侵犯公民個人信息罪的規范目的與出罪路徑

摘" 要：

在大數據背景下，侵犯公民個人信息罪在司法實踐中被激活適用，但同時也存在被過度適用的問題。在保護法益方面，個人權利說面臨個人權利外觀不周延、權利范圍寬泛及權利內容解釋效能不足的詰難。本罪的規范保護目的在于通過規制上游侵犯公民個人信息的行為以規避下游犯罪引發的社會安全風險，“歸咎的刑事責任”概念可以為其提供歸責基礎。以規范目的為指引，侵犯公民個人信息罪的法益結構具有雙層次特征。行為規范層面的法益是對基于信息保密性的社會信息管理秩序的保護，侵犯已公開公民個人信息的行為不宜作為犯罪處理。制裁規范層面的法益不同于公共安全范疇的社會公共安全，若侵犯公民個人信息的行為不足以造成公眾人身傷害或財產重大損失，則應當予以出罪。雙層次的超個人法益能夠確保刑法的規范確證效力，并為侵犯公民個人信息的行為提供實質出罪路徑。

關鍵詞：侵犯公民個人信息罪；歸咎的刑事責任；信息保密性；出罪

中圖分類號：DF624" 文獻標志碼：A

DOI：10.3969/j.issn.1008-4355.2025.01.09" 開放科學（資源服務）標識碼（OSID）：

文章編號：1008-4355（2025）01-0117-16

收稿日期：2024-12-05

基金項目：國家社科基金重點項目“以‘共建共治共享’為導向的刑事政策現代化研究”（22AFX009）

作者簡介：

曹嵐欣（1999—），女，湖南懷化人，中國政法大學刑事司法學院刑法學專業博士研究生。

隨著社會發展進入網絡時代，公民個人信息被越來越頻繁地以電子數據形式呈現出來，而數據的大容量、可復制、易處理等特點，無疑增加了公民個人信息被非法獲取和處理的風險。例如，相較于傳統“點對點式”非法獲取和處理公民個人信息的手段，通過技術手段可以快速實現對公民個人信息“點對面”式的批量收集。便捷的技術手段降低了違法犯罪成本，使公民個人信息被侵犯的風險進一步加大。在此背景下，《中華人民共和國刑法》（以下簡稱《刑法》）第253條之一規定的侵犯公民個人信息罪在司法實踐中被廣泛適用。然而，關于侵犯公民個人信息罪的司法適用問題，學界也出現了一些反思性的觀點。例如，有學者認為，在信息爆炸的時代，由于

信息被侵犯的現象幾乎無處不在，而且侵犯公民個人信息罪的最高法定刑為7年有期徒刑，所以除非侵犯公民個人信息的行為達到了刑法所不能容忍的程度，否則就不能適用侵犯公民個人信息罪對該行為進行處罰。

參見羅翔：《自然犯視野下的侵犯公民個人信息罪》，載《中國法律評論》2023年第3期，第74頁。因此，有必要對侵犯公民個人信息罪的司法適用問題重新進行研討。

一、侵犯公民個人信息罪的傳統法益觀審思

罪名的適用離不開對構成要件的解釋，而構成要件的解釋又會受到法益的制約。因此，有必要先厘清侵犯公民個人信息罪的法益。關于侵犯公民個人信息罪的法益，學界的觀點比較多，整體上可以概括為3種，分別為個人法益觀、超個人法益觀和“個人法益和超個人法益兼具”的混合法益觀

參見張勇：《APP個人信息的刑法保護： 以知情同意為視角》，載《法學》2020年第8期，第116頁。。其中，個人法益觀內部包括隱私權說、個人信息自決權說、個人信息受保護權說、個人信息安全說等觀點；超個人法益觀內部包括公共信息安全說、信息公共安全說、信息管理秩序說等觀點。然而，這些觀點的解釋邏輯或多或少都存在一些不足。

（一）立體式的混合法益觀將超個人法益與個人法益的保護路徑相混同

“個人法益和超個人法益兼具”的混合法益觀的內在邏輯是有待商榷的。因為個人法益觀著眼于對個人利益的保護，而超個人法益觀則著眼于對社會利益的保護，這種保護立場的不同決定了立法者只能在二者中選擇一種。例如，只有危及公共安全的行為才能構成以危險方法危害公共安全罪，如果只是危及個人人身、財產安全，則不構成該罪。這說明，超個人法益與個人法益在同一罪名中是一種對立狀態。盡管

超個人法益的最終目的是保障個人利益，但并不意味著超個人法益必須要還原為個人利益。

實際

上，超個人法益對個人利益的保護邏輯與個人法益對個人利益的保護邏輯是不同的。個人法益對個人利益的保護具有直接性。例如，設置故意殺人罪能夠實現對個人利益的保護，既包括特定個人的利益

，也包括不特定個人或特定多數人的利益。超個人法益是通過保護社會、國家利益間接實現對個人利益的保護。個人利益的實現離不開社會，因為人處在社會中會進行實踐活動，進而會產生社會關系。離開社會生活和社會共同體，人的利益就無法得到保障。

由此可見，沒有人能夠自成一體，成為與世隔絕的“孤島”。如果不保護社會利益，個人的利益就無法得到保障，社會將會陷入不可控的混亂狀態，這種混亂狀態

也會導致個人法益保護機制的瓦解。因此，超個人法益是通過提供外在保護屏障來保護個人利益的，其不是個人法益的簡單積累，不能直接被還原為個人法益。這其實是“法益二元論”的主張。“嚴格的法益一元論”認為，只有個人法益才能決定法益的質。“緩和的法益一元論”雖然承認超個人法益的獨立存在，但又認為超個人法益是由個人法益派生的。

參見李冠煜：《論集合法益的限制認定》，載《當代法學》2022年第2期，第67頁。“嚴格的法益一元論”忽視了社會因素對于個人利益的影響，尤其是進入風險社會后，國家應當更加注重社會治理問題。“緩和的法益一元論”仍然站在個人法益的立場思考問題，不承認社會因素對于個人利益的保護價值。其實，對于積累形成的特定多數人的利益，完全可以通過與個人法益相關的罪名加以保護，即只需要增設從重處罰情節，不需要再單獨增設罪名。

