医疗行业中之公民健康生理信息的刑法保护策略

贺方彤

（中南大学法学院，湖南长沙 410083）

从《刑法修正案（七）》到《刑法修正案（九）》，侵犯公民个人信息罪的犯罪主体已从特定身份到不限身份；就侵犯公民的健康生理信息案而言，该信息基本来源于医疗行业，因此在个人信息的保护被日益重视的当下，医疗行业对公民的健康生理信息的保密义务需要通过刑法以进一步强化。国内外学者对于在医疗行业中发生的侵犯公民的健康生理信息的犯罪，已开展了多方面的研究，如关于医师泄露患者信息的正当理由的研究[1]，以及对侵犯公民健康生理信息行为的入罪标准的界定研究等[2]，但对于立法缺失而引起的司法实务问题，却并未得到正视。鉴此，一方面，为实现刑法公正和罚当其罪，医疗行业中所发生的侵犯公民的健康生理信息的行为，其行为对象与行为主体应得到明确且统一的划定；另一方面，基于刑法的谦抑性和立法对公民自由的保护角度，刑法不予介入的范围应当由立法统一明确。

一、问题的提出

自侵犯公民个人信息行为入罪以来，其构成要件相对明确，但在个案中类似“同案不同判”等有损司法公正的现象亦有存在，这就反映出部分法院对该罪的构成要件的认定存在以下问题。

（一）有关行为对象的概念模糊

在我国法律体系中，缺乏关于“健康生理信息”的明确定义。在《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）中，涉及健康生理信息的条款是第5 条第1 款第4 项“……健康生理信息……等其他可能影响人身、财产安全的公民个人信息”，根据列举式立法方法，健康生理信息是可能影响公民人身及财产安全的个人信息。并且，《解释》将侵犯公民的健康生理信息行为入罪的数量标准定为500 条以上的。根据《个人信息保护法》第28 条，医疗健康信息属于敏感个人信息，“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害”。由此可见，公民的健康生理信息与公民个人权利的关联之紧密毋庸赘述。但简明的法律规范导致过于宽泛的自由裁量空间，从而产生类案判决的差异。

例如，一案例中被告人程某离职时将其所持有的约2万条公民个人信息带回①2016年4月开始被告人程才、邱玉鑫均在某健康咨询公司工作，后离职共同出资经营保健产品，二人离职时带回的约2万条个人信息是在健康咨询公司工作过程中获取的。，后又购买或以其他手段获取大量公民个人信息，均转给邱某某用于推销某保健产品，经侦查机关按比例抽样估算，其中真实有效的健康生理信息11485 条，公诉机关遂以此数量起诉；辩护人及合议庭以信息非来源于医疗机构、信息内容不具有医学定义上的健康生理内容为由，否定“具有某种疾病的信息”属于健康生理信息②参见程某、邱某侵犯公民个人信息罪一审刑事判决书，（2018）鲁1482刑初67号。。但在另案中，法院认为，“公民不愿公开的信息，被窃取后影响自然较大，情节自然更严重，例如公民的病史、财产状况等”[3]；但同样是来源于非医疗机构的基因科技有限公司的客户疾病史等信息，在司法裁判中却被认定为健康生理信息③参见蔡某、严某某侵犯公民个人信息一审刑事判决书，（2019）豫1726刑初207号。。比个人普通信息更私密、更能影响人身和财产权利、时效性更弱的病史信息被归入健康生理信息，那么，即时的身体状况信息则更与公民关联紧密，一旦被侵犯所产生的危害后果则更甚于病史信息被侵害的后果，因此不该被排除在健康生理信息范畴之外。

同时，个案裁判中不仅存在对健康生理信息内容的理解差异，判决书中对其表述也有所不同，存在诸如“医疗信息”④参见邱某公民个人信息刑事二审刑事裁定书，（2022）辽01刑终193号。“涉及健康生理内容的公民个人信息”等表述方式⑤参见于某某侵犯公民个人信息一案一审刑事判决书，（2018）辽0303刑初306号。。可见，由于立法上对“健康生理信息”的定义欠缺，导致司法的自由裁量的空间过大，这就有碍于司法公正。

