論公民個人信息刑事保護的疏漏與完善

陳卓

【摘要】個人信息立法最早從刑法領域展開，刑法先于民法、行政法的立法節奏極易引發保護體系的不協調，《個人信息保護法》出臺后，行刑銜接問題逐漸凸顯。一方面，刑法規制的侵犯公民個人信息的行為類型有限，僅依靠法律解釋難以實現保護范圍的擴張；另一方面，侵犯公民個人信息罪作為行政犯，前置法作出的違法性評價對定罪有著重要影響，不當引用前置法極易導致刑事保護范圍的非理性擴張。對此，可在明確刑事犯罪與行政違法邊界的前提下，將刑事法調整范圍擴張至所有信息處理行為，盡量實現侵犯公民個人信息罪規制范圍的全面。同時，通過明示法規法保護目的的方式為侵犯公民個人信息罪劃定合理的邊界，避免處罰范圍的不當擴張，實現合理的限縮并指引司法適用。

【關鍵詞】刑法先行；行刑銜接；保護疏漏；擴張風險

【中圖分類號】D924.34??? 【文獻標識碼】A??? 【文章編號】1672-4860（2023）05-0017-07

信息網絡時代，個人信息保護的重要性不言而喻，行蹤軌跡、通信內容、征信、財產等信息被違法獲取、使用，極易引發公民的人身、財產等法益被侵害的風險。因此，刑法先于前置法對個人信息保護問題進行了回應，形成了以刑法為主導的個人信息保護法律體系。但刑法先行、民法跟進、行政法補充的立法節奏必然會導致法律體系的不協調，招致對刑法干預早期化、社會治理刑法化的批評，并引發行刑銜接困境[1]。

一、公民個人信息保護的立法歷程

大數據時代，個人信息犯罪極具隱秘性，刑法以外的其他救濟手段并威懾性不足，難以遏制大規模針對個人信息的違法、犯罪活動。因此，我國最初選擇通過刑事手段對個人信息提供保護，個人信息立法經歷了“刑事先行，民事跟進，行政補充”的發展過程。

（一）刑事先行的個人信息保護立法歷程

2009年《刑法修正案（七）》首次將個人信息納入刑法保護范圍，增設出售、非法提供公民個人信息罪及非法獲取公民個人信息罪。彼時前置法中尚未有專門的個人信息保護條款，兩項罪名的出臺填補了立法空白。2015年《刑法修正案（九）》將兩罪合并為“侵犯公民個人信息罪”，擴大了犯罪主體范圍，違法出售或者提供公民個人信息的行為將會構成犯罪。為解決司法實踐中的適用爭議，2017年最高人民法院、最高人民檢察院發布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）以及2018年最高人民檢察院在《檢察機關辦理侵犯公民個人信息案件指引》中進一步擴張了侵犯公民個人信息罪的使用范圍。綜合來看，我國早期個人信息的保護主要是由刑法完成的。

（二）前置法層面個人信息保護法的立法歷程

鑒于個人信息保護的重要性，2017年出臺的《中華人民共和國民法總則》及2020年頒行的《中華人民共和國民法典》將個人信息納入保護范圍，囿于民事保護的有限性和被動性，個人信息還需要除刑法之外的其他公法部門的保護。行政法領域，《電子商務法》《消費者權益保護法》《商業銀行法》等多部法律陸續對個人信息保護的問題進行了回應，但適用范圍卻極為有限。隨著網絡空間與現實空間的交叉融合^[2]，個人信息保護難度增大，亟待制定專門保護個人信息的專門行政立法。

2021年《個人信息保護法》出臺，標志著我國構建信息社會基礎性法律的目標基本達成^[3]。該法采取了行政、刑事相混合的法律責任體系，可視情況對于違法處理個人信息的行為予以行政處罰或追究刑事責任。但囿于“制定一部統一的、比較完備的刑法典”立法指導思想以及20余年刑法修訂完善實踐形成的慣性和認知^[4]，《個人信息保護法》中的刑事責任條款僅是宣示性規定，并不能獨立適用，追究侵害個人信息者的刑事責任仍舊需要以刑法分則的規定為準。

