劉憲權(quán)， 何陽(yáng)陽(yáng)

(華東政法大學(xué) 刑事法學(xué)院，上海 201620)

近年來(lái)，隨著互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)的不斷發(fā)展，人們?cè)诜窒砗Ａ啃畔⑺鶐?lái)的紅利的同時(shí)，也飽受個(gè)人信息泄露帶來(lái)的困擾。盡管我們已經(jīng)在相關(guān)刑法修正案中專門(mén)設(shè)立了侵犯公民個(gè)人信息罪，并且在相關(guān)刑法司法解釋中進(jìn)一步明確與細(xì)化了侵犯公民個(gè)人信息罪的適用，但現(xiàn)實(shí)生活中大數(shù)據(jù)殺熟、應(yīng)用程序(APP)過(guò)度收集個(gè)人信息等現(xiàn)象仍大量存在且屢禁不絕。特別是隨著近期AI換臉視頻、深度偽造技術(shù)的興起，輿論又將敏感個(gè)人信息的規(guī)范處理等問(wèn)題推向了風(fēng)口浪尖。如何在法律框架內(nèi)保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息合理利用，已經(jīng)成為當(dāng)下我們面臨且亟待解決的問(wèn)題。2021年8月20日，十三屆全國(guó)人大常委會(huì)第三十次會(huì)議表決通過(guò)了《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》，自2021年11月1日施行)。該法明確了個(gè)人信息保護(hù)的相關(guān)規(guī)則和各有關(guān)主體的權(quán)利義務(wù)，標(biāo)志著我國(guó)在全面、綜合治理個(gè)人信息的法治軌道上邁出了重要的一步。本文以新出臺(tái)的《個(gè)人信息保護(hù)法》為視角，對(duì)個(gè)人信息的內(nèi)涵、個(gè)人信息的分類、侵犯公民個(gè)人信息罪的行為方式、該罪“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)等方面重新審視，探尋大數(shù)據(jù)時(shí)代侵犯公民個(gè)人信息罪相關(guān)要件的調(diào)整路徑，以期對(duì)司法實(shí)踐有所裨益。

一、侵犯公民個(gè)人信息罪中個(gè)人信息內(nèi)涵的調(diào)整

根據(jù)《刑法》第253條之一的規(guī)定，侵犯公民個(gè)人信息罪是指，違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，以及竊取或以其他方法非法獲取公民個(gè)人信息的行為。雖然《刑法》第253條之一侵犯公民個(gè)人信息罪的條文中沒(méi)有關(guān)于公民個(gè)人信息的明確定義，但是2017年5月8日最高人民法院、最高人民檢察院聯(lián)合頒行的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱《解釋》)第1條明確對(duì)公民個(gè)人信息下了定義?！督忉尅氛J(rèn)為，侵犯公民個(gè)人信息罪中的“公民個(gè)人信息”是指，以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。而2021年頒布的《個(gè)人信息保護(hù)法》第4條第1款規(guī)定，個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。分析上述兩條規(guī)定不難發(fā)現(xiàn)，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義作出了與刑法司法解釋不完全相同的規(guī)定。(1)《解釋》采用的是“公民個(gè)人信息”，《個(gè)人信息保護(hù)法》采用的是“個(gè)人信息”。筆者的理解是，“公民個(gè)人信息”與“個(gè)人信息”雖然提法不同，但實(shí)質(zhì)內(nèi)容相同。為了討論方便，本文統(tǒng)一使用“個(gè)人信息”這一提法。筆者認(rèn)為，盡管《解釋》與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義在內(nèi)容和方式上確實(shí)存在一定差異，但它們?cè)诒举|(zhì)上仍具有同一性，主要有兩個(gè)理由。

第一，不同部門(mén)法從不同規(guī)制的側(cè)重點(diǎn)出發(fā)，在個(gè)人信息的定義上存在差異實(shí)屬正常現(xiàn)象?！督忉尅芬?guī)制的側(cè)重點(diǎn)在于強(qiáng)調(diào)懲治侵犯公民個(gè)人信息的犯罪行為，以達(dá)到保護(hù)公民人身安全和財(cái)產(chǎn)安全的目的；《個(gè)人信息保護(hù)法》規(guī)制的側(cè)重點(diǎn)則在于保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)，促進(jìn)個(gè)人信息的合理利用。前者是從打擊犯罪的角度出發(fā)，作為對(duì)刑法條文的補(bǔ)充與說(shuō)明，力求詳細(xì)、精確，以更好地指引司法活動(dòng)的開(kāi)展；后者關(guān)注的重點(diǎn)并非與個(gè)人信息有關(guān)的犯罪行為，而是如何構(gòu)建個(gè)人信息保護(hù)的整體框架、如何明確個(gè)人信息的處理規(guī)則以及相關(guān)主體的權(quán)利義務(wù)。可見(jiàn)，不同部門(mén)法規(guī)制的側(cè)重點(diǎn)不同，所以在對(duì)個(gè)人信息的定義上存在差異不足為怪。

第二，盡管《解釋》與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義有差異，但本質(zhì)上不存在沖突。根據(jù)《解釋》所作的定義，個(gè)人信息必須具備能夠與特定自然人相關(guān)聯(lián)的根本屬性。換言之，只要能借助該信息識(shí)別特定自然人，那就可以認(rèn)定該信息為刑法上的個(gè)人信息?！秱€(gè)人信息保護(hù)法》所作的定義同樣指向已識(shí)別或可識(shí)別的自然人，同樣要求自然人與信息之間具有關(guān)聯(lián)性。同時(shí)，該定義后半句“不包括匿名化處理后的信息”的表述與《解釋》第3條第2款“經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的信息除外”的表述都進(jìn)一步明確了不能與特定自然人相關(guān)聯(lián)的信息(即缺乏可識(shí)別性的信息)應(yīng)當(dāng)排除在個(gè)人信息的范圍之外?？梢?jiàn)，《解釋》與《個(gè)人信息保護(hù)法》所定義的個(gè)人信息的根本屬性都具有“可識(shí)別性”這一特征。雖然在定義的表述上存在差別，但只要定義落腳的根本屬性沒(méi)有實(shí)質(zhì)性區(qū)別，那就應(yīng)該認(rèn)為《解釋》中的“個(gè)人信息”與《個(gè)人信息保護(hù)法》中的“個(gè)人信息”在本質(zhì)上并無(wú)二致。

需要指出的是，《個(gè)人信息保護(hù)法》對(duì)死者個(gè)人信息的保護(hù)作了專門(mén)規(guī)定。該法第49條指出，自然人死亡的，其近親屬為了自身的合法、正當(dāng)利益，可以對(duì)死者的相關(guān)個(gè)人信息行使本章規(guī)定的查閱、復(fù)制、更正、刪除等權(quán)利；死者生前另有安排的除外。在前置法對(duì)死者個(gè)人信息的處理作出規(guī)定的前提之下，死者個(gè)人信息是否可以成為刑法侵犯公民個(gè)人信息罪的對(duì)象？對(duì)此，理論上存在一定的爭(zhēng)議。

