民刑銜接下侵犯公民個人信息定罪機制的檢視和調適
——以內嵌個人法益因素為視角

楊 聞 石 魏

近年來，我國對個人信息的保護力度在不斷強化，《民法典》對個人信息設專章予以保護，2021 年出臺了針對個人信息保護的專門法律——《個人信息保護法》?！秱€人信息保護法》對個人信息的內涵、敏感信息、信息處理規則、信息處理者的權利義務及法律責任等進行了全面規定。侵犯公民個人信息罪將“違反國家有關規定”作為入罪前提，這就牽涉到前置法與刑法的關系。結合個人信息民刑規范差異，有必要檢視目前侵犯公民個人信息定罪機制。筆者嘗試引入嵌入理論中強弱連接關系，明確前置法對侵犯公民個人信息入罪的影響程度，希望能夠對本罪認定提供一種新的研究視角，在此基礎上，合理調適侵犯公民個人信息定罪機制①本文所指的定罪機制實質是對行為不法的判斷，入罪標準和出罪事由同屬不法判斷的一體兩面，無論積極判斷抑或消極判斷，均屬于不法判斷。，更為合理地劃定本罪的犯罪圈。

一、公民個人信息民刑保護困境及定罪機制檢視

對公民個人信息的保護，我國民刑法呈現倒置的立法形態，先有《刑法》法條及司法解釋，后有《民法典》及《個人信息保護法》。我國《刑法》對公民個人信息的保護早期主要體現在“信用卡信息”保護方面，2009 年《刑法修正案（七）》增設第253 條之一“出售、非法提供公民個人信息罪和非法獲取公民個人信息罪”，2015 年《刑法修正案（九）》將上述兩罪名合并為本罪，由原先的特殊主體變更為一般主體，成為非真正身份犯。不管是出售、非法提供公民個人信息罪還是本罪，入罪的前提條件均包括“違反國家有關規定”，隨著相關前置法規范不斷完善，個人信息前置法與本罪的對接成為關注的重點。

筆者以北京市2017—2021 年審結的1058 件侵犯公民個人信息案件為樣本，刑事方面以“侵犯公民個人信息罪”為關鍵詞，民事方面以“個人信息”“侵權”為關鍵詞在中國裁判文書網分別檢索到236 件、822 件案例。結合民刑規范差異，探究個人信息司法保護的現狀。

（一）標準不一：“個人信息”認定及分類差異大

1.民刑“個人信息”認定標準差異導致入罪難

不管是民法規范還是刑事法律規范都試圖厘清個人信息的概念，并試圖采用概括和列舉的方式進行立法規范。對個人信息的認定，《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（法釋〔2017〕10 號） （以下簡稱《個人信息解釋》）和《民法典》均采取“識別說”，即能夠單獨或者與其他信息結合識別特定自然人作為確定該信息是否屬于個人信息的標準。而《個人信息保護法》則在“識別說”的基礎上增加了“關聯說”，即與已識別或者可識別的自然人有關的各種信息。但鑒于“識別性”概念缺乏深入闡釋及“批量信息”處理規則，民刑轉化案例數量少，且缺乏對涉案信息是否具備識別性及識別深度的具體論證，樣本案件中，涉及民轉刑的案件為7 件，涉及刑轉民的案件數為0。此外，存在將連接型信息認定為公民個人信息的判例，如將行為人非法獲取、出售iPhone 機主的Apple ID、手機號碼、解鎖信息認定為《個人信息解釋》條款中規定的“可能影響財產安全的公民個人信息”，①參見黃永聰、魏云飛侵犯公民個人信息罪案，廣東省廣州市越秀區人民法院（2017）粵0104 刑初312 號刑事判決書。這在事實上就牽扯到民刑對個人信息的認定范疇問題。

2.民刑信息分類差異導致刑事立法對特殊主體缺乏有效保護

刑法對本罪采取“定性”和“定量”相結合的認定邏輯。在定量方面，信息重要程度影響入罪數量標準，信息重要程度越高，入罪要求信息數量越少，故信息類型及重要程度在本罪認定方面至關重要。《個人信息解釋》第5 條第1 款第3、4、5項實質上對個人信息進行了概括分類，將個人信息按照重要程度區分為敏感信息、重要信息、一般信息。②參見周光權：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021 年第3 期。但《個人信息解釋》以信息重要程度不同劃分敏感信息和重要信息，在實踐中操作層面存在諸多問題，一方面，信息重要性會隨著場景不同而發生變化；另一方面，敏感信息中的“財產信息”與重要信息中的“交易信息”在重要程度的比較上缺乏具體標準。另外，《個人信息解釋》對提供個人信息用于他人實施犯罪行為在保護力度上存在實質差異。比如，行蹤軌跡信息并不需要行為人知道他人用于犯罪可構成本罪，而對于除行蹤軌跡信息以外的其他個人信息，則要求行為人知道或應當知道他人將該信息用于犯罪。該規定實質上降低了行蹤軌跡信息入罪難度，而刑法規范對于行蹤軌跡信息與其他敏感信息差別化保護缺乏合理充分的依據支撐。

