徐博强,陈玉伦

(1吉林财经大学，吉林 长春 130107；
2长春市轨道交通集团有限公司，吉林 长春 130000)

我国首部关于个人信息保护的综合性立法——《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)，于2021年11月1日颁布实施。该法明确了个人信息保护的相关规则以及各有关主体的权利义务，妥善处理个人信息权利的民法保护和行政监管两大核心内容；
既立足我国现实，吸收了《网络安全法》《数据安全法》《民法》《刑法》等部门法的立法实践，又兼采域外先进经验，与国际接轨。[1]至此，贯穿民法、行政法与刑法等多个部门法的个人信息保护法律体系已构建完毕。《个人信息保护法》在这一体系中处于核心地位，理清它与其他部门法的关系就成为当下亟待解决的重要问题。本文着眼于《个人信息保护法》与《刑法》的规范衔接，从法秩序统一原则出发，对侵犯公民个人信息罪的相关内容予以重构，以期对司法实践有所助益。

2003年，我国相关部门开启对《个人信息保护法》的起草工作。但由于一系列复杂的原因，《个人信息保护法》迟迟未能出台，反而在刑事法领域率先开启了个人信息的保护进程。

2009年《刑法修正案(七)》增设了出售、非法提供公民个人信息罪与非法获取公民个人信息罪，这是我国刑法中首次设立与个人信息直接相关的罪名。自此，个人信息成为独立的刑法保护对象，此举具有开创意义。而此时民事法律尚未对个人信息进行独立的保护，仅将其纳入隐私权保护的范畴。上述两罪名规制的主体范围与行为方式范围均较窄，保护力度有限，在治理侵犯公民个人信息犯罪的现实需求面前显得捉襟见肘。面对汹涌而来的犯罪浪潮，立法者加快了立法完善的步伐。[2]

2015年《刑法修正案(九)》将上述两个罪名合并为侵犯公民个人信息罪，将主体扩展为一般主体；
明确了“违反国家有关规定”作为本罪的前置性规定；
扩充了本罪的行为方式；
提高了法定刑幅度。此项规定扩张了刑事法网，加大了对侵犯公民个人犯罪行为的惩治力度，回应了社会关切。《刑法修正案(九)》施行两年之后，有关个人信息法律保护的其他部门法律规范才陆续出台：2017年6月1日起施行的《网络安全法》，明确了网络运营商对个人信息维护的职责；
2017年7月1日起施行的《民法总则》，规定“自然人的个人信息受法律保护”；
2021年1月1日起施行的《民法典》，在“人格权”编中确立了个人信息权；
2021年9月1日起施行的《数据安全法》，进一步强化了个人信息的法律保护。2021年11月1日起施行的《个人信息保护法》，赋予信息主体对个人信息的控制权，增加了处理者的义务，赋予国家有关部门信息监管的职权。该法既为公民的个人信息权益提供了充分的保障，又为信息处理行为提供了全面的指引。

通过上述梳理可以发现，我国关于个人信息保护的立法实践体现出“先刑后民”的特点。事实上，这种立法模式仅是为了应对严峻的侵害公民个人信息的犯罪态势而采取的无奈之举。

《刑法》第二百五十三条中的侵犯公民个人信息罪是个人信息刑法保护的主要法律依据，而本罪是法定犯，“违反国家有关规定”是前提条件。《个人信息保护法》作为个人信息保护体系中的核心，其颁布与实施必然引发法律体系内部各部门法的衔接问题。

(一)民事权利与刑法法益的衔接问题

侵犯公民个人信息罪保护法益的内涵，是有关本罪的诸多争议中的一大热点。围绕这一问题，目前学界提出的学说大体可分为私法益、公法益和复合法益三类，具体观点则多达十余种。这种状况的出现归根结底是由民事法律基础的缺失造成的。对于一项新兴权利，理应先由民事法律确认其权利属性、权利内容与保护边界，构建、塑造新的秩序类型；
而刑法作为最后法、保障法，其本身并不创造新的权利与新的社会秩序，只是对民法、行政法等前置性法律规范所确立的权利与秩序的再次确认。前置法律制度与理论基础供给不足而刑法先行，会导致刑法中的罪刑设置缺乏宏观思考，缺乏个人信息保护的底层逻辑支撑。[3]在《民法典》《个人信息保护法》等前置法律逐步完善的同时，侵犯公民个人信息罪势必要进行相应调整。

