楊豐帆，彭 榮

（云南大學(xué)法學(xué)院，云南 昆明 650000）

近年來，日新月異的互聯(lián)網(wǎng)、大數(shù)據(jù)等技術(shù)不僅給我們的生活帶來了便利，同時也在某種程度上威脅著我們的個人信息安全，比如最近幾年大數(shù)據(jù)殺熟、AI 換臉與手機APP 過度收集個人信息等事件頻發(fā)，嚴(yán)重威脅著公民的個人信息安全。立法機關(guān)也關(guān)注到了這一問題，有針對性地制定相應(yīng)的立法。在刑法中設(shè)立了侵犯公民個人信息罪，并在相關(guān)司法解釋及規(guī)范性文件中作出了更為細(xì)化的規(guī)定。2021 年8 月20 日出臺的《個人信息保護法》也標(biāo)志著我國在個人信息法治化道路上邁出了重要一步。在此基礎(chǔ)上，刑法中對侵犯公民個人信息罪的規(guī)定應(yīng)被賦予新的內(nèi)涵，并及時調(diào)整認(rèn)定標(biāo)準(zhǔn)，使其更符合司法實踐的需要。我們對侵犯公民個人信息罪的相關(guān)立法和理論進行系統(tǒng)分析，具體到該罪的認(rèn)定細(xì)節(jié)上，從個人信息內(nèi)涵的界定、“違反國家有關(guān)規(guī)定”的限定以及行為方式內(nèi)容的調(diào)整三個方面對該罪的認(rèn)定標(biāo)準(zhǔn)進行審視，并提出相應(yīng)的調(diào)整策略，以期能對司法實踐中認(rèn)定該罪有所助益。

一、個人信息內(nèi)涵的界定

《刑法》第253 條之一對侵犯公民個人信息罪進行了規(guī)定，但并未明確個人信息的定義。2017 年頒行的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）和2021 年頒布的《個人信息保護法》對個人信息進行了不盡相同的規(guī)定。通過對《解釋》第1 條和《個人信息保護法》第4條規(guī)定內(nèi)容的解讀可知，二者對個人信息的規(guī)定不完全相同。但通過仔細(xì)推敲可知，二者雖然在表達上存在差異，但本質(zhì)并無二致，都體現(xiàn)了個人信息的可識別性這一本質(zhì)屬性。并且《個人信息保護法》和《解釋》是根據(jù)不同的部門法制定的，不同部門法規(guī)制的側(cè)重點不同，《解釋》作為刑法條文的補充，其側(cè)重點在于打擊犯罪，《個人信息保護法》則更注重保護個人信息權(quán)益，二者出現(xiàn)不同的規(guī)定是可以理解的。

《個人信息保護法》第49條還規(guī)定了死者個人信息，這是《刑法》和相關(guān)司法解釋中在規(guī)定侵犯公民個人信息罪中沒有提及的。那么，死者個人信息可否成為刑法中侵犯公民個人信息罪的規(guī)制范圍？學(xué)界有不同觀點。對此，筆者持否定觀點。一方面，從文義解釋角度看，侵犯公民個人信息罪的主體限定為“公民”，而公民不包括死者。另一方面，從法益角度看，侵犯公民個人信息罪被規(guī)定在侵犯公民人身權(quán)利、民主權(quán)利一章，通過對該章罪名的分析可知，該章的犯罪對象都是自然人，人身權(quán)利、民主權(quán)利的也都以生命的存在為前提，死者失去了生命，相應(yīng)的也就沒有人身權(quán)利，其個人信息自由也就不復(fù)存在。因此，侵犯公民個人信息罪的主體不應(yīng)包括死者。然而，《個人信息保護法》第49條規(guī)定了死者個人信息，這是否與前述內(nèi)容相沖突？筆者對此持否定觀點，《個人信息保護法》規(guī)定死者個人信息是基于《民法典》第994 條的影響，在《民法典》的基礎(chǔ)上進行的細(xì)化規(guī)定。在刑法上個人信息的定義排斥死者的個人信息的基礎(chǔ)上，對于《個人信息保護法》對死者個人信息的保護的理解更傾向于對其近親屬權(quán)益的保護。

