侵犯公民個人信息罪犯罪圈的“收縮”與出罪化路徑
——基于個人信息多元化屬性的思考

◇于 沖

《民法典》明確將個人信息作為人格權編的保護對象，但囿于個人信息的權利屬性爭議、個人信息權屬主體的爭議，以及互聯(lián)網環(huán)境下自然人個體對個人信息維權與侵權主體之間的力量失衡，對于個人信息的保護實則更多是以行政立法、刑法為主，尤其自《刑法修正案（七）》增設出售、非法提供侵犯公民個人信息罪以來，個人信息的刑法保護不斷增強。關于公民個人信息保護刑法先行甚至刑法擴張的模式一度受到民法、行政法學界的批評和質疑，刑法學界也在不斷探討限縮侵犯公民個人信息罪的解釋路徑。尤其大數(shù)據背景下，數(shù)字經濟的發(fā)展更對數(shù)據共享、數(shù)據開放提出了極大需求，個人信息的多元數(shù)據屬性不斷增強，有必要系統(tǒng)審查刑法“法域”內的個人信息屬性，將不值得刑法保護的信息屬性剝離出刑法之外，同時以教義學解釋原理為依托，將侵犯公民個人信息的“正當化行為”予以明確化，在刑民分界、行刑分界的基礎上，發(fā)揮民法、行政法等前位法的法律功能，兼而實現(xiàn)刑法對個人信息的精準保護。

一、侵犯公民個人信息罪既有犯罪圈的梳理性考察

個人信息保護成為熱議話題，也越來越受到民商事立法、行政立法等諸多部門法的關注。自刑法關于侵犯公民個人信息罪增設以來，就一直受到刑法過度超前的批評。如果說刑法在對于具有嚴重社會危害性的行為，在前位法沒有及時跟進保護相關權益的情況下，迫于無奈進行積極介入保護法益情有可原。那么，隨著民事立法、行政立法的完善，刑法有必要重新回到最后法和保障法的地位，收縮侵犯公民個人信息罪的犯罪圈。

（一）公民個人信息刑法保護的初衷：涉?zhèn)€人信息犯罪鏈條的前置化打擊

互聯(lián)網環(huán)境下，網絡犯罪的鏈條化、集群化趨勢明顯，侵犯公民個人信息犯罪幾乎都是作為其他犯罪的上游犯罪、伴生犯罪所出現(xiàn)，其社會危害性隨著社會信息化程度的增強也在與日倍增?；趯Ψ缸铩爱a業(yè)鏈”的斬斷，刑法對侵犯公民個人信息行為的犯罪化，很大程度上是對侵犯個人信息行為的制裁，兼顧實現(xiàn)對網絡犯罪產業(yè)鏈、網絡黑產的前置化打擊。

1.刑法253條之一的目的功能：“鏈條化”犯罪的刑法斬斷。

侵犯個人信息作為網絡黑產、網絡犯罪鏈條的上游犯罪、伴生犯罪，逐漸形成了以公民個人信息為上游、為伴生的上下游犯罪產業(yè)鏈。犯罪上游行為人利用黑客技術、特殊身份等手段非法獲取個人信息，中間商從上游買入個人信息后進行清洗、整合后賣給下游犯罪人。①參見張婷：《犯罪產業(yè)鏈背景下“技術中立原則”對犯罪定性的干擾和反思——以“侵犯公民個人信息犯罪”為視角》，《青海社會科學》2018年第2期，第139頁。在以個人信息非法獲取、非法交易、非法使用為中心的產業(yè)鏈上，上下游犯罪分工密切，甚至形成了上游專門買賣公民個人信息的網站或者公司，②利子平、周建達:《非法獲取公民個人信息罪“情節(jié)嚴重”初論》，《法學評論》2012 年第 5期。相較于以往零散式侵犯公民個人信息的行為而言更具集聚性和精準性。侵犯公民個人信息的行為客觀上能促進下游犯罪衍生，引發(fā)鏈條式反應。當前犯罪分子買賣或非法獲取公民個人信息的目的，已經從單純地為商業(yè)活動提供便利逐漸向為后續(xù)的下游犯罪提供便利轉變。③參見韋堯瀚：《侵犯公民個人信息罪在司法認定中的若干問題研究——兼評〈刑法修正案（九）〉第十七條》，《北京郵電大學學報（社會科學版）》2016 年第1期。值得注意的是，很多情況下，侵害個人信息的行為具有“依附性”的特征，往往是作為其他更為嚴重的犯罪中的某個環(huán)節(jié)出現(xiàn)的，本身雖未獨立成罪，但繼續(xù)實施其他行為，可能構成犯罪。④吳萇弘：《個人信息的刑法保護研究》，上海社會科學院出版社2014年版，第115-116頁。因此，刑法將侵犯公民個人信息行為入罪化，實質就是對涉信息犯罪產業(yè)鏈的源頭打擊：上游獲取和提供個人信息的行為和下游嚴重犯罪具有高度蓋然性，等到下游嚴重犯罪發(fā)生再來評價為時已晚，所以需要前移評價節(jié)點，制裁上游非法獲取信息的行為，阻斷犯罪產業(yè)鏈的供應。

