陳凱明

摘 要：互聯網企業(yè)仰賴個人信息的獲取、流通和利用，以實現服務的精準化和個性化。但刑法中侵犯公民個人信息罪限制獲取、提供與出售個人信息的行為，個人信息的安全價值與經濟價值之間存在著巨大的矛盾。立法對個人信息的嚴格保護，有過度妖魔化個人信息危險性和超體系解釋特殊保護的嫌疑。司法解釋對兩種侵犯公民個人信息行為方式的定義存在邏輯的不自洽。互聯網企業(yè)獲取、利用個人信息和相應的商業(yè)創(chuàng)新都有可能受到刑法制裁。故通過構成要件的限縮解釋、引入主觀要件和合法經營的阻卻事由等方法，可以為互聯網企業(yè)獲取、利用個人信息提供合法、可行的路徑。

關鍵詞：互聯網企業(yè) 侵犯公民個人信息 非法 入罪 脫罪

一、問題的提出

互聯網企業(yè)憑借發(fā)達的信息技術迅猛發(fā)展，海量的數據和用戶信息成為了互聯網企業(yè)的生產要素，以此實現了個性化、定制化的多元服務。與此同時，公民對大數據時代個人信息的保護也有更高的要求。刑事法律及司法解釋也由此不斷修正和頒布，2009 年《刑法修正案（七）》首次將侵犯公民個人信息行為入罪，2015 年《刑法修正案（九）》進一步擴大了侵犯公民個人信息行為的刑事打擊范圍，特別取消了原有條文中“非法提供”中的“非法”二字，對向他人提供公民個人信息或者接受公民個人信息的行為予以刑事制裁。為更加明確打擊的范圍和入罪標準，2017年6月“兩高”施行《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），其中第6條明確了“為合法經營活動而非法購買、收受”的行為依“個人信息的種類”“數量”“獲利”等也可能承擔刑事責任。

公民個人信息充分利用后的便利性與個人隱私、人格尊嚴等基本權的安全價值之間，存在著不可調和的“鴻溝”。互聯網企業(yè)的迅猛發(fā)展也加劇了其自身的刑事風險，在安全與效益之間，正確地理解、適用侵犯公民個人信息罪，成為互聯網企業(yè)合法使用數據資源，切實保護公民的個人隱私和人格尊嚴不受侵犯的應有之義。

二、嚴格立法：互聯網時代公民個人信息的特別保護

（一）公民個人信息不法利用的社會恐慌

我國刑法中侵犯公民個人信息罪是“情節(jié)犯”，根據《解釋》第5條的規(guī)定，“出售與非法提供”“非法獲取”個人信息的數量是衡量情節(jié)是否嚴重的重要標準。刑事法律所保護的是多個個人信息累加后的群體性法益，而非個體性的信息安全。此外，個人信息的不法利用也將導致不特定多數人的人身、財產受到侵害。《解釋》同樣將公民個人信息被用于其它犯罪以及造成嚴重后果，作為“情節(jié)嚴重”的評價標準。大量的個人信息被收集、利用可能為下游犯罪提供不法的養(yǎng)料，從而產生其他犯罪的連鎖反應，特別是被利用于“電信詐騙”“非法侵入計算機系統罪”等犯罪。由此，產生“侵犯公民個人信息罪”是原罪的觀點，一旦觸犯就可能對不特定多數人和公共安全產生巨大危害?；趯︼L險社會中安全價值的追求，確保社會共同體安定生活的需要，打擊侵犯公民個人信息罪上升到了維護公共秩序的價值高度。

這一觀點頗有“妖魔化”侵犯公民個人信息罪的嫌疑，夸大了該罪的風險范圍。一方面，侵犯公民個人信息罪保護的是公民的人身、民主權利而非“公共安全”，即公眾基于對侵犯公民個人信息罪可能引發(fā)的后續(xù)犯罪的恐慌，夸大該罪的公眾性。另一方面，制造可能的風險不等于現實的危險。[1]一個大量持有非敏感個人信息的僅做商業(yè)推廣的當事人之危害程度一定比少量掌握特定人敏感信息的窺私行為更有現實危險性嗎？因此，僅以侵犯公民個人信息的行為而不依托于行為目的的考量，無法認定此行為對何種法益制造了危險。

