《民法典》視域下侵犯公民個人信息罪的司法適用

喻海松

(最高人民法院 研究室，北京 100745)

一、引言

法律是時代的產(chǎn)物。作為一部制定于21世紀的《民法典》，與法國《民法典》反映農(nóng)業(yè)社會的要求、德國《民法典》反映工業(yè)社會的要求有所不同，中國《民法典》回應(yīng)了當(dāng)前信息網(wǎng)絡(luò)經(jīng)濟和大數(shù)據(jù)時代的要求。最為突出的表現(xiàn)之一，就是基于互聯(lián)網(wǎng)大數(shù)據(jù)時代保護個人信息的現(xiàn)實需要，《民法典》系統(tǒng)確立了個人信息保護制度：一方面，在第一編“總則”第五章“民事權(quán)利”規(guī)定“自然人的個人信息受法律保護”(第111條)；另一方面，在第四編“人格權(quán)”第六章“隱私權(quán)與個人信息保護”用六個條文(第1034條至1039條)對個人信息保護作了詳細規(guī)定。這就在法律層面真正系統(tǒng)地確立了個人信息保護制度并明確自然人對其個人信息享有人格權(quán)益，不僅對加強公民個人信息保護和促進信息產(chǎn)業(yè)發(fā)展具有重要意義，而且為正在制定之中的《個人信息保護法》《數(shù)據(jù)安全法》奠定了堅實基礎(chǔ)。

刑法是“最后的手段”，是典型的“二次法”和“保障法”，其適用通常要以前置法作為前提和基礎(chǔ)?！睹穹ǖ洹肥恰缎谭ā返闹饕爸梅ㄖ?，對其適用必然會產(chǎn)生重大影響。2009年2月《刑法修正案(七)》增設(shè)了《刑法》第253條之一，規(guī)定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪；2015年8月《刑法修正案(九)》對《刑法》第253條之一作了修正，將罪名整合為侵犯公民個人信息罪。作為典型的法定犯，侵犯公民個人信息罪的適用無疑會受到《民法典》關(guān)于公民個人信息保護相關(guān)規(guī)定的影響。特別是，侵犯公民個人信息罪的法條設(shè)置屬于典型的空白罪狀立法模式，無論是“違反國家有關(guān)規(guī)定”的認定，“公民個人信息”內(nèi)涵和外延的把握，抑或侵犯公民個人信息罪行為方式的界定，均應(yīng)當(dāng)以包括《民法典》在內(nèi)的前置法律法規(guī)為基礎(chǔ)，以確保公民個人信息保護實現(xiàn)法秩序的統(tǒng)一①。

基于此，文章擬以《民法典》關(guān)于公民個人信息保護的規(guī)定為基礎(chǔ)，就其對侵犯公民個人信息罪的司法適用產(chǎn)生的影響加以論述。文章認為，相關(guān)影響可以概括為如下三個方面：第一，關(guān)于個人信息民法保護的立法思路，將對侵犯公民個人信息罪的司法適用、特別是政策把握產(chǎn)生重大影響；第二，關(guān)于個人信息處理規(guī)則的設(shè)定，將直接影響侵犯公民個人信息罪前提要件“違反國家有關(guān)規(guī)定”的認定和其他構(gòu)成要件的把握；第三，關(guān)于個人信息的范圍界定，特別是私密信息和非私密信息以及公開信息與非公開信息的劃分，將直接影響侵犯公民個人信息罪的犯罪對象界定和其他構(gòu)成要件的把握。

二、《民法典》關(guān)于個人信息的立法思路對刑法適用的影響

作為主要的前置法，《民法典》關(guān)于個人信息立法思路必然會對侵犯公民個人信息罪的司法適用產(chǎn)生影響。雖然此種影響可能不如后文將要提及的《民法典》相關(guān)具體規(guī)定的影響那么直接，但卻是刑事司法者應(yīng)當(dāng)著力把握的。惟有如此，才能使得侵犯公民個人信息罪的司法適用與《民法典》關(guān)于個人信息保護的規(guī)定在旨趣上實現(xiàn)一致。

