邁向“風險”范式的侵犯公民個人信息罪之教義學重構

內容摘要：刑法學界主流立場對侵犯公民個人信息罪的闡釋與建構，因單純倚重“權利”范式而存在理論缺陷、方法缺陷和現實缺陷，無力應對數據信息社會對個人信息保護提出的全新挑戰。“風險”范式是近年來涌現的個人信息保護理念，能夠合理分配信息處理活動的風險，將個人信息保護的主要責任與義務分配給制造風險的信息處理者。對侵犯公民個人信息罪的學理闡釋，應統合兩種范式的合理內核，重塑保護法益、犯罪屬性以及不法阻卻事由。侵犯公民個人信息罪的保護法益是數據信息社會中個體的匿名性；侵犯公民個人信息罪是法定犯而非自然犯，“違反國家有關規定”不能被矮化為“取得同意”；個人的知情同意與信息處理者基于風險的風險控制義務共同構成了不法阻卻事由。

關鍵詞：個人信息；大數據；保護法益；法定犯；風險控制

中圖分類號：D924 """"""文獻標識碼：A "文章編號：2095-7076（2024）03-0086-14

DOI：10.19563/j.cnki.sdfx.2024.03.008

一、問題的提出

數據信息技術的廣泛應用，在推動中國社會經濟高速發展的同時，也催生出巨量的非法收集、倒賣、濫用公民個人信息的違法犯罪行為。為有效保護公民個人信息，防范因信息泄露和非法利用所可能引發的社會風險，《刑法修正案（九）》設立了“侵犯公民個人信息罪”。以《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下文簡稱為《個人信息解釋》）為標志，刑法學界與司法實務對侵犯公民個人信息罪的研究、解釋與適用邁入了新的階段。

綜覽近年來的理論研究圖景與司法實踐狀況不難發現，主流見解對侵犯公民個人信息罪的理解與闡釋，以具有鮮明私權屬性的個人信息自決權為中心進行展開。在理論層面，這種觀點認為侵犯公民個人信息罪的保護法益，是個人信息自決權這一來源于《民法典》的私人性綜合性權利；①在實務層面，許多法院亦明確肯定本罪旨在保護個人信息自決權。例如，在“羅某侵犯公民個人信息案”中法院指出，行為人對于汽車卡口軌跡信息的非法泄露系對個人信息自決權的嚴重侵害，應予以嚴厲的否定性法律評價；①而在“汪某侵犯公民個人信息案”中，法院進一步認為，公民對其個人信息享有自決權，行為人如果違背公民的意愿，通過搜集、使用、交易等形式實施犯罪行為，均具備“非自愿擴散性”，應受到刑法處罰。② 個人信息保護是橫跨諸部門法的宏觀規范目標。刑法的保障法的角色決定了對侵犯公民個人信息罪的闡釋，勢必受制于宏觀層面現行法律體系所采取的保護理念與路徑。而在理念與路徑的選擇上，國內外當前主要存在著“權利”范式（Rights-based Approach）與“風險”范式（Risk-based Approach）之爭。③前者從較為傳統的權利視角出發，賦予個體控制個人信息的自我決定性權利，以保護公民個人信息不受侵害；后者是近年來發展出的個人信息保護路徑，以信息處理活動可能帶來的風險為著眼點，訂定個人信息保護的法律規制框架。以個人信息自決權為中心來解讀侵犯公民個人信息罪的既定做法，總體上可被視為“權利”范式的保護理念在刑法中的延伸。然而此種做法能否滿足當代社會對個人信息保護的合理期待，存在較大疑問。

下文將表明，從個人信息保護法律體系的總體規范目標和價值取向來看，對侵犯公民個人信息罪的理解與建構，應適當吸納新興“風險”范式的合理做法，重構保護法益、犯罪屬性與不法阻卻事由。

二、侵犯公民個人信息罪中的“權利”范式及其缺陷

（一）個人信息保護的“權利”范式

權利的現代基礎在于將個體從理性權威與道德權威所施加的負擔中解放出來，個體僅僅依靠自己并且越來越占據中心位置，人們從個體的優先意義的角度在現代自然觀的語境中思考權利。④如霍布斯所述，一般稱之為自然權利的，就是每一個人按照自己所愿意的方式運用自己的力量保全自己天性的自由。⑤"通過賦予個體某種私人性權利來解決相應社會問題的做法，構成了“權利”范式的核心內容。在“權利”范式中，權利持有者（Rights-holders）與義務承擔者（Duty-bearers）構成對應關系，自我權利的實現只能依賴于他者對義務的履行。正因此，《聯合國關于基于人權的發展合作和規劃方法的共同諒解聲明》將對權利持有者的賦權以及對義務承擔者的問責制度作為“權利”范式的核心。總體上，“權利”范式具備如下三個特點：第一，將權利持有者視為理性的絕對自治的個體；⑥"第二，對權利義務主體間“平等能力”的假定，也即假定權利持有者與義務承擔者的能力大體相同，個人僅憑自身行動即可在絕大部分場合實現權利；第三，個人行動者假定。基于權利的個人屬性，實現權利的主體在絕大多數場合只能是作為權利持有者的個人。如學者所指出，賦予公民權利，必然意味著他們也要負責執行其權利。⑦

20世紀后半葉，為應對個人信息大規模數據化所導致的公平缺位、隱私受害等問題，美國、歐洲等國家和地區開始在個人信息保護中引入“權利”范式，興起于美國的“公平信息實踐”原則，以及歐盟憲章確立的個人信息受保護權，是個人信息保護“權利”范式的集中體現。⑧我國《民法典》與《個人信息保護法》也吸納了“權利”范式的理念，規定了自然人在可識別自身的信息上享有知情權、刪除權等一系列權利。在個人信息保護問題上采取“權利”范式，首先意味著法律體系應當對公民的個人信息明確提供“最低且不可協商之程度的保護”（minimum and non-negotiable level of protection）。①""據此，任一信息主體相對于信息處理者而言，對所有可識別自身之信息，都享有某種程度的不可化約的控制權。其次，以信息主體的固有權利為中心，基于預先設定的靜態性與形式性標準，對各類信息處理行為的法律性質，進行脫離具體情境的統一化判斷。在“權利”范式下，信息處理行為的性質判斷，遵循“要么合法、要么非法”的全有全無式的二元邏輯。②"最后，現代個人權利的本質特征在于主體對自身意志的行使，③""在“權利”范式中，信息處理行為最為重要（往往也是唯一的）合法性判準，便只能是信息主體的主觀意志（也即同意與否）。

