侵犯公民个人信息罪的法益探究

范子珣

摘   要：侵犯公民个人信息罪的法益关系到本罪的犯罪构成要件、入罪的范围等，从而关系到如何在刑法层面能够平衡打击侵犯公民个人信息犯罪与大数据时代下保障公民个人信息的充分利用与有序流通之间的关系。刑法理论界关于侵犯公民个人信息罪的保护法益一直存在个人法益主张与超个人法益主张之间的争议。刑法作为公法，是要在遵循刑法谦抑性原则下，实现规制风险的规范的目的，因此侵犯公民个人信息罪的法益不是超个人法益，而是个人法益观中的公法法益观——个人信息受保护权。

关键词：侵犯公民个人信息罪；法益；个人法益；超个人法益

中图分类号：D924      文献标志码：A      文章编号：1673-291X（2023）02-0155-03

一、提出问题

“个人信息”的重要性是伴随着科学技术的进步而逐渐被凸显出来的。自2020年年初新冠疫情爆发以来，每个人都能切身感受到个人既是大数据的来源者，也成为了这些数据的使用者和利用者。大数据可以对我们的行踪轨迹、通信记录、健康生理等公民个人信息进行精准的捕捉和利用。与个人息息相关的信息碎片广泛地存在于虚拟与现实世界，这不禁让人产生新的担忧：个人信息一旦被非法利用或者泄露，轻者会滋扰私生活的安宁，重者则是衍生出下游违法犯罪行为，严重危及人身、财产甚至国家的安全。诸如准大学生徐玉玉被骗致死案、疫情期间内部流调个人信息泄露后确诊病例被“人肉搜索”导致的“社会性死亡”，这些真实发生的事情触动了人们关于个人信息保护的敏感神经。目前《中华人民共和国刑法》中对公民个人信息予以直接保护的罪名便是《中华人民共和国刑法》第二百五十三条之一侵犯公民个人信息罪，但同时本罪也是刑法个罪中极为少见的关于法益侵害分歧之大的一种犯罪。

由此可见，明确本罪的保护法益便可以更为合理地认定本罪的犯罪构成要件、甄别不法本质、决定入罪的范围。

二、侵犯公民个人信息罪立法脉络

我国的刑事法律对个人信息保护规范是一个从无到有、从间接到直接的不断发展完善的过程，体现出刑法对个人信息保护的逐步重视。

最开始我国刑事法律并未针对公民个人信息予以丝毫保护；直到《刑法修正案（五）》增设了窃取、收买、非法提供信用卡信息罪，信用卡信息资料作为公民个人信息的“九牛一毛”才被保护。《刑法修正案（七）》在刑法第二百五十三条增加一条作为二百五十三条之一，至此刑事法律首次将公民个人信息纳入保护范围。《刑法修正案（九）》将刑法第二百五十三条之一整合为目前刑法中规定的“侵犯公民个人信息罪”，对侵犯公民个人信息罪作出修改完善。一是將犯罪主体的涵盖面增大，将违反国家有关规定向他人出售或者提供公民个人信息，情节严重的行为规定为犯罪。二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚。三是提高了侵犯公民个人信息犯罪行为的法定刑，对待有情节特别严重的情况“处三年以上七年以下有期徒刑，并处罚金”，以契合罪责刑相适应原则[1]。随后又颁布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“《解释》”）；2018年最高人民检察院通过了《检察机关办理侵犯公民个人信息案件指引》，详细规定了本罪在办理案件时应注意审查的各种要素。

三、侵犯公民个人信息罪法益学说之辨析

个人法益与超个人法益，是该罪法益之争的最突出争论。在此对立之下，还涵盖了单一法益（如个人隐私）与双重法益（如隐私权加信息自由和安全或隐私权加控制权等）之争，具体法益（如隐私权）与抽象法益（如新型社会管理秩序）之争，传统法益（如隐私权）与新型现代法益（如个人信息权）之争等等[2]。

（一）个人法益观

主张个人法益的观点又可以细分为隐私权说、人格尊严说、个人信息权说等具有代表性的观点。

1.隐私权说

隐私权说下，无论是单纯的公民个人隐私权说，抑或是主张“隐私权＋其他学说”，还是认为本罪的法益是防止个人信息滥用而侵害公民个人生活安宁的公民个人生活安宁说，归根结底仍然属于隐私权的范畴。《中华人民共和国民法典》第一千零三十二条规定了所谓“隐私”的含义，即隐私是自然人的私生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

很明显，不应当简单地将公民个人信息等同于隐私。例如，对于已经公开的个人信息，私密性特征便有所下降甚至不再具有私密性，可是这并不意味着法律对已经公开的个人信息不予以保护；相反，若是侵犯了《中华人民共和国民法典》第一千零三十六条中的“侵害其重大利益”，侵害与《个人信息保护法》第二十七条中的“对个人权益有重大影响”的，未经信息主体个人同意的个人信息仍应承担法律责任。