(一)兼顧個人信息保護與促進信息自由流通

關(guān)于個人信息的立法，現(xiàn)代各國面臨的首要問題均是如何平衡個人信息保護與促進信息自由流通之間的關(guān)系，中國亦不例外。一方面，當(dāng)前個人信息濫用現(xiàn)象突出，保護自然人的個人信息不受侵犯是立法的重要任務(wù)；另一方面，在大數(shù)據(jù)和云計算時代，包括個人信息在內(nèi)的數(shù)據(jù)，只有充分地流動、共享、交易，才能實現(xiàn)集聚與規(guī)模效應(yīng)，最大程度地發(fā)揮價值。因此，在以互聯(lián)網(wǎng)為代表的信息技術(shù)迅猛發(fā)展，巨量的個人信息數(shù)據(jù)日漸成為具有重大價值的生產(chǎn)要素的背景下，如何妥當(dāng)處理好個人信息保護與信息自由流通之間的關(guān)系，也是《民法典》制定過程中著力尋求的平衡點。

關(guān)于自然人對其個人信息享有的究竟是民事權(quán)利抑或僅僅是受保護的民事利益，民法理論界素有爭議[1]。對于此前《民法總則》第111條規(guī)定的個人信息，就有學(xué)者主張“是個人信息權(quán)，而不是個人信息利益”[2]。在《民法典》編撰過程中，對于應(yīng)否設(shè)置專門的個人信息權(quán)，也有不同看法。實際上，從世界各國的情況來看，法律都不會賦予自然人對其個人信息的排他支配權(quán)，“因為這樣的授權(quán)會產(chǎn)生‘非經(jīng)個人(也稱為數(shù)據(jù)主體)同意，不得使用個人信息’的法則。在這樣的法則下，許多人類社會活動無從開展”[3]?！睹穹ǖ洹纷罱K未明確將個人信息規(guī)定為“個人信息權(quán)”，而是采用了“個人信息保護”的表述，并將自然人的個人信息權(quán)益歸屬于人格權(quán)益，就是認為“個人信息受保護的權(quán)利與其他人格權(quán)在考量因素上有所不同，個人信息的保護要適當(dāng)平衡信息主體的利益和數(shù)據(jù)共享利用之間的關(guān)系”，旨在“既強調(diào)了對信息主體利益的保護，又可以避免不必要的誤解，避免妨害數(shù)據(jù)的共享、利用以及大數(shù)據(jù)產(chǎn)業(yè)在我國的發(fā)展”[4]。特別是在具體制度設(shè)計上，《民法典》區(qū)分個人私密信息與非私密信息、公開的個人信息與非公開的個人信息，分別采用不同處理規(guī)則，并明確處理個人信息的免責(zé)情形，這些都體現(xiàn)了在有效保護個人信息的前提下兼顧促進信息自由流通和信息網(wǎng)絡(luò)經(jīng)濟發(fā)展的現(xiàn)實需要。

就刑法適用而言，辦理侵犯公民個人信息刑事案件，特別是對相關(guān)獲取、提供公民個人信息行為定性時，要對標《民法典》的相關(guān)規(guī)定，堅決防止將符合《民法典》規(guī)定的行為認定為“違反國家有關(guān)規(guī)定”，甚至按照犯罪處理。更為重要的是，在刑事司法中也要貫徹平衡保護個人信息與促進信息自由流通的觀念，對于一些處于模糊地帶、法律規(guī)定不明確的案件，盡量秉持刑法的謙抑性，既要有力保護個人信息，也要防止動用刑法對信息自由流動的不利影響。

(二)回歸個人信息保護民法優(yōu)先的應(yīng)然狀態(tài)

