侵犯公民個人信息罪之公民個人信息的界定

張燕云

一、公民個人信息的權利屬性

公民個人信息的權利屬性本應最先由民法進行確定，但由于司法實踐中侵犯公民個人信息的行為借助于互聯網和大數據技術一經發生多已達到刑事犯罪的程度，從而導致關于公民個人信息的保護刑事領域先于民事領域。由此公民個人信息的權利屬性在刑法中漸漸得以顯現和確立，筆者在對其脈絡進行梳理的基礎上進一步系統地分析。

《關于依法懲處侵害公民個人信息犯罪活動的通知》（以下簡稱《通知》）將公民個人信息界定為能夠直接識別身份或者涉及隱私的信息，其采用列舉概括式的混合模式，將狹義的可識別性和隱私性作為判別核心，對公民個人信息概念的界定囿于狹隘的空間。《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）將公民個人信息界定為能夠直接或間接識別公民個人身份的信息，相較于《通知》將可識別性的要素擴大，且消除了隱私性的限制，其實質上是將廣義的可識別性作為判斷公民個人信息的唯一要素，認為可識別性完全可以涵蓋隱私性。《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）將公民個人信息界定為能夠直接或者間接識別公民個人身份以及體現公民個人活動及財產狀況的信息，其立足于《網絡安全法》的基礎上將公民個人動態的活動以及和身份識別性關聯不大的財產狀況也規整到公民個人信息中。本質上脫離出可識別性的界定標準，進而形成人身信息的廣義可識別性和影響財產安全信息雙重判別標準，該標準其實是迫于司法實踐中公民個人信息和財產權不可分割的無奈之舉。[1]

綜上，公民個人信息的界定由《通知》的“狹義可識別性+隱私性”標準到《網絡安全法》的“廣義可識別性”標準再到《解釋》的“廣義可識別性+影響財產安全”的標準，這一發展過程體現了公民個人信息人身權屬性向“人身+財產”雙重權利屬性的發展過程。[2]以“隱私性”作為界定標準其實是將公民個人信息權定義為隱私權，認為公民個人信息之所以要保護歸根結底是涉及公民私人領域安寧的信息不能遭受侵犯，公開的信息原則上都是公民愿意公之于眾的信息，對于此類信息沒有保護的必要。以“可識別性”作為界定標準其實是將公民個人信息權作為人格權予以保護，認為公民個人信息是與公民人格利益直接相關的利益，將公民對于個人信息的支配權利納入具體人格權機制既能保全公民個人信息在人格權平等環境下無差異的救濟，又能通過主張精神損害進而擴大其救濟范圍。以“影響財產安全”作為界定標準則是將公民個人信息權作為財產權予以保護，認為公民個人信息的權屬在信息化、數據化的時代已經由于其身后代表的財產性利益和巨大的商業性價值而具備了財產權的特征，其可以從屬于三大物權之一的所有權進行權利的行使與保護。

筆者認為，將公民個人信息的屬性定義為隱私權顯然比較狹隘與模糊。首先，隱私權保護的對象僅限于公民個人私有領域的信息，其范圍遠小于公民個人信息的范疇，個人隱私信息之外的信息依然有保護的必要性，將公民個人信息僅以隱私權性質進行保護與信息社會各類信息頻受侵犯的司法現狀相脫節。其次，隱私和公民個人信息畫等號本身就否定了公民個人信息單獨立法的必要性，這顯然是不合理的。加之隱私權概念本身就存在爭議，具有模糊性和主觀意定性，用一個不確定的概念去解釋衡量另一個新概念本身就不科學，容易使公民個人信息的界定結果更加模糊不清。而將公民個人信息的屬性歸之于具體人格權或者財產權也過于片面和偏差。首先，如果單純強調其具體人格權屬性則意味著否定了公民個人信息具有交易的可能性，這一理論顯然與司法實踐中發生的公民個人信息被非法收集倒賣等犯罪現狀相沖突，使主要的犯罪行為的規制缺乏理論上的依據。其次，如果單純強調其財產權屬性顯然過分強調公民個人信息中“信息的商業價值而淡化其本身依附于公民個人”的屬性，有將人從主體地位向客觀工具轉化的嫌疑。

對于公民個人信息屬性的界定不能一直停留于事實層面，更要從規范層面上對其進行探究。雖然對于法律概念屬性的確定要立足于客觀存在，但一味地被客觀存在所限制，僅以消極制裁的姿態修補，顯然突破不了現存的藩籬。所以，以積極預防的角度從規范的層面準確把握公民個人信息的屬性顯得尤為重要。[3]縱觀公民個人信息屬性變化發展的脈絡，筆者認為，可以將其作為兼具人身權和財產權屬性的獨立權利即公民個人信息權加以保護，類似于著作權這種具有自身獨特權利屬性的權利，將人身權和財產權融于一身，如此既能強調個人信息與人格尊嚴密切關聯，又能反映個人信息于信息社會中的經濟價值。公民個人信息權在內容上既包括權利人自身積極的支配利用，又包括權利人預防抵御他人的侵害濫用；在對象上既包括影響公民個人人格利益的信息，又包括影響公民個人財產利益的信息，跳出可識別性和隱私性的藩籬。

