Professional Documents
Culture Documents
6
2022 年 11 月 Jilin University Journal Social Sciences Edition Nov. , 2022
□个人信息保护: 刑事治理专题
处理已公开个人信息的刑法边界
宋伟卫
一、 问题的提出
二、 实务分歧与理论争议
公开的个人信息是指已经合法公开的个人信息, 合法公开的个人信息具有合法性和公开性的
特征。 其主要包括两类: 一是自然人自行公开的个人信息, 如求职者为了求职, 将自己的出生日
期、 电话号码、 学历信息、 工作经历等个人信息发布在求职网站; 二是其他合法公开的个人信
息, 包括依照行政行为或司法行为而公开的个人信息等。 例如, 工商管理部门根据 《 严重违法
失信企业名单管理暂行办法》 的规定, 公布严重违法失信企业名单中涉及的个人信息; 又如人
民法院在公开的裁判文书中包含的案件当事人的个人信息。[5] 个人信息合法公开进入公共领域
后, 便成为公共资源, 任何人都可以自由获取。 刑法学界一致认为收集已公开个人信息并不侵犯
公民的个人信息权, 不构成犯罪, 但对收集已公开个人信息之后的提供、 出售行为的定性存在分
歧与争议。
( 一) 实务分歧
从刑事判决的情况看, 各地法院的处理结果截然不同, 既有法院认定已公开信息应受刑法保
护, 也有法院做出相反认定的情形。 在认定已公开个人信息应受刑法保护的案件中, 有法院认
为, 只要未经信息主体同意, 获取已公开个人信息的行为就构成犯罪。 例如, 在范海林、 徐国
成、 李柏林等侵犯公民个人信息罪一案中, 被告人徐国成通过制作爬虫软件从 “ 企查查” “ 天眼
查” 等网站上获取企业法人的联系方式等信息, 整理成 Excel 表格后卖给网友。 法院判决被告人
徐国成犯侵犯公民个人信息罪, 判处有期徒刑三年二个月, 并处罚金人民币一万五千元。① 法院
认定被告人出售已公开个人信息的行为构成犯罪的理由在于, 即便是公开的信息, 公开性也并非
公开某个人信息的排除事由, 国家企业信用信息公示系统通过合法渠道收集工商企业信息并进行
网络公开, 其设立目的是方便民众查询以确认该企业信息是否真实有效。 在该系统进行公开之
前, 需要经过被收集者 ( 企业法定代表人) 的同意, 同意的内容应该仅限于在该系统公开, 而
不包括同意其他人收集其信息并提供给第三方, 也就是说, 行为人可以通过国家企业信用信息公
示系统来查询收集相关信息供自己使用, 但不允许行为人在未征得被收集者同意的情况下收集整
理, 并在未进行匿名处理的情况下提供给他人。 类似的判决还有罗儒期、 罗儒年、 谢传健侵犯公
民个人信息案, 法院基于行为人获取目的非法性, 认定在网络平台上收集公开的个人信息的行为
属于非法获取行为。 法院认为: 被告人罗儒期、 罗儒年、 谢传健从 “ 企查查” 网站或 QQ 群获取
的公民个人信息, 包括姓名、 电话、 邮箱等信息, 涉案信息能够识别到特定自然人身份, 应属于
· 72·
宋伟卫 处理已公开个人信息的刑法边界
· 73·
吉林大学社会科学学报 2022 年 第 6 期
三、 信息自决权与侵犯公民个人信息罪的对象
随着个人信息刑法保护研究的深入, 侵犯公民个人信息罪的保护法益是个人信息权已经成为
学界共识。 个人信息权的核心是信息自决权, 体现为信息主体对个人信息的支配和自主决定。 此
种结论具有充分的法律依据, 《 个人信息保护法》 第 14 条关于 “ 知情同意规则” 的规定实质上
是赋予信息主体对个人信息拥有自我决定的权利, 维护个人信息处理活动中的个人自主。 除此之
外, 早于 《 个人信息保护法》 实施的 《 中华人民共和国网络安全法》 ( 以下简称 《 网络安全
· 74·
宋伟卫 处理已公开个人信息的刑法边界
变, 但个人信息依然处处彰显人格要素中最基本的自由和尊严。[22] 根据人格权保护模式的观点,
个人信息的保护是超越隐私保护利益范围的, 它是对公民个人基本权利的保护。 个人信息权所强
调的不仅仅是保密权, 还包括个人对于自身信息的控制利用权。[23] “ 即便主体允许数据控制者收
集并共享相关个人信息, 这也并不意味着其让渡了所有个人信息权利。” [24] 个人信息保护的对象
并不局限于已存在的秘密信息, 而是广泛表现为社会交往中个人信息挖掘加工过程中产生的各种
信息权益。[25] 个人信息无论是否公开, 信息主体仍然享受个人的信息权, 公开的个人信息同样
受到保护。 正因如此, 《 侵犯公民个人信息刑事案件的解释》 第 1 条没有采用 “ 涉及个人隐私信
息” 的表述, 而是表述为 “ 反映特定自然人活动情况的各种信息” 。 公民个人信息不要求具有个
人隐私的特征, 即便相关信息已经公开, 不属于个人隐私的范畴, 但仍有可能成为公民个人信
