敏感個(gè)人信息的刑法特殊保護(hù)研究*

劉憲權(quán)

2021年8月20日,《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》)在第十三屆全國(guó)人大常委會(huì)第三十次會(huì)議被正式表決通過(guò)?！秱€(gè)人信息保護(hù)法》在第二章第二節(jié)中專門(mén)規(guī)定了“敏感個(gè)人信息的處理規(guī)則”，以突出對(duì)敏感個(gè)人信息進(jìn)行保護(hù)。該法第28條第1款規(guī)定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個(gè)人信息。雖然“敏感個(gè)人信息”作為一個(gè)法律用語(yǔ)是由我國(guó)《個(gè)人信息保護(hù)法》首次提出的，但是“敏感個(gè)人信息”這一相關(guān)提法早在2012年就已經(jīng)在有關(guān)部門(mén)的規(guī)范性技術(shù)文件中出現(xiàn)。2012年11月由國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局(已撤銷)、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)聯(lián)合發(fā)布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(以下簡(jiǎn)稱《指南》)中將個(gè)人信息分為個(gè)人敏感信息和個(gè)人一般信息?！吨改稀吠瑫r(shí)對(duì)個(gè)人敏感信息下了定義并列舉了相關(guān)示例。(1)參見(jiàn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》第3.7條。其后，2017年頒布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)對(duì)個(gè)人敏感信息的內(nèi)涵和外延均作了較為確切的界定。(2)參見(jiàn)2017年版《信息安全技術(shù)個(gè)人信息安全規(guī)范》第3.2條。在2017年版《規(guī)范》的基礎(chǔ)之上，修訂后的2020年版《規(guī)范》依舊保留了對(duì)敏感個(gè)人信息的定義，對(duì)個(gè)人敏感信息的內(nèi)涵和外延作了進(jìn)一步的豐富。(3)參見(jiàn)2020年版《信息安全技術(shù)個(gè)人信息安全規(guī)范》第3.2條。然而，《指南》《規(guī)范》等文件僅是具有指導(dǎo)意義的規(guī)范性技術(shù)文件，并非具有強(qiáng)制性的法律文件，因而這些規(guī)范性技術(shù)文件的位階遠(yuǎn)低于法律文件。但是，這些規(guī)范性技術(shù)文件在對(duì)敏感個(gè)人信息定義方面所作出的“先行先試”的探路，無(wú)疑為立法者制定《個(gè)人信息保護(hù)法》中有關(guān)敏感個(gè)人信息的條款提供了重要的參考。在《個(gè)人信息保護(hù)法》已經(jīng)對(duì)敏感個(gè)人信息的處理規(guī)則作出明確規(guī)定的情形之下，刑法是否有必要對(duì)敏感個(gè)人信息進(jìn)行專門(mén)的特殊保護(hù)？如有必要，我們應(yīng)如何對(duì)刑法進(jìn)行完善，并確保其不與《個(gè)人信息保護(hù)法》等前置法產(chǎn)生沖突？本文主要針對(duì)上述問(wèn)題展開(kāi)討論，以彌補(bǔ)刑法在理論上對(duì)于敏感個(gè)人信息的研究缺漏，并統(tǒng)一司法實(shí)踐對(duì)于敏感個(gè)人信息的保護(hù)思路。

一、敏感個(gè)人信息需要刑法的特殊保護(hù)

在《個(gè)人信息保護(hù)法》已經(jīng)明確規(guī)定處理敏感個(gè)人信息的規(guī)則這一前提之下，筆者認(rèn)為刑法有必要對(duì)敏感個(gè)人信息予以特殊的保護(hù)，理由如下：

第一，敏感個(gè)人信息具有的特性決定了侵犯公民敏感個(gè)人信息行為更容易對(duì)公民的人格尊嚴(yán)、人身安全和財(cái)產(chǎn)安全造成侵害，且侵犯公民敏感個(gè)人信息行為的社會(huì)危害性要大于侵犯公民一般個(gè)人信息行為，因此，刑法有必要加強(qiáng)對(duì)敏感個(gè)人信息的特殊保護(hù)。

分析《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息的定義可知，敏感個(gè)人信息實(shí)際由三部分組成：(1)一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害的個(gè)人信息；(2)一旦泄露或者非法使用，容易導(dǎo)致自然人的人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息；(3)不滿14周歲未成年人的個(gè)人信息。筆者認(rèn)為，這三部分的敏感個(gè)人信息分別具有以下特性：

上述第一部分的敏感個(gè)人信息具有極易誘發(fā)歧視性。例如，敏感個(gè)人信息中的宗教信仰信息雖然不必然與公民的人身安全和財(cái)產(chǎn)安全發(fā)生聯(lián)系，但是與公民的人格尊嚴(yán)息息相關(guān)。公民是否信仰宗教，信仰何種宗教完全是公民的自由，與公民人格尊嚴(yán)具有極大的關(guān)聯(lián)性。侵犯公民宗教信仰信息的行為，極易誘發(fā)對(duì)宗教信仰的歧視和偏見(jiàn)，從而對(duì)公民的人格尊嚴(yán)帶來(lái)極大的傷害?，F(xiàn)實(shí)中也的確存在侵害公民宗教信仰自由，損害公民人格尊嚴(yán)的行為。對(duì)此，刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪中就規(guī)定了非法剝奪公民宗教信仰自由罪，以此規(guī)制國(guó)家機(jī)關(guān)工作人員非法剝奪公民的宗教信仰自由，情節(jié)嚴(yán)重的行為。

上述第二部分的敏感個(gè)人信息具有極高人身依附性和極強(qiáng)財(cái)產(chǎn)關(guān)聯(lián)性。近年來(lái)，敏感個(gè)人信息中的生物識(shí)別信息受到了社會(huì)公眾的廣泛關(guān)注。2019年ZAO換臉事件引發(fā)的熱議，就曾將生物識(shí)別信息中人臉信息的法律保護(hù)問(wèn)題推向了輿論的風(fēng)口浪尖。由于部分生物識(shí)別信息(尤其是人臉信息)能夠通過(guò)攝像頭被“無(wú)感”收集，因此，這些信息極易被竊取。同時(shí)，隨著大數(shù)據(jù)時(shí)代下深度偽造技術(shù)不斷成熟與發(fā)展，又導(dǎo)致人臉信息等生物識(shí)別信息極易被濫用。除了非法獲取、出售或者提供公民生物識(shí)別信息的行為可能構(gòu)成侵犯公民個(gè)人信息罪之外，非法使用公民生物識(shí)別信息的行為還可能構(gòu)成侮辱罪或誹謗罪。例如，將公眾人物的人臉信息用于替換淫穢視頻中的人臉信息，并在互聯(lián)網(wǎng)上公開(kāi)傳播的行為，可能對(duì)公民的人格、名譽(yù)造成極大的危害。另外，敏感個(gè)人信息中的金融賬戶信息涵蓋的內(nèi)容眾多，包括公民的銀行賬戶、存款情況、信貸記錄、交易記錄等與公民財(cái)產(chǎn)有著緊密關(guān)聯(lián)的個(gè)人信息，一旦這些信息被他人竊取或通過(guò)其他手段非法獲取，極可能引發(fā)詐騙或者敲詐勒索等犯罪，從而導(dǎo)致公民的財(cái)產(chǎn)遭受重大損失。以前述的生物識(shí)別信息為例，生物識(shí)別信息相較傳統(tǒng)的數(shù)字信息本身具有更高的便捷性和安全性，因而該信息中的人臉信息、指紋信息等往往會(huì)作為一種特殊的“密碼”廣泛地在移動(dòng)支付領(lǐng)域使用。這就導(dǎo)致生物識(shí)別信息與公民的財(cái)產(chǎn)之間實(shí)際存在著較為密切的聯(lián)系。實(shí)踐中就曾出現(xiàn)過(guò)行為人冒用他人的人臉盜取他人支付寶賬戶內(nèi)錢(qián)財(cái)?shù)那闆r，(4)參見(jiàn)：《廬山市法院審理一起利用人臉識(shí)別方法盜取他人支付寶賬戶資金案》，http://k.sina.com.cn/article_3177450665_bd640ca902000vxxk.html，2021年10月7日訪問(wèn)。當(dāng)然，這種竊取他人生物識(shí)別信息從而獲取他人第三方支付軟件內(nèi)錢(qián)財(cái)?shù)男袨榭赡軜?gòu)成信用卡詐騙罪。