值得注意的是，個人信息在《個人信息保護法》中被分為兩大類，分別是一般個人信息和敏感個人信息，并對敏感個人信息進行了概括式和列舉式相結(jié)合方式的規(guī)定。而《解釋》則將公民個人信息分為三大類，并多是以列舉方式進行分類。顯然，與《個人信息保護法》相比，《解釋》對個人信息分類較為混雜，且歸納性較差，不同類別還可能存在交叉、重合的現(xiàn)象。根據(jù)《解釋》的分類很難將融合度較高的信息準(zhǔn)確劃分類別，比如“健康碼”既可以因其反映個人身體健康狀況被劃分為“健康生理信息”，也可以因其包含行程信息被劃分為“行蹤軌跡信息”，這就導(dǎo)致司法認(rèn)定的分歧。加之《解釋》對個人信息的分類采取列舉規(guī)定的方式，容易忽略一些信息，比如信息時代下越來越引起重視的生物識別信息，生物識別信息包括指紋、人臉、虹膜、筆跡、聲音等，與健康生理信息不同，其與公民人身安全、財產(chǎn)安全聯(lián)系密切，應(yīng)在刑法上給予特殊保護。

同時結(jié)合司法實踐案例的情況進行分析，有學(xué)者以“侵犯公民個人信息罪”為關(guān)鍵詞，選取2009年2月至2021 年7 月在裁判文書網(wǎng)上公開的刑事案件判決書，共覆蓋案件8418件。通過相關(guān)技術(shù)處理，對案件進行實證研究分析，得出結(jié)論，個人信息的分類制度有待完善，對于敏感個人信息的認(rèn)定，法官準(zhǔn)確識別的準(zhǔn)確性更不理想。[1]相較而言，筆者認(rèn)為《個人信息保護法》的分類方式更加科學(xué)合理，且歸納性較強，通過“二分法”和“概括+列舉”相結(jié)合的分類方式，可以比較精準(zhǔn)地歸納個人信息，在司法實踐中具有更強的可操作性。在此基礎(chǔ)上，應(yīng)及時對《解釋》進行修改或者重新規(guī)定相關(guān)司法解釋，適時調(diào)整個人信息的分類方式，對其進行“二分法”規(guī)定，既可以表明從刑法層面對《個人信息保護法》分類標(biāo)準(zhǔn)的肯定，又可以使不同法律文本之間更加協(xié)調(diào)。

二、“違反國家有關(guān)規(guī)定”的限定

根據(jù)《刑法》第253 條之一的規(guī)定，“違反國家有關(guān)規(guī)定”是侵犯公民個人信息罪的重要構(gòu)成要件，同時，“違反國家有關(guān)規(guī)定”這一描述采用了空白罪狀的形式進行表述?！斑`反國家有關(guān)規(guī)定”中的“有關(guān)”二字是《刑法修正案（九）》增加的，《解釋》第2 條提出“違反國家有關(guān)規(guī)定”中的“國家有關(guān)規(guī)定”包含部門規(guī)章。然而，理論界和司法實踐中對“國家有關(guān)規(guī)定”的范圍仍不能達成一致。因此，有必要對“違反國家有關(guān)規(guī)定”的范圍進行明確。

