侵犯公民個(gè)人信息罪刑法適用的調(diào)整和重構(gòu)

劉憲權(quán)，王 哲

自我國刑法中設(shè)立侵犯公民個(gè)人信息罪以來，針對該罪適用規(guī)則的爭議便從未停止過。當(dāng)前，侵犯公民個(gè)人信息罪的法律適用主要存在個(gè)人信息概念不明確、“違反國家有關(guān)規(guī)定”的含義不清晰、保護(hù)法益不明確以及“情節(jié)嚴(yán)重”認(rèn)定標(biāo)準(zhǔn)不合理等問題(1)參見葉良芳、應(yīng)家赟《非法獲取公民個(gè)人信息之“公民個(gè)人信息”的教義學(xué)闡釋——以〈刑事審判參考〉第1009號案例為樣本》，《浙江社會(huì)科學(xué)》2016年第4期；高楚南《刑法視野下公民個(gè)人信息法益重析及范圍擴(kuò)充》，《中國刑事法雜志》2019年第2期；于沖《侵犯公民個(gè)人信息罪中“公民個(gè)人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期；李川《個(gè)人信息犯罪的規(guī)制困境與對策完善——從大數(shù)據(jù)環(huán)境下濫用信息問題切入》，《中國刑事法雜志》2019年第5期；張勇《個(gè)人信用信息法益及刑法保護(hù)：以互聯(lián)網(wǎng)征信為視角》，《東方法學(xué)》2019年第1期；馬永強(qiáng)《侵犯公民個(gè)人信息罪的法益屬性確證》，《環(huán)球法律評論》2021年第2期；劉憲權(quán)、房慧穎《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報(bào)》2017年第6期。。如不能將上述問題予以正確解決則將增加司法人員恣意適用侵犯公民個(gè)人信息罪刑法條文的風(fēng)險(xiǎn)。考慮到侵犯公民個(gè)人信息罪的準(zhǔn)確適用與該罪前置法的規(guī)定密不可分，單獨(dú)依靠刑法條文及其自身邏輯體系所構(gòu)建的刑法適用規(guī)則難免片面且不夠準(zhǔn)確、合理，故而我們應(yīng)該從個(gè)人信息整體法律保護(hù)體系的視角重新構(gòu)建侵犯公民個(gè)人信息罪的刑法適用規(guī)則。剛頒行不久的《中華人民共和國個(gè)人信息保護(hù)法》(以下簡稱《個(gè)人信息保護(hù)法》)增加了個(gè)人信息處理者和國家有關(guān)部門對個(gè)人信息處理的義務(wù)，并賦予了公民對個(gè)人信息控制更為優(yōu)越的權(quán)利，這無疑為我們完善侵犯公民個(gè)人信息罪的刑法適用規(guī)則提供了重要基礎(chǔ)和依據(jù)。本文將在法秩序統(tǒng)一的視角下，明確侵犯公民個(gè)人信息罪中個(gè)人信息的定義，確立侵犯公民個(gè)人信息罪中“違法國家有關(guān)規(guī)定”的基本含義，界定該罪的保護(hù)法益，并進(jìn)一步明確該罪“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)，以助力于準(zhǔn)確適用和完善侵犯公民個(gè)人信息罪的刑法規(guī)定。

一、侵犯公民個(gè)人信息罪中個(gè)人信息的再定義

認(rèn)定侵犯公民個(gè)人信息罪的基本前提是明確個(gè)人信息的定義，確立刑法對個(gè)人信息的保護(hù)范圍。《個(gè)人信息保護(hù)法》對個(gè)人信息的定義與侵犯公民個(gè)人信息罪司法解釋中個(gè)人信息的定義存在一定差異。最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個(gè)人信息解釋》)第1條將個(gè)人信息定義為：以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。但是，《個(gè)人信息保護(hù)法》則在第4條將個(gè)人信息定義為：以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

相較而言，《個(gè)人信息保護(hù)法》與《個(gè)人信息解釋》對個(gè)人信息的定義主要有三點(diǎn)不同：其一，在個(gè)人信息范圍方面，《個(gè)人信息解釋》所界定的范圍包括“反映自然人活動(dòng)情況的各種信息”，而《個(gè)人信息保護(hù)法》則并未涉及該類個(gè)人信息；其二，在個(gè)人信息特征方面，《個(gè)人信息解釋》將“能夠單獨(dú)識別”與“可以和其他信息結(jié)合識別”規(guī)定為個(gè)人信息的特征，而《個(gè)人信息保護(hù)法》并未采用此種表述；其三，在個(gè)人信息識別對象方面，《個(gè)人信息解釋》中的個(gè)人信息的識別對象是“自然人身份(自然人活動(dòng)情況)”，而《個(gè)人信息保護(hù)法》中個(gè)人信息的識別對象是“自然人”。筆者認(rèn)為，應(yīng)對《個(gè)人信息解釋》中個(gè)人信息的定義進(jìn)行適當(dāng)調(diào)整，以與《個(gè)人信息保護(hù)法》的定義保持一致，具體包括以下幾點(diǎn)：

首先，《個(gè)人信息解釋》對個(gè)人信息范圍的表述應(yīng)與《個(gè)人信息保護(hù)法》一致。按照法律位階的基本規(guī)則，如果一個(gè)行為不受行政法處罰，則自然更不應(yīng)當(dāng)受刑法的規(guī)制。在侵犯公民個(gè)人信息犯罪行為的認(rèn)定上，刑法應(yīng)具有片段性，只能將一小部分違反前置法的侵犯公民個(gè)人信息違法行為認(rèn)定為犯罪。因此，刑法所界定的個(gè)人信息的范圍，只能小于或者等于《個(gè)人信息保護(hù)法》所界定的個(gè)人信息的范圍。但是，《個(gè)人信息解釋》所界定的個(gè)人信息的范圍包含了“反映自然人活動(dòng)情況的各種信息”等內(nèi)容，而《個(gè)人信息保護(hù)法》卻并未將此列入其所界定的個(gè)人信息范圍。需要指出的是，“反映自然人活動(dòng)情況的各種信息”重在強(qiáng)調(diào)個(gè)人信息的關(guān)聯(lián)性而非識別性，而具有關(guān)聯(lián)性的個(gè)人信息范圍顯然要大于具有識別性的個(gè)人信息范圍。因?yàn)榫哂凶R別性的個(gè)人信息必定與特定自然人發(fā)生關(guān)聯(lián)，但有關(guān)特定人的個(gè)人信息卻不一定具有識別功能(2)楊楠：《個(gè)人數(shù)位足跡刑法規(guī)制的功能性偏誤與修正》，《安徽大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2019年第4期。。就此而言，《個(gè)人信息解釋》對個(gè)人信息的定義范圍顯然超出了《個(gè)人信息保護(hù)法》的定義范圍?！秱€(gè)人信息解釋》對個(gè)人信息范圍的規(guī)定中有關(guān)“反映自然人活動(dòng)情況的各種信息”的內(nèi)容似乎應(yīng)該予以剔除，以最大限度地保持與《個(gè)人信息保護(hù)法》對個(gè)人信息規(guī)定范圍的一致。

