侵犯个人信息行为的刑法规制研究

韩子昌　刘洋

摘 要：《中华人民共和国个人信息保护法》的颁布实施在一定程度上解决了侵犯公民个人信息罪适用“前置法律空白”、个人信息概念界定、保护法益等问题。但《刑法》与《个人信息保护法》之间存在着相当程度的协调与匹配问题。随着信息社会的高速发展，现行刑法面对侵害个人信息行为的一些新类型、样态与手段疲于应对。因此，应在《个人信息保护法》与社会情势的双重场域下，提升对侵害个人信息行为的刑法规制策略：在立法层面应坚持扩张态度，扩大对侵害个人信息行为的规制范围；在司法层面应坚持限缩态度，严格把握“情节严重”的刑事违法性标准。

关键词：侵犯公民个人信息罪；个人信息；刑事立法；行为类型

中图分类号：D924   文献标志码：A   文章编号：1002-2589（2023）04-0060-05

随着大数据时代到来，个人信息内在价值开始被发掘，逐渐成为现代化社会发展的核心资源与强大动力，在政治、经济、科技、文化、医疗、娱乐等领域发挥不可替代的重要作用[1]。正是由于信息（包括个人信息）所蕴含的巨大价值，使其成为竞相争夺的对象，也不可避免成为犯罪威胁的重要对象。《刑法修正案（七）》规定侵害个人信息罪相关罪名，填补了立法空白。《刑法修正案（九）》进一步完善：扩展了犯罪主体范围，从特殊主体到一般主体；扩张了行为方式，从“出售或者非法提供”扩张为“出售或者提供”；加重了处罚力度，增设了“情节特别严重”。从《刑修（七）》到《刑修（九）》，立法从无到有、规制范围从窄到宽、处罚力度从宽缓到严格，体现出刑事法对侵害个人信息犯罪的积极回应。从《刑修（九）》颁布至今，社会情势发生较大变化：一是在规范層面，2021年11月1日施行的《中华人民共和国个人信息保护法》（以下简称《个保法》），对侵害个人信息罪的理解、适用与把握都产生较大影响。其一，侵犯个人信息罪作为“行政犯”有“违反国家有关规定”的前置性要求，《个保法》在一定程度上明确了前置性规范；其二，《个保法》规定了个人信息的处理方式，“收集、存储、使用、加工、传输、提供、公开、删除等”，都可能涉及侵犯个人信息犯罪。二是在实证层面，大量司法判例表明，侵害个人信息犯罪出现一些新情况和新问题，也需要刑法予以回应。

