侵犯公民個人信息罪的價值選擇與認(rèn)定

徐興濤

[摘要]侵犯公民個人信息罪的設(shè)立，較為有效地保護(hù)了公民的個人信息。隨后最高人民法院會同最高人民檢察院出臺的相關(guān)司法解釋及指導(dǎo)性案例，也為司法實(shí)踐中正確處理此類案件提供了較為可行的操作標(biāo)準(zhǔn)。但由于本罪具有預(yù)防刑法的特性，對其理解與適用應(yīng)進(jìn)行合理限縮。在理解這一罪名時，應(yīng)當(dāng)以兼顧公民個人信息的保護(hù)與數(shù)據(jù)產(chǎn)業(yè)發(fā)展的平衡為價值指引，注意兩高的相關(guān)解釋與《網(wǎng)絡(luò)安全法》的銜接。在侵犯公民個人信息罪的構(gòu)成要件的具體涵攝中，應(yīng)將相關(guān)信息豁免制度作為輔助性參考，正確認(rèn)定阻卻構(gòu)成要件的情形。公民個人信息的內(nèi)涵具有“可識別性”，其范圍包括身份識別信息和活動情況的信息，IP地址、Cookies等都可納入，但在具體的認(rèn)定上應(yīng)當(dāng)增加認(rèn)定要素以限縮范圍;作為構(gòu)成要件要素的“國家有關(guān)規(guī)定”的范圍應(yīng)當(dāng)限制為法律、行政法規(guī)，部門規(guī)章應(yīng)當(dāng)排除在外。

[關(guān)鍵詞]價值衡量;信息豁免;個人信息范圍;“國家有關(guān)規(guī)定”

[中圖分類號]D914 [文獻(xiàn)標(biāo)識碼]A [文章編號]1671-8372（2020）01-0054-08

隨著信息社會的到來，信息資源在社會生活中發(fā)揮著越來越重要的作用，在某種意義上已成為重要的生產(chǎn)要素和社會財富的表征。個人信息的重要性也日漸凸顯，成為當(dāng)下信息經(jīng)濟(jì)中的重要元素。然而，現(xiàn)實(shí)中個人信息的泄露十分嚴(yán)重，通過刑法對公民的個人信息進(jìn)行保護(hù)，成為社會公眾的理性需求。

2009年2月28日通過的《刑法修正案（七）》增加了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪兩個罪名，作為刑法第二百五十三條之一，正式將侵犯公民個人信息的行為人刑。這使得司法機(jī)關(guān)在處理侵犯公民個人信息類案件時有了刑法上的依據(jù)，在_定程度上打擊了此類犯罪活動。隨著社會信息化程度的加深，侵犯公民個人信息的犯罪愈加頻發(fā)，并呈現(xiàn)出與電信網(wǎng)絡(luò)詐騙、綁架、敲詐勒索等犯罪活動聯(lián)系在一起的新特征。為了應(yīng)對這一犯罪狀況，加大對公民個人信息的保護(hù)力度，2015年8月29日通過的《刑法修正案（九）》對刑法第二百五十三條之·進(jìn)行了修改，將原來的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩罪合并為“侵犯公民個人信息罪”一個罪名。此次修改對原有條文進(jìn)行了完善，將本罪的主體修改為一般主體，明確規(guī)定了從重處罰的情節(jié)，并以情節(jié)犯的模式加重了法定刑。

根據(jù)對相關(guān)案件的統(tǒng)計分析，侵犯公民個人信息罪的大多數(shù)案件通過互聯(lián)網(wǎng)實(shí)施。此外，還與其他類型的犯罪交織在一起，這使得侵犯公民個人信息的情形比較復(fù)雜。實(shí)際案件辦理過程中，在很多具體的適用問題上存在爭議。為此，最高人民法院會同最高人民檢察院（下文簡稱兩高）于2017年明8日發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（下文簡稱《解釋》），為侵犯公民個人信息罪的定罪量刑提供了細(xì)化的操作指南。在此前后，兩高還曾發(fā)布了數(shù)起侵犯公民個人信息犯罪的典型案例，最高人民檢察院還在2018年11月9日印發(fā)了《檢察機(jī)關(guān)辦理侵犯公民個人信息案件指引》，這些都為實(shí)踐中正確處理此類案件提供了依據(jù)。

侵犯公民個人信息罪的設(shè)立及兩高《解釋》的出臺，有力地保護(hù)了公民的個人信息，其具體的定罪量刑標(biāo)準(zhǔn)也在司法實(shí)踐中日臻完善。但是，由于侵犯公民個人信息罪具有預(yù)防刑法的特征，在具體的理解和適用中，需要關(guān)注該罪及《解釋》背后所體現(xiàn)出的價值取向，遵循刑法的謙抑性原則，并以此為指導(dǎo)正確處理司法實(shí)踐中所面臨的具體問題。

