公民個人信息刑法保護的

困境及其解決

摘要

大數據時代背景之下，公民個人信息正面臨著日益嚴重的威脅。我國《刑法》設置了專門的罪名并出臺了相關的司法解釋，但是這些規定在復雜多變的司法實踐中已經陷入諸多困境，例如個人信息范疇不明確和分類標準不清晰導致無法準確適用侵犯公民個人信息罪的規定、入罪行為規定不足導致無法從根源上遏制犯罪行為、追訴形式的單一導致無法及時有效地保護個人信息。本文從個人信息的基本理論出發，運用比較研究的方法，結合我國實際情況和域外有益經驗，立足于法秩序統一原理提出現行公民個人信息刑法保護困境的解決思路：第一，合理確定個人信息范疇；第二，調整個人信息分類；第三，完善入罪行為的范圍，將非法使用行為納入調整范圍；第四，追訴模式上增加自訴方式以彌補單一公訴模式的不足。

關鍵詞：個人信息；侵犯公民個人信息罪；法秩序統一原理；信息分級分類

作者信息

孫運梁，北京航空航天大學法學院教授

張婷，北京航空航天大學刑事法研究中心研究員

文章全文

隨著互聯網的廣泛普及，個人信息潛在的商業價值被深度挖掘，與此同時各種侵犯公民個人信息的犯罪行為也日益猖獗，個人信息正面臨著巨大的威脅。傳統的私法保護已經不能完全應對日益復雜的現實問題，公民尋求刑法保護其個人信息的訴求愈加強烈，將侵犯公民個人信息的行為納入刑法的規制范圍具有極大的必要性。我國《刑法修正案（七）》首次將公民個人信息納入刑法的保護范圍，無疑是對公民個人信息保護的重大突破，隨后《刑法修正案（九）》對其進行了修正，提高了刑法的打擊力度和廣度，在很大程度上完善了公民個人信息的刑法保護，但是隨著網絡技術的發達，侵犯公民個人信息罪的規定在實踐中仍然存在一定的困境。個人信息的日益重要性、易受侵害性以及大量實踐問題的存在，使得個人信息的刑法保護亟待完善。本文從公民個人信息刑法保護的現實困境出發，圍繞個人信息的范疇和分類、入罪行為的范圍以及追訴模式進行探討并提出完善建議。

一、個人信息刑法保護的基本理論

（一）個人信息的基本概念

科學界定公民個人信息的基本概念和范圍是準確適用“侵犯公民個人信息罪”的前提。《個人信息保護法》是我國第一部專門保護個人信息的法律，該法第4條在識別說的基礎上結合關聯說，將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。這一規定擴張了個人信息的范圍，完善了個人信息的法律保護制度。對于侵犯公民個人信息罪而言，各種前置法對個人信息的概念界定為刑法奠定了理論基礎，是刑法所保護的個人信息的最大范圍。但是由于刑法與其他法律之間規范目的、功能定位存在較大的差異性，刑法應當作為違法行為最后的制裁手段，只能處罰具有刑事違法性的行為，因此刑法上的個人信息的概念并不完全等同于前置法，而是需要根據自身的特性進行合理地限縮。

（二）個人信息刑法保護的必要性

1.法益侵害的嚴重性

“根據法益保護原則，刑法應當規制嚴重侵害法益的行為。”刑法將某一行為規定為犯罪并予以刑事制裁的根本原因就在于其嚴重侵害了刑法保護的法益，也即具有嚴重的社會危害性。個人信息不僅具有人格權屬性和財產權屬性，還具有社會公共利益屬性，個人信息所具有的權利屬性是法律對其進行保護的根本原因。一旦個人信息遭泄露，最直接的后果就是公民的經濟損失。除了對公民經濟狀況造成嚴重影響之外，不少公民因為難以承受電信詐騙的后果而喪失生命，這對公民的人格權造成了巨大的威脅。在上述個人法益角度的財產損失和人格權的侵害之外，由于大量的個人信息以聚合的形式存在，一旦遭受侵害，將嚴重影響社會公共利益。因此，侵犯個人信息的犯罪行為不僅嚴重損害了公民個人的財產利益和人格利益，而且也會嚴重影響社會公共利益，其具有嚴重的法益侵害性。

2.其他制裁方式的局限性

民事制裁、行政制裁和刑事制裁是我國目前對違法行為的三大制裁方式，三者在適用順序上存在位階關系，民法和行政法作為刑法的前置法應當優先適用，作為后置法和保障法的刑法只有在前置法無法發揮規范作用時才能介入。民事制裁主要是通過納入民事侵權行為的范圍進行調整，一旦超出民事侵權的范圍就不屬于民事制裁的對象，因此實踐中常常因為無法滿足具體人格權被侵害的構成要件而難以獲得民法保護；行政制裁措施主要適用于行政關系領域的違法行為，由于受到法律關系的限制，其調整的行為范圍受到很大程度的限縮。在互聯網高速發展的時代，侵犯個人信息的行為手段和方式發生著迅速的變化，表現形式也日益多樣化，作為前置性措施的民事制裁和行政制裁已經無法有效地遏制這些行為，無法滿足大數據時代背景之下公民對個人信息保護的現實需求。此時急需刑法的介入，通過發揮最強的制裁力量對此類行為給予最嚴厲的打擊，從而為個人信息提供有效的法律保護。

（三）個人信息刑事規制的法律演進

公民個人信息的刑事規制經歷了漫長的歷史發展，在立法層面經歷了通過“身份盜竊”的間接保護模式到信用卡犯罪的直接保護模式的轉變。隨著個人信息重要性的日益增長，其在個人權利體系中擁有了獨立的地位，附隨于其他權利的保護方式已經無法滿足現實的需求，成為值得刑法予以保護的獨立法益，刑法回應社會的變化對其給予了專屬的保護。現行刑法已明確將侵犯公民個人信息的行為規定為一項獨立的罪名，即侵犯公民個人信息罪。可以發現，隨著時代的變化，刑法對個人信息的保護不斷朝著專業化的方向發展。

