劉憲權(quán)，王 哲

自我國(guó)刑法中設(shè)立侵犯公民個(gè)人信息罪以來(lái)，針對(duì)該罪適用規(guī)則的爭(zhēng)議便從未停止過(guò)。當(dāng)前，侵犯公民個(gè)人信息罪的法律適用主要存在個(gè)人信息概念不明確、“違反國(guó)家有關(guān)規(guī)定”的含義不清晰、保護(hù)法益不明確以及“情節(jié)嚴(yán)重”認(rèn)定標(biāo)準(zhǔn)不合理等問(wèn)題(1)參見(jiàn)葉良芳、應(yīng)家赟《非法獲取公民個(gè)人信息之“公民個(gè)人信息”的教義學(xué)闡釋——以〈刑事審判參考〉第1009號(hào)案例為樣本》，《浙江社會(huì)科學(xué)》2016年第4期；高楚南《刑法視野下公民個(gè)人信息法益重析及范圍擴(kuò)充》，《中國(guó)刑事法雜志》2019年第2期；于沖《侵犯公民個(gè)人信息罪中“公民個(gè)人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期；李川《個(gè)人信息犯罪的規(guī)制困境與對(duì)策完善——從大數(shù)據(jù)環(huán)境下濫用信息問(wèn)題切入》，《中國(guó)刑事法雜志》2019年第5期；張勇《個(gè)人信用信息法益及刑法保護(hù)：以互聯(lián)網(wǎng)征信為視角》，《東方法學(xué)》2019年第1期；馬永強(qiáng)《侵犯公民個(gè)人信息罪的法益屬性確證》，《環(huán)球法律評(píng)論》2021年第2期；劉憲權(quán)、房慧穎《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報(bào)》2017年第6期。。如不能將上述問(wèn)題予以正確解決則將增加司法人員恣意適用侵犯公民個(gè)人信息罪刑法條文的風(fēng)險(xiǎn)?？紤]到侵犯公民個(gè)人信息罪的準(zhǔn)確適用與該罪前置法的規(guī)定密不可分，單獨(dú)依靠刑法條文及其自身邏輯體系所構(gòu)建的刑法適用規(guī)則難免片面且不夠準(zhǔn)確、合理，故而我們應(yīng)該從個(gè)人信息整體法律保護(hù)體系的視角重新構(gòu)建侵犯公民個(gè)人信息罪的刑法適用規(guī)則。剛頒行不久的《中華人民共和國(guó)個(gè)人信息保護(hù)法》(以下簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》)增加了個(gè)人信息處理者和國(guó)家有關(guān)部門(mén)對(duì)個(gè)人信息處理的義務(wù)，并賦予了公民對(duì)個(gè)人信息控制更為優(yōu)越的權(quán)利，這無(wú)疑為我們完善侵犯公民個(gè)人信息罪的刑法適用規(guī)則提供了重要基礎(chǔ)和依據(jù)。本文將在法秩序統(tǒng)一的視角下，明確侵犯公民個(gè)人信息罪中個(gè)人信息的定義，確立侵犯公民個(gè)人信息罪中“違法國(guó)家有關(guān)規(guī)定”的基本含義，界定該罪的保護(hù)法益，并進(jìn)一步明確該罪“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)，以助力于準(zhǔn)確適用和完善侵犯公民個(gè)人信息罪的刑法規(guī)定。

一、侵犯公民個(gè)人信息罪中個(gè)人信息的再定義

認(rèn)定侵犯公民個(gè)人信息罪的基本前提是明確個(gè)人信息的定義，確立刑法對(duì)個(gè)人信息的保護(hù)范圍?！秱€(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義與侵犯公民個(gè)人信息罪司法解釋中個(gè)人信息的定義存在一定差異。最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(以下簡(jiǎn)稱(chēng)《個(gè)人信息解釋》)第1條將個(gè)人信息定義為：以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。但是，《個(gè)人信息保護(hù)法》則在第4條將個(gè)人信息定義為：以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。

相較而言，《個(gè)人信息保護(hù)法》與《個(gè)人信息解釋》對(duì)個(gè)人信息的定義主要有三點(diǎn)不同：其一，在個(gè)人信息范圍方面，《個(gè)人信息解釋》所界定的范圍包括“反映自然人活動(dòng)情況的各種信息”，而《個(gè)人信息保護(hù)法》則并未涉及該類(lèi)個(gè)人信息；其二，在個(gè)人信息特征方面，《個(gè)人信息解釋》將“能夠單獨(dú)識(shí)別”與“可以和其他信息結(jié)合識(shí)別”規(guī)定為個(gè)人信息的特征，而《個(gè)人信息保護(hù)法》并未采用此種表述；其三，在個(gè)人信息識(shí)別對(duì)象方面，《個(gè)人信息解釋》中的個(gè)人信息的識(shí)別對(duì)象是“自然人身份(自然人活動(dòng)情況)”，而《個(gè)人信息保護(hù)法》中個(gè)人信息的識(shí)別對(duì)象是“自然人”。筆者認(rèn)為，應(yīng)對(duì)《個(gè)人信息解釋》中個(gè)人信息的定義進(jìn)行適當(dāng)調(diào)整，以與《個(gè)人信息保護(hù)法》的定義保持一致，具體包括以下幾點(diǎn)：

首先，《個(gè)人信息解釋》對(duì)個(gè)人信息范圍的表述應(yīng)與《個(gè)人信息保護(hù)法》一致。按照法律位階的基本規(guī)則，如果一個(gè)行為不受行政法處罰，則自然更不應(yīng)當(dāng)受刑法的規(guī)制。在侵犯公民個(gè)人信息犯罪行為的認(rèn)定上，刑法應(yīng)具有片段性，只能將一小部分違反前置法的侵犯公民個(gè)人信息違法行為認(rèn)定為犯罪。因此，刑法所界定的個(gè)人信息的范圍，只能小于或者等于《個(gè)人信息保護(hù)法》所界定的個(gè)人信息的范圍。但是，《個(gè)人信息解釋》所界定的個(gè)人信息的范圍包含了“反映自然人活動(dòng)情況的各種信息”等內(nèi)容，而《個(gè)人信息保護(hù)法》卻并未將此列入其所界定的個(gè)人信息范圍。需要指出的是，“反映自然人活動(dòng)情況的各種信息”重在強(qiáng)調(diào)個(gè)人信息的關(guān)聯(lián)性而非識(shí)別性，而具有關(guān)聯(lián)性的個(gè)人信息范圍顯然要大于具有識(shí)別性的個(gè)人信息范圍。因?yàn)榫哂凶R(shí)別性的個(gè)人信息必定與特定自然人發(fā)生關(guān)聯(lián)，但有關(guān)特定人的個(gè)人信息卻不一定具有識(shí)別功能(2)楊楠：《個(gè)人數(shù)位足跡刑法規(guī)制的功能性偏誤與修正》，《安徽大學(xué)學(xué)報(bào)(哲學(xué)社會(huì)科學(xué)版)》2019年第4期。。就此而言，《個(gè)人信息解釋》對(duì)個(gè)人信息的定義范圍顯然超出了《個(gè)人信息保護(hù)法》的定義范圍?！秱€(gè)人信息解釋》對(duì)個(gè)人信息范圍的規(guī)定中有關(guān)“反映自然人活動(dòng)情況的各種信息”的內(nèi)容似乎應(yīng)該予以剔除，以最大限度地保持與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息規(guī)定范圍的一致。

