非法獲取公民個人信息：實踐現狀、價值檢視與規則塑造

賴隹文

侵犯公民個人信息罪既懲治非法出售、提供公民個人信息，也規制“非法獲取”公民個人信息。我國刑法在公民個人信息流轉環節的入口端和出口端均作了規定，處于出口端的出售、提供不會引發歧義，但處于入口端的非法獲取則存在理解分歧。這一方面是由于“獲取”并非精確的法律語言，本身需要解釋，另一方面則在于刑法使用了兜底條款“其他方法”的表達。伸縮空間的存在會削弱明確性，而且，以法律規范的方式保護公民個人信息也不應在一種混沌乃至語焉不詳的狀態中完成，精確的刑法適用才能建構共識、實現正義。①張明楷：《明確性原則在刑事司法中的貫徹》，《吉林大學社會科學學報》2015 年第4 期?；谶@種問題意識與價值追求，本文致力于嚴格解釋入口端的“非法獲取”，嘗試搭建相關的解釋規則，以期為合法獲取與非法獲取劃定清晰界限。

一、實踐現狀：非法獲取的解釋進路

為了解非法獲取公民個人信息犯罪現狀，筆者在威科先行法律信息庫中，以“侵犯公民個人信息罪”和“非法獲取公民個人信息罪”為案由，檢索一審司法裁判文書，共獲取5628 份刑事判決書。其中，對應非法獲取公民個人信息的刑事判決書有834 份。經剔除重復項并選取“審理查明”“本院認為”中涉及“其他方法”“非法獲取”內容的判決書后，本文最終以400 份刑事判決書作為分析樣本。這些的核心是關于非法獲取公民個人信息的判定，可在相當程度上反映司法實踐對“非法獲取”的適用狀況，同時也可據此整體把握“其他方法”的解釋進路。

非法獲取的典型行為是竊取?！案`取”被明示列舉，其核心語義是采用秘密手段，在未獲得他人同意的情況下，將他人公民個人信息據為己有。竊取行為違背他人意愿，侵犯了他人的信息安全權益，違背了法秩序，具備形式違法性與實質違法性。為周全保護公民個人信息，需對竊取進行廣義解釋，除了狹義上的竊取、盜竊外，還應包括利用職務便利的秘密復制①參見（2017）粵0304 刑初286 號刑事判決書。、通過侵入他人電腦爬?、趨⒁姡?015）杭江刑初字第1098 號刑事判決書。、通過網絡滲透等行為獲取等等?？傊?，判斷竊取在司法實踐中不存在困難。

有關非法獲取的“其他方法”屬于兜底條款，需要從規范與事實的互動中確定其內涵?；趯?00份刑事判決書的仔細比對、梳理，可發現司法實踐中認定的“其他方法”包括十種類型：（1）購買，即通過有償交易方式獲得公民個人信息，屬于常見的非法獲取行為。（2）騙取，如冒充銀行客服人員撥打客戶電話，謊稱可以提高信用卡額度，騙取客戶的信用卡卡號、驗證碼等信息。③參見（2015）安刑初字第583 號刑事判決書。通過詐騙方式獲取公民個人信息也違背了信息主體的信息權，將之納入“其他方法”具有合理性。（3）交換。持有公民個人信息的行為人之間的信息交換、互換，常通過郵箱、QQ 群等途徑實現。④參見（2017）京0114 刑初59 號刑事判決書。其本質為物物交換，既可以視為交易，也可以視為雙向信息提供，危害性本質在于信息擴散。（4）索取，即向他人無償索取獲得公民個人信息。這也導致了公民個人信息的流轉，且未獲得同意，可被認定為非法獲取。⑤參見（2015）張刑初字第00504 號刑事判決書。（5）下載、拷貝、復制。通過網絡下載、U 盤拷貝、計算機復制等方式獲取公民個人信息，也被界定為非法獲取。⑥參見（2018）贛0425 刑初42 號刑事判決書。（6）跟蹤調查。針對“私家偵探”現象，有判例將對他人跟蹤調查、跟蹤定位、秘密拍攝、記錄行蹤軌跡等行為界定為非法獲取公民個人信息。⑦參見（2016）粵0303 刑初304 號刑事判決書。（7）接受、接收。在電信詐騙活動中，人員分工細密且處于隔絕狀態，信息使用者通常并不知道信息提供者身份。⑧參見（2017）閩0881 刑初299 號刑事判決書。將信息接受、接收界定為非法獲取，可以嚴密法網。（8）收集。通過線上或線下方式收集公民個人信息，以及對公民個人信息的整理、編寫，司法機關也認定為非法獲取。⑨參見（2018）粵1702 刑初661 號刑事判決書。（9）受贈。受贈者呈現出被動性，屬于無償獲取公民個人信息。但基于違法連帶性的思路，由于受贈與提供屬于對合行為，當提供為非法時，受贈也非法，也被認定為非法獲取。（10）持有。單純持有信息也可被認定為非法持有。在孫某非法獲取公民個人信息案⑩參見（2015）深福法刑初第1116 號刑事判決書。中，民警查獲一個內有公民個人信息九千多條的U 盤，認定孫某為非法獲取。無疑，這是通過刑事推定實現的司法認定。

