陈凯明

摘 要：互联网企业仰赖个人信息的获取、流通和利用，以实现服务的精准化和个性化。但刑法中侵犯公民个人信息罪限制获取、提供与出售个人信息的行为，个人信息的安全价值与经济价值之间存在着巨大的矛盾。立法对个人信息的严格保护，有过度妖魔化个人信息危险性和超体系解释特殊保护的嫌疑。司法解释对两种侵犯公民个人信息行为方式的定义存在逻辑的不自洽。互联网企业获取、利用个人信息和相应的商业创新都有可能受到刑法制裁。故通过构成要件的限缩解释、引入主观要件和合法经营的阻却事由等方法，可以为互联网企业获取、利用个人信息提供合法、可行的路径。

关键词：互联网企业 侵犯公民个人信息 非法 入罪 脱罪

一、问题的提出

互联网企业凭借发达的信息技术迅猛发展，海量的数据和用户信息成为了互联网企业的生产要素，以此实现了个性化、定制化的多元服务。与此同时，公民对大数据时代个人信息的保护也有更高的要求。刑事法律及司法解释也由此不断修正和颁布，2009 年《刑法修正案（七）》首次将侵犯公民个人信息行为入罪，2015 年《刑法修正案（九）》进一步扩大了侵犯公民个人信息行为的刑事打击范围，特别取消了原有条文中“非法提供”中的“非法”二字，对向他人提供公民个人信息或者接受公民个人信息的行为予以刑事制裁。为更加明确打击的范围和入罪标准，2017年6月“两高”施行《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），其中第6条明确了“为合法经营活动而非法购买、收受”的行为依“个人信息的种类”“数量”“获利”等也可能承担刑事责任。

公民个人信息充分利用后的便利性与个人隐私、人格尊严等基本权的安全价值之间，存在着不可调和的“鸿沟”。互联网企业的迅猛发展也加剧了其自身的刑事风险，在安全与效益之间，正确地理解、适用侵犯公民个人信息罪，成为互联网企业合法使用数据资源，切实保护公民的个人隐私和人格尊严不受侵犯的应有之义。

二、严格立法：互联网时代公民个人信息的特别保护

（一）公民个人信息不法利用的社会恐慌

我国刑法中侵犯公民个人信息罪是“情节犯”，根据《解释》第5条的规定，“出售与非法提供”“非法获取”个人信息的数量是衡量情节是否严重的重要标准。刑事法律所保护的是多个个人信息累加后的群体性法益，而非个体性的信息安全。此外，个人信息的不法利用也将导致不特定多数人的人身、财产受到侵害。《解释》同样将公民个人信息被用于其它犯罪以及造成严重后果，作为“情节严重”的评价标准。大量的个人信息被收集、利用可能为下游犯罪提供不法的养料，从而产生其他犯罪的连锁反应，特別是被利用于“电信诈骗”“非法侵入计算机系统罪”等犯罪。由此，产生“侵犯公民个人信息罪”是原罪的观点，一旦触犯就可能对不特定多数人和公共安全产生巨大危害。基于对风险社会中安全价值的追求，确保社会共同体安定生活的需要，打击侵犯公民个人信息罪上升到了维护公共秩序的价值高度。

这一观点颇有“妖魔化”侵犯公民个人信息罪的嫌疑，夸大了该罪的风险范围。一方面，侵犯公民个人信息罪保护的是公民的人身、民主权利而非“公共安全”，即公众基于对侵犯公民个人信息罪可能引发的后续犯罪的恐慌，夸大该罪的公众性。另一方面，制造可能的风险不等于现实的危险。[1]一个大量持有非敏感个人信息的仅做商业推广的当事人之危害程度一定比少量掌握特定人敏感信息的窥私行为更有现实危险性吗？因此，仅以侵犯公民个人信息的行为而不依托于行为目的的考量，无法认定此行为对何种法益制造了危险。

