量刑法学网

主办:西南政法大学量刑研究中心 协办:北京天驰君泰(重庆)律师事务所

刘艳红:民法编纂背景下侵犯公民个人信息罪的保护法益:信息自决权——以刑民一体化及《民法总则》第111条为视角

发布日期:2020-07-02  发表于:《浙江工商大学学报》2019年第6期  著者:刘艳红  浏览次数:
为避免法益概念的抽象化并充分发挥法益限制处罚的机能,在已确定侵犯公民个人信息罪保护法益为个人信息权的前提下还应将之具体化。在民法编纂背景下,基于刑民一体化视角与法秩序统一性原理,并结合《民法总则》第111条的规定,侵犯公民个人信息罪的保护法益是个人信息权中的信息自决权。信息自决权司法实践中具有甄别值得处罚的侵犯公民个人信息行为的机能。

      为防止大数据时代信息泄露,刑法必须提供最后但却也是最有力的防范。网络技术对信息的影响是,信息日益海量增加且存储成本极低,信息四处蔓延且极易获取。为了实现对侵犯公民个人信息行为的有效打击,必须明确《刑法》253条之一侵犯公民个人信息罪的保护法益,这既涉及对公民个人信息的保护方向,也涉及对侵犯公民个人信息行为的保护范围。基于个人权利体系的保护路径,笔者在他文提出侵犯公民个人信息罪的保护法益是“网络信息时代作为新型权利的个人信息权。”{1}然而,个人信息权涉及的范围广泛,权利种类较多,为了有效制止法益概念的抽象化,尚需对侵犯公民信息罪保护法益的个人信息权进一步明确,以实现法益理论对犯罪构成要件的解释指导作用及对刑法处罚的限制机能。由于个人信息权作为一项新型民事权利主要来源于民事法律法规的规定,尤其是2017年3月15日全国人大常委会审议通过的《中华人民共和国民法总则》111条的规定,因此,本文拟结合民法典编纂的时代背景,分析民法规范对刑法解释论的影响,以确定侵犯公民个人信息罪的保护法益究竟为个人信息权中的何种具体权益,并借此推进刑民交叉领域其他问题研究的深入进行。

  一、侵犯公民个人信息罪保护法益:内容宽泛的个人信息权抑或具体的个人信息权?

  在刑法学界,侵犯公民个人信息罪的保护法益存在着个人法益说与超个人法益说之争,根据《刑法》253条之一对本罪的法益定位分析,该罪的犯罪性质仍为自然犯,而不是欠缺法益侵害性或者仅侵害抽象法益的法定犯,因此,该罪侵犯的法益是个人法益而非超个人法益;同时,该罪保护的个人法益是具体的个人信息权。然而,虽然“刑法理论不应当要求法益概念具有绝对的明确性,”{2}但是为了避免法益概念的抽象化精神化等松弛法益保护原则的趋势,理应尽可能将个罪比如侵犯公民个人信息罪的保护法益即个人信息权具体化。

  《民法总则》111条规定,“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”民法总则这一规定,虽然“没有明确使用‘个人信息权'的概念(第111条),但在解释上也可以认为,其承认了独立的个人信息权。这就反映了互联网时代、大数据时代和高科技时代的特征,”同时,也“将有力遏制非法的人肉搜索、非法侵入他人网络账户、贩卖个人信息、电信网络诈骗等违法行为”{3}。据此,可以说民法总则确立了公民的个人信息权,它是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。然而,个人信息权的内涵和外延是什么?根据《民法总则》第111条的规定并不能确定。2017年3月第十二届全国人民代表大会第五次会议提交讨论的《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法(草案)》)第11条,对于个人信息权内涵与外延作了明确规定。该条指出,“自然人的个人信息权包括信息决定、信息保密、信息查询、信息更正、信息封锁、信息删除、信息可携、被遗忘,依法对自己的个人信息所享有的支配、控制并排除他人侵害的权利。”同时,对于该条规定的信息决定权至信息被遗忘权等权利,则在第12条至第19条依次进行了明确,即信息决定权(第12条)、信息保密权(第13条)、信息访问权(第14条)、信息更正权(第15条)、信息可携权(第16条)、信息封锁权(第17条)、信息删除权(第18条)、被遗忘权(第19条)。那么,这是否意味着刑法中侵犯公民个人信息罪的保护法益即个人信息权,就是《个人信息保护法(草案)》规定的这八项权利?如果是,这样的法益概念显然有失宽泛。“我国宪法关于‘国家尊重和保障人权'以及‘中华人民共和国公民的人格尊严不受侵犯'的规定,是责任主义的宪法根据”{4},而刑法中的法益正是实现宪法人权保障法治精神与刑法责任主义的重要理论,也是宪法用来限制刑事立法的工具。刑法中所有犯罪都“依附于各该犯罪所保护的法益内,因此确定其所保护的法益依然是检验各该构成要件正当性之出发点,”换言之,“法益的确定”,应该是“在自由的(亦即对市民自由非必要限制的抵抗)方向上,控制禁止内容,且涉及法律解释时,法益的确定不仅是内在的,而且也是批判的。”{5}可见,为了更好地发挥法益的限制机能,侵犯公民个人信息罪的法益不能界定得如此宽泛。但是,如果不是概括了这八项权利的笼统的个人信息权,那么,究竟是其中的哪项权利?