（二）“權利”范式對刑法學界的影響

以“權利”范式的總體內容和基本特點為參照可以發現，刑法學界主流見解對侵犯公民個人信息罪的教義學解讀，大體是對“權利”范式的按圖索驥，具體表現為以下三個方面。

其一，將侵犯公民個人信息罪的保護法益界定為私權屬性的個人信息自決權。有論者指出，侵犯公民個人信息罪所保護的個人信息自決權在性質上屬于具有絕對私人屬性的具體人格權，植根于《民法典》對個人信息設置的獨立保護規范，具體是指個人對自身信息形象的控制權；④"另有論者認為，個人信息自決權兼具人格權和財產權的特點，人格權側重于消極防御他人侵害，財產權強調積極使用以及許可他人使用；⑤"還有觀點指出，個人信息自決權包含了信息決定、查詢、更正、刪除、可攜帶的積極權能和信息保密、封鎖、被遺忘等消極權能。⑥"這些論述均采納了立場鮮明的私權進路，主張個人對能夠識別自身的信息享有近乎絕對的控制權，非因國家安全、疫情防控等重大公共利益，個人應當能夠控制信息的流動與處理過程。因此，未經同意而提供、獲取個人信息的行為自然帶有刑事不法的色彩。就如論者所指出的，個人信息自決權是一般性自我決定權在刑法中的體現，此種權利賦予了個人對于自身相關的信息，能夠擁有在何種范圍內、于何時、向何人、以何種方式加以揭露或處分使用的自主權。⑦"可見，個人信息自決權的本質特征在于個人對自身信息的意志性支配，體現的是刑法對個體意志自由的保障與尊重，是一種道德性權利。

其二，將個人的同意作為最根本（往往也是唯一重要）的不法阻卻事由。“權利”范式強調公民個體對自身信息的自主控制，根據“承諾無侵害”的原理，法益持有者對權利的放棄，排除了處理者構成侵犯公民個人信息罪的可能性。由于在絕大多數社會場景中，個人信息處理活動并不涉及公共安全、突發疫情等特殊情形，獲取同意就成為信息處理者需要遵守的唯一實質性義務。同時，將個人的知情同意作為最重要的不法阻卻事由，還意味著個人出于社會交往等各種目的而公開的信息，往往被排除出侵犯公民個人信息罪的保護范圍。原因在于，已公開個人信息是基于原權利人的同意與授權，并且由于海量數據處理的需要與中間性流轉主體的多元性，無法一一征得再次同意。⑧

其三，將信息主體的支配性和控制性權利，無差別地延伸到所有可識別信息之上。個人信息自決權的原初內涵便是個人對所有能夠識別自身的信息具有控制權。首次肯定這一權利的德國憲法法院指出，個人信息自決權是個人在現代信息處理技術下享有的基本權，一項看上去不重要的個人信息可能會在信息處理中獲得新的意義，在自動化信息處理技術面前，不再有“不重要”的信息。①"據此，在將個人信息自決權作為保護法益之后，所有可識別個人的信息都因為涉及信息主體的意志自由這一基本的道德性權利，而應當受到同等程度的保護。“可識別個人信息”與“應被個人控制的信息”因此成為一個“硬幣”的兩面。

（三）前述做法的理論缺陷與當代挑戰

1.理論缺陷：權利論證不充分

作為數據信息社會的全新問題，公私法學界對“個人對于具備可識別性的信息是否享有權利”尚無定論。反對性的見解并不鮮見。例如，梅夏英教授認為，將個人數據作為一種權利客體的觀點忽視了數據本身的無形性、可分享性以及公共性的特點，也沒有充分顧及個人數據分享的價值，個人信息保護的目的并不在于私法，而在于公法層面上規避因信息可能的泄露和濫用而導致的社會風險。②張翔教授指出，對個人信息的保護應當以個人信息的公共性與交互性為施力點，其核心并非對個人信息的支配與控制，而是個人能否信任信息處理環境的公平與安全，以及能否有效防御他人可能的人格干預，從而得以自由參與社會生活，實現人格的自由發展。③"在公私法學界就個人信息的權益屬性爭論不休的情況下，在刑法法益體系中直接創設個人信息自決權這一支配性權利的做法，不免冒進。

進言之，公私法學界的前述論爭，本質上是未就“個人信息能否成為支配性控制權之客體”這一問題達成共識。支配權是指權利人有權憑其單方面的意志行使其法律權力，而無需他人的積極協助。④然而，個人信息的非競爭性與非排他性使得信息主體的支配并不現實。個人信息的非排他性意味著信息主體無法禁止他人的占有與使用；非競爭性意味著他人對信息的使用并不會對信息的效用產生任何影響，也即并不妨礙個人信息的可識別性。⑤"因此，個人信息具備不同于一般物品或財產的雙重屬性：個人屬性與社會流通屬性。⑥"社會流通屬性的存在意味著“可識別性=可控制性”的等式在事實和規范層面均無法成立。是故，從支配性個人信息自決權的角度解讀侵犯公民個人信息罪保護法益的做法，無法站穩腳跟。

2.方法缺陷：“公/私二分”不可行

由于將同意作為信息處理行為是否合法的分界線，“權利”范式事實上把個人信息區分為“未公開”與“已公開”兩種類型。前者因為屬于私人領域而原則上受到保護；后者因涉及公共領域，只是例外地成為本罪的保護對象。問題在于，此種頗為僵硬的“公/私二分”的做法，在信息復雜、高速流動的當下并不可行。大數據技術的發展，使得無論是私人數據、集合數據還是公共數據，其信息類型都不再是固定不變的。⑦尼森鮑姆指出，現代技術系統和實踐不僅改變了根據公私領域的二分法，同時也從根本上改變了信息的收集和流動，隨著技術能夠廣泛地收集、處理和傳播大量信息，公共信息/私人信息的傳統二分法是遠遠不夠的。⑧"在信息技術的原因之外，社會場景的多元性與交叉性，也往往使得在已公開個人信息與未公開個人信息之間難以找到清晰的邊界。也正是基于這一原因，刑法學界就“侵犯公民個人信息罪的保護范圍是否包含已公開個人信息”，以及“如何使得對已公開個人信息的保護與個人信息自決權的法益能夠保持協調”等問題，始終未能達成一致意見。司法實務中的做法也并不統一，既存在從個人信息自決權受害的角度出發，主張對“已公開個人信息”的出售與提供仍應獲取同意的判決結論；①"亦存在從個人信息自決權未受侵害的角度，否定相應行為構成犯罪的論證思路。②

