个人信息保护的法律规制与法治路径*

宋才发

(广西民族大学 法学院，广西 南宁 530006)

2022年6月22日，习近平总书记在中央全面深化改革委员会第二十六次会议上强调，要维护国家数据安全、保护公民个人信息数据安全，加快构建数据基础制度体系[1]。在“十四五”规划实施期间乃至更长的一段时期内，我国要建立健全个人数据分类管理和分级确权授权使用制度体系，建立数据资源共享和数据产权制度体系，建立健全个人信息数据保护法规体系，完善数据全流程合规和监管法律体系，把维护个人信息保护贯穿数据治理全过程。

一、个人信息及信息权保护制度释义

(一)建立对个人信息严密保护的数据共享机制

数据是信息的主要表现和转换形式。数据中囊括了大量“个人的信息和隐私，甚至涉及个人的敏感信息和核心隐私”[2]。《中华人民共和国民法典》(以下简称“《民法典》”)第1032条规定：“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”；第1034条规定：“……个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息……”(1)《民法典》第1034条规定：“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”我国公民个人信息受《中华人民共和国宪法》(以下简称“《宪法》”)等法律保护。人们通常所说的“数据分享”，是指“数据控制者将自己所收集的信息与他人进行分享，在数据控制者与分享者之间形成的一种合同关系”[2]。我国已进入互联网、大数据的新时代，数据共享已成为个人信息开发利用的一种极为快捷便利的有效方式。由于相关法律和行业规范还适应不了迅猛发展的大数据发展需要，实践中个人信息被不正当使用甚至发生隐秘信息泄露事故，侵害信息权人隐私权和信息权益，包括不应有的经济损失和精神伤害。这表明，数据共享在对个人数据资料有效利用和推动知识创新的同时，也对个人信息保护带来严峻的挑战。数据共享是21世纪对个人信息数据收集、储存和利用的渠道，也是不同机构、平台之间进行信息数据交换的便捷方式。在互联网上任何对数据的收集、传输行为一旦失控，都将导致大量的个人隐私和信息遭到不正当使用抑或泄露。在市场经济条件下数据共享的过程，实质上就是对个人信息的再利用过程。对公民个人信息数据的开发利用，必须以个人信息数据的有效保护和合法处理为前提。大数据时代所开展的数据共享活动，在法律上是一种数据的开发与利用行为，属于数据财产的合法利用和正当使用行为。因而数据共享既包括“有偿共享”，也包括“无偿共享”。依法依规维护信息权人对其合法信息的支配权，在本质上就是维护私法自治权、维护公民个人的人格尊严。依据现行法律规定，凡属于已经向社会公开了的个人信息数据，他人抑或组织在共享和利用的时候，一般不应受到法律和有偿的制约；各级政府向社会公开的各种信息数据，任何个人和组织都可以无偿地合理利用，政府向社会提供信息服务是其行政职责。在政府拟公开的信息中，凡涉及需要对公民个人隐私权和信息数据予以保密的事项，政府有责任履行相应的法定保密义务，采取可靠的防护和安全保障措施，以防止个人保密信息发生不应有的泄露。同时还由于政府向社会公开的信息数据不涉及财产权的让与问题，故政府不对所公开数据享有独占性的权利[2]。

