告知同意在侵犯公民個人信息罪中的適用研究

韋婉

摘要：個人信息保護“刑法先行”模式缺乏前置法的支持，且一定程度上忽視了個人信息保護與利用的價值平衡，立足于整體法視角反思侵犯公民個人信息罪的合理邊界具有必要性。告知同意是侵犯公民個人信息罪的重要補充規范，基于被害人同意的出罪功能，比照被害人同意有效要件完善告知同意的內涵，將完善后的告知同意作為被害人同意適用于侵犯公民個人信息罪，能夠為本罪的出罪與從寬處罰機制研究提供新思路，實現刑法對個人信息的精準保護。

關鍵詞：告知同意；被害人同意；侵犯公民個人信息罪

中圖分類號：D924.34文獻標識碼：A文章編號：1004-1494（2023）02-0089-06

大數據時代，信息數據成為重要戰略資源的同時，個人信息非法利用對信息流動社會秩序造成了嚴重干擾[1]。在其他部門法還未專門出臺個人信息保護相關規范時，刑法就增設了侵犯公民個人信息罪進行個人信息刑法保護①，形成了個人信息保護“刑法先行”模式，但這種試圖以規制“點”來保護“面”的做法缺乏整體法的系統性[2]，因此立足于個人信息保護整體法律框架，探討侵犯公民個人信息罪的刑法適用，重新審視本罪的責任承擔范圍具有必要性。告知同意作為個人信息處理基本規則②，為侵犯公民個人信息罪的適用提供了重要前置法依據，并且告知同意與被害人同意都具有免責功能，所以本罪合理邊界的確定，可在被害人同意的視角下以告知同意的刑法適用為主題展開討論。

告知同意是個人信息處理的基本規則，是指任何組織或個人在處理個人信息時都應當對信息主體（個人信息被處理的自然人）進行告知，并在取得同意后方可從事相應的個人信息處理活動，否則該等處理行為即屬違法，除非法律另有規定[3]。在積極利用層面，告知同意是個人信息處理的正當法律根據之一，符合告知同意規則行為人即可開展個人信息處理活動；在消極防御層面，告知同意是免責事由，產生違法阻卻效果[4]。

根據《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《司法解釋》）第二條規定，侵犯公民個人信息罪中的“違反國家有關規定”指違反法律、行政法規、部門規章有關公民個人信息保護的規定。告知同意，作為被《中華人民共和國民法典》（以下簡稱《民法典》）《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）這兩部法律所明確規定的個人信息處理基本規則，當然屬于關于公民個人信息保護的法律規定。可以認為，告知同意是本罪空白罪狀的補充規范，屬于本罪罪狀中的“國家有關規定”的下位規則范疇[5]。

而本罪罪狀中的“違反國家有關規定”不是可有可無的違法提示性用語，應將其認定為具有構成要件限定機能的構成要件要素。其原因在于，侵犯公民個人信息行為的刑事違法性根據多是來源于民法、行政法，如不依靠民法、行政法這些前置法規范就作出刑法上的獨立判斷，顯然是相當困難的。并且，如果將“違反國家有關規定”認為是違法提示性用語，則否定了個人信息正常交易與流通的可能性，如此解釋將違背信息社會與數字經濟的發展規律。《司法解釋》第四條規定③已經澄清，只有在違反國家有關規定的前提下購買、收受、交換個人信息才是非法獲取公民個人信息行為，事實上承認了合法購買、收受、交換公民個人信息的可能性。所以，評價侵犯公民個人信息罪不僅需要考察刑法的規定，還需要參考其他法律、行政法規，將“違反國家有關規定”這一空白罪狀解釋為構成要件要素，是更為妥當的做法。