一、侵犯公民個人信息罪的價值取向與利益衡量

（一）理解該罪的基本立場

在當(dāng)今時代，公民個人信息是重要的生產(chǎn)要素和珍稀資源，因而收集和分析各類信息成為必要，這催生了大數(shù)據(jù)的運(yùn)用，獲取和分析數(shù)據(jù)信息成為社會運(yùn)行的常態(tài)。商家為了進(jìn)行精準(zhǔn)營銷，會在其經(jīng)營過程中利用自己提供的商品或者服務(wù)有意識地收集個人信息，甚至還會同其他商家進(jìn)行交換、分享等，以便于進(jìn)行個性化定制活動。各地建立了很多數(shù)據(jù)交易公司，以實(shí)行數(shù)據(jù)信息的共享和利用。除作為經(jīng)濟(jì)實(shí)體的商家外，國家層面的社會治理和管控的科學(xué)化水平也有賴于大數(shù)據(jù)的應(yīng)用，通過大數(shù)據(jù)分析，政府可以更理性科學(xué)地做出決策。因此，大數(shù)據(jù)的應(yīng)用和發(fā)展，對于促進(jìn)社會進(jìn)步、經(jīng)濟(jì)發(fā)展以及提高政府綜合治理水平，都具有重要的作用。從某種意義上說，大數(shù)據(jù)是國家重要的戰(zhàn)略資源，也是科技創(chuàng)新的重要增長點(diǎn)。

個人信息也是信息經(jīng)濟(jì)健康發(fā)展的要素，而個人信息是否安全直接影響著信息經(jīng)濟(jì)能否向好發(fā)展。動用刑罰手段對個人信息進(jìn)行保護(hù)，具有迫切的現(xiàn)實(shí)需求。公民個人信息的安全固然重要，但也不能因噎廢食。尤其是在當(dāng)前大數(shù)據(jù)相關(guān)行業(yè)的發(fā)展如火如荼的形勢下，更應(yīng)當(dāng)處理好二者的關(guān)系。在大數(shù)據(jù)和云計算的時代背景下，包括公民個人信息在內(nèi)的各種信息要想創(chuàng)造價值，必須能夠自由地流動和交易，而在這一過程中不可避免地會涉及公民個人信息的保護(hù)邊界問題。毋庸諱言，公民個人信息的保護(hù)與大數(shù)據(jù)產(chǎn)業(yè)發(fā)展之間存在一定的張力，解決二者矛盾的有效途徑即是通過制定和適用相關(guān)法律，為兩者的劃分提供相對清晰的標(biāo)準(zhǔn)。我國信息產(chǎn)業(yè)的發(fā)展與公民個人信息的保護(hù)，必須通過良好法律框架的構(gòu)建來加以協(xié)調(diào)。在對侵犯公民個人信息的犯罪行為進(jìn)行有效打擊的同時，應(yīng)當(dāng)考慮其對大數(shù)據(jù)相關(guān)行業(yè)的發(fā)展所可能產(chǎn)生的消極影響，為大數(shù)據(jù)應(yīng)用創(chuàng)造較為寬松的法律環(huán)境。

兩高的《解釋》作為司法實(shí)踐中認(rèn)定該罪的重要參考，無疑具有最為顯在的指引作用。《網(wǎng)絡(luò)安全法》作為我國第一部涉及網(wǎng)絡(luò)安全管理的基礎(chǔ)性法律，對公民個人信息的保護(hù)做了較為系統(tǒng)的規(guī)定?！督忉尅返闹贫ㄗ⒁饬伺c《網(wǎng)絡(luò)安全法》的協(xié)調(diào)，對于不屬于侵犯公民個人信息的行為進(jìn)行了較為明確的說明。如《網(wǎng)絡(luò)安全法》第四十四條對非法行為進(jìn)行了限制和禁止，但對于合法出售或者提供公民個人信息的情形則予以認(rèn)可?！毒W(wǎng)絡(luò)安全法》第四十二條第一款還將征得被收集者同意、匿名化處理兩種行為作為合法利用信息的行為，與之相對應(yīng)，《解釋》也將這兩種行為排除在“提供公民個人信息”范圍之外，這也體現(xiàn)了其平衡個人信息保護(hù)與促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的立場。因此，對侵犯公民個人信息罪進(jìn)行理解和適用時，既要懲罰侵犯個人信息的犯罪行為，發(fā)揮刑法的威懾和教育的作用，也應(yīng)保持刑法的明確性和謙抑性，盡可能減少不利于信息產(chǎn)業(yè)良性發(fā)展的影響。

（二）施行中的建議

我國對公民個人信息的濫用情況十分嚴(yán)重，而與信息保護(hù)相關(guān)的立法則比較滯后，為了有效遏制這一具有嚴(yán)重法益侵害性的行為，國家動用刑法進(jìn)行規(guī)制具有現(xiàn)實(shí)合理性。對《解釋》的不正確理解和適用，會有損大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，甚至也會對一些廣泛適用的商業(yè)規(guī)則產(chǎn)生影響。侵犯公民個人信息罪的認(rèn)定范圍對我國商業(yè)活動中的數(shù)據(jù)交換和數(shù)據(jù)交易有較大的示范性指引作用，如果在實(shí)踐中處理不當(dāng)，可能會帶來相關(guān)行業(yè)和產(chǎn)業(yè)的萎縮。

首先，應(yīng)在符合法律規(guī)定的前提下，注意對侵犯公民個人信息罪成立范圍的限縮?！督忉尅返某雠_，填補(bǔ)了侵犯公民個人信息罪在司法適用中的模糊地帶，但我們在適用中也不能被司法解釋所奴役，簡單機(jī)械地適用《解釋》的規(guī)定。在該罪的具體理解和適用中，應(yīng)當(dāng)注意拿捏好保護(hù)個人信息與促進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的分寸。對于侵犯公民個人信息罪的具體范圍，有學(xué)者提出了限縮的具體路徑：將該罪的法益界定為公民的人格尊嚴(yán)與個人自由;對公民個人信息的范圍以法益侵害性進(jìn)行限制;增加行為目的作為該罪的構(gòu)成要件要素。這些具體路徑的探討雖然存在爭議之處，但在基本方向上無疑是正確的。

