張 勇

一、問題的提出

我國網(wǎng)民數(shù)量規(guī)模巨大，智能手機(jī)和APP（Application 的簡(jiǎn)稱，即移動(dòng)智能終端應(yīng)用軟件）已成為公眾日常生活必備，在帶來便利快捷的同時(shí)，也改變著社會(huì)行為規(guī)范和法律規(guī)則。隨之而來的是，一些網(wǎng)絡(luò)平臺(tái)經(jīng)營者利用APP 的虛擬性、間接性和隱蔽性的特點(diǎn)，采取強(qiáng)制授權(quán)、超限索權(quán)、過度使用等違法違規(guī)方式收集、使用APP 用戶個(gè)人信息，導(dǎo)致用戶個(gè)人信息處于“裸奔”狀態(tài)，隱私權(quán)、名譽(yù)權(quán)等人格權(quán)益受到嚴(yán)重侵犯；這些被泄露和濫用的APP 用戶個(gè)人信息往往被用于實(shí)施網(wǎng)絡(luò)詐騙等其他違法犯罪活動(dòng)，從而產(chǎn)生更為嚴(yán)重的社會(huì)危害，呈現(xiàn)聚合放大的負(fù)面效應(yīng)。

從2019 年初開始，國家互聯(lián)網(wǎng)信息辦公室等部門聯(lián)合開展行動(dòng)，對(duì)“超范圍收集與業(yè)務(wù)功能無關(guān)信息”“強(qiáng)制或頻繁索要與業(yè)務(wù)功能無關(guān)權(quán)限”“不合理要求或不合理免責(zé)條款”等違法違規(guī)收集、使用APP 個(gè)人信息行為進(jìn)行專項(xiàng)治理。2020 年1 月，中國信息通信研究院等機(jī)構(gòu)發(fā)布的《移動(dòng)互聯(lián)網(wǎng)應(yīng)用個(gè)人信息安全報(bào)告》統(tǒng)計(jì)顯示，強(qiáng)制性、高頻次、過度性收集使用APP 用戶個(gè)人信息成為“業(yè)界常態(tài)”，用戶向12321 網(wǎng)絡(luò)不良與垃圾信息舉報(bào)受理中心投訴的問題主要包括：APP 用戶信息的收集使用規(guī)則不透明、隱私政策條款不合理、無個(gè)性化服務(wù)選項(xiàng)、賬號(hào)難注銷、障礙設(shè)置多、數(shù)據(jù)共享不規(guī)范等諸多方面；在司法領(lǐng)域，近年來諸如瑞智華勝、螞蟻金服、“獵頭搜”“今日頭條”、魔蝎科技、新顏科技、公信寶、天翼征信等企業(yè)機(jī)構(gòu)因違法違規(guī)收集、使用個(gè)人信息而引發(fā)的不正當(dāng)競(jìng)爭(zhēng)、隱私權(quán)、名譽(yù)權(quán)等民事糾紛案件屢屢發(fā)生。另外，北大法寶司法案例編輯組的數(shù)據(jù)分析顯示，個(gè)人信息泄露和濫用成為詐騙、敲詐勒索等違法犯罪的重要源頭。據(jù)媒體報(bào)道，2019 年11 月，天津市公安機(jī)關(guān)破獲全國首例利用APP 騙取公民個(gè)人信息的團(tuán)伙犯罪案件。該團(tuán)伙從2019 年4 月開始從事手機(jī)貸款A(yù)PP 業(yè)務(wù)經(jīng)營活動(dòng)，未經(jīng)注冊(cè)用戶同意，非法采集用戶通訊錄、通話記錄和短信息等隱私信息近240 余萬條；據(jù)公安調(diào)查發(fā)現(xiàn)，負(fù)責(zé)運(yùn)營該手機(jī)APP 的網(wǎng)站備案公司、軟件著作公司、服務(wù)器租賃公司均系該團(tuán)伙所為，且分工明確，也很容易衍生“套路貸”等其他惡性犯罪。〔1〕參見《全國首例專門設(shè)立APP 騙取公民個(gè)人信息案告破》，http://tj.people.com.cn/GB/n2/2019/1120/c375366-33559059.html，2019 年11 月20 日訪問。在互聯(lián)網(wǎng)背景下，個(gè)人信息不法交易逐漸發(fā)展成為“產(chǎn)業(yè)鏈條一條龍”態(tài)勢(shì)，上游環(huán)節(jié)負(fù)責(zé)“源頭供貨”，非法獲取或向他人提供個(gè)人信息；中游環(huán)節(jié)則對(duì)非法收集的信息進(jìn)行處理和加工，用以出售或交換；下游環(huán)節(jié)則將個(gè)人信息用于電信詐騙等二次違法犯罪，其負(fù)面效應(yīng)成倍擴(kuò)大。鑒于以上APP 被泄露、濫用的現(xiàn)狀問題，運(yùn)用刑事手段懲治和預(yù)防顯得十分必要。

從相關(guān)法律規(guī)定來看，從2012 年開始，我國先后制定發(fā)布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》 《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》（以下簡(jiǎn)稱《個(gè)人信息刑案解釋》）等法律、法規(guī)和司法解釋，逐步確立了公民個(gè)人信息保護(hù)的基本原則。新頒布的《民法典》人格權(quán)編第1035 條也做出更具體的規(guī)定：處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，不得過度處理，應(yīng)征得該自然人或者監(jiān)護(hù)人同意。另外，全國人大將《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》列入2020 年立法規(guī)劃，體現(xiàn)出我國立法對(duì)個(gè)人信息法律保護(hù)的重視。此外，國家互聯(lián)網(wǎng)信息辦公室、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)等部門和機(jī)構(gòu)也先后發(fā)布了《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《安全規(guī)范》）及其修訂草案、《APP 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》（以下簡(jiǎn)稱《APP 認(rèn)定辦法》）等國家行業(yè)標(biāo)準(zhǔn)，對(duì)于收集、使用APP 個(gè)人信息規(guī)定了詳細(xì)的合規(guī)標(biāo)準(zhǔn)。2020 年初以來，國家質(zhì)量監(jiān)督檢疫檢驗(yàn)總局、全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)、中央人民銀行等部門機(jī)構(gòu)發(fā)布《信息安全技術(shù)個(gè)人信息告知同意指南（征求意見稿）》（《以下簡(jiǎn)稱《告知同意指南》）、《信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用（APP）收集個(gè)人信息基本規(guī)范（征求意見稿）》（《以下簡(jiǎn)稱《APP 基本規(guī)范》）、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（APP）收集使用個(gè)人信息自評(píng)估指南（征求意見稿）》《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》等國家行業(yè)標(biāo)準(zhǔn)，顯示出我國政府與行業(yè)機(jī)構(gòu)協(xié)力整治侵犯APP 個(gè)人信息權(quán)益的違法違規(guī)亂象、保護(hù)個(gè)人權(quán)利、公共利益乃至國家安全的政策趨向。

總的來看，我國有關(guān)個(gè)人信息安全的法律法規(guī)和行業(yè)規(guī)范多頭迭出，能夠起到提綱挈領(lǐng)和體系協(xié)調(diào)作用的“個(gè)人信息保護(hù)法”尚未出臺(tái)，相對(duì)于網(wǎng)絡(luò)信息安全保障，在公民個(gè)人信息權(quán)益保護(hù)方面的立法顯得相對(duì)不足。在APP 行業(yè)領(lǐng)域，對(duì)于APP 經(jīng)營者有關(guān)個(gè)人信息保護(hù)的法律義務(wù)缺乏明確規(guī)定，《刑法》與其他部門法及行業(yè)規(guī)范之間存在諸多不銜接、不協(xié)調(diào)問題。例如，作為國家行業(yè)標(biāo)準(zhǔn)的《安全規(guī)范》對(duì)《網(wǎng)絡(luò)安全法》有關(guān)個(gè)人信息保護(hù)的規(guī)定作出進(jìn)一步細(xì)化，能夠?yàn)榉?、行政法?guī)的操作和應(yīng)用提供具體規(guī)范和參考依據(jù)。但《安全規(guī)范》不是強(qiáng)制性法律標(biāo)準(zhǔn)，而是推薦性行業(yè)標(biāo)準(zhǔn)，對(duì)個(gè)人信息保護(hù)的要求也更為嚴(yán)格，用戶“同意”處于行業(yè)規(guī)范體系中的核心位置?！?〕參見陽雪雅：《論個(gè)人信息的界定分類及流通體系——兼評(píng)〈民法總則〉第111 條》，載《東方法學(xué)》2019 年第4 期。上述行業(yè)規(guī)范能否作為認(rèn)定侵犯公民個(gè)人信息罪的前置性規(guī)范、APP 用戶知情同意可否作為出罪事由等，也是值得探討的問題。

二、個(gè)人信息知情同意的保護(hù)法益

隨著我國APP 技術(shù)的推廣應(yīng)用，法律如何有效保護(hù)APP 用戶個(gè)人信息權(quán)益，同時(shí)實(shí)現(xiàn)APP 經(jīng)營者對(duì)個(gè)人信息的合理使用，成為我國立法和司法上的“兩難”命題。這首先需要在界定個(gè)人信息權(quán)益屬性的基礎(chǔ)上，確定APP 個(gè)人信息保護(hù)的法益內(nèi)容，從中尋求解決問題的立足點(diǎn)和突破口。

