侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界*

于 沖

（中國政法大學，北京102249）

伴隨著信息時代、大數據時代的逐步發展，“公民個人信息”在我國的刑法保護從無到有，同時，對其刑法保護從特殊保護走到了一般保護，并且“公民個人信息”的概念不斷被立法、司法賦予更豐富的內涵和更大的外延。從我國刑法和司法解釋關于“公民個人信息”概念以及與其相關罪名設計的“擴張”歷程來看，盡管“公民個人信息”的法律內涵不斷被豐富，保護范圍不斷被擴大，但更多地是附屬于相關法益進行“連帶”的保護。正是基于此，“公民個人信息”的概念和法益屬性始終以一種模糊狀態置身于法律和司法解釋中，極大地阻礙了“公民個人信息”的刑法保護。當然，同樣的問題亦存在于我國民事立法與相關研究之中，盡管我國《民法總則》確立了個人信息保護的基本原則，但是對于個人信息的權利屬性亦沒有明確的界定。因此，無論是在民法領域，還是在刑法領域，目前面臨的一個普遍問題就在于，基于何種屬性、在何種范圍內保護“公民個人信息”。

筆者擬以“公民個人信息”的法益屬性為中心，通過對法律、司法解釋中關于“公民個人信息”的概念界定探究其法益屬性，為確定侵犯公民個人信息罪的“評價半徑”提供法益根據。

一、“公民個人信息”保護的刑法定位與規則設計

當前大數據時代背景下，“公民個人信息”被規模空前地搬上歷史舞臺，進入公眾工作和生活的各個領域，“公民個人信息”的刑法保護面臨著嚴峻挑戰。有鑒于此，我國的刑事立法、刑事司法工作者以及刑法學界不斷探討“公民個人信息”的刑法保護路徑，通過修改刑法、更新司法解釋擴張“公民個人信息”的保護范圍。然而，傳統刑法保護模式受制于公民個人信息權利定位的影響，并沒有賦予“公民個人信息”以獨立的法益地位，而是將其附屬于其他法益進行“附屬化”的刑法保護，導致刑法隨著情況的變遷不得不對“公民個人信息”內涵外延進行不斷的“救火式”修補，極大地影響了“公民個人信息”的刑法保護。

（一）“公民個人信息”保護的刑法地位：“附屬化”保護模式

“公民個人信息”在信息時代以前并不是刑法所重點關注的對象，而是作為依附于國家法益、社會法益以及公司商業秘密的“附屬性信息”得到保護。①我國刑法早期保護的“個人信息”更多地屬于超個人法益的信息，如關于故意泄露國家秘密罪、非法獲取國家秘密罪、泄露內幕信息罪、侵犯商業秘密罪的規定通過保護符合超個人法益的信息進行個人信息的保護。從我國刑法關于“公民個人信息”保護的立法、司法思路來看，無不體現著刑法對其他相關犯罪的預防性、前置性立法思維，而非單純對“公民個人信息”的保護。

1.附屬于金融管理秩序：竊取、收買、非法提供信用卡信息罪

2005年《刑法修正案（五）》增設刑法第177條之一第2款竊取、收買、非法提供信用卡信息罪，率先對公民個人信用卡信息資料進行保護，對于竊取、收買或者非法提供他人信用卡信息資料的行為單獨實現了入罪化。從形式上看，這似乎屬于“公民個人信息”明確進入刑法視野的最早的法條。然而，從實質上亦不難發現，該罪名位于破壞金融管理秩序罪之中，其立法旨趣同妨害信用卡管理罪一樣，均立足于對金融管理秩序的防護，只不過“順帶”實現了個人信用卡信息的保護。

2.附屬于公務、公共職能的合規性：《刑法修正案（七）》特殊領域的個人信息保護

2009年《刑法修正案（七）》增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，②根據2009年《刑法修正案（七）》的規定，侵犯公民個人信息是指，國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的行為。在我國民法、行政法做出相關規定之前，首先明確了對“公民個人信息”的刑法保護，形成了“公民個人信息”保護“刑先民后”的尷尬現狀。③“刑先民后”的狀況與其說是說明了刑法“走得太快”，不如說是說明了民法保護模式已嚴重滯后于信息時代的實際需求，使刑法只能在“配合”民法關于個人信息權利屬性定位的情況下審慎入刑，造成大量具有嚴重危害性的侵害公民個人信息行為無法得到有效制裁。因此，盡管刑法在信息時代“公民個人信息”面臨“四面危機”而民法、行政法對此普遍反應遲鈍的情況下被迫讓一些行為入刑，但受制于前置法權利屬性的定位空白，《刑法修正案（七）》對于侵犯個人信息犯罪的打擊仍然是有限的、謹慎的，將侵犯個人信息犯罪的主體限制于“國家機關或者金融、電信、交通、教育、醫療等單位工作人員”。這種立法的審慎也表明了此時“公民個人信息”的保護仍然依附于對前述部門職責和公共服務合規性的評價。

