论公民个人信息刑事保护的疏漏与完善

陈卓

【摘要】个人信息立法最早从刑法领域展开，刑法先于民法、行政法的立法节奏极易引发保护体系的不协调，《个人信息保护法》出台后，行刑衔接问题逐渐凸显。一方面，刑法规制的侵犯公民个人信息的行为类型有限，仅依靠法律解释难以实现保护范围的扩张；另一方面，侵犯公民个人信息罪作为行政犯，前置法作出的违法性评价对定罪有着重要影响，不当引用前置法极易导致刑事保护范围的非理性扩张。对此，可在明确刑事犯罪与行政违法边界的前提下，将刑事法调整范围扩张至所有信息处理行为，尽量实现侵犯公民个人信息罪规制范围的全面。同时，通过明示法规法保护目的的方式为侵犯公民个人信息罪划定合理的边界，避免处罚范围的不当扩张，实现合理的限缩并指引司法适用。

【关键词】刑法先行；行刑衔接；保护疏漏；扩张风险

【中图分类号】D924.34    【文献标识码】A    【文章编号】1672-4860（2023）05-0017-07

信息网络时代，个人信息保护的重要性不言而喻，行踪轨迹、通信内容、征信、财产等信息被违法获取、使用，极易引发公民的人身、财产等法益被侵害的风险。因此，刑法先于前置法对个人信息保护问题进行了回应，形成了以刑法为主导的个人信息保护法律体系。但刑法先行、民法跟进、行政法补充的立法节奏必然会导致法律体系的不协调，招致对刑法干预早期化、社会治理刑法化的批评，并引发行刑衔接困境[1]。

一、公民个人信息保护的立法历程

大数据时代，个人信息犯罪极具隐秘性，刑法以外的其他救济手段并威慑性不足，难以遏制大规模针对个人信息的违法、犯罪活动。因此，我国最初选择通过刑事手段对个人信息提供保护，个人信息立法经历了“刑事先行，民事跟进，行政补充”的发展过程。

（一）刑事先行的个人信息保护立法历程

2009年《刑法修正案（七）》首次将个人信息纳入刑法保护范围，增设出售、非法提供公民个人信息罪及非法获取公民个人信息罪。彼时前置法中尚未有专门的个人信息保护条款，两项罪名的出台填补了立法空白。2015年《刑法修正案（九）》将两罪合并为“侵犯公民个人信息罪”，扩大了犯罪主体范围，违法出售或者提供公民个人信息的行为将会构成犯罪。为解决司法实践中的适用争议，2017年最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）以及2018年最高人民检察院在《检察机关办理侵犯公民个人信息案件指引》中进一步扩张了侵犯公民个人信息罪的使用范围。综合来看，我国早期个人信息的保护主要是由刑法完成的。

（二）前置法层面个人信息保护法的立法历程

鉴于个人信息保护的重要性，2017年出台的《中华人民共和国民法总则》及2020年颁行的《中华人民共和国民法典》将个人信息纳入保护范围，囿于民事保护的有限性和被动性，个人信息还需要除刑法之外的其他公法部门的保护。行政法领域，《电子商务法》《消费者权益保护法》《商业银行法》等多部法律陆续对个人信息保护的问题进行了回应，但适用范围却极为有限。随着网络空间与现实空间的交叉融合^[2]，个人信息保护难度增大，亟待制定专门保护个人信息的专门行政立法。

2021年《个人信息保护法》出台，标志着我国构建信息社会基础性法律的目标基本达成^[3]。该法采取了行政、刑事相混合的法律责任体系，可视情况对于违法处理个人信息的行為予以行政处罚或追究刑事责任。但囿于“制定一部统一的、比较完备的刑法典”立法指导思想以及20余年刑法修订完善实践形成的惯性和认知^[4]，《个人信息保护法》中的刑事责任条款仅是宣示性规定，并不能独立适用，追究侵害个人信息者的刑事责任仍旧需要以刑法分则的规定为准。

