侵犯公民个人信息罪中个人信息的界定与法益侵害分析

侵犯公民个人信息罪中个人信息的内涵应当与个人信息保护法中个人信息的内涵保持一致。刑法及其司法解释对个人信息的界定存在一定偏差，应予以调整。刑法对个人信息的分类应参考个人信息保护法中的二分法，在具体规定中采取“概括+列举”的方式对个人信息予以规定。侵犯公民个人信息罪所侵害的法益不是公共信息安全，而是与公民人格权、财产权紧密关联的个人信息自决权。将个人信息自决权认定为侵犯公民个人信息罪的侵害法益符合该罪的立法目的。     

大数据时代“知情—同意”机制的实践困境与制度优化

知情同意机制是个人信息保护制度的基石，其理论基础在于个人信息自决权。在大数据时代，模糊的个人信息内涵导致知情同意机制流于形式，僵化严苛的知情同意原则难以适应维护公共利益和发展数字经济的需要。因此，个人信息保护应从“自我控制”模式转向“社会控制”模式，根据具体应用场景和风险评估构建个人信息综合治理体系，与此相对应，知情同意机制应从前端、静态转向动态、灵活。革新传统个人信息知情同意机制并非舍弃知情同意原则，而是在坚持知情同意机制价值操守的前提下优化知情同意规则体系。具体而言，应当进一步完善匿名化规则，健全“同意规则”,细化知情同意豁免规则，实现信息安全与信息自由、个人利益与公共利益的平衡。     

个人数据权利的宪法体系化展开

个人数据权利的宪法教义学证成建立在对宪法规范的体系化诠释基础上，既要通过“人格尊严”“人权保障”与“社会保障制度”条款的体系勾连解释出新兴数据自决权，也要结合具体的权利条款导引出传统基本权利向数字世界的移植内容，最终统合在个人数据权利的框架秩序中。为了实现个人数据法益与社会数据法益的均衡发展，需要合理配置个人数据权利的体系结构。在配置模式上，“权利束”理论符合“一数多权”的功能优势，能够综合协调各方数据法益。数据自决权是数据权利束的“束点”，构成个人数据权利的价值内核。在体系构造上，将个人数据权利分为数据本体性权利与数据衍生性权利，可以凸显数字时代人的主体性地位与实现数据社会价值的整体性保护。保障个人数据权利是民主社会的基础与数字化健康发展的前提，在促进数据自由流动的同时，国家需要承担对个人数据权利的公法保护义务。     

法益自决权与侵犯公民个人信息罪的司法边界

信息社会制造了高度的犯罪风险,侵犯公民个人信息罪成为规制网络信息活动的常用罪名,但应注意前置法体系不发达、网络准则不健全背景下的刑法过度介入。侵犯公民个人信息罪属于个人法益犯罪,法益本体是个人信息权,它是《民法总则》第111条规定的具体人格权,通过赋予其超个人属性的方式实现入罪扩张解释,与法益论发展趋势相背。公民个人有权积极利用其个人信息,"同意"构筑了信息自由与刑法介入之间的分界,在被害人教义学上类比身体、生命法益而否认个人信息法益自决权的理由并不充分。侵犯公民个人信息罪特有的"违反国家有关规定"在司法实践中存在被虚置的现象,为此,应在整体法秩序内厘清该要素的内容与地位,当前置法上缺少限制信息自决权的"国家有关规定"时,应排斥对"经同意后出售他人个人信息"行为的入罪化。     

论数据犯罪的立法重塑

当前《刑法》所规定的数据犯罪主要源于前数字经济时代，所保护的数据类型及对侵害行为的规制皆无法适应数字经济时代的发展需要，对既有规范的刑法解释亦无法实现对数据法益的妥善保护，立法断层与司法瓶颈并存。数据分类分级保护制度为刑法介入数据保护划定了合理界限，值得刑法保护的数据应被限定为《数据安全法》等前置法所特别保护的重要数据，一般数据不宜过早地被纳入刑法保护范畴。承载私法益的个人数据和企业数据能够通过《刑法》所确立的关联犯罪得到妥善保护，没有必要通过增设新罪予以重复保护。基于对数据犯罪立法的体系性考察，建议增设非法处理重要数据罪，以衔接《数据安全法》等，弥补对关乎国家安全、公共利益的重要数据的保护空隙，同时对侵犯公民个人信息罪进行必要的立法扩容，以回应实现全流程规制非法处理个人信息数据行为的实践期待。     

