一、问题的提出与学说概况

近年来，随着人民群众生活水平的日益提高，人们对于尊严、体面生活的要求日益增长，个人信息保护作为与民众切身利益密切相关的新法治需求日渐成为全社会的共识。政策层面，党的二十大明确指出要“加强个人信息保护”,为公民个人信息保护擘画了顶层建构；规范层面，《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释[2017]10号，以下简称《解释》)《民法典》《个人信息保护法》相继出台，为公民个人信息保护提供了法律保障；实践层面，司法机关坚决、严厉打击侵害公民个人信息的犯罪行为，为公民个人信息权益的保护奠定了实践基础。与此同时，理论上和司法实践中对于侵犯公民个人信息罪认定的争议依然存在，其中最核心的争议在于本罪的保护法益为何，并集中体现为对处理公开个人信息以及被害人同意情形下处理个人信息的不同处断。学理上关于本罪保护法益的主张存在个人法益说、超个人法益说和混合法益说的分野：

个人法益说观点中，隐私说、个人生活安宁说以及财产说占主导地位：隐私说认为本罪的保护法益为公民隐私权；生活安宁说则认为个人信息不被非法获悉的安宁状态是本罪的法益；财产说则将信息权人对于信息的支配权作为本罪法益。1近年来，个人法益论者主要集中于个人信息权说展开论述，总体主张本罪的保护法益为个人信息权，其归属于个人的具体人格权，具有完全私人属性。2个人信息权说内部存在多种不同法益主张：信息自决权说主张本罪的保护对象是作为新型权利的个人信息自决权；独立权能说认为个人信息权是一种包含多种权益的独立权能；专有权论者则主张，本罪的保护法益是个人对数据的专有权。3

超个人法益论者主张，侵犯公民个人信息罪的保护法益并非公民个人的人身权利，而是多数人法益，具体而言是公共信息安全。4理由在于：公民个人信息中“公民”概念的潜在意义是用以表明“公民个人信息”具有超个人法益属性；侵犯公民个人信息罪的立法宗旨以及该罪的现实状况也表明“公民个人信息”的超个人法益属性。5

混合法益说认为，个人信息不仅事关个人的信息安全与生活安宁，而且关系到社会公共利益、国家利益乃至信息主权。侵犯公民个人信息罪的法益结构并非单一的、平面的，而是多元的、立体的，不仅包含公民个人法益，而且包含超个人法益，前者在地位上优于后者。6

根据上述，个人法益论者主张本罪的保护法益是个人信息自决权，在处理公开个人信息以及被害人同意情形下处理个人信息场合，行为人因并没有侵害信息权人的信息自决权(个人信息权)而不构成犯罪；超个人法益论者主张本罪的保护法益是公民信息安全，上述情形因侵犯公民信息安全而构成犯罪。可见，侵犯公民个人信息罪保护法益的确定，决定了本罪的适用范围与界限。因此，正确确立本罪的保护法益有着重要的理论意义和实践意义。

鉴于此，本文将以侵犯公民个人信息罪的保护法益为主旨展开讨论。就行文结构而言，本文首先在厘清个人信息内涵的基础上阐释个人信息类型化主张；其次，在个人信息类型化的基础上证成本罪的应然法益，即场景化法益观；最后，在厘定本罪法益的基础上考察司法实务中处理上述案例的应然立场。

二、场景化法益观的理论前提：个人信息的场景化界分

上述个人法益说、超个人法益说以及混合法益说之间的论争焦点在于侵犯公民个人信息罪的法益对象是个人法益(个人法益说)还是集体法益(超个人法益说),或是二者兼而有之(混合法益说)。三种观点争驳的核心在于个人信息的性质为何，即公民个人信息是个人隐私还是个人信息，公民个人信息权益是私法权利还是公法权利，并最终归结为侵犯公民个人信息罪的保护法益是个人法益还是社会法益的争论。由此，讨论侵犯公民个人信息罪法益，首先应当厘清公民个人信息的性质和类别，而讨论上述问题的前提在于确定公民个人信息的基本内涵。据此，下文将首先讨论公民个人信息的内涵，并在此基础上厘清个人信息与隐私信息的关系，进而对公民个人信息作出合理类型化。

