［摘" 要］ 個人信息兼具人身與社會雙重權(quán)利屬性，但信息安全法益的根本來源是個人信息自由，應(yīng)受限于信息自決權(quán)法益。刑法對個人信息的保護(hù)應(yīng)從信息自決權(quán)出發(fā)，以“私密-授權(quán)”為雙重考核標(biāo)準(zhǔn)，構(gòu)建以信息自決權(quán)為基礎(chǔ)，兼具信息安全的“三級信息圈層保護(hù)”治理模式。其中，根據(jù)私密程度由高到低，從形式上區(qū)分個人信息的靶心圈、基本圈、輻射圈，而根據(jù)權(quán)利人的授權(quán)，從實(shí)質(zhì)上調(diào)整各圈層的具體范圍。對于“靶心圈”公民隱私領(lǐng)域或拒絕公開的核心信息，實(shí)行嚴(yán)格的信息自決權(quán)保護(hù)。對于“基本圈”公民有限授權(quán)的一般信息，結(jié)合比例原則與客觀合目的性原則判斷合理使用的范圍。對于“輻射圈”完全公開的公共信息，轉(zhuǎn)向被害人教義學(xué)下的信息流通風(fēng)險的防范與維護(hù)。

［關(guān)鍵詞］ 個人信息" 信息犯罪" 信息自決人權(quán)" 數(shù)據(jù)安全

［基金項(xiàng)目］

2021年度國家社科基金重大項(xiàng)目“數(shù)字經(jīng)濟(jì)的刑事安全風(fēng)險防范體系建構(gòu)研究”（21amp;ZD209）、國家資助博士后研究人員計(jì)劃（GZC20233127），階段性成果。

［作者簡介］ 趙桐（1996—），山東威海人，中國政法大學(xué)刑事司法學(xué)院助理研究員、博士后，法學(xué)博士，研究方向：刑法學(xué)。

①

參見江蘇省無錫市中級人民法院（2018）蘇02刑終226號二審刑事裁定書。

②

參見凌鴻《非法獲取公民個人信息罪的認(rèn)定》，《人民法院報》2010年6月17日，第7版；韓芳、杜宗杰、崔光同《北京首例出售公民個人信息案宣判》，《人民法院報》2010年6月13日，第3版。

③

曲新久：《論侵犯公民個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期。

④

參見歐陽本祺《侵犯公民個人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，《比較法研究》2021年第3期。

一、問題的提出

《刑法修正案（七）》增設(shè)侵犯公民個人信息罪以來，對公民個人信息的保護(hù)逐漸加強(qiáng)，此后《民法典》明確將個人信息作為人格權(quán)編的保護(hù)對象，也為個人信息保護(hù)提供了私法上的定性與根據(jù)。但是，在侵犯公民個人信息罪適用的過程中存在諸多問題，主要集中在對象、行為、情節(jié)三個構(gòu)成要件的認(rèn)定上，與實(shí)踐認(rèn)定難相對應(yīng)，理論中對信息犯罪所保護(hù)的法益和具體構(gòu)造也存在較大爭議。

例如，在實(shí)踐中，涉案信息往往既包括公民的姓名、聯(lián)系方式、住址等核心隱私信息，又包含了車主的車牌號、車型等一般信息，如何確定“個人信息”的邊界成為多數(shù)案件的爭議重點(diǎn)①。而行為的認(rèn)定上，利用合法渠道購買他人信息是否構(gòu)成非法獲取，處置他人已公開信息是否具有法益侵害性，這類問題理論與實(shí)踐中仍未達(dá)成共識，意味著本罪的行為構(gòu)成邊界也有待確認(rèn)②。而由于行為對象與行為方式都具有認(rèn)定的模糊性，個人信息刑法保護(hù)的情節(jié)要件也缺乏具體的判斷標(biāo)準(zhǔn)。

針對上述侵犯公民個人信息罪構(gòu)成要件解釋邊界模糊的問題，學(xué)界作出了多種嘗試。最初有學(xué)者從社會公共利益與國家安全角度提出信息主權(quán)維護(hù)觀點(diǎn)，主張通過保護(hù)公共信息安全來保護(hù)信息③。但近年來，越來越多學(xué)者意識到了個人數(shù)據(jù)對于私主體自由維護(hù)的意義，轉(zhuǎn)而以個人法益保護(hù)的角度提出個人信息刑法保護(hù)方案。其中，領(lǐng)域理論提出了強(qiáng)有力的分類認(rèn)定個人信息的標(biāo)準(zhǔn)：按照私密性高低區(qū)分為最核心層的隱私領(lǐng)域數(shù)據(jù)、中間層的私人領(lǐng)域數(shù)據(jù)、最外層的社會領(lǐng)域數(shù)據(jù)④。但是，形式上的私密程度區(qū)分無法涵蓋現(xiàn)實(shí)中大量的數(shù)據(jù)種類，同一類數(shù)據(jù)對不同主體而言，所涉及的隱私性并不相同，領(lǐng)域理論提出的以隱私范圍界定為導(dǎo)向的個人信息保護(hù)方案，難以應(yīng)對場景復(fù)雜化的趨勢。場景化理論轉(zhuǎn)而對個人信息進(jìn)行更為綜合的分類，按照信息主體、信息處理者、第三方主體、信息性質(zhì)、處理目的等要素，區(qū)分個人信息被處理的不同場景，按照不同的處理場景施加不同的保護(hù)力度

參見郭傳凱《敏感個人信息處理規(guī)則的反思與修正》，《政法論壇》2024年第3期。。場景化理論是一種行為模式下的個人信息保護(hù)

參見李川、楊勝剛《法益重塑與模式更新：場景化視域下個人信息刑法保護(hù)的動態(tài)轉(zhuǎn)向》，《廣西大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2023年第6期。，近來進(jìn)一步演化出風(fēng)險場景化理論

參見熊波《數(shù)據(jù)分類分級的刑法保護(hù)》，《政法論壇》2023年第3期。，為個人信息分層分級保護(hù)提供了有益啟發(fā)。不過，這種實(shí)質(zhì)化的“處理場景”判斷，也有必要進(jìn)一步限定相關(guān)標(biāo)準(zhǔn)。

web3.0時代，網(wǎng)絡(luò)犯罪主要指向以大數(shù)據(jù)為特征的智能化網(wǎng)絡(luò)科技犯罪

參見劉艷紅《網(wǎng)絡(luò)犯罪的法教義學(xué)研究》，北京：中國人民大學(xué)出版社，2021年，第92頁。?？傮w而言，理論與實(shí)踐中之所以存在以上爭議，本質(zhì)上也是因?yàn)閿?shù)字經(jīng)濟(jì)時代的大數(shù)據(jù)流通帶來的信息權(quán)利概念異變，個人信息的受保護(hù)根據(jù)不再是傳統(tǒng)研究思路下的單一制私權(quán)，也就產(chǎn)生了分類分級這一必然討論思路。因而，有必要調(diào)和個人信息形式與實(shí)質(zhì)的分類方案，圍繞侵犯公民個人信息罪的處罰根據(jù)，確定個人信息保護(hù)的判斷標(biāo)準(zhǔn)。首先，確認(rèn)侵犯公民個人信息罪所保護(hù)的復(fù)合法益類型，由此劃定本罪所保護(hù)的信息對象。其次，根據(jù)個人信息上體現(xiàn)出人格權(quán)的需保護(hù)性程度不同，區(qū)分討論指向信息對象的行為手段的認(rèn)定標(biāo)準(zhǔn)。最后，構(gòu)建圈層性個人信息保護(hù)體系，以法益分層為主線，以“私密-授權(quán)”作為二元判斷標(biāo)準(zhǔn)，解決對象、行為、情節(jié)構(gòu)成要件的具體判斷問題。

二、個人信息的雙重刑法法益結(jié)構(gòu)

