敬力嘉丨侵犯公民个人信息罪保护法益的厘清

敬力嘉（1991—），男，四川剑阁人，武汉大学法学院副教授，硕士生导师，法学博士。

一、权属配置视角的缺失：侵犯公民个人信息罪既有法益观的适用障碍

二、个人数据的内涵与权属配置规则

三、权属配置视角下侵犯公民个人信息罪保护法益的确立依据

四、法定主体信息专有权法益的内涵与应用

五、结语

随着社会经济发展和行政管理数字化水平的大幅提升，企业等主体对个人数据的使用愈加广泛，全场景覆盖的海量个人数据的生产与流动已成为现实。这一方面导致公民个人信息权益受到侵犯的风险指数级上升，个人信息保护机制迅速强化；另一方面,也致使个人数据的利用需求与个人信息保护机制之间的冲突愈加凸显。若无法确立促进个人数据有效利用的激励机制，则个人数据控制者没有动力切实履行个人信息保护义务。作为个人信息刑法保护基础性罪名的侵犯公民个人信息罪，其保护法益及不同法益指引下的行刑、民刑衔接路径等问题，近年来逐渐成为刑法学界关注的问题。但是，对作为前置规范的个人信息保护法律法规、其他规范性文件、技术标准及行业规范，既有研究关注较多的是《中华人民共和国民法典》（以下简称《民法典》）和《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）；同时，围绕个人信息性质、权益内容的有关研究，要么将个人信息与个人数据完全混同，要么截然分离，忽视了我国数据产权制度与理论的发展。事实上，在《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《意见》）已确立数据产权基本框架的背景下，理论界与实务界对数据权属问题已展开了充分探讨。本文拟从权属配置视角，在承认个人数据来源者与控制者各自享有合法权益的基础上，揭示既有法益观指导侵犯公民个人信息罪适用的局限性，并厘定本罪保护法益的规范内涵，进而在此基础上确定个人数据流通场景中本罪行为不法的判断标准，划清有关主体应遵循的个人信息保护的底线，明确本罪在数字经济时代的适用范围。

数据来源者、数据控制者或第三方主体向他人提供、出售个人数据牟利的行为，可能涉及侵犯公民个人信息罪与非法获取计算机信息系统数据罪。关于前罪的保护法益观点纷呈，本文不再赘述，目前较为主流的观点是个人信息自决权说。关于后罪的保护法益，主流观点认为是数据安全，但对其具体内容尚存争议。然而，所谓“个人信息自决”的规范意涵，仅为信息主体对个人信息控制、支配的状态。“信息/数据安全”的规范意涵，仅为信息/数据受保护的状态、保护它们的刑法规范的效力，以及民众对此效力的信赖。若不进一步探寻信息/数据承载的实在权益，则无法为法益侵害的判断提供现实基础，也无法为数据流通过程中关涉多方主体的利益衡量提供规范依据。对于如何明确个人数据流通场景中刑法的规制范围，相较于私法领域对数据权属配置全面、细致的研究，刑法学界建构的既有法益观大多缺乏对个人信息与个人数据关系的正确认识，未能准确识别个人数据权益，在具体适用时也存在相当的局限性。

（一）数据来源者出售原始个人数据的定性争议

在数据来源者自愿出售原始个人数据的场合，遵循既有法益观难以对行为是否构成侵犯公民个人信息罪作出准确评价。例如，在“刘某等出售本人微信号案”中，刘某、白某、宋某三人相识，刘某将自己的两个微信号及相应好友信息卖给了某男子，继而介绍宋某向该男子出售其微信号，宋某继续介绍白某向该男子出售微信号。最终，该男子利用白某微信号在朋友圈发布诈骗信息，导致白某微信好友被骗，人民法院认为三人的行为构成侵犯公民个人信息罪。然而，主张此类行为并未“违反国家有关规定”，属于行为人行使个人信息自决权，因而不构成侵犯公民个人信息罪的观点在司法实践中亦颇有影响。在“李某帮助信息网络犯罪活动案”中，被告人李某购买大量未实名注册的手机卡，安排王某某、陈某等人及其亲属实名认证后注册微信号100余个，再将微信号出售给买家用于实施诈骗，导致被害人受损100余万元。在该案中，人民法院以相应出售者系自愿向李某出售为由，否定李某的行为构成侵犯公民个人信息罪。在“刘某等出售本人微信号案”中，人民法院判决罪名成立的理由同样是本罪应保护公民个人的信息自决权，认为三人未经同意出售了微信通讯录中好友的个人信息，达到情节严重的标准，因此构成本罪。

通讯录数据含有可识别好友个人身份的信息，而好友对其并不享有权益。如何理解此类数据与其蕴含的信息的关系，数据来源者是否有权不经好友同意出售此类数据？上述判决所秉持的个人法益观难以解释；同样，未考量数据权益维度的超个人法益观或混合法益观，也难以回答该问题。

（二）数据控制者提供、出售个人数据集合的定性争议

在数据控制者提供、出售个人数据集合的场合，无论个人数据集合属于企业数据还是公共数据，遵循既有法益观都难以对该行为是否构成侵犯公民个人信息罪或非法获取计算机信息系统数据罪作出准确评价。

1.数据控制者出售企业数据中个人数据集合的定性争议

在现实的数据流通场景中，企业数据中往往存在大量原始个人数据集合。例如，在“新浪微博诉脉脉案”中，脉脉爬取的微博用户公开数据中存在大量未脱敏的个人数据。关于脉脉的行为是否构成非法获取计算机信息系统数据罪，肯定的主要理由在于应区分个人信息与个人数据，突破反爬措施已侵害个人数据的机密性，犯罪圈过度扩张的风险应通过调整本罪罪量标准予以消解；否定的主要理由在于爬取已公开个人信息的行为未侵犯公民个人的信息自决权，不应入罪。本文认为，内容已公开的个人数据的机密性已无须刑法保护，值得保护的是新浪微博应当享有的竞争利益。

