一、问题的提出

人类社会已经进入数字化与智能化深度融合的数智时代。信息的数字化给信息的获取、使用、交换等行为带来了前所未有的便利。数据作为新型生产要素，已经嵌入社会生活的各个环节，深刻地改变了“生产方式、生活方式和社会治理方式”。根据《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据意见》）的相关规定，数据可以分为涉及公共利益的公共数据、涉及企业利益的企业数据和涉及个人利益的个人数据，其中个人数据因与个体权益密切相关而颇受关注。数智时代的个人信息呈现出两个方面的变化：一方面，随着新型社交媒体（如微信、脸书、抖音等）的广泛运用，个人信息传播的广度和速度前所未有，人们获取他人个人信息更为便捷；另一方面，智能技术的加持使得个人信息与个人身份之间的关联更为密切——人们很容易通过技术分析，使原本碎片化的个人信息具有身份识别性。网络可以精准捕捉并无限记忆个体的每一次活动轨迹。对于强大的算法而言，毫无关联、只鳞片爪式的网络痕迹也能被串联起来，从而锁定特定自然人身份，更不用说物理世界中的具体而真实的个人信息。在公共空间不断扩大与个人空间不断萎缩的数智时代，“法律上对个人信息采取可识别性标准也就容易得到理解，尽管这一标准本身正不断受到大数据的挑战”。个人信息并非仅是个人利益的体现，也可以涉及公共利益或者企业利益。例如电信公司所采集的个人身份信息，其不但属于个人信息，也涉及企业运营以及公共利益。基于个人信息的重要性，保护个人信息已经形成广泛共识。“每个人都既是生物人，也是数字人。” 在信息价值被深度挖掘的数智时代，信息保护固然重要，但是在保护的基础上加以利用，充分发挥个人信息在社会生活中的重要作用已经成为新时期的要求。在这种情况下，如何合理界定个人信息的保护范围，避免侵犯公民个人信息罪规制范围不当扩张，从而阻碍个人信息的合理利用，成为司法实践中个人信息保护与利用亟须解决的问题。

从根本上来说，识别性判断是个人信息范围界定的核心问题。个人信息识别性判断包含形式与实质两个方面，形式判断是有无识别性的判断，实质判断是识别性程度的判断。一方面，法律不可能保护所有个人信息，通过识别性判断可以将需要保护的个人信息甄别出来。根据刑法及其相关的前置法规定，将不具有识别性的个人信息排除在保护范围之外。由于刑法与相关前置法对于个人信息范围的界定存在不一致的情况，如何合理处理两者之间的衔接，是识别性有无判断需要解决的问题。另一方面，大数据、人工智能等技术的广泛运用，使得数智时代几乎所有个人信息均具有一定程度的识别性，如何从实质层面对侵犯公民个人信息罪的规制范围进行合理限制，将没有侵害个人信息自决权的行为排除出罪，是识别性实质判断需要解决的问题。

二、个人信息识别性的形式判断

（一）刑法与前置法对个人信息范围界定存在的问题

我国法律法规对个人信息含义的规定主要有2016年《网络安全法》第76条第（五）项，2017年最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息案件解释》）第1条，2020年《民法典》第1034条第2款以及2021年《个人信息保护法》第4条第1款。除《个人信息案件解释》之外的其他前置法对于个人信息的界定大同小异，本质上没有区别。

以《个人信息保护法》为例，根据该法第4条第1款的规定，个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息。据此可知，个人信息具有两个基本特征：其一，个人信息必定与特定的自然人相关，自然人以外的如企业、政府的信息不属于个人信息。其二，个人信息具有“识别性”，即可以通过个人信息识别特定自然人的身份。反之，不具有身份识别性的信息不属于个人信息。

身份识别性包括直接识别和间接识别。《民法典》第1034条第2款对个人信息的界定强调“能够单独或者与其他信息结合识别特定自然人”，其中“单独识别”即直接识别，“与其他信息结合识别”即间接识别。《网络安全法》第76条第5项也做了相同的规定。所谓直接识别，即凭借单个信息就可以确定特定的自然人。如身份证号码、人脸信息等。间接识别则是指凭借单个信息无法独立识别特定自然人，需要结合其他信息进行识别。例如，单凭出生日期无法确定特定的自然人，还需要结合姓名、住址、电话号码等进行综合判断。

