公民个人信息刑法保护的碎片化与体系解释解析

吉林大学法学院 兰昊骏

计算机网络的普及，随之带来的便是公民个人隐私安全问题。人们上网有可能会输入个人信息，导致隐私信息遭到泄露。在技术不断先进的当下，不法分子也会获取到他人的隐私信息，并用于非法牟利，这在如今社会中已经十分普遍。公民个人信息泄露、信息遭到窃取等情况，对其正常生活、财产安全造成了极大的威胁。现如今社会各界对个人信息的保护意识逐渐增强。以公民个人信息刑法保护为对象的刑法体系，不可避免地会出现体系不健全、刑法保护碎片化等现象。社会公民信息覆盖范围比较广，如公民身份信息、个人隐私信息等，这些独立性信息一旦被泄露，极有可能会被不法分子非法使用。刑法保护一般有其规定范围，而且并非所有公民信息均在刑法保护范围之内。信息技术逐渐普及的当下，对社会公民隐私信息外泄、被不法分子利用等问题必须加以关注并解决。为此，本文立足于公民个人信息刑法保护，对存在的碎片化问题加以阐释，并且对于公民个人信息刑法保护体系做出解释。

一、公民个人信息的内涵与法益结构

（一）公民个人信息的内涵界定

我国现有立法、司法解释中，涉及“信用卡信息”“个人信息”“身份信息”等概念，而且近年来在刑法立法与司法解释中新增了“公民个人信息”这一规范性概念[1]。“个人信息”如果只是被视为自然人人身、财产权，那么“公民”在该概念中难免会“画蛇添足”“个人信息”除了包括自然人所享有的个人权利外，还关系到社会公共利益、国家安全，法益既代表着个人信息权利，又表示了综合性权利或利益，所以“公民个人信息”作为概念表述具有一定科学性[2]。

对于刑法规范涉及的“公民个人信息”概念的认知，在学术界存在一定的争议。一些学者指出公民个人信息本质属性的关键是可识别，而且自然人相关、单独，或者是和其与信息加以组合，也能够对特殊个人身份信息进行识别，以上均属于公民个人信息范畴；也有一些学者指出，公民个人信息范围可以限缩解释，即对于一些特殊个人身份公民个人信息的识别[3]。除了这两种声音之外，个人信息包含的“信息”需要受到法律保护，换言之，即要与主体特定人格权益和因此引发财产权益有必然联系。在《网络安全法》中指出了个人信息的概念，“电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息[4]。”如果从立法目的的角度分析，《网络安全法》的最终目标是维护网络信息安全，对比《刑法》则更加关注公民个人信息权利，由此建议可以适当拓宽法益保护范畴。

（二）公民个人信息的法益结构

《刑法》关于“公民个人信息”法益属性的要求，在学界内也存在主观认知方面的争议。例如一些学者认为公民个人信息法益可以直接理解为个人隐私权，同时包括公民个人隐私不受侵犯、公民对自己个人信息的控制权。另外一些学者认为《刑法》涉及的侵犯公民个人信息罪法益，可以将其认定为公民人格尊严、个人自由，其中隐私利益仅为个人尊严保护范畴的内容[5]。除此之外，部分学者指出，《刑法》中关于“公民个人信息”的判断，可以将“私人生活安宁”设定为判定标准，这就引出了另外一种声音，认为公民个人信息除了会干扰公民个人信息安全和正常生活，还威胁到社会公共秩序、信息主权、国家安全，也因此被赋予了“超个人法益”属性。

从公民个人信息传统个人法益的角度分析，很多学者非常关注公民个人信息权、隐私权，而且指出其性质、覆盖范围不相同。个人信息、隐私对应的对象属于交叉关系，若个人信息和私人生活敏感点有关，便可将其纳入隐私范围，部分信息具有较高的公开性，便不属于隐私范围[6]。界内也有一些声音指出，刑法无法绝对化保护个人信息，建议仅限制在公民个人信息表现出来的公民隐私权，涉及公共生活的信息则应从刑法规制范围内排除。如果刑法对侵犯公民个人信息这一类行为进行了遏制，那么便需要提高相应的犯罪成本，如认可公民个人信息所具有的财产属性，分离人格权、财产权，面对公民个人信息被侵犯的现象需要追究刑事责任。

