劉憲權(quán)

2021年8月20日,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)在第十三屆全國人大常委會第三十次會議被正式表決通過。《個人信息保護法》在第二章第二節(jié)中專門規(guī)定了“敏感個人信息的處理規(guī)則”，以突出對敏感個人信息進行保護。該法第28條第1款規(guī)定，敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。雖然“敏感個人信息”作為一個法律用語是由我國《個人信息保護法》首次提出的，但是“敏感個人信息”這一相關(guān)提法早在2012年就已經(jīng)在有關(guān)部門的規(guī)范性技術(shù)文件中出現(xiàn)。2012年11月由國家質(zhì)量監(jiān)督檢驗檢疫總局(已撤銷)、國家標(biāo)準(zhǔn)化管理委員會聯(lián)合發(fā)布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)中將個人信息分為個人敏感信息和個人一般信息?！吨改稀吠瑫r對個人敏感信息下了定義并列舉了相關(guān)示例。(1)參見《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》第3.7條。其后，2017年頒布的《信息安全技術(shù)個人信息安全規(guī)范》(以下簡稱《規(guī)范》)對個人敏感信息的內(nèi)涵和外延均作了較為確切的界定。(2)參見2017年版《信息安全技術(shù)個人信息安全規(guī)范》第3.2條。在2017年版《規(guī)范》的基礎(chǔ)之上，修訂后的2020年版《規(guī)范》依舊保留了對敏感個人信息的定義，對個人敏感信息的內(nèi)涵和外延作了進一步的豐富。(3)參見2020年版《信息安全技術(shù)個人信息安全規(guī)范》第3.2條。然而，《指南》《規(guī)范》等文件僅是具有指導(dǎo)意義的規(guī)范性技術(shù)文件，并非具有強制性的法律文件，因而這些規(guī)范性技術(shù)文件的位階遠低于法律文件。但是，這些規(guī)范性技術(shù)文件在對敏感個人信息定義方面所作出的“先行先試”的探路，無疑為立法者制定《個人信息保護法》中有關(guān)敏感個人信息的條款提供了重要的參考。在《個人信息保護法》已經(jīng)對敏感個人信息的處理規(guī)則作出明確規(guī)定的情形之下，刑法是否有必要對敏感個人信息進行專門的特殊保護？如有必要，我們應(yīng)如何對刑法進行完善，并確保其不與《個人信息保護法》等前置法產(chǎn)生沖突？本文主要針對上述問題展開討論，以彌補刑法在理論上對于敏感個人信息的研究缺漏，并統(tǒng)一司法實踐對于敏感個人信息的保護思路。

一、敏感個人信息需要刑法的特殊保護

在《個人信息保護法》已經(jīng)明確規(guī)定處理敏感個人信息的規(guī)則這一前提之下，筆者認(rèn)為刑法有必要對敏感個人信息予以特殊的保護，理由如下：

第一，敏感個人信息具有的特性決定了侵犯公民敏感個人信息行為更容易對公民的人格尊嚴(yán)、人身安全和財產(chǎn)安全造成侵害，且侵犯公民敏感個人信息行為的社會危害性要大于侵犯公民一般個人信息行為，因此，刑法有必要加強對敏感個人信息的特殊保護。

分析《個人信息保護法》對敏感個人信息的定義可知，敏感個人信息實際由三部分組成：(1)一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害的個人信息；(2)一旦泄露或者非法使用，容易導(dǎo)致自然人的人身、財產(chǎn)安全受到危害的個人信息；(3)不滿14周歲未成年人的個人信息。筆者認(rèn)為，這三部分的敏感個人信息分別具有以下特性：

上述第一部分的敏感個人信息具有極易誘發(fā)歧視性。例如，敏感個人信息中的宗教信仰信息雖然不必然與公民的人身安全和財產(chǎn)安全發(fā)生聯(lián)系，但是與公民的人格尊嚴(yán)息息相關(guān)。公民是否信仰宗教，信仰何種宗教完全是公民的自由，與公民人格尊嚴(yán)具有極大的關(guān)聯(lián)性。侵犯公民宗教信仰信息的行為，極易誘發(fā)對宗教信仰的歧視和偏見，從而對公民的人格尊嚴(yán)帶來極大的傷害?，F(xiàn)實中也的確存在侵害公民宗教信仰自由，損害公民人格尊嚴(yán)的行為。對此，刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪中就規(guī)定了非法剝奪公民宗教信仰自由罪，以此規(guī)制國家機關(guān)工作人員非法剝奪公民的宗教信仰自由，情節(jié)嚴(yán)重的行為。

上述第二部分的敏感個人信息具有極高人身依附性和極強財產(chǎn)關(guān)聯(lián)性。近年來，敏感個人信息中的生物識別信息受到了社會公眾的廣泛關(guān)注。2019年ZAO換臉事件引發(fā)的熱議，就曾將生物識別信息中人臉信息的法律保護問題推向了輿論的風(fēng)口浪尖。由于部分生物識別信息(尤其是人臉信息)能夠通過攝像頭被“無感”收集，因此，這些信息極易被竊取。同時，隨著大數(shù)據(jù)時代下深度偽造技術(shù)不斷成熟與發(fā)展，又導(dǎo)致人臉信息等生物識別信息極易被濫用。除了非法獲取、出售或者提供公民生物識別信息的行為可能構(gòu)成侵犯公民個人信息罪之外，非法使用公民生物識別信息的行為還可能構(gòu)成侮辱罪或誹謗罪。例如，將公眾人物的人臉信息用于替換淫穢視頻中的人臉信息，并在互聯(lián)網(wǎng)上公開傳播的行為，可能對公民的人格、名譽造成極大的危害。另外，敏感個人信息中的金融賬戶信息涵蓋的內(nèi)容眾多，包括公民的銀行賬戶、存款情況、信貸記錄、交易記錄等與公民財產(chǎn)有著緊密關(guān)聯(lián)的個人信息，一旦這些信息被他人竊取或通過其他手段非法獲取，極可能引發(fā)詐騙或者敲詐勒索等犯罪，從而導(dǎo)致公民的財產(chǎn)遭受重大損失。以前述的生物識別信息為例，生物識別信息相較傳統(tǒng)的數(shù)字信息本身具有更高的便捷性和安全性，因而該信息中的人臉信息、指紋信息等往往會作為一種特殊的“密碼”廣泛地在移動支付領(lǐng)域使用。這就導(dǎo)致生物識別信息與公民的財產(chǎn)之間實際存在著較為密切的聯(lián)系。實踐中就曾出現(xiàn)過行為人冒用他人的人臉盜取他人支付寶賬戶內(nèi)錢財?shù)那闆r，(4)參見：《廬山市法院審理一起利用人臉識別方法盜取他人支付寶賬戶資金案》，http://k.sina.com.cn/article_3177450665_bd640ca902000vxxk.html，2021年10月7日訪問。當(dāng)然，這種竊取他人生物識別信息從而獲取他人第三方支付軟件內(nèi)錢財?shù)男袨榭赡軜?gòu)成信用卡詐騙罪。

