陳卓

【摘要】個人信息立法最早從刑法領(lǐng)域展開，刑法先于民法、行政法的立法節(jié)奏極易引發(fā)保護體系的不協(xié)調(diào)，《個人信息保護法》出臺后，行刑銜接問題逐漸凸顯。一方面，刑法規(guī)制的侵犯公民個人信息的行為類型有限，僅依靠法律解釋難以實現(xiàn)保護范圍的擴張；另一方面，侵犯公民個人信息罪作為行政犯，前置法作出的違法性評價對定罪有著重要影響，不當引用前置法極易導(dǎo)致刑事保護范圍的非理性擴張。對此，可在明確刑事犯罪與行政違法邊界的前提下，將刑事法調(diào)整范圍擴張至所有信息處理行為，盡量實現(xiàn)侵犯公民個人信息罪規(guī)制范圍的全面。同時，通過明示法規(guī)法保護目的的方式為侵犯公民個人信息罪劃定合理的邊界，避免處罰范圍的不當擴張，實現(xiàn)合理的限縮并指引司法適用。

【關(guān)鍵詞】刑法先行；行刑銜接；保護疏漏；擴張風險

【中圖分類號】D924.34??? 【文獻標識碼】A??? 【文章編號】1672-4860（2023）05-0017-07

信息網(wǎng)絡(luò)時代，個人信息保護的重要性不言而喻，行蹤軌跡、通信內(nèi)容、征信、財產(chǎn)等信息被違法獲取、使用，極易引發(fā)公民的人身、財產(chǎn)等法益被侵害的風險。因此，刑法先于前置法對個人信息保護問題進行了回應(yīng)，形成了以刑法為主導(dǎo)的個人信息保護法律體系。但刑法先行、民法跟進、行政法補充的立法節(jié)奏必然會導(dǎo)致法律體系的不協(xié)調(diào)，招致對刑法干預(yù)早期化、社會治理刑法化的批評，并引發(fā)行刑銜接困境[1]。

一、公民個人信息保護的立法歷程

大數(shù)據(jù)時代，個人信息犯罪極具隱秘性，刑法以外的其他救濟手段并威懾性不足，難以遏制大規(guī)模針對個人信息的違法、犯罪活動。因此，我國最初選擇通過刑事手段對個人信息提供保護，個人信息立法經(jīng)歷了“刑事先行，民事跟進，行政補充”的發(fā)展過程。

（一）刑事先行的個人信息保護立法歷程

2009年《刑法修正案（七）》首次將個人信息納入刑法保護范圍，增設(shè)出售、非法提供公民個人信息罪及非法獲取公民個人信息罪。彼時前置法中尚未有專門的個人信息保護條款，兩項罪名的出臺填補了立法空白。2015年《刑法修正案（九）》將兩罪合并為“侵犯公民個人信息罪”，擴大了犯罪主體范圍，違法出售或者提供公民個人信息的行為將會構(gòu)成犯罪。為解決司法實踐中的適用爭議，2017年最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）以及2018年最高人民檢察院在《檢察機關(guān)辦理侵犯公民個人信息案件指引》中進一步擴張了侵犯公民個人信息罪的使用范圍。綜合來看，我國早期個人信息的保護主要是由刑法完成的。

（二）前置法層面?zhèn)€人信息保護法的立法歷程

鑒于個人信息保護的重要性，2017年出臺的《中華人民共和國民法總則》及2020年頒行的《中華人民共和國民法典》將個人信息納入保護范圍，囿于民事保護的有限性和被動性，個人信息還需要除刑法之外的其他公法部門的保護。行政法領(lǐng)域，《電子商務(wù)法》《消費者權(quán)益保護法》《商業(yè)銀行法》等多部法律陸續(xù)對個人信息保護的問題進行了回應(yīng)，但適用范圍卻極為有限。隨著網(wǎng)絡(luò)空間與現(xiàn)實空間的交叉融合^[2]，個人信息保護難度增大，亟待制定專門保護個人信息的專門行政立法。

