大数据时代刑法介入公民个人信息保护的视域限缩

王 菲

（武汉大学，湖北 武汉 430072）

一、问题的提出

大数据时代，随着计算机运算能力日趋成熟，在此背景下的数据以人类无法想象的速度成为个人、企业、国家据以预测和决策的基础与依据。然而，因公民个人信息的易受侵害性和侵犯公民个人信息犯罪活动的隐蔽性和集体侵权特征，公民个人信息的风险空前剧增①参见杨锦璈、贾晓千：《侵犯公民个人信息案件侦查与防范研究》，载《湖南警察学院学报》2021 年第6 期，第37 页。。为此，具有强大威慑力的刑法采取的积极介入立场与客观治理需要相契合②参见富丽莉：《权力结构失衡视角下的公民个人信息保护机制研究——以信息属性的变迁为出发点》，载《国际新闻界》2019 年第12 期，第71 页。，但此种饮鸩止渴的重刑主义思想却难以持久。随着时间推移，刑法威慑功能减弱，持续走高的犯罪数量更是暴露了此种积极主义刑法观在深层次上的定性不清问题。面对个人信息保护和个人信息利用二重法益的动态平衡对抗，应当对刑法在公民个人信息保护上的视域进行合理界定，谨防因重刑主义抑制市场活力，阻碍我国与全球化视野下的国际刑法进行衔接。

二、刑法介入公民个人信息保护的现状

（一）刑法介入个人信息保护的背景

事物的认知起源于其定性，对刑法意义上的公民个人信息的范围加以认定，是保护的前提。判例中常存在将侵害公民个人信息犯罪与财产犯罪、人身犯罪概念混淆的问题，正是来源于其概念界定不明。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第 1 条对公民个人信息范围采用了不完全列举的方式。刑法理论界对公民个人信息范围的界定主要存在两种形式：一是列举式，即如上述法律规定一样列举包括姓名等一般普遍认可的公民个人信息；二是概括式，其又包含三种观点。一种观点认为个人信息包括一切可识别个人的信息；另一种观点认为信息具有隐私性，犯罪处罚取决于对个人信息隐私的侵害及其程度；第三种观点认为公民个人信息是能直接指明或间接推断出公民个人身份的信息③参见张辉：《大数据时代公民个人信息保护模式研究与启示》，载《网络安全技术与应用》2021 年第6 期，第59 页。。除第二种观点违背刑法客观主义，以法律后果区分犯罪外，其他两种对个人信息的定性都存在其合理性，其核心是以个人信息是否具有可识别具体个人的能力作为区分标准，概括式观点背后的底层逻辑存在偏差，其认为正因为个人信息可以识别具体个人，能够影响具体个人，因而犯罪人可以对具体个人实施具体的人身或财产犯罪行为，由此而具有打击的必要性。实质上，此时的个人信息犯罪属于人身犯罪和财产犯罪的手段行为，能否数罪并罚，仍需要进行实质上的法益侵害认定。在刑法领域，只有具有实质法益侵害的违法行为才应当认定为犯罪行为。如果仅仅只是行政违法的行为，则不能升格认定为刑事犯罪行为而予以刑罚，此为法律的阶层性所决定。

