商浩文，王嘉茗

（北京師范大學 法學院，北京 100089）

隨著計算機和互聯(lián)網(wǎng)技術(shù)的發(fā)展，我們的社會無時無刻不在經(jīng)歷著一種巨大的轉(zhuǎn)變——從傳統(tǒng)工業(yè)社會向現(xiàn)代“風險社會”的模式的轉(zhuǎn)變。在這種背景下，公民的個人信息以數(shù)據(jù)的形式海量地被生成、儲存、處理，而生成、處理、儲存這些信息的主體通常不是信息內(nèi)容所指向的自然人，而是出于特定管理需要的國家機關(guān)，以及通過網(wǎng)絡(luò)平臺、軟件等形式提供服務(wù)的商業(yè)主體。網(wǎng)絡(luò)平臺經(jīng)營者、手機軟件運營者等商業(yè)主體在向用戶提供服務(wù)之前，都會收集一些用戶的個人信息。一項調(diào)查表明，超過70%的用戶在接受商家提供的隱私政策之前，并不會閱讀合同的內(nèi)容。［1］因此多數(shù)用戶在授權(quán)商業(yè)主體獲取個人信息時，通常并不清楚自己授權(quán)的具體內(nèi)容是什么，等到權(quán)益遭受損害時才發(fā)掘自己的個人信息遭到濫用，卻申訴無門。

浙江紹興的胡女士在攜程軟件上訂購酒店房間后發(fā)現(xiàn)，自己的“會員身份”不僅沒有像商家宣傳中那樣帶來“8.5折優(yōu)惠”，反而讓自己支付了原價兩倍的費用。這種現(xiàn)象被成為“大數(shù)據(jù)殺熟”。消費者與經(jīng)營者之間的信息不對稱、算法的專業(yè)性和隱蔽性以及算法形成的支配力和控制力，給商家利用大數(shù)據(jù)“殺熟”創(chuàng)造了基礎(chǔ)條件。［2］經(jīng)營者利用數(shù)據(jù)算法通過對其掌握的個人信息進行加工，可以對消費者的需求、喜好了如指掌，從而避開“市場支配地位”的要件，對消費者施加價格歧視，因此利用《壟斷法》來規(guī)制大數(shù)據(jù)殺熟行為具有困難。由于缺乏必要的規(guī)制手段，被“殺熟”的信息主體只能通過提起民事訴訟的方式維護自己的合法權(quán)益，但是采用這種途徑的個人通常面臨著取證困難、商業(yè)主體格式合同對抗等障礙。此外，部分商業(yè)主體將收集到的用戶真實姓名、身份證號、家庭住址等敏感信息打包出售給第三方，這些直接指向公民身份識別的重要信息的泄露，為電信詐騙犯罪提供了溫床。商業(yè)主體濫用公民個人信息的行為嚴重侵犯公民的合法權(quán)益，為其他違法犯罪行為鋪墊道路，其社會危害性已經(jīng)達到需要刑法介入的地步。

一、商業(yè)主體侵犯公民個人信息的主要形式

商業(yè)主體侵犯公民個人信息的常見形式包括泄露、非法使用敏感個人信息，以及過度收集、分析個人信息。這些行為侵犯了信息主體對個人信息所享有的知情同意權(quán)、控制權(quán)，以及與信息內(nèi)容相關(guān)的自然人人格利益。

（一）泄露、非法使用敏感個人信息

1.“敏感個人信息”的法律術(shù)語界定

敏感是一個主觀性很強的詞語，在日常生活中用于強調(diào)主體對于某種事物反應(yīng)很快、很強烈的特性。在法律上，何種個人信息可以被稱為“敏感”？關(guān)于敏感個人信息的概念，一種說法認為，敏感個人信息是能夠單獨、直接識別特定個體身份的個人信息，如姓名、身份證號、家庭住址、手機號碼、銀行賬號、微信號、支付寶賬號等［3］；另一種說法來源于《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》，該條例側(cè)重于數(shù)據(jù)內(nèi)容的隱私性、敏感性，將敏感個人數(shù)據(jù)定義為“一旦泄露、非法提供或者濫用，可能導(dǎo)致自然人受到歧視或者人身、財產(chǎn)安全受到嚴重危害的個人數(shù)據(jù)。”①需要特別說明的是，筆者認為“數(shù)據(jù)”是“信息”的載體，“數(shù)據(jù)”和“信息”是形式與內(nèi)容、載體與信息的關(guān)系。因此在本文的語境下，對于“個人數(shù)據(jù)”的規(guī)定同樣適用于“個人信息”?！秱€人信息保護法》對于“敏感個人信息”的規(guī)定與《深圳數(shù)據(jù)條例》對于信息“敏感性”的界定類似，肯定了敏感個人信息易導(dǎo)致主體遭受侵害的屬性，還額外將未成年人的個人信息納入范疇。前一種觀點側(cè)重信息的“唯一識別性”，而后者則指向敏感信息易于引發(fā)權(quán)益損害的屬性。

