尚权推荐SHANGQUAN RECOMMENDATION

关键词：私密信息；个人信息；分域而治；刑事法治技术；侵害公民隐私罪

当前，刑法界大多将私密信息视为公民个人信息的一种，忽视了私密信息与个人信息之间的本质差异，只专注于对公民个人信息刑法保护的追问，不对私密信息刑法保护进行必要的洞察。不可否认，公民个人信息与私密信息客观上存在交叉，不少信息既是公民个人信息又是私密信息，刑法在保护公民个人信息的同时也一定程度地保护了私密信息。然而，个人信息与私密信息体现的法益不同，刑法保护这两类信息的目标也大相径庭，借助保护公民个人信息附带保护私密信息会形成制度漏洞，也难以实现罚当其罪。更为重要的是，民法典已经明确区分隐私权与个人信息权，并对私密信息与公民个人信息适用不同的保护规则，这宣告私密信息与公民个人信息混同的时代已经结束。在这种背景下，私密信息与公民个人信息用一套规则进行保护已经不合时宜，必须根据两种不同信息承载的法益分别建构各自的保护规则。有鉴于此，本文尝试就私密信息的刑法保护作一些有益的探索，希冀能推进学界对私密信息刑法保护的研究。

一、现状考察：私密信息刑法保护之不足

私密信息是晚近以来才出现的概念，近几年才登堂入室成为民法典大家庭的新成员，在刑法中尚无正式身份，仅得到部分罪名的附带庇护。

（一）私密信息刑法保护现状梳理

现行刑法中没有直接保护隐私权的罪名，更没有直接保护私密信息的罪名。与私密信息联系最紧密的一个罪名是侵犯公民个人信息罪。诚然，部分私密信息具有双重属性，既关涉隐私权又关涉个人信息权。譬如基因信息，从可识别性角度着眼其属于公民个人信息，从私密性角度出发其属于私密信息。由于部分私密信息为公民个人信息所涵盖，部分侵犯私密信息的行为满足侵犯公民个人信息罪的构成要件，因而侵犯公民个人信息罪事实上发挥着附带保护私密信息的功能。2017年５月最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《两高解释》）更直观地说明了这一点。该解释第5条第1款规定：非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的，属于侵犯公民个人信息“情节严重”。根据私密信息的秘密性和私人性的判断标准，通信内容、财产信息、住宿信息、健康生理信息都可谓私密信息，但该解释都将这些私密信息视为公民个人信息，使侵犯公民个人信息罪同时发挥着附带保护部分私密信息的功能。

从司法实践来看，司法机关也经常借助侵犯公民个人信息罪惩处侵犯私密信息的行为。例如，曾经引起社会热议的“开房局长案”，甲、乙通过非法手段获取被害人的开房记录，在网上以“惊现开房局长”为标题进行发布，并配以图片，吸引无数网民浏览，使被害人因压力过大而卧轨自杀，最终甲、乙被法院以构成非法获取公民个人信息罪判处刑罚。开房记录是不愿别人知悉的隐私内容，按照私密信息的判断标准属于私密信息。由于开房记录可以识别到个人，也是公民个人信息，所以法院以侵犯公民个人信息罪处罚也有道理。但从整个案情来看，甲、乙的行为主要侵害的是被害人的隐私权，可能因为没有隐私保护方面的合适罪名，法院只好借助侵犯公民个人信息罪对行为人定罪处罚。

除侵犯公民个人信息罪以外，现行刑法中还有其他几个罪名附带发挥着保护私密信息的功能：一是传播淫秽物品罪；二是制作、复制、出版、贩卖、传播淫秽物品牟利罪；三是侮辱罪；四是侵犯通信自由罪；五是私自开拆、隐匿、毁弃邮件、电报罪；六是非法获取计算机信息系统数据罪。这些罪名的直接目标都不是保护私密信息，但客观上附带发挥着保护私密信息的功能。例如，以传播淫秽物品为目的非法获取载有私密信息的淫秽物品，可以按照传播淫秽物品罪论处，所以传播淫秽物品罪附带发挥着保护私密信息的功能。再如，随着信息化时代的到来，涉及私密信息的视频、照片、文件大多是以数据的形式保存在计算机中，非法获取计算机信息系统数据罪通过打击非法获取计算机系统数据的行为，客观上保护了私密信息。

上述梳理表明，现行刑法对私密信息的保护处于无序而零散的状态，私密信息仅在其他罪名的余辉下才得到关怀。现行刑法之所以没有对私密信息甚至隐私权进行直接保护，一个重要原因是侵犯隐私权在前信息时代不足以引发严重的社会危机，隐私权在中国没有得到足够重视。