其次，具體適用中應(yīng)有意識地引導(dǎo)數(shù)據(jù)行業(yè)的合規(guī)建設(shè)。在大數(shù)據(jù)時代，平衡公民個人信息的保護(hù)與發(fā)展信息產(chǎn)業(yè)，應(yīng)注意發(fā)揮行業(yè)自律的功能，加大企業(yè)的責(zé)任。當(dāng)前，公民的個人信息很容易泄露，傳統(tǒng)的保護(hù)方式的效果已式微。在平衡個人信息保護(hù)與促進(jìn)數(shù)據(jù)行業(yè)發(fā)展之間如能注重發(fā)揮行業(yè)的有效自律，制定相關(guān)行業(yè)的實(shí)施細(xì)則，不僅能夠?yàn)檎J(rèn)定侵犯公民個人信息罪提供依據(jù)，而且可以促進(jìn)企業(yè)建立合規(guī)制度，提高數(shù)據(jù)利用的職業(yè)素養(yǎng)。所以，在制度設(shè)計的理念層面，“政府不應(yīng)假定消費(fèi)者在使用企業(yè)的通信工具等產(chǎn)品時主動透露了自己的隱私，那樣就意味著他們授權(quán)企業(yè)使用這些隱私”。而應(yīng)當(dāng)增強(qiáng)數(shù)據(jù)相關(guān)企業(yè)、行業(yè)的責(zé)任感，提升其數(shù)據(jù)利用的道德意識和良好觀念。因此，侵犯公民個人信息罪的具體認(rèn)定，在實(shí)現(xiàn)良好的法律效果的同時，應(yīng)注意對行業(yè)自律和企業(yè)合規(guī)建設(shè)的引導(dǎo)，進(jìn)而實(shí)現(xiàn)良好的社會效果。

二、信息豁免制度與構(gòu)成要件的涵攝

在刑法修正案和《解釋》中幾乎沒有明確規(guī)定與獲取、使用公民個人信息的豁免制度相關(guān)的內(nèi)容，也沒有指出法律適用中的“例外”情形。毋庸置疑，作為信息資源的一部分，公民個人信息具有極其特殊的地位，往往附帶巨大的經(jīng)濟(jì)價值?；谠诒Ｕ瞎駛€人信息權(quán)利的同時，兼顧互聯(lián)網(wǎng)大數(shù)據(jù)發(fā)展的現(xiàn)實(shí)需求，雖然相關(guān)法律沒有對合理取得、使用公民個人信息的行為予以明確排除，但是在對侵犯公民個人信息罪的構(gòu)成要件進(jìn)行涵攝時，應(yīng)當(dāng)結(jié)合相關(guān)的信息豁免制度對非法獲取、出售和提供公民個人信息的行為進(jìn)行理性判斷，對阻卻構(gòu)成要件的情形正確地進(jìn)行識別和認(rèn)定。

我國公民個人信息保護(hù)的法律框架并不完善，相關(guān)信息制度也并不成熟，尤其是在信息豁免制度方面。在經(jīng)濟(jì)學(xué)和社會學(xué)領(lǐng)域存在“后發(fā)優(yōu)勢理論”，該理論認(rèn)為，“發(fā)展中國家收入水平、技術(shù)發(fā)展水平、產(chǎn)業(yè)結(jié)構(gòu)水平與發(fā)達(dá)國家有差距，可以利用這些差距，通過引進(jìn)技術(shù)的方式來加速技術(shù)變遷，從而使經(jīng)濟(jì)發(fā)展得更陜?！边@也同樣適用于個人信息保護(hù)制度的建構(gòu)，在信息制度豁免方面，我們可以借鑒域外的先進(jìn)經(jīng)驗(yàn)。

（一）靈活運(yùn)用目的限定原則

目的限定原則在《網(wǎng)絡(luò)安全法》上有較為明確和集中的表述。《網(wǎng)絡(luò)安全法》第四十一條規(guī)定：“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。”這是對網(wǎng)絡(luò)運(yùn)營者在收集、使用目的上進(jìn)行的限定，也即符合其目的的行為應(yīng)當(dāng)認(rèn)為是合法使用。刑法第二百五十三條之一第三款規(guī)定了“以其他方法非法獲取公民個人信息”的行為方式，《解釋》對其內(nèi)容進(jìn)行了具體說明，以列舉的方式將兩種情形認(rèn)定為“其他方法”?！捌渌椒ā本哂卸档讞l款的屙陛，在具體的認(rèn)定中可以合理借鑒目的限定原則。當(dāng)獲取或者收集公民個人信息的行為符合使用目的時，不應(yīng)當(dāng)認(rèn)定為“以其他方法非法獲取公民個人信息”。在具體判斷是否符合使用目的時，應(yīng)當(dāng)進(jìn)行動態(tài)的把握。借鑒場景及風(fēng)險的理念，合理地評估后續(xù)的數(shù)據(jù)收集及處理。具體來說，應(yīng)從客觀和主觀兩個方面進(jìn)行考察：從客觀看，后續(xù)行為是否增加了原有的風(fēng)險;在主觀上，考察后續(xù)的處理是否超出了用戶的合理預(yù)期。如果這兩方面都能得出否定的結(jié)論，則可以認(rèn)為是“合理使用”，可以對此種行為進(jìn)行豁免。