關(guān)于個人信息“敏感性”的界定，筆者認為應(yīng)當側(cè)重信息內(nèi)容的敏感屬性，將其定義為與信息主體人身、財產(chǎn)權(quán)利以及其他權(quán)益緊密相關(guān)的屬性，采用法定標準附加“場景式判斷”的標準來認定。敏感個人信息判斷的法定標準是指，以《個人信息保護法》第二十八條的規(guī)定為基礎(chǔ)，結(jié)合其他行政法規(guī)、司法解釋所確立的標準。［4］國內(nèi)的場景式判斷標準是美國學者尼森鮑姆“場景完整性理論”的本土化，即不采用一成不變的固定規(guī)則，而是以特定的場景為背景來具體判斷某種信息是否構(gòu)成“敏感個人信息”。采用混合的界定標準既保證對于敏感個人信息有統(tǒng)一、固定的判斷模式，又平衡了個案中所需要的具體判斷。

必須說明的是，“敏感”的定義應(yīng)當進行從生活用語到法律術(shù)語的轉(zhuǎn)化：在個人信息保護法律體系中，敏感個人信息的“敏感性”形容的對象不應(yīng)局限于信息的內(nèi)容，因為用個人對于敏感的感受來界定敏感個人信息不能滿足法律統(tǒng)一性的要求；這里的“敏感性”應(yīng)當用于指“法律規(guī)制的高反應(yīng)度”［5］，亦即法律對于違規(guī)處理這類特殊個人信息的行為做出了較強的反應(yīng)。司法解釋也印證了這一觀點：“兩高”在解釋侵犯公民個人信息罪的“情節(jié)嚴重”時，對具有“敏感個人信息”特征的行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息等個人信息的入罪門檻數(shù)量明顯高于其他個人信息。

2.泄露、非法使用敏感個人信息行為侵害的法益

敏感個人信息的性質(zhì)特殊，泄露、非法使用敏感個人信息行為所侵害的權(quán)益不僅包括信息主體對個人信息享有的自決權(quán)、查閱權(quán)、復(fù)制權(quán)等權(quán)力，還可能涉及公民隱私權(quán)、人身安全以及財產(chǎn)權(quán)，甚至還有人格尊嚴的侵犯?！秱€人信息保護法》肯定了這一說法。在所侵害的權(quán)益內(nèi)容上，敏感個人信息與一般個人信息所侵害的主體權(quán)益是相差無幾的，敏感個人信息的特殊性在于侵害風險的可能性較高、造成損害的程度較大且多為不可逆的。例如在曾經(jīng)引起輿論轟動的“人肉搜索第一案”，王某訴張某、凌云公司、天涯在線一案中，原告王某與姜某原系夫妻，姜某在自己的博客上發(fā)布了丈夫王某婚外情的信息，并附有王某的姓名、工作單位等個人信息。隨后姜某自殺，被告張某（姜某的朋友）在姜某死后注冊了與姜某博客名稱相同的網(wǎng)站，供張某、姜某的親友在上面發(fā)文紀念姜某，張某還將該網(wǎng)站與天涯網(wǎng)、新浪網(wǎng)進行鏈接。被告天涯公司和凌云公司運營的網(wǎng)絡(luò)平臺上，網(wǎng)民發(fā)起對原告王某的人肉搜索，將王某的家庭住址、電話號碼、照片等個人信息公布在網(wǎng)絡(luò)上，有部分網(wǎng)民在網(wǎng)站上對王某進行謾罵、人身攻擊，更有甚者到王某家中進行騷擾、攻擊，給王某的生活造成極大的困擾。［6］17王某的婚外情行為在道德上固然需要受到譴責，但是張某以網(wǎng)絡(luò)平臺公布其個人信息、任由網(wǎng)民對其進行網(wǎng)絡(luò)暴力的行為嚴重侵害了王某相關(guān)權(quán)益，導(dǎo)致王某的隱私權(quán)、生活安寧受到侵犯，這種行為需要受到法律的規(guī)制。

