阮持特

(华东政法大学 刑事法学院,上海 200042)

一、个人法益与超个人法益之争

在步入21世纪以后，互联网在我国得到了飞速发展，随之各种网络服务给人们的生活带来了巨大的便利。但网络服务提供者在为公民提供服务的同时也会收集用户的个人信息，并在此基础上形成了一个庞大的数据库。而网络环境的相对开放性也使得这些数据较之传统的信息保存方式更容易被他人所获取，因此，这也给公民的信息安全带来了巨大的挑战，如何在当今的网络环境下有效地保护公民个人信息已然成了国家亟待解决的课题。

在这一现实的迫切要求下，国家逐渐加大了对个人信息的保护。在民事方面，我国关于个人信息的专门法律保护出现较晚，仅在近些年的立法中有所涉及，如《中华人民共和国民法典》(以下简称《民法典》)第111条的规定(1)《民法典》第111条：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”，以及《中华人民共和国个人信息保护法(草案)》的提出(2)2020年10月13日，十三届全国人大常委会第二十二次会议提出了关于提请审议个人信息保护法草案的议案，体现出国家对公民个人信息加大保护的趋势。。而在刑事方面，早在《中华人民共和国刑法修正案(七)》[以下简称《刑法修正案(七)》]中，就对与个人信息有关的犯罪做出了规定。(3)《刑法修正案(七)》第253条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”而后，《中华人民共和国刑法修正案(九)》[以下简称《刑法修正案(九)》]又进一步对法条加以修改，将其适用范围扩大到一般主体。(4)《刑法修正案(九)》第253条之一：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。 单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”可见，无论是在民事还是刑事上，我国对公民的个人信息保护力度都呈现不断加大的趋势。

具体到刑事领域，在《中华人民共和国刑法》(以下简称《刑法》)明确通过“侵犯公民个人信息罪”这一罪名对公民个人信息予以保护下，该罪所保护的法益则成了学界关注的重点。由此在理论上出现了个人法益与超个人法益之间的争论。个人法益论者认为，无论怎样去拓展个人信息的空间，也不会得出个人信息属于超个人之结论。[1]70超个人法益论者认为，该罪的法益不仅是个人法益，而且具有超个人法益的属性。[2]5法益的确定为定罪之考量，在某些情况下，不同的法益观点对犯罪的成立与否可能会起到决定性的作用。在本罪中，若为个人法益，入罪则必须以对公民个人法益造成侵犯为起点；若为超个人法益，入罪门槛则不以个人法益为限制。可见，在对本罪进行具体研究之前，必须先对该罪的法益予以界定。

二、 超个人法益之排除

在这里需要明确的是，我们主张“二元论”的观点，不排除超个人法益在刑法中的存在，否则这一问题便失去了讨论的必要。但在“二元论”之下，某一犯罪所侵犯的法益究其如何则应具体分析。在本罪中，超个人法益的观点主要是伴随着信息网络的飞速发展而产生。在当今的信息网络时代，公民的个人信息呈现出复杂化的趋势，个人信息的持有者和个人信息的主体时常会发生分离，且多数情况下本犯罪所侵犯的对象也十分庞大，使得该罪呈现超出个人之外的因素。外界环境的变化可能会对犯罪的表象带来一定的影响，但并不会对犯罪的法益产生实质性的影响，本罪仍应为个人法益。以下将针对超个人法益中的观点予以回应。

(一)“公民”一词不能成为超个人法益的理由

有学者从该条文中“公民”一词入手，提出“公民”一词不仅是不应当删除的，而且为了特定的目的而存在，这正表明了本罪的超个人法益。[2]5-6但这一观点却很难令人信服。且不论该论者虽然一直在强调“公民”一词严格的法律意义并由此得出结论，但事实上这一论证途径却有超出法律之外，而从政治角度加以解释之嫌。因为在刑法术语中并没有对二者加以严格的区别，更不能因为其并列存在就对此做超出《刑法》条文之外的理解。不可否认，在本条文中“公民”与“个人”的同时出现也许会有语义重复之嫌，但也不必对其进行过度的解读与批判。当然，从理论上说，立法者在法条中的用语应当简洁、严谨，极力避免予以语义重复及同词不同义的出现。但这一完美主义的要求显然很难在现实中予以实现，因此对于那些略有疑问，但能够为一般公众所了解的存在也不必予以过分苛责。事实上，在该论者的观点提出之前，理论和实践中对这一条文的表述并未产生异议。而且，就算认为该条中的重复是存在问题且不可调和的，那么也完全可以通过法律修改的手段将“公民”一词予以删除，从而有效地解决这一争论。当然，对于这一结论的合理性也有待论证。鉴于其已超出本文的论证范围之外，再次不予详述。