由此可見，為構建閉合的懲治法網，司法機關對獲取公民個人信息的“其他方法”進行了較大力度擴充，并表現出以下特征。一是“竊取”主要表現為病毒入侵、木馬程序控制等線上方式，線下竊取比較少見，這跟當下社會的網絡形態息息相關。二是竊取公民個人信息的案件并不占多數，司法實踐中被認定為非法獲取的行為，大部分歸屬于兜底條款的“其他方法”。三是購買成為常見的“其他方法”，不得買賣公民個人信息屬于無需言明的前提，裁判文書幾乎都在購買前加上了“非法”兩字。四是非法獲取的“其他方法”日益精細化，且保持持續擴充之勢，只要是從信息流轉中獲取，不論有償或無償、主動或被動，也不論獲取信息的目的，都被歸入“其他方法”范疇。五是裁判文書認定“其他方法”屬于徑直認定，沒有對“其他方法”與竊取進行同質性論證。對收受、交換、接收等“其他方法”的認定，很難從裁判文書的論證中看出其受到同類解釋規則的約束。六是單純對公民個人信息的“持有”也被界定為非法獲取。這說明在功能性的價值引領下，對公民個人信息權的保護趨于全覆蓋。七是對已公開的公民個人信息進行收集、整理也被認定為非法獲取，表明“非法獲取”出現了泛化傾向。把信息流轉環節全部界定為非法，不當地擠壓了合法獲取的空間。

二、價值檢視：從規則堅守到權利建構

由上可見，司法機關通過對“其他方法”的開放式解釋實現了“非法獲取”的適用擴張?？墒?，此種擴張的正當性并非不言自明的，仍然需要經過價值考察。

（一）不可逾越的同類解釋規則

具有明確性的刑法才可為民眾劃定行動準則，而刑法的明確性指的是相對明確，并非絕對明確。①張建軍：《論刑法明確性原則的相對性》，《南京大學法律評論》2013 年秋季卷。在相對明確性的語境下，刑法設置一定數量的兜底條款，以尋求規范明確性與穩定性的平衡，這在日新月異的現代社會中具有相對合理性。問題的關鍵是如何妥當解釋兜底條款，使其在為社會提供行動準則的同時，又不脫逸刑法的文本基礎，不損害國民預測可能性。由于刑法設置兜底條款時，都會先行明確規定典型的法益侵害行為，由此使例示條款或稱先例條款與兜底條款組合形成閉合的刑法規范。所以，解釋刑法的兜底條款離不開對先例條款的分析解構。兜底條款固然可以因社會發展變遷作動態解釋，但卻不能脫離先例條款所明示的事物屬性與規范本質。換言之，先例條款為兜底條款劃定了解釋邊界，兜底條款的解釋應當與先例條款保持同質性。被納入兜底條款范疇的行為不能明顯迥異于先例條款，此為同類解釋規則。我國刑法第253 條之一第3 款把竊取作為先例條款進行明確規定，其核心內涵是違背他人意志、未獲得信息主體的同意，②楊軍、杜宇：《非法獲取公民個人信息的規范闡釋》，《人民司法》2022 年第10 期。行為特征是非暴力的平和手段。依據同類解釋規則，能涵攝為其他非法獲取的行為，應當在違背意志、未獲得同意這兩個要素上具有共性。至于行為手段，則應與竊取具有相當性。根據當然解釋規則，既然以非暴力的平和手段獲取信息被界定為非法獲取，那么以搶劫、搶奪、恐嚇等暴力手段獲取信息的，理應也可被評價為非法獲取。

厘清此認知基礎后，便可對前文概括的十種非法獲取行為展開檢驗。購買、交換、騙取采用的都是與竊取相當的非暴力平和手段，也沒有獲得信息主體的同意，因而解釋為非法獲取沒有疑問。跟蹤調查固然違背了他人意志，侵犯了他人隱私權，認為此行為客觀上與竊取具有同質性也合理。但如下文所述，把被跟蹤調查者的行動界定為信息，有類推解釋之嫌。索取、受贈、接收、接受的相對方若是信息主體本人，固然合法；但在“知情-同意”規則下，行為人不可能同時獲得批量信息主體的同意。事實上，司法實踐中的索取、受贈、接收、接受的相對方并不是信息主體，只是握有批量信息的“上線”而已。這種情況下，應當認為此行為與竊取具有同質性。非法獲取信息指涉的是信息的流轉，而單純持有信息并不涉及信息流轉，不存在導致信息流轉的舉動，故無法評價手段的平和或不平和；同時，也很難認為靜止形態的持有與動態的竊取具有同質性。把單純持有評價為非法獲取，有過度評價之嫌。對于從網絡上收集已公開公民個人信息行為，如從相關政府門戶網站收集企業工商登記資料中的公民個人信息，由于信息主體對此類信息的公開已經同意，信息本身已處于不特定公眾可獲取的狀態，因此難以認為收集行為違背了個體意志。而且，要求對已公開的信息進行二次同意也不合理，這也遭遇到實實在在的困境。③張莉莉、阮騰飛：《個人數據信息保護的困境及其破解——基于知情-同意模式的視角》，《江蘇警官學院學報》2022年第6 期。由此，不將此類行為界定為非法獲取較為妥當。

