朱 瑶

宁夏大学，宁夏 银川 750021

一、界定公民个人信息的必要性

2016年8月19日，山东临沂市高考录取新生徐玉玉被冒充教育部门的工作人员实施诈骗，在报警后心脏衰竭死亡。此案发生后引起社会广泛关注，经公安局侦查犯罪嫌疑人利用技术手段攻击教育部高考信息网站，盗取大量考生个人信息后，通过QQ聊天群等方式以0.5元每条的价格出售学生个人信息，并冒充工作人员实施诈骗。[1]近年来，利用个人信息实施犯罪，造成严重后果的案件频发，个人信息的安全和保护成为舆论的热点问题，我国在立法和司法实践中也逐步加强对公民个人信息的保护。《刑法修正案(九)》对刑法第二百五十三条之一完善了侵犯公民个人信息罪。而界定“公民个人信息”是十分必要的：

首先，根据刑法的性质，需要界定清楚刑法上“公民个人信息”的概念。刑法保护的法益具有广泛性，其他部门法一般只是调整部分社会秩序，如民法仅调整平等主体之间的秩序，而刑法则不区分主体，对需要保护的诸多法益都进行调整。而刑法有着制裁手段的严厉性特征，刑罚又被称之为“一把双刃剑”，如何限制刑罚的适用，这就需要罪行法定的原则进行规范。[2]

其次，根据刑法罪刑法定原则的要求，要保证立法和司法的明确性，也只有在立法与司法明确时，才能实现法律的安定性及预测性的要求。因此，只有明确规定犯罪构成，才能使人能确切了解违法行为的内容，预判自己的行为，判断自己的行为是否构成犯罪，避免不确定的犯罪构成侵犯国民自由。[3]

再者，在民法中对于隐私权、人格权的保护中，同样会涉及“公民个人信息”的内容，因此只有界定清楚刑法及其他部门法“公民个人信息”的保护范围，认定侵犯何种信息、达到何种程度时，才能利用刑罚的强制力手段进行惩处，以此来限制国家权力、保障国民自由，实现法治社会。

二、目前对公民个人信息的界定

(一)理论研究对公民个人信息的界定

理论界对公民个人信息的界定，存在四种学说：主观说、客观说、折中说、择一说。[4]主观说从拥有信息主体的角度出发，认为只要信息主体主观上有保护意思的信息，都应当予以保护；客观说则从信息本身出发，认为只要该个人信息存在一定价值就应当保护；折中说，则是综合主观说和客观说的观点进行阐述；择一说则是在主观说和客观说的基础上，做非此即彼的择一选择。

笔者认为，主观说、客观说、择一说都过于片面，无论从哪个角度出发，因每个人的主观意志不同，且对事物价值的评价也不同，可能会违背“罪刑法定原则”的要求，容易陷入主观归罪或客观归罪的误区。因此，笔者赞同折中说的看法，只有在主客观相统一的情况下，才能更加全面、合理地保护公民的个人信息不受侵犯。

(二)我国立法及司法实践中公民个人信息的界定

2012年《关于加强网络信息保护的决定》、2013年《关于依法惩处侵害公民个人信息犯罪活动的通知》，以狭义的可识别性和隐私性来定义公民个人信息。此后2013年《电信和互联网用户个人信息保护规定》、2015年《侵害消费者权益行为处罚办法》，则采用一种广义的可识别性来认定公民个人信息，并对个人信息进行详细列举，包括可以直接或间接识别身份的信息。

2016年《网络安全法》、2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，较以上规定定义范围更加扩大，从形式和实质两个方面处罚，形式上采用广义的可识别性，即包含可独自对个人身份进行识别的信息，同样也包括和其他情况结合起来进行识别的信息；实质上则不仅包括个人身份信息，如姓名、身份证号、联系方式等，还有包括可能影响个人人身、财产安全的个人信息，如账号密码、财产状况、行踪记录等。

根据2017年5月10日最高院、最高检发布的侵犯公民个人信息犯罪典型案例中的7起案例，公民的个人信息有户籍信息、学生信息、征信信息、定位记录、住宿情况、网购订单信息等公民信息，而侵犯公民个人信息犯罪又通常容易引发诈骗罪、信用卡诈骗罪、绑架罪、敲诈勒索罪等。如刘汉滨、练有鹏信用卡诈骗、侵犯公民个人信息案中，被告人利用木马病毒等方式窃取他人信用卡信息资料后，后利用他人的信用卡信息，通过网络骗取金融机构信任，被告人侵犯公民个人信息罪和信用卡诈骗罪数罪被罚。[5]

三、界定公民个人信息新论

笔者认为，在界定“公民个人信息”时，首先结合刑法的保护目的，侵犯公民个人信息的保护法益，以及如何进行刑法教义学上的分析，才能界定清楚何为刑法所保护的“公民个人信息”。