（二）体系解释中“公民个人信息”的特殊化

我国刑法对“公民个人信息”的流通全面禁止。刑事法律直接禁止的交易对象，无外乎标的物自身具有实际的危险性或者能够间接影响重大法益的情况。此类标的是刑法不问目的、手段和条件而绝对禁止的。其一，是交易对象自身具有的实际危险性，如“毒品”;其二，是交易对象涉及重大利益，虽然自身无实际的危害，但承载的内容一般会影响特定的法秩序和重大法益，如“妇女、儿童”“假币”等;其三是部分禁止买卖的标的物，但并非无条件禁止流通的，如“枪支、弹药、爆炸物以及危险物质”等，上述标的物仅有在国家管制、行为“非法”以及主观“非法”的情况下方构成犯罪。那么，以“公民个人信息”何以能够成为刑法中绝对禁止流通的标的物呢？

从体系解释上看，确实难以证成。公民个人信息是由私人属性和社会活动所形成的数据，在对社会秩序的影响上或许与“国家公文、印章”“身份证件”“试题和答案”等接近，但后者一般是依托于国家机关而产生的，如买卖将损害国家机关的公信力。但“合法”的个人信息的流通并不必然导致个人法益受损。再者，公民个人信息具有流通的价值性，不同于上述分析的任何一个物品，其利用和流通是符合社会经济发展的需要的，并不会直接危害市场经济秩序，反而具有巨大的价值。对“公民个人信息”流通的打击是刑罚制裁的特殊存在，这是否符合比例原则，有待商榷。

三、解释宽泛：互联网企业发展的高刑事风险

刑法第253条之一第3款和《解释》第3、4条对“出售、提供”型和“窃取和非法获取”型的侵犯公民个人信息犯罪予以了区分和规范。其中，“违反国家有关规定”“购买、收受、交换”“非法获取”等不确定法律概念成为了判断构罪与否的核心。在从严打击的刑事政策和信息加速流通的时代背景下，二者直接碰撞将带来互联网企业极高的刑事风险。

（一）“信息自决”下，个人信息获取的合法性问题

1.互联网企业个人信息收集模式易侵犯用户知情权。网络产品、服务的隐私政策一直是互联网企业在个人信息保护上的痛点问题。互联网企业在用户知情的情况下，经信息主体的同意，直接对个人信息进行收集和处理是最直接的方式。一般认为，企业在充分告知，用户充分知情的情况下，基于用户的理性思考进行信息自决，是适法的个人信息收集模式。形式上，用户一般通过点击“我同意”“我接受”等链接确定对企业收集行为的知悉和许可。但仅通过阅读、点击的行为很难认定是合意的达成或信息的处分;实践中，长篇大论的隐私政策往往晦涩难懂、专业而宽泛，用户常常因时间问题一扫而过，极少有认真阅读的情况。对用户而言，企业的隐私政策的告知更像是“免责声明”而非是合同条款，因为若点击不同意等选项则无法继续浏览或接受服务，在双方能力不对等的情况下，根本无从掌握和监督企业收集个人信息的行为是否进行了有效约束。因此，如果将点击行为视为合同的签署，难以对用户的知情权予以合理的保障。

2.非“合法”即“非法”的解释漏洞。公民对其个人信息拥有控制权和自主决定权，能够自主决定信息是否被收集、被披露，决定信息如何被收集、处理和应用。《解释》第4条规定，违反国家有关规定，提供服务过程中收集公民个人信息的属于“以其他方法非法获取公民个人信息”，可见有无“违反国家有关规定”是判断是否非法获取的前提。网络安全法第41条规定，“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经收集者同意……”根据我国法律规定，取得被收集者的授权同意是个人信息收集的必经程序。《信息安全技术个人信息安全规范》也规定，企业应当取得被收集者明示同意。用户在未注意下因系统默认勾选而同意，是企业代替用户做选择，而非用户明确的、主动的、肯定的授权行为，应认定为“非法获取”。