侵犯公民個人信息罪的保護(hù)法益決定了個人信息被保護(hù)的范圍與界限。目前對于個人信息的法益屬性討論主要集中在個人法益與超個人法益兩大對立陣營中

典型爭論文章有：劉艷紅《侵犯公民個人信息罪法益：個人法益及新型權(quán)利之確證——以〈個人信息保護(hù)法（草案）〉為視角之分析》，《中國刑事法雜志》2019年第5期；曲新久《論侵犯公民個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期；敬力嘉 《大數(shù)據(jù)環(huán)境下侵犯公民個人信息罪法益的應(yīng)然轉(zhuǎn)向》，《法學(xué)評論》2018年第2期；凌萍萍、焦冶《侵犯公民個人信息罪的刑法法益重析》，《蘇州大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2017年第6期；馬永強(qiáng)《侵犯公民個人信息罪的法益屬性確證》，《環(huán)球法律評論》2021年第2期。，但是，

個人信息兼具人身屬性與社會屬性，無法被直接劃入個人法益或超個人法益陣營。同時，個人法益與超個人法益本就不是非此即彼的關(guān)系，超個人法益的正當(dāng)性根據(jù)來源于個人法益，個人法益也限制了超個人法益。所以個人信息上的刑法法益是一種以自決權(quán)為基礎(chǔ)、兼具信息安全秩序的復(fù)合法益，需要首先保障個人信息按照公民的授權(quán)流轉(zhuǎn)，然后以信息的系統(tǒng)性安全為信息秩序的整體調(diào)控補(bǔ)充。

（一）信息自決權(quán)是法益保護(hù)的基礎(chǔ)

個人信息上所體現(xiàn)的法益是雙重法益，其中信息自決權(quán)是信息在私域中被保護(hù)的正當(dāng)性來源，而信息秩序安全則填補(bǔ)了信息在公域中流通的保護(hù)空缺。正如個人法益是超個人法益的正當(dāng)性根據(jù)并對其具有限制作用一樣，信息自決權(quán)也是信息犯罪的法益保護(hù)的首要目標(biāo)，應(yīng)當(dāng)圍繞公民信息的私密程度與授權(quán)范圍，提出信息分級保護(hù)的標(biāo)準(zhǔn)。

公民對信息的授權(quán)是信息在后續(xù)流通過程中被利用的權(quán)利根本來源，信息自決權(quán)的明確存在，是信息得到合理利用、確保各方利益得到合理分配的絕對前提

參見馬永強(qiáng)《侵犯公民個人信息罪的法益屬性確證》，《環(huán)球法律評論》2021年第2期。。從個人信息的產(chǎn)生原理來看，個人信息表征著公民個人屬性的外化，即公民個人的延伸。也就是說，對個人信息的保護(hù)本身就是對公民個人的保護(hù)，公民有權(quán)對自己的信息進(jìn)行處置，這應(yīng)當(dāng)是憲法所保護(hù)的基本權(quán)利。而信息在公開場合的利用規(guī)則，也必須還原到公民個人對信息的處置方式上，即信息必須按照公民所授權(quán)的方式流通。所以，信息自決權(quán)是侵犯公民個人信息罪所保護(hù)的基礎(chǔ)法益，公民對個人信息的授權(quán)范圍，決定了何種程度的非法利用個人信息應(yīng)當(dāng)被規(guī)制，同時提供了社會信息治理的正當(dāng)性根據(jù)，為個人信息在社會中流通秩序的維護(hù)提供了前置性基礎(chǔ)。

與之相對，信息自決權(quán)也劃定了個人信息的受保護(hù)范圍。一方面，對于那些已經(jīng)被授權(quán)使用的個人信息，倘若使用者按照授權(quán)范圍合理使用，信息的產(chǎn)生和所有者就不能再主張使用者侵犯了其信息自決權(quán)；另一方面，在確定信息流通的秩序規(guī)則時，也需要以公民對信息的授權(quán)為制定基礎(chǔ)，圍繞保護(hù)信息自決權(quán)來維護(hù)流通秩序。

（二）信息安全填補(bǔ)公域中的保護(hù)法益

信息的人身屬性和公共屬性之間的關(guān)系，與個人法益和超個人法益之間的對立統(tǒng)一關(guān)系相似。對信息自決權(quán)的絕對性保護(hù)會限制信息在公共領(lǐng)域的流通，進(jìn)而限制信息本身的價值發(fā)揮，因而有必要調(diào)控信息自決權(quán)和信息秩序的規(guī)范價值取舍，而信息秩序的維護(hù)本質(zhì)上是信息安全法益的保護(hù)，即信息在社會領(lǐng)域轉(zhuǎn)移與公開的規(guī)則，以及對信息泄露風(fēng)險的系統(tǒng)性防范。

對比自決權(quán)的保護(hù)而言，對信息安全法益的保護(hù)是填補(bǔ)性的。首先，對信息自決權(quán)的保護(hù)本身就意味著對信息安全的保護(hù)，公民對自己信息被使用或傳播的授權(quán)行為就是公民決定信息安全流通方式的體現(xiàn)；其次，在信息已經(jīng)被公開后，即使信息處于公共領(lǐng)域也仍然涉及信息主體的問題，如信息的合法使用者、互聯(lián)網(wǎng)平臺、政府部門等，此時已經(jīng)無需考慮公民自決權(quán)，而應(yīng)當(dāng)從維護(hù)集體信息法益的角度確立流通規(guī)則；最后，在公共利益與個人自決權(quán)相沖突的情況下，例如政府機(jī)關(guān)收集公民個人信息時，則應(yīng)當(dāng)以公民的自決權(quán)為優(yōu)先考慮對象，同時使用比例原則調(diào)控具體的判斷標(biāo)準(zhǔn)，除非涉及重大社會利益，否則公民有權(quán)拒絕提供個人信息。

（三）“私密-授權(quán)”型法益圈層保護(hù)標(biāo)準(zhǔn)

信息犯罪主要侵犯的是信息主體的人格權(quán)，而不同類別的個人信息所反映出的信息主體隱私不同，法益侵害程度不同也就導(dǎo)致了行為可罰性不同，這勢必導(dǎo)向個人信息的分級與行為的分類治理。司法解釋與實(shí)踐認(rèn)定中，主要以私密程度這一形式判斷方案來解決信息保護(hù)力度問題，但也因?yàn)殡[私范圍的難以界定而引發(fā)爭議。場景化理論以“個人信息被處理的不同場景”為實(shí)質(zhì)區(qū)分標(biāo)準(zhǔn)，但是這種完全個性化的實(shí)質(zhì)判斷也存在客觀化的必要。依循從形式到實(shí)質(zhì)的判斷方式，個人信息的受保護(hù)程度一方面由以身份可識別性為客觀體現(xiàn)的私密程度所決定，另一方面也由權(quán)利人的自決權(quán)使用程度所決定。其中，私密程度由高到低的判斷是劃定個人信息圈層的標(biāo)準(zhǔn)，而權(quán)利人授權(quán)使用程度則是在圈層架構(gòu)中，進(jìn)一步劃分個人信息需保護(hù)性的實(shí)質(zhì)判斷依據(jù)。

信息的私密程度影響到信息的人身屬性，進(jìn)而影響到刑法對該個人信息的應(yīng)保護(hù)性程度，因而應(yīng)當(dāng)成為信息分級保護(hù)的首要標(biāo)準(zhǔn)。這一觀點(diǎn)主要來源于領(lǐng)域理論（Sphrentheorie），領(lǐng)域理論將個人信息按照私密性高低區(qū)分為最核心層的隱私領(lǐng)域數(shù)據(jù)、中間層的私人領(lǐng)域數(shù)據(jù)、最外層的社會領(lǐng)域數(shù)據(jù)

參見歐陽本祺《侵犯公民個人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，《比較法研究》2021年第3期。。其中，隱私領(lǐng)域是人格尊嚴(yán)最核心的部分，受到絕對的保護(hù)，而私人領(lǐng)域和社會領(lǐng)域中，需要平衡考察特定人格權(quán)受保護(hù)范圍、侵害程度、侵害正當(dāng)性衡量