因此，将隐私权说作为侵犯公民个人信息罪的法益缩小了本罪保护的范围，是片面且不科学的。

2.人格尊严说

主张侵犯公民个人信息罪法益为“人格尊严”的学者主要认为，本罪填补了我国刑法对公民个人信息保护的空白，为公民个人隐私、人格尊严与个人自由提供了更加有力的保护，体现了国家对人权的重视与保障[3]。值得注意的是，人格尊严是一个概括性的概念，尽管人格尊严属于个人法益，但是对于本罪具体保护何种权益并没有明示。“个人信息”本身承载的权益就很多，并且我国民法学者程啸教授认为个人信息是一种人格利益而非具体的人格权，因此，人格尊严说的表述过于抽象模糊，很容易导致侵犯公民个人信息罪的入罪边界模糊不清。

3.个人信息权说

所谓个人信息权是与信息和大数据时代相伴而生的与个人信息相关的权利。有学者对个人信息权进行剖析之后指出了信息自决权，即主体基于自我意识对于个人信息的排他、选择和决定权[4]。

首先，个人信息自决权在目前大数据时代下作为个人信息权的主体——自然人，不具有完全支配其个人信息的现实可能。举一个最简单的例子便可以说明，新冠疫情期间，行程码中的个人行踪轨迹信息、健康码中有关核酸检测结果、疫苗接种情况等个人生理健康信息，上述信息的收集与公开并非完全取决于个人的意志。其次，个人信息权并非属于排他性的绝对权，而是要受到国家权力的制约。就如强奸罪保护的法益是女性的性自主权，因此得到妇女同意的性行为不构成强奸罪，可这并非绝对，即使未违背妇女意愿，三人以上聚众淫乱的行为仍属于犯罪行为，构成犯罪。最后，无论是在《中华人民共和国民法典》还是《中华人民共和国个人信息保护法》中都不存在“个人信息权”这一说法，《中华人民共和国个人信息保护法》第一条在立法目的上也仅是使用了“个人信息权益”这一说法，也就是说“个人信息权”目前来说是一个属性不明的概念。

综上，个人信息权说本身就存在缺陷和弊端，若贸然在刑法中现行使用这一概念，便会违反法秩序统一的基本原则。

（二）超个人法益观

超个人法益是相对于个人法益而言的，亦称为集体法益。公共信息安全说、社会信息管理秩序说便是持超个人法益说观点的细分。

超个人法益说认为，首先，“公民”这一用词体现了应当从国家、社会公共安全的角度去理解；其次，侵犯公民个人信息犯罪既严重损害了公民个人的信息安全，还容易诱发下游其他违法犯罪。因此，公民的个人信息不仅涉及公民个人的信息保护与私生活的安宁不被滋扰，也关系到社会公共利益、国家安全、信息主权等。

目前，随着信息技术的发展，本罪的行为呈现出了侵犯到的个人信息数量庞大、规模大等特点，具有严重的社会危害性。在风险社会到来的时代，刑法发挥其积极预防作用无可厚非，但是若超个人法益所主张的具体法益内涵过于笼统，如对公民信息安全如何予以精准界定、侵害了多数人的个人信息与扰乱社会管理秩序之间是否具有因果关系，超个人法益同与公民个人生活具有密切联系的个人法益相比，其更多地把法益保护的重心放在了国家利益、社会利益上，而非个人权利与自由[5]。个人信息只有被合理利用、有序流动、自由流通才能发挥最大价值，促进社会发展进步。超个人法益说无疑有扩大犯罪圈、扩张刑罚处罚范围之嫌，具有侵犯公民自由的危险。

四、个人法益中公法法益观之提倡

个人法益观与超个人法益观的对立，实际上是对于刑法功能的不同价值选择，前者倾向保护公民个人的权利与自由，而后者则倾向维护国家安全与社会秩序。张明楷教授认为两者是以法益主体为标准进行区分的。法益具有重要的机能，第一，法益的刑事政策机能，使刑事立法整体具有正当性、为刑事立法内容提供具体标准的机能；第二，法益的违法性评价机能；第三，法益的解释论机能；第四，法益的分类机能。在实质刑法下，法益与构成要件解释关联互动，法益具有甄别不法、决定入罪范围的机能，构成要件是法益评价的结果[6]。判断一个罪名所保护的法益，姜涛教授主张要同时考虑形式法益与实质法益。即不仅要从刑法学理论出发探究立法目的、犯罪构成要件等，也应当兼顾刑法规范所关系到的社会生活、国家的刑事政策等。本文认为，侵犯公民个人信息罪的法益研究应当持个人法益观，但并非是隐私权说、人格尊严说，也不是私法上的个人信息权或个人信息自决权说，而应当是遵循刑法公法性质下的个人信息受保护权。

