王 哲

個人信息是數(shù)據(jù)經(jīng)濟時代的核心，被譽為工業(yè)社會中的石油、現(xiàn)代文明的空氣。(1)參見[美]布拉德·史密斯、卡羅爾·安·布朗：《工具，還是武器？》，楊靜嫻、趙磊譯，中信出版社2020年版，序言，第XIV頁。個人信息的相關法律問題已然成為近年學界研究的重點，其中個人信息所蘊含的權利及其歸屬也已得到了廣泛地討論。在刑事領域中，由于個人信息在內(nèi)容及法律概念上的擴張，對涉?zhèn)€人信息犯罪相關法律規(guī)定的理解與適用也應隨時代的發(fā)展而改變。作為保護個人信息的重要刑法規(guī)定，《刑法》第253條之一規(guī)定的侵犯公民個人信息罪在法律適用上仍存在相關問題。司法實踐中，往往存在將不屬于侵犯公民個人信息罪規(guī)制范圍的涉?zhèn)€人信息的相關行為認定為犯罪，或?qū)儆谠撟镆?guī)制范圍的侵犯公民個人信息行為認定為其他罪名或者無罪等困境，而造成此困境的根本原因是沒有明確侵犯公民個人信息罪所保護的核心法益及該罪的犯罪對象——個人信息的范圍。本文以個人信息權利的解構、變動、限定為視角，進一步對侵犯公民個人信息罪的核心法益及該罪對個人信息的認定范圍進行討論，對侵犯公民個人信息罪中“個人信息”的概念進行準確界定，以防止司法實踐中法律適用的偏頗。

一、侵犯公民個人信息罪的泛化適用及其限定之必要

在日常生活中，個人信息指一切同個人相關的消息或音訊，是一個廣義的概念。而落到相關法律規(guī)定上，可以發(fā)現(xiàn)相關法律對個人信息的定義進行了縮限，且不同法律對個人信息的定義也不盡相同。同時，學界對于個人信息權利屬性的認定也產(chǎn)生了一定的分歧。在此背景下，侵犯公民個人信息罪中的“個人信息”的邊界已然模糊化，這對于侵犯公民個人信息罪犯罪認定標準的統(tǒng)一造成了一定的困擾。為此，侵犯公民個人信息罪中“個人信息”概念的厘清顯得十分必要。

關于“個人信息”在刑法中的含義，最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)規(guī)定：“公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息?！笨梢钥闯?，《解釋》認為個人信息的一個重要特征是可識別特定自然人身份，因此個人信息的分類標準主要取決于該信息是否可以“識別特定自然人身份”。如對《解釋》中個人信息的定義進行類型歸納，可將其概括為以下幾類：可以直接識別自然人身份的信息、可以結合其他信息間接識別自然人身份的信息和不能識別自然人身份的其他自然人活動信息。

筆者進一步比較其他法律法規(guī)及相關行業(yè)標準對于“個人信息”保護范圍的界定?！睹穹ǖ洹返?034條規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息?！薄毒W(wǎng)絡安全法》76條第5款規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。”《個人信息保護法(草案)》(以下簡稱《草案》)第4條規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！笨梢?，《民法典》《網(wǎng)絡安全法》和《個人信息保護法(草案)》對個人信息的保護范圍包括可以直接識別自然人身份的信息和可以結合其他信息間接識別自然人身份的信息，但并沒有涵蓋《解釋》中提到的“不能識別自然人身份的其他自然人活動信息”。

當然，也有相關行政規(guī)定和行業(yè)規(guī)范標準將不能識別自然人身份的信息同樣納入了個人信息的范疇中。如《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第4條規(guī)定：“本規(guī)定所稱用戶個人信息，是指電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。”國家市場監(jiān)督管理總局、國家標準化管理委員會2020年發(fā)布的《信息安全技術個人信息安全規(guī)范》(以下簡稱《規(guī)范》)3.1條規(guī)定：“個人信息，是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息?！笨梢姡峨娦藕突ヂ?lián)網(wǎng)用戶個人信息保護規(guī)定》及《信息安全技術個人信息安全規(guī)范》對個人信息的保護范圍包括可以直接識別自然人身份的信息、可以結合其他信息間接識別自然人身份的信息以及不能識別自然人身份的其他自然人活動信息。

從上述規(guī)定可以看出，所有的法律法規(guī)及行業(yè)規(guī)范標準都對可以直接識別自然人身份的信息及可以結合其他信息間接識別自然人身份的個人信息的保護達成了共識，即均主張法律應保護具有可識別性的個人信息。因此，可識別性應是個人信息在相關法律保護體系中的核心特征。而《解釋》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》和《信息安全技術個人信息安全規(guī)范》對個人信息的保護范圍進行了擴大化規(guī)定，對于個人信息的保護范圍除了可識別自然人身份的個人信息，還包括不能識別自然人身份的其他自然人活動信息。

需要指出的是，《信息安全技術個人信息安全規(guī)范》是由中國電子技術標準化研究院組織修訂的，不具有法律強制力，僅是推薦性的行業(yè)標準。另外《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》也只是對互聯(lián)網(wǎng)服務行業(yè)的一個規(guī)定，其輻射范圍較小。在具有法律強制力且法律覆蓋面廣泛的法律如《民法典》《網(wǎng)絡安全法》以及即將出臺的《個人信息保護法》都僅僅將可識別自然人身份的個人信息納入法律保護范圍中，而只有《解釋》在刑法司法解釋的層面上，將不能識別自然人身份的其他自然人活動信息也納入刑法保護范圍中。

