喻海松

(最高人民法院 研究室，北京 100745)

一、引言

法律是時(shí)代的產(chǎn)物。作為一部制定于21世紀(jì)的《民法典》，與法國(guó)《民法典》反映農(nóng)業(yè)社會(huì)的要求、德國(guó)《民法典》反映工業(yè)社會(huì)的要求有所不同，中國(guó)《民法典》回應(yīng)了當(dāng)前信息網(wǎng)絡(luò)經(jīng)濟(jì)和大數(shù)據(jù)時(shí)代的要求。最為突出的表現(xiàn)之一，就是基于互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代保護(hù)個(gè)人信息的現(xiàn)實(shí)需要，《民法典》系統(tǒng)確立了個(gè)人信息保護(hù)制度：一方面，在第一編“總則”第五章“民事權(quán)利”規(guī)定“自然人的個(gè)人信息受法律保護(hù)”(第111條)；另一方面，在第四編“人格權(quán)”第六章“隱私權(quán)與個(gè)人信息保護(hù)”用六個(gè)條文(第1034條至1039條)對(duì)個(gè)人信息保護(hù)作了詳細(xì)規(guī)定。這就在法律層面真正系統(tǒng)地確立了個(gè)人信息保護(hù)制度并明確自然人對(duì)其個(gè)人信息享有人格權(quán)益，不僅對(duì)加強(qiáng)公民個(gè)人信息保護(hù)和促進(jìn)信息產(chǎn)業(yè)發(fā)展具有重要意義，而且為正在制定之中的《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》奠定了堅(jiān)實(shí)基礎(chǔ)。

刑法是“最后的手段”，是典型的“二次法”和“保障法”，其適用通常要以前置法作為前提和基礎(chǔ)。《民法典》是《刑法》的主要前置法之一，對(duì)其適用必然會(huì)產(chǎn)生重大影響。2009年2月《刑法修正案(七)》增設(shè)了《刑法》第253條之一，規(guī)定了出售、非法提供公民個(gè)人信息罪和非法獲取公民個(gè)人信息罪；2015年8月《刑法修正案(九)》對(duì)《刑法》第253條之一作了修正，將罪名整合為侵犯公民個(gè)人信息罪。作為典型的法定犯，侵犯公民個(gè)人信息罪的適用無(wú)疑會(huì)受到《民法典》關(guān)于公民個(gè)人信息保護(hù)相關(guān)規(guī)定的影響。特別是，侵犯公民個(gè)人信息罪的法條設(shè)置屬于典型的空白罪狀立法模式，無(wú)論是“違反國(guó)家有關(guān)規(guī)定”的認(rèn)定，“公民個(gè)人信息”內(nèi)涵和外延的把握，抑或侵犯公民個(gè)人信息罪行為方式的界定，均應(yīng)當(dāng)以包括《民法典》在內(nèi)的前置法律法規(guī)為基礎(chǔ)，以確保公民個(gè)人信息保護(hù)實(shí)現(xiàn)法秩序的統(tǒng)一①。

基于此，文章擬以《民法典》關(guān)于公民個(gè)人信息保護(hù)的規(guī)定為基礎(chǔ)，就其對(duì)侵犯公民個(gè)人信息罪的司法適用產(chǎn)生的影響加以論述。文章認(rèn)為，相關(guān)影響可以概括為如下三個(gè)方面：第一，關(guān)于個(gè)人信息民法保護(hù)的立法思路，將對(duì)侵犯公民個(gè)人信息罪的司法適用、特別是政策把握產(chǎn)生重大影響；第二，關(guān)于個(gè)人信息處理規(guī)則的設(shè)定，將直接影響侵犯公民個(gè)人信息罪前提要件“違反國(guó)家有關(guān)規(guī)定”的認(rèn)定和其他構(gòu)成要件的把握；第三，關(guān)于個(gè)人信息的范圍界定，特別是私密信息和非私密信息以及公開(kāi)信息與非公開(kāi)信息的劃分，將直接影響侵犯公民個(gè)人信息罪的犯罪對(duì)象界定和其他構(gòu)成要件的把握。

二、《民法典》關(guān)于個(gè)人信息的立法思路對(duì)刑法適用的影響

作為主要的前置法，《民法典》關(guān)于個(gè)人信息立法思路必然會(huì)對(duì)侵犯公民個(gè)人信息罪的司法適用產(chǎn)生影響。雖然此種影響可能不如后文將要提及的《民法典》相關(guān)具體規(guī)定的影響那么直接，但卻是刑事司法者應(yīng)當(dāng)著力把握的。惟有如此，才能使得侵犯公民個(gè)人信息罪的司法適用與《民法典》關(guān)于個(gè)人信息保護(hù)的規(guī)定在旨趣上實(shí)現(xiàn)一致。