刑法與行政法的價值追求各有側重，前者以公正為價值追求，后者以維護秩序為主要目的。治理違法行為應當遵循行政不法與犯罪之間的“包容性原理”，即“立法者對于行政處罰應當盡量優先使用，只有在行為人的違法行為造成嚴重后果、侵害重大利益的情況下，才可以考慮使用刑事制裁手段”^[5]。“包容性原理”尤為強調刑法的謙抑性和最后手段性，只有其他治理手段“無法有效地調整具有特殊重要性的社會關系”^[6]，才能由作為社會治理的最后法和保障法的刑法介入，且刑法“應該保持克制而不應該成為治理犯罪的主要手段”^[7]，只有行為造成秩序背后嚴重的法益侵害時^[8]，才應考慮將之作為犯罪處理。這便要求行政立法應先于刑事立法制定，刑事立法應對具有嚴重法益侵害性的行政違法進行篩選后，才進行二次調整。但個人信息的立法卻呈現相反的次序，且由于刑事立法先于行政立法，《個人信息保護法》中的內容難以與刑事罪名實現良好的銜接，反而引發司法實踐中的種種問題。

二、《個人信息保護法》中“處理”行為的分析

刑法主要打擊非法的個人信息流轉及非法出售個人信息的行為，而《個人信息保護法》禁止的是非法收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理個人信息的行為，關注個人信息獲取、使用和流轉的全過程。相較之下，《刑法》對個人信息的保護范圍明顯較小。為應對實踐中層出不窮的侵害個人信息行為，司法解釋不斷擴張刑法的保護范圍。但仍有部分具有嚴重的社會危害性非法處理個人信息的行為未受到刑法調整，例如非法使用、非法加工個人信息等。當然，這也不僅是立法次序的反常導致的。受刑法條文用語涵攝范圍的限制，僅通過擴張解釋的方法難以應對實踐中日益復雜的侵犯個人信息現象，也難以與《個人信息保護法》實現良好的銜接。對此，應當發現《個人信息保護法》與《刑法》規制對象的差異，在此基礎上篩選值得進入刑法調整范圍的情形，尋找擴充刑法保護范圍的合理路徑。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為，這涵蓋了信息從形成到消亡的生命周期全流程。在作詳細分析之前應明確的是，立法規定的多個“處理”行為在實踐中存在重合或吸收的現象，如加工或使用行為必然涉及存儲行為等。應當認為，立法規制的這幾類處理行為應作目的性限縮解釋，即專指相互分離的、能夠獨立被評價的行為。以下結合個人信息的生命周期（圖1），對處理行為中的具體情形分別進行分析。

（一）收集行為

個人信息的收集是其信息生命周期的起點，收集信息是指對特定個人信息從無到有的取得過程。《刑法》中使用了“獲得”和“獲取”的表述，《民法典》中則使用了“收集”和“獲取”的表述。“獲得”和“獲取”為同義詞，意為“得到、取得”，從行為結果來看，收集、獲得及獲取行為都能實現對一定事物的從無到有。

（二）存儲行為

個人信息的儲存行為信息貫穿信息生命周期的全過程。“存儲”行為的本質是將掌控的個人信息調整為隨時可調取、使用的狀態。從《個人信息保護法》第36條、第40條和第41條規定來看，立法并不禁止單純“存儲”行為，而關注的是信息存儲地點及與之相關的安全問題。信息的存儲不同于傳統意義上的有形物，信息具有無形性，既不會發生物理上的控制和占有，也不會因為使用而導致客觀的損耗^[9]。且存儲行為具有獨立性，信息的收集、存儲行為也可由不同的主體完成。刑法也未禁止非法存儲、占有、持有個人信息的行為。

（三）使用、加工行為

在完成個人信息的收集和存儲后，通常會進入使用環節，由于使用行為通常帶有一定的目的性，因而常與加工行為聯系在一起。從文義上看，“使用”即為某種目的而運用、利用某物，在個人信息領域，分析個人的消費記錄、瀏覽記錄后定向向其投送廣告，根據個人信息在本人不知情的情況下為其辦理電信、互聯網、銀行業務，甚至根據掌握的個人信息跟蹤、騷擾等都屬于使用信息的范疇。由于使用的形式多樣，《個人信息保護法》并未一一列舉，這也加大了法律適用難度。應對使用信息的行為進行目的性限縮解釋，關注以姓名、出生日期、身份證件號碼、生物識別信息等個人信息的實質內容為對象的使用行為。在文義上，“加工”是指通過一定的工序將原材料、半成品轉化為目標需求物的過程。根據立法，任何組織、個人不得非法使用、加工個人信息，也不得從事與危害國家安全、公共利益有關的行為。換言之，如果前一階段的收集行為合法，那么為實現最初收集個人信息的目的而實施的使用行為，或為使用而實施的加工行為都不會受到禁止。