1.公民个人信息泄露频繁

面对大数据检索处于全面弱势地位的公民，所享有的个人信息在大数据时代面临前所未有的危机。2020 年以来，公安机关累计侦破案件3.6 万起，抓获犯罪嫌疑人6.4 万名④《重拳出击保护公民个人信息安全》，载《人民公安报》2023 年8 月11 日，第3 版。。2020 年，全国检察机关起诉侵犯公民个人信息犯罪6000 余人，2021 年起诉人数攀升至9800余人，2022 年起诉9300 余人，近三成被告人被判处三年以上有期徒刑⑤《依法严惩侵犯公民个人信息犯罪 2022 年检察机关起诉9300 余人》，载中华人民共和国最高人民检察院网上办公厅，https：//www.spp.gov.cn/spp/xwfbh/wsfbh/202303/t20230302_605284.shtml，2023 年4 月20 日访问。。即使是拥有一定数据控制能力和自我保护能力的互联网公司，在大数据时代仍有受损的风险。Facebook 被曝出8700 多万用户数据泄露，此事曾一度视为Facebook 有史以来遭遇的最大型数据泄露事件；暗网市场上双旗曾抛售从数家中国互联网公司包括腾讯等盗取的大量数据，数据条数达到10 亿以上⑥《腾讯安全发布信息泄露报告：暗网成信息贩卖主要渠道》，载澎湃新闻网，https：//www.thepaper.cn/newsDetail_forward_2861325，2023 年5 月21 日访问。。不同于互联网平台作为数据保管者的强势身份，作为损失最终承担者的广大公民，处于数据被盗用者和利益损失者的双重不利地位，由此产生极度不满情绪，反映在立法上便是寻求更多更深度的刑事立法救济，“乱世用重典”，这是一般的社会公众条件反射式的心理状态。

2.个人信息侵犯主体多元化、范围扩大化

在我国个人信息保护的过程中往往对企业苛以义务，却存在忽略对政府规制的立法倾向。在公共数据使用不充分的大语境下，政府部门也存在侵犯公民个人信息的情况，包括政府部门的人为疏忽，违背政府信息公开的审查把关义务，暴露了审查机制的缺失和漏洞⑦参见袁康：《公共数据治理中的政府角色与行为边界》，载《江汉论坛》2020 年第5 期，第120 页。。如安徽、江西曾出现的基层政府官方网站公开公民隐私信息的情形或工作人员非法贩卖政务信息中包含的公民隐私等⑧《 部分政府网站泄露个人信息 专家称将损害政府信用》， 载中国新闻网，https：//www.sohu.com/a/204157869_123753，2023 年5 月13 日访问。。面对侵犯个人信息主体的多元化、范围的逐步扩大化，刑法只有以积极的角色介入公民个人信息保护的过程中，才更有助于弥补这种审查机制的漏洞，发挥司法机关的主动调查权，从而利用公权力对抗公权力，对多元主体进行问责。

（二）刑法介入公民信息保护的不足

1.法律适用界定不清。我国刑法对公民个人信息的保护，采用“直接+间接”的模式。直接保护指直接性、针对性地保护公民个人信息，间接保护则是指通过惩处打击侵犯公民个人信息的相关犯罪，从而实现对公民个人信息的保护。司法实践中，几乎不存在单独侵犯公民个人信息的犯罪行为，大多数非法获取公民个人信息的行为呈现预备性，如为实施电信诈骗而窃取、购买、非法获取个人信息的行为，此时对于非法出售、提供个人信息的行为是认定侵犯公民个人信息罪，还是认定电信诈骗犯罪的共犯在司法实践中存在极大争议；若为实施犯罪而获取公民个人信息后却未实施预谋犯罪，罪名及罪数又应如何认定，更是司法实践疑难之处。此外，对于相当部分并未达到刑法保护范围的侵犯公民个人信息行为的，却应严厉打击的立场被纳入刑法规制范围，这有违罪刑法定原则，不免过于严苛。

2.法律保护效果不佳。从司法实践看，刑法修正案对公民个人信息犯罪的加强打击，包括净网行动的开展都没能完全遏制住我国侵犯公民个人信息犯罪的肆虐态势，反而呈现愈演愈烈的趋势。目前我国公民个人信息保护中存在偏重刑法而忽视民商事法律的现象，重在“打击”而非“保护”。在公民个人信息遭受侵害时，刑法对犯罪人的打击除了报复主义外并无裨益，“民事确权”和“民事赔偿”“民事补偿”的缺位，导致信息主体的财产及非财产损失均无法得到弥合，造成实践中大部分公民索性放弃此部分权利。他们并不关心自己个人信息的泄露，具体表现在大多数公民在阅读各大平台的隐私条款时往往采取轻率随意的态度；面对为自己的个人信息泄露而据理力争的公民时，也秉持一种敬意，因为大多数公民并没有此种确权意识。这也正缘于我国刑法越位管理，将本该由民商事法律规范并在民商事领域得到规制的行为纳入刑法惩罚的范围，反而造成仅产生打击效果，而法益保护缺位的局面。