又如，在“淘宝商铺转让案”中，被告人收购了淘宝店铺及用于注册的配套个人信息，让注册人签署了同意转让协议，人民法院将其定性为侵犯公民个人信息罪。否定论者要么直接以个人信息权这一个人法益未受到侵犯为由否定本罪的成立，要么主张本案是淘宝内部商家间对内含个人信息的数据财产权的交易，个人信息的使用情景并未改变，未侵犯本罪保护的公民个人信息自决权法益。这种观点实际上是肯定数据来源者对其原始个人数据享有财产权益，继而肯定其对被告人出售行为的授权合法有效。肯定论者要么认为该行为侵犯了公民信息安全，要么认为对“公民个人身份不可替代”这一社会交往利益的保护的违背导致同意无效。然而，以上观点对侵犯公民个人信息罪保护法益的识别均存在偏差，导致其难以准确评价该案中出售行为的法益侵害性，无法为原始个人数据的流通确立清晰的法律底线。

否定论者的观点首先应当否定。正如肯定论者所指出的，如果完全容许原始个人数据依数据来源者心意自由流通，由此衍生的数据滥用风险是数据来源者难以预料和控制的。批量购买淘宝店铺及相应个人信息的买家完全有可能将其用于违法犯罪。此类“卡商”“号商”正是电诈黑灰产业链的重要组成部分。明知买家利用信息网络实施犯罪仍向其出售银行卡、手机卡、身份证，正是帮助信息网络犯罪活动罪的典型样态，而批量出售支付账号、淘宝店铺、社交平台账号等，被买家用于实施诈骗的案例已屡见不鲜。

本文虽赞同肯定论者的结论，但不赞同其理由。刑法通过具体罪名的构成要件创设的举止规范应当具有规则功能，即通过以一般人可以理解的方式描述被禁止的行为，为公民提供稳定的行为预期。在肯定论者主张的“信息安全”或“身份不可替代性”等法益中，并无容纳个人数据财产权益的空间，难以据此为不同流通场景中个人数据的提供、出售、利用创设明确的行为规范。

2.第三方主体或数据控制者出售公共数据中个人数据集合的定性争议

按照《意见》的界定，公共数据是指各级党政机关、企事业单位依法履职或提供公共服务过程中产生的数据，其中也存在大量个人数据集合。《意见》选择搁置所有权争议，提出“探索用于产业发展、行业发展的公共数据有条件有偿使用”。各地已纷纷通过地方立法，探索依托公共数据平台进行公共数据授权运营。这种授权运营不是将数据给第三方，而是引入社会第三方力量对公共数据进行全程受控开发利用。对于这种公共数据授权运营模式的性质，本文赞同其属于公共服务性质的特许经营的观点，即私主体依协议与公共部门共享了开发利用公共数据、提供公共服务的职能，属于典型的“合作行政”范畴。需要特别注意的是，并非所有开发利用了已公开公共数据的私主体都在履行公共服务职能，还需符合两点要求：第一，有法律法规的明文授权；第二，有国家机关及法律、行政法规授权的具有管理公共事务职能的组织的授权，或与之签有协助履行公共事务管理职能的协议。基于以上认识，可以更准确地厘清实践中广泛存在的第三方主体提供、出售已公开公共数据中个人数据集合定性的争议。若遵循既有法益观，则难以对此类行为是否构成侵犯公民个人信息罪或非法获取计算机信息系统数据罪作出准确评价。

例如，在“李某爬取企查查数据案”中，李某注册为企查查VIP会员，使用会员权限批量下载含有个人信息的企业数据后，将其编辑分类为全国各地区的企业数据，以“全国企业数据公司数据黄页”等名义通过淘宝网店销售，人民法院认定其行为构成侵犯公民个人信息罪。既有观点多以李某下载企业数据中承载的个人信息已基于法定事由完全公开为由，否定李某的行为成立侵犯公民个人信息罪。此类观点还以“公共数据的处理通常意味着履行公共管理与公共服务职能的目标，进而促进公共利益的实现”为由，主张企查查这类企业向公民提供依据法定事由公开的个人信息，处在服务公共目标和促进公共利益的场景中，第三方主体若未经授权获取其持有的开放的公共数据中的个人数据集合，或基于此开发的数据产品并出售牟利的，不构成滥用。而若数据持有者变更为私主体，第三方主体的行为虽仍不构成侵犯公民个人信息罪，但数据持有者对持有的个人数据集合或数据产品享有的财产权益应当受到法律保护，此种需保护性并不因承载的个人信息完全公开而当然丧失。上述观点存在对数据只分类而不分级的问题，不能准确判断个人数据集合的价值。尽管在“李某爬取企查查数据案”中，李某下载并出售的个人数据集合承载了依据法定事由公开的个人信息，防范此类行为对信息主体人身、财产等个人法益所产生风险的需求，应当让位于信息公开所服务的公共目标、公共利益，但企查查能否对此类个人数据集合享有财产权益，还有待进一步思考。若答案为肯定，那么，能否及如何动用刑法对此类财产权益进行保护，也值得进一步思考。

要回答以上问题，首先要明确企查查的企业性质，前述观点对此存在根本性误解。企查查并非所谓履行公共管理与公共服务职能、促进公共利益实现的公共机构，而是获得了征信业务牌照、以盈利为目的的征信企业，保护其应合法享有的竞争利益并无主体资格方面的障碍。企查查投入了相当资源对此类个人数据集合进行了长期的整合与经营，才形成了相应数据资源，并基于此开发出了数据产品，认定李某使用VIP权限批量下载并出售个人数据集合侵犯了企查查对其享有的竞争利益应无障碍。