2.刑法253條之一前置化的評價思路：預備行為實行化和幫助行為正犯化。

侵犯公民個人信息犯罪鏈條化背景下，非法獲取個人信息的上游行為，無論是準備用于自己犯罪還是幫助他人犯罪，其行為與下游犯罪同樣具有法益侵害性。同時，上游獲取的個人信息流向和使用范圍均難以掌握，所造成的法益侵害性更為嚴重。而檢視刑法理論，傳統(tǒng)的預備犯理論和共犯理論在適用于網絡空間時遇到掣肘。傳統(tǒng)共犯理論認為，共犯僅有對法益的侵害或者危險尚不能進入刑法的打擊半徑之內，必須通過正犯行為引發(fā)法益侵害或者危險。⑤于沖：《幫助行為正犯化的類型研究與入罪化思路》，《政法論壇》2016年第4期，第173頁。然而網絡空間的虛擬性和復雜性導致難以判斷各犯罪人的犯意，也難以收集數(shù)量龐大的侵害行為證據。如果刑法對上游非法獲取個人信息的預備行為和幫助行為不加以規(guī)制，將導致信息犯罪產業(yè)猖獗，侵犯公民個人信息的行為專業(yè)化和精細化，數(shù)量龐大的個人信息受侵害。一方面，侵犯公民個人信息的行為已具備類型化的特征，非法獲取和提供個人信息作為信息犯罪產業(yè)鏈的源頭，對于下游的詐騙、綁架等犯罪具有很大的工具性支撐作用。從某種程度上來講，侵犯公民個人信息的行為與下游犯罪呈現(xiàn)高度的關聯(lián)性，已成為相關下游犯罪的專門化、類型化的預備、幫助行為。另一方面，侵犯公民個人信息的行為也具有獨立的法益侵害性，非法獲取和提供個人信息的行為促使下游犯罪的既遂可能性大大增加。個人信息隨犯罪產業(yè)鏈流動到下游，其所面向的是未來不可控的實行行為，這種行為的海量性基本確保了犯罪至少能夠既遂一次。①參見于志剛：《網絡空間中犯罪預備行為的制裁思路與體系完善——截至〈刑法修正案(九)〉的網絡預備行為規(guī)制體系的反思》，《法學家》2017年第6期，第60頁。從這個層面講，非法獲取和提供個人信息成為下游相關犯罪精準實施、“點對點”實施②點對點實施犯罪改變了諸如電信詐騙等犯罪的漫無目的性，由漫天撒網轉向精準犯罪，加劇了犯罪既遂的可能性。的關鍵環(huán)節(jié)。

（二）公民個人信息刑法保護的問題：評價半徑的過于擴張化

隨著數(shù)字經濟的發(fā)展，個人信息同公民個人的人身、財產安全更為緊密，更多的信息被納入到公民個人信息范圍之內，成為刑法所保護的對象。某種程度上講，在個人信息的保護上，刑法比其他部門法都顯示出格外的擴張性。以行政立法為例，2016年出臺的《網絡安全法》第76條規(guī)定：“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息, 包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！庇纱丝梢姡毒W絡安全法》對于個人信息的界定，主要限于單獨識別個人身份，以及與其他信息結合識別個人身份的信息，強調個人信息的身份識別性。2017年3月通過的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下文簡稱《解釋》）第1條規(guī)定，“刑法第253條之一規(guī)定的‘公民個人信息’, 是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！毙谭ㄔ凇毒W絡安全法》的基礎上，將單獨識別或者與其他信息結合識別特定自然人的活動情況的信息，歸入個人信息范圍，同時將反映特定自然人身份情況、特定自然人活動情況的各種信息均納入到個人信息的保護范圍之內。刑法對個人信息保護范圍的擴張化，某種程度上也推進了其他部門法的及時跟進，例如，2017年公布的《個人信息保護法（草案）》尚且沒有將能夠識別特定自然人活動情況的信息定義為個人信息?！睹穹ǖ洹穼€人信息界定為：“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括……行蹤信息等”，某種程度上采納了刑法對于個人信息保護范圍的定義。審視刑法內部理論，這種積極導向的立法并非沒有緣由。有觀點指出，在世界范圍內,刑事立法的趨勢已經不是非犯罪化,而是大量的犯罪化，③張明楷：《司法上的犯罪化與非犯罪化》，《法學家》2008年第4期，第65-75頁。擴大犯罪圈和提前刑法介入等方式便應運而生，進而實現(xiàn)刑法對于個人信息法益的周延保護。④參見周光權：《轉型時期刑法立法的思路與方法》，《中國社會科學》2016年第3期，第123-146頁。但是，從刑法和民法、行政法的關系來看，侵犯公民個人信息罪的成立需要該行為“違反國家有關規(guī)定”，如果刑法對個人信息保護的范圍大于前置法，而前置法并不評價為違法的行為，則導致刑法存在矯枉過正之嫌。因此，刑法積極導向式的個人信息立法需要保持適度，不可僭越前置法律而試圖先行參與社會綜合治理，需要考慮到與其他部門法的銜接適應。