（二）借助相关罪名附带保护私密信息之不足

法学的生命在于对法律及其应用时刻保持批判性审视。在笔者看来，现行刑法借助其他罪名附带保护私密信息的做法至少有四个方面的不足。

第一，隐私权是比个人信息权更重要的权利，用侵犯公民个人信息罪附带保护私密信息是轻重倒置。私密信息关涉的是隐私权，公民个人信息表征的是个人信息权，相对于个人信息权，隐私权的地位更高，理由有三：其一，如后所述，在美国隐私权已经上升为一项宪法性权利，属于基本权利的范畴；个人信息权则由民法、个人信息保护法所确立，属于普通权利的范畴。其二，隐私权是绝对权，表现为对隐私的直接支配与控制，排除他人干涉与侵犯；个人信息权是个人对其信息在利用与保护中的权衡与控制，在遵守规则的前提下他人可以合理利用。其三，《民法典》第1034条第3款规定：“个人信息中的私密信息，适用有关隐私权的规定。”这一适用规则表明民法对隐私权给予了更加严格的保护，同时间接告诉我们隐私权是比个人信息权更重要的权利。既然隐私权比个人信息权的地位更高，用保护隐私权的方式附带保护个人信息权才顺理成章，用保护个人信息权的方式附带保护隐私权就是主次颠倒。

第二，借助其他罪名附带保护私密信息会形成制度漏洞。要保护私密信息就必须根据私密信息的特点有针对性地进行制度设计，借助相邻权利的保护措施附带保护，难免会在边缘地带留下制度真空。以窃取他人私密照片、视频并在网络上散布为例，由于没有保护私密信息的专门罪名，实践中大多按传播淫秽物品罪定罪处罚。但传播淫秽物品罪是妨害社会管理秩序类犯罪，该罪的成立要求传播的对象是淫秽物品，且要求对社会管理秩序造成了严重侵害。按照这个罪名处理窃取他人私密照片、视频并在网络上散布的行为，行为人既可能因传播的视频难以认定为淫秽物品而脱罪，也有可能因其行为达不到情节严重的标准而出罪，无论哪种结局都不利于私密信息的保护。

第三，借助其他罪名附带保护私密信息落后于时代发展。几十年来，我国刑法一直对私密信息借助其他罪名进行间接保护，从实施情况来看也没有出现大的问题。然而，随着信息科技的发展，摄影、录音录像技术越来越发达，相关设备已经走进寻常百姓家，使私密信息更易于被侵害。更为重要的是，技术发展导致人们的行为方式，甚至生活方式随之更迭，由此使私密信息的数量快速增长，被侵害的风险也随之爆增。例如，当今智能手机成为人们日常生活最重要的物品之一，借助手机摄像头拍摄的照片、视频，以及在通信软件上与他人交往的通信内容等私密信息都存储在手机中，智能手机中下载安装的各种软件极易窃取这些私密信息。据中国消费者协会组织开展的“App个人信息泄露情况”问卷调查，有67.2%的人遭遇过App过度索取隐私权限。其中有不少软件要求用户授予打开手机摄像头、短信记录、录音等权限，这些权限的授予就可能使私密信息遭受泄漏。在这个变革的时代不变的永远是变化，在私密信息暴涨且极易被侵害的新时代，若仍然固守借助相关罪名附带保护私密信息的做法，最终会使法律落后于时代，甚至面临刻舟求剑的批判。

第四，借助其他罪名附带保护私密信息往往难以实现罪刑均衡。罪刑均衡是刑事立法与刑事司法的基本追求，因为“为预防一个犯罪，抑制动机的力量必须超过诱惑动机的力量。作为一个恐惧物的刑罚必须超过作为诱惑物的罪行。”“只有刑罚的恶果大于犯罪所带来的好处，刑罚才能收到它的效果。”立法者在为具体罪名配置法定刑时，主要考虑的是该罪所侵害法益的重要性及其严重性。因之，刑法为具体罪名配置的法定刑只能与该罪所保护的主要法益之侵害行为相适应，与附带保护的法益之侵害行为相适应是小概率事件。例如，侵犯通信自由罪的保护法益是他人的通信自由，由于通信自由不是很重要的法益，所以立法者为该罪配置的法定刑是一年以下有期徒刑或者拘役。若行为人非法多次截取多人电子邮件中的大量重要私密信息，按侵犯通信自由罪最多只能判处一年有期徒刑，很难与其对他人隐私权造成的伤害相适应。再如，曾经轰动一时的“艳照门”事件，如果行为人只是从手提电脑中复制了艳照，并未将那些艳照在网络上传播，那么只能根据侵犯公民个人信息罪或者非法获取计算机信息系统数据罪定罪处罚，因为我国现行刑法中没有从隐私权角度直接保护私密信息的罪名。这两个罪名都是情节犯，行为人非法复制他人艳照的行为很可能达不到这两个罪的入罪门槛，既便达到了这两个罪的入罪门槛，判处的刑罚也不是很重，远远与其对他人隐私权造成的伤害不相称。简言之，借助其他罪名附带保护私密信息会形成违法成本与违法收益失衡的局面，难以达到有效遏制侵害私密信息的效果。

二、保护策略：两种信息应当合并保护还是分离保护

不可否认，在人类历史长河的很长一段时间，私密信息与个人信息之间有着“理不清，剪还乱”的关系。公民个人信息先是被隐私权的框架所囊括，被视为是隐私权在信息时代发展出的新维度，是隐私权在信息时代的应用和逻辑延伸。后来，公民个人信息的范围不断扩大，两者之间的关系越来越走向清晰。