一、《个人信息保护法》对侵犯个人信息罪的影响

《个人信息保护法》与《刑法》处于一种本源与保障、调整与打击、行政与刑事的多重衔接关系。先由民事法律确认新生法益的权益内容、法益边界、利益归属与保护边界，然后自上而下，由刑法发挥最后法与保障法的功能[2]……《个保法》的颁布对《刑法》相关罪名的适用与把握产生影响。其一，解决了侵害个人信息罪适用的前置法律空白问题，强化了保护法益确证。根据《刑法》第253条之一第1款“违反国家有关规定，向他人出售或提供个人信息……”；第2款“违反国家有关规定，将在履行职责或提供服务过程中获得的公民个人信息，出售或者提供给他人的……”，《个保法》明确了作为规范性要素“违反国家有关规定”的内容（当然，这不限于《个保法》）。因为刑法是用文字规定犯罪构成要件的，但文字的多义性、变化性以及边缘意义的模糊性等特点，决定了单纯根据文字的字面含义对构成要件做形式解释时，必然将导致一些不具有刑事违法性的行为认定为犯罪[3]。如《刑法》第143条，生产、销售不符合安全标准的食品罪，解释定是以《食品安全法》为前提，否则不仅不能确定是否具有构成要件符合性，而且是否具有严重的社会危害性、达到刑事违法性的判断也将失去根基。其二，明确了个人信息的概念，有利于划定侵犯个人信息罪的范围。《刑法》没有规定个人信息的概念，在《个保法》颁布之前是由其他规范性文件予以明确，如2012年《关于加强网络信息保护的决定》（以下简称《决定》），对个人信息概念采取“识别性+隐私性”的界定标准。《决定》针对网络信息保护而制定，将个人信息限定为“电子信息”过于狭窄；同时，如果将“隐私性”作为个人信息概念的要素，将会不当扩大或缩小犯罪成立范围。2013年《关于依法惩处侵害公民个人信息犯罪活动的通知》，①对个人信息的概念也采取“识别性+隐私性”的标准。2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），②以纯粹“可识别性”为标准，进一步扩大了个人信息概念范畴，即包含了“可能影响人身、财产安全的信息”。对此，一方面“可能影响人身、财产安全的信息”是将获取个人“数据”而进行犯罪活动的行为反推定性为个人信息，再来界定犯罪，犯了循环论证的错误；另一方面，“可能影响人身、财产安全的信息”概念也过于模糊，不利于准确划定犯罪范围。《个保法》第4条对个人信息的界定采取了“识别性+关联性”标准，对个人信息概念的界定更具规范性、科学性。其三，提出了更多处理个人信息的行为方式，为本罪行为类型设置提供了参考。《个保法》第4条第2款“个人信息的处理包括个人信息收集、存储、使用、加工、传输、提供、公开、删除等”。上述诸多方式，都可能涉及对个人信息的侵害，《刑法》规定的“出售、提供或窃取、非法获取”两类四种行为类型是否能够涵射上述行为类型就成为问题。《个保法》第6条第2款之规定“收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”在过度收集且造成严重后果的场合也涉及犯罪的问题。《个保法》第21条规定“个人信息处理者委托处理个人信息的……”，在委托过程中违背委托人的约定，违法使用被委托人信息而致被委托人的人身、财产利益受损的，也是刑法难以应对的。

二、情势变化对侵犯个人信息行为刑法规制挑战

大数据与人工智能的兴起，使侵害个人信息的形势已发生较大变化，传统的刑法规制路径已然不能完全适应现实需求[4]。从宏观层面来看，2018—2021年，侵犯公民个人信息犯罪的案件总数分别为2 257件、2 799件、2 757件、1 747件。虽然案件量出现减少态势，但仍属高发、频发案件。从地域特点来看，以2020年为例，华东地区的上海、江苏、浙江分别为119件、554件、203件；西南地区的云南、贵州、四川分别为30件、42件、98件；东北地区的黑龙江、吉林、辽宁分别为18件、13件、40件；华南地区的广东和广西分别为416件、82件。③可以看出，案件量呈现华东高于西南、西南高于东北、广东高于广西。从领域来看，自2015年至2019年（以苏州市为例）：房屋（77.16%）、车辆（6.47%）、孕妇和新生儿（4.31%）、健康（3.87%）、行动轨迹（3.45%）[5]……上述数据表明，侵犯个人信息犯罪呈现精细化、行业化态势。（1）李某利用其银行股份有限公司普惠金融部职务便利，伪造办理业务事实，查询公民个人征信报告，以每份300元至350元不等的价格出售给他人，共出售个人征信报告915份，非法获利232 250元。（2）朱某非法获取其管理的某小区共7 033户业主的纸质版和电子版房产信息后予以出售，从中非法获利24 293元。（3）李某以送游戏皮肤的名义吸引玩家来领皮肤进而盗取玩家微信号，再将这些微信号售卖，获利2万余元。（4）邓某通过发布免费领取“王者荣耀”游戏皮肤广告，骗取他人微信账号和密码，以300至750元不等的价格售出，获利13 000元。（5）常某利用其非法购买的公民身份信息在网上申请办理实名制手机卡，另通过微信朋友圈发布兼职广告大量收购手机卡，将这些非法获取的手机卡出售，共非法获利22 510元。（6）张某利用微信聊天软件，从他人手中收购微信号，再以高价出售，从中非法获利共计人民币2万多元。（7）肖某等人从谭某获取公民电话号码，组织话务员使用公司提供的手机和“话术”，通过拨打电话的方式，共非法获利人民币7 000元，拉入微信聊天群6 618人。③（8）“补天漏洞响应平台”曝光我国30余个省市社保系统存在安全漏洞，涉及数据5 279.4万条，包括身份证、社保参保信息、财务、薪酬、房屋等敏感信息[6]。

