数字足迹是指以数据形式存储的、用户使用互联网或电子设备的活动痕迹。不同于静态的个人身份信息，数字足迹是动态的个人行为数据，如社交媒体数据、浏览器日志、餐饮消费记录、住宿记录、出行购票记录、移动终端产出的位置日志等。数字足迹的不当利用会导致各种社会风险的出现。例如，在美国有公司通过对选民网页浏览记录等数字足迹的收集和分析，运用个性化算法完成对个人的精准推送从而实现对选民的操纵。又如，滴滴全球股份公司借由用户使用App留下的数字足迹，分析用户的出行意图、常驻城市、异地商务和异地旅游等信息。然而，由于数字足迹的不完整性和非竞争性，以个人控制为核心的传统信息保护模式难以为继。本文拟通过研析数字足迹的样态类型和规范属性，确定数字足迹法益的具体内容，进而建构平衡数据流通自由和数据安全法益的刑事治理模式。

一

凡个人与互联网或电子设备的交互都会留下数字足迹，但法规范并不需要对所有数字足迹进行规制。唯有根据规范目的进行筛选，方能避免因对数字足迹的过度保护而怠忽数据流通。将数字足迹具体化进而把握法益侵害的本质特征，是寻求数据风险防范的正确路径。

(一)数字足迹的样态类型

大数据时代的特征之一是我们的所有活动，无论线上或线下，都留下了数字足迹。有别于传统的人为记录，数字足迹是反作用于外部世界所形成的痕迹。根据数字足迹所指涉的场景，可将其分为虚拟数字足迹和物理数字足迹。

1.虚拟数字足迹系个人网络空间活动的数字记录。

根据产生的方式，其又可分为被动虚拟数字足迹和主动虚拟数字足迹。被动虚拟数字足迹如浏览网站时相应网络服务器记录下的设备IP地址、简单的Google搜索遗留下的关键词检索记录、网站的访问页面和访问时间等。被动虚拟数字足迹往往应用于个性化推荐。主动虚拟数字足迹是用户为了通过网站或者社交媒体分享自己的信息而产生的数据，包括在App中的评论、发送的电子邮件、各种形式的数据交互、同步到社交平台的照片和短视频等。相较于被动虚拟数字足迹，主动虚拟数字足迹因附加了游憩者的意识权重而具有更为真实的丰富性。虚拟数字足迹符合隐私的特质，对虚拟数字足迹处理行为的规制需求多源于用户对个人隐私保护的期待。例如，在朱某诉百度隐私权纠纷案中，朱某利用百度搜索引擎检索“减肥”“丰胸”等关键词，在浏览相关内容之后陆续在其他网页的浏览中接收到与所检索关键词相应的广告，引发了其对隐私泄露的担忧。

2.物理数字足迹虽然以数据的形式存在，但其内涵指向个人的现实活动，包括但不限于位置数字足迹、生理数字足迹和支付数字足迹等。

位置数字足迹如日常出行的打车记录、异地旅游的购票记录、酒店的住宿记录、App记录的运动轨迹、新冠肺炎疫情期间健康码的扫码记录等。生理数字足迹如医疗机构诊疗活动产生的电子医疗记录、健康管理类App产生的监测记录等。支付数字足迹即个人支付记录。较之虚拟数字足迹，物理数字足迹与现实空间具有更为密切的关联性、对应性和辐射性，一旦泄露或被非法使用，极易导致人身安全、财产安全、公共安全、社会秩序受到侵害。例如，在况某某故意杀人案中，被告人通过购买被害人的暂住地址和开房记录等位置足迹而得以推知被害人的活动轨迹并将其杀害。

(二)数字足迹的规范属性

数字足迹刑事治理的规范化困境，在于法益侵害之行为对象(数字足迹)与规范保护之法益内容(私人法益与公共法益)相分离。数字足迹的刑事治理不应拘泥于数字足迹本身，而应着眼于其背后的法益基础——人身安全、财产安全、公共安全、社会秩序等。其中，虚拟数字足迹所承载的信息往往与物质世界无涉，其泄露或遭不当使用常伴随着对个人隐私等精神层面利益的侵害；物理数字足迹因与现实空间具有更强的关联性，更易引发对人身安全、财产安全、公共安全、社会秩序等法益的侵害。由此，根据数字足迹的样态类型与现实空间的关联程度，构造虚拟数字足迹和物理数字足迹的差序保护格局是应然之举。

基于不同的用途，同一数字足迹可能侵犯的法益也不相同。以位置数字足迹为例，未经个人同意而获取位置足迹可能仅涉及对个人隐私的侵犯，但以杀人为目的获取个人位置足迹则可能构成对被害人人身法益的侵害，而如若非法获取与“直接关系生产安全的监控、报警、防护、救生设备、设施的相关数据”则可能危及公共安全。因此，仅以现实化之结果难以有效类分数字足迹泄露导致的法益侵害类型。对数字足迹泄露之风险的特征予以确认，系进一步寻求风险防范规范化的前提，因此毋宁将目光转向对致使结果现实化的行为方式上。以此为视角和逻辑起点，数字足迹对外影响无外乎两种途径。一是以海量数字足迹的收集处理为基础，以不特定多数人为对象施加直接影响，个人仅作为群体的一部分而受到间接影响。以个性化推荐为例，其凭借并非零星数字足迹的信息内涵，而是海量数字足迹间的关联性所映射出的个人特征。二是数字足迹的收集以其承载的信息内涵为导向，并以特定个人为目标施加直接影响。应用个人的交易记录等数字足迹实施有针对性的侵害行为即属此列。

数字足迹本质上是动态的信息数据。基于这一视角，数字足迹具有两个方面的特征：一是其内涵为信息，具有信息的本质特征；二是其依赖于网络通信技术和数字信息技术而存在。根据数字足迹的不同侧面可提炼出两种不同的规范化特征，得出数据论和信息论两种不同的类型化路径，此即涉及刑法中数字足迹法益概念构建的两种进路。作为具体的部门法，刑法对数字足迹的保护应当有意识地摆脱部门法的狭隘，往返观照数据法律保护的整体框架，以明确数字足迹之法律属性为基础，探寻数字足迹的刑法保护路径。

