劉憲權(quán)

引 言

公開的個人信息，是指信息主體個人自行公開或者其他已經(jīng)合法公開的個人信息。近年來，司法實務(wù)中頻繁出現(xiàn)未經(jīng)信息主體個人同意倒賣公開的個人信息牟利的案件，相同案情在不同判決中處理結(jié)果截然不同。〔1〕參見江蘇省揚州市中級人民法院〔2020〕蘇10刑終79號刑事裁定書；浙江省杭州市濱江區(qū)人民法院〔2019〕浙0108刑初118號刑事判決書；上海市金山區(qū)人民法院〔2018〕滬0116刑初839號刑事判決書；江蘇省南京市鼓樓區(qū)人民法院〔2017〕蘇0106刑初653號刑事判決書；盧志堅、白翼軒、田競：《出賣公開的企業(yè)信息牟利：檢察機關(guān)認(rèn)定行為人不構(gòu)成犯罪》，載《檢察日報》2021年1月20日第1版。圍繞擅自處理公開的個人信息行為的定性，刑法理論與司法實務(wù)中存在重大分歧。擅自處理公開的個人信息的行為是否需要刑法規(guī)制？應(yīng)當(dāng)如何進行刑法規(guī)制？如何兼顧公開的個人信息的安全保障與流通價值？這些問題均尚未形成統(tǒng)一定論，亟須我們進一步深入研究并提出解決路徑。基于以上問題意識，本文以公開的個人信息為研究對象，以侵犯公民個人信息罪為研究視角，在厘清當(dāng)前擅自處理公開的個人信息行為定性爭議的前提下，從形式與實質(zhì)兩個方面論證該行為可能構(gòu)成侵犯公民個人信息罪，并通過對公開的個人信息安全保障與流通價值的分析，探究限縮擅自處理公開的個人信息行為構(gòu)成侵犯公民個人信息罪的具體路徑。

一、罪與非罪：擅自處理公開的個人信息行為的定性之爭

對于擅自處理公開的個人信息行為的定性，理論與實務(wù)中存在有罪論與無罪論兩種立場。

（一）有罪論及其論證模式

持有罪論者主張，公開的個人信息值得刑法保護，擅自將公開的個人信息出售或提供給他人的，構(gòu)成侵犯公民個人信息罪。有罪論的基本思路是：在承認(rèn)公開的個人信息屬于侵犯公民個人信息罪的犯罪對象的基礎(chǔ)上，論證擅自處理公開的個人信息行為違反了國家有關(guān)規(guī)定，符合《中華人民共和國刑法》（以下簡稱《刑法》）第253條之一的構(gòu)成要件，侵犯了信息主體的私域自主權(quán)益，進而構(gòu)成侵犯公民個人信息罪?！?〕李昱：《已公開個人信息的刑法保護原理及其規(guī)則》，載《人民檢察》2022年第8期。

對于公開的個人信息的法律屬性，持有罪論的學(xué)者主要著眼于個人信息的可識別性，認(rèn)為公開的個人信息雖然不再具有隱私性，但仍然具有識別信息主體的功能，而可識別性是個人信息的本質(zhì)屬性，因此公開的個人信息屬于法律意義上公民個人信息的范疇?！?〕蔡云：《公民個人信息的司法內(nèi)涵》，載《人民司法》2020年第2期；趙秉志：《公民個人信息刑法保護問題研究》，載《華東政法大學(xué)學(xué)報》2014年第1期。司法實務(wù)中部分案例對此持相同觀點。例如，在黃某、戴某侵犯公民個人信息案〔4〕浙江省杭州市濱江區(qū)人民法院〔2019〕浙0108刑初118號刑事判決書。中，盡管辯護人提出，被告人提供給他人的是網(wǎng)上查詢的信息，屬于公民同意公開的個人信息，不屬于侵犯公民個人信息罪侵害的犯罪對象，但法院最終認(rèn)為，“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，均屬于刑法規(guī)定的提供公民個人信息行為”。有罪論者在得出公開的個人信息與未公開的公民個人信息同樣值得刑法保護結(jié)論之后，需要論證的就是擅自處理公開的個人信息行為違反了國家有關(guān)規(guī)定，符合侵犯公民個人信息罪的構(gòu)成要件。在此過程中，由于對國家有關(guān)規(guī)定的理解存在差異，理論與實務(wù)中有三種論證模式：

其一，未經(jīng)同意模式。2017年5月8日公布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）第3條第2款規(guī)定：“未經(jīng)被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規(guī)定的‘提供公民個人信息’，但是經(jīng)過處理無法識別特定個人且不能復(fù)原的除外?！睋?jù)此可知，但凡向他人提供公民個人信息，必須征得信息主體的同意，未經(jīng)同意擅自向他人提供公民個人信息的行為，可能構(gòu)成侵犯公民個人信息罪。由于公開的個人信息屬于法律意義上公民個人信息的范疇，是侵犯公民個人信息罪的犯罪對象，因此，即使是向他人提供已經(jīng)公開的個人信息，也必須征得信息主體的同意，倘若未經(jīng)同意就將合法收集的已公開的個人信息擅自提供給他人的，同樣符合侵犯公民個人信息罪的構(gòu)成要件。前文所述的黃某、戴某侵犯公民個人信息案正是采取了這一論證模式。