通过对“宏观数据”和“具体案件”的梳理、抽象和总结，得出如下规律：其一，侵害个人信息犯罪频繁、侵害法益严重。刑法的价值在于保护法益，面对广泛而严重的法益侵害或威胁，刑法有发挥其机能予以规制的“义务”。其二，侵犯个人信息的方法、手段多样，行为类型难以固定。案例（4）（5）（6）（7），都可能产生侵害个人信息的情况，如果造成严重后果，根据现行刑法对侵害个人信息罪行为类型的设定，则可能存在处罚漏洞。其三，将信息载体认定为“信息”，导致案件存在争议。如在案例（3）（4）的场合，行为人以盗窃、诈骗或购买等方式获取微信号、QQ号再进行售卖的行为。微信号、QQ号虽然在申请时须录入真实个人信息，但事后可以解除“实名认证”，使其成为“裸号”，因而应将其视为虚拟财产而非个人信息。其四，牟利目的性特征显著。宏观数据显示侵犯个人信息犯罪与地域的经济发展水平具有密切关联性；具体案件展示行为人为获取利益而实施的行为多样、种类不一、形态各异的侵犯个人信息犯罪行为。牟利性特点深刻体现出本罪的特殊性，在立法上无论是出于打击还是预防犯罪的目的，都应予以重视。前述8个案例中，其中7个都有牟利性特点。其五，过失侵犯个人信息的行为广泛存在。近年来，频发的公私机构及其人员疏忽导致的泄露公民信息事件，不仅侵犯了公民的物质权益，也给公民造成精神损害，充分体现了过失侵犯公民个人信息犯罪的高度盖然性和社会危害性，应当被罪犯化[7]。上述案例（8）反映出这个问题。

三、侵犯个人信息犯罪行为刑法规制的理论指引

法律是社会生活的行为规范，但规范并不是制定法律的目的，而只是为以和平的方法获取人间之公平的手段[8]。目的是全部法律的创造者，每条法律规则的产生都源于一种目的[9]。利益法学的贡献在于，使法律适用的重心由形式逻辑的单纯演绎，转变为根据法秩序的评价标准而展开的实质性利益权衡。

第一，强化刑事政策的指导，在刑事政策与刑法的互相影响、穿透中更好实现对侵犯个人信息罪的阐释与把握。刑事政策以目的的确定为杠杆，根据犯罪事态的变化调整刑法规制范围和程度，以求政策效果[10]。我国目前总的刑事政策是“宽严相济”，要结合具体情况来把握。对于侵害个人信息犯罪的刑事政策态度，通过《关于依法惩处侵害公民个人信息犯罪活动的通知》①（以下简称《通知》）便可见一斑。《通知》结合侵犯个人信息犯罪的态势、特点，侵害法益的严重性、广泛性等因素，总体上确立了“从严”的刑事态度，注重在刑事一体化的视域下构建惩治与预防相结合的防治体系。时至今日，侵害个人信息犯罪态势并没有得到有效控制，相反，随着信息技术不断发展，侵犯公民个人信息的犯罪行为类型越发多样，现有刑事立法难以有效应对侵害公民个人信息的犯罪行为，司法实践领域存在大量难以用刑法规制的侵害公民个人信息的犯罪行为[11]……在坚持从严刑事政策的同时，要考虑到《个保法》强化的个人信息保护所蕴含的个人自由、隐私、人格尊严等宪法性价值，实现“宽严相济”。

