濫用公民個人信息行為的刑法保護路徑研究
——以個人健康信息為例

龔珊珊， 李 韜

(東南大學 法學院， 江蘇 南京 211189)

一、問題的提出

濫用公民個人信息行為需要納入刑法規(guī)制。以個人健康信息為例，數(shù)據(jù)時代的到來給醫(yī)療健康行業(yè)帶來了新的發(fā)展，為醫(yī)療服務需求者提供了更為精準、便捷、個性化的優(yōu)質(zhì)醫(yī)療服務，公民個人為了享受數(shù)據(jù)時代下更為優(yōu)質(zhì)便利的個性化醫(yī)療服務，也愿意主動將自身的健康信息提供給相關機構(gòu)平臺，于是個人健康信息在社會中的流動便成為常態(tài)。然而，隨著數(shù)據(jù)時代背景下個人信息的商業(yè)價值屬性日益凸顯，個人健康信息的濫用危機逐漸顯現(xiàn)。盡管某項孤立的健康信息的泄露乃至被濫用或許并不足以危及個人生活的安寧，但當許多項健康信息匯聚在一起，特別是當包含具有專屬性的生理紋理、基因圖譜等信息時，組合起來已經(jīng)可以指向某一特定的個體。這些信息倘若被濫用，必然會對個人隱私及社會安全產(chǎn)生極大影響。過度追求刑法“關注理想的原則”而忽視“關注需求的原則”則易導致人們在面對個人信息危機日趨嚴重的現(xiàn)狀時，仍然只能“主要依賴脆弱的技術(shù)手段，不知瞬間會發(fā)生何種災難”[1]12。當個人信息對主體的識別性不斷增強，公民個人信息具有巨大的商業(yè)價值，實踐中濫用公民個人健康信息的案例頻頻發(fā)生而技術(shù)手段難以防范，刑法其他罪名越來越無法如傳統(tǒng)時代一般能夠?qū)E用公民個人信息行為進行附帶性評價時，刑法應當適時介入并且提出有效的規(guī)制方式。在面對只能科處較輕刑罰的行為時，應盡可能注重類型性，避免處罰漏洞[1]17。

針對《中華人民共和國刑法》(以下簡稱《刑法》)、《中華人民共和國民法典》(以下簡稱《民法典》)以及《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)等與保護個人信息有關的法律都只進行源頭轉(zhuǎn)移規(guī)制或?qū)κ褂秒A段過于原則性保護的現(xiàn)狀，將個人信息的使用與搜集進行平等的保護，不僅是出于科學技術(shù)手段日漸復雜且對其監(jiān)管難度日漸增大的緊迫性，也是出于法律對權(quán)利在各個階段濫用的規(guī)制方式皆需要日益完善的考慮；也不僅是出于對數(shù)據(jù)時代公民隱私權(quán)的保護，防止公民個人信息被濫用后出現(xiàn)無法律保障底線的局面，更是出于對罪刑法定原則成文法主義及刑法明確性原則的遵守，防止刑法因無明確的條文規(guī)制而陷入“不是不管就是亂管”的局面的考慮?！凹热恍谭ǖ娜蝿帐潜Ｗo法益，而違法的本質(zhì)是侵害法益，那么，對違法(構(gòu)成)要件或客觀構(gòu)成要件的解釋理所當然必須以法益概念為指導?！盵2]可見，有效的規(guī)制必須以法益保護目的為指導。因此，筆者認為，有必要對侵犯公民個人信息罪的具體法益及法益屬性進行符合數(shù)據(jù)時代特征的解釋。

二、個人信息的濫用現(xiàn)狀及刑法規(guī)制困境

隨著數(shù)據(jù)時代的不斷發(fā)展，人類社會在獲得數(shù)據(jù)紅利的同時，也面臨著數(shù)據(jù)洪流下個人信息被泄露、濫用的風險。數(shù)據(jù)共享與隱私泄露猶如一枚硬幣的正反面，科學技術(shù)的核心是增強從海量的數(shù)據(jù)中提取有效信息并加以使用的能力，以實現(xiàn)數(shù)據(jù)的增值效益，但與此同時，這也可能預示著個人隱私失控的開始?？茖W技術(shù)的深度發(fā)展，使得商業(yè)主體為攫取利益而侵犯個人信息的手段更具有隱蔽性。一方面，公眾不再滿足于對各類信息的簡單獲取，而主動將個人生活與互聯(lián)網(wǎng)進行更深層次的融合，因此大量個人信息已不再處于傳統(tǒng)意義上的保密狀態(tài)；另一方面，商業(yè)主體濫用個人信息的方式通常表現(xiàn)為概括同意式的“合法”獲取后的不當利用，侵害個人信息權(quán)的方式也從傳統(tǒng)的獲取型侵犯轉(zhuǎn)化成新興的使用型侵犯。然而，網(wǎng)絡社會與現(xiàn)實社會深度交疊的當下，個人信息所有權(quán)與控制權(quán)已不如傳統(tǒng)時代一般不可分割，個人對信息的控制權(quán)能已逐漸成為個人信息的重點保護對象，法律也應當將保護目標更多地朝向個人控制權(quán)能。