（二）體系解釋中“公民個人信息”的特殊化

我國刑法對“公民個人信息”的流通全面禁止。刑事法律直接禁止的交易對象，無外乎標的物自身具有實際的危險性或者能夠間接影響重大法益的情況。此類標的是刑法不問目的、手段和條件而絕對禁止的。其一，是交易對象自身具有的實際危險性，如“毒品”;其二，是交易對象涉及重大利益，雖然自身無實際的危害，但承載的內容一般會影響特定的法秩序和重大法益，如“婦女、兒童”“假幣”等;其三是部分禁止買賣的標的物，但并非無條件禁止流通的，如“槍支、彈藥、爆炸物以及危險物質”等，上述標的物僅有在國家管制、行為“非法”以及主觀“非法”的情況下方構成犯罪。那么，以“公民個人信息”何以能夠成為刑法中絕對禁止流通的標的物呢？

從體系解釋上看，確實難以證成。公民個人信息是由私人屬性和社會活動所形成的數據，在對社會秩序的影響上或許與“國家公文、印章”“身份證件”“試題和答案”等接近，但后者一般是依托于國家機關而產生的，如買賣將損害國家機關的公信力。但“合法”的個人信息的流通并不必然導致個人法益受損。再者，公民個人信息具有流通的價值性，不同于上述分析的任何一個物品，其利用和流通是符合社會經濟發(fā)展的需要的，并不會直接危害市場經濟秩序，反而具有巨大的價值。對“公民個人信息”流通的打擊是刑罰制裁的特殊存在，這是否符合比例原則，有待商榷。

三、解釋寬泛：互聯網企業(yè)發(fā)展的高刑事風險

刑法第253條之一第3款和《解釋》第3、4條對“出售、提供”型和“竊取和非法獲取”型的侵犯公民個人信息犯罪予以了區(qū)分和規(guī)范。其中，“違反國家有關規(guī)定”“購買、收受、交換”“非法獲取”等不確定法律概念成為了判斷構罪與否的核心。在從嚴打擊的刑事政策和信息加速流通的時代背景下，二者直接碰撞將帶來互聯網企業(yè)極高的刑事風險。

（一）“信息自決”下，個人信息獲取的合法性問題

1.互聯網企業(yè)個人信息收集模式易侵犯用戶知情權。網絡產品、服務的隱私政策一直是互聯網企業(yè)在個人信息保護上的痛點問題?；ヂ摼W企業(yè)在用戶知情的情況下，經信息主體的同意，直接對個人信息進行收集和處理是最直接的方式。一般認為，企業(yè)在充分告知，用戶充分知情的情況下，基于用戶的理性思考進行信息自決，是適法的個人信息收集模式。形式上，用戶一般通過點擊“我同意”“我接受”等鏈接確定對企業(yè)收集行為的知悉和許可。但僅通過閱讀、點擊的行為很難認定是合意的達成或信息的處分;實踐中，長篇大論的隱私政策往往晦澀難懂、專業(yè)而寬泛，用戶常常因時間問題一掃而過，極少有認真閱讀的情況。對用戶而言，企業(yè)的隱私政策的告知更像是“免責聲明”而非是合同條款，因為若點擊不同意等選項則無法繼續(xù)瀏覽或接受服務，在雙方能力不對等的情況下，根本無從掌握和監(jiān)督企業(yè)收集個人信息的行為是否進行了有效約束。因此，如果將點擊行為視為合同的簽署，難以對用戶的知情權予以合理的保障。

2.非“合法”即“非法”的解釋漏洞。公民對其個人信息擁有控制權和自主決定權，能夠自主決定信息是否被收集、被披露，決定信息如何被收集、處理和應用。《解釋》第4條規(guī)定，違反國家有關規(guī)定，提供服務過程中收集公民個人信息的屬于“以其他方法非法獲取公民個人信息”，可見有無“違反國家有關規(guī)定”是判斷是否非法獲取的前提。網絡安全法第41條規(guī)定，“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經收集者同意……”根據我國法律規(guī)定，取得被收集者的授權同意是個人信息收集的必經程序?！缎畔踩夹g個人信息安全規(guī)范》也規(guī)定，企業(yè)應當取得被收集者明示同意。用戶在未注意下因系統默認勾選而同意，是企業(yè)代替用戶做選擇，而非用戶明確的、主動的、肯定的授權行為，應認定為“非法獲取”。