總之，非法獲取公民個人信息的“其他方法”不應無限寬泛化，否則將使其擺脫先例條款的約束。同時，如此演化也將把“非法獲取”異化為物理意義上的單純“獲取”動作，進而脫離刑法文本含義的約束。全方位保護公民個人信息的導向固然值得肯定，可對于刑法適用而言，嚴格解釋兜底條款以保障基本的可預測性，仍然應當擺在重要位置。

（二）不可蠶食的同質同斷

法律能否為社會提供穩定行動預期，取決于社會公眾對法律是否形成了共識性理解。同時，其還依賴于對同樣案件同樣處理、類似案件類似處理之規則的堅持。正是同案同理、同質同斷的法則，才使法律獲得社會公信力。刑法的目的是保護法益，法益侵害是犯罪的本質，這是刑法學共識。法益是建構刑法的宗旨，也是促使刑法規范與案件事實往返互動的元素。那么，無論是刑事立法還是刑法解釋，都不應當脫離法益，刑法解釋與刑法適用都應圍繞法益展開。因刑法條文解釋存在分歧而不當地把不具有法益侵害性的行為框入，缺乏正當性。與此同時，對法益侵害性完全相同的行為給予區別對待，也脫離了法益本原的思考，欠缺妥當性。刑法第253 條之一第3 款對非法獲取公民個人信息賦予了與第1 款出售、提供行為同樣的法律后果。其根本原因在于在販售信息的黑色產業鏈中，非法獲取與非法提供是對合行為，本質上屬于共犯，具有同質性。而且，對于黑市的信息流轉環節而言，非法獲取信息會引發新的信息流轉，進而形成新的信息傳播鏈。再者，處于黑色信息流轉鏈條中的角色也并非單一，非法獲取者常常同時是出售者、提供者，反之亦然。由此，非法獲取與非法出售、非法提供等行為對信息權的侵犯可謂相當，可以把刑法第253 條之一第3 款界定為侵犯公民個人信息罪的堵截性條款。

不過，切不可據此認為一切形式的信息流轉行為都需刑法禁止，也不可簡單地說刑法禁止一切形式的獲取信息行為，因為刑法所禁止的是“非法獲取”，而非“獲取”。這種措辭本身即說明仍存在合法獲取的空間。從罪狀表述來看，刑法規定的非法獲取兜底條款之前的先例條款是“竊取”，而不是“拿取”等中性詞語。自古以來，竊取就是背離社會道德的自然犯。那么，能夠被解釋為非法獲取“其他方法”的，至少應具有與竊取相當的倫理悖反性。換言之，刑法所否定、反對的是非法獲取，合法獲取、具有社會相當性的合理獲取不被刑法所反對。由此，有以下兩點值得進一步探究：

其一，從本文梳理的樣本案例來看，在定性層面，獲取信息的樣態、動機、目的、緣由一般對非法獲取的性質界定不產生實質影響，只要事實上獲取了信息，都會認定為非法獲取。這是一種建基于外在事實狀態的強力推定。固然，在黑灰產業鏈中，非法獲取公民個人信息處在原點的基礎位置，對其的可罰性設置具有前置化與嚴密法網的刑事政策功能，對其設置較低的入罪條件有合理性。此外，在原則上承認此種堵截式、兜底式立場的前提下，評價“非法獲取”是否構成時還應預留充足的正當抗辯權。一方面，在適用推定規則的同時應允許被告人反駁；另一方面，要為合法獲取信息預留適當空間，以在公民個人信息刑法保護領域實現法益保護與自由保障的機能平衡。

其二，侵犯公民個人信息罪的保護法益是公民個人信息權，行為的可罰性在于對此種法益的侵害，且侵害是基于客觀上的行為，與行為人內心的意圖、目的無關。由此，只能針對客觀上的非法獲取行為建構入罪與量刑規則。但是，《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）的規定卻令人費解?！督忉尅返? 條規定，非法獲取普通公民個人信息5000 條以上或違法所得5000 元以上的為入罪標準；但在第6 條有關“為合法經營活動”而非法獲取公民個人信息的規定中，卻把入罪標準改為獲利5 萬元以上，且去除了信息數量要件?？墒?，主觀目的不同根本不影響非法獲取行為的法益侵害性。對此，已有學者明確指出，“侵犯公民個人信息罪的提供、出售、非法獲取的構成要件行為，無涉個人信息的處理方式和使用目的”。①于潤芝：《非法獲取個人數據犯罪的法益分析及處罰限定》，《大連理工大學學報（社會科學版）》2023 年第2 期?！督忉尅穼嵸|上是把一部分非法獲取行為轉變為目的犯，明顯不合理。公民個人信息權是否被侵犯與行為人的主觀要素無關，侵犯公民個人信息罪也不存在主觀違法要素。該司法解釋雖有力圖為基于合理目的獲取信息的行為騰出自由空間的良苦用心，但這并非妥適之道。因為其必然會導致刑法適用不公平，而且“為合法經營活動”這一內心要素的證明也十分困難——要么過于依賴被告人口供，要么完全依靠客觀證據，而這兩者均不合適。歸根結底，該司法解釋的弊端在于脫離了侵犯公民個人信息罪的法益。該罪的法益侵害本應屬于客觀化判斷，可提出合法經營目的等主觀要素，把相同的法益侵害行為進行不當切分，造成了性質相同行為的迥異對待，違背了同質同斷、同案同判的基本法理。

