公民個人信息的刑法歸類研究
——基于場景理論的判斷標準構建

王雨田 周 明

信息社會中個人信息早已超越了其原始的記錄功能，成為重要的生產要素和商業競爭資源，與公民的人身財產安全密切相關。近年來，公民個人信息的泄漏問題呈泛濫之勢，已經嚴重威脅到公民的人身財產安全，引發全社會高度關注。為有效打擊侵犯公民個人信息犯罪，《刑法修正案（九）》將相關罪名整合設立了侵犯公民個人信息罪，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）規范本罪的司法適用。《解釋》實質上將信息類型分為敏感信息、重要信息和一般信息三類，分別規定50 條以上、500條以上、5000 條以上的入罪標準，并將該數量標準的十倍以上作為本罪的“情節特別嚴重”情形進行法定刑升格處理，因而準確認定個人信息的類別關乎本罪的定罪與量刑。然而，敏感信息、重要信息和一般信息的邊界并非涇渭分明，在具體信息的類別上存在交叉和重合，如何準確認定個人信息的類別是當前審判實務中亟待解決的問題。

一、實務考察：個人信息的類別界限模糊

由于目前司法解釋對個人信息的類別界定較為模糊，個人信息的類別認定缺乏明確的指導規范，敏感信息、重要信息與一般信息等三類信息的邊界難以判斷，導致審判實務中個人信息的類別認定結果存在較大差異，類案不類判的問題較為突出。

（一）財產信息與交易信息難以區分

由于敏感信息的入罪門檻較低，《解釋》通過明確列舉的方式將敏感信息的類別限定于行蹤軌跡信息、通信內容、征信信息、財產信息四種信息，并且不允許實務中通過“等”解釋擴大適用范圍。然而何謂財產信息，審判實務中存在認識分歧，財產信息與交易信息的界限模糊，尤其是房產信息、車輛檔案信息、金融信息的類別認定存在困難。

1.房產信息。房產已經成為當前社會中個人財產的重要組成部分，但包含姓名、聯系方式、房號、房屋面積等內容的房產信息是否屬于財產信息，審判實務中的認定可謂是五花八門，歸納起來主要有以下五種認定信息類別的方式：第一，較為常見的是根據文義解釋將房產信息直接認定為財產信息，在本院認為的裁判理由部分也未作說理。第二，認為房產信息屬于交易信息，信息內容反映的是交易要素。第三，在不少涉案房產信息數量達5 萬條以上的案件中，法官采取了避難就易的裁判路徑，即不再對房產信息的類別作出認定，直接以信息數量達到情節特別嚴重進行定罪量刑。第四，有的法院認為，包含小區業主姓名、聯系電話、身份證號碼、房產地址等內容的房產信息，與住宿信息、通信記錄、健康生理信息、交易信息等信息在重要程度上具有相當性，屬于其他可能影響人身、財產安全的公民個人信息。第五，也有法院認為，包含姓名、房號、聯系方式等內容的業主信息屬于住址信息，住址信息不等于房產信息，并不必然反映財產狀況和影響財產安全，應當認定為一般信息。

2.車輛檔案信息。車輛檔案信息一般包括車輛的品牌型號、抵押狀態、車輛的類型、發動機號、車身顏色、所有人姓名、聯系電話等內容。在涉及車輛檔案信息的侵犯公民個人信息罪案件中，絕大多數法官選擇回避車輛檔案信息的類別認定，直接通過違法所得數額進行定罪量刑。此種裁判方法雖然不影響定罪，但是在信息類別和數量均達到本罪“情節嚴重”的情形下，會對量刑的基準產生影響。①參見石聚航：《侵犯公民個人信息罪“情節嚴重”的法理重述》，載《法學研究》2018 年第2 期。在曾某某案中，被告人利用擔任協警的職務之便，非法獲取公民個人信息向他人出售獲利10280 元，法院認為構成情節嚴重，判處拘役五個月。②參見曾少勇侵犯公民個人信息罪案，湖北省天門市人民法院（2017）鄂9006 刑再3 號刑事裁定書。本案如果信息數量同時達到“情節嚴重”的標準，量刑一般應當在3 年以下有期徒刑而非拘役，由于法院沒有查明信息的類別和數量，可能導致個案的量刑失衡。但某些案件中對信息類別的問題無法回避，例如在楊某某案中，車輛檔案信息是否屬于財產信息成為控辯雙方爭議的焦點問題，法院經審理認為，僅憑車輛檔案信息無法評價個人財務狀況，且現有證據不能證實涉案信息是用于實施針對人身或財產的侵害行為，因而不宜認定為財產信息。③參見楊世亮侵犯公民個人信息罪案，四川省劍閣縣人民法院（2019）川0823 刑初51 號刑事判決書。至于車輛檔案信息是否屬于交易信息，抑或其他類別的信息，法院未作出認定評判。

