走出侵犯公民个人信息罪的法益保护之迷思
——超个人法益之提倡

郭泽强 张鑫希

一、问题的提出：侵犯公民个人信息罪法益的“个人”与“超个人”之争

近年来，随着网络的迅速普及，个人信息成为数据时代最重要的经济资源之一，堪称“大数据时代的石油”。数据企业对个人信息的收集、流转、处理，一方面给公民提供了精准的个性化服务，另一方面也带来了个人信息被滥用的风险。徐玉玉被骗一案就是个人信息被非法收集利用导致的悲剧。为了保护公民个人信息，2009年2月28日出台的《刑法修正案(七)》对出售和非法提供以及非法获取公民个人信息的犯罪做了规定。随着《刑法修正案(九)》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“2017年解释”)的出台，刑法对公民个人信息的保护也愈加完善。但是，根据法律规定却无法得出侵犯公民个人信息罪明确的法益归属，而明确某个罪名的法益属性会对其入罪边界有更清晰的认知，因此这是有必要讨论的问题。学界对侵犯公民个人信息罪的法益众说纷纭，大体上可以分为两大类，即个人法益说和超个人法益说。

个人法益说可以分为以下几种观点：第一种观点认为该罪的法益是公民的隐私权，因此只有属于隐私范围的个人信息才是本罪保护的对象。(1)参见蔡军：《侵犯个人信息犯罪立法的理性分析——兼论对该罪立法的反思与展望》，《现代法学》2010年第4期。但在大数据时代，个人信息的范围要比隐私信息的范围大得多，这种观点过于限缩了本罪的保护范围，不利于打击侵犯公民个人信息犯罪。第二种观点认为本罪的法益为个人生活的安宁状态，只要侵犯某种信息有可能威胁到私人生活安宁都属于侵犯公民个人信息罪的规制范围。(2)参见胡胜：《侵犯公民个人信息罪的犯罪对象》，《人民司法》2015年第7期。该种观点的不足在于判断标准过于主观，很不明确。每个人对生活安宁有不一样的要求和感受，以生活安宁为判断个人信息犯罪的标准不可取。第三种观点认为该罪的法益为公民的人格尊严和个人自由。(3)参见高富平,王文祥：《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》，《政治与法律》2017年第2期。该观点从侵犯公民个人信息罪的实质违法性出发，认为只有危害到人格尊严和个人自由的侵犯个人信息的行为才能构成该罪。这种观点存在同生活安宁说同样的问题，那就是判断标准不明确。还有一种愈发受到学界重视和追捧的观点，认为本罪的法益为一种新型权利，即个人信息权。(4)参见冀洋：《法益自决权与侵犯公民个人信息罪的司法边界》，《中国法学》2019年第4期。个人信息权，又称信息自决权，最早承认于德国法。在德国法语境中，该权利是指“个人依照法律控制自己的个人信息并决定是否被收集和利用的权利。”(5)转引自王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，《现代法学》2013年第4期。该学说的主张者认为个人信息权应当作为一项新型权利加以确证，并受到法律的单独保护。个人信息权的重点在于信息主体对个人信息的支配和控制，(6)参见李源粒：《网络数据安全与公民个人信息保护的刑法完善》，《中国政法大学学报》2015年第4期。具体内容包括对个人信息被收集、处理、利用的知情权，是否同意个人信息被他人利用以及如何利用的决定权和控制权，以及信息的更正权和被遗忘权等。

超个人法益说的主张者认为，一个公民的一条个人信息并不值得刑法保护，只有对公共信息安全造成损害才构成侵犯公民个人信息罪，所以要构成本罪，侵犯公民个人信息的行为需具有一定的规模性，本罪保护的法益是社会信息管理秩序。(7)参见凌萍萍,焦冶：《侵犯公民个人信息罪的刑法法益重析》，《苏州大学学报(哲学社会科学版)》2017年第6期。笔者认为，本罪的保护法益并非个人法益，而是超个人法益。鉴于其他个人法益说观点的不足之处比较明显，而个人信息权说正在成为一种有力的观点，因此本文将重点反驳把个人信息权作为本罪法益的观点，分析为什么个人法益特别是个人信息权不能作为本罪法益的原因，并在此基础上分析将个人信息作为超个人法益保护的优势，从而得出本罪的法益为超个人法益的结论。

