鄭朝旭

內(nèi)容提要:在目前的司法實踐中，對公民個人信息的認定同時存在著內(nèi)涵不清與外延不當擴張的缺陷，其根源在于未能充分認識到識別性標準與個人信息權對于判斷公民個人信息所具有的重要作用。理論研究一方面對識別性的識別限度未予以足夠的重視，另一方面則缺失對個人信息權之權利屬性與構造的深入挖掘，以致無法為實務提供理想的操作方案與背書理由。應當在限定識別深度與明確個人信息權之權利內(nèi)涵的基礎上，采取由識別性至個人信息權的雙重檢視路徑，將侵犯公民個人信息罪的適用范圍限制在因非法出售、提供、獲取具備識別性的信息而侵害公民個人信息權的場合。

一、侵犯公民個人信息罪的適用誤區(qū)：識別限度與法益的缺位

因個人信息被不當獲取、濫用、泄露所引發(fā)的侵害公民人身、財產(chǎn)安全的案件，已成為困擾我國社會穩(wěn)定、公民安全的嚴峻問題，且呈現(xiàn)愈演愈烈的態(tài)勢。(1)本文以“刑事案由”為方向、以“侵犯公民個人信息罪”為案由，在中國裁判文書網(wǎng)共搜得9438份判決書。其中，2015年計24份判決書，2016年計398份判決書，2017年計1376份判決書，2018年計2350份判決書，2019年計2748份判決書，2020年計2373份判決書，而2021年，截止到3月18日，已公布了169份判決書。參見https://wenshu.court.gov.cn/website/wenshu/181217BMTKHNT2W0/index.html?pageId=e372b9fd7664d99785f7484ced8ec8e8&s8=02，最后訪問時間：2021年3月18日?！吨腥A人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)的頒行，使得我國在個人信息保護的制度構建上開始告別分散立法模式，(2)參見齊愛民：《拯救信息社會中的人格：個人信息保護法總論》，北京大學出版社2009年版，第177-184頁。保護個人信息的規(guī)范性文件之間各行其是甚至相互矛盾的態(tài)勢在一定程度上得到了扭轉。但《個人信息保護法》所界定的“個人信息”和規(guī)定的信息主體權利，與《中華人民共和國刑法》(以下簡稱《刑法》)第253條之一侵犯公民個人信息罪中的“公民個人信息”及該罪法益內(nèi)涵，存在著語境和規(guī)范目的上的差異，若奉行“拿來主義”對于改善當前的司法現(xiàn)狀可能并無裨益。在當前的司法實踐中，從認定公民個人信息出發(fā)，論證涉案行為構成侵犯公民個人信息罪，依然存在著方法論與基本立場上的缺陷。

案例一：馬某、劉某(均另案處理)雇傭被告人胡某、王某通過駕駛汽車與網(wǎng)絡實時定位等方式對某機關領導所配專用公車進行跟蹤，胡、王二人將目標車輛行駛的路線、停車地點進行記錄，并將相關信息交給馬某、劉某。法院經(jīng)審理認為，胡某、王某構成侵犯公民個人信息罪。(3)參見最高人民法院刑事審判第一、二、三、四、五庭主辦：《刑事審判參考》2014年第4集(總第99集)，法律出版社2015年版，第53-56頁。

案例二：被告人張某等為實施網(wǎng)絡詐騙活動，通過在網(wǎng)上獲取的企業(yè)信息及法定代表人通訊錄，假冒公司負責人要求財務人員將錢款匯入到其指定的銀行賬戶。對檢方所控告之侵犯公民個人信息罪，辯護人辯稱，該案中的公司信息屬于公開信息，不應被認定為公民個人信息。但法院以涉案信息可以被用來識別特定自然人的身份，足以威脅他人人身、財產(chǎn)安全為由，認定張某等構成本罪。(4)參見廣西壯族自治區(qū)賓陽縣人民法院(2018)桂0126刑初486號刑事判決書。

從上述代表性案例的具體論證過程、判決理由來看，當前的判決存在著以下不足之處：其一，雖然“識別性”已成為判斷公民個人信息的標準，但受制于對“識別性”概念及識別深度缺乏具體的闡釋，法院在判決書中并未就涉案信息是否具備識別性或其識別深度進行論證。例如，案例一的核心爭議即在于是否可依據(jù)行蹤軌跡識別出被害人，但法院并未從正面給出行蹤軌跡屬于公民個人信息的理由，而是以行蹤軌跡具有個人專屬性、能夠反映公民的某些個人特征、關乎公民生活安寧等非法收集信息所可能導致的危害后果這一角度來反證行蹤軌跡屬于公民個人信息。(5)參見前引〔3〕,最高人民法院刑事審判第一、二、三、四、五庭主辦書，第55-56頁。其二，公開信息處于任何人皆可獲取的狀態(tài)，并不具有隱私性，收集、編輯公開信息的行為并不違法，(6)根據(jù)《個人信息保護法》第13條第2款的規(guī)定，原則上，處理個人信息需要取得信息主體的同意；但有第13條第1款第2項至第7項所列之情形(基本屬于為履行法定職責、承擔法定義務、維護公共利益以及個人自我決定)的，不需要取得信息主體的同意。其中，只是收集或者編輯已合法公開的個人信息屬于第13條第1款第6項所列之情形。另外，根據(jù)該法第27條，單純的收集、編輯行為也不構成對信息主體的權益有重大影響的行為，不需要取得信息主體的同意。即便在該法頒行之前，單純收集、編輯自行公開的個人信息或者依法公開的個人信息的行為，既沒有違背信息擁有主體的意愿，也沒有利用這樣的信息實施其他違法行為的，不構成對他人信息權利的侵犯。但對于后續(xù)的利用行為是否成立侵犯公民個人信息罪，以案例二為代表的判決既沒有從構成要件的角度論證這些利用行為符合該罪的實行行為之特征，也沒有說明這樣的行為侵犯了本罪的什么法益，而是以該行為對他人的人身、財產(chǎn)安全具有危害性為由，進而認定為本罪。如此模糊處理爭議點、回避問題的操作使得判決結論在教義學上遭遇巨大的質(zhì)疑。其三，上述判決均存在的問題是，沒有將公民個人信息的識別性特征與本罪的法益結合起來，進而導致在判決中要么以相關信息具備識別性從而順理成章地侵犯了本罪的法益為由，認定構成犯罪，要么以被告人利用信息的行為已危害到被害人的人身、財產(chǎn)安全、必定侵害了本罪的法益為由，證明涉案信息具備識別性。但是，識別性本身只是對公民個人信息的判斷，并不能理所當然地代替對本罪法益的判斷；同樣，本罪法益可以涵蓋對犯罪對象、行為方式的解釋，是否侵犯本罪法益，需要在明確法益內(nèi)涵的基礎上，檢驗涉案信息是否屬于公民個人信息。一言以蔽之，識別性與本罪法益之間存在著雙向的互動關系。這是目前司法實踐在論證中最為薄弱的環(huán)節(jié)，也是理論研究亟待深化的方向。