(一)兼顧個(gè)人信息保護(hù)與促進(jìn)信息自由流通

關(guān)于個(gè)人信息的立法，現(xiàn)代各國(guó)面臨的首要問(wèn)題均是如何平衡個(gè)人信息保護(hù)與促進(jìn)信息自由流通之間的關(guān)系，中國(guó)亦不例外。一方面，當(dāng)前個(gè)人信息濫用現(xiàn)象突出，保護(hù)自然人的個(gè)人信息不受侵犯是立法的重要任務(wù)；另一方面，在大數(shù)據(jù)和云計(jì)算時(shí)代，包括個(gè)人信息在內(nèi)的數(shù)據(jù)，只有充分地流動(dòng)、共享、交易，才能實(shí)現(xiàn)集聚與規(guī)模效應(yīng)，最大程度地發(fā)揮價(jià)值。因此，在以互聯(lián)網(wǎng)為代表的信息技術(shù)迅猛發(fā)展，巨量的個(gè)人信息數(shù)據(jù)日漸成為具有重大價(jià)值的生產(chǎn)要素的背景下，如何妥當(dāng)處理好個(gè)人信息保護(hù)與信息自由流通之間的關(guān)系，也是《民法典》制定過(guò)程中著力尋求的平衡點(diǎn)。

關(guān)于自然人對(duì)其個(gè)人信息享有的究竟是民事權(quán)利抑或僅僅是受保護(hù)的民事利益，民法理論界素有爭(zhēng)議[1]。對(duì)于此前《民法總則》第111條規(guī)定的個(gè)人信息，就有學(xué)者主張“是個(gè)人信息權(quán)，而不是個(gè)人信息利益”[2]。在《民法典》編撰過(guò)程中，對(duì)于應(yīng)否設(shè)置專門的個(gè)人信息權(quán)，也有不同看法。實(shí)際上，從世界各國(guó)的情況來(lái)看，法律都不會(huì)賦予自然人對(duì)其個(gè)人信息的排他支配權(quán)，“因?yàn)檫@樣的授權(quán)會(huì)產(chǎn)生‘非經(jīng)個(gè)人(也稱為數(shù)據(jù)主體)同意，不得使用個(gè)人信息’的法則。在這樣的法則下，許多人類社會(huì)活動(dòng)無(wú)從開(kāi)展”[3]?！睹穹ǖ洹纷罱K未明確將個(gè)人信息規(guī)定為“個(gè)人信息權(quán)”，而是采用了“個(gè)人信息保護(hù)”的表述，并將自然人的個(gè)人信息權(quán)益歸屬于人格權(quán)益，就是認(rèn)為“個(gè)人信息受保護(hù)的權(quán)利與其他人格權(quán)在考量因素上有所不同，個(gè)人信息的保護(hù)要適當(dāng)平衡信息主體的利益和數(shù)據(jù)共享利用之間的關(guān)系”，旨在“既強(qiáng)調(diào)了對(duì)信息主體利益的保護(hù)，又可以避免不必要的誤解，避免妨害數(shù)據(jù)的共享、利用以及大數(shù)據(jù)產(chǎn)業(yè)在我國(guó)的發(fā)展”[4]。特別是在具體制度設(shè)計(jì)上，《民法典》區(qū)分個(gè)人私密信息與非私密信息、公開(kāi)的個(gè)人信息與非公開(kāi)的個(gè)人信息，分別采用不同處理規(guī)則，并明確處理個(gè)人信息的免責(zé)情形，這些都體現(xiàn)了在有效保護(hù)個(gè)人信息的前提下兼顧促進(jìn)信息自由流通和信息網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展的現(xiàn)實(shí)需要。

就刑法適用而言，辦理侵犯公民個(gè)人信息刑事案件，特別是對(duì)相關(guān)獲取、提供公民個(gè)人信息行為定性時(shí)，要對(duì)標(biāo)《民法典》的相關(guān)規(guī)定，堅(jiān)決防止將符合《民法典》規(guī)定的行為認(rèn)定為“違反國(guó)家有關(guān)規(guī)定”，甚至按照犯罪處理。更為重要的是，在刑事司法中也要貫徹平衡保護(hù)個(gè)人信息與促進(jìn)信息自由流通的觀念，對(duì)于一些處于模糊地帶、法律規(guī)定不明確的案件，盡量秉持刑法的謙抑性，既要有力保護(hù)個(gè)人信息，也要防止動(dòng)用刑法對(duì)信息自由流動(dòng)的不利影響。

(二)回歸個(gè)人信息保護(hù)民法優(yōu)先的應(yīng)然狀態(tài)