3.附屬于社會管理秩序：非法獲取計算機信息系統數據罪

2011年最高人民法院、最高人民檢察院聯合發布的《關于辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》（以下簡稱：《信息系統安全解釋》）第1條立足于非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪，將公民個人身份認證信息納入刑法的保護半徑，并將其區分為金融身份認證信息、一般身份認證信息進行分級、分類保護，即差異化地將獲取支付結算、證券交易、期貨交易等網絡金融服務的身份認證信息十組以上，獲取其他身份認證信息五百組以上，分別作為構成犯罪的入罪情節。基于同樣的解釋思路，《信息系統安全解釋》在看似將公民個人“身份認證信息”納入刑法保護的同時，實質卻是在進行對公共秩序、社會管理秩序的保護，被納入刑法保護范圍內的“身份認證信息”也只是影響到計算機信息系統安全的信息。

4.附屬于人身、財產法益：《刑法修正案（九）》看似獨立化的保護

2015年，《刑法修正案（九）》在《刑法修正案（七）》條文的基礎上，進一步明確了對“公民個人信息”的一般化保護，將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪合二為一，修正為侵犯公民個人信息罪，并全面擴張了公民個人信息的刑法保護范圍。至此，我國刑法雖似乎已經賦予了“公民個人信息”獨立的法益屬性和刑法地位，但實則仍有爭議。目前，理論界和實務界考慮到個人信息權利屬性的不清晰，普遍認為“公民個人信息”應當附屬于公民人身、財產安全，甚至有人提出此處保護的只是“公共信息安全”。④參見王肅之：《被害人教義學核心原則的發展》，《政治與法律》2017年第10期。筆者認為，在目前我國刑法已經將“公民個人信息”明確作為保護對象的情況下，賦予“公民個人信息”以獨立的刑法地位有著立法層面的支撐，也有著社會的實際需求，當下需要做的就是明確“公民個人信息”的權利地位。

（二）“公民個人信息”的刑法保護范圍：個人信息的概念擴張

整體上看，當前我國刑法對于“公民個人信息”已經實現了較大范圍的完整保護，并且通過不斷擴張“公民個人信息”的法律概念的內涵來擴大刑法的保護范圍，從個人信用卡信息資料、身份認證信息到現在“公民個人信息”的一體化保護，既體現了我國立法、司法的不斷努力，也體現了立法、司法乃至理論界對于“公民個人信息”概念的認識擴張。

1.“公民個人信息”概念的雛形：計算機信息系統領域的“計算機數據”

我國刑事司法工作者長期以來并沒有對“公民個人信息”的概念進行過明確的界定，而是將其依附于其他法益進行“公民個人信息”的保護。然而，值得注意的是，隨著信息網絡安全的重要性凸顯，與信息網絡安全相關的個人信息首次出現在規范性文件之中。2011年《信息系統安全解釋》第11條將身份認證信息規定為：“用于確認用戶在計算機信息系統上操作權限的數據，包括賬號、口令、密碼、數字證書等。”相似地，2013年2月1日起實施的我國首個個人信息保護標準——《信息安全技術公共及商用服務信息系統個人信息保護指南》（以下簡稱：《指南》）第3.2條規定：“個人信息（personal information）是指可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。”客觀地講，雖然前述概念的界定大多受制于規范本身的局限性，并未能給個人信息以一般性的界定，但其確實將部分個人信息以計算機數據的形式納入了刑法的保護范圍。

2.“公民個人信息”概念的首次明確：具有身份“（直接）可識別性”或者“隱私性”

2012年全國人大常委會通過的《關于加強網絡信息保護的決定》（以下簡稱：《決定》），作為我國關于網絡信息保護的第一部專門性立法，對于個人信息做出了原則性的規定。其第1條規定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。”在此基礎上，2013年最高人民法院、最高人民檢察院、公安部聯合發布的《關于依法懲處侵害公民個人信息犯罪活動的通知》（以下簡稱：《通知》）進一步明確，公民個人信息包括“公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料”。

從前述兩種表述不難看出，《決定》和《通知》將個人信息主要劃分為兩類：一是能夠識別公民個人身份的信息；二是涉及公民個人隱私的信息。換言之，刑法所保護的公民個人信息具有兩種司法屬性，即身份的（狹義的、直接的）可識別性或者個人隱私性。

3.“公民個人信息”概念的外延擴張：“可識別性”的標準統一

2016年全國人大常委會通過的我國《網絡安全法》第76條第5項規定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”由此可以看出，我國《網絡安全法》將“可識別性”作為個人信息的唯一法律標準，包括了“能夠單獨識別”或者“與其他信息結合識別”。例如，生物識別信息與個人聯系非常緊密，它利用確定的獨特的個人特性進行身份識別或者授權。⑤Article29 Data ProtectionWorking Party，Opinion 3／2012 on Developments in Biometric Technologies，WP193，available athttp：／／ec.europa.eu／justice／data－protection／article－29／documentation／opinion－recommendation／files／2012／wp193＿en.pdf，last accessed 2017.10.29.域外也有相似的做法，如德國《聯邦數據保護法》第3條規定，個人數據指關于個人或已識別、能識別的個人（數據主體）的客觀情況的信息。⑥§3Weitere Begriffsbestimmungen，Bundesdatenschutzgesetz（BDSG），2002，

