趙 龍

（東南大學(xué) 法學(xué)院，江蘇 南京 211189）

隨著世界經(jīng)濟(jì)進(jìn)入“數(shù)據(jù)驅(qū)動”時代，數(shù)據(jù)即資源，數(shù)據(jù)流動即創(chuàng)造價值。數(shù)字技術(shù)的全方位普及和應(yīng)用，帶領(lǐng)人們快速步入數(shù)字化生存時代。數(shù)字化生存必然催生數(shù)據(jù)經(jīng)濟(jì)的衍生和發(fā)展，并進(jìn)一步推動數(shù)據(jù)生活以及數(shù)據(jù)流動形態(tài)的迭代升級，包括中國在內(nèi)的世界主要經(jīng)濟(jì)體無疑將迎來數(shù)據(jù)經(jīng)濟(jì)的歷史性發(fā)展機(jī)遇。但數(shù)據(jù)經(jīng)濟(jì)的發(fā)展常常伴隨著熊彼特式“創(chuàng)造性破壞”效應(yīng)。突出表現(xiàn)在日趨嚴(yán)重的“數(shù)據(jù)污染”不僅給個人隱私、商業(yè)安全、社會治安甚至國家安全造成嚴(yán)重威脅，且成為新型數(shù)據(jù)犯罪的重災(zāi)區(qū)，個人信息侵權(quán)已經(jīng)成為一種“公害”。根據(jù)2018年11月28日中國消費(fèi)者協(xié)會發(fā)布的《100款A(yù)PP個人信息收集與隱私政策測評報告》顯示，85.2%受訪者表示遭遇過個人信息泄露。在其測試的100款A(yù)PP之中多達(dá)91款A(yù)PP列出的權(quán)限涉嫌不當(dāng)采集個人信息，存在擅自、超范圍收集個人信息、私自共享給第三方個人信息、強(qiáng)制使用推送功能、不給權(quán)限不讓用、頻繁申請權(quán)限、過度索取權(quán)限、為賬號注銷設(shè)置障礙等侵犯個人信息權(quán)行為。數(shù)據(jù)經(jīng)濟(jì)形態(tài)中個人信息權(quán)不僅強(qiáng)調(diào)保護(hù)，也注重利用。由此，各國普遍尋求數(shù)據(jù)流通與權(quán)利保護(hù)之間的協(xié)調(diào)與平衡。

實踐對理論具有天然和多維的形塑作用，而非簡單地被理論框架所束縛。信息化背景下，社會轉(zhuǎn)型過程中的各種“矢量”作用也必然投射在個人信息保護(hù)和利用二律背反的境域之中。依法保障數(shù)據(jù)安全是信息化社會良法善治的基本向度，但“大數(shù)據(jù)時代，個人信息保護(hù)絕不僅僅是制定個人信息保護(hù)法那么簡單。”[1]科學(xué)界定個人信息法益并通過法律有效平衡和協(xié)調(diào)個人信息保護(hù)與利用之間的關(guān)系，成為DT時代乃至AI時代信息化治理與可持續(xù)發(fā)展的重要課題。

一、既有法益類型的局限性及其法理批判

“法益是作為個人、社會和國家的具體利益而成為法律保護(hù)對象，不管在解釋論還是在立法論上，法益都起著指導(dǎo)性作用?！盵2]數(shù)據(jù)經(jīng)濟(jì)發(fā)展離不開作為基礎(chǔ)構(gòu)成信息元數(shù)據(jù)的處理，而任何一組數(shù)據(jù)的生成都是人類社會活動的信息化記載。因此，個人信息法益保護(hù)問題備受關(guān)注，但學(xué)界在個人信息法益屬性方面存在不同的觀點(diǎn)立場，如隱私權(quán)說、人格權(quán)說、基本權(quán)利說、公民個人信息權(quán)說、人格權(quán)兼財產(chǎn)權(quán)說以及超個人法益說等。除公民個人信息權(quán)說之外，其他較為有力的觀點(diǎn)主要是基本權(quán)利說、人格權(quán)說、隱私權(quán)說。但無論基本權(quán)利說、人格權(quán)說亦或隱私權(quán)說均難以涵蓋個人信息保護(hù)和利用一體兩面、二律背反的權(quán)利特征。

基本權(quán)利說認(rèn)為個人信息是個人基本權(quán)利與自由的客體，其常見于相關(guān)國際條約或區(qū)域性條約，如歐盟《通用數(shù)據(jù)保護(hù)條例》。中國也有學(xué)者主張此說[3]?；緳?quán)利通常指憲法上的權(quán)利，憲法是基本權(quán)利的確認(rèn)但并不是其終極根據(jù)。于此，將個人信息權(quán)視為一項基本權(quán)利主要存在以下問題：一是基本權(quán)利更多指向的憲法層面公民的基礎(chǔ)性權(quán)利，如平等權(quán)主要強(qiáng)調(diào)一種法律意義上的平等，其與個人信息權(quán)并不存在關(guān)聯(lián)。二是盡管通信自由和通信秘密與個人信息保護(hù)具有一定的關(guān)聯(lián)性，但通信自由只是公民自由的一個方面，通訊信息也只是整體個人信息中一項組成部分。三是個人信息權(quán)不是一項具有推定性質(zhì)的基本權(quán)利。中國《憲法》中并沒有規(guī)定生命權(quán)，但生命權(quán)當(dāng)然屬于一項基本權(quán)利，無需在《憲法》中明確規(guī)定。而個人信息權(quán)是否具有推定意義上的基本權(quán)利屬性，結(jié)論是否定的?！皺?quán)利推定的方式有兩種，一是由權(quán)利去推定權(quán)利，二是由義務(wù)去推定權(quán)利?！盵4]個人信息權(quán)顯然難以采用這種推定方式證成其基本權(quán)利性質(zhì)。除此，基本權(quán)利具有一定的歷史性，個人信息權(quán)則屬于近年來新興權(quán)利類型，與基本權(quán)利的一貫性存在一定脫節(jié)。將個人信息權(quán)作為一項基本權(quán)利具有明顯的邏輯悖論和法理欠缺性。

至于人格權(quán)說，該觀點(diǎn)認(rèn)為個人信息權(quán)是一項具體人格權(quán)。持此觀點(diǎn)的學(xué)者主要是從個人信息權(quán)與隱私權(quán)存在差異角度論證個人信息權(quán)不能被隱私權(quán)完全涵蓋，故而應(yīng)該獨(dú)立。主張應(yīng)在民法總則的基礎(chǔ)上進(jìn)一步完善人格權(quán)的類型，規(guī)定個人信息權(quán)，細(xì)化具體人格權(quán)的內(nèi)容，并對人格權(quán)的行使規(guī)則、利用規(guī)則、限制規(guī)則及權(quán)利沖突規(guī)則等作出明確規(guī)定[5]。相對一般人格權(quán)，具體人格權(quán)的定位顯然更具合理性，問題在于“無論從憲法亦或法理上解釋自然人的人格權(quán)均具有強(qiáng)烈的個體專屬性和不可交易性，在其權(quán)利行使過程中即便產(chǎn)生經(jīng)濟(jì)利益，也不能將其視為財產(chǎn)權(quán)利，否則必然貶損自然人之人格意義?！盵6]