其二，侵害重大權(quán)益模式?！吨腥A人民共和國民法典》（以下簡稱《民法典》）與《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）針對公開的個人信息均單獨規(guī)定了處理規(guī)則?！?〕《民法典》第1036條第（二）項規(guī)定：“處理個人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：……（二）合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外……”《個人信息保護法》第27條規(guī)定：“個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個人同意。”當(dāng)處理行為在合理范圍之內(nèi)時，無須取得個人同意；當(dāng)處理行為對個人權(quán)益有重大影響或者侵害個人重大利益時，則需要取得個人同意。據(jù)此，信息處理者擅自處理公開的個人信息的行為，如果沒有侵害個人的重大利益，可根據(jù)《民法典》第1036條第（二）項規(guī)定免除民事責(zé)任，也不違反《個人信息保護法》中的相關(guān)規(guī)定，既然民事侵權(quán)都無法構(gòu)成，也就自然不能構(gòu)成侵犯公民個人信息罪；但如果使個人的重大利益遭受侵害，就違反了《民法典》與《個人信息保護法》中的相關(guān)規(guī)定，進而符合《刑法》第253條之一的構(gòu)成要件，可能構(gòu)成侵犯公民個人信息罪?！?〕王華偉：《已公開個人信息的刑法保護》，載《法學(xué)研究》2022年第2期；劉雙陽：《“合理處理”與侵犯公民個人信息罪的出罪機制》，載《華東政法大學(xué)學(xué)報》2021年第6期。司法實務(wù)中，部分案件采納了侵害重大權(quán)益模式，即基于擅自處理公開的個人信息沒有侵害權(quán)利人的重大權(quán)益而免除行為人的法律責(zé)任。例如，吳某擅自出售在天眼查等平臺上下載依法公開的企業(yè)工商登記信息1.8萬余條，獲利1萬余元，盡管公安機關(guān)以涉嫌侵犯公民個人信息罪傳喚吳某，但在檢察院審查起訴階段，檢察官認(rèn)為，吳某擅自出售公開的個人信息的行為沒有遭到權(quán)利人的拒絕或侵害權(quán)利人的重大利益，因而不應(yīng)認(rèn)定為侵犯公民個人信息罪?！?〕前引〔1〕，盧志堅、白翼軒、田競文。

其三，超出公開用途模式。根據(jù)《民法典》第1038條第1款〔8〕《民法典》第1038條第1款規(guī)定：“……未經(jīng)自然人同意，不得向他人非法提供其個人信息，但是經(jīng)過加工無法識別特定個人且不能復(fù)原的除外。”的規(guī)定可知，處理已公開的個人信息，僅在合理利用該信息的限度內(nèi)不需要得到信息主體的同意，而合理利用信息的限度該如何確定？有學(xué)者注意到了《個人信息保護法（草案二審稿）》第28條第1款的規(guī)定，個人信息處理者處理已公開的個人信息，應(yīng)當(dāng)符合該個人信息被公開時的用途。超出與該用途相關(guān)的合理范圍的，應(yīng)當(dāng)依照本法規(guī)定取得個人同意。據(jù)此，該學(xué)者提出，如果擅自處理公開的個人信息明顯違背公開該信息的目的，改變該信息的用途的，就屬于超出了合理利用公開個人信息的限度，進而無法根據(jù)《民法典》第1038條第1款免除民事責(zé)任。易言之，超出公開用途的擅自處理公開個人信息的行為違反了《民法典》的相關(guān)規(guī)定，進而符合《刑法》第253條之一的構(gòu)成要件，可能構(gòu)成侵犯公民個人信息罪?！?〕周光權(quán)：《侵犯公民個人信息罪的行為對象》，載《清華法學(xué)》2021年第3期。

應(yīng)該看到，上述三種模式似乎都能順利證成擅自處理公開個人信息的行為違反了國家有關(guān)規(guī)定，從而符合侵犯公民個人信息罪的構(gòu)成要件。但是，三種模式對應(yīng)的入罪門檻截然不同：在未經(jīng)同意模式下，只要信息處理者實施了擅自處理公開個人信息的行為，無須進一步區(qū)分個人信息的種類、處理行為的用途及其對權(quán)利人的影響大小，就可以直接根據(jù)《解釋》認(rèn)定信息處理行為符合侵犯公民個人信息罪的構(gòu)成要件；而在侵害重大權(quán)益模式與超出公開用途模式下，只有擅自處理公開個人信息的行為侵害了權(quán)利人的重大權(quán)益或者超出了個人信息公開時的用途，才能認(rèn)定為違反國家有關(guān)規(guī)定，進而構(gòu)成犯罪。筆者認(rèn)為，未經(jīng)同意模式對應(yīng)的入罪門檻最低，侵害重大權(quán)益模式和超出公開用途模式的入罪門檻都相對較高。進一步分析，超出公開時用途的擅自處理行為不一定會使權(quán)利人的重大權(quán)益遭受損害，而使權(quán)利人的重大權(quán)益遭受損害的擅自處理行為一定會超出公開時的用途，據(jù)此，侵害重大權(quán)益模式所對應(yīng)的入罪門檻似乎比超出公開用途模式的要高。不同的論證模式對應(yīng)不同的入罪門檻，究竟何種論證模式是對侵犯公民個人信息罪中“違反國家有關(guān)規(guī)定”的正確理解？究竟何種入罪門檻既能實現(xiàn)保護個人信息安全又能保障信息流通價值？確實需要加以探究。

（二）無罪論及其主要理由

主張無罪論的學(xué)者則主要將著眼點放在對公開的個人信息法律屬性的探討上，認(rèn)為公開的個人信息不屬于刑法意義上的“公民個人信息”。由此，擅自處理公開的個人信息的行為就無法符合侵犯公民個人信息罪的構(gòu)成要件。