筆者認(rèn)為，侵犯公民個(gè)人信息罪的對(duì)象只能是具有生命的特定自然人的個(gè)人信息，死者個(gè)人信息不能成為侵犯公民個(gè)人信息罪的對(duì)象，主要有兩個(gè)理由。其一，從文義角度分析，侵犯公民個(gè)人信息罪中“個(gè)人信息”的范圍限定在“公民”，而公民的定義為，具有某一國(guó)國(guó)籍，并根據(jù)該國(guó)法律規(guī)定享有權(quán)利和承擔(dān)義務(wù)的人。顯然死者不屬于公民的范圍，死者個(gè)人信息也就不能成為侵犯公民個(gè)人信息罪的對(duì)象。其二，從法益角度分析，侵犯公民個(gè)人信息罪被規(guī)定在刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪中。眾所周知，自然人的人身權(quán)利、民主權(quán)利都以生命的存在為前提，因此該章中的所有犯罪指向的對(duì)象都應(yīng)該是具有生命的自然人。例如，侮辱罪的對(duì)象必須是具有生命的活人，如果行為人對(duì)死者進(jìn)行侮辱，可能構(gòu)成《刑法》第302條的侮辱尸體罪；如果行為人對(duì)英雄烈士的名譽(yù)、榮譽(yù)進(jìn)行侮辱，則可能構(gòu)成《刑法修正案(十一)》新增設(shè)的侵害英雄烈士名譽(yù)、榮譽(yù)罪。由于死者已經(jīng)失去了生命，其人身權(quán)利也隨之消失，而其人身權(quán)利之下的個(gè)人信息自由、安全權(quán)和隱私權(quán)當(dāng)然就不可能存在。由此可見(jiàn)，侵犯公民個(gè)人信息罪的犯罪對(duì)象不能也不應(yīng)包含死者個(gè)人信息。刑法分則設(shè)置與死者有關(guān)的罪名是出于維護(hù)社會(huì)管理秩序的需要，只有當(dāng)死者的相關(guān)利益與社會(huì)管理秩序發(fā)生重合時(shí)，才會(huì)從維護(hù)社會(huì)管理秩序的角度出發(fā)，對(duì)這部分重合的利益予以刑法上的保護(hù)。侮辱尸體罪和侵害英雄烈士名譽(yù)、榮譽(yù)罪都被設(shè)置在刑法分則第六章妨害社會(huì)管理秩序罪之中，這足以證明刑法層面對(duì)死者相關(guān)利益的保護(hù)完全是基于社會(huì)管理秩序，而不是死者相關(guān)利益，也進(jìn)一步證實(shí)了死者個(gè)人信息不能成為侵犯公民個(gè)人信息罪的犯罪對(duì)象。

事實(shí)上，《個(gè)人信息保護(hù)法》第2條規(guī)定，自然人的個(gè)人信息受法律保護(hù)，任何組織、個(gè)人不得侵害自然人的個(gè)人信息權(quán)益。也即只有自然人的個(gè)人信息受法律保護(hù)，已經(jīng)失去了生命的死者不能稱之為自然人，死者個(gè)人信息當(dāng)然不屬于《個(gè)人信息保護(hù)法》中“個(gè)人信息”的保護(hù)范圍?！秱€(gè)人信息保護(hù)法》第49條之所以會(huì)對(duì)死者個(gè)人信息的處理作出規(guī)定，實(shí)際上是為了保護(hù)死者近親屬合法、正當(dāng)?shù)臋?quán)益。死者雖然已經(jīng)去世，但死者的許多近親屬依然在世。死者的近親屬作為有生命的自然人，基于合法、正當(dāng)?shù)哪康模袡?quán)在有限的范圍內(nèi)處理死者的相關(guān)個(gè)人信息。應(yīng)該看到，《個(gè)人信息保護(hù)法》第49條的規(guī)定，很大程度上是受到了《民法典》相關(guān)規(guī)定的影響?！睹穹ǖ洹返?94條規(guī)定，死者的姓名、肖像、名譽(yù)、榮譽(yù)、隱私、遺體等受到侵害的，其配偶、子女、父母有權(quán)依法請(qǐng)求行為人承擔(dān)民事責(zé)任；死者沒(méi)有配偶、子女且父母已經(jīng)死亡的，其他近親屬有權(quán)依法請(qǐng)求行為人承擔(dān)民事責(zé)任。依筆者之見(jiàn)，《個(gè)人信息保護(hù)法》關(guān)于死者個(gè)人信息處理的規(guī)定是對(duì)《民法典》第994條規(guī)定的具體細(xì)化?！睹穹ǖ洹肥菑谋Ｗo(hù)人格權(quán)益的角度出發(fā)，概括性地表明死者人格權(quán)益需要被保護(hù)，但對(duì)于其中的死者個(gè)人信息如何保護(hù)并沒(méi)有詳細(xì)規(guī)定。《個(gè)人信息保護(hù)法》則是在《民法典》的基礎(chǔ)上，從保護(hù)個(gè)人信息安全的角度出發(fā)，進(jìn)一步細(xì)化了對(duì)死者個(gè)人信息的保護(hù)方式。但是，由于個(gè)人信息的定義排斥死者個(gè)人信息，導(dǎo)致《個(gè)人信息保護(hù)法》只能從保護(hù)死者近親屬合法、正當(dāng)權(quán)益的角度出發(fā)，制定與死者個(gè)人信息處理有關(guān)的法條，就此才有了第49條的規(guī)定。不同于《民法典》和《個(gè)人信息保護(hù)法》，《刑法》是規(guī)定犯罪、刑事責(zé)任和刑罰的法律規(guī)范，我們不能因?yàn)榍爸梅▽?duì)死者個(gè)人信息的處理作出了規(guī)定，就想當(dāng)然地認(rèn)為《刑法》侵犯公民個(gè)人信息罪的對(duì)象也應(yīng)該包含死者個(gè)人信息。綜上所述，死者個(gè)人信息不能被解釋為侵犯公民個(gè)人信息罪中的“個(gè)人信息”。

二、侵犯公民個(gè)人信息罪中個(gè)人信息分類的調(diào)整

應(yīng)該看到，《解釋》和《個(gè)人信息保護(hù)法》對(duì)于個(gè)人信息分別作了不同的分類?！督忉尅返?條第1款第3、4、5項(xiàng)明確規(guī)定，侵犯公民個(gè)人信息罪中的個(gè)人信息有三類，分別是行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息(第一類信息)；住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息(第二類信息)；以及上述兩類信息之外的個(gè)人信息(第三類信息)?！秱€(gè)人信息保護(hù)法》中的個(gè)人信息則被分為兩類，分別是敏感個(gè)人信息和一般個(gè)人信息。比較《解釋》與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息所作的不同分類，筆者認(rèn)為，《解釋》的規(guī)定似乎存在一定的不合理性。

其一，《解釋》很難將融合度較高的信息精準(zhǔn)歸入某一類別的信息之中。眾所周知，在大數(shù)據(jù)時(shí)代，個(gè)人信息的融合度越來(lái)越高，一條信息中包含的內(nèi)容可能是多條信息內(nèi)容的整合，如防控新冠肺炎疫情期間人們使用的“健康碼”?！敖】荡a”是反映個(gè)人身體健康狀況的電子憑證，依據(jù)《解釋》對(duì)個(gè)人信息的分類，可被歸入第二類信息中的“健康生理信息”。但隨著“互聯(lián)網(wǎng)+醫(yī)療健康”服務(wù)的不斷推進(jìn)，各地正在積極推動(dòng)通過(guò)技術(shù)手段將核酸檢測(cè)、疫苗接種和是否去過(guò)中高風(fēng)險(xiǎn)地區(qū)等信息在本人無(wú)需填報(bào)的情況下自動(dòng)整合到“健康碼”里。(2)參見(jiàn)《健康碼將整合疫苗接種和行程信息》，《瀟湘晨報(bào)》2021年3月24日，A05版。一旦將是否去過(guò)中高風(fēng)險(xiǎn)地區(qū)等信息整合進(jìn)“健康碼”中，“健康碼”又可被歸入第一類信息中的“行蹤軌跡信息”。此時(shí)就會(huì)產(chǎn)生《解釋》中的第一類信息與第二類信息之間交叉、重合的問(wèn)題。對(duì)于融合度較高的信息，《解釋》很難精準(zhǔn)歸類，且容易在司法認(rèn)定中出現(xiàn)分歧。