息。[26]21 显而易见, 已公开公民个人信息应属于刑法所保护的对象。
( 二) 合理处理已公开个人信息是对信息自决权的尊重
已公开个人信息的处理方式蕴含着对信息自决权的尊重。 《 个人信息保护法》 和 《 民法典》
对公开的个人信息的处理排除了知情同意规则, 即处理者在合理范围内处理信息主体已经公开的
个人信息, 原则上不需要另行取得个人同意。 《 个人信息保护法》 第 27 条规定: “ 个人信息处理
者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 个人明确拒绝的除
外。 个人信息处理者处理已公开个人信息, 对个人权益有重大影响的, 应当依照本法规定取得个
人同意。” 《 民法典》 第 1036 条规定, 合理处理该自然人自行公开的或者其他已经合法公开的信
息, 行为人不承担民事责任, 除非该自然人明确拒绝或者处理该信息侵害其重大利益。 知情同意
规则的排除规定是否表明法律对已公开个人信息中信息自决权的否定? 显然不是。 《 个人信息保
护法》 和 《 民法典》 如此规定, 实质还是尊重信息主体的自决权。 “ 因为当个人自行公开其个人
信息时, 个人已经通过此等行为传递出对他人在合理范围内处理其已公开个人信息的默示同意;
当社会中的其他主体依照法律的规定合法公开个人信息时, 此等个人信息具有较强的公共属性,
处理者有理由期待个人会对其在合理范围内进行的个人信息处理活动做出同意。” [27]220 处理已公
开个人信息无需取得信息主体同意的立法目的在于实现个人信息利用与保护的平衡。 个人信息是
社会信息的源泉, 社会信息是个人信息的转化形式, 保护和利用个人信息是信息社会的基本矛
盾。 在解决基本矛盾过程中, 既要保护个人信息, 又要利用个人信息, 法律应实现保护和利用的
平衡。[28] 虽然处理已公开个人信息排除知情同意规则意味着已公开个人信息保护利益的适当减
损, 但这种减损必须满足一定的要求, 即 “ 适当性” “ 必要性” 和 “ 相称性” 的要求。 “ 适当
性” 是指已公开个人信息保护利益的适度减损可以促进信息利用与流通, 增加社会效益; “ 必要
性” 是指基于信息流通范围与信息保护范围的反比关系, 信息流通的范围太大会造成信息保护
的过度减损, 因此, 将公开信息利用权予以适当让渡是危害最小的手段; “ 相称性” 是指虽然公
开信息利用权的适当让渡会造成权利减损, 但权利人可因此获得物质补偿和信息共享权利, 总体
社会效益也会相应提高, 因此, 公开所造成的损害并未大于目的达成带来的利益。[29] 上述要求
充分表明信息处理者不能任意处理已公开个人信息, 体现了对信息主体信息自决权的尊重。
擅自处理已公开个人信息是对信息自决权的侵犯。 《 个人信息保护法》 以知情同意为核心架
构了个人信息处理者获取信息的合法性基础, 对于敏感信息采取强保护、 强同意模式, 而已公开
个人信息本身已经通过合法方式公开, 所以从信息利用的角度讲, 无需再次同意, 这里应理解为
在合理范围内, 用户以推定同意方式同意个人信息处理者在允许公开的范围内合理使用其信
息。[30]124 据此, 有学者认为, 公开意味着信息主体授权公众可以查看这些信息, 这种 “ 权利人同
意” 属于法益自决权内容的, 具有阻却违法性的功能。[31] 然而, “ 权利人同意” 并不意味信息
· 76·
宋伟卫 处理已公开个人信息的刑法边界
主体不再享有人格权益, 也不意味个人信息处理者可以任意处理或者以违法的方式处理已公开个
人信息。 从 《 民法典》 《 个人信息保护法》 所设计的已公开个人信息的处理规则来看, 个人信息
合法公开后并不等于免除信息处理者就二次利用行为履行告知并征得个人同意的义务 [30]123 , 只
有合理处理的行为才属于民法或行政法上的合法行为, 否则仍然需要取得个人同意。 合法公开的
个人信息处理中的默示同意或推定同意需要满足一定条件, 即处理者对已公开个人信息的处理没
有超出合理范围, 如果处理者的个人信息处理活动超出合理范围, 违背一般理性人对于已公开个
人信息之利用限度的通常理解, 则违背了信息主体同意的初衷。[27]221 无论是主动公开还是被动公
开, 任何个人信息的公开都具有特定的目的或用途, 如果信息处理者对已公开个人信息处理违背
了最初公开的目的, 就侵犯了信息自决权。
当然, 自行公开的个人信息与合法公开的个人信息所体现的个人信息自决的范围存在差异。
在自行公开个人信息的场合, 信息公开体现了信息主体的意思, 公开目的、 公开程度等都由信息
主体决定, 信息处理不能违背信息主体的意思。 信息主体自行公开个人信息传递出信息主体对他
人在合理范围内处理其已公开个人信息的默示同意, 这种默示同意可以阻却未经授权处理个人信
