大数据时代侵犯公民个人信息罪之法益分析
——以《个人信息保护法（草案）》为视角*

顾 彧

（中南财经政法大学，湖北 武汉 430073）

引言

随着《个人信息保护法（草案）》及民法典的颁布，学界关于公民个人信息的研究又掀起一股热潮。在刑法层面，虽然对侵犯公民个人信息罪的具体犯罪构成和刑罚适用等方面的规定已经日趋完善，但是关于本罪的保护法益却一直众说纷坛，未曾有明确的定论。当前，刑法理论学界对于该罪的法益界定，基本已摆脱传统刑法观念中美国“宪法隐私权”理论的影响，将该罪保护法益从公民隐私权、财产权扩张到社会公共秩序等集体利益，从具体法益扩张到抽象法益，从个人法益扩张到超个人的法益。随着互联网时代的发展，公民个人信息的保护逐渐得到重视，继而又出现网络隐私权说、个人信息权说等新型权利说。即便如此，由于公民个人信息的概念和法益属性并不明了，刑法对个人信息的保护仍局限于附属化保护模式，进而在现今大数据时代的数字化背景下，对刑法实际认定也形成了一定冲击力。基于对公民个人信息的窃取、破坏、扩散等犯罪行为的泛滥，犯罪率不断飙升的现实，故对该罪中的公民个人信息的概念和法益属性的具体性研究有助于规范该罪的构成要件分析架构，细化该罪的入罪化和出罪化标准，以期实现预防犯罪和保护人权的目的。

一、刑法视角下“公民个人信息”之概念厘清（兼与个人隐私、个人数据的概念辨析）

根据我国《刑法》第253条之有关规定，侵犯公民个人信息罪以“违反国家有关规定”为前提，但该罪状仍是空白罪状，未有具体释明“有关规定”的解释或规定。加之刑事立法层面对该罪采用前置性立法,且互联网大数据时代导致公民个人信息权的侵害更为严重，刑法不免对个人信息的概念作扩大解释，对侵害的法益作多样化理解，从单一法益到双重法益，个人法益到超个人法益等一系列理论，无形中拓宽了刑法对个人信息犯罪的打击力度，并不利于保障人权和保持刑法的谦益性。

在传统定义中，通常将个人信息归为个人隐私的范畴。但在现今网络化发展社会中，个人信息的概念早已突破其传统的形式定义，由信息化、数据化模式赋予其概念应有之转变和与时俱进的多元化内涵。根据最新个人信息立法之《个人信息保护法（草案）》第四条的有关规定，个人信息是以电子或者其它方式记录的与已识别或者可识别的自然人有关的各种信息。且我国民法典明确将个人信息保护的相关条款置于人格权编，肯定了个人信息权的独立属性。可见，我国以立法方式明确个人信息并不等同于个人隐私。二者的区别主要在于:个人信息侧重于“可识别性”，侵犯个人信息是指非法获取、非法出售等行为；个人隐私偏向于“隐秘性”，抵制的是个人隐私被他人获取、公开的行为。[1]故只有个人隐私信息属于个人信息的一部分，二者是一种交叉重合的关系，而个人空间隐私、个人活动隐私等个人隐私的其余组成部分不应当属于个人信息所涵盖的范围。

此外，也有学者将个人信息等同于个人数据或者数据安全法益，该观点也并未完全囊括个人信息的应有之义。个人数据是指将个人信息进行数据化之后，可以通过计算机检索的方式获取的构成个人数据库的个人信息。[2]其主要特征体现为保密性、完整性和可用性，着重于个人信息以数据方式被收集和使用，而个人信息相比个人数据具有更多的灵活性和可控制性，其强调的是信息本身的内容，并不是冷冰冰的数据本身的文法。[3]据此，个人信息更有生活方面的含义，个人数据侧重于官方化数据分析，故只有被格式化和数据化的个人信息部分可称之为个人信息。

