法秩序统一视野下“个人信息”的认定——从侵犯公民个人信息罪切入

个人信息已成为21世纪最有价值的资源之一。非法利用公民个人信息的行为不断涌现，成为当前刑事治理的重点领域。在司法实践中，混用个人信息与相关概念的现象屡屡发生，影响对侵犯公民个人信息罪犯罪构成要件的理解，也关系着刑罚的处罚边界。“个人信息”作为侵犯公民个人信息罪的行为对象，是刑民规范聚合的必然产物。因此，应当尝试在法秩序统一性原理的价值指引下解读“个人信息”概念：在形式上，以《民法典》的相关规定为基础，采取狭义的个人信息认定方式，将个人信息与个人数据、隐私进行明确区分；在实质上，深刻把握侵犯公民个人信息罪的法益内核，个人信息作为本罪的行为对象应当充分体现个人信息自决权的法益本质，从而为实现信息主体的选择权和决定权提供坚实基础。     

侵犯公民个人信息罪法益要素的法教义学分析——基于“泛云端化”信息特质

随着云储存便捷的运作环境、服务密集的同步操作建模以及资源互享的途径多元的群集趋势之演变,公民个人信息的"云平台"储存已经逐渐流变为一种"泛云端化"特质。在网络空间与现实空间的"双层场域"下,衔接两种情境下侵犯公民个人信息罪的法益类型与具体要素的解读,是对既定客观事实的遵循与回应。基于法教义学分析,侵犯公民个人信息罪所侵犯的具体法益类型应当界定为"公民个人信息自决权",而理解侵犯公民个人信息罪法益所涵盖的具体要素,则可以从法益类型所指的"对象、主体、程度与范围"这四个要素出发。     

侵犯公民个人信息罪的精准解释

侵犯公民个人信息罪新近立法情势、大数据时代犯罪治理思维变革趋势、新时代我国司法公正供需矛盾态势蕴含着侵犯公民个人信息罪精准解释的迫切需求.最高司法机关联合颁布司法解释,以解读立法关键词的方式,以精细规定谋求精准解释,在不同信息类型差别评价、不同信息比例合计评价、批量信息数量灵活评价、合法经营要素单独评价等方面竭力创新,既为侵犯公民个人信息罪精准司法提供了遵循,又留下了适用困惑和想象空间.优化侵犯公民个人信息罪精准解释,应注重综合把握犯罪成立条件,防止精准解释碎片化;系统解读兜底条款规定,防止精准解释空泛化;科学树立精准解释理念,防止精准解释数字化.     

侵犯公民个人信息罪刑法适用的调整和重构

司法解释有关侵犯公民个人信息罪中的个人信息的定义应同《个人信息保护法》的规定保持一致。合法获取但非法使用个人信息的行为亦应构成侵犯公民个人信息罪。侵犯公民个人信息罪是故意犯罪且相关行为应具有法益侵害具体结果。获得公民知情同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,"公民知情同意"的效力应当以《个人信息保护法》赋予公民最后一次行使同意权的效力为基准。侵犯公民个人信息罪的保护法益应为与公民人格、财产权紧密关联的个人信息自决权。司法解释对"情节严重"的认定应根据个人信息对公民个人利益影响的紧密程度以及行为人的主观动机两个方面综合考量。司法解释应采用《个人信息保护法》的分类方式,将个人信息区分为敏感个人信息和一般个人信息两种,并对侵犯公民个人信息再犯情形的构罪标准进行修改。     

风险刑法视野下侵犯公民个人信息罪研究

《刑法修正案(九)》关于侵犯公民个人信息罪的法律规定,集中体现了风险刑法视野下刑罚前置化、预防积极化等主张。由于我国刑法“重罪重刑”的特点较为明显,随着犯罪圈的进一步扩大,对侵犯公民个人信息这一轻罪进行处罚时要格外慎重,避免刑罚权滥用,侵犯公民合法权益。所以,在加大打击力度的同时,我们要按照罪行法定原则等要求,将公民个人信息、情节严重等相关概念予以规范,而且要明确关联犯罪的处罚原则,最大限度避免司法实践中的混乱。     