而且，《刑法》中除了本条外也数次出现“公民”一词，其中也包括与“私人”并用的情况。(5)如，《刑法》第13条中“侵犯公民私人所有的财产”，第92条“本法所称公民私人所有的财产”。若认为在本罪中“公民”与“个人”的并列使用说明了该罪的超个人属性，那么对于“公民私人”这一词语应当如何解读将成为一个难以解答的疑问。显然，不论从何种角度我们也不能从“公民私人”这一词语中理解出超个人属性的存在。另外，如若按照论者的观点，“公民”一词蕴含着“超个人”的属性，那么其对于分则第四章将是颠覆性的存在。在此观点下，理所当然地会带来该章类罪的法益更多的是超个人法益的反思。显然，在对法益的理解中，这一结论难以成立。

(二)“情节严重”并非法益的判断标准

根据法律的规定，仅仅侵犯公民个人信息的行为并非一定会成立本罪，还需要达到情节严重的标准。因此，有学者通过对“情节严重”的分析，得出该罪应当是超个人法益的结论。[3]150-152持这一观点的学者认为，“情节严重”的入罪标准与一般个人法益的犯罪实施就成立的犯罪构成有所冲突。而且《司法解释》中也明确将个人信息的数量多少作为认为是否达到情节严重的标准，可见犯罪对象具有不特定性。(6)这里的《司法解释》是指2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，下同。

但这一论证方式是存有疑问的。在刑法中，法益侵害行为构成对规范的违反，但只有当其达到一定程度才会被规定为犯罪。在罪状中添加“情节严重”等类似的表述并非是表明该罪的法益，而是为了限缩该罪的入罪门槛，将那些社会危害性相对较小而不必用刑法规制的行为排除在犯罪之外。而且，《刑法》在诸多条文中都有“情节严重”作为入罪门槛的表述，其中有些为超个人法益，如非法经营罪；但对于一些犯罪却不存在超个人法益的内容，如侮辱、诽谤罪等。可见，在同样要求“情节严重”成立犯罪的场合，法益的内容也可能截然不同，不能一概而论。所以，“情节严重”仅应作为犯罪成立与否的考量，而不涉及该罪的法益，更不应该以此作为法益判断的标准。

另外，针对《司法解释》中将信息的数量作为“情节严重”认定标准的问题，有学者提出本罪所针对的对象为多数人的多条个人信息。个人法益不能简单地进行叠加，因此多数人信息的集合很难被认定为个人法益。[3]151不可否认，在绝大多数情况下本罪所侵犯的对象都是多数人的个人信息，但这并没有完全排除针对某一特定对象而成立本罪的可能。事实上，《司法解释》虽将数量规定为“50条以上”“500条以上”和“5 000条以上”，但并未对信息的主体加以限制。(7)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条：“非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的‘情节严重’：(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。”也就是说，如果行为人侵犯的是某一特定对象的个人信息，只要达到了《司法解释》要求的数额标准也完全可以构成本罪。例如，将同一主体的个人信息贩卖50次以上也完全符合《司法解释》对数量的要求。因此，本罪所侵犯的主体不能仅限定为多数人，单个主体也应被包含在内。认为本罪的法益因多数人信息权益无法简单叠加以及多数人的信息叠加后超出个人法益范围的观点就很难成立。

