“公民个人信息”的权利属性与刑法保护思路

  内容提要

“侵犯公民个人信息罪”中的“公民个人信息”，在司法实践中被非常狭窄地限制为公民的“身份认证信息”和“可能影响人身、财产安全的信息”，由此引发具体法律保护思路的偏差。而一切问题的根源，在于司法解释以过于限缩的态度去解释，立法和司法的出发点存在着严重差异，司法解释上“退十步进半步”的解释思路，导致刑法严重地自我剪切制裁半径。刑法对于“公民个人信息”的保护思路，应当从隐私权保护模式转向以个人信息权为基础的保护模式。

关键词　侵犯公民个人信息罪　个人信息权　司法解释　缩小解释　刑事政策

作者于志刚，教育部长江学者特聘教授、中国政法大学司法文明协同创新中心教授。（北京 102249）

原载《浙江社会科学》2017年第10期

基金项目：本文系2016年度中国法学会重点委托课题《防范和打击网络新型违法犯罪研究》（课题号：CLS［2016］ZDWT07）的阶段性成果。

当前公民个人信息泄漏呈井喷之势，为此国家机器强势介入，开始“运动式”打击个人信息泄漏行为，旨在以迅雷不及掩耳之势压减违法犯罪行为。同时，为解决当前制裁侵犯公民个人信息违法犯罪行为的法律依据争议与困惑，立法和司法举措不断：2009年2月28日《刑法修正案（七）》第7条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”；2013年4月23日最高人民法院、最高人民检察院、公安部发布《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称《通知》）；2015年8月29日《刑法修正案（九）》第17条又将前述两罪修订为一个“侵犯公民个人信息罪”；2017年5月8日最高人民法院和最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）。

上述立法和司法解释的努力和效果是明显的，但也存在着一些令人遗憾的问题，首当其冲的就是“公民个人信息”的权利属性。当前的立法和司法解释，仅仅是从事实层面规定公民个人信息的内涵与外延，缺乏规范层面的宏观思考，对于公民个人信息的权利属性，即公民个人信息应当属于人格权，还是财产权，抑或是一种独立权利类型，却避而不谈。此种有意或无意的回避如果说在之前还可以蒙混过关，但随着公民个人信息概念的不断扩张，以及此次《民法总则》第111条仅规定公民个人信息受到法律保护却未明确其性质，这样的尴尬局面被进一步放大。权利属性的不同则会导致保护机制的差异，最终影响到公民个人信息能否被切实维护。因此，如何界定“公民个人信息”的权利属性，以更全面地保障公民对其个人信息所享有的权利，以及刑法在此之中应当发挥何种作用，就成为亟待思考和解决的问题。

一、“公民个人信息”概念在司法视野中的法律扩张

随着社会信息化进程的加快，各类信息得以涌现，信息的潜在价值被不断挖掘，法律要保护的信息类型在不断增加。但对于“公民个人信息”概念的定义，刑法典本身并未作规定，两个修正案也均未涉及，反倒是在《通知》和《解释》这两个司法解释，以及2012年12月28日全国人大常委会通过的《关于加强网络信息保护的决定》（以下简称《决定》）和2016年11月7日通过的《网络安全法》中有着具体的规定。

（一）《决定》《通知》：狭义的可识别性+隐私性

《决定》作为我国首部关于个人网络信息保护的专门立法，对于个人信息保护做出了框架性的规定。其第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。紧接着，《通知》规定：“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”

《通知》较之于《决定》有两点进步：一是将“公民个人信息”的范围，从公民个人的电子信息扩大到了所有类型的信息，从而实现了“公民个人信息”的全方位保护；二是采取了概括列举混合的表述模式，专门列举了几项常见的类型。虽然如此，两个文件的基本精神是相一致的，即都将“可识别性”与“隐私性”作为“公民个人信息”的核心要素：前一类信息能够精准定位到信息所属的公民个人，使得公民被完全暴露在违法犯罪分子的掌控之下，没有丝毫的秘密可言；后一类信息则触及到了公民的个人隐私，而这往往对于公民个人而言具有重要的意义。通过将狭义的可识别信息与隐私信息相结合，《决定》和《通知》依然为公民提供了较为全面的个人信息保护法网。

（二）《网络安全法》：广义的可识别性

《网络安全法》第76条第5项规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”这一定义相较于《决定》和《通知》中对于“公民个人信息”的定义，最显著的标志有两个：一是删除了隐私信息，“隐私性”不再是公民个人信息的要素；二是由“能够单独识别”扩大到“能够单独或者与其他信息结合识别”。亦即，“可识别性”从狭义变为广义，除了能够单独识别的“直接型可识别信息”，还包括能够与其他信息结合后可识别的“间接型可识别信息”。

从本质上来说，《网络安全法》之前和之后，国家对于“公民个人信息”的保护力度与全面度并未因此而发生影响，因为正如上文所述，《通知》采取的是狭义的可识别信息模式，是把原本属于广义的可识别信息的“间接型可识别信息”作为隐私信息处理，《网络安全法》则采取广义的可识别信息模式，重新把“间接型可识别信息”纳入到了广义的可识别信息之中。换言之，两个文件对于“能够与其他信息结合识别的信息”都采取保护的态度，只是对它的认识与定位有所不同，《通知》将其作为隐私信息予以保护，《网络安全法》则是作为“间接型可识别信息”，将其纳入到广义的可识别信息进行保护。

