《個(gè)人信息保護(hù)法》中“知情同意條款”的出罪功能

李立豐

2021年11月生效的《中華人民共和國(guó)個(gè)人信息保護(hù)法》（下文簡(jiǎn)稱(chēng)《個(gè)人信息保護(hù)法》）繼承并進(jìn)一步明確了知情同意原則。反觀我國(guó)學(xué)界，對(duì)于知情同意原則所保護(hù)對(duì)象的范圍，仍存在巨大爭(zhēng)論。例如，個(gè)人信息主體享有的是“權(quán)利”還是“利益”［1］（P146）；個(gè)人信息是否屬于私法的保護(hù)對(duì)象［2］（P35）；個(gè)人信息權(quán)與隱私權(quán)是否存在區(qū)分之必要［3］（P118）。其中，關(guān)于個(gè)人信息權(quán)利是否存在的論爭(zhēng)，雖在民法學(xué)界意義重大，但在刑法學(xué)中不存在深究的必要，因?yàn)榉ㄒ娓拍羁杀灰暈椤皺?quán)利”和“利益”的統(tǒng)稱(chēng)，這與一些民法學(xué)者所主張的“個(gè)人信息權(quán)益”概念包括“本權(quán)權(quán)益”與保護(hù)“本權(quán)權(quán)益”的權(quán)利的觀點(diǎn)不謀而合［4］（P1147）。然而，個(gè)人信息究竟屬于公共物品還是應(yīng)由私權(quán)來(lái)保護(hù)這一問(wèn)題，直接決定了侵犯公民個(gè)人信息罪的體系定位是否合理，這對(duì)刑法學(xué)研究來(lái)說(shuō)頗具意義。個(gè)人信息權(quán)與隱私權(quán)之區(qū)分是否必要的問(wèn)題，也會(huì)影響到侵犯公民個(gè)人信息罪的法益確定，進(jìn)而左右相關(guān)出罪事由的討論。故有必要在行文之前，對(duì)這兩個(gè)前置性問(wèn)題加以回應(yīng)。

首先，個(gè)人信息并非公共物品。雖然信息主體對(duì)其個(gè)人信息所擁有的權(quán)利，不具有物權(quán)的獨(dú)占性（典型例證如，為了國(guó)家利益之需要可以收集個(gè)人信息），而且一旦將個(gè)人信息提供給個(gè)人信息處理者使用，信息主體就喪失了對(duì)其個(gè)人信息的實(shí)際控制與支配，但是，對(duì)于信息主體而言，個(gè)人信息具有人格自由與人格尊嚴(yán)價(jià)值，承載著多重法益（包括隱私、人身、財(cái)產(chǎn)利益），仍然屬于民法中私權(quán)的客體。在這個(gè)意義上，侵犯公民個(gè)人信息罪被規(guī)定在《中華人民共和國(guó)刑法》（下文簡(jiǎn)稱(chēng)《刑法》）第4章“侵犯公民人身權(quán)利、民主權(quán)利罪”中，是合理的。

其次，《個(gè)人信息保護(hù)法》第4條規(guī)定：個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息。其中既包括自然人不愿為他人所知的私密信息，也包括姓名、電話號(hào)碼、政治面貌等在社會(huì)交往中必須向他人提供以確立自身人格外觀的一般個(gè)人信息，所以個(gè)人信息（權(quán)益）與隱私（權(quán)）之間存在區(qū)別。刑法中侵犯公民個(gè)人信息罪中的犯罪對(duì)象是公民個(gè)人信息，根據(jù)法秩序統(tǒng)一原理，本罪的法益應(yīng)當(dāng)至少包括個(gè)人信息權(quán)益。認(rèn)為本罪保護(hù)的是隱私權(quán)的觀點(diǎn)，顯然不當(dāng)縮小了本罪的保護(hù)范圍。

在回答了上述前置性問(wèn)題之后，便可正式提出本文旨在解決的問(wèn)題，即在個(gè)人信息處理者與用戶的互動(dòng)關(guān)系中，知情同意原則是否被視為侵犯公民個(gè)人信息罪的出罪事由。首先，本文以“移動(dòng)應(yīng)用程序”（下文簡(jiǎn)稱(chēng)“APP”）為例，研究作為個(gè)人信息處理者與用戶互動(dòng)規(guī)范的隱私政策的屬性。其次，針對(duì)知情同意原則所面臨的現(xiàn)實(shí)困境提出應(yīng)對(duì)方案。再次，結(jié)合改善前后的知情同意原則，探討其與刑法語(yǔ)境下“被害人同意”的關(guān)系。第四，討論將完善后的知情同意原則作為侵犯公民個(gè)人信息罪出罪事由的可行進(jìn)路。最后，明確知情同意原則出罪功能的適用限制，以實(shí)現(xiàn)企業(yè)刑事合規(guī)與個(gè)體權(quán)益保障之間的平衡。

一、APP隱私政策的合同屬性

作為“典型”的個(gè)人信息處理者，APP的經(jīng)營(yíng)主體在其與用戶的互動(dòng)關(guān)系中，主要通過(guò)隱私政策的文本設(shè)計(jì)與適用來(lái)落實(shí)知情同意原則。因此，對(duì)于APP隱私政策屬性的認(rèn)定，直接影響到知情同意原則與侵犯公民個(gè)人信息罪的關(guān)系。

（一）我國(guó)APP隱私政策的現(xiàn)實(shí)樣態(tài)與屬性論爭(zhēng)

我國(guó)主流APP的隱私政策文本，基本上都傾向于將隱私政策視為用戶與APP經(jīng)營(yíng)主體之間的合同。如《支付寶隱私政策》提示用戶需要同意其按照該政策約定處理用戶的信息?！短詫毱脚_(tái)服務(wù)協(xié)議》同樣明確淘寶平臺(tái)的隱私權(quán)政策是該協(xié)議的補(bǔ)充協(xié)議，與其不可分割且具有同等法律效力。據(jù)此，一般認(rèn)為我國(guó)APP的隱私政策，是指用戶與APP運(yùn)營(yíng)者之間的協(xié)議或約定，即合同。然而，現(xiàn)實(shí)樣態(tài)卻并非如此簡(jiǎn)單。以安卓系統(tǒng)客戶端多款A(yù)PP為例，其隱私政策大體分為兩類(lèi)：第一大類(lèi)，如百度、抖音、淘寶、知乎等，用戶下載安裝后首次點(diǎn)開(kāi)該APP時(shí)，隱私政策的鏈接就會(huì)出現(xiàn)。而其可以進(jìn)一步細(xì)分為“要么同意，要么離開(kāi)”類(lèi)以及“注冊(cè)需同意”類(lèi)。屬于前者的APP用戶，如果不同意相關(guān)隱私政策，就根本不能使用該APP的任何服務(wù)。屬于后者的APP用戶，即便點(diǎn)擊“不同意”也不會(huì)退出，仍能使用相關(guān)APP的部分服務(wù)（如知乎里游客模式下的瀏覽服務(wù)），但是如果想要使用相關(guān)APP的核心服務(wù)，就必須同意隱私政策，注冊(cè)或登錄后才能使用。在這種情況下，如果承認(rèn)APP隱私政策屬于合同，那么合同的雙方顯然是APP與注冊(cè)用戶，而不是僅僅使用瀏覽服務(wù)的“游客”。這就意味著，如果承認(rèn)APP隱私政策的性質(zhì)屬于合同，那么點(diǎn)擊“同意”的用戶與這一大類(lèi)APP之間就會(huì)由此產(chǎn)生契約關(guān)系。第二大類(lèi)，如拼多多，用戶在下載安裝完畢首次點(diǎn)開(kāi)該APP之時(shí)，并不能直接看見(jiàn)隱私政策，在個(gè)人中心—設(shè)置中也不能看見(jiàn)隱私政策，而是需要注冊(cè)登錄之后，才能在APP的個(gè)人中心—設(shè)置中找到該APP的隱私政策。這就會(huì)導(dǎo)致一個(gè)看似矛盾的問(wèn)題，即用戶同意該類(lèi)APP隱私政策的時(shí)間，甚至早于用戶發(fā)現(xiàn)或?yàn)g覽隱私政策內(nèi)容的時(shí)間。拼多多APP隱私政策明確表示，一旦用戶開(kāi)始使用拼多多的各項(xiàng)產(chǎn)品或服務(wù)，即表示已充分理解并同意本政策。這就意味著用戶只要安裝該APP之后進(jìn)入相關(guān)頁(yè)面簡(jiǎn)單瀏覽，即等同于用戶表示同意。然而，用戶這個(gè)時(shí)候尚未注冊(cè)，對(duì)于后面才能閱讀到的APP隱私政策內(nèi)容一無(wú)所知。如此一來(lái)，如果認(rèn)為此類(lèi)APP隱私政策具有合同屬性，那么該合同的成立生效時(shí)間顯然早于合同一方當(dāng)事人得知合同內(nèi)容的時(shí)間。

對(duì)此，我國(guó)學(xué)界存在兩種觀點(diǎn)。有學(xué)者認(rèn)為經(jīng)用戶同意的隱私政策將在用戶與網(wǎng)絡(luò)服務(wù)提供者之間成立合同關(guān)系，其與網(wǎng)絡(luò)服務(wù)協(xié)議是相互獨(dú)立的兩個(gè)合同，是網(wǎng)絡(luò)服務(wù)協(xié)議的前置性協(xié)議，而不需要經(jīng)用戶同意的隱私政策屬于企業(yè)自律規(guī)則。但從實(shí)踐來(lái)看，在許多情形下，隱私政策需要經(jīng)過(guò)用戶同意才生效［5］（P129-133）；有學(xué)者認(rèn)為，經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)網(wǎng)頁(yè)上所載的隱私政策是網(wǎng)絡(luò)經(jīng)營(yíng)主體與網(wǎng)絡(luò)用戶就收集、存儲(chǔ)和使用用戶個(gè)人信息的行為進(jìn)行的約定，為格式條款合同。非經(jīng)營(yíng)性網(wǎng)站上所載的屬于告示類(lèi)的隱私聲明不是合同［6］（P209）；還有學(xué)者從網(wǎng)絡(luò)免費(fèi)服務(wù)的本質(zhì)出發(fā)，認(rèn)為用戶如果不授權(quán)企業(yè)對(duì)個(gè)人信息的使用則無(wú)法享受網(wǎng)絡(luò)經(jīng)營(yíng)者的服務(wù)，個(gè)人信息的授權(quán)與企業(yè)的服務(wù)形成對(duì)價(jià)關(guān)系，企業(yè)發(fā)布隱私政策是要約，用戶選擇企業(yè)的服務(wù)，則表現(xiàn)為用戶對(duì)隱私政策的同意。此外，隱私政策合同說(shuō)還可以通過(guò)隱私政策的內(nèi)容進(jìn)一步證明［7］（P133）。然而，有學(xué)者認(rèn)為隱私政策根本不是合同，不具有合同屬性，而是“具有社會(huì)承諾屬性”［8］（P27），主要理由是消費(fèi)者個(gè)人信息蘊(yùn)含著社會(huì)價(jià)值，因而隱私政策必須符合公共利益；強(qiáng)調(diào)個(gè)人信息的社會(huì)控制意味著個(gè)人信息的使用應(yīng)由社會(huì)決定，而非由個(gè)人決定；不管用戶是否真正同意隱私政策，監(jiān)管機(jī)構(gòu)、媒體等都可以對(duì)企業(yè)的隱私政策反復(fù)評(píng)價(jià)，企業(yè)的隱私政策因而代表了企業(yè)的社會(huì)形象；協(xié)議所應(yīng)有的協(xié)商和合意在提供與接受隱私政策的過(guò)程中蕩然無(wú)存，用戶要么同意，要么離開(kāi)。所以，隱私條款因具有社會(huì)屬性而不再是APP經(jīng)營(yíng)主體與用戶之間的合同。