其二，《解釋》對(duì)生物識(shí)別信息沒(méi)有明確規(guī)定和歸類，無(wú)法體現(xiàn)應(yīng)有的刑法保護(hù)。近年來(lái)，公眾對(duì)人臉信息、指紋信息等生物識(shí)別信息的關(guān)注度越來(lái)越高，杭州某動(dòng)物園“人臉識(shí)別第一案”等事件引發(fā)的社會(huì)熱議，將生物識(shí)別信息的法律保護(hù)問(wèn)題推向了輿論焦點(diǎn)?？梢?jiàn)，生物識(shí)別信息的重要性在大數(shù)據(jù)時(shí)代愈發(fā)凸顯，且越來(lái)越引起人們的重視。事實(shí)上，《解釋》在個(gè)人信息的分類中沒(méi)有直接提及生物識(shí)別信息，這在很大程度上容易引起理論上對(duì)生物識(shí)別信息歸屬問(wèn)題的爭(zhēng)議。有觀點(diǎn)認(rèn)為，生物識(shí)別信息應(yīng)被歸入第二類信息中的“健康生理信息”；也有觀點(diǎn)認(rèn)為，生物識(shí)別信息應(yīng)被歸入第二類信息中的“……等其他可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息”這一兜底規(guī)定；另有觀點(diǎn)認(rèn)為，生物識(shí)別信息應(yīng)被歸入第三類“一般個(gè)人信息”。(3)參見(jiàn)歐陽(yáng)本祺、王兆利：《人臉識(shí)別的合法性邊界與刑法適用限度》，《人民檢察》2021年第13期；李懷盛：《濫用個(gè)人生物識(shí)別信息的刑事制裁思路——以人工智能“深度偽造”為例》，《政法論壇》2020年第4期。

筆者對(duì)上述三種觀點(diǎn)均不贊同。筆者認(rèn)為，應(yīng)將生物識(shí)別信息歸入第一類信息。

首先，生物識(shí)別信息不同于健康生理信息。健康生理信息是指，反映自然人身體機(jī)能以及器官功能的信息，如自然人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄以及與自然人身體健康狀況相關(guān)的信息。生物識(shí)別信息是指，自然人所固有的生理特征和行為特征信息,如指紋、人臉、虹膜、筆跡、聲音、步態(tài)等。根據(jù)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布的《信息安全技術(shù)個(gè)人信息安全規(guī)范》，生物識(shí)別信息和健康生理信息分別屬于個(gè)人信息下的兩種不同信息。既然生物識(shí)別信息和健康生理信息是并列的，說(shuō)明這兩種信息的概念在外延上是相互排斥的，那么，就不能將這兩種信息視為同一信息。因此，刑法上不能將生物識(shí)別信息與健康生理信息混同。

其次，將生物識(shí)別信息歸入第二類信息中的“……等其他可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息”或者第三類“一般個(gè)人信息”，都不妥當(dāng)。原因在于，生物識(shí)別信息具有獨(dú)一無(wú)二性、較難更改性和可作密碼性等特性。其中，獨(dú)一無(wú)二性是指，相對(duì)于其他自然人而言，某一自然人的人臉、虹膜、聲音等生物識(shí)別信息具有排他性。較難更改性是指，自然人的虹膜、靜脈、視網(wǎng)膜等信息完全無(wú)法更改；人臉、聲音、筆跡等信息盡管可以通過(guò)整容手術(shù)、后期訓(xùn)練等方式進(jìn)行有限度的更改，但需要付出較高的代價(jià)，通常情況下較難被輕易更改?？勺髅艽a性是指，自然人的指紋、人臉等信息可以被當(dāng)作密碼在移動(dòng)支付領(lǐng)域廣泛使用。不難看出，生物識(shí)別信息與公民人身安全、財(cái)產(chǎn)安全有著密切的聯(lián)系。正是由于同時(shí)具有上述特征，因而生物識(shí)別信息非常特殊，在刑法層面應(yīng)該對(duì)其予以重點(diǎn)保護(hù)。

但按照《解釋》的規(guī)定，對(duì)于行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息(即第一類信息)，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)是“50條以上”;對(duì)于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息(即第二類信息)，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)是“500條以上”；對(duì)于一般個(gè)人信息(即第三類信息)，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)是“5 000條以上”。不難看出，《解釋》對(duì)第一類信息設(shè)置的入罪門(mén)檻最低，對(duì)第二類信息設(shè)置的入罪門(mén)檻相較第一類信息稍高，對(duì)第三類信息設(shè)置的入罪門(mén)檻相較第一類信息更高。這也就意味著《解釋》對(duì)于第一類信息的保護(hù)力度最強(qiáng)，對(duì)第二類信息的保護(hù)力度相較第一類信息稍弱，對(duì)第三類信息的保護(hù)力度相較第一類信息更弱。如果將生物識(shí)別信息歸入第二類信息中的“……等其他可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息”，侵犯公民生物識(shí)別信息的入罪門(mén)檻就是500條；如果將生物識(shí)別信息歸入第三類“一般個(gè)人信息”，侵犯公民生物識(shí)別信息的入罪門(mén)檻就是5 000條。顯然，500條或5 000條的入罪門(mén)檻對(duì)于侵犯公民生物識(shí)別信息而言過(guò)高，無(wú)法凸顯刑法層面對(duì)于生物識(shí)別信息的重點(diǎn)保護(hù)。

最后，在筆者看來(lái)，應(yīng)將生物識(shí)別信息歸入第一類信息。即侵犯公民生物識(shí)別信息與侵犯公民行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息一樣，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)是“50條以上”。雖然《解釋》中的第一類信息在列舉相關(guān)示例之后并沒(méi)有加上“等”字，導(dǎo)致司法實(shí)踐中無(wú)法將第一類信息的內(nèi)容擴(kuò)大到其他類型的個(gè)人信息，但是生物識(shí)別信息與第一類信息中所列舉的行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息的重要性基本相同，即符合刑法中的同質(zhì)性要求，因此刑法層面應(yīng)當(dāng)對(duì)與第一類信息重要性基本相同的生物識(shí)別信息給予基本相同的保護(hù)力度。依據(jù)《解釋》的規(guī)定，第一類信息中所列舉的內(nèi)容不包含生物識(shí)別信息，這恰恰暴露了《解釋》存在的問(wèn)題。為了實(shí)現(xiàn)對(duì)生物識(shí)別信息的重點(diǎn)保護(hù)，我們應(yīng)該著眼于“實(shí)質(zhì)”，而不是囿于“形式”。(4)“實(shí)質(zhì)”是指具有同質(zhì)性的個(gè)人信息，“形式”是指《解釋》的文字性規(guī)定?？梢?jiàn)，將生物識(shí)別信息歸入《解釋》中的第一類信息無(wú)疑是較為合理的做法。

綜上，《解釋》對(duì)融合度較高的信息無(wú)法準(zhǔn)確分類以及對(duì)生物識(shí)別信息缺乏明確規(guī)定和歸類等問(wèn)題，在很大程度上反映了其相關(guān)規(guī)定確實(shí)具有較大的缺陷或弊端，從而進(jìn)一步證明了其采用的“三分法”存在漏洞。

相比之下，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的分類則較為科學(xué)、明確、合理，主要有兩個(gè)理由。

第一，《個(gè)人信息保護(hù)法》在個(gè)人信息的分類上歸納性較強(qiáng)?！秱€(gè)人信息保護(hù)法》采用“二分法”，將個(gè)人信息分為敏感個(gè)人信息和一般個(gè)人信息?！秱€(gè)人信息保護(hù)法》第28條第1款規(guī)定，敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。敏感個(gè)人信息之外的其他個(gè)人信息就屬于一般個(gè)人信息。筆者認(rèn)為，《個(gè)人信息保護(hù)法》以“信息一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害”作為劃分敏感個(gè)人信息和一般個(gè)人信息的標(biāo)準(zhǔn)，無(wú)疑歸納性較強(qiáng)，且具備一定的科學(xué)性，并能夠?qū)Υ髷?shù)據(jù)時(shí)代融合度較高的個(gè)人信息進(jìn)行精準(zhǔn)歸類。以前述“健康碼”為例，按照《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的分類，無(wú)論是將“健康碼”認(rèn)定為醫(yī)療健康信息還是行蹤軌跡信息，都不會(huì)發(fā)生類似于《解釋》中的不同類別信息之間交叉、重合的問(wèn)題，因?yàn)椤秱€(gè)人信息保護(hù)法》將醫(yī)療健康信息和行蹤軌跡信息都?xì)w入了敏感個(gè)人信息的范疇。大數(shù)據(jù)時(shí)代個(gè)人信息的融合度越來(lái)越高，在確定某一信息的性質(zhì)時(shí)容易產(chǎn)生性質(zhì)判斷上的困惑。但是，只要該信息一旦被泄露或者被非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害，該信息就屬于敏感個(gè)人信息。正是由于《個(gè)人信息保護(hù)法》在個(gè)人信息的分類上歸納性較強(qiáng)，因而該法可以對(duì)融合度較高的個(gè)人信息精準(zhǔn)“定類”，這無(wú)疑更有利于具體的司法適用。