侵犯公民个人信息罪的认定

刑法中侵犯公民个人信息罪的认定标准应当与《个人信息保护法》相协调。在界定公民个人信息的内涵方面,应站在体系化的角度全面进行分析,可参考《个人信息保护法》对公民个人信息“二分法”的分类方式,并运用“概括+列举”式的规定,将公民个人信息分为敏感个人信息和一般个人信息。在限定“违反国家有关规定”方面,应对“国家有关规定”作限缩解释,仅包括法律和行政法规。在认定行为方式内容方面,应及时调整侵犯公民个人信息罪的行为方式内容,将更具社会危害性的合法获取个人信息后非法使用的行为,纳入侵犯公民个人信息罪的行为方式内容之中。     

抢劫公民个人信息行为刑法规制的困境与疏解——以樊某等抢劫微信账号密码案为切入

抢劫公民个人信息行为是指以暴力、胁迫或其他具有相当性的方法非法获取公民个人信息的行为。由于不符合等质性要求、罪名的单一法益保护与行为的双重法益侵害间存在冲突、“情节严重”标准不匹配等原因,无法将“抢劫”解释入《刑法》第253条之一第3款的“其他方法”,侵犯公民个人信息罪不适用。另外,个人信息不具备管理、移转可能性与价值性,不符合刑法上“财物”的认定标准,即使账号密码类个人信息与数据企业收集整理的结构化数据亦是如此,因此抢劫罪不适用。在当前立法尚未修改的情况下,将抢劫公民个人信息行为拆解,分类探求刑法应对方法是相对合理的选择。但在未来必要时刻,当出现大量此类行为而现行刑法无法满足规制需要时,应考虑增设抢劫公民个人信息罪,以实现对公民个人信息权益的周全保护。     

大数据时代公民个人信息刑法保护的边界——以“违反国家有关规定”的实质解释为中心

"违反国家有关规定"是成立侵犯公民个人信息罪的前置性条件,对其性质和地位的正确把握,是确定公民个人信息刑法保护边界的重要依据。在本罪中"违反国家有关规定"仅仅是为提示违法性而存在,而不是构成要件要素。本罪所保护的法益是个人生活的安宁,而不是所谓的信息自决权。在本罪司法认定过程中,"违反国家有关规定"有两个层面的价值和意义：一方面在认定行为人的行为符合构成要件之后,通过"违反国家有关规定"的提示违法性功能,审查行为人的行为是否具有违法阻却事由即法律上的根据;另一方面,在行为人的责任评价阶段,通过本罪所保护的法益对"违反国家有关规定"的实质解释评价行为人违法性认识的有无、错误的可避免性,进而作出行为人的行为是否可归责的评价。     

我国公民个人信息刑法保护范围研究

我国公民个人信息的刑法保护范围模糊不清,造成司法实践的困惑。界定公民个人信息刑法保护范围应遵循刑法的谦抑性原则、权利保护与公民个人信息流通相协调原则,以及法益保护原则。建议采用新限制说对刑法所保护公民个人信息中的信息内涵与主体范围进行具体界定。     

侵犯公民个人信息罪的法解释学释义

鉴于频现滥用公民个人信息的违法现象,致使公民人身、民主权利受到不同程度的影响,《刑法修正案(九)》对侵犯公民个人信息的犯罪予以修正.解释侵犯公民个人信息罪时,应当密切关注三个要件要素:基于法益二元观理论,“公民个人信息”既表征个人法益,也蕴含超个人法益;立足于法秩序一致性原理,“违反国家有关规定”的认定参照法律法规的明确规定或者一般性规定.至于违法性的判断,应以是否经过公民同意为实质标准;运用罪量因素理论,将“情节严重”认定为不法构成要件要素,同时对其类型化,包括行为量定的情节严重、危害后果的情节严重以及主观不法的情节严重.因而综合考察信息类别与数量、危害后果和主观目的对公民基本权利的侵害或危险,成为区分罪与非罪、此罪与彼罪的可行方案.     