既然民法和行政法均將個人信息的范圍限定為具有可識別性的個人信息，那么《解釋》將不具有可識別性個人信息納入個人信息的保護范圍，這一擴大化規(guī)定顯然帶有司法解釋擴張化的傾向。根據(jù)現(xiàn)有相關判例，行為人在并未造成實際危害結果的情形下，對不具有可識別性個人信息的相關非法獲取和使用行為往往在司法實踐中被認定構成侵犯公民個人信息罪。因此，對侵犯公民個人信息罪中“個人信息”的限定解釋具有明顯的必要性。為證明不具有可識別性個人信息不應納入侵犯公民個人信息罪中“個人信息”的范圍內(nèi)，筆者通過以下兩個方面加以佐證：第一，從侵犯公民個人信息罪的核心法益層面而言，對不具有可識別性個人信息的非法獲取和使用行為不具備對侵犯公民個人信息罪核心法益產(chǎn)生侵害的現(xiàn)實可能性；第二，《解釋》將個人信息的范圍進行擴張解釋的目的不符合刑事立法應堅持正當性和必要性的基本立場。

二、侵犯公民個人信息罪的核心法益及其與司法解釋擴張化適用之沖突

在刑法中，每一種犯罪行為都離不開對特定法益的侵害，犯罪行為侵犯核心法益的明確對犯罪構成的認定具有重要意義。在侵犯公民個人信息罪的法律適用實踐中，存在許多妨害不具有可識別性個人信息采集、流轉(zhuǎn)、利用的行為無法認定為侵犯公民個人信息罪的情形，為此，需明確該罪所保護的核心法益，以對相關侵犯公民個人信息行為進行準確的刑法認定。

(一)侵犯公民個人信息罪核心法益基本立場的考察

對侵犯公民個人信息罪核心法益的界定離不開對于個人信息所蘊含相關權利的準確把握，根據(jù)當下學術界的理論共識，一方面，個人信息的權利已然超出單一隱私權的范疇，是人格權和財產(chǎn)權的融合。個人信息蘊含著對公民隱私、尊嚴、身份、信息自由的保障權利，因此其具有人格權屬性；同時，個人信息又具備一定的財產(chǎn)性利益和交易屬性，兼具財產(chǎn)權的意蘊。(2)參見葉良芳、應家赟：《非法獲取公民個人信息之“公民個人信息”的教義學闡釋——以〈刑事審判參考〉第1009號案例為樣本》，載《浙江社會科學》2016年第4期；于沖:《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，載《政治與法律》2018年第4期。另一方面，個人信息同樣也涉及社會利益和國家主權，具有公共物品屬性，根據(jù)社會需求，對個人信息的保護可以適度讓位于國家安全和公共利益。(3)參見見閆立東：《以“權利束”視角探究數(shù)據(jù)權利》，載《東方法學》2019年第2期；高楚南：《刑法視野下公民個人信息法益重析及范圍擴充》，載《刑事法雜志》2019年第2期；張勇：《APP個人信息的刑法保護：以知情同意為視角》，載《法學》2020年第8期。

對于侵犯公民個人信息罪的核心法益而言，雖然個人信息同時兼具一定的財產(chǎn)屬性和公共物品屬性，但是這并不能否認個人信息權利的本質(zhì)是一種人格權。財產(chǎn)權是建立在對人格權的保護基礎之上而衍生的相關權利，對公共利益的保護也是基于對個人人格權保護的基礎上演變而來的。個人信息的本質(zhì)是一種可以識別個人身份特征的信息，且該罪被規(guī)定在刑法第四章侵犯公民人身權利、民主權利罪之中。因此，刑法上，侵犯公民個人信息的行為主要是對公民人格權的侵犯，該罪主要保護的法益是個人權利中的人格權。(4)參見王利明:《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，載《現(xiàn)代法學》2013年第4期；劉憲權、房慧穎：《侵犯公民個人信息罪定罪量刑標準再析》，載《華東政法大學學報》2017年第6期；張新寶：《<民法總則>個人信息保護條文研究》，載《中外法學》2019年第1期。