从公民个人信息“超个人法益”的角度分析，大数据时代环境下侵犯公民隐私权与财产权这一类的私权行为，导致个人信息泄露，无法对公民个人信息非法使用方法、造成效果进行规制，需要认定个人数据信息的属性为公共物品，并加大治理力度，以此来维护社会公共利益，保护国家信息安全。刑事立法往往侧重于预防性刑法条款适应性较高的“超个人法益”犯罪，法益功能由最初的出罪化向入罪化转型，也使得公民个人信息法益保护向公共化转变，并且朝“超个人法益”趋势演进[7]。这里提到的“超个人法益”，一般是法益概念涉及个人法益，且相互区分与联系的利益，认为自身即为所有个人法益集合。《刑法》包含的公民个人信息法益，其一为公民个体人格权、财产权的传统法益，其二为信息范围内国家与社会公共利益、安全、秩序为代表的新型法益。法益结构多元化，可以直接从刑事立法、司法解释得到印证。如在《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（下称《解释》）中涉及“非法获取、出售、提供公民个人信息，且造成重大经济损失或者恶劣社会影响的”内容，按照《刑法》规定，判定“情节特别严重”，由此可以认识到本罪超个人法益的属性[8]。通常人身法益为专属法益，无法与财产法益一样相加重叠。然而侵犯个人法益一旦超出相应界限，便会使公民个人信息权叠加，继而对集体法益造成损害。所以，要想杜绝刑罚惩治不到位、过度滥用等现象，公民个人信息“超个人法益”建议按照相关信息安全等级、受到不法侵害风险程度等，立足于多层次与体系化的角度对其进行刑法保护。

二、公民个人信息保护刑法体系的内部协调

（一）侵犯公民个人信息犯罪情节的适用解释

按照《刑法》规定：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金[9]。”此概括性定罪量刑标准，一般会综合考虑信息的数量、类型、侵权次数以及交易金额等因素，判定具体行为是否满足“情节严重”这一标准。基于此，则应重点分析信息种类、数量以及实际用途等。

首先，判定信息类型。《解释》有关于公民个人信息的分类，主要有行踪轨迹信息、征信信息、财产信息、通信记录、交易信息等，大体被分为三种，即高度敏感信息、一般敏感信息、普通个人信息，每种信息的入罪标准依次是超过50条、500条和5000条。如果仅从信息种类这一维度进行判定，并不能清晰地确定是否属于敏感信息以及具体的敏感程度，从而对刑法保护判断的必要性做出解释[10]。另外，根据《解释》要求，公民个人信息种类可以根据信息敏感性与具体程度进行界定，关键体现在隐私权、人格权、财产权。通常公民个人敏感信息与人身安全、财产安全有关。若公民个人信息被非法窃取、出售，很大程度会出现绑架与诈骗等关联性犯罪行为，也会在社会中酿成极大的危害。为此，司法机关对于公民个人信息种类进行区分，综合判定权利属性，确定是否需要将其纳入至刑法保护范畴。以上信息种类的法益关联性、刑法保护重要程度不完全一致，也会存在属于高度敏感信息、一般敏感信息，或者是普通个人信息的情况。如果只是根据信息种类，其实并不能合理区分，且给出实际判断，应该综合多项因素综合判定。作为司法机关，遵循“从一重处理”这一原则，若可以认定为“行踪轨迹信息”是高度敏感信息，那么便可根据《解释》中“50条以上”这一入罪标准作出判定，否则要根据“500条以上”或“5000以上”的入罪标准进行判定[11]。

其次，判定信息数量。计算公民个人信息条数，是侵犯公民个人信息罪判定的关键流程。

因为批量个人信息数量较大，增加了信息真实性、重复性识别的难度。根据《解释》要求：“对批量公民个人信息的条数，根据查获的数量直接认定，但是有证据证明信息不真实或者重复的除外。”如果信息数量较大且种类复杂，在此情况下详细划分信息类别并计算，不仅工作量大，还存在难度。实际计算过程中，信息条数一般是由司法鉴定机构将重复数据去除之后获得。实际上司法机关无须划分批量信息的类别，而是直接按照《解释》规定确定入罪标准，即普通个人信息数量在5000条以上即为入罪标准，若将信息认定为高度敏感信息、一般敏感信息范畴，便要由司法机关予以举证[12]。

最后，判定信息用途。以非法渠道获取、出售的公民个人信息，多数是有特殊的用途，例如电信诈骗、敲诈勒索等。若涉案公民个人信息在犯罪活动中得到使用，那么对于权利人而言，其人身安全和财产安全必然会面临高风险，甚至导致一些实质性伤害。若涉案的公民个人信息没有在犯罪行为中使用，则表示其社会危害性比较小，不建议直接将其作为刑事规制参考依据。