上述第三部分敏感個(gè)人信息具有兒童特殊性。不滿14周歲的未成年人尚不具備完全的民事行為能力，在對(duì)個(gè)人信息的處理過(guò)程中不具備充分的認(rèn)識(shí)能力和控制能力，且沒(méi)有足夠的自我保護(hù)或保障自己個(gè)人信息安全的能力。由此，該類群體的個(gè)人信息更容易成為犯罪分子實(shí)施犯罪的對(duì)象。又由于該類群體身心發(fā)育尚未健全，其個(gè)人信息一旦被泄露極可能嚴(yán)重影響身心健康，并對(duì)其今后的成長(zhǎng)之路埋下巨大隱患。(5)參見(jiàn)蔡一博、吳濤：《利益衡量與場(chǎng)景實(shí)踐下的未成年人信息保護(hù)研究》，載《青少年犯罪問(wèn)題》2021年第4期?；诖?，《個(gè)人信息保護(hù)法》規(guī)定，無(wú)論不滿14周歲未成年人個(gè)人信息是否與人格尊嚴(yán)、人身或財(cái)產(chǎn)安全有關(guān)，只要該信息的主體為不滿14周歲的未成年人，一律都屬于敏感個(gè)人信息。

需要注意的是，筆者在歸納敏感個(gè)人信息所具有的特性時(shí)特地使用了“極易、極高、極強(qiáng)”作為修飾程度的形容詞，目的在于進(jìn)一步體現(xiàn)敏感個(gè)人信息的特殊性。應(yīng)該看到，一部分的一般個(gè)人信息雖然也具有人身依附性或者財(cái)產(chǎn)關(guān)聯(lián)性等特性，但是并不具有極高人身依附性、極強(qiáng)財(cái)產(chǎn)關(guān)聯(lián)性，因而侵犯公民一般個(gè)人信息行為對(duì)公民人身、財(cái)產(chǎn)安全造成的侵害有限。通常情況下，侵犯公民一般個(gè)人信息行為只可能構(gòu)成侵犯公民個(gè)人信息罪，而不可能構(gòu)成其他的犯罪。但是，敏感個(gè)人信息尤其與公民的人格尊嚴(yán)、人身和財(cái)產(chǎn)安全有著緊密的聯(lián)系。這種尤其緊密的聯(lián)系導(dǎo)致了侵犯公民敏感個(gè)人信息行為更容易對(duì)公民人身、財(cái)產(chǎn)安全造成危害。前文已經(jīng)論述了侵犯公民敏感個(gè)人信息行為除了構(gòu)成侵犯公民個(gè)人信息罪之外，還極易構(gòu)成侮辱罪、誹謗罪、詐騙罪、敲詐勒索罪等其他具有嚴(yán)重社會(huì)危害性的犯罪。這也進(jìn)一步證實(shí)了侵犯公民敏感個(gè)人信息行為的社會(huì)危害性要遠(yuǎn)大于侵犯公民一般個(gè)人信息行為。就此而言，筆者認(rèn)為，為了更好地保障公民敏感個(gè)人信息的安全，刑法有必要加強(qiáng)對(duì)敏感個(gè)人信息的特殊保護(hù)。

第二，刑法侵犯公民個(gè)人信息罪所對(duì)應(yīng)的重要前置法是《個(gè)人信息保護(hù)法》，該法對(duì)個(gè)人信息進(jìn)行了分級(jí)，并突出了對(duì)敏感個(gè)人信息的重點(diǎn)保護(hù)。為了維持法秩序的整體統(tǒng)一，使刑法與《個(gè)人信息保護(hù)法》之間的銜接更加順暢，我們?cè)谛抻喦址腹駛€(gè)人信息罪時(shí)有必要參考和吸收《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定。

分析我國(guó)刑法規(guī)定，我們不難發(fā)現(xiàn)，刑法主要通過(guò)設(shè)立侵犯公民個(gè)人信息罪對(duì)侵犯?jìng)€(gè)人信息行為加以規(guī)制。侵犯公民個(gè)人信息罪中一個(gè)重要的構(gòu)成要件是“違反國(guó)家有關(guān)規(guī)定”，據(jù)此，侵犯公民個(gè)人信息犯罪行為的認(rèn)定需要結(jié)合相關(guān)前置法的有關(guān)規(guī)范予以綜合考量。在法秩序統(tǒng)一的視角下，侵犯公民個(gè)人信息行為刑事違法性的判斷理應(yīng)從屬于民事違法性和行政違法性的判斷。如果相關(guān)行為不具有民事違法性或行政違法性，則該行為就肯定不具有刑事違法性。由于《個(gè)人信息保護(hù)法》細(xì)化了《民法典》、《網(wǎng)絡(luò)安全法》等法律和行政法規(guī)對(duì)個(gè)人信息保護(hù)的內(nèi)容，并且較為系統(tǒng)地提出了個(gè)人信息處理的基本規(guī)則，因而在認(rèn)定侵犯公民個(gè)人信息違法行為和犯罪行為時(shí)，《個(gè)人信息保護(hù)法》規(guī)定的內(nèi)容無(wú)疑是一個(gè)重要的參考標(biāo)準(zhǔn)。

《個(gè)人信息保護(hù)法》將個(gè)人信息分為敏感個(gè)人信息和一般個(gè)人信息，并在第二章“個(gè)人信息處理規(guī)則”中專門(mén)設(shè)置一節(jié)內(nèi)容對(duì)敏感個(gè)人信息的處理規(guī)則作出特別規(guī)定。(6)例如，處理敏感個(gè)人信息必須具有特定目的和充分必要性(第28條第2款);處理敏感個(gè)人信息必須取得信息主體單獨(dú)同意或書(shū)面同意(第29條);敏感個(gè)人信息的處理者須履行更嚴(yán)格的告知義務(wù)(第30條);處理不滿14周歲未成年人的個(gè)人信息必須取得其父母或其他監(jiān)護(hù)人的同意，且需制定專門(mén)規(guī)則(第31條);處理敏感個(gè)人信息應(yīng)當(dāng)遵從其他法律、行政法規(guī)中的特殊限制等(第32條)。由此，我們可以看到，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息處理者處理敏感個(gè)人信息的流程作出了嚴(yán)格規(guī)范，并且強(qiáng)調(diào)了敏感個(gè)人信息需要被特殊保護(hù)。需要注意的是，刑法雖然已經(jīng)有相關(guān)條文(即侵犯公民個(gè)人信息罪)對(duì)個(gè)人信息予以保護(hù)，但并沒(méi)有突出對(duì)敏感個(gè)人信息的重點(diǎn)保護(hù)。而依筆者之見(jiàn)，對(duì)于敏感個(gè)人信息的保護(hù)，刑法理應(yīng)作出專門(mén)規(guī)定。因?yàn)榱⒎ㄕ咴O(shè)定侵犯公民個(gè)人信息罪的立法目的在于規(guī)制社會(huì)危害性嚴(yán)重的侵犯公民個(gè)人信息行為。正如前述，不同類型的個(gè)人信息與公民人身、財(cái)產(chǎn)權(quán)聯(lián)系的緊密程度不完全相同，因此侵犯不同類型個(gè)人信息行為的社會(huì)危害性顯然會(huì)有很大不同。為了實(shí)現(xiàn)罪責(zé)刑的一致，突出強(qiáng)調(diào)刑法對(duì)該類個(gè)人信息的重點(diǎn)保護(hù)，將與人格尊嚴(yán)、人身權(quán)、財(cái)產(chǎn)權(quán)緊密相關(guān)的一部分個(gè)人信息在刑法上予以單獨(dú)歸類，是很有必要的。就此而言，筆者認(rèn)為，我們完全有必要在刑法中對(duì)“敏感個(gè)人信息”的保護(hù)作出明確規(guī)定，并且在對(duì)侵犯公民個(gè)人信息違法行為中個(gè)人信息分級(jí)處理機(jī)制上保持與前置法規(guī)的一致，進(jìn)而構(gòu)建較為系統(tǒng)的敏感個(gè)人信息特殊保護(hù)的法律體系。