刑法与行政法的价值追求各有侧重，前者以公正为价值追求，后者以维护秩序为主要目的。治理违法行为应当遵循行政不法与犯罪之间的“包容性原理”，即“立法者对于行政处罚应当尽量优先使用，只有在行为人的违法行为造成严重后果、侵害重大利益的情况下，才可以考虑使用刑事制裁手段”^[5]。“包容性原理”尤为强调刑法的谦抑性和最后手段性，只有其他治理手段“无法有效地调整具有特殊重要性的社会关系”^[6]，才能由作为社会治理的最后法和保障法的刑法介入，且刑法“应该保持克制而不应该成为治理犯罪的主要手段”^[7]，只有行为造成秩序背后严重的法益侵害时^[8]，才应考虑将之作为犯罪处理。这便要求行政立法应先于刑事立法制定，刑事立法应对具有严重法益侵害性的行政违法进行筛选后，才进行二次调整。但个人信息的立法却呈现相反的次序，且由于刑事立法先于行政立法，《个人信息保护法》中的内容难以与刑事罪名实现良好的衔接，反而引发司法实践中的种种问题。

二、《个人信息保护法》中“处理”行为的分析

刑法主要打击非法的个人信息流转及非法出售个人信息的行为，而《个人信息保护法》禁止的是非法收集、存储、使用、加工、传输、提供、公开、删除等处理个人信息的行为，关注个人信息获取、使用和流转的全过程。相较之下，《刑法》对个人信息的保护范围明显较小。为应对实践中层出不穷的侵害个人信息行为，司法解释不断扩张刑法的保护范围。但仍有部分具有严重的社会危害性非法处理个人信息的行为未受到刑法调整，例如非法使用、非法加工个人信息等。当然，这也不仅是立法次序的反常导致的。受刑法条文用语涵摄范围的限制，仅通过扩张解释的方法难以应对实践中日益复杂的侵犯个人信息现象，也难以与《个人信息保护法》实现良好的衔接。对此，应当发现《个人信息保护法》与《刑法》规制对象的差异，在此基础上筛选值得进入刑法调整范围的情形，寻找扩充刑法保护范围的合理路径。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等行为，这涵盖了信息从形成到消亡的生命周期全流程。在作详细分析之前应明确的是，立法规定的多个“处理”行为在实践中存在重合或吸收的现象，如加工或使用行为必然涉及存储行为等。应当认为，立法规制的这几类处理行为应作目的性限缩解释，即专指相互分离的、能够独立被评价的行为。以下结合个人信息的生命周期（图1），对处理行为中的具体情形分别进行分析。

（一）收集行为

个人信息的收集是其信息生命周期的起点，收集信息是指对特定个人信息从无到有的取得过程。《刑法》中使用了“获得”和“获取”的表述，《民法典》中则使用了“收集”和“获取”的表述。“获得”和“获取”为同义词，意为“得到、取得”，从行为结果来看，收集、获得及获取行为都能实现对一定事物的从无到有。

（二）存储行为

个人信息的储存行为信息贯穿信息生命周期的全过程。“存储”行为的本质是将掌控的个人信息调整为随时可调取、使用的状态。从《个人信息保护法》第36条、第40条和第41条规定来看，立法并不禁止单纯“存储”行为，而关注的是信息存储地点及与之相关的安全问题。信息的存储不同于传统意义上的有形物，信息具有无形性，既不会发生物理上的控制和占有，也不会因为使用而导致客观的损耗^[9]。且存储行为具有独立性，信息的收集、存储行为也可由不同的主体完成。刑法也未禁止非法存储、占有、持有个人信息的行为。

（三）使用、加工行为

在完成个人信息的收集和存储后，通常会进入使用环节，由于使用行为通常带有一定的目的性，因而常与加工行为联系在一起。从文义上看，“使用”即为某种目的而运用、利用某物，在个人信息领域，分析个人的消费记录、浏览记录后定向向其投送广告，根据个人信息在本人不知情的情况下为其办理电信、互联网、银行业务，甚至根据掌握的个人信息跟踪、骚扰等都属于使用信息的范畴。由于使用的形式多样，《个人信息保护法》并未一一列举，这也加大了法律适用难度。应对使用信息的行为进行目的性限缩解释，关注以姓名、出生日期、身份证件号码、生物识别信息等个人信息的实质内容为对象的使用行为。在文义上，“加工”是指通过一定的工序将原材料、半成品转化为目标需求物的过程。根据立法，任何组织、个人不得非法使用、加工个人信息，也不得从事与危害国家安全、公共利益有关的行为。换言之，如果前一阶段的收集行为合法，那么为实现最初收集个人信息的目的而实施的使用行为，或为使用而实施的加工行为都不会受到禁止。