（二）個人信息的過度收集和分析

1.過度收集和分析個人信息的行為界定

商業(yè)主體濫用公民個人信息的第二個行為類型就是對個人信息的過度收集和過度分析。過度收集個人信息是指商業(yè)主體超過提供服務(wù)所需的范圍收集公民的個人信息，過度收集的信息來源包括直接由用戶提供，和經(jīng)過用戶授權(quán)后從第三方數(shù)據(jù)主體處獲得。緊隨過度收集之后，商業(yè)主體超過用戶同意，或者超過用戶可能同意的范圍對已經(jīng)掌握的個人數(shù)據(jù)進行處理、加工，這個過程是對個人信息的過度分析。由此可見，對個人信息的過度收集和分析行為的“過度性”體現(xiàn)在兩方面：一是超過提供服務(wù)所需要的范圍，二是超過信息主體在充分知情了解后，可能同意的范圍。商業(yè)主體過度收集、分析個人信息的一種常見形式就是，各種手機軟件從用戶安裝的其他軟件處獲取大量個人信息、使用痕跡等數(shù)據(jù)，然后經(jīng)過算法加工生成具有個性化特征的“用戶畫像”，再根據(jù)畫像將使用者、消費者群體進行分類，對不同類別的用戶推薦不同的產(chǎn)品或者服務(wù)。

2.過度收集、分析個人信息行為侵害的法益

過度收集、分析個人信息的行為侵犯了信息主體的知情同意權(quán)和數(shù)據(jù)可攜權(quán)。信息主體的知情同意權(quán)是指，信息處理者在收集、使用個人信息之前應(yīng)當獲得信息主體的同意，自然人有權(quán)充分知曉其個人信息被他人通過使用、加工、傳輸?shù)确绞竭M行處理；“數(shù)據(jù)可攜”的概念類似于物理上的空間轉(zhuǎn)移行為，而信息主體的數(shù)據(jù)可攜權(quán)的含義是一種個人能夠?qū)⑵鋫€人數(shù)據(jù)和資料有償或無償?shù)貜囊粋€信息服務(wù)者無阻礙地轉(zhuǎn)移至另一個或幾個信息服務(wù)者處的權(quán)利。［6］39

生成“用戶畫像”的行為可能導(dǎo)致兩種類型的侵害：一是算法操縱，即商業(yè)主體通過偏向性地提供服務(wù)，使用戶處于“信息繭房”之中，干預(yù)用戶的自由選擇［7］；更有甚者控制用戶的信息接受，潛移默化地影響用戶的價值觀、世界觀，挑起不同群體的對立，造成社會群體溝通失靈的現(xiàn)象。二是算法歧視，即商業(yè)主體根據(jù)“用戶畫像”，給不同的用戶群體貼上特定的“標簽”，對具有不同“標簽”的用戶群體推薦不同價格類別的產(chǎn)品或者服務(wù)，甚至對同一產(chǎn)品向不同用戶收取不同的價格，這一現(xiàn)象又被成為“大數(shù)據(jù)殺熟”?！秱€人信息保護法》第二十四條禁止商業(yè)主體在進行自動化決策時對用戶進行差別待遇，并且規(guī)定商家應(yīng)當尊重用戶對于自動化決策的選擇權(quán)。然而實踐中很多軟件都會默認用戶接受自動化決策，有些甚至沒有關(guān)掉自動化決策的設(shè)置，侵犯用戶對于獲取信息和接受服務(wù)的選擇權(quán)。