參見王澤鑒《人格權(quán)法：法釋義學(xué)、比較法、案例研究》，北京：北京大學(xué)出版社，2013年。。我國侵犯公民個人信息罪的司法解釋中實(shí)際上也提出了以信息的私密程度為核心的分級標(biāo)準(zhǔn)：在“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)中，非法獲取、出售或者提供行蹤軌跡信息、通信信息、征信信息、財(cái)產(chǎn)信息五十條以上即可構(gòu)成；而非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個人信息，需五百條以上才能構(gòu)成；非法獲取、出售或者提供以上個人信息之外的信息，則需五千條以上才能構(gòu)成。這種劃分方式的原理是隨著個人信息的私密性不同，其體現(xiàn)出的公民個人屬性也不同，泄露后對人身、財(cái)產(chǎn)安全的危險也不同，因而個人信息的受保護(hù)程度應(yīng)當(dāng)不同。

而在信息的私密程度之外，還有必要添加對公民的授權(quán)范圍的判斷，進(jìn)而考察刑法對該個人信息的需保護(hù)性。刑法的最后手段性要求刑法司法必須對法律條文進(jìn)行實(shí)質(zhì)解釋，將不具備處罰必要性的行為排除在犯罪之外，以保障刑法司法的公正性

參見劉艷紅《實(shí)質(zhì)出罪論》，北京：中國人民大學(xué)出版社，2020年。。因而，即使個人信息直接體現(xiàn)了權(quán)利人的核心隱私，倘若權(quán)利人自己決定將其公開或授權(quán)他人使用，那么該個人信息的需保護(hù)性也會大大降低。例如，隱私領(lǐng)域的信息數(shù)據(jù)在被公民授權(quán)進(jìn)入社會領(lǐng)域后，對其保護(hù)的程度也需要進(jìn)行相應(yīng)調(diào)整，這種保護(hù)程度則取決于公民的授權(quán)是完全公開、有條件使用還是針對特定主體的授權(quán)等。公民的授權(quán)直接影響了該個人信息的需保護(hù)性，倘若公民同意公開數(shù)據(jù)并未對他人的使用設(shè)置條件和阻礙，那么該個人信息的需保護(hù)性也會相應(yīng)降低，刑法作為保障法無需過多介入。

因此，個人信息的保護(hù)目的是以信息自決權(quán)為核心的整體信息安全，體現(xiàn)為首要保障個人信息按照公民的授權(quán)流轉(zhuǎn)，其次以信息的系統(tǒng)性安全為信息秩序的整體調(diào)控補(bǔ)充。由于個人信息具有多重法益，無法采用單一制私權(quán)保護(hù)體系，必須通過身份可識別性的客觀標(biāo)準(zhǔn)和權(quán)利人決定的主觀標(biāo)準(zhǔn)，結(jié)合信息權(quán)利人的授權(quán)范圍與具體授權(quán)內(nèi)容，對個人信息進(jìn)行分級考察，進(jìn)而推導(dǎo)出實(shí)踐中具體的刑法保護(hù)規(guī)則。在規(guī)范層面，這種保護(hù)規(guī)則的確定還涉及個人信息的需保護(hù)性和應(yīng)保護(hù)性的實(shí)質(zhì)判斷，以及如何平衡信息自由與安全、個人法益與超個人法益的方案設(shè)定。

由于個人信息的私密性和公民授權(quán)程度直接影響到個人信息的需保護(hù)性和應(yīng)保護(hù)性，本文主張以二者作為判斷標(biāo)準(zhǔn)，將信息分為三級圈層：“靶心圈”核心信息、“基本圈”一般信息、“輻射圈”公開信息。隨著公民對個人信息的授權(quán)與公開程度增強(qiáng)，個人信息的人身屬性逐漸降低，而社會屬性逐漸增強(qiáng)，對個人信息的刑法保護(hù)實(shí)際上就是在自由與安全二者價值之間作平衡考量，這也可以進(jìn)一步推導(dǎo)出指向三級圈層信息的非法行為的不同認(rèn)定標(biāo)準(zhǔn)。

三、靶心圈：嚴(yán)格自決權(quán)法益下的核心信息

核心信息大致包括自然人的行蹤信息、健康信息、性取向信息、私密部位信息等。因其與自然人的行蹤、健康狀況、性取向、私密部位等隱私事實(shí)聯(lián)系緊密，故而處于個人的私密領(lǐng)域，應(yīng)受更高程度的保護(hù)

參見申衛(wèi)星《數(shù)字權(quán)利體系再造：邁向隱私、信息與數(shù)據(jù)的差序格局》，《政法論壇》2022年第3期。。實(shí)踐中，這類個人信息具有較高的身份可識別性，通常情況下也會被權(quán)利人采用保護(hù)措施所隱匿，只有在權(quán)利人特殊授權(quán)的情況下才有可能成為一般信息或公開信息。對此，具體的判斷標(biāo)準(zhǔn)在于，該信息是否從未被公開、是否未被授權(quán)給行為人，權(quán)利人是否設(shè)置了特別的保護(hù)。

（一）核心信息的私密性與授權(quán)性

1.形式認(rèn)定標(biāo)準(zhǔn)：未經(jīng)公開

核心個人信息必須是未經(jīng)公開的，例如行蹤軌跡信息或通信內(nèi)容，具有極強(qiáng)的人身屬性，在普遍情況下，自權(quán)利人產(chǎn)生信息后就沒有其他人知曉。在多數(shù)情況下，個人生活中最核心的隱私領(lǐng)域都屬于未公開的個人信息，這一核心隱私領(lǐng)域具有高度的自治性，而社會性極低，代表了人的尊嚴(yán)，是個人完全不受任何社會關(guān)系影響的領(lǐng)域

Vgl. Maxi Nebel， Schutz der Persnlichkeit-Privatheit oder Selbstbestimmung？ Verfassungsrechtliche Zielsetzungen im deutschen und europischen Recht， ZD 2015， S. 517.。因而，一方面，權(quán)利人有絕對的信息處置自由權(quán)，另一方面，刑法對這類個人信息的保護(hù)強(qiáng)度應(yīng)當(dāng)最高。

但是，倘若權(quán)利人自行將其隱私信息公開，例如權(quán)利人通過直播等方式將自己的行蹤軌跡公布到互聯(lián)網(wǎng)上，或者某些情況下權(quán)利人的隱私信息產(chǎn)生于公開的渠道，例如權(quán)利人在公開場合不經(jīng)加密地通信，此時相當(dāng)于權(quán)利人自行放棄了對該信息的絕對保護(hù)，個人信息就由核心的隱私領(lǐng)域轉(zhuǎn)移到公開流通的公共領(lǐng)域。也就是說，即使是同一條信息，也可能因?yàn)闄?quán)利人的處置方式不同而具有不同的需保護(hù)性與應(yīng)保護(hù)性，核心個人信息除了內(nèi)容體現(xiàn)個人生活中最核心的隱私領(lǐng)域，也必須尚未進(jìn)入公共領(lǐng)域流通。

此外，與“未公開”要求一樣，為了確保個人信息具有需保護(hù)性和應(yīng)保護(hù)性，還需要行為人未被授權(quán)處理數(shù)據(jù)。通常情況下，行蹤軌跡或通信、財(cái)產(chǎn)等核心信息直接產(chǎn)生于公民處，只有公民授權(quán)后他人才能使用或進(jìn)一步轉(zhuǎn)移。而當(dāng)公民授權(quán)他人處理后，該信息的隱私性就隨之降低了。倘若信息原本就是公民授權(quán)由行為人收集并儲存的，那么行為人就享有對該信息的處置權(quán)和轉(zhuǎn)移權(quán)限

BayObLG 24.6.1993-5 St RR 5/93， wistra 1993， S.304.。此時公民也相當(dāng)于轉(zhuǎn)移了部分對個人信息的處置權(quán)，不再享有絕對的自由權(quán)，個人信息從最核心的隱私領(lǐng)域轉(zhuǎn)移到相對隱私的個人領(lǐng)域。