（二）APP隱私政策的民事合同性質(zhì)

本文認(rèn)為，APP隱私政策屬于個(gè)人信息處理者與個(gè)人信息主體之間締結(jié)的民事合同。首先，不能以個(gè)人信息的社會(huì)控制論為依據(jù)否認(rèn)隱私政策的合同屬性。個(gè)人信息社會(huì)控制論否定信息主體對(duì)于個(gè)人信息絕對(duì)的、普遍的控制，提倡建立“以一般允許為原則，以個(gè)人控制（同意決定）為例外”的個(gè)人信息使用規(guī)則［9］（P99）。也就是說(shuō)，這種觀點(diǎn)其實(shí)并不否認(rèn)存在應(yīng)當(dāng)由用戶個(gè)人控制或支配的個(gè)人信息。其次，隱私政策中依舊存在用戶與APP之間的協(xié)商與合意，“不同意，就退出”的現(xiàn)象實(shí)際上是不存在的。從形式上看，某些APP的用戶的確只有選擇同意全部隱私政策，才能進(jìn)入相關(guān)頁(yè)面，否則將被迫退出。但事實(shí)上，即便用戶選擇接受，仍然可以通過(guò)在設(shè)置中行使默認(rèn)不開(kāi)啟的權(quán)限等方式，對(duì)APP隱私政策中的某些條款做出后續(xù)調(diào)整。也即，對(duì)于隱私政策中涉及個(gè)人信息采集的關(guān)鍵條款，用戶仍然可以自主選擇同意或不同意。例如支付寶的隱私政策雖然建議用戶為了更安全、便捷地登錄，可選擇刷臉登錄服務(wù)，并向支付寶方面提供臉部圖像或視頻，以核驗(yàn)用戶身份。但用戶如果選擇不同意，并不會(huì)被強(qiáng)制退出。在這個(gè)意義上，“要么同意，要么離開(kāi)”的情況并不全然或絕對(duì)存在。畢竟幾乎所有APP隱私政策條款都規(guī)定，如用戶不同意提供前述信息，將無(wú)法完成（上述）特定操作，但不影響使用其他服務(wù)等內(nèi)容，例如，淘寶用戶如果拒絕提供上述信息，雖然無(wú)法注冊(cè)淘寶平臺(tái)賬戶，但仍可以使用瀏覽、搜索服務(wù)。換言之，存在某種用戶選擇空間。因此，本文認(rèn)為隱私政策就是個(gè)人信息處理者與個(gè)人信息主體在互動(dòng)關(guān)系中形成的以個(gè)人信息處理與保護(hù)為主要內(nèi)容的合同。

判斷APP隱私政策屬性的意義在于：隱私政策的屬性決定了用戶的知情同意是否可以成為侵犯公民個(gè)人信息罪的出罪事由。如果APP隱私政策構(gòu)成個(gè)人信息處理者與個(gè)人信息主體之間的合同，那么盡管APP隱私政策可能存在違背現(xiàn)行管理性法律規(guī)范的條款，但是對(duì)于這些條款用戶仍可以同意，即經(jīng)同意的此類(lèi)條款仍屬于有效的合同條款。而所謂管理性強(qiáng)制規(guī)定是指，法律沒(méi)有規(guī)定違反該強(qiáng)制性規(guī)定將導(dǎo)致合同無(wú)效，違反該規(guī)定亦不損害國(guó)家利益和社會(huì)公共利益，只是損害當(dāng)事人利益［10］（P341）。違反管理性規(guī)定承擔(dān)的是被管理一方的管理責(zé)任或行政處罰。由此可見(jiàn)，《中華人民共和國(guó)民法典》（下文簡(jiǎn)稱(chēng)《民法典》）第1035條或《個(gè)人信息保護(hù)法》第5條規(guī)定的個(gè)人信息處理的必要原則屬于管理性規(guī)定。我國(guó)現(xiàn)行法律、行政法規(guī)等禁止APP過(guò)度收集用戶個(gè)人信息，但是在APP隱私政策是合同的前提下，在隱私政策中約定的過(guò)度收集個(gè)人信息的條款雖然違反強(qiáng)制性管理性規(guī)定，但經(jīng)過(guò)用戶同意，過(guò)度收集條款仍然有效，即用戶對(duì)違反強(qiáng)制性管理性規(guī)定的條款之同意有效。所以按照隱私政策（合同）中過(guò)度收集條款實(shí)施的過(guò)度收集行為，雖然“違反國(guó)家有關(guān)規(guī)定”，侵犯了公民個(gè)人信息不被過(guò)度收集的個(gè)人信息權(quán)，因而該當(dāng)侵犯公民個(gè)人信息罪的構(gòu)成要件，但是可以在違法性判斷意義上研究用戶知情同意是否阻卻違法性。然而，如果隱私政策是APP經(jīng)營(yíng)主體的自律規(guī)則，鑒于企業(yè)自律標(biāo)準(zhǔn)不應(yīng)該低于現(xiàn)行國(guó)家有關(guān)規(guī)定中個(gè)人信息保護(hù)標(biāo)準(zhǔn)以及國(guó)家標(biāo)準(zhǔn)，所以在隱私政策中不能規(guī)定有違反國(guó)家有關(guān)規(guī)定收集或提供個(gè)人信息的條款。而且，因?yàn)樽月梢?guī)則不需要經(jīng)過(guò)用戶同意，故不可能存在用戶同意是否阻卻“違反國(guó)家有關(guān)規(guī)定”的收集或提供行為違法性的問(wèn)題。如果隱私政策是自律規(guī)則，那么本文所研究的知情同意與侵犯公民個(gè)人信息罪的關(guān)系則毫無(wú)意義。正因如此，本文于正文之首，直截了當(dāng)提出隱私政策屬性之疑問(wèn)。

二、知情同意原則功能失靈的應(yīng)對(duì)

通說(shuō)認(rèn)為，知情同意原則是指信息經(jīng)營(yíng)主體在收集個(gè)人信息之時(shí)，應(yīng)當(dāng)對(duì)信息主體就有關(guān)個(gè)人信息被收集、處理和利用的情況進(jìn)行充分告知，并征得信息主體明確同意的原則［11］（P76）。知情同意權(quán)是個(gè)人信息權(quán)的積極權(quán)能之一，可分為知情權(quán)和同意權(quán)。知情權(quán)是指數(shù)據(jù)主體有權(quán)知道與其數(shù)據(jù)將被處理的一切相關(guān)資訊，包括數(shù)據(jù)控制人的身份、擬處理數(shù)據(jù)的范圍、處理依據(jù)，等等。在這個(gè)意義上，知情是同意的前提，同意是知情的目的，同意的對(duì)象是一切形式的數(shù)據(jù)處理［1］（P152）。還有論者認(rèn)為，告知是同意的內(nèi)在規(guī)范要求［12］（P125）。但在另一方面，知情同意原則在適用過(guò)程中面臨挑戰(zhàn)，存在功能失靈的可能。

（一）針對(duì)知情同意原則功能失靈的應(yīng)對(duì)策略

知情同意原則面臨著兩大挑戰(zhàn)：第一，不告知影響用戶選擇的決定性信息，使得同意喪失了有效性基礎(chǔ)。APP隱私政策作為保障用戶知情同意的主要方式，往往只告知用戶APP收集的個(gè)人信息的范圍等內(nèi)容，以及不提供個(gè)人信息就難以享受某些服務(wù)的后果，卻并沒(méi)有提示用戶相應(yīng)處理行為可能引發(fā)的風(fēng)險(xiǎn)。事實(shí)上，個(gè)人信息類(lèi)型繁多，其附著有用戶的人身利益、財(cái)產(chǎn)利益、隱私利益，處理行為可能會(huì)給這些利益帶來(lái)風(fēng)險(xiǎn)。例如：收集私密信息并對(duì)其做進(jìn)一步的處理，可能對(duì)私密信息所承載的用戶隱私利益造成風(fēng)險(xiǎn)；或者，以作為處理方式的存儲(chǔ)為例，因?yàn)榇鎯?chǔ)技術(shù)自身的原因，個(gè)人信息極有可能在存儲(chǔ)期間被竊取或泄露，但是因?yàn)槲锤嬷鄳?yīng)風(fēng)險(xiǎn)，普通用戶根本無(wú)法預(yù)測(cè)該處理行為可能引發(fā)的風(fēng)險(xiǎn)及其程度。而根據(jù)目前我國(guó)法律之規(guī)定，用戶需要自行對(duì)處理行為的風(fēng)險(xiǎn)加以判斷或預(yù)測(cè)，然后做出是否同意的決定。在缺乏對(duì)行為風(fēng)險(xiǎn)預(yù)見(jiàn)能力的基礎(chǔ)上的同意，難以被視為具有法律意義。第二，知情同意原則的實(shí)現(xiàn)成本過(guò)高。對(duì)于用戶而言，閱讀動(dòng)輒上萬(wàn)字的隱私政策需要花費(fèi)大量時(shí)間，容易造成用戶閱讀困難。文本長(zhǎng)度過(guò)短，勢(shì)必不能全面展示隱私政策內(nèi)容［13］（P76），導(dǎo)致有些處理行為其實(shí)沒(méi)有征得用戶同意。對(duì)于APP經(jīng)營(yíng)主體而言，終究是以營(yíng)利為目的，適用知情同意原則可能與其作為營(yíng)利性實(shí)體的本質(zhì)存在齟齬。