此种竞争利益能否通过刑法保护？从“酷米客诉车来了案”的判决可见，司法实践倾向于将私主体基于合法公开的公共数据开发的数据产品享有的竞争利益评价为其控制的公共数据的价值，从而将突破安全防护措施爬取此类数据的行为评价为不正当竞争行为与非法获取计算机信息系统数据的犯罪行为。学界对此观点多持批判态度，认为尽管抓取行为未经授权，但鉴于数据可公开获取，被告人并未实质触犯网络禁止侵入规范，刑法应当予以出罪。但对于数据爬取行为刑事不法的判断标准，本文更赞同“合约权利+技术障碍”的二元标准。被告人的爬取行为既无合约权利（未注册为用户），又突破了技术障碍（反爬措施），可以认定为非法获取计算机信息系统数据罪。因此，适用刑法保护数据控制者对控制的公共数据中的个人数据集合和据此开发的数据产品享有的竞争利益是可行的。然而，“李某爬取企查查数据案”显然不能适用非法获取计算机信息系统数据罪，能否适用侵犯公民个人信息罪，既有法益观难以作出合理回答。

对于严格限制公开的公共数据中的个人数据集合，数据控制者经数据来源者授权能否向他人提供？例如，在“董某等查询犯罪记录案”中，董某是某公司法定代表人，公司主营业务为接受客户委托对应聘人员进行背景调查。为了调查应聘人员的犯罪记录，公司法定代表人董某联系到某派出所所长聂某，与其达成合意，伪造了以派出所名义出具的证明，由董某向聂某支付报酬，聂某向其提供所需的个人犯罪记录信息。本案一审公诉机关以侵犯公民个人信息罪起诉，后人民法院判决变更罪名为单位行贿罪与受贿罪，基本理由在于其客户的应聘人员应已概括同意该公司获取其犯罪记录，基于本罪保护个人法益的立场，应认定此行为不构成本罪。虽然本案中被告人分别成立单位行贿罪与受贿罪无争议，但鉴于公民个人的犯罪记录属于严格限制公开的公共数据，其流通秩序是否受到严格保护，关涉公民对公安机关合法有效履行此类管理义务的信赖利益这一公共利益。主张信息主体的概括授权即能为向他人提供此类信息的行为提供合法性基础，无疑是令人难以接受的。而若主张适用超个人法益或混合法益，则又难以处理法益侵害判断中个人利益与公共利益的关系。

上述情形是否构成侵犯公民个人信息罪，教义学评价的起点应在于相应情形下提供、出售个人数据的行为侵犯相关主体权益的厘清，进而需要判断本罪的保护法益能否涵盖此类权益，以及提供、出售个人数据的行为是否违背了本罪为保护法益创设的禁止规范。经过上文分析可以清晰看到，此类行为可能侵犯的权益包括数据来源者信息自决权在内的个人权益、其他公民的个人权益、公共利益，以及数据控制者应享有的竞争利益。下文将进一步明确个人数据的内涵及其权属配置规则，并在此基础上确定侵犯公民个人信息罪保护法益时需考量上述关联利益的依据。

《意见》确立了公共数据、企业数据、个人数据的分类，并提出了基于数据分类分级的确权授权制度。鉴于数据权属配置的对象主要是数据生产与流通产生的财产权益，理论界与实务界多聚焦于前两类数据，对个人数据的权属问题作模糊化处理。究其原因，主要在于既有法律规范的重心是通过“将同意工具用到极致”来强化数据来源者对个人信息流转的控制，以实现对个人信息权益的周延保护。然而，个人数据是公共数据与企业数据的基础组成部分，且无论是公共数据、企业数据还是个人数据，在流通过程中都可能衍生出财产权益或公共利益。面对此类数据已被广泛利用的现实，如何通过确立个人数据利用的规范要求，实现个人信息权益保障与个人数据权益合理利用的平衡，成为无法回避的现实问题。

（一）个人数据的内涵

根据《中华人民共和国数据安全法》（以下简称《数据安全法》）第3条第1款的规定，个人数据与个人信息应当是载体和内容的关系。基于这一前提，学界仍存在完全等同、截然分离及部分交叉等不同观点。近来较有影响力的观点主张，应基于《个人信息保护法》对匿名化个人信息的除外规定，以及《民法典》对个人信息与数据的区分规定，对“个人信息—个人数据”进行二元分型，将匿名化处理后的个人数据与个人信息内容进行截然区分，进而将个人数据视为公共“漂流资源”，确立“国家受托—社会用益”的权属配置思路。尽管以上观点对个人数据的权属配置作出了有益探索，但其理论前提，即以隐私计算技术为保障的匿名化处理可以完全剥离个人数据的识别性，无论是在技术上还是在规范效果上，均有待商榷。技术的快速迭代及个人数据控制者的技术实力，所掌握与个人有关数据的多少等因素均可能影响匿名化的实际效果。从个人信息保护应当遵循的原则出发，不区分行业、规模、资金实力，对所有个人数据控制者都按照最高技术标准进行要求，无疑是不切实际的。个人信息的去标识化更加不具有绝对剥离识别性的技术效果，我国《信息安全技术 个人信息去标识化效果评估指南》即依据重标识风险将个人信息分为4级。可以看到，《个人信息保护法》意义上的个人信息识别性是一条连续的“光谱”，其不仅取决于个人信息本身，更取决于分析行为。应坦率地承认匿名化与去识别化的技术手段难以剥离个人数据承载的数据来源者人格权益，将个人数据视为公共资源不具有妥当性。