（二）本人同意的效果

《網(wǎng)絡(luò)安全法》第四十一條還涉及本人同意的效果問題。德國的信息保護(hù)走在了歐盟的前列，其信息保護(hù)的法律和制度對歐盟產(chǎn)生了重大影響。德國刑法中有侵害私密罪，但與我國的侵犯公民個人信息罪存在較大差別，其信息保護(hù)的主要法律是《聯(lián)邦信息保護(hù)法》。盡管整個歐盟境內(nèi)適用《一般信息保護(hù)條例》，但是并沒有到影響《聯(lián)邦信息保護(hù)法》在德國的普遍適用。因?yàn)榈聡畔⒈Ｗo(hù)的立法水平非常高，《一般信息保護(hù)條例》借鑒了《聯(lián)邦信息保護(hù)法》的許多法律制度。德國個^信皂、保護(hù)的主要原則是信息控制，由信息主體決定其信息被采集的時間、地點(diǎn)及方式。這種個人對其信息支配和控制的權(quán)利被稱為信息自決權(quán)，是憲法上人陛尊嚴(yán)保障的體現(xiàn)。德國《聯(lián)邦信息保護(hù)法》在理念上推崇意思自治原則，將信息主體的同意作為合法采集、使用的判斷標(biāo)準(zhǔn)，并詳細(xì)規(guī)定了信息主體所享有的具體權(quán)利?！督忉尅返谌龡l明確了未經(jīng)被收集者同意向他人提供信息的行為屬于“提供公民個人信息”，其內(nèi)容能否反向推定適用于構(gòu)成要件的排除值得探討。刑法上的被害人承諾的相關(guān)理論可以用于解決在信息主體同意時對行為人的歸責(zé)問題。被害人承諾在犯罪論體系中的地位存在—定的爭議，按照德國影響較大的觀點(diǎn)，其屬于客觀歸責(zé)的內(nèi)容，在存在被害人承諾時原則上阻卻構(gòu)成要件。

原則上講，本人同意可以作為合理使用的條件，一般情況下可以免責(zé)。但是也不能進(jìn)行簡單的處理，在出現(xiàn)社會的一般人難以預(yù)見風(fēng)險、制造風(fēng)險和風(fēng)險升高的情形時，如果行為人利用其信息技術(shù)優(yōu)勢對此有認(rèn)識，應(yīng)當(dāng)主動采取造成較小風(fēng)險的措施和預(yù)案。若本人知曉其風(fēng)險后，明確表示同意接受的，則仍可以視為合理使用，進(jìn)而以被害人承諾理論排除歸責(zé)。

（三）禁止收集原則及其例外制度

在對侵犯公民個人信息罪的行為方式進(jìn)行認(rèn)定時，可以結(jié)合和參考外國及國際組織關(guān)于個人信息保護(hù)的禁止收集信息原則及其例外制度，作為行為認(rèn)定的輔助性參考資料。因?yàn)槲覈畔⒈Ｗo(hù)的法律體系并不健全，現(xiàn)有的法律制度及立法水平也有待完善和提高，當(dāng)出現(xiàn)侵犯公民個人信息的相關(guān)行為時，在對行為進(jìn)行類型化處理的同時，尤其應(yīng)當(dāng)適當(dāng)參考域外的禁止原則與特定情形下的例外規(guī)定?！督忉尅返谒臈l還將違反國家規(guī)定“在履行職責(zé)、提供服務(wù)過程中收集公民個人信息的”行為認(rèn)定為非法獲取公民個人信息，在理解和適用這一行為方式時，除了與我國的信息保護(hù)的相關(guān)法律和制度銜接外，應(yīng)參考國際通行的信息禁止收集原則和例外收集制度。

經(jīng)濟(jì)合作與發(fā)展組織（OECD）、歐盟和德國的信息立法中都包括一些例外的規(guī)定。原則上，法律有授權(quán)時，才能在一定條件下收集公民個人信息，但收集的條件并不適用于一些特殊情形。如國家機(jī)關(guān)在履行公共職責(zé)，以及新聞媒體和公民個人在監(jiān)督國家機(jī)關(guān)公職人員履職情況時，不需要經(jīng)過信息主體的同意，但諸如種族、健康狀況等敏感信息禁止收集。加拿大《隱私權(quán)法》在說明隱私權(quán)的范圍時，對于公職人員的職務(wù)信息也做了除外規(guī)定。因此，為了公共利益的需要或者特殊職業(yè)的要求而采集公民個人信息的，不宜認(rèn)定為非法獲取公民信息的行為?！毒W(wǎng)絡(luò)安全法》第二十八條中規(guī)定了網(wǎng)絡(luò)運(yùn)營者對公安機(jī)關(guān)、國家安全機(jī)關(guān)負(fù)有協(xié)助義務(wù)，可以視為信息收集和信息提供的例外制度。此外，美國在《消費(fèi)者隱私權(quán)利法案（草案）》中建立了信息的“安全港機(jī)制”，德國對此也有相關(guān)討論。據(jù)此，在立法和監(jiān)管的過程中，應(yīng)鼓勵相關(guān)行業(yè)根據(jù)法律的原則自行制定實(shí)施細(xì)則，調(diào)動多方主體的參與，增強(qiáng)法律與制度的靈活性，并賦予這些細(xì)則的強(qiáng)制效力和免予直接執(zhí)行立法條文的豁免權(quán)，以促進(jìn)對法律的正確實(shí)施。從而，在認(rèn)定信息行業(yè)的參與主體是否存在非法獲取公民信息的行為時，應(yīng)當(dāng)充分考慮其在尊重法律原則前提下所制定的通行的行業(yè)細(xì)則，以彌合法律的高冷與行業(yè)規(guī)則的世俗。

