對淘寶店鋪的打包出售對象顯然包括該店鋪所有注冊人信息，被害人在該店鋪注冊賬號之時既已被告知注冊風險，仍選擇同意注冊。此類情形下被害人同意即可視為“相對同意”，“相對同意”阻卻此類出售行為之不法性。據此，“相對同意”的實踐價值體現在：場景化的告知要求、便捷化的異議表達渠道、低成本的通知方式以及對社會信息化發(fā)展的促進等。

針對政府機關、司法部門等公權主體的個人信息處理行為，可遵循“相對同意”為主，“絕對同意”為補充的同意機制。通過暢通新聞媒介、行政、司法等監(jiān)督渠道，推動個人信息處理者及時履行告知義務，確保權利主體作出同意形態(tài)的選擇前的知情權。如此把握首先考慮的是公權主體履行工作職責所需。在避免損害權利主體個人利益前提下，為維護公共利益、保障公民生命財產安全以及為正常履職所必需等進行的個人信息處理行為皆可視為“相對同意”形態(tài)下信息處理行為。如為維護權利主體重大利益，訂立或履行以權利主體為乙方當事人的個人信息處理或服務合同，因為合同行為本身即包含權利主體知情同意的意思表示，由此奠定了阻卻個人信息處理行為的違法性基礎。

（三）真實同意：權利主體同意的意思表達

通常情況下，個人信息處理行為須以權利主體“同意”的意思表示為前提，即以權利主體真實“同意”為其合法性基礎。同時，“同意”的意思表示行為應建立在“知情”的基礎之上，即在權利主體收到個人信息處理通知后，經過理性判斷，自由作出的表明同意處理其個人信息的意思表示。嚴格而言，這種“真實同意”的意思表示必須同時滿足條件：（1）同意是權利主體在充分知情的基礎上作出的；（2）同意是清楚、明確的，而不是模糊的意思表示行為；（3）同意必須是權利主體經過理性判斷后，根據其真實意愿自由作出的。

“意志自由是責任的基礎，雖然自由意志難以得到科學證明，但自由意志是值得向往和保護的?！盵32]因此，同意的正當性建立在權利主體的自由意志基礎之上。如果屬于敏感、特殊類型的個人信息，則同意過程中必須明確提及或強調這些信息。特定情形下，對“知情同意”合法性依據的成立還有更為嚴格的要求。如在互聯網虛擬化場景中處理未成年人信息或個人敏感性信息，若權利主體作出同意意思表示時并未充分知情，或未完全理解同意后果的風險性，此時對“同意”應做嚴格的法律解釋。此外，在勞動合同中，勞動者的“同意”經常身不由己，此類情形也需要明確嚴格的法律解釋立場。

