侵犯公民個人信息罪的法益重構

　　摘 要：侵犯公民個人信息罪的法益不是私法上的個人信息自決權。個人信息不等于個人私有信息，個人對其信息并不具有完全的排他性支配權。侵犯公民個人信息罪的法益觀應該從私法角度轉向公法角度，刑法保護個人信息的目的不是確權，而是規避風險。公法上的個人信息受保護權既不是私法上的個人信息自決權，也不是超個人的信息公共安全。個人信息按照其私密性高低，分別屬于三個不同領域，即最核心層的隱私領域、中間層的私人領域、最外層的社會領域。個人信息所屬的不同領域直接影響到本罪構成要件符合性的判斷。個人同意并不是本罪違法性判斷的決定性因素，獲得個人同意的行為當然不應該構成犯罪，但未獲得個人同意的行為也可能不構成犯罪。

　　本文源自歐陽本祺， 比較法研究 發表時間：2021-06-01

　　關鍵詞：侵犯公民個人信息罪;個人信息自決權;個人信息受保護權;領域理論;同意

　　我國學界對于侵犯公民個人信息罪的法益存在激烈的爭論，〔1〕《中華人民共和國民法典》(以下簡稱《民法典》)的頒行和個人信息保護法立法進程的推進進一步深化了刑法學界關于本罪法益的爭論。大體來說，圍繞侵犯公民個人信息罪存在個人法益觀與超個人法益觀的爭論。其中，個人法益觀認為本罪的保護法益是公民個人信息權，超個人法益觀認為本罪的保護法益是公共信息安全或者其他集體法益。在個人法益觀內部，又存在私法法益觀與公法法益觀之爭。私法法益觀認為個人信息權的內涵是個人信息自決權，強調個人信息權的排他性。公法法益觀在“公民權利—國家義務”的關系中理解個人信息，認為個人信息權的內涵是個人信息受保護權。侵犯公民個人信息罪的法益觀之爭，直接影響到本罪構成要件符合性和違法性的判斷，進而決定了本罪犯罪圈的大小。而本罪犯罪圈的大小，又進一步制約著個人信息或個人數據控制與共享之間此消彼長的態勢，這直接關系到數據產業的經濟活力。因此，有必要深入研究，正確界定本罪的保護法益，合理劃定其犯罪圈的大小。

　　一、侵犯公民個人信息罪私法法益觀的批判

　　我國刑法學界的主流觀點認為，侵犯公民個人信息罪保護的法益是個人信息權。〔2〕具體來說，是個人信息權中的個人信息自決權，其核心內容是個人有權自行決定其個人信息是否公開、對誰公開、公開到何種程度。〔3〕我國民法學者對個人信息(自決)權作了進一步的解釋，認為“個人信息權主要是指對個人信息的支配和自主決定權”，〔4〕其內涵是“自然人對于自己的個人信息，自我占有、自我控制、自我支配，他人不得非法干涉，不得非法侵害。因而個人信息權是排他的自我決定權，是絕對權”。〔5〕當然，也有民法學者認為，個人信息上凝結的不是權利，而是利益。〔6〕但是，在擴大權利保護范圍，將某些尚未被權利化的利益納入權利保護范圍的趨勢下，“沒有必要嚴格區分權利和利益”。〔7〕總的來說，把侵犯公民個人信息罪的法益界定為私法上的個人信息自決權，對于深化本罪的研究具有一定的意義，但是這種私法法益觀存在很大的迷惑性和缺陷。

　　(一)私法法益觀關于行為對象的理解值得商榷

　　侵犯公民個人信息罪的對象是“個人信息”，根據我國個人信息保護法(草案)、《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)第 76 條以及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《侵犯公民個人信息罪解釋》)第 1 條的規定，個人信息的關鍵特征在于其“識別性”。識別的客體包括兩類：一是識別個體的身份，用來表示“你是誰”;二是識別個體的特征，用來表示“你是個什么樣的人”。識別的標準也包括兩類：一是直接識別，例如單獨根據身份證號碼、手機號碼一般就能識別具體的個人;二是間接識別，例如姓名需要和性別、單位等信息結合起來才能識別特定個人。那么，“識別性”是否意味著個人信息屬于個人私有信息呢?私法法益觀對此持肯定態度。私法法益觀把“個人信息”理解為“個人所有或者私有的信息”，并且認為全部個人信息都具有同等重要的意義。但是，這種私法法益觀值得商榷。

　　1.個人信息不等于個人私有信息

　　圍繞個人信息的刑法保護，存在很多爭議問題，其中前提性的問題是個人信息究竟是歸屬個人私有，還是社會公有。〔8〕對此，理論與實務界存在四種觀點：個人私有說、平臺私有說、個人和平臺共有說、社會公有說。〔9〕顯然，私法法益觀采取的是個人私有說，認為識別性特征使得個人對其信息擁有排他性的支配權和自決權。微軟總裁兼首席法務官史密斯的觀點是個人私有說的典型代表。他認為，“人們存儲在我們數據中心的信息并不屬于我們。用戶才是他們的電子郵件、照片、文檔和即時消息的主人。我們只是他人之物的管理者，而不是這些數據的所有者”。〔10〕美國學者萊斯格教授甚至提倡“通過財產權來保護個人數據”。〔11〕