其次，《個(gè)人信息解釋》對(duì)個(gè)人信息特征的表述應(yīng)與《個(gè)人信息保護(hù)法》一致。如前所述，《個(gè)人信息解釋》采用了“能夠單獨(dú)識(shí)別”以及“可以和其他信息結(jié)合識(shí)別”的提法來(lái)具體區(qū)分和表述個(gè)人信息特征。這種特征表述實(shí)際上存在一定的缺陷，因?yàn)椴淮嬖谕ㄟ^(guò)一條個(gè)人信息可以單獨(dú)識(shí)別“特定自然人身份”的情況。例如，如欲根據(jù)某一身份證號(hào)碼來(lái)確定某人身份，則至少需要兩條個(gè)人信息，即“身份證號(hào)碼”和“該身份證號(hào)碼對(duì)應(yīng)用戶的真實(shí)姓名”，只有兩者相互結(jié)合方可識(shí)別特定自然人身份。就此而言，《個(gè)人信息解釋》用“能夠單獨(dú)識(shí)別”和“可結(jié)合識(shí)別”這些特征表述對(duì)個(gè)人信息進(jìn)行分類(lèi)顯然存在不妥之處。需要指出的是，《個(gè)人信息解釋》對(duì)個(gè)人信息特征的表述來(lái)源于前置法的相關(guān)規(guī)定。結(jié)合相關(guān)規(guī)定頒布的時(shí)間可知，《個(gè)人信息解釋》(2017年)對(duì)個(gè)人信息特征的表述基本參照《網(wǎng)絡(luò)安全法》(2016年)對(duì)個(gè)人信息的相關(guān)規(guī)定(3)參見(jiàn)《網(wǎng)絡(luò)安全法》第76條：個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。。筆者認(rèn)為，隨著《個(gè)人信息保護(hù)法》(2021年)的出臺(tái)，無(wú)論是行政法還是刑法司法解釋對(duì)個(gè)人信息特征的表述都應(yīng)該以最新《個(gè)人信息保護(hù)法》的規(guī)定為基準(zhǔn)。據(jù)此，我們對(duì)侵犯公民個(gè)人信息罪的司法解釋中個(gè)人信息特征的表述進(jìn)行相應(yīng)的修正，既有必要也十分緊迫。

最后，《個(gè)人信息解釋》對(duì)個(gè)人信息識(shí)別對(duì)象的表述應(yīng)與《個(gè)人信息保護(hù)法》一致。相較而言，《個(gè)人信息解釋》將個(gè)人信息的識(shí)別對(duì)象規(guī)定為“自然人身份”，而《個(gè)人信息保護(hù)法》將個(gè)人信息的識(shí)別對(duì)象規(guī)定為“自然人”。有觀點(diǎn)認(rèn)為，需要區(qū)分“自然人身份”和“自然人”兩個(gè)概念，“自然人身份”實(shí)際上是指“你是誰(shuí)”，而“自然人”是指“你是某個(gè)誰(shuí)”，前者指向具有身份標(biāo)識(shí)的顯名的個(gè)人，后者指向符號(hào)化的隱名的個(gè)人(4)楊君琳：《論北斗時(shí)代的個(gè)人位置信息法律保護(hù)》，《法學(xué)雜志》2021年第2期。。筆者認(rèn)同上述觀點(diǎn)，“識(shí)別特定自然人身份”和“識(shí)別特定自然人”的含義并不完全相同?！白匀蝗松矸荨笨梢杂泻芏鄠€(gè)，而“自然人”只能是特指。例如，識(shí)別到某人是某公司高層人員屬于識(shí)別特定自然人身份，而識(shí)別到某人姓名為張三才屬于識(shí)別特定自然人。由于“自然人”與公民人身、財(cái)產(chǎn)權(quán)利的聯(lián)系更為緊密，相比之下，“自然人”較“自然人身份”似乎更值得刑法保護(hù)。由此，侵犯公民個(gè)人信息罪的司法解釋中有關(guān)個(gè)人信息識(shí)別對(duì)象的表述，理應(yīng)參照《個(gè)人信息保護(hù)法》的表述進(jìn)行修正。

綜上所述，《個(gè)人信息解釋》與《個(gè)人信息保護(hù)法》對(duì)侵犯公民個(gè)人信息罪中個(gè)人信息的范圍、特征以及識(shí)別對(duì)象的表述均存在不同，司法解釋理應(yīng)做出一定程度的修正，可將侵犯公民個(gè)人信息罪中的個(gè)人信息明確定義為：“以電子或者其他方式記錄的、與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息?！?/p>

需要特別說(shuō)明的是，現(xiàn)行刑法有關(guān)侵犯公民個(gè)人信息罪客觀行為方式為非法獲取、提供、出售的行為，受這些行為方式?jīng)Q定，侵犯公民個(gè)人信息罪中個(gè)人信息范圍并不包括已公開(kāi)個(gè)人信息。因?yàn)榫鸵压_(kāi)個(gè)人信息而言，不存在對(duì)其進(jìn)行非法獲取、提供、出售的情形，任何人都可能或有權(quán)利獲取已公開(kāi)個(gè)人信息。由于對(duì)已公開(kāi)個(gè)人信息的獲取或提供行為不會(huì)違反國(guó)家有關(guān)規(guī)定，相關(guān)行為也就不可能具有非法性(5)參見(jiàn)劉憲權(quán)、房慧穎《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報(bào)》2017年第6期。。但是，濫用個(gè)人信息不必然以非法獲取他人信息為前置條件(6)李懷勝：《公民個(gè)人信息保護(hù)的刑法擴(kuò)展路徑及策略轉(zhuǎn)變》，《江淮論壇》2020年第3期。，刑法理應(yīng)將合法獲取但非法使用個(gè)人信息的行為歸入侵犯公民個(gè)人信息罪的行為方式之中，侵犯公民個(gè)人信息罪的個(gè)人信息范圍也應(yīng)包含已公開(kāi)個(gè)人信息。具體理由如下：其一，從刑法內(nèi)在體系層面考慮，對(duì)于已公開(kāi)個(gè)人信息而言，雖不存在對(duì)其非法獲取、提供或出售的行為，但完全可能存在合法獲取但非法使用已公開(kāi)個(gè)人信息的行為。如果侵犯公民個(gè)人信息罪將合法獲取但非法使用個(gè)人信息的行為規(guī)定為該罪行為方式之一，則合法獲取但非法使用已公開(kāi)個(gè)人信息行為當(dāng)然屬于侵犯公民個(gè)人信息罪的行為范疇。其二，從刑行銜接層面考慮，《個(gè)人信息保護(hù)法》明確了對(duì)于已公開(kāi)個(gè)人信息的保護(hù)?！秱€(gè)人信息保護(hù)法》第27條明確規(guī)定，個(gè)人信息處理者處理已公開(kāi)的個(gè)人信息，對(duì)個(gè)人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個(gè)人同意。同時(shí)，個(gè)人擁有拒絕他人對(duì)于已公開(kāi)個(gè)人信息進(jìn)行處理的權(quán)利。據(jù)此，當(dāng)個(gè)人信息處理者非法使用已公開(kāi)個(gè)人信息并危及個(gè)人權(quán)益的，相關(guān)行為也構(gòu)成侵犯公民個(gè)人信息行政違法行為。因此刑法具備規(guī)制合法獲取但非法使用已公開(kāi)個(gè)人信息行為的前提條件，而不會(huì)與前置法產(chǎn)生沖突。其三，從社會(huì)危害性層面考慮，合法獲取但非法使用已公開(kāi)個(gè)人信息行為具備一定的社會(huì)危害性，相關(guān)行為值得刑法予以規(guī)制。隨著科技的發(fā)展和進(jìn)步，網(wǎng)絡(luò)空間中出現(xiàn)大量利用已公開(kāi)個(gè)人信息從事非法活動(dòng)的情形，如利用換臉、換聲技術(shù)損害當(dāng)事人名譽(yù)，在某種程度上這些行為對(duì)于公民個(gè)人權(quán)益可能造成嚴(yán)重的侵害。如果僅僅依靠民法和行政法的相關(guān)規(guī)定對(duì)這些具有嚴(yán)重社會(huì)危害性的行為加以規(guī)制，顯然不足以有效遏止這類(lèi)現(xiàn)象的發(fā)展勢(shì)頭。綜上，侵犯公民個(gè)人信息罪中的個(gè)人信息應(yīng)包含已公開(kāi)個(gè)人信息。

二、侵犯公民個(gè)人信息罪中“違反國(guó)家有關(guān)規(guī)定”的再限縮

(一)“國(guó)家有關(guān)規(guī)定”應(yīng)限于法律和行政法規(guī)