（二）行为主体的范围不明

最初在《刑法修正案（七）》规定中，侵犯公民个人信息罪的行为主体被限定为“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，行为对象也限制在“履行职责或者提供服务过程中获得”的范围内。《刑法修正案（九）》规定中不再保留“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”的主体身份限制，仅保留“将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人”的内容作为从重处罚情节。与之对应，《解释》第5 条第1 款第8 项，对非法出售或提供在履职或服务过程中所获个人信息入罪的数量标准，作折半规定。立法者倾向于扩张入罪口径，在更周延地保护个人信息的同时，也保留对特定行为主体的从严规制，可见由特定职业行为主体对工作范围内获得的个人信息所可能造成的威胁更甚于外部人员所可能造成的威胁。然而，两部规范都未对“履行职责或提供服务”的范围作出进一步阐释。针对健康生理信息，传统社会观念里，除信息主体外，只有以医院为主体的医疗机构能够对其进行合法处理及利用；而在大数据时代中则不然，纸质病历的逐渐消亡和电子病历的兴起，使得医疗机构之外的更多主体也能够介入医疗行业，接触到公民的健康生理信息。这即是说，可能因履职或提供服务而获取健康生理信息的特定主体的身份范围也应随之扩大，但个案中裁判者对兜底条款的解释却各异。

在上述程某、邱某某侵犯公民个人信息案中，法院不支持来源于非医疗机构的信息为健康生理信息的观点，同时也忽略了最初用于推销产品的约2 万条健康生理信息来自某健康咨询有限公司的事实。即使程某转移健康生理信息时已离职，但该信息是其工作时合法持有，其将该部分信息带离前工作单位，并转移给邱某某，此时二人均不具有合法持有该健康生理信息的特殊身份，构成两个非法转移的行为，即分别转移给自己和邱某某，因此应对转移行为从重处罚。因程、邱二人曾在该健康咨询有限公司工作，比一般人更容易接触海量健康生理信息，而健康咨询公司虽不属于医疗机构，但事实上同样经手健康生理信息。他案中亦存在此类实质判断，即被告人以“街道社会事务办公室工作的便利”及“计划生育办公室工作的便利”获得的健康生理信息，被认定为是在其履职过程中获得的，应从重处罚。⑥参见李成成、童某等侵犯公民个人信息罪一审刑事判决书，（2019）苏1111刑初191号.2017年8月至2018年8月期间，被告人曾庆周利用其在深圳市宝安区航城街道社会事务办公室工作的便利，非法收集公民个人健康生理信息28984条，其后以每条2元的价格通过微信转账等方式出售给被告人罗正俊，违法所得共计57968元；2018年4月至8月期间，被告人吴某丙利用其原在广东省湛江市雷州市纪家镇计划生育办公室工作的便利，非法收集公民个人健康生理信息7000余条，后通过微信转账等方式出售给被告人罗正俊，违法所得共计18650元。法院认为两人违反国家有关规定，将在履行职责过程中获得的公民个人信息出售给他人，依法应从重处罚。在对该罪特定行为主体范围作限缩解释的情形下，将特定行为主体作为一般行为主体科以刑罚，易量刑畸轻。

二、侵犯公民的健康生理信息行为入罪的路径

关于医疗行业中侵犯公民的健康生理信息的行为，现行刑法并无禁止性规定与相应处罚规则，而是基于侵犯公民个人信息犯罪的构成要件，将医疗行业作为从重处罚的情节，从而降低了侵犯公民的健康生理信息行为的入罪标准。医疗行业中侵犯公民的健康生理信息犯罪，其行为对象、行为主体等要素的范围窄于《刑法》第253条之一第一款所规定的范围。这些要素范围也是认定侵犯公民的健康生理信息罪的关键，应当在刑法分则罪状表述中予以明确。

（一）行为对象的界定

作为医疗行业中侵犯公民的健康生理信息行为的对象，“健康生理信息”并未被明确定义。如前文所述，“健康生理信息”一词在个案表述中不同，所指主要包括“健康医疗数据”“患者隐私”及“医疗健康信息”等表述，其出现在不同部门法中时虽名词相似、意思相近，但在严格意义上其含义是各不相同的。鉴于各部门法律法规施行的时间跨度大、立法出发点不同等原因，应当明确作为刑法概念的“健康生理信息”与相似概念的差别。其他领域的法律法规，为“健康生理信息”的定义提供了形式要件支撑，即划定其外延，但在部门法差异下，“健康生理信息”的实质内涵，应置于刑法规范体系下，并结合个人信息的特质与健康生理信息的特点进行解读。

