康建光 余少威

（浙江理工大学法政学院 杭州 310018）（1831170929＠qq．com）

最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》）自2017年6月1日起开始实施，《解释》的发布对侵犯公民个人信息的犯罪打击具有重要意义．但是，信息化的高速发展让立法滞后性的特点更加突出，《解释》仍不能解决司法实践中的多方面犯罪问题．因此，笔者将在阐述这些问题的基础上，提出合理化解决路径，以期在信息社会中对个人信息犯罪的认定、量刑等司法实践有所裨益．

1 个人信息之界定

《解释》中第1条对公民个人信息进行了概括＋列举式的定义，突出了个人信息的可识别性，这也是目前世界各国采用最多的定义方式．对个人信息的界定，一直是一个争议性话题．世界范围内对个人信息的称谓有很多种，例如美国的“个人隐私”、德国的“个人资料”、英国的“个人信息”等．我国的齐爱民教授［1］认为，个人资料和个人信息在个人信息保护法领域是可以通用的概念．笔者也认同这一观点，这2个称谓本质上均是指与个人有关的，能通过其对个人进行辨识的数据资料．而个人信息与个人隐私有何种联系，两者又有何区别．除此之外，个人信息在主体上也存在诸多争议．笔者试图从3个角度对个人信息中的争议问题予以阐述．

1．1 个人信息与个人隐私

个人隐私的保护肇始于美国，美国学者将隐私权设定为消极性、防御性权利．但随着信息时代的来临，越来越多的信息成为了“公共信息”，消极防御已经无法提供有效的法律防御，美国学者尝试对隐私进行积极的定义，并通过诸多判例将隐私权的范围不断扩大，其中主要有1965年的“格瑞斯沃尔德诉康涅狄格州案”，1977年的“华伦诉罗伊案”［2］．但是个人隐私保护从本质上来看始终是一种消极性保护，注重信息的隐私性，对个人不愿意公开的隐私性信息进行保护［3］．

而两高《解释》中第1条对个人信息的定义注重信息的识别性，将姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况纳入个人信息的范畴．那么，个人信息除了上述信息之外，是否包括个人隐私性信息？这在理论上存在争议，有肯定与否定2种不同观点．肯定说认为，从形式逻辑出发，个人信息和个人隐私是包含关系，也就是说个人信息包括个人隐私，个人隐私是个人信息的下位概念，是个人信息的一部分［1］．因此，该说认为个人隐私性信息属于个人信息之范畴；而否定说认为，隐私的概念囊括了个人信息的内容．其根据来自2002年全国人大法工委制定的《民法典草案》，在“第四编”人格权法有关隐私权的规定中，确认隐私权的范围包括私人信息、私人生活和私人空间（第25条）［4］．笔者认为，即使随着信息化程度的加深，个人信息的隐私性的界限会逐渐模糊，越来越多的信息在网络空间被曝光．为了加强对隐私的保护，立法者会逐渐将个人隐私的概念向个人信息扩张，但是从本质上看，个人隐私性信息始终是被消极保护，具有个人不愿意公开披露且不涉及公共利益的特点；而个人信息只要能反映个人身份即可，所以其可包括个人隐私性信息．

1．2 关于死者个人信息保护的争议

很多国家或地区的立法认为个人信息是自然人人格权的体现，死者不属于个人信息保护的主体，因而不予承认和保护．在信息社会中，通过网络产生、传播的信息不计其数，其中有不少就涉及个人信息．在这样的情况下，公民如若不能自由地处置自身的信息，就如同“赤裸”地暴露在社会视野之下，没有人格和尊严可谈．但就死者而言，这种人格和尊严已随着自然人的死亡而丧失，也就失去了成为权利保护主体的地位．

上述个人信息的人格权说从法律权利的角度来说无疑是正确的，但笔者认为死者即使是丧失了法律上自然人的地位，其个人信息同样应该被列入保护主体之内．一方面，出于对公序良俗的遵从，死者的个人信息应受到如人格权般的尊重，这种尊重在《刑法》第302条有关“侮辱尸体罪”中有所体现；另一方面，个人信息除了有人格权属性之外，在信息化时代其同样具有财产权属性，因此死者的个人信息对死者也许没有必要保护，但对于和个人信息财产有关的其他人而言，就有保护其财产权的必要了，比如腾讯账号、游戏账号等网络账号信息．