以支付宝年度账单事件为例，此前，支付宝个人年度账单通过智能分析可以将用户的消费习惯予以精细化的总结，并被用户纷纷转发分享。其生成年度账单的操作中，默认勾选有“我同意芝麻服务协议”的字样，以不显眼的字体标注在页面下方，若不注意，该默认选项将直接“允许支付宝收集用户的信息包括在第三方保存的信息”。该情况经主流媒体报道后，支付宝第一时间道歉并取消默认勾选，同时告知已默认勾选用户取消授权的操作流程。从情节上看，未经支付宝用户明示同意的情形下获取个人信息的行为有刑事犯罪之嫌，且作为移动支付工具和公共服务软件，拥有上亿用户的财产、社保、交通、民政等相关个人信息，无论是所涉信息的敏感程度还是数量之庞大，均满足《解释》第5条所规定的“情节严重”、甚至“情节特别严重”的标准。由该事件延伸，互联网企业未经用户明示同意或侵犯用户知情权、选择权而获取信息之行为，无论是否用于合法经营活动均属于“非法”。那么，《解释》第4条就为刑事法律跳过民事、行政法律将企业收集用户信息行为入罪化大开方便之门。

（二）“共享经济”中，个人信息流动的合法性问题

1.数据的利用与刑法禁止个人信息流动的矛盾。开放的数据是移动互联网发展的技术基础。信息作为互联网企业的生产资料，具有可复制的特点，直接催生了“共享经济”的商业模式，甚至思维模式。互联网的浪潮下催生的云计算、大数据都体现了信息生产力的本质。

购买、收受、交换是《解释》中列明的非法获取公民个人信息的方式。个人信息不能作为上述行为的客体，有学者认为个人信息的法律内核是“人身屬性+财产属性+相关法益关联属性”，因为其包括了基于人身属性的“可识别性”身份信息、基于财产属性的财产类和账号类信息、相关法益具有关联性的其他信息。[2] 这一复杂的权利属性决定了个人信息不能直接成为民事法律关系的客体。但在大数据时代，数据、信息是计算和决策的核心，仅通过自行收集的个人信息难以支撑其庞大、精准的网络服务，通过其他外部渠道获取所需数据势在必行。可用户信息的分享、交换、许可使用都是违法犯罪的行为。

2.互联网企业并购潮——购置股权以获取个人信息。为充分利用数据，互联网企业有了“明修栈道，暗度陈仓”的方式，即通过针对其他可以合法方式取得信息的使用资质。例如，近年来以互联网企业并购数量与日俱增，部分并购案以及购置股权反映了互联网生态链布局和信息共享的灵活处理机制。以阿里巴巴公司为例，其通过大举购买股份的方式扩张商业版图。阿里巴巴曾以近3亿美元价格收购高德软件公司股份，成为最大股东。通过股权购置强强联合的目的在于“为用户提供一体化生活服务以及为生活服务商户提供信息发布、搜索、数据挖掘、支付等电子商务服务”。阿里巴巴与高德并购旨在通过技术和信息的深度融合打造新型的服务模式，这依托于两大公司对用户的“消费信息”和“出行信息”进行数据共享，甚至包括更多用户个人敏感信息的交易和流动。不仅如此，在阿里巴巴与新浪的股权购置案中，甚至明确指出了目的就是在用户账户互通、数据交换、在线支付、网络营销等领域进行深入合作。可以说，股份并购构建了一个表面合法的个人信息流通的渠道，以主体身份的可交易性间接获取个人信息。

为获取用户个人信息资源而进行的股权收购，变相发挥了信息的经济价值，也有可能触碰刑事法律。利用股东地位分享、交换个人数据仍属《解释》中“购买、收受、交换”。即便股权购置规避了“购买公民个人信息”的犯罪行为，但此后的用户信息共享、交换的对象也无法规避个人信息在不同企业间流通的实质。故《解释》中“购买、收受、交换”几乎禁止了大多数互联网企业间的数据共享，这对“共享经济”下互联网企业运营成本和专业大数据交易服务机构的落地服务带来了严峻的挑战。

四、实质判断：严格侵犯公民个人信息罪入罪边界

互联网时代，公众对“数据利维坦”的恐惧已经达到了“草木皆兵”的地步，但是，一律从严打击与社会发展的趋势实则并不契合。互联网企业在严格立法的特殊保护和宽泛司法扩大解释的背景下，极易被卷入到不必要的刑事程序中去，理性构建侵犯公民个人信息犯罪规范体系刻不容缓。