1.形式外延

第一，《信息安全技术健康医疗数据安全指南》（GB/T 39725-2020，以下简称《指南》）中对健康生理信息的表达为“健康医疗数据”，与其最明显的区别是“数据”与“信息”的涵盖。参考《数据安全法》将“数据”定义为指“任何以电子或者其他方式对信息的记录”的表述，可见“健康医疗数据”是对健康医疗信息的记录，而健康生理信息是包含健康生理内容的信息。第二，《医师法》及《护士条例》所提及的是“患者隐私”，两部为规范特殊执业主体的法律规范更侧重于保护执业活动相对方的权利，因此以“患者”来限定信息主体的范围，并且出于正常执业活动的需要，将受保护信息限定为私密性的、消极防御性的“隐私”。那么与之相对应，健康生理信息是每个公民都具有的、不限于隐私的个人信息。第三，《个人信息保护法》及《基本医疗卫生与健康促进法》中所分别规定的“医疗信息”或“医疗健康信息”，其与“健康生理信息”的区别在于“医疗”一词的使用——“医疗”一词的限定体现了医治诊疗行为的互动性，即在公民的基本信息的基础上与医疗器械或医务人员互动产生的信息，而“健康生理信息”之所指，既包括医患互动型的医疗信息，也包括排除他人参与的个人信息。综上，健康生理信息的形式要件，包括以电子或者其他方式记录的、含隐私性与非隐私性的、个人生理属性的健康状况及医疗活动信息。

2.实质内涵

健康生理信息首先是作为一类个人信息而被刑法所保护，其符合个人信息的一般特质。个人信息与特定自然人相关联，具有可识别性，即通过该信息已识别或可识别特定自然人。[4]健康生理信息与特定自然人之间具有天然的关联性，当关联性丧失时，特定自然人不再享有作为信息主体对健康生理信息的权利。识别性是健康生理信息关联性衍生的核心特征，因健康生理信息能够单独或与其他信息相结合来识别特定自然人，所以一旦其受到侵犯，则会危及特定自然人。由此，可见侵犯健康生理信息行为被归入刑法“侵犯公民人身权利、民主权利”一章之一斑。

同时，健康生理信息在个人信息的种类中具有其特殊性，依据《解释》第5条，对健康生理信息与住宿信息、通信信息、交易信息的侵犯行为，入罪的数量标准是一般个人信息的十分之一。与健康生理信息并列的住宿信息、通信信息与交易信息，均是为特定目的而在特定行业内部有限流转，能被用于精确识别特定自然人某个时间段内的不可更改信息。住宿信息反映特定自然人在某个时间的住址，通信信息反映特定自然人在某个时间的通讯状况，交易信息反映自然人在某个时间的买卖情况。特定自然人在该时间的各类事实状态被这类信息固定下来，不可更改，但不完全封闭，因特定自然人正常社会活动的特定需要而有限流转。因此，健康生理信息是不可变更的、反映特定自然人某个时间段内健康生理状况的信息。

《解释》在对健康生理信息的同一入罪标准的个人信息作出具体列举之后，将之概括为“可能影响人身、财产安全”。一方面，如上文所述，个人信息被列入刑法保护范畴，是由于侵犯个人信息的行为对自然人人身安全的威胁。另一方面，与自然人的财产权相关联，个人信息遭受侵犯时更威胁财产安全缺乏说服力，因为比健康生理信息入罪数量标准更低的征信信息、财产信息显然与自然人财产更直接相关，其被侵犯时所产生的财产安全威胁也更紧迫。那该项表述区别于上下两个入罪数量标准的意义何在？首先，以小见大把握《解释》区分三档入罪数量标准的依据。入罪数量标准为五十条的通信内容，与入罪数量标准为五百条的通信记录，均涉及通信方面，但“内容”所指显然比“记录”所指私密程度更高，是个人更不愿意为他人所知的信息。其次，根据最高人民法院发布的第35批指导性案例，居民身份证被认定为涉公民人身、财产安全的信息，与健康生理信息适用同档入罪数量标准，一审、二审法院均认为居民身份证泄露具有重大隐患或极大侵害⑦参见《最高人民法院关于发布第35批指导性案例的通知》，法〔2022〕265号，2022年12月26日发布。。由此可知“可能影响人身、财产安全”的侧重点是影响发生的高度可能性与影响的高度危险性。