1．3 关于公民个人信息中公民的合理解释

《解释》第1条明确定义的是公民个人信息的概念，将个人信息的主体限定在公民的范围之内．如何理解公民的概念，势必就会影响个人信息的保护范围．按照我国宪法理论，公民指的是具有某国国籍并承担该国义务和享有该国权利的自然人［5］．可见，《解释》中公民个人信息仅指的是具有中国公民身份者的信息．那么，公民范畴之外的外国籍人和无国籍人是否能受到我国《刑法》的保护呢？

有学者认为外国籍人和无国籍人的个人信息也应纳入刑法保护，基于2点原因：一是根据权利与义务对等原则，既然这些人群履行着我国刑法规定的义务，就有权享有刑法保护的权利；二是在我国的社会管理过程中，这些人群的个人信息或多或少也会被收集利用，那么这些个人信息就存在被侵害的可能，因此应该予以《刑法》保护．而另有学者认为应该通过涉外条款对外国籍人和无国籍人的个人资料实行平等保护，如涉外条款、双边或多变协议等，这样才能到达保护个人信息的最佳效果，而不是通过刑法或者个人信息保护法这种国内法来进行保护的．笔者认为，随着信息时代的不断加速、扩展，各国之间的信息网络将会逐渐连接，国家之间的国界概念在互联网中将慢慢消失，人们在互联网中可以收集到世界范围内所有公开的个人信息，我国刑法将外国籍人和无国籍人列入个人信息保护之内，也是符合时代和立法之潮流的．因此，笔者认为虽然《解释》并未对公民进行解读，但从释法的目的来看，个人信息之前的公民一词当该作扩大解释，将外国籍人和无国籍人纳入在内．

对个人信息的定义，是解决个人信息刑法保护相关问题的前提．《解释》第1条虽然给出了刑法中个人信息的相关定义，但是个人信息保护的刑事化并不是简简单单地明确个人信息的内涵便成通途，这仅是第1步．个人信息刑法保护的难点并不在此，下文讨论的内容才是信息化时代下个人信息刑法保护存在的主要难题．

2 刑法中个人信息保护的困境

2016年11月21日，根据覆盖全国的104万8 575份关于个人信息保护情况调研的问卷，《中国个人信息安全和隐私保护报告》（以下简称《报告》）在网络上被发布．《报告》显示，72%的参与调研者认为个人信息泄露问题严重；在遭受个人信息侵害情况中，多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电，因网页搜索和浏览时泄露个人信息的参与调研者占53%，经历邮箱、即时通信、微博等网络账号密码被盗的参与调研者占40%．可见，目前个人信息遭受侵害的程度已十分严重．但在个人信息维权部分的调研中，71%的参与调研者选择了掐断电话或不予理睬，选择拉黑及拒接的比例为63%；仅有20%左右的参与调研者选择了举报、投诉、报警等积极应对措施．当被问及被侵犯时没有维权的原因时，60%的参与调研者表示不知道怎么维权，56%的参与调研者是因资金等个人利益未受损而放弃维权［6］．另一方面，截至2017年9月25日，笔者在北大法宝的案例与裁判文书中进行检索，以出售、非法提供公民个人信息罪为案由的裁判文书有130件，以非法获取公民个人信息罪为案由的裁判文书有972件，以侵犯公民个人信息罪为案由的裁判文书有526件，而且每年的案件数量总体呈现递增趋势．可见，侵犯个人信息刑事犯罪的案件数量巨大．从案件发生的地域分布来看，大多数的侵犯公民个人信息的案件发生在东南沿海省份；从罪数形态来看，案件往往涉及数个刑事犯罪，如诈骗罪、敲诈勒索罪、非法侵入计算机信息系统罪、非法利用信息网络罪等等．