第二，应提升刑事立法的精确性，提高刑事立法与个人信息法益保护目的的致和性。犯罪的本质是法益侵害，刑法是对社会生活中被认可的各种利益进行保护的，只有对法益的攻击行为，即侵害法益或使法益蒙受危险的行为才是犯罪[12]。法益保护是目的、是根本、是刑事立法的根据与源泉，刑事立法是法益保护的手段方法和外部表现。法益和立法之间在很多场合并非完全对应的关系。对于这个问题，一是通过解释的方式，弥补“缝隙”；二是通过修正立法来实现法立与法益的致和性。由于个人信息本身具有社会性、公共性，个人信息本质上是可以为人使用的，只是该使用不得侵犯他人人格尊严和个人自由[13]。侵害个人信息罪所保护的法益是通过侵害个人信息行为而损害他人的人格尊严、隐私、自由甚至安宁，刑事立法规范不应拘泥于侵害的手段、方式或行为类型，而是应该重视侵害法益的实质。严重不适当使用个人信息的行为、泄露大量个人信息的行为（过失）或通过合法获取个人信息而侵害他人安宁的行为，都存在着侵害人格尊严、隐私、自由与安宁之虞。据此，在立法层面進一步扩展侵害个人信息的行为类型；本罪“牟利性”特征应当在立法中充分体现；应根据本罪的特点及侵害法益的形态，增加过失泄露个人信息罪。

第三，以社会情势为基础，适时革新侵犯个人信息罪立法。“法律一经制定就已经落后了”这句法律格言仍然没有过时。在刑法领域表现更为突出，即某个具体罪名制定出来就可能存在一定的滞后性，随着时间的推移、社会的发展这种滞后性不断上升，当超越一定程度就不得不通过修改立法来克服这个缺陷。从社会层面来说，新的事物不断出现，制定法的真实含义也随之发生改变[14]。本罪历经从《刑修（七）》“初创”到《刑修（九）》修订，可谓已经较为成熟，但是从《刑修（九）》至今也已经过了七年多时间。一方面，《个人信息保护法》的颁布，对个人信息的保护目的、行为类型与法律后果等进行了详细规定，这其中很多内容与刑法关于侵害个人信息罪的规定不完全匹配，既不利于《个保法》目的的实现，也不利于对侵害个人信息罪的理解、适用与把握；另一方面，七年时间我国社会情势发生较大变化，侵犯个人信息行为在行为类型、样态、方式与手段等多个方面都出现了新情况、新问题，现有刑事立法不能完全有效应对。因此，应在上述两个现实情境的基础上，推进侵害个人信息罪的立法革新，深刻把握本罪的司法认定尺度。