侵犯公民個人信息罪由出售、非法提供公民個人信息罪和非法獲取公民個人信息罪演變而來，后者由《刑法修正案（七）》第7條所增設，被《刑法修正案(九)》第17條修訂，修訂的主要內容是將犯罪主體由特殊主體擴大為一般主體、將“國家規定”修改為“國家有關規定”、擴大了前置法的范圍、增設了從重處罰的規定、提高了本罪的法定最高刑，從而加大了刑事制裁的力度，這有利于更加全面有效地保護個人信息。《刑法修正案（七）》首次將個人信息納入刑法的保護視野，是我國個人信息刑法保護的重大突破。

（四）侵犯公民個人信息罪的保護法益

本罪侵犯的客體也即保護的法益在理論界中存在較大的爭議，主要有個人法益說與超個人法益說兩種觀點，目前尚未得出一致的結論。產生上述爭議的主要原因在于本罪在性質上屬于自然犯還是法定犯存在較大的分歧，持自然犯觀點的學者認為本罪保護的法益是個人法益而不是超個人法益；持法定犯觀點的學者認為本罪保護的法益是信息安全或者社會管理秩序等超個人法益。張明楷教授認為本罪保護的法益是公民的個人信息權，是典型的個人法益說。有學者也認為公民個人信息的本質屬性仍然是個人權利屬性，因此侵犯公民個人信息罪所保護的法益是個人法益，具體而言是指公民的信息自決權以及相關的社會交往利益。周光權教授認為本罪保護的法益具有多重性，除了公民個人的信息自決權，與個人信息相關聯的（狹義的）社會管理秩序也是本罪的保護法益，也即既有個人法益又含有超個人法益。還有學者將個人法益觀細分為私法法益觀和公法法益觀，其認為本罪保護的法益并不是作為私法法益的個人信息自決權，而是公法法益角度的個人信息受保護權，但是這種保護權不是超個人法益，其仍屬于個人法益的性質。

筆者認為，一方面由于侵犯公民個人信息的犯罪行為直接觸犯了社會的倫理道德，侵犯了個人信息內在的人格屬性，因此本罪在性質上仍然屬于自然犯；另一方面由于法律將“違反國家有關規定”作為本罪的客觀構成要件要素，從而本罪又具有一定的法定犯屬性。因此，本罪保護的法益首先應當是個人法益，但是與傳統的個人法益不同，由于個人信息具有人格屬性和財產屬性雙重法律屬性，決定了此種法益是一種復合的個人信息權益，既包含個人的人身權利又包含個人的財產權利。其次，本罪也在一定程度上體現了社會公共利益的法益屬性，尤其是在網絡黑灰產業鏈的發展下，侵犯公民個人信息的犯罪行為會嚴重破壞國家的管理秩序、影響社會的正常運行。

二、我國公民個人信息刑法保護的具體規定及其困境

（一）我國公民個人信息刑法保護的具體規定

現行《刑法》第253條之一規定了侵犯公民個人信息罪。該條明確將侵犯公民個人信息的犯罪行為納入刑事制裁的范圍，確立了公民個人信息法益在刑法上的獨立地位。2017年最高人民法院、最高人民檢察院發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息解釋》），對該罪的相關問題作出了詳細的規定。該解釋具有以下幾方面的內容：第一，明確了本罪的相關概念，主要包括“個人信息”的概念、“國家有關規定”的范圍、“提供公民個人信息”和“以其他方法非法獲取公民個人信息”的界定；第二，統一了定罪量刑的標準，明確提出“情節嚴重”和“情節特別嚴重”的具體種類，還規定了從寬處罰；第三，明確了公民個人信息數量的認定；第四，規定了相關犯罪的判斷和處理。本文在現有法律及其司法解釋的基礎上分析侵犯公民個人信息罪的構成要件。

首先，客觀要件方面。第一，本罪的行為主體上，《刑法修正案（九）》廢除了對犯罪主體的限制，將行為主體由“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”擴大到一般主體，包括自然人和單位。第二，本罪的實行行為表現為出售、提供、竊取或者以其他方法非法獲取公民個人信息，情節嚴重的行為。第三，本罪的犯罪對象是公民的個人信息，即以電子或者其他方式記錄的能夠單獨或者與其他信息相結合從而識別特定自然人身份或者反映其活動情況的各種信息。此外，本罪的成立需要滿足“違反國家有關規定”，體現了刑法的二次制裁性特征和保障法的地位。根據《個人信息解釋》第2條的規定，本罪的“國家有關規定”是指法律、行政法規、部門規章中有關個人信息保護的規定。

其次，主觀要件方面。本罪要求行為人主觀心態表現為故意。也即行為人明知自己違反國家有關規定的行為會侵犯他人的個人信息法益，仍然希望或者放任危害結果的發生，過失泄露行為不構成本罪。

最后，入罪標準方面。本罪以行為的情節作為入罪標準，需要達到情節嚴重的程度。對于情節嚴重的標準詳細規定在《個人信息解釋》第5條中，從而明確了侵犯公民個人信息罪的司法適用，其主要從以下幾方面進行衡量：信息的類型和數量、違法所得數額、個人信息的用途、行為主體的身份以及曾經受過刑事處罰或者行政處罰的情況。

（二）我國公民個人信息刑法保護面臨的困境

1.個人信息范疇不明確

對個人信息內涵的準確界定是適用侵犯公民個人信息罪的邏輯前提，《民法典》和《個人信息保護法》等前置法已經明確界定了個人信息的內涵和外延，這為刑法上個人信息的概念劃定了范圍。但是由于刑法特殊的性質，只能對達到值得科處刑罰的行為才能予以刑事制裁，因此刑法意義上的個人信息概念很大程度上需要在前置法的范圍內進行合理限縮。現行刑法在個人信息范疇上存在的問題主要在于匿名化信息、死者個人信息和已公開的個人信息是否屬于刑法保護的范圍并沒有予以明確規定。

首先，關于匿名化信息問題。《個人信息保護法》第4條明確將匿名化處理后的信息排除在個人信息范圍之外，那么根據法秩序統一原理，也不得將處理這類信息的行為作為犯罪行為給予刑事處罰。《個人信息解釋》第3條規定經處理無法識別特定個人且不能復原的個人信息不屬于“提供公民個人信息”中的個人信息，這一規定具有合理性，是平衡個人信息保護與信息利用之間關系的體現，其不足之處在于這類信息僅針對提供行為，并不包括出售、竊取和其他以非法方式獲取的行為，這將會使得條文內部的適用概念之間不統一。