如前所述，侵犯公民個(gè)人信息罪屬于典型的法定犯，理想的狀態(tài)應(yīng)當(dāng)是先有前置法，后由作為“其他部門法的保障法”的刑法加以規(guī)制。然而，受制于中國(guó)立法的現(xiàn)實(shí)情況，侵犯公民個(gè)人信息罪的前置法“供給不足”，甚至呈現(xiàn)出“刑法先行”的局面。早在2009年2月，《刑法修正案(七)》先于其他部門法明確了公民個(gè)人信息犯罪的界限，而后才有對(duì)網(wǎng)絡(luò)公民個(gè)人信息保護(hù)作出集中規(guī)定的《網(wǎng)絡(luò)安全法》自2017年6月1日起施行，但專門的《個(gè)人信息保護(hù)法》迄今尚未出臺(tái)②。慶幸的是，這一趨勢(shì)由于《民法典》關(guān)于個(gè)人保護(hù)的集中系統(tǒng)規(guī)定而得以扭轉(zhuǎn)，使得個(gè)人信息保護(hù)回歸“民法優(yōu)先”的應(yīng)然狀況。特別是，《民法典》明確自然人對(duì)其個(gè)人信息的權(quán)益屬于民事權(quán)益，扭轉(zhuǎn)了在《民法典》之前由于個(gè)人信息保護(hù)多由行政管理法律法規(guī)加以規(guī)定，而認(rèn)為自然人對(duì)其個(gè)人信息享有的是公法上權(quán)利的主張。作為調(diào)整平等民事主體之間社會(huì)關(guān)系的基本法，《民法典》的相關(guān)規(guī)定為其他法律關(guān)于個(gè)人信息保護(hù)的規(guī)定奠定了堅(jiān)實(shí)基礎(chǔ)。無(wú)論是基于行政法律法規(guī)對(duì)個(gè)人信息的處理，還是刑法關(guān)于侵犯公民個(gè)人信息罪的適用，都應(yīng)當(dāng)以個(gè)人信息的民事權(quán)益保護(hù)為基礎(chǔ)，回歸到平等的民事主體之間的法律關(guān)系上來(lái)，這對(duì)于加強(qiáng)個(gè)人信息保護(hù)、切實(shí)維護(hù)個(gè)人信息權(quán)益具有重大意義。

就個(gè)人信息保護(hù)而言，通過(guò)刑法積極適用防止侵犯公民個(gè)人信息違法犯罪持續(xù)蔓延，是不得已而為之的舉措，但并非上策。刑法只能治標(biāo)，尚難治本?！睹穹ǖ洹逢P(guān)于個(gè)人信息保護(hù)的相關(guān)規(guī)定，使得個(gè)人信息的刑事保護(hù)有了堅(jiān)實(shí)的前置法基礎(chǔ)。而且，一段時(shí)期以來(lái)由于前置法律規(guī)定缺失導(dǎo)致侵犯公民個(gè)人信息罪的司法適用存在相當(dāng)爭(zhēng)議的狀況也會(huì)得以緩解，如后文所述對(duì)涉私密信息概括告知同意收集行為的定性、涉公開(kāi)個(gè)人信息案件的處理等。此外，可以預(yù)見(jiàn)，在《民法典》厘清基本爭(zhēng)議問(wèn)題之后，《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》將會(huì)得以順利推進(jìn)，公民個(gè)人信息民事、行政、刑事的全方位保護(hù)體系將會(huì)得以構(gòu)建，公民個(gè)人信息違法犯罪的系統(tǒng)治理將會(huì)進(jìn)入新的階段。

三、《民法典》關(guān)于個(gè)人信息處理的規(guī)則對(duì)刑法適用的影響

(一)《民法典》關(guān)于“個(gè)人信息的處理”的界定與侵犯公民個(gè)人信息罪的行為方式

《民法典》將與個(gè)人信息相關(guān)的行為統(tǒng)一界定為“處理”，第1035條第2款規(guī)定：“個(gè)人信息的處理包括個(gè)人信息的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。”與之不同，《刑法》第253條之一規(guī)定的侵犯公民個(gè)人信息罪，在客觀方面表現(xiàn)為兩類行為方式：一是提供，即《刑法》第253條之一第1款、第2款規(guī)定的“出售或者提供”公民個(gè)人信息。出售也是提供的一種方式，實(shí)際上是有償提供，是提供的常見(jiàn)類型[5]。此外，《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》(法釋〔2017〕10號(hào)，以下簡(jiǎn)稱《侵犯公民個(gè)人信息罪解釋》)第3條第1款將“通過(guò)信息網(wǎng)絡(luò)或者其他途徑發(fā)布公民個(gè)人信息的”方式亦解釋為“提供”。二是獲取，即《刑法》第253條之一第3款“竊取或者以其他方式非法獲取公民個(gè)人信息”?！肚址腹駛€(gè)人信息罪解釋》第3條第1款將“購(gòu)買、收受、交換等方式獲取公民個(gè)人信息，或者在履行職責(zé)、提供服務(wù)過(guò)程中收集公民個(gè)人信息的”方式亦解釋為“獲取”。

基于上述分析可以認(rèn)為，《民法典》規(guī)定的個(gè)人信息的“收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等”，與《刑法》規(guī)定的侵犯公民個(gè)人信息罪的行為方式大致對(duì)應(yīng)情況如下：①“收集”對(duì)應(yīng)《刑法》規(guī)定的“獲取”；②“提供、公開(kāi)”對(duì)應(yīng)《刑法》規(guī)定的“提供”；③“存儲(chǔ)、使用、加工、傳輸”無(wú)法與《刑法》規(guī)定的行為方式對(duì)應(yīng)。第③類行為方式可以概括為使用公民個(gè)人信息。實(shí)際上，在《刑法修正案(九)(草案)》研擬和審議過(guò)程中，有關(guān)部門和專家學(xué)者即建議借鑒國(guó)外立法例，將非法使用公民個(gè)人信息的行為入罪。然而，上述建議最終未被《刑法修正案(九)》采納[6]。根據(jù)罪刑法定原則的要求，由于《刑法》第253條之一只是將非法獲取、提供公民個(gè)人信息的行為入罪，對(duì)于實(shí)踐中業(yè)已出現(xiàn)的非法存儲(chǔ)、使用、加工、傳輸大量公民個(gè)人信息案件，則難以直接入罪。當(dāng)然，如果根據(jù)在案證據(jù)，適當(dāng)運(yùn)用推定規(guī)則，證明涉案公民個(gè)人信息系非法獲取或者用于非法提供的，則可以適用侵犯公民個(gè)人信息罪。