二、公民個人信息的法益：個人信息權的確證

(一)法益之爭與評析

總體來說，關于該罪法益的討論可區(qū)分為非人格權論的立場與人格權論的立場，前者以公民個人信息所蘊含的經(jīng)濟價值或社會秩序為基礎，主張從財產(chǎn)利益、公共安全的視角解讀本罪的法益，后者則以公民個人信息是公民人格權的延伸、侵犯公民個人信息的行為是對人格利益的妨害為總論點。不過，基于非人格權論立場所展開的財產(chǎn)權說、(7)參見劉德良：《論個人信息的財產(chǎn)權保護》，載《法學研究》2007年第3期；湯擎：《試論個人數(shù)據(jù)與相關的法律關系》，載《華東政法學院學報》2005年第5期。公共信息安全說、(8)參見王肅之：《被害人教義學核心原則的發(fā)展——基于侵犯公民個人信息罪的反思》，載《政治與法律》2017年第10期；張勇：《APP個人信息的刑法保護：以知情同意為視角》，載《法學》2020年第8期。新型民事權利說(9)參見劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權——以刑民一體化及〈民法總則〉第111條為視角》，載《浙江工商大學學報》2019年第6期。等，由于存在著與保護個人信息安全、刑法平等保護的價值理念背道而馳、(10)參見王利明：《論個人信息權在人格權法中的地位》，載《蘇州大學學報(哲學社會科學版)》2012年第6期。貶損公民個體的信息安全價值、以經(jīng)驗事實代替規(guī)范判斷、(11)雖然《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)第5條第1款對本罪的成立提出了信息數(shù)量的要求，但這是司法定量的慣性使然，且按照司法解釋的規(guī)定，侵犯一位公民的信息安全達到入罪數(shù)量時，依然構成犯罪，這也是公共信息安全說難以解釋的。與侵犯公民個人信息罪的體系位置相沖突等缺陷，已漸漸退出了該罪法益之爭的視野。因此，立足人格權論的立場形成了隱私權說、信息權說的論爭。

1.隱私權說容易導致本罪適用混亂

該說的特色在于，對公民個人信息的保護最終指向或涵蓋對隱私權的保護。不過，在是否完全以隱私權建構本罪法益這一問題上，有的觀點認為，本罪法益是公民的隱私權，只有體現(xiàn)個人隱私權的那一部分個人信息才屬于刑法保護的對象，(12)參見蔡軍：《侵犯個人信息犯罪立法的理性分析——兼論對該罪立法的反思與展望》，載《現(xiàn)代法學》2010年第4期。且將本罪視為保護隱私權的條款也有助于填補《刑法》缺失公民個人隱私保護條款的漏洞(13)參見王昭武、肖凱：《侵犯公民個人信息犯罪認定中的若干問題》，載《法學》2009年第12期。。另有觀點則在承認本罪的法益是公民的信息權益的同時，又認為隱私權屬于與信息權相并列的權益，進而二者共同構成本罪的法益，其代表性的見解認為，本罪的法益除了公民個人的信息權外，還包括個人隱私不受侵犯的權利。(14)參見周光權：《刑法各論》，中國人民大學出版社2016年版，第71頁(需要說明的是，周光權教授原先認為，侵犯公民個人信息罪在保護公民個人信息權之外，還保護個人隱私。但其在2021年版的《刑法各論》中，一方面將本罪的法益總括為“公民的個人信息自由決定權”，其中既保護公民對個人信息享有自由使用的權利，也保護個人隱私，這基本沿襲了其之前的立場；但另一方面，其還認為，本罪法益具有多重性，除了公民個人的信息自決權外，與個人信息相關聯(lián)的(狹義的)社會管理秩序也是本罪的保護法益。這使得本罪的法益兼具非人格權論與人格權論的色彩，雖然有積極性、全面性地預防與懲治因個人信息侵權問題所引發(fā)的各類犯罪的現(xiàn)實背景與需求，但就觀點本身而言，似乎使得本罪法益出現(xiàn)了超出其保護公民人格權利之內(nèi)容的些許瑕疵，導致本罪法益“不堪重負”。參見周光權：《刑法各論》，中國人民大學出版社2021年版，第78頁)；黎宏：《刑法學各論》，法律出版社2016年版，第269頁；張明楷：《刑法學》(下)，法律出版社2016年版，第921頁。

首先，所謂個人信息，是指可以識別公民身份的信息，而非泛指一切與個人有關的信息，如此一來，所有可以識別個人身份的隱私當被涵蓋在個人信息范圍之內(nèi)，將不具有識別性的隱私也納入本罪的規(guī)制范圍，將使得本罪的適用范圍無限擴張。其次，即便認為《個人信息保護法》第4條第1款規(guī)定的是與公民個人“有關”的信息，且《個人信息保護法》第28條將宗教信仰、行蹤軌跡等更應被納入個人隱私的信息作為個人信息甚至是敏感個人信息而予以特別保護，也難以認為本罪的法益就是隱私權。這是因為，對于涉及侵犯個人隱私的行為，完全可以通過保護個人隱私的民事法律來規(guī)制，而且對于宗教信仰、行蹤軌跡這類不以身份信息為背書的信息，通常都是在已知曉特定個人的情況下才能獲取的信息，這就脫離了識別這一方法的范疇，將其納入敏感個人信息之中，只不過是出于這類信息被非法獲取或利用后可能產(chǎn)生嚴重后果的考慮而非其具有識別性。這樣的外延擴張縱使在《個人信息保護法》中有其最大化保護公民個人信息的必要性，但在以刑罰為懲治手段的《刑法》中，若也通過嚴重后果來反向擴張個人信息的外延，有類推之嫌。況且根據(jù)《個人信息保護法》第73條第4項的規(guī)定，匿名化后的信息是無法識別個人身份且不能復原的信息，那么具備識別性的信息才可被匿名化，而對于一些原本就不具有識別性的信息，將其納入個人信息之中，稍顯矛盾。再次，信息主體積極參與各種活動所導致的信息社會化也使得該說無法涵蓋侵害此類信息的行為，即便是不屬于隱私的信息，若沒有經(jīng)過信息主體的同意，而非法獲取、泄露、使用該信息，則依然成立本罪。最后，個人信息與個人隱私是兩個不同的法律概念，前者關注的是對信息的利用，后者關注的是與人格尊嚴密切相關的私生活秘密是否遭到泄露，由此導致對二者的保護、利用、責任承擔均會存在顯著的差別，(15)參見韓旭至：《個人信息與個人隱私的區(qū)分》，載《網(wǎng)絡法律評論》2016年第2期。故不宜將二者混同。

2.信息權益說存在方法論與前提證立不足的缺陷

該說認為，隨著公民個人信息概念的急劇擴張，其不僅具有人格權的性質(zhì)，還兼具財產(chǎn)權、其他信息相關權利等內(nèi)容，因此，若將公民個人信息的權利屬性局限于純粹的人格權、財產(chǎn)權或隱私權等權利內(nèi)，既不利于充分保護公民個人信息之安全，也不符合法律、司法解釋對公民個人信息范圍的界定。此外，就回應公民個人信息的保護需求與實踐而言，將公民個人信息提升至權利保護的高度，也有其必要性。(16)參見劉艷紅：《侵犯公民個人信息罪法益：個人法益及新型權利之確證》，載《中國刑事法雜志》2019年第5期。