(一)個人信息的濫用現(xiàn)狀

以濫用個人健康信息為例。個人健康信息是指在疾病預防、體檢、診斷、治療、醫(yī)學研究過程中所涉及的個人身體、精神的健康狀況和家族病史等信息[3]。數(shù)據(jù)時代的到來，帶來了數(shù)據(jù)技術(shù)在醫(yī)療健康行業(yè)的廣泛應用，使得個人健康信息得到了更加充分的開發(fā)利用，從而可以為醫(yī)療健康服務需求者提供更加精準、便捷、個性化的優(yōu)質(zhì)醫(yī)療健康服務。但是，個人健康信息由于具有極高的敏感性和私密性，一旦泄露無疑會給當事人帶來極大的影響，而個人健康信息數(shù)據(jù)化同時意味著個人健康信息有被濫用的風險。作為個人信息這一符號系統(tǒng)中的一種，健康信息關聯(lián)著特定個人，反映著個體特征，具有識別性[4]，如個體的生理紋理、基因圖譜，這些信息猶如個人身份證，記錄著個體獨一無二的信息，一旦被不法分子加以利用，不僅涉及被害人的隱私，還可能關系到被害人的財產(chǎn)乃至人身安全。例如，不法分子將獲取的個人健康信息用于精準廣告推銷甚至詐騙，便極有可能給信息主體帶來財產(chǎn)安全隱患；不法分子假冒信息主體身份進行違法活動，使得信息主體的社會信用評價降低，將其原有的平穩(wěn)生活置于麻煩和困境之中。

數(shù)據(jù)時代，個人健康信息已然成為飽含商業(yè)價值的礦藏，因而也成為了各類商業(yè)主體競相追逐的對象，許多信息服務提供商紛紛推出了健康管理軟件或平臺。這些信息服務提供商在用戶使用其產(chǎn)品前，往往會通過提供健康服務的優(yōu)惠措施或者若不簽署同意個人信息轉(zhuǎn)移的合同就不提供產(chǎn)品服務的方式來誘惑、強制個人同意授權(quán)其健康信息。此類合同又往往過度收集用戶除健康信息之外的個人信息。而根據(jù)此類合同內(nèi)容，濫用個人健康信息的行為一般具有兩種表現(xiàn)形式：一是行為人以公司名義與被害人簽署同意授權(quán)獲取個人健康信息合同，而事實上，該公司名下通常有多款不同類型的應用程序(App)或者服務平臺，具有投資理財、醫(yī)療保險等涉及范圍廣泛的功能，被害人誤以為該信息只關乎健康平臺服務，殊不知行為人名下的所有網(wǎng)絡服務平臺皆已“合法”分享信息。而一旦認定被害人的個人健康信息對行為人無商業(yè)利益可言，行為人將通過技術(shù)手段限制或剝奪被害人的多項社會權(quán)利，如投資理財、申請保險等。二是該類合同通常附有強制性或者隱藏性的轉(zhuǎn)授權(quán)條款，使得被害人一旦簽訂合同就意味著同時同意授權(quán)第三方網(wǎng)絡服務平臺獲取個人健康信息，而行為人從中套取利益。行為人無論通過哪種方式濫用公民個人健康信息，從目前刑法規(guī)制方式來看都是合法的，被害人不僅缺乏有效的手段反對和阻止個人健康信息擴散[5]，而且個人信息泄露的風險也早已被合法轉(zhuǎn)嫁給自身。

(二)刑法規(guī)制困境

自2021年11月1日起施行的《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)正是一部針對App過度收集個人信息，進而向用戶提供個性化推薦和精準服務或者進行“大數(shù)據(jù)殺熟”等一系列使得公民感到隱私被“圍觀”的現(xiàn)象而制定的法律。該法律不少條款均體現(xiàn)了對個人控制信息權(quán)能的關注，大幅限制了個人信息獲取人的權(quán)利，并對其提出了較嚴格的義務要求。例如，個人信息獲取人在處理公民個人信息時應當征求個人同意，若處理事項發(fā)生重要變更還應當二次征求個人同意，且個人有權(quán)撤回同意，個人信息獲取人也不得以個人不同意為由拒絕提供產(chǎn)品或服務。嚴苛的責任設置表明，國家為加強對公民個人信息的保護，必將不斷完善法律。但是目前在刑法實踐中，對非法提供(出售)、獲取、泄露公民個人信息等轉(zhuǎn)移型行為適用侵犯公民個人信息罪的案例十分常見，而相較于非法獲取個人信息行為，對被害人隱私權(quán)在空間侵犯上更廣、后續(xù)影響更深的濫用行為的刑法規(guī)制案例數(shù)量卻寥寥無幾?？梢姡袊谭ㄇ址腹駛€人信息罪是存在規(guī)制缺陷的。