（三）不容突破的文義射程

成文法是立法旨意的文字表達，成文法的禁止范圍抑或授權邊界，唯有通過闡釋才可理解與把握。不管是禁止性規范還是授權性規范，法律所能涵蓋的范疇都是有限的，因而含糊其辭的文字表達不適用于法律。法律所承載的是對社會事務、公共權力、公民自由的限制或保障機能，其良好運作離不開一般人能夠理解、無歧義的文句。對于民法而言，由于其奉意思自治原則為圭臬，可以容納更多開放性規范，展開法律解釋時也容許更多的空間；但對于刑法而言，其條文的模糊則意味著規制空間的無限，民眾無法據此建立合理的行動預期。所以，罪刑法定成為現代刑法不可動搖的基本原則，刑法的明確性與嚴格解釋成了刑法學領域先驗的正確性。

誠然，刑法以禁止性規范或命令性規范條文創設行動法則也無法絕對避免歧義，因為即使刑法條文表述非常明確，不同的讀者受知識結構、成長經歷、價值觀等因素的影響，不可能形成無偏差的一致性認知。簡單明了的條文也可能出現不同的理解，詞語多義的條文更可能是如此，甚至會出現截然相反的理解。這雖是成文法無法克服的缺陷，但并不意味著是刑法的宿命。刑法的性質為限權法，應對其堅持著眼于保障公民權利的嚴格解釋已是共識。由此，語義解釋是刑法解釋的前提，刑法條文的語義邊界、文義射程則是刑罰權應予止步之處。關于文義射程的理解，理論上有國民預測可能性說、明顯突兀感說等，①付立慶：《積極主義刑法觀及其展開》，中國人民大學出版社2020 年版，第101～104 頁。其從不同角度細化了對文義射程的把握，豐富了特定詞語的核心語義、通常語義和邊緣語義，進而為劃清這三者以外的“突兀語義”提供了論說工具。簡言之，在將某一行為解釋為某罪會令人明顯感覺到突兀，也感到背離了通常的理解進而使普通人感到別扭時，界定其突破了刑法條文的文義射程則基本上是可靠的。

以此檢驗當前司法實踐對“非法獲取”公民個人信息的行為劃定，個別行為被劃定為非法獲取確有值得商榷之處。首先，可以非常明確地說，社會公眾的語言交流是區分獲取與持有的。獲取是指主體改變物品權屬的動作，持有則指的是對物品的占有狀態。一般人的日常交流不會混淆獲取與持有，反而是承認兩者彼此區別的。此外，刑法在規定了非法持有槍支、非法持有毒品等持有罪名的同時，還規定了搶奪槍支等針對違禁品的非法獲取罪名，這也說明了刑法是區分持有與獲取兩種實行行為的。在這種情況下，倘若僅僅是為了實現全方位保護公民個人信息的政策目標，把對信息的單純持有也認定為非法獲取，確實會令人感覺到突兀。

其次，侵犯公民個人信息罪的保護對象是公民個人信息。個人信息保護法第2 條規定，“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！睙o論認為該罪保護法益是個人法益，②于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，《政治與法律》2018 年第4 期。還是超個人法益，③江海洋：《侵犯公民個人信息罪超個人法益之提倡》，《交大法學》2018 年第3 期。抑或包括人格利益與財產利益的混合法益，④徐翕明：《侵犯公民個人信息罪的法益重析——基于個人信息保護法制定的探討》，《社會科學家》2022 年第8 期。從“信息”一詞的語義可以得出的明確結論是：公民的活動不是信息。那么，類似于私家偵探受人所托或者行為人基于特別需要對他人實施的跟蹤調查、跟蹤拍攝等行為，所記錄的是他人的行動與活動，并非信息，根本無法歸入非法獲取信息的范疇。正在進行的人的活動，仍處于持續變動的“進行時”，但侵犯公民個人信息罪中的信息反映的卻是“過去時”，已處于靜止狀態。因此，把跟蹤調查界定為非法獲取公民個人信息，是把公民的行動混同為信息，把動態的動作類推為靜態的信息，有突破信息的文義邊界之嫌。如果為了強力保護公民個人信息而突破刑法條文的語義邊界，會帶來刑法打擊面的擴大，也會消解刑法適用的正當性。

