侯撼 岳童謠

摘要：厘清個人信息概念與個人信息權(quán)的法律屬性是有效保護個人信息的基礎(chǔ)。從個人信息刑法保護的立法沿革來看，我國目前在民事立法上適用新型具體人格權(quán)說，但刑事法仍然以過去的隱私權(quán)模式對個人信息進行保護，刑事立法在個人信息保護方面存在前置性立法仍待完善，附屬于隱私權(quán)的保護模式具有滯后性等問題。完善個人信息保護之刑法路徑，應(yīng)完善前置性立法，加強部門法之間的銜接;轉(zhuǎn)變刑法規(guī)制模式，強調(diào)侵犯公民個人信息罪的獨立法益;加強刑法內(nèi)部的邏輯性，擴展犯罪行為類型，設(shè)置科學(xué)入罪門檻。

關(guān)鍵詞：個人信息保護;侵犯個人信息罪;信息自決權(quán);體系解釋

中圖分類號：D924.3??? 文獻標(biāo)識碼：A文章編號：2095-6916（2021）01-0061-04

個人信息保護在大數(shù)據(jù)時代變得更加重要。我國目前的個人信息保護體系呈現(xiàn)出以非刑罰保護為主、刑法保護為輔的特點。整體來看，我國主要強調(diào)通過政府與行業(yè)機構(gòu)來強化對個人信息的保護[1]，這可從《個人信息保護法（草案）》（以下簡稱《草案》）中窺見。但是《刑法》作為最嚴(yán)厲的法律，在打擊侵犯個人信息的犯罪、震懾不法行為方面有著關(guān)鍵性作用，在個人信息保護與信息市場治理體系中極為重要，本文現(xiàn)就此作一分析。

一、個人信息之概念與個人信息權(quán)之法律屬性的厘清

依法保護個人信息、打擊侵犯個人信息的犯罪，首先要對個人信息的概念與法律屬性進行厘清。“個人信息”的概念與其衍生出的“個人信息權(quán)”的法律屬性在刑事法、民事法、行政法中均有涉及，前者決定了《刑法》的保護對象，后者會影響相關(guān)罪名所保護的法益的界定。因此，對于這兩個問題的厘清能夠保證法律的體系性，在確保刑法謙抑性的同時，堅持嚴(yán)厲打擊個人信息犯罪的基本立場。

在個人信息概念的闡釋上，主要有概括型、概括列舉混合型和識別型三種[2]。我國國內(nèi)立法主要采取的是識別型?！缎谭ㄐ拚福ň牛罚ㄒ韵潞喎Q“修九”）和《網(wǎng)絡(luò)信息法》均并未對個人信息的概念進行解釋，但是《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第一條便明確界定個人信息具有可識別性，而《草案》發(fā)展了這一定義——具有“可識別性”并未經(jīng)過“匿名化處理”。這一定義的核心在于信息與信息主體之間的聯(lián)系，即信息與主體之間必須存在關(guān)聯(lián)或能夠通過該信息識別到具體的個人才具有保護價值[3]。在該種界定方式下，各部門法所保護的個人信息均不再局限于隱私等個人信息，而是突破信息形式和載體的局限，將具有保護意義的“可識別”的個人數(shù)據(jù)等均納入個人信息的保護范疇。因此，在處理刑事案件時，應(yīng)當(dāng)基于個人信息法律概念的發(fā)展，對罪狀涉及的個人信息進行適當(dāng)解釋。