面對(duì)上述挑戰(zhàn)，持“徹底拋棄說(shuō)”的學(xué)者認(rèn)為在大數(shù)據(jù)時(shí)代，應(yīng)及時(shí)轉(zhuǎn)變思路，轉(zhuǎn)變知情同意的固化思維，借鑒秉持個(gè)案分析精神的歐美場(chǎng)景與風(fēng)險(xiǎn)導(dǎo)向理念，將“在具體場(chǎng)景中合理”作為個(gè)人對(duì)個(gè)人信息處理行為的合法授權(quán)［3］（P109）。但這種觀點(diǎn)存在如下難以回避的問(wèn)題：首先，個(gè)人信息的知情同意原則不僅僅適用于個(gè)人私密信息，也適用于個(gè)人一般信息，而處理一般個(gè)人信息的行為未必會(huì)帶來(lái)隱私風(fēng)險(xiǎn)。法律規(guī)定知情同意原則除了具有要保護(hù)個(gè)人隱私的意圖之外，更重要的是想借此保護(hù)個(gè)人信息自決權(quán)，保障個(gè)人信息的人格自由與人格尊嚴(yán)價(jià)值。因此，僅以隱私風(fēng)險(xiǎn)為判斷處理行為合法性的標(biāo)準(zhǔn)，是對(duì)個(gè)人信息自決權(quán)的忽視，故與《民法典》以及《個(gè)人信息保護(hù)法》的立法趨勢(shì)相悖。其次，具體案件中的隱私風(fēng)險(xiǎn)是否能為該案中的信息主體所接受，并沒(méi)有明確的判斷依據(jù)。本文認(rèn)為，在大數(shù)據(jù)時(shí)代，各種計(jì)算機(jī)技術(shù)及其對(duì)個(gè)人信息處理的具體方式、風(fēng)險(xiǎn)、結(jié)果難以被不具有計(jì)算機(jī)專(zhuān)業(yè)知識(shí)的普通用戶所知，根本無(wú)法得知用戶預(yù)期的風(fēng)險(xiǎn)是什么，甚至用戶自己都不知道自己是否預(yù)期過(guò)處理行為的風(fēng)險(xiǎn)。與此相對(duì)，持“完善說(shuō)”的論者主張，應(yīng)以《民法典》第109條規(guī)定的人格權(quán)保護(hù)的價(jià)值基礎(chǔ)為界分基準(zhǔn)，對(duì)個(gè)人信息處理行為加以分類(lèi)，觸及人格尊嚴(yán)和自由發(fā)展的個(gè)人信息處理行為適用明示同意，而與人格尊嚴(yán)和自由發(fā)展無(wú)涉的個(gè)人信息處理行為適用默示同意（從用戶使用APP的行為可以推斷出用戶的默示同意）［14］（P100-101）。但是本文認(rèn)為這種分類(lèi)標(biāo)準(zhǔn)過(guò)于抽象，在實(shí)踐中難以判斷何種處理方式關(guān)涉人格尊嚴(yán)與自由發(fā)展，因而其完善方法不具可操作性。除此之外，有論者提出“弱同意模式”，主張用戶的沉默（擬制同意）代表同意個(gè)人信息處理行為，而擬制同意適用的前提是情境合理標(biāo)準(zhǔn)［15］（P81-82）。這種觀點(diǎn)其實(shí)是借鑒了歐美的場(chǎng)景理論與風(fēng)險(xiǎn)理論，主張情境是場(chǎng)景與規(guī)則的統(tǒng)一，但是何謂場(chǎng)景、其構(gòu)成因素有哪些以及規(guī)則有哪些，則根本沒(méi)有明確，所以該規(guī)則不僅不能起到完善作用，還可能帶來(lái)新的麻煩。此外，對(duì)于有論者所主張的通過(guò)加強(qiáng)隱私政策界面友好度以及堅(jiān)持最小收集原則來(lái)完善告知同意原則的觀點(diǎn)，存在如下問(wèn)題：第一，鑒于用戶與APP經(jīng)營(yíng)主體的談判籌碼相差懸殊、用戶對(duì)大量的隱私政策感到麻木、對(duì)遙遠(yuǎn)的潛在風(fēng)險(xiǎn)不敏感等因素，只是在形式上加強(qiáng)隱私政策文本界面友好度，對(duì)于“同意”難以起到實(shí)質(zhì)幫助。第二，目的限制原則的功效很容易被籠統(tǒng)的目的如“為了改善您的服務(wù)體驗(yàn)”等削弱。第三，核心功能與非核心功能的界分目前沒(méi)有統(tǒng)一標(biāo)準(zhǔn)，并且APP經(jīng)營(yíng)主體很容易通過(guò)降低用戶體驗(yàn)度的方式迫使用戶追加授權(quán)，所以以此為基礎(chǔ)的區(qū)分授權(quán)難以實(shí)現(xiàn)。第四，在數(shù)據(jù)聚合技術(shù)的加持之下，即使APP只收集了用戶的非敏感信息，但是一經(jīng)與該用戶的其他零散一般個(gè)人信息甚至APP從其他用戶處收集的個(gè)人信息相結(jié)合，APP經(jīng)營(yíng)主體很有可能已獲知該用戶的敏感個(gè)人信息，從而使得個(gè)人一般信息與個(gè)人敏感信息的區(qū)分幾乎喪失了必要性。

（二）應(yīng)雙管齊下完善知情同意原則

本文認(rèn)為，我國(guó)《民法典》以及《個(gè)人信息保護(hù)法》將知情同意原則作為保護(hù)個(gè)人信息權(quán)的主要手段，而同意原則又是事先預(yù)防型個(gè)人信息保護(hù)機(jī)制的重要體現(xiàn)，廢除同意原則的后果，必然是整個(gè)社會(huì)將注意力轉(zhuǎn)向侵犯?jìng)€(gè)人信息的事后救濟(jì)，最終導(dǎo)致某些權(quán)益無(wú)法得到充分保障。因此，在大數(shù)據(jù)時(shí)代，知情同意原則仍具有存在意義，同時(shí)也應(yīng)予以完善。

完善知情同意原則必須注重APP經(jīng)營(yíng)主體與普通用戶之間的利益平衡，而不能一味賦予個(gè)人信息自決權(quán)以絕對(duì)保護(hù)。毋庸諱言，用戶才是個(gè)人信息的來(lái)源以及原始權(quán)利人，但是個(gè)人信息不僅僅對(duì)個(gè)人有人格自由與人格尊嚴(yán)價(jià)值，個(gè)人信息還具有商業(yè)價(jià)值和社會(huì)管理價(jià)值［16］（P10）。因而不能片面地從保護(hù)人格自由與人格尊嚴(yán)的視角，而要站在兼顧個(gè)人信息對(duì)個(gè)人的人格利益以及個(gè)人信息對(duì)個(gè)人信息處理者的經(jīng)濟(jì)利益的角度，審視知情同意原則。同時(shí)，為了實(shí)現(xiàn)用戶的人格利益與個(gè)人信息處理者對(duì)個(gè)人信息的利用之平衡，應(yīng)采取兩條路徑完善知情同意原則。其一，合理處理行為不需經(jīng)過(guò)用戶的同意，以對(duì)同意權(quán)加以限制。其二，隱私政策中應(yīng)告知可能給個(gè)人信息背后的用戶隱私利益、財(cái)產(chǎn)利益、人身利益帶來(lái)潛在風(fēng)險(xiǎn)的處理行為的風(fēng)險(xiǎn)程度，以便完善其行使個(gè)人信息自決權(quán)的基礎(chǔ)。借助路徑一，個(gè)人信息對(duì)企業(yè)的商業(yè)價(jià)值或?qū)ι鐣?huì)公共利益的價(jià)值可以得到最大發(fā)揮。借助路徑二，可以使個(gè)人對(duì)個(gè)人信息處理行為的自決權(quán)，或者說(shuō)用戶個(gè)人信息自決權(quán)以及其對(duì)個(gè)人信息上多重法益的自決權(quán)落到實(shí)處。因此，路徑一與路徑二雙管齊下，可以在平衡個(gè)人信息處理者的利益與用戶個(gè)人信息自決權(quán)的前提下，實(shí)現(xiàn)對(duì)知情同意原則的完善。

