侵犯公民個人信息罪情節嚴重的法教義學闡釋

周文閣

一、問題的提出

數據信息化發展至今危機頻發，無論是人工智能的應用限度，抑或是個人信息的泄露濫用問題。信息泄露的危機更像是環境污染中的潘多拉魔盒，當公民的個人信息進入信息共享池時，其所產生的危害早已不是泄露者或是持有人可以預測估計的。在最高人民法院統計報告中顯示，6.32%的網絡詐騙案件是獲取公民個人信息后實施的針對性詐騙。[1]中華人民共和國最高人民法院：《涉信息網絡犯罪特點和趨勢司法大數據專題報告》https://www.court.gov.cn/fabuxiangqing-368121.html，2022 年8 月4 日訪問。而由侵犯個人信息所間接衍生的案件更是不計其數。由此，個人信息保護成為刑法無法回避并且亟待解決的難題。在保護個人信息目的的驅動下，相繼出臺了《刑法修正案（七）》《刑法修正案（九）》以及2017 年出臺的司法解釋，在立法上不斷增強對侵犯個人信息行為的懲處力度。而這一系列的立法修法活動均是在本罪最為重要的前置法——《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）尚未出臺時完成的。[2]參見付玉明：《立法控制與司法平衡：積極刑法觀下的刑法修正》，《當代法學》2021 年第5 期，第22 頁?；诒咀锓ǘǚ傅奶厥鈱傩?，前置法規的相關規定是判定本罪罪與非罪的重要參考依據。那么，在新法《個人信息保護法》出臺的背景下，針對于新舊法之間的沖突，以維護法秩序的統一性，刑法中法定犯的規定必然要與相應法律規范的變化相統一，本文立足于《個人信息保護法》的新規視角，旨在對本罪“情節嚴重”的標準確定問題加以更正。

二、對“情節嚴重”確定問題的現狀考察

（一）現行《刑法》及《解釋》的規定

現行《中華人民共和國刑法》（以下簡稱《刑法》）對于本罪罪狀描述甚少，其中“違反國家有關規定”的表述規定被學界通說認為本罪為法定犯，且為空白罪狀的性質屬性，故需通過其他法律法規的規定加以適用。故而，關于本罪的“情節嚴重”標準問題，《刑法》規范本身未有涉及。而在2017 年最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）中，則對本罪的“情節嚴重”問題做出了詳細的規定?！督忉尅分胁捎昧司唧w列舉情形和兜底規定的方式，大致可以將《解釋》所規定的“情節嚴重”分為以下四類：一是信息與其他犯罪活動相關聯的；二是信息量數額較大的；三是違法所得數額較大的；四是特殊主體的加重情形?！督忉尅穼駛€人信息進行了兩種維度的突出，一是重要性層級，二是信息用途?！督忉尅犯鼜娬{的是對用于犯罪活動而侵犯公民個人信息行為的打擊，而對于其他用途的個人信息侵犯行為則采取了較為緩和的態度。

（二）《個人信息保護法》的創新性發展

1.《個人信息保護法》適用的正當性根據。侵犯公民個人信息罪中關于“違反國家有關規定”的表述，實為本罪法定犯與空白罪狀屬性的確定，《刑法》對于本罪各構成要件表述簡潔，故亟待借助其他法律法規方可使本罪要件具體化。關于“違反國家有關規定”的范圍界定，學界眾說紛紜，有的學者認為此處“有關”是對以往“違反國家規定”的細化表述，實質上應當是“違反國家規定”。[3]參見胡江：《侵犯公民個人信息罪中“違反國家有關規定”的限縮解釋——兼對侵犯個人信息刑事案件法律適用司法解釋第2 條之質疑》，《政治與法律》2017 年第11 期，第38 頁。通說認為“國家有關規定”應當與《刑法》第96 條的規定一脈相承，即僅限于法律、行政法規的規定，而不包含部門規章、地方性法規的相關內容。[4]參見韓嘯、張光順：《侵犯公民個人信息罪犯罪對象研究》，《河北法學》2021 年第10 期，第196 頁。根據罪行法定原則與刑法體系性原則，總則的規定對分則所認定的具體不法行為的類型化具有總體上的指導意義，而對分則具體構成要件同樣存在總體上的規范意義，在這一原則的支撐下，本罪中“違反國家有關規定”便需要遵循刑法總則的規定，將“有關”二字視為修飾性的限定詞語。在通說觀點以及刑法體系化的支持下，《個人信息保護法》作為狹義的法律，由全國人民代表大會常務委員會頒布，當然地屬于《刑法》第96 條中“國家有關規定”涵攝的范圍之內，故其具有處理侵犯公民個人信息行為的適用正當性，可以成為本罪“情節嚴重”的再確定之依據。此外，有學者指出《解釋》對“違反國家有關規定”的理解與《刑法》第96 條存在偏差，故其中相關內容不當地擴大了前置法的適用范圍，不免有違反罪行法定原則之嫌，而將《個人信息保護法》作為本罪前置法以糾正《解釋》具有憲法與刑法雙重意義上的正當性根據。[5]前引[3]，胡江文，第39 頁。