“違反國(guó)家有關(guān)規(guī)定”是侵犯公民個(gè)人信息罪的重要構(gòu)成要件。根據(jù)《個(gè)人信息解釋》第2條的規(guī)定，違反法律、行政法規(guī)、部門(mén)規(guī)章有關(guān)個(gè)人信息保護(hù)的規(guī)定的，應(yīng)當(dāng)認(rèn)定為《刑法》第253條之一規(guī)定的“違反國(guó)家有關(guān)規(guī)定”。據(jù)此，我們有必要首先明確“違反國(guó)家有關(guān)規(guī)定”中的“國(guó)家有關(guān)規(guī)定”的范圍，是僅指法律和行政法規(guī)，還是說(shuō)既包括法律和行政法規(guī)，也包括部門(mén)規(guī)章和地方性法規(guī)？對(duì)此，有觀點(diǎn)認(rèn)為，參照最高人民法院對(duì)有關(guān)“以國(guó)務(wù)院辦公廳名義制發(fā)的文件”作出的界定，只要部門(mén)規(guī)章與相關(guān)法律、行政法規(guī)不相抵觸，就可以視為“國(guó)家有關(guān)規(guī)定”，而不必以法律、行政法規(guī)有明確規(guī)定為前提(7)參見(jiàn)張勇《APP個(gè)人信息的刑法保護(hù)：以知情同意為視角》，《法學(xué)》2020年第8期。。也有學(xué)者認(rèn)為，“違反國(guó)家有關(guān)規(guī)定”只宜限于法律和行政法規(guī)，而不應(yīng)包含部門(mén)規(guī)章和地方性法規(guī)，由此可達(dá)到限縮侵犯公民個(gè)人信息罪適用范圍的目的，防止寬泛、抽象的前置法導(dǎo)致刑法適用不明確(8)參見(jiàn)冀洋《法益自決權(quán)與侵犯公民個(gè)人信息罪的司法邊界》，《中國(guó)法學(xué)》2019年第4期。。依筆者看來(lái)，由于部門(mén)規(guī)章與地方性法規(guī)等對(duì)侵犯公民個(gè)人信息情形的認(rèn)定難免存在一定的差異，如果侵犯公民個(gè)人信息罪中的“國(guó)家有關(guān)規(guī)定”包含部門(mén)規(guī)章和地方性法規(guī)，則容易導(dǎo)致認(rèn)定侵犯公民個(gè)人信息罪時(shí)產(chǎn)生不確定性。同時(shí)，考慮到部門(mén)規(guī)章和地方性法規(guī)的變動(dòng)較為頻繁，而刑法不宜朝令夕改，所以我們不應(yīng)對(duì)“國(guó)家有關(guān)規(guī)定”包含的內(nèi)容作寬泛的理解。由此，筆者認(rèn)為，應(yīng)當(dāng)將“國(guó)家有關(guān)規(guī)定”限于法律和行政法規(guī)，而不應(yīng)包含部門(mén)規(guī)章和地方性法規(guī)。

(二)刑法對(duì)個(gè)人信息保護(hù)范圍應(yīng)小于《個(gè)人信息保護(hù)法》規(guī)定的范圍

雖然“國(guó)家有關(guān)規(guī)定”應(yīng)限于法律和行政法規(guī)，但也并非所有違反法律和行政法規(guī)的侵犯公民個(gè)人信息行為均需要刑法予以規(guī)制。這就涉及刑法與其他法律法規(guī)對(duì)個(gè)人信息的保護(hù)應(yīng)當(dāng)如何進(jìn)行有效銜接的問(wèn)題。需要指出的是，《個(gè)人信息保護(hù)法》不僅涵蓋了《民法典》《網(wǎng)絡(luò)安全法》等法律和行政法規(guī)對(duì)個(gè)人信息保護(hù)的內(nèi)容，同時(shí)還更全面、廣泛地規(guī)定了個(gè)人信息保護(hù)的其他內(nèi)容。相較而言，《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息保護(hù)規(guī)定的嚴(yán)密性已經(jīng)超越了其他法律法規(guī)的相關(guān)規(guī)定。由此，我們完全可以得出結(jié)論，刑法與其他法律法規(guī)對(duì)個(gè)人信息保護(hù)的銜接問(wèn)題，實(shí)際上就是刑法與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息保護(hù)的銜接問(wèn)題。

有效解決刑法與《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息保護(hù)銜接問(wèn)題的關(guān)鍵在于如何準(zhǔn)確理解刑法與前置法的位階關(guān)系。也就是在法秩序統(tǒng)一視角下，應(yīng)當(dāng)如何界定侵犯公民個(gè)人信息犯罪行為與一般侵犯公民個(gè)人信息行政違法行為的邊界?？傮w而言，刑事違法性的判斷應(yīng)從屬于行政違法性的判斷，如果相關(guān)行為不具有行政違法性，則該行為不具有刑事違法性。而更為重要的是，刑事違法性的判斷也具有相對(duì)的獨(dú)立性。犯罪行為的認(rèn)定，最終仍然取決于刑法有關(guān)規(guī)定和理論(9)王紹武：《法秩序統(tǒng)一性視野下違法判斷的相對(duì)性》，《中外法學(xué)》2015年第1期。。也就是說(shuō)，在個(gè)人信息保護(hù)的刑行銜接上，應(yīng)重視刑法對(duì)侵犯公民個(gè)人信息行為定性所考慮的因素與《個(gè)人信息保護(hù)法》對(duì)侵犯公民個(gè)人信息違法行為認(rèn)定所考慮因素的相關(guān)區(qū)別。在犯罪行為的認(rèn)定上，一方面需要明確相關(guān)行為是否觸犯了刑法的相關(guān)規(guī)定，是否符合相關(guān)犯罪的構(gòu)成要件；另一方面還需明確相關(guān)行為是否對(duì)刑法保護(hù)的法益造成嚴(yán)重侵害。

首先，侵犯公民個(gè)人信息罪是故意犯罪，且該罪僅規(guī)定了非法獲取、非法提供和非法出售個(gè)人信息這三種犯罪行為方式。但是，《個(gè)人信息保護(hù)法》除規(guī)定了非法收集(相當(dāng)于刑法中的獲取行為)、提供以及買(mǎi)賣(mài)個(gè)人信息行為(相當(dāng)于刑法中的出售行為)，還規(guī)定了過(guò)失侵犯公民個(gè)人信息行為、合法獲取但非法存儲(chǔ)個(gè)人信息行為以及合法獲取但非法使用個(gè)人信息行為等。嚴(yán)格按照罪刑法定原則的要求，有些行為就沒(méi)有構(gòu)成侵犯公民個(gè)人信息罪的可能性。理由主要是：

第一，過(guò)失侵犯公民個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪。結(jié)合侵犯公民個(gè)人信息罪法條規(guī)定，無(wú)論是該罪第1、2款規(guī)定的出售或提供行為，還是該罪第3款規(guī)定的竊取或以其他方法非法獲取行為，三種犯罪行為方式中的行為人主觀方面均表現(xiàn)為故意的心態(tài)。該罪屬于刑法分則中典型的故意犯罪，這在刑法理論上已經(jīng)形成共識(shí)。而《個(gè)人信息保護(hù)法》中的侵犯?jìng)€(gè)人信息違法行為雖然在條文規(guī)定中沒(méi)有明確包括過(guò)失行為，實(shí)際上確實(shí)是包括過(guò)失行為的。例如，在獲取個(gè)人信息的授權(quán)之后，個(gè)人信息處理者確有可能產(chǎn)生錯(cuò)誤認(rèn)識(shí)，認(rèn)為自己也同時(shí)獲得了轉(zhuǎn)讓個(gè)人信息處理的相關(guān)權(quán)限，而將相關(guān)個(gè)人信息提供給他人使用。此時(shí)，由于行為人對(duì)公民個(gè)人信息的侵犯是一種過(guò)失的心態(tài)，行為人雖違反《個(gè)人信息保護(hù)法》的有關(guān)規(guī)定，但相關(guān)行為并不構(gòu)成侵犯公民個(gè)人信息罪。