  二、民法编纂背景下个人信息保护理论源头与刑法信息自决权保护法益之确立

  在民法编纂背景下,基于刑民一体化视角,根据欧美两大模式个人信息保护的理论源头分析,刑法侵犯公民个人信息罪的保护法益应为个人信息权中的信息自决权,它和《个人信息保护法(草案)》第12条规定的信息决定权基本含义相同。

  刑民一体化是解决刑法侵犯公民个人信息罪保护法益究竟为何的基本视角。这意味着,对刑法保护法益的确立,必须同时结合刑法以及民法的规定。团藤重光教授认为,“一个法秩序,应该形成统一的体系。例如,在作为一个法秩序的日本法内部,有民法、刑法等分支,且各自以不同的原理让社会生活规律化,但这些分支必须相互之间没有矛盾,最终作为整体法秩序而具备统一性。亦即,法秩序作为一个整体必须是无矛盾地统一的事物。”{6}民法是前置法,它在前拦截违法行为,刑法是保障法,它在后惩治未被成功拦截的犯罪行为;民法先确立违法性,刑法后确立犯罪性。虽然前置法的提法主要出现在法定犯中,而侵犯公民个人信息罪又是刑法分则第四章侵犯公民人身民主权利的犯罪,换言之它是自然犯,但是基于有前置法的违反不一定都是法定犯,自然犯也可能违反某些前置法,以及侵犯公民个人信息罪本身也确实具有一定法定犯的气质亦即“自然犯的法定犯化”{1},因此,确立侵犯公民个人信息罪的保护法益究竟为何,必须参考民法总则及其他有关个人信息保护法律法规的规定,这种刑民一体化视角并不影响该罪作为自然犯的根本性质。

  当今世界各国个人信息保护主要有两种模式,一种是欧洲模式,其理论源头是基于对公民个人尊严与基本人权的保护,并在立法上采取了统一模式;另一种是美国模式,其理论源头是基于对公民个人隐私与自由的保护,并在立法上采取了散在模式。从个人信息保护的理论源头分析,侵犯公民个人信息罪的保护法益应为信息自决权而非泛泛的个人信息权。

  1948年12月10日,联合国大会通过第217A(II)号决议并颁布《世界人权宣言》,其中12条规定,“任何人的私生活、家庭、住宅和通信不得任意干涉,他的荣誉和名誉不得加以攻击。人人有权享受法律保护,以免受这种干涉或攻击。”这一规定里蕴含了对个人生活的尊重和个人事务自决(自由)原则,从而被世界各国认为是个人信息保护的法律渊源。2007年12月旨在保障欧盟公民权利的《欧盟基本人权宪章》颁布,其中第8条规定“人人有权保护涉及自身的个人数据”,从而明确地将个人数据权利视为一项独立的人权加以保护{7}。但是,无论是《世界人权宣言》还是《欧盟基本人权宪章》,都没有使用“隐私”的概念,而是基于保障公民个人尊严而推演出对基于个人权利而衍生的数据权利的保护。与此同时,源于人格尊严与自由发展理论,依人格法益的私领域性,将其分为私密领域、私人领域、个人领域 以及社会领域,其中涉及私密、私人领域法益的个人信息原则上应免受不法侵犯。 这种个人信息不受侵犯的权利体现为个人对其信息自决的权利,即个人对其个人信息拥有控制权,非经该个人同意,他人不得收集、处理和利用其个人信息。 德国司法实践在欧洲最先实现了对信息自决权的确认,它反映在《德国基本法》第1条第1项,“人之尊严不可侵犯,尊重及保护此项尊严为所有国家机关之义务”,这一内容也即一般人格权。同时,目前的德国通说也认为,《联邦个人信息保护法》保护的是“个人信息权”(Recht am eignen Datum),即个人信息自决权,且该权利属于《德国民法典》第823条第1款规定的“其他权利”。 由此,在欧洲,个人信息的权利或者说法益属性,是基于人的尊严而确立的作为人格权的个人信息自决权。同时,欧洲也是世界上最早进行专门个人信息立法保护的地区,“欧盟委员会于1995年颁布的《个人数据保护指令》在世界上个人数据保护法律中占有非常重要的地位”,并且欧洲的“大部分国家和地区采取统一立法的形式并覆盖公私两个领域”{8}37-38。总之,基于对公民个人尊严与基本人权的保护并在立法上采取了统一模式的欧洲,由此形成了其在个人信息保护领域独特的欧洲模式。

  美国对公民个人信息保护的法律根据不是《世界人权宣言》,其理论源头也不是公民个人尊严保护,进而也缺乏对人格权理论的发展和研究;美国采取的是通过隐私权理论体系来进行,并通过美国的案例判决来确认的。

  自美国学者沃伦(Warren)和布兰代斯(Brandeis)于1890年在其《论隐私权》一文中将隐私界定为一种“免受外界干扰的、独处的”权利后,隐私权日益引起学界、司法实务界的广泛关注。1890年,美国学者Warren和Brandei提出了隐私权(the right to privacy)的概念,也即“独处的权利(right to be let a- lone)”{9},同时对于这项权利的由来则指出,古老的普通法只保护有形的个人在人身和财产上的利益,但随着政治、社会和经济的变化需要承认新的权利,“人们开始意识到人的精神本质,意识到人的情感和智力。这些法律权利的范围逐渐扩大。现在,生命的权利已经意味着享受生命的权利,享受独处的权利。自由权是行使广泛公民权利的保障”{9}。随着计算机和网络在美国的率先发明与普及,侵犯公民个人信息的行为日益增加,美国的隐私权概念也因此“逐渐被理解为是一种维持对个人信息的内在领域和对某人身体和能力的一定程度的控制的权利”[10]。美国对隐私权的保护根植于宪法上的自由。1977年,美国联邦最高法院在Whalen v. Roe一案判决中指出,隐私权是受宪法实体正当程序(Substantive Due Process, Privacy)原则保护的权利,“以保护‘隐私’为特征的案件至少涉及两种不同的利益,一是避免个人事务披露的个人利益,另一个做出某些重要决定的独立性利益。” 因此,信息隐私在美国是宪法权利,个人对之具有独立的不受影响的决定权。同时,在网络环境下,美国“经常使用information privacy一词,”以指明“保护个人信息不被泄露或滥用,以造成对信息主体的伤害,或者能够控制他人对个人信息的使用”{8}13。美国的“隐私控制是自由自治原则的产物”,而“自治也意味着对自己的事务作出决定”,比如“个人对个人数据使用的选择及其使用谈判,以促进个人自治”{10},因此,个人信息的自主控制由此成为美国的信息控制理论。总之,在美国,由隐私权发展出了个人的信息权益并进而发展出了信息控制权,隐私权的确认和保护是个人信息保护的理论源头;个人信息保护几乎等同于隐私保护。同时,在立法上,美国保护模式是散在式立法,即在各个行业分别制定有关个人信息保护的法律规范、准则,而不制定统一的个人信息保护法律。 总之,美国对公民个人信息的保护是在隐私权与自由权体系内进行的,并在立法上采取了散在立法模式。