二、刑法對(duì)敏感個(gè)人信息特殊保護(hù)切實(shí)可行

需要指出的是，我國(guó)刑法中沒(méi)有直接出現(xiàn)“敏感個(gè)人信息”的用語(yǔ)，但部分條文中涉及個(gè)人信息的內(nèi)容與《個(gè)人信息保護(hù)法》所規(guī)定的敏感個(gè)人信息的范疇存在重疊。例如，刑法第177條之一第2款規(guī)定的竊取、收買(mǎi)、非法提供信用卡信息罪，涉及到了敏感個(gè)人信息中的信用卡信息。又如，刑法第280條第3款規(guī)定的偽造、變?cè)?、買(mǎi)賣身份證件罪，第280條之一規(guī)定的使用虛假身份證件、盜用身份證件罪，第280條之二規(guī)定的冒名頂替罪，這些條文均涉及到了敏感個(gè)人信息中的特定身份信息。其實(shí)，這些犯罪都屬于侵犯公民敏感個(gè)人信息類的犯罪，但是這些犯罪因侵犯法益的側(cè)重點(diǎn)不同而被分散規(guī)定在刑法分則第三章、第六章。例如，竊取、收買(mǎi)、非法提供信用卡信息罪侵害的法益主要是信用卡的管理秩序和信用卡持卡人的財(cái)產(chǎn)權(quán)益；偽造、變?cè)?、買(mǎi)賣身份證件罪、使用虛假身份證件、盜用身份證件罪和冒名頂替罪侵害的法益主要是社會(huì)管理秩序。(7)參見(jiàn)劉憲權(quán)：《網(wǎng)絡(luò)支付環(huán)境下涉信用卡犯罪對(duì)象新解》，載《法律科學(xué)》2021年第4期。盡管刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪這一章節(jié)中以侵犯公民個(gè)人信息罪規(guī)制侵犯公民個(gè)人信息，情節(jié)嚴(yán)重的行為，但是該罪的刑法條文表述中仍然沒(méi)有直接出現(xiàn)“敏感個(gè)人信息”這一用語(yǔ)，當(dāng)然我們也很難從條文的規(guī)定中分析出敏感個(gè)人信息刑法特殊保護(hù)的內(nèi)容。由此不難看出，刑法在保護(hù)公民敏感個(gè)人信息時(shí)出發(fā)點(diǎn)主要是為了維護(hù)社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序，或者社會(huì)管理秩序，而不是基于保障公民個(gè)人信息安全。這多少反映出我國(guó)刑法對(duì)于公民敏感個(gè)人信息保護(hù)并沒(méi)有持特別關(guān)注和突出保護(hù)的態(tài)度。

由此可知，我國(guó)刑法雖然有部分條文涉及到了敏感個(gè)人信息的相關(guān)內(nèi)容，但是保護(hù)的側(cè)重點(diǎn)并不在于公民敏感個(gè)人信息的安全。也正是因?yàn)樾谭](méi)有突出對(duì)公民敏感個(gè)人信息的特殊保護(hù)，甚至不曾出現(xiàn)“敏感個(gè)人信息”這一用語(yǔ)，所以容易使人們產(chǎn)生一種錯(cuò)覺(jué)，刑法似乎將敏感個(gè)人信息與一般個(gè)人信息不加區(qū)別且等同對(duì)待，也即刑法對(duì)公民敏感個(gè)人信息的保護(hù)力度與對(duì)公民一般個(gè)人信息的保護(hù)力度是相等的。

2017年5月8日，最高人民法院、最高人民檢察院聯(lián)合頒行的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱《解釋》)，對(duì)于如何理解與適用刑法第253條之一規(guī)定的侵犯公民個(gè)人信息罪作出了較為具體的規(guī)定。應(yīng)該看到，盡管“公民個(gè)人信息”的概念在《解釋》中予以了明確的界定，卻未曾對(duì)“敏感個(gè)人信息”下定義。但是，《解釋》在對(duì)公民個(gè)人信息的分級(jí)中又列舉了較多與《個(gè)人信息保護(hù)法》中敏感個(gè)人信息相關(guān)的具體內(nèi)容。例如，《解釋》第5條所提及的行蹤軌跡信息、財(cái)產(chǎn)信息等，與《個(gè)人信息保護(hù)法》中列舉的具體敏感個(gè)人信息的內(nèi)容基本吻合。但筆者在比較《解釋》和《個(gè)人信息保護(hù)法》中的有關(guān)規(guī)定后發(fā)現(xiàn)，兩者規(guī)定之間仍存在較多的不一致內(nèi)容：

第一，在個(gè)人信息的分級(jí)方面，《解釋》與《個(gè)人信息保護(hù)法》規(guī)定完全不同?！督忉尅返?條第1款第3、4、5項(xiàng)規(guī)定對(duì)公民個(gè)人信息進(jìn)行了分級(jí)。其中，第3、4項(xiàng)中所提及的個(gè)人信息都屬于《個(gè)人信息保護(hù)法》中的敏感個(gè)人信息。(8)《解釋》第5條第1款第3項(xiàng)規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息50條以上的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”；該條該款第4項(xiàng)規(guī)定，非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息500條以上的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”；該條該款第5項(xiàng)規(guī)定，非法獲取、出售或者提供第3項(xiàng)、第4項(xiàng)規(guī)定以外的公民個(gè)人信息5000條以上的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”。就此而言，我們完全有理由認(rèn)為，《解釋》將敏感個(gè)人信息劃分為了“行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息”一檔和“住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息”一檔。侵犯不同級(jí)別的敏感個(gè)人信息，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)也不相同。《解釋》認(rèn)為，對(duì)于侵犯第3項(xiàng)規(guī)定的敏感個(gè)人信息，信息數(shù)量達(dá)到50條即可構(gòu)成侵犯公民個(gè)人信息罪，而對(duì)于第4項(xiàng)規(guī)定的敏感個(gè)人信息，信息數(shù)量必須達(dá)到500條才能構(gòu)成該罪。由此可知，《解釋》對(duì)于不同級(jí)別的敏感個(gè)人信息，保護(hù)的力度不完全一致。與《解釋》分級(jí)規(guī)定形成對(duì)比的是，《個(gè)人信息保護(hù)法》并沒(méi)有對(duì)敏感個(gè)人信息作出分級(jí)規(guī)定。換言之，在《個(gè)人信息保護(hù)法》中不區(qū)分敏感個(gè)人信息的級(jí)別，且所有的敏感個(gè)人信息均被予以相同力度的保護(hù)。

第二，在對(duì)生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息的保護(hù)方面，《解釋》與《個(gè)人信息保護(hù)法》規(guī)定之間存在區(qū)別?！督忉尅返?條第1款第3、4項(xiàng)在列舉個(gè)人信息時(shí)并沒(méi)有明確提及生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息，這就導(dǎo)致了在認(rèn)定侵犯上述兩種公民個(gè)人信息的行為是否構(gòu)成“情節(jié)嚴(yán)重”時(shí)容易產(chǎn)生分歧意見(jiàn)。(9)參見(jiàn)歐陽(yáng)本祺、王兆利：《涉人臉識(shí)別行為刑法適用的邊界》，載《人民檢察》2021年第13期。李懷盛：《濫用個(gè)人生物識(shí)別信息的刑事制裁思路——以人工智能“深度偽造”為例》，載《政法論壇》2020年第4期。在筆者看來(lái)，對(duì)于侵犯公民生物識(shí)別信息和侵犯不滿14周歲未成年人的個(gè)人信息的行為，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)都應(yīng)該為“50條以上”。換言之，《解釋》對(duì)生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息的保護(hù)力度應(yīng)該與對(duì)行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息的保護(hù)力度持平。原因在于：生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息的重要性與行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息相當(dāng)。生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息不僅與公民的人格尊嚴(yán)、人身安全相關(guān)，還與公民的財(cái)產(chǎn)安全存在密切聯(lián)系。如前所述，生物識(shí)別信息是反映自然人獨(dú)有的生理特征和行為特征的生理信息。因而，生物識(shí)別信息與公民的人格尊嚴(yán)、人身有著緊密的關(guān)聯(lián)。另外，由于生物識(shí)別信息被作為一種特殊的“密碼”在移動(dòng)支付領(lǐng)域廣泛使用，這就使得生物識(shí)別信息與公民的財(cái)產(chǎn)出現(xiàn)了交集。由此可知，侵犯公民生物識(shí)別信息的行為不僅可能對(duì)公民人格尊嚴(yán)和人身安全造成侵害，也可能對(duì)公民財(cái)產(chǎn)安全造成損害。就不滿14周歲未成年人的個(gè)人信息進(jìn)行分析，我們也同樣可以看到其信息內(nèi)容的重要性。由于該類信息的主體沒(méi)有足夠的認(rèn)識(shí)能力和控制能力，也缺乏自我保護(hù)的能力，所以涉該類主體的個(gè)人信息更容易被侵犯。加強(qiáng)對(duì)不滿14周歲未成年人個(gè)人信息的特殊保護(hù)，顯然也應(yīng)該成為《解釋》規(guī)定的應(yīng)有內(nèi)容。綜上，筆者認(rèn)為，生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息應(yīng)歸入《解釋》第5條第1款第3項(xiàng)規(guī)定中，但由于該項(xiàng)規(guī)定在列舉行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息后并沒(méi)有使用“等”字，導(dǎo)致司法實(shí)踐不能將這一標(biāo)準(zhǔn)擴(kuò)大適用到同樣重要而《解釋》卻未提及的其他類型個(gè)人信息中。這一情況多少反映了《解釋》對(duì)生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息未予以特別關(guān)注，也并沒(méi)有強(qiáng)調(diào)特殊保護(hù)的立場(chǎng)。