該說的缺陷是：其一，在信息權益的證成方面存在方法論上的不足，刑法作為保障法，其本身并不能也不應創(chuàng)設某種權利與利益，即不能用法益本身來論證法益，否則即是循環(huán)論證；其二，雖然在侵犯公民個人信息安全的場合可能伴隨著對公民人身安全、財產(chǎn)的侵害，但這是犯罪客觀現(xiàn)象，現(xiàn)有的理論與法條都足以對其做到充分評價，且《刑法》將侵犯公民個人信息罪置于侵犯公民人身權利、民主權利罪之中，著眼于對公民人格權利的保護，但該說所確立的信息權益不同于純粹的人格權與財產(chǎn)權，而是介于二者之間，以至要對侵犯公民個人信息罪進行重新定位，將部分行為解讀為“預備行為實行化”，(17)參見于志剛：《“公民個人信息”的權利屬性與刑法保護思路》，載《浙江社會科學》2017年第10期這既與《刑法》存在抵牾，也存在權利屬性曖昧不清的嫌疑；其三，公民對個人信息享有的究竟是民事權利抑或僅僅是受保護的民事利益，這取決于對《中華人民共和國民法典》(以下簡稱《民法典》)第111條(18)《民法典》第111條規(guī)定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”的解釋，民法學界也因此存在權利說(19)參見楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第111條規(guī)定的“個人信息”之解讀》，載《法學論壇》2018年第1期；王成：《個人信息民法保護的模式選擇》，載《中國社會科學》2019年第6期。與利益說(20)參見王利明主編：《中華人民共和國民法總則詳解》(上)，中國法制出版社2017年版，第465頁；葉金強：《〈民法總則〉“民事權利章”的得與失》，載《中外法學》2017年第3期。不過，也有觀點認為，無論是權利說還是利益說，都是試圖以傳統(tǒng)的民事權利話語體系來界定個人信息的保護，難以避免地導致了各種矛盾，而將個人信息控制權認定為一項新型的公法權利或許更加合理。參見周漢華：《個人信息保護的法律定位》，載《法商研究》2020年第3期。之爭，在缺乏對觀點之爭予以充分討論的前提下徑直得出信息權益的結論，缺失了論證的過程與充分的理由；其四，雖然《民法典》將公民個人信息置于第五章“民事權利”中，但并未將其明確規(guī)定為權利，且《民法典》是在具體人格權的規(guī)定(第110條(21)《民法典》第110條規(guī)定：“自然人享有生命權、身體權、健康權、姓名權、肖像權、名譽權、榮譽權、隱私權、婚姻自主權等權利。法人、非法人組織享有名稱權、名譽權和榮譽權?！?之后，身份權、財產(chǎn)權(第112條至第132條)之前，對公民個人信息作出規(guī)定。因此，從體系解釋的角度而言，也有學者認為立法者更傾向于將其作為一項需要保護的人格利益，這也可以從《民法典》第111條的后半句得到印證，因為其是從其他民事主體對自然人的個人信息負有保護義務的角度所作出的規(guī)定。(22)參見程嘯：《民法典編纂視野下的個人信息保護》，載《中國法學》2019年第4期；程嘯：《論我國民法典中個人信息權益的性質(zhì)》，載《政治與法律》2020年第8期。

綜上所述，以人格權為核心主張本罪法益系隱私權或信息權益的各種學說的癥結在于，要么因未厘清個人信息與個人隱私之間的關系，從而陷入看似全面保護個人信息、個人隱私，卻實際上混淆了保護對象與法益之區(qū)分的局面，要么沒能在區(qū)分一般人格權與具體人格權的基礎上論證信息權益為何是一項新型的具體人格權，以致在說理上有所欠缺。

(二)本文觀點：具體人格權視角下的個人信息權

1.具體人格權視角的優(yōu)勢

首先，公民的個人信息不僅是受保護的民事利益，還具備民事權利的內(nèi)涵，有著顯著的民事權利屬性。這具體體現(xiàn)在，第一，姓名、性別、年齡、民族、婚姻、住址、個人信用等個人信息都以自然人的真實存在為前提，且大多通過自然人的社會活動產(chǎn)生，每個自然人都是自身信息的主體，可禁止、排除他人對這些個人信息的非法收集、利用、泄露等行為，歸結起來便是處于對自身信息的絕對控制地位，“對這些個人信息的控制，本身體現(xiàn)的就是一種私益，這是個人信息能夠成為民事權益的根本原因”(23)前引〔10〕,王利明文，第69頁。。第二，個人信息不只有受到侵害后需要保護的一面，還存在著通過積極利用個人信息創(chuàng)造經(jīng)濟價值的一面，因而在利用的過程中，權利人當然可以就利用的限度、方式、價值分配、損害賠償?shù)忍岢鲎约旱囊?，這也是為何理論上將其納入財產(chǎn)權保護的原因所在。事實上，在當前社會中對個人信息的利用已經(jīng)是無可避免且必不可少的，正因如此，才更應在權利觀念的基礎上，追求對其的合理使用，如匿名化處理、中性使用公開信息、基于公共利益的有限使用等。(24)參見劉艷紅：《公共空間運用大規(guī)模監(jiān)控的法理邏輯及限度——基于個人信息有序共享之視角》，載《法學論壇》2020年第2期。此外，相比于民事利益的設定，作為民事權利的個人信息權還存在著抗衡公權力不當利用、給受害人提供充分保護、為其他法律保護奠定基礎、與其他保護機制相銜接和補充等優(yōu)勢。(25)參見前引〔10〕,王利明文。

其次，將公民個人信息的法益定位于民事權利，存在著一般人格權與具體人格權兩條路徑。雖然站在一般人格權的層面建構個人信息權有高屋建瓴之效，但其本身內(nèi)容的模糊性并不利于對本罪構成要件的解釋。一般人格權是相對于具體人格權而言的，具體而言，一般人格權以人格尊嚴、人格平等、人格自由為內(nèi)容，是具有高度概括性和權利集合性特點的權利。(26)參見王利明：《人格權法研究》，中國人民大學出版社2012年版，第147頁。具體人格權則以特定的人格利益為內(nèi)容，具有明確的構成要件與救濟手段。相較而言，一般人格權雖然以保護人的自由發(fā)展為核心價值理念，將人格尊嚴、人格平等、人格自由作為框架，能結合案件的實際情況，通過解釋予以適用，但由于欠缺明確的構成要件，與其認為它是一項權利，不如說它提供了對具體人格權之創(chuàng)造、解釋的價值指引功能。如果將公民個人信息視為一項一般人格權，極易導致在個案裁判中過于依賴裁判者個人的價值取舍與利益衡量，再考慮到在收集、利用公民個人信息的場合常存在著諸如集體法益與個人法益、人格自由與社會防衛(wèi)等沖突，因此必然使得這樣的價值判斷與利益衡量不具有客觀性與合理性。(27)參見楊惟欽：《個人信息權之私權屬性與內(nèi)涵思辨——以實現(xiàn)個人信息權益的合理保護為視角》，載《晉陽學刊》2019年第2期。

最后，以一般人格權作為公民個人信息的權利本質(zhì)，即便肯定其對于保護人格尊嚴、人格平等、人格自由方面具有相比于具體人格權更為寬廣的適用范圍，但這正是該種觀點最為致命之處。具體而言，第一，只有在具體人格權缺位或無法涵蓋相應客體的場合，才考慮以一般人格權的價值理念來彌補具體人格權的有限性。然而，個人信息權以識別性信息為內(nèi)容，由公民自身控制，禁止任何對其的非法收集、利用、泄露，否則需承擔相應的法律責任，就此而言，個人信息權具備明確的構成要件與救濟手段，不存在適用一般人格權填補漏洞的空間。第二，且不論前述的財產(chǎn)權、隱私權、信息權益等觀點周延與否，就保護的路徑而言，論者們均是在財產(chǎn)權、人格權的角度展開己見，這也從側面說明，現(xiàn)有的民事權利類型已足以涵蓋對公民個人信息的保護，只不過存在著因公民個人信息內(nèi)容繁雜、價值多樣而導致的保護取向偏差。第三，公民個人信息這一概念的最大問題在于，缺失對“識別性”的限定導致其外延不斷擴張，若以同樣抽象的一般人格權作為權利本質(zhì)詮釋個人信息權，其結果便是公民個人信息變得更加抽象與不確定，對公民個人信息的認定會陷入“公說公有理，婆說婆有理”的困境。

2.個人信息權的法益構造：信息控制權與信息利用權

作為一項具體人格權，根據(jù)《個人信息保護法》第44條的規(guī)定，個人信息權由知情權與控制權構成，第45條至第50條對控制權的具體權能予以了展開，例如查閱、復制、更正、補充、刪除等。就《刑法》第253條之一而言，其規(guī)制的是非法出售、提供及獲取公民個人信息的行為，因此，本文認為，應當結合該罪的實行行為來理解個人信息權的法益構造。具體而言，包括以下兩個方面：