(二)建立以数据为核心的数据所有权保护制度

建立符合我国国情的数据所有权基本制度。中央全面深化改革委员会第二十六次会议强调指出：“数据作为新型生产要素，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各个环节，深刻改变着生产方式、生活方式和社会治理方式。”[1]这就需要完善数据要素市场化配置机制，建立体现效率、促进公平的数据要素收益分配制度，加强重点领域执法司法，把必须管住的坚决管到位[1]。数据是数字经济的关键性要素，数据信息是经济社会发展的新动能，催生了新产业新业态的发展新模式。我国要在“十四五”期间建立“双循环”新发展格局，须臾离不开以数据为核心的资源要素的新循环与新配置(2)“数据要素有助于提升资源配置效率，实现‘双循环’新发展格局的供应均衡，构建和完善数字场景下的现代化全周期自主型生态产业链。”(参见王益民：《关于建立中国特色社会主义数据共有制的研究》，《行政管理改革》2022年第5期，第16-22页)。《关于新时代加快完善社会主义市场经济体制的意见》提出，要“加强数据有序共享，依法保护个人信息”(3)中共中央国务院《关于新时代加快完善社会主义市场经济体制的意见》提出要“加快培育发展数据要素市场，建立数据资源清单管理机制，完善数据权属界定、开放共享、交易流通等标准和措施，发挥社会数据资源价值。推进数字政府建设，加强数据有序共享，依法保护个人信息”。(参见中共中央国务院：《关于新时代加快完善社会主义市场经济体制的意见》，《人民日报》2020年5月19日第1版)。数据信息作为与国际社会交流发展的关键要素，“正在超越土地、劳动力、资本成为核心的生产驱动力，成为经济社会高质量发展的关键生产要素”[3]。《中华人民共和国数据安全法》(以下简称“《数据安全法》”)第7条规定，国家保护个人数据有关权益，保障数据依法有序自由流动(4)《数据安全法》第7条规定：“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”。在数据保护权益体系领域内，个人信息是个人在社会里标识自己、保护自己，建立自己与他人正当合法联系的重要工具，也是社会组织了解和识别每一个具体个体开展活动的依据[4]。法律规定信息主体对自己的信息数据，享有占有、使用、收益和处分等权能，享有信息数据的人格权、知情权和控制权。法律同时还规定，收集和使用他人数据信息，必须获得信息所有权人的许可或同意，否则就要承担相应的违法侵权责任。凡违反法律、行政法规、部门规章有关公民个人信息保护的规定的，即为“违反国家有关规定”。我国已成为世界上第一个明确“将数据作为独立生产要素纳入国家发展战略”的国家，传统的财产权体系已经不适合移植用来规范数据市场秩序。近年来不断发生和出现的数据安全问题，既侵害了数据权人和消费者的合法权益，也危及了国家安全和社会公共利益。因而依据《民法典》和《数据安全法》规定，建立符合我国国情的数据所有权基本制度即“数据共有制度”刻不容缓。要通过数据共有制度明确数据确权和数据权利边界，建立数据权利规则、规范数据交易过程，规制数据流通、数据许可行为；要建立一个合作、共治、负责任的数据规则体系，尤其要通过税收手段和数据管理解决数据滥用问题，维护数据市场的公正和效率；要完善数据所有权保护制度、个人隐私权和个人信息权保护制度、数据生产要素按照贡献大小参与分配制度。与此紧密相关的“禁止数据滥用”制度，是《民法典》第132条规定的一项民事权利规则(5)《民法典》第132条规定：“民事主体不得滥用民事权利损害国家利益、社会公共利益或者他人合法权益。”。凡个人数据处理者和使用者违背“禁止数据滥用”规则，造成数据权利人损害的，必须承担侵权责任。