三、公民個人信息的內(nèi)涵和范圍

關(guān)于公民個人信息的內(nèi)涵和范圍，一直存在爭議。從構(gòu)成要件要素的分類而言，公民個人信息屬于規(guī)范的構(gòu)成要件要素。張明楷教授曾對其在實(shí)踐中的困境進(jìn)行描述：“法官不僅需要判斷案件事實(shí)是否符合構(gòu)成要件，而且需要以特定的違法性為導(dǎo)向，以某種規(guī)范為前提理解構(gòu)成要件要素和評價案件事實(shí)?！币虼?，公民個人信息的這一構(gòu)成要件要素的屬性自身造成了理解和認(rèn)定上的困難。即便是《解釋》第一條對公民個人信息的范圍進(jìn)行了較為明確的規(guī)定，在具體的適用中仍應(yīng)當(dāng)注意其規(guī)范性的一面。為平衡公民個人信息保護(hù)與數(shù)據(jù)產(chǎn)業(yè)的發(fā)展，在認(rèn)定公民個人信息時，應(yīng)注意與《網(wǎng)絡(luò)安全法》等相關(guān)個人信息保護(hù)法律的銜接，把握其核心內(nèi)涵，合理確定其范圍。此外，還要結(jié)合相關(guān)的信息豁免制度，適當(dāng)增加相關(guān)要素，對不宜納入保護(hù)范圍的信息予以排除和限縮。

（一）公民個人信息的界定

關(guān)于公民個人信息的內(nèi)涵和范圍，國外立法中的規(guī)定也存在較大的差異。如日本在《個人信息保護(hù)法》中采取了個人信息的概念，美國的《隱私法》將個人信息納入隱私權(quán)的保護(hù)范圍，歐洲國家則在立法中采用個人數(shù)據(jù)的說法。我國理論界則存在以下觀點(diǎn)：廣義說認(rèn)為可以識別出特定個人并與其有關(guān)聯(lián)的一切信息都是個人信息，包括公民個人身份、財產(chǎn)狀況及個人隱私等方面;識別說則界定為可以用來識別公民個人身份的姓名、職業(yè)、年齡、婚姻狀況、學(xué)歷等信息;隱私說則將其限定在與個人隱私相關(guān)的范圍。盡管上述觀點(diǎn)在表述上有所不同，但其內(nèi)涵和基礎(chǔ)是相同的，即“識別性”是個人信息的核心特征?！督忉尅分袑τ趥€人信息的界定，大體上采用了“侵犯公民人格權(quán)犯罪問題”課題組的觀點(diǎn)，將公民的個人信息的內(nèi)涵確定為能直接指明或間接推斷出公民個人身份的信息，不僅包括能識別公民個人身份的靜態(tài)信息，還包括能夠體現(xiàn)公民行蹤的動態(tài)信息;在立法方式上，采取概括加列舉的方式，以適應(yīng)社會的發(fā)展需求等。這為解決司法實(shí)踐中出現(xiàn)的疑難問題提供了標(biāo)準(zhǔn)。

就公民個人信息而言，以“可識別性”作為其本質(zhì)屙陛，將單獨(dú)或者與其他信息結(jié)合反映特定人身份或者活動的信息都包括在內(nèi)，具有其合理性。從與其他相關(guān)信息保護(hù)法律的結(jié)合來看，《解釋》對公民個人信息的界定考慮了與《網(wǎng)絡(luò)安全法》的銜接，并吸收了司法實(shí)踐中的做法。《網(wǎng)絡(luò)安全法》第七十六條從內(nèi)涵和外延兩個方面對個人信息的內(nèi)容進(jìn)行了規(guī)定，個人信息的主要判斷標(biāo)準(zhǔn)為是否具有“可識別性”，范圍主要集中于‘身份識別信息”?！督忉尅凡捎昧恕毒W(wǎng)絡(luò)安全法》“可識別性”的本質(zhì)內(nèi)涵，但內(nèi)容上包括身份識別信息和活動情況信息，這考慮了司法實(shí)踐中的狀況，適應(yīng)了公民個人信息保護(hù)的現(xiàn)實(shí)需求。

與《網(wǎng)絡(luò)安全法》相同，《解釋》對公民個人信息的范圍也采用了列舉的方式，但明確包括了“行蹤軌跡”。此處“等”字的用法應(yīng)為列舉不盡，表示省略的情形與列舉的事物具有性質(zhì)上的相似性。因此，戶籍信息、手機(jī)定位、住宿記錄、通話清單、征信信息、網(wǎng)購訂單信息等，都屬于公民個人信息的范圍，之前的司法案例也持相同的觀點(diǎn)。但是，此處并非像有學(xué)者主張的那樣，對公民個人信息進(jìn)行了范圍上的擴(kuò)充，只是在符合信息本質(zhì)屬性的前提下所做的列舉，這些信息必須符合“可識別性”，否則，應(yīng)不屬于公民個人信息的范圍。這也是平衡公民個^信息保護(hù)與數(shù)據(jù)產(chǎn)業(yè)發(fā)展的應(yīng)有之義。