其次，關于死者個人信息問題。目前我國刑法對于死者個人信息相關的犯罪規定在第299之一侵害英雄烈士名譽、榮譽罪中，但是這一罪名處于第六章妨害社會管理秩序罪第一節擾亂公共秩序罪中，也即該罪保護的法益是社會公共利益，其對象也僅限于英雄烈士的名譽和榮譽，顯然這與普通死者個人信息沒有太大關聯。關于死者個人信息是否屬于刑法的保護對象在理論界和實務界中存在較大的爭議，導致這一爭議主要有兩方面原因：第一，個人信息的法律屬性是權利還是權益，法律并沒有予以明確，如果屬于權利，那么死者個人信息不屬于保護范圍；第二，保護的對象是死者的利益還是其近親屬的權益。反對者認為死者不再屬于權利主體，因此不再享有個人信息權，這一觀點的理論基礎在于其認為個人信息屬于一項民事權利，例如張明楷教授就認為本罪的“公民”不包括死者。支持者認為保護死者個人信息有利于近親屬權益的保護和社會秩序的穩定。

最后，關于已公開的個人信息問題。對于未經信息主體的同意，將其已公開的個人信息擅自收集或者出售、提供給他人的行為是否構成本罪，在實務界中一直存在較大的爭議。通說認為個人信息雖然已經公開但是其可識別性和有效性沒有得到任何減損，仍然可以識別到特定的個人，仍然具有較高的經濟利用價值，因此非法獲取和使用已公開的個人信息仍然會威脅公民人身和財產安全，但是對于這一實務爭議刑法并沒有作出回應。如今，越來越多的個人信息被公開，這些已公開的個人信息仍然承載著大量錯綜復雜的價值和利益，如果不加以管制勢必會造成法益保護的缺位，但是過度限制也會導致個人信息的社會價值無法有效發揮的問題，上述困境已經成為司法實踐的重難點，刑法有必要及時予以回應。

2.個人信息分類標準不清晰

并不是所有的個人信息都需要法律予以同等保護，不同的個人信息對于信息主體的重要性程度不同、對于社會的利用價值也存在較大的差異，《民法典》和《個人信息保護法》都對個人信息進行了分級分類的保護。雖然《個人信息解釋》第5條通過不同信息情節嚴重的判斷標準的不同對公民個人信息大致分為了三個類別，即敏感信息、重要信息和一般信息，一定程度上體現了分類保護的思路，但是這一分類已經遭到了學術界的批評和反思。周光權教授認為司法解釋對于個人信息的分類過于細化，并指出這一分類存在兩方面的弊端：首先，三種類別之間存在交叉重合的問題，例如財產信息與交易信息、住宿信息與住址信息、手機位置信息與行蹤軌跡三組信息之間的復雜關系；其次，僅依據個人信息的外在表現形式作為其重要程度的判斷標準的合理性有待論證。此外，也有學者認為不僅不同層次的個人信息之間的界限不明確，而且對于第一層次的四類信息該司法解釋采用了完全列舉的方式，但是否真正列舉窮盡還有待證明。筆者贊同上述兩位學者的觀點，目前的三級分類模式沒有明確的立法標準，各類信息之間沒有清晰的邊界，導致在司法實踐中無法作出準確的判斷。不同地區判斷標準不同，同一地區的不同法院之間標準也不統一，這在一定程度上損害了我國的司法公正和法律的權威，不利于全面打擊侵犯公民個人信息的犯罪行為。同時，這種較為模糊的分類以及四項敏感信息的封閉式列舉可能導致本應當得到強化保護的個人信息沒能得到充分的保護，例如與財產信息相重合的部分交易信息；部分信息的過度保護可能導致沒能充分發揮其應有的社會經濟價值，降低了資源的利用效益，同時也可能造成罪刑失衡。前置法已經對個人信息作出了明確的分類，從形式上看司法解釋對個人信息的分類層級與前置法不同，從實質上看，司法解釋上各類別的內容也與前置法存在較大的差異，這顯然不利于法律體系的構建。

由此可見，信息所屬類別不同，情節嚴重的入罪標準就存在不同，對于侵犯不同個人信息行為的量刑就會存在差異，但是由于標準的不明確可能產生實踐中同案不同判的現象，有違罪刑均衡原則，因此司法解釋對個人信息的分類有必要進行調整。

3.入罪行為規定不足

我國現行《刑法》將侵犯公民個人信息罪的行為規定為出售、提供、竊取或以其他方法非法獲取四種上游犯罪行為，有學者認為可歸納為“獲取型”和“提供型”兩種，但是對作為下游犯罪的非法使用行為規制不足。當非法使用的信息是通過合法的渠道獲取的時候就不能通過上述四種行為予以規制，可能會助長犯罪行為的發生。現行網絡時代背景之下，非法使用個人信息的行為泛濫于網絡空間之中，是導致個人信息泄露的根源所在，已經成為侵犯個人信息犯罪鏈條中的核心環節，然而刑法卻沒有予以明確的規制。由于非法使用個人信息行為的特殊性質，無法通過法律解釋將其歸入到刑法已有的罪名之中：首先，非法使用行為與上述四種行為法益侵害的程度不同從而具有本質的區別，因而具有相對獨立性，無法直接通過法律解釋將其囊括進上述四種行為而納入侵犯公民個人信息罪中；其次，由于侵犯法益種類的差異也無法將該行為納入其他間接規制侵犯公民個人信息行為的罪名中，例如妨害信用卡管理罪等與個人信息有關的犯罪。非法使用行為與上述四種行為在侵犯公民個人信息的犯罪鏈中處于不同的環節，后者是非法使用行為的前提和基礎，只有通過個人信息的出售、提供和非法獲取才使得行為人有個人信息可以非法使用，因此非法使用行為屬于犯罪鏈的末端和落腳點。但這并不意味著非法使用行為就不重要，正相反，由于其是上述四種行為的最終目的，如果沒有非法使用行為，那么上述四種行為只是處于侵犯個人信息法益的邊緣，基于此有學者認為非法使用行為對公民個人信息的法益侵害具有直接性，它使得先前行為的法益侵害性具體化，因此屬于法益侵害的核心行為。現實生活中，非法使用個人信息的嚴重后果顯而易見，這些行為直接對公民的人身、財產、社會評價等造成惡劣的影響。隨著個人信息的使用價值和商業價值的日益突出，對使用價值的過度追逐是誘發出售、提供、非法獲取個人信息行為的內在原因。大數據時代下濫用個人信息的問題愈演愈烈，如果不對根源性的非法使用行為進行規制，單純懲治上述四種行為根本無法徹底遏制侵犯公民個人信息的犯罪行為，無法有效地保護公民個人信息。