（一）私密信息与个人信息在前置法中开始走向分治

如前所述，在个人信息权出现以前个人信息与私密信息之间处于混沌状态，对涉及隐私的个人信息被纳入隐私权的范畴保护。随着信息技术的发展，需要法律保护的个人信息不断增多，以美国为代表的一些国家通过扩大隐私的外延，用“信息隐私”（Information Privacy）的概念包容对个人信息权益的保护。然而，越来越多的人意识到，单纯以保护人格尊严为目标的隐私权概念无法容纳以利用为目的的个人信息保护，于是个人信息与私密信息的法律保护开始出现分野。进入21世纪，为应对计算机技术用于个人数据处理给人格尊严带来的潜在风险，欧洲国家开始重视个人数据处理中的个人权益保护问题，并从隐私权中演绎出一项独立的权利——个人数据权益。2009年生效的《欧盟基本权利宪章》率先将个人数据权确立为一项独立的权利，成为个人数据权和隐私权分离的标志。2018年5月生效的《欧盟一般数据保护条例》强化了个人数据权和隐私权的分离，其将《关于个人数据处理保护与自由流动指令》中的“个人数据处理中的隐私权”修改为“个人数据保护的权利”，表明该条例不再将个人数据视为隐私权，而是将其视为一种独立的权利。

在中国，私密信息与个人信息也经历了从一体化保护到分域而治的过程。2016年以前有两个文件涉及私密信息和个人信息：一是2012年全国人大常务委员会通过了《关于加强网络信息保护的决定》。该决定指出：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”二是2013年“两高一部”联合发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》。该通知阐明：公民个人信息包括“公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。这两个文件都没有严格区分能识别个人身份的信息与涉及个人隐私的信息，而是一并将它们视为个人信息，适用同一标准进行管理，表明2016年前两种信息处于混沌状态。

2016年以后，规范性文件在界定个人信息时不再使用“可识别性”+“隐私性”的双重标准，转而仅用“可识别性”作为个人信息的判断标准。2016年11月发布的《网络安全法》在个人信息的定义中删除了“隐私信息”的表述，表明个人信息仅指“能够识别公民个人身份”的信息，不再包含“涉及公民个人隐私”的信息，使个人信息与私密信息形成两种不同的信息。2017年发布的《两高解释》沿续了《网络安全法》的立场，把个人信息界定为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”很明显，这一定义也没有提及“涉及公民个人隐私”的信息，表明私密信息不在个人信息的外延之内。2021年通过的《个人信息保护法》与《两高解释》对个人信息的定义如出一辙。该法第4条规定：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息与私密信息分域而治最权威、最明确的是2021年通过的《民法典》，该法不仅规定了隐私权和个人信息权，而且明确了个人信息与私密信息适用不同的保护规则，标志着私密信息与个人信息分域而治的局面正式形成。

（二）新时代私密信息更易被侵害倒逼私密信息的刑法保护另立门户

当前，私密信息被泄露的风险越来越大，造成的危害愈来愈严重。原因有三：

其一，科技发展凸显私密信息的脆弱性。信息科技发展使人们之间的交流方式超越了面对面交流，大数据技术应用又使数据和信息的收集与应用呈指数级增长，科技进步方便了我们生活，同时也给私密信息的侵害提供了便利。便携式微型电子设备极易通过监听、偷拍侵犯他人的隐私，“黑客”可以通过技术手段窃取他人存储于服务器或者用户设备中的私密信息，新时代隐私权被侵害的风险越来越高。从在地铁被偷拍裙底到在厕所被偷拍如厕，再到在旅馆被针孔摄像头偷拍，人们对私密信息泄露的恐惧与日俱增。当今，不少私密信息的确如玻璃房中的摆件一样在供人观赏，成为“透明人”的担忧已经不再是杞人忧天。

其二，技术进步使私密信息被侵害的方式趋向多元。借助微型录音录像设备、智能手机可以秘密地窃取他人的私密信息，通过手机App的优势地位索要的权限可以堂而皇之地获取他人的私密信息，利用网络软件中暗藏的后门程序可以悄无声息地掌握他人的私密信息，凭借国家机关工作人员的职权可以非法泄露他人的私密信息，利用职业便利可以披露他人的私密信息……新型多样化的侵害手段几乎使我们无处遁形，且不法分子窃取他人私密信息正在向批量化、规模化方向发展，并形成黑色产业链。

其三，互联网的加持使私密信息泄露造成的危害倍增。受信息传播手段的局限，以往私密信息泄露给权利人造成的名誉损害仅局限于特定区域。在信息技术空前发达的今天，被泄露的私密信息大概率会被上传到互联网，使世界范围内的网民都可以浏览，给受害人造成的伤害已经没有地域限制。更为严重的是，私密信息一旦上传到互联网，其表现形式和内容都将呈现出不可逆性。如果进一步被他人用于恶意中伤，甚至会对当事人的职业生涯和社会关系造成毁灭性打击，出现“社会性死亡”的恶果。