《個人信息保護法》對公民個人信息分類采用“二分法”，即敏感信息和一般信息，將生物識別、不滿14 周歲未成年人的個人信息納入敏感信息予以特殊保護。但刑事規范對未成年人個人信息缺乏特殊保護規則，導致民刑對未成年人等特殊主體銜接方面存在背離、沖突，不利于對未成年人個人信息權益的特殊保護。

（二）規范缺失：“合理處理”作為出罪事由缺乏銜接

1.告知同意規則難以適應刑事司法實踐

《個人信息保護法》將告知同意原則設立為公民個人信息處理規則的核心，該原則也是“合理處理”認定的核心。同意的前提是告知，鑒于《個人信息保護法》并未明確規定同意為意思表示，本文僅將同意作為違法阻卻事由。大數據時代，往往伴隨著大規模數據處理，告知同意規則越來越受到質疑。首先，個人與網絡平臺的信息不對稱妨礙同意的基礎。其次，現如今個人信息形態多樣，經歷多環節流轉而減損了同意的有效性。同時，各網絡平臺用戶協議、隱私條款等內容專業且繁多，包含大量格式條款，導致個人同意流于形式。此外，司法資源難以承受同意規則條款的全面適用。刑事案件所涉信息數量往往數以萬計，核實信息真偽已存在較大難度，若還需核實被害人是否同意信息處理，司法資源難以承受，因此不具備司法可能性。

2.刑事法律規范對于出罪事由缺乏明確規定

《個人信息解釋》第3 條第2 款將“未經被收集者同意，將合法收集的公民個人信息向他人提供的”納入本罪規范范圍。反過來說，若被收集者同意，則提供公民個人信息的行為可作為本罪的違法阻卻事由，即當前刑法規范中本罪唯一的出罪事由。學界和實務界也將該條款作為再提供行為需“二次同意”的依據。民事法律規范方面，《民法典》將個人同意、為維護公共利益等處理行為作為免責事由；《個人信息保護法》第13、27 條歸納合理處理行為，將取得個人同意、訂立合同所必需、履行法定義務所必需、突發公共衛生事件所必需、公共利益所需等處理個人信息行為作為法定許可的合法化事由。民刑關于免責事由的偏差極易導致裁判不一。

（三）保護限縮：民刑針對信息類型及行為分別各有側重

1.刑事側重身份信息和通訊信息，而民事規制信息類型更為多樣

雖然《個人信息解釋》規定的公民個人信息類型包括姓名、身份證件號碼、行蹤軌跡、征信信息、交易信息等，但是目前侵犯公民個人信息罪的信息類型集中表現為身份信息和通訊信息。樣本案例中，侵犯手機號碼的案件數量占比最高，占比高達73%，其他信息占比從高到低依次為身份證信息、賬號信息、征信信息等，分別占比為9.7%、5.2%、4.6%。身份信息與通訊信息數量最多，原因在于此類信息與個人財產權益、人身權益密切相關，對此類信息侵犯可為下一步實施的詐騙行為、精準傳銷等提供便利。區別于刑事案件偏重特殊類型，民事案件與社會現實聯系更為緊密，社會現實紛繁蕪雜，反映到案件中，所涉個人信息更為復雜多樣。個人信息具體包括姓名、身份證號碼、通訊信息、肖像、活動信息、交易財產信息、病情記錄及資格證書等多種類型。

2.刑事主要規制獲取、買賣行為，而民事主要規制收集和使用行為

在236 件刑事樣本案例中，規制行為以非法獲取和非法買賣為主，出售個人信息類型案件最多，高達87 件；通過微信或QQ 交換個人信息案件71 件；被告人通過編制程序、超越權限非法抓取等方式獲取個人信息案件68 件；購買個人信息案件41 件。而民事案件多集中在收集和使用兩個環節，比如行為人多以“一攬子授權”過度收集個人信息或者利用格式條款“脅迫”用戶接受霸王條款等方式擅自擴大同意范圍，收集的信息多為其服務過程中的非必要信息，例如位置信息、通訊錄等，此類案件數量高達457 件，占比高達55.59%。信息使用環節，82 件案件存在未經他人同意擅自將他人個人信息進行傳播的情形，占比達10%，典型情形包括公司員工將掌握的單位機密等信息在存儲及使用過程故意泄露、交易；熟人之間將夫妻隱私、婚外情等信息基于多種目的披露、傳播等。

