【法治宣传】《民法典》视域下侵犯公民个人信息罪的司法适用（下）

　　(二) 《民法典》关于个人信息的处理规则与侵犯公民个人信息罪“违反国家有关规定”的认定

　　《民法典》采用了世界各国个人信息保护所普遍确立的告知同意规则，在第1035条第1款第1项规定除法律、行政法规另有规定的外，处理个人信息应当征得该自然人或者其监护人同意。从实践来看，信息主体同意的方式可以多种多样；如后所述，个人信息的类型不同、重要程度有异，在征得信息主体同意的方式和程度上也会有所差异。而且，根据第1038条第1款的规定，信息处理者对于经过加工无法识别特定个人且不能复原的个人信息，可以不经该自然人同意向他人提供。此外，根据第1035条第1款的规定，处理个人信息，还应当遵循合法、正当、必要原则，不得过度处理，并符合公开处理信息的规则，明示处理信息的目的、方式和范围，不违反法律、行政法规的规定和双方的约定。上述要求与《网络安全法》第41条、第42条的规定基本一致。

　　根据《刑法》第253条之一第1款、第2款的规定，“违反国家有关规定”提供公民个人信息的，可以构成侵犯公民个人信息罪。根据第3款的规定，“非法”获取公民个人信息的，可以构成侵犯公民个人信息罪。根据《侵犯公民个人信息罪解释》第4条的规定，此处“非法”的判断也应当还原为“违反国家有关规定”。故而，侵犯公民个人信息罪的前提要件实际上可以概括为“违反国家有关规定”。值得关注的是，《刑法修正案(九)》(草案一次审议稿)将提供个人信息入罪的前提要件设置为“未经公民本人同意”，即采用的是主观判断的标准；但是，从《刑法修正案(九)》(草案二次审议稿)开始，采取了客观判断标准，即“违反规定”；《刑法修正案(九)》延续了这一立场，调整为“违反国家有关规定”。如前所述，法律不应赋予自然人对其信息享有排他的权益，故在刑法修法过程中将侵犯公民个人信息罪的前提要件由主观标准调整为客观标准，无疑是妥当的。

　　“违反国家有关规定”，是指违反了有关法律、行政法规、规章等国家层面涉及公民个人信息管理方面的规定[7]。《侵犯公民个人信息罪解释》第2条进一步明确“国家有关规定”包括法律、行政法规、部门规章在内。在《民法典》第1035条对个人信息处理明确了规则之后，关于侵犯公民个人信息罪“违反国家有关规定”的判断应当以上述规定为基础。需要注意的是，《民法典》关于处理个人信息应当遵循的原则和条件较多，重要程度存在差异。故而，对违反相关原则和条件处理个人信息行为的刑事定性，在刑事违法和社会危害程度方面也会存在差异，不宜一概而论：鉴于告知同意是个人信息保护的核心原则，对于违反告知同意规则和违反法律、行政法规的禁止规定和双方的约定获取、提供公民个人信息的，可以认定为符合侵犯公民个人信息罪的前提要件“违反国家有关规定”；但是，对于违反必要原则、公开处理信息的规则以及明示处理信息的目的、方式和范围获取、提供公民个人信息的，是否符合侵犯公民个人信息罪的“违反国家有关规定”，宜综合考量社会危害性程度，根据案件具体情况作出妥当处理。

　　(三) 《民法典》关于信息主体权益的规定与侵犯公民个人信息罪的适用

　　《民法典》规定自然人对自己的个人信息享有一系列权益。其中，除了前述第1035条规定的知情同意权外，第1037条规定了查阅复制权和更正删除权。需要注意的是，与《网络安全法》第43条的规定相同，自然人对个人信息的删除权不同于欧盟的个人信息“被遗忘权”，只限于“自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的”情形。