（四）傳輸、提供、公開行為

從信息生命周期來看，傳輸、提供、公開等并不是必經的發展階段，常與其他處理信息的行為交織在一起。《個人信息保護法》對傳輸、提供、公開行為并未作出太多規定，因此，明確區分三者的行為邊界并不容易，需要結合立法目的和其他立法規定對三者作目的性限縮解釋。

首先，廣義上的“傳輸”是指個人信息的傳遞、流通過程。結合《網絡安全法》第47條規定，《個人信息保護法》中的“傳輸”應當指提供傳輸途徑、服務的主體所實施的傳輸行為。實踐中，大量的、成規模的個人信息通常以電子數據形式存儲，不同主體之間的流轉難以獨立實施完成，需要借助專門的途徑和服務。對非法傳輸個人信息行為的限制便有較大意義。其次，關于“提供”與“公開”個人信息行為的區分，應當從二者的行為結構和后果入手。根據文義，“提供”意為提出、供給資料、物資、條件的行為，“公開”則指將相對秘密的事物公之于眾，使不特定主體能夠接觸、掌握，二者的主要差異就在于接收個人信息的對象是否特定。“提供”信息行為的供需雙方具有特定性，體現為雙方當事人就一定的物在內容、數量方面形成合意后按照約定的方式完成標的物的給付與接收。而“公開”則是指行為人將掌握的個人信息向不特定的多數人公開的活動，其后果是本不能接觸到特定個人信息者都可由此接觸到個人信息，信息獲得主體具有廣泛性、不特定性。

（五）刪除行為

個人信息的刪除是其信息生命周期的終點，體現為被固化在一定載體上的個人信息的消亡。《個人信息保護法》即規定了個人信息處理者的積極義務，在一定情況下必須刪除個人信息的行為，屬命令性規范。但并未設立禁止性規范，即未對個人信息處理者不得刪除其持有的個人信息的情形作出規制。就此來看，立法實際上是對“刪除”作出了縮小解釋，盡量避免個人信息被他人持有以減少安全風險。但是，無論個人信息處理者違反的是禁止性規范還是命令性規范，《刑法》都未作規制。

三、侵犯公民個人信息罪的立法目的與銜接障礙

（一）刑法規范的保護目的解析

刑法對個人信息的保護與對其他人身、民主、財產權利的保護存在很大差異。其他罪名都是禁止那些直接造成法益損害或具有造成法益損害危險的行為，如侵犯人身犯罪必然會損害他人的身體權、健康權或自由權，侵犯財產犯罪會體現為對占有狀態或財產本身的損害等等。但是，個人信息本質上是一種沒有物理邊界的、特定的信息^[10]，本身無法被“侵犯”，更不會因犯罪行為而發生內容上的改變或損毀。在此意義上，侵犯公民個人信息罪與知識產權犯罪中的侵犯商業秘密罪具有一定的共性，刑法設立兩項罪名均是為了遏制違法獲取、提供信息的行為。結合司法解釋規定的入罪標準，刑法之所以禁止這些行為，目的在于避免因特定信息的非法流轉而造成法益侵害風險。就如侵犯商業秘密罪以泄露商業秘密造成權利人的損失為主要入罪標準，侵犯個人信息罪也以個人信息的不當流轉而造成公民人身、財產等法益面臨他人違法犯罪行為侵害的風險作為入罪衡量要素。