相比之下，《個(gè)人信息保護(hù)法》在敏感個(gè)人信息的定義下提及了生物識(shí)別信息，且為了突出對(duì)該信息的特殊保護(hù)將其確立在該法所列舉的眾多敏感個(gè)人信息中的首位。需要特別指出的是，《個(gè)人信息保護(hù)法》在敏感個(gè)人信息的規(guī)定中還提及了不滿14周歲未成年人的個(gè)人信息，并將該信息單獨(dú)作為一種類型加以特別列舉。如此規(guī)定帶來(lái)的優(yōu)勢(shì)即在于，無(wú)論不滿14周歲未成年人的個(gè)人信息是否會(huì)因?yàn)樾孤痘蛘叻欠ㄊ褂茫瑥亩鴮?dǎo)致不滿14周歲未成年人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害，只要是不滿14周歲未成年人的個(gè)人信息，在《個(gè)人信息保護(hù)法》中一律被認(rèn)定為是敏感個(gè)人信息。另外，《個(gè)人信息保護(hù)法》還在第31條明確規(guī)定敏感個(gè)人信息的處理者在處理不滿14周歲未成年人的個(gè)人信息時(shí)應(yīng)當(dāng)履行的特定義務(wù)，從而在一定程度上解決了未成年人個(gè)人信息處理者的義務(wù)邊界模糊的問(wèn)題。(10)參見(jiàn)張繼紅、尹菡：《數(shù)字時(shí)代未成年人個(gè)人信息的法律保護(hù)》，載《青少年犯罪問(wèn)題》2021年第2期?？梢?jiàn)，與《個(gè)人信息保護(hù)法》突出對(duì)生物識(shí)別信息特殊保護(hù)一樣，該法對(duì)不滿14周歲未成年人的個(gè)人信息的保護(hù)也是較為全面的且保護(hù)力度也是相對(duì)較強(qiáng)的。

第三，在有關(guān)敏感個(gè)人信息相關(guān)內(nèi)容的規(guī)定方式上，《解釋》與《個(gè)人信息保護(hù)法》規(guī)定之間存在差異。具體而言，《解釋》第5條第1款第3項(xiàng)采用的是“列舉”的方式，第4項(xiàng)采用的是“列舉+概括”的方式。筆者認(rèn)為，上述規(guī)定的方式存在一定的缺陷?！督忉尅吩摋l該款第3項(xiàng)采用單純列舉的方式，實(shí)際上導(dǎo)致了該項(xiàng)規(guī)定不可能窮盡所有類型的“敏感個(gè)人信息”。雖然是出于條文簡(jiǎn)潔性的需要，該項(xiàng)規(guī)定中僅列舉了四種類型的“敏感個(gè)人信息”，但是正如筆者前文所述，對(duì)于應(yīng)納入該項(xiàng)規(guī)定的生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息，《解釋》卻未將這兩種類型的“敏感個(gè)人信息”納入該項(xiàng)規(guī)定中。這應(yīng)該是單純列舉方式所導(dǎo)致該項(xiàng)規(guī)定存在一定不合理性的原因?！督忉尅吩摋l該款第4項(xiàng)采用“列舉+概括”的方式，看似能夠涵蓋更多的敏感個(gè)人信息，但實(shí)際存在一定的問(wèn)題。因?yàn)榘凑粘＠恚瑢?duì)于某一類事物的定義需要先概括出該類事物所具有的共同特征，之后為方便實(shí)際操作，進(jìn)而對(duì)該類事物所包含的典型示例再進(jìn)行列舉。換言之，“概括+列舉”才符合正常的邏輯展開(kāi)。而《解釋》該條該款第4項(xiàng)所采用的“列舉+概括”的方式明顯與正常的邏輯相悖，極易給人造成一種錯(cuò)覺(jué)，那就是《解釋》原本僅打算列舉一部分的敏感個(gè)人信息，但又擔(dān)心所列舉的敏感個(gè)人信息不夠全面，因而借助于將“概括”規(guī)定在后的方式，從而起到對(duì)前述敏感個(gè)人信息“補(bǔ)強(qiáng)”的作用。同樣是對(duì)敏感個(gè)人信息作出定義，《個(gè)人信息保護(hù)法》采用的是“概括+列舉”的方式，即先歸納出敏感個(gè)人信息的特征，再詳細(xì)羅列部分典型的敏感個(gè)人信息。毋庸置疑，在有關(guān)敏感個(gè)人信息相關(guān)內(nèi)容的規(guī)定方式上，《個(gè)人信息保護(hù)法》明顯更加科學(xué)、合理，符合正常的邏輯展開(kāi)。

綜上所述，《解釋》雖沒(méi)有明確提及“敏感個(gè)人信息”這一用語(yǔ)，但是與敏感個(gè)人信息相關(guān)的內(nèi)容確實(shí)存在于部分條文中。時(shí)下，盡管對(duì)敏感個(gè)人信息保護(hù)的雛形在《解釋》中已有確立，但是，由于《解釋》與《個(gè)人信息保護(hù)法》規(guī)定之間仍存在較大的區(qū)別，導(dǎo)致了《解釋》對(duì)敏感個(gè)人信息的刑法特殊保護(hù)無(wú)法得到充分的貫徹與體現(xiàn)。就此而言，筆者認(rèn)為，在《個(gè)人信息保護(hù)法》已經(jīng)頒行的當(dāng)下，我們當(dāng)務(wù)之急是調(diào)整《解釋》與《個(gè)人信息保護(hù)法》規(guī)定不一致的內(nèi)容，將《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息特殊保護(hù)的內(nèi)容較為完整地融入《解釋》的條文中，從而突出并強(qiáng)化刑法對(duì)敏感個(gè)人信息的特殊保護(hù)。

三、刑法對(duì)敏感個(gè)人信息特殊保護(hù)的路徑

筆者認(rèn)為，加強(qiáng)對(duì)敏感個(gè)人信息的刑法特殊保護(hù)，可能存在兩條不同的路徑：其中一條路徑是，在刑法中增設(shè)一個(gè)全新的罪名——“侵犯公民敏感個(gè)人信息罪”，以規(guī)制侵犯公民敏感個(gè)人信息，情節(jié)嚴(yán)重的行為。也即可以將侵犯公民敏感個(gè)人信息罪增設(shè)為刑法第253條之二，使第253條之一的侵犯公民個(gè)人信息罪僅規(guī)制侵犯公民一般個(gè)人信息行為。這樣可以較為直接地反映出刑法對(duì)不同類型的個(gè)人信息保護(hù)力度的不同。另一條路徑是，調(diào)整侵犯公民個(gè)人信息罪的現(xiàn)行刑法條文，也即將敏感個(gè)人信息的相關(guān)內(nèi)容明文增加到刑法有關(guān)侵犯公民個(gè)人信息罪的原規(guī)定中。例如，我們可以增設(shè)一款刑法條文規(guī)定刑法侵犯公民個(gè)人信息罪中的“公民個(gè)人信息”包含公民一般個(gè)人信息和公民敏感個(gè)人信息，從而突出強(qiáng)調(diào)刑法對(duì)敏感個(gè)人信息的關(guān)注。而關(guān)于敏感個(gè)人信息特殊保護(hù)的具體標(biāo)準(zhǔn)，則由刑法司法解釋予以細(xì)化。

對(duì)于上述有關(guān)增設(shè)新罪抑或調(diào)整侵犯公民個(gè)人信息罪的規(guī)定的兩條不同路徑的選擇，筆者傾向于選擇后者，理由在于：《個(gè)人信息保護(hù)法》和刑法對(duì)個(gè)人信息保護(hù)的出發(fā)點(diǎn)不同。我們不能因?yàn)椤秱€(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息的處理規(guī)則單獨(dú)設(shè)置了一節(jié)內(nèi)容，就當(dāng)然地認(rèn)為刑法也必須相應(yīng)地增設(shè)一個(gè)新的罪名。相比增設(shè)一個(gè)新的罪名，調(diào)整現(xiàn)有罪名中的內(nèi)容，同樣能夠反映立法者對(duì)敏感個(gè)人信息的重視。就此而言，擇優(yōu)選擇調(diào)整現(xiàn)有侵犯公民個(gè)人信息罪不失為一條比較妥當(dāng)?shù)穆窂健?/p>