作案手段的多样化、被侵犯客体的不特定化、受害人群的扩大化、维权途径过小、法律适用不健全等诸多现实问题已经给个人信息的刑事保护造成了巨大的难题，而当我们撕开现实这层面纱，隐藏在其身后的，是此类罪的本身出现了“矛盾”．2017年6月开始实施的《解释》对此类罪的相关具体问题以司法解释的形式进行解读，但对于前此类罪存在的争议问题诸如客体的扩大化、犯罪主体的不特定化等等现实难题仍未明确．因此，笔者认为，要使此类罪充分实现打击非法侵犯公民个人信息行为的作用，应着力打破以下困境．

2．1 对象的多样化导致法益保护的不明确

侵犯公民个人信息罪在刑法分则中被规定在“侵犯公民人身权利、民主权利罪”之类，其目的是将个人信息作为一种公民权利而纳入刑法所保护的法益之内，犯此罪者即是侵害了公民的权利，因此受害人只能是公民．然而随着互联网时代的高速发展，自然人和其个人信息往往是可以实现一定的分离的．以电商为例，电商是目前发展最快的互联网线上交易、线下物流的交易模式之一，公民可以通过在电商网站上填写个人信息，使得交易更加稳定、便捷．根据“权利许可”理论和“公民个人信息权”理论，当公民在电商网站上填写个人信息时，就已经将自己的个人信息权许可为第三方甚至是第四方使用［7］，即公民享有个人信息的权利并非绝对的，还有第三方甚至第四方可以通过“许可”对此享有一定的权利，这种第三方可以是诸多互联网企业，也可以是诸如公安机关、工商管理机关等政府部门．

此外，对于此类罪所要保护的法益事实上一直都存在着一定的争议．虽然宪法对公民个人信息的保护可以说是“对公民能够自由、完全的对自己的个人信息行使权利”，但是就刑法而言，如果单单是将刑法上的对公民的个人信息保护看作是对公民对自己的个人信息行使权利的权利的保护，那么是对本罪所要保护的范围进行限缩性解释，间接地缩小了本罪的保护范围［8］．通过上述可以看到，成为非法侵犯个人信息行为的受害者已经不再是公民个人的专有权利，不少合法持有公民个人信息的机关、企事业单位都可能成为该行为的受害者，如果还将刑法上的个人信息看作是一种公民权利，对于个人信息的保护并无益处．

为了能够使得本罪适应新形势，有学者认为应该将本罪移出“侵犯公民人身权利、民主权利罪”，可以给本罪进行单独入罪，但是无论如何应该将本罪不再局限于保护公民的人身权利、民主权利之内；还有理论认为应该将个人信息看作是一种具有具体价值的财产，财产具有可转让的属性，如此，公民和其他主体也可以成为本罪的受害人；本文认为，一开始，本罪就已经在保护个人信息安全和个人信息权利2种法益之间进行徘徊，但最终还是选择了以后者入罪，但事实上如果将前者看作是本罪所要保护的法益，那么将使本罪跳脱出仅保护公民个人权利之窠臼，而扩大成为保护所有合法持有公民个人信息的个人、机关、企业等客体，从而能更好地维护公民个人信息安全不受非法侵犯．

对象的多样化，导致法益保护内容的不明确，而最直观的冲突表现在刑事附带民事诉讼中的可以请求赔偿的主体之上．使得本罪在司法实践中很难发挥其应有的作用，此乃个人信息保护刑事化困境之一．

2．2 犯罪构成要件特征不明显

刑法第253条以及《解释》第2条所规定的“违反国家有关规定”之表述具有模糊侵害公民个人信息犯罪特征的消极作用．刑法分则对该法律术语的解释应该是“因违反国家规定而触犯刑法”，着重表现对国家规定权威性和不可侵犯性的保护，如交通肇事罪“违反交通运输法规”之表述．对于侵害个人信息罪而言，此类规定带来的消极结果是：无法区分此刑法条文所要保护的是国家对公民个人信息保护之相关规定的权威性抑或是其他；无法明确行为人是因违反其他法规范而遭受刑法制裁还是由于侵犯公民个人信息而遭受刑法制裁．这在一定程度上掩盖了侵害行为的本身之违法性，变相地削弱了公民个人信息自身所蕴含的刑法地位，不利于刑法第253条之有效实施［9］．另外，目前各部门法、行政法规、部门规章对于个人信息的范围、性质等等并没有一个统一的定义，如在《中华人民共和国网络安全法》第76条中对“个人信息”的规定和《解释》第1条对“公民个人信息”的定义就有所不同，通过文本直观解读，会发现《解释》中对于刑法所要保护的个人信息的范围要大于《中华人民共和国网络安全法》所规定的个人信息的范围，在没有相应司法解释出台前，刑法所规定的一些个人信息可能无法通过“其他国家有关规定”来获得法律保护．