二

既往十余年间，我国刑法学界围绕侵犯公民个人信息罪展开了探讨，但就数据刑法保护的基本模式和目标仍缺乏基本共识，数据刑法保护的整体性建构更是有待深入。《数据安全法》在宏观层面为数据法律治理提供了指引，但具体的数据权益保护措施仍付之阙如。立足于传统数据保护一元论的立场，以信息论和数据论的分野为线索，结合数字经济时代背景展开对数据保护理念的检思，对破除传统的数据法律保护困境大有裨益。

(一)隐私权模式数据保护的弊端

一般认为，隐私权由两个核心部分构成，一为私密领域，一为信息自主。据此，国民享有私人生活领域不受干扰的自由，同时有权决定是否并如何公开其个人信息。具言之，隐私权的发展经历了由“隐”到“私”的过程。“从重视保护个人自由的自然法观念出发，个人私生活的安宁与个体性自由相连的隐私权是得到了近代宪法的尊重和保护的”,“‘隐’不受侵扰，‘隐’不被公开，是近代社会隐私权保护主张的主要特点”。随着现代信息技术的发展，个人的存在痕迹不断被数据化，监控社会的到来使人们原有的私人空间不再私人化。现代隐私的核心内容由消极的“隐”转向了积极的“私”,“私”为核心，“隐”为其表现手段，隐私既包括消极意义上的个人独处，还包括积极意义上的自我控制。由此，个人数据得以成为隐私权的客体，自主决定性几近取代单纯的维护私密性，私密性也演变为个体自主决定的对象。司法实践中，司法机关亦主张，隐私权系个人对其私人领域和与公共利益无关信息的支配，未经用户同意而收集相关网页浏览数据的，或将构成对用户隐私权的侵犯。

相较于其他具体人格权，隐私权与一般人格权和人格尊严具有更为密切的关联性。由此，隐私权也成为数据保护寻求确权基础的倾向性选择，并且数据保护的需求也往往来源于个人私密空间遭受侵犯。但不可忽略的是，数据与隐私存在不同的价值面向。数据保护关涉的是如何在规范数据处理活动的同时，促进数据的开发利用，强调数据的流动性。隐私权对隐私的保护更倾向于对个人之人格利益的保护，强调个人对隐私的独占性。强行将数据保护纳入隐私权的范畴，抑或为了数据保护而调整隐私权，均会使隐私权所追求的绝对自主领域之理念的崩塌，同时使数据保护与现实相背离。

(二)自决权模式数据控制的失灵

信息自决权是信息主体依照法律控制个人信息并决定是否被收集利用的权利，究其本质是自我决定权在个人信息领域的体现。我国《个人信息保护法》以“告知—同意”为核心构建的个人信息处理规则，根本目的即在于保护国民对个人信息的自决权。以信息自决权为核心的个人信息保护模式，从整体理念上将个人信息与人格利益、隐私联系在一起，仍将个人信息作为私益而融于传统的人格保护体系。然而，作为大数据时代的产物，数据的非独占性和可再生性使其有别于传统意义下具有私有性和稀缺性的个人信息。为将数据纳入个人信息的保护框架下，有学者主张数据和信息无区分之必要，个人信息的权利与个人数据的权利并无本质差异。据此，数据权利保护理应遵循个人信息保护模式，即采用以信息自决权为核心的个人控制机制对数据权利加以保护。

然而，在数据驱动生活的时代，数据不仅关涉个人之利益，同时承载着企业、社会和国家等多方主体的利益。数据权益结构的复杂性，意味着仍采用以信息自决为核心的个人权益保护框架难以实现对数据相关利益者的全面保护。坚持沿用以信息自决为核心的控制机制将导致以下问题。一方面，知情同意原则失灵。网络服务语境下的“知情”通常以发布服务协议和隐私声明形式实现，而“同意”即用户在阅读后点击同意选项作为对数据收集及利用的授权。然而，冗长艰涩的协议和声明往往使用户略过服务协议和隐私声明直接选择授权。另一方面，个人控制难以实现。大数据技术的应用突破了用户和数据处理主体的双向联系模式。海量数据的流转和再利用，意味着用户在面对服务提供商的同时，还须面对数据中间商和后续的数据利用者。即使面对第一方收集机构，用户知情权能否实现尚未可知，更遑论向无直接关联的第三方行使控制权。

(三)个人数据的独立确权之不足

大数据时代的数据具有重要的经济和战略价值。基于对数据社会属性的充分认知和对个人控制理念的深刻反思，寻求更为缓和的变通性或替代性方案之主张逐渐受到重视。有学者主张应当引入场景化保护的思维，强调对信息权利的侵害并非源于对信息自决权的侵害，而是对信息合理使用的背离，以此缓和信息安全和数据利用之间的紧张关系。此举意在维持个人信息概念的前提下，以知情同意原则的限制适用化解数据流转对信息自决理念的冲击。但是，个人数据相较于个人信息有其不同的特征：信息在于完整性、可用性、保密性、可控性，而数据在于碎片化、开放性、不可控性。大数据技术弱化了私人领域和公共空间的界限，隐私与信息难以将大数据时代具有弱识别性的数据纳入保护的范围。因此，基于技术驱动下时代变迁的权利需求，从隐私权到个人信息权再到个人数据权的观念转变是有必要的。