(三)构建个人信息“权利束”保护的工具性体系

个人信息保护体系是个人信息的“权利束”。由《民法典》《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)规制的个人信息保护体系，本质上就是一个受法律保护的个人信息“权利束”。这个“权利束”是指“包括个人信息主体知情、决定、查询、更正、复制、删除等权能在内的一组权利集合”[5]。“权利束”实质上是民事主体对个人享有的信息权利，依法进行自我控制、自我保护、自主决定的一种手段。《个人信息保护法》这种“权利束”的科学设计体现出鲜明的公法属性，因而被称为“数字时代公法秩序的基石”[6]。在科技迅猛发展和知识大爆炸的21世纪，信息的产生和再生成本很低，应当将信息视为一种新型公共资源。一经进入“公知领域”“共享领域”的个人信息数据，就成为任何人均可以合法使用的公共资源，这就从客观上决定了个人数据信息具有公共性和共享性。然而问题也就来了：个人数据信息究竟是否应当由个人来控制？没有经过信息权人同意是否就一律不得使用？否则就构成对个人信息保护权的侵权？其实“个人控制在世界范围内并没有上升为法律上的权利”[4]。因而单纯靠个人的自我控制和自我保护是行不通的，“构造并且维系这个法秩序格局的主体只能是国家”[5]。权利束并不是一项先在的民事权利集合[5]，有必要对个人信息权利束的法理基础进行合理的界定。依据实体性权利的定性处置原则，《民法典》在私法上所设计的个人信息“权利束”，就从“规制工具”上为个人信息民事权益保障机制的构建，尤其是从司法救济途径上为信息侵权的事后处置发挥了奠基性作用。国家赋予个人信息所有者制衡信息处理者的“规制工具”，有利于促使信息处理者正当传输和合规使用数据信息。《个人信息保护法》把个人信息权作为新兴公法权利的思路，确立了完整的个人信息权利保护体系[6]。个人信息“权利束”作为公法上的“工具性权利”，意味着国家通过法律规制进行赋权和建立法秩序。“权利束”公法保障的基本权能，是为信息权利人提供基础性的、防御性的程序保护，有利于形成个人信息的公法保护与民法保护机制协同，从体制机制上弥补民法个案救济模式的不足。

二、个人信息权保护的法律规制

(一)个人信息私法保护的法律规制

个人信息的属性需要有一个明确的法律定位，非此便无法从私法上予以规制。《民法典》第111条保留了原《民法总则》的规定，体现了《民法典》对个人信息私法保护的延续性。针对《民法典》确立的信息主体基本权益，应当对那些未明确的公共场所中的个人信息权益，特别是“无意入境者”的个人信息权益作出区别界定[7]。《民法典》规定自然人对个人信息的利用有知情同意权，对个人信息享有依法查阅和复制权。当发现个人信息有错误时，有向信息处理者提出异议、更正乃至删除等权利。尽管《民法典》没有使用“个人信息权”的法律用语，没有像对待隐私权那样苛刻严厉，但把它表述为“隐私权和个人信息保护”，这就从定性和定位上明确了个人信息的“权益”地位。这个规定不仅对个人信息保护具有里程碑意义，而且为《个人信息保护法》的制定出台奠定了基础。《个人信息保护法》规定了加密技术在个人信息保护中的作用，密码的主要作用在于保护个人信息在网络传播中，免受截取、攻击、篡改和冒用，我国已经形成密码领域的法律体系框架[8]。其实信息主体的许多损害是日积月累的结果。尽管信息主体无法指控每一个特定的损害者，但信息主体确实感受到个人隐私和个人信息遭受损害的苦恼以及危险性，事实上阻碍了社会成员之间的相互信赖和互动意愿，导致信息损害制度无法有效地实现应有的预防功能。《个人信息保护法》扩张了《民法典》个人信息的保护范围，譬如，《个人信息保护法》第28条就比《民法典》第1034条扩张了许多新的内容，增加了“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹”等，体现了习近平“以人民为中心”的发展思想。在大数据时代，由于数字技术将个人信息数据化，个人信息与数据的关系在数字时代几成一体[9]。因而信息权利人在日益丧失对自己信息的自主掌控和自主决定，信息控制者和信息处理者变得越来越具有权威性，需要尽快“构建个人信息权的完整体系”[10]。建议未来在相关法律修正的时候，确立抑或明确“个人信息权”的法律地位，给“个人信息权”一个确定的法律名分，这样规制有利于加强法律对个人信息的保护力度和有效利用，使人民群众在数字经济发展中享受更多的获得感、幸福感、安全感[11]。