由于“違反國家有關規定”這一構成要件要素在構成要件階層，告知同意在其下位范疇，所以告知同意在侵犯公民個人信息罪中的刑法位置也應當位于構成要件階層。

二、告知同意在侵犯公民個人信息罪中的效力

當下并沒有法律條文直接規定告知同意在侵犯公民個人信息罪中的效力，但把它與刑法上的被害人同意進行比較，并加以完善，則可以發現告知同意也有類似的法律效力。被害人同意，是指法益主體允許他人對自己的個人法益以一種刑法上的“侵害”方式予以處置[6]，得到被害人同意的行為不為罪已是刑法學界共識。告知同意與被害人同意皆為權利人的同意，那么告知同意能否對標被害人同意在侵犯公民個人信息罪中發揮出罪機能？當前，學界已有觀點認可告知同意可以視為刑法上的被害人同意，成為排除或是減輕侵犯公民個人信息罪刑事責任的根據[7]，但是前置法規范中的告知同意與刑法上的被害人同意是否完全契合，仍缺乏討論。

（一）告知同意與被害人同意的比較

1.理論基礎的比較

在理論基礎上，被害人同意與告知同意的理論依據相通。被害人同意的正當性根據在于自決權，體現了法益主體對法益的自由支配。告知同意作為前置法中的免責事由，同樣建立在公民的自我決定權基礎上，它所強調的是公民的個人信息處理決策自由。所以，被害人同意與告知同意的理論價值基礎都建立在了個人自決權上，應當承認前置法中的告知同意與刑法上的被害人同意這兩項免責事由的理論依據是相通的。

2.體系定位的比較

在體系定位上，被害人同意與告知同意的刑法體系定位相同。如前所述，告知同意屬于侵犯公民個人信息罪中的構成要件階層。在本罪視域下，被害人同意的體系位置也應當定位于構成要件階層。基于告知同意規則屬于“國家有關規定”下位規則范疇，違背作為信息主體的被害人在個人信息處理方面的意志自由屬于“違反國家有關規定”，由于“違反國家有關規定”是本罪的構成要件要素之一，所以違背作為信息主體的被害人意志實際上相當于本罪的一個構成要件要素，未取得或違背被害人同意，向他人出售或者提供公民個人信息，或是非法獲取公民個人信息的行為則具備構成要件符合性，取得被害人同意的行為阻卻了構成要件的形成，更阻卻了該行為的刑事責任。以同樣將被害人意志作為構成要件要素的強奸罪為類比，不違背被害人同意的性行為自始就不具備構成要件符合性，在構成要件階層就應當排除此行為的刑事違法性。所以本罪中告知同意與被害人同意都屬于構成要件階層。

3.有效要件的比較

在有效要件上，被害人同意與告知同意存在一定差異。被害人同意的有效條件包括六個方面：一是被害人對侵害的法益具有處分權限；二是被害人具有同意能力；三是被害人對同意的內容、意義和后果具備明確的認識；四是被害人的同意是自愿且真實的；五是同意時間最遲在結果發生時；六是經同意實施的行為不超過同意范圍[8]。根據《個人信息保護法》，告知同意的有效要件包括三個方面：一是信息處理者充分履行告知義務。在告知形式上應當以顯著方式、清晰易懂的語言真實、準確、完整地進行告知；在告知內容上，在形式方面應當包括個人信息處理者的基本信息、個人信息的處理目的、處理方式、程序，處理的個人信息種類、保存期限、行使權利的方式與程序，以及其他法律法規規定的事項；在實質方面應當符合合法、正當、誠信、必要原則。二是信息主體具備同意能力。三是信息主體的同意是自愿、明確的。