个人数据的独立确权以区分个人信息和个人数据为前提，不再拘泥于信息个人控制体系的修缮，而是承认数据权的独立价值。但以现有立法观之，确立个人数据权缺乏立法根据。实质上，数据保护的“焦虑”并不在于隐私或个人信息保护的缺位，关键在于数据处理行业间公平竞争秩序的建构以及防止利益驱使下企业对个人利益的损害。隐私的强关联性和个人信息的强识别性决定了其对人身利益的倾向保护。数据的强流通性奠定了数据保护的基调，其与传统信息保护的控制观念互相疏离。《数据安全法》第7条规定：“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。”可见，数据保护的根本即在协调个人利益保护的前提下实现数据的财产价值。由此，与其探讨如何建构能够同时实现多种权利保护的新型个人信息权，毋宁还原数据保护的本质，以财产权为基础构建个人数据保护体系。南至、冬节、亚岁等，兼具自然与人文两大内涵，既是二十四节气中一个重要的节气，也是中国民间的传统祭祖节日。

三

数字经济模式下，数字足迹成为重要的社会资源。数据属性的多元化已然重塑了传统保护模式的适用环境，固守以人格利益为核心的一元法益保护机制难以应对当下数据保护的现实需求。一方面，《民法典》第127条将数据和虚拟财产作为并列的要素加以规定，为数据财产权化预留了空间。而承认数据的财产属性为数据流动提供了正当性基础。另一方面，《数据安全法》所规定的数据安全概念既包括公共数据不被外部因素干扰的静态安全，也包括公共数据不被非法流转利用的动态安全。因此，对数字足迹的刑法保护应当同时兼顾私人法域和公共法域，采取兼顾私人法益和公共法益双重面向的保护模式。

(一)数字足迹的私人法益面向

数字足迹的私人法益面向表现之一是数据内容的信息自决权。《数据安全法》将数据定义为“电子或者其他方式对信息的记录”,体现出作为数据内容之信息和作为信息记录之载体的双层结构。就数据内容而言，其本质即公民的信息，关涉公民的人格利益。在数据内容人格权内涵的论讨中，主要涉及其应当作为独立的信息权加以保护，还是应当归入隐私权的范畴。美国采取的是以隐私权保护为基础的个人信息保护体制，甚至于将对个人信息的控制解释为隐私权的权能。这种观点在当下看来是不合时宜的。传统隐私控制的绝对性和侵权手段的局限性，为隐私权的被动救济模式提供了现实基础。大数据时代，数据信息的开放性和强流通性要求更为主动的事前预防措施。顺应当下促进数据开发利用的时代要求，确立以信息自决权为核心的数据信息保护机制，系实现对个人信息全面性保护的应然方向。

数字足迹的私人法益面向表现之二是数据信息的财产权。除《民法典》第127条有所提及外，我国尚未在法律层面体现对数据财产权的专门性保护。司法实践中，在诸如大众点评诉百度不正当竞争案、新浪微博诉脉脉不正当竞争案、淘宝诉美景不正当竞争案等案件中，司法机关均倾向企业对所涉用户点评数据、分析整合的数据产品等商业数据具有财产权益。明确数据的财产属性，有利于促进处理者对数据的开发利用，最大限度地实现数据的经济价值。而对数据赋予财产权的主要争议在于：其一，数据上存在涉及用户人格利益的先权益，数据财产权的初始权利归属难以界定；其二，数据具有可再生性和非竞争性，难以厘定权利的边界。究其根本，数据财产权的确立困境在于如何协调利益主体之间的冲突。面对用户、数据企业和第三方数据利用者对数据利益的期待，有学者主张架构数据原发者拥有数据所有权和数据处理者拥有数据用益权的二元权利结构。其沿用物权的逻辑范式，对各方主体赋予不同程度的数据财产权。但因数据权益冲突的复杂性，通过系统性赋权的方式或难以妥善容纳各主体的需求，故而亦有观点主张放弃“数据财产权”的概念，采取“开放的权利束”视角，将其作为抽象的利益而置于侵权和反不正当竞争等各部门法领域，通过一事一议的开放式方案解决各数据主体间的利益冲突。系统性赋权之进路旨在平衡多元主体间的利益冲突，但未能摆脱“客体”的窠臼，仍以数据的“物性”为逻辑前提，以“人与物的支配”关系建构权利体系，其弊端在于因数据用益权被定位于数据所有权的子权力，其从属性、目的特定性与数据的强流通性相悖，也不利于数据的开发和再利用。

诚然，机械的系统性赋权或难以应对数据上复杂多元的利益冲突，但因出于对灵活性的追求而全盘抛弃系统性的权利架构与当下我国高度体系化的民法理论体系不相符合。本文认为，可参照肖像权限制肖像作品所有权、著作权限制作品原件所有权的逻辑范式，将完整的数据财产权赋予某一方主体，同时置配相应的特殊规则加以限定；结合场景化的思维模式，在存在特殊利益冲突的场合可适用特殊规则，而在一般场合下数据财产权人可完整地行使其权利而不受第三方干扰。如此一来，在维持系统性权利架构的同时，亦不失灵活度。相较于用户和第三方利用者，作为服务提供者的数据企业对数据之利益期待几乎遍布数据的全生命周期，故而出于简化逻辑的考量，可将数据财产权赋予数据企业。作为用户人格利益之体现的个人信息权作为数据流转过程中不可逾越的红线，具有优先于企业之数据财产利益实现的效力。当二者存在冲突时，法律应当优先保护前者。是故，凡数据上承载有个人信息的，信息主体的个人信息权是数据财产权的外在限制；仅当数据财产权人以满足个人信息流转规则的方式处理数据时，方不受此限制。

(二)数字足迹的公共法益面向

在大数据时代，随着网络与数据技术的迭代发展，数据规模呈现爆炸式增长，数据安全保护的需求愈发凸显，安全和秩序的价值已然成为数据法律治理不可不考量的重要因素。如上所述，《数据安全法》第3条对数据安全概念作出了明确的界定，将是否处于有效保护和合法利用的状态，以及具备保障持续安全状态作为数据安全的评估标准，其既包含了对公共数据不受外部因素干扰的静态安全，也包含了公共数据不受非法利用和流转的动态安全。前者要求防范泄露公共数据及窃取、篡改和毁损公共数据等不法行为；后者要求预防在公共数据流转过程中引发的安全风险，限制非法利用和流转公共数据的不法行为，以维护公共数据的处理安全。《网络数据安全管理条例(征求意见稿)》亦在前置法的意义上确认了公共数据安全管理秩序，要求公共事务管理者和公共服务提供者应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度和技术保护机制，落实数据安全保护责任，将数据安全管理贯穿数据的全生命周期。

