个人信息保护的刑法视野

侯撼 岳童谣

摘要：厘清个人信息概念与个人信息权的法律属性是有效保护个人信息的基础。从个人信息刑法保护的立法沿革来看，我国目前在民事立法上适用新型具体人格权说，但刑事法仍然以过去的隐私权模式对个人信息进行保护，刑事立法在个人信息保护方面存在前置性立法仍待完善，附属于隐私权的保护模式具有滞后性等问题。完善个人信息保护之刑法路径，应完善前置性立法，加强部门法之间的衔接;转变刑法规制模式，强调侵犯公民个人信息罪的独立法益;加强刑法内部的逻辑性，扩展犯罪行为类型，设置科学入罪门槛。

关键词：个人信息保护;侵犯个人信息罪;信息自决权;体系解释

中图分类号：D924.3    文献标识码：A文章编号：2095-6916（2021）01-0061-04

个人信息保护在大数据时代变得更加重要。我国目前的个人信息保护体系呈现出以非刑罚保护为主、刑法保护为辅的特点。整体来看，我国主要强调通过政府与行业机构来强化对个人信息的保护[1]，这可从《个人信息保护法（草案）》（以下简称《草案》）中窥见。但是《刑法》作为最严厉的法律，在打击侵犯个人信息的犯罪、震慑不法行为方面有着关键性作用，在个人信息保护与信息市场治理体系中极为重要，本文现就此作一分析。

一、个人信息之概念与个人信息权之法律属性的厘清

依法保护个人信息、打击侵犯个人信息的犯罪，首先要对个人信息的概念与法律属性进行厘清。“个人信息”的概念与其衍生出的“个人信息权”的法律属性在刑事法、民事法、行政法中均有涉及，前者决定了《刑法》的保护对象，后者会影响相关罪名所保护的法益的界定。因此，对于这两个问题的厘清能够保证法律的体系性，在确保刑法谦抑性的同时，坚持严厉打击个人信息犯罪的基本立场。

在个人信息概念的阐释上，主要有概括型、概括列举混合型和识别型三种[2]。我国国内立法主要采取的是识别型。《刑法修正案（九）》（以下简称“修九”）和《网络信息法》均并未对个人信息的概念进行解释，但是《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）第一条便明确界定个人信息具有可识别性，而《草案》发展了这一定义——具有“可识别性”并未经过“匿名化处理”。这一定义的核心在于信息与信息主体之间的联系，即信息与主体之间必须存在关联或能够通过该信息识别到具体的个人才具有保护价值[3]。在该种界定方式下，各部门法所保护的个人信息均不再局限于隐私等个人信息，而是突破信息形式和载体的局限，将具有保护意义的“可识别”的个人数据等均纳入个人信息的保护范畴。因此，在处理刑事案件时，应当基于个人信息法律概念的发展，对罪状涉及的个人信息进行适当解释。

关于个人信息权的法律属性，则主要有三种观点。第一种所有权说认为个人信息权属于个人对个人信息所蕴涵的商业性使用价值的支配权[4]，包括占有、使用、收益和处分的权利[5]，即排斥了他人使用信息的空间。此学说立足点在于个人信息的财产性，但将信息的处理者、使用者与所有者分离，忽略了信息传播的必要性以及信息传播对于个人人格权的影响。隐私权说和新型具体人格权说均认为个人信息权属人格权范畴，但是前者认为其被隐私权所吸收，后者认为其与隐私权并列。前一种观点认为个人信息因具有社会交往的价值而属于隐私权维护的范畴[6]，通过私权可以实现其保护[7]，但一旦纯粹认定其为排他隐私权则无法兼顾个人信息的利用和国家社会的公共利益[8]，尤其是在重大公共卫生事件中。不同的是，新型具体人格权说认为个人信息权同时具备隐私权益与财产权益的特征，是一种不同于传统的具体人格权。《民法典》第一百一十一条承认独立的个人信息权[9]，将其与隐私权等人格权并列。持此种观点的学者普遍认为其属于个人信息自决权，这适应大数据时代个人信息的双重属性，又为其两种属性设定了次序之分——以人格权益为基础，兼顾财产利益的保护。这种观点与立法上采取的识别型概念一致，在承认个人信息的人格性的同时，赋予特定人员对去识别化信息的适用的可能性。