综上，健康生理信息在个人信息的关联性与识别性特征基础上，识别特定自然人更精确，虽不与人身安全、财产安全直接相关，但比一般个人信息私密性更强，且不可更改，足以指向违法犯罪活动，使特定自然人的人身或财产处于高度危险状态。

（二）行为主体的扩张

《刑法》第253条之一将特定身份作为侵犯公民个人信息罪的从重处罚情节，这不同于其他将特定身份作为构成要件的表述，如国家工作人员的身份是贪污罪的构成要件，侵犯公民个人信息罪所要求的特殊身份为“履行职责或者提供服务”。刑法从重处罚特殊主体是由于其存在接触健康生理信息的便利，可见是以其工作内容作为判断标准[5]，因此对于侵犯健康生理信息的特殊主体范围，应结合工作内容与健康生理信息的相关度予以确认。

一方面，应当适度扩张“医务人员”的外延。在传统观念里保密义务作为一种职业规范，由医疗机构中的医务人员承担，而医务人员又以医生和护士等卫生技术人员为主，这是由传统社会中医患关系的闭塞性、排他性，以及简短的诊疗流程所决定的。在大数据浪潮下，个人一进入诊疗流程，就可能经过挂号、门诊、检查检验、麻醉、用药、护理、开具发票等多个环节，包含其生理属性及健康状况的信息则在各个部门流转、经互动而产生更多医疗活动信息；同时，对患者的治疗已不仅由医生完成，还需要医疗团队乃至整个医疗机构的整体协调配合[6]。因此，将医疗机构中的工作人员统称为“医务人员”以作为侵犯公民健康生理信息罪的潜在行为人，更符合医疗实际。另一方面，医疗行业中能接触到健康生理信息的工作单位不限于医疗机构。依《医疗机构管理条例》对“医疗机构”的列举式定义，“医疗机构”是指从事疾病诊断、治疗活动的机构，如医院、卫生院、疗养院等。术业有专攻，掌握卫生技术的医疗机构对信息技术的运用还需借助其他专门机构，《指南》所提及的健康医疗数据处理者就是这样的专门机构，其具体列举了健康医疗信息系统供应商、健康医疗数据分析公司等。可见随着信息化的推进，医疗行业涌现出更多新兴机构，这些机构同样存在侵犯公民健康生理信息的潜在可能。

综上，个案裁判应摒弃以卫生技术人员身份作为行为主体的狭隘判断标准，而采取医疗行业中所有工作人员都存在因工作获取公民健康生理信息的可能、都具备成为侵犯公民健康生理信息而被从重处罚的主体资格的标准。

三、侵犯公民健康生理信息行为入罪的规范限度

对医疗行业中侵犯公民健康生理信息的行为从重科以刑罚，是因为其具有法益侵害性。医疗行业中侵犯公民健康生理信息行为的入罪，依据刑法的规定，需达到“情节严重”的危害后果，而当该行为不具有刑法介入的法益侵害性时，则不构成犯罪。

（一）侵犯公民健康生理信息行为的入罪前提

要明确行为入罪的边界，其前提是明确犯罪行为侵犯了何种法益。我国刑法学界的主流观点认为，侵犯公民个人信息罪所侵犯的法益是个人信息权[7]。民法权益观下，个人信息权益是一项绝对权、支配权，信息主体行使权利无须他人协助，即可实现对权利的行使，也即信息主体作为权利人可以按照自己的意愿支配和利用其个人信息。[8]将个人信息权作为刑法保护健康生理信息背后的法益，内容过于宽泛。将民事权益直接纳入刑法规范，违背刑罚的补充性原则[9]。回归刑法条文本身，其将特定行为主体的侵犯行为限定在出售或提供上，二者均为对信息的对外转移行为，该限定旨在通过限制转而移进行保护。结合《解释》第3 条，向他人提供合法收集的信息构成侵犯行为的前提，是“未经被收集者同意”，可见刑事法益应是信息决定权，表现为个人对信息转移的控制权能。