2.《個人信息保護法》對“情節嚴重”問題的突破?？v觀新出臺的《個人信息保護法》，其中規定與《刑法》和《解釋》的內容大不相同，更具前沿性、創新性，進一步擴張了個人信息的保護范圍，全面規定了公民個人在信息處理中的權利，對個人信息處理者的保護義務加以強化，對敏感個人信息的嚴格保護規則等。[6]王利明、丁曉東：《論〈個人信息保護法〉的亮點、特色與適用》，《法學家》2021 年第6 期，第1 頁。對于侵犯公民個人信息行為的法律責任，則偏重于施以非刑罰措施，如罰款、禁止令、失信公示等，而對行為人的刑事責任追究則置于規范的末尾，且規定較為簡略。在《個人信息保護法》中鮮見關于本罪“情節嚴重”的直接性規定而是以適用相關刑事法律為兜底。盡管如此，但《個人信息保護法》對個人信息保護范圍以及信息區分的創新對刑法及相關解釋的規定仍具有實質意義的參考價值，其體現的是立法者對個人信息保護類型及層級的新趨向。例如，《個人信息保護法》對“敏感個人信息”的單章規定，正是先前制定法對敏感個人信息保護匱乏的體現。此外，對于個人信息的界定、未成年人信息保護以及信息的去識別化等問題的規定也具有相當程度的突破性。在作為侵犯公民個人信息罪最為重要且直接的前置法規具有如此開創性的背景下，如繼續沿用《解釋》等法規的規定則形成了法律適用之間的沖突與矛盾、造成法秩序內部的混亂無序，更無法形成對公民個人信息的有效保護。

三、《解釋》對“情節嚴重”規定問題的不足

基于本罪空白罪狀的特殊屬性，對本罪構成要件的基本規定主要集中于《解釋》中，故本文所研究的主要問題是《解釋》與其他國家有關規定即《個人信息保護法》的適用銜接問題。

（一）《解釋》與“國家有關規定”的銜接不暢

法的滯后性與社會生活的發展之間的不平衡問題，始終是法學研究與法律適用所面臨的重要難題，而滯后性帶來的衍生問題便是刑法與相關法之間的協調問題，由此擾亂法秩序的統一性。在本罪為空白罪狀的前提下，這種前置法之間的沖突直接影響到了本罪構成要件的判斷問題，進而產生諸多司法適用難題?，F行《解釋》是依據2016 年的《網絡安全法》所制定的，舊法的滯后不僅與現實社會生活產生錯位，同時與其他“國家有關規定”的內容出現了銜接偏差。以《個人信息保護法》為例，二者對于本罪的保護信息層級區分存在較大出入。

《解釋》大致將個人信息的保護層次分為三類，規定了不同數量作為“情節嚴重”的定性標準。信息保護層級的不同意味著法益保護的迫切性程度不同，進而決定了入罪標準的差異。其中，《解釋》對于“行蹤軌跡信息”尤為重視，將其置于首位予以保護。同時，羅列了四類可稱為“第一檔保護信息”——行蹤軌跡信息、通信內容、征信信息和財產信息?！暗诙n保護信息”采用具體列舉加兜底性描述——住宿信息、通訊記錄、健康生理信息、交易信息以及其他可能影響人身、財產安全的公民個人信息?！暗谌龣n保護信息”則更為寬泛，即為一二檔以外的其他公民個人信息。

這一系列的規定與《個人信息保護法》所側重的內容相異甚遠，而作為《刑法》和《解釋》的適用來源，《個人信息保護法》的規范內容的參考價值舉足輕重。故而，應當及時協調三者規制行為范圍上的差異。