综合上述分析，刑法角度的公民个人信息之概念不应局限于个人隐私或个人数据化的片面理解，应当摆脱文理解释或形式解释的片面化理解，依据法律目的进行解释。[4]应以《个人信息保护法（草案）》第四条限定的“可识别性”为基础，公民个人可自由控制为特征，将其归为一种独立的人格权来解释，更为符合当下信息化和数据化的时代潮流。

二、侵犯公民个人信息罪之法益学说及评析

法益作为刑法体系中的核心概念，不仅是刑法体系解释内的基本原则，也是节制刑事立法的应罚基准。[5]故对侵犯公民个人信息罪的法益进行剖析，可以有效的在解释论和立法论方面指导该罪构成要件的解释与处罚范围。[6]理论界关于该罪的法益属性认定众说纷坛，本文主要评析具有代表性的几类观点：围绕侵犯公民个人信息罪属于自然犯还是法定犯而分为抽象法益和具体法益的学说之争。

（一）抽象法益学说

抽象法益学说认为该罪属于法定犯，违背的是国家行政管理秩序，故侵害的法益应当是社会管理秩序、公共信息安全、集体利益等超个人的法益。具体包含以下三种模式：第一，公益性质说。作为犯罪对象的公民一词应当作扩大解释，涵盖外国人和无国籍人，故个人信息罪应当涉及社会公共利益和国家主权等超个人利益，应当是具有公益性质的法益。[7]第二，客观属性说。个人信息的“可识别性”决定了已识别的个人信息已脱离个体本身而客观存在。故应当由刑法直接介入，所以具有集体利益属性。第三，关联性说。个人信息传播的关联主体之广，影响社会安全和公共利益来证明其社会属性。

笔者认为抽象法益学说对侵犯公民个人信息罪属于法定犯的前提观点认识有误，该罪应当属于自然犯，只是带有某种法定犯的气质。[8]首先，从该罪所属的刑法分则的章节来看，规定在第四章关于公民人身和民主权利的犯罪中，该章节罪名所要保护的法益是个人法益，是关于人格尊严方面的内容，属于典型的自然犯。故依据刑法体系性解释要点，该罪也应属于自然犯。其次，虽然该罪的法条中有“违反国家有关规定”的构成要件，表面上符合法定犯的特点，但很明显对此种社会或行政管理秩序的保护只是刑法附带保护的范围，并不是主要保护的对象。这种次要保护对象只在犯罪行为社会危害性的性质和定罪量刑的认定方面产生影响，并不能从根本上改变该罪属于自然犯的属性。故对于围绕抽象法益学说所衍生出的集体利益、公共信息安全等超个人利益，因其本身立足于法定犯的基础就存在谬误，自然不具有可取性。

（二）具体法益学说

具体法益学说认为该罪属于自然犯，违背的是社会伦理规范，故侵害的法益应当是公民私人的安宁自由的个人法益。具体有以下代表学说：

第一，隐私权说。该说认为侵犯公民个人信息罪的保护法益应当是个人信息所体现的公民隐私权。[9]近年来，随着信息数字化时代的发展，有学者在该学说的基础上进一步提出网络隐私权说。该说认为鉴于网络已成为目前公民生活交流的新空间和新纽带，应当将侵犯公民个人信息罪的法益从单纯的普通隐私权扩大到网络隐私权的范畴。[10]笔者认为以上两种观点立足个人信息中的隐私权保护的必要性，但明显有以偏概全之嫌。首先，将个人信息和个人隐私的概念混为一谈。个人隐私中仅有信息隐私部分可以归纳到个人信息的类别中，二者应当是交叉重合的关系。其次，如果仅考虑保护个人信息中的隐私部分，显然限缩了本罪的保护法益。如对于违法出售个人已公开信息的行为无法予以评价。最后，由于公民自主公开个人信息，并未涉及隐私权的侵犯，该行为被评价为犯罪主要是因其客观方面表现出行为方法的危害性。故以上两种学说缩小了该罪的保护法益，并不利于打击和预防犯罪。