上述第三部分敏感個人信息具有兒童特殊性。不滿14周歲的未成年人尚不具備完全的民事行為能力，在對個人信息的處理過程中不具備充分的認(rèn)識能力和控制能力，且沒有足夠的自我保護或保障自己個人信息安全的能力。由此，該類群體的個人信息更容易成為犯罪分子實施犯罪的對象。又由于該類群體身心發(fā)育尚未健全，其個人信息一旦被泄露極可能嚴(yán)重影響身心健康，并對其今后的成長之路埋下巨大隱患。(5)參見蔡一博、吳濤：《利益衡量與場景實踐下的未成年人信息保護研究》，載《青少年犯罪問題》2021年第4期。基于此，《個人信息保護法》規(guī)定，無論不滿14周歲未成年人個人信息是否與人格尊嚴(yán)、人身或財產(chǎn)安全有關(guān)，只要該信息的主體為不滿14周歲的未成年人，一律都屬于敏感個人信息。

需要注意的是，筆者在歸納敏感個人信息所具有的特性時特地使用了“極易、極高、極強”作為修飾程度的形容詞，目的在于進一步體現(xiàn)敏感個人信息的特殊性。應(yīng)該看到，一部分的一般個人信息雖然也具有人身依附性或者財產(chǎn)關(guān)聯(lián)性等特性，但是并不具有極高人身依附性、極強財產(chǎn)關(guān)聯(lián)性，因而侵犯公民一般個人信息行為對公民人身、財產(chǎn)安全造成的侵害有限。通常情況下，侵犯公民一般個人信息行為只可能構(gòu)成侵犯公民個人信息罪，而不可能構(gòu)成其他的犯罪。但是，敏感個人信息尤其與公民的人格尊嚴(yán)、人身和財產(chǎn)安全有著緊密的聯(lián)系。這種尤其緊密的聯(lián)系導(dǎo)致了侵犯公民敏感個人信息行為更容易對公民人身、財產(chǎn)安全造成危害。前文已經(jīng)論述了侵犯公民敏感個人信息行為除了構(gòu)成侵犯公民個人信息罪之外，還極易構(gòu)成侮辱罪、誹謗罪、詐騙罪、敲詐勒索罪等其他具有嚴(yán)重社會危害性的犯罪。這也進一步證實了侵犯公民敏感個人信息行為的社會危害性要遠大于侵犯公民一般個人信息行為。就此而言，筆者認(rèn)為，為了更好地保障公民敏感個人信息的安全，刑法有必要加強對敏感個人信息的特殊保護。

第二，刑法侵犯公民個人信息罪所對應(yīng)的重要前置法是《個人信息保護法》，該法對個人信息進行了分級，并突出了對敏感個人信息的重點保護。為了維持法秩序的整體統(tǒng)一，使刑法與《個人信息保護法》之間的銜接更加順暢，我們在修訂侵犯公民個人信息罪時有必要參考和吸收《個人信息保護法》的相關(guān)規(guī)定。

分析我國刑法規(guī)定，我們不難發(fā)現(xiàn)，刑法主要通過設(shè)立侵犯公民個人信息罪對侵犯個人信息行為加以規(guī)制。侵犯公民個人信息罪中一個重要的構(gòu)成要件是“違反國家有關(guān)規(guī)定”，據(jù)此，侵犯公民個人信息犯罪行為的認(rèn)定需要結(jié)合相關(guān)前置法的有關(guān)規(guī)范予以綜合考量。在法秩序統(tǒng)一的視角下，侵犯公民個人信息行為刑事違法性的判斷理應(yīng)從屬于民事違法性和行政違法性的判斷。如果相關(guān)行為不具有民事違法性或行政違法性，則該行為就肯定不具有刑事違法性。由于《個人信息保護法》細(xì)化了《民法典》、《網(wǎng)絡(luò)安全法》等法律和行政法規(guī)對個人信息保護的內(nèi)容，并且較為系統(tǒng)地提出了個人信息處理的基本規(guī)則，因而在認(rèn)定侵犯公民個人信息違法行為和犯罪行為時，《個人信息保護法》規(guī)定的內(nèi)容無疑是一個重要的參考標(biāo)準(zhǔn)。

《個人信息保護法》將個人信息分為敏感個人信息和一般個人信息，并在第二章“個人信息處理規(guī)則”中專門設(shè)置一節(jié)內(nèi)容對敏感個人信息的處理規(guī)則作出特別規(guī)定。(6)例如，處理敏感個人信息必須具有特定目的和充分必要性(第28條第2款);處理敏感個人信息必須取得信息主體單獨同意或書面同意(第29條);敏感個人信息的處理者須履行更嚴(yán)格的告知義務(wù)(第30條);處理不滿14周歲未成年人的個人信息必須取得其父母或其他監(jiān)護人的同意，且需制定專門規(guī)則(第31條);處理敏感個人信息應(yīng)當(dāng)遵從其他法律、行政法規(guī)中的特殊限制等(第32條)。由此，我們可以看到，《個人信息保護法》對個人信息處理者處理敏感個人信息的流程作出了嚴(yán)格規(guī)范，并且強調(diào)了敏感個人信息需要被特殊保護。需要注意的是，刑法雖然已經(jīng)有相關(guān)條文(即侵犯公民個人信息罪)對個人信息予以保護，但并沒有突出對敏感個人信息的重點保護。而依筆者之見，對于敏感個人信息的保護，刑法理應(yīng)作出專門規(guī)定。因為立法者設(shè)定侵犯公民個人信息罪的立法目的在于規(guī)制社會危害性嚴(yán)重的侵犯公民個人信息行為。正如前述，不同類型的個人信息與公民人身、財產(chǎn)權(quán)聯(lián)系的緊密程度不完全相同，因此侵犯不同類型個人信息行為的社會危害性顯然會有很大不同。為了實現(xiàn)罪責(zé)刑的一致，突出強調(diào)刑法對該類個人信息的重點保護，將與人格尊嚴(yán)、人身權(quán)、財產(chǎn)權(quán)緊密相關(guān)的一部分個人信息在刑法上予以單獨歸類，是很有必要的。就此而言，筆者認(rèn)為，我們完全有必要在刑法中對“敏感個人信息”的保護作出明確規(guī)定，并且在對侵犯公民個人信息違法行為中個人信息分級處理機制上保持與前置法規(guī)的一致，進而構(gòu)建較為系統(tǒng)的敏感個人信息特殊保護的法律體系。