(二)个人信息正当处置的法律规制

全国人大常委会在《关于加强网络信息保护的决定》中，正式使用和规定了“合法、正当、必要原则”。随后，不仅《电信和互联网用户个人信息保护规定》《网络安全法》做出了类似的规定，就连《民法典》和《个人信息保护法》也都做出了具体的法律规定。至此，“合法、正当、必要原则”，便成为个人信息处理的基本原则。其中，“合法原则”属于信息处理的形式合法性范畴，“正当原则”属于信息处理的合目的性原则，“必要原则”包括禁止过度损害和禁止保障两个方面。在“十四五”规划实施乃至更长的时期内，要严格适用“合法、正当、必要原则”，即使是政府也不能以抽象的公共利益为名，随意进行个人信息处理[12]。这样做有利于弥补意思自治与契约自由的某些缺陷, 矫正个人信息处理者同信息所有者之间失衡的不平等态势[12]，有效保护信息权人对其个人信息的“自主决定”权。《民法典》第1035条尽管没有使用“知情权”“有权知悉”的表述，但是规定了处理个人信息的基本原则。随后出台的《个人信息保护法》第44条就对此做出了明确的法律规定：“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。”第7条、第8条则更具体地规定：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围。”《民法典》和《个人信息保护法》的这些规制，都是为了“保护个人对其个人信息的自主决定”[13]。 “隐私权”与“个人信息保护”的本质区别在于：隐私权为了保护个人生活的安宁而拒绝外人知晓自己的隐私，个人信息保护的目的不是为了拒绝外人知晓、不为人用，而是通过法律规定的“知情同意”途径促进信息的融合利用。

(三)个人信息合法删除的法律规制

“八二宪法”第38条规定“公民的人格尊严不受侵犯”[14]6，它事实上被赋予宪法基本权利一般条款的地位。我国人权条款于2004年入宪后，它便成为了基本的宪法权利，成为《个人信息保护法》“公民个人信息权的内在根据”[6]。《民法典》第1037条规定“个人信息删除权”，它既是人格权请求权的具体体现，也是实施目的限制原则的重要措施。如果属于法律和行政法规规定的“保存期限”尚未届满，信息权人不得擅自行使删除权，但信息处理者应当采取必要的安全保护措施；如果属于信息处理者拒绝信息权利人行使删除权请求的，信息权人可以向法院提起诉讼，以实现对删除权的司法保护[15]。行使删除权的主体是信息权利人，义务主体是个人信息处理者。有学者建议设置“个人信息遗忘权”，认为这是国际社会通行的做法。笔者认为在我国已经设置“删除权”的情势下，没有必要再规定“被遗忘权”[15]。尽管个人信息删除权具有公法的属性，侵害删除权可能导致行政责任发生，但不宜据此将它认定为是公法上的权利。个人信息删除权是私法救济的权利，当信息权人遭受侵害时，可适用《民法典》的有关规定加以救济[16]。《民法典》第1037条赋予信息权人“异议”和“更正”权，同样是信息权人对其个人信息行使“自主决定”权的要素，也是当今国际社会通行的做法。譬如，欧盟《通用数据保护条例》不仅规定了“更正权”的具体内容，而且规定了“更正权”中数据处理者的“通知责任”。《通用数据保护条例》的适用范围，包括位于欧盟并处理个人信息的企业和常设机构，还包括在欧盟提供商品和服务并处理欧盟个人数据的非欧盟企业[10]。人们通常所说的个人信息“异议权”，是指信息权人对信息处理者所掌握的不正确、不全面的信息，有权提出异议并予以改正的权利[10]。从一定意义上说，个人信息异议、更正和删除权的有效实现，既是合法处理和利用个人信息的先决条件，也是更好地、有效地维护个人合法权益的关键性要素。这里重点探讨一下“个人数据删除权”。信息权人启动删除权的一个最直接的动因，是个人信息权益遭遇到违法行为的严重侵害，或者事实上超越了事先约定的范围，信息权人因之而要求信息处理者停止对信息的处理并予以删除。信息处理者拒不删除的，必须依法承担侵权责任。信息处理者对信息权人个人信息超期保存，未履行删除义务的也构成侵权。《个人信息保护法》第45条之所以规定查阅权和复制权(6)《个人信息保护法》第45条规定：“个人有权向个人信息处理者查阅、复制其个人信息”，“个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。”，是因为查阅权和复制权的正当行使，是信息权人决定是否对个人信息实施更正、修改乃至删除的根据。该法第17条规定信息处理者的“告知”义务，即信息处理者应当将对个人信息的处理情况及时告知信息权人。在数字化和数字经济时代，应当允许信息处理者根据情势变更原则改变或增加新的处理目的，但是“应当重新取得个人同意”[12]。建议在未来法律修改时对“不同意就不提供服务”，强行“取得个人同意”等违反自愿原则的效力给予否定评价[17]。总之，《个人信息保护法》完善了《民法典》“删除权的请求情形并补充了例外规定，同时要求个人信息处理者建立个人行使权利的申请受理和处理机制，进一步完善了个人信息在信息处理中的权利”[13]。

