张燕云

一、公民个人信息的权利属性

公民个人信息的权利属性本应最先由民法进行确定，但由于司法实践中侵犯公民个人信息的行为借助于互联网和大数据技术一经发生多已达到刑事犯罪的程度，从而导致关于公民个人信息的保护刑事领域先于民事领域。由此公民个人信息的权利属性在刑法中渐渐得以显现和确立，笔者在对其脉络进行梳理的基础上进一步系统地分析。

《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称《通知》）将公民个人信息界定为能够直接识别身份或者涉及隐私的信息，其采用列举概括式的混合模式，将狭义的可识别性和隐私性作为判别核心，对公民个人信息概念的界定囿于狭隘的空间。《中华人民共和国网络安全法》（以下简称《网络安全法》）将公民个人信息界定为能够直接或间接识别公民个人身份的信息，相较于《通知》将可识别性的要素扩大，且消除了隐私性的限制，其实质上是将广义的可识别性作为判断公民个人信息的唯一要素，认为可识别性完全可以涵盖隐私性。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）将公民个人信息界定为能够直接或者间接识别公民个人身份以及体现公民个人活动及财产状况的信息，其立足于《网络安全法》的基础上将公民个人动态的活动以及和身份识别性关联不大的财产状况也规整到公民个人信息中。本质上脱离出可识别性的界定标准，进而形成人身信息的广义可识别性和影响财产安全信息双重判别标准，该标准其实是迫于司法实践中公民个人信息和财产权不可分割的无奈之举。[1]

综上，公民个人信息的界定由《通知》的“狭义可识别性+隐私性”标准到《网络安全法》的“广义可识别性”标准再到《解释》的“广义可识别性+影响财产安全”的标准，这一发展过程体现了公民个人信息人身权属性向“人身+财产”双重权利属性的发展过程。[2]以“隐私性”作为界定标准其实是将公民个人信息权定义为隐私权，认为公民个人信息之所以要保护归根结底是涉及公民私人领域安宁的信息不能遭受侵犯，公开的信息原则上都是公民愿意公之于众的信息，对于此类信息没有保护的必要。以“可识别性”作为界定标准其实是将公民个人信息权作为人格权予以保护，认为公民个人信息是与公民人格利益直接相关的利益，将公民对于个人信息的支配权利纳入具体人格权机制既能保全公民个人信息在人格权平等环境下无差异的救济，又能通过主张精神损害进而扩大其救济范围。以“影响财产安全”作为界定标准则是将公民个人信息权作为财产权予以保护，认为公民个人信息的权属在信息化、数据化的时代已经由于其身后代表的财产性利益和巨大的商业性价值而具备了财产权的特征，其可以从属于三大物权之一的所有权进行权利的行使与保护。

笔者认为，将公民个人信息的属性定义为隐私权显然比较狭隘与模糊。首先，隐私权保护的对象仅限于公民个人私有领域的信息，其范围远小于公民个人信息的范畴，个人隐私信息之外的信息依然有保护的必要性，将公民个人信息仅以隐私权性质进行保护与信息社会各类信息频受侵犯的司法现状相脱节。其次，隐私和公民个人信息画等号本身就否定了公民个人信息单独立法的必要性，这显然是不合理的。加之隐私权概念本身就存在争议，具有模糊性和主观意定性，用一个不确定的概念去解释衡量另一个新概念本身就不科学，容易使公民个人信息的界定结果更加模糊不清。而将公民个人信息的属性归之于具体人格权或者财产权也过于片面和偏差。首先，如果单纯强调其具体人格权属性则意味着否定了公民个人信息具有交易的可能性，这一理论显然与司法实践中发生的公民个人信息被非法收集倒卖等犯罪现状相冲突，使主要的犯罪行为的规制缺乏理论上的依据。其次，如果单纯强调其财产权属性显然过分强调公民个人信息中“信息的商业价值而淡化其本身依附于公民个人”的属性，有将人从主体地位向客观工具转化的嫌疑。

对于公民个人信息属性的界定不能一直停留于事实层面，更要从规范层面上对其进行探究。虽然对于法律概念属性的确定要立足于客观存在，但一味地被客观存在所限制，仅以消极制裁的姿态修补，显然突破不了现存的藩篱。所以，以积极预防的角度从规范的层面准确把握公民个人信息的属性显得尤为重要。[3]纵观公民个人信息属性变化发展的脉络，笔者认为，可以将其作为兼具人身权和财产权属性的独立权利即公民个人信息权加以保护，类似于著作权这种具有自身独特权利属性的权利，将人身权和财产权融于一身，如此既能强调个人信息与人格尊严密切关联，又能反映个人信息于信息社会中的经济价值。公民个人信息权在内容上既包括权利人自身积极的支配利用，又包括权利人预防抵御他人的侵害滥用；在对象上既包括影响公民个人人格利益的信息，又包括影响公民个人财产利益的信息，跳出可识别性和隐私性的藩篱。