二、侵犯公民个人信息罪的法教义学解读

在确定某个罪名保护的法益时，首先要看法条的规定，并对法条进行解读。但通过解读侵犯公民个人信息罪的法条，并不能得出其保护法益是个人法益的结论。

(一)刑法条文的解读

有学者认为，可以从侵犯公民个人信息罪在刑法中的体系地位得出该罪保护的是个人法益的结论。(8)参见高富平,王文祥：《出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角》，《政治与法律》2017年第2期。因为该罪被规定在我国《刑法》第四章“侵犯公民人身权利、民主权利罪”中，可想而知该罪保护的法益应该在公民的人身权利和民主权利范围之内。另外，该罪乃我国《刑法》第253条之一，位于“侵犯通信自由罪”与“私自开拆、隐匿、毁弃邮件、电报罪”之后，而后两者保护的法益均为公民的个人通信自由与人格尊严，为个人法益，所以理所当然地可以得出这样的结论，即侵犯公民个人信息罪的保护法益同样为个人法益。但这样的推论是单薄的。

一个罪名在刑法典中所处的章节位置并不能决定该罪保护的法益。“以同类法益分类组合”并不是刑法典中罪名排列的“金科玉律”，同类法益的结构化只是相对的。罪名在刑法中所处的位置也不是一成不变的。比如虐待罪，1979年《刑法》将虐待罪规定在妨害婚姻家庭罪这一大类犯罪中，可以看出当时虐待罪的设置主要是为了保护家庭关系，该罪的法益即家庭伦理关系。但随着社会的变迁，1997年《刑法》则将虐待罪迁移到了侵犯公民人身权利、民主权利罪中。这足以表明根据罪名在刑法典中所处的位置来确定法益属性是不可靠的，科学技术的发展、社会观念的变迁都会使法条的内容和地位发生变化。

值得注意的是，如果侵犯公民个人信息罪的法益是个人信息权，或者该罪保护的是完全的个人法益，那么当公民个人对行为作出承诺的表示时，表明其放弃了刑法对自己的保护，这种情况下，刑法会尊重被害人的意愿，对该行为不予处罚。但是，刑法条文中并没有明确地指出公民个人的同意是信息收集的合法化基础。前文已经阐明，个人信息权最重要的内容就在于公民对个人信息的支配与控制，使公民参与到个人信息流通的过程并在其中占据重要地位，知情同意则是个人信息权切实存在的表现之一。虽然“2017年解释”中规定，未经被收集者同意，不得将合法收集的公民个人信息向他人提供，但是也未明确规定未经被收集者同意不得收集公民个人信息。不得不说，这其实是立法者并没有将个人信息权作为侵犯公民个人信息罪的法益的表现。

另外，刑法规定侵犯公民个人信息的行为只有达到“情节严重”才能构成本罪，如果本罪保护的是个人信息权，即个人对信息的控制和支配，那么只要有侵犯公民个人信息的行为就会构成本罪，因为个人对信息只存在是否掌控的问题，而不存在掌控程度的问题。但法条的规定却不是如此，说明该罪保护的法益并不是个人信息权。