關于同意嫌疵問題，常見情形如合同締結過程中當事人通過各種“霸王條款”“格式條款”取得相對方所謂的“知情同意”。在互聯網生活中通過類似格式條款以及故意隱匿信息等方式使權利主體“被同意”的情形更為常見。如在使用社交、美食、娛樂軟件過程中，在填寫個人信息后，彈出包含其隱私政策以及是否同意的“請求”，授權即可繼續(xù)操作使用，不給權限則難以進行下一步操作。根據艾媒咨詢發(fā)布的《2018年中國手機隱私權限測評報告》顯示，54.3%的受訪網民知道APP泄露隱私信息，但沒有辦法，只能繼續(xù)使用?，F實生活中，在個人信息受侵犯的問題上廣大網民并不具有實質選擇權。因為疑似越界調取用戶權限的部分APP在行業(yè)內具有領先優(yōu)勢，強制使用推送功能、不給權限不讓用、超范圍索取權限，網民“同意”的意思表達通常也是被強迫之行為。中國《民法典》《消費者權益保護法》等法律規(guī)范對此類“格式條款”“霸王條款”皆規(guī)定了明確的禁止性條款。對濫用市場支配地位、無正當理由拒絕與相對人繼續(xù)交易的行為，中國《反壟斷法》對此也規(guī)定了相關責任追究機制。除此，《個人信息保護法（草案）》以及2018年5月實施的《信息安全技術個人信息安全規(guī)范》更是規(guī)定了明示同意（explicit consent）原則①根據《信息安全技術個人信息安全規(guī)范》之明示同意規(guī)定，即個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權的行為?？隙ㄐ詣幼靼▊€人信息主體主動作出聲明、主動勾選、主動點擊“同意”“注冊”“發(fā)送”“撥打”等。。但這些禁止性規(guī)范的貫徹執(zhí)行，需要司法機關尤其是法院在審判實踐中轉變對侵犯公民個人信息權的認識之后方能予以貫徹落實。如在張某與北京某商業(yè)服務有限公司等侵權責任糾紛一案中，審判人員認為“使用免費高速充電服務，即視為同意安裝APP”的內容提示之行為已履行告知義務，對可能存在的個人信息泄露風險因證據不足予以否認②北京市第二中級人民法院〔2019〕京02民終9 202號判決書。。據此可以推斷審判人員對涉嫌新型侵犯個人信息權之類的“格式條款”“霸王條款”缺乏深層了解，對個人信息處理中權利主體真實同意缺乏科學認識。對以上同意嫌疵問題，司法機關理應依法予以糾正。

客觀而言，以上一般性規(guī)范只有在滿足一定構成要件時才能發(fā)揮其法律效力。在《個人信息保護法》立法過程中，強調權利主體同意的真實性是保障個人信息處理合法性的基本要求。除GDPR之外，中國香港地區(qū)《個人資料（隱私）條例》也明確規(guī)定除非獲得權利主體明示同意，否則個人信息只可用于在收集資料時所聲明的用途或與其直接有關的用途。但在司法實踐中，“為避免法益概念的抽象化并充分發(fā)揮其限制處罰之機能，在確定個人信息權法益前提下應將之具體化。”[33]參考域外立法例，為確保權利主體知情同意的實效性，保障個人信息處理合法進行，可予以必要限制：首先，明確告知權利主體個人信息處理目的、方式、途徑等，以實現知情前提下的同意；其次，涉及個人敏感性數據，應及時、準確告知涉及信息的類型和目錄；合同文本中不得以“小字體”，或網絡和商業(yè)活動中不得以“點擊同意”或類似方式取得權利主體之“同意”；最后，禁止濫用市場支配地位，以作為提供服務的前置性條件等方式取得權利主體的同意授權。

四、結語

數據的信息化向來與信息權或數據權相伴而生，任何一項信息的權利屬性，都是個人信息權的權利回歸。本質而言，無論對個人信息的保護亦或利用在法律上均屬于公民個人信息權的法益實踐問題。個人信息權的法益實踐不應局限于私權理念下的侵權責任賠償問題，而應在科學闡釋個人信息權作為一項新型權利形態(tài)以及獨立性法律地位的基礎上，明確個人信息權法益屬性及其法益自決性立場。針對個人信息權一體兩面的權利特征及其客觀存在二律背反邏輯難題，應秉持個人信息處理在全產業(yè)鏈不同環(huán)節(jié)、不同處理目的、不同數據類型、不同處理方式以及不同主體等場景化、差異性的同意形態(tài)。由此，正確認識知情同意作為個人信息處理合法性的核心依據，明確相對同意這一權利主體同意的基本形態(tài)，強調真實同意作為權利主體同意的真實意思表達。作為信息化基礎構成的個人信息日益成為新型違法和數據犯罪的重災區(qū)，刑法作為人類治理社會、實現公平正義與善德之工具尚未在形式與實質上對其實現理性駕馭，需要在理性論證個人信息權保護的生成環(huán)境、結構框架以及實踐效果基礎上，推動刑法隨著新型犯罪形態(tài)衍生與時俱進并適時作出回應。