如前所述，侵犯公民個人信息罪屬于典型的法定犯，理想的狀態(tài)應(yīng)當(dāng)是先有前置法，后由作為“其他部門法的保障法”的刑法加以規(guī)制。然而，受制于中國立法的現(xiàn)實情況，侵犯公民個人信息罪的前置法“供給不足”，甚至呈現(xiàn)出“刑法先行”的局面。早在2009年2月，《刑法修正案(七)》先于其他部門法明確了公民個人信息犯罪的界限，而后才有對網(wǎng)絡(luò)公民個人信息保護作出集中規(guī)定的《網(wǎng)絡(luò)安全法》自2017年6月1日起施行，但專門的《個人信息保護法》迄今尚未出臺②。慶幸的是，這一趨勢由于《民法典》關(guān)于個人保護的集中系統(tǒng)規(guī)定而得以扭轉(zhuǎn)，使得個人信息保護回歸“民法優(yōu)先”的應(yīng)然狀況。特別是，《民法典》明確自然人對其個人信息的權(quán)益屬于民事權(quán)益，扭轉(zhuǎn)了在《民法典》之前由于個人信息保護多由行政管理法律法規(guī)加以規(guī)定，而認為自然人對其個人信息享有的是公法上權(quán)利的主張。作為調(diào)整平等民事主體之間社會關(guān)系的基本法，《民法典》的相關(guān)規(guī)定為其他法律關(guān)于個人信息保護的規(guī)定奠定了堅實基礎(chǔ)。無論是基于行政法律法規(guī)對個人信息的處理，還是刑法關(guān)于侵犯公民個人信息罪的適用，都應(yīng)當(dāng)以個人信息的民事權(quán)益保護為基礎(chǔ)，回歸到平等的民事主體之間的法律關(guān)系上來，這對于加強個人信息保護、切實維護個人信息權(quán)益具有重大意義。

就個人信息保護而言，通過刑法積極適用防止侵犯公民個人信息違法犯罪持續(xù)蔓延，是不得已而為之的舉措，但并非上策。刑法只能治標，尚難治本?！睹穹ǖ洹逢P(guān)于個人信息保護的相關(guān)規(guī)定，使得個人信息的刑事保護有了堅實的前置法基礎(chǔ)。而且，一段時期以來由于前置法律規(guī)定缺失導(dǎo)致侵犯公民個人信息罪的司法適用存在相當(dāng)爭議的狀況也會得以緩解，如后文所述對涉私密信息概括告知同意收集行為的定性、涉公開個人信息案件的處理等。此外，可以預(yù)見，在《民法典》厘清基本爭議問題之后，《個人信息保護法》《數(shù)據(jù)安全法》將會得以順利推進，公民個人信息民事、行政、刑事的全方位保護體系將會得以構(gòu)建，公民個人信息違法犯罪的系統(tǒng)治理將會進入新的階段。

三、《民法典》關(guān)于個人信息處理的規(guī)則對刑法適用的影響

(一)《民法典》關(guān)于“個人信息的處理”的界定與侵犯公民個人信息罪的行為方式

《民法典》將與個人信息相關(guān)的行為統(tǒng)一界定為“處理”，第1035條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等?！迸c之不同，《刑法》第253條之一規(guī)定的侵犯公民個人信息罪，在客觀方面表現(xiàn)為兩類行為方式：一是提供，即《刑法》第253條之一第1款、第2款規(guī)定的“出售或者提供”公民個人信息。出售也是提供的一種方式，實際上是有償提供，是提供的常見類型[5]。此外，《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(法釋〔2017〕10號，以下簡稱《侵犯公民個人信息罪解釋》)第3條第1款將“通過信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個人信息的”方式亦解釋為“提供”。二是獲取，即《刑法》第253條之一第3款“竊取或者以其他方式非法獲取公民個人信息”?！肚址腹駛€人信息罪解釋》第3條第1款將“購買、收受、交換等方式獲取公民個人信息，或者在履行職責(zé)、提供服務(wù)過程中收集公民個人信息的”方式亦解釋為“獲取”。

基于上述分析可以認為，《民法典》規(guī)定的個人信息的“收集、存儲、使用、加工、傳輸、提供、公開等”，與《刑法》規(guī)定的侵犯公民個人信息罪的行為方式大致對應(yīng)情況如下：①“收集”對應(yīng)《刑法》規(guī)定的“獲取”；②“提供、公開”對應(yīng)《刑法》規(guī)定的“提供”；③“存儲、使用、加工、傳輸”無法與《刑法》規(guī)定的行為方式對應(yīng)。第③類行為方式可以概括為使用公民個人信息。實際上，在《刑法修正案(九)(草案)》研擬和審議過程中，有關(guān)部門和專家學(xué)者即建議借鑒國外立法例，將非法使用公民個人信息的行為入罪。然而，上述建議最終未被《刑法修正案(九)》采納[6]。根據(jù)罪刑法定原則的要求，由于《刑法》第253條之一只是將非法獲取、提供公民個人信息的行為入罪，對于實踐中業(yè)已出現(xiàn)的非法存儲、使用、加工、傳輸大量公民個人信息案件，則難以直接入罪。當(dāng)然，如果根據(jù)在案證據(jù)，適當(dāng)運用推定規(guī)則，證明涉案公民個人信息系非法獲取或者用于非法提供的，則可以適用侵犯公民個人信息罪。