(二)侵犯公民个人信息犯罪的特征决定了其法益的非个人性

“法益的整体应当是‘法益承载的内容’+‘法益的刑法评价’。”(9)凌萍萍,焦冶：《侵犯公民个人信息罪的刑法法益重析》，《苏州大学学报(哲学社会科学版)》2017年第6期。并不是所有的权利或者利益都是刑法法益，刑法法益的确定需要经过刑法的评价，只有具备刑法保护价值的权利或者利益才是刑法的法益。仔细研究“2017年解释”以及司法实践中的真实案例就会发现，本罪具有群体性和间接性特征，(10)参见王肃之：《被害人教义学核心原则的发展——基于侵犯公民个人信息罪法益的反思》，《政治与法律》2017年第10期。侵犯一个公民的个人信息权根本不能达到入罪门槛，不值得刑法保护。首先，本罪具有群体性的特征。“2017年解释”规定侵犯公民个人信息达到五十条、五百条、五千条，或者违法所得五千元以上，才达到本罪情节严重的规定。在司法实践中，侵犯公民个人信息的案例也是动辄成千上万条，如果要就每个公民的个人信息权进行保护，未免不切实际。这种群体性表明本罪规制的不是针对某个信息主体的犯罪，而是针对危及社会秩序的犯罪。其次，本罪具有间接性特征。侵犯公民个人信息的行为本身对公民的人身财产无法造成伤害，但是刑法为什么要对其进行规制呢？因为这种行为常常与下游犯罪衔接，从而间接对公民造成人身和财产损害。因此“2017年解释”中将“出售或提供行踪轨迹信息，被他人用于犯罪的”认定为“情节严重”，将“造成被害人死亡、重伤、精神失常或者被绑架等严重后果”认定为“情节特别严重”。可以看出，本罪的间接性特征是刑法对大数据时代带来的风险进行提前规制的表现。在风险时代，对未造成实害结果的行为进行预防本无可厚非，但如果将个人信息权作为本罪的法益则有不妥。本罪的设置就是以预防犯罪为目的，一定程度上是在扩大刑罚的处罚范围。而个人信息权旨在保护公民对个人信息的掌控，在当今这个数据时代，个人信息的收集处理随处可见，公民认为自己的信息权被侵犯的完全可以通过民法、行政法进行维权，但如果将个人信息权作为本罪的保护法益则更是在降低入罪门槛，进一步扩大了处罚范围，有违刑法的谦抑性品格。

三、个人信息权提法之否定

除了从法教义学上无法得出侵犯公民个人信息罪的法益是包含个人信息权在内的个人法益之外，个人信息权本身的确证就是存疑的。我国目前的法条没有明确规定个人信息权，许多学者从其正当性角度论证个人信息权的存在，却没有考虑该权利的可行性问题以及保障该权利的成本问题，这样的思维有“权利泛化”的嫌疑。

随着社会现代化进程的加快，权利观点深入人心，公民的权利意识得到了觉醒，各种新兴权利层出不穷，除了隐私权、知情权这些已经被法律认可的权利，还包括亲吻权、贞操权等具有争议的权利。权利范围的扩张从某种程度上来说是好事，因为其展示了国人正在摆脱旧时代被义务压迫的惯性，但是权利的无限扩张却对现代法治产生了破坏。社会资源的总量是固定的，权利的设置需要考虑社会资源的分配，在这一前提下，不恰当的权利主张越多，就越有可能产生权利冲突。为了尽可能避免权利冲突，就需要立法者在设定权利时进行多方面的利益权衡，但显然各级立法者没有做到这一点，“他们似乎只关心权利的可欲性，而缺少“可行性”考虑，甚至在不适合法律调整的领域设置权利”(11)陈林林：《反思中国法治进程中的权利泛化》，《法学研究》2014年第1期。。除了立法者，我国理论界也存在同样的倾向，即“总是把权利的可欲性问题置于权利的叙述理论思考与探究的核心，而始终在有意无意地边缘化或者消减权利的可行性问题”(12)姚建宗：《权利思维的另一面》，《法制与社会发展》2005年第6期。。个人信息权的确证者往往会从多方面论证该权利的应然存在，比如个人信息权是大数据时代保护公民人格、财产、身体健康的必然选择，但笔者认为这些观点都是从“可欲性”的角度来论证的，却没有考虑过权利的“可行性”，没有可行性的权利不应称之为权利。有学者认为， “能不能行使自己的权利和是否享有该权利是两回事”(13)陆青：《个人信息保护中“同意”规则的规范构造》，《武汉大学学报(哲学社会科学版)》2019年第5期。，但是，如果不能在事实层面上行使该权利，空有权利的称号有什么意义呢？大量“空头权利”的存在只会使权利这一概念虚化，不利于法治对权利的保障。