此外，面对广泛存在的互联网企业爬取竞争对手所控制未经匿名化、去识别化的已公开个人数据的行为，确定此类数据权属配置规则的需求客观存在。例如，在前述“新浪微博诉脉脉案”和“腾讯诉聚客通案”中，人民法院认可了新浪微博与腾讯作为原始个人数据聚合形成的数据资源的控制者，应对其享有竞争利益。而对于如何释放原始个人数据的财产价值，也存在财产人格（人格权的商业利用）与人格财产（承载人格权的原始个人数据的财产化）的路径之争。

综上可知，面对未匿名化、去识别化个人数据广泛流通的现实，理想化的“个人信息—个人数据”二元分型难以作为我国个人数据权属配置的逻辑起点。以数据价值生成机制为标准，采纳“原始数据—数据集合—数据产品”三元分型对载体与内容合一的个人数据流通场景进行类型化界分，具有充分的理论与现实基础。因此，个人数据权属配置的对象应包含承载个人信息的个人数据，侵犯公民个人信息罪的行为对象也应包含此类个人数据。

（二）个人数据权益的配置规则

就数据控制者应对数据产品享有财产权益而言，理论界与实务界目前已达成一定共识。若能认定为数据资产，则将其纳入财产犯罪的保护范围应无障碍。私法层面既有研究的争议焦点多在于应否认可原始个人数据与个人数据集合的财产属性，以及如果认可，应如何配置数据来源者与数据控制者的财产权益。有观点主张，信息主体的同意撤回权、删除权、可携带权等后端权能蕴含着二次协商功能和财产兑现功能，可为自然人参与数字红利分配，实现个人信息的财产利益提供新的路径。也有观点从交易成本理论出发，主张当信息主体个人满足数据获取具有“唯一渠道”或单独为集合性数据支付“加工成本”二者之一的实质要件，以及采取“保密措施”或实施数据权利“唯一化公示”二者之一的形式要件时，个人对于个人数据享有绝对排他的新型数据产权。还有观点跳出数据产权配置逻辑，试图运用个人数据信托的法律解释方法，探索基于“互惠性个人数据利用观念”，构建各类数据利用场景下个人数据收益的公平分配方式。近来主张可将数据分置于公共个人数据、非公共个人数据、非公共非个人数据、公共非个人数据四个象限，对数据原始处理者与继受处理者分别确权的观点，对非公共部门处理个人数据事实上也采纳了数据信托的思路。

在采取确权进路的观点中，“权利束”或“权利块”理论存在过度依赖个案和具体场景利益衡量方法等问题，不值得采纳。对不同类型数据确认产权的形式与实质要件作一致要求的观点，是以区块链技术的普及应用、可以使用户享有“个人数据金库”、将个人数据进行链上存储的技术设想为前提，此种设想是否具备必要性与可行性未经充分论证，其未来能否被个人数据交易市场采纳仍是未知数。而个人数据信托的解释方法试图构建的个人数据收益公平分配方式与数据确权的目标别无二致。个人数据信义义务具体包括忠实义务与谨慎义务，完全能被个人信息保护义务所容纳。

可以看到，私法层面的既有研究未能提供相对清晰、完善的个人数据权益配置规则。究其原因，主要在于既有研究割裂了个人数据与个人信息。以载体与内容合一的个人数据为行为对象，通过明确此类个人数据只具有有限可让与性，以个人信息保护的规范要求为基准，合理限缩数据来源者的交易自由，可实现个人信息保护规则与个人数据权属配置规则的有机衔接。本文的目标并非确立私法层面个人数据财产权益的配置规则，而是在识别出个人数据权益除了数据来源者与其他个人的个人信息权益，还包括公共利益及数据控制者的竞争利益后，进一步探讨是否应将此类权益纳入侵犯公民个人信息罪的保护范围。有学者认为，刑法未将妨害关联主体对个人信息合理处理、利用的行为规定为罪，关联主体享有的利用利益仅属于阻却本罪违法的优越利益，不能纳入本罪的保护法益。本文认为，当现有条款保护的利益范围有限时，应考虑让现有条款积极发挥作用，而不是等待立法者将新的犯罪形态添加到刑法中。“坐等立法增设新罪再予以保护，不符合网络数据嵌入种种社会利益的时宜，不符合我国罪刑法定原则的另一个重要侧面——有罪必罚。”因此，基于个人数据难以匿名化、去识别化的现实，需进一步检验侵犯公民个人信息罪的保护法益能否容纳个人数据关联主体的利益，如此才能厘定本罪的保护法益及行为不法的判断标准。完成上述检验的前提，是明确本罪法益的确立依据。

立足于实质法益概念，本文认为，尽管对个罪保护法益的解读需以刑法内部规范为依据，但基于“保护公民基本权利”的价值基准对立法目的进行批判性解读是正当且必要的。确定法益并以之指导具体罪名构成要件的解释，既是发挥法益解释论功能的过程，也是发挥法益立法批判功能的过程。基于以上认识，本文认同法条的体系地位是确定个罪保护法益的重要参考，但绝非唯一依据。行为对象的性质与数量只能成为判断个罪保护法益内容与性质的依据之一，还需考量构成要件行为造成的实质危害后果、个人对法益是否具有处分权限等。