在侵犯公民個人信息罪主要保護公民人格權法益這一共識上，學界對該人格權法益中的具體核心權利內(nèi)容有以下四種不同觀點。

第一種觀點認為，由于公民個人信息在一定程度上是從隱私權中分離出來的權利。特別是在我國，以往對公民個人信息的界定直接采用了“涉及個人隱私”的表述。因此，侵犯公民個人信息罪所保護核心法益的重要方面應當為隱私和生活安寧。(5)喻海松：《侵犯公民個人信息罪的司法適用態(tài)勢與爭議焦點探析》，載《法律適用》2018年第2期；徐翕明：《“網(wǎng)絡隱私權”刑法規(guī)制的應然選擇———從“侵犯公民個人信息罪”切入》，載《東方法學》2018年第5期。第二種觀點認為，我國刑法對于公民個人信息保護是建立在《中華人民共和國憲法》對公民基本權利保護基礎上的，是履行“國家尊重和保障人權”基本義務，保護公民人格尊嚴、人身自由等憲法權利，而不是直接基于人格權或隱私權保護。因此，刑法中侵犯公民個人信息罪所保護的核心法益應當理解為公民人格尊嚴與個人自由，隱私利益只是人格尊嚴保護的內(nèi)容之一。(6)高富平、王文祥：《出售或提供公民個人信息入罪的邊界──以侵犯公民個人信息罪所保護的法益為視角》，載《政治與法律》2017年第2期。第三種觀點認為，侵犯公民個人信息罪的核心法益雖然來源自一般性的人格尊嚴或人身自由，但如今它已從中分離出來成為獨立的個人信息權，是具有絕對私人屬性的具體人格權。(7)冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，載《中國法學》2019年第4期。鑒于隱私權的概念外延較窄，對于侵犯公民個人信息罪的保護法益宜采取內(nèi)涵較為豐富的個人信息權的概念，它是兼有精神性權利與物質(zhì)性權利的綜合權利。(8)勞東燕：《個人數(shù)據(jù)的刑法保護模式》，載《比較法研究》2020年第9期。第四種觀點認為，個人信息蘊含著公民個體的具體人格權，同時具有社會公共法益屬性，而個人信息自決權是公民個人信息的基礎權利，知情同意則是個人信息自決權的核心。(9)張勇：《APP個人信息的刑法保護：以知情同意為視角》，載《法學》2020年第8期?；谛堂褚惑w化視角與法秩序統(tǒng)一性原理，侵犯公民個人信息罪的保護核心法益是個人信息權中的信息自決權。(10)劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益: 信息自決權——以刑民一體化及〈民法總則〉第111條為視角》，載《浙江工商大學學報》2019年第6期。

筆者贊同第四種觀點，主要有以下四個方面的理由：第一，個人隱私信息只屬于個人信息的一部分，并非所有侵犯公民個人信息的行為都涉及對公民隱私權的侵犯。以往相關立法也并未將個人信息同涉?zhèn)€人隱私信息作等價表述，因此第一種觀點的論證依據(jù)并不充分。第二，刑法上的法益確實需要獲得憲法條文的明示，但這并不代表刑法的法益必須同憲法的權利逐一對應，這僅能表明侵犯公民個人信息的核心法益應歸屬于人格尊嚴和人身自由這一范疇，但并不足以說明侵犯公民個人信息罪的核心法益是人格尊嚴和人身自由。同時，人格尊嚴和人身自由是一個較為寬泛和抽象的概念，用一個抽象的法益去涵射具體的行為事實將導致法律的適用產(chǎn)生不確定性的風險，因此第二種觀點的論證依據(jù)并不充分。第三，與其說個人信息權是一種獨立于一般性的人格尊嚴或人身自由的新興權利，不如說個人信息權是多種權利的集合體，因為其本質(zhì)上是一種兼具人格權和財產(chǎn)權的復合權利。在司法適用中，對這種內(nèi)涵豐富的復合權利的提倡雖然對完善公民個人信息相關權利的保障具有一定積極意義，但這也將同時導致侵犯公民個人信息罪的邊界的肆意擴張，不利于貫徹刑法謙抑的基本精神，因此第三種觀點的論證依據(jù)并不充分。第四，根據(jù)民法和行政法相關規(guī)定，在不損害國家利益和社會利益的前提下，任何公民均有權放棄或行使其個人信息中的相關權利，個人信息處理者對的個人信息的獲取、轉(zhuǎn)讓、使用行為均離不開個人的知情授權行為。這充分說明，行為人是否存在對個人信息自決權的侵犯行為將直接決定該行為是否構成侵犯公民個人信息罪。作為個人信息權的核心部分，將個人信息自決權作為侵犯公民個人信息罪的核心法益既契合了該罪的犯罪構成要件，又能有效防止司法實務中將該罪的入罪邊界進行恣意地擴張化解釋。

(二)侵犯公民個人信息罪核心法益為個人信息自決權的證成

立法對于個人信息法益的保護必須立足于社會現(xiàn)實，在現(xiàn)實中，個人信息時常作為數(shù)據(jù)市場交易和政府信息公開等多個領域中的基本要素發(fā)揮重要的作用，個人信息所蘊含的相關權利也往往隨著信息的公開發(fā)生一定的變化。筆者通過對個人信息公開過程中個人信息相關權利的消滅、轉(zhuǎn)移、存續(xù)進行詳細剖析這一視角來分析個人信息最應得到刑法保護的核心權利，在駁斥上述其他觀點的同時，進一步對侵犯公民個人信息罪的核心法益為個人信息自決權這一觀點進行證成。