问题的关键在于，虽然以上规定和定位看似只是一个形式上的变化，但却从一个侧面反映出了立法者对于“个人信息”与“隐私权”的关系有了新的认识：二者处于交叉关系，交叉的内容在于“个人隐私信息”。个人信息包括一般信息和个人隐私信息，对于个人一般信息，隐私权不能提供保护；隐私权除了保护私人信息外，还保护私人活动与私人空间，而这两方面与个人信息没有关系。但是，由于属于隐私权部分的个人隐私信息同时也属于个人信息的内容，因此，在个人信息安全的维度将其与其他个人信息不作区分，同等保护。基于此，《网络安全法》不再区分狭义的“能够识别公民个人身份”的信息和“涉及公民个人隐私”的信息，而是统统纳入广义的“能够识别公民个人身份”的信息之中。

（三）《解释》：形式上的广义可识别性+活动情况，实质上的个人身份信息+可能影响人身、财产安全的个人信息

《解释》基于全面保护公民个人信息的现实需要，对“公民个人信息”的概念与范围予以进一步扩张。其第1条规定：“刑法第253条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”这一规定的引人注目之处在于：其一，对于个人信息的概念，在《网络安全法》所确立的“广义的可识别性”这一单一要素基础上又增加了“活动情况”要素，个人信息的概念进一步被扩张；其二，对于公民个人信息主要类型的列举，除了一直以来被公认的“姓名”、“身份证件号码”、“通信通讯联系方式”、“住址”之外，又加入了“账号密码”、“财产状况”、“行踪轨迹”三种类型的个人信息。“行踪轨迹”可以认为是对个人信息概念中新增的“活动情况”的回应与细化，而“账号密码”、“财产状况”则难以解释。

认真分析可以发现：（1）对于“财产状况”型信息而言，从严格意义上说，它并不具有“可识别性”，既不能“单独识别特定自然人身份”，也不能“与其他信息结合识别特定自然人身份”，虽然在广义上仍属于“个人的信息”，但已经超出了之前几部法律法规和司法解释界定的“个人信息”的范畴。“个人信息”不同于“个人的信息”，前者特指能够识别出特定自然人身份的信息，而后者则泛指一切与自然人相关的信息。正是因为“个人信息”与个人相关并且能够识别到自然人个人身份，他人未经许可获取、使用该信息可能对信息主体造成损害，才需要对其保护。“财产状况”信息，无论直接抑或是间接，都难以识别特定自然人身份。因此，将它认定为属于“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况”的信息，是有疑问的。（2）对于“账号密码”型信息来说，将其解释为属于能够与其他信息结合识别特定自然人身份的“间接型可识别信息”，存在疑问。最高司法机关相关工作人员的研究解释性文章提到，“当前账号秘密往往绑定身份证号、手机号码等特定信息，即使未绑定，非法获取账号秘密后往往也会引发侵犯财产甚至人身的违法犯罪。因此，《解释》第一条明确将‘账号秘密’列为‘公民个人信息’的范围。”①但实际上这种解释不仅牵强，而且还自相矛盾。牵强之处在于，行为人通过非法获取他人的“账号密码”后，往往不会关注“账号密码”属于何人，而只关心能否获取背后的财产。即便能够获悉特定自然人的身份，行为人也往往丝毫不关心。因此，将这种信息也认定为是“公民个人信息”，似乎有些勉强。同时，解释的矛盾之处还在于，既然已经承认有些账号密码可能“未绑定”身份证号、手机号码等特定信息，则这些账号密码实际上既不能识别特定自然人身份，也不能反映特定自然人活动情况，如此仍然被“列为‘公民个人信息’的范围”，则难以自圆其说。

以上两项虽然看似是在保护个人信息，但无论从立法目的还是可能取得的效果来看，已经突破了个人信息的概念，实际是在为保护“账号密码”、“财产状况”背后的财产权目的而服务。“活动情况”和“行踪轨迹”也是同样道理。这种立法上的矛盾来自于对现实的无奈。《解释》费尽心力地对于“公民个人信息”的概念进行扩张，向上通过对《网络安全法》中关于“公民个人信息”概念的解释来为“活动情况”型信息提供权威依据，向下通过削足适履的方式将“财产状况”型信息和“账号秘密”型信息纳入到“公民个人信息”的概念之中。通过规定“账号密码”、“财产状况”对于可能的财产犯罪进行打击，通过规定“活动情况”和“行踪轨迹”对于可能的人身犯罪进行制裁。因此，此次司法解释不仅是在之前基础上的进一步扩张，而且是一次“双重扩张”，即在表述上通过定义的方式增加了“活动情况”信息，实际上还通过列举的方式增加了“账号秘密”信息和“财产状况”信息；同时，再结合《解释》第5条第1款对于“情节严重”的认定标准，最终使得实际的“公民个人信息”概念包括两类：个人身份认证信息和可能影响人身、财产安全的个人信息，前者要求具有广义的可识别性，后者对于可识别性没有要求。

二、“公民个人信息”定位的法律塑造

关于“公民个人信息”的构成，立法和司法都只是停留在事实层面，依靠的是实践的归纳与经验的累积，却缺乏对于“公民个人信息”的顶层设计。信息化时代的“公民个人信息”，虽然首先是作为一连串的数据出现的，但却不仅仅止于此，它更是公民的一项权利，是公民对于自身的个人信息享有使用与不受侵犯的权利。也只有当它成为公民的权利时，法律包括刑法在内才会对它加以保护。对于整个国家来说，如果不从顶层设计出发，不优先考虑公民个人信息的法律定位，确立它的权利性质，那么法律保护体系不仅将无从建立，甚至已经确立的规则也可能会被一时的现实短视所动摇而处于摇摆境地。

