江媛媛

南京信息工程大學(xué)，江蘇 南京 210000

一、問題的提出

互聯(lián)網(wǎng)技術(shù)飛速發(fā)展帶來信息安全風(fēng)險(xiǎn)問題，為應(yīng)對這一挑戰(zhàn)，我國在個(gè)人信息保護(hù)領(lǐng)域形成了刑法一馬當(dāng)先，而民事手段、行政手段保護(hù)個(gè)人信息的效果卻尚未彰顯的特有格局。然而，在民法這一最重要的前置法日益完善的背景下，個(gè)人信息應(yīng)回歸民法保護(hù)優(yōu)先的應(yīng)然狀態(tài)，刑法作為保障法應(yīng)堅(jiān)守自身謙抑性。同時(shí)，民法和刑法本就具有同源性，因此，在確定侵犯公民個(gè)人信息罪時(shí)的入罪標(biāo)準(zhǔn)時(shí)還應(yīng)當(dāng)考量民法對于個(gè)人信息保護(hù)的合理制度設(shè)計(jì)。如此，民刑既得到合理區(qū)分，又相互滲透，實(shí)現(xiàn)個(gè)人信息保護(hù)方面刑法和民法的協(xié)調(diào)銜接，實(shí)現(xiàn)信息流動和信息保護(hù)的平衡。

二、刑民一體化視角下個(gè)人信息內(nèi)涵的厘清

（一）個(gè)人信息的根本屬性——可識別性

通過《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）①參見《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第一條：“《刑法》第二百五十三條規(guī)定的‘公民個(gè)人信息’是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財(cái)產(chǎn)狀況、行蹤軌跡?！焙汀吨腥A人民共和國民法典》（以下簡稱《民法典》）②參見《中華人民共和國民法典》第一千零三十四條：“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。”我們可以看出民刑關(guān)于個(gè)人信息的定義基本相同，都采用了“可識別說”，即相關(guān)信息與特定公民具有一定的關(guān)聯(lián)性與專屬性，通過這些信息符號直接識別出信息主體，或者與其他信息結(jié)合間接識別出主體身份和個(gè)體特征。但是，仔細(xì)對比，我們會發(fā)現(xiàn)《中華人民共和國刑法》(以下簡稱《刑法》)中的個(gè)人信息內(nèi)涵經(jīng)歷了這樣一個(gè)過程：從2012年12月28日全國人大常委會通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（以下簡稱《決定》）、2013年4月23日兩高一部發(fā)布《關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動的通知》中“狹義的可識別性加隱私性”到《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）中“廣義的可識別性”再到《解釋》中“具有廣義可識別性的個(gè)人身份認(rèn)證信息和不需要可識別性的可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息”。從中可以看出個(gè)人信息概念外延在不斷擴(kuò)張。該種做法實(shí)際上是堅(jiān)持了預(yù)備行為實(shí)行化和法益保護(hù)前置的預(yù)防性刑事立法思想。司法者通過擴(kuò)大公民個(gè)人信息的內(nèi)涵來擴(kuò)大個(gè)人信息犯罪的保護(hù)范圍，實(shí)現(xiàn)預(yù)防個(gè)人信息被濫用引發(fā)的人身、財(cái)產(chǎn)安全風(fēng)險(xiǎn)的目的。

筆者認(rèn)為，從民刑一體化視角出發(fā)，民法作為前置法，采用“可識別性”作為個(gè)人信息判斷的核心標(biāo)準(zhǔn)，為了保持前置法和保障法之間的協(xié)調(diào)一致，刑法也應(yīng)當(dāng)堅(jiān)持將可識別性作為刑法意義上的個(gè)人信息的根本屬性，對于賬號密碼此類信息原本不具有可識別性，但由于電子支付技術(shù)的發(fā)展，具有支付功能的第三方支付賬號都要求實(shí)名認(rèn)證后才可以使用。這些賬號由于經(jīng)過實(shí)名認(rèn)證，具有極強(qiáng)的身份屬性，具備可識別性，但仍存在有些賬號密碼可能“未綁定”身份證號、手機(jī)號碼等特定信息，不具備可識別性，不屬于公民個(gè)人信息。

