大數據時代刑法介入公民個人信息保護的視域限縮

王 菲

（武漢大學，湖北 武漢 430072）

一、問題的提出

大數據時代，隨著計算機運算能力日趨成熟，在此背景下的數據以人類無法想象的速度成為個人、企業、國家據以預測和決策的基礎與依據。然而，因公民個人信息的易受侵害性和侵犯公民個人信息犯罪活動的隱蔽性和集體侵權特征，公民個人信息的風險空前劇增①參見楊錦璈、賈曉千：《侵犯公民個人信息案件偵查與防范研究》，載《湖南警察學院學報》2021 年第6 期，第37 頁。。為此，具有強大威懾力的刑法采取的積極介入立場與客觀治理需要相契合②參見富麗莉：《權力結構失衡視角下的公民個人信息保護機制研究——以信息屬性的變遷為出發點》，載《國際新聞界》2019 年第12 期，第71 頁。，但此種飲鴆止渴的重刑主義思想卻難以持久。隨著時間推移，刑法威懾功能減弱，持續走高的犯罪數量更是暴露了此種積極主義刑法觀在深層次上的定性不清問題。面對個人信息保護和個人信息利用二重法益的動態平衡對抗，應當對刑法在公民個人信息保護上的視域進行合理界定，謹防因重刑主義抑制市場活力，阻礙我國與全球化視野下的國際刑法進行銜接。

二、刑法介入公民個人信息保護的現狀

（一）刑法介入個人信息保護的背景

事物的認知起源于其定性，對刑法意義上的公民個人信息的范圍加以認定，是保護的前提。判例中常存在將侵害公民個人信息犯罪與財產犯罪、人身犯罪概念混淆的問題，正是來源于其概念界定不明?！蹲罡呷嗣穹ㄔ?、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第 1 條對公民個人信息范圍采用了不完全列舉的方式。刑法理論界對公民個人信息范圍的界定主要存在兩種形式：一是列舉式，即如上述法律規定一樣列舉包括姓名等一般普遍認可的公民個人信息；二是概括式，其又包含三種觀點。一種觀點認為個人信息包括一切可識別個人的信息；另一種觀點認為信息具有隱私性，犯罪處罰取決于對個人信息隱私的侵害及其程度；第三種觀點認為公民個人信息是能直接指明或間接推斷出公民個人身份的信息③參見張輝：《大數據時代公民個人信息保護模式研究與啟示》，載《網絡安全技術與應用》2021 年第6 期，第59 頁。。除第二種觀點違背刑法客觀主義，以法律后果區分犯罪外，其他兩種對個人信息的定性都存在其合理性，其核心是以個人信息是否具有可識別具體個人的能力作為區分標準，概括式觀點背后的底層邏輯存在偏差，其認為正因為個人信息可以識別具體個人，能夠影響具體個人，因而犯罪人可以對具體個人實施具體的人身或財產犯罪行為，由此而具有打擊的必要性。實質上，此時的個人信息犯罪屬于人身犯罪和財產犯罪的手段行為，能否數罪并罰，仍需要進行實質上的法益侵害認定。在刑法領域，只有具有實質法益侵害的違法行為才應當認定為犯罪行為。如果僅僅只是行政違法的行為，則不能升格認定為刑事犯罪行為而予以刑罰，此為法律的階層性所決定。