在《個人信息保護法》中，單列“敏感個人信息”一章，并且在后文中的個人信息保護措施中，突出強調了敏感個人信息的特別地位。在分析現行法規的基礎上，筆者認為，在《個人信息保護法》的立法精神中，凸顯了敏感個人信息作為公民最重要的個人信息之地位，并將其置于相關法領域的關鍵位置，可相當于《解釋》中處于第一位階的個人信息?！秱€人信息保護法》采用了列舉加兜底的規定方式，列舉了七類敏感個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡，以及不滿十四周歲的未成年人的個人信息。在《解釋》中尤為重視的“行蹤軌跡信息”在《個人信息保護法》中雖同列為敏感個人信息，但并未加以突出強調甚至列為末位。同時，諸如生物識別、宗教信仰、醫療健康信息等在《解釋》中處于后次序信息保護地位，卻在《個人信息保護法》中處于前序位次。這一問題乃是時代變遷所引發的具體法益保護次序的變更，如人工智能技術與人臉識別技術的發展，生物識別信息正以前所未有的速度一躍成為極具識別性的公民個人信息，侵犯此類信息進而會引發公民財產損失、人格名譽受損等“次生災害”問題，甚至引發信息安全問題的擔憂。

無獨有偶，諸如此類的現象并非孤例，《解釋》更多地著眼于當時的背景，即電信詐騙、網絡詐騙的猖獗而特別規制了與公民財產相關的個人信息，而當時生物識別尤其是人臉識別技術尚未普及，并且伴隨著新冠肺炎疫情的蔓延發展，生理健康信息對公民的信息安全愈加重要，而此類問題是以往《解釋》及相關前置法所無法預見并予以回應的。顯而易見，《解釋》與《個人信息保護法》之間產生了銜接不暢、內容沖突的問題。

（二）缺乏法定的出罪機制

刑法規范與刑事司法始終在保障人權與保護法益的天平中保持平衡，然則各罪均有其特殊之處，一味強調保護法益則會走向嚴刑峻法的極端。

誠然，《刑法》對侵犯個人信息的行為施以嚴懲既是對公民信息安全的保護也是預防衍生犯罪的利器，然而刑法的謙抑性同樣是其不可回避的原則，謙抑性要求刑法保持克制審慎的態度，要求刑法作為維護社會秩序和公民安全的最后手段。這一點也是現代社會發展所必需的，現代社會呈現出風險社會的特征，行為總是風險與利益并存，過度保護個人信息、為信息交換共通設定一系列的桎梏，只會導致發展的遲滯以及對公民自由權利的禁錮?，F行《刑法》及《解釋》多為明確本罪入罪條件，在本罪的諸項構成要件中，“非法獲取、利用”等行為方式尚有爭論之處，而最為淺顯易懂的當屬本罪關于數量的要求，而這導致了在司法實踐中產生了唯數字論的結果主義傾向，司法人員則大大降低了對本罪保護法益的關注程度，而對許多存疑行為則不問由來地入罪化處理。由于本罪的法定犯屬性，侵犯公民個人信息的行為既可能觸犯行政法規成為行政違法，同時又與刑事犯罪相近受到刑法規制，在此類問題中便會出現行刑銜接不暢的現象，其后果或是以行代刑，或是刑罰的虛置，而更多案件的處理結果往往是前者。此外，《解釋》將受過行政處罰作為本罪成立要件的規定更加劇了入罪寬泛的問題。

要厘清罪與非罪的邊界，首先要追溯本罪的保護法益究竟為何，對嚴重侵犯法益的行為進行入罪規制。學界關于本罪保護法益的爭論紛紛，總體上可以將其分為超個人法益與個人法益之爭。超個人法益由于過度強調集體一元論進而容易導致刑法壓制個人的極端而被學界主流所拋棄，目前較為主流的觀點是個人法益說，其中又分為隱私權說、個人信息自決權說、基本權利說、人格權說四類。[7]參見張明楷：《刑法學》，法律出版社2021 年版；曲新久：《論侵犯公民個人信息犯罪的超個人法益屬性》，《人民檢察》2015 年第11 期;劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權——以刑民一體化及〈民法總則〉第111條為視角》，《浙江工商大學學報》2019 年第5 期；敬力嘉：《大數據環境下侵犯公民個人信息罪法益的應然轉向》，《法學評論》2018 年第2 期；參見冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，《中國法學》2019 年第4 期。