不難發現，前述變化同《通知》相比，將個人隱私刪除，代之以“與其他信息結合識別”，體現了立法機關對于個人隱私和個人信息關系的認識態度。個人信息更多強調“可識別性”用途，屬于“結果性特征”；個人隱私強調權利性質，屬于“形式化特征”。個人隱私與個人信息有交叉也有重合，個人隱私包括個人隱私信息、個人隱私活動、個人隱私空間等內容，個人隱私信息可能屬于個人信息，而其他隱私內容可能不屬于個人信息的范疇。因此，我國《網絡安全法》統一個人信息認定的標準，不再將個人隱私特征單獨加以規定，達到了“立標”“立范”的效果。

4.“公民個人信息”概念的精準歸納：個人信息的分級、分類厘定和繼續擴張

2017年6月1日起施行的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱：《解釋》）第1條關于個人信息的概念的規定基本沿用了我國《網絡安全法》的規定，僅在概括列舉時增加了財產狀況、行蹤軌跡等內容。《解釋》第5條根據個人信息分級、分類保護的原則將個人信息劃分為三類：其一，行蹤軌跡信息、通信內容、征信信息、財產信息；其二，住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息；其三，其他公民個人信息。⑦《 指南》對個人敏感信息和個人一般信息進行分類保護，其第3.7條規定，個人敏感信息（personal sensitive information）是指一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。

從以上規定來看，《解釋》極大地擴大了刑法所保護的公民個人信息的范圍，但卻存在著從“公民個人信息”向“公民的個人信息”保護轉化的情形，⑧參見于志剛：《“公民個人信息”的權利屬性與刑法保護思路》，《浙江社會科學》2017年第10期。這種轉化已經明顯突破了我國《網絡安全法》關于個人信息“可識別性”特征的范圍。例如，賬號密碼信息、財產狀況信息、行蹤軌跡信息等本身并不具有身份的可識別性，而且真實的犯罪人獲取前述信息也并非為了去識別個人身份，而是針對其背后的財產利益或者人身權益。因此，從這個層面上看，《解釋》在堅持“公民個人信息”之“可識別性”標準的同時，最大限度地對“公民個人信息”進行了保護，將“公民個人信息”外延擴大到具有身份可識別性的個人信息、可能影響人身和財產安全的“公民個人信息”以及其他個人信息。

（三）“公民個人信息”獨有法律地位的明確：與個人隱私、個人數據、個人情報的關系厘清

關于個人隱私（privacy act）、個人信息（personal information）、個人數據（personal data）、個人情報（日本的譯法）的關系，⑨歐盟國家的有關規定普遍使用個人數據一詞，如EU general data protection，Bundesdatenschutzgesetz（BDSG）；英美法系國家普遍使用個人隱私一詞，如Privacy Act；我國香港地區一般使用個人資料，如我國香港地區《個人資料（私隱）條例》。在理論界以及國內外立法上，均呈現出一定的混亂性，尤其學界在使用前述概念時亦呈現出隨意性和混亂性。客觀地講，前述概念在不同的語境下并無實質的概念差異，不同國家和地區根據本地的用語習慣進行表述本無可厚非，但是我國的理論和實務工作者在確定個人信息罪的法益屬性時和司法操作、理論研究中，應當對此有所明確。

首先，個人信息和個人隱私的關系。我國《網絡安全法》等法律文件已經基本明確了二者的各自邊界：個人隱私信息屬于個人信息的一部分，而個人空間隱私、個人活動隱私超出個人信息范圍之外，除非可能影響到他人人身、財產安全。因此，不少國家在立法上將二者分別予以不同的保護，如加拿大分別制定了《隱私權法》（Privacy Act）和《個人信息保護與電子文件法》（Personal Information Protection and Electronic Documents Act）。

其次，個人信息和個人數據的關系。目前很多國家已經在法律中對于個人信息和個人數據的概念進行了劃分，例如，《日本個人情報保護法》明確個人情報（即個人信息）是指自然人姓名、出生年月等可以識別其特定個人身份的內容，包括可以借助其他信息比照簡單識別出特定個人的信息；⑩個 人情報の保護に関する法律（平成15年法律第57號）第2條，この法律において「個人情報」とは、生存する個人に関する情報であって、次の各號のいずれかに該當するものをいう。個人數據是指將個人信息進行數據庫化之后，可以通過計算機檢索等方式獲取的構成個人數據庫的個人信息。①個 人情報の保護に関する法律（平成15年法律第57號）第2條第4款，この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの（利用方法からみて個人の権利利益を害するおそれが少ないものとして政令で定めるものを除く。）をいう。此外，對于二者的關系，也有學者明確指出，個人信息可以被定義為對受眾而言具有一定含義的消息，相比個人數據具有更多的可控制性。誠如信息法是服務于人類的一種法律，信息法所強調的是信息對個人的重要性，而不是數據本身的文法（syntax of data）。②Karl Steinbuch，Gewerblicher Rechtsschutz und Urheberrecht，579－581（1987）.