無罪論者的主要理由是：其一，就信息處理行為的正當(dāng)性而言，由于權(quán)利人已經(jīng)將信息公開，則意味著放棄自己對該信息的掌控，因此，對公開的個人信息的任何處理行為都在權(quán)利人預(yù)先同意的范圍之內(nèi)，不會侵犯權(quán)利人對信息的掌控。其二，就行為所引發(fā)的后果而言，由于個人信息已經(jīng)公開于眾，有些甚至公開在網(wǎng)絡(luò)上，任何網(wǎng)民都可隨意查詢，因此，這些個人信息已經(jīng)不再關(guān)涉?zhèn)€人隱私，對這些個人信息的處理不會對個人私域空間造成嚴(yán)重影響。其三，部分個人信息的公開是為實現(xiàn)一定的公共利益所需要的，對這類個人信息流轉(zhuǎn)、使用的限制將與信息公開的目的相背離。例如，企業(yè)公布相關(guān)個人信息的目的就是便于公眾對這些個人信息的掌握和合理利用，刑法不宜干涉對這類個人信息的處理行為?！?0〕金澤剛：《轉(zhuǎn)賣天眼查公開的“個人信息”，算犯罪嗎？》，光明網(wǎng)，https://m.gmw.cn/baijia/2021-01/24/34566255.html，2022年7月1日訪問。此觀點也在相關(guān)行政法規(guī)中得到印證，根據(jù)《征信業(yè)管理條例》第13條的規(guī)定，采集個人信息應(yīng)當(dāng)經(jīng)信息主體本人同意，而企業(yè)的董事、監(jiān)事、高級管理人員與其履行職務(wù)相關(guān)的信息不作為個人信息。也即上述信息雖屬于公司依法公開的信息，但并不作為《征信業(yè)管理條例》中的個人信息。因此，即使未經(jīng)信息主體本人同意采集這些信息，也不違反相關(guān)規(guī)定。對于這種前置法都不再保護的公開個人信息，更不適宜將其作為刑法的保護對象。〔11〕前引〔9〕，周光權(quán)文。

綜上可知，圍繞擅自處理公開的個人信息行為的定性問題存在重大的理論分歧。分歧點一，公開的個人信息是否值得刑法保護？易言之，公開的個人信息是否是侵犯公民個人信息罪的犯罪對象？如果答案是肯定的，緊接著就出現(xiàn)了分歧點二，應(yīng)該采取何種模式論證擅自處理公開的個人信息的行為符合侵犯公民個人信息罪的構(gòu)成要件？具體而言，擅自處理公開的個人信息違反了何種國家規(guī)定？究竟何種入罪門檻既能實現(xiàn)保護個人信息安全又能保障信息流通價值？

二、形式與實質(zhì)：擅自處理公開的個人信息行為入罪分析

（一）擅自處理公開的個人信息行為具有刑事違法性特征

首先，侵犯公民個人信息罪的犯罪對象包含公開的個人信息。筆者認(rèn)為，確立刑法對“公民個人信息”的保護范圍，即明確侵犯公民個人信息罪中“公民個人信息”的定義，是考察公開的個人信息是否屬于侵犯公民個人信息罪犯罪對象的前提。

《解釋》第1條詳細(xì)規(guī)定了“公民個人信息”的定義：“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。”這里需要注意的是，《解釋》施行的時間是2017年6月，隨著個人信息保護理論研究的深入與2021年《個人信息保護法》的出臺，在法秩序統(tǒng)一性原理的指引下，侵犯公民個人信息罪中的“公民個人信息”的定義似乎也應(yīng)發(fā)生一定的轉(zhuǎn)變?！秱€人信息保護法》第4條將“個人信息”定義為：“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！边@一定義與《解釋》中的定義有三點不同：其一，兩者規(guī)定的范圍不同：《解釋》規(guī)定的個人信息范圍包含“反映自然人活動情況的各種信息”，而《個人信息保護法》規(guī)定的個人信息范圍并不包含該類信息；其二，兩者規(guī)定個人信息的本質(zhì)特征不同：《解釋》規(guī)定的個人信息的特征為“能夠單獨識別”與“可以和其他信息結(jié)合識別”，而《個人信息保護法》規(guī)定的個人信息的特征為“已識別”和“可識別”；其三，兩者規(guī)定的識別對象不同：《解釋》規(guī)定的個人信息的識別對象是“自然人身份（及自然人活動情況）”，而《個人信息保護法》規(guī)定的個人信息的識別對象則是“自然人”。

筆者認(rèn)為，應(yīng)當(dāng)將《解釋》與《個人信息保護法》中對個人信息的定義加以統(tǒng)一。具體而言，其一，《解釋》對個人信息范圍的規(guī)定應(yīng)當(dāng)與《個人信息保護法》保持一致。根據(jù)法秩序統(tǒng)一性原理，如果一個行為不受行政處罰，則自然更不應(yīng)受刑罰處罰。刑法作為前置法的后盾與保障，只有在前置法不足以規(guī)制的情況下才能考慮介入，即只有極少數(shù)侵犯公民個人信息的行政違法行為才被刑法加以規(guī)制。因此，《刑法》中個人信息的范圍至少不應(yīng)廣于《個人信息保護法》規(guī)定的個人信息的范圍。當(dāng)前《個人信息保護法》只包含具有識別性的個人信息，而《解釋》所界定的個人信息的范圍顯然超出了《個人信息保護法》的定義范圍，包含了“反映自然人活動情況的各種信息”，建議對此應(yīng)予以協(xié)調(diào)性調(diào)整。其二，《解釋》對個人信息特征的規(guī)定應(yīng)當(dāng)與《個人信息保護法》保持一致?！督忉尅穼€人信息特征定義為“能夠單獨識別”以及“可以和其他信息結(jié)合識別”的提法實際上存在一定的缺陷。事實上，我們難以僅通過一條個人信息便對特定的自然人或自然人身份進行識別。因而，應(yīng)當(dāng)修正《解釋》中個人信息特征的相關(guān)表述。其三，《解釋》對個人信息識別對象的表述應(yīng)當(dāng)與《個人信息保護法》保持一致?！督忉尅穼€人信息的識別對象規(guī)定為“自然人身份”，而《個人信息保護法》將個人信息的識別對象規(guī)定為“自然人”，“自然人身份”可以有很多個，而“自然人”則是特指的。相較而言，“自然人”較“自然人身份”更值得刑法保護，由此應(yīng)當(dāng)將《解釋》中“自然人身份”的表述修改為“自然人”。綜上，侵犯公民個人信息罪中的“公民個人信息”應(yīng)是“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”?！?2〕劉憲權(quán)、王哲：《侵犯公民個人信息罪刑法適用的調(diào)整和重構(gòu)》，載《安徽大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2022年第1期。