（二）個人法益觀面臨解釋效能不足的詰難

隱私權說、個人信息權說、個人信息自決權說都將權利作為一種法益，但對法益理論在德國的發展史進行考察就會發現，這是值得商榷的。為了限制國家刑罰權的發動，費爾巴哈提出了“權利侵害說”，認為犯罪侵害的是人的權利。

從權利范圍來看，“權利侵害說”由于過于強調對個人自由的保護，所以容易擴大犯罪圈。刑法作為社會治理的最后手段，應當堅守謙抑性原則。如果將隱私權、姓名權、婚姻自主權等都納入刑法保護的范圍，則民法等部門法的功能和作用就會被削弱，同時還會加重刑法的負擔。由此可見，將權利作為刑法保護的法益是不妥當的。

事實上，從權利的內容來看，權利也無法被證成為刑法保護的法益。

第一，隱私權說。該說認為，侵犯公民個人信息罪保護的是公民生活的平穩狀態。

參見王昭武、肖凱：《侵犯公民個人信息犯罪認定中的若干問題》，載《法學》2009年第12期，第147-148頁。該說將“個人信息”等同于“隱私”，出現了概念上的混淆。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第4條第1款規定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。”根據《中華人民共和國民法典》（以下簡稱《民法典》）第1032條第2款和第1034條第3款的規定，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。個人信息中的私密信息，適用有關隱私權的規定。從這些

規定可以發現，個人信息與隱私是交叉關系，個人信息不一定是隱私，只有私密化的個人信息才是隱私。不過，隱私也并不完全是私密化的個人信息，其還包括不能識別個人身份和反映特定自然人活動的私密信息。因此，將侵犯公民個人信息罪的法益定位為隱私權無法體現公民個人信息的特殊性。

第二，個人信息權說。該說認為，侵犯公民個人信息罪保護的是與個人信息相關的財產權

參見李淑蘭、張奕然：《民刑銜接視閾下侵犯公民個人信息罪法益證成— —以信息安全與信息權利二分為框架》，載《中國刑警學院學報》2023年第4期，第49-50頁。、人格權

參見黎宏：《刑法學》（第2版），法律出版社2016年版，第269-270頁。。財產權說將個人信息作為財產對待，但這并不符合財產的初始概念。根據勞動財產說，自然界的資源本是共有的，但人通過勞動使得共有物脫離了自然狀態，并且由于勞動增加了共有物的價值，可以作為對其他共有人的補償，所以產生了私有的財產權。

參見［英］洛克：《政府論》，瞿菊農、葉啟芳譯，商務印書館1982年版，第18-25頁。然而，個人信息并非通過勞動產生的，而是在人的生活中自然產生的。因此，不能將個人信息當作財產對待。相反，著作財產權之所以成立，是因為個人在創造作品時融入了自己的勞動。從激勵理論的角度來看，賦予公民著作財產權能夠形成對創造者的回饋機制，從而激勵人們的創造性和積極性。但是，對于個人信息而言，賦予其財產權并不能起到激勵創新的作用。雖然個人信息可以被用于商業活動并產生經濟利益，但這并不意味著經濟利益必須依附于財產。例如，在受賄罪中存在“錢權交易”行為，但其中的（非法）經濟利益是基于“職權”產生的，而“職權”并非財產。同理，個人信息盡管存在經濟利益，但與其形成對價的并非“個人信息”本身，而是公民的人格權，對經濟利益的承認發揮了保護人格權的工具價值。

參見呂炳斌：《個人信息權作為民事權利之證成：以知識產權為參照》，載《中國法學》2019年第4期，第44頁。另外，傳統意義上的財產具有可轉移的特點，即使允許他人利用個人信息，也不可能排除個人信息主體對個人信息的擁有。因此，從這個角度來看，侵犯公民個人信息罪不可能與盜竊罪發生競合。若認為個人信息是一種財產，則公民個人信息就完全屬于私人利益。顯然，這種觀點不利于個人信息的正常流通，甚至會阻礙商業發展和科技創新。個人信息權中的人格權主要是指個人信息自決權，即個人信息主體能夠自己控制和決定個人信息的收集、處理和利用的權利。

參見張憶然：《大數據時代“個人信息”的權利變遷與刑法保護的教義學限縮— —以“數據財產權”與“信息自決權”的二分為視角》，載《政治與法律》2020年第6期，第57頁。個人信息自決權本質上已經脫離了權利的內容，強調人的自主性，但刑法不可能保護人的自主性，否則刑法可以作用于公眾生活的各個領域。

第三，個人信息受保護權說。該說認為，刑法保護個人信息不是為了確權，而是為了規避風險。因此，個人信息受保護權是一種公法權利而非私法權利。同時，該說又認為，個人信息受保護權仍然是一種個人法益。

參見歐陽本祺：《侵犯公民個人信息罪的法益重構：從私法權利回歸公法權利》，載《比較法研究》2021年第3期，第55頁。這種觀點雖然試圖將個人信息的價值從個人權利中獨立出來，但又著眼于對個人利益的直接保護，明顯有違個人信息受保護權提出的初衷，不符合前文所述的超個人法益與個人法益在同一罪名中是對立狀態的結論。

第四，個人信息安全說。該說認為，保護個人信息本質上是為了保護個人的人身、財產安全。

參見李淑蘭、張奕然：《民刑銜接視閾下侵犯公民個人信息罪法益證成— —以信息安全與信息權利二分為框架》，載《中國刑警學院學報》2023年第4期，第49頁。一般而言，只有重要的利益才值得刑法保護，在涉及集體法益保護和故意犯罪時，才會出現刑法提前打擊的現象。如果認為侵犯公民個人信息罪保護的是個人安全，則缺乏提前預防的正當性。

（三）單層次的超個人法益過度拔高了刑法的工具價值

超個人法益觀中的公共信息安全說認為，侵犯公民個人信息罪保護的是公共信息安全。

參見皮勇、王肅之：《大數據環境下侵犯個人信息犯罪的法益和危害行為問題》，載《海南大學學報（人文社會科學版）》2017年第5期，第120-121頁。這一觀點盡管將公共信息安全作為獨立的法益，

但公共信息安全的內涵比較空洞。

刑法不可能僅僅保護信息本身而不考慮更深層次的利益。該說雖然認為侵犯公民個人信息罪保護的是不特定或者多數人的重大人身、財產安全

參見曲新久：《論刑法中的“公共安全”》，載《人民檢察》2010年第9期，第17頁。，

但忽視了侵犯公民個人信息罪中“違反國家有關規定”的前置性構成要件要素，而實踐中確實存在未違反國家規定但間接造成人身、財產損害的情形。例如，經個人信息主體同意而出售個人信息的情形