本文認(rèn)為，不會(huì)給個(gè)人信息背后的用戶隱私利益、財(cái)產(chǎn)利益、人身利益帶來(lái)任何風(fēng)險(xiǎn)且有利于增加企業(yè)經(jīng)濟(jì)利益或社會(huì)公共利益的處理行為，都是合理處理行為。我國(guó)法律規(guī)定，個(gè)人信息處理者收集使用個(gè)人信息時(shí)應(yīng)告知信息主體并且獲得其同意，從信息主體權(quán)利角度來(lái)看，這是為了保護(hù)其個(gè)人信息自決權(quán)，從更深層次而言，是為了保護(hù)個(gè)人的人格自由與人格尊嚴(yán)，而從社會(huì)治理的角度來(lái)看，是為了防止個(gè)人信息的不當(dāng)運(yùn)用妨害社會(huì)發(fā)展，如將用戶個(gè)人信息用于實(shí)施電信詐騙等犯罪。而對(duì)合理處理行為的界定，不能以前者為依據(jù)或者將其作為依據(jù)之一，即不能認(rèn)為只有經(jīng)過(guò)了告知和同意，因而未侵犯人格利益的處理行為才是或才可能是合理處理行為。首先，個(gè)人信息自決權(quán)以及作為其基礎(chǔ)的人格自由與人格尊嚴(yán)極其抽象，無(wú)法在被侵犯時(shí)讓權(quán)利主體清晰感受到自己所承受的經(jīng)濟(jì)損失、身體痛苦或精神痛苦。因此，以未侵犯?jìng)€(gè)人信息自決權(quán)及人格自由與人格尊嚴(yán)為標(biāo)準(zhǔn)界定合理處理行為，不具備可操作性，應(yīng)當(dāng)摒棄。本文對(duì)于合理性之界定不以人格自由與人格尊嚴(yán)為標(biāo)準(zhǔn)的觀點(diǎn)，或許與個(gè)人敏感信息的界定不謀而合。《個(gè)人信息保護(hù)法》就是以泄露或?yàn)E用之后的后果為標(biāo)準(zhǔn)界定個(gè)人敏感信息。其次，個(gè)人信息處理者雖未告知用戶，也未經(jīng)用戶同意，但純粹為了合法的商業(yè)目的處理個(gè)人信息時(shí)，個(gè)人信息主體一般不會(huì)遭受身體與精神痛苦，也不會(huì)遭受財(cái)產(chǎn)損失，甚至可能有利于提升用戶的利益。此類(lèi)行為既能夠?yàn)槠髽I(yè)改進(jìn)產(chǎn)品或服務(wù)提供決策的數(shù)據(jù)支撐，也能夠幫助個(gè)人信息處理者在APP中更精準(zhǔn)地投放廣告進(jìn)而賺取作為其主要收入來(lái)源的廣告費(fèi)。在不威脅用戶精神利益和財(cái)產(chǎn)利益的情況下，不僅有利于增加APP經(jīng)營(yíng)主體的經(jīng)濟(jì)利益，還有利于提高用戶的服務(wù)體驗(yàn)，實(shí)現(xiàn)了用戶與APP經(jīng)營(yíng)主體的利益平衡。因此，在確定合理處理行為的標(biāo)準(zhǔn)時(shí)，不威脅用戶法益且能增進(jìn)企業(yè)商業(yè)利益的情形理應(yīng)被納入考慮。最后，個(gè)人數(shù)據(jù)商業(yè)價(jià)值的充分發(fā)揮，能夠促進(jìn)數(shù)字經(jīng)濟(jì)以及移動(dòng)互聯(lián)網(wǎng)行業(yè)的發(fā)展，進(jìn)而增加社會(huì)整體福祉。此外，對(duì)個(gè)人信息的創(chuàng)新性利用，極有可能為社會(huì)創(chuàng)造意想不到的價(jià)值。比如，谷歌（Google）公司最初并未將預(yù)測(cè)流感趨勢(shì)作為數(shù)據(jù)分析的目標(biāo)，而是偶然在合成各種大體量數(shù)據(jù)信息的基礎(chǔ)上，得出了較為準(zhǔn)確的對(duì)流感發(fā)病率及發(fā)病時(shí)間的預(yù)測(cè)結(jié)果［17］（P67）。換言之，在考慮處理行為是否合理時(shí)，不威脅用戶法益且增進(jìn)社會(huì)整體福祉應(yīng)作為考慮因素之一。綜上，處理行為合理性的決定性因素有：未對(duì)個(gè)人信息上承載的隱私利益、人身利益、財(cái)產(chǎn)利益造成風(fēng)險(xiǎn)，且有利于增加企業(yè)商業(yè)利益之實(shí)現(xiàn)或有利于社會(huì)公共利益之實(shí)現(xiàn)。對(duì)于個(gè)人信息的合理處理行為，由于用戶應(yīng)當(dāng)容忍或必然會(huì)同意，所以實(shí)際上該類(lèi)處理行為不經(jīng)過(guò)用戶明示或默示授權(quán)也不會(huì)侵害到其同意權(quán)，問(wèn)題在于是否需要將合理處理的行為告知用戶？本文認(rèn)為答案應(yīng)該是：客觀上能做到提前告知的處理行為，個(gè)人信息處理者應(yīng)當(dāng)單方告知用戶，但是客觀上做不到提前告知用戶的處理行為無(wú)需告知。

本文還認(rèn)為，風(fēng)險(xiǎn)識(shí)別以及預(yù)測(cè)的義務(wù)應(yīng)由個(gè)人信息處理者承擔(dān)。在隱私政策中告知個(gè)人信息處理行為的風(fēng)險(xiǎn)的前提條件是，作為個(gè)人信息處理者的APP經(jīng)營(yíng)主體明知其處理用戶個(gè)人信息的行為會(huì)給用戶的隱私、財(cái)產(chǎn)、人身法益帶來(lái)何種程度的不利影響。我國(guó)司法實(shí)踐中已經(jīng)有判決開(kāi)始意識(shí)到選擇對(duì)用戶同意的作用。例如，法院判定“用戶是否自主選擇，應(yīng)在充分尊重用戶及服務(wù)提供者雙方意愿基礎(chǔ)上，綜合考慮用戶的選擇可能、選擇能力、進(jìn)行相應(yīng)選擇對(duì)用戶的實(shí)質(zhì)影響等因素予以判斷”（北京互聯(lián)網(wǎng)法院［2019］京0491民初16142號(hào)）。毋庸諱言，將風(fēng)險(xiǎn)識(shí)別以及預(yù)測(cè)的義務(wù)從用戶轉(zhuǎn)移到APP經(jīng)營(yíng)主體身上是妥當(dāng)?shù)摹Ｆ湓蛟谟?，首先，與對(duì)大數(shù)據(jù)和計(jì)算機(jī)技術(shù)一無(wú)所知的普通用戶相比，掌握大量數(shù)據(jù)以及數(shù)據(jù)處理技術(shù)的個(gè)人信息處理者顯然能夠更容易地了解處理行為的潛在風(fēng)險(xiǎn)。其次，為了預(yù)防因不遵循法律法規(guī)而遭受法律制裁的風(fēng)險(xiǎn)，個(gè)人信息處理者應(yīng)當(dāng)建立合規(guī)計(jì)劃、完善合規(guī)管理體系，而有效合規(guī)計(jì)劃的基本標(biāo)準(zhǔn)之一便是合規(guī)風(fēng)險(xiǎn)評(píng)估［18］（P9）。而APP經(jīng)營(yíng)主體的合規(guī)風(fēng)險(xiǎn)評(píng)估的重要內(nèi)容應(yīng)當(dāng)是，處理行為在何種程度上會(huì)給用戶法益帶來(lái)風(fēng)險(xiǎn)。雖然我國(guó)法律沒(méi)有要求APP經(jīng)營(yíng)主體在隱私政策中需告知用戶個(gè)人信息處理行為的潛在風(fēng)險(xiǎn)，但是我國(guó)2020年10月1日起實(shí)施的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》明確指出，個(gè)人信息保護(hù)政策中應(yīng)描述用戶提供個(gè)人信息后可能存在的安全風(fēng)險(xiǎn)。因此，規(guī)定由APP經(jīng)營(yíng)主體而非用戶識(shí)別風(fēng)險(xiǎn)，更具合理性和可操作性。用戶只有在清楚地了解處理行為對(duì)個(gè)人信息附著的多重法益的潛在風(fēng)險(xiǎn)程度之后，才能真正做出同意與否的決定。

三、刑法中被害人同意與知情同意原則的實(shí)質(zhì)契合

如前所述，完善后的知情同意原則，為將隱私政策視為個(gè)人信息處理者與個(gè)人信息主體之間達(dá)成的合意，進(jìn)而為探索該原則與刑法中被害人同意之間的關(guān)系奠定了基礎(chǔ)，也為二者的實(shí)質(zhì)契合創(chuàng)造了條件。

（一）被害人同意的出罪功能

大陸法系刑法采用階層論，設(shè)置不法構(gòu)成要件，旨在實(shí)現(xiàn)保護(hù)法益的目的。而這意味著，如果個(gè)人基于自我決定權(quán)，放棄了其有權(quán)處置的法益，刑法就沒(méi)有必要為了保護(hù)法益而去違反法益主體的意思，國(guó)家刑罰權(quán)根本沒(méi)有介入的必要［19］（P247）。正因?yàn)檫@種自由意志決定的自主性，“得到承諾的行為不違法”成為公認(rèn)的法諺。我國(guó)主流學(xué)說(shuō)基于結(jié)果說(shuō)的立場(chǎng)，將被害人同意和被害人自陷風(fēng)險(xiǎn)劃分為兩個(gè)不同的概念范疇。與此相對(duì)，一種較為有力的觀點(diǎn)認(rèn)為，被害人同意阻卻違法性的理由在于危險(xiǎn)行為符合被害人的自我決定。也就是說(shuō)，所謂“被害人”同意的是行為人實(shí)施危險(xiǎn)行為，即使發(fā)生法益侵害結(jié)果，也不能將該結(jié)果歸屬于行為人［20］（P57）。

盡管就目前而言，對(duì)于我國(guó)刑法中的被害人同意，還只能被視為一種超法規(guī)的出罪事由，但事實(shí)上，無(wú)論是相關(guān)司法解釋還是具體的司法實(shí)踐，都已經(jīng)開(kāi)始承認(rèn)被害人同意的出罪功能。例如，根據(jù)2017年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（下文簡(jiǎn)稱(chēng)“兩高解釋”），未經(jīng)被收集者同意，將合法收集的公民個(gè)人信息向他人提供的，屬于《刑法》第253條之一規(guī)定的“提供公民個(gè)人信息”。這就意味著，只要得到了被收集者同意，就會(huì)阻卻犯罪的成立［21］（P162）。又例如，在“淘寶商鋪信息轉(zhuǎn)讓案”中，被告人將得到公民個(gè)人同意、已開(kāi)好了淘寶店鋪的公民信息出售給他人的行為（廣東省開(kāi)平市人民法院［2018］粵0783刑初215號(hào)一審刑事判決書(shū)），以及行為人利用網(wǎng)絡(luò)爬蟲(chóng)工具，從公開(kāi)網(wǎng)站上獲取企業(yè)及公民信息主體同意或授權(quán)公開(kāi)的個(gè)人信息的行為，因?yàn)闆](méi)有侵犯公民個(gè)人信息自決權(quán)，不應(yīng)被認(rèn)為構(gòu)成相關(guān)犯罪［22］（P31）。由此不難看出，即便就本文所討論的主題而言，被害人同意的出罪功能都應(yīng)當(dāng)?shù)玫街匾暡⒄归_(kāi)進(jìn)一步的深入探討。