二、刑法對敏感個人信息特殊保護切實可行

需要指出的是，我國刑法中沒有直接出現(xiàn)“敏感個人信息”的用語，但部分條文中涉及個人信息的內(nèi)容與《個人信息保護法》所規(guī)定的敏感個人信息的范疇存在重疊。例如，刑法第177條之一第2款規(guī)定的竊取、收買、非法提供信用卡信息罪，涉及到了敏感個人信息中的信用卡信息。又如，刑法第280條第3款規(guī)定的偽造、變造、買賣身份證件罪，第280條之一規(guī)定的使用虛假身份證件、盜用身份證件罪，第280條之二規(guī)定的冒名頂替罪，這些條文均涉及到了敏感個人信息中的特定身份信息。其實，這些犯罪都屬于侵犯公民敏感個人信息類的犯罪，但是這些犯罪因侵犯法益的側(cè)重點不同而被分散規(guī)定在刑法分則第三章、第六章。例如，竊取、收買、非法提供信用卡信息罪侵害的法益主要是信用卡的管理秩序和信用卡持卡人的財產(chǎn)權(quán)益；偽造、變造、買賣身份證件罪、使用虛假身份證件、盜用身份證件罪和冒名頂替罪侵害的法益主要是社會管理秩序。(7)參見劉憲權(quán)：《網(wǎng)絡(luò)支付環(huán)境下涉信用卡犯罪對象新解》，載《法律科學(xué)》2021年第4期。盡管刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪這一章節(jié)中以侵犯公民個人信息罪規(guī)制侵犯公民個人信息，情節(jié)嚴(yán)重的行為，但是該罪的刑法條文表述中仍然沒有直接出現(xiàn)“敏感個人信息”這一用語，當(dāng)然我們也很難從條文的規(guī)定中分析出敏感個人信息刑法特殊保護的內(nèi)容。由此不難看出，刑法在保護公民敏感個人信息時出發(fā)點主要是為了維護社會主義市場經(jīng)濟秩序，或者社會管理秩序，而不是基于保障公民個人信息安全。這多少反映出我國刑法對于公民敏感個人信息保護并沒有持特別關(guān)注和突出保護的態(tài)度。

由此可知，我國刑法雖然有部分條文涉及到了敏感個人信息的相關(guān)內(nèi)容，但是保護的側(cè)重點并不在于公民敏感個人信息的安全。也正是因為刑法沒有突出對公民敏感個人信息的特殊保護，甚至不曾出現(xiàn)“敏感個人信息”這一用語，所以容易使人們產(chǎn)生一種錯覺，刑法似乎將敏感個人信息與一般個人信息不加區(qū)別且等同對待，也即刑法對公民敏感個人信息的保護力度與對公民一般個人信息的保護力度是相等的。

2017年5月8日，最高人民法院、最高人民檢察院聯(lián)合頒行的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)，對于如何理解與適用刑法第253條之一規(guī)定的侵犯公民個人信息罪作出了較為具體的規(guī)定。應(yīng)該看到，盡管“公民個人信息”的概念在《解釋》中予以了明確的界定，卻未曾對“敏感個人信息”下定義。但是，《解釋》在對公民個人信息的分級中又列舉了較多與《個人信息保護法》中敏感個人信息相關(guān)的具體內(nèi)容。例如，《解釋》第5條所提及的行蹤軌跡信息、財產(chǎn)信息等，與《個人信息保護法》中列舉的具體敏感個人信息的內(nèi)容基本吻合。但筆者在比較《解釋》和《個人信息保護法》中的有關(guān)規(guī)定后發(fā)現(xiàn)，兩者規(guī)定之間仍存在較多的不一致內(nèi)容：

第一，在個人信息的分級方面，《解釋》與《個人信息保護法》規(guī)定完全不同。《解釋》第5條第1款第3、4、5項規(guī)定對公民個人信息進行了分級。其中，第3、4項中所提及的個人信息都屬于《個人信息保護法》中的敏感個人信息。(8)《解釋》第5條第1款第3項規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息50條以上的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”；該條該款第4項規(guī)定，非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息500條以上的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”；該條該款第5項規(guī)定，非法獲取、出售或者提供第3項、第4項規(guī)定以外的公民個人信息5000條以上的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”。就此而言，我們完全有理由認(rèn)為，《解釋》將敏感個人信息劃分為了“行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息”一檔和“住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息”一檔。侵犯不同級別的敏感個人信息，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)也不相同。《解釋》認(rèn)為，對于侵犯第3項規(guī)定的敏感個人信息，信息數(shù)量達到50條即可構(gòu)成侵犯公民個人信息罪，而對于第4項規(guī)定的敏感個人信息，信息數(shù)量必須達到500條才能構(gòu)成該罪。由此可知，《解釋》對于不同級別的敏感個人信息，保護的力度不完全一致。與《解釋》分級規(guī)定形成對比的是，《個人信息保護法》并沒有對敏感個人信息作出分級規(guī)定。換言之，在《個人信息保護法》中不區(qū)分敏感個人信息的級別，且所有的敏感個人信息均被予以相同力度的保護。

第二，在對生物識別信息和不滿14周歲未成年人的個人信息的保護方面，《解釋》與《個人信息保護法》規(guī)定之間存在區(qū)別?！督忉尅返?條第1款第3、4項在列舉個人信息時并沒有明確提及生物識別信息和不滿14周歲未成年人的個人信息，這就導(dǎo)致了在認(rèn)定侵犯上述兩種公民個人信息的行為是否構(gòu)成“情節(jié)嚴(yán)重”時容易產(chǎn)生分歧意見。(9)參見歐陽本祺、王兆利：《涉人臉識別行為刑法適用的邊界》，載《人民檢察》2021年第13期。李懷盛：《濫用個人生物識別信息的刑事制裁思路——以人工智能“深度偽造”為例》，載《政法論壇》2020年第4期。在筆者看來，對于侵犯公民生物識別信息和侵犯不滿14周歲未成年人的個人信息的行為，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)都應(yīng)該為“50條以上”。換言之，《解釋》對生物識別信息和不滿14周歲未成年人的個人信息的保護力度應(yīng)該與對行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息的保護力度持平。原因在于：生物識別信息和不滿14周歲未成年人的個人信息的重要性與行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息相當(dāng)。生物識別信息和不滿14周歲未成年人的個人信息不僅與公民的人格尊嚴(yán)、人身安全相關(guān)，還與公民的財產(chǎn)安全存在密切聯(lián)系。如前所述，生物識別信息是反映自然人獨有的生理特征和行為特征的生理信息。因而，生物識別信息與公民的人格尊嚴(yán)、人身有著緊密的關(guān)聯(lián)。另外，由于生物識別信息被作為一種特殊的“密碼”在移動支付領(lǐng)域廣泛使用，這就使得生物識別信息與公民的財產(chǎn)出現(xiàn)了交集。由此可知，侵犯公民生物識別信息的行為不僅可能對公民人格尊嚴(yán)和人身安全造成侵害，也可能對公民財產(chǎn)安全造成損害。就不滿14周歲未成年人的個人信息進行分析，我們也同樣可以看到其信息內(nèi)容的重要性。由于該類信息的主體沒有足夠的認(rèn)識能力和控制能力，也缺乏自我保護的能力，所以涉該類主體的個人信息更容易被侵犯。加強對不滿14周歲未成年人個人信息的特殊保護，顯然也應(yīng)該成為《解釋》規(guī)定的應(yīng)有內(nèi)容。綜上，筆者認(rèn)為，生物識別信息和不滿14周歲未成年人的個人信息應(yīng)歸入《解釋》第5條第1款第3項規(guī)定中，但由于該項規(guī)定在列舉行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息后并沒有使用“等”字，導(dǎo)致司法實踐不能將這一標(biāo)準(zhǔn)擴大適用到同樣重要而《解釋》卻未提及的其他類型個人信息中。這一情況多少反映了《解釋》對生物識別信息和不滿14周歲未成年人的個人信息未予以特別關(guān)注，也并沒有強調(diào)特殊保護的立場。