（四）適用分歧：定罪及量刑存在類案不統一現象

1.擅自處理已公開個人信息行為裁判迥異

對于擅自處理已公開個人信息行為，司法實踐中存在類案異判的情形，更有甚者，存在有罪和無罪的本質差異，嚴重損害司法公信力。比如，有裁判文書認為，被告人買賣的個人信息超出國家企業信用信息公示系統公開的信息種類，故屬于刑法意義上的“個人信息”。①參見吳守怡、王超陽、邵久秀等侵犯公民個人信息罪案，浙江省臺州市中級人民法院（2018）浙10刑終748 號刑事判決書。信息主體公開個人信息并不意味著放棄對其個人信息的控制，已公開信息仍具有個人利益，應受刑法保護。②參見高坡、陳召康：《收集并出售已公開的個人信息是否構成犯罪》，載《江蘇法治報》2020 年8 月6日，第7 版。另一方面，實務中也有檢察院直接適用《個人信息解釋》第3 條、《民法典》第1036 條規定，認為既然沒有證據證實行為人出售合法公開信息的行為遭到權利人拒絕或侵害其重大利益，就不應當認定為構成本罪。③參見盧志堅、白翼軒、田競：《出賣公開的企業信息謀利，檢察機關認定行為人不構成犯罪》，載《檢察日報》2021 年1 月20 日，第1 版。

2.量刑不統一問題頻發

實踐中，存在案件事實相同且量刑情節相似情況下，量刑相差迥異的情形；亦存在案件事實相差懸殊，但量刑差異較小的情形。比如，秦帥等侵犯公民個人信息案④參見秦帥等侵犯公民個人信息罪案，北京市海淀區人民法院（2018）京0108 刑初770 號刑事判決書。和李光輝侵犯公民個人信息案⑤參見李光輝侵犯公民個人信息罪案，北京市海淀區人民法院（2018）京0108 刑初1003 號刑事判決書。，秦帥侵犯的公民個人信息1100 多萬條，李光輝侵犯的公民個人信息為1.4 萬多條，二者在侵犯個人信息數量上差別巨大，而最終秦帥被判處有期徒刑2 年，李光輝被判處有期徒刑2 年10 個月，刑期差距卻不大。此外，2份判決書均未論述秦帥等與李光輝獲利數額，但判處秦帥罰金4 萬元，李光輝罰金3萬元，前者主刑較低，財產刑卻更高，表明如何認定本罪的情節要素與數量標準仍有待進一步探討。

綜上，公民個人信息民刑規范差異和本罪適用困境反映出，我國目前對公民個人信息的保護仍處于民刑“各自為政”階段，未充分考慮法秩序的統一性。為避免大規模信息泄露導致的嚴重后果，并在源頭上斬斷涉個人信息犯罪“鏈條”，刑法將嚴重行為入罪化有一定的合理性。隨著個人信息理論研究不斷深入，前置法規范的不斷完善，整體法秩序日趨失衡，造成合法與非法、罪與非罪界限愈加模糊。為加強民刑關于個人信息的綜合保護，在檢視和反思現有個人信息民刑保護模式下，有必要結合前置法的相關規定，合理調適本罪的定罪機制。

二、侵犯公民個人信息定罪機制調適之立場——內嵌個人法益因素

民刑規范保護的個人信息均包含個人信息權益。考慮到刑法入罪與前置法的關聯性和銜接性，筆者借助嵌入理論的強弱連接關系，分析民法規范如何影響本罪認定，厘清個人信息民刑保護規則間的關系，明確民法規范對本罪入罪標準和出罪機制影響的差異性。

（一）本罪理應內嵌個人法益因素

法益爭論影響著本罪構成要件符合性和違法性的判斷，進而決定犯罪圈劃定，實質影響了侵權與犯罪的界限。學界對于本罪法益長期存在個人法益說①個人法益說認為，本罪保護的法益是個人信息的私權益。持個人法益說根據私益類型具體分為人格權說，該說認為本罪的法益是保護公民人格尊嚴與個人自由；隱私權說；新型權利說；個人信息自決權，認為本罪保護的是個人信息權中的信息自決權等。參見高富平、王文祥：《出售或提供公民個人信息入罪的邊界——以侵犯公民個人信息罪所保護的法益為視角》，載《政治與法律》2017 年第2 期；李偉民：《“個人信息權”性質之辯與立法模式研究——以互聯網新型權利為視角》，載《上海師范大學學報（哲學社會科學版）》2018 年第3期；劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權——以刑民一體化及〈民法總則〉第 111 條為視角》，載《浙江工商大學學報》2019 年第6 期。與超個人法益說②超個人法益說則認為個人信息不僅直接關系個人人格權益的實現，更關乎社會公共利益、國家安全乃至信息主權，認為本罪保護的法益為信息安全的社會信賴。也有學者認為鑒于本罪的處罰模式是“預防性處罰”，而非“實害性處罰”，個人信息的泄露使公民陷入一種可能被控制的風險之中，故將其法益確立為社會信息管理秩序。參見江海洋：《侵犯公民個人信息罪超個人法益之提倡》，載《交大法學》2018年第3 期；凌萍萍、焦冶：《侵犯公民個人信息罪的刑法法益重析》，載《蘇州大學學報》2017 年第6 期。的爭論，兩者實質上是私權益與公權益之間的角力。在本罪法益視角下，私權益與公權益平衡的基礎在于兩者都關注“人”的保護。私權益針對的是個人，而公權益則以個體的集合為基礎，落腳于群體意義上的人，二者最終立足點均為保護個人權益實現。只有從個人權益推導出的公權益才具有可保護價值，相關刑法規范才具有正當性，故本罪法益包含個人信息權益。