，雖然未違反國家規定，但會造成人身、財產損失。社會信息管理秩序說認為，侵犯公民個人信息罪保護的是國家對信息的管理秩序，對獲取和利用個人信息的行為進行規制是為了防止個人信息被濫用，同時保證個人信息被正當獲取和利用，從而促進個人信息的流通，創造經濟價值和社會價值。

參見劉古琛：《侵犯公民個人信息罪的法益轉向— —從個人法益到信息管理秩序》，載《北京警察學院學報》2022年第5期，第27頁。這一觀點強調了個人信息的社會價值，相對于“信息安全”而言，“社會信息管理秩序”的表述更為精準。維護個人信息安全，本質上是國家將個人信息置于自己的管理范圍內，并確保個人信息被合理利用。將信息安全置于社會管理秩序的框架內，雖然能夠避免新型法益概念所引發的正當性問題，但社會信息管理秩序法益仍然會面臨秩序法益過于抽象而無法作為刑法保護法益的質疑。例如，如果僅因違反藥品管理秩序而不顧藥品是否會對人身造成損害就一律將代購藥品的行為認定為犯罪，則會出現刑法打擊面過寬的問題。由此可見，單一的超個人法益過度拔高了刑法的工具價值，導致刑法的規制范圍不當擴張。

二、侵犯公民個人信息罪的規范保護目的與歸責根據確立

法益觀的差異會導致對罪名的理解出現不同的結論

。若要正確理解和適用侵犯公民個人信息罪，則需要探尋其保護法益背后更為實質的內容，即規范保護目的。

（一）規范保護目的與法益的關系澄清

規范保護目的最初是在過失犯結果歸責領域被討論，其原本是客觀歸責理論中“風險實現”階段的判斷規則。然而，隨著刑法解釋學的興起，利益學派在解釋刑法的過程中也會追問實踐動機

。目的解釋就是以規范保護目的為核心對罪名進行解釋。

參見馬寅翔：《規范保護目的與構成要件解釋》，載《中外法學》2021年第2期，第426頁。規范保護目的已經不再局限于客觀歸責領域，而是被作為方法論應用于刑法的各個方面。學界有觀點將規范保護目的與法益相等同，認為刑法解釋應當聚焦于規范保護目的，否則會偏離刑法的目的，而刑法的目的又是保護法益，因此，法益亦可稱為規范保護目的。

參見張蘇：《以法益保護為目的的刑法解釋論》，載《政治與法律》2011年第4期，第96頁。然而，這一觀點在邏輯上存在悖論，既然刑法解釋聚焦于規范保護目的是為了防止偏離法益，那么說明規范保護目的與法益不可能是同一關系，而是指導與被指導的關系。顯然，將規范保護目的等同于法益的觀點，實際上是對二者關系的誤解。

規范保護目的是確立法益的上位原則。正如有學者指出，規范保護目的是為了確立法益保護的必要性，以及法益保護的范圍、程度。規范保護目的并非簡單的邏輯演繹，而是融入了立法者的價值判斷、刑事政策等內容。

參見［德］伯恩·魏德士：《法理學》，丁曉春、吳越譯，法律出版社2013年版，第404頁。例如，危險駕駛罪與以危險方法危害公共安全罪保護的都是公共安全，在法益相同的情況下，需要通過規范保護目的將這兩個罪名加以區分。

參見李波：《規范保護目的：概念解構與具體適用》，載《法學》2018年第2期，第31頁。這實際上與李斯特提出的前實定法益概念在邏輯上是相似的。李斯特認為，法益是個人或者共同社會的利益，這種利益源自生活而非法秩序。實定法的作用是將重要的生活利益上升為法律利益。

參見［德］弗蘭茨·馮·李斯特：《德國刑法教科書》，徐久生譯，法律出版社2000年版，第4頁。也正是因為法益優先于實定法，法益才有了立法批判功能。如果法律條文指向的生活利益并不值得保護，那么該條文的正當性就會面臨質疑；同時，還會涉及“哪些是不值得法律保護的生活利益，哪些是值得法律保護的生活利益”這一更為前置性的問題。不過，這并非法益理論所能解決的問題，規范保護目的就成為了立法者進行價值篩選的重要方法。因此，規范保護目的相較于法益是上位概念。厘清這一點非常重要，可以解決司法實踐中形式入罪的問題。例如，生產、銷售、提供假藥罪的規范保護目的是通過規制妨害藥品管理秩序的行為，進而起到提前防范人身風險的作用。因此，生產、銷售、提供假藥罪保護的法益絕不僅僅是藥品管理秩序，還應當包括人身安全。同理，若要暢通侵犯公民個人信息罪的出罪渠道，則需要擺脫形式化的法益認定思維，不能由罪名直接導出法益結論，而應當考慮侵犯公民個人信息罪本身的規范保護目的。法益是規范保護目的融入刑法體系的產物，規范保護目的可以對法益進行實質性界定。另外，在適用某一罪名時，還要考慮該罪的適用能否保證規范保護目的的實現。例如，在過失犯中，如果盡到注意義務也不能起到防止結果發生的效果，則說明對行為人適用這一罪名無法達到規范保護目的的要求，此時注意義務控制風險的命令就失去了效果，不再受到法的期待，也即欠缺結果避免可能性。

參見孫運梁：《過失犯的客觀歸責：以結果避免可能性為中心》，載《比較法研究》2017年第5期，第104頁。

（二）風險防控背景下侵犯公民個人信息罪規范保護目的之厘定

規定侵犯公民個人信息罪是為了滿足風險防控的需要。“風險社會”這一概念的提出是對資本主義國家從工業主義向后工業主義邁進過程的現代性反思。“風險社會”中的“風險”不同于個人“風險”，前者蘊含著可能使地球上所有生命自我毀滅的威脅。因此，對于安全性的承諾隨著風險和破壞的增長而增長，并且這種承諾會隨著社會的發展被不斷地重申。