(一)确定公民个人信息所保护的法益

法益实际上是我国传统理论上所说的犯罪客体，而事实上刑法的任务就是在保护法益。刑法所保护的法益，不仅针对个人法益，还包括维护社会秩序的国家利益和社会利益。[6]传统理论中，大多数学者总是在界定公民个人信息的权利属性，到底是“财产说”、“人格说”、“隐私说”还是“个人信息权”说，笔者认为界定清楚公民个人信息的权利属性并不具有实质性意义，而应该探讨刑法保护公民的何种法益，通过“财产说”、“人格说”、“隐私说”的分析，可以看出本罪所保护的法益主要有以下几种：

1.个人的决定自由

尊重和保障人权是各国宪法一致要求，我国宪法第33条对此也明确予以规定，并在公民的基本权利和义务一章中明确公民的自由权利，从公民的各项自由权利中可以引申出公民的信息自由权，这也是刑法保护公民个人信息的宪法基础，公民自由决定自己的信息是否可被他们知悉。

2.个人的人格权、隐私权

苏楠的父亲是郑州土著，祖辈留下了一处四合院。几年前搞拆迁，开发商问是要钱还是要房。要钱的话人家答应给五百万，要房子的话更好，开发商不缺房子。苏家不缺钱，苏楠的老公在大学里教书，父母刚刚退休，连姥姥都拿着退休工资，于是就要了开发商提供的七套房子。本来是八套，尼罗河是高档小区，一套顶外面两套。物价飞涨，守着七套房子苏家人放心。这不，几年下来，郑州的房价每平方升了近两千。七套房子算下来，这两年苏家的财产又增加了一百多万。

公民个人信息对个人存在较强的依赖性和关联性，一旦这些信息被泄露，会对公民的精神带来一定的困扰和伤害。公民有权抵御外界利用自己的个人信息影响自己的生活，侵入私人隐私地带。而这种排除他人对自己信息的控制和支配的权利，在面对个人姓名、肖像等信息时，又会上升为具体的人格权。因此，对于侵犯公民个人隐私权的保护法益既有人格权，又有隐私权。

3.个人的财产权

在目前的大数据网络信息时代，公民个人信息存在一定的财产价值和经济利益，发挥着维护信息主体财产性利益的功能，因此具有一定的财产权属性。通过对公民个人信息的非法获取和二次利用，则会引发其他犯罪行为，如诈骗、敲诈勒索等，这时公民个人信息保护的法益从个人自由、人格权、隐私权衍生出更多的利益，即具有了一定的财产属性。

(二)对公民个人信息进行刑法教义学分析

法教义学主张对现行法律进行解释，并不主张一味地批评法律。通过对现行法律的解释，来填补法律的漏洞，弥补法律滞后性的缺陷。在这种主张法律解释的法教义学研究下，不仅让法律变得更加完善，而且也发挥了能动性。[7]因此，对于公民个人信息的界定，关系到犯罪客体的认定问题，不能随意对公民的个人信息的范围进行界定，需在刑法教义学的指导下进行分析。

本文根据冯军教授提出的刑法教义学三阶段解释步骤要求，[8]对公民个人信息的界定进行分析：

1.先前理解

为了能得出合理的解释结论，首先要根据先见来理解刑法的规定。这种先理解不仅仅指根据自己的生活经验来理解，而且要重视理论和司法实践对刑法规范的解释，以此为基础形成自己对于刑法规定的初步认识。本文通过对国内立法、司法实践，形成了一个对公民个人信息的先理解，公民个人信息具有以下特征：首先，个人信息必须具有一定的人身依附性，与特定的人相关联，个人对信息享有自主的支配权；其次，即要求根据信息可能识别出特定的主体，以此与其他人进行区分；客观真实性，即信息是对主体的一种客观反映，能够体现主体的情况和状态。

2.实践衡量

实践衡量过程是判断刑事不法的过程。一旦一个人的行为侵犯了他人基于实践理性形成的外在自由，就可能构成了刑事上的不法。行为人侵犯了他人的外在自由，乃是行为人的行为构成犯罪的首要条件。[9]根据对侵犯公民个人信息罪的法益保护分析，是针对个人自由的一种保护。在此之下，公民对其信息享有自决权，即信息主体自由的决定自己的信息的存在方式及价值，任何人都不得违背他人的意志对其信息进行收集、处理和利用，无论这些信息是当事人已被人知晓的信息，还是当事人想隐瞒的隐私信息，都是个人的一种自由权。但需考虑到安全与发展并重的问题，在大数据时代，只有让数据通过流通和相互共享，才能最大程度地发挥数据的价值。因此，对公民个人信息的界定不能过于宽泛，对于在法律保护下，合法、安全地对个人信息进行收集和流通的行为，是符合大数据发展和信息化建设的要求。