第二，《個(gè)人信息保護(hù)法》突出了對(duì)生物識(shí)別信息的保護(hù)力度。《個(gè)人信息保護(hù)法》第28條對(duì)敏感個(gè)人信息的定義采取的是“概括+列舉”的方式，在該條羅列的具體對(duì)象中，生物識(shí)別信息被放在首位?！秱€(gè)人信息保護(hù)法》將生物識(shí)別信息納入敏感個(gè)人信息這一范疇，予以該信息與行蹤軌跡信息、金融賬戶信息等其他敏感個(gè)人信息同等的保護(hù)力度，進(jìn)一步突出強(qiáng)調(diào)了生物識(shí)別信息的重要性。這也在一定程度上證實(shí)了筆者的前述觀點(diǎn)(即在《解釋》尚未對(duì)生物識(shí)別信息予以明確規(guī)定和歸類的情形下，司法實(shí)踐中應(yīng)當(dāng)將生物識(shí)別信息歸入《解釋》中的第一類信息)是正確的。

綜上，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息分類采用的“二分法”更加科學(xué)、明確、合理。在《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的分類有了明確規(guī)定的前提下，兩高應(yīng)及時(shí)對(duì)相關(guān)司法解釋進(jìn)行修訂或重新頒發(fā)，按照《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息分類的“二分法”，將侵犯公民個(gè)人信息罪中的個(gè)人信息分為敏感個(gè)人信息和一般個(gè)人信息。這樣既能體現(xiàn)刑法層面對(duì)《個(gè)人信息保護(hù)法》較為科學(xué)的信息分類標(biāo)準(zhǔn)的肯定，又能使保障法與前置法之間的銜接更加順暢，無(wú)疑是明智之舉。

三、侵犯公民個(gè)人信息罪中行為方式的調(diào)整

《刑法》第253條之一第1款和第3款規(guī)定，侵犯公民個(gè)人信息罪的行為方式是“向他人非法出售或者提供公民個(gè)人信息”以及“竊取或者以其他方法非法獲取公民個(gè)人信息”。依筆者之見(jiàn)，現(xiàn)行刑法有關(guān)侵犯公民個(gè)人信息罪行為方式的規(guī)定并不能夠完全涵攝現(xiàn)實(shí)生活中紛繁復(fù)雜且嚴(yán)重侵犯公民個(gè)人信息的行為表現(xiàn)，尤其是大數(shù)據(jù)時(shí)代侵犯公民個(gè)人信息行為的表現(xiàn)形式遠(yuǎn)不止非法出售、非法提供、非法獲取這三種行為方式。侵犯公民個(gè)人信息罪將“侵犯”一詞限縮為“非法出售、非法提供、非法獲取”這三種行為方式，似乎存在罪名設(shè)定太大、行為方式范圍規(guī)制太小的問(wèn)題。就此而言，在《個(gè)人信息保護(hù)法》已經(jīng)出臺(tái)的時(shí)下，應(yīng)適時(shí)調(diào)整現(xiàn)行刑法對(duì)侵犯公民個(gè)人信息罪行為方式的規(guī)定，特別是應(yīng)將合法獲取個(gè)人信息后非法使用個(gè)人信息的行為納入侵犯公民個(gè)人信息罪的行為方式范疇中。

首先，從必要性角度分析，合法獲取個(gè)人信息后非法使用個(gè)人信息的行為相比非法獲取個(gè)人信息的行為，社會(huì)危害性更大。互聯(lián)網(wǎng)的飛速發(fā)展使我們身邊的信息呈“指數(shù)級(jí)”爆炸式的增長(zhǎng)，個(gè)人信息暴露于公眾視野之下的概率越來(lái)越高，由此引發(fā)的對(duì)個(gè)人信息進(jìn)行非法使用的行為，在當(dāng)下有愈演愈烈之勢(shì)。近年來(lái)，AI換臉軟件所依托的深度偽造技術(shù)(deepfake)在網(wǎng)絡(luò)上走紅。深度偽造技術(shù)是指，借助于人工智能的深度學(xué)習(xí)功能，對(duì)音、視頻進(jìn)行分析和映射，使用名為遞歸神經(jīng)網(wǎng)絡(luò)的深度學(xué)習(xí)算法，將音、視頻中的聲音或畫(huà)面元素更換，用他人的聲音或人臉取代原有音、視頻中的聲音或人臉，拼接合成虛假內(nèi)容的人工智能技術(shù)。(5)參見(jiàn)《世界周刊：深度偽造》，http://tv.cctv.com/2019/04/28/VIDE0aLKiWV83f2PrbZDF4G0190428.shtml，訪問(wèn)日期：2021年8月19日。2018年4月，一段主角為美國(guó)第44任總統(tǒng)奧巴馬的視頻在推特上獲得200多萬(wàn)次的播放和5萬(wàn)多個(gè)點(diǎn)贊。奧巴馬在視頻中說(shuō)“特朗普是個(gè)徹頭徹尾的笨蛋”，但實(shí)際上這段話并非出自?shī)W巴馬，而是美國(guó)一位導(dǎo)演公開(kāi)發(fā)表的言論。(6)參見(jiàn)《眼見(jiàn)為實(shí)？“深度偽造”了解一下》，http://www.banyuetan.org/kj/detail/20190925/1000200033136211-569379673975945653_1.html，訪問(wèn)日期：2021年8月19日。深度偽造技術(shù)的出現(xiàn)，導(dǎo)致傳統(tǒng)的“眼見(jiàn)為實(shí)”“耳聽(tīng)為虛”“百聞不如一見(jiàn)”等觀念面臨著前所未有的挑戰(zhàn)。應(yīng)該看到，借助深度偽造技術(shù)對(duì)個(gè)人信息進(jìn)行非法使用的行為大部分是合法獲取行為與非法使用行為的結(jié)合。當(dāng)下，互聯(lián)網(wǎng)上存在著大量可隨時(shí)獲取的公開(kāi)信息，其中就包含了政治領(lǐng)導(dǎo)人或者公眾人物的聲音以及人臉等敏感個(gè)人信息。獲取上述個(gè)人信息并不需要借助非法手段，行為人可直接利用互聯(lián)網(wǎng)資源，合法取得所需要的信息，這就導(dǎo)致了侵害個(gè)人信息的主體呈現(xiàn)多元化，侵害手段日益專業(yè)化和復(fù)雜化。(7)黃麗勤、宋駿男：《未成年人數(shù)據(jù)權(quán)的二元保護(hù)研究》，《青少年犯罪問(wèn)題》2020年第4期。如果行為人合法獲取了公眾人物的聲音或人臉信息后，利用深度偽造技術(shù)對(duì)這些個(gè)人信息實(shí)施非法使用行為，不僅對(duì)個(gè)人信息的安全造成了嚴(yán)重危害，而且嚴(yán)重侵犯了個(gè)人的肖像權(quán)、名譽(yù)權(quán)等基本權(quán)利，更可能衍生出侮辱、誹謗等侵犯公民人身權(quán)利的犯罪行為，甚者可能危及社會(huì)經(jīng)濟(jì)秩序以及國(guó)家安全。