　　但是，認為個人信息屬于個人私有的觀點值得商榷。首先，從信息生產的角度來看，很多個人信息是在個人的社會交往活動中產生的。尤其是在網絡時代，各種智能設備生產和記錄了大量個人信息，如行蹤軌跡、通信記錄、支付信息、上網痕跡等。這些個人信息是個人與智能設備互動的產物，是“關于個人的信息”，但不是“個人私有的信息”。其次，從信息控制的角度來看，除了隱私、秘密信息等可以被個人控制外，大量信息是個人無法控制的。相反，網絡平臺控制了海量的個人信息，個人甚至對這些信息一無所知。個人無法像控制個人財產那樣控制個人信息。再次，從信息政策的角度來看，強調個人對其信息的私有，無異于制造信息孤島、禁錮思想。在人類歷史上，信息共享是原則，信息控制是例外。為了協調信息主體的個人利益與社會公共利益之間的平衡，人類設計了很多法律制度。例如，著作權制度、專利權制度在賦予權利主體某種專有權的同時，刻意將創新成果的信息予以公開。〔12〕

　　2.不同領域的個人信息并非具有同等重要性

　　私法法益觀所采取的個人信息自決權理論來源于德國 1983 年人口普查案的憲法法院判決，在這個案件中，德國聯邦憲法法院改變了 1969 年人口普查案的立場。在 1969 年人口普查案中，法院區別了私密領域和私人領域。私密領域是個人生活最內部的核心領域，直接涉及到個人尊嚴，個人對其私密領域的信息享有自決權。而在私密領域外圍的私人領域，個人對其信息沒有自決權，有義務配合國家進行調查統計。這種區分私密領域和私人領域，個人對其私密領域享有自決權，對私人領域負有社會義務的理論，被稱為“領域理論” (Sphärentheorie)。〔13〕但是，在 1983 年人口普查案中，憲法法院放棄了之前的領域理論，認為在自動化數據處理時代，不存在不重要的個人信息，全部個人信息都具有“識別性”，都可以被用于“人格畫像”，因此不應該區分私密領域信息和非私密領域信息，個人對其全部信息都具有自決權。〔14〕

　　但是，認為全部個人信息都具有同等重要意義，個人對其全部個人信息都具有自決權的觀點，并不符合我國民法和刑法的相關規定。首先，我國民法典明確區分了個人私密信息與非私密信息。《民法典》第 1034 條第 2 款明確規定，“個人信息中的私密信息，適用有關隱私權的規定”。而隱私權屬于絕對權和支配權，具有對世效力。〔15〕可見，私密信息與非私密信息在民法上具有不同的重要性。即使認為個人對其私密信息具有排他性自決權，也不能認為個人對其非私密信息也具有排他性自決權。其次，個人對私密信息與非私密信息擁有不同的同意權。根據《民法典》第 1033 條和第 1035 條的規定，處理他人私密個人信息，需要“權利人明確同意”，而處理他人非私密信息，只需要“征得該自然人或者其監護人同意”。一方面，私密信息只有權利人本人才具有同意權，監護人也無權處理被監護人的私密信息。另一方面，“明確同意”與“同意”的含義和表達形式也不同。〔16〕再次，《侵犯公民個人信息罪解釋》對私密信息與非私密信息進行區別對待，分別以 50 條、500 條、5000 條作為構成犯罪的標準。

　　(二)私法法益觀關于信息權權能的理解值得商榷

　　持私法法益觀的學者普遍重視個人對其信息的自決權，并將信息自決權理解為一種排他權和支配權。例如，有的學者指出，信息自決權是“一種排他的、積極的、能動的控制權和利用權”;〔17〕有的學者認為，“個人信息權是排他的自我支配權，是絕對權”;〔18〕或者承認“知情同意是個人信息自決權的核心”，〔19〕信息自決權“核心內容是同意權”。〔20〕但是，認為信息自決權是對個人信息排他性的支配權和同意權的觀點值得商榷。

　　1.信息自決權并非排他性的絕對權

　　持私法法益觀的學者認為，信息自決權是抽象自我決定權在個人信息領域方面的具體體現。〔21〕就像以性行為自主權作為強奸罪的法益一樣，以信息自決權作為侵犯公民個人信息罪的法益，正是抽象自我決定權在刑法個罪中的貫徹和落實。〔22〕但是，無論是抽象的自我決定權，還是具體的性行為自主權，抑或信息自決權都不可能是完全的排他性絕對權。

　　作為抽象人格權的自我決定權是權利人針對自己的生命、身體、健康等具體人格要素進行自我決定和塑造的權利，以保護權利人的意志自由為目的。〔23〕但是，自我決定權并非絕對的排他權，而是要受到政府權力的制約，由此形成了自我決定權與政府規制權之間的沖突，各個部門法理論都致力于探索如何解決這一沖突。〔24〕具體到刑法而言，這一沖突體現為自我決定權與刑法家長主義之間的沖突和協調。〔25〕例如，自殺參與行為是否構成犯罪的問題，涉及的問題就是如何理解生命自我決定權的效力范圍。如果認為生命的自我決定權具有絕對性，就會認為自殺不具有違法性，自殺參與行為不構成犯罪;〔26〕如果認為生命的自我決定權受到限制，就會認為自殺參與行為構成犯罪。〔27〕各國立法的態度不同，德國刑法尊重生命的自我決定權，不處罰自殺參與行為;日本刑法限制生命的自我決定權，明確規定了參與自殺罪;我國刑法以故意殺人罪處罰自殺參與行為，體現了對生命自決權的限制態度。再如，性行為自主權在我國刑法中也不具有絕對性。得到婦女同意的性行為之所以不構成強奸罪，是因為兩人私下的性行為屬于隱私權的范圍，隱私權屬于絕對權，既對抗他人的干涉，也對抗國家的干涉。但是，三人以上聚眾淫亂的行為則構成犯罪，此時，婦女的性行為自主權就要受到國家權力的限制。之所以刑法會采取這種區別對待的立場，是因為性行為自主權具有相對性，不同領域自主權受到的限制不同。對于個人核心領域中的隱私行為，例如婚內性行為、同性戀行為，自我決定權應受到國家權力的尊重。對于個人外圍領域的行為，例如聚眾淫亂，自我決定權完全被國家權力否定。對于個人中間領域的行為，例如賣淫嫖娼，自我決定權受到有限的承認，刑法不處罰賣淫嫖娼行為本身，但要處罰賣淫嫖娼的組織行為和容留行為。〔28〕