3.現實缺陷：風險分配方案不公平

“權利”范式嘗試賦予個人以支配性控制權，初衷在于更好地保護個人信息。但在大數據技術時代，這種做法反而會導致顯失公平的風險分配局面，將信息處理活動帶來的風險主要分配給信息主體而非處理者。為個人信息賦權的做法傾向于將個人視為理性主體，并讓個人理性地自主決定如何保護或披露其個人信息。③問題在于，信息處理者為了規避風險，往往采用抽象語言和捆綁式的方式列出冗長的隱私政策條款，個人由于時間、精力與必要知識的匱乏，造成了告知同意機制在實際適用中的高成本與低效率。④有學者指出，由于一系列的結構性和心理性缺陷，所謂的告知同意機制常常既不“告知”又不“自決”。⑤將知情同意機制貫徹到底，意味著法律體系把作為信息主體的個人視為保護個人信息的第一責任人，這無疑對信息主體提出了過高要求與不合理期待。將個人信息自決權作為侵犯公民個人信息罪保護法益的做法，必然導致信息控制者與處理者除了征得同意的義務之外不承擔任何積極義務。⑥此外，“權利”范式雖然讓個人在信息收集環節得到充分尊重，但也僅限于此。受到信息處理者與信息主體之間極不對稱的權力結構的影響，個人的自我決定權，在實踐中僅表現為一次性用盡的許可權。對于后續的信息利用行為可能導致的泄露、濫用等風險，個人只能自我答責。⑦在侵犯公民個人信息罪的闡釋中單純倚重“權利”范式，無疑會催生出“前端尊重、后端濫用”的現實圖景，無助于規制非法利用、處理個人信息的行為。

前述三大缺陷的存在，意味著應探索新的個人信息保護理念與路徑，重塑侵犯公民個人信息罪規范構造的底層邏輯。對此，近年來的個人信息保護實踐嘗試在“權利”范式之外引入“風險”范式，⑧""以回應個人信息保護領域中的諸多問題。倘若“風險”范式能夠被證明是一種理想的個人信息保護理念與路徑，那么刑法學界與司法實踐對于侵犯公民個人信息罪的解釋與適用，便自然需要結合這一范式的合理之處進行展開。

三、個人信息保護“風險”范式的出現及其合理性

（一）個人信息保護的“風險”范式

為有效應對風險社會的到來，現代國家完成了從“守夜人國家”“福利國家”“規制國家”到“風險規制國家”的轉變。⑨對風險的關注，使國家形象從自由主義轉向預防主義，政府也因此變得“未雨綢繆”，力求在潛在危機初露端倪時就將其扼殺在搖籃之中，使發展所需的制度條件得以完善。⑩現代社會的治理模式也隨之逐漸轉向“風險”范式。“風險”范式強調，對風險的治理不應以消除所有潛在的損害為目標，而應關注潛在不利后果的概率和影響，風險而非實際損害構成了規制的正當化依據。簡言之，“風險”范式的本旨在于通過對風險進行事前評估，在早期妥善控制風險，避免難以預測、無法逆轉的損害。

在個人信息保護法律實踐層面，一般認為歐盟《一般數據保護條例》（下文簡稱GDPR）正式確立了個人信息保護中的“風險”范式。其中最為突出之處體現在GDPR第24條（數據控制者的責任）、25條（通過設計的數據保護）、32條（個人數據處理安全）、33條（數據泄露報告義務）和35條（數據保護影響評估）的規定。根據這些規定，“風險”范式的核心特征可以被概括為：在對信息風險及其控制舉措進行整合的基礎上，對信息處理者的行為進行彈性化的判定，以確定信息處理者的行為邊界。①個人信息處理者需要根據其處理活動對個體權利和自由造成的風險概率、嚴重程度，采取適當和有效的技術、組織手段來確保處理活動符合條例規定的個人信息保護原則。②在具體的操作層面，“風險”范式圍繞著個人信息處理活動中的“風險分析”（Risk Analysis）展開，它由“風險評估”（Risk Assessment）與“風險管理”（Risk Management）兩個步驟組成。③風險評估是指信息的控制者、處理者通過發現、識別、描述風險來理解風險的本質和評估風險的等級（嚴重程度）；風險管理則涉及信息處理者是否決定承擔風險，它通常伴隨著降低、控制、減緩信息處理風險的技術措施（如個人信息去識別化技術）。④“風險”范式的個人信息保護路徑帶有較為強烈的彈性、可伸縮的色彩，它的目標并不是要求信息處理者必須消除風險，而是要求其將風險降低到可容忍的程度。⑤美國信息政策領導中心（CIPL）便指出，“對個人基本權利和自由風險較低的處理通常可能導致較少的風險管理義務，而高風險的處理將增加額外的風險管理義務。”⑥我國《個人信息保護法》亦具有了“風險”范式的部分特征。例如，《個人信息保護法》第28條至32條單獨規定了針對個人敏感信息的特殊保護。個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的個人信息。鑒于個人敏感信息的風險屬性，《個人信息保護法》將其區別于一般個人信息。此種以可能風險的大小為基礎，要求信息處理者施以不同力度的保護措施的做法，體現出“風險”范式的鮮明特征。