3.金融信息。證券、期貨、銀行賬戶等金融信息與個人的財產情況密切相關，但是否涉及到金融信息就應當認定為財產信息，審判實務對此采取了更為審慎的態度。例如，在金某某案中，被告人向他人出售包含姓名、電話號碼、證券信息的個人信息29295 條，法院雖然沒有明確認定信息類型，但認為該案僅構成情節嚴重，通過信息數量倒推發現，法院應當是認為涉案證券信息僅屬于一般信息。④參見金某才侵犯公民個人信息罪案，安徽省合肥市蜀山區人民法院（2019）皖0104 刑初491 號刑事判決書。在咸某某案中，被告人非法獲取和出售包含身份證號、手機號碼、貸款和信用卡額度等內容的個人信息，法院認為涉案個人信息和資金需求密切相關，可能會被用于實施詐騙，認定屬于可能影響人身、財產安全的信息。⑤參見咸廣東、王曉鳳等侵犯公民個人信息、偽造國家機關印章等罪案，浙江省金華市中級人民法院（2020）浙07 刑終631 號刑事判決書。但涉及銀行賬號及存款余額等內容的個人信息，能夠直接體現個人的財產情況，普遍認為更具敏感性。在王某某案中，被告人利用銀行工作人員的職務便利非法獲取、出售包括姓名、銀行卡號、余額、手機號碼等內容的儲戶信息152 條，被法院認定屬于財產信息。⑥參見王萬榮侵犯公民個人信息罪案，安徽省蕭縣人民法院（2017）皖1322 刑初349 號刑事判決書。

（二）行蹤軌跡信息與個人行蹤信息因存在交叉而糾纏不清

由于行蹤軌跡信息與公民的人身財產安全高度關聯，《解釋》將行蹤軌跡信息列入敏感信息的范疇，但并非所有與個人行蹤相關的信息都屬于行蹤軌跡信息。⑦參見王雨田、周明：《大數據時代個人信息的刑法分類》，載《人民法院報》2022 年10 月20 日，第6 版。

1.航班信息。審判實務中對于航班信息是否屬于行蹤軌跡信息存在較大的分歧。在潘某某案中，被告人接受他人委托從事所謂的“私家偵探”找人、跟蹤調查等業務，購買和獲取的航班信息具有特定性，被法院認定屬于行蹤軌跡信息。①參見潘健群、殷瑜侵犯公民個人信息罪案，湖北省宜昌市夷陵區人民法院（2021）鄂0506 刑初257號刑事判決書。也有法院對此持較為謹慎的態度，認為行蹤軌跡信息區別于普通的個人行蹤信息，應局限于可直接定位特定自然人的具體坐標信息。例如，在葉某某案二審中，二審法院認為航班信息雖然涉及公民個人軌跡，但并不能據此直接定位特定自然人具體坐標信息，故不應認定為行蹤軌跡信息。②參見葉莞龍侵犯公民個人信息罪案，浙江省溫州市中級人民法院（2019）浙03 刑終1689 號刑事判決書。還有法院認為，行蹤軌跡信息的交易價格一般高于其他普通信息，航班信息是否屬于行蹤軌跡信息還需要結合個案的信息交易價格和使用目的進行綜合判斷。例如，在羊某某案中，被告人獲取航班信息用于實施機票退改簽詐騙犯罪，一審法院認定航班信息屬于一般信息，檢察機關抗訴認為航班信息體現了時空轉移過程必然涉及的動態性要素，屬于行蹤軌跡信息；二審法院認為僅憑航班信息難以對特定公民的人身安全造成現實威脅，被告人購買航班信息的價格較低，其目的是為了實施詐騙，應當屬于其他可能影響人身財產安全的公民個人信息。③參見羊漢統詐騙、侵犯公民個人信息罪案，海南省第二中級人民法院（2019）瓊97 刑終222 號刑事判決書。

2.車輛軌跡信息。實務中常見的車輛軌跡信息主要是車輛GPS 行動軌跡信息和車輛卡口信息，但這兩類信息并非都能被認定為行蹤軌跡信息，在此基礎上行蹤軌跡信息還需要滿足行蹤軌跡信息的線形動態屬性。例如，在裴某某案中，公訴機關指控被告人通過車載GPS 跟蹤器獲取被害人行蹤位置信息2356 條，其中2041 條信息為被害人在靜止狀態下的重復位置信息，法院扣除靜態位置信息后認定被告人獲取被害人的行蹤軌跡信息為323 條。④參見裴計生侵犯公民個人信息罪案，安徽省明光市人民法院（2020）皖1182 刑初39 號刑事判決書。另外，單個的車輛卡口信息并不能完整地反映出車輛的行蹤軌跡，需要結合該時段內其他卡口信息才能串聯形成車輛的行蹤軌跡。例如，在師某案中，二審法院認為，行蹤軌跡是一個動態的、發展的且能夠反映位置移動的行動過程，本案85 輛車2679 條卡口信息中單條卡口信息并不能完整反映車輛的行蹤軌跡，一審法院將其全部認定為行蹤軌跡信息不當，故予以糾正。⑤參見師森侵犯公民個人信息罪案，重慶市第五中級人民法院（2018）渝05 刑終838 號刑事裁定書。