在筆者看來(lái)，《個(gè)人信息保護(hù)法》單獨(dú)設(shè)置一節(jié)內(nèi)容規(guī)定敏感個(gè)人信息的處理規(guī)則，是為了強(qiáng)調(diào)敏感個(gè)人信息的處理者相較一般個(gè)人信息的處理者需要履行更多的義務(wù)，從而提醒敏感個(gè)人信息的處理者在處理敏感個(gè)人信息時(shí)要尤其謹(jǐn)慎。如果《個(gè)人信息保護(hù)法》不單獨(dú)對(duì)敏感個(gè)人信息的處理規(guī)則設(shè)立一節(jié)內(nèi)容，而是將敏感個(gè)人信息的處理規(guī)則與一般個(gè)人信息的處理規(guī)則混同在一起，無(wú)法重點(diǎn)突出敏感個(gè)人信息處理規(guī)則的特殊性，《個(gè)人信息保護(hù)法》重點(diǎn)保護(hù)敏感個(gè)人信息的立法原意也就無(wú)法被凸顯。

相比之下，刑法對(duì)個(gè)人信息保護(hù)的出發(fā)點(diǎn)并非在于要求個(gè)人信息的處理者履行更多的義務(wù)，而是為了打擊犯罪，規(guī)制嚴(yán)重侵害公民個(gè)人信息安全的犯罪行為。盡管敏感個(gè)人信息在信息敏感程度上遠(yuǎn)遠(yuǎn)高于一般個(gè)人信息，但從行為角度來(lái)看，無(wú)論是侵犯公民一般個(gè)人信息行為，還是侵犯公民敏感個(gè)人信息行為，這兩種行為在表現(xiàn)方式上是一致的。由于侵犯公民敏感個(gè)人信息行為和侵犯公民一般個(gè)人信息行為侵害的法益基本相同，因而，我們沒(méi)有必要將敏感個(gè)人信息從個(gè)人信息的概念之中分離出來(lái)，并專門(mén)為侵犯公民敏感個(gè)人信息行為單獨(dú)設(shè)立一個(gè)新罪名。有學(xué)者也指出，刑法是法益保護(hù)法，有無(wú)值得刑法保護(hù)的法益，是刑事立法上增設(shè)新罪的前提。(11)參見(jiàn)姜濤：《基因編輯之刑法規(guī)制及其限度》，載《東方法學(xué)》2021年第2期。筆者認(rèn)為，《個(gè)人信息保護(hù)法》強(qiáng)調(diào)敏感個(gè)人信息的處理者應(yīng)履行更多義務(wù)，從而單獨(dú)設(shè)置一節(jié)內(nèi)容規(guī)定敏感個(gè)人信息的處理規(guī)則的這一緣由，不足以成為支撐刑法專門(mén)增設(shè)新罪的理由。凸顯對(duì)敏感個(gè)人信息的刑法保護(hù)并不僅有增設(shè)新罪名這一條途徑，我們完全可以從現(xiàn)有罪名入手，調(diào)整侵犯公民個(gè)人信息罪中的部分規(guī)定，將與敏感個(gè)人信息有關(guān)的內(nèi)容充實(shí)進(jìn)侵犯公民個(gè)人信息罪的法條規(guī)定中，以體現(xiàn)立法者重視與關(guān)注敏感個(gè)人信息的刑法特殊保護(hù)。

具體而言，侵犯公民個(gè)人信息罪中使用的是“公民個(gè)人信息”這一較為籠統(tǒng)的表述，如果刑法規(guī)定要在這一罪名中突出敏感個(gè)人信息，只能通過(guò)明確該罪中的“公民個(gè)人信息”包含“公民一般個(gè)人信息”和“公民敏感個(gè)人信息”的立法方式才能做到。因而，筆者建議在該罪中增設(shè)第5款規(guī)定，即“公民個(gè)人信息包含公民一般個(gè)人信息和公民敏感個(gè)人信息?！边@樣看似只是簡(jiǎn)單地增設(shè)一款規(guī)定，但實(shí)際上能夠起碼帶來(lái)三點(diǎn)好處：一是可以維持現(xiàn)有侵犯公民個(gè)人信息罪第1至4款條文的穩(wěn)定性；二是可以證明立法者已經(jīng)關(guān)注到敏感個(gè)人信息刑法特殊保護(hù)的問(wèn)題；三是可以與刑法司法解釋中與敏感個(gè)人信息相關(guān)的規(guī)定形成有效的銜接，能夠?yàn)樾谭ㄋ痉ń忉尩男抻喬峁┮罁?jù)與支撐。

在《解釋》已經(jīng)出現(xiàn)有關(guān)敏感個(gè)人信息規(guī)定之雛形的前提之下，該如何進(jìn)一步凸顯《解釋》對(duì)敏感個(gè)人信息的特殊保護(hù)。為此，筆者有以下幾點(diǎn)建議：