(一)正本清源：公民个人信息内涵的厘定

学理上，关于如何界定个人信息的内涵存在不同的学说主张，包括隐私说、识别说、关联说以及新识别说。隐私说认为公民个人信息即为公民隐私信息，7侵犯公民个人信息罪强调通过打击非法取得涉及公民隐私性信息的行为，实现对公民人身权、财产权、隐私权的保护。8识别说认为，可识别性即个人信息与信息主体存在某一客观确定的可能性，是个人信息最重要的特征。识别说的目的在于平衡个人信息保护和信息流动之间的张力。9与识别说主张从信息到个人的识别不同，关联说主张从个人到信息的识别，即已知既定个人而知晓或者收集关于该个人的其他信息。10新识别说在传统识别说的基础上，将个人信息理解为“光谱”,对个人信息进行分层界分，由内向外分别为直接识别信息、间接识别信息以及不可识别信息。11综合来看，隐私说将个人信息与个人隐私等同，在大数据时代，这种混同的观点因为过度限缩了公民个人信息的内涵而日益被边缘化。在本文看来，识别说、关联说、新识别说实际上在一定程度上已经达成了理论共识，即公民个人信息是指具有可识别性的信息，在某种情形下，可识别性表现为关联性。易言之，如果通过与公民个人相关联的信息，可以追溯到某特定的自然人，此时，关联信息也表现出识别性。正如有学者指出的，“直接识别”信息之外，能够与个人“关联”或“绑定”的信息均属于个人信息，即是将关联信息与“间接识别”信息等同。12因此，将公民个人信息理解为既包含公民个人识别信息，也包含公民关联信息，是恰当的。

从各国的立法实践来看，上述观点也可以得到印证。各国法律关于个人信息的界定大致可以分为两类：第一类为综合模式，认为个人信息包含与自然人相关的所有信息。例如，欧盟2016年通过的《一般数据保护条例》中规定，个人信息指的是任何已识别或可识别的自然人(信息主体)相关的信息。13美国没有统一的个人信息保护法，而是通过隐私权对个人信息加以保护。美国司法部《1974年隐私法概述》中将个人信息定义为包括与可识别的特定信息相关的个人信息，不限于直接反映个人特点或特质的信息。14第二类为个人识别信息模式，认为个人信息仅仅包含个人识别信息。例如，日本《个人信息保护法》规定，本法所称“个人信息”是指可以通过信息中包含的姓名、出生日期和其他描述来识别特定个人的在世人的信息。15其中，综合模式是各国立法实践的主流。

我国的立法实践基本上采纳了学理通说：2017年出台的《解释》中对个人信息作出了明确界定：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”;2020年颁布的《民法典》将个人信息界定为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”;2021年通过的《个人信息保护法》则将个人信息规定为：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”有学者指出，《解释》中对于公民个人信息内涵的界定超出了《个人信息保护法》中对公民个人信息的界定：前者所言的个人信息包含了“反映自然人活动情况的各种信息”,而后者指称的个人信息仅仅指“识别信息”;前者将个人信息的识别对象规定为“自然人身份”,后者将个人信息的识别对象界定为“自然人”。16在本文看来，《解释》《民法典》以及《个人信息保护法》对于个人信息的界定是一致的：《民法典》中列举的个人信息包含了“行踪信息”等反映自然人活动情况的信息，《个人信息保护法》也规定“敏感个人信息”包含“行踪轨迹”等反映自然人活动情况的信息。而上述《解释》中识别特定“自然人身份”意为识别“自然人”,而非识别“自然人的身份”,原因在于，该解释所列举的“姓名、身份证件号码、通讯联系方式、住址”等识别信息，只能识别“自然人是谁”而不能识别“自然人是何种身份”。综合上述，从法域协调的角度来看，公民个人信息包括身份识别信息，也包括体现特定自然人活动情况的信息。17