二、侵犯公民個人信息罪評價半徑的學界爭議與反思

隨著侵犯公民個人信息罪的犯罪圈不斷擴張，學界為明確侵犯公民個人信息罪的恰當評價半徑，對于侵犯公民個人信息罪的法益屬性等評價半徑進行了多方面的有益探討，力圖在罪刑法定原則的基礎上合理打擊侵犯公民個人信息的犯罪行為。

（一）侵犯公民個人信息罪評價半徑收縮和轉型的嘗試

基于對侵犯公民個人信息罪評價半徑的限縮，學界從法益屬性角度對于該罪的評價半徑進了探討。關于侵犯公民個人信息罪的評價半徑，學界有諸多爭論，主要有法益限制論、超個人法益說、獨立法益論三大觀點。法益限制論立足個人信息的個人屬性，從個人利益的不同側面評價，存在人身權利說、財產權說、信息自決權說、公共信息安全說等內部分化。其一，人身權利說強調個人信息的人身性，將公民個人的信息自由、安全和隱私權等作為侵犯公民個人信息罪的保護法益。①周光權：《刑法各論》，中國人民大學出版社2016年版，第71頁。侵犯公民個人信息罪規(guī)定于“侵犯公民人身權利與民主權利罪”一章，從刑法的體系性來看也為該說的合理性提供了有力依據。其二，財產權說則偏重個人信息的財產性，將個人信息的法益視同個人財產，具有信息資源、信息產品、信息商品、信息資產等多種表現(xiàn)形態(tài)，②陸小華：《信息財產權——民法視角中的財富保護模式》，法律出版社2009年版，第20頁。公民個人對其享有占有、使用、收益、處分等權利。③參見湯擎:《試論個人數(shù)據與相關的法律關系》，《華東政法學院學報》2005年第5期，第41頁。其三，個人信息自決權說雜糅人格性與財產性，認為公民個人有權自行決定是否將個人資料交付或提供給他人利用，④賀栩栩：《比較法上的個人數(shù)據信息自決權》，《比較法研究》2013年第2期，第61-76頁。強調個體對于個人信息的完全控制決定。其四，公共信息安全說著重于個人信息的公益性，主張本罪法益限定為公共信息安全，只有對公共信息安全法益造成了損害的侵犯公民個人信息行為，才能構成犯罪。⑤劉艷紅：《侵犯公民個人信息罪法益: 個人法益及新型權利之確證》2019年第5期，第21頁。總體來看，法益限制論盡管認識到公民個人信息的人身屬性、財產屬性、安全屬性等多元屬性，但都只是抓住一個角度評價，無法完整全面地揭示公民個人信息屬性，對于侵犯公民個人信息罪的評價半徑過度收縮。

超個人法益說折中個人信息的私權性與公益性，認為公民個人信息不僅是個人法益，還具有超個人法益的屬性。通常情況下，侵犯公民個人信息的行為涉及的個人信息量巨大，造成的損害是間接的、群體性的，很難與具體受害人建立直接聯(lián)系。但是，隨著侵犯公民個人信息犯罪的產業(yè)化和鏈條化，公民個人信息的法益內涵已經逐漸擴展至社會公共秩序、公共安全甚至是國家安全。具體言之，超個人法益說是對法益限制論的補充和完善，使得侵犯公民個人信息罪的評價半徑由局限于公民個體而擴展到公民社會、國家的角度；但另一方面，在“侵犯公民人身權利與民主權利罪”章節(jié)的約束下，如何解釋公民個人信息的內涵與公共安全相適配成為超個人法益說無法回避的問題。

獨立法益論則兼顧人格性、財產性和公益性，倡導公民個人信息應當是一種新型的、獨立的個人信息權?！肮駛€人信息”兼具人身特性、經濟屬性和社會屬性等多重屬性，在信息時代背景下呈現(xiàn)出的與傳統(tǒng)的財產權、人身權和公共安全利益等法益不同的權利屬性，應當予以獨立化的規(guī)制和特別的保護。而從侵犯公民個人信息罪的前置法律角度來看，民法學者對于個人信息的權利屬性的評價也從傳統(tǒng)的隱私權逐漸轉向個人信息權，倡導個人信息權的權利內容多樣，包括信息保有權、決定權、知情權、更正權、鎖定權、請求保護權、被遺忘權等。⑥參見楊立新：《個人信息：法益抑或民事權利》，《法學論壇》2018年第1期?？梢哉f，獨立法益論是侵犯公民個人信息罪評價半徑的新突破，從局限于固有法益收縮抑或是擴張均不能完整評價本罪，到通過提出包含復雜屬性的新型獨立法益來使得犯罪圈保持在彈性伸縮的范圍內。獨立法益論在對公民個人信息周延、獨立保護的同時，仍然有可能導致刑法對于前置法的干涉，因而需要避免個人信息權成為一種抽象空洞、無度發(fā)展的權利，并根據大數(shù)據時代發(fā)展進程對其內涵外延保持合理的變動。