其次，《個(gè)人信息解釋》對個(gè)人信息特征的表述應(yīng)與《個(gè)人信息保護(hù)法》一致。如前所述，《個(gè)人信息解釋》采用了“能夠單獨(dú)識別”以及“可以和其他信息結(jié)合識別”的提法來具體區(qū)分和表述個(gè)人信息特征。這種特征表述實(shí)際上存在一定的缺陷，因?yàn)椴淮嬖谕ㄟ^一條個(gè)人信息可以單獨(dú)識別“特定自然人身份”的情況。例如，如欲根據(jù)某一身份證號碼來確定某人身份，則至少需要兩條個(gè)人信息，即“身份證號碼”和“該身份證號碼對應(yīng)用戶的真實(shí)姓名”，只有兩者相互結(jié)合方可識別特定自然人身份。就此而言，《個(gè)人信息解釋》用“能夠單獨(dú)識別”和“可結(jié)合識別”這些特征表述對個(gè)人信息進(jìn)行分類顯然存在不妥之處。需要指出的是，《個(gè)人信息解釋》對個(gè)人信息特征的表述來源于前置法的相關(guān)規(guī)定。結(jié)合相關(guān)規(guī)定頒布的時(shí)間可知，《個(gè)人信息解釋》(2017年)對個(gè)人信息特征的表述基本參照《網(wǎng)絡(luò)安全法》(2016年)對個(gè)人信息的相關(guān)規(guī)定(3)參見《網(wǎng)絡(luò)安全法》第76條：個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個(gè)人生物識別信息、住址、電話號碼等。。筆者認(rèn)為，隨著《個(gè)人信息保護(hù)法》(2021年)的出臺，無論是行政法還是刑法司法解釋對個(gè)人信息特征的表述都應(yīng)該以最新《個(gè)人信息保護(hù)法》的規(guī)定為基準(zhǔn)。據(jù)此，我們對侵犯公民個(gè)人信息罪的司法解釋中個(gè)人信息特征的表述進(jìn)行相應(yīng)的修正，既有必要也十分緊迫。

最后，《個(gè)人信息解釋》對個(gè)人信息識別對象的表述應(yīng)與《個(gè)人信息保護(hù)法》一致。相較而言，《個(gè)人信息解釋》將個(gè)人信息的識別對象規(guī)定為“自然人身份”，而《個(gè)人信息保護(hù)法》將個(gè)人信息的識別對象規(guī)定為“自然人”。有觀點(diǎn)認(rèn)為，需要區(qū)分“自然人身份”和“自然人”兩個(gè)概念，“自然人身份”實(shí)際上是指“你是誰”，而“自然人”是指“你是某個(gè)誰”，前者指向具有身份標(biāo)識的顯名的個(gè)人，后者指向符號化的隱名的個(gè)人(4)楊君琳：《論北斗時(shí)代的個(gè)人位置信息法律保護(hù)》，《法學(xué)雜志》2021年第2期。。筆者認(rèn)同上述觀點(diǎn)，“識別特定自然人身份”和“識別特定自然人”的含義并不完全相同。“自然人身份”可以有很多個(gè)，而“自然人”只能是特指。例如，識別到某人是某公司高層人員屬于識別特定自然人身份，而識別到某人姓名為張三才屬于識別特定自然人。由于“自然人”與公民人身、財(cái)產(chǎn)權(quán)利的聯(lián)系更為緊密，相比之下，“自然人”較“自然人身份”似乎更值得刑法保護(hù)。由此，侵犯公民個(gè)人信息罪的司法解釋中有關(guān)個(gè)人信息識別對象的表述，理應(yīng)參照《個(gè)人信息保護(hù)法》的表述進(jìn)行修正。

綜上所述，《個(gè)人信息解釋》與《個(gè)人信息保護(hù)法》對侵犯公民個(gè)人信息罪中個(gè)人信息的范圍、特征以及識別對象的表述均存在不同，司法解釋理應(yīng)做出一定程度的修正，可將侵犯公民個(gè)人信息罪中的個(gè)人信息明確定義為：“以電子或者其他方式記錄的、與已識別或者可識別的自然人有關(guān)的各種信息?！?/p>

需要特別說明的是，現(xiàn)行刑法有關(guān)侵犯公民個(gè)人信息罪客觀行為方式為非法獲取、提供、出售的行為，受這些行為方式?jīng)Q定，侵犯公民個(gè)人信息罪中個(gè)人信息范圍并不包括已公開個(gè)人信息。因?yàn)榫鸵压_個(gè)人信息而言，不存在對其進(jìn)行非法獲取、提供、出售的情形，任何人都可能或有權(quán)利獲取已公開個(gè)人信息。由于對已公開個(gè)人信息的獲取或提供行為不會(huì)違反國家有關(guān)規(guī)定，相關(guān)行為也就不可能具有非法性(5)參見劉憲權(quán)、房慧穎《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報(bào)》2017年第6期。。但是，濫用個(gè)人信息不必然以非法獲取他人信息為前置條件(6)李懷勝：《公民個(gè)人信息保護(hù)的刑法擴(kuò)展路徑及策略轉(zhuǎn)變》，《江淮論壇》2020年第3期。，刑法理應(yīng)將合法獲取但非法使用個(gè)人信息的行為歸入侵犯公民個(gè)人信息罪的行為方式之中，侵犯公民個(gè)人信息罪的個(gè)人信息范圍也應(yīng)包含已公開個(gè)人信息。具體理由如下：其一，從刑法內(nèi)在體系層面考慮，對于已公開個(gè)人信息而言，雖不存在對其非法獲取、提供或出售的行為，但完全可能存在合法獲取但非法使用已公開個(gè)人信息的行為。如果侵犯公民個(gè)人信息罪將合法獲取但非法使用個(gè)人信息的行為規(guī)定為該罪行為方式之一，則合法獲取但非法使用已公開個(gè)人信息行為當(dāng)然屬于侵犯公民個(gè)人信息罪的行為范疇。其二，從刑行銜接層面考慮，《個(gè)人信息保護(hù)法》明確了對于已公開個(gè)人信息的保護(hù)?！秱€(gè)人信息保護(hù)法》第27條明確規(guī)定，個(gè)人信息處理者處理已公開的個(gè)人信息，對個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。同時(shí)，個(gè)人擁有拒絕他人對于已公開個(gè)人信息進(jìn)行處理的權(quán)利。據(jù)此，當(dāng)個(gè)人信息處理者非法使用已公開個(gè)人信息并危及個(gè)人權(quán)益的，相關(guān)行為也構(gòu)成侵犯公民個(gè)人信息行政違法行為。因此刑法具備規(guī)制合法獲取但非法使用已公開個(gè)人信息行為的前提條件，而不會(huì)與前置法產(chǎn)生沖突。其三，從社會(huì)危害性層面考慮，合法獲取但非法使用已公開個(gè)人信息行為具備一定的社會(huì)危害性，相關(guān)行為值得刑法予以規(guī)制。隨著科技的發(fā)展和進(jìn)步，網(wǎng)絡(luò)空間中出現(xiàn)大量利用已公開個(gè)人信息從事非法活動(dòng)的情形，如利用換臉、換聲技術(shù)損害當(dāng)事人名譽(yù)，在某種程度上這些行為對于公民個(gè)人權(quán)益可能造成嚴(yán)重的侵害。如果僅僅依靠民法和行政法的相關(guān)規(guī)定對這些具有嚴(yán)重社會(huì)危害性的行為加以規(guī)制，顯然不足以有效遏止這類現(xiàn)象的發(fā)展勢頭。綜上，侵犯公民個(gè)人信息罪中的個(gè)人信息應(yīng)包含已公開個(gè)人信息。

二、侵犯公民個(gè)人信息罪中“違反國家有關(guān)規(guī)定”的再限縮

(一)“國家有關(guān)規(guī)定”應(yīng)限于法律和行政法規(guī)