（一）“公民个人信息”在国家信息法律体系的定位

从宏观上看，“公民个人信息”应当是与国家秘密、军事秘密、商业秘密等一样，属于应当被信息保护法律体系关注和保护的重要组成部分，因此，与相应的《保守国家秘密法》等法律一样，未来的“个人信息保护法”和它们同属一个保护信息的法律体系之内。通过对我国信息法律体系的梳理，可以发现公民个人信息的应然使命与实然现状。

1.当前信息保护法律体系承认的信息类别与保护措施

在我国现行法律体系中，明确了对于七种类别的信息予以保护，分别是：国家秘密、军事秘密、国家情报、商业秘密、消费者个人信息、网络运营商收集的用户信息和公民个人信息。具体包括：《保守国家秘密法》第3条；《中国人民解放军保密条例》第2条、第3条；《反不正当竞争法》第10条；《消费者权益保护法》第29条；《网络安全法》第40条、第41条、第42条、第43条、第44条、第45条；《民法总则》第111条。

此外，除了有专门法律对于上述信息明确予以规定外，刑法还对于侵犯上述信息的行为进行了严厉的制裁。具体包括：刑法第111条“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”和第398条“故意泄漏国家秘密罪”、“过失泄漏国家秘密罪”；刑法第431条“非法获取军事秘密罪”、“为境外窃取、刺探、收买、非法提供军事秘密罪”和第432条“故意泄漏军事秘密罪”、“过失泄漏军事秘密罪”；刑法第111条“为境外窃取、刺探、收买、非法提供国家秘密、情报罪”；刑法第219条“侵犯商业秘密罪”；刑法第253条之一规定了“侵犯公民个人信息罪”。

2.现有法律框架下的公民个人信息保护

通过上述梳理可以发现，《消费者权益保护法》、《网络安全法》、《民法总则》和《刑法》构成了当前我国个人信息的法律保护框架。其中，由于《民法总则》较之于《消费者权益保护法》、《网络安全法》对于“公民个人信息”的保护范围更广，较之于《刑法》对于“公民个人信息”的保护领域更为广泛，因此，实际上发挥着保护公民个人信息的基础功能，《民法总则》第111条关于公民个人信息受法律保护的规定，标志着“公民个人信息”正式地成为公民的一项民事权利。《民法总则》第111条从四个层面对公民个人信息进行了保护：（1）“自然人的个人信息受法律保护”，这一规定具有宣示性的作用。（2）“任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全”，这一规定表明，获取公民个人信息需要遵循合法原则和确保信息安全原则。（3）“不得非法收集、使用、加工、传输他人个人信息”，这一规定表明，如果没有得到信息主体的授权，则处理其信息就是非法的。（4）“不得非法买卖、提供或者公开他人个人信息”，这一规定禁止非法买卖、非法传播个人信息。

综上，通过对于当前法律承认的信息类别与保护措施的梳理可以发现，目前初步建立的信息保护法律体系，虽然包括国家层面的国家秘密、军事秘密、军事情报，个人层面的公民个人信息、消费者个人信息、网络运营商收集的用户信息，以及比较特殊的商业秘密，但是，在这三个层面的信息保护中，对于“公民个人信息”的保护起步最晚，发展程度最低。当然，此种现状与中国的特殊国情，以及社会转型的因素有关，因为正是伴随着公民权利的扩大和信息时代的来临，公民个人信息才逐渐引起人民的关注。但不可否认的是，我国在这一方面确实已经落后很多。②因此，必须完善公民个人信息保护制度，强化对于公民个人信息的保护。

（二）“公民个人信息”在个人信息网格中的定位

在现代网络社会，个人信息对于公民极其重要，但关于个人信息的“权利属性”的问题，却未有定论。纵观国外和国内学者对于公民个人信息的权利性质的解读，可以归纳为三条进路：一是认为应当属于财产权，二是认为应当属于人格权，三是认为应当属于隐私权。

1.观点之一：财产权说

该说主张，公民对其个人信息的商业价值所拥有的权利是一种新型财产权，即“信息财产权”。“随着信息和网络时代的到来，个人信息事实上已经发挥出维护主体财产利益的功能，此时，法律和理论要做的就是承认主体对于这些个人信息享有财产权。”③另有学者将公民个人信息的权利性质理解为所有权的一种，即公民对于自身信息享有占有、使用、收益、处分的权利。④财产权说的缺陷在于，如果单纯把个人信息权作为一种财产权，则会过于强调它的商业价值，反倒忽略了对于“公民个人信息”的保护，而后者才是个人信息法律制度的首要目标，也是公民最现实的需求。此外，如果忽略了“个人信息”中“人”的因素，则必然“在商言商”，妨害人格的平等性，“因为每个人的经济状况不同，信息资料也有不同价值，但人格应当是平等保护的，不应区别对待”。⑤

