我国侵犯公民个人信息犯罪入法于2009年实施的刑法修正案（七）。随着数字经济的迅猛发展，尤其是我国个人信息保护法、数据安全法等法律法规的实施，侵犯公民个人信息罪在司法实践中出现了较多争议，主要体现在个人信息保护法是否应当作为侵犯公民个人信息罪的前置法、是否应当区分数据处理与个人信息处理的行为性质、“告知同意”是否应当作为认定侵犯公民个人信息行为违法性的标准、因履行合同而留存个人信息行为合法性的认定，以及刑法谦抑性原则的适用等问题上。基于我国社会发展尤其是数字经济的实际情况，本文试对以上问题进行分析。

　　一、个人信息保护法是否应当作为认定侵犯公民个人信息罪的前置法

　　从行政法规与刑法的位阶关系，以及个人信息保护法第七十一条规定“构成犯罪的，依法追究刑事责任”来看，个人信息保护法似乎当然应当作为认定侵犯公民个人信息罪的前置法，但其实不然。主要原因在于：一是在实施时间上的错位。如果个人信息保护法是认定侵犯公民个人信息罪的前置法，应当在实施时间上早于侵犯公民个人信息犯罪相关规定，而实际上个人信息保护法于2021年11月1日才实施，远晚于侵犯公民个人信息犯罪的规定，即2009年2月28日实施的刑法修正案（七）。二是在法律规则上的不对应。一般而言，前置法规则与刑法规则应当具有对应性，才能保证行政法规则作为刑事入罪的逻辑合理性。个人信息保护法中个人信息的处理行为包括对个人信息的“收集、存储、使用、加工、运输、提供、公开、删除等”，而侵犯公民个人信息罪规制个人信息的处理行为仅包括对公民个人信息的“出售或提供”和“窃取或者以其他方法非法获取”。因此，两者在法律规则上不具有对应性。并且，仅仅将“出售或提供”和“窃取或者以其他方法非法获取”作为刑事打击的犯罪行为，而对其他个人信息处理行为未在刑法层面规制，这不仅在法律规则层面存在错位，也缺乏法理上的依据。三是在法律主体上的错位。侵犯公民个人信息罪的主体包括个人和单位，但个人信息保护法的适用主体是个人信息处理者。个人信息处理者是一个数字信息时代的概念，其拥有相应信息处理技术，以处理个人信息为基本业务场景，比如数据服务提供者，但个人信息处理者一般不包括个人。这与传统工业时代的“个人和单位”有明显不同，比如这类“个人和单位”即使不具有相应信息处理技术，依然可以出售、提供个人信息。实际上，个人信息处理者是新近出现的数字时代新型主体，主要包括数字平台、数据经营者等，人工智能企业也是重要的个人信息处理者，这些主体在制定刑法修正案（七）时尚未发育成熟，没有形成这一新型市场主体概念。因此，不宜将“个人信息处理者”与“个人和单位”的概念对应起来，否则将不利于数字社会新型市场主体的发育壮大。

　　二、是否可以将数据处理行为中的个人信息作为侵犯公民个人信息罪的规制对象

　　有的司法机关将数据处理与个人信息处理混为一谈，这是非常有害的，二者存在明确的区分：一是数据处理与个人信息处理在处理对象层面存在本质区别。数据处理的对象是数据。在数字信息时代，数据一般是以电子方式对信息进行大规模记录的数据集合。个人数据则是对个人信息进行大规模记录所形成的数据，具有电子性、集合性、整体性以及相关性等特点，在经济上具有独特的数据分析利用等衍生价值。比如采用“数据可用不可见”隐私计算等技术处理个人数据集合的行为，是数据处理行为，不涉及个人信息内容层面的处理行为。个人信息处理的对象是具体的个人信息。对个人信息的保护，是对以个人信息的具体内容和针对具体个人而进行的保护，不可能具有像数据集合性或整体性的特点。如果将个人信息等同于个人数据，个人数据是数据的一种，那么个人信息保护法岂不成了数据安全法的下位法？实际上，个人信息在个人信息保护法当中是作为一种人格权益来定位的，而数据安全法则是社会公共安全的风险管理规则，二者在性质上截然不同。二是要求数据处理者履行个人信息保护的告知同意义务不具有可行性。由于数据之间的相关性，数据开发利用的价值或用途往往是在数据分析、数据挖掘或数据二次利用等大规模数据处理之后才能显现，因此数据处理者对数据如何发挥价值无法在事前充分预知。因为在不同场景之中，对于相同数据分析利用的逻辑可能存在差异，数据由此所展现的价值可能大小不一，甚至完全不同。而且，个人数据处理行为并非仅仅针对某个人的数据，数据处理中的个人数据往往具有集合性，处理个人数据的数量动辄几万、百万甚至数以亿计。如果要求数据处理者在处理个人数据时，事先逐一向个人履行告知同意规则，不具有现实可行性与经济性。如果将数据处理行为作为侵犯公民个人信息罪打击的对象，既不符合立法原意与法律的逻辑体系，也显然不利于数字经济的健康发展。