二、公民個人信息的外延范圍

相關的立法文件及司法解釋雖然對公民個人信息的內涵做出了明確的細化，但對其外延未做過多說明，進而使得侵犯公民個人信息罪的犯罪對象在司法適用中存在較大爭議。首先，“公民個人信息”中的“公民”到底僅指中國人還是也包括外國人。其次，無國籍人士是按照任何法律解釋方法都難以包括在本罪的公民之中的，是否意味著無國籍人的個人信息不受本罪保護。再者，本罪以公民的個人信息為保護對象顯然將組織排除于對象之外，那么法人、非法人組織的信息如何處理。最后，死者和胎兒也無法規制到“公民”中。公民是自然人的下位概念即其至少是以自然規律出生的人，胎兒還存在母體，因此不屬于公民；死者不存在生命體征，也不屬于公民。那么，也就是說，本罪也未將死者和嬰兒的個人信息保護涵蓋于內。反觀在司法實踐中，外國人、無國籍人、組織、死者以及嬰兒的相關信息都有受侵害的可能性，那么是否能將上述特殊客體納入本罪所保護的對象內涵之中。筆者傾向于將本罪犯罪對象的內涵擴張為包括中國公民及其之外的外國人、無國籍人、死者、嬰兒，但對于組織的信息不建議作為本罪的保護對象。

首先，將外國人個人信息納入本罪司法規制的原因在于：公民是一個法律上的概念，是以國籍作為標志的，指擁有一國國籍的自然人，由此中國人和外國人都是擁有一國國籍的自然人，通過法律解釋中平義解釋的方式就能恰當地將外國人納入公民的范疇。所以，應當將外國人的個人信息囊括到侵犯公民個人信息罪的保護范疇。[4]

其次，將無國籍人個人信息納入本罪司法規制的原因在于：其一，刑法面前人人平等是刑法的基本原則，其意義在于任何人在刑法上平等地享有權利和承擔責任。刑法修正案（九）將侵犯公民個人所得罪的犯罪主體擴大為一般主體，也就是說無國籍人在中國刑法管轄的范圍內犯本罪要受到刑罰的制裁，那么相應地如果無國籍人的個人信息權益受到侵害但卻不納入刑法保護的范疇顯然有失公允，違背了刑法面前人人平等原則。其二，我國刑法的法律效力范圍本身就包含對無國籍人的保護，刑法在其效力范圍內普遍適用，當然也適用于無國籍人。無國籍人個人信息受侵犯案件中只要是中國機構或者公民對在處于國內外的無國籍人的個人信息實施了犯罪行為，那么中國刑法就可以通過屬地管轄或者屬人管轄對該犯罪行為進行規制，進而保護無國籍人士的個人信息。

再次，將死者、嬰兒個人信息納入本罪規制的原因在于：嬰兒雖然還沒有分娩出母體，死者雖然已經失去了生命體征，但不能否認嬰兒和死者擁有個人信息權。從嬰兒的角度講，侵犯嬰兒個人信息的犯罪行為多和醫院、醫療機構有關，加之嬰兒的個人信息同時也和母體的個人信息密切聯系在一起，一般侵犯了嬰兒的個人信息同時也會侵犯母體的個人信息。對于死者而言，死者生命體征的消亡并不意味著所有和死者相關的權利的消失，一般和人身緊密聯系在一起的權利的法律保護期限較長，如著作人身權一般都是終身受保護的。基于上文將侵犯公民個人信息權的屬性界定為和著作權類似的人身權和財產權雙重屬性，那么公民個人信息權中也應永久受保護。而且，死者的個人信息一般和死者的近親屬的利益息息相關。綜上，應當將嬰兒和死者納入侵犯公民個人信息罪的保護范圍。

最后，法人、非法人組織信息不應納入本罪規制的原因在于：其一，組織和自然人本身就屬于法律關系客體中截然不同的兩種法律關系主體，如果硬要將組織作為侵犯公民個人信息罪的保護對象，有違刑法的解釋學原理。即使采用刑法上的擴張解釋也是不能完全脫離法條字面意思，否則就滑向了刑法所禁止的類推解釋。將公民的含義擴大為與公民完全沒有交叉點的組織，顯然是對本罪的司法適用進行了不合理的類推，不契合刑法保護人權的初衷。[5]其二，組織的信息受侵害有專門的罪名予以規制，如侵犯商業秘密罪等，不用勉強將其納入侵犯公民個人信息罪中。