（四）不應克損的國民行動空間

法益保護與自由保障是刑法的兩大機能。對侵犯或者威脅法益的行為科處刑罰，既是對危害行為的懲罰，也是通過懲罰構建不得侵害法益的規則。當法益已經被侵害甚至特定法益已經滅失時，懲罰雖無法恢復法益，卻可以昭示公眾法益不容侵犯，一旦侵犯將受到否定評價，從而實現刑罰的預防功能?？梢?，刑罰對法益的保護不是回顧性的，而是前瞻性的?！靶塘P只能以通過維護行為規范的效力、強化國民對規范之信賴的方法，間接實現法益保護?！雹伲鄣拢轂鯛査埂そ鸬禄粢翝蔂枺骸斗ㄒ姹Ｗo與規范效力的保障——論刑法的目的》，陳璇譯，《中外法學》2015 年第2期。其實，國家制定刑法除了打擊法益侵害行為外，還有限制刑罰權濫用的意蘊。換言之，刑法在劃定犯罪圈的同時，也劃定了國民的自由行動圈。在秩序良好、法治昌明的社會，犯罪圈很小，自由行動圈很大，且兩者界限分明。同時，對于客觀上難以避免的模糊地帶，也應當盡可能作出有利于國民的善意解釋。這種盡可能不克損國民行動空間的刑法解釋之道，是保持社會活力，促進民眾無限創造力的保障。

保護法益的最有效方式是禁絕一切可能侵犯法益的行為，但這無異于把“小孩與洗澡水”一起倒掉，失去了現代社會最低限度的理性。信息時代背景下，公民個人信息、數據確已成為重要的新型法益，應當加以保護；但不能以風險社會理論敘事為理由，把與信息流轉相關的諸多行為均視為非法。過度保護會阻礙信息效益的發揮，只有恰到好處的保護才能最大限度地發揮信息的功用。公民個人信息與槍支、彈藥、毒品等違禁品不同，后者的流轉行為是被絕對禁止的，不存在合法空間。由此，對與這些違禁物品相關的持有、獲取、買賣行為均冠以“非法”之名也屬合理。但是，此種邏輯不能套用于公民個人信息，因為這類信息并非違禁品，其流轉存在正當、合法空間，刑法所打擊的只應是“非法獲取”，而合法獲取仍是法秩序所認可的。

當前，司法實踐存在的突出問題恰恰是出發點的偏差，把公民個人信息與違禁品等同起來，進而把一切獲取信息的行為均界定為“非法”，進而再歸為“其他方法”。比如，按照當前司法解釋，將超過5000 名員工的公司內部通訊錄進行流轉的行為，或是對此類信息的接受、下載等都可能會界定為非法獲取。但由于互聯網上已經公開的公民個人信息俯拾皆是，行為人從公開網絡上對這類信息的收集，具有社會相當性，談不上侵犯了信息主體的信息權，冠以非法之名顯然欠妥。而且，對公開信息的收集整理也屬于“創作”，應肯定其正當性，從而充分發揮信息效能。當前，司法實踐無一例外地判定從公開網絡上收集信息的行為為非法獲取，這將會逐漸形成“不得進行任何信息收集”的行動規則。一旦這種國民認知被固化，可能會使具有高價值性的生產要素閑置，使信息保護反而演變成對信息價值的閹割。刑法學界應適當反思當前“非法獲取”認定的泛化傾向。一方面，公民個人信息固然需要保護；另一方面，還應預留與公民個人信息相關的流轉行為的合法空間，而不是一概認定為非法。

三、規則塑造：前置法與同質性的雙重限定

當前，關于“非法獲取”的界定邏輯較為混亂，越來越多的行為被納入此列。這主要是由于有關非法獲取的適用規則尚未構建起來，從而導致獲取與非法獲取之間缺乏界線。為此，應當努力建構非法獲取的適用規則，以實現精準識別。對此，本文提倡建構一種前置法與同質性兩個層面的雙重限定非法獲取規則，可簡稱為“雙重限定規則”。

（一）雙重限定規則的內涵

1.刑法視域中“非法獲取”公民個人信息的前提是違反了前置法。侵犯公民個人信息罪屬于法定犯，具有同時違反前置法與刑法的雙重違法特征，而對前置法的違反是構罪的第一層條件。該罪的實行行為包括“非法提供”與“非法獲取”兩種?！胺欠ā辈⒎强捎锌蔁o的點綴，而是指必須違反了前置法，即國家有關規定。①于沖：《侵犯公民個人信息罪犯罪圈的“收縮”與出罪化路徑——基于個人信息多元化屬性的思考》，《青海社會科學》2021 年第1 期。由于我國刑法既定性又定量，②陳洪兵：《中國式刑事立法模式下的結果犯與實害犯》，《杭州師范大學學報（社會科學版）》2017 年第5 期。故形式上違法了前置法的行為仍要具備實質違法性。判斷獲取公民個人信息行為性質的前置法是個人信息保護法和民法典。個人信息保護法的立法目的是實現公民個人信息權保護的最大化，如該法明確了處理個人信息的正當、必要和誠信原則，規定不得通過誤導、欺詐、脅迫等方式處理個人信息，還強調不得過度收集個人信息。但該法也關注到不能“一刀切”地禁止處理公民個人信息，必須為此類行為預留合法空間。個人信息保護法第13 條第2 款規定，“依照本法其他有關規定，處理個人信息應當取得個人同意，但是有前款第二項至第七項規定情形的，不需取得個人同意?！庇纱?，在個人同意原則之外，明確規定了六種無需個人同意的豁免情形。與獲取信息相關的是個人信息保護法第13 條第1 款第6 項，即“依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”。換言之，信息處理行為存在特定情形下的合法空間。個人信息保護法第26 條對公共場所使用監控設備也預留了合法空間，即“在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需?！痹摲ǖ?7 條進一步重申“個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”。綜合這些條款可知，當行為人是在合理、必需的范圍內，且處理的是信息主體自行公開或者已經合法公開的個人信息時，其行為合法。民法典第1036 條對個人信息保護也同樣規定了豁免條款，其規定“合理處理該自然人自行公開或者其他已經合法公開的信息的，行為人不承擔民事責任”。