　　2.信息同意權難以實現

　　持私法法益觀的學者認為，同意權是信息自決權的核心內容，未經權利人同意授權，任何人不得收集、處理、使用其個人信息。但是，這種信息同意權在實踐中往往難以落實，而不得不淪為“紙面上的權利”。具體來說，在權利的開端，同意權被虛化為不必閱讀具體內容的點擊操作;在權利的末尾，用戶的損害賠償難以舉證;在權利的維護上，站在維權第一線的都是監管結構，而不是權利人。〔29〕調查顯示，雖然 92%受訪者重視自己的個人信息安全，但其中大多數人并不閱讀網站或者 APP 中的服務條款(“TOS”)，因為他們覺得這些服務條款冗長而無效。〔30〕同時，閱讀服務條款需要花費相當多的時間。如果一個人把他所訪問的網站上的隱私政策都閱讀一遍，那一年得花費 244 個小時。而對一個國家來說，這些時間成本累計起來非常大，高達數千億美元。〔31〕

　　綜上所述，私法法益觀認為個人信息是個人私有的信息，個人對其全部信息擁有私法上的信息自決權，信息自決權的核心內容是同意權。但是，這種私法法益觀具有很大的缺陷和不足。個人信息的“識別性”并不意味著個人信息屬于該個體所有，“識別性”主要是在規避風險源的意義上使用的，是為了防止通過對相關信息的挖掘而將個人識別出來。同時，“同意”也并非意味著個人對其信息擁有排他性的支配權，“同意”也是在風險規避的意義上使用的，主要是讓個人來評估自身是否愿意承擔信息處理的相應風險。〔32〕因此，侵犯公民個人信息罪的法益研究應該從私法角度轉向公法角度。

　　二、侵犯公民個人信息罪公法法益觀的提倡

　　既然侵犯公民個人信息罪的法益觀應該從私法角度轉向公法角度，那么，應該如何理解和把握公法上的個人信息權呢?

　　(一)公法信息權與私法信息權的區別

　　雖然私法上個人信息權與公法上個人信息權都是個人的信息權，但兩者在規范目的、權利特征、法律依據等方面都存在很大差異。概言之，公法上的個人信息權的涵義是“個人信息受保護權”，而不是排他性的“個人信息自決權”。即使采取“個人信息自決權”的概念，也應該回歸其原本的公法屬性。

　　1.規范目的不同

　　私法的目的在于確權，公法的目的在于規制風險。如前所述，私法法益觀試圖把個人信息權理解為一種類似于物權的私權，其目的是排斥他人對個人信息的侵犯，權利的指向是作為平等民事主體的其他自然人。但是，權利主體對其個人信息并不享有如同物權那樣的排他支配權，也無權要求他人如同尊重物權那樣尊重其個人信息。〔33〕個人信息不僅具有個人性，也具有社會性，如果把個人信息權設計為支配性的私權，實際上這種支配已不再是對自己信息的支配，而是對他人行為的支配。〔34〕公法上個人信息權的目的不在于通過確權來劃定他人行為的邊界，而是通過規制數據處理者的行為來規避對個人信息的侵犯風險。在網絡時代，侵犯個人信息的風險主要不是來自其他自然人，而是來自政府和數據平臺。政府和數據平臺擁有強大的“數據權力”(data power)。〔35〕根據權利對抗權力的思路，公法上的個人信息權主要是用來對抗政府和數據平臺的數據權力，“要防范和化解的主要是計算機與網絡技術帶來的風險”。〔36〕例如，在數據堂公司侵犯公民個人信息一案中，涉案的數據堂公司在 8 個月內日均傳輸公民個人信息 1 億 3 千萬余條，累計傳輸數據壓縮后高達 4000GB 左右。〔37〕有關責任人分別被追究侵犯公民個人信息罪的刑事責任。〔38〕