  虽然欧美两种模式在个人信息保护理论源头与立法模式上有所区别,但无论是作为欧洲信息保护理论源头的公民个人尊严,还是美国个人信息保护理论源头即公民隐私与自由,它们的“目标和结论都是人的独立自主或自治,因而均将个人信息归由个人控制,法律保护这种控制即是保护个人自治”{10}。而且,前述欧洲及德国对个人信息权的保护正是基于对个人生活的尊重和个人事务自决(自由)原则,而确立作为人格权的个人信息自决权的。虽然美国基于隐私权理论发展出的对个人信息的保护并不称之为信息自决权,而是信息控制权,但是控制和自决,都是指向个人对自己信息的自治,是个人对其信息使用的决定权;作为权利最后落脚点的信息自决权和信息控制权之间并无实质性差别。

  总之,从个人信息保护的欧美不同理论源头及世界两大模式分析,基于个人尊严或个人自由权利保护,发展出与人身一体化的个人信息保护,如果个人无法知道自己的信息在何种程度上被何人获取并利用,那么,个人将失去作为主体参与的可能性,而沦为他人可以操纵的信息客体, 而被沦为客体是人被物化并丧失人性尊严之体现。这非但在一定程度上解释了为什么我国《刑法》253条之一将侵犯公民个人信息罪规定在刑法典分则第四章侵犯公民人身民主权利罪中,以及解释了为何该罪的法益是个人法益而不是泛泛的信息安全等集体法益,也回答了为何侵犯公民个人信息罪的法益虽然保护的是个人信息权,但又不是泛泛的个人信息权,而是作为该项权利中的根本权利即个人信息决定权。为了突出对公民个人信息的保护的主体属性,换言之,为了表明刑法设立侵犯公民个人信息罪并非仅仅保护作为客体的信息,而更是为了保护作为(信息)主体的人,侵犯公民个人信息罪的保护法益也必须聚焦于个人信息决定权,以杜绝将该罪法益泛化为个人信息权后所带来的主体迷失及其与客体之间的混同,并突出信息权在理论源头上与人的尊严和自由的密切相关性。

  三、刑民一体化与民法总则视野下侵犯公民个人信息罪的保护法益:信息自决权

  在民法典编纂背景下,必须基于刑民一体化视野与法秩序统一原理,分析《民法总则》111条以及其他有关个人信息保护法律法规的内容,讨论刑法侵犯公民个人信息罪保护法益为何是信息自决权。根据民法总则及有关个人信息保护法律法规的规定,我国民事立法确立了个人信息权,侵犯公民个人信息罪保护法益则对之予以了刑法确认。同时,刑法所确认的个人信息权不是隐私权,也不是人格权或与之类似的个人尊严与自由等权利,而是一种需要独立对待的新型民事权利。基于“民法要扩张刑法要谦抑”{11}的理念,侵犯公民个人信息罪所保护的也不是泛泛的等同于民事权利的个人信息权,而是其中最核心权利即个人信息自决权。

  1.在民法典编纂背景与刑民一体化视野下,侵犯公民个人信息罪保护法益是对民法总则及相关法律法规所确立的个人信息权的刑法确认。《刑法》253条之一规定,“‘违反国家规定’侵犯公民个人信息情节严重的行为构成侵犯公民个人信息罪。”根据《刑法》96条规定,“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”据此,构成侵犯公民个人信息罪必须要违反有关个人信息保护的法律行政法规等国家规定。我国关于个人信息保护的法律法规非常多,其中较为重要的有2011年10月29日新修正的《中华人民共和国身份证法》(以下简称《身份证法》)、2013年10月25日第二次修正的《中华人民共和国消费者权益保护法》(以下简称《消费者权益保护法》)、2012年12月28日全国人民代表大会常务委员会《关于加强网络信息保护的决定》、2016年11月7日全国人大常委会颁布的《中华人民共和国网络安全法》(以下简称《网络安全法》),以及《个人信息保护法(草案)》和民法总则等。要明确侵犯公民个人信息罪的保护法益是个人信息自决权,必须先明确《民法总则》111条及有关个人信息保护的法律法规是否确立了个人信息权,因为,“个人有权控制和支配其个人信息的流向,这项权利的基础在于……个人信息权”{12}。在此基础上,再需明确个人信息权的性质是什么,以解决为何侵犯公民个人信息罪的保护法益是个人信息权中的信息自决权。

  那么,《民法总则》111条究竟有没有确立个人信息权?有观点认为,第111条“立法上采用了‘公民个人信息'的表述毕竟不同于‘公民个人信息权',公民个人信息究竟属于隐私权的一个具体内容还是具有独立的民事权利,可以说仍未明确”{13}。这种观点值得商榷,笔者赞成前述王利明教授等所主张的,认为民法总则虽然没有明确使用个人信息权的概念,但在解释上也可以认为其承认了独立的个人信息权。然而,为何在解释论可以得出这样的结论,则需仔细分析。

  根据法律体系解释,可以发现,在个人信息保护的法律体系内,个人信息权的确认是一个具有先后延续性的概念。《民法总则》111条对个人信息保护的规定,与其制定之前的《身份证法》《消费者权益保护法》《关于加强网络信息保护的决定》《网络安全法》等对个人信息保护的规定是一致的。《身份证法》第12条规定,“有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,应当予以保密。”《关于加强网络信息保护的决定》1条规定,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”第2条规定,“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则。”《消费者权益保护法》14条规定,“消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。”《网络安全法》41条规定,“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围”等等。

  分析这些规定,2011年《身份证法》首先确立了对公民个人身份证等信息的保护,2013年《消费者权益保护法》则明确规定了“个人信息依法得到保护的权利”,这一表述虽然不是个人信息权,但其实质就是确立了一项新的权益即公民个人信息权。2012年《关于加强网络信息保护的决定》则对于公民个人电子信息的保护予以了明确,并首次确立了公民个人电子信息获取使用的“合法、正当、必要的原则”,同时,这一原则以及该决定中的其他有关公民电子信息保护的内容,和《网络安全法》有关个人信息保护的41条等相关条文的内容,一起构成了2017年《民法总则》的111条、第117条等的立法基础,最终,《个人信息保护法(草案)》第1条规定了个人信息权这一公民基本权利,“为规范个人信息的收集、处理和利用,保护自然人个人信息权以及其他合法权益,促进个人信息的合理利用,规范个人信息跨境传输,特制定本法。”