3.手機定位信息。隨著移動互聯網的發展，手機定位服務（Location Based Service）逐漸滲透到人們的日常生活中，覆蓋社交、旅行、購物等多個生活服務場景。非法獲取的手機定位信息通常會被認定為行蹤軌跡信息，不僅符合行蹤軌跡的動態屬性要求，交易價格也明顯高于其他信息。例如，在蔡某某案中，被告人以每條信息1500 元到2500 元不等的價格向他人出售手機號碼軌跡定位的信息30 余條，雖然法院在判決書中回避了信息類別認定，直接以違法所得數額認定構成情節嚴重，⑥參見蔡嫚利侵犯公民個人信息罪案，山西省太原市中級人民法院（2019）晉01 刑終760 號刑事裁定書。但本案中的手機定位信息應當屬于行蹤軌跡信息。在于某某案中，被告人通過非法獲取手機定位信息從事“私家偵探”的跟蹤、偷拍等業務，從信息屬性和使用目的來看，本案中的手機定位信息均符合行蹤軌跡信息的特征。①參見于章軍侵犯公民個人信息罪案，山東省濟南市歷城區人民法院（2019）魯0112刑初333號刑事判決書。

（三）住址信息與住宿信息因歸類存在重合而界限不明

從文義解釋的角度來看，住址信息具有固定性和長期性的特點，有時與包含小區樓盤、門牌號等的業主信息重合，住宿信息則是臨時性和短期性在外居住（多指過夜）的信息，通常表現為酒店（旅館）開房記錄信息。

1.住址信息。住址信息是公民個人信息泄露的重災區，但由于住址信息并非《解釋》明確列舉的信息類型，審判實務對住址信息的類別認定涵蓋了敏感信息、重要信息與一般信息。例如，在詹某某案中，被告人利用職務便利查詢并向他人提供被害人的暫住地及相關信息，導致被害人在暫住房處被人殺害，法院認定被告人向他人提供公民行蹤軌跡信息，被他人用于犯罪，造成被害人死亡，情節特別嚴重。②參見詹美鋒侵犯公民個人信息罪案，浙江省寧波市鎮海區人民法院（2017）浙0211刑初482號刑事判決書。在孫某案中，被告人非法獲取個人的住址信息9651 條，辯護人提出住址信息不屬于住宿信息的辯護意見，法院認為住址信息雖然不屬于住宿信息，但住址信息屬于可能影響人身、財產安全的公民個人信息。③參見孫波侵犯公民個人信息罪案，浙江省溫州市鹿城區人民法院（2017）浙0302 刑初1185 號刑事判決書。在黃某某案中，檢察機關起訴認為，被告人為推銷公司的貸款業務，購買包含姓名、電話、住址信息等內容的可能影響人身、財產安全的公民個人信息6594 條，法院認為，認定查獲被告人購買的公民信息是屬于可能影響人身、財產安全的公民個人信息證據不足，應當僅屬于一般信息。④參見黃祥輝侵犯公民個人信息罪案，廣東省廣州市越秀區人民法院（2019）粵0104 刑初1075 號刑事判決書。

2.住宿信息。行蹤軌跡信息和住宿信息均是司法解釋明確列舉的信息類別，分別屬于敏感信息和重要信息，從文義解釋的角度來看，行蹤軌跡信息表現為線形的動態軌跡，住宿信息屬于靜態的點狀位置，行蹤軌跡信息和住宿信息應當不存在競合或者交叉，然而審判實務中的案例表明并非如此。例如，在夏某某案中，被告人利用身為協警的職務之便，為牛某等人查詢債務人的實時住宿信息10 余條，并實時關注被害人的信息變化，最終牛某等人根據上述信息找到3 名債務人。⑤參見夏文棟侵犯公民個人信息罪案，江蘇省江陰市人民法院（2018）蘇0281 刑初2015 號刑事判決書。從上述案例來看，實時的住宿信息及其變化，某種程度上已經具備了行蹤軌跡信息的相應屬性，給被害人造成了現實的人身安全威脅，并且從找尋債務人的信息使用目的來看，亦符合行蹤軌跡信息所要保護的人身安全法益。

經過細致梳理審判實務中的典型案例發現，絕大多數法官在個人信息的類別認定上傾向于采取回避的態度，抑或直接作出類別判斷，缺乏令人信服的裁判論證說理，反映出法官對個人信息的類別認定沒有足夠的自信。投射到具體案件的處理上，裁判尺度不統一的問題突出，致使敏感信息、重要信息和一般信息的邊界模糊。司法解釋對信息類別的列舉缺乏周延性，對信息類別進行解釋存在較大的語義空間，行蹤軌跡信息和財產信息的認定中出現范圍的不當擴張，財產信息有成為本罪中的“口袋性”概念的趨勢。行蹤軌跡信息和財產信息均屬于敏感信息的類別，刑法對此采取了最為嚴苛的保護模式，不宜再作擴張性解釋，否則可能導致過度保護與不當懲罰。