（四）传输、提供、公开行为

从信息生命周期来看，传输、提供、公开等并不是必经的发展阶段，常与其他处理信息的行为交织在一起。《个人信息保护法》对传输、提供、公开行为并未作出太多规定，因此，明確区分三者的行为边界并不容易，需要结合立法目的和其他立法规定对三者作目的性限缩解释。

首先，广义上的“传输”是指个人信息的传递、流通过程。结合《网络安全法》第47条规定，《个人信息保护法》中的“传输”应当指提供传输途径、服务的主体所实施的传输行为。实践中，大量的、成规模的个人信息通常以电子数据形式存储，不同主体之间的流转难以独立实施完成，需要借助专门的途径和服务。对非法传输个人信息行为的限制便有较大意义。其次，关于“提供”与“公开”个人信息行为的区分，应当从二者的行为结构和后果入手。根据文义，“提供”意为提出、供给资料、物资、条件的行为，“公开”则指将相对秘密的事物公之于众，使不特定主体能够接触、掌握，二者的主要差异就在于接收个人信息的对象是否特定。“提供”信息行为的供需双方具有特定性，体现为双方当事人就一定的物在内容、数量方面形成合意后按照约定的方式完成标的物的给付与接收。而“公开”则是指行为人将掌握的个人信息向不特定的多数人公开的活动，其后果是本不能接触到特定个人信息者都可由此接触到个人信息，信息获得主体具有广泛性、不特定性。

（五）删除行为

个人信息的删除是其信息生命周期的终点，体现为被固化在一定载体上的个人信息的消亡。《个人信息保护法》即规定了个人信息处理者的积极义务，在一定情况下必须删除个人信息的行为，属命令性规范。但并未设立禁止性规范，即未对个人信息处理者不得删除其持有的个人信息的情形作出规制。就此来看，立法实际上是对“删除”作出了缩小解释，尽量避免个人信息被他人持有以减少安全风险。但是，无论个人信息处理者违反的是禁止性规范还是命令性规范，《刑法》都未作规制。

三、侵犯公民个人信息罪的立法目的与衔接障碍

（一）刑法规范的保护目的解析

刑法对个人信息的保护与对其他人身、民主、财产权利的保护存在很大差异。其他罪名都是禁止那些直接造成法益损害或具有造成法益损害危险的行为，如侵犯人身犯罪必然会损害他人的身体权、健康权或自由权，侵犯财产犯罪会体现为对占有状态或财产本身的损害等等。但是，个人信息本质上是一种没有物理边界的、特定的信息^[10]，本身无法被“侵犯”，更不会因犯罪行为而发生内容上的改变或损毁。在此意义上，侵犯公民个人信息罪与知识产权犯罪中的侵犯商业秘密罪具有一定的共性，刑法设立两项罪名均是为了遏制违法获取、提供信息的行为。结合司法解释规定的入罪标准，刑法之所以禁止这些行为，目的在于避免因特定信息的非法流转而造成法益侵害风险。就如侵犯商业秘密罪以泄露商业秘密造成权利人的损失为主要入罪标准，侵犯个人信息罪也以个人信息的不当流转而造成公民人身、财产等法益面临他人违法犯罪行为侵害的风险作为入罪衡量要素。