虽然我国在民事立法上已经逐步适用新型具体人格权说，但是在刑事法上，侵犯公民个人信息罪属第二百五十三条之一，置于第二百五十三条的私自开拆、隐匿、毁弃邮件、电报罪之后，可见《刑法》仍然以过去的隐私权模式对个人信息进行保护。这种保护思路不适应大数据时代的实际，忽略了个人信息权的财产性与独立性，无法涵盖个人信息的利用问题，应当予以修订完善。

二、我国刑法对个人信息保护的立法沿革及缺憾

刑法对于特定客体的保护主要是通过打击侵害行为来进行的。我国刑法对于个人信息的保护随着个人信息这一概念的出现、发展而确立、完善，但是法律的滞后性使得目前刑法对相关犯罪的打击并无法完全适应社会发展的需要，在立法模式、定罪与量刑等方面都存在问题。

（一）个人信息之刑法保护的立法沿革

刑法对于个人信息的保护主要是通过对侵犯个人信息的犯罪行为进行惩罚而实现的。在《刑法修正案（七）》以前，侵犯公民个人信息的行为未独立入罪，仅在涉及国家利益、社会利益的时候“顺带实现了对公民个人信息的保护”[10]。如《刑法修正案（五）》增设的窃取、售賣、非法提供信用卡罪，该罪位于第三章“破坏社会主义市场经济秩序罪”中，其立足点在于保护金融管理秩序，对于个人信息的保护则“附属于金融管理秩序”[11]。直到《刑法修正案（七）》将侵犯个人信息罪以独立罪名纳入刑法，个人信息才在刑法中得到正式保护。该修正案虽然首次将侵犯公民个人信息罪独立入刑，但是却在主体和行为上过于狭隘，仅将侵犯个人信息罪的主体限制为“国家机关或金融、电信、交通、教育、医疗等单位工作人员”，行为限定为“出售、非法提供”以及“非法获取”。2015年，“修九”合并了有关罪名，确定了“侵犯公民个人信息罪”。这一修改将该罪的犯罪主体扩大到一般主体，并提高了法定刑。但是从立法模式来看，《刑法》将侵犯公民个人信息罪置于第二百五十三条之一，可见对个人信息仍采取“附属化”保护模式，将个人信息附属于隐私权进行保护，与前置性立法中将个人信息权作为新型具体人格权的立法趋势相悖。

（二）刑事立法在个人信息保护方面的缺憾

个人信息的保护是一个社会共治的过程，《草案》仅涉及行政和民事保护体系的完善，刑事立法中的问题仍未解决。《刑法》虽然将侵犯公民个人信息的行为单独入罪，但是其保护法益的内核仍然未得到确认，导致对个人信息的刑法保护整体上附属于其他法益，并且在定罪与量刑上都存在诸多问题。

一是前置性立法仍待完善。目前，我国学界和实务界对侵犯个人信息罪属法定犯还是自然犯存在争议。但不论是法定犯还是自然犯，侵犯个人信息罪中“违反国家有关规定”都是其构成要件，也即前置性立法对犯罪的认定有着关键作用。在《个人信息保护法》颁布前，前置性立法是缺失的，主要适用的《网络安全法》侧重于对网络经营者提出网络安全保障要求[12]，这导致《刑法》在个人信息保护中有“优先使用”且“先刑后民”之嫌[13]。《草案》虽试图回应这个问题，但是仍未明确个人信息的法律属性及其分类，排除列举式规定后导致个人信息的范围过于宽泛，并且在第七章中对侵犯个人信息行为惩处的规定过于概括，且缺失私力救济途径的规定，使得以刑法为主的公力救济仍被优先使用。前置性立法是个人信息法律保护体系的基础，也是依法适用刑法的重要保障。前置性立法的不完善不仅导致刑法适用上存在疑问，而且不利于个人信息应用市场的社会共治。

