第 62 卷　 第 6 期 吉林大学社会科学学报 Vol. 62　 No.

6
2022 年 11 月 Jilin University Journal Social Sciences Edition Nov. , 2022

□个人信息保护: 刑事治理专题

处理已公开个人信息的刑法边界

宋伟卫

[摘　 要] 已公开个人信息具有识别特定自然人的功能, 属于侵犯公民个人信息罪的对象。 刑法保

护已公开个人信息的理论基础来自 “ 信息自决” 原则。 虽然处理公开的个人信息不适用知情同意
规则, 但并不意味着信息处理者可以任意处理已公开个人信息。 信息主体的默示同意以合理的范围
为界, 如果信息处理超出了合理范围, 违背一般理性人对于已公开个人信息之利用限度的理解, 就
侵犯了个人信息权益。 已公开个人信息处理是否合理应该从形式与实质两方面进行判断。 侵犯公民
个人信息罪的行为方式包括获取、 出售和提供。 单纯收集已公开个人信息行为并不具有非法性, 没
有超出信息主体合理的预期范围, 也不会对信息主体的信息权益造成侵害, 不应承担刑事责任。 后
续提供、 出售行为的刑法性质要依据 “ 合理处理的范围” 来展开。
[ 关键词] 个人信息; 合理处理; 刑法边界; 侵犯公民个人信息罪
[ 基金项目] 河海大学中央高校基本科研业务费专项资金项目 (2019B08114)
[ 收稿日期] 2022-03-05 [ DOI] 10. 15939 / j. jujsse. 2022. 06. fx2
[ 作者简介] 宋伟卫, 河海大学法学院副教授, 法学博士。 ( 南京　 211100)

一、 问题的提出

在数字经济时代, 数据是社会进步的重要动力和经济发展的关键要素。 2020 年 4 月, 中共

中央、 国务院印发 《 关于构建更加完善的要素市场化配置体制机制的意见》 , 明确提出要加快培
育数据要素市场, 推进政府数据开放共享, 提升社会数据资源价值, 加强数据资源整合和安全保
护。 数据的流通和共享是数字经济发展的关键, 只有实现流通和共享的数据, 才能实现数据价值
最大化。 数据在流通中被使用, 数据的使用伴随数据流通, 数据需要流通是数据的天然属性。[1]
信息是数据的内容, 数据是信息的形式 [2] , 个人信息是大数据得以生成的基础, 在数字社会中,
几乎所有数据都含有个人信息。 “ 从数据控制者的层面来看, 无论其使用原始数据还是衍生数
据, 目的都是获取信息。” [3]9 信息控制者往往会尽可能多地收集个人信息, 这是因为占有了海量
的个人信息, 才可能为未来的技术创新和商业竞争提供充足的数据资源。 同时, 信息控制者获得
的个人信息越多, 他们针对用户所描绘的 “ 用户画像” 就越准确, 所做出的个性化推荐和精准营
销的商业价值也就越高。[4] 海量数据的聚集也蕴含侵犯信息主体权益的风险, 信息主体的信息
权极易在数据流通过程中受到侵害。 近几年来, 我国侵犯公民个人信息罪的案件数量居高不下,
· 71·
 吉林大学社会科学学报　 2022 年　 第 6 期

相关的法律适用难题也日益凸显, 尤其是对处理已公开个人信息的刑事责任问题, 争议较大。 由

于收集成本低, 已公开个人信息的处理一直是数据服务的重要内容, 服务商将已公开个人信息聚
集成海量数据是数据领域非常普遍的服务模式。 针对数据服务领域已公开个人信息的利用, 如果
刑法过度干预, 既可能压制技术创新的动力, 也可能减损数据的社会价值; 反之, 如果刑法对恶
意处理已公开个人信息的行为毫无作为, 也会导致侵犯个人信息犯罪数量的攀升。 在 《 中华人
民共和国民法典》 ( 以下简称 《 民法典》 ) 和 《 中华人民共和国个人信息保护法》 ( 以下简称
《 个人信息保护法》 ) 确立了已公开个人信息处理规则的情况下, 如何合理划定已公开个人信息
处理行为的刑法边界是个人信息刑法保护领域的重要课题。