（二）進一步的反思：個人信息多元屬性下個人利益與公共利益的平衡

法益限制論、超個人法益說和獨立法益論對立的背后，實質上是個人信息利益與信息公共利益之間的角力。在侵犯公民個人信息罪法益視角下，個人信息利益與信息公共利益的平衡基礎在于兩者都關注“人”的保護。個人信息利益落腳在個人，而信息公共利益則以無數(shù)的個體集合為基礎，著眼在群體意義上的人。維護個人信息利益保護個人隱私、生活安寧、財產等的自由發(fā)展，而維護信息公共利益則是保護個人自由發(fā)展的社會條件，二者最終都是服務于保障個體自由發(fā)展的可能性。因此，個人信息利益與信息公共利益若要實現(xiàn)平衡，關鍵在于兩者之間保持依存關系：只有能從個人信息利益角度推導出來的信息公共利益，才能證明其目的在于服務個人，其刑法上的保護才具有正當性；而只有信息公共利益保障下的個人信息利益，才有自由、有序、健康行使的空間。

為了平衡個人信息利益與信息公共利益，應當限縮刑法所保護的個人信息的權利屬性與法益內涵。2017年提交的《個人信息保護法（草案）》第11條規(guī)定，個人信息權包括信息決定、信息保密、信息查詢、信息更正、信息封鎖、信息刪除、信息可攜、被遺忘，依法對自己的個人信息所享有的支配、控制并排除他人侵害的權利?？梢哉f，個人信息保護法對于個人信息權利進行了全面細致的規(guī)定，但個人信息權利擴張的同時也會擠壓信息公共利益的維護，如果刑法按照《個人信息保護法（草案）》的規(guī)定承認個人信息的權利屬性帶有決定性、控制性和全方位性，勢必給大數(shù)據產業(yè)和公共事業(yè)的發(fā)展套上枷鎖，導致信息公共利益維護的困頓。因此，筆者認為刑法所保護的個人信息的權利屬性應當僅限于信息保密權。換言之刑法所要保護的個人信息是公民個人有保密要求、采取保密措施的個人信息，公共領域的個人信息受損應當由信息查詢、更正、封鎖等個人信息的民事權利和救濟措施來適用。如此一來，大數(shù)據產業(yè)和公共事業(yè)能夠免除處理個人信息時面臨刑法這一達摩克里斯之劍的顧慮，在信息公共利益與個人利益之間達成平衡。對此，有觀點認為：“個人信息保護法不是對個人信息自決權的承認和保護，而是作為人格或財產的前置保護機制，旨在防范抽象的人格侵害或財產侵害的危險。”①楊芳：《個人信息自決權理論及其檢討——兼論個人信息保護法之保護客體》，《比較法研究》2015年第6期。刑法亦是如此，作為懲罰犯罪的部門法，所保護的個人信息應是關涉人身、財產、安全等多元法益侵害危險，而不是保護虛無縹緲、束之高閣的權利。同時，信息自決權過于重視個人信息的控制，試圖賦予個人高位而忽視大數(shù)據產業(yè)信息自由交流的需求。事實上，公民個人決定和控制信息的能力卻是有限的，除了受到物理空間和認知水平的限制外，還包括了諸多的可操作性限制。

三、侵犯公民個人信息罪犯罪圈“收縮”的必要性根據

隨著大數(shù)據產業(yè)的發(fā)展和數(shù)字經濟的日漸成型，個人信息的數(shù)據多元屬性為個人信息的刑法保護邊界提出了諸多新的要求。個人信息的多元利益屬性決定了個人信息的“個人主體”受到保護的同時，個人信息的獲取、利用也應受到保護，因而刑法對于個人信息保護范圍的收縮勢在必行。