4.追訴模式單一

目前，我國刑法對侵犯公民個人信息罪采取的是單一的公訴模式，也即只能通過國家機關行使公訴權對行為人進行追訴。隨著互聯網技術的高速發展，單一的追訴模式已經不足以及時遏制侵犯個人信息犯罪行為的發生，無法為個人信息提供有效的刑法保護。公訴案件需要經過偵查機關的偵查活動和檢察機關的審查起訴活動之后，最后才會進入法院的審判活動。因此，在國家機關進行追訴的情況下，審判機關知悉犯罪事實的時間往往較為滯后，其案件來源是追訴機關的審查起訴活動。此外，在偵查環節和審查起訴環節中需要經過多項法定程序，其間需要耗費大量的時間，這些復雜的流程延緩了個人信息得到保護的時間，往往會錯過保護個人信息和打擊犯罪的最佳時機，很明顯不利于個人信息的及時保護。侵犯公民個人信息的行為與其他犯罪行為存在較大的不同，其主要存在于網絡環境中，突破了物理環境中的地理和時間的限制，信息傳播速度大大提高，傳播范圍極為廣泛，公民個人信息被泄露的后果具有不可逆性，很難有補救的可能性。因此時間對于遏制侵犯個人信息的行為顯得尤為重要，即使是短時間的差距也可能導致極為嚴重的后果，犯罪行為人可能已經通過網絡傳播獲得了巨大的利潤，公民的個人信息可能已經產生了嚴重的損害后果。如果采用自訴的方式，由公民在發現其個人信息被侵犯之后就立即向法院尋求司法救濟，可以在很大程度上提高個人信息獲得保護的可能性，從而減小損害的后果。

三、個人信息刑法保護制度的域外考察

（一）域外個人信息刑法保護的規定

美國對個人信息保護的立法起步較早，其將個人信息置于隱私權制度中進行保護，其隱私權就相當于大陸法系的一般人格權，范圍十分廣泛。其對于個人信息的法律保護采用的是分散立法的模式，沒有制定統一的個人信息保護法，通過刑法保護個人信息的方式在美國已經有了相當長的歷史。美國個人信息的刑法保護主要包括兩個方面：針對身份盜竊的刑事立法與其他有關個人信息保護的刑事立法，前者主要是指《防止身份盜竊與假冒法》、《身份盜竊刑罰加重法案》以及部分州一級的立法，后者主要包括《隱私權法》、《公平信用報告》、《懲治計算機與濫用法》、《電子通訊隱私法》和《機動車駕駛員隱私保護法》。在保護對象上，上述法律幾乎將全部有關隱私的個人信息都納進刑法的保護視野中。在規制行為上，美國聯邦和州立法都將非法使用公民個人信息明確規定為犯罪，對侵犯個人信息的上下游行為實行全方位規制。

德國對個人信息保護采取統一的立法模式，2003年通過的《聯邦數據保護法》是德國保護個人信息的專門性法律，其在德國數據保護法律體系中占據著核心地位。這部法律的立法目的在于保護公民的人格權，保護的對象是個人數據，因此只對個人進行保護，同時該法第3條指出個人數據是指已經或者能夠識別個人的客觀情況的信息，其強調必須是具有可識別性并與個人建立聯系的信息。從上述定義來看，德國法的個人數據實質上相當于我國的個人信息。該法第44條規定了侵犯個人信息行為的刑事處罰，因此德國法對于個人信息的刑法保護主要包括兩個部分：《聯邦數據保護法》中規定的刑事違法條款和《德國刑法典》中規定的侵犯公民個人信息犯罪的條款。《德國刑法典》并沒有單獨的侵犯公民個人信息罪的法律條文，而是散見于第十五章侵犯私人生活和秘密中，這一章節規定了大量與侵犯個人信息有關的各種罪名，保護對象的范圍包括言論、通信秘密、他人隱私、信件、電子數據，甚至包含了他人的秘密，幾乎涵攝了個人信息的所有內容，范圍十分廣泛。除了生者的個人信息受到廣泛的保護之外，《德國刑法典》第203條和第204條規定的侵犯他人秘密罪和利用他人秘密罪都明確規定保護死者的秘密，并且規定這兩種犯罪屬于自訴案件，由死者的親屬或者繼承人向法院起訴。

與德國相同，日本也制定了專門的《個人信息保護法》，這部法律是日本對個人信息提供刑法保護最直接的來源，其對個人信息的獲取、利用直至最終停止利用等環節都設置了相應的法律規范，從而規制處理個人信息的各個環節。此外，《日本刑法典》對個人信息保護的內容也相當豐富，其并沒有專門規制侵犯個人信息行為的條款而是散見于相關的罪名中，開拆書信、泄露秘密、準備不正當制作支付用電磁卡電磁記錄、使用電子計算機詐騙等罪名都是關于個人信息的保護。