1.建議取消敏感個(gè)人信息的分級(jí)。

筆者之所以建議取消敏感個(gè)人信息的分級(jí)，主要出于兩方面的考慮：

首先，對(duì)于同一行為中涉及不同類型的敏感個(gè)人信息的保護(hù)力度不應(yīng)該存在差異。應(yīng)該看到，對(duì)于他人利用公民個(gè)人信息實(shí)施犯罪的行為，《解釋》實(shí)際上存在保護(hù)力度上的差異。例如，《解釋》第5條第1款第1項(xiàng)與該條該款第2項(xiàng)都是關(guān)于他人利用公民個(gè)人信息實(shí)施犯罪行為的規(guī)定。區(qū)別在于第1項(xiàng)中的對(duì)象僅限定在行蹤軌跡信息，并且不需要行為人知道或應(yīng)當(dāng)知道他人利用行蹤軌跡信息實(shí)施犯罪，而第2項(xiàng)中的對(duì)象包含了除行蹤軌跡信息之外的所有個(gè)人信息，并且要求行為人必須知道或應(yīng)當(dāng)知道他人利用個(gè)人信息實(shí)施犯罪。(12)《解釋》第5條第1款第1項(xiàng)規(guī)定，出售或者提供行蹤軌跡信息，被他人用于犯罪的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”；該條該款第2項(xiàng)規(guī)定，知道或者應(yīng)當(dāng)知道他人利用公民個(gè)人信息實(shí)施犯罪，向其出售或者提供的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”。依筆者之見(jiàn)，第2項(xiàng)規(guī)定實(shí)際上比第1項(xiàng)規(guī)定提高了證明要求，即對(duì)于出售或者提供行蹤軌跡信息之外的其他類型的敏感個(gè)人信息行為構(gòu)成犯罪的要求更高，必須證明行為人對(duì)于他人利用這些個(gè)人信息實(shí)施犯罪的情況是明知的。但事實(shí)上，這種證明要求的提高反而不利于對(duì)除行蹤軌跡信息之外的其他敏感個(gè)人信息的保護(hù)。因?yàn)槌雄欆壽E信息之外其他類型的敏感個(gè)人信息也同樣可以被他人用于犯罪，行為人出售或者提供這些敏感個(gè)人信息給他人時(shí)，可能完全不知他人會(huì)用于犯罪。其實(shí)所有類型的敏感個(gè)人信息都存在被犯罪分子用于犯罪的可能性，就行蹤軌跡信息與其他類型敏感個(gè)人信息被他人用于犯罪而言，并無(wú)很大的差別?！督忉尅穼?duì)行蹤軌跡信息與其他類型敏感個(gè)人信息予以有差別的保護(hù)，似乎缺乏充足依據(jù)支撐。對(duì)于非法獲取、出售或者提供個(gè)人信息的行為，《解釋》同樣存在保護(hù)力度上的差異。同樣以《解釋》第5條第1款第3項(xiàng)和該條該款第4項(xiàng)為例，在認(rèn)定信息的數(shù)量標(biāo)準(zhǔn)上后者是前者的10倍。由于第3項(xiàng)、第4項(xiàng)規(guī)定的這些信息都屬于《個(gè)人信息保護(hù)法》規(guī)定的敏感個(gè)人信息的范疇，而《解釋》卻作了分級(jí)保護(hù)規(guī)定，即對(duì)第3項(xiàng)規(guī)定的敏感個(gè)人信息的保護(hù)力度明顯大于第4項(xiàng)規(guī)定的敏感個(gè)人信息?！督忉尅纷鞔艘?guī)定可能是基于這樣考慮：第3項(xiàng)規(guī)定的個(gè)人信息對(duì)公民的人身和財(cái)產(chǎn)安全最為重要，在數(shù)量上只要達(dá)到50條即可構(gòu)成侵犯公民個(gè)人信息罪；而第4項(xiàng)規(guī)定的個(gè)人信息在重要程度上則略低于第3項(xiàng)中所規(guī)定的四種個(gè)人信息。但是，由于第4項(xiàng)規(guī)定的這些信息又與公民人身、財(cái)產(chǎn)安全直接相關(guān)，所以在數(shù)量上可以相對(duì)放寬，達(dá)到500條才能構(gòu)成侵犯公民個(gè)人信息罪。(13)參見(jiàn)缐杰、宋丹：《〈關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋〉理解與適用》，載《人民檢察》2017年第16期。然而，筆者認(rèn)為，《解釋》以信息重要性的不同作為劃分第5條第1款第3項(xiàng)與第4項(xiàng)的理由，似乎欠缺說(shuō)服力。因?yàn)槊舾袀€(gè)人信息的重要性實(shí)際上會(huì)隨著場(chǎng)景的不同而發(fā)生變化。在某些場(chǎng)景下，第3項(xiàng)規(guī)定的個(gè)人信息的重要性可能會(huì)略高于第4項(xiàng)規(guī)定的個(gè)人信息，但在另一些場(chǎng)景下，則完全可能出現(xiàn)相反的情況。例如，就殺人犯罪而言，第3項(xiàng)規(guī)定的行蹤軌跡信息的重要性高于第4項(xiàng)規(guī)定的交易信息。因?yàn)樾袨槿嗽诜欠ǐ@取他人的行蹤軌跡信息后，更容易精準(zhǔn)定位到他人的具體位置，較方便實(shí)施后續(xù)的殺人行為。就竊取他人信用卡信息資料犯罪而言，行蹤軌跡信息的重要性卻不及交易信息。因?yàn)榧幢阈袨槿朔欠ǐ@取了他人的行蹤軌跡信息，由于該信息與他人的信用卡信息資料之間并無(wú)直接的關(guān)聯(lián)，因而非法獲取他人的行蹤軌跡信息對(duì)行為人達(dá)到竊取他人信用卡信息資料的最終目的沒(méi)有很大的幫助。而如果行為人非法獲取了他人的交易信息，則更容易達(dá)到竊取他人信用卡信息資料的最終目的。因?yàn)樵诖髷?shù)據(jù)時(shí)代，大部分交易都是通過(guò)第三方支付平臺(tái)得以實(shí)現(xiàn)，而依托于第三方支付平臺(tái)的交易必須以信用卡信息資料為媒介，行為人非法獲取他人的交易信息后就很容易“順藤摸瓜”獲取他人的信用卡信息資料?？梢?jiàn)，在不同的犯罪中，敏感個(gè)人信息的重要性并不是完全確定的。所以，我們很難對(duì)不同的敏感個(gè)人信息進(jìn)行比較并做出重要性高低的絕對(duì)判斷。就此而言，我們?cè)僖运^重要性高低為標(biāo)準(zhǔn)對(duì)敏感個(gè)人信息進(jìn)行分級(jí)似乎就很不合理。況且，第3項(xiàng)規(guī)定的信息與第4項(xiàng)規(guī)定的信息之間存在交叉、重合的問(wèn)題。例如，疫情防控下人們使用的“健康碼”既能作為健康生理信息反映特定自然人的身體健康狀況，同時(shí)又能作為行蹤軌跡信息反映特定自然人的行程情況。由此就產(chǎn)生了應(yīng)將“健康碼”歸類于第3項(xiàng)還是第4項(xiàng)的困惑。另外，有學(xué)者還指出，第3項(xiàng)規(guī)定的財(cái)產(chǎn)信息與第4項(xiàng)規(guī)定的交易信息難以辨明，存在重合的問(wèn)題。(14)參見(jiàn)周光權(quán)：《侵犯公民個(gè)人信息罪的行為對(duì)象》，載《清華法學(xué)》2021年第3期。綜上，筆者建議，應(yīng)修改或取消《解釋》對(duì)敏感個(gè)人信息進(jìn)行分級(jí)的規(guī)定。

其次，《解釋》對(duì)敏感個(gè)人信息認(rèn)定和處理應(yīng)與《個(gè)人信息保護(hù)法》保持一致。以行蹤軌跡信息為例，與《解釋》對(duì)行蹤軌跡信息與其他類型敏感個(gè)人信息進(jìn)行分級(jí)規(guī)定形成對(duì)比的是，《個(gè)人信息保護(hù)法》沒(méi)有將行蹤軌跡信息與生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶等敏感個(gè)人信息作區(qū)別對(duì)待，而是將這些信息并列規(guī)定在同一款。與此同時(shí)，《個(gè)人信息保護(hù)法》在“敏感個(gè)人信息的處理規(guī)則”這一節(jié)內(nèi)容中也沒(méi)有提出行蹤軌跡信息的處理者相較其他敏感個(gè)人信息的處理者要履行更多的義務(wù)?？v觀《個(gè)人信息保護(hù)法》中有關(guān)敏感個(gè)人信息的規(guī)定，我們不難看出，《個(gè)人信息保護(hù)法》沒(méi)有對(duì)敏感個(gè)人信息進(jìn)行分級(jí)，因而該法也就沒(méi)有對(duì)行蹤軌跡信息與其他類型敏感個(gè)人信息予以有差別的保護(hù)。對(duì)此，有學(xué)者指出，《個(gè)人信息保護(hù)法》未對(duì)敏感個(gè)人信息進(jìn)行分級(jí)，略顯粗糙。(15)參見(jiàn)田宇申：《互聯(lián)網(wǎng)保險(xiǎn)中個(gè)人信息保護(hù)的法律規(guī)制——以個(gè)人信息保護(hù)政策為切入》，載《蘭州學(xué)刊》2021年第9期。但是，在筆者看來(lái)，《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息不作分級(jí)而是采用“一刀切”的認(rèn)定方式，實(shí)質(zhì)上能夠使司法實(shí)踐對(duì)敏感個(gè)人信息的保護(hù)力度更加均衡。如果立法者在制定《個(gè)人信息保護(hù)法》時(shí)有意強(qiáng)調(diào)敏感個(gè)人信息的有差別保護(hù)，那么就應(yīng)該直接在法條中明確提出劃分不同級(jí)別敏感個(gè)人信息的標(biāo)準(zhǔn)。既然《個(gè)人信息保護(hù)法》沒(méi)有作出這樣的規(guī)定，我們就應(yīng)當(dāng)認(rèn)為立法者是排斥對(duì)敏感個(gè)人信息進(jìn)行分級(jí)的。更何況，如前所述，敏感個(gè)人信息的重要性會(huì)隨著場(chǎng)景的不同而發(fā)生變化；特別是某一類型的敏感個(gè)人信息還可能涉及到多重屬性。這些情況的存在就必然導(dǎo)致我們很難甚至不能對(duì)相關(guān)類型的敏感個(gè)人信息進(jìn)行精準(zhǔn)的分級(jí)。所以，為了與《個(gè)人信息保護(hù)法》形成有效的銜接，《解釋》應(yīng)該與《個(gè)人信息保護(hù)法》中的相關(guān)規(guī)定保持一致，而無(wú)須專門(mén)對(duì)敏感個(gè)人信息進(jìn)行分級(jí)。

綜上，在《個(gè)人信息保護(hù)法》頒行的當(dāng)下，審視《解釋》中關(guān)于敏感個(gè)人信息分級(jí)的規(guī)定，我們確實(shí)發(fā)現(xiàn)《解釋》中的規(guī)定存在一定的問(wèn)題，建議應(yīng)該適時(shí)對(duì)其予以修訂。筆者建議在對(duì)《解釋》進(jìn)行修訂時(shí)取消敏感個(gè)人信息的分級(jí)，作此修訂不僅能夠解決前述《解釋》對(duì)生物識(shí)別信息和不滿14周歲未成年人的個(gè)人信息未予以特別關(guān)注的問(wèn)題，而且還有利于真正落實(shí)對(duì)敏感個(gè)人信息的刑法特殊保護(hù)。筆者建議對(duì)《解釋》可以具體作如下修訂：一是需要修訂《解釋》第1條規(guī)定，建議在第1條之下設(shè)置兩款內(nèi)容。其中第1款對(duì)公民個(gè)人信息下定義，而第2款則對(duì)公民敏感個(gè)人信息下定義。二是需要修訂《解釋》第5條第1款第1項(xiàng)、第2項(xiàng)規(guī)定，建議將第1項(xiàng)規(guī)定的“行蹤軌跡信息”擴(kuò)展為“公民敏感個(gè)人信息”。如此，《解釋》原該條該款第2項(xiàng)中的“公民個(gè)人信息”就要相對(duì)應(yīng)限縮為“公民一般個(gè)人信息”。也即建議將《解釋》第5條第1款第1項(xiàng)修訂為“出售或者提供公民敏感個(gè)人信息，被他人用于犯罪的”，將第2項(xiàng)修訂為“知道或者應(yīng)當(dāng)知道他人利用公民一般個(gè)人信息實(shí)施犯罪，向其出售或者提供的”。三是需要修訂《解釋》第5條第1款第3項(xiàng)、第4項(xiàng)規(guī)定，建議以“敏感個(gè)人信息”這一提法替代原有關(guān)于敏感個(gè)人信息的列舉示例，并設(shè)置統(tǒng)一的起刑點(diǎn)，從而實(shí)現(xiàn)對(duì)敏感個(gè)人信息標(biāo)準(zhǔn)一致的刑法特殊保護(hù)。