3.法律缺乏可操作性。我国刑法虽然在侵犯公民人身权利犯罪下规定了侵犯公民个人信息罪和非法获取公民个人信息罪，但笼统式的表述并不足以应对实践中的具体情形。《刑法修正案（ 九） 》就侵犯公民个人信息的行为仅作出了“出售”和“提供”的表述，没有关注到现实犯罪中上下游的多元主体身份，也没有注意到犯罪具体行为方式的多样性，缺乏定罪量刑的灵活性。特别是量刑方面的不够细致，直接导致了司法实践中适用标准混乱，类案量刑不一的情况⑨参见叶婷：《大数据时代个人信息的刑法保护》，载《人民检察》2022 年第21 期，第60 页。。

此外，个人信息界定的统一标准仍处于缺位状态。关于公民个人信息的准确界定是此类犯罪认定的起点更应当是重点。实践中存在的各类问题根源正在于概念界定不明，然而我国刑法并未对公民个人信息作具体认定，一般认为应当参照民商法的界定。事实上，民商法领域特别是学界对此问题持续处于激烈讨论中，而刑法其自身的稳定性需求远高于私法，不能坐等民商法的理论发展，应当作出自身的具体认定，概念确定后才能统筹指导个罪的认定。

三、刑法介入公民个人信息保护的消极性

（一）刑事立法介入公民个人信息保护的消极定位

我国刑法一贯采用行政违法与刑事犯罪相区分的二元体系，区分即意味着犯罪的成立有别于违法的成立，对有社会危害性的行为，刑法并非一概零容忍，而是设置了犯罪成立的门槛⑩参见何荣功：《轻罪立法的实践悖论与法理反思》，载《中外法学》2023 年第4 期，第945 页。。 根据我国《刑法》第13 条但书的规定，犯罪只限于具有严重社会危害性的行为。落实到公民个人信息的刑法保护视域，应当认识到，公民个人信息是一个较为宏观的概念。而就刑法所保护的个人信息范围理论，有的学者主张不应设置界限上或者范围上的限制。此种观点明显违背罪刑法定原则，不符合刑法谦抑主义立场，刑法所保护的公民个人信息范围应该设置合理限定。就如何限定范围，有观点认为公民个人信息应具有可识别性，并与公民的人身权或财产权存在一定的联系。还有观点认为，应参照一般法的规定，民商经济法所保护的对象则当然应当是刑法保护的对象⑪参见张益宁：《个人信息的刑法保护研究》，载《黑龙江省政法管理干部学院学报》第2022 年6 期，第54 页。。此种观点存在片面均衡的错误，刑法不同于其他法律的特别之处，正在于其保护范围的狭窄性，只有具有严重社会危害性的行为才存在应受刑法处罚，不能将刑法与其他法律同等对待，而应当明确限定刑法所保护的公民个人信息范围，防范刑法的不正当扩张。现实中，因手段行为和目的行为的牵连关系，侵犯公民个人信息的行为通常与人身犯罪和财产犯罪相关联，而且通常以手段行为的形式存在，往往目的行为才会造成法益关键性的损害。然而在司法实践中，当侵犯公民个人信息犯罪和民商犯罪交叉时，司法者通常会采用数罪并罚的形式对上游犯罪统一定罪，旨在法无遗罪。形式上完全符合法律的规定，但这其实是一种实质上的罪责刑不相适应。应当认为，在判断当事人的行为性质时将民商事法律规定纳入考察范围，法律体系化的思考方式可以为司法机关适用刑法惩治相关犯罪行为提供一定依据，形成制度合力，但不能就此认定个人信息就一定要由刑法来进行保护，刑法应当做出区别于民商事法律规范的特殊建构，只有区别化的准确界定才能在法律阶层的逐级筛选中，逐步剔除不犯罪的行为，保证法律特别是刑事法律规范的打击效用，有效保护个人信息免遭不法侵害。