　　从刑法的适用来看，对于自然人要求查阅或者复制其个人信息，或者要求更正错误的信息，以及删除相关信息，而信息处理者未予履行的行为，似乎难以直接适用侵犯公民个人信息罪。究其原因，就在于侵犯公民个人信息罪的客观行为方式表现为非法提供或者获取。当然，对于上述情形，如果根据相关证据证明存在非法获取或者提供公民信息的，则可以适用侵犯公民个人信息罪。

　　四、《民法典》区分私密信息与非私密信息对刑法适用的影响

　　(一) 《民法典》关于私密信息与非私密信息的界分

　　从域外个人信息法律保护模式来看，美国主要采取隐私权保护模式，以隐私权为基础，通过大量判例逐步构建起了一套保护制度。而欧盟关于数据信息的保护，则是从法律上将数据信息视为人格权的延伸[8]。中国《民法典》借鉴了后一种立法模式，将自然人对其个人信息的权益归入人格权的范畴，将个人信息保护与隐私权并列规定。个人信息与个人隐私之间虽有交叉但亦有区别，交叉部分就在于隐私中的个人私密信息属于个人信息的范畴。中国法律关于个人信息与个人私密信息之间关系的规定，历经了从明确规定到隐性规定再回归明确规定的阶段，可谓“否定之否定”的路径。

　　1. 明确规定个人信息包括个人私密信息

　　2012年12月《全国人民代表大会常务委员会关于加强网络信息保护的决定》第1条第1款规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”可见，这一界定将个人信息界定为“身份信息+隐私信息”，即将隐私信息明确为个人信息的范畴。受其影响，2013年4月《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号)第2条明确规定：“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”

　　2. 未明确个人信息包括个人私密信息，但可以推断出这一结论

　　2016年11月《网络安全法》第76条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”可见，《网络安全法》关于“个人信息”的界定，并没有明确涉及私密信息，而仅指向“身份识别信息”。显然，此处规定的“身份识别信息”应作广义理解，自然应当包括私密信息和其他活动情况信息在内。基于此，《侵犯公民个人信息罪解释》第1条规定：“刑法第253条之一规定的‘公民个人信息’，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

　　3. 回归明确规定个人信息包括私密信息的立法模式

　　《民法典》第1032条第2款对隐私作了明确界定，规定：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”《民法典》第1034条第2款对《网络安全法》第76条关于个人信息的界定作了适度调整，将指向的“识别自然人个人身份的各种信息”调整为“识别特定自然人的各种信息”，即删除“个人身份”的表述，以防止将个人信息误解为狭义的身份识别信息。在此基础上，《民法典》第1034条第3款明确个人信息包括私密信息，规定：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”这就标志着中国法律关于个人信息的界定，又重回将个人私密信息明确规定个人信息的立法模式，正式在基本法律中确立了私密信息与非私密信息的界分。

　　(二) 《民法典》区分私密信息与非私密信息对刑法适用的影响

　　无论前置法采用何种立法模式，司法实务均认为公民个人信息包括个人私密信息在内，对于非法获取、提供个人私密信息的行为在刑法适用上完全可以构成侵犯公民个人信息罪。从这个角度而言，可以认为，《民法典》区分私密信息与非私密信息的界分，对侵犯公民个人信息罪的适用不会产生大的影响。但是，立足于细微层面而言，侵犯个人私密信息刑事案件的处理，与其他侵犯公民个人信息刑事案件相比，还是会有较大差异。