目前，“擴張大數據與保護公民個人信息這一矛盾的調和，成為消解網絡風險話語體系中的當然邏輯訴求?！雹墼S桂敏、張轉：《非法獲取公民個人信息行為的智化、解讀與規制——基于技術的多維面向》，《中國人民公安大學學報（社會科學版）》2020 年第6 期。這是當下網絡時代不得不面對的普遍難題。為調和此種矛盾，兩部前置法均一致地在“知情-同意”規則基礎上設置信息處理的豁免情形，以期在保護個人信息權與發揮信息的社會經濟效用之間尋求平衡?！昂侠矸秶睂儆谏鐣喈斝耘袛?，即以當前的社會倫理秩序審視行為是否具有通常性、必要性與民眾接受度。④陳璇：《刑法中社會相當性理論研究》，法律出版社2010 年版，第245 頁。當信息已經公開、處于不特定公眾可獲取的狀態，固然無需對公眾附加普遍的不作為義務。并且，要求公眾對公開信息視而不見也根本不可能。所以，在判定相應的獲取信息行為是否非法時，不能簡單地以客觀上獲得了信息進行推定，還應依照個人信息保護法第13 條、第27 條與民法典第1036 條進行檢驗，以判斷是否屬于合理范圍、是否屬于已公開信息。如果行為人所獲取的屬于已公開信息，則根本不存在對信息權的侵害，可徑直肯定其正當性，否定非法獲取。但是，獲取信息后的非法使用行為，則應另行評價。只有對信息獲取行為進行此種反向考察，才不會致使前置法的例外規定虛置化，才能匡正把所有信息獲取行為都視為非法獲取的不當做法。行為之前置法不法性的具備，并非行為之刑事違法性的充分條件。相反，前置法之不法行為只有通過刑法的罪質篩選和罪量確定，才能成為刑法上的犯罪行為。⑤田宏杰：《合作共治：行政犯治理的路徑選擇》，《法律科學》2022 年第5 期。只有真正發揮前置法的評價過濾功能，才能精準認定法定犯，對前置法評價機制的忽視會導致法定犯認定的寬泛，進而消解正當行為與非法行為的界線。

2.違反前置法的非法獲取行為仍需進行同質性判斷。行政法或民事法等前置法對個人信息方面的規定較為概括，劃定的禁止規則也相對寬泛，這與其處罰方式相對和緩是相稱的。作為后盾法的刑法，由于刑罰的嚴厲性，其規制面也理應在前置法的基礎上縮小。沒有必要把所有違反前置法的行為都視為刑事違法。正因如此，罪刑法定、嚴格解釋都是刑法解釋的鐵律，而行政法、民事法則沒有如此嚴格的解釋要求。①郭曉紅：《從刑法的特征看刑法解釋的立場》，《河北法學》2009 年第2 期。由此，對“非法獲取”展開刑法判斷時也必須展開第二層過濾，不能認為違反了個人信息保護法與民法典的行為即可列作犯罪的實行行為并構罪，因為這會導致評價結果的寬泛化。

第二層過濾一般從兩個方面展開：其一，行為方式的同質。個人信息保護法與民法典規定的是不得侵犯公民個人信息的基本準則，除了視為合理正當的少量情形以外，一切形式上違背了“知情-同意”規則的信息處理行為都屬違法。但若把各種千變萬化的信息處理行為都納入刑法評價，則必將損害刑法的明確性，也不符合有關非法獲取的“其他方法”兜底條款解釋規則。刑法第253 條之一第3 款明示列舉的是竊取行為，那么“其他方法”只能是由與竊取具有同質性的行為來填充。行為方式比竊取更激烈的搶奪、搶劫等行為，當然可以解釋為“其他方法”；購買作為出售的對合行為，解釋為“其他方法”也沒有障礙；交換與購買具有相當性，騙取與竊取具有相當性，解釋為“其他方法”也可被接受；但諸如從公開網絡收集、整理公開信息、受贈取得信息等較和緩的行為，則缺乏與竊取的同質性。