（二）敏感信息

此次施行的《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《個(gè)人信息保護(hù)法》）進(jìn)步之處之一在于首次對敏感個(gè)人信息進(jìn)行了專節(jié)規(guī)定，加大了敏感信息的保護(hù)力度?！秱€(gè)人信息保護(hù)法》對敏感信息的定位采取概括加列舉的方式，根據(jù)該法第二十八條規(guī)定，敏感信息主要是指與人格尊嚴(yán)、人身、財(cái)產(chǎn)安全聯(lián)系更緊密的一類信息，例如醫(yī)療健康信息、金融賬戶等。然而，該條列舉的是較為泛化的信息類型，并不指向某一具體信息。敏感信息與一般信息的本質(zhì)區(qū)別在于此類信息處理被用于違法行為、導(dǎo)致人格尊嚴(yán)、人身財(cái)產(chǎn)權(quán)益受侵害的可能性、風(fēng)險(xiǎn)性更高。［1］形式上屬于《個(gè)人信息保護(hù)法》第二十八條列舉的敏感信息類型，但實(shí)質(zhì)上不符合上述本質(zhì)特征的信息，并不屬于敏感信息。《個(gè)人信息保護(hù)法》對一般信息保護(hù)和利用并重，而針對敏感信息，更注重對人格利益的保護(hù)，對處理者提出了更嚴(yán)格的限制，例如處理敏感信息必須征得權(quán)利人的單獨(dú)同意，履行更嚴(yán)格的告知義務(wù)等。［2］

三、刑民一體化視角下侵犯公民個(gè)人信息罪的要素解構(gòu)

（一）法益要素

侵犯公民個(gè)人信息罪的法益認(rèn)定歷來存在個(gè)人法益與超個(gè)人法益之爭。筆者認(rèn)為，侵犯公民個(gè)人信息罪的保護(hù)法益是一種新型復(fù)合型的法益，需要從公民、社會、國家多個(gè)維度解讀。

1.嚴(yán)重個(gè)人法益的侵犯

（1）個(gè)人法益的核心——信息自決權(quán)。信息自決權(quán)即個(gè)人對于其自身相關(guān)的信息，能擁有充分的自主權(quán)，能自主決定于何時(shí)、向何人、在何種范圍、以何種方式進(jìn)行處分使用。［3］世界上個(gè)人信息保護(hù)存在歐洲法和美國法兩種不同的理論源頭和保護(hù)模式，但是其本質(zhì)均是個(gè)人對自己信息的自治。我國現(xiàn)行立法也表明侵犯公民個(gè)人信息行為的個(gè)人法益核心是信息自決權(quán)。根據(jù)《民法典》《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》的規(guī)定，處理個(gè)人信息都要取得個(gè)人的同意，從中體現(xiàn)了尊重信息主體的意志，由個(gè)人自主決定個(gè)人信息的處理。而且當(dāng)前立法對于個(gè)人信息保護(hù)采取的是利益衡量進(jìn)路的立場，優(yōu)先保護(hù)國家與社會利益，對信息主體利益保護(hù)嚴(yán)重不足。［4］因此，將信息自決權(quán)作為個(gè)人法益的核心有利于加強(qiáng)對信息主體權(quán)益的保護(hù)，發(fā)揮刑法自由保障機(jī)能。

（2）人格權(quán)屬性的延伸——財(cái)產(chǎn)權(quán)屬性。對于個(gè)人信息的財(cái)產(chǎn)利益需要從自然人和數(shù)據(jù)經(jīng)營者兩個(gè)維度展開：一方面，人格權(quán)的商業(yè)化利用使得個(gè)人信息具有了財(cái)產(chǎn)權(quán)屬性；另一方面，單個(gè)的個(gè)人信息往往經(jīng)濟(jì)價(jià)值微薄，數(shù)據(jù)經(jīng)營者（一般多為企業(yè)）通常對收集來的海量個(gè)人信息加工處理，使之成為具有使用價(jià)值的信息，構(gòu)建數(shù)據(jù)庫。由此，數(shù)據(jù)企業(yè)便具有了數(shù)據(jù)財(cái)產(chǎn)權(quán)。由于自然人個(gè)人信息法益的核心是信息自決權(quán)，因此自然人的個(gè)人信息的處理更加強(qiáng)調(diào)知情同意原則，而對數(shù)據(jù)企業(yè)的數(shù)據(jù)財(cái)產(chǎn)權(quán)弱化知情同意原則。［5］