參見［德］烏爾里希·貝克：《風險社會》，何博聞譯，譯林出版社2004年版，第16-18頁。由此可見，風險社會為刑事立法提供了實踐正當性。

個人信息的生活應用場景非常廣泛，一旦被泄露就會被廣泛傳播，容易危及公眾的人身、財產安全。一種情形是行為人利用網絡技術一次性隨機獲取多個信息主體的個人信息，并將這些個人信息非法出售給他人，他人可以利用這些個人信息針對信息主體實施盜竊、詐騙、敲詐勒索等行為。例如，下游犯罪分子利用非法獲取的大量個人信息，按照提前制定好的詐騙腳本，對這些信息主體進行網絡詐騙。需要說明的是，雖然在下游犯罪分子獲取個人信息之后信息主體就被特定化了，但這并不能說明網絡詐騙的對象是特定群體。對網絡詐騙犯罪對象特定與否的審查，應當從詐騙目標的選擇階段起算，即只要是隨機、隨意選擇詐騙對象，就可以認定為不特定多數人。因為對于詐騙分子而言，事先并沒有特定的詐騙目標，每個人都有受到詐騙的可能性，而且范圍隨時可能擴大。在該情形中，由于下游詐騙分子對于上游信息主體的個人信息的獲取具有隨機性，所以其實施的詐騙行為對不特定多數人的財產產生了威脅，具有社會公害性質，不再能夠為傳統的詐騙罪包含。另一種情形是行為人獲取特定個體的個人信息，并將其出售給他人，他人利用該特定個人的信息對其他不特定多數人實施詐騙行為。例如，下游犯罪人利用該個人信息編輯詐騙短信，并在朋友圈發布。隨著社會生活的復雜化，朋友圈的好友不再局限于親朋好友，還包括銷售、中介等諸多并不知悉其真實身份的陌生好友，這些陌生好友的添加具有隨機性和多數性。因此，該情形中的行為對象滿足不特定多數人的要求，行為同樣具有社會公害的性質。

由于社會中每個人都存在與之對應的個人信息，并且個人信息因其在社會交往中的使用而產生與不特定多數人的交集，所以個人信息為犯罪提供了相當便捷的條件。一旦個人信息被泄露，每個人都存在因具有可識別性而受害的可能，從而造成不可挽回的損失。雖然司法機關能夠在下游犯罪的預備階段（非法獲取公民個人信息階段）對下游犯罪進行制止，但由于被獲取對象的不特定多數性、出售對象的不特定多數性，以及下游犯罪對象的不特定多數性，所以有限的司法資源不可能及時制止所有下游犯罪的預備行為，這就不可避免地導致下游犯罪的發生，進而對公眾安全產生威脅。因此，僅僅打擊非法獲取公民個人信息這一犯罪預備行為并不足以保護公眾安全，還需要對前端行為進行規制，即對非法出售、提供公民個人信息行為進行規制。由此可見，侵犯公民個人信息罪本質上是保護公眾安全的罪名，如果只是保護個人法益，就不值得提前發動刑法，否則會導致刑法過度的功能化。刑法不能一味地將風險防范作為其正當性根據，還需要兼顧法益保護的重要程度及公民的行動自由。

另外，侵犯公民個人信息罪不包括對公眾安全受損結果持故意態度的情形。一方面，從《刑法》第253條之一第1款的表述來看，“出售”和“提供”行為不是針對下游犯罪者而言的，也并非指向共犯或者片面幫助行為。因為如果是幫助犯，則在罪名上會有特殊體現。例如，我國《刑法》規定了資助危害國家安全犯罪活動罪，提供侵入、非法控制計算機信息系統程序、工具罪，幫助毀滅、偽造證據罪，協助組織賣淫罪。這些罪名將幫助行為獨立成罪，配置獨立的法定刑，并通過“資助犯罪”“提供犯罪工具”“幫助犯罪”“協助犯罪”等表述將幫助犯的本質體現出來。侵犯公民個人信息罪由于沒有幫助犯的特征，所以不宜將其理解為共犯或者片面幫助犯，即該罪的行為人對公眾安全受損的結果并不持故意態度。同理，從體系解釋的角度來看，《刑法》第253條之一第3款規定的“非法獲取”行為指向的主觀心態也不應當包括故意。換言之，作為下游犯罪預備行為的非法獲取個人信息的行為，不在本罪的規制范圍內。“非法獲取”行為僅指上游非法獲取公民個人信息且對公共安全受損結果持過失態度的行為。另一方面，如果認為侵犯公民個人信息罪規制的行為是下游犯罪的預備行為，意味著本罪是預備行為的實行化。預備行為實行化是出于風險防范的需要而被立法者采用的一種立法技術，但其需要滿足客觀不法和主觀不法的條件：客觀不法要求預備行為實施完成且進入實行階段后，不需要再充足其他“人”“事”“物”的條件就會導致重大法益侵害結果的發生。這與抽象危險犯不同，抽象危險犯只有一個前置性行為，這一行為一旦實施就必然導致法益侵害結果。預備行為實行化除了需要預備行為的作用，還需要實行行為的助推才能夠導致法益侵害結果。主觀不法要求行為人有實施后續行為的目的。如果僅僅對預備行為持有故意，而對重大法益侵害后果不存在故意，則無須將預備行為單獨罪名化。

參見詹惟凱：《預備行為實行化的立法限度》，載趙秉志主編：《刑法論叢》（第69卷），法律出版社2023年版，第74頁。例如，《刑法》第120條之二規定的準備實施恐怖活動罪，在預備行為實行化的同時將主觀不法也納入罪名中。然而，侵犯公民個人信息罪本身不足以體現行為人的主觀不法，

如非法獲取公民電話號碼后發送“垃圾”信息的情形，并不會直接危及公民的人身、財產安全；同時，在客觀上也不必然導致公眾安全受損的結果，如利用非法獲取的公民個人信息進行網絡詐騙，公眾不一定會受騙。