在對個人信息公開過程中的權利變動進行分析之前，有必要先對個人信息公開的相關概念達成兩點共識。第一，個人公開信息是指經(jīng)過個人主動公開后的信息而非客觀上已公開的個人信息?！皞€人公開信息”不等于“公開個人信息”，前者指的是由特定自然人主動在一定范圍內(nèi)將自身信息進行公開的相關信息，而后者指的是政府或相關責任主體依法向社會公布個人的相關信息。美國《2018加州消費者隱私法案》也明確規(guī)定了，“個人信息”不包含公開可得信息?！肮_可得”系指從聯(lián)邦、州或地方政府記錄中可合法獲取到的信息，如果符合與此類信息相關的任何條件。顯然，“公開個人信息”本身是政府或責任主體依法向社會公開的信息，個人對該信息的公開并不具有自決權，因此政府依法公開個人信息的行為不涉及對公民個人信息的侵犯，更不可能涉及侵犯公民個人信息犯罪的相關認定。同時，在特定的情形下，個人對自身信息的公開也不具有自決權。在個人公開信息可能危及國家、社會利益的情形下，個人將此類信息進行公開的行為必然會違反相關國家規(guī)定。此時，該個人信息的公開行為本身便具有不法性，那么對此類信息的收集和使用行為便不可能被認定為法律規(guī)定的合法收集和使用行為。因此，當個人非法公開根據(jù)國家規(guī)定不應當公開的自身信息的，在刑法上應將該已公開的個人信息應擬定為非公開信息，此時個人對個人信息的公開依然不具有自決權，個人信息收集者在明知違反國家規(guī)定的前提下實施信息獲取的行為也可能構成侵犯公民個人信息罪。第二，已公開的個人信息不受侵犯公民個人信息罪的保護?！睹穹ǖ洹返?036條第2款規(guī)定了行為人處理個人信息而不承擔民事責任的相關情形，其中在第2項規(guī)定了“合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外”。這充分表明，在不侵害個人重大利益且自然人同意的前提下，處理自然人自行公開的信息是不承擔民事責任的，而該處理信息的行為既然在民事上是合法的，則其在刑事上更不可能被認定為是犯罪行為。同時，若行為人實施利用個人提供的信息侵害其重大利益的行為，此時則完全可能構成其他犯罪。如對已公開個人信息的名譽、尊嚴權等造成侵害的行為可能構成侮辱罪或誹謗罪等犯罪；通過非法方式獲取已向全社會公開但經(jīng)過信息收集者整理分析的個人信息的行為仍可能觸犯刑法中相關財產(chǎn)犯罪。此時，也無需通過侵犯公民個人信息罪對此行為予以規(guī)制。因此，侵犯公民個人信息罪中的個人信息明顯不包括已公開個人信息。無論個人是否將信息公開，個人信息人格權中的名譽、人格尊嚴、安寧權部分始終依附在信息上，當這些權利受到侵害時，相關行為也并不構成侵犯公民個人信息罪。如此，侵犯公民個人信息罪并不主要保護個人信息人格權中的名譽、尊嚴、安寧權。

在上述兩點共識的基礎上，筆者進一步將視角集中在個人將信息公開過程中相關權利的變化上對侵犯公民個人信息罪核心法益進行研究。根據(jù)刑法相關規(guī)定，侵犯公民個人信息罪包含非法獲取、非法出售和非法提供三種行為類型，可見，刑法對侵犯公民個人信息的犯罪行為是以個人信息處理者的犯罪行為方式進行歸納的，這種歸納方式對于司法適用具有重要指導意義。但如需研究個人信息公開過程中相關權利的變化，則需要以個人信息處理者的行為時間順序為邏輯基點對個人信息公開進行階段劃分，按照這一標準，可將個人信息公開過程分為兩個階段，即個人信息處理者獲取個人信息的階段以及獲取個人信息后的個人信息使用階段。

第一，在個人信息處理者獲取相關個人信息時，個人享有對個人信息公開的自決權。當個人因知情同意而主動向個人信息處理者提供個人信息后，無論個人信息處理者是否在合意范圍內(nèi)對個人信息進行使用，都無法否認在客觀上該個人信息對特定的個人信息處理者已然失去了隱私性，且個人信息處理者可以合法利用個人信息進行營利性活動。因此，個人將信息向個人信息處理者提供時，其放棄的是個人信息人格權中的隱私權及附屬在人格權之上的相關的財產(chǎn)權益。即個人認為，將自身的信息提供給該個人信息處理者，并被特定的個人信息處理者對個人信息進行分析、使用以及獲得相關收益均是在其知情同意范圍之內(nèi)的。如個人信息處理者未經(jīng)同意實施獲取合意范圍之外的個人信息行為，則該行為可能構成侵犯公民個人信息罪。

第二，在個人信息處理者合法獲取個人信息后，個人依然享有對個人信息刪除、更改的自決權。根據(jù)《民法典》第1037條規(guī)定：“自然人可以依法向信息處理者查閱或者復制其個人信息；發(fā)現(xiàn)信息有錯誤的，有權提出異議并請求及時采取更正等必要措施?！薄毒W(wǎng)絡安全法》第43條規(guī)定：“個人發(fā)現(xiàn)網(wǎng)絡運營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個人信息的，有權要求網(wǎng)絡運營者刪除其個人信息；發(fā)現(xiàn)網(wǎng)絡運營者收集、存儲的其個人信息有錯誤的，有權要求網(wǎng)絡運營者予以更正?！睋?jù)此，如個人提出對已公開信息的刪除、更改請求而遭受信息處理者拒絕時，此時個人實際上已對原先個人信息使用的授權范圍作了更改，應將個人信息處理者拒絕個人信息提供者行使對已公開個人信息行使刪除、更改權的行為，解釋為對個人信息使用范圍自決權的侵犯行為，該行為仍可能構成侵犯公民個人信息罪。

可以看到，信息自決權的行使范圍不僅限于個人公開信息時個人對信息處理范圍享有知情同意的權利，還包括個人信息公開后對信息使用范圍進行更改的權利。若行為人侵犯了上述信息自決權，其行為仍可能構成侵犯公民個人信息罪。個人的信息自決權是始終貫穿于個人信息獲取、提供和使用各個階段的。正如有些學者所認為的，侵犯公民個人信息罪的成立關鍵在于“是否未經(jīng)或者違背了被收集者的同意”。(11)周光權：《侵犯公民個人信息與妥當?shù)男塘P處罰》，載《檢察日報》2020年1月13日。

