问题三：刑法上侵犯公民个人信息的犯罪行为与普通的民事侵权行为有何区别？

在明确了民事违法为刑事违法划定了最大的入罪边界之后，进一步值得讨论的问题是：刑法上侵犯公民个人信息的犯罪行为与普通的民事侵权行为有何区别？或者说，个人信息民事侵权行为要满足哪些条件才可能升级为犯罪？这一问题涉及法秩序原理下民法与刑法的评价层次。为此，需要对侵犯公民个人信息行为进行实质解释才能准确回答。刑法学者往往通过“法益”工具开展论证。

刘艳红：只有侵犯个人信息自决权的行为才是侵犯公民个人信息罪中的犯罪行为

基于法益在犯罪论体系的实践中所发挥的作用是“确定某一行为是否侵害了刑法所保护的法益、是否达到应受刑罚处罚的程度”的前提，刘艳红教授认为，只有那种侵犯了信息自决权的行为，才是侵犯公民个人信息罪中的犯罪行为，而“信息自决权”恰好是民法典、个人信息保护法确立的个人信息权的核心。那些侵犯了其他个人信息权的行为，属于一般侵权行为，用民法进行调控即可。刘艳红教授从刑民一体化的视角展开了详细的分析：

1.在民法典背景与刑民一体化视野下，侵犯公民个人信息罪保护法益是对民法典及相关法律法规所确立的个人信息权的刑法确认。

延续了此前身份证法、消费者权益保护法、《关于加强网络信息保护的决定》、网络安全法等法律法规对个人信息保护的规定，民法典对个人信息保护的规定虽然没有明确采用个人信息权的表述，但是其第一百一十一条后半段规定表明，法律所保护的并非作为客体的个人信息，而是作为主体的人的权利，因此可以认为该条文确立了个人信息权。

2.在刑民一体化视野与法秩序统一原理下，刑法侵犯公民个人信息罪保护法益个人信息权不是隐私权或者人格权等传统权利，而是独立的新型权利。

刑法在分析侵犯公民个人信息罪的保护法益时，应该跳出传统思维，抛弃诸如隐私权说、人格权说、个人尊严说、生活安宁说等种种根植于民法传统权利的法益学说，而将个人信息权作为一种独立的权利来对待，将侵犯公民个人信息权作为不同于传统法益的法益来保护。

3.民法总则与个人信息保护法确立的个人信息权是一种宽泛的信息权利，基于“民法要扩张，刑法要谦抑”的理念，刑法侵犯公民个人信息罪的保护法益个人信息权应进一步明确，具体为个人信息自决权。

民法是规范公民生活方方面面的法律，刑法是所有部门法的保障法，因而在公民社会生活治理层面，刑法对公民个人信息保护法益以及公民个人信息权的保护范围肯定要窄于民法。个人信息权的核心是信息自决权，亦即信息主体原则上有权决定其个人信息能否被他人获悉以及被获悉的方式、范围。

因此，侵犯这项权利的实质是对个人自由权的侵犯，这才是刑法所要保护的重点。刑法作为最后保障法，侵犯公民个人信息罪的保护法益理当择其最重要者予以保护。以信息自决权作为侵犯公民个人信息罪的保护法益，无疑既契合民法典与个人信息保护法的规定，最大限度地实现了刑民两大基本法保护法益在法秩序内的统一，充分贯彻了刑民一体化的思维，又符合刑法对一般性自我决定权的日益丰富和具体化的趋势，更能发挥刑法充分保护公民自由等个人法益的机能，彰显了人作为法律行为主体的地位。

刘艳红教授强调了“民法要扩张，刑法要谦抑”的适用理念，并认为在公法与私法融合发展的时代，对于个人信息保护等涉及刑民衔接适用的问题，应该遵守刑民共治规律予以研究。

民法是私法，刑法是公法，民法追究民事责任，刑法追究刑事责任。民事责任“具有弥补已经发生的损害这种向后看的机能”，刑事责任“具有对将来所能预想到的同种法益侵害或者危险进行事前预防的”向前看的机能。二者一前一后，共同完成对损害行为的惩罚和预防。这意味着，如果在确定刑事责任之前，追究侵权行为人的民事责任同时能实现“向后看”和“向前看”的机能时，不一定非要追究刑事责任。

总之，在现行法的立法和框架内，应当坚持民法优先原则，恪守刑法谦抑主义，最大限度地实现人性民法与物性刑法的融合发展，从而为涉及个人信息保护相关刑民衔接适用的典型问题提供有效的解决机制。

姜涛：只有侵犯个人信息附带的人身、财产安全的行为才是侵犯公民个人信息罪中的犯罪行为

姜涛教授认为，只有侵犯了个人信息安全的行为才是侵犯公民个人信息罪中的犯罪行为，其他的侵权行为由民法进行处理即可。其论述要点包括如下内容：

其一，姜涛教授对个人信息安全进行了界定：即公民个人的姓名、住址、电话、指纹等身份信息不被违法使用而附带保障的人身、财产安全。个人信息安全是由多个信息组合在一起或信息与他人犯罪具有关联而形成的状态，它不是权利，但却关系到公民之权利的保障。如同公共安全是由若干个生命法益、健康法益、财产法益等集合在一起形成的独立法益，个人信息安全是由若干个个人信息集合在一起或个人信息与其他行为（如犯罪）关联在一起形成的独立法益，这一法益与个人信息权不同，它不是权利，而是一种状态，它带来的附带损害往往是人身、财产损害等的“叠加损害”。把侵犯公民个人信息罪的保护法益解释为个人信息安全，而不是公共信息安全，既体现了个人信息的重要性，也与司法解释规定一致。

其二，侵犯公民个人信息不必然具有社会损害性。个人信息权作为人格权或隐私权，与生命权、健康权等不同，它的被侵犯并不必然给个人带来损失，如果信息权人不被骚扰或被诈骗，那么就难以具有社会损害性。这意味着单一的个人信息权（除非是被他人利用信息去犯罪等）被侵犯，完全可以通过民事或行政手段解决，而不是通过刑罚手段来处罚。

其三，把本罪的保护法益界定为个人信息安全，可以更好地将那些不涉及信息拥有者人身、财产安全的个人信息侵权行为排除在外。

信息安全是因为涉及信息（如行踪、人脸识别图像、指纹、虹膜等）拥有者的人身、财产而具有刑法保护的真实性、价值性与必要性。相反，如果某种信息（如学历、职业信息、个人发表论文信息、官员的财产信息等）并不涉及信息拥有者的人身、财产安全，或者说在个人的人身、财产安全保护方面并不起着关键性作用，此类信息的出售等并不能成为本罪的处罚对象。但是，依据其他学说，如个人信息权说、网络隐私权说、人格权说等，上述信息都属于个人信息权的范畴，这类学说并不能合理解释个罪的处罚范围，有扩大该罪处罚范围之嫌。