（二）IP地址、cookies等屬于公民個人信息的范疇

除了一些較為明確的信息種類外，還存在一些是否屬于個人信息尚無定論的情形。對于以下信息，如IP地址、cookies等是否屬于公民個人信息的范疇，存在爭議。根據(jù)百度的解釋，IP是英文InternetProtocol的縮寫，是為計算機(jī)網(wǎng)絡(luò)相互連接進(jìn)行通信而設(shè)計的協(xié)議。任何一臺計算機(jī)只要接入因特網(wǎng)中，遵守這套規(guī)則，就能與其他計算機(jī)實(shí)現(xiàn)通信。如果把計算機(jī)比作電話，IP地址就是電話號碼。在現(xiàn)有的技術(shù)條件下，知道一個用戶電腦的IP地址，通過這個地址來確定其實(shí)際的使用地址，是非常容易做到的事。網(wǎng)絡(luò)管理人員常常是通過IP地址來確定網(wǎng)絡(luò)故障的位置，廣告商則利用這項(xiàng)技術(shù)將廣告進(jìn)行精準(zhǔn)的投放，而這些只是IP地址定位的最基本的應(yīng)用。當(dāng)下，在計算機(jī)領(lǐng)域，IP地址的實(shí)體地理位置定位技術(shù)的研究，也在不斷進(jìn)步，很多人都提出了新的定位技術(shù)并開發(fā)出IP地址的定位產(chǎn)品。而且通過查詢ID號，能夠進(jìn)人專用網(wǎng)絡(luò)實(shí)施相關(guān)犯罪，司法實(shí)踐中已有相關(guān)判例。因此，從公民個人信息“可識別性”實(shí)質(zhì)內(nèi)涵來看，IP地址完全可以納入《解釋》所規(guī)定的行蹤軌跡中去。

Cookies是一種儲存在用戶本地終端上的加密的數(shù)據(jù)形式，通常是網(wǎng)站為了辨別用戶身份、進(jìn)行session產(chǎn)生的。它是由Web服務(wù)器保存在用戶瀏覽器上的小文本文件，包含了有關(guān)用戶的信息。其最基本的應(yīng)用就是方便用戶登錄，當(dāng)用戶登錄網(wǎng)站時同意“下次自動登錄”，包含了相關(guān)信息的Cookies等就被保存到本地。Cookies常常會關(guān)聯(lián)到用戶隱私，實(shí)踐中發(fā)生了大量的與之有關(guān)的案例。因此，通過Cookies或者與其他信息的結(jié)合，很容易知道特定人的身份信息和特定活動。此外，互聯(lián)網(wǎng)的安全狀況致使Cookies自身保存的信息泄露的情況時有發(fā)生，造成了比較嚴(yán)重的后果。因此，從某種意義上說，Cookies只是讓公民個人信息的載體發(fā)生了變化，并沒有改變其內(nèi)容，將其認(rèn)定為公民個人信息沒有疑問。此外，歐盟將與數(shù)據(jù)主體相關(guān)的任何信息都視為個人數(shù)據(jù)（公民個人信息）;而數(shù)據(jù)主體是指控制者、自然人、法人通過有效運(yùn)用數(shù)據(jù)而識別的自然人，這些數(shù)據(jù)包括了定位數(shù)據(jù)、網(wǎng)絡(luò)標(biāo)識符等。這也從另一個側(cè)面說明了將IP地址、Cookies等網(wǎng)絡(luò)空間的信息認(rèn)定為公民個人信息的可行性。

（三）認(rèn)定要素補(bǔ)充與范圍限縮

從應(yīng)然層面上看，《解釋》應(yīng)明確規(guī)定不屬于“公民個人信息的情形”，從正反兩個方面加以規(guī)定，以使個人信息的范圍進(jìn)一步明確。可以采用定性的描述和列舉的示例，對豁免的情形進(jìn)行具體的闡釋。但是《解釋》并沒有明確規(guī)定除外情形，因此在對公民個人信息進(jìn)行認(rèn)定時應(yīng)當(dāng)把握住其核心特征，對不屬于公民個人信息的范圍進(jìn)行排除。

實(shí)際適用過程中，應(yīng)當(dāng)對公民個人信息的范圍做進(jìn)一步的限縮，以刑法的謙抑性原則為指導(dǎo)，結(jié)合生活實(shí)際和立法宗旨進(jìn)行綜合判斷，避免對公民個人信息認(rèn)定的范圍過寬。司法實(shí)務(wù)也關(guān)注到這一點(diǎn)，引發(fā)了從適用的技術(shù)層面以匿名化和情景判斷為標(biāo)準(zhǔn)進(jìn)行的探討。在具體的判斷標(biāo)準(zhǔn)上，有學(xué)者提出，“應(yīng)同時考慮個人意愿與社會評價?！边@對于我們認(rèn)定公民個人信息有一定的借鑒意義。在具體認(rèn)定時，首先應(yīng)當(dāng)考慮本人意愿，即本人是否同意其個人信息被公開，故意炒作的除外，如追求曝光率和粉絲數(shù)量的主播“網(wǎng)紅”等;其次要考慮是否具有保護(hù)的必要或價值，如果該信息的泄露會給公民個人的生活造成重大影響，那么就應(yīng)該納入刑法的保護(hù)范圍。