四、侵犯个人信息犯罪行为刑法规制路径的实践

信息时代，仅仅强调对公民个人信息的保护是不够的，还应顺应时代发展潮流，充分考虑其现实作用，实现个人信息保护与利用的平衡[15]。

（一）立法的扩张

应进一步拓宽侵害个人信息罪行为类型，扩张处罚范围；充分考虑该罪“牟利”目的，并在立法中体现；针对该罪过失犯之危害性，应设立过失犯罪类型。

第一，应设立侵犯个人信息罪。首先，是出于保护法益的现实需要。随着信息时代的到来出现很多侵害个人信息的“新型”行为，导致侵害个人信息犯罪行为的非类型化，这些行为类型不能或难以被刑法构成要件所囊括，却对法益造成重大威胁。如超越合理界限严重不当使用个人信息或合法获取个人信息大范围、大体量发送的情况等。设立侵害个人信息罪，能够最大限度规制各类侵害个人信息的行为，扩大刑法保护范围，回应信息时代对个人信息法益保护的现实需求。其次，有利于协调与《个人信息保护法》的关系。根据《个保法》规定“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。”上述诸多处理个人信息的方式都涉及对个人信息法益的侵害或威胁，设立本罪能够有效应对上述诸多行为类型，有利于实现《刑法》与《个保法》协调配合。最后，符合刑法的逻辑自洽性，不会造成体系上的冲突。如《刑法》第232条，故意杀人的，处死刑……只明确了杀人的，没有规定具体的杀人行为类型，即如何实施杀人行为与侵害法益本身相比，显然没那么重要了。同样，只要实施了侵害个人信息的行为，至于是窃取、非法获取或是其他方法，也并非是十分重要的问题。

第二，设立侵犯个人信息牟利罪。在构成要件中明确“牟利”目的，一方面有利于针对性规制和预防以获取非法利益为目的的侵害个人信息行为；另一方面有利于正确区分正当信息交流行为与信息侵害行为。首先，无论是本罪与地域的经济发展水平的密切关联性，还是为谋取非法利益而实施行为多样、种类不一的行为，在牟利性这个场域却具有高度的共通性。如（1）通过“个人信息本身”的获取、提供、交流、传播等获取经济利益；（2）通过信息背后所蕴含的数据，实施特定针对性行为来获取经济利益；（3）利用“个人信息本身”以及个人信息背后所蕴含的数据，来实施诈骗行为。其次，“牟利目的”作为主观要素，既影响行为本身违法性，也决定行为主体主观恶性。牟利目的属于主观超过要素，没有客观要素与之对应的主观要素，也可以说在主观要素中超出客观要素所对应的主观内容的那部分要素[16]。主观超过要素在刑法主观主义与客观主义立场下命运不同，刑法主观主义认为违法的本质来源于人身危险性，而主观超过因素又能在很大程度上征表这种危险性，因而，刑法主观主义非常重视主观超过因素的定罪意义。侵害个人信息行为的特殊性在于，由于信息获取、提供、传播、交流等诸多行为样态，本身具有合法性与合理性，甚至具有价值性，是信息时代社会生产力的重大“引擎”，即便在上述诸多行为不适当或不恰当而造成损害的场合，社会也应承担一定的“容忍”义务，刑法在这个场合下就更应坚持谦抑的态度。在构成要件上明确“牟利”目的，可以有效限缩刑法打击范围，合理分担单纯依靠“情节严重”来进行刑事违法性评价的压力。

第三，设立过失泄露个人信息罪。从实证层面来说，一方面出现了多起泄露个人信息案件，影响大、涉及广，如宾馆系统开房记录泄露案件等；或由个人信息泄露导致大量诈骗犯罪，案件性质恶劣，造成严重后果。另一方面，从现代社会的信息管理机制可以看出，对个人信息的管理（持有）主体包括公权力单位、私营企业主体以及个人主体，或基于法律规定，或基于合同约定，甚至基于社会规则，对个人信息的安全负有保障义务。从法益层面来说，“过失的有害性有时候会远远超过故意犯，特别是在科学技术高度发达，交通运输手段高速化的现代社会中……”[17]据此，有必要将因行为主体违背注意义务泄露个人信息而严重侵害法益的行为作为犯罪予以处罚。就过失泄露个人信息的入罪条件而言，刑法以处罚故意为原则，处罚过失为例外，应在立法中明确设立过失泄露个人信息罪。