科技发展使私密信息被泄露的风险呈指数级增长，使私密信息泄露造成的危害成倍上升，今日之私密信息侵害与往昔之私密信息侵害已经是天壤之别。习近平总书记指出：“新发展阶段要贯彻新发展理念。”面对私密信息侵害之危机，借助其他罪名附带保护之旧模式的疲态已然凸显，更新理念、另立门户保护私密信息已经成为时代发展之必然。

（三）私密信息与个人信息的差异需要分域而治

不可否认，私密信息与个人信息存在交叉，部分信息既关涉隐私权又关涉个人信息权。然而，时至今日个人信息与私密信息已经发展成为两种具有明显差异的信息。

其一，两种信息的判断标准不同。私密信息的核心是私密性，个人信息的关键是身份识别性。个人信息“主要是从该信息被非法处理可能产生的危害后果这一客观角度来认定的”，私密信息则是从“该信息被侵害是否影响私人生活的安宁等角度”进行判断的。私密信息具有主观性，内容较为宽泛，其核心是权利人的合理期待，即其隐私会被保持私密；个人信息具有客观性，内容比较确定，其重点是为了保证信息处理过程的透明，因而必须赋予信息主体知情同意权、查询权等权利。

其二，两种信息的权利属性不同。个人信息具有公共性，主要用于与他人交往，甚至与国家安全相关；私密信息属于个人的隐私，具有排他性，与公共利益无涉。正因如此，法律对个人信息采取的是“正当处理”规则，对私密信息使用的是“禁止处理”规则。个人信息具有经济价值，合理利用可以促进企业的生产经营；私密信息没有经济价值，禁止用于商业活动，不得随意刺探、传播和非法使用。

其三，被侵害后对权利人造成的伤害不同。私密信息与人的精神利益相联，私密信息传播至当事人的社会关系之中，使其无法面对同事和亲人，给权利人造成精神痛苦。个人信息不仅是个人信息权的载体，而且与他人的人身权、财产权直接相关，因而侵害他人的个人信息还会给他人的人身权、财产权带来危险。

其四，法律保护两种信息的侧重点不同。私密信息是不愿为他人所知的信息，因而私密信息的保护重点在于禁止非法披露，以免私密信息对外公开。个人信息是允许他人知晓，但不愿为他人所滥用的信息，具有尊严性与资源性的双重属性，既是人格尊严的集中表达，又是工具理性的产物，因而法律保护个人信息兼具保护人格尊严和财产性利益，且更侧重于保护财产性利益。

既然私密信息与个人信息已经发展成为两种差异明显的信息，在保护方式上就不能再停留于过去那种混沌的状态，应当根据两种信息表征的不同权益、被侵害的特点进行有针对性的保护。

（四）刑法保护私密信息与个人信息的深层目标不同需要分道扬镳

私密信息是隐私权的载体之一，个人信息是个人信息权的载体。刑法的目的是保护法益，那么刑法保护私密信息的目标就是保护隐私权，刑法保护个人信息的目标就是保护个人信息权吗？在笔者看来，刑法保护私密信息的目标是要保护隐私权，但刑法保护个人信息的目标并非单纯为了保护保护个人信息权，而是预防与个人信息直接关联的人身权、财产权潜在的风险。理由有三：

其一，个人信息的地位变迁揭示了刑法保护个人信息的主要目标是保护与之关联的权益。孟德斯鸠指出：“应在立法背景中考察法律。”根据“可识别性”标准，个人信息在人类历史长河中一直存在，为什么以前一直不显山露水，如今却能登堂入室成为刑法殿堂中的重要“角色”呢？根本原因在于信息科技与人工智能快速发展，个人信息被广泛应用于支付结算、定位等众多领域，已经与公民的财产甚至人身安全高度关联。一旦个人信息泄漏或者被盗取，就可能危及公民的人身或者财产安全。很明显，刑法将公民个人信息纳入刑法保护是科技发展的结果，科技发展使个人信息与人的财产权、人身权联系越来越紧密，刑法需要通过对公民个人信息的保护来实现对人身权、财产权的保护。

其二，刑法保护个人信息是对与之关联权益的提前保护。对法益进行直接保护是传统刑法的基本做法。根据这种思维，刑法保护个人信息的主要目的似乎就是保护个人信息权，因为个人信息就是个人信息权的载体。如果停留于这个层面，就没有跟上时代及刑法的发展。当前，传统工业社会已经过渡到现代风险社会，保障安全成为刑法的新任务。风险刑法以行为的危险性为前提，只要应受处罚的行为具有威胁重大法益的危险，刑法就在该危险转化为现实之前提前介入。近年来，电信诈骗持续高发，犯罪分子通过非法获取他人的电话号码、短信记录、语言信息，然后冒充领导、公安司法人员实施诈骗，甚至借助声音模拟软件冒充被害人的亲人进行诈骗。这类案件由于被害人众多、犯罪数额巨大，且犯罪人往往身在国外，依照现有的诈骗罪处理，需要等到诈骗得手后公安司法机关才会介入，但收效甚微。为了改变这种事后预防的被动局面，立法者将非法获取、提供公民个人信息的行为（电信诈骗的预备行为）独立出来，以抽象危险犯的方式规定为新罪，从而实现对与之关联的人身权、财产权更前沿的保护。直言之，刑法将非法获取、出售公民个人信息的行为入罪，表面上是为了保护公民个人信息安全，实质上是为了保护与之关联的人身权、财产权。