（一）刑法中個(gè)人信息蘊(yùn)含的法益性質(zhì)和內(nèi)容

根據(jù)我國《網(wǎng)絡(luò)安全法》第76 條第5 項(xiàng)規(guī)定，個(gè)人信息的本質(zhì)屬性在于其可識(shí)別性，即能夠識(shí)別特定個(gè)人身份或者反映特定個(gè)人活動(dòng)情況的各種信息，是“信息主體人格的外在標(biāo)志”〔3〕張新寶：《從隱私到個(gè)人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015 年第3 期，第45 頁。。對(duì)于APP經(jīng)營者所收集、使用的個(gè)人信息來說，除了相關(guān)法律法規(guī)明確列舉規(guī)定的出生日期、身份證號(hào)碼、個(gè)人生物識(shí)別信息、通信方式、住址、行蹤軌跡等個(gè)人信息類型之外，通過網(wǎng)絡(luò)平臺(tái)、電子數(shù)據(jù)記錄的信息，例如網(wǎng)絡(luò)身份標(biāo)識(shí)、個(gè)人常用設(shè)備、用戶畫像、個(gè)人標(biāo)簽等，也能識(shí)別個(gè)人身份或反映個(gè)人活動(dòng)情況，同樣可能會(huì)被認(rèn)定為“個(gè)人信息”，必要時(shí)也應(yīng)納入法律保護(hù)范圍。《個(gè)人信息刑案解釋》將刑法中的“公民個(gè)人信息”區(qū)分為個(gè)人敏感信息與一般個(gè)人信息，〔4〕《安全規(guī)范》3.2 規(guī)定：“個(gè)人敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息?！眱烧叩牟煌幵谟?，前者人格權(quán)屬性較強(qiáng)，一般是不可交易和被他人收集利用的；后者人格權(quán)屬性較弱，具有一定的財(cái)產(chǎn)性，是可以交易并由他人收集利用的，但須經(jīng)過權(quán)利主體知情同意。個(gè)人信息作為一種權(quán)利客體或行為對(duì)象，所涉權(quán)益內(nèi)容廣泛，從隱私權(quán)、名譽(yù)權(quán)逐漸發(fā)展成為一個(gè)權(quán)利系統(tǒng)，包括知情權(quán)、同意權(quán)、訪問權(quán)、可攜帶權(quán)、收益權(quán)、更正權(quán)、處理權(quán)、刪除權(quán)等一系列子權(quán)利。同時(shí)，在公民個(gè)人信息的收集和使用的過程中，初始權(quán)利主體逐漸不再擁有對(duì)個(gè)人信息完全的控制，信息權(quán)利主體也呈現(xiàn)多元化，從初始權(quán)利主體擴(kuò)展至收集者、使用者及管理者。從我國民法上看，所謂“隱私權(quán)”過去并沒有被作為獨(dú)立的人格權(quán)看待，其實(shí)并不是一種法定權(quán)利，只是被納入名譽(yù)權(quán)的范圍，間接地受到有限法律保護(hù)?！睹穹ǖ洹啡烁窬幍?034 條規(guī)定，個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定，從而將隱私權(quán)作為獨(dú)立的人格權(quán)加以保護(hù)。關(guān)于隱私權(quán)與個(gè)人信息權(quán)的關(guān)系，在法學(xué)界和司法實(shí)踐中一直存在認(rèn)識(shí)分歧，有的觀點(diǎn)認(rèn)為，個(gè)人隱私與個(gè)人信息呈交叉關(guān)系，其中的交叉重疊部分就是個(gè)人敏感信息或者私密信息；有的觀點(diǎn)則認(rèn)為，隱私權(quán)是一種民事權(quán)利，個(gè)人信息則是一種民事權(quán)益，隱私權(quán)作為高位階的權(quán)利，具有適用的優(yōu)先性?！?〕參見張新寶：《個(gè)人信息收集：告知同意原則適用的限制》，載《比較法研究》2019 年第6 期。本文同意后一種觀點(diǎn)。如前所述，個(gè)人信息權(quán)并不限于隱私權(quán)，盡管后者是其最重要、最核心的內(nèi)容。比較來說，個(gè)人信息權(quán)的法律保護(hù)屬于弱保護(hù)，而隱私權(quán)的法律保護(hù)則屬于強(qiáng)保護(hù)，后者是公民人格權(quán)中涉及人格尊嚴(yán)的核心部分；一般個(gè)人信息大多不需要權(quán)利主體明示同意也可收集，但對(duì)于私密敏感信息不能僅僅通過知情同意權(quán)加以保護(hù)，而是應(yīng)優(yōu)先適用隱私權(quán)保護(hù)。然而，當(dāng)個(gè)人私密、敏感信息經(jīng)過去識(shí)別化“脫敏”技術(shù)處理之后，成為單純的個(gè)人數(shù)據(jù)，人格權(quán)屬性減弱，財(cái)產(chǎn)屬性和交易價(jià)值相應(yīng)地增強(qiáng)，其社會(huì)公共屬性得以體現(xiàn)和凸顯。在互聯(lián)網(wǎng)和大數(shù)據(jù)背景下，個(gè)人信息所蘊(yùn)含的保護(hù)法益內(nèi)容逐漸呈現(xiàn)出復(fù)合性、多元化特征，從個(gè)體的人格權(quán)擴(kuò)展至公共利益、社會(huì)秩序和國家安全，法律將面臨如何在權(quán)利保護(hù)和價(jià)值利用、信息自由與信息安全方面進(jìn)行利益平衡和價(jià)值選擇的問題。對(duì)此，有學(xué)者主張法律應(yīng)著力保護(hù)“數(shù)據(jù)安全法益”，即數(shù)據(jù)的保密性、完整性和可用性的保護(hù)，維護(hù)數(shù)據(jù)在社會(huì)往來中的安全性和可信賴性；〔6〕參見楊志瓊：《我國數(shù)據(jù)犯罪的司法困境與出路：以數(shù)據(jù)安全法益為中心》，載《環(huán)球法律評(píng)論》2019 年第6 期。在從法律上明確規(guī)定對(duì)個(gè)人信息的基本人格權(quán)益加以保護(hù)的同時(shí)，積極鼓勵(lì)對(duì)個(gè)人信息的經(jīng)濟(jì)價(jià)值進(jìn)行有效利用，并實(shí)現(xiàn)兩者之間的平衡?！?〕參見王利明：《人格利益許可利用規(guī)則蘊(yùn)含五大價(jià)值》，載《檢察日?qǐng)?bào)》2020 年1 月13 日，第3 版。

上述對(duì)個(gè)人信息所蘊(yùn)含的法益屬性的認(rèn)識(shí)，對(duì)于刑法中相關(guān)罪名的認(rèn)定及區(qū)分彼罪來說是很關(guān)鍵的。在我國《刑法》中，侵犯公民個(gè)人信息罪被設(shè)置于分則第四章侵犯公民人身權(quán)利、民主權(quán)利罪，說明了刑法對(duì)該罪名的主要客體定位于公民個(gè)人的人身自由權(quán)益。有學(xué)者就此認(rèn)為，侵犯公民個(gè)人信息罪所保護(hù)的法益就應(yīng)當(dāng)是公民個(gè)體權(quán)利，而絕非公共秩序或者社會(huì)利益?！?〕參見于沖：《侵犯公民個(gè)人信息罪中“公民個(gè)人信息”的法益屬性與入罪邊界》，載《政治與法律》2018 年第4 期。這種觀點(diǎn)值得商榷，因?yàn)槠鋵⑿谭ㄖ械耐惪腕w和直接客體簡(jiǎn)單地予以等同，將前者直接替代后者予以認(rèn)定，是不合理的。雖然侵犯公民個(gè)人信息罪歸屬于侵犯公民人身權(quán)利罪，只能說明其主要客體的性質(zhì)是個(gè)人法益，而個(gè)罪所侵犯的直接客體應(yīng)當(dāng)具有其多樣化的個(gè)性特征，因而并不排除其次要客體具有社會(huì)公共法益屬性。刑法對(duì)公民個(gè)人信息的保護(hù)不限于單一、平面的個(gè)人法益，而是包含了“超個(gè)人法益”，即個(gè)人信息所蘊(yùn)含的公共利益、社會(huì)秩序乃至公共安全。比如《網(wǎng)絡(luò)安全法》中有關(guān)個(gè)人信息保護(hù)的內(nèi)容，就是著重從保障信息網(wǎng)絡(luò)安全的角度作出的規(guī)定，該法對(duì)網(wǎng)絡(luò)運(yùn)營者提出的義務(wù)要求，就不僅僅是出于對(duì)個(gè)人信息權(quán)利保護(hù)的角度考慮的，而《網(wǎng)絡(luò)安全法》作為《刑法》中侵犯公民個(gè)人信息罪等相關(guān)罪名的前置性法律規(guī)范，其法益保護(hù)價(jià)值取向也必然反映在這些罪名的構(gòu)成要件要素當(dāng)中。須指出，《個(gè)人信息刑案解釋》 設(shè)定了侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”“情節(jié)特別嚴(yán)重”的定罪標(biāo)準(zhǔn)，采取了“混合型”認(rèn)定模式，列舉了包括個(gè)人信息的類型、數(shù)量、用途，犯罪行為違法所得等諸多方面，其中不乏人身危險(xiǎn)性、社會(huì)影響惡劣等要素?！?〕參見石聚航：《“侵犯公民個(gè)人信息罪情節(jié)嚴(yán)重”的法理重述》，載《法學(xué)研究》2018 年第2 期。然而，比較而言，公民個(gè)人法益的保護(hù)內(nèi)容具體、明確，而社會(huì)公共法益內(nèi)容概括、模糊，在區(qū)分罪與非罪的界限上，個(gè)人法益仍是主要考慮因素，正如有學(xué)者指出，“在各種考量中，人權(quán)和公民權(quán)利具有優(yōu)先性”，〔10〕張文顯： 《法治與國家治理現(xiàn)代化》，載《中國法學(xué)》2014 年第 4 期，第10 頁。對(duì)于公民個(gè)人信息的“超個(gè)人法益”，需要基于風(fēng)險(xiǎn)預(yù)防的刑法理念和刑法體系的角度，根據(jù)所涉?zhèn)€人信息安全的等級(jí)層次及其所可能遭受侵害的危險(xiǎn)程度，從行為犯、危險(xiǎn)犯、結(jié)果犯的不同層面，實(shí)行多層次、等級(jí)化的刑法應(yīng)對(duì)。以此避免因追求社會(huì)公共安全而不當(dāng)損害個(gè)體權(quán)利自由，這也是刑法謙抑性精神的體現(xiàn)。