第二，私生活安宁说。该说认为应以“私人生活安宁”为标准作为对刑法中规定的侵犯公民个人信息罪的判断基准，即只有侵犯公民个人私生活安全的行为才会损害该罪法益。[11]该学说的判断基准过于抽象和模糊。个人信息的泄露未必导致私人生活受到实际侵害，[12]且侵犯私人生活的损害程度究竟如何在刑法层面予以把握，直接影响到界定行为的着手与既遂。故过于浓厚的主观标准并不符合罪刑法定的内在要求。

第三，个人信息权说。该学说认为侵犯公民个人信息罪的保护法益是复杂客体，包括个人隐私权和限制他人使用非法手段处理个人信息的权利。[13]该学说是一种新型权利说，肯定了个人信息权的独立权属地位，但并不足以解释大数据时代背景下侵犯公民个人信息罪法益特有之性质。个人信息权包括信息决定权、信息处理权、信息删除权等多项权利，如将个人信息权作为该罪之保护法益，不免导致法益的宽泛化和模糊化，易违反法益保护原则。笔者认为将该罪保护法益限定为个人信息权中的信息处理权即信息自决权，更为符合刑民一体化视野及法秩序的要求。具体原因将于下文展开详细论证。

三、以信息自决权为核心的侵犯公民个人信息罪法益之论证

（一）信息自决权的具体内涵

信息自决权的概念起源于德国联邦宪法法院关于1983年“第二人口调查案”的判决。在该判决中，法官基于《基本法》中的“人格尊严”条款，认为在当今信息化时代下，“基于自主决定理念的‘个性自由’包括个人具备权利，以自行决定何时并在何种限度内披露其个人生活的事实。”[14]简言之，信息自决权是指在符合法律规范的前提下，公民有权控制自己的个人信息并决定其能否进入社会流通领域进而被收集或利用的权利。值得注意的是该种权利也并不具有绝对性，在面临突发疫情、紧急状态等公共利益的迫切需要，即与国家利益的冲突时，应当予以限制该权利的边界，即具有“合宪性理由”，主要通过是否合乎目的、符合比例以及明确性原则予以检验。公权力机关必须在法律规定范围内确定使用公民个人信息之目的，不得做非法之用途，行为手段应当尽可能对公民造成的损害最小。信息自决权是欧洲模式下的特有概念，与我国的个人信息权中的信息处理权有相似含义，都侧重于强调公民个人对信息的自我决定、自我处理之选择与控制的自由本质。

（二）信息自决权的优越性

首先，信息自决权的优越性体现在其保护范围的普遍性。其保护范围并不单纯局限于公民隐私权的范畴，也包括已公开的信息，只要公民认为某种行为侵犯其对个人信息自由控制和处理的权利，都可以诉诸于法律寻求保护。故信息自决权的保护范围之广更能解决数据化时代对信息保护的迫切需要。其次，该权利具有独立性地位。信息自决权是德国宪法中的基本权利，有一定的独立属性。信息自决的根本目的也是为了避免公权力对个人信息的不当使用，也即对私权利的侵害。再次，功能指向性明确。信息自决权最初的定义初衷就是为避免在信息发展的时代，国家无限制的恣意收集和使用公民的个人信息。作为宪法基本权利，其功能在于保护公民对个人信息进行自我决定和使用的自由权利。最后，信息自决权具备完整属性。信息自决权有多种权利属性，具有一定的完整性。可以作为主观权利作为抵制公权力的武器，也可以作为客观价值权利来要求公权力实现其积极作为的义务，还可以合理推导出国家对在个人信息受侵害时的保护义务。信息自决权显然更为完整和清晰，具有完整的教义化程度。总之，由于信息自决权的理论基础优越、定位清晰、价值明确，且德国经过长期的理论和实践的经验检验，更宜作为我国侵犯公民个人信息罪保护的法益。