(二)《民法典》關(guān)于個(gè)人信息的處理規(guī)則與侵犯公民個(gè)人信息罪“違反國(guó)家有關(guān)規(guī)定”的認(rèn)定

《民法典》采用了世界各國(guó)個(gè)人信息保護(hù)所普遍確立的告知同意規(guī)則，在第1035條第1款第1項(xiàng)規(guī)定除法律、行政法規(guī)另有規(guī)定的外，處理個(gè)人信息應(yīng)當(dāng)征得該自然人或者其監(jiān)護(hù)人同意。從實(shí)踐來(lái)看，信息主體同意的方式可以多種多樣；如后所述，個(gè)人信息的類型不同、重要程度有異，在征得信息主體同意的方式和程度上也會(huì)有所差異。而且，根據(jù)第1038條第1款的規(guī)定，信息處理者對(duì)于經(jīng)過(guò)加工無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的個(gè)人信息，可以不經(jīng)該自然人同意向他人提供。此外，根據(jù)第1035條第1款的規(guī)定，處理個(gè)人信息，還應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過(guò)度處理，并符合公開(kāi)處理信息的規(guī)則，明示處理信息的目的、方式和范圍，不違反法律、行政法規(guī)的規(guī)定和雙方的約定。上述要求與《網(wǎng)絡(luò)安全法》第41條、第42條的規(guī)定基本一致。

根據(jù)《刑法》第253條之一第1款、第2款的規(guī)定，“違反國(guó)家有關(guān)規(guī)定”提供公民個(gè)人信息的，可以構(gòu)成侵犯公民個(gè)人信息罪。根據(jù)第3款的規(guī)定，“非法”獲取公民個(gè)人信息的，可以構(gòu)成侵犯公民個(gè)人信息罪。根據(jù)《侵犯公民個(gè)人信息罪解釋》第4條的規(guī)定，此處“非法”的判斷也應(yīng)當(dāng)還原為“違反國(guó)家有關(guān)規(guī)定”。故而，侵犯公民個(gè)人信息罪的前提要件實(shí)際上可以概括為“違反國(guó)家有關(guān)規(guī)定”。值得關(guān)注的是，《刑法修正案(九)》(草案一次審議稿)將提供個(gè)人信息入罪的前提要件設(shè)置為“未經(jīng)公民本人同意”，即采用的是主觀判斷的標(biāo)準(zhǔn)；但是，從《刑法修正案(九)》(草案二次審議稿)開(kāi)始，采取了客觀判斷標(biāo)準(zhǔn)，即“違反規(guī)定”；《刑法修正案(九)》延續(xù)了這一立場(chǎng)，調(diào)整為“違反國(guó)家有關(guān)規(guī)定”。如前所述，法律不應(yīng)賦予自然人對(duì)其信息享有排他的權(quán)益，故在刑法修法過(guò)程中將侵犯公民個(gè)人信息罪的前提要件由主觀標(biāo)準(zhǔn)調(diào)整為客觀標(biāo)準(zhǔn)，無(wú)疑是妥當(dāng)?shù)摹?/p>

“違反國(guó)家有關(guān)規(guī)定”，是指違反了有關(guān)法律、行政法規(guī)、規(guī)章等國(guó)家層面涉及公民個(gè)人信息管理方面的規(guī)定[7]?！肚址腹駛€(gè)人信息罪解釋》第 2條進(jìn)一步明確“國(guó)家有關(guān)規(guī)定”包括法律、行政法規(guī)、部門規(guī)章在內(nèi)。在《民法典》第1035條對(duì)個(gè)人信息處理明確了規(guī)則之后，關(guān)于侵犯公民個(gè)人信息罪“違反國(guó)家有關(guān)規(guī)定”的判斷應(yīng)當(dāng)以上述規(guī)定為基礎(chǔ)。需要注意的是，《民法典》關(guān)于處理個(gè)人信息應(yīng)當(dāng)遵循的原則和條件較多，重要程度存在差異。故而，對(duì)違反相關(guān)原則和條件處理個(gè)人信息行為的刑事定性，在刑事違法和社會(huì)危害程度方面也會(huì)存在差異，不宜一概而論：鑒于告知同意是個(gè)人信息保護(hù)的核心原則，對(duì)于違反告知同意規(guī)則和違反法律、行政法規(guī)的禁止規(guī)定和雙方的約定獲取、提供公民個(gè)人信息的，可以認(rèn)定為符合侵犯公民個(gè)人信息罪的前提要件“違反國(guó)家有關(guān)規(guī)定”；但是，對(duì)于違反必要原則、公開(kāi)處理信息的規(guī)則以及明示處理信息的目的、方式和范圍獲取、提供公民個(gè)人信息的，是否符合侵犯公民個(gè)人信息罪的“違反國(guó)家有關(guān)規(guī)定”，宜綜合考量社會(huì)危害性程度，根據(jù)案件具體情況作出妥當(dāng)處理。