（二）個(gè)人信息自決權(quán)與知情同意原則

所謂“知情同意”，即公民個(gè)人信息的收集或利用者應(yīng)明確告知信息權(quán)利主體相關(guān)情況并征得其同意，也有學(xué)者稱其為“告知同意”?！?1〕同前注〔5〕 ，張新寶文。從國外相關(guān)立法來看，2015 年德國的《聯(lián)邦數(shù)據(jù)保護(hù)法》（BDSG）專門規(guī)定了數(shù)據(jù)主體的獲取答復(fù)、被通知、更正、刪除、封鎖及反對(duì)的權(quán)利。2018 年歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）較為全面地規(guī)定了歐盟公民享有對(duì)個(gè)人數(shù)據(jù)處理的各項(xiàng)權(quán)利，其中最重要的是個(gè)人知情同意的基礎(chǔ)權(quán)利。2018 年美國加州消費(fèi)者隱私立法創(chuàng)設(shè)的各項(xiàng)權(quán)利，與歐盟GDPR 中數(shù)據(jù)權(quán)利的內(nèi)容并無二致。在國際法領(lǐng)域，個(gè)人信息知情同意原則也在相關(guān)國際規(guī)范性文件中得到確認(rèn)。如世界經(jīng)濟(jì)合作與發(fā)展組織（OECD）頒布的《關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通的指南》指出，在多數(shù)情況下個(gè)人信息數(shù)據(jù)的收集行為不僅要獲得信息數(shù)據(jù)主體的同意，還要限于為實(shí)現(xiàn)征求同意通知書中所表明的目的之必要的最小信息數(shù)據(jù)量，且該信息數(shù)據(jù)在沒有獲得新的同意時(shí)不得用于其他不相關(guān)的目的。〔12〕參見高富平：《個(gè)人數(shù)據(jù)保護(hù)和利用國際規(guī)則：源流與趨勢(shì)》，法律出版社2016 年版，第36 頁。

關(guān)于個(gè)人信息自決權(quán)的性質(zhì)以及法律地位，有學(xué)者認(rèn)為，侵犯公民個(gè)人信息罪的法益性質(zhì)是個(gè)人信息自決權(quán)，而不是其他個(gè)人法益。〔13〕參見劉艷紅：《民法編纂背景下侵犯公民個(gè)人信息罪的保護(hù)法益：信息自決權(quán)——以刑民一體化及〈民法總則〉第111 條為視角》，載《浙江工商大學(xué)學(xué)報(bào)》2019 年第6 期。有學(xué)者則認(rèn)為，“個(gè)人信息自決權(quán)”在內(nèi)并非是一種法律所規(guī)定并加以保護(hù)的權(quán)利，法律所保護(hù)的只是防止個(gè)人信息被濫用的“前置性保護(hù)規(guī)范”?！?4〕參見楊芳：《個(gè)人信息保護(hù)法保護(hù)客體之辨》，載《比較法研究》2017 年第5 期。后一種觀點(diǎn)是值得討論的?！毒W(wǎng)絡(luò)安全法》第41 條規(guī)定，網(wǎng)絡(luò)運(yùn)營者須經(jīng)過個(gè)人信息主體同意之后，才能進(jìn)行收集和使用。此條規(guī)定直接體現(xiàn)個(gè)人信息主體個(gè)人意志的“法益自決權(quán)”，〔15〕參見冀洋：《法益自決權(quán)與侵犯公民個(gè)人信息罪的司法邊界》，載《中國法學(xué)》2019 年第4 期。即公民能夠自主決定同意他人對(duì)其本人信息進(jìn)行收集、儲(chǔ)存、處理以及利用的權(quán)利，〔16〕參見姚岳絨：《論信息自決權(quán)作為一項(xiàng)基本權(quán)利在我國的證成》，載《政治與法律》2012 年第4 期。個(gè)人信息自決權(quán)的核心內(nèi)容就是信息主體的知情同意權(quán)。也有學(xué)者認(rèn)為，知情同意權(quán)不是獨(dú)立的民事權(quán)利，它本身并沒有分離或單獨(dú)轉(zhuǎn)讓的價(jià)值，只是個(gè)人信息權(quán)的具體權(quán)能；盡管知情同意原則的實(shí)現(xiàn)因技術(shù)上或人為的因素而遭遇到實(shí)際障礙，但仍是目前不可替代的最優(yōu)選擇，“法律不能以個(gè)人信息用戶行使權(quán)利困難為由，虛置或拋棄個(gè)人信息知情同意的基本原則”。〔17〕葉名怡：《論個(gè)人信息權(quán)的基本范疇》，載《清華法學(xué)》2018 年第5 期，第154 頁。我國立法首先應(yīng)將個(gè)人信息權(quán)確立為具體人格權(quán)，并進(jìn)一步明確為個(gè)人信息主體的知情、同意、查詢、更正、補(bǔ)充、刪除、封鎖等權(quán)利內(nèi)容。另外，關(guān)于知情同意的具體方式，《安全規(guī)范》修訂草案第4 條明確了“選擇同意”原則，即區(qū)分基本功能和擴(kuò)展功能，摒棄《安全規(guī)范》原規(guī)定的“概括同意”的方式，并通過交互界面或設(shè)計(jì)的方式，強(qiáng)化了“明示同意”的合規(guī)性要求。

須指出，法律并不是僅僅保護(hù)公民個(gè)人信息的知情同意權(quán)，而是要對(duì)個(gè)人信息的合理使用、分享和處理加以保護(hù)，這是信息網(wǎng)絡(luò)時(shí)代下的一種必然的選擇。如歐盟的《通用數(shù)據(jù)保護(hù)條例》規(guī)定了六種個(gè)人信息使用的合法性基礎(chǔ)，用戶知情同意只是其中一種情形，此外還包括符合用戶、企業(yè)及公共利益的需要等情形?！?8〕參見林洹民：《個(gè)人信息保護(hù)中知情同意原則的困境與出路》，載《北京航空航天大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版）》2018 年第3 期。除了《民法典》第1035 條的規(guī)定之外，《網(wǎng)絡(luò)安全法》第41 條規(guī)定，收集使用個(gè)人信息，除了法律規(guī)定的例外情形，必須是合法、正當(dāng)、必要的，且須經(jīng)權(quán)利主體同意?！?9〕另外，《安全規(guī)范》修訂草案第4 條b 項(xiàng)規(guī)定，收集利用個(gè)人信息需要具有“合法、正當(dāng)、必要、明確”的目的；《告知同意指南》第6.1 條詳細(xì)列舉了收集使用個(gè)人信息時(shí)，與個(gè)人信息控制者履行法律法規(guī)規(guī)定的強(qiáng)制性義務(wù)相關(guān)，與國家安全、國防安全、犯罪偵查直接相關(guān)的免于告知同意的情形。例如，甲某收到某職場(chǎng)類APP 向其推送的商業(yè)廣告信息，但甲某并未注冊(cè)該APP，遂訴至法院，要求該款A(yù)PP的運(yùn)營方乙公司停止侵權(quán)并給予賠償。法院在審理中發(fā)現(xiàn)，原告甲曾在被告乙公司旗下注冊(cè)過另一款掃描類APP，而被告將原告的手機(jī)號(hào)碼信息“共享”給了同一公司的職場(chǎng)類APP。法院認(rèn)為，被告未經(jīng)原告同意將APP 用戶信息進(jìn)行內(nèi)部“共享”，違反《消費(fèi)者權(quán)益保護(hù)法》第29 條的規(guī)定，但在原告明確表示不同意后，被告并未再次發(fā)送商業(yè)信息且未造成任何損失，故判決駁回原告的訴訟請(qǐng)求。原告某甲不服，提出上訴，二審法院認(rèn)為，被告獲取原告?zhèn)€人信息是由原告主動(dòng)提供的，被告獲取原告?zhèn)€人信息的方式并沒有違法性，不應(yīng)認(rèn)定為侵權(quán)，因而維持一審判決。本案中，一、二審法院的判決及理由其實(shí)并不妥當(dāng)，也不利于公民個(gè)人信息權(quán)益的有效保障?！断M(fèi)者權(quán)益保護(hù)法》等相關(guān)法律法規(guī)均明確規(guī)定，收集、使用公民個(gè)人信息者，未經(jīng)本人同意不得提供給他人，其中也當(dāng)然包括本案中APP運(yùn)營公司內(nèi)部之間的所謂“共享”行為，這種“共享”其實(shí)是過度濫用或不當(dāng)泄露，既不正當(dāng)又不合法。即便是同一公司下屬的不同APP 之間實(shí)現(xiàn)用戶信息共享，也是屬于間接收集、使用個(gè)人信息的行為，應(yīng)當(dāng)采取明示的方式，事先取得用戶的同意。本案中被告的行為違反了個(gè)人信息知情同意原則，應(yīng)具有侵權(quán)行為性質(zhì)，情節(jié)嚴(yán)重的，也可能構(gòu)成犯罪。

