擅自處理已公開個人信息的刑法規制

遠桂寶　商銀濤　段厚省

摘 要：公開的個人信息也是刑法的保護對象。判斷公開個人信息的處理行為是否構成侵犯公民個人信息罪，不能簡單地一律歸為有罪或無罪，而應當依據該罪的構成要件，特別是“違反國家有關規定”進行區分認定。對此，必須考察民法典和《中華人民共和國個人信息保護法》等前置法，根據前置法的規定，在未取得信息主體同意的情況下，公開個人信息處理行為只有對信息主體權益有重大影響，才符合該罪“違反國家有關規定”的前置法要件。對于雖未取得信息主體同意，但處理行為未對其權益有重大影響的行為，由于不符合“違反國家有關規定”的前置法要件，不能進行入罪評價。

關鍵詞：公開個人信息 侵犯公民個人信息罪 個人權益 重大影響

一、已公開個人信息處理行為適用侵犯公民個人信息罪的爭議

刑法第253條之一規定：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金……”從侵犯公民個人信息罪的罪狀來看，該罪的成立條件包括前置要件、行為方式和情節嚴重程度三個方面。隨著信息社會建設的深入推進，我國逐步建立了執法信息、征信信息、企業信息和執行信息等相關的信息公開制度，公開的個人信息數量快速增加，對已公開個人信息處理行為是否適用侵犯公民個人信息罪，司法實務中對此存在有罪說、無罪說與區分說的爭議。

［案例一］被告人王某先后8次使用QQ將包含個人姓名、電話等內容的72242條涉案信息出售給他人牟利。法院查明，上述72242條信息中有69511條為來源于阿里巴巴、百度、自助貿易網、中國供應商網、材料網等公開的商業網站所包含法定代表人或聯系人的姓名、手機號碼的公開個人信息。法院經審理認為，公開的個人信息不是刑法上的個人信息，不屬于侵犯公民個人信息罪的行為對象，對69511條已公開個人信息未予認定。［1］

［案例二］被告人成某通過“天眼查”軟件下載和向他人購買、交換等方式非法獲取公民個人信息共計88860條（包含公開個人信息19578條），利用手機QQ和微信，將上述信息出售牟利。法院經審理認為，成某處理已公開個人信息未取得信息主體同意，因而成某向他人出售已公開與非公開的公民個人信息行為均構成侵犯公民個人信息罪。［2］

［案例三］被告人李某通過下載“企查查”APP軟件注冊并支付360元成為VIP會員，后使用該軟件對企業信息進行查詢并將企業信息批量下載導出，經過重新編輯，整合成Excel文件并分類成全國各地區的企業個人信息數據，通過其經營的“勝達網絡科技”淘寶店將上述公民個人信息向多人出售共計90萬余條，非法獲利人民幣7080元。李某出售的信息均含有“姓名、聯系方式、郵箱”等內容。法院經審理認為，李某向他人出售已公開與非公開的公民個人信息行為均構成侵犯公民個人信息罪。［3］

案例一中法院認為公開的個人信息不是刑法上侵犯隱私權的個人信息，即否定已公開個人信息是該罪的行為對象，實際上是持“無罪論”的觀點。案例二中法院認為對于處理已公開個人信息的行為，要看行為人是否取得了信息主體的同意，未取得信息主體同意的才可能構成犯罪，并引用“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《侵犯公民個人信息司法解釋》）第3條第2款［4］作為依據，實際上是持“區分說”的觀點。案例三中法院在審理該案中未區分公開與非公開的個人信息的構罪條件，將侵犯已公開個人信息行為的入罪條件等同于侵犯非公開個人信息行為的入罪條件，實際上是持“有罪論”的觀點。筆者認為，對于處理已公開個人信息的行為，不能簡單地一律歸為無罪或有罪，應當結合侵犯公民個人信息罪構成要件區別認定。

二、侵犯公民個人信息罪的法益厘清與行為對象明確

案例一中法院認為公開的個人信息不是刑法上侵犯隱私權的個人信息，由此引發兩個問題：一是侵犯公民個人信息罪保護的法益是否為公民的隱私權；二是該罪的行為對象是否包括已公開個人信息。

（一）侵犯公民個人信息罪保護的法益

法益在解釋構成要件和違法性判斷方面發揮著重要作用，厘清侵犯公民個人信息罪的法益是解決擅自處理已公開個人信息刑法認定問題的前提。刑法第253條之一始終沒有對該條所保護的法益作出明確清晰的規定，造成了適用中的巨大爭議。［5］案例二中法院觀點體現的就是隱私權說的觀點，認為侵犯公民個人信息罪保護的法益是公民不希望讓他人知道的個人私密性信息的權利［6］。這種傳統的觀點顯然不利于個人信息的保護。作為保障法，刑法本身不創造前所未有的新法益，其保護的法益應當在前置法中尋找。對此，需要從前置法中抽絲剝繭，逐層細化。我國刑法對公民個人信息的保護源于憲法對公民人格權的保護。民法典將個人信息規定為一種民事權益，必然給相關行為人設定一定的義務，在刑法看來，這種民事權益實質上就是一種權利，可以解釋為個人信息權。就此而言，將該罪的法益界定為籠統寬泛的“個人信息權”雖非錯誤但并不確切?！吨腥A人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）第44條是對個人信息自決權的明確，可以解釋為“信息主體對個人信息按照自己意愿進行控制、支配的權利”。［7］個人信息自決權是對個人信息權的進一步具體化。至此，侵犯公民個人信息罪的法益最終確定為個人信息自決權。該種觀點基于法秩序統一性原理，較好地平衡了對公民個人信息的全面保護與刑法的謙抑理念，同時也體現了刑法理論一貫強調的法益的具體性（并非抽象性），便于司法機關在實踐中具體把握。

