摘要：數(shù)字時代，個人信息成為重要社會資源。民事法規(guī)范和刑事規(guī)范日益重視對公民個人信息的保護，刑法率先擔負起保護個人信息的重任，經(jīng)歷了從依附到獨立再到合并三個立法階段。隨著民事法律的完善，“刑先民后”的立法政策弊端漸顯，致使侵犯公民個人信息罪出現(xiàn)“個人信息”認定及分類模糊、“知情同意”作為出罪事由缺乏銜接等問題。通過規(guī)范該罪民刑銜接具體路徑，立法上增設(shè)非法使用公民個人信息條款，將非法使用行為與非法提供行為并列規(guī)定，周延侵犯公民個人信息罪的行為規(guī)制方式。

關(guān)鍵詞：侵犯公民個人信息罪；《民法典》；《個人信息保護法》；民刑銜接

中圖分類號：D924.3文獻標識碼：A文章編號：2095-6916（2025）05-0061-04

Normative Adjustment of the Crime of Infringing on Citizens’ Personal Information

from the Perspective of the Connection Between Civil and Criminal Laws

Li Ruotong

（Southwest Jiaotong University， Chengdu 510100）

Abstract： In the digital age， personal information has become an important social resource. Civil law norms and criminal norms are placing increasing emphasis on the protection of citizens’ personal information. Criminal law has taken the lead in assuming the heavy responsibility of protecting personal information， going through three legislative stages： from dependence to independence and then to integration. With the improvement of civil law， the drawbacks of the legislative policy of “criminal law first， civil law second” have gradually emerged， leading to problems in the crime of infringing upon citizens’ personal information. These include the ambiguous determination and classification of “personal information” and the lack of connection of “informed consent” as a reason for exculpation. We can regulate the specific path of the connection between civil and criminal laws for this crime， add provisions on the illegal use of citizens’ personal information in legislation， juxtapose illegal use acts and illegal provision acts， and extend the way of behavior regulation of the crime of infringing on citizens’ personal information.

Keywords： crime of infringing on citizens’ personal information; the Civil Code; the Personal Information Protection Law; connection between civil and criminal laws

近年來，侵犯公民信息事件頻發(fā)，大量個人信息被不當收集、處理甚至泄露，成為電信網(wǎng)絡(luò)詐騙猖獗的重要原因，以往的重刑輕民政策難以適應(yīng)現(xiàn)階段兼顧個人信息保護和促進數(shù)字經(jīng)濟發(fā)展的趨勢。大數(shù)據(jù)時代，個人信息安全直接關(guān)系到公民個人生活安寧和人身財產(chǎn)安全。如何更好地規(guī)制侵犯公民個人信息的行為是符合當下發(fā)展與規(guī)范治理需要的重要課題，也是極為重要并迫在眉睫的現(xiàn)實問題，本文擬通過比較分析法、法律文本分析法，探索研究民刑銜接的思路，以期為完善該罪提供參考。

一、問題的提出

大數(shù)據(jù)時代，公民個人信息被侵犯事件頻發(fā)。為了遏制日益猖獗的不當信息處理行為，在民事法律尚未健全的情況下，刑事懲戒手段率先擔負起規(guī)制侵犯公民個人信息行為的重任。盡管這種“刑先民后”的立法策略有效打擊了相關(guān)犯罪，但存在明顯弊端。一方面，刑法的單向擴張與其謙抑性原則相抵牾；另一方面，法秩序統(tǒng)一原理要求部門法間保持一致性?！靶滔让窈蟆钡牧⒎ㄕ邔е滦谭y以對新型法益侵害行為做出有效判定?，F(xiàn)階段，民事法律規(guī)范和侵犯公民個人信息罪的立法間隙不斷加深，在民刑銜接視角下探尋侵犯公民個人信息罪的完善路徑，有助于有效實施個人信息的民刑銜接保護。

二、公民個人信息保護的刑法規(guī)程

個人信息的雙重屬性使其成為重要的社會資源，非法收集、買賣等不當處理行為頻發(fā)，凸顯了法律保護的必要性、緊迫性。立法機關(guān)在刑事法領(lǐng)域率先開展立法，我國對個人信息的刑事司法保護經(jīng)歷了三個階段。

第一階段是依附保護階段。2005年《刑法修正案（五）》增設(shè)妨害信用卡管理罪，首次涉及“公民個人信息”表述。此時，個人信息保護范圍窄、力度小，民事法律未進行專門規(guī)定，困紓于隱私權(quán)范疇討論個人信息的民事法規(guī)制。