（一）數(shù)字經濟模式下個人信息的數(shù)據多元性利益

數(shù)字經濟模式下，個人信息成為至關重要的社會資源，承載著多元性的數(shù)據利益，被廣泛用于大數(shù)據產業(yè)、公共事業(yè)等領域。有學者指出，個人信息保護領域的利益主要涉及三種類型的利益：“個人信息本身所附著的信息主體的個人利益，以及與個人信息處理緊密結合的信息使用者（數(shù)據控制者）的利益和公共利益?！雹诟吒黄剑骸秱€人信息使用的合法性基礎——數(shù)據上利益分析視角》，《比較法研究》2019年第2期，第72-85頁。對于信息主體而言，個人信息是能夠單獨識別或者結合識別個人身份、活動情況的信息，關系到個人的人身、財產、安全等方面法益，信息主體享有的個人信息權利應當?shù)玫叫谭ūＷo，個人信息的不當處理如果對信息主體的法益造成侵害威脅應當受到刑法制裁。對于信息使用者而言，個人信息是數(shù)據時代發(fā)展的重要驅動力。企業(yè)對海量社會數(shù)據的搜集與分析是其商業(yè)模式的基礎，社會數(shù)據已然成為了基本的生產資料。某種程度上講，公共利益的維護和公共秩序的構建，都需要依賴于部分個人信息利益的犧牲和讓渡。例如，在2020年新冠肺炎疫情事件中，全國各地衛(wèi)健委每天通報疫情數(shù)據，并公布部分肺炎患者的活動路線和行蹤軌跡。需要明確，在數(shù)字經濟模式下，信息主體利益、信息使用者利益和公共利益都是合法利益。2016年歐盟《通用數(shù)據保護條例》第1條第3款規(guī)定：“個人數(shù)據在歐盟境內的自由流通不得因為在個人數(shù)據處理過程中保護自然人而被限制和禁止。”2014年發(fā)布的《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》指出，為了社會公共利益且在必要范圍內披露公民個人信息是合法的。因此，為了促進個人信息的多元性數(shù)據利益和諧共存，侵犯公民個人信息罪的犯罪圈收縮勢在必行，在保障信息主體的個人信息權利的同時，也要促進個人信息的合理收集、利用和流通，并在必要時適當讓渡個人信息權利以維護公共利益。

（二）大數(shù)據模式下刑法的謙抑性堅守

大數(shù)據背景下，刑法在個人信息保護領域呈現(xiàn)主動出擊的態(tài)勢，尤其在完善的個人信息保護法尚未落實的情況下，刑法與行政立法一道取代民事法律成為個人信息保護的主力。刑法對于公民個人信息的“過度化”保護，學界有諸多觀點倡導應回歸刑法的謙抑性。刑法不能因為時下個人信息保護成為熱點問題，其他部門法積極推進立法而趨之若鶩，仍應科學論證調整刑法規(guī)制個人信息的合理性。因此，對于個人信息的刑法保護，應當“具體地、實質地探求為保全國民利益所必需的最小限度的刑罰?！雹購埫骺骸毒W絡時代的刑法理念——以刑法的謙抑性為中心》，《人民檢察》2014年第9期，第6-12頁。

為了維持個人信息保護與數(shù)據應用之間的平衡，刑法仍應當堅持謙抑的基本立場，完善個人信息保護罪名體系的同時，避免對大數(shù)據產業(yè)發(fā)展造成禁錮。侵犯公民個人信息罪的成立，需要相關行為“違反國家有關規(guī)定”，根據法秩序統(tǒng)一性的要求，刑法對個人信息保護啟動的前提，是行為人已經違反個人信息保護前置性法律。同時，刑法的最后性要求，刑法所要制裁的數(shù)據應用中侵犯個人信息的行為，應當是具有嚴重社會危害性、值得動用刑罰處罰的行為。大數(shù)據時代的刑法并不是激進地將任何侵擾到個人信息的行為定罪處罰，而應當做好與個人信息保護前置性法律的銜接，為大數(shù)據應用留有一定的發(fā)展空間。這種謙抑立場的保持有賴于兩方面的配合：一方面，完善個人信息保護前置性法律，避免前置法缺位下刑法的“被迫介入”。當前我國正加緊個人信息安全保護方面的法律體系構建，已出臺《民法典》《網絡安全法》《電子商務法》《個人信息保護法（草案）》等一系列法律法規(guī)，明確個人享有的信息權利，并對不當使用個人信息的行為作出處罰。但是，現(xiàn)階段的個人信息安全保護法律體系仍顯粗糙，有待進一步精細化、專門化。另一方面，需要體現(xiàn)出刑法與前置性法律的層次適應，以便實現(xiàn)精準、合理打擊個人信息犯罪。侵犯公民個人信息罪對于個人信息范圍和犯罪行為的認定，應與前置性法律有所銜接適應。部分不具備高度敏感性的個人信息以及較低危害性的行為，應在前置性法律內部規(guī)制，刑法所要保護的個人信息范圍則要明確，要制裁的犯罪行為需要設定能夠體現(xiàn)報應和預防的刑罰。

