大数据背景下“公民个人信息”的刑法边界

李一凡

（苏州大学 王健法学院，江苏 苏州 215006）

一、大数据背景下“公民个人信息”遇到的瓶颈

关于“公民个人信息”的概念早在2013年最高法、最高检、公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》就首次明确，①2013年最高人民法院、最高人民检察院、公安部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》中规定公民个人信息包括：“公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。其中体现了个人信息的直接识别性和隐私性。2016年通过的《网络安全法》接力进行外延扩张，②2016年通过的《网络安全法》规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”实现了“可识别性”的标准统一，其中包括直接识别和间接识别。而在刑法中得以最终厘定的是2017年6月1日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”），其采“概括+不完全列举”的形式，③2017年6月1日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将公民个人信息的界定为 “以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”对公民个人信息采用“身份识别性”和“活动情况”两项选择性标准，在目前的所有概念中最为完备。但大数据技术的发展现实，又使得这一定义再次陷入困局：随着识别技术的迅猛发展，身份可识别信息与身份不可识别信息之间的界限已然越发模糊，即使是已经透过“去识别化”处理后的信息，依然可以通过“再识别化”技术进行对比、连结、组合从而再次关联到特定的自然人。显然刑法不可能将所有可识别的个人信息都一味囊括进来，那么 “身份识别性”这项标准是否就会陷入形同虚设的境地呢？此外，《解释》又在“身份识别性”之外设定“活动情况”的模式，但其能否作为一个独立的标准来界定个人信息呢？

由此可见，“公民个人信息”的刑法保护边界需要重新审视，本文旨在重点考量侵犯公民个人信息罪的保护法益和价值导向，从而对“公民个人信息”的概念予以重构。

二、“公民个人信息”刑法边界的考量因素

“刑法规范既是裁判规范又是行为规范，行为规范的作用在于保护法益。”[1]合理界定“公民个人信息”的范围必须追根溯源，厘清侵犯公民个人信息罪的保护法益。此外，法条背后的法律价值是指导法律概念的核心内核，为正确界定概念提供指路明灯。[2]因此，正确看待本罪的保护法益和价值导向是范围界定的逻辑起点。

（一）侵犯公民个人信息罪之法益的廓清

1.本罪的法益争议

关于本罪的法益，学界一直争论不断，主要可以归结为两大类：一是带有个人法益属性的隐私权、人格尊严或信息权；二是带有超个人法益属性的社会信息管理秩序。

在主张个人法益属性的学说中，第一种观点即“隐私权说”是学界的主流观点，也是对“公民个人信息”的界定模式之一。该说认为，“个人信息”属于隐私权的保护范畴，具有信息隐秘性。[3]这种观点主要受美国对个人信息保护的立法模式的影响。众所周知，美国主要通过分散立法形成了众多相互独立的以隐私权为基础的个人信息保护制度，并且经过立法演变和个人信息控制理论区分出偏重于消极防御的原始意义上的隐私和偏重于积极控制的现代意义上的个人信息。由此可见，美国的大隐私权概念是一种框架性权利，确实可以涵盖个人信息，并可利用判例法的传统优势来积极应对时代变化。反观我国，隐私权的概念与美国相去甚远。我国对隐私权规定的核心条款主要体现在《侵权责任法》第2条第2款，从责任方式和举证责任分配中可以看出，对个人信息的保护只止步于防御他人对信息隐私的侵害，而无法进一步扩展到积极控制与维护的层面，更也没有基于个人信息侵权的特点为其设计特殊的举证责任规则。[4]可见隐私权概念在民法等前置法中都尚未成熟，基于谦抑性原则不宜引入刑法。此外，我国语境下的个人信息权与隐私权概念界分明显，隐私权倾向于不被非法披露和骚扰，而个人信息权倾向于对个人信息的控制和利用，权利人拥有收集、利用的知情权，自主决定是否公开、公开的程度如何以及公开的对象，两者交叉相互关联但必然不会等同。