二、困境剖析：個人信息類別難以判斷的原因

從上述典型案例來看，侵犯公民個人信息犯罪案件的信息種類多樣，同種信息的具體案件情況不一，由于缺乏統一的判斷標準，難以避免產生理解和認識分歧。

（一）個人信息刑法“三分法”與民法“二分法”的齟齬

我國個人信息保護采取“先刑后民”的立法路徑，公民個人信息保護早在2009年《刑法修正案（七）》即進入刑法的視野，而相關的民事立法姍姍來遲，《個人信息保護法》遲至2021 年11 月1 日才正式施行。刑法上對個人信息分類采用敏感信息、重要信息和一般信息的“三分法”，《民法典》第1034 條沒有對個人信息作出分類，《個人信息保護法》作為《民法典》的特別法，對個人信息采取了敏感個人信息和一般個人信息的“兩分法”。民法上的敏感個人信息與刑法上的敏感信息、重要信息存在交叉和重合。例如，人臉、指紋等生物識別信息屬于《個人信息保護法》明確列舉的敏感個人信息，在刑法上只能解釋為其他可能影響人身、財產安全的公民個人信息，屬于重要信息。本罪中“公民個人信息”的內涵和外延的把握受到《民法典》《個人信息保護法》等前置法的影響，但個人信息類別的刑法“三分法”與民法“二分法”的不協調在一定程度上與法秩序統一性原理形成抵牾，給個人信息的刑法歸類帶來混亂。

有學者提出，刑法上對個人信息等級分的太細，由此帶來的弊端很明顯，不同法院對同種個人信息的信息類型認定有別，帶來較大的定罪量刑差異，建議將來統一為“二分法”。①參見周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021 年第3 期。筆者認為，上述建議固然能在一定程度上緩解個人信息的刑法分類沖突，但卻不能從根本上解決問題，仍然會面臨敏感信息和一般信息的分類難題。事實上，刑法上的個人信息“三分法”有其獨特的價值，能夠更加精細化地體現信息類別與法益侵害風險的對應關系，有助于更好地貫徹罪責刑相適應原則。面對我國公民個人信息立法保護存在不系統、不協調的“碎片化”現狀，需要運用體系解釋方法實現刑法與前置法的銜接協調。①參見張勇：《公民個人信息刑法保護的碎片化與體系解釋》，載《社會科學輯刊》2018 年第2 期。在相關立法和司法解釋沒有修訂的情況下，應當從法教義學的視角開展更加務實的刑法解釋工作，緩和信息類別的沖突，統一裁判尺度。

（二）個人信息場景運用動態化和類別規定靜態化的矛盾

個人信息的利用離不開相關的場景，根據不同的信息運用場景，信息的敏感性呈現出巨大的差異。以航班信息為例，行為人獲取航班信息可能用于尋找信息主體的行蹤位置，也可能目的在于發送退改簽虛假信息實施詐騙，或者是為了酒店預訂推銷，信息場景運用具有動態化的特點。與此形成對比的是，個人信息的類別規定卻相對簡單，主要表現為靜態的列舉方式。例如，《解釋》將財產信息列舉為敏感信息，《解釋》的理解與適用中指出財產信息包括存款、房產等財產狀況信息，②參見喻海松：《侵犯公民個人信息罪司法解釋理解與適用》，中國法制出版社2018 年版，第38 頁。2018年最高人民檢察院出臺的《檢察機關辦理侵犯公民個人信息案件指引》對財產信息的具體類別作了進一步列舉，認為財產信息既包括銀行賬戶、第三方支付結算賬戶、證券期貨等金融服務賬戶的身份認證信息，也包括存款、房產、車輛等財產狀況信息。但從審判實務中房產信息、車輛檔案信息、金融信息等信息類別的多元認定來看，前述財產信息的靜態列舉顯然難以有效應對司法實踐中信息場景運用動態化的復雜狀況。③參見王雨田、周明：《大數據時代個人信息的刑法分類》，載《人民法院報》2022 年10 月20 日，第6 版。

（三）個人信息類別的形式判斷與法益侵害的實質審查的沖突

公民的財產狀況通常通過存款、房產、車輛等具體的形式來體現，從形式判斷的角度來看，存款、房產、車輛等信息自然屬于財產信息。但經過法益侵害的實質審查，并非所有的房產信息、車輛信息都能認定為本罪中的財產信息。《解釋》對敏感信息設定了50 條以上的入罪門檻，之所以遠低于一般公民個人信息的入罪標準，是因為敏感信息涉及人身安全和財產安全，其被非法獲取、出售或者提供后極易引發盜竊、詐騙、敲詐勒索等關聯犯罪，具有更大的社會危害性。④參見周加海、鄒濤、喻海松：《〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉的理解與適用》，載《人民司法·應用》2017 年第 19 期。敏感信息與公民的人身安全和財產安全高度關聯，一旦被泄漏具有極大的被侵害風險。審判實務中分歧最為突出的是房產信息是否屬于財產信息。筆者認為，單純包含姓名、房屋地址、房屋面積等內容的房產信息并不能直觀地體現出財產價值，仍然需要結合房地產行情價格進行相應計算才能得出房產價值，此種“信息結合說”由于超出了原有信息的內容，未能獲得普遍認可。此外，我國實行不動產物權登記主義，房產信息的泄漏通常不足以對業主的財產造成嚴重的現實威脅，因房產信息的泄漏而引發盜竊、詐騙、敲詐勒索等關聯犯罪的案件亦屬少見，在沒有相關證據的情況，不宜直接將房產信息認定為本罪中的財產信息。定義識別的形式判斷方法無法準確評估個人信息的法益侵害風險，導致信息外延的不當擴張，個人信息的刑法分類需要引入更具解釋力的理論。

