侵犯公民个人信息罪的法益重析
——基于个人信息保护法制定的探讨

徐翕明

（广西民族大学法学院，广西 南宁 530006）

随着互联网技术的发展与应用，信息化的革命浪潮席卷全球，人类的日常生产、生活方式逐步以个人信息的形式呈现。但与此同时，在不断演变的网络时代中，对于个人信息的威胁也正持续蔓延。因此，如何保护个人信息，并使之合理流转与利用，业已成为信息社会最大的难题之一。目前，与个人信息保护密切相关的《中华人民共和国个人信息保护法》（以下简称“《个人信息保护法》”）已经通过并实施。在此背景下，如何准确适用刑法第253条之一规定的侵犯公民个人信息罪，必然成为刑法理论与实务的重点和难点，而解决这一问题的关键前提是确定本罪保护的法益。

一、侵犯公民个人信息罪的法益观

目前，刑法学界围绕《中华人民共和国宪法》（以下简称“《宪法》”）、《中华人民共和国民法典》（以下简称“《民法典》”）、《中华人民共和国网络安全法》（以下简称“《网络安全法》”）、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”）对侵犯公民个人信息罪的法益展开探讨，并最终形成个人法益说、超个人法益说和混合法益说三种立场。

首先是个人法益说，该说也是目前的主流观点，在其内部又区分为以下不同观点。第一，隐私权说。该说认为，只有个人信息中体现着个人隐私的部分才是刑法保障的范围。[1]第二，个人生活安宁说。该说认为，刑法视野中的公民个人信息判断应以私人生活安宁为标准，任何与公民个人相关的信息，一旦泄露，可能威胁私生活安宁的，都是公民个人信息。[2]第三，人格尊严与个人自由说。该说认为，本罪保护的法益是公民人格尊严与个人自由，个人隐私只是人格尊严的组成部分。[3]第四，个人信息权说。该说认为，公民个人信息具有复杂的权利属性，单纯将其作为隐私权、财产权或其他人格权加以保护均具有不周延性，应将其作为一种独立的新型权利——个人信息权——加以保护，既逢时、又顺势。[4]第五，公法上的个人信息受保护权。该说认为，侵犯公民个人信息罪的法益观应该从私法角度转向公法角度，公法上的个人信息受保护权既不是私法上的个人信息自决权，也不是超个人的信息公共安全。[5]在上述五种观点中，以个人信息权说为个人法益说中的主流学说。

其次是超个人法益说，该说将个人数据信息作为公共物品来规制，并认为对个人数据信息使用进行治理的主体应该是政府专门机构，进而治理的目的是公共利益和公共安全。[6]有学者明确提出“侵犯公民个人信息罪的法益是公共信息安全”。[7]也有学者从侵犯公民个人信息罪的立法目的以及规范方式出发，将其法益应当评价为社会信息管理秩序。[8]

最后是混合法益说，有学者称其为多元法益说或双重法益说。例如有学者指出，“刑法中个人信息法益既有传统上包括隐私权在内的人身权和财产权，也有‘超个人’的国家和社会公共安全、利益和秩序等，因此是多元的、多层次的体系”。[9]还有学者对公民个人信息所蕴含的两种混合法益作了主次关系的区分，认为“‘公民个人信息’首先是公民个人法益，然后才是超个人法益属性，二者之间的主次关系不能颠倒。”[10]

二、侵犯公民个人信息罪法益分歧的根源

承上所述，侵犯公民个人信息罪在保护法益的认知上有巨大的分歧，具体体现在本罪的法益是否包含“超个人”要素在内。如果认为本罪所保护的法益完全没有“超个人”的要素，则必然坚持个人法益说的立场；如果认为本罪所保护的法益均为“超个人”的要素，则必然坚持超个人法益说的立场；如果对其部分地承认“超个人”的要素，则会主张混合法益说的立场。刘艳红教授认为，离开侵犯公民个人信息罪是法定犯还是自然犯的犯罪性质，是无法准确理解本罪的各种法益学说之争的。[11]换言之，若认为其是自然犯，则应当坚持个人法益说的立场；若认为其是法定犯，则应当坚持超个人法益说的立场。