第二，合法獲取但非法存儲(chǔ)個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪?！秱€(gè)人信息保護(hù)法》第47條明確規(guī)定了個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息的相關(guān)情形，包括處理目的已實(shí)現(xiàn)、無(wú)法實(shí)現(xiàn)或者為實(shí)現(xiàn)處理目的不再必要；個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；個(gè)人撤回同意等。所謂“合法獲取但非法存儲(chǔ)個(gè)人信息”行為，是指?jìng)€(gè)人信息處理者先合法獲取了相關(guān)個(gè)人信息，但由于上述《個(gè)人信息保護(hù)法》所規(guī)定的相關(guān)原因，處理者喪失了合法存儲(chǔ)個(gè)人信息的相關(guān)權(quán)利，未履行相關(guān)刪除義務(wù)而繼續(xù)持有該個(gè)人信息的行為。從形式上看，現(xiàn)行刑法中侵犯公民個(gè)人信息罪僅規(guī)定了非法獲取、非法提供和非法出售個(gè)人信息三種行為方式，合法獲取但非法存儲(chǔ)個(gè)人信息行為不屬于上述三種犯罪行為方式的任何一種，故該行為顯然不可能構(gòu)成侵犯公民個(gè)人信息罪。從實(shí)質(zhì)上看，合法獲取但非法存儲(chǔ)個(gè)人信息行為的社會(huì)危害性要低于非法獲取個(gè)人信息行為的社會(huì)危害性。因?yàn)榉欠ǐ@取個(gè)人信息行為以作為的方式主動(dòng)破壞了公民自由授權(quán)個(gè)人信息處理相關(guān)權(quán)限的權(quán)利，而非法存儲(chǔ)個(gè)人信息行為僅屬于一種不履行《個(gè)人信息保護(hù)法》相關(guān)規(guī)定義務(wù)的不作為行為。因此，合法獲取但非法存儲(chǔ)個(gè)人信息的行為不應(yīng)構(gòu)成侵犯公民個(gè)人信息罪。

第三，合法獲取但非法使用個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪。《個(gè)人信息保護(hù)法》第14條規(guī)定，個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。所謂“合法獲取但非法使用個(gè)人信息”行為，是指?jìng)€(gè)人信息處理者先合法獲取了相關(guān)個(gè)人信息，但由于上述《個(gè)人信息保護(hù)法》所規(guī)定的相關(guān)原因，處理者喪失了合法存儲(chǔ)個(gè)人信息的相關(guān)權(quán)利，未履行相關(guān)刪除義務(wù)而繼續(xù)使用該個(gè)人信息的行為。同理，就實(shí)然層面而言，現(xiàn)行刑法也未將合法獲取但非法使用個(gè)人信息行為納入侵犯公民個(gè)人信息罪的行為方式中。因此，現(xiàn)階段只能對(duì)該行為按侵犯公民個(gè)人信息行政違法行為論處。然而，就應(yīng)然層面而言，合法獲取但非法使用個(gè)人信息行為與非法獲取個(gè)人信息行為一樣，均主動(dòng)破壞了公民自由處理個(gè)人信息的相關(guān)權(quán)利。在某種程度上該行為的社會(huì)危害性并不一定低于非法獲取個(gè)人信息行為。司法實(shí)踐中，合法獲取但非法使用個(gè)人信息行為也并不少見(jiàn)，該類(lèi)行為嚴(yán)重侵害個(gè)人對(duì)于個(gè)人信息的自決權(quán)，且對(duì)個(gè)人人格尊嚴(yán)、人身及財(cái)產(chǎn)安全會(huì)產(chǎn)生一定甚至嚴(yán)重的危害。同時(shí)，根據(jù)《個(gè)人信息保護(hù)法》第10條的規(guī)定，任何組織、個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息?？梢?jiàn)，個(gè)人信息的使用環(huán)節(jié)與個(gè)人信息的收集、提供、出售環(huán)節(jié)一樣，是個(gè)人信息處理流程中的關(guān)鍵階段，受《個(gè)人信息保護(hù)法》的重點(diǎn)保護(hù)。為加強(qiáng)對(duì)個(gè)人信息的全面保護(hù)，刑法理應(yīng)將合法獲取但非法使用個(gè)人信息行為納入侵犯公民個(gè)人信息罪的行為方式之中。當(dāng)個(gè)人信息使用者合法獲取個(gè)人信息之后，又任意改變個(gè)人信息的使用目的、范圍時(shí)，相關(guān)個(gè)人信息使用行為應(yīng)當(dāng)構(gòu)成侵犯公民個(gè)人信息罪。

其次，如果侵犯公民個(gè)人信息的行為符合侵犯公民個(gè)人信息罪規(guī)定的具體行為方式，但不具有法益侵害的可能性，則該行為不構(gòu)成侵犯公民個(gè)人信息罪。雖然《個(gè)人信息保護(hù)法》第10條明確規(guī)定，所有非法獲取、提供、出售個(gè)人信息的行為都屬于行政違法行為，但是這并不意味著，任何非法獲取、提供、出售個(gè)人信息且達(dá)到構(gòu)罪標(biāo)準(zhǔn)的違法行為均應(yīng)構(gòu)成侵犯公民個(gè)人信息罪。因?yàn)椋姓▋H強(qiáng)調(diào)公民對(duì)法律規(guī)范的遵守，其所規(guī)制的違法行為必須違背法律規(guī)定的行為準(zhǔn)則，而可以不具備法益侵害性。相比之下，刑法所規(guī)制的犯罪行為不僅應(yīng)符合相關(guān)犯罪的構(gòu)成要件，還應(yīng)具有法益侵害性。犯罪的認(rèn)定不僅要求相關(guān)行為違反特定的法律規(guī)范，還要求行為侵害或者威脅了刑法所保護(hù)的法益。因此，如果行為人違反秩序的行為并未導(dǎo)致刑法所不容許的損害結(jié)果的發(fā)生，則該行為就不應(yīng)當(dāng)被認(rèn)定為犯罪(10)參見(jiàn)[英]威廉姆·威爾遜《刑法理論的核心問(wèn)題》，謝望原、羅燦、王波譯，北京：中國(guó)人民大學(xué)出版社，2015年，第31頁(yè)。。就侵犯公民個(gè)人信息犯罪行為的法益侵害對(duì)象而言，結(jié)合立法本意來(lái)看，刑法設(shè)立侵犯公民個(gè)人信息罪并將其規(guī)定在刑法分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪中，旨在保障個(gè)人權(quán)利不受非法侵害，而不是強(qiáng)調(diào)對(duì)公共利益的保障。因此，該罪的法益不應(yīng)包含公共利益(11)參見(jiàn)王哲《侵犯公民個(gè)人信息罪中“個(gè)人信息”的限定》，《青少年犯罪問(wèn)題》2021年第3期。。據(jù)此，當(dāng)行為人實(shí)施了違反《個(gè)人信息保護(hù)法》相關(guān)規(guī)定的行為，但未給個(gè)人權(quán)益造成損害的，該行為不構(gòu)成侵犯公民個(gè)人信息罪。例如，網(wǎng)絡(luò)購(gòu)物平臺(tái)為提升用戶的購(gòu)物體驗(yàn)，需要優(yōu)化平臺(tái)的商品檢索系統(tǒng)以提升用戶的檢索效率。但受限于技術(shù)條件，該網(wǎng)絡(luò)購(gòu)物平臺(tái)需要委托第三方平臺(tái)對(duì)相關(guān)檢索系統(tǒng)予以升級(jí)，并未經(jīng)用戶同意將用戶的個(gè)人信息提供給第三方平臺(tái)進(jìn)行個(gè)人信息分析和系統(tǒng)優(yōu)化。應(yīng)該看到，在該案中，網(wǎng)絡(luò)購(gòu)物平臺(tái)未經(jīng)平臺(tái)用戶同意而將用戶個(gè)人信息提供給第三方平臺(tái)的行為屬于非法提供個(gè)人信息違法行為，且符合侵犯公民個(gè)人信息罪的行為方式。但是，由于該行為的最終目的是為了提升用戶的購(gòu)物體驗(yàn)，該非法提供個(gè)人信息行為不具有對(duì)個(gè)人財(cái)產(chǎn)權(quán)、人格權(quán)造成侵害的可能。此時(shí)，即便該行為違反了相關(guān)行為規(guī)范，但由于行為不具備法益侵害可能性，該行為不構(gòu)成侵犯公民個(gè)人信息罪。