其三，官方通过规范性文件间接阐明刑法保护个人信息的主要目标是保护与之密切关联的权益。最高司法机关在我国刑事立法与刑事司法中都扮演着极其重要的角色，他们对法律的解释很大程度上就是立法原意的表达。最高司法机关在《两高解释》制定说明中直言：财产信息等“公民个人敏感信息涉及人身安全和财产安全，被非法获取、出售或者提供后极易引发绑架、诈骗、敲诈勒索等关联犯罪，具有更大的社会危害性”。这一说明间接揭示了设置侵犯公民个人信息罪的立法意图是保护与公民个人信息关联的人身、财产安全。

简言之，私密信息是隐私权的载体，侵害私密信息的衍生风险不大，因而刑法保护私密信息主要着眼于保护隐私权。个人信息虽然是个人信息权的载体，但侵害个人信息不仅侵害个人信息权，而且潜在着较大的衍生风险。因之，刑法保护个人信息虽然有保护个人信息权的意蕴，但更主要是为了实现对与之直接关联权益的提前保护。既然保护的目标不同，保护方式自然应当有所区别，不加区分地混同保护已经不合时宜。

三、应对模式：事前应对模式抑或事后应对模式

随着现代风险的增多，在积极刑法观的指引下犯罪前置化、处置早期化成为刑事立法的新特征。应对新型危害行为，不少学者会不自觉地联想到处置早期化，因为这种立法模式能更有效地遏制风险。因之，对侵害私密信息的行为是采取事前应对模式还是事后应对模式就成为应当解决的一个现实问题。

（一）刑法保护法益的两种模式

刑法应对犯罪有两种模式：一是事后应对模式；二是事前应对模式。事后应对模式由刑事古典学派所倡导，这种应对模式秉持消极一般预防理念，以传统人本思想为基础，其逻辑是国家借助刑罚之痛以及其他负面影响让民众的心理受到刺激，从而产生畏惧刑罚的心理，抑制犯罪的冲动。事后应对模式对犯罪的规制遵循两点要求：第一，采取事后法的立法策略，刑法只处罚对法益造成侵害或者有侵害紧迫危险的行为，距离法益侵害较远的行为不是刑法关心的目标行为。第二，遵循罪刑相适应原则，刑罚与已经实施的犯罪及其产生的危害相适应，犯罪性质越严重、危害后果越大，为其配置的刑罚就应当越重。

事前应对模式是风险刑法的通行做法。这种模式秉持积极一般预防理念，以全面预防代替事后报复，其关注的重心不是实害而是风险防范。事前应对模式对犯罪的规制有三个特征：其一，法益保护前置化。由于现代风险危害巨大，且有些危害结果一旦出现不易恢复，如果等到法益侵害结果出现以后再处罚，就显得为时已晚，所以风险刑法将风险犯罪的预备行为甚至前预备行为独立出来进行犯罪化。其二，引入抽象危险犯。对于那些潜在巨大风险的行为，在制造风险的早期阶段刑法就介入，将它们设定为抽象危险犯，从而实现提前预防。德国学者许内曼认为，将“有害的因果链条消失在人类社会的匿名性之中”是当今时常发生的情况，因而刑法必须规制那些令人难以忍受的危险行为。其三，突出安全防范。事前应对模式将公共安全放在更突出的位置予以考虑，将风险防范上升为刑法新的核心，法益的具体损害不再是犯罪成立的必备要件，法益的内涵走向扩大化、抽象化，以适应防范风险的需要。

事后应对模式与事前应对模式各有利弊。事后应对模式的优点是有利于保障公民的自由，但不利于保障安全。事前应对模式契合风险社会的现实，有利于对法益更前位的保护，但对传统刑法原则与理念造成冲击。事实上，两种模式并无优劣之分，都有各自最适宜的生存土壤，事后应对模式对传统犯罪更合适，事前应对模式对新型风险犯罪更可取，因而关键在于资源的合理配置，资源错配就会适得其反。

（二）侵害私密信息潜在风险的类型

刑法对个人信息滥用行为采用了事前应对模式，而私密信息与个人信息都属于信息，甚至两者存在交叉。可能因为如此，有学者提出，隐私权作为“易碎”的权利，一旦丧失则将难以补救，因而对隐私权的保护不能满足于事后打击，而应当提前保护。在笔者看来，对侵害私密信息的行为应当采用何种应对模式，取决于侵害私密信息潜在的风险是现代风险还是传统风险。