文章认为，将自然犯与法定犯的区分作为个人法益与超个人法益之争的背后根源，恐怕未必准确。众所周知，自然犯与法定犯是否还需要区分，以及它们的区分标准是什么，这在学界都有巨大的争议，更有学者提出了否定自然犯与法定犯区分的观点。[12]文章虽然不否认当下刑法学界总体上仍对自然犯与法定犯进行区分，以及对二者进行区分的意义，但也不得不面临的是，“法定犯的自然犯化”已经逐步成为时代的潮流。据此而言，将自然犯与法定犯的区分作为论证侵犯公民个人信息罪法益属性的依据，甚至是主要依据，显然是不够充分的。①作为论据的自然犯与法定犯区分标准都缺乏明确性与准确性，那么以此推导出的结论当然难言科学性。除此之外，就刘艳红教授将侵犯公民个人信息罪定性为“带有法定犯气息的自然犯”这一结论而言，文章同样表示怀疑。上述论者先从罪名的体系定位上确立其自然犯的性质，进而根据本罪的构成要件要素内容得出结论，但实际上，如果先从本罪的构成要件要素内容出发，然后结合本罪的体系定位，却能得出完全相反的结论。例如，是否也能这样表述：“侵犯公民个人信息罪以‘违反国家有关规定’作为构成要件要素，因此其是法定犯，而非自然犯；但由于本罪又规定在‘侵犯公民人身权利、民主权利罪’一章下，因此本罪又不是典型的法定犯，而是带有自然犯气质的法定犯？”况且，这种以罪名构成要件要素内容作为考察起始点的方式，或许更具有说服力，因为“以罪名在刑法分则中所处的章节位置来认定本罪法益属于个人法益，当然不足取”。[13]事实上，刑法分则罪名体系中所谓“同类法益”的编排模式只是相对的。例如，诬告陷害罪规定在“侵犯公民人身权利、民主权利罪”一章下，但本罪保护的法益历来就有个人法益说、国家法益说、择一说与并合说的争议。[14]由此可见，以罪名的体系定位作为其认定法益属性的理由并不科学。

那么，应当如何确定侵犯公民个人信息罪的法益属性？文章认为，不妨从法益的内涵入手，进而探讨具体罪名的法益。刑法学界认为，基于法益与实定法的关系可以区分为先法性法益概念、后刑法法益概念和宪法性法益概念。[15]其中，先法性法益概念强调法益先于立法存在，法律只能发现它，而不能创造它；后刑法法益概念认为法益是通过刑法构筑的，是刑法规范保护的范畴；而宪法性法益概念则将法益置于宪法之后、刑法之前，简言之，是由符合宪法规范的其他非刑法法规所建构的。至此，结合侵犯公民个人信息罪①具体参见《刑法》第253条。的条文内容，可以发现，本罪的法益不属于先法性法益概念，否则“违反国家有关规定”的表述将成为摆设。也正因此，需要考察“国家有关规定”具体包括哪些法律规范；与此同时，作为本罪的构成要件要素，“违反国家有关规定”又体现何种刑法规范的保护目的。

由此可见，侵犯公民个人信息罪的法益内涵兼顾宪法性法益概念与后刑法法益概念。详言之，通过对宪法之外的非刑法法规（主要是《个人信息保护法》）的考察，这是宪法性法益概念的旨趣，以及对侵犯公民个人信息罪构成要件要素的剖析，这是后刑法法益概念的要求。二者通力协作之下，才能解决本罪法益分歧的根源性问题，即是否蕴含“超个人”要素在内。

