论侵犯公民个人信息罪的保护范围

龙妍宇

摘要：随着互联网领域中个人信息泄漏事件频发，对“公民个人信息”的概念进行界定的任务开始提上日程。探究侵犯公民个人信息罪的适用边界，需要首先对“公民个人信息”的属性进行明确，方能为侵犯公民个人信息罪的法益提供合理化解释。本文在肯定个人法益说的基础之上，认为当个人信息在不同的信息主体间流转时，不同情境脉络应该适配特定的信息规范;在司法实践中，应遵循“可识别性”的一般判断标准，对身处我国的外国公民的个人信息予以同等保護，并针对公开与非公开的信息予以不同强度的保护。

关键词：个人法益说;可识别性;个人信息自决权

一、对个人法益说的理解

当前学术界就侵犯公民个人信息罪的法益讨论呈百家争鸣、百花齐放的繁荣局面，超个人法益学说以及个人法益与超个人法益的双重法益属性学说是近年来逐渐开始兴起的一种观点，但现今占据主流地位的观点仍是个人法益说。

持个人法益学说观点的可以分为下列几种：第一，公民个人隐私权说，认为该罪侵犯的法益是民主权利中的名誉隐私权，即公民姓名、年龄等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料[1]。第二，隐私权说+其他学说，认为该罪侵犯的法益“既包括公民个人隐私不受侵犯的权利，也包括公民对自己个人信息的控制权”。第三，公民个人生活安宁说，认为公民个人信息判断应以“私人生活安宁”为标准。第四，公民人格尊严与个人自由说，认为应基于相关行为的实质违法性，将个人信息限缩在具有危害该法益的“公民个人信息”[2]。第五，公民个人信息权说，认为本罪保护的法益既包括个人隐私不受侵犯的权利，也包括限制他人非法收集、转让和出售他人信息的权利。第六，公民个人信息自决权，认为本罪侵犯的是主体对于信息具有的选择和决定权，即基于主体自我意志的排他权[3]。

笔者认为，个人信息按照其私密性高低分属三个不同领域：最核心层的隐私领域、中间层的私人领域、最外层的社会领域。当个人信息在不同的信息主体间流转时，不同情境脉络应该适配特定的信息规范。公民个人信息权作为一种新型的、独立的权利类型，不宜纠结于将其作为隐私权、人格权亦或财产权进行单独保护，而应泛化地将其所具备的多种法律属性进行杂糅，从而实现概括性评价。这样既可以克服因隐私权保护过于狭窄而无法有效实现公民个人信息保护的困境，又可以解决财产权保护争议频发且无法明确相关数据权利的难点。

二、司法认定标准

（一）遵循“可识别性”的一般判断标准

公民参与社会活动必定会留下信息痕迹，这些信息即使随着时间流逝或空间流转而逐渐碎片化，理论上亦可通过与其他信息的组合还原成具有可识别性的公民个人信息[4]。无论公民个人信息呈现出何种形式，司法机关在认定其内容范畴时总是坚持一个重要标准，即“可识别性”。不管是可单独直接识别特定自然人的信息，还是需通过组合形式以识别特定个人的信息，在判断涉案信息是否属于刑法意义范围内要保护的公民个人信息时，都应当遵循该信息是否具有与特定自然人相关联的判断标准。否则，当涉案公民个人信息既不包含可以直接识别特定自然人的内容，也不满足能与其他信息相结合从而识别特定个人的条件时，想要适用本罪对其进行定罪量刑，显然是一件概率极低的事情。

（二）主体范围不限于中国公民

本罪的犯罪主体具有他国国籍的情况在实践中屡见不鲜，司法机关应当如何把握“公民个人信息”的主体范围成为亟待解决的问题。笔者认为，中国公民的个人信息当然是我国刑法所保护的“公民个人信息”，但除此之外，外国公民的个人信息同样也属于被保护的范畴。首先，刑法第二百五十三条之一在对“公民个人信息”进行界定时并未将其限定为“中华人民共和国公民的个人信息”;其次，在“刑法平等”这一中心原则的指导下，我国刑法应当对于所有身处我国境内、或者是在我国领域范围内受侵害的，不论是中国公民还是外国公民，均应给予同等力度的保护。

（三）区分自愿和非自愿公开的个人信息

《民法典》关于公开的个人信息的保护强度要明显弱于非公开的个人信息：对于非公开的个人信息，第1035条第1款规定，除法律、行政法规另有规定的外，处理相关信息需要征得该自然人或者其监护人同意;对于公开的个人信息，第1036条第2款规定，除自然人明确拒绝或者处理相关信息侵害其重大利益的外，合理处理相关信息不需要征得该自然人或者其监护人的同意。《民法典》的上述规定为刑法适用中涉公开的个人信息案件定性的若干争议问题厘清了前置法规定[5]。据此，在处理相关刑事案件时，对于未通知并征得自然人同意而获取、提供公开的个人信息的案件，只要行为人的获取、提供行为处于“合理”限度之内，除证明该自然人明确拒绝或者相关获取、提供行为侵害了该自然人的重大利益的外，应当认为相关获取、提供的行为属于合法行为，不属于“违反国家有关规定”获取、提供公民个人信息的行为，更不应认定为构成侵犯公民个人信息罪。

结论

公民个人信息权作为一种新型的、独立的权利类型，泛化地将公民个人信息所具备的多种法律属性进行杂糅，从而实现概括性评价，这样的界定不仅顺应了大数据信息时代的现实需求，还有相关理论学科为之提供法律依据，具有合理性，因此侵犯公民个人信息罪的法益应当为个人法益之公民个人信息权;在对本罪的适用范围进行司法适用时，应当遵循“可识别性”的一般标准，将本罪的保护范围扩大至外国公民的个人信息，并应区分自愿和非自愿公开的个人信息。

参考文献

[1]张明楷.《刑法学》[M].（第五版）.北京：法律出版社，2016：921.

[2]高富平.论个人信息保护的目的——以个人信息保护法益区分为核心[J].法商研究，2019，36（01）：93-104.

[3]曾粤兴.侵犯公民个人信息罪之法益研究[J].法律出版社，2018（02）：219-220.

[4]王飞.侵犯公民个人信息罪若干实务问题探析——以犯罪客体为视角[J].法律适用（司法案例），2018（18）：99-111.

[5]喻海松.《民法典》视域下侵犯公民个人信息罪的司法适用[J].北京航空航天大学学报（社会科学版），2020，33（06）：1-8.