温雅璐 程鹏｜个人信息刑民交叉保护理念及方法的差异

个人信息属于刑民规范聚合下的典型概念，尽管刑法与民法在调整对象和规范目的上风格各异，但不可否认，二者在事实性质的调整范围上存在交叉重合，特别体现在民法中的权利客体与刑法中的行为对象具有一定程度的相似性。因此，如何在刑民交叉语境下寻找到适当的切入点以辅助保护个人信息，成为难点问题。从域外立法情况看，个人信息刑事与民事交叉保护也是域外通例。首先，域外国家和地区的个人信息刑民保护多采取立法分离的方式，其次，域外有关个人信息保护的立法多是在行为目的具有合法性基础的前提下来规制个人信息的处理行为，以确保个人信息处理行为不侵犯个人基本权利。从域内外的刑民平行保护的思路流变来看，这样一体双翼的保护思路在网络时代具有重要意义，但鉴于目前个人信息刑事保护的研究浩如烟海，这个领域比较棘手的一些问题均得到了较为明确的实操意见。但是站在有利于互联网经济发展、促进数据流通交易的这个角度来看，个人信息刑民交叉还存在些许问题亟待解决。

一、个人信息刑民司法保护的理念

近年来，大量的信息被收集、泄露，信息不当处理行为频发，甚至促成许多下游犯罪。信息安全直接关系到公民的生活安宁或人身财产安全，为遏制信息违法行为，不得已先于民事手段而运用刑罚手段规范信息利用行为。但是，刑法这种单向度扩张犯罪圈的发展趋势明显是与其后置法保障地位相抵牾的，使得刑法在打击侵犯新型权利犯罪时对于新型法益的内涵和外延之判定，没有民法上的一般规定相指引，只能进行一次违法性判定，出现作为民法保障法的刑法无前置法可保的尴尬局面。因此，随着社会功能和经济发展方向的调整，涉个人信息保护的民事、行政双翼逐渐完善，国家要调整既往的涉个人信息刑事保护政策，强调“刑法要谦抑，民法要扩张”的现代刑民交叉案件处理基本思路。特别是针对方兴未艾的网络法领域，要摒弃重刑轻民的思维模式，只有这样才能预防侵犯公民个人信息的犯罪发生，为我国数字经济的发展提供较为宽松的法治环境。具体处理上，应坚持以下理念：

首先，坚持前置法定性与刑事法定量相统一。众所周知，刑法的使命在于保护法益。但是，刑法法益并非由刑法独立设置保护。相反，刑法法益既是刑法与其前置法对于承载宪法价值秩序之社会经验事实予以逐级规范承认的产物，又是刑法与其前置法按照宪法比例原则进行层级责任分配和规范保护的结果。其中，承担法益确立之职的是民商法、行政法等前置法中的调整性规范，负担法益保护之责的是第一保护性规范——前置法中的法律责任规范，和第二保护性规范——刑法。因此，坚持罪刑法定原则和刑法谦抑性原则，明确民法典及个人信息保护法作为前置评价法的地位，明确其颁布实施对侵犯公民个人信息罪司法适用产生的影响。在具体案件处理上，要遵循法秩序的统一性，防止将前置法上不具有违法性的行为在刑法上认定为犯罪。民法典及个人信息保护法的相关规定为其他法律关于个人信息保护的规定奠定了坚实基础，无论是行政执法抑或侵犯公民个人信息犯罪的适用，都应当以个人信息的民事权益保护为基础，民法的违法性判断是刑事有责性判定的前提。就刑法适用而言，办理侵犯公民个人信息刑事案件，特别是对相关获取、提供公民个人信息行为定性时，要对标民法典的相关规定，坚决防止将符合民法典规定的行为认定为“违反国家有关规定”，甚至按照犯罪处理。个人信息保护的“刑民协同”路径和方式，应当成为民、刑关系发展的趋势和潮流。

其次，确立兼顾个人信息保护与促进信息自由流通为目标的立法理念，适用恰当的刑法手段维护社会安定和发展。只有将预防性刑法和谦抑性刑法有机结合，协调处理二者的冲突关系，才能实现二者利益平衡。刑罚是一把双刃剑，一方面保护公民个人信息，另一方面限制信息有效利用。在对侵害信息行为进行打击的同时，还要考虑这种打击行为是否对信息产业的发展产生了消极影响。对信息利用限制不够，就会对公民个人信息保护不力，进而有大量侵害行为发生；对信息保护过度，则可能会因噎废食，影响信息的合理利用，阻止信息技术的进步，造成阻碍社会发展的结果。因此，我们应当妥善平衡二者的关系，既要注重发挥个人信息的经济效用，也要注重保护信息主体的个人信息权利，不能因为过度保护个人信息等权利而限制了数据产业发展，也不能为发展数据产业而不考虑个人信息等权利的保护。更为重要的是，在刑事司法中也要贯彻平衡保护个人信息与促进信息自由流通的观念，对于一些处于模糊地带、法律规定不明确的案件，尽量秉承刑法的谦抑性，既要有力保护个人信息，也要防止动用刑法对信息自由流动产生不利影响。