二、 实务分歧与理论争议

公开的个人信息是指已经合法公开的个人信息, 合法公开的个人信息具有合法性和公开性的
特征。 其主要包括两类: 一是自然人自行公开的个人信息, 如求职者为了求职, 将自己的出生日
期、 电话号码、 学历信息、 工作经历等个人信息发布在求职网站; 二是其他合法公开的个人信
息, 包括依照行政行为或司法行为而公开的个人信息等。 例如, 工商管理部门根据 《 严重违法
失信企业名单管理暂行办法》 的规定, 公布严重违法失信企业名单中涉及的个人信息; 又如人
民法院在公开的裁判文书中包含的案件当事人的个人信息。[5] 个人信息合法公开进入公共领域
后, 便成为公共资源, 任何人都可以自由获取。 刑法学界一致认为收集已公开个人信息并不侵犯
公民的个人信息权, 不构成犯罪, 但对收集已公开个人信息之后的提供、 出售行为的定性存在分
歧与争议。
( 一) 实务分歧
从刑事判决的情况看, 各地法院的处理结果截然不同, 既有法院认定已公开信息应受刑法保
护, 也有法院做出相反认定的情形。 在认定已公开个人信息应受刑法保护的案件中, 有法院认
为, 只要未经信息主体同意, 获取已公开个人信息的行为就构成犯罪。 例如, 在范海林、 徐国
成、 李柏林等侵犯公民个人信息罪一案中, 被告人徐国成通过制作爬虫软件从 “ 企查查” “ 天眼
查” 等网站上获取企业法人的联系方式等信息, 整理成 Excel 表格后卖给网友。 法院判决被告人
徐国成犯侵犯公民个人信息罪, 判处有期徒刑三年二个月, 并处罚金人民币一万五千元。① 法院
认定被告人出售已公开个人信息的行为构成犯罪的理由在于, 即便是公开的信息, 公开性也并非
公开某个人信息的排除事由, 国家企业信用信息公示系统通过合法渠道收集工商企业信息并进行
网络公开, 其设立目的是方便民众查询以确认该企业信息是否真实有效。 在该系统进行公开之
前, 需要经过被收集者 ( 企业法定代表人) 的同意, 同意的内容应该仅限于在该系统公开, 而
不包括同意其他人收集其信息并提供给第三方, 也就是说, 行为人可以通过国家企业信用信息公
示系统来查询收集相关信息供自己使用, 但不允许行为人在未征得被收集者同意的情况下收集整
理, 并在未进行匿名处理的情况下提供给他人。 类似的判决还有罗儒期、 罗儒年、 谢传健侵犯公
民个人信息案, 法院基于行为人获取目的非法性, 认定在网络平台上收集公开的个人信息的行为
属于非法获取行为。 法院认为: 被告人罗儒期、 罗儒年、 谢传健从 “ 企查查” 网站或 QQ 群获取
的公民个人信息, 包括姓名、 电话、 邮箱等信息, 涉案信息能够识别到特定自然人身份, 应属于

① 参见福建省泉州市中级人民法院刑事裁定书 (2020) 闽 05 刑终 155 号。

· 72·
 宋伟卫　 处理已公开个人信息的刑法边界

公民个人信息。 “ 企查查” 等网站向他人提供查询的含有法定代表人姓名、 联系方式等企业相关

信息以及通过 QQ 群获取的群成员信息确属可公开查询的信息, 但被告人将从上述渠道获取的公
开信息在未经被收集者同意的情况下进行整合、 整理并用于实施电信网络诈骗犯罪, 足以威胁他
人人身、 财产安全, 具有社会危害性, 该行为应认定为非法获取行为。① 通过分析相关的裁判文
书可以发现, 在有罪判决中, 法院都非常重视个人的 “ 知情同意” , 要求行为人获取或者提供已
公开个人信息也应该获得个人的 “ 二次授权” 。[6] 法院认为公民的个人信息, 无论是被动公开
的, 还是主动公开的, 不得随意获取、 出售或者提供, 如行为人未经信息主体授权而收集公民个
人信息的行为, 应当认定为非法获取公民个人信息的行为。
与此相反, 在有些案件中, 法院将已公开个人信息排除在刑法所保护的个人信息范围之外,
例如在广州金诚置业有限公司、 姚伟涛侵犯公民个人信息一案中, 法院认为侵犯公民个人信息罪
的保护对象为公民个人信息, 企业工商登记等信息中所包含的手机、 电话号码等信息, 不属于个
人信息的范畴。② 也有检察机关持相同的观点, 例如, 在吴某侵犯公民个人信息一案中, 吴某在
天眼查、 企查查等网站下载公开的各地企业工商登记信息, 梳理分类后共出售 1. 8 万余条信息,
获利 1 万余元。 公安机关以侵犯公民个人信息罪立案, 后检察机关以没有证据证实吴某出售合法
公开信息的行为遭到权利人拒绝或侵害其重大利益为由, 建议公安机关撤案。[7] 在此类案件中,
司法机关认为公开的生活事实不属于侵犯公民个人信息罪所保护的对象, 已经公开的个人信息无
需取得信息主体的同意即可合理地处理。
( 二) 理论争议
争议不只在司法实务界, 理论界对处理已公开个人信息的刑法定性亦存在不同见解, 主要包
括有罪说、 无罪说和限定说三种观点。
有罪说认为, 信息主体对公开的个人信息仍然具有支配权, 超出公开目的的收集、 使用行为
仍然要取得信息主体同意。 有学者认为: “ 企业联系人在网上公开个人信息以开拓企业业务, 表
面上是向不特定群体随机公开, 实质上是向潜在的客户群公开, 其受众在一定范围内受到限制。
换言之, 该情形与完全意义上的网上公开信息不同, 因为企业联系人通过目的范围限制, 一定程
度上保留了对其个人信息的支配权, 即他人收集、 使用应获其同意。 行为人收集、 出售、 购买个
人信息, 超出了企业联系人目的范围, 且未获同意, 构成对公民个人信息的侵犯。” [8] 还有学者
认为: “ 信息公开只是数据中原本数据化了的信息经过处理后内容公开了, 数据依然存储在数据
的硬件载体之中, 在信息内容被展现的过程中, 数据在被传输、 处理但没有公开。 信息公开不意
味着数据失去了保护的价值, 只有在数据权利人或者控制者允许公众获得数据或者允许他人获取
数据并且不限制他人再提供给公众, 数据才失去法益保护的必要性。” [9]
无罪说基于侵犯公民个人信息罪的保护法益是公民的信息自决权, 个人信息合法公开就意味
着谁都可以合法获知该个人信息。 “ 公开” 的内涵就是让人知晓, 而人与人之间的互相传播行为
则是 “ 公开” 的应有之义, 行为人提供或采集网站合法且完全公开的个人信息未侵犯公民个人信
息罪的法益。[10] 也有学者从 “ 被害人同意” 的视角对收集公开的个人信息未侵犯公民的信息自
决权做出进一步解释, 认为信息自决权是每个人自行决定与其个人相关的数据在应用上的权利,
即每个人都必须知道, 他自己的信息对于谁、 何时以及哪些得到了公开。 对于权利人同意在网站
上公开的个人信息, 除相关权利人要求 “ 二次授权” 的外, 宜推定存在概括同意, 不宜对出售