二是附属于隐私权保护模式的滞后性。信息时代更强调对于信息的“合理利用”，个人信息权与隐私权有所交叉但不重合。不论是以个人信息自决权为基本内涵的欧洲模式，还是以隐私权为基础、信息控制权为内核的美国模式，都强调对于个人信息与传统隐私权内涵的区分[9]。一方面，目前我国《刑法》“侧重于消极防御”[12]，附属于隐私权的模式不够全面与主动;另一方面，个人信息法律属性未被明确，导致《刑法》的保护法益出现争论。一种观点承认侵犯个人信息犯罪保护的是传统“个人法益”，个人信息属隐私权范畴;另一种提出了“超个人法益”概念，认为其同时具备个人法益与社会法益的特征，属“信息自决权”。因此，新型具体人格权理论在前置法中不断发展，原有保护模式不符合法律的体系性要求，也不利于刑法内部的逻辑自洽与个人信息的全面保护。

三是未对侵犯公民个人信息犯罪的行为方式进行厘清。在侵犯公民个人信息的案件中，犯罪行为通常不是单一的出售、提供或者非法获取行为，包括产生与收集、处理与修改、流通与提供、利用与传播等环节，但是我国目前的立法未在厘清这些方式的基础上进行全面规制。侵犯公民个人信息罪规定了“出售或提供”以及“非法窃取”的行为，非法利用信息网络罪则包括为实施诈骗等违法活动发布信息的行为，还有非法侵入计算机信息系统罪、拒不履行信息网络安全管理义务罪以及帮助信息网络犯罪活动罪。可以发现，对于以合法方式获取或未知方法获取，以违法方式进行利用的行为不在相关罪名的规制范畴中，而瑞士等国的立法将非法删改个人信息的行为入罪。在目前我国个人信息权的法律属性、侵犯公民个人信息罪的基本内涵尚未厘清的情况下，讨论此类行为是否入刑为时尚早，但是对此类行为的规制应当纳入立法考量中，要在立法思路上厘清侵犯公民个人信息犯罪的行为方式。

四是侵犯公民个人信息罪的刑罚过于严苛。虽然立法上存在诸多缺陷，但是在侵犯个人信息犯罪的惩戒上呈现出严格化的趋势[13]，主要表现为2017年最高人民法院、最高人民检察院出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问題的解释》中对“非法获取、出售或者提供公民个人信息”情节严重和情节特别严重的情形，以及“为合法经营活动而非法购买、收受公民各个人信息”情节严重的情形的认定标准进行了规定，非法获取、收集或者提供公民信息违法所得五千元以上即可入罪，五万元以上即为情节特别严重。在信息泛滥的互联网时代，个人信息受到前所未有的侵害，虽然在此背景之下，对于侵犯个人信息犯罪采取较为严格的处罚措施对于打击特定犯罪、维护公民个人利益与社会秩序在短期内具有显著作用，但是以体系解释的视角看，与其他侵害性更大的犯罪行为相比，侵犯个人信息犯罪的入罪门槛过低、刑罚过于严苛，未在刑法内部逻辑自洽。

三、我国个人信息保护之刑法路径的完善

个人信息保护在立法上的分散性、概括性导致司法实践的效果不尽如人意。刑法是最终也是最严厉的手段，在适用上应当谨慎。法律为司法实践的依据，立法的完整是良好适用的前提。侵犯个人信息的犯罪行为具有高社会性，涉及多个部门法和行业规范。刑法的系统化保护，既包括内部体系的逻辑自洽，也包括外部与其他部门法在法律体系中一致。