（三）APP 個(gè)人信息知情同意保護(hù)的刑法理念

個(gè)人信息的權(quán)利保護(hù)和價(jià)值利用就像一枚硬幣的兩面，個(gè)人信息自由與信息安全的價(jià)值取向既是對(duì)立的，又統(tǒng)一于保護(hù)和利用的利益衡量當(dāng)中。從廣泛的意義上說，信息自由不僅包括公民個(gè)體的權(quán)利自由，而且包括其他自然人、企業(yè)機(jī)構(gòu)的信息使用權(quán)利和國家政府的管理職權(quán)；而信息安全實(shí)際上也包括國家、社會(huì)和個(gè)人不同層面的法益內(nèi)涵，“個(gè)人信息安全權(quán)”也是公民個(gè)人信息權(quán)利的重要內(nèi)容。在個(gè)人信息安全領(lǐng)域，自由與安全的二元價(jià)值在一定程度上形成較為緊張的關(guān)系，如何把握合理的風(fēng)險(xiǎn)調(diào)控力度與限度，既能保護(hù)公民個(gè)人信息的基本權(quán)利、核心利益（如隱私權(quán)），又能有效促進(jìn)個(gè)人信息的價(jià)值利用，推動(dòng)數(shù)據(jù)經(jīng)濟(jì)發(fā)展，是我們?cè)诿鎸?duì)APP 個(gè)人信息保護(hù)所要考慮的深層次問題。對(duì)此，有學(xué)者提出“兩頭強(qiáng)化”的理念，在強(qiáng)化個(gè)人敏感信息基本人格權(quán)保護(hù)的同時(shí)，又強(qiáng)化個(gè)人一般信息經(jīng)濟(jì)價(jià)值的利用，強(qiáng)調(diào)“保護(hù)”與“利用”并重，實(shí)現(xiàn)個(gè)人、社會(huì)和國家多方利益平衡。〔20〕同前注〔7〕，王利明文。由此聯(lián)想到，自今年初新型冠狀病毒感染肺炎疫情暴發(fā)以來，疫情信息時(shí)刻牽動(dòng)著每個(gè)人的敏感神經(jīng)，在朋友圈、微信群等自媒體和網(wǎng)絡(luò)空間，充斥著大量有關(guān)疫情的信息數(shù)據(jù)的文字、圖片和視頻，不少網(wǎng)民“人肉搜索”和曝光確診患者、疑似患者或密切接觸者本人甚至其家庭成員的個(gè)人隱私信息，對(duì)涉疫情“重點(diǎn)人員”進(jìn)行區(qū)別對(duì)待、歧視甚至譴責(zé)。不少地方以防疫之名采取懸賞舉報(bào)等不當(dāng)甚至極端的方式，違法違規(guī)收集使用個(gè)人信息問題突出，個(gè)人信息保護(hù)方面公共安全和個(gè)人利益的矛盾沖突問題被無限放大。例如，某地公安機(jī)關(guān)推出“疫情防控調(diào)查登記APP”但沒有得到統(tǒng)一使用；有的社區(qū)采用保險(xiǎn)公司等機(jī)構(gòu)提供的APP 采集信息，有的則是用自己的PAD 上門登記，這些由基層社區(qū)和單位收集和保存的個(gè)人信息數(shù)據(jù)基本處于無監(jiān)管狀態(tài)。不少互聯(lián)網(wǎng)公司憑借大數(shù)據(jù)技術(shù)能力，為政府部門防控疫情提供了海量的信息數(shù)據(jù)，其中當(dāng)然也涉及到公民個(gè)人隱私信息保護(hù)問題。不可否認(rèn)，當(dāng)前防控疫情是政府部門面臨的首要任務(wù)，根據(jù)防疫需要可將公民個(gè)人信息作為疫情信息予以收集和使用，甚至作為公共疫情信息向社會(huì)公開，公民在必要時(shí)須讓渡個(gè)人信息權(quán)利、承擔(dān)公共安全保障義務(wù)和責(zé)任。政府部門和相關(guān)企業(yè)機(jī)構(gòu)收集使用個(gè)人疫情信息，要依法保障公民個(gè)人的隱私權(quán)等基本人格權(quán)益，不能顧此失彼?！?1〕中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室于2 月4 日發(fā)出《關(guān)于做好個(gè)人信息保護(hù)利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》要求，在疫情防控工作中要高度重視個(gè)人信息保護(hù)工作，收集個(gè)人信息應(yīng)參照國家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》，堅(jiān)持最小范圍原則，收集對(duì)象原則上限于確診者、疑似者、密切接觸者等重點(diǎn)人群，防止形成對(duì)特定地域人群的事實(shí)上歧視；為疫情防控、疾病防治收集的個(gè)人信息，不得用于其他用途，未經(jīng)被收集者同意不得公開其個(gè)人信息，因聯(lián)防聯(lián)控工作需要，且經(jīng)過脫敏處理的除外等。

近年來，我國有關(guān)公民個(gè)人信息犯罪的刑事立法處于不斷擴(kuò)張態(tài)勢(shì)，法益保護(hù)的鏈條不斷拉長，刑法修正立法較為頻繁，司法解釋趨于細(xì)密化，同時(shí)也離不開《網(wǎng)絡(luò)安全法》等非刑事法律法規(guī)作為認(rèn)定犯罪的前置性規(guī)范，但《網(wǎng)絡(luò)安全法》主要是針對(duì)網(wǎng)絡(luò)經(jīng)營者提出保障網(wǎng)絡(luò)安全的義務(wù)要求，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管控的價(jià)值取向明顯。受此管控型立法模式的影響，在個(gè)人信息權(quán)利保護(hù)方面自然存在不足；不同刑法規(guī)范、不同罪名之間也存在交叉競(jìng)合和沖突等問題，尚未形成對(duì)公民個(gè)人信息權(quán)利完整的體系化保護(hù)。立足于現(xiàn)實(shí)刑事立法，如何確立個(gè)人信息刑法保護(hù)的體系化和整體性理念，處理好刑法與民法、行政法等部門法及其他制度規(guī)范之間的關(guān)系，克服立法“碎片化”的制度缺陷，實(shí)現(xiàn)個(gè)人權(quán)利自由和社會(huì)公共安全的雙層保護(hù)，促進(jìn)個(gè)人信息保護(hù)和利用的利益平衡，顯得非常必要和有意義?？傊?，個(gè)人信息的法律保護(hù)應(yīng)以信息自決權(quán)為核心，兼顧保護(hù)信息主體權(quán)利和促進(jìn)信息流通利用的平衡。在APP 個(gè)人信息的收集、使用過程中，APP 經(jīng)營者需要尊重用戶的知情同意權(quán)；同時(shí)，知情同意原則要受合法性、正當(dāng)性、必要性原則的約束，如果APP 經(jīng)營者對(duì)用戶個(gè)人信息的收集、使用是經(jīng)過其同意，并以正當(dāng)、必要的方式進(jìn)行的，同樣應(yīng)受到包括刑法在內(nèi)的法律保護(hù)。

三、APP 運(yùn)營者的保護(hù)義務(wù)及侵權(quán)行為定性

在我國《刑法》與個(gè)人信息保護(hù)相關(guān)的罪名當(dāng)中，侵犯公民個(gè)人信息罪處于核心位置。根據(jù)《刑法》第253 條之一的規(guī)定，該罪名屬于較為典型的“法定犯”。在APP 用戶個(gè)人信息的刑法保護(hù)方面，應(yīng)將刑法置于與民法、行政法緊密關(guān)聯(lián)的法律體系框架下，合理界定APP 運(yùn)營者個(gè)人信息保護(hù)義務(wù)，盡量將違法違規(guī)行為堵截在民事歸責(zé)或行政處罰階段進(jìn)行處置，恰當(dāng)?shù)匕l(fā)揮刑法的懲治功效，同時(shí)也能保障其他部門法得到更好地運(yùn)用。

（一）APP 運(yùn)營者保護(hù)用戶個(gè)人信息的義務(wù)規(guī)范

作為個(gè)人信息安全保護(hù)方面的國家標(biāo)準(zhǔn)，《安全規(guī)范》第5 條至第8 條及附錄C 根據(jù)《網(wǎng)絡(luò)安全法》中確立的“正當(dāng)、合法、必要”原則和“公開、明示、最少”原則，對(duì)收集、使用個(gè)人信息行為提出了具體要求，對(duì)個(gè)人信息生命周期過程如何處理也做了全面完整的規(guī)定，發(fā)揮著重要的行業(yè)規(guī)范的指引功能?！栋踩?guī)范》也為APP 運(yùn)營者依法合規(guī)地收集使用個(gè)人信息提供了行為標(biāo)準(zhǔn)。2019 年《安全規(guī)范》修訂草案增加了不得強(qiáng)迫收集個(gè)人信息的要求；修改了征得授權(quán)同意的“例外”情形，修改了保障個(gè)人信息主體選擇同意權(quán)的方法；在區(qū)分基本業(yè)務(wù)和擴(kuò)展業(yè)務(wù)兩種功能的基礎(chǔ)上規(guī)定了“告知和明示同意”的相關(guān)要求。《APP 信息規(guī)范》則專門針對(duì)APP 經(jīng)營者收集個(gè)人信息行為做出了更加細(xì)化的管理要求和技術(shù)要求。根據(jù)《安全規(guī)范》《APP 信息規(guī)范》的規(guī)定，APP 運(yùn)營者在收集、使用公民個(gè)人信息過程中的行為規(guī)范和保護(hù)義務(wù)主要包括以下情形：

APP 運(yùn)營者收集個(gè)人信息的義務(wù)要求。主要包括：（1）APP 運(yùn)營者收集個(gè)人信息行為應(yīng)遵循合法性原則，不得采取欺詐、誘騙、誤導(dǎo)的方式進(jìn)行收集，也不得隱瞞相關(guān)產(chǎn)品或服務(wù)本身所具有的收集個(gè)人信息的技術(shù)功能；行為人不得從不正當(dāng)渠道間接獲取公民個(gè)人信息，也不得收集法律法規(guī)明令禁止收集的個(gè)人信息，也不得違背信息主體的自主意愿，提出強(qiáng)制性收集個(gè)人信息的請(qǐng)求。（2）APP 運(yùn)營者在收集公民個(gè)人信息之前，應(yīng)明確告知信息主體所提供APP 產(chǎn)品或服務(wù)的業(yè)務(wù)功能及相關(guān)規(guī)則，并征得其授權(quán)同意；間接獲取個(gè)人信息，應(yīng)要求提供方說明個(gè)人信息的合法來源及授權(quán)范圍；收集個(gè)人信息超出該授權(quán)同意范圍或收集個(gè)人敏感信息，都應(yīng)取得信息主體的明示同意，即使信息主體不同意，也不能以此為由停止提供APP 核心業(yè)務(wù)功能等。（3）在保障信息主體選擇同意權(quán)方面，APP 運(yùn)營者應(yīng)將基本業(yè)務(wù)功能和擴(kuò)展業(yè)務(wù)功能區(qū)分開來。在基本業(yè)務(wù)功能開啟前，應(yīng)通過彈窗、文字說明、填寫框等交互界面或設(shè)計(jì)，向信息主體告知，并通過信息主體對(duì)信息收集做出肯定性動(dòng)作征得其明示同意；在擴(kuò)展業(yè)務(wù)功能首次使用前，應(yīng)通過交互界面或設(shè)計(jì)向個(gè)人信息主體告知，并允許個(gè)人信息主體對(duì)擴(kuò)展業(yè)務(wù)功能逐項(xiàng)選擇同意，也不能因?yàn)槠洳煌舛芙^提供基本業(yè)務(wù)功能或降低服務(wù)質(zhì)量。（4）APP 運(yùn)營者應(yīng)制定隱私政策，隱私政策所告知的信息應(yīng)真實(shí)、準(zhǔn)確、完整，內(nèi)容清晰易懂，公開發(fā)布且易于訪問，在本條所載事項(xiàng)發(fā)生變化時(shí)，應(yīng)及時(shí)更新隱私政策并重新告知個(gè)人信息主體等。

APP 運(yùn)營者使用個(gè)人信息的規(guī)范和義務(wù)。主要包括：（1）APP 運(yùn)營者在使用用戶個(gè)人信息時(shí)，除目的所必需外，應(yīng)適當(dāng)進(jìn)行去識(shí)別化處理，避免指向或定位到特定個(gè)人，對(duì)APP 用戶個(gè)人信息的處理權(quán)限應(yīng)在原來收集個(gè)人信息時(shí)信息主體的授權(quán)同意的范圍之內(nèi)；確實(shí)需要超出授權(quán)范圍的，應(yīng)再次征得用戶個(gè)人的明示同意才能進(jìn)行。（2）APP 運(yùn)營者應(yīng)向用戶提供訪問和了解其所持有的關(guān)于該用戶個(gè)人信息來源、用途目的等相關(guān)信息的途徑和方法；如果APP 用戶發(fā)現(xiàn)運(yùn)營者所持有的個(gè)人信息有誤，后者應(yīng)為其提供請(qǐng)求更正或補(bǔ)充信息的方法。（3）APP 運(yùn)營者如果違法違規(guī)或雙方約定使用用戶個(gè)人信息，后者要求刪除的，應(yīng)立即停止共享、轉(zhuǎn)讓、披露等違法違規(guī)行為，并通知第三方及時(shí)刪除相應(yīng)的個(gè)人信息，并向用戶撤回同意授權(quán)提供途徑和方法等。（4）除了收購、兼并、重組原因之外，APP 運(yùn)營者共享、轉(zhuǎn)讓個(gè)人信息的，應(yīng)向用戶告知其使用目的以及接收方的情況，征得其授權(quán)同意；如果涉及用戶個(gè)人敏感信息，必須向其明確告知并征得其明示同意；當(dāng)APP 運(yùn)營者發(fā)生收購、兼并、重組等變更的情況，應(yīng)向用戶告知有關(guān)情況，如果變更個(gè)人信息使用目的，應(yīng)重新取得用戶的明示同意。（5）個(gè)人信息原則上不得公開披露。APP 運(yùn)營者經(jīng)法律授權(quán)或具備合理事由確需公開披露時(shí)，應(yīng)充分重視風(fēng)險(xiǎn)，向用戶告知公開披露個(gè)人信息的目的、類型，并事先征得其明示同意；公開披露用戶個(gè)人敏感信息，還應(yīng)向用戶告知涉及的個(gè)人敏感信息的內(nèi)容。（6）當(dāng)APP 運(yùn)營者與第三方為共同個(gè)人信息控制者時(shí)，應(yīng)通過合同等形式與第三方共同確定應(yīng)滿足的個(gè)人信息安全要求，以及自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù)，并向用戶明確告知。

另外，《APP 認(rèn)定方法》列舉了違法違規(guī)收集、使用APP 個(gè)人信息的具體行為類型，其中大多涉及侵犯APP 用戶個(gè)人知情同意的基本權(quán)利。主要包括：未公開收集使用規(guī)則；未明示收集使用個(gè)人信息的目的、方式和范圍；未經(jīng)用戶同意收集使用個(gè)人信息；違反必要原則收集與其提供的服務(wù)無關(guān)的個(gè)人信息；未經(jīng)同意向他人提供個(gè)人信息；未按法律規(guī)定提供刪除或更正個(gè)人信息功能或未公布投訴、舉報(bào)方式等信息等。須指出，與《安全規(guī)范》《APP 基本規(guī)范》一樣，《認(rèn)定方法》不具有法律效力，不能直接作為認(rèn)定APP 運(yùn)營者違法違規(guī)收集使用個(gè)人信息的行為是否構(gòu)成犯罪的前置性規(guī)范。上述未經(jīng)APP 用戶知情同意而收集使用個(gè)人信息的行為也不必然違反刑法意義上的保護(hù)義務(wù)，反之，APP 用戶知情同意也不必然能夠成為排除上述行為的刑事違法性的事由。

（二）侵犯APP 個(gè)人信息行為的刑事違法性判斷

基于“法秩序統(tǒng)一性”原理，從刑法與民法、行政法等各部門法銜接協(xié)調(diào)的角度，對(duì)于侵犯公民個(gè)人信息犯罪的刑事違法性判斷，須把握以下幾點(diǎn)：其一，在民法或行政法中屬于合法的行為，就不可能判斷其具有刑事違法性，不可能得出相互矛盾的結(jié)論，民法或行政法中的合法性可作為排除刑事違法性的事由；其二，在民法或行政中規(guī)定屬于違法的行為，具備刑事違法性的前提，但不必然具有刑事違法性，須符合刑法所規(guī)定的犯罪構(gòu)成要件；其三，在民法或行政法中沒有規(guī)定或不違法的行為，不需要民事或行政違法性判斷為前提，可依據(jù)刑法規(guī)定直接認(rèn)定其具有刑事違法性；其四，在民法或行政法的規(guī)定存在沖突、違法性判斷不一致的情況下，可依據(jù)第一、二種判斷規(guī)則，予以刑事違法性判斷。

對(duì)于侵犯公民個(gè)人信息罪而言，要判斷某行為是否具有刑事違法性，須以行為人違反前置性法律法規(guī)為前提。目前以《網(wǎng)絡(luò)安全法》為主要依據(jù)。目前，《網(wǎng)絡(luò)安全法》等相關(guān)立法對(duì)信息網(wǎng)絡(luò)服務(wù)者、經(jīng)營者保護(hù)公民個(gè)人信息的法律義務(wù)規(guī)定得尚不明確，難以為認(rèn)定其是否具有侵犯公民個(gè)人信息罪的刑事違法性提供必要和充分的依據(jù)。相對(duì)來說，諸如《安全規(guī)范》等國家行業(yè)標(biāo)準(zhǔn)文件對(duì)公民個(gè)人信息的保護(hù)范圍更為廣泛，對(duì)收集、利用個(gè)人信息行為的要求更為嚴(yán)格。如何在參照國家行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)上，對(duì)“違反國家有關(guān)規(guī)定”進(jìn)行違法性判斷，合理界定APP 運(yùn)營者保護(hù)個(gè)人信息的作為義務(wù)，是認(rèn)定其構(gòu)成侵犯公民個(gè)人信息罪及承擔(dān)刑事責(zé)任的前提和關(guān)鍵。作為個(gè)人信息安全方面的國家行業(yè)標(biāo)準(zhǔn)，《安全規(guī)范》及附錄C 對(duì)于《網(wǎng)絡(luò)安全法》中“正當(dāng)、合法、必要”以及“公開、明示、最少”收集個(gè)人信息的義務(wù)要求做了具體描述，對(duì)個(gè)人信息生命周期的處理同樣做了完整的規(guī)定，在一定程度上發(fā)揮了替代規(guī)制功能。2019 年的《安全規(guī)范》 修訂草案在原有規(guī)范文本的基礎(chǔ)上，增加規(guī)定了“不得強(qiáng)迫收集個(gè)人信息的要求”；修改了保障個(gè)人信息主體選擇同意權(quán)的方法，修改了征得授權(quán)同意的“例外”情形，增加了基本業(yè)務(wù)功能、擴(kuò)展業(yè)務(wù)功能的告知和明示同意等內(nèi)容。在此基礎(chǔ)上，《APP 基本規(guī)范》針對(duì)APP 運(yùn)營者收集用戶個(gè)人信息提出了更為細(xì)化、嚴(yán)格的合規(guī)要求。如前所述，《安全規(guī)范》及修訂草案、《APP 基本規(guī)范》 為APP 運(yùn)營者收集、使用個(gè)人信息行為提出了較為具體的合規(guī)標(biāo)準(zhǔn)，但這些行業(yè)規(guī)范不能直接作為判斷其行為是否具有刑事違法性的依據(jù)。應(yīng)當(dāng)在準(zhǔn)確理解《刑法》第253條之一侵犯公民個(gè)人信息罪構(gòu)成要件的基礎(chǔ)上，把握好個(gè)人信息刑法保護(hù)的“最小安全基線”。