① 参见广西壮族自治区宾阳县人民法院刑事判决书 (2020) 桂 0126 刑初 104 号。

② 参见广东省广州市中级人民法院刑事裁定书 (2019) 粤 01 刑终 2121 号。

· 73·
 吉林大学社会科学学报　 2022 年　 第 6 期

或者提供行为要求 “ 二次授权” 。 信息处理者收集网上公开的个人信息, 并没有侵犯公民的信息

自决权, 如果他人予以收集, 用户的自愿公开行为阻却了收集行为的违法性, 收集行为不应构成
犯罪。[11]
限定说基于 “ 情境脉络完整性理论” , 认为 “ 个人信息原始收集时的具体语境应得到尊重,
其后续传播及利用不得超出原初的情境脉络。 个人信息处理是否合理, 取决于引发的影响能否为
用户所接受, 或是否符合用户的 ‘ 合理预期’ 。 个人信息权是否被侵害, 不仅仅取决于当事人是
否同意, 也不取决于信息是否属于 ‘ 已公开’ 事实, 而取决于该信息的性质和用途, 以及是否
属于风险在可接受范围内” [12] 。 按照前述理论, 行为人获取公开个人信息的行为是否有罪取决于
信息利用的情境是否发生变化, 如果发生变化, 就意味着行为人对该信息的使用违背了信息主体
公开信息的初衷, 也就侵犯了公民个人信息自决权。 还有学者持类似的观点: “ 对于已公开个人
信息的处理 ( 获取、 提供、 交换、 出售等) , 与该信息公开的目的没有根本抵触的, 无论被处理
的信息数量到何种程度, 都不宜定罪, 例如, 针对已公开个人信息仅实施单纯获取或爬取、 持有
等行为的, 但处理已公开个人信息有以下情形之一的: 明显违背已公开个人信息的公开目的的;
明显改变已公开个人信息的用途的; 利用已公开个人信息实施可能危及公民人身或财产安全的违
法犯罪行为的。 侵害了被害人的法益处分自由, 应当成立侵犯公民个人信息罪。” [13]
上述观点中, 有罪说强调信息主体对已公开个人信息的信息支配权, 未经权利主体同意而处
理已公开个人信息的行为应当承担刑事责任; 无罪说否定了已公开个人信息中信息主体的信息自
决权; 限定说根据处理行为是否具有侵犯信息主体的个人信息权益的风险作为判断处理行为的刑
法性质的标准。 需要注意的是, “ 违反国家有关规定” 是认定处理已公开个人信息行为构成侵犯
公民个人信息罪的前提, 侵犯个人信息罪的认定依赖前置法的规定。 在 《 民法典》 和 《 个人信
息保护法》 确立已公开个人信息的处理规则之后, 刑法学界和实务界对处理已公开个人信息行
为的刑法性质的认识开始发生改变, 纯粹的有罪说不再有人支持。 与之前相比, 已公开个人信息
处理行为的刑事制裁范围适当收缩已成为共识, 例如有学者就认为, 获取、 提供公开个人信息的
行为只要处于 “ 合理” 限度内, 除非信息主体明确拒绝或侵犯了信息主体重大利益, 获取、 提
供行为就不构成侵犯公民个人信息罪。[14] 在研究焦点方面, 刑法学界开始对照前置法的规定来
分析已公开个人信息处理行为的刑法性质, 这样的转变具有积极的意义。 根据法秩序统一性原理
的要求, 在处理某一件事情时, 所有的规范秩序不能相互矛盾。 贯彻法秩序统一性原理就是刑法
在认定犯罪时要关注前置法, 在前置法上合法的行为, 不可能成为刑法上的犯罪。 反过来说, 唯
有前置法所要反对的行为, 才有可能成为犯罪行为。[15] 前置法中的已公开个人信息处理规则为
侵犯公民个人信息罪的认定提供了教义学分析的依据, 对处理已公开个人信息行为的刑法性质的
判断理所当然地要以对处理规则的阐释为基础。