　　2.權利特征不同

　　首先，私法上的個人信息權具有“先在性”，即私法上的個人信息權先于法律規定而存在，不受法律規定與否、承認與否的影響。公法上的個人信息權具有“法定性”，即公法上的個人信息權必須由法律明文設立。〔39〕公法設立個人信息權的方式主要有兩種：一是正面規定個人所擁有的權能;二是反面規定政府和數據平臺等數據權力(data power)所應負的義務。例如，全國人大常委會 2021 年 4 月公布的《中華人民共和國個人信息保護法(草案二次審議稿)》第四章規定了“個人在個人信息處理活動中的權利”，第五章規定了“個人信息處理者的義務”。這兩章分別從正反兩個方面設立了公法上的個人信息權。再如，《網絡安全法》第 41 條、第 42 條從反面規定了網絡運營者保護個人信息的義務，第 43 條從正面規定了個人對其信息擁有的刪除權和更正權。另外，我國刑法第 253 條之一中“違反國家有關規定”的表述實際上也證明了刑法采取的是公法法益觀，而不是私法法益觀。《刑法修正案(九)》(草案一次審議稿)把侵犯公民個人信息罪的前提條件設置為“未經公民本人同意”。很顯然，《刑法修正案(九)》(草案一次審議稿)采用的是私法法益觀，是否經過公民本人同意是決定行為是否構成犯罪的關鍵。但是，正式通過的《刑法修正案(九)》把“未經公民本人同意”修改為“違反國家有關規定”。“違反國家有關規定”的表述，表明只要行為人沒有違反國家有關規定，即使未經公民同意，也可能不構成犯罪。這顯然是一種公法法益觀。進一步來說，如果認為侵犯公民個人信息罪保護的是私法上的信息權，立法上就不可能規定 “違反國家有關規定”。正如我國刑法關于侵犯私法法益的強奸罪、侮辱罪、誹謗罪、侵犯通信自由罪的規定中，沒有也不可能有“違反國家有關規定”的要素。例如，奸淫行為是否構成強奸罪，關鍵在于是否有婦女的同意，而不可能考慮是否違反國家相關規定。

　　其次，權利的行使方式不同。私法上的個人信息權以對信息的占有和控制為權利行使的前提，一旦失去對信息的占有和控制，權利就難以實現。而且，私法上的個人信息權是一種消極的事后救濟權，權利針對的主要是其他自然人。因此，對私法上個人信息權的侵犯以造成實際損害為要件，并由權利人承擔侵權行為和侵權結果的舉證責任。但是，公法上的個人信息權不以對個人信息的占有和控制為行使前提，也不以發生實際的損害結果為救濟要件。而且，公法上的個人信息權是一種積極的事前防御權。〔40〕從侵犯公民個人信息罪的司法實踐來看，本罪的成立并不以個人失去對其信息的控制為前提，也不以造成實踐損害后果為條件，而是以信息類型、信息數量、違法所得等情節為標準。所以，本罪并不是為了保護私法權利的行使，而是為了規制信息處理行為，防范數據處理行為對個人信息的風險。

　　(二)個人信息權原本就是公法權利

　　如前所述，我國“個人信息自決權”的概念直接來源于德國 1983 年第二人口普查案的憲法判決。在 1983 年的第二人口普查中，德國政府除了統計人口總數以及收集基本個人信息(姓名、住址、性別、婚姻狀況、宗教隸屬等)之外，還要求公民在問卷中填寫他們的收入來源、職業、兼職、教育背景、工作時間、交通方式等事項。于是，一些個人直接提起憲法訴訟。德國聯邦憲法法院根據《基本法》第 1 條第 1 款(“人的尊嚴不受侵犯”)以及第 2 條第 1 款(“人人享有人格自由發展的權利”)判定本次人口普查違憲，并提出了“個人信息自決權”的概念。〔41〕可見，“信息自決權”原本就是由憲法法院提出的公法上的概念，其目的是限制國家公權力，其依據是憲法上的人格權。換言之，“信息自決權”是“憲法人格權” 在個人信息領域中的具體表現。然而，我國學者卻直接把“信息自決權”定性為私法上的權利，并進一步把這種私法上的信息自決權作為侵犯公民個人信息罪的保護法益。這可能存在對信息自決權的誤解，至少是存在論證不足的問題。

　　在我國，可以證成存在公法上的個人信息權，但不足以證成私法上的個人信息權。從憲法角度來看，我國憲法第 33 條規定了“國家尊重和保障人權”，第 38 條規定了“中華人民共和國公民的人格尊嚴不受侵犯”。我國憲法中的“人格尊嚴”可以擴張解釋為類似于德國憲法中的人格權，從而為憲法上的個人信息權提供基礎。〔42〕從行政法角度來看，我國網絡安全法第 41 條、42 條規定了網絡運營者處理個人信息時應負的義務，第 43 條規定了個人的相關權利。這種憲法和行政法上的個人信息權主要是為了限制政府和網絡平臺等數據權力對公民個人信息的侵犯，而不是為了限制其他自然人對個人信息的侵犯。所以，無法從公法上的個人信息權直接推導出私法上的個人信息權。

　　從私法上來看，雖然我國民法典第 1034 條規定了“自然人的個人信息受法律保護”，但是，該規定“并未確立一項私法權利，而是憲法上信息保護國家義務在具體法律中的規范表述”。〔43〕再如，我國民法典第 1035 條移植了《網絡安全法》第 41 條的規定，要求處理個人信息時遵守合法、正當、必要原則，并明確了相應的處理條件。但問題是《網絡安全法》第 41 條的義務主體是網絡運營者，屬于特殊主體。而《民法典》第 1035 條卻將特殊主體擴張為一般主體，“結果就會非常荒謬，與生活常識不符”。例如，在家庭生活和朋友聚會中收集、存儲他人信息并不受《民法典》的限制。出現這一問題的“深層次根源在于權利定性錯位，將一項新型公法權利簡單歸入傳統民事權利范疇，忽略了個人信息保護與人格權兩項權利的本質差別”。〔44〕即使是在德國，能否從憲法上的信息自決權推導出私法上的信息自決權，理論與實務中都存在分歧和爭議。Nipperdey 法官首次提出憲法上的一般人格權同時就是民法上一般人格權的觀點，引發了整個侵權法體系的震動。但是，拉倫茨等多數學者旗幟鮮明地反對從憲法上一般人格權引出私法上一般人格權。〔45〕實際上，“認為歐洲確立了民法上的個人信息權的觀點，其實屬于對域外經驗的誤讀”。〔46〕“歐盟并未創設一種私法上的個人信息權或個人數據權”。〔47〕“當代各國普遍將個人信息權界定為新型公法權利，為數據控制者規定廣泛的法律義務”。〔48〕