其一，信息控制權，即權利主體對自我信息的控制與排除他人非法獲取的權利。雖然公民個人信息不是以有體物的形式存在，無法對其進行物理上的占有與支配，但這并不意味著信息主體無法對其進行控制，相反，信息主體的地位使其實現(xiàn)了對公民個人信息的法律控制。這種控制意味著，除了《個人信息保護法》第13條第1款所規(guī)定的例外情形，信息主體的同意或授權是其他組織或個人收集與利用個人信息的必要前提。況且，依據(jù)公共利益所收集的個人信息也僅限于在特定的方面或特定的目的下使用，而不得隨意向任何人透露甚至公開。當然，針對信息主體的同意究竟在多大程度能發(fā)揮其作為合法化事由的效力及是否有必要維持此種知情同意的架構，存在著不少質(zhì)疑。例如，有觀點認為，以同意作為個人信息的保護架構已過時且無益，理由在于許多人并不會認真閱讀關于個人信息的隱私聲明，或為使用產(chǎn)品、服務而被迫同意，抑或?qū)€人信息被收集的事實并不知情，難以及時行使權利進行救濟；(28)參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期。還有觀點認為，同意原則作為犯罪阻卻事由存在著難以求知真實意愿及不確定等缺陷，進而主張在涉及公共利益時以比例原則作為收集、利用公民個人信息的正當性基礎(29)參見江海洋：《論疫情背景下個人信息保護——以比例原則為視角》，載《中國政法大學學報》2020年第4期。。本文認為，公民個人信息可被視為公民人格尊嚴的表征之一，以同意原則作為收集、利用個人信息的合法化事由是對公民人格尊嚴、自由的尊重和保障。盡管在實踐中出現(xiàn)基于防控疫情或社會安定的需要，而未能充分征得公民同意即收集其個人信息的情況，但這不是同意原則本身所引發(fā)的缺陷，而是法律體系完善與執(zhí)法文明的問題。換言之，“法律不能以個人信息用戶行使權利困難為由，虛置或拋棄個人信息知情同意的基本原則”(30)葉名怡：《論個人信息權的基本范疇》，載《清華法學》2018年第5期，第154頁。。因此，解決問題的理想方案并不是否定或者弱化同意作為個人信息保護的合法性與正當性基礎，而是應當通過構建更為精細、清晰的同意規(guī)則來協(xié)調(diào)個人信息保護與利用上的沖突，例如從同意的形式到實質(zhì)加強對同意的審查。(31)參見陸青：《個人信息保護中“同意”規(guī)則的規(guī)范構造》，載《武漢大學學報(哲學社會科學版)》2019年第5期。而且在《個人信息保護法》中，信息主體的同意得到了進一步的強調(diào)，例如該法第15條、第16條即明確了信息主體可拒絕或撤回其所作出的同意，第17條也要求信息處理者必須以顯著方式、清晰易懂的語言真實、準確、完整地向信息主體告知信息處理事項，且針對當前許多并不需要以個人信息作為使用該產(chǎn)品或服務的條件的應用程序，其中的“不同意隱私條款即不可使用本產(chǎn)品或服務”條款違反了該法第16條的規(guī)定。至于以比例原則作為收集、使用公民個人信息的正當化根據(jù)，這在《個人信息保護法》中也得到了確證，但其本身是利益衡量的產(chǎn)物，且也僅適用于維護公共利益的場合，并不是降低同意作為處理個人信息的終極原則之地位的理由。

其二，信息利用權，即信息主體決定是否使用個人信息及如何使用的權利。應當說，從《個人信息保護法》的控制權角度而言，其包含了如何利用個人信息的內(nèi)涵，只不過出于具體化法益的考慮，本文將其中的利用權能予以單獨、特別地解釋。隨著信息時代的發(fā)展，公民個人信息已經(jīng)成為一項具有豐富價值的社會資源，由此催生出基于各種目的的利用方式。根據(jù)《個人信息保護法》第1條的規(guī)定，制定該法的目的之一即在于“促進個人信息合理利用”，同時該法第10條禁止的是非法處理個人信息的行為，而依法利用個人信息的行為受法律保護。既然信息利用權是公民個人所享有的人格權，那么對公民個人信息的利用必須由信息主體決定，這是民事權利的應有之義。公民個人無疑可以在遵守法律的前提下，對本人信息予以利用，包括公開信息、編輯個人信息等；信息主體也可以授權或同意他人基于合法目的將其個人信息運用于商業(yè)、公益等活動，例如，實踐中常見的通信運營商根據(jù)用戶協(xié)議收集用戶個人信息，并將之用于改善用戶體驗等情形。因此，由公民的信息利用權所引申出來的當然結論是，即便公民自行決定公開個人信息，或同意、授權其他組織、個人獲取其個人信息，甚至政府基于公共利益公開公民個人信息，雖然取得公民個人信息的行為并不違法，但若未就利用公民個人信息取得相關權利主體的同意，依然屬于侵權(犯罪)行為。例如，《個人信息保護法》第24條禁止利用個人信息在交易中實施差別化待遇，第26條也規(guī)定出于維護公共安全所收集的個人信息僅限用于維護公共安全的目的，第27條雖然支持合法處理公開信息的情形，但是如果這些處理行為對個人權益有重大影響，也應當另行取得信息主體的同意，而且在該法第29條進一步重申或加強了對信息利用的事先同意。因此，就侵犯公民個人信息罪而言，將收集或編輯后的公開信息予以非法出售、提供的，才屬于本罪之中的非法利用情形。

三、識別性：模式選擇、必要性與限制

《刑法》本身并沒有對“公民個人信息”這一構成要件作出明確的規(guī)定，這導致對“公民個人信息”的認定需要結合相應的前置法來判斷。雖然許多規(guī)范性文件已將“識別性”作為認定公民個人信息的核心標準，但其內(nèi)涵與限度并不明確，以致在司法實踐中對“公民個人信息”的認定相當恣意。此外，還存在著放棄“識別性”標準的見解與規(guī)定，對這些見解與規(guī)定又該如何看待？是否還有必要維持其核心標準的地位？對其限度又該如何限制？

(一)識別模式的選擇

大體上，我國的規(guī)范性文件對公民個人信息的定義模式經(jīng)歷了由混合模式到識別模式的轉變。

1.混合模式。起先，《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》(以下簡稱《決定》)第1條(32)《決定》第1條規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”提出認定公民個人信息的兩個要點，即識別性與隱私性。換言之，能夠識別公民個人身份和暴露公民個人隱私的信息才能被納入公民個人信息的范圍(混合模式)。隨后，緊接著《決定》出臺的《關于依法懲處侵害公民個人信息犯罪活動的通知》(以下簡稱《通知》)第2條(33)《通知》第2條規(guī)定：“……公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民隱私的信息、數(shù)據(jù)資料?！被狙匾u了《決定》判斷公民個人信息的兩項標準，并沒有就“識別性”的概念與范圍作出明確定義，而且《通知》突破了《決定》針對公民個人信息進行保護的立場，將“數(shù)據(jù)資料”也納入公民個人信息的范疇。應當說，單個的、零星的個人數(shù)據(jù)并不成為信息，只有經(jīng)過數(shù)據(jù)處理后，其所蘊含的信息價值才會有所增長，進而可能形成個人信息，由此才能提供可識別性的內(nèi)容。換言之，個人數(shù)據(jù)“可以”但不“必然”是個人信息的形式，個人信息也“可以”但不“必然”是個人數(shù)據(jù)所反映的內(nèi)容。(34)參見周斯佳：《個人數(shù)據(jù)權與個人信息權關系的厘清》，載《華東政法大學學報》2020年第2期；王成：《個人信息民法保護的模式選擇》，載《中國社會科學》2019年第6期。因此，區(qū)分信息內(nèi)容與信息載體的意義，更多在于對犯罪對象的法律識別，對二者的區(qū)分需要根據(jù)較為客觀的技術標準來判斷，而不必考慮信息載體與信息主體之間的聯(lián)系。(35)參見岳林：《超越身份識別標準——從侵犯公民個人信息罪出發(fā)》，載《法律適用》2018年第7期。