如前所述，個人信息的主要特征在于可識別性而非私密性，我國并非通過隱私權(quán)來實現(xiàn)對個人信息的保護。因此，即便個人信息被公開后其已不再可能屬于個人隱私的范疇，這些個人信息也仍蘊含一定的人格權(quán)益，可以適用有關(guān)個人信息保護的規(guī)定?！?3〕程嘯：《論公開的個人信息處理的法律規(guī)制》，載《中國法學(xué)》2022年第3期。誠然，相較于私密的個人信息而言，公開的個人信息所承載的流通價值相對較高，人格價值相對較低。但是，特定自然人允許他人對自身個人信息的收集和使用并不表明該自然人放棄了其對個人信息所享有的一切權(quán)益，〔14〕王利明：《數(shù)據(jù)共享與個人信息保護》，載《現(xiàn)代法學(xué)》2019年第1期。對公開的個人信息而言，相關(guān)主體依然對個人信息享有一定的人格權(quán)益。因此，公開的個人信息與私密信息無異，均屬于侵犯公民個人信息罪的“公民個人信息”的內(nèi)容。

其次，擅自處理公開的個人信息違反“國家有關(guān)規(guī)定”。“違反國家有關(guān)規(guī)定”是侵犯公民個人信息罪的重要構(gòu)成要件。只有確認(rèn)擅自處理公開的個人信息的行為違反了“國家有關(guān)規(guī)定”，我們才能認(rèn)為該行為有可能構(gòu)成侵犯公民個人信息罪，而明確“違反國家有關(guān)規(guī)定”中的“國家有關(guān)規(guī)定”的范圍則是上述論斷的關(guān)鍵前提條件。根據(jù)《解釋》第2條的規(guī)定，違反法律、行政法規(guī)、部門規(guī)章有關(guān)個人信息保護的規(guī)定的，應(yīng)當(dāng)認(rèn)定為《刑法》第253條之一規(guī)定的“違反國家有關(guān)規(guī)定”。據(jù)此，有學(xué)者提出，根據(jù)《最高人民法院關(guān)于準(zhǔn)確理解和適用刑法中“國家規(guī)定”的有關(guān)問題的通知》，只要部門規(guī)章與相關(guān)法律、行政法規(guī)不相抵觸，就可以視為“國家有關(guān)規(guī)定”。〔15〕張勇：《APP個人信息的刑法保護：以知情同意為視角》，載《法學(xué)》2020年第8期。也有觀點認(rèn)為，“違反國家有關(guān)規(guī)定”只宜限于法律和行政法規(guī)，由此可防止寬泛、抽象的前置法導(dǎo)致侵犯公民個人信息罪適用范圍的不明確?！?6〕冀洋：《法益自決權(quán)與侵犯公民個人信息罪的司法邊界》，載《中國法學(xué)》2019年第4期。筆者認(rèn)為，一方面，刑法追求的是安定性，而部門規(guī)章和地方性法規(guī)的變動頻繁，故不宜認(rèn)為“國家有關(guān)規(guī)定”包含部門規(guī)章和地方性法規(guī)；另一方面，不同部門規(guī)章與地方性法規(guī)對侵犯公民個人信息行為的認(rèn)定標(biāo)準(zhǔn)可能存在不一致的情形，如此則容易導(dǎo)致司法工作人員在認(rèn)定侵犯公民個人信息罪時標(biāo)準(zhǔn)不一。所以，將“國家有關(guān)規(guī)定”限于法律和行政法規(guī)是更為妥當(dāng)?shù)摹！?7〕前引〔12〕，劉憲權(quán)、王哲文。

如前所述，由于對“國家有關(guān)規(guī)定”的理解存在差異，未經(jīng)同意模式、侵害重大權(quán)益模式與超出公開用途模式中的論證路徑均不相同。未經(jīng)同意模式并未交代擅自處理行為所違反的前置法，而是直接依據(jù)《解釋》第3條第2款得出擅自處理行為符合侵犯公民個人信息罪構(gòu)成要件的結(jié)論；侵害重大權(quán)益模式與超出公開用途模式中擅自處理行為所違反的“國家有關(guān)規(guī)定”包括《民法典》與《個人信息保護法》，但在具體條文的理解適用上并不一致，進而導(dǎo)致入罪門檻存在差異。有鑒于此，準(zhǔn)確厘清擅自處理公開的個人信息的行為所違反的前置法規(guī)定顯得十分必要。隨著《民法典》與《個人信息保護法》的相繼出臺，規(guī)制公開的個人信息處理行為的前置法規(guī)范歷經(jīng)了一個不斷變化的過程。2020年5月《民法典》公布，其中第1036條第（二）項就公開的個人信息處理規(guī)則專門從事后責(zé)任承擔(dān)的角度作出規(guī)定。根據(jù)該項規(guī)定，合理處理自然人自行公開的或者其他已經(jīng)合法公開的信息，行為人不承擔(dān)民事責(zé)任，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外。之所以作此規(guī)定，是考慮到信息處理者在合理范圍之內(nèi)處理這些信息，即使給信息主體造成一定影響，也是在信息主體的接受范圍之內(nèi)，因而不需要承擔(dān)民事責(zé)任；換言之，公開的個人信息實際上意味著或推定信息主體在一定程度上同意他人對這些信息進行處理。當(dāng)然，如果處理行為給信息主體的重大權(quán)益造成侵害，仍然不可避免地需要承擔(dān)責(zé)任?！?8〕黃薇主編：《中華人民共和國民法典人格權(quán)編解讀》，中國法制出版社2020年版，第221頁。與此同時，盡管個人信息主體自愿公開個人信息，也并不意味著信息主體完全喪失對該信息處理的決定權(quán)，只要明確表示反對，無論處理行為是否合理，信息處理者都不得處理，否則就要承擔(dān)責(zé)任。2021年8月《個人信息保護法》公布，其中第27條就公開的個人信息的處理規(guī)則專門從事前行為規(guī)范的角度作出規(guī)定：“個人信息處理者可以在合理的范圍內(nèi)處理個人自行公開或者其他已經(jīng)合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權(quán)益有重大影響的，應(yīng)當(dāng)依照本法規(guī)定取得個人同意?！睋?jù)此，信息處理者在處理信息之前應(yīng)當(dāng)對處理行為的影響進行評估，確定處理行為是否會對信息主體個人權(quán)益產(chǎn)生重大影響。如果會產(chǎn)生重大影響，那么就必須事先取得個人同意。