“違反國家有關(guān)規(guī)定”是侵犯公民個(gè)人信息罪的重要構(gòu)成要件。根據(jù)《個(gè)人信息解釋》第2條的規(guī)定，違反法律、行政法規(guī)、部門規(guī)章有關(guān)個(gè)人信息保護(hù)的規(guī)定的，應(yīng)當(dāng)認(rèn)定為《刑法》第253條之一規(guī)定的“違反國家有關(guān)規(guī)定”。據(jù)此，我們有必要首先明確“違反國家有關(guān)規(guī)定”中的“國家有關(guān)規(guī)定”的范圍，是僅指法律和行政法規(guī)，還是說既包括法律和行政法規(guī)，也包括部門規(guī)章和地方性法規(guī)？對此，有觀點(diǎn)認(rèn)為，參照最高人民法院對有關(guān)“以國務(wù)院辦公廳名義制發(fā)的文件”作出的界定，只要部門規(guī)章與相關(guān)法律、行政法規(guī)不相抵觸，就可以視為“國家有關(guān)規(guī)定”，而不必以法律、行政法規(guī)有明確規(guī)定為前提(7)參見張勇《APP個(gè)人信息的刑法保護(hù)：以知情同意為視角》，《法學(xué)》2020年第8期。。也有學(xué)者認(rèn)為，“違反國家有關(guān)規(guī)定”只宜限于法律和行政法規(guī)，而不應(yīng)包含部門規(guī)章和地方性法規(guī)，由此可達(dá)到限縮侵犯公民個(gè)人信息罪適用范圍的目的，防止寬泛、抽象的前置法導(dǎo)致刑法適用不明確(8)參見冀洋《法益自決權(quán)與侵犯公民個(gè)人信息罪的司法邊界》，《中國法學(xué)》2019年第4期。。依筆者看來，由于部門規(guī)章與地方性法規(guī)等對侵犯公民個(gè)人信息情形的認(rèn)定難免存在一定的差異，如果侵犯公民個(gè)人信息罪中的“國家有關(guān)規(guī)定”包含部門規(guī)章和地方性法規(guī)，則容易導(dǎo)致認(rèn)定侵犯公民個(gè)人信息罪時(shí)產(chǎn)生不確定性。同時(shí)，考慮到部門規(guī)章和地方性法規(guī)的變動(dòng)較為頻繁，而刑法不宜朝令夕改，所以我們不應(yīng)對“國家有關(guān)規(guī)定”包含的內(nèi)容作寬泛的理解。由此，筆者認(rèn)為，應(yīng)當(dāng)將“國家有關(guān)規(guī)定”限于法律和行政法規(guī)，而不應(yīng)包含部門規(guī)章和地方性法規(guī)。

(二)刑法對個(gè)人信息保護(hù)范圍應(yīng)小于《個(gè)人信息保護(hù)法》規(guī)定的范圍

雖然“國家有關(guān)規(guī)定”應(yīng)限于法律和行政法規(guī)，但也并非所有違反法律和行政法規(guī)的侵犯公民個(gè)人信息行為均需要刑法予以規(guī)制。這就涉及刑法與其他法律法規(guī)對個(gè)人信息的保護(hù)應(yīng)當(dāng)如何進(jìn)行有效銜接的問題。需要指出的是，《個(gè)人信息保護(hù)法》不僅涵蓋了《民法典》《網(wǎng)絡(luò)安全法》等法律和行政法規(guī)對個(gè)人信息保護(hù)的內(nèi)容，同時(shí)還更全面、廣泛地規(guī)定了個(gè)人信息保護(hù)的其他內(nèi)容。相較而言，《個(gè)人信息保護(hù)法》對個(gè)人信息保護(hù)規(guī)定的嚴(yán)密性已經(jīng)超越了其他法律法規(guī)的相關(guān)規(guī)定。由此，我們完全可以得出結(jié)論，刑法與其他法律法規(guī)對個(gè)人信息保護(hù)的銜接問題，實(shí)際上就是刑法與《個(gè)人信息保護(hù)法》對個(gè)人信息保護(hù)的銜接問題。

有效解決刑法與《個(gè)人信息保護(hù)法》對個(gè)人信息保護(hù)銜接問題的關(guān)鍵在于如何準(zhǔn)確理解刑法與前置法的位階關(guān)系。也就是在法秩序統(tǒng)一視角下，應(yīng)當(dāng)如何界定侵犯公民個(gè)人信息犯罪行為與一般侵犯公民個(gè)人信息行政違法行為的邊界?？傮w而言，刑事違法性的判斷應(yīng)從屬于行政違法性的判斷，如果相關(guān)行為不具有行政違法性，則該行為不具有刑事違法性。而更為重要的是，刑事違法性的判斷也具有相對的獨(dú)立性。犯罪行為的認(rèn)定，最終仍然取決于刑法有關(guān)規(guī)定和理論(9)王紹武：《法秩序統(tǒng)一性視野下違法判斷的相對性》，《中外法學(xué)》2015年第1期。。也就是說，在個(gè)人信息保護(hù)的刑行銜接上，應(yīng)重視刑法對侵犯公民個(gè)人信息行為定性所考慮的因素與《個(gè)人信息保護(hù)法》對侵犯公民個(gè)人信息違法行為認(rèn)定所考慮因素的相關(guān)區(qū)別。在犯罪行為的認(rèn)定上，一方面需要明確相關(guān)行為是否觸犯了刑法的相關(guān)規(guī)定，是否符合相關(guān)犯罪的構(gòu)成要件；另一方面還需明確相關(guān)行為是否對刑法保護(hù)的法益造成嚴(yán)重侵害。

首先，侵犯公民個(gè)人信息罪是故意犯罪，且該罪僅規(guī)定了非法獲取、非法提供和非法出售個(gè)人信息這三種犯罪行為方式。但是，《個(gè)人信息保護(hù)法》除規(guī)定了非法收集(相當(dāng)于刑法中的獲取行為)、提供以及買賣個(gè)人信息行為(相當(dāng)于刑法中的出售行為)，還規(guī)定了過失侵犯公民個(gè)人信息行為、合法獲取但非法存儲個(gè)人信息行為以及合法獲取但非法使用個(gè)人信息行為等。嚴(yán)格按照罪刑法定原則的要求，有些行為就沒有構(gòu)成侵犯公民個(gè)人信息罪的可能性。理由主要是：

第一，過失侵犯公民個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪。結(jié)合侵犯公民個(gè)人信息罪法條規(guī)定，無論是該罪第1、2款規(guī)定的出售或提供行為，還是該罪第3款規(guī)定的竊取或以其他方法非法獲取行為，三種犯罪行為方式中的行為人主觀方面均表現(xiàn)為故意的心態(tài)。該罪屬于刑法分則中典型的故意犯罪，這在刑法理論上已經(jīng)形成共識。而《個(gè)人信息保護(hù)法》中的侵犯個(gè)人信息違法行為雖然在條文規(guī)定中沒有明確包括過失行為，實(shí)際上確實(shí)是包括過失行為的。例如，在獲取個(gè)人信息的授權(quán)之后，個(gè)人信息處理者確有可能產(chǎn)生錯(cuò)誤認(rèn)識，認(rèn)為自己也同時(shí)獲得了轉(zhuǎn)讓個(gè)人信息處理的相關(guān)權(quán)限，而將相關(guān)個(gè)人信息提供給他人使用。此時(shí)，由于行為人對公民個(gè)人信息的侵犯是一種過失的心態(tài)，行為人雖違反《個(gè)人信息保護(hù)法》的有關(guān)規(guī)定，但相關(guān)行為并不構(gòu)成侵犯公民個(gè)人信息罪。