因此，我們可以得出結論，刑法上對侵犯公民個人信息的行為認定并不取決于個人信息的隱私權或財產(chǎn)權是否遭受侵犯，而取決于行為人對個人信息的處理是否在個人的知情同意范圍內(nèi)。相比之下，個人信息的隱私權是一種被動的防御性權利，而個人對其個人信息隱私權放棄的對象范圍取決于信息公開的范圍。個人信息一旦提供給特定信息處理者，對于信息處理者而言，其信息上的隱私性已然消失。然而，即使個人放棄了個人信息中的隱私權，個人的信息自決權卻一直延續(xù)，并不隨著個人信息的公開而消滅。就財產(chǎn)權而言，個人信息中財產(chǎn)權的轉(zhuǎn)移也完全依賴于個人信息自決權的行使，個人信息一旦提供給特定信息處理者，個人信息處理者即享有對該個人信息合法使用而獲得相關財產(chǎn)收益的權利。而如果個人在個人信息使用過程中提出對個人信息進行更改或刪除的請求，此時該個人信息處理者便隨之喪失對個人信息進行使用收益的權利，這種財產(chǎn)收益權的喪失也同樣取決于個人信息自決權的有效行使。據(jù)此，完全有理由認為，侵犯公民個人信息罪并非重點保護個人信息中的隱私權或財產(chǎn)權，而主要保護個人對信息處理的知情同意權，而這種知情同意權是指個人享有對自身信息的收集和使用范圍的自由決定權，根據(jù)相關學者的觀點，可將此種權利稱為個人信息自決權。

(三)個人信息自決權的法益保護范圍與司法解釋擴張化適用的沖突

在侵犯公民個人信息罪的核心法益為個人信息自決權的基礎上，筆者進而認為，不具有可識別性的個人信息不在個人信息自決權的法益保護范圍之內(nèi)。理由是：第一，個人信息處理者對不具有可識別性個人信息的獲取行為無需征得個人的知情同意。在個人信息的收集階段，個人信息自決權行使的前提條件是個人信息的獲取和使用行為將產(chǎn)生對個人相關權利危害的現(xiàn)實可能性，個人信息處理者之所以在獲取個人信息時需得到個人的知情同意，其目的是使對個人信息的使用行為合法化，避免對個人信息中相關隱私權、人格尊嚴、財產(chǎn)權等造成不利后果。由于不具有可識別性個人信息的不可識別性切斷了個人信息處理者對特定自然人身份的識別可能性，因而對該個人信息的獲取和使用行為也不可能產(chǎn)生對特定自然人隱私權、人格尊嚴、財產(chǎn)權危害的直接可能性。第二，同理，由于對不具有可識別性個人信息的使用行為不存在對個人相關權利危害的直接可能性，個人也無權在個人信息的使用過程中對不具有可識別性個人信息提出刪除或更改的請求。同時，個人既無法界定不具有可識別性個人信息同自身特定活動的相關性，也不享有對不具有可識別性個人信息的自主控制力，因此無權行使個人信息自決權。可見，不具有可識別性的個人信息不在個人信息自決權的法益保護范圍內(nèi)，司法解釋對侵犯公民個人信息罪的擴張解釋將同侵犯公民個人信息罪的核心法益保護范圍相沖突。

三、司法解釋對個人信息保護范圍擴張化規(guī)定的目的及弊端

在明確不具有可識別性的個人信息不在侵犯公民個人信息罪核心法益的保護范圍內(nèi)這一結論的基礎上，為進一步證明對“個人信息”在刑法中范圍限定的必要性，應闡述《解釋》將個人信息的范圍進行擴大化規(guī)定的目的以及這種目的所帶來的弊端。

(一)司法解釋對個人信息范圍擴張化規(guī)定的主要目的

為準確理解《解釋》對個人信息范圍擴張化規(guī)定的目的，需要先明確可識別的個人信息的權利內(nèi)涵，再將不具有可識別性個人信息的權利內(nèi)涵與之比較，并推導出司法解釋將不具有可識別性個人信息納入保護范圍的立法目的。

1.可識別的個人信息的權利內(nèi)涵。刑法之所以對可識別的個人信息進行保護，其本質(zhì)上是為了保護個人信息蘊含的人格權。龐德認為，個人人格利益是指個人提出的這樣一種要求：他的個人事務不能被置于光天化日之下并由一些素不相識的人談論。把純屬個人性的事務中有關私人的問題予以公開是對人格權的傷害。(12)[美]羅斯科·龐德：《法理學(第三卷)》，廖德宇譯，法律出版社2007年第1版，第44-45頁。而個人信息的可識別性正是將個人的私人事務通過識別到特定的自然人，而予以公開的信息特性。如果一種信息是可以識別到自然人身份的，那么一旦其遭受泄露，特定自然人便需要面臨該信息被知情者議論、分析甚至被侵害的風險，這無疑是對其人格權利的侵害。如一次毫無理由的電話推銷便是對個人隱私權的侵犯，雖此類行為并沒有破壞個人的隱居和分散個人的注意力，但它確實侵犯了個人作為秘密的隱私。正如相關學者認為，如果連這點保護都沒有，那么人們就會轉(zhuǎn)而運用更為安全但卻效率較低的通訊手段，并對此承擔成本。(13)[美]理查德·波斯納：《法律的經(jīng)濟分析》(第七版)，蔣兆康譯，法律出版社2012年版，第1024頁。