三、 信息自决权与侵犯公民个人信息罪的对象

随着个人信息刑法保护研究的深入, 侵犯公民个人信息罪的保护法益是个人信息权已经成为
学界共识。 个人信息权的核心是信息自决权, 体现为信息主体对个人信息的支配和自主决定。 此
种结论具有充分的法律依据, 《 个人信息保护法》 第 14 条关于 “ 知情同意规则” 的规定实质上
是赋予信息主体对个人信息拥有自我决定的权利, 维护个人信息处理活动中的个人自主。 除此之
外, 早于 《 个人信息保护法》 实施的 《 中华人民共和国网络安全法》 ( 以下简称 《 网络安全
· 74·
 宋伟卫　 处理已公开个人信息的刑法边界

法》 ) 等法律在相关规定中均确立了 “ 知情同意规则” 。 信息自决权是公民个人信息的基础权

利, “ 以信息自决权作为侵犯公民个人信息罪的保护法益, 正是一般性的自我决定权在刑法个罪
中的体现” [11] 。 《 中华人民共和国刑法》 ( 以下简称 《 刑法》 ) 将侵犯公民个人信息罪设置在侵
犯人身权利罪中, 体现了对信息主体信息自决的尊重。 如果行为人擅自处理公民个人信息对信息
自决权造成实际侵害或者现实危险就构成侵犯公民个人信息罪。 刑法保护已公开个人信息取决于
已公开个人信息是否属于个人信息的范围。 对此问题, 当今世界各国存在不同的模式: 一种是美
国的排除模式, 以已公开个人信息不具有隐私性, 因而将其排除在个人信息之外; 另一种是欧盟
的区别处理模式, 认为已公开个人信息属于个人信息, 但对未公开和已公开个人信息确立不同的
处理规则。 从 《 个人信息保护法》 《 民法典》 规定的内容看, 我国显然更接近于欧盟模式。
( 一) 已公开个人信息主体享有信息自决权
刑法保护已公开个人信息的理论基础来自 “ 信息自决” 原则。 这种自我决定原则包括两部
分: 一是已公开个人信息构成了当事人在社会中的个人形象, 是当事人参与社会生活的前提与基
础, 如果个人信息的公开和使用不能按当事人的意思进行, 则其在社会中的个人形象就可能偏离
原先预期, 进而对自身人格发展造成不利影响; 二是个人信息公开之后就进入了公共领域, 任何
人都有获取的可能并能对它们做出进一步的处理, 但这些处理可能造成对个人信息的改变, 进而
导致当事人社会形象被扭曲, 影响其参与社会生活和人格发展权。[16] 尤其是大数据时代, 人们
可以通过爬虫技术将互联网中分散的公开个人信息聚合在一起, 由于储存高度私人化信息的技术
手段在今天已经是无限的, 这些数据在自动数据处理技术的帮助下又可在数秒内被调取, 个人信
息权利也因此受到严重威胁。 此外, 在建立集成信息系统时, 如这些数据和其他数据相互结合,
就会产生部分的甚至是完全的个性轮廓; 相反, 受到影响的个人则缺乏足够手段来控制这些信息
的使用及其真实性。[17] 在海量信息更容易聚集的情况下, 国家更应该强化对公民已公开个人信
息的保护。 信息自决权的本质在于信息主体对其自身信息的选择与控制, 即信息主体自由地自我
决定其个人信息何时、 何地、 以何种方式被他人收集、 储存、 处理以及利用。 信息不是不可以利
用, 只是需要充分尊重用户的知情同意权, 对利用个人信息的去向需尊重用户的获取权, 对错误
的信息应予以更正乃至删除。 这些都是为了保护自然人在个人信息方面的自我决定权, 从而实现
其在信息社会的人格尊严的完整性。[18] 在个人信息处理领域, 即便是信息主体自愿公开的信息,
如果违反信息自决原则, 在被过度处理的情形下也可能使信息主体的人格受到损害。 同时, 在一
定范围内已经公开的个人信息也具有隐私性, 信息主体不仅有权自主决定是否将自己的个人信息
公之于众, 而且有权自主决定在多大范围内将自己的个人信息公之于众, 违法扩大个人信息的公
开范围也可能构成对隐私权的侵害。[19]
已公开个人信息的信息主体仍享有个人信息权。 已公开个人信息具有识别特定自然人的功
能, 属于个人信息权的保护范畴。 根据 《 全国人民代表大会常务委员会关于加强网络信息保护
的决定》 第 1 条, 《 网络安全法》 第 76 条, 最高人民法院、 最高人民检察院 《 关于办理侵犯公
民个人信息刑事案件适用法律若干问题的解释》 ( 以下简称 《 侵犯公民个人信息刑事案件的解
释》 ) 第 1 条, 《 民法典》 第 1036 条, 《 个人信息保护法》 第 4 条的规定, 个人信息的本质特征
在于可识别性, 个人信息是一切可以识别信息主体的信息的总和, 隐私权强调隐私和不公开, 个
人信息强调识别, 无所谓信息是否公开。[20] 已公开个人信息虽然不再具有隐私特征, 但仍然具
有识别特定自然人的功能, 无疑属于法律意义上公民个人信息的范畴。[21] 由于个人信息是可识
别、 标表特定自然人特征的信息, 因而它与对人的个体评价和社会认同相关, 具有精神属性。 在
此意义上, 个人信息天然表征自然人的人格属性, 尽管数字社会中信息记录和处理方式发生了转
· 75·
 吉林大学社会科学学报　 2022 年　 第 6 期