除此之外，多次沖上熱搜的大數(shù)據(jù)殺熟事件，同樣引發(fā)了公眾對(duì)個(gè)人信息保護(hù)的熱議。大數(shù)據(jù)殺熟是指，經(jīng)營(yíng)者借助大數(shù)據(jù)分析手段，在同一平臺(tái)、同一時(shí)段，針對(duì)同一商品或服務(wù)，在價(jià)格設(shè)置上對(duì)新老客戶進(jìn)行區(qū)別對(duì)待。對(duì)老客戶設(shè)置明顯高于新客戶的價(jià)格，即所謂的“殺熟”。北京市消協(xié)的一項(xiàng)調(diào)查顯示，88.32%的被調(diào)查者認(rèn)為“大數(shù)據(jù)殺熟”現(xiàn)象普遍或很普遍；56.92%的被調(diào)查者表示有過(guò)被殺熟的經(jīng)歷。(8)參見(jiàn)《北京市消協(xié)發(fā)布“大數(shù)據(jù)殺熟”問(wèn)題調(diào)查結(jié)果》，https://baijiahao.baidu.com/s?id=1629203913661292412&wfr=spider&for=pc，訪問(wèn)日期：2021年8月19日。大數(shù)據(jù)殺熟實(shí)質(zhì)上可歸結(jié)為借助自動(dòng)化決策技術(shù)非法使用個(gè)人信息。開(kāi)發(fā)自動(dòng)化決策技術(shù)的本意是提高處理個(gè)人信息的效率，但借助該項(xiàng)技術(shù)對(duì)合法獲取的個(gè)人信息進(jìn)行非法使用，反倒使其成為助推大數(shù)據(jù)殺熟的工具。借助自動(dòng)化決策技術(shù)對(duì)個(gè)人信息進(jìn)行非法使用的行為，不僅侵害了個(gè)人信息的安全，而且可能導(dǎo)致公民遭受不必要的財(cái)產(chǎn)損失。對(duì)此，《個(gè)人信息保護(hù)法》第24條第1款規(guī)定，個(gè)人信息處理者利用個(gè)人信息進(jìn)行自動(dòng)化決策，應(yīng)當(dāng)保證決策的透明度和結(jié)果公平、公正，不得對(duì)個(gè)人在交易價(jià)格等交易條件上實(shí)行不合理的差別待遇。

利用深度偽造技術(shù)與自動(dòng)化決策技術(shù)對(duì)個(gè)人信息進(jìn)行非法使用的行為之所以被人們?cè)嵅?，是因?yàn)檫@些違法行為都已經(jīng)嚴(yán)重威脅到了個(gè)人信息的安全。如果行為人是合法獲取的個(gè)人信息，之后又實(shí)施了非法利用個(gè)人信息的行為，由于其獲取個(gè)人信息的行為是合法的，因而其前行為無(wú)法被認(rèn)定為侵犯公民個(gè)人信息罪的行為，這就需要對(duì)其后續(xù)非法使用個(gè)人信息的行為進(jìn)行評(píng)價(jià)。如前所述，我國(guó)現(xiàn)行刑法有關(guān)侵犯公民個(gè)人信息罪的規(guī)定實(shí)際上并未將非法使用個(gè)人信息的行為納入該罪的規(guī)制范圍，導(dǎo)致無(wú)法對(duì)合法獲取個(gè)人信息后實(shí)施非法使用個(gè)人信息行為的行為人追究刑事責(zé)任。這顯然是不妥當(dāng)?shù)模驗(yàn)榕c非法獲取個(gè)人信息行為相比，非法使用個(gè)人信息行為的社會(huì)危害性更大。非法使用個(gè)人信息行為能夠借助技術(shù)手段，持續(xù)擴(kuò)大侵害范圍。例如，AI換臉技術(shù)對(duì)公民人身安全造成的侵害不言而喻，當(dāng)行為人利用AI換臉技術(shù)欺騙應(yīng)用程序，實(shí)施盜刷資金等侵財(cái)行為，又會(huì)對(duì)公民財(cái)產(chǎn)安全造成嚴(yán)重?fù)p害。如果在疫情特殊時(shí)期，AI換臉技術(shù)被非法用于偽造、散播不實(shí)言論，還可能對(duì)社會(huì)秩序造成極大破壞。若放任合法獲取個(gè)人信息后非法使用個(gè)人信息的行為方式游離在刑法侵犯公民個(gè)人信息罪規(guī)制的射程之外，極易衍生出個(gè)人信息處理過(guò)程中的黑灰產(chǎn)業(yè)鏈。(9)張旭、朱笑延：《“全民觸網(wǎng)”時(shí)代兒童個(gè)人信息安全的保護(hù)路徑》，《青少年犯罪問(wèn)題》2020年第1期。從刑法原理分析，社會(huì)危害性相對(duì)較輕的非法獲取個(gè)人信息的行為已經(jīng)被歸入侵犯公民個(gè)人信息罪的行為方式中，而社會(huì)危害性相對(duì)較大的非法使用個(gè)人信息的行為卻未被歸入，確實(shí)存在諸多不合理性。

其次，從可行性角度分析，《民法典》《個(gè)人信息保護(hù)法》等相關(guān)法律的出臺(tái)，為刑法將合法獲取個(gè)人信息后非法使用個(gè)人信息的行為納入侵犯公民個(gè)人信息罪的規(guī)制范圍提供了有力的依據(jù)。我國(guó)《個(gè)人信息保護(hù)法》的專家建議稿從2003年開(kāi)始起草，2005年初已經(jīng)完成。2005年國(guó)務(wù)院有關(guān)部門(mén)啟動(dòng)了《個(gè)人信息保護(hù)法》的立法程序，并交由國(guó)務(wù)院信息管理辦公室正式起草，但時(shí)至2021年《個(gè)人信息保護(hù)法》才正式通過(guò)。(10)劉憲權(quán)、方晉曄：《個(gè)人信息權(quán)刑法保護(hù)的立法及完善》，《華東政法大學(xué)學(xué)報(bào)》2009年第3期。期間，2009年頒布的《刑法修正案(七)》增設(shè)了非法出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪。然而，《刑法修正案(七)》對(duì)個(gè)人信息刑法保護(hù)的首次“試水”卻引發(fā)了新的問(wèn)題。那就是在民法、行政法作出相關(guān)規(guī)定之前，先行通過(guò)刑法對(duì)個(gè)人信息進(jìn)行保護(hù)，導(dǎo)致我國(guó)對(duì)個(gè)人信息的保護(hù)陷入了“先刑后民”的尷尬局面。這多少說(shuō)明我國(guó)對(duì)個(gè)人信息的民法保護(hù)已嚴(yán)重滯后于信息時(shí)代的實(shí)際需求，刑法只能在“配合”民法關(guān)于個(gè)人信息權(quán)利屬性定位的情況下審慎入刑。正因如此，大量具有嚴(yán)重社會(huì)危害性的侵害個(gè)人信息的行為無(wú)法得到有效制裁。(11)于沖：《侵犯公民個(gè)人信息罪中“公民個(gè)人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期。

2015年頒布的《刑法修正案(九)》將《刑法修正案(七)》增設(shè)的非法出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪兩個(gè)罪名整合為侵犯公民個(gè)人信息罪一個(gè)罪名，但對(duì)于合并之后的該罪行為方式?jīng)]有作出實(shí)質(zhì)性調(diào)整。一方面是因?yàn)榍址腹駛€(gè)人信息罪的前置法(即《個(gè)人信息保護(hù)法》)尚未出臺(tái)，立法者在修訂該罪時(shí)仍舊持較為謹(jǐn)慎、保守的態(tài)度。另一方面是因?yàn)?015年自動(dòng)化決策、深度偽造等技術(shù)尚未興起，立法者無(wú)法預(yù)料未來(lái)可能出現(xiàn)的侵犯公民個(gè)人信息的新型行為方式。隨著技術(shù)的不斷創(chuàng)新，各類新科技、新事物紛紛涌現(xiàn)，現(xiàn)實(shí)生活中利用科技手段侵犯公民個(gè)人信息的行為方式越變?cè)綇?fù)雜，且已經(jīng)超出了非法出售、提供、獲取的范圍。這些借助科技手段侵犯公民個(gè)人信息的行為方式所帶來(lái)的風(fēng)險(xiǎn)，立法者不能視而不見(jiàn)，而應(yīng)該積極回應(yīng)。