第二，合法獲取但非法存儲個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪?！秱€(gè)人信息保護(hù)法》第47條明確規(guī)定了個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息的相關(guān)情形，包括處理目的已實(shí)現(xiàn)、無法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個(gè)人撤回同意等。所謂“合法獲取但非法存儲個(gè)人信息”行為，是指個(gè)人信息處理者先合法獲取了相關(guān)個(gè)人信息，但由于上述《個(gè)人信息保護(hù)法》所規(guī)定的相關(guān)原因，處理者喪失了合法存儲個(gè)人信息的相關(guān)權(quán)利，未履行相關(guān)刪除義務(wù)而繼續(xù)持有該個(gè)人信息的行為。從形式上看，現(xiàn)行刑法中侵犯公民個(gè)人信息罪僅規(guī)定了非法獲取、非法提供和非法出售個(gè)人信息三種行為方式，合法獲取但非法存儲個(gè)人信息行為不屬于上述三種犯罪行為方式的任何一種，故該行為顯然不可能構(gòu)成侵犯公民個(gè)人信息罪。從實(shí)質(zhì)上看，合法獲取但非法存儲個(gè)人信息行為的社會(huì)危害性要低于非法獲取個(gè)人信息行為的社會(huì)危害性。因?yàn)榉欠ǐ@取個(gè)人信息行為以作為的方式主動(dòng)破壞了公民自由授權(quán)個(gè)人信息處理相關(guān)權(quán)限的權(quán)利，而非法存儲個(gè)人信息行為僅屬于一種不履行《個(gè)人信息保護(hù)法》相關(guān)規(guī)定義務(wù)的不作為行為。因此，合法獲取但非法存儲個(gè)人信息的行為不應(yīng)構(gòu)成侵犯公民個(gè)人信息罪。

第三，合法獲取但非法使用個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪?！秱€(gè)人信息保護(hù)法》第14條規(guī)定，個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。所謂“合法獲取但非法使用個(gè)人信息”行為，是指個(gè)人信息處理者先合法獲取了相關(guān)個(gè)人信息，但由于上述《個(gè)人信息保護(hù)法》所規(guī)定的相關(guān)原因，處理者喪失了合法存儲個(gè)人信息的相關(guān)權(quán)利，未履行相關(guān)刪除義務(wù)而繼續(xù)使用該個(gè)人信息的行為。同理，就實(shí)然層面而言，現(xiàn)行刑法也未將合法獲取但非法使用個(gè)人信息行為納入侵犯公民個(gè)人信息罪的行為方式中。因此，現(xiàn)階段只能對該行為按侵犯公民個(gè)人信息行政違法行為論處。然而，就應(yīng)然層面而言，合法獲取但非法使用個(gè)人信息行為與非法獲取個(gè)人信息行為一樣，均主動(dòng)破壞了公民自由處理個(gè)人信息的相關(guān)權(quán)利。在某種程度上該行為的社會(huì)危害性并不一定低于非法獲取個(gè)人信息行為。司法實(shí)踐中，合法獲取但非法使用個(gè)人信息行為也并不少見，該類行為嚴(yán)重侵害個(gè)人對于個(gè)人信息的自決權(quán)，且對個(gè)人人格尊嚴(yán)、人身及財(cái)產(chǎn)安全會(huì)產(chǎn)生一定甚至嚴(yán)重的危害。同時(shí)，根據(jù)《個(gè)人信息保護(hù)法》第10條的規(guī)定，任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?？梢姡瑐€(gè)人信息的使用環(huán)節(jié)與個(gè)人信息的收集、提供、出售環(huán)節(jié)一樣，是個(gè)人信息處理流程中的關(guān)鍵階段，受《個(gè)人信息保護(hù)法》的重點(diǎn)保護(hù)。為加強(qiáng)對個(gè)人信息的全面保護(hù)，刑法理應(yīng)將合法獲取但非法使用個(gè)人信息行為納入侵犯公民個(gè)人信息罪的行為方式之中。當(dāng)個(gè)人信息使用者合法獲取個(gè)人信息之后，又任意改變個(gè)人信息的使用目的、范圍時(shí)，相關(guān)個(gè)人信息使用行為應(yīng)當(dāng)構(gòu)成侵犯公民個(gè)人信息罪。

其次，如果侵犯公民個(gè)人信息的行為符合侵犯公民個(gè)人信息罪規(guī)定的具體行為方式，但不具有法益侵害的可能性，則該行為不構(gòu)成侵犯公民個(gè)人信息罪。雖然《個(gè)人信息保護(hù)法》第10條明確規(guī)定，所有非法獲取、提供、出售個(gè)人信息的行為都屬于行政違法行為，但是這并不意味著，任何非法獲取、提供、出售個(gè)人信息且達(dá)到構(gòu)罪標(biāo)準(zhǔn)的違法行為均應(yīng)構(gòu)成侵犯公民個(gè)人信息罪。因?yàn)?，行政法僅強(qiáng)調(diào)公民對法律規(guī)范的遵守，其所規(guī)制的違法行為必須違背法律規(guī)定的行為準(zhǔn)則，而可以不具備法益侵害性。相比之下，刑法所規(guī)制的犯罪行為不僅應(yīng)符合相關(guān)犯罪的構(gòu)成要件，還應(yīng)具有法益侵害性。犯罪的認(rèn)定不僅要求相關(guān)行為違反特定的法律規(guī)范，還要求行為侵害或者威脅了刑法所保護(hù)的法益。因此，如果行為人違反秩序的行為并未導(dǎo)致刑法所不容許的損害結(jié)果的發(fā)生，則該行為就不應(yīng)當(dāng)被認(rèn)定為犯罪(10)參見[英]威廉姆·威爾遜《刑法理論的核心問題》，謝望原、羅燦、王波譯，北京：中國人民大學(xué)出版社，2015年，第31頁。。就侵犯公民個(gè)人信息犯罪行為的法益侵害對象而言，結(jié)合立法本意來看，刑法設(shè)立侵犯公民個(gè)人信息罪并將其規(guī)定在刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪中，旨在保障個(gè)人權(quán)利不受非法侵害，而不是強(qiáng)調(diào)對公共利益的保障。因此，該罪的法益不應(yīng)包含公共利益(11)參見王哲《侵犯公民個(gè)人信息罪中“個(gè)人信息”的限定》，《青少年犯罪問題》2021年第3期。。據(jù)此，當(dāng)行為人實(shí)施了違反《個(gè)人信息保護(hù)法》相關(guān)規(guī)定的行為，但未給個(gè)人權(quán)益造成損害的，該行為不構(gòu)成侵犯公民個(gè)人信息罪。例如，網(wǎng)絡(luò)購物平臺為提升用戶的購物體驗(yàn)，需要優(yōu)化平臺的商品檢索系統(tǒng)以提升用戶的檢索效率。但受限于技術(shù)條件，該網(wǎng)絡(luò)購物平臺需要委托第三方平臺對相關(guān)檢索系統(tǒng)予以升級，并未經(jīng)用戶同意將用戶的個(gè)人信息提供給第三方平臺進(jìn)行個(gè)人信息分析和系統(tǒng)優(yōu)化。應(yīng)該看到，在該案中，網(wǎng)絡(luò)購物平臺未經(jīng)平臺用戶同意而將用戶個(gè)人信息提供給第三方平臺的行為屬于非法提供個(gè)人信息違法行為，且符合侵犯公民個(gè)人信息罪的行為方式。但是，由于該行為的最終目的是為了提升用戶的購物體驗(yàn)，該非法提供個(gè)人信息行為不具有對個(gè)人財(cái)產(chǎn)權(quán)、人格權(quán)造成侵害的可能。此時(shí)，即便該行為違反了相關(guān)行為規(guī)范，但由于行為不具備法益侵害可能性，該行為不構(gòu)成侵犯公民個(gè)人信息罪。