具体到本罪，由于其位于《中华人民共和国刑法》（以下简称《刑法》）分则第四章，学界主流观点多将个人信息自决权作为本罪保护法益，认为本罪造成的有公共性的危害后果只是侵犯本罪法益可能产生的衍生后果，而非本罪的法益侵害结果本身。即使认可本罪的制度功能包括防止行为人利用公民个人信息实施违法犯罪活动，也不能以此为依据否认个人的信息自决权是值得刑法保护的法益。与此同时，公民个人对其信息自决权享有处分权限，确定该个人法益作为本罪的保护法益，实属顺理成章。而主张本罪保护超个人法益或混合法益的观点，普遍认为本罪造成的有公共性的危害后果对应独立的超个人法益，只有超个人法益才能为其提供足够的实质不法。鉴于既有法益观均难以在个人数据流通的现实场景中为本罪行为不法提供明确、妥当的判断机制，本文拟跳出既有研究关于保护法益的争议，追本溯源，分别从行为对象、行为内容与危害后果三个层面厘清本罪保护法益的确立依据。

（一）行为对象的社会属性

在行为对象层面，个人信息具备显著的社会（公共）属性，承载个人信息的原始个人数据及数据集合亦然，既有研究对此缺乏准确的认识。

个人数据流通场景中权属配置的难点，在于个人数据并非生成后即独立于数据来源者与流通关联主体的静态物，各方主体均会参与到其生成、流通与利用的过程，因而可以生成、承载多元价值，具备社会属性。个人数据的流通与利用，会对数据来源者个人的人格权益及相关多方主体的合法权益产生广泛影响。

原始个人数据具备的社会属性，决定了在刑法视野中待权衡的利益比私法领域更加复杂。原始个人数据识别的对象不限于数据来源者作为自然人的身份及其对应的人格权益，也涵盖了数据来源者、其他自然人、组织体的私益及公共利益。原始个人数据的社会属性并不来自数据量大，而是来自其能够识别的利益类型多样。承认原始个人数据的社会属性，也并不等于否认其具备的个人属性。在“李某爬取企查查数据案”中，行为人从企查查获取的个人数据集合能够识别企查查应当享有的竞争利益；在“董某等查询犯罪记录案”中，公民犯罪记录信息能够识别公民对公安机关合法有效履行此类管理义务的信赖利益，这无疑都是个人信息具备社会属性的生动体现。有争议的是“刘某等出售本人微信号案”的情形。若按个人法益观，将微信账号、好友信息截然二分，并据以主张行为人有权或无权出售，则会带来对行为人及其好友的个人信息自决权保护的冲突；若按超个人法益观或混合法益观，则难以通过“公共信息安全”对不属于不特定公众的微信好友的权益进行保护。上述观点之所以面临以上难题，正是因为其缺乏对行为对象及其属性的准确理解。

在“刘某等出售本人微信号案”和“李某帮助信息网络犯罪活动案”中，作为行为对象，微信账号及其通讯录中的好友信息并非相互隔绝，二者是一体的，均受行为人控制。微信之所以能够成为“超级APP”，是因为其庞大的用户群形成的活跃社交网络。社交功能是微信生态系统价值生成的底层逻辑，而微信通讯录是微信社交功能的基础，也是微信号财产价值的源泉，已成为用户最重要的人际关系资本储存载体，属于典型的社交关系链数据。这一重要的社交关系链数据，是由用户和平台持续深度合作生产的，承载了用户好友个人信息的数据产品。私法领域关注的重点在于持有者应否对其享有财产权益？以“腾讯诉抖音/多闪案”为例，本案的核心争议在于微信/QQ用户通讯录这一社交关系链数据的权属配置。人民法院的判决支持了原告腾讯公司的主要诉求，学界则就如何在保障用户对此类数据利用权的基础上，对协调用户、平台与此类数据迁移平台之间对此类数据应享有的权益作出了有益的探索。在刑法视野中，微信号不仅能识别实名注册者的个人信息自决权等人格权益、腾讯公司的竞争利益，还能通过其通讯录识别好友的人身、财产等个人权益。

概言之，原始个人数据具备的社会属性，就是数据流通过程中产生的使用价值，随着应用场景的多元化，其承载的使用价值也愈加多元化。应对个人数据能够识别的利益进行细致剖析，才能为确定侵犯公民个人信息罪的保护法益指明方向。

（二）行为内容的场景属性

在行为内容层面，侵犯公民个人信息罪的构成要件行为包括获取、出售、提供公民个人信息，具备显著的场景属性，应当根据具体场景识别相应构成要件行为可能引发的权益侵害风险的具体内容，并以此为依据明确本罪保护法益的利益内核。

在个人信息法律保护的既有研究中，美国学者海伦·尼森鲍姆提出的场景理论已被我国学者广泛引用和借鉴，其认为信息安全与场景一致性密切相关，场景是一种客观化、结构化的社会环境，场景一致性的判断要素有使用方法、存储环境、使用环境等。其与多元素关联说的显著区别在于对个人信息保护路径的判断并非多元素并用，而是要根据场景一致的程度选取判断的要素，依据个人信息处理的具体客观环境与条件识别其产生的权益侵害风险的具体内容。仅仅依靠刑法规范或者信息主体同意的内容，显然无法为场景一致性判断提供足够的要素，这一功能需由信息或数据保护的前置规范，以及更为广泛的个人信息保护规范体系承担。基于以上理解，无论是信息主体“知情同意”，还是信息处理者“合理处理”的规范效力，都需要以“国家有关规定”作为判断依据，均属于“违反国家有关规定”的下位概念。因此，本罪应属法定犯。

需要注意的是，法益侵害危险或实害结果是否出现，应先基于行为对象的社会属性确定其能够识别的具体权益，再结合具体的行为场景加以判断。仅仅依靠“场景化”，难以准确厘定具体场景中个人信息处理行为造成的危害后果，这正是当前“场景化法益观”的不足之处。例如，对于“李某爬取企查查数据案”和“董某等查询犯罪记录案”，此类观点多仅主张个人信息可以识别“公民信息安全”或“公共利益”，并将其作为本罪保护法益的内容，进而在具体场景中判断本罪法益是否受到侵犯，主张前案构成本罪、后案不构成本罪。而作为两案中行为对象的原始个人数据集合均能识别出数据控制者的财产权益，此类财产权益是否受到侵犯，以及能否容纳为本罪保护法益的内容，此类观点均未进行必要的探讨。

