侵犯公民个人信息罪的法益转向
——从个人法益到信息管理秩序

刘古琛

（中南财经政法大学，武汉 430073）

近些年随着信息技术的高速发展，传统的个人信息保护手段受到巨大的冲击。个人信息经由信息技术的数据化处理，成为信息时代大数据不可或缺的一部分，其蕴含的经济价值和社会价值日益凸显。技术革新促使个人信息的属性发生改变，对于刑法规定的侵犯公民个人信息罪的法益也应随之进行重新分析。近些年学界对本罪的法益争论不休，出现私法益说和公法益说的对垒。本文通过分析信息技术发展带来的社会变化和个人信息属性的变化，对侵犯公民个人信息罪的法益进行辨析，利用外在价值审核和内在教义学检验的方法证明信息管理秩序作为本罪法益的合理性。

一、信息时代背景下公域—私域界限和个人信息属性的改变

一般意义上的个人信息是指与具体个人相关联的信息，包含已经公开的信息和涉及隐私的信息等。在传统社会背景下，刑法侧重于保护个人私密信息，而当社会发展进入信息时代后，私密信息与传统的公开信息之间的界限变得模糊，使得传统的分类保护模式无法继续提供有效的保护。与此同时，数据分析能力的提升导致个人信息内在的经济价值和社会属性逐渐被发现。

（一）公域—私域界限的改变

在传统视角下，依据社会契约论，没有委托给主权者管理而留给个人自主处理的领域属于私域。私域是私人生活领域，其特质为私人性，是他人、社会和国家无权干预的领域。而公域包括两种含义，一是指国家，二是指社会或黑格尔哲学中的市民社会。现代法律通过推行私域自治，保护与身体、私密处所和社会交往相关的人身财产权益免受外来的侵害，为个人构筑起一个在物理上可实现自由支配的空间，并以此与公共空间相区分［1］。传统公域和私域的划分在法律上也可以理解为是对权力行使边界的界定。在公域范围内，为保护公共利益和维护社会管理秩序，权力应主动出击；而在私域范围内，权力的介入是为了保障个人权利的实现和为私域自治提供保护。因此法律对私域采取消极保护态度，只有当私域内的个人信息受到未经权利主体同意的第三人侵害时，法律才会介入和干预。

传统公域与私域之间的界限在人类社会进入信息时代后发生了变化。技术的发展使得个人可以随时随地进入互联网。网络连接着社会生活的各个方面，成为人们工作和生活必不可少的一部分，由此弥合了私人领域与公共领域之间的物理界限。物理界限被打破后，大量私域中的个人信息涌入公域，导致个人信息及其处理不再为个人所控制，个人对于传统意义上的私域空间无法再进行自由支配。这使得建立在传统公域和私域界分基础上的法律也难以实现对私域自治秩序的维护。同时，在信息时代，人人都是信息的发布者和传播者，信息的流转频率大幅增加，传播范围也大幅扩大，信息接收者无法识别获得的信息是否为权利人所知情同意，信息权利人也无法完成对每一次信息处理的授权。这导致知情同意原则下的个人信息安全失去保障，权利逐渐被虚化：在权利的开端，同意权被虚化为不必阅读具体内容的点击操作；在权利末端，用户的损害赔偿权因为难以计算个人信息的价值或难以举证而沦为“纸面上的权利”；在权利的维护上，站在第一线的都是监管机构，而不是权利人［2］。因此，传统的法律保护模式无法继续充分发挥维护社会秩序和保障公民权益的功能，必须对法律做出新的解释以应对信息时代产生的新问题。