隱私權說似乎與個人信息保護密切相關，但在當今信息化時代背景下，如若僅對于可稱為“隱私”的公民個人信息予以保護，則保護面過于狹窄。隱私信息著重于保護個人的私密空間，而個人信息側重于識別。[8]參見趙龍：《個人信息權法益確證及其場景化實踐規則》，《北京理工大學學報》（社會科學版）2021 年第5 期，第170 頁。由此可知，二者并非同等概念，將侵犯公民個人信息罪之法益定義為隱私權并不恰當?；緳嗬f多見于國際條約和區域性條約，其主張個人信息是個人基本權利和自由的客體，而基本權利這一概念見于憲法，地位尤為重要。個人信息權為近年來新興權利類型，與基本權利的一貫性存在一定脫節，將其作為一項基本權利具有明顯的邏輯悖論和法理欠缺性。[9]同上文。而人格權說，產生于對隱私權說的批駁，主張該學說的學者認為個人信息權具有強烈的具體人格權屬性，個人對自己的形象信息具有控制權，且因很多個人信息并非基于財產利用的目的而排除了財產權的屬性。[10]參見冀洋：《法益自決權與侵犯公民個人信息罪的司法邊界》，《中國法學》2019 年第4 期，第72 頁。個人信息自決權說，則更鮮明地體現了個人信息的識別性之屬性，同時兼具個人信息的人格權屬性和財產權屬性。再者，《個人信息保護法》中新增的權利就是以個人對信息的處理權為基礎，更強調對個人信息的自決。[11]前引[6]，王利明、丁曉東文，第6 頁。故而，筆者認為應當參照《個人信息保護法》的規范表述，將侵犯公民個人信息罪之法益確定為個人信息自決權較為合理，既符合個人信息與公民人格緊密聯系的特點，也涵蓋其財產利用價值，更是新法所傾向的個人信息權利的屬性。

基于個人信息自決權之權利屬性，所謂“自決”即可自我決定權利的行使、放棄，對公民自決知情同意的信息處理便不應作為本罪的規制范圍，此外收集公民主動公開的個人信息的行為也應當做無罪化處理。

（三）《解釋》對要素的混淆

在《解釋》的第5 條中，明確規定“曾因侵犯公民個人信息受過刑事處罰或者二年內受過行政處罰，又非法獲取、出售或者提供公民個人信息的”為本罪“情節嚴重”的情形之一。是否受過刑事處罰，通常情況下，是對行為人再犯可能性以及人身危險性等特殊預防的考量因素，歸屬于預防要素的內容。[12]參見張明楷：《刑法的基本立場》，商務印書館2019 年版，第288 頁。而在《解釋》中，卻將其作為了本罪成立的要件，這雖然是出于立法者嚴厲打擊侵犯公民個人信息行為的積極態度，但實則是將刑法中各階段的不同要素進行混淆，尤其是對于犯罪成立要素與預防要素的混淆。依據犯罪論體系，行為只有在經過了構成要件符合性、違法性和有責性的階層性審查才能認定其成立犯罪，進而針對行為的預防必要，究竟是否為累犯或者是否存在加重、減輕情節，都應當在后期的刑罰裁量階段予以特殊考量。而《解釋》卻忽略了這一點，將犯罪成立要素與預防要素相混淆。再者，對于“受過行政處罰”的表述僅有兩年的限制卻并未附加種類或者程度的限定，而根據我國行政法規之規定行政處罰的種類多種多樣，其背后根據的是行為人行政違法程度的不同，以“受過行政處罰”一言概之的不法性判斷過于武斷，容易導致以刑代行的困境。以《解釋》如此的含糊籠統的入罪方式，會使得眾多經營互聯網信息企業者過于輕易地被科以刑罰，實則是模糊了行政處罰與刑罰適用的界限。之所以出現如上問題，其本質在于本罪的法定犯屬性，受到國家其他法律規定與刑法的雙重規制，進而出現的對不法行為的“定性”與“定量”問題的混淆。