(四)侵害个人信息权益的法律规制

《个人信息保护法》第73条规定的“个人信息处理者”，是指“在个人信息处理活动中自主决定处理目的、处理方式的组织、个人”。“侵害个人信息权行为”，是指信息处理者侵害个人信息权益造成损害而应承担民事责任的违法行为[18]。《个人信息保护法》第69条规定了侵权责任，即信息处理者处理个人信息造成个人信息权益损害的，应当承担损害赔偿等侵权责任(7)《个人信息保护法》第69条规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”。然而《个人信息保护法》除了第69条是明文规定的民事责任条款外，其他条款似乎没有明确提到个人信息权益的民事责任问题[18]。其实《个人信息保护法》第69条只是规定了“侵权损害赔偿责任”，关于个人信息权益保护民事责任规定，事实上已贯穿于这部法律的始终，需要依据《民法典》的规定对其予以解读和细分[18]。《民法典》第1164条规定，民事责任保护对应的是权利人所享有的侵权请求权和人格请求权，主要是对个人信息权益遭受损失的经济赔偿；人格请求权对应的民事责任是停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉。设置侵权请求权保护个人信息权益的主要目的是救济损害，它的最大优势和特点是恢复民事权益的完满状态[18]。侵权责任的归责原则是侵权法的灵魂和核心，是保护私权利与保障民事主体利益平衡的校正器。依据《民法典》第1165条、第1166条的规定，民事责任的归责原则主要包括“过错责任原则”“过错推定原则”和“无过错责任原则”三种。适用“过错责任原则”的是一般侵权民事责任，适用“过错推定原则”或者“无过错责任原则”的，必须依照法律的特别规定进行，法律没有明确规定的不可以适用。《民法典》和《个人信息保护法》依据个人信息权益保护的特别需要，规定对侵权责任者适用“过错推定原则”；行为人有证据证明自己“没有过错”的，可以减轻或者免除侵权责任。