第二种观点“人格尊严说”主张本罪法益应为公民的人身权利，并结合宪法进一步引申为人格尊严与个人自由，个人隐私只是人格尊严的组成部分。[5]把人格尊严与个人自由这一宪法性权利作为刑法法益，存在抽象化和精神化的问题。事实上，“侵犯公民人身权利、民主权利罪”这一章所有罪名背后蕴含的都是对人格尊严与个人自由的保护，用根本法的术语作为法益无法区分此罪与彼罪的界限。刑法法益应当做到具体明确，抽象化的宪法性法益并不能成为讨论对象。[6]

第三种观点个人信息权说，该说认为本罪保护的法益为公民的个人信息权，[7]信息不同于传统法律关系中的客体，除了人格利益和财产利益两种属性外，还具有自己独特的特性，因此发展出一项新型权利——个人信息权。个人信息权包括个人信息决定权、保密权、查询权、更正权、封锁权、删除权、报酬请求权等多项权利。但在个人信息保护前置法极度匮乏的当下，考虑刑法的补充性和谦抑性，是否所有的具体权利都需要纳入刑法保护圈不无疑问。

在传统个人法益属性的主流浪潮下，超个人法益属性已经悄然兴起并逐渐得到越来越多学者的青睐。该说直接将个人法益从本罪中予以剔除，考虑的是完全个人属性法益与完全社会属性法益在对待自我决定权上的态度。前者将自我决定权奉为圭臬，只要权利人自行放弃便不再追责；后者认为个人的自由决定权对刑法效力并无影响，因为刑法此时的作用是维护社会公共利益的安全。而折射于侵犯公民个人信息罪，在立法层面上，本罪没有对公民个人的意思表示赋予任何刑法效力，也没有提及获得信息主体的允许或者事后追认时对刑法效力的减弱甚至消失；在司法层面上，本罪多发于批量个人信息的侵犯行为，实践中不可能对被害人的意愿进行逐一问询，因此刑法设置本罪的初衷并不是单纯保护个人的信息安全，而是着眼于国家对个人信息保护的管理制度。笔者赞同本罪中对于超个人法益的接纳与认同，但个人法益并不能因此而完全摒弃，刑法条文的体例设置仍将其安排在分则第四章且短期内不会改变，如若将此罪法益完全归入超个人法益中，势必是对现有刑法条文的熟视无睹。此外，实践中单纯只侵犯单个公民个人信息并不会对社会信息管理秩序造成威胁的现象也时有发生，这也是超个人法益所无法解释的。

2.本罪的法益廓清

事实上，本罪应持公民个人的信息自决权与社会信息管理秩序的双重法益观，其中主要法益为公民个人的信息自决权。理由如下：

首先，本罪分布在分则第四章“侵犯公民人身权利、民主权利罪”，且列于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”后，首要保护的当属个人法益。但正如前文所述，主张个人法益属性的学说中“隐私权说”内涵不符、“人格权说”过于抽象、“信息权说”范围过宽，都不适宜作为本罪的具体保护法益。而在民法学界讨论已久的“信息自决权”适宜引入刑法，足量弥补学说的空档。“信息自决权”的概念源于德国，在著名的“读者来信案”中确定其具体内涵，①在著名的“读者来信案”中将其内涵确定为：面对国家时，公民个体对搜集、使用和处理其个人信息的行为的决定权。并以德国宪法“人性尊严”和“人格自由发展”作为“信息自决权”的根本法渊源。在保护范围上，信息自决权保护的既可以是个人隐私，还可以是已公开的或是不特别关涉私生活秘密的个人信息。当今形形色色的个人信息的商业化利用日趋严重，信息自决权显然更适应于普遍广泛的信息保护需要。在权利属性上，信息自决权除了防止其他私权利主体的侵害以外，更为重要的是具有抵御国家不当搜集、储存、传播和使用公民个人信息的防御权功能。作为外来术语，信息自决权也存在强大的生存土壤：《个人信息保护法》等前置性法律的缺失使得刑法保护必须在根本法中找寻出路，我国《宪法》中虽然并未明确列举，但第33条第2款规定的“国家尊重和保障人权”和第38条规定的“中华人民共和国公民的人格尊严不受侵犯”条文已然证成了信息自决权是我国宪法所保护的新型具体人格权，这就为信息自决权作为保护法益扫清了理论障碍。