因此，個人隱私、個人信息、個人數據三者之間更多的是一種交叉重合的關系，三者共同重合于個人信息的部分均可以納入侵犯公民個人信息罪的保護范圍。尤其在大數據時代背景下，數據的大交易、大流通、大共享將越來越具有普遍性，明確數據的可交易邊界，恐怕更多地是將屬于個人隱私、個人信息的數據部分剝離于數據范疇之外。因此，個人信息邊界的確定，同樣也是對個人隱私的保護（尤其是確立大數據交易合法邊界）的重要根據和標準。例如，大數據交易的前提在于數據的脫敏化和碎片化，大數據交易過程中，如果將碎片化的信息轉化、拼湊為具有身份“可識別性”公民個人信息，則涉嫌構成了侵犯公民個人信息罪。

二、“公民個人信息”的法益屬性與權利邊界

“公民個人信息”的規范性內涵，經歷了不斷擴張的過程，而且可以預見，伴隨信息時代的發展和新型權益的增加，在無法明確“公民個人信息”法益屬性的情況下，這種擴張和“修補”將繼續進行。不可否認，刑法擴張“公民個人信息”保護范圍，是對于信息時代侵犯公民個人信息犯罪的積極回應，但沒有框架限制和原則指導的擴張亦存在違背罪刑法定原則之嫌。因此，明確侵犯公民個人信息罪的法益，厘清“公民個人信息”的刑法邊界，對于“公民個人信息”的刑法保護有重要的指導意義。

（一）學界關于“公民個人信息”法益屬性的理論爭論

關于“公民個人信息”的法益屬性，學界目前存在著隱私權說、個人生活安寧說、公共信息安全說和信息權說（財產權、占有權說）等學說，基于不同的定位，對于個人信息的范圍認定亦存在著較大的差異，這對于侵犯公民個人信息罪的打擊半徑和評價范圍具有直接影響。因此，有必要對于侵犯公民個人信息罪所保護的法益進行明確界定，進而明確公民個人信息的法益屬性。

隱私權說普遍認為，侵犯公民個人信息罪保護的是個人信息所體現的公民隱私權，③王昭武、肖凱：《侵犯公民個人信息犯罪認定中的若干問題》，《法學》2009年第12期。只有屬于個人隱私部分的個人信息才是刑法保護的對象。④蔡軍：《侵犯個人信息犯罪立法的理性分析——兼論對該罪立法的反思與展望》，《現代法學》2010年第4期。此觀點明顯縮小了侵犯公民個人信息罪所保護的法益范圍，也極大地限縮了刑法對嚴重侵犯公民個人信息犯罪的打擊力度，不利于保護公民個人信息。

個人生活安寧說將個人信息事實上不被非法獲悉的平穩狀態和個人支配下的個人信息不被非法獲悉的安寧狀態，作為侵犯公民個人信息罪的保護法益。其代表性觀點認為：“刑法視野中的公民個人信息判斷應以‘私人生活安寧’為標準，即任何與公民個人相關的信息，一旦泄露，可能威脅到私人生活安寧的，都是公民個人信息。”⑤胡勝：《侵犯公民個人信息罪的犯罪對象》，《人民司法》2015年第7期。

財產權說、占有權說一般認為個人信息作為一種具有財產屬性的特殊存在，是一種對個人信息中財產權益的占有權，強調對于個人信息的本身占有。尤其在大數據背景下，應當允許個人信息進行交易，進而以保護財產權的方式對其進行保護。此學說的代表性觀點將個人信息的法益解讀為公民個人對其享有的占有、使用、收益、處分的權利。⑥參見湯擎：《試論個人數據與相關的法律關系》，《華東政法學院學報》2005年第5期。此種觀點更多地是在我國刑法規定侵犯公民個人信息罪之前提出的，不符合我國刑法關于侵犯公民個人信息罪的立法性質定位，更多地是以個人信息的部分財產屬性來彰顯個人信息全部內涵，頗有以偏概全、邏輯混亂之嫌。

公共信息安全說普遍認為只有侵犯公民個人信息的數量達到一定程度，才能進入該罪的打擊半徑之內，對于侵害某一單個個人信息的行為，如果借此實施了其他犯罪，完全可以以其他犯罪的預備行為進行定罪處罰。其代表性觀點認為，侵犯公民個人信息犯罪的法益，應當限于“公共信息安全”，該罪成立的關鍵在于對公共信息安全法益造成了侵害，并建議將該罪名改為“侵犯公共信息安全罪”。⑦參見前注④，王肅之文。

前述各種觀點受制于時代或者認識的局限，對于侵犯公民個人信息罪保護的法益和公民個人信息的屬性產生了誤讀，也代表了當前理論界的多樣化認識。隱私權說和個人生活安寧說對于公民個人信息的人身屬性進行了較為切實的解讀，但評價范圍過窄，僅看到了個人信息的人身屬性，忽略了其人身附加屬性和財產屬性。財產權、占有權說是大數據時代一種流行的觀點，但忽略了其人身本質屬性。公共信息安全說更是違背了個人信息的人身屬性，我國刑法將侵犯公民個人信息規定為犯罪，并將其置于侵犯公民人身權利犯罪之下，其所保護的法益絕非公共秩序或者社會利益。因此，前述觀點盡管都對“公民個人信息”屬性進行了較為精準的揭示，但受制于現有理論知識框架，均無法全面完整地將“公民個人信息”屬性予以呈現，反映出無法回避的局限性。