（二）行刑銜接疏漏

《個人信息保護法》規制的是處理個人信息的行為，而《刑法》規制的是非法獲取、提供個人信息的行為，當下亟待解決的難題是如何實現二者的銜接。囿于刑事立法早于《個人信息保護法》，難免有一定的滯后性，加之現有罪名僅規制有限幾種行為，極可能導致刑事保護范圍的疏漏。前文提及，刑事立法意在通過禁止個人信息的非法獲取、提供等對個人人身、財產安全有影響的行為來避免法益侵害風險，但這并不意味著其他個人信息處理行為沒有風險。如果說非法公開個人信息的行為尚且能通過實質解釋將之歸入“非法提供”的范疇，受制于法律解釋方式及解釋的限度，其他非法處理個人信息的行為即使具有與非法提供、獲取行為相當的危害性，也難以納入現有刑事立法規制范疇。結合實踐來看，以下幾種非法處理個人信息具有相當法益危險性，值得關注。

第一，不當存儲個人信息的行為。當前，不當存儲行為主要包括兩類情形：一是個人信息處理者存在《個人信息保護法》第四十七條的情形，應當主動刪除個人信息而未刪除；二是個人信息處理者雖不存在立法規定不應存儲個人信息的情形，但存儲行為本身存在可能造成個人信息泄漏等安全風險。第一種情形的風險在于個人信息處理者已經沒有繼續存儲個人信息的合法基礎或必要性，繼續存儲個人信息可能造成非法使用、泄漏等危及公民個人人身、財產安全的風險。第二種情形的風險在于，個人信息處理者雖然具有存儲個人信息的合法基礎和必要性，但因自身主客觀原因而導致存儲行為存在安全風險。根據現有刑事立法，存儲行為不能被解釋為獲取或提供行為，一旦出現因不當存儲行為造成公民人身、財產安全風險，甚至已經造成了法益損害，那么很難通過法律解釋方法擴張刑法適用范圍以懲處行為人。據此，將極具法益侵害風險或已經造成法益侵害結果的不當存儲個人信息的行為納入刑法的規制范疇是必要的。

第二，非法刪除個人信息的行為。刪除行為包含了不應刪除卻實施了刪除行為以及應履行刪除義務而不履行等兩種情形。對于前者，司法實踐中大多以“破壞計算機信息系統罪”論處，不存在過多爭議。對于后者，存在的問題與不當存儲行為具有相似性，現有刑事立法同樣難以規制。

第三，不當使用、加工個人信息行為的法益侵害的風險亦不可忽視。刑法是否應當規制將合法獲得的個人信息用于處理目的之外的其他用途的情形。這類行為造成的后果不會直接違反法律的禁止性規定，但是卻帶有明顯的不當性。在實踐中，較為典型的做法是在商業活動中對個人信息進行加工分析，進而對特定群體實施歧視性定價行為等。根據《個人信息保護法》第24條，只要個人信息處理者利用個人信息進行自動化決策，就不得對個人在交易價格等交易條件上實行不合理的差別待遇^[11]。據此，這種不當加工、使用個人信息的行為就具有了進一步被評價為刑事不法的可能性。但是，根據現有立法將合法獲取的個人信息用于合法經營活動者則不會構成犯罪，即雖然歧視性定價等行為在《個人信息保護法》層面具有違法性，但這種商業行為本身尚屬于刑法層面“合法經營活動”的范疇，并不能適用現行立法的規定，刑事保護在這方面存在疏漏。

（三）與《個人信息保護法》銜接中的擴張風險

侵犯公民個人信息罪是典型的行政犯，違法性判斷由《個人信息保護法》等非刑事法律規范完成^[12]。在《個人信息保護法》保護范圍明顯大于刑事立法的情況下，若刑事立法不夠明確，那么便存在行政違法性被直接轉化為刑事違法性的風險，這也將進一步導致刑事保護范圍的不當擴張。