相比之下，《個人信息保護法》在敏感個人信息的定義下提及了生物識別信息，且為了突出對該信息的特殊保護將其確立在該法所列舉的眾多敏感個人信息中的首位。需要特別指出的是，《個人信息保護法》在敏感個人信息的規(guī)定中還提及了不滿14周歲未成年人的個人信息，并將該信息單獨作為一種類型加以特別列舉。如此規(guī)定帶來的優(yōu)勢即在于，無論不滿14周歲未成年人的個人信息是否會因為泄露或者非法使用，從而導(dǎo)致不滿14周歲未成年人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害，只要是不滿14周歲未成年人的個人信息，在《個人信息保護法》中一律被認(rèn)定為是敏感個人信息。另外，《個人信息保護法》還在第31條明確規(guī)定敏感個人信息的處理者在處理不滿14周歲未成年人的個人信息時應(yīng)當(dāng)履行的特定義務(wù)，從而在一定程度上解決了未成年人個人信息處理者的義務(wù)邊界模糊的問題。(10)參見張繼紅、尹菡：《數(shù)字時代未成年人個人信息的法律保護》，載《青少年犯罪問題》2021年第2期?？梢?，與《個人信息保護法》突出對生物識別信息特殊保護一樣，該法對不滿14周歲未成年人的個人信息的保護也是較為全面的且保護力度也是相對較強的。

第三，在有關(guān)敏感個人信息相關(guān)內(nèi)容的規(guī)定方式上，《解釋》與《個人信息保護法》規(guī)定之間存在差異。具體而言，《解釋》第5條第1款第3項采用的是“列舉”的方式，第4項采用的是“列舉+概括”的方式。筆者認(rèn)為，上述規(guī)定的方式存在一定的缺陷?！督忉尅吩摋l該款第3項采用單純列舉的方式，實際上導(dǎo)致了該項規(guī)定不可能窮盡所有類型的“敏感個人信息”。雖然是出于條文簡潔性的需要，該項規(guī)定中僅列舉了四種類型的“敏感個人信息”，但是正如筆者前文所述，對于應(yīng)納入該項規(guī)定的生物識別信息和不滿14周歲未成年人的個人信息，《解釋》卻未將這兩種類型的“敏感個人信息”納入該項規(guī)定中。這應(yīng)該是單純列舉方式所導(dǎo)致該項規(guī)定存在一定不合理性的原因。《解釋》該條該款第4項采用“列舉+概括”的方式，看似能夠涵蓋更多的敏感個人信息，但實際存在一定的問題。因為按照常理，對于某一類事物的定義需要先概括出該類事物所具有的共同特征，之后為方便實際操作，進而對該類事物所包含的典型示例再進行列舉。換言之，“概括+列舉”才符合正常的邏輯展開。而《解釋》該條該款第4項所采用的“列舉+概括”的方式明顯與正常的邏輯相悖，極易給人造成一種錯覺，那就是《解釋》原本僅打算列舉一部分的敏感個人信息，但又擔(dān)心所列舉的敏感個人信息不夠全面，因而借助于將“概括”規(guī)定在后的方式，從而起到對前述敏感個人信息“補強”的作用。同樣是對敏感個人信息作出定義，《個人信息保護法》采用的是“概括+列舉”的方式，即先歸納出敏感個人信息的特征，再詳細(xì)羅列部分典型的敏感個人信息。毋庸置疑，在有關(guān)敏感個人信息相關(guān)內(nèi)容的規(guī)定方式上，《個人信息保護法》明顯更加科學(xué)、合理，符合正常的邏輯展開。

綜上所述，《解釋》雖沒有明確提及“敏感個人信息”這一用語，但是與敏感個人信息相關(guān)的內(nèi)容確實存在于部分條文中。時下，盡管對敏感個人信息保護的雛形在《解釋》中已有確立，但是，由于《解釋》與《個人信息保護法》規(guī)定之間仍存在較大的區(qū)別，導(dǎo)致了《解釋》對敏感個人信息的刑法特殊保護無法得到充分的貫徹與體現(xiàn)。就此而言，筆者認(rèn)為，在《個人信息保護法》已經(jīng)頒行的當(dāng)下，我們當(dāng)務(wù)之急是調(diào)整《解釋》與《個人信息保護法》規(guī)定不一致的內(nèi)容，將《個人信息保護法》對敏感個人信息特殊保護的內(nèi)容較為完整地融入《解釋》的條文中，從而突出并強化刑法對敏感個人信息的特殊保護。

三、刑法對敏感個人信息特殊保護的路徑

筆者認(rèn)為，加強對敏感個人信息的刑法特殊保護，可能存在兩條不同的路徑：其中一條路徑是，在刑法中增設(shè)一個全新的罪名——“侵犯公民敏感個人信息罪”，以規(guī)制侵犯公民敏感個人信息，情節(jié)嚴(yán)重的行為。也即可以將侵犯公民敏感個人信息罪增設(shè)為刑法第253條之二，使第253條之一的侵犯公民個人信息罪僅規(guī)制侵犯公民一般個人信息行為。這樣可以較為直接地反映出刑法對不同類型的個人信息保護力度的不同。另一條路徑是，調(diào)整侵犯公民個人信息罪的現(xiàn)行刑法條文，也即將敏感個人信息的相關(guān)內(nèi)容明文增加到刑法有關(guān)侵犯公民個人信息罪的原規(guī)定中。例如，我們可以增設(shè)一款刑法條文規(guī)定刑法侵犯公民個人信息罪中的“公民個人信息”包含公民一般個人信息和公民敏感個人信息，從而突出強調(diào)刑法對敏感個人信息的關(guān)注。而關(guān)于敏感個人信息特殊保護的具體標(biāo)準(zhǔn)，則由刑法司法解釋予以細(xì)化。

對于上述有關(guān)增設(shè)新罪抑或調(diào)整侵犯公民個人信息罪的規(guī)定的兩條不同路徑的選擇，筆者傾向于選擇后者，理由在于：《個人信息保護法》和刑法對個人信息保護的出發(fā)點不同。我們不能因為《個人信息保護法》對敏感個人信息的處理規(guī)則單獨設(shè)置了一節(jié)內(nèi)容，就當(dāng)然地認(rèn)為刑法也必須相應(yīng)地增設(shè)一個新的罪名。相比增設(shè)一個新的罪名，調(diào)整現(xiàn)有罪名中的內(nèi)容，同樣能夠反映立法者對敏感個人信息的重視。就此而言，擇優(yōu)選擇調(diào)整現(xiàn)有侵犯公民個人信息罪不失為一條比較妥當(dāng)?shù)穆窂健?/p>

在筆者看來，《個人信息保護法》單獨設(shè)置一節(jié)內(nèi)容規(guī)定敏感個人信息的處理規(guī)則，是為了強調(diào)敏感個人信息的處理者相較一般個人信息的處理者需要履行更多的義務(wù)，從而提醒敏感個人信息的處理者在處理敏感個人信息時要尤其謹(jǐn)慎。如果《個人信息保護法》不單獨對敏感個人信息的處理規(guī)則設(shè)立一節(jié)內(nèi)容，而是將敏感個人信息的處理規(guī)則與一般個人信息的處理規(guī)則混同在一起，無法重點突出敏感個人信息處理規(guī)則的特殊性，《個人信息保護法》重點保護敏感個人信息的立法原意也就無法被凸顯。

相比之下，刑法對個人信息保護的出發(fā)點并非在于要求個人信息的處理者履行更多的義務(wù)，而是為了打擊犯罪，規(guī)制嚴(yán)重侵害公民個人信息安全的犯罪行為。盡管敏感個人信息在信息敏感程度上遠遠高于一般個人信息，但從行為角度來看，無論是侵犯公民一般個人信息行為，還是侵犯公民敏感個人信息行為，這兩種行為在表現(xiàn)方式上是一致的。由于侵犯公民敏感個人信息行為和侵犯公民一般個人信息行為侵害的法益基本相同，因而，我們沒有必要將敏感個人信息從個人信息的概念之中分離出來，并專門為侵犯公民敏感個人信息行為單獨設(shè)立一個新罪名。有學(xué)者也指出，刑法是法益保護法，有無值得刑法保護的法益，是刑事立法上增設(shè)新罪的前提。(11)參見姜濤：《基因編輯之刑法規(guī)制及其限度》，載《東方法學(xué)》2021年第2期。筆者認(rèn)為，《個人信息保護法》強調(diào)敏感個人信息的處理者應(yīng)履行更多義務(wù)，從而單獨設(shè)置一節(jié)內(nèi)容規(guī)定敏感個人信息的處理規(guī)則的這一緣由，不足以成為支撐刑法專門增設(shè)新罪的理由。凸顯對敏感個人信息的刑法保護并不僅有增設(shè)新罪名這一條途徑，我們完全可以從現(xiàn)有罪名入手，調(diào)整侵犯公民個人信息罪中的部分規(guī)定，將與敏感個人信息有關(guān)的內(nèi)容充實進侵犯公民個人信息罪的法條規(guī)定中，以體現(xiàn)立法者重視與關(guān)注敏感個人信息的刑法特殊保護。

具體而言，侵犯公民個人信息罪中使用的是“公民個人信息”這一較為籠統(tǒng)的表述，如果刑法規(guī)定要在這一罪名中突出敏感個人信息，只能通過明確該罪中的“公民個人信息”包含“公民一般個人信息”和“公民敏感個人信息”的立法方式才能做到。因而，筆者建議在該罪中增設(shè)第5款規(guī)定，即“公民個人信息包含公民一般個人信息和公民敏感個人信息?！边@樣看似只是簡單地增設(shè)一款規(guī)定，但實際上能夠起碼帶來三點好處：一是可以維持現(xiàn)有侵犯公民個人信息罪第1至4款條文的穩(wěn)定性；二是可以證明立法者已經(jīng)關(guān)注到敏感個人信息刑法特殊保護的問題；三是可以與刑法司法解釋中與敏感個人信息相關(guān)的規(guī)定形成有效的銜接，能夠為刑法司法解釋的修訂提供依據(jù)與支撐。

在《解釋》已經(jīng)出現(xiàn)有關(guān)敏感個人信息規(guī)定之雛形的前提之下，該如何進一步凸顯《解釋》對敏感個人信息的特殊保護。為此，筆者有以下幾點建議：