1.公民個人信息泄露頻繁

面對大數據檢索處于全面弱勢地位的公民，所享有的個人信息在大數據時代面臨前所未有的危機。2020 年以來，公安機關累計偵破案件3.6 萬起，抓獲犯罪嫌疑人6.4 萬名④《重拳出擊保護公民個人信息安全》，載《人民公安報》2023 年8 月11 日，第3 版。。2020 年，全國檢察機關起訴侵犯公民個人信息犯罪6000 余人，2021 年起訴人數攀升至9800余人，2022 年起訴9300 余人，近三成被告人被判處三年以上有期徒刑⑤《依法嚴懲侵犯公民個人信息犯罪 2022 年檢察機關起訴9300 余人》，載中華人民共和國最高人民檢察院網上辦公廳，https：//www.spp.gov.cn/spp/xwfbh/wsfbh/202303/t20230302_605284.shtml，2023 年4 月20 日訪問。。即使是擁有一定數據控制能力和自我保護能力的互聯網公司，在大數據時代仍有受損的風險。Facebook 被曝出8700 多萬用戶數據泄露，此事曾一度視為Facebook 有史以來遭遇的最大型數據泄露事件；暗網市場上雙旗曾拋售從數家中國互聯網公司包括騰訊等盜取的大量數據，數據條數達到10 億以上⑥《騰訊安全發布信息泄露報告：暗網成信息販賣主要渠道》，載澎湃新聞網，https：//www.thepaper.cn/newsDetail_forward_2861325，2023 年5 月21 日訪問。。不同于互聯網平臺作為數據保管者的強勢身份，作為損失最終承擔者的廣大公民，處于數據被盜用者和利益損失者的雙重不利地位，由此產生極度不滿情緒，反映在立法上便是尋求更多更深度的刑事立法救濟，“亂世用重典”，這是一般的社會公眾條件反射式的心理狀態。

2.個人信息侵犯主體多元化、范圍擴大化

在我國個人信息保護的過程中往往對企業苛以義務，卻存在忽略對政府規制的立法傾向。在公共數據使用不充分的大語境下，政府部門也存在侵犯公民個人信息的情況，包括政府部門的人為疏忽，違背政府信息公開的審查把關義務，暴露了審查機制的缺失和漏洞⑦參見袁康：《公共數據治理中的政府角色與行為邊界》，載《江漢論壇》2020 年第5 期，第120 頁。。如安徽、江西曾出現的基層政府官方網站公開公民隱私信息的情形或工作人員非法販賣政務信息中包含的公民隱私等⑧《 部分政府網站泄露個人信息 專家稱將損害政府信用》， 載中國新聞網，https：//www.sohu.com/a/204157869_123753，2023 年5 月13 日訪問。。面對侵犯個人信息主體的多元化、范圍的逐步擴大化，刑法只有以積極的角色介入公民個人信息保護的過程中，才更有助于彌補這種審查機制的漏洞，發揮司法機關的主動調查權，從而利用公權力對抗公權力，對多元主體進行問責。

（二）刑法介入公民信息保護的不足

1.法律適用界定不清。我國刑法對公民個人信息的保護，采用“直接+間接”的模式。直接保護指直接性、針對性地保護公民個人信息，間接保護則是指通過懲處打擊侵犯公民個人信息的相關犯罪，從而實現對公民個人信息的保護。司法實踐中，幾乎不存在單獨侵犯公民個人信息的犯罪行為，大多數非法獲取公民個人信息的行為呈現預備性，如為實施電信詐騙而竊取、購買、非法獲取個人信息的行為，此時對于非法出售、提供個人信息的行為是認定侵犯公民個人信息罪，還是認定電信詐騙犯罪的共犯在司法實踐中存在極大爭議；若為實施犯罪而獲取公民個人信息后卻未實施預謀犯罪，罪名及罪數又應如何認定，更是司法實踐疑難之處。此外，對于相當部分并未達到刑法保護范圍的侵犯公民個人信息行為的，卻應嚴厲打擊的立場被納入刑法規制范圍，這有違罪刑法定原則，不免過于嚴苛。

2.法律保護效果不佳。從司法實踐看，刑法修正案對公民個人信息犯罪的加強打擊，包括凈網行動的開展都沒能完全遏制住我國侵犯公民個人信息犯罪的肆虐態勢，反而呈現愈演愈烈的趨勢。目前我國公民個人信息保護中存在偏重刑法而忽視民商事法律的現象，重在“打擊”而非“保護”。在公民個人信息遭受侵害時，刑法對犯罪人的打擊除了報復主義外并無裨益，“民事確權”和“民事賠償”“民事補償”的缺位，導致信息主體的財產及非財產損失均無法得到彌合，造成實踐中大部分公民索性放棄此部分權利。他們并不關心自己個人信息的泄露，具體表現在大多數公民在閱讀各大平臺的隱私條款時往往采取輕率隨意的態度；面對為自己的個人信息泄露而據理力爭的公民時，也秉持一種敬意，因為大多數公民并沒有此種確權意識。這也正緣于我國刑法越位管理，將本該由民商事法律規范并在民商事領域得到規制的行為納入刑法懲罰的范圍，反而造成僅產生打擊效果，而法益保護缺位的局面。