(二)《民法典》關(guān)于個人信息的處理規(guī)則與侵犯公民個人信息罪“違反國家有關(guān)規(guī)定”的認定

《民法典》采用了世界各國個人信息保護所普遍確立的告知同意規(guī)則，在第1035條第1款第1項規(guī)定除法律、行政法規(guī)另有規(guī)定的外，處理個人信息應(yīng)當(dāng)征得該自然人或者其監(jiān)護人同意。從實踐來看，信息主體同意的方式可以多種多樣；如后所述，個人信息的類型不同、重要程度有異，在征得信息主體同意的方式和程度上也會有所差異。而且，根據(jù)第1038條第1款的規(guī)定，信息處理者對于經(jīng)過加工無法識別特定個人且不能復(fù)原的個人信息，可以不經(jīng)該自然人同意向他人提供。此外，根據(jù)第1035條第1款的規(guī)定，處理個人信息，還應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合公開處理信息的規(guī)則，明示處理信息的目的、方式和范圍，不違反法律、行政法規(guī)的規(guī)定和雙方的約定。上述要求與《網(wǎng)絡(luò)安全法》第41條、第42條的規(guī)定基本一致。

根據(jù)《刑法》第253條之一第1款、第2款的規(guī)定，“違反國家有關(guān)規(guī)定”提供公民個人信息的，可以構(gòu)成侵犯公民個人信息罪。根據(jù)第3款的規(guī)定，“非法”獲取公民個人信息的，可以構(gòu)成侵犯公民個人信息罪。根據(jù)《侵犯公民個人信息罪解釋》第4條的規(guī)定，此處“非法”的判斷也應(yīng)當(dāng)還原為“違反國家有關(guān)規(guī)定”。故而，侵犯公民個人信息罪的前提要件實際上可以概括為“違反國家有關(guān)規(guī)定”。值得關(guān)注的是，《刑法修正案(九)》(草案一次審議稿)將提供個人信息入罪的前提要件設(shè)置為“未經(jīng)公民本人同意”，即采用的是主觀判斷的標準；但是，從《刑法修正案(九)》(草案二次審議稿)開始，采取了客觀判斷標準，即“違反規(guī)定”；《刑法修正案(九)》延續(xù)了這一立場，調(diào)整為“違反國家有關(guān)規(guī)定”。如前所述，法律不應(yīng)賦予自然人對其信息享有排他的權(quán)益，故在刑法修法過程中將侵犯公民個人信息罪的前提要件由主觀標準調(diào)整為客觀標準，無疑是妥當(dāng)?shù)摹?/p>

“違反國家有關(guān)規(guī)定”，是指違反了有關(guān)法律、行政法規(guī)、規(guī)章等國家層面涉及公民個人信息管理方面的規(guī)定[7]?！肚址腹駛€人信息罪解釋》第 2條進一步明確“國家有關(guān)規(guī)定”包括法律、行政法規(guī)、部門規(guī)章在內(nèi)。在《民法典》第1035條對個人信息處理明確了規(guī)則之后，關(guān)于侵犯公民個人信息罪“違反國家有關(guān)規(guī)定”的判斷應(yīng)當(dāng)以上述規(guī)定為基礎(chǔ)。需要注意的是，《民法典》關(guān)于處理個人信息應(yīng)當(dāng)遵循的原則和條件較多，重要程度存在差異。故而，對違反相關(guān)原則和條件處理個人信息行為的刑事定性，在刑事違法和社會危害程度方面也會存在差異，不宜一概而論：鑒于告知同意是個人信息保護的核心原則，對于違反告知同意規(guī)則和違反法律、行政法規(guī)的禁止規(guī)定和雙方的約定獲取、提供公民個人信息的，可以認定為符合侵犯公民個人信息罪的前提要件“違反國家有關(guān)規(guī)定”；但是，對于違反必要原則、公開處理信息的規(guī)則以及明示處理信息的目的、方式和范圍獲取、提供公民個人信息的，是否符合侵犯公民個人信息罪的“違反國家有關(guān)規(guī)定”，宜綜合考量社會危害性程度，根據(jù)案件具體情況作出妥當(dāng)處理。