最后，獲得被害人同意的侵犯公民個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪。根據(jù)刑法條文規(guī)定，非法獲取個(gè)人信息行為是指竊取或者以其他方法非法獲取公民個(gè)人信息的行為。因此，在個(gè)人同意的情況下，不存在非法獲取個(gè)人信息的可能性。然而，在個(gè)人同意的情況下，如果個(gè)人信息處理者未履行《個(gè)人信息保護(hù)法》規(guī)定的“通過國家網(wǎng)信部門組織的安全評估、保證個(gè)人信息自動(dòng)化決策的透明度和結(jié)果公平、公正”等義務(wù)，其依然存在實(shí)施非法提供或非法出售個(gè)人信息行為的可能，但此時(shí)相關(guān)行為不可能構(gòu)成侵犯公民個(gè)人信息罪。根據(jù)刑法相關(guān)理論，被害人同意的范圍僅限于對其自身個(gè)人法益侵害的承諾(但不包括對生命和身體健康侵害的承諾)，且被害人同意的行為不應(yīng)損害善良風(fēng)俗或者公共利益(12)參見[德]漢斯·海因里?！ひ惪?、[德]托馬斯·魏根特《德國刑法教科書(上)》，徐久生譯，北京：中國法制出版社，2017年，第511～516頁。。否則，被害人同意不能阻卻行為構(gòu)成犯罪的認(rèn)定。根據(jù)上述觀點(diǎn)，其一，刑法設(shè)立侵犯公民個(gè)人信息罪所保護(hù)的是個(gè)人法益而不是公共利益。分析《個(gè)人信息解釋》以及《個(gè)人信息保護(hù)法》對個(gè)人信息的定義，我們不難發(fā)現(xiàn)，個(gè)人信息的核心特征在于相關(guān)個(gè)人信息的可識別性。而法律對個(gè)人信息保護(hù)的關(guān)鍵在于防止個(gè)人信息處理者肆意利用個(gè)人信息的可識別性來識別特定自然人或特定自然人身份，進(jìn)而對相關(guān)自然人的個(gè)人權(quán)益產(chǎn)生侵害。其二，個(gè)人信息并不同于國家秘密，侵犯公民個(gè)人信息行為并不存在直接危及公共利益的可能性。其三，侵犯公民個(gè)人信息行為侵害的法益為個(gè)人信息權(quán)利而非個(gè)人的生命和健康等人身權(quán)。其四，侵犯公民個(gè)人信息罪是一種典型的“法定犯”，個(gè)人信息的權(quán)利完全由法律規(guī)范而非倫理道德規(guī)范所決定，因此被害人同意情形下的侵犯公民個(gè)人信息行為也不存在損害相關(guān)善良風(fēng)俗的問題。綜上，在獲得被害人同意的情況下，如果個(gè)人信息處理者未履行《個(gè)人信息保護(hù)法》規(guī)定的義務(wù)而實(shí)施非法提供或非法出售個(gè)人信息行為，由于該行為并不會(huì)直接損害個(gè)人的生命和身體健康法益，也不會(huì)違反相關(guān)善良風(fēng)俗，更不會(huì)直接危及公共利益，相關(guān)行為僅構(gòu)成侵犯公民個(gè)人信息行政違法行為，而不構(gòu)成侵犯公民個(gè)人信息罪。

需要注意的是，被害人對侵犯公民個(gè)人信息行為的知情同意不應(yīng)當(dāng)存在意識表示缺陷，且應(yīng)以《個(gè)人信息保護(hù)法》賦予公民最后一次行使同意權(quán)的效力為基準(zhǔn)。一方面，被害人的知情同意應(yīng)當(dāng)真實(shí)有效?！秱€(gè)人信息保護(hù)法》第14條明確規(guī)定，基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。該法第23條規(guī)定，個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得個(gè)人的單獨(dú)同意。據(jù)此，被害人因受欺騙、脅迫等而同意個(gè)人信息處理者對其個(gè)人信息進(jìn)行侵犯的，相關(guān)行為仍可能構(gòu)成侵犯公民個(gè)人信息罪。另一方面，根據(jù)《個(gè)人信息保護(hù)法》對知情同意規(guī)則的相關(guān)規(guī)定，公民對其授權(quán)的個(gè)人信息使用目的、范圍、種類等在信息處理各階段中均享有更改權(quán)和刪除權(quán)。據(jù)此，“公民知情同意”的效力應(yīng)當(dāng)以《個(gè)人信息保護(hù)法》賦予公民最后一次行使同意權(quán)的效力為基準(zhǔn)。換言之，在公民授權(quán)個(gè)人信息之后，公民又主動(dòng)行使對個(gè)人信息的撤回權(quán)，對該類個(gè)人信息的非法處理行為依然可能構(gòu)成侵犯公民個(gè)人信息罪。

三、侵犯公民個(gè)人信息罪保護(hù)法益的再確認(rèn)

有關(guān)侵犯公民個(gè)人信息罪的保護(hù)法益，有學(xué)者認(rèn)為，該罪的保護(hù)法益仍為傳統(tǒng)法益，如人格權(quán)(13)參見王利明《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學(xué)》2013年第4期；張新寶《〈民法總則〉個(gè)人信息保護(hù)條文研究》，《中外法學(xué)》2019年第1期。、隱私權(quán)(14)參見喻海松《侵犯公民個(gè)人信息罪的司法適用態(tài)勢與爭議焦點(diǎn)探析》，《法律適用》2018年第2期；徐翕明《“網(wǎng)絡(luò)隱私權(quán)”刑法規(guī)制的應(yīng)然選擇——從“侵犯公民個(gè)人信息罪”切入》，《東方法學(xué)》2018年第5期。、公共利益(15)參見王肅之《被害人教義學(xué)核心原則的發(fā)展——基于侵犯公民個(gè)人信息罪法益的反思》，《政治與法律》2017年第10期；敬力嘉《大數(shù)據(jù)環(huán)境下侵犯公民個(gè)人信息罪法益的應(yīng)然轉(zhuǎn)向》，《法學(xué)評論》2018年第2期。等。也有學(xué)者認(rèn)為，由于個(gè)人信息蘊(yùn)含多種權(quán)利屬性，侵犯公民個(gè)人信息罪的保護(hù)法益應(yīng)不同于傳統(tǒng)法益，而屬于一種新興法益，如個(gè)人信息自決權(quán)(16)參見周光權(quán)《侵犯公民個(gè)人信息罪的行為對象》，《清華法學(xué)》2021年第3期。、個(gè)人信息安全(17)參見姜濤《新罪之保護(hù)法益的證成規(guī)則——以侵犯公民個(gè)人信息罪的保護(hù)法益論證為例》，《中國刑事法雜志》2021年第3期。、個(gè)人信息受保護(hù)權(quán)(18)參見歐陽本祺《侵犯公民個(gè)人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，《比較法研究》2021年第3期。等。為限定侵犯公民個(gè)人信息罪的適用范圍，一些學(xué)者先通過刑法的體系和理論來證偽其不予支持的法益觀，再依據(jù)自身對個(gè)人信息蘊(yùn)含權(quán)利的相關(guān)判斷來對該罪的保護(hù)法益進(jìn)行界定，最后根據(jù)該罪保護(hù)法益對該罪的刑法適用范圍進(jìn)行限縮。但學(xué)界對法益的概念和功能尚有爭議，并不存在清晰的法益界定規(guī)則；同時(shí)，個(gè)人信息所蘊(yùn)含的權(quán)利繁多，侵犯公民個(gè)人信息罪的司法解釋有關(guān)規(guī)定也較為模糊。這些都是導(dǎo)致學(xué)界對侵犯公民個(gè)人信息罪的保護(hù)法益久久未能達(dá)成共識的原因。

