侵犯公民個人信息的刑法邊界研究
——以已公開個人信息的保護為視角

最高人民檢察院檢察應用理論研究課題組

（大慶高新技術產業開發區人民檢察院，黑龍江 大慶 163711）

步入大數據時代，數據本身承載著巨大的商業價值。已公開的個人信息，是指個人自行公開或者其他已經合法公開的個人信息。因已公開的個人信息在客觀狀態上能夠被任何人獲取且成本較低，因此不少人通過獲取公民已公開的個人信息將其用作他用。這些信息或是被用來謀取利益，如拓展業務、推銷產品等正常經營活動；亦或是被用來進一步實施違法犯罪活動，如實施電信詐騙、追蹤定位等。侵犯公民個人信息案便是犯罪嫌疑人以獲得的個人信息為基礎編制話術，從而詐騙被害人。因已公開的個人信息涉及數據安全與數據利用兩方面，因此，需要對已公開的個人信息進行更深一步的理解，為已公開的個人信息提供一個合理的保護路徑。

一、已公開的個人信息應為個人法益，值得刑法保護

目前，法學界對于已公開的個人信息有“超個人法益”和“個人法益”兩種不同認識。科學判斷上述認識的正誤，是對已公開的個人信息保護的基礎和前提。

（一）超個人法益

超個人法益說論者認為，侵犯公民個人信息罪的法益是“‘公權（益）關聯主體’對個人信息的保有”。這種觀點認為，在“公民的個人信息與安全”與“個人隱私”的背后，必定隱含著在立法者看來更為重大和優先保護的利益。這些公權（益）關聯主體在業務處理時依法獲取的個人信息也事關國家和社會整體的公共利益。[1]同樣持超個人法益說觀點的學者認為，“在數據挖掘技術與信息內容變遷的雙重推動下，個人信息早已不僅僅關涉個人，早已出現了超越個人性而向公共性轉化的趨勢。”在其看來，本罪保護的法益并非所謂個人的人身權利，而是社會的公共安全，既“公共信息安全”。[2]也有學者借鑒德國理論，以法定主體的“信息專有權”為本罪的法益。[3]所謂法定主體的“信息專有權”是指法定主體享有的對所占有的個人信息的處分權限。還有學者從侵犯公民個人信息罪案件特點出發，認為在非法獲取個人信息的案件中，“群體性是侵犯公民個人信息罪的核心特征”，因此，“僅從保護個體被害人法益的角度難以對這些個人信息的法益作出全面的保護”。[4]超個人法益論者觀點紛多，但是都認為當前有關侵犯公民個人信息的犯罪，僅保護個人不能實現保護個人信息權的目標。

（二）個人法益

個人法益說認為侵犯公民個人信息罪侵犯的是個人法益。具體而言，主要有如下幾種觀點：第一，公民的隱私權說。隱私權說是關于本罪較早的法益觀點，有學者認為刑法保護個人信息，旨在禁止任何他人或單位非法侵入公民的個人信息領域，從而達到保護個人信息所體現的公民的隱私權。[5]第二，信息自決權說。信息自決權源于并發展與德國，“信息自決權”是指“個人享有決定其信息是否被處理，以及在何時、何地、以何種方式、在何種范圍內被處理的權利”。信息自決權強調主體對信息的選擇和決定權。第三，公民個人生活安寧。認為“刑法視野中的公民個人信息判斷應當以‘私人生活安寧’為標準，即任何與公民個人相關的信息，一旦泄露，可能威脅到私人生活安寧的，都是公民個人信息。”[6]第四，個人信息權說。既認為本罪保護法益是公民個人的信息權,其內涵既包括個人隱私不受侵犯的權利,也包括限制他人非法收集、轉讓和出售他人信息的權利。”[7]

（三）對個人法益確定之證成

我國引入法益之概念，必須發揮其在刑法解釋過程中應有的作用，必須能夠發揮指導刑法解釋的作用。就本罪，如將其確立為超個人法益，可能會缺少對個人主體權利的保護，但是，在利益衡量中，要“確保在各種考量中，人權與公民權利具有優先性。”