（二）域外個人信息刑法保護的分析及其啟示

1.域外個人信息刑法保護的分析

通過對域外國家個人信息刑法保護規定的梳理，上述三個國家對于個人信息刑法保護的共同之處在于，刑法規制范圍具有極大的廣泛性。首先體現在個人信息的范圍上，三個國家的刑法保護的內容十分豐富，外延不斷延伸，幾乎涵蓋了個人信息的全部方面。這主要是由于互聯網技術的發達，越來越多的信息經過技術處理之后可以識別到特定的個人，如果不對這類行為進行制裁那么將導致侵犯公民個人信息的行為激增，從而這些具有可識別性的信息也需要納入到個人信息的保護中，由此個人信息的范圍被不斷擴大。其次體現在規制行為的范圍上，不論是美國對個人信息的分散立法還是德日的統一立法，他們都將個人信息處理的各個環節納入刑法的規制范圍，對于收集直至停止利用階段分別設定了不同的刑罰。這主要是由于技術的高速發展決定的，隨著各種技術的應用，侵犯個人信息的手段和方式日益多樣化，法律必須及時作出回應，其回應的方式就是通過刑事立法擴大規制行為的范圍，加大刑法的打擊面。

在立法模式上，三個國家采用了不同的方式。美國采取的是單行刑法模式；德國和日本采取的是刑法典結合附屬刑法的模式，首先在刑法典中設置相關犯罪，其次在個人信息保護法中也規定了刑事處罰。罪名設置上，三個國家也存在明顯的區別。美國刑法不僅懲治直接侵犯個人信息的行為，還將為侵犯個人信息的行為者提供幫助和便利的行為也納入刑法的規制范圍，并且美國相關法律并不將這些幫助行為作為侵犯個人信息犯罪的幫助犯、未遂犯或預備犯來懲罰，而是規定單獨的罪名。這樣的規制方式極大的擴張了刑法的打擊面，提高了對個人信息的保護。德國、日本與美國則存在較大的不同，兩個國家的刑事法規對個人信息的保護打擊的主要是直接侵犯個人信息的行為，對于其他間接行為的關注度不高。

2.對我國個人信息刑法保護的啟示

對于我國而言，首先《刑法》設置了獨立的侵犯公民個人信息罪；其次在《個人信息保護法》等其他相關法律中也規定了刑事違法條款。以我國的司法現狀為基礎可以總結出以下幾方面有益的域外法經驗：首先，在個人信息的保護范疇上，由于侵犯死者個人信息仍會造成嚴重影響，不僅給親屬造成再次傷害甚至還會影響社會秩序的穩定。而且我國在實踐中已經存在因為侵害死者個人信息而被判處構成侵犯公民個人信息罪的案件。因此，或許可以借鑒德國刑法的做法將死者個人信息納入我國侵犯公民個人信息罪的保護范圍中。其次，在行為方式上，上述三個國家都將個人信息的全部環節納入刑法的規制范圍，但是目前我國刑法只對出售、提供、竊取或者以其他方式獲取個人信息的行為進行規制，對于個人信息非法使用行為等的刑法規定缺位。隨著大數據時代的到來，對于侵犯個人信息的手段和方式日新月異，非法使用個人信息的行為更是愈發嚴重，現行的法律規定已經遠遠不能滿足社會現實的需要，無法對個人信息提供全面的刑法保護。因此，借鑒域外國家的做法將非法使用個人信息行為納入刑法的規制范圍或許是一條可行的路徑。

四、我國公民個人信息刑法保護困境的解決

（一）合理確定個人信息的范疇

保護對象體現了刑法的價值取向，合理確定個人信息的范圍是準確適用侵犯公民個人信息罪的必要前提。在界定公民個人信息時需要平衡個人信息的保護和合理利用之間的關系，兼顧個人的信息安全、信息的利用價值和社會的發展。本文針對現行刑法在個人信息界定上存在的問題和不足提出以下幾點完善思路。

第一，刑法上的個人信息不應當包括匿名化處理后的信息。刑法上的個人信息應當具有可識別性和有效性，可識別性是指某一信息必須能夠單獨或者與其他信息相結合而識別特定的自然人，這是個人信息的本質屬性；有效性是指只有是真實和有利用價值的信息才屬于刑法上的個人信息。根據可識別性的本質特征要求，經過匿名化處理而且不能復原的信息，由于已經不能識別到特定的自然人，無法與自然人之間建立起密切的聯系，因此不再具有可識別性從而不再屬于個人信息的范疇。那么對這類信息的處理行為就不能作為犯罪行為而進行刑事制裁，《個人信息解釋》第3條雖然將部分信息排除在外，但是其針對的行為只限于提供個人信息的行為，并沒有包括出售、竊取和其他方式獲取個人信息的行為，筆者認為這樣的規定存在一定的缺陷和不足，將導致不同的行為適用的個人信息的概念和范圍不統一，造成了該條文體系內部的矛盾。由于經過匿名化處理的信息已經不具備個人信息的可識別性和有效性特征，因此對于這類信息的行為都不應當作為犯罪處理，而不能僅限于提供個人信息一種行為，以統一法律的適用。

第二，死者個人信息應當受到刑法保護。首先，從個人信息的特征出發，死者的個人信息能夠與特定的個人相關聯，而且通過死者個人信息還能獲得生者的有關信息，因此具有可識別性和有效性。其次，從死者近親屬的權益保護出發，雖然死者已經不再屬于權利主體，但是死者遺留的個人信息仍然客觀存在，這些個人信息中包含了大量生者的信息，因此其既涉及死者的人格利益，又關乎生者的合法權益。最后，從社會公共利益的維護出發，死者個人信息還涉及社會善良風俗，對死者個人信息的保護是對我國優良傳統的弘揚，符合我國社會倫理觀念和價值秩序。當死者的個人信息被非法收集、利用之后極有可能損害生者的合法權益甚至影響社會秩序，因此死者的個人信息也應當引起刑法的重視和關注。根據《個人信息保護法》第49條的規定，近親屬為了自身利益可以對死者的個人信息行使法律規定的權利。這在一定程度上也說明死者的個人信息與其近親屬的合法權益是密切相關的。需要注意的是，由于死者的個人信息具有特殊性，因此在認定侵犯死者個人信息時需要參照自然人的規定并結合其特殊性綜合考慮，造成的經濟損失應當以近親屬的經濟損失為主要依據。