關(guān)于個人信息權(quán)的法律屬性，則主要有三種觀點。第一種所有權(quán)說認為個人信息權(quán)屬于個人對個人信息所蘊涵的商業(yè)性使用價值的支配權(quán)[4]，包括占有、使用、收益和處分的權(quán)利[5]，即排斥了他人使用信息的空間。此學(xué)說立足點在于個人信息的財產(chǎn)性，但將信息的處理者、使用者與所有者分離，忽略了信息傳播的必要性以及信息傳播對于個人人格權(quán)的影響。隱私權(quán)說和新型具體人格權(quán)說均認為個人信息權(quán)屬人格權(quán)范疇，但是前者認為其被隱私權(quán)所吸收，后者認為其與隱私權(quán)并列。前一種觀點認為個人信息因具有社會交往的價值而屬于隱私權(quán)維護的范疇[6]，通過私權(quán)可以實現(xiàn)其保護[7]，但一旦純粹認定其為排他隱私權(quán)則無法兼顧個人信息的利用和國家社會的公共利益[8]，尤其是在重大公共衛(wèi)生事件中。不同的是，新型具體人格權(quán)說認為個人信息權(quán)同時具備隱私權(quán)益與財產(chǎn)權(quán)益的特征，是一種不同于傳統(tǒng)的具體人格權(quán)?！睹穹ǖ洹返谝话僖皇粭l承認獨立的個人信息權(quán)[9]，將其與隱私權(quán)等人格權(quán)并列。持此種觀點的學(xué)者普遍認為其屬于個人信息自決權(quán)，這適應(yīng)大數(shù)據(jù)時代個人信息的雙重屬性，又為其兩種屬性設(shè)定了次序之分——以人格權(quán)益為基礎(chǔ)，兼顧財產(chǎn)利益的保護。這種觀點與立法上采取的識別型概念一致，在承認個人信息的人格性的同時，賦予特定人員對去識別化信息的適用的可能性。

雖然我國在民事立法上已經(jīng)逐步適用新型具體人格權(quán)說，但是在刑事法上，侵犯公民個人信息罪屬第二百五十三條之一，置于第二百五十三條的私自開拆、隱匿、毀棄郵件、電報罪之后，可見《刑法》仍然以過去的隱私權(quán)模式對個人信息進行保護。這種保護思路不適應(yīng)大數(shù)據(jù)時代的實際，忽略了個人信息權(quán)的財產(chǎn)性與獨立性，無法涵蓋個人信息的利用問題，應(yīng)當(dāng)予以修訂完善。

二、我國刑法對個人信息保護的立法沿革及缺憾

刑法對于特定客體的保護主要是通過打擊侵害行為來進行的。我國刑法對于個人信息的保護隨著個人信息這一概念的出現(xiàn)、發(fā)展而確立、完善，但是法律的滯后性使得目前刑法對相關(guān)犯罪的打擊并無法完全適應(yīng)社會發(fā)展的需要，在立法模式、定罪與量刑等方面都存在問題。

（一）個人信息之刑法保護的立法沿革

刑法對于個人信息的保護主要是通過對侵犯個人信息的犯罪行為進行懲罰而實現(xiàn)的。在《刑法修正案（七）》以前，侵犯公民個人信息的行為未獨立入罪，僅在涉及國家利益、社會利益的時候“順帶實現(xiàn)了對公民個人信息的保護”[10]。如《刑法修正案（五）》增設(shè)的竊取、售賣、非法提供信用卡罪，該罪位于第三章“破壞社會主義市場經(jīng)濟秩序罪”中，其立足點在于保護金融管理秩序，對于個人信息的保護則“附屬于金融管理秩序”[11]。直到《刑法修正案（七）》將侵犯個人信息罪以獨立罪名納入刑法，個人信息才在刑法中得到正式保護。該修正案雖然首次將侵犯公民個人信息罪獨立入刑，但是卻在主體和行為上過于狹隘，僅將侵犯個人信息罪的主體限制為“國家機關(guān)或金融、電信、交通、教育、醫(yī)療等單位工作人員”，行為限定為“出售、非法提供”以及“非法獲取”。2015年，“修九”合并了有關(guān)罪名，確定了“侵犯公民個人信息罪”。這一修改將該罪的犯罪主體擴大到一般主體，并提高了法定刑。但是從立法模式來看，《刑法》將侵犯公民個人信息罪置于第二百五十三條之一，可見對個人信息仍采取“附屬化”保護模式，將個人信息附屬于隱私權(quán)進行保護，與前置性立法中將個人信息權(quán)作為新型具體人格權(quán)的立法趨勢相悖。