(三)《民法典》關(guān)于信息主體權(quán)益的規(guī)定與侵犯公民個(gè)人信息罪的適用

《民法典》規(guī)定自然人對(duì)自己的個(gè)人信息享有一系列權(quán)益。其中，除了前述第1035條規(guī)定的知情同意權(quán)外，第1037條規(guī)定了查閱復(fù)制權(quán)和更正刪除權(quán)。需要注意的是，與《網(wǎng)絡(luò)安全法》第43條的規(guī)定相同，自然人對(duì)個(gè)人信息的刪除權(quán)不同于歐盟的個(gè)人信息“被遺忘權(quán)”，只限于“自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的”情形。

從刑法的適用來(lái)看，對(duì)于自然人要求查閱或者復(fù)制其個(gè)人信息，或者要求更正錯(cuò)誤的信息，以及刪除相關(guān)信息，而信息處理者未予履行的行為，似乎難以直接適用侵犯公民個(gè)人信息罪。究其原因，就在于侵犯公民個(gè)人信息罪的客觀行為方式表現(xiàn)為非法提供或者獲取。當(dāng)然，對(duì)于上述情形，如果根據(jù)相關(guān)證據(jù)證明存在非法獲取或者提供公民信息的，則可以適用侵犯公民個(gè)人信息罪。

四、《民法典》區(qū)分私密信息與非私密信息對(duì)刑法適用的影響

(一)《民法典》關(guān)于私密信息與非私密信息的界分

從域外個(gè)人信息法律保護(hù)模式來(lái)看，美國(guó)主要采取隱私權(quán)保護(hù)模式，以隱私權(quán)為基礎(chǔ)，通過(guò)大量判例逐步構(gòu)建起了一套保護(hù)制度。而歐盟關(guān)于數(shù)據(jù)信息的保護(hù)，則是從法律上將數(shù)據(jù)信息視為人格權(quán)的延伸[8]。中國(guó)《民法典》借鑒了后一種立法模式，將自然人對(duì)其個(gè)人信息的權(quán)益歸入人格權(quán)的范疇，將個(gè)人信息保護(hù)與隱私權(quán)并列規(guī)定。個(gè)人信息與個(gè)人隱私之間雖有交叉但亦有區(qū)別，交叉部分就在于隱私中的個(gè)人私密信息屬于個(gè)人信息的范疇。中國(guó)法律關(guān)于個(gè)人信息與個(gè)人私密信息之間關(guān)系的規(guī)定，歷經(jīng)了從明確規(guī)定到隱性規(guī)定再回歸明確規(guī)定的階段，可謂“否定之否定”的路徑。

1.明確規(guī)定個(gè)人信息包括個(gè)人私密信息

2012年12月《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條第1款規(guī)定：“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息?！笨梢?jiàn)，這一界定將個(gè)人信息界定為“身份信息+隱私信息”，即將隱私信息明確為個(gè)人信息的范疇。受其影響，2013年4月《最高人民法院、最高人民檢察院、公安部關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》(公通字〔2013〕12號(hào))第2條明確規(guī)定：“公民個(gè)人信息包括公民的姓名、年齡、有效證件號(hào)碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號(hào)碼等能夠識(shí)別公民個(gè)人身份或者涉及公民個(gè)人隱私的信息、數(shù)據(jù)資料?！?/p>

2.未明確個(gè)人信息包括個(gè)人私密信息，但可以推斷出這一結(jié)論

2016年11月《網(wǎng)絡(luò)安全法》第76條規(guī)定：“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。”可見(jiàn)，《網(wǎng)絡(luò)安全法》關(guān)于“個(gè)人信息”的界定，并沒(méi)有明確涉及私密信息，而僅指向“身份識(shí)別信息”。顯然，此處規(guī)定的“身份識(shí)別信息”應(yīng)作廣義理解，自然應(yīng)當(dāng)包括私密信息和其他活動(dòng)情況信息在內(nèi)?；诖耍肚址腹駛€(gè)人信息罪解釋》第1條規(guī)定：“刑法第253條之一規(guī)定的‘公民個(gè)人信息’，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等?！?/p>

3.回歸明確規(guī)定個(gè)人信息包括私密信息的立法模式

《民法典》第1032條第2款對(duì)隱私作了明確界定，規(guī)定：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。”《民法典》第1034條第2款對(duì)《網(wǎng)絡(luò)安全法》第76條關(guān)于個(gè)人信息的界定作了適度調(diào)整，將指向的“識(shí)別自然人個(gè)人身份的各種信息”調(diào)整為“識(shí)別特定自然人的各種信息”，即刪除“個(gè)人身份”的表述，以防止將個(gè)人信息誤解為狹義的身份識(shí)別信息。在此基礎(chǔ)上，《民法典》第1034條第3款明確個(gè)人信息包括私密信息，規(guī)定：“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒(méi)有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定。”這就標(biāo)志著中國(guó)法律關(guān)于個(gè)人信息的界定，又重回將個(gè)人私密信息明確規(guī)定個(gè)人信息的立法模式，正式在基本法律中確立了私密信息與非私密信息的界分。