其次，分析《解释》中关于“情节严重”以及“情节特别严重”的规定，也从侧面反映出法益保护的态度。第一，第五条中第一项与第二项②《解释》第5条中第一项规定：“出售或者提供行踪轨迹信息，被他人用于犯罪的”；第二项规定：“知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的”。这两种情况无需考虑“违法数额”和“信息数量”的要求而直接入罪，已然超出个人法益属性而向公共法益倾斜。第二，第五条中还设置了“情节特别严重”的情况，③《解释》第5条中“情节特别严重”包括“造成被害人死亡、重伤、精神失常或者被绑架等严重后果的；造成重大经济损失或者恶劣社会影响的”。按照同质解释来推断，这里的“重大经济损失”应当是与“恶劣社会影响”相并列的社会经济损失，与公民个人权利相对。而这种设置模式表明立法者在本罪中已经兼顾侵犯公民个人信息行为对社会信息管理秩序的影响。第三，在法定刑配置上也可见端倪，比如根据第253条之一第1款规定，该罪“情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”。然而在第四章中的其他罪名，就拿故意杀人罪为例，情节较轻时配置的刑期居然与之相同，这便让人容易觉察出本罪的异样。[8]立法者意图明显不仅仅在于个人法益的保护，势必扩张至超个人法益的范畴中。

也有学者提出质疑，主张公共法益本身就是个人法益的扩展，没有必要再去强调，否则可能会淡化个人法益的保护意识。[6]但大数据时代的极速变迁，数据平台汇聚大量个人信息，一旦被不法利用，从损害单个个体会迅速扩张至扰乱国家的管理秩序，愈演愈烈的电信网络诈骗现象适为明证。公民个人信息的保护对遏制下游犯罪以及稳定社会秩序具有重大影响，本罪中的超个人法益属性便不言自明。[9]

综上所言，大数据背景下的侵犯公民个人信息罪所保护的法益确定为以公民个人的信息自决权为核心的双重法益显然更为适宜。

（二）界定“公民个人信息”之价值导向

界定“公民个人信息”范围的前提就在于明确“公民个人信息”的价值导向。大数据技术在给生活带来便利的背后是每个利益既得者让渡部分权利所换来的，现实中每个人既是利益的享有者又是利益的被攫取者，既享受着信息自由流通的便捷又必然承担着信息滥用的风险。因此，大数据背景下的公民个人信息保护是以个人信息权利保护原则与信息自由流动原则为基础，也即科技的快速发展所带来的风险社会中安全价值与自由价值的选择。应然状态下“权利保护”与“自由流动”相辅相成，在有效保护个人信息的同时积极促进市场的流动。但实然状态下，公民个人与国家和信息运营商相比势单力薄，尽管霸王条款层出不穷、信息漏洞屡屡曝光，个人却无力与之抗衡，因此选择侧重“权利保护”的价值二元观，以实现实质正义。安全和自由两种价值不是择一而就，而应当是相互协调共生的。信息自由流通的“自由”不是恣意妄为，而是以稳定信息管理秩序、保障信息安全为限度的，特别是在技术高速发展的当下，信息自由流通更应局限于“权利保护范围内的自由”。

三、“公民个人信息”刑法边界的框定

鉴于本罪保护的是以公民个人的信息自决权为核心、兼具社会信息管理秩序的双重法益，遵循的是在适当倾向保护公民个人信息安全的前提下促进信息自由流动的价值导向，“公民个人信息”就应当更强调个人属性。然而，在附有个人属性的众多界定模式中如何抉择，又是亟待解决的问题。