二、個人信息保護的刑法規(guī)定檢視

《中華人民共和國個人信息保護法》出臺之前，我國的對個人信息保護的法律規(guī)定分散在《民法典》《消費者保護法》《網(wǎng)絡(luò)安全法》以及《數(shù)據(jù)安全法》中，其中關(guān)于信息處理者侵權(quán)行為責任的規(guī)定包括了民事責任和行政責任，如《消費者權(quán)益保護法》第五十條中規(guī)定了經(jīng)營者侵害消費者個人信息依法得到保護的權(quán)利的，應(yīng)當承擔停止侵害、賠償損失等相應(yīng)的侵權(quán)責任；《網(wǎng)絡(luò)安全法》第六十四條規(guī)定了網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者侵害個人信息依法得到保護的權(quán)利的，將會根據(jù)情節(jié)面臨警告、沒收違法所得和罰款的行政處罰?！秱€人信息保護法》的出臺是我國個人信息保護法律的進步，該法系統(tǒng)性地規(guī)定了信息處理者的義務(wù)和責任、信息主體享有的權(quán)利、信息處理的規(guī)則。

在個人信息保護領(lǐng)域，存在著“刑事先行”的現(xiàn)象，即刑事法律先將侵害公民個人信息行為規(guī)定為犯罪，隨后才有關(guān)于個人信息保護的單行部門法。筆者認為這樣的立法模式印證了侵犯公民個人信息罪是自然犯的觀點，而非像部分學者所說的法定犯。然而對于個人信息的保護規(guī)定，這樣“刑事先行”的立法模式使得刑法與個人信息保護的規(guī)定存在不協(xié)調(diào)的地方，也導(dǎo)致刑法規(guī)制中遺漏了一些社會危害嚴重的行為。

（一）現(xiàn)有個人信息保護刑法模式檢視

當前我國對于犯罪對象為“個人信息”的刑法規(guī)制僅有刑法第二百五十三條侵犯公民個人信息罪、第二百八十五條和二百八十六條針對計算機系統(tǒng)的犯罪，以及第二百八十七條非法利用信息網(wǎng)絡(luò)犯罪。除了“侵犯公民個人信息罪”可以涵蓋侵犯個人信息的犯罪行為，其他罪名的犯罪客體并非“個人信息依法得到保護的權(quán)利”，保護的法益也是公法益，不能算作針對個人信息犯罪的刑法規(guī)制。已有的條文是否能夠滿足對個人信息犯罪規(guī)制的需求？我國是否需要以規(guī)制信息網(wǎng)絡(luò)犯罪、數(shù)據(jù)犯罪為主題的單行刑法？

計算機、網(wǎng)絡(luò)和數(shù)據(jù)化在一定程度上顛覆了傳統(tǒng)犯罪的方法，一大批通過信息網(wǎng)絡(luò)實施的新型犯罪涌現(xiàn)，因此有學者認為，我們需要制定專門的網(wǎng)絡(luò)犯罪刑事法律，以全方位應(yīng)對打擊日益猖獗的信息網(wǎng)絡(luò)和數(shù)據(jù)犯罪的需求。［8］單行刑法是我國刑法的重要淵源。大多數(shù)單行刑法已全部被1997刑法典收納，形成完整的刑罰體系。盡管單行刑法具有較強的靈活性、專業(yè)性、相對的獨立性，能夠及時應(yīng)對打擊新型的系統(tǒng)性犯罪的要求，但是單行刑法的弊端也十分明顯：（1）立法隨意性較大，不能滿足刑法的人權(quán)保障功能；（2）實質(zhì)上損害刑法的穩(wěn)定性；（3）與刑法典不易協(xié)調(diào)。［9］