（三）信息自决权为侵犯公民个人信息罪之法益合理性分析

1.信息自决权的独立性前提决定其成为侵犯公民个人信息犯罪的新型保护法益

在刑法中，因公民个人信息权的定位不明确，对公民个人信息的保护采用前置性立法思维兼附属化保护模式，依附于社会管理秩序、金融管理秩序、财产权亦或隐私权等权利作为附随客体加以保护。即使在《刑法修正案（九）》中将个人信息的保护以独立罪名加以规定，但因为关于该罪的法益争论不明，并没有在实质意义上具有完全独立的刑法地位。公民个人信息在刑法体系中的依附性与受犯罪侵害的独立性之间的矛盾是本罪面临法益抉择的根本原因，因而破解的关键就在于论证公民个人信息是否具备刑法独立保护价值。而只有当公民个人信息权在我国法律规范中形成独立于人格权、财产权、隐私权等现有权利之外的新兴权利地位时，刑法对于公民个人信息的保护才能被理解为是对个人信息权的保护，而不至于沦为因为依附其它权利才具有刑法保护可能的地位。基于现行法律的明确规定，个人信息权已被立法赋予独立人格权的地位，信息自决权与《个人信息保护法（草案）》中健全个人信息的处理规则的立法理念不谋而合。故作为个人信息权核心内容的信息自决也是信息处理的权利，应当作为一种新型的独立的权利，在该罪的法益中予以体现。

2.对侵犯公民个人信息犯罪进行规制的必要性体现该罪的法益为信息自决权

当前，全球正处于风险社会的时代背景，高科技的技术手段使得通过互联网随意调取或储存私人信息变得便捷和容易，其因为具有一定的社会机能，基于行为的危险性和它对社会的有益性的全面衡量，具有一般利益衡量的结果，故作为被容许的具有危险的行为。[15]但由此衍生出的违法使用、出售贩卖等犯罪行为也易形成规模化、产业化的犯罪群体，犯罪成本明显低于处罚机率，犯罪率居高不下。通过检索中国裁判文书网根据罪名统计发现，从2017年—2020年的关于侵犯公民个人信息罪或为主要罪名或为关联罪名的刑事判决书多达7752份，其中，从2017年的1374份到2018年2338份直接呈现阶梯式增长，2020年因疫情的影响，犯罪增长率才趋于缓和。①但疫情过后，在社会民众生活恢复到常态化时该犯罪仍会出现井喷式增长。此外，作为信息管理者的国家公权力由于缺乏现行有效法律法规的规制，也不乏存在随意使用公民个人信息的情形。即使在行政立法方面有《政府信息公开条例》的行政法规条例，但其只注重关于信息公开的规定而忽视对信息本身如何处理的保护。故现行法律仍未减少个人信息权受到侵犯的危险性。[16]正如《个人信息保护法（草案）》在第二章第三节规定的“关于国家机关处理个人信息的特别规定”可以看出，对国家公权力在处理公民个人信息保护方面的仍是立法需要持续关注的领域。故无论从作为管理者抑或是使用者层面来看，公民对其个人信息的控制力和处理自由度明显处于持续削弱状态，个人信息权利受到严重威胁，长此以往不利于维护公民的人格利益和尊严，故对于最容易受侵害的信息处理自由即信息自决权应当作为侵犯公民个人信息罪的法益着重以刑法予以规制保护，以避免个人信息及数据被无限制的收集、储存和滥用。

3.侵犯公民个人信息罪的构成要件分析其保护法益为信息自决权

从侵犯公民个人信息罪的构成要件分析，其保护法益应当是个人信息权的核心，即信息自决权。首先，应当明确该罪保护法益是个人信息权。如前文所述，该罪属于自然犯，在其构成要件中的“违反国家有关规定”只是刑法保护的次要客体，公民的人格权即个人信息权才是立法原意中所要保护的社会关系，是本罪优先保护的主要客体。其次，该罪属于实害犯，只有在实质意义上侵害到公民对个人信息的处理和控制的权利才有可能侵害到本罪的法益。并不能认为只要具备一定的危险性就构成此罪，因为当前侵犯个人信息的行为和途径呈现多样化趋势，发生概率也较为频繁，如若只是实施了实行行为，并没有给个人造成严重的损害结果，则不宜评价为犯罪，否则就扩张了刑法入刑的范围，不利于保持刑法的谦益性，此类行为可以通过行政法或民法来进行规制。最后，该罪的保护法益应限缩为信息自决权。从该罪构成要件的客观方面来看，实行行为主要包括“非法出售”“窃取”“非法获取”等违法行为，以上危害行为均发生在个人信息的收集、存储和利用过程中，即信息主体在自主决定信息的是否公开以及公开范围和利用程度、传播途径等权利。[17]简言之，主要侵犯了个体对信息的自由控制和处理的自我决定权，而该权利正是个人信息权中的信息自决权所体现的核心内容。故将该罪法益限定在个人信息权中的信息自决权，不仅将法益解释的更为具体化，契合刑法的明确性原则，也对实践中该罪的认定有一定借鉴意义。