（一）完善前置性立法，加强部门法之间的衔接

《刑法》第二百五十三条之一前两款规定“违反国家有关规定”为侵犯公民个人信息罪的构成要件。根据现有的立法，《刑法》保护的公民个人信息应当首先归属于其他部门法（如《民法》和《行政法》）规定的个人信息，其保护的对象应当为具有可识别性的个人信息，基于刑法的谦抑性，对于其他个人信息没有在刑法上予以保护的必要[14]。就具有法定犯特征的罪名，应当坚守罪刑法定原则的基础在于坚持法秩序统一原理，以前置性规范为其刑事违法性的判断依据[15]。这就要求《刑法》对于侵犯公民个人信息罪的规定必须考虑相关前置性规范的具体要求。《草案》虽试图为司法人员提供准确、全面的判断侵犯个人信息行为的依据，但仍处于探索阶段，缺失明确和全面的概念与法律属性、私力救济途径的规定。虽然一些国家标准、行业规范对侵犯个人信息行为相关概念的定性、手段的认定、基本原则等内容进行了系统化的规定，但是不属于《刑法》所指向的刑事违法性判断依据。因此，建议在《草案》中明确个人信息的概念、法律属性以及范围，应当改变第四条中以信息使用流程来规定其范围的方式，回归列举式表达，并且补充私力救济机制的内容，以保障刑法的谦抑性、法律的体系性。

（二）转变刑法规制模式，强调侵犯公民个人信息罪的独立法益

从立法上看，传统理论对个人信息的隐私权属性的认定，决定了侵犯公民个人信息罪的保护对象为个人隐私中的个人信息，而保护的法益为个人法益中的隐私法益。但是刑法和民法应当相互衔接，在民法已经将个人信息权与隐私权并列的背景下，以隐私权为基础的个人信息的刑法保护模式已经不再适应个人信息保护的需要，转变刑法对侵犯公民个人信息行为的规制模式成为必然。由于个人信息权逐步被认定为以信息自决权为核心的个人信息权，对于该条保护的是个人法益还是超个人法益的争论成为热点。本文赞同前一观点。个人法益包括专属法益与财产法益，个人信息权作为新型的具体人格权显然满足这一特征，而无“公共安全或者社会信息管理秩序等超个人法益”[16]，故仍应当坚持个人法益的观点。但是，在个人信息权开始确立的背景下，侵犯公民个人信息犯罪的保护法益限于隐私权不再合适，应当逐步向个人信息权转变，即确立侵犯公民个人信息罪的独立法益——以信息自决权为核心的个人信息权。在法益得到确定后，就得以转变刑法规制模式，形成兼顾人格权益和财产权益、独立的个人信息权保护模式。

（三）加强刑法内部的逻辑性，扩展犯罪行为类型，设置科学入罪门槛

加强刑法内部的逻辑性首先要求以目的明确为基本原则。目的明确是个人信息收集和使用的基本原则之一，即认定非法出售、提供、获取等行为时，要结合该行为是否符合特定目的、是否在特定目的范围内进行考量。收集、使用、公开个人信息的内容、形式、手段等超过必要的限度，则需要承担相应责任。

其次，应当以体系解释的视角对侵犯公民个人信息罪进行审视。一方面，应当扩大侵犯公民个人信息罪的行为方式的范围，将非法利用行为入刑。目前，《刑法》第二百五十三条之一未将非法利用公民个人信息的行为纳入侵犯公民个人信息罪。有学者指出，《刑法》中侵犯商业秘密罪（第二百一十九条），将获取、披露、提供和使用商业秘密的行为并列，而法益侵害性相对更低的侵犯公民个人信息罪却未将非法利用的行为纳入刑法规制范畴[17]。在司法实践中，常常难以确认涉案信息的来源，因此，非法利用行为未入刑的直接结果就是此类行为难以通过相关罪名进行规制。将非法利用行为入刑不仅是打击犯罪的需要，更是防止个人信息滥用、保护个人信息权的要求，还能促进刑法内部的逻辑自洽。