变, 但个人信息依然处处彰显人格要素中最基本的自由和尊严。[22] 根据人格权保护模式的观点,
个人信息的保护是超越隐私保护利益范围的, 它是对公民个人基本权利的保护。 个人信息权所强
调的不仅仅是保密权, 还包括个人对于自身信息的控制利用权。[23] “ 即便主体允许数据控制者收
集并共享相关个人信息, 这也并不意味着其让渡了所有个人信息权利。” [24] 个人信息保护的对象
并不局限于已存在的秘密信息, 而是广泛表现为社会交往中个人信息挖掘加工过程中产生的各种
信息权益。[25] 个人信息无论是否公开, 信息主体仍然享受个人的信息权, 公开的个人信息同样
受到保护。 正因如此, 《 侵犯公民个人信息刑事案件的解释》 第 1 条没有采用 “ 涉及个人隐私信
息” 的表述, 而是表述为 “ 反映特定自然人活动情况的各种信息” 。 公民个人信息不要求具有个
人隐私的特征, 即便相关信息已经公开, 不属于个人隐私的范畴, 但仍有可能成为公民个人信
息。[26]21 显而易见, 已公开公民个人信息应属于刑法所保护的对象。
( 二) 合理处理已公开个人信息是对信息自决权的尊重
已公开个人信息的处理方式蕴含着对信息自决权的尊重。 《 个人信息保护法》 和 《 民法典》
对公开的个人信息的处理排除了知情同意规则, 即处理者在合理范围内处理信息主体已经公开的
个人信息, 原则上不需要另行取得个人同意。 《 个人信息保护法》 第 27 条规定: “ 个人信息处理
者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息; 个人明确拒绝的除
外。 个人信息处理者处理已公开个人信息, 对个人权益有重大影响的, 应当依照本法规定取得个
人同意。” 《 民法典》 第 1036 条规定, 合理处理该自然人自行公开的或者其他已经合法公开的信
息, 行为人不承担民事责任, 除非该自然人明确拒绝或者处理该信息侵害其重大利益。 知情同意
规则的排除规定是否表明法律对已公开个人信息中信息自决权的否定? 显然不是。 《 个人信息保
护法》 和 《 民法典》 如此规定, 实质还是尊重信息主体的自决权。 “ 因为当个人自行公开其个人
信息时, 个人已经通过此等行为传递出对他人在合理范围内处理其已公开个人信息的默示同意;
当社会中的其他主体依照法律的规定合法公开个人信息时, 此等个人信息具有较强的公共属性,
处理者有理由期待个人会对其在合理范围内进行的个人信息处理活动做出同意。” [27]220 处理已公
开个人信息无需取得信息主体同意的立法目的在于实现个人信息利用与保护的平衡。 个人信息是
社会信息的源泉, 社会信息是个人信息的转化形式, 保护和利用个人信息是信息社会的基本矛
盾。 在解决基本矛盾过程中, 既要保护个人信息, 又要利用个人信息, 法律应实现保护和利用的
平衡。[28] 虽然处理已公开个人信息排除知情同意规则意味着已公开个人信息保护利益的适当减
损, 但这种减损必须满足一定的要求, 即 “ 适当性” “ 必要性” 和 “ 相称性” 的要求。 “ 适当
性” 是指已公开个人信息保护利益的适度减损可以促进信息利用与流通, 增加社会效益; “ 必要
性” 是指基于信息流通范围与信息保护范围的反比关系, 信息流通的范围太大会造成信息保护
的过度减损, 因此, 将公开信息利用权予以适当让渡是危害最小的手段; “ 相称性” 是指虽然公
开信息利用权的适当让渡会造成权利减损, 但权利人可因此获得物质补偿和信息共享权利, 总体
社会效益也会相应提高, 因此, 公开所造成的损害并未大于目的达成带来的利益。[29] 上述要求
充分表明信息处理者不能任意处理已公开个人信息, 体现了对信息主体信息自决权的尊重。
擅自处理已公开个人信息是对信息自决权的侵犯。 《 个人信息保护法》 以知情同意为核心架
构了个人信息处理者获取信息的合法性基础, 对于敏感信息采取强保护、 强同意模式, 而已公开
个人信息本身已经通过合法方式公开, 所以从信息利用的角度讲, 无需再次同意, 这里应理解为
在合理范围内, 用户以推定同意方式同意个人信息处理者在允许公开的范围内合理使用其信
息。[30]124 据此, 有学者认为, 公开意味着信息主体授权公众可以查看这些信息, 这种 “ 权利人同
意” 属于法益自决权内容的, 具有阻却违法性的功能。[31] 然而, “ 权利人同意” 并不意味信息
· 76·
 宋伟卫　 处理已公开个人信息的刑法边界