（二）法益限制：信息保护与数据利用的平衡

在大数据时代，面对个人信息保护的必要性，刑法的积极回应已成为主流，然而这在一定程度上也破坏了公民个人信息保护的完整性和系统性，仍然需要采取消极回应的立场，这是以罪刑法定原则为本原的刑法谦抑性的根本要求。“无法益则无犯罪。”换而言之，法益才是考察侵犯公民个人信息行为是否构成犯罪的关键环节，只有经过法益考察，才能够将其纳入刑法考察视野。目前我国刑法学界关于侵犯公民个人信息罪的保护法益主要存在四种观点：一是公民人格权说，认为本罪保护的法益系公民的人格尊严与自由；二是个人信息自决权说，立足民法理论，认为本罪保护的个人法益，是信息主体所享有的依法支配、控制和排除他人对本人信息实施侵害的权利；三是信息公共安全说，认为本罪法益关注的核心是社会公共安全而非个人人身权利；四是公法法益说，认为个人信息兼具私密性与社会性，对行为对象的保护应进行区分判断。以上几种观点在个人法益和社会法益中的立场动摇不定，实质正在于公民个人信息背后存在的保护和利用之间的天然矛盾。信息保护与利用是大数据时代下的两个重要命题。信息保护的基础是个人权利，即人身、财产权利；而信息利用是信息自由流通与产业政策的要求。两者在基本价值及操作方式上存在冲突，是导致边界不清晰的基本背景。大数据时代，面对极高的信息利用回报率，信息控制者具有极其强烈的利用激励却缺乏可预见的、同等程度的保护激励对利用行为加以抑制，由此导致对信息利用始终占据主导，收缩性不够。信息主体对于个人信息的利用激励与保护激励收缩性较强，信息利用一旦导致侵害公民个人信息，此时信息主体的保护激励就会占据主导。利用激励与保护激励在信息控制者与信息主体之间的不平衡以及不同情况下信息主体的不平衡是导致信息保护与数据利用边界不清晰的核心。具体到实践中，在没有明确完备的个人信息立法的背景下，我国平台多采用自治条款规范数据利用。但是自治条款多为平台自主制定，不同平台由于其服务的差异性对于数据利用的范围规定不同，同时自主性加大了边界的模糊性。可以说，目前民商经济领域对个人信息利用和保护二者的讨论仍处于极端激烈的斗争之中，在民事立法仍未产生对二者关系的准确定性前提下，贸然将个人信息保护以法定刑较高的罪名规定于刑法中，则不得不引起警惕，刑法不能通过强制的手段过分保护个人信息而忽视了个人信息在利用过程中所能产生的巨大价值，否则将导致个人价值凌驾于社会价值之上，刑事立法所产生的负面效用远超其正面意义。

四、刑法介入公民个人信息保护的视域限缩

（一）纵向分层治理体系的构建

要做到在刑法中的高阶排除，最重要的便是要在法律体系中建构分层治理机制，将行为人利用一定范围内的个人信息的行为排除出构成犯罪的范围，限缩个人信息保护中刑法的视域⑫张旭：《侵犯公民个人信息犯罪刑事治理研究》，载《吉林大学社会科学学报》2022 年第6 期，第59-70 页。。大数据时代的公民个人信息由个人控制转向社会控制，使其具有社会性和公共性⑬吕江鸿：《跨部门法视角下中国个人信息法律保护制度研究》，载《南宁师范大学学报（哲学社会科学版）》2023年第3 期，第109-120 页。。传统的知情同意规则在大数据时代因个体分离的现状而难以实现，但信息主体的自主决定权并未丧失，作为价值可判断的资源，信息仍处于可衡量的地位，即信息具有可决定性。民事主体对其个人信息具有可自由衡量、知情同意的权利，而这种权利应当以不超越法律规定的范围为边界。换而言之，应以“存在非法目的”来限定侵犯公民个人信息罪的成立范围。如此设定，才能划清刑法与民法、行政法之间的规制范围。对于获得信息主体知情同意的信息在处理过程中受损：首先，信息处理者处理过程中因过错导致信息主体权利受损的，应当承担民事侵权责任；其次，信息处理者未按照《公民个人信息保护法》第 51 条的规定进行处理的，应当追究信息处理者的行政责任；最后，刑事法律应当作为补充性原则，构成要件的成立应当采用严格标准，只有严重侵犯公民个人信息，达到违反刑事法律的限度，以刑法处罚确有必要时，才能够将其纳入刑法考察的范围⑭张明楷：《避免将行政违法认定为刑事犯罪： 理念、方法与路径》，载《中国法学》2017 年第4 期，第51 页。。