2.观点之二：具体人格权说

该说认为，个人信息权是一项人格权，并且是一项具体的新型人格权。首先，从权利内涵的特性出发，认为个人信息权以人格利益为保护对象，信息主体对于自身信息具有控制与支配的权利属性，具有特定的权利内涵；其次，从权利客体的丰富性出发，公民个人信息包括一般个人信息、隐私个人信息和敏感个人信息，其中有些信息，比如姓名、肖像、隐私等，已经上升为具体人格权，不再需要依靠个人信息权进行保护，而其它信息则必须要通过个人信息保护权的机制进行保护；再次，从保护机制的有效性出发，对于侵犯公民个人信息的侵权行为，如果将个人信息权界定为财产权，则可能没有保护的必要。反之，如果将其作为人格权，则一方面能够保证不会因为个人身份的差异而导致计算方式上有所区别，从而维护了人格平等这一宗旨，另一方面公民还能依据《侵权责任法》第22条主张精神损害赔偿；⑥最后，从比较法的角度出发，世界上个人信息保护法所保护的主要是公民的人格利益。⑦客观地讲，具体人格权说的不足在于，自然人的人格权具有专属性、不可交易性，即便能产生经济价值，但也不能作为财产予以对待，否则便会贬损自然人的人格意义。

3.观点之三：隐私权说

该说主张，公民个人信息权应当属于隐私权，公民个人信息受到侵犯时应当通过隐私权的途径寻求救济。“个人数据的保护主要是对数据主体隐私权的保护”⑧。主要理由是：第一，之所以保护个人信息是因为侵犯公民个人信息可能侵犯到公民的人格尊严，破坏公民的私生活安宁。而如果该信息不属于隐私，则他人即便获取也不会影响到信息主体，不会对其产生冒犯。第二，我国《侵权责任法》第2条已经正式确立了对隐私权的保护，而通过对隐私权的扩张解释，足以将个人信息法所要保护的各种信息囊括进隐私的概念，因此无需再创设独立的个人信息权。⑨该说的缺陷在于：一是隐私权强调的是对于公民个人隐私的保护，侧重于消极防御，而这难以涵盖现代社会中大量存在的公民积极地使用自身信息参与各种活动的现实。二是隐私权难以与现代信息社会相兼容。隐私权对于信息提供的保护是一种“绝对性”的保护，而在现代社会，对于信息的收集、处理、存储和利用不仅必要而且必须，不仅国家从单纯的保护者姿态变为了最大的信息收集、处理、存储和利用者，而且公司、社会组织等第三方信息从业者也逐渐产生。⑩三是隐私权的概念具有模糊性。利用“隐私”的主观性做文章的办法会使得对于隐私的判断也随之主观化：信息主体认为是隐私就是，认为不是就不是。实际上，本质问题在于“授权”，关键在于是否经过了信息主体的同意。

（三）新的进路：作为一种新型权利的个人信息权

通过上文的分析可知，一方面，对于“公民个人信息”的探讨已经不能仅仅关注和停留于事实层面的信息构成，而应在更高的层面去探寻“公民个人信息”的权利属性；另一方面，关于“公民个人信息”的权利性质的理论或多或少存在问题，难以提出一个合理的解决方案。因此，绕开现有讨论另辟蹊径，提出一种新的理论，势在必行。

1.个人信息权提出的必要性分析

（1）回应不断扩张的“公民个人信息”概念。随着越来越多新类型的“公民个人信息”的出现，原有的“公民个人信息”概念在不断受到冲击，司法解释将许多严格意义上不属于“公民个人信息”的信息类型也纳入到了公民个人信息概念之中，使得原本主要为了保护具有可识别性的“公民个人身份认证信息”这一立法目的被稀释，取而代之的是掺杂了更多其他考量的结果：对于“公民个人信息”的保护除了直接保护个人的身份认证信息外，还具有了间接保护公民人身、财产安全的使命。由于个人信息的概念急剧扩张，使得传统上对于公民个人信息权利属性的观点，即认为属于隐私权、财产权、人格权等的观点，都出现了难以解释现实的尴尬，对于越来越多的信息类型的解释力捉襟见肘。因此，提出一种能够解释现实、规范现实的新理论，具有现实需求。

（2）补强信息保护法律体系中的薄弱一环。现有法律体系中，对于国家秘密有《保守国家秘密法》调整，对于军事秘密有《中国人民解放军保密条例》规定，对于商业秘密有《反不正当竞争法》保护，对于网络运营商收集的用户信息有《网络安全法》保护。而对于“公民个人信息”，之前一直主要是由刑法，且配合着民法上的隐私权制度进行保护。“刑先民后”的保护模式，虽然让最为严重的侵犯公民个人信息的行为可以被纳入刑法的打击半径，但是，制裁极少数和放纵大多数，是一种客观现状。此种“刑先民后”保护思路的弊端，再加上隐私权模式的缺陷，使得对于公民个人信息的保护是我国信息保护法律体系中的薄弱一环。因此，为了全面加强对于公民个人信息的保护，凸显国家对此问题的重视，制定一部单独的《个人信息保护法》，势在必行。而《个人信息保护法》的制定前提，则是首先要确立作为中枢与权利本源的个人信息权。

（3）合理界定“公民个人信息”的“权利属性”。公民个人信息在现代社会中占据越来越重要的地位，对于“公民个人信息”的关注和保护不能再止步于事实层面的信息构成，而是要跨越到规范层面的对于“公民个人信息”的“权利属性”的追问。但是，现有理论难以对公民个人信息的权利性质给出一个令人满意的结论，而随着信息化的急速推进，社会数据化的逐步加深，这一问题变得更加重要也更加棘手。通过上述对于“公民个人信息”在个人信息网格中的定位会发现，财产权说、一般人格权说、具体人格权说和隐私权说虽然都对公民个人信息的权利属性进行了论证，但这些学说不仅本身存在缺陷，而且也难以满足不断发展的“公民个人信息”的保护需求和实践，难以彻底实现对于“公民个人信息”问题进行解释和有效法律保护。