(一)个人信息权不具可行性

1.个人信息无法被个人控制

个人信息权之所以没有可行性，一方面是因为在技术层面上信息主体无法控制和支配个人信息，因此该权利的行使没有现实基础。个人信息权的支持者之所以认为个人对信息有支配和控制的权利，很大程度上是因为个人信息的可识别性，可识别性则会让人觉得个人信息是具有私人属性的。大数据时代给公民带来了无法量化的便利，人们在网络上学习、工作、购物、交友，可以说网络是现代人生活的组成部分，难以分割。几乎每个现代人都会在网络上留下“足迹”，除了照片、姓名、住址等能直接识别个人身份的信息以外，还包括兴趣爱好、购物记录、GPS定位等通过数据库的精准分析处理能间接识别个人身份的数据信息。因为这些数据与个人息息相关，“能够显现出个人的生活轨迹，勾勒出个人人格形象，作为信息主体人格的外在标志，形成个人‘信息化形象 ’”(14)张新宝：《从隐私到个人信息:利益再衡量的理论与制度安排》，《中国法学》2015年第3期。，而“个人对自己的信息化形象具有一种控制权”(15)冀洋：《法益自决权与侵犯公民个人信息罪的司法边界》，《中国法学》2019年第4期。，所以信息主体控制自己在网络上的信息是具有正当性的。

个人信息的可识别性并不意味着该信息为个人所拥有或控制，个人信息的确可以同某个人有联系，但单纯有联系并不足以使个人对该信息产生支配控制利益。(16)参见高富平：《个人信息保护:从个人控制到社会控制》，《法学研究》2018年第3期。个人信息并不等于个人的信息，其无法为某一个体所独占。个人信息实际上是一种数据，是无形的，不同于实体上的“物”可以被个体独占，数据只能储存在服务器和终端设备中，不能被信息主体占有。而且个人信息也不是独此一份，它可以被无限地复制和传播，因此更谈不上占有了。有学者认为，个人信息权中的控制支配不能单纯地理解为信息主体在事实层面上对个人信息的实际控制力，而应理解为法律赋予信息主体的权利以及配套的保护救济措施。(17)参见陆青：《个人信息保护中“同意”规则的规范构造》，《武汉大学学报(哲学社会科学版)》2019年第5期。笔者认为，首先，单纯的诉求并不是权利，权利的确认需要经过各方的利益权衡，只有在考虑社会事实和习惯等多方面的因素后，才能将某种诉求用法律权利的形式确认下来。没有考虑这些因素就草率地设置法律权利，会造成权利冲突。举个例子，如果信息主体认为支配控制个人信息对自己有益所以主张个人信息权，那么信息控制者，比如网络服务提供者，同样可以因为利用个人信息对自己有利而主张个人信息使用权，毕竟公民个人信息是在自己提供的数据平台和服务平台产生的，且离开了平台这个载体个人信息也不复存在。这两种主张之间的冲突可想而知。其次，法律给信息主体提供救济措施不足以证明个人信息权的实然存在。法律给利益主体提供救济可能仅仅是因为其利益受损，法律保护某种利益并不意味着该种利益就是权利。最后，笔者认为法律无法填补大数据时代技术进步在信息主体及其个人信息之间造成的鸿沟。技术层面上的无法控制就是无法控制，法律再怎么要求也无法突破技术上的局限。特别是刑法，其走在科技身后，对科技进步造成的法律问题进行治理，这不仅是因为科技的发展日新月异，更是刑法的谦抑性品格的要求。