在此基础上，应当准确理解“场景一致性”的判断内容。当前，刑法学界存在一种观点，认为基于“信息规范与场景中的价值和目的一致和和谐”这一场景一致的内涵，如果信息处理的目的、用途产生错误或变更之后，信息处理的社会场景仍然能够保持一致，那么，就没有违反信息主体的合理期待和超出原初同意的射程，反之则否。本文认为，这一观点属于对“场景一致性”概念的误读。尼森鲍姆教授指出：“场景一致性理论的基本视角是，信息流通可能全面地影响主体利益以及社会价值的实现，所以可能被用作规范考量的评价标准。”她认识到不同场景中信息流通关联主体利益面临的风险存在显著区别，利益和价值考量的优先顺序也就存在显著区别。其主张的“场景一致”判断的内容，是在初始场景和当前场景中，个人信息流通面临的客观环境为相应主体利益带来的风险是否一致，这为法律规范准确识别当前场景中应当优先保护的利益与价值提供了客观、清晰的标准。具体到侵犯公民个人信息罪，“场景一致性”判断能为行为对象的类型化与行为风险的识别提供较为明确的标准。

前述学者基于对“场景一致性”概念的误读，认为在“房利帮案”中，“房利帮”网站以现金激励房产中介未经业主允许上传真实业主房源信息（含业主住址、姓名、电话），并安排员工冒充房产中介核实，最终将有效房源信息有偿提供给网站会员（房产中介）的行为，因其仍然处在广义的房产交易的商业语境中，未突破业主促进房产交易而公开、使用房源信息的原初同意，故并未突破场景一致原则，网站运营者不构成侵犯公民个人信息罪。该学者所主张的“场景”是指商业场景，而非客观的社会环境。诚然，虽然业主向房产中介提供房源信息的目的在于促进房产交易，但房源信息中含有敏感个人信息，也能在一定程度上反映业主的财产状况，本身即属于限制开放信息，可以有效识别业主的人身、财产等个人权益。当业主向正常经营的房产中介提供真实、有效的房源信息，房产中介需要履行严格的个人信息保护义务。当房产中介、“房利帮”网站未经业主允许提供此类信息牟利，房源信息所处的“场景”显然已经发生了重大转变，业主的个人权益已经面临显著危险。事实上，尼森鲍姆教授也已经明确指出，不能用商业模式和商业实践定义其主张的“场景”，因为这必然导致商业利益标准占据绝对主导地位。

在“刘某等出售本人微信号案”中，鉴于微信号能够识别通讯录好友的个人权益，行为人向不特定或多数人出售微信号之后，导致微信号及其通讯录中好友信息的处理场景发生了重大变化，对好友的人身权益产生了风险。但是，游戏账号也具有社交属性，为什么能容许游戏账号的交易流通？两者的区别同样在于场景。微信好友包含了亲友等来往密切的人，与账号使用者之间的沟通场景中存在相当的信赖关系。而游戏虽然也有社交属性，但匿名性导致其社交系统中缺乏上述信赖关系。因此，出售前者会导致个人信息处理的场景不一致，而出售后者则不会。在“李某爬取企查查数据案”和“董某等查询犯罪记录案”中，个人信息处理场景同样发生了重大变化，分别对企查查应享有的竞争利益，以及公民对公安机关依法履行此类管理义务的信赖利益形成了风险。关于此类风险是否已转化为值得刑法处罚的危险或实害结果，后文将进一步探讨。

（三）危害后果的多元属性

在危害后果层面，侵犯公民个人信息的危害后果具备显著的多元属性，需依托具体场景确定作为本罪保护法益确定根据的实质后果。

对保护法益的侵害，是通过对行为对象的侵害而成为构成要件要素的。实行行为对行为对象产生的事实影响，与其具备条件关系的危害后果或行为的社会影响，不能作为具体犯罪保护法益的确定根据。基于公民个人信息的社会属性，获取、向他人提供、出售及更广泛的公民个人信息处理行为，会对信息主体、其他公民或组织体的私益或公共利益产生风险。当具体场景中公民个人信息不能识别出信息自决权以外的刑法所保护的权益，即便不经过信息主体的知情同意会使得对信息自决权的风险转化为实害结果，但基于行刑保护力度的应然差异，不应将此种实害结果视为侵犯公民个人信息罪阻止的结果。例如，在行为人为合法经营而未经信息主体同意获取个人信息的场合，如第三方公司受商家委托利用其提供的客户联系方式联系客户给好评，或手机APP未经信息主体好友同意请求获取其社交软件通讯录等行为，不能仅以“未经信息主体同意+罪量标准”将此类行为作为犯罪处理，否则会导致侵犯公民个人信息罪的“口袋化”。若在具体场景中公民个人信息可识别信息主体除信息自决权外的其他个人利益，如行为人以实施电信网络诈骗为目的，未经信息主体的知情同意获取其个人信息，则对信息主体信息自决权与其他个人利益的风险会分别转化为实害结果与抽象危险，且此抽象危险是信息自决权实害结果的附随后果，应只将信息主体信息自决权的实害结果归属于侵犯个人信息的行为。