息的违法性。 同时, 信息主体的默示同意以合理的范围为界, 如果处理者的个人信息处理活动超
出了合理范围, 就侵犯了信息主体的个人信息权益, 不能阻却违法。 在法定公开个人信息的场
合, 公开不以自愿为前提, “ 法定公开信息与信息主体的个人意志、 人格间的关联较为薄弱” [32] 。
但这不代表法定公开个人信息就不承载个人信息自决, 只是表明个人信息自决权被弱化, 因为信
息主体仍然有权对后续处理行为进行干预, 其依据在于 《 个人信息保护法》 第 27 条赋予了信息
主体享有拒绝对其公开个人信息进行处理的权利。 该权利的行使并没有区分自行公开的个人信息
和法定公开的个人信息, 亦即没有排斥信息主体对法定公开个人信息处理的 “ 拒绝权” 。 “ 拒绝
权” 的立法规定表明信息主体对法定公开个人的信息仍然享有一定的支配控制权。 当然, 考虑
到法定公开个人信息的特点, 基于特殊利益的衡量, 法定公开个人信息处理的 “ 拒绝权” 应该
受到一定程度的限制。 “ 拒绝权” 的限制使用是对法定公开信息中信息自决范围的限制, 而不是
对信息自决权的完全否定。
四、 已公开个人信息处理规则与处理行为的刑法性质
判断处理已公开个人信息行为的刑法性质之关键在于处理行为是否符合前置法的规定, 因
此, 前置法的判断成为界定行为性质的关键。 《 民法典》 和 《 个人信息保护法》 对公开个人信息
的处理做出了特别规定。 《 民法典》 第 1036 条第 2 项、 《 个人信息保护法》 第 13 条第 1 款第 6
项与第 2 款、 《 个人信息保护法》 第 27 条确立了系统的公开个人信息的处理规则。 上述规定为
侵犯公民个人信息罪的认定提供了前置法依据, 刑法对已公开个人信息处理的刑事制裁范围不能
逾越前置法所确定的边界。 根据已公开个人信息的处理规则, 对于处理公开的个人信息, 原则上
无需征得信息主体同意, “ 处理自行公开和已经合法公开的个人信息, 原则上无需额外获得权利
人同意, 只有在例外情形下该推定同意才失去效力” [33] 。 根据前置法的规定, 处理已公开个人信
息, 原则上不承担刑事责任, 但即便在处理行为无需征得信息主体同意的情形中, 信息处理者也
必须合理处理公开的个人信息, “ 合理处理范围” 是确定处理行为符合前置法规定的关键。
( 一) “ 合理处理范围” 与处理行为的刑法界定
“ 合理处理” 的边界范围如何, 法律未明确规定, 需要我们对已公开个人信息处理规则中的
· 77·
吉林大学社会科学学报 2022 年 第 6 期
已公开个人信息的特性进行合理解释。
基于自行公开个人信息与合法公开个人信息所体现的个人信息自决程度的差异, 刑法对两者
的处理行为的介入范围也应有所区别: 一是在处理自行公开个人信息的场合, 信息的公开程度决
定刑法是否介入。 信息公开程度的不同, 刑法介入的范围也不一样。 根据获取是否以场景为限,
已公开个人信息分为绝对公开个人信息和相对公开个人信息。[34] 由于绝对公开的个人信息可以
由不特定主体不受限制地访问和利用, 处理者处理该信息不会侵犯个人信息权益, 刑法一般不应
当介入; 而相对公开的个人信息是在一定的场景内公开, 信息主体公开的目的、 范围等相对明
确, 访问者访问该信息往往也受到一定限制。 相对公开的个人信息的公开目的、 公开范围等较为
明确, “ 信息主体对后续的处理行为存在合理期待” [35] , 如果处理行为违背了信息主体的合理期
待, 也就构成对个人信息权益的侵害, 刑法具有干预可能性。 二是在处理法定公开个人信息的场
合, 刑法原则上无需介入。 个人信息法定公开无需征得信息主体同意, 其所承载的个人信息自决
权高度弱化。 同时, 法定公开的目的是为了公共利益, 信息主体对后续的处理行为应该承担较高
的容忍义务, 一般无需刑法介入。
还值得注意的是, 如果已公开的个人信息属于敏感信息, “ 合理处理范围” 要适当收缩。 敏
感个人信息是一旦泄露或者非法使用, 容易导致自然人的人格尊严受到侵害的或者人身、 财产安
全受到危害的个人信息, 包括生物识别、 宗教信仰、 特定身份、 医疗健康、 金融账户、 行踪轨迹
等信息以及不满 14 周岁未成年人的个人信息。 鉴于敏感个人信息的泄露与非法使用容易损害信
息主体的人格尊严、 人身及财产安全, 《 个人信息保护法》 专门规定了敏感个人信息的处理规
则, 其处理要求高于一般个人信息。 在现实生活中, 已公开个人信息也可能是敏感个人信息, 例
如, 跑友每天将自己的行踪轨迹发布到朋友圈; 大学生为求职将自己的个人身份信息发布到求职
网站。 敏感个人信息即使已经公开, 处理者也应谨慎处理, 相较于一般个人信息, 已公开敏感个
人信息 “ 合理处理范围” 应当适当收缩。 例如, 信息处理者后续行为涉及对已公开个人身份信
息或个人生物识别信息等敏感信息的处理, 必须取得信息主体的专门同意, 还需在遵循目的限制