4.告知同意與被害人同意差異的分析

通過上述比較可以發現，告知同意與被害人同意的有效要件相類似，但也存在一定差異。第一，被害人同意與告知同意的生效要件在處分權限要求上不完全一致。有效的被害人同意要求被害人對侵害的法益有處分權限，而告知同意的有效要件中并沒有明確指出處分權限的要求。告知同意雖然并未強調這一點，但告知同意中信息主體的同意針對的是自己的個人信息所附帶的人身、財產安全，沒有涉及其重大身體健康法益、生命法益以及國家、公共利益和他人利益，這并不會超出被害人同意的一般范圍限度，所以告知同意是符合被害人同意關于處分權限這一成立要件要求的。第二，被害人同意與告知同意的生效要件在同意內容上不完全一致。有效的被害人同意要求被害人能夠對同意的內容、意義和后果都有正確的認識[9]。如果被害人只是同意行為，沒有同意結果，則不能認為被害人同意有效。根據《個人信息保護法》第十七條④，告知同意要求個人信息處理者告知的內容沒有明確包括個人信息處理的風險與結果，那么信息主體所同意的內容也就不包括個人信息處理的風險和結果。所以告知同意無法完全滿足被害人同意關于同意內容的生效要件。第三，被害人同意與告知同意的生效要件在同意的明確性上不完全一致。被害人同意也可以是默示的同意。告知同意中的同意要求必須是明確的同意，也就是個人通過言語、文字等積極的行為表明同意[4]。雖然兩者要求不完全一致，但告知同意完全能夠符合被害人同意的有效要件。第四，被害人同意與告知同意的生效要件在行為超過的同意范圍方面不完全一致。根據《個人信息保護法》第六條⑤，告知同意中的同意限于處理目的的最小范圍，而被害人同意要求只能在同意的行為與結果范圍之內實施行為。即使行為結果是在同意目的相關的最小限度范圍內，但只要行為結果超出被害人同意的結果范疇，被害人同意即無效。所以在行為超過的同意范圍方面，告知同意無法滿足被害人同意的有效要件。

總體而言，告知同意與被害人同意是一種交叉關系，二者不可直接等同。交叉關系體現在，二者的理論依據都是自決權，體系位置也都位于侵犯公民個人信息罪的構成要件階層，但二者在有效要件上不盡相同，具有影響同意效力的重要差異體現在同意內容與行為超過的同意范圍方面。

（二）告知同意的完善及其與被害人同意的效力契合

由于告知同意與有效的被害人同意在有效要件上仍存在一定差異，如果要將告知同意作為被害人同意適用于侵犯公民個人信息罪中，必須對照二者有效要件的差異對告知同意進行改進，才能使之與被害人同意完全契合。

告知同意的完善。第一，需要擴充告知同意的告知內容，將個人信息處理的風險與結果納入其中[10]。具體而言，告知同意中同意內容的確定來源于告知內容，為了與被害人同意中同意對象須為法益侵害結果這一要求相吻合，告知同意中的告知內容，除了前置法規定的個人信息處理者的基本信息、個人信息處理目的等事項，更為重要的是，還必須包括個人信息處理的風險與結果。信息處理者只有充分告知個人信息處理的風險程度與結果，信息主體才能對個人信息處理帶來的人身、財產安全法益的風險程度有清楚的認識，并且明確意識到所放棄法益的本質、意義及影響，從而對個人信息處理的法益侵害結果作出有效的同意。第二，告知同意需要明確經同意實施的行為不得超過同意的風險、結果范疇。由于被害人同意中行為超出被害人同意范圍則同意無效，根據法益保護原則，可以推導出同意范圍指的是同意的法益侵害結果范圍，所以告知同意要滿足被害人同意的生效要件，必須明確個人信息處理行為不得超出同意的法益侵害風險與結果的范圍，而不能僅要求限于目的的最小范圍，如果個人信息處理行為范圍過寬，個人信息處理中的告知同意就無法被評價為有效的被害人同意。所以，告知同意的完善路徑如下：一是告知內容需要包括個人信息處理的風險與結果。二是明確個人信息處理者只能在個人同意的個人信息處理風險、結果的范圍內實施個人信息處理行為。