為準(zhǔn)確界定侵犯公民個(gè)人信息罪的保護(hù)法益，筆者認(rèn)為，首先，應(yīng)當(dāng)考慮到侵犯公民個(gè)人信息罪的構(gòu)成要件與《個(gè)人信息保護(hù)法》等前置法的緊密聯(lián)系，結(jié)合《個(gè)人信息保護(hù)法》以及侵犯公民個(gè)人信息罪的相關(guān)規(guī)定對該罪保護(hù)法益進(jìn)行推導(dǎo)；其次，對該罪保護(hù)法益的界定不應(yīng)導(dǎo)致刑法體系的內(nèi)在沖突；最后，對該罪保護(hù)法益的界定應(yīng)符合該罪設(shè)立的規(guī)范保護(hù)目的。相比之下，筆者更傾向于將侵犯公民個(gè)人信息罪的保護(hù)法益界定為個(gè)人信息自決權(quán)，這是一種包含了公民個(gè)人的信息自由、安全權(quán)和隱私權(quán)的新興權(quán)利(19)參見劉憲權(quán)、房慧穎《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報(bào)》2017年第6期。。同時(shí)，個(gè)人信息自決權(quán)的法益觀應(yīng)受到侵犯公民個(gè)人信息罪規(guī)范保護(hù)目的的限定。

個(gè)人信息自決權(quán)的法益觀最為契合《個(gè)人信息保護(hù)法》等前置法的規(guī)定以及侵犯公民個(gè)人信息罪的法律規(guī)定。綜觀《個(gè)人信息保護(hù)法》有關(guān)規(guī)定，對侵犯公民個(gè)人信息行政違法行為認(rèn)定的關(guān)鍵在于判斷個(gè)人信息處理者是否獲得了個(gè)人的知情同意，有關(guān)“個(gè)人同意”的字眼在《個(gè)人信息保護(hù)法》的規(guī)定中多達(dá)27處。例如，該法第13條規(guī)定，取得個(gè)人的同意或具備其他法律規(guī)定的相關(guān)情形，個(gè)人信息處理者方可處理個(gè)人信息。該法第14條規(guī)定，個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。該法第15條規(guī)定，基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意?？梢?，個(gè)人信息處理者違反國家有關(guān)規(guī)定的主要內(nèi)容是由于處理者對個(gè)人信息相關(guān)權(quán)限的處理未獲得個(gè)人的同意。同時(shí)，根據(jù)侵犯公民個(gè)人信息罪的法律規(guī)定，該罪的三種行為方式分別是非法獲取、非法提供以及非法出售個(gè)人信息行為。其中，非法獲取個(gè)人信息行為是指以竊取或者其他方法獲取個(gè)人信息的行為，非法提供和非法出售個(gè)人信息行為是指違反國家有關(guān)規(guī)定，向他人出售或提供個(gè)人信息的行為。在侵犯公民個(gè)人信息罪的認(rèn)定中，無論是非法獲取、非法提供還是非法出售行為，其行為“非法”性的認(rèn)定關(guān)鍵在于相關(guān)行為未獲得個(gè)人的知情同意。由此可見，無論是《個(gè)人信息保護(hù)法》還是刑法的侵犯公民個(gè)人信息罪，均重視對個(gè)人知情同意規(guī)則的維護(hù)，即重視對個(gè)人信息自決權(quán)的保護(hù)。

侵犯公民個(gè)人信息罪的其他法益觀與刑法其他涉?zhèn)€人信息犯罪法益觀相重合。如果將侵犯公民個(gè)人信息罪的保護(hù)法益限定為單一的人格權(quán)、財(cái)產(chǎn)權(quán)、公共安全、個(gè)人信息安全或個(gè)人信息受保護(hù)權(quán)等，則將導(dǎo)致侵犯公民個(gè)人信息罪與刑法其他涉?zhèn)€人信息犯罪相重合。根據(jù)我國現(xiàn)行刑法的規(guī)定，非法獲取信息數(shù)據(jù)行為可能構(gòu)成侵犯公民個(gè)人信息罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、侵犯商業(yè)秘密罪、非法獲取國家秘密、情報(bào)罪、盜竊罪等多個(gè)罪名，這些罪名分別對包括公民個(gè)人權(quán)利、市場經(jīng)濟(jì)秩序、國家安全等在內(nèi)的重要法益予以不同程度的保護(hù)(20)參見張勇《數(shù)據(jù)安全法益的參照系與刑法保護(hù)模式》，《河南社會(huì)科學(xué)》2021年第5期。。如果侵犯公民個(gè)人信息罪的保護(hù)法益為上述任意單一法益，則該罪的適用范圍必將與刑法其他涉信息數(shù)據(jù)犯罪相重合，如此勢必有違刑事立法中應(yīng)堅(jiān)持的節(jié)省立法資源、不重復(fù)立法的基本立場。由此可見，侵犯公民個(gè)人信息罪的其他法益觀并沒有結(jié)合刑法對個(gè)人信息保護(hù)的體系設(shè)計(jì)進(jìn)行考慮，也忽視了刑法對個(gè)人信息的保護(hù)并非僅限于通過設(shè)立侵犯公民個(gè)人信息罪來實(shí)現(xiàn)的客觀事實(shí)。