主体不再享有人格权益, 也不意味个人信息处理者可以任意处理或者以违法的方式处理已公开个
人信息。 从 《 民法典》 《 个人信息保护法》 所设计的已公开个人信息的处理规则来看, 个人信息
合法公开后并不等于免除信息处理者就二次利用行为履行告知并征得个人同意的义务 [30]123 , 只
有合理处理的行为才属于民法或行政法上的合法行为, 否则仍然需要取得个人同意。 合法公开的
个人信息处理中的默示同意或推定同意需要满足一定条件, 即处理者对已公开个人信息的处理没
有超出合理范围, 如果处理者的个人信息处理活动超出合理范围, 违背一般理性人对于已公开个
人信息之利用限度的通常理解, 则违背了信息主体同意的初衷。[27]221 无论是主动公开还是被动公
开, 任何个人信息的公开都具有特定的目的或用途, 如果信息处理者对已公开个人信息处理违背
了最初公开的目的, 就侵犯了信息自决权。
当然, 自行公开的个人信息与合法公开的个人信息所体现的个人信息自决的范围存在差异。
在自行公开个人信息的场合, 信息公开体现了信息主体的意思, 公开目的、 公开程度等都由信息
主体决定, 信息处理不能违背信息主体的意思。 信息主体自行公开个人信息传递出信息主体对他
人在合理范围内处理其已公开个人信息的默示同意, 这种默示同意可以阻却未经授权处理个人信
息的违法性。 同时, 信息主体的默示同意以合理的范围为界, 如果处理者的个人信息处理活动超
出了合理范围, 就侵犯了信息主体的个人信息权益, 不能阻却违法。 在法定公开个人信息的场
合, 公开不以自愿为前提, “ 法定公开信息与信息主体的个人意志、 人格间的关联较为薄弱” [32] 。
但这不代表法定公开个人信息就不承载个人信息自决, 只是表明个人信息自决权被弱化, 因为信
息主体仍然有权对后续处理行为进行干预, 其依据在于 《 个人信息保护法》 第 27 条赋予了信息
主体享有拒绝对其公开个人信息进行处理的权利。 该权利的行使并没有区分自行公开的个人信息
和法定公开的个人信息, 亦即没有排斥信息主体对法定公开个人信息处理的 “ 拒绝权” 。 “ 拒绝
权” 的立法规定表明信息主体对法定公开个人的信息仍然享有一定的支配控制权。 当然, 考虑
到法定公开个人信息的特点, 基于特殊利益的衡量, 法定公开个人信息处理的 “ 拒绝权” 应该
受到一定程度的限制。 “ 拒绝权” 的限制使用是对法定公开信息中信息自决范围的限制, 而不是
对信息自决权的完全否定。

四、 已公开个人信息处理规则与处理行为的刑法性质

判断处理已公开个人信息行为的刑法性质之关键在于处理行为是否符合前置法的规定, 因
此, 前置法的判断成为界定行为性质的关键。 《 民法典》 和 《 个人信息保护法》 对公开个人信息
的处理做出了特别规定。 《 民法典》 第 1036 条第 2 项、 《 个人信息保护法》 第 13 条第 1 款第 6
项与第 2 款、 《 个人信息保护法》 第 27 条确立了系统的公开个人信息的处理规则。 上述规定为
侵犯公民个人信息罪的认定提供了前置法依据, 刑法对已公开个人信息处理的刑事制裁范围不能
逾越前置法所确定的边界。 根据已公开个人信息的处理规则, 对于处理公开的个人信息, 原则上
无需征得信息主体同意, “ 处理自行公开和已经合法公开的个人信息, 原则上无需额外获得权利
人同意, 只有在例外情形下该推定同意才失去效力” [33] 。 根据前置法的规定, 处理已公开个人信
息, 原则上不承担刑事责任, 但即便在处理行为无需征得信息主体同意的情形中, 信息处理者也
必须合理处理公开的个人信息, “ 合理处理范围” 是确定处理行为符合前置法规定的关键。
( 一) “ 合理处理范围” 与处理行为的刑法界定
“ 合理处理” 的边界范围如何, 法律未明确规定, 需要我们对已公开个人信息处理规则中的
· 77·
 吉林大学社会科学学报　 2022 年　 第 6 期