　　具体而言，对个人私密信息优先适用隐私权的有关规定。根据《民法典》第1034条第2款的规定，对于个人私密信息优先适用《民法典》关于隐私权的规定，只有在相关规定欠缺的情况下，才适用关于个人信息保护的规定。根据《民法典》第1033条第5项的规定，处理他人的私密信息，除法律另有规定的情形外，须经权利人明确同意。可见，对于个人私密信息，《民法典》在保护力度上明显强于个人非私密信息，对后者的处理采用的是告知同意规则，即征得自然人或其监护人同意。“‘明确同意’与‘同意’的涵义是不同的。一方面，明确同意意味着自然人在被告知私密信息将被处理的前提下而作出清晰、明确的允许处理的意思表示。另一方面，明确的同意应当是针对该私密信息被处理而单独作出的同意的意思表示”[9]。司法实践中处理涉个人私密信息的刑事案件，在认定是否“违反国家有关规定”时，在除法律另有规定的情况下应当采用权利人“明确同意”的判断规则。例如，对于APP将告知同意的内容置于冗长的隐私政策之中，导致用户实际上不会真正去阅读了解隐私政策而选择同意，进而获取相关个人信息的行为，如何判断获取信息行为的性质素有争议。基于互联网时代获取个人信息的现实情况，要求逐项告知收集信息内容并征得同意似不可以，故对于个人非私密信息而言，上述行为难以认定为非法获取；但是，对于个人私密信息而言，由于《民法典》明确要求经权利人“明确同意”，采取上述方式收集个人私密信息的则可以认定为非法获取。

　　五、《民法典》区分公开的与非公开的个人信息对刑法适用的影响

　　一段时间以来，涉公开个人信息案件的处理是侵犯公民个人信息罪司法适用中的最为棘手的问题之一。例如，行为人从商贸网站和政府部门公开的企业信息网上收集企业公开发布的信息(涉及自然人信息)，将上述信息存入数据库，供他人付费查询使用。又如，行为人将房屋租售网站上已经公开的房屋信息收集，将上述信息用于营利活动。上述案件的处理即存在较大争议，各方意见不一，处理结果有异。笔者主张，在《民法典》明确区分公开的个人信息和非公开的个人信息，并为二者设置了不同的处理规则的背景下，应当对标上述规定，妥当处理相关刑事案件。

　　(一) 《民法典》关于公开的个人信息的界定对刑法适用的影响

　　《民法典》第1036条规定：“处理个人信息，有下列情形之一的，行为人不承担民事责任：……(二)合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外……”据此，个人信息分为公开的个人信息和非公开的个人信息。需要注意的是，公开的个人信息限于“合法公开的信息”，既包括自然人自行公开的信息，也包括其他途径合法公开的信息。前者如律师将自己的联系电话、通讯邮箱、办公地址等信息通过互联网或者其他途径公开，后者如依据行政行为、司法行为或者其他缘由而公开。不论以何种形式进行公开，公开的个人信息都限于通过合法途径公开的个人信息，而不包括非法公开的个人信息。

　　在办理涉公民个人公开信息的案件时，要注意查明相关公开的个人信息是否属于合法公开的信息，从而准确判断后续获取或者提供行为定性应当适用的规则。例如，对某住宿网站采取黑客攻击手段，非法获取住宿记录并通过互联网公开的，相关信息虽然客观上处于公开状态，但由于公开手段系非法手段，不属于前述“公开的个人信息”，对于行为人获取或者提供相关信息的行为定性，除后文所述认识错误的情况外，仍然应当适用非公开的个人信息的判断规则。

　　侵犯公民个人信息罪系故意犯罪，以行为人具有主观明知为前提。刑法适用中需要注意的是，对于相关个人信息是否合法公开，既要从客观上进行查证，也要查明行为人的主观认识。一般而言，对于客观上公开的个人信息是否系合法公开，行为人未必能够认识到，对此要防止客观归罪。对于非法公开的个人信息，无法证明行为人主观上认识到，且一般人也难以认定到的，则应当按照有利于被告人的处理规则，可以适用公开个人信息的处理规则认定行为性质。

　　(二) 《民法典》关于公开的个人信息处理规则的规定对刑法适用的影响

　　《民法典》区分非公开的个人信息与公开的个人信息，就在于两类个人信息的处理规则有异：对于非公开的个人信息，根据《民法典》第1035条第1款的规定，除法律、行政法规另有规定的外，处理相关信息需要征得该自然人或者其监护人同意；对于公开的个人信息，根据《民法典》第1036条第2项的规定，除自然人明确拒绝或者处理相关信息侵害其重大利益的外，合理处理相关信息不需要征得该自然人或者其监护人的同意。可见，《民法典》关于公开的个人信息的保护强度要明显弱于非公开的个人信息。《民法典》的上述规定，为刑法适用中涉公开的个人信息案件定性的若干争议问题厘清了前置法规定。