  立法的发展变化表明,在我国个人信息的保护从无到有,从线下信息发展到线上电子信息;对个人信息的保护,也从保护作为客体的信息发展为保护作为信息主体的人;个人信息权在有关法律中被明确规定并使用,个人信息的自决权也随着个人信息权的日益确认而得到立法上的肯认。从个人信息保护的法源分析,上述法律法规都是我国个人信息保护立法的法源;同时,无论是《身份证法》还是《消费者权益保护法》,无论是《关于加强网络信息保护的决定》还是《网络安全法》,它们也都是民法总则的制定基础。“编纂民法典不是制定全新的民事法律,而是对现行的民事法律规范进行科学整理”, 《民法总则》作为民法典编纂的总则篇,其中既有全新确立的新的民事权利,比如16条对于胎儿利益主体资格的确认,也有对以往尊重与保障公民个人合法权益的各项规范的整理,比如第58条对于法人成立条件的规定,就是在吸收与延续民法通则、公司法、证券法、保险法等有关规定基础上而制定的。既然如此,在个人信息权已得到民法总则制定之前的法律法规的确立后,民法总则作为公民基本生活规范的总整理,对其第111条的理解,不能停留于民法规则内部,而应该从法律体系解释的角度,分析该条的来源与个人信息及权利发展的演变,并在个人信息保护立法体系化的角度,毫无疑问地将第111条的规定解释为对公民个人信息权的确认。

  根据法律规范的构造进行解释,《民法总则》111条在法律规范的结果上指示着个人信息权的确认。“在法律规范中与事实构成相连的法律结果,以权利和义务为内容。法律结果的指令指示着权利和义务的存在或不存在”{14}17。虽然第111条规定的“自然人的个人信息受法律保护”没有明确采用个人信息权的表述,但是该条后半段规定表明,法律所保护的并非作为客体的个人信息,而是作为主体的人的权利。“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这表明,对公民个人信息的取得、使用应当依法进行,而不得进行非法获取、买卖、提供等行为。合法与非法,正是对个人信息使用等行为性质的界分,而这一性质的划分,正是源于法律对权利的保护,因为无论是民法还是刑法,都是为了保护法益亦即法律上利益,法益本身的内涵就是法权,是法律上的一种权利,“权利的维护是刑法的当然目的”“犯罪是一个刑法中规定的违法或者说由刑法加以威慑的与他人权利相违背的行为”{15},无论是公民的权利还是国家的权利都是法律所保护的对象;“不得非法收集”“不得非法买卖”等行为是收集、使用信息的人所应该履行的法律义务,它从反面确立了信息主体对其个人信息所拥有的权利,因为“不存在无权利的义务和无义务的权利,因为一方的义务总是与另一方的权利相对应”{14}17。由法权论衍生的法益论,以及法律规范权利与义务的一致性等都表明,当法律将个人信息的获取、提供等行为划分为合法与非法,意味着法律已经将个人信息权作为一项权利属性在保护,而不仅仅是在保护作为客体的、与公民主体性脱离的个人信息。

  总之,《民法总则》111条虽然没有明确使用个人信息权的概念,但从解释论的角度完全可以得出该条确立了个人信息权的结论。在此背景下,侵犯公民个人信息罪保护法益即个人信息权可以说正是对民法总则及相关法律法规个人信息权的刑法确认。

  2.在刑民一体化视野与法秩序统一原理下,刑法侵犯公民个人信息罪保护法益个人信息权不是隐私权或者人格权等传统权利,而是独立的新型权利。明确《民法总则》111条确立了个人信息权及其刑法确认之后,还需明确该项权利的性质。前述欧美两种模式无疑是有区别的,前者是由公民个人尊严与基本人权发展出一般人格权,是在人格权的领域内讨论公民个人信息权,后者是在公民自由权基础上发展出隐私权,是在隐私权的领域内讨论公民个人信息权。这种区分在一定程度上影响了我国学界对侵犯公民个人信息罪保护法益的确立。有学者根据美国模式主张本罪法益是隐私权, 有学者根据欧洲模式主张本罪法益是公民人格权{16}。然而,在民法典编纂背景下,基于刑民一体化视野以及法秩序统一原理,应该否认侵犯公民个人信息罪保护法益为隐私权与人格权的观点,理由有二:

  一是《民法总则》111条确立的个人信息权在性质上不是隐私权,侵犯公民个人信息罪的保护法益也不是隐私权。随着侵犯公民个人信息方式及后果的多样性,尤其是隐私权作为具体的法益在实务中认定的困难以及僵化,使得人们难以运用这一权益在公民个人基本权利与信息公共安全利益之间取得平衡。“将宪法隐私权作为公法上信息保护的理论基础,并无法因应普遍且广泛的信息保护需要”{17},刑法中侵犯公民个人信息罪的法益,不宜再采用隐私权说。