（二）个人信息的经济价值和社会价值的发现

计算机信息技术的发展带来大数据的繁荣。大数据时代的显著特征之一是海量的个人数据被收集、分析和利用，海量数据市场被认为将取代传统货币市场，数据带来的经济重启将深刻地改变市场运作的基本机制，重塑人们所熟悉的资本主义经济，其重要性堪比工业革命［3］。在信息时代来临之前，由于技术的欠缺个人信息收集缓慢且数量不足，个人信息的经济价值和社会属性未能显现出来。随着当下时代从“技术就是生产力”到“知识就是生产力”再到“信息就是生产力”的转化，以及云计算、物联网和大数据的应用与发展，个人信息成为大数据时代的重要财富［4］。互联网公司利用网络技术，通过对用户注册数据、浏览行动轨迹等信息的收集和分析，可以将孤立的个人信息相互连接，从大量的信息中发现个人的行为规律。借助大数据的精密计算，互联网公司能够轻易察觉个人的喜好，而后可以据此有针对性地推送商品和服务等信息，进而获得经济利益。实际上，个人信息的价值并不仅限于此，大量的个人信息经过处理后甚至可以识别人种的一般生物信息。这些信息虽然具有研究价值但也存在危害国家安全的可能。因此，随着计算机信息技术的发展，个人信息的内在价值被不断地挖掘，其经济价值和社会属性日益受到人们的重视。随着个人信息的经济价值和社会属性的发现，侵犯公民个人信息罪的行为对象的属性也发生了改变，仍将本罪限定于对个人隐私的保护已经落后于社会的发展。

二、侵犯公民个人信息罪法益的展开

学界对于侵犯公民个人信息罪的法益一直争论不休，学者们的观点大体可分为两类：一类观点认为该罪侵犯的是私法益，是对公民个人利益的侵害；另一类观点认为该罪侵犯的是公法益，是对秩序法益的侵犯。而在私法益和公法益主张内部也存在着不同的具体观点。

（一）侵犯公民个人信息罪私法益的内涵及缺陷

学界主张侵犯公民个人信息罪保护私法益的观点大致分为以下3种：人格权说、人格利益和财产利益说［5］以及个人信息自决权说［6］。首先，在主张人格权说的学者中，有的将该罪的法益解释为具体人格权即隐私权［7］，有的解释为一般人格权即人格尊严与个人自由［8］。他们认为，对公民个人信息的侵犯会带来公民隐私的泄露，从而导致被害人的人格尊严受到侵害，造成被害人人格利益的损失，因此应当将法益解释为人格权。其次，主张侵害的法益为人格利益和财产利益的学者认为，侵犯公民个人信息的行为不仅造成被害人人格利益的损失，而且未经被害人同意不当获得了个人信息背后的经济利益。最后，主张侵害的法益为个人信息自决权的学者认为，个人信息属于个人所有，个人有权对其所有的信息进行处分，享有对这些信息的许可使用、删除等权利。

上述私法益的主张并非没有问题。首先，它们忽视了技术发展背景下个人信息属性的变化，致使刑法的保护存在缺陷。一方面，如前所述，当下个人信息不再仅仅具有个人属性，而具有一定的经济价值和社会属性。在传统技术条件下，犯罪行为只能侵害个人信息的表层内容即个人隐私，而无法利用其蕴含的经济价值，但随着信息技术的发展，犯罪行为侵害的客体已经发生变化。同时技术的革新使个人信息不再仅仅与个人相关，而且与社会经济、政治等产生关联，因此在大数据时代仍将该罪的保护对象限于私法益便不再合理。另一方面，私法益的主张强调对孤立个体的保护与实际的社会生活不相符，无法实现侵犯公民个人信息罪法益保护的全部功能。现代信息社会、网络社会、风险社会的相伴而来，改变了人们的生活和生产方式，也带来新的社会矛盾和难题，引发新的安全风险，因此人们更加强调秩序和安全的价值［9］。在法律领域，刑法对法益的保护不能再局限于具体的个人而应向整体的“我们”进行转变，那种基于“我”的个体主义的自由观只具有规范性意义上的可能性，而无经验性意义上的现实性，以此为基础无法构建社会正义秩序，而只有基于相互承认关系并因此强调“我们”的社会自由观才具有现实性［10］。