（二）刑事立法在個人信息保護方面的缺憾

個人信息的保護是一個社會共治的過程，《草案》僅涉及行政和民事保護體系的完善，刑事立法中的問題仍未解決?！缎谭ā冯m然將侵犯公民個人信息的行為單獨入罪，但是其保護法益的內(nèi)核仍然未得到確認，導(dǎo)致對個人信息的刑法保護整體上附屬于其他法益，并且在定罪與量刑上都存在諸多問題。

一是前置性立法仍待完善。目前，我國學(xué)界和實務(wù)界對侵犯個人信息罪屬法定犯還是自然犯存在爭議。但不論是法定犯還是自然犯，侵犯個人信息罪中“違反國家有關(guān)規(guī)定”都是其構(gòu)成要件，也即前置性立法對犯罪的認定有著關(guān)鍵作用。在《個人信息保護法》頒布前，前置性立法是缺失的，主要適用的《網(wǎng)絡(luò)安全法》側(cè)重于對網(wǎng)絡(luò)經(jīng)營者提出網(wǎng)絡(luò)安全保障要求[12]，這導(dǎo)致《刑法》在個人信息保護中有“優(yōu)先使用”且“先刑后民”之嫌[13]?！恫莅浮冯m試圖回應(yīng)這個問題，但是仍未明確個人信息的法律屬性及其分類，排除列舉式規(guī)定后導(dǎo)致個人信息的范圍過于寬泛，并且在第七章中對侵犯個人信息行為懲處的規(guī)定過于概括，且缺失私力救濟途徑的規(guī)定，使得以刑法為主的公力救濟仍被優(yōu)先使用。前置性立法是個人信息法律保護體系的基礎(chǔ)，也是依法適用刑法的重要保障。前置性立法的不完善不僅導(dǎo)致刑法適用上存在疑問，而且不利于個人信息應(yīng)用市場的社會共治。

二是附屬于隱私權(quán)保護模式的滯后性。信息時代更強調(diào)對于信息的“合理利用”，個人信息權(quán)與隱私權(quán)有所交叉但不重合。不論是以個人信息自決權(quán)為基本內(nèi)涵的歐洲模式，還是以隱私權(quán)為基礎(chǔ)、信息控制權(quán)為內(nèi)核的美國模式，都強調(diào)對于個人信息與傳統(tǒng)隱私權(quán)內(nèi)涵的區(qū)分[9]。一方面，目前我國《刑法》“側(cè)重于消極防御”[12]，附屬于隱私權(quán)的模式不夠全面與主動;另一方面，個人信息法律屬性未被明確，導(dǎo)致《刑法》的保護法益出現(xiàn)爭論。一種觀點承認侵犯個人信息犯罪保護的是傳統(tǒng)“個人法益”，個人信息屬隱私權(quán)范疇;另一種提出了“超個人法益”概念，認為其同時具備個人法益與社會法益的特征，屬“信息自決權(quán)”。因此，新型具體人格權(quán)理論在前置法中不斷發(fā)展，原有保護模式不符合法律的體系性要求，也不利于刑法內(nèi)部的邏輯自洽與個人信息的全面保護。

三是未對侵犯公民個人信息犯罪的行為方式進行厘清。在侵犯公民個人信息的案件中，犯罪行為通常不是單一的出售、提供或者非法獲取行為，包括產(chǎn)生與收集、處理與修改、流通與提供、利用與傳播等環(huán)節(jié)，但是我國目前的立法未在厘清這些方式的基礎(chǔ)上進行全面規(guī)制。侵犯公民個人信息罪規(guī)定了“出售或提供”以及“非法竊取”的行為，非法利用信息網(wǎng)絡(luò)罪則包括為實施詐騙等違法活動發(fā)布信息的行為，還有非法侵入計算機信息系統(tǒng)罪、拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪以及幫助信息網(wǎng)絡(luò)犯罪活動罪?？梢园l(fā)現(xiàn)，對于以合法方式獲取或未知方法獲取，以違法方式進行利用的行為不在相關(guān)罪名的規(guī)制范疇中，而瑞士等國的立法將非法刪改個人信息的行為入罪。在目前我國個人信息權(quán)的法律屬性、侵犯公民個人信息罪的基本內(nèi)涵尚未厘清的情況下，討論此類行為是否入刑為時尚早，但是對此類行為的規(guī)制應(yīng)當(dāng)納入立法考量中，要在立法思路上厘清侵犯公民個人信息犯罪的行為方式。