2.識別模式。與《決定》《通知》所采取的混合模式不同，《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)第76條第5項、(36)《網(wǎng)絡安全法》第76條第5項規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”《民法典》第1034條第2款(37)《民法典》第1034條第2款規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等?！迸c《解釋》第1條(38)《解釋》第1條規(guī)定：“……(公民個人信息)是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?！蔽磳⒐駛€人信息與個人隱私相并列規(guī)定，而是直接對公民個人信息作了定義，采用“概括+列舉”的方式初步明確了公民個人信息的內(nèi)涵與外延，并將識別性標準細化為單獨識別與結合識別兩種方式。

3.第三條路徑：識別性舍棄論。就《個人信息保護法》第4條第1款相比于前述的規(guī)范性文件針對個人信息的定義而言，存在著極為擴張個人信息外延的一面。雖然《決定》《通知》也將個人隱私納入個人信息的范圍，但卻是通過“識別性”與“隱私性”相并列的方式展現(xiàn)的，最少在表面上保持了二者的區(qū)別，但《個人信息保護法》在判斷某項信息是否屬于個人信息時，只要是“與自然人有關”的各種信息都屬于個人信息，即該信息與自然人“有關”即可，如此一來，即便該條款中存在著“識別”二字，也可以說是放棄了“識別性”的要求。這樣的條文設計雖然在侵權案件中可以大大降低甄別個人信息的難度，為被侵權者提供較為充分的保護，在我國信息侵權形勢較為嚴峻的當下有著巨大的法律價值和實踐意義，但如果對侵犯公民個人信息罪中的“公民個人信息”也作此安排或理解，則無疑使得本罪的適用范圍被無限擴張。例如，按照這樣的理解，偷拍裙底這樣的行為屬于獲取“與已識別的自然人有關的信息”，從而構成本罪。因此，將識別公民身份的信息置換為與自然人相關的個人信息，這導致該概念的適用空間極為巨大，以致刑事法網(wǎng)過于擴張。而且匿名的狀態(tài)是相對的，在大數(shù)據(jù)技術下完全存在著被破解的風險，即匿名化處理后的個人信息依然存在著被再識別的風險，將其排除在個人信息的范圍外，不具有合理性。有鑒于此，本文認為，必須在與識別模式保持一致的前提下，對《個人信息保護法》所規(guī)定的“個人信息”在《刑法》第253條之一的適用中進行目的性限縮，只將其中具備識別性的信息納入規(guī)制范圍。這既避免了規(guī)范上的條文沖突，也給刑事制裁、行政處罰、民事侵權訴訟各自留下了必要的適用空間。所以，第三條路徑在刑事層面上是不應當?shù)玫匠姓J的。

我國關于公民個人信息的定義模式經(jīng)歷了混合模式到識別模式的轉變。但是，這一定義模式只不過解決了認定公民個人信息判斷方向上的問題，就識別的程度或范圍而言，任何規(guī)范性文件都未就“識別性”作進一步解釋或規(guī)范，由此導致司法者在判斷某些信息是否屬于公民個人信息時，需首先定義“識別性”。但就公布的判決書來看，幾乎都未涉及對“識別性”的解釋，僅簡單地以“涉案信息可反映公民的某些特征”等為由徑直得出犯罪成立的結論，故稍顯語焉不詳、論證粗糙。(39)本文以“刑事案由”為方向、以“侵犯公民個人信息罪”為案由，在中國裁判文書網(wǎng)共搜得9438份判決書，再以“識別”為關鍵詞對這些判決書進行篩選，共得934份判決書，即大約僅有9.90%的判決書涉及對身份識別的說理。但深究發(fā)現(xiàn)，其中要么是對立法規(guī)定、司法解釋關于公民個人信息之定義的表述，如江西省興國縣人民法院(2019)贛0732刑初202號刑事判決書，要么只是在闡述某項信息屬于公民個人信息時作為結論性表述使用，如江蘇省蘇州市中級人民法院(2019)蘇05刑終488號刑事判決書。由此，需要進一步回答的問題是，雖然判決回避了對識別性的考察，但從全面保護個人信息的立場出發(fā)，是否需要在公民個人信息中保持“識別性”及如何限定識別深度。

(二)保持“識別性”標準的必要性

識別性是否屬于公民個人信息的題中應有之義？換言之，識別性是判斷公民個人信息的附加性要求，還是其本身即為公民個人信息的本質(zhì)特征。若持前者的觀點，則可能基于擴大公民個人信息認定范圍的立場，否認識別性存在的必要性，也即前文所稱的“識別性舍棄論”。除了《個人信息保護法》第4條第1款所提供的法條根據(jù)外，理論上也存在著這樣的見解。例如，有觀點認為，由于《刑法》并未針對個人隱私設置保護規(guī)范，出于彌補處罰漏洞的需要，應當放棄對公民個人信息附加識別性的要求，還其本來面目，即侵犯公民個人信息罪的法益是個人信息權，此處的個人信息既包括身份信息又包括隱私信息，識別性只是身份信息的必備特征，在隱私信息中則無其存在的余地，如此一來，非法出售、提供、收集隱私信息的行為亦應以侵犯公民個人信息罪論處。(40)參見晉濤：《刑法中個人信息“識別性”的取舍》，載《中國刑事法雜志》2019年第5期。

本文認為，識別性舍棄論的觀點存在著可商榷的余地。其一，公民個人信息不同于與公民個人有關的信息，(41)參見周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021年第3期。前者僅指可以識別公民個人身份的信息，后者則是指一切與公民相關的、反映公民之存在的信息，其范圍極為廣泛，無論是否具備隱私性、是否可以識別個人身份，都可被納入其中，可見將不具備識別性的個人隱私解釋為公民個人信息，并不符合公民個人信息的本意，且有為了論證自身預設的觀點而牽強地解釋法條用語的嫌疑。其二，既認為本罪的法益是公民個人對信息的自我決定權，又進一步舍棄了識別性的標準，則侵犯任何與公民個人相關的信息都屬于侵犯了本罪法益。雖然在擴張本罪處罰范圍的立場上可謂一以貫之，但將諸如不具備識別性的個人隱私等與公民個人相關的信息都納入公民個人信息的范圍，必定導致本罪適用范圍的極度膨脹，從而使得本罪成為一切與個人信息相關之犯罪的兜底條款。其三，個人隱私常常與公民的個人關鍵信息密切相關，且大多包含著有關公民的人身安全、財產(chǎn)安全的信息，明顯應當給予更為嚴格的保護，將其排除在公民個人信息的范圍外，似有立法缺陷之嫌。但是，既然認為個人隱私與個人信息密切相關，那么將可以識別個人身份的個人隱私納入個人信息的范圍內(nèi)，自然不存在解釋上的障礙，且這樣的解釋并非擴大解釋，而是個人信息的應有之義。即便認為個人隱私與個人信息有別，那么基于識別性判斷標準，對于無法識別個人身份，亦無法威脅到人身安全、財產(chǎn)安全的個人隱私而言，其自始至終便不在本罪的保護范圍之內(nèi)，也就談不上立法缺陷。況且就保護公民個人信息的旨趣與保護公民隱私的旨趣而言，二者亦有所區(qū)別：在當前的數(shù)字經(jīng)濟時代，公民個人信息具有巨大的經(jīng)濟價值，因此法律注重的是規(guī)范公民個人信息的收集、利用等行為；而對于隱私而言，法律則關注的是保護此類信息不被非法披露或公開。因此，對公民個人信息的保護不能也不宜采取與傳統(tǒng)隱私權相同的方式，那么對個人信息的界定則應與個人隱私有所區(qū)別。(42)參見田宏杰：《竊取APP里個人信息的性質(zhì)認定——兼及個人信息與個人隱私之界分》，載《人民檢察》2018年第7期。其四，以刑事政策上的處罰必要性來論證對個人隱私的全面保護，也會遭到刑法謙抑性的質(zhì)疑，即在尚未窮盡行政規(guī)制措施與民事救濟手段的情況下，徑直對收集、出售或提供不具備識別性的個人隱私的行為予以刑事處罰，未免操之過急。因此，識別性作為公民個人信息的本質(zhì)特征，仍有其理論意義與實踐價值。