另一方面，刑法的谦抑性应当得到贯彻，以防止犯罪圈的不当扩张。在讨论非法利用行为等行为的入罪时，应当将其纳入侵犯公民个人信息罪的范畴，而不适宜独立成罪;同时还应当对非法利用的行为进行限制，可采取列举式的立法方式。此外，《解释》利用列举式对“情节严重”的行为进行了列明，但是各类行为的内部逻辑上较为混乱，没有清晰的标准。侵犯个人信息犯罪的行为方式较为复杂，可以考虑采取“情节+数额”的方式给予司法认定一定空间。此外，根据行为特点进行归纳总结，以确定“特定类型化行为”[18]的方式可以适用。

四、总结

在传统理论中，个人信息属隐私权的保护范畴，个人信息属隐私权的一种。但是随着大数据时代的深入发展，个人信息逐步突破隐私的限定，其法律属性开始转变，个人信息从消极的防御型权利逐步向以信息自决为核心的动态权利转变。因此，刑法在保护个人信息、打击侵犯个人信息犯罪之时，应当在规制模式、保护对象、打击行为等诸多方面进行完善。这既是个人信息保护的必然要求，也是法治发展的必然趋势，更是大数据时代信息利用行为合规化的保障。

参考文献：

[1]张勇.疫情防控中个人信息的刑法保护[C]//上海市法学会.《上海法学研究》集刊（2020年第1卷总第25卷）——疫情防控法治研究.上海：上海市法学会，2020.

[2]齐爱民.拯救信息社會中的人格：个人信息保护法总论[M].北京：北京大学出版社，2009：83.

[3]汪东升.个人信息的刑法保护[M].北京：法律出版社， 2019：35.

[4]刘德良.个人信息的财产权保护[J].法学研究，2007（3）.

[5]汤擎.试论个人数据与相关的法律关系[J].华东政法学院学报，2000（5）.

[6]谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学，2015（3）.

[7]丁晓东.个人信息私法保护的困境与出路[J].法学研究， 2018（6）.

[8]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）.

[9]刘艳红.民法编纂背景下侵犯公民个人信息罪的保护法益：信息自决权——以刑民一体化及《民法总则》第111条为视角[J].浙江工商大学学报，2019（6）.

[10]曾粤兴，高正旭.侵犯公民个人信息罪之法益研究[J].刑法论丛，2018（3）.

[11]于冲.侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界[J].政治与法律，2018（4）.

[12]于志刚.“公民个人信息”的权利属性与刑法保护思路[J].浙江社会科学，2017（10）.

[13]汪明亮.治理侵犯公民个人信息犯罪之刑罚替代措施[J].东方法学，2019（2）.

[14]叶良芳，应家赟.非法获取公民个人信息罪之“公民个人信息”的教义学阐释——以《刑事审判参考》第1009号案例为样本[J].浙江社会科学，2016（4）.

[15]刘艳红.法定犯与罪刑法定原则的坚守[J].中国刑事法杂志，2018（6）.

[16]张忆然.大数据时代“个人信息”的权利变迁与刑法保护的教义学限缩——以“数据财产权”与“信息自决权”的二分为视角[J].政治与法律，2020（6）.

[17]洪乾贺，刘仁文.“非法使用公民个人信息”也宜入罪[N].检察日报，2019-01-31（3）.

[18]李川.个人信息犯罪的规制困境与对策完善——从大数据环境下滥用信息问题切入[J].中国刑事法杂志，2019（5）.

作者简介：侯撼岳（1995—），女，汉族，重庆人，单位为北京师范大学刑事法律科学研究院，研究方向为国际刑法、反腐败法。

童谣（1994—），女，汉族，重庆人，单位为北京师范大学法学院，研究方向为知识产权法。

（责任编辑：朱希良）