3.法律根据的检验

对法律进行解释后得出的结论，不能与法律条文的规定相冲突，解释时应与法律条文的表述相联系，促成刑法体系的内部和谐，这样才能维护法秩序的统一。[10]在侵犯公民个人信息罪的司法解释出台前，对于我国关于个人信息的界定，最为权威的就是《网络安全法》的规定，结合之前相关法律的规定，将个人信息定义为通过电子或其他方式记载的，可以单独或结合识别身份的各种信息。从实践来看，行踪轨迹信息则是关乎人身安全的高度敏感信息，也应纳入法律保护范围。但是，行踪轨迹信息却又难以纳入狭义的身份识别信息的范畴。将此类信息排除在个人信息范围外，却又不符合保护公民个人信息的立法精神。因此，在《解释》中，针对此前《网络安全法》个人信息界定的解释，在不与刑法条文冲突的情况下，结合刑法保护的法益要求，进行合理的解释，将“身份识别信息”这一概念广义化，对于公民的个人信息不仅包括身份识别信息，也包括个人活动情况信息。

公民的个人信息不仅限于通过合法途径记载下来的个人信息，也包括通过非法途径记载的个人信息。刑法是整个法律体系的一部分，它必须在宪法的引领下，服务于整个法秩序的维护。虽然法律仅规定个人信息以电子或者其他方式记录，未明确这种记载方式是以合法形式还是非法形式进行记载的，但只要经记载后公民个人信息被侵犯时，都应构成此罪。对于非法形式，基于体系解释的原理，应当以是否违反国家有关规定作为判断标准。

(三)确定公民个人信息的界定标准

1.判断信息的属性

在大数据时代背景下，大量的数据被收集、记录，但并非所有信息都具有受刑法保护的属性。如果不进行任何区分将所有的与公民个人相关的信息都纳入侵犯公民个人信息罪的保护范围，可能会导致过度保护个人信息，造成浪费资源、不利于信息化时代发展的需要。因此首先要对信息的属性进行判断：第一，判断个人信息对于公民利益的影响，根据影响程度不同，可以分为侵犯个人隐私权法益的信息、侵犯个人财产权法益的信息、以及一般用于识别身份的信息。对于一般用于识别身份的信息，在确保信息主体的自愿公开、被交易的情况下，则不属于此罪的犯罪对象。第二，要注重个人利益与社会利益、国家利益的价值权衡问题，[11]如果此类信息经合法化处理，虽然对个人利益有所侵害，但对社会利益、国家利益有重大影响的，可以在合理的补偿、赔偿下，不对其进行刑罚惩处。第三，注意考虑公民个人信息的实际状态。如果个人信息处于对外公开、可公开获取的状态，那么这类个人信息受法律保护的程度就大大低于隐私、保密状态下的个人信息。

2.判断信息主体的身份

不同身份的信息主体所拥有的个人信息也会有所不同，因此对公民个人信息的范围界定也需有所差异：如针对未成年人。未成年人心理并不成熟，且缺乏自我保护的经验和能力，对于未成年人个人信息如在校期间考试成绩等，虽然对于其他信息主体来说并不是可应受到保护的范围，但对于未成年人来说，一旦这种未成年人的这些信息遭到侵害，可能会对未成年人的心理造成巨大伤害，因此这与成年人的个人信息是有明显差别的，在对公民个人信息界定时，还应根据个案的具体情况进行分析。

3.判断信息的价值作用

信息如果不进行利用、流通，那么对于个人的权利侵害的危险性则会大大的降低，而这种不进行信息流通的设想是无法在当今时代存在的，信息的价值不在于信息本身，而是在于利于此信息得到的一些收益。这种获得利益的驱使也是侵犯公民个人信息高发的原因，因此在界定个人信息时，必然会加入价值的判断。而这种价值的判断，不仅仅针对信息主体个人的利益，还包括一种“超个人利益”。曲新久教授提出公民个人信息具有超个人法益的属性，主要体现为[12]：一是公民个人信息中的“公民”指任何人，无论是中国公民还是外国人、还是无国籍人都应受到保护。二是指公民个人信息不仅关系到个人信息的安全和隐私的保护，还关系到社会公共利益和国家安全。

对于公民个人信息的界定，不仅要考虑到公民个人信息的个人利益、公共利益和国家利益的权衡，还要考虑维护信息的自由流通。同时，从刑法所保护的法益及具体案件出发，不能随意扩大公民个人信息的保护范围，对公民个人信息的界定进行刑法教义学分析。