(二)《民法典》區(qū)分私密信息與非私密信息對(duì)刑法適用的影響

無(wú)論前置法采用何種立法模式，司法實(shí)務(wù)均認(rèn)為公民個(gè)人信息包括個(gè)人私密信息在內(nèi)，對(duì)于非法獲取、提供個(gè)人私密信息的行為在刑法適用上完全可以構(gòu)成侵犯公民個(gè)人信息罪。從這個(gè)角度而言，可以認(rèn)為，《民法典》區(qū)分私密信息與非私密信息的界分，對(duì)侵犯公民個(gè)人信息罪的適用不會(huì)產(chǎn)生大的影響。但是，立足于細(xì)微層面而言，侵犯?jìng)€(gè)人私密信息刑事案件的處理，與其他侵犯公民個(gè)人信息刑事案件相比，還是會(huì)有較大差異。

具體而言，對(duì)個(gè)人私密信息優(yōu)先適用隱私權(quán)的有關(guān)規(guī)定。根據(jù)《民法典》第1034條第2款的規(guī)定，對(duì)于個(gè)人私密信息優(yōu)先適用《民法典》關(guān)于隱私權(quán)的規(guī)定，只有在相關(guān)規(guī)定欠缺的情況下，才適用關(guān)于個(gè)人信息保護(hù)的規(guī)定。根據(jù)《民法典》第1033條第5項(xiàng)的規(guī)定，處理他人的私密信息，除法律另有規(guī)定的情形外，須經(jīng)權(quán)利人明確同意?？梢?jiàn)，對(duì)于個(gè)人私密信息，《民法典》在保護(hù)力度上明顯強(qiáng)于個(gè)人非私密信息，對(duì)后者的處理采用的是告知同意規(guī)則，即征得自然人或其監(jiān)護(hù)人同意。“‘明確同意’與‘同意’的涵義是不同的。一方面，明確同意意味著自然人在被告知私密信息將被處理的前提下而作出清晰、明確的允許處理的意思表示。另一方面，明確的同意應(yīng)當(dāng)是針對(duì)該私密信息被處理而單獨(dú)作出的同意的意思表示”[9]。司法實(shí)踐中處理涉?zhèn)€人私密信息的刑事案件，在認(rèn)定是否“違反國(guó)家有關(guān)規(guī)定”時(shí)，在除法律另有規(guī)定的情況下應(yīng)當(dāng)采用權(quán)利人“明確同意”的判斷規(guī)則。例如，對(duì)于APP將告知同意的內(nèi)容置于冗長(zhǎng)的隱私政策之中，導(dǎo)致用戶實(shí)際上不會(huì)真正去閱讀了解隱私政策而選擇同意，進(jìn)而獲取相關(guān)個(gè)人信息的行為，如何判斷獲取信息行為的性質(zhì)素有爭(zhēng)議?；诨ヂ?lián)網(wǎng)時(shí)代獲取個(gè)人信息的現(xiàn)實(shí)情況，要求逐項(xiàng)告知收集信息內(nèi)容并征得同意似不可以，故對(duì)于個(gè)人非私密信息而言，上述行為難以認(rèn)定為非法獲?。坏?，對(duì)于個(gè)人私密信息而言，由于《民法典》明確要求經(jīng)權(quán)利人“明確同意”，采取上述方式收集個(gè)人私密信息的則可以認(rèn)定為非法獲取。

五、《民法典》區(qū)分公開(kāi)的與非公開(kāi)的個(gè)人信息對(duì)刑法適用的影響

一段時(shí)間以來(lái)，涉公開(kāi)個(gè)人信息案件的處理是侵犯公民個(gè)人信息罪司法適用中的最為棘手的問(wèn)題之一。例如，行為人從商貿(mào)網(wǎng)站和政府部門公開(kāi)的企業(yè)信息網(wǎng)上收集企業(yè)公開(kāi)發(fā)布的信息(涉及自然人信息)，將上述信息存入數(shù)據(jù)庫(kù)，供他人付費(fèi)查詢使用。又如，行為人將房屋租售網(wǎng)站上已經(jīng)公開(kāi)的房屋信息收集，將上述信息用于營(yíng)利活動(dòng)。上述案件的處理即存在較大爭(zhēng)議，各方意見(jiàn)不一，處理結(jié)果有異。筆者主張，在《民法典》明確區(qū)分公開(kāi)的個(gè)人信息和非公開(kāi)的個(gè)人信息，并為二者設(shè)置了不同的處理規(guī)則的背景下，應(yīng)當(dāng)對(duì)標(biāo)上述規(guī)定，妥當(dāng)處理相關(guān)刑事案件。