（二）侵犯公民个人信息关联罪名竞合的处理

基于司法适用的情况下，侵犯公民个人信息罪、关联罪名联系的处理，在公民个人信息刑法保护体系中是非常关键的问题之一。侵犯公民个人信息罪与关联罪可视为罪名的集合，一般有“罪群”的说法，其中侵犯公民个人信息罪属于重点内容，更是其他罪名相应罪刑关系加以协调的重要衔接。各个罪名组成要件不能重叠与发生冲突，还需要针对罪名、法条竞合关系进行处理，使刑法规范适用能够始终保证统一性、协调性。那么关于侵犯公民个人信息关联罪名竞合的处理，提出以下两点建议：

首先，按照《解释》规定，对于以非法途径获取、出售公民个人信息的犯罪行为，相关网站与通讯群组等，根据犯罪情节，可参照《刑法》中的“以非法利用信息网络罪定罪”给予处罚。如果已经构成了侵犯公民个人信息罪，则需参考对应条例进行定罪处罚。其次，《解释》中涉及网络服务提供者在公民个人信息保护方面需要承担的刑事责任与义务，如果没有落实好个人信息保护的相关举措，且确定与《刑法》相关规定相符合，即可将其判定为“拒不履行信息网络安全管理义务罪”。最后，以非法手段采集公民个人电子信息这一行为，很大概率会同时触犯“侵犯公民个人信息罪”“非法获取计算机信息系统数据罪”，这在刑法范围内属于想象竞合犯，需从一重罪处断。

三、公民个人信息保护刑法体系的外部衔接

在公民个人信息保护刑法体系以外，《刑法》《侵权责任法》等作为部门法，需要彼此衔接与协调，以侵犯公民个人信息行为为重点，建立法律责任以及犯罪行为的制裁体系。如今关于个人信息保护法，公民个人信息保护有关的法律法规，通常只是在一些低层级的行政法规和部门规章中散落存在，这便使侵犯公民个人信息罪被赋予了非典型行政犯的属性。公民个人信息保护必须参考的行政法律为《网络安全法》，下面针对公民个人信息保护刑法体系的外部衔接，从《刑法》《网络安全法》衔接的角度展开分析。

判定侵犯公民个人信息罪范畴是否包含“使用”信息这一行为，根据《网络安全法》和《解释》的相关规定，前者要求任何个人、组织“不得非法出售或者非法向他人提供个人信息”，后者则规定“未经被收集者同意，将合法收集的公民个人信息向他人提供的行为”，属于《刑法》中规定的“提供公民个人信息”这一范畴，处理之后依然不能准确识别，以及特殊个人与无法复原的情况可不予考虑。该项内容与《网络安全法》衔接。但是《网络安全法》中也规定了作为信息收集者，务必根据信息提供者协商的方法、范围进行使用，即信息使用范围不能在采集个人信息原始目的范围以外。所以，所有包括个人信息在内的数据分析，均要与相应人员，即信息提供者个人取得联系，征得同意之后方可使用。

对于非法获取公民个人信息“非法性”的认知，按照《刑法》即可了解其中对于“违反国家有关规定”提出的前置性规定。实际上司法机关具有查明规范性文件的义务，判定文件内容是否与行政法律法规相符。此方面需要注意的是，判定公民个人信息行为非法性，其中涉及的获取公民个人信息，按照《刑法》要求，可以直接描述罪状为“非法获取”。从体系解释的角度，这并不代表不同条款涉及相同概念的同一解释，而是被解释为法律条文置身于法律以及法律体系，法条紧密联系之后，确定其相互关系，并以此为依据作出系统解释。此外，理解非法获取公民个人信息这一行为的“非法性”，不能只是一味参照《解释》条文，还需与《网络安全法》中与之相关的规定相联系，作出系统解释。《刑法》中非法获取公民个人信息行为的“非法性”，同时包含违反“违反国家有关规定”“双方约定”。换言之，“违法”范围超过“违反国家有关规定”，在此基础上形成的理解可实现《刑法》《网络安全法》有效衔接，也与体系解释原理相符。

综上所述，公民个人信息刑法保护的相关问题已经逐渐得到重视，而且与之相关的法律法规也相继完善，结合公民个人信息有关的违法行为，针对发现的碎片化问题进行体系解释，分别针对可能诱发的不同问题展开讨论，以期能够遏制公民个人信息泄漏等现象，保护公民个人信息的隐私性与安全性。