學理上，對于個人信息兼具個體和社會雙重屬性已達成普遍共識。③參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015 年第3 期。個人信息最初源于對隱私權的保護，信息產生于個人的行為和交往，承載著個人的人格利益。個人信息不僅承載著隱私、名譽等人格權益，更包含財產安全，甚至生命健康等多重利益，從這個意義來說，本罪被規定在侵犯公民人身權利、民主權利章節有其合理性，且刑法中本罪的犯罪對象是公民個人信息，而非抽象的社會公共利益。信息自身流通價值和社會管理需求又決定個人信息的社會屬性，該社會屬性接近于公益特質。關于個體屬性與社會屬性的關系，首先，社會屬性蘊含個體屬性成分，社會屬性從屬于個體屬性。信息的流通共享不能以侵害個人合法權益為代價，社會屬性的實現不應建立在侵犯個體屬性基礎上。其次，在刑法保護和保障機能下，保障公民個人利益功能是保障國家整體利益和社會利益的基礎，故雖然本罪保護法益存在爭議，但個人信息個體屬性價值決定本罪理應內嵌個人法益因素。

（二）借助“嵌入”厘清個人信息民刑保護規則關系

卡爾·波蘭尼最早提出“嵌入”概念，最初“嵌入”主要適用于解釋經濟現象與社會關系之間的關聯。①嵌入理論廣泛用于新制度經濟學領域，而在法學領域應用較少，未形成統一分析方法。卡爾· 波蘭尼指出經濟現象通常潛藏于社會關系中，經濟體系嵌入社會關系。See Karl Polanyi，The Great Transformation，Boston：Beacon Press，1944，P.272.馬克·格蘭諾維持發展、擴大、延伸了嵌入理論，將分析框架劃分為結構嵌入和關系嵌入兩種類型。結構嵌入研究視角是多元主體參與者間相互聯系的總體性結構，具體到法內部，是指協調不同法律規范內在銜接的“法秩序”：按照刑法、民法、行政法等各自不同的法理完善生根形成獨自的領域，每個法域之間至少應保證不產生沖突，從而形成內在的、有一定邏輯規則的統一規范。②參見[日]曾根威彥：《刑法學基礎》，黎宏譯，法律出版社2005 年版，第212 頁。馬克·格蘭諾維持按照關系強度將之分為強連接關系、弱連接關系和強弱混合型關系等三種類型。③在經濟學領域，強弱連接關系主要用于解決企業以何種強度嵌入網絡更有利于提升企業創新績效等問題，“過度嵌入”和“嵌入不足”均會對企業績效產生負面效應。See Mark Granovetter，Economic action and social structure:the problem of embeddedness，Americian Journal of Sociology，1985，P.481-510.他認為基于社會信任的弱連接關系和基于制度約束的強連接組成了社會行為的網絡結構，而弱連接更能分享多元信息，增加行為選擇的彈性，提高人的行為能力。法律實質上是規范介入法律事實過程中形成的制度化規范，在整體法秩序下，各法域也存在一定的互動關系。本文借助嵌入理論中企業嵌入網絡的強弱連接關系，試圖明確個人信息民刑保護規則之間的關系，有助于厘清前置法如何影響本罪定罪。

1.適度弱連接化入罪標準：民事法律規范通過合理性判斷嵌入本罪構成要素影響入罪

弱連接關系是建立在民事法律規范與刑事法律規范獨立價值基礎上所形成的良性互動關系，主要體現在民事法律規范為本罪劃定合法性邊界，但不直接決定是否入罪。

（1）民事法律規范為本罪劃定合法性邊界

本罪的重要構成要件是“違反國家有關規定”，相關民事法律規范頒布之前，由于前置法缺失，該要件處于虛化狀態。隨著前置法的逐步完善，該要件空白規范的功能定位也在發生變化?！秱€人信息保護法》等前置法對網絡服務提供者、信息控制者等法定義務有明確規定，這些義務構成了相應合法性邊界。如需判斷是否構成本罪中的“違反國家有關規定”，應回歸到這些義務性規范，沒有履行上述義務的，屬于違反國家規定，在此基礎上，非法收集信息或者造成信息不當泄露，情節嚴重的，構成本罪。