三、个人信息权保护的法治路径

(一)已经公开的个人信息适用刑法保护

我国法律规定的公开的个人信息，是指作为信息主体的自然人自行公开的个人信息抑或其他以合法方式予以公开的个人信息[19]。在实践中很难准确地把握个人信息公开的合目的性。譬如，在过去的司法实务中，信息处理者通过某些公开渠道获取公民个人信息，从中整理、筛选出个人信息加以出售的，常常被法院判决构成侵犯公民个人信息罪[20]。随着信息处理技术的快速发展和普遍应用，从互联网海量数据中收集、筛选、配对个人信息变得十分容易，被认定为非法获取和处理的个人信息，很可能在客观上已处于被公开的状态。如果在信息已经公开的状态下，继续对信息处理者科以合目的性要求和义务规定，有可能压缩信息自由的空间，因而合理地界定处理已公开个人信息行为刑事责任边界十分重要[20]。对已公开个人信息的刑事处理，对保护公民个人信息权益固然重要；但是它关涉到能否营造一种自由获取、处理、流通信息的良好社会氛围[20]。这里需要指出的是，随着《民法典》的实施，司法机关对这个问题所持的态度和立场，已经开始发生重大转变。《民法典》第1036条规定，“合理处理该自然人自行公开的或者其他已经合法公开的信息”，“行为人不承担民事责任”；“但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外”。《个人信息保护法》第27条对已公开个人信息的处理，也做出了同样的法律规定，所有这些都是需要在未来的刑事责任判断中加以考虑的。我国学术理论界认为，在司法实践中，权利人公开相关信息的目的不易确定，信息处理者获取、提供、处理信息的目的也很难查明，要实现二者的契合更是难上加难[20]。即是说在个人信息已经客观公开的场合，是否需要对个人信息进行严格的实质保护？是否需要继续对这类行为进行严厉的刑事处罚？有必要依法弄清楚和回答，其侵犯了信息权人的何种法益[20]?因为信息公开不只是服务于某些公共利益，实际上也与信息自由紧密联系在一起。在科学技术突飞猛进的大数据时代，公民个人信息实际上就是经济社会发展的核心竞争力。因此，不能过度压缩其他公民自由获取已公开信息的空间，对已公开信息的收集处理，客观上带来了很大的积极社会效益[20]。因而司法机关对侵犯公民个人信息罪的认定，需要坚持隐私权标准、识别性标准和个人信息权标准并举。“如果不确定统一标准，而是差异化对待获取、处理、再次提供已公开个人信息等行为，可能会引发法律适用上的不统一。”[20]司法机关判断和处理已公开个人信息行为，到底是否构成侵犯公民个人信息罪？关键在于弄清楚该处理行为是否具有“非法性”以及是否“违反国家有关规定”[20]。这并不是法律和司法机关给信息处理者和信息获得者颁发“免责令”和“免罪符”，而是通过平衡保护个人信息权和公众信息自由的方式，尽量妥善地界定“合理处理”的实质性内涵。《民法典》第1036条与《个人信息保护法》第13条、第27条，分别从免责事由与个人信息处理规则的角度，对公开的个人信息处理做出了具体的规范。处理者只有合理处理公开的个人信息，才能免于承担民事责任；除非法律或行政法规另有规定，其告知义务并不当然免除[19]。在“十四五”规划实施期间乃至更长的时期内，需要从个人层面、企业层面和社会层面多措并举，创建打击信息犯罪的新机制，增强针对性攻坚克难能力，以确保侵权救济的实现[21]。

(二)追究个人信息犯罪的刑事责任

侵犯公民个人信息罪是典型的法定犯，理解构成侵犯公民个人信息罪的核心要素，是必须从概念上明晰侵犯的是“公民个人信息”。《中华人民共和国刑法》(以下简称“《刑法》”)第253条之一的规定，从犯罪行为的性质上，认定其为“向他人出售或者提供公民个人信息”[14]1589，使得侵犯公民个人信息犯罪的定性成为铁板钉钉的事实。《刑法》第253条之一的规定，又依据犯罪行为情节的轻重规定了定罪量刑的处罚标准(8)《刑法》第253条之一规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”。这里问题的要害在于：如何对公民个人信息犯罪对象予以合理的阐释和准确圈定？如何准确理解“情节严重”的基本含义？最高人民法院和最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)，使这个问题得到初步解决。即是说《解释》采取“混合认定模式”，从信息类型、信息数量、信息流向及信息用途、违法所得数额、主体身份、主观要素等方面，对“情节严重”做出了具体定性和定量的规定。《个人信息保护法》以保护信息权利人人格权益为目的，在该法第13条和第72条规定，无论信息处理者是国家机关、法人组织抑或个人，也无论处理活动是属于收集、存储、使用、加工，还是传输、提供、公开、删除等，只要不属于《个人信息保护法》规定的排除情形，都必须遵守相关法律规定，只有在合理的范围内处理公开的个人信息，才能依法免除刑事责任追究。个人信息保护、网络安全立法和司法解释，从法律体系上已经比较完备了。但是要真正使用好这个锐利武器，还有诸多理论和实践上的问题需要深入探讨。譬如，需要把“公开信息”和“关联信息”区分开，如果把“关联信息”也一股脑地纳入刑法追究范围，就会认定过宽而阻碍信息有效利用。又譬如，《刑法》第96条对“违反国家有关规定”的规制，明确规定其范围为“违反全国人民代表大会及其常务委员会制定的法律和决定，国务院制定的行政法规、规定的行政措施、发布的决定和命令”[14]1567，但不包括部门规章。这就需要在司法实践中，不断加深对相关规制的理解、不断完善定罪量刑标准[22]。如果继续把部门规章也囊括进“国家有关规定”，势必有违反《刑法》的谦抑性原则和罪刑法定原则之嫌[22]。《解释》将违法所得5 000元以上规定为“情节严重”；将“造成被害人死亡、重伤、精神失常或者绑架等严重后果”，“造成重大经济损失或者恶劣社会影响”规定为“情节特别严重”[23]。侵犯公民个人信息所得信息的用途抑或目的，也是构成“情节严重”的重要要素，在一定范围内把主观不法纳入情节要素，有助于对刑法规范的解释和适用[23]。