首先，將侵犯公民個人信息罪的法益確定為超個人法益，無法與刑法理論中“被害人同意”和“被害人自陷風險”相契合，而這兩個刑法理論在本罪中發揮著重要的出罪功能。《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第二款第三條確立了“二次授權”規則，雖然其將入罪門檻大大降低，但是，從該條文的表述中能夠推出，如果被收集者同意，那么行為人處理公開的個人信息不構成犯罪。這說明被收集者的同意在侵犯公民個人信息罪中是發揮了出罪功能的，如果將本罪的法益確立為超個人法益，那么“被害人同意”是無法在本罪中發揮出罪功能的，因為“超個人法益是同意的禁區”。

其次，如將侵害公民信息罪的法益確定為超個人法益，也會形成處罰上的漏洞，意味著對于針對一個公民的個人信息，無論侵犯其個人信息權多么嚴重，都無入罪之可能，因為其在數量上只是“一”，無法達到群體性標準，這不利于對公民個人權利的保護。案件中公民數量的多少，乃“數量之變而非性質之變”，不能因涉案公民多，就“歸入所謂社會法益范疇”。并且，案件往往成群體性并不能說明其保護法益應當為超個人法益。一個公民的個人信息被非法處理，因情節輕微，往往達不到處罰標準，所以只有當涉案公民信息達到情節嚴重時，才有處罰之必要。此時在這些個人信息之上并不存在一個值得保護的超個人利益，有的只是一個個值得保護的公民的個人權利。

最后，超個人法益中，往往都比較抽象，如所謂“公共信息安全”，無法指導刑法解釋。抽象法益必然面臨一個很關鍵的問題：即是否被侵犯無法確定。原因在于法益是精神層面的東西，其是否被侵犯是通過犯罪對象表現出來的。犯罪對象是指刑法分則條文規定的犯罪行為所作用的客觀存在的具體人或具體物。對于抽象主體而言其法益是否被侵犯無法被客觀的事物所呈現，因此在認定中，只要有某種行為即可認定為侵犯某種法益，這種做法不利于保障人權，有任意入罪之嫌。

綜上所述，應當確立以個人法益為原則，構建侵犯公民個人信息罪的法益內容。因為個人法益中隱私權說已不再適應本罪要求。隨著民法上對個人信息權研究日益深入，以及《民法典》明確將個人信息權作為一項單獨的權利規定，說明個人信息權已經獨立于隱私權成為一種新型權利，個人信息中的一些隱私信息被處理會侵犯隱私權，但是個人信息權的內涵難以被隱私權所包含，如果還以隱私權作為本罪保護的法益，那么會使處罰范圍縮小，不利于打擊犯罪。因此，對于公開的個人信息，應當建立一個能夠衡平兩者的保護機制。

二、已公開個人信息的保護問題及路徑分析

公開的個人信息有其保護的價值，但是公開的個人信息相較于與未公開或限定公開的個人信息而言，有其特殊性，即已公開的個人信息“承載著信息主體與信息處理者的雙重利益訴求”。[8]一方面，對于信息主體而言，雖然其個人信息已公開，但是有其個人信息處于安全狀態的需求。另一方面，對于信息處理者而言，其通過合法手段，耗費精力收集已公開的個人信息，希望借此實現其利益。因此就公開的個人信息而言，值得刑法保護但應有界限，對其過度保護不符合數據時代對數據利用之需求。

（一）二次授權方案論證思路與理論缺陷

二次授權方案最直接的依據就是《解釋》第三條第二款。基于此，行為人合法收集公開的個人信息，未經被收集者的二次授權，即構成犯罪。二次授權方案是在區分獲取與提供行為的基礎上，對合法獲取行為不處罰，但是未經授權的提供行為，構成犯罪。