侵犯公民个人信息罪的法益构造及其规范解释

侵犯公民个人信息罪保护的法益不能直接沿用民法或者行政法的法益内容，个人信息权益与信息管理秩序均不能直接作为其法益内容。侵犯公民个人信息罪保护法益的判断具有整体法秩序意义上的逻辑性，当行为符合个人信息权益的侵权要件时，会对相应的民法法益造成侵犯。民事侵权的成立范围应当考虑到对包括信息管理秩序利益在内的社会要素的平衡，构成民事侵权的行为才可能进一步考虑是否成立侵犯公民个人信息罪。如果侵权行为对其他人身与财产安全具有抽象危险，该违法行为就可能达到刑事不法的程度。侵犯公民个人信息罪的前置法益内容是个人信息权益，而刑法法益则是其他人身与财产安全。在前置法的违法性判断的基础上应当分析对其他人身与财产安全是否具有抽象危险。对于敏感个人信息与一般个人信息来说，相关司法解释以个人信息数量来界定抽象危险的成立标准时应当有所区别。现有司法解释以及司法适用存在一定不合理的地方，应当在整体法秩序的视野中，以法益构造指引侵犯公民个人信息罪司法解释的完善以及个罪的规范解释。     

数据抓取的合法性边界探究

数据抓取不仅有可能侵犯公民的个人信息权益,更频繁引发企业间的利益冲突,因此成为学界与业界共同关注的热点。产权配置思路下的“数据库保护权”“数据生产者权”等方案不仅违背了数据自由流通的基本原则,亦存在难以克服的技术性难题,法益衡平成为解决问题的基本思路。对无涉个人信息的数据抓取,法益衡平实际是在保障数据自由流通的前提下,识别数据形成的何种竞争优势值得通过禁止抓取的方式予以保护,具体过程应根据数据控制者是否采取技术性措施以及前述措施的不同类型进行讨论。当涉及个人信息时,法益衡平还应确保抓取方立足信息的可识别性落实个人信息保护义务。在此过程中,敏感个人信息应被强化保护,数据体现公开个人信息时,抓取活动一般应被允许。     

侵犯公民个人信息罪的法益重构:从私法权利回归公法权利

侵犯公民个人信息罪的法益不是私法上的个人信息自决权.个人信息不等于个人私有信息,个人对其信息并不具有完全的排他性支配权.侵犯公民个人信息罪的法益观应该从私法角度转向公法角度,刑法保护个人信息的目的不是确权,而是规避风险.公法上的个人信息受保护权既不是私法上的个人信息自决权,也不是超个人的信息公共安全.个人信息按照其私密性高低,分别属于三个不同领域,即最核心层的隐私领域、中间层的私人领域、最外层的社会领域.个人信息所属的不同领域直接影响到本罪构成要件符合性的判断.个人同意并不是本罪违法性判断的决定性因素,获得个人同意的行为当然不应该构成犯罪,但未获得个人同意的行为也可能不构成犯罪.     

数据主体的“弱同意”及其规范结构

数据主体同意关乎数据保护强度与数据利用效率,对个人信息保护具有重要意义。我国《网络安全法》规定的同意原则属于强控制模式,因赋予数据主体绝对化的信息自决权而导致信息流通效率降低与数据利用价值减损。在数据控制与数据利用的张力间建立“弱同意”的概念体系与规范结构,可以通过同意体系地位的降低与规范结构的削弱,对信息自决权产生相当程度的限制,有效解决此问题。“弱同意”的规范结构为“情境合理+拟制同意=合法处理”,其中拟制同意化解了“强同意”因僵硬适用和过高标准所带来的有效性困境,情境合理测试则充分吸收了场景理念和风险认知,使同意架构从封闭走向开放,由此个人数据保护从一刀切的权利分割迈向了激励相容的合作治理。     

个人信息保护检察民事公益诉讼的路径优化

个人信息保护检察民事公益诉讼具有显著“刑事化”特征。检察院直接提起个人信息保护民事公益诉讼具有明显的优势，它能够扩大受案范围、减轻证明负担、发挥预防功能与促进源头治理。个人信息保护检察民事公益诉讼应以互联网平台滥用“知情同意”规则非法处理个人信息行为以及间接侵害个人信息权益的行为作为主要对象。立案标准仅要求侵权行为有导致个人信息社会公共利益受损的危险即可。诉讼请求应当兼顾个人信息权益的财产属性和人身属性，还应当兼顾个人信息权益保护的预防与惩治功能。针对恶意侵害个人信息权益行为，允许检察院提起惩罚性赔偿请求。     

