网络空间个人信息安全刑法保护的立场选择

　　过去，个人信息的法律保护核心源于信息主体自身信息的管理，数字经济时代，算法技术对数据的处理不再停留于简单的存储与整合，这使得个人信息管理与使用不仅直接关乎个人权益，还涉及公共安全和国家安全。个人信息的复合价值属性决定了信息管理者的多元性，使得信息主体难以实现对个人信息的有效管理。因此，有必要分析智能技术发展下网络空间个人信息安全的刑法保护立场，以期构建全面有效的法律保护体系。

　　公共利益与个人信息利益的刑法平衡保护

　　依照个人信息的来源，可分为自然属性信息和社会属性信息。前者指基于先天形成、不可更改的个体固有特征信息；后者指个人在社会性活动参与过程中产生的识别性信息。网络因素的介入对自然性个人信息的私权属性造成了重大冲击，使得传统个人对自身信息的绝对控制权在数据挖掘技术下举步维艰，个人信息的社会属性所承载的公共价值日益凸显。不论是政府基于公共服务掌控管理个人信息，还是企业出于商业竞争处理个人数据，个人信息已成为社会活动的重要要素和分析指标。目前，司法实践中，侵犯公民个人信息罪作为专门罪名，还没有个人或企业因公共利益之需侵害个人信息而入罪的案例。《中华人民共和国个人信息保护法》出台后，民事裁判基于公共化利用的需要，对基于公共目的二次转载合法公开个人信息的行为作出了肯定性评价，这体现了个人信息利益的部分让渡。但类似信息泄露、歧视待遇和人格行为预测等个人信息安全风险无所不在，如某些预测系统中的自动化决策可能会对有的群体带来歧视性侵害。尽管侵害对象是在特定环境中的集体成员，但实质上也影响个人权利。因此，要警惕借以正当公共利益名义对个人信息处理的“目的限制—同意原则”适用不当的行为。

　　从刑法发展角度看，平衡维护公共利益与个人信息利益限缩之间的矛盾是解决当前刑法立场下侵犯公民个人信息罪司法使用面临的关键问题。一方面，公民难以完全脱离公共领域；另一方面，公共利益对于个人信息利益的限缩应控制在合理、正当和必要的范围之内。因此，若刑法一味地抹杀个人信息的公共化职能，既不符合人工智能时代的创新发展潮流，亦难以发挥刑事责任追究的正向社会作用。需要注意的是，尽管个人基于公共利益的需要让与部分个人信息利益，但同时亦可获得公共利益的反哺之恩。在对以公共利益为需要的侵犯个人信息行为进行构罪符合性审查过程中，尽管公共利益未被明确规定为侵犯公民个人信息的正当化事由，但依然可能涉及“违反国家有关规定”这一构成要件的审查判断。依照《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条的规定，在必要范围内基于促进社会公共利益的目的公开披露个人信息具有合法性。可见，个人信息的公共利益属性是智能技术产业发展的基础动力，而个体权益的保障依赖于社会系统性与制度性的延展完善。信息共享对于“必要范围”的界定是公共利益与个人信息利益两者博弈平衡的关键，范围过广可能会侵犯个体的信息自由，范围过窄则不利于服务数字经济发展和人民生活改善。

　　激励相容的个人信息安全刑事治理目标

　　数字经济时代，个人信息的归属可能涉及多层次的利益相关方，其安全保障框架由系统安全层面、数据安全层面及服务安全层面集合而成，涵盖技术保障、监管保障和运行保障等。从个人信息生命周期来看，其多方权属主体包括信息主体、信息控制者与信息处理者。在系统安全层面，个人信息的应用与安全需要全局性技术防护，涉及系统各组成部分及多方权属主体；在数据安全层面，数据应用各环节均有可能带来个人信息安全风险，信息主体控制力有限，而不同环节中信息处理者与控制者所承担的保障义务与实质地位难以进行明显区分；在服务安全层面，不同归属主体的利益诉求各异，同属信息管理者，公权力机关对于信息控制的效益体现于社会管理保障方面，企业则更多偏重于商业经济利益，而信息主体则关注隐私及财产权益。由此可见，个人信息安全不仅关乎个体利益，也涉及经济安全、公共安全及国家安全等整体性利益。