（4）顺应国际趋势建立和输出法律规则。个人信息的跨国传输流动问题引发了数据主权问题和个人信息的跨国保护问题。在信息化高度发达的时代，没有对于个人信息的有效保护作为基础，深度的国家贸易合作就难以进行，国家的数据主权也会受到严重威胁和挑战。伴随着中国参与国际竞争程度的加深，以及中国整体实力的跃升，努力构建适应中国发展所需要的国际规则是一个现实而迫切的任务。在法律全球化时代，法律规则是一个国家国际话语权的重要载体，因此，法律输出将成为整个中国法学界都必须正视的现实和逐步探索的任务。信息保护的法律规则，对于世界各国而言都处于一个正在摸索、探索的阶段。因此，率先建立信息法律研究的学术优势，就有可能抢得输出信息法律规则的先机，也有可能防止目前一些发达国家正在利用国内法、技术霸权试图再次形成有利于自身的国际法惯例和规则的企图。

2.个人信息权的法律构造

纵观我国法律文件对于“公民个人信息”概念的规定，已经超出了隐私的范畴，也突破了可识别性的定义，实际的保护范围包括可识别性信息和可能影响人身、财产安全的个人信息。横览我国关于“公民个人信息”的“权利属性”的讨论，“公民个人信息”不仅具有人格权的性质，强调对于公民人格尊严的保障，同时也具有财产权的意蕴。因此，一种涵盖各种信息，包括积极使用并许可他人使用的权利和消极防御他人侵害的权利，并且兼具人格权与财产权的新型权利呼之欲出——个人信息权⑾：

（1）在权利内涵上，个人信息权是个人以其自身信息为权利客体。在现代社会中，随着信息化进程的加快与社会数据化的转型，信息的价值逐渐凸显，人们对于信息的依赖与对于信息的挖掘利用使得信息已经成为了一种重要资源，信息的地位如同农业社会中的土地、工业社会中的石油，重要而必须。但不同点在于，个人信息并不像土地、石油一样属于纯粹的商品，尽管个人信息能够发挥巨大的商业价值，但个人信息附属于一个人的人格，是其人格的重要组成部分。

（2）在权利内容上，包括积极使用并许可他人使用的权利和消极防御他人侵害的权利。在大数据时代，对于个人信息的态度，应当从单一的“保护”转变为“保护”与“利用”并重。在对信息进行保护的同时，信息潜在的价值逐渐被发掘，在市场经济的商业活动中，个人的财产状况、信用状况、还贷能力等都是银行决定是否放贷的重要依据；在公共管理中，国家需要建立并允许查询犯罪记录、政府在街道和重要场所设置监控摄像头等。这些事项都需要对公民个人信息进行不同程度的利用，而这些事项又都是现代社会中必不可少的环节。与传统隐私权不同，个人信息权具有对个人信息利用与保护的功能。

（3）在权利性质上，个人信息权兼有人格权和财产权的特点。个人信息和个人人格尊严和人格完善密切相关。个人信息是个人参与社会活动的载体，是个人人格的延伸和发展的重要途径。个人在参与社会交往过程中必然会产生许多个人信息。因此，信息主体对个人信息流转范围和流转方式的掌握，和个人人格的发展密切联系。同时，个人信息具有重要经济价值，能够为信息主体带来经济收益。个人信息人格权侧重于消极防御他人侵害的一面，个人信息财产权更强调积极使用并许可他人使用的一面。但是，个人信息权又不同于纯粹的人格权和财产权，而是介于两者之间、以公民个人信息为权利客体的一种新型权利。

三、“公民个人信息”保护的刑法思路

“权利属性”的不同会导致保护机制的差异，最终影响到“公民个人信息”能否被切实有效维护。此前我国对于“公民个人信息”的保护在实质上采取的是隐私权的保护模式，随着公民个人信息概念的不断扩张，“公民个人信息权”理论的提出，刑法对于公民个人信息的保护也需要及时跟进作出调整。

（一）当前刑法的保护思路——建立在隐私权保护模式的基础之上

当前刑法对于“公民个人信息”的保护思路是建立在隐私权保护模式基础上的。具体而言，在保护模式上，采取“隐私权”的保护模式；在保护策略上，强调“刑先民后”；在罪名适用上，强化侵犯公民个人信息罪的地位。

1．在保护模式上采取“隐私权”的保护模式

对于侵犯公民个人信息罪，立法者将它规定在了刑法“侵犯公民人身权利、民主权利罪”一章，置于第253条“私自开拆、隐匿、毁弃邮件、电报罪”之后，作为第253条之一。根据体系解释可以得出，立法者将这里的“公民个人信息”与“邮件、电报”并列，认为侵犯公民个人信息的行为主要危害的是公民个人的隐私信息。此外，由于之前一直忽视对于“公民个人信息”积极利用的一面，而是片面强调对它消极予以保护，因此，所谓的“公民个人信息”的概念一直与“隐私信息”概念纠缠不清，这也导致了刑法在保护时偏重对于隐私信息的保护。

2．在保护策略上强调“刑先民后”

此前刑法对于“公民个人信息”采取的是隐私权保护模式，没有能够对于“公民个人信息”提供全面的保护。而其他法律又迟迟未能跟进对于“公民个人信息”的保护，因此，强调谦抑性、最后手段原则的刑法被推到了台前，独立承担起对公民个人信息的保护。先是《刑法修正案（七）》第7条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，接着《刑法修正案（九）》第17条又将前述两罪合并为一个“侵犯公民个人信息罪”，之后，又通过两个司法解释将“公民个人信息”扩大到了身份信息和可能涉及到公民人身、财产的信息。通过这一系列举措，刑法率先承担起了保护公民个人信息的重任。