再次，充分理解个人信息保护条款的规范解释学意义，处理好刑法规范与民法典、个人信息保护法之间的法律适用关系。一方面，个人信息的法益具有高度的复合性，这就要求个人信息的民事侵权保护应在高度场景化下采取行为规制模式来进行利益的判定，结合个案的场景情况进行分析，准确认定不同场景下的犯罪阻却事由。这与刑法上的行为规制理念存在不同，一般刑事司法保护上，如果某个行为被确定为符合犯罪的构成要件后，此类行为会被认定为犯罪，不论此类行为发生在哪种场景，针对何种对象。另一方面，从个人信息保护法的立法所调整的行为来看，其所保护的是个人信息所承载的各种利益的平衡及安全，而不是针对通过违法犯罪行为获取个人信息并从事社会危害的行为。这是考虑到个人信息保护法规制的是依据法律规定就个人信息进行处理（分析识别）的行为，即在各种场景下为开展社会交往、实施社会活动（包括为公共利益、经济利益开展等目的）而进行的收集和使用个人信息的行为。换言之，个人信息保护法调整的符合合法性基础而处理信息的行为，而不是违反法律规定，即非法处理个人信息的行为。这类问题的清晰厘定，有助于理解个人信息保护法规定调整对象的内在含义，特别是针对刑事司法实践中处理个人信息保护的路径及方法起到“定海神针”的指南作用，以应对民法典、个人信息保护法颁布实施以后，仍旧出现刑事打击与民事侵权、行政执法中的法律适用混淆问题。

最后，正确判定刑事责任与民事侵权责任质与量的转换。刑事不法在质上具有较高的社会伦理非难性，而在量上具有较大的社会危害性；侵权行为的不法在质上具有较低的伦理可责性或者根本不具有社会伦理非难性，在量上也不具有重大的社会危害性。相较于许多西方国家采取的“立法定性，司法定量”的定罪模式，我国采用“立法既定性又定量”的定罪模式，但无论哪种模式，都存在定量因素要求，都有从量变到质变的过程。在我国“既定性又定量”的立法模式中，定量法条数量众多，这更凸显了精确划分行为性质的难度。另外，定量因素中的“情节恶劣”“情节严重”等概括性表述，也使民事侵权责任与刑事责任的模糊地带范围更广。在实践中，刑事立法的刚硬和僵化不利于实质正义的实现，民事侵权责任与刑事责任的模糊地带为二者之间的责任转化提供了一个缓冲的平台，符合公平、正义的实质要求。

在个人信息领域，一方面，关于民事行为违法判断，建立权益侵害要件双阶层认定机制，以行为规范与信息自决保障的关系为标准，类型化个人信息保护行为规范，确定违法违规行为与信息自决贬损之间的关联状态。另一方面，关于刑事责任认定，《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第5条对个人信息进行分类，列明属于侵犯公民个人信息“情节严重”的行为。诚然，立法初衷是为了对个人信息进行分级区分，突出对重要个人信息进行刑法保护，明确入罪标准，但这一规定衍生出对侵犯公民个人信息“情节严重”的困惑，带来司法适用的不统一。最后，多元主体参与到个人信息保护中去，行为与责任出现一定的公私混同，要使责任分配明确，必须要确立各主体之间的地位，区分各主体的责任。概言之，虽然立法对于“违法性”有各自的认定标准，但在司法实践中，应结合具体案件情况，注意情节量与质的转换，明确主体责任，探索个人信息保护的最佳路径。 

二、个人信息刑事保护的要点理解

目前刑法学界的众多研究成果，因为大部分均是在民法典、个人信息保护法颁布之前的研究，只能局限于刑法领域内的规范分析，无法与其他部门法的有益研究成果形成良好互动和相互协调，这些都是不利于促进个人信息合理使用的，也是我们在研究中应注意的问题。尤其是在数字经济迅猛发展的当下，实务中厘清对侵犯公民个人信息罪的行为对象、保护的法益与个人信息的范围、分类、公开性等问题的界定非常重要，这些问题的源头也非刑事法律考虑的范围，所以要从理念及方法论上厘清其与民法上相关概念的细微差异是必要的，以期消除刑事与民事司法实务上的分歧意见。