以支付寶年度賬單事件為例，此前，支付寶個人年度賬單通過智能分析可以將用戶的消費習慣予以精細化的總結，并被用戶紛紛轉發(fā)分享。其生成年度賬單的操作中，默認勾選有“我同意芝麻服務協議”的字樣，以不顯眼的字體標注在頁面下方，若不注意，該默認選項將直接“允許支付寶收集用戶的信息包括在第三方保存的信息”。該情況經主流媒體報道后，支付寶第一時間道歉并取消默認勾選，同時告知已默認勾選用戶取消授權的操作流程。從情節(jié)上看，未經支付寶用戶明示同意的情形下獲取個人信息的行為有刑事犯罪之嫌，且作為移動支付工具和公共服務軟件，擁有上億用戶的財產、社保、交通、民政等相關個人信息，無論是所涉信息的敏感程度還是數量之龐大，均滿足《解釋》第5條所規(guī)定的“情節(jié)嚴重”、甚至“情節(jié)特別嚴重”的標準。由該事件延伸，互聯網企業(yè)未經用戶明示同意或侵犯用戶知情權、選擇權而獲取信息之行為，無論是否用于合法經營活動均屬于“非法”。那么，《解釋》第4條就為刑事法律跳過民事、行政法律將企業(yè)收集用戶信息行為入罪化大開方便之門。

（二）“共享經濟”中，個人信息流動的合法性問題

1.數據的利用與刑法禁止個人信息流動的矛盾。開放的數據是移動互聯網發(fā)展的技術基礎。信息作為互聯網企業(yè)的生產資料，具有可復制的特點，直接催生了“共享經濟”的商業(yè)模式，甚至思維模式?；ヂ摼W的浪潮下催生的云計算、大數據都體現了信息生產力的本質。

購買、收受、交換是《解釋》中列明的非法獲取公民個人信息的方式。個人信息不能作為上述行為的客體，有學者認為個人信息的法律內核是“人身屬性+財產屬性+相關法益關聯屬性”，因為其包括了基于人身屬性的“可識別性”身份信息、基于財產屬性的財產類和賬號類信息、相關法益具有關聯性的其他信息。[2] 這一復雜的權利屬性決定了個人信息不能直接成為民事法律關系的客體。但在大數據時代，數據、信息是計算和決策的核心，僅通過自行收集的個人信息難以支撐其龐大、精準的網絡服務，通過其他外部渠道獲取所需數據勢在必行。可用戶信息的分享、交換、許可使用都是違法犯罪的行為。

2.互聯網企業(yè)并購潮——購置股權以獲取個人信息。為充分利用數據，互聯網企業(yè)有了“明修棧道，暗度陳倉”的方式，即通過針對其他可以合法方式取得信息的使用資質。例如，近年來以互聯網企業(yè)并購數量與日俱增，部分并購案以及購置股權反映了互聯網生態(tài)鏈布局和信息共享的靈活處理機制。以阿里巴巴公司為例，其通過大舉購買股份的方式擴張商業(yè)版圖。阿里巴巴曾以近3億美元價格收購高德軟件公司股份，成為最大股東。通過股權購置強強聯合的目的在于“為用戶提供一體化生活服務以及為生活服務商戶提供信息發(fā)布、搜索、數據挖掘、支付等電子商務服務”。阿里巴巴與高德并購旨在通過技術和信息的深度融合打造新型的服務模式，這依托于兩大公司對用戶的“消費信息”和“出行信息”進行數據共享，甚至包括更多用戶個人敏感信息的交易和流動。不僅如此，在阿里巴巴與新浪的股權購置案中，甚至明確指出了目的就是在用戶賬戶互通、數據交換、在線支付、網絡營銷等領域進行深入合作?？梢哉f，股份并購構建了一個表面合法的個人信息流通的渠道，以主體身份的可交易性間接獲取個人信息。

為獲取用戶個人信息資源而進行的股權收購，變相發(fā)揮了信息的經濟價值，也有可能觸碰刑事法律。利用股東地位分享、交換個人數據仍屬《解釋》中“購買、收受、交換”。即便股權購置規(guī)避了“購買公民個人信息”的犯罪行為，但此后的用戶信息共享、交換的對象也無法規(guī)避個人信息在不同企業(yè)間流通的實質。故《解釋》中“購買、收受、交換”幾乎禁止了大多數互聯網企業(yè)間的數據共享，這對“共享經濟”下互聯網企業(yè)運營成本和專業(yè)大數據交易服務機構的落地服務帶來了嚴峻的挑戰(zhàn)。

四、實質判斷：嚴格侵犯公民個人信息罪入罪邊界

互聯網時代，公眾對“數據利維坦”的恐懼已經達到了“草木皆兵”的地步，但是，一律從嚴打擊與社會發(fā)展的趨勢實則并不契合?；ヂ摼W企業(yè)在嚴格立法的特殊保護和寬泛司法擴大解釋的背景下，極易被卷入到不必要的刑事程序中去，理性構建侵犯公民個人信息犯罪規(guī)范體系刻不容緩。