　　(三)公法上個人信息權不是超個人法益

　　關于侵犯公民個人信息罪的保護法益，我國存在個人私法法益觀與超個人法益觀之間的爭論。本文主張侵犯公民個人信息罪的保護法益不是私法上的個人信息自決權，而是公法上的個人信息受保護權。但個人信息受保護權，并非超個人法益，而仍然屬于個人法益。正如我國刑法分則第四章所規定的“民主權利”屬于個人的公法權利，但絕不是超個人法益。持超個人法益觀的學者認為，“侵犯公民個人信息罪的法益并不是個人的人身權利，而是社會的公共安全，具體來說是信息公共安全”。〔49〕因為個人信息不僅事關個人的信息安全與生活安寧，而且關系到社會公共利益、國家利益乃至信息主權。〔50〕或者認為，本罪的法益“是具備實質權利內涵的集體法益，具體為信息專有權，也就是法定主體對于所占有個人信息的處分權限”。〔51〕但是，認為侵犯公民個人信息罪旨在保護超個人法益的觀點值得商榷。

　　首先，這種觀點在法益理論上傾向于集體法益一元論。“集體法益一元論”是與“個人法益一元論”相對而言的。個人法益一元論堅持古典法治國理念，認為國家的任務在于保障個人自由，因此，刑法中的所有法益都是個人法益。超個人法益只有在其能夠被還原為個人法益時，才具有正當性。集體法益一元論采取社會國理念，認為國家的任務在于維護社會秩序，因此刑法中的所有法益都是社會法益。“法益一直都是整體法益(Rechtsgut der Gesamtheit)，不是個人法益”，“刑法只用于服務整體的利益，與整體相對，個人利益如螢火不可與日月爭輝，小到可以忽略”。〔52〕按照集體法益一元論，刑法保護個人法益只是刑法保護集體法益的映射效果。但是，刑法學界通說認為刑法既要維護社會秩序，更要保障個人自由。因此，個人法益與集體法益同時存在于刑法中，兩者之間存在此消彼長的緊張關系，尤其需要警惕集體法益的擴張性潛能。〔53〕

　　其次，侵犯公民個人信息罪的法益不是信息公共安全。刑法中的公共安全具有特定的含義，公共安全屬于國家法益和個人法益之間的社會法益。這里的“公共”即“公眾”，是指不特定人或者多數人;這里的“安全”僅限于生命安全、身體健康安全以及重大財產安全， “不能增擴或者縮小”。〔54〕而侵犯公民個人信息罪的犯罪對象并不局限于“不特定人或者多數人”，完全可能是特定個人或者少數人。同時，公共安全的內容并不包括信息安全，雖然侵犯公民個人信息的行為可能會導致他人的人身、財產受到損害。但是對人身、財產的損害往往是下游信息利用行為的犯罪結果，單純的提供或者獲取個人信息的行為無論如何不會侵犯人身、財產的安全。因此，認為信息安全屬于公共安全，并以之作為侵犯公民個人信息罪法益的觀點，是對公共安全概念的誤解。

　　從安全角度來看，現代的信息安全主要是計算機數據安全。雖然從信息論的角度來看，信息與計算機數據不具有同一性，信息是內容，計算機數據是載體，信息既可以用計算機數據作為載體，也可以采用其他載體。從非洲人的鼓、希臘人的烽火、埃及的象形文字、印度的貝葉書、西亞的羊皮紙，到近代印刷品，都曾被作為信息的載體。〔55〕但是，網絡時代的信息安全主要體現為計算機數據安全，因此“個人信息”與“個人數據”這兩個概念基本上具有同一含義，也可以互換使用。例如，歐盟《通用數據保護條例》(GDPR)第 4 條規定， “個人數據(personal data)是指與已識別或者可識別的自然人(數據主體)相關的任何信息(information)”。〔56〕隨著用戶對個人數據控制權的減少和服務商控制權的增大，“人們時常擔心由此產生的數據安全(保密性、完整性、可用性)問題”。〔57〕但是，各國立法都沒有把數據安全作為侵犯個人信息犯罪的法益，而是將其作為計算機犯罪的保護法益。例如，歐盟《網絡犯罪公約》第 1 節第 1 目規定了侵犯計算機數據保密性、完整性、可用性的 5 個犯罪：非法侵入罪、非法攔截罪、數據干擾罪、系統干擾罪、設備濫用罪。〔58〕同樣地，我國刑法第 285 條和第 286 條規定的計算機犯罪保護的法益也是數據安全。