(三)《民法典》關(guān)于信息主體權(quán)益的規(guī)定與侵犯公民個人信息罪的適用

《民法典》規(guī)定自然人對自己的個人信息享有一系列權(quán)益。其中，除了前述第1035條規(guī)定的知情同意權(quán)外，第1037條規(guī)定了查閱復(fù)制權(quán)和更正刪除權(quán)。需要注意的是，與《網(wǎng)絡(luò)安全法》第43條的規(guī)定相同，自然人對個人信息的刪除權(quán)不同于歐盟的個人信息“被遺忘權(quán)”，只限于“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個人信息的”情形。

從刑法的適用來看，對于自然人要求查閱或者復(fù)制其個人信息，或者要求更正錯誤的信息，以及刪除相關(guān)信息，而信息處理者未予履行的行為，似乎難以直接適用侵犯公民個人信息罪。究其原因，就在于侵犯公民個人信息罪的客觀行為方式表現(xiàn)為非法提供或者獲取。當(dāng)然，對于上述情形，如果根據(jù)相關(guān)證據(jù)證明存在非法獲取或者提供公民信息的，則可以適用侵犯公民個人信息罪。

四、《民法典》區(qū)分私密信息與非私密信息對刑法適用的影響

(一)《民法典》關(guān)于私密信息與非私密信息的界分

從域外個人信息法律保護模式來看，美國主要采取隱私權(quán)保護模式，以隱私權(quán)為基礎(chǔ)，通過大量判例逐步構(gòu)建起了一套保護制度。而歐盟關(guān)于數(shù)據(jù)信息的保護，則是從法律上將數(shù)據(jù)信息視為人格權(quán)的延伸[8]。中國《民法典》借鑒了后一種立法模式，將自然人對其個人信息的權(quán)益歸入人格權(quán)的范疇，將個人信息保護與隱私權(quán)并列規(guī)定。個人信息與個人隱私之間雖有交叉但亦有區(qū)別，交叉部分就在于隱私中的個人私密信息屬于個人信息的范疇。中國法律關(guān)于個人信息與個人私密信息之間關(guān)系的規(guī)定，歷經(jīng)了從明確規(guī)定到隱性規(guī)定再回歸明確規(guī)定的階段，可謂“否定之否定”的路徑。

1.明確規(guī)定個人信息包括個人私密信息

2012年12月《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條第1款規(guī)定：“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息?！笨梢?，這一界定將個人信息界定為“身份信息+隱私信息”，即將隱私信息明確為個人信息的范疇。受其影響，2013年4月《最高人民法院、最高人民檢察院、公安部關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》(公通字〔2013〕12號)第2條明確規(guī)定：“公民個人信息包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料。”

2.未明確個人信息包括個人私密信息，但可以推斷出這一結(jié)論

2016年11月《網(wǎng)絡(luò)安全法》第76條規(guī)定：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”可見，《網(wǎng)絡(luò)安全法》關(guān)于“個人信息”的界定，并沒有明確涉及私密信息，而僅指向“身份識別信息”。顯然，此處規(guī)定的“身份識別信息”應(yīng)作廣義理解，自然應(yīng)當(dāng)包括私密信息和其他活動情況信息在內(nèi)?；诖?，《侵犯公民個人信息罪解釋》第1條規(guī)定：“刑法第253條之一規(guī)定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等?！?/p>