2.“知情同意”形同虚设

个人信息权不具可行性的另一方面在于即使强行赋予信息主体控制权，这种权利也是被虚化的、不真实的，“知情同意”原则的尴尬处境就是其表现。主张侵犯公民个人信息罪的法益为个人信息权的观点通常会将“知情同意”原则作为保护个人信息的基础之一。该原则是指信息控制人在收集个人信息之时，对于个人信息的收集、处理和利用情况进行充分告知，并征得信息主体的明确同意。该原则构成了美国、欧盟、日本、加拿大等国家个人信息处理的正当性基础之一，我国也倾向于将“知情同意”原则作为个人信息收集处理的合法化前提之一。

在前信息时代，该原则或许是保护个人信息的好办法，因为信息的传播途径有限且低效，信息主体可以将个人信息控制在一定范围内。但是，当下我们已经迈入大数据时代，数据作为重要的生产资料，大量信息特别是个人信息的收集、传播、分析处理成为推动经济发展的新兴且强大的动力，同时也“推动着个人信息生态系统朝着去中心化的方向重构”(18)范为：《大数据时代个人信息保护的路径重构》，《环球法律评论》2016年第5期。。信息流动链条中掌握个人信息的主体包括国家行政主体和网络服务提供者，信息就在国家行政主体和无数个网络服务提供者之间流动，数据爬取技术和挖掘技术使得网络空间像个黑箱子，获得了个人信息的主体也无法控制信息的流向，更别说大多数没有专业知识与技术的公民个人，他们只能决定自己的个人信息是否进入到信息流动链条中，(19)参见敬力嘉：《大数据环境下侵犯公民个人信息罪法益的应然转向》，《法学评论》2018年第2期。而不能支配其走向。那么这种决定权是否表现了公民的个人信息权是有可行性的呢？答案是否定的。网络服务提供者为了使自身收集公民个人信息的行为合法化，往往会在公民接受其服务之前让公民签署服务与隐私协议。该协议被拟定得长篇累牍且非常专业，没有相关知识的公民根本没有可能了解接受服务后自己的个人信息将会被如何利用处理。面对这一协议，公民只有两个选择，离开或者留下。信息不对称使得大部分公民在面对这种选项的时候会毫不犹豫地选择留下，他们甚至都不会阅读隐私与服务协议，也不知道接受服务会意味着什么，知情同意原则就这样被虚化。国家行政主体的操作就要更简单一些，公民从出生入户籍开始，无论是学习、工作还是结婚组成家庭，个人信息都在政府的掌控之下。

有学者认为，信息主体的同意成立刑法学上的“被害人承诺”，所以能阻却犯罪的成立。(20)参见冀洋：《法益自决权与侵犯公民个人信息罪的司法边界》，《中国法学》2019年第4期。但是笔者认为这样的同意并不能成立被害人承诺。得被害人同意可以排除犯罪性，因被害人既然不要求刑法保护，也就不必强行介入提供保护。但是被害人承诺成立的前提是承诺真实有效，这就要求被害人对承诺的内容和后果都有清楚的认知。从上文的论述可以得知，不论是面对网络服务提供者还是面对国家行政主体，被害人都不甚明白自己同意了什么或者是什么时候同意的。在这种情况下做出的承诺不能称之为适格的“被害人承诺”，更不能阻却犯罪成立。如果为了保护这样不真实的“自决权”而将公民的信息安全置于危险之中，显然是不合理的。