2021年《個人信息保護法》出臺，標志著我國構(gòu)建信息社會基礎(chǔ)性法律的目標基本達成^[3]。該法采取了行政、刑事相混合的法律責任體系，可視情況對于違法處理個人信息的行為予以行政處罰或追究刑事責任。但囿于“制定一部統(tǒng)一的、比較完備的刑法典”立法指導(dǎo)思想以及20余年刑法修訂完善實踐形成的慣性和認知^[4]，《個人信息保護法》中的刑事責任條款僅是宣示性規(guī)定，并不能獨立適用，追究侵害個人信息者的刑事責任仍舊需要以刑法分則的規(guī)定為準。

刑法與行政法的價值追求各有側(cè)重，前者以公正為價值追求，后者以維護秩序為主要目的。治理違法行為應(yīng)當遵循行政不法與犯罪之間的“包容性原理”，即“立法者對于行政處罰應(yīng)當盡量優(yōu)先使用，只有在行為人的違法行為造成嚴重后果、侵害重大利益的情況下，才可以考慮使用刑事制裁手段”^[5]?！鞍菪栽怼庇葹閺娬{(diào)刑法的謙抑性和最后手段性，只有其他治理手段“無法有效地調(diào)整具有特殊重要性的社會關(guān)系”^[6]，才能由作為社會治理的最后法和保障法的刑法介入，且刑法“應(yīng)該保持克制而不應(yīng)該成為治理犯罪的主要手段”^[7]，只有行為造成秩序背后嚴重的法益侵害時^[8]，才應(yīng)考慮將之作為犯罪處理。這便要求行政立法應(yīng)先于刑事立法制定，刑事立法應(yīng)對具有嚴重法益侵害性的行政違法進行篩選后，才進行二次調(diào)整。但個人信息的立法卻呈現(xiàn)相反的次序，且由于刑事立法先于行政立法，《個人信息保護法》中的內(nèi)容難以與刑事罪名實現(xiàn)良好的銜接，反而引發(fā)司法實踐中的種種問題。

二、《個人信息保護法》中“處理”行為的分析

刑法主要打擊非法的個人信息流轉(zhuǎn)及非法出售個人信息的行為，而《個人信息保護法》禁止的是非法收集、存儲、使用、加工、傳輸、提供、公開、刪除等處理個人信息的行為，關(guān)注個人信息獲取、使用和流轉(zhuǎn)的全過程。相較之下，《刑法》對個人信息的保護范圍明顯較小。為應(yīng)對實踐中層出不窮的侵害個人信息行為，司法解釋不斷擴張刑法的保護范圍。但仍有部分具有嚴重的社會危害性非法處理個人信息的行為未受到刑法調(diào)整，例如非法使用、非法加工個人信息等。當然，這也不僅是立法次序的反常導(dǎo)致的。受刑法條文用語涵攝范圍的限制，僅通過擴張解釋的方法難以應(yīng)對實踐中日益復(fù)雜的侵犯個人信息現(xiàn)象，也難以與《個人信息保護法》實現(xiàn)良好的銜接。對此，應(yīng)當發(fā)現(xiàn)《個人信息保護法》與《刑法》規(guī)制對象的差異，在此基礎(chǔ)上篩選值得進入刑法調(diào)整范圍的情形，尋找擴充刑法保護范圍的合理路徑。

個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為，這涵蓋了信息從形成到消亡的生命周期全流程。在作詳細分析之前應(yīng)明確的是，立法規(guī)定的多個“處理”行為在實踐中存在重合或吸收的現(xiàn)象，如加工或使用行為必然涉及存儲行為等。應(yīng)當認為，立法規(guī)制的這幾類處理行為應(yīng)作目的性限縮解釋，即專指相互分離的、能夠獨立被評價的行為。以下結(jié)合個人信息的生命周期（圖1），對處理行為中的具體情形分別進行分析。

（一）收集行為

個人信息的收集是其信息生命周期的起點，收集信息是指對特定個人信息從無到有的取得過程?！缎谭ā分惺褂昧恕矮@得”和“獲取”的表述，《民法典》中則使用了“收集”和“獲取”的表述?！矮@得”和“獲取”為同義詞，意為“得到、取得”，從行為結(jié)果來看，收集、獲得及獲取行為都能實現(xiàn)對一定事物的從無到有。

