数字智治场域下侵犯公民个人信息罪的适用异化与匡正

作  者:
杨楠 

作者简介:
杨楠,北京理工大学法学院助理教授,法学博士。

原文出处:
华东政法大学学报

内容提要:

在数字智治背景下,侵犯公民个人信息罪的司法适用问题依然突出。敏感个人信息呈现泛化趋势;因果关系无限回溯、过度依赖结果归责、对罪过模糊推定,造成处罚范围异化扩张;因应新型犯罪手段,形式解释模糊入罪边界,与规范目的脱节。要摆脱这些困境,须动态调整保护范围,恪守主客观相统一,深化协同治理。具体地,对敏感个人信息应分类规制,对于一般敏感个人信息,应以前置法为基础,并辅以实质判断;对衍生敏感个人信息应分阶段考察,并通过检验信息的法律属性、多维阈值的匹配度、场景化校验三个阶层进行筛查。在归责方面,以个人信息类型与内容、获取和处理手段、流转方式与范围、危害后果等客观事实为基础,审慎判断行为人主观心态;再以该主观心态为尺度,合理限缩客观归责范围,通过客观与主观的关联和互证精准划定入罪边界。对新业态下“不纯正的新型犯罪”,宜充分借助刑法教义学方法,将具有实质可罚性的行为纳入规制范围;而对于“纯正的新型犯罪”则本质上属于立法与刑事政策有待解决的范畴,当前阶段只能审视不法链条中是否存在能够适用现有罪名的环节,否则只能通过前置法予以规制。


期刊代号:D414
分类名称:刑事法学
复印期号:2026 年 01 期

字号:

  公民个人信息是数字智治的核心敏感要素,行走在自由与安全之间的狭窄地带。作为数智时代社会治理的新模式,数字智治以技术革新与治理现代化深度融合为本质,通过重构治理逻辑应对多维、动态、高度复杂的社会系统,驱动治理模式从碎片化向体系化、智能化、精准化、法治化和协同化跃迁。①在此进程中,个人信息既是网络时代塑造公民数字人格的基础要素,也是信息社会融通互联的重要枢纽,还是数智社会驱动创新的战略资源,更是极易招致犯罪风险的新型生产资料。在应用场景迭出的社会背景下,校准刑事法治在个人信息保护中的定位,廓清多元治理手段的界限,平衡风险防控与创新激励的关系,成为助推刑事治理体系和治理能力现代化、支撑数字智治的关键举措。

  一、数字智治场域下侵犯公民个人信息罪适用的异化扩张

  2022年12月2日,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》确立了数据基础制度建设的安全可控、弹性包容原则。数字智治有赖于数据的高效流转与开发应用,而作为核心数据资源的公民个人信息,同样面临着如何平衡安全与自由的挑战。

  (一)敏感个人信息泛化导致过罪化和重刑化

  对敏感个人信息的不当扩张往往通过不当拓宽特定信息外延、在具体场景中回避实质判断来实现。我国刑事司法解释对个人信息的划分与前置法存在差别,《个人信息保护法》对公民个人信息采取“敏感个人信息”和“一般个人信息”两级分类标准,而2017年5月8日最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“‘两高’《解释》”)则对公民个人信息采用“高度敏感个人信息”“敏感个人信息”“一般个人信息”三级分类标准,并对应不同的入罪门槛。尽管“两高”《解释》旨在根据信息的重要性不同而实现差异化保护,但司法实践中却存在诸多将一般个人信息强行解释为敏感个人信息,或将一般敏感个人信息扩张为高度敏感个人信息的情形,由此导致处罚范围不当扩张。②