(三)對識別深度的限制

侵犯公民個人信息罪的重點是判斷某項信息是否具備識別性，而就判斷的方法或路徑而言，可從以下兩個方面展開：一是識別，即基于信息來識別特定個人身份；二是關聯(lián)，即在已知特定個人的情況下判斷某項信息是否有助于識別出該人。上述兩種路徑之間并不是互相獨立或毫無關系的，事實上，在一些情形中，通常都需要將兩種路徑結合起來判斷某項信息是否屬于公民個人信息。(43)例如，有觀點認為，關聯(lián)是識別的前提階段，關聯(lián)是可識別的決定因素，即先判斷涉及個人信息的要素是否與信息主體存在關聯(lián)，而后再根據(jù)具體場景判斷是否達到了“可識別”的程度。參見商希雪：《個人信息隱私利益與自決利益的權利實現(xiàn)路徑》，載《法律科學(西北政法大學學報)》2020年第3期。但是，特別需要強調(diào)的是，在利用關聯(lián)方法的場合，不能因為已知特定個人，進而先入為主地將涉案信息認定為公民個人信息，必須站在事前的立場，基于當時的技術條件、行為人的認識能力來判斷這些信息是否有助于識別特定個人身份。

識別性信息包含直接識別(單獨識別)與間接識別(結合識別)兩大類信息。顧名思義，前者是指某項信息單獨即可識別出公民個人身份，如身份證號；后者是指某項信息必須與其他信息結合在一起后方能識別出公民個人身份，如重名是司空見慣的現(xiàn)象，依據(jù)姓名尚不能識別公民個人身份，但若將其與出生年月日、家庭住址、工作單位、職務等信息結合在一起后便能實現(xiàn)對公民身份的識別。在大數(shù)據(jù)時代，能直接(單獨)識別出特定個人的信息自不待言，即便是一些非常邊緣的信息，一旦被結合起來依然可以識別出特定個人，由此導致幾乎所有與個人相關的信息都可以借助“識別性”被納入公民個人信息的范圍，但如此擴張的信息范圍自然面臨著刑事法網(wǎng)過分嚴密的詰難。例如，有觀點指出，間接識別這一方法看似最大限度地保護公民個人信息，但實際上是將公民個人信息置于動態(tài)化和場景化的危險之中，且適用間接識別時還將遭遇以何種知識水平的人為認定標準，以及是否對能用來判斷公民個人信息的資料予以限制的問題。(44)參見齊愛民、張哲：《識別與再識別：個人信息的概念界定與立法選擇》，載《重慶大學學報(社會科學版)》2018年第2期。破解這一困境的最有效路徑便是對“識別性”的深度進行限定。對此，理論上存在以下觀點。一種觀點認為，判斷相關信息是否屬于公民個人信息時，可以從信息的重要程度、需要結合其他信息的程度、行為人主觀目的三個方面考察。(45)參見喻海松：《侵犯公民個人信息罪司法適用探微》，載《中國應用法學》2017年第4期。另一種觀點認為，即便間接(結合)識別類信息可以被用來識別特定個人，但如果其與國家認證身份之間的關聯(lián)異常遙遠，則沒有必要將其納入公民個人信息的范圍。(46)參見岳林：《超越身份識別標準——從侵犯公民個人信息罪出發(fā)》，載《法律適用》2018年第7期。

總體而言，上述觀點都存在值得商榷的余地。第一種觀點的問題在于，各個要素之間并不存在先后位次或內(nèi)在邏輯，以致考慮的要素越多，越會造成要素之間取舍的困難。例如，行為人的主觀目的并非指向識別特定個人，但該信息又很重要，此時，是否應將該信息納入“公民個人信息”的范疇呢？該觀點的初衷是通過考察信息的客觀價值、主觀用途來限定“識別性”的識別深度，但這樣主客觀混雜的方案在現(xiàn)代大數(shù)據(jù)技術的沖擊下，可能無法達到論者所預期的效果。第二種觀點將公民個人信息同國家認證身份結合起來的思路具有啟發(fā)性，但其問題在于如何判斷一項信息與國家認證身份之間的關聯(lián)異常遙遠。

本文認為，對識別深度應做以下幾點限制。其一，公民個人身份信息并不限于國家認證身份，對于一些雖不是由國家賦予但在特定領域內(nèi)具備識別特定個人身份效果的信息，依然具有保護的必要性。例如，學號是每個學校為在該校就讀的學生所編制的號碼，其本身不一定屬于國家認證的身份，也無法單獨識別特定個人，但若將其與學校結合起來，即可確定到特定個人。其二，概念本身的模糊性雖然確實導致公民個人信息的范圍不斷擴張，但必須承認的是，大數(shù)據(jù)技術的進步、信息社會的發(fā)展同樣是造成這一局面的原因。因此，在判斷某項信息是否屬于公民個人信息時，應當考慮行為時的方法、技術是否可以通過該信息識別出特定個人。換言之，識別具有相對性，應當結合行為人的識別能力、技術方法等進行綜合判斷。其三，某項信息與公民身份之間的關聯(lián)是否遙遠，取決于該信息是否包含涉及公民身份的因素。詳言之，對于行為人來說，其最終需要的是可以識別特定個人身份的信息，其他一些信息即便對此有所助益，但若本身無法指向特定個人，則不能被納入公民個人信息的范圍。同樣的，對于司法人員來說，其也需要對涉案的信息進行甄別，從中區(qū)分出哪些屬于公民個人信息、哪些不屬于公民個人信息。例如，病床號、用藥情況雖然可以通過結合姓名、身份證號等精確定位公民個人，但其自身并不包含任何涉及公民身份的因素，至多只是一項輔助判斷的信息。(47)參見喻海松：《侵犯公民個人信息罪的司法適用態(tài)勢與爭議焦點探析》，載《法律適用》2018年第7期。因此，最為重要的問題是，如何將這種輔助信息與公民個人信息區(qū)分開來。本文認為，直接(單獨)識別類信息由于具有較強的識別性，故一般較為穩(wěn)定，能夠清晰地與間接識別類信息、輔助信息區(qū)分開來；但是，間接識別類信息是通過各項信息之間的相互印證來識別出特定個人身份，其與輔助信息之間的界限較為模糊，所以輔助信息與識別類信息的區(qū)分才是重點。輔助信息與間接識別類信息之間最為關鍵的區(qū)別在于是否具有身份指向性。所謂身份指向性，是指某項信息需要以公民的個人信息為背書或需要公民的個人信息為條件產(chǎn)生某項信息，如此一來，輔助信息所包含的信息只不過反映了自然人的活動軌跡或存在，如通話記錄、行動軌跡等。相反，間接識別類信息則可以基于與其他信息(不論是輔助信息還是其余的間接識別類信息)的結合來識別出特定個人的身份，如在現(xiàn)今實名制要求下的微博賬號等。