2020年頒布的《民法典》從民事層面構(gòu)建了個(gè)人信息民法保護(hù)的基本框架?！睹穹ǖ洹返?11條規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息?！?021年頒布的《個(gè)人信息保護(hù)法》在《民法典》的基礎(chǔ)上進(jìn)一步深化了個(gè)人信息法律保護(hù)的細(xì)則?！秱€(gè)人信息保護(hù)法》第10條規(guī)定：“任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開(kāi)他人個(gè)人信息；不得從事危害國(guó)家安全、公共利益的個(gè)人信息處理活動(dòng)?！痹诖髷?shù)據(jù)時(shí)代，對(duì)個(gè)人信息的保護(hù)應(yīng)該是多角度、全方位、綜合性的。應(yīng)該承認(rèn)，《民法典》和《個(gè)人信息保護(hù)法》奠定了個(gè)人信息保護(hù)的基本原則和規(guī)則(12)孫益武：《兒童個(gè)人信息保護(hù)是偽命題還是真難題——兼評(píng)〈兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定〉》，《青少年犯罪問(wèn)題》2020年第2期。，是刑法侵犯公民個(gè)人信息罪的前置法，前置法中的相關(guān)規(guī)定可為刑法侵犯公民個(gè)人信息罪規(guī)定的完善提供路徑。對(duì)比上述前置法與刑法中有關(guān)個(gè)人信息的規(guī)定不難發(fā)現(xiàn)，現(xiàn)行刑法侵犯公民個(gè)人信息罪規(guī)定的非法出售、提供、獲取的行為都已經(jīng)明確被前置法規(guī)定為違法行為，而前置法規(guī)定的違法行為，如非法使用、加工他人個(gè)人信息的行為，則尚未被納入刑法侵犯公民個(gè)人信息罪的行為方式之中。這里就出現(xiàn)了一個(gè)問(wèn)題，刑法是否要將這些行為納入侵犯公民個(gè)人信息罪的行為方式呢？在筆者看來(lái)，前置法不認(rèn)為是違法的行為，刑法當(dāng)然也不可能認(rèn)定為犯罪；前置法認(rèn)為是違法的行為，刑法并不一定都要認(rèn)定為犯罪。但是，對(duì)于非法使用個(gè)人信息的行為，由于該行為具備嚴(yán)重的社會(huì)危害性，嚴(yán)重危及個(gè)人信息安全，且該行為正是現(xiàn)行刑法在打擊侵犯公民個(gè)人信息行為時(shí)所欠缺的重要內(nèi)容，前置法也已經(jīng)將該行為明確規(guī)定為違法，因此刑法沒(méi)有“原地待命”“保持不動(dòng)”的理由。刑法有關(guān)侵犯公民個(gè)人信息罪的相關(guān)規(guī)定若繼續(xù)囿于《刑法修正案(七)》和《刑法修正案(九)》制定的非法出售、提供、獲取行為方式的框架，完全可能陷入刑法規(guī)制不充分的窘境。

值得一提的是，刑法中已有類似罪名將非法使用個(gè)人信息的行為規(guī)定為犯罪，如使用虛假身份證件、盜用身份證件罪。該罪是指，在依照國(guó)家規(guī)定應(yīng)當(dāng)提供身份證明的活動(dòng)中，使用偽造、變?cè)斓幕蛘弑I用他人的居民身份證、護(hù)照、社會(huì)保障卡、駕駛證等依法可以用于證明身份的證件的行為。使用虛假身份證件、盜用身份證件的行為屬于非法使用身份信息的行為，而非法使用身份信息又是非法使用個(gè)人信息的表現(xiàn)形式之一。依筆者之見(jiàn)，合法獲取個(gè)人信息后非法使用個(gè)人信息行為的社會(huì)危害性與單純的非法使用身份信息行為的社會(huì)危害性至少是相當(dāng)?shù)?。既然刑法上將非法使用身份信息的行為?guī)定為使用虛假身份證件罪的行為方式，那么，將合法獲取個(gè)人信息后非法使用個(gè)人信息的行為增設(shè)為侵犯公民個(gè)人信息罪的行為方式，也就不存在障礙。

此處需要指出的是，非法使用個(gè)人信息行為的前提必須是合法獲取個(gè)人信息。換言之，如果行為人非法獲取個(gè)人信息后又非法使用個(gè)人信息，便不能將該行為歸入“非法使用個(gè)人信息”這一新增的行為方式加以評(píng)判。這是因?yàn)?，非法獲取個(gè)人信息后又非法使用個(gè)人信息的行為其實(shí)是非法獲取個(gè)人信息的后續(xù)衍生行為。非法獲取個(gè)人信息的行為已經(jīng)對(duì)公民個(gè)人信息的安全造成了侵害，后續(xù)的非法使用個(gè)人信息的行為同樣是對(duì)公民個(gè)人信息安全的侵害，因而后續(xù)非法使用個(gè)人信息的行為不需要在侵犯公民個(gè)人信息罪中再被評(píng)價(jià)一次。對(duì)于非法獲取個(gè)人信息后非法利用個(gè)人信息的行為，完全可以直接按照侵犯公民個(gè)人信息罪現(xiàn)有行為方式之一的“非法獲取”行為加以認(rèn)定。就好比盜竊他人財(cái)物后進(jìn)行銷贓，銷贓行為是盜竊行為的后續(xù)衍生行為，由于盜竊行為已經(jīng)對(duì)公民的財(cái)產(chǎn)權(quán)利造成了侵害，因此只需要評(píng)價(jià)盜竊行為即可，而不需要單獨(dú)評(píng)價(jià)后續(xù)的銷贓行為。但對(duì)于合法獲取個(gè)人信息后非法使用個(gè)人信息的行為，因?yàn)楹戏ǐ@取個(gè)人信息的行為并不包含在刑法侵犯公民個(gè)人信息罪行為方式的范圍中，所以需要著眼于合法獲取個(gè)人信息之后所實(shí)施的非法利用個(gè)人信息的行為，對(duì)其進(jìn)行刑法層面的評(píng)判。在《個(gè)人信息保護(hù)法》已經(jīng)出臺(tái)的時(shí)下，我們有理由借此東風(fēng)適時(shí)對(duì)侵犯公民個(gè)人信息罪的行為方式作出修正，將合法獲取個(gè)人信息后又非法使用的行為納入刑法侵犯公民個(gè)人信息罪的行為方式之中，以最大程度規(guī)范使用公民個(gè)人信息的行為。

另外，需要強(qiáng)調(diào)的是，現(xiàn)行刑法有關(guān)侵犯公民個(gè)人信息罪中的個(gè)人信息不包括依法公開(kāi)的個(gè)人信息。因?yàn)橐婪ü_(kāi)的個(gè)人信息任何人都可能或有權(quán)利獲取，此時(shí)的獲取或提供個(gè)人信息并不違反國(guó)家有關(guān)規(guī)定，相關(guān)行為也就不可能具有非法性。(13)劉憲權(quán)、房慧穎：《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報(bào)》2017年第6期。但是，如果將合法獲取個(gè)人信息后非法使用的行為歸入侵犯公民個(gè)人信息罪的行為方式中，侵犯公民個(gè)人信息罪中的“個(gè)人信息”就可能包含已公開(kāi)的個(gè)人信息。這是因?yàn)?，合法獲取的個(gè)人信息可能是未公開(kāi)的個(gè)人信息(如經(jīng)信息主體授權(quán)的未公開(kāi)個(gè)人信息)，也可能是已公開(kāi)的個(gè)人信息(如在互聯(lián)網(wǎng)等平臺(tái)可以隨時(shí)查詢到的已公開(kāi)個(gè)人信息)，使用人超出授權(quán)范圍處理未公開(kāi)個(gè)人信息或者非法處理已公開(kāi)個(gè)人信息，均屬于合法獲取個(gè)人信息后非法使用的行為。由此可知，合法獲取后非法使用個(gè)人信息中的“個(gè)人信息”與非法出售、提供、獲取個(gè)人信息中的“個(gè)人信息”不完全相同。就此而言，不能將合法獲取后非法使用個(gè)人信息的行為直接加入《刑法》第253條之一第1款或第3款的規(guī)定之中。