(二)基础概念的衔接问题

对“个人信息”这一基础性概念的统一界定，是两法衔接的关键问题。刑法典中并未明确界定“个人信息”的概念。2017年，最高人民法院、最高人民检察院《关于办理侵犯公民个人信息案件若干问题的解释》(以下简称《解释》)将个人信息定义为“以电子或其他方式记载的能够单独或与其他信息结合识别特定自然人身份或者反映特定自然人情况的各种信息”，其核心在于可识别性与关联性。《个人信息保护法》第4条将个人信息定义为“以电子或其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名处理的信息”。可见，二者不仅表述有所差异，概念涵盖的范围与侧重点也不尽相同。

此外，《个人信息保护法》与《解释》对个人信息都采取了分类保护的方式，但分类方法存在差异。《个人信息保护法》将个人信息区分为一般个人信息与个人敏感信息两类，并在本法第二十八条采取“概括+列举”的方式对个人敏感信息予以界定。而《解释》中的划分标准并不明确，不同类别信息之间存在交叉与重合。因此，刑法中的罪刑规定应与《个人信息保护法》中的个人信息分类密切配合，以破解两法衔接的困局。

(三)违法处理个人行为方式的衔接问题

《刑法》第二百五十三条确定的侵犯公民个人信息罪的行为方式包括非法获取与提供两种，而《个人信息保护法》第四条第二款所列的个人信息处理包括收集、存储、使用、传输、提供、公开、删除等。《解释》第三条、第四条明确了“非法”与“提供”可以涵盖“公开”与“收集”。但是，“存储”是否可以评价为“获取”，“传输”是否能够评价为“提供”，还需进一步解释。

从《个人信息保护法》所列的个人信息处理行为来看，该法致力于个人信息的生命周期保护。而从侵犯公民个人信息罪的行为方式——非法获取、提供来看，本罪仅侧重打击个人信息的非法流转，对公民个人信息的保护并不周延。[4]与单纯的不法流转相比，合法获取个人信息后续的信息滥用行为才具有更大的社会危害性。如利用人脸、声音等生物识别信息，通过深度伪造技术合成虚假的视频、音频，不仅严重侵犯个人的肖像权、名誉权等人格权，甚至可能危及人身安全。

非法滥用个人信息行为刑法规制的缺位，导致司法实践中的一系列困惑与争议。在作为前置法的《个人信息保护法》已经作出详尽规定的情况下，刑事立法也应适时调整。

《民法典》《个人信息保护法》等前置性法律颁布之后，刑法的历史使命已经完成，理应恪守其谦抑性的基本立场，主动迎合前置规范，以调整与之相冲突的内容，发挥其后位保障作用。同时，根据法秩序统一原则，刑事立法与司法解释在基本原则、价值目标、条文规范上均应与前置法律保持体系统一、秩序统一，以实现民、行、刑协同共治，更好地保护公民个人信息，维护国家数据安全，促进数据合理流动。

(一)保护法益的衔接

个人信息具有多元属性，既事关信息主体的人身、财产、人格利益，又关乎国家数据安全、公共事业发展，承载重大公共利益。有学者据此提出侵犯公民个人信息罪的法益为公共利益、超个人法益等。要准确界定侵犯公民个人信息罪的保护法益，当然要将《民法典》《个人信息保护法》等前置法律中的相关规定以及相关民法理论作为首要考量因素。

