侵犯公民个人信息之法益厘定及其司法展开
——以个人信息数量认定为视角

陈小彪

（西南政法大学，重庆 401120 ）

数量在刑法中一直扮演着重要角色，在我国，通过立法对法益侵害没达到一定数额的行为进行除罪化处理，具有一定的客观历史性［1］。这种定性加定量的立法模式广泛出现在诸多罪名之中。公民个人信息数量作为判断侵犯公民个人信息罪情节严重程度的标准之一，尤其在具有大数据天然属性的爬虫技术广泛运用的当下［2］，往往由于数量规模大、流动次数多等原因，导致认定公民个人信息数量成为了一个技术难题，很难做到数量精准［3］。而事实上，数量在犯罪中到底意味着什么，精确的数量在定罪量刑中的实质作用又是什么？依然值得我们讨论与深思。对此，本文从案例出发，通过总结归纳案例中认定公民个人信息数量的争议问题与裁判做法，反思公民个人信息数量在侵犯公民个人信息罪认定过程中的具体作用。

一、侵犯公民个人信息数量之司法认定现状：以北大法宝司法案例库部分案例为样本

自2017 年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）施行以来已四年有余，《解释》第11 条规定了计算公民个人信息条数的具体规则。①《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第11 条：非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复计算。向不同单位或者个人分别出售、提供同一公民个人信息的，公民个人信息的条数累计计算。对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。付玉明教授指出，批量公民个人信息认定规则是为了解决证明难问题，也是证明规则的调整［4］。而在现实中，侵犯公民个人信息的案件所涉及的公民个人信息数量往往十分庞大，动辄千万条级别，甚至过亿条的案件也时有出现。法院在认定公民个人信息数量时，往往需要付出较高的人力与物力成本。公民个人信息数量是定罪量刑的重要依据，科学、合理地认定数量是办案部门急需解决的问题［5］。在司法实践中，案件中公民个人信息数量的认定争议颇大，是控辩双方不可不争的高地，值得我们深入研究。

（一）司法认定公民个人信息数量之概况

2021 年8 月16 日，笔者通过北大法宝司法案例库检索《解释》第11 条的单条引用，检索到文书一共476 篇，其中二审审理程序的法律文书111 篇。由此可见，涉及侵犯公民个人信息犯罪案件的二审率居高不下。笔者经过筛选二审审理程序的所有文书，排除重复案例文书，最终获得100 个案例。其中上诉（抗诉）理由中涉及公民个人信息数量的争议案件81 个，占比二审案例高达81%。本文以此81 个案例为研究样本。①关于选择二审案例为研究样本的可行性说明：第一，二审案例在所有案例中所占比例较高，具有一定的代表性；第二，二审案例中的上诉（抗诉）理由或者辩护理由是真正的关键所在，具有研究的价值；第三，二审案例法官的说理往往更加具有针对性，且更加全面，可以更好地研究司法认定公民个人信息数量的实际操作。通过统计发现，关于涉案公民个人信息数量的争议集中在五个方面：第一，公民个人信息的真实性问题，即样本中二审争议认为一审认定的公民个人信息中存在部分虚假的公民个人信息，因此认定的公民个人信息数量偏高；第二，公民个人信息的重复性问题，即样本中二审争议涉及公民个人信息数量存在重复计算的可能；第三，公民个人信息的无效性问题，即公民个人信息可能是有效的，但是由于各种原因导致公民个人信息已经不存在利用价值，可视为无效，例如手机号码已经被注销，存放信息文件夹根本无法打开等情况，而这些公民个人信息不应该计算在内；第四，证据不足，事实不清为理由，笼统地认为一审认定公民个人信息数量的证据不足、事实不清：第五，其他理由，包括公民个人信息来源和性质的争议导致的公民个人信息数量的争议。当然部分案件中，多个问题可能并存，具体统计数据如表1。