（2）民事法律規范影響但不決定是否入罪

某一行為入罪的前提是該行為具備刑事違法性。雖然“違反國家有關規定”為本罪構成要件，但并不意味著前置法與本罪處于“前置法定性、刑事法定量”的狀態，刑事違法性具有一定獨立性。民事責任的核心是利益衡平，主要手段是停止侵害、賠償損失，而刑事責任的核心是行使國家賦予的刑罰權，二者在規范行為路徑、責任承擔等方面存在本質不同。比如，非法收集公民個人信息行為，民事規制重點在于行為人利用該信息導致相對方損失；而刑事方面，若被告人非法收集個人信息達到法定數量，即使未傳播且未對相對人造成嚴重損失，也不能排除其刑事違法性。為避免法律規范之內部沖突，結合個人信息雙重屬性，可以采用違法性判斷相對統一的“緩和的違法一元論”之立場。

（3）適度弱連接化判斷標準——民事法律規范嵌入合理性判斷

前置法判斷某一行為具有民事違法性（如違反義務性規范），在一定程度上可作為刑事“初查”門檻，但此類行為并不必然具有刑事違法性。刑事違法性判斷取決于本罪構成要件（尤其是客觀構成要素）的確定，并綜合考量法益侵害、立法意圖等因素。《個人信息保護法》第71 條規定“違反本法規定，構成犯罪的，依法追究刑事責任”，但其所產生的實質意義有限，并不能直接決定行為入罪。調適行為入罪的標準在于民事法律規范對本罪客觀構成要素的影響，故有必要在考察民刑規范銜接的合理性前提下，結合本罪條款設置的規范目的，分析嵌入本罪構成要素的必要性，故民事法律規范對于本罪的影響應體現在構成要素調整上，但并不必然影響本罪的定性。

2.強連接化出罪事由：引入比例原則將民事合法化事由直接轉化為本罪出罪事由

強連接關系針對民事合法化事由和本罪出罪規則的制度化連接關系，具體表現為即使刑法規范未明確規定出罪事由，民事合法化事由也可直接轉化為本罪出罪事由。

（1）民法合法化事由轉化為本罪出罪事由

民事法律規范認定的“合理處理”行為，必然不可能構成本罪。①參見劉雙陽、李川：《法秩序統一性視野下被動獲悉型內幕交易犯罪主體的識別》，載《河南財經政法大學學報》2020 年第1 期。其合理性在于，某一行為在規制較輕社會危害的法域被認定為合法行為，若仍要受到刑法制裁，該邏輯對于一般人來說是無法接受的，也不符合刑法作為最后保障法的制度價值以及刑法謙抑性的基本立場。②參見[德]克勞斯·羅克辛：《德國刑法學總論》（第1 卷），王世洲譯，法律出版社2005 年版，第397 頁。結合前置法規范，民事合法化事由的核心是“合理處理”。以已公開個人信息為例，信息合法公開后并不等于免除信息處理者就二次利用行為履行告知并征得個人同意的義務，③參見龍衛球主編：《中華人民共和國個人信息保護法釋義》，中國法制出版社2021 年版，第123 頁。還滿足“合理處理”抑或“在合理范圍內”條件，才能認定為民法上的合法行為，如處理行為超出合理范圍仍需取得相對人“二次同意”?；诜ㄖ刃蚪y一原理，“合理處理”認定也應作為本罪出罪規則的核心。

（2）強連接關系判斷標準——引入比例原則判斷

強連接關系是具有法律效力的制度化連接方式。如果缺乏密度控制，容易出現將本罪“廣泛適用”或將本罪“束之高閣”的傾向，引入比例原則可有效防止本罪的擴大化及嚴苛化傾向，并有效銜接民事合法化事由向本罪出罪事由的轉化。

法律擬制合理處理規則本身具有必要性，該規則并非直接調整行為人與相對人之間的權利義務關系，而是通過法定擬制手段對行為進行約束，將法益侵害控制在比例范圍內。依法判斷某一行為是否為“合理處理”，關鍵在于衡量“合理性”，需要在信息處理目的和擬采取處理手段之間利益關系的法律分析框架內。①參見劉雙陽：《“合理處理”與侵犯公民個人信息罪的出罪機制》，載《華東政法大學學報》2021 年第6 期。引入比例原則的操作規則，具體從正當性、適當性、必要性及均衡性四個角度審查。若行為人處理信息行為符合比例原則所蘊含的“目的正當、手段適當、損害最小、損益均衡”四項標準，則可認為屬于“合理處理”，此時不需要獲取相對人的“二次同意”。

