【法治宣传】《民法典》视域下侵犯公民个人信息罪的司法适用（上）

　　摘要：作为重要的前置法，《民法典》关于个人信息保护的规定，对侵犯公民个人信息罪的司法适用必将会产生重大影响。关于个人信息民法保护的立法思路，将对侵犯公民个人信息罪的司法适用，特别是政策把握产生重大影响。关于个人信息处理规则的设定，将直接影响侵犯公民个人信息罪前提要件"违反国家有关规定"的认定和其他构成要件的把握。关于个人信息的范围界定，特别是私密信息和非私密信息以及公开信息与非公开信息的划分，将直接影响侵犯公民个人信息罪的犯罪对象界定和其他构成要件的把握。

　　关键词：《民法典》；侵犯公民个人信息罪；私密信息；公开信息；司法适用

　　一、引言

　　法律是时代的产物。作为一部制定于21世纪的《民法典》，与法国《民法典》反映农业社会的要求、德国《民法典》反映工业社会的要求有所不同，中国《民法典》回应了当前信息网络经济和大数据时代的要求。最为突出的表现之一，就是基于互联网大数据时代保护个人信息的现实需要，《民法典》系统确立了个人信息保护制度：一方面，在第一编“总则”第五章“民事权利”规定“自然人的个人信息受法律保护”(第111条)；另一方面，在第四编“人格权”第六章“隐私权与个人信息保护”用六个条文(第1034条至1039条)对个人信息保护作了详细规定。这就在法律层面真正系统地确立了个人信息保护制度并明确自然人对其个人信息享有人格权益，不仅对加强公民个人信息保护和促进信息产业发展具有重要意义，而且为正在制定之中的《个人信息保护法》《数据安全法》奠定了坚实基础。

　　刑法是“最后的手段”，是典型的“二次法”和“保障法”，其适用通常要以前置法作为前提和基础。《民法典》是《刑法》的主要前置法之一，对其适用必然会产生重大影响。2009年2月《刑法修正案(七)》增设了《刑法》第253条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪；2015年8月《刑法修正案(九)》对《刑法》第253条之一作了修正，将罪名整合为侵犯公民个人信息罪。作为典型的法定犯，侵犯公民个人信息罪的适用无疑会受到《民法典》关于公民个人信息保护相关规定的影响。特别是，侵犯公民个人信息罪的法条设置属于典型的空白罪状立法模式，无论是“违反国家有关规定”的认定，“公民个人信息”内涵和外延的把握，抑或侵犯公民个人信息罪行为方式的界定，均应当以包括《民法典》在内的前置法律法规为基础，以确保公民个人信息保护实现法秩序的统一①。

　　基于此，文章拟以《民法典》关于公民个人信息保护的规定为基础，就其对侵犯公民个人信息罪的司法适用产生的影响加以论述。文章认为，相关影响可以概括为如下三个方面：第一，关于个人信息民法保护的立法思路，将对侵犯公民个人信息罪的司法适用、特别是政策把握产生重大影响；第二，关于个人信息处理规则的设定，将直接影响侵犯公民个人信息罪前提要件“违反国家有关规定”的认定和其他构成要件的把握；第三，关于个人信息的范围界定，特别是私密信息和非私密信息以及公开信息与非公开信息的划分，将直接影响侵犯公民个人信息罪的犯罪对象界定和其他构成要件的把握。

　　在信息及科学技术快速发展的今天，人工智能技术正悄然改变人们的生活方式，在法律领域同样也是如此。2017年7月，在具有前瞻性的《新一代人工智能发展规划》中，提出了人工智能法律的研究、智慧法庭建设、“人工智能+X”复合专业培养模式的新规划。在人工智能发展浪潮下，新类型的法律问题开始不断出现，如人工智能创作品的知识产权问题、人工智能产品的侵权问题、人工智能的刑事责任问题等。在司法领域，人工智能也日益介入司法过程，司法部门、律师事务所、法律互联网企业等主体积极参与，或者研发司法智能辅助系统，或者尝试在实践中运用智能系统，已经取得了一定的进展，出现了像上海“206”系统之类的司法辅助系统、“法小淘”“巨鲸智平台”等人工智能法律服务系统。目前，人工智能已在法律咨询、法律检索、类案推送、量刑辅助等方面得到大量应用。人工智能给法律领域带来的挑战已经日益明显，它改变了法律理念、法律秩序，也冲击着法律职业、司法工作，作为培养法律人才摇篮的高等教育应如何应对，是值得人们探讨的问题。