1.建議取消敏感個人信息的分級。

筆者之所以建議取消敏感個人信息的分級，主要出于兩方面的考慮：

首先，對于同一行為中涉及不同類型的敏感個人信息的保護力度不應(yīng)該存在差異。應(yīng)該看到，對于他人利用公民個人信息實施犯罪的行為，《解釋》實際上存在保護力度上的差異。例如，《解釋》第5條第1款第1項與該條該款第2項都是關(guān)于他人利用公民個人信息實施犯罪行為的規(guī)定。區(qū)別在于第1項中的對象僅限定在行蹤軌跡信息，并且不需要行為人知道或應(yīng)當(dāng)知道他人利用行蹤軌跡信息實施犯罪，而第2項中的對象包含了除行蹤軌跡信息之外的所有個人信息，并且要求行為人必須知道或應(yīng)當(dāng)知道他人利用個人信息實施犯罪。(12)《解釋》第5條第1款第1項規(guī)定，出售或者提供行蹤軌跡信息，被他人用于犯罪的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”；該條該款第2項規(guī)定，知道或者應(yīng)當(dāng)知道他人利用公民個人信息實施犯罪，向其出售或者提供的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”。依筆者之見，第2項規(guī)定實際上比第1項規(guī)定提高了證明要求，即對于出售或者提供行蹤軌跡信息之外的其他類型的敏感個人信息行為構(gòu)成犯罪的要求更高，必須證明行為人對于他人利用這些個人信息實施犯罪的情況是明知的。但事實上，這種證明要求的提高反而不利于對除行蹤軌跡信息之外的其他敏感個人信息的保護。因為除行蹤軌跡信息之外其他類型的敏感個人信息也同樣可以被他人用于犯罪，行為人出售或者提供這些敏感個人信息給他人時，可能完全不知他人會用于犯罪。其實所有類型的敏感個人信息都存在被犯罪分子用于犯罪的可能性，就行蹤軌跡信息與其他類型敏感個人信息被他人用于犯罪而言，并無很大的差別?！督忉尅穼π雄欆壽E信息與其他類型敏感個人信息予以有差別的保護，似乎缺乏充足依據(jù)支撐。對于非法獲取、出售或者提供個人信息的行為，《解釋》同樣存在保護力度上的差異。同樣以《解釋》第5條第1款第3項和該條該款第4項為例，在認(rèn)定信息的數(shù)量標(biāo)準(zhǔn)上后者是前者的10倍。由于第3項、第4項規(guī)定的這些信息都屬于《個人信息保護法》規(guī)定的敏感個人信息的范疇，而《解釋》卻作了分級保護規(guī)定，即對第3項規(guī)定的敏感個人信息的保護力度明顯大于第4項規(guī)定的敏感個人信息。《解釋》作此規(guī)定可能是基于這樣考慮：第3項規(guī)定的個人信息對公民的人身和財產(chǎn)安全最為重要，在數(shù)量上只要達到50條即可構(gòu)成侵犯公民個人信息罪；而第4項規(guī)定的個人信息在重要程度上則略低于第3項中所規(guī)定的四種個人信息。但是，由于第4項規(guī)定的這些信息又與公民人身、財產(chǎn)安全直接相關(guān)，所以在數(shù)量上可以相對放寬，達到500條才能構(gòu)成侵犯公民個人信息罪。(13)參見缐杰、宋丹：《〈關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉理解與適用》，載《人民檢察》2017年第16期。然而，筆者認(rèn)為，《解釋》以信息重要性的不同作為劃分第5條第1款第3項與第4項的理由，似乎欠缺說服力。因為敏感個人信息的重要性實際上會隨著場景的不同而發(fā)生變化。在某些場景下，第3項規(guī)定的個人信息的重要性可能會略高于第4項規(guī)定的個人信息，但在另一些場景下，則完全可能出現(xiàn)相反的情況。例如，就殺人犯罪而言，第3項規(guī)定的行蹤軌跡信息的重要性高于第4項規(guī)定的交易信息。因為行為人在非法獲取他人的行蹤軌跡信息后，更容易精準(zhǔn)定位到他人的具體位置，較方便實施后續(xù)的殺人行為。就竊取他人信用卡信息資料犯罪而言，行蹤軌跡信息的重要性卻不及交易信息。因為即便行為人非法獲取了他人的行蹤軌跡信息，由于該信息與他人的信用卡信息資料之間并無直接的關(guān)聯(lián)，因而非法獲取他人的行蹤軌跡信息對行為人達到竊取他人信用卡信息資料的最終目的沒有很大的幫助。而如果行為人非法獲取了他人的交易信息，則更容易達到竊取他人信用卡信息資料的最終目的。因為在大數(shù)據(jù)時代，大部分交易都是通過第三方支付平臺得以實現(xiàn)，而依托于第三方支付平臺的交易必須以信用卡信息資料為媒介，行為人非法獲取他人的交易信息后就很容易“順藤摸瓜”獲取他人的信用卡信息資料?？梢姡诓煌姆缸镏?，敏感個人信息的重要性并不是完全確定的。所以，我們很難對不同的敏感個人信息進行比較并做出重要性高低的絕對判斷。就此而言，我們再以所謂重要性高低為標(biāo)準(zhǔn)對敏感個人信息進行分級似乎就很不合理。況且，第3項規(guī)定的信息與第4項規(guī)定的信息之間存在交叉、重合的問題。例如，疫情防控下人們使用的“健康碼”既能作為健康生理信息反映特定自然人的身體健康狀況，同時又能作為行蹤軌跡信息反映特定自然人的行程情況。由此就產(chǎn)生了應(yīng)將“健康碼”歸類于第3項還是第4項的困惑。另外，有學(xué)者還指出，第3項規(guī)定的財產(chǎn)信息與第4項規(guī)定的交易信息難以辨明，存在重合的問題。(14)參見周光權(quán)：《侵犯公民個人信息罪的行為對象》，載《清華法學(xué)》2021年第3期。綜上，筆者建議，應(yīng)修改或取消《解釋》對敏感個人信息進行分級的規(guī)定。

其次，《解釋》對敏感個人信息認(rèn)定和處理應(yīng)與《個人信息保護法》保持一致。以行蹤軌跡信息為例，與《解釋》對行蹤軌跡信息與其他類型敏感個人信息進行分級規(guī)定形成對比的是，《個人信息保護法》沒有將行蹤軌跡信息與生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶等敏感個人信息作區(qū)別對待，而是將這些信息并列規(guī)定在同一款。與此同時，《個人信息保護法》在“敏感個人信息的處理規(guī)則”這一節(jié)內(nèi)容中也沒有提出行蹤軌跡信息的處理者相較其他敏感個人信息的處理者要履行更多的義務(wù)?？v觀《個人信息保護法》中有關(guān)敏感個人信息的規(guī)定，我們不難看出，《個人信息保護法》沒有對敏感個人信息進行分級，因而該法也就沒有對行蹤軌跡信息與其他類型敏感個人信息予以有差別的保護。對此，有學(xué)者指出，《個人信息保護法》未對敏感個人信息進行分級，略顯粗糙。(15)參見田宇申：《互聯(lián)網(wǎng)保險中個人信息保護的法律規(guī)制——以個人信息保護政策為切入》，載《蘭州學(xué)刊》2021年第9期。但是，在筆者看來，《個人信息保護法》對敏感個人信息不作分級而是采用“一刀切”的認(rèn)定方式，實質(zhì)上能夠使司法實踐對敏感個人信息的保護力度更加均衡。如果立法者在制定《個人信息保護法》時有意強調(diào)敏感個人信息的有差別保護，那么就應(yīng)該直接在法條中明確提出劃分不同級別敏感個人信息的標(biāo)準(zhǔn)。既然《個人信息保護法》沒有作出這樣的規(guī)定，我們就應(yīng)當(dāng)認(rèn)為立法者是排斥對敏感個人信息進行分級的。更何況，如前所述，敏感個人信息的重要性會隨著場景的不同而發(fā)生變化；特別是某一類型的敏感個人信息還可能涉及到多重屬性。這些情況的存在就必然導(dǎo)致我們很難甚至不能對相關(guān)類型的敏感個人信息進行精準(zhǔn)的分級。所以，為了與《個人信息保護法》形成有效的銜接，《解釋》應(yīng)該與《個人信息保護法》中的相關(guān)規(guī)定保持一致，而無須專門對敏感個人信息進行分級。

綜上，在《個人信息保護法》頒行的當(dāng)下，審視《解釋》中關(guān)于敏感個人信息分級的規(guī)定，我們確實發(fā)現(xiàn)《解釋》中的規(guī)定存在一定的問題，建議應(yīng)該適時對其予以修訂。筆者建議在對《解釋》進行修訂時取消敏感個人信息的分級，作此修訂不僅能夠解決前述《解釋》對生物識別信息和不滿14周歲未成年人的個人信息未予以特別關(guān)注的問題，而且還有利于真正落實對敏感個人信息的刑法特殊保護。筆者建議對《解釋》可以具體作如下修訂：一是需要修訂《解釋》第1條規(guī)定，建議在第1條之下設(shè)置兩款內(nèi)容。其中第1款對公民個人信息下定義，而第2款則對公民敏感個人信息下定義。二是需要修訂《解釋》第5條第1款第1項、第2項規(guī)定，建議將第1項規(guī)定的“行蹤軌跡信息”擴展為“公民敏感個人信息”。如此，《解釋》原該條該款第2項中的“公民個人信息”就要相對應(yīng)限縮為“公民一般個人信息”。也即建議將《解釋》第5條第1款第1項修訂為“出售或者提供公民敏感個人信息，被他人用于犯罪的”，將第2項修訂為“知道或者應(yīng)當(dāng)知道他人利用公民一般個人信息實施犯罪，向其出售或者提供的”。三是需要修訂《解釋》第5條第1款第3項、第4項規(guī)定，建議以“敏感個人信息”這一提法替代原有關(guān)于敏感個人信息的列舉示例，并設(shè)置統(tǒng)一的起刑點，從而實現(xiàn)對敏感個人信息標(biāo)準(zhǔn)一致的刑法特殊保護。