三、侵犯公民個人信息定罪機制之重塑

結合前文論證的強弱連接關系，筆者試圖在民事規范嵌入入罪及出罪事由框架下對本罪定罪機制進行重塑。

（一）標準統一：民刑個人信息認定和分類標準不應相悖

1.本罪“個人信息”認定應與《個人信息保護法》一致

民刑均將“識別性”作為判斷個人信息的主要標準，是否構成本罪首先需要判定某項信息是否具有可識別性，識別性具體區分為已識別和可識別。已識別是指單獨信息可明確指向特定人，可識別則需要信息的組合指向特定人，這些信息本身屬于輔助信息，甚至可能較為松散、雜亂，但結合起來依然可識別特定人。有學者認為，《個人信息保護法》將“與自然人有關”的信息均納入個人信息范圍，在侵權案件中降低甄別個人信息的難度，有助于保護被侵權人的權益，但對于侵犯公民個人信息罪來說，會導致本罪的適用范圍無限擴張。②參見鄭朝旭：《論侵犯公民個人信息罪的司法適用誤區及其匡正》，載《財經法學》2022 年第1 期。

筆者認為，“不法行為方式”“個人信息”“情節嚴重”共同構成本罪“不法”的客觀構成要素，不能將三者共同的任務全部歸于“個人信息”概念完成。即便個人信息范圍擴張可能導致個人信息的過度保護，立法上也可通過明確出罪事由等方式限制本罪的擴張，而不應通過限縮個人信息范圍來解決上述問題，否則容易導致部分信息保護程度畸高，另一部分又完全排除在刑法保護之外，這種忽強忽弱的保護力度，難以應對現實中日趨復雜多樣的信息類型。相較于刑法規范，《個人信息保護法》對個人信息的界定更為明確、全面，因此本罪關于個人信息的界定應適度調整，與《個人信息保護法》一致，既可有效保持法秩序的統一性，還可提升個人信息的保護力度和強度。

2.本罪個人信息分類應采用《個人信息保護法》“二分法”

個人信息的分類影響入罪數量設置，進而影響本罪定罪量刑。筆者認為，刑事對個人信息的分類應參照《個人信息保護法》的“二分法”界分標準。

一方面，采用“二分法”能有效避免《個人信息解釋》對個人信息分類缺乏可行性的問題。除前文提到的“財產信息”與“交易信息”互相重合、難以辨明之外，實踐中還存在一些融合度較高的信息難以歸類問題。大數據時代背景下信息融合越來越豐富，一條信息可能包含多種內容，比如新冠疫情防疫下出現的“健康碼”既可歸于“行蹤軌跡信息”，也可屬于“健康生理信息”，甚至還蘊含著身份、通訊信息等?！秱€人信息保護法》以“信息一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害”作為劃分敏感信息和一般個人信息的標準，具有較強的歸納性，可有效避免上述問題。

另一方面，采用“二分法”有助于盡快明確生物識別信息在刑事上的歸類和規范。雖然最高人民法院、最高人民檢察院、公安部印發的《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見（二）》（法發〔2021〕22 號）將生物識別信息納入本罪規范范圍，但對于生物識別信息歸類，仍有頗多爭議。有的認為該信息符合重要信息中“……等其他可能影響人身、財產安全的個人信息”兜底規定，應認定為重要信息；也有觀點認為，該信息應被歸入一般信息；還有觀點認為，為了突出該信息重要性，可直接納入敏感信息范圍。①參見歐陽本祺、王兆利：《涉人臉識別行為刑法適用的邊界》，載《人民檢察》2021 年第13 期；李懷盛：《濫用個人生物識別信息的刑事制裁思路——以人工智能“深度偽造”為例》，載《政法論壇》2020 年第4 期。如果本罪也采用“二分法”，生物識別信息可直接歸入敏感信息，既可避免上述爭議，也能體現刑法規范對于生物識別信息的特殊保護。

綜上，本罪直接采用前置法關于個人信息界定及分類標準，不僅有利于避免實務中因規范不統一引發的爭議，也有助于個人信息民刑規范之間的有效銜接。

（二）環節優化：本罪行為方式應增設“使用”行為

1.從危害后果看，增設“使用”行為具有必然性

從某些場景下，“非法使用”比“非法獲取”行為社會危害性更大。比如，近年流行的具有換臉、變音等功能的AI 軟件，借助人工智能具備自我識別、信息提取等功能，將視頻信息碎片化，整理后可將原有視頻的面容、聲音輕松替換為他人面容、聲音，此類行為造成的危害后果要遠大于非法獲取行為本身。然而當前的刑事立法體系下卻缺乏懲治的具體罪名?；ヂ摼W時代，人們可通過網絡渠道較為輕易地獲取他人信息，后續再利用上述技術手段生成新的視頻、照片等信息內容，極易引發套路貸、養老詐騙等“鏈條式”犯罪行為。此外，非法使用行為亦可能造成較為嚴重的危害后果，如《個人信息保護法》出臺前民眾反映強烈的“大數據殺熟”問題，信息處理者借助自動化決策，在相對人不知情的情況下輕松獲取個人信息，再利用“人工智能算法”自動分析使用信息，完成一系列的“殺熟”“廣告推送”等侵害行為。若放任非法使用行為的肆意蔓延，極易衍生出個人信息處理過程中的黑色產業鏈，造成更為嚴重的社會危害性。