表1 二审公民个人信息数量认定争议事项

真实性、重复性和无效性是认定公民个人信息数量争议的真正焦点，证据不足、事实不清过于模糊，并无太大分析价值，而其他理由本质上也不是公民个人信息数量的争议，而是在公民个人信息来源合法性和信息类型上的争议。从样本统计分析来看，二审法院最终判断公民个人信息数量的主要理由有六类：第一，无证据支持上诉理由之成立，即无证据证明公民个人信息存在不真实、重复或者无效的情形，则确定一审认定数量正确；第二，肯定一审对于公民个人信息数量认定做法，认为一审法院已经说理清晰，不存在争议；第三，少数公民个人信息数量存疑不影响整体数量规模认定，即已经达到某个数量规模，无须特别精确；第四，通过鉴定机构确定公民个人信息数量；第五，抽样检查，确定公民个人信息数量；第六，其他方法（未明确说明的）确定公民个人信息数量。

（二）司法认定侵犯公民个人信息数量之分析

虽然《解释》第11 条已经对公民个人信息数量确定规则加以确定，但是司法实践中争议并未停歇。从样本中可以看出，争议的原因主要有二：其一，公民个人信息数量巨大，即使有确定的认定规则，实际测算难度却依旧不减；其二，证明公民个人信息的不真实、重复、无效的举证责任难以实现。

从上诉理由或者辩护意见看，认为法院认定的数量偏多，却难以举证或者有效举证。有案例中辩护人甚至直接提出“信息条数有重复计算的可能”的辩护意见，②参见湖南省常德市中级人民法院（2018）湘07 刑终165 号刑事裁定书。“可能”一词体现出上诉人不能肯定一审有误，但二审法院却可以肯定地说“不予采纳”。在样本中也存在上诉成功的案件，在吴某等骗取贷款、侵犯公民个人信息案中，辩护人提出“快递问题件处理群1”存在16 条重复的公民个人信息，“快递问题处理群2”存在290条重复的公民个人信息，①参见贵州省遵义市中级人民法院（2019）黔03 刑终72 号刑事判决书。二审法院予以采纳。本案成功辩护的原因在于案件涉及的公民个人信息数量较少，二审最终认定为4359 条（一审认定为6296 条），与千万条、数亿条案件相比，这样的案件属于具有举证可能性的案件，给了辩护人深挖重复性问题的可能。但是，在大多数案件中，这样的操作并不具有可行性。

从二审法院的说理来看，多用《解释》第11条第3 款以上诉人没有证据证明信息不真实或者重复为由不予采纳，或者直接认可一审法院的说理。但是也有一例比较特殊，在徐某等侵犯公民个人信息与诈骗案中，二审法院认为，综合全案证据，对被告人徐某出售的公民个人交易信息无法区分是否为非法获取后予以出售的，在没有充分证据证实的情况下，只能根据存疑有利于被告人的原则，对所涉及的公民个人信息的条数不重复计算。②参见江西省上饶市中级人民法院（2019）赣11 刑终76 号刑事裁定书。另外部分信息存疑不会影响整体数量等级的理由也值得商榷，例如李某等侵犯公民个人信息一案中，上诉人提出关于涉案信息存在重复、虚假，不构成情节特别严重等上诉理由，二审法院认为上诉人及辩护人并无证据证明信息不真实或者重复，且本案上诉人侵犯公民个人信息的数量远远超出情节特别严重的标准，故原判认定侵犯公民个人信息，情节特别严重，并无不当，该意见不能成立，故不予采纳。③参见安徽省合肥市中级人民法院（2019）皖01 刑终128 号刑事裁定书。

（三）司法认定侵犯公民个人信息数量之思考

认定公民个人信息数量的争议来自何处？又该选择什么方式来减少这些争议？不难发现，当公民个人信息数量达到一定规模时，才会出现难以准确认定数量的情形。不管是从技术层面，还是理论层面，当数据量级足够大时，都会强调“高度盖然性”，④参见江苏省镇江市中级人民法院（2019）苏11 刑终28 号刑事裁定书。即公民个人信息的数量并不绝对要求精确，如有法院认为即使存在部分信息真实性存疑，仍然不影响达到情节（特别）严重。那么不免引人思考，公民个人信息数量在侵犯公民个人信息罪中处于什么地位？