第三，已公開的個人信息是否屬于刑法保護范圍需要分情況討論。已公開個人信息的法律保護在其他部門法中已有規定，例如《民法典》第1036條和《個人信息保護法》第27條都對其處理規則作出了明確的立法安排。通過上述兩個條文的分析可以發現，對于已公開的個人信息，法律允許合理范圍內的處理行為，但是如果信息主體明確拒絕處理或者涉及個人重大利益可能對個人權益產生重大影響時就不能進行自主處理。根據法秩序統一原理，合法化事由具有統一性，前置法中的合法行為刑法不得認定為犯罪，也即對刑法適用范圍具有限制作用，可以成為刑事違法性的阻卻事由。因此，對于前置法中規定的合理范圍內的處理已公開個人信息的行為，刑法不得作為犯罪行為，也即這部分已公開的個人信息不屬于刑法的保護對象。周光權教授根據是否侵犯信息主體的法益處分自由作為判斷已公開的個人信息是否屬于刑法的保護對象的標準，其提出與信息公開的目的沒有根本抵觸且沒有改變該信息用途的處理行為，不論處理數量多少，都不能認定為犯罪，這類信息就不屬于刑法的保護范圍。也有學者區分個人信息是自行公開還是被動公開分別提出了“合理處理”的標準，對于自行公開的個人信息其標準為是否符合信息主體的合理預期，也即所產生的影響是否被信息主體所接受；對于被動公開的個人信息其標準為是否符合被公開時的特定用途。

筆者認為，判斷已公開的個人信息是否屬于刑法的保護對象實質上就是確定合理處理行為的邊界。根據信息主體是否明確拒絕將已公開的個人信息分為兩類，分別規定不同的判斷標準。首先，無論是自行公開還是被動公開的個人信息如果信息主體明確拒絕處理，那么仍應當屬于刑法的保護對象，就不再屬于合理處理的范圍，也即周光權教授所說的要尊重信息主體的法益處分自由。其次，對于信息主體沒有明確拒絕的已公開的個人信息的合理處理需要以對個人權益的影響作為主要的判斷標準，如果會對信息主體的利益造成重大影響，那么合理處理的范圍就要受到信息主體授權的嚴格限制，也即要符合信息主體的合理預期以及信息公開的用途。這一判斷標準以作為前置法的《民法典》和《個人信息保護法》的相關規定為出發點，是遵循法秩序統一原理的結果，有利于法律體系的穩定和協調。總之，由于已公開的個人信息同時承載著信息主體的利益保護需求和信息處理者的信息價值利用需求，因此法律不能過度偏向其中一方，而是需要在兩種沖突的利益之間尋找平衡點，合理分配兩者利益，既要防止刑法保護的闕如，又要避免過度規制的危險。因此，刑法在認定擅自處理已公開的個人信息的行為性質時必須要以前置法中的相關規則作為前提和基礎，根據法秩序統一原理合理確定入罪邊界。

（二）調整個人信息的分類

由于不同個人信息所體現的價值和利益不同，因此需要對其進行分類保護。《個人信息解釋》第5條對不同的個人信息規定了不同的情節嚴重標準，這體現了對個人信息的分類保護，但是如前所述這一分類標準不明確、不統一，導致各類信息之間的交叉和混亂，從而在實踐中難以進行準確的判斷。目前的分級保護也沒有體現出立法的內在邏輯和價值指引作用，因此急需予以完善。個人信息是承載著人格屬性、財產屬性與公共利益屬性的集合體，保護個人信息就是保護這些屬性所對應的價值和利益。但是在這些利益中存在保護順序上的差異，個人享有的人格權是人之為人所應當享有的權利，是最基礎和最重要的權利，因此應當優先保護。由此，那些越是能夠直接識別特定個人的信息，與信息主體人格關聯程度越強，其體現的人格尊嚴和自由屬性就越突出，對于這類信息刑法應當予以最強的保護；而對于那些需要通過大量技術的挖掘才能與其他信息相結合而間接識別特定個人的信息，應當在對其提供保護的同時給予發揮社會利用價值的空間，此時就需要在信息保護與利用之間作出合理的安排。前置法已經對個人信息作出了明確的分類，這對作為后置法的刑法提供了明確的指導方向和規范參考。

第一，在個人信息的類別上，我國《個人信息保護法》明確將個人信息分為一般個人信息與敏感個人信息兩類，作為后置法的刑法在對個人信息進行分類保護時可以參照上述分類方案，同時也能保持部門法上的一致性，有利于法秩序的統一。第二，在確定種類之后，就需要明確分類的標準，在將個人信息分為一般個人信息和敏感個人信息時應當根據個人信息的屬性、易受侵害的程度以及侵害后果的嚴重性作為分類標準。人格屬性的高低是首要考慮的因素，其次需要考慮基于人格屬性延伸出的財產屬性，易受侵害的程度和侵害后果的嚴重性是重要的考慮因素，通過人格利益和財產價值進行綜合考量。第三，在兩種類別的范圍確定上，《個人信息保護法》中關于敏感個人信息內涵和外延的規定是刑法的重要參照標準，刑法需要在這一范圍內結合自身特征做出合理的規定。第四，在入罪標準上，由于敏感個人信息具有高度的人格屬性，法律對其給予了最高的重視從而進行最強的保護，在刑法上就表現為對其規定較低的入罪數量標準，對其他一般個人信息設定較高的入罪數量標準。