（二）“風險”范式的實踐優勢

第一，“風險”范式將個人信息保護的重點，從單純地賦予個體以控制權轉移到信息處理者的風險控制義務上，順應了數據信息時代保護個人信息的基本趨勢。事實上，“權利”范式并非沒有認識到信息處理活動中的個人與信息處理者之間失衡的權力結構。但“權利”范式下的個人信息法律保護體系并未選擇直接對其進行調整和規制，而是通過賦權使受到影響的個體來制衡這種權力，確保個體能夠參與到信息處理的活動之中，以間接規制信息處理者的行為。⑦然而，數據信息時代的到來使間接規制的思路歸于無效。一則，個人信息的保護水平取決于社會整體的信息環境。由于個人信息具備高度的連帶性和流動性，某一個體的信息披露決策也會深刻地影響其他個體，即使只有少部分人披露信息隱私，也可能會將后果強加給大多數人。⑧二則，信息主體并非精于損益計算的完全理性人，而是經常在各類風險評估中因“可得性偏差”而得出非理性結論的“社會人”。⑨社會人的基本形象，意味著個體在面對占據了技術與經濟優勢地位的信息處理者時，往往傾向于做出隨意許可個人信息的決定，導致社會整體信息環境惡化。

正是意識到間接規制思路的弊端，“風險”范式選擇以信息處理活動中的風險為施力點，直接以對個體產生的風險高低為基點，確定信息處理者的注意義務，屬于直接規制的思路。在“風險”范式中，信息處理者所承擔的義務，不再與個體所擁有的防控信息風險的能力大小與意愿高低掛鉤，這便避免了個人信息保護中的短板效應，能夠在整體上改善信息環境。“風險”范式所代表的風險分配方案與義務分配方案對個體更加友好，也與信息數據社會中的利益分配格局以及風險防控能力相吻合：信息處理者獲得了絕大多數利益，同時也掌握更多的資源、技術、手段來避免、分散風險，因而需要承擔主要責任。

第二，“風險”范式采取了“可伸縮”與“合比例”的方法來執行個人信息保護法律規范中提出的各種原則，提供了更切實可行的個人信息保護操作指南。在“風險”范式中，信息處理者的注意義務高低與處理活動可能帶來的風險大小呈線性相關關系，處理者能夠以靈活的方式來實現需求，依據風險來對內部操作進行評估與管理。①正因如此，國外有學者指出，“風險”范式下的個人信息保護實現了超越“書面的官僚要求”（paper-based bureaucratic requirements）的局限，能夠真正落實到信息社會的實踐中。② 第三，“風險”范式不單著眼于個體的控制權是否遭受損害，而是能夠顧及個人信息處理活動中的真正重大風險。當“權利”范式賦予信息主體以控制權時，信息處理者對其造成的侵害便理所當然地聚焦于這一權利受害的結果。但法律保護個人信息的目的不應止于保護某種控制本身，而是應當防范縛系于信息處理活動上的相關風險（如人格尊嚴受害風險、人身財產安全風險等）并促進個人信息在具體場景中的合理流通。③這也是一些學者將《個人信息保護法》規定的相關權利界定為“工具性權利”而非道德性權利的原因。④而在“風險”范式中，基于風險分析工作的要求，信息處理者需要進行個人信息保護影響評估（DPIA），在這一評估框架之內，處理活動對個人基本權利與自由的風險、信息泄露造成的社會風險等均被考慮在內。監管機構也可以通過制定風險評估量表的方式對處理者的風險分析工作進行有效引導。

第四，“風險”范式有助于修復、重建信息主體與信息處理者之間的信任關系，促進信息的合理流通與使用。“權利”范式是一種控制范式，強調個人信息的溝通過程應當完全由其所有者自主控制。在控制范式下，信息主體與信息處理者之間在法規范層面形成“控制與被控制”的零和博弈關系。然而，信息技術與信息經濟使得信息處理者在事實層面反客為主，成為真正控制信息的一方。就如論者所指出，越是堅持自主權，越是可能使其主動放棄對信息的控制。⑤由此，規范層面賦予個人的控制權在實踐層面異化為個人信息的普遍失控。此種反差勢必會催生、加劇個人對信息處理活動的焦慮和對立情緒。相反，“風險”范式更多體現為信任范式，它通過要求信息處理者采取與風險大小相稱的注意義務，來增強信息處理的可信任性。事實上，數據信息時代的主體主動或者被動分享個人信息，其背后隱含著的前提是他能夠相信處理者會妥善保管數據并恪盡善意管理人的職責，這是個人信息得以被大規模收集、處理的社會心理基礎。⑥“風險”范式讓個體有理由相信，其受到的保護不僅體現在收集環節，還體現在后續的處理環節，進而能夠推動原本對立的兩方走向合作，破除信息分享與利用的心理壁壘。

（三）兩種范式的關系厘清

當下，個人信息保護的“風險”范式在我國學界的相關研究中已經有所體現，既有的做法主要是將“風險”范式作為對“權利”范式的替代品。例如有論者認為，我國個人信息保護路徑需要擺脫“權利”范式，重構為“風險”范式。①"但這種嘗試在實然層面與應然層面均值得商榷。

其一，GDPR雖然正式實踐了“風險”范式的理念，但只是將它作為傳統的“權利”范式的必要補充而非替代方案。②實際上，GDPR中仍存在著大量的賦權規范，如第三章就確立了信息主體的訪問權、更正權、擦除權（被遺忘權）、限制處理權、攜帶權和反對權等一攬子權利。這說明個人信息保護的“權利”范式并未消退，而只是需要得到“風險”范式的支持與補充。我國《個人信息保護法》中雖然也存在著關于敏感個人信息、個人信息保護測評等體現了“風險”范式的規定，但更多的是有關個人信息諸項權利的規范條文。此外，《民法典》也在人格權編獨立規定了對個人信息的保護。因此，“權利”范式與“風險”范式在可預見的未來，都將在我國的個人信息保護中得到適用。

其二，個人信息保護“權利”范式的最終目標，是保障個人自治和個人尊嚴。為了個體能夠自主思考、自我發展、自由表達，個體就至少需要在一定程度上能夠決定何時、基于何種方式、在何種程度上將有關自身的信息傳達給他人。③因此，“權利”范式的種種缺陷并非在于愿景與目標，而是在具體方法上過于倚重個體。近年來興起的“權利束”理論、“工具性權利”理論，以及前文論述的“風險”范式，恰是為了與“權利”范式的傳統方法相結合，共同完成保障個體的基本權利、自由與人格尊嚴的重大使命。