　　再次，侵犯公民個人信息罪的保護法益不是網絡平臺對所占信息的專有處分權。網絡時代，網絡平臺確實占有海量的個人數據。例如，Facebook 上每一個月新增 20 億張以上的照片。〔59〕但這些網絡平臺所占有的個人數據究竟屬于誰，是一個很有爭議的問題。〔60〕斷定網絡平臺對于其所占信息享有專有權的判斷，缺乏法律依據。云計算時代網絡平臺上的個人信息主要包括兩類：第一類是用戶上傳到云上的信息，這類信息產生于云服務之外;第二類是用戶在使用云服務的過程中產生，并存儲在云上的信息。總的來說，“云服務商極少對產生于云服務之外或由用戶產生于云上的內容主張權利。但是，服務商普遍對數據完整性、保密性等安全負有責任”。〔61〕

　　三、公法法益觀下侵犯公民個人信息罪的重新解釋

　　根據本文所提倡的公法法益觀，侵犯公民個人信息罪的法益是公法上的個人信息受保護權，而不是私法上的個人信息自決權。這種法益觀的變化將直接影響本罪構成要件符合性和違法性的判斷。既然侵犯公民個人信息罪的法益是個人信息受保護權，那么不同類型的個人信息就應該受到不同程度的保護，而不是一律同等對待。基于同樣的道理，既然侵犯公民個人信息罪的法益不是私法上的信息自決權，那么就需要反思個人同意在犯罪構成中的地位。

　　(一)行為對象的領域化區分

　　法益與犯罪對象緊密相關，不同的法益觀會直接影響犯罪對象的認定。私法法益觀認為所有的個人信息都具有同等重要性，刑法同等保護所有的個人信息。公法法益觀認為個人信息分屬不同領域，不同領域中的個人信息具有不同的重要性，刑法對不同領域中的個人信息采取不同的保護立場。那么，如何把個人信息進行領域化區分呢?對此，可以借鑒前述德國的“領域理論”(Sphärentheorie)。

　　領域理論按照私密性程度的高低把個人活動劃分為三個領域：最核心層的隱私領域(Intimsphäre)、中間層的私人領域(Privatsphäre)、最外層的社會領域(Sozialsphäre)。〔62〕最核心層的隱私領域屬于個人生活的最內層，該領域中個人活動的私密性最高，社會性最低;該領域中的活動不會侵犯他人的權利、憲法秩序和道德法則，不應該受到限制。〔63〕中間層的私人領域的私密性低于隱私領域，社會性高于隱私領域，因此，國家公權力可以基于比例原則和公共利益原則對該領域進行干涉。〔64〕最外層的社會領域包含了與社會緊密相連的利益，而幾乎沒有私密性。例如，與追查犯罪或者防疫相關的個人信息，就屬于該領域。〔65〕可見，從最核心層的隱私領域到中間層的私人領域，再到最外層的社會領域，個人信息的私密性逐漸降低而社會性依次增加。領域理論的要義在于區別對待個人信息，協調個人信息的私人性與社會性、信息控制與信息共享之間的平衡關系。我國有學者提出個人信息保護 “兩頭強化、三方平衡”的構想，即強化個人私密信息的保護，強化個人一般信息的利用，協調信息主體利益、信息處理者利益、社會公共利益三方的平衡。〔66〕該構想正是領域理論的具體體現。

　　實際上，我國司法實踐也接受了領域理論的合理內涵。《侵犯公民個人信息罪解釋》根據個人信息的不同類型，分別規定了不同的立案標準。第一類信息是個人行蹤軌跡信息、通信內容、征信信息、財產信息，非法獲取或者提供該類信息 50 條即可構成犯罪;第二類是個人住宿信息、通信記錄、健康生理信息、交易信息等可能影響人身、財產安全的個人信息，非法獲取或者提供該類信息 500 條構成犯罪;第三類是其他個人信息，非法獲取或者提供 5000 條構成犯罪。很明顯，這三類個人信息的私密性依次遞減，社會性依次遞增。第一類信息處于個人最核心層的隱私領域，屬于隱私權的保護客體。具體來說，行蹤軌跡信息屬于私密空間信息，通信內容屬于私密活動信息，征信信息和財產信息屬于其他私密信息。由于這類信息私密性最強，法律保護最為嚴格，因此，司法解釋明文列舉四種信息，不允許司法適用再予以擴張。〔67〕德國憲法法院也嚴格限制個人核心隱私領域的范圍，“憲法法院至今僅承認極少數事項屬于核心領域”。〔68〕第二類信息處于中間層的私人領域，其私密性有所降低，社會性有所增加。司法解釋對該類信息采取“明文列舉+兜底概括”的規定方式，即在明文列舉四種信息之外，另行規定“其他可能影響人身、財產安全的公民個人信息”。第三類信息屬于最外層的社會領域，信息的私密性最低，社會性最高。司法解釋對該類信息沒有列舉，而是采取開放性規定。可見，我國司法解釋和司法實踐采取的是公法法益觀，不同領域的個人信息在侵犯公民個人信息罪構成要件符合性判斷中具有不同的意義。

　　既然個人信息的領域化區分直接影響罪與非罪的認定，那么如何確定個人信息所屬的具體領域，就成了司法實踐的重點和難點。例如，個人使用百度搜索“減肥、豐胸、人工流產” 三個關鍵詞而形成的搜索記錄，是否屬于個人信息，如果屬于個人信息的話，屬于哪一領域的個人信息?司法實踐對此分歧嚴重。一審判決認定該信息屬于個人隱私的范圍。〔69〕準此，則該搜索記錄至少處于中間層的私人領域，甚至可能處于最核心層的隱私領域。但是，二審判決認為這些搜索記錄不屬于個人信息。〔70〕再如，cookie 信息是否屬于公民個人信息，司法實踐也存在很大分歧。