（三）完善入罪行為的范圍

如前所述，非法使用個人信息的行為是法益侵害的核心行為，嚴重威脅著公民個人信息的安全，其造成的社會危害性足以與現行法律規定的四類行為相提并論。在其他犯罪行為無法全面涵蓋這一行為的法益侵害性和危害后果時，有必要在遵守刑法謙抑性原則的基礎上將非法使用公民個人信息的行為納入刑法的規制范圍。刑法的謙抑性要求刑法應當規制最嚴重的法益侵害行為，因此必須要合理確定非法使用行為的入罪標準，防止不當擴大刑法的適用范圍，從而平衡公民個人信息的保護、信息的利用與打擊犯罪之間的關系。在將非法使用行為入罪時需要注意以下問題：第一，在入罪標準上。《刑法》第253條之一將“情節嚴重”作為侵犯公民個人信息罪的入罪標準，因此本罪屬于典型的情節犯。非法使用行為存在嚴重程度之分，并不是所有的非法使用行為都需要作為犯罪行為予以刑事規制，需要通過合理的標準區分犯罪行為與一般違法行為，這一標準應當與現行刑法已經明確規定的四種行為的入罪標準保持相對一致性，以維持侵犯公民個人信息罪體系內部的一致性和協調性。但是由于非法使用個人信息的行為是大量違法犯罪行為的源頭，具有法益侵害的根源性，因此還需要根據非法使用行為的獨特性進行相應調整。第二，在客觀構成要件要素上，《刑法》規定以違反“國家有關規定”作為侵犯公民個人信息罪的前置性條件，作為本罪行為方式之一的非法使用行為也需要以違反法律、行政法規、部門規章這些有關的國家規定為前提。第三，在刑罰設置上，相比之下由于非法使用行為對法益產生更加嚴重的危害后果，因此當其情節嚴重性與其他方式接近時，可以設置較重的刑罰，但仍然要遵循罪罰相當的原則。第四，入罪路徑上，由于涉及增設一種新的犯罪行為方式，因此應當通過刑法修正案將其納入到刑法的條文中，此時不能簡單地通過司法解釋入罪，否則將違背罪刑法定的原則，因為司法解釋是對現有立法規定的解釋，其只能針對刑法中已經明確規定的條文。第五，罪數上，仍然要遵循罪數的一般原理，也即為了保障人權不得重復評價，為了保護法益不得遺漏評價，因此如果在非法使用公民個人信息之外沒有侵犯新的法益就不能重復評價，一旦侵犯新的法益就需要單獨評價。

（四）增加追訴模式

公訴模式是指只要達到起訴的條件就必須予以起訴，受害人沒有決定權。如前所述，我國目前將侵犯公民個人信息罪規定為公訴案件，沒有自訴適用的空間，但是單一的公訴模式在面臨日益復雜的犯罪行為時已經凸顯出一定的局限性。在當前侵犯公民個人信息的犯罪行為日益俱增的情況下，單一的追訴模式已經無法有效懲治犯罪，也不能滿足公民日益增長的個人信息保護需求，因此有必要在公訴模式之外新增追訴方案。刑法將侵犯公民個人信息罪置于“第四章侵犯公民人身權利、民主權利罪”中，表明刑法對個人信息提供保護的根本原因和首要原因在于其關乎個人的人格尊嚴和自由，可見對于本罪的立法旨意仍是保護公民的個人權利，也說明侵犯公民個人信息罪所侵犯的法益主要是個人法益而不是公共法益，因此將自訴作為本罪的追訴方式具有立法理念上的支撐。

將自訴方式作為本罪的追訴方式之一有利于彌補公訴過程中耗費的大量時間，使得公民可以更加及時地尋求司法力量的幫助，從而更加有效地保護自身的合法權益，減少可能遭受的損失；同時，還可以節約大量司法資源，符合訴訟經濟原則。我國現行法律明確規定采用自訴方式的案件主要包括侮辱罪、誹謗罪、暴力干涉婚姻自由罪、虐待罪以及侵占罪。通過上述五種自訴案件的特征可以發現法律之所以允許公民自行決定是否向法院起訴的本質原因就在于這五類犯罪行為侵犯的法益都是特定主體的私法益，而且危害后果較為輕微。侵犯公民個人信息罪所侵犯的法益在大多數情況下也是公民的個人法益，與上述五類犯罪具有保護法益上的相當性，因此可以通過合理借鑒的方式新增自訴作為侵犯公民個人信息罪的追訴模式，賦予公民自行決定是否追訴的權利。但是，在比照這五類行為賦予個人信息被侵犯的主體起訴決定權時，需要注意限制賦予權利的范圍，對于適用自訴模式的侵犯公民個人信息的行為也應當是只涉及侵害私人法益的行為，也即情節較為輕微、社會危害性較小的案件。一旦當侵犯公民個人信息的行為嚴重危害社會秩序和國家利益時，由于此時已經不再是僅涉及侵害私人法益的問題，還涉及社會公共利益，而且造成的嚴重危害后果也不再符合賦予自訴權的宗旨，因此就不再屬于自訴案件的范圍，而是需要由國家機關積極行使公訴權主動追訴。

公訴和自訴相結合的復合追訴模式有利于司法資源的合理配置，同時，通過自訴的方式可以使公民主動參與到打擊犯罪的過程中，有利于提高公民保護其個人信息的意識。

結語

侵犯公民個人信息行為的入罪化，是刑法人文主義關懷和人權保障價值理念的體現。盡管我國刑法在公民個人信息的保護上實現了重大的突破，但是在實踐中仍然存在很多爭議和不足。一方面，隨著侵犯公民個人信息案件數量的噴發式增長和犯罪手段的升級，侵犯公民個人信息的案件愈演愈烈，現有法律規定已經無法應對復雜的司法實踐；另一方面，個人信息保護的前置法規定日益完善，作為后置法的刑法需要及時作出調整和回應。因此，刑法的相關制度亟待完善，從而對公民個人信息提供更加系統全面的法律保護。公民個人信息的刑法保護是刑事法治建設的重難點之一，需要立法和司法共同發揮力量，首先需要在立法層面制定出完備的保護規范為實踐中的難題提供有效的解決方案；其次需要通過司法的力量將法律規范落實于實踐中，兩者協力推進刑事法治建設的順利發展。

參考文獻：

[1]?王利明、丁曉東：《論〈個人信息保護法〉的亮點、特色與適用》，載《法學家》2021年第6期，第2頁。

[2]?周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021年第3期，第29頁。

[3]?張明楷：《刑法理論與刑事立法》，載《法學論壇》2017年第6期，第18頁。

[4] 蔡軍：《侵犯個人信息犯罪立法的理性分析---兼論對該罪立法的反思與展望》，載《現代法學》2010年第4期，第107頁。

[5]?李懷勝：《公民個人信息保護的刑法擴展路徑及策略轉變》，載《江淮論壇》2020年第3期，第115頁。

[6]?李川：《個人信息犯罪的規制困境與對策完善---從大數據環境下濫用信息問題切入》，載《中國刑事雜志》2019年第5期，第35頁。

[7]?李鳳梅：《個人信息安全的刑法保障---<刑法修正案(七) >第7條析解》，載《河北法學》2009年第12期，第117頁。

[8]?劉艷紅：《侵犯公民個人信息罪法益：個人法益及新型權利之確證---以<個人信息保護法（草案）>為視角之分析》，載《中國刑事法雜志》2019年第5期，第22頁。