（二）行刑衔接疏漏

《个人信息保护法》规制的是处理个人信息的行为，而《刑法》规制的是非法获取、提供个人信息的行为，当下亟待解决的难题是如何实现二者的衔接。囿于刑事立法早于《个人信息保护法》，难免有一定的滞后性，加之现有罪名仅规制有限几种行为，极可能导致刑事保护范围的疏漏。前文提及，刑事立法意在通过禁止个人信息的非法获取、提供等对个人人身、财产安全有影响的行为来避免法益侵害风险，但这并不意味着其他个人信息处理行为没有风险。如果说非法公开个人信息的行为尚且能通过实质解释将之归入“非法提供”的范畴，受制于法律解释方式及解释的限度，其他非法处理个人信息的行为即使具有与非法提供、获取行为相当的危害性，也难以纳入现有刑事立法规制范畴。结合实践来看，以下几种非法处理个人信息具有相当法益危险性，值得关注。

第一，不当存储个人信息的行为。当前，不当存储行为主要包括两类情形：一是个人信息处理者存在《个人信息保护法》第四十七条的情形，应当主动删除个人信息而未删除；二是个人信息处理者虽不存在立法规定不应存储个人信息的情形，但存储行为本身存在可能造成个人信息泄漏等安全风险。第一种情形的风险在于个人信息处理者已经没有继续存储个人信息的合法基础或必要性，继续存储个人信息可能造成非法使用、泄漏等危及公民个人人身、财产安全的风险。第二种情形的风险在于，个人信息处理者虽然具有存储个人信息的合法基础和必要性，但因自身主客观原因而导致存储行为存在安全风险。根据现有刑事立法，存储行为不能被解释为获取或提供行为，一旦出现因不当存储行为造成公民人身、财产安全风险，甚至已经造成了法益损害，那么很难通过法律解释方法扩张刑法适用范围以惩处行为人。据此，将极具法益侵害风险或已经造成法益侵害结果的不当存储个人信息的行为纳入刑法的规制范畴是必要的。

第二，非法删除个人信息的行为。删除行为包含了不应删除却实施了删除行为以及应履行删除义务而不履行等两种情形。对于前者，司法实践中大多以“破坏计算机信息系统罪”论处，不存在过多争议。对于后者，存在的问题与不当存储行为具有相似性，现有刑事立法同样难以规制。

第三，不当使用、加工个人信息行为的法益侵害的风险亦不可忽视。刑法是否应当规制将合法获得的个人信息用于处理目的之外的其他用途的情形。这类行为造成的后果不会直接违反法律的禁止性规定，但是却带有明显的不当性。在实践中，较为典型的做法是在商业活动中对个人信息进行加工分析，进而对特定群体实施歧视性定价行为等。根据《个人信息保护法》第24条，只要个人信息处理者利用个人信息进行自动化决策，就不得对个人在交易价格等交易条件上实行不合理的差别待遇^[11]。据此，这种不当加工、使用个人信息的行为就具有了进一步被评价为刑事不法的可能性。但是，根据现有立法将合法获取的个人信息用于合法经营活动者则不会构成犯罪，即虽然歧视性定价等行为在《个人信息保护法》层面具有违法性，但这种商业行为本身尚属于刑法层面“合法经营活动”的范畴，并不能适用现行立法的规定，刑事保护在这方面存在疏漏。

（三）与《个人信息保护法》衔接中的扩张风险

侵犯公民个人信息罪是典型的行政犯，违法性判断由《个人信息保护法》等非刑事法律规范完成^[12]。在《个人信息保护法》保护范围明显大于刑事立法的情况下，若刑事立法不够明确，那么便存在行政违法性被直接转化为刑事违法性的风险，这也将进一步导致刑事保护范围的不当扩张。