《刑法》第253 条之一规定了侵犯公民个人信息罪，但是其中并没有写明数量要求。《解释》中以“情节（特别）严重”的具体内容规定了数量要求，并区分公民个人信息的不同类型对应规定了不同的数量规模。那么侵犯公民个人信息罪中所谓的情节背后反映的是何种法益？综合分析《解释》第5 条和第6 条，构成侵犯公民个人信息罪所要求的情节（特别）严重不仅与公民个人信息数量有关，同时还与其他情节有关：其一，与信息的用途有关，如公民个人信息被用于犯罪；其二，与犯罪所得有关，即要求获得一定的金钱回报；其三，与行为人的特殊身份有关，如行为人是在履行职责或者提供服务过程中获得公民个人信息的；其四，与危害后果有关，如造成重大经济损失或者恶劣社会影响等。这四类情节从本质上说，难以反映其与公民个人信息存在特殊关系。换句话说，这些情节并不是侵犯公民个人信息罪的特殊情节，而数量规模正是侵犯公民个人信息罪中特殊情节规定。

二、侵犯公民个人信息罪法益之探析

侵犯公民个人信息罪保护的法益与其情节规定有着密不可分的联系。为了更加彻底理解侵犯公民个人信息罪的保护法益，我们有必要搭建起学说和司法解释间的桥梁。

（一）侵犯公民个人信息罪法益之学说聚讼

法益在刑法解释论中发挥着举足轻重的作用，是指导刑法解释的方向标。侵犯公民个人信息罪的法益之争在我国刑法学界也属于现象级“论战”，一个分则罪名的法益历经几轮争议，仍呈现出难分高下的局面，各路“高手”轮番精彩论证，仍然难以偃旗息鼓，终究难以一锤定音。围绕公民个人信息是否具有超个人属性，可以分成两大“阵营”，同时，即使同一“阵营”内部也是多有分歧意见出现。

在“超个人法益说”阵营，曲新久教授认为“公民个人信息”是“个人法益”且具有“超个人法益属性”［6］。高楚南博士提出，公民个人信息法益属性具有多元化特征，包含人身属性、财产属性和社会公共属性［7］。王肃之博士进一步指出，仅承认公民个人信息具有超个人属性还不够，应该完全转向支持公民个人信息的公共属性，并将罪名更改为“侵犯公共信息安全罪”［8］。凌萍萍教授认为该罪名的入罪标准设置为具有规模性、整体性的公民个人信息保护，其法益应当评价为社会信息管理秩序［9］。姜涛教授提出法益证成的“四规则说”，从法益保护的真实性、必要性、价值性和规范性的角度出发，认为个人信息安全作为该罪法益更加合理［10］。

在“个人法益说”阵营，早期王昭武教授等曾指出，公民个人信息的保护旨在公民个人生活安全，而隐私权的保护是题中应有之义［11］。赵军教授提出“公民个人信息的保有”是主要法益［12］。刘艳红教授指出，公民个人信息权是《民法总则》第111 条规定的具体人格权，是一项含有隐私权内容但又超越隐私权的权利，是兼有精神性权利与物质性权利的综合权利［13］。

正如于冲教授指出，对于公民个人信息“刑先民后”的立法现状，使其内涵外延以及法益属性未能得到清晰地界定［14］。对于公民个人信息的保护，刑事立法仿佛一直超前于民事立法。同时由于网络的代际发展，刑事立法随之转型，从《刑法修正案（七）》到《刑法修正案（九）》，公民个人信息犯罪经历了重要修改。不难看出，民法学者对公民个人信息的性质争议未定，刑法学者似有盖棺定论之势。公民个人信息的基础研究尚存在不足时，刑法修正案中就规定了相应的罪名，一定程度反映了刑事立法近些年已经呈现出前瞻性与预防性的特点。因此，侵犯公民个人信息罪法益难以确定可能与立法先后顺序有重要关系。

侵犯公民个人信息的犯罪涉及公民个人信息的数量往往是巨大的，因此在确定该罪的法益上存在困难，这也是侵犯公民个人信息罪与一般犯罪最大的不同之处。例如盗窃罪，不管盗窃私人财物还是公共财物，不管盗窃是价值五千元还是五千万元的财物，侵犯的都是财产权。但是在侵犯公民个人信息罪中呈现出一种很奇怪的现象，侵犯1 条公民个人信息，可能有底气说侵犯的是个人法益，但是如果公民个人信息是多条时，侵犯的就是个人法益的集合，此时就面临一个千古难题，量变是否会影响到质变？也正是基于此点，超个人法益阵营才得以站稳脚跟，受到很多支持。