其次，它们忽视了犯罪行为对于个人信息管理秩序的破坏。在传统的个人信息传播中，技术的欠发达导致传播速度较慢、范围较小，知情同意原则由此得以发挥作用。当下的技术发展大大提升了个人信息的传播速度、扩大了传播范围，信息发布后可能很快就被第三方转发，信息主体无法对所有转发主体做出同意授权，传统的知情同意原则因此面临挑战。为了实现对个人信息的有效保护，法律只能规定由一定的社会信息管理部门来履行保护义务，由此对个人信息的侵犯就不再仅仅是对公民个人私法益的侵害，而且也是对社会管理秩序的破坏。

（二）侵犯公民个人信息罪公法益的内涵及不足

学界主张侵犯公民个人信息罪保护公法益的观点主要有公共信息安全说［11］和信息专有权说［12］。主张公共信息安全说的学者从被害人教义学的角度基于法益保护的可能性和必要性，认为只有对一定数量且具有社会价值的个人信息的侵犯才能构成本罪。信息专有权说认为本罪保护的法益是具备实质权利内涵的集体法益，具体为信息专有权即法定主体对于所占有个人信息的处分权限。该观点强调信息时代个人信息的社会保护，即个人信息由有权的信息机构专有，其他主体不能非法获取和利用。在现代技术背景下，个体对个人信息的支配能力减弱，需要由国家代替公民实现对个人信息的保护，而且侵犯公民个人信息的行为造成的损害不再仅仅限于信息主体个人，也会对信息主体周边的第三人甚至陌生人造成不利影响。所以学界呈现出将本罪的法益解释为公法益的倾向。

然而主张侵犯公民个人信息罪保护公法益的观点存在如下问题。首先，一般而言，刑法将某种利益确定为公法益是因为这种利益非常重要，一旦被侵害将造成严重的社会危害。而对于个人信息而言，其并不涉及刑法中非常重要的利益，因此不需要将侵犯公民个人信息罪保护的法益上升为公法益。其次，认为本罪侵犯的法益是公共信息安全的主张忽视了对严重侵害个人信息和侵害少量但涉及重大利益的个人信息的行为的规制，导致个人信息的保护存在法律漏洞。最后，认为本罪法益为信息专有权的观点忽视了个人信息与信息主体的关系，信息主体的信息自决权在授权机构收集个人信息后并未被剥夺。

三、侵犯公民个人信息罪信息管理秩序法益的提出

笔者认为，侵犯公民个人信息罪保护的法益是信息管理秩序。法律将个人信息分为一般隐私信息和涉及公共利益的信息进行分类保护：对于一般隐私信息，在现有知情同意原则的基础上，将信息的管理义务交给互联网公司，由互联网公司对收集的个人隐私信息进行严格管理，并且对被泄露的个人隐私信息承担“通知删除”义务，以实现对个人隐私信息的社会保护；对于涉及公共利益的信息，则由信息管理部门依法进行管理。由此国家通过对信息的分类保护，对个人信息实行社会化管理，使个人信息保护成为社会管理的一部分，从而形成独立的信息管理秩序。

信息管理秩序作为独立的法益与其他公法益有所不同。第一，信息管理秩序法益不同于传统的秩序法益，其不仅强调对集体利益的保护也在一定程度上尊重个体自由。传统的秩序法益强调对集体利益的维护，故而存在侵犯个体利益的危险。而且集体法益并不隶属于个人法益，其根本的特征恰恰在于不可分配性。集体法益是一个整体上不可分的客体，无论是国家安全、司法秩序还是社会的金融秩序、市场秩序，它们都可以被每个人平等、完整地享有，但是无法被分配或归属于个人［13］。而在对信息管理秩序法益的保护中，涉及公共利益的个人信息由具有公共事务管理权限的信息管理部门实施管理，这与传统的秩序法益的保护方式相同；对于一般隐私信息则允许信息主体自由行使权利，信息主体可以基于知情同意原则授权第三人获取和利用。