  一方面,民法总则的立法是将个人信息权作为不同于隐私权的一种权利的;将个人信息权作为隐私权来理解,不符合民法总则法律条文之间关系的理解。《民法总则》110条规定,“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。法人、非法人组织享有名称权、名誉权、荣誉权等权利。”该条将隐私权与第111条的个人信息权并列,犹如第114条的物权、第118条的债权、第126条的知识产权等并列一样,这表明,个人信息权不是隐私权,也不宜将个人信息权的性质解释为隐私权。另一方面,隐私是防御性权利,要求发生实际损害;信息自决权是主动性权利,不要求发生实际损害,用信息自决权更加有利于实现对公民个人信息的保护。“隐私权是一种消极的、防御性的权利,在该权利遭受侵害之前,个人无法积极主动地行使权利”{18},因为防御性权利启动必须以发生实际损害为前提,损害之有无因此成为信息开发利用的边界。但是,《刑法》253条之一第3款规定的非法获取型侵犯公民个人信息罪的规定是,“窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚”,这意味着,非法获取型侵犯公民个人信息罪的定罪标准也应该按照该条第1款的“情节严重”的规定来执行。然而,根据2017年6月1日起施行的最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》5条规定,这里的情节严重并不一定是造成严重的后果,换言之,并非要求发生实际的损害。发生实际损害固然是情节严重的表现,但是如果非法获取的信息数量较大,即便没有造成任何实际损害,也能够成立犯罪,比如“非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的”,或“非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的”等行为,都属于情节严重,应该认定为犯罪。因此,如果仍采取传统的隐私权论,不利于保护公民个人信息免受非法侵犯。事实上,姑且不论《刑法》253条之一的第1、2款之规定,暂且就第3款而言,至少表明,该种行为重点侵犯的是公民对自己信息的自决权,比如,当使用爬虫软件获取他人信息时,如果爬虫者不受信息提供者或所有者控制而擅自窃取公民个人信息时,就已经侵犯到了公民个人信息;至于爬虫者在窃取到这些信息后是否公开或侵犯到他人隐私,并不影响窃取行为本身对公民信息权的侵犯,具体而言就是对公民的信息自决权的侵犯。信息自决权,体现的是信息所有者对信息的主动权,该项权利具有进击性,而不是防御性;只要其受到侵犯,不需要发生严重后果,也可以构成犯罪。而且,个人信息的范围大于隐私的范围,虽然很多个人信息涉及个人隐私,但是个人信息不完全属于隐私的范畴,不能将二者混同,二者在性质与内容、侵害与保护方式等方面都不同{19}。将个人信息权等同于隐私权或者将其性质解释为隐私权,无疑会缩小对公民个人信息的保护范围。事实上,在美国,“隐私权的内涵也已从消极被动的‘私生活不受干扰'的人格性权利发展为积极能动的‘自己的信息自己控制'、兼具人格和财产属性的权利”{20},这也更加说明,放弃隐私权说,将侵犯公民个人信息罪保护法益定位为个人信息自决权,更加符合个人信息保护的发展趋势。

  总之,在民法典编纂背景下,根据刑民一体化视野及法秩序统一原理,既然民法总则是将个人信息权作为不同于隐私权的权益加以规定的,那么刑法侵犯公民个人信息罪的保护法益也不宜确立为隐私权。

  二是《民法总则》111条确立的个人信息权不是人格权,侵犯公民个人信息罪的保护法益也不是人格权或者与之类似的个人尊严与自由等权利。受欧洲模式的影响,我国民法学界学者主张,“在我国未来的民法典中,应当将个人信息权单独规定,而非附属于隐私权之下。即应以私权保护为中心,将个人信息权作为一种具体的人格权加以保护,并制定个人信息保护法。”{21}前述刑法学界认为侵犯公民个人信息罪保护法益为人格权说的观点,无疑与民法学界的此种观点,在法秩序原理内完全统一的。但其一,虽然《民法总则》109条规定,“自然人的人身自由、人格尊严受法律保护。”这表明,民法总则第五章规定的民事权利都是出于对公民个人人身自由与人格尊严的保护而设立的,而第111条公民个人信息权正好在第109条之后,这也许是认为个人信息权是人格权的学者的立法根据所在。然而,该章所规定的其他权利如物权、债权、知识产权等,也都在该第五章之内第109条之后,但是并没有人会认为物权、债权等是人格权。换言之,第109条的规定只能表明个人信息权是基于对个人尊严与自由保护的延续,这一点,正好与欧美对信息权保护的理论源起是一致的;该条的立法只是肯定了人的尊严与自由是信息权的理论基础,但并不能据此可以得出个人信息权的性质是人格权。其二,根据个人信息权的规定以及其权利内容,它应该是一种科技网络时代的新型权利,而非传统的人格权等权利。“个人信息作为新型的受法律保护的客体,是随着科技发展和社会进步而产生的,是社会进入信息时代、大数据时代的产物”{22},个人信息权是一种新型的综合性权利,它既含有人格权的部分,具有精神权利的性质,因为信息权毕竟是从个人尊严与自由中衍生的;同时它又含有财产权的性质,体现出大数据时代信息的可交换性可利用性等经济属性;它还含有隐私的内容,因为公民个人信息中有相当部分涉及的是公民个人的秘密信息如婚姻状况、个人爱好等;个人信息权的保护也和隐私财产权的绝对保护不同,它必须要兼顾好信息的保护与利用之间的关系,等等。因此,“不能把‘个人信息权’纳入公法权利、民法人格权,也不能纳入物权法财产权,更不能纳入知识产权”,个人信息权“属于继股权、知识产权之后”“独立的新型民事权利”{23}。因此,对于个人信息权,也不宜理解为人格权。因此,对于“将个人信息权作为一种具体的人格权加以保护”{21}之类的观点,笔者持反对态度,当然,毫无疑问,公民个人信息具有人格属性,但这还和它是人格权是两回事。故而不宜在人格权的框架内研究个人信息权,而应该将之作为一种独立的新型民事权利予以对待。

  总之,个人信息权不是传统的任何一种权利,而是一种独立的新型权利;刑法在分析侵犯公民个人信息罪的保护法益时,应该跳出传统思维,抛弃诸如隐私权说、人格权说、个人尊严说、生活安宁说等种种根植于民法传统权利的法益学说,而将个人信息权作为一种独立的权利来对待,将侵犯公民个人信息权作为不同于传统法益的法益来保护。

  3.《民法总则》111条确立的个人信息权是一种宽泛的信息权利,基于前述“民法要扩张刑法要谦抑”的理念,刑法侵犯公民个人信息罪的保护法益个人信息权应进一步明确,具体为个人信息自决权。确立了《民法总则》111条的权利是个人信息权,并从刑法层面确认了其为侵犯公民个人信息犯罪的保护法益,以及个人信息权在权利体系中的独立地位之后,就需对这一具有独立地位的权益进一步具体化。民法是规范公民生活方方面面的法律,刑法是所有部门法的保障法,因而在公民社会生活治理层面,刑法对公民个人信息保护法益以及公民个人信息权的保护范围肯定要窄于民法。个人信息权的核心是信息自决权,亦即信息主体原则上有权决定其个人信息能否被他人获悉以及被获悉的方式、范围。 因此,侵犯这项权利的实质是对个人自由权的侵犯,这才是刑法所要保护的重点。刑法作为最后保障法,侵犯公民个人信息罪的保护法益理当择其最重要者予以保护。