司法實(shí)踐中，涉案信息的私密性也可以作為考量的要素。如對于行蹤軌跡的認(rèn)定上，需要考慮其是否具有私密性，進(jìn)而確定所涉信息是否值得刑法保護(hù)。在進(jìn)行甄別時應(yīng)注意把握一定的原則，遵循可行的方法。具體的審查過程中，應(yīng)當(dāng)以一般人的觀念為標(biāo)準(zhǔn)，確定信息中的內(nèi)容是否具有私密性;根據(jù)社會發(fā)展的客觀情況，來判斷該信息是否應(yīng)當(dāng)保密;在判斷的時點(diǎn)上，應(yīng)當(dāng)站在行為時的立場，以行為當(dāng)時的主客觀情狀來加以判斷。盡管公民個人信息的內(nèi)涵和外延有了較為明確的規(guī)定，但在實(shí)際辦案過程中仍然存在難點(diǎn)，如信息的數(shù)量和是否真實(shí)有效，目前尚未有可行的科學(xué)方法進(jìn)行驗(yàn)證，這也加劇了此類案件認(rèn)定上的困難。

四、關(guān)于“違反國家有關(guān)規(guī)定”的理解

在侵犯公民個人信息罪的認(rèn)定上，涉及對“違反國家有關(guān)規(guī)定”的理解。有觀點(diǎn)將“違反國家有關(guān)規(guī)定”的功能定位于提示違法性，并闡述了其在違法性評價和責(zé)任評價階段所應(yīng)具有的意義。筆者認(rèn)為，違反國家有關(guān)規(guī)定為該罪的構(gòu)成要件要素，形塑了該罪的不法類型。侵犯公民個人信息罪屬于法定犯，對其認(rèn)定首先需要借助前置的法律規(guī)定的內(nèi)容。公民個人信息的保護(hù)與數(shù)據(jù)產(chǎn)業(yè)發(fā)展的邊界集中體現(xiàn)在是否違反國家有關(guān)規(guī)定上，構(gòu)成要件涵攝中對于相關(guān)豁免制度的參考，也離不開對這一構(gòu)成要件要素的解讀。需要注意的是，這一構(gòu)成要件要素在兩個修正案中的表述是不同的，《刑法修正案（七）》在條文中的表述為“違反國家規(guī)定”，而《刑法修正案（九）》將其修改為“違反國家有關(guān)規(guī)定”。二者僅僅是表述的不同還是存在內(nèi)容上的差異？有學(xué)者將《刑法修正案（七）》中的“違反國家規(guī)定”限定為違反法律及行政法規(guī)，并將刑法第九十六條的規(guī)定作為參照，從該條來看，“國家規(guī)定”的位階應(yīng)為法律或者行政法規(guī)，因此，“違反部門規(guī)章、地方性法規(guī)、地方政府規(guī)章等規(guī)范性文件，不是構(gòu)成本罪的前提?！倍督忉尅返牡诙l明確了“國家有關(guān)規(guī)定”應(yīng)包括法律、行政法規(guī)和部門規(guī)章。

首先，從罪狀類型上看，“違反國家有關(guān)規(guī)定”屬于空白罪狀，是認(rèn)定本罪不法的前提。采用空白罪狀的方式，要求其構(gòu)成要件的認(rèn)定必須與前置法的規(guī)定相聯(lián)系。隨著社會信息化進(jìn)程的加快，信息的內(nèi)容會不斷擴(kuò)充。采用空白罪狀的立法方式可以適應(yīng)社會形勢的發(fā)展，對于保護(hù)公民個人的信息安全具有工具性價值，且能夠保證刑法的穩(wěn)定性。但是由于空白罪狀所固有的特點(diǎn)，會與罪刑法定所要求的明確性產(chǎn)生一定的沖突，因此對于這一構(gòu)成要件要素應(yīng)適當(dāng)進(jìn)行限縮。

其次，侵犯公民個人信息罪的法益屙陛也會影響侵犯公民個人信息罪的范圍。有學(xué)者以被害人教義學(xué)理論為分析框架，得出了侵犯公民個人信息罪的法益具有公共性的結(jié)論。還有人結(jié)合大數(shù)據(jù)環(huán)境將侵犯公民個人信息罪的法益界定為信息專有權(quán)，是一種集體法益。如果將其理解為超個人法益，就會使該罪的適用范圍擴(kuò)大。因此，有觀點(diǎn)將個人信息權(quán)中的信息自決權(quán)作為本罪的法益，以發(fā)揮其甄別信息與保障自由的機(jī)能。盡管本罪的法益具有模糊性，但該罪條文處于侵犯公民人身權(quán)利、民主權(quán)利罪一章中，因此本罪的法益宜界定為個人法益，這也要求對“違反國家有關(guān)規(guī)定”的范圍應(yīng)當(dāng)加以限定。