三、凝聚共識：場景理論下個人信息的再認識

“場景中的信息敏感性已經是個人信息保護領域的共識。”①王苑：《敏感個人信息的概念界定與要素判斷——以〈個人信息保護法〉第28 條為中心》，載《環球法律評論》2022 年第2 期。個人信息的敏感性判斷應當結合具體場景評估法益侵害風險，而不應只關注個人信息內容，要為外部動態場景介入提供空間。②參見鄭浩凌：《個人信息保護與識別應考慮典型場景》，載《民主與法制時報》2021 年10 月28 日，第3 版。場景理論為個人信息的刑法歸類提供了一個動態的分析框架。

（一）屬性契合：個人信息的敏感性與場景理論的關系考察

美國學者尼森鮑姆（Helen Nissenbaum）結合“場景理論”，認為個人信息的敏感性與具體應用場景相關聯，同一信息的敏感性在不同的應用場景中存在差異。③See Helen Nissenbaum，Privacy as Contextual Integrity，79 Washington Law Review 101，137 ( 2004).其核心思想是強調結合具體場景進行針對性保護，防控具體的而非抽象的風險，反對籠統泛化的個人信息保護。④參見趙祖斌：《從靜態到動態：場景理論下的個人信息保護》，載《科學與社會》2021 年第4 期。個人信息寓于場景之中，構成場景的核心要素組成了一個信息系統，個人信息是場景中的微觀要素，并通過具體的應用場景體現出個人信息的敏感性。信息本身不會直接帶來損害，會帶來損害的是信息所處的場景，因此必須對信息流通時的整體場景進行評估。有學者提出，所謂“場景”就是“具體情形具體分析”，⑤參見胡凌：《功能視角下個人信息的公共性及其實現》，載《法制與社會發展》2021 年第5 期。從哲學層面而言亦符合辯證唯物主義的基本要求。場景理論的提出雖然是基于傳播學的知識架構，但其蘊含的信息處理者、信息內容、信息處理目的、信息處理影響結果等場景要素卻與法律關系中的主體、客體、主觀方面、客觀方面等法學研究內容相呼應，個人信息的敏感性與場景理論存在屬性契合。

（二）價值同向：個人信息保護與利用的關系平衡

信息的價值在流通中體現，加強個人信息保護并非一概禁止個人信息的使用，從而對個人信息形成絕對保護。“在場景理論下，侵犯公民個人信息的實質不再是未經同意使用個人信息，而是不合理使用個人信息。”⑥蔡燊：《侵犯公民個人信息罪的保護法益及其運用——從個人信息的公共屬性切入》，載《大連理工大學學報（社會科學版）》2022 年第3 期。對個人信息的使用是否合理，需要結合具體應用場景來判斷，只有不合理使用個人信息才會給信息主體創設法益侵害的風險。例如，行蹤軌跡信息對法益的侵害是建立在其脫離合法的應用場景的基礎之上，從而使得個人無法了解和控制行為人的使用目的，給個人安全乃至整個社會穩定帶來危害。①參見高富平：《脫離應用場景的行蹤軌跡才具有社會危害性》，載微信公眾號“數據法律資訊”，2017年5 月26 日。個人信息的應用場景具有多元化的特點，場景理論為合理使用個人信息的行為預留了出罪的空間，能夠更好地平衡信息安全和信息利用之間的緊張關系。正如有學者提出，重在禁止“獲取”“泄漏”“竊取”數據行為的控制模式忽視了數據的公共產品屬性，無法全面、有效保護數據法益，旨在規制濫用行為的利用模式，是刑法數據治理模式調整的現實方向。②參見于改之：《從控制到利用：刑法數據治理的模式轉換》，載《中國社會科學》2022 年第7 期。在已采取信息類型為中心的立法背景下，應允許不同具體情境中的法益反證，對類型化的個人信息敏感性類別進行適當調整。

（三）邏輯一致：場景理論下個人信息的法益侵害風險評估

信息社會既是代表著新技術、新形態的社會，也是伴隨著新風險的社會，信息安全風險呈現出前所未有的擴張趨勢。③參見王肅之：《被害人教義學核心原則的發展——基于侵犯公民個人信息罪法益的反思》，載《政治與法律》2017 年第10 期。傳統刑法理論認為，“侵犯法益是刑事違法性的實質”④張明楷：《刑法學》（第五版），法律出版社2016 年版，第109 頁。。風險社會下，刑法對法益的保護正逐漸向法益侵害風險延伸，表現為法益保護的早期化和法益概念的精神化，法益保護由具體危險提前至抽象危險階段。侵犯公民個人信息罪是風險社會下預防性刑事立法的成果，遵循了風險立法的進路，以預防個人信息泄露或者濫用可能引發的風險為出發點，根據法益侵害風險程度劃分輕重有別的入罪標準，并不以對信息主體造成實質傷害作為構成要件。公民個人信息的重要性程度與損害風險高低之間成正相關關系，“個人信息風險損害的認定應以場景化為基本進路，于個案中綜合考量信息的類型、處理行為的目的方式、信息誤用的跡象等因素而做出判斷”⑤田野：《風險作為損害：大數據時代侵權“損害”概念的革新》，載《政治與法律》2021 年第10 期。。刑法上個人信息的敏感性主要取決于對信息主體的法益侵害風險，而法益侵害風險蘊藏于具體的信息應用場景當中，因而運用場景理論來判斷刑法上個人信息的敏感類別具備內在邏輯的一致性。個人信息保護立法的風險化已經成為國際趨勢，歐盟《通用數據保護條例》突出場景中信息保護程度要和信息風險相吻合的風險控制要求，依據可能遭遇的風險高低對個人信息進行分類保護。