侵犯公民个人信息罪的价值选择与认定

侵犯公民个人信息罪的设立,较为有效地保护了公民的个人信息。随后最高人民法院会同最高人民检察院出台的相关司法解释及指导性案例,也为司法实践中正确处理此类案件提供了较为可行的操作标准。但由于本罪具有预防刑法的特性,对其理解与适用应进行合理限缩。在理解这一罪名时,应当以兼顾公民个人信息的保护与数据产业发展的平衡为价值指引,注意两高的相关解释与《网络安全法》的衔接。在侵犯公民个人信息罪的构成要件的具体涵摄中,应将相关信息豁免制度作为辅助性参考,正确认定阻却构成要件的情形。公民个人信息的内涵具有"可识别性",其范围包括身份识别信息和活动情况的信息,IP地址、Cookies等都可纳入,但在具体的认定上应当增加认定要素以限缩范围;作为构成要件要素的"国家有关规定"的范围应当限制为法律、行政法规,部门规章应当排除在外。     

法益重塑与模式更新：场景化视域下个人信息刑法保护的动态转向

传统上依赖私权维护的个人信息静态刑法保护模式不仅提高了信息流动的制度成本,还导致侵犯公民个人信息罪适用僵化、不灵活,不利于信息保护与利用的平衡。场景化理论主张信息合理流动,对破解这一问题具有重要意义。场景化视域下,个人信息不是私权的客体,侵犯公民个人信息罪不应保护个人对信息的绝对控制权,而应仅保护个人信息的合理流动权。动态刑法保护模式顺应了数字社会对个人信息场景化保护的要求,能有效实现信息保护与信息利用的平衡,应予以提倡。对于侵犯公民个人信息罪的适用,在“违反国家有关规定”方面,应重新界定其实质性内涵,发挥其限制入罪的机能;在行为对象上,要扩充高度敏感信息的内涵,使其适应个人信息分级保护的需要;在情节严重的认定上,要改变其中存在的根据单一标准认定情节严重的做法,通过场景整合,实现情节严重认定的综合化。     

论敏感信息二元同意规则的刑法构造

刑法中针对敏感信息建构同意规则的突破口在于《个人信息保护法》第32条的规定。敏感信息二元同意规则的刑法构造具备理论根据和现实基础。二元同意规则以对信息法益属性的准确厘定为前提，在信息分类的基础上通过结合一般恐惧理论对敏感信息敏感等级进行划分，最终得出针对敏感程度极高的敏感信息同意无效的结论。刑法对于高度敏感信息同意无效的情形还涉及到后续保障问题的探讨，这又可以细分为司法及立法上的双重启示。司法上的启示主要以对《刑法》第253条之一“情节严重”的解释为切入点，即对侵犯高度敏感信息行为“情节严重”的入罪判断不应当再局限于“量”的标准。立法上的启示主要以侵犯个人信息的“行为”为切入点，以《个人信息保护法》为参照进一步细化刑法中侵犯公民个人信息的行为方式，最终拟提出增设“滥用公民个人信息罪”的构想。     

涉人脸识别信息犯罪的治理缘由及刑法应对

有效应对人脸识别等新兴技术所诱发的身份认证信息安全风险,是人脸信息犯罪刑事治理的根本目的。司法实践中,涉人脸信息案件的认定仍存在入罪标准混乱、定罪量刑宽严不一致等困境。人脸识别信息本身具有人身反映性、独特性、不可改变性等特殊性质,目前技术无法实现对其的周密保护。侵犯人脸识别信息犯罪行为的严重化趋势,以及对技术中立性的突破,是理论与实践中主张进行刑事治理的重要缘由。针对涉人脸识别信息不法行为的评价,首先应当考虑行为是否满足前置性法律法规的违法性评价前提,之后判断行为是否达到了侵犯公民个人信息罪的入罪标准,为涉人脸信息案件的刑事治理提供体系性的评价路径。     

双层社会下短信嗅探犯罪刑法规制研究

在双层社会背景下，针对短信嗅探犯罪的刑法规制陷入困局，由于保护法益范畴不明，导致无法对技术作出合理的刑法解释，并且适用的罪名存在竞合。短信嗅探犯罪的保护法益包括财产法益和公民个人信息法益，所以应该适用双重法益说。由于受双层社会场域特征的影响，短信嗅探犯罪实行行为的认定标准和刑法解释发生异化，应该基于保护公民个人信息法益来解释实行行为。在具体规制路径的选择上，应该适用盗窃罪来保护财产法益，与侵犯公民个人信息罪数罪并罚，并在量刑标准上“升维”，保持刑法谦抑性。     