　　数字化转型增加个人信息的泄露风险，信息泄露事件带来的经济损失和安全隐患极为严重，以网络平台为代表的信息管理者面临巨大的安全治理压力。个人信息作为公共生产资料所具有的非排他性、非竞争性特征，可通过无成本复制实现跨场景共享。实践中，个人信息领域保护失衡现象频发，究其原因有两方面：一方面，互联网环境中孤立数据本身并无价值，只有当数据汇聚成可被挖掘分析的个人信息后方可被利用，若要求信息管理者对经手的全部数据进行保护，则使其难以在高额保护成本与安全保护监管之间实现平衡；另一方面，个人信息泄露或滥用的直接受害者是信息主体而非信息管理者，尽管有效保护个人信息安全可成为市场竞争中的品牌优势，但在缺乏外部激励与法律约束情况下，信息管理者仍难以主动加强安全保护监管措施。

　　在此博弈中，可以引入激励相容理论探索解决问题的办法。激励相容指在制度设计中，参与者的最优策略与设计者的目标一致，个体追求自身利益时自发遵守规则，实现整体优化。以此视角看，法律规则可以对每个参与者进行有效激励，发挥激励守法的作用。近年来，我国加强个人信息法律保护体系建设，对信息主体侧重于私法领域赋权，对信息管理者偏重于行政法中的行为规范与监管义务。因此，在刑法方面，我国个人信息保护不应仅注重短期内的犯罪圈扩张，而是要顺应前置法，通过外部机制助推个人信息安全的内部治理。单纯依赖刑事手段的预防和惩罚功能来防治侵害个人信息犯罪仍存在局限，应充分利用信息管理者之间的内在激励关系，构建企业与国家的犯罪共治模式，促进信息管理者增强责任意识，最大化保护个人信息，实现对侵害个人信息犯罪开展积极刑法一般性预防。

　　数据共享应用与个人信息刑法谦抑保护的协调

　　在人工智能技术快速发展背景下，信息主体从最初互联网生产过程中的消费群体变为市场资源的生产者，个人信息安全保护与数据共享开放之间的冲突对刑法保护提出了新挑战。一方面，数据泄露或滥用等危害个人信息安全。另一方面，数字化转型已成为行业新趋势，个人信息权益保护与数字经济发展之间必然存在正相关性，并非二者择其一的问题，而是如何平衡的问题。在刑事立法中，这一平衡演化为理论结构性矛盾。侵犯公民个人信息罪作为专门罪名，聚焦于公民个体，通过制裁犯罪行为回应前置法对个人信息利益的保障要求。然而，刑法惩治犯罪行为的目的具有社会性，不可能因为保护个体信息自由而压缩智能技术应用的发展空间。

　　如何维护个人信息权益保护与数据共享应用之间的平衡，是刑法不可回避的重要议题。当前，侵犯公民个人信息罪的构成要件要求犯罪行为必须“违反国家有关规定”，这意味着刑法的适用以个人信息保护的前置性法律为前提。作为保障法，刑法保护范围不应跳出个人信息法律保护体系。即，需要刑法予以制裁的数据共享技术应用侵害个人信息的行为，应是具有严峻的社会危害性，唯有通过刑罚方可彰显威慑力。因此，刑事立法对个人信息保护与数据流动的协调平衡体现在回归辅助性的保障地位，要为个人信息应用预留一定创新发展空间。这种谦抑性的规制立场有赖于前置性法律在以下层面的“底线支撑”：一是民法典、网络安全法、个人信息保护法、数据安全法等相关法律法规相继颁布，已明确个人信息的各项具体保护制度，构筑了个人信息保护的坚实法治基础，但现阶段的个人信息法律保护体系并不十分完善，还需配套精细化制度；二是随着个人信息法律保护体系的不断完善，配套制度更加精细，部分敏感程度较低的普通个人信息及危害性较低的侵害行为可优先通过前置法加以规制。现行刑法对于侵犯个人信息犯罪问题的规制重心落于收集环节，对于使用环节未有规范，这在一定程度上体现出与前位法的层次适应及谦抑性立场。然而，滥用个人信息行为蕴含严重的社会危害风险，涉及数字经济领域的不正当竞争纠纷和垄断纠纷。前置性法律虽对这一行为进行了规范，但类似警告、罚款等责任追究机制难以真正遏制这一乱象。因此，有必要将个人信息滥用行为纳入刑事法治轨道，筑牢个人信息的法治安全屏障。

　　本文为陕西省社会科学基金年度项目“网络平台数据安全刑事治理模式转型研究”（项目编号：2024E029）及西北政法大学校级青年科研项目“激励相容视角下个人信息安全刑法保护体系的优化转型及其路径展开”的阶段性研究成果。

　　（作者单位：西北政法大学刑事法学院）