　　一般來說，個人信息的領域化區分應立足于具體場景。“脫離具體場景談論隱私權益或個人信息權益，不但無法為權益提供有效保護，還有可能引發過度保護或保護不足的弊端”。〔71〕例如，保險業務員為了推銷車險，向他人購買了 400 條公民個人車輛信息，包括姓名、聯系方式、車型、車牌號等。如果認為車輛信息屬于“財產信息”，那么行為就會構成犯罪;如果認為車輛信息屬于“其他可能影響人身、財產安全的公民個人信息”，那么行為就不會構成犯罪，因為該案中被告人購買的信息未達到 500 條。因此，本案不能從抽象的概念來認定其是否構成犯罪，而應該根據具體場景，即行為人使用車輛信息的場景來判斷。由于行為人使用車輛信息是用來推銷車險，而不是為了侵犯財產，所以在這種場景下應以 500 條作為立案標準。〔72〕有的學者進一步指出，場景判斷需要考慮的因素包括信息的關聯性程度、信息的重要性程度、行為人的主觀目的等。〔73〕

　　(二)同意效果的相對化

　　對于“同意”在侵犯公民個人信息罪中的地位，我國司法實踐存在兩種完全相反的立場，兩種立場反映了兩種不同的法益觀。第一種立場把是否獲得個人的同意或授權作為行為是否構成犯罪的決定性標準。不僅獲取或者提供他人的非公開信息需要取得個人的“原始授權”，而且獲取或者提供他人的公開信息需要取得個人的“二次授權”。這種立場可以稱為“同意決定論”，其背后的法益觀是私法意義的個人信息自決權。第二種立場認為個人的同意與否不影響本罪的成立。這種立場可以稱為“同意否定論”，反映了集體法益觀的要求。但是，我國司法實踐中的“同意決定論”與“同意否定論”都值得商榷，本文堅持公法法益觀，倡導“同意相對論”。

　　1.同意決定論的反思

　　對于個人非公開信息，同意決定論要求“原始授權”，具有較大的合理性。但是，對于個人公開信息，同意決定論要求“二次授權”，則存在過度犯罪化的嫌疑。我國司法實踐中出現大量以未取得“二次授權”為由而認定侵犯公民個人信息罪成立的判決。例如，在徐國成等侵犯公民個人信息案中，被告人通過國家企業信息公示系統收集企業法人的手機號碼等個人信息，并未經他人同意就公布在自己開設的“企查查”網站上供人查詢。法院判決認定被告人構成侵犯公民個人信息罪。〔74〕在范海林等侵犯公民個人信息案中，被告人利用“爬蟲”軟件從“天眼查”等網站上獲取企業法人的聯系方式等信息，整理成 excel 表格后出售給網友，該出售行為未經個人同意。其行為被法院認定為侵犯公民個人信息罪。〔75〕在趙海軍等侵犯公民個人信息案中，行為人未經被收集人同意，將網絡公開的工商企業登記信息出售給他人，被認定為侵犯公民個人信息罪。〔76〕在柯學成侵犯公民個人信息案中，被告人直接從房產中介門店收購房源等個人信息，未經個人同意便把這些信息在其創建的“房利幫” 網站和 APP 上打包出售，被認定為侵犯公民個人信息罪。〔77〕在這些案件中，法院判決都非常重視個人的“知情同意”，要求行為人獲取或者提供已經公開的個人信息也應該獲得個人的“二次授權”。例如，有的承辦法官認為，個人同意其信息在國家企業信息公示系統中進行公開，并不意味著同意其他人收集和出售這些信息。〔78〕還有的承辦法官認為，房東同意將其房產信息掛牌至中介門店，并不意味著同意把該信息在網上公開。〔79〕

　　但是，這種過度犯罪化的做法值得反思。首先，從規范論角度看，要求處理個人公開信息仍需獲得“二次授權”的做法，違反了法秩序的統一性原則。法秩序統一性原則要求對同一部門法的內部規范進行體系性解釋，對不同部門法之間的規范進行一致性解釋，以消解部門法內外規范之間的矛盾。雖然我國民法典第 1038 條規定“未經自然人同意，不得向他人非法提供其個人信息”。《侵犯公民個人信息罪解釋》第 3 條也規定，未經被收集人同意，將合法收集的公民個人信息向他人提供的，仍然屬于侵犯公民個人信息罪中的“提供公民個人信息”。但是，對這兩條規范中的“同意”，應該作體系解釋。依據《民法典》第 1036 條的規定，處理自然人自行公開或者其他合法公開的信息無需承擔民事責任，除非該自然人明確拒絕或者該處理行為侵害其重大利益。從《民法典》第 1036 條與第 1038 條之間的關系來看，第 1038 條中的“未經自然人同意，不得向他人非法提供其個人信息”是針對他人未公開信息而言的;對于他人的公開信息，直接適用第 1036 條，無需承擔民事責任。因此，應該認為我國民法典第 1036 條明確否定了“二次授權”規則。〔80〕基于同樣的道理，對《侵犯公民個人信息罪解釋》第 3 條也應該作限制適用，即該條只適用于提供未公開個人信息的場合。如果是將合法收集的個人公開信息提供給他人，即使未經被收集人同意，也不應該構成犯罪。