  前述欧美个人信息保护的理论源头分析表明,在欧洲,个人事务自决原则是个人信息保护的理论渊源,在美国,由隐私权理论发展出的个人信息控制权是个人信息保护的理论渊源,欧美的理论源头都表明,个人信息权益保护的核心是信息自决权。在德国,个人信息权常常就被称为“信息自决权”,它体现的是对个人自决等有关人的尊严利益的保护,学者大多数认为,侵害个人信息实际上都侵害了个人的自由,因此,通过保护个人信息不受非法数据处理等技术的侵犯,也就是保护了公民个人人格尊严和自由权利。 而信息自决权,就是可以充分体现这样的权利内容的一个概念。基于信息自决权在德国司法判例中发挥的积极作用,也基于这一概念表现出的“定位明确、意涵清晰、价值多元、体系开放等诸多优势,因此更宜成为我们系统构建个人信息公法保护体制的理论基础”{17}。

  在我国,现行立法表明,个人信息权的核心也是信息自决权。《关于加强网络信息保护的决定》2条规定,网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息必须“经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”《网络安全法》41条规定,网络运营者收集、使用个人信息,应当“经被收集者同意”,不得违反“双方的约定收集、使用个人信息”,并应当依照“与用户的约定,处理其保存的个人信息”。第42条规定,“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”这些立法,充分体现了信息主体个人意志,它们实际上都是“赋予个人对于其自身相关的资讯,能拥有决定在何种范围、于何时、向和人、以何种方式加以揭露或处分使用的自主权,此即赋予个人对个人资讯得拥有自我决定之权”{24},亦即信息自决权。正是以这些规定为基础,《个人信息保护法(草案)》才有了第12条关于信息决定权的规定。虽然《个人信息保护法(草案)》第12条至第19条规定了八项具体的信息权利,其中第12条规定了信息决定权,即“个人信息权人得以直接控制与支配其个人信息,并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用。”但实际上,另外七项权利,即信息保密权、访问权、更正权、可携权、封锁全、删除权、被遗忘权,都是建立在个人信息决定权亦即自决权的基础之上的。所以,可以说信息自决权在我国是有立法根据的,是在法律上早已得到确认并经《个人信息保护法(草案)》予以明确的公民对其信息拥有的一项权利。

  以信息自决权作为侵犯公民个人信息罪的保护法益,正是一般性的自我决定权在刑法个罪中的体现。自决权充分体现了刑法的自由保障机能,并与刑法中其他侵犯了自决权法益的犯罪在刑法内部体系上是一致的。

  刑法中的很多犯罪,以往可能对法益的保护是比较宽泛或者并未凸显对个人主体性的尊重,但是随着法治进程的推进、人权保护的加强与对人的主体地位日益尊重,传统犯罪法益也出现了变化。作为“一般性之‘自我决定权’(Selbstentscheidungsbefungis)的一种特殊形态”{24},无论是有关信息的自我决定权或是其他自我决定权,在刑法保护法益的范围内都日益丰富。比如刑法中基于自我决定而同意他人对自己实施的伤害行为不构成犯罪,财产犯罪的处分权,强奸罪与强制猥亵、侮辱罪中的性的自主决定权,甚至猥亵儿童罪的法益也其实并非是我国大多数学者所认为的是儿童的身心健康或者人格名誉权,而是“性行为自主权”“儿童也有性行为自主权,而不是只有人格、名誉权,而且儿童的性行为自主权是一项重要法益”{2},还有强迫劳动罪侵犯的其实也是以身体自由为内容的自我决定权,等等,这些都是一般性自我决定权中的不同种类,它们都体现了法治国原则的自由保障机能与规范性意涵,是一般性自我决定权在刑法个罪保护法益的具体化。

  以强奸罪为例可以清晰展现刑法是如何逐步重视对个人基本权利的保护的。强奸罪在我国一直属于侵犯公民人身民主权利犯罪之列,但是即便如此,其侵犯的法益是什么也是随着人们主体性意思的觉醒而在发生变化的。早期刑法理论对强奸罪的法益有两种有力主张,第一种认为强奸罪的法益是“妇女的性的不可侵犯的权利”{25}或“妇女的性尊严”{26},这两种观点的共同之处是,尊重女性作为人的主体性地位,尊重其作为权利主体的独立意志,但是,它们的共同缺陷是过于抽象空洞并且缺乏法益甄别和限定值得处罚的行为的机能。“任何权利都是不可侵犯的,在性权利前面加上‘不可侵犯这一限定词,纯属多余'”{27}229,同样的,侵犯公民人身民主权利的所有犯罪也都侵犯了人的尊严,仅仅侵犯了性的尊严会无限扩大强奸罪的处罚范围。另一种认为强奸罪的法益是“妇女的人身权利、身心健康、人格和名誉等。其中有的仅表述为是‘妇女的人身权利’,有的仅表述为‘妇女的身心健康’;还有的仅表述为‘妇女的人格、名誉’,等等。持这种观念的人认为,把此种侵犯的客体解释为是妇女性的不可侵犯的权利,虽然不错,但未免过于狭窄。因为强奸妇女罪所侵犯的决不限于妇女性的不可侵犯权”{28}。并且,对于强奸罪也因此将之称之为“侵犯女性身心健康的犯罪”{29}。很显然,相较于妇女的身心健康权,认为强奸罪的法益是妇女性的不可侵犯的权利无疑更加尊重人的主体性;而身心健康、妇女人格与名誉等主张,无疑是站在人是客体不是主体这样的立场来界定强奸罪的保护法益的。在个人应受刑法保护的个人法益中,“国民的生命、自由以及追求幸福的权利,只要不违反公共福利,在立法以及其他国策上,必须受到最大限的尊重”“一切法律价值的基础在于尊重个人”{30},而其中第一位的个人法益是生命,第二位的则是自由;在自由法益中,主要则是身体自由与意思自由。“尊重人同时意味着肯定人的意志,肯定人的主观能动性”{4},如果行为人违背他人性的自主决定之自由,则意味着身体自由与意思自由都受到了侵犯。因此,当前世界各国包括我国刑法理论都认为,性犯罪侵犯的法益不是社会风尚也不是人格名誉,而是“性的自己决定之自由”{31},又称为“性的自我决定权”{32}或“性自主权”{33},这种“自主决定权是妇女的人身自由、意思自由的一种体现”{27}229,其核心无非是妇女有权选择自己的性行为的自由。