一是准确界定侵犯公民个人信息罪的行为对象，确证侵犯公民个人信息罪的法益属性，是正确处理刑民规范的重要前提。通说观点认为，行为对象是指“犯罪行为所作用的客观存在的具体人或者具体物”，作为一种客观存在，行为对象不以权利主体的意志为转移，并能为主体的意志所反映。按照类型不同，行为对象可准确区分为人和物两类。“个人信息”是“窃取或者以其他方法非法获取”等客观行为所作用的直接对象，且更贴近于物的概念，将“个人信息”认定为侵犯公民个人信息罪的行为对象不存在疑问。

二是把握公民个人信息的范围，有利于准确认定侵犯公民个人信息罪。公民个人信息保护范围的大小决定了入罪和出罪的基本条件，公民个人信息的范围越大，侵犯公民个人信息罪的入罪的门槛越低，反之，出罪的可能性越大。罪刑法定原则要求公民个人信息范围必须由法律明确规定，这就要求立法机关科学合理划定公民个人信息的范围，范围的划定不能太窄，范围太窄不足以有力打击海量的严重侵犯公民个人信息的行为。有观点认为，将刑法所保护的公民个人信息仅理解为个人隐私，把刑法里的公民个人信息权等同于民法里的隐私权，只有个人信息中涉及隐私权的部分信息才属于刑法保障的范围。也有观点认为个人信息与个人隐私进行严格区分，前者的保护范围较后者大，“个人隐私”的概念将无涉隐私的个人信息排除保护范围之外，显然是不够全面的，所以以侵犯非隐私的个人信息未造成严重后果为由，来否定侵犯个人信息行为入罪的观点是不能成立的。在民法典和个人信息保护法颁布之前，普遍采用《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的相关规定进行说理。根据该解释第1条规定，只要能够起到单独识别或者结合识别作用的个人身份信息、家庭信息、动态轨迹等，都属于个人信息的范畴，尽管从定义上，该解释明确具体地阐释了个人信息的包含范围，并且还用“等”作为兜底性概况，进一步扩张保护范畴，但是在实践中还是存在模糊地带。个人信息保护法出台后，作为涉个人信息保护的基本法，刑事领域的个人信息保护的概念与范围同基本法应保持一致，只是在具体刑事打击的范围时，应通过具体法益来衡量保护的客体，较单纯的概念论应该更加准确。

三是准确理解“有关国家规定”对公民个人信息范围的界定具有意义，可以说是直接决定了公民个人信息的范围。目前司法实践中，无论是刑法修正案（七）、刑法修正案（九），在第253条之一当中，均有“违反国家规定”“违反国家有关规定”的规定，侵犯公民个人信息罪当中提及的“违反国家有关规定”，应是构成本罪的前置性违法要求，一般都是通过“有关国家规定”的内容来调整本罪的定罪标准，这样既保证了刑法条文的稳定性，又增加了其灵活性，使刑法条文的适用性能够起到以不变应万变的作用，在不频繁修正刑法条文的同时也能够适应信息社会发展形势和信息犯罪的不断变化。其强调的是行为人的行为首先是一种违反了法定义务的行为。至于这些规定具体是指哪些规定，要根据具体情况，有必要对“侵犯公民个人信息罪”的前置法规范进行梳理和分析。主流观点认为，对于“国家有关规定”的范围应适当进行限制解释，必须基于刑法目的和价值取向来检验与评价，否则信息产业的发展利益得不到兼顾，可能会受到侵犯，甚至可能受到毁灭性的打击。笔者也赞同，基于罪刑法定和刑法谦抑性原则，应将刑法第253条之一“国家有关规定”作限制解释，排除同级地方性法规和地方行政规章，只应限定在国务院所属的各部、委员会制定的部门规章范围内，才能符合立法本意。

三、刑事保护与民事侵权保护存在交叉的领域应注意的问题

侵犯公民个人信息罪的相关司法解释和民法典、网络安全法及个人信息保护法所采用的个人信息概念并不完全相同，那么刑法意义上的“个人信息”应当如何界定，民法所采取的区分模式以及对个人信息范围的认定能否适用到刑法当中，这涉及同一概念在刑民不同规范中的认定问题。按照体系解释，“法律条文只有当它处于与它有关的所有条文的整体之中才显出其真正的含义”，对法律概念的解读也应当如此，而体系解释的要求不仅应当体现在具体某个独立性的法规范内部，也应当体现在以部门法为单元的整个法律体系之中。刑法与民法作为整个法律体系中极为重要的部门规范，共同解释“个人信息”有其合理性和必要性。除此之外，概念界定差异导致个人信息保护出现法律适用上的不确定性及评价标准上的不同性，这些需要我们在司法实践中予以注意，具体来看：