（三）歸咎的刑事責任為侵犯公民個人信息罪提供了歸責基礎

侵犯公民個人信息罪不屬于抽象危險犯與具體危險犯。抽象危險犯和具體危險犯都蘊含了因果關系的要求，在整個過程中只有一個行為引導，并由該行為自然造成了法益侵害結果，行為與結果之間具有因果關系。只不過抽象危險犯的行為與結果發生之間具有蓋然性，在行為實施時就可以預見到危害結果，而具體危險犯中行為與結果發生之間并不具有必然性，需要在接近結果發生時才能判斷結果是否會發生。然而，在侵犯公民個人信息罪中，一方面，被侵犯的公民個人信息并不一定被用于違法犯罪，因而不必然會危及公眾安全。例如，企業非法獲取公民個人信息是用于分析用戶的購物喜好，進而為其推薦相應的產品。此時，侵犯公民個人信息的行為與公眾安全受損之間沒有必然聯系，不符合抽象危險犯的要求。另一方面，要造成公眾安全受損的結果，除了需要上游行為人非法提供公民個人信息外，還需要下游犯罪分子利用這些個人信息去實施犯罪。而下游犯罪分子作為獨立的主體，能夠根據自己的意志支配、控制法益侵害的流程，即使上游行為人與下游犯罪導致的結果之間有“無A則無B”的條件關系，但這也只是事實層面的因果關系，從規范層面來說，第三人的介入導致上游行為人與結果發生之間并不具有相當的因果關系。因此，侵犯公民個人信息罪也不屬于傳統意義上的具體危險犯。雖然侵犯公民個人信息與公眾安全法益受損之間不具有規范意義上的因果關系，但出于重大風險防范的現實需求，仍然有必要將這類行為納入刑法規制的范圍，實現法益的提前保護。此時，就需要為侵犯公民個人信息罪提供歸責的正當性基礎。

保羅·H.羅賓遜教授提出了“歸咎的刑事責任”概念，其與行為責任概念相對。所謂行為責任，是指行為人因其行為和非難可能性而承擔刑事責任的情形，若要求行為人承擔刑事責任，則客觀要件和主觀要件缺一不可。“歸咎的刑事責任”打破了責任主義的要求，即使行為沒有全部符合被指控的犯罪之責任范型，也需要行為人承擔刑事責任，由此形成了入罪的例外。這些例外成為刑事責任基本模式之外的另一個責任基礎，并為缺乏刑事責任模式要素的情況下懲罰行為人提供了合法的依據。

參見［美］保羅·H.羅賓遜：《歸咎的刑事責任》，王志遠、陳琦譯，知識產權出版社2016年版，第6-14頁。在英美刑法中，歸咎的刑事責任表現為3種形式：第一種是對責任范型中未被滿足的客觀要素的歸咎；第二種是對責任范型中未被滿足的主觀要素的歸咎；第三種是對責任范型中未被滿足的主觀和客觀要素的一體歸咎。在我國《刑法》中，也不乏歸咎的刑事責任的立法情形。例如，我國《刑法》第238條第2款規定：“……使用暴力致人傷殘、死亡的，依照本法第二百三十四條、第二百三十二條的規定定罪處罰。”該規定雖然將非法拘禁過程中使用暴力致人死亡的情形擬制為了故意殺人罪，但實際上行為人主觀上并無殺人的故意，不滿足故意殺人罪主觀要件的要求。

但是，歸咎的刑事責任不能被毫無約束地運用，否則任何行為都有可能被以“歸咎”之名肆意歸責。因此，需要對歸咎的刑事責任進行一定的限制。對于侵犯公民個人信息罪，因果理論與預防理論能夠為其提供正當性。因果理論并非強調規范意義上的因果關系，而是強調只要行為與結果之間有較弱的條件關系即可滿足歸責條件。因果理論的適用具有必然性，因為刑法不可能打擊與法益侵害毫無關系的行為。因此，侵犯公民個人信息的行為與公眾安全危險之間至少要滿足存在論上的條件關系。但是，僅有因果理論不足以為罪名的獨立設立提供充分依據，

還需要尋求其他依據，而預防理論恰好能夠為刑事責任的歸咎提供正當基礎。根據前文所述，侵犯公民個人信息的行為會使公眾安全面臨較大危險，因而有必要通過刑法進行前置化保護。但是，預防理論也不能被無限制地適用，在考慮社會防衛的同時，也要注重對公民自由的保障。侵犯公民個人信息罪在構成要件的設計上有一些特殊之處。一方面，在侵犯公民個人信息罪中有“違反國家有關規定”的要求，如果行為沒有違反前置法的規定，那么該行為就不能按犯罪處理；另一方面，在侵犯公民個人信息罪中還規定了“情節嚴重”的構成要件，這說明并非所有侵犯公民個人信息的行為都構成犯罪，而是只有達到情節嚴重要求的行為才構成犯罪。

三、侵犯公民個人信息罪的雙層次超個人法益重塑

在規范保護目的的指引下，需要進一步確立侵犯公民個人信息罪的具體法益。

（一）行為規范層面：針對信息保密性的社會信息管理秩序

行為規范是指引社會公眾如何安排自己行為的法律條文，公眾通過行為規范能夠知曉哪些行為屬于不能實施的違法犯罪行為，進而從源頭上預防犯罪行為的發生。在侵犯公民個人信息罪中，行為規范是禁止非法獲取、出售和提供公民個人信息，并且這些禁止性規定在前置法中也有體現。例如，《民法典》第111條規定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”《個人信息保護法》第2條規定：“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益。”

《個人信息保護法》的性質在學界存在爭議，主要有兩種觀點：一種觀點認為，《個人信息保護法》具有私法和公法雙重性質，因為《個人信息保護法》與《民法典》中的部分條文在表述上大同小異。

參見王利明：《論〈個人信息保護法〉與〈民法典〉的適用關系》，載《湖湘法學評論》2021年第1期，第25頁。另一種觀點認為，《個人信息保護法》中規定了基本權利的雙重面向及國家對個人信息的保護義務，這足以證成該法的公法屬性。

參見汪慶華：《個人信息權的體系化解釋— —兼論〈個人信息保護法〉的公法屬性》，載《環球法律評論》2022年第1期，第69頁。

本文認為，《個人信息保護法》是公法而非私法。首先，既然《民法典》已經規定了個人信息保護的私法規范，那么《個人信息保護法》就沒有必要再重新強調，即使兩部法律中有表意相近的條文，也并不意味著二者指向的規范目的是一致的。其次，從《個人信息保護法》的規范設計來看，《個人信息保護法》存在國家對公民個人信息權的強制性限制規定，目的是維護公共利益或者促進個人信息重要社會價值的實現。同時，《個人信息保護法》第六章規定了履行個人信息保護職責的部門，明確將公民個人信息納入了國家的監管體系之中，第七章還規定了違法處理個人信息者的法律責任。這說明，違法處理個人信息的行為是對國家個人信息監管秩序的侵害，而非對個人信息權的侵害。雖然《個人信息保護法》也規定了私法救濟的途徑，但這只是為了說明在以行政監管為中心的框架下，同時侵害了民事權益的情形不排除私法救濟的可能，其是一種注意規定，并不足以體現該法的私法性質。盡管《個人信息保護法》第四章規定了個人在個人信息處理活動中的權利，但這并非基于民事權利的邏輯推導出的結果，而是將個人信息權作為國家規制非法處理個人信息行為的制度性工具