（二）司法的限缩

信息化时代，收集和分析各种数据并应用于社会运营是常态，刑法过度干预会抑制我国数据应用创新和正当商业應用。

第一，坚持刑法谦抑精神，严守罪与非罪的界限。刑法的谦抑性，是指刑法应依据一定的规则控制处罚范围与处罚程度，即凡是适用其他法律足以抑止某种违法行为，就不要将其规定为犯罪[18]。谦抑性在刑事司法适用中属于价值权衡，某种行为能够肯定构成要件符合性的场合下，还要考量该行为的实质违法性与对该种行为进行处罚是否会不当阻碍社会正当行为，导致自由萎缩等后果。“无论侵害公民个人信息的行为多么猖獗，后果多么严重，只要民商法或行政法等前置法中的调整性规则未将公民的信息权调整确立为前置法上的调整性法益，那么，对于侵害公民个人信息的行为就不能发动刑罚权”[19]。个人信息本身具有积极价值，对涉及侵害个人信息的侵害行为进行刑事处罚，要采取十分慎重的态度。随着我国个人信息保护法律体系的不断完善，尤其是《个保法》的颁布实施，绝大多数侵害个人信息的行为可以由其与《民法》来调整，而不必动用刑罚措施。本罪保护的法益与其说是信息本身，倒不如说是信息背后所蕴含的个人自由、隐私与安宁，只有通过“个人信息”这座“桥梁”严重损害上述法益，才有动用刑罚的余地。

第二，重视“违反国家规定”的不法评价，严格把握“情节严重”的刑事违法标准。个人信息的获取、提供或流转，在绝大多数场合下本身不具有违法性，因而其违法性就要从“违反国家规定”和“情节严重”中找到根据。据此，前置法即“违反国家规定”的行政不法判断与“情节严重”即刑法本身所要求的、独立的刑事违法性判断，需要进一步探讨。关于二者之间的关系，“就刑事违法性的判断而言，……国内有一些学者主张违法一元论，认为前置法关于‘违反规定（包括违反国家规定、交通运输管理法规等）的内容具有‘定性功能，刑法上的违法性判断要从属于前置法的违法性。但是，……不宜认为前置法具有对行为定性的功能，而必须肯定刑事违法在质和量上都有别于前置法的违法性，刑法上的违法性判断具有自身独特的内容”[20]。本文认为，前置法即“违反国家规定”属于刑法构成要件符合性中“状态”要素，属于构成要件符合性的问题。违法，则是符合构成要件的行为与整体法秩序之间的冲突。在法秩序统一性原理之下，违法，指的是违反整体法秩序，而非单一法规范[21]。对法益的侵害及程度，侵害个人信息的行为即便是“违反国家规定”，但并没有侵害到本罪所保护的法益“即个人的自由、隐私及安宁”或者没有达到一定程度，就不具备刑事违法性，因此，“情节严重”属于刑事违法性判断。综上，应在确认具备“违反国家规定”的前提下（构成要件符合性），再独立、审慎地判断刑事违法性。

第三，坚持罪刑法定原则，准确把握此罪与彼罪的界限。罪刑法定原则在实定法上的一个重要要求就是，是否为罪、应定何种罪，应以构成要件为基础。侵害个人信息罪的相关问题从前述判例中能够较为明显体现出来。关于前述案例（3）（4），定性为诈骗罪或盗窃罪相比于侵害个人信息罪可能更为妥当一些。理由为，其一，上述案件就其行为类型而言不属于侵害个人信息的行为，其犯罪目的是为了骗取他人财物；其二，犯罪对象“微信”“QQ”，属于个人信息的载体而非个人信息本身，属于“虚拟财物”，具有有价性，而非个人信息的“可识别性或者关联性”。案例（5）（6）应定性为非法经营罪（在达到入罪标准的场合）可能更具有妥当性。上述所谓“个人信息”的买卖行为，是在双方“同意”的基础上实施的合意行为，并不存在“侵害”一说。对个人信息的使用、交流，在有“被害人”同意的场合阻却违法，《个保法》也充分肯定了“同意”在涉及个人信息行为的违法性评价方面的作用。因此，上述行为不存在违法性，但是买卖行为是否被国家所允许却成为疑问，有构成非法经营罪的余地。

参考文献：

[1][英]维克托·迈尔—舍恩伯格，肯尼思·库克耶.大数据时代——生活、工作与思维的大变革[M].盛杨燕，周涛，译.杭州：浙江人民出版社，2013：243.

