問題三：刑法上侵犯公民個人信息的犯罪行為與普通的民事侵權行為有何區別？

在明確了民事違法為刑事違法劃定了最大的入罪邊界之后，進一步值得討論的問題是：刑法上侵犯公民個人信息的犯罪行為與普通的民事侵權行為有何區別？或者說，個人信息民事侵權行為要滿足哪些條件才可能升級為犯罪？這一問題涉及法秩序原理下民法與刑法的評價層次。為此，需要對侵犯公民個人信息行為進行實質解釋才能準確回答。刑法學者往往通過“法益”工具開展論證。

劉艷紅：只有侵犯個人信息自決權的行為才是侵犯公民個人信息罪中的犯罪行為

基于法益在犯罪論體系的實踐中所發揮的作用是“確定某一行為是否侵害了刑法所保護的法益、是否達到應受刑罰處罰的程度”的前提，劉艷紅教授認為，只有那種侵犯了信息自決權的行為，才是侵犯公民個人信息罪中的犯罪行為，而“信息自決權”恰好是民法典、個人信息保護法確立的個人信息權的核心。那些侵犯了其他個人信息權的行為，屬于一般侵權行為，用民法進行調控即可。劉艷紅教授從刑民一體化的視角展開了詳細的分析：

1.在民法典背景與刑民一體化視野下，侵犯公民個人信息罪保護法益是對民法典及相關法律法規所確立的個人信息權的刑法確認。

延續了此前身份證法、消費者權益保護法、《關于加強網絡信息保護的決定》、網絡安全法等法律法規對個人信息保護的規定，民法典對個人信息保護的規定雖然沒有明確采用個人信息權的表述，但是其第一百一十一條后半段規定表明，法律所保護的并非作為客體的個人信息，而是作為主體的人的權利，因此可以認為該條文確立了個人信息權。

2.在刑民一體化視野與法秩序統一原理下，刑法侵犯公民個人信息罪保護法益個人信息權不是隱私權或者人格權等傳統權利，而是獨立的新型權利。

刑法在分析侵犯公民個人信息罪的保護法益時，應該跳出傳統思維，拋棄諸如隱私權說、人格權說、個人尊嚴說、生活安寧說等種種根植于民法傳統權利的法益學說，而將個人信息權作為一種獨立的權利來對待，將侵犯公民個人信息權作為不同于傳統法益的法益來保護。

3.民法總則與個人信息保護法確立的個人信息權是一種寬泛的信息權利，基于“民法要擴張，刑法要謙抑”的理念，刑法侵犯公民個人信息罪的保護法益個人信息權應進一步明確，具體為個人信息自決權。

民法是規范公民生活方方面面的法律，刑法是所有部門法的保障法，因而在公民社會生活治理層面，刑法對公民個人信息保護法益以及公民個人信息權的保護范圍肯定要窄于民法。個人信息權的核心是信息自決權，亦即信息主體原則上有權決定其個人信息能否被他人獲悉以及被獲悉的方式、范圍。

因此，侵犯這項權利的實質是對個人自由權的侵犯，這才是刑法所要保護的重點。刑法作為最后保障法，侵犯公民個人信息罪的保護法益理當擇其最重要者予以保護。以信息自決權作為侵犯公民個人信息罪的保護法益，無疑既契合民法典與個人信息保護法的規定，最大限度地實現了刑民兩大基本法保護法益在法秩序內的統一，充分貫徹了刑民一體化的思維，又符合刑法對一般性自我決定權的日益豐富和具體化的趨勢，更能發揮刑法充分保護公民自由等個人法益的機能，彰顯了人作為法律行為主體的地位。

劉艷紅教授強調了“民法要擴張，刑法要謙抑”的適用理念，并認為在公法與私法融合發展的時代，對于個人信息保護等涉及刑民銜接適用的問題，應該遵守刑民共治規律予以研究。

民法是私法，刑法是公法，民法追究民事責任，刑法追究刑事責任。民事責任“具有彌補已經發生的損害這種向后看的機能”，刑事責任“具有對將來所能預想到的同種法益侵害或者危險進行事前預防的”向前看的機能。二者一前一后，共同完成對損害行為的懲罰和預防。這意味著，如果在確定刑事責任之前，追究侵權行為人的民事責任同時能實現“向后看”和“向前看”的機能時，不一定非要追究刑事責任。

總之，在現行法的立法和框架內，應當堅持民法優先原則，恪守刑法謙抑主義，最大限度地實現人性民法與物性刑法的融合發展，從而為涉及個人信息保護相關刑民銜接適用的典型問題提供有效的解決機制。

姜濤：只有侵犯個人信息附帶的人身、財產安全的行為才是侵犯公民個人信息罪中的犯罪行為

姜濤教授認為，只有侵犯了個人信息安全的行為才是侵犯公民個人信息罪中的犯罪行為，其他的侵權行為由民法進行處理即可。其論述要點包括如下內容：

其一，姜濤教授對個人信息安全進行了界定：即公民個人的姓名、住址、電話、指紋等身份信息不被違法使用而附帶保障的人身、財產安全。個人信息安全是由多個信息組合在一起或信息與他人犯罪具有關聯而形成的狀態，它不是權利，但卻關系到公民之權利的保障。如同公共安全是由若干個生命法益、健康法益、財產法益等集合在一起形成的獨立法益，個人信息安全是由若干個個人信息集合在一起或個人信息與其他行為（如犯罪）關聯在一起形成的獨立法益，這一法益與個人信息權不同，它不是權利，而是一種狀態，它帶來的附帶損害往往是人身、財產損害等的“疊加損害”。把侵犯公民個人信息罪的保護法益解釋為個人信息安全，而不是公共信息安全，既體現了個人信息的重要性，也與司法解釋規定一致。

其二，侵犯公民個人信息不必然具有社會損害性。個人信息權作為人格權或隱私權，與生命權、健康權等不同，它的被侵犯并不必然給個人帶來損失，如果信息權人不被騷擾或被詐騙，那么就難以具有社會損害性。這意味著單一的個人信息權（除非是被他人利用信息去犯罪等）被侵犯，完全可以通過民事或行政手段解決，而不是通過刑罰手段來處罰。

其三，把本罪的保護法益界定為個人信息安全，可以更好地將那些不涉及信息擁有者人身、財產安全的個人信息侵權行為排除在外。

信息安全是因為涉及信息（如行蹤、人臉識別圖像、指紋、虹膜等）擁有者的人身、財產而具有刑法保護的真實性、價值性與必要性。相反，如果某種信息（如學歷、職業信息、個人發表論文信息、官員的財產信息等）并不涉及信息擁有者的人身、財產安全，或者說在個人的人身、財產安全保護方面并不起著關鍵性作用，此類信息的出售等并不能成為本罪的處罰對象。但是，依據其他學說，如個人信息權說、網絡隱私權說、人格權說等，上述信息都屬于個人信息權的范疇，這類學說并不能合理解釋個罪的處罰范圍，有擴大該罪處罰范圍之嫌。