(三)立法背景不能反映犯罪的法益

在《刑法修正案(七)》出台之前，我国事实上并没有关于个人信息独立的法律保护，而是以附属化的保护形式出现在刑法中。[4]但随着信息网络时代的到来，个人信息逐渐呈现出复杂且多元化的趋势。大量的个人信息以数据的形式存储在网络空间里，使其更容易被他人所获取，而关于对个人信息侵犯的案件也日益高发。在这一现实的要求下，《刑法修正案(七)》首次规定了对个人信息的保护。(8)《刑法修正案(七)》在253条之一中增加了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名。而后《刑法修正案(九)》将所涉及的两个罪名加以整合，并扩大了犯罪主体，最终形成了现行《刑法》的条文表述。可以说，我国刑法关于公民个人信息的保护经历了一个从无到有、从附属化到独立化的过程。因此有学者从这一角度入手，提出刑法对侵犯个人信息犯罪的扩大保护趋势，正表明了该罪的超个人法益属性。[2]6

但立法背景并不能作为论证犯罪法益的依据。《刑法》规定某一犯罪的目的是为了保护法益，但个罪的立法目的并不是该罪的法益，对个罪法益的认定应具体加以分析。个人信息犯罪的从无到有、从附属化到独立化的立法过程只能反映出该罪的日益高发以及在此背景下《刑法》对个人信息的扩大保护，而不涉及具体法益的内容，不能以此得出本罪为超个人法益的结论，否则《刑法》中的每一个罪都有转化为超个人法益的可能。因为，在某一个特定的背景下，当某一违法行为高发而又无法通过其他手段加以有效遏制时，立法者往往会寻求立法上的方法，以通过增设新罪或者降低入罪门槛等方式来达到规制的目的。所以，立法背景并不会涉及法益属性的问题。例如，为了扩大《刑法》的保护范围而新增设的虐待被监护、监管人罪，却不会引发对法益属性的争论。

另外，在这一观点之下，认为该罪极易引发其他犯罪并会使生活在社会中的人民安全感降低为由，从而超出了个人法益之外的观点也是不可取的。事实上，诸多犯罪行为都会与其他犯罪产生联系并有引发其他犯罪的可能，但这并不是法益的考量因素。因为诸如典型个人法益的故意杀人罪也极易给社会的安全与稳定带来挑战。因此，某一罪名的立法背景以及其与相关犯罪的关联性可以在研究个罪法益时起到一定的参考意义，但并不能作为判断犯罪法益的标准，对个罪法益的判断应着眼于该罪本身。

三、 个人法益之证成

个人法益的关注重点是个人本身，在这一观点下，《刑法》中应首先注重对个人利益的保护。但“二元论”并不排除超个人法益，将本罪的法益定位为个人法益并不是不得已的选择。事实上，无论立法还是《司法解释》的规定都足以证明本罪的法益应为个人法益。

(一) 立法表明了本罪为个人法益

刑法对犯罪予以规制的目的在于保护法益，并通过法条呈现出来。因此，对犯罪法益的考察应首先从法条本身出发，注重其在分则中的章节安排及具体文字表述，这对确定本罪的法益具有十分重要的意义。

首先，从本罪的章节安排上看，立法者将本罪放在了分则第四章中。一般而言，我国《刑法》分则是依据类罪的法益内容加以分类排列的。对具体犯罪的法益内容的确定，不得超出同类法益的范围。[5]350对本罪来说，由于其被立法者置于第四章下，这就足以表明立法者对于本罪的态度，对本罪法益的确定理应限定在个人法益之内。当然，这一结论也并非在任何条件下均可成立，其存在被推翻的可能。也就是说，如果有足够的理由足以证明某一具体犯罪的法益与其所在章节类罪的法益存在冲突时，可以对该罪的法益予以特别认定。例如，张明楷教授通过分析指出，寻衅滋事罪与其所在章节法益存在一定的冲突，不能随意认定为超个人法益，而应结合具体行为加以认定。[5]363-365但对类罪法益的突破应严格加以限制，否则过多例外现象的存在可能会对我国《刑法》分则的体系带来毁灭性的冲击。

同样在本罪中，若要推翻个人法益的结论，也应当提出足以使人信服的理由。但事实上，持反对观点的学者更多的只是对以类罪确定法益的方法表示怀疑，而不能提供合理的论证以推翻这一结论。当然，也有学者不认同这一论证方法，并用极个别超出类罪法益之外的犯罪来加以反驳，[1]70-71但事实上这一反驳是极其无力的。这里我们暂且不论其所列出的特例是否正确，即使在承认其合理的基础上也无法得出个罪法益不受类罪的限制。如前文所述，张明楷教授虽也在某些个罪中突破了其所在章节的限制，但仍是在承认个罪法益不应超出类罪法益范围的基础上所做的特别解释。也就是说，特例的存在只需要对该罪加以特别认定即可，并不会对这一原则造成实质性的影响。因此，某一个罪的特殊性并不能成为反对这一原则的理由，也不能用类比的方式，因为他罪突破了类罪法益的限制就认为本罪法益也当然应该突破这一限制。若要想打破这一原则，论者必须对其合理性加以论证。