此外，值得注意的是，美國法上的隱私概念經歷了從保護個人私生活安寧和私生活秘密，到擴張解釋“隱私”為其他個人數據的一個歷程，逐步突出傳統“隱私”的保護范圍，不斷完善，形成了關于“信息隱私權”的概念。⑧趙宏：《從信息公開到信息保護：公法上信息權保護研究的風向流轉與核心問題》，《比較法研究》2017年第2期。當前，個人隱私法已經不再限于隱私的保護，⑨Danielle Keats Citron，“ReservoirsofDanger：The Evolution of Public and Private Law at the Dawn of the Information Age”（2007）.Faculty Scholarship.125.而是涵蓋了隱私以外的其他個人信息權利。從美國法上隱私一詞的內涵演變來看，“公民個人信息”的保護程度受到重視，賦予了隱私權不斷豐富的內涵，擴大了其范圍。我國同樣沒有必要將“公民個人信息”保護束縛在隱私權這一相對狹隘領域。

（二）刑法評價的新路徑：“公民個人信息”的權利屬性明確

筆者認為，“公民個人信息”兼具人身特性、經濟屬性和社會屬性，“公民個人信息”的多重屬性，使侵犯公民個人信息犯罪具有了多樣性動機，進而侵犯公民個人信息的犯罪鏈條化、犯罪群特征日益明顯。由此，“公民個人信息”因其特有的屬性，尤其在信息時代背景下呈現出的十分明顯的權利特性，有必要被法律予以特別明確和特別保護。

1.新的權利類型提出：公民個人信息權的獨立化保護趨勢

“公民個人信息”具有復雜權利屬性，單純將其作為隱私權，或者作為財產權加以保護，都存在權利屬性的不周延性：一方面，如果過度強調個人信息的財產屬性，將會產生侵犯個人信息犯罪被強制割裂為財產性犯罪和人身性犯罪的雙重罪名，忽略財產屬性依附于身份屬性的基本關系；⑩關 于大數據的財產化保護則另當別論，數據財產權不同于個人信息的財產屬性。參見于志剛：《大數據時代計算機數據的財產化與刑法保護》，《青海社會科學》2013年第3期。另一方面，個人信息也不同于一般的人格權或者人身性權益，在人格權之外確實承載著巨大的財產性利益。誠如德國數學家諾伯特·維納（NorbertWiener）所強調的：“信息就是信息，它既不是物質，也不是能量。”①Karl Steinbuch，Gewerblicher Rechtsschutz und Urheberrecht，579－581（1987）.因此，鑒于個人信息所具有的人格、財產雙重屬性，迫切需要當前法律體系和理論體系給予精準而全面的評價和保護。在此背景下，無論是私權研究領域，還是刑法研究領域，均出現了個人信息權的概念。例如，民法學者開始探索對個人信息的新保護模式，即個人信息權；②筆 者更傾向于把個人信息權稱為一種群屬性權利，其包括了隱私權、財產權以及附屬于其他人身財產利益的權利內容。參見王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》2013年第4期。刑法學者認為，侵犯公民個人信息罪的實質在于對公民信息權的保護，該罪的法益是公民的信息權益。③付強：《非法獲取公民個人信息罪的認定》，《國家檢察官學院學報》2014年第2期。還有學者根據內容的不同，將個人信息保護進一步細分為位置數據保護、標識符匿名保護、連接關系匿名保護等，并主張對不同類型的個人信息數據予以一體化的刑法保護。④Roger Clarke，Surveillance by the Australian Media，and Its Regulation，Surveillance＆Society 12，1（Mar 2014），89－107.

客觀地講，侵犯公民個人信息罪的立法設置和司法解釋模式，兼顧了個人信息的人格屬性和財產屬性，并沒有糾結于單獨將其作為隱私權、人格權還是財產權進行保護，而是泛化地將其多種法律屬性概括性評價。此種評價模式的優勢主要有兩方面：其一，財產權保護思路無法明確相關數據權利，且權屬人仍然存在爭議；其二，隱私權保護過于狹窄，無法實現有效保護。因此，公民個人信息作為一種獨立的新型權利受到刑法保護，既有信息時代、大數據時代的現實需求和時代根據，又有民法學領域的基礎性探討作為基礎，既逢時，又順勢。

2.個人信息權的法律內核：“人身屬性＋財產屬性＋相關法益關聯屬性”

個人信息權所具有的復雜屬性決定了其內容的多元化，從整體上講，根據現有的我國法律和司法解釋，個人信息權中的信息主要包括基于人身屬性的“可識別性”身份信息、基于財產屬性的財產類和賬號類信息、相關法益具有關聯性的其他信息。