法益论的现代困境及其宪法化改造

法益论面临现代困境的根本原因在于不重视法益论的宪法根据。法益论的功能不仅在于回答什么是刑法保护的法益,更在于回答什么不是刑法保护的法益。这说明不能仅从本体论视角建构先法性法益,而是更加需要重视法益论的宪法根据,明晰法益论与宪法中关于公民基本权利关联的法理,从规范论视角建构与宪法融通的法益概念,使其在避免刑法从法益侵害向法益侵害危险退让、以价值理性取代目的理性、从“法治国家的基本权利保障”过渡到“社会国家的社会秩序形塑”上发挥重要作用。现代刑法强调犯罪设定或犯罪认定以保护法益为实质根据,这需要把刑法所保护的法益与宪法中关于公民基本权利的规定关联起来,重视合宪性解释的实践。刑法不可以把属于公民基本权利的行为规定或解释为犯罪,这种合宪性解释是体系解释的应有之义。     

论邪教犯罪对公民私法益的侵害与刑事立法

邪教犯罪不是一般的有组织犯罪,而是对社会危害特别严重的有组织犯罪,它不仅侵害了刑法法益中的国家和社会的公法益,而且,严重地侵害了公民的私法益,即严重地侵犯了公民的人身权和财产权。面对邪教犯罪的侵害,我国刑法典突出了对国家、社会公法益和公民私法益的保护,即着重保护国家法律、法规的实施、社会秩序的正常和公民的人身权、财产权安全。但我国刑法的规定相当不完善,其主要缺陷是立法不系统、犯罪主体范围规定得过于狭窄,没有突出特别法与普通法的区别等,这些缺陷影响了我国对邪教犯罪的打击与控制。     

个人信息权保护的法经济学分析及其限制

目前我国的司法实践对个人信息侵权的保护采用了具体人格权中隐私权的路径,它无法对个人信息商业化利用伴随的财产利益进行全面的保护.在我国的个人信息保护立法中,是采用“以人格权为中心、包含财产利益和人格利益两部分内容的一元模式”,还是“以包含个人信息的精神利益和财产利益为导向的人格权和财产权二元模式”,需要借助经济学的分析工具.此外,基于价值的多元,任何权利的运行都要有个界限,个人信息权亦如此.在遭遇言论与表达自由、信息的自由流通、国家安全和权利人的同意四种情况时,个人信息权的保护力度要“克减”.当然,这四种“克减”场域仅仅是基于“类型化”的分析,具体的案件还要进行具体的“利益衡量”.     

自杀行为规范属性及刑事归责的法教义学诠释

刑法理论中对于自杀行为的性质是合法、违法还是归属“法外空间”的分歧，缘于将生活语意上的自杀现象与规范意义上的自杀行为混为一谈。根据主观上的纯粹自愿自主与客观上的完整自我支配与否，规范意义上的自杀行为可分为自主性的自杀和非自主性的自杀。自主性的自杀行为在法规范上是完全自由地组织、处分自己生命的行为，不存在法益侵害的空间，彰显公民真正的自治自律，是宪法赋予公民自我决定权的全部实现。非自主性自杀行为是在他人介入、干涉的因素影响下实施的，基于生命法益的高度人身专属性和不可流转性，非自主性的自杀行为实质上具有法益侵害性。它在形式上符合“杀人”的构成要件类型，具有客观的实质刑事违法性，而自杀者终极性地陷入自杀决意后无法形成反对动机，丧失了他项行为选择，在责任上由于不具有期待可能性而免于刑事非难。     

论人脸识别刑法规制的限度与适用——以侵犯公民个人信息罪指导案例为切入

如果国家无意用刑法手段规制公权力组织滥用人脸识别的现象，那么从刑法面前人人平等的原则出发，对于个人滥用人脸识别的行为就必须慎用刑事制裁措施。法秩序统一性原理主要强调的是刑法的补充性，它必须受制于刑法的独立性。侵犯公民个人信息罪是通过保护公民的个人信息来捍卫信息所承载的人身、财产权利。它是一种具体危险犯，只有对人脸等个人信息的侵犯足以危及人身、财产权利，才可以发动刑罚权。单独的人脸信息如果没有姓名等其他信息，很难对自然人的人身、财产权利造成实质损害。在涉及人脸识别的相关犯罪中，侵犯公民个人信息罪与计算机犯罪、网络犯罪、财产犯罪都不能进行数罪并罚。通过人脸识别骗取财物，机器不能被骗的理论应当被扬弃。法治必须对数据利维坦保持足够的警惕，对人脸识别的规制主要依赖于其他法律体系的治理，刑法应该保持必要的谦抑与节制。     

个人信息可携带权在国家机关间的实现

学界关于个人信息可携带权的研究很少涉及其在国家机关间实现的情形，但个人信息可携带权具有在国家机关间实现的规范基础和现实需要。从法教义学角度分析，宜将个人信息保护法第33条理解为一种特殊立法技术，即该条使得个人信息保护法中的规范具有公私法双重属性，第45条第3款规定的个人信息可携带权亦具有“公私法兼容性”。但公法上的个人信息可携带权并非宪法上个人信息权的保护核心，而是处于立法者的形成空间中，主要体现为要求国家机关作出具体行为的行政法上的请求权，其解释需要受其宪法规范的辐射效果。应从权能要素、客体范围和技术标准等维度明确公法上的可携带权的权利内容，基于公共利益和第三人保护厘定其外在限制，勾勒公法上的可携带权的最终保障范围，从而更好地发挥其促进数据流通、构建互联互通数字政府的积极作用。     