首先，在客觀現(xiàn)實方面，因科技發(fā)展及數(shù)據(jù)核心價值變化，刑法存在外部與內(nèi)部兩方面的滯后性。在外部，刑法作為最后的必要性規(guī)范，只能當具有規(guī)范保護必要性的法益在其他規(guī)范如民事、行政法規(guī)范嚴重缺失或難以發(fā)揮作用、特定法益面臨亟待刑事規(guī)范介入保護的嚴重侵害風險時，才能夠發(fā)揮作用，并且任何行為的入罪都需要進行充分論證并考慮與其他部門法的沖突和銜接問題。除《個人信息保護法》外，《網(wǎng)絡安全法》與《民法典》應當是目前與公民個人信息保護相關性最大的法律。前者通過規(guī)范個人信息收集方式、處罰違法收集個人信息行為等限制轉(zhuǎn)移的手段來避免個人信息的泄露、篡改和損毀，與目前刑法規(guī)制思路一致，無法應對濫用行為。后者雖然針對使用個人信息行為有“合法、正當、必要……不得過度處理”的規(guī)定，但是缺乏相應責任條款，且該規(guī)定過于原則化，難以發(fā)揮實際效用。在內(nèi)部，除侵犯公民個人信息罪外，刑法與公民個人信息相關的犯罪，如非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、非法利用信息網(wǎng)絡罪、拒不履行信息網(wǎng)絡安全管理義務罪以及幫助信息網(wǎng)絡犯罪活動罪，都無法應對合法獲取、非法濫用個人信息的情況。但是，如若濫用個人信息行為作為某種犯罪的前置行為或者幫助手段，而行為人的主要目的在于實施該犯罪，如詐騙罪等，則尚可通過刑法完成形態(tài)理論、共犯理論等進行處理，而當濫用公民個人信息的行為不符合其他罪名的構(gòu)成要件要素或者量刑裁量要素時，刑法則缺乏相應制裁手段。

其次，在主觀邏輯方面，刑法因固守傳統(tǒng)“源頭治理”思維而導致無法應對濫用個人信息的行為。刑法一直試圖通過“源頭治理”——限制轉(zhuǎn)移的邏輯防范、規(guī)制侵害個人信息的行為。雖然在傳統(tǒng)時代個人信息可以通過物理保密方式來進行有效保護，防止信息空間流轉(zhuǎn)的限制轉(zhuǎn)移規(guī)制邏輯是有其合理性的，但是在數(shù)據(jù)時代，這已然不符合個人信息的隱私樣貌。一是個人信息一旦與互聯(lián)網(wǎng)掛鉤就不存在完全保密狀態(tài)，刑法只有將保護對象著眼于個人控制權(quán)能，才能防止對濫用行為無法規(guī)制的缺陷；二是刑法只對“提供(出售)、獲取或者泄露”個人信息的非法轉(zhuǎn)移行為進行規(guī)制，而濫用行為往往在其信息獲取源頭上合法或者形式合法，因而無法評價為侵犯公民個人信息罪；三是個人信息自主是個人信息轉(zhuǎn)移的重要原則，該原則不應只存在于轉(zhuǎn)移階段，也應存在于使用階段；四是在實踐中，“源頭治理”的規(guī)制思路并不利于數(shù)據(jù)時代信息的流轉(zhuǎn)，也不符合刑法適用的公平性。

三、侵犯公民個人信息罪的具體法益分析

關于侵犯公民個人信息罪法益類型的探討，目前存在“超個人法益”“個人法益”“復合法益”三種觀點。前兩者在對侵犯公民個人信息罪的具體法益認定上又有多種學說，如“超個人法益”目前就有信息專有權(quán)、社會管理秩序、公共信息安全、個人信息安全的社會信賴等學說；“個人法益”則主要有信息自決權(quán)、個人信息安全、個人信息權(quán)等學說。學界通過各式檢驗方式對比各學說的優(yōu)劣，以期尋求最符合法益保護目的的具體法益。但筆者認為，無論是基于刑法教義理論、刑事政策要求抑或與司法解釋協(xié)調(diào)性等方面考慮，各學說皆可以提出支持本說、反對他說的理由，此間種種不一而足。然而遺憾的是，鮮有從法理角度對刑法中的“個人信息”概念進行深度梳理的。當民法、行政法等部門法對個人信息權(quán)屬于具體人格權(quán)范疇還是屬于隱私權(quán)范疇這一問題仍然存有爭議時，刑法學界還未解決個人信息權(quán)在刑法法益中的位階問題，便將其與隱私權(quán)之具體人格權(quán)法益并列看待，進而對侵犯公民個人信息罪的法益進行以個人信息“公私”屬性為核心的法益類型及內(nèi)涵探討，這是缺乏法益體系化邏輯與法理根基的。因此，筆者擬從“隱私權(quán)”在數(shù)據(jù)時代的法理重塑角度切入，對個人信息的“公私”屬性進行梳理，進而再來討論“超個人法益”“個人法益”“復合法益”的法益辨析問題，以期重構(gòu)更符合法益保護目的及體系的法益證成路徑。