根据《个人信息保护法》，处理个人信息应遵循知情同意原则，这也是处理个人信息最重要的合法性要件，尤其是收集行为，未获得个人同意实施的个人信息收集行为受到严格限制，受到《个人信息保护法》和《刑法》的双重禁止。当前争议较大的问题是过度收集个人信息的行为应当如何定性。根据《个人信息保护法》规定的处理必要性原则，即应限于实现处理目的的最小范围，过度收集个人信息行为受到禁止。据此，即使经公民同意实施的个人信息收集行为也具有违法性。在刑法层面，根据司法解释，“非法获取行为”包含两种情形，即“未经他人同意收集公民个人信息”以及“收集与提供的服务无关的公民个人信息”。从文义的角度来看，后者应当是获得个人同意后实施的超出服务需要收集个人信息的行为。此入罪规定难免让人产生这样一种认识，未经同意实施的收集个人信息行为与经同意实施的过度收集个人信息行为具有相同的危害性。但是，立法之所以禁止未经同意实施的个人信息收集行为，一方面是因为侵犯了公民的信息自决权，另一方面则是个人信息被他人非法获取后可能影响公民人身、财产安全。但是，经同意实施的收集行为并未侵犯公民的信息自决权，公民如果对收集行为感到不安即可拒绝，而不像未经同意实施的收集行为那样使公民对个人信息的处理完全不知情。所以，尽管过度收集个人信息具有一定的危害性，但将之与未经同意实施的收集行为作等同理解的做法有待商榷。尤其是随着《个人信息保护法》的出台，过度收集个人信息的行为更易被认定具有违法性，极易引发基于《个人信息保护法》作出的行政法意义上的违法性评价直接转化为刑事违法性评价的风险，不当扩张刑法规制的范围。

四、完善公民个人信息刑事保护的理论选择及具体路径

（一）明确个人信息犯罪与行政违法的界限基础

如前文所述，非法处理公民个人信息行为的违法性在《个人信息保护法》中得到清晰的界定，但当其社会危害性上升到需要刑法评价的程度时得不到应有回应，由此便产生了刑事保护的疏漏。当然为保障刑法的谦抑性和最后手段性，在解决行刑衔接问题时，还需要防止刑法保护范围的不当扩张。我国对于侵犯公民个人信息犯罪这类典型行政犯的认定，采用了“前置法定性”与“刑事法定量”定罪模式^[13]，《个人信息保护法》的规定仅是初步划定进入刑事违法性评价视野的大致范围，关键之处仍是以刑法法益为核心对行为的危害性作实质判断，尤其是需要对法规范的保护目的进行独立的考察判断^[14]。根据主流理論观点，侵犯公民个人信息罪保护的法益是公民的信息自决权^[15]，通过保护个人信息安全而实现对个人人身、财产的保护^[16]，以此实现规避风险的立法目的^[17]。同时，《刑法》第13条规定了量的标准，将情节显著轻微危害不大的行为被排除在了犯罪圈之外，即实施行政违法行为并不会直接构成犯罪，在此之前通常还有一段行政处罚发挥作用的空间——行政不法与刑事犯罪的边界正是蕴含于此。但是，实践中的问题远非凝练简洁的刑法条文所能完全涵盖，行政不法与刑事犯罪的边界也极易模糊混淆。申言之，化解《刑法》与《个人信息保护法》衔接的难题，首先需要明确二者的边界。

在德国，对于行政不法与刑事犯罪的区分问题，“质量差异说”理论成为通说^[18]。该观点认为，应当将刑法区分为核心领域与非核心领域。刑法的核心领域与行政不法存在质的差异，主要指向了人的生命、自由等权利，保护这些权利并不仅仅源于立法者的设定，还源于自然法等超越实定法的存在并通过刑法传达出其受到绝对保护的必然性^[19]。在刑法的非核心领域，则主要指向了环境、经济等领域内的不法行为，对此可以用刑事手段也可以用行政手段加以规制，二者之间仅有量的差异。