“公共数据安全与其说体现在技术层面，不如说体现在现实世界受保护法益的联系上，可以透过保密性、完整性、可用性和正当性等纬度阐述数据安全法益的实质内涵。”值得注意的是，法益与权利并非完全等同的概念，法益泛指所有法所保护的利益而并不必然以权利的形式被确认。法益侧重于对社会管理秩序抑或公共利益的保护，而权利则更强调权利主体对其权利对象享有的排除他人一切手段干预的能力。诚然，以目前的立法观之，个人信息保护和数据安全保护往往交织在一起，学者们也往往不区分二者抑或是在个人信息保护的层面上思考数据安全问题，以至于将数据安全视为个人信息保护的附属问题，否认数据安全这一集体法益具有独立属性。但须指出，数据安全和个人数据保护具有完全不同的法理基础，个人信息保护是以“知情—同意”为基础的个人控制保护，而数据安全是以“风险—安全”为导向的社会控制模式，其重心在于建构风险评估和风险应对等数据安全制度；在既往的立法中，个人信息保护和数据安全保护杂糅地规定在一起，系没有独立的数据安全相关法律所致，随着数据保护法律体系的完善，数据安全保护理应具有其独立属性和存在价值。

四

基于当前刑法的规定，对数字足迹的保护散见于不同的罪名之中，如侵犯公民个人信息罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪、侵犯商业秘密罪和侵犯财产罪等罪名。数字足迹分散保护的刑法框架之形成，很大程度上系数字足迹法益类型的复合性所致。如前所述，数字足迹的刑法治理应当有意识地摆脱一元论的窠臼，兼顾私益保护和公益保护。前者主要涉及个人的人格性利益和企业的竞争性财产利益，其本质上仍是对数字足迹所承载的个人信息之价值的保护；后者的保护对象则是数字足迹作为公共数据的一部分所体现出的公共属性，系对公共管理秩序的保护。

(一)以“信息”为导向的刑事治理模式

信息保护范式将“信息”视为犯罪的核心对象。根据信息内容的不同，可将其分为国家安全信息、商业秘密信息、公民个人信息等三类。以数字足迹为对象的犯罪行为主要涉及对公民个人信息和商业秘密信息的侵犯。若仅仅以公民的人格利益和可识别性为特征作狭义的理解，侵犯公民个人信息罪是数字足迹私益保护的主要路径。

1.侵犯公民个人信息罪的保护法益

数字足迹是承载着个人网络活动记录和资料的数据。较之个人可识别数据(个人可识别信息的数字化形式),数字足迹更是大数据时代的典型产物，也是大数据技术的核心“燃料”。在商业领域，数字足迹已然成为互联网企业的核心竞争资料；自动驾驶的普及、万物互联的实现同样依赖于海量数字足迹的统计和分析。数字足迹的社会属性极大冲击了传统的个人信息保护观念，刑事领域则展现为侵犯公民个人信息罪的法益属性之争。法益属性的确认于犯罪构成要件的解释和罪名的适用发挥着至关重要的作用。

围绕侵犯公民个人信息罪法益属性的论讨，多囿于个人法益和超个人法益之争，且往往将其视为集合人格属性、财产属性和社会属性的综合性权利。这些法益属性的纷争本质在于未能就个人信息的权利属性形成基本的共识。“侵犯公民个人信息罪并不以单一侵害的严重性为特征，而是以巨大数量的侵害对象为表现”,“群体性是侵犯公民个人信息罪的核心特征”,“被害人是因为群体被侵害而非个人被侵害而具有刑法保护的必要性”。“在多数情况下构成本罪需要根据侵犯个人信息的条数来决定，这也就意味着多数情况下要符合‘情节严重’构成本罪，必须侵犯多人个人信息，也即是侵犯多人的个人信息自决权。”超个人法益论者常试图以侵犯公民个人信息行为所涉及对象数量之多而否定作为个体之个人信息的保护必要性，主张本罪所保护之法益应当为集体法益。诚然，大数据时代下信息的批量化处理致使被害人常以群体的形式出现。但个人权利边界不断模糊的同时，否定个人权利的保护必要性，而以社会管理秩序、社会信息信赖等公共利益之名取而代之，实质上加剧了个人信息权利的流失。尽管信息数据化降低了个人对信息的控制，但这并非否定其可保护性而将其视为公共利益加以规制的正当性理由。再者，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释[2017]10号)(以下简称《解释》)第5条对“情节严重”认定中所提及的不同类型信息数量之标准并不以侵害多数人的信息为前提，而将侵犯信息之数量与侵犯人数相联系，实质上是将“多数‘公民个人信息’”解释为“多数公民的个人信息”。就像没有人会主张盗窃罪的法益是集体法益，但作为盗窃之对象的财物(如现金),亦是由多种不同面值的纸币组合，“公民个人信息”作为侵犯公民个人信息罪的行为对象，也是由多种不同类型的信息组成，并不能当然认定该罪保护的法益系集体法益。