与传统社会的危险相比，现代风险具有以下特征：（1）不可感知性，即现代风险不再是人们通过感官可以直接感受到的直接风险，而是潜在的、无法感知的风险；（2）不确定性，即现代风险无法依据传统的风险计算方法予以把握；（3）整体性，即现代风险是对人类整体的威胁；（4）建构性，即现代风险既是现实的，又是非现实的，风险意识的核心不是现在，而是未来；（5）平等性，即现代风险以一种整体的、平等的方式损害着每个人。根据这些特征，侵害私密信息产生的风险总体上仍然属于传统风险，理由有五。其一，侵害私密信息的危害基本确定。《民法典》第1032条第2款规定：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”这一定义告诉我们，侵害私密信息就是侵害隐私权，衍生风险不大。其二，不像环境污染、核辐射对人的伤害有时看不到、摸不着，侵害私密信息会直接给权利人造成精神伤害，可感知性明显。其三，侵害私密信息只会给私密信息的权利人造成伤害，很少扩散蔓延至不特定人，所以侵害私密信息造成的风险不是公共危险，更遑论现代风险。其四，侵害私密信息造成的危害具有现在性，且会随着时光的流逝而减弱，这与现代风险的危害主要在未来明显不同。其五，造成的危害事后难以补救不是现代风险的特征，杀人放火造成的危害事后也难以补救，但杀人放火属于传统风险。只有诸如恐怖主义、环境污染等可能造成大面积危害的风险才是现代风险，侵害私密信息产生的风险显然不同于这些现代风险。

既然侵害私密信息产生的风险总体上属于传统风险，那么应对侵害私密信息行为产生的风险原则上就应当沿袭传统的事后应对模式。不可否认，在信息时代私密信息被侵害的风险显著提高，但刑法防线前移要有合理理由，绝对不能仅仅以风险的存在为由任意进行犯罪前置化。不加限制、没有边界地犯罪前置化，获得的收益可能抵不上付出的代价，从而背离良法善治的立法目标。张明楷教授指出：“即使在‘风险社会’，也并不意味着要将离发生实害很远的危险行为都规定为犯罪，只有对那些离实害发生距离很近并且发生实害的概率较高的危险行为，才能实行犯罪化。”任何一项犯罪前置化动议必须要有实质的合理根据，必须在广泛讨论和充分论证的前提下才能推进。就侵害私密信息行为而言，在信息时代虽然对隐私权的侵害变得更容易，但该类行为引发新风险的可能性不大。当前，在民事领域对隐私权的保护采用的是事后救济，在刑事领域也只宜沿袭传统的事后应对模式，因为这种相对保守的模式完全可以达到遏制这类危害行为发生的效果，没有必要启用负面风险较多的事前应对模式。

需要强调的是，虽然私密信息与敏感个人信息在外观上具有很大的相似性，但侵害这两种信息产生的风险迥然有异。侵害私密信息产生的风险总体上属于传统风险，但侵害个人信息伴生的风险却符合现代风险的部分特征。正因为如此，有法国学者指出：“对隐私权的保护是‘反应性’（Réactive）的，至少是事后方式的（A Posteriori），因为需要有侵害行为才能采取相应的措施。而对个人信息权而言，情况正好相反：对个人信息的保护是事前的（A Priori）。”直言之，对侵害个人信息的行为刑法采用事前应对模式，并不意味着对侵害私密信息的行为刑法也应当采用事前应对模式。

需要说明的是，事前应对模式在侵害私密信息领域并非绝对无用武之地。如前所述，私密信息与个人信息是一种交叉重叠关系，不少私密信息同时也是个人信息。由于侵害个人信息产生的风险具有现代风险的特征，侵害这类具有双重属性的私密信息的行为自然也具有现代风险的特征，且危害可能更大。具体而言，侵害这种具有双重属性的信息有三重危害：一是对隐私权的侵害；二是对个人信息权的侵害；三是对与之关联权益潜在重大风险。因之，对侵害具有双重属性的私密信息之行为，更应当使用犯罪前置化的规制方式。

（三）侵害私密信息行为入罪的行为构造

事前应对模式是未雨绸缪，通常采取抽象危险犯的方式规制犯罪；事后应对模式是亡羊补牢，一般采用结果犯罪、情节犯的方式规制犯罪。既然侵害私密信息产生的风险有的属于传统风险，有的因私密信息的双重属性而具有现代风险的特征，因而对侵害私密信息行为就不能采用某种单一的犯罪类型进行规制。

首先，侵害具有双重属性的私密信息行为应采用抽象危险犯的方式规制。由于具有双重属性的私密信息关联到多种法益，且对关联的人身权、财产权潜在的风险较大，对这类私密信息的保护宜采用抽象危险犯的方式进行规定。我国台湾地区“刑法典”第358条规定的入侵计算机或其相关设备罪就是以抽象危险犯的方式保护私密信息。各种私密信息大多以数据的形式储存于计算机中，本来侵入他人计算机是直接侵害隐私权犯罪的预备行为，但将这种预备行为独立出来，以抽象危险犯的方式规定为新罪，只要行为人非法侵入他人计算机系统，不管是否窃取他人的私密信息，都以犯罪论处。事实上，《两高解释》将住宿信息、健康生理信息、财产信息等这些私密信息视为个人信息，客观上对这些私密信息实现了提前保护。