3.回歸明確規(guī)定個人信息包括私密信息的立法模式

《民法典》第1032條第2款對隱私作了明確界定，規(guī)定：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。”《民法典》第1034條第2款對《網(wǎng)絡(luò)安全法》第76條關(guān)于個人信息的界定作了適度調(diào)整，將指向的“識別自然人個人身份的各種信息”調(diào)整為“識別特定自然人的各種信息”，即刪除“個人身份”的表述，以防止將個人信息誤解為狹義的身份識別信息。在此基礎(chǔ)上，《民法典》第1034條第3款明確個人信息包括私密信息，規(guī)定：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定?！边@就標志著中國法律關(guān)于個人信息的界定，又重回將個人私密信息明確規(guī)定個人信息的立法模式，正式在基本法律中確立了私密信息與非私密信息的界分。

(二)《民法典》區(qū)分私密信息與非私密信息對刑法適用的影響

無論前置法采用何種立法模式，司法實務(wù)均認為公民個人信息包括個人私密信息在內(nèi)，對于非法獲取、提供個人私密信息的行為在刑法適用上完全可以構(gòu)成侵犯公民個人信息罪。從這個角度而言，可以認為，《民法典》區(qū)分私密信息與非私密信息的界分，對侵犯公民個人信息罪的適用不會產(chǎn)生大的影響。但是，立足于細微層面而言，侵犯個人私密信息刑事案件的處理，與其他侵犯公民個人信息刑事案件相比，還是會有較大差異。

具體而言，對個人私密信息優(yōu)先適用隱私權(quán)的有關(guān)規(guī)定。根據(jù)《民法典》第1034條第2款的規(guī)定，對于個人私密信息優(yōu)先適用《民法典》關(guān)于隱私權(quán)的規(guī)定，只有在相關(guān)規(guī)定欠缺的情況下，才適用關(guān)于個人信息保護的規(guī)定。根據(jù)《民法典》第1033條第5項的規(guī)定，處理他人的私密信息，除法律另有規(guī)定的情形外，須經(jīng)權(quán)利人明確同意?？梢?，對于個人私密信息，《民法典》在保護力度上明顯強于個人非私密信息，對后者的處理采用的是告知同意規(guī)則，即征得自然人或其監(jiān)護人同意?！啊鞔_同意’與‘同意’的涵義是不同的。一方面，明確同意意味著自然人在被告知私密信息將被處理的前提下而作出清晰、明確的允許處理的意思表示。另一方面，明確的同意應(yīng)當(dāng)是針對該私密信息被處理而單獨作出的同意的意思表示”[9]。司法實踐中處理涉?zhèn)€人私密信息的刑事案件，在認定是否“違反國家有關(guān)規(guī)定”時，在除法律另有規(guī)定的情況下應(yīng)當(dāng)采用權(quán)利人“明確同意”的判斷規(guī)則。例如，對于APP將告知同意的內(nèi)容置于冗長的隱私政策之中，導(dǎo)致用戶實際上不會真正去閱讀了解隱私政策而選擇同意，進而獲取相關(guān)個人信息的行為，如何判斷獲取信息行為的性質(zhì)素有爭議?；诨ヂ?lián)網(wǎng)時代獲取個人信息的現(xiàn)實情況，要求逐項告知收集信息內(nèi)容并征得同意似不可以，故對于個人非私密信息而言，上述行為難以認定為非法獲取；但是，對于個人私密信息而言，由于《民法典》明確要求經(jīng)權(quán)利人“明確同意”，采取上述方式收集個人私密信息的則可以認定為非法獲取。

五、《民法典》區(qū)分公開的與非公開的個人信息對刑法適用的影響

一段時間以來，涉公開個人信息案件的處理是侵犯公民個人信息罪司法適用中的最為棘手的問題之一。例如，行為人從商貿(mào)網(wǎng)站和政府部門公開的企業(yè)信息網(wǎng)上收集企業(yè)公開發(fā)布的信息(涉及自然人信息)，將上述信息存入數(shù)據(jù)庫，供他人付費查詢使用。又如，行為人將房屋租售網(wǎng)站上已經(jīng)公開的房屋信息收集，將上述信息用于營利活動。上述案件的處理即存在較大爭議，各方意見不一，處理結(jié)果有異。筆者主張，在《民法典》明確區(qū)分公開的個人信息和非公開的個人信息，并為二者設(shè)置了不同的處理規(guī)則的背景下，應(yīng)當(dāng)對標上述規(guī)定，妥當(dāng)處理相關(guān)刑事案件。

(一)《民法典》關(guān)于公開的個人信息的界定對刑法適用的影響

《民法典》第1036條規(guī)定：“處理個人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：……(二)合理處理該自然人自行公開的或者其他已經(jīng)合法公開的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外……”據(jù)此，個人信息分為公開的個人信息和非公開的個人信息。需要注意的是，公開的個人信息限于“合法公開的信息”，既包括自然人自行公開的信息，也包括其他途徑合法公開的信息。前者如律師將自己的聯(lián)系電話、通訊郵箱、辦公地址等信息通過互聯(lián)網(wǎng)或者其他途徑公開，后者如依據(jù)行政行為、司法行為或者其他緣由而公開。不論以何種形式進行公開，公開的個人信息都限于通過合法途徑公開的個人信息，而不包括非法公開的個人信息。

在辦理涉公民個人公開信息的案件時，要注意查明相關(guān)公開的個人信息是否屬于合法公開的信息，從而準確判斷后續(xù)獲取或者提供行為定性應(yīng)當(dāng)適用的規(guī)則。例如，對某住宿網(wǎng)站采取黑客攻擊手段，非法獲取住宿記錄并通過互聯(lián)網(wǎng)公開的，相關(guān)信息雖然客觀上處于公開狀態(tài)，但由于公開手段系非法手段，不屬于前述“公開的個人信息”，對于行為人獲取或者提供相關(guān)信息的行為定性，除后文所述認識錯誤的情況外，仍然應(yīng)當(dāng)適用非公開的個人信息的判斷規(guī)則。

侵犯公民個人信息罪系故意犯罪，以行為人具有主觀明知為前提。刑法適用中需要注意的是，對于相關(guān)個人信息是否合法公開，既要從客觀上進行查證，也要查明行為人的主觀認識。一般而言，對于客觀上公開的個人信息是否系合法公開，行為人未必能夠認識到，對此要防止客觀歸罪。對于非法公開的個人信息，無法證明行為人主觀上認識到，且一般人也難以認定到的，則應(yīng)當(dāng)按照有利于被告人的處理規(guī)則，可以適用公開個人信息的處理規(guī)則認定行為性質(zhì)。

(二)《民法典》關(guān)于公開的個人信息處理規(guī)則的規(guī)定對刑法適用的影響

《民法典》區(qū)分非公開的個人信息與公開的個人信息，就在于兩類個人信息的處理規(guī)則有異：對于非公開的個人信息，根據(jù)《民法典》第1035條第1款的規(guī)定，除法律、行政法規(guī)另有規(guī)定的外，處理相關(guān)信息需要征得該自然人或者其監(jiān)護人同意；對于公開的個人信息，根據(jù)《民法典》第1036條第2項的規(guī)定，除自然人明確拒絕或者處理相關(guān)信息侵害其重大利益的外，合理處理相關(guān)信息不需要征得該自然人或者其監(jiān)護人的同意。可見，《民法典》關(guān)于公開的個人信息的保護強度要明顯弱于非公開的個人信息?！睹穹ǖ洹返纳鲜鲆?guī)定，為刑法適用中涉公開的個人信息案件定性的若干爭議問題厘清了前置法規(guī)定。

在以往的刑事司法實踐中，對于公開的個人信息，由于信息已經(jīng)處于公開狀況，獲取無須征得同意，對此應(yīng)無疑義；但是，在獲取相關(guān)公開信息后進而提供的行為，是否需要取得“二次授權(quán)”(即在獲取相關(guān)信息后，提供相關(guān)信息需要告知同意)，則存在較大爭議。可以說，《民法典》為這一爭議問題作了明晰，即否定“二次授權(quán)”的規(guī)則。民法典第1038條第1款規(guī)定：“信息處理者……未經(jīng)自然人同意，不得向他人非法提供其個人信息……”此處的“二次授權(quán)”，明顯是針對于非公開的個人信息而言。根據(jù)《民法典》第1036條第2項的規(guī)定，對公開的個人信息的合理處理可以推定自然人概括同意，即除了“該自然人明確拒絕或者處理該信息侵害其重大利益的”情形外，不需要通知和征得該自然人或者其監(jiān)護人同意。據(jù)此，在處理相關(guān)刑事案件時，對于未通知并征得自然人同意而獲取、提供公開的個人信息的案件，只要行為人的獲取、提供行為處于“合理”限度之內(nèi)，除證明該自然人明確拒絕③或者相關(guān)獲取、提供行為侵害了該自然人的重大利益的外，應(yīng)當(dāng)認為相關(guān)獲取、提供的行為屬于合法行為，不屬于“違反國家有關(guān)規(guī)定”獲取、提供公民個人信息的行為，更不應(yīng)當(dāng)認定為構(gòu)成侵犯公民個人信息罪。