“离开了侵犯公民个人信息罪是法定犯还是自然犯的性质，是无法准确理解该罪的各种法益学说之争的。”个人法益论者通常在自然犯的意义上理解本罪，而超个人法益论者背后的理念为该罪的本质是法定犯。以侵犯公民个人信息罪的立法观之，本罪被置于《刑法》第四章“侵犯公民人身与民主权利罪”之下，与故意杀人罪、故意伤害罪、侮辱罪等典型的自然犯罪并属同一章节，某种程度上肯定了其自然犯性质。诚然，“违反国家有关规定”这一前提要件体现了本罪之设立具有保护前置信息管理秩序的目的，但并不意味着该罪保护之法益即为社会管理秩序等超个人法益。《刑法》第244条之一规定的雇佣童工从事危重劳动罪同样以违反劳动管理法规为前提要件，但不可否认该罪保护的法益系未成年人的身心健康。从体系解释的角度出发，尽管侵犯公民个人信息罪在罪状的表述中加入了“违反国家规定”这一要素，但其本质上系对伦理道德秩序的违反，仍属于自然犯的范畴，其所保护的法益即个人法益。再者，即使联系“国家有关规定”,以作为前置信息保护规范核心的《个人信息保护法》观之，“尽管个人信息保护同时发生在公的领域和私的领域，但二者在价值取向和直接目标上是一致的。两个领域的基本价值取向与直接目标基本一致，均为对个人权利保护的追求，而不是对行政效率的追求”。

从侵犯公民个人信息罪的构成要件看，该罪规制的是“违反国家有关规定”“出售”“提供”“窃取或者以其他方法非法获取公民个人信息”的行为。此类行为所侵害的对象系信息主体在信息收集阶段自主决定是否使他人知悉以及在多大程度知悉和利用其信息的权利。换言之，该罪的立法目的旨在通过划定信息主体与其他信息处理者的权利边界，确立信息主体对个人信息的支配，本质上是保护公民对个人信息处理的自我决定权，即信息自决权。如前文所述，大数据时代下信息的数据化所催生的个人信息之权利样态主要呈现为数据财产权，而数据内涵仍系与个人人格利益相关联的个人信息。数据财产权与信息自决权二分的视角下，个人信息的属性并未发生改变。所谓大数据时代下个人信息社会性增强的问题，即使维持既有的个人法益保护之框架亦能得到妥善处理。当行为人之行为所侵害的对象并非被害人对信息的自我决定权，而仅涉及流转所产生的财产性利益时，不应以侵犯公民个人信息罪加以规制。

2.侵犯公民个人信息罪中“公民个人信息”的阐释

“公民个人信息”作为侵犯公民个人信息罪判定的逻辑起点，其概念的界定直接决定了本罪的适用范围。《网络安全法》采用了纯粹的识别性标准确定公民个人信息，此后的《民法典》延续了这一思路，仍以识别性作为公民个人信息的唯一判定标准。《刑法》第253条之一并未明确公民个人信息的概念，其内涵由《解释》予以规定。《解释》颁布于《网络安全法》生效前夕，但却并未完全遵照后者采取纯粹的识别性标准，而是基于自身独立的规范目的和惩处犯罪的需求，在承认识别性标准的同时，又附加了“活动情况”信息。有学者指出，我国刑法缺乏整体性的数据刑法保护体系，数据的刑法保护规范散落在破坏计算机信息系统罪、非法获取计算机信息系统数据罪、非法控制计算机信息系统罪等不同罪名中，数据保护体系的缺失致使刑法不得不将不具有可识别性的数据也作为公民个人信息的一部分加以规制，借由侵犯公民个人信息罪实现对一般性数据的保护。

笔者认为，《解释》与前置法对个人信息范围的不同界定看似产生了规范的错位，但却符合刑事领域的信息治理要求。将其视为对一般性数据的补充保护仅仅是对表象的理解，一般性数据之所以被规范所关注，往往因其承载着个人隐私信息。《解释》所列举的行踪轨迹、账号密码和财产状况信息都不足以具备识别特定个人的能力，但此类信息都必然属于隐私的范畴。《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”;《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》也指出，“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻情况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。这些规定都指向“公民个人信息”应包含个人身份识别信息和隐私信息。《民法典》将隐私(第110条、第1032条)和个人信息(第111条、第1034条)区分规定，常被用作证立我国实施隐私和个人信息二元分治的有力论据。但这与刑事领域采取广义的公民个人信息概念(包含个人识别信息和隐私信息)并不矛盾。上述《民法典》关于隐私和个人信息的规定均可视为《刑法》第253条之一中“国家有关规定”的组成部分。再者，《民法典》同时规定了隐私权和个人信息权，将隐私和个人信息相区分并不会导致隐私保护的缺失。《刑法》缺少对专门性隐私保护之罪名的规定，将隐私信息排除于“公民个人信息”之外将导致隐私信息刑法保护的缺位。而且，我国司法实践也并未将侵犯公民个人信息罪的对象局限于个人身份识别信息，同样承认对隐私信息的保护。在武某某等侵犯公民个人信息案中，被告人通过在目标人物车辆安装定位器、跟踪偷拍等手段获取他人行踪轨迹信息，被认定成立侵犯公民个人信息罪。单项行踪轨迹信息虽不具备标识特定自然人的能力，但被定位者对其驾驶车辆行驶的具体位置、移动方向以及一段时间内行踪轨迹组成的动态轨迹，在客观上具有合理的隐私期待。被告人通过在被定位人所驾驶车辆装设定位装置，追踪被定位人的所在位置、行进方向以及特定时间段的行踪轨迹，已然侵犯了被定位人对其行为举止不被追踪窥视的需求和对隐私的合理期待。在张某等获取公民个人信息案中，被告人因接受委托通过网络渠道购买目标人物的手机定位信息被认定为非法获取公民个人信息罪。单纯的手机识别信息亦无法识别特定的自然人，但仍被视作公民个人信息加以规制。“手机定位是通过特定的定位技术来获取移动手机或终端用户的位置信息，在电子地图上标出被定为对象的位置。当公民从事某些活动不希望被他人获悉时，因其所处具体方位与所从事的活动之间具有直接联系，一旦被他人获悉，其所从事的活动也就相当程度暴露，损害其利益，其所处具体位置具有明显的隐私性和权益性，属于刑法所保护的公民个人信息。”cookies信息、IP地址、GPS定位信息，皆可经由定位追踪，确定公民所在位置；网络消费记录、相关网站和App注册时填写的信息记录、微信聊天记录等数字足迹的收集几乎每时每刻都在进行，大数据意味着我们所做的一切都会被记录下来。或许我们无法察觉自己正处于精心定制的“信息茧房”,除了在百度搜索引擎检索“减肥”“丰胸”后弹出相关广告抑或手机注册抖音App后推荐可能认识的微信好友之外。基于对隐私保护的需求，应当将《刑法》第235条之一的“公民个人信息”解释为包含具有识别性的个人身份信息和具有关联性的个人隐私信息。