《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息。其中，敏感个人信息又可以分为三类：涉及人格尊严的个人信息，涉及人身、财产安全的个人信息以及不满14周岁未成年人的个人信息。需要强调的是，不论是一般个人信息还是敏感个人信息，均应符合该法第4条第1款关于个人信息含义的界定而具有识别性。根据《个人信息案件解释》第1条规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信联系方式、住址、账号密码、财产状况、行踪轨迹等。因此，刑法上的个人信息主要有两类：一类是能够识别特定自然人身份的信息，如姓名、住址、联系方式等；另一类则是反映特定自然人活动情况的信息，如行踪轨迹。由此可见，《个人信息保护法》与《个人信息案件解释》所规定的个人信息范围存在一定差异。一方面，《个人信息保护法》对于敏感信息的分类，除了涉及人格尊严、人身安全与财产安全之外，特别将不满14周岁未成年人个人信息纳入敏感信息范围，这在《个人信息案件解释》中并未明确规定。另一方面，在《个人信息案件解释》中，除了能够识别特定自然人身份的信息之外，特别指出能够反映特定自然人活动情况的信息也属于个人信息，这在《个人信息保护法》中并未明文规定。基于上述差异，产生的问题有二：其一，不满14周岁未成年人的个人信息是否属于受刑法保护的个人信息？其二，反映特定自然人活动的信息是否属于受《个人信息保护法》所保护的个人信息？

（二）刑法与前置法对于个人信息范围认定的衔接

《个人信息案件解释》与《个人信息保护法》对个人信息范围的界定之所以存在差异，原因在于前者出台时间要早于后者。也就是说，“刑法先行”的立法模式造成了刑法与前置法之间的规定存在衔接上的障碍。由此产生的问题是，侵犯公民个人信息罪中的个人信息的范围是否应当与《个人信息保护法》保持一致？

符合行政法规定的行为不可能违反刑法，这是法秩序统一的基本原理。在另一方面，行政违法并不意味着刑事违法，刑事违法需要根据刑法的规定进行实质判断。因此，《个人信息保护法》等法不保护的个人信息，刑法自然不予保护；对于《个人信息保护法》保护的个人信息，刑法也未必都予以保护，因为刑事违法性的判断具有独立性，并不能完全依附于行政违法的判断。例如，在现实版的“我不是药神”案件中，罹患白血病的犯罪嫌疑人陆某因进口抗癌药物过于昂贵，联合相关病友组成QQ群，组团购买、使用未经批准进口的域外仿制药，涉嫌构成销售假药罪。公诉机关指出，本案中的假药是因未经批准进口而以假药论处的法律拟制型假药，根据本案证据，得到陆某帮助的白血病患者购买、服用了这些药品后，身体没有受到任何伤害，有的还有治疗效果。根据《关于办理危害药品安全刑事案件适用法律若干问题的解释》 第11条第2款规定：“销售少量未经批准进口的国外、境外药品，没有造成他人伤害后果或者延误诊治，情节显著轻微危害不大的，不认为是犯罪。”因此，公诉机关作出了不起诉决定。本文认为，刑法上的假药与《药品管理法》上规定的假药不能做等同认定。根据1997年《刑法》第141条第2款规定，“本条所称假药，是指依照《中华人民共和国药品管理法》的规定属于假药和按假药处理的药品、非药品”。2020年《刑法修正案（十一）》第5条删除了第2款的定义，代之以“药品使用单位的人员明知是假药而提供给他人使用的，依照前款的规定处罚”的规定。这一细微变化表明，刑法上假药的认定，不能完全依照《药品管理法》的规定。在陆某案件中，涉及的药品是未取得药品批准证明文件进口药品。根据《药品管理法》第98条第4款规定，“禁止未取得药品批准证明文件生产、进口药品”。从行政管理角度而言，进口药品需要主管部门的批准文件，这是保障进口药品质量的管理措施。因此，陆某的行为违反《药品管理法》的规定，属于该法所规定的假药。但是，刑法所规定的假药需要“对人体健康造成严重危害或者有其他严重情节”，而本案中的仿制药，却是经病人验证对疾病具有一定疗效的药品。由此可见，陆某未取得药品批准证明文件进口的仿制药，属于行政法上的假药，却不能认定为刑法上的假药，这也说明了刑事违规性判断需要独立于行政违法性判断。

因此，《个人信息案件解释》中的个人信息范围应当与《个人信息保护法》保持一致，对于基于“刑法先行”造成的不一致的部分，因其不属于《个人信息保护法》的保护范围而不能成为侵犯公民个人信息罪的保护对象。