根據《個人信息保護法》，處理個人信息應遵循知情同意原則，這也是處理個人信息最重要的合法性要件，尤其是收集行為，未獲得個人同意實施的個人信息收集行為受到嚴格限制，受到《個人信息保護法》和《刑法》的雙重禁止。當前爭議較大的問題是過度收集個人信息的行為應當如何定性。根據《個人信息保護法》規定的處理必要性原則，即應限于實現處理目的的最小范圍，過度收集個人信息行為受到禁止。據此，即使經公民同意實施的個人信息收集行為也具有違法性。在刑法層面，根據司法解釋，“非法獲取行為”包含兩種情形，即“未經他人同意收集公民個人信息”以及“收集與提供的服務無關的公民個人信息”。從文義的角度來看，后者應當是獲得個人同意后實施的超出服務需要收集個人信息的行為。此入罪規定難免讓人產生這樣一種認識，未經同意實施的收集個人信息行為與經同意實施的過度收集個人信息行為具有相同的危害性。但是，立法之所以禁止未經同意實施的個人信息收集行為，一方面是因為侵犯了公民的信息自決權，另一方面則是個人信息被他人非法獲取后可能影響公民人身、財產安全。但是，經同意實施的收集行為并未侵犯公民的信息自決權，公民如果對收集行為感到不安即可拒絕，而不像未經同意實施的收集行為那樣使公民對個人信息的處理完全不知情。所以，盡管過度收集個人信息具有一定的危害性，但將之與未經同意實施的收集行為作等同理解的做法有待商榷。尤其是隨著《個人信息保護法》的出臺，過度收集個人信息的行為更易被認定具有違法性，極易引發基于《個人信息保護法》作出的行政法意義上的違法性評價直接轉化為刑事違法性評價的風險，不當擴張刑法規制的范圍。

四、完善公民個人信息刑事保護的理論選擇及具體路徑

（一）明確個人信息犯罪與行政違法的界限基礎

如前文所述，非法處理公民個人信息行為的違法性在《個人信息保護法》中得到清晰的界定，但當其社會危害性上升到需要刑法評價的程度時得不到應有回應，由此便產生了刑事保護的疏漏。當然為保障刑法的謙抑性和最后手段性，在解決行刑銜接問題時，還需要防止刑法保護范圍的不當擴張。我國對于侵犯公民個人信息犯罪這類典型行政犯的認定，采用了“前置法定性”與“刑事法定量”定罪模式^[13]，《個人信息保護法》的規定僅是初步劃定進入刑事違法性評價視野的大致范圍，關鍵之處仍是以刑法法益為核心對行為的危害性作實質判斷，尤其是需要對法規范的保護目的進行獨立的考察判斷^[14]。根據主流理論觀點，侵犯公民個人信息罪保護的法益是公民的信息自決權^[15]，通過保護個人信息安全而實現對個人人身、財產的保護^[16]，以此實現規避風險的立法目的^[17]。同時，《刑法》第13條規定了量的標準，將情節顯著輕微危害不大的行為被排除在了犯罪圈之外，即實施行政違法行為并不會直接構成犯罪，在此之前通常還有一段行政處罰發揮作用的空間——行政不法與刑事犯罪的邊界正是蘊含于此。但是，實踐中的問題遠非凝練簡潔的刑法條文所能完全涵蓋，行政不法與刑事犯罪的邊界也極易模糊混淆。申言之，化解《刑法》與《個人信息保護法》銜接的難題，首先需要明確二者的邊界。

在德國，對于行政不法與刑事犯罪的區分問題，“質量差異說”理論成為通說^[18]。該觀點認為，應當將刑法區分為核心領域與非核心領域。刑法的核心領域與行政不法存在質的差異，主要指向了人的生命、自由等權利，保護這些權利并不僅僅源于立法者的設定，還源于自然法等超越實定法的存在并通過刑法傳達出其受到絕對保護的必然性^[19]。在刑法的非核心領域，則主要指向了環境、經濟等領域內的不法行為，對此可以用刑事手段也可以用行政手段加以規制，二者之間僅有量的差異。