《个人信息保护法》对个人信息的界定也采取了“识别性+关联性”的标准，较之纯粹的识别性说，范围更加宽泛。在界定个人信息的范围时，《个人信息保护法》之所以采取“识别性+关联性”的标准，是为了将一些不具有识别性的信息碎片(如用户的IP地址、MAC地址、浏览记录、行踪信息等)包括其中。可见，无论是《个人信息保护法》中的“已识别的自然人有关的各种信息”,抑或《解释》中提及的“反映特定自然人活动情况的各种信息”,实质上都体现了对隐私信息的保护倾向。虽然对隐私信息的认定不以识别性为标准，但其以存在已识别的自然人为前提。值得注意的是，现行的个人信息保护规范对个人信息的界定往往采取的是“概括+列举”的模式，例如将“个人身份识别信息”界定为“能够单独或者与其他信息结合识别特定自然人身份的各种信息”,使个人信息的定义具有弹性和开放性的同时，实质上等于没有给概念下定义，其并未清楚解释何为个人身份识别信息以及如何将其与其他信息相区分。这也导致采取“概括+列举”定义方式的个人信息概念在实践运用时极其依赖于所列举的信息种类，尤其体现在“信息→个人”情境下的个人身份识别信息的判定。在“马某、张某侵犯公民个人信息案”中，被告人收集大量包括手机号码、访问时间、用户网页浏览记录在内的公民个人信息牟利，法院以手机号码已被列入相关规范且手机号码本身与特定人相关联、泄露会产生危险为由认定手机号码属于公民个人信息。在陈某丰等侵犯公民个人信息案中，面对辩护人主张的被告人所收集的“手机号码+时间”信息尚不足以识别特定自然人，审判法院以《网络安全法》列举的个人信息种类包括但不限于手机号码为由仍认定其属于公民个人信息。此类案件不一而足。通过裁判理由不难看出，司法实践在认定某一信息是否属于公民个人信息时，常以相关规定中所列举的信息种类直接进行匹配，而忽略了作为实质标准的可识别性。信息数字化、碎片化进一步冲击了作为个人身份识别信息判定核心的识别性标准。“可识别性之所以能够作为传统核心界分要件，确实具有不可替代的逻辑优势，通过特定信息能够准确与特定个体产生紧密联系甚至达到同一认定，毫无疑问是个人信息认定的重要途径。”网络时代初期，通过客观的外在表现形式甄别信息能否识别特定个人是非常容易的，以识别性作为个人信息判定标准的优势显而易见。信息科技的发展使单纯以识别性界分公民个人信息面临巨大挑战。经过大数据的处理，原本与特定自然人无联系的信息已然能够直接指向特定个人。同一类信息为不同主体所掌握，当信息处理者具备收集其他可结合信息的能力时，此类信息即具备识别特定自然人的能力，信息是否为个人可识别信息取决于行为人的信息收集能力。欲通过先验式的信息分类和列举达到对个人信息边界的厘定是难以实现的，信息的规范价值伴随着其用途的改变而改变，某一类信息是否具有识别特定个人的能力唯有置于具体的信息使用场景方能得以确认。此外，个人信息保护的目的不是也不应是信息本身，而是可能受到个人信息处理行为影响的自然人。将个人信息界定与识别相关联，无论通过信息识别个人抑或基于识别关联至信息，背后更为深层的涵义在于，将个人信息处理行为对特定个人的影响降低至合理程度。合理程度的边界即由个人信息的传播规则所决定，符合个人信息传播规则即视为被容许的个人信息处理行为。

由此，对作为侵犯公民个人信息罪对象之公民个人信息的判定应当根据不同的场景适用不同的判定规则。在“个人→信息”的结构下，因侵害对象为已识别的特定自然人，对“公民个人信息”的认定不应以识别性为标准，而应采取以关联性为核心的隐私信息保护模式。凡对特定自然人某一类信息之处理将侵扰到其私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息的合理隐私期待，则该类信息即为“公民个人信息”。在“信息→个人”的结构下，因作为侵害对象之个人尚未可知，对信息的处理应当遵循防止公民因该行为被识别而承担超过合理限度的不利风险。对个人身份识别信息的判定可以参考Helen Nissenbaum提出的情景完整性理论(Contextual Integrity Theory),将目光从完善个人身份识别信息概念的定义或特征转向对信息使用过程和适当性标准的关注。信息本身不具有风险，信息的使用方产生风险。信息并不因其本身具有识别性而被法规范所关注，而是在特定场景下具有识别性的信息并未遵照一定的传播规则(如知情同意规则等)时，该信息才会以个人信息之名对个人造成侵害。简言之，个人身份识别信息的认定应当结合个案的具体场景(如行为人的能力、信息的性质和用途等)判定其是否具有识别特定个人的能力，进而判断该信息流转是否违反信息传播规则，同时满足以上条件即可认定为“公民个人信息”。需要澄清的是，肯定对“公民个人信息”的认定并不意味着侵犯公民个人信息罪即告成立，违反前置法的流转规则仅意味着具备了前置法意义上的违法性，至于是否具备刑事违法性，仍须根据刑法的具体规定、解释规则等标准和要求判定是否符合本罪的构成要件。只有同时满足前置法违法性和刑事制裁必要性的行为方才纳入刑法的规制范围。