(一)傳統(tǒng)隱私權(quán)的缺陷

隱私權(quán)產(chǎn)自美國法[6]，在美國最具代表性的有五種學說：獨處說(Right to Be Let Alone)、有限接近自我說(Limited Access to the Self)、秘密說(Secrecy)、信息控制說(Control over Personal Information)和私密關系說(Intimacy)。五種學說都有各自的核心觀點，但都堅守“隱私應當被保密”的共識，而“保密”的界限即是于傳統(tǒng)隱私而言的“公”“私”的界限。然而，數(shù)據(jù)時代隱私的“公”“私”特征已然模糊。在數(shù)據(jù)時代，物理意義上的各種信息皆可量化和搜集。例如，個人健康信息，在傳統(tǒng)時代個人如若不愿意主動“分享”，個人的健康狀況事實上也幾乎不可能被時時搜集；但是，為獲取更為優(yōu)質(zhì)便利的個性化醫(yī)療服務，個人往往默許醫(yī)療機構(gòu)等相關平臺擁有獲得自身健康信息的行為。而一旦這些個人信息開始流動，則意味著其“私有”屬性就受到了一定程度的妨礙，這種妨礙雖然不一定使私有權(quán)利受損但確實是客觀存在的。一旦私有屬性發(fā)生動搖，傳統(tǒng)隱私權(quán)所固守的明確的“公”“私”界限即保密界限就變得難以認定。尤其在信息的消費者與生產(chǎn)者身份不斷重疊的當下，個人在有限范圍內(nèi)公開自己隱私、分享自己生活已然成為獲取社會認同感的途徑之一，因此，隱私權(quán)已然隨著人們生活觀念、生活方式的改變而改變。

另外，傳統(tǒng)隱私權(quán)學說還存在其他缺陷。例如，獨處說就因?qū)﹄[私權(quán)適用現(xiàn)實案例時過寬或過窄的涵蓋范圍而受到部分學者的反對[7]，其對數(shù)據(jù)時代隱私“公”“私”屬性交疊的處境更為束手無策；有限接近自我說具體化了秘密、匿名、獨處三個要素后也面臨著隱私權(quán)范圍被不當限縮的困境，畢竟數(shù)據(jù)時代大多數(shù)獲取公民個人信息的方式都符合這三個要素，按此理論將推導出隱私權(quán)在當代并未面臨被侵犯的緊迫性的結(jié)論，顯然與公眾的感知相悖，過度限縮的隱私權(quán)將導致人人處于被未知第三方監(jiān)視的恐懼中卻又難以尋求到法律救濟；秘密說則比有限接近自我說對隱私的認定更為絕對和限縮，與“秘密”相反的就是公開，意味著信息一旦公開就不再屬于隱私，亦不受隱私權(quán)保護，因此，秘密說在面對一定范圍內(nèi)公開的隱私時就十分為難，對隱私“一刀切”式的判斷方式不符合數(shù)據(jù)時代隱私的常態(tài)表現(xiàn)，亦不利于對公民隱私的保護；信息控制說對“信息”的范圍界定問題使得此學說保護范圍過窄，且其核心要素“控制”的概念又是一直以來爭議的焦點，無論“控制”是類似財產(chǎn)處理的手段，抑或是隱私權(quán)的必要認定要件，都使得隱私權(quán)的概念難以明晰；私密關系說由于出現(xiàn)較晚，目前理論界對其解讀或過于接近有限接近自我說，或未能區(qū)分“私密關系”與“秘密”，概念范圍皆模糊不清。

(二)隱私權(quán)在數(shù)據(jù)時代的概念重塑

多元的社群和組織使得原本簡單清楚的規(guī)定難以適用[8]。在全球數(shù)據(jù)化信息量占信息總數(shù)95%以上[9]21的今天，隨著云端、資料庫等儲存空間的多樣化，數(shù)據(jù)所承載的個人隱私早已不處于完全保密的狀態(tài)下。數(shù)據(jù)信息這座金礦之所以被眾多商業(yè)主體追逐，正是由于其最重要的功能并非“捕捉現(xiàn)在”，而是“預測未來”[9]52-55。因此，隱私權(quán)概念事實上已然發(fā)生轉(zhuǎn)變，而轉(zhuǎn)變后的隱私權(quán)與個人信息權(quán)的關系，才是決定個人信息權(quán)是否能夠成為具體人格權(quán)之一的關鍵所在。筆者所持的觀點是，兩者是包含關系，隱私權(quán)包含個人信息權(quán)，個人信息權(quán)是隱私權(quán)的下位概念，這是以隱私權(quán)的保護客體為依據(jù)的。隱私權(quán)具有兩種類型：信息隱私權(quán)和自決隱私權(quán)。前者是指權(quán)利人對個人信息的控制，后者則是指個人以自治為基礎所作出的某種基礎性決定[10]。當然這兩種類型也時有交錯。