2.超個(gè)人法益的侵犯

公民個(gè)人信息不僅僅直接關(guān)系個(gè)人的信息安全與生活安寧，而且影響社會公共利益、國家安全。具體來說，超個(gè)人法益分為社會法益和國家法益兩個(gè)層面。（1）社會法益主要是一種社會信息管理秩序。［6］侵犯公民信息犯罪極易滋生綁架、電信詐騙、敲詐勒索等下游犯罪，不僅危害個(gè)人的人身、財(cái)產(chǎn)安全，還影響社會穩(wěn)定?！督忉尅穼⑶址競€(gè)人信息用途、侵犯個(gè)人信息造成的后果作為決定“情節(jié)嚴(yán)重”與“情節(jié)特別嚴(yán)重”的因素，就體現(xiàn)了個(gè)人信息的社會法益屬性。（2）國家法益。個(gè)人信息有可能涉及國家秘密，而個(gè)人信息跨境流動也可能涉及國家安全。

盡管風(fēng)險(xiǎn)社會背景下社會法益逐漸具有擴(kuò)張趨勢，但筆者認(rèn)為，首先，國家法益和社會法益這類集合性的法益在本質(zhì)上都是對個(gè)人法益的高度抽象化［7］，且“公共利益”“社會利益”本身就是最富爭議性的概念，在法益理論限制刑罰處罰方面的解釋機(jī)能方面較弱，而傳統(tǒng)個(gè)人法益相比較而言，能夠較好限制刑罰發(fā)動和處罰范圍；［8］其次，在互聯(lián)網(wǎng)時(shí)代，公民個(gè)人信息安全風(fēng)險(xiǎn)大大增加，然而個(gè)人在強(qiáng)大的公權(quán)力和科技力量面前，自身抵御風(fēng)險(xiǎn)的能力削弱，因此，必須把個(gè)人權(quán)利和自由放在法益位階上的優(yōu)先地位，以傳統(tǒng)個(gè)人法益保護(hù)為主，合理限制“超個(gè)人法益”的保護(hù)范圍和力度。

（二）數(shù)量要素

根據(jù)《解釋》規(guī)定，把公民個(gè)人信息分為敏感個(gè)人信息、重要信息、普通信息三類，對不同類型的公民個(gè)人信息設(shè)定了不同的數(shù)量要求。一般來說，個(gè)人信息的數(shù)量與侵犯公民個(gè)人信息罪的社會法益密切相連，數(shù)量越大社會法益遭受的侵害程度越大。然而，就同一類型的信息而言，例如非法獲取、出售或者提供一般個(gè)人信息500條，難道一定比非法獲取5000條的行為對法益的現(xiàn)實(shí)侵害或者侵害的危險(xiǎn)性小嗎，侵犯非常敏感的私密信息，例如身份證號、銀行賬號密碼，即使未達(dá)到一定的數(shù)量標(biāo)準(zhǔn)，也可能對信息主體的人格利益、財(cái)產(chǎn)利益產(chǎn)生損害，同樣具有刑罰可罰性；就不同類型信息而言，侵犯一般個(gè)人信息500條與侵犯敏感的行蹤軌跡信息、征信信息、財(cái)產(chǎn)信息5條的法益侵害性如何比較，孰輕孰重?侵犯個(gè)人信息的數(shù)量越多，法益風(fēng)險(xiǎn)等級并不一定就越高。［9］然而由于數(shù)量要素是最易于統(tǒng)計(jì)也是最易認(rèn)定的因素，因此，實(shí)務(wù)中法官往往以此為標(biāo)準(zhǔn)進(jìn)行情節(jié)認(rèn)定，不再考慮行為人所侵犯的公民個(gè)人信息的類型、流向等其他因素，使得其他幾個(gè)方面的認(rèn)定角度虛置化，出現(xiàn)唯數(shù)量論傾向。