其三，個人信息保護的“風險”范式不意味著對個人權利的全面取締，而是意味著賦予個體權利之前，首先需要對信息處理活動帶來的風險進行合理分配。信息處理活動對個體基本權利與自由造成的風險大小，是信息處理者應履行之義務的參照點與校準點。④因此，“風險”范式不排斥個人權利，它只是強調信息處理過程中的風險分配優先于權利義務的分配。“風險”范式不是將個人信息權利視為道德層面上公民自我決定權的延伸，而是將其理解為一種目的理性意義上的工具，這種工具是國家經過風險權衡之后主動提供給個人來抗衡信息處理者權力的保護性舉措，是國家保護義務的顯現。

通過前述對比可以發現，刑法學界對侵犯公民個人信息罪的構建，在目標與方法上存在明顯的本末倒置。其一方面沒有注意到，法律體系保護個人信息的目標，并不在于賦予個體以控制自身信息的道德性自我決定權，以至于無法準確命中個人信息保護問題的要害。另一方面過于直白地移植所謂的個人信息自決權來解釋侵犯公民個人信息罪的規范構造，未能關注到“風險”范式這一必要的補充，以至于將“權利”范式在當代數據信息社會產生的諸多缺陷“照單全收”。

四、對侵犯公民個人信息罪規范構造的重塑

為了擺脫對“權利”范式的單純倚重及相應缺陷，刑法學界應當結合“風險”范式的合理之處，對侵犯公民個人信息罪做出重新詮釋。本部分的論述將指出，侵犯公民個人信息罪的規范意旨在于，在數據信息社會中通過規制個人信息處理活動所產生的各類風險，來制衡數據企業、數據平臺等強勢主體，為個體提供傾斜性的保護，避免其遭受外界環境的過度識別與鏈接。基于這一規范含義，侵犯公民個人信息罪的保護法益、犯罪屬性與不法阻卻事由等均需得到重新闡釋。

（一）保護法益：個體的匿名性

1.個體匿名性法益的提出

法益概念承擔著刑法體系與外部環境之間溝通媒介的角色，它并非個罪研究的邏輯基點，而是將外部需求傳遞至刑法體系的媒介。①為了準確界定侵犯公民個人信息罪的保護法益，在考慮本罪體系地位與罪狀表述的同時，必須顧及外部環境對法律系統提出的真正需求。如果深陷“權利”范式的傳統思路無法自拔，就極易將保護法益不假思索地界定為個人信息自決權，但這會導致將保護個人信息的責任義務主要分配給勢單力薄的個體，既不公平也不有效。有學者提出“個人信息受保護權”的公法法益觀，認為本罪的規范目的是通過規制信息處理者的行為來規避對個人信息的侵犯風險。②此種觀點雖認識到了信息風險的真正來源，卻存在流于形式的缺陷。

以個人信息保護“風險”范式的緣起為著眼點可以發現，GDPR以及我國《個人信息保護法》等法律規范之所以在傳統的“權利”范式之外引入“風險”范式，是因為單憑賦予個體某種控制性權利的方式，遠無法滿足數據信息社會中個體對于個人信息保護的合理期待。這說明“權利”范式與“風險”范式原本服務于共同的目標，二者分別從“為個體賦權”和“為信息處理者施加更多風險控制義務與責任”的不同側面來促進這一共同目標的實現。可見，將“風險”范式引入侵犯公民個人信息罪的規范闡釋中的首要意義在于，使刑法在個人信息保護上避免短視，并將個人信息保護規范體系的真正目標注入法益設定過程之中。

數據信息技術的高速發展對人類社會造成的真正挑戰，是公共領域與私人領域之間界限的隱退。在傳統社會，公共領域與私人領域的劃分主要依據有形的物理界限而得到保障。19世紀晚期的照相、大眾媒體等信息侵入技術侵蝕了墻壁等物理界限，法律因而發展出隔離與獨處的隱私概念，以保護私人領域免受打擾。③而在20世紀中后期，電子數據庫和計算機管理自動化等技術的出現，導致對私人領域的保護無法憑借空間上的封閉與隔離來實現，個體必須參與和控制信息的流動過程，④此即“權利”范式期望達成的保護效果，也是“公平信息實踐”得到確立的時代背景。不難看出，前述做法均是將私人領域與公共領域的劃分任務交給個人，讓個人自主決定私域內相關信息的發布和事項的處理。⑤

然而，大數據時代的到來徹底破壞了原有的公私領域的劃分機制，政府、平臺企業等信息處理者掌握了各類公共信息和個人信息，通過鏈接、分析、匹配、重組等技術，使原本界限分明的公共領域與私人領域的范圍產生交叉。身處數據信息社會中的個體根本無從知曉，經自身同意而被收集的信息會與哪些其他信息產生關聯，這種關聯又會生產出關于自身的何種知識。例如，去識別化的個人信息經過關聯和比對，仍然能夠實現再識別化；一些公共信息（如公交車運行時間、軌跡）與其他信息結合，也可能還原出大量個人信息，進而導致個體被再次卷入公共領域，能夠為他人識別和打擾。概言之，公共領域與私人領域涇渭分明的分界線，被推陳出新的信息技術徹底擊穿，一個跨越公私領域的“信息領域”（infosphere）⑥正在形成。然而，公共領域與私人領域之間的界分仍然是重要的。就如舍恩伯格所言，即便在大數據時代，人類的未來必須保留部分的空間允許我們按照自己的意愿進行塑造，否則大數據便會扭曲人類最本質的東西，即理性思維和自由選擇。⑦況且，只有在公共領域與私人領域之間達成平衡，才能滿足人類正常的民主政治生活狀態的底線要求，⑧也才能讓個體能夠有效抵抗來自政治權力與社會領域的系統性壓制。因此，重建私域與公域分界線，勢必成為包括刑法在內的個人信息保護法律體系最為重要的規范目的。⑨

因此，個人信息法律體系的真正目的是保障數據信息社會中個體的私域自主，它是通過保障個體的匿名性這一公域與私域的“分界線”而實現的。侵犯公民個人信息罪的法益應當被界定為個體的匿名性，它在形式層面上表現為不被隨意識別的自由，在實質層面上指向的是數據信息社會中個體的私域自主。