最后，從具體的技術(shù)操作層面上看，對“違反國家有關(guān)規(guī)定”的內(nèi)容也不應(yīng)做擴(kuò)大理解。有學(xué)者對“違反國家有關(guān)規(guī)定”限縮的具體途徑進(jìn)行了討論，認(rèn)為“國家有關(guān)規(guī)定”的范圍應(yīng)當(dāng)包括規(guī)章在內(nèi)，只是對規(guī)章的內(nèi)容進(jìn)行了限制。筆者認(rèn)為，公民個人信息的范圍十分廣泛，因此，需要有法律、行政法規(guī)的專門、明確而具體的規(guī)定。對“違反國家有關(guān)規(guī)定”不能做較為寬泛的一般意義來理解，應(yīng)注意其與其他罪狀中相同表述的區(qū)別。刑法第九十六條對“違反國家規(guī)定”的含義做了明確規(guī)定，因?yàn)樾谭倓t對于分則具有指導(dǎo)意義，分則具體犯罪的構(gòu)成要件的成立，應(yīng)以總則為指導(dǎo)。因此，在界定“違反國家有關(guān)規(guī)定”這一空白罪狀所參照的規(guī)范依據(jù)時，不宜超越“國家規(guī)定”的范圍。換言之，《刑法修正案（七）》與《刑法修正案（九）》在具體內(nèi)容上是一致的，僅僅存在表述上的差異。就效力而言，部門規(guī)章的效力較低，而且其制定程序也較為粗疏，在內(nèi)容上甚至存在抵牾之處。如果以部門規(guī)章等作為依據(jù)，可能會發(fā)生適用上的混亂，違反刑法的謙抑性。大多數(shù)規(guī)章對公民個人信息的保護(hù)是非常散亂的，實(shí)際上也難以起到強(qiáng)化公民個人信息保護(hù)的作用。如果將“國家有關(guān)規(guī)定”的范圍擴(kuò)大到規(guī)章，那么地方性法規(guī)等與其效力相當(dāng)?shù)囊?guī)范怎樣處理，也是比較難以判定。

此外，將“國家有關(guān)規(guī)定”采用寬泛的理解，無疑會給相關(guān)信息產(chǎn)業(yè)帶來巨大的負(fù)擔(dān)，使其在產(chǎn)業(yè)的創(chuàng)新方面趨于保守，喪失其作為新興產(chǎn)業(yè)應(yīng)有的活力。在具體構(gòu)成要件的涵攝上，也應(yīng)當(dāng)將“違反國家有關(guān)規(guī)定”與相關(guān)的信息豁免制度結(jié)合，以限縮侵犯公民個人信息罪的成立范圍。有學(xué)者以整體法秩序?yàn)橐暯牵瑢⑷狈η爸梅ń挂罁?jù)的信息主體同意出售信息的行為予以出罪。所以，如果將部門規(guī)章也納入“國家有關(guān)規(guī)定”，則在具體的構(gòu)成要件涵攝中，會影響到相關(guān)信息豁免制度的參考，不利于對阻卻構(gòu)成要件的事由進(jìn)行正確的認(rèn)定，進(jìn)而會不當(dāng)擴(kuò)大該罪的處罰范圍。因此，《解釋》將“國家有關(guān)規(guī)定”的范圍擴(kuò)展到部門規(guī)章，這一做法值得商榷。

五、結(jié)語

在當(dāng)前侵犯公民個人信息的犯罪高發(fā)，并日趨嚴(yán)峻的情況下，加大對公民個人信息的保護(hù)力度是正確的選擇。侵犯公民個人信息罪是預(yù)防刑法的體現(xiàn)，具有處罰的早期化和法益抽象化的特征。因此，在對犯罪進(jìn)行打擊的同時，也應(yīng)當(dāng)保持理性和克制，抑制刑罰邊界擴(kuò)張的沖動，遵循刑法的謙抑原則。在信息化時代，信息產(chǎn)業(yè)不僅具有顯著的經(jīng)濟(jì)價值，也關(guān)系到國家數(shù)據(jù)戰(zhàn)略的實(shí)施以及社會治理水平的提高。因此，在理解和認(rèn)定侵犯公民個人信息罪時，應(yīng)當(dāng)以兼顧公民個人信息的保護(hù)與數(shù)據(jù)產(chǎn)業(yè)的發(fā)展為價值指引。要妥當(dāng)?shù)靥幚砗枚唛g的沖突，消弭其間的張力，需要法律的相關(guān)規(guī)定為其劃定邊界。應(yīng)當(dāng)將兩高的《解釋》與《網(wǎng)絡(luò)安全法》有機(jī)銜接，在符合法律規(guī)定前提下，對侵犯公民個人信息罪的成立范圍進(jìn)行限縮，同時引導(dǎo)和促進(jìn)數(shù)據(jù)行業(yè)進(jìn)行企業(yè)合規(guī)建設(shè)。在我國信息保護(hù)的法律框架并不健全的現(xiàn)實(shí)圖景下，對于該罪構(gòu)成要件的涵攝應(yīng)注意參考相關(guān)的信息豁免制度，從而正確認(rèn)定阻卻構(gòu)成要件的情形。如靈活運(yùn)用符合目的限定原則、考量本人同意的效果、遵循禁止收集原則及例外制度等。堅(jiān)守刑法的介入應(yīng)當(dāng)理性克制的立場，以兼顧數(shù)據(jù)產(chǎn)業(yè)的發(fā)展與公民個人信息保護(hù)的價值理念為指導(dǎo)，通過結(jié)合信息豁免的相關(guān)制度等進(jìn)行構(gòu)成要件的涵攝，從而實(shí)現(xiàn)對公民個人信息及“違反國家有關(guān)規(guī)定”的限縮解釋。