(二)个人信息权的成本问题

除了可行性问题外，法律权利的确认还需要考虑成本问题。任何权利的保障都是有成本的，都需要公共财力的支持，个人信息权的保障同样如此。然而社会资源是有限的，在一种权利的保障上投入资源意味着另一种权利可能得不到充分的保障，这就需要进行权利衡量。要保障公民对个人信息的支配和控制，需要在公民和各个网络服务提供者之间架起沟通的桥梁，还需要建立监督机构实时监督信息控制者是否有遵守相关法律，在收集处理个人信息时征得信息主体的同意，以及是否在公民提出修改更正信息时对个人信息进行修改更正，此外还需要督促信息控制者在改变个人信息用途时告知信息主体并取得其同意。此外，以当前个人信息被侵犯的状况，需要用很大一部分司法资源去处理侵犯公民个人信息权的案件。保障个人信息权对当下的中国来说是一项浩大的工程。那么，这个工程的回报呢？个人信息具有巨大的经济价值和社会价值，如果过分限制对个人信息的收集利用，势必对数据企业造成打击，得到的结果很可能是无法为公民提供更优质的网络服务和互联网经济无法得到充分的发展。而过分限制个人信息的传播可能造成信息壁垒，破坏社会交往所需的信任基础，反而对社会不利。“个体权利的实现依赖于社会合作，在合作中产生个人对社会的责任，即个人权利不能破坏社会合作，不能损坏公共利益。”(21)王方玉：《权利的内在伦理解析——基于新兴权利引发权利泛化现象的反思》，《法商研究》2018年第4期。这不禁让人思考，个人信息的最佳保护路径选择个人信息权是否不值得？更何况还有很多亟待保障的“第一代权利”(22)陈林林：《反思中国法治进程中的权利泛化》，《法学研究》2014年第1期。，不应舍本逐末。

综上所述，个人信息权的主张既没有可行性，也因成本太高不利于社会发展，强行将个人信息权作为一项新兴权利独立受到法律保护是“权利的泛化”，更不应将这样一种所谓的“权利”确认为刑法法益。但这并不意味着个人信息不值得刑法保护，而是说换一种保护路径，即将个人信息作为超个人法益来保护，会更加现实可行，也有利于社会发展进步。

四、侵犯公民个人信息罪采取“超个人”法益保护之提倡

(一)个人信息的公共性之考量

数据信息天生就具有公共属性。“自古以来，信息一直是处于公共领域的公共素材或材料，是任何人均可以使用的资源。”(23)转引自高富平：《个人信息保护:从个人控制到社会控制》，《法学研究》2018年第3期。各种各样的信息是科学文化创新的“原材料”，没有这些“原材料”社会不可能发展进步。个人信息同样是数据信息，那么，个人信息是否因为其同信息主体的联系而需要受到其控制支配呢？前文也有论及，个人信息的可识别性并不导致信息主体可以对其进行控制。而且，因为个人信息也承载着社会发展的公共元素，所以法律不会赋予个人以信息专有权，将个人信息“私有化”，这会阻碍社会发展。

另外，需要将个人信息与隐私信息进行区分。在现代社会，公民的隐私信息需要被保护是毋庸置疑的，因为这涉及一个人的人格尊严，隐私被公开会让人觉得羞耻，没有人想看到自己的隐私在自己不知情的情况下被他人知晓，这可以看出隐私权具有完全的私人属性。但个人信息与隐私不同，其范围较隐私而言要大得多。我国以“可识别性”定义个人信息，这意味着网络上那些看似与个人隐私毫无关联的记录在通过数据库挖掘分析之后能间接识别到个人的信息同样能纳入个人信息的范围，比如购物记录。美国政府于2015年正式发布的《消费者隐私权利法案(草案)》中甚至将个人信息的定义着眼于“关联性”，只要该信息能连接到特定个人或设备就是个人信息，更是大大扩展了个人信息的范围。个人信息的范围之广意味着其不可能得到与隐私权相同的待遇。因为不管是在现实生活中还是在网络空间里，与他人交往就意味着双方要交换各自的信息，这是公民知情权的要求。知情权是指个人对公共事务及与自己有关或感兴趣的事务接近和了解的权利，包括知政权、社会知情权和个人信息知情权。(24)张新宝：《隐私权的法律保护》，群众出版社，2004年，第85-87页。如果对方不展示自己的个人信息，那么这段关系就无法建立在信任的基础上，甚至会导致人们隐藏自己的信息做一些不负责任的行为。可以说“个人信息的存在的首要价值便是帮助自然人实现社会交往”(25)任龙龙：《论同意不是个人信息处理的正当性基础》，《政治与法律》2016年第1期。。而且在自己的个人信息被传播的同时，主体也在接收别人的个人信息，如果过分强调个人信息权，很可能导致信息壁垒，社会交往的信任基础将不复存在。