（二）存儲行為

個人信息的儲存行為信息貫穿信息生命周期的全過程。“存儲”行為的本質(zhì)是將掌控的個人信息調(diào)整為隨時可調(diào)取、使用的狀態(tài)。從《個人信息保護法》第36條、第40條和第41條規(guī)定來看，立法并不禁止單純“存儲”行為，而關(guān)注的是信息存儲地點及與之相關(guān)的安全問題。信息的存儲不同于傳統(tǒng)意義上的有形物，信息具有無形性，既不會發(fā)生物理上的控制和占有，也不會因為使用而導(dǎo)致客觀的損耗^[9]。且存儲行為具有獨立性，信息的收集、存儲行為也可由不同的主體完成。刑法也未禁止非法存儲、占有、持有個人信息的行為。

（三）使用、加工行為

在完成個人信息的收集和存儲后，通常會進入使用環(huán)節(jié)，由于使用行為通常帶有一定的目的性，因而常與加工行為聯(lián)系在一起。從文義上看，“使用”即為某種目的而運用、利用某物，在個人信息領(lǐng)域，分析個人的消費記錄、瀏覽記錄后定向向其投送廣告，根據(jù)個人信息在本人不知情的情況下為其辦理電信、互聯(lián)網(wǎng)、銀行業(yè)務(wù)，甚至根據(jù)掌握的個人信息跟蹤、騷擾等都屬于使用信息的范疇。由于使用的形式多樣，《個人信息保護法》并未一一列舉，這也加大了法律適用難度。應(yīng)對使用信息的行為進行目的性限縮解釋，關(guān)注以姓名、出生日期、身份證件號碼、生物識別信息等個人信息的實質(zhì)內(nèi)容為對象的使用行為。在文義上，“加工”是指通過一定的工序?qū)⒃牧?、半成品轉(zhuǎn)化為目標需求物的過程。根據(jù)立法，任何組織、個人不得非法使用、加工個人信息，也不得從事與危害國家安全、公共利益有關(guān)的行為。換言之，如果前一階段的收集行為合法，那么為實現(xiàn)最初收集個人信息的目的而實施的使用行為，或為使用而實施的加工行為都不會受到禁止。

（四）傳輸、提供、公開行為

從信息生命周期來看，傳輸、提供、公開等并不是必經(jīng)的發(fā)展階段，常與其他處理信息的行為交織在一起?！秱€人信息保護法》對傳輸、提供、公開行為并未作出太多規(guī)定，因此，明確區(qū)分三者的行為邊界并不容易，需要結(jié)合立法目的和其他立法規(guī)定對三者作目的性限縮解釋。

首先，廣義上的“傳輸”是指個人信息的傳遞、流通過程。結(jié)合《網(wǎng)絡(luò)安全法》第47條規(guī)定，《個人信息保護法》中的“傳輸”應(yīng)當指提供傳輸途徑、服務(wù)的主體所實施的傳輸行為。實踐中，大量的、成規(guī)模的個人信息通常以電子數(shù)據(jù)形式存儲，不同主體之間的流轉(zhuǎn)難以獨立實施完成，需要借助專門的途徑和服務(wù)。對非法傳輸個人信息行為的限制便有較大意義。其次，關(guān)于“提供”與“公開”個人信息行為的區(qū)分，應(yīng)當從二者的行為結(jié)構(gòu)和后果入手。根據(jù)文義，“提供”意為提出、供給資料、物資、條件的行為，“公開”則指將相對秘密的事物公之于眾，使不特定主體能夠接觸、掌握，二者的主要差異就在于接收個人信息的對象是否特定?！疤峁毙畔⑿袨榈墓┬桦p方具有特定性，體現(xiàn)為雙方當事人就一定的物在內(nèi)容、數(shù)量方面形成合意后按照約定的方式完成標的物的給付與接收。而“公開”則是指行為人將掌握的個人信息向不特定的多數(shù)人公開的活動，其后果是本不能接觸到特定個人信息者都可由此接觸到個人信息，信息獲得主體具有廣泛性、不特定性。

（五）刪除行為

個人信息的刪除是其信息生命周期的終點，體現(xiàn)為被固化在一定載體上的個人信息的消亡?！秱€人信息保護法》即規(guī)定了個人信息處理者的積極義務(wù)，在一定情況下必須刪除個人信息的行為，屬命令性規(guī)范。但并未設(shè)立禁止性規(guī)范，即未對個人信息處理者不得刪除其持有的個人信息的情形作出規(guī)制。就此來看，立法實際上是對“刪除”作出了縮小解釋，盡量避免個人信息被他人持有以減少安全風險。但是，無論個人信息處理者違反的是禁止性規(guī)范還是命令性規(guī)范，《刑法》都未作規(guī)制。