(一)《民法典》關(guān)于公開(kāi)的個(gè)人信息的界定對(duì)刑法適用的影響

《民法典》第1036條規(guī)定：“處理個(gè)人信息，有下列情形之一的，行為人不承擔(dān)民事責(zé)任：……(二)合理處理該自然人自行公開(kāi)的或者其他已經(jīng)合法公開(kāi)的信息，但是該自然人明確拒絕或者處理該信息侵害其重大利益的除外……”據(jù)此，個(gè)人信息分為公開(kāi)的個(gè)人信息和非公開(kāi)的個(gè)人信息。需要注意的是，公開(kāi)的個(gè)人信息限于“合法公開(kāi)的信息”，既包括自然人自行公開(kāi)的信息，也包括其他途徑合法公開(kāi)的信息。前者如律師將自己的聯(lián)系電話、通訊郵箱、辦公地址等信息通過(guò)互聯(lián)網(wǎng)或者其他途徑公開(kāi)，后者如依據(jù)行政行為、司法行為或者其他緣由而公開(kāi)。不論以何種形式進(jìn)行公開(kāi)，公開(kāi)的個(gè)人信息都限于通過(guò)合法途徑公開(kāi)的個(gè)人信息，而不包括非法公開(kāi)的個(gè)人信息。

在辦理涉公民個(gè)人公開(kāi)信息的案件時(shí)，要注意查明相關(guān)公開(kāi)的個(gè)人信息是否屬于合法公開(kāi)的信息，從而準(zhǔn)確判斷后續(xù)獲取或者提供行為定性應(yīng)當(dāng)適用的規(guī)則。例如，對(duì)某住宿網(wǎng)站采取黑客攻擊手段，非法獲取住宿記錄并通過(guò)互聯(lián)網(wǎng)公開(kāi)的，相關(guān)信息雖然客觀上處于公開(kāi)狀態(tài)，但由于公開(kāi)手段系非法手段，不屬于前述“公開(kāi)的個(gè)人信息”，對(duì)于行為人獲取或者提供相關(guān)信息的行為定性，除后文所述認(rèn)識(shí)錯(cuò)誤的情況外，仍然應(yīng)當(dāng)適用非公開(kāi)的個(gè)人信息的判斷規(guī)則。

侵犯公民個(gè)人信息罪系故意犯罪，以行為人具有主觀明知為前提。刑法適用中需要注意的是，對(duì)于相關(guān)個(gè)人信息是否合法公開(kāi)，既要從客觀上進(jìn)行查證，也要查明行為人的主觀認(rèn)識(shí)。一般而言，對(duì)于客觀上公開(kāi)的個(gè)人信息是否系合法公開(kāi)，行為人未必能夠認(rèn)識(shí)到，對(duì)此要防止客觀歸罪。對(duì)于非法公開(kāi)的個(gè)人信息，無(wú)法證明行為人主觀上認(rèn)識(shí)到，且一般人也難以認(rèn)定到的，則應(yīng)當(dāng)按照有利于被告人的處理規(guī)則，可以適用公開(kāi)個(gè)人信息的處理規(guī)則認(rèn)定行為性質(zhì)。

(二)《民法典》關(guān)于公開(kāi)的個(gè)人信息處理規(guī)則的規(guī)定對(duì)刑法適用的影響

《民法典》區(qū)分非公開(kāi)的個(gè)人信息與公開(kāi)的個(gè)人信息，就在于兩類個(gè)人信息的處理規(guī)則有異：對(duì)于非公開(kāi)的個(gè)人信息，根據(jù)《民法典》第1035條第1款的規(guī)定，除法律、行政法規(guī)另有規(guī)定的外，處理相關(guān)信息需要征得該自然人或者其監(jiān)護(hù)人同意；對(duì)于公開(kāi)的個(gè)人信息，根據(jù)《民法典》第1036條第2項(xiàng)的規(guī)定，除自然人明確拒絕或者處理相關(guān)信息侵害其重大利益的外，合理處理相關(guān)信息不需要征得該自然人或者其監(jiān)護(hù)人的同意。可見(jiàn)，《民法典》關(guān)于公開(kāi)的個(gè)人信息的保護(hù)強(qiáng)度要明顯弱于非公開(kāi)的個(gè)人信息?！睹穹ǖ洹返纳鲜鲆?guī)定，為刑法適用中涉公開(kāi)的個(gè)人信息案件定性的若干爭(zhēng)議問(wèn)題厘清了前置法規(guī)定。

在以往的刑事司法實(shí)踐中，對(duì)于公開(kāi)的個(gè)人信息，由于信息已經(jīng)處于公開(kāi)狀況，獲取無(wú)須征得同意，對(duì)此應(yīng)無(wú)疑義；但是，在獲取相關(guān)公開(kāi)信息后進(jìn)而提供的行為，是否需要取得“二次授權(quán)”(即在獲取相關(guān)信息后，提供相關(guān)信息需要告知同意)，則存在較大爭(zhēng)議。可以說(shuō)，《民法典》為這一爭(zhēng)議問(wèn)題作了明晰，即否定“二次授權(quán)”的規(guī)則。民法典第1038條第1款規(guī)定：“信息處理者……未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息……”此處的“二次授權(quán)”，明顯是針對(duì)于非公開(kāi)的個(gè)人信息而言。根據(jù)《民法典》第1036條第2項(xiàng)的規(guī)定，對(duì)公開(kāi)的個(gè)人信息的合理處理可以推定自然人概括同意，即除了“該自然人明確拒絕或者處理該信息侵害其重大利益的”情形外，不需要通知和征得該自然人或者其監(jiān)護(hù)人同意。據(jù)此，在處理相關(guān)刑事案件時(shí)，對(duì)于未通知并征得自然人同意而獲取、提供公開(kāi)的個(gè)人信息的案件，只要行為人的獲取、提供行為處于“合理”限度之內(nèi)，除證明該自然人明確拒絕③或者相關(guān)獲取、提供行為侵害了該自然人的重大利益的外，應(yīng)當(dāng)認(rèn)為相關(guān)獲取、提供的行為屬于合法行為，不屬于“違反國(guó)家有關(guān)規(guī)定”獲取、提供公民個(gè)人信息的行為，更不應(yīng)當(dāng)認(rèn)定為構(gòu)成侵犯公民個(gè)人信息罪。