應(yīng)當明確的是，法律具有穩(wěn)定性的特征，規(guī)定犯罪與刑罰的刑事法律尤是如此，才能持續(xù)地給公民提供正確的行為指引。對于新事物給傳統(tǒng)刑法體系所帶來的挑戰(zhàn)，如果對現(xiàn)有條文進行解釋就足以很好地處理個人數(shù)據(jù)犯罪，那么就沒有必要動用立法手段；即使在采取刑事立法路徑應(yīng)對網(wǎng)絡(luò)犯罪時，如果能夠通過增設(shè)行為方式或犯罪對象的形式使罪刑相適應(yīng)，就沒有必要，也不應(yīng)當制定所謂“網(wǎng)絡(luò)刑法”。［10］就以個人信息為對象的新型犯罪而言，即使犯罪的手段、目的、對象等要素隨著信息網(wǎng)絡(luò)的發(fā)展經(jīng)歷了變化，很多犯罪的構(gòu)成要件并沒有超出刑法的傳統(tǒng)犯罪理論。如刑法中“傳播淫穢物品罪”的傳統(tǒng)犯罪形式主要包括傳播“淫穢書刊、影片、音像、圖片或者其他淫穢物品”［11］607，而兩高針對淫穢物品犯罪的解釋中，將“在利用互聯(lián)網(wǎng)建立的群組中傳播淫穢電子信息”的行為歸納為傳播淫穢物品罪的表現(xiàn)形式，實質(zhì)上擴充了“淫穢物品”的概念。如同“數(shù)據(jù)”的概念一樣，法律所使用的很多術(shù)語都經(jīng)歷了內(nèi)涵和外延的變化，以適應(yīng)社會發(fā)展給法律穩(wěn)定性所帶來的挑戰(zhàn)。法律術(shù)語含義的變化并不等同于法律本身的改變，換言之，規(guī)則所指向的對象內(nèi)涵的變化不代表規(guī)則本身需要發(fā)生變化。例如盜竊罪中“財物”的概念就經(jīng)歷了從僅指有形物到涵蓋無形財產(chǎn)的變化，行為人無論是盜竊價值五千元的手表還是盜竊他人銀行賬戶中的五千元，都符合盜竊罪的構(gòu)成要件，按照盜竊五千元既遂判處刑罰。商業(yè)主體濫用個人信息的行為形式看似前所未有，實質(zhì)上是符合刑法中傳統(tǒng)的犯罪構(gòu)成框架的，只是犯罪客體變成了“個人信息”，或者犯罪是通過信息網(wǎng)絡(luò)實施的。針對個人信息的犯罪對刑法典的依附性較強，故不足以獨立形成單行刑法體系。

（二）對個人信息犯罪現(xiàn)有刑法規(guī)制的反思

1.忽視“濫用個人信息行為”的危害性

盡管民法和個人信息保護法規(guī)定了信息主體對個人信息享有的相關(guān)權(quán)利，但是刑法領(lǐng)域?qū)τ谶@些權(quán)益的相關(guān)理論并沒有跟上，導(dǎo)致當前我國司法實務(wù)對個人信息性質(zhì)的認定類似于所屬之物的范疇，將個人信息視為經(jīng)過技術(shù)勞動所產(chǎn)生的“勞動成果”，特別是對于以數(shù)據(jù)形式呈現(xiàn)的個人信息，按照傳統(tǒng)的占有主義理論來保護信息主體權(quán)益。［12］因此我國刑法對于個人信息犯罪的規(guī)定基本上都是套用傳統(tǒng)財產(chǎn)犯罪構(gòu)成的思路，將重點放在“打破合法占有”上，對非法獲取個人信息行為進行規(guī)制。以侵犯公民個人信息罪為例，該罪的表現(xiàn)形式包括違反國家規(guī)定向他人出售或提供公民個人信息，情節(jié)嚴重的；竊取或者以其他方法非法獲取公民個人信息，情節(jié)嚴重的。［11］480無論是“非法獲取”還是“違規(guī)出售、提供”，兩種行為方式的側(cè)重點都是對他人“占有”的破壞：非法獲取行為破壞了信息主體對個人信息的占有；違規(guī)出售和提供破壞則未經(jīng)信息主體的同意，將信息由第三人占有。但是考慮到數(shù)據(jù)共享性、再生性的特點，數(shù)據(jù)形式的個人信息在性質(zhì)上與傳統(tǒng)的財物有本質(zhì)的不同，對個人數(shù)據(jù)（信息）的濫用行為同樣可以具有嚴重的社會危害性，有些濫用行為的危害性甚至更甚于非法獲取的危害性，因此我們有必要重新審視對濫用個人信息行為的規(guī)制。

