对“公民个人信息”认定不能仅局限于个人信息所呈现出的外部特征，还应从犯罪本质的角度来加以考量。根据我国传统刑法理论，犯罪客体就是指刑法所保护的某种社会关系，其本质具有严重的社会危害性。对此，有学者指出，“我国刑法分则并未将犯罪客体表述为某种社会关系，而采用了权利、秩序、利益等表达方式。因此，用法益来概括刑法所保护的客体比社会关系更为恰当。”^[19]犯罪的实质即为法益侵害性，法益的设定不仅为国家动用刑法提供了正当化依据，也提醒着司法者适用刑法的合法界限。^[20]因此界定“公民个人信息”的法益属性，是本罪司法适用的前提和基础。

（一）“公民个人信息”法益属性的争议

案例1：2016年3月至2017年4月期间，被告人许某某及其他三位被告人，通过网络下载、购买等其他方式，获取公民个人信息，信息的内容主要包括手机号码、QQ账号、密码、QQ号主姓名以及身份证信息等。在获取上述信息后登录腾讯安全中心，利用QQ账号进行虚假申诉，并且将申诉成功的QQ资料包等相关信息出售给其他人。审理查明，许某某非法获取公民个人信息总计179万余条。法院审理认为，本罪保护的客体为公民的个人信息自由和安全，被告人许某某非法获取个人信息达170万余条，应认定为情节特别严重。判处许某某有期徒刑三年九个月，并处罚金人民币四万三千元……^[21]

案例2：2017年3月，被告人谈某通过微信及QQ邮箱，向徐某出售海门有关个人信息资料，其中涉及的信息有姓名、联系电话、企业名称、编造的车子品牌等，共计46078条。经审理认为，被告人谈某非法出售公民个人信息5000条以上，已构成侵犯公民个人信息罪。为了保护公民个人信息的享有权和保密权不受侵犯，判处被告人谈某有期徒刑二年，缓刑两年三个月，并处罚金人民币一万元。^[22]

从案例1和案例2的判决来看，上述两个案件都承认本罪保护的法益是个人法益而非公共利益，但案例1和案例2对本罪保护的具体法益的认识是存在差异的。案例1的审理法官认为，本罪的保护法益是公民的个人信息自由和安全，案例2的审理法官认为，本罪的保护法益是公民个人信息的享有权和保密权。侵犯公民个人信息罪的保护法益决定了法官在审理案件中的思路和判决依据，如果本罪法益保护不明确，在一定程度上会导致定罪量刑标准不一的情况出现。因此，需要对“公民个人信息”的法益属性进行界定。关于个人信息保护的究竟是哪种法益，理论界也存在很大的争议，截至目前尚未达成统一意见。经过笔者的整理发现，理论界的主要观点如下。

（1）财产权说。美国学者杰西卡·里特曼早在30年前就提出将个人信息纳入财产权保护范围。^[23]我国也有学者主张，“公民对其个人信息具有占有、使用、收益及处分的权利”^[24]。还有学者认为，随着网络的发展和信息，个人信息的主要作用就是维护公民个人的财产利益，所以法律应承认个人对其自身信息享有财产权。^[25]

（2）隐私权说。美国是隐私权说的典型代表国家，其1974年颁布的《隐私权法》充分体现了这一权利之说，该学说主张将个人信息作为隐私利益加以保护。目前我国也有学者是此观点的支持者，有学者认为，“刑法修正案（七）将侵犯公民个人信息行为纳入刑法的打击范围，是基于对公民隐私权的保护的价值追求”^[26]。

（3）信息专有权说。有学者认为，“将本罪的保护法益完全建立在个人法益或者公共法益之上，已经不具有可行性，应构建一种中间路径，即要考量本罪保护法益的个体性又要兼顾公共性”。在此基础上，该学者提出信息专有权这一概念。该学者还认为，“信息专有权不仅能够解决个人信息的前置性预防需求，还满足刑法谦抑性的要求，能有效解决个体性和公共性之间的冲突”。^[27]

（4）“‘公权益关联主体’对个人信息的保有”说。这种观点认为，在保护公民个人信息安全的背后，隐含着更为重大的法益，行为人侵犯公民个人信息不仅涉及个人利益也事关国家和社会的公共利益。(www.daowen.com)