原则和充分必要性原则的前提下, 采取严格保障措施。
2. “ 合理处理” 的合理性判断
已公开个人信息的 “ 合理处理” 的内容是什么, 学界没有统一观点。 学界的基本共识是:
应以个人信息处理是否超出信息主体的合理预期为标准来对 “ 合理使用” 进行实质判断。 如果
信息处理者的处理目的和处理方式超出了信息主体合理预期的范围, 也就违背了信息主体的处理
意思, 侵犯了信息主体的信息自决权。 笔者认为, 对 “ 合理处理” 应该从形式与实质两方面进
行判断: 形式判断是看处理行为是否符合法律规定, 即处理行为的合法性; 实质判断是看处理行
为是否在合理范围内, 即处理行为的妥当性。
处理行为的合法性, 是指已公开个人信息的处理行为必须符合法律的相关规定。 《 民法典》
《 个人信息保护法》 等法律对个人信息的处理做了系统规定, 信息处理者对已公开个人信息的处
理必须在法律所规定的框架内进行, 如果处理行为违反法律规定, 就不属于合理处理。 由于相关
规定繁多, 笔者只举例说明。 例如, 《 个人信息保护法》 第 8 条规定了个人信息处理中的 “ 信息
质量原则” , 要求信息处理者 “ 处理个人信息应当保证个人信息的质量, 避免因个人信息不准
确、 不完整对个人权益造成不利影响” 。 信息处理者对已公开个人信息的处理应该遵守该原则,
在处理已公开个人信息中, 如果因个人信息的准确性、 完整性缺失给信息主体的个人权益造成不
利影响, 处理行为不属于 “ 合理处理” 。 又例如, 《 个人信息保护法》 第 27 条专门规定了已公开
的个人信息的处理规则, 其中对于 “ 信息主体明确拒绝” 或 “ 处理活动对个人权益有重大影响
· 79·
吉林大学社会科学学报 2022 年 第 6 期
[ 参考文献]
[ 责任编辑: 高 玥]
· 82·
Jilin University Journal Social Sciences Edition 2022 No. 6
and the poor and domestic social antagonisms. Development and security are intertwined, giving birth to the concepts re-
lated to development security such as “ cooperative security” and “ human security” . However, new security risks are
still raging across borders, and various national security concepts need to be urgently improved. China’ s holistic ap-
proach to national security makes up for the inadequacy of developing countries’ security concepts and achieves a tran-
scendence of Western national security theories.
Keywords: national security concept; security dilemma; development security; a holistic approach to national se-
curity
by a reasonable scope. If the information processing exceeds this scope and violates the understanding of the general ra-
tional person on the utilization limit of the disclosed personal information, it will violate the rights and interests of per-
sonal information. Whether the processing of the disclosed personal information is reasonable should be judged from both
the form and the content. The behaviors of violating personal information of citizens include illegal acquisition, illegal