从《民法典》第一千零三十七条之规定来看，个人信息权的权能包括查阅、复制、提出异议、更正、删除等，其核心在于信息主体对其信息的控制与决定。《个人信息保护法》中的相应内容与《民法典》之规定相一致且更为细化，明确了信息主体对其信息具有知情、决定、保密、查阅、复制、可携带、删除、补充、更正等权能。二者均以个人权益为视角，强调公民人格权益的保护。《个人信息保护法》确认了信息主体的知情同意为判定信息处理行为正当性与否的关键性条件。纵观该法的全部条文，以“个人同意”为前提条件的规则有30处之多，实质上是对信息主体自我决定权的确认与维护。而个人信息的刑法保护也应在此基础上展开，将侵犯公民个人信息罪的保护法益界定为个人的信息自决权。

在对个人信息的刑法保护中追求个人利益与公共利益的平衡，而侵犯公民个人信息罪的保护法益是个人法益，这二者并不矛盾。个人信息承载着个人的人格与财产利益，也涉及公共利益与国家安全，无法采用单一模式的保护。事实上，人类的社会属性决定了个人信息具有公共利益属性，只要个体处于社会交往之中，其个人信息势必会被统一收集、利用以加强社会联系。近年来侵犯个人信息的刑事案件无不涉及海量个人信息，造成的损害都是群体性的，且往往并不关联到具体被害人。这更加印证了当今个人信息的刑法保护必须实现个人属性与公共属性的平衡。[5]

(二)个人信息概念的部门法统一

《解释》与《个人信息保护法》在个人信息定义上的差异主要有两方面。从个人信息的核心特征来看，《解释》认为个人信息包括“能够反映自然人活动情况的各种信息”，其核心在于能单独识别或者与其他信息结合识别，识别对象为“自然人身份”。而《个人信息保护法》所界定的个人信息的特点仅指向“可识别性”，识别对象为“自然人”。

不同的部门法规制的侧重点不同，且二者对个人信息的范围与内容的界定在本质上具有同一性。那么，这种差异是否不足为怪，可以忽略不计？在笔者看来，仍然有必要调整《解释》中有关个人信息的概念表述，使之与《个人信息保护法》保持一致。首先，通过比对可以发现，《解释》对个人信息的范围界定已经超出了《个人信息保护法》。从刑法与其他部门法的关系来看，刑法仅将严重违反前置性法律规范的一小部分行为规定为犯罪予以惩治。因而刑法中划定的犯罪圈应当小于前置法限定的违法行为范畴。如果是相反的，就会出现民事、行政合法而刑事违法的尴尬局面。其次，从法益属性来说，《解释》将账号密码、联系方式等与自然人相关联的数据也界定为个人信息，纳入侵犯公民个人信息罪的保护框架。这显然将个人数据与个人信息相混同，是先刑后民、前置法缺位导致的后果。目前，我国已通过《网络安全法》《数据安全法》以及《个人信息保护法》建立起数据与信息的二元保护模式。据此，刑法也应将两种法益相区分，将个人数据从侵犯公民个人信息罪中的“个人信息”剥离出去。综上，有必要对公民个人信息的概念进行限缩性解释。[6]

对个人信息的分类方面，《解释》存在一定的不合理之处。例如疫情防控期间各地普遍使用的“健康码”，就是一种囊括个人身份、健康状况、行踪轨迹等多种类别的高度集成化个人信息。对这种融合度较高的个人信息，依据《解释》很难实现对其精准归类认定，容易产生分歧。对人脸、指纹、虹膜等生物识别信息，《解释》则没有明确分类标准，无法实现对其更高层级的保护。而《个人信息保护法》将个人信息分为一般个人信息与个人敏感信息的划分方法，比较科学合理，且归纳性强，应被《解释》采纳。如此既能实现刑法与前置法的流畅衔接，也能在刑法层面对不同类型信息实现不同力度的保护。