法秩序统一，是指‘整体法秩序’内部是统一的，即许多部门法背后所展示出来的整体法秩序不存在内在矛盾。按照“形式统一性”要求，个人信息应当同时接受刑法与民法规范的双重调整，民法典作为一部“人的权利法”，其中的相关规定具有不可或缺的价值意义。“刑法和民法的关系不是对立、互斥的关系，而是补充、承接的关系”，民法作为刑法的前置法，刑法需要充分考量民法理论的规范立场和逻辑路径，如果刑法单独设立“个人信息”概念，势必破坏法秩序的统一性。按照“目的的统一性”要求，不同法律规范之间所保护利益应实现本质上的统一。但此种“实质统一性”并不苛求规范目的的完全一致。刑法恪守罪刑法定原则，以惩罚犯罪与保障人权为规范目的；而民法以意思自治为基本原则，充分保障民事主体的意思自由，以促进经济发展和维护交易秩序为必要。二者具有不同的规范目的与价值立场，当以解释刑法意义上的“个人信息”为目标时，必须以刑法规范目的为核心，充分反映侵犯公民个人信息罪的法益本质。

值得注意的是，侵犯公民个人信息罪的保护法益保护范围应窄于个人信息民法保护的法益范围，也就是刑法只保护最核心的“控制权”，可以类推拟制为信息自决权的范围，这一法益的确立对于合理限制侵犯公民个人信息罪的成立范围，甄别值得处罚的信息犯罪行为，具有重要的法治机能。民法典和域外立法经验都将个人信息权的主要权能规定为个人对信息的决定及控制权，均以具体个人权益为视角，强调个人人格利益。有学者提出论证，刑法中侵犯公民个人信息权的法益构建则需在民法典对个人信息权细化的基础上进行，将信息自决权作为侵犯公民个人信息罪的保护法益：一是将个人信息权作为刑法保护本罪的法益，指导分则适用的功能并不明显。就如同将非法侵入住宅罪的法益认定为住宅权、将毒品犯罪的法益认定为对毒品的管理秩序、将生产、销售伪劣产品罪的法益认定为国家对商品的生产管理秩序一般。有学者认为在可以进一步明确各罪具体法益的时候，应当尽可能明确核心而不能以上位概念替代，否则刑法分则各罪的法益直接统一认定为社会危害性即可。二是以信息自决权作为侵犯公民个人信息罪的保护法益，符合该罪构成要件所规定的行为方式。刑法对侵犯公民个人信息的行为方式规定为“出售”“提供”“窃取或以其他方式非法获取”三类，都是违背信息主体对信息流转的自我决定权。总之，个人信息权不是传统的任何一种权利，而是一种独立的新型权益：刑法在分析侵犯公民个人信息罪的保护法益时，应该跳出传统思维，抛弃诸如隐私权说、生活安宁说、个人尊严说、人格权说等种种根植于民法传统权利的法益学说，而将个人信息权作为一种独立的权利来对待，将侵犯公民个人信息权作为不同于传统法益的法益来保护。这样的保护理念虽然笔者不赞同，但是作为法益保护的对象应该采取限缩的方式，在刑事领域更多体现的应该是“自决权”核心领域的部分，这与民法保护的差异化思路殊途同归，也具有实践意义。

民法视阈下的个人信息是从私法权益保护的角度出发，主要围绕人格权的适用范围而展开，并利用侵权责任进行救济，也有学者认为合同责任同样属于个人信息权益保护的方式；刑法视阈下的个人信息延续的是公法的规制思路，针对的是个人信息处理行为，体现出行为规制的特点。在互联网和大数据背景下，个人信息所蕴含的保护法益内容逐渐呈现出复合性、多元化特征，从个体的人格权扩展至公共利益、社会秩序和国家安全，进而从民法问题延伸至刑法规制的范围，法律将面临如何在权利保护和价值利用、信息自由与信息安全方面进行利益平衡和价值选择的问题。