另外，關(guān)于《刑法》第253 條之一中的“國家有關(guān)規(guī)定”是否包括地方性法規(guī)、部門規(guī)章，認(rèn)識(shí)并不一致。有的觀點(diǎn)認(rèn)為，在加入“有關(guān)”兩字后，侵犯公民個(gè)人信息罪的前置性規(guī)范的范圍應(yīng)當(dāng)擴(kuò)大至地方性法規(guī)、國家部門規(guī)章和地方政府規(guī)章?！?2〕參見高賀、劉科：《侵犯公民個(gè)人信息犯罪中的三個(gè)問題》，載趙秉志、莫洪憲、齊文遠(yuǎn)主編：《中國刑法改革與適用研究》上卷，中國人民公安大學(xué)出版社2016 年版，第528 頁。反對(duì)者則批評(píng)指出，這意味著司法機(jī)關(guān)在解決具體個(gè)案時(shí)要花費(fèi)巨大的司法成本查明紛繁復(fù)雜的各種法規(guī)、規(guī)章。而且，基于侵犯公民個(gè)人信息違法犯罪的跨地域性，不同地區(qū)、不同層級(jí)的法規(guī)和規(guī)章該如何協(xié)調(diào)也將成為難題。〔23〕參見胡江：《侵犯公民個(gè)人信息罪中違反國家有關(guān)規(guī)定的限縮解釋——兼對(duì)侵犯?jìng)€(gè)人信息刑事案件法律適用司法解釋第2 條之質(zhì)疑》，載《政治與法律》2017 年第11 期。根據(jù)《個(gè)人信息刑案解釋》第2 條規(guī)定，“國家有關(guān)規(guī)定”不局限于國家法律、行政性法規(guī)，還應(yīng)包括部門規(guī)章。同時(shí)，基于罪刑法定和刑法謙抑性原則，應(yīng)將《刑法》第253 條之一“國家有關(guān)規(guī)定”作限制解釋，排除同級(jí)地方性法規(guī)和地方行政規(guī)章，只應(yīng)限定在國務(wù)院所屬的各部、委員會(huì)制定的部門規(guī)章范圍內(nèi)。有學(xué)者從限制解釋的角度，主張部門規(guī)章只有在相關(guān)法律、行政法規(guī)對(duì)個(gè)人信息保護(hù)做出明確、細(xì)化規(guī)定的情況下，才能與法律、行政法規(guī)一起作為判斷行為是否“違反國家有關(guān)規(guī)定”的標(biāo)準(zhǔn)，〔24〕同上注。本文認(rèn)為，參照上述最高人民法院對(duì)有關(guān)“以國務(wù)院辦公廳名義制發(fā)的文件”做出的界定，〔25〕最高人民法院《關(guān)于準(zhǔn)確理解和適用刑法中“國家規(guī)定”的有關(guān)問題的通知》（法〔2011〕155 號(hào)）第1 條規(guī)定：“以國務(wù)院辦公廳名義制發(fā)的文件，符合以下條件的，亦應(yīng)視為刑法中的‘國家規(guī)定’：（1）有明確的法律依據(jù)或者同相關(guān)行政法規(guī)不相抵觸；（2）經(jīng)國務(wù)院常務(wù)會(huì)議討論通過或者經(jīng)國務(wù)院批準(zhǔn)；（3）在國務(wù)院公報(bào)上公開發(fā)布?！敝灰块T規(guī)章同相關(guān)法律、行政法規(guī)不相抵觸，就可以視為“國家有關(guān)規(guī)定”，而不必以法律、行政法規(guī)有明確規(guī)定為前提。

（三）未經(jīng)用戶同意收集使用APP 個(gè)人信息的定性

在前面探討侵犯APP 個(gè)人信息行為的刑事違法性判斷標(biāo)準(zhǔn)基礎(chǔ)上，接下來針對(duì)實(shí)踐中出現(xiàn)的未經(jīng)APP 用戶同意收集使用個(gè)人信息、侵犯其知情同意權(quán)行為的刑法認(rèn)定問題展開具體分析。

根據(jù)《刑法》253 條之一第3 款的規(guī)定，竊取或者以其他方法非法獲取公民個(gè)人信息的行為，依照侵犯公民個(gè)人信息罪定罪處罰。有學(xué)者對(duì)竊取APP 個(gè)人信息的行為定性進(jìn)行了分析，認(rèn)為如果行為人合法進(jìn)入APP 系統(tǒng)竊取公民個(gè)人信息，應(yīng)認(rèn)定為侵犯公民個(gè)人信息罪；如果非法進(jìn)入APP 系統(tǒng)竊取公民個(gè)人信息，同時(shí)也侵犯計(jì)算機(jī)系統(tǒng)安全和信息安全，則可能構(gòu)成《刑法》中的非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪和非法侵入計(jì)算機(jī)信息系統(tǒng)罪?！?6〕參見田宏杰：《竊取APP 里個(gè)人信息的性質(zhì)認(rèn)定》，載《人民檢察》2018 年第7 期。以上涉及侵犯公民個(gè)人信息行為的罪數(shù)問題，應(yīng)根據(jù)案件實(shí)際情況予以判定，并不是本文研究的重點(diǎn)。這里，有必要就253 條之一第3 款中的“非法獲取”行為做進(jìn)一步的理解和把握。根據(jù)該條款規(guī)定，“非法獲取”公民個(gè)人信息，不需要具備“違反國家有關(guān)規(guī)定”的前置性條件，只要違反了有關(guān)個(gè)人信息知情同意保護(hù)的原則性規(guī)定，即視為其對(duì)信息主體的具體人格權(quán)造成了侵犯，從而具有刑法所要求的“非法性”，而不需要對(duì)其違法性再進(jìn)行具體判斷。假如行為人未經(jīng)個(gè)人信息主體同意，獲取隱私、敏感信息以外的一般信息，則需要再對(duì)其“違法性”作出具體判斷，即認(rèn)定其侵犯的具體人格權(quán)實(shí)質(zhì)內(nèi)容。有學(xué)者主張，“非法獲取”行為的違法性判斷應(yīng)當(dāng)與《個(gè)人信息刑案解釋》第4 條保持一致，以是否違反國家有關(guān)規(guī)定作為判斷標(biāo)準(zhǔn)。然而，體系解釋并不意味著對(duì)不同條款中的相同概念進(jìn)行同一解釋，而是應(yīng)當(dāng)聯(lián)系此法條與其他法條的相互關(guān)系進(jìn)行實(shí)質(zhì)合理性解讀。根據(jù)《網(wǎng)絡(luò)安全法》 第41 條規(guī)定，“非法獲取公民個(gè)人信息”包括違反“法律、行政法規(guī)的規(guī)定”和違反“雙方的約定”兩種情況，前者具有行政違法性，后者則具有民事違法性，將其納入法律規(guī)制范圍，更能夠保護(hù)信息權(quán)利人的同意權(quán)或自決權(quán)。如果APP 經(jīng)營者收集用戶個(gè)人信息的行為違反法律法規(guī)或雙方約定的，都可認(rèn)定為“非法獲取”。這種理解能夠?qū)崿F(xiàn)《刑法》與《網(wǎng)絡(luò)安全法》的銜接，也更符合刑法體系解釋的原理。另外，實(shí)踐中往往存在這樣的情況，行為人收集個(gè)人信息的時(shí)候并無意用作其他用途，但最終產(chǎn)生了很多具有創(chuàng)新性的用途，原始的個(gè)人信息提供者無法對(duì)這種尚未可知的用途使用表示是否同意。在此情況下，要求任何包含個(gè)人信息的使用都需要征得個(gè)人同意，實(shí)際上是難以操作的。一般來說，對(duì)于個(gè)人信息初始主體的知情同意權(quán)，法律應(yīng)予以嚴(yán)格保護(hù)，APP 經(jīng)營者一開始收集、利用個(gè)人信息的，必須經(jīng)用戶知情同意；但在個(gè)人信息利用、流通過程中，個(gè)人信息知情同意權(quán)的法律保護(hù)可逐漸放寬，收集者、利用者的信息權(quán)利相應(yīng)地加以保護(hù)，在個(gè)人信息主體的隱私權(quán)等人格基本權(quán)利之外，知情同意可不必采取明示方式，以有利于海量個(gè)人信息流通和有效利用。

以下試舉例進(jìn)行分析。某甲成立一家信息咨詢服務(wù)公司，經(jīng)營網(wǎng)站、APP 研發(fā)等業(yè)務(wù)，以獎(jiǎng)勵(lì)方式向在網(wǎng)站、APP 注冊(cè)會(huì)員的房產(chǎn)中介人員收購房源信息，并安排公司話務(wù)人員冒充房產(chǎn)中介人員，對(duì)上述信息進(jìn)行電話核實(shí)，套取房主準(zhǔn)確房源地址、聯(lián)系電話，獲取個(gè)人房源信息30 萬余條，再以包月等套餐價(jià)格在所經(jīng)營的網(wǎng)站上打包出售給房產(chǎn)中介會(huì)員，共出售獲利人民幣100 余萬元。本案中，甲向其在網(wǎng)站、APP 注冊(cè)會(huì)員的房產(chǎn)中介人員收購的房源信息，是房主為了售賣房屋通過房產(chǎn)中介發(fā)布房源信息，但一般不會(huì)直接向社會(huì)公開具體詳細(xì)的房屋地址、公開自己的姓名、手機(jī)號(hào)碼等個(gè)人身份信息。這種簡(jiǎn)單反映房源真實(shí)存在的信息不屬于刑法中的“公民個(gè)人信息”，而是屬于房屋中介人員擁有并可以支配和使用的商業(yè)信息。然而，甲安排公司話務(wù)人員冒充房屋中介人員向持有房源信息的房屋中介人員套取、收集房主準(zhǔn)確的房源地址、聯(lián)系電話，則屬于刑法中“公民個(gè)人信息”，根據(jù)《解釋》第1 條的規(guī)定，“通信通訊聯(lián)系方式、住址”應(yīng)屬于能夠識(shí)別特定自然人身份的個(gè)人隱私、敏感信息。相對(duì)于一般信息，對(duì)個(gè)人隱私、敏感信息的法律保護(hù)應(yīng)更加嚴(yán)格，個(gè)人信息權(quán)利主體的知情同意權(quán)應(yīng)得到法律的充分保護(hù)。犯罪嫌疑人未經(jīng)房東同意收集房源地址、聯(lián)系電話等個(gè)人隱私、敏感信息，即侵犯了房東的個(gè)人信息知情同意權(quán)，其行為屬于《刑法》第253 條之一規(guī)定的“以其他方法”非法獲取公民個(gè)人信息的行為。在此案中，甲以非法獲利為目的，向網(wǎng)站會(huì)員出售的房源信息包含了房主沒有向社會(huì)公開的房源地址、手機(jī)號(hào)碼等個(gè)人信息，在侵犯了房主作為個(gè)人信息主體知情同意權(quán)的同時(shí)，也侵犯了個(gè)人信息所附著的隱私權(quán)等具體人格權(quán)。將這種出售公民個(gè)人信息的行為認(rèn)定為犯罪，需要具備“違反國家有關(guān)規(guī)定”的前置性條件，僅僅違反個(gè)人信息知情同意保護(hù)的原則性規(guī)定，并不足以符合該罪的犯罪構(gòu)成，還要判斷違反了何種前置性法律規(guī)范，即行為人違反了哪一條“禁止同意出售個(gè)人信息”的“國家有關(guān)規(guī)定”?！?7〕參見劉艷紅：《法定犯與罪刑法定原則的堅(jiān)守》，載《中國刑事法雜志》2018 年第6 期。如果能夠認(rèn)定行為人出售房主客戶個(gè)人信息的行為違反了“國家有關(guān)規(guī)定”，即使取得房主客戶的個(gè)人同意，也應(yīng)認(rèn)為具有“違法性”，具備構(gòu)罪的前提。掌握房東的準(zhǔn)確房源地址、手機(jī)號(hào)碼的房屋中介人員，未經(jīng)房主個(gè)人同意，向甲提供房主的私密敏感信息，就屬于《刑法》中的“提供公民個(gè)人信息”的行為。如果達(dá)到構(gòu)罪的情節(jié)標(biāo)準(zhǔn)，因其屬于將從事房屋中介服務(wù)過程中所獲得的個(gè)人信息出售或者提供給他人，根據(jù)《刑法》第253 條之一第2 款的規(guī)定，應(yīng)予以從重處罰。另外，侵犯公民個(gè)人信息罪是否包括“非法使用”行為？實(shí)踐中，經(jīng)常發(fā)生非法“使用”公民個(gè)人信息的行為，具有嚴(yán)重的社會(huì)危害性，有必要運(yùn)用刑法手段予以規(guī)制。但無論是《刑法》還是《個(gè)人信息刑案解釋》都沒有對(duì)“使用”行為作出規(guī)定。如果將來能夠通過司法解釋的途徑，將個(gè)人信息的使用行為作為獨(dú)立的行為類型與獲取、出售、提供行為并列規(guī)定。將非法使用個(gè)人信息行為納入刑法規(guī)制范圍，既能與民法、行政法等前置法規(guī)保持一致，從而實(shí)現(xiàn)法秩序的統(tǒng)一，又能更加周延地保護(hù)侵犯公民個(gè)人信息罪的法益，彌補(bǔ)先前的漏洞，是十分可取的?！?8〕參見劉仁文：《論非法使用公民個(gè)人信息行為的入罪》，載《法學(xué)論壇》2019 年第6 期。