四、對“情節嚴重”標準的再確定

（一）立法上調整“情節嚴重”之標準

基于《個人信息保護法》對個人信息保護類型、層級等均進行了大幅調整的背景，筆者認為刑法及司法解釋的規定也需要為維護法秩序的統一性而做出相應的改變。

1.重新劃分個人信息的保護層級。根據《個人信息保護法》規定之要旨，其特別強調了敏感個人信息現處于第一保護層級，那么刑法及相關《解釋》的優先保護順位亦須調整，擴充個人信息的保護種類，將對敏感個人信息的保護置于最為優先之層級。筆者認為應當將六類公民敏感個人信息并列為第一檔保護信息，統一侵犯此類個人信息的入罪數量標準——以非法獲取、出售五十條此類信息為“情節嚴重”的起點。[13]此六類個人信息為生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡。對于敏感個人信息以外的其他能夠產生“識別性”的自然人個人信息歸于第二層級的保護順位，適用非法獲取出售五百條的數量標準。最后，對于其他個人信息適用兜底規定的五千條數量標準。由此，既凸顯了信息的分層保護也有利于維護法秩序的統一性。

2.對未成年人個人信息的重點保護。盡管未成年人能夠支配并使用的財產量有限，但互聯網深入發展至社會各方面，未成年人對互聯網的使用能力已不遜色于成年人，如何在光怪陸離的互聯網世界中保護未成年人的個人信息以及其人格、財產成為研究的焦點。國家互聯網信息辦公室出臺了一系列舉措以期保護未成年人身心健康，《個人信息保護法》中著重強調了未成年人個人信息的特殊地位——將不滿十四周歲的未成年人的個人信息列為敏感個人信息，而這一點恰恰是《刑法》及《解釋》所欠缺的。近年來，無論是刑事責任年齡的降低還是強奸罪、負有照護職責人員性侵罪相關構成要件的更定，均體現著刑法領域對未成年人保護問題的關注，那么在個人信息的刑法保護范疇也應當偏重未成年人信息保護。未成年人的發展期較之成年人更為長久，侵犯此類人群個人信息的危害后果的持續性危害則隨之增長。未成年人個人信息承載著未成年人個人利益、父母的親權利益等不同的法益內涵，未成年人主體缺乏相應的風險識別與承擔能力，認識到未成年人個人信息的特殊屬性，刑法即須對此予以特別回應。[14]參見孫躍元：《未成年人個人信息保護中監護人同意規則的檢視與完善》，《華南師范大學學報》（社會科學版）2023 年第1 期，第152 頁。

《個人信息保護法》中單列不滿十四周歲未成年人的個人信息但卻未表明其保護范圍，如若將此類主體的所有個人信息均視為敏感個人信息統一嚴格保護似乎并不符合現實的情況，特別是將侵犯此類信息行為入罪則應當秉持更加審慎的態度，畢竟《刑法》規制的并非是所有的不軌行為。刑法對不法行為的規制必須在遵循憲法的比例原則的前提下進行，所謂比例原則即要求對行為的規制須符合相當性、合目的性以及有效性，憲法中的比例原則同時也是刑法中法益保護原則的內核。本文認為，對于侵犯未成年人個人信息的刑法規制，須限制其個人信息的保護范圍——保護信息種類同上述第一檔保護信息之范圍，但出于對未成年人的特殊保護，在信息數量上則取消限制性要求——凡非法獲取、出售不滿十四周歲未成年人六類敏感信息的行為均成立本罪。