（二）侵犯公民個人信息罪的行為對象

案例一中法院認為公開的個人信息并非該罪的行為對象。這是對刑法中公民個人信息的誤讀，有必要澄清。刑法作為保障法既不能簡單地移植民法、行政法中的含義，也不能拋開前置法另立標準去界定公民個人信息，而應當和前置法保持協調一致，這種協調一致集中表現為本質特征的一致。我國公民個人信息的內涵經過了從模糊到相對清晰的階段，首次界定個人信息的《中華人民共和國網絡安全法》頒布以后，特別是《侵犯公民個人信息司法解釋》通過以后，公民個人信息的本質特征得到了統一。公民個人信息的本質特征是“須與特定自然人關聯，這是公民個人信息所具有的關鍵屬性”［8］。公開的個人信息與私密性的個人信息的區別在于是否處于公開狀態，即是否對不特定的多數人公開。兩者在與特定自然人的身份狀況或活動情況的關系方面都凸顯了關聯性的根本特征。因此，公開的個人信息也是該罪的行為對象。

三、侵犯公民個人信息罪的行為方式明確

上述案例二中法院認為侵犯已公開個人信息的行為是否入罪，要看是否取得了信息主體的同意，并引用《侵犯公民個人信息司法解釋》）第3條第2款作為入罪的依據。其實司法實踐中很多侵犯已公開個人信息行為入罪的案例都引用了該條款，但存在著對該條款的誤讀。

（一）《侵犯公民個人信息司法解釋》第3條第2款涉及的前置法考察

正確理解該條款，必須結合前置法的規定進行。從前置法的規定來看，已公開個人信息與非公開的個人信息的自決權內容不同，受侵害的方式不同。處理非公開個人信息的行為是否為行政違法行為抑或構成民事侵權行為取決于是否獲得了信息主體的同意。取得信息所有人同意是非公開個人信息處理合法性的主要依據。民法典對公民個人信息的保護集中于第4編第6章，其中涉及到公民個人信息保護的條款共有6條（第1034-1039條），規定經自然人“同意”的條款有3條，占所有條款的一半；《個人信息保護法》共有74個條款，其中規定須經自然人“同意”的共有27處，分布在14個條款中，占總條款數近20%。這些都是對非公開個人信息主體知情同意權的尊重，目的在于通過保護非公開個人信息主體的知情同意權來保護其自決權。鑒于此，知情同意規則是涉非公開信息處理者最重要的免責事由，因而也成為刑法上重要的出罪事由。與此不同的是，處理已公開個人信息的行為不適用知情同意規則， 只有對信息所有人權益有重大影響的，才需要取得其同意（下文詳細展開）。

（二）《侵犯公民個人信息司法解釋》第3條第2款的含義澄清

基于上述對前置法的考察，未經信息主體同意不能武斷、片面地理解為只要未經信息主體同意，不管信息是處于公開狀態還是非公開狀態，都不能向他人提供?！肚址腹駛€人信息司法解釋》起草者對第3條第2款解讀為：“這里只是明確此種情形屬于提供公民個人信息，是否構成侵犯公民個人信息罪，還需要根據‘違反國家有關規定等要件作進一步判斷?！保?］可見，該條司法解釋只是明確了此種情形屬于提供公民個人信息行為，是對行為方式的明確，是否構罪還要結合其他要件進行判斷。實際上從社會大眾的樸素認知來看，如果在信息已經合法公開的情況下，再要求行為人的處理行為一律需要取得權利人同意是不合理的。實際生活中，行為人通過合法渠道搜集到公開的個人信息后，再向他人出售或提供，鮮有取得信息主體同意的情形，這主要有兩個方面的原因：一是很多信息主體難以找到；二是信息量大，涉及的信息主體眾多，難以履行告知程序。

四、已公開個人信息處理行為入罪的關鍵——“違反國家有關規定”