隱私權(quán)說是個人信息保護(hù)法益之爭中比較有力的學(xué)說觀點(diǎn)，但隱私權(quán)與個人信息權(quán)相比，二者在客體范疇、權(quán)利性質(zhì)、權(quán)利內(nèi)容以及保護(hù)方式等方面均存在顯著差異?！爸袊睹穹倓t》第111條規(guī)定是個人身份信息，并非隱私權(quán)層面的私人隱私信息。”[7]隱私信息重在保護(hù)個人的私密空間，而個人信息側(cè)重于識別，同時個人信息權(quán)還具有法益自決意義上的信息自決權(quán)。二者存在一定的交叉，但個人信息的概念范疇顯然比隱私信息更寬泛。隱私權(quán)具有一定的消極性，體現(xiàn)為被侵害后的救濟(jì)性，具有被動防御的特征。而個人信息權(quán)則不止于這種消極防御，亦具有積極利用的雙重特征。在刑法上，將侵犯個人信息權(quán)犯罪置于“侵犯公民人身權(quán)利民主權(quán)利罪”之下，作為第253條之一，即表明立法者試圖將侵犯公民個人信息權(quán)罪犯罪客體預(yù)設(shè)為個人的隱私權(quán)[6]10。“刑法教義學(xué)固然以刑法規(guī)范為研究對象，但這并非意味著其放棄了批判?！盵8]隨著DT乃至AI時代的到來，現(xiàn)行刑法基于傳統(tǒng)隱私權(quán)的規(guī)制立場愈發(fā)難以適應(yīng)各類新型數(shù)據(jù)犯罪形態(tài)。除此，“權(quán)利主體還享有積極利用其個人信息的基本權(quán)利，‘同意’即構(gòu)筑了信息自由與刑法介入之間的邊界。”[9]

任何理論成為真理之前都要經(jīng)歷一個試錯的階段、糾偏的環(huán)節(jié)和證偽的過程，最后經(jīng)過實踐檢驗得以證立。當(dāng)前，針對侵犯公民個人信息罪保護(hù)法益的諸多爭論，充分表明該罪是刑法罪名中法益屬性分歧較大一類犯罪。面對如此激烈的觀點(diǎn)爭議，如何辨析各觀點(diǎn)學(xué)說之真理性，首先需要明確個人信息權(quán)作為一項新型獨(dú)立性權(quán)利的法理依據(jù)，在此基礎(chǔ)上科學(xué)界定侵犯公民個人信息罪之保護(hù)法益。

二、法益界定:作為新型權(quán)利的個人信息權(quán)之提倡

“法律作為人類社會一種文化現(xiàn)象和人類智慧的杰作，既帶有塵世的重負(fù)，也具有天堂的吸引力?！盵10]隨著社會由DT時代向AI時代快速過渡，信息技術(shù)逐漸成為引領(lǐng)社會變革的核心因素和主導(dǎo)力量。作為信息技術(shù)之基礎(chǔ)構(gòu)成的個人信息日益成為一項引領(lǐng)社會變革的基礎(chǔ)性和戰(zhàn)略性資源?，F(xiàn)實生活中，各類新型數(shù)據(jù)犯罪早已跨越傳統(tǒng)人格性利益損害階段，新型數(shù)據(jù)犯罪已然常態(tài)化。由此，刑法需要轉(zhuǎn)變保護(hù)理念和立場，將個人信息權(quán)作為一項新型獨(dú)立性權(quán)利對待，結(jié)合司法實踐科學(xué)、合理地拓展“侵犯公民個人信息罪”涵攝范圍。

（一）個人信息權(quán)作為一項獨(dú)立性權(quán)利的法理依據(jù)

上述關(guān)于個人信息法益的學(xué)說觀點(diǎn)均建立在將公民個人信息相關(guān)權(quán)利界定為一項權(quán)利的基礎(chǔ)之上，只是在權(quán)利屬性方面存在較大分歧，其核心爭點(diǎn)是個人信息權(quán)是否具有獨(dú)立性法律地位問題。此外，在法概念體系層面也存在權(quán)利說和非權(quán)利說之爭，權(quán)利說屬主流學(xué)說。權(quán)利說又分為獨(dú)立性權(quán)利說和非獨(dú)立權(quán)利說兩種不同立場。獨(dú)立性權(quán)利說認(rèn)為，個人信息權(quán)屬于一項獨(dú)立的權(quán)利且在民法中已經(jīng)予以確立，在刑法上也應(yīng)起到法益解釋層面的指導(dǎo)作用。非獨(dú)立權(quán)利說則認(rèn)為個人信息權(quán)只是隸屬于其他權(quán)利的內(nèi)容，其本身并不屬于或者不應(yīng)當(dāng)屬于一項獨(dú)立的權(quán)利。若將個人信息權(quán)與其他權(quán)利予以明確劃分，首先應(yīng)當(dāng)對其作為一項獨(dú)立性權(quán)利的合理性予以充分論證。如果一項權(quán)利能夠與其他權(quán)利進(jìn)行明確劃分，其自身也就具備獨(dú)立性法律地位之基礎(chǔ)?？陀^而言，“通過權(quán)利方式保護(hù)個人信息是一種世界趨勢?！盵11]數(shù)據(jù)經(jīng)濟(jì)形態(tài)中個人信息被賦予傳統(tǒng)工具意義之外的角色，否定個人信息權(quán)作為一項獨(dú)立性權(quán)利是不合時宜的，其存在未認(rèn)清數(shù)據(jù)經(jīng)濟(jì)時代個人信息權(quán)利保護(hù)與合理利用的重要性。反之，將個人信息權(quán)作為一項獨(dú)立的、新型權(quán)利形態(tài)則更加科學(xué)、合理。原則承載價值，法律規(guī)制行為。個人信息處理法律規(guī)制具有對個人信息處理①《一般數(shù)據(jù)保護(hù)條例》（GDPR）第4條對個人信息處理內(nèi)涵之定義，處理是指對個人信息或個人信息集合對任何單一或一系列的自動化或非自動化操作，包括對個人信息的收集、記錄、組織、建構(gòu)、存儲、適配，或修改、檢索、咨詢、使用、披露、傳播，或其他利用、排列、組合、限制、刪除與銷毀。行為較強(qiáng)的限制性，若法律規(guī)定不明確，極易被信息處理者不當(dāng)利用，進(jìn)而侵害權(quán)利主體個人信息權(quán)。

“一項新興(新型)權(quán)利要得到證成首先要符合權(quán)利的概念標(biāo)準(zhǔn)，即被保護(hù)的合理性?！盵12]個人信息權(quán)作為一項權(quán)利應(yīng)當(dāng)具有相應(yīng)的法理依據(jù)，進(jìn)而證成從應(yīng)然權(quán)利到法律實然權(quán)利。有觀點(diǎn)認(rèn)為，要全面正確地理解權(quán)利的概念和內(nèi)涵，關(guān)鍵是精準(zhǔn)把握權(quán)利要素而非權(quán)利的定義?！皺?quán)利的要素主要包括五個方面，即利益（interest）、主張（claim）、資格（entitlement）、力量（包括權(quán)威power和能力capacity）以及自由（free），其中任何一個都可以用來闡釋權(quán)利概念，表示權(quán)利的某種本質(zhì)[13]。按照這一權(quán)利檢驗標(biāo)準(zhǔn)，個人信息權(quán)已具備作為一項獨(dú)立性權(quán)利基本標(biāo)準(zhǔn)。此外，個人信息權(quán)既具有傳統(tǒng)權(quán)利的發(fā)展過程，也具有作為新型權(quán)利的數(shù)據(jù)資源性特征。一方面，個人信息權(quán)存在從權(quán)利需求到權(quán)利發(fā)現(xiàn)再到實然或者法律化的過程。隨著社會信息化發(fā)展，推動諸多新興權(quán)利發(fā)軔于這種時代變革之中。另一方面，個人信息在網(wǎng)絡(luò)環(huán)境中體現(xiàn)為一種數(shù)據(jù)，而數(shù)據(jù)承載的價值又體現(xiàn)為一定人身性、社會性和財產(chǎn)性等特征。事實上，盡管個人信息權(quán)尚未在民事基本法上給予明確的獨(dú)立確權(quán)，也未明確個人信息權(quán)稱謂。但隨著中國首部《民法典》的頒布實施，現(xiàn)有的一些民事立法已然體現(xiàn)了這種實然意義上的個人信息權(quán)保護(hù)，如《個人信息保護(hù)法（草案）》一審稿中更是明確提出了個人信息權(quán)這一新型權(quán)利形態(tài)和概念。據(jù)此可以證立個人信息權(quán)作為一項獨(dú)立性權(quán)利的存在，其在權(quán)利特征和權(quán)利要素方面也完全符合獨(dú)立性權(quán)利的構(gòu)成要素。