三、侵犯公民個人信息罪的立法目的與銜接障礙

（一）刑法規(guī)范的保護目的解析

刑法對個人信息的保護與對其他人身、民主、財產(chǎn)權(quán)利的保護存在很大差異。其他罪名都是禁止那些直接造成法益損害或具有造成法益損害危險的行為，如侵犯人身犯罪必然會損害他人的身體權(quán)、健康權(quán)或自由權(quán)，侵犯財產(chǎn)犯罪會體現(xiàn)為對占有狀態(tài)或財產(chǎn)本身的損害等等。但是，個人信息本質(zhì)上是一種沒有物理邊界的、特定的信息^[10]，本身無法被“侵犯”，更不會因犯罪行為而發(fā)生內(nèi)容上的改變或損毀。在此意義上，侵犯公民個人信息罪與知識產(chǎn)權(quán)犯罪中的侵犯商業(yè)秘密罪具有一定的共性，刑法設(shè)立兩項罪名均是為了遏制違法獲取、提供信息的行為。結(jié)合司法解釋規(guī)定的入罪標準，刑法之所以禁止這些行為，目的在于避免因特定信息的非法流轉(zhuǎn)而造成法益侵害風險。就如侵犯商業(yè)秘密罪以泄露商業(yè)秘密造成權(quán)利人的損失為主要入罪標準，侵犯個人信息罪也以個人信息的不當流轉(zhuǎn)而造成公民人身、財產(chǎn)等法益面臨他人違法犯罪行為侵害的風險作為入罪衡量要素。

（二）行刑銜接疏漏

《個人信息保護法》規(guī)制的是處理個人信息的行為，而《刑法》規(guī)制的是非法獲取、提供個人信息的行為，當下亟待解決的難題是如何實現(xiàn)二者的銜接。囿于刑事立法早于《個人信息保護法》，難免有一定的滯后性，加之現(xiàn)有罪名僅規(guī)制有限幾種行為，極可能導(dǎo)致刑事保護范圍的疏漏。前文提及，刑事立法意在通過禁止個人信息的非法獲取、提供等對個人人身、財產(chǎn)安全有影響的行為來避免法益侵害風險，但這并不意味著其他個人信息處理行為沒有風險。如果說非法公開個人信息的行為尚且能通過實質(zhì)解釋將之歸入“非法提供”的范疇，受制于法律解釋方式及解釋的限度，其他非法處理個人信息的行為即使具有與非法提供、獲取行為相當?shù)奈：π裕搽y以納入現(xiàn)有刑事立法規(guī)制范疇。結(jié)合實踐來看，以下幾種非法處理個人信息具有相當法益危險性，值得關(guān)注。

第一，不當存儲個人信息的行為。當前，不當存儲行為主要包括兩類情形：一是個人信息處理者存在《個人信息保護法》第四十七條的情形，應(yīng)當主動刪除個人信息而未刪除；二是個人信息處理者雖不存在立法規(guī)定不應(yīng)存儲個人信息的情形，但存儲行為本身存在可能造成個人信息泄漏等安全風險。第一種情形的風險在于個人信息處理者已經(jīng)沒有繼續(xù)存儲個人信息的合法基礎(chǔ)或必要性，繼續(xù)存儲個人信息可能造成非法使用、泄漏等危及公民個人人身、財產(chǎn)安全的風險。第二種情形的風險在于，個人信息處理者雖然具有存儲個人信息的合法基礎(chǔ)和必要性，但因自身主客觀原因而導(dǎo)致存儲行為存在安全風險。根據(jù)現(xiàn)有刑事立法，存儲行為不能被解釋為獲取或提供行為，一旦出現(xiàn)因不當存儲行為造成公民人身、財產(chǎn)安全風險，甚至已經(jīng)造成了法益損害，那么很難通過法律解釋方法擴張刑法適用范圍以懲處行為人。據(jù)此，將極具法益侵害風險或已經(jīng)造成法益侵害結(jié)果的不當存儲個人信息的行為納入刑法的規(guī)制范疇是必要的。