在筆者看來(lái)，最為妥當(dāng)?shù)姆绞绞钦{(diào)整《刑法》第253條之一第2款的規(guī)定。該款規(guī)定，違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。該款規(guī)定的在履行職責(zé)或者提供服務(wù)過(guò)程中獲得公民個(gè)人信息的行為即屬于一種合法獲取個(gè)人信息的行為，這一行為與筆者建議新增的“合法獲取后非法使用”的行為在“合法獲取”這一行為方式上存在重合之處。而且，該款規(guī)定對(duì)于合法獲取的個(gè)人信息非法出售或者提供的行為需要從重處罰，將這一規(guī)定與第1款僅有非法出售或者提供個(gè)人信息的行為不需要從重處罰的規(guī)定對(duì)比可以看到，立法者對(duì)于行為人合法獲取個(gè)人信息后實(shí)施侵犯公民個(gè)人信息的行為持更為嚴(yán)厲的打擊態(tài)度。非法使用個(gè)人信息的行為確實(shí)會(huì)對(duì)個(gè)人信息的安全造成更大的侵害，因而將“合法獲取后非法使用”的行為歸入第2款的規(guī)定，對(duì)非法使用個(gè)人信息的行為從重處罰，并無(wú)不妥。另外，這種歸入方式能夠?qū)⑿谭l文的變動(dòng)控制在較小范圍內(nèi)，有利于刑法的穩(wěn)定性。需要注意的是，該款將“合法獲取”的行為限定在“履行職責(zé)或者提供服務(wù)”的條件之下，但筆者認(rèn)為這一限定條件在當(dāng)下沒(méi)有繼續(xù)保留的必要，因?yàn)楹戏ǐ@取的場(chǎng)合在現(xiàn)實(shí)生活中并不局限于履行職責(zé)或者提供服務(wù)，在其他場(chǎng)合也存在合法獲取個(gè)人信息的可能性，所以建議刪除這一限定條件。據(jù)此，刑法侵犯公民個(gè)人信息罪的第2款規(guī)定可調(diào)整為，“將合法獲取的公民個(gè)人信息，出售或者提供給他人的，或者非法使用的，依照前款的規(guī)定從重處罰”。

還需要指出的是，現(xiàn)階段對(duì)合法獲取個(gè)人信息后非法使用個(gè)人信息的行為可能在取證上存在困難，實(shí)踐中也確實(shí)存在公民在個(gè)人信息被侵害后，因?yàn)榫S權(quán)成本較高、回報(bào)率較低而放棄借助司法程序維護(hù)個(gè)人信息安全的情況。(14)參見(jiàn)《75號(hào)咖啡-數(shù)據(jù)霸權(quán)：“大數(shù)據(jù)殺熟”等濫用用戶數(shù)據(jù)行為的檢察之治》，https://mp.weixin.qq.com/s/gb_sgbebv1ogeObQuX5_sQ，訪問(wèn)日期：2021年8月31日。但是，隨著《個(gè)人信息保護(hù)法》的頒行，社會(huì)公眾對(duì)個(gè)人信息的保護(hù)意識(shí)逐漸加強(qiáng)，有關(guān)部門(mén)對(duì)侵犯公民個(gè)人信息行為的打擊強(qiáng)度逐步加大，上述“取證難”“維權(quán)難”的情況將會(huì)越來(lái)越少。《個(gè)人信息保護(hù)法》第70條規(guī)定，個(gè)人信息處理者違反本法規(guī)定處理個(gè)人信息,侵害眾多個(gè)人的權(quán)益的，人民檢察院、法律規(guī)定的消費(fèi)者組織和由國(guó)家網(wǎng)信部門(mén)確定的組織可以依法向人民法院提起訴訟。2021年8月21日，最高人民檢察院下發(fā)的《關(guān)于貫徹執(zhí)行個(gè)人信息保護(hù)法推進(jìn)個(gè)人信息保護(hù)公益訴訟檢察工作的通知》中也明確要求，要延伸拓展公益訴訟檢察職能，推動(dòng)形成個(gè)人信息保護(hù)多元共治新格局。(15)參見(jiàn)《個(gè)人信息保護(hù)納入檢察公益訴訟法定領(lǐng)域》，https://mp.weixin.qq.com/s/TL3YURsuAnP6_pL8JFlKHw，訪問(wèn)日期：2021年8月27日。檢察機(jī)關(guān)可以與有關(guān)部門(mén)形成協(xié)作，在數(shù)據(jù)的固定、證據(jù)的獲取等方面提供充分支持，推進(jìn)構(gòu)建完整的個(gè)人信息安全保護(hù)預(yù)防機(jī)制、發(fā)現(xiàn)機(jī)制和應(yīng)急處理機(jī)制，進(jìn)一步加強(qiáng)與政府各職能部門(mén)的信息協(xié)同，整合信息資源力量，及時(shí)發(fā)現(xiàn)、及時(shí)轉(zhuǎn)送侵犯公民個(gè)人信息案件的線索。(16)蔡一博、吳濤：《利益衡量與場(chǎng)景實(shí)踐下的未成年人信息保護(hù)研究》，《青少年犯罪問(wèn)題》2021年第4期。相關(guān)技術(shù)部門(mén)也應(yīng)加強(qiáng)對(duì)個(gè)人信息使用過(guò)程的監(jiān)管力度，對(duì)于在使用個(gè)人信息過(guò)程中可能涉及的處理技術(shù)先行進(jìn)行風(fēng)險(xiǎn)評(píng)估，定期進(jìn)行檢測(cè)與核查。通過(guò)前期評(píng)估、中期檢測(cè)與后期防范相結(jié)合的手段，確保自動(dòng)化決策技術(shù)等個(gè)人信息處理技術(shù)的向善發(fā)展，將利用技術(shù)手段處理個(gè)人信息的潛在風(fēng)險(xiǎn)降低到可控范圍內(nèi)，進(jìn)而杜絕對(duì)個(gè)人信息非法使用現(xiàn)象的發(fā)生，全方位地保障個(gè)人信息安全。

四、侵犯公民個(gè)人信息罪中“情節(jié)嚴(yán)重”標(biāo)準(zhǔn)的調(diào)整

根據(jù)《刑法》第253條之一的規(guī)定，侵犯公民個(gè)人信息的行為必須達(dá)到情節(jié)嚴(yán)重的程度才構(gòu)成犯罪。為此，《解釋》第5條第1款設(shè)置了“情節(jié)嚴(yán)重”的起刑點(diǎn)和量刑標(biāo)準(zhǔn)。如果刑法有關(guān)侵犯公民個(gè)人信息罪的規(guī)定重新調(diào)整個(gè)人信息的分類，那么，有必要對(duì)《解釋》第5條第1款規(guī)定的起刑點(diǎn)和量刑標(biāo)準(zhǔn)作出一定的調(diào)整。

《解釋》第5條第1款中與個(gè)人信息分類直接相關(guān)的條文是第3、4、5項(xiàng)規(guī)定。其中，第3項(xiàng)對(duì)于行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)是“50條以上”；第4項(xiàng)對(duì)于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的個(gè)人信息，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)是“500條以上”；第5項(xiàng)對(duì)于上述兩種情形之外的個(gè)人信息，認(rèn)定“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)是“5 000條以上”。如果按照《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息分類的“二分法”，將侵犯公民個(gè)人信息罪中的個(gè)人信息分為敏感個(gè)人信息和一般個(gè)人信息，那么，第3、4、5項(xiàng)的規(guī)定就需要進(jìn)行調(diào)整。

筆者建議，用“敏感個(gè)人信息”代替第3項(xiàng)規(guī)定的“行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息”，用“一般個(gè)人信息”代替第5項(xiàng)規(guī)定的“第3、第4項(xiàng)規(guī)定之外的個(gè)人信息”，并取消第4項(xiàng)的規(guī)定。這是因?yàn)椋雄欆壽E信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息具有一旦被泄露或者被非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的特性，而這一特性與敏感個(gè)人信息的特性重合。換言之，第3項(xiàng)規(guī)定的這些信息都屬于《個(gè)人信息保護(hù)法》中的敏感個(gè)人信息。所以，可以直接用“敏感個(gè)人信息”代替第3項(xiàng)規(guī)定的“行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息”。同理，第5項(xiàng)規(guī)定的“第3、第4項(xiàng)規(guī)定之外的個(gè)人信息”都屬于《個(gè)人信息保護(hù)法》中的一般個(gè)人信息，用“一般個(gè)人信息”代替第5項(xiàng)規(guī)定的“第3、第4項(xiàng)規(guī)定之外的個(gè)人信息”并無(wú)不合理之處。