3.法律缺乏可操作性。我國刑法雖然在侵犯公民人身權利犯罪下規定了侵犯公民個人信息罪和非法獲取公民個人信息罪，但籠統式的表述并不足以應對實踐中的具體情形?！缎谭ㄐ拚福?九） 》就侵犯公民個人信息的行為僅作出了“出售”和“提供”的表述，沒有關注到現實犯罪中上下游的多元主體身份，也沒有注意到犯罪具體行為方式的多樣性，缺乏定罪量刑的靈活性。特別是量刑方面的不夠細致，直接導致了司法實踐中適用標準混亂，類案量刑不一的情況⑨參見葉婷：《大數據時代個人信息的刑法保護》，載《人民檢察》2022 年第21 期，第60 頁。。

此外，個人信息界定的統一標準仍處于缺位狀態。關于公民個人信息的準確界定是此類犯罪認定的起點更應當是重點。實踐中存在的各類問題根源正在于概念界定不明，然而我國刑法并未對公民個人信息作具體認定，一般認為應當參照民商法的界定。事實上，民商法領域特別是學界對此問題持續處于激烈討論中，而刑法其自身的穩定性需求遠高于私法，不能坐等民商法的理論發展，應當作出自身的具體認定，概念確定后才能統籌指導個罪的認定。

三、刑法介入公民個人信息保護的消極性

（一）刑事立法介入公民個人信息保護的消極定位

我國刑法一貫采用行政違法與刑事犯罪相區分的二元體系，區分即意味著犯罪的成立有別于違法的成立，對有社會危害性的行為，刑法并非一概零容忍，而是設置了犯罪成立的門檻⑩參見何榮功：《輕罪立法的實踐悖論與法理反思》，載《中外法學》2023 年第4 期，第945 頁。。 根據我國《刑法》第13 條但書的規定，犯罪只限于具有嚴重社會危害性的行為。落實到公民個人信息的刑法保護視域，應當認識到，公民個人信息是一個較為宏觀的概念。而就刑法所保護的個人信息范圍理論，有的學者主張不應設置界限上或者范圍上的限制。此種觀點明顯違背罪刑法定原則，不符合刑法謙抑主義立場，刑法所保護的公民個人信息范圍應該設置合理限定。就如何限定范圍，有觀點認為公民個人信息應具有可識別性，并與公民的人身權或財產權存在一定的聯系。還有觀點認為，應參照一般法的規定，民商經濟法所保護的對象則當然應當是刑法保護的對象?參見張益寧：《個人信息的刑法保護研究》，載《黑龍江省政法管理干部學院學報》第2022 年6 期，第54 頁。。此種觀點存在片面均衡的錯誤，刑法不同于其他法律的特別之處，正在于其保護范圍的狹窄性，只有具有嚴重社會危害性的行為才存在應受刑法處罰，不能將刑法與其他法律同等對待，而應當明確限定刑法所保護的公民個人信息范圍，防范刑法的不正當擴張?，F實中，因手段行為和目的行為的牽連關系，侵犯公民個人信息的行為通常與人身犯罪和財產犯罪相關聯，而且通常以手段行為的形式存在，往往目的行為才會造成法益關鍵性的損害。然而在司法實踐中，當侵犯公民個人信息犯罪和民商犯罪交叉時，司法者通常會采用數罪并罰的形式對上游犯罪統一定罪，旨在法無遺罪。形式上完全符合法律的規定，但這其實是一種實質上的罪責刑不相適應。應當認為，在判斷當事人的行為性質時將民商事法律規定納入考察范圍，法律體系化的思考方式可以為司法機關適用刑法懲治相關犯罪行為提供一定依據，形成制度合力，但不能就此認定個人信息就一定要由刑法來進行保護，刑法應當做出區別于民商事法律規范的特殊建構，只有區別化的準確界定才能在法律階層的逐級篩選中，逐步剔除不犯罪的行為，保證法律特別是刑事法律規范的打擊效用，有效保護個人信息免遭不法侵害。