四是侵犯公民個人信息罪的刑罰過于嚴(yán)苛。雖然立法上存在諸多缺陷，但是在侵犯個人信息犯罪的懲戒上呈現(xiàn)出嚴(yán)格化的趨勢[13]，主要表現(xiàn)為2017年最高人民法院、最高人民檢察院出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中對“非法獲取、出售或者提供公民個人信息”情節(jié)嚴(yán)重和情節(jié)特別嚴(yán)重的情形，以及“為合法經(jīng)營活動而非法購買、收受公民各個人信息”情節(jié)嚴(yán)重的情形的認定標(biāo)準(zhǔn)進行了規(guī)定，非法獲取、收集或者提供公民信息違法所得五千元以上即可入罪，五萬元以上即為情節(jié)特別嚴(yán)重。在信息泛濫的互聯(lián)網(wǎng)時代，個人信息受到前所未有的侵害，雖然在此背景之下，對于侵犯個人信息犯罪采取較為嚴(yán)格的處罰措施對于打擊特定犯罪、維護公民個人利益與社會秩序在短期內(nèi)具有顯著作用，但是以體系解釋的視角看，與其他侵害性更大的犯罪行為相比，侵犯個人信息犯罪的入罪門檻過低、刑罰過于嚴(yán)苛，未在刑法內(nèi)部邏輯自洽。

三、我國個人信息保護之刑法路徑的完善

個人信息保護在立法上的分散性、概括性導(dǎo)致司法實踐的效果不盡如人意。刑法是最終也是最嚴(yán)厲的手段，在適用上應(yīng)當(dāng)謹(jǐn)慎。法律為司法實踐的依據(jù)，立法的完整是良好適用的前提。侵犯個人信息的犯罪行為具有高社會性，涉及多個部門法和行業(yè)規(guī)范。刑法的系統(tǒng)化保護，既包括內(nèi)部體系的邏輯自洽，也包括外部與其他部門法在法律體系中一致。

（一）完善前置性立法，加強部門法之間的銜接

《刑法》第二百五十三條之一前兩款規(guī)定“違反國家有關(guān)規(guī)定”為侵犯公民個人信息罪的構(gòu)成要件。根據(jù)現(xiàn)有的立法，《刑法》保護的公民個人信息應(yīng)當(dāng)首先歸屬于其他部門法（如《民法》和《行政法》）規(guī)定的個人信息，其保護的對象應(yīng)當(dāng)為具有可識別性的個人信息，基于刑法的謙抑性，對于其他個人信息沒有在刑法上予以保護的必要[14]。就具有法定犯特征的罪名，應(yīng)當(dāng)堅守罪刑法定原則的基礎(chǔ)在于堅持法秩序統(tǒng)一原理，以前置性規(guī)范為其刑事違法性的判斷依據(jù)[15]。這就要求《刑法》對于侵犯公民個人信息罪的規(guī)定必須考慮相關(guān)前置性規(guī)范的具體要求。《草案》雖試圖為司法人員提供準(zhǔn)確、全面的判斷侵犯個人信息行為的依據(jù)，但仍處于探索階段，缺失明確和全面的概念與法律屬性、私力救濟途徑的規(guī)定。雖然一些國家標(biāo)準(zhǔn)、行業(yè)規(guī)范對侵犯個人信息行為相關(guān)概念的定性、手段的認定、基本原則等內(nèi)容進行了系統(tǒng)化的規(guī)定，但是不屬于《刑法》所指向的刑事違法性判斷依據(jù)。因此，建議在《草案》中明確個人信息的概念、法律屬性以及范圍，應(yīng)當(dāng)改變第四條中以信息使用流程來規(guī)定其范圍的方式，回歸列舉式表達，并且補充私力救濟機制的內(nèi)容，以保障刑法的謙抑性、法律的體系性。