[9]?張明楷：《刑法學》（第六版），法律出版社2021年版，第1199頁。

[10]?馬永強：《侵犯公民個人信息罪的法益屬性確證》，載《環球法律評論》2021年第2期，第104頁。

[11]?周光權：《刑法各論》（第四版），中國人民大學出版社2021年版，第78頁。

[12]?歐陽本祺：《侵犯公民個人信息罪的法益重構：從私法權利回歸公法權利》，載《比較法研究》2021年第3期，第62頁。

[13]?董悅：《公民個人信息分類保護的刑法模式構建》，載《大連理工大學學報（社會科學版）》2020年第2期，第87頁。

[14]?周光權：《刑法各論》（第四版），中國人民大學出版社2021年版，第82頁。

[15]?于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，載《政治與法律》2018年第4期，第23頁。

[16]?張明楷：《刑法學》（第六版），法律出版社2021年版，第1200頁。

[17]?韋堯瀚：《侵犯公民個人信息罪在司法認定中的若干問題研究---兼評〈刑法修正案（九）〉第十七條》，載《北京郵電大學學報（社會科學版）》2016年第1期，第36頁。

[18]?周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021年第3期，第36頁。

[19]?周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021年第3期，第35頁。

[20]?王秀哲：《“侵犯公民個人信息罪”司法解釋之局限性及其破解》，載《河南大學學報（社會科學版）》2018年第5期，第29頁。

[21]?莊緒龍：《侵犯公民個人信息罪的基本問題---以“兩高”最新頒布的司法解釋為視角展開》，載《法律適用》2018年第7期，第20頁。

[22]?劉仁文：《論非法使用公民個人信息行為的入罪》，載《法學論壇》2019年第6期，第120-121頁。

[23]?劉仁文：《論非法使用公民個人信息行為的入罪》，載《法學論壇》2019年第6期，第119頁。

[24]?李川：《個人信息犯罪的規制困境與對策完善---從大數據環境下濫用信息問題切入》，載《中國刑事雜志》2019年第5期，第43頁。

[25]?黃祖帥：《中國個人信息的刑法保護研究》，載《首都師范大學學報( 社會科學版)》2015年第5期，第66頁。

[26]?吳萇弘：《個人信息的刑法保護研究》，華東政法大學2013年博士學位論文，第49-53頁。

[27]?任文倩：《德國<聯邦數據保護法>介紹》，載《網絡法律評論》2016年第1期，第63頁。

[28]?黃祖帥：《中國個人信息的刑法保護研究》，載《首都師范大學學報( 社會科學版)》2015年第5期，第66頁。

[29]?王立志：《德國刑法對隱私權的保護及其評析》，載《河南財經政法大學學報》2009年第6期，第72頁。

[30]?吳萇弘：《個人信息的刑法保護研究》，華東政法大學2013年博士學位論文，第63頁。

[31]?黃祖帥：《中國個人信息的刑法保護研究》，載《首都師范大學學報( 社會科學版)》2015年第5期，第67頁。

[32]?吳萇弘：《個人信息的刑法保護研究》，華東政法大學2013年博士學位論文，第74頁。

[33]?張某某侵犯公民個人信息案，四川省廣漢市人民法院刑事判決書，(2017)川0681刑初90號。

[34]?周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021年第3期，第30頁。

[35]?《個人信息保護法》第49條：“自然人死亡的，其近親屬為了自身的合法、正當利益，可以對死者的相關個人信息行使本章規定的查閱、復制、更正、刪除等權利；死者生前另有安排的除外。”

[36]?《民法典》第1036條：“處理個人信息，有下列情形之一的，行為人不承擔民事責任：（二）合理處理該自然人自行公開的或者其他已經合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。”

[37]?《個人信息保護法》第27條：“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。”

[38]?陳興良：《民法對刑法的影響與刑法對民法的回應》，載《法商研究》2021年第2期，第31-33頁。

[39]?周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021年第3期，第40頁。

[40]?劉雙陽：《“合理處理”與侵犯公民個人信息罪的出罪機制》，載《華東政法大學學報》2021年第6期，第72頁。

[41]?劉雙陽：《“合理處理”與侵犯公民個人信息罪的出罪機制》，載《華東政法大學學報》2021年第6期，第60頁。

[42]?李懷勝：《公民個人信息保護的刑法擴展路徑及策略轉變》，載《江淮論壇》2020年第3期，第121頁。

[43]?高楚南：《刑法視野下公民個人信息法益重析及范圍擴充》，載《中國刑事法雜志》2019年第2期，第93頁。

[44]?劉仁文：《論非法使用公民個人信息行為的入罪》，載《法學論壇》2019年第6期，第119頁。

[45]?李川：《個人信息犯罪的規制困境與對策完善---從大數據環境下濫用信息問題切入》，載《中國刑事雜志》2019年第5期，第45頁。

[46]?劉憲權、房慧穎：《侵犯公民個人信息罪定罪量刑標準再析》，載《華東政法大學學報》2017年第6期，第111頁。

[47]?劉仁文：《論非法使用公民個人信息行為的入罪》，載《法學論壇》2019年第6期，第125頁。

[48]?劉艷紅：《侵犯公民個人信息罪法益：個人法益及新型權利之確證---以<個人信息保護法（草案）>為視角之分析》，載《中國刑事法雜志》2019年第5期，第27頁。

[49]?劉憲權、方晉曄：《個人信息權刑法保護的立法及完善》，載《華東政法大學學報》2009年第3期，第128頁。

[50]?蔡軍：《侵犯個人信息犯罪立法的理性分析---兼論對該罪立法的反思與展望》，載《現代法學》2010年第4期，第111頁。

[51]?李鳳梅：《個人信息安全的刑法保障---<刑法修正案(七) >第7條析解》，載《河北法學》2009年第12期，第116頁。