2.對信息主體權(quán)益保障的缺位

除了“侵犯公民個人信息罪”設(shè)置在刑法的“侵犯公民人身權(quán)利、民主權(quán)利罪”這一章節(jié)，其他對個人信息或者個人數(shù)據(jù)的犯罪都“著眼于對經(jīng)濟秩序和網(wǎng)絡(luò)空間中管理秩序的考量”[13]，被放置在侵犯公共法益的章節(jié)里?！拔覈谭▽€人數(shù)據(jù)的保護，呈現(xiàn)出秩序利益至上，產(chǎn)業(yè)發(fā)展利益次之，個體權(quán)利再次之的格局；”“除了在非法獲取或提供個人數(shù)據(jù)的場合，其他大量的對個人數(shù)據(jù)的侵犯行為，都并非因為侵犯數(shù)據(jù)主體的合法權(quán)益本身，而是因為其涉及對經(jīng)濟秩序或網(wǎng)絡(luò)空間秩序的擾亂，從而被認為需要予以處罰?！盵13]毋庸置疑，在大數(shù)據(jù)時代，個人信息犯罪所侵害的利益不僅是信息主體的權(quán)益，公共利益和國家安全亦被牽扯其中，但是刑法對于這三者的保護并不是矛盾的。信息主體是個人信息犯罪最直接的受害者，我們應(yīng)當完善刑法的相關(guān)規(guī)定，以保障信息主體的權(quán)益。

三、刑法規(guī)制路徑探索

針對上訴問題，筆者認為對于商業(yè)主體濫用數(shù)據(jù)優(yōu)勢地位、侵害公民個人信息權(quán)益的行為，應(yīng)當以明確個人信息法益的概念和屬性、修正刑法第二百五十三條“侵犯公民個人信息罪”的刑法規(guī)制手段來保障信息主體權(quán)益。

（一）個人信息法益的確立

1.個人信息權(quán)概念的明晰

個人信息權(quán)的概念雖未在法律上明文規(guī)定，但是在學理上經(jīng)常被使用，用以代指自然人信息主體對于個人信息所享有的一系列權(quán)利的總和?！睹穹ǖ洹返谝磺Я闳邨l規(guī)定了個人信息主體享有的權(quán)利，包括請求查閱、復(fù)制的權(quán)利，發(fā)現(xiàn)個人信息有誤請求采取相應(yīng)措施的權(quán)利，以及對違規(guī)或違約處理信息的信息處理者享有請求即使刪除的權(quán)利；《個人信息保護法》從信息處理活動的角度出發(fā)，規(guī)定了信息主體對信息處理活動的知情權(quán)、決定權(quán)、限制權(quán)和拒絕權(quán)。個人信息主體對個人信息享有的權(quán)利多為救濟性的權(quán)利，無論是《民法典》還是《個人信息保護法》都沒有規(guī)定個人信息主體主動支配、處分個人信息的權(quán)利。由此可以看出，法律并沒有賦予個人信息主體對于個人信息的絕對的支配權(quán)利，個體對于個人信息的權(quán)益依然需要讓步于公共管理的需求，甚至是商業(yè)活動、技術(shù)開發(fā)的需要。為了回應(yīng)不斷擴張的“個人信息”概念，為了補強信息法律保護體系中的薄弱環(huán)節(jié)信息，我們應(yīng)當進一步確立個人信息權(quán)的概念，并且明確該權(quán)利的屬性。［13］

關(guān)于個人信息權(quán)的權(quán)利性質(zhì)，學界有不同的看法：有人認為個人信息權(quán)是信息主體人格權(quán)的延伸；有人認為在大數(shù)據(jù)時代背景下，個人信息可以作商業(yè)用途而具有經(jīng)濟價值［14］；還有人認為個人信息權(quán)應(yīng)當是一種隱私權(quán)，公民的個人信息權(quán)益受到侵犯時可以根據(jù)隱私權(quán)的規(guī)定尋求救濟。[15]筆者認為個人信息的權(quán)利屬性不是單一的，個人信息權(quán)同時具有人格權(quán)和財產(chǎn)權(quán)利的屬性?！皞€人信息指向信息主體，能夠顯現(xiàn)個人的生活軌跡，勾勒出個人人格形象，作為信息主體人格的外在標志，形成個人‘信息化形象’?！保?5］個人信息內(nèi)容指向信息主體，這決定了個人信息必然包含這信息主體的尊嚴價值。個人信息的商業(yè)價值也應(yīng)當?shù)玫娇隙ǎ缤餍堑男は駲?quán)、姓名權(quán)，信息能夠給信息主體帶來經(jīng)濟收益，明確數(shù)據(jù)主體對個人數(shù)據(jù)享有財產(chǎn)利益能夠更好地保護主體利益，使得數(shù)據(jù)主體在遭受侵害后可以請求賠償財產(chǎn)損失，這是現(xiàn)代社會精神性人格利益商業(yè)化的典型。［16］