經過完善的告知同意可以視為有效的被害人同意。在有效性層面，經過完善的告知同意完全符合被害人同意的生效要件。在理論基礎層面，經完善的告知同意通過擴充告知內容、限制經同意實施的行為范圍，進一步明確了個人同意的法益內容，體現了對作為同意基礎的自決權的尊重，所以經完善的告知同意依然是根植于自決權的產物，其根本內涵沒有發生變化，與被害人同意的理論正當基礎具有同一性。在刑法適用層面，經完善的告知同意的刑法體系位置仍然處于構成要件階層，屬于“違反國家有關規定”的項下范疇，對告知同意的改造只是對其有效要件進行了完善與補充，沒有減少其原有的構成要件，不影響告知同意的刑法體系位置。如前文所述，侵犯公民個人信息罪中的被害人同意定位于構成要件階層，所以，經完善的告知同意與被害人同意的刑法適用的邏輯順序是相同的。

筆者將在不同適用條件與適用路徑的背景下討論侵犯公民個人信息罪視域下告知同意作為被害人同意的出罪機制，以及事后同意作為瑕疵被害人同意的從寬處罰機制。本部分所指的“告知同意”皆為經過完善的告知同意，所指的“事后同意”是指沒有滿足時間要件的“告知同意”。

（一）告知同意作為被害人同意的出罪機制

1.適用前提

告知同意作為被害人同意適用于侵犯公民個人信息罪發揮出罪作用的前提是本罪保護法益為個人法益，因為被害人作為法益主體只能對自決權導出的法益進行自由支配[11]，被害人同意僅適用于個人法益犯罪，不適用于超個人法益犯罪。

應當認為，侵犯公民個人信息罪的保護法益內容為個人信息安全，即刑法在保護公民個人信息不被非法使用的基礎上而附帶保障的公民人身、財產安全[12]，個人信息安全屬于保障公民個人人身、財產權利的個人法益。司法實踐證實，犯罪分子侵犯公民個人信息往往是為了從事相關下游犯罪謀取非法利益，這種行為影響到了公民的人身與財產安全。例如，備受社會關注的女大學生徐玉玉信息泄露被騙自殺案⑥，信息的泄露間接讓被害人受到人身、財產損害，所以刑法需要保護個人信息所附帶的公民個人人身、財產安全。至于個人信息本身，實際上，大數據時代公民個人也難以完全地控制與決定，進一步而言，公民的個人信息自決權無從談起，刑法無法對其進行真實的保護，更不用說通過刑法法益的確定賦予公民個人信息權。并且，個人信息權在刑法的前置法規范民法當中也并沒有得到確認，《民法典》只是說明個人信息受到法律保護，而未將其特定化為一種權利，刑法作為補充法，前置化保護民法所沒有確認的權利，可能會違背法秩序統一性原理。

由于侵犯公民個人信息罪的保護法益為個人信息安全這一個人法益，所以告知同意在本罪中發揮出罪作用的前提條件是自然得到滿足的，告知同意作為被害人同意適用于本罪具有理論正當性。

2.適用條件

告知同意作為被害人同意在本罪發揮出罪功能需要滿足以下條件。第一，信息主體具備同意能力。具備同意能力要求信息主體能夠對個人信息處理的同意事項的內容、范圍與結果以及意義有相應的理解能力、意思能力，可能還需要一定的行為能力，另外，同意能力的判斷并不必然以《個人信息保護法》規定的同意年齡為準，也需要參考《民法典》關于民事行為能力的規定。第二，信息主體明確認識同意的內容、意義和后果。告知同意要作為被害人同意發揮出罪作用，必須最終落腳于信息主體對個人信息處理事項同意的內容、意義和后果的明確認識。第三，同意自愿真實。信息主體作出的同意必須出于其真意，出于虛偽或者被脅迫或其他原因作出的同意，都不發生效力。若信息主體是出于壟斷等原因而被迫作出的同意，不屬于自愿真實的同意。第四，同意時間最遲在結果發生時。信息主體在結果發生前變更同意的，原來的同意無效。第五，行為不超出同意范圍。個人信息處理者所實施的個人信息處理活動，不能超出信息主體所同意的風險、結果范疇。