“ 合理处理” 进行释明。 《 民法典》 和 《 个人信息保护法》 所规定的已公开个人信息的处理规则

体现了个人信息权益保护与个人信息合理利用的立法目的, 因此, 解释 “ 合理处理” 当然要兼
顾个人信息保护与利用。 而个人信息保护与利用本身是一对矛盾体, 如果强调个人信息权益的保
护, 就应该严格限定 “ 合理处理” 的范围; 反之, 则应扩张 “ 合理处理” 的范围。
1. 判断的立场: 严格限定 “ 合理处理” 的范围
从我国个人信息保护现实状况出发, 笔者认为, 应该严格界定 “ 合理处理” 的范围, 理由
在于: 其一, 个人信息保护意识落后, 导致网络空间存在着大量已公开个人信息。 由于我国个人
信息的法律保护起步较晚, 社会公众个人信息保护的意识较差, 一些信息主体轻易将敏感个人信
息发布到网络平台上, 导致网络空间中 “ 漂流” 着大量的不应该公开却又自行公开的个人信息。
例如, 病人为了筹集医药费在微信朋友圈公开个人身份信息、 病历、 家庭信息; 又如老人为了给
子女征婚在交友平台中发布个人身份信息。 不止是社会公众, 甚至是国家机关的个人信息保护意
识在某种程度上也落后于时代发展的要求。 例如, 最高人民法院在 《 关于人民法院在互联网公
布裁判文书的规定》 中要求人民法院在互联网上公布裁判文书时, 应当删除 “ 自然人的家庭住
址、 通讯方式、 身份证号码、 银行账号、 健康状况、 车牌号码、 动产或不动产权属证书编号等个
人信息” “ 法人以及其他组织的银行账号、 车牌号码、 动产或不动产权属证书编号等信息” “ 涉
及商业秘密的信息” “ 家事、 人格权益等纠纷中涉及个人隐私的信息” 等。 然而, 在一些裁判文
书中仍然会出现个人信息。 其二, 过度收集公民个人信息, 形成个人信息的灰色地带。 在现有的
社会治理模式下, 无论是政府管理机构还是社会机构都有过度采集公民个人信息的趋向。 例如,
疫情期间, 医院、 超市、 银行强制要求进入人员登记个人的电话号码、 身份证号、 家庭住址; 小
区物业强制要求业主在出入所居住小区时登记个人信息或者进行人脸识别。 不合规地过度采集个
人信息, 再加上个人信息管理能力不足, 形成个人信息的灰色地带, 导致大量个人信息侵权。 因
此, 个人信息保护不足叠加新信息技术广泛应用容易导致信息聚集的风险, 如果我们不扎紧法律
的篱笆, 可能会产生大规模的个人信息侵权的风险。
严格限定 “ 合理处理” 的范围也符合我国立法规定。 虽然 《 个人信息保护法》 将 “ 个人信
息权益保护” 和 “ 个人信息的合理利用” 作为立法目的, 但是 “ 个人信息权益保护是首要立法
目的, 个人信息合理利用则是次要的立法目的” [30]5 。 个人信息权益保护作为首要立法目的决定
了应该严格界定 “ 合理处理” 的范围, 防止个人信息被无序地收集与利用。 个人信息权益保护
优先的立场与维护 “ 个人信息权益保护” 和 “ 合理利用个人信息” 之间的平衡并不冲突, 只是
基于社会现实在立法目的之间所做的轻重权衡。
当然, 前置法严格限定 “ 合理处理” 的范围可能导致刑罚权在个人信息保护领域的扩张,
阻滞公共数据的流通效率。 笔者认为, 可以通过限缩已公开个人信息刑法保护对象的范围来解决
这一问题, 即通过严格规范处理行为, 适当收缩侵犯公民个人信息罪的犯罪对象范围, 实现刑法
处罚的合理性。 任何社会成员无需取得信息主体同意便可合理利用已公开的个人信息, 信息主体
必须容忍信息处理者对信息的后续利用。 由于不同类型的个人信息的特性不同, 信息主体对不同
类型的个人信息处理的容忍度存在差异, 对个人信息后续处理的预期范围也不同, 那么, 刑法对
不同类型个人信息的保护力度应该有所不同。 《 个人信息保护法》 依据不同的标准, 将个人信息
分为未公开个人信息与已公开个人信息、 敏感个人信息与一般个人信息, 并对不同类型的个人信
息处理规定了不同的规制模式。 事实上, 《 个人信息保护法》 对不同类型的个人信息的保护强度
是有区别的, 具体体现在未公开个人信息的保护强度高于已公开个人信息保护、 敏感个人信息的
保护强度高于一般个人信息保护。 在解释 “ 合理处理范围” 时应该遵循类型化思维, 根据不同
· 78·
 宋伟卫　 处理已公开个人信息的刑法边界