單純的個(gè)人信息自決權(quán)法益觀同樣存在一定的疏漏。隨著《個(gè)人信息保護(hù)法》對個(gè)人知情同意的相關(guān)權(quán)利進(jìn)行拓展，個(gè)人信息自決的范圍也得以擴(kuò)張，不僅包括在個(gè)人信息獲取和轉(zhuǎn)讓階段對個(gè)人信息處理權(quán)限的被動(dòng)知情同意，還包括在個(gè)人信息處理各階段對個(gè)人信息處理權(quán)限主動(dòng)更改和撤回的自決。絕大部分違反《個(gè)人信息保護(hù)法》有關(guān)規(guī)定的個(gè)人信息處理行為均將在不同程度上對個(gè)人信息自決權(quán)產(chǎn)生侵犯。如此，則將導(dǎo)致侵犯公民個(gè)人信息罪的刑法適用范圍得到任意擴(kuò)張。同時(shí)，個(gè)人信息自決權(quán)畢竟不屬于傳統(tǒng)的刑法法益，很難想象相關(guān)行為僅僅侵犯了公民的個(gè)人信息自決權(quán)就要受到刑事處罰。因此，應(yīng)對個(gè)人信息自決權(quán)的法益觀進(jìn)行相應(yīng)的限制，根據(jù)刑法設(shè)立侵犯公民個(gè)人信息罪的規(guī)范保護(hù)目的來限定該罪的適用范圍。刑法的法益和規(guī)范保護(hù)目的均為刑法解釋學(xué)中的重要概念，是影響犯罪認(rèn)定的重要因素。刑法相關(guān)罪名的保護(hù)法益是指值得刑法予以保護(hù)的具體利益，傳統(tǒng)刑法理論上也稱之為相關(guān)犯罪行為所侵害的客體。而相關(guān)罪名的規(guī)范保護(hù)目的是指該罪名設(shè)立的立法目的或目標(biāo)?？梢?，法益和規(guī)范保護(hù)目的不是同一個(gè)概念，法益是規(guī)范保護(hù)目的的對象，相關(guān)罪名保護(hù)法益的確證不能偏離刑法設(shè)立該罪名的目的。對規(guī)范保護(hù)目的的明確有助于理解法益保護(hù)的范圍和必要性。據(jù)此，在侵犯公民個(gè)人信息罪的認(rèn)定上，由于侵犯公民個(gè)人信息罪主要保護(hù)的是個(gè)人權(quán)益而非公共利益，刑法對個(gè)人信息保護(hù)的最終目的還應(yīng)回歸對個(gè)人權(quán)益的保護(hù)上，即保障個(gè)人人格權(quán)或財(cái)產(chǎn)權(quán)等不受侵犯。而個(gè)人信息自決權(quán)只是為了防止個(gè)人人格權(quán)和財(cái)產(chǎn)權(quán)等權(quán)利受到不法侵犯而賦予個(gè)人自主決定個(gè)人信息授權(quán)處理范圍的權(quán)利。若侵犯公民個(gè)人信息的行為失去對個(gè)人人格權(quán)或財(cái)產(chǎn)權(quán)法益侵害的可能性，則即使相關(guān)行為侵犯了公民個(gè)人信息自決權(quán)，也不應(yīng)受到刑法規(guī)制。所以，應(yīng)將該罪的法益界定為與個(gè)人人格、財(cái)產(chǎn)權(quán)緊密關(guān)聯(lián)的個(gè)人信息自決權(quán)。如此，我們既解決了傳統(tǒng)法益觀寬泛而模糊的問題，又可防止個(gè)人信息自決權(quán)法益觀在刑法適用上的肆意擴(kuò)張，使法益理論可以在侵犯公民個(gè)人信息罪的刑法適用中充分發(fā)揮其應(yīng)有價(jià)值。由此，當(dāng)個(gè)人信息處理者在獲得個(gè)人信息授權(quán)后更改個(gè)人信息使用目的、范圍、方式而不至于對個(gè)人人格權(quán)、財(cái)產(chǎn)權(quán)產(chǎn)生侵害時(shí)，相關(guān)行為不構(gòu)成侵犯公民個(gè)人信息罪。

四、侵犯公民個(gè)人信息罪中“情節(jié)嚴(yán)重”標(biāo)準(zhǔn)的再明確

相關(guān)行為構(gòu)成侵犯公民個(gè)人信息罪不僅需要符合該罪的行為要件，還需達(dá)到“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。而在《個(gè)人信息解釋》中，有關(guān)“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)規(guī)定存在諸多不合理之處，我們有必要對《個(gè)人信息解釋》中“情節(jié)嚴(yán)重”的有關(guān)規(guī)定進(jìn)行完善。

(一)刑法對個(gè)人信息的分類標(biāo)準(zhǔn)應(yīng)參照《個(gè)人信息保護(hù)法》的規(guī)定

《個(gè)人信息解釋》第5條明確規(guī)定了非法獲取、出售或者提供公民個(gè)人信息“情節(jié)嚴(yán)重”的相關(guān)情形。據(jù)此規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息50條以上的，非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息500條以上的，非法獲取、出售或者提供上述信息以外的公民個(gè)人信息5000條以上的，屬于侵犯公民個(gè)人信息“情節(jié)嚴(yán)重”的行為，相關(guān)行為可構(gòu)成侵犯公民個(gè)人信息罪。

誠然，《個(gè)人信息解釋》對個(gè)人信息進(jìn)行分類的初衷是為了對個(gè)人信息進(jìn)行分級區(qū)分，并突出對重要個(gè)人信息進(jìn)行刑法保護(hù)，這一初衷無疑是值得肯定的。根據(jù)《個(gè)人信息解釋》第5條的規(guī)定，司法解釋主要根據(jù)個(gè)人生活中的不同場景和領(lǐng)域中對個(gè)人信息進(jìn)行分類，將個(gè)人信息分為行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息、住宿信息、通信記錄、健康生理信息、交易信息等不同信息，但這種歸類思路并不合理。由于個(gè)人信息權(quán)利屬性具有多樣性，實(shí)際上同一個(gè)人信息完全可以在多個(gè)不同場景和領(lǐng)域中得到使用，我們無法通過對個(gè)人生活場景和領(lǐng)域的劃分來界分不同類型的個(gè)人信息。以附帶行程軌跡說明的健康碼為例，我們既可以將其歸屬于行蹤軌跡信息，又可以將其歸屬于健康生理信息。而根據(jù)《個(gè)人信息解釋》規(guī)定，非法獲取50條以上行蹤軌跡信息即構(gòu)成侵犯公民個(gè)人信息罪，而非法獲取500條以上健康生理信息才構(gòu)成該罪。據(jù)此分析，《個(gè)人信息解釋》對個(gè)人信息的分類必然導(dǎo)致不同類型的個(gè)人信息范圍產(chǎn)生重疊，并產(chǎn)生對侵犯公民個(gè)人信息“情節(jié)嚴(yán)重”認(rèn)定或辨別上的困惑。有學(xué)者進(jìn)而提出，應(yīng)將個(gè)人信息按照其私密性高低，分為隱私領(lǐng)域、中間層的私人領(lǐng)域和最外層的社會(huì)領(lǐng)域。未經(jīng)個(gè)人同意，獲取或者提供最外層領(lǐng)域公開信息的行為不成立犯罪(21)參見歐陽本祺《侵犯公民個(gè)人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，《比較法研究》2021年第3期。。但上述觀點(diǎn)依然無法解決何種個(gè)人信息應(yīng)明確歸屬于隱私領(lǐng)域、私人領(lǐng)域或社會(huì)領(lǐng)域的問題。依筆者之見，刑法對個(gè)人信息的分類保護(hù)應(yīng)擺脫對個(gè)人信息所涉及場景和領(lǐng)域的單方面依靠，而應(yīng)參考《個(gè)人信息保護(hù)法》的有關(guān)規(guī)定，重視個(gè)人信息對公民人身及財(cái)產(chǎn)相關(guān)權(quán)益的影響力大小，并考慮行為人主觀上實(shí)施侵犯公民個(gè)人信息行為的動(dòng)機(jī)(或者目的)，綜合考量侵犯公民個(gè)人信息行為是否達(dá)到“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。