同時(shí)，將侵犯公民敏感個(gè)人信息行為的起刑點(diǎn)設(shè)定在50條，將侵犯公民一般個(gè)人信息行為的起刑點(diǎn)設(shè)置在5 000條，拉開(kāi)了刑法對(duì)兩類不同信息保護(hù)力度上的差距，且將差距擴(kuò)大到100倍能夠突出刑法對(duì)公民敏感個(gè)人信息的重點(diǎn)保護(hù)。《解釋》第5條第1款第3、4、5項(xiàng)中第3項(xiàng)規(guī)定的起刑點(diǎn)最低，說(shuō)明《解釋》對(duì)第3項(xiàng)規(guī)定的信息保護(hù)力度最大?！督忉尅返?條第1款第3項(xiàng)規(guī)定的信息都屬于敏感個(gè)人信息，盡管敏感個(gè)人信息所包含的信息類型并不限定于第3項(xiàng)規(guī)定的行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息，但不可否認(rèn)，這四種信息之外的其他敏感個(gè)人信息也都與公民的人身安全或財(cái)產(chǎn)安全緊密相關(guān)，應(yīng)該對(duì)所有的敏感個(gè)人信息予以刑法上一視同仁的強(qiáng)保護(hù)。所以，在將第3項(xiàng)規(guī)定的“行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息”擴(kuò)大到“敏感個(gè)人信息”的同時(shí)，可以繼續(xù)保留原有設(shè)定的50條的起刑點(diǎn)，從而對(duì)所有敏感個(gè)人信息予以最強(qiáng)的刑法保護(hù)，以避免發(fā)生對(duì)敏感個(gè)人信息類別下某一種信息保護(hù)不平衡的情況。

另外，筆者建議取消《解釋》第5條第1款第4項(xiàng)的規(guī)定，原因在于該項(xiàng)規(guī)定的住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息能夠被《個(gè)人信息保護(hù)法》中的敏感個(gè)人信息所涵蓋，且第4項(xiàng)規(guī)定的起刑點(diǎn)明顯高于第3項(xiàng)規(guī)定。既然第4項(xiàng)所列舉的信息能夠被修訂后的《解釋》第5條第1款第3項(xiàng)所包含，那么再對(duì)這些具有同質(zhì)性的個(gè)人信息予以力度不同的刑法保護(hù)顯然是不合適的。就此而言，完全可以將第4項(xiàng)規(guī)定的信息并入修訂后的《解釋》第5條第1款第3項(xiàng)規(guī)定的敏感個(gè)人信息中。也即由修訂后的《解釋》第5條第1款第3項(xiàng)的規(guī)定統(tǒng)一對(duì)所有敏感個(gè)人信息予以刑法上最強(qiáng)的保護(hù)力度，不失為一個(gè)比較妥當(dāng)?shù)淖龇ā?/p>

需要注意的是，刑法對(duì)于敏感個(gè)人信息中的生物識(shí)別信息該如何進(jìn)行特殊保護(hù)，理論上尚未形成統(tǒng)一共識(shí)。筆者在前文已經(jīng)指出，生物識(shí)別信息屬于敏感個(gè)人信息，且侵犯公民敏感個(gè)人信息行為的起刑點(diǎn)應(yīng)為50條，那么，侵犯公民生物識(shí)別信息的起刑點(diǎn)也應(yīng)該為50條。但有學(xué)者認(rèn)為，應(yīng)該對(duì)侵犯公民生物識(shí)別信息設(shè)置不同于其他敏感個(gè)人信息的起刑點(diǎn)，并提出了將侵犯公民生物識(shí)別信息的起刑點(diǎn)設(shè)置在“5條以上”的觀點(diǎn)。原因在于，將起刑點(diǎn)設(shè)定為5條能夠與《解釋》規(guī)定的50條、500條、5 000條的信息數(shù)量形成與重要性成比例的梯次。(17)王德政：《針對(duì)生物識(shí)別信息的刑法保護(hù):現(xiàn)實(shí)境遇與完善路徑——以四川人臉識(shí)別案為切入點(diǎn)》，《重慶大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)》2021年第2期。對(duì)此，筆者認(rèn)為，在《個(gè)人信息保護(hù)法》已經(jīng)將生物識(shí)別信息歸入敏感個(gè)人信息的前提下，這種將生物識(shí)別信息的起刑點(diǎn)設(shè)定為5條的提議并不可取。如果在刑法上把生物識(shí)別信息從敏感個(gè)人信息中分離出來(lái)，對(duì)侵犯公民生物識(shí)別信息設(shè)置不同于其他敏感個(gè)人信息的起刑點(diǎn)，就相當(dāng)于跨越前置法的規(guī)定將個(gè)人信息劃分為生物識(shí)別信息、敏感個(gè)人信息和一般個(gè)人信息三類。如此雖然能夠凸顯生物識(shí)別信息的特殊性，但實(shí)際上相當(dāng)于否定了前置法的分類標(biāo)準(zhǔn)。另外，如果將侵犯公民生物識(shí)別信息的起刑點(diǎn)設(shè)置為5條，可能會(huì)給司法適用帶來(lái)新的難題。例如，《解釋》第5條第1款第8項(xiàng)規(guī)定，將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的個(gè)人信息出售或者提供給他人，數(shù)量或者數(shù)額達(dá)到第3項(xiàng)至第7項(xiàng)規(guī)定標(biāo)準(zhǔn)一半以上的，應(yīng)認(rèn)定為“情節(jié)嚴(yán)重”。如果將侵犯公民生物識(shí)別信息的起刑點(diǎn)設(shè)定為5條，對(duì)于特殊主體在履行職責(zé)或者提供服務(wù)過(guò)程中獲得生物識(shí)別信息，并將這些信息出售或者提供給他人的起刑點(diǎn)就是2.5條。那么，如何認(rèn)定0.5條生物識(shí)別信息又會(huì)成為司法實(shí)踐中的難點(diǎn)。與此同時(shí)，在數(shù)量上以5條作為標(biāo)準(zhǔn)，起刑點(diǎn)設(shè)置得太低，會(huì)極大壓縮相關(guān)前置法的適用空間。侵犯公民生物識(shí)別信息的行為動(dòng)輒入罪，極有可能導(dǎo)致侵犯公民個(gè)人信息罪淪為一個(gè)新的“口袋罪”。

綜上所述，大數(shù)據(jù)時(shí)代法律對(duì)個(gè)人信息的保護(hù)應(yīng)該是多角度、全方位、綜合性的。對(duì)于侵犯公民個(gè)人信息行為的規(guī)制體系，是民事責(zé)任、行政責(zé)任、刑事責(zé)任三個(gè)層面有機(jī)結(jié)合的體系。在《民法典》《個(gè)人信息保護(hù)法》出臺(tái)的背景下，《刑法》中侵犯公民個(gè)人信息罪的完善路徑需要以前置法為依據(jù)，改變與前置法相沖突的內(nèi)容。在信息分類標(biāo)準(zhǔn)上應(yīng)做到與前置法的統(tǒng)一；在行為方式的規(guī)定方面應(yīng)參照前置法的內(nèi)容進(jìn)行總結(jié)、提煉與完善，增加合法獲取后非法使用個(gè)人信息的行為方式；在設(shè)置起刑點(diǎn)與量刑標(biāo)準(zhǔn)時(shí)，應(yīng)對(duì)不同類別的信息予以不同強(qiáng)度的刑法保護(hù)力度。只有進(jìn)一步優(yōu)化侵犯公民個(gè)人信息罪的內(nèi)部體系，做好《刑法》與《個(gè)人信息保護(hù)法》的銜接，才能構(gòu)筑牢固的個(gè)人信息刑法保護(hù)“防火墻”。