（二）侵犯公民個人信息罪之法益界定：個人信息權(quán)

個人信息基本特征體現(xiàn)在其能夠獨(dú)立或與其他信息結(jié)合識別特定自然人身份。就權(quán)利屬性而言，個人信息權(quán)的人格權(quán)屬性側(cè)重隱私性權(quán)利保護(hù)與消極防御；而財產(chǎn)權(quán)屬性側(cè)重于權(quán)利的自主性利用，強(qiáng)調(diào)權(quán)利的積極行使和他人使用的許可性（即知情同意）。但個人信息權(quán)既不同于純粹的人格權(quán)，亦區(qū)別于新型財產(chǎn)權(quán)，而是介于二者之間以個人信息為客體的一項新型權(quán)利形態(tài)。個人信息權(quán)涵蓋數(shù)據(jù)的占有權(quán)和處理權(quán)，由此衍生的新型財產(chǎn)性利益亦屬其個人信息自決權(quán)的基本范疇。在權(quán)利類型上無論將其定性為人格權(quán)或者財產(chǎn)性權(quán)利，皆應(yīng)建立在個人信息權(quán)——這一新型實體民事權(quán)利之上。當(dāng)前，學(xué)界已就個人信息權(quán)作為一項實體民事權(quán)利基本達(dá)成共識，2020年5月28日頒布的《中華人民共和國民法典》從總則到分編也為其提供了實體法依據(jù)。除此，甚至有學(xué)者將其視為智慧社會背景下“第四代人權(quán)”的重要內(nèi)容[14]，強(qiáng)化其實體權(quán)利屬性。中國個人信息保護(hù)法應(yīng)確認(rèn)權(quán)利主體在公法上的個人信息個人控制權(quán)，“不能也不應(yīng)該回避基本權(quán)利話語?！盵1]3無論給予其何等法律地位，從權(quán)利本體論角度把握，賦予權(quán)利主體個人信息自決權(quán)②信息自決權(quán)理論發(fā)源并發(fā)源于德國，是德國《聯(lián)邦數(shù)據(jù)保護(hù)法》(BDSG)的理論根基，也是德國構(gòu)建與完善個人信息保護(hù)法律法規(guī)的基點(diǎn)。從1995年歐洲議會通過的《個人信息保護(hù)指令》開始到2016年生效的《歐洲數(shù)據(jù)保護(hù)基本條例》，該理論對歐洲層面?zhèn)€人信息保護(hù)立法（尤其是GDPR的制定）產(chǎn)生了深遠(yuǎn)影響。學(xué)界是認(rèn)可和支持的。“侵犯公民個人信息罪的保護(hù)法益是個人法益，但不是隱私權(quán)層面的法益，而是作為新型權(quán)利的個人信息權(quán)。”[15]就權(quán)利控制論而言，此即為權(quán)利控制語義下權(quán)利主體中心主義的典型存在。法教義學(xué)以法律規(guī)范為基礎(chǔ)，基于刑民一體化的思維，從《民法典》《網(wǎng)絡(luò)安全法》到《個人信息保護(hù)法(草案)》等法規(guī)范的制定和完善，從刑法外部相關(guān)法律規(guī)范中尋找個人信息保護(hù)的權(quán)利類型，并結(jié)合刑法關(guān)于侵犯公民個人信息罪構(gòu)成要件之規(guī)定，如此才能準(zhǔn)確把握該罪的法益歸屬。在此基礎(chǔ)上，明確侵犯公民個人信息罪保護(hù)法益為個人信息權(quán)。個人信息權(quán)法益的實踐有賴于權(quán)利主體自主、有效的權(quán)利控制，以及在理性協(xié)調(diào)權(quán)利保護(hù)與公共需求沖突之后，依法行使信息流動的自主決定權(quán)。由此，明確個人信息權(quán)獨(dú)立性法律地位，理性論證個人信息權(quán)法益及其法益自決性立場，科學(xué)發(fā)揮個人信息保護(hù)和利用作為個人信息權(quán)一體兩面的權(quán)利特征及其實踐價值是數(shù)據(jù)經(jīng)濟(jì)形態(tài)中個人信息權(quán)實現(xiàn)的基本要求?！胺彩顷P(guān)系到別人權(quán)利的行為，而其準(zhǔn)則與公共性不能一致的都是不正義的?！盵16]因此，權(quán)利主體對其個人法律權(quán)力的行使是單向的，不受個人信息公共屬性的制約。

法律不是萬能的，其自身不會洞察社會變革。針對個人信息權(quán)問題，也有學(xué)者認(rèn)為這項權(quán)利并非物權(quán)等可以積極利用的絕對權(quán)，只有在權(quán)利被侵害且導(dǎo)致其他民事權(quán)利被侵害時才能得到法律救濟(jì)[17]。因此，明確個人信息處理的正當(dāng)化依據(jù)與行為準(zhǔn)則是實現(xiàn)個人信息權(quán)的基本要求，也是期待違法阻卻機(jī)制有效實施的前提要件?！皬姆ㄖ蔚拿}中可以合乎邏輯地引申出刑事法治命題和概念?！盵18]就法教義學(xué)而言，刑事法治是法教義學(xué)在刑事實踐領(lǐng)域中的體現(xiàn)，也是刑法教義學(xué)的基本視閾和價值立場。個人信息權(quán)的刑事司法實踐，理應(yīng)建立在個人信息刑事法律規(guī)范基礎(chǔ)上進(jìn)行教義學(xué)展開。從權(quán)利的實踐屬性分析，雖然個人信息權(quán)表現(xiàn)出來的更多是其私權(quán)屬性，但隨著數(shù)據(jù)經(jīng)濟(jì)時代個人信息權(quán)屬性的日益多元化及其內(nèi)涵外延的多變性，權(quán)利主體必須在自主行使個人信息權(quán)前提下依法維權(quán)，理性應(yīng)對。

（三）個人信息權(quán)法益實踐的刑法跟進(jìn)

刑法對個人信息權(quán)的保護(hù)與完善主要體現(xiàn)在相關(guān)刑法規(guī)范的變遷和發(fā)展方面。隨著《民法典》對個人信息保護(hù)給予一般和獨(dú)立性規(guī)定，刑法對個人信息的保護(hù)范圍隨之?dāng)U大。立法的變遷無不體現(xiàn)出個人信息權(quán)保護(hù)的嚴(yán)峻性和重要性，以預(yù)防犯罪、保護(hù)人權(quán)為立法宗旨的刑法，理應(yīng)以個人信息權(quán)為核心，由單純隱私權(quán)轉(zhuǎn)向個人信息權(quán)，形成既具有理論邏輯自洽性亦彰顯實踐功能自足性的刑法結(jié)構(gòu)樣態(tài)，“完成個人信息保護(hù)從安全本位向權(quán)利本位的優(yōu)雅轉(zhuǎn)身?！盵19]