此外，基于健康生理信息的特殊性，公民与医疗行业及其工作人员之间的信赖关系是刑法所保护的附加法益。基于信赖，公民将健康生理信息交付至医疗行业内，用于医疗活动、医学研究及传染病防控等方面。以诊疗为例，如果医务人员不能履行保密义务，那么患者就会感到不安，从而无法在医疗中获得真正的选择权[10]。患者不能得到最佳的治疗方案，医方亦不能履行职责，长此以往，医疗行业将难以为继。

（二）侵犯公民健康生理信息行为的入罪限制

如上所述，基于公民在健康生理信息层面的信息决定权及其对医疗行业的特殊信赖，刑法对医疗行业工作人员侵犯公民健康生理信息行为进行从严规制、从重处罚。但当侵犯行为不足以产生“情节严重”的法益侵害性时，行为即被正当化，从而不构成犯罪。

1.健康生理信息保护必要性的灭失

前文已述及，健康生理信息的私密性导致其遭受侵犯时将影响人身、财产的高度可能性及高度危险性。反向推论，当健康生理信息不具有私密性时，侵犯行为对人身、财产的影响也随之降低乃至消除，此时的健康生理信息则丧失被保护的必要性，相应的侵犯行为也无须刑法进行规制。那么，何种情形下的健康生理信息不再具有保护的必要性？

第一，去识别化的健康生理信息。当健康生理信息不能被识别出特定自然人时，其所受到的侵犯行为也无法危及特定自然人的人身与财产权利。但要明确健康生理信息去识别化须达到什么程度，是不能单独识别还是结合其他信息也无法识别？是不能识别出信息主体的姓名还是不能识别出信息主体的详细身份？在回答上述问题之前，首先应当厘清立法对健康生理信息设定的识别标准。刑法规制医疗行业中侵犯公民健康生理信息的行为，是为了防止相关信息流出医疗行业，以禁止其为行业外部人员所知。因此，对于识别主体和识别方法，应采取第三人标准。详言之，一般情况下，司法对认识能力的判断，应以普通多数人能采取的、合法且通常的方法为限[11]。其次，健康生理信息是一类个人信息，《解释》对“个人信息”的定义提及了“能够单独或者与其他信息结合识别”，是故“去识别化的健康生理信息”应当是指普通公众以低技术要求的手段不能单独识别且不能与其他信息结合识别的健康生理信息。最后，《解释》第3条直接对去识别化标准作“无法识别特定个人且不能复原”的要求，由此可知，“去识别化”仅需无法识别信息主体即可。“不能复原”的高技术要求在司法实践中有限制出罪之可能，这有违谦抑性原则，去识别化结果应当与“不能复原”程度相当。当识别或复原的技术复杂、要求极高，且其成本高于犯罪所得时，则可以视为“不能复原”。

第二，已公开的健康生理信息。刑法作为保护健康生理信息的兜底性法律，对犯罪行为进行规制的前提是该行为已经违反民法、行政法等前置法，那么民法、行政法中的免责事由，自然就构成了刑法中的正当化事由。《民法典》与《个人信息保护法》均将“信息已公开”纳入“知情同意”的一部分，作为免责事由，该免责事由强调公民的自我决定权的运用及相关法益衡量原则，这与刑法中的“被害人同意”相通，具备出罪的功能[12]。虽然上述前置法对“信息已公开”列举了“自行公开”或“合法公开”两种情形，但是未明确公开的范围，而这正是健康生理信息在公开情形下丧失保护必要性的关键。健康生理信息在什么范围内公开属于“已公开”，是否可以据此推定信息主体对之后的信息转移行为同意？其一，在限制公开的情形下，信息主体将健康生理信息交付医疗行业，等同于对健康生理信息在医疗行业内部有限公开的授权。此种公开的范围限制较多，健康生理信息应在不超过基于信息主体公开目的的范围内流动。例如，患者将健康生理信息告知医生，是其对基于治疗目的的信息公开的允许，则该信息仅对进行治疗活动所需要知晓信息的他人公开，从而当医生向此范围内的他人转移健康生理信息时则不为罪。其二，在完全公开的情形下，健康生理信息对社会上不特定的人公开，任何人均可获取该信息，此时信息主体对不特定人获取该信息存在概括性同意。此时医疗行业将该信息转移给他人的效果，等同于他人自行获取该信息，这是信息主体同意公开时可以预见的结果，其符合个人对自身权益处置的自由，自然不构成犯罪。