最后，獲得被害人同意的侵犯公民個(gè)人信息行為不構(gòu)成侵犯公民個(gè)人信息罪。根據(jù)刑法條文規(guī)定，非法獲取個(gè)人信息行為是指竊取或者以其他方法非法獲取公民個(gè)人信息的行為。因此，在個(gè)人同意的情況下，不存在非法獲取個(gè)人信息的可能性。然而，在個(gè)人同意的情況下，如果個(gè)人信息處理者未履行《個(gè)人信息保護(hù)法》規(guī)定的“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估、保證個(gè)人信息自動(dòng)化決策的透明度和結(jié)果公平、公正”等義務(wù)，其依然存在實(shí)施非法提供或非法出售個(gè)人信息行為的可能，但此時(shí)相關(guān)行為不可能構(gòu)成侵犯公民個(gè)人信息罪。根據(jù)刑法相關(guān)理論，被害人同意的范圍僅限于對(duì)其自身個(gè)人法益侵害的承諾(但不包括對(duì)生命和身體健康侵害的承諾)，且被害人同意的行為不應(yīng)損害善良風(fēng)俗或者公共利益(12)參見(jiàn)[德]漢斯·海因里?！ひ惪?、[德]托馬斯·魏根特《德國(guó)刑法教科書(shū)(上)》，徐久生譯，北京：中國(guó)法制出版社，2017年，第511～516頁(yè)。。否則，被害人同意不能阻卻行為構(gòu)成犯罪的認(rèn)定。根據(jù)上述觀點(diǎn)，其一，刑法設(shè)立侵犯公民個(gè)人信息罪所保護(hù)的是個(gè)人法益而不是公共利益。分析《個(gè)人信息解釋》以及《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的定義，我們不難發(fā)現(xiàn)，個(gè)人信息的核心特征在于相關(guān)個(gè)人信息的可識(shí)別性。而法律對(duì)個(gè)人信息保護(hù)的關(guān)鍵在于防止個(gè)人信息處理者肆意利用個(gè)人信息的可識(shí)別性來(lái)識(shí)別特定自然人或特定自然人身份，進(jìn)而對(duì)相關(guān)自然人的個(gè)人權(quán)益產(chǎn)生侵害。其二，個(gè)人信息并不同于國(guó)家秘密，侵犯公民個(gè)人信息行為并不存在直接危及公共利益的可能性。其三，侵犯公民個(gè)人信息行為侵害的法益為個(gè)人信息權(quán)利而非個(gè)人的生命和健康等人身權(quán)。其四，侵犯公民個(gè)人信息罪是一種典型的“法定犯”，個(gè)人信息的權(quán)利完全由法律規(guī)范而非倫理道德規(guī)范所決定，因此被害人同意情形下的侵犯公民個(gè)人信息行為也不存在損害相關(guān)善良風(fēng)俗的問(wèn)題。綜上，在獲得被害人同意的情況下，如果個(gè)人信息處理者未履行《個(gè)人信息保護(hù)法》規(guī)定的義務(wù)而實(shí)施非法提供或非法出售個(gè)人信息行為，由于該行為并不會(huì)直接損害個(gè)人的生命和身體健康法益，也不會(huì)違反相關(guān)善良風(fēng)俗，更不會(huì)直接危及公共利益，相關(guān)行為僅構(gòu)成侵犯公民個(gè)人信息行政違法行為，而不構(gòu)成侵犯公民個(gè)人信息罪。

需要注意的是，被害人對(duì)侵犯公民個(gè)人信息行為的知情同意不應(yīng)當(dāng)存在意識(shí)表示缺陷，且應(yīng)以《個(gè)人信息保護(hù)法》賦予公民最后一次行使同意權(quán)的效力為基準(zhǔn)。一方面，被害人的知情同意應(yīng)當(dāng)真實(shí)有效?！秱€(gè)人信息保護(hù)法》第14條明確規(guī)定，基于個(gè)人同意處理個(gè)人信息的，該同意應(yīng)當(dāng)由個(gè)人在充分知情的前提下自愿、明確作出。該法第23條規(guī)定，個(gè)人信息處理者向其他個(gè)人信息處理者提供其處理的個(gè)人信息的，應(yīng)當(dāng)向個(gè)人告知接收方的名稱(chēng)或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類(lèi)，并取得個(gè)人的單獨(dú)同意。據(jù)此，被害人因受欺騙、脅迫等而同意個(gè)人信息處理者對(duì)其個(gè)人信息進(jìn)行侵犯的，相關(guān)行為仍可能構(gòu)成侵犯公民個(gè)人信息罪。另一方面，根據(jù)《個(gè)人信息保護(hù)法》對(duì)知情同意規(guī)則的相關(guān)規(guī)定，公民對(duì)其授權(quán)的個(gè)人信息使用目的、范圍、種類(lèi)等在信息處理各階段中均享有更改權(quán)和刪除權(quán)。據(jù)此，“公民知情同意”的效力應(yīng)當(dāng)以《個(gè)人信息保護(hù)法》賦予公民最后一次行使同意權(quán)的效力為基準(zhǔn)。換言之，在公民授權(quán)個(gè)人信息之后，公民又主動(dòng)行使對(duì)個(gè)人信息的撤回權(quán)，對(duì)該類(lèi)個(gè)人信息的非法處理行為依然可能構(gòu)成侵犯公民個(gè)人信息罪。

三、侵犯公民個(gè)人信息罪保護(hù)法益的再確認(rèn)

有關(guān)侵犯公民個(gè)人信息罪的保護(hù)法益，有學(xué)者認(rèn)為，該罪的保護(hù)法益仍為傳統(tǒng)法益，如人格權(quán)(13)參見(jiàn)王利明《論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學(xué)》2013年第4期；張新寶《〈民法總則〉個(gè)人信息保護(hù)條文研究》，《中外法學(xué)》2019年第1期。、隱私權(quán)(14)參見(jiàn)喻海松《侵犯公民個(gè)人信息罪的司法適用態(tài)勢(shì)與爭(zhēng)議焦點(diǎn)探析》，《法律適用》2018年第2期；徐翕明《“網(wǎng)絡(luò)隱私權(quán)”刑法規(guī)制的應(yīng)然選擇——從“侵犯公民個(gè)人信息罪”切入》，《東方法學(xué)》2018年第5期。、公共利益(15)參見(jiàn)王肅之《被害人教義學(xué)核心原則的發(fā)展——基于侵犯公民個(gè)人信息罪法益的反思》，《政治與法律》2017年第10期；敬力嘉《大數(shù)據(jù)環(huán)境下侵犯公民個(gè)人信息罪法益的應(yīng)然轉(zhuǎn)向》，《法學(xué)評(píng)論》2018年第2期。等。也有學(xué)者認(rèn)為，由于個(gè)人信息蘊(yùn)含多種權(quán)利屬性，侵犯公民個(gè)人信息罪的保護(hù)法益應(yīng)不同于傳統(tǒng)法益，而屬于一種新興法益，如個(gè)人信息自決權(quán)(16)參見(jiàn)周光權(quán)《侵犯公民個(gè)人信息罪的行為對(duì)象》，《清華法學(xué)》2021年第3期。、個(gè)人信息安全(17)參見(jiàn)姜濤《新罪之保護(hù)法益的證成規(guī)則——以侵犯公民個(gè)人信息罪的保護(hù)法益論證為例》，《中國(guó)刑事法雜志》2021年第3期。、個(gè)人信息受保護(hù)權(quán)(18)參見(jiàn)歐陽(yáng)本祺《侵犯公民個(gè)人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，《比較法研究》2021年第3期。等。為限定侵犯公民個(gè)人信息罪的適用范圍，一些學(xué)者先通過(guò)刑法的體系和理論來(lái)證偽其不予支持的法益觀，再依據(jù)自身對(duì)個(gè)人信息蘊(yùn)含權(quán)利的相關(guān)判斷來(lái)對(duì)該罪的保護(hù)法益進(jìn)行界定，最后根據(jù)該罪保護(hù)法益對(duì)該罪的刑法適用范圍進(jìn)行限縮。但學(xué)界對(duì)法益的概念和功能尚有爭(zhēng)議，并不存在清晰的法益界定規(guī)則；同時(shí)，個(gè)人信息所蘊(yùn)含的權(quán)利繁多，侵犯公民個(gè)人信息罪的司法解釋有關(guān)規(guī)定也較為模糊。這些都是導(dǎo)致學(xué)界對(duì)侵犯公民個(gè)人信息罪的保護(hù)法益久久未能達(dá)成共識(shí)的原因。