4.基于刑民一体化视野分析侵犯公民个人信息罪法益为信息自决权

在刑民一体化视野中，将该罪法益解释为信息自决权更为符合法秩序的一致性价值理念。不可否认民法典中公民个人信息权的认定对刑法而言具有引导功能，这不仅是因为刑法具有的后置性法律体系地位，也为刑事违法具有二次违法性所决定。[18]“先民后刑”“民法扩张刑法限缩”的理念能更好地实现公法对私法相关理念的确认，增强相互衔接性，实现刑法与其它部门法的融合贯通，以便全面构建公民信息保护制度完整体系。据此，应当首先在私法领域对公民个人信息的概念内涵和权力属性进行概括和总结，然后将此概念内涵运用到刑法中对该罪的具体构成要件的符合性里以进一步探求法益限缩的精准定位，为刑法层面有关构成要件的教义学提供有益指导。基于上述思路，首先，民法典已经在人格权编明确规定公民个人信息权是一种独立人格权，故该罪的法益已具有独立属性。加之以上对《个人信息保护法（草案）》的立法总体理念把握是围绕对信息处理权利的有关规定，将该人格法益进一步明确为对个人信息权的保护更为合理。其次，在刑法中，对具体构成要件分析和结合刑法谦益性的理念，刑法不可能对所有属于个人信息权范围的权利都加以保护，在此基础上进行价值衡量后予以取舍，具体的保护法益应当更接近于个人信息权中信息自决权的核心内容，如此方可实现刑法对于该罪的入罪化和出罪化考量，从而实现刑法角度对个人信息权的“积极利用”和“消极防御”两个不同属性侧面的完整兼顾。[19]故从宏观层面来看，将该罪法益限缩为信息自决权，是刑法对民法典及相关法律所确立的个人信息权的立法呼应和确认，避免了不同部门法之间的矛盾，有效地构筑了法的同一体系，实现作为法秩序而具备的一致性。[20]

四、结语

在信息数字化和数据化快速发展的时代，侵犯公民个人信息罪的犯罪率逐渐升高，个人信息的保护制度也亟待完善。在刑法层面对公民个人信息的保护法益应限定于个人信息权中的信息自决权。信息自决权的本质在于实现公民个人对自身信息的自由选择与控制，即信息主体随时自主的决定如何对自身信息进行收集、储存、处理以及利用。作为德国公法上信息保护的理论基础，信息自决权无论从其自身独立的优越性还是系统性功能分析，都更宜成为我国当今刑民一体化视野下构建公法与私法衔接的个人信息保护体制的理论基础。将信息自决权作为刑法侵犯公民个人信息罪的保护法益，不仅有助于我们在信息化时代下强化对该罪的打击力度，也有助于实现法秩序一体化制度的建设。但限于目前对信息自决权的理论研究的匮乏，关于其基本内涵和具体构成要素以及如何更好的与我国个人信息保护相关制度接轨，如何在公共利益的迫切需要时把握好对信息自决权的限制范围，以避免公权力与私权利的冲突，仍是需要继续研究和思考的问题。

注释：

①参见中国裁判文书网，以刑事案件、侵犯公民个人信息罪为关键词搜索，可得出正文中数据。截至访问日期：2020年11月15日。