第二，信息管理秩序不同于公共信息安全，在强调维护秩序的同时也主张发挥个人信息的社会价值。公共信息安全说认为个人信息具有公共属性，应当由国家公权力给予保护，片面地强调个人信息的安全保障。但在大数据时代，信息就是财富，对个人信息的严格控制将使信息无法发挥其蕴含的经济和社会价值，这与现代社会的发展要求和趋势相悖。而信息管理秩序着眼于个人信息的合理获取和利用。互联网公司可以依法收集和利用个人信息，通过发掘其中的价值促进社会经济的发展，同时国家机关也可以依法收集个人信息并加以合理利用。因此信息管理秩序法益的保护并不排斥对个人信息价值的开发利用，只是要求对个人信息的处理应当遵守法律规定。换言之，信息管理秩序的表层含义是对信息的获取和利用进行规制以防信息泄露和滥用，深层含义则是保护对个人信息合法、正当的获取和利用，是对其蕴含的经济价值和社会价值的保护。

第三，信息管理秩序揭示了侵犯公民个人信息行为的实质，回应了社会和时代的需求。一方面，侵犯公民个人信息行为可以分为非法获取和非法使用两类，本质上都违反了个人信息的获取和使用规范，故侵犯公民个人信息行为的实质是对信息管理秩序的破坏。另一方面，在信息时代，网络世界拉近了人与人之间的距离，也打破了公域和私域的界限，人们由此感到不安，要求法律介入和提供保护。同时出于秩序管理和经济发展的考虑，社会也要求法律对侵犯公民个人信息的行为进行规制，以实现对个人信息社会价值的保护和利用。因此，社会和时代的发展要求侵犯公民个人信息罪的法益从私法益向公法益转向，不仅保护公民的个人信息以减少信息泄露产生的不安，而且保护对个人信息合法、正当的收集和利用，在维持社会秩序的同时促进经济的发展。

四、信息管理秩序法益的证成

功能主义刑法学认为法律是人为构建之物，构建法律必然出于某种目的，所有把法律当作自然之物那样去探寻其本质或本体的做法是错误的，而只有在对目的的考虑之中才能获得对法律的真正理解［14］。刑法系统作为社会系统中的一部分，不仅在内部进行封闭的运作，而且与外界环境保持结构耦合的关系。在与外界环境的沟通中，刑法系统外部的价值通过“目的”的渠道引入刑法系统内部，而后进行内部的教义学检验，最终将其内化为刑法系统内部的价值并参与系统内部的闭合运作。因此以目的为导向的犯罪论体系关照现实生活，对生活保持开放状态，与古典犯罪论体系等建立在存在论基础上的传统犯罪论体系相比，其更具灵活性和适应性，也更有利于实现个案公正［15］。

（一）环境外部价值审查

所有法律规范都是对诸多相近社会事实的类型化命名和处理［16］，刑法规范所规定的内容也是对社会事实的回应。因此在考虑具体法益是否需要变更时应当对具体刑法规范赖以建构的社会事实进行还原，以判断法律规范赖以存在的保护法益是否存在、是否有价值、以刑法保护是否具有必要，进而确定个罪保护的法益是否具有真实性、必要性与价值性［17］。为此，下文拟通过事实还原的方法考察侵犯公民个人信息罪所调整的社会事实因信息技术发展而发生的变化，以及基于新的社会事实形成的价值是否具有进入刑法系统的必要性。

侵犯公民个人信息的行为最初出现在《中华人民共和国刑法修正案（七）》中，以非法出售、提供公民个人信息罪和非法获取公民个人信息罪进行规制，之后《中华人民共和国刑法修正案（九）》正式规定了侵犯公民个人信息罪。随着信息时代的到来，大量的个人信息被存储在互联网公司中，互联网公司侵犯公民个人信息的危险超过了个体侵犯个人信息的危险。同时，个人信息的隐私属性逐渐减弱，其经济价值和社会属性日益上升，对大量个人信息的分析和计算能够提高政府的管理效能，为企业带来可观的经济效益。由于侵犯公民个人信息罪的行为主体和侵害对象发生了变化，导致个人信息的规范获取和利用成为新的社会事实的核心价值。