3.互聯網主體的特殊保護義務。無論是《解釋》還是《個人信息保護法》均規定了特定主體的保護義務，這是基于現代互聯網發展特點而規定的。少數的互聯網公司巨頭壟斷了絕大多數的互聯網領域，他們所掌握的公民個人信息之量難以計數并且有時是隱秘地獲取，一旦發生侵犯個人信息的時間所產生的后果會遠超于一般主體的泄露行為。那么，賦予互聯網服務提供者一定的特殊保護義務成為保護公民個人信息的重要路徑。而在《解釋》中，以“履行職責或提供服務”為描述規定了特定主體的義務。筆者認為，此表述過于籠統、寬泛，應予以細化分類?！奥男新氊熁蛱峁┓铡钡默F實主體同樣存在，眾多實體企業設定了許多類似“會員制”“線上線下同步”的服務模式，其中也存在收集公民個人信息的行為，但它們所掌握的信息量和主體類型均限定于特定的范圍，與互聯網企業所掌控的體量完全不相稱。其次，這種“履行職責、提供服務”應當是與信息搜集具有緊密聯系的，也即以收集大量信息作為服務基礎，具有較高信息泄露、濫用危險性的服務主體。對提供服務履行職責的主體根據它們侵犯公民信息的危害性進行類型化區分——分為互聯網企業、大型實體企業和小微型實體企業。按照類型而施以不同程度的規制措施，對于互聯網企業的特定義務最為嚴苛，設定“守門人”義務——包括與國家互聯網管理相對應的行政法上的義務也涵蓋與自然人個人信息保護權益相對應的義務。[15]參見張新寶：《互聯網生態“守門人”個人信息保護特別義務設置研究》，《比較法研究》2021 年第3 期，第22-23 頁。對于大型實體企業的義務限定為法定積極作為義務，即以相關法律法規為行為標準，積極保護公民個人信息不受侵犯。對于小微型實體企業，其收集公民個人信息之范圍有限，故而其潛在的侵犯信息危險程度較低，并且其內部實際上為自然人共同體的犯罪，可以參照一般自然人主體，不作為特定義務主體加重處罰，以顯示對特殊主體的特別處罰機制。

4.調整“數次侵犯個人信息”的定位。如前所述，《解釋》將數次侵犯公民個人信息行為的定性為情節嚴重是對犯罪成立要素與刑罰預防要素的混淆，并且不當地擴大了對于受過行政處罰者入罪的范圍。那么，在未來的司法解釋規定中，應當對這一問題進行糾正，可以適當改變“數次侵犯公民個人信息”的定位，將其從犯罪成立要件轉移至刑罰適用條件之中，作為裁量刑罰輕重的要素之一，并且對行政處罰歷史不應當作為“應當”的加重處罰要件，以明晰行政處罰與刑罰的界限、避免不當入刑。本文認為應當排除對受過行政處罰行為再犯行為的入罪，將其排除在情節嚴重的范疇之外，以達到刑法謙抑主義以及罪刑法定原則的目的。而對于“受過刑事處罰”的行為人，其刑事處罰如符合累犯成立要件即按照法律規定的累犯情節處理，如不符合累犯成立要件則作為酌定量刑情節予以考量。同時對于數次侵犯個人信息行為人的刑罰處罰或并不能降低其再犯可能性，據此應當著力于從業禁止等非刑罰處罰措施以限制其行為可能性。

（二）為本罪設置合理的出罪路徑

信息之特殊屬性——個人屬性與社會屬性之沖突平衡，是權衡相關行為是否需入罪處理的疑難之處，出于信息的利用性特性，過于嚴苛的保護標準會導致信息流通中產生阻塞，從而不利于交流互動和發展共享，進而使公民日常生活的便利性大打折扣。雖然本罪為情節犯，以“情節嚴重”作為入罪標準已經在入罪門檻上進行了限制，但由于前置法內容規定的差異、罪量要素的歸類錯誤、保護法益的爭議等問題，本罪在司法適用過程中仍存在擴大化傾向。刑法對公民日常生活之介入干預也應當以必要性、適正性為基準，謹防唯數量論的結果主義機械傾向，以法益保護主義的立場對于授權收集、使用行為進行除罪化。

1.權利人知情同意的適用。根據上文所述，本罪所保護的法益應當是個人信息自決權，那么對于收集處理公民知情同意并且授權的信息的行為不宜作入罪處理，這便是“權利人知情同意”原則的運用。學界通說認為權利人知情同意原則始源于刑法上的違法性阻卻事由——被害人承諾的理論，而被害人承諾的適用則要求被害人承諾的是能夠處分的個人法益、被害人具有承諾能力、承諾是出于承諾者內心自由的意思決定、從外部能夠認識到被害人存在承諾以及承諾于行為時五個要件。[16]參見陳家林：《外國刑法理論的思潮與流變》，中國人民公安大學出版社2017 年版，第335-340 頁。而在本罪中，被害人承諾則具體體現為權利人明知其授權的信息以及授權所使用的用途范圍。故而，當符合此二條要件時即權利人自行公開的個人信息應推定為權利人知情同意被收集。但是，正如被害人同意無法阻卻所有不法行為的違法性一樣，知情同意原則的除罪適用也存在相應的限制。適用知情同意作為收集處理公民個人信息的違法性阻卻事由需以明確顯著的方式告知權利人并獲得權利人的明示同意。獲得信息相關人的知情同意應當以明確、具體為判斷依據，而不可以簡單的知情同意條款為出罪理由。另外，未成年人尤其是不滿十四周歲的未成年人由于其不具有被害人承諾所要求的承諾能力，其個人信息的知情同意應當由其法定監護人授權，未經監護人以明確具體方式知情授權的，不應適用知情同意的出罪事由。并且，出于對未成年人敏感個人信息的家長主義保護模式，即使未成年人及其法定監護人對未成年人敏感個人信息知情同意授權使用，仍然推定為承諾無效，即作為不得適用被害人承諾的情形之一。