四、理念重塑：個人信息類別判斷的審查嬗變

場景理論作為域外舶來理論，至今已成為社會學、人類學、心理學等多個領域的重要理論之一，對于解釋人類社會行為和交往方式具有重要意義。在法律領域，原本主要應用于個人信息的民事權利保護領域，因而，對其進行適當的本土化和刑事化改造，有助于凝聚和吸收既有裁判規則的共識，以契合我國當前刑事司法的實踐需求。總體而言，個人信息的類別審查與判斷需要從以下三個方面來實現從類型化保護到場景化保護的理念重塑。

（一）從靜態到動態：信息敏感屬性的審查方式轉型

定義識別以事前靜態的方式界定個人信息的敏感類別，僅從個人信息內容性質的單一維度來判斷其敏感程度，無法全面涵括信息應用場景的多元化現實樣態，是將動態的個人信息視作靜態的客體，容易陷入對個人信息的僵化認識。個人信息的類別認定難題正是源于靜態的個人信息保護方式，誤認為個人信息的樣態固定不變，忽視了信息處理是一個動態的過程，并由此給審判實務帶來個人信息類別難以界定、罪責刑失衡等諸多挑戰。現有的定義識別判斷標準不符合個人信息的敏感性隨應用場景變化的動態性特征，造成個人信息的過度保護和保護不足兼存的不良后果，背離了個人信息分級分類刑法保護的立法初衷。由于個人信息的敏感性與其所處應用場景緊密相關，事實上無法脫離應用場景而預先建立一套具有普遍性的個人信息分類標準。伴隨著互聯網場景時代的到來，個人信息的刑法保護需要實現由靜態向動態轉型，在具體應用場景中認定個人信息的敏感性，更好地平衡信息所有者與信息處理者的利益，兼顧個人信息的保護與利用，規范場景參與主體的信息利用行為。個人信息敏感性的審查要以其所處的場景為基石，動態地考察多元場景要素互動對信息敏感性的影響，精準劃定信息的類別，實現個人信息刑法保護的手段與目的的適配。

（二）從形式到實質：法益侵害風險的審查重點聚焦

信息社會是一個風險社會，信息安全風險逐漸演變成為一個重要的社會問題，是社會治理和國家治理的重要內容，治理的理念、方式和工具應當根據信息安全風險的特點作出相應的調整。基于權利的個人信息保護法律制度在大數據時代面臨認知和結構困境，個人信息保護需要進行路徑重構，“基于風險的方法”將關注點從個體權利的建構轉移到信息安全風險的合理分配。①參見張濤：《探尋個人信息保護的風險控制路徑之維》，載《法學》2022 年第6 期。司法解釋根據法益侵害風險的不同將個人信息劃分為三個層級并設置高低有別的入罪門檻，形成了個人信息的分級保護模式，“這種模式最能直接反映行為的危害性程度與刑法對不同類型信息的保護力度”②黃陳辰：《侵犯公民個人信息罪“情節嚴重”中信息分級保護的結構重塑》，載《東北大學學報（社會科學版）》2022 年第1 期。。因而，個人信息的類別判斷必須擯棄形式主義的審查路徑，要把法益侵害風險作為實質審查的重點，并以此作為個人信息敏感性的法律評價基準，根據法益侵害風險的高低作出輕重適度的刑法反應。例如，單純就信息本身而言，車輛信息似乎屬于財產信息，但將其結合具體的應用場景進行考量，獲取車輛信息用于確定行蹤軌跡和推銷車輛保險、促成二手車交易的應用場景相比，對信息主體的法益侵害風險差異很大，籠統地將車輛信息劃入敏感信息、重要信息或者一般信息，都缺乏科學性和合理性。

（三）從行為到目的：主客觀相統一的審查內容細化

在個人信息的類型化保護模式下，本罪的規制對象聚焦于非法獲取、出售或者提供公民個人信息的行為，然而利用個人信息的行為本身無法完整體現個人信息的敏感程度，還必須結合利用個人信息的目的進行判斷。因為行為與目的之間密不可分，沒有無目的之行為，目的是行為的歸屬。亞當·斯密提出的“理性經濟人”的理論假設認為，作為經濟決策的主體充滿理性，人的各種行為是為了達成某種目的。從法律評價的角度來看，利用個人信息的行為屬于客觀方面，利用個人信息的目的則是主觀方面，堅持主客觀相統一方能作出全面的評價。當前侵犯公民個人信息犯罪呈現多樣化、復雜化的形態，利用公民個人信息進行違法犯罪和合法經營活動的情形并存，同等評價顯然無法準確體現信息的敏感性差異。例如，利用個人信息進行商業推銷僅對公民的生活安寧造成侵擾，在信息數量不大的情況下，其社會危害程度較小，一般不需要刑法的介入，可通過行政處罰加以規制。