（一）完善“两法衔接”，厘清“非法”的界定问题

1.“违反国家有关规定”和“非法”的关系。判断前述的支付宝年度账单事件，涉罪与否的关键即是“非法”二字的解释。侵犯公民个人信息罪是“行政犯”，刑法第253条之一规定“违反国家有关规定”和“非法”是构罪的前提。有观点认为，应当将“违反国家有关规定”“非法”视为“弱意义”构成要件，不具有犯罪构成认定的实际价值，这完全忽视了侵犯公民个人信息罪“行政犯”的本质。[3]《刑法修正案（九）》一方面将提供行为的“非法”二字删除，同时保留了违反行政法规的前置性条款，也将“违反国家规定”改为“违反国家有关规定”。那么，从文本上看，为何对于“出售和提供”型侵犯公民个人信息不要求“非法”，但仍前置“违反国家有关规定”？司法解释在定义“窃取和非法获取”型侵犯公民个人信息时却将“违反国家有关规定”与“非法获取”相联系？那么，“非法”和“违反国家有关规定”是否是同一概念？厘清上述概念，是正确解释“非法”的核心问题。

有学者认为，“违反国家有关规定”与“非法”是不同概念，二者是“种属关系”而非“等同关系”。[4] 即“违反国家有关规定”属于“非法”，但“非法”未必“违反国家有关规定”。按照这一观点，《解释》定义“窃取和非法获取”时仍前置“违反国家有关规定”确有画蛇添足之嫌。如果“非法”程度低于“违反国家有关规定”，那么《解释》第4条无疑拔高了入罪的门槛。从体系上看，“违反国家有关规定”应该是对“非法”的实质解释，二者间不应有程度的差别，前者是后者判断标准的依据，后者是前者判断结果的统称，即“违反国家有关规定”一定是“非法”，“非法”一定是“违反国家有关规定”。因此，准确界定“违反国家有关规定”本身要依赖于相关法律、法规立法质量的高低。

2.适用宽泛的“合法”获取、流转解释路径。让互联网企业规避“非法”首先应当明确列举“合法”的行为模式。可以明确的，是合法获取和流转个人信息，必然是在对用户有充分的告知并赋予其充分灵活的选择权。但也必须承认的是，个体间对个人信息的敏感程度不尽相同，这意味着互联网企业很难设置整齐划一的标准，明确合法界限。对法律法规而言就更是如此。有学者梳理，我国对个人信息保护的“国家有关规定”的法律法规包括《互联网信息服务管理办法》《个人存款账户实名制规定》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《征信业管理条例》《电信与互联网用户个人信息保护规定》《中华人民共和国网络安全法》等三十余部法律。[5]违反这些法律法规是侵犯公民个人信息罪构罪前提，但其中的多数规定对于个人信息相关的合法或违法界限划分也不尽详细。

在大數据背景下，个人信息被收集、利用后将呈现怎样的运算结果，令人不得而知，因分析、挖掘可能衍生出更多能够识别特定个人的信息，在这种情况下，绝对化的保护近乎奢望。因此，“合法”的评价标准不应着眼于实质判断，而在乎获取过程形式的完整，即互联网企业可以采取“分层告知”的方式，每一阶段都尽到告知义务，将企业隐私政策的内容以表格或者其他标准化的方式加以公布。[6]由此确保用户对企业所涉个人信息事项具有更良好的可阅读性。此外，互联网企业可以根据所提供服务对用户信息依赖的不同程度，区分为核心业务和非核心业务，对不同附加功能是否收集用户个人信息的主动权完全交付用户个人，这一规定也可见于2018年起实施的国家标准《信息安全技术个人信息安全规范》（GB/T 35273-2017）。法律法规可以参照互联网行业的技术标准，设置“分层告知”+“附加功能”等合法路径。即便是用户碎片式的阅读模式，也应以“简单粗暴”的告知方式直接提醒用户有关获取的目的、结果等必知项目。由此，可以构建宽泛的“合法”获取、流转解释路径，规避“非法”在宽泛解释下的不当适用。