其次，应当注意到本罪的法条表述为“公民个人信息”，而非其他。正如前文所述，立法者在该法条中将“公民”与“个人”的并列使用也许会有语义重复之嫌。但并不能成为支持“立法论”者的理由，认为应将“公民”或者“个人”删除一词以避免语义重复。事实上，法条文字的表述是立法者在审慎考量的基础上而做出的，因此不应随意批判法律和主张修改法律，而应当法条中的疑问做出善意的解释。[6]当然，这也不意味着“公民”一词的存在表明了本罪超个人法益的属性。相反，立法者这一特意的安排恰好说明了本罪为个人法益。

事实上，与论者的观点相反，在《刑法》中“公民”一词不仅不具有“超个人”属性，还是与“国家”和“社会”相对应的概念。“公民”一词强调了本罪所侵犯的对象为具体个人的信息，而不是社会的信息或国家的信息。而且与论者不同，条文中与“公民”并列的应当是“个人信息”，而非“个人”一词，其目的在于限定该罪的适用范围。也就是说，本罪所要保护的对象应为与公民个人有密切关联的信息，而非公民的一切信息。前者包括公民的姓名、电话、住址等信息，后者为被抽象化后不具有识别个人能力的公民信息，如在购物网站中被隐去个人属性的浏览记录、购买习惯等信息，这些信息虽然仍是公民的信息但却因不具有可识别到个人的属性而不属于《刑法》中公民个人信息的范畴。当然，对于后一类信息的侵犯如若构成犯罪，也完全可以通过其他犯罪加以处理即可(9)对于这一类信息的侵犯大多数都可以通过破坏社会主义市场经济秩序罪、妨碍社会管理秩序罪加以调整。例如，如果这里的信息符合商业秘密的范围，则完全成立侵犯商业秘密罪。，但这已不属于本罪调整的范畴，不是本罪法益关注的问题。可见，立法已经表明该罪所要保护的是与公民个人具有密切关联的信息，体现了个人法益属性。

(二)《司法解释》确认了该罪的个人法益

当然，《刑法》条文追求简洁、明了，这也导致了有些条文的文字表述不能完全反映出立法者的全部意思，这会给司法实践的适用带来一定的困难。因此，为了明确法条的含义、界定犯罪的入罪门槛，司法机关会相应地出台一些司法解释。这些解释虽然不具有立法的效力，但却可以在认定犯罪法益时起到一定的帮助作用。

首先，《司法解释》对“个人信息”做出了明确的界定。在规定中，事实上将“可识别性”作为判断是否为本罪中“个人信息”的标准。(10)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条：“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”这里，《司法解释》事实上将“可识别性”作为判断个人信息的标准。这一规定对个人信息进行了一定的限制，只有当其符合《司法解释》时才会纳入本罪的评价之中。所以本罪的犯罪对象是与人身具有密切联系的信息，带有很强的个人属性。当然，犯罪对象并不等同于犯罪法益，但其对于理解法益的定位却有很大的帮助作用。当一犯罪的对象被严格限定在个人范围之内，我们就很难从中得出超个人法益的结论。