（二）侵犯公民个人信息罪法益争论之检视

侵犯公民个人信息罪的法益理论聚讼，给司法认定侵犯公民个人信息数量的认定带来一定启迪，但与此同时，形成的实践困惑可能更多，因此，有必要重新审视理论争鸣。

1.脱离司法案例与司法解释的研讨显然并不科学。法益兼具立法论与解释论的双重功能，是刑事司法实践中解决一切问题的指针［15］，侵犯公民个人信息罪的法益当然可以服务于司法裁判。首先，从样本分析来看，认定公民个人信息数量是本罪的常见难点。其次，司法解释应当符合立法，即使司法解释颁布的时间一般都晚于立法，但是司法解释的内容仍然是可以反映法益的。法益是刑法保护的利益，犯罪行为是侵犯法益的行为，那么行为指向的对象、行为所造成的结果都会与法益有密切联系。无论如何，厘清侵犯公民个人信息罪的法益是离不开司法解释的。

但是，已有诸多学说有意无意间回避了司法解释的重要作用。刑法学者积极从民事角度确定公民个人信息的权利（法益）属性，却没有落脚于刑法解释的主要文本。另外，刑法所说的公民个人信息是否与民法所说的是同一个含义本身也是值得考量的，民法确定的公民个人信息的权利（法益）属性，是否就一定是刑法所保护的法益本来就是未知数，即刑法保护的法益本身不一定与民事法律保护法益相同。因此直接从民法中确定公民个人信息的法益属性，这种论证本身可能存在跳跃证明的嫌疑。所以我们想要充分全面地评价侵犯公民个人信息罪的法益，还需要从司法案例与司法解释中寻找强有力的论据。

2.侵犯公民个人信息罪的法益属性并非单一。上述学说对于侵犯公民个人信息罪法益研讨往往忽略了互联网时代的代际发展带给网络犯罪的重要影响。侵犯公民个人信息犯罪与网络犯罪具有直接关联，甚至可以说侵犯公民个人信息犯罪本身就是网络犯罪的一种，这也与双层社会的交融有重要关系。现实空间的犯罪大量向网络空间转移，加之网络新型犯罪层出不穷，传统犯罪行为理论其实已经受到了巨大冲击，网络不再是犯罪工具那么简单的存在，网络中的犯罪行为已经开始呈现出遍地开花的景象，法益理论也需要做出必要的改变。

侵犯公民个人信息罪保护的法益属性呈现出多元性的特点，公民个人信息法益的人身属性、财产属性和社会公共属性都是经常提及的观点。欧阳本祺教授指出透过个人信息的私密程度，可以将个人信息区分为隐私领域、私人领域与社会领域［16］。我国刑法分则虽然划分为十个章节，每个章节各有侧重，却绝对不是说每个章节相互隔绝，井水不犯河水。侵犯公民个人信息罪虽然位于刑法分则第四章侵犯公民人身权利、民主权利犯罪，但是该罪保护的法益不一定仅仅与人身权利、民主权利有关。这一点很多罪名都可以证明，例如抢劫罪虽然位于侵犯财产犯罪章节，其本身也保护人身权利，又如合同诈骗罪与诈骗罪，虽然位于不同的章节，但是本身都保护财产权。

从《解释》第5 条第1 款第3、4、5 项来看，不同类型的个人信息与不同的法益属性相关，数量规模与法益的重要性在一定程度上呈现反比关系，以确保在评价“情节严重”时达到相当的程度。《解释》第1 条中，公民个人信息概念的核心在于特定自然人身份或者反映特定自然人活动情况的各种信息。不同类型的个人信息配备不同的保护模式，其深层法理尚未被挖掘，当前的研讨尚停留在宏观层面，少有涉及保护不同类型的公民个人信息这一微观层面，因此梳理不同类型的公民个人信息与其数量规模的关系是研究侵犯公民个人信息犯罪的微观路径。