（二）被害人同意的成立條件

刑法中的被害人承諾（同意）的有效性條件包括，受保護(hù)的法益必須在原則上是可以處分的個(gè)人法益；承諾者必須有足夠的洞察能力，即被害人必須有能力對(duì)法益侵犯的方式和程度以及相伴隨的風(fēng)險(xiǎn)和后續(xù)的風(fēng)險(xiǎn)具體有所了解；承諾必須是事先同意，事后的批準(zhǔn)是不夠的；承諾必須以明示或默示方式表達(dá)出來(lái)；承諾不能是在被強(qiáng)制或被欺詐情況下做出的［23］（P119-120）。有論者認(rèn)為，被害人承諾正當(dāng)化要件包括：對(duì)法益有處分權(quán)限；有承諾能力（對(duì)承諾的內(nèi)容、意義、結(jié)果有理解能力）且承諾真實(shí)；承諾必須發(fā)生在行為發(fā)生時(shí)，最遲在結(jié)果發(fā)生前做出；法益侵害、危殆化行為必須在承諾范圍內(nèi)實(shí)施。承諾范圍不僅僅包括侵害行為或具有危險(xiǎn)性行為的性質(zhì)、意義及此行為的范圍，也必須囊括由該行為所產(chǎn)生的后果［24］（P178）。還有論者認(rèn)為，被害人承諾的有效條件包括：承諾者對(duì)被侵害的法益具有處分權(quán)限；具備承諾能力，即被害人對(duì)所承諾的事項(xiàng)的意思范圍具有理解能力；不僅承諾行為，而且承諾結(jié)果；必須出于真實(shí)意愿；承諾不必表示于外，行為人也不必認(rèn)識(shí)到承諾；承諾至遲必須存在于結(jié)果發(fā)生時(shí)；經(jīng)承諾實(shí)施的行為不得超出承諾范圍［25］（P224-226）。

雖然關(guān)于被害人承諾的體系性地位存在爭(zhēng)論，但是學(xué)者們對(duì)于其成立要件的觀點(diǎn)大體是相同的。以上三位論者都是階層論者，第一位認(rèn)為被害人承諾是構(gòu)成要件的阻卻事由，后兩位主張被害人承諾是違法阻卻事由。而批判四要件犯罪構(gòu)成體系的許多論者，認(rèn)為被害人承諾位于四要件犯罪論體系之外，由此認(rèn)為四要件犯罪構(gòu)成體系應(yīng)被拋棄［26］（P113）。但是如果采取“被害人同意一元論”的立場(chǎng)，即個(gè)人自治的法益觀，得到被害人同意的行為并沒(méi)有侵害法益，當(dāng)然也就沒(méi)有侵害犯罪客體，所以四要件犯罪論體系之中仍然有被害人承諾之地位。知情同意原則之下的用戶同意是否滿足刑法上被害人同意的成立要件，關(guān)鍵在于用戶是否對(duì)所承諾的侵害或危殆化法益的行為之結(jié)果有所了解。而滿足完善之前知情同意原則的用戶同意與滿足完善之后知情同意原則的用戶同意，在這一點(diǎn)上存在區(qū)別。

（三）知情同意原則的完善及其與刑法中被害人同意的實(shí)質(zhì)契合

傳統(tǒng)知情同意原則“要求自然人在個(gè)人信息被收集時(shí)就評(píng)估信息處理的潛在風(fēng)險(xiǎn)，同意時(shí)的成本（收益）考慮依賴于對(duì)未知風(fēng)險(xiǎn)的判斷，因此存在結(jié)構(gòu)性缺陷”［14］（P90）。事實(shí)上，在個(gè)人信息被收集時(shí)，用戶根本無(wú)法預(yù)測(cè)到信息處理行為（包括收集行為本身）對(duì)個(gè)人信息上所承載的隱私、財(cái)產(chǎn)、人身法益的風(fēng)險(xiǎn)。而被害人承諾要求被害人必須對(duì)“法益侵犯的方式和程度以及相伴隨的風(fēng)險(xiǎn)和后續(xù)的風(fēng)險(xiǎn)具體有所了解”［23］（P119），也就是說(shuō)，被害人不僅承諾行為，而且承諾結(jié)果。但是用戶在其個(gè)人信息被收集時(shí)，顯然無(wú)法得知處理行為（包括收集行為本身）的結(jié)果，因此可以認(rèn)為用戶對(duì)處理結(jié)果無(wú)法做出承諾。由此可見(jiàn)，完善之前的知情同意原則中的用戶同意并不符合被害人同意的條件，進(jìn)而無(wú)法成為APP經(jīng)營(yíng)主體即個(gè)人信息收集者的出罪事由。

大數(shù)據(jù)時(shí)代，數(shù)據(jù)聚合技術(shù)使得通過(guò)個(gè)人不敏感的信息可以分析出個(gè)人敏感信息，區(qū)塊鏈技術(shù)使得個(gè)人信息在無(wú)限長(zhǎng)的分享鏈條上流動(dòng)，因而使個(gè)人信息暴露在被侵犯的巨大風(fēng)險(xiǎn)之下。由此可見(jiàn)，APP經(jīng)營(yíng)主體的個(gè)人信息處理行為給用戶個(gè)人信息上承載的多重法益造成的風(fēng)險(xiǎn)委實(shí)難以為用戶所預(yù)見(jiàn)。用戶無(wú)法預(yù)測(cè)到行為人處理行為的風(fēng)險(xiǎn)，所以自然沒(méi)有同意處理行為帶來(lái)的風(fēng)險(xiǎn)，也可以說(shuō)對(duì)處理的危害結(jié)果的所謂“同意”并無(wú)法律意義。所以，如果處理行為確實(shí)給用戶法益帶來(lái)風(fēng)險(xiǎn)，那么用戶對(duì)隱私政策的同意，乃至針對(duì)特別告知，如APP經(jīng)營(yíng)主體通過(guò)彈窗展示的索取權(quán)限要求的同意，并不符合“被害人應(yīng)了解行為附隨風(fēng)險(xiǎn)”這一要求。

德國(guó)學(xué)者曾經(jīng)指出，刑法中的被害人同意與民法中的意思表示制度十分相似，本質(zhì)上與當(dāng)事人在民事法律上通過(guò)民事法律行為創(chuàng)設(shè)權(quán)利和義務(wù)、招致特定法律后果的情形大體相同［27］（P31）。進(jìn)一步而言，無(wú)論是作為民法中的免責(zé)事由，還是刑法中的出罪事由，二者都建立在人的自我決定權(quán)基礎(chǔ)之上，具有實(shí)質(zhì)契合性。按照改進(jìn)之后的知情同意原則，APP經(jīng)營(yíng)主體需要在隱私政策中明確告知用戶，相關(guān)個(gè)人信息處理行為將會(huì)給其法益及個(gè)人信息背后的多重法益帶來(lái)風(fēng)險(xiǎn)，以便用戶在充分知情的情況下做出選擇。符合改善后知情同意原則的用戶同意，完全符合被害人同意所要求的洞察能力。因此，如果APP經(jīng)營(yíng)主體在隱私政策中告知用戶處理行為及其風(fēng)險(xiǎn)，而用戶對(duì)隱私政策表示同意，則用戶的知情同意符合被害人同意的要求，威脅到個(gè)人信息背后的用戶隱私、財(cái)產(chǎn)、人身法益的違反國(guó)家規(guī)定的處理行為便不構(gòu)成犯罪。

四、侵犯公民個(gè)人信息罪中的被害人同意

《個(gè)人信息保護(hù)法》第71條規(guī)定：違反本法規(guī)定，構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任。在個(gè)人信息處理者的刑事合規(guī)語(yǔ)境下，本文選取侵犯公民個(gè)人信息罪作為樣本，探討將被害人同意作為個(gè)人信息處理者出罪事由的具體路徑。

（一）知情同意的出罪功能

有論者認(rèn)為，對(duì)于公民個(gè)人信息的刑法保護(hù)，建立在我國(guó)憲法對(duì)公民基本權(quán)利保護(hù)的基礎(chǔ)上，侵犯公民個(gè)人信息罪的法益應(yīng)是人格自由與人格尊嚴(yán)，隱私利益只是人格尊嚴(yán)保護(hù)的內(nèi)容之一，該罪的法益是個(gè)人信息權(quán)中的個(gè)人信息自決權(quán)［22］（P31）。有論者認(rèn)為本罪法益是個(gè)人信息保密權(quán)，犯罪對(duì)象僅限于公民有保護(hù)要求且采取了保密措施的個(gè)人信息［28］（P174）。有論者認(rèn)為，本罪的法益是個(gè)人信息安全以及公民人身、財(cái)產(chǎn)、隱私以及正常的工作生活［29］（P4）。還有論者站在本罪是抽象危險(xiǎn)犯之立場(chǎng)，認(rèn)為既然設(shè)置本罪的目的在于實(shí)現(xiàn)法益的前置性保護(hù)，那么本罪沒(méi)有創(chuàng)設(shè)新的法益，本罪的法益仍是刑法中重點(diǎn)保護(hù)的人身、財(cái)產(chǎn)法益［30］（P140）。這些論者的觀點(diǎn)都認(rèn)為侵犯公民個(gè)人信息罪只侵害個(gè)人法益。

持不同意見(jiàn)的論者在對(duì)侵犯公民個(gè)人信息罪的各種個(gè)人法益說(shuō)展開(kāi)批判之后認(rèn)為，本罪之法益是個(gè)人信息安全的社會(huì)信賴，即社會(huì)成員對(duì)個(gè)人信息安全的信賴，立法者只是希望通過(guò)本罪來(lái)維持保障社會(huì)成員對(duì)個(gè)人信息安全的信賴，使社會(huì)成員安心參與社會(huì)活動(dòng)，不因懼怕個(gè)人信息泄露而限縮自身自由活動(dòng)范圍［31］（P148）。有論者認(rèn)為，侵犯公民個(gè)人信息罪評(píng)價(jià)的根源不在于某個(gè)信息被單獨(dú)違規(guī)使用，而在于行為的規(guī)模性（大規(guī)模不合理使用）和可預(yù)見(jiàn)的風(fēng)險(xiǎn)（導(dǎo)致嚴(yán)重后果），因而本罪的法益是社會(huì)信息管理秩序［32］（P71）。還有論者綜合了個(gè)人法益與超個(gè)人法益說(shuō)，認(rèn)為本罪是復(fù)雜客體犯罪，主要客體是名譽(yù)、隱私的人格權(quán)益，次要客體是國(guó)家和社會(huì)公共利益、秩序和安全［33］（P116）。