2.個體匿名性法益的具體闡釋

“個體的匿名性”，意指個體在數據信息社會中保持為無差別人群中的一員，而非始終可能被外界識別的生活狀態。它來源于美國憲法學者提出的“公共場所的匿名權”（a right to public anonymity），也即個體在公共場合保持為默默無聞、不被人注意的、與政府無關的人群中的一員的權利。①這種不被政府機構在公共場所安裝的攝像設備隨意識別、分析的自由，與數據信息時代的個體免受來自各類信息處理者之任意識別與分析的合理期望異曲同工。區別只在于，其一，在數據信息社會，公私場所的區分不再涇渭分明，數據信息技術使個體無論身處何處都可能被識別與分析。“全景敞視監獄”已發展為“信息全景敞視監獄”。其二，個體所面臨的對匿名性的侵犯，并不止于傳統意義上的公權力機關，而是也來自數據平臺、企業等社會性主體。因此，相較于“公共場所的匿名權”，“個體的匿名性”在適用范圍上更為寬廣。

身處無限聯通的網絡社會，每個個體都不可能保持完全的隱秘狀態，而是或多或少地需要以各種方式披露部分事實資料（如財產狀況、生平事跡、行蹤軌跡）的方式與外界保持必要的溝通和開展社會交往。但相關事實資料的披露并不意味著個體允許他人隨意識別自身。就如阿蘭·威斯汀所指出的，處于人群中的個體勢必落入他人可觀察的視線之內，但他仍然有權保持融入“情景景觀”而不被認出來的合理期望。②這種匿名化的合理期望之所以能夠得到保持，是因為可識別狀態的實現，必然經歷將特定事實資料歸屬給特定個體的過程。相應地，通過法律規范的命令要求信息處理者將前述歸屬過程人為地加以截斷（例如，要求數據企業采取去識別化技術），個人就仍然保有不被隨意識別的匿名性與自由。而如果個人信息的非法流動導致特定事實資料沒有障礙地歸屬給個體，那么他便因匿名性的喪失而處于可被外界任意識別的狀態，進而直接面對信息技術系統與經濟系統帶來的社會性壓制。前者使個人信息能夠被企業、平臺以及不法分子處理和利用，后者則提供了經濟動因與激勵機制。將個體的匿名性作為侵犯公民個人信息罪的保護法益之后，需要注意以下幾點。

首先，個體的匿名性具有獨立的需保護性，它的存在不是為了保護生命、身體或者財產等傳統刑法法益。毋寧認為，《個人信息解釋》中為了闡釋本罪“情節嚴重”之要件而規定的人身、財產安全受害的后果，只是個體匿名性受害后可能產生的附帶后果。當出售、提供個人信息的行為既侵害了個體的匿名性，又導致其他法益受害時，不應以后者吸收前者。這也契合《民法典》將個人信息單獨列出的體系安排。

其次，個體的匿名性不等于“個人信息的匿名化”。前者是規范的法律概念，是指個體在數據信息社會中享有的不被任意識別的生活狀態；后者是技術性概念，指通過各種去識別技術使個人信息無法被識別，且不能被復原的過程。③技術維度的個人信息的匿名化，是實現規范維度的個體匿名性的手段。對匿名化的個人信息開展的再識別化過程，也可能因其破壞了個體的匿名性狀態而產生了刑事不法。在匿名化技術之外，處理者也可以通過隱私計算等其他技術，確保處理活動不會侵害個體的匿名性。

最后，個體的匿名性與狹義的隱私權不能混為一談。隱私是指不為他人所知的私密狀態，其內容是主體希望向他人隱瞞或者保密的事務。但個體的匿名性并非指向某種對象或者事務，而是指向將事務或者事實資料歸屬于個體的識別與鏈接過程。此外，隱私權是一種純粹的私權，而個體的匿名性法益則具有公私法混合權益的屬性，它需要得到“權利”范式與“風險”范式共同的支持，需要國家提供傾斜性的保護。它要求在為個體保留一定控制性權利的同時，將保護個人信息的責任更多地分配給處理者。

3.對個體匿名性的場景性限制

另外值得注意的是，個體的匿名性固然是值得刑法保護的重要利益，卻也無法抹殺個人信息作為社會溝通基本方式的屬性。刑法只能在保全個人信息溝通屬性的前提下，抵御對個人信息的濫用可能招致的匿名性喪失之風險。于是，如何在匿名性與信息流動之間求取平衡，便成為亟待解決的問題。

對此，當代信息法學者尼森鮑姆提出的場景一致性理論提供了可行的解決方案。這一理論認為，信息隱私權不是控制個人信息的權利，也不是對信息訪問的限制權，而是對信息流通的期待能夠得到滿足的權利。①當個人信息的流動尊重特定場景中的信息規范時，場景一致性得以維持，相應的個人信息流動便是合法的。②場景一致性理論的特點在于，通過對日常生活中的社會結構的抽象，提煉出信息流動的不同場景，場景的具體特征反映在角色、行為、規范和價值觀中，由特定社會根據社會中其他場景的安排以及其文化、歷史、政治和經濟所形塑，這意味著不同場景中個人信息流動的合法性判準有差。③與信息隱私的場景屬性相同，現代社會中個體的匿名性，同樣因社會場景而有所不同。在知根知底的親友生活場景中，個體的匿名性幾近于無，社會亦普遍認為親友之間對個人信息的分享完全符合習慣與常理。個人信息在此范圍內的傳播與流動，不會導致個體的匿名性或者私域自主的喪失。而在醫療場景中，鑒于健康信息的高度敏感性和人格尊嚴的相關性，醫生對于患者的個人信息應遵守嚴格保密義務，患者在此場景中亦具有強烈的匿名需求。因而，相比于日常生活場景，個體在醫療場景中的匿名性存在應當受到更高程度的保護，在醫療場景下出售、提供、獲取個人信息的行為，構成侵犯公民個人信息罪的可能性也更高。基于個人信息流動的場景性理論，當信息處理者在后續的利用過程中雖然未獲二次同意，但嚴格遵從了符合場景的信息規范時，應當認為并未制造針對個體匿名性的實質風險，而是盡到了防范風險的注意義務，不構成侵犯公民個人信息罪。在裁判過程中，司法機關應當對個人信息流動的社會場景以及適用于該場景的信息流動規范予以考察，以判斷信息處理者是否充分履行了注意義務，是否提升了個體匿名性受害的風險，由此實現個體的匿名性與個人信息的溝通屬性的協調。