位置何以成为隐私?--大数据时代位置信息的法律保护

在数据这一新型生产要素中,位置数据的应用日益广泛,不仅"基于位置的服务"雨后春笋般涌现,政府也基于位置数据创新社会治理方式、辅助案件侦破。然而,位置数据获取技术的进步及智能手机(作为现代最主要的定位工具)的普及,使得公民私密生活受到无处不在的位置监控威胁。位置信息的敏感性、位置获取技术的侵入性、公民对位置信息的隐私期待合理性以及位置信息保护的价值,足以让我们反思当前"过度"及不受实质限制的位置信息采集利用行为。位置信息的法律保护需要公法与私法的合力。就公法保护而言,应重视"个人信息自决权",遵守比例原则,创新令状制度;就私法保护而言,应选择恰当的请求权路径、审视数据控制者或处理者的相关义务以及对位置信息的收集利用予以限制。     

大数据时代我国侵犯公民个人信息罪:从特点分析到完善建议

大数据时代,社会数字化转型使得个人信息的外延与内涵呈现多元化扩张的态势,在信息安全、个人隐私和知识产权保护等领域出现了新问题。作为狭义的、纯正的网络犯罪,侵犯公民个人信息罪在司法实践中面临着行为方式、犯罪对象及网络黑产的认定障碍,导致犯罪治理的效果不佳。前置性行政标准模糊、司法解释周延性不足、个人维权机制无力是削弱当前犯罪治理效果的主要原因。针对当前侵犯公民个人信息犯罪呈现的有组织化、集团化和产业化特征,传统的刑事对策不能应对大数据时代公民个人信息保护的需求,亟须严密法网,进一步类型化侵害行为,完善相关行政前置标准与司法认定规则。并建议引入刑事合规计划,更好地实现个人信息保护和企业发展并行,实现法律规制与行业自律之间的积极良性互动。     

个人信息的私法保护模式研究——《民法总则》第111条的解释论

随着大数据技术的开发应用,个人信息主体与信息收集利用者分别从不同角度对个人信息主张权利。但何为个人信息?如何配置权利?答案应建立在法益保护与数据开发利用的二元价值平衡基础上。美国和欧盟代表两种不同的取舍模式。介于二者之间,中国早期采纳"美国式实践",近来又转向"欧盟式立法",后者彻底开放了个人信息的边界。为兼顾信息开发利用价值,个人信息的认定标准宜作合目的性限缩和情境化改造。在保护模式的选择上,美欧正趋同于"积极确权+行为规范"模式,中国属于单一的"行为规范模式",这为信息收集利用提供了相对明确的合规指引,但个人信息主体的法益保护范围只能根据相对人的行为界限作反推,解释论上因此丧失了法益保护的裁量空间,进而难以对承载不同法益内容的身份和行为信息提供差别化保护。解释论之矫正需引入人格权概念作为裁量平台,以此构建法益保护与行为自由的比较权衡框架。     

数字安全视角下国家秘密的刑法保护

随着信息数据技术和数字经济发展，数字安全问题凸显，给国家保密工作带来更大挑战。在总体国家安全观视野下，对于国家秘密应从定密主体、程序等形式要件和国家安全、利益属性的实质要件两方面进行把握。国家秘密安全作为一种法益不是单一的，还包括与国家秘密相关的个人信息权益和数据网络公共安全，具有多元性和层次性。国家秘密刑法保护应当坚持体系性思维，实行分级分类保护，促进维护国家安全、公共利益与信息资源利用的平衡。刑法中以国家秘密安全为主要犯罪客体的罪名可归类为侵犯国家秘密犯罪。根据犯罪主体的不同，第398条规定的故意(过失)泄露国家秘密罪可区分渎职型和非渎职型。该罪名的罪刑设置未能体现故意与过失的区别，应从立法上予以完善，将过失泄露国家秘密罪的法定刑从故意泄露国家秘密罪的法定刑中剥离出来，规定独立的法定刑。该条第2款规定的“酌情处罚”不等于从轻处罚，应根据具体情况具体对待，也应包括从重处罚。除了直接侵犯国家秘密安全的罪名之外，关涉国家秘密、网络安全、个人信息数据的罪名均可视为侵犯国家秘密犯罪。不同罪名的法益性质和保护重心不同，相互之间存在重合交织。司法机关需要以相关立法为参照系，根据信息数据类型的不同...