本文認(rèn)為，首先，從侵犯公民個(gè)人信息罪的體系地位來(lái)看，本罪的法益不能只是超個(gè)人法益。有學(xué)者以司法解釋將侵犯?jìng)€(gè)人信息數(shù)量多少作為情節(jié)是否嚴(yán)重，即是否構(gòu)成本罪的決定性因素為由，認(rèn)為本罪的法益是多數(shù)公民個(gè)人信息自決權(quán)的疊加，而信息自決權(quán)經(jīng)疊加后難以被認(rèn)為是個(gè)人法益。但實(shí)際上，罪量的要求固然算是我國(guó)刑事立法的特色之一，而體現(xiàn)這一特色的，并非本罪的法益，而是本罪的行為方式，即非法獲取、出售、提供，對(duì)個(gè)人法益造成的侵害達(dá)不到直接用刑法制裁的程度，因此需要在罪量上做出要求以使相關(guān)行為之社會(huì)危害性達(dá)到入刑的標(biāo)準(zhǔn)。其次，與其說(shuō)本罪的次要客體是國(guó)家社會(huì)公共利益，不如說(shuō)本罪的間接客體是國(guó)家社會(huì)公共利益。最后，不應(yīng)將人格自由與人格尊嚴(yán)認(rèn)定為本罪之法益，因?yàn)樾谭ㄉ系姆ㄒ娓拍顟?yīng)避免抽象化，人格自由與人格尊嚴(yán)作為一般人格權(quán)具有兜底保護(hù)功能，顯然過(guò)于抽象。而將個(gè)人信息自決權(quán)或更準(zhǔn)確而言的個(gè)人信息轉(zhuǎn)移自決權(quán)作為本罪法益的論者，在分析本罪法益時(shí)，顯然只關(guān)注了本罪實(shí)行行為本身，并沒(méi)有考慮到設(shè)定該罪的立法初衷，且這種觀點(diǎn)不當(dāng)縮小本罪的評(píng)價(jià)范圍。例如，某些未經(jīng)同意的過(guò)度收集私密個(gè)人信息的行為，侵犯了個(gè)人信息自決權(quán)，同時(shí)也給個(gè)人信息所承載的隱私利益帶來(lái)風(fēng)險(xiǎn)。如果認(rèn)為本罪之法益只有個(gè)人信息自決權(quán)，顯然無(wú)法評(píng)價(jià)本罪實(shí)行行為對(duì)隱私利益構(gòu)成的風(fēng)險(xiǎn)，即這種觀點(diǎn)縮小了本罪的評(píng)價(jià)范圍或評(píng)價(jià)功能。

毋庸諱言，與轉(zhuǎn)移自決權(quán)相比，使用自決權(quán)更值得受刑法保護(hù)，但是刑法遲遲沒(méi)有增設(shè)使用型個(gè)人信息犯罪，除了既有犯罪可以規(guī)制非法使用（如將個(gè)人信息用于電信詐騙、敲詐勒索等）個(gè)人信息行為的原因之外，還可能是因?yàn)樵谏鎮(zhèn)€人信息犯罪的地下產(chǎn)業(yè)中，非法獲取或提供是非法使用的上游行為，對(duì)上游犯罪加以打擊與預(yù)防、對(duì)犯罪產(chǎn)業(yè)鏈的源頭進(jìn)行治理，可以更有效且及時(shí)地遏制下游犯罪之發(fā)生，等到非法濫用行為發(fā)生再進(jìn)行打擊顯然為時(shí)過(guò)晚，于是只設(shè)立了對(duì)非法使用加以前置化打擊的侵犯公民個(gè)人信息罪。所以，考慮到立法原意，應(yīng)將侵犯公民個(gè)人信息罪放在整個(gè)涉?zhèn)€人信息犯罪鏈條上考慮。本罪的法益應(yīng)包括個(gè)人信息之上所承載的隱私利益、人身利益和財(cái)產(chǎn)利益。并且，基于法秩序統(tǒng)一原理，本罪的法益應(yīng)包括個(gè)人信息權(quán)。然而，必須指出，并非所有違反國(guó)家有關(guān)規(guī)定獲取、提供公民個(gè)人信息的行為都處于涉?zhèn)€人信息犯罪地下產(chǎn)業(yè)鏈之上，比如APP經(jīng)營(yíng)主體未告知用戶而收集個(gè)人信息，然后將其用于為合法商業(yè)目的，這種非法獲取行為及其后續(xù)處理行為，即使屬于前文所述的合理處理行為，也因侵害了知情權(quán)，理應(yīng)被侵犯公民個(gè)人信息罪所規(guī)制。

綜上，侵害公民個(gè)人信息罪的法益應(yīng)被理解為個(gè)人信息權(quán)或個(gè)人信息上承載的人身利益、財(cái)產(chǎn)利益、隱私利益。并且，二者之間的關(guān)系是非典型性選擇關(guān)系：只侵害到前者可以構(gòu)成本罪，但是因?yàn)檫`反國(guó)家有關(guān)規(guī)定的行為必然是侵害個(gè)人信息權(quán)的行為，所以不侵害前者而只威脅后者的處理行為，顯然不構(gòu)成本罪。只有在侵害到前者且對(duì)后者造成威脅時(shí)，才該當(dāng)本罪的構(gòu)成要件。

（二）侵犯公民個(gè)人信息罪復(fù)數(shù)法益語(yǔ)境下知情同意原則的適用

我國(guó)《刑法》中的侵犯公民個(gè)人信息罪，主要包括三種行為方式：違反國(guó)家有關(guān)規(guī)定提供、出售、獲取。盡管《刑法》第253條之一第3款中，沒(méi)有規(guī)定違反國(guó)家有關(guān)規(guī)定，但是本文認(rèn)為，應(yīng)當(dāng)將“非法”解釋為違反國(guó)家有關(guān)規(guī)定?！缎谭ā返?35條之一第1款與第3款法定刑是相同的，這代表兩種實(shí)行行為的社會(huì)危害性程度相同?？梢哉J(rèn)為，獲取與提供（出售是提供的一種情形）行為本身給法益帶來(lái)的威脅在程度上沒(méi)有差異，所以非法的解釋?xiě)?yīng)當(dāng)與違反國(guó)家有關(guān)規(guī)定保持一致。而有論者認(rèn)為，APP經(jīng)營(yíng)主體收集用戶個(gè)人信息違反雙方約定的，可認(rèn)定為非法獲取，所以只要違反了有關(guān)個(gè)人信息知情同意保護(hù)的原則性規(guī)定，即視為具有刑法所要求的“非法性”［33］（P122）。本文認(rèn)為，因?yàn)椤吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，不得違反法律、行政法規(guī)和雙方的約定收集、使用個(gè)人信息，所以違反約定收集的行為屬于違法。因此，該論者對(duì)“非法”的解釋與本文對(duì)“非法”的解釋其實(shí)不存在差別。

APP經(jīng)營(yíng)主體在收集用戶個(gè)人信息之后，肯定會(huì)采取進(jìn)一步處理，即使收集之后并不使用，但起碼收集之后會(huì)加以存儲(chǔ)，客觀上不可能只實(shí)施單純的收集用戶個(gè)人信息的行為。某些收集行為本身就給用戶的法益帶來(lái)風(fēng)險(xiǎn)，如收集用戶通訊錄的行為對(duì)隱私利益有風(fēng)險(xiǎn)，收集之后的進(jìn)一步處理行為也可能對(duì)其法益造成風(fēng)險(xiǎn)，所以收集行為的風(fēng)險(xiǎn)除了包括收集行為本身的風(fēng)險(xiǎn)之外，還應(yīng)當(dāng)包括收集之后的后續(xù)處理行為帶來(lái)的風(fēng)險(xiǎn)。如前所述，完善后的知情同意原則要求，APP經(jīng)營(yíng)主體應(yīng)當(dāng)在隱私政策中告知可能給用戶隱私利益、財(cái)產(chǎn)利益、人身利益帶來(lái)風(fēng)險(xiǎn)的處理行為之風(fēng)險(xiǎn)，所以在征求用戶對(duì)收集行為之同意的場(chǎng)合，APP經(jīng)營(yíng)主體必須在隱私政策中將可能給用戶個(gè)人信息上承載的法益帶來(lái)風(fēng)險(xiǎn)的收集行為及其后續(xù)處理行為之法益風(fēng)險(xiǎn)全部告知用戶。比如，APP隱私政策或許可以按如下方式告知用戶法益風(fēng)險(xiǎn)：“我們請(qǐng)求收集您的**信息，收集該信息時(shí)，您的人身利益或隱私利益或財(cái)產(chǎn)利益可能遭受**程度的風(fēng)險(xiǎn)，收集后我們打算對(duì)其加以**處理，此時(shí)您的上述法益可能遭受**程度的風(fēng)險(xiǎn)。”如果用戶點(diǎn)擊同意，則滿足了經(jīng)完善的知情同意原則之要求，也滿足了刑法上的被害人同意對(duì)洞察能力之要求。

在《刑法》第253條之一的話語(yǔ)背景下，非法獲取的表現(xiàn)之一便是過(guò)度收集。一方面，如果過(guò)度收集個(gè)人信息的行為及其后續(xù)處理行為對(duì)于個(gè)人信息上承載的多重法益沒(méi)有風(fēng)險(xiǎn)，那么該過(guò)度收集行為就只侵害了用戶的個(gè)人信息權(quán)，即根據(jù)前置法享有的個(gè)人信息不被過(guò)度收集的權(quán)利。為了個(gè)人信息保護(hù)與利用的平衡，用戶此時(shí)應(yīng)當(dāng)同意，即應(yīng)當(dāng)放棄前置法賦予他的個(gè)人信息不被過(guò)度收集的權(quán)利，即該當(dāng)構(gòu)成要件的過(guò)度收集行為不具備實(shí)質(zhì)違法性。另一方面，對(duì)于會(huì)給用戶個(gè)人信息之上的多重利益造成風(fēng)險(xiǎn)的過(guò)度收集行為（本身會(huì)造成風(fēng)險(xiǎn)、其后續(xù)處理行為會(huì)造成風(fēng)險(xiǎn)，或二者兼有），APP經(jīng)營(yíng)主體在隱私政策中需要告知過(guò)度行為本身和后續(xù)處理行為及其對(duì)個(gè)人信息背后法益的風(fēng)險(xiǎn)。有人可能會(huì)質(zhì)疑，既然被害人同意的洞察能力要求的是被害人對(duì)行為人的法益侵害或危殆化行為之法益風(fēng)險(xiǎn)有認(rèn)識(shí)，在過(guò)度收集的場(chǎng)合，只需要對(duì)過(guò)度收集行為及該行為帶來(lái)的風(fēng)險(xiǎn)有認(rèn)識(shí)即可，不必要求用戶對(duì)后續(xù)處理行為之風(fēng)險(xiǎn)有認(rèn)識(shí)。要求對(duì)后續(xù)處理行為之風(fēng)險(xiǎn)有認(rèn)識(shí)，是在挑戰(zhàn)刑法之因果關(guān)系理論。這種疑問(wèn)顯然是忽略了本文研究背后的語(yǔ)境。本文研究的是APP經(jīng)營(yíng)主體與用戶之間的知情同意，必須意識(shí)到，沒(méi)有一個(gè)合法APP經(jīng)營(yíng)主體會(huì)只實(shí)施用戶個(gè)人信息收集行為。所以如果要求，APP經(jīng)營(yíng)主體在對(duì)過(guò)度收集行為征求同意時(shí)，在隱私政策中只告知過(guò)度收集行為之風(fēng)險(xiǎn)，顯然不利于用戶自決權(quán)之行使。顯而易見(jiàn)，收集之后必然進(jìn)行進(jìn)一步處理行為，所以，進(jìn)一步處理的風(fēng)險(xiǎn)屬于收集行為的風(fēng)險(xiǎn)，因此在收集時(shí)，應(yīng)一并告知。