(三)行为方式的调整

自个人信息被纳入刑法保护对象以来，在行为方式上始终侧重于惩治个人信息的非法流转。但在大数据与人工智能时代，此种立法观念显然已经无法满足公民个人信息安全的保护需求。信息获取与提供的最终目的在于使用。刑法仅仅规制非法获取、非法提供这些流转行为，实际上是一种预防性规制，很难触及个人信息的使用范畴，进而难以从根本上发挥个人信息的法益保护作用。[7]在《个人信息保护法》《民法典》已经确定个人信息的全周期保护的原则之下，刑事立法观念也应及时转变，对个人信息保护的侧重点由流转控制转向信息的使用规制。具体而言，可以从以下两个方面进行考量。

一是增设行为类型，将“非法使用”行为入刑，以实现与《民法典》《个人信息保护法》《网络安全法》的协调一致、有效衔接。首先，“非法使用”应限于“合法获取、非法滥用”。行为人如果在非法获取个人信息后又非法使用，则非法获取的行为可以包容评价后续的“非法使用”；
正如盗窃他人财物后又私藏、销赃的行为，前者可以包容评价后者。[8]因此，对非法使用行为的规制应限于“合法获取、非法使用”。在罪状设置上，第二百五十三条之一第二款为本罪从重情形，即“行为人将其在履行职责过程中合法获取的信息提供给他人”。这实质上与“非法滥用”行为有一定的重合之处。考虑到刑法条文之间的体系性，可将非法滥用行为归入本款，表述为：“将合法获取的公民个人信息非法使用的，在履行职责、提供服务的过程中将获得的公民个人信息出售或者提供给他人的，依照前款规定从重处罚。”

二是细化“情节严重”的入罪标准及法定刑升格标准。本罪为情节犯，“情节严重”为入罪标准，“情节特别严重”为法定刑升格标准。《解释》第五条、第六条分别将非法获取和出售及非法提供个人信息的“情节严重”细化为十项情形，包括个人信息的类型、数量、违法所得数额等；
“情节特别严重”则包括数量、数额、造成重大经济损失、造成恶劣社会影响等。对此，非法滥用个人信息行为可沿用上述入罪标准，与“非法获取”与“出售及非法提供”行为保持统一，不存在障碍。另外，非法滥用个人信息的行为往往会对公民人身安全、财产利益甚至社会公共利益造成更为严重恶劣的后果，因此需要对滥用信息造成的危害性后果进行类型化规定[9]。

《个人信息保护法》的颁布实施，标志着我国对个人信息的保护已构建起完备的法律体系。《个人信息保护法》是这一体系的核心与基干，其他部门法均应与之保持协调统一。作为最后法、保障法的刑法，也应对侵犯公民个人信息罪的罪刑规范进行调适。需着力化解两法条文之间的矛盾与冲突，对刑事立法与司法解释中的规范缺失及不周延之处适时进行调整，以实现对个人信息保护与国家数据安全的平衡，在刑民衔接、刑行衔接的一体化防范理念之下打造高效、协同的个人信息保护体系。

猜你喜欢 保护法前置刑法 我国将加快制定耕地保护法今日农业(2022年13期)2022-11-10核磁共振对妊娠晚期子宫后壁前置胎盘的诊断效果分析中国药学药品知识仓库(2022年1期)2022-03-23未成年人保护法 大幅修订亮点多海峡姐妹(2020年11期)2021-01-18国企党委前置研究的“四个界面”当代陕西(2020年13期)2020-08-24我国刑法立法效益提高的制约因素与实现途径思路构建时代人物(2020年7期)2020-08-20带前置功能的词形《 в сопоставлениис 》的结构与搭配山东青年(2018年7期)2018-11-06中国刑法立法晚近20年之回眸与前瞻中国检察官·司法务实(2018年3期)2018-04-18附属刑法及其利弊分析*暨南学报(哲学社会科学版)(2017年1期)2017-11-13自媒体，高中生物前置性学习的“好帮手”理科考试研究·高中(2017年7期)2017-11-04管好“熊孩子”，人人有责瞭望东方周刊(2017年20期)2017-06-07