　　二、《民法典》关于个人信息的立法思路对刑法适用的影响

　　作为主要的前置法，《民法典》关于个人信息立法思路必然会对侵犯公民个人信息罪的司法适用产生影响。虽然此种影响可能不如后文将要提及的《民法典》相关具体规定的影响那么直接，但却是刑事司法者应当着力把握的。惟有如此，才能使得侵犯公民个人信息罪的司法适用与《民法典》关于个人信息保护的规定在旨趣上实现一致。

　　(一) 兼顾个人信息保护与促进信息自由流通

　　关于个人信息的立法，现代各国面临的首要问题均是如何平衡个人信息保护与促进信息自由流通之间的关系，中国亦不例外。一方面，当前个人信息滥用现象突出，保护自然人的个人信息不受侵犯是立法的重要任务；另一方面，在大数据和云计算时代，包括个人信息在内的数据，只有充分地流动、共享、交易，才能实现集聚与规模效应，最大程度地发挥价值。因此，在以互联网为代表的信息技术迅猛发展，巨量的个人信息数据日渐成为具有重大价值的生产要素的背景下，如何妥当处理好个人信息保护与信息自由流通之间的关系，也是《民法典》制定过程中着力寻求的平衡点。

　　关于自然人对其个人信息享有的究竟是民事权利抑或仅仅是受保护的民事利益，民法理论界素有争议[1]。对于此前《民法总则》第111条规定的个人信息，就有学者主张“是个人信息权，而不是个人信息利益”[2]。在《民法典》编撰过程中，对于应否设置专门的个人信息权，也有不同看法。实际上，从世界各国的情况来看，法律都不会赋予自然人对其个人信息的排他支配权，“因为这样的授权会产生‘非经个人(也称为数据主体)同意，不得使用个人信息’的法则。在这样的法则下，许多人类社会活动无从开展”[3]。《民法典》最终未明确将个人信息规定为“个人信息权”，而是采用了“个人信息保护”的表述，并将自然人的个人信息权益归属于人格权益，就是认为“个人信息受保护的权利与其他人格权在考量因素上有所不同，个人信息的保护要适当平衡信息主体的利益和数据共享利用之间的关系”，旨在“既强调了对信息主体利益的保护，又可以避免不必要的误解，避免妨害数据的共享、利用以及大数据产业在我国的发展”[4]。特别是在具体制度设计上，《民法典》区分个人私密信息与非私密信息、公开的个人信息与非公开的个人信息，分别采用不同处理规则，并明确处理个人信息的免责情形，这些都体现了在有效保护个人信息的前提下兼顾促进信息自由流通和信息网络经济发展的现实需要。

　　就刑法适用而言，办理侵犯公民个人信息刑事案件，特别是对相关获取、提供公民个人信息行为定性时，要对标《民法典》的相关规定，坚决防止将符合《民法典》规定的行为认定为“违反国家有关规定”，甚至按照犯罪处理。更为重要的是，在刑事司法中也要贯彻平衡保护个人信息与促进信息自由流通的观念，对于一些处于模糊地带、法律规定不明确的案件，尽量秉持刑法的谦抑性，既要有力保护个人信息，也要防止动用刑法对信息自由流动的不利影响。