（三）個人信息保護中個人利益與公共利益的平衡

如前所述，個人信息具有多元屬性，既事關公民個人的人身、財產等個人利益，也是大數(shù)據產業(yè)、公共事業(yè)發(fā)展的基礎，承載著重大公共利益。然而在當前侵犯公民個人信息犯罪的懲治與打擊過程中，存在對個人信息進行絕對化保護的傾向，為了保護個人權利而肆意擴張本罪打擊面積，導致公共信息產業(yè)發(fā)展受阻，社會公共秩序被迫讓位于膨脹的個人信息自由。②參見[日]大谷實：《刑事政策學》，黎宏譯，法律出版社2000年版，第175頁。事實上，個人信息利益和公共利益同等重要，應當尋求平衡點，二者應在兩個平行的空間協(xié)調發(fā)展，互不擠壓、互不干涉，以刑法規(guī)制為個人信息數(shù)據的利用保駕護航，從而發(fā)揮個人信息在信息產業(yè)發(fā)展等經濟領域與社會管理領域的重要價值，釋放出信息數(shù)據時代的信息紅利。③參見高富平、王文祥: 《出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護的法益為視角》，《政治與法律》2017 年第2期，第46-55頁。人類個體永遠無法做到孤立于社會，其社會群居性管理需求決定個人信息具有公共利益屬性。只要個體仍處于社會中的個體，則其個人信息勢必被統(tǒng)一掌握以加強社會聯(lián)系。從司法實踐來看，侵犯公民個人信息的行為涉及的個人信息量巨大，造成的損害是間接的、群體性的，很難與具體受害人建立直接聯(lián)系。①參見王肅之：《被害人教義學核心原則的發(fā)展——基于侵犯公民個人信息罪法益的反思》，《政治與法律》2017年第10期，第28頁。這也印證了個體與公共社會之間已日趨融合，難分彼此，個體信息的受損亦會牽動他人的個人信息。人類個體無法完全斬斷與他人若有若無的聯(lián)系，在公共社會想要保持個人信息保護的獨善其身無疑為空想。從社會發(fā)展趨勢來看，個人信息的公共流通會更加頻繁，信息公共利益屬性只會愈加明顯。換言之，個人信息的公共利益屬性是未來大數(shù)據產業(yè)發(fā)展的基礎，個人信息的保護應當是個人信息個人屬性與公共屬性的平衡。

四、侵犯公民個人信息罪的出罪化路徑

面對個人信息保護的需求和大數(shù)據時代的趨勢，當前侵犯公民個人信息罪的犯罪圈過于擴張，將違法程度較低甚至未被前位法規(guī)制的行為納入評價范圍，導致前位法成為虛置法，壓縮了大數(shù)據產業(yè)和數(shù)字經濟的發(fā)展空間。對此，有必要在對侵犯公民個人信息犯罪化的同時，明確相應的出罪化路徑，實現(xiàn)個人信息內部屬性兼顧與利益保護的平衡。

（一）數(shù)據屬性從個人信息屬性中的剝離

個人信息與個人隱私、個人數(shù)據一度存在適用上的概念混亂，從用語習慣上講，2016年《歐盟通用數(shù)據保護條例》使用個人數(shù)據這一概念，我國民法學界則長期以來對個人信息的研究停留在個人隱私層面。鑒于個人信息的多元屬性，侵犯公民個人信息罪犯罪圈的收縮，則需要明確刑法所應保護的個人信息屬性類型和范圍。

一般認為，個人隱私是指個人不愿為外界所知悉的私生活領域相關事務，具有明顯的私密性。②李婕：《刑法如何保護隱私——兼評〈刑法修正案（九）〉個人信息保護條款》，《暨南學報（哲學社會科學版）》2016年第12期，第118-125頁。個人隱私主體通常希望將隱私保留在私人空間中，并且自己能夠掌握控制。個人信息則一般具有很強的交互性，同時還具有顯著的國家治理價值。③參見廖宇弈:《我國個人信息保護范圍界定——兼論個人信息與個人隱私的區(qū)分》，《社會科學研究》2016年第2期，第70-76頁。申言之，個人隱私的敏感程度較高，而個人信息廣泛應用于大數(shù)據時代。有學者指出：“個人信息概念遠遠超出了隱私信息的范圍，應當將個人信息權單獨規(guī)定，而非附屬于隱私權之下?！雹芡趵鳌? 論個人信息權在人格權法中的地位》，《蘇州大學學報（哲學社會科學版）》2012年第6期，第70頁。因此，在公民個人信息中有一部分公民個人信息屬于個人隱私，但也有一部分信息不屬于個人隱私范疇，個人信息和個人隱私存在相互交叉的部分。另一方面，個人數(shù)據是脫敏化、碎片化的個人信息，兩者亦存在重合的部分。個人數(shù)據附著于電子信息系統(tǒng)載體，是部分個人信息經過數(shù)據庫化處理后形成的可供檢索的系統(tǒng)數(shù)據。相較于個人信息，個人數(shù)據更加面向大數(shù)據產業(yè)，能夠在市場交易、流通和流轉。值得注意的是，個人數(shù)據在一定條件下能夠轉化為個人信息。有學者指出，若干詳細的小數(shù)據從睡眠、飲食、出行、作息等方面事無巨細地記錄了一個人，這些有針對性和特定性的個性化數(shù)據記錄完全能夠實現(xiàn)從一般數(shù)據到個人核心信息的轉化。⑤于志剛、李源粒:《大數(shù)據時代數(shù)據犯罪的類型化與制裁思路》，《政治與法律》2016年第9期，第22頁。個人數(shù)據本身是經過技術處理后無法識別個人身份的個人信息，如果行為人通過技術處理將其還原成個人信息，亦構成侵犯公民個人信息罪。整體上講，個人隱私、個人信息和個人數(shù)據共同重合于個人信息的部分，可以納入侵犯公民個人信息罪的保護范圍。⑥于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期，第19頁。從促進大數(shù)據時代數(shù)據的廣泛流動的角度來看，數(shù)據屬性應從個人信息屬性中剝離，讓前置法來調整規(guī)制數(shù)據交易，而刑法則恪守個人信息的邊界，回歸保護敏感程度較高、能夠識別個人身份的個人信息。