  在“王某强、邹某等侵犯公民个人信息案”中,被告人非法提供他人上网、住宿等个人信息,公诉机关认为该类信息是行踪轨迹;辩护人则主张,开房信息属于住宿信息,上网信息类似于住宿信息,均不是行踪轨迹。法院指出,上网、开房信息反映了公民一定时段的位置,应认定为行踪信息。③然而,上述判决结果值得商榷。其一,行踪轨迹能直接反映特定自然人所处位置的动态信息,但开房和上网信息均是静态、离散、点状信息,不具备轨迹特征。登记时间、地点、房号,上网时间、机位等只反映特定活动或习惯。仅记录出发和到达时间、地点、次数等时空位移情况的信息,难以反映连续路径和实时位置变化,不应作为行踪轨迹。其二,行为的持续性不等于轨迹性。行踪轨迹信息的本质是实时地理位置,一旦被第三方知悉,信息主体的人身安全会被置于被动境地,被害风险高。④但住宿或上网信息只是孤立的位置点,即使获得多个数据,也难以自动推导出移动路径和特定自然人的实时坐标,其对人身安全的威胁实难与行踪轨迹相比。倘若依据上述逻辑,能标记位置的IP地址、上班打卡信息等均可作为行踪轨迹而严格保护,但这类信息是否属于个人信息尚存争议。⑤

  同样,在“卢某某等侵犯公民个人信息案”中,公诉机关指控郑某某、龚某某非法获取、提供财产信息。辩护人提出,涉案信息只有姓名、电话、房号,且房号、面积等属于公开信息,更多反映房产交易情况,应属交易信息;业主姓名、住址、联系方式并非财产状况。法官指出,上述信息可被精准用于实施违法犯罪活动,与公民人身、财产安全直接相关,也与住宿信息、通信记录等在重要程度上相当,属于其他可能影响人身、财产安全的公民个人信息。⑥然而,财产信息应直接反映财产价值、财物权属或主体的经济状况,姓名、住址、房号、面积等不具备体现上述特征的能力,而且对于合法公开信息刑法保护的必要性也聚讼未休⑦。此外,为避免兜底规定的不当扩张,确定个人信息类型应优先适用规范明确列举的类型。然而,在辩护人提出所涉信息应为交易信息时,法官对此既未采纳也未阐明,转而通过兜底规定将其认定为一般敏感个人信息。这虽与辩护人希冀的效果不冲突,但实际上回避了核心争议,混淆了分类逻辑。根据同类解释原理,“其他可能影响人身、财产安全的公民个人信息”应与住宿信息、通信记录等在信息关联度、泄漏风险及损害后果等方面趋同。然而,法官仅以滥用风险为标准而不对信息重要程度做实质化判断,会消解不同类型个人信息之间的法定界限。

  上述论断也得到了证实。在“李某辉等侵犯公民个人信息案”中,辩护人提出姓名、电话、地址等属于一般个人信息,被告人的犯罪行为不构成“情节特别严重”。法官指出,本案焦点在于收货地址(大多为住址)是否为“住宿信息”。“两高”《解释》将住宿信息表述为“可能”影响公民人身、财产安全的信息,这意味着不管公民是否实际居住在该地址,此类信息的泄露都存在安全隐患,并非必然发生危害人身、财产的结果。因此,本案中的个人信息应属于“其他可能影响人身、财产安全的公民个人信息”。⑧住宿信息与家庭住址并不相同,住宿信息更偏向于短期、临时的住宿记录,如酒店登记信息,其与公民实时行踪紧密关联;而家庭住址往往是长期、静态的居住信息。“住宿信息”与“通信记录”“健康生理信息”并列,旨在保护动态暴露于陌生、孤立环境中的脆弱公民,而家庭住址在前置法中也未被列为敏感信息,仅当叠加其他特殊因素(如未成年人)时才可能成为敏感信息。本案中,公诉机关既未证明涉案地址具备“住宿信息”特有的实时行踪暴露属性,亦未证明其存在高于一般住址的直接安全威胁,存在释明上的疏漏。另外,所有个人信息均具备可识别性,但可识别性不等于敏感性。收货地址信息是否具备敏感性,必须结合具体应用场景判断,将家庭住址与住宿信息简单等同,是以“可识别性”标准替代了对风险的实质判断,导致敏感信息外延泛化,架空个人信息类型化保护的基本框架。

相关文章: