一、问题的提出：敏感个人信息侵害性的民刑界分

2024年9月14日我国发布了《网络安全标准实践指南———敏感个人信息识别指南》（以下简称《指南》），明确了敏感个人信息的识别规则及相关类型。同时，在识别规则中，从人格尊严、人身安全、财产安全三个角度强调了侵害性在敏感个人信息识别中的影响。泄露或者非法使用后的侵害性成了识别敏感个人信息的重要标准，而当侵害性达到一定程度，则可能构成侵犯公民个人信息罪。怎样确定侵害程度上的民刑界限，影响着这一规则在司法适用中发挥充足的效用。

现有的有关侵犯公民个人信息民刑界分的主要理论是信息分层理论。信息分层理论着眼于信息本身的属性，根据信息属性将信息分层，继而对应不同侵害程度，但这忽视了信息所处场景对信息敏感程度的影响。这一问题在司法实践中已然出现。以刘某丰、王某丰侵犯公民个人信息案为例，行为人了解到客户公司的账户中含有大量个人简历，可通过将年费过期或倒闭的公司账号出售的方式打包出售账号内公民简历获利。后行为人向他人购买公民简历，购得个人简历11839份。辩护人认为，行为人所侵害的简历信息不同于常规的信息，该信息本身存在对外公开的属性。同时，简历来源于从事人力资源工作人员私下发布简历的微信群，且时间跨度比较大，个人信息大部分发生了较大的变化，失去了其特定性，不应作为定罪量刑的依据。此时，敏感个人信息在不同场景中被侵害的程度是显然不同的：在信息主体出于特定目的主动提供包含其敏感个人信息的简历时让渡了一定的信息权利，法律不应贸然介入、限制其正常提供信息的行为。而在违背主体意愿买卖时，因其造成了对敏感个人信息的侵害，故需要法律介入，但这并不直接等同于以侵犯公民个人信息罪论处。正如辩护人提出的公开属性、时间跨度等要素影响着侵害性程度的判定，继而影响了对侵犯公民个人信息罪的判定。由此可以看出，敏感个人信息在不同场景的变动性加剧了侵害程度的界定困境。传统信息分层理论已不足以应对个人信息保护困境，应探寻出适应于场景理解的路径。然而，具有可操作性的应对路径同样尚未明确。

由此可见，敏感个人信息的变动性决定了对敏感个人信息的认识和保护无法继续限于特定场景，而需根据变化前后场景具体分析，根据场景不同，区分其对敏感个人信息的侵害性程度，继而明确保护途径。因此，若欲更好地保护敏感个人信息，则需探寻更加适宜的动态分析标准。

二、个人信息侵害性的民刑界分理论探析

（一）传统信息分层理论的局限性

在当前的司法实践中，侵害性程度对定罪的影响已然被关注到，在现有的解释中对情节严重程度进行了分级规定，针对不同敏感个人信息进行数量上的规定，体现出了区分侵害性程度对侵害公民个人信息罪成立的影响。根据这一规定，有学者提出应当将敏感信息进行高度敏感信息、一般敏感信息、非敏感信息的区分，继而进行分级保护。有学者谈到，不同的个人信息的可识别性及其对个人与社会的价值往往存在极大差异，在法律评价的过程中难以等同视之。随着社会转型，个人信息不仅具有专属于个人的自然属性，也具有社会属性。因此，如今的个人信息较以往具有更强的开放性与包容性。由于不同类型的个人信息对个人人身、财产等状况识别的影响存在较大差异，可用于流通共享的条件与范围也有所不同，因此，有必要对个人信息进行分类分级。在这一认知的影响下，学者们将侵害性区分的重点置于信息的分级上。

在此种观念影响下，有学者借鉴了德国的“领域理论”对信息进行分层，以同心圆形式由内向外区分，以层次递进和相互对立为核心，将信息分为核心层、中间层、最外层，对不同层级的信息进行保护，核心层信息涉及最私密的人格尊严，不可侵犯；中间层个人人格利益受到一定限制；最外层个人不再享有信息自决权。而这也确与我国的司法解释相契合，有学者进行了具体的分析：司法解释规定的第一类信息中，行踪轨迹信息属于私密空间信息，通信内容属于私密活动信息，征信信息和财产信息属于其他私密信息。第一类信息的私密性最强，法律保护最为严格，因此，司法解释明文列举其中四种信息，不允许司法适用再予以扩张。第二类信息处于中间层的私人领隐私领域的范围，其私密性有所降低，社会性有所增加。司法解释对该类信息采取“明文列举+兜底概括”的规定方式，即在明文列举四种信息之外，另行规定“其他可能影响人身、财产安全的公民个人信息”。第三类信息处于最外层的社会领域，信息的私密性最低，社会性最高。司法解释对该类信息没有列举，而是采取开放性规定。私密性与社会性程度影响着信息的属性，进一步影响了对侵害性程度的判定。这样的分级路径也体现出当下侵害性程度界分的主要方式：以信息属性反推侵害性程度。然而，这样的分级路径忽略了一个问题：同一信息是否在不同场景中仍保持单一的属性？

此时，已有学者关注到场景对敏感个人信息分级的影响。有学者谈到，“敏感个人信息”保护法益已上升为刑法所保护法益的，刑法应进一步结合具体场景对其属于“高度敏感信息”或“一般敏感信息”作独立性判断。然而，既然认为敏感个人信息已经上升到刑法保护的法益，那么再利用场景区分高度敏感信息和一般敏感信息便稍显多余。于是有学者认为可以利用场景对敏感个人信息与一般信息进行了区分，并进一步将场景判断作为处理侵犯敏感个人信息行为罪责轻重的分级标准，认为创设人身、财产安全重大风险的场景符合处理行为罪责严重的判断，并认可在不同场景之下信息敏感程度可能发生转化，将间接敏感信息和一般信息置换为直接敏感信息，反之亦然。此时，虽然注意到了场景变更对信息的影响，但仍将信息属性作为侵害性程度判定的直接依据，场景仅起到了工具作用。这样的区分与其说是关注到了场景与侵害性间的关联，不如说仍将关注点置于信息属性的分级上。

如今，个人信息应用的场景更加多元复杂，个人信息作为数字生产的原料和动力被裹挟在广泛的数字传播中，生成于特定的应用场景，却又独立于特定应用场景而存在的个人信息无法作为孤立的固化内容加以保护。就同一敏感个人信息而言，出现于不同的“场景”可能招致不同程度的侵害性，甚至会出现全有或全无的区别，这显然会带来全然不同的结果。正如《指南》中谈到的医疗健康信息，在特定场景下，医疗服务中的个人信息并不需要法律保护的特别关注，比如方便不同医疗机构了解病人情况的病例系统、医疗保险情境中个人的购药信息等。由此可见，就同一信息而言，其极有可能出现于不同场景，且不同的场景可能指向不同的保护需求。因此，应当探寻更加适宜的动态分析理论应对这一问题。

（二）场景理论引进的争议

由于敏感个人信息在实践中的变动性，仅以静态标准进行界定已然不足，学界试图寻找新的判定标准满足实践中的动态需求。2004年，美国纽约大学的ink-id="link-1770048153800-0.04613314760856069">海伦·尼森鲍姆指出，在信息时代，传统的理论无法回应有关隐私的根本争议，尤其是针对公共监控问题。海伦就此提出了新的隐私保护框架：场景公正理论。她认为应当将隐私保护与特定场景联系起来，要求信息收集和传播的场景适宜并遵守特定场景中的分配规范。由于敏感个人信息同样涉及隐私，这一理论首先在民法领域获得了较多学者的支持，随着对场景理论ink-id="link-1770048153800-0.6110586355253615">动态分析框架的了解深入，刑法学者对该理论的支持也体现在更多方面。张勇指出，在对敏感个人信息的保护过程中，所谓“私法公法化”和“公法私法化”并不可取，敏感个人信息应当受到公法和私法的多元化、多层次保护，而在不同的具体场景中，敏感与非敏感的标准因人、因事而异，有必要借鉴域外场景理论与相关立法，兼采静态和动态认定方法。此时，场景理论已经在刑法问题上体现出了其适用价值。然而，若欲使该理论在司法实践中发挥作用，仍需进一步讨论如何运用该理论以明确刑法对个人信息的保护路径。

由于侵害性程度影响着刑法与其他法律的区分适用，场景理论为分辨侵犯公民个人信息罪中的法益侵害程度提供了理论支持。李川和杨胜刚认为，在场景理论的指引下，侵犯公民个人信息罪的保护法益应为个人法益，但个人信息同样具有社会属性，在不同场景之下需要不同的保护力度。蔡燊认为，虽然信息利用利益无法通过刑法法益检验，但场景理论作为判断个人信息权法益受侵害程度的方法有其价值，信息价值只有在具体情境中才能被完整判断。马永强进一步指出在侵犯公民个人信息罪情节的理解中，还需结合信息被利用的可能场景，判断是否有足够的法益侵害。基于场景理论，对于公民个人信息的保护，应根据场景的不同，遵循不同的判断规则，以适应不同场合中的情况。由此可见，敏感个人信息所处场景的不同，影响着侵害性程度的判定。

然而，场景理论在法益判断上的价值并未体现出该理论在实践中的作用，对“场景理论”的适用并非毫无争议。杨楠直指场景理论之下难以明确划分出具体的适用场景。这一论断并非毫无价值，即使是认可场景理论在法益确定上价值的学者，也更多将认定基础置于法益之上，仅以场景理论为辅助性判断原则，未发展出场景理论的具体适用路径。而试图提出方案的学者也并未完全提出场景划分的具体方案，仅以场景理论为手段，提出了新的判断路径。储陈城和魏培林提出了“场景式判断+知情同意”的模式，将已公开个人信息存在的场景予以具体划分进行初步判断，譬如将其划分为“共享性场景”“盈利性场景”“违法犯罪性场景”，当场景式理论判断无法界定已公开个人信息的利用是否属于合理范畴时，再以知情同意规则来进行规制。王雨田和周明提出了场景融入和场景抽离的双重路径，首先根据场景中的要素进行初步判断，再抽离出场景回归到信息本身。这些方案并未回应场景划分标准不明确的问题，虽试图初步划分场景，但在无法细分时仍将关注点转为后续应对方案。同时，此类方案将对场景的划分重点置于场景本身性质，尤其关注利益等场景特性，这样的判定逻辑试图根据利益进一步确定对信息的使用是否侵害了法益，却忽视了一个问题：同一信息在不同场景之中的危害是难以衡量的，而这与是否涉及利益等特性无关。那么，场景理论究竟应如何适用于侵害性判定问题之中呢？

（三）场景理论植入的反思与构想

提出场景理论的海伦·尼森鲍姆在近年来也就这一问题进行了更为深入的研究，其与科尔斯滕·马丁通过改变情境行为主体、信息类型、信息流/信息使用三个要素所涉及的40个具体要素进行民意调查，根据统计结果对民众认知的隐私，即有必要保护的个人信息的因素，进行了更加细致的认定。他们发现，满足隐私期望，即对必要个人信息的保护取决于环境因素，比如接收信息的行为者及信息的用途。在他们的统计中，购买信息在零售情境中对满足隐私期望有积极影响，但在医疗保险情境中则不适宜被使用；政治信息在搜索和图书馆领域可以为人们提供便利，但在零售和医疗情境中则可能侵害信息主体权益。由此可见，即使同样涉及利益，信息在场景中的使用目的不同会使得侵害结果的确定产生变化。出于对场景要素中具体要素的总结归纳，可以明确场景界定中的三个重要因素：信息主体、信息处理者、处理目的，而对其余变量的评价实则围绕这三个要素的评价而展开，利益仅为处理目的中的一个具体要素。因此，对场景理论的适用有必要根据所涉场景的共性将个人信息类型化，继而结合不同场景中个人信息的使用目的进一步判断，得出具有普适性的方法论。

在场景理论核心理论基本明确后，海伦·尼森鲍姆与宝拉·基夫特对该理论进行了更加全面的阐述，试图对场景理论中的重要因素进行解析，继而建构更完善的判定框架。他们就美国国家安全局收集电话数据问题提出了“元数据”（meta data）概念，认为该概念对个人信息保护路径的确定同样起着极为重要的作用。元数据是“关于数据的数据”，在信息搜索中发挥重要角色，可以根据元数据将其他信息进行分类。他们结合场景理论进行分析，认为如今的元数据与过往认知的不同，当元数据提供者改变了其提供信息的意愿，元数据的接收者极大地提高了聚合、存储、组合和分析元数据的能力或元数据分享的风险超过了最初目的时，就会改变数据的属性，损害信息的敏感性。因此，当信息主体不再自愿共享他们的元数据时，便会影响对个人信息再次使用的合理性认定。由此可见，“元数据”概念可以为个人信息保护路径的确定提供引导：由于具有侵害性的信息可以直接被识别为敏感个人信息，敏感个人信息首次被使用的场景的合法性，成为判断刑法是否可以介入的首要标准。

敏感个人信息的侵害性特征使得初始场景的变更提高了损害信息主体权益的可能。然而，这并不意味着场景的变更必然使得侵害性达到侵害刑法法益的程度，这样的认知忽略了信息变动的合理性。在正视个人信息变动性这一特征后，海伦·尼森鲍姆提出了数据食物链（data food chain）的隐喻，以此强调信息的流动（flow）在场景理论中的重要性，并指出了上下级数据链的发展过程，即数据分析师根据推理原则从低阶数据推理或合成高阶数据时沿着数据链向上移动的过程，而这样的过程会给信息主体带来强烈不安，亟须新的管理规范进行制约。这一隐喻恰与个人信息变动性相呼应，同时指出了实践中存在关联性的信息所属场景。依此路径，在明确敏感个人信息所涉初始场景后，可进一步根据场景关联性，对敏感个人信息保护进行细化讨论，明确场景变更与侵害性程度间的关联，进一步确定侵犯公民个人信息罪与前置法律规范的适用区分。然而，如何理解场景中的关联性，此种关联性是否仅存在“上下级”关系仍有待进一步讨论。海伦·尼森鲍姆对场景理论基本理念的发展延伸，对构建我国敏感个人信息的刑法保护路径同样有着启示作用：首先正确认识个人信息所涉初始场景，继而根据场景变更情况判定刑法介入情境。

综上，基于场景理论得出的动态分析标准，可有效应对信息变动性带来的敏感个人信息保护困境，根据场景理论的内置概念意涵和具体应用标准，可进一步得出适用于我国刑法的敏感个人信息保护路径。敏感个人信息中的“元数据”为首次出现的初始场景，对其中蕴含的信息主体、使用目的等要素属性的变更，可能损害个人信息的敏感性，造成对个人信息的侵犯。而具体的侵犯程度是否达到刑法规制的范畴，则需根据场景变更的关联性进一步分析，在正视“数据食物链”背后信息变动的正当性的基础上明确不当变动的界限，以确定侵犯敏感个人信息的场景变更情形及判定原则。

三、场景理论下“个人信息”司法认定的具体展开

（一）初始场景的确定与限制

根据敏感信息的识别规则，易于导致侵害性产生的信息被认定为敏感信息，而这并未将敏感信息与侵害性之间直接画上等号。结合“元数据”的相关理论进行分析，场景理论认为，元数据的收集是否违反了对隐私的合理期望，不仅需要对元数据“是什么”进行本体论分析，还需要根据进化的社会和技术环境对其规范意义进行评估。因此，刑法对敏感信息的保护需要从初始场景出发，对其进行首要判断。

针对初始场景的确定路径，有学者提出了四个步骤进行判定：首先，应基于信息参与者之间的特定关系来判断某类信息是否具有私密性。其次，根据参与主体的共同利益来确定具体情境。再次，确定权利人的隐私利益在共享利益中的范围。最后，出现新的情境时，评估利益关系、伦理价值以及情境目的等变量，对初设的信息规范进行修正与约束。实际上，这一路径也与场景界定中的三个重要因素的判定相契合。因此，这一路径在信息的交互性明确后，已确定了敏感个人信息所涉的“初始场景”。

“初始场景”的确定，不仅是场景变更判定的前提，也是刑法可以保护敏感个人信息时机的确定依据。在黄某丰侵犯公民个人信息案中，行为人接受“测试软件是否运行正常”的业务和玩网络游戏打装备卖钱。行为人为了开展业务需要，从相关客户处非法获取并使用非法个人身份信息注册六七千个账号。行为人认为，起诉中提到的业务开展完全是合法合规的，其注册账户未使用身份证注册，只用随机英文字母注册，与本案无关。辩护人认为，行为人的电脑所储存的公民个人信息，并非其本人使用非法手段收集、购买或者交换获取，该批公民个人信息在行为人被动接收前，已经被非法收集，涉及的全部公民个人身份信息均已被侵犯，行为人的行为与损害后果的发生并不具有因果关系。这一案件也引发了一个问题：在非法场景公开的个人信息，若变更至合法场景是否可出罪？

在“初始场景”中使用的敏感个人信息已经应当由刑法介入进行保护，主导场景变更的信息处理者即使在后场景中合法使用相应信息，仍是对犯罪的延续，不应凭此出罪。由此可见，初始场景首先决定了刑法的介入可能。若初始场景合法，才需进一步通过场景变更确定刑法介入的合理时机。此时，场景变更的具体情形决定了刑法介入的合理性。然而，初始场景确定的复杂性同样导致了其场景变更并非如“数据食物链”的上下级变更般单一，尤其是在未公开个人信息中，初始场景受限于特定的信息交互性，此种限制易导致将处理目的与初始场景中所限范围混为一谈。以非公开形式传递的个人信息的初始场景的范围确为信息交互的双（多）方，而处理目的则需独立进行判断。对相应信息的使用或可允许在同一目的之下进行进一步的处理，并非完全限于初始场景之内，而“数据食物链”的存在更是提出了在上下关联目的中处理的可能。值得注意的是，上下关联虽为关联目的中较为重要的部分，但仍可能存在平行关联目的，上下关联目的与平行关联目的共同组成了关联目的之下的变更。

细言之，在场景变更中，存在同一目的之下的变更和关联目的之下的变更两类，而在关联目的之下的变更中又存在上下关联目的变更和平行关联目的变更两类。同一目的之下的变更只改变了信息接收方，其余要素并未改变，且信息接收方的变更对信息的传递无任何实质影响，目的变更前后将指向同一结果。而关联目的之下的变更除信息主体这一要素外，其余要素均可能发生改变，但处理目的的变更不得完全超出原处理目的，“数据食物链”提及的上下级变更在处理目的上进行了分解或聚合提炼，使得前后目的呈现（被）包含关系。平行关联目的之下的变更并不常见，此种变更与同一目的变更类似，可在变更前后得到同一结果，不同于同一目的变更的是，平行关联变更前后，目的发生了部分实质变更，如实现目的途径等。举例而言，通过特定员工而内推向特定岗位的个人简历，若提供至其他岗位，处理范围已超过初始场景所限范围，而处理目的的不同则会影响场景变更的判定。若认为处理目的为通过内推获得工作，则推荐至其他岗位仍为出于同一目的的处理。若将处理目的局限于通过内推获得特定岗位，则推荐至其他岗位变更了处理目的。由于获得工作和获得特定岗位的工作呈现出包含关系，应当认为处理目的存在关联，且此种关联为上下关联。而同样将通过内推获得特定岗位作为原处理目的，若将信息主体简历推荐至其他单位的同一岗位，信息主体可以获得同一结果（获得特定工作），却突破了原始目的的期待手段（内推），变更了原处理目的。虽然这些情形的认定结果可能一致，但是认定路径却大相径庭。由此可见，即使明确了敏感个人信息的初始场景，场景变更仍较为复杂，需进一步细化讨论。

综上，信息的交互性确定了敏感个人信息的“初始场景”，若初始场景已侵犯信息主体的合法权益，则无论场景如何变更，刑法均可介入进行保护；若初始场景尚未侵犯信息主体的合法权益，则需依据场景变更进一步明确刑法对个人信息保护的合理性。

（二）场景变更的类型化规制

在初始场景明确后，场景变更情况进一步影响着侵害性的判定。根据数据食物链概念，应当认为信息处理者承担了信息前后流动的主要衔接作用。信息处理者在处理过程中可能对场景中各要素进行变更，而涉及信息主体的各要素在初始场景中便已明确。因此，本文将以初始场景中的原始处理目的作为连接点，根据前后场景的目的关联进行类型化分析（见图1）。

1.无关目的的场景变更

无关联的变更极易判断。以王某智侵犯公民个人信息罪、侵犯公民个人信息案为例，行为人利用服务之便，获取他人手机号及验证码，并将其发送至各类软件拉新微信群，提供给其他行为人进行京东、淘宝等软件账号的注册，注册账号成功便获得相应报酬。在此类案件中，手机号及验证码所有者在获取服务的过程中提供了个人的手机，其个人信息初始场景应为获取服务的场景。在无注册软件认知的情况下被迫提供手机号及验证码并完成注册，由于手机号及验证码所有者无公开意愿，该信息属于未公开信息，即使手机号及验证码具有相应软件的指向性，但不应认为敏感个人信息所处场景未产生变更，实为敏感个人信息所处场景完成了毫无关联性的变更，场景变更过程较为明晰。这样的变更并未获得信息主体的许可，可以推定这样的获取行为实为“窃取”行为，可以以侵犯公民个人信息罪进行定罪处罚。

然而，依据我国《个人信息保护法》，处理已公开个人信息无须获得知情同意，信息一旦公开，信息处理者便可依据自身意愿处理信息，甚至不需要关注信息主体原本公开该信息时的意图，也不必将使用个人信息的范围限制于信息被公开时的用途。这样的规定使得公开信息的场景变更具有正当性依据，也导致在实践中针对公开信息的处理，前后场景之间往往毫无关联。然而，公开的个人信息并不会因其公开性而被排除于敏感信息范畴之外，对公开信息的非法使用仍会导致对个人信息的侵害，甚至在实践中绝大部分对于个人信息的侵害是对公开个人信息的侵害。认为公开信息不必被保护显然忽略了“场景”对个人信息的影响。

已经公开的个人信息应当完整地被称为“已经在特定场景中被公开的个人信息”。因此，对于已公开的个人信息，应当根据其被公开场合而区别界定。学界一般认为，“已公开个人信息”又可进一步细分为意定公开和法定公开两类，即个人出于本人意志的主动公开和为维护公共利益在公权力机关参与下的被动公开。在法定公开的场景中，由于法定公开信息关涉公众知情权等公共利益的实现。因此，对此类公开信息的保护程度可远低于对意定公开信息的保护程度。在此场景之中，公共利益的法定性使得信息主体与其个人信息的直接利益之间出现了分离，而不直接涉及信息主体利益的个人信息是否值得保护本就存在质疑。然而，在法定公开的情形中，信息所处初始场景明确且固定，其限定性更强，且不以获利为目的，其法定公开性可将“提供”或“窃取”的要件进行排除，但若信息处理者存在“出售”行为，则突破原公开场景的变更将使特定公开信息完成毫无关联的变更，发生了明确的场景变更，可以侵犯公民个人信息罪论处。

而意定公开则较为复杂，在意定公开的场合中，又分为绝对的公开和相对的公开两类。正如有学者所说，发布朋友圈、仅特定人群可见的微博内容发布等行为便是典型的“相对的公开”，由于“公开”要求不限定于部分人群，针对特定人的传播就有可能不构成“公开”。指向不特定人群的“公开”属于绝对的公开，而指向特定人群的“公开”则为相对的公开。

绝对公开与法定公开存在高度相似性，处理他人信息的行为也并非由于公开信息访问的不受限性而完全摆脱了刑法的桎梏。个人在处理本人信息时，必然受制于发布信息时的有限理性与信息偏在，难以充分预见到后续的处理可能。因此，在情势变化时，应当允许其拒绝他人继续处理原信息。如果后续处理行为可能对信息主体的权益造成重大影响，则应当告知并征得信息主体的事前同意。同时，绝对公开的信息也同样存在场景性。正如有学者所举之例，个人在公开社交平台分享的个人生活，其中可能包括消费习惯等个人信息。信息处理者对相关信息的商业利用应当限制在分享主体的合理预期之内，若将信息出售给犯罪集团或者进行“人格画像”，此时显然超出了合理预期，不应被容忍。从商业场景转向犯罪场景抑或人格分析场景便构成对原有场景的超越，应当受到相应限制，虽然对其的限制无须如同对待相对公开的信息般严格，但一定的限制是必然存在的。回归黄某丰非法获取公民信息案，已被非法收集的个人信息于后行为人而言已可被视为“绝对公开”，然而，这并不意味着此类个人信息不值得保护，后续的使用已经超出了信息主体的原有认识，更不必论合理预期，必然不能因此缘由进行出罪辩护。

在相对公开的场合中，应当严格限定“合理处理”的范围。在该场合中，敏感个人信息的公开目的、公开范围等较为明确，个人在选择公开时对后续的处理存在明显的合理期待。因此，一旦违背了个人的合理期待，便极有可能侵害其信息权益，刑法对此具有干预可能性。对信息主体而言，原公开场合便为其所期待处理相应个人信息的“场景”，“场景”的更换可能突破信息主体的原有期待，形成毫无关联目的的场景变更。以李某薇、徐某芳侵犯公民个人信息案为例，行为人利用发送礼品的方式吸引周围居民办理实名制手机卡，后为牟利将办理的50张实名制手机卡以4500元的价格出售给他人。虽然信息主体自愿提供其个人信息，但是行为人并未准确告知信息主体后续对其信息处理方式，以隐瞒的方式变更了利用他人个人信息的场景。办理手机卡的场景与售卖手机卡后可能使用相应个人信息的场景毫无可预计的关联，在此类情形中，个人信息所处场景发生了毫无关联的变更，甚至可以认为，信息处理者在获取个人信息时存在隐瞒和欺骗的故意，其对信息的获取符合侵犯个人信息罪中第三项的“窃取”要件，可以侵犯公民个人信息罪进行定罪量刑。

然而，在意定公开情境中，判定难度确实高于其他情境。我国《个人信息保护法》第6条作出了“与处理目的直接相关”的规范性要求，在意定公开个人信息场景中，由于初次公开表达了信息主体使用其个人信息的首次同意，为规避法律的制裁，信息处理者一般在后续处理时不会脱离原处理目的，而这也就进一步出现了两种情形：信息处理前后场景中使用个人信息的目的完全一致、信息处理前后场景中使用个人信息的目的存在直接关联。这使得场景变更难以在目的层面进行分辨，为明确其变更及场景理论在此类案件中的适用，本文将进一步在此基础上进行进一步的细化讨论，将意定公开个人信息的场景变更分为“同一目的下的场景变更”及“关联目的下的场景变更”两个类别，并明确在此类场景变更不明晰的案件中的判定规则。

2.同一目的下的场景变更

在同一目的下的场景变更的情形中，对场景变更前后所涉个人信息的使用目的是一致的。以吴某、张某、葛某宇等侵犯公民个人信息案为例，行为人创建了贷款App并置于多家贷超内，继而将部分客户注册的所有个人信息及授权提取的个人信息推送给其他贷款App，并为其代挂在其他贷超内进一步获取个人信息，后将该App售卖给他人进行放贷使用。在该案中，行为人所出售的敏感个人信息在买卖前后使用目的未变，均为贷款。类似的情形还有婚恋网站中介向其他婚恋网站提供他人个人信息、售卖艺术品的网站获取在其他艺术品售卖网站使用者信息等。此类案件在司法实践中并不常见，然而，这并非由于同一目的下场景变更情形较少，而是由于即使出于同一目的，也可能会出现公益和非公益目的的区分，较典型的公益目的情形是医疗场合下的场景变更：信息处理者为使信息主体获取相应医疗救助而将其个人信息转移至可能提供相应医疗救助的医院、研究机构等。信息共享趋势下的科研、智慧法院等均属于公益目的之下出于同一目的的场景变更。

在非公益目的之下，同样存在两种不同情况，若出于营利目的，则对敏感个人信息的处理符合“出售”的要件；若出于非营利目的，则对敏感个人信息的处理符合“提供”的要件，此时，若同时符合情节严重，便已满足了侵犯公民个人信息罪的要件。然而，场景变更的合理性在《个人信息保护法》第6条规定的引导下，可以承担起违法阻却的作用，可凭此探寻出罪的可能。此时，由于变更前后并未改变信息主体处理信息的目的，应当将判定重点置于信息处理者对信息使用的合理性。有学者指出，根据是否存在约定，“合理使用”方式应分为三类：一是基于用户协议的约定方式，不得从事超出协议范围的行为；二是基于法律规定的处理方式；三是基于行业惯习的处理行为。结合行业惯习来看，相同性质的处理机构间确会存在信息共通行为，比如婚恋机构、房屋租赁机构为提高成功率而在同功能平台同时挂出相应信息。然而，此种共通行为往往以互惠互利为基础，不以“出售”为实现形式。因此，出售行为必然违背了合理使用的范畴，提供行为则并不必然违背合理使用的范畴，因此，应当认为，出售信息行为难以逃脱侵犯公民个人信息罪的制裁。而针对提供行为，则需进一步分析，在意定公开的场景之中，所涉情形均可视为基于用户协议的约定方式，此处的协议并不等同于书面意义上的协议，而是信息主体与信息处理者之间对于初次公开信息场景的共识。因此，应当将目光重新聚焦于“协议”之上。若信息主体明确指出，对其信息的处理仅能在特定信息平台（信息处理方平台），则其余平台对信息的掌握均会使得对信息的侵害性达到突破认知的程度，可以侵犯公民个人信息罪定罪处罚；若信息主体未明确提出相应要求，则不能认为其他平台对相应信息的掌握达到了应由刑法处置的侵害程度。

而在公益目的之下，便不能简单地一概而论。数字技术为多领域带来的便利，健康医疗、智慧法院等场合，越来越多的人提倡信息共享以促进公共利益的实现，而公共利益的实现也会反馈给个人。因此，出于同一目的而对敏感个人信息的“初始场景”进行变更并非全然不合理。在非公益目的的案件中，单纯出于营利目的而进行的场景变更违反了相关法律，致使行为人受到刑法的规制。然而，这并不意味着出于公益目的而进行的场景变更均不侵犯公民的敏感个人信息。敏感个人信息所保护的个人权利与出于非公益目的所指涉的普遍利益并不存在高下之分，二者是协同一致的。因此，仍需对此作出进一步的限制。

有学者就健康医疗的信息披露提出了几项限制路径，比如落实数据的分级分类管理制度，确立数据的共享原则与共享模式，明确利益相关者在数据共享各个环节的权责；实行更加严格的知情同意要求与标准，区分收集同意与共享同意；进行数据脱敏及数据匿名化等。这些路径同样适用于其他出于非营利目的而使用“个人信息”的场合。逐一细看这些限制路径，分级分类管理制度指向我国《刑法》规定中“一般信息”“重要信息”的区分，而这影响着“初始情景”的范围限度，即“一般信息”的“初始场景”比“重要信息”的“初始场景”更为广泛。收集同意与共享同意的区分指向了二次授权，二次授权赋予行为人变更“初始场景”的正当性。数据脱敏及数据匿名化使“个人信息”的“可识别性”降低乃至消失，甚至难以继续称其为“个人信息”，进一步导致“初始场景”的消亡。

诚然，也有学者认为，在科研信息处理活动中克减个人信息权利，有助于促进个人信息的合理利用，因此可以通过法律法规等框定个人信息权利克减的适用范围，通过利益衡量合理构建个人信息权利克减的实体内容，通过利益沟通科学筑构个人信息权利克减的程序设计，通过司法审查确保个人信息权利克减真正符合公共利益，进而赋予克减个人信息权利的正当性。然而，正如上文所述，不应依据公益对个人信息的保护进行高下判断，在科学研究场合中，也可以利用相应措施使得对敏感个人信息的利用不突破“初始场景”或者获得突破“初始场景”的许可。因此，即使在出于公益目的而使用敏感个人信息的场合中，“初始场景”是否变更仍然是刑法介入的重要判断标准。若欲达成个人权益与公共利益之间的平衡，在处理敏感个人信息时，仍不应突破征得信息主体同意的前提，但是可在个人对处理自己信息具有较高容忍度及合理期待的必要场景中，限缩知情同意规则的适用，代之以信息主体知情，即使其没有同意也推定其默示同意，这种模式可概括为“场景合理+知情+推定同意=合法处理”。此处“场景合理”的“场景”并非单纯指向“初始情景”，而是涵括了“初始场景”的社会延续，即授权者在首次授权时，认识到“初始场景”的合理延伸，并对此表示认可。在此种情形下，即使未获得二次授权，出于“场景合理”仍可限制刑法的介入。

因此，在分析对敏感个人信息的使用是否突破“初始场景”这一问题时，无论出于何种目的，“合理”始终是重要的判断标准。场景变更时的主体合理、方式合理等均为判断刑法介入的条件，应结合具体情境进行针对性分析，既完成对敏感个人信息的保护，又保证大数据发展的可能。

3.关联目的下的场景变更

在关联目的下的场景变更的情形中，对场景变更前后所涉个人信息的使用目的存在直接关联，且多以数据食物链中的上下变更为表现形式。以元某宗侵犯公民个人信息案为例，元某宗作为建筑装饰公司的营业经理，为提高团队业绩，通过同行、开发商、物业、空调售卖公司、装修材料销售公司等渠道，获取公民个人信息并提供给本公司业务人员用于联系潜在客户。在该案中，“同行、开发商、物业、空调售卖公司、装修材料销售公司等”前端信息处理者拥有可能需要装修的客户信息，而行为人所在“建筑装饰公司”需要相应的前端信息，前后两场景处理信息的主体对敏感个人信息的使用具有直接关联。类似的案例还有将业主信息售卖至装修等相关公司、将考试报考或信息学籍信息售卖至教育咨询公司、将学生信息提供给相应保险公司等。

在同一目的下的场景变更判断中，已经提及合理性判断。不同于同一目的下的场景变更判断的是，关联目的下的场景变更判定多了对目的变更合理性的判定，这也是两种情形判定路径的唯一区别。因此，在这一场景中，唯一需要解决的问题是明确目的合理性判定的标准。由于目的的变更加剧了场景变更的复杂性，合理性判定标准也因此变得更多元。由此可见，合理性判定标准对场景是否变更的认定起到了至关重要的作用。然而，“合理”并非单纯的法律概念，这导致在司法实践过程中难以以明确标准解读“合理”的范畴，需要借助一定的判断要素对合理性判定标准进行确定。

在我国《个人信息保护法》中反复出现了“合理”的概念：第1条规定了“合理利用”，第6条提及了“合理的目的”，第13条与第27条的规定均要求“合理的范围内”，第24条从反面要求“不得对个人在交易价格等交易条件上实行不合理的差别待遇”，第51条明确了“合理确定个人信息处理的操作权限”。梳理其对“合理”的使用，可以初步探索合理性判断涉及的要素。第1条规定提纲挈领地提出“合理性”要求，并未涉及具体要素。第6条规定关注了主体同意要素。第13条与第27条规定对合理范围的要求实则是对场景变更的限度提出了要求。然而，之所以需要对合理性判定标准进行确定，是因为在意定公开场景中，场景变更的限度难以确定，需依靠更明晰的要素。针对这一问题，有学者指出，对“合理范围”的解读应当从处理者规制视角回归到信息主体权益视角，在“推定同意”的合法性基础之上，“合理范围”应以公开时的“合理预期”为标准。依此方案，“合理范围”指向了主体同意这一要素，场景变更的限度可以此为核心进行分辨。第24条和第51条规定关注了信息处理者应承担的义务，关注到了方式合理的要素，而这些义务指向了场景变更前的主体同意及对主体同意可能限度的推测，因此应当认为这两条规定并未完全脱离主体同意这一要素。由此可见，在场景变更时，主体同意要素是最核心的一环，其余要素均为这一要素的延伸。同时，上文已提及，在首次授权时，信息主体认识到“初始场景”的合理延伸，并对此表示认可，即使未获得二次授权，仍可限制刑法的介入。因此，场景变更时合理性判定标准的明确问题，进一步聚焦于判断是否需要获得主体二次同意。

站在民事法律的角度看待主体同意这一要素，同意规则对此问题影响较大，而同意规则本身引发了较多讨论，方案便难以确定。然而，上文已将个人信息所涉场景进行了数次细分，问题可在一定程度上简化，此时的讨论重点已经限缩至意定公开前提下，在具有关联目的的场景中，主体同意对场景变更的影响。有学者在“合理使用”问题中提出了“分离性标准”，即将信息处理行为分为两类：可分离使用类和不可分离使用类。不可分离的使用可能会违反处理者的合法义务从而间接损害到信息主体的权利。因此，在此种使用方式中，应赋予信息主体一定的控制权。特别针对与人格尊严密不可分的处理情形，不可分离的使用与相关规范价值联系在一起，主体应具有控制与人有必然联系的事物的能力。由于“合理使用”同样指向了主体同意，这一标准对主体同意标准的确定同样具有启发性。若个人信息与信息主体间存在特定联系，二者不可分离，在此种情形中，主体同意具有单一指向性，并无对初始场景可能延伸场景的使用许可，即使两个场景所涉目的存在关联性，信息处理者也无权擅自处理其信息。将业主信息售卖至装修等相关公司类案例便属于此情形，业主信息与业主存在极强的身份及财产性联系，业主同意提供个人信息仅出于购房及物业等获取附属于房屋本身服务的需求，装修虽为购房的延伸场景，信息处理者也无权进行处理，若欲处理此类信息，必须获得信息主体的二次同意。仅当个人信息与信息主体间的关联性已经较弱，二者确可分离时，才可在未获二次许可时突破初始场景，在关联目的之下的延伸场景中处理敏感个人信息。