（一）“公民个人信息”范围的界定模式

关于“公民个人信息”范围，学界聚讼不已，笔者选取最具热议价值的“隐私说”和“识别说”进行讨论。“隐私说”认为只有属于个人隐私部分的个人信息才是刑法保护的对象。[10]美国是采取“隐私权说”来对“个人信息”加以保护。“识别说”则强调信息的身份的识别性，具有可识别性的信息才是规制对象。[7]所谓“识别”，主要指能否从相关信息中关联到特定自然人，包括直接识别和间接识别。欧陆国家是采用“识别性”作为“个人信息”概念的核心词。然而核心问题就在于我国语境下“个人信息”的核心在于“隐私性”还是“可识别性”？我国并未同美国一样采取“大隐私权”概念，相反受传统文化影响，我国语境下的隐私范围狭小，主要指的是不为人所知悉的私人信息或生活，强调的是隐私的个人性、隐秘性。若采取“隐私说”，利用已经公开的“个人信息”犯罪即使损害到社会信息管理秩序法益，但却无法纳入侵犯公民个人信息罪的评价范畴。相反，“识别说”是对本罪侵犯法益和大数据时代价值导向的全面考量，既考虑到公民个人信息自决权的保护，又充分兼顾社会信息管理秩序的维持，从而得以合理划定本罪的犯罪圈。

但应当注意的是，大数据技术的迅猛发展使得身份可识别与否的界限越发模糊，个人信息的范围极大扩张，以至于有学者开始主张个人信息不必具有可识别性，只要是个人信息即可。[11]笔者认为在找到更科学合理的替代方案之前，最为妥当的方法在于加以修正身份识别标准，而不是彻底抛弃，即划定可识别信息的强弱等级，不同等级对应不同数量的信息来限定犯罪圈范围。因此不能仅凭强弱程度入罪，而是根据司法实践划定不同的入罪数量，以此完成行政法与刑法的合理过渡。

此外，《解释》又在“身份识别性”之外设定“活动情况”的模式，但其能否作为一个独立的标准来界定个人信息也遭致质疑。有学者指出，“活动情况”标准略显累赘，理由在于广义的“身份识别性”本身就包含“活动情况”，无需再特别强调。[12]另有学者认为，“身份识别性”和“活动情况”两项标准是互不相容、互相并列的，从属性上分析，前者是一种静态的信息，而后者则是一种动态的信息。[13]笔者赞同后种观点，认为“身份识别性”固然是侵犯公民个人信息罪的重要标杆，但其固定性和静态性的特质无法囊括诸如“行踪轨迹”之类的动态信息，“活动情况”标准的引入尤为必要。事实上，“活动情况”标准也并不是《解释》出台之后的新兴产物，在《刑（九）》颁布之前司法实务中就出现过大量案例将“活动情况”视为本罪的保护对象，如行车轨迹、宾馆入住信息等，这些动态信息的泄露显然更具有利用价值。[14]

综上所言，笔者认为“公民个人信息”可以直接厘定为：可直接或间接识别到特定自然人的各种静态信息以及反映个人活动情况的各种动态信息，其中将识别性的强弱结合数量的多少来界定刑法风险的有无。

（二）“公民个人信息”中“公民”的理解

学界对于侵犯公民个人信息罪中“个人信息”的界定争论不断，但对于“公民”的理解却关注度不高，《解释》中也并未对此作出进一步明确规定。事实上，如何理解“公民”这一概念对于正确厘定“公民个人信息”的范围意义重大。

1.“公民”是否包括外国人和无国籍人

“公民”作为一个宪法词汇，是指享有权利并承担义务的本国国民。在公法上，自然人包括公民、外国人、无国籍人，可见自然人是涵盖公民在内的法律术语。但基于侵犯公民个人信息罪的立法目的和平等适用刑法的基本原则，只要犯罪行为发生在我国境内，外国人和无国籍人一律平等适用我国刑法。因而有学者就主张删除罪状中“公民”一词，既简洁又可以避免法条解释过程中可能产生的误区。[15]