同時，由于侵犯公民個人信息罪的核心法益是個人信息自決權，個人信息自決權屬于人格權中的自由權，即個人有決定信息處理目的、方式、范圍的自由。而個人對信息進行自決的前提條件是該個人信息可以識別到特定的個人，如果相關信息無法準確關聯(lián)識別特定個人，那么個人也無權對該信息處理目的、方式和范圍行使決定權。如此，個人信息的可識別性是一種人格權利，保護的是個人的人格利益，且法律上對個人信息人格權的保護也已然達成了一致共識。

需要注意的是，根據(jù)《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》(以下簡稱《決定》)第1條規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息?！睆淖置嫔峡?，這似乎表明，《決定》認為，可識別性的個人信息和涉及公民隱私的個人信息至少不是包容關系，而是交叉或者并列關系。然筆者認為，不應當將《決定》第1條理解為對個人信息的保護范圍進行分類，《決定》第1條僅是強調(diào)兩種重要的個人信息，即可識別的個人信息和個人隱私信息均受到國家重點保護。以人格權中的隱私權為例，《民法典》第1032條規(guī)定：“任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?！痹摋l文充分印證了，對隱私權侵犯的前提是能夠事先關聯(lián)到特定自然人，進而才有可能知曉他人的私密活動情況并對其私人生活安寧造成干擾。這表明，個人的隱私信息是包含在個人可識別信息的范圍內(nèi)的，而不具有可識別性的個人信息是不可能包括個人隱私信息的。同理，對個人的名譽、自由、安寧等其他人格權利的侵犯也必須是以識別到特定自然人為前提。因此，可以得出結論，有關公民人格權利的相關個人信息都屬于法律規(guī)定的可識別的個人信息。

2.司法解釋將不具有可識別性個人信息納入保護范圍的目的。筆者認為，《解釋》將不具有可識別性個人信息納入刑法保護范圍，其目的主要是為了維護社會管理秩序。首先，《解釋》對于不具有可識別性個人信息的保護目的不可能是對其人格權的保護。可識別性的個人信息和不具有可識別性個人信息的區(qū)分的關鍵在于個人信息是否可以關聯(lián)到特定自然人身份?？勺R別性個人信息因為可以關聯(lián)特定自然人身份，對該類信息的侵害行為將對特定自然人的人格權利造成侵害危險，相比之下，不具有可識別性的個人信息因為其完全無法關聯(lián)到特定自然人，相關行為不可能存在對個人的隱私、安寧、自由等人格權造成困擾，不具有可識別性的個人信息并不蘊含任何人格性的權利，因此《解釋》對于不具有可識別性個人信息的保護目的不可能是對其人格權的保護。

其次，《解釋》對于不具有可識別性個人信息的保護目的不可能是對其財產(chǎn)權的保護。不具有可識別性個人信息雖蘊含一定的財產(chǎn)權利，但這里所指的財產(chǎn)權是純粹意義上的與人格權無關的財產(chǎn)利益。因為人格權本身也附帶著重要的財產(chǎn)性利益，如個人電話、住址等具有識別性的個人信息往往蘊含巨大的財產(chǎn)價值，因而也容易引起不法行為人的非法侵害。相關學者也提出，雖人格權乃存于權利人自己人格上的權利。但是因社會經(jīng)濟活動的擴大，科技的發(fā)展，特定人格權(尤其是姓名權及肖像權)既已進入市場而商業(yè)化，具有已定經(jīng)濟利益的內(nèi)涵，應肯定其兼具有財產(chǎn)權的性質(zhì)。(14)王澤鑒：《民法總則》，北京大學出版社2009年版，第113頁。而這里我們所說的個人信息財產(chǎn)權，是指僅具有財產(chǎn)價值的但是無法對個人的生活安寧和私密空間造成干擾的信息，如沒有可識別性的購物記錄、商場或相關網(wǎng)站的流量等。這種信息雖不具有可識別性，但是也存在相應的經(jīng)濟價值，因而蘊含相關財產(chǎn)權利。這種財產(chǎn)權利并不產(chǎn)生對個人法益和社會法益造成嚴重危害的可能性，對一般個人信息財產(chǎn)權利的保護完全可以通過民法來進行調(diào)整，當不具有可識別性的個人信息受到了非法的侵害，則可以優(yōu)先適用《民法典》第七編有關侵權責任的相關規(guī)定。如行為人通過非法手段從有管理權限的主體手中獲取大量的客戶購買記錄、人流信息等并造成特定主體嚴重財產(chǎn)損失的，則可以根據(jù)刑法第五章侵犯財產(chǎn)罪中的相關罪名對其定罪處罰，因此《解釋》對于不具有可識別性個人信息的保護目的不可能是對其財產(chǎn)權的保護。