其二，行為對象的同質。對象與行為具有關聯性，不同的對象會限制行為的形式與架構。非法獲取的對象是信息，對于從屬于“物”的信息可以獲取、出售。但是，當對象并非“物”，而是他人的現實行動、生活起居等“行為”時，就無法對之實施獲取、出售，充其量只能對行為施加干擾、影響。獲取他人信息可以理解，但獲取他人的行為、行動則不可思議，突破了常識范疇。②馮亞東：《違法性認識與刑法認同》，《法學研究》2006 年第3 期。因此，非法獲取的對象只能限定為信息。誠如學者所言，“刑法所保護的公民個人信息，不僅需要具有一定的可識別性，還應當根據刑法的謙抑性原則對其范圍進行合理的限縮?！雹廴~良芳、應家赟：《“公民個人信息”的教義學闡釋——以〈刑事審判參考〉第1009 號案例為樣本》，《浙江社會科學》2016 年第4 期。因此，不能把對他人實施跟蹤、跟拍等行為界定為非法獲取個人信息，因為其與個人信息根本不具有同質性。行為對象的同質性是成立非法獲取個人信息的最后關卡。司法機關將跟蹤、跟拍等行為界定為非法獲取公民個人信息是錯誤的。

此種錯誤與對前置法的理解存在偏差有關。雖然民法典把隱私權和個人信息保護一并規定在第四編“人格權”的第六章，但兩者屬于截然不同的權利類型，且這兩種權利的規定是分立的。民法典第1032 條和第1033 條規定不得侵犯隱私權，如不得進入、拍攝、窺視他人的住宅、賓館房間等私密空間，不得拍攝、窺視、竊聽他人的私密活動等。個人信息權則是由其他條款規定的，且個人信息保護法也明確了隱私權與個人信息權的分立。由此，侵犯他人隱私與侵犯他人信息是兩碼事。雖然隱私可涵蓋靜態的隱私信息與動態的隱私行動，但靜態的隱私信息與動態的隱私行動明顯存在樣態差別。對他人跟蹤、跟拍、調查等屬于典型的侵犯他人的動態隱私，但他人的實時行動并非信息。如果將此界定為非法獲取公民個人信息，實質上是借助隱私這一上位概念，把動態的隱私行動類推為靜態的隱私信息，從而把“行動”類推為“信息”。雖然這種類推實現了對侵犯公民個人信息罪前置法的拓寬，但是體系性解釋刑法第253 條之一和個人信息保護法、民法典的相關規定，卻根本無法得出侵犯公民個人信息罪在保護個人信息之余，還保護正在進行的個人行動的結論。實際上，跟蹤、跟拍、調查等侵犯隱私權行為，由于缺乏行為對象的同質性，根本無法在侵犯公民個人信息罪框架內評價。如果這類行為具有可罰性，確實需要納入刑法評價，充其量也只能把以此為業的行為界定為非法經營。

綜上所述，經過雙重限定規則的篩選、過濾，“非法獲取”才能得到合理限定，放大化認定“非法獲取”的失當做法才能得到有效緩和。

（二）雙重限定規則的運用

1.前置法審查包括形式判斷與實質判斷。以民法典與個人信息保護法等前置法為依據審查信息獲取行為是否違反國家相關規定，此種違法性判斷既是形式判斷，也是實質判斷。

法秩序并不是禁止一切形式的信息獲取。個人信息保護法規定處理個人信息必須遵循合法原則，不得非法收集。就信息流轉而言，要求行為人一一核對所獲取的信息來源是否正當、是否得到原信息主體的同意顯然不切實際。簡單地對信息獲取行為展開全面打擊不是穩妥做法，應重點懲治信息流出的源頭，把關注重心轉向源頭治理、源頭保護。①于世梁：《我國信息黑市治理問題研究》，《遼寧行政學院學報》2019 年第3 期。對于信息獲取行為，除非明顯通過竊取、買賣、交換等應予否定評價的行為外，從公開的場合、空間中收集、整理公開的個人信息的行為，不宜界定為非法獲取。至于獲取信息后實施的信息出售、提供及非法利用等行為，則由于超出了單純的獲取行為范疇，體現為新一輪的信息流轉，當然需要界定為非法?？傮w而言，這仍然是形式層面的判斷。

對具備形式違法性的信息獲取行為展開違法性實質判斷，需要進一步考察是否存在合理使用等正當事由，這是對行為的危害性與可罰性的社會相當性判斷，是把行為置于整體的法秩序中斟酌考量。司法實踐中也確實出現了否定信息獲取行為非法性的案件，如對于公安民警或者輔警利用工作之便查詢公民信息的行為，就有判決明確持否定態度，認為“派出所社保隊員的職責雖僅是輔助性工作，按照公安機關內部規定，社保隊員不能直接向派出所值班人員索要諸如公民身份住址、開房記錄等個人信息，但實踐中出于工作需要和便利，也會出現類似情況?！桓嫒藚悄倡@取上述信息時并未使用竊取、騙取、賄買等非法手段，也無法律明文規定公安機關內部人員之間不能交流傳遞類似信息，故難以認定為非法獲取”。②參見（2015）松刑初字第1474 號刑事判決書。對此，有兩點特別值得關注：一是裁判理由提出“實踐中上述情形客觀存在”，這實質上說明了相應行為在特定社會場域中的通常性，也說明類似的查詢信息有利于公安工作的開展。二是裁判理由提出“法并不禁止公安內部人員交流傳遞類似信息”，這同樣是基于公安機關正常開展工作與發揮職能的維度進行的體恤性考量。因為事實上不可能要求每一條公民信息都由公安民警親自查詢，如果禁止民警、輔警之間內部交流傳遞這些信息，可能會克損公安機關內部本來形成的工作慣例。這兩點理由均是價值層面的權衡，也是前置法所規定的合理范圍、必需性的實質內涵。以此推演，便可肯定普遍存在的、從公開網絡獲取公開信息、大型公司內部或者行業共同體內部基于業務需要交流、傳遞公民個人信息行為的正當性，這些均是刑法應予止步之處。同理，基于安全需要而在營業場所安裝監控設備的行為，在當下的社會條件下具有高度的可接受性，也沒有必要將其界定為非法信息收集。