（二）法益限制：信息保護與數據利用的平衡

在大數據時代，面對個人信息保護的必要性，刑法的積極回應已成為主流，然而這在一定程度上也破壞了公民個人信息保護的完整性和系統性，仍然需要采取消極回應的立場，這是以罪刑法定原則為本原的刑法謙抑性的根本要求?！盁o法益則無犯罪?！睋Q而言之，法益才是考察侵犯公民個人信息行為是否構成犯罪的關鍵環節，只有經過法益考察，才能夠將其納入刑法考察視野。目前我國刑法學界關于侵犯公民個人信息罪的保護法益主要存在四種觀點：一是公民人格權說，認為本罪保護的法益系公民的人格尊嚴與自由；二是個人信息自決權說，立足民法理論，認為本罪保護的個人法益，是信息主體所享有的依法支配、控制和排除他人對本人信息實施侵害的權利；三是信息公共安全說，認為本罪法益關注的核心是社會公共安全而非個人人身權利；四是公法法益說，認為個人信息兼具私密性與社會性，對行為對象的保護應進行區分判斷。以上幾種觀點在個人法益和社會法益中的立場動搖不定，實質正在于公民個人信息背后存在的保護和利用之間的天然矛盾。信息保護與利用是大數據時代下的兩個重要命題。信息保護的基礎是個人權利，即人身、財產權利；而信息利用是信息自由流通與產業政策的要求。兩者在基本價值及操作方式上存在沖突，是導致邊界不清晰的基本背景。大數據時代，面對極高的信息利用回報率，信息控制者具有極其強烈的利用激勵卻缺乏可預見的、同等程度的保護激勵對利用行為加以抑制，由此導致對信息利用始終占據主導，收縮性不夠。信息主體對于個人信息的利用激勵與保護激勵收縮性較強，信息利用一旦導致侵害公民個人信息，此時信息主體的保護激勵就會占據主導。利用激勵與保護激勵在信息控制者與信息主體之間的不平衡以及不同情況下信息主體的不平衡是導致信息保護與數據利用邊界不清晰的核心。具體到實踐中，在沒有明確完備的個人信息立法的背景下，我國平臺多采用自治條款規范數據利用。但是自治條款多為平臺自主制定，不同平臺由于其服務的差異性對于數據利用的范圍規定不同，同時自主性加大了邊界的模糊性?？梢哉f，目前民商經濟領域對個人信息利用和保護二者的討論仍處于極端激烈的斗爭之中，在民事立法仍未產生對二者關系的準確定性前提下，貿然將個人信息保護以法定刑較高的罪名規定于刑法中，則不得不引起警惕，刑法不能通過強制的手段過分保護個人信息而忽視了個人信息在利用過程中所能產生的巨大價值，否則將導致個人價值凌駕于社會價值之上，刑事立法所產生的負面效用遠超其正面意義。

四、刑法介入公民個人信息保護的視域限縮

（一）縱向分層治理體系的構建

要做到在刑法中的高階排除，最重要的便是要在法律體系中建構分層治理機制，將行為人利用一定范圍內的個人信息的行為排除出構成犯罪的范圍，限縮個人信息保護中刑法的視域?張旭：《侵犯公民個人信息犯罪刑事治理研究》，載《吉林大學社會科學學報》2022 年第6 期，第59-70 頁。。大數據時代的公民個人信息由個人控制轉向社會控制，使其具有社會性和公共性?呂江鴻：《跨部門法視角下中國個人信息法律保護制度研究》，載《南寧師范大學學報（哲學社會科學版）》2023年第3 期，第109-120 頁。。傳統的知情同意規則在大數據時代因個體分離的現狀而難以實現，但信息主體的自主決定權并未喪失，作為價值可判斷的資源，信息仍處于可衡量的地位，即信息具有可決定性。民事主體對其個人信息具有可自由衡量、知情同意的權利，而這種權利應當以不超越法律規定的范圍為邊界。換而言之，應以“存在非法目的”來限定侵犯公民個人信息罪的成立范圍。如此設定，才能劃清刑法與民法、行政法之間的規制范圍。對于獲得信息主體知情同意的信息在處理過程中受損：首先，信息處理者處理過程中因過錯導致信息主體權利受損的，應當承擔民事侵權責任；其次，信息處理者未按照《公民個人信息保護法》第 51 條的規定進行處理的，應當追究信息處理者的行政責任；最后，刑事法律應當作為補充性原則，構成要件的成立應當采用嚴格標準，只有嚴重侵犯公民個人信息，達到違反刑事法律的限度，以刑法處罰確有必要時，才能夠將其納入刑法考察的范圍?張明楷：《避免將行政違法認定為刑事犯罪： 理念、方法與路徑》，載《中國法學》2017 年第4 期，第51 頁。。