總之，數(shù)量要素與法益風(fēng)險(xiǎn)等級并不必然成正比，侵犯公民個(gè)人信息數(shù)量越多，法益侵害性并不一定越嚴(yán)重，在判斷侵犯公民個(gè)人信息行為是否需要入罪處罰時(shí)，應(yīng)當(dāng)結(jié)合犯罪構(gòu)成因素之間的相互影響，綜合考慮信息類型、信息數(shù)量、信息用途等因素加以評判其行為是否構(gòu)成“情節(jié)嚴(yán)重”。［10］

（三）前置性要素

根據(jù)《刑法》規(guī)定，要構(gòu)成侵犯公民個(gè)人信息罪，必須“違反國家有關(guān)規(guī)定”，因此對侵犯公民個(gè)人信息罪的界定有賴于行政前置性法律法規(guī)的相關(guān)規(guī)定。那么該行政前置性法律法規(guī)的具體指什么呢？事實(shí)上，在《刑法修正案（七）》中該空白罪狀為“違反國家規(guī)定”，《刑法修正案（九）》中為“違反國家有關(guān)規(guī)定”。通過對比《刑法》第九十六條規(guī)定①參見《中華人民共和國刑法》第九十六條：“本法所稱‘違反國家規(guī)定’，是指違反全國人民代表大會及其常務(wù)委員會制定的法律和決定，國務(wù)院制定的行政法規(guī)、規(guī)定的行政措施、發(fā)布的決定和命令。和《解釋》第二條②參見《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》第二條：“違反法律、行政法規(guī)、部門規(guī)章有關(guān)公民個(gè)人信息保護(hù)的規(guī)定的，應(yīng)當(dāng)認(rèn)定為《刑法》第二百五十三條之一規(guī)定的‘違反國家有關(guān)規(guī)定’”。會發(fā)現(xiàn)，顯然《解釋》中多了“部門規(guī)章”，范圍大于《刑法》總則第九十六條的規(guī)定。《刑法》總則條文對《刑法》分則條文適用起指導(dǎo)和制約作用，對分則條文中“違反國家有關(guān)規(guī)定”的理解必須受總則約束。［11］在既有規(guī)定下，為平衡罪刑法定原則與司法適用的矛盾，應(yīng)當(dāng)對《解釋》第二條的內(nèi)容作限縮解釋，即“國家有關(guān)規(guī)定”指的是法律、行政法規(guī)，而只有當(dāng)部門規(guī)章是對法律、行政法規(guī)中的規(guī)定予以明確、細(xì)化的情形下，才能與法律、行政法規(guī)一起作為判斷行為是否“違反國家有關(guān)規(guī)定”的依據(jù)。

為了進(jìn)一步限縮不當(dāng)擴(kuò)張的“國家有關(guān)規(guī)定”，發(fā)揮行政前置要素厘清入罪邊界的功能，應(yīng)將“違反國家有關(guān)規(guī)定”作為違法阻卻事由?！皣矣嘘P(guān)規(guī)定”主要體現(xiàn)在依法取得、確保信息安全、依法依約使用處理三個(gè)方面，因此只要行為人做到了以上三個(gè)方面就不具有違法性，阻卻違法性，不能定罪處罰。［12］

四、結(jié)語

2021年8月20日通過的《個(gè)人信息保護(hù)法》回應(yīng)了人民群眾對于個(gè)人信息保護(hù)的重大關(guān)切，為個(gè)人信息保護(hù)提供了更有力的法治保障。治理侵犯公民個(gè)人信息行為，如果只依靠刑法規(guī)制，不利于信息的流動、經(jīng)濟(jì)價(jià)值的發(fā)揮和公民的自由保障。應(yīng)當(dāng)發(fā)揮民法、行政法作為前置法對侵犯公民個(gè)人信息的調(diào)節(jié)作用，合理確定刑事法律的入罪邊界，鼓勵(lì)個(gè)人信息的合理流通和利用。