可見，《民法典》和《個人信息保護法》分別從事后責(zé)任免除與事前行為規(guī)范的角度對公開的個人信息之處理規(guī)則作出規(guī)定。在未經(jīng)同意的情形下，行為人擅自處理公開個人信息且對信息主體產(chǎn)生重大影響或侵害其重大權(quán)益時，相關(guān)行為既違反了《個人信息保護法》中的公開個人信息處理行為規(guī)范，又無法依據(jù)《民法典》進行責(zé)任免除。因此，侵害重大權(quán)益模式有關(guān)侵犯公民個人信息行為定性的論證路徑是可取的，即擅自處理公開個人信息的行為違反了《民法典》與《個人信息保護法》的相關(guān)規(guī)定，符合侵犯公民個人信息罪構(gòu)成要件內(nèi)容的需要。

未經(jīng)同意模式與超出公開用途的論證路徑由于沒有綜合考量前置法，因而具有片面性。未經(jīng)同意模式的論證大前提是《解釋》第3條第2款，而對《解釋》第3條第2款的準(zhǔn)確理解與適用則有必要結(jié)合《民法典》與《個人信息保護法》的相關(guān)規(guī)定加以綜合考慮?！睹穹ǖ洹返?038條第1款明確指出，未經(jīng)自然人同意，不得向他人非法提供其個人信息?！秱€人信息保護法》第23條的規(guī)定也同樣表明，個人信息處理者向他人提供其處理的個人信息時，應(yīng)當(dāng)向個人告知接收方信息、處理目的等內(nèi)容，并取得個人的單獨同意?？梢?，與《解釋》第3條第2款相同，《民法典》與《個人信息保護法》均要求，個人信息處理者只有在征得信息主體的同意后才能向他人提供個人信息。然而，需要特別指出的是，《民法典》第1038條第1款與《個人信息保護法》第23條中的個人信息實則并不包括公開的個人信息，這是因為《民法典》與《個人信息保護法》均就公開的個人信息的處理規(guī)則另外進行了單獨規(guī)定。對于公開的個人信息而言，只要在合理的范圍內(nèi)處理（包括提供給他人），就無須征得信息主體同意。未經(jīng)同意合理提供公開的個人信息給他人的行為連民事責(zé)任都不必承擔(dān)，更談不上構(gòu)成侵犯公民個人信息罪。因此，《解釋》第3條第2款中的個人信息不應(yīng)該包括公開的個人信息，即公開的個人信息不適用《解釋》第3條第2款的處理規(guī)則。易言之，未經(jīng)同意模式失去了成立的規(guī)范基礎(chǔ)。超出公開用途模式盡管注意到了《民法典》與《個人信息保護法（草案二審稿）》的規(guī)定，但由于《個人信息保護法》在《個人信息保護法（草案二審稿）》的基礎(chǔ)上進行了修改，不得擅自處理公開的個人信息的前提從“超出公開時的用途”修改為“對個人權(quán)益有重大影響”，因此其論證路徑似乎也存在問題。

（二）擅自處理公開的個人信息行為具有法益侵害性特征

侵犯公民個人信息罪侵害的法益是個人信息自決權(quán)，擅自出售、提供等處理公開的個人信息的行為嚴(yán)重侵犯了信息主體的個人信息自決權(quán)，具有實質(zhì)的法益侵害性。

關(guān)于侵犯公民個人信息罪所侵害的法益，刑法學(xué)界眾說紛紜，莫衷一是。有觀點認(rèn)為，該罪侵害的法益是諸如人格權(quán)、〔19〕張新寶：《〈民法總則〉個人信息保護條文研究》，載《中外法學(xué)》2019年第1期；王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期。隱私權(quán)、〔20〕喻海松：《侵犯公民個人信息罪的司法適用態(tài)勢與爭議焦點探析》，載《法律適用》2018年第2期；徐翕明：《“網(wǎng)絡(luò)隱私權(quán)”刑法規(guī)制的應(yīng)然選擇——從“侵犯公民個人信息罪”切入》，載《東方法學(xué)》2018年第5期。公共利益〔21〕王肅之：《被害人教義學(xué)核心原則的發(fā)展——基于侵犯公民個人信息罪法益的反思》，載《政治與法律》2017年第10期；敬力嘉：《大數(shù)據(jù)環(huán)境下侵犯公民個人信息罪法益的應(yīng)然轉(zhuǎn)向》，載《法學(xué)評論》2018年第2期。等傳統(tǒng)法益；也有觀點認(rèn)為，該罪侵害的法益是諸如個人信息自決權(quán)、〔22〕前引〔9〕，周光權(quán)文。個人信息安全、〔23〕姜濤：《新罪之保護法益的證成規(guī)則——以侵犯公民個人信息罪的保護法益論證為例》，載《中國刑事法雜志》2021年第3期。個人信息受保護權(quán)〔24〕歐陽本祺：《侵犯公民個人信息罪的法益重構(gòu)：從私法權(quán)利回歸公法權(quán)利》，載《比較法研究》2021年第3期。等新興法益。之所以侵犯公民個人信息罪侵害的法益至今尚未達成共識，主要存在兩個方面的原因：其一，學(xué)界對法益的概念、功能以及界定規(guī)則等尚未達成統(tǒng)一；其二，刑法條文與《解釋》中有關(guān)個人信息的相關(guān)規(guī)定較為模糊，從而無法準(zhǔn)確反映出個人信息所承載的權(quán)利內(nèi)容。