一是優(yōu)化刑法保護(hù)結(jié)構(gòu)，賦予個人信息權(quán)獨(dú)立性刑事法律地位。

從法哲學(xué)層面分析，權(quán)利理論的科學(xué)性指標(biāo)有兩個，一個是可解釋性，另一個是可實踐性。針對侵犯個人信息權(quán)行為，中國刑法和民法保護(hù)的權(quán)利客體（本質(zhì)）是屬于公民基礎(chǔ)性權(quán)利范疇的一項新型民事實體權(quán)利。由此，相應(yīng)立法設(shè)計應(yīng)堅持個人信息權(quán)立場，確立權(quán)利主體對其個人信息自主決定論，補(bǔ)強(qiáng)利益關(guān)系中弱勢一方。就刑法規(guī)定而言，“在犯罪圈外，形式合理性是實質(zhì)合理性的制度保障；而在犯罪圈內(nèi)，實質(zhì)合理性則是形式合理性的實現(xiàn)手段。”[20]142-145相對傳統(tǒng)隱私權(quán)法益為核心的個人信息保護(hù)理念，通過科學(xué)闡釋個人信息權(quán)的時代性和法理內(nèi)涵，合理延伸公民個人信息權(quán)涵攝范圍，進(jìn)而平衡和融合個人信息人格權(quán)和財產(chǎn)權(quán)的雙重屬性。在明確個人信息權(quán)作為一項獨(dú)立性權(quán)利法律地位基礎(chǔ)上，現(xiàn)行刑法亟須摒棄傳統(tǒng)隱私權(quán)法益保護(hù)結(jié)構(gòu)，提高“侵犯公民個人信息罪”刑法位階。通過賦予個人信息權(quán)獨(dú)立性刑事法律地位，合理拓展個人信息權(quán)的刑法空間，為有效協(xié)調(diào)和平衡個人信息保護(hù)與利用奠定規(guī)范和實踐依據(jù)。

二是秉持謙抑理念，完善“先民后刑”的個人信息法律保護(hù)機(jī)制。

基于個人信息權(quán)權(quán)利屬性的多元化分歧，在法律依據(jù)和適用上亦體現(xiàn)出較大的差異性。中國個人信息保護(hù)之所以呈先刑后民的法律保護(hù)機(jī)制，緣于中國民法關(guān)于公民個人信息權(quán)保護(hù)的立法滯后所致，并非民法本身不作為。司法實踐中，由于保護(hù)理念的滯后性，針對個人信息處理行為中國民法并未予以重點(diǎn)關(guān)注，使得公民在尋求個人信息權(quán)保護(hù)時過于依賴刑法，主要依據(jù)刑法規(guī)范進(jìn)行維權(quán)訴訟。隨著《民法典》頒布實施，無論立法規(guī)定還是立法理念皆體現(xiàn)了對個人信息權(quán)保護(hù)的重視。法律作為國家治理社會的重要工具，各部門法之間是一個位階高低、內(nèi)容相異、處罰手段不同且銜接良好的有機(jī)體?；谛堂褚惑w化的思維，結(jié)合《民法》《刑法》等有關(guān)法律規(guī)定，從建構(gòu)和完善個人信息保護(hù)法律體系角度而言，立足發(fā)展的立場，中國個人信息保護(hù)法律體系的結(jié)構(gòu)應(yīng)當(dāng)是開放性的。在中國《個人信息保護(hù)法》尚未頒行之前，《民法典》與《刑法》《網(wǎng)絡(luò)安全法》等合力構(gòu)筑了中國個人信息權(quán)保護(hù)的主要法律依據(jù)。在公民權(quán)利保護(hù)的法律預(yù)設(shè)中，民法無疑是保障公民主體地位的基本手段和基礎(chǔ)規(guī)范，能夠為個人信息權(quán)實現(xiàn)提供民事法律體系支撐。鑒于個人信息權(quán)的民事權(quán)利之特性，在民法已有明確規(guī)定的情況下，刑法應(yīng)秉持謙抑性理念，尊重前置法相關(guān)規(guī)定，對侵犯個人信息權(quán)行為的法律規(guī)制首先應(yīng)選擇以《民法典》為主的民事法律規(guī)范予以調(diào)整和規(guī)制。只有在超出民事法律規(guī)范調(diào)整范疇時，方可出民入刑尋求刑法保護(hù)，即采“先民而后刑”的個人信息法律保護(hù)機(jī)制。在人類社會發(fā)展的歷史規(guī)律中，科學(xué)技術(shù)的更新迭代，皆有伴隨著社會結(jié)構(gòu)重組以及相關(guān)法律規(guī)則的進(jìn)步與完善，二者共生共長，共同推動人類社會的文明與進(jìn)步。在全面依法治國，推進(jìn)國家治理體系與治理能力現(xiàn)代化進(jìn)程中，個人信息權(quán)利主體究竟是享受著大數(shù)據(jù)帶的信息化陽光，還是迷失在浩瀚的數(shù)據(jù)海洋之中，完全取決于數(shù)據(jù)規(guī)則尤其是法律規(guī)則對個人信息的保護(hù)及其合理利用的理性規(guī)制。