當(dāng)然，個人信息本身屬性所推導(dǎo)出的分級范圍是對行為對象的分析，而在具體認(rèn)定行為人是否構(gòu)成侵犯信息行為時，則還需要結(jié)合具體的授權(quán)判斷。例如，倘若行為人只被授權(quán)在特定時刻或特殊范圍內(nèi)使用個人信息，那么雖然個人信息在被授權(quán)后已經(jīng)不屬于核心性隱私信息，但是行為人越權(quán)使用或超出使用權(quán)限使用時仍然構(gòu)成對信息的侵犯。對個人信息進(jìn)行分級討論的目的是確認(rèn)數(shù)據(jù)保護(hù)和流通的平衡點(diǎn)，并不意味著對行為的評價。

2.實(shí)質(zhì)認(rèn)定標(biāo)準(zhǔn)：存在特別保護(hù)

除了未被公開或未被授權(quán)他人處理的隱私信息之外，權(quán)利人設(shè)置了特別保護(hù)的信息也屬于核心個人信息的范疇。數(shù)據(jù)被特別保護(hù)意味著，除權(quán)利人之外的其他人無法輕易地訪問、獲取、轉(zhuǎn)移該數(shù)據(jù)。特別保護(hù)并不要求高強(qiáng)度的技術(shù)操作，如設(shè)置密碼、防火墻，或者將數(shù)據(jù)秘密儲存在不易被獲得的磁盤中等，都可以被看作存在特別保護(hù)。

存在特別保護(hù)實(shí)際上象征著權(quán)利人對個人信息已經(jīng)實(shí)施了私力保護(hù)，刑法作為保障法，只有在權(quán)利人無法私力救濟(jì)的情況下才有干預(yù)的必要。如果個人信息的權(quán)利人具有較高的自我保護(hù)可能性，而怠于行使自我保護(hù)，進(jìn)而導(dǎo)致法益侵害的結(jié)果，那么刑法也就不應(yīng)介入對其法益予以直接保護(hù)

參見王肅之《被害人教義學(xué)核心原則的發(fā)展——基于侵犯公民個人信息罪法益的反思》，《政治與法律》2017年第10期。。因此，對于最核心的、需保護(hù)等級最高的個人信息，權(quán)利人應(yīng)當(dāng)具備一定的特殊保護(hù)，以保證個人信息被儲存在私密領(lǐng)域，具有最高程度的處置自由。

可以看出，權(quán)利人具有最高等級權(quán)利的核心個人信息，首先產(chǎn)生于最為隱私的個人領(lǐng)域，同時尚未被權(quán)利人公開或授權(quán)他人處置，且權(quán)利人實(shí)施了一定程度的特殊保護(hù)。實(shí)際上，按照這樣的實(shí)質(zhì)判斷標(biāo)準(zhǔn)，該類數(shù)據(jù)的需保護(hù)性最高，同時權(quán)利人的自我保護(hù)可能性最低，因而從等級上看也就最需要刑法進(jìn)行偏斜保護(hù)。

（二）同意決定論下的自決權(quán)保護(hù)范疇

核心信息中涉及公民最核心的隱私領(lǐng)域，公民或以不公開的方式顯示該信息的私密性，或以設(shè)置保護(hù)措施以防止他人不當(dāng)獲取或使用的方式，行使個人信息權(quán)。因而，應(yīng)當(dāng)對這一類個人信息設(shè)立嚴(yán)格的信息權(quán)保護(hù)，對他人未經(jīng)授權(quán)或突破保護(hù)措施非法獲取個人信息的行為，按照刑法第二百五十三條之一規(guī)定的“竊取或者以其他方法非法獲取公民個人信息”處以刑罰。

對于涉及公民隱私的個人信息而言，其社會價值和社會屬性相對最低，而保密價值和人身屬性相對最高，既然這類信息的產(chǎn)生與使用不具有外部性，那么基于對公民人格自由發(fā)展權(quán)和隱私權(quán)的保護(hù)，公民信息權(quán)在隱私領(lǐng)域應(yīng)當(dāng)屬于絕對權(quán)，他人無權(quán)窺探或使用這類信息，刑法通過保護(hù)公民這一絕對性權(quán)利，進(jìn)而保護(hù)公民在私人領(lǐng)域不受打擾。這一絕對權(quán)具有對世效力，政府、企業(yè)或個人有義務(wù)在獲取或處理該類信息時請求公民的授權(quán)與同意。

此外，在公民沒有明確表達(dá)，而需要推定公民是否“同意授權(quán)”核心信息的場合，應(yīng)當(dāng)堅(jiān)持隱私領(lǐng)域的“同意決定論”。實(shí)踐中通常認(rèn)為，公民同意將個人信息公開在政務(wù)系統(tǒng)等網(wǎng)絡(luò)平臺中的行為，不意味著同意第三方行為人使用或處理，進(jìn)而認(rèn)定第三方行為人的信息獲取或收集行為構(gòu)成犯罪。如徐國成等侵犯公民個人信息案中，被告通過國家企業(yè)信息公示系統(tǒng)收集企業(yè)法人的手機(jī)號等個人信息，未經(jīng)同意公布在自己的網(wǎng)站上供人查詢，這一行為就被法院認(rèn)定為構(gòu)成侵犯公民個人信息罪

參見福建省泉州市中級人民法院（2020）閩05刑終155號刑事裁定書。。對此有學(xué)者指出，這種做法過度犯罪化，公民已經(jīng)同意公開的信息無需“二次授權(quán)”，也不符合《民法典》和司法解釋對“同意”的體系性解釋

參見歐陽本祺《侵犯公民個人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，《比較法研究》2021年第3期。。實(shí)際上，在公民明確同意將信息公開之后，無論該信息是否涉及公民隱私內(nèi)容，都已經(jīng)由隱私領(lǐng)域轉(zhuǎn)至公共領(lǐng)域，不再需要被絕對性地保護(hù)。值得討論的是，在公民沒有明確表示同意或拒絕的情況下，能否推定同意或拒絕，以及在什么情況下推定同意、什么情況下推定拒絕，這是討論隱私領(lǐng)域的“同意決定論”的關(guān)鍵問題。

本文認(rèn)為，出于對隱私領(lǐng)域公民信息權(quán)的周延保護(hù)的規(guī)范目的，隱私信息只有在公民明示同意授權(quán)或公開的前提下，才能由隱私領(lǐng)域轉(zhuǎn)入一般領(lǐng)域或公共領(lǐng)域，從而被進(jìn)一步獲取或使用。這種“原則禁止+例外允許”的模式也是域外敏感個人信息處理規(guī)則的通行模式郭傳凱：《敏感個人信息處理規(guī)則的反思與修正》，《政法論壇》2024年第3期。。同時，具體個人信息客觀上是否具有私密性，有利于輔助司法實(shí)踐中推定判斷公民是否同意授權(quán)，通常情況下，客觀上具有私密性的個人信息，在公民并未表示同意或拒絕時，只能依照客觀情況推定公民“不同意授權(quán)”，而不能推定同意。而對于客觀上不具有私密性的個人信息，在公民采用防護(hù)措施予以保護(hù)時，應(yīng)當(dāng)推定公民的防護(hù)行為本身就表示其“不同意授權(quán)”，進(jìn)而對該信息也應(yīng)當(dāng)進(jìn)行絕對化保護(hù)。

因此，倘若具體的個人信息涉及個人隱私，那么信息的每一次處理都必須經(jīng)過公民的授權(quán)或同意，在公民沒有意思表示時，不能推定其同意；倘若具體的個人信息客觀上不涉及個人隱私，但是公民采用了一定的措施予以保護(hù)，那么也應(yīng)當(dāng)推定該個人信息屬于公民的隱私領(lǐng)域，信息的每一次使用和處理都必須得到公民的明示同意或授權(quán)，否則行為人突破防護(hù)措施而獲取信息的行為就屬于“非法獲取信息”。