在具体场景中，当公民个人信息可识别其他主体的私益或公共利益，且信息处理不规范时，以上风险会转化为值得刑法介入的抽象危险，这是将侵犯公民个人信息罪理解为法定犯的实质根据。引入权属配置视角后可以清晰地看到，当具体场景中公民个人信息识别出原始个人数据/集合持有者应享有的竞争利益，且提供、出售具有财产价值的原始个人数据集合不符合相关规定时，对企业应享有竞争利益的风险即会转化为实害结果。需要进一步厘清的是，能否将此种实害结果归属于侵犯公民个人信息的行为。依据我国《刑法》分则的规定，具备本文所定义社会属性的行为对象有且仅有个人信息、数据及计算机信息系统。直接以后两者为行为对象的罪名，即非法获取计算机信息系统数据罪与破坏计算机信息系统罪，面对数据与计算机信息系统使用价值的多元化，均早于侵犯公民个人信息罪面临这一难题。

对于数据与计算机信息系统承载的竞争利益受到的损害，司法实践已逐步将其评价为《刑法》第285条第2款与第286条第2款的法益侵害结果，“酷米客诉车来了案”是前者的适例，“全能车APP案”是后者的适例。通过分别将“数据使用安全”和“计算机信息系统使用功能的正常运行”纳入两罪保护法益，以对两罪规制范围扩容的观点，可为前述司法实践的动向提供正当化基础。从解释论的角度出发，给法益扩容不失为调试两罪规制范围以有效应对数字经济时代实践需求的治标之策。鉴于与数据、计算机信息系统有关的网络不正当竞争场景的日新月异，增设专门的网络不正当竞争罪更加有利于准确评价此类行为的不法内涵，为有关主体确立专门、明确的举止规范。从体系解释的视角看，没有理由否认数据控制者应对其投入生产资源从已公开公共数据中获取的个人数据集合或开发的数据产品享有竞争利益，且刑法也应当对其进行保护。对以符合非法获取计算机信息系统数据罪构成要件的方式侵犯数据控制者竞争利益的行为，可以被该罪评价。但“李某爬取企查查数据案”这样的情形显然不符合该罪构成要件，可将企查查竞争利益的损失评价为侵犯公民个人信息的结果，避免产生处罚漏洞。鉴于数据控制者对个人数据集合享有的财产权益以符合个人信息保护法律要求为限，即使增设专门的网络不正当竞争罪之后，也应将此种竞争利益的损害结果归属于侵犯公民个人信息的行为。还需说明的是，侵犯公民个人信息多元的危害后果之间的相互关系。基于侵犯公民个人信息行为内容的场景属性，危害后果通常不会同时出现，而是会择一出现，与要求同一犯罪场景中必须同时侵害主要客体和次要客体的复杂客体理论存在本质区别。

综上可知，既有法益观缺乏权属配置视角，未能准确认识到侵犯公民个人信息罪行为对象的社会属性、行为内容的场景属性与危害后果的多元属性，从而难以在个人数据流通场景下指导本罪合理适用，还需对本罪的保护法益进行进一步探讨。

随着我国数字经济的快速发展与数据确权理论、制度的演进，准确识别不法个人信息处理侵犯的具体权益，通过更加精准的利益衡平妥当划定侵犯公民个人信息罪的适用范围，是刑法理论应当回应的重大现实需求。立足个人数据权属配置视角，遵循侵犯公民个人信息罪保护法益的确立依据，本文主张本罪的保护法益应为法定主体的信息专有权，即个人信息控制主体在法定授权范围内处理所控制个人信息的权限。接下来，还需从法益支配主体、法益内容与法益属性三个层面进一步阐明法定主体信息专有权的规范内涵，并检验该法益的实践应用价值。

（一）法定主体信息专有权规范内涵的阐释

首先，在支配主体层面，基于本罪行为对象的社会属性，无论是信息主体还是其他合法控制个人信息的主体，均可能对本罪的保护法益享有支配权限，都是本罪保护的“法定主体”。

其次，在法益内容层面，基于本罪危害后果的多元属性，其能够识别的权益均应被纳入法定主体信息专有权的利益内核，个人信息控制者的处理权限与相应利益内核属于表里关系。但需根据具体的个人信息处理场景，识别法益保护的实定利益应为信息主体或其他关联主体的私益或公共利益，还是个人信息控制主体应享有的竞争利益，对法益产生的危害后果类型可能为抽象危险或实害结果，而非同时出现。需要特别说明的是，当具体场景中法益内容仅识别为信息主体的信息自决权，鉴于不应将对其造成的单一实害结果视为侵犯公民个人信息罪阻止的结果，尽管信息主体个人对其享有支配权限，但该法益仅属于《个人信息保护法》保护的法益，未上升为刑法保护的法益。当具体场景中法益内容能识别为“信息自决权+信息主体的其他个人权益”，鉴于信息自决权的实害结果才是侵犯公民个人信息罪阻止的结果，信息主体的其他个人权益面临的抽象危险只是前者的附随后果，法益内容应识别为信息主体的信息自决权。

可能会有学者质疑上述界定混淆了阻挡层法益与背后层法益，认为当认同法定主体的信息专有权有独立保护的必要性时，原则上就不能以该阻挡层法益的背后层法益说明其内容。但本文认为该质疑不能成立，因为当需要根据阻挡层法益明确其背后层法益的范围与承载法益的对象范围时，该阻挡层法益即具备独立存在的价值。以毒品犯罪为例，尽管有些新精神活性物质对公众健康有抽象危险，但在列管之前不能将其评价为毒品。正是因为国家对毒品的管理秩序客观存在，表明了对毒品的管理秩序这一保护法益的独立价值。法定主体信息专有权的独立价值亦在于此，通过确立该法益，可以厘定侵犯公民个人信息罪保护的利益范围与承载法益的对象范围。