第二階段是獨立保護階段。2009年《刑法修正案（七）》第七條增設(shè)條文，出售、非法提供公民個人信息罪的犯罪主體僅限于特殊行業(yè)中的特殊主體，非法利用行為也被作入罪處理。此階段在具體的制度設(shè)計上仍未能探尋其本質(zhì)。同階段的民事法領(lǐng)域，2013年出臺的《消費者權(quán)益保護法》規(guī)定了消費者享有個人信息依法得到保護的權(quán)利，以及侵犯個人信息應(yīng)承擔的法律責任。

第三階段是侵犯公民個人信息罪階段。2015年《刑法修正案（九）》將上述三行為合并為“侵犯公民個人信息罪”，擴展規(guī)制范圍至一般主體，并將特殊主體的侵權(quán)行為納入加重處罰情節(jié)。此階段對個人信息的源頭和流通關(guān)鍵環(huán)節(jié)進行針對性保護，擴大了對相關(guān)犯罪行為的打擊范圍和覆蓋面?！睹穹ǖ洹愤M一步明確個人信息權(quán)，并規(guī)定在人格權(quán)篇中。隨后出臺的《中華人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）將信息獲取、處理、流通等方面納入到民事法律規(guī)范的全方位保護中。

三、侵犯公民個人信息罪的規(guī)范供給問題

（一）標準缺失：“個人信息”認定及分類模糊

一是“個人信息”認定標準不一導致罪名濫用。我國針對公民個人信息保護的立法和司法實踐雖歷經(jīng)多年，但目前對個人信息的界定和分類仍未形成統(tǒng)一標準。對于公民個人信息內(nèi)涵的界定最早可以追溯到2011年頒布的《最高人民法院、最高人民檢察院關(guān)于辦理危害計算機信息系統(tǒng)安全刑事案件應(yīng)用法律若干問題的解釋》，該解釋第十一條將“個人信息”等同于“身份認證信息”。2016年《中華人民共和國網(wǎng)絡(luò)安全法》對公民個人信息的內(nèi)涵做了進一步完善，對公民個人信息的認定采用“識別說”。《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱“《個人信息解釋》”）和《民法典》關(guān)于個人信息的界定一致。2021年施行的《個人信息保護法》則在“識別說”的基礎(chǔ)上增加了“關(guān)聯(lián)說”。在司法實踐中，司法人員對“識別性”概念理解不足，判決書中缺乏對涉案信息是否能夠識別特定身份及其程度的論證。此外，還有將不具備識別價值的鏈接型信息誤認定為公民個人信息的問題，比如將App的登錄賬號、密碼和綁定的電話號碼認定為“可能影響財產(chǎn)安全的公民個人信息”，以侵犯公民個人信息罪加以規(guī)制，是否有必要將此類不具直接可識別性的信息納入刑法規(guī)制有待商榷。

二是“個人信息”分類不科學致特殊主體保護力度欠缺。侵犯公民個人信息罪對個人信息的保護采取“定性”和“定量”相結(jié)合的方式。定性上，主要判斷個人信息是否具有“可識別性”。定量上，確定個人信息入罪數(shù)量以信息的重要程度為基準，信息的重要性越強，入罪數(shù)量要求就越低?！秱€人信息解釋》第五條第一款實質(zhì)上對個人信息進行了概括分類，將其按照重要程度區(qū)分為敏感信息、重要信息、一般信息。雖然區(qū)分了重要信息與敏感信息，但實踐中存在諸多問題［1］。一方面，信息的重要程度會隨場景變化而變化；另一方面，信息分類過于細化，既未能體現(xiàn)不同重要程度信息的保護立法理念，又因區(qū)分標準相近，導致司法實務(wù)缺乏可操作性。

（二）功能弱化：“知情同意”作為出罪事由缺乏銜接

一是刑事法律規(guī)范未明確出罪事由?！秱€人信息解釋》第三條第二款規(guī)定“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第253條之一規(guī)定的提供公民個人信息”。可見，刑法禁止超出授權(quán)范圍擅自處理個人信息。同理，反之可認定為同意，成為將個人信息提供給他人行為的違法阻卻事由。但該條款引起了爭議：對已公開的個人信息使用是否需要獲取權(quán)利主體的二次授權(quán)。從隱私權(quán)視角看，已公開的個人信息不再具有隱秘性，不屬于“個人信息”范疇，后續(xù)處理行為不具法益侵害性。但是，從人格權(quán)角度來看，人格權(quán)不因信息公開與否而失去保護必要性，因此已公開信息仍應(yīng)被視為“個人信息”，后續(xù)利用行為應(yīng)獲得權(quán)利主體的二次同意。在司法適用中，也存在類似矛盾。