因此，在意定公开情形中，可分离性标准进一步划分出两类情景；在不可分离的情境中，获取了主体二次同意才符合场景变更的合理性，而可分离情境中可适当降低要求，在关联目的的场景变更中未获二次同意也可能符合场景变更的合理性，应以同一目的情形的认定路径进行进一步的分析，判定以何种法律进行保护。

（三）场景判定争议问题的回应

场景判定路径的完善补足了场景理论的内在不足，将数据食物链完整化，使场景变更情形具体化。同时，具有可操作性的判断路径使抽象的理论范式落地于实践，有力回应了场景理论的实用性质疑，场景理论在我国刑法问题中的适用困境得以解决。

首先，在侵害性判定这一核心问题上，场景判定路径回避了法益确定的困境，而将抽象问题具体化，以场景变更对侵害程度的影响进行落实。当前，侵犯公民个人信息罪的法益并未在学界达成同一认识，而侵害性程度的确定与法益侵害问题确不能完全割裂而论。然而，这并不意味着在法益确定前，侵害性判定就陷入困局。在法益确定的争论中，不再局限于对权利的探索，而涌现出了对“风险”范式理念的关注。此种理念的出现，实质上体现出对信息流动合理性的认可。甚至有学者直指侵犯公民个人信息罪的法益便是个人信息的合理流动权，应将关注重点置于个人信息被非法利用危险的升高。这些认知的出现基础在于当下信息变动的不可控以及对信息变动产生的合理利益的需求。那么，场景的变更契合了信息的流动，对场景变更合理性的判断便隐含了对风险的判定，进而回应了侵害程度判定这一核心问题。

其次，在判定标准模糊这一问题上，初始场景提供了具体标准，既成了首要分辨标准，也为场景变更后的要素提供了原始依据。在场景理论最初进入我国学者视线时，这一理论的价值在于强调信息所处情境的完整性，而对单一完整情境的确定并不能应对信息变动问题。因此，场景理论本身难以提供明确的判定标准，必须辅以其他判断途径。随着场景理论的提出者对这一理论的进一步完善，这一问题也在逐渐消解。数据食物链概念强调了信息的变动、场景的变化，场景不再是孤立的，它们以前后关联的情境衔接并可对其进行对比。由元数据概念引申出的初始场景与最初认知中的情境完整性更为一致，以一个完整的、具体的情境描述了特定的信息情况，而这便为后续变更产生的每一个具体情境提供了比对标准。

最后，在与信息属性的关联上，场景判定路径并未否认信息敏感程度的关联，且与当前司法解释达成了实质一致。无论是初始场景的构成，还是场景变更具体情形中信息与信息主体的可分割性判断，实质上都体现出了信息的敏感程度，并且对不同属性的信息提出了不同的场景判定路径。虽然场景判定路径并未对具体的信息进行分类，但同样受到了“情节严重”相关具体规定的限制。应当认为，场景判定路径与信息分级均最终指向侵害程度判定，但场景判定路径更加关注信息分级这一静态分析路径难以应对的变动性问题，弥补了信息分级可能导致的僵化问题，进一步防范对风险变化的忽视。

综上，在场景理论提供的动态分析框架下，元数据、数据食物链概念可以进一步发展完善，以适应我国侵犯公民个人信息罪的司法适用，避免过分依赖信息属性进行侵害性程度界分可能导致的认知僵化问题，直面敏感个人信息变动性导致的侵害性程度判定困境。基于元数据概念发展出的初始场景既承担起侵害性程度的首次界定作用，又为后续判定提供了标准。数据食物链指明了同一信息的变动对侵害性程度变化的影响，基于此概念细化出的不同变更情形则为侵害性程度提供了更为具体的判定方式，既明确了同一信息在不同变更情形中可能导致的不同结果，又为侵犯公民个人信息罪的适用指明了合理路径。

四、结语

在数字时代，敏感个人信息保护的重要性毋庸置疑，而敏感个人信息的变动性却使得对其的保护不可同日而语。在信息传播越发多变的今天，无法仍以较为刻板的分析框架对其进行分析，否则可能阻隔敏感个人信息的正当流动，也会导致对信息侵害性的错误判定。场景理论创建了个人信息保护的动态分析范式，而这一理论首先运用于民法领域，在逐步应用于刑法领域的过程中尚未形成清晰的民刑界限，且未提出刑法领域具体的适用路径，难以直接将其作为我国刑法适用的规范。本文在充分理解其内在意涵和运用机理后，结合我国司法实践，提出了更具可操作性的场景判定方法，以期弥补传统信息分层理论的认定僵化问题和场景理论的民刑界限模糊问题，为全面规范保护个人信息提供更有可行性的理论路径。

场景理论中的“元数据”“数据食物链”概念提供了路径引导，为初始场景的确定及场景变更的认定提供思路，而其中规定却并不周全，仍需进一步延伸。信息主体、信息处理者、处理目的三个要素明确了初始场景，如“元数据”般起到了奠定作用，为刑法对敏感个人信息的保护明确了保护门槛，而真正确定刑法介入时机的场景变更并非仅存在“数据食物链”的上下级变更。在我国司法实践中，场景变更时的目的可能存在毫无关联、存在关联和完全一致三种情形，上下级变更仅为存在关联目的变更情形中的一种。而在不同情形中，侵害性判定的难度并不相同，因此需以不同路径进行侵害性判断，保障侵犯公民个人信息罪的合理适用。刑法作为最后一道防线，承担了在数字时代保障公民“个人信息”安全的职责，应当为数字时代的稳定发展和数字社会的长治久安发挥效用。