三、侵犯公民个人信息罪法益之厘定

法益侵害是行为成立犯罪的实质，行为人的行为是否侵犯了法益，侵犯了何种法益对于该行为的刑法定性至关重要，侵犯公民个人信息罪法益厘定将极大地利于正确适用刑法规范。

（一）情节之于法益确定的关系

情节是法益侵害性在量上的体现和反映［17］，也可以在质上体现与反映法益的内容。总而言之，情节具有反映何种法益受到侵害的实质功能，同时也可以衡量法益受到何种程度侵犯的形式功能。因此，法益与情节之间具有天生的联系，从本质来说，情节在立法规定之时，就已经充分考虑罪名所保护的法益，即情节使得抽象法益得以具象展现。

对于侵犯公民个人信息罪中情节的探讨，是明晰该罪法益内容的重要路径。情节在我国《刑法》中的地位问题也经历诸多讨论，早期学者提出情节是指犯罪构成要件以外的情况［18］。继而受到德日刑法影响，对于情节讨论开始与三阶层理论密不可分，主要形成了构成要件说与构成要件要素说两派观点，前者如刘艳红教授明确指出情节属于量的构成要件［19］。刘守芬教授指出情节属于修正的犯罪构成［20］。后来有学者指出情节严重属于构成要件要素，其特点是整体性［21］。笔者同意将情节视为构成要件要素。因为情节作为构成要件不具有普适性，并不是每一个犯罪都有情节的规定。另外就同一罪名而言，情节严重与情节特别严重往往同时规定，此时承认构成要件说，可能会产生同一罪名出现两个犯罪构成的奇怪现象。

侵犯公民个人信息罪具有“积量构罪”构造的新型网络犯罪的特点［22］，这一点在司法案例与司法解释中都得以证明。从研究样本来看，公民个人信息数量往往都是巨大的，从司法解释而言，设置了五十、五百、五千条三类数量规模。但是要注意，不能简单认为“积量构罪”中“量”就是公民个人信息数量，“积量构罪”侧重于立法论，即什么是犯罪，而个人信息数量是衡量法益侵害程度的情节，两者不在同一层面。

（二）公民个人信息之法益属性分析

确定侵犯公民个人信息罪的法益需要从微观层面与宏观层面两个方面考虑，同时要经得起司法判决的检验。微观层面主要通过梳理《解释》中情节（特别）严重的具体规定剖析该罪保护法益的多元层面。宏观层面主要是明确刑法区别于其他法律保护公民个人信息的独特之处。

从微观层面看，公民个人信息的数量规模是侵犯公民个人信息罪与其他罪名相比的特殊之处。《解释》第5 条第1 款第1 项、第2 款第1、2 项都是以结果论情节严重程度，从这些规定来看，本罪与人身安全、财产安全、经济安全、社会秩序稳定都有关系。《解释》第5 条第1 款第2 项体现为帮助犯罪行为的情节严重性。《解释》第5 条第1 款第7 项和第6 条第1 项，从违法所得的角度衡量情节严重程度，此处不能体现出该罪保护法益的特殊之处，但是从侧面可以体现公民个人信息的价值性。《解释》第6 条第2 项是从犯罪人人身危险性的角度考虑情节严重程度。除上述规定和兜底性规定，《解释》第5 条和第6 条的其他规定都与公民个人信息数量相关，这是本罪与其他犯罪颇为不同的地方。公民个人信息的数量规模直接说明了侵犯公民个人信息罪有突破个人法益的可能，也是否定本罪法益是公民个人信息自决权的最有力论据。

公民个人信息的数量规模体现了侵犯公民个人信息罪法益的超个人属性。隐私权、公民个人信息权以及生活安宁、公民个人信息安全等个人属性阵营的主要观点往往仅站在民事法律的角度思考，忽略了数量规模这一特殊且重要的特征。从民事保护到刑事保护，公民个人信息数量规模体现了刑法保护公民个人信息的特殊之处。

从宏观层面看，刑法的独立性决定了侵犯公民个人信息罪保护的法益与其他法律有所不同，刑法对于公民个人信息的保护应当转向公民个人信息的流动安全。《刑法修正案（九）》将侵犯公民个人信息犯罪法条中的“国家规定”改为“国家有关规定”，表明刑法保护公民个人信息的范围正在扩大，这一点与公民个人信息犯罪的猖獗有关，同时也反映了保护公民个人信息需要不同法律间的协同配合。刑法具有二次性违法的规范属性［23］，需要保持自身的谦抑性，但是刑法保护公民个人信息并不是不加区分的保护，需要考虑公民个人信息的类型、数量等情形，这表明刑法保护公民个人信息的独立性，即不同法律保护公民个人信息的不同侧面，即使在同一层面，刑法保护的程度也有所不同。刑法保护公民个人信息有其明显的特征：第一，公民个人信息的数量规模是刑法赋予公民个人信息的新特征；第二，公民个人信息的流动安全是刑法保护公民个人信息的应然定位。“窃取”“非法获取”“出售”和“提供”公民个人信息其实也都与公民个人信息流动有关。