（二）犯罪屬性：法定犯而非自然犯

在“權利”范式下，侵犯公民個人信息罪被認為是“帶有法定犯氣質的自然犯”。④“違反有關國家規定”的表述，也被順理成章地窄化為“未經個人同意”。筆者認為，在引入“風險”范式后，本罪應當被認定為法定犯而非自然犯，其前置法包括《民法典》《個人信息保護法》等涉及個人信息保護的國家規定。

首先，在罪狀的形式性規定上，本罪的成立以“違反國家有關規定”為前提，這決定了將相關行為認定為犯罪與否以及犯罪圈的大小，主要依靠相對靈活的前置法。⑤ 其次，在實質性層面，“風險”范式的引入意味著法律應當將個人信息保護的風險與責任義務主要分配給信息處理者而非個人。在侵犯公民個人信息罪的罪狀中，能夠起到此種傾斜性風險分配和責任義務分配之作用的，僅有“違反國家有關規定”的構成要件要素。其作用主要體現為，將前置法中對信息處理者提出的“基于風險防控”的要求以及與此相應的義務規則，援引至刑事不法的判斷中，以發揮刑法的保障作用。例如，《個人信息保護法》不僅規定了取得同意的傳統義務，還在第51條規定，信息處理者應當根據處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，制定內部管理制度和操作規程、實行分類管理，以及采取相應的加密、去標示化等安全技術措施來確保信息處理活動符合法律、行政法規的規定。倘若信息處理者違反了前述旨在降低信息處理風險的義務，借助“違反國家有關規定”這一罪狀要求，完全可以得出處理活動具有刑事不法的結論，從而對個人信息提供更為周延的保護。然而，將本罪界定為自然犯的做法，卻導致行為不法的判斷僅以信息主體的主觀意志為準據，無法將前置法上的風險與責任義務分配方案傳導至刑法之中。

此外，前置法亦可能出于公共安全、疫情防控的考量，在特定場合允許信息處理者未經同意而處理個人信息。此類例外性的規定，亦可通過“違反國家有關規定”進入刑事不法的判斷過程。倘若認為本罪是自然犯，未經同意而處理公民個人信息的行為，無疑因符合了構成要件而具有刑事不法，只能從傳統的違法阻卻事由（如緊急避險、義務沖突等）中尋找排除違法性的理由，但這無疑為司法裁判帶來了更大的論證負擔與判決結論的不確定性。

追根溯源，將本罪確定為自然犯的見解，是希望將法益界定為個人法益而非超個人法益。①"在這種觀點看來，自然犯與法定犯的對立是個人法益與秩序利益的對立。認為本罪是法定犯，意味著條文的規范目的只是在于防范行政不服從。②然而，自然犯與法定犯的區分雖會對法益的界定產生影響，但并不具有決定性作用。法定犯的立法模式只是意味著個人信息保護是橫跨公私法領域的綜合性任務，它決不能被單純委托給個人，而是必須被置于“國家-社會-個人”的三元互動結構之中，借助由國家履行的積極保護義務來完成：一方面，應當對處于弱勢地位的個體提供傾斜性的保護；另一方面，應當對信息處理者施加更多的義務。如此才有可能緩和個體與信息處理者之間極不對稱的權力結構。

綜上所述，“違反國家有關規定”的構成要件要素應當被實質性地理解為信息處理風險的分配規范，它的任務是將前置法上行之有效的風險分配方案和責任義務分配方案引入刑事不法的判斷中。是故，本罪是法定犯而非自然犯，“違反國家有關規定”也不應被虛化為“未經個人同意”。相反，后者只是前者的下位規則之一，無法終局性地推導出信息處理行為合法與否的結論。

（三）不法阻卻事由：個體同意與處理者風險防控義務

個人信息保護的“風險”范式的核心理念在于刑法根據信息處理活動對個體的匿名性產生的風險大小，要求處理者承擔相應程度的義務，從而將風險降低到可容忍的范圍之內。這一范式的引入，將合比例的風險分配原則貫徹到了個人信息保護的規范構造中，將信息處理活動而非收集活動作為風險的主要來源，同時也將信息處理者而非個人視為首要責任主體。此種分配方案對于侵犯公民個人信息罪之不法阻卻事由的厘定具有重大影響。

在“權利”范式中，個體的知情同意是最重要的不法阻卻事由。然而，“風險”范式的涌現和蓬勃發展的現實圖景提示我們，個人信息處理活動的合法性判準決不能僅僅立足于知情同意。部分贊同“風險”范式的論者甚至提出，應當直接以信息處理過程中的風險防控作為處理個人信息合法性的判斷標準，不再考慮知情同意原則的適用。③""③參見敬力嘉：《個人信息保護合規的體系構建》，載《法學研究》2022年第4期，第155頁。

在筆者看來，無論是立足于“權利”范式并將知情同意作為侵犯公民個人信息罪中最為關鍵的不法阻卻事由，還是基于“風險”范式將風險防控義務作為唯一的合法性判準，均失之偏頗。一方面，“權利”范式和“風險”范式原本是并行不悖的兩種個人信息保護理念與路徑，共同服務于對個體私域自主的保障。另一方面，完全倒向“風險”范式也存在隱憂。原因在于，“風險”范式在一定程度上將如何履行風險防控義務的判斷權交給處理者，在令其承擔更多風險與責任的同時，也可能過度擴張其自由裁量空間。① 為有效保護個體的匿名性，在構建侵犯公民個人信息罪的不法阻卻事由時，應統合“權利”范式與“風險”范式的合理做法。具體而言，信息主體的知情同意對處理活動的合法性而言仍然是必要條件，它與信息處理者的風險防控舉措共同構成了不法阻卻事由。信息處理者未獲得同意而開展處理活動，或者獲取了同意后卻未能根據風險大小采取與之相符的舉措的，處理行為均具備刑事不法性。反之，根據場景一致性理論提出的義務要求，在已經取得或無須取得個人同意的場合，只要出售、提供、加工等二次處理行為并未導致相關個人信息從低風險場景流動至高風險場景，便可認為其已經履行了風險防控義務，進而排除侵犯公民個人信息罪的成立。基于此，可以將實踐中的一些棘手問題區分為三種情形。