三是優(yōu)化罪刑體系，增強(qiáng)“侵犯公民個人信息罪”解釋力。

刑罰正義的首要原則體現(xiàn)于在罪行與刑罰之間建立一種等量關(guān)系，而刑法的基本立場就是運(yùn)用等量的規(guī)則或尺度，使得行與罪、罪與刑在相當(dāng)?shù)某潭缺３謱Φ群推胶?。但這種對等與平衡并不等于相同，如司法實踐中常常發(fā)生“犯罪的認(rèn)定可能因裁判理念差異、辯護(hù)技巧以及社會輿論因素等而有所不同?！盵21]隨著時代發(fā)展和司法實踐的客觀需要，侵犯公民個人信息罪的司法內(nèi)涵逐漸由單純保護(hù)公民身份數(shù)據(jù)信息，發(fā)展至規(guī)制侵犯公民各項人身、社會活動以及其他直接或間接財產(chǎn)性信息的行為。就犯罪類型而言，侵犯公民個人信息罪屬典型的情節(jié)犯。針對本罪定罪量刑的主要依據(jù)為最高人民法院、最高人民檢察院于2017年5月頒布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（簡稱《解釋》）的相關(guān)規(guī)定，即通過界定侵犯公民個人信息類型和數(shù)量、違法所得數(shù)額、信息用途、主體身份、前科情況、嚴(yán)重后果六項因素進(jìn)行定罪量刑。其中多數(shù)案件是依據(jù)侵犯公民個人信息類型和數(shù)量這一情節(jié)因素予以定罪和量刑。為準(zhǔn)確把握該罪名在《解釋》頒布前后司法實踐中實際適用情況，筆者借助中國裁判文書網(wǎng)對侵犯公民個人信息相關(guān)刑事案例的裁判文書進(jìn)行定量實證分析。由于《刑法修正案（九）》將侵犯公民個人信息相關(guān)罪名進(jìn)行了整合，筆者分別以侵犯公民個人信息罪與非法獲取個人信息罪和出售、非法提供公民個人信息罪兩組罪名對相關(guān)裁判文書下載分析。不預(yù)設(shè)時間、區(qū)域、審判級別，同時篩除指定管轄、減刑假釋類相關(guān)裁判文書，無差別、隨機(jī)各下載400篇，合計800篇相關(guān)裁判文書樣本進(jìn)行考察分析。非法獲取公民個人信息罪與出售、非法提供公民個人信息罪400篇，其中涉案個人信息一千條以下14篇，占比3.5%；一千條到一萬條16篇，占比4%；一萬條到五萬條74篇，占比18.5%；五萬條到一百萬條86篇，占比21.5%；一百萬條到一千萬條170篇，占比42.5%；一千萬條以上40篇，占比10%。侵犯公民個人信息罪400篇，其中涉案個人信息一千條以下8篇，占比2%；一千條到一萬條22篇，占比5.5%；一萬條到五萬條60篇，占比15%；五萬條到一百萬條100篇，占比25%；一百萬條到一千萬條158篇，占比39.5%；一千萬條以上52篇，占比13%。由此可以看出，侵犯個人信息數(shù)量一萬條至一千萬條的案件比重最大，兩組數(shù)據(jù)值分別占比82.5%和79.5%。考察《解釋》第五條第一款第（三）（四）（五）項規(guī)定的“情節(jié)嚴(yán)重”之情形，分析可知，立法機(jī)關(guān)將個人信息內(nèi)容進(jìn)行了類型化界定，如將第（三）項個人信息內(nèi)容界定為個人敏感信息，將第（四）項個人信息內(nèi)容界定為一般個人信息，除此之外的信息類型劃為其他個人信息范疇①《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第5條第一款：非法獲取、出售或者提供公民個人信息，具有下列情形之一的，應(yīng)當(dāng)認(rèn)定為刑法第253條之一規(guī)定的“情節(jié)嚴(yán)重”：（一）出售或者提供行蹤軌跡信息，被他人用于犯罪的；（二）知道或者應(yīng)當(dāng)知道他人利用公民個人信息實施犯罪，向其出售或者提供的；（三）非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的；（四）非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息五百條以上的；（五）非法獲取、出售或者提供第三項、第四項規(guī)定以外的公民個人信息五千條以上的；（六）數(shù)量未達(dá)到第三項至第五項規(guī)定標(biāo)準(zhǔn)，但是按相應(yīng)比例合計達(dá)到有關(guān)數(shù)量標(biāo)準(zhǔn)的；（七）違法所得五千元以上的；（八）將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者提供給他人，數(shù)量或者數(shù)額達(dá)到第三項至第七項規(guī)定標(biāo)準(zhǔn)一半以上的；（九）曾因侵犯公民個人信息受過刑事處罰或者二年內(nèi)受過行政處罰，又非法獲取、出售或者提供公民個人信息的；（十）其他情節(jié)嚴(yán)重的情形。。據(jù)此，這種將個人信息從內(nèi)容、類型到量的規(guī)定對侵犯公民個人信息犯罪定罪量刑的影響是客觀的，發(fā)揮的作用也是直接的。

數(shù)據(jù)經(jīng)濟(jì)形態(tài)中的個人信息權(quán)法益蘊(yùn)含著個人信息保護(hù)和利用的雙重價值，從隱私權(quán)到個人信息權(quán)，體現(xiàn)了利益衡量的理論與制度發(fā)展，其權(quán)利范疇和規(guī)范客體亦由單純的個人隱私性權(quán)利，演變?yōu)槿烁駲?quán)和財產(chǎn)權(quán)雙重客體。據(jù)此，侵犯個人信息權(quán)之行為其實質(zhì)屬性系屬侵害個人法益的自然犯，而非侵害超個人法益的法定犯。“尋求社會保護(hù)與自由保障的平衡是刑法解釋學(xué)永恒的追求，伴隨信息化發(fā)展以及犯罪業(yè)態(tài)的迭代升級，刑法解釋在網(wǎng)絡(luò)時代遇到新的挑戰(zhàn)?！盵22]中國刑法關(guān)于公民個人信息權(quán)保護(hù)的客體已然跨越由單一客體向多元客體轉(zhuǎn)變的歷史階段，體現(xiàn)了刑法作為二次保障法的歷史進(jìn)步性。隨著這一歷史性轉(zhuǎn)變的完成，司法實踐亦為刑法發(fā)展指明了發(fā)展方向：其一，民刑兼容，明確個人信息權(quán)在民刑實體法中基礎(chǔ)性權(quán)利位階，由單一客體保護(hù)轉(zhuǎn)向多元客體的規(guī)范和保護(hù)。不僅包括典型的、傳統(tǒng)意義上的個人身份性數(shù)據(jù)和信息，亦包含信息化生活中通過大數(shù)據(jù)技術(shù)或平臺挖掘、提取和收集的權(quán)利主體的各項身份性信息和生物數(shù)據(jù)，如身體方面的指紋信息、面部數(shù)據(jù)、社會交往中的通訊數(shù)據(jù)、經(jīng)濟(jì)交往中的財產(chǎn)性數(shù)據(jù)等；其二，明確個人信息權(quán)法益自決性立場，由安全本位向權(quán)利本位轉(zhuǎn)變；從側(cè)重傳統(tǒng)、典型侵犯個人身份信息安全犯罪的預(yù)防，轉(zhuǎn)向侵犯個人信息自主權(quán)犯罪的預(yù)防和懲治。以侵犯個人信息權(quán)財產(chǎn)性權(quán)益為例，個人信息處理者通過不當(dāng)挖掘、讀取和采集身份性信息，進(jìn)而侵犯由身份信息附帶和衍生的各類新型財產(chǎn)性利益、數(shù)據(jù)性利益。其三，從刑法目的論角度分析，通過打擊侵犯公民個人信息權(quán)犯罪行為, 預(yù)防二次財產(chǎn)性犯罪，追求阻止預(yù)備行為實行化的法律效果，避免重復(fù)性評價。由此，立足實質(zhì)犯罪論解釋立場，以刑法第253條之一——侵犯公民個人信息罪這一刑法規(guī)范為邏輯起點(diǎn)，借助刑法教義學(xué)方法論，實現(xiàn)侵犯公民個人信息罪的法教義學(xué)解釋及其民刑體系化建構(gòu)。

三、邏輯協(xié)調(diào)：實踐語境下個人信息處理同意的場景化差異

德國古典哲學(xué)康德以二律背反提出形而上學(xué)難題，實際上提出了一個存在論的難題，其根源在于世界存在論上的不一致性。純粹理性二律背反的發(fā)現(xiàn)不僅找到了形而上學(xué)陷入困境的根源，而且找到解決問題的基本途徑，即實踐。實踐可以使主觀見之于客觀，論證相對性與絕對性的統(tǒng)一[23]。在個人信息保護(hù)方面，個人信息權(quán)的語境實質(zhì)是權(quán)利保護(hù)與個人信息利用二律背反的邏輯協(xié)調(diào)問題，也是權(quán)利處分自由以及要求他人（包括國家）給予法益尊重的法律問題，這本身就是一個實踐性命題。同意原則是個人信息保護(hù)的首要基本原則，是權(quán)利主體自由意志的體現(xiàn)，也是權(quán)利主體實現(xiàn)信息處分自由的基本前提?！懊穹ㄉ系囊馑甲灾卧瓌t貫徹到信息處理和使用領(lǐng)域，必然要遵循知情同意原則?！盵24]針對個人信息保護(hù)與信息利用二律背反的實踐困境，應(yīng)結(jié)合個人信息處理在全產(chǎn)業(yè)鏈條不同環(huán)節(jié)、不同處理目的、不同數(shù)據(jù)類型、不同處理方式以及不同主體等給予場景化、差異化的“同意”預(yù)設(shè)。司法實踐中，通過闡釋個人信息權(quán)的法理屬性，將“同意”形態(tài)進(jìn)行場景化界定并不存在方法論上的困難。