三、侵犯公民个人信息罪法益中“超个人”要素的检视

（一）基于个人信息保护法制定中“超个人”要素的检视

其一，《个人信息保护法》总体上确立以“告知-同意”为核心的个人信息处理原则，但仍列举了一系列例外规则。②具体参见《个人信息保护法》第13条第二项至第六项的规定。与之对应的，《民法典》“人格权编”第1035条同样规定了同意原则，但是当法律、行政法规另有规定，未经自然人同意的仍然可以收集、处理和利用个人信息；与此同时，该法典第1036条还规定，为了公共利益收集、处理自然人个人信息的，即便没有经过对方同意也不承当民事责任。由此可见，《个人信息保护法》以同意原则，但兼及例外的规定，保证了其与《民法典》规定相一致，形成了法律体系间的协调性。当然，“不彻底”的同意原则并非意味着对个人信息的处理可以肆意妄为，其旨在表明同意不是或不应成为个人信息处理的唯一合法性基础，而应根据个人信息上的利益之间的平衡构建个人信息的使用规则，建立多元的合法性基础。[16]在同意原则之外，适当规定个人信息处理规则的例外情形，无论是保持法律内部体系的协调性，还是促进个人信息利用的实效性，均具有重大意义。

基于《个人信息保护法》对个人信息处理中同意原则的例外规定，便可得出如下结论：公民个人信息中蕴含着超个人法益，因此侵犯公民个人信息罪保护的法益也就具备“超个人”的要素。因为根据刑法中被害人同意的一般法理，同意的内容仅限于可以由被害人作出承诺的法益，也即被害人③这里的被害人具体到侵犯公民个人信息罪中，实际上就是个人信息的所有人或合法占有人。能够自我处分的个人法益。既然对于个人信息的收集、处理和利用是“不彻底”的同意原则，就必须承认侵犯公民个人信息罪所保护的法益中具有“超个人”要素的存在，否则就可能导致处罚范围的扩大，造成罪刑适用的不均衡。正如欧阳本祺教授所言，“同意并不是本罪违法性判断的决定性因素，获得个人同意的行为当然不应该构成犯罪，但未获得个人同意的行为也可能不构成犯罪”。[5]

其二，《个人信息保护法》第1条、第2条使用了“个人信息权益”的表述，而没有使用民法学界“个人信息权”的主张，这不仅关乎个人信息的私法保护，也成为刑法侵犯公民个人信息罪中个人信息法益属性确证之关键。根据《民法典》的规定，个人信息的内容规定在“人格权编”，其使用的是“隐私权与个人信息保护”的表述，并与生命权、健康权等并列，可见个人信息的人格要素不得被完全否定，需要进一步考虑的是，个人信息与其他具体人格权的内容相比有何特殊性？正是由于这些特殊的要素附着于个人信息之上，才使立法者放弃民法学界一贯使用的“个人信息权”的表述。

据此有学者提出，法律保护个人信息的目的在于防范相关风险，促进个人信息在具体场景中的合理流通。[17]如此一来，个人信息逐步成为一种重要的社会资源，具有公共性价值，并在现代社会的资源配置中发挥着重要的作用。将这种信息经济学的视角进一步贯彻就会发现，个人信息会被逐步商品化，从而与商业利益、经济价值挂钩。因此，在个人信息上附着的财产性要素就会浮现，而且在刑法中，也主要在“与公民人身、财产权利相关的意义上把握个人信息”。[18]故而，文章所主张个人信息之法律属性，或为人格要素，或为财产要素。这一主张不仅维持了个人信息在《民法典》“人格权编”的基本定位，而且也与《个人信息保护法》中个人对个人信息处理活动中的权利规定基本契合。例如《个人信息保护法》第46条和47条规定的信息更正权和信息删除权，体现的就是权利的财产性特征，与财产的交易与抛弃极为相似。申言之，当人们在个人信息中嵌入了财产性要素后，则其中必然蕴含着超个人法益，且不说静态的财产可能涉及他人或公共利益，个人信息本质上也属于一种流动财产，与国家或社会的利益挂钩。所以，侵犯公民个人信息罪保护的法益必然具备“超个人”要素。