（1）一般性標準：身份的“可識別性”內容

通過對我國相關法律和司法解釋的解讀，“可識別性”成為判定某類信息是否有屬于公民個人信息的重要根據⑤可 識別性一般指同特定個人有一定關聯性或專屬性的信息，即通過此類信息可以直接識別出或者同其他相關信息結合而識別出特定的個人。參見葉良芳、應家赟：《非法獲取公民個人信息罪之“公民個人信息”的教義學闡釋》，《浙江社會科學》2016年第4期。，國外法亦將“可識別性”作為判定個人信息屬性的核心要素。例如，《歐盟一般數據保護條例》將“個人數據”（personal data）界定為任何被用以識別或可能識別特定自然人（“數據主體”）的有關信息，該可識別的自然人可以被直接或間接地識別，特別是通過參照諸如姓名、身份證號、位置數據、在線身份識別標識，或者經由有關該自然人物理、生理、遺傳、心理、經濟、文化或社會身份的要素。⑥Article 4，EU general data protection 2016.因此，身份的“可識別性”成為個人信息保護的關鍵，有學者將“可識別性”作為公民個人信息認定的實質標準，指出個人信息應當限于具有可識別性的個人信息，能夠識別公民個體的信息，能夠和具體的公民個體相對應，才可能對公民的生活安寧以及人身、財產權利造成侵害。⑦參見曲新久：《論侵犯公民個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期。相似的觀點亦指出：“出售或提供公民個人信息中‘公民個人信息’的范疇應限縮為可直接識別特定個人身份的公民個人信息。”⑧高富平、王文詳：《出售或提供公民個人信息入罪的邊界》，《政治與法律》2017年第2期。據此觀點，對于停車位置、駕駛路線等生活軌跡信息，由于無法直接識別特定個人身份，不會對侵犯公民個人信息罪所保護的法益造成侵害或者威脅，不具有實質違法性。

（2）附屬性標準：與其他人身、財產法益的關聯性內容

在我國理論界當前普遍強調身份的“可識別性”應當成為公民個人信息保護的唯一標準時，同樣不能否認的是，我國刑法對于公民個人信息的保護，除了對于具有身份“可識別性”信息之外，還有附屬于其他人身、財產法益的個人信息，此類信息無論是基于傳統的刑法立法、解釋思路，還是現實的必要性，都值得刑法保護。對此，《解釋》也給予了確認。誠如筆者所一直強調的，公民個人信息應當成為一種獨立的信息權利益，其自身具有特殊的人身屬性、財產屬性：這種人身屬性既具有自身的身份識別性，具有對權利主體其他人身權益的依附性；同理，其財產屬性既具有自身的財產利益，也具有對權利主體其他財產權益的依附性。

3.值得注意的新問題：“公共信息”的“被遺忘權”與刑法保護

一般認為，公民個人信息的保護僅指未公開的公民信息，對于在公開的和秘密中的個人信息是否應受到保護存在較大爭議。例如，對于他人已公開的信息是否享有隱私權，在美國司法實踐中存在著普遍否定的態度，對于已公開、暴露在社會中的個人信息一般不再受到隱私權保護。這種司法認定模式受到了美國學界的反對，反對者指出個人隱私權的概念使個人信息保護受到了極大的限制，對于個人信息的保護處在要么完全公開、要么完全隱秘的兩個極端狀態。⑨參見張民安主編：《隱私權的比較研究——法國、德國、美國及其它國家的隱私權》，中山大學出版社2013年版，第319－320頁。尤其在我國當前尚未形成犯罪記錄登記查詢制度和前科消滅制度的情況下，犯罪人個人信息，甚至被害人信息曾一度作為“社會公開信息”被公眾無限期、無限制地廣泛傳播和查詢，極大地影響到被害人的生活安寧和犯罪人的社會回歸。因此，從保障人權和促進犯罪人社會回歸的視角，應當允許犯罪信息在經過特定的犯罪記錄查詢期限之后，終止犯罪記錄查詢、消滅前科，同時，應給予犯罪信息這一曾經公開的“社會信息”隱私權保護，以此消滅社會公眾基于犯罪事實對犯罪人形成的“貼標簽效應”和“非規范性評價。”⑩基于曾經犯過罪的事實會產生規范性評價（前科）和非規范性評價（社會公眾自發的“貼標簽”），目前所探索的犯罪記錄封存制度或者前科消滅制度都是對犯罪事實規范性評價的消滅，同時，還應注意對犯罪事實的非規范性評價，即對犯罪事實這一曾經的公開信息予以隱私化保護，將其認定為“公民個人信息”。

三、侵犯“公民個人信息”行為的入罪邊界

《刑法修正案（九）》和《解釋》在廓清“公民個人信息”權利屬性和概念外延的同時，對于侵犯公民個人信息行為進行了分類明確，從“公民個人信息”非法提供源頭到非法獲取和非法使用，可謂是實現了全程化、鏈條化保護。因此，在我國，無論是“公民個人信息”的權利外延，還是“侵犯行為”，現有的刑法框架均實現了積極的擴張。然而，同樣不容忽視地是，在積極保護“公民個人信息”、嚴厲打擊侵犯公民個人信息行為的同時，亦須明確罪名適用的邊界。