公民个人信息流动安全是侵犯公民个人信息犯罪法益的应然转向。其实我们不难发现，即使《解释》已经规定公民个人信息数量规模，但是相对司法案例中的事实条数，就显得小巫见大巫了。因此实务工作者也指出《解释》中，仅从个人信息的数量和犯罪所得的角度判断情节尚有不足［24］。大数据时代，公民个人信息蕴含巨大的商业价值，规模流动是公民个人信息交易的特征。公民很难来保证其个人信息流动自由，刑法可以做到的就是降低公民个人信息流动过程中的安全风险。总而言之，维护公民个人信息流动安全是侵犯公民个人信息罪的应有之义。

（三）厘定公民个人信息法益需要说明的问题

侵犯公民个人信息罪法益之厘定，尚有几个问题需要特别说明。

1.公民个人信息数量规模与公民个人信息流动安全的关系。数量规模和流动安全分别从犯罪对象和犯罪行为的角度体现侵犯公民个人信息罪的法益。从《解释》第5 条和第6 条来看，与公民个人信息数量有关的规定反映数量规模的同时，本质上都与流动安全直接相关，其他规定亦是如此。不管是行踪信息被犯罪所用，还是造成恶劣的社会影响，都是流动安全不能得到保障的严重后果。由此可见，流动安全可以充分地保护公民个人信息安全。此外，违法所得的情节规定等本身并不具有直接体现侵犯公民个人犯罪法益的功能，一般不能从中直接推断罪名所保护的主要法益。

2.司法认定公民个人信息数量的应然转型。司法实践认定公民个人信息数量面临公民个人信息真实性、重复性与无效性等问题，本质上是将公民个人信息定位为个人法益，强调是公民个人信息背后的公民数量。但是承认公民个人信息的数量规模以后，就不需要确定公民的数量，仅从公民个人信息的数量规模即可判断出对法益的侵害程度。将侵犯公民个人信息罪的法益归属为公共法益，此时公民个人信息的真实性、重复性和无效性的问题就迎刃而解。

虚假的、重复的、无效的公民个人信息体现了法益侵犯的不能，行为人对于这一点是有认识能力的，换一句话说，行为人本身虽然难以判定哪些信息有问题，但是对于一定数量规模的信息一般存在虚假、重复和无效的问题是明知的。因此，行为人并不在乎公民个人信息背后的公民数量到底有多少，而在乎公民个人信息数量规模是否可以达到其犯罪目的。因此，侵犯公民个人信息罪中对于公民个人信息数量有具体要求的犯罪行为，并不要求每一条公民个人信息必须对应一个公民，只要达到公民个人信息的数量规模，即构成情节（特别）严重。一言以蔽之，侵犯公民个人信息罪中的公民个人信息达到一定数量规模时，并不需要证明公民个人信息数量与公民数量相同。

四、侵犯公民个人信息罪法益之适用

理论的功能在于为实践提供指引，或许侵犯公民个人信息罪法益的理论厘清并不能完全解锁本罪司法实践中的所有疑难，但至少可以为个人信息数量认定提供一定的规则建构基础。

（一）时代发展折射侵犯公民个人信息罪之法益变迁

随着风险社会的到来，刑法领域研究风险社会理论的热情一直处于高涨的状态。安全问题是构成风险社会理论与刑法体系之间的连接点［25］。现如今进入大数据时代，数据安全成为重中之重，而数据犯罪的时代已经到来。数据犯罪的概念基于网络犯罪治理而逐渐形成，与网络社会的际代变化关系紧密。在刑事领域，公民个人信息的法益目前或者在未来一段时间应当定位在流动安全之上。