（二）轉(zhuǎn)變刑法規(guī)制模式，強調(diào)侵犯公民個人信息罪的獨立法益

從立法上看，傳統(tǒng)理論對個人信息的隱私權(quán)屬性的認定，決定了侵犯公民個人信息罪的保護對象為個人隱私中的個人信息，而保護的法益為個人法益中的隱私法益。但是刑法和民法應(yīng)當(dāng)相互銜接，在民法已經(jīng)將個人信息權(quán)與隱私權(quán)并列的背景下，以隱私權(quán)為基礎(chǔ)的個人信息的刑法保護模式已經(jīng)不再適應(yīng)個人信息保護的需要，轉(zhuǎn)變刑法對侵犯公民個人信息行為的規(guī)制模式成為必然。由于個人信息權(quán)逐步被認定為以信息自決權(quán)為核心的個人信息權(quán)，對于該條保護的是個人法益還是超個人法益的爭論成為熱點。本文贊同前一觀點。個人法益包括專屬法益與財產(chǎn)法益，個人信息權(quán)作為新型的具體人格權(quán)顯然滿足這一特征，而無“公共安全或者社會信息管理秩序等超個人法益”[16]，故仍應(yīng)當(dāng)堅持個人法益的觀點。但是，在個人信息權(quán)開始確立的背景下，侵犯公民個人信息犯罪的保護法益限于隱私權(quán)不再合適，應(yīng)當(dāng)逐步向個人信息權(quán)轉(zhuǎn)變，即確立侵犯公民個人信息罪的獨立法益——以信息自決權(quán)為核心的個人信息權(quán)。在法益得到確定后，就得以轉(zhuǎn)變刑法規(guī)制模式，形成兼顧人格權(quán)益和財產(chǎn)權(quán)益、獨立的個人信息權(quán)保護模式。

（三）加強刑法內(nèi)部的邏輯性，擴展犯罪行為類型，設(shè)置科學(xué)入罪門檻

加強刑法內(nèi)部的邏輯性首先要求以目的明確為基本原則。目的明確是個人信息收集和使用的基本原則之一，即認定非法出售、提供、獲取等行為時，要結(jié)合該行為是否符合特定目的、是否在特定目的范圍內(nèi)進行考量。收集、使用、公開個人信息的內(nèi)容、形式、手段等超過必要的限度，則需要承擔(dān)相應(yīng)責(zé)任。

其次，應(yīng)當(dāng)以體系解釋的視角對侵犯公民個人信息罪進行審視。一方面，應(yīng)當(dāng)擴大侵犯公民個人信息罪的行為方式的范圍，將非法利用行為入刑。目前，《刑法》第二百五十三條之一未將非法利用公民個人信息的行為納入侵犯公民個人信息罪。有學(xué)者指出，《刑法》中侵犯商業(yè)秘密罪（第二百一十九條），將獲取、披露、提供和使用商業(yè)秘密的行為并列，而法益侵害性相對更低的侵犯公民個人信息罪卻未將非法利用的行為納入刑法規(guī)制范疇[17]。在司法實踐中，常常難以確認涉案信息的來源，因此，非法利用行為未入刑的直接結(jié)果就是此類行為難以通過相關(guān)罪名進行規(guī)制。將非法利用行為入刑不僅是打擊犯罪的需要，更是防止個人信息濫用、保護個人信息權(quán)的要求，還能促進刑法內(nèi)部的邏輯自洽。

另一方面，刑法的謙抑性應(yīng)當(dāng)?shù)玫截瀼?，以防止犯罪圈的不?dāng)擴張。在討論非法利用行為等行為的入罪時，應(yīng)當(dāng)將其納入侵犯公民個人信息罪的范疇，而不適宜獨立成罪;同時還應(yīng)當(dāng)對非法利用的行為進行限制，可采取列舉式的立法方式。此外，《解釋》利用列舉式對“情節(jié)嚴(yán)重”的行為進行了列明，但是各類行為的內(nèi)部邏輯上較為混亂，沒有清晰的標(biāo)準(zhǔn)。侵犯個人信息犯罪的行為方式較為復(fù)雜，可以考慮采取“情節(jié)+數(shù)額”的方式給予司法認定一定空間。此外，根據(jù)行為特點進行歸納總結(jié)，以確定“特定類型化行為”[18]的方式可以適用。