（二）基于本罪构成要件要素中“超个人”要素的检视

其一，《刑法》第253条之一明确规定了“违反国家有关规定”是本罪的构成要件要素。虽然该条文的表述与《刑法》第96条“违反国家规定”相比多了“有关”二字，但学界对此现象已基本达成共识，认为“‘有关’是一个没有实意的虚词，只是意味着与特定事项有关，并无扩张或限缩国家规定的能力”。[13]既然“违反国家有关规定”从实质上考量就是“违反国家规定”，那么本罪的成立仍然以违反行政、经济法规等为前提，因此从犯罪分类上看，本罪属于法定犯，或者说当某罪条文中涉及“违反国家规定”的，“多为法定犯，基本没有自然犯”。[19]文章基本赞成上述学者的主张，并认为，即便不能完全承认侵犯公民个人信息罪是一个彻底的法定犯，但也应当承认其至少是“被自然犯化的法定犯”。之所以作这样“半步退让”，主要考虑到立法者将侵犯公民个人信息罪定位于《刑法》分则第四章“侵犯公民人身权利、民主权利罪”中，这便与那些纯粹的破坏市场经济、妨害社会管理秩序犯罪中的法定犯有所不同，当然不可避免地具备了传统自然犯的某些特征。

其二，《刑法》第253条之一明确规定了侵犯公民个人信息罪的犯罪主体包括单位。应当说，这与刑法学界普遍达成的单位犯罪是法定犯的共识高度一致。况且从立法现状上看，第四章“侵犯公民人身权利、民主权利罪”规定的其他各罪，均没有单位犯罪的情形，这进一步表明了侵犯公民个人信息罪应当是法定犯。但仍有学者对此提出异议，并认为规定单位主体的犯罪并非一定都是法定犯，盗窃罪是典型的自然犯，但最高人民法院、最高人民检察院《关于办理盗窃刑事案件适用法律若干问题的解释》（以下简称《盗窃罪解释》）确立了单位可以成为盗窃罪主体。[11]文章认为，上述论者是对《盗窃罪解释》第13条的误读，该条虽然规定了单位盗窃的情形，但最终承担刑事责任的对象是组织者、指使者，简言之，盗窃罪的主体仍然是自然人。由此可见，以盗窃罪作为“单位犯罪在自然犯中也成立”的论据是没有道理的，单位犯罪的规定只存在于法定犯中。

综上所述，应当承认本罪保护法益中所蕴含的“超个人”要素。

四、侵犯公民个人信息罪保护法益的确证

如前所述，应当承认侵犯公民个人信息罪保护法益中的“超个人”要素，但需要进一步检讨的是：本罪保护的法益是否仅仅有“超个人”要素，进而承认超个人法益说的观点？抑或是除了这种“超个人”要素以外，仍然包含了相当一部分的“个人”要素，从而主张混合法益说的立场？

（一）超个人法益说的不足

超个人法益说认为，侵犯公民个人信息罪保护法益的具体内容是公共信息安全或信息管理秩序，这实际上秉持的是一种集体法益的主张。但是，集体法益观将导致犯罪认定的扩张化与单一化。集体法益观认为，“与个人法益是被刑法发现的不同，集体法益往往是立法者创设的”，[20]这从近十余年来《刑法修正案》不断增设新罪名便可得以印证。一旦将行为违反集体法益作为犯罪化的事由，一定程度上混淆了秩序罚和刑事罚在损害程度上的区分，因为秩序不法的社会危害性显著低于犯罪，应当先于犯罪评价。具言之，“违反国家有关规定”是侵犯公民个人信息罪的构成要件要素，如果在前置法规中没有规定行为的不法性，却贸然地将秩序不法行为给予犯罪评价，显然是不合适的，甚至可能危及罪刑法定的贯彻。

在集体法益观下，相当于对个人信息的刑法保护采用的是单边主义，只注重个人信息的社会性、公共性和流通性，但对其私权保护存在很大的不足。那种试图将“集体法益作为全部个人法益的集合”[21]的观点并不正确，集体法益与个人法益实际上存在天然的紧张关系。个人信息首先承载的是私人权益，《个人信息保护法》第1条在立法目的中明确指出，本法的制定是为了保护个人的信息权益，以及规范个人信息的处理活动；《民法典》第1034条也指明，对于个人信息中的私密信息，可适用隐私权的有关规定。因此，否认信息主体所享有的私权，可能导致其对个人信息的完全失控。