（二）引入“主观要件”，区分合法经营和犯罪目的

1.“正当目的”是侵犯公民个人信息罪的阻却事由。《解释》第6条“为合法经营而非法购买的行为”之规定，系侵犯公民个人罪中少有与主观相涉的出罪要件，由此为合法经营行为获取个人信息设置了更高的入罪门槛。但客观而言，因个人信息在互联网时代用于合法经营活动的规模化和常态化，对“获取方式”予以更为宽泛的界定可以为个人信息的流通和利用留下空间。

互联网企业以提供产品、数据服务为目的，即便以“出售或提供”为方式流转个人用户数据也应予以出罪，即“以非法目的向他人出售或提供”方是构罪要件。基于正当的目的，如企业间用于业务往来的个人信息交换、共享不应直接进行刑事打击。[7]如确有侵权行为发生，也完全可以以民事、行政途径予以救济。让企业承担民事责任足以补偿、恢复被害人因隐私、人格尊严受到侵犯所受损失。将个人信息抽离出刑法绝对不可予以流通之标的物，注入至民法中。利用的个人信息自决权，尊重个体以信息为“一般等价物”换取更好的服务，与当前社会发展的现实相契合。可是，当前《解释》对侵犯个人信息罪的主观要件的规定是非体系化的，结果归责导向明显。以《解释》第5条第1款第1项和第2项的规定为例，其中“出售或提供行踪轨迹信息被他人用于犯罪的”的行为类型中未要求“应当知道”，但对于危害性更大的“向他人出售或提供个人信息被利用实施犯罪的”，却规定有“知道或应当知道”。《解释》中为打击而打击的导向较为明显。因此，将主观要件引入该罪中，有利于弥合当前该罪结果归责的错误取向，同时也有利于打击部分为实施诈骗及其他非法行为进行个人信息流转的互联网企业，对实质违法行为予以刑事打击。

2.“合法经营”的形式化证成。互联网企业为合法经营可以进行个人信息分享、流转。如前述阿里巴巴及其子公司，甚至合作伙伴间也可进行数据出售。特别是对集团公司、母子公司的数据往来，主客观上均不会产生实质违法，可以全面予以脱罪处理。正常商事行为中，以实现合法经营为目的将合法收集的个人信息予以流转也可以适时予以脱罪。“合法经营”也应基于特定目的予以判断，其前提应当是“不违反国家规定”且不会“严重扰乱社会秩序”。[8]需具备下列要件之一：（1）公司、企业获取个人信息获取之行业有法律、行政法规明文规定;（2）原公司企业与当事人有合同或者其他合同的关系，且已采取适当的安全措施;（3）公司、企业流转当事人自行公开或其他已合法公开的个人信息;（4）信息流转之公司、企业的隐私政策的核心条款与信息获取时的告知一致;（5）经当事人同意;（6）企业确有增进公共利益的必要;（7）个人信息取自于一般可获取的来源，但是当事人对该信息要求禁止处理、利用的除外;（8）对当事人权益无侵害。收集或处理企业经当事人通知，禁止其处理或利用相关个人信息时应当立即删除或停止处理及利用相关个人资料，以确保当事人个人信息的自决权。

注释：

[1]参见敬力嘉：《大数据环境下侵犯公民个人信息罪法益的应然转向》，《法学评论》2018年第2期。

[2]参见于冲：《侵犯公民个人信息罪中“公民个人信息”的法益属性与入罪边界》，《政治与法律》2018年第4期。

[3]参见曲新久：《论侵犯个人信息犯罪的超个人法益属性》，《人民检察》2015年第11期。

[4]同前注[2]。

[5]同前注[2]。

[6]参见高秦伟：《个人信息保护中的企业隐私政策及政府规制》，《法商研究》2019年第2期。

[7]参见高富平：《出售或提供公民个人信息入罪的边界》，《政治与法律》2017年第2期。

[8]参见杨晓庆、施李艳：《为合法经营活动而侵犯公民个人信息的司法适用》，《检察调研与指导》2019年第1期。