解決侵犯公民個人信息罪中的銜接問題首先需要在理論層面對刑事不法和行政不法的界限有明確的認識，區分哪些侵犯個人信息的犯罪行為僅與違法行為存在量的差異，哪些存在質的差別。有研究提出應當以個人信息的私密性為標準，分為“最核心層的隱私領域、中間層的私人領域、最外層的社會領域”等三個不同領域，進而決定犯罪構成要件要素的具體內容。司法解釋中規定的“行蹤軌跡信息、通信內容、征信信息、財產信息”等四種不允許擴大范圍的信息便屬于最核心層；而“住宿信息、通信記錄、健康生理信息、交易信息”等可能影響人身、財產安全的公民個人信息則屬于中間層的私人領域；最外層的社會領域則具有極為廣泛的外延，諸如公民在自動販賣機購買日用品的記錄等相對不重要的內容都可劃入此列。結合立法目的來看，因前兩類信息直接與公民個人人身、財產關聯，明顯具有質量差異說中“核心領域”的特征，犯罪與違法行為具有“質”的差異。最后一類信息即使被違法使用、加工、存儲、傳輸等，也難對人身、財產等重要法益造成侵害風險，可納入“非核心領域”，犯罪與違法行為具有“量”的差異。這也是個人信息犯罪的司法解釋所貫徹了的基本立場，但規定較為模糊，有待進一步細化。具體而言，不當處理個人信息行為入刑需要結合信息的私密程度做綜合性判斷。不當存儲行蹤軌跡信息、通信內容、征信信息、財產信息、住宿信息、通信記錄、健康生理信息、交易信息等信息導致個人的人身、財產權益面臨重大風險或已然遭受侵害的，應當承擔刑事責任。未履行信息刪除義務導致“最核心層、中間層”信息被非法獲取使用的概率急劇增高或已經被他人非法獲取使用的信息處理主體，應當受到相應的刑事處罰。對私密信息不當使用、加工造成公民人身、財產等法益侵害的風險，或非法使用、加工個人信息直接用于危害國家、軍事、公共、人身、財產安全的活動的主體，也應當受刑法規制。對于合法獲得的個人信息用于原本處理目的之外的其他用途的情形，也應結合信息的私密程度、造成人身、財產損失、社會不良影響等多方面的因素，在必要時由刑法介入。

（二）立法及司法解釋應作審慎擴張

在立法方面，可考慮修訂現有立法內容，將侵犯公民個人信息罪規制的行為類型調整為“處理行為”。“處理行為”貫穿于整個信息生命周期，能夠最大限度地減少保護范圍的“死角”，這也能化解司法機關在處置非法公開、使用、加工、存儲等可能構成犯罪的違法行為時面臨的法律解釋難題。申言之，可將侵犯公民個人信息罪第一款內容中的“向他人出售或者提供公民個人信息”改為“非法處理個人信息”，第二款可調整為針對第一款的從重處罰規定，第三款則可以被第一款吸收。

這種做法的重要意義在于，統一了侵犯公民個人信息罪與《個人信息保護法》的規定，減少了法律沖突，有利于兩法的銜接。由于個人信息的“處理行為”涵攝范圍廣泛，遠大于當前刑事立法中規定的“非法提供”和“非法獲取”等行為，其中必然包含一部分并不具有值得被刑法評價的情形。如實踐中最為常見的幾種情形，個人信息處理者收集公民的網絡購物瀏覽記錄，未經同意而進行分析加工并用于商業活動，對公民個人進行有針對性的信息推送、商業營銷等等。這類行為雖然會對公民的購物活動造成一定的“困擾”，卻未造成公民人身、財產等重要法益侵害的風險，因而不值得刑法評價。但是，這種行為仍然屬于《個人信息保護法》中的“非法處理”行為，難免有被刑法進行評價甚至定罪的風險。為避免刑事保護范圍的過度擴張，還可在條文中明確規范的保護目的以進行限制^[20]。如前文分析，此罪的立法目的就在于通過禁止一定的個人信息處理行為以避免對人身、財產等重要法益造成風險，因而可在第一款中規定“具有足以造成公民人身、財產安全風險”或“造成公民人身、財產安全風險”，明確宣示該罪的保護目的，限縮適用范圍。

與此同時，司法解釋也應當作出一定的調整以滿足罪名適用的需求，尤其是對于前文提及的，可能造成公民個人人身、財產等法益侵害的風險的非法存儲、公開、使用、加工等行為，可在司法解釋中設置具體的定罪量刑標準，以實現刑事保護的合理擴張。

最后，感謝山東政法學院青年人才支持計劃的資助。

On the Omission and Improvement of Criminal Protection of Citizens Personal Information

——Take the Connection between the Criminal Law and the Personal Information Protection Law as the Entry Point

CHEN Zhuo

（Faculty of Law， Macau University of Science and Technology， Macao Special Administrative Region 999078， Macao， China）