2.情境脈絡的判斷。目前司法領域中確定何為“情節嚴重”出現了“唯數量論”的情況——或以非法獲取、出售的公民個人信息數量為標準，或以行為人違法所得的數額為標準，而不問本罪法益，司法適用僵化的問題突出。然而，在現代互聯網的應用過程中，海量獲取公民個人信息成為常見現象，任何入刑案件所侵犯的個人信息從數量標準看來均是不可計數。此外“爬蟲軟件”的出現使得一鍵獲取信息變得十分簡單，如何確定“非法獲取、提供”的“非法性”成為界定此類灰色地帶的性質的標準。此處，引入“情境脈絡完整性”理論用以甄別是否為非法獲取、提供、使用公民個人信息以區分罪與非罪。所謂“情境脈絡完整性”理論是指當個人信息在不同的信息主體間流轉時，不同情境脈絡應當適配特定的信息規范。個人信息原始收集時的具體語境應當得到尊重，其后續傳播及利用不得超過原初的情境脈絡，其處理是否合理，取決于引發的影響能否為用戶所接受，也即是否符合用戶的合理預期。[17]參見張憶然：《大數據時代“個人信息”的權利變遷與刑法保護的教義學限縮》，《政治與法律》2020 年第6 期，第60 頁。信息收集者對于信息的處理路徑若符合用戶的認知預期，則排除其違法性，反之則成為“非法獲取”的涵蓋情形。在具體案件中應當“具體問題具體分析”，運用“情境脈絡”理論確定行為是否屬于“非法獲取”。此外，對知情同意的授權范圍也需要以情境脈絡理論為支撐，對于不符合授權使用用途、超出情境脈絡流向的行為不可適用出罪化事由。情境脈絡理論的運用實際上是以法益保護原則為根據的，本罪的保護法益為公民的個人信息權，侵犯法益的行為是成立犯罪最基本的前提，反之未侵犯具體法益的行為則不能為刑法所規制。個人信息權核心即為公民個人對其信息的處理權利，其中授權他者為自身利益所提供的信息，只要能夠符合信息權人的利益和權利并且未對其個人信息權的行使產生不利后果的，均不應當將之視為具有“非法性”。從這個意義上，可以說情境脈絡理論與知情同意原則是一體兩面的，均是在法益保護原則與被害人承諾理論的分支之下，對于符合信息權人知情與預期的信息利用行為，其二者的區別在于信息的流轉進程的不同。

五、結語

互聯網應用帶來各領域的巨變，經濟發展進入數字經濟時代，法治領域的相關制度規定也應當因時而異、與時俱進?！督忉尅匪罁摹毒W絡安全法》之規定已然不符合時代發展的進程，而新出臺頒布的《個人信息保護法》作為本罪最為直接關聯的前置法，為《刑法》及《解釋》的內容調整提供契機。公民個人信息泄露事件層出不窮，引發的不僅是單個個體的人格和財產損失，更將是群體對于信息安全的不安感。對侵犯個人信息行為的刑法治理是對衍生犯罪的源頭治理，而刑法謙抑審慎的特性必將限制對于一切有損公民個人信息安全行為的懲治力度，情節犯的標準成為信息利用與信息濫用的分界點。

在法秩序統一性的視野下，《解釋》應當及時調整對個人信息的保護層級與保護類型次序，突出優先保護敏感個人信息、關注未成年人信息保護，同時區分特殊主體的保護義務、嚴格要求互聯網信息主體的安全保障義務，最后為本罪設置合理的出罪化路徑——知情同意原則與情境脈絡考察，以達到信息利用的平衡。刑罰不是唯一的治理方法，懲罰也無法根本性地消除犯罪與不法，最終需要利用多重手段綜合治理以達到信息保護與利用的和諧狀態。