問題四：民法典、個人信息保護法如何助力刑法完善侵犯公民個人信息罪的出罪機制？

在法秩序統(tǒng)一原理下，民法典、個人信息保護法除了為刑法提供適用標準、劃定犯罪圈以外，還有一個極為重要的功能是提供出罪事由。以獲取已公開個人信息案為例來討論這個問題：如獲取已在公共網(wǎng)絡(luò)上公開的企業(yè)登記信息、征信信息等，并出售或提供給他人的情形是否定罪、如何出罪，在實務(wù)上歷來都有爭議。在此僅對部分學者的觀點進行介紹。

劉艷紅：用戶自愿的民事授權(quán)行為阻卻處理行為的違法性

劉艷紅教授引用了喻海松法官編撰的案例展開具體分析：某甲從商貿(mào)網(wǎng)站和政府部門公開的企業(yè)信息網(wǎng)上收集企業(yè)公開發(fā)布的信息，包括公司的名稱、產(chǎn)品、經(jīng)營行業(yè)、注冊信息和公司法定代表人、聯(lián)系人的姓名、職務(wù)、聯(lián)系方式等。甲將上述信息存入數(shù)據(jù)庫，供他人付費查詢使用。甲的行為是否構(gòu)成侵犯公民個人信息罪？

在此可以援引個人信息保護法的相關(guān)條文作為參照。本法第十三條第一款第（1）項規(guī)定，取得個人的同意，個人信息處理者可以處理個人信息。而根據(jù)本法第四條規(guī)定，個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

劉艷紅教授認為，雖然甲從形式上都符合犯罪構(gòu)成要件的規(guī)定，比如甲主觀上出于故意，客觀上實施了未經(jīng)他人授權(quán)或同意即爬取他人信息的行為，尤其是其在爬取后，通過他人付費而將爬取到的信息提供給他人，這一行為更是沒有經(jīng)過信息權(quán)人的同意，假設(shè)甲涉案的信息數(shù)量也達到了立案標準，那么從形式上看，將甲的行為定為侵犯公民個人信息罪似無疑問。

然而，如果聯(lián)系本罪的法益即信息自決權(quán)分析，既然“信息自決權(quán)是指每個人自行決定與其個人相關(guān)的數(shù)據(jù)在應(yīng)用上的權(quán)利，即每個人都必須知道，他自己的信息對于誰、何時以及哪些得到了公開”，那么，商貿(mào)網(wǎng)站和政府部門公開的企業(yè)信息網(wǎng)上由其公開的法定代表人或聯(lián)系人的個人信息，即為當事人同意并授權(quán)這些網(wǎng)站予以公開的，這些個人信息的發(fā)布是經(jīng)過公民個人自由選擇自己決定的結(jié)果，甲上網(wǎng)爬取這些信息，并沒有侵犯公民個人信息自決權(quán)，沒有侵犯刑法第二百五十三條之一的保護法益。因此，甲的行為不應(yīng)構(gòu)成侵犯公民個人信息罪。

至于如果甲將這些信息又提供給他人的，除相關(guān)權(quán)利人要求“二次授權(quán)”的以外，宜推定存在概括同意，不宜對收集后出售或者提供的行為要求“二次授權(quán)”，不應(yīng)構(gòu)成刑法第二百五十三條之一第1款規(guī)定的出售、提供型侵犯公民個人信息罪。甲在網(wǎng)上獲取這些信息是源頭行為，出售和提供給他人是下游行為，源頭行為合法，下游行為也不應(yīng)入罪。同樣的道理，對于用戶在微博上自行公開的郵箱、電話號碼、工作或家庭地址以及用戶在單位網(wǎng)站公布的郵箱信息等等，如果使用爬蟲行為予以取得的，也應(yīng)當認定用戶作出了自愿公開的民事授權(quán)行為，因而阻卻爬蟲行為的違法性，爬蟲行為不應(yīng)構(gòu)成犯罪。

進一步，劉艷紅教授對網(wǎng)絡(luò)爬蟲行為進行了更為全面而深入的研究，并認為應(yīng)當分別從形式和實質(zhì)兩個維度加以判斷：

第一步，從形式上來看，通過違反國家法律、行政法規(guī)、部門規(guī)章等有關(guān)收集、處理、利用數(shù)據(jù)信息的規(guī)定，或者行業(yè)規(guī)則即爬蟲協(xié)議的網(wǎng)絡(luò)爬蟲行為來獲取公民個人信息的，可以認定為“以其他方法非法獲取公民個人信息”之“非法”。

第二步，從實質(zhì)上來看，行為人在權(quán)限許可范圍內(nèi)使用爬蟲行為獲取公民個人信息的，不屬于“非法”，不應(yīng)認定為犯罪；行為人采取爬蟲行為非法收集的如果是無法識別特定自然人身份的公民個人信息，即便爬蟲行為性質(zhì)上非法，也不構(gòu)成犯罪。