（三）人身屬性為核心的法益侵害性判斷

由于對核心信息實(shí)行嚴(yán)格保護(hù)，在判斷行為人非法獲取核心信息的法益侵害性時，也應(yīng)當(dāng)采取形式的判斷標(biāo)準(zhǔn)，即認(rèn)為非法獲取的行為方式就已充足構(gòu)成要件，不要求存在實(shí)際損害。信息自決權(quán)雖然與隱私權(quán)同為人格權(quán)發(fā)展而來的分支權(quán)利，但隱私權(quán)是一種消極的、防御性的權(quán)利，在權(quán)利遭受侵害之前，個人無法積極主動地行使該權(quán)利，而信息自決權(quán)是一種主動性權(quán)利，不要求存在實(shí)際損害

參見劉艷紅《民法典編纂背景下侵犯公民個人信息罪的保護(hù)法益：信息自決權(quán)——以刑民一體化及〈民法總則〉第111條為視角》，《浙江工商大學(xué)學(xué)報》2019年第6期。。

首先，對于隱私性核心信息而言，無論行為人采取怎樣的手段，未經(jīng)授權(quán)而獲取信息的行為都應(yīng)當(dāng)屬于非法獲取信息。如上所述，公民對于隱私性核心數(shù)據(jù)的信息權(quán)是絕對權(quán)，信息的每一次處理都必須經(jīng)過公民授權(quán)或同意，在公民沒有表示同意或拒絕時，只能推定為拒絕，因而行為人無論采取的手段是侵入計(jì)算機(jī)系統(tǒng)等破壞性行為，抑或秘密竊取信息等平和性行為，都屬于非法獲取信息。而行為人對于隱私性核心數(shù)據(jù)的進(jìn)一步處理或利用，也構(gòu)成向他人出售或提供公民個人信息的行為，即使該行為沒有造成損失，也有必要予以刑事處罰。

其次，對于非隱私性信息但公民設(shè)置了相關(guān)防護(hù)措施的信息而言，行為人突破防護(hù)措施的行為構(gòu)成非法獲取。對于非隱私性數(shù)據(jù)而言，其成為核心數(shù)據(jù)的前提是公民設(shè)置了相關(guān)保護(hù)措施，出于對公民的信息自決權(quán)的保護(hù)，在公民設(shè)置保護(hù)措施表達(dá)了非公開或拒絕授權(quán)的意愿之后，應(yīng)當(dāng)對其賦予絕對受保護(hù)的權(quán)利。所以，在行為人突破該保護(hù)措施時，行為違背了公民的非公開或拒絕授權(quán)意愿，進(jìn)而具有了法益侵害性。

最后，針對《刑法》第二百五十三條之一所要求的“情節(jié)嚴(yán)重”，正如有學(xué)者所主張的，“情節(jié)嚴(yán)重”既可以包括發(fā)生實(shí)際損失，也可以包括非法獲取信息數(shù)量巨大的情況

參見劉艷紅《民法典編纂背景下侵犯公民個人信息罪的保護(hù)法益：信息自決權(quán)——以刑民一體化及〈民法總則〉第111條為視角》，《浙江工商大學(xué)學(xué)報》2019年第6期。。對此，兩高《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五條列舉了“情節(jié)嚴(yán)重”的具體情形，其中第三款至第六款就是對非法獲取個人信息數(shù)量的規(guī)定，按照個人信息的私密程度或與人身財(cái)產(chǎn)安全的關(guān)聯(lián)性程度不同，分別采用了不同的數(shù)量標(biāo)準(zhǔn)。結(jié)合實(shí)踐中的認(rèn)定情況而言，大部分核心信息都應(yīng)當(dāng)屬于第三款所規(guī)定的范圍之內(nèi)，即非法獲取、出售、提供五十條以上就構(gòu)成“情節(jié)嚴(yán)重”，并不涉及具體損失，而司法解釋第七款所規(guī)定的“違法所得五千元以上”，也是從行為人違法所得的角度，而非被害人損失數(shù)額的角度予以認(rèn)定。這樣的認(rèn)定方式一方面體現(xiàn)了個人信息權(quán)的主動性，另一方面也符合信息被非法獲取后難以認(rèn)定損失的實(shí)踐現(xiàn)狀。

綜上所述，對于核心信息的絕對保護(hù)源于其社會屬性最低而人身屬性最高，基于這種絕對保護(hù)，個人信息的處理必須經(jīng)過公民的明示同意，而非法獲取此類信息的法益侵害性也應(yīng)采取形式的判斷標(biāo)準(zhǔn)，不要求存在實(shí)際損害?？梢哉f，在個人信息安全與信息流通價值之間，對于核心個人信息而言，體現(xiàn)出的大部分是個人信息安全，也有必要采取更為周延廣泛的保護(hù)模式。

四、基本圈：自由與安全衡平下的一般信息

一般信息主要是指被公民授權(quán)給政府或者他人使用、處理的個人信息，這類信息既具有較高的身份可識別性，又屬于有限授權(quán)的非公開信息。隨著我國《民法典》和《個人信息保護(hù)法》的施行，無限制地收集、使用交易個人信息的“數(shù)據(jù)掠奪”時期已經(jīng)結(jié)束參見劉艷紅《網(wǎng)絡(luò)爬蟲行為的刑事規(guī)制研究——以侵犯公民個人信息犯罪為視角》，《政治與法律》2019年第11期。。無論是政府還是個人，在使用與處理這類數(shù)據(jù)時都必須符合“合理使用”的范圍，因而對一般信息的法益侵害性主要依靠對行為人是否“合理使用”的判斷。而在一般信息類犯罪中，大多涉及信息公共流通價值與公民私人信息權(quán)的衡量，可依靠比例原則與客觀合目的性原則，推出具體的判斷標(biāo)準(zhǔn)。

（一）一般信息的中間性與有限性

有限授權(quán)的一般個人信息的權(quán)利人通常情況下都是在一定范圍內(nèi)授權(quán)他人使用，或者限定在某段時間內(nèi)或某種特殊用途。這類信息一般產(chǎn)生于具有交互性的平臺，如住宿信息產(chǎn)生于用戶和酒店平臺之間、交易信息產(chǎn)生于消費(fèi)者與銷售平臺之間等，因而大多涉及用戶和網(wǎng)絡(luò)運(yùn)營商之間的授權(quán)約定。對此，《網(wǎng)絡(luò)安全法》第四十一條至第四十三條規(guī)定，網(wǎng)絡(luò)運(yùn)營者必須在其提供的服務(wù)范圍內(nèi)收集用戶信息，同時未經(jīng)允許不能向他人提供，用戶發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者在約定范圍之外收集或使用信息的，也有權(quán)利要求其刪除或修正。

由于已經(jīng)被授權(quán)他人處理，有限授權(quán)的一般個人信息已經(jīng)體現(xiàn)了公民信息自決，因而有必要被保護(hù)的已經(jīng)不再是公民完全的處置自由，而是公民對信息的處理方案。正因如此，有限授權(quán)的一般個人信息的保護(hù)性也主要依靠授權(quán)范圍來判斷，倘若某一項(xiàng)信息已經(jīng)被完全授權(quán)，在任意情況下都可以被使用或轉(zhuǎn)移，那么數(shù)據(jù)主體對該個人信息所享有的權(quán)利也相應(yīng)最低，被授權(quán)人的進(jìn)一步數(shù)據(jù)處置行為不受限制或處罰。而倘若某一項(xiàng)信息只被授權(quán)用于特殊用途，或被要求不能進(jìn)一步轉(zhuǎn)移或加工，那么大部分信息處置權(quán)限仍被掌握在數(shù)據(jù)主體手中，被授權(quán)人突破授權(quán)范圍所進(jìn)行的操作行為都構(gòu)成侵犯公民信息。