其次，《司法解释》还对“情节严重”做出了适用标准。“超个人法益”论者以此为出发点，着眼于该《司法解释》中对个人信息数量的要求，指出其已超出了个人法益的范围。[3]151-152由《司法解释》中对个人信息数量的要求推导出超个人法益的观点很难成立，这点在前文已有论述，在此不予赘述。而且，事实上该《司法解释》中对“情节严重”的认定并非完全以个人信息的数量为标准，还包括实施犯罪、获利数额等。(11)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条：“第五条非法获取、出售或者提供公民个人信息，具有下列情形之一的，应当认定为刑法第二百五十三条之一规定的‘情节严重’：(一)出售或者提供行踪轨迹信息，被他人用于犯罪的；(二)知道或者应当知道他人利用公民个人信息实施犯罪，向其出售或者提供的；(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的；(六)数量未达到第三项至第五项规定标准，但是按相应比例合计达到有关数量标准的；(七)违法所得五千元以上的；(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人，数量或者数额达到第三项至第七项规定标准一半以上的；(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚，又非法获取、出售或者提供公民个人信息的；(十)其他情节严重的情形。”也就是说，即使对某一对象个人信息的侵犯，即使未达到《司法解释》中的数额要求，只要满足了并列的其他条件，也可成立本罪。例如，当违法所得达到5 000元时，就已符合本罪的犯罪构成。而且，在个人信息被用于实施的犯罪时，往往涉及公民人身、财产利益，具有很强的人身属性。《司法解释》将个人信息被用于犯罪作为入罪条件之一，事实上是为了避免其他对个人法益造成侵害的犯罪行为的发生。可见，其出发点仍是对个人法益的保护。

(三)对个人法益批判的回应

当然，个人法益的提出也受到了一定的批判，反对论者往往会通过对这一结论的批判试图实现论证本罪为超个人法益的结论。但当其带着特定的目的去看待某一问题时，可能会在逻辑上陷入一定的误区，使得出的结论时难以站得住脚。以下将对其中的一些批判做出回应。

第一，如有学者提出个人决定权在个人法益犯罪中的重要意义，提出无论在立法还是司法解释中都没有对本罪公民的意思表示效力做出规定。[7]不可否认，本罪在法条和司法解释中并没有关于本人承诺是否排除犯罪成立的规定。但未明示并不代表一定不存在。《刑法》条文只是对犯罪构成有选择地规定，对于某些要件虽未加以规定但也理所应当的被理解为包含于该罪的犯罪构成之中，即所谓隐性构成要件要素。其虽未在每一个犯罪中都予以明示，但也不妨碍在认定犯罪时将其作为构成要件加以考量。在本罪中也是如此，《刑法》未明示权利人意思表示的效力并不能认为这一表示毫无意义，事实上对个人信息的利用行为若经权利人的同意就应当排除本罪的成立。因为，本罪的犯罪罪状中“非法获取”等词语已经暗含了行为对象的主观意思，即与信息主体的主观意思相悖。而且，退一步说，即使按照论者的观点，认为权利人的意思表示在本罪中没有存在的空间，也不能以此作为排除个人法益的理由。因为，并非在每一个个人法益的犯罪中权利人的意思表示都会发挥作用。如，故意杀人罪中，权利人的承诺并不能阻却犯罪的成立，但这并不妨碍我们对其个人法益的认定。所以，意思表示在犯罪中能否适用不是法益的区分标准。

第二，也有学者指出，在大数据环境下，公民并不能实现对个人信息的完全掌控，当信息进入信息流动链条内，就以超出了控制范围。[8]当然，我们并不否认在当今的网络环境下，个人信息已具有了一定的社会属性，但这并不意味着公民已丧失了对个人信息的控制。正如论者所言，公民对个人信息是否进入信息链条具有决定性的作用，事实上这已然表明了公民对个人信息的掌控力。而且，对于一个理性的行为人来说，当其出于特定的目的将个人信息置于流动链条中时，也表明其认同流动规则，在这一规则下的正常流动并不违反公民的意志。也就是说，本罪中公民的意思表示包括明示和默示的方式。对于信息网络服务平台来说，网络服务提供者在提供服务过程中所收集到的个人信息仅应限于授权范围内的正常适用，而盗卖、被窃取等行为显然同公民的真实意思相违背。另外，对于社会机构出于正常社会需求所收集的个人信息也是如此，如国家为了人口普查而收集的相关个人信息，不能因为信息持有人是国家或者社会机构就认为超出了个人信息的范畴。收集者并非信息的主体，个人信息的性质并不会因为他人的收集而有所改变，仍应当在个人信息主体被推定允许的范围内对信息加以利用。因此，对此类个人信息非法利用的惩处，并不会对个人法益带来任何挑战。