第3种行为对本罪进行了特殊化、独立化的处理，将犯罪行为具体界定到“以窃取或其他方式”．这种规定不同于前2种犯罪行为的规定，其避开了“法益是法规范”、“违法性在于破坏法规范要求”等陷阱，使得本罪更加具有特殊性和可区别于他罪的性质．然而任何非法获取、非法出售行为都必须具体化，本罪将之具体为“以窃取或者其他方法”，换言之，此种非法获取公民个人信息行为可以相较于盗窃行为、勒索行为、黑客行为等非法行为，非法出售公民个人信息行为也可以相较于非法经营行为、非法传播行为、非法牟利行为等等，而能将本行为与他行为进行区分的关键点在于其侵害的法益不一致．然而问题就在于本罪的法益依然存在争议，导致这种特征并不能够使本罪完全脱离于他罪行为模式的阴霾，甚至很有可能会被他罪所覆盖．

法益的模糊性、违法性的不确定性、行为的重叠性等诸多问题，使得此类罪的犯罪构成要件不明显，在实践中很难发挥出应有的作用，此为个人信息保护刑事化困境之二．

2．3 犯罪主体地位的多变性

由于个人信息已经超出了传统意义上的存在形式，可以以多种形式在不同渠道流通，使得个人信息可以经过不同人、不同主体之手进行流转．在这种形势下，公民个人信息保护存在相当的困难，其最为直接的表现就在于犯罪主体难以确定．还以电商为例，公民在电商网站进行注册时所填写的个人信息是电商网站通过合法手段获取的公民个人信息，根据《网络安全法》的有关规定，电商有权使用客户提供的个人信息，但也有对个人信息管理、保密的义务．笔者认为若因电商不尽义务致使信息外泄，可以将电商的行为以“非法提供公民个人信息罪”入罪．然而情况并非如此简单，针对同一客体，电商的泄露行为并非自己主动泄露，而是因为由于平时缺乏警惕性，导致黑客入侵服务器，被黑客非法窃取个人信息，那么此时电商又成为了黑客非法获取公民个人信息的受害者．这种主体地位的转变给对电商这一主体在整个犯罪行为中的地位的界定造成相当的困难．同时由于网络的发展，个人信息一旦泄露，流通速度非常快，任何互联网用户都有可能看到并且下载被泄露的个人信息，这会导致犯罪主体范围的急剧扩大，不仅给最后的入罪造成相当大的难题，也不利于侦查机关寻找到真正的罪魁祸首［10］．

犯罪主体地位的多变性、犯罪主体的不特定性，给本罪在实践中的运用造成了相当的困难，使本罪很难发挥其应有的作用，此为个人信息保护刑事化困境之三．

2．4 犯罪目的的多样性导致犯罪行为的多样化

除了条文规定的“窃取以及其他方法”等行为外，两高的《解释》并未对该部分进行具体的解释，换言之，侵犯公民个人信息行为的多样性还没有引起国家的足够重视．那么是不是意味着行为的多样性不会对最后的入罪造成影响呢，笔者对此持否定态度，行为的多样性不仅会影响此类罪的入罪，而且如果对此不引起重视将会使很多新出现的侵犯公民个人信息行为逃脱法律的制裁．因为犯罪目的的表现不一，会导致犯罪行为也表现不一，如果以传播和牟利为目的，上述行为较为典型，如果以报复为目的非法收集公民信息以作他用，如抹黑、诽谤或者实施其他犯罪行为的，不仅会影响本罪的认定，甚至有可能不构成本罪而成立他罪；如果以毁损为目的，黑客入侵某存储公民个人信息的存储媒介中并不窃取，而是直接毁损又当如何定义该行为的性质，如果对此不加以重视，将会给实践造成很大的问题．