　　(二) 回归个人信息保护民法优先的应然状态

　　如前所述，侵犯公民个人信息罪属于典型的法定犯，理想的状态应当是先有前置法，后由作为“其他部门法的保障法”的刑法加以规制。然而，受制于中国立法的现实情况，侵犯公民个人信息罪的前置法“供给不足”，甚至呈现出“刑法先行”的局面。早在2009年2月，《刑法修正案(七)》先于其他部门法明确了公民个人信息犯罪的界限，而后才有对网络公民个人信息保护作出集中规定的《网络安全法》自2017年6月1日起施行，但专门的《个人信息保护法》迄今尚未出台②。庆幸的是，这一趋势由于《民法典》关于个人保护的集中系统规定而得以扭转，使得个人信息保护回归“民法优先”的应然状况。特别是，《民法典》明确自然人对其个人信息的权益属于民事权益，扭转了在《民法典》之前由于个人信息保护多由行政管理法律法规加以规定，而认为自然人对其个人信息享有的是公法上权利的主张。作为调整平等民事主体之间社会关系的基本法，《民法典》的相关规定为其他法律关于个人信息保护的规定奠定了坚实基础。无论是基于行政法律法规对个人信息的处理，还是刑法关于侵犯公民个人信息罪的适用，都应当以个人信息的民事权益保护为基础，回归到平等的民事主体之间的法律关系上来，这对于加强个人信息保护、切实维护个人信息权益具有重大意义。

　　就个人信息保护而言，通过刑法积极适用防止侵犯公民个人信息违法犯罪持续蔓延，是不得已而为之的举措，但并非上策。刑法只能治标，尚难治本。《民法典》关于个人信息保护的相关规定，使得个人信息的刑事保护有了坚实的前置法基础。而且，一段时期以来由于前置法律规定缺失导致侵犯公民个人信息罪的司法适用存在相当争议的状况也会得以缓解，如后文所述对涉私密信息概括告知同意收集行为的定性、涉公开个人信息案件的处理等。此外，可以预见，在《民法典》厘清基本争议问题之后，《个人信息保护法》《数据安全法》将会得以顺利推进，公民个人信息民事、行政、刑事的全方位保护体系将会得以构建，公民个人信息违法犯罪的系统治理将会进入新的阶段。

　　三、《民法典》关于个人信息处理的规则对刑法适用的影响

　　(一) 《民法典》关于“个人信息的处理”的界定与侵犯公民个人信息罪的行为方式

　　《民法典》将与个人信息相关的行为统一界定为“处理”，第1035条第2款规定：“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”与之不同，《刑法》第253条之一规定的侵犯公民个人信息罪，在客观方面表现为两类行为方式：一是提供，即《刑法》第253条之一第1款、第2款规定的“出售或者提供”公民个人信息。出售也是提供的一种方式，实际上是有偿提供，是提供的常见类型[5]。此外，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号，以下简称《侵犯公民个人信息罪解释》)第3条第1款将“通过信息网络或者其他途径发布公民个人信息的”方式亦解释为“提供”。二是获取，即《刑法》第253条之一第3款“窃取或者以其他方式非法获取公民个人信息”。《侵犯公民个人信息罪解释》第3条第1款将“购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的”方式亦解释为“获取”。

　　基于上述分析可以认为，《民法典》规定的个人信息的“收集、存储、使用、加工、传输、提供、公开等”，与《刑法》规定的侵犯公民个人信息罪的行为方式大致对应情况如下：①“收集”对应《刑法》规定的“获取”；②“提供、公开”对应《刑法》规定的“提供”；③“存储、使用、加工、传输”无法与《刑法》规定的行为方式对应。第③类行为方式可以概括为使用公民个人信息。实际上，在《刑法修正案(九)(草案)》研拟和审议过程中，有关部门和专家学者即建议借鉴国外立法例，将非法使用公民个人信息的行为入罪。然而，上述建议最终未被《刑法修正案(九)》采纳[6]。根据罪刑法定原则的要求，由于《刑法》第253条之一只是将非法获取、提供公民个人信息的行为入罪，对于实践中业已出现的非法存储、使用、加工、传输大量公民个人信息案件，则难以直接入罪。当然，如果根据在案证据，适当运用推定规则，证明涉案公民个人信息系非法获取或者用于非法提供的，则可以适用侵犯公民个人信息罪。

　　来源：北京航空航天大学学报