第二，非法刪除個人信息的行為。刪除行為包含了不應(yīng)刪除卻實施了刪除行為以及應(yīng)履行刪除義務(wù)而不履行等兩種情形。對于前者，司法實踐中大多以“破壞計算機信息系統(tǒng)罪”論處，不存在過多爭議。對于后者，存在的問題與不當存儲行為具有相似性，現(xiàn)有刑事立法同樣難以規(guī)制。

第三，不當使用、加工個人信息行為的法益侵害的風險亦不可忽視。刑法是否應(yīng)當規(guī)制將合法獲得的個人信息用于處理目的之外的其他用途的情形。這類行為造成的后果不會直接違反法律的禁止性規(guī)定，但是卻帶有明顯的不當性。在實踐中，較為典型的做法是在商業(yè)活動中對個人信息進行加工分析，進而對特定群體實施歧視性定價行為等。根據(jù)《個人信息保護法》第24條，只要個人信息處理者利用個人信息進行自動化決策，就不得對個人在交易價格等交易條件上實行不合理的差別待遇^[11]。據(jù)此，這種不當加工、使用個人信息的行為就具有了進一步被評價為刑事不法的可能性。但是，根據(jù)現(xiàn)有立法將合法獲取的個人信息用于合法經(jīng)營活動者則不會構(gòu)成犯罪，即雖然歧視性定價等行為在《個人信息保護法》層面具有違法性，但這種商業(yè)行為本身尚屬于刑法層面“合法經(jīng)營活動”的范疇，并不能適用現(xiàn)行立法的規(guī)定，刑事保護在這方面存在疏漏。

（三）與《個人信息保護法》銜接中的擴張風險

侵犯公民個人信息罪是典型的行政犯，違法性判斷由《個人信息保護法》等非刑事法律規(guī)范完成^[12]。在《個人信息保護法》保護范圍明顯大于刑事立法的情況下，若刑事立法不夠明確，那么便存在行政違法性被直接轉(zhuǎn)化為刑事違法性的風險，這也將進一步導(dǎo)致刑事保護范圍的不當擴張。

根據(jù)《個人信息保護法》，處理個人信息應(yīng)遵循知情同意原則，這也是處理個人信息最重要的合法性要件，尤其是收集行為，未獲得個人同意實施的個人信息收集行為受到嚴格限制，受到《個人信息保護法》和《刑法》的雙重禁止。當前爭議較大的問題是過度收集個人信息的行為應(yīng)當如何定性。根據(jù)《個人信息保護法》規(guī)定的處理必要性原則，即應(yīng)限于實現(xiàn)處理目的的最小范圍，過度收集個人信息行為受到禁止。據(jù)此，即使經(jīng)公民同意實施的個人信息收集行為也具有違法性。在刑法層面，根據(jù)司法解釋，“非法獲取行為”包含兩種情形，即“未經(jīng)他人同意收集公民個人信息”以及“收集與提供的服務(wù)無關(guān)的公民個人信息”。從文義的角度來看，后者應(yīng)當是獲得個人同意后實施的超出服務(wù)需要收集個人信息的行為。此入罪規(guī)定難免讓人產(chǎn)生這樣一種認識，未經(jīng)同意實施的收集個人信息行為與經(jīng)同意實施的過度收集個人信息行為具有相同的危害性。但是，立法之所以禁止未經(jīng)同意實施的個人信息收集行為，一方面是因為侵犯了公民的信息自決權(quán)，另一方面則是個人信息被他人非法獲取后可能影響公民人身、財產(chǎn)安全。但是，經(jīng)同意實施的收集行為并未侵犯公民的信息自決權(quán)，公民如果對收集行為感到不安即可拒絕，而不像未經(jīng)同意實施的收集行為那樣使公民對個人信息的處理完全不知情。所以，盡管過度收集個人信息具有一定的危害性，但將之與未經(jīng)同意實施的收集行為作等同理解的做法有待商榷。尤其是隨著《個人信息保護法》的出臺，過度收集個人信息的行為更易被認定具有違法性，極易引發(fā)基于《個人信息保護法》作出的行政法意義上的違法性評價直接轉(zhuǎn)化為刑事違法性評價的風險，不當擴張刑法規(guī)制的范圍。

四、完善公民個人信息刑事保護的理論選擇及具體路徑

（一）明確個人信息犯罪與行政違法的界限基礎(chǔ)