（二）内部多元排除规则的建立

不同于意思自治为主、行政管理为辅的民商行政法，刑法的规制对象是具有严重危害性的犯罪行为，刑法与其他部门法的关系并非传统观念上的“民商行政法先管，刑法后管”的阶梯式。违反其他部门法的行为不能因为情节过重就入罪，刑法必须有自己独立考量的规则。在通过随机抽样对裁判文书网近年以“侵犯公民个人信息罪”的50 个判决书中进行阅读的前提下，大致提出如下三种规则。

第一，适用知情同意规则。我国刑法保护公民个人信息的立法基点是“基于打击与公民信息权益相关的后续犯罪的立法考虑”⑮参见李源粒：《网络个人数据安全刑法保护研究》，载《重庆邮电大学学报（社会科学版）》2015 第6 期，第45-54 页。。换言之，我国刑法保护公民个人信息的出发点是为了防止犯罪人利用公民个人信息制造与其相关的下游犯罪；而保护则当然可以选择放弃，若是个人信息的所有人以明示或默示的方式宣布放弃这部分刑法所预设的保护，则该信息范围内的利用因不存在刑法所保护的对象而当然不成立犯罪。进一步而言，侵犯公民个人信息活动犯罪的被害人根本而言应当是公民个人，被害人同意规则作为超法规的免责事由在该罪中具有当然的适用空间，这也是意思自治原则在刑法领域的适用，即对财产权的设置自由，个人有权利决定其个人信息的利用方式及范围，只要这种决定是意思自由状态下作出的。出于刑事的事后考察属性，应当强调这种知情同意当然是事前作出的，不同于民法可以通过事后追认的方式建立知情同意，刑法实质性的考察必须以行为发生之时作为认定犯罪成立的时间节点，否则将导致为逃避犯罪的事后弥补行为，不仅不利于刑法定罪的稳定性，而且可能产生事后铤而走险的胁迫与强制行为。在以“侵犯公民个人信息罪”定案的50 个判决书中，存在一起被告人“利用发送礼品的方式吸引周围居民办理实名制手机卡，后二人为牟取非法利益，将办理的50 张实名制手机卡以出售”⑯河南省高级人民法院（2021）豫15 刑终574 号刑事判决书。的案件。提供礼品的行为能否作为获得实名制手机卡的使用权的合理对价，值得刑法考量。结合礼品的金额较低、居民办理手机卡的动机是为了获得免费礼品而并没有处分自己个人信息的意图，以及参与此种交换活动的社会群体身份基本为缺乏个人信息保护意识和个人信息泄露后果预知能力的老年人等多重角度进行考虑，应当认为此时居民未对自己的个人信息进行知情同意，交换礼品的形式并不能作为处置公民个人信息的合理对价，公民对个人信息的知情同意，在我国老龄化的背景下应当限于严谨的书面同意形式。