3.適用路徑

在侵犯公民個人信息罪中，告知同意出罪路徑的展開，是作為構成要件阻卻事由阻卻構成要件該當性，從而阻卻本罪的刑事責任。從構成要件表征不法性的角度來看，只要個人信息處理者取得了有效的告知同意，就相當于取得了有效的被害人同意，不屬于違反國家有關規定，不能將其視為刑法意義上的實行行為，直接就在構成要件階層予以出罪。從法益角度看，構成要件不法性的實質在于對法益的侵害，而有效的告知同意代表信息主體已經放棄刑法對其個人信息安全法益的保護，基于信息主體的有效同意所實施的行為則不能被認為是侵害法益，不具備構成要件意義上的刑事違法性，應當作出罪處理。

（二）事后同意作為瑕疵被害人同意的從寬處罰機制

在告知同意未滿足被害人同意全部生效條件導致無法發揮出罪功能時，事后同意作為有瑕疵的被害人同意還有可能發揮從寬處罰功能，“有瑕疵的被害人同意”指的是雖然沒有完全滿足被害人同意的適用條件但仍然具有刑法效力的被害人同意。

1.適用情形

事后同意可以作為瑕疵被害人同意發揮從寬處罰作用。在侵犯公民個人信息罪的討論語境下，事后同意是個人信息處理者對信息主體的個人信息處理結果產生之后，信息主體才表示同意的情形。需要明確的是，事后同意屬于追認的范圍，民法上可能予以承認，但在刑法上事后同意并不會發生溯及既往的效力，同意時間最遲在結果發生時是告知同意發揮出罪作用的生效條件之一，所以事后同意是沒有出罪效力的。但是，事后同意對于刑罰從寬裁量的意義是被普遍承認的。具體而言，事后同意也是一種對自身法益的處分，事后同意使得法益侵害性有所降低，所以在刑罰論中事后同意具備刑罰從寬作用。并且，事后同意說明被告人的犯罪行為對于被害人的法益侵害或是利益影響并不嚴重，表明了被害人與被告人之間對立矛盾的緩解甚至消除，所以，在刑事訴訟中，事后同意存在著積極價值[13]。在定罪層面，事后同意由于不滿足被害人同意所要求的時間要件，不能發揮在侵犯公民個人信息罪中的出罪功能，但在量刑層面，事后同意仍具有刑罰從寬功能。

在侵犯公民個人信息罪視域下，事后同意發揮從寬作用的適用前提與告知同意發揮出罪功能的前提一致，皆為本罪保護法益為個人信息安全法益，其適用條件是告知同意作為被害人同意發揮出罪功能條件中除卻同意時間條件的其他全部適用條件。

另外，可能存在的疑問是，前置法規范上的告知同意是否可以直接發揮從寬處罰機能？筆者認為答案是否定的。因為刑法對事后同意作從寬評價的根本原因在于法益侵害性的降低，前置法規范上的告知同意沒有強制要求信息主體對個人信息處理事項關涉的法益風險結果表示同意，所以個人信息處理者即使按照前置法規范中的告知同意規則履行其告知義務并獲取信息主體同意，對個人法益的侵害性也并不會當然減少，事后同意也就不會當然成為減輕侵犯公民個人信息罪刑事責任的根據。事后同意發揮從寬處罰作用，也必須要經過完善，體現出刑法對法益保護的重視，所以，事后同意中個人信息處理者的告知內容也與告知同意的內容范圍一致，如此才能起達到刑罰從寬的效果。

2.適用路徑

在我國，被害人同意多被認為是一種超法規正當事由，所以，事后同意作為有瑕疵的被害人同意適用于侵犯公民個人信息罪發揮刑罰從寬機能，只能是以酌定量刑情節的定位發揮作用，而不能以法定量刑情節的定位。