3 探寻刑法中个人信息保护的出路

通过以上对目前个人信息保护在刑事领域存在的种种困境的剖析，笔者试图从3个方面尝试给出一些合理化建议，以寻找个人信息保护刑事化之出路．

3．1 通过权威解释明确此类罪所要保护的对象

纵观目前个人信息保护刑事化所存在的困境，贯穿全局的莫过于客体的模糊性，法益界定的不合理，对此类罪的适用会造成相当大的影响．而法益的模糊性，来源于对此类罪的立法宗旨的不确定性．因此要首先明确此类罪的立法宗旨，要保护的是什么以及不应该保护什么都可由此作出体现．

要注意的是，立法宗旨并不必然完全等同于宪法上所体现的某种具有高度概括性的宪法精神．虽然宪法可能将个人信息界定为一种公民权利，并且要求对这种权利加以保护，但是宪法是一种根本大法，是一种类似于总纲的法律文件，宪法条文所表现的是一种态度或者精神，这种态度或者精神具有指导性和超然概括性．但置于具体案件裁判时，只能以具体部门法进行规制．换言之，宪法之下的各类部门法，都可被视为对宪法精神或宪法态度的具体解释．也就是说宪法将个人信息权作为公民的一项不被侵犯的权利，这种不被他人非法侵犯的权利在作为部门法的刑法中则可以作更多灵活的解释，甚至对此进行扩充［11］．鉴于此，笔者认为应该将刑法所保护的法益跳出“权利”之窠臼，以个人信息安全代之．即只要是合法持有公民个人信息的主体，刑法都应该保护其手中公民个人信息的安全，当该安全受到非法破坏时，这些主体也可以以此主张自己的权利．将刑法所要保护的法益看作是个人信息安全［12］，就相当于把公民个人信息置于一个保险箱，保险箱的所有者和密码第一保有者是公民个人，公民个人在保留对保险箱的所有权时，可以将开启保险箱的密码交由他人使用．当有人破坏保险箱，保险箱的所有者、开箱密码的合法获得者都能成为该破坏行为的受害者，都受此类罪的保护．将新出现的客体纳入到此类罪的保护中，不再将视野仅仅聚焦于公民个人而是考虑更多的变量，便是公民个人信息安全之精髓所在［13］．

此外，笔者不同意将个人信息视为财产之见解［14］，虽然此见解能在一定程度上解决一些迫在眉睫的问题，但是并不能对个人信息保护的困境从根本上进行瓦解，甚至会出现新的问题．如果将公民个人信息视为财产，那么此类罪完全可以被其他罪如盗窃罪所覆盖，此类罪真正的如同虚设，无法体现刑法对个人信息保护的独到性．作为最为严格的法律规范，其蕴含的一些原则可以被其他部门法所引用，如果将个人信息视为财产，那么就可以实现个人信息完全脱离于公民个人而成为一种可以在市场上流通的商品，这与公民个人信息的属人性是背道而驰的；如果将公民的个人信息视为财产，当他人通过合法形式获取该财产时，便可以以自己主观意愿随意篡改财产内容，并将之重新流转于市场，那么抹黑、诽谤、侮辱等行为将不复存在，刑法、民法对于此类行为的相关规定，更是没有存在的意义，公民的合法权利将受到严重破坏，于我国法律体系是一种巨大的灾难．