　　在以往的刑事司法实践中，对于公开的个人信息，由于信息已经处于公开状况，获取无须征得同意，对此应无疑义；但是，在获取相关公开信息后进而提供的行为，是否需要取得“二次授权”(即在获取相关信息后，提供相关信息需要告知同意)，则存在较大争议。可以说，《民法典》为这一争议问题作了明晰，即否定“二次授权”的规则。民法典第1038条第1款规定：“信息处理者……未经自然人同意，不得向他人非法提供其个人信息……”此处的“二次授权”，明显是针对于非公开的个人信息而言。根据《民法典》第1036条第2项的规定，对公开的个人信息的合理处理可以推定自然人概括同意，即除了“该自然人明确拒绝或者处理该信息侵害其重大利益的”情形外，不需要通知和征得该自然人或者其监护人同意。据此，在处理相关刑事案件时，对于未通知并征得自然人同意而获取、提供公开的个人信息的案件，只要行为人的获取、提供行为处于“合理”限度之内，除证明该自然人明确拒绝③或者相关获取、提供行为侵害了该自然人的重大利益的外，应当认为相关获取、提供的行为属于合法行为，不属于“违反国家有关规定”获取、提供公民个人信息的行为，更不应当认定为构成侵犯公民个人信息罪。

　　值得探讨的是，对于《民法典》第1036条第2项规定的“合理处理”的认定，应当采用相对宽泛的理解。原则上，只要法律、法规没有明确禁止的处理行为，均可以认定为“合理处理”，至少不能认定为犯罪。特别是，从保护信息自由流通的角度出发，要切实防止只要获取个人信息后进行营利活动或者超越信息初始公开使用场景的，即认为超越了合理处理界限的极端认识。例如，部分工商企业信息中包含有法定代表人姓名、联系电话等内容，属于公民个人信息的范畴。相关信息可以在“国家企业信用信息公示系统”中查询，已处于合法公开的状况。从初始的公开使用场景而言，确实限于在国家企业信用信息公示系统公开，方便民众查询以确认企业信息是否真实有效。以往刑事司法实践中，一些收集工商登记信息，未经自然人同意超越初始公开场景使用的情形，被认定构成侵犯公民个人信息罪。对此，笔者曾主张：“鉴于此类案件具有相当普遍性，未来的公民个人信息保护法和相关法律法规宜对公民个人公开信息的问题作出明确规定，以便利相关案件的处理。”[10]在《民法典》对公开的个人信息的处理规则作出明确规定的情况下，对于上述案件，如果相关信息在公开时没有明确限定公开场景(即没有明确拒绝他人收集后在其他场景下使用)，则对于收集并在未通知和征得该自然人同意情况下提供相关信息的行为，宜认为仍在“合理处理”的范畴之内。

　　总而言之，根据《民法典》关于界分公开个人信息和非公开个人信息的相关规定，要求刑法适用中妥当处理涉公开的个人信息的案件。一般而言，由于公开个人信息的案件侦办难度相对较小且涉案信息数量、违法所得等往往巨大，司法实践易以此类案件为打击重点。可以说，《民法典》的相关规定对于扭转这一趋势奠定了基础。在中国侵犯公民个人信息违法犯罪泛滥和公民个人信息保护水平整体不高的当下，对标《民法典》的相关规定，侵犯公民个人信息罪的司法适用应当以涉非公开个人信息的案件为重点，严厉惩治非法获取、提供非公开个人信息的案件，切实强化对公民个人信息的保护。

　　来源：北京航空航天大学学报