總之，通過形式判斷與實質(zhì)判斷、形式入罪與實質(zhì)出罪雙重機制，合理地實現(xiàn)對網(wǎng)絡(luò)爬蟲行為的刑事規(guī)制。

周光權(quán)：不改變信息公開的目的或者用途可以阻卻侵犯公民個人信息罪的成立

周光權(quán)教授對實務(wù)中那種一概認為“有罪”或者“無罪”的觀點均進行了反駁，認為應(yīng)當基于法秩序統(tǒng)一原理，對已公開的個人信息進行目的或用途的檢驗，提出處理本類案件的合理主張應(yīng)當是：獲取、提供已公開的個人信息但改變信息公開的目的或者用途的，可能成立侵犯公民個人信息罪。反過來說，獲取、提供已公開的個人信息但是沒有改變原來的目的或者用途的，不成立侵犯公民個人信息罪。

此時需要特別關(guān)注前置法的相關(guān)規(guī)定。如民法典第一千零三十六條強調(diào)，如果行為系對已公開的個人信息進行不合理處理的，仍然應(yīng)當承擔侵權(quán)責任。換言之，民法典允許對已公開的個人信息進行合理的處理，法律只是對于那些“不合理地處理”已公開的個人信息的行為持反對態(tài)度。民法典的這一態(tài)度在個人信息保護法中也得到了貫徹。在此基礎(chǔ)上，周光權(quán)教授具體闡述了可以定罪與不宜定罪的情形：

1.處理已公開的個人信息可以定罪的情形：第一，明顯違背已公開個人信息的公開目的的。第二，明顯改變已公開個人信息的用途的。第三，利用已公開個人信息實施可能危及公民人身或財產(chǎn)安全的違法犯罪行為的。例如，互聯(lián)網(wǎng)公司工作人員將其在工作中獲取的個人已公開信息出售給體檢機構(gòu)，以便于后者拓展客源的；再比如，通過公開征信系統(tǒng)獲得他人手機號之后對個人進行追蹤定位的，使他人的生命、身體陷入危險。周光權(quán)教授進一步認為，即便否認這些個人信息屬于個人隱私，或系依法注冊登記而被公開，也不能阻卻違法性。

2.處理已公開的個人信息應(yīng)當出罪的情形：第一，針對已公開的個人信息僅實施單純獲取或爬取、持有等行為的。由于行為人還沒有將該信息予以批量出售、提供，很難判斷他人后來對于該信息的使用目的是否與個人公開其信息時相同，也無法確定信息的用途是否被改變，難以得出行為人侵害被害人法益處分自由的唯一結(jié)論。第二，獲取、提供他人已公開的個人信息的目的是幫助行為人拓展業(yè)務(wù)的情形。如企業(yè)注冊登記或者將其信息在征信系統(tǒng)中收錄，其目的是為了企業(yè)自身發(fā)展。行為人處理企業(yè)公開信息中包含的個人信息，如果與該企業(yè)的經(jīng)營發(fā)展目的相一致的，應(yīng)當認定該處理信息行為具有合理性。第三，獲取、提供他人已公開的個人信息的目的是為企業(yè)發(fā)展提供貸款等金融支撐的情形。企業(yè)的發(fā)展需要使用支付、結(jié)算器械，向企業(yè)推銷此類產(chǎn)品不違背企業(yè)設(shè)立的目的。

〔文獻來源〕

周光權(quán)：《刑民交叉案件的判斷邏輯》，載《中國刑事法雜志》2020年第3期。

周光權(quán)：《法秩序統(tǒng)一性原理的實踐展開》，載《法治社會》2021年第4期。

周光權(quán)：《侵犯公民個人信息罪的行為對象》，載《清華法學》2021年第3期。

張新寶：《〈民法總則〉個人信息保護條文研究》，載《中外法學》2019年第1期。

張新寶：《新寶看法（十七）丨敏感個人信息的強化保護》，載微信公眾號“教授加”2021年9月1日。

劉艷紅：《侵犯公民個人信息罪法益：個人法益及新型權(quán)利之確證——以〈個人信息保護法（草案）〉為視角之分析》，載《中國刑事法雜志》2019年第5期。

劉艷紅：《民法典編纂背景下侵犯公民個人信息罪的保護法益：信息自決權(quán)——以刑民一體化及〈民法總則〉第111條為視角》，載《浙江工商大學學報》2019年第6期。

劉艷紅：《網(wǎng)絡(luò)爬蟲行為的刑事規(guī)制研究——以侵犯公民個人信息犯罪為視角》，載《政治與法律》2019年第11期。

劉艷紅：《法秩序統(tǒng)一原理下未成年人保護制度的刑民銜接適用》，載《現(xiàn)代法學》2021年第4期。

程嘯：《民法典編纂視野下的個人信息保護》，載《中國法學》2019年第4期。

程嘯：《〈個人信息保護法〉——“十大亮點”彰顯個人信息全面保護》，載《檢察日報》2021年8月30日第3版。

程嘯：《我國個人信息法律保護的里程碑》，載《經(jīng)濟參考報》2021年8月24日第006版。

姜濤：《新罪之保護法益的證成規(guī)則——以侵犯公民個人信息罪的保護法益論證為例》，載《中國刑事法雜志》2021年第3期。