值得探討的是，對(duì)于《民法典》第1036條第2項(xiàng)規(guī)定的“合理處理”的認(rèn)定，應(yīng)當(dāng)采用相對(duì)寬泛的理解。原則上，只要法律、法規(guī)沒(méi)有明確禁止的處理行為，均可以認(rèn)定為“合理處理”，至少不能認(rèn)定為犯罪。特別是，從保護(hù)信息自由流通的角度出發(fā)，要切實(shí)防止只要獲取個(gè)人信息后進(jìn)行營(yíng)利活動(dòng)或者超越信息初始公開(kāi)使用場(chǎng)景的，即認(rèn)為超越了合理處理界限的極端認(rèn)識(shí)。例如，部分工商企業(yè)信息中包含有法定代表人姓名、聯(lián)系電話等內(nèi)容，屬于公民個(gè)人信息的范疇。相關(guān)信息可以在“國(guó)家企業(yè)信用信息公示系統(tǒng)”中查詢，已處于合法公開(kāi)的狀況。從初始的公開(kāi)使用場(chǎng)景而言，確實(shí)限于在國(guó)家企業(yè)信用信息公示系統(tǒng)公開(kāi)，方便民眾查詢以確認(rèn)企業(yè)信息是否真實(shí)有效。以往刑事司法實(shí)踐中，一些收集工商登記信息，未經(jīng)自然人同意超越初始公開(kāi)場(chǎng)景使用的情形，被認(rèn)定構(gòu)成侵犯公民個(gè)人信息罪。對(duì)此，筆者曾主張：“鑒于此類案件具有相當(dāng)普遍性，未來(lái)的公民個(gè)人信息保護(hù)法和相關(guān)法律法規(guī)宜對(duì)公民個(gè)人公開(kāi)信息的問(wèn)題作出明確規(guī)定，以便利相關(guān)案件的處理。”[10]在《民法典》對(duì)公開(kāi)的個(gè)人信息的處理規(guī)則作出明確規(guī)定的情況下，對(duì)于上述案件，如果相關(guān)信息在公開(kāi)時(shí)沒(méi)有明確限定公開(kāi)場(chǎng)景(即沒(méi)有明確拒絕他人收集后在其他場(chǎng)景下使用)，則對(duì)于收集并在未通知和征得該自然人同意情況下提供相關(guān)信息的行為，宜認(rèn)為仍在“合理處理”的范疇之內(nèi)。

總而言之，根據(jù)《民法典》關(guān)于界分公開(kāi)個(gè)人信息和非公開(kāi)個(gè)人信息的相關(guān)規(guī)定，要求刑法適用中妥當(dāng)處理涉公開(kāi)的個(gè)人信息的案件。一般而言，由于公開(kāi)個(gè)人信息的案件偵辦難度相對(duì)較小且涉案信息數(shù)量、違法所得等往往巨大，司法實(shí)踐易以此類案件為打擊重點(diǎn)?？梢哉f(shuō)，《民法典》的相關(guān)規(guī)定對(duì)于扭轉(zhuǎn)這一趨勢(shì)奠定了基礎(chǔ)。在中國(guó)侵犯公民個(gè)人信息違法犯罪泛濫和公民個(gè)人信息保護(hù)水平整體不高的當(dāng)下，對(duì)標(biāo)《民法典》的相關(guān)規(guī)定，侵犯公民個(gè)人信息罪的司法適用應(yīng)當(dāng)以涉非公開(kāi)個(gè)人信息的案件為重點(diǎn)，嚴(yán)厲懲治非法獲取、提供非公開(kāi)個(gè)人信息的案件，切實(shí)強(qiáng)化對(duì)公民個(gè)人信息的保護(hù)。

注釋：

① 例如，《刑法》第253條之一未對(duì)“公民個(gè)人信息”的概念作出界定，這就決定了對(duì)其內(nèi)涵和外延的把握必須受到前置法相關(guān)規(guī)定的影響。

② 《個(gè)人信息保護(hù)法(草案)》已于2020年10月中旬提請(qǐng)十三屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第二十二次會(huì)議首次審議。

③ 對(duì)于《民法典》第1036條第2項(xiàng)規(guī)定的“明確拒絕”，宜理解為是事前的明確拒絕，即在該公開(kāi)的個(gè)人信息被處理前明確拒絕。當(dāng)然，由于處理多種行為方式、多個(gè)環(huán)節(jié)，只要在特定的處理行為實(shí)施前明確拒絕即可。例如，在相關(guān)信息被收集后，可以明確拒絕后續(xù)的使用、加工、傳輸、提供等其他處理活動(dòng)。