此外，公共信息安全或信息管理秩序绝非个人信息保护的全部内容。首先，从法理上讲，安全、秩序应当是法的价值判断，与自由、正义一同成为法的价值内容，难以承认其属于法益本身；而即便将其置于具体的刑法规范判断，似乎也只能成为国家层面的价值宣示，更容易成为一种国家法益观，但若将犯罪都界定为侵犯国家法益的行为，“无助于刑法各论体系的建构”。[22]其次，基于个人信息的社会性，作为侵犯公民个人信息罪保护对象的公民个人信息确实不能专属于公民个体，但是也不能用公共信息安全或秩序的概念直接抹杀侵犯公民个人信息所涉及信息主体的多样性，以及权利主体的复杂性。最后，即便承认公共信息安全或秩序就是侵犯公民个人信息罪保护的法益，也很难为本罪的实质违法性提供现实依据。那是因为，要使作为超个人法益内容的公共信息安全或秩序值得被刑法保护，该公共性必须涉及不特定或多数个人法益的集合，具体包括生命、身体和财产权利。简言之，侵犯公民个人信息行为具有实质违法性的依据是侵犯具体的危险，但从本罪第二款与第三款规定的内容来看，并不以“情节严重”作为构罪标准，这是典型的抽象危险犯规定。由此可见，公共信息安全或秩序只是侵犯公民个人信息罪保护的一部分法益内容，而非全部。

（二）混合法益说的修正

既然侵犯公民个人信息罪保护的法益不止于“超个人”要素，那么坚持混合法益说就成为当然的结果。但学界对于混合法益说的研究存有较大缺陷，仅是从宏观层面指出侵犯公民个人信息罪保护的法益包括个人法益和超个人法益，但并未就法益的具体内容展开。下文将针对本罪中个人法益的内容做进一步厘清。

第一是隐私权说。该说曾是个人法益说中的主流学说，但该说目前不仅在理论上难以自洽，同时也不符合《个人信息保护法》的制定背景。第一，从隐私与个人信息的定义上看，隐私一般指个人生活中不愿为他人知悉的秘密，强调私密性；而个人信息则没有私密性的要求，因此二者实难同等视之。第二，从隐私与个人信息的目的上看，由于隐私强调私密性，故而侧重社会公众的消极防御，从而制止他人对自身隐私的侵犯，旨在提供一种类似于“绝对权”的保护模式；而个人信息也强调社会性、流通性的一面，对个人信息的收集、处理、利用既是必要的，也是必需的。因此，如果将个人信息的保护等同于隐私的保护，实际上限制了个人信息与现代社会的兼容性。第三，《个人信息保护法》在对个人信息的定义时删去了隐私性要素，同时，《民法典》“人格权编”正式区分了隐私权与个人信息，并且指明了个人信息中的私密信息才适用隐私权保护的有关规定。综上所述，个人信息中蕴含的个人法益绝不是隐私权，其中能够被作为隐私权保护的仅是具有私密性质的个人信息。

第二是个人生活安宁说。这实际上是一种基于传统隐私权说的立场而作的进一步深入，却可能导致对侵犯公民个人信息行为的处罚不当。前述隐私权说尚且造成与个人信息概念涵摄范围的不协调，即那些具有私密性质的个人信息才能称为“隐私”，那么围绕隐私权所作的细化恐怕会进一步限制处罚范围，令许多原本应当构成侵犯公民个人信息罪的行为逃脱制裁。与此同时，个人生活安宁说也与个人信息保护法的修订背景产生诸多不协调。例如，无论是《民法典》抑或是《个人信息保护法》的相关内容，都是从宏观上表述“个人信息受保护”，况且后者在对个人信息的定义时，明确了“可识别性”的标准，这足以说明对个人信息的保护绝不可能仅限于私生活安宁领域。