（一）知情同意：個人信息處理合法性之核心依據(jù)

“個人信息與普通數(shù)據(jù)最大的區(qū)別即在于其‘可識別性’記載和處理。”[25]由于語境差異，相對歐盟、美國等發(fā)達(dá)國家中國公民個人信息權(quán)意識尚顯淡薄。通常情況下，只有在數(shù)據(jù)處理行為直接涉及個人隱私、名譽(yù)或財產(chǎn)性利益等情形時才會引起權(quán)利主體的高度重視。由此即給予人們一種假象：只要不直接涉及個人隱私、名譽(yù)或財產(chǎn)性利益等，即便未經(jīng)權(quán)利主體同意亦可進(jìn)行個人信息處理。但在“大數(shù)據(jù)時代，碎片化的數(shù)據(jù)經(jīng)過結(jié)構(gòu)化處理即可形成完整的‘人格拼圖’，使人們無所遁形?！盵26]這一點(diǎn)在數(shù)據(jù)性經(jīng)濟(jì)活動或商業(yè)活動中表現(xiàn)得尤為明顯。除此，許多公權(quán)主體認(rèn)為只要是履行職責(zé)所需，即可進(jìn)行個人信息處理，無須經(jīng)過權(quán)利主體同意。縱觀中國相關(guān)法律規(guī)定，除《網(wǎng)絡(luò)安全法》第41、第42條明確規(guī)定個人信息處理需經(jīng)權(quán)利主體同意外，作為保障個人信息權(quán)的主要法律依據(jù)《民法典》和《個人信息保護(hù)法（草案）》亦明確個人信息處理須經(jīng)權(quán)利主體同意，進(jìn)一步充實了司法實踐中針對非網(wǎng)絡(luò)場景中非法處理個人信息行為“知情同意”原則的法律依據(jù)。

信息處理有法度, 即個人信息處理應(yīng)以恪守法律規(guī)范為前提。但“法律的滯后性常常使實踐走在理論前面，實踐對前沿問題給出的判斷經(jīng)常在理論界引起爭議?！盵27]如“隨著網(wǎng)絡(luò)爬蟲技術(shù)在個人信息處理過程中廣泛應(yīng)用，其技術(shù)中立性立場逐漸衍變?yōu)椤赖律峡梢傻牟⒈灰暈檫`法’的技術(shù)?！盵28]對正在制定的《個人信息保護(hù)法》是否應(yīng)明確“知情同意”作為個人信息處理的合法性前提，學(xué)界頗有爭議：其一，無正當(dāng)依據(jù)。個人信息雖然與個人相關(guān)，卻并非專屬個人所有，其他人在個人信息上也有利益點(diǎn)，是否進(jìn)行個人信息處理不應(yīng)由權(quán)利主體個人決定。以個人征信系統(tǒng)為例，個人信用報告制度之所以能夠發(fā)揮作用就是因為不需要經(jīng)過權(quán)利主體同意，信用報告機(jī)構(gòu)即可取得其敏感性數(shù)據(jù)。如果要求以同意為前提，由權(quán)利主體自行決定是否同意，必然導(dǎo)致整個信用報告系統(tǒng)崩潰。其二，缺乏實踐性。由于個人信息的隱蔽性和分散性，除非嚴(yán)重危及個人隱私安全、榮譽(yù)或財產(chǎn)性利益等，權(quán)利主體未必有興趣和精力對外界處理其個人信息進(jìn)行制止和干預(yù)。信息化背景下，在現(xiàn)代信息化、智能化生活中時時需要個人信息進(jìn)行商業(yè)或公共活動，嚴(yán)格和繁瑣的“同意”履行程序必然影響個人信息化生活的便捷性，缺乏實際操作價值。其三，阻礙信息化發(fā)展。大數(shù)據(jù)時代，數(shù)據(jù)流動即創(chuàng)造價值，嚴(yán)格的個人信息處理規(guī)范，必然影響個人信息資源的充分與高效化利用，遲滯社會信息化發(fā)展。其四，信息處理成本提高。嚴(yán)格的“同意”規(guī)定在客觀上造成程序繁瑣、時間延遲以及數(shù)據(jù)流動成本的大幅增加。如為取得權(quán)利主體的知情同意，須先與其取得聯(lián)系，同時需要制作、印刷和傳達(dá)個人信息處理通知等信息材料。如此必然帶來人力、物力和時間成本的規(guī)?；度耄@些投入也必將反映在個人信息產(chǎn)品和服務(wù)的價格上，最終由包括權(quán)利主體在內(nèi)的消費(fèi)者承擔(dān)。除此，產(chǎn)品成本的增加也會反映在個人信息處理者尤其是商業(yè)主體之間競爭格局的變化或失衡方面。

數(shù)據(jù)共享是數(shù)據(jù)利用、流通和產(chǎn)業(yè)發(fā)展的基礎(chǔ)，但“個人信息共享應(yīng)當(dāng)獲得信息權(quán)利人的授權(quán)?！盵29]否認(rèn)個人信息權(quán)作為一項基礎(chǔ)性權(quán)利的法律地位，忽視權(quán)利主體對其個人信息處理“知情同意”的必要性與合理性，僅在權(quán)利被侵害或?qū)е缕渌袷聶?quán)利受到客觀侵害時才予以救濟(jì)，本質(zhì)上是否定個人信息權(quán)的實體權(quán)性質(zhì)，不符合信息化可持續(xù)發(fā)展要求，也有悖現(xiàn)代法治社會發(fā)展趨勢。以利用虛假廣告非法獲取公民個人信息為例，通過判例可知，此類行為利用虛假廣告，非法獲取公民個人信息的行為顯然違反了權(quán)利主體對真實情況知情之前提，缺乏知情同意之合法性基礎(chǔ)①張某某等利用虛假廣告非法獲取公民個人信息案。溫州市龍灣區(qū)人民法院〔2019〕浙0303刑初756號判決書。。根據(jù)國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部以及國家市場監(jiān)督管理總局2019年11月28日聯(lián)合印發(fā)的《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》，明確規(guī)定九類可被認(rèn)定為未經(jīng)同意收集使用個人信息之行為②1.征得用戶同意前就開始收集個人信息或打開可收集個人信息的權(quán)限；2.用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權(quán)限，或頻繁征求用戶同意、干擾用戶正常使用；3.實際收集的個人信息或打開的可收集個人信息權(quán)限超出用戶授權(quán)范圍；4.以默認(rèn)選擇同意隱私政策等非明示方式征求用戶同意；5.未經(jīng)用戶同意更改其設(shè)置的可收集個人信息權(quán)限狀態(tài)，如App更新時自動將用戶設(shè)置的權(quán)限恢復(fù)到默認(rèn)狀態(tài)；6.利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項；7.以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶同意收集個人信息或打開可收集個人信息的權(quán)限，如故意欺瞞、掩飾收集使用個人信息的真實目的；8.未向用戶提供撤回同意收集個人信息的途徑、方式；9.違反其所聲明的收集使用規(guī)則，收集使用個人信息。。正確認(rèn)識“知情同意”作為個人信息處理的合法性依據(jù)乃法理所求、實踐所需。