3.数据财产权的保护模式

对数字足迹的私益保护不仅止于隐私和人格利益。个人属性和社会属性的并存决定了除信息自决权外，数字足迹还具有另一权利面向即数据财产权。在功能主义的视角下，权利的作用在于协调权利人和其他利害关系人之间的冲突关系；换言之，无主体间之利益冲突，则无权利设立之必要。对数字足迹之数据财产权保护的讨论，理应始于数字足迹上所承载的事实层面之利益冲突。

因信息自决权和数据财产权的权利基础和价值都源于公民的隐私和个人信息，故而在数字足迹的流通过程中，始终存在个人对正当人格权益保护的期待与企业对信息开发利用的需求之间的冲突。基于企业数据权利派生于个人数据权利的立场，企业对数据的处理行为应受到知情同意原则的制约。“通过用户点击同意授权，取得信息/数据的永久使用权，而用户仍然留有他们的所有权。”这一做法看似合理，但知情同意原则奠基于前数据时代，在大数据时代则陷入重重困境。大数据时代的信息收集、比对和处理分析能力不可同日而语，云计算和大数据技术的发展大大增加了用户有效同意的难度和成本。严苛的同意要求致使用户的权利几近架空，亦加重了企业的负担，阻碍数据的流通和开发应用。据此，知情同意原则否定论遂成为一种思潮。知情同意原则面临挑战的根源在于使用户为每次信息的使用而授权不符合大数据时代下数字信息快速流动、多方共享的需求，较之海量数据所产生的价值，少量数据的确权成本过于高昂。欲通过知情同意原则的适用一劳永逸地实现对信息全生命周期的保护，反而会为后续数据财产价值的利用增设不必要的障碍。在数据流转的场合，不能一味遵循知情同意原则，而应当以信息权益是否遭受实质侵害为判定标准；当数据的流转并未实质违背用户的合理预期时，即无须征得用户同意而为数据转让行为。

《刑法》第253条之一第3款规定：“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚”。根据解释的一般原理，对于刑法分则条文的解释应当建立在固定的罪质之上，贯彻类型性思维和同类解释规则。在财产犯罪中，“窃取”是指通过平和的手段打破他人的物之支配，并将其据为己有的行为。依据同类解释规则，“非法获取”的对象也应系处于他人支配下的公民个人信息。随着信息技术的高速发展，信息收集的对象逐渐由个人向互联网服务、快递服务等行业，来源多为信息主体已公开或者授权特定机构处理的数字化信息。上海法院法官办案智能辅助系统的记录显示，2015年至2021年上海市各区法院以侵犯公民个人信息罪(包括非法获取公民个人信息、非法提供公民个人信息)作出的一审判决书共计631篇(截至2021年2月21日)。被告人利用职务或工作便利，收集、出售、交换个人信息牟利的案件达到17%,涉及职业包括保险公司员工、银行职员、快递员等，手段多为利用职务权限接入数字系统并获取个人的数字信息。通过数据集成技术批量化获取公共网络上的公民已公开数据、设立网站获取登录并授权的用户信息等案件亦不断涌现。依托于信息处理技术的不断发展，从海量的数字足迹中收集、归类、配对用户的个人信息已然得以实现。对于缺乏用户进一步授权而针对已公开信息的收集、出售、交换等行为，司法实践大多倾向于肯定侵犯公民个人信息罪的成立。已公开信息意味着行为人已然通过行使其对信息的决定权而放弃对信息的控制和支配。对该部分信息仍然采取严格的控制模式、主张“公开性不影响个人信息的属性，凡未经被收集者同意一概禁止企业收集此类信息”的做法有违“促进数据开发利用”的理念，系对权利人的过度保护。实质上，处理个人已公开信息的刑事可罚性应当以侵犯公民的信息自决权为标准。个人公开其信息的目的、信息的用途属于法益的一部分，如果已公开信息被不合理地处理，而又未取得个人同意，即属于对公民个人信息的侵犯。换言之，当处理已公开信息的行为违背了公民对信息处理的合理预期，就不存在对超出预期部分之信息处理的有效同意，行为仍具有法益侵害性，构成对信息自决权的侵害。故而，未经用户同意而获取已公开信息的行为不必然成立“非法获取”,应当以实质的使用场景变更与否为标准，凡导致信息使用场景变更者，即超出用户对信息使用的合理预期，构成对用户信息自决权的损害，方能认定为对用户信息的“非法获取”。此外，根据《解释》第3条的规定，“未经被收集者同意，将合法收集的公民个人信息向他人提供的”属于“提供个人信息”的行为。“出售”或“提供”公民个人信息的行为并不必然侵犯公民的信息权益，仅基于“未经收集者同意”这一要件即认定成立“提供”无疑会过分扩大处罚范围。基于信息自决权和数据财产权二分的视角，数据企业作为数据财产权的权利主体，其维持数据使用“场景”一致性前提下的数据流转行为并不涉及用户的信息自决权，而仅仅关涉数据的财产价值。根据《个人信息保护法》第22条的规定，“个人信息处理者因合并、分立、解散、被宣告破产等原因需要转移个人信息的，应当向个人告知”,“接收方应继续履行个人信息处理者的义务”;“接收方变更处理目的、处理方式的”,应当“重新取得个人同意”。这一规定同样肯定了在不违反用户合理预期的情况下，作为知情同意原则的例外，接收方只须履行告知义务即可。

值得注意的是，企业数据财产权虽然是对企业所享有的竞争性财产利益的保护，但单纯通过盗窃、利诱、欺诈、胁迫等不正当手段非法获取此类数据的行为并不能够直接成立侵犯财产罪。原因在于，盗窃数据的行为并未导致企业对该部分数据所享有的权利灭失，亦即并未消灭他人既有之支配而建立新的支配关系。根据现行的刑法规范，针对数据财产权的不法侵害，只能通过侵犯商业秘密罪加以间接保护，且仅当行为人非法获取商业秘密的行为致使企业遭受重大损失时，方才成立本罪。有学者认为，囿于商业秘密的非公开性的特征，欲通过侵犯商业秘密罪保护企业的数据财产权，即要求该部分数字足迹处于不为公众所知悉的保密状态，长此以往必然会挚肘数据的开放共享，导致“数据孤岛”的形成。实质上，不将未经授权而获取企业已公开个人数字足迹的行为入罪化恰恰是刑法谦抑性的体现，若该部分数据已然经由企业加工形成数字产品，则可能成立侵犯知识产权罪。