（二）內部多元排除規則的建立

不同于意思自治為主、行政管理為輔的民商行政法，刑法的規制對象是具有嚴重危害性的犯罪行為，刑法與其他部門法的關系并非傳統觀念上的“民商行政法先管，刑法后管”的階梯式。違反其他部門法的行為不能因為情節過重就入罪，刑法必須有自己獨立考量的規則。在通過隨機抽樣對裁判文書網近年以“侵犯公民個人信息罪”的50 個判決書中進行閱讀的前提下，大致提出如下三種規則。

第一，適用知情同意規則。我國刑法保護公民個人信息的立法基點是“基于打擊與公民信息權益相關的后續犯罪的立法考慮”?參見李源粒：《網絡個人數據安全刑法保護研究》，載《重慶郵電大學學報（社會科學版）》2015 第6 期，第45-54 頁。。換言之，我國刑法保護公民個人信息的出發點是為了防止犯罪人利用公民個人信息制造與其相關的下游犯罪；而保護則當然可以選擇放棄，若是個人信息的所有人以明示或默示的方式宣布放棄這部分刑法所預設的保護，則該信息范圍內的利用因不存在刑法所保護的對象而當然不成立犯罪。進一步而言，侵犯公民個人信息活動犯罪的被害人根本而言應當是公民個人，被害人同意規則作為超法規的免責事由在該罪中具有當然的適用空間，這也是意思自治原則在刑法領域的適用，即對財產權的設置自由，個人有權利決定其個人信息的利用方式及范圍，只要這種決定是意思自由狀態下作出的。出于刑事的事后考察屬性，應當強調這種知情同意當然是事前作出的，不同于民法可以通過事后追認的方式建立知情同意，刑法實質性的考察必須以行為發生之時作為認定犯罪成立的時間節點，否則將導致為逃避犯罪的事后彌補行為，不僅不利于刑法定罪的穩定性，而且可能產生事后鋌而走險的脅迫與強制行為。在以“侵犯公民個人信息罪”定案的50 個判決書中，存在一起被告人“利用發送禮品的方式吸引周圍居民辦理實名制手機卡，后二人為牟取非法利益，將辦理的50 張實名制手機卡以出售”?河南省高級人民法院（2021）豫15 刑終574 號刑事判決書。的案件。提供禮品的行為能否作為獲得實名制手機卡的使用權的合理對價，值得刑法考量。結合禮品的金額較低、居民辦理手機卡的動機是為了獲得免費禮品而并沒有處分自己個人信息的意圖，以及參與此種交換活動的社會群體身份基本為缺乏個人信息保護意識和個人信息泄露后果預知能力的老年人等多重角度進行考慮，應當認為此時居民未對自己的個人信息進行知情同意，交換禮品的形式并不能作為處置公民個人信息的合理對價，公民對個人信息的知情同意，在我國老齡化的背景下應當限于嚴謹的書面同意形式。