(三)个人信息权益保护适用公益诉讼

“法益保护”原则是《刑法》的核心概念，它既是刑罚规范的正当化基础，也是刑法解释的出发点。《刑法修正案(九)》以“侵犯公民个人信息罪”的罪名，取代原来的“出售或者提供公民个人信息罪”[14]1589和“非法获取公民个人信息罪”[14]1589两个罪名，进一步扩大了适用主体的范围，这是我国立法在公民个人信息保护上的一大突破和跨越[24]。法益的《宪法》关联性是说明《刑法》规范正当性的基础，把《刑法》保护法益的概念与《宪法》基本权利的保护联系起来思考，进而把《刑法》保护法益根植于《宪法》基本权利的保护，在当下是一种值得普遍提倡的方式。因为它“可以避免法益变成一个实定刑法下的概念，进而限制立法者对法益内涵恣意创设的自由”[24]。个人信息权益兼具人格利益和财产利益、并存个人利益与公共利益，传统的民事司法救济方式很难解决这样的棘手问题。于是《个人信息保护法》在第七章“法律责任”中，采取行政责任、刑事责任和民事责任相结合的办法，为信息权益受害人提供全面的法律保护[25]。即是说，依据《个人信息保护法》第50条的规定，“个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制”。这条规定实质上为个人信息权利保护，提供了一条新的救济渠道。在个人信息处理者拒绝个人行使权利请求时，信息权益受害人“可以依法向人民法院提起诉讼”。在确定侵害个人信息的责任认定问题上，依据“过错责任推定”原则的规定，如果侵权行为人不能证明自己的行为实属“没有过错”的，应当承担侵权赔偿责任。因此，《个人信息保护法》第69条规定：“处理个人信息侵害个人信息权益造成损害，个人信息处理者不能证明自己没有过错的，应当承担损害赔偿等侵权责任。”《民法典》对个人信息侵权也采取了“过错责任推定”的原则。采取“过错责任推定”原则有利于减轻受害人的举证负担，也有利于强化信息处理者的举证义务。《个人信息保护法》还引入了“公益诉讼制度”(9)《个人信息保护法》第70条规定：“个人信息处理者违反本法规定处理个人信息，侵害众多个人的权益的，人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼。”，这是对个人隐私和个人信息侵权予以救济的重大制度创新。个人信息权益保护适用公益诉讼的重大制度安排，提升了个人信息保护的力度，从根本上解决了利用互联网进行个人信息侵权的治理难题，为规范非法处理个人信息侵害众多个人权益的行为提供了公益诉讼的法律依据[26]。在“十四五”期间乃至更长的时期内，需要从救济程序上建立健全相应的投诉处理机制，逐渐形成多维并进的程序救济体系[27]。尤其要从侵权责任角度思考有条件承认“预期侵权制度”，正视和肯定被侵权的风险并予以赔偿，以此完成个人信息侵权损害救济[28]。需要明确地提醒和慎重指出的是行政责任、刑事责任的着眼点，是通过行政处罚抑或刑罚的途径和方式，制裁实施违法行为侵害个人信息权益的组织或者个人，罚款、罚金等都不是对受到损害的个人的给付，而是依法上缴国库。民事责任既为国家负责又为受害者负责，所有通过制裁手段获得的财产赔偿款直接给予受害人，以救济和填补所遭受的财产损失和精神损害[18]。