（二）相對同意：權(quán)利主體同意的基本形態(tài)

合理即要求合乎自然邏輯和原理，而合法自然要求合乎法理與規(guī)范。個人信息處理是否必須經(jīng)過權(quán)利主體明確同意，國際方面尚沒有哪個國家制定非此即彼的規(guī)定，而是依據(jù)處理數(shù)據(jù)的類型、處理目的等區(qū)別對待。GDPR雖將“知情同意”視為個人信息處理的基本條件，但其中亦規(guī)定了諸多例外情形，如通過制定但書、克減條款等對例外情形作出補(bǔ)充③如在數(shù)據(jù)主體因為身體上或法律上的原因（緊急情況）不能作出同意時；處理是由具有政治、哲學(xué)、宗教或工會目的的非營利團(tuán)體進(jìn)行并且該處理僅涉及團(tuán)體成員或前成員，且相關(guān)數(shù)據(jù)在未經(jīng)數(shù)據(jù)主體同意的情況下不會向第三方披露；涉及已由數(shù)據(jù)主體公開的個人信息的處理；為合法訴求成立、行使或抗辯或法院行使其司法職能之目的所必需的處理；根據(jù)歐盟或成員國的法律，為重大公共利益所必需的處理等。，對權(quán)利作出適當(dāng)限制，對義務(wù)和責(zé)任給予適當(dāng)豁免。由此在很大程度上緩和了這一規(guī)范的嚴(yán)厲性。

在正確認(rèn)識“知情同意”作為個人信息處理合法性依據(jù)的基礎(chǔ)上，為促進(jìn)信息化發(fā)展，根據(jù)個人信息處理場景的差異，可將同意的形態(tài)分為絕對同意與相對同意。絕對同意即原則上要求一切個人或組織在處理個人信息之前須征得權(quán)利主體知情同意，否則權(quán)利主體有權(quán)反對和采取必要措施對抗未經(jīng)同意的信息處理行為。同時，不反對即視為同意，即相對同意。但涉及個人生物性數(shù)據(jù)、兒童個人信息等敏感性數(shù)據(jù)類型的處理，排斥相對同意形態(tài)，針對此類信息的處理仍須堅持絕對同意為前提。由此，“絕對同意”賦予權(quán)利主體的權(quán)利結(jié)構(gòu)更加充分和完整。現(xiàn)實生活中，以上兩種情形下的同意權(quán)即便存在差別，卻并不顯著。差別僅僅體現(xiàn)在實踐中權(quán)利主體如何行使或把握個人信息權(quán)的問題，即權(quán)利主體個人信息權(quán)的單方行使方面。

作為個人信息自決權(quán)依據(jù)的“同意”，可等同于刑法教義學(xué)上的“被害人承諾”，其在實質(zhì)犯罪論語境下具有阻卻行為違法性進(jìn)而阻卻構(gòu)成要件該當(dāng)性之功能[30]。在實質(zhì)犯罪論體系中“承諾行為”因不具違法性而應(yīng)排除其構(gòu)成要件符合性特征。但“個人信息權(quán)作為一項民事權(quán)利，基于公共利益、他人權(quán)利保護(hù)等應(yīng)受到適當(dāng)限制，這一限制實際上也劃定了個人信息權(quán)的權(quán)利邊界?！盵31]具體而言，在“相對同意”形態(tài)之下，除非權(quán)利主體明確表示反對，否則對個人信息處理不加干預(yù)。只要處理目的合法且通過合法途徑、采用合法方式處理個人信息，只需權(quán)利主體“相對同意”即可。理論的沖突與張力可以通過實踐和驗證方法進(jìn)行緩和、協(xié)調(diào)并給予科學(xué)化定論。對何種場景下法律須明確規(guī)定“絕對同意”或“相對同意”，可通過對以上兩種同意形態(tài)的概率性分析進(jìn)行把握。實踐中，針對某類個人信息處理行為一般人通常不會提出異議，如偵查機(jī)關(guān)為破案需要而對犯罪嫌疑人進(jìn)行人格畫像，對此類處理行為即無須以“同意”為前提。反之，若涉及個人信息處理的行為一般人通常情況下皆可能表示反對，此時即符合“絕對同意”之構(gòu)成要件。典型案例如在鄧某某等侵犯公民個人信息案中，被告被指控向他人非法出售公民個人信息，被告辯護(hù)稱出賣的是淘寶店鋪并非公民個人信息且未對注冊人造成實際損害。但審判人員認(rèn)為侵犯公民個人信息罪保護(hù)法益不僅包括人身民主權(quán)利，還包括社會管理秩序。即便獲取個人信息行為得到權(quán)利主體同意且已支付相應(yīng)對價，其仍侵犯了該罪客體，遂判處被告侵犯公民個人信息罪①廣東省開平市人民法院刑事判決書〔2018〕粵0783刑初215號。。本案中，對淘寶店鋪的打包出售對象顯然包括該店鋪所有注冊人信息，被害人在該店鋪注冊賬號之時既已被告知注冊風(fēng)險，仍選擇同意注冊。此類情形下被害人同意即可視為“相對同意”，“相對同意”阻卻此類出售行為之不法性。據(jù)此，“相對同意”的實踐價值體現(xiàn)在：場景化的告知要求、便捷化的異議表達(dá)渠道、低成本的通知方式以及對社會信息化發(fā)展的促進(jìn)等。

針對政府機(jī)關(guān)、司法部門等公權(quán)主體的個人信息處理行為，可遵循“相對同意”為主，“絕對同意”為補(bǔ)充的同意機(jī)制。通過暢通新聞媒介、行政、司法等監(jiān)督渠道，推動個人信息處理者及時履行告知義務(wù)，確保權(quán)利主體作出同意形態(tài)的選擇前的知情權(quán)。如此把握首先考慮的是公權(quán)主體履行工作職責(zé)所需。在避免損害權(quán)利主體個人利益前提下，為維護(hù)公共利益、保障公民生命財產(chǎn)安全以及為正常履職所必需等進(jìn)行的個人信息處理行為皆可視為“相對同意”形態(tài)下信息處理行為。如為維護(hù)權(quán)利主體重大利益，訂立或履行以權(quán)利主體為乙方當(dāng)事人的個人信息處理或服務(wù)合同，因為合同行為本身即包含權(quán)利主體知情同意的意思表示，由此奠定了阻卻個人信息處理行為的違法性基礎(chǔ)。

（三）真實同意：權(quán)利主體同意的意思表達(dá)

通常情況下，個人信息處理行為須以權(quán)利主體“同意”的意思表示為前提，即以權(quán)利主體真實“同意”為其合法性基礎(chǔ)。同時，“同意”的意思表示行為應(yīng)建立在“知情”的基礎(chǔ)之上，即在權(quán)利主體收到個人信息處理通知后，經(jīng)過理性判斷，自由作出的表明同意處理其個人信息的意思表示。嚴(yán)格而言，這種“真實同意”的意思表示必須同時滿足條件：（1）同意是權(quán)利主體在充分知情的基礎(chǔ)上作出的；（2）同意是清楚、明確的，而不是模糊的意思表示行為；（3）同意必須是權(quán)利主體經(jīng)過理性判斷后，根據(jù)其真實意愿自由作出的。