（5）“公共信息安全”说。该学者认为，在大数据背景下，个人信息关联的法益早已超出了个人性而呈现出公共性、多样化的趋势。第一，个人信息与个人法益相关联；第二，个人信息通常关系公共安全；第三，个人信息可能涉及国家安全。该学者认为，公共信息安全是侵犯公民个人信息犯罪的法益，理由有以下几点：①从犯罪对象上说，本罪侵犯的对象并非仅为“公民”，还有可能是“单位”，但“单位”无法纳入“公民”范畴；②从法益重要性角度来看，只有侵犯公共信息安全的行为才能动用刑法加以规制；③从法益保护的紧迫性来说，只有对侵犯公共信息安全的行为才需要在刑法中加以独立规制。因此，该学者认为，本罪保护的法益应为“公共信息安全”。

除了上述几种观点，理论界还有很多种不同的学说，在此不再一一赘述。下文笔者将结合上述五种观点进行分析，并提出自己的看法。

（二）“公民个人信息权”的提出

笔者认为，观点3、观点4和观点5从总体上来说都有一个共同点，即本罪保护的法益为国家的某种利益，即为社会秩序或者说是公共安全，笔者对“信息专有权说”“‘公权益关联主体’对个人信息的保有说”及“公共信息安全说”均持反对意见。第一，现实生活中任何犯罪都会不同程度地侵犯一定的社会秩序，对社会的稳定造成影响，但是不能将刑法上所有的犯罪客体都纳入社会秩序的范畴加以讨论，这在一定程度上模糊了个人法益和社会法益之间的界限。第二，“‘公权益关联主体’对个人信息的保有说”中的“保有”词概念比较迷糊，并且也不是法律的专业术语，用这种的模糊的概念来表达本罪所保护的法益，是不符合刑法要求的。第三，立法者之所以将本罪规定在刑法的第四章，是基于对公民个人利益的保护，而非强调对社会公共利益或者国家利益的保护。

综上，笔者认为本罪保护的法益实则为公民的某种权利，确切地说应为“公民个人信息权”。个人信息的权利属性复杂，单纯用观点1的财产权说或者观点2的隐私权说来保护，都存在片面性。个人信息不同于一般的人格权，其在人格权外承载者巨大的经济利益，因此，隐私权的保护路径过于狭窄。财产权说的缺陷在于过分强调个人信息的财产属性，而忽视了其人格权属性，立法者设立本罪的初衷重在强调对“个人信息”的保护。此外，由于每个人的经济状况、社会地位等都存在差异，其信息的价值也会有所不同，若单纯以财产权作为参考标准，直接违背了宪法倡导的人格平等原则。在此背景下，无论是私法领域还是公法领域，均提出了个人信息权的概念。综上，笔者认为应将本罪保护的法益设置为“公民个人信息权”。

（1）从权利内涵来看，个人信息权以信息主体的个人信息为权利客体。伴随互联网和大数据的发展，信息所带来的价值不可估量，各行各业对信息的依赖程度使得信息成为一种重要的社会资源。但个人信息并不是一种纯粹的商品，就其本质而言是附属于人格权的，乃人格权的重要组成部分。

（2）从权利内容上看，个人信息权包含两方面：①积极使用并许可他人使用的权利；②消极防御他人侵犯的权利。身处大数据时代，对公民个人信息的保护模式应从单一的“保护”模式转变为“保护”和“利用”并重。伴随数据的高速处理和膨胀式的汇集，利用个人信息行为也变得多样化，集中体现为以下两种方式：①商业目的利用，目前各种大型电子商务平台层出不穷，个人信息被商业主体广泛用于自身经营活动已成为一种不可避免的趋势；②公共利益的利用，这一类行为的主体是行政机关和一些承担公民服务职能的社会组织，这类行为主体在履行职责过程中需要利用公民个人信息等。上述情况都体现了对公民个人信息不同程度的利用，而这些利用是时代发展必不可少的环节。个人信息权不同于传统隐私权，其不仅强调“保护”信息，同时也注重“利用”信息。

（3）从权利性质上看，个人信息权兼具人格属性和财产属性。财产属性倾向于对信息的积极使用并许可他人使用的权利，能够为信息主体带来收益。人格权则更侧重于消极防御他人侵害的权利，个人信息与人格尊严密不可分。就权利性质而言，个人信息权并非单纯属于人格权或者是财产权中的一种，其权利性质介于二者之间，是以公民个人信息为权利客体的一种新型权利。