類型一：對于未公開個人信息，只有既征得公民個人同意，又在處理活動中履行了降低風險的義務，處理行為才具備合法性。在“淘寶店鋪信息轉售案”中，宋某等將已注冊完畢的淘寶店鋪的公民信息（包含身份信息、支付寶賬號及密碼、綁定的銀行卡信息等）出售給鄧某牟利，鄧某在網絡上搜尋買家，將整套公民信息出售。經查明，相關信息的原出賣人同意收購者將上述信息有償轉讓給第三人使用，如果電子商務平臺要求店鋪實際使用人進行實人認證時，原出賣人便通過視頻驗證等方式配合認證。②本案爭點在于，信息主體明確同意了個人信息的購買者轉售其個人信息給第三方買家，亦知曉第三方買家使用其個人信息在淘寶電子商務平臺中從事經營性活動。以筆者提出的“個人知情同意+處理者風險防控義務”的雙重不法阻卻事由來對本案進行分析，則會得出有罪結論。理由在于，宋某等人雖獲取了信息主體的同意，但其在之后的轉售、提供等處理活動中未依據處理信息流動場景履行控制風險的義務。宋某等人將原本處于一般生活場景中的個人信息流轉至商業性場景，既沒有事前確立風險控制計劃與方案，也沒有在事中采取加密處理等技術措施，因而升高了個體匿名性受害的風險，構成侵犯公民個人信息罪。

類型二：對于已公開個人信息，應主要以風險控制義務的履行來界定行為性質。由于信息主體在公開時已就相關信息表達了默示同意，③信息處理者在處理過程中只要完善地履行了義務，即可排除行為的違法性。例如，在“黃某侵犯公民個人信息案”中，黃某為拓展工作業務，加入QQ群并通過QQ傳輸文件的方式與他人交換個人信息，內容包括企業名稱、企業聯系人以及聯系人電話等已在企業工商管理系統中公開的個人信息。④在本案中，黃某將已經公開于商業場景中的個人信息用于公司業務經營，雖未經信息主體同意，但只要相關信息仍流轉于與此前相同的商業經營場景，便可認為履行了注意義務。在一般的市場經營的過程中，前述已公開并用于商事主體間業務經營的個人信息，原本就處于被該領域從業人員不斷識別與使用的過程中。行為人黃某并未使相關信息流向風險更高的違法犯罪領域，因而未升高相關信息主體的匿名性受害風險，不構成侵犯公民個人信息罪。《個人信息保護法》中對已公開個人信息作出的“在合理的范圍內處理”的規定，恰可被理解為對信息處理者注意義務提出的要求。

類型三：對于為應對突發公共衛生事件、為公共利益實施新聞報道、輿論監督等目的而必須使用的個人信息，信息處理者雖然被免除了征得同意的義務，但仍需結合處理活動對個體匿名性產生的風險大小采取防控舉措（如限制存儲時間、使用先進的加密技術等）。例如，歐盟《關于支持抗擊新冠疫情APP的數據保護指引》規定，為確保數據安全，應當使用最為先進的加密技術，將數據以加密形式存儲在個人的終端設備，如果數據存儲在中央服務器上，則應記錄訪問情況。⑤據此，政府機構及承擔部分公共管理職責的數據企業等信息處理者盡管能夠以公共利益為由，不經個人同意而收集、處理個人信息，但若其在后續的處理過程中因保管不當而導致個人信息泄露，仍可能構成侵犯公民個人信息罪。

五、結論

數據信息技術的迭代式發展，令個人信息法律保護陷入了前所未有的困頓局面。刑法所規定的侵犯公民個人信息罪的規范意旨與教義學構造，勢必需要著眼于整個保護體系來進行解讀。既然個人信息的法律保護不僅需要傳統的“權利”范式的支持，也需要新興的“風險”范式的合理應用，才能真正制衡數據信息社會中形成的極不對稱的權力結構。那么對侵犯公民個人信息罪的闡釋便需要統合兩種范式的合理內核，慮及兩種范式的共同目標。在此基礎上，侵犯公民個人信息罪的保護法益應當被界定為個體的匿名性，它在形式上指向的是個體不被外界隨意識別的自由，在實質層面上指向的是數據信息社會中個體的私域自主。為了實現這一目標，侵犯公民個人信息罪只能被理解為法定犯而非自然犯，“違反國家有關規定”這一構成要件要素的真正功能，是將信息處理活動所帶來的風險公平地分配給制造風險的處理者而非勢單力薄的個體，它絕不應被矮化為部分自然犯論者所主張的“未經個人同意”。在不法阻卻事由的問題上，鑒于信息處理者的處理活動是個體匿名性受害的真正風險來源，處理者即便獲取了個體的知情同意，也需要進一步履行降低風險的注意義務。

Doctrinal Reconstruction of the Crime of Infringement of Citizens’ Personal Information towards the “Risk-based” Approach

LI Yu

Abstract： Due to its reliance solely on the “Rights-based” approach， the mainstream stance regarding the interpretation and construction of the crime of infringement of citizens’ personal information has theoretical flaw， methodological flaw and practical flaw. The “Rights-based” "approach is incapable to deal with the new challenges posed by the information society. The “Risk-based” approach is a emerged concept which can reasonably allocate the risks of information processing activities and assign the main obligations of personal information protection to information processors. The academic interpretation of the crime of infringing on citizens’ personal information should integrate the reasonable core of the two approaches and reshape the doctrinal structure. The legal interest protected by the crime of infringing on citizens’ personal information is the anonymity of individuals in the data information society; the crime of infringing on citizens’ personal information is a statutory crime rather than a natural crime， and “violating relevant national regulations” cannot be reduced to “obtaining consent”; personal consent and the information processor’s obligations to compliance constitute the grounds for exclusion of illegality.

Keywords： Right of Personal Information; Big Data; Legal Interest Protection; Legal Crime; Risk Control

（責任編輯：王"俊）