“意志自由是責(zé)任的基礎(chǔ)，雖然自由意志難以得到科學(xué)證明，但自由意志是值得向往和保護(hù)的?！盵32]因此，同意的正當(dāng)性建立在權(quán)利主體的自由意志基礎(chǔ)之上。如果屬于敏感、特殊類型的個人信息，則同意過程中必須明確提及或強(qiáng)調(diào)這些信息。特定情形下，對“知情同意”合法性依據(jù)的成立還有更為嚴(yán)格的要求。如在互聯(lián)網(wǎng)虛擬化場景中處理未成年人信息或個人敏感性信息，若權(quán)利主體作出同意意思表示時并未充分知情，或未完全理解同意后果的風(fēng)險性，此時對“同意”應(yīng)做嚴(yán)格的法律解釋。此外，在勞動合同中，勞動者的“同意”經(jīng)常身不由己，此類情形也需要明確嚴(yán)格的法律解釋立場。

關(guān)于同意嫌疵問題，常見情形如合同締結(jié)過程中當(dāng)事人通過各種“霸王條款”“格式條款”取得相對方所謂的“知情同意”。在互聯(lián)網(wǎng)生活中通過類似格式條款以及故意隱匿信息等方式使權(quán)利主體“被同意”的情形更為常見。如在使用社交、美食、娛樂軟件過程中，在填寫個人信息后，彈出包含其隱私政策以及是否同意的“請求”，授權(quán)即可繼續(xù)操作使用，不給權(quán)限則難以進(jìn)行下一步操作。根據(jù)艾媒咨詢發(fā)布的《2018年中國手機(jī)隱私權(quán)限測評報告》顯示，54.3%的受訪網(wǎng)民知道APP泄露隱私信息，但沒有辦法，只能繼續(xù)使用。現(xiàn)實生活中，在個人信息受侵犯的問題上廣大網(wǎng)民并不具有實質(zhì)選擇權(quán)。因為疑似越界調(diào)取用戶權(quán)限的部分APP在行業(yè)內(nèi)具有領(lǐng)先優(yōu)勢，強(qiáng)制使用推送功能、不給權(quán)限不讓用、超范圍索取權(quán)限，網(wǎng)民“同意”的意思表達(dá)通常也是被強(qiáng)迫之行為。中國《民法典》《消費(fèi)者權(quán)益保護(hù)法》等法律規(guī)范對此類“格式條款”“霸王條款”皆規(guī)定了明確的禁止性條款。對濫用市場支配地位、無正當(dāng)理由拒絕與相對人繼續(xù)交易的行為，中國《反壟斷法》對此也規(guī)定了相關(guān)責(zé)任追究機(jī)制。除此，《個人信息保護(hù)法（草案）》以及2018年5月實施的《信息安全技術(shù)個人信息安全規(guī)范》更是規(guī)定了明示同意（explicit consent）原則①根據(jù)《信息安全技術(shù)個人信息安全規(guī)范》之明示同意規(guī)定，即個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進(jìn)行特定處理做出明確授權(quán)的行為。肯定性動作包括個人信息主體主動作出聲明、主動勾選、主動點(diǎn)擊“同意”“注冊”“發(fā)送”“撥打”等。。但這些禁止性規(guī)范的貫徹執(zhí)行，需要司法機(jī)關(guān)尤其是法院在審判實踐中轉(zhuǎn)變對侵犯公民個人信息權(quán)的認(rèn)識之后方能予以貫徹落實。如在張某與北京某商業(yè)服務(wù)有限公司等侵權(quán)責(zé)任糾紛一案中，審判人員認(rèn)為“使用免費(fèi)高速充電服務(wù)，即視為同意安裝APP”的內(nèi)容提示之行為已履行告知義務(wù)，對可能存在的個人信息泄露風(fēng)險因證據(jù)不足予以否認(rèn)②北京市第二中級人民法院〔2019〕京02民終9 202號判決書。。據(jù)此可以推斷審判人員對涉嫌新型侵犯個人信息權(quán)之類的“格式條款”“霸王條款”缺乏深層了解，對個人信息處理中權(quán)利主體真實同意缺乏科學(xué)認(rèn)識。對以上同意嫌疵問題，司法機(jī)關(guān)理應(yīng)依法予以糾正。

客觀而言，以上一般性規(guī)范只有在滿足一定構(gòu)成要件時才能發(fā)揮其法律效力。在《個人信息保護(hù)法》立法過程中，強(qiáng)調(diào)權(quán)利主體同意的真實性是保障個人信息處理合法性的基本要求。除GDPR之外，中國香港地區(qū)《個人資料（隱私）條例》也明確規(guī)定除非獲得權(quán)利主體明示同意，否則個人信息只可用于在收集資料時所聲明的用途或與其直接有關(guān)的用途。但在司法實踐中，“為避免法益概念的抽象化并充分發(fā)揮其限制處罰之機(jī)能，在確定個人信息權(quán)法益前提下應(yīng)將之具體化?！盵33]參考域外立法例，為確保權(quán)利主體知情同意的實效性，保障個人信息處理合法進(jìn)行，可予以必要限制：首先，明確告知權(quán)利主體個人信息處理目的、方式、途徑等，以實現(xiàn)知情前提下的同意；其次，涉及個人敏感性數(shù)據(jù)，應(yīng)及時、準(zhǔn)確告知涉及信息的類型和目錄；合同文本中不得以“小字體”，或網(wǎng)絡(luò)和商業(yè)活動中不得以“點(diǎn)擊同意”或類似方式取得權(quán)利主體之“同意”；最后，禁止濫用市場支配地位，以作為提供服務(wù)的前置性條件等方式取得權(quán)利主體的同意授權(quán)。

四、結(jié)語

數(shù)據(jù)的信息化向來與信息權(quán)或數(shù)據(jù)權(quán)相伴而生，任何一項信息的權(quán)利屬性，都是個人信息權(quán)的權(quán)利回歸。本質(zhì)而言，無論對個人信息的保護(hù)亦或利用在法律上均屬于公民個人信息權(quán)的法益實踐問題。個人信息權(quán)的法益實踐不應(yīng)局限于私權(quán)理念下的侵權(quán)責(zé)任賠償問題，而應(yīng)在科學(xué)闡釋個人信息權(quán)作為一項新型權(quán)利形態(tài)以及獨(dú)立性法律地位的基礎(chǔ)上，明確個人信息權(quán)法益屬性及其法益自決性立場。針對個人信息權(quán)一體兩面的權(quán)利特征及其客觀存在二律背反邏輯難題，應(yīng)秉持個人信息處理在全產(chǎn)業(yè)鏈不同環(huán)節(jié)、不同處理目的、不同數(shù)據(jù)類型、不同處理方式以及不同主體等場景化、差異性的同意形態(tài)。由此，正確認(rèn)識知情同意作為個人信息處理合法性的核心依據(jù)，明確相對同意這一權(quán)利主體同意的基本形態(tài)，強(qiáng)調(diào)真實同意作為權(quán)利主體同意的真實意思表達(dá)。作為信息化基礎(chǔ)構(gòu)成的個人信息日益成為新型違法和數(shù)據(jù)犯罪的重災(zāi)區(qū)，刑法作為人類治理社會、實現(xiàn)公平正義與善德之工具尚未在形式與實質(zhì)上對其實現(xiàn)理性駕馭，需要在理性論證個人信息權(quán)保護(hù)的生成環(huán)境、結(jié)構(gòu)框架以及實踐效果基礎(chǔ)上，推動刑法隨著新型犯罪形態(tài)衍生與時俱進(jìn)并適時作出回應(yīng)。