最后，《解釋》將不具有可識別性個人信息納入刑法保護范圍其立法目的主要是為了保護抽象的公共利益。既然侵犯公民個人信息罪已將不具有可識別性的個人信息納入了個人信息的保護范圍，這表示在刑法上，行為人對不具有可識別性個人信息的侵犯行為必然將符合侵犯公民個人信息罪的犯罪行為構成要件。對于侵犯公民個人信息的犯罪行為，《解釋》第2條明確將其定義為“違反法律、行政法規(guī)、部門規(guī)章有關公民個人信息保護的規(guī)定的”相關行為。而對于違反國家相關規(guī)定行為的認定，民法和相關行政法對此作了明確規(guī)定(15)《民法典》第1035條對處理個人信息提出四項要求，包括征得該自然人或者其監(jiān)護人同意；公開處理信息；明示處理信息的目的、方式和范圍和不違反法律、行政法規(guī)的規(guī)定和雙方的約定?！毒W(wǎng)絡安全法》第41條也規(guī)定：“網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”《草案》第13條也規(guī)定了處理個人信息的六種合法情形，包括取得個人的同意；為訂立或者履行個人作為一方當事人的合同所必需；為履行法定職責或者法定義務所必需；為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需；為公共利益實施新聞報道、輿論監(jiān)督等行為在合理的范圍內(nèi)處理個人信息及法律、行政法規(guī)規(guī)定的其他情形。。根據(jù)相關法律規(guī)定，個人信息的合法處理行為包括：第一，在收集過程中獲得個人的知情同意的信息收集行為，及在使用過程中未超出信息使用范圍的使用行為；第二，為公共利益所需的個人信息處理行為；第三，其他法律規(guī)定的合法行為。由于行為人對不具有可識別性個人信息的獲取和使用行為均不涉及對公民個人信息自決權的侵犯，那么，可以得知，《解釋》將不具有識別性個人信息納入保護范圍的目的是為了防止侵犯不具有識別性個人信息的相關行為將對公共利益造成嚴重危害。

(二)司法解釋擴張化規(guī)定之弊端

那么隨之而來的問題是，是否有必要僅為了保護較為抽象的公共利益，而在侵犯公民個人信息罪的司法解釋中特意強調(diào)對于不具有可識別性個人信息進行保護嗎？筆者認為，將不具有可識別性個人信息納入刑法保護范圍不符合刑事立法應堅持正當性和必要性的基本立場。具體而言：

1.將不具有可識別性個人信息納入刑法保護范圍容易導致刑法的立場不明確，同時不利于保障個人利益與公共利益的平衡，同刑事立法應堅持的正當性基本立場相違背。

首先，在侵犯公民個人信息罪中特意強調(diào)對于不具有可識別性個人信息的保護不利于保證刑法立場的明確性?！督忉尅返?條對個人信息的范圍作了界定，認為公民個人信息包括可識別的個人信息和不具有可識別性的個人信息。然而，根據(jù)《解釋》第3條規(guī)定，即使是未經(jīng)被收集者同意的情況下，信息收集者也可以將經(jīng)過處理且無法識別特定個人的信息進行收集并提供給他人使用。這意味著，《解釋》也同樣認為，對經(jīng)過處理且無法識別特定個人信息的信息處理行為不具有社會危害性，這顯然和《解釋》第1條規(guī)定存在一定的沖突。由此看來，《解釋》對于不具有可識別性的個人信息保護立場是不明確的。同樣，根據(jù)《民法典》和《網(wǎng)絡安全法》的相關規(guī)定(16)《民法典》第1038條規(guī)定：“信息處理者不得泄露或者篡改其收集、存儲的個人信息；未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復原的除外。”《網(wǎng)絡安全法》第42條規(guī)定：“網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息；未經(jīng)被收集者同意，不得向他人提供個人信息。但是，經(jīng)過處理無法識別特定個人且不能復原的除外?！保穹靶姓ㄒ簿槐Ｗo不具有可識別性的個人信息。既然《解釋》已認識到不具有可識別性的個人信息并不具備很大的社會危害性，且其他法律也未將此納入保護范圍，那么，《解釋》對于侵害公民個人信息罪“個人信息”保護范圍的定義便存在規(guī)定不清晰的問題，這將導致實踐中對侵犯公民個人信息罪的理解和適用產(chǎn)生爭議?！督忉尅穼ⅰ皞€人信息”簡單的認定為“個人的信息”(即包括可識別的個人信息和不可識別的個人活動信息)顯然將導致對個人信息的過度保護，進而阻礙個人信息的合理流通，給數(shù)據(jù)經(jīng)濟發(fā)展帶來困擾的同時也給社會管理造成不便。為了明確刑法的立場，應該將不具有可識別性的個人信息排除出刑法對個人信息的保護范圍。

其次，在侵犯公民個人信息罪中特意強調(diào)對于不具有可識別性個人信息的保護不符合侵犯公民個人信息罪的立法本意。個人信息之所以具備一定的公共物品屬性，是因為當個人利益和公共利益相沖突時，立法允許適度損害個人信息上的相關個人權利而保障國家和社會更大的集體利益。立法對于個人信息公共屬性的明確是旨在說明，如對個人信息的處理已獲得個人的知情同意但將損害公共利益時，此時個人知情同意權的行使不能對抗公共利益。因此，在特定情形下，對個人信息公共屬性的提倡同對個人信息個人權益的保護是相互矛盾的。但結合侵犯公民個人信息罪的立法本意來看，刑法設立侵犯公民個人信息罪并將其規(guī)定在第四章侵犯公民人身權利、民主權利罪中主要是旨在保障個人權利不受非法侵害，而不是強調(diào)對公共利益的保障。因此，對于不具有可識別性個人信息的保護并不符合侵犯公民個人信息罪的立法本意。正如相關學者所說，從法益侵害角度而言，關于侵犯個人信息“不法性”的認定，應采法益衡量原則，就受侵害的人格法益、加害人的權利及社會公益，依比例原則而為判斷。(17)王澤鑒：《民法總則》，北京大學出版社2009年版，第109頁。如果對個人信息保護的范圍進行無限擴大化，那么也必將導致對個人利益的保護同對社會利益的保障相互沖突。如果我們說對個人利益的保護體現(xiàn)著人權原則的話，那么公共利益的價值訴求則體現(xiàn)功利主義的原則，人格利益與社會公益之間沖突的背后便是人權原則與功利主義的沖突(18)參見甘紹平：《人權倫理學》，中國發(fā)展出版社2009年版，第275頁。，而過度強調(diào)人權原則顯然不是解決這種沖突的有效手段。因此，以平衡個人利益與公共利益為出發(fā)點，便不應將不具有可識別性的個人信息納入侵犯公民個人信息罪中的個人信息范圍。