四、識別性與個人信息權的雙重檢視

就目前的司法實踐而言，對識別性的適用缺乏深刻的認識導致常常出現(xiàn)以行為妨害了公民個人隱私、生活安寧、公共安全等利益來反證涉案信息屬于公民個人信息的論證路徑，或者在確認相關信息屬于公民個人信息的情況下，徑直地得出行為人構成侵犯公民個人信息罪的結論，而并未考慮是否存在法益受到侵害的事實。此外，學界也對識別性與個人信息權在實際案件的適用中的關系沒有給予足夠的關注，難以為司法實務提供成熟、充分的理論指導。本文認為，識別性與個人信息權對判斷相關行為是否構成侵犯公民個人信息罪發(fā)揮著不可替代、相輔相成的作用。就具體的適用而言，需要考慮以下兩個方面：一方面，雖然個人信息權作為本罪的法益，對構成要件的解釋具有方向性的指引作用，但也需要警惕以法益侵害反證客觀行為之危害的傾向，故對侵犯公民個人信息罪的認定而言，不能因為確認相關行為侵犯了本罪法益，便徑直地將所有的涉案信息認定為公民個人信息；另一方面，以識別性為標準確定了涉案信息屬于公民個人信息之后，尚需進一步檢驗相關行為是否侵害了個人信息權，換言之，識別性的價值僅在于判斷某項信息是否屬于公民個人信息，而是否成立侵犯公民個人信息罪尚需在此基礎上進一步結合本罪的其他主客觀要件予以考量。

(一)堅持對“識別性”的優(yōu)先判斷

如前所述，目前實務對將識別性與個人信息權結合起來運用在侵犯公民個人信息罪之證立上的重視不足，且呈現(xiàn)出立場不一、論證粗糙、邏輯混亂的傾向。例如，在案例一中，法院的審判邏輯是，跟蹤車輛、利用工具對手機進行實時定位等行為所獲取的行動軌跡具有個人專屬性，且侵犯了公民的隱私與生活安寧，所以被害人的行動軌跡便屬于公民個人信息。(48)參見前引〔3〕，最高人民法院刑事審判第一、二、三、四、五庭主辦書，第55-56頁。不難看出，法院在審理該案時并沒有從正面定義何為公民個人信息，然后據(jù)此論證行動軌跡是否屬于公民個人信息，而是以行動軌跡反映公民個人的社會活動及一旦暴露會危及公民的生活安寧等危害后果來反證其屬于公民個人信息。且不說是否要以識別性為標準將不具有識別性的個人信息排除在外，這種以“危害結果補充行為不法”的司法操作必然導致任何信息都可以借助危害后果被納入公民個人信息的范圍，由此使得本罪的公民個人信息喪失單獨判斷的意義。此外，雖然存在著像陳明侵犯公民個人信息罪案(49)本案案情為：被告人陳明通過黑客網(wǎng)站下載獲取他人的郵箱賬號和密碼，后通過QQ等渠道多次提供給趙某等人。一審法院判決陳明構成侵犯公民個人信息罪，但陳明以僅憑郵箱賬號和密碼無法識別出特定自然人的身份為由提出上訴。二審法院經(jīng)審理，認為可以根據(jù)郵箱的注冊信息對應使用人的身份情況，甚至可以通過查看郵件知曉使用人的活動情況，故認定郵箱賬號與密碼屬于公民個人信息。參見江蘇省蘇州市中級人民法院(2019)蘇05刑終488號刑事判決書。那樣嘗試從正面認定涉案信息的判例，但遺憾的是，法院并未堅定地貫徹識別性標準，舍棄了對郵箱的賬號和密碼具備可識別性的論證，而是以郵件內(nèi)容可以反映用戶的活動情況來反推郵箱的賬號和密碼屬于公民個人信息，由此導致判決立場模棱兩可、論證思路自相矛盾。既然能夠通過郵箱的賬號和密碼識別出公民個人身份，則完全滿足了識別性的要求，可以確認郵箱的賬號和密碼屬于公民個人信息，且判斷的對象是郵箱的賬號和密碼本身，應圍繞賬號和密碼是否具備識別性展開，而不能以郵件來證成賬號和密碼具有識別性，否則便偏離了判斷的基準。

另一種情況是，在依據(jù)部分涉案信息即可認定犯罪成立的前提下，將全部涉案信息認定為公民個人信息。換言之，以個人信息權遭受侵害為前提代替或舍棄了對全部涉案信息的再次判斷，如通話記錄、行蹤軌跡等信息，其本身難言包含著識別性信息，以犯罪成立為前提將其理所當然地納入犯罪對象的范圍，明顯不當，趙某某侵犯公民個人信息罪案(50)本案案情為：被告人趙某某以非法牟利為目的，通過購買等方式非法獲取行蹤軌跡、車輛信息、征信、通話記錄、住宿信息等各類公民個人信息后，將上述信息出售、提供給他人。參見江蘇省無錫市中級人民法院(2018)蘇02刑終418號刑事判決書。即是適例。該案涉及的公民個人信息種類較多，其中如車輛信息、征信、住宿等信息由于記載有公民的身份信息，故將其納入公民個人信息的范圍并無問題，但對于行蹤軌跡、通話記錄等信息為何具備識別性進而可被納入公民個人信息的范圍，法院在判決中并未言及。由此可見，實踐所暴露出的問題并非可以僅通過強調(diào)貫徹或細化操作標準、補充論證解決的，而是需要審視識別性與個人信息權之間的適用邏輯、互動關系，以二者的雙重驗證解決涉案信息判斷和罪名成立上的反證操作、邏輯矛盾等問題。

只有具備識別性的個人信息才會侵害公民的個人信息權，因此，對任何一起侵犯公民個人信息的案件來說，首先需要判斷的是，涉案信息是否具備識別性。如果從一開始即以行為人主觀上具有侵犯他人個人信息權的故意，且客觀行為對他人的生活、安全產(chǎn)生不良影響等為由，認定行為人所獲取的信息屬于公民個人信息，則幾乎可以在任何案件里得出行為人構成犯罪的結論。認定犯罪成立的合理路徑當是，優(yōu)先判斷客觀上是否存在侵害或危及法益的實行行為，這既有利于規(guī)制故意的認識對象、明確過失的認識能力標準，也有助于避免主客觀混合判斷所導致的主觀歸罪傾向。就侵犯公民個人信息罪的客觀行為判斷而言，主要包括是否存在非法出售、提供、獲取等行為及該行為是否指向公民個人信息兩個方面。