把利用個人信息的目的作為信息敏感性的重要評價因素，是對個人信息審查內容的進一步細化，徹底舍棄過去“只看行為不論目的”的粗放式判斷。同時，這也是糾偏簡單的“客觀歸罪”思維，遵循主客觀相統一的刑法責任原則的要求。事實上，審判實務中已有法官從主客觀相一致、信息使用目的限定等方面著手，試圖掙脫個人信息靜態定義的束縛，以便對個人信息的類型作出精準分類。例如，在孫某某案中，法院認為被告人的主觀目的是為了推銷裝修貸款，并非用于實施針對被害人財產的侵害行為，故根據主客觀相統一的原則，涉案房產信息不應直接認定為財產信息。①參見孫備備侵犯公民個人信息罪案，安徽省合肥市包河區人民法院（2020）皖0111刑初864號刑事判決書。上述案例實際上已經暗含著可供歸納的場景理論應用規則，但目前的行動邏輯更多是為了實現罪責刑相適應的裁判目的，缺乏嚴謹而規范的裁判論證說理，沒有形成清晰而明確的裁判規則指引，難以有效統一司法裁判標準。

五、路徑探索：個人信息類別的判斷標準

國內現有研究對于信息的敏感性必須結合具體場景進行判斷已經基本達成共識，但相關的討論基本停留于表面，尚未圍繞場景理論需要納入何種具體的考量要素展開深入研究，審判實務中仍然缺乏一套規范而可行的個人信息刑法歸類判斷標準。

（一）場景融入：構建個人信息敏感性評價模型

為了給審判實務提供明確的裁判規則指引，亟需構建基于場景動態化的個人信息敏感性評價模型，以便統一裁判尺度。

1.場景要素的選擇考量。個人信息應用場景中包含多個要素，但并非所有要素都應當作為個人信息敏感性的評價對象，場景要素的選取要圍繞法益侵害風險展開。作為評價對象的場景要素要具有一定的獨立性，即場景要素的內容及其規范價值不能被其他要素所涵蓋和代替，避免評價要素的無效和冗余，同時，要確保評價要素的全面性和判斷結果的整體性。②參見孫玉榮、盧潤佳：《“場景完整性理論”的應用檢視與功能再造——以個人信息保護司法裁判為視角》，載《北京聯合大學學報（人文社會科學版）》2022 年第3 期。經綜合考量，確定信息處理者、信息來源、處理信息目的、處理信息影響后果等四個場景要素作為分析個人信息敏感性的主要維度。首先，信息處理者對信息敏感性的影響源于特定信任關系的，應當履行相應的受信義務，特定信任關系的信任基礎可以是個體信賴、職業信賴或制度信賴；③參見劉鵬坤：《受信關系理論下的個人信息數據處理關系》，載《上海法學研究》2022 年第5 卷。其次，信息來源對信息敏感性的影響主要考慮獲取方式的限制與規范禁止性；再次，目的特定原則是個人信息保護的“帝王原則”，④參見程嘯：《論我國個人信息保護法的基本原則》，載《國家檢察官學院學報》2021 年第5 期。信息處理目的的合法與非法對信息主體的法益侵害風險存在極大的差異；最后，處理信息影響后果主要考量法益侵害程度與侵害概率。

2.場景要素的評價位階。事實上，每個場景要素代表的價值和利益有所區別，且對法益侵害風險的影響程度不同。從發生作用的方式來看，場景要素中處理信息的影響后果和信息處理目的直接關系著法益侵害風險，影響程度較大，而信息處理者和信息來源則屬于間接影響法益侵害風險，影響程度相對較小。如果在評價場景要素對法益侵害風險的影響大小時采取同等評價權重的話，則無法保障評價結果的準確性和公正性，需要根據各場景要素的影響程度差異實行梯度化的評價位階。因而各場景要素的評價位階依次為：處理信息的影響后果=信息處理目的＞信息處理者=信息來源。

3.場景要素的具體適用。（1）信息處理者。將在履行職責或提供服務過程中獲取的信息提供給他人，破壞了基于相關職業而形成的特殊信任關系，會增加信息的敏感性。（2）信息來源。不同的信息保管主體所掌握的信息內容存在顯著差別，限制獲取信息的規范禁止程度不同。以房產信息為例，從房產交易中心和銀行流出的房屋產權信息與從開發商、物業公司流出的包括姓名、聯系方式、住址等基本內容的房產信息，在個人信息的敏感性方面存在明顯差異。（3）信息處理目的。合法的信息處理目的會極大地稀釋法益侵害風險，非法的信息處理目的則會顯著提升法益侵害風險。（4）處理信息影響后果。利用信息進行電話推銷僅會侵擾生活安寧，實施電信網絡詐騙則會侵害財產安全，造成的法益侵害程度不同。根據上述場景要素的評價結果和評價位階，綜合考慮得出法益侵害程度的高低和侵害概率的大小，按照相應的組合形式確定法益侵害風險的等級（高級、中級、低級），并與之對應個人信息的類別（見表1）。

表1 法益侵害風險與信息類別的對應情況

（二）場景抽離：回歸作為內因的個人信息內容

盡管前文一直在強調和論證場景對個人信息敏感性的影響，但場景僅是引起個人信息敏感性變化的外因，信息內容才是法益侵害風險產生的內因。內容是個人信息承載利益、與他人和社會發生聯結的基點，也是侵害風險存在的基礎，信息無內容就無法與個人和社會產生互動，因此信息內容是風險產生的內因。①參見寧園：《敏感個人信息的法律基準與范疇界定——以〈個人信息保護法〉第28 條第1 款為中心》，載《比較法研究》2021 年第5 期。個人信息敏感性的審查應當采取場景融入與場景抽離的雙重路徑，其中場景抽離指的是抽離具體的、特定的場景，關注信息內容本身對于信息敏感性的影響（見表2）。