其一，对于不满14周岁未成年人的个人信息而言，只有具有识别性时才属于侵犯公民个人信息罪的保护对象。第一，不满14周岁未成年人的个人信息，对于未成年人的人身权益具有更为重要的意义，一旦泄露对于未成年人可能造成更严重的损害，因而《个人信息保护法》将其单列作为敏感个人信息。第二，《个人信息案件解释》对个人信息的界定不以年龄为标准。也就是说，只要属于能够识别特定自然人身份信息或者能够反映特定自然人活动的信息均属于刑法意义上的个人信息，至于信息主体的年龄在所不问。第三，识别性始终是《个人信息保护法》所保护个人信息的基本特征。如果未满14周岁未成年人个人信息不具有身份识别性，不能成为《个人信息保护法》的保护对象，自然也无法成为侵犯公民个人信息罪的保护对象。

其二，只有具有识别性的反映特定自然人活动的信息才属于《个人信息保护法》中的个人信息。有人认为，既然《个人信息案件解释》将个人信息分为反映特定自然人身份与反映特定自然人活动两类，对于反映特定自然人活动的信息就不属于反映特定自然人身份的信息，因而不属于《个人信息保护法》 的对象。本文认为该观点值得商榷。根据行政犯的基本原理，行政违法是刑事违法的前提。因此，如果侵犯反映自然人活动的个人信息可以成立侵犯公民个人信息罪，那么该类信息必定属于受《个人信息保护法》保护的具有识别性的个人信息。刑法不是确权法而是保障法，刑法不能在前置法没有规定的情况下，创制新的法益或者保护对象。事实上，反映特定自然人活动的信息也可以分为两类：一类是能够反映特定自然人身份的活动信息，另一类则是不能反映特定自然人身份的活动信息。对于能够反映特定自然人身份的活动信息，因具有识别性而成为《个人信息保护法》的保护对象。行踪轨迹等个人活动情况信息，也应属于“身份识别信息”，才能成为侵犯公民个人信息罪的保护对象。例如停车位置、驾驶路线等生活轨迹信息，因无法直接识别特定个人身份而不具有识别性。对于不具有识别性的自然人活动信息，不属于《个人信息保护法》的保护对象，也不属于侵犯公民个人信息罪的保护对象。

三、个人信息识别性的实质判断

原本不具有识别性或者与身份关联性非常稀薄的个人信息，在数智时代可能基于强大算法而具有关联性。在识别性越来越容易“获得”的背景下，个人信息的认定不仅需要坚守形式上的识别性，而且需要从实质上认定从而限定侵犯公民个人信息罪的保护范围。个人信息识别性的实质判断，包含积极与消极两个层面。从积极的认定层面而言，个人信息识别性的实质判断是指识别性的程度判断，只有达到一定程度识别性的个人信息才是侵犯公民个人信息的保护对象。从消极的排除层面而言，应以侵犯公民个人信息罪法益损害为标准，将实质上不具有法益侵害性的行为排除出罪，“犯罪应该限定于对法益的加害行为”。

（一）实质判断的积极层面：个人信息识别性程度的判断

识别性的实质判断涉及识别程度问题。例如，虽然姓名具有一定的识别性，但其识别性程度较低，而身份证号则属于具有较高识别性的个人信息。但是，身份证号所具有的识别性是因“人”而异的。对于普通个体而言，在单凭身份证号码而没有其他信息辅助的情况下，无法确定该身份证号所对应的自然人。而对于公安机关而言，单凭身份证号就可以直接确定特定的自然人。由此可知，识别性程度的判断，不但与个人信息识别性本身的强弱相关，也与识别主体的识别能力密切相关。

所谓识别性判断的主体，指的是个人信息的识别性应当由谁进行判断。由于识别能力具有差异，识别主体的不同对于识别性判断具有显著影响。识别能力越强的主体，可以通过识别性程度较弱的个人信息确定自然人。反之，对于识别能力较弱的主体，即便个人信息识别性程度较强也可能无法关联到具体的自然人。从个人信息的保护范围而言，如果判断主体识别能力过高，则易导致个人信息范围的不当扩大；如果识别能力过低，则易导致个人信息范围的不当缩小。本文认为，对于侵犯公民个人信息罪中个人信息的识别性判断而言，以公安机关作为判断主体具有合理性。

首先，以公安机关作为识别性判断主体，是因为其识别能力相对合理。对于识别能力过高的平台而言，其识别能力不但强大而且处于不断进化当中。以平台作为识别性判断的主体显然不是很合适——其超出想象的识别能力将导致识别性判断没有边界。此外，在犯罪的认定之中，如果将个人信息识别性判断的权力赋予平台，因数据平台的权力存在天然扩张的趋势，这一巨大私权力一旦异化或者被滥用，将引发系统性风险。以普通个体作为识别性判断主体则存在识别能力过低的问题。个人的识别能力受到诸多因素的限制而远低于平台。除熟悉的对象之外，即便是身份证号码或者照片，对个人而言同样不具有确定特定自然人的识别性。以识别能力较低的个人作为识别性判断主体，极易导致个人信息无法受到有效保护。以公安机关作为识别主体能够有效避免上述问题。一方面，作为户籍管理机关，公安机关的识别能力处于相对较好且合理的水平——既不像大型平台那么高，也不像普通个体那么低。另一方面，公安机关的识别能力较为稳定且统一。虽然社会处于不断发展变化之中，但公安机关的识别能力始终处于与社会发展相匹配的合理范围。此外，各地公安机关对于识别性判断的标准相对统一，能够有效避免“同案不同判”的现象。

其次，以公安机关作为识别性判断主体，是其作为侦查机关职责的体现。在侵犯公民个人信息犯罪案件中，作为侦查机关的公安机关对于识别性的判断，在一定程度上决定了是否立案，并对行为最终是否构成犯罪具有决定性的影响。因此，由公安机关进行识别性判断具有合理性。

除了识别主体的识别能力之外，个人信息识别性本身的强弱可以影响整体上识别性程度的判断。如前文所述，个人信息根据识别性程度的差异可以区分为单独识别和结合识别。具有单独识别性的个人信息属于侵犯公民个人信息罪的保护对象没有争议。例如，身份证就是典型的具有单独识别性的个人信息。由于身份证不但具有自然人的照片和住址信息，而且同时载明了该自然人的身份证号，即便是普通个体也可以通过这些信息直接锁定特定的自然人。司法实践中存在的难点是，如何合理界定结合识别个人信息的范围。换言之，多项信息结合具有识别性，是否都属于个人信息？

本文认为，在多项信息结合具有识别性的情况下，所有结合识别的信息均属于个人信息。个人信息识别性程度由信息内容决定。一方面，不论是《个人信息保护法》将个人信息分为一般个人信息还是敏感个人信息，还是《民法典》将个人信息的识别性程度区分为单独识别与结合识别，本质上都是根据个人信息内容所作出的分类。简而言之，个人信息内容与身份关联性强，则属于敏感个人信息或单独识别信息；个人信息内容与身份关联性弱，则属于一般个人信息或结合识别信息。另一方面，《个人信息犯罪解释》根据个人信息内容配置不同的构成犯罪所要求的信息数量。这也表明，信息的内容与识别性程度密切相关，并进而决定了侵害行为的危害程度。“侵犯公民敏感个人信息行为的社会危害性要大于侵犯公民一般个人信息行为。”根据《个人信息犯罪解释》第5条的规定，个人信息的类型主要包括三类：第一类是行踪轨迹信息、通信内容、征信信息、财产信息；第二类是住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息；第三类是上述两类信息之外的其他公民个人信息。上述分类表明，个人信息的识别性程度由高到低分为不同类别，从第一类到第三类，识别性程度逐次递减。从信息数量而言，构罪标准从第一类到第三类则逐次递增，从50条递增至500条与5000条。之所以在信息数量上规定了不同的入罪门槛，是因为不同类型的个人信息识别性程度不同，侵犯识别性程度越高的个人信息，成立犯罪所要求的数量就越少；侵犯识别性程度越低的个人信息，成立犯罪则在数量上要求越多。由是可知，对个人信息识别性程度的判断可以归纳为两点：第一，个人信息识别性程度虽有高低之分，但对于识别性程度的下限没有限制。《个人信息案件解释》规定中的第三类所说的“其他公民个人信息”是概括兜底规定，包含除第一、二类之外的其他所有具有识别性的个人信息。第二，对于成立犯罪所要求的数量下限有规定，但对于数量的上限没有限制。这也意味着，只要具有识别性的信息都属于侵犯公民个人信息罪的保护对象，而信息的数量则在所不问。因此，不仅是单独识别，所有能够结合识别的信息都属于个人信息。从这个意义上来说，识别性程度的判断与识别性有无的判断具有同一性。

在现有规定对个人信息构罪数量没有上限规定的情况下，通过个人信息识别程度判断对个人信息范围进行限制成为“不可能完成的任务”。因此，个人信息识别性程度判断本质上是一种积极判断，即将所有具有识别性的个人信息均纳入侵犯公民个人信息罪的保护范围。

（二）实质判断的消极层面：个人信息自决权实质损害判断

消极层面的识别性判断，就是要以侵犯公民个人信息罪的法益为核心，将实质上不具有法益侵害性的行为排除出罪。在没有造成实质法益损害的情况下，不宜动用刑法规制。因此，消极层面上个人信息识别性的实质判断，本质上是对侵犯公民个人信息罪法益损害的判断。

1.侵犯公民个人信息罪的法益是个人信息自决权

侵犯公民个人信息的行为，既可能侵犯个人法益，也可能侵犯超个人法益，但因侵犯公民个人信息罪属于侵犯人身权利犯罪，所以本罪的法益是与人身权益相关的个人法益。“包含人格利益和财产利益的个人信息权利是归类于人格权还是财产权，还必须考察该个人信息的人格利益与财产利益的分量以及权能行使的一般规律。” 至于个人信息上所承载的其他利益，则由其他罪名保护。例如，当个人信息体现管理秩序法益时，可以构成非法获取计算机信息系统数据罪；当个人信息体现金融管理秩序时，则可以构成窃取、收买、非法提供信用卡信息罪。总之，侵犯个人信息行为因为法益的不同而成立不同的犯罪。侵犯公民个人信息罪只保护与人身权利相关的个人法益，至于个人信息法益的具体内容，主流观点是个人信息权。 《个人信息保护法》第1条规定：“为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。”该条可以视为对个人信息权的规定。《个人信息保护法》第44条规定：“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理；法律、行政法规另有规定的除外。”该条对个人信息权的内容进行了规定，包含信息处理的知情权与决定权。因此，作为个人法益的个人信息权主要是个人信息的自决权，包括有权自行决定其个人信息是否公开、对谁公开、公开到何种程度。

个人信息自决权不是对个人信息的形式而是对其内容具有决定权。以姓名“李四”为例，个体对李四这个姓名没有排他性支配的权利——其他人也可以取名李四。“姓名权本身并不是对特定文字符号的支配权，法律只是保护个人排除他人干涉、冒用、盗用姓名，但不能排除他人使用相同的姓名。”从形式上来说，文字本身不具有与特定自然人身份关联的独特意义，因而本质上不属于个人信息。从内容上来说，权利人对个人信息具有排他性的决定权。例如，虽然同名的人有很多，但每个人在使用自己的姓名时必须与自身关联起来，否则不但姓名的使用没有实际意义，而且未经允许使用他人与自己相同的姓名同样会构成冒用或者盗用，从而构成对他人姓名权的侵害。

除文字外，个人信息中数字的使用亦是如此。所有人的身份证号码不过是数字的排列组合，个人不能拥有数字本身的排他性支配权。但一个特定的身份证号码对应一个特定的自然人，此时身份证号码与特定的自然人关联起来，因此该号码只有对应的自然人才能使用，其他人未经允许不得使用。在闻某等侵犯公民个人信息案中，争议的焦点在于居民身份证信息属于何种类别的个人信息。法院审理认为，居民身份证信息包含自然人姓名、人脸识别信息、身份号码、户籍地址等，具有唯一性且与公民个人精准匹配，应属于《个人信息案件解释》第5条第1款第4项规定的信息种类。

综上可知，个人信息的记载形式不具有实际意义，因而权利人对其不具有排他性的支配权；但从个人信息所表达的内容上来说，权利人对其具有排他性的支配权，这种支配权即个人信息自决权。

2.没有侵害个人信息自决权的行为不构成侵犯公民个人信息罪

（1）单纯侵害隐私权的行为不构成侵犯公民个人信息罪

由于个人信息与个人隐私容易混为一谈，因此易将侵犯个人隐私的行为认定为侵犯公民个人信息犯罪。本文认为，隐私权不是侵犯公民个人信息罪的法益。

其一，个人信息自决权与隐私权属于两种不同性质的权利。所谓隐私，简单来说就是个人私事，即个体不愿意公开的个人信息。隐私权作为人格权的一种，保护的是人格尊严。泄露他人隐私的行为导致的损害表现为被害人因私密事务的泄露产生的精神损害，并不直接关联财产损害。“作为独立的具体人格权，隐私权旨在对抗他人泄露私密信息或刺探他人私人生活的加害行为，赋予其停止侵害和损害赔偿的请求权。”因此，隐私权本质上是一种消极防御权利，只有当个体隐私权受到侵害时，权利人才能要求他人停止侵害和损害赔偿。个人信息自决权包括两个部分内容：一个是信息控制权，未经许可不能非法控制；另一个则是信息利用权，未经许可不能随意使用。个人信息自决权既具有消极防御的功能，也具有积极行使的性质。一方面，对于未经允许的非法获取或者使用的行为，权利人可以要求停止侵害以及损害赔偿，从防御的视角保护自己的权利。另一方面，促进信息交流与共享，充分发挥信息对于权利人以及整个社会的价值是数智时代重要的课题。权利人通过自己或授权对其个人信息进行使用并从中获取收益，是从积极使用的视角实现个人信息自决权。因此，个人信息自决权与隐私权是两种性质不同、内容各异的权利。个人信息自决权具有两面性：从消极防御的一面来说，它表现为权利受到侵害时的救济；从积极行使的一面来说，它表现为通过权利行使实现个人信息的价值。隐私权则是一种被动防御性权利，必须遵守“无侵害不行使”的基本原则，法律赋予公民隐私权旨在加强对个体隐私的保护而不在于利用。“个人信息权自然具有自主分享使用的积极权能，这与隐私权的防范信息未经许可披露转移的消极权能形成鲜明对比。”

其二，个人信息与个人隐私之间存在重合的情况，也即部分个人隐私属于个人信息。隐私信息可以分为具有识别性和不具有识别性。前者如车票所记载的个人行踪，后者如单纯展示身体缺陷的照片。对于具有识别性的个人隐私而言，泄露隐私的行为构成侵害个人信息权与隐私权的竞合。在敏感个人信息中，许多信息同时也属于个人隐私，这导致界分个人信息与隐私信息成为难题。虽然个人信息与个人隐私之间难以界分，但基于个人信息识别性的特征，可以进行分类保护：第一，对于具有识别性但不属于个人隐私的信息，属于《个人信息保护法》的保护对象，对其侵害可以成立侵犯公民个人信息罪。第二，对于不具有识别性但属于个人隐私的信息，不属于《个人信息保护法》的对象，对其侵害不能成立侵犯公民个人信息罪。但这类信息属于《民法典》的保护对象，对其侵害可以构成侮辱罪、诽谤罪等犯罪。第三，对于具有识别性的隐私信息，既是《个人信息保护法》同时也是《民法典》的保护对象，对其损害可以成立侵犯公民个人信息罪与侮辱罪、诽谤罪等罪名的竞合，依据想象竞合犯的原则进行处理。

综上可知，由于个人信息与个人隐私之间具有重合性，因此某一特定的侵害行为可以同时构成对个人信息自决权与隐私权的损害，但这并不是侵犯公民个人信息罪同时保护个人信息自决权与隐私权的理由。“隐私权是比个人信息权更重要的权利，用侵犯公民个人信息罪附带保护私密信息是轻重倒置。”《民法典》对于个人信息权与隐私权的分设表明，两者属于性质不同的权利，不能适用同一种保护模式。

（2）单纯侵害财产权的行为不构成侵犯公民个人信息罪

根据《个人信息刑事案件解释》第5条的规定，“非法获取、出售或者提供财产信息50条以上”以及其他可能影响“人身、财产安全的公民个人信息500条以上的”可以构成犯罪。基于此，由于财产信息关联财产安全，易得出财产利益属于侵犯公民个人信息罪法益的结论。该观点值得商榷。

首先，个人信息不具有财产性，或者说个人信息不是权利人的财产。例如，个人身份证号本身并不具有对应的财产价值。在传统意义上以“占有”为核心构建的财产犯罪体系之中，对于个人信息的非法获取或者使用行为，并未排除权利人对其个人信息的占有。信息犯罪的特征在于，信息内容具有非转移性。在非法获取他人身份证号并且使用的情况下，该身份证号仍然属于权利人本人，并不因不法行为而导致其转移占有或者丧失所有。在司法实践中有人通过倒卖身份证号码获利，不是因为身份证号码本身具有价值，而是因为行为人获取他人身份证号码之后能够利用身份证号码获取不法利益，所以愿意支付一定的对价非法获取身份证号码。因此，不论是从个人信息的形式还是从内容来说，其都不属于传统意义上的财产。“传统的财产犯罪理论其实重视的是法益主体对财产的支配利益”，而在侵犯公民个人信息的情况下，权利主体对个人信息支配性并未丧失，因而该类行为不宜构成相应的财产犯罪。

其次，个人信息具有经济性，也即权利人可以通过使用自己的个人信息获取经济利益。例如个人可以授权他人使用自己的肖像从而获取一定的收益。但肖像权本身就是人身权的一种，对肖像权的侵害不是针对权利人财产利益而是人身权益的损害。从这个意义上来说，个人信息所体现的经济性，本质上属于权利人对其人格权益的利用所带来的经济利益。个人信息经济价值的实现，并未改变个人信息的人格属性。

最后，财产信息可以成为侵犯公民个人信息罪的保护对象，原因不在于其关涉财产安全，而在于其身份识别性。也就是说，公民个人的财产信息或者影响财产安全的其他信息，之所以受到侵犯公民个人信息罪的保护，是因为这些信息具有识别性，属于与自然人身份关联的个人信息。例如，在“柯某侵犯公民个人信息案”中，之所以将“业主房源信息”认定为个人信息，是因为法院认定业主房源信息是房产交易信息和身份识别信息的组合，包含姓名、通信联系方式、住址、交易价格等内容，因具有识别性而属于法律保护的公民个人信息。另一方面，从间接损害风险而言，个人信息的泄露的确可能造成财产损害或者危险。例如，被害人可能会因为个人信息的泄露而遭受盗窃、诈骗的风险。但是，此时的财产损害已经不是侵害个人信息行为所直接导致的，而是利用个人信息实施其他犯罪所导致的，其已经不属于侵犯公民个人信息罪的涵摄范围了。因此，公民的财产状况、行踪轨迹等社会性特征不能纳入本罪的保护法益，否则就是将单纯保护信息自决权的实害犯置换为其他人身、财产利益的危险犯，而其他利益应由其他罪名保护。

总之，由于侵犯公民个人信息罪属于侵犯人身权利犯罪范畴，因此财产权不是该罪法益。只有具有身份识别性时，财产信息作为公民个人信息自决权的表征而成为侵犯公民个人信息罪的保护对象。

（3）处理已公开的个人信息原则上不构成侵犯公民个人信息罪

经过权利人同意使用其个人信息行为，不构成对个人信息自决权的侵害，此即知情同意原则。权利人公开个人信息，意味着其对于该类信息的获取以及处理予以概括同意，在概括自决的范围内取得了个人信息处理权限，在此情况下处理个人信息数据，不构成犯罪。公民个人有权积极利用其个人信息，“同意”构筑了信息自由与刑法介入之间的分界。因此，经个人同意公开的个人信息，是公民个人信息自决权的体现，公开并不意味着个人信息识别性的丧失，但使用已公开的个人信息原则上不构成对个人信息自决权的损害。例如个人已经公开的征婚信息，其原本属于较为私密、极具识别性的个人信息，但因权利人公开而使得获取该类信息无须经权利人同意。但是，获取与使用是两种不同性质的行为，权利人同意公开并不意味着同意使用。获取已公开的个人信息之后的使用行为是否应当征得权利人同意，是一个颇具争议的问题。根据《民法典》第1036条的规定，对于允许使用的个人信息而言，除非权利人明确拒绝或者信息处理行为侵害权利人的重大利益，否则对于个人信息的处理行为原则上不需要“二次授权”。在司法实践中，行为人通过公开渠道获取企业信息，从中筛选出个人信息进行出售的，可以被认定为侵犯公民个人信息罪。例如，李某使用企查查软件批量下载企业信息后，将涉及企业的个人信息（法人代表姓名、联系方式、公司地址、邮箱）进行整理后予以出售，李某被认定构成侵犯公民个人信息罪。由于企业信息以及包含的个人信息处于公开可查的状态，对该类个人信息的整理出售行为是否侵犯个人信息权益的判断，涉及如何界定“合理处理”的问题。有学者认为，如何评判“合理处理”应当从已公开信息的目的和用途来考察。如果处理行为没有违背权利人公开个人信息的目的与用途，则不宜认定为侵犯公民个人信息罪。反对者则认为，个人信息公开的目的与用途难以准确认定，因而“应当以信息的客观开放程度为标准，统一认定信息处理行为的刑事责任。”

该类型案件涉及的核心问题在于如何认定“公开”。本文认为，个人信息的公开实质上是一种权利人允许他人处理的状态。公开可以分为绝对公开和相对公开。绝对公开是指权利人对信息公开不做任何限制，任何人处理该类信息均视为已获得权利人的概括同意。例如权利人在所有人均可访问的社交媒体上公布自己的生活轨迹、联系方式等信息，这些个人信息任何人都可以获取和处理。相对公开则是指权利人在公开个人信息时进行了限定，并非所有人均可获取或者处理。一般而言，相对公开个人信息的限定方式主要有三种。其一是对象（范围）限制，也就是个人信息仅对部分人公开。此时个人信息对于公开的对象而言属于已公开，对于不公开的对象而言则属于未公开。其二是内容限制。公民可以公开自己的全部信息，也可以公开自己的部分信息，对于未公开的个人信息的处理需要征得权利人同意。例如，个人在公布自己的联系方式时仅公布自己的微信号以及邮箱，但不公布自己的电话号码。此时电话号码即属于未公开的公民个人信息。其三是时间限制，即权利人只在特定时间段内公开自己的个人信息。例如，权利人在公开自己的个人信息时明确设定了期限，在期限之外不能使用。个人信息使用时间的限制实质上是对规定时间之外处理个人信息的“明确拒绝”。

虽然非法获取或者使用个人一条信息也构成对个人信息自决权的侵害，但并不因此而构成犯罪。只有对个人信息自决权造成一定程度的损害才能成立犯罪，这也是成立侵犯公民个人信息罪要求“情节严重”的原因。侵犯公民个人信息罪的“情节严重”反映的是法益侵害程度。本文认为，未经同意处理相对公开的个人信息是否成立犯罪，应当根据不同的限定做不同的认定。

第一，擅自处理仅对部分对象公开的个人信息不构成犯罪。数智时代，至少在网络层面而言，仅对部分对象公开的个人信息本质上很难对对象进行有效限制，因而该类信息事实上属于几乎任何人都可以获取和处理的个人信息。例如，权利人虽然仅在自己微信朋友圈公开自己的行踪轨迹，但该信息可能通过其微信好友予以扩散。其他人获取其行踪轨迹虽未经权利人同意，但能够通过其微信好友获取，因而获取途径并不违法。应当说，当权利人在自己的朋友圈公开自己的行踪轨迹时，对于该信息被自己朋友圈之外的其他人获取是有认知的，此时所谓的“仅好友可见”的对象限制实质上形同虚设。因此，权利人公开自己的个人信息并不阻止其他人获取时，对其处理行为不能成立犯罪。

从另一方面而言，假若对一定范围内公开的个人信息的每一次处理都需要征得权利人同意，这对于信息处理者和权利人而言都是不堪承受之重。在这种情况下，只有有限度地弱化知情同意原则从而促进信息处理与流通才是符合现实要求的合理选择。事实上，诸如天眼查等信息服务提供者，在自动化、批量采集、整理已公开的企业信息时，对其中的个人信息无法征得所有权利人同意，否则信息服务提供的经营活动将受到极大限制。因此，在侵犯公民个人信息犯罪的认定上应当对知情同意原则进行适当限制，采取较为缓和而不是更为严格的立场。

第二，擅自处理内容限制的个人信息，可以成立侵犯公民个人信息罪。既然权利人对于其部分个人信息不予公开，擅自处理未公开的个人信息是对公民个人信息自决权的侵害。至于是否构成犯罪，还需要判断其是否属于“情节严重”。

第三，擅自处理采取时间限制的个人信息，可以成立侵犯公民个人信息罪。既然权利人明确表示仅在特定的时间范围之内公开个人信息，那么在规定时间之外擅自处理该类信息的行为可以构成对公民个人信息自决权的侵害。需要指出的是，日常生活中常见的在微信朋友圈类似“仅三天可见”的设置不属于个人信息使用时间限制。“仅三天可见”的设置重点在于“看见”的时间范围，而不是“使用”的时间限制。既然权利人在其微信朋友圈公开了个人信息，也就意味着其同意朋友圈好友获取以及使用该信息，至于是在三天之内使用还是在三天之后的其他时间使用，原则上应推定权利人概括同意。

综上所述，数智时代对于相对公开个人信息的处理仍需要遵守知情同意原则。但个人信息的爆炸式增长以及权利人对个人信息的利用需求使得知情同意原则面临新的挑战。技术的飞速发展促进了个人信息价值的进一步挖掘，权利人已经再不仅仅满足于构建保障体系对个人信息的消极防守，积极利用个人信息并充分释放其价值成为社会与个人的双重需求。在这种背景下，如果按照既往的逻辑严格恪守知情同意原则，会很大程度上限制个人信息的流通与使用，不符合数智时代对于数据确权、促进流通的基本导向。“个人信息的法律保护应以信息自决权为核心，兼顾保护信息主体权利和促进信息流通利用的平衡。”

四、结  语

归结起来，在保护与利用的双重目标中，个人信息大致经历了“保护为主”到“保护、利用并重”再到“利用为主”的立场转换。与以往相比，数智时代的个人信息在更具价值的同时也更易受到侵害。随着技术的更新迭代以及人工智能的广泛运用，信息安全风险也逐渐呈现出领域性、复合性、交叉性等特征，在强调个人信息保护的基础上，充分利用并发挥个人信息的巨大价值成为新的时代需求。“无论公共领域还是私人领域，数据分享和自动化决策都已成为一种必然的发展趋势，这或许也是数字社会的本质特征。”在将数据作为生产要素的数智时代，基于功利主义立场，应当通过限缩侵犯公民个人信息罪的适用范围，为合理扩大个人信息利用提供制度空间。要促进个人信息的合理使用，必然要求合理界定侵犯公民个人信息罪的适用范围。从刑法上而言，应当以个人信息的识别性为标准、以个人信息自决权为核心，对个人信息的保护范围进行形式与实质的双重判断，从而实现在保护的基础上促进个人信息合理利用的目的。