3．在罪名适用上强化“侵犯公民个人信息罪”的地位

《刑法修正案（七）》第7条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，《刑法修正案（九）》第17条又将前述两罪合并为一个“侵犯公民个人信息罪”。这一变化不只是简单的罪名相加或者说合并，而是对于“公民个人信息保护”的一次全面强化。最重要的一点就是，侵害主体范围得到了扩大，从国家机关或者金融、电信、交通、教育、医疗等单位的工作人员这一类特殊主体，扩大到了所有自然人与单位。在侵害行为类型上，侵犯公民个人信息罪囊括了非法获取、合法获取和非法传播三种行为类型，基本上涵盖了现实中可能出现的侵害行为。此外，还增设了从重处罚情节，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的行为从重处罚。《解释》又对于侵犯公民个人信息罪作出了专门规定，分别对“公民个人信息”、“违反国家有关规定”、“提供公民个人信息”、“以其他方法非法获取公民个人信息”、“情节严重”、“情节特别严重”等关键词做了细致的解读。

（二）当前保护思路存在的问题：难以适应公民个人信息的时代发展

当前在保护模式上采取以“隐私权”为保护思路的刑法保护模式，存在多个方面的问题。

1．隐私权模式的固有缺陷

隐私权强调的是对于公民个人隐私的保护，侧重于消极防御，而这难以解决现代社会中大量存在的公民积极地使用自身信息参与各种活动的现实问题。在“大数据时代”这样一个信息高度发达、信息数据化的时代，对于个人信息已经不再只是一味地强调对它单纯地进行保护，而是不断挖掘其中的潜在价值，促进其合理使用。换句话说，对于个人信息的态度，应当从单一的“保护”转变为“保护”与“利用”并重。而对于“公民个人信息”的利用这一侧面，则是传统的隐私权模式难以适应的。

2．“刑先民后”的保护思路弊端重重

虽然能够起到“敲山震虎”、“杀一儆百”的作用，但这种“刑先民后”、甚至“有刑无民”的做法值得反思。实际上，这是在通过制裁“点”的方式，希望能够保护“面”，实际效果是不明显的。在缺乏其他法律尤其是民事法律提供的最基础保护的前提下，刑法势必独木难支。

3．侵犯公民个人信息罪的捉襟见肘

侵犯公民个人信息罪被规定在刑法典的“侵犯公民人身权利、民主权利罪”一章，置于第253条“私自开拆、隐匿、毁弃邮件、电报罪”之后，作为第253条之一，可见侵犯公民个人信息罪保护的客体是公民的人格隐私利益。然而，随着法律对于“公民个人信息”的类型增加，“公民个人信息”的概念逐步扩张，不仅包括公民的身份认证信息，还包括可能影响人身、财产安全的个人信息。此时，对于“公民个人信息”的侵犯不再局限于对公民人格的侵犯，还可能涉及对公民人身、财产的侵犯。因此，现有刑法规定的“侵犯公民个人信息罪”既存在章节归属不当，也难以适应逐渐扩张的“公民个人信息”的概念。

（三）刑法保护的完善思路———以个人信息权为基础调整保护模式

刑法对“公民个人信息”的保护一直在不断扩张。一方面，通过立法手段扩大“侵犯公民个人信息罪”的行为主体，另一方面，通过司法手段扩大“侵犯公民个人信息罪”的信息类别。尽管如此，为了顺应公民个人信息的发展变化，以及更全面地保护公民个人信息，还需要进一步完善刑法的保护思路。

1.在底层根基上，以个人信息权为基础，确立个人信息权的保护模式

首先需要确认，刑法所保护的公民个人信息，在权利性质上属于个人信息权。采取“公民个人信息权”的保护模式，既能容纳越来越多的个人信息类型，又能为将来公民个人信息的合理利用提供潜在的理论基础，还能合理调和“公民个人信息”兼具人格属性和财产属性的特点。只有当“公民个人信息”被界定为个人信息权时，不断扩张的公民个人信息概念与类型才能被解释得通，公民个人信息所保护的人格一面与财产一面才能被统一进来，最终才能对公民个人信息进行全面的保护。

2.在外部协调上，采取“民先刑后”、“民紧刑松”的保护思路

此前的“刑先民后”不是“民”特意为“后”，而是由于立法的缺失和滞后在客观上造成的。由于民法迟迟未能明确对于“公民个人信息”的保护，使得公民在寻求救济时事实上只有刑法一条路可以走。《民法总则》填补了这一立法空白。其第111条“公民个人信息受法律保护”和《刑法》第253条之一“侵犯公民个人信息罪”，共同构成了我国保护公民个人信息的核心条款。因此，以后需要采取“刑民并进”、“刑民并重”的方式，最好是采取“民先刑后”、“民紧刑松”的方式，形成法律合力，全面保护公民个人信息。技术的进步与法律规则的发展具有微妙的互动关系，历史上科学技术的每一次飞跃都会引起社会结构的重组以及法律规则的全新升级和调整，大数据时代也不例外。社会个体究竟是徜徉在数据海洋之中还是淹没在数据红海之中，取决于法律规则对于个体利益、抽象秩序以及宏观安全的保护力度。