2.從立法邏輯看，增設“使用”行為具有可行性

《民法典》《個人信息保護法》等相關法律的出臺，極大豐富了個人信息“處理”的內涵。從本文可以看出，私法規范多集中在使用端，同時也為刑法將合法獲取再非法使用個人信息行為納入本罪的規制范圍提供了有力的依據。此外，刑法中已有類似罪名將部分非法使用個人信息行為規定為犯罪的先例，如使用虛假身份證件、盜用身份證件罪，其行為方式之一就是非法使用他人身份信息。還有冒名頂替罪，實質上是以冒用、篡改等方式侵害他人身份信息。既然部分非法使用身份信息行為已納入刑法規范，那增設合法獲取后再非法使用個人信息行為作為本罪行為方式，也就不存在障礙。

綜上，筆者建議將情節嚴重的非法使用個人信息行為納入本罪的行為類型，在解釋“情節嚴重”時應加入行為性質標準，如惡意使用或欺詐、嚴重改變目的或冒用篡改、“人肉搜索”等。《個人信息保護法》等前置法明確信息處理者的義務性規范，實質包含了非法“使用”個人信息的情節因素，故有必要將相關義務性規范嵌入本罪客觀構成要件，實現刑民規制的有效銜接。

（三）科學量刑：調整本罪“情節嚴重”規則

本罪是典型的情節犯，構成本罪“定量”方面要求達到“情節嚴重”的危害程度，個人信息認定及類型與“情節嚴重”直接相關?！秱€人信息解釋》第5 條分別從信息用途、信息數量、信息獲利、侵犯前科四個維度闡釋本罪“情節嚴重”，并在第6 條規定了為合法經營活動購買、收受信息的行為，亦應認定為“情節嚴重”。從邏輯上說，往往個人信息越重要，侵犯該信息入罪要求越低。具體體現在信息數量設定上，則是行為人侵犯敏感個人信息入罪條數標準應低于一般個人信息。

對此，筆者建議，《個人信息解釋》第5 條第1 款第1、2 項可按照“二分法”區分規范，為提供個人信息用于他人犯罪行為設置入罪要求，基本邏輯應當是信息重要程度與入罪數量、舉證責任呈反比。依照處理目的不同具體判定侵犯個人信息是否可能嚴重影響人身財產安全。對于侵犯敏感信息行為，可能造成被害人生命財產安全嚴重受損，起刑點可設置在50 條以上，其他侵犯敏感信息行為入罪條數可設置在500條以上；侵犯一般個人信息行為，可能造成被害人生命財產安全受損，入罪條數可設置在500 條以上，其他侵犯一般信息行為入罪條數在5000 條以上。需要明確的是，侵犯不滿14 周歲的未成年人信息在內的敏感信息，起刑點應低于一般個人信息，以體現刑法對于敏感信息的特殊保護。

（四）類型轉化：重塑本罪出罪事由

鑒于刑法作為“最后保障法”具有謙抑性，目前刑事法律規范對個人信息出罪事由缺乏規定，不符合前文所述“強連接關系”。

1.“合理處理”作為出罪事由的依據

相較于《個人信息保護法》中“處理”的豐富內涵，本罪行為方式顯然進行了適度限縮，將其范圍限定為獲取、出售、提供。獲取個人信息若取得相對人同意或基于公共利益所需等合法化事由，本身就不構成本罪的“非法獲取”，民刑規范之間也不存在實質沖突。相反，民事法律規范還有助于限定本罪非法獲取的范圍，防止不當入罪。出售層面，若行為人基于謀利目的出售個人信息，鑒于其目的的非正當性，如滿足“情節嚴重”應構成本罪。

本罪認定中，最大爭議莫過于合法獲取后再使用或提供行為可否入罪。首先，需要考量信息主體對他人處理其信息的接受程度，“合理處理”的前提是行為人使用或提供行為符合信息主體的合理預期。值得注意的是，合理預期應該具有一定的客觀性，至少在一般理性人角度來看是合理的。其次，引入“場景完整理論”，從信息主體、信息類型、處理信息行為及原則等角度，結合信息敏感程度、對被害人造成損失程度等綜合判定行為人的失范行為是否超出“合理范圍”。同時，依據社會公認的價值觀念和標準，考察行為人處理個人信息的目的和擬處理行為是否超出信息主體的接受程度，只有符合比例原則所蘊含的四項標準，才能推定行為人的使用或提供行為取得相對人的默示同意，從而不構成本罪。

2.出罪事由類型化考量

結合前置法關于合法化事由的列舉，筆者將出罪事由分為四類，即“被害人同意”、法令行為、正當業務行為、特殊目的行為，并結合具體類型闡述可否實質出罪。

（1）“被害人同意”