此外，與受保護(hù)的核心個人信息相似，有限授權(quán)的個人信息也具有非公開性。在對“未公開”的判斷問題上，本文認(rèn)為，即使個人信息被授權(quán)他人使用，也不能認(rèn)為該信息已經(jīng)被公開，有指向性的授權(quán)仍屬于“未公開”的范疇?！肮_”是指將信息直接發(fā)布到互聯(lián)網(wǎng)公共領(lǐng)域，以至于其他任意主體都可以自由使用該信息。公開的意義在于，權(quán)利人向外界彰示其對信息的絕對處置權(quán)的用盡，進(jìn)而免除了他人對該信息不得任意獲取的義務(wù)。并不是所有的個人信息都應(yīng)當(dāng)?shù)玫酵瘸潭鹊谋Ｗo(hù)，也并不是所有的同類信息保護(hù)程度就一定相同，這取決于權(quán)利人的保密意志，以及該意志是否為外界所識別

Walter Erman/Horst Ehmann， BGB Kommentar， 10.Aufl.， Anh §12， Rn. 39.。而信息的公開就體現(xiàn)了權(quán)利人對保密的放棄，此時刑法對信息的保護(hù)也相應(yīng)最低。

但是，有限授權(quán)的信息仍然在有限區(qū)域內(nèi)流通，或者大多數(shù)情況下只在權(quán)利人和被授權(quán)人之間流通，權(quán)利人仍然保留對該信息的處置權(quán)，如被授權(quán)人之外的第三人有不得侵犯該信息的義務(wù)，被授權(quán)人有在授權(quán)范圍內(nèi)使用該信息的義務(wù)，權(quán)利人有取消授權(quán)或授權(quán)他人的處置權(quán)利。因此，對于有限授權(quán)的個人信息而言，重要的是保護(hù)“未公開”的部分，也即權(quán)利人所保留的處置權(quán)部分。

總之，對于有限授權(quán)的一般個人信息而言，信息產(chǎn)生時就具有身份可識別性，能夠指向具體的公民個人，同時公民對他人的信息授權(quán)是有條件和范圍的，被授權(quán)人只能在該授權(quán)許可的范圍內(nèi)獲取或使用個人信息，此外這類信息同樣是非公開的，刑法對非公開部分的信息的保護(hù)所體現(xiàn)的就是對公民人格權(quán)的尊重與保護(hù)。

（二）“合理使用”的模式選擇

政府與互聯(lián)網(wǎng)平臺或公司對有限授權(quán)的一般信息的使用應(yīng)當(dāng)遵循公民的信息處理目的，其中，倘若使用行為明顯違背了公民公開信息的目的和用途，則這種行為直接侵犯了公民的信息自決權(quán)，構(gòu)成侵犯公民個人信息罪。而對于公民概括授權(quán)的部分，如何判斷使用行為在合理范圍內(nèi)，則需要結(jié)合比例原則與客觀合目的性原則。

比例原則是公法中的“帝王原則”，在數(shù)字產(chǎn)業(yè)化、價值化的背景下，社會權(quán)力成為新的人權(quán)威脅力量，許多大型技術(shù)公司和商業(yè)平臺行使著“準(zhǔn)立法權(quán)”“準(zhǔn)行政權(quán)”“準(zhǔn)司法權(quán)”

參見馬長山《智慧社會背景下的“第四代人權(quán)”及其保障》，《中國法學(xué)》2019年第5期。。因而在互聯(lián)網(wǎng)平臺企業(yè)與私主體之間使用比例原則對設(shè)定信息使用邊界、保護(hù)個人信息權(quán)益、平衡公私利益等具有必要性與可行性。對此，歐盟在《通用數(shù)據(jù)保護(hù)條例》（GDPR）中也提出了數(shù)據(jù)使用的“最小必要原則”，以此規(guī)范數(shù)據(jù)處理活動，要求數(shù)據(jù)使用者必須采取有效且侵害最小的數(shù)據(jù)使用措施，同時衡量使用措施目標(biāo)的重要性和現(xiàn)實(shí)性，考察收益與成本是否成比例

EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data.。最典型的例子是疫情期間對公民核酸檢測信息的使用，這一使用行為對社會公共利益的維護(hù)高于對公民隱私權(quán)的維護(hù)，且具有必要性，可以認(rèn)為是“合理使用”。

客觀合目的性原則是以侵犯公民個人信息罪保護(hù)法益為核心的實(shí)質(zhì)標(biāo)準(zhǔn)。一方面，法益處分自由本身也應(yīng)當(dāng)包含在法益概念之中，因而違背公民目的的信息使用行為可以構(gòu)成侵犯公民個人信息罪

參見周光權(quán)《侵犯公民個人信息罪的行為對象》，《清華法學(xué)》2021年第3期。；另一方面，由于公民對信息的使用目的具有較高的抽象性與主觀性，客觀合目的性原則也提出了實(shí)質(zhì)判斷標(biāo)準(zhǔn)，即倘若信息的收集和使用者明確告知公民其收集和使用信息的目的、方式、范圍等情況，同時在信息處理過程中遵循這一目的或用途，保障了公民的知情權(quán)與選擇權(quán)，那么其在信息使用中的行為就無法構(gòu)成侵犯公民個人信息罪。此外，倘若公民沒有明確表示拒絕信息收集與使用，而收集與使用行為又符合社會一般用途，那么也不應(yīng)認(rèn)為構(gòu)成侵犯公民個人信息罪。

五、輻射圈：秩序維護(hù)角度下的公開信息

從概念與權(quán)利本質(zhì)上來說，公開信息是全社會共享的公共資源，社會公眾有權(quán)獲取已公開的個人信息。但是，數(shù)據(jù)的開放與流通也會帶來篡改與濫用等不法侵害的風(fēng)險?！秶窠?jīng)濟(jì)和社會發(fā)展第十四個五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》指出，建立健全國家公共數(shù)據(jù)資源體系，確保公共數(shù)據(jù)安全。對于公開信息的管理與保護(hù)應(yīng)當(dāng)以風(fēng)險調(diào)控為導(dǎo)向，維護(hù)數(shù)據(jù)在公共空間的安全管理秩序。且即使信息已被公開，其后續(xù)使用也需遵循公民的公開目的。

（一）公開信息流通中的公民自決權(quán)貫徹

當(dāng)個人信息的權(quán)利人選擇將信息完全公開流通時，就意味著允許他人自由獲取該信息。如上所述，公民信息自決權(quán)本質(zhì)上是由隱私權(quán)發(fā)展而來的，因而其受保護(hù)原理在于，公民在公共領(lǐng)域和私人領(lǐng)域之間劃定了界限，他人無權(quán)在未經(jīng)同意的情況下侵入該私人領(lǐng)域。正因如此，公民必須以外界可感知的方式將這種“免遭打擾”的態(tài)度公之于眾，以使得他人能夠識別出這種氣氛

BVerfG NJW 2000， 1021.。所以，信息被公開的行為已經(jīng)彰顯了，公民概括性授權(quán)公眾獲取其信息。正因如此，公開信息具有公共屬性，在以私密程度為形式判斷標(biāo)準(zhǔn)的圈層保護(hù)中，公開信息由于私密程度最低而僅處于最外圍的輻射圈。

不過，公開信息的本質(zhì)仍然是個人信息，公開信息的個人屬性主要體現(xiàn)在信息被公開并不意味著可被任意使用或再次授權(quán)、再加工。根據(jù)兩高《關(guān)于辦理公民個人信息刑事案件適用法律若干問題的解釋》，未經(jīng)被收集者同意，將以合法方式獲取的他人信息提供給他人的行為也構(gòu)成犯罪。但是關(guān)于何時認(rèn)定行為為非法使用行為，實(shí)踐中仍存在爭議。例如同樣是收集并出售公開的企業(yè)信息，江蘇省揚(yáng)州市中院認(rèn)為該行為構(gòu)成侵犯公民個人信息罪