為了準(zhǔn)確界定侵犯公民個人信息罪所侵害的法益，筆者認(rèn)為，應(yīng)在明確侵犯公民個人信息罪構(gòu)成要件的基礎(chǔ)上，進一步結(jié)合《個人信息保護法》的規(guī)定對該罪的法益進行推導(dǎo)。如前所述，《個人信息保護法》是我國近年來頒布的關(guān)于個人信息保護最新且最為全面的法律，因此侵犯公民個人信息罪成立的前提是對個人信息處理的行為觸犯了《個人信息保護法》的有關(guān)規(guī)定?？v觀《個人信息保護法》，“個人同意”的字樣出現(xiàn)多次，這充分表明，對侵犯公民個人信息行政違法行為認(rèn)定的關(guān)鍵在于判斷信息處理者是否獲得了信息主體的知情同意，而信息主體的知情同意體現(xiàn)的正是信息主體個人對其信息的控制權(quán)與自決權(quán)。在侵犯公民個人信息罪的認(rèn)定中，無論是非法獲取、非法提供還是非法出售行為，關(guān)鍵均在于未獲得信息主體的知情同意，也即不法行為直接對信息主體個人對其信息的控制權(quán)與自決權(quán)造成侵犯。由此可見，《個人信息保護法》與《刑法》的規(guī)定均重視維護個人的知情同意，易言之，《個人信息保護法》所規(guī)定的侵犯公民個人信息違法行為與《刑法》所規(guī)定的侵犯公民個人信息罪的保護法益均是個人信息自決權(quán)。需要進一步強調(diào)的是，侵犯公開個人信息罪的侵害法益是個人信息自決權(quán)與前述提到有關(guān)侵犯公民個人信息行為定性應(yīng)采納侵害重大權(quán)益模式的命題并不矛盾。雖然行為人未經(jīng)信息主體同意處理個人信息并不一定意味著該行為屬于侵犯公民個人信息違法行為，也就更不應(yīng)該被認(rèn)定為犯罪（如法律規(guī)定在不侵犯信息主體重大權(quán)益時，可未經(jīng)同意處理公開的個人信息），但是反過來看，侵犯公民個人信息罪的成立一定是以行為人未經(jīng)信息主體同意為前提條件的，因為在獲得信息主體的同意前提下，即便行為人侵犯信息主體的重大權(quán)益，相關(guān)個人信息處理行為也不構(gòu)成犯罪。由此至少可以證明，侵犯公民個人信息罪的成立必定是以行為人侵犯信息主體個人信息自決權(quán)為基礎(chǔ)的。

從體系解釋的角度出發(fā)，我們同樣可以得出侵犯公民個人信息罪的保護法益是個人信息自決權(quán)。首先，侵犯公民個人信息罪規(guī)定在刑法分則第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”中，該罪侵害的法益是信息主體的個人權(quán)益而非公共利益。其次，如果認(rèn)為侵害的法益是其他諸如財產(chǎn)權(quán)、個人信息安全或公共利益等法益，則將導(dǎo)致侵犯公民個人信息罪與其他涉?zhèn)€人信息犯罪的適用范圍和邊界模糊不清的問題。鑒于我國《刑法》已然設(shè)立非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪、侵犯商業(yè)秘密罪、非法獲取國家秘密罪等罪名，已經(jīng)構(gòu)建了對與個人信息相關(guān)聯(lián)的財產(chǎn)權(quán)、市場經(jīng)濟秩序、國家安全等重要法益的保護體系，如果侵犯公民個人信息罪侵害的法益為上述任意單一法益，則將導(dǎo)致侵犯公民個人信息罪與其他涉信息數(shù)據(jù)犯罪重復(fù)規(guī)定，顯然這樣的理解并不合理。最后，侵犯公民個人信息罪與其他涉信息數(shù)據(jù)犯罪最大的區(qū)別在于侵犯公民個人信息罪著重侵害信息主體對信息的控制與利用，因而，侵犯公民個人信息罪侵害的法益理應(yīng)是個人信息自決權(quán)。當(dāng)然，單純的個人信息自決權(quán)法益觀過于寬泛，有必要將侵犯公民個人信息罪侵害的法益限定為與人格權(quán)、財產(chǎn)權(quán)緊密關(guān)聯(lián)的個人信息自決權(quán)，而賦予個人對信息的自主決定權(quán)主要是為了防止個人人格權(quán)和財產(chǎn)權(quán)等權(quán)利受到不法侵犯。倘若侵犯公民個人信息的行為根本無法侵害個人人格權(quán)或財產(chǎn)權(quán)，那么即使該行為侵犯了公民個人信息自決權(quán)，也不應(yīng)受到刑法規(guī)制?！?5〕前引〔12〕，劉憲權(quán)、王哲文。