解决侵犯公民个人信息罪中的衔接问题首先需要在理论层面对刑事不法和行政不法的界限有明确的认识，区分哪些侵犯个人信息的犯罪行为仅与违法行为存在量的差异，哪些存在质的差别。有研究提出应当以个人信息的私密性为标准，分为“最核心层的隐私领域、中间层的私人领域、最外层的社会领域”等三个不同领域，进而决定犯罪构成要件要素的具体内容。司法解释中规定的“行踪轨迹信息、通信内容、征信信息、财产信息”等四种不允许扩大范围的信息便属于最核心层；而“住宿信息、通信记录、健康生理信息、交易信息”等可能影响人身、财产安全的公民个人信息则属于中间层的私人领域；最外层的社会领域则具有极为广泛的外延，诸如公民在自动贩卖机购买日用品的记录等相对不重要的内容都可划入此列。结合立法目的来看，因前两类信息直接与公民个人人身、财产关联，明显具有质量差异说中“核心领域”的特征，犯罪与违法行为具有“质”的差异。最后一类信息即使被违法使用、加工、存储、传输等，也难对人身、财产等重要法益造成侵害风险，可纳入“非核心领域”，犯罪与违法行为具有“量”的差异。这也是个人信息犯罪的司法解释所贯彻了的基本立场，但规定较为模糊，有待进一步细化。具体而言，不当处理个人信息行为入刑需要结合信息的私密程度做综合性判断。不当存储行踪轨迹信息、通信内容、征信信息、財产信息、住宿信息、通信记录、健康生理信息、交易信息等信息导致个人的人身、财产权益面临重大风险或已然遭受侵害的，应当承担刑事责任。未履行信息删除义务导致“最核心层、中间层”信息被非法获取使用的概率急剧增高或已经被他人非法获取使用的信息处理主体，应当受到相应的刑事处罚。对私密信息不当使用、加工造成公民人身、财产等法益侵害的风险，或非法使用、加工个人信息直接用于危害国家、军事、公共、人身、财产安全的活动的主体，也应当受刑法规制。对于合法获得的个人信息用于原本处理目的之外的其他用途的情形，也应结合信息的私密程度、造成人身、财产损失、社会不良影响等多方面的因素，在必要时由刑法介入。

（二）立法及司法解释应作审慎扩张

在立法方面，可考虑修订现有立法内容，将侵犯公民个人信息罪规制的行为类型调整为“处理行为”。“处理行为”贯穿于整个信息生命周期，能够最大限度地减少保护范围的“死角”，这也能化解司法机关在处置非法公开、使用、加工、存储等可能构成犯罪的违法行为时面临的法律解释难题。申言之，可将侵犯公民个人信息罪第一款内容中的“向他人出售或者提供公民个人信息”改为“非法处理个人信息”，第二款可调整为针对第一款的从重处罚规定，第三款则可以被第一款吸收。

这种做法的重要意义在于，统一了侵犯公民个人信息罪与《个人信息保护法》的规定，减少了法律冲突，有利于两法的衔接。由于个人信息的“处理行为”涵摄范围广泛，远大于当前刑事立法中规定的“非法提供”和“非法获取”等行为，其中必然包含一部分并不具有值得被刑法评价的情形。如实践中最为常见的几种情形，个人信息处理者收集公民的网络购物浏览记录，未经同意而进行分析加工并用于商业活动，对公民个人进行有针对性的信息推送、商业营销等等。这类行为虽然会对公民的购物活动造成一定的“困扰”，却未造成公民人身、财产等重要法益侵害的风险，因而不值得刑法评价。但是，这种行为仍然属于《个人信息保护法》中的“非法处理”行为，难免有被刑法进行评价甚至定罪的风险。为避免刑事保护范围的过度扩张，还可在条文中明确规范的保护目的以进行限制^[20]。如前文分析，此罪的立法目的就在于通过禁止一定的个人信息处理行为以避免对人身、财产等重要法益造成风险，因而可在第一款中规定“具有足以造成公民人身、财产安全风险”或“造成公民人身、财产安全风险”，明确宣示该罪的保护目的，限缩适用范围。

与此同时，司法解释也应当作出一定的调整以满足罪名适用的需求，尤其是对于前文提及的，可能造成公民个人人身、财产等法益侵害的风险的非法存储、公开、使用、加工等行为，可在司法解释中设置具体的定罪量刑标准，以实现刑事保护的合理扩张。

最后，感谢山东政法学院青年人才支持计划的资助。

On the Omission and Improvement of Criminal Protection of Citizens Personal Information

——Take the Connection between the Criminal Law and the Personal Information Protection Law as the Entry Point

CHEN Zhuo

（Faculty of Law， Macau University of Science and Technology， Macao Special Administrative Region 999078， Macao， China）