為準(zhǔn)確界定侵犯公民個(gè)人信息罪的保護(hù)法益，筆者認(rèn)為，首先，應(yīng)當(dāng)考慮到侵犯公民個(gè)人信息罪的構(gòu)成要件與《個(gè)人信息保護(hù)法》等前置法的緊密聯(lián)系，結(jié)合《個(gè)人信息保護(hù)法》以及侵犯公民個(gè)人信息罪的相關(guān)規(guī)定對(duì)該罪保護(hù)法益進(jìn)行推導(dǎo)；其次，對(duì)該罪保護(hù)法益的界定不應(yīng)導(dǎo)致刑法體系的內(nèi)在沖突；最后，對(duì)該罪保護(hù)法益的界定應(yīng)符合該罪設(shè)立的規(guī)范保護(hù)目的。相比之下，筆者更傾向于將侵犯公民個(gè)人信息罪的保護(hù)法益界定為個(gè)人信息自決權(quán)，這是一種包含了公民個(gè)人的信息自由、安全權(quán)和隱私權(quán)的新興權(quán)利(19)參見(jiàn)劉憲權(quán)、房慧穎《侵犯公民個(gè)人信息罪定罪量刑標(biāo)準(zhǔn)再析》，《華東政法大學(xué)學(xué)報(bào)》2017年第6期。。同時(shí)，個(gè)人信息自決權(quán)的法益觀應(yīng)受到侵犯公民個(gè)人信息罪規(guī)范保護(hù)目的的限定。

個(gè)人信息自決權(quán)的法益觀最為契合《個(gè)人信息保護(hù)法》等前置法的規(guī)定以及侵犯公民個(gè)人信息罪的法律規(guī)定。綜觀《個(gè)人信息保護(hù)法》有關(guān)規(guī)定，對(duì)侵犯公民個(gè)人信息行政違法行為認(rèn)定的關(guān)鍵在于判斷個(gè)人信息處理者是否獲得了個(gè)人的知情同意，有關(guān)“個(gè)人同意”的字眼在《個(gè)人信息保護(hù)法》的規(guī)定中多達(dá)27處。例如，該法第13條規(guī)定，取得個(gè)人的同意或具備其他法律規(guī)定的相關(guān)情形，個(gè)人信息處理者方可處理個(gè)人信息。該法第14條規(guī)定，個(gè)人信息的處理目的、處理方式和處理的個(gè)人信息種類(lèi)發(fā)生變更的，應(yīng)當(dāng)重新取得個(gè)人同意。該法第15條規(guī)定，基于個(gè)人同意處理個(gè)人信息的，個(gè)人有權(quán)撤回其同意?？梢?jiàn)，個(gè)人信息處理者違反國(guó)家有關(guān)規(guī)定的主要內(nèi)容是由于處理者對(duì)個(gè)人信息相關(guān)權(quán)限的處理未獲得個(gè)人的同意。同時(shí)，根據(jù)侵犯公民個(gè)人信息罪的法律規(guī)定，該罪的三種行為方式分別是非法獲取、非法提供以及非法出售個(gè)人信息行為。其中，非法獲取個(gè)人信息行為是指以竊取或者其他方法獲取個(gè)人信息的行為，非法提供和非法出售個(gè)人信息行為是指違反國(guó)家有關(guān)規(guī)定，向他人出售或提供個(gè)人信息的行為。在侵犯公民個(gè)人信息罪的認(rèn)定中，無(wú)論是非法獲取、非法提供還是非法出售行為，其行為“非法”性的認(rèn)定關(guān)鍵在于相關(guān)行為未獲得個(gè)人的知情同意。由此可見(jiàn)，無(wú)論是《個(gè)人信息保護(hù)法》還是刑法的侵犯公民個(gè)人信息罪，均重視對(duì)個(gè)人知情同意規(guī)則的維護(hù)，即重視對(duì)個(gè)人信息自決權(quán)的保護(hù)。

侵犯公民個(gè)人信息罪的其他法益觀與刑法其他涉?zhèn)€人信息犯罪法益觀相重合。如果將侵犯公民個(gè)人信息罪的保護(hù)法益限定為單一的人格權(quán)、財(cái)產(chǎn)權(quán)、公共安全、個(gè)人信息安全或個(gè)人信息受保護(hù)權(quán)等，則將導(dǎo)致侵犯公民個(gè)人信息罪與刑法其他涉?zhèn)€人信息犯罪相重合。根據(jù)我國(guó)現(xiàn)行刑法的規(guī)定，非法獲取信息數(shù)據(jù)行為可能構(gòu)成侵犯公民個(gè)人信息罪、非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪、侵犯商業(yè)秘密罪、非法獲取國(guó)家秘密、情報(bào)罪、盜竊罪等多個(gè)罪名，這些罪名分別對(duì)包括公民個(gè)人權(quán)利、市場(chǎng)經(jīng)濟(jì)秩序、國(guó)家安全等在內(nèi)的重要法益予以不同程度的保護(hù)(20)參見(jiàn)張勇《數(shù)據(jù)安全法益的參照系與刑法保護(hù)模式》，《河南社會(huì)科學(xué)》2021年第5期。。如果侵犯公民個(gè)人信息罪的保護(hù)法益為上述任意單一法益，則該罪的適用范圍必將與刑法其他涉信息數(shù)據(jù)犯罪相重合，如此勢(shì)必有違刑事立法中應(yīng)堅(jiān)持的節(jié)省立法資源、不重復(fù)立法的基本立場(chǎng)。由此可見(jiàn)，侵犯公民個(gè)人信息罪的其他法益觀并沒(méi)有結(jié)合刑法對(duì)個(gè)人信息保護(hù)的體系設(shè)計(jì)進(jìn)行考慮，也忽視了刑法對(duì)個(gè)人信息的保護(hù)并非僅限于通過(guò)設(shè)立侵犯公民個(gè)人信息罪來(lái)實(shí)現(xiàn)的客觀事實(shí)。