有論者質(zhì)疑了對(duì)違反國(guó)家有關(guān)規(guī)定行為的同意之有效性，認(rèn)為如果收集、使用個(gè)人信息的行為違反了前置性法律法規(guī)或部門(mén)規(guī)章，那么，即便個(gè)人信息主體做出同意的意思表示，也不能被認(rèn)定是有效的，不能排除其刑事違法性［33］（P124）。也就是說(shuō)，對(duì)于APP經(jīng)營(yíng)主體過(guò)度收集或提供的行為，用戶不能同意。但本文認(rèn)為，侵犯公民個(gè)人信息罪中的國(guó)家有關(guān)規(guī)定，屬于管理性強(qiáng)制性規(guī)定，違反該類(lèi)規(guī)定的隱私政策條款確實(shí)不合現(xiàn)行法律法規(guī)，但是作為合同（隱私政策）相對(duì)方的用戶對(duì)于這類(lèi)條款可以同意。因?yàn)檫`反《刑法》第253條之一中所謂國(guó)家有關(guān)規(guī)定之行為本身，侵害的只是信息主體的隱私權(quán)或一般個(gè)人信息權(quán)，而不會(huì)侵害社會(huì)公共利益和國(guó)家利益。個(gè)人按照自己的意愿處置自己的法益，是個(gè)體人格的展開(kāi)，是實(shí)現(xiàn)個(gè)體價(jià)值的一種途徑，刑法應(yīng)該以一種寬容的態(tài)度放松不必要的保護(hù)［34］（P105）。按照違反現(xiàn)行法律法規(guī)的隱私政策實(shí)施的過(guò)度收集行為，具有現(xiàn)行前置法的違法性。具有前置法違法性的收集行為該當(dāng)《刑法》第253條之一的構(gòu)成要件，但是符合改造之后知情同意原則的用戶同意是違法阻卻事由，因此這種不合規(guī)的過(guò)度收集行為不構(gòu)成犯罪。

非法獲取的表現(xiàn)之二是，所謂“合法獲取，非法濫用”。其中合法獲取是指，APP經(jīng)營(yíng)主體獲得用戶對(duì)收集行為的同意后，收集了用戶的個(gè)人信息，而非法濫用是指將該個(gè)人信息用于非法目的。就“非法濫用”而言，首先，將“合法獲取”的個(gè)人信息用于告知以外的目的，此行為未必是非法濫用，因?yàn)榍拔囊咽?，存在合理的個(gè)人信息創(chuàng)新性利用行為。其次，給用戶本人的隱私利益、財(cái)產(chǎn)利益、人身利益帶來(lái)威脅的基于非法目的而使用的行為（如利用用戶個(gè)人信息對(duì)其進(jìn)行敲詐勒索、電信詐騙等），是非法濫用。最后，將個(gè)人信息用于不利于公共利益的非法目的，屬于非法濫用。根據(jù)改善之后的知情同意原則，如果用戶同意APP經(jīng)營(yíng)主體收集其個(gè)人信息，則意味著用戶同意APP經(jīng)營(yíng)主體以特定使用目的，以特定使用方式，在將來(lái)的使用會(huì)給用戶法益造成特定程度風(fēng)險(xiǎn)的情況下收集其個(gè)人信息?；蛘哒f(shuō)，用戶同意APP經(jīng)營(yíng)主體收集其個(gè)人信息是有前提條件的，即將來(lái)APP經(jīng)營(yíng)主體應(yīng)將其個(gè)人信息以告知方式用于告知目的且使用行為只能給用戶帶來(lái)已告知的特定程度之風(fēng)險(xiǎn)（如果不用于告知目的，則創(chuàng)新性目的必須合理合法）。所以，上述“非法濫用”的第二、三種情形，形式上是“合法獲取”，但實(shí)際并不滿足用戶同意收集的前提條件，因此構(gòu)成非法獲取公民個(gè)人信息，但因?yàn)榇藭r(shí)用戶沒(méi)有同意收集，故不存在被害人同意是否是出罪事由之問(wèn)題。

本文通過(guò)列舉三種情況，說(shuō)明用戶同意與違反國(guó)家有關(guān)規(guī)定提供個(gè)人信息的關(guān)系。

假設(shè)一：甲APP在隱私政策中告知用戶其過(guò)度提供個(gè)人信息的行為及其風(fēng)險(xiǎn)，用戶表示同意。過(guò)度提供行為違反了法律規(guī)定的個(gè)人信息保護(hù)之必要性原則，所以屬于違反國(guó)家有關(guān)規(guī)定提供，但是如前所述，必要性原則之要求屬于管理性強(qiáng)制性規(guī)定，違反該規(guī)定的合同條款有效，即用戶對(duì)此的同意有效。所以甲APP的該當(dāng)構(gòu)成要件的過(guò)度提供行為因用戶同意而阻卻違法，不構(gòu)成犯罪。

假設(shè)二：甲APP在隱私政策中告知用戶對(duì)本APP提供的第三方應(yīng)用乙APP（合法APP）的過(guò)度提供行為、甲APP所了解的乙APP保護(hù)個(gè)人信息的能力、乙APP向甲APP承諾的為了合法運(yùn)營(yíng)APP之目的處理個(gè)人信息的方式、乙APP的該處理方式可能給用戶法益帶來(lái)的風(fēng)險(xiǎn)，用戶點(diǎn)擊“我同意”隱私政策，結(jié)果乙APP對(duì)個(gè)人信息的該處理行為侵害了用戶個(gè)人信息背后的人身、財(cái)產(chǎn)、隱私利益。在這種情況之下，因?yàn)橛脩袅私馇彝饧譇PP的過(guò)度提供行為及其后續(xù)風(fēng)險(xiǎn)，因此符合被害人同意成立條件，所以，甲APP的該當(dāng)構(gòu)成要件的過(guò)度提供行為不具備違法性。乙APP與甲APP實(shí)施的都是合法經(jīng)營(yíng)行為，只是因?yàn)榧夹g(shù)水平原因而對(duì)用戶法益造成侵害，所以乙APP不構(gòu)成侵犯公民個(gè)人信息罪，甲APP也不構(gòu)成幫助信息網(wǎng)絡(luò)犯罪活動(dòng)罪。

假設(shè)三：其他條件不變，但乙APP本身是非法APP，以出售為目的獲取用戶個(gè)人信息，但是甲對(duì)此不知情，乙在獲得甲APP提供的用戶個(gè)人信息后將其出售給違法犯罪分子（如電信詐騙集團(tuán)）或乙自己使用這些用戶個(gè)人信息從事犯罪活動(dòng)，結(jié)果用戶法益（人格利益或財(cái)產(chǎn)利益）遭受侵害。此時(shí)乙APP無(wú)疑構(gòu)成侵犯公民個(gè)人信息罪（違反國(guó)家有關(guān)規(guī)定出售），但是甲APP是否是違反國(guó)家有關(guān)規(guī)定提供公民個(gè)人信息，這取決于甲APP是否對(duì)乙APP的資質(zhì)進(jìn)行了審查。如果甲盡到了審查義務(wù)后，仍沒(méi)有發(fā)現(xiàn)乙APP的非法性，那么甲提供個(gè)人信息給關(guān)聯(lián)方的行為只是技術(shù)中立行為，甲不構(gòu)成違法國(guó)家有關(guān)規(guī)定提供。此時(shí)甲不該當(dāng)侵犯公民個(gè)人信息罪之構(gòu)成要件，因此不必研究用戶同意是否是被害人同意之問(wèn)題。如果甲APP沒(méi)有盡到對(duì)其關(guān)聯(lián)方乙APP業(yè)務(wù)合法性的審查義務(wù)，那么甲APP應(yīng)被認(rèn)為明知乙APP業(yè)務(wù)的非法性，構(gòu)成非法提供。此時(shí)因?yàn)樵陔[私政策中甲APP未能如實(shí)告知用戶關(guān)于乙APP之情況，所以用戶對(duì)提供行為及其風(fēng)險(xiǎn)的同意無(wú)效。因此，甲APP構(gòu)成乙APP侵犯公民個(gè)人信息罪的幫助犯。

五、知情同意原則作為個(gè)人信息處理者合規(guī)策略之限制

自2017年被稱(chēng)為“企業(yè)合規(guī)無(wú)罪抗辯第一案”的“某巢（中國(guó)）有限公司西北區(qū)嬰兒營(yíng)養(yǎng)部非法獲取公民個(gè)人信息案”（甘肅省蘭州市中級(jí)人民法院［2017］甘01刑終第89號(hào)刑事裁定書(shū)）終審宣判以來(lái)，刑事合規(guī)問(wèn)題便成為國(guó)內(nèi)刑法學(xué)研究的熱點(diǎn)問(wèn)題之一。具體到個(gè)人信息處理者刑事合規(guī)的基本路徑，一般認(rèn)為應(yīng)通過(guò)合規(guī)計(jì)劃的制定和實(shí)施，將法律法規(guī)賦予的法定義務(wù)轉(zhuǎn)化為公司內(nèi)部制度，實(shí)現(xiàn)網(wǎng)絡(luò)平臺(tái)內(nèi)控機(jī)制與法律法規(guī)尤其是刑法的統(tǒng)一［35］（P98）。但與此同時(shí)，對(duì)于所有違反國(guó)家有關(guān)規(guī)定的收集與提供公民個(gè)人信息的行為，用戶同意是否都可以被作為出罪事由？知情同意原則顯然不是個(gè)人信息處理者濫用個(gè)人信息的避風(fēng)港，也并非所有處理行為都要征得信息主體的同意，即知情同意原則的功能需要受到限制。