最后，在法益属性层面，基于侵犯公民个人信息罪行为内容的场景属性，当法益内容识别为信息主体的信息自决权，该法益属性应识别为个人法益。当法益内容识别为其他关联主体的私益或公共利益，信息主体个人对该法益不享有支配权限，且该法益不会随着个人信息的处理被分割或减损，符合集体法益的特征。例如，在“刘某等出售本人微信号案”中，在行为人向不特定或多数人自愿出售其实名认证微信号的场景中，本罪法益内容并不识别为信息主体的信息自决权，而是微信好友的人身、财产权益，信息主体对本罪法益并无支配权限。在“董某等查询犯罪记录案”中，在被告单位向派出所所长聂某行贿批量获取公民犯罪记录信息的场景中，本罪法益内容不应识别为信息主体的信息自决权，而应识别为公民对公安机关依法履行此类管理义务的信赖利益，信息主体对本罪法益亦无支配权限。当法益内容识别为个人信息控制主体应享有的竞争利益，本罪法益为集体法益，“李某爬取企查查数据案”即为适例。鉴于法定主体信息专有权的法益内容、支配主体与属性均遵循场景化判断标准，既有观点对承认法定主体信息专有权会导致处罚漏洞、加重企业信息垄断等批评意见均难以成立。

还需特别说明的是，本文观点与学界既有的“场景化法益观”有区别。“场景化法益观”主张本罪保护的法益既包括作为个人法益的公民个人信息自决权，也包括作为超个人法益的公民信息安全，需根据处理不同类型个人信息的行为场景，识别本罪保护的是以上两者中的何种法益，该“场景化法益观”本质上是一种混合法益观。本文主张的法定主体信息专有权法益与上述“场景化法益观”的相同之处在于，都运用了场景化判断的方法，且本质都属于混合法益观。但区别在于，本文在证成法定主体信息专有权具有作为阻挡层法益的独立价值的基础上，主张该法益的内容可识别为具体的个人利益或公共利益，该法益的属性可识别为个人法益或集体法益，属于法定主体信息专有权这一法益在不同场景中的具体表现，可描述为立体式混合法益观；而“场景化法益观”仅在两个独立法益之间进行场景化选择，可归入传统的平面式混合法益观。

（二）法定主体信息专有权法益的实践应用

厘清法定主体信息专有权法益的规范内涵后，还需在侵犯公民个人信息罪行为不法的判断机制，行刑界分标准，与关联犯罪的合理区分三个层面展现该法益的实践应用价值。

以法定主体信息专有权法益为指导，侵犯公民个人信息罪行为不法的判断应遵循“行为对象—行为场景—法益内容—法律风险—法益侵害后果—构成要件类型”的动态机制。例如，在“刘某等出售本人微信号案”中，在行为人向不特定或多数人出售实名认证微信账号这一敏感个人信息的场景中，法定主体信息专有权的法益内容识别为微信好友的个人权益与腾讯公司的竞争利益，行为人即使自愿向不特定或多数人出售，也不符合个人信息保护要求，其制造了风险，对法定主体信息专有权产生了抽象危险，应当适用抽象危险犯的行为不法判断标准，认定此类行为成立侵犯公民个人信息罪。适用以上判断机制，在“李某爬取企查查数据案”和“董某等查询犯罪记录案”中，被告人的行为均构成侵犯公民个人信息罪。

以法定主体信息专有权法益为指导，能够依据对法益内容的准确识别，实现对侵犯公民个人信息行政不法与刑事不法的有效界分。侵犯法定主体信息专有权的判断标准，并非单纯的是否依法获取、提供、出售公民个人信息，即并非单纯的规范违反，而是应当对具体场景中识别出的法益内容造成抽象危险或实害结果，因而不会行刑不分导致本罪处罚范围过度扩张。例如，在可能存在争议的“董某等查询犯罪记录案”中，本文主张被告单位应构成本罪的理由，并非派出所所长聂某违反有关提供犯罪记录信息的管理规定，而是聂某收受被告单位贿赂向其提供犯罪记录信息的行为，会对作为本罪法益内核的公共利益造成抽象危险。

以法定主体信息专有权为指导，能够依据对法益内容与行为内容的场景化识别，实现侵犯公民个人信息罪与关联犯罪的准确区分。当本罪法益内容识别为信息主体的信息自决权时，并无进行区分的实际需要。当本罪法益内容识别为个人信息控制者的竞争利益时，与非法获取计算机信息系统数据罪的区别在于“具体的构成要件实现”。当本罪法益内容识别为关联主体的私益或公共利益时，同样鉴于构成要件实现的具体实现方式存在显著区别，本罪与帮助信息网络犯罪活动罪、受贿罪等可能存在想象竞合，应从一重处。

数字经济迅速发展的当下，只有经过匿名化、去识别化的个人数据才能进入市场流通，这是一种美好的期待。面对承载个人信息的个人数据广泛流通的现状，通过引入权属配置视角，可准确识别提供、出售个人数据侵犯的合法权益，进而根据侵犯公民个人信息罪保护法益的确立依据，厘清本罪的保护法益，将个人数据权益妥善纳入本罪的保护范围。随着科技的进一步发展与刑事立法的不断完善，本罪的制度功能与适用范围也可能随之发生变化。应在现实场景中动态识别本罪法益的具体内涵，在充分发挥既有个人信息保护刑事规范效力的基础上，审慎探索增设新罪的必要性与具体方案，厘定刑法介入个人数据流通的功能边界，实现个人数据权益保护与合理利用的有效平衡。

 责任编辑：周玉芹   学术编辑：张永强 

初审：陈青山   审核：黄忠

相关文章推荐：

劳东燕丨非法经营罪中的经营行为研究 （2024年5期）

李昱丨容许风险与自动驾驶场景中的注意义务 （2024年4期）

陈兴良 | 从实质刑法典到形式刑法典：刑法的进阶之路 （2024年2期）

张明楷 | 具体犯罪保护法益的确定方法 （2024年1期）