2.建議將非法獲取、出售或者提供公民敏感個(gè)人信息犯罪行為的起刑點(diǎn)設(shè)定為“50條以上”。

應(yīng)該看到，《解釋》不僅對(duì)敏感個(gè)人信息進(jìn)行分級(jí)規(guī)定，而且還對(duì)侵犯敏感個(gè)人信息犯罪行為的起刑點(diǎn)作了區(qū)別規(guī)定?！督忉尅返?條第1款第3項(xiàng)中規(guī)定的起刑點(diǎn)為“50條以上”。但是，該條該款第4項(xiàng)中規(guī)定的起刑點(diǎn)為“500條以上”。如果依照《個(gè)人信息保護(hù)法》規(guī)定以“敏感個(gè)人信息”這一統(tǒng)稱替代第3項(xiàng)、第4項(xiàng)所列舉的信息，那么勢(shì)必會(huì)面臨如何設(shè)定或調(diào)整非法獲取、出售或者提供公民敏感個(gè)人信息犯罪行為起刑點(diǎn)的問(wèn)題。

依筆者之見(jiàn)，在設(shè)定非法獲取、出售或者提供公民敏感個(gè)人信息犯罪行為起刑點(diǎn)時(shí)需要注意以下兩點(diǎn)：一是不能將起刑點(diǎn)設(shè)置得太低，否則侵犯公民敏感個(gè)人信息的違法行為動(dòng)輒上升為犯罪行為，極有可能壓縮前置法的適用空間，使侵犯公民個(gè)人信息罪淪為一個(gè)新的“口袋罪”。二是不能將起刑點(diǎn)設(shè)置得太高，否則對(duì)敏感個(gè)人信息進(jìn)行刑法特殊保護(hù)的力度勢(shì)必會(huì)被減弱。同時(shí)，還需要考慮到敏感個(gè)人信息與一般個(gè)人信息之間的差異性。拉開(kāi)與非法獲取、出售或者提供公民一般個(gè)人信息犯罪行為起刑點(diǎn)之間的距離，才能突出對(duì)敏感個(gè)人信息的刑法特殊保護(hù)。可見(jiàn)，設(shè)定起刑點(diǎn)是一個(gè)權(quán)衡利弊的過(guò)程。如何準(zhǔn)確把握侵犯公民敏感個(gè)人信息行為入罪的“度”，是我們?cè)谛抻啞督忉尅窌r(shí)不得不面對(duì)的一個(gè)難題。

據(jù)此，筆者建議將非法獲取、出售或者提供公民敏感個(gè)人信息犯罪行為起刑點(diǎn)設(shè)定為“50條以上”。提出該建議的理由在于，現(xiàn)有《解釋》第5條第1款第3項(xiàng)規(guī)定的起刑點(diǎn)即為“50條以上”，而這一起刑點(diǎn)是《解釋》對(duì)于非法獲取、出售或者提供公民個(gè)人信息犯罪行為所設(shè)定的最低起刑點(diǎn)。最低起刑點(diǎn)意味著最強(qiáng)刑法保護(hù)，因而繼續(xù)沿用第3項(xiàng)規(guī)定的“50條以上”的認(rèn)定標(biāo)準(zhǔn)，實(shí)際上是一個(gè)比較合理的選擇。值得一提的是，《解釋》第5條第1款第5項(xiàng)規(guī)定，非法獲取、出售或者提供公民一般個(gè)人信息犯罪行為的起刑點(diǎn)為“5000條以上”，如果我們將非法獲取、出售或者提供公民敏感個(gè)人信息犯罪行為的起刑點(diǎn)設(shè)定在“50條以上”，在認(rèn)定信息的數(shù)量標(biāo)準(zhǔn)上前者是后者的100倍，顯然就能充分突出對(duì)公民敏感個(gè)人信息的刑法特殊保護(hù)。就此而言，筆者建議將《解釋》第5條第1款第3項(xiàng)修訂為“非法獲取、出售或者提供公民敏感個(gè)人信息50條以上的”，同時(shí)將原《解釋》該條該款第4項(xiàng)規(guī)定內(nèi)容歸入修訂后第3項(xiàng)規(guī)定的敏感個(gè)人信息中，從而既在“敏感個(gè)人信息”這一法律用語(yǔ)的使用上，又在起刑點(diǎn)的設(shè)置上保持了統(tǒng)一，以最大程度有利于對(duì)敏感個(gè)人信息進(jìn)行刑法特殊保護(hù)。

這里需要注意的是，上述取消《解釋》第5條第1款第4項(xiàng)規(guī)定并不意味著不需要對(duì)原該項(xiàng)規(guī)定的敏感個(gè)人信息特殊保護(hù)，而是因?yàn)樾抻喓蟮摹督忉尅返?條第1款第3項(xiàng)規(guī)定所涵蓋的對(duì)象包括了原有第4項(xiàng)規(guī)定的敏感個(gè)人信息。為了體現(xiàn)《解釋》對(duì)敏感個(gè)人信息刑法特殊保護(hù)的相對(duì)一致性，筆者建議取消第4項(xiàng)規(guī)定。同時(shí)將涉及第4項(xiàng)規(guī)定的信息構(gòu)成侵犯公民個(gè)人信息犯罪的起刑點(diǎn)，由原本為“500條以上”統(tǒng)一修訂為“50條以上”。通過(guò)這一修訂，實(shí)際上降低了原有第4項(xiàng)規(guī)定的侵犯公民個(gè)人信息犯罪行為的起刑點(diǎn)，或者說(shuō)提高了對(duì)該項(xiàng)規(guī)定的個(gè)人信息的保護(hù)力度。對(duì)此，可能會(huì)有人會(huì)質(zhì)疑，提高對(duì)原有第4項(xiàng)規(guī)定的個(gè)人信息的保護(hù)力度，將其與原有第3項(xiàng)規(guī)定的個(gè)人信息的保護(hù)力度持平，是否合理？是否會(huì)產(chǎn)生量刑上的不平衡？筆者認(rèn)為，這種質(zhì)疑似乎有些多慮。因?yàn)樵械?項(xiàng)規(guī)定的個(gè)人信息和第3項(xiàng)規(guī)定的個(gè)人信息本身就具有一定的相似性，并且依據(jù)《個(gè)人信息保護(hù)法》，兩者均屬于敏感個(gè)人信息這一范疇。既然如此，《解釋》將這兩項(xiàng)規(guī)定中的個(gè)人信息統(tǒng)一規(guī)定在第3項(xiàng)敏感個(gè)人信息中并設(shè)定同樣的起刑點(diǎn)，也就不存在任何問(wèn)題了?！?0條以上”的起刑點(diǎn)與“500條以上”的起刑點(diǎn)相比，我們當(dāng)然選擇“就低不就高”即采納“50條以上”的起刑點(diǎn)，否則如果將起刑點(diǎn)設(shè)定為“500條以上”相當(dāng)于降低了對(duì)原有第3項(xiàng)規(guī)定的個(gè)人信息的保護(hù)力度，有違對(duì)敏感個(gè)人信息刑法特殊保護(hù)的基本內(nèi)涵。另外，筆者認(rèn)為，設(shè)置統(tǒng)一的“50條以上”的起刑點(diǎn)并不會(huì)造成量刑上的不平衡。例如，侵犯50條公民生物識(shí)別信息的行為和侵犯50條公民宗教信仰信息的行為，這兩種行為同樣都是侵犯公民敏感個(gè)人信息行為，且都已經(jīng)達(dá)到了起刑點(diǎn)，但在具體量刑上完全可以體現(xiàn)出差異。具體如何量刑？實(shí)際判刑多少？完全可以由裁判者根據(jù)不同案件涉及敏感個(gè)人信息重要性的情況，在量刑幅度內(nèi)靈活掌控?？梢?jiàn)，對(duì)侵犯公民敏感個(gè)人信息犯罪的起刑點(diǎn)規(guī)定統(tǒng)一標(biāo)準(zhǔn)，不會(huì)產(chǎn)生量刑不平衡的問(wèn)題。