（一）明確“違反國家有關規定”構成要件

從上述案例一至案例三來看，這些案例對行為人違反的相關國家規定都沒有表述、論證。當前司法實踐中重點考察的是行為方式和情節嚴重，忽視了對“違反國家有關的規定”的考察，造成該要件流于形式，甚至不少案件的判決書對違反的國家規定的具體條款不予提及?！斑`反國家有關規定”的具體把握是辦理涉已公開個人信息類侵犯公民個人信息案件中最為關鍵之處?？疾爝@一構成要件必須遵循法秩序統一性原理，相關法律在處理同一問題的時候，要做到相互協調、相互補充、相互配合，不能出現相互矛盾的情況。該原理決定了前置法對刑法定罪的限制功能：民法典和《個人信息保護法》等前置法中的合法化事由，應當成為刑法上的違法阻卻事由。民法、行政法等前置法評價為合法的行為，不能認定為是觸犯刑法的行為，否則社會大眾就會無所適從，造成法律秩序的混亂。刑法作為保障法，應當基于法秩序統一性原理作出體系性的科學判斷。

（二）已公開個人信息處理行為“違反國家有關規定”的具體闡述

民法典第1036條規定了合理處理公開的個人信息不承擔民事責任，但是有兩點例外：一個是信息主體明確拒絕，二是信息主體的重大權益受到侵害?！秱€人信息保護法》第27條也作出類似的規定。前者是從事后責任免除的角度規定了已公開個人信息的處理問題，后者是從信息處理的事前行為規范的角度對其進行了特殊規定。雖然兩者之間表述存有少許差異，但是究其實質是統一的。也即，未取得信息主體同意處理公開的個人信息，且對信息主體的權益有重大影響，具備入罪的“違反國家有關規定”的前置法基礎。概言之，“對個人權益具有重大影響”是判斷處理已公開個人信息行為適用侵犯公民個人信息罪的關鍵，其有兩個部分組成：一是個人權益，包括權利和權益兩個部分，既包括個人的人格尊嚴、人身自由、生活安寧和通信秘密等憲法規定的基本權利，也包括人身和財產等基本權益；二是重大影響，所謂重大影響是指行為人對已公開個人信息的處理將會導致信息主體的個人權益難以或無法行使，或者個人權益被侵害、妨礙等重大的不利后果。［10］這是實體分析的結論。從程序上看，證明對個人權益有重大影響必須有確實、充分的證據：一要證明信息主體的上述權益已經受到了侵害，或者雖然尚未受到侵害，但是受到嚴重的威脅；二要證明信息處理行為與上述重大影響存在因果關系。對于侵犯公民個人信息罪，涉已公開個人信息案件的入罪條件相對苛刻，與非公開的個人信息相比，多了“對個人權益具有重大影響”的證明負擔。

通過以上分析可知，案例一將公開的個人信息排除在刑法的調整范圍外，顯然沒有正確把握個人信息的本質特征；案例二不區分個人信息的公開與否，一概將未取得信息主體同意作為入罪要件，是對《侵犯公民個人信息司法解釋》第3條第2款的誤讀；案例三不區分公開與非公開信息的入罪條件，將兩者等同視之，是對前置法的忽視，也是對“違反國家有關規定”構成要件的忽視。司法實踐中要特別注意區分涉已公開個人信息案與涉非公開個人信息案中“違反國家有關規定”構成要件中“國家規定”的差異?！皩€人權益具有重大影響”而非“經信息主體同意”是判斷已公開個人信息處理行為是否觸犯侵犯公民個人信息罪的關鍵要素。對擅自處理已公開個人信息的行為要區分認定，在未取得信息主體同意的情況下，已公開個人信息處理行為只有對信息主體權益有重大影響，才符合該罪“違反國家有關規定”的前置法要件。對于雖未取得信息主體同意，但處理行為未對其權益有重大影響的行為，由于不符合“違反國家有關規定”的前置法要件，不能進行入罪評價。

*江蘇省南通市經濟技術開發區人民檢察院第四檢察部副主任、四級檢察官助理［226009］

**江蘇省南通市人民檢察院法律政策研究室一級檢察官助理［226007］

***復旦大學法學院教授、博士生導師［200433］

［1］ 參見江蘇省蘇州市姑蘇區人民法院刑事判決書，（2018）蘇0508刑初40號。

［2］ 參見福建省安溪縣人民法院刑事判決書，（2018）閩0524刑初932號。

［3］ 參見江蘇省揚州市中級人民法院刑事判決書，（2020）蘇10刑終79號。

［4］ 《侵犯公民個人信息司法解釋》第3條第2款規定：“未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第二百五十三條之一規定的‘提供公民個人信息，但是經過處理無法識別特定個人且不能復原的除外?！?/p>

［5］ 關于侵犯公民個人信息罪保護的法益有隱私權說、人格權說、財產權說、個人信息權說、個人生活安寧權說、公共信息安全說等觀點。

［6］ 參見蔡軍：《侵犯個人信息犯罪立法的理性分析———兼論對該罪立法的反思與展望》，《現代法學》2010年第4期。

［7］ 參見劉艷紅：《民法編纂背景下侵犯公民個人信息罪的保護法益：信息自決權——以刑民一體化及〈民法總則〉第111條為視角》，《浙江工商大學學報》2019年第6期。

［8］ ［9］ 周加海、鄒濤、喻海松： 《〈關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋〉 的理解與適用》，《人民司法（應用）》2017年第19期。

［10］ 參見程嘯：《論公開的個人信息處理的法律規制》，《中國法學》2022年第3期。