二是告知同意規(guī)則被質(zhì)疑?！爸橥狻币?guī)則允許公民決定是否允許他人使用自己的個人信息，但在實踐中存在問題。一方面，不區(qū)分信息種類和處理環(huán)節(jié)地應(yīng)用該規(guī)則可能降低信息流通效率，增加數(shù)據(jù)流動成本；另一方面，很多互聯(lián)網(wǎng)平臺設(shè)置了復雜的專業(yè)化協(xié)議和隱私聲明，導致個人同意流于形式，信息所有者地位被削弱。這就導致“知情同意”規(guī)則難以在司法實踐中廣泛適用［2］。涉及刑事案件的個人信息量大，驗證同意真實性存在困難，詳細核實真?zhèn)坞y度較大，不具備實際操作性。

四、民刑銜接視角下侵犯公民個人信息罪的規(guī)范調(diào)適

（一）個人信息的認定堅持“識別性”本質(zhì)

一是民事法律規(guī)范中的“個人信息”界定。民事法律規(guī)范中關(guān)于個人信息界定的法律條文較多，主要有《民法典》第一千零三十四條、《個人信息保護法》第四條等。在民事法律規(guī)范中，個人信息的界定標準主要是信息是否具有可識別性。如果某種信息能準確識別特定身份，則應(yīng)認定為個人信息。公民信息具有可識別性，能夠與特定自然人相關(guān)聯(lián)，并識別出其個人情況與特征，這類信息應(yīng)列入法律保護范圍。

二是侵犯公民個人信息罪中個人信息的合理界定。法律強調(diào)“形式統(tǒng)一性”，要求個人信息保護受到民法和刑法的雙重規(guī)范。刑法中的個人信息界定應(yīng)以《民法典》和《個人信息保護法》為依托。一方面，刑法中個人信息概念應(yīng)嚴格區(qū)分個人信息、個人數(shù)據(jù)與隱私，采納狹義個人信息概念，依據(jù)《民法典》厘定的權(quán)利外延，對不同權(quán)利采取區(qū)分保護策略；另一方面，個人信息的“可識別性”是其靜態(tài)內(nèi)涵，但不應(yīng)忽視信息的動態(tài)維度中的場景性［3］。侵犯公民個人信息的界定應(yīng)以實現(xiàn)選擇和決定功能為目的，以征表信息主體意志為目的，個人信息與信息權(quán)利者的所有權(quán)關(guān)系是這種完全行動自由的基礎(chǔ)。刑法中個人信息的認定應(yīng)堅持“識別性”本質(zhì)，區(qū)分靜態(tài)和動態(tài)兩種類型，具體可參照《民法典》第一千零三十四條具體規(guī)定［4］。筆者認為，侵犯公民個人信息罪應(yīng)以信息自決權(quán)為保護法益，包括自我選擇權(quán)和自我決定權(quán)。信息主體的意志是界定個人信息的關(guān)鍵考量，只有賦予信息主體完全的處理權(quán)限，才能實現(xiàn)對個人信息的自決和有效的保護。

（二）“知情同意”規(guī)則與刑法中被害人同意的實質(zhì)契合

一是明確民事法律規(guī)范中的免責事由?！爸橥狻币?guī)則和合理利用規(guī)則是《民法典》構(gòu)建的民事免責事由。與刑法中作為違法阻卻事由的被害人同意一致，都強調(diào)自我決定權(quán)的運用。盡管民法中的意思表示與刑法中的被害人同意有所不同，但兩者都建立在自我決定權(quán)的基礎(chǔ)上。因此，在《民法典》規(guī)定免責事由的背景下，應(yīng)細化侵犯公民個人信息罪的出罪事由，以探尋法秩序統(tǒng)一性和違法判斷相對性的平衡點［5］。

二是細化侵犯公民個人信息罪的出罪事由。傳統(tǒng)的“知情同意”規(guī)則要求自然人在同意個人信息被收集時評估信息處理的潛在風險，但成本（收益）考慮依賴于對未知風險的判斷［6］。用戶在面對信息收集時，可能無法預測后續(xù)處理對其財產(chǎn)、人身、隱私等權(quán)利的潛在損害，且被害人需對法益侵犯的方式、程度及風險有具體了解［6］。不論是針對民事免責事由的知情同意，還是刑法阻卻違法事由的被害人同意，二者都是建立在權(quán)利被侵害人的決定權(quán)之上，均具有實質(zhì)契合性［7］。如果互聯(lián)網(wǎng)經(jīng)營者在隱私政策中明確告知用戶后續(xù)處理行為及關(guān)聯(lián)風險，并獲得用戶同意，則符合被害人同意的要求，從而產(chǎn)生阻卻刑事違法性的效力，后續(xù)處理行為即使對個人信息造成損害，也不構(gòu)成犯罪。