（一）知情同意原則的消極限制

有論者認(rèn)為，不能簡(jiǎn)單地以知情同意原則作為任何情況下不當(dāng)收集個(gè)人信息的合格抗辯，知情同意原則不是萬(wàn)能法則，需要受到四方面的限制。首先，其作為一種實(shí)現(xiàn)經(jīng)濟(jì)利益的手段，不能與憲法保護(hù)的人格利益的通信自由、通信秘密相抗衡。其認(rèn)為，通訊錄、通話記錄與短信內(nèi)容屬于通信秘密和通信自由之客體。其次，從《民法典》的體系安排上可以看出，人格尊嚴(yán)是法律保護(hù)的更高價(jià)值，優(yōu)先于財(cái)產(chǎn)利益和私法自治的價(jià)值，而私密信息所蘊(yùn)含的人格權(quán)益高于財(cái)產(chǎn)權(quán)益，所以作為實(shí)現(xiàn)經(jīng)濟(jì)利益的手段，知情同意原則不能用來(lái)限制作為具體人格權(quán)的隱私權(quán)。涉嫌侵害個(gè)人私密信息的行為，只有在既滿足個(gè)人信息權(quán)益抗辯，又滿足隱私權(quán)侵權(quán)抗辯的情況下，才能夠免責(zé)。再次，知情同意原則應(yīng)受其他個(gè)人信息保護(hù)原則的制約，即正當(dāng)目的原則和必要原則。最后，知情同意原則要受到誠(chéng)實(shí)信用原則和公序良俗原則的限制［16］（P12-14）。本文支持同意原則不是萬(wàn)能的觀點(diǎn)，但認(rèn)為侵犯國(guó)家社會(huì)利益和違反公序良俗原則構(gòu)成對(duì)同意原則的限制，不認(rèn)為必要原則以及目的限制原則可以限制同意原則的出罪功能。

首先，對(duì)于必要和目的原則，必須認(rèn)識(shí)到違反必要原則或目的限制原則的經(jīng)同意的處理行為，只是因違反了管理性強(qiáng)制性規(guī)定而具有行政違法性或民事違法性，并不具備刑事違法性。也就是說(shuō)，在《民法典》或《個(gè)人信息保護(hù)法》中，同意確實(shí)無(wú)法成為違反必要原則和目的限制原則的行為的違法性阻卻事由，但是同意是違反行政法或民法中此類(lèi)行為的出罪事由。因?yàn)閷?duì)于違反管理性強(qiáng)制性規(guī)定的條款，同意是有效的，而用戶一旦同意，即代表其放棄了個(gè)人信息不受過(guò)度處理的個(gè)人信息權(quán)，自然不具備刑法上的實(shí)質(zhì)違法性。必要原則和目的限制原則本身是否具有存在的必要，值得懷疑。必要性原則是指，只能收集實(shí)現(xiàn)隱私政策中所表明的目的所必要的最小數(shù)據(jù)量。目的限制原是指未經(jīng)新的同意，不得將數(shù)據(jù)用于其他不相關(guān)的目的。在大數(shù)據(jù)時(shí)代不宜繼續(xù)將這兩個(gè)原則作為數(shù)據(jù)處理準(zhǔn)則，而應(yīng)以是否對(duì)個(gè)人信息背后的人身、財(cái)產(chǎn)、隱私利益造成不合理風(fēng)險(xiǎn)為依據(jù)，來(lái)決定是否用前置法規(guī)制APP經(jīng)營(yíng)主體處理用戶個(gè)人信息之行為。如上所述，過(guò)度處理行為以及創(chuàng)新性處理行為可能是合理處理行為，但是按現(xiàn)行法律規(guī)定，這種有利于企業(yè)或社會(huì)且不會(huì)危及個(gè)人信息法益的處理行為，卻具備行政違法性或民事違法性。近來(lái)我國(guó)國(guó)家工業(yè)和信息化部、多個(gè)地方性通信管理局頻繁責(zé)令過(guò)度收集個(gè)人信息的APP整改，并對(duì)規(guī)定期限內(nèi)未完成整改的APP予以下架處理，可是這種看似重拳出擊的執(zhí)法活動(dòng)真的有必要嗎？尤其是，如果過(guò)度收集的個(gè)人信息只是被用于為本企業(yè)合法經(jīng)營(yíng)決策提供依據(jù)，是否有必要打擊？本文認(rèn)為，以必要原則為主要執(zhí)法依據(jù)而開(kāi)展的對(duì)APP收集個(gè)人信息加以整治的活動(dòng)有些矯枉過(guò)正，是在對(duì)個(gè)人信息權(quán)進(jìn)行過(guò)度保護(hù)，而嚴(yán)重限制了APP經(jīng)營(yíng)主體開(kāi)發(fā)或改善合法業(yè)務(wù)，不利于營(yíng)造保護(hù)中小微型企業(yè)發(fā)展的營(yíng)商環(huán)境。綜上，必要原則以及目的限制原則不會(huì)也不應(yīng)成為用戶同意原則發(fā)揮出罪功能的障礙。

其次，對(duì)于違反公序良俗原則或侵犯國(guó)家社會(huì)利益的處理行為，因?yàn)閲?guó)家社會(huì)利益或秩序不是用戶個(gè)人能處分的法益，所以用戶的同意是無(wú)效的，所以這兩個(gè)事由理應(yīng)構(gòu)成對(duì)同意原則出罪功能的限制。

再次，對(duì)于隱私權(quán)以及作為憲法權(quán)利的通信自由與通信秘密，本文認(rèn)為仍屬于用戶可以自由處分的權(quán)利①通訊錄除外。不存在沒(méi)有通訊錄就不能提供的互聯(lián)網(wǎng)移動(dòng)應(yīng)用服務(wù)，且自然人的通訊錄不僅是該自然人的個(gè)人信息，也是其通訊錄中好友的個(gè)人信息。如果APP經(jīng)營(yíng)者處理某用戶的通訊錄的行為給其通訊錄中好友的隱私利益帶來(lái)了不合理的風(fēng)險(xiǎn)，那么顯然該用戶的同意是沒(méi)有意義的。，所以如果處理用戶個(gè)人信息的行為給用戶本人的隱私權(quán)或通信自由、通信秘密造成不合理風(fēng)險(xiǎn)，只要用戶對(duì)APP經(jīng)營(yíng)主體在隱私政策中告知的此風(fēng)險(xiǎn)表示同意，則同意仍可以成為出罪事由。

（二）知情同意原則的積極限制

所謂同意原則的積極限制是指，有些個(gè)人信息處理行為不需要經(jīng)過(guò)用戶同意。處理個(gè)人信息的行為的合法性要素不僅包括知情同意，歐盟《一般數(shù)據(jù)保護(hù)法案》（GDPR）規(guī)定了其他五種，即處理數(shù)據(jù)是為簽訂或履行合同之必要；處理數(shù)據(jù)是為遵守法律義務(wù)之必要；處理數(shù)據(jù)是為了保護(hù)數(shù)據(jù)主體或其他自然人的切身利益；處理數(shù)據(jù)是為了公共利益或行使公務(wù)職權(quán)；處理數(shù)據(jù)是為了追求數(shù)據(jù)控制者的合理利益，但不得損害數(shù)據(jù)主體的利益。這些合法性要素只需滿足其一，處理行為即為合法，侵犯公民個(gè)人信息罪不成立。因而同意原則并非本罪唯一出罪事由，上述其他合法性要素都是本罪的出罪事由。我國(guó)《民法典》也規(guī)定了處理個(gè)人信息不承擔(dān)民事責(zé)任的情形，即合理處理已經(jīng)公開(kāi)的個(gè)人信息，且信息主體未明確拒絕、該處理也未侵害其重大利益；維護(hù)公共利益或該自然人合法權(quán)益的合理處理行為。我國(guó)《個(gè)人信息保護(hù)法》也規(guī)定了除同意之外，個(gè)人信息處理行為的合法事由：為訂立或者履行個(gè)人作為一方當(dāng)事人的合同所必需；為履行法定職責(zé)或者法定義務(wù)所必需；為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需；依照本法規(guī)定在合理的范圍內(nèi)處理已公開(kāi)的個(gè)人信息；為公共利益實(shí)施新聞報(bào)道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個(gè)人信息；法律、行政法規(guī)規(guī)定的其他情形。

由此可見(jiàn)，未經(jīng)用戶同意，個(gè)人信息處理未必違反前置性法律，此時(shí)處理行為不滿足侵犯公民個(gè)人信息罪的構(gòu)成要件，進(jìn)而無(wú)討論用戶同意是否是出罪事由之必要。其實(shí)，上述除同意之外的合法化事由，與本文前述合理的個(gè)人信息處理行為不謀而合?！盀橛喠⒒蛘呗男袀€(gè)人作為一方當(dāng)事人的合同所必需”的處理行為，一般不會(huì)給用戶隱私利益、財(cái)產(chǎn)利益、人身利益帶來(lái)風(fēng)險(xiǎn)，即使帶來(lái)風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)也是合理的，是大數(shù)據(jù)時(shí)代必然會(huì)出現(xiàn)的，是用戶應(yīng)當(dāng)容忍的。歐盟《一般數(shù)據(jù)保護(hù)法案》（GDPR）明確要求，處理數(shù)據(jù)是為了追求數(shù)據(jù)控制者的合理利益，但不得損害數(shù)據(jù)主體的利益。這幾乎與本文對(duì)合理處理行為的界定完全一致，而這也是在大數(shù)據(jù)時(shí)代，為了促進(jìn)個(gè)人數(shù)據(jù)的開(kāi)發(fā)與利用，用戶有義務(wù)同意的，因而不需征求其同意。

個(gè)人信息利用與保護(hù)之間的平衡是大數(shù)據(jù)時(shí)代永恒的課題。本文擇取個(gè)人信息保護(hù)與利用這一維度，以APP經(jīng)營(yíng)主體為例，對(duì)個(gè)人信息處理者的刑事合規(guī)與個(gè)人信息保護(hù)，提出了兩條解決路徑，即合理的個(gè)人信息處理行為只需告知而不需獲得用戶同意，借此保障個(gè)人信息處理者對(duì)個(gè)人信息的利益期待；對(duì)個(gè)人信息附著的隱私、人身、財(cái)產(chǎn)利益有風(fēng)險(xiǎn)的處理行為必須征得用戶同意，借此保障用戶的個(gè)人信息自決權(quán)以及對(duì)個(gè)人信息背后法益的自決權(quán)。