雖然二次授權方案有法律依據，但是其不足之處也顯而易見。首先，與《民法典》《信息保護法》規定相沖突。按照《民法典》規定，對于公開的個人信息，在合理范圍內處理不需要再經過權利人同意。既然同一行為不負民事責任，根據法秩序同一原理，也當然不負刑事責任。其次，如果對已公開的個人信息都要求二次授權，那么會極大降低信息的流通。在信息化時代，公開的個人信息在量上是驚人的，在傳播和利用率上也是極高的，如果每次處理公開的個人信息都必須經過權利人的二次同意，將會花費巨大精力，并且在操作的可行性上也是難以令人接受的。并且如果每有人處理公開的個人信息，就去詢問權利人是否同意，對于權利人而言也是一種騷擾。最后，未經同意的獲取行為也應當是非法的，雖然收集公開的個人信息手段是合法的，但是未經權利人同意，其在性質上也是非法獲取，因為處理行為不僅包含提供行為，也包括獲取行為。

（二）合目的性考察邏輯與實踐難題

合目的性考察并未關注之后系列的處理行為是否得到同意，而是看其是否符合該個人信息被公開時的用途。該理論從《民法典》和《個人信息保護法》出發，在“合理”范圍內處理公開的個人信息，不需權利人的同意。那么問題就在于如何認定“合理”？合目的性考察理論認為“合理”的確認，依據《個人信息保護法》第六條規定，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關采取對個人權益影響最小的方式。將“合理”的含義限定在“未偏離該信息公開的目的，沒有改變其用途。”[9]

能夠看出，相較于二次授權理論，合目的性考察不再囿于權利人同意，而是將判斷依據放在處理行為的目的、用途與該信息公開時的目的、用途是否相一致。但是目的性考察理論存在著實踐難題。首先，個人信息公開的目的、用途具有模糊性、復雜性。信息處于被公開的客觀狀態，但是導致其公開的因素卻有多種，一些信息很難查明其公開的目的究竟為何。其次，主觀目的性與客觀公開性之間存在一定沖突。因為對于客觀上處于公開狀態，不特定人都可以獲取的信息，因其處理行為違背特定的主觀目的而具有違法之可能。這樣的立法安排或有不妥。因為目的屬于主觀方面，雖然存在一些情形可以通過客觀條件推出主觀目的，但是不免存在通過客觀方面無法推出主觀目的之情形。最后，合目的性考察理論并不能有效指導實踐。在涉案信息龐大的案件中，要求查明信息目的、用途與該信息公開時的目的、用途，會給司法實務帶來很大困擾，當處理信息主體自愿公開的行為并未侵犯到信息自決權時，此時將這種處理行為納入刑法規制范圍內顯然是不合理的。

（三）客觀開放程度標準思路與不足

客觀開放程度標準將個人信息開放程度分為“完全開放”“限制開放”“被違法公開”三種，對于“完全開放個人信息的處理”除自然人明確拒絕或者處理信息處理行為侵犯權利人重大利益外，一般不宜作為犯罪處理；對于“限制開放個人信息的處理”如果違反程序獲取的條件而提供這類信息，就可能構成犯罪；對于“被違法公開個人信息的處理”如果個人信息系他人違反相關法律而公開，那么信息處理行為仍應受到被刑法制約。

客觀開放程度標準，以客觀要素作為判斷標準，克服了合目的性考察理論所帶來的不便。問題在于，完全開放的個人信息也分為行為人自愿公開和非自愿合法公開兩種情形，對這兩種完全開放的個人信息采同一標準恐有不妥。因為兩者所體現的信息主體的信息自決權有差異，對于自愿公開的個人信息，刑法對其進行弱保護，但是對于非自愿合法公開的個人信息，在公開時其信息自決權因公共利益之所需，已經被弱化，因此，對于后續的處理行為應重視信息主體的信息自決權，但是客觀開放程度標準并未對其進行區分。

（四）路徑確認：以法益為判斷標準的分類保護機制

根據《民法典》1036條以及《個人信息保護法》第13條，對公開的個人信息按照自愿性標準劃分為自行公開與合法公開，在確定類型標準后，針對不同類型的已公開的個人信息，可進行如下具體操作。