“違反國家有關(guān)規(guī)定”這一表述屬于空白罪狀，在當(dāng)前信息化發(fā)展迅速的背景下，該部分采用空白罪狀具有一定的優(yōu)勢，一方面有利于保證刑法條文的穩(wěn)定，另一方面在罪名認(rèn)定方面又具有靈活性，在不頻繁修改刑法條文的情況下還能應(yīng)對經(jīng)濟社會發(fā)展帶來的信息犯罪的變化。[2]（P77）那么，“國家有關(guān)規(guī)定”是否應(yīng)包含法律和行政法規(guī)之外的部門規(guī)章？學(xué)界有不同觀點。有學(xué)者認(rèn)為，此處的“國家有關(guān)規(guī)定”應(yīng)包含部分部門規(guī)章，前提是這些部門規(guī)章不與相關(guān)法律、行政法規(guī)相矛盾。[3]還有學(xué)者認(rèn)為，不應(yīng)將部門規(guī)章涵蓋在此處的國家有關(guān)規(guī)定范疇，以避免過于寬泛的前置法導(dǎo)致刑法適用的混亂。[4]對此，筆者比較贊同后一種觀點。原因如下：其一，部門規(guī)章的目的與刑法的目的未必完全契合，且不同部門規(guī)章對侵犯公民個人信息罪的認(rèn)定難免出現(xiàn)不一致的地方，如果此處的“國家有關(guān)規(guī)定”包含范圍規(guī)定過大，容易在司法實踐中產(chǎn)生不確定性，從而造成司法實踐中的認(rèn)定困難和認(rèn)定差異。其二，根據(jù)《刑法》第96條的規(guī)定，刑法中“國家規(guī)定”的范圍并不涵蓋部門規(guī)章。其三，部門規(guī)章具有局限性，相比之下部門規(guī)章的法律位階和效力層級較低，制定程序要求也不如法律和行政法規(guī)嚴(yán)格，不同部門規(guī)章在內(nèi)容上可能存在矛盾沖突之處，與刑法的嚴(yán)厲、審慎的特質(zhì)不符?？傊?，如果在確定“國家有關(guān)規(guī)定”的范圍上，將部門規(guī)章囊括其中，則擴大了入罪的口徑，可能影響侵犯公民個人信息罪的認(rèn)定，從而影響信息社會的發(fā)展。因此應(yīng)對侵犯公民個人信息罪中的“國家有關(guān)規(guī)定”應(yīng)作限縮解釋，認(rèn)為其僅包括法律和行政法規(guī)的規(guī)定，且行政法規(guī)必須通過刑法目的和價值取向的檢驗。

同時還應(yīng)注意到，只有違反侵犯公民個人信息罪的前置法中的規(guī)定的行為，才能認(rèn)定為“違反國家有關(guān)規(guī)定”的行為，其前置法包括《個人信息保護法》《民法典》《網(wǎng)絡(luò)安全法》等法律。然而并非前置法中的所有行為都屬于此處的“違反國家有關(guān)規(guī)定”的行為?！秱€人信息保護法》作為該罪的前置法之一，對罪名的認(rèn)定起著重要作用。侵犯公民個人信息罪是故意犯罪，并在刑法中規(guī)定了非法獲取、非法提供和非法出售個人信息者三種行為方式。

三、行為方式內(nèi)容的調(diào)整

在侵犯公民個人信息罪行為方式內(nèi)容的認(rèn)定上，需要明確兩點：其一，行為人的行為是否符合刑法中關(guān)于侵犯公民個人信息罪的構(gòu)成要件；其二，行為人的行為是否造成了法益侵害。根據(jù)《刑法》第253 條之一第1 款和第3 款的規(guī)定可知，非法出售、非法提供、非法獲取公民個人信息共同構(gòu)成了侵犯公民個人信息罪的行為方式，即這三種行為是侵犯公民個人信息罪的行為方式內(nèi)容。這三種行為方式看似囊括了所有對公民個人信息的侵犯行為，但仔細(xì)研究不難發(fā)現(xiàn)，這三種行為都指的是以非法方式處理個人信息的行為，而不包括合理取得又非法使用行為，這就構(gòu)成法律規(guī)定上的漏洞，忽略了對合法取得后又非法使用個人信息行為的規(guī)制。僅靠刑法解釋論把非法使用行為解釋入罪的路徑缺陷較大，需要立法論加以確立。解釋論受到罪刑法定原則和行為性質(zhì)的限制，一方面若將非法使用行為解釋入罪，易囿于類推解釋的困境，無法保障民眾的預(yù)測可能性，另一方面，待解釋入罪的行為需要和被解釋的行為具有同質(zhì)性，而非法使用行為和現(xiàn)行刑法條文相解釋，超出刑法用語可能的含義，那么就需要刑法將非法使用行為作為獨立的行為規(guī)定為犯罪。