3.建議保持侵犯公民敏感個(gè)人信息“情節(jié)特別嚴(yán)重”較“情節(jié)嚴(yán)重”10倍以上的認(rèn)定標(biāo)準(zhǔn)。

《解釋》第5條第2款列舉了四項(xiàng)侵犯公民個(gè)人信息罪“情節(jié)特別嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)，其中該條該款第3項(xiàng)規(guī)定，數(shù)量或者數(shù)額達(dá)到前款第3項(xiàng)至第8項(xiàng)規(guī)定標(biāo)準(zhǔn)10倍以上的，應(yīng)當(dāng)認(rèn)定為侵犯公民個(gè)人信息罪“情節(jié)特別嚴(yán)重”。若繼續(xù)保留該項(xiàng)規(guī)定，則侵犯公民敏感個(gè)人信息“情節(jié)特別嚴(yán)重”與侵犯公民一般個(gè)人信息“情節(jié)特別嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)均是各自“情節(jié)嚴(yán)重”數(shù)量或者數(shù)額規(guī)定標(biāo)準(zhǔn)10倍以上。這里需要重點(diǎn)討論的是，筆者在前文已經(jīng)論述了敏感個(gè)人信息的重要性是要明顯大于一般個(gè)人信息的，那么《解釋》對(duì)敏感個(gè)人信息的保護(hù)是否也應(yīng)該體現(xiàn)在相關(guān)情節(jié)的認(rèn)定標(biāo)準(zhǔn)規(guī)定上？在認(rèn)定“情節(jié)嚴(yán)重”時(shí)，侵犯公民敏感個(gè)人信息的起刑點(diǎn)相較侵犯公民一般個(gè)人信息，顯然存在較大的差異，那么在認(rèn)定“情節(jié)特別嚴(yán)重”時(shí)，是否也需要進(jìn)一步拉開(kāi)兩者的差距？由此便產(chǎn)生了認(rèn)定侵犯公民敏感個(gè)人信息“情節(jié)特別嚴(yán)重”與侵犯公民一般個(gè)人信息“情節(jié)特別嚴(yán)重”均是各自“情節(jié)嚴(yán)重”數(shù)量或者數(shù)額規(guī)定標(biāo)準(zhǔn)10倍以上是否合理的疑問(wèn)。

筆者認(rèn)為，在認(rèn)定“情節(jié)特別嚴(yán)重”時(shí)，侵犯公民敏感個(gè)人信息與侵犯公民一般個(gè)人信息均采用較“情節(jié)嚴(yán)重”10倍以上的認(rèn)定標(biāo)準(zhǔn)并無(wú)不妥，理由是：認(rèn)定侵犯公民敏感個(gè)人信息構(gòu)成“情節(jié)嚴(yán)重”的起刑點(diǎn)為“50條以上”，認(rèn)定侵犯公民一般個(gè)人信息構(gòu)成“情節(jié)嚴(yán)重”的起刑點(diǎn)是“5000條以上”，而“情節(jié)特別嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)是建立在“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)之上的。雖然在字面上兩者采用的都是10倍以上的認(rèn)定標(biāo)準(zhǔn)，但事實(shí)上認(rèn)定侵犯公民敏感個(gè)人信息構(gòu)成“情節(jié)特別嚴(yán)重”的起刑點(diǎn)是“500條以上”，而認(rèn)定侵犯公民一般個(gè)人信息構(gòu)成“情節(jié)特別嚴(yán)重”的起刑點(diǎn)則是“50000條以上”。盡管10倍以上數(shù)量的敏感個(gè)人信息泄露的社會(huì)危害性可能會(huì)遠(yuǎn)遠(yuǎn)大于10倍以上數(shù)量的一般個(gè)人信息泄露的社會(huì)危害性，但是這種看法顯然忽略了比較的基數(shù)。如前所述，侵犯公民敏感個(gè)人信息“情節(jié)嚴(yán)重”的起刑點(diǎn)和侵犯公民一般個(gè)人信息“情節(jié)嚴(yán)重”的起刑點(diǎn)已經(jīng)存在很大差別，因而即便從形式上看在認(rèn)定“情節(jié)特別嚴(yán)重”時(shí)兩者采用的都是10倍以上的認(rèn)定標(biāo)準(zhǔn)，但是從實(shí)質(zhì)上看兩者的差距仍然是比較明顯的。退一步講，如果改變現(xiàn)有的認(rèn)定標(biāo)準(zhǔn)，假設(shè)認(rèn)定侵犯公民敏感個(gè)人信息“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)是“情節(jié)嚴(yán)重”5倍以上，認(rèn)定侵犯公民一般個(gè)人信息“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)仍然保留原有的較“情節(jié)嚴(yán)重”10倍以上，看似進(jìn)一步拉開(kāi)了認(rèn)定標(biāo)準(zhǔn)上的差距，但是，實(shí)際可能會(huì)壓縮侵犯公民敏感個(gè)人信息行為適用“情節(jié)嚴(yán)重”這一檔法定刑的空間，進(jìn)而造成對(duì)敏感個(gè)人信息的過(guò)度保護(hù)。

需要指出的是，筆者早前曾發(fā)表觀點(diǎn)認(rèn)為，由于我們身處被各類信息包圍的大數(shù)據(jù)時(shí)代，人們獲取信息的途徑愈來(lái)愈廣泛，獲取信息的途徑越來(lái)越便捷，所以就導(dǎo)致了司法實(shí)踐中行為人非法獲取或者提供個(gè)人信息的數(shù)量動(dòng)輒幾十萬(wàn)甚至上百萬(wàn)條。因此，筆者擔(dān)憂，以較“情節(jié)嚴(yán)重”10倍以上作為認(rèn)定“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)，客觀上可能會(huì)引發(fā)對(duì)侵犯公民個(gè)人信息罪實(shí)際“量刑不平衡”的狀況出現(xiàn)，(16)參見(jiàn)劉憲權(quán)、房慧穎：《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，載《華東政法大學(xué)學(xué)報(bào)》2017年第6期。但是，當(dāng)時(shí)的觀點(diǎn)是在沒(méi)有《個(gè)人信息保護(hù)法》的情況下形成的，特別是在刑法與刑法司法解釋中沒(méi)有敏感個(gè)人信息提法的情況下提出來(lái)的?，F(xiàn)在在《個(gè)人信息保護(hù)法》頒行的背景下，我們又要通過(guò)修訂《解釋》規(guī)定增設(shè)“敏感個(gè)人信息”這一概念，如果不在《解釋》中設(shè)定一個(gè)明確的統(tǒng)一標(biāo)準(zhǔn)很難開(kāi)展相關(guān)的司法活動(dòng)。就此而言，筆者幾年之前的擔(dān)憂似乎也是多余，因?yàn)橐?guī)范上的平衡顯然更為重要。如此看來(lái)，我們?cè)谡J(rèn)定侵犯公民敏感個(gè)人信息與侵犯公民一般個(gè)人信息“情節(jié)特別嚴(yán)重”時(shí)均采用較“情節(jié)嚴(yán)重”10倍以上的認(rèn)定標(biāo)準(zhǔn)并無(wú)不妥。

四、結(jié)語(yǔ)

在《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息下了定義并對(duì)敏感個(gè)人信息的處理規(guī)則作出明確規(guī)定的前提之下，刑法以及相關(guān)刑法司法解釋?xiě)?yīng)當(dāng)及時(shí)調(diào)整與《個(gè)人信息保護(hù)法》不一致的內(nèi)容，以實(shí)現(xiàn)不同部門(mén)法之間對(duì)敏感個(gè)人信息保護(hù)的有效銜接。敏感個(gè)人信息與公民的人格尊嚴(yán)、人身安全和財(cái)產(chǎn)安全密切相關(guān)，因而刑法必須強(qiáng)化對(duì)公民敏感個(gè)人信息的保護(hù)力度。相關(guān)刑法司法解釋?xiě)?yīng)取消敏感個(gè)人信息的分級(jí)，實(shí)現(xiàn)對(duì)各種類型敏感個(gè)人信息一視同仁的特殊保護(hù)。在設(shè)定侵犯公民敏感個(gè)人信息行為“情節(jié)嚴(yán)重”以及“情節(jié)特別嚴(yán)重”的起刑點(diǎn)和量刑標(biāo)準(zhǔn)時(shí)，應(yīng)當(dāng)仔細(xì)考量敏感個(gè)人信息的特殊性，充分保障公民敏感個(gè)人信息的安全。