(二)以“数据”为导向的刑事治理模式

在以“数据”为核心的保护范式下，“信息”不再是犯罪的基础性对象，而是被作为“数据”结构的组成部分。相较于信息保护而言，我国刑法对数据安全的保护呈现出规范供给匮乏的局面。在相当长的时期内，数据安全犯罪基本受制于计算机系统类犯罪，即《刑法》第285条规定的非法侵入计算机信息系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，提供侵入、非法控制计算机信息系统程序、工具罪和《刑法》第286条规定的破坏计算机信息系统罪。尽管上述罪名之间存在一定的内部逻辑，但在对数据安全保护的层面仍然存在明显的体系性缺陷。

1.《刑法》第285条第1款规定的非法侵入计算机信息系统罪和第2款规定的非法获取计算机信息系统数据罪存在结构上的不合理之处。

这两项罪名以是否属于国家事务、国防建设、尖端科学技术领域的计算机系统为界分标准分设于不同的领域，这一设定将导致针对非属上述特定领域内的计算机系统侵入行为难以认定。同时，若侵入非特定领域范围内的计算机信息系统不成立犯罪，则难以说明为该类行为提供计算机信息系统程序、工具的行为因何具有可罚性。在刑罚的设定上，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统并获取数据的行为，依照该条第1款的规定处3年以下有期徒刑或拘役。而以非特定领域内的计算机信息系统为行为对象并获取数据，情节特别严重的，可能判处3年以上7年以下的有期徒刑并处罚金。这一罪刑不均衡的现象亦来源于两罪立法关系的混乱。欲理清两个罪名内部规定的结构性缺陷，可以通过立法取消对特定领域的限定，规定针对任何领域的计算机信息系统实施侵入和非法获取数据的行为都可认定为非法侵入计算机信息系统罪和非法获取计算机信息系统数据罪，而针对“特定领域”的侵入和数据获取则可作为特定情节加以考量。

2.随着网络通信技术和信息技术的迭代更新，数据对计算机系统的依附性逐渐减弱，获取公共数据的行为并不必然依赖于对计算机系统的侵入，破坏公共数据的行为逐渐脱离计算机系统而直接指向数据本身。

诚然，目前绝大多数侵犯数据安全的犯罪行为，诸如通过网络爬虫技术抑或恶意插件突破系统防线非法获取数据等，非法侵入计算机信息系统仍然是获取计算机信息系统数据的基本手段。但在“撞库打码”“流量劫持”等行为方式下，行为人通过收集互联网已泄露的用户信息和密码信息，尝试批量登录其他网站，并由此“登入”计算机信息系统中获取数据的行为，是否符合非法获取计算机信息系统数据罪的行为要件则有待商榷。此外，根据《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》(法释[2011]19号)第1条第1款的规定，非法获取计算机信息系统数据的情形包括：获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上的；获取上述以外的身份认证信息500组以上的。该解释第11条第2款明确规定，本解释所称“身份认证信息”,是指用于确认用户在计算机信息系统上操作权限的数据，包括账号、口令、密码、数字证书等。这表明我国《刑法》第285条第2款实际上确实是针对属于个人身份验证信息的数据，而针对这种数据实施的“非法访问”或“非法知悉”,并不契合以“非法侵入”或“非法获取”作为主要特征的数据犯罪之基本行为类型。该构成要件应当是针对公民重要数据即身份验证信息的保护，因此其实应当是针对作为内容的数据的保护，应归入《刑法》253条之一规定的侵犯公民个人信息罪的规制范畴。

3.对公共数据的完整可用性缺乏独立保护。

我国对公共数据完整性的保护体现在《刑法》第286条规定的破坏计算机信息系统罪中。遗憾的是，根据本罪的罪状描述，破坏数据完整可用性的行为和破坏计算机信息系统正常运行的行为被捆绑到一起，单纯针对公共数据的删除、修改和增加等操作并不能构成本罪。此外，破坏计算机信息系统罪的设立，“旨在加强对计算机信息系统的管理和保护，保障计算机信息系统功能的正常发挥，维护计算机信息系统的安全运行”。如果完全通过破坏计算机信息系统罪来实现对公共数据完整可用性的保护，不仅会导致破坏计算机信息系统罪偏离其规范目的，亦将导致出现处罚间隙，难以实现罪责刑相适应。为了明确和有效地实现对公共数据安全的保护，在立法论上将未经授权删除、修改和增加等破坏公共数据完整可用性的行为设置为独立的构成要件是更为妥当的做法。

4.传统的“计算机信息系统安全”难以满足“数据安全”的保护需求。

基于网络空间安全内涵，网络空间安全的框架可以分为设备层安全、系统层安全、数据层安全和应用层安全。信息系统安全主要指涉设备层安全和系统层安全，数据安全则指向数据层安全和应用层安全。基于技术特质和法益侵害实质的差异，域外网络立法多将计算机信息系统和数据作为不同的对象在立法体系上“分而治之”,我国《网络安全法》亦从网络运行状态的稳定性和网络数据的完整可用性两个部分界定网络安全。刑法作为保障法，理应对侵害“计算机信息系统安全”和“数据安全”的行为分别设立相应的罪名予以规制。我国数据犯罪立法独立性的“先天不足”源于其保护法益的定位不清，致使数据犯罪的解释适用始终无法跳脱“计算机信息系统安全”的挚肘。将数据犯罪的认定依附于计算机信息系统安全的损害与否，不当缩小了数据犯罪的处罚范围，难以适应数字经济发展对数据安全的保护需求。