（三）增設(shè)非法使用公民個人信息條款

一是完善民事法律規(guī)范中涉?zhèn)€人信息的行為方式。針對個人信息的后續(xù)處理行為，《民法典》要求“應(yīng)當遵循合法、正當、必要原則，不得過度處理”“合理實施”，并將個人信息處理環(huán)節(jié)中的各個流轉(zhuǎn)鏈條在第一千零三十五條加以涵蓋。該指引對個人信息被非法利用現(xiàn)象的刑事化治理具有導向意義，對信息網(wǎng)絡(luò)時代個人信息被非法利用的刑事化治理有切實指導作用。侵犯公民個人信息罪規(guī)定了非法獲取、提供、出售三種行為方式，但缺失與民事規(guī)范中的“使用”“加工”等行為相對應(yīng)的方式。從民刑銜接視角看，應(yīng)增設(shè)非法使用公民個人信息行為類型。

二是增設(shè)侵犯公民個人信息罪行為類型。理論界對非法使用個人信息行為的刑法規(guī)制路徑存在爭議。解釋論者主張通過擴充非法的內(nèi)涵，將非法利用的目的納入其中。立法論者則認為，非法利用行為已成為侵犯公民個人信息罪的核心，應(yīng)重構(gòu)犯罪行為方式體系，將非法利用行為單獨列為罪名的一款，并作為該罪的第一款［8］。筆者支持立法論觀點，罪刑法定原則要求法律規(guī)范具備邏輯性和內(nèi)在一致性。非法使用個人信息行為與非法出售、提供、獲取等行為缺乏同質(zhì)性，將其通過解釋路徑納入個人信息罪名體系中不符合罪刑法定原則［9］。最佳規(guī)制路徑是通過類比非法提供個人信息行為，調(diào)整《刑法》第二百五十三條之一第一、二款的規(guī)定，在行為性質(zhì)上，作為后續(xù)處理非法使用行為與非法提供行為實質(zhì)性并列［10］?！缎谭ā返诙僖皇艞l關(guān)于商業(yè)秘密罪的規(guī)定，將非法使用行為與非法提供行為并列，從而確保刑法內(nèi)在秩序的統(tǒng)一。

五、結(jié)語

大數(shù)據(jù)時代，個人信息兼具財產(chǎn)與人身安全屬性，成為重要社會資源及個人自由與社會發(fā)展的關(guān)鍵。隨著其價值被挖掘，不法利用風險上升，推動其他犯罪發(fā)生。刑法與民事立法均逐漸重視并完善個人信息保護，但需實現(xiàn)結(jié)構(gòu)合理、邏輯自洽。“先刑后民”立法政策的弊端逐漸顯現(xiàn)，應(yīng)遵循法秩序統(tǒng)一原理，尋求個人信息保護的民刑銜接。明確個人信息具體人格屬性，針對刑法仍應(yīng)堅持“識別性”本質(zhì)。完善民事法律中的知情免責事由，將風險識別和預測的義務(wù)轉(zhuǎn)移到互聯(lián)網(wǎng)經(jīng)營主體身上，使“知情同意”規(guī)則借由被害人同意這一違法阻卻事由具備刑法上的出罪功能。通過立法增設(shè)非法使用公民個人信息條款，將非法使用行為與非法提供行為并列規(guī)定，周延侵犯公民個人信息罪的行為規(guī)制方式。

參考文獻：

［1］周光權(quán).侵犯公民個人信息罪的行為對象［J］.清華法學，2021（3）：25-40.

［2］王利明.和而不同：隱私權(quán)與個人信息的規(guī)則界分和適用［J］.法學評論，2021（2）：15-24.

［3］劉艷紅.侵犯公民個人信息罪法益：個人法益及新型權(quán)利之確證——以《個人信息保護法》（草案）為視角之分析［J］.中國刑事法雜志，2019（5）：19-33.

［4］張新寶.《民法總則》個人信息保護條文研究［J］.中外法學，2019（1）：54-75.

［5］孫國祥.民法免責事由與刑法出罪事由的互動關(guān)系研究［J］.現(xiàn)代法學，2020（4）：156-170.

［6］李立豐.《個人信息保護法》中“知情同意條款”的出罪功能［J］.武漢大學學報（哲學社會科學版），2022（1）：143-156.

［7］王鋼.被害人承諾的體系定位［J］.比較法研究，2019（4）：29-46.

［8］李振林.非法取得或利用人臉識別信息行為刑法規(guī)制論［J］.蘇州大學學報（哲學社會科學版），2022（1）：72-83.

［9］陳興良.罪刑法定的價值內(nèi)容和司法適用［J］.人民檢察，2018（21）：28-34.

［10］劉憲權(quán)，宋子瑩.非法使用個人信息行為刑法規(guī)制論［J］.青少年犯罪研究，2022（4）：64-73.

作者簡介：李若彤（1999—），女，漢族，河南夏邑人，單位為西南交通大學，研究方向為知識產(chǎn)權(quán)、政府法務(wù)。

（責任編輯：王寶林）