加强公民个人信息刑法保护对策的思考

信息化时代,个人信息数量迅猛增长,其经济价值显现的同时也面临被侵犯甚至引发犯罪的风险。面对当前公民个人信息受侵害的现实性与严峻性,以及相关法律对个人信息保护的局限性,为了避免因侵害公民个人信息造成的人身和财产损失,刑事立法对其进行了规定。但在实践中,刑法在对公民个人信息进行保护时,存在对公民个人信息界定困难、犯罪主观层面设置不合理、犯罪行为类型概括不全面和对“情节严重”认定粗糙等问题,导致部分侵犯公民个人信息的犯罪难以得到刑法规制,影响对公民个人信息的保护。为了进一步完善刑法对公民个人信息的保护,有必要明确界定公民个人信息范围、拓展个人信息犯罪的主观层面、延伸个人信息犯罪的行为类型、对“情节严重”标准予以明确。     

个人信息权法益确证及其场景化实践规则

个人信息权的语境实质是权利保护与个人信息利用二律背反的逻辑协调问题,是个人权利处分自由以及要求他人（包括国家）给予法益尊重的法律问题。在科学阐释个人信息权作为一项新型独立性权利的法理依据、理论内涵以及客体归属基础上,界定侵犯公民个人信息罪保护法益为个人信息权,明确个人信息权法益自决性立场,理性论证个人信息权一体两面的权利特征及其实践规则。方法论上将个人信息处理进行场景化审视,正确认识知情同意作为个人信息处理的合法性依据;明确相对同意作为权利主体同意的基本形态;强调真实同意作为权利主体的意思表达。原则承载价值,法律规制行为。作为二次规范法的刑法,理应在保护理念、条文结构以及罪名优化等方面给予回应,形成既具有理论逻辑自洽性亦彰显实践功能自足性的刑法结构样态。     

非法获取个人数据犯罪的法益分析及处罚限定

个人信息权益、数据权益、信息管理秩序、数据安全秩序，是大数据时代下刑法保护的新兴法益。侵犯公民个人信息罪保护个人信息权益，非法获取计算机信息系统数据罪保护数据权益，二者都应作为个人法益保护。一方面，侵犯公民个人信息罪中“同意”要件的规范化构造，以刑法对个人信息的保护程度为基础，在因“同意”而产生的合理预期范围内由信息主体承担信息社会的风险。另一方面，以私法上个人数据确权理论为依据，非法获取计算机信息系统数据罪的对象应包含个人数据所承载的数据控制者的数据权益，处罚范围取决于个人数据上的企业投入及合法获取。非法获取个人数据的行为，可能构成侵犯公民个人信息罪与非法获取计算机信息系统数据罪的想象竞合。     

"违反国家有关规定"之正当性与必要性探析

"违反国家有关规定"的表述在我国刑法条文中仅出现一次,作为第253条之一侵犯公民个人信息罪的补充规范,其与第96条所述"违反国家规定"并不是相同意义上的概念,两者并不冲突。将部门规章纳入此罪的前置法当中,既具有立法目的和体系地位上的正当性,也符合罪刑法定原则,尤其在大数据环境下,能够对相关犯罪给予严厉打击,更好地满足个人信息的保护需求。     

侵犯公民个人信息罪"情节严重"中信息分级保护的结构重塑

司法解释根据刑法保护必要性与紧迫性程度的不同将个人信息划分为三个层级并设置高低有别的入罪门槛,形成了公民个人信息的分级保护模式.这种模式最能直接反映行为的危害性程度与刑法对不同类型信息的保护力度,但其亦存在第一层级要素范围过窄、第二层级认定标准单一、第三层级行为类型欠缺的弊端.因此应对现行分级保护体系予以调整与完善.具体而言,应在第一层级中增加"生物识别信息"及"与性相关的信息";将第二层级的认定标准延展至"可能导致个人受到歧视",并且增加列举个人联系方式、个人经历信息、网络关联信息等常见的信息类型;为《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条设置"5万条以上"的信息数量标准,使其被纳入分级保护体系并作为第四层级.