個人信息的保護具有風(fēng)險預(yù)防性質(zhì)，[5]關(guān)于侵犯公民個人信息罪所保護的法益，存在個人法益論與超個人法益論兩種不同的觀點。個人法益論可分為隱私權(quán)說、人格尊嚴(yán)說與個人信息權(quán)說等，筆者支持個人法益論中的個人信息權(quán)說。個人法益觀更傾向于對公民個人權(quán)利和自由的保護，將側(cè)重點置于主體層面；個人信息權(quán)說，作為一種新型權(quán)利，提倡侵犯公民個人信息罪的法益不再是高度概括性的公民人格尊嚴(yán)與個人隱私，而是根據(jù)民法等實定法相關(guān)規(guī)定，從中分離為獨立的個人信息權(quán)。個人信息權(quán)說是在當(dāng)代大數(shù)據(jù)時代的背景下提出的，蘊含信息自決權(quán)，也就是對于信息的排他、選擇與決定權(quán)。個人信息保護具有風(fēng)險預(yù)防屬性，信息自決權(quán)也意味著以手機軟件商為代表的此類行為人，不能在以合法的手段獲取、利用用戶合法的個人信息的前提下，卻非法使用用戶個人信息甚至給用戶帶來涉及人格或財產(chǎn)方面的損害。有學(xué)者提出個人信息保護的風(fēng)險預(yù)防屬性，[6]需重視規(guī)制合理取得但又非法使用的行為。個人信息犯罪的自我決定權(quán)決定著他人的個人信息即使源于合理取得，也不能非法使用甚至給信息所有人造成包括人格與財產(chǎn)上的損害。，侵犯個人信息自決權(quán)的實質(zhì)是對個人自由權(quán)的侵犯，此應(yīng)是刑法保護的重點之一。當(dāng)前《刑法》中規(guī)定的侵犯公民個人信息罪的行為方式內(nèi)容不夠全面，應(yīng)全面分析并概括侵犯公民個人信息罪的行為方式內(nèi)容，及時對當(dāng)前的相關(guān)規(guī)定作出調(diào)整，并將合法取得公民個人信息后又非法使用的行為也納入刑法規(guī)制范圍。

調(diào)整侵犯公民個人信息罪的行為方式內(nèi)容有其合理性和必要性。與單純非法使用行為相比，合法取得后又非法使用的行為顯然更具社會危害性。因為與合法獲取公民個人信息相比，非法獲取公民個人信息在現(xiàn)實中本身就更具困難性，而通過合法手段，行為人可以比較輕松地獲取到大量的公民個人信息。比如現(xiàn)在多數(shù)手機軟件在注冊使用之前首先要求獲得用戶的基本信息，否則不能正常使用該軟件，而用戶基于生活便利或者其他原因，不得不同意獲取其信息的要求從而繼續(xù)使用該軟件。2021 年出臺的《個人信息保護法》對非法使用個人信息行為作了明確的禁止性規(guī)定，然而《刑法》第253條之一的規(guī)定卻有一定的局限性，并未包括單純的非法使用行為。在《個人信息保護法》已經(jīng)頒布的時下，應(yīng)將合法獲取又非法使用的行為增添至刑法之中，以最大程度規(guī)范使用公民個人信息的行為。[7]相較于非法獲取個人信息，以合法方式獲取個人信息難度要更小一些，再加上當(dāng)前信息時代，互聯(lián)網(wǎng)技術(shù)的發(fā)展使信息的獲取更加便捷，互聯(lián)網(wǎng)上存在著大量可供隨時獲取的信息，其中就包含公民個人信息，這些信息并不需要借助非法手段即可輕易獲取，這加劇了侵害公民個人信息的形式多元化態(tài)勢。[8]通過實踐考察可知，單純非法使用公民個人信息行為在現(xiàn)實中占據(jù)重要地位，這迫使刑法不得不重新審視非法使用個人信息行為的社會危害性。信息的非法使用行為的侵害具有直接性和精確性，甚至可能危機社會安全和國家安全。如果放任這些行為，容易衍生出更多黑灰產(chǎn)業(yè)鏈侵犯公民的個人信息安全。[9]應(yīng)以風(fēng)險防范為基礎(chǔ)構(gòu)建個人信息合理利用的規(guī)范體系，根據(jù)個人信息的性質(zhì)，分為隱私性、流通性、存在潛在風(fēng)險性三個層次，采取不同的預(yù)防措施。同時根據(jù)刑法“入罪舉輕以明重”的原則，應(yīng)調(diào)整并擴充侵犯公民個人信息罪的行為內(nèi)容，使其更加全面具體。