从计算机犯罪时代到数据犯罪时代的变迁决定了公民个人信息的刑事保护应当重视公民个人信息流动安全的本质需求。中国互联网的发展大致经过了互联网1.0 阶段（1994—2001 年）、互联网2.0 阶段（2001—2008 年）和即时网络的互联网3.0 阶段（2008—2014 年）三个阶段与目前的网络空间时代，这些时代［26］划分与网络犯罪变迁几乎同频共振。《刑法修正案（七）》首先在刑法第253 条之一规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，刑法第285条中增加了非法获取计算机信息系统数据罪。此时数据与公民个人信息联袂登场。《刑法修正案（九）》规定侵犯公民个人信息罪，该罪在出售、非法提供公民个人信息罪和非法获取公民个人信息罪的基础上，进一步扩大犯罪主体，不再限于特殊单位的工作人员。从《刑法修正案（七）》到《刑法修正案（九）》，公民个人信息的犯罪行为在“出售”“非法提供”和“非法获取”基础上仅增加了“盗窃”，这些行为本身只与公民个人信息流动有关。因此可以看出流动安全是刑法保护公民个人信息的一直以来的直接关切点，且关注程度持续增加。

（二）司法解释印证公民个人信息流动安全属于公共法益

公民个人信息数量批量认定规则与侵犯公民个人信息罪法益的公共属性相互印证。个人信息处理活动所带来的风险既具有“个体性”，更具有“公共性”［27］。《解释》第11 条第3 款中规定，对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。本条理解适用的最大难点在于数量认定规则作为推定数量规则，那么数量体现的本质是什么？回答这个问题，首先应该追问为什么需要认定数量。在侵犯公民个人信息罪的刑法条文中，对于情节的描述是空白的，只有在《解释》中才做出了具体规定。因此《解释》的作用在于：其一，实现情节认定的司法可操作性，即化抽象为具体，方便统一适用；其二，限缩解释情节（特别）严重，从本质上说，情节属于规范的构成要件要素，主要由法官做出判断，但是《解释》具体规定后，限制了可解释的语义范围。而《解释》中数量规模的最小数量级别是五十，上则没有封顶。因此司法解释规定了规模的起点就是五十条。那么一条甚至四十九条反映的行踪轨迹信息就没有刑法保护的必要吗？从《解释》来看确实如此。如果将每一条公民个人信息与每一个公民的权利联系起来，四十九个公民与五十公民的权利大小如何衡量？这是很难判断的事情。所以刑法保护公民个人信息从正义分配的角度上说，只有达到一定数量规模后，才具有刑法保护的意义，这是解决难以量化权利难题的有效路径，即通过数量规模将批量认定公民个人信息数量与精准计算公民数量相分离。

（三）司法案例检验侵犯公民个人信息罪法益之实际运用

司法案例中侵犯公民个人信息数量规模庞大是检验侵犯公民个人信息罪法益的最好例证。从研究样本来看，公民个人信息的数量一般远超《解释》规定的数量级别，除了极少数几个案例在一万条以内，最少一起涉案征信信息512 条，①参见福建省福州市中级人民法院（2018）闽01 刑终286 号刑事裁定书。其他多集中在百万级别与千万级别之间，最多的超过四亿条。②参见福建省龙岩市中级人民法院（2018）闽08 刑终213 号刑事裁定书。而在法律文书中一般都是写明每次交易的公民个人信息数量，多数不会再写明总计条数，且一般表达为多少余条，不写明具体条数。也有类似“通过黑客网站下载获取公民邮箱账号和密码11×××92 条”的表述。③参见江苏省苏州市中级人民法院（2019）苏05 刑终488 号刑事判决书。那么法院这样的写法是否合理呢？从公民个人信息的数量规模来看，具体的条数并不是关键，达到一定的数量规模级别，便是合理的。另外，数量规模的提出为法院说理提供了有效的理论支撑。在研究样本中，法院认为上诉人侵犯公民个人信息的数量远远超出情节特别严重的标准，不予采纳上诉意见和辩护理由。①参见安徽省合肥市中级人民法院（2019）皖01 刑终128 号刑事裁定书。这样的说理与公民个人信息的数量规模是完全契合的，只要达到一定数量规模，即代表着达到刑法所规定的法益侵害程度，通过盖然性取代精确性，降低司法成本，提高司法效率，使得法益理论通过解释论真正做到服务于司法实践。