(二)包容抑或区隔：个人信息与个人隐私信息的界分

个人信息与隐私信息的关系涉及侵犯公民个人信息罪保护对象的确立，是确定侵犯公民个人信息罪法益不可回避的问题。

关于个人信息与隐私信息的关系，学理上存在包容说、区分说和混合说的争驳。包容说认为，个人信息包含个人身份信息和隐私信息。具体而言，个人身份信息包括姓名、性别、年龄、有效证件号码、婚姻状况、工作单位等能够识别公民个人身份的信息，而个人隐私信息则包括个人财产状况、生理及健康状况、活动记录等信息。18混合说认为，隐私信息具有相对性，凡是个人不愿公开的个人信息都是隐私信息。个人信息与隐私信息的联系在于：一方面，许多未公开的个人信息本身就属于隐私的范畴；另一方面，部分隐私权保护的客体因其具有可识别性也属于个人信息的范畴。19区分说则认为，个人隐私信息与个人信息相互区分，前者仅涉及公民私密性信息或者活动，与国家或者公共利益无涉，也不涉及财产价值，更多与公民的人格尊严、精神、情感需求相关；后者的关键则在于信息的“共享”,与公民人身安全和财产安全密切相关。20也有学者指出，对个人信息的保护主要包括个人信息的支配权和自我决定权的保护，而对于隐私权保护的重点在于防范个人秘密被非法泄露。21

在本文看来，上述诸说间的争论主要源自概念语意界定不清。一方面，个人信息表现出强烈的人身属性，即个人信息与自然人紧密相连，表现出可识别性和私密性；另一方面，个人信息则表现出财产性和公共性，与公民的个人财产安全甚至公共利益密切相关。易言之，个人信息是个人隐私权、人格权乃至财产权的综合载体。22基于此，本文认为，个人信息可以区分为广义个人信息和狭义个人信息：广义个人信息是指与公民个人相关联的所有信息，包含个人隐私信息和个人识别信息，23包容说所指的个人信息即是广义个人信息；狭义个人信息即个人识别信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，我国《民法典》中规定的个人信息即属此类。24个人识别信息(狭义个人信息)又可以区分为敏感个人信息和一般识别信息：前者是指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息；25后者则指敏感个人信息之外的其他能够识别公民个人身份的信息。广义个人信息语境下的个人隐私信息是指个人不愿披露且不涉及公共利益的个人私密性信息或者个人活动信息。26在本文看来，个人隐私信息仍可以区分为单纯隐私信息和复杂隐私信息：单纯隐私信息是指与公民人格尊严、精神情感密切相关，与公共利益无涉，“虽然其可以被利用，但其财产价值并非十分突出”27的隐私信息；复杂隐私信息是指既与自然人的人格尊严、精神情感密切相关，又与公民的经济利益、财产利益密切相关的信息。前者如自然人的特殊疾病病史等；后者如自然人购买私密物品的记录。这类信息一方面与个人私生活密切相关，另一方面对于特定商家而言，这些隐私信息又体现为经济利益，商家可以借此进行精准广告投放。对于单纯的隐私信息应否作为侵犯公民个人信息罪的保护对象，虽然有学者指出，“考虑到我国尚未设置侵犯个人秘密或隐私犯罪这一立法疏漏，不应将个人隐私排除在本条的犯罪对象之外。甚至可以期待，本条能发挥侵犯个人隐私罪或者泄露个人隐私罪的功能”,28但是这一论断显然有悖罪刑法定原则，而极易滑向罪刑擅断的深渊。根据《民法典》的规定，“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定”,29因此，就侵犯公民个人信息罪而言，单纯的隐私信息并非其保护对象，而复杂个人信息因其涉及经济利益、财产利益而当然是本罪的保护对象。当然，上述关于个人信息和个人隐私界分的尝试必须认识到“个人隐私及个人信息保护的边界并非固定、僵化的，而是主观的、动态的，并受多重因素影响”。30事实上，前述复杂隐私信息与敏感个人信息之间的界限在有些情形下就是模糊不清、难以界分的。