單純的個(gè)人信息自決權(quán)法益觀同樣存在一定的疏漏。隨著《個(gè)人信息保護(hù)法》對(duì)個(gè)人知情同意的相關(guān)權(quán)利進(jìn)行拓展，個(gè)人信息自決的范圍也得以擴(kuò)張，不僅包括在個(gè)人信息獲取和轉(zhuǎn)讓階段對(duì)個(gè)人信息處理權(quán)限的被動(dòng)知情同意，還包括在個(gè)人信息處理各階段對(duì)個(gè)人信息處理權(quán)限主動(dòng)更改和撤回的自決。絕大部分違反《個(gè)人信息保護(hù)法》有關(guān)規(guī)定的個(gè)人信息處理行為均將在不同程度上對(duì)個(gè)人信息自決權(quán)產(chǎn)生侵犯。如此，則將導(dǎo)致侵犯公民個(gè)人信息罪的刑法適用范圍得到任意擴(kuò)張。同時(shí)，個(gè)人信息自決權(quán)畢竟不屬于傳統(tǒng)的刑法法益，很難想象相關(guān)行為僅僅侵犯了公民的個(gè)人信息自決權(quán)就要受到刑事處罰。因此，應(yīng)對(duì)個(gè)人信息自決權(quán)的法益觀進(jìn)行相應(yīng)的限制，根據(jù)刑法設(shè)立侵犯公民個(gè)人信息罪的規(guī)范保護(hù)目的來(lái)限定該罪的適用范圍。刑法的法益和規(guī)范保護(hù)目的均為刑法解釋學(xué)中的重要概念，是影響犯罪認(rèn)定的重要因素。刑法相關(guān)罪名的保護(hù)法益是指值得刑法予以保護(hù)的具體利益，傳統(tǒng)刑法理論上也稱(chēng)之為相關(guān)犯罪行為所侵害的客體。而相關(guān)罪名的規(guī)范保護(hù)目的是指該罪名設(shè)立的立法目的或目標(biāo)。可見(jiàn)，法益和規(guī)范保護(hù)目的不是同一個(gè)概念，法益是規(guī)范保護(hù)目的的對(duì)象，相關(guān)罪名保護(hù)法益的確證不能偏離刑法設(shè)立該罪名的目的。對(duì)規(guī)范保護(hù)目的的明確有助于理解法益保護(hù)的范圍和必要性。據(jù)此，在侵犯公民個(gè)人信息罪的認(rèn)定上，由于侵犯公民個(gè)人信息罪主要保護(hù)的是個(gè)人權(quán)益而非公共利益，刑法對(duì)個(gè)人信息保護(hù)的最終目的還應(yīng)回歸對(duì)個(gè)人權(quán)益的保護(hù)上，即保障個(gè)人人格權(quán)或財(cái)產(chǎn)權(quán)等不受侵犯。而個(gè)人信息自決權(quán)只是為了防止個(gè)人人格權(quán)和財(cái)產(chǎn)權(quán)等權(quán)利受到不法侵犯而賦予個(gè)人自主決定個(gè)人信息授權(quán)處理范圍的權(quán)利。若侵犯公民個(gè)人信息的行為失去對(duì)個(gè)人人格權(quán)或財(cái)產(chǎn)權(quán)法益侵害的可能性，則即使相關(guān)行為侵犯了公民個(gè)人信息自決權(quán)，也不應(yīng)受到刑法規(guī)制。所以，應(yīng)將該罪的法益界定為與個(gè)人人格、財(cái)產(chǎn)權(quán)緊密關(guān)聯(lián)的個(gè)人信息自決權(quán)。如此，我們既解決了傳統(tǒng)法益觀寬泛而模糊的問(wèn)題，又可防止個(gè)人信息自決權(quán)法益觀在刑法適用上的肆意擴(kuò)張，使法益理論可以在侵犯公民個(gè)人信息罪的刑法適用中充分發(fā)揮其應(yīng)有價(jià)值。由此，當(dāng)個(gè)人信息處理者在獲得個(gè)人信息授權(quán)后更改個(gè)人信息使用目的、范圍、方式而不至于對(duì)個(gè)人人格權(quán)、財(cái)產(chǎn)權(quán)產(chǎn)生侵害時(shí)，相關(guān)行為不構(gòu)成侵犯公民個(gè)人信息罪。

四、侵犯公民個(gè)人信息罪中“情節(jié)嚴(yán)重”標(biāo)準(zhǔn)的再明確

相關(guān)行為構(gòu)成侵犯公民個(gè)人信息罪不僅需要符合該罪的行為要件，還需達(dá)到“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。而在《個(gè)人信息解釋》中，有關(guān)“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)規(guī)定存在諸多不合理之處，我們有必要對(duì)《個(gè)人信息解釋》中“情節(jié)嚴(yán)重”的有關(guān)規(guī)定進(jìn)行完善。

(一)刑法對(duì)個(gè)人信息的分類(lèi)標(biāo)準(zhǔn)應(yīng)參照《個(gè)人信息保護(hù)法》的規(guī)定

《個(gè)人信息解釋》第5條明確規(guī)定了非法獲取、出售或者提供公民個(gè)人信息“情節(jié)嚴(yán)重”的相關(guān)情形。據(jù)此規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息50條以上的，非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息500條以上的，非法獲取、出售或者提供上述信息以外的公民個(gè)人信息5000條以上的，屬于侵犯公民個(gè)人信息“情節(jié)嚴(yán)重”的行為，相關(guān)行為可構(gòu)成侵犯公民個(gè)人信息罪。

誠(chéng)然，《個(gè)人信息解釋》對(duì)個(gè)人信息進(jìn)行分類(lèi)的初衷是為了對(duì)個(gè)人信息進(jìn)行分級(jí)區(qū)分，并突出對(duì)重要個(gè)人信息進(jìn)行刑法保護(hù)，這一初衷無(wú)疑是值得肯定的。根據(jù)《個(gè)人信息解釋》第5條的規(guī)定，司法解釋主要根據(jù)個(gè)人生活中的不同場(chǎng)景和領(lǐng)域中對(duì)個(gè)人信息進(jìn)行分類(lèi)，將個(gè)人信息分為行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息、住宿信息、通信記錄、健康生理信息、交易信息等不同信息，但這種歸類(lèi)思路并不合理。由于個(gè)人信息權(quán)利屬性具有多樣性，實(shí)際上同一個(gè)人信息完全可以在多個(gè)不同場(chǎng)景和領(lǐng)域中得到使用，我們無(wú)法通過(guò)對(duì)個(gè)人生活場(chǎng)景和領(lǐng)域的劃分來(lái)界分不同類(lèi)型的個(gè)人信息。以附帶行程軌跡說(shuō)明的健康碼為例，我們既可以將其歸屬于行蹤軌跡信息，又可以將其歸屬于健康生理信息。而根據(jù)《個(gè)人信息解釋》規(guī)定，非法獲取50條以上行蹤軌跡信息即構(gòu)成侵犯公民個(gè)人信息罪，而非法獲取500條以上健康生理信息才構(gòu)成該罪。據(jù)此分析，《個(gè)人信息解釋》對(duì)個(gè)人信息的分類(lèi)必然導(dǎo)致不同類(lèi)型的個(gè)人信息范圍產(chǎn)生重疊，并產(chǎn)生對(duì)侵犯公民個(gè)人信息“情節(jié)嚴(yán)重”認(rèn)定或辨別上的困惑。有學(xué)者進(jìn)而提出，應(yīng)將個(gè)人信息按照其私密性高低，分為隱私領(lǐng)域、中間層的私人領(lǐng)域和最外層的社會(huì)領(lǐng)域。未經(jīng)個(gè)人同意，獲取或者提供最外層領(lǐng)域公開(kāi)信息的行為不成立犯罪(21)參見(jiàn)歐陽(yáng)本祺《侵犯公民個(gè)人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，《比較法研究》2021年第3期。。但上述觀點(diǎn)依然無(wú)法解決何種個(gè)人信息應(yīng)明確歸屬于隱私領(lǐng)域、私人領(lǐng)域或社會(huì)領(lǐng)域的問(wèn)題。依筆者之見(jiàn)，刑法對(duì)個(gè)人信息的分類(lèi)保護(hù)應(yīng)擺脫對(duì)個(gè)人信息所涉及場(chǎng)景和領(lǐng)域的單方面依靠，而應(yīng)參考《個(gè)人信息保護(hù)法》的有關(guān)規(guī)定，重視個(gè)人信息對(duì)公民人身及財(cái)產(chǎn)相關(guān)權(quán)益的影響力大小，并考慮行為人主觀上實(shí)施侵犯公民個(gè)人信息行為的動(dòng)機(jī)(或者目的)，綜合考量侵犯公民個(gè)人信息行為是否達(dá)到“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)。

其一，有關(guān)個(gè)人信息對(duì)公民個(gè)人利益影響程度的考察可以參照《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的分類(lèi)標(biāo)準(zhǔn)。如前所述，《個(gè)人信息保護(hù)法》第28條對(duì)個(gè)人信息進(jìn)行了分類(lèi)，即將個(gè)人信息分為敏感個(gè)人信息與一般個(gè)人信息。該條規(guī)定敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息。只有在具有特定目的和充分必要性并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息?？梢?jiàn)，《個(gè)人信息保護(hù)法》將個(gè)人信息的保護(hù)層級(jí)與侵犯公民個(gè)人信息行為對(duì)公民人身、財(cái)產(chǎn)的侵害可能性相聯(lián)系，而這種分類(lèi)方式也完全契合刑法對(duì)個(gè)人信息的保護(hù)要義。因?yàn)樾谭ㄔO(shè)立侵犯公民個(gè)人信息罪旨在規(guī)制侵害公民個(gè)人法益的行為，當(dāng)對(duì)特定個(gè)人信息的侵犯將更容易導(dǎo)致對(duì)公民個(gè)人權(quán)益的侵犯時(shí)，該類(lèi)個(gè)人信息便值得刑法予以重點(diǎn)保護(hù)。據(jù)此，我們應(yīng)該糾正《個(gè)人信息解釋》對(duì)個(gè)人信息的分類(lèi)思路，參考并最大限度地吸收《個(gè)人信息保護(hù)法》對(duì)個(gè)人信息的分類(lèi)方式，將個(gè)人信息明確區(qū)分為敏感個(gè)人信息和一般個(gè)人信息兩類(lèi)。