其次，超出社会容忍度的侵害私密信息行为以情节犯的方式规制。侵犯私密信息本质上是窥探他人隐私，是对隐私权的践踏。对私密信息的刑法保护反映了社会共同体的道德底线：人是目的，而不是单纯的手段。私密信息的刑法保护为信息的处理与利用划定道德底线，是对“犯罪的道德建构”的当代实践。基于这种原因，对私密信息侵害的严重程度应以社会容忍度为标准，如果侵害私密信息的行为超过了社会容忍度，如在洗浴中心偷装摄像装置，就应以犯罪论处。因之，侵害私密信息的行为宜采用情节犯进行规制，又由于民法、行政法等前置法和刑法均保护私密信息，根据我国刑法既定性又定量的传统，只宜用情节严重作为区分违反刑法与违反前置法的界限。

最后，造成严重后果的侵害私密信息行为以情节加重犯的方式规制。侵害私密信息主要是给他人造成精神创伤，且精神伤害可以进一步升级为肉体上的伤害，如精神伤害达到一定程度就可能引起被害人或者其近亲属精神失常、自残、自杀。对这种“结果恶”的情形，立法有两种处理方式：一是作为“情节严重”的表征，即只要造成这些严重的实害结果，就直接认定行为人的行为达到了情节严重的入罪标准；二是作为情节加重犯处理，即这些实害结果作为法定刑升格的“情节持别严重”的判断标准。刑法中有些犯罪侧重于结果无价值，如以数额为罪与非罪、罪重与罪轻的普通盗窃。有些犯罪侧重于行为无价值，如以次数为入罪标准的多次盗窃。如上所述，侵害私密信息是对伦理道德的侵害，因而应当重点从行为无价值考察这类犯罪。据行为无价值论，在考察是否存在实质的违法性时，重视行为人的意思这种“人的”要素。当侵害私密信息行为造成严重后果时，不仅存在“行为恶”，而且出现了“结果恶”，作为情节加重犯处理更为妥当。

四、保护路径：私密信息应直接保护还是间接保护

在阐明借助其他罪名附带保护私密信息的局限性以后，就要进一步明确刑法应当如何具体保护私密信息。

（一）域外隐私权的刑法保护及其启示

“他山之石，可以攻玉。”改革开放带领中华民族走向繁荣富强的经验启示我们，法学研究不能停留于孤芳自赏，要善于借鉴域外的经验。私密信息属于隐私权的范畴，域外隐私权的刑法保护有不少地方可圈可点。

隐私权的保护发端于美国，肇始于沃伦、布兰代斯于1890年发表的《论隐私权》一文。经过一百多年的发展，现在隐私权作为一项独立人格权已经上升为美国的一项宪法性权利。美国《模范刑法典》对隐私权采取了单一保护模式，通过设立“侵犯隐私权的犯罪”来规制侵犯隐私权的行为，不管行为人采用何种方式侵害隐私权，均用单一的、概括的罪名定罪量刑。具体到私密信息，美国将非法截获他人电子信息隐私以及透露这些信息的行为作为犯罪论处。

德国也是隐私权保护较为完善的国家，德国刑法设专章保护隐私权。《德国刑法典》第15章是侵害私人生活和秘密的犯罪，这一章中设置了多个罪名对隐私权做了较为详细的保护，具体包括侵害言论秘密罪；以拍照方式侵害私人生活领域罪；探知数据、截获数据、探知或截获数据的预备罪；数据窝藏罪；侵害通讯秘密罪；侵害他人隐私罪；利用他人的秘密罪；侵害邮政或电讯秘密罪。立法将隐私权的客体细分为言论秘密、邮政或电讯秘密、通信秘密等不同类型。2020年10月，德国通过了“改善人身保护——修订《刑法》的第59号法案”，增设了“通过拍照侵犯隐私罪”。根据新增的这个罪名，如果行为人以不正当目的故意“制作、传播他人不裸露在外的生殖器、臀部、女性乳房或覆盖这些身体部位的内衣的图像”，或者使上述照片能被第三者访问，将被处以两年以下监禁或罚款。

我国澳门地区对隐私权采取直接保护模式。1996年我国澳门地区“刑法典”有关隐私权的保护散见于多个章节，包括侵入私人生活罪、侵犯函件和电讯罪、违法电讯保密罪等众多罪名，精细化和直接保护是澳门隐私权刑法保护的特色。我国台湾地区也相当重视隐私权的刑法保护，不仅“刑法典”第28章以专章的形式直接保护隐私权，而且在“计算机处理个人数据保护法”“儿童福利法”等法律中以附属刑法的方式保护隐私权，包括妨害秘密罪、图利为妨害秘密罪、泄漏业务上知悉他人秘密等十几个直接保护隐私权的罪名。

上述域外隐私权的刑法保护至少给我们三点启示：其一，要强化对隐私，尤其是对私密信息的刑法保护。在美国隐私权已经上升为一项宪法性权利，我国民法典也赋予了隐私权独立的权利属性，隐私权已经成为与生命权、健康权等民事基本权利平等的权利。随着隐私权的地位上升，刑法也应当相应强化其保护。其二，对隐私权刑法应创设独立罪名进行直接保护。在信息科技日益发达的今天，侵害私密信息造成的危害骤增，刑法直接保护私密信息的必要性愈发强烈，继续借助其他罪名附带保护已经不合时宜，将其上升为客体直接保护是时代发展的必然趋势。其三，隐私权的客体多元，侵害方式多样，刑法在保护隐私权时应当充分考虑隐私权的独特性。域外刑法引入众多罪名保护隐私权，目的在于对隐私权更周延的保护。