当然，笔者并不是主张个人信息不应该得到保护，而是说侵犯个人信息罪保护的并不是信息主体对个人信息的支配与控制，因为在数据时代个人信息被传播利用是必然的，现代人每天都在网络上将自己的信息披露给他人，也同时在接收别人的信息，个人信息应该在社会利用的前提下得到保护(26)参见洪玮铭,姜战军：《社会系统论视域下的个人信息权及其类型化》，《江西社会科学》2019年第8期。，所以该罪设置的目的应该是保护个人信息不被滥用，而不是保障个人对信息的支配控制。法律应顺应现在的社会环境选择最经济的保护个人信息的路径。

(二)个人信息的社会价值

信息时代的数据信息，特别是个人信息，具有巨大的利用价值，这导致将个人信息纳入个人法益是不经济的。

首先，个人信息具有很大的商业价值。大数据时代之“大”在于其处理信息的规模之大，海量的数据信息经过二次分析成为价值更高的数据产品。互联网大大拓展了网络服务提供者获取消费者信息的渠道，这些消费者信息通过数据分析后，可以让网络服务提供者了解每个消费者的爱好和需求，从而得以实现广告的定向投放，大大提升营销回应比率，实现了消费者和经营者之间的良性互动。除了提高经济效益外，个人信息的利用对于市场的健康运行也有重要作用。商业往来的基础在于信任，没有信用基础的市场秩序难以维护，而数据信息则是建立社会信用体系的关键，不只是消费者的个人信用信息，网络服务经营者的信用信息也同样重要。另外，个人信息对国家抢占国际互联网经济主导地位也有重要价值。“在‘互联网女皇’玛丽·米克尔发布的2016年互联网经济趋势报告中，全球市值最大的20个互联网领军企业中有12个来自美国，7个来自中国，1个来自日本。”(27)刘泽刚：《欧盟个人数据保护的“后隐私权”变革》，《华东政法大学学报》2018年第4期。而欧盟作为世界主要经济体竟然没有一家企业上榜，不得不说其中有个人数据保护过于僵化的原因。欧盟是世界上最早进行个人信息保护的地区之一，但经济的发展却没有同个人信息保护齐头并进，而且其中可能还有某种消极联系，这不得不让人思考个人信息保护和经济发展的价值权衡。

其次，个人信息有公共管理价值。为了更高效地进行社会管理，收集国民信息是各国政府一直以来通行的做法。信息社会中更是如此，统计学及数据的挖掘和储存技术使得每一个公民从出生到死亡的全过程都被记录在案，公民的学习、工作、家庭情况都为政府所掌握，从而方便政府的社会管理。在恐怖主义对国家安全产生极大威胁的国际背景下，政府对个人信息的掌握也有助于维护社会安全。通过掌握个人犯罪相关信息，监控相关嫌疑人的社会活动、溯源调查暗网浏览记录等方式，政府可以有效提高恐怖主义活动的预防和侦查效率，从而维护社会稳定。有学者会担心政府对个人信息的掌控是“棱镜门”事件的重演，会导致政府权力过大，侵犯个人权益。当然，制约公权力是必须要考虑的内容，这需要宪法与行政法等公法的共同努力，不是刑法将侵犯公民个人信息罪的法益规定为个人法益就能解决的问题。另外，信息网络为政府提供了广泛的个人信息作为分析样本，有利于政府作出更符合舆情民意的决策，为社会服务。如今“数字政府”项目的如火如荼就可以证明大数据时代政府工作方式的转向，个人信息对于公共秩序、公共安全和公共福利的推进都有重要作用。(28)参见张新宝：《从隐私到个人信息:利益再衡量的理论与制度安排》，《中国法学》2015年第3期。