3.在核心罪名上，对于“侵犯公民个人信息罪”进行重新定位

由于现实需要和法律规定，“侵犯公民个人信息罪”正在悄然转型。从单纯地直接保护公民个人身份认证信息，到同时间接保护可能涉及到对公民人身、财产的信息；从保护公民人格隐私利益，到同时保护公民人身、财产安全。具体而言，刑法对于“公民个人信息”的保护，可以概括为两类：一类是保护个人身份认证信息的典型侵犯公民个人信息罪；另一类是通过对可能涉及公民人身、财产的信息进行保护进而保护公民人身、财产的信息，这本质上是一种预备行为实行化。

应当讨论的是，对于这后一类“预备行为实行化”的司法举措，是否存在重复评价问题。行为人非法获取信息时是一个侵犯公民个人信息的行为，而对于该信息加以利用则可能构成另一个犯罪行为。此时，如何处理这两个行为，即是按照吸收犯理论一罪论处，抑或两罪并罚，则一直没有定论。笔者认为，行为人的前后两行为，不仅是一种手段与目的的关系，还是一种预备犯罪与后续犯罪的关系。前一非法获取信息的行为实质是后续利用获取的信息实施犯罪行为的预备行为，最终要处理的是作为手段的预备犯罪和作为目的的后续犯罪之间的法律竞合关系。对此，笔者认为有三点需要明确：第一，此处不存在重复评价的问题。行为人后续犯罪虽然利用了先前非法获取的信息，但对后续犯罪的评价却不涉及先前的非法获取行为，因为此处法律处罚的是利用该信息实施的后续犯罪。因此，对前一非法获取信息的行为处罚后，再对后一利用该信息实施犯罪行为加以处罚，并不会存在重复评价的问题。第二，吸收犯理论一直存在争议，难以提供实质理由。仅仅因为前后两行为属于手段与目的的关系，就不管行为人实施几个犯罪行为，以及这些犯罪行为侵犯的是否为同一法益，这样的考虑略显武断。手段与目的的关系不能说明为何就要因此按照目的行为构成的犯罪定罪处罚，更不用说按照一罪处罚后能否做到罪刑相适应。手段与目的的关系是就犯罪人犯罪进程的角度而言的，但不代表法律也要遵从这样的思考方式，因为法律有其自身的逻辑与目的。第三，数罪并罚具有正当理由和优越效果。从刑法自身的逻辑与目的考虑，数罪并罚理论更具有优势。行为人前后两个行为触犯了不同罪名、侵害了不同法益：非法获取信息的行为，侵犯了公民个人信息权，构成侵犯公民个人信息罪；利用信息的行为则构成财产犯罪、人身犯罪等。此时，对于实施了两个行为、侵害了两种法益、构成了两个犯罪的情形，完全有理由按照数罪并罚进行处罚。此外，数罪并罚具有宣誓效果，不仅仅是从最终判处的刑罚的角度进行犯罪预防，更是从罪名的构成来明确行为人到底触犯了哪些罪，违背了哪些举止规范，这不仅契合罪刑法定原则，还能起到更好的预防效果。因此，对此种情形，原则上应当按照数罪并罚予以处罚。具体而言，当行为人着手实行后续犯罪以后，无论既遂、未遂还是中止，都与之前的侵害公民个人信息罪数罪并罚；当行为人还未着手犯罪，而是处于预备阶段，无论是犯罪预备，还是预备阶段的中止，都不再另外处罚，而是只按照先前的公民个人信息罪一罪予以论处。

四、余论：现行“公民个人信息”刑法保护体系的问题根源

最高司法机关之所以不断制定文件对于“公民个人信息”的内涵和外延进行扩张，表面上看是在积极回应社会现实需求，实则是在亡羊补牢，是在为填平自己之前挖下的“解释之坑”而努力。

（一）问题的表象：立法与司法在出发点上的严重差异

自2009年以来，立法和司法都在持续加大对于“公民个人信息”的保护力度，但是，二者实际上是走了两条不同的道路，且始终未能同步。

1．立法上的法网密织努力一直未曾停止

具体说来，对于“公民个人信息”，立法采取的是始终如一的扩张态势：从《刑法修正案（七）》增设“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，到《刑法修正案（九）》将两罪合并为一个“侵犯公民个人信息罪”，法网不断扩张，打击半径和覆盖面日益增大，同时，犯罪主体由特殊主体变为一般主体，体现了立法对于现实犯罪态势的深切感知。

2．司法上的法网密织虽然努力，但是属于“退十步进半步”的状态

从形式上看，司法上的法网密织颇为努力，不断扩张“公民个人信息”的内涵和外延，试图将越来越多的“公民个人信息”纳入刑法的保护范畴。但是，由于《通知》过于限缩立法上的“公民个人信息”概念，将本来没有任何限制、可以无所不包的“公民个人信息”，极度缩小解释为“身份认证信息”，而且界定为“狭义的可识别性+隐私性”，因此，即便后来的《解释》在此基础上进行增容和扩张，包括“广义可识别性+活动情况”，但此种经过增容和扩张之后的“公民个人信息”，与刑法规定的“公民个人信息”可能的文义相去甚远。正是此种解释出发点的大踏步后退，造成了立法上规定保护“公民个人信息”、司法上却将公民的个人信息限定为特定类型的“身份认证信息”。尽管各个司法解释似乎在逐步和不断地扩大“公民个人信息”的保护范围，但是，由于一开始对于“公民个人信息”概念限定过严、界定过窄，致使对于“公民个人信息”的保护在整个历程上和实际效果上呈现出“退十步进半步”的尴尬局面。