有瑕疵的被害人同意，與法律規范中的被害人諒解、和解類似，都是取得了被害人在某種意義上的理解與寬恕。參考《最高人民法院、最高人民檢察院關于常見犯罪的量刑指導意見（試行）》中關于取得被害人諒解的量刑規定⑦，告知同意作為酌定量刑情節，起碼可以促使量刑減少基準刑的20%以下，但是具體的量刑裁判還是需要法官根據案件情況綜合審查。

總體而言，本文嘗試較為精細化地構建侵犯公民個人信息罪中告知同意的出罪機制與事后同意的從寬處罰機制，兩者分別在不同的適用條件與適用路徑的背景下展開刑法適用。刑法應對未侵害到本罪保護法益的情形作出罪處理，對法益侵害性低的情形應從寬處理，如此界定有助于豐富告知同意在侵犯公民個人信息罪中的刑法適用，在完善侵犯公民個人信息罪的責任認定與承擔的理論依據的同時，為個人信息的合理利用提供刑法解釋路徑。

①《中華人民共和國刑法》第二百五十三條之一：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。”

②《中華人民共和國個人信息保護法》第十三條：“符合下列情形之一的，個人信息處理者方可處理個人信息：（一）取得個人的同意”。

③《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第四條規定：“違反國家有關規定，通過購買、收受、交換等方式獲取公民個人信息，或者在履行職責、提供服務過程中收集公民個人信息的，屬于刑法第二百五十三條之一第三款規定的‘以其他方法非法獲取公民個人信息’。”

④《中華人民共和國個人信息保護法》第十七條：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯系方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規定權利的方式和程序；（四）法律、行政法規規定應當告知的其他事項。”

⑤《中華人民共和國個人信息保護法》第六條：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。”

⑥山東省臨沂市中級人民法院（2017）魯13刑初26號刑事判決書。

⑦《最高人民法院、最高人民檢察院關于常見犯罪的量刑指導意見（試行）》（法發〔2021〕21號）：“（十一）對于積極賠償被害人經濟損失并取得諒解的，綜合考慮犯罪性質、賠償數額、賠償能力以及認罪悔罪表現等情況，可以減少基準刑的40%以下；積極賠償但沒有取得諒解的，可以減少基準刑的30%以下；盡管沒有賠償，但取得諒解的，可以減少基準刑的20%以下。”

[1]汪東升.個人信息的刑法保護[M].北京：法律出版社，2019：1-2.

[2]于志剛.“公民個人信息”的權利屬性與刑法保護思路[J].浙江社會科學，2017（10）：4-14，155.

[3]王利明，程嘯，朱虎.中華人民共和國民法典人格權編釋義[M].北京：中國法制出版社，2020：419.

[4]程嘯.論個人信息處理中的個人同意[J].環球法律評論，2021（6）：40-55.

[5]勞東燕.個人信息法律保護體系的基本目標與歸責機制[J].政法論壇，2021（6）：3-17.

[6]車浩.論被害人同意在故意傷害罪中的界限以我國刑法第234條款中段為中心[J].中外法學，2008（5）：708-727.

[7]張勇.APP個人信息的刑法保護：以知情同意為視角[J].法學，2020（8）：113-126.

[8]張明楷.刑法學：第六版[M].北京：法律出版社，2021：297-300.

[9]黎宏.刑法學總論：第二版[M].北京：法律出版社，2016：154.

[10]李立豐.《個人信息保護法》中“知情同意條款”的出罪功能[J].武漢大學學報（哲學社會科學版），2022（1）：143-156.

[11]方軍.被害人同意：根據、定位與界限[J].當代法學，2015（5）：41-53.

[12]姜濤.新罪之保護法益的證成規則：以侵犯公民個人信息罪的保護法益論證為例[J].中國刑事法雜志，2021（3）：37-55.

[13]李蓉，黃小龍.論被害人事后承諾的法律效力[J].西南政法大學學報，2021（1）：115-125.

責任編輯蘭文華