Abstract：?Personal information legislation started from the field of criminal law. Criminal law preceded the legislative rhythm of civil law and administrative law is very likely to lead to the incoherence of protection system. After the introduction of the Personal Information Protection Law， the problem of the connection of the execution gradually became prominent. On the one hand， the types of violations of citizens' personal information regulated by criminal law are limited， and it is difficult to expand the scope of protection only by legal interpretation; On the other hand， as an administrative crime， the illegality evaluation made by the preemptive law has an important impact on the conviction， and improper use of the preemptive law can easily lead to irrational expansion of the scope of criminal protection. In this regard， on the premise of clarifying the boundary between criminal crimes and administrative violations， the adjustment scope of criminal law can be extended to all information processing behaviors， and the regulation scope of the crime of infringing citizens' personal information can be fully realized as far as possible. At the same time， by clarifying the purpose of protection of laws and regulations， we delimit a reasonable boundary for the crime of infringing citizens' personal information， avoid improper expansion of the scope of punishment， achieve reasonable limitation and guide judicial application.

Keywords：criminal law first， convergence of the two laws， protection omission， expansion risk

參考文獻

[1]????? 梁根林. 刑法修正： 維度、策略、評價與反思[J]. 法學研究， 2017（01）： 42-65.

[2]????? 陳洪兵. 雙層社會背景下的刑法解釋[J]. 法學論壇， 2019（02）： 78-87.

[3]????? 申衛星. 論個人信息保護與利用的平衡[J]. 中國法律評論， 2021（05）： 28-36.

[4]????? 文立彬. 個人信息犯罪的刑法規制——以內地和澳門為比較[J]. 北京郵電大學學報（社會科學版）， 2015（03）： 50-73.

[5]????? 陳瑞華. 行政不法事實與犯罪事實的層次性理論——兼論行政不法行為向犯罪轉化的事實認定問題[J]. 中外法學， 2019（01）： 76-93.

[6]????? 趙秉志， 袁彬. 刑法與相關部門法關系的調適[J]. 法學， 2013（09）： 113-121.

[7]????? 趙運鋒. 行政違法行為犯罪化的檢視與應對[J]. 政法論叢， 2018（02）： 100-109.

[8]????? 于沖. 附屬刑法缺位下行政犯空白罪狀的功能定位及其要件填補[J]. 中國刑事法雜志， 2021（05）： 92-107.

[9]????? 吳漢東. 知識產權法（第五版）[M]. 北京： 法律出版社， 2016.

[10]???? 呂炳斌. 個人信息權作為民事權利之證成： 以知識產權為參照[J]. 中國法學， 2019（04）： 44-65.

[11]???? 楊婕. 《個人信息保護法》正式出臺——走中國特色的立法之路[J]. 中國電信業， 2021（09）： 47-51.

[12]???? 孫靖珈. 侵犯公民個人信息罪的犯罪屬性及對刑罰邊界的影響[J]. 海南大學學報（人文社會科學版）， 2019（06）： 68-76.

[13]???? 田宏杰. 行政犯的法律屬性及其責任——兼及定罪機制的重構[J]. 法學家， 2013（03）： 51-117.

[14]???? 簡愛. 我國行政犯定罪模式之反思[J]. 政治與法律， 2018（11）：31-44.

[15]???? 劉艷紅. 民法編纂背景下侵犯公民個人信息罪的保護法益： 信息自決權——以刑民一體化及《民法總則》第111條為視角[J]. 浙江工商大學學報， 2019（06）： 20-32.

[16]???? 姜濤. 新罪之保護法益的證成規則——以侵犯公民個人信息罪的保護法益論證為例[J]. 中國刑事法雜志， 2021（03）： 37-55.

[17]???? 歐陽本祺. 侵犯公民個人信息罪的法益重構： 從私法權利回歸公法權利[J]. 比較法研究. 2021（03）： 55-68.

[18]???? 王瑩. 論行政不法與刑事不法的分野及對我國行政處罰法與刑事立法界限混淆的反思[J]. 河北法學， 2008 （10）： 26-33.

[19]???? 鄭善印. 刑事犯與行政犯之區別[M]. 臺北：三峰出版社， 1990.

[20]???? 于改之. 法域協調視角下規范保護目的理論之重構[J]. 中國法學， 2021（02）： 207-227.