3．2 一行为对应一主体，将犯罪行为与犯罪主体相结合

在互联网时代，非法侵犯公民个人信息行为多发生于互联网领域．网络传输工具的便捷也给非法侵犯公民个人信息提供了不少便利，在网络化中，侵犯个人信息类犯罪呈多样化、不特定化特点．因此，要加强对网络中公民个人信息保护，关键点就在于要明确犯罪行为和犯罪主体．可以以公民个人信息存储为节点，以数据传输为标准，来确定犯罪主体和犯罪行为．具体而言，通过技术手段记录每一个通过互联网手段接入公民个人信息存储媒介的主体，并且以其传输途径来区别其行为的性质以及产生了何种后果．如A通过个人电脑接入某网络平台，意图窃取其存储的公民个人信息，那么在技术允许的情况下存储监控设备可以记录其接入存储器的时间以及是以何种方式进入存储媒介、如何窃取信息、产生的后果如何等等，从而顺藤摸瓜，确定主体．同时为了明确主体在犯罪中的地位，可以对整体行为进行分割，在犯罪主体参与的行为中确认其地位以及犯何种罪、该受何种处罚等．这种方法可以有效地避免犯罪行为和犯罪目的多样化带来的难题，从一行为本身入手，明确犯罪主体．

3．3 以条文形式明确此类罪的行为构成要件，突出行为特征

个人信息保护刑事化的困境的出现也可归咎于刑法条文的过度具体化，使得此类罪在具体适用中受到更多的不必要的限制，法律适用过于僵化，因此应该完善刑法条文的相关表述，使之更具有适用上的灵活性．

这种策略也可以表现为对现行刑法条文通过立法解释或者司法解释将之进行具体化和类别化，应该包含2种进路：一是突出此类罪的犯罪构成要件之特征；二是加入犯罪目的之表现．所谓突出此类罪的犯罪构成要件之特征，便是在模糊性的语句表达中添加更加直观的法律术语来将此类罪的构成要件鲜明地区别于他罪；所谓加入犯罪目的之表现，是将不同行为造成的不同后果与出入罪之间的关系置于主观犯罪目的当中予以厘清．该方面的完善应首先要明确此类罪的立法宗旨和用意，明确此类罪所要规制的行为方式，和所产生的相应后果．按照现行法律条文，此类罪可以被归类为行为犯之列，即只要实施了非法侵犯公民个人信息的行为，并且满足情节严重等情形，便可被视为破坏了刑法所要保护的法益，而不要求产生具体的损害结果．但是就目前来看，随着公民个人信息已经越来越成为各类互联网平台公司的盈利基础和各种政府部门开展各种工作的基础，此类罪必定会存在着刑事附带民事诉讼的情形，如果一味地将之“行为犯化”，很难获得应有的效果［15］．事实上在两高《解释》中，对于“情节严重”的解释已经体现了对此类罪的“去行为犯化”而进行适当的“结果犯化”，使得此类罪可以有据可循．

此外，应将此类罪的法律条文更加抽象化，更加具有概括性，以此增加此类罪的适用灵活程度，避免此类罪在不断发展的时代中显得滞后，也给司法机关对于新出现的问题作出相应的司法解释提供便利．笔者给出以下具体建议：将刑法分则中此类罪名的条文表述变更为“以牟利、毁损、报复等为目的，以非法收集、提供、出售、破坏以及其他非法方式侵犯公民个人信息，危害公民个人信息安全，情节严重的……”，犯罪目的以及犯罪方式可在法律范围内作适当扩张解释，同时可将此类罪统一定义为“非法侵犯公民个人信息罪”或者是“危害公民个人信息罪”，由此将此罪进行二次抽象化，增加此罪适用的灵活性．并且在此条文框架下，司法解释可以更加灵活的姿态来对不断出现的新的犯罪方式和手段进行具体规制，使得此罪真正地实现对公民个人信息的有效保护．

4 结 语

法律在保持自身稳定的基础下，也要适应社会发展潮流，从发现新情况中不断进行改变．互联网时代之车轮正滚滚而来，随之而来的除无处不在的便利之外，也有无处不在的新的犯罪行为．相比其他犯罪和互联网行为而言，网络新时代的发展给个人信息保护无论是刑法上还是其他部门法上都产生了令人困惑的难题．尤其是具有严格条文限制的刑法，如果仅在固有框架下对新情况进行分析和规制，将会产生令人扼腕的结局．当然，诸如上述所言，个人信息保护的刑事化路途依然遥远，应该给予此类罪更加合理的、开放的解释环境，以适应不断变化发展的形势．这种改变就应该使个人信息脱离“公民”，成为一种独立的受刑法保护的客体或谓之法益．