如前所述，對識別性的適用圍繞身份指向性展開，不具備身份指向性的信息充其量只是輔助信息，而僅有輔助信息根本不足以侵害公民的個人信息權，也就應以不存在非法出售、提供、獲取公民個人信息的行為排除犯罪的成立。案例一中行蹤軌跡本身只不過反映了自然人的移動范圍，并不需要以自然人的身份信息作為產(chǎn)生條件，法院之所以將其視為公民個人信息，是因為認為收集行蹤軌跡的人員在事先便已知曉被害人的身份，那么所獲取的行蹤軌跡當然可以對應到該被害人，但這不過是循環(huán)論證。事實上，若是以被害人從工作單位地址到家庭住址的行蹤來證明行動軌跡屬于公民個人信息，則恰恰說明行蹤軌跡本身就不是公民個人信息。理由在于，具備識別性的是被害人的工作單位、家庭住址等信息，若是將這些信息指代成行蹤軌跡，那么行蹤軌跡的內(nèi)涵就并非如法院所認為的那般系指自然人的移動范圍。不過，實踐中也存在著從正面肯定身份指向性進而以識別性認定涉案信息屬于公民個人信息的判例。在楊木侵犯公民個人信息罪案(51)本案案情為：被告人楊木系中國移動通信集團四川有限公司成都分公司員工。某公司負責人李某因公司開展業(yè)務需要，遂與楊木商議以每條0.1元的價格購買移動公司的客戶消費信息(含電話號碼和資費情況)。其后，楊木分多次向李某出售移動客戶信息數(shù)百萬條。一審法院判決楊木犯侵犯公民個人信息罪，但宣判后，楊木及其辯護人以涉案數(shù)據(jù)為電話號碼及相應套餐情況，并不能據(jù)此識別特定自然人身份及反映自然人活動信息，認為本案不應被定性為侵犯公民個人信息罪等為由，提出上訴。二審法院經(jīng)審理認為，涉案信息包含用戶電話號碼及相應資費信息，且根據(jù)公安機關篩選了96000條數(shù)據(jù)并經(jīng)核實后，僅有2084條系非實名制的情況，可以認定本案所涉絕大多數(shù)信息屬于實名制信息，故維持了一審判決對本案系屬侵犯公民個人信息罪之定性。參見四川省成都市中級人民法院(2019)川01刑終211號刑事判決書。中，被告人一方最為重要的上訴理由是，涉案手機號碼及其套餐情況并不以身份信息為產(chǎn)生條件，也就無法識別公民個人身份。二審法院并未以被害人獲利數(shù)額巨大、利用職務便利實施犯罪、出售號碼的行為影響機主的生活安寧等避實就虛的理由回避對涉案手機號碼是否可以識別公民身份的認定，而是首先從正面肯定識別性系判斷公民個人信息的標準，然后通過抽樣鑒定的方法確認該案中的絕大多數(shù)號碼都屬于實名制信息，也即具備身份指向性，進而認定涉案手機號碼屬于公民個人信息。像這樣以識別性為出發(fā)點判斷涉案信息的屬性，而后再據(jù)此論證其他犯罪成立要件的司法邏輯應當?shù)玫阶銐虻闹匾暸c嚴格的貫徹，使涉案信息接受識別性的全面驗證，充分發(fā)揮識別性作為侵犯公民個人信息罪第一道關卡的作用。

(二)犯罪成立的二次檢驗：個人信息權

涉案信息經(jīng)過識別性的檢視而被確認為公民個人信息后，排除犯罪成立的另一道關卡是行為是否侵犯了公民的個人信息權。然而，實踐中頻繁采取的操作卻是在得出涉案信息屬于公民個人信息的結論后，直接繞過或放棄第二道關卡的檢驗，未能進一步考慮是否存在非法出售、提供、獲取等侵犯公民個人信息權的實行行為，從而也就難以確保判決結論合理。例如，在案例二與連福順侵犯公民個人信息罪案(52)本案案情為：被告人連福順為實施詐騙，購買了一個名為“天眼查”軟件的會員，從該軟件上收集姓名及電話號碼等公民個人信息，并將事先編寫好的詐騙短信發(fā)送給機主。案發(fā)后，公安機關從其電腦內(nèi)提取到公民個人信息共計11578條。參見廣西壯族自治區(qū)田林縣人民法院(2019)桂1029刑初43號刑事判決書。中，且不說公司名稱、注冊資本等法人信息難以被視為公民個人信息，即便認為涉案的姓名、電話號碼等信息屬于公民個人信息，也需要考慮涉案信息作為工商登記信息或公開信息，企業(yè)本身有向社會公開的義務或信息主體已自我決定向公眾公開，根據(jù)《個人信息保護法》第27條的規(guī)定，這樣的行為不構成對信息主體權利的侵犯，況且其他公民也可通過相關主管部門的信息公開制度或其他合法渠道獲取。以“天眼查”為代表的企業(yè)信息查詢軟件，其數(shù)據(jù)的主要來源渠道是政府、法院等官方網(wǎng)站，(53)參見“天眼查”官網(wǎng)免責聲明條款，載https://www.tianyancha.com/property/5，最后訪問時間：2021年3月18日。任何人都可以在這些網(wǎng)站上獲取企業(yè)的登記信息，只不過“天眼查”基于其所開發(fā)與應用的數(shù)據(jù)技術，將企業(yè)或某個股東、企業(yè)高層的所有企業(yè)相關信息整合在一起，以便查詢?nèi)耸r省力地直觀了解其所要查詢的企業(yè)或公民個人的企業(yè)信息。由此，通過這些渠道獲取公民個人信息并不違法，所支付的會員費等不過是購買大數(shù)據(jù)集合技術服務的使用費。但這兩起案件的審理法院卻沒有考慮到這一情況，而是以這些信息屬于公民個人信息且被用于實施詐騙犯罪為由認定行為人構成侵犯公民個人信息罪，不得不說在論證上稍顯草率。如果考慮到個人信息權的法益構造，這樣的問題就能得到妥善的解決。

詳言之，本罪規(guī)制的是非法獲取與非法利用公民個人信息的行為，其中，非法利用具體表現(xiàn)為非法提供和非法出售兩種形式。在案例二中，在確認行為人獲取公民個人信息的行為并不違法后，只需要考慮其后利用公民個人信息實施詐騙的行為是否屬于非法提供或非法出售公民個人信息這兩種實行行為。案例二的行為人從一開始就形成了詐騙罪的共犯，在共同獲取涉案信息后便將之用于騙取財物，并未向其他人提供或出售涉案信息，也就不存在非法提供或非法出售公民個人信息等侵犯信息利用權的行為，對行為人等只能論以詐騙罪。因此，基于識別性的標準確認涉案信息屬于公民個人信息之后，個人信息權作為第二道關卡的價值在于判斷獲取、利用公民個人信息的行為是否違背了權利主體的意思自治，從而檢視是否存在非法獲取、非法利用公民個人信息的行為。以前述趙某某侵犯公民個人信息罪案為代表的判例雖然在論證涉案信息屬于公民個人信息上存在些許瑕疵，但該判決既評價了行為人非法獲取公民個人信息的事實，又論證了行為人此后的非法出售等行為，可謂充分考慮了個人信息權的法益構造，依然有值得肯定之處。

任何以識別性、個人信息權相互代替來判斷彼此是否成立，從而論證侵犯公民個人信息罪是否成立的理論方案或?qū)崉詹僮鞅厝辉庥鲞壿嫽靵y、立場顛倒的詰問。將識別性與個人信息權作為兩道關卡檢視侵犯公民個人信息案件的實務操作，并非出于學術上的自我滿足，而是以正確適用罪名、嚴格貫徹邏輯推演、規(guī)范評價為價值取向，呼吁在實踐之中形成從以識別性認定公民個人信息到通過個人信息權驗證客觀危害行為的司法適用邏輯。應當說，如此從客觀行為入手、判斷犯罪是否成立的方案相較于目前的司法實務現(xiàn)狀，有其優(yōu)勢。

五、結 論

綜上所述，可以得出以下幾點結論：

第一，以識別性為標準判斷公民個人信息具有妥當性，仍有必要保留，因此不宜直接采納《個人信息保護法》對個人信息的定義。不過，必須對識別性的識別深度予以限定，既要把握只有以公民的身份信息為背書，才可能被認定為公民個人信息的方向，也要結合現(xiàn)存的技術手段、行為人的認識能力等來具體判斷涉案信息是否可以被用來識別特定個人的身份。

第二，相較于一般人格權視角下的個人信息權，以具體人格權為基礎建構的個人信息權無論是在解釋的明確性上，還是在實務判決的說理上，都存在著明顯的優(yōu)勢。就侵犯公民個人信息罪的具體適用而言，應當重點考察是否存在對信息控制權與信息利用權的侵害。

第三，在涉嫌侵犯公民個人信息的場合，首先必須以識別性為標準判斷涉案信息是否屬于公民個人信息，只有在得出肯定結論的前提下，方可進入下一層面的判斷，即是否存在非法出售、提供、獲得公民個人信息的行為，以及這樣的行為是否侵害了公民的個人信息權。因此，將識別性與個人信息權作為檢視侵犯公民個人信息罪實務操作的兩道關卡，并以此二者作為論證判決的邏輯進路，更有利于合理劃定本罪的適用范圍，在刑法的積極適用與必要謙抑間保持平衡。