調(diào)整侵犯公民個人信息罪的行為方式內(nèi)容有其正當(dāng)性與可行性?！睹穹ǖ洹贰秱€人信息保護法》等相關(guān)法律的出臺為此提供了前提和基礎(chǔ)。2020 年《民法典》第111條從民法層面對個人信息保護進行了規(guī)定，該條規(guī)定屬于概括性規(guī)定，具有原則性的特征。有了《民法典》這一個人信息保護基礎(chǔ)框架的搭建，2021年《個人信息保護法》第10條對個人信息保護作了進一步的細(xì)化。從整體上看，《民法典》和《個人信息保護法》是侵犯公民個人信息罪的前置法。眾所周知，前置法可以為此后立法提供借鑒和支持。前置法已經(jīng)將非法出售、提供、獲取的行為明確規(guī)定為違法行為，這些行為在刑法中也被規(guī)定在侵犯公民個人信息罪中。除此之外，前置法還將非法使用個人信息行為認(rèn)定為違法，然而這些行為尚未被刑法規(guī)定為犯罪。筆者認(rèn)為，對前置法認(rèn)為是違法行為的，刑法確實不能當(dāng)然認(rèn)定為犯罪。換言之，并不是前置法規(guī)定的違法行為都要在刑法中被認(rèn)定為犯罪，還需要考慮其法益侵害性和社會危害性。關(guān)于調(diào)整侵犯公民個人信息罪行為方式內(nèi)容的重點在于，一方面前置法已經(jīng)對合法取得并非法使用公民個人信息的行為進行了規(guī)制，刑法將其納入規(guī)制范圍有利于維護法秩序的統(tǒng)一；另一方面該行為的確具社會危害性，屬于刑法打擊犯罪的內(nèi)容，需要刑法加以規(guī)制，因此刑法也應(yīng)將其規(guī)定為犯罪。在具體條文的調(diào)整中，可以通過修改《刑法》第253條之一的規(guī)定，將“合法獲取后非法使用個人信息”的行為作為新增內(nèi)容納入其中，并作出從重處罰的規(guī)定。具體而言，以合理獲取為前提的非法使用行為，相比于非法獲取、出售或提供的行為的法益侵害性更強、社會危害性更大，從重處罰該行為高于后者三種行為的法定刑，才能從嚴(yán)打擊、規(guī)制非法使用行為，符合罪責(zé)刑相適應(yīng)原則。新增內(nèi)容因具有從重處罰的性質(zhì)，應(yīng)將其歸入已經(jīng)規(guī)定侵犯公民個人信息從重處罰的《刑法》第253條之一的第2款更為合適，法條整體變動性相對較小，更利于維護刑法的穩(wěn)定性。若增添于第1款，不符合法條設(shè)立的簡潔性與經(jīng)濟性；若增添于第3款，與第3款的非法獲取個人信息存在源頭上的矛盾。

從比較法上看，將非法使用個人信息行為作為獨立行為入罪已經(jīng)成為許多國家不謀而合的共識。以美國、韓國和日本的相關(guān)規(guī)定為例，美國處理個人信息的內(nèi)容包括個人信息的使用，并將其規(guī)定在《防止身份盜竊及假冒法》中，此外，還規(guī)定了非法使用行為構(gòu)成聯(lián)邦犯罪；[10]韓國也對非法使用個人信息作出了限制性規(guī)定，在《個人信息保護法案》中對非法使用行為作出了五年以下法定刑的規(guī)定。[11]日本也將非法使用個人信息行為入刑。[12]

結(jié)語

信息時代下，互聯(lián)網(wǎng)和大數(shù)據(jù)等技術(shù)不斷向縱深發(fā)展，在給人們生產(chǎn)生活帶來便利的同時，嚴(yán)重威脅著個人信息安全。在此背景下，對個人信息的保護不應(yīng)是片面的，對侵犯公民個人信息罪的認(rèn)定更是如此，討論侵犯公民個人信息罪保護法益，無疑具有理論和實踐意義。該罪法益的確定基于法律一體化思維，視角不易局限于刑法內(nèi)部，結(jié)合《個人信息保護法》、《民法典》等前置法規(guī)定，確定該罪法益為個人法益，是大數(shù)據(jù)時代新型權(quán)利的個人信息權(quán)。在確定該罪法益基礎(chǔ)上，對信息時代下侵犯公民個人信息罪的認(rèn)定進行分析和調(diào)整，修改與前置法相沖突的內(nèi)容，對個人信息的認(rèn)定作出與時俱進的調(diào)整，使《刑法》與其他法律法規(guī)內(nèi)容相協(xié)調(diào)，杜絕個人信息非法使用現(xiàn)象的發(fā)生，全方位保護公民個人信息安全，從而維護社會秩序的穩(wěn)定。