以上分析都意味着“大数据时代中单个自然人的个人数据本身并无价值”(29)程啸：《论大数据时代的个人数据权利》，《中国社会科学》2018年第3期。。个人很难通过贩卖自己的信息挣钱，因为一条个人信息的价值如沧海一粟，个人信息的真正价值在于网络服务者和国家行政主体对个人数据信息的整合分析。如果将个人信息权作为侵犯公民个人信息罪的法益，势必会提高数字经济运行的成本。网络服务提供商在收集个人信息时要经过每个公民的同意，告知其个人信息的用途、流向，如果在分析处理时出现意想不到的结果还要通知消费者，信息的流通就这样在消费者和网络服务提供者之间往返，经济成本将大大提高。另外，除了直接与消费者接触的网络服务提供者，利用个人信息的还有从初始的网络服务提供商中爬取数据信息进行二次分析的其他网络服务商。如果要切实保障公民个人信息权，那么这些服务也要与公民个人进行接洽，才能确保公民对个人信息的支配控制。这样看来，不仅网络服务成本提高了，其可行性也是存疑的。对于国家行政主体而言也同样如此。过分注重个人对数据信息的支配和掌控，必然提高信息控制人分析处理信息的成本，导致市场经济和社会秩序等方面运行的低效，而且由于“知情同意”原则的无力，这种做法得到的结果也不是个人信息权就得到了切实保障，不免得不偿失。

(三)刑法家长主义与法益自决权的权衡

大数据时代，风险无处不在。特别是对个人信息的保护而言，在网络空间，个人信息以何种形式被收集、被收集后流向何处、被如何处理都是公民个人无法认识到的。在这样的环境下，人是“弱而愚”的，是非理性的，需要刑法的保护。有学者认为，将本罪的法益解释为超个人法益是刑法家长主义的表现，(30)李玮：《侵犯公民个人信息罪研究》，武汉大学2017年硕士学位论文。是对公民法益自决权的侵害。法益自决权是公民个人自治作为现代刑法基本理念的表现，但是在风险时代，这种法益自决权往往是一种被削弱的自治。通常情况下，公民个人“并不能察觉到其意志决定中隐藏的风险”(31)车浩：《自我决定权与刑法家长主义》，《中国法学》2012年第1期。。其中最重要的原因之一就是同意能力的欠缺，面对个人信息被收集处理背后的风险，公民并不能准确地预见到，也没有能力去应对。而刑法就需要在个人自决权失效时站出来，为公民保驾护航，让他们感觉到安全。

另外，将本罪法益认定为超个人法益其实也是对公民法益自决权的保障。超个人法益意味着侵犯公民个人信息的行为需要具有一定的规模且足以危害到信息管理秩序，那么，公民在完全理解个人信息将被如何收集、处理、利用的前提下，在个人法益的范围内处置个人信息的行为是刑法认可的被害人承诺，这在一定程度上也是保障其法益自决权的表现。

五、结 语

侵犯公民个人信息罪的设置表明个人信息确实需要保护，但保护法益的路径需要仔细考量。从法教义学角度无法得出本罪的法益为个人法益，反而能得出本罪在保护更高阶的法益的结论。另外，仅仅从公民对个人信息控制决定的正当性角度来论证个人信息权作为本罪法益的必要性是不充分的，缺少对社会现实的考虑，没有现实基础的权利只是一种空想。现实就是公民无法实现对个人信息的控制支配权，强行保障该权利的经济成本和社会成本也过高。考虑到个人信息是建构以信任为基础的社会交往的基础，对国家经济发展和社会管理都具有重大价值，所以个人信息的最佳保护路径应该是将其作为超个人法益进行保护。