在确定新的价值为信息的规范获取和利用，即信息管理秩序后，需要证明其与刑法的目的相符合、具有刑法相当性。首先，刑法的功能不是保护被确定为法益的利益，而是保护各种利益免受特定方式的攻击［18］，因此刑法规制侵犯公民个人信息行为的目的之一是保护公民个人信息不受非法侵害。而国家建立和维护信息管理秩序的目的正是为个人信息的合理利用提供合法途径，在发挥个人信息内在价值的同时禁止非法侵害个人信息。其次，刑法对犯罪行为进行否定性评价的最终目的在于预防犯罪、实现刑法的社会功能。而信息管理秩序的建立让公民能够预测获取和利用个人信息的法律后果，根据法律规定约束和调整自身行为，由此有助于实现刑法预防犯罪的目的。因此，维护信息管理秩序符合侵犯公民个人信息罪的立法目的，信息管理秩序属于需要刑法保护的社会价值。

（二）教义学内部价值检验

当刑法外部价值经检验被认为与刑法的保护目的一致、具有刑法保护的必要性后，该价值就可以通过“目的”的渠道进入系统内部进行教义学评价。外在价值进入刑法系统内部后，首先面临的是合宪性审查，即确认是否能在宪法中找到价值保护的依据，然后需要接受刑法内部的体系性检验，审查该价值是否符合刑法教义学的要求，是否能够被刑法系统吸收内化为内在价值。

1.宪法价值审查

宪法是一个国家的根本法，是刑事立法的依据。刑法保护的法益必须是宪法认可的价值，只有如此刑法的正当性才有法律依据。因此当刑法保护的法益发生变更时，需要审查变更后的法益是否仍在宪法的价值范围内，以确认新法益的正当性。我国《宪法》第38条规定公民的人格尊严不受侵犯，第53条规定公民必须遵守宪法、法律和公共秩序。在信息管理秩序中，一方面，虽然部分个人信息具有个人隐私的属性，但是由于技术的发展造成个人对信息的控制能力下降，因此法律规定由互联网公司代替个人对个人信息实施控制。对于经权利人知情同意后获取的个人信息，互联网公司负有依法保护、防止泄露和“通知删除”等义务。另一方面，随着个人信息蕴含的经济价值和社会属性日益凸显，为防止信息被泄露和不当利用而损害公共利益，国家不断健全有关个人信息处理的法律制度以规制个人信息的获取和利用行为，同时充分发挥个人信息的社会价值。可见，信息管理秩序的价值在于对个人信息处理中公民个人利益和公共利益的保护，与宪法保护个人利益和维护社会秩序的要求一致，因此可以将其解释为宪法价值的一部分。

2.刑法体系性审查

刑法体系性审查作为最后一个审查环节，对外在价值能否转化为刑法的内在价值具有关键作用。刑法体系性审查包括两个方面，一是审查该价值是否符合刑法目的，二是审查对该价值的保护是否与刑法内部体系相协调。在审查过程中，就价值面向而言，应当审查对罪刑规范目的所做的相应解读是否符合相关章节的规范目的，是否符合刑法的整体目的；从逻辑面向来说，主要审查法条之间是否存在逻辑上的矛盾，是否导致某些规范成为多余，或者导致不必要的处罚漏洞等［19］。