如前文所述，非法處理公民個人信息行為的違法性在《個人信息保護法》中得到清晰的界定，但當其社會危害性上升到需要刑法評價的程度時得不到應(yīng)有回應(yīng)，由此便產(chǎn)生了刑事保護的疏漏。當然為保障刑法的謙抑性和最后手段性，在解決行刑銜接問題時，還需要防止刑法保護范圍的不當擴張。我國對于侵犯公民個人信息犯罪這類典型行政犯的認定，采用了“前置法定性”與“刑事法定量”定罪模式^[13]，《個人信息保護法》的規(guī)定僅是初步劃定進入刑事違法性評價視野的大致范圍，關(guān)鍵之處仍是以刑法法益為核心對行為的危害性作實質(zhì)判斷，尤其是需要對法規(guī)范的保護目的進行獨立的考察判斷^[14]。根據(jù)主流理論觀點，侵犯公民個人信息罪保護的法益是公民的信息自決權(quán)^[15]，通過保護個人信息安全而實現(xiàn)對個人人身、財產(chǎn)的保護^[16]，以此實現(xiàn)規(guī)避風險的立法目的^[17]。同時，《刑法》第13條規(guī)定了量的標準，將情節(jié)顯著輕微危害不大的行為被排除在了犯罪圈之外，即實施行政違法行為并不會直接構(gòu)成犯罪，在此之前通常還有一段行政處罰發(fā)揮作用的空間——行政不法與刑事犯罪的邊界正是蘊含于此。但是，實踐中的問題遠非凝練簡潔的刑法條文所能完全涵蓋，行政不法與刑事犯罪的邊界也極易模糊混淆。申言之，化解《刑法》與《個人信息保護法》銜接的難題，首先需要明確二者的邊界。

在德國，對于行政不法與刑事犯罪的區(qū)分問題，“質(zhì)量差異說”理論成為通說^[18]。該觀點認為，應(yīng)當將刑法區(qū)分為核心領(lǐng)域與非核心領(lǐng)域。刑法的核心領(lǐng)域與行政不法存在質(zhì)的差異，主要指向了人的生命、自由等權(quán)利，保護這些權(quán)利并不僅僅源于立法者的設(shè)定，還源于自然法等超越實定法的存在并通過刑法傳達出其受到絕對保護的必然性^[19]。在刑法的非核心領(lǐng)域，則主要指向了環(huán)境、經(jīng)濟等領(lǐng)域內(nèi)的不法行為，對此可以用刑事手段也可以用行政手段加以規(guī)制，二者之間僅有量的差異。

解決侵犯公民個人信息罪中的銜接問題首先需要在理論層面對刑事不法和行政不法的界限有明確的認識，區(qū)分哪些侵犯個人信息的犯罪行為僅與違法行為存在量的差異，哪些存在質(zhì)的差別。有研究提出應(yīng)當以個人信息的私密性為標準，分為“最核心層的隱私領(lǐng)域、中間層的私人領(lǐng)域、最外層的社會領(lǐng)域”等三個不同領(lǐng)域，進而決定犯罪構(gòu)成要件要素的具體內(nèi)容。司法解釋中規(guī)定的“行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息”等四種不允許擴大范圍的信息便屬于最核心層；而“住宿信息、通信記錄、健康生理信息、交易信息”等可能影響人身、財產(chǎn)安全的公民個人信息則屬于中間層的私人領(lǐng)域；最外層的社會領(lǐng)域則具有極為廣泛的外延，諸如公民在自動販賣機購買日用品的記錄等相對不重要的內(nèi)容都可劃入此列。結(jié)合立法目的來看，因前兩類信息直接與公民個人人身、財產(chǎn)關(guān)聯(lián)，明顯具有質(zhì)量差異說中“核心領(lǐng)域”的特征，犯罪與違法行為具有“質(zhì)”的差異。最后一類信息即使被違法使用、加工、存儲、傳輸?shù)龋搽y對人身、財產(chǎn)等重要法益造成侵害風險，可納入“非核心領(lǐng)域”，犯罪與違法行為具有“量”的差異。這也是個人信息犯罪的司法解釋所貫徹了的基本立場，但規(guī)定較為模糊，有待進一步細化。具體而言，不當處理個人信息行為入刑需要結(jié)合信息的私密程度做綜合性判斷。不當存儲行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息、住宿信息、通信記錄、健康生理信息、交易信息等信息導(dǎo)致個人的人身、財產(chǎn)權(quán)益面臨重大風險或已然遭受侵害的，應(yīng)當承擔刑事責任。未履行信息刪除義務(wù)導(dǎo)致“最核心層、中間層”信息被非法獲取使用的概率急劇增高或已經(jīng)被他人非法獲取使用的信息處理主體，應(yīng)當受到相應(yīng)的刑事處罰。對私密信息不當使用、加工造成公民人身、財產(chǎn)等法益侵害的風險，或非法使用、加工個人信息直接用于危害國家、軍事、公共、人身、財產(chǎn)安全的活動的主體，也應(yīng)當受刑法規(guī)制。對于合法獲得的個人信息用于原本處理目的之外的其他用途的情形，也應(yīng)結(jié)合信息的私密程度、造成人身、財產(chǎn)損失、社會不良影響等多方面的因素，在必要時由刑法介入。