　　三、“告知同意”是否应当作为认定侵犯公民个人信息行为违法性的标准

　　即使按照个人信息保护法的规定，“告知同意”也不是认定侵犯公民个人信息行为违法性的唯一标准：一是评价个人信息处理行为合法性的标准还包括其他合法事由。根据个人信息保护法第十八条第一款规定，个人信息处理者处理个人信息，存在“不需要告知”情形的，无须向个人履行告知义务，也无须取得个人同意，有权直接处理个人信息。根据社会生活常理，“不需要告知”的情形可以涵盖对个人不产生影响或正向影响的个人信息处理行为，或者在现有技术条件下履行告知义务将付出巨大成本的个人信息处理行为，等等。所以，在认定侵犯公民个人信息犯罪行为时，应当结合具体场景判断个人信息处理行为的合法性，而不应仅以未经个人同意为由，就机械认定构成犯罪。二是处理个人信息的目的应当作为评价个人信息处理行为合法性的重要依据。实践中经常有企业基于保护个人信息的目的而委托数据科技公司对个人信息进行保护性技术处理，如果抛开个人信息处理目的上的合法性、正当性，而仅以个人信息处理者是否履行告知同意规则来判断个人信息处理行为的合法性，显然属于断章取义，不符合个人信息保护立法的实质性目的。在该种情况下，刑法应当保持谦抑性，个人信息处理者未履行告知同意规则，应当先判断是否构成民事侵权行为，或者是否符合行政处罚条件，而不应当直接作为侵犯公民个人信息犯罪行为进行打击。比如，银行对逾期还款的借款人催收欠款，属于履行借款合同及降低金融风险的行为，具有法律依据。那么，如果银行委托第三方获取失联借款人的最新联系电话等必要个人信息，用于联系借款人催收欠款，这是履行借款合同必要方式。在这种场景下，银行及第三方处理个人信息的目的具有正当性，此时不应当苛求银行及第三方在获取借款人的个人信息时需要履行告知同意规则，更不应当将该类行为作为犯罪进行处理。

　　四、因履行合同而留存个人信息行为合法性的认定

　　一些合同的履行涉及个人信息留存，如何认定其合法性？一般而言，只要合同本身是合法正当的，那么因履行合同而留存个人信息的行为也是合法的，因为：一是留存个人信息是履行相关合同的必要措施。从合同履行的角度来讲，留存与合同履行相关的个人信息，是合同履行的实际需要，特别是个人信息处理相关合同，个人信息的收集、存储、使用等行为属于合同履行行为。如果不留存相关个人信息，在发生纠纷时可能导致合同无法履行或者无法确定相应责任的承担。二是从网络安全管理的角度来讲，留存相关个人信息是保护个人信息的法律需求。比如，我国网络安全法第二十一条规定，网络运营者应当按照规定留存相关的网络日志不少于6个月。我国《网络数据安全管理条例》第十二条规定，网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录，应当至少保存3年。

　　五、刑法谦抑性原则在认定侵犯公民个人信息罪中的适用

　　个人信息权益是一个新兴的概念，至今尚未发育成熟，在法律上只能被称为“权益”，而非“权利”。因此，适用刑法来规制侵犯公民个人信息行为应当保持足够的“谦抑性”。主要理由有：一是个人信息本身具有经济利用的价值，是数字经济发展必不可少的因素。如果刑法过多干预个人信息利用，将不利于数字经济的发展。尤其在数字技术的国际竞争层面，对于个人数据利用的限制过于严苛，将不利于发展人工智能等技术与提升国家竞争力。二是对于侵犯公民个人信息的行为，应当坚持民事侵权责任优先适用的原则。但在目前司法实践过程中，侵犯公民个人信息相关的民事侵权案件数量很少，而刑事案件的数量较大，这说明在认定侵犯公民个人信息罪中，可能存在刑法对民法的越位适用问题。三是侵犯公民个人信息罪的司法实践并不成熟，往往缺少实际的“受害人”。侵犯公民个人信息罪的客体是个人信息权益，而非公共利益。在缺乏实际受害人的情况下，何谈个人信息权益的损害？在对侵犯公民个人信息罪提起附带民事公益诉讼时，也往往难以征集到相应的民事侵权受害人，这显然不符合公益诉讼的基本常理。四是在当前治理“远洋捕捞式执法”的需求中，如果不坚持刑法谦抑性原则，则侵犯公民个人信息罪可能沦为“远洋捕捞式执法”的工具，从而对于国家法治和数字经济造成双重损害。

　　当然，侵犯公民个人信息行为不需要完全出罪化，对于那些具有主观犯罪故意且造成实际侵害后果的，应当严格依法按照犯罪进行惩处。在数字经济发展过程中，我们也应当意识到个人信息不仅关系到个人权益，也是社会经济发展的重要因素。即使在传统社会当中，个人信息也应当在一定程度上让渡于社会公共利益。对于产生严重危害性的个人信息处理行为，刑法才有必要介入进行打击。在司法方法上，犯罪三阶层的理论比犯罪构成四要件理论在该罪的司法实践中更具有判断力，应当结合运用来确定是否构成犯罪，实现罪刑相适应，为数字经济发展提供司法保障。

　　（作者单位：中国政法大学数据法治研究院教授 范明志）