（一）完善“兩法銜接”，厘清“非法”的界定問題

1.“違反國家有關規(guī)定”和“非法”的關系。判斷前述的支付寶年度賬單事件，涉罪與否的關鍵即是“非法”二字的解釋。侵犯公民個人信息罪是“行政犯”，刑法第253條之一規(guī)定“違反國家有關規(guī)定”和“非法”是構罪的前提。有觀點認為，應當將“違反國家有關規(guī)定”“非法”視為“弱意義”構成要件，不具有犯罪構成認定的實際價值，這完全忽視了侵犯公民個人信息罪“行政犯”的本質。[3]《刑法修正案（九）》一方面將提供行為的“非法”二字刪除，同時保留了違反行政法規(guī)的前置性條款，也將“違反國家規(guī)定”改為“違反國家有關規(guī)定”。那么，從文本上看，為何對于“出售和提供”型侵犯公民個人信息不要求“非法”，但仍前置“違反國家有關規(guī)定”？司法解釋在定義“竊取和非法獲取”型侵犯公民個人信息時卻將“違反國家有關規(guī)定”與“非法獲取”相聯系？那么，“非法”和“違反國家有關規(guī)定”是否是同一概念？厘清上述概念，是正確解釋“非法”的核心問題。

有學者認為，“違反國家有關規(guī)定”與“非法”是不同概念，二者是“種屬關系”而非“等同關系”。[4] 即“違反國家有關規(guī)定”屬于“非法”，但“非法”未必“違反國家有關規(guī)定”。按照這一觀點，《解釋》定義“竊取和非法獲取”時仍前置“違反國家有關規(guī)定”確有畫蛇添足之嫌。如果“非法”程度低于“違反國家有關規(guī)定”，那么《解釋》第4條無疑拔高了入罪的門檻。從體系上看，“違反國家有關規(guī)定”應該是對“非法”的實質解釋，二者間不應有程度的差別，前者是后者判斷標準的依據，后者是前者判斷結果的統稱，即“違反國家有關規(guī)定”一定是“非法”，“非法”一定是“違反國家有關規(guī)定”。因此，準確界定“違反國家有關規(guī)定”本身要依賴于相關法律、法規(guī)立法質量的高低。

2.適用寬泛的“合法”獲取、流轉解釋路徑。讓互聯網企業(yè)規(guī)避“非法”首先應當明確列舉“合法”的行為模式。可以明確的，是合法獲取和流轉個人信息，必然是在對用戶有充分的告知并賦予其充分靈活的選擇權。但也必須承認的是，個體間對個人信息的敏感程度不盡相同，這意味著互聯網企業(yè)很難設置整齊劃一的標準，明確合法界限。對法律法規(guī)而言就更是如此。有學者梳理，我國對個人信息保護的“國家有關規(guī)定”的法律法規(guī)包括《互聯網信息服務管理辦法》《個人存款賬戶實名制規(guī)定》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《征信業(yè)管理條例》《電信與互聯網用戶個人信息保護規(guī)定》《中華人民共和國網絡安全法》等三十余部法律。[5]違反這些法律法規(guī)是侵犯公民個人信息罪構罪前提，但其中的多數規(guī)定對于個人信息相關的合法或違法界限劃分也不盡詳細。

在大數據背景下，個人信息被收集、利用后將呈現怎樣的運算結果，令人不得而知，因分析、挖掘可能衍生出更多能夠識別特定個人的信息，在這種情況下，絕對化的保護近乎奢望。因此，“合法”的評價標準不應著眼于實質判斷，而在乎獲取過程形式的完整，即互聯網企業(yè)可以采取“分層告知”的方式，每一階段都盡到告知義務，將企業(yè)隱私政策的內容以表格或者其他標準化的方式加以公布。[6]由此確保用戶對企業(yè)所涉?zhèn)€人信息事項具有更良好的可閱讀性。此外，互聯網企業(yè)可以根據所提供服務對用戶信息依賴的不同程度，區(qū)分為核心業(yè)務和非核心業(yè)務，對不同附加功能是否收集用戶個人信息的主動權完全交付用戶個人，這一規(guī)定也可見于2018年起實施的國家標準《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2017）。法律法規(guī)可以參照互聯網行業(yè)的技術標準，設置“分層告知”+“附加功能”等合法路徑。即便是用戶碎片式的閱讀模式，也應以“簡單粗暴”的告知方式直接提醒用戶有關獲取的目的、結果等必知項目。由此，可以構建寬泛的“合法”獲取、流轉解釋路徑，規(guī)避“非法”在寬泛解釋下的不當適用。