參見江蘇省揚(yáng)州市中級人民法院（2020）蘇10刑終79號刑事裁定書。，而江蘇省泰州醫(yī)藥高新區(qū)檢察院則監(jiān)督公安機(jī)關(guān)作出了撤案處理

參見盧志堅(jiān)、白翼軒、田競《出賣公開的企業(yè)信息謀利》，《檢察日報》2021年1月20日，第1版。。學(xué)界對已公開信息的再次使用行為是否應(yīng)當(dāng)入罪以及其入罪根據(jù)和界限也存在爭議。入罪說認(rèn)為，個人信息的受保護(hù)依據(jù)是身份可識別性，因而即使被公開仍然具有受保護(hù)性，后續(xù)使用行為需要公民“二次授權(quán)”或“合目的性考察”“客觀開放程度標(biāo)準(zhǔn)”

參見蔡云《公民個人信息的司法內(nèi)涵》，《人民司法（案例）》2020年第2期；喻海松《侵犯公民個人信息罪司法疑難之案解》，《人民司法（案例）》2018年第32期；王華偉《已公開個人信息的刑法保護(hù)》，《法學(xué)研究》2022年第2期。；出罪說則認(rèn)為，既然信息已經(jīng)被公開，那么行為人在網(wǎng)上獲取該信息的行為就不具有法益侵害性，而倘若獲取行為作為上游行為都不具有法益侵害性，那么作為下游行為的再次使用、轉(zhuǎn)賣等行為也不應(yīng)當(dāng)被作為犯罪處理

參見劉艷紅《民法典編纂背景下侵犯公民個人信息罪的保護(hù)法益：信息自決權(quán)——以刑民一體化及〈民法典〉第111條為視角》，《浙江工商大學(xué)學(xué)報》2019年第6期。。

如前所述，個人信息受保護(hù)的根據(jù)在于公民自決權(quán)，因而行為是否具有法益侵害性的判斷標(biāo)準(zhǔn)也應(yīng)當(dāng)結(jié)合公民對信息的處理目的來確定。應(yīng)當(dāng)承認(rèn)的是，公民在決定公開信息時已經(jīng)向公眾概括性地授予了使用權(quán)限，但公民自決權(quán)是一項(xiàng)多維的集合性權(quán)利，不僅包含了信息公開，還包括拒絕他人對信息處理的拒絕權(quán)、知悉他人對信息處理情況的知情權(quán)、修改與增刪信息記錄的修改權(quán)、刪除信息記錄的刪除權(quán)與封鎖權(quán)等

Vgl. Peter Gola/Dirk Heckmann， BDSG Kommentar， 13.Aufl.， §36 Rn.1ff.

。所以即使公民決定將信息公開，也不意味著信息自決權(quán)已經(jīng)用盡，當(dāng)行為人使用信息的行為違背了公民的處理目的時，仍應(yīng)當(dāng)認(rèn)為行為人侵犯了公民的信息自決權(quán)，進(jìn)而處理信息的行為具有法益侵害性。

信息自決權(quán)這一受保護(hù)法益決定了已公開信息受保護(hù)范圍的確定應(yīng)當(dāng)以信息處理目的作標(biāo)準(zhǔn)，但是這一標(biāo)準(zhǔn)存在過于主觀的問題，需要進(jìn)一步客觀化。根據(jù)《民法典》第一千零三十六條的規(guī)定，在權(quán)利人同意的范圍內(nèi)合理實(shí)施的，或?qū)?quán)利人自行公開或已經(jīng)公開的信息的處理行為不承擔(dān)民事責(zé)任，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。因而在判斷刑事責(zé)任時，也應(yīng)當(dāng)以權(quán)利人“明確拒絕”或者“具有重大利益損失”為客觀判斷標(biāo)準(zhǔn)。應(yīng)當(dāng)認(rèn)為，信息公開行為本身就意味著概括性授權(quán)，通常的使用行為都處于可期待的合理使用范圍，符合公民處理信息的目的，只有該公民明確提出拒絕，或由于存在重大利益損失而能夠推斷該公民拒絕此種處理時，該處理行為才違背了公民的信息自決權(quán)，從而具有法益侵害性。

（二）公開信息流通中的秩序法益保護(hù)

1.確立被害人教義學(xué)在信息犯罪中的應(yīng)用

被害人的保護(hù)可能性與需保護(hù)性的判斷是被害人教義學(xué)中提出的對法益侵害性判斷的兩項(xiàng)標(biāo)準(zhǔn)。如果被害人具有較強(qiáng)的自我保護(hù)可能性，而怠于進(jìn)行自我保護(hù)，那么刑法就不應(yīng)介入對法益的直接保護(hù)。在判斷被害人無力實(shí)現(xiàn)自我保護(hù)的基礎(chǔ)上，再判斷被害人是否具有需保護(hù)性，即該個體的法益具有刑法上值得被保護(hù)的地位

參見申柳華《德國刑法被害人信條學(xué)研究》，北京：中國人民公安大學(xué)出版社，2011年。。被害人教義學(xué)是刑法構(gòu)成要件規(guī)定范圍內(nèi)的一種解釋原則，或者說是刑法目的論解釋（teleologische Auslegung）的一種解釋方法，補(bǔ)充分則中刑法構(gòu)成要件的解釋

Vgl. Bernd Schünemann， Strafrechtssystem und Betrug， Centaurus Verlag， Herbolzheim 2002， S.72-73f.

。在信息犯罪中，尤其是在公民自我決定公開或授權(quán)信息被他人使用的場合，公民的被保護(hù)可能性與需保護(hù)性也應(yīng)當(dāng)成為補(bǔ)充構(gòu)成要件解釋的法益侵害侵害性判斷標(biāo)準(zhǔn)。

信息社會中，公民個人信息隨時存在泄露的風(fēng)險，尤其是大數(shù)據(jù)技術(shù)發(fā)展后，個人外部聯(lián)系與信息安全呈現(xiàn)逆相關(guān)，可以說，個人與社會的聯(lián)系越強(qiáng)，個人信息的泄露風(fēng)險越高，信息的安全程度越弱

參見王肅之《被害人教義學(xué)核心原則的發(fā)展》，《政治與法律》2017年第10期。。因此，公民只要置身于信息社會，個人信息的保護(hù)可能性就都處于較低境地。尤其在公共領(lǐng)域，已經(jīng)公開的信息可以被任何人自由獲得，公民對該信息的自我保護(hù)可能性尤為微弱。但是，從需保護(hù)性的角度而言，公民自我決定公開其信息，并令其信息進(jìn)入公共領(lǐng)域中自由流通時，已經(jīng)彰示了對信息保密性的放棄。同時，如上所述，公民概括性授權(quán)了他人處理其信息，除非明確拒絕或存在重大利益損失，否則他人的信息處理行為都屬于公民同意的范疇之內(nèi)。因而，對比使用了保護(hù)措施的核心信息、有限授權(quán)的一般信息，在完全公開流通的公共信息中，公民自己的公開決定導(dǎo)致刑法上的需保護(hù)性大幅度降低。

雖然公共信息中公民個體的需保護(hù)性最低，但是這并不意味著公共信息本身不具有需保護(hù)性。正如個人法益與超個人法益，信息中的公共屬性與私人屬性也存在此消彼長的關(guān)系，當(dāng)信息被公民公開并在公共空間流通時，其承載的法益就由公民個體的人格權(quán)轉(zhuǎn)為公共信息安全秩序，因而此時對公共信息的需保護(hù)性考察應(yīng)當(dāng)從秩序維護(hù)的角度進(jìn)行。正因如此，有學(xué)者指出，被害人教義學(xué)在信息社會崛起的當(dāng)下語境中，應(yīng)當(dāng)突破僅僅基于侵犯個人法益的犯罪范疇進(jìn)行理論分析，發(fā)展到侵犯公共法益的犯罪中，同樣發(fā)揮被害人教義學(xué)核心原則的作用