[2]李怀胜.侵犯公民个人信息罪的刑法调适思路——以《公民个人信息保护法》为背景[J].中国政法大学学报，2022（1）：138-148.

[3]张明楷.刑法的基本立场[M].北京：中国法制出版社，2002：126.

[4]方涛.《个人信息保护法》与《刑法》的规范衔接问题探讨[J].安徽警官职业学院学报，2022（1）：1-7.

[5]邓根保，等.个人信息的刑法保护边界——以侵犯公民个人信息犯罪为视角[J].人民检察，2020（18）：62-65.

[6]田诗媛.大数据时代个人信息保护的刑法边界——以侵犯公民个人信息罪为例[J].江西警察学院学报，2017（2）：78-82.

[7]刘国华，罗欣，张力之.论我国公民个人信息的刑法保护[J].黑龙江社会科学，2020（4）：108-113.

[8]劳东燕.功能主义刑法解释论的方法与立场[J].政法论坛，2018（2）：10-27.

[9][美]博登海默.法理学：法律哲学与法律方法[M].邓正来，译.北京：中国政法大学出版社，1999：109.

[10]周折.刑事政策视野中的刑法目的解释[J].中外法学，2007（4）：452-463.

[11]王圆圆.加强公民个人信息刑法保护对策的思考[J].成都大学学报（社会科学版），2022（4）：123-128.

[12][日]大冢仁.犯罪论的基本问题[M].冯军，译.北京：中国政法大学出版社，1991：4.

[13]高富平，王文祥.出售或提供公民个人信息入罪的边界——以侵犯公民个人信息罪所保护的法益为视角[J].政治与法律，2017（2）：46-55.

[14]韩子昌.渎职罪研究[D].哈尔滨：黑龙江大学，2021：1.

[15]黄陈辰.侵犯公民个人信息罪“情节严重”中信息分级保护的结构重塑[J].东北大学学报（社会科学版），2022（1）：95-103.

[16]董玉庭.刑法前沿问题探索[M].北京：人民出版社，2010：5.

[17][日]大谷实.刑法总论（新版第2版）[M].黎宏，译.北京：中国人民大学出版社，2008：176.

[18]张明楷.论刑法的谦抑性[J].中南政法学院学报，1995（4）：55-62.

[19]田宏杰.立法扩张与司法限缩：刑法谦抑性的展开[J].中国法学，2020（1）：166-183.

[20]周光权.论刑法所固有的违法性[J].政法论坛，2021（5）：38-53.

[21][德]韦尔策尔.目的行为论导论：刑法理论的新图景[M].陈璇，译.北京：中国人民大学出版社，2015：24.

（责任编辑：田 苗）

收稿日期：2023-05-04

基金项目：黑龙江省哲学社会科学研究规划项目“公众参与重大行政决策保障机制研究”（21ZZC252）

作者简介：韩子昌，法学博士，副教授，硕士生导师，从事刑法学、犯罪学研究；刘洋，法学博士，副教授，硕士生导师，从事宪法、行政法学研究。

①《通知》规定，公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。

②《解釋》规定，刑法第253条之一规定“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

③上述数据为本文整理，来源于中国裁判文书网，https：//wenshu.court.gov.cn/website/wenshu/181217BMTKHNT2W0/index.html？pageId=63b6c077a18f651acad48bf77291cd38&s8=02.

①《通知》指出，此类犯罪不仅严重危害公民的信息安全，而且极易引发多种犯罪，成为电信诈骗、网络诈骗以及滋扰型“软暴力”等新型犯罪的根源，甚至与绑架、敲诈勒索、暴力追债等犯罪活动相结合，影响人民群众的安全感，威胁社会和谐稳定。依法加大打击力度，确保取得良好的法律效果和社会效果。在依法惩处此类犯罪的同时，要积极参与综合治理，注意发现保护公民个人信息工作中的漏洞和隐患……