民事上的告知同意原則與刑事上作為出罪事由的“被害人同意”實質上存在契合?！氨缓θ送狻背蔀檫`法性阻卻事由的前提至少包括：其一，相對人需具有法益處分權限，處理不滿14 周歲的未成年人個人信息還需征得其監護人同意；其二，只有在信息處理者充分清楚地告知信息使用的范圍、目的及伴隨的風險情況下，相對人的同意才具備有效性，否則不能作為出罪事由；其三，“被害人同意”下處理行為不能違反公序良俗、侵害國家或社會公共利益。

相對人自行公開其個人信息的行為，實質上也是“被害人同意”的延伸。信息公開后二次處理行為是否需取得“二次同意”在實務中爭議比較大。筆者認為，結合相關前置法規范，除相對人明確要求“二次同意”外，宜推定為概括同意，不宜對合理獲取后再使用或提供行為要求“二次同意”，如符合前述“合理處理”出罪路徑，即不構成本罪。

（2）法令行為

法令行為具體包括法定義務所需行為和法定職責所需行為。一是法定義務所需。如依據我國《反洗錢法》第16 條規定，客戶初次辦理金融業務時，金融機構應要求客戶出示有效身份信息，進行核對并登記。相關工作人員處理上述信息一旦超出“合理范圍”，情節嚴重，仍構成本罪。二是法定職責所需。為確保履行法定職責，公權力機關有權依法獲取、使用個人信息，相對人應該予以配合。如依據《刑事訴訟法》第132 條規定，①《刑事訴訟法》第132 條規定，為了確定被害人、犯罪嫌疑人的某些特征、傷害情況或者生理狀態，可以對人身進行檢查，可以提取指紋信息，采集血液、尿液等生物樣本。公安機關或檢察機關為偵查犯罪可強制收集個人生物識別信息。但是，行使公權力的前提是法律法規授權，故是否具備法定權限，是其依法獲取、使用個人信息的前提和基礎。

（3）正當業務行為

一是為提供服務所需。在特殊情況下，為維持產品或服務的安全穩定運行，如修復故障等，信息處理者無需取得用戶同意。隨著互聯網經濟蓬勃發展，技術和服務不斷更新換代。當推出某新型服務時，雖然雙方達成用戶協議，但該項服務對個人信息有何影響，雙方都是未知的，故不可苛求信息處理者將全部風險納入約定中。在此情況下，推定相對人同意，需要綜合考慮，平衡各方利益。

二是為公共利益實施新聞報道等所需。民事實務中對此早有定論，如對于學校、科研機構等主體為研究或統計目的行為，處理他人信息造成損害并不構成侵權。②《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12 條規定，學校、科研機構等基于公共利益為學術研究或者統計的目的，經自然人書面同意，且公開的方式不足以識別特定自然人。理論上，新聞自由、學術自由受到憲法保障，為此產生的信息流通又是必不可少的，故在合理范圍內使用、提供個人信息，阻卻侵害行為的違法性。

（4）特殊目的行為

一是應對突發事件所需?！锻话l事件應對法》第3 條對于“突發事件”有明確定義。①《突發事件應對法》第3 條規定，突發事件是指突然發生，造成或者可能造成嚴重社會危害，需要采取應急處理措施予以應對的自然災害、事故災害、公共衛生事件和社會安全事件。自2020 年新冠疫情爆發以來，信息的公開透明對疫情防控顯得尤為重要，全國各地超出“合理范圍”侵犯個人信息的新聞也屢見不鮮。在面對具體案件時，需結合比例原則，考察能否滿足上述“合理處理”出罪邏輯，綜合判定后續處理個人信息的行為與原先收集目的是否兼容，收集目的應限定于防疫需求，因為相對人被采集信息時心理預期也是防疫要求。

二是緊急情況所需。當相對人面臨緊急危險時，若信息處理者獲取、使用、提供有效信息能夠阻止此類危險，此時相對人可能無法及時作出意思表示，可推定相對人默示同意，從而排除違法性的認定。筆者認為，只有在情勢危急且難以取得相對人及時同意時，為避免相對人遭受重大身體財產損失，信息處理者實行侵害個人信息才具有正當性，可作為本罪的出罪事由。

結 語

個人信息“合理使用”及有效流動共享，是大數據發揮創新效用的必然體現和具體要求，包括刑法在內相關法律規范應予以關注和回應。侵犯公民個人信息罪的認定涉及本罪與前置法的銜接配合，在刑法語境中，雖然違法性判斷有其獨立性，但本罪蘊含的個人法益屬性以及民刑個人信息認定的一致性和共性特點，要求在法秩序統一原則下，根據前置法的合法事由合理調適本罪入罪范圍，并確立以“合理處理”為核心的出罪機制，兼顧公民個人信息保護與法律規制的利益平衡。