第二，可识别性规则。不同于其他部门法对个人信息认定标准的宽泛化，我国刑法基于实质违法性的标准，将犯罪行为中侵犯的公民个人信息限定于具有“可识别性”的信息。换言之，并非公民个人的一切信息都能被认定为刑法上的个人信息。关于个人信息可识别性的理论存在直接识别和间接识别两种，前提是必须具备可识别性，目的是将单独而言并不具有可识别性（如身高）的信息，但若与其他同等信息一同看待则整体上具有可识别性的信息纳入保护范围⑰参见叶小琴、赵忠东：《侵犯公民个人信息犯罪治理的经济学分析》，载《太原理工大学学报（社会科学版）》2019 年第3 期，第29-34 页。。但是，对于大数据时代背景所建立的陌生人社会，能够单独直接识别特定个人的个人信息几乎不存在，我国司法实务的现状也证实了这一点。在以“侵犯公民个人信息罪”定案的50个判决书中，有4起以“获取姓名、联系电话、地址的公民个人信息”“公民车牌信息（包含车牌、车主姓名、车主电话）”的完全归纳形式定案⑱广东省高级人民法院（2021）粤02 刑终237 号刑事判决书。；29 起以“姓名、电话号码、地址等内容的公民个人信息”的不完全归纳形式定案⑲江苏省苏州市吴中区（2021）苏0509 刑初1632 号刑事判决书。；3 起案件仅以“侵犯公民个人信息”的形式定案，另有14 起因利用在营业厅等场所工作便利非法获取客户电话卡和验证码而认定此罪的案件⑳江苏省淮安市淮安区（2021）苏0804 刑初474 号刑事判决书。。可以看出，司法实践中基本上全部以整体识别的形式认定成立侵犯公民个人信息犯罪，任何不具有可识别性的个人信息在与其他信息结合后均有产生可识别性的可能性，机械地区分直接与间接识别的做法并无实践上的意义，反而导致不当扩大了刑法领域所保护的个人信息范围。应当认为，所有的公民个人信息均不独立受到刑法的保护，只有整体具有可识别性的个人信息才应纳入刑法考量的范围。正因如此，侵犯的个人信息只能在个案中加以认定，将其抽象概括为直接识别和间接识别不具有可操作性，还将导致理论上的混乱。

第三，情节严重性规则。正如上文所述，刑法在保护个人信息与民商经济法上具有分层治理的阶层性，刑法的谦抑性要求将其对侵害个人信息的行为处罚范围限定在“严重”的范围内。《刑法修正案（九）》删去了“窃取或者以其他方法非法获取公民个人信息” 的“情节严重”的条件，因而有学者提出非法获取型侵犯公民个人信息行为的入罪门槛降低㉑参见李振林：《非法利用个人金融信息行为之刑法规制限度》，载《法学》2017 年第2 期，第104-111 页。。应当认为，我国刑法分则个罪仍然适用总则第13条但书的规定，对于显著轻微的行为不应当以犯罪处理。同样地，司法实务中基本上以行为人获利上千元或盗取的公民个人信息上万例为界限认定侵犯公民个人信息罪，并且存在缓刑、拘役、一年有期徒刑的刑罚适用。另外在上文提到的利用职务之便盗取客户手机卡和验证码，存在用于京东、淘宝、抖音等平台账号的“薅羊毛”行为，即通过注册新用户获取平台现金福利的方式。其一，若是行为次数少或者获利不大，则按照前述规则，当然不认定为犯罪。其二，对于仅用于薅平台“羊毛”的行为，认定为本罪更多是出于刑事政策的考虑。因为平台确实获得了用户量的提高，支付了应当付出的对价，真正的受损方同样是个人信息的持有者。该种行为方式认定为民法上的不当得利可能更能够帮助个人信息主体找回被侵害的利益，但案件的被害人过多，体现了侵犯公民个人信息罪的广泛性特点。不同于一般的侵犯公民个人信息犯罪必须通过间接的贩卖手段将公民个人信息出售给不知名的第三方，该类案件中，公民个人信息的获取方为京东等正规合法注册平台，并且是利用平台规则的部分合法获利行为。平台是否可以通过科技手段收回或重新发放优惠或现金的方式弥补这部分个人信息所有者利益，从而将该类案件认定为民法上的不当得利，限缩本罪的成立范围，具有极大的进步意义。

结语

“最好的社会政策就是最好的刑事政策。”大数据时代，对公民个人信息保护的法律体系中，仍应注意在社会问题产生源头处加以解决，通过减少侵犯公民个人信息行为的社会层面上的利用激励等举措，减少利用公民个人信息的行为。特别关注道德、习惯法、行业规范、平台规则等社会公共准则，行政法、民法等一般法律治理手段的作用，方能最好地发挥规则、法律在各自领域的治理效能，最终提升刑法在其视域内的威慑力与惩罚效果。