表2 常見個人信息的敏感性分析

1.絕對敏感信息的界定。絕對敏感信息一般指的是從社會公眾的普遍認知和價值判斷來看，這類信息只要泄漏或被非法使用則會給信息主體帶來人身安全和財產安全的威脅，而無須考慮其運用場景。與之相對，需要結合具體場景來判斷信息敏感程度的則屬于相對敏感信息。例如，包含姓名、身份證號碼、電話號碼、銀行卡號、賬戶余額等內容的儲戶信息，人們一接觸這類信息就會自然將其歸入敏感信息的范疇，屬于絕對敏感信息。絕對敏感信息具有極易引發法益侵害的信息內容屬性，其范圍應當通過文義解釋限縮至司法解釋列舉的四類敏感信息的范疇之內，因為文義解釋是法律解釋的起點，具有優位性。

2.把握信息的核心構成要素。場景理論作為個人信息敏感性的分析框架，為我們準確評估個人信息的法益侵害風險提供了工具，但在法律適用過程中仍然需要借助刑法解釋進行論證說理，實現法益侵害風險與具體信息類別的對接。以交易信息為例，交易信息是在商品買賣和交易的過程中產生的，信息產生和存在的載體是交易過程，與交易的關聯性十分緊密。一則信息可以被認定為交易信息，需包括交易主體、交易標的、交易價格、交易時間等“交易”的核心要素，如果交易成立的關鍵要素缺失，則不宜認定為交易信息，可以認定為法益侵害風險相當的其他可能影響人身財產安全的公民個人信息。①參見肖友廣、張爭輝、孫娟：《侵犯公民個人信息刑事案件司法認定疑難問題研究》，載《上海法學研究》2019 年第7 卷。

3.目的解釋的合理限定。從刑法解釋學的角度來說，場景理論的運用試圖緩解個人信息場景應用的動態化和類別規定的靜態化之間的緊張關系，其實質屬于目的解釋的范疇。合理的目的解釋方法，發揮目的解釋釋放刑法文本可能含義功能的同時，又對目的解釋形成必要的限制。要警惕目的解釋在客觀解釋的包裝下演化為泛化解釋、任意解釋的危險，從而消解刑法用語的法律意義，使得解釋結論偏離客觀事實。②參見石聚航：《誰之目的，何種解釋？——反思刑法目的解釋》，載《現代法學》2015 年第6 期。比如，在移動支付時代，“刷臉支付”盛行，人臉識別信息成為銀行賬戶的“支付密碼”。根據場景融入路徑下的個人信息敏感性分析模型，人臉識別信息的法益侵害程度高，且具有較大的侵害概率，法益侵害風險等級為高級，相對應的信息類別應當屬于敏感信息。然而，按照行為人利用人臉識別信息所侵害的財產法益，在現有司法解釋明確列舉的四類敏感信息中應當具體對應為財產信息，但人臉識別信息明顯超出了財產信息文義解釋的可能范圍，應當認定為其他可能影響人身財產安全的信息。

（三）裁判規則：雙重路徑下的判斷標準要件化

通過總結場景抽離與場景融入雙重路徑下的具體規范要求，歸納形成指導同類案件的裁判規則，統一裁判尺度。總體上的判斷原則是：敏感信息必須在行蹤軌跡信息、通信內容、征信信息、財產信息四種信息的文義解釋范疇內，不宜作擴張性解釋，在文義解釋上屬于行蹤軌跡信息、通信內容、征信信息、財產信息的，但法益侵害風險等級與敏感信息不對等的，同其他類別信息一樣，根據具體的法益侵害風險等級調整所屬信息類別。綜上，在個人信息的類別審查與判斷上，應當堅持如下審查步驟和要求：首先，審查信息內容是否屬于絕對敏感信息，如屬于則直接按照敏感信息進行定罪量刑；其次，對相對敏感信息結合具體場景的要素判斷法益侵害程度和侵害概率，并確定相應的法益侵害風險等級；再次，對于高級法益侵害風險的信息需要接受四類敏感信息的核心構成要素檢視，核心構成要素不符合或者要素缺失的，則應當調低法益侵害風險等級至中級；最后，根據法益侵害風險等級的高級、中級、低級依次對應敏感信息、重要信息、一般信息。重要信息中的“可能影響人身財產安全的個人信息”具有一定的開放性，為司法裁判留有適當的空間。

結 語

精準劃定個人信息的類別是實現罪責刑相適應的必然要求。場景融入與場景抽離的雙重判斷路徑，從影響個人信息敏感性的內因和外因兩個方面著手，更加符合個人信息寓于運用場景的動態性特征，能夠更好地適應數字經濟時代的個人信息刑法保護需求。在此基礎之上，歸納出可以指導同類案件的裁判規則，以期統一裁判尺度，使裁判結果更能獲得當事人乃至社會的認同，從而提升司法權威和司法公信力。