（二）立法及司法解釋應(yīng)作審慎擴張

在立法方面，可考慮修訂現(xiàn)有立法內(nèi)容，將侵犯公民個人信息罪規(guī)制的行為類型調(diào)整為“處理行為”?！疤幚硇袨椤必灤┯谡麄€信息生命周期，能夠最大限度地減少保護范圍的“死角”，這也能化解司法機關(guān)在處置非法公開、使用、加工、存儲等可能構(gòu)成犯罪的違法行為時面臨的法律解釋難題。申言之，可將侵犯公民個人信息罪第一款內(nèi)容中的“向他人出售或者提供公民個人信息”改為“非法處理個人信息”，第二款可調(diào)整為針對第一款的從重處罰規(guī)定，第三款則可以被第一款吸收。

這種做法的重要意義在于，統(tǒng)一了侵犯公民個人信息罪與《個人信息保護法》的規(guī)定，減少了法律沖突，有利于兩法的銜接。由于個人信息的“處理行為”涵攝范圍廣泛，遠大于當前刑事立法中規(guī)定的“非法提供”和“非法獲取”等行為，其中必然包含一部分并不具有值得被刑法評價的情形。如實踐中最為常見的幾種情形，個人信息處理者收集公民的網(wǎng)絡(luò)購物瀏覽記錄，未經(jīng)同意而進行分析加工并用于商業(yè)活動，對公民個人進行有針對性的信息推送、商業(yè)營銷等等。這類行為雖然會對公民的購物活動造成一定的“困擾”，卻未造成公民人身、財產(chǎn)等重要法益侵害的風險，因而不值得刑法評價。但是，這種行為仍然屬于《個人信息保護法》中的“非法處理”行為，難免有被刑法進行評價甚至定罪的風險。為避免刑事保護范圍的過度擴張，還可在條文中明確規(guī)范的保護目的以進行限制^[20]。如前文分析，此罪的立法目的就在于通過禁止一定的個人信息處理行為以避免對人身、財產(chǎn)等重要法益造成風險，因而可在第一款中規(guī)定“具有足以造成公民人身、財產(chǎn)安全風險”或“造成公民人身、財產(chǎn)安全風險”，明確宣示該罪的保護目的，限縮適用范圍。

與此同時，司法解釋也應(yīng)當作出一定的調(diào)整以滿足罪名適用的需求，尤其是對于前文提及的，可能造成公民個人人身、財產(chǎn)等法益侵害的風險的非法存儲、公開、使用、加工等行為，可在司法解釋中設(shè)置具體的定罪量刑標準，以實現(xiàn)刑事保護的合理擴張。

最后，感謝山東政法學(xué)院青年人才支持計劃的資助。

On the Omission and Improvement of Criminal Protection of Citizens Personal Information

——Take the Connection between the Criminal Law and the Personal Information Protection Law as the Entry Point

CHEN Zhuo

（Faculty of Law， Macau University of Science and Technology， Macao Special Administrative Region 999078， Macao， China）

Abstract：?Personal information legislation started from the field of criminal law. Criminal law preceded the legislative rhythm of civil law and administrative law is very likely to lead to the incoherence of protection system. After the introduction of the Personal Information Protection Law， the problem of the connection of the execution gradually became prominent. On the one hand， the types of violations of citizens' personal information regulated by criminal law are limited， and it is difficult to expand the scope of protection only by legal interpretation; On the other hand， as an administrative crime， the illegality evaluation made by the preemptive law has an important impact on the conviction， and improper use of the preemptive law can easily lead to irrational expansion of the scope of criminal protection. In this regard， on the premise of clarifying the boundary between criminal crimes and administrative violations， the adjustment scope of criminal law can be extended to all information processing behaviors， and the regulation scope of the crime of infringing citizens' personal information can be fully realized as far as possible. At the same time， by clarifying the purpose of protection of laws and regulations， we delimit a reasonable boundary for the crime of infringing citizens' personal information， avoid improper expansion of the scope of punishment， achieve reasonable limitation and guide judicial application.