參見王肅之《被害人教義學(xué)核心原則的發(fā)展》，《政治與法律》2017年第10期。。而站在維護(hù)信息秩序的公共法益的角度，即使公民已經(jīng)概括性同意了他人獲取、使用信息的行為，對信息的獲取、使用行為也應(yīng)當(dāng)遵循信息安全有序流通的合理方式，刑法有必要對這種秩序法益進(jìn)行保護(hù)。

2.確立數(shù)字治理理念下的風(fēng)險預(yù)防規(guī)范

公開信息的流通一方面遵循公開該信息的公民的目的，一方面也需遵循一定的秩序規(guī)范。隨著信息流通性與公開性的增強(qiáng)，對公共信息刑法保護(hù)的研究范式必須擺脫固有的對公民個體消極信息防御權(quán)的分析，轉(zhuǎn)向以數(shù)據(jù)治理為理念的風(fēng)險預(yù)防。

首先，由于信息存在大量分享和快速流轉(zhuǎn)的趨勢，個人信息主體和信息控制主體的分立已經(jīng)成為常態(tài)現(xiàn)象，單純保護(hù)信息主體個人的法益已經(jīng)無法適應(yīng)這一現(xiàn)實(shí)情況。如上所述，由于信息本身存在的易傳播性，個人信息具有較強(qiáng)的社會屬性，尤其在信息被公開之后，大部分有價值的公民信息會被企業(yè)或平臺收集，進(jìn)而處理或分析，而信息又可能在各個平臺之間流轉(zhuǎn)，因而個人信息可能同時存在多個實(shí)際控制者，這也是個人信息難以確權(quán)的首要原因。而隨著同一信息數(shù)據(jù)上的權(quán)利主體的增加，對產(chǎn)生信息的公民而言，其信息被不當(dāng)使用的風(fēng)險也相應(yīng)增高，因而確立并維護(hù)數(shù)據(jù)流通秩序的同時也避免了對信息法益的抽象危險。

其次，《民法典》《網(wǎng)絡(luò)安全法》等前置法為秩序維護(hù)角度的信息保護(hù)提供了基礎(chǔ)。《民法典》第一千零三十五條規(guī)定，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則處理個人信息，《網(wǎng)絡(luò)安全法》則進(jìn)一步從維護(hù)網(wǎng)絡(luò)運(yùn)行安全的角度，為網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)服務(wù)商、相關(guān)行業(yè)組織提出了具體的義務(wù)，例如，網(wǎng)絡(luò)運(yùn)營者不得收集與其提供的服務(wù)無關(guān)的個人信息，應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定處理其保存的個人信息

《中華人民共和國網(wǎng)絡(luò)安全法》第41條。。由此可見，前置法中已經(jīng)為個人信息的流通與處理使用提供了具體保護(hù)方案，公民公開信息的行為并不代表著個人信息在公共領(lǐng)域隨意流通，無論是企業(yè)或個人對個人信息的使用處理行為仍需按照一定的秩序與義務(wù)。

最后，以安全維護(hù)為本位的個人信息保護(hù)模式也有利于保護(hù)集體信息安全，防止我國國民信息被泄露或不當(dāng)使用。隨著信息技術(shù)與統(tǒng)計(jì)學(xué)、數(shù)據(jù)分析技術(shù)的結(jié)合，政府和公共服務(wù)機(jī)構(gòu)通過廣泛收集個人信息，可以有效分析社情民意，并借此作出科學(xué)有效的決策，推進(jìn)公共服務(wù)和公共治理工作，這也是“數(shù)字政府”“服務(wù)政府”的構(gòu)建基礎(chǔ)

參見張新寶《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學(xué)》2015年第3期。。數(shù)據(jù)在帶來公共價值的同時，也帶來了系統(tǒng)性的泄露風(fēng)險，尤其是關(guān)于國民醫(yī)療、教育、民生等方面的個人信息，能夠在一定程度上反映政府的決策方向與國家的經(jīng)濟(jì)走向，即使公民授權(quán)將其公開，也有必要維護(hù)其在安全范圍內(nèi)有序流通。

綜上所述，對于完全公開的信息而言，公民的概括性同意能夠免除他人獲取信息的責(zé)任，但是刑法仍然有必要保護(hù)已公開信息在公共領(lǐng)域的流通秩序，通過對數(shù)據(jù)使用和處理方的義務(wù)設(shè)定，實(shí)現(xiàn)信息安全的風(fēng)險調(diào)控。

六、結(jié)論

侵犯公民個人信息罪的具體構(gòu)成要件是理論與實(shí)踐中認(rèn)定的模糊地帶，一方面，應(yīng)當(dāng)限縮行為方式的認(rèn)定范圍，防止其衍生為新的“口袋罪”，另一方面，也必須充分考察各類信息數(shù)據(jù)的屬性與應(yīng)保護(hù)性，防止公民信息權(quán)遭到侵犯。個人信息領(lǐng)域的爭議，根本上來源于其所兼具的人身屬性與社會屬性，個人信息所具備的法益是一種以自決權(quán)為基礎(chǔ)、兼具信息安全秩序的復(fù)合法益，需要首先保障個人信息按照公民的授權(quán)流轉(zhuǎn)，然后以信息的系統(tǒng)性安全為信息秩序的整體調(diào)控補(bǔ)充。

影響信息自決權(quán)的保護(hù)程度的要素主要是信息的私密程度和公民授權(quán)的范圍，其中，信息的私密程度決定了刑法對信息的需保護(hù)性，公民授權(quán)或公開的程度決定了刑法對信息的應(yīng)保護(hù)性。以二者為標(biāo)準(zhǔn)，可將信息分為三級圈層：“靶心圈”核心信息、“基本圈”一般信息、“輻射圈”公開信息。

靶心圈的核心信息必須是涉及公民核心隱私領(lǐng)域的或者公民拒絕授權(quán)與公開使用的信息。刑法對公民的核心信息應(yīng)當(dāng)進(jìn)行嚴(yán)格的保護(hù)，核心信息只有在公民明示同意授權(quán)或公開的前提下，才能被他人獲取或使用。在公民并未表示同意或拒絕時，只能依照客觀情況推定公民“不同意授權(quán)”，而不能推定同意。此外，對核心信息的法益侵害性應(yīng)當(dāng)使用形式判斷標(biāo)準(zhǔn)，在他人非法獲取核心信息的情形下，無需造成實(shí)際損害即可認(rèn)定存在法益侵害。

基本圈的一般信息是指具有一定身份可識別性的、公民部分授權(quán)他人使用的信息。在針對一般信息的犯罪中，涉及信息公共流通價值與公民個人信息權(quán)的衡量。應(yīng)當(dāng)根據(jù)比例原則，衡量信息使用的目標(biāo)重要性和現(xiàn)實(shí)性，考察收益與成本是否成比例，判斷行為是否在“合理使用”的范疇中。同時結(jié)合客觀合目的性原則，在信息的收集和使用者明確告知公民其收集和使用信息的目的并遵循這一目的時，或者公民沒有明確表示拒絕信息收集與使用，而收集與使用行為又符合社會一般用途時，可以阻卻使用者的責(zé)任。

輻射圈的公開信息是指已經(jīng)被公民公開而進(jìn)入公共互聯(lián)網(wǎng)領(lǐng)域的信息。公開信息是全社會共享的公共資源，社會公眾有權(quán)獲取已公開的個人信息，因而刑法應(yīng)當(dāng)側(cè)重于從秩序維護(hù)的角度保護(hù)公共信息，轉(zhuǎn)向風(fēng)險預(yù)防的理念。而在個人信息權(quán)保護(hù)層面，則應(yīng)當(dāng)認(rèn)為對于公開信息的通常使用行為都處于可期待的合理使用范圍，符合公民處理信息的目的，只有該公民明確提出拒絕，或由于存在重大利益損失而能夠推斷該公民拒絕此種處理時，該處理行為才違背了公民的信息自決權(quán)，從而具有法益侵害性。

（責(zé)任編輯" 劉" 英）