在特定情況下，個人信息也可以具有隱私的性質(zhì)，比如我們的家庭住址、一個病人感染了艾滋病診斷，此時反映隱私內(nèi)容的個人信息和個人隱私的內(nèi)涵重疊，該隱私信息按照隱私權(quán)保護模式受到法律保護，而無需強調(diào)所有個人信息都具有隱私屬性。如果承認個人信息的隱私性質(zhì)將會不利于個人信息在商業(yè)用途和公共管理中的正常使用，而且會將本身就模糊的“隱私”的概念拓展到個人信息的范疇中，使個人信息的判斷主觀化，信息是否具有隱私的屬性全憑信息主體做主。

2.侵犯公民個人信息罪的個人法益屬性

對于侵犯公民個人信息罪而言，作為犯罪客體的個人信息法益究竟是個人法益還是超個人法益，學界有不同的認識。個人法益說認為，侵犯公民個人信息罪侵害的客體是公民對于個人信息享有的相關(guān)權(quán)益，具體侵犯的是何種權(quán)益又分別有隱私權(quán)說、生活安寧說、個人信息權(quán)說和個人信息自決權(quán)說；超個人法益說認為，個人信息承載的內(nèi)容不僅是信息主體的權(quán)益，還包括公共秩序、國家安全等公共法益，因此侵犯公民個人信息罪的客體是公法益性質(zhì)。

侵犯公民個人信息罪位于刑法的第四章，屬于侵犯公民人身權(quán)利、民主權(quán)利犯罪，本章的犯罪客體具有明顯的個人法益屬性。固然大數(shù)量個人信息的集合會與公共安全、國家安全相關(guān)聯(lián)，因此《網(wǎng)絡(luò)安全法》對廣泛收集個人信息的網(wǎng)絡(luò)運營者規(guī)定了保密義務(wù)和建立信息安全保護制度的義務(wù)。“滴滴出行app事件”①“滴滴出行”是一款集出租車、專車、大巴車等多項業(yè)務(wù)的出行平臺。通過用戶對通訊信息、相冊、攝像機等信息的授權(quán)獲取，以及對用戶出行信息的收集、利用，滴滴出行掌握了大量公民的個人信息。2021年7月4日，“滴滴出行app”因存在嚴重違法違規(guī)收集、使用用戶個人信息問題被國家互聯(lián)網(wǎng)信息辦公室通知下架。隨后，國家網(wǎng)信辦發(fā)布公告，宣布將針對“滴滴出行”依照《中華人民共和國國家安全法》和《中華人民共和國網(wǎng)絡(luò)安全法》啟動安全審查。就很好第印證了公民個人信息與國家安全息息相關(guān)的觀點。但是我們同樣應(yīng)當認識到，不是所有大量個人信息的集合都能夠承載公共秩序保護的內(nèi)容，像“滴滴出行事件”這樣侵犯公民個人信息權(quán)益的同時還危及國家安全的案件仍屬于少數(shù)，換言之公共秩序和國家安全的受損在侵犯公民個人信息罪中的出現(xiàn)具有隨機性，只有以反應(yīng)特定信息內(nèi)容的大量個人信息的集合為犯罪對象，才有可能危機公共秩序和國家安全。因此筆者認為超個人法益屬性說的理論基礎(chǔ)存在缺陷，侵犯公民個人信息罪的犯罪客體應(yīng)當是以公民個人信息權(quán)未基礎(chǔ)的個人法益。

（二）對侵犯公民個人信息罪的修正

現(xiàn)有刑法規(guī)定的侵犯公民個人信息罪的行為方式僅包括“違反國家規(guī)定向他人出售或者提供公民個人信息”，而實踐中出現(xiàn)的其他嚴重侵犯公民個人信息權(quán)行為沒有包含在行為方式中。因此筆者認為應(yīng)當修改刑法侵犯公民個人信息罪的客觀構(gòu)成要件，增加“非法使用個人信息，情節(jié)嚴重的”和“違反國家規(guī)定濫用個人信息，造成嚴重后果的”兩種行為方式。