四、APP 用戶作為被害人同意的出罪事由

如前所述，我國相關(guān)法律、行政法規(guī)及行業(yè)規(guī)范均確立了收集、使用個(gè)人信息的知情同意原則，并且除法律規(guī)定的特殊情況之外，收集、使用個(gè)人信息應(yīng)經(jīng)過信息主體的明示同意。刑法理論上，APP用戶個(gè)人的知情同意可以被看作是一種被害人同意或承諾，具有一定的出罪功能，未經(jīng)APP 用戶知情同意而收集使用個(gè)人信息的行為，也不必然違反刑法意義上的保護(hù)義務(wù)，反之，APP 用戶知情同意也不必然能夠成為排除刑事違法性的事由，但可以成為阻卻或減輕個(gè)人信息侵權(quán)行為刑事責(zé)任的根據(jù)。

（一）個(gè)人信息的法益權(quán)衡：被害人同意的出罪功能

在個(gè)人信息的收集使用過程中，信息流動(dòng)的起點(diǎn)是公民個(gè)體，而在信息流動(dòng)過程中會(huì)涉及個(gè)人信息使用者、網(wǎng)絡(luò)平臺(tái)經(jīng)營者和服務(wù)者等多方主體的相應(yīng)權(quán)利，使其社會(huì)公共屬性得以體現(xiàn)和凸顯。相應(yīng)地，信息權(quán)利主體對(duì)初始個(gè)人信息的控制力會(huì)逐漸減弱，甚至再無施加影響的可能?？梢哉f，個(gè)人信息的權(quán)利保護(hù)和價(jià)值利用在一定程度上存在著零和博弈關(guān)系。法律不能一味強(qiáng)調(diào)對(duì)個(gè)人信息進(jìn)行單純的保護(hù)，而是對(duì)不同信息主體的權(quán)利和義務(wù)進(jìn)行合理分配，在法律允許范圍內(nèi)實(shí)現(xiàn)個(gè)人信息價(jià)值的有效利用，實(shí)現(xiàn)個(gè)人、信息業(yè)者和國家三方利益平衡?！?9〕同前注〔3〕 ，張新寶文。

在學(xué)界，被害人同意（承諾）的出罪功能得到很多學(xué)者的認(rèn)同，但也不乏爭(zhēng)議。關(guān)于被害人同意的正當(dāng)化根據(jù)，存在諸多認(rèn)識(shí)分歧，主要有社會(huì)相當(dāng)性說、法律行為說、利益衡量說、利益放棄說、法律保護(hù)放棄說等?！?0〕參見方軍：《被害人同意：根據(jù)、定位與界限》，載《當(dāng)代法學(xué)》2015 年第5 期。其中，比較有力的是“利益衡量說”，該學(xué)說比較重視個(gè)體對(duì)法益的自由支配和自決權(quán),將被害人同意看作其行使人格自由權(quán)利的表現(xiàn)，“同意”則表明其行使人格自由這種法益比放棄的法益相比更為優(yōu)越。應(yīng)當(dāng)說，將“利益衡量”作為被害人同意的正當(dāng)化根據(jù)是比較合理的。從利益衡量的角度，如果收集使用個(gè)人信息的行為雖然形式上是違法違規(guī)的，但并沒有妨礙個(gè)人信息主體的權(quán)利行使，甚至有利于其個(gè)人信息財(cái)產(chǎn)價(jià)值的實(shí)現(xiàn)，從實(shí)質(zhì)上說就不存在法益侵害?！?1〕參見宋盈：《被害人同意中法益的內(nèi)涵與刑法家長主義》，載《刑法論叢》2016 年第3卷。既然如此，如果信息主體對(duì)法益保護(hù)的主觀態(tài)度為消極負(fù)面的價(jià)值評(píng)價(jià)、對(duì)收集使用個(gè)人信息的行為明確表示同意，那么，這種自我放棄法益保護(hù)的“同意”行為就應(yīng)當(dāng)在一定程度和范圍內(nèi)得到法律的承認(rèn)或許可。有學(xué)者基于“法益權(quán)衡”的立場(chǎng)觀點(diǎn)認(rèn)為，被害人同意的功能取決于哪一種法益是需要優(yōu)先保護(hù)的法益。同時(shí)，如果這種法益是法益主體可支配的，被害人同意就具有出罪功能，相反，則不具有出罪功能?！?2〕See Maurach/Zip, f StrafrechtAT, 1997,k17 Rn. 44; Fuchs/Helmut, StrafrechtAT, 1997, S. 135.f.況且，個(gè)人信息保護(hù)領(lǐng)域的社會(huì)公共利益、秩序和安全的“超個(gè)人法益”是不可得到“被害人”同意的；個(gè)體的生命權(quán)和身體健康權(quán)一般也屬于不可自由支配或支配權(quán)受限的個(gè)人法益。例如，對(duì)于侵犯公民個(gè)人信息罪來說，該罪名被設(shè)置在侵犯公民人身權(quán)利、民主權(quán)利的章節(jié)，表明刑法優(yōu)先保護(hù)的法益是公民個(gè)人名譽(yù)、隱私的人格權(quán)益，是個(gè)人信息權(quán)利主體所能自由支配的法益，在該罪名的法益結(jié)構(gòu)中居于主要地位；而涉及國家和社會(huì)公共利益、秩序和安全的“超個(gè)人”信息法益則居于次要地位，并且是信息權(quán)利主體不可支配的法益。如果在信息權(quán)利主體同意他人收集使用其個(gè)人信息，且沒有遭受泄露或?yàn)E用等不當(dāng)侵害，就具備了“被害人同意”的出罪事由，阻卻收集使用個(gè)人信息行為的刑事違法性。再如，《刑法》第286 條之一規(guī)定的拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪，該罪名規(guī)定于刑法分則妨害社會(huì)管理秩序罪一章，表明社會(huì)公共利益、秩序和安全居于優(yōu)勢(shì)法益的地位，并且這種“超個(gè)人”法益是信息權(quán)利主體不可支配的，不是后者同意的對(duì)象。即使信息權(quán)利主體同意信息網(wǎng)絡(luò)服務(wù)者放棄履行其保護(hù)義務(wù)，也不能成為出罪事由，對(duì)被害人同意不能實(shí)行絕對(duì)的、無限度的保護(hù)?！?3〕參見車浩：《自我決定權(quán)與刑法家長主義》，載《中外法學(xué)》2012 年第1 期。須指出，經(jīng)個(gè)人信息主體同意的行為并不意味著當(dāng)然地阻卻刑事違法性，知情同意權(quán)的行使不能逾越法律的界限，不能與國家和社會(huì)公共利益相沖突。如果收集、使用個(gè)人信息的行為違反了前置性法律法規(guī)或部門規(guī)章，那么，即便個(gè)人信息主體作出同意的意思表示，也不能被認(rèn)定是有效的，不能排除其刑事違法性。此時(shí)，“被害人同意”不能作為免罪根據(jù)，但可作為量刑情節(jié)加以考慮；即使認(rèn)定非法收集使用個(gè)人信息的行為構(gòu)成侵犯公民個(gè)人信息罪，也可以相應(yīng)地減輕其刑事責(zé)任。總之，刑法需要對(duì)不同主體處分個(gè)人信息的權(quán)利和應(yīng)承擔(dān)的保護(hù)義務(wù)進(jìn)行利益衡量和分配，在法律允許的范圍內(nèi)實(shí)現(xiàn)個(gè)人信息數(shù)據(jù)經(jīng)濟(jì)效益的最大化利用。例如，近年來出現(xiàn)不法分子通過QQ“卡商群”和交易網(wǎng)站“叫賣”電商賬號(hào)（網(wǎng)絡(luò)店鋪），“叫賣者”尋找愿意出售個(gè)人信息者注冊(cè)網(wǎng)絡(luò)店鋪賬號(hào)，再將賬號(hào)注冊(cè)人的身份證、銀行卡等一整套個(gè)人信息打包為“產(chǎn)品”，明碼標(biāo)價(jià)轉(zhuǎn)賣給他人，后大多被用于售假、詐騙等違法犯罪活動(dòng)。“叫賣者”通常會(huì)讓出售人簽訂“個(gè)人信息轉(zhuǎn)讓授權(quán)書”，即出售人同意購買者使用其身份信息。在此案中，即使賬號(hào)注冊(cè)人同意“叫賣者”出賣自己的個(gè)人信息，也不能作為“叫賣者”的出罪事由。其次，這種行為違反了《網(wǎng)絡(luò)商品交易及有關(guān)服務(wù)行為管理暫行辦法》關(guān)于實(shí)名開店、賬號(hào)實(shí)名制等網(wǎng)絡(luò)空間的安全性規(guī)定，具有行政違法性。〔34〕參見高艷東：《經(jīng)同意買賣個(gè)人信息也屬違法犯罪》，載《檢察日?qǐng)?bào)》2018 年8 月15 日，第3 版。在此情況下，所謂“被害人同意”就不能作為出罪事由，不能排除“叫賣者”行為的刑事違法性。但在本案中，作為“被害人”的出售人出賣自己的身份證信息，其行為違反了《居民身份證法》有關(guān)“出租、出借、轉(zhuǎn)讓居民身份證”的禁止性規(guī)定，盡管受到一定程度的欺騙，但主觀上確實(shí)存在被害人過錯(cuò)因素，可以作為“叫賣者”侵犯公民個(gè)人信息罪的量刑情節(jié)加以考慮；即使認(rèn)定其行為構(gòu)成犯罪，也可以相應(yīng)地減輕其刑事責(zé)任。