(三)殊途同归：个人信息的分类保护思路与借鉴

个人信息种类繁多、形式多样，侵犯个人信息的行为也表现出多样性和复杂性，相应的，对于公民个人信息的保护也是一项“复杂工程”。理论上，个人信息分类保护的思路为多数学者所认同。分类保护思路下，仍然存在两种不同的思路，分别为个人信息分层思路和个人信息场景化思路：个人信息分层思路认为，应当根据个人信息的不同性质将个人信息划分为不同层级，根据不同个人信息类型的保护层级，合理确定保护的尺度，实现个人信息的保护强度与保护必要性的协调。31场景化思路的基本内涵是指个人信息原始收集时的具体语境应得到尊重，其后续传播及利用不得超出原初的情境脉络。具体而言，个人信息保护的合理程度要置于其所处的环境中具体审视，避免脱离场景做抽象预判。32

不难发现，个人信息分层视角以个人信息与自然人、自然人人身安全、财产安全的关联程度为依据区分个人信息的敏感程度，从而将个人信息予以分层，33而场景化理论则关注个人信息的使用场景或者侵权场景，在具体的场景中判断行为人合理使用信息的限度或者责任承担边界。个人信息分层观点与场景化理论在很大程度上是相互契合的：第一，正如有学者所指出的，个人信息场景化保护的依据在于信息权益的场景化，34而个人信息的性质很大程度上决定了其信息权益(被利用或者被侵害)场景。例如，对于个人识别信息而言，其通常被利用的场景在于对自然人的辨认或识别，侵犯个人识别信息通常侵害的是自然人的信息支配权和决定权；35而对于一旦泄露将导致自然人的人格尊严受到侵害或者人身、财产安全受到侵害的敏感个人信息，除正常的业务授权外，一般不存在授权使用情形，此类信息的侵权场景通常是公民的信息安全。

应当指出的是，上述个人信息分层理论依据《解释》第5条的规定对个人信息进行分层，并将“行踪轨迹信息”单独列为最核心层级的观点是值得商榷的：其一，就规范的本意而言，《解释》第5条第1款第1项规定，“出售或者提供行踪轨迹信息，被他人用于犯罪的”,其重心在于“被他人用于犯罪”的结果，事实上是针对“损害结果”的特别规定，而并非承认行踪轨迹信息具有更高的敏感性；其二，就对象的事实特征而言，虽然个人行踪信息更容易被用于针对公民人身的犯罪，但与同样规定在《解释》第5条第1款第3项的通信内容、征信信息、财产信息相比，个人行踪轨迹信息并不具有更高的敏感性，后者也极易被用于针对公民人身、财产的犯罪；其三，就法秩序的内部统一性而言，《个人信息保护法》将行踪轨迹信息与医疗健康信息共同规定为敏感个人信息，36而《解释》则将行踪轨迹信息与健康生理信息规定在不同项，37易言之，《解释》认为行踪轨迹信息与健康生理信息具有不同敏感性。因此，在法秩序内部规定并不统一的情形下仅以《解释》为依据对个人信息进行分层，是不妥当的。

综合上述，个人信息分层理论与场景化理论具有相互契合性，以《解释》为依据的个人信息分层理论不具有妥当性。因此，分类保护思路下，应当寻求更为妥帖的分类方法。基于此，本文更倾向于前文场景化个人信息的分类(分层)方法，即将广义的个人信息区分为个人识别信息(狭义个人信息)和个人隐私信息。其中，个人识别信息包含一般识别信息和敏感个人信息，而个人隐私信息则包含单纯隐私信息和复杂隐私信息。侵犯公民个人信息罪的保护对象包括一般识别信息、敏感个人信息和复杂隐私信息，单纯隐私信息并不属于本罪的法益对象。下文的相关论述也将基于这一分类展开。

来源：《清华法学》（本文为文章摘录版，如需引用，参阅原文）