  强奸罪保护法益从身心健康、人格名誉等到性的自我决定权的发展变化,清晰地呈现了人作为法律保护的客体到人作为法律行为主体地位的变化,以及刑法对人自由法益的充分保护。这样的变化昭示着,将侵犯公民个人信息罪的保护法益定位为个人信息权,以及根据该项权利中的核心信息自决权,并考虑刑法对公民个人自由法益的充分保护和自决权法益在刑法体系内的发展变化,以信息自决权作为侵犯公民个人信息罪的保护法益,无疑既契合民法典编纂背景下《民法总则》111条的规定,最大限度地实现了刑民两大基本法保护法益在法秩序内的统一,充分贯彻了刑民一体化的思维,又符合刑法对一般性自我决定权的日益丰富和具体化的趋势,更能发挥刑法充分保护公民自由等个人法益的机能。这与通过制定政府信息公开法确认和保障公众对政府信息的知情权一样,是目前世界民主政治的基本现象{34}

  四、民法典编纂背景下刑法信息自决权法益的甄别功能———代结语

  刑法通过定罪量刑剥夺他人自由,但是通过法治国的罪刑法定原则的实质侧面又让不具备实质可罚性的行为得以出罪,因此“刑法不仅仅限制自由,它还创造自由”{35}。法益正是实现这一目的的有力工具。因为现代刑法犯罪论体系是“以法益概念为出发点建立的目的论的犯罪论体系”{36}220,法益在犯罪论体系的实践中所发挥的作用则是“确定某一行为是否侵害了刑法所保护的法益,是否达到应受刑罚处罚的程度”{36}221。侵犯公民个人信息罪的保护法益为信息自决权,这一法益的确立对于合理限制侵犯公民个人信息罪的成立范围,甄别值得处罚的信息犯罪行为,具有重要的法治机能。

  分析甲从公开的信息网爬取公开发布的数据涉嫌构成侵犯公民个人信息一案,可以充分体现信息自决权在侵犯公民个人信息罪中甄别值得处罚的侵害行为的机能。某甲从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。甲将上述信息存入数据库,供他人付费查询使用{37}。甲的行为是否构成侵犯公民个人信息罪?分析本案,关键的因素在于,对于公开网站上信息提供者公开发布的信息,如果行为人进行爬取的,是否属于“非法”?如果其中涉及公司法定代表人个人信息的,是否构成侵犯公民个人信息罪?毫无疑问,在明确了该罪法益为信息自决权的基础上,本案可以从甲的行为是否侵害了信息自决权并达到值得处罚的程度予以分析。

  分析本案,虽然甲从形式上都符合犯罪构成要件的规定,比如甲主观上出于故意,客观上实施了未经他人授权或同意即爬取他人信息的行为,尤其是其在爬取后,通过他人付费而将爬取到的信息提供给他人,这一行为更是没有经过信息权人的同意,假设甲涉案的信息数量也达到了立案标准,那么,从形式上看,将甲的行为定为侵犯公民个人信息罪似无疑问。然而,如果联系本罪的法益信息自决权分析,既然“信息自决权是指每个人自行决定与其个人相关的数据在应用上的权利,即每个人都必须知道,他自己的信息对于谁、何时以及哪些得到了公开”, 那么,商贸网站和政府部门公开的企业信息网上由其公开的法定代表人或联系人的个人信息,即为当事人同意并授权这些网站予以公开的,这些个人信息的发布是经过公民个人自由选择自己决定的结果,甲上网爬取这些信息,并没有侵犯公民个人信息自决权,没有侵犯《刑法》253条之一的保护法益,因此,甲的行为不应构成侵犯公民个人信息罪。至于如果甲将这些信息又提供给他人的,“除相关权利人要求‘二次授权’的外,宜推定存在概括同意,不宜对收集后出售或者提供的行为要求‘二次授权’”,不应构成《刑法》253条之一第1款规定的出售、提供型侵犯公民个人信息罪。甲在网上获取这些信息是源头行为,出售和提供给他人是下游行为,源头行为合法,下游行为也不应入罪。同样的道理,对于用户在微博上自行公开的邮箱、电话号码、工作或家庭地址,对于用户在单位网站公布的邮箱信息等等,如果使用爬虫行为予以取得的,用户的自愿公开行为阻却爬虫行为的违法性,爬虫行为不应构成犯罪。再如李某某等六人涉嫌侵犯公民个人信息犯罪案, 韦健、张岩、鲍春超涉嫌侵犯公民个人信息罪案, 朱某某、黄某某涉嫌侵犯公民个人信息罪案, 等等,均可用行为未侵犯信息自决权法益或者侵犯的程度未达到值得处罚的程度,认定行为人不构成侵犯公民个人信息罪。

  在民法典编纂背景下,基于刑民一体化视角以及法秩序统一原理,根据《民法总则》111条等有关规定,刑法中侵犯公民个人信息罪的保护法益应该是个人信息自决权,而不是其他个人法益。“正在审议的民法典人格权编草案专门设立了隐私权和个人信息一章,对个人信息受法律保护的权利内容及其行使做了规定。个人信息保护法已经列入了本届全国人大常委会的立法规划,目前法工委正在会同有关部门研究论证,加紧推进起草工作,将按照立法工作计划,适时提请常委会审议”{38}。未来我国刑法如何实现与万众期待的民法典以及个人信息保护法的对接,如何在刑民一体化视野下实现公民个人信息的有效保护与合理使用之间的平衡,如何通过信息自决权这一刑法保护法益甄别值得处罚的侵犯公民个人信息的行为等问题,无疑是需要进一步深入讨论的未来领域。

  【注释】

  作者简介:刘艳红,女,东南大学法学院教授,东南大学最高人民检察院民事检察研究基地教授,博士生导师,法学博士,教育部“长江学者奖励计划”特聘教授,主要从事刑事法学、大数据与人工智能法学研究。

  [1]BGHZ 169,193,199; BGHZ 164,203,209.