（二）引入“主觀要件”，區(qū)分合法經營和犯罪目的

1.“正當目的”是侵犯公民個人信息罪的阻卻事由?！督忉尅返?條“為合法經營而非法購買的行為”之規(guī)定，系侵犯公民個人罪中少有與主觀相涉的出罪要件，由此為合法經營行為獲取個人信息設置了更高的入罪門檻。但客觀而言，因個人信息在互聯網時代用于合法經營活動的規(guī)?；统B(tài)化，對“獲取方式”予以更為寬泛的界定可以為個人信息的流通和利用留下空間。

互聯網企業(yè)以提供產品、數據服務為目的，即便以“出售或提供”為方式流轉個人用戶數據也應予以出罪，即“以非法目的向他人出售或提供”方是構罪要件?；谡數哪康?，如企業(yè)間用于業(yè)務往來的個人信息交換、共享不應直接進行刑事打擊。[7]如確有侵權行為發(fā)生，也完全可以以民事、行政途徑予以救濟。讓企業(yè)承擔民事責任足以補償、恢復被害人因隱私、人格尊嚴受到侵犯所受損失。將個人信息抽離出刑法絕對不可予以流通之標的物，注入至民法中。利用的個人信息自決權，尊重個體以信息為“一般等價物”換取更好的服務，與當前社會發(fā)展的現實相契合。可是，當前《解釋》對侵犯個人信息罪的主觀要件的規(guī)定是非體系化的，結果歸責導向明顯。以《解釋》第5條第1款第1項和第2項的規(guī)定為例，其中“出售或提供行蹤軌跡信息被他人用于犯罪的”的行為類型中未要求“應當知道”，但對于危害性更大的“向他人出售或提供個人信息被利用實施犯罪的”，卻規(guī)定有“知道或應當知道”?！督忉尅分袨榇驌舳驌舻膶蜉^為明顯。因此，將主觀要件引入該罪中，有利于彌合當前該罪結果歸責的錯誤取向，同時也有利于打擊部分為實施詐騙及其他非法行為進行個人信息流轉的互聯網企業(yè)，對實質違法行為予以刑事打擊。

2.“合法經營”的形式化證成?；ヂ摼W企業(yè)為合法經營可以進行個人信息分享、流轉。如前述阿里巴巴及其子公司，甚至合作伙伴間也可進行數據出售。特別是對集團公司、母子公司的數據往來，主客觀上均不會產生實質違法，可以全面予以脫罪處理。正常商事行為中，以實現合法經營為目的將合法收集的個人信息予以流轉也可以適時予以脫罪。“合法經營”也應基于特定目的予以判斷，其前提應當是“不違反國家規(guī)定”且不會“嚴重擾亂社會秩序”。[8]需具備下列要件之一：（1）公司、企業(yè)獲取個人信息獲取之行業(yè)有法律、行政法規(guī)明文規(guī)定;（2）原公司企業(yè)與當事人有合同或者其他合同的關系，且已采取適當的安全措施;（3）公司、企業(yè)流轉當事人自行公開或其他已合法公開的個人信息;（4）信息流轉之公司、企業(yè)的隱私政策的核心條款與信息獲取時的告知一致;（5）經當事人同意;（6）企業(yè)確有增進公共利益的必要;（7）個人信息取自于一般可獲取的來源，但是當事人對該信息要求禁止處理、利用的除外;（8）對當事人權益無侵害。收集或處理企業(yè)經當事人通知，禁止其處理或利用相關個人信息時應當立即刪除或停止處理及利用相關個人資料，以確保當事人個人信息的自決權。

注釋：

[1]參見敬力嘉：《大數據環(huán)境下侵犯公民個人信息罪法益的應然轉向》，《法學評論》2018年第2期。

[2]參見于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期。

[3]參見曲新久：《論侵犯個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期。

[4]同前注[2]。

[5]同前注[2]。

[6]參見高秦偉：《個人信息保護中的企業(yè)隱私政策及政府規(guī)制》，《法商研究》2019年第2期。

[7]參見高富平：《出售或提供公民個人信息入罪的邊界》，《政治與法律》2017年第2期。

[8]參見楊曉慶、施李艷：《為合法經營活動而侵犯公民個人信息的司法適用》，《檢察調研與指導》2019年第1期。