（二）信息安全屬性從個人信息屬性中的剝離

個人信息的多元屬性，不僅僅涉及個人利益，還涉及到社會、國家的集體利益。侵犯公民個人信息罪的犯罪圈收縮，應限制為對公民個人信息權利侵犯行為的打擊，將信息安全屬性從個人信息法益屬性中剝離，由刑法體系其他罪名評價。

個人信息屬性中的安全屬性關涉人身、財產等個人信息安全，但不應將253條之一的保護法益擴張到整體信息安全。侵犯公民個人信息罪作為“侵犯公民人身權利、民主權利罪”一章中的罪名，從體系解釋來看，這一章中的其他罪名均未涉及公共安全的保護，本罪法益也不應包括整體信息安全。個人信息安全是個人信息屬性的一部分，本質上仍是為了維護個人信息權利。同時，整體信息安全的概念過于宏大抽象，如果強行使個人信息法益承載整體信息安全屬性，會使侵犯公民個人信息罪失去打擊重點，淪為國家政策導向的工具。因此，如果刑法體系中現(xiàn)有罪名能夠評價信息安全法益，則不必由侵犯公民個人信息罪重復評價。刑法規(guī)定的“為境外竊取、刺探、收買、非法提供國家秘密、情報罪”“非法獲取計算機信息系統(tǒng)數(shù)據罪”“妨害信用卡管理罪”等罪名，對于涉及個人信息國家安全屬性、公共安全屬性的行為，亦可以有效評價。

（三）侵犯公民個人信息罪構成要件的限縮

目前侵犯公民個人信息罪的主觀構成要件中并沒有設立目的性限制要件，意味著一旦違反國家有關規(guī)定，出售、提供或非法獲取個人信息無論正當?shù)哪康倪€是不正當?shù)哪康?，均觸犯侵犯公民個人信息罪。此種罪名設置模式，體現(xiàn)出刑法對于侵犯公民個人信息行為的嚴厲打擊，但同時也對大數(shù)據產業(yè)和數(shù)字經濟的發(fā)展空間造成較大限制。因此，有必要對侵犯公民個人信息罪設立目的性限制要件，即“以非法目的向他人出售、提供或非法獲取個人信息”。從當前的司法實踐來看，“情節(jié)嚴重”成為替代目的性限制要件的判斷因素，可以通過認定以不正當目的侵犯個人信息的行為為“情節(jié)嚴重”，以正當目的為“情節(jié)輕微”。此種解釋模式，可以很大程度上限縮刑法的打擊半徑，但是犯罪情節(jié)作為量刑因素，并非罪與非罪的標準，仍然無法取代目的性要素的定罪價值。此外，在以正當目的維護公共利益過程中對個人信息的侵害或者威脅，同為了實施詐騙、綁架等犯罪而出售、提供、獲取個人信息的行為，不具有相同的實質違法性，如果不區(qū)分兩者而一概入罪，對于前者的刑法規(guī)制則顯得過于嚴苛。

進一步檢視侵犯公民個人信息罪的客觀構成要件，本罪規(guī)定的實質違法行為包括非法獲取、非法提供個人信息的行為，那么對應的合法獲取、合法提供個人信息的行為邊界何在，需明確刑法的評價范圍和打擊半徑，既不過度干涉數(shù)據產業(yè)發(fā)展，也不遺漏對個人信息的保護?？v觀域內外立法，對于合法行為的規(guī)定通常以原則來表述。以《個人信息保護法（草案）》為例，其中第4條規(guī)定，個人信息的收集、處理和利用應當遵循合法、正當、必要的原則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、處理和利用個人信息。筆者認為，“必要”“正當”等關鍵詞較為抽象模糊，并且不同主體對此理解會帶有自己的感情色彩。因此，應當對處理個人信息的合法原則盡可能釋明，保證法律的確定性。對于合法獲取、提供個人信息的行為規(guī)定較為具體的是歐盟《數(shù)據通用保護條例》（以下簡稱GPDR）。①GDPR第6條規(guī)定，至少滿足以下中的一項，處理數(shù)據才是合法的:(1)數(shù)據主體同意為特定目的處理其數(shù)據;(2)處理數(shù)據是為簽訂或履行合同所需的;(3)處理數(shù)據是為遵守法定義務所需的;(4)處理數(shù)據是為了保護數(shù)據主體或其他自然人的至關重要的利益;(5)處理數(shù)據是為了公共利益或行使政府授予的權力;(6)處理數(shù)據是為追求數(shù)據控制者的合理利益，但不得損害數(shù)據主體的利益”GPDR規(guī)定了“合法處理數(shù)據”的主要內容，并對于如何實現(xiàn)數(shù)據開放與數(shù)據保護之間的平衡進行了制度性嘗試，但對于“簽訂履行合同所需”“遵守法定義務所需”“合理利益”以及“至關重要的利益”等相對模糊性的規(guī)定，仍然存在難以操作的困難，尤其對于不同的數(shù)據主體或者角度，亦會產生不同的結論。②陳璐：《個人信息刑法保護之界限研究》，《河南大學學報（社會科學版）》2018年第3期，第73頁。綜上，合法獲取、合法提供個人信息的行為邊界在于合法、合意、合理，以更為明確的表述替代原則性表述。合法意味著合法獲取、提供個人信息應當遵守個人信息保護相關的法律法規(guī)，按照法律規(guī)定行使權利，履行義務；合意指的是雙方約定，包括口頭約定、書面合同等體現(xiàn)、記錄雙方意思的形式；合理指的是追求公共利益在內的利益、正當目的、必要手段等需要依靠道德素養(yǎng)評價的行為。此類行為容易游走于犯罪的邊緣，而又不易固定標準，應當由數(shù)據主體和數(shù)據處理者之外的第三方權力機構根據個案作出恰當判定。