姑且不论到底是由于立法规定地过宽还是司法限定地过窄，仅此种立法与司法不同步的现象，就给司法实践带来严重困惑，而且冲击着罪刑法定原则。具体而言，一方面，立法上对于“公民个人信息”的界定模糊，到底是保护公民所有的信息，还是保护公民特定类型的信息，没有明确。如果像司法解释那样只保护公民特定类型的信息，则立法上保护“公民个人信息”的规定就由于缺乏“明确性”而不利于罪刑法定原则的践行；另一方面，如果是保护公民的所有信息，则司法中将“公民个人信息”限定为特定类型的信息的做法，就会因为不合理地限制刑法的处罚范围，从另一个侧面冲击着罪刑法定原则。

（二）问题的根源：司法在重压之下显得过于保守

立法与司法出发点严重不同的局面之所以会形成，恐怕问题不在于立法规定过宽，而在于司法限定过窄。而司法之所以最初将“公民个人信息”限定在一个较小的范围内，是因为司法面临诸多压力。

1.“双层格局”下司法背负着过多的责任与压力

立法机关认识到公民的个人信息需要予以严格保护，但由于社会数据化进程的加快，各种不被关注的个人信息所具有的潜在价值被逐渐挖掘，由以往单纯的、没有意义的“碎片”变为了对于主体自身具有重要价值的“信息”。“公民个人信息”的迅猛发展使得它的内容不断增加，“公民个人信息”的概念也一直处于变动之中。但是，法律尤其是规定犯罪与刑罚的刑法需要保持相当程度的稳定性，如果在法律之中规定“公民个人信息”的具体范围，刑法的稳定性势必会受到较大冲击，最终的结果必定是二者的冲突：为追求法律的稳定性而牺牲对公民个人信息的保护，或者为保障公民的个人信息而放弃对法律稳定性的坚持。

在这种情况下，单靠立法的途径是难以解决的。于是，借助司法的功能，立法与司法有意无意地在互相配合。在立法层面，是在“明确”而又“笼统”地规定保障公民的个人信息：一方面，明确对“公民个人信息”的保护，且对行为类型、犯罪主体这些没有太多争议、变化不会过快的要素进行规定；另一方面，对一直处于变动之中的“公民个人信息”概念则笼而统之，不做界定。在司法层面，不断探索对“公民个人信息”的保护范围，确定哪些个人信息值得被纳入法律的保护之中，并通过司法解释的途径逐步扩张“公民个人信息”的概念，从而强化对于“公民个人信息”的保护。最终，形成了一种“双层格局”：立法“搭框架”，“明确”又“笼统”地规定保护公民个人信息；司法做“内部装修”，在法律框架之内不断调整打击范围，逐渐增加需要保护的信息类型。

2.司法的过于保守，过大地限缩了“公民个人信息”的范围

在这样的“双层格局”中，司法实际上是“被迫”代行立法之职，承担着更多的责任，面临着更多的压力，通过总结实践中不断遇到的新问题，提炼与归纳新的公民个人信息类型，逐步探索“公民个人信息”的保护范围，并适时地规定在司法解释之中用以指导今后的实践。但是，司法解释最开始显得过于保守。《通知》中关于“公民个人信息”的规定，基本上是参照了《决定》中的做法，只是在“信息”的表现形式上有所扩大，从公民个人的电子信息扩大到了所有类型的信息，从而实现了“公民个人信息”的全方位保护。这虽然是首次对刑法中的“公民个人信息”作出界定，但却过于谨慎地注意自己的“方寸”，用更高层级的法律文件来“背书”，这不仅忽视了刑法自身的目的与价值，同时也与刑法规定的“公民个人信息”不一致。《解释》虽然进一步扩大了“公民个人信息”的概念，并增加了“可能影响人身、财产安全的个人信息”，但这毕竟是时隔五年的“亡羊补牢”，而且仍未能与立法的可能含义相一致。当然，随着信息化程度的加深，社会数据化进程的加快，尤其是大数据时代的来临，我们有理由相信司法会继续不断地扩张“公民个人信息”的概念，直至与立法的可能含义相吻合，满足社会现实需求。但不可否认的是，正是司法最开始的过于保守，才使得后续需要不断弥补。基于这一点，对于司法的一系列努力，不应当批评，但也不值得喝彩。

注释：

①周加海、邹涛、喻海松：《〈关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释〉的理解与适用》，《人民司法》2017年第19期。

②截止2016年，全球已有110余个国家或地区制定了专门的个人信息保护法。欧盟和美国对于个人信息保护的相关制度已经发展得很成熟。在亚洲地区，日本、韩国、新加坡等也都制定了自己的个人信息保护法。而且，在网络、云计算、大数据等技术兴起之下，域外信息保护法已经进入了新一轮的修法阶段。

③刘德良：《论个人信息的财产权保护》，《法学研究》2007年第3期。

④参见汤擎：《试论个人数据与相关的法律关系》，《华东政法学院学报》2005年第5期。

⑤王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报》2012年第6期。

⑥参见王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报》2012年第6期。

⑦参见齐爱民：《大数据时代个人信息保护法国际比较研究》，法律出版社2015年版，第53页。

⑧张新宝：《隐私权的法律保护》，群众出版社2004年版，第139页。

⑨参见马特：《个人资料保护之辩》，《苏州大学学报》2012年第6期。

⑩参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》2015年第3期。

⑾学界也有称之为“个人数据权”或“数权”。但笔者认为，“数据”这一概念相较于“信息”而言，技术性色彩更重，网络性意味更浓，用以涵盖包括姓名、活动情况在内的各种信息似乎不太恰当。因此，用“个人信息权”代替。

阅读量：3133 PC版链接 移动版链接