四、總結(jié)

在傳統(tǒng)理論中，個人信息屬隱私權(quán)的保護范疇，個人信息屬隱私權(quán)的一種。但是隨著大數(shù)據(jù)時代的深入發(fā)展，個人信息逐步突破隱私的限定，其法律屬性開始轉(zhuǎn)變，個人信息從消極的防御型權(quán)利逐步向以信息自決為核心的動態(tài)權(quán)利轉(zhuǎn)變。因此，刑法在保護個人信息、打擊侵犯個人信息犯罪之時，應(yīng)當(dāng)在規(guī)制模式、保護對象、打擊行為等諸多方面進行完善。這既是個人信息保護的必然要求，也是法治發(fā)展的必然趨勢，更是大數(shù)據(jù)時代信息利用行為合規(guī)化的保障。

參考文獻：

[1]張勇.疫情防控中個人信息的刑法保護[C]//上海市法學(xué)會.《上海法學(xué)研究》集刊（2020年第1卷總第25卷）——疫情防控法治研究.上海：上海市法學(xué)會，2020.

[2]齊愛民.拯救信息社會中的人格：個人信息保護法總論[M].北京：北京大學(xué)出版社，2009：83.

[3]汪東升.個人信息的刑法保護[M].北京：法律出版社， 2019：35.

[4]劉德良.個人信息的財產(chǎn)權(quán)保護[J].法學(xué)研究，2007（3）.

[5]湯擎.試論個人數(shù)據(jù)與相關(guān)的法律關(guān)系[J].華東政法學(xué)院學(xué)報，2000（5）.

[6]謝遠揚.信息論視角下個人信息的價值——兼對隱私權(quán)保護模式的檢討[J].清華法學(xué)，2015（3）.

[7]丁曉東.個人信息私法保護的困境與出路[J].法學(xué)研究， 2018（6）.

[8]張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學(xué)，2015（3）.

[9]劉艷紅.民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權(quán)——以刑民一體化及《民法總則》第111條為視角[J].浙江工商大學(xué)學(xué)報，2019（6）.

[10]曾粵興，高正旭.侵犯公民個人信息罪之法益研究[J].刑法論叢，2018（3）.

[11]于沖.侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界[J].政治與法律，2018（4）.

[12]于志剛.“公民個人信息”的權(quán)利屬性與刑法保護思路[J].浙江社會科學(xué)，2017（10）.

[13]汪明亮.治理侵犯公民個人信息犯罪之刑罰替代措施[J].東方法學(xué)，2019（2）.

[14]葉良芳，應(yīng)家赟.非法獲取公民個人信息罪之“公民個人信息”的教義學(xué)闡釋——以《刑事審判參考》第1009號案例為樣本[J].浙江社會科學(xué)，2016（4）.

[15]劉艷紅.法定犯與罪刑法定原則的堅守[J].中國刑事法雜志，2018（6）.

[16]張憶然.大數(shù)據(jù)時代“個人信息”的權(quán)利變遷與刑法保護的教義學(xué)限縮——以“數(shù)據(jù)財產(chǎn)權(quán)”與“信息自決權(quán)”的二分為視角[J].政治與法律，2020（6）.

[17]洪乾賀，劉仁文.“非法使用公民個人信息”也宜入罪[N].檢察日報，2019-01-31（3）.

[18]李川.個人信息犯罪的規(guī)制困境與對策完善——從大數(shù)據(jù)環(huán)境下濫用信息問題切入[J].中國刑事法雜志，2019（5）.

作者簡介：侯撼岳（1995—），女，漢族，重慶人，單位為北京師范大學(xué)刑事法律科學(xué)研究院，研究方向為國際刑法、反腐敗法。

童謠（1994—），女，漢族，重慶人，單位為北京師范大學(xué)法學(xué)院，研究方向為知識產(chǎn)權(quán)法。

（責(zé)任編輯：朱希良）