首先，對于自愿公開的個人信息，除信息主體明確表示拒絕，處理這類公開的個人信息，不宜入罪。理由是：信息主體將個人信息公開于不特定人可獲取的平臺之上，信息處理者無論實施怎樣的處理行為都未侵犯到信息主體的信息自決權。根據“被害人同意”與“被害人自陷風險”原則，信息處理者自愿將信息公之于眾意味著默許其他人可以對其信息進行處理，并且在信息主體預測到其公開行為會招致其他人不合理利用之風險，仍將其進行公開，表明信息主體愿意承擔這種風險，因此不宜入罪。

就處理行為而言，究其本質，“這類行為只是居間促進了完全開放數據的進一步流通，即使沒有這類行為，用戶仍然可以獲取這些數據，只是效率較低而已”。刑法處罰一個行為要求其具備一定的法益侵害性，對公開的個人信息的處理行為特別是獲取行為，完全不具備法益侵害性，其只是起到一個匯總作用，并沒有侵犯到新的法益或者是使原有法益陷入到更危急的境地。既然處理行為并不具有法益侵害性，刑法就沒有理由對其進行規制。“處理該信息侵害其重大利益”不應作為處理自行公開的個人信息的入罪事由。《民法典》對處理公開的個人信息提供了兩種例外情形，即“自然人明確拒絕”與“侵害重大利益”。自然人明確拒絕表明其對“同意”的撤回，如信息處理者不顧自然人拒絕仍對其公開的個人信息處理（包括收集、提供等各種處理行為），必會侵犯信息主體的信息自決權，刑法以此罪處罰這種行為在情理之中。但是對“侵害重大利益”的處理行為直接以侵犯公民個人信息罪處罰，會擴大本罪的處罰范圍。如果并未侵犯到公民的信息自決權，就不能以此罪定罪處罰。這也是罪刑法定的要求。

其次，對于合法公開的個人信息，刑法應當予以適當保護，除信息主體明確拒絕或侵害其重大利益外，不宜入罪。理由是：對于合法公開的個人信息，相較于信息主體自行公開的個人信息而言，因公共利益之需要，合法公開的個人信息在公開之際所體現的公民信息自決權的程度就比較弱，對其保護力度要高于自行公開的個人信息，但畢竟其屬于面向不特定人公開的個人信息，對其保護不僅要站在信息權利人一側，還要站在信息處理者一側。因此，不僅信息處理者在權利人明確拒絕后仍實施處理行為可能構成本罪，如果信息處理者的處理行為侵害到權利人重大利益的，也要構成本罪，因為后一行為也侵犯到了公民的信息自決權。

對于合法公開的個人信息，應當認為不侵害其重大利益的處理行為都屬于“合理處理”行為。理論上講，對于合法公開的個人信息，其已經在公開時進行妥協，應當將其公開的個人信息限定在一定用途之內，并且其對于之后的處理行為都應享有知情權、決定權。但是該信息客觀上處于被公開的狀態，而數據共享與數據安全是數據治理的目標，同時兼顧數據安全與數據共享的刑法保護模式，才是值得倡導的治理模式。

最后，按照這種路徑處罰處理已公開的個人信息行為，能避免合目的性考察中難以確定其目的的困境，個人信息是行為人自行公開還是合法公開既可以通過客觀的標準進行判斷，也能夠彌補客觀開放程度標準中對信息自決權重視不足的情形，根據信息主體公開信息時的自愿性程度來劃分類型，更能發揮法益在判斷行為違法性時所發揮的作用。

三、結語

侵犯公民個人信息罪所保護的法益應當確定為信息自決權，處理公開的個人信息的行為是否構成犯罪關鍵在于看其處理行為是否侵犯公民的信息自決權。自行公開的個人信息與合法公開的個人信息處理規則不同，但從實質來看，還是判斷其處理行為是否對信息自決權造成侵害。對于自行公開的個人信息，除信息主體明確拒絕外，處理該類信息不宜入罪；對于合法公開的個人信息，除信息主體明確拒絕以及為侵害其重大權益外，處理該類信息不宜入罪。總的來講，我國社會因網絡技術驅動性與普及性已經進入了區別于傳統社會的網絡社會形態，這對社會治理體系與治理能力提出了新的挑戰。應在網絡時代社會治理提倡科學刑法觀，減少乃至杜絕不當刑法治理對已公開個人信息處理的弊端。