Keywords：criminal law first， convergence of the two laws， protection omission， expansion risk

參考文獻

[1]????? 梁根林. 刑法修正： 維度、策略、評價與反思[J]. 法學(xué)研究， 2017（01）： 42-65.

[2]????? 陳洪兵. 雙層社會背景下的刑法解釋[J]. 法學(xué)論壇， 2019（02）： 78-87.

[3]????? 申衛(wèi)星. 論個人信息保護與利用的平衡[J]. 中國法律評論， 2021（05）： 28-36.

[4]????? 文立彬. 個人信息犯罪的刑法規(guī)制——以內(nèi)地和澳門為比較[J]. 北京郵電大學(xué)學(xué)報（社會科學(xué)版）， 2015（03）： 50-73.

[5]????? 陳瑞華. 行政不法事實與犯罪事實的層次性理論——兼論行政不法行為向犯罪轉(zhuǎn)化的事實認定問題[J]. 中外法學(xué)， 2019（01）： 76-93.

[6]????? 趙秉志， 袁彬. 刑法與相關(guān)部門法關(guān)系的調(diào)適[J]. 法學(xué)， 2013（09）： 113-121.

[7]????? 趙運鋒. 行政違法行為犯罪化的檢視與應(yīng)對[J]. 政法論叢， 2018（02）： 100-109.

[8]????? 于沖. 附屬刑法缺位下行政犯空白罪狀的功能定位及其要件填補[J]. 中國刑事法雜志， 2021（05）： 92-107.

[9]????? 吳漢東. 知識產(chǎn)權(quán)法（第五版）[M]. 北京： 法律出版社， 2016.

[10]???? 呂炳斌. 個人信息權(quán)作為民事權(quán)利之證成： 以知識產(chǎn)權(quán)為參照[J]. 中國法學(xué)， 2019（04）： 44-65.

[11]???? 楊婕. 《個人信息保護法》正式出臺——走中國特色的立法之路[J]. 中國電信業(yè)， 2021（09）： 47-51.

[12]???? 孫靖珈. 侵犯公民個人信息罪的犯罪屬性及對刑罰邊界的影響[J]. 海南大學(xué)學(xué)報（人文社會科學(xué)版）， 2019（06）： 68-76.

[13]???? 田宏杰. 行政犯的法律屬性及其責任——兼及定罪機制的重構(gòu)[J]. 法學(xué)家， 2013（03）： 51-117.

[14]???? 簡愛. 我國行政犯定罪模式之反思[J]. 政治與法律， 2018（11）：31-44.

[15]???? 劉艷紅. 民法編纂背景下侵犯公民個人信息罪的保護法益： 信息自決權(quán)——以刑民一體化及《民法總則》第111條為視角[J]. 浙江工商大學(xué)學(xué)報， 2019（06）： 20-32.

[16]???? 姜濤. 新罪之保護法益的證成規(guī)則——以侵犯公民個人信息罪的保護法益論證為例[J]. 中國刑事法雜志， 2021（03）： 37-55.

[17]???? 歐陽本祺. 侵犯公民個人信息罪的法益重構(gòu)： 從私法權(quán)利回歸公法權(quán)利[J]. 比較法研究. 2021（03）： 55-68.

[18]???? 王瑩. 論行政不法與刑事不法的分野及對我國行政處罰法與刑事立法界限混淆的反思[J]. 河北法學(xué)， 2008 （10）： 26-33.

[19]???? 鄭善印. 刑事犯與行政犯之區(qū)別[M]. 臺北：三峰出版社， 1990.

[20]???? 于改之. 法域協(xié)調(diào)視角下規(guī)范保護目的理論之重構(gòu)[J]. 中國法學(xué)， 2021（02）： 207-227.