2.建議將非法獲取、出售或者提供公民敏感個人信息犯罪行為的起刑點設(shè)定為“50條以上”。

應(yīng)該看到，《解釋》不僅對敏感個人信息進行分級規(guī)定，而且還對侵犯敏感個人信息犯罪行為的起刑點作了區(qū)別規(guī)定?！督忉尅返?條第1款第3項中規(guī)定的起刑點為“50條以上”。但是，該條該款第4項中規(guī)定的起刑點為“500條以上”。如果依照《個人信息保護法》規(guī)定以“敏感個人信息”這一統(tǒng)稱替代第3項、第4項所列舉的信息，那么勢必會面臨如何設(shè)定或調(diào)整非法獲取、出售或者提供公民敏感個人信息犯罪行為起刑點的問題。

依筆者之見，在設(shè)定非法獲取、出售或者提供公民敏感個人信息犯罪行為起刑點時需要注意以下兩點：一是不能將起刑點設(shè)置得太低，否則侵犯公民敏感個人信息的違法行為動輒上升為犯罪行為，極有可能壓縮前置法的適用空間，使侵犯公民個人信息罪淪為一個新的“口袋罪”。二是不能將起刑點設(shè)置得太高，否則對敏感個人信息進行刑法特殊保護的力度勢必會被減弱。同時，還需要考慮到敏感個人信息與一般個人信息之間的差異性。拉開與非法獲取、出售或者提供公民一般個人信息犯罪行為起刑點之間的距離，才能突出對敏感個人信息的刑法特殊保護。可見，設(shè)定起刑點是一個權(quán)衡利弊的過程。如何準(zhǔn)確把握侵犯公民敏感個人信息行為入罪的“度”，是我們在修訂《解釋》時不得不面對的一個難題。

據(jù)此，筆者建議將非法獲取、出售或者提供公民敏感個人信息犯罪行為起刑點設(shè)定為“50條以上”。提出該建議的理由在于，現(xiàn)有《解釋》第5條第1款第3項規(guī)定的起刑點即為“50條以上”，而這一起刑點是《解釋》對于非法獲取、出售或者提供公民個人信息犯罪行為所設(shè)定的最低起刑點。最低起刑點意味著最強刑法保護，因而繼續(xù)沿用第3項規(guī)定的“50條以上”的認(rèn)定標(biāo)準(zhǔn)，實際上是一個比較合理的選擇。值得一提的是，《解釋》第5條第1款第5項規(guī)定，非法獲取、出售或者提供公民一般個人信息犯罪行為的起刑點為“5000條以上”，如果我們將非法獲取、出售或者提供公民敏感個人信息犯罪行為的起刑點設(shè)定在“50條以上”，在認(rèn)定信息的數(shù)量標(biāo)準(zhǔn)上前者是后者的100倍，顯然就能充分突出對公民敏感個人信息的刑法特殊保護。就此而言，筆者建議將《解釋》第5條第1款第3項修訂為“非法獲取、出售或者提供公民敏感個人信息50條以上的”，同時將原《解釋》該條該款第4項規(guī)定內(nèi)容歸入修訂后第3項規(guī)定的敏感個人信息中，從而既在“敏感個人信息”這一法律用語的使用上，又在起刑點的設(shè)置上保持了統(tǒng)一，以最大程度有利于對敏感個人信息進行刑法特殊保護。

這里需要注意的是，上述取消《解釋》第5條第1款第4項規(guī)定并不意味著不需要對原該項規(guī)定的敏感個人信息特殊保護，而是因為修訂后的《解釋》第5條第1款第3項規(guī)定所涵蓋的對象包括了原有第4項規(guī)定的敏感個人信息。為了體現(xiàn)《解釋》對敏感個人信息刑法特殊保護的相對一致性，筆者建議取消第4項規(guī)定。同時將涉及第4項規(guī)定的信息構(gòu)成侵犯公民個人信息犯罪的起刑點，由原本為“500條以上”統(tǒng)一修訂為“50條以上”。通過這一修訂，實際上降低了原有第4項規(guī)定的侵犯公民個人信息犯罪行為的起刑點，或者說提高了對該項規(guī)定的個人信息的保護力度。對此，可能會有人會質(zhì)疑，提高對原有第4項規(guī)定的個人信息的保護力度，將其與原有第3項規(guī)定的個人信息的保護力度持平，是否合理？是否會產(chǎn)生量刑上的不平衡？筆者認(rèn)為，這種質(zhì)疑似乎有些多慮。因為原有第4項規(guī)定的個人信息和第3項規(guī)定的個人信息本身就具有一定的相似性，并且依據(jù)《個人信息保護法》，兩者均屬于敏感個人信息這一范疇。既然如此，《解釋》將這兩項規(guī)定中的個人信息統(tǒng)一規(guī)定在第3項敏感個人信息中并設(shè)定同樣的起刑點，也就不存在任何問題了?！?0條以上”的起刑點與“500條以上”的起刑點相比，我們當(dāng)然選擇“就低不就高”即采納“50條以上”的起刑點，否則如果將起刑點設(shè)定為“500條以上”相當(dāng)于降低了對原有第3項規(guī)定的個人信息的保護力度，有違對敏感個人信息刑法特殊保護的基本內(nèi)涵。另外，筆者認(rèn)為，設(shè)置統(tǒng)一的“50條以上”的起刑點并不會造成量刑上的不平衡。例如，侵犯50條公民生物識別信息的行為和侵犯50條公民宗教信仰信息的行為，這兩種行為同樣都是侵犯公民敏感個人信息行為，且都已經(jīng)達到了起刑點，但在具體量刑上完全可以體現(xiàn)出差異。具體如何量刑？實際判刑多少？完全可以由裁判者根據(jù)不同案件涉及敏感個人信息重要性的情況，在量刑幅度內(nèi)靈活掌控?？梢?，對侵犯公民敏感個人信息犯罪的起刑點規(guī)定統(tǒng)一標(biāo)準(zhǔn)，不會產(chǎn)生量刑不平衡的問題。