sale and illegal provision. The act of simply collecting personal information that has been disclosed is not illegal, does
not exceed the reasonable expectation of the information subject, and will not violate the information rights and interests
of the information subject, and should not bear criminal responsibility. However, the judgment of the nature of subse-
quent offering and selling information must be based on whether the subsequent behavior is “ reasonable processing” .
Keywords: personal information; reasonable treatment; criminal law boundary; the crime of violating personal in-
formation of citizens
Understanding and Perfection of the Renewal Clause of Residential Construction in the Civil Code
CHEN Yue-peng (83)
Abstract: The solution to the renewal of the right to use residential construction land should be based on the inter-
pretation of the renewal clauses of the Civil Code, and its re-legislation should be discussed. Renewal clauses consist of
automatic renewal rules and renewal fee rules, and it is necessary to deeply analyze the logical relationship between the
two rules. At the same time, there is some ambiguity in the provisions of the renewal fee authorization legislation, and
the legislative power of renewal rules can be regulated in multiple ways based on the value-authority-law order. The
construction of renewal rules in the context of private law should take renewal rights as the core and form a consistent rule
system. The automatic renewal is the acquisition rule of the renewal right, and it is necessary to explore its application
conditions, the subject of renewal and other issues; After the time limit is extended, the effective rules for the exercise of
the renewal right should be studied based on the integration of both theories of legal policy and legal system; In terms of
termination rules, when the right holder abandons the renewal option or there are legal reasons, the automatic renewal
does not take effect and produces corresponding legal effects.
Keywords: residential construction land use rights; renewal rules; public ownership of land