其一，有關(guān)個(gè)人信息對公民個(gè)人利益影響程度的考察可以參照《個(gè)人信息保護(hù)法》對個(gè)人信息的分類標(biāo)準(zhǔn)。如前所述，《個(gè)人信息保護(hù)法》第28條對個(gè)人信息進(jìn)行了分類，即將個(gè)人信息分為敏感個(gè)人信息與一般個(gè)人信息。該條規(guī)定敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。只有在具有特定目的和充分必要性并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息?？梢?，《個(gè)人信息保護(hù)法》將個(gè)人信息的保護(hù)層級與侵犯公民個(gè)人信息行為對公民人身、財(cái)產(chǎn)的侵害可能性相聯(lián)系，而這種分類方式也完全契合刑法對個(gè)人信息的保護(hù)要義。因?yàn)樾谭ㄔO(shè)立侵犯公民個(gè)人信息罪旨在規(guī)制侵害公民個(gè)人法益的行為，當(dāng)對特定個(gè)人信息的侵犯將更容易導(dǎo)致對公民個(gè)人權(quán)益的侵犯時(shí)，該類個(gè)人信息便值得刑法予以重點(diǎn)保護(hù)。據(jù)此，我們應(yīng)該糾正《個(gè)人信息解釋》對個(gè)人信息的分類思路，參考并最大限度地吸收《個(gè)人信息保護(hù)法》對個(gè)人信息的分類方式，將個(gè)人信息明確區(qū)分為敏感個(gè)人信息和一般個(gè)人信息兩類。

其二，應(yīng)結(jié)合行為人的動(dòng)機(jī)綜合判斷侵犯公民個(gè)人信息行為的社會(huì)危害性程度高低。行為人的動(dòng)機(jī)雖然不是侵犯公民個(gè)人信息罪犯罪構(gòu)成要件的考量因素，但卻可以成為侵犯公民個(gè)人信息行為法益侵害性高低的考量因素?！秱€(gè)人信息解釋》第6條也采用了類似的立場，該條規(guī)定，為合法經(jīng)營活動(dòng)而非法購買、收受本解釋第5條第1款第3、4項(xiàng)規(guī)定以外的公民個(gè)人信息，即使非法獲取個(gè)人信息條數(shù)超過5000條以上的，只要獲利未超過5萬元，且未曾因侵犯公民個(gè)人信息受過刑事處罰或者2年內(nèi)未受過行政處罰，相關(guān)行為不構(gòu)成犯罪?？梢?，同樣是非法獲取其他個(gè)人信息的行為，為合法經(jīng)營活動(dòng)而非法獲取個(gè)人信息行為的入罪門檻便相對高于以違法犯罪為目的的非法獲取行為。然而，《個(gè)人信息解釋》僅在侵犯公民其他個(gè)人信息的情形下考慮了行為人動(dòng)機(jī)對犯罪行為“情節(jié)嚴(yán)重”認(rèn)定的影響，卻并未將其進(jìn)一步拓展。依筆者之見，當(dāng)行為人以合法經(jīng)營為目的而實(shí)施非法獲取個(gè)人敏感信息行為的，其行為入罪的標(biāo)準(zhǔn)理應(yīng)高于以違法犯罪為目的而實(shí)施非法獲取個(gè)人敏感信息行為的入罪標(biāo)準(zhǔn)。

值得關(guān)注的是，《個(gè)人信息保護(hù)法》進(jìn)一步加強(qiáng)了對未成年人個(gè)人信息的保護(hù)。該法第28條將未成年人個(gè)人信息納入敏感個(gè)人信息的范疇，據(jù)此，刑法也理應(yīng)降低侵犯未成年人個(gè)人信息行為的構(gòu)罪標(biāo)準(zhǔn)。但是，刑法的目的始終在于規(guī)制具有嚴(yán)重社會(huì)危害性的行為，我們不能盲目將所有未成年人個(gè)人信息都按照敏感個(gè)人信息進(jìn)行同等保護(hù)，而應(yīng)具體結(jié)合未成年人個(gè)人信息與未成年人人格尊嚴(yán)、人身和財(cái)產(chǎn)權(quán)利的聯(lián)系程度加以綜合考量。未來全面修改侵犯公民個(gè)人信息罪司法解釋時(shí)，可以根據(jù)不同未成年人個(gè)人信息的類型，再專門細(xì)化侵犯公民個(gè)人信息罪中關(guān)涉未成年人個(gè)人信息的條款(22)參見張旭、朱笑延《“全民觸網(wǎng)”時(shí)代兒童個(gè)人信息安全的保護(hù)路徑》，《青少年犯罪問題》2020年第1期。。

(二)刑法有關(guān)侵犯公民個(gè)人信息再犯構(gòu)罪標(biāo)準(zhǔn)應(yīng)作調(diào)整

《個(gè)人信息解釋》對侵犯公民個(gè)人信息再犯行為的認(rèn)定存在過于嚴(yán)苛的問題。該司法解釋第5條第9項(xiàng)規(guī)定，曾因侵犯公民個(gè)人信息受過刑事處罰或者2年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個(gè)人信息的，屬于侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的情形，相關(guān)行為構(gòu)成侵犯公民個(gè)人信息罪。筆者認(rèn)為，該規(guī)定可能導(dǎo)致刑法適用的不當(dāng)擴(kuò)張。根據(jù)這一規(guī)定，個(gè)人信息處理者將很可能因?yàn)檫B續(xù)兩次行政違法行為而構(gòu)成犯罪。這一規(guī)定內(nèi)容顯然對專業(yè)從事個(gè)人信息處理的科技公司是極為不利的。由于行政違法的判斷不受犯罪主觀目的以及法益侵害有無的限制，在個(gè)人信息的日常流動(dòng)過程中，難免發(fā)生數(shù)量較多的侵犯公民個(gè)人信息行政違法行為。如果規(guī)定兩年內(nèi)兩次實(shí)施侵犯公民個(gè)人信息違法行為便可構(gòu)成侵犯公民個(gè)人信息罪，不僅會(huì)導(dǎo)致犯罪數(shù)量的激增，而且會(huì)導(dǎo)致侵犯公民個(gè)人信息犯罪行為和違法行為將無法從本質(zhì)上進(jìn)行區(qū)分的結(jié)果。行為人是否構(gòu)成侵犯公民個(gè)人信息罪取決于違法行為的數(shù)量和頻率，甚至直接取決于行政執(zhí)法單位的執(zhí)法頻率和積極性?？梢?，該規(guī)定顯然有違罪刑均衡之刑法基本原則。筆者認(rèn)為，應(yīng)當(dāng)對此規(guī)定予以修正，而修正思路完全可以參照最高法、最高檢《關(guān)于辦理盜竊刑事案件適用法律若干問題的解釋》中第2條對盜竊再犯情形中構(gòu)罪標(biāo)準(zhǔn)認(rèn)定的相關(guān)思路。該條規(guī)定，盜竊公私財(cái)物，曾因盜竊受過刑事處罰的或1年內(nèi)曾因盜竊受過行政處罰的，“數(shù)額較大”的標(biāo)準(zhǔn)可以按照前條規(guī)定標(biāo)準(zhǔn)的50%確定。該規(guī)定既降低了盜竊再犯情形構(gòu)成犯罪的標(biāo)準(zhǔn)，也有效區(qū)分了刑事犯罪和行政違法的邊界。同樣，按照這一思路，當(dāng)行為人具有侵犯公民個(gè)人信息違法犯罪前科的，其再犯行為的構(gòu)罪標(biāo)準(zhǔn)雖然應(yīng)低于一般侵犯公民個(gè)人信息罪的構(gòu)罪標(biāo)準(zhǔn)，但也應(yīng)同時(shí)達(dá)到侵犯相關(guān)個(gè)人信息的一定數(shù)量標(biāo)準(zhǔn)。因此，可以將《個(gè)人信息解釋》第5條第9項(xiàng)規(guī)定修改為：“曾因侵犯公民個(gè)人信息受過刑事處罰或者2年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個(gè)人信息的，‘情節(jié)嚴(yán)重’的標(biāo)準(zhǔn)可以按照前述規(guī)定標(biāo)準(zhǔn)的50%確定?！?/p>