（二）私密信息刑法保护的具体进路

域外立法经验启迪我们，用直接保护模式替代现行附带保护模式是时代发展的需要。那么，刑法应当如何对私密信息进行直接保护呢？域外立法实际上为我们探索出了两条路径：一是借鉴美国经验将侵害隐私的犯罪设置为单一的或者概括性罪名，并将侵害私密信息作为该罪的一种行为类型；二是借鉴德国以及我国台湾地区的经验，以专章的形式保护隐私权，并在专章下面设置侵犯公民私密信息罪。在笔者看来，第一条路径更契合我国刑事法治的技术路线。

首先，我国刑事法治逐渐形成了“立法粗司法解释细”的技术路线，增设涵盖范围较广的单一罪名保护隐私权契合这一技术路线。立法粗疏和立法精细是两条不同的技术路线，这两条立法技术路线各有优劣。粗疏的法律可以涵盖更多的社会生活面向，且有更大的适应性；法律越精细漏洞越多，而且易于倒向机械化，限制司法能动性。在制定1979年刑法时由于立法经验不足，为提高刑法的适应性，确立了“宜粗不宜细”的立法指导思想，整部刑法只规定了130个罪名。在制定1997年刑法时，基于罪刑法定原则的考虑，虽然将立法指导思想调整为“详尽、明确”，罪名也增加到413个，但总体上还是没有摆脱立法粗疏的技术路线。从比较法的角度来看，我国刑法立法粗疏的特点较为明显。例如，现行刑法用污染环境罪一个罪名涵摄所有污染环境的犯罪情形，从罪行构造来看包括行为犯、危险犯、结果犯、情节犯，从行为类型来看包括排放污染物、倾到污染物和处置污染物等多种类型。这个罪名的调整范围涵盖了德国刑法中水污染罪、空气污染罪、噪声污染罪、污染土地罪、污染环境处理垃圾罪、未经许可的放射性物质及其他物质交易罪等多个罪名的调整范围。另外，我国刑法中还有寻衅滋事罪、非法经营罪、滥用职权罪等多个口袋罪，不少犯罪的罪状中还设置了开放性的规定，这些都是立法粗疏的表征。如果刑法对隐私权的保护改变立法粗疏的技术路线，单独就侵害私密信息增设罪名，那么侵入私密空间、刺探私密活动等行为势必也要单独设置罪名，结局就会形成像德国刑法那样用十几个罪名规制侵害隐私的犯罪，就会与刑法对其他犯罪的规制形成鲜明的反差。

其次，单纯就侵犯私密信息增设新罪名不仅有就事论事之嫌，而且会招致犯罪圈无限扩张的批判。立法是理性的产物，应当追求垂范久远。这就要求立法者不仅要考虑当前亟待解决的问题，而且要兼顾刑法体系、立法技术路线、关联犯罪的规制等问题，不能“头痛医头脚痛医脚”。信息时代的到来使私密信息易于被侵害，强化私密信息的刑法保护成为当务之急，但我们不能停留于只见树木不见森林，而要结合刑法体系、现行惯用的立法技术路线，兼顾其他隐私的刑法保护提出一个整体解决方案。综合考虑各方面的因素，理性的选择自然是增设侵犯公民隐私罪这个涵盖范围较广的罪名，在这个罪名的框架下实现对私密信息的保护。再者，晚近以来，为积极应对社会风险，提高社会治理效能，我国刑法呈现扩张之势，引起了不少学者对这种积极刑法观的批判。如果借鉴德国的做法，仅隐私权保护就增设十几个罪名，会给人一种犯罪圈急剧膨胀的虚假印象，从而招致不必要的批判。

最后，在侵害公民隐私罪的框架下保护私密信息，可以实现刑法稳定性与司法能动性的结合。作为基本法的刑法不宜频繁修改，增设涵盖范围较广的侵害公民隐私罪，可以实现刑法的稳定性。另外，隐私存在无法被“定义”，只能被“描述”的问题，通过法律规定隐私的内涵也只能搭建起一个框架，内容待生活现实填充和法官根据个案自由裁量加以补充。换言之，私密信息的刑法保护对司法工作者智慧的依赖性较强，这就要求立法为司法工作者发挥主观能动性留出足够的空间。对此，我国探索出了司法解释精细化的办法，即借助司法解释解决刑法稳定性与社会生活发展变化之间的紧张关系。例如，刑法增设侵害公民个人信息罪以后，最高司法机关随后就出台了《两高解释》，将各种侵害公民个人信息的犯罪行为具体化。如果在实施过程中发现《两高解释》存在不周延、设置的标准不合理等问题，就可以出台新的司法解释来完善《两高解释》，毕竟司法解释易于更新。在“立法粗司法解释细”的技术路线背景下，将私密信息的刑法保护放在侵害公民隐私罪的框架下直接保护，为司法工作者更好地发挥主观能动性创造了条件。

来源：《政法论坛》2024年第4期

作者：魏汉涛，中南财经政法大学刑事司法学院、刑事法律科学研究院教授