  [2]Vgl. Hubmann: Das Pers?nlichkeitsrecht, 2. Aufl.1967,S.268ff.

  [3]Vgl. Steinmüller、Lutterbeck、Mallmann、Harbort、Kob、Schneider: Grundfragen des Datenschutzes, Gutachten im Auftragdes Bundesministeriums des Inneren, 1972,S.85ff.

  [4]Vgl. Herbert Meister: Datenschutz und Privatrechtsordnung, BB 1976,1584,1587 ff; Walter Knabben, Datenhaftung, 1979,S.14.

  [5]Whalen v. Roe, 429 U. S.589,1977.

  [6]参见周汉华:《个人信息保护法(专家建议稿)及立法研究报告》,法律出版社2006年版,第79-80页。

  [7]Vgl. Spiros Sitimis: Kommentar zum Bundesdatenschutzgeseta, 4. Aufl.,1993,Art. I, Rn.169.

  [8]李建国:《关于〈中华人民共和国民法总则(草案)〉的说明》,2017年3月8日第十二届全国人民代表大会第五次会议。

  [9]参见张明楷:《刑法学》(第五版),法律出版社2016年版,第921页。

  [10]Vgl. BVerfGE 65,42f.

  [11]参见王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期。

  [12]参见Jan Hildebrandt: Informationelle Selbstbestimmung und Medienfreiheit: Wie viel Datenschutz muss sein, 2013,S.9.

  [13]参见(2018)辽1322刑初174号。

  [14]参见(2016)粤0402刑初1823号。

  [15]参见(2017)陕0802刑初80号。

  【参考文献】

  {1}刘艳红.侵犯公民个人信息罪法益:个人法益及新型权利之确证[J].中国刑事法杂志,2019(5):19-33.

  {2}张明楷.刑法理论与刑事立法[J].法学论坛,2017(6):16-34.

  {3}王利明,周友军.我国《民法总则》的成功与不足[J].比较法研究,2017(4):1-15.

  {4}张明楷.责任论的基本问题[J].比较法研究,2018(3):1-19.

  {5}何赖杰.法益保护原则[M]//许玉秀,陈志辉.不移不惑献身法与正义——许迺曼教授刑事法论文选辑.台北:台北新学林出版股份有限公司,2006:229.

  {6}团藤重光.法学の基础[M].东京:有斐阁,1996:84.

  {7}高富平.法律应如何保护个人信息[J].中国审判,2017(3):62-63.

  {8}弓永钦.个人信息保护问题研究[M].北京:人民日报出版社,2018.

  {9}WARREN S D, BRANDEIS L D. The Right to Privacy[J]. Harvard Law Review, 1890,4(5):193-220.

  {10}高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018(3):84-101.

  {11}王利明.民法要扩张刑法要谦抑[J].民主与法制,2016(44):9.

  {12}杨芳.个人信息自决权理论及其检讨——兼论个人信息保护法之保护客体[J].比较法研究,2015(6):22-33.

  {13}曾粤兴,高正旭.侵犯公民个人信息罪之法益研究[M]//赵秉志.刑法论丛.北京:法律出版社,2019:209.

  {14}卡尔·恩吉施.法律思维导论[M].郑永流,译.北京:法律出版社,2014.

  {15}冯·费尔巴哈.德国刑法教科书[M].14版.徐久生,译.北京:中国方正出版社,2010:35-36.

  {16}周光权.刑法各论[M].3版.北京:中国人民大学出版社,2016:71-72.

  {17}赵宏.从信息公开到信息保护:公法上信息权保护研究的风向流转与核心问题[J].比较法研究,2017(2):31-46.

  {18}王利明.个人信息权与隐私权有何区别[N].北京日报,2014-03-24(18).

  {19}王利明.中华人民共和国民法总则详解:上册[M].北京:中国法制出版社,2017:458-459.

  {20}朱宁宁.刷脸时代拿什么保护公民生物信息[N].法制日报,2019-04-16(6).

  {21}王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62-72.

  {22}郭明瑞.民法总则通义[M].北京:商务印书馆,2018:175.

  {23}李伟民.“个人信息权”性质之辨与立法模式研究——以互联网新型权利为视角[ J].上海师范大学学报(哲学社会科学版),2018(3):66-70.

  {24}邱文聪.从信息自决与信息隐私的概念区分——评计算机处理个人资料保护法修正案草案的结构性问题[J].月旦法学杂志,2009(168):172-189.

  {25}高铭暄,马克昌,高格.刑法学[M].修订版.北京:法律出版社,1984:440.

  {26}阮齐林.刑法学[M].3版.北京:中国政法大学出版社,2011:481.

  {27}黎宏.刑法学各论[M].3版.北京:法律出版社,2016.

  {28}高铭暄.新中国刑法学研究综述(1949—1985)[M].郑州:河南人民出版社,1986:592.

  {29}王作富.中国刑法研究[M].北京:中国人民大学出版社,1988:538.

  {30}大谷实.刑法讲义各论[M].2版.黎宏,译.北京:中国人民大学出版社,2008:6.

  {31}西田典之.日本刑法各论[M].6版.北京:法律出版社,2013:66.

  {32}刘艳红.刑法学:下[M].2版.北京:北京大学出版社,2016:207.

  {33}张明楷.刑法学:下[M].5版.北京:法律出版社,2016:868.

  {34}黄泽萱.论英美普通法中的知情权——兼谈我国信息公开条例的修改[J].行政法学研究,2018(6):91-101.

  {35}耶赛克,魏根特.德国刑法教科书:上[M].徐久生,译.北京:中国法制出版社,2017:3.

  {36}刘艳红.实质刑法观[M].2版.北京:中国人民大学出版社,2019.

  {37}喻海松.侵犯公民个人信息罪的司法适用态势与争议焦点探析[ J].法律适用,2018(7):10-15.

  {38}朱宁宁.聚焦全国人大常委会法工委首场发言人记者会正加紧推进个人信息保护法起草工作[N].法制日报,2019-08-22(1).