四、本罪的法益为个人信息权

在将本罪的法益定位到个人法益之后，还需要进一步明确其具体的法益是什么，否则就只是纯理论的争论，而不能对实践起到任何指导性的作用。当然，在个人法益之下，理论上还存在具体法益之间的争论，有隐私权说、人格尊严权说等。但笔者认为这些观点都无法准确确定本罪的法益，而采用个人信息权说较为合适。

隐私权说认为本罪的目的在于保护公民的隐私，其对象应当是与公民隐私有关的个人信息。这一理论来源于美国对于个人信息的保护模式，在美国司法实践中,大都将个人信息作为一种隐私加以保护。[9]但我国的立法与美国毕竟有很大的不同，不考虑两国法律体系之间的现实差异，而随意参照美国立法将隐私权作为我国侵犯公民个人信息罪的法益是有待商榷的。而且，隐私并不能涵盖个人信息的全部内容，除作为隐私的未公开信息外，已公开的个人信息也应当是在本罪的保护范围内。所以，隐私权不能完全评价本罪的法益。人格尊严权说认为隐私权不是本罪的法益，而应当是公民人格尊严与个人自由。[10]该说虽对隐私权说做出了批判，但却并没有准确定位到该罪的法益。通过对我国《民法典》的考察，其在第109～110条分别规定了人格尊严、隐私权、个人信息等内容。(12)《民法典》第109条：“自然人的人身自由、人格尊严受法律保护。”第110条：“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。法人、非法人组织享有名称权、名誉权和荣誉权。”第111条：“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”可见，《民法典》已将三者作为同等的权利加以保护，因此个人信息并不附属于两者之下，应作为独立的个人信息权加以保护。

在排除隐私权和人格尊严权后，本罪的法益应为个人信息权。其由积极权和消极权两方面组成，前者表现为公民可以在合法范围内自由支配个人信息，后者为公民的个人信息不受他人的非法侵犯。在当今的网络环境下，个人信息权的确立符合我国的立法和司法实践需求。首先，根据《刑法》条文的规定，成立该罪必须“违反国家有关规定”。而在作为前置法规的《民法典》明确个人信息权后，将个人信息权作为本罪的法益应当不存在问题的。其次，近些年法院的刑事判决书中开始更多地出现了“个人信息权”或“个人信息权利”的表述。笔者通过对法院裁判文书的检索发现，在以“侵犯公民个人信息罪”定罪的刑事判决书中，共有126份中使用了“个人信息权”或“个人信息权利”的表述，且均为2015年及之后的判决。(13)数据来源于“威科先行·法律信息库”，对裁判文书的检索词依次为“侵犯公民个人信息罪”“刑事判决书”“个人信息权”，案由为“刑事”。可见，以个人信息权作为本罪的法益已越来越被司法实践所接受。

所以，总体而言，无论是隐私权还是个人尊严权都不能作为本罪的法益。在我国现行的法律体系下，当已有前置法对个人信息的权利属性加以明确，而这一权利在理论和实务上也得到越来越多的认可后，将本罪的法益定位到个人信息权是较为妥当的。

五、结语

在当今的网络环境下，个人信息较之以往发生了很大的变化，数量的爆炸性增长、内涵的扩张及开放程度的提高都会给个人信息的保护带来了很大的挑战。在这一背景下，我国《刑法》首先明确了对侵犯个人信息犯罪的惩处，而后《民法典》进一步确定了对个人信息权的保护，近来旨在对个人信息独立保护的《个人信息保护法》的制定也提上了日程。在这一系列的法规下，国家已逐步在构造一个对个人信息全面保护的法律网，针对个人信息的犯罪将成为法律规制的重点。

但在对个人信息保护不断完善的背景下，个人信息的属性却是刑法学中争执不休的话题，个人法益与超个人法益之争互不相让。而对法益属性的不同理解，在某种程度上对入罪起到决定性的作用，同一可能触犯《刑法》的行为，在这两种观点下也可能会得出完全不同的结论。因此，法益属性的确定是本罪中亟待确定的难题。而我们认为，尽管大数据时代使得个人信息呈现出一定社会化的表象，但其实质仍然是以个人属性为支撑。虽然在某些犯罪中，我们承认超个人法益的存在，但在现代社会，对超个人法益的认定仍应当加以严格限制，以防止犯罪的无限扩张。