第三，死者与胎儿的健康生理信息。现实生活中所存在的应归属于死者、胎儿或与其有密切关联的人的健康生理信息，如死者因何死亡，胎儿发育状况如何等，侵犯此类健康生理信息的行为需要被规制，但不一定由刑法规制。一方面，从严格意义上说死者与胎儿都不属于侵犯公民个人信息罪中的“公民”，前者公民资格已丧失，后者尚未获得公民资格。既然不是公民，那么死者与胎儿就不具有刑法所保护的信息决定权与信赖利益，同时也不具有公民独立的人身或财产权利，则侵犯其健康生理信息的行为对其人身和财产的威胁更是不存在。由于不存在刑法需要保护的法益，也就不存在法益侵害性。另一方面，虽然《个人信息保护法》第49条允许近亲属对死者信息行使权利，但这是建立在关涉近亲属合法利益的基础上，所需要保护死者的健康生理信息而并非死者的信息决定权。胎儿的健康生理信息也是如此，即使该信息被医疗行业非法转移，那么其造成的最终侵害是由母体承担，从而只能依据母体遭受的侵害来规制侵犯行为，其目的并不在于保护胎儿的权利。鉴于此，规制医疗行业对死者或胎儿健康生理信息的侵犯行为，其目的不同于侵犯公民个人信息罪所保护的法益，因而死者与胎儿的健康生理信息不属于侵犯公民个人信息罪所保护的范围。

2.特定主体向一般主体的降格

如前文所述，医疗行业工作者均有资格成为特定主体，那么是否只要是医疗行业工作者侵犯公民健康生理信息，就采用较低的入罪标准，且适用从重处罚呢？除转移自身工作合法获取的健康生理信息外，实务中不乏利用工作优势，斡旋获取信息再非法转移的情形。例如，韦某、吴某甲、吴某乙侵犯公民个人信息案中，韦某具有作为产科主管护师的特定身份，其利用工作之便非法转移给另外两被告的500余条健康生理信息，一部分是自行查询获得的，另一部分是通过欺骗同事查询所得⑧参见《最高人民检察院发布5件依法惩治侵犯公民个人信息犯罪典型案例》，2022年12月2日发布。。对通过同事查询的这部分健康生理信息，韦某不具有合法获取的身份，则属于一般主体对健康生理信息非法获取再非法转移的情形。特定主体被从重处罚是由于合法获取健康生理信息的工作便利，但这一工作便利仅限于来自本职工作的便利，即所侵犯的健康生理信息是行为人在履行本职工作过程中合法获取的，则行为人应被从重处罚。如不是因为本职工作需要而取得健康生理信息，其获取行为不能为信息主体交付信息时所合理预见，则不能推定信息主体知情同意，那么获取行为本身就是违法行为，其与医疗行业外部人员非法获取行为无异，其对法益的侵害性则低于特定主体的侵犯行为。因此，医疗行业转移非本职工作范围内获取的健康生理信息行为，只能被降格作为一般主体对健康生理信息的侵犯行为进行定罪量刑，否则会陷入罪刑不相当的误区。

四、结语

将医疗行业工作者对健康生理信息保密的职业伦理纳入刑法规制领域，是近年新兴的趋势，因其起步晚、前置法缺位等原因，导致对其立法并不完善。而在司法实践中对构成要件的认定模糊，亦导致定罪量刑陷入困境。保护个人信息决定权及个人对医疗行业的特殊信赖利益，是刑法从重处罚医疗行业中侵犯公民健康生理信息行为的目的。《刑法》及其司法解释乃至其他相关前置法律规范的制定与修订，均旨在实现对健康生理信息的周延保护。医疗行业中侵犯公民健康生理信息的行为，在未达到需降低法益侵害性入罪门槛的程度时，不能被作为犯罪科以刑罚。因此在明确该行为的入罪路径后，也应明确对其进行刑法规制的边界，以避免刑法过多地介入对健康生理信息的处理行为，从而实现保护与利用的平衡。