二、公民个人信息的外延范围

相关的立法文件及司法解释虽然对公民个人信息的内涵做出了明确的细化，但对其外延未做过多说明，进而使得侵犯公民个人信息罪的犯罪对象在司法适用中存在较大争议。首先，“公民个人信息”中的“公民”到底仅指中国人还是也包括外国人。其次，无国籍人士是按照任何法律解释方法都难以包括在本罪的公民之中的，是否意味着无国籍人的个人信息不受本罪保护。再者，本罪以公民的个人信息为保护对象显然将组织排除于对象之外，那么法人、非法人组织的信息如何处理。最后，死者和胎儿也无法规制到“公民”中。公民是自然人的下位概念即其至少是以自然规律出生的人，胎儿还存在母体，因此不属于公民；死者不存在生命体征，也不属于公民。那么，也就是说，本罪也未将死者和婴儿的个人信息保护涵盖于内。反观在司法实践中，外国人、无国籍人、组织、死者以及婴儿的相关信息都有受侵害的可能性，那么是否能将上述特殊客体纳入本罪所保护的对象内涵之中。笔者倾向于将本罪犯罪对象的内涵扩张为包括中国公民及其之外的外国人、无国籍人、死者、婴儿，但对于组织的信息不建议作为本罪的保护对象。

首先，将外国人个人信息纳入本罪司法规制的原因在于：公民是一个法律上的概念，是以国籍作为标志的，指拥有一国国籍的自然人，由此中国人和外国人都是拥有一国国籍的自然人，通过法律解释中平义解释的方式就能恰当地将外国人纳入公民的范畴。所以，应当将外国人的个人信息囊括到侵犯公民个人信息罪的保护范畴。[4]

其次，将无国籍人个人信息纳入本罪司法规制的原因在于：其一，刑法面前人人平等是刑法的基本原则，其意义在于任何人在刑法上平等地享有权利和承担责任。刑法修正案（九）将侵犯公民个人所得罪的犯罪主体扩大为一般主体，也就是说无国籍人在中国刑法管辖的范围内犯本罪要受到刑罚的制裁，那么相应地如果无国籍人的个人信息权益受到侵害但却不纳入刑法保护的范畴显然有失公允，违背了刑法面前人人平等原则。其二，我国刑法的法律效力范围本身就包含对无国籍人的保护，刑法在其效力范围内普遍适用，当然也适用于无国籍人。无国籍人个人信息受侵犯案件中只要是中国机构或者公民对在处于国内外的无国籍人的个人信息实施了犯罪行为，那么中国刑法就可以通过属地管辖或者属人管辖对该犯罪行为进行规制，进而保护无国籍人士的个人信息。

再次，将死者、婴儿个人信息纳入本罪规制的原因在于：婴儿虽然还没有分娩出母体，死者虽然已经失去了生命体征，但不能否认婴儿和死者拥有个人信息权。从婴儿的角度讲，侵犯婴儿个人信息的犯罪行为多和医院、医疗机构有关，加之婴儿的个人信息同时也和母体的个人信息密切联系在一起，一般侵犯了婴儿的个人信息同时也会侵犯母体的个人信息。对于死者而言，死者生命体征的消亡并不意味着所有和死者相关的权利的消失，一般和人身紧密联系在一起的权利的法律保护期限较长，如著作人身权一般都是终身受保护的。基于上文将侵犯公民个人信息权的属性界定为和著作权类似的人身权和财产权双重属性，那么公民个人信息权中也应永久受保护。而且，死者的个人信息一般和死者的近亲属的利益息息相关。综上，应当将婴儿和死者纳入侵犯公民个人信息罪的保护范围。

最后，法人、非法人组织信息不应纳入本罪规制的原因在于：其一，组织和自然人本身就属于法律关系客体中截然不同的两种法律关系主体，如果硬要将组织作为侵犯公民个人信息罪的保护对象，有违刑法的解释学原理。即使采用刑法上的扩张解释也是不能完全脱离法条字面意思，否则就滑向了刑法所禁止的类推解释。将公民的含义扩大为与公民完全没有交叉点的组织，显然是对本罪的司法适用进行了不合理的类推，不契合刑法保护人权的初衷。[5]其二，组织的信息受侵害有专门的罪名予以规制，如侵犯商业秘密罪等，不用勉强将其纳入侵犯公民个人信息罪中。