Abstract： Personal information legislation started from the field of criminal law. Criminal law preceded the legislative rhythm of civil law and administrative law is very likely to lead to the incoherence of protection system. After the introduction of the Personal Information Protection Law， the problem of the connection of the execution gradually became prominent. On the one hand， the types of violations of citizens' personal information regulated by criminal law are limited， and it is difficult to expand the scope of protection only by legal interpretation; On the other hand， as an administrative crime， the illegality evaluation made by the preemptive law has an important impact on the conviction， and improper use of the preemptive law can easily lead to irrational expansion of the scope of criminal protection. In this regard， on the premise of clarifying the boundary between criminal crimes and administrative violations， the adjustment scope of criminal law can be extended to all information processing behaviors， and the regulation scope of the crime of infringing citizens' personal information can be fully realized as far as possible. At the same time， by clarifying the purpose of protection of laws and regulations， we delimit a reasonable boundary for the crime of infringing citizens' personal information， avoid improper expansion of the scope of punishment， achieve reasonable limitation and guide judicial application.

Keywords：criminal law first， convergence of the two laws， protection omission， expansion risk

參考文献

[1]      梁根林. 刑法修正： 维度、策略、评价与反思[J]. 法学研究， 2017（01）： 42-65.

[2]      陈洪兵. 双层社会背景下的刑法解释[J]. 法学论坛， 2019（02）： 78-87.

[3]      申卫星. 论个人信息保护与利用的平衡[J]. 中国法律评论， 2021（05）： 28-36.

[4]      文立彬. 个人信息犯罪的刑法规制——以内地和澳门为比较[J]. 北京邮电大学学报（社会科学版）， 2015（03）： 50-73.

[5]      陈瑞华. 行政不法事实与犯罪事实的层次性理论——兼论行政不法行为向犯罪转化的事实认定问题[J]. 中外法学， 2019（01）： 76-93.

[6]      赵秉志， 袁彬. 刑法与相关部门法关系的调适[J]. 法学， 2013（09）： 113-121.

[7]      赵运锋. 行政违法行为犯罪化的检视与应对[J]. 政法论丛， 2018（02）： 100-109.

[8]      于冲. 附属刑法缺位下行政犯空白罪状的功能定位及其要件填补[J]. 中国刑事法杂志， 2021（05）： 92-107.

[9]      吴汉东. 知识产权法（第五版）[M]. 北京： 法律出版社， 2016.

[10]     吕炳斌. 个人信息权作为民事权利之证成： 以知识产权为参照[J]. 中国法学， 2019（04）： 44-65.

[11]     杨婕. 《个人信息保护法》正式出台——走中国特色的立法之路[J]. 中国电信业， 2021（09）： 47-51.

[12]     孙靖珈. 侵犯公民个人信息罪的犯罪属性及对刑罚边界的影响[J]. 海南大学学报（人文社会科学版）， 2019（06）： 68-76.

[13]     田宏杰. 行政犯的法律属性及其责任——兼及定罪机制的重构[J]. 法学家， 2013（03）： 51-117.

[14]     简爱. 我国行政犯定罪模式之反思[J]. 政治与法律， 2018（11）：31-44.

[15]     刘艳红. 民法编纂背景下侵犯公民个人信息罪的保护法益： 信息自决权——以刑民一体化及《民法总则》第111条为视角[J]. 浙江工商大学学报， 2019（06）： 20-32.

[16]     姜涛. 新罪之保护法益的证成规则——以侵犯公民个人信息罪的保护法益论证为例[J]. 中国刑事法杂志， 2021（03）： 37-55.

[17]     欧阳本祺. 侵犯公民个人信息罪的法益重构： 从私法权利回归公法权利[J]. 比较法研究. 2021（03）： 55-68.

[18]     王莹. 论行政不法与刑事不法的分野及对我国行政处罚法与刑事立法界限混淆的反思[J]. 河北法学， 2008 （10）： 26-33.

[19]     郑善印. 刑事犯与行政犯之区别[M]. 台北：三峰出版社， 1990.

[20]     于改之. 法域协调视角下规范保护目的理论之重构[J]. 中国法学， 2021（02）： 207-227.