立法建议固然需要存在以推动立法技术的不断前行，但毕竟耗时耗力，在还未修改法律之前，如何化解立法制造的障碍，就离不开发达的解释学的支撑。对于“公民个人信息”的主体范围完全可以通过扩大解释为“自然人”，从而将外国人和无国籍人纳入进来。其实民法领域早已使用这一表述方式，《民法总则》在第2章目录采用了“公民（自然人）”的表述以及第8条第2款的规定①民法总则》第8条第二款规定：“本法关于公民的规定，适用于在中华人民共和国领域内的外国人、无国籍人，法律另有规定的除外。”表现出立法技术将“公民”与“自然人”等量齐观。刑法完全可以借鉴这种使用方式，既可节约立法成本，也不会伤害民众预期。事实上，刑法也早已暗含这一表述方式，《刑法》文本中除了第七条（属人管辖权）、第八条（保护管辖权）、第三百七十六条（战时拒绝、逃避服役罪）这三个条款正确地使用了“公民”这一概念外，其余使用“公民”概念的都是表示全体自然人的词汇。此外，“公民”一词表明“公民个人信息”的超个人法益意味。因此，笔者反对删除“公民”一词。

2.“公民”是否包括单位

单位不应纳入“公民”涵盖的范围之内，理由在于：首先，单位犯罪必须要法律明文规定，本罪罪名是“侵犯公民个人信息”，“个人”与“单位”的概念是相互排斥的，本罪中更没有明文规定单位可以实施此类犯罪，故“单位”必然无法纳入其中。其次，个人所享有的信息自决权是个人人格权的一种，而单位又不具有个人人格权，因而单位也就不可能具有这些只有个人才有的信息自决权。最后，单位信息被非法收集和利用的，完全可以纳入侵犯商业秘密罪和损害商业信誉、商品声誉罪的保护范围，因此没有必要在侵犯公民个人信息罪中加以探讨。

（三）自我公开的公民个人信息也应受到保护

现代社会朋友圈成为生活写照的集锦，人们总是热衷于把生活的点滴记录在朋友圈里，通过朋友圈便可以掌握个人的基本样貌，但殊不知这一举动有可能为收集、利用个人信息提供可乘之机。问题就在于，个人自我公开的信息是否也应受保护？笔者认为，个人信息不同于隐私，一经公开后仍有重复利用的价值，为下游犯罪提供便利，因此这类信息仍应属于保护范围。《网络安全法》中“告知—同意”、“匿名化处理”的模式也已经表现出公民个人对收集、使用个人信息的知情同意权，换言之，即使自我公开的个人信息中仍然保留重要的个人知情权和支配权。[16]违背信息主体意志擅自利用自我公开的个人信息仍应受到刑法规制。此外，自我公开的个人信息或许只是被害人的生活碎片，但在大数据的操控下就很容易整合为一个信息系统，从而得知个人的生活全部，更容易激起下游犯罪的波涛。大数据时代每个人都是透明人，因此个人信息即使被自我公开，也并不代表着就能擅自利用，尤其对个人信息的整合仍应将其归入刑法保护的范围。

四、结语

“公民个人信息”的范围界定是侵犯公民个人信息罪的重要入罪标准之一。尽管《解释》对此已经做出明确而详尽的规定，但立法总是滞后于现实，网络时代的高歌猛进和司法现实的错综复杂往往使得我们无所适从，唯一能做的便是不断总结经验并予以完善。大数据背景下侵犯公民个人信息罪的保护法益应当转化为以公民个人的信息自决权为核心、兼具社会信息管理秩序的双重法益，信息的自由流动也需要以公民个人信息安全为支撑，保护法益和价值导向的正确考量才是厘清“公民个人信息”刑法边界的关键所在。虽然《解释》中“识别性”标准遭遇大数据技术招致的困境，但是不应当因噎废食，建议通过强弱识别性信息和信息数量的有机结合，来实现合理入罪。另一种“活动情况”的动态性标准与“可识别性”静态性标准彼此无法涵括，均应当发挥不同的作用来有效界定公民个人信息。但毕竟刑法是规制越轨行为的最后手段，尽快制定《个人信息保护法》等前置性法律才是关键之道。