參見王錫鋅：《重思個人信息權利束的保障機制：行政監管還是民事訴訟》，載《法學研究》2022年第5期，第3頁。。由此可見，《個人信息保護法》是一部公法，是對公民個人信息管理秩序的保護。

由于侵犯公民個人信息罪將“違反國家有關規定”作為其構成要件，所以要厘清侵犯公民個人信息罪的行為規范指向的法益，就需要對前置法的范圍進行劃定。如果前置法是私法，本罪行為規范的保護法益就指向個人法益；如果前置法是公法，本罪行為規范的保護法益就指向社會信息管理秩序。從前文對本罪規范保護目的的整體分析可知，侵犯公民個人信息罪并非為了保護信息主體的個人信息權益，而是著眼于社會公眾的利益，即通過打擊違反個人信息處理規則的前端行為以避免后端的社會公眾安全受到侵害。從這個層面來看，侵犯公民個人信息罪規定的“國家有關規定”是對于“國家規定”范圍的限縮，其指向的是公法性質的前置法，而非私法性質的前置法。因此，侵犯公民個人信息罪的行為規范指向的法益是社會信息管理秩序。

除此之外，還需要進一步明確社會信息管理秩序的內涵。針對個人信息而言，信息管理秩序主要分為兩種情形：一種是他人不得泄露非公開的個人信息。泄露行為可以表現為多種形式。最高人民法院、最高人民檢察院聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第4條規定，違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬于《刑法》第253條之一第3款規定的“以其他方法非法獲取公民個人信息”。這些行為均是對信息保密性的破壞。

另一種是公開的個人信息未經信息主體授權，他人不得進行非法處理。如果是對所有人公開的信息，即使上游行為人沒有非法出售和提供個人信息，下游犯罪分子也可以通過自己的手段直接獲取公民個人信息，那么公眾安全受損的結果是不可避免的。此時，打擊上游的非法出售和提供行為并不能起到規范保護目的，盡管上游行為與下游結果之間有條件上的因果聯系，但這一較弱的因果關系在缺乏預防理論的支撐下并不足以證成上游行為的可歸責性。實際上，這一思路在中立幫助行為可罰性研究的“假定的可替代原因”學說中已有提及。該學說考慮的是正犯者是否很容易從第三人手上得到同質的幫助。

參見陳洪兵：《中立行為的幫助》，法律出版社2010年版，第104-108頁。在介入假定的可替代原因的情況下，如果發生與現實事實相同的結果，則說明法益危險并未增加，刑法作為社會治理的最后保障，不應當對這種僅具有形式法益關聯的行為加以處罰，而是應當對行為的不法性進行實質評價。質言之，在侵犯公民個人信息罪中，只有當下游犯罪人通過正常渠道無法獲取公民個人信息時，非法出售、提供公民個人信息的行為才具有實質的危險。因此，《刑法》上的社會信息管理秩序應當限縮理解為“他人不得實施泄露非公開的個人信息的行為”，這既包括非法獲取的行為，也可能包括非法出售、提供的行為。

（二）制裁規范層面：不同于社會公共安全的社會公眾安全

不同于行為規范的事前預防功能，制裁規范是站在行為發生的事后角度對行為的可罰性及刑罰適用的輕重程度進行認定的規范。制裁規范要求司法人員對法律條文的規范保護目的進行理解，并根據規范保護目的確立的法益對構成要件進行準確解釋，目的是恢復部分被違反的行為規范。因此，制裁規范通常融入了憲法上的價值判斷，旨在作出公平正義的判決。從這個意義上來說，實質出罪效果往往是通過制裁規范的適用得以實現的。從前文對侵犯公民個人信息罪規范保護目的的分析來看，要構成本罪，除了侵害社會信息管理秩序（信息的保密性）之外，還需要有危及公眾安全的風險。

之所以將該法益稱為“公眾安全”而非《刑法》分則第二章的“公共安全”，是因為侵犯公民個人信息行為對社會安全的侵害與危害公共安全行為對社會安全的侵害在手段、效果方面存在差異。以《刑法》第114條

為例，該條文中的“其他危險方法”需要達到與放火、爆炸、決水、投放危險物質相當的程度。這4種危險方法的特征在于行為中蘊含了不可控的結果，即結果的波及范圍不確定，隨時可能蔓延。雖然生產、銷售、提供假藥罪的法益也包括公眾安全，但并未被規定在“危害公共安全罪”中，這是因為生產、銷售、提供假藥的行為人可以對被害人的范圍進行控制，如果不對其他人實施生產、銷售、提供行為，則損害結果就不會蔓延。同理，在侵犯公民個人信息罪中，侵犯公民個人信息的范圍可以由上游行為人自行控制，在行為結束后不會隨時失控地自行蔓延，而且公眾安全受損的范圍也是由下游犯罪行為人自行控制的。因此，侵犯公民個人信息罪的行為與危害公共安全罪中的“危險方法”并不具有同質性，不宜將侵犯公民個人信息罪的法益界定為“公共安全”。但是，侵犯公民個人信息的行為仍然會危及社會安全，基于個人信息的非稀缺性，任何人都有因個人信息被泄露而受到侵害的可能。如果上游行為人和下游犯罪分子對損害范圍不加控制，則所有人都會遭遇人身、財產損失，這無疑是對社會整體生存安全的威脅。因此，刑法的前置性保護依然有必要，而用“公眾安全”這一表述代替“公共安全”的表述則更為合適。

另外，對“公眾安全”的理解，需要注意兩個方面。第一，“公眾安全”應當指向不特定且多數人的安全，多數人一般指3人及以上。學界關于“公共安全”指向的對象也有不同的理解，如有學者將之理解為“不特定或者多數人”