　　其次，從法益論角度看，上述判決采取私法法益觀，把個人信息權理解為私法權利，缺乏對個人信息權公法屬性的理解。私法法益觀把個人信息權理解為絕對的排他權，個人對其信息，不論是公開信息還是未公共信息，不論是私密信息還是非私密信息，都具有同意與否的權利。這種看法存在兩個缺陷。一是未理解信息領域的復雜性。按照前述的領域理論，個人信息領域從核心到外圍可以分為三層：最核心層的私密信息、中間層的私人信息、最外層的個人公開信息。個人對其核心層的私密信息擁有絕對的自決權，私密信息的每一次處理都需要獲得自然人的同意或授權;處理最外層的個人公開信息則無需再獲得二次授權;處理中間層的私人信息則需要根據具體的情景來判定是否需要獲得自然人的同意或授權。二是忽略了個人信息的合理使用制度。如果個人信息權屬于私法權利，則不存在合理使用的可能，就像對婦女的性自主權不存在合理使用的問題一樣。但如果個人信息權屬于公法權利，那么該權利就要受到合理使用制度的限制。例如，新聞報道和輿論監督的行為、維護公共利益的行為都可能會對個人信息權形成制約，而無需取得自然人的同意。〔81〕

　　2.同意否定論的反思

　　第二種立場認為，即使經過個人同意，獲取或者提供個人信息的行為也會構成犯罪。在宋慧娟等侵犯公民個人信息案中，被告人宋慧娟等人收購他人實名注冊的淘寶店鋪信息(包括店主個人信息、支付寶賬號、銀行卡信息等)，然后將這些淘寶店鋪信息賣給被告人鄧光明，鄧光明再把這些淘寶店鋪信息在網上銷售牟利。淘寶店鋪的注冊人對于宋慧娟、鄧光明等人收購、出售包括個人信息在內的淘寶店鋪知情并同意。但是法院判決被告人的行為構成侵犯公民個人信息罪，理由是“本罪名侵犯的客體不僅僅是公民個人的人身權利和民主自由權利，還包括社會管理秩序，故即使被出賣個人信息的注冊人是同意的，且有獲得對價，仍侵犯了本罪的客體”。〔82〕可見，與前述認為本罪保護法益是私法上信息權的判決完全相反，該判決認為本罪的法益不是個人法益，而是超個人法益。如前所述，斷定本罪法益屬于超個人法益的觀點值得商榷。因此，基于超個人法益觀的上述判決結論也值得商榷。

　　3.同意相對論的提倡

　　本文認為侵犯公民個人信息罪的保護法益既不是私法上的個人信息自決權，也不是超個人的集體法益，而是公法上的個人信息受保護權。按照本文所提倡的公法法益觀，經過個人同意的行為當然不可能成立犯罪，因為個人的同意意味著其放棄了個人信息受保護的權利。〔83〕未經個人同意的行為是否構成犯罪，需要具體分析。具體來說，未經個人同意，獲取或者提供其核心領域私密信息的行為，成立犯罪;未經個人同意，獲取或者提供最外層領域公開信息的行為，不成立犯罪;未經個人同意，獲取或者提供中間層私人信息的行為是否構成犯罪，要看該行為是否符合合理使用規則，只有未經同意又不符合合理使用規則的行為才成立犯罪。

　　四、結論

　　侵犯公民個人信息罪的法益不是超個人法益，而是個人法益，但也不是個人法益中的私法法益，而是個人法益中的公法法益。應該按照從私法權利回歸公法權利的邏輯重構侵犯公民個人信息罪的法益觀，并重新解釋本罪的構成要件符合性和違法性。

　　個人信息并非個人私有信息，個人對其信息并不擁有排他性的支配權，個人無法像支配其性自主權一樣支配其個人信息。私法上個人信息權與公法上個人信息權，雖然都是個人的信息權，但兩者在規范目的、權利特征、法律依據等方面都存在很大差異。公法上的個人信息權的涵義是“個人信息受保護權”，而不是排他性的“個人信息自決權”。即使采取“個人信息自決權”的概念，也應該回歸其原本的公法屬性。

　　個人信息既具有私密性，也具有社會性。根據私密性的逐漸降低和社會性的逐漸升高，個人信息分屬三個不同領域：最核心層的隱私領域、中間層的私人領域、最外層的社會領域。最核心層的隱私領域屬于個人生活的最內層，該領域中個人活動的私密性最高，社會性最低;中間層的私人領域的私密性低于隱私領域，社會性高于隱私領域;最外層的社會領域包含了與社會緊密相連的利益，而幾乎沒有私密性。

　　作為侵犯公民個人信息罪的行為對象，不同領域中的個人信息，具有不同的構成要件該當性判斷和違法性判斷的基礎。我國司法實踐實際上采取了領域理論，不同領域中個人信息的定罪標準不同。同時，不同領域中的個人信息具有不同的違法阻卻事由。例如，未經個人同意，獲取或者提供其核心領域私密信息的行為，成立犯罪;未經個人同意，獲取或者提供最外層領域公開信息的行為，不成立犯罪;未經個人同意，獲取或者提供中間層私人信息的行為是否構成犯罪，要看該行為是否符合合理使用規則，只有未經同意又不符合合理使用規則的行為才成立犯罪。