當(dāng)然，上述結(jié)論也進一步證明筆者認(rèn)為侵犯公民公開的個人信息行為定性應(yīng)采納侵害重大權(quán)益模式的論斷是正確的，即只有當(dāng)個人信息處理行為侵犯公民個人信息自決權(quán)，且這種對個人信息自決權(quán)的侵犯又進一步導(dǎo)致公民重大權(quán)益受到威脅時，相關(guān)行為才具備入罪的可能性。筆者認(rèn)為，如果在提供或出售公開的個人信息會對信息主體產(chǎn)生重大影響或侵害信息主體重大權(quán)益時，那么未經(jīng)信息主體個人同意的擅自處理行為必然造成個人信息自決權(quán)被侵害。如前所述，《個人信息保護法》對知情同意規(guī)則的建構(gòu)體現(xiàn)了對個人信息自決權(quán)的尊重，而賦予個人對信息的自主決定權(quán)主要是為了防止個人人格權(quán)、財產(chǎn)權(quán)等權(quán)利受到不法侵犯。由此，在擅自處理公開的個人信息的行為既破壞了知情同意規(guī)則，又造成信息主體個人人格權(quán)和財產(chǎn)權(quán)等權(quán)利遭受不法侵害時，該種行為必然侵害信息主體的個人信息自決權(quán)。根據(jù)《民法典》第1036條第（二）項與《個人信息保護法》第27條的規(guī)定，當(dāng)信息處理者處理公開的個人信息，對個人權(quán)益產(chǎn)生重大影響或侵害信息主體重大權(quán)益時，應(yīng)當(dāng)取得信息主體的個人同意。顯然，未經(jīng)信息主體同意，擅自提供或出售公開個人信息，并對信息主體產(chǎn)生重大影響或侵害信息主體重大權(quán)益的，一方面將違反《個人信息保護法》第27條的規(guī)定，破壞該法所建構(gòu)的信息處理知情同意規(guī)則；另一方面對信息主體的個人權(quán)益造成重大損害，包括人格權(quán)、財產(chǎn)權(quán)等。可見，擅自提供或出售公開的個人信息的行為可能會使個人信息自決權(quán)遭到破壞，具有實質(zhì)的法益侵害性。

需要討論的是，獲取行為也是侵犯公民個人信息犯罪行為中的一種表現(xiàn)方式，那么從非法提供或出售者處獲取公開的個人信息的行為，是否侵犯了信息主體的個人信息自決權(quán)進而是否有可能構(gòu)成侵犯公民個人信息罪？筆者認(rèn)為，任何形式的獲取公開個人信息的行為均不可能侵犯信息主體的個人信息自決權(quán)，這是因為公開個人信息的目的就是便于或至少不反對他人獲取，他人獲取公開的個人信息在信息主體的預(yù)料范圍之內(nèi)，甚至是信息主體期待他人實施的行為。無論以何種方式獲得該信息、無論從何處獲得該信息，對信息的獲取結(jié)果不會超過信息主體的預(yù)料范圍，相關(guān)行為就不會侵害信息主體對信息的自我決定權(quán)。既然獲取行為不具有實質(zhì)的法益侵害性，自然也無法構(gòu)成侵犯公民個人信息罪。當(dāng)然，如果以盜竊、侵入計算機信息系統(tǒng)等非法手段獲取公開的個人信息，手段行為構(gòu)成非法侵入計算機信息系統(tǒng)罪等罪名的，依照相關(guān)罪名論處；如果獲取公開的個人信息之后用于犯罪的，也只要依照后繼的罪名認(rèn)定即可。

三、安全與流通：侵犯公民個人信息罪的限縮認(rèn)定

為了保護個人信息安全，避免信息主體的人格權(quán)、財產(chǎn)權(quán)等權(quán)利遭受侵犯，時下，個人信息保護理論采取的是個人控制論，即信息主體個人對信息處理行為具有一定程度的控制權(quán)與決定權(quán)。其論證邏輯是：個人信息是個人的延伸，人是具有自由意志、獨立自主的個體，因而對自我的個人信息具有控制權(quán)與決定權(quán)。〔26〕高富平：《個人信息保護：從個人控制到社會控制》，載《法學(xué)研究》2018年第3期?；趯€人信息的控制權(quán)與決定權(quán)，信息主體可以參與到各種信息處理活動之中，保護個人信息的安全性，避免個人信息處于風(fēng)險之中，進而避免個人權(quán)益遭受各種損害。由此可見，個人控制論賦予信息主體對自身個人信息的控制權(quán)和決定權(quán)，保障的核心價值是信息安全。

當(dāng)然，許多學(xué)者認(rèn)為，個人控制論的觀點不能絕對化而須加以限制，應(yīng)當(dāng)看到信息流通利用的巨大價值，因為在當(dāng)下，個人信息作為一種生產(chǎn)要素，是重要的社會資源。通過對個人信息的社會化分析，可以作為社會治理、科學(xué)研究以及商業(yè)決策的重要參考。正因如此，絕對的個人信息控制論的質(zhì)疑者人數(shù)在逐漸上升。〔27〕丁曉東：《個人信息私法保護的困境與出路》，載《法學(xué)研究》2018年第6期。質(zhì)疑者認(rèn)為，信息的本質(zhì)屬性是信息的流通與利用，個人信息本質(zhì)上不應(yīng)當(dāng)被控制，而應(yīng)當(dāng)為人所用，這樣才能發(fā)揮信息流通與利用（如進行社會治理、推動科學(xué)研究、促使商業(yè)發(fā)展等）的功用。另外，個人的理性是極為有限的，即使賦予個人對個人信息的控制權(quán)，個人所作出的決策也不一定能使個人的利益最大化。在很多情況下，個人根本沒有能力對信息的利用價值與風(fēng)險進行有效地評估，因而個人的自我決定權(quán)往往是沒有價值與意義的，既不一定能保障信息安全，又可能阻礙了信息的流通與利用價值?！?8〕高富平：《GDPR的制度缺陷及其對我國〈個人信息保護法〉實施的警示》，載《法治研究》2022年第3期。我們應(yīng)遵循《個人信息保護法》第1條所規(guī)定的“保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”的立法目標(biāo)。

在對公開的個人信息的處理過程中，信息安全保障與流通利用價值之間不可避免地存在沖突。如果基于對信息安全的保障與個人信息自決權(quán)的保護，則刑法應(yīng)當(dāng)較為全面地規(guī)制擅自處理公開的個人信息的行為；如果基于對公開個人信息流通價值的促進與利用，則刑法應(yīng)當(dāng)抬高對擅自處理公開個人信息的行為進行定罪處罰的門檻。筆者認(rèn)為，正因為個人信息的安全保障與流通價值均不可偏廢，而公開的個人信息的流通利用價值尤其值得注重，因此，有必要結(jié)合《民法典》與《個人信息保護法》的相關(guān)規(guī)定，盡量減少對擅自處理公開個人信息行為的定罪處罰，限縮對侵犯公民個人信息罪的適用。