1.非法使用個人信息

“非法使用”個人信息是指，信息主體或者信息（數(shù)據(jù)）處理者、控制者違反《個人信息保護法》《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等前置法對于信息（數(shù)據(jù)）處理活動的規(guī)定使用個人信息。非法使用個人信息的具體形式包括泄露、非法使用敏感個人信息。非法使用個人數(shù)據(jù)需要達到情節(jié)嚴重的程度，才能達到本罪的入罪門檻。“非法”一詞本身就包含了違反法律的含義，因此不用重復(fù)規(guī)定“違反國家規(guī)定”的要件。最高人民法院、最高人民檢察院出臺的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》對侵犯公民個人信息罪的“情節(jié)嚴重”做出了詳細解釋?！督忉尅返谖鍡l的部分條款以非法獲取、出售的數(shù)據(jù)數(shù)量來衡量行為的嚴重程度，并且根據(jù)所承載的信息類型的不同對個人信息進行分類，對不同類型的個人信息規(guī)定了不同的數(shù)量標準。但是司法實踐中存在的這種單純使用信息數(shù)量的多少來定罪量刑的現(xiàn)象，判斷標準過于單一，并不能很好地實現(xiàn)罪責刑均衡原則，不能平衡犯罪與刑罰、責任。立法者也注意到“唯數(shù)額論”判斷標準的缺陷，越來越注重在構(gòu)成要件中增加行為危害性判斷的實質(zhì)性要素。《刑法修正案（九）》就針對貪污受賄犯罪定罪量刑標準的“數(shù)額中心論”弊端進行了修正，改用“概括數(shù)額+情節(jié)”的標準，更為精確地反映出不同個案中受賄行為人主觀惡性和社會危害性，由此實現(xiàn)對行為人定罪使的立體化考量和量刑時的復(fù)合式評價。［17］機械的判斷標準會導(dǎo)致僵化的司法判斷，脫離了生活經(jīng)驗的法律不能使公民感受到公平正義，因此侵犯公民個人信息罪的定罪量刑標準亦應(yīng)采納多元化判斷標準，司法人員應(yīng)當綜合數(shù)據(jù)數(shù)量、犯罪所得數(shù)據(jù)以及犯罪情節(jié)來定罪量刑。

2.濫用個人信息

濫用個人信息的具體形式包括過度收集、分析個人信息。濫用合法獲取的個人信息，需要造成嚴重后果才能構(gòu)成本罪。僅從行為性質(zhì)來看，“濫用”的危害性明顯小于“非法使用”，故刑法對“濫用”行為的規(guī)制十分謹慎?，F(xiàn)行刑法對濫用行為的懲罰存在于主體為國家機關(guān)工作人員、司法工作人員、國有公司、企業(yè)的工作人員以及軍人的犯罪，這些犯罪主體都負有特定的職責或者義務(wù)，客觀方面要求造成重大損失等嚴重后果才構(gòu)成犯罪，可見濫用行為入罪的門檻較高。判斷一個行為是否構(gòu)成“濫用”個人數(shù)據(jù)，應(yīng)當綜合行為人的主觀認知與行為所造成的危害結(jié)果。行為人主觀上要認識到其數(shù)據(jù)處理活動是違反國家規(guī)定的，或者是沒有經(jīng)過信息主體同意、超過信息主體同意的內(nèi)容的。從事數(shù)據(jù)處理活動的主體一般都具有特殊的技術(shù)知識，因此我們應(yīng)當默認行為人對于個人信息保護的相關(guān)規(guī)定有特殊認知，從而不接受行為人用“不了解相關(guān)法律規(guī)定”或者“不知道要獲取信息主體同意”為由的抗辯。濫用行為主體的主觀惡行較非法使用較小，因此應(yīng)由行為所造成的危害后果的嚴重來補足主觀方面的欠缺，即只有造成“被害人傷亡、精神失常，重大經(jīng)濟損失或惡劣社會影響，數(shù)據(jù)數(shù)量或者非法獲利金額巨大的”，才能構(gòu)成本罪。