2.同質性審查包括行為同質性與對象同質性判斷。違反國家有關規定只是違反了前置法，并不意味著必然違反刑法，因為刑法所劃定的犯罪圈相對于前置法的行為規制圈更小。這帶來違法性評價的差序，即“民事上合法的行為可以作為違法阻卻事由，阻卻行為的刑事違法性，但行為具有民事違法性不能直接作為認定行為具有刑事違法性的依據?！雹鄯炕鄯f：《刑法謙抑性原則的價值定位與規范化構造——以刑民關系為切入點》，《學術月刊》2022 年第7 期。那么，這就需要將特定行為置于刑法的視野進行二次考察。如前述，二次考察包括行為方式同質性與行為對象同質性兩個方面。對于行為方式來說，須是竊取或者行為強度重于竊取的搶奪、搶劫等行為。行為強度與竊取具有相當性，行為方式也違反信息主體意志，才能評價為非法獲取的“其他方法”。至于行為對象的同質性，意指不能把事物屬性根本不是“信息”的行為、行動等納入信息范疇，此處不再贅述。

3.嚴格適用刑事推定規則。原則上，非法獲取信息必須有充分證據證明且符合證據確實充分、排除合理懷疑的刑事證明標準。之所以將此作為雙重限定規則的第三步，是因為司法實踐存在泛化認定非法獲取的做法。通常，這主要是通過刑事推定實現的，如將U 盤或電腦里儲存了大量公民個人信息的情形認定為非法獲??；又如，把單純通過郵箱接收信息文件包的情形認定為非法獲取。此種認定邏輯在于先驗地認為信息為非法流轉而來，對無法說清信息來源者，均以持有的基礎事實推定非法獲取。理論上，也有運用司法推定實現對獲取手段非法性證明的主張。④付強：《非法獲取公民個人信息罪的認定》，《國家檢察官學院學報》2014 年第2 期。誠然，這在宏觀層面具有合理性，但是否能保證可接受性，關鍵在于推定規則有沒有得到嚴格遵守、作為推定前提的“基礎事實”是否全面充分、基礎事實與推定結論之間是否存在經驗意義的關聯以及是否獲得了常識支撐。對于基礎事實，即客觀上持有信息的異常性、不合理性等素材而言，信息持有者是否參與了信息流轉環節、持有信息是否屬于違法流轉的結果，至少需有充分證據進行證明。若無法完成基礎事實證明，則不能做出推定。一言以蔽之，以持有徑直認定非法獲取欠缺正當性。以持有推定非法獲取，需嚴格遵循刑事推定規則，在基礎事實證明、基礎事實到結論的推導等兩個層面進行嚴格限縮。為防止非法獲取認定的泛化，在實體法層面雙重限定基礎上，有必要在具體司法認定中強調證據規則的嚴格運用，防止因過度迎合保護公民個人信息的政策要求，而在非法獲取的司法認定上過度泛化適用刑事推定規則。①勞東燕：《認真對待刑事推定》，《法學研究》2007 年第2 期。

四、結語

公民個人信息已成為重要的新興法益，通過刑法與前置法共同搭建保護公民個人信息的完善法律體系可謂是因應時代之需。②喻海松：《“刑法先行”路徑下侵犯公民個人信息罪犯罪圈的調適》，《中國法律評論》2022 年第6 期。打擊非法獲取公民個人信息行為是刑法應然角色功能的發揮，這種積極作用無疑應予肯定。但是，基于罪刑法定原則的約束，刑法的適用必須精確。司法實踐中存在的“非法獲取”認定的寬泛化傾向，應予認真反思。著眼于刑法謙抑性的堅持，本文為“非法獲取”的認定建構了前置法與同質性的雙重限定規則。由此，一方面，為司法評價提供了適于操作的過濾方法，防止對“非法獲取”的過度認定；另一方面，避免刑法學在整體泛化認定“非法獲取”的背景下出現失語。信息保護與信息效益發揮、打擊犯罪與行動自由保障都是需要實現平衡的雙方，為此，刑法學界應更多關注“非法獲取”的泛化認定問題，積極推動建構更加完善的解釋論規則與司法適用規則。