（一）前置性要件的實質解讀：“違反國家有關規定”的法律內涵

根據我國《刑法》第253條之一的規定，出售、非法提供公民個人信息行為構成犯罪以“違反國家有關規定”為前提，學界普遍將其稱為侵犯公民個人信息罪的前置性條款，在立法上經歷了“違反國家規定”向“違反國家有關規定”的轉化。因此，明確該要件的實質，對于侵犯公民個人信息罪的認定具有重要意義。

經過梳理可以發現，在我國，關于個人信息保護的規定散見于30余部不同的法律法規、部門規章和司法解釋之中，主要包括個人信息保護的一般立法、涉及個人信息保護的具體行業、個人健康信息、個人快遞信息、未成年人信息等領域的規定。①這 些法律、法規、部門規章主要包括2000年《互聯網信息服務管理辦法》，2000年《個人存款賬戶實名制規定》，2003修訂的我國《居民身份證法》，2003年修訂的我國《商業銀行法》，2006年修訂的我國《未成年人保護法》，2009年我國《郵政法》，2009年我國《侵權責任法》，2012年我國《精神衛生法》，2012年《關于加強網絡信息保護的決定》，2013年修訂的我國《消費者權益保護法》，2013年《征信業管理條例》，2013年《電信與互聯網用戶個人信息保護規定》，2014年《人口健康信息管理辦法（試行）》，2014年《寄遞服務用戶個人信息安全管理規定》，2014年《電信條例》，2017年我國《網絡安全法》，2017年我國《民法總則》等。因此，這30余部“國家有關規定”在形式上成為侵犯公民個人信息構成犯罪的前提，如果狹隘地認為沒有“國家有關規定”就不構成犯罪，則會在行政法規無法及時跟進的情況下造成侵犯公民個人信息罪適用的短板。有鑒于此，有研究者指出，根據公民個人信息本身所具有的“超個人法益屬性”，應當將“違反國家有關規定”“非法”視為“弱意義”的構成要件，不具有犯罪構成認定的實際價值，“未經公民同意”即可視為“非法”。②有 研究者指出，組織出賣人體器官罪、多次盜竊型盜竊罪等罪名，以及對于非法拘禁罪等犯罪中，犯罪對象在多人以上直接作為入罪的條件，均體現了立法和司法上的超個人法益保護方向。參見曲新久：《論侵犯公民個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期。相似的觀點還存在于非法經營罪的認定中：在非法經營罪的四項類型中，“兜底”的第四項中“非法”和“違反國家規定”屬于一種同義關系。③參見馬春曉：《非法經營罪的“口袋化”困境和規范解釋路徑——基于司法實務的分析立場》，《中國刑事法雜志》2013年第6期。

筆者認為，“違反國家規定”和“非法”之間絕非等同關系，“違反國家規定”一定是“非法”的，但是“非法”不一定就是“違反國家規定”的，二者于某種程度上屬于一種“種屬關系”。因此，準確厘清“違反國家有關規定”的實質，尚需要運用歷史解釋的方法對其進行解讀。《刑法修正案（七）》增設的出售、非法獲取公民個人信息罪所保護的“公民個人信息”，僅限于依職務、公共服務獲得的個人信息，其獲取渠道有著法律的授權和明確規定，對于相關的個人信息而言，并非獲取、提供就直接成立犯罪，而是要求“違反國家規定”。不難發現，這一規定的實質更多地是提示違法阻卻事由的作用，④參見張明楷：《刑法學》，法律出版社2016年版，第922頁。是對于侵犯公民個人信息罪違法阻卻事由的反向重申，屬于表面的構成要件要素，其價值在于強調對于具有法令行為、業務行為等阻卻違法性事由的行為不成立犯罪。因此，充分發揮“違反國家有關規定”在侵犯公民個人信息罪認定中的限縮作用的同時，明確其違法阻卻事由的提示性質，將極大地有助于厘清侵犯公民個人信息行為的入罪邊界。

（二）定量性門檻：“情節嚴重”的基本類型

我國傳統刑法視野下，對于大量犯罪設置了定量要素，數額、數量中心主義較為突出。隨著侵犯公民個人信息犯罪的逐漸增多，傳統簡單化的定量標準已經無法滿足犯罪評價的需要，隨之產生了一系列類型化的定量標準。