其二，應(yīng)結(jié)合行為人的動(dòng)機(jī)綜合判斷侵犯公民個(gè)人信息行為的社會(huì)危害性程度高低。行為人的動(dòng)機(jī)雖然不是侵犯公民個(gè)人信息罪犯罪構(gòu)成要件的考量因素，但卻可以成為侵犯公民個(gè)人信息行為法益侵害性高低的考量因素?！秱€(gè)人信息解釋》第6條也采用了類(lèi)似的立場(chǎng)，該條規(guī)定，為合法經(jīng)營(yíng)活動(dòng)而非法購(gòu)買(mǎi)、收受本解釋第5條第1款第3、4項(xiàng)規(guī)定以外的公民個(gè)人信息，即使非法獲取個(gè)人信息條數(shù)超過(guò)5000條以上的，只要獲利未超過(guò)5萬(wàn)元，且未曾因侵犯公民個(gè)人信息受過(guò)刑事處罰或者2年內(nèi)未受過(guò)行政處罰，相關(guān)行為不構(gòu)成犯罪?？梢?jiàn)，同樣是非法獲取其他個(gè)人信息的行為，為合法經(jīng)營(yíng)活動(dòng)而非法獲取個(gè)人信息行為的入罪門(mén)檻便相對(duì)高于以違法犯罪為目的的非法獲取行為。然而，《個(gè)人信息解釋》僅在侵犯公民其他個(gè)人信息的情形下考慮了行為人動(dòng)機(jī)對(duì)犯罪行為“情節(jié)嚴(yán)重”認(rèn)定的影響，卻并未將其進(jìn)一步拓展。依筆者之見(jiàn)，當(dāng)行為人以合法經(jīng)營(yíng)為目的而實(shí)施非法獲取個(gè)人敏感信息行為的，其行為入罪的標(biāo)準(zhǔn)理應(yīng)高于以違法犯罪為目的而實(shí)施非法獲取個(gè)人敏感信息行為的入罪標(biāo)準(zhǔn)。

值得關(guān)注的是，《個(gè)人信息保護(hù)法》進(jìn)一步加強(qiáng)了對(duì)未成年人個(gè)人信息的保護(hù)。該法第28條將未成年人個(gè)人信息納入敏感個(gè)人信息的范疇，據(jù)此，刑法也理應(yīng)降低侵犯未成年人個(gè)人信息行為的構(gòu)罪標(biāo)準(zhǔn)。但是，刑法的目的始終在于規(guī)制具有嚴(yán)重社會(huì)危害性的行為，我們不能盲目將所有未成年人個(gè)人信息都按照敏感個(gè)人信息進(jìn)行同等保護(hù)，而應(yīng)具體結(jié)合未成年人個(gè)人信息與未成年人人格尊嚴(yán)、人身和財(cái)產(chǎn)權(quán)利的聯(lián)系程度加以綜合考量。未來(lái)全面修改侵犯公民個(gè)人信息罪司法解釋時(shí)，可以根據(jù)不同未成年人個(gè)人信息的類(lèi)型，再專(zhuān)門(mén)細(xì)化侵犯公民個(gè)人信息罪中關(guān)涉未成年人個(gè)人信息的條款(22)參見(jiàn)張旭、朱笑延《“全民觸網(wǎng)”時(shí)代兒童個(gè)人信息安全的保護(hù)路徑》，《青少年犯罪問(wèn)題》2020年第1期。。

(二)刑法有關(guān)侵犯公民個(gè)人信息再犯構(gòu)罪標(biāo)準(zhǔn)應(yīng)作調(diào)整

《個(gè)人信息解釋》對(duì)侵犯公民個(gè)人信息再犯行為的認(rèn)定存在過(guò)于嚴(yán)苛的問(wèn)題。該司法解釋第5條第9項(xiàng)規(guī)定，曾因侵犯公民個(gè)人信息受過(guò)刑事處罰或者2年內(nèi)受過(guò)行政處罰，又非法獲取、出售或者提供公民個(gè)人信息的，屬于侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的情形，相關(guān)行為構(gòu)成侵犯公民個(gè)人信息罪。筆者認(rèn)為，該規(guī)定可能導(dǎo)致刑法適用的不當(dāng)擴(kuò)張。根據(jù)這一規(guī)定，個(gè)人信息處理者將很可能因?yàn)檫B續(xù)兩次行政違法行為而構(gòu)成犯罪。這一規(guī)定內(nèi)容顯然對(duì)專(zhuān)業(yè)從事個(gè)人信息處理的科技公司是極為不利的。由于行政違法的判斷不受犯罪主觀目的以及法益侵害有無(wú)的限制，在個(gè)人信息的日常流動(dòng)過(guò)程中，難免發(fā)生數(shù)量較多的侵犯公民個(gè)人信息行政違法行為。如果規(guī)定兩年內(nèi)兩次實(shí)施侵犯公民個(gè)人信息違法行為便可構(gòu)成侵犯公民個(gè)人信息罪，不僅會(huì)導(dǎo)致犯罪數(shù)量的激增，而且會(huì)導(dǎo)致侵犯公民個(gè)人信息犯罪行為和違法行為將無(wú)法從本質(zhì)上進(jìn)行區(qū)分的結(jié)果。行為人是否構(gòu)成侵犯公民個(gè)人信息罪取決于違法行為的數(shù)量和頻率，甚至直接取決于行政執(zhí)法單位的執(zhí)法頻率和積極性?？梢?jiàn)，該規(guī)定顯然有違罪刑均衡之刑法基本原則。筆者認(rèn)為，應(yīng)當(dāng)對(duì)此規(guī)定予以修正，而修正思路完全可以參照最高法、最高檢《關(guān)于辦理盜竊刑事案件適用法律若干問(wèn)題的解釋》中第2條對(duì)盜竊再犯情形中構(gòu)罪標(biāo)準(zhǔn)認(rèn)定的相關(guān)思路。該條規(guī)定，盜竊公私財(cái)物，曾因盜竊受過(guò)刑事處罰的或1年內(nèi)曾因盜竊受過(guò)行政處罰的，“數(shù)額較大”的標(biāo)準(zhǔn)可以按照前條規(guī)定標(biāo)準(zhǔn)的50%確定。該規(guī)定既降低了盜竊再犯情形構(gòu)成犯罪的標(biāo)準(zhǔn)，也有效區(qū)分了刑事犯罪和行政違法的邊界。同樣，按照這一思路，當(dāng)行為人具有侵犯公民個(gè)人信息違法犯罪前科的，其再犯行為的構(gòu)罪標(biāo)準(zhǔn)雖然應(yīng)低于一般侵犯公民個(gè)人信息罪的構(gòu)罪標(biāo)準(zhǔn)，但也應(yīng)同時(shí)達(dá)到侵犯相關(guān)個(gè)人信息的一定數(shù)量標(biāo)準(zhǔn)。因此，可以將《個(gè)人信息解釋》第5條第9項(xiàng)規(guī)定修改為：“曾因侵犯公民個(gè)人信息受過(guò)刑事處罰或者2年內(nèi)受過(guò)行政處罰，又非法獲取、出售或者提供公民個(gè)人信息的，‘情節(jié)嚴(yán)重’的標(biāo)準(zhǔn)可以按照前述規(guī)定標(biāo)準(zhǔn)的50%確定?！?/p>