值得探討的是，對于《民法典》第1036條第2項規(guī)定的“合理處理”的認定，應(yīng)當(dāng)采用相對寬泛的理解。原則上，只要法律、法規(guī)沒有明確禁止的處理行為，均可以認定為“合理處理”，至少不能認定為犯罪。特別是，從保護信息自由流通的角度出發(fā)，要切實防止只要獲取個人信息后進行營利活動或者超越信息初始公開使用場景的，即認為超越了合理處理界限的極端認識。例如，部分工商企業(yè)信息中包含有法定代表人姓名、聯(lián)系電話等內(nèi)容，屬于公民個人信息的范疇。相關(guān)信息可以在“國家企業(yè)信用信息公示系統(tǒng)”中查詢，已處于合法公開的狀況。從初始的公開使用場景而言，確實限于在國家企業(yè)信用信息公示系統(tǒng)公開，方便民眾查詢以確認企業(yè)信息是否真實有效。以往刑事司法實踐中，一些收集工商登記信息，未經(jīng)自然人同意超越初始公開場景使用的情形，被認定構(gòu)成侵犯公民個人信息罪。對此，筆者曾主張：“鑒于此類案件具有相當(dāng)普遍性，未來的公民個人信息保護法和相關(guān)法律法規(guī)宜對公民個人公開信息的問題作出明確規(guī)定，以便利相關(guān)案件的處理?！盵10]在《民法典》對公開的個人信息的處理規(guī)則作出明確規(guī)定的情況下，對于上述案件，如果相關(guān)信息在公開時沒有明確限定公開場景(即沒有明確拒絕他人收集后在其他場景下使用)，則對于收集并在未通知和征得該自然人同意情況下提供相關(guān)信息的行為，宜認為仍在“合理處理”的范疇之內(nèi)。

總而言之，根據(jù)《民法典》關(guān)于界分公開個人信息和非公開個人信息的相關(guān)規(guī)定，要求刑法適用中妥當(dāng)處理涉公開的個人信息的案件。一般而言，由于公開個人信息的案件偵辦難度相對較小且涉案信息數(shù)量、違法所得等往往巨大，司法實踐易以此類案件為打擊重點。可以說，《民法典》的相關(guān)規(guī)定對于扭轉(zhuǎn)這一趨勢奠定了基礎(chǔ)。在中國侵犯公民個人信息違法犯罪泛濫和公民個人信息保護水平整體不高的當(dāng)下，對標《民法典》的相關(guān)規(guī)定，侵犯公民個人信息罪的司法適用應(yīng)當(dāng)以涉非公開個人信息的案件為重點，嚴厲懲治非法獲取、提供非公開個人信息的案件，切實強化對公民個人信息的保護。

注釋：

① 例如，《刑法》第253條之一未對“公民個人信息”的概念作出界定，這就決定了對其內(nèi)涵和外延的把握必須受到前置法相關(guān)規(guī)定的影響。

② 《個人信息保護法(草案)》已于2020年10月中旬提請十三屆全國人民代表大會常務(wù)委員會第二十二次會議首次審議。

③ 對于《民法典》第1036條第2項規(guī)定的“明確拒絕”，宜理解為是事前的明確拒絕，即在該公開的個人信息被處理前明確拒絕。當(dāng)然，由于處理多種行為方式、多個環(huán)節(jié)，只要在特定的處理行為實施前明確拒絕即可。例如，在相關(guān)信息被收集后，可以明確拒絕后續(xù)的使用、加工、傳輸、提供等其他處理活動。