（一）侵犯公民个人信息罪个人法益之提倡

本文坚持个人法益观但认为侵犯公民个人信息罪的法益是超个人法益的观点，是应当被摒除的。首先，《刑法》第二百五十三条之一侵犯公民个人信息罪属于刑法分则第四章侵犯公民人身权利、民主权利的犯罪，根据刑法体系解释、目的解释，本罪的法益绝非超个人法益。其次，“公民”一词不能成为超个人法益的论证依据。在刑事法律用语中，“公民”应当是与“国家”、“社会”相对应的概念，“公民个人信息”也恰恰突出强调了侵犯公民个人信息罪的犯罪客体为“个人信息”，而不是国家信息或者社会信息。最后，现代刑法应当坚持发挥刑法的谦抑性原则，不应动辄扩大犯罪圈而牺牲个人的权利和自由。

（二）侵犯公民个人信息罪个人法益中公法法益观之提倡

如前文所述，侵犯公民个人信息罪的法益应为个人法益。在个人法益观下存在着私法法益观与公法法益观的分歧。私法法益观认为，个人信息权的内涵是个人信息自决权，强调个人信息权的排他性。公法法益观在“公民权利-国家义务”的关系中理解个人信息，认为个人信息权的内涵是个人信息受保护权[7]。

蔡燊在其《侵犯公民个人信息罪的保护法益及其运用——从个人信息的公共属性切入》一文中主张指出，个人法益观认为超个人法益观倾向于扩大刑法处罚范围，而超个人法益观认为个人信息在具有个人利益属性的同时也具有公共属性，即个人信息并非完全属于个人，但个人法益观没有对个人信息的公共属性予以足够的关注，超个人法益观对此论证也不够充足，因而其认为两种观点对立的关键点在于个人信息的公共属性上。个人信息的公共属性表现在很多方面，主要表现在：第一，个人信息作为内容在不同的载体上流通、传播，已经早已不能稱之为“个人所有的信息”，而应当是“关于个人的信息”。第二，信息与大数据时代下，个人是无法完全掌握、控制个人信息的。第三，个人信息与社会公共利益联系越来越紧密，如个人的行踪轨迹信息与精准疫情防控的关系。这便意味着个人信息绝不仅是属于个人专有的信息，相反，我们每个人也要承担相应的容忍义务。以上也回应了本罪的法益不是个人法益观中的个人信息权或个人信息自决权的法理依据。

作为私法的民法也好、个人信息保护法也好，在对公民个人信息保护时，本身就与具有公法性质的刑法是有明确的区分和不同的。从规范目的看，公法在于规制风险，私法在于调整人身、财产关系；从权利特征看，刑法的介入条件之一为“违反国家有关规定”，即刑法为后置法，而私法上个人信息权是先于法律规定存在的；从权利的行使方式上看，私法以个人对信息的占有、控制为前提，而公法是以信息类型、获利金额、信息数量、违法所得、与他人犯罪的关系等情节为标准，并非要求信息主体对信息的控制，也不以造成实际损害结果为必要条件。公法与私法对于个人信息的保护不应当是趋同的，而应当各司其职，发挥不同部门法的各自作用。

个人信息的公共属性与刑事法律作为公法的属性特征，侵犯公民个人信息罪的保护法益应为个人信息受保护权。

结语

刑法的目的是保护法益，犯罪的本质、违法性的性质就是侵害或者威胁法益。明确侵犯个人信息罪的保护法益为个人法益中的个人信息受保护权，从而进一步确定侵犯公民个人信息罪的犯罪构成要件，明确合理的处罚界限，以期在信息与大数据时代中营造出公民个人信息受全方位保护的前提下，信息共享共用的良好氛围。

参考文献：

[1]   喻海松.侵犯公民个人信息罪司法解释理解与适用[M].北京：中国法制出版社，2018.

[2]   刘艳红.侵犯公民个人信息罪法益：个人法益及新型权利之确证——以《个人信息保护法（草案）》为视角之分析[J].中国刑事法杂志，2019，（5）：19-33.

[3]   高富平，王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律，2017，（2）：46-55.

[4]   曾粤兴，高正旭.侵犯公民个人信息罪之法益研究[J].刑法论丛，2018，（3）.

[5]   高金顺.侵犯公民个人信息罪保护法益研究[D].长春：吉林大学，2021.

[6]   张明楷.实质解释论的再提倡[J].中国法学，2010，（4）：49-69.

[7]   欧阳本祺.侵犯公民个人信息罪的法益重构：从私法权利回归公法权利[J].比较法研究，2021，（3）：55-68.

[责任编辑   兴   华]