首先，对于以信息管理秩序为侵犯公民个人信息罪的法益是否符合刑法目的，可以引入比例原则作为审查工具。比例原则作为行政法的重要原则，近些年被大量运用于刑法解释，成为刑法内部价值审查的重要方法。“比例原则对法益保护原则的补充，主要不是实体内容的补充，而是审查方式的补充。”［20］按照通说，根据比例原则采取的措施应当满足以下3个方面的要求：“（1）妥当性，即采取的措施可以实现追求的目的；（2）必要性，即除采取措施之外，没有其他给关系人或公众造成更少损害的适当措施；（3）相称性，即采取的必要措施与其追求的结果之间并非不成比例。”［21］从侵犯公民个人信息罪来看，在妥当性层面，本罪的规范目的是在预防公民个人信息遭受侵害的基础上实现对个人信息的合理利用。而信息管理秩序本质上是一种社会管理秩序，要求国家对个人信息实施有效管理，在禁止不当侵害的同时发挥个人信息的价值。为此，法律通过设定个人信息的合理获取和利用规则，既向社会大众宣告与该规则相悖、破坏信息管理秩序的行为属于违法或犯罪行为，也为合理利用个人信息的价值提供规范和保障，可见确立信息管理秩序法益具有妥当性。在必要性层面，信息管理秩序要求对个人信息的获取和利用行为进行限制，由此必然损害公民的部分自由。然而与对其他公法益的保护不同，对信息管理秩序法益的保护不仅承认社会信息管理部门对个人信息的管理，而且尊重个人对信息的自由处分，尽可能在对个人信息权益造成最小损害的前提下实现个人信息的保护和利用。因此，在信息管理秩序中法律既赋予互联网公司等依法收集和利用个人信息的权利，又确认和保护信息主体的知情同意权等权利。在相称性层面，将本罪的法益确定为信息管理秩序后，规范造成的损害是对信息主体的个人信息权益的限制，个体对部分自身信息不再享有排除他人使用的专属权。然而信息管理秩序在限制个人信息完全自决的同时也将保护与促进对于个人信息经济价值和社会价值的利用，并将最终以大数据医疗、政府资源合理配置等方式回馈于个体；同时信息管理秩序的确立重新划定了个人信息的刑法保护范围，不仅有助于规制侵犯公民个人信息的行为，而且能够阻断以个人信息的非法获取和利用为前置行为的下游犯罪。因此，规范造成的对信息自决自由的损害与规范追求的结果之间是成比例的。

其次，对于信息管理秩序法益是否与刑法内部体系相协调，应当主要审查侵犯公民个人信息罪的构成要件与其他犯罪之间的关系。因此，从刑法体系内部来看，信息管理秩序作为侵犯公民个人信息罪的法益首先应当能够在其规范表述中给予解释。笔者认为，对于信息管理秩序的解释可以从《刑法》第253条之一中的“违反国家有关规定”入手。学者们对于“违反国家有关规定”的讨论集中在“国家规定”的具体内涵上，也有部分学者将“违反国家有关规定”解释为违法阻却事由或者构成要件要素。笔者认为，“违反国家有关规定”属于侵犯公民个人信息罪的构成要件要素，它是对行为不法性质的表述，意味着该行为扰乱了国家通过“有关规定”确立的信息管理秩序。因此，将侵犯公民个人信息罪的法益解释为信息管理秩序于法有据。

从整个刑法体系来看，侵犯公民个人信息的行为可能是其他犯罪的前置行为，侵犯公民个人信息罪可能成为非法利用个人信息实施的其他犯罪的上游犯罪。因此，将侵犯公民个人信息罪的法益确定为信息管理秩序，有助于从源头切断为下游相关犯罪提供个人信息的渠道，从而实现刑法整体预防的效果。例如，近年来我国电信诈骗持续高发的重要原因之一就是个人信息泄露问题比较严重，行为人利用受害者的个人信息使其陷入错误认识进而最终被骗。因此，为了有效遏制电信诈骗犯罪，国家必须建立更加完善的个人信息管理和保护制度，加大对破坏信息管理秩序行为的处罚力度，阻断电信诈骗所需的个人信息的来源。