參見張明楷：《高空拋物案的刑法學分析》，載《法學評論》2020年第3期，第12頁。；也有學者將之理解為“不特定人”，既包括“不特定少數人”，也包括“不特定多數人”。

參見陸詩忠：《論“以危險方法危害公共安全罪”中的“危險方法”》，載《法律科學（西北政法大學學報）》2017年第5期，第61頁。然而，如果行為指向的是特定多數人，則只會在固定的小范圍內造成損害結果，目標范圍之外的其他人在理想狀態下不可能受到侵害，不會動搖社會的生存根基。因此，對特定多數人的侵害通過個人法益基本犯的加重情節予以規制即可，無須納入公眾安全法益的范圍。由于不特定的個人

并不足以影響社會的發展，所以針對不特定個人的侵害不宜納入公眾法益的保護范圍，通過個人法益對其加以保護即可。第二，盡管“公眾安全”是指可能造成不特定多數人重傷、死亡（不包括輕微傷和輕傷）或者公私財產遭受重大損失，但這并不代表實際受損的結果。如果行為有造成不特定多數人受損的風險，但事實上只有一個人受到了損害，則也屬于危及公眾安全的犯罪，同樣可以適用侵犯公民個人信息罪。

《解釋》第5條對侵犯公民個人信息罪“情節嚴重”進行了規定，除去兜底性規定，主要包括四種類型：第一種是非法出售和提供的個人信息被他人用于犯罪；第二種是非法獲取、出售和提供的個人信息達到一定數量；第三種是違法所得或者出售數額達到一定標準；第四種是有犯罪或者違法前科。然而，他人將個人信息用于犯罪并非指向不特定多數人，個人信息獲取的數量和違法數額無法體現在人身、財產結果損失中，違法犯罪前科更是與作為犯罪成立條件的“情節嚴重”之間不具有法益關聯性。因此，有必要對“情節嚴重”的內涵重新進行厘定。對此，可以將“情節嚴重”理解為“足以造成公眾人身、財產的重大損失”，這是一種類似于具體危險犯的條件設定，指向的是具體的結果危險而非行為危險。原因在于：首先，在實施侵犯公民個人信息的行為時，并不能確保后端的行為人實施危及公眾安全的行為，只有等到接近結果發生的危險狀態時，才能證明前端行為的可罰性，否則可能會因為證據的缺乏而導致對犯罪分子打擊的正當性存疑。其次，由于侵犯公民個人信息的行為人本身對結果持過失心態，以及行為與結果之間缺乏相當因果關系，所以在對犯罪分子歸咎責任時需要兼顧對其人權的保障，不宜將打擊時間點過度提前。最后，值得一提的是，雖然在發生具體危險時才能對侵犯公民個人信息的行為進行規制，但這并不意味著與打擊非法獲取、出售和提供個人信息行為的目標相背離。因為過失犯本身就是一種注意規范，其主要功能在于通過行為規范的設定促使社會成員遵守義務，具有面向未來的一般預防功能。

參見謝治東：《論結果回避可能性與過失犯的歸責》，載《政法論壇》2017年第2期，第67頁。因此，即使刑法規制的點在具體危險的范圍內，也不妨礙罪名規范對行為的事前約束作用。

四、侵犯公民個人信息行為出罪的實踐路徑

當前，侵犯公民個人信息罪在部分案件中的適用存在擴張趨勢。對侵犯公民個人信息罪的規范目的及法益內涵進行實質化闡釋，可以指導侵犯公民個人信息行為的出罪判斷。

（一）侵犯已公開的公民個人信息的行為不應按照犯罪處理

在司法實踐中，對于侵犯已公開個人信息的行為，部分案例以不符合“合理處理”作為入罪的理由。然而，這一判斷標準應用于刑事司法的正當性值得商榷。在“李某某侵犯公民個人信息案”中，李某某通過互換的方式，獲取公民個人信息1萬余條，包括公民的姓名、聯系電話、公司名稱、公司地址等信息。這些信息可在對應商事主體的企業年報中查詢獲取，屬于經過整理的企業信息，已向社會大眾公開，公眾可在企查查、天眼查等商業網站自由查詢。李某某以600元的價格向陳某銷售了1組（9681條）公民個人信息；同年7月11日，以200元的價格向陳某銷售了2組（合計1220條）公民個人信息。李某某被判處侵犯公民個人信息罪。

參見廣東省佛山市中級人民法院（2021）粵06刑終345號刑事裁定書。人民法院認為，工商企業向市場監管部門提供企業相關信息的目的是履行法定義務，接受社會監督，不能由此推斷相關企業的法定代表人同意李某某通過交換非法獲取公民的個人信息并將其出售、提供給他人。因此，李某某不符合“合理使用”的要求。

然而，“合理處理”概念本身具有模糊性，其主觀目的性較強，司法機關具有較大的自由裁量權。例如，在部分案例中，類似情形則被認為符合“合理處理”的要求。如吳某通過企查查、天眼查等網站下載已經公開的企業工商登記信息，對其進行梳理分類后進行出售，出售信息數量達1.8萬余條，獲利1萬元人民幣

。公安機關對吳某以涉嫌侵犯公民個人信息罪進行立案偵查，移送至檢察機關后，檢察機關建議公安機關撤銷案件，公安機關最終作出撤銷案件的決定。

參見盧志堅、白翼軒、田競：《出賣公開的企業信息謀利：檢察機關認定行為人不構成犯罪》，載《檢察日報》2021年1月20日，第1版。

由此可見，將“合理處理”要件作為已公開個人信息出罪事由的目的在事實層面難以實現，反而可能加劇“同案不同判”的現象。實際上，從“合理處理”的除外情形來看，“合理處理”要件背后蘊含的仍然是對個人信息主體自決權的保護。換言之，只要實施了違背信息主體意志的行為，就可以構成侵犯公民個人信息罪。從本文對侵犯公民個人信息罪法益的定位來看，“違反國家有關規定”并不包含保護個人法益（自決權）的私法規范，而是指向保護社會信息管理秩序的公法規范。行政法上違法的行為不一定構成犯罪。因此，即使行為違反社會信息管理秩序（同時違背了信息主體的意志），也不一定構成侵犯公民個人信息罪。根據上文提及的假定的可替代原因學說，在個人信息被公開的情況下，即使行為人沒有出售和提供個人信息，他人也能夠獲得個人信息，無法滿足本罪“預防下游犯罪發生”的規范目的需求。因此，不能認為侵犯公民個人信息的行為具有實質的法益侵害風險。