這樣的劃分以人格權(quán)的權(quán)利特征為基礎，即積極利用權(quán)與消極防御權(quán)。信息隱私權(quán)要求個人擁有能夠?qū)勺R別的個人信息在任何空間的社會關注度具有控制的權(quán)利，是積極利用權(quán)的體現(xiàn)。其強調(diào)積極行使意義上處分、利用等主動行使的權(quán)利，權(quán)利的實現(xiàn)對應要求義務人同樣的積極作為，主要表現(xiàn)為征求信息主體的同意等。而可識別性正是針對數(shù)據(jù)時代信息的量化達到一定程度后可描摹個人特征的特性所提出的。正如某一項孤立的健康信息可能無法說明個人特征，但許多項健康信息匯聚在一起，特別是包含具有專屬性的生理紋理、基因圖譜等信息時，組合起來便已經(jīng)可以指向某一特定的個體，本來模糊的個人“樣貌”便在集體之中浮現(xiàn)出來。自決隱私權(quán)的核心正是在于隱私的轉(zhuǎn)移是否違背個人意志。與信息隱私權(quán)相反，自決隱私權(quán)強調(diào)公民對未在一定范圍內(nèi)公開的個人信息享有不受侵擾的權(quán)利，是消極防御權(quán)的體現(xiàn)。其強調(diào)消極行使意義上個人信息處于安全狀態(tài)的權(quán)利，權(quán)利的實現(xiàn)對應要求義務人負有不得不當泄露、使用以及銷毀其合法獲取的和還未獲取的公民個人信息的義務。

此外，還需要明確的是，個人在一定范圍內(nèi)對隱私權(quán)的放棄并不意味著隱私因公開而消失，義務人超范圍的利用依舊存在妨害隱私的問題，因為隱私是客觀事實，而隱私權(quán)是價值判斷。例如，當醫(yī)生為檢查而接觸患者的生殖器官時，并不會被評價為對患者隱私權(quán)的侵犯；鐵路安檢人員為列車安全而檢查乘車人的行李箱時，也不會被評價為對乘車人隱私權(quán)的侵犯。因此，個人在一定范圍對隱私權(quán)的放棄不影響對此范圍外的隱私權(quán)的享有。由此可見“一定范圍”的重要性，亦即對于數(shù)據(jù)時代的隱私權(quán)，“空間”的概念不可或缺。這里的“空間”不應僅局限于傳統(tǒng)物理的、靜止的、一元的空間，而應解釋為虛擬的、動態(tài)的、多元的空間。具體可分為原生空間及流轉(zhuǎn)空間：原生空間是指個人信息所有者分享信息的范圍；流轉(zhuǎn)空間則是指個人信息獲取者傳遞、利用信息的范圍。個人信息與原生空間當然不存在隱私權(quán)侵害問題，而個人信息與流轉(zhuǎn)空間則可能存在隱私權(quán)侵害問題。但是，能夠證明信息獲取者對該信息的傳遞、利用符合個人信息所有者與社會交互關系的期待除外。

因此，隱私權(quán)在數(shù)據(jù)時代的保護范圍應當且已然擴大。當人們驚覺曾經(jīng)并不在意的個人信息可以被各類商業(yè)主體甚至不法分子肆意獲取并不斷傳遞、濫用時，個人整體“樣貌”已然可以被輕易描摹。在傳統(tǒng)“保密”的界限難以辨析時，“控制”以及“空間”的概念將重塑隱私權(quán)的新面貌。在重塑后的隱私權(quán)的保護下，個人才能夠決定個人信息從原生空間進入何種流轉(zhuǎn)空間及其進入程度，個人信息才不至于違反個人意愿被“合理”搜集、分析與使用，個人才不至于淪為商業(yè)主體逐利、不法分子獲益的犧牲品。正如個人健康信息作為可以用以識別個人的符號，對信息所有者而言具有重要意義。即使個人出于獲取更為便利的醫(yī)療服務或者為促進醫(yī)療事業(yè)發(fā)展而匿名提供健康數(shù)據(jù)等原因，在一定范圍內(nèi)分享個人健康信息，放棄此范圍內(nèi)的隱私權(quán)，但其健康隱私并不會因在原生空間的放棄而消失，任何合法獲取此信息的行為人一旦逾越原生空間傳遞，濫用其信息，都應被視為對個人隱私權(quán)的侵犯，除非行為人能夠證明其行為符合個人信息所有者與社會交互關系的期待。