第二，可識別性規則。不同于其他部門法對個人信息認定標準的寬泛化，我國刑法基于實質違法性的標準，將犯罪行為中侵犯的公民個人信息限定于具有“可識別性”的信息。換言之，并非公民個人的一切信息都能被認定為刑法上的個人信息。關于個人信息可識別性的理論存在直接識別和間接識別兩種，前提是必須具備可識別性，目的是將單獨而言并不具有可識別性（如身高）的信息，但若與其他同等信息一同看待則整體上具有可識別性的信息納入保護范圍?參見葉小琴、趙忠東：《侵犯公民個人信息犯罪治理的經濟學分析》，載《太原理工大學學報（社會科學版）》2019 年第3 期，第29-34 頁。。但是，對于大數據時代背景所建立的陌生人社會，能夠單獨直接識別特定個人的個人信息幾乎不存在，我國司法實務的現狀也證實了這一點。在以“侵犯公民個人信息罪”定案的50個判決書中，有4起以“獲取姓名、聯系電話、地址的公民個人信息”“公民車牌信息（包含車牌、車主姓名、車主電話）”的完全歸納形式定案?廣東省高級人民法院（2021）粵02 刑終237 號刑事判決書。；29 起以“姓名、電話號碼、地址等內容的公民個人信息”的不完全歸納形式定案?江蘇省蘇州市吳中區（2021）蘇0509 刑初1632 號刑事判決書。；3 起案件僅以“侵犯公民個人信息”的形式定案，另有14 起因利用在營業廳等場所工作便利非法獲取客戶電話卡和驗證碼而認定此罪的案件?江蘇省淮安市淮安區（2021）蘇0804 刑初474 號刑事判決書。?？梢钥闯?，司法實踐中基本上全部以整體識別的形式認定成立侵犯公民個人信息犯罪，任何不具有可識別性的個人信息在與其他信息結合后均有產生可識別性的可能性，機械地區分直接與間接識別的做法并無實踐上的意義，反而導致不當擴大了刑法領域所保護的個人信息范圍。應當認為，所有的公民個人信息均不獨立受到刑法的保護，只有整體具有可識別性的個人信息才應納入刑法考量的范圍。正因如此，侵犯的個人信息只能在個案中加以認定，將其抽象概括為直接識別和間接識別不具有可操作性，還將導致理論上的混亂。

第三，情節嚴重性規則。正如上文所述，刑法在保護個人信息與民商經濟法上具有分層治理的階層性，刑法的謙抑性要求將其對侵害個人信息的行為處罰范圍限定在“嚴重”的范圍內?！缎谭ㄐ拚福ň牛穭h去了“竊取或者以其他方法非法獲取公民個人信息” 的“情節嚴重”的條件，因而有學者提出非法獲取型侵犯公民個人信息行為的入罪門檻降低?參見李振林：《非法利用個人金融信息行為之刑法規制限度》，載《法學》2017 年第2 期，第104-111 頁。。應當認為，我國刑法分則個罪仍然適用總則第13條但書的規定，對于顯著輕微的行為不應當以犯罪處理。同樣地，司法實務中基本上以行為人獲利上千元或盜取的公民個人信息上萬例為界限認定侵犯公民個人信息罪，并且存在緩刑、拘役、一年有期徒刑的刑罰適用。另外在上文提到的利用職務之便盜取客戶手機卡和驗證碼，存在用于京東、淘寶、抖音等平臺賬號的“薅羊毛”行為，即通過注冊新用戶獲取平臺現金福利的方式。其一，若是行為次數少或者獲利不大，則按照前述規則，當然不認定為犯罪。其二，對于僅用于薅平臺“羊毛”的行為，認定為本罪更多是出于刑事政策的考慮。因為平臺確實獲得了用戶量的提高，支付了應當付出的對價，真正的受損方同樣是個人信息的持有者。該種行為方式認定為民法上的不當得利可能更能夠幫助個人信息主體找回被侵害的利益，但案件的被害人過多，體現了侵犯公民個人信息罪的廣泛性特點。不同于一般的侵犯公民個人信息犯罪必須通過間接的販賣手段將公民個人信息出售給不知名的第三方，該類案件中，公民個人信息的獲取方為京東等正規合法注冊平臺，并且是利用平臺規則的部分合法獲利行為。平臺是否可以通過科技手段收回或重新發放優惠或現金的方式彌補這部分個人信息所有者利益，從而將該類案件認定為民法上的不當得利，限縮本罪的成立范圍，具有極大的進步意義。

結語

“最好的社會政策就是最好的刑事政策?！贝髷祿r代，對公民個人信息保護的法律體系中，仍應注意在社會問題產生源頭處加以解決，通過減少侵犯公民個人信息行為的社會層面上的利用激勵等舉措，減少利用公民個人信息的行為。特別關注道德、習慣法、行業規范、平臺規則等社會公共準則，行政法、民法等一般法律治理手段的作用，方能最好地發揮規則、法律在各自領域的治理效能，最終提升刑法在其視域內的威懾力與懲罰效果。