綜上所述，對于已公開的個人信息，無論自然人是否同意出售和提供，出售和提供行為都不構成侵犯公民個人信息罪。因此，即使上述“李某某侵犯公民個人信息案”中的行為不符合“合理處理”的要求，也不宜按照侵犯公民個人信息罪處理。

（二）侵犯公民個人信息不會危及公眾安全的行為不應按照犯罪處理

在司法實踐中，部分案例未區分非法獲取、出售和提供的個人信息的后續用途，將實際并未危及人身、財產安全的行為也納入了刑事處罰的范圍。例如，在“何某某、袁某某侵犯公民個人信息案”中，被告人袁某某在武漢從事二手車買賣，其為了將車輛信息出售給其他二手車經營者牟利，便找到何某某等人有償購買車輛信息。袁某某收到車輛信息后，以每條車輛信息40元至50元不等的價格向何某某等人支付費用。袁某某將自己搜索到的一部分車輛信息以每條信息40元至150元的價格賣給其他二手車經營者，以獲取差價。人民法院認定何某某、袁某某的行為構成侵犯公民個人信息罪。

參見湖北省咸寧市中級人民法院（2023）鄂12刑終92號刑事判決書。

在上述案例中，何某某、袁某某只是將個人信息用于牟利，整個過程并未直接危及下游的人身、財產安全，通過前置法規定的行政責任和民事責任即可實現對行為人的處罰，無須發動刑罰這一最嚴厲的制裁手段。如果將非法提供的個人信息被用于下游牟利、發送垃圾短信等情形均作為犯罪處理，則無疑會導致刑法過度介入公民的生活，而且刑法的規范確證機能也會大打折扣。法律規范只有經得住實踐檢驗，公民才能發自內心樹立對法律的信仰和認可，進而發揮刑法規范的法益保護功能。

參見王志遠：《規范確證：刑法社會機能的當代選擇》，載《東南大學學報（哲學社會科學版）》2017年第5期，第74頁。從侵犯公民個人信息罪的制裁規范目的出發，只有侵犯公民個人信息的行為可能直接引發下游社會公眾安全風險時，才有必要通過刑法加以控制。因此，在“何某某、袁某某侵犯公民個人信息案”中，由于被侵犯的公民個人信息并未用于下游犯罪，不會危及社會公眾安全，所以涉案行為不構成侵犯公民個人信息罪。退一步講，即使被侵犯的個人信息被用于下游犯罪，也需要進行二次判斷。如果下游犯罪人是針對個人實施或者特定多數人實施的，則不構成對社會公眾安全的威脅，不能用侵犯公民個人信息罪加以規制。

五、結語

侵犯公民個人信息罪在司法實踐中的適用出現了一定程度的擴張，究其原因，在于對本罪的法益理解不當。立體式的混合法益觀混同了超個人法益與個人法益的保護路徑。超個人法益旨在從外部視角為個人法益樹立保護屏障，不應直接還原為個人法益。因此，個人法益與超個人法益在同一罪名中只能是對立的狀態。個人法益觀主張的個人自由范圍模糊，容易削弱刑法的謙抑性，而且某些情況并不存在個人自由的外觀。隱私權說、個人信息財產權說、個人信息受保護權說等個人法益學說本身也面臨概念和邏輯上的詰難。單層次的超個人法益則過度拔高了刑法的工具價值。因此，有必要突破傳統法益觀的約束，以規范保護目的為指引重新確定本罪的法益。侵犯公民個人信息罪的規范保護目的，在于規制上游非法獲取、出售和提供公民個人信息的行為，從而防范下游犯罪分子利用個人信息實施危及社會公眾安全的犯罪，其并非下游犯罪的預備行為及幫助犯。雖然本罪缺乏相當因果關系，不符合行為責任的歸責要求，但在滿足因果理論與預防理論的基礎上，“歸咎的刑事責任”概念可以為歸責提供正當性根據。在行為規范層面，非法獲取、出售和提供公民個人信息的行為侵犯了以信息保密性為基礎的社會信息管理秩序，“違反國家有關規定”是限縮性規定，僅指以《個人信息保護法》為代表的公法性質的前置法。在制裁規范層面，需要滿足危及公眾安全的條件才能構成犯罪，“情節嚴重”應當指具體的社會公眾危險而非抽象的行為危險。在雙層次超個人法益的指導下，以下兩種情形中“侵犯”公民個人信息的行為應該予以出罪：一是個人信息已公開；二是行為并無危及社會公眾安全的可能。JS

The Normative Purposes and Ways of Decriminalizing the

Crime of Infringing upon Citizens’ Personal Information

CAO Lanxin

（China University of Political Science amp; Law， Beijing 100088， China ）

Abstract：

In the context of big data， the crime of infringing on citizens’ personal information has been invoked for application in judicial practice; however， there has also arisen the issue that it may be subject to excessive application. In terms of the protected legal interests， the doctrine of individual rights faces a number of challenges， including， among others， that the demarcation of individual rights are incomplete， that the scope of individual rights are excessively broad， and that the interpretation of the content of such rights is insufficiently effective. The normative purposes of this crime are to regulate upstream infringements of personal information in order to avoid the social safety risks caused by downstream crimes. In this context， the concept of “criminal responsibility attributed” can provide the basis for attribution. Guided by the normative purposes of the crime， the legal interest structure of the crime of infringing on citizens’ personal information demonstrates a two-tiered structure. The legal interests at the level of behavioral norms are intended to protect the order of social information management that is based on the confidentiality of information， and therefore， it would be inappropriate to deem as a criminal offense the infringement of citizens’ personal information that has been made public. The legal interest in terms of normative sanctions are different from social and public safety， a category in the context of public security. If infringement of the personal information of a citizen is not sufficient to cause serious harm to the personal safety of the public or result in any major property losses， such infringement should then be decriminalized. The dual-tiered transpersonal legal interests can ensure the normative validity of the criminal law and provide a substantive approach to decriminalize the behaviors that infringe on citizens’ personal information.

Key words： crime of infringing on citizens’ personal information; criminal responsibility attributed; information confidentiality; decriminalization

本文責任編輯：張永強