應(yīng)該看到，《民法典》第1036條第（二）項和《個人信息保護法》第27條分別從事后責(zé)任免除與事前行為規(guī)范的角度對公開的個人信息的處理規(guī)則作出規(guī)定，只要是在合理的范圍內(nèi)處理公開的個人信息，即使未經(jīng)信息主體同意，也是被允許的，無須承擔(dān)民事責(zé)任。據(jù)此，理論上有觀點認(rèn)為，應(yīng)當(dāng)將《民法典》和《個人信息保護法》中規(guī)定的“合理處理”作為違法阻卻事由，構(gòu)建擅自處理公開個人信息行為的實質(zhì)出罪機制，從而以前置法限制侵犯公民個人信息罪的適用?！?9〕前引〔6〕，劉雙陽文；前引〔6〕，王華偉文。筆者對此觀點并不認(rèn)同。實質(zhì)出罪機制構(gòu)建的前提是已經(jīng)在形式上符合構(gòu)成要件，但是否所有的擅自處理公開個人信息的行為均在形式上符合侵犯公民個人信息罪的構(gòu)成要件，實際上是存在疑問的。根據(jù)《民法典》與《個人信息保護法》的規(guī)定，只有信息主體明確拒絕或?qū)π畔⒅黧w個人權(quán)益有重大影響時，對公開的個人信息的處理行為才需征得信息主體同意。即便“合理處理”公開的個人信息行為沒有經(jīng)過信息主體的同意，但該行為仍然不違反前置法的有關(guān)規(guī)定，從而更不符合侵犯公民個人信息罪的構(gòu)成要件。既然未經(jīng)信息主體同意的“合理處理”公開的個人信息行為不符合侵犯公民個人信息罪的形式構(gòu)成要件，又何談以“合理處理”作為違法阻卻事由構(gòu)建實質(zhì)出罪機制？筆者認(rèn)為，限縮侵犯公民個人信息罪適用的正確思路應(yīng)當(dāng)是在入罪階段對構(gòu)成要件進行嚴(yán)格解讀，由于“違反國家有關(guān)規(guī)定”是侵犯公民個人信息罪的重要構(gòu)成要件，有必要結(jié)合前置法的規(guī)定，從嚴(yán)認(rèn)定“違反國家有關(guān)規(guī)定”。

基于對侵犯公民個人信息罪的限縮適用，不能將所有違反前置法的行為均認(rèn)定為《刑法》上的“違反國家有關(guān)規(guī)定”。《個人信息保護法》規(guī)定了信息處理者的告知義務(wù)，但公開個人信息的處理者處理信息時未履行告知義務(wù)并不屬于《刑法》第253條之一所規(guī)定的“違反國家有關(guān)規(guī)定”。因為告知義務(wù)保障的是信息主體的知情權(quán)，并不直接關(guān)涉信息主體對信息的控制權(quán)與自決權(quán)，而“違反國家有關(guān)規(guī)定”作為侵犯公民個人信息罪的重要構(gòu)成要件，需要為違法性提供實質(zhì)根據(jù)，即為侵犯個人信息自決權(quán)提供實質(zhì)根據(jù)。因此，即使信息處理者在處理信息時違反了《個人信息保護法》的規(guī)定未履行告知義務(wù)，由于無法為侵犯個人信息自決權(quán)提供實質(zhì)根據(jù)，也不應(yīng)該將其歸入侵犯公民個人信息罪構(gòu)成要件中的“違反國家有關(guān)規(guī)定”之中。

根據(jù)《民法典》第1036條第（二）項和《個人信息保護法》第27條的規(guī)定，當(dāng)公開個人信息的處理行為會給個人權(quán)益造成重大影響時，需要取得信息主體同意，未經(jīng)同意的擅自處理行為侵犯了個人信息自決權(quán)，屬于《刑法》第253條之一所規(guī)定的“違反國家有關(guān)規(guī)定”。筆者認(rèn)為，為了促進公開個人信息的流通與利用，限縮侵犯公民個人信息罪的適用，應(yīng)當(dāng)對給個人權(quán)益造成重大影響的認(rèn)定進行嚴(yán)格限制。具體可作如下限制：一是嚴(yán)格限定個人權(quán)益的范圍。《刑法》通過侵犯公民個人信息罪保護個人信息自決權(quán)的根本目的在于防止個人人身權(quán)益與財產(chǎn)權(quán)益遭受不法侵害，當(dāng)擅自處理行為并不可能侵犯與個人直接相關(guān)的重大權(quán)利時，賦予信息主體自主決定權(quán)的必要性就大大減弱。如果說在《個人信息保護法》層面尚可將個人權(quán)益理解為與個人相關(guān)的一切權(quán)利，但在《刑法》層面，基于其嚴(yán)厲性與保障性，我們只能將個人權(quán)益理解為生命權(quán)、身體權(quán)、人格權(quán)、財產(chǎn)權(quán)等與個人直接相關(guān)的人身權(quán)益或財產(chǎn)權(quán)益。二是嚴(yán)格限定重大影響的范圍。只有當(dāng)個人人身權(quán)益或財產(chǎn)權(quán)益等受侵害的嚴(yán)重程度本身值得動用刑法加以保護時，通過侵犯公民個人信息罪保護個人信息自決權(quán)進而保護人身權(quán)益或財產(chǎn)權(quán)益才具有正當(dāng)性。因此，重大影響僅限于使信息主體的個人權(quán)益受到重大侵害，達到可能構(gòu)成犯罪的嚴(yán)重程度。例如，擅自將已公開的個人面部信息提供給黃色網(wǎng)站或者黑灰產(chǎn)網(wǎng)站，并致使信息主體個人的人格尊嚴(yán)等個人權(quán)益可能遭受嚴(yán)重侵犯時，擅自處理公開的個人信息行為才有適用侵犯公民個人信息罪刑法規(guī)定的可能性。