（四）法秩序統(tǒng)一原則下正當化事由與責任減免事由的關注

侵犯公民個人信息罪啟動的前提是行為“違反國家有關規(guī)定”，對違法程度較高的侵犯公民個人信息行為進行刑事制裁。因此，侵犯公民個人信息罪的犯罪圈應當與前位法的規(guī)定保持一致，以實現(xiàn)法秩序的統(tǒng)一性，避免前位法規(guī)定不違法的行為反而由刑法評價。刑法與前位法在保護目的上均是出于對個人信息的保護，區(qū)別在于刑法規(guī)制的行為違法程度更高。這種違法程度的層次分明決定了刑法的評價半徑不能大于前位法，否則前位法將淪為虛置法，刑法僭越評價尚未納入違法范圍的侵犯公民個人信息行為，違反罪刑法定原則。因此，為了維護法秩序的統(tǒng)一，應當對“違反國家有關規(guī)定”進一步釋明，使得刑法對侵犯個人信息的出擊有合法根據。一方面，此處的國家有關規(guī)定應當限縮，防止寬泛抽象的前位法導致刑法適用不明確。“違反國家有關規(guī)定”只宜限于國家層面的有關規(guī)定，而不能包括地方性法規(guī)等非國家層面的規(guī)定。①喻海松：《網絡犯罪的立法擴張與司法適用》，《法律適用》2016年第9期。另一方面，刑法對于個人信息的定義范圍和侵犯公民個人信息的行為類型應當跟進前位法的修訂。刑法不能盲目擴張侵犯公民個人信息罪的犯罪圈，需要根據民法、行政法等前位法的新態(tài)勢作出調整，使得刑法與前位法相銜接適應。

隨著大數(shù)據時代的發(fā)展，信息公共利益和個人信息利益的摩擦會更趨頻繁，如果這些摩擦均納入侵犯公民個人信息罪的調整范圍，會導致刑法“手臂”延伸過長，不利于公共利益的實現(xiàn)。因此，對于侵犯公民個人信息罪的適用，應關注相應的豁免事由，縮小刑法規(guī)制的半徑，同時還應防止其成為犯罪分子逃脫刑罰制裁的助力。對此，可以將侵犯公民個人信息罪的豁免事由限定為：其一，被收集信息者同意，包括明示和推定。網絡環(huán)境中對于個人信息者的同意，一般以隱私聲明的形式體現(xiàn)，由用戶在瀏覽聲明以后作出是否同意信息被收集的同意表示。此外，在基于客觀的判斷，能夠確實地期待信息主體同意的情況下，即使沒有為明示的同意，也得以推定信息主體同意對其個人信息的提供或者利用，因欠缺法益侵害性而不構成犯罪。②參見楊楠:《個人數(shù)位足跡刑法規(guī)制的功能性偏誤與修正》，《安徽大學學報(哲學社會科學版)》2019年第4期，第100頁。其二，有權機構維護的信息公共利益是重大的、緊急的國家利益、社會利益。例如，在新冠肺炎疫情期間，由于事態(tài)嚴重且惡化迅速，政府相關部門沒有能力做到盡善盡美，在把主要精力放在防疫舉措上時，不可避免地會忽視疫情相關的個人信息保護。在這種情況下首要任務是維護公共衛(wèi)生安全和社會秩序，個人信息利益必須讓位。其三，法令行為，主要適用于打擊違法犯罪活動時。一方面，司法機關根據法令實施職權職務行為，有權獲取犯罪嫌疑分子的身份信息、住址、行蹤軌跡等個人信息，以便抓捕犯罪嫌疑分子。另一方面，公民個人根據法令實施舉報犯罪嫌疑分子的行為，向司法機關提供相關人員的個人信息。違法犯罪活動影響社會秩序的穩(wěn)定，事關公共利益，此時限縮犯罪嫌疑分子的個人信息利益具有正當性。