由于当今数字社会法律行为的表现形式变幻莫测，相关技术发展层出不穷，只有透过纷繁复杂的事物表象，抓住利益平衡这一法律治理最核心的目标，才能建立坚如磐石的制度体系。其首要任务是了解和认识利益，通过公民、市场组织、政府、国家四类利益主体的视角，可以实现数字社会法律治理体系建设的周延性。四种价值取向也体现出了四种不同的规则体系。例如，对公民而言主要关注的是“民法规则体系”，注重权益保护，构建以隐私权和个人信息权益为核心的法律制度，尤其是避免因信息处理导致的人身财产权益遭受侵害或人格尊严、人格自由受到损害，归结而言主要是人格权益的保护和救济，经济利益在司法实践中主要表现为救济利益（例如侵权责任、违约责任）；对企业而言，追求的是商业发展和经济激励，主要关注的是“商法规则体系”，注重行业标准和操作模式；对政府而言，追求的是在公共秩序和社会发展之间寻求平衡，或者说是在安全与效率之间寻求平衡，更多表现为“公法规则体系”，注重规制型制度；对国家而言，追求的是在国际社会中的竞争、合作和发展，更多表现为“国际治理体系”，在新形势下的刑民交叉保护中应将这四种价值判断融入司法的裁量中，也要善于运用复合型思维模式来就个人信息刑民保护进行利益衡量。

具体到刑民交叉问题，一方面，需要特别强调个人信息安全行业标准与刑法规范之间有效衔接问题。虽然两者的出发点都是对个人信息权益进行保护，但保护的目的和方式不同。刑法主要是从惩治犯罪活动角度出发，所规制的入罪门槛必须是个人信息保护的“最低安全基线”。因此，行业规范可以作为界定个人信息法益保护的前置性依据，但不宜直接将其作为判断刑事违法性的依据，否则将导致刑事打击范围过大，不利于个人信息权益的保护。另一方面，刑法应处理好个人权利自由保护与价值利用的关系，在信息自由与信息安全之间予以利益平衡。基于个人信息知情同意保护原则，刑法应当参照个人信息保护法、网络安全法及有关收集使用个人信息的行业规范，明确网络运营者对用户知情同意保护义务，通过对侵犯公民个人信息罪中“违反国家有关规定”构成要件进行限制解释，认定网络运营者非法获取、使用用户个人信息或提供给他人的刑事责任；同时，将用户知情同意看作刑法上被害人同意的出罪事由，但其出罪功能应受到适度限制。最后，刑法应注意信息业者和政府作为信息利用角色的加入，进而将个人信息保护与利用的利益衡量放置于整体社会环境中进行。个人信息保护与利用的社会性使得其不同于传统隐私权保护中个体层面的利益衡量。在社会信息化进程中，传统产业信息化和专门信息服务业出现，使得信息业者作为新的独立利益主体出现；国家除了传统隐私权保护时期中立超然的裁判者身份外，为完成公共管理和公共服务职能，政府大量参与个人信息的收集、处理和利用过程，国家同时具有了管理者和利用者的双重身份。新的利益主体和角色的出现代表了整个社会对于个人信息的利用诉求，因而不同于传统隐私权从个体出发为个体提供单一向度的权利保护，个人信息需要从保护和利用两个角度兼得的视角加以考量。

从个人信息本身涉及的两类安全来看，主要涉及个人信息安全与个人信息非法利用引发的安全。个人信息保护法仅规范个人信息处理的安全行为，而利用个人信息实施违法行为侵害人身和财产安全的行为则应当由刑法来规范和惩治。网络安全法“网络信息安全”一章对个人信息安全的规范，显然属于针对网络运营者个人信息安全保障义务的立法规范，该规范主要是保护个人信息在存储、运营和利用过程中的安全，而非针对非法利用个人信息进行犯罪中的安全，这类违反安全保障义务导致的侵害行为属于特殊的类型。由个人信息利用引发具有社会危害性的安全问题则应当受刑法规制。

具体到刑法规范释义学，刑法通过两次修正案确立的“侵犯个人信息罪”（刑法第253条之一）是针对严重的个人信息买卖、盗用现象而设计的，该条文宣布“出售、非法提供公民个人信息”和“非法获取公民个人信息”违法，情节严重的可以入刑。这说明刑法隐形的确立了个人信息利用规范，并对严重侵害个人权益的个人信息违法利用行为予以刑事制裁。显然，它是将个人信息流通利用行为本身认定为犯罪行为（主要限定条件是违反法律规定），并没有将非法目的作为限定条件，因而是我国特有的对个人信息的保护方式。相对于其他国家而言，我国个人信息保护多了一层较为复杂的刑事评价过程。实际上，该保护旨在制止脱离具体应用场景的买卖、非法提供和盗用个人信息的行为，因为这样的利用行为本身即具有社会危害性。因此，有观点曾建议对刑法这一规定进行修改，将该罪修改为目的犯，即将“以从事违法活动或侵害个人权益活动为目的”作为该罪之构成要件之一，以符合刑法规范的目的。