（二）用戶知情同意下APP 運(yùn)營者的出罪化路徑

在大數(shù)據(jù)時(shí)代背景下，APP 運(yùn)營者所能收集到的個(gè)人信息數(shù)量呈指數(shù)式增長，如果不能妥善界定個(gè)人信息收集者、使用者的法律義務(wù)，則難以對(duì)用戶的合法權(quán)利予以有效保護(hù)。在肯定APP 用戶知情同意可以作為“被害人同意”的出罪事由基礎(chǔ)上，需要討論的是，這種知情同意所能夠產(chǎn)生出罪化法律效果的有效方式如何?！栋踩?guī)范》第3.6 條、第5.5 條規(guī)定，收集個(gè)人敏感信息時(shí)應(yīng)當(dāng)取得信息主體的明示同意，但是對(duì)于個(gè)人一般信息的授權(quán)同意方式并沒有明確規(guī)定，因而只需要默示同意即可。作為民法中同意的意思表示方式，默示同意更能契合 “共享+開放”的互聯(lián)網(wǎng)經(jīng)濟(jì)特征，是值得肯定的。實(shí)踐中，有些APP 運(yùn)營者設(shè)置默示同意條款，列出冗長艱澀的隱私聲明，致使APP 用戶很難做到“審慎閱讀”，除了點(diǎn)擊“同意”之外別無選擇，這實(shí)際上架空了用戶對(duì)知情同意權(quán)的行使，這也是不可取的。在APP 運(yùn)營者收集、使用個(gè)人信息過程中，只要經(jīng)用戶本人明示同意，且沒有遭受泄露或?yàn)E用等不當(dāng)侵害，其行為就具備了“被害人同意”的出罪化事由。刑法優(yōu)先保護(hù)的是公民個(gè)人的人格權(quán)益，在侵犯公民個(gè)人信息罪的法益結(jié)構(gòu)中居于主要地位；所謂“超個(gè)人”信息法益則居于次要地位，是個(gè)人信息權(quán)利主體不可支配的法益；對(duì)于后者，即使個(gè)人信息主體同意收集、使用者不履行其保護(hù)義務(wù)，也不能因此阻卻違法和責(zé)任。

例如，甲公司與政府官方授權(quán)的乙公司簽訂了《公民身份認(rèn)證服務(wù)合同》，所掌握的個(gè)人信息來源合法，并可在登記范圍內(nèi)提供公民個(gè)人信息服務(wù)；而甲公司的服務(wù)范圍涵蓋了互聯(lián)網(wǎng)金融和電信運(yùn)營商等行業(yè)。同時(shí)，甲公司與處于下游的乙公司簽訂的服務(wù)協(xié)議中均約定對(duì)方不得將認(rèn)證結(jié)果下載、保存、打印，并設(shè)置了下游公司繳納保證金的制度予以約束。處于下游的乙公司涉嫌在無授權(quán)的情況下，利用數(shù)據(jù)接口產(chǎn)品與終端互聯(lián)網(wǎng)公司丙簽訂銷售合同，從中賺取差價(jià)，以及非法緩存海量公民個(gè)人信息，然后予以出售或非法提供，為他人非法提供身份證返照查詢業(yè)務(wù)數(shù)千萬次，導(dǎo)致公民個(gè)人信息大多流向網(wǎng)絡(luò)小貸公司用于“拉客戶”或者“軟暴力”催收。本案中，乙公司未經(jīng)授權(quán)同意非法緩存公民個(gè)人信息，并將海量的個(gè)人信息提供、出售給他人，其行為應(yīng)構(gòu)成侵犯公民個(gè)人信息罪，定性上不存在什么疑問。但值得討論的是，甲公司向乙公司提供其合法掌握的公民個(gè)人信息的服務(wù)行為是否也構(gòu)成侵犯公民個(gè)人信息罪？有學(xué)者認(rèn)為，認(rèn)定該罪名成立的關(guān)鍵在于，甲公司的“提供”個(gè)人信息的行為是否經(jīng)過被收集者的同意，如果是經(jīng)過被收集者同意，就可以認(rèn)為至少存在被害人同意，具備出罪根據(jù)。本案中，甲公司沒有違反被收集者個(gè)人的同意，也盡到了形式上的審查義務(wù)，不存在客觀上的侵權(quán)行為，也就不構(gòu)成侵犯公民個(gè)人信息罪?！?5〕參見周光權(quán)：《侵犯公民個(gè)人信息與妥當(dāng)?shù)男塘P處罰》，載《檢察日?qǐng)?bào)》2020 年1 月13 日，第3 版。對(duì)此觀點(diǎn)，本文并不完全同意。如前所述，知情同意原則也要受到合法、正當(dāng)、必要原則的限制，不能簡(jiǎn)單地以知情同意原則作為任何情況下不當(dāng)收集使用個(gè)人信息的合格抗辯?！?6〕同前注〔3〕 ，張新寶文。本案中，認(rèn)定甲公司提供公民個(gè)人信息的服務(wù)行為是否構(gòu)成犯罪，尚需要根據(jù)具體案情從法益層面進(jìn)行實(shí)質(zhì)判斷。無論甲公司提供給乙公司的是隱私敏感信息還是一般個(gè)人信息，只要涉及信息安全、公共利益和社會(huì)秩序，即使甲公司的行為沒有違反被收集者的同意，也盡到了形式上的審查義務(wù)，也不能免除其履行“超個(gè)人法益”的保護(hù)義務(wù)，被收集者的“同意”也不能成為出罪事由。

五、結(jié)語

近年來，越來越多的App 運(yùn)營企業(yè)和機(jī)構(gòu)為了主動(dòng)適應(yīng)信息網(wǎng)絡(luò)發(fā)展的需要，逐步改變過去一鍵式授權(quán)隱私政策，按照法律法規(guī)和行業(yè)規(guī)范的合規(guī)要求，調(diào)整向用戶告知方式，增加了彈窗等增強(qiáng)式告知方式、增加了即時(shí)提示，對(duì)開啟具體業(yè)務(wù)功能的單獨(dú)告知；在獲取用戶的同意方面，也改變過去一攬子協(xié)議強(qiáng)迫用戶同意的做法，強(qiáng)調(diào)用戶通過書面聲明或主動(dòng)做出肯定性動(dòng)作，作出明確授權(quán)?！?7〕同前注〔5〕 ，張新寶文。通過上述合規(guī)措施，充分保障用戶的知情同意權(quán)，在個(gè)人信息保護(hù)方面實(shí)現(xiàn)了由“自發(fā)”到“自覺”的轉(zhuǎn)變?！?8〕參見李延舜：《我國移動(dòng)應(yīng)用軟件隱私政策的合規(guī)審查及完善——基于49 例隱私政策的文本考察》，載《法商研究》2019年第5 期。在立法層面，將來的“個(gè)人信息保護(hù)法”應(yīng)確立知情同意保護(hù)原則，以個(gè)人信息權(quán)利保護(hù)為導(dǎo)向，兼顧公民個(gè)人法益和社會(huì)公共法益的協(xié)調(diào)，在信息權(quán)利主體與信息使用主體之間取得利益平衡。雖然民法、行政法、刑法等部門立法的價(jià)值目標(biāo)各有側(cè)重，但從系統(tǒng)論角度，個(gè)人信息保護(hù)的法律規(guī)范應(yīng)當(dāng)是銜接協(xié)調(diào)的，共同構(gòu)筑相關(guān)侵權(quán)行為的法律責(zé)任和制裁體系，在刑法體系內(nèi)外部實(shí)行多層次的法益保護(hù)。需要特別強(qiáng)調(diào)的是，個(gè)人信息安全行業(yè)標(biāo)準(zhǔn)與刑法規(guī)范之間有效銜接問題。雖然兩者的出發(fā)點(diǎn)都是對(duì)個(gè)人信息權(quán)進(jìn)行保護(hù)，但保護(hù)的目的和方式不同。刑法是從懲治犯罪活動(dòng)角度出發(fā)，所規(guī)制的入罪門檻必須是個(gè)人信息保護(hù)的“最低安全基線”。因此，行業(yè)規(guī)范對(duì)于APP 用戶知情同意的規(guī)定，可以作為界定APP 運(yùn)營者個(gè)人信息法益保護(hù)的前置性依據(jù)，但不宜直接將其作為判斷刑事違法性的依據(jù)，否則將導(dǎo)致刑事打擊范圍過大，不利于個(gè)人信息權(quán)益的保護(hù)。至于其中哪些行業(yè)標(biāo)準(zhǔn)設(shè)定的義務(wù)要求可以成為刑法中APP 用戶個(gè)人信息知情同意的保護(hù)義務(wù)，有待最高司法機(jī)關(guān)出臺(tái)相應(yīng)司法解釋予以明確規(guī)定，在此不贅述。