四、侵犯公民個人信息罪的法益類型辨析

在明晰個人信息權(quán)隸屬于隱私權(quán)后，侵犯公民個人信息罪的法益不言而喻，正是隱私權(quán)，由此再回歸法益類型的探討就更為明了了。該罪的法益類型為“個人法益”，理由如下：其一，在保護對象上，該罪的保護對象是公民個人信息。按照文義解釋的要求，解釋不能超出字面本身所具有的含義?！皞€人”二字說明其私有性，且私密性是隱私權(quán)的專有特征，這是確定該罪的法益類型為“個人法益”的根本理由。其二，在所屬位置上，該罪位于《刑法》分則第4章“侵犯公民人身權(quán)利、民主權(quán)利罪”中，按照體系解釋的要求，被解釋的法律規(guī)范應當聯(lián)系整部法律,根據(jù)局部聯(lián)系整體的關系來解釋法律規(guī)范。該章同類法益類型為個人法益，因此該罪的法益類型亦為“個人法益”。其三，在權(quán)利類型上，由于信息隱私權(quán)的權(quán)利實現(xiàn)要求義務人積極作為，如征求個人信息所有者的同意。其四，在刑法理論上，亦即被害人同意具有犯罪阻卻功能，因此認定為“個人法益”與違法阻卻要件相契，也更有利于遵循個人意愿，保障個人信息所有者控制個人信息的自由。

“超個人法益”則認為，“侵犯公民個人信息犯罪的法益并不是公民個人的人身權(quán)利，而是社會的公共安全，具體來說是公共信息安全”[11]，存在法益認定抽象、無視個人法益及類推解釋缺陷?！俺瑐€人法益”的各種學說將公共法益、社會秩序等詞匯作為目的法益，抽象化的法益描述忽視了“超個人法益”實質(zhì)上不過是對具體人格權(quán)侵犯后的進一步結(jié)果，是“因果關系延長線上可能存在的副產(chǎn)品”[12]，雖然該罪的表現(xiàn)形式常常是“群體性”[13]、集合式的，但是以表現(xiàn)形式為依據(jù)認定該罪法益就是“超個人法益”，則屬于本末倒置。

一方面，從人權(quán)保護角度而言，抽象的法益存在為國家刑罰權(quán)的擴張?zhí)峁┙忉尷碛傻娘L險。刑法存在的目的不僅僅是懲治犯罪，還在于限制國家權(quán)力。例如，若認為個人的權(quán)利被侵害不存在法益侵害性，只有累計至一定數(shù)量才產(chǎn)生質(zhì)變，侵犯公民個人信息罪法益保護功能才發(fā)揮作用，那就意味著集合化之后的人格——“社會人格”，將凌駕于個人人格之上，這不僅違反了平等適用刑法原則，也將國家置于公民個人的對立面。因此，但凡能夠具體解釋的，還是應當追本溯源[14]。另一方面，從刑法原則評價角度而言，“超個人法益”不符合罪刑法定原則的明確性要求、禁止類推的派生性原則以及上文已述的平等適用刑法原則?！肮怖鎽莻€人利益之集合”[15]，而非一定數(shù)量個人利益的抽象化?！俺瑐€人法益”的認定意味著否認單個的、具體的被害人之同意具有違法阻卻的行為，這與理論邏輯相悖：單個的、具體的被害人有控制個人信息的權(quán)利，卻沒有否定該權(quán)利被侵犯的權(quán)利；“社會人格”之被害人沒有控制個人信息的權(quán)利，卻有否定該權(quán)利被侵犯的權(quán)利。

“復合法益”顧名思義是既肯定“超個人法益”又肯定“個人法益”的折中說。從理論上來說，一旦肯定“超個人法益”就意味著給“個人法益”的保護屏障撕開了一道口子，使得屏障外的行為如同屏障內(nèi)的行為一樣受到侵犯公民個人信息罪的評價。然而通過上文分析可知，“個人法益”與“超個人法益”完全背道而馳，兩者無法兼容。例如，在關于被害人同意問題是否阻卻違法的問題上，兩者態(tài)度就截然相反。因此，一旦認為侵犯公民個人信息罪法益具有“超個人”屬性，就是實質(zhì)的“超個人法益”支持說，所以并不存在真正的“復合法益”。

此外，刑法應對新法益的創(chuàng)設保持謹慎態(tài)度，數(shù)據(jù)時代的到來使得許多傳統(tǒng)法益客觀上被賦予內(nèi)涵與外延。一方面，要克服刑法的滯后性并不意味著一定要創(chuàng)設新概念、新法益，新事物的創(chuàng)設必然會導致既有的已成熟的理論體系的重構(gòu)，而這樣的重構(gòu)很多時候只是讓刑法理論看似發(fā)展得熱鬧，卻并不具有現(xiàn)實意義；另一方面，傳統(tǒng)法益因時代發(fā)展而無適用余地時不可棄之不顧，群眾感受具有深厚的力量，它使得文字原本承載的內(nèi)涵悄然改變。對此，學界應當以法益為核心的目的解釋為指導，先嘗試剖析與解釋傳統(tǒng)法益，而非熱衷于創(chuàng)設新概念、新法益，卻忽視了對傳統(tǒng)概念、傳統(tǒng)法益的新詮釋。對于“保護個人信息具有超越保護隱私的價值”[16]觀點的提出，究其原因還是在于未能對隱私權(quán)進行重新解釋，或者混淆了隱私與隱私權(quán)的概念，將“隱私”片面理解為一旦公開即喪失，將“空間”片面理解為物理的、靜止的、一元的，將“控制”片面理解為無人知曉的保密方式。