第三是人格尊严和个人自由说。该说的主张源自《宪法》第38条的“人格尊严”条款。[23]文章认为，将侵犯公民个人信息罪保护法益的具体内容上升到宪法权利存在诸多不妥。第一，前述《宪法》条款只是宣示性规定，不具备“人权”的具体内容。第二，“人权”与“与人相关的权利”存在区别，个人信息所具有的法益内容至多解释为某种权利或利益，绝非“人权”本身。第三，《宪法》对公民基本权利的宣示性规定必须要有具体权利的对应，这些需要被具体对应的权利应当由各个部门法来明确，主要是依靠民法和行政法，目前《民法典》“人格权编”已经明示了生命权、身体权、健康权等多种具体权利，但唯独没有人格尊严权或人身自由权，类似的内容也仅仅是《民法典》“总则编”规定了自然人的人身自由和人格尊严受法律保护。因此，目前不宜将人格尊严或个人自由上升到权利层面，进而将其作为个人信息的法益内容。

第四是公法上的个人信息受保护权说。该说强调从公法上证成个人信息权，具体来说是《宪法》第33条、第38条和《网络安全法》第41条、第42条，而不是通过《民法典》等私法，并指出“个人信息权原本就是公法权利”。[5]但同时认为，这种公法上的个人信息受保护权本质上仍属于个人法益。从论证逻辑上看，该学者首先通过个人信息的对象和权能否定私法上个人信息权的诸多弊端，并通过比较法的视角证实个人信息权本是公法权利，最终确认“侵犯公民个人信息罪的法益是公法上的个人信息受保护权”。令人疑惑的是，为什么在证明个人信息权属于公法上的权利后，即可推导出“公法上的个人信息受保护权”？也即，个人信息受保护权和个人信息权何以等价？至少从目前民法学界的主流观点上看，个人信息权既包括信息的受保护，也包括信息的利用、流转、处分等权利。由此可见，该说在论证的逻辑上存在明显的漏洞。

第五是个人信息权说，该说是新近有力学说。但是，把个人信息权作为侵犯公民个人信息罪保护法益的前提是，需将《民法典》第111条中的“个人信息”解释为“个人信息权”，否则该权利在刑法上的保护便会成为无源之水。而正如前所述，“自然人的个人信息受法律保护”能否解释为《民法典》保护的就是个人信息权，这在理论上存有争议。是故，上述主张侵犯公民个人信息罪保护的法益是个人信息权的学者也不得不承认，该权利本质上是一种新型权利。[11]然而，要想成为一种新型权利，除了需要在概念和证成标准上达到应有的标准，还必须具备自觉性、法定（裁定）性和统一性三种本质属性，否则只能称之为“新兴权利”。[24]但综合看来，“个人信息权”的表述并未经过国家立法和司法权的决断，也未曾被纳入国家法定程序中生成，虽然已被绝大多数人接受，①即便个人信息权被绝大多数民法学者接受，但这充其量只是对“个人信息权”表述的接受，至于其本质属性到底为何，不同学者各执一词。但尚未完全具备“新型权利”的本质属性，只能被视为一种“新兴权利”。当然，如果抛开“个人信息权”本身，从主张者对其实质内容的解释上看，仍是指“公民人格利益以及信息财产利益”的叠加。因此，依文章之见解，创设一个新的“个人信息权”反倒是次要的，重点是应承认个人信息所蕴含的人格利益和财产利益的实质内容。

综上所述，侵犯公民个人信息罪所保护个人法益的内容是公民人格利益以及附着于个人信息之上的财产利益，其所保护超个人法益的内容是公共信息安全，二者相结合则构成了本罪真正保护的法益，也即混合法益。

五、结语

在大数据环境下，老百姓可能随时面临个人信息泄露的危机，为了确立侵犯公民个人信息罪的打击范围，必须对本罪保护的法益有准确的认知，否则可能导致处罚结论的不当。文章根据《个人信息保护法》中有关个人信息的规定，并结合侵犯公民个人信息罪的构成要件要素内容，最终得出本罪保护的法益是一种混合法益，它既包括以公民人格利益以及附着于个人信息之上的财产利益为内容的个人法益，也包括以公共信息安全为内容的超个人法益。