二 个人数据保护向公法领域的延伸

电子政务建设使得政府掌握了海量个人数据，对公民个人数据隐私将产生举足轻重的影响。与此同时，网络犯罪频发也极大地威胁着个人的安全感。基于上述原因，单一私法保护模式已经“捉襟见肘”，个人数据保护向公法领域延伸、公法介入保护个人数据成为必然。[32]具体而言，个人数据的公法保护可以分为对个人数据的行政法保护和刑法保护两方面。

（一）个人数据的行政法保护

当前我国行政法律法规较少涉及对侵犯个人数据的行政行为的规制，更多的是将其涵盖于个人隐私的范畴中提供保护。[33]只有《居民身份证法》《统计法》《护照法》等法律中明确了行政主体及其工作人员对于在履行职责或者提供服务过程中所获取的公民个人信息的保密义务和违反保密义务的相关法律责任。[34]

行政权力与个人自由之间的紧张关系自古有之。由于行政权力天然具有扩张性，其很容易对公民自由形成侵蚀。而互联网技术的运用增强了政府收集和处理个人数据的能力，这一事实加剧了政府行使收集、处理信息的权力与个人数据隐私之间的对立。[35]公权力对个人数据的侵蚀能力远超过私人，因此，有必要对个人数据提供行政法保护。有学者认为，个人数据的行政法保护的核心在于，如何对个人数据的处理者进行行政监管，以约束行政权力对公民个人数据的侵害。[36]也有学者探讨了行政信息公开与个人数据保护的关系。行政信息公开以行政知情权为权利基础，个人数据保护以个人数据权为权利基础，这也造成了二者之间存在一定的冲突，有必要确立权利平等保护、公共利益优先、平衡协调与权利救济等原则以平衡二者关系。[37]

总体而言，尽管有不少学者认识到了对个人数据提供行政法保护的重要性和必要性，但当前对于个人数据行政法保护的研究仍然相对较少，相关研究也主要集中在原则性、基础性问题上，缺少对具体规则的探讨。

（二）个人数据的刑法保护

侵犯个人数据行为具有严重的社会危害性和不同程度的道德谴责性。当民法、行政法均无力对公民个人数据提供充足的保障时，刑法将介入该领域加以调整。我国通过《刑法修正案（七）》和《刑法修正案（九）》的两次调整，确立并优化了个人数据犯罪立法。[38]此举符合公众的立法期待和国际立法发展趋势，在体现刑法人性化价值理念回归的同时，也彰显了公平与人权原则。[39]

然而，长期以来我国刑法中侵犯公民个人信息罪保护的法益内容并不明确，难以应对大数据时代公民个人数据刑法保护的诉求。为实现刑事立法对数字时代信息犯罪的有力回应，不同学者针对个人数据犯罪所要保护的法益进行了探讨，具体观点可分为“个人法益说”和“超个人法益说”。

持“个人法益说”观点的学者普遍认可侵犯公民个人信息罪保护的法益是公民个人利益，但对该法益的具体内容则存在一定分歧。有学者认为，该罪所保护的法益是公民人格尊严与个人自由，在认定该罪时应当将“公民个人信息”要件限缩在与该法益密切相关的个人数据内，且将行为目的作为该罪的构成要件。[40]有学者认为，为实现对公民数据隐私利益的有效保护，宜将该罪法益确定为公民数据自由和个人隐私。[41]有学者认为，大数据技术对个人数据的侵害程度已远超传统刑法规制范围，有必要将该罪保护的法益确定为个人数据权。[42]但也有学者不认为数据权是本罪法益，认为应以个人生活的安宁为本罪法益。[43]

持“超个人法益说”观点的学者认为，侵犯公民个人信息罪保护的法益应涵盖社会公共法益，这符合比例原则与刑法的谦抑性要求。但就该法益的具体内容，学者之间同样未达成共识。有学者认为该罪要保护的法益是全社会对个人数据安全的信赖。[44]有学者认为，由于侵害个人数据行为将同时危害个人私益与社会公益，故该罪应致力于保护“具备实质权利内涵的集体法益”。[45]有学者认为，应将该罪入罪标准设置为具有规模性、整体性的个人数据保护，而非单纯个体权利的保护，其法益应当评价为社会信息管理秩序。[46]

侵犯公民个人信息罪的“个人法益”与“超个人法益”之争的本质是个人数据的个人属性与公共属性的对立在刑法领域的体现。因此也有折中观点认为，“公民个人信息”是具有超个人法益属性的个人法益，试图在二者之间寻求平衡。[47]鉴于刑法自身的严厉性和刑法启动成本的高昂，笔者倾向于认为该罪的法益是“超个人法益”，对于仅仅侵犯到公民个人数据但未害及社会公共利益的行为，宜以侵犯公民个人信息罪的“前位”法——民事立法加以规制。

但另一方面，我国个人数据虽已归入刑法保护，个人数据的“前位”法律却尚属缺位。这种缺位不利于实现对个人数据的全面保护。且个人数据保护不能仅靠某一部门法，该问题跨越了公法与私法的界限，仅从某一部门法视角考察或许会造成顾此失彼的情况。因此，我国或有必要进行个人数据保护的统一立法，同时调整公、私领域的关系。[48]