2.將不具有可識別性個人信息納入刑法保護范圍同刑事立法應堅持的必要性基本立場相違背。我們通常將刑法作為“最后一道防線”，主要是就立法層面而言，刑法將某種行為規(guī)定為犯罪時應該特別謹慎，如果其他法律能夠調(diào)整的行為，就不需要納入刑法打擊的范圍。(19)劉憲權：《刑法學名師講演錄》，上海人民出版社2016年版，第20頁。刑法的嚴苛性及刑法的謙抑性共同決定了科學的刑事立法活動必須摒棄情緒化干擾，才能最大程度地接近“有良法可依”，而這也正是刑事立法應力戒情緒的法理依據(jù)所在。(20)劉憲權：《刑事立法應力戒情緒———以〈刑法修正案(九)〉為視角》，載《法學評論》2016年第1期。然而根據(jù)現(xiàn)有相關司法判例，行為人具有為他人尋找車輛位置而以此牟利的目的，實施非法購買車輛檔案信息、車輛保險信息等不具有可識別性公民個人信息的行為，該行為在司法實踐中被認定為構成侵犯公民個人信息罪(21)參見廣東省佛山市中級人民法院刑事判決書，(2020)粵06刑終990號。。該案例存在的不合理之處是，車輛檔案信息和保險信息所指向的對象是車輛而不是個人，行為人僅通過實施為他人尋找車輛的位置而不是為他人尋找車主位置的行為以此牟利。因此，該非法獲取個人信息的行為對個人法益無法造成任何現(xiàn)實危害可能性，也并未明顯損害公共利益。如前文所述，司法解釋對不具有可識別性個人信息的保護目的是為了維護社會管理秩序。而從法益角度而言，對不具有可識別性個人信息的侵犯行為所侵害的法益雖是社會管理秩序，但為尋求國家刑罰權與公民個人意思自治的平衡，刑法必須保證法律所維護的公共法益是公民個人法益的升華，即對公共法益的維護最終能夠?qū)崿F(xiàn)對公民個人法益的保護。只有當預防刑法對公共法益的保護相當于間接保護了個人法益的時候，預防刑法才具有正當性和必要性。(22)房慧穎：《預防刑法的天然偏差與公共法益還原考察的化解方式》，載《政治與法律》2020年第9期。因此，行為人僅實施非法收集他人不具有可識別性的個人信息的相關行為但沒有對國家安全、企業(yè)財產(chǎn)、網(wǎng)絡秩序、個人財產(chǎn)利益造成明顯損害的，司法實踐中也完全沒有必要將此行為認定為侵犯公民個人信息罪。如果行為人通過對不具有可識別性個人信息的使用而嚴重危害公共利益的，此時則完全可以通過刑法第六章妨害社會管理秩序罪中的相關罪名對其定罪處罰。

此外，其他國家對于個人信息保護的相關法律規(guī)定也未將不具有識別性的個人信息納入保護范圍。如美國加州于2020年1月1日生效的《2018加州消費者隱私法案》中對個人信息的定義為：“個人信息”指直接或間接地識別、描述、能夠相關聯(lián)或可合理地連結到特定消費者或家庭的信息，包括但不限于以下內(nèi)容：如真實姓名、別名、郵政地址、唯一的個人標識符、在線標識符、互聯(lián)網(wǎng)協(xié)議地址、電子郵件地址、帳戶名稱、社會安全號碼、駕駛證號碼、護照號碼的標識符或其他類似標識符。這表明《2018加州消費者隱私法案》認為值得法律保護的個人信息必須是可識別到特定自然人的相關信息。同樣，德國刑法體系對個人信息的保護集中規(guī)定在第十五章侵害私人生活和秘密的犯罪中，包括第201條侵害言論秘密、第202條侵害通信秘密、第203條侵害他人隱私、第204條利用他人秘密等罪名(23)徐永生譯：《德國刑法典》，北京大學出版社2019年版，第147-52頁。，而此類犯罪所指的私密也是指與一定的主體有關系的事實。德國刑法規(guī)定侵犯秘密罪，就是為了防止侵犯他人秘密的行為，從而保護公民私生活的安寧。(24)張明楷：《外國刑法綱要》(第三版)，法律出版社2020年版，第462-466頁。所以，德國刑法也同樣認為，法律保障與特定自然人相關聯(lián)的個人信息。因此，不具有可識別性的個人信息亦不在其法律保護范圍之內(nèi)。

綜上所述，為貫徹對侵犯公民個人信息罪的核心法益——個人信息自決權的保護，保障個人利益與公共利益的平衡，保障司法實踐中對涉?zhèn)€人信息犯罪的準確法律適用，不應將不具有可識別性的個人信息納入侵犯公民個人信息罪中個人信息的范圍內(nèi)。