五、濫用公民個人信息行為的刑法具體規(guī)制方式

法律解釋的方法繁多，但能夠在國內(nèi)外刑法學界達成普遍共識的只有以法益保護為指導的目的解釋論，即以刑法所保護的法益為解釋目的的解釋方法。其他解釋方法得出的結(jié)論不但可能偏離刑法保護目的，而且最終合適與否仍需以目的解釋論為檢驗標準?！耙驗橹挥心康恼摰慕忉尫椒ㄖ苯幼非笏薪忉屩緛砟康?，尋找出目的觀點和價值觀點，從中最終得出有約束力的重要的法律意思。”[17]只有以保護法益為指導，才能合理分析犯罪構(gòu)成要件，精準辨析罪與非罪的界限。在明確侵犯公民個人信息罪的法益為隱私權(quán)，法益類型為個人法益，以及規(guī)制的重點應當面向?qū)σ孕畔㈦[私權(quán)為前提的個人信息控制權(quán)后，濫用公民個人信息行為的刑法具體規(guī)制方式就有了法益指導。也只有結(jié)合數(shù)據(jù)時代的特征，對隱私權(quán)之傳統(tǒng)法益重新進行法理上的深入描摹，對侵犯公民個人信息罪不斷進行理論與實踐的反思，才能對該罪名如何應對濫用行為的問題進行解答。

首先，侵犯公民個人信息罪的適用范圍需要擴展至使用階段。正如上文分析，該罪的不法評價重心在于信息的獲取、轉(zhuǎn)移及使用是否違背個人真實意愿，那么以此為標準劃分的行為類型則不應再限于非法轉(zhuǎn)移行為，“合法獲取、非法濫用”的使用行為也應當被該罪評價。這也是法益保護統(tǒng)一性以及隱私權(quán)類型統(tǒng)一性的要求。

其次，對“合法獲取、非法濫用”行為的責任情節(jié)裁量應當比照侵犯公民個人信息罪第1款的規(guī)定進行處罰。該罪的行為方式需進行細致劃分，從條文上來看，有竊取、非法獲取、出售和提供。而根據(jù)行為發(fā)生邏輯，則可劃分為兩個階段，即竊取、獲取為一階段，可單獨定罪處罰；出售、提供為二階段，也可單獨定罪處罰。顯然，一階段(無論合法與否)是二階段的前行為，只有當一階段(無論合法與否)行為完成后二階段行為才可能發(fā)生。那么，根據(jù)兩個階段行為非法皆可單獨處罰的規(guī)定，就可能涉及一個 法益重復評價情況，如行為人針對同一個人信息，非法獲取后又非法提供該如何適用該罪？在司法實踐中，筆者對侵犯公民個人信息罪的現(xiàn)有相關裁判文書進行研究統(tǒng)計后發(fā)現(xiàn)，竊取或非法獲取公民個人信息的行為基本都伴隨出售、提供或者濫用的行為。根據(jù)期待可能性原理，行為人在非法獲取公民個人信息之后不能期待其反而保護信息不使其轉(zhuǎn)移，況且非法獲取的目的通常就是轉(zhuǎn)手出售或者提供給第三人謀取利益，因此，對同一個人信息的數(shù)次法益侵害行為無需再作重復評價。2017年，最高人民法院、最高人民檢察院頒布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第11條規(guī)定：“非法獲取公民個人信息后又出售或者提供的，公民個人信息的條數(shù)不重復計算。”該條文也間接肯定了上述觀點。而濫用行為存在于使用階段，也與出售、提供的二階段一樣必須在一階段(無論合法與否)完成后實施，因此，濫用行為與非法出售、非法提供行為同屬于二階段，對濫用行為可比照該罪第1款的規(guī)定進行處罰。如若非法獲取后再濫用，則如前所述根據(jù)期待可能性原理直接比照侵犯公民個人信息罪第3款進行處罰，不再對侵犯同一法益的行為進行重復評價。