3.建議保持侵犯公民敏感個人信息“情節(jié)特別嚴(yán)重”較“情節(jié)嚴(yán)重”10倍以上的認(rèn)定標(biāo)準(zhǔn)。

《解釋》第5條第2款列舉了四項侵犯公民個人信息罪“情節(jié)特別嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)，其中該條該款第3項規(guī)定，數(shù)量或者數(shù)額達到前款第3項至第8項規(guī)定標(biāo)準(zhǔn)10倍以上的，應(yīng)當(dāng)認(rèn)定為侵犯公民個人信息罪“情節(jié)特別嚴(yán)重”。若繼續(xù)保留該項規(guī)定，則侵犯公民敏感個人信息“情節(jié)特別嚴(yán)重”與侵犯公民一般個人信息“情節(jié)特別嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)均是各自“情節(jié)嚴(yán)重”數(shù)量或者數(shù)額規(guī)定標(biāo)準(zhǔn)10倍以上。這里需要重點討論的是，筆者在前文已經(jīng)論述了敏感個人信息的重要性是要明顯大于一般個人信息的，那么《解釋》對敏感個人信息的保護是否也應(yīng)該體現(xiàn)在相關(guān)情節(jié)的認(rèn)定標(biāo)準(zhǔn)規(guī)定上？在認(rèn)定“情節(jié)嚴(yán)重”時，侵犯公民敏感個人信息的起刑點相較侵犯公民一般個人信息，顯然存在較大的差異，那么在認(rèn)定“情節(jié)特別嚴(yán)重”時，是否也需要進一步拉開兩者的差距？由此便產(chǎn)生了認(rèn)定侵犯公民敏感個人信息“情節(jié)特別嚴(yán)重”與侵犯公民一般個人信息“情節(jié)特別嚴(yán)重”均是各自“情節(jié)嚴(yán)重”數(shù)量或者數(shù)額規(guī)定標(biāo)準(zhǔn)10倍以上是否合理的疑問。

筆者認(rèn)為，在認(rèn)定“情節(jié)特別嚴(yán)重”時，侵犯公民敏感個人信息與侵犯公民一般個人信息均采用較“情節(jié)嚴(yán)重”10倍以上的認(rèn)定標(biāo)準(zhǔn)并無不妥，理由是：認(rèn)定侵犯公民敏感個人信息構(gòu)成“情節(jié)嚴(yán)重”的起刑點為“50條以上”，認(rèn)定侵犯公民一般個人信息構(gòu)成“情節(jié)嚴(yán)重”的起刑點是“5000條以上”，而“情節(jié)特別嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)是建立在“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)之上的。雖然在字面上兩者采用的都是10倍以上的認(rèn)定標(biāo)準(zhǔn)，但事實上認(rèn)定侵犯公民敏感個人信息構(gòu)成“情節(jié)特別嚴(yán)重”的起刑點是“500條以上”，而認(rèn)定侵犯公民一般個人信息構(gòu)成“情節(jié)特別嚴(yán)重”的起刑點則是“50000條以上”。盡管10倍以上數(shù)量的敏感個人信息泄露的社會危害性可能會遠遠大于10倍以上數(shù)量的一般個人信息泄露的社會危害性，但是這種看法顯然忽略了比較的基數(shù)。如前所述，侵犯公民敏感個人信息“情節(jié)嚴(yán)重”的起刑點和侵犯公民一般個人信息“情節(jié)嚴(yán)重”的起刑點已經(jīng)存在很大差別，因而即便從形式上看在認(rèn)定“情節(jié)特別嚴(yán)重”時兩者采用的都是10倍以上的認(rèn)定標(biāo)準(zhǔn)，但是從實質(zhì)上看兩者的差距仍然是比較明顯的。退一步講，如果改變現(xiàn)有的認(rèn)定標(biāo)準(zhǔn)，假設(shè)認(rèn)定侵犯公民敏感個人信息“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)是“情節(jié)嚴(yán)重”5倍以上，認(rèn)定侵犯公民一般個人信息“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)仍然保留原有的較“情節(jié)嚴(yán)重”10倍以上，看似進一步拉開了認(rèn)定標(biāo)準(zhǔn)上的差距，但是，實際可能會壓縮侵犯公民敏感個人信息行為適用“情節(jié)嚴(yán)重”這一檔法定刑的空間，進而造成對敏感個人信息的過度保護。

需要指出的是，筆者早前曾發(fā)表觀點認(rèn)為，由于我們身處被各類信息包圍的大數(shù)據(jù)時代，人們獲取信息的途徑愈來愈廣泛，獲取信息的途徑越來越便捷，所以就導(dǎo)致了司法實踐中行為人非法獲取或者提供個人信息的數(shù)量動輒幾十萬甚至上百萬條。因此，筆者擔(dān)憂，以較“情節(jié)嚴(yán)重”10倍以上作為認(rèn)定“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)，客觀上可能會引發(fā)對侵犯公民個人信息罪實際“量刑不平衡”的狀況出現(xiàn)，(16)參見劉憲權(quán)、房慧穎：《侵犯公民個人信息罪定罪量刑標(biāo)準(zhǔn)再析》，載《華東政法大學(xué)學(xué)報》2017年第6期。但是，當(dāng)時的觀點是在沒有《個人信息保護法》的情況下形成的，特別是在刑法與刑法司法解釋中沒有敏感個人信息提法的情況下提出來的?，F(xiàn)在在《個人信息保護法》頒行的背景下，我們又要通過修訂《解釋》規(guī)定增設(shè)“敏感個人信息”這一概念，如果不在《解釋》中設(shè)定一個明確的統(tǒng)一標(biāo)準(zhǔn)很難開展相關(guān)的司法活動。就此而言，筆者幾年之前的擔(dān)憂似乎也是多余，因為規(guī)范上的平衡顯然更為重要。如此看來，我們在認(rèn)定侵犯公民敏感個人信息與侵犯公民一般個人信息“情節(jié)特別嚴(yán)重”時均采用較“情節(jié)嚴(yán)重”10倍以上的認(rèn)定標(biāo)準(zhǔn)并無不妥。

四、結(jié)語

在《個人信息保護法》對敏感個人信息下了定義并對敏感個人信息的處理規(guī)則作出明確規(guī)定的前提之下，刑法以及相關(guān)刑法司法解釋應(yīng)當(dāng)及時調(diào)整與《個人信息保護法》不一致的內(nèi)容，以實現(xiàn)不同部門法之間對敏感個人信息保護的有效銜接。敏感個人信息與公民的人格尊嚴(yán)、人身安全和財產(chǎn)安全密切相關(guān)，因而刑法必須強化對公民敏感個人信息的保護力度。相關(guān)刑法司法解釋應(yīng)取消敏感個人信息的分級，實現(xiàn)對各種類型敏感個人信息一視同仁的特殊保護。在設(shè)定侵犯公民敏感個人信息行為“情節(jié)嚴(yán)重”以及“情節(jié)特別嚴(yán)重”的起刑點和量刑標(biāo)準(zhǔn)時，應(yīng)當(dāng)仔細(xì)考量敏感個人信息的特殊性，充分保障公民敏感個人信息的安全。