1.侵犯公民個人信息行為入罪的情節要件

網絡犯罪定量標準往往比傳統犯罪要復雜得多，其犯罪對象的多元化、犯罪目的的復雜性、犯罪結果的不可控性決定了定量標準計算的難度，因此，《解釋》明確了“公民個人信息”的分類、分級保護制度，對于不同安全類型和等級的個人信息，在入罪的門檻設計上進行了差異化的設置。整體上講，“情節嚴重”的類型除了根據不同“公民個人信息”類型設定的不同入罪數量之外，《解釋》進一步將違法所得數額、信息用途、行為人主體身份、犯罪記錄等作為定量標準，基本上涵蓋了影響侵犯公民個人信息的大部分情節因素。同時，《解釋》關于“情節嚴重”的設置，也在很大程度上對于“公民個人信息”的法益屬性和權利邊界進行了回應。例如，針對信息用途的規定，就是鑒于侵犯公民個人信息犯罪逐漸具有了鏈條化、團伙化、多元化特征，侵犯公民個人信息往往只是其他違法犯罪的開始，在非法獲取公民個人信息之后必然流向下游的關聯犯罪，這也在某種程度上決定了侵犯個人信息犯罪的社會危害性特征。因此，關于“公民個人信息”的鏈條化保護逐漸成為法律的重要關注點。例如，德國刑法對于侵犯個人數據犯罪構建了嚴密的罪名體系，實現了犯罪各階段的全鏈條評價。其第202條規定了侵害通信秘密罪，并且，其分別在第202條a、第202條b、第202條c、第202條d規定了探知數據、攔截數據、預備探知和攔截數據，以及數據銷贓，⑤此處數據外延相對較小，僅包括以電子記錄或者其他不能直接提取的方法存儲或傳輸的數據。對于非法獲取被采取安全保護的他人數據，非法攔截使用數據處理系統傳輸的未公開的他人數據，⑥§202b Abfangen von Daten StGB.為前述犯罪創造、提供、銷售、轉讓、傳播或以其他方式提供的任何此類行為為目的計算機程序，⑦§202c Vorbereiten des Aussp?hens und Abfangens von Daten StGB.以及數據銷贓行為。⑧§202d Datenhehlerei StGB.

2.再次重申的問題：“公民個人信息”數量是否需要滿足不特定多數人要求

如前所述，基于對“公民個人信息”權利屬性認識的不同，有觀點將侵犯公民個人信息罪中被侵害的法益解釋為“公共信息安全”，即限于對不特定多數人信息的保護。此類觀點認為，針對單個個人實施的侵害行為人，如果并未實施其他犯罪，未造成實際的法益損害，即使具備情節嚴重的情形，也欠缺刑事處罰的必要性；如果用于犯罪，則可以作為其他下游犯罪的加重情節，也無須單獨處罰獲取單個的、特定的公民個人信息的行為。⑨金園園：《大數據時代個人信息的刑法保護》，《人民檢察》2015年第17期。

筆者認為，上述觀點并不確切。信息時代背景下，公民個人信息在其價值倍增的同時，與人身、財產利益之間的緊密度、關系度不斷的增強，成為關涉個人人身、財產安全的關鍵要素，個人信息不安全就意味著人身、財產不安全。同時，信息時代背景下，網絡犯罪逐漸呈現鏈條化、集群化特征，⑩所謂鏈條化是指，網絡犯罪從預備階段到實行階段再到事后的銷贓階段、犯罪掩飾階段等等，均實現了犯罪分工的明確化，呈現“產業化”態勢。所謂集群化是指，單個的網絡犯罪形態將不再成為主流，而是以必要的共犯化為核心，一個犯罪有可能兼跨刑法分則章的罪名，罪與罪之間的勾連化逐步增強。特征，個人信息泄露成為很多犯罪的前置性犯罪形態，間接推動或者幫助了相關性犯罪的實現和數量的增長。刑法上的有關規定正是基于信息時代，尤其是大數據時代背景下，公民個人信息在人身、財產安全中的重要地位及其在相關性、下游性犯罪中的影響，所進行的前置式、預防式的提前制裁。因此，即使侵犯同一個人的信息到達相應門檻的，亦應構成犯罪，這也是對“公民個人信息權”保護的積極回應，《解釋》第11條第2款關于“向不同單位或者個人分別出售、提供同一公民個人信息的，公民個人信息的條數累計計算”的規定，也認可了此種解釋思路。

四、結 論

綜觀我國刑法關于“公民個人信息”保護的規則體系，從附屬于金融管理秩序、社會管理秩序的“順帶保護”到設立專門罪名進行單獨保護，從強調直接的身份“可識別性”和隱私權屬性到統一身份“可識別性”的標準，我國刑法在不斷實現“公民個人信息”保護罪名體系精密化的同時，不斷賦予“公民個人信息”新的內涵和外延，不斷擴張侵犯公民個人信息罪的打擊半徑。從當前的信息時代和大數據時代需求來看，這無疑是立法和司法的巨大進步。然而，依然需要明確的是，關于“公民個人信息”的保護單靠刑法的大步前進并不能達到理想的保護效果，尚需要民法、行政法的部門法合作，推進“刑民銜接”“刑行銜接”，實現“民先刑后”“刑民并重”的法律合力。①參見前注⑧，于志剛文。事實上，目前我國學界關于公民個人信息的保護思路也在不斷地推進民事與刑事交叉、刑事與行政交叉領域的研究，尤其隨著“個人信息權”不斷得到國內外學界和立法者的承認，②European Convention for the Protection of Human Right and Fundamental Freedoms，Nov.4，1950，213 U.N.T.S.222.我國民法、刑法研究中關于“公民個人信息”的個人信息權化保護的觀點日趨一致。筆者認為，隨著我國《網絡安全法》《民法總則》《刑法修正案（九）》相繼明確搭建了公民個人信息保護的整體框架，在后續的具體操作和理論闡釋中，有必要根據時代的需求，通過部門法的協助，以及通過司法解釋等形式，不斷擴充公民個人信息法律保護的范圍，實現公民個人信息在信息時代、大數據時代的全面保護。