最后，堅持刑法謙抑性原則，對濫用行為入罪進行嚴格限制。一是被害人同意是違法阻卻事由。同意的對象包括對信息使用方式、使用目的及使用主體等多方面。在法理上，信息隱私權(quán)賦予個人信息控制權(quán)，其實現(xiàn)要求義務人積極作為，對個人信息一旦超范圍、超目的使用應當征求信息主體的同意，這也是“個人法益”的要求。因此，在刑法上，被害人如若對濫用個人信息的行為表示同意或者能夠推測其具有肯定意愿，則行為人不具有責難可能性。在鄧光明、宋慧娟侵犯公民個人信息案①中，鄧光明辯護人在辯護理由中明確提到“鄧光明獲取相關公民信息是經(jīng)過信息主人的同意的”，但是法院在說理部分完全忽視了對被害人同意行為的分析，是存在不足的。另外，還需解釋兩個問題：第一個問題，“法定同意”信息是否同樣適用該違法阻卻事由？“法定同意”信息是指某些屬于公民個人但是對其獲取及處理不僅需要經(jīng)過個人同意還需要經(jīng)過法定許可的信息，如人類遺傳資源信息等。筆者認為，“法定同意”信息的定義本身即意味著該信息受國家嚴格的、特殊的保護，一旦被非法獲取及處理可能導致嚴重后果。因此，針對該信息的同意主體有兩個——公民個人與相關法律規(guī)定，那么，此處“被害人”可以解釋為個人信息受侵犯的公民與不被遵守的法律規(guī)定。因此，對于濫用此類信息的行為，個人同意與法律允許二者缺一不可，否則將出現(xiàn)刑法與其他部門法無法銜接的情況，法的統(tǒng)一秩序?qū)⒈黄茐?。第二個問題，行為人獲得公民在網(wǎng)絡上完全公開的信息后，再濫用該信息的行為是否違背個人意愿？根據(jù)“情境脈絡完整性理論”，判斷對個人信息的處理是否合理，需要依據(jù)處理引發(fā)的影響能否為用戶接受，或者是否符合用戶的“合理預期”。例如，若個人明確否定或者可推定認為該濫用行為違背其真實意愿的，則可以評價為侵犯公民個人信息罪。二是“違反國家有關規(guī)定”雖然是侵犯公民個人信息罪前提，但要避免行政化傾向。對于適用民法、行政法等部門法就足以處理的案件，刑法不應干涉。另外，對刑法法益的保護認定也應當適用刑法的標準，而非《網(wǎng)絡安全法》《民法典》等其他部門法的標準。刑法是最嚴厲的法律，對刑法法益的認定應當基于“法律的最后防線”的意識，對新法益的創(chuàng)設、新行為的入罪等現(xiàn)象都需保持謹慎態(tài)度。三是對“情節(jié)嚴重”的限制。濫用個人信息行為的入罪對侵犯公民個人信息罪法定犯、情節(jié)犯等屬性并未產(chǎn)生影響。由于“情節(jié)嚴重”的界定具有一定模糊性，雖然模糊性是法律條文所必須的，但筆者還需對濫用個人信息行為“情節(jié)嚴重”的判斷提出兩個方面的限制：一方面，必須以隱私權(quán)的法益為指導與制約；另一方面，避免以獲取財產(chǎn)數(shù)額的方式認定濫用個人信息行為“情節(jié)嚴重”的做法。以數(shù)額認定情節(jié)的方式只適用于財產(chǎn)犯罪，而個人信息雖然具有財產(chǎn)屬性，但其本質(zhì)依舊是人身屬性，屬于人格權(quán)的保護范圍。不能以獲取財產(chǎn)數(shù)額多少的方式評價情節(jié)嚴重與否，否則就混淆了侵犯公民個人信息罪法益，亦違反了罪刑法定原則。

六、結(jié)語

大數(shù)據(jù)時代，一方面，利用個人信息進行數(shù)據(jù)分析及使用的確會給社會進步帶來極大助益，若僅著眼于保護個人信息之隱私權(quán)而限制對信息的使用，甚至動輒以刑法規(guī)制，則有違刑法謙抑性原則，且將增大信息流動難度與成本，甚至會損害公共利益，阻礙社會進步。另一方面，如果個人信息無時無刻不面臨著可被獲取、分析、利用的風險，那么個人合理隱私期待及信息自決權(quán)將無從談起，個體將淪為社會進步的工具，而以人為手段的社會發(fā)展是不能被接受的。因此，刑法作為最低道德的保護防線，應當對政府及商業(yè)主體甚至個人對他人健康信息的濫用行為進行規(guī)制。

所以，筆者以濫用個人健康信息為例，在分析行為人濫用個人信息的表現(xiàn)方式以及目前中國刑法的規(guī)制困境的基礎上，進一步總結(jié)了導致規(guī)制困境的現(xiàn)實與理論兩個方面的原因。為提出有效的規(guī)制路徑，以法益保護目的為指導對侵犯公民個人信息罪的具體法益及法益屬性進行符合數(shù)據(jù)時代特征的解釋。從隱私權(quán)的重塑入手，確認侵犯公民個人信息罪法益為隱私權(quán)，法益屬性為個人法益，并提出了刑法應將保護重點著眼于對個人信息控制權(quán)能的保護的觀點。在此基礎上，筆者進一步提供了刑法對濫用行為的具體規(guī)制方式，認為侵犯公民個人信息罪的適用范圍需要擴展至使用階段，對合法獲取、非法濫用行為的責任情節(jié)裁量應當比照該罪第1款的規(guī)定處罰以及堅持刑法謙抑性原則，對濫用行為入罪進行嚴格限制。

注釋：

① 參見：廣東省開平市人民法院(2018)粵0783刑初215號刑事判決書。