已公开个人信息的特性进行合理解释。
基于自行公开个人信息与合法公开个人信息所体现的个人信息自决程度的差异, 刑法对两者
的处理行为的介入范围也应有所区别: 一是在处理自行公开个人信息的场合, 信息的公开程度决
定刑法是否介入。 信息公开程度的不同, 刑法介入的范围也不一样。 根据获取是否以场景为限,
已公开个人信息分为绝对公开个人信息和相对公开个人信息。[34] 由于绝对公开的个人信息可以
由不特定主体不受限制地访问和利用, 处理者处理该信息不会侵犯个人信息权益, 刑法一般不应
当介入; 而相对公开的个人信息是在一定的场景内公开, 信息主体公开的目的、 范围等相对明
确, 访问者访问该信息往往也受到一定限制。 相对公开的个人信息的公开目的、 公开范围等较为
明确, “ 信息主体对后续的处理行为存在合理期待” [35] , 如果处理行为违背了信息主体的合理期
待, 也就构成对个人信息权益的侵害, 刑法具有干预可能性。 二是在处理法定公开个人信息的场
合, 刑法原则上无需介入。 个人信息法定公开无需征得信息主体同意, 其所承载的个人信息自决
权高度弱化。 同时, 法定公开的目的是为了公共利益, 信息主体对后续的处理行为应该承担较高
的容忍义务, 一般无需刑法介入。
还值得注意的是, 如果已公开的个人信息属于敏感信息, “ 合理处理范围” 要适当收缩。 敏
感个人信息是一旦泄露或者非法使用, 容易导致自然人的人格尊严受到侵害的或者人身、 财产安
全受到危害的个人信息, 包括生物识别、 宗教信仰、 特定身份、 医疗健康、 金融账户、 行踪轨迹
等信息以及不满 14 周岁未成年人的个人信息。 鉴于敏感个人信息的泄露与非法使用容易损害信
息主体的人格尊严、 人身及财产安全, 《 个人信息保护法》 专门规定了敏感个人信息的处理规
则, 其处理要求高于一般个人信息。 在现实生活中, 已公开个人信息也可能是敏感个人信息, 例
如, 跑友每天将自己的行踪轨迹发布到朋友圈; 大学生为求职将自己的个人身份信息发布到求职
网站。 敏感个人信息即使已经公开, 处理者也应谨慎处理, 相较于一般个人信息, 已公开敏感个
人信息 “ 合理处理范围” 应当适当收缩。 例如, 信息处理者后续行为涉及对已公开个人身份信
息或个人生物识别信息等敏感信息的处理, 必须取得信息主体的专门同意, 还需在遵循目的限制
原则和充分必要性原则的前提下, 采取严格保障措施。
2. “ 合理处理” 的合理性判断
已公开个人信息的 “ 合理处理” 的内容是什么, 学界没有统一观点。 学界的基本共识是:
应以个人信息处理是否超出信息主体的合理预期为标准来对 “ 合理使用” 进行实质判断。 如果
信息处理者的处理目的和处理方式超出了信息主体合理预期的范围, 也就违背了信息主体的处理
意思, 侵犯了信息主体的信息自决权。 笔者认为, 对 “ 合理处理” 应该从形式与实质两方面进
行判断: 形式判断是看处理行为是否符合法律规定, 即处理行为的合法性; 实质判断是看处理行
为是否在合理范围内, 即处理行为的妥当性。
处理行为的合法性, 是指已公开个人信息的处理行为必须符合法律的相关规定。 《 民法典》
《 个人信息保护法》 等法律对个人信息的处理做了系统规定, 信息处理者对已公开个人信息的处
理必须在法律所规定的框架内进行, 如果处理行为违反法律规定, 就不属于合理处理。 由于相关
规定繁多, 笔者只举例说明。 例如, 《 个人信息保护法》 第 8 条规定了个人信息处理中的 “ 信息
质量原则” , 要求信息处理者 “ 处理个人信息应当保证个人信息的质量, 避免因个人信息不准
确、 不完整对个人权益造成不利影响” 。 信息处理者对已公开个人信息的处理应该遵守该原则,
在处理已公开个人信息中, 如果因个人信息的准确性、 完整性缺失给信息主体的个人权益造成不
利影响, 处理行为不属于 “ 合理处理” 。 又例如, 《 个人信息保护法》 第 27 条专门规定了已公开
的个人信息的处理规则, 其中对于 “ 信息主体明确拒绝” 或 “ 处理活动对个人权益有重大影响
· 79·
 吉林大学社会科学学报　 2022 年　 第 6 期

的” , 信息处理者应当依法取得个人同意。 在此种情况下, 尽管个人信息已经公开, 信息处理者

也需要取得信息主体同意, 如果未取得同意就处理, 其处理行为就不合法, 也就不属于 “ 合理
处理” 。
处理行为的妥当性, 是指已公开个人信息的处理必须在合理范围内进行。 已公开个人信息处
理的 “ 合理范围” 的边界需要根据个人信息的类型、 公开程度、 公开目的等因素综合判断。 具
体判断标准为: 一是自行公开个人信息的合理处理。 对于绝对公开的个人信息, 由于公开并无承
载信息主体特定目的且不特定第三人可以不受限制地访问该信息, 因此, 信息主体对信息处理后
果的容忍度相对较高, 只要信息处理不严重侵犯信息主体的人格权, 就属于在合理的预期范围
内, 刑法就不宜介入。 例如, 个人在公开的社交网站上 “ 晒” 个人丰富的假期生活, 其中包括
消费习惯、 收入状况、 联系方式等个人信息。 此时, 信息主体并无特定公开目的, 对他人处理这
些信息的容忍度较高。 收集者对这些信息的商业利用无疑都在信息主体的合理预期范围内, 但是
如果收集者将这些信息出售给犯罪集团或者进行 “ 人格画像” 就超出了信息主体合理预期范围。
对于相对公开的个人信息, 由于公开的目的和用途比较明确, 信息主体对后续的信息处理具有一
定的预期。 信息处理者对相对公开个人信息的处理必须符合公开目的或用途, 一旦信息处理脱离
公开的目的和用途, 信息主体的个人信息权益就可能受到侵害。 例如, 某女性在需要注册账号的
征婚网站上发布了征婚广告, 其中包括手机号码、 年龄等个人信息, 显而易见, 征婚就是公开用
途, 如果信息处理违背了征婚、 求偶之目的, 也就超出了信息主体的合理预期范围。 “ 处理个人
信息明显违背个人公开其信息的目的, 改变已公开信息的用途的, 都有可能构成侵犯公民个人信
息罪。” [13] 二是法定公开个人信息的处理。 正如前文所述, 个人信息法定公开的理由是基于公共
利益的需要, 具有一定的强制性, 信息主体对处理行为承担相对较高的容忍义务。 信息处理行为
只要没有对信息主体的权益造成重大损害, 就在合理处理的范围内。 当然, 这一结论并不适用于
敏感个人信息的处理, 因为敏感个人信息的处理容易对信息主体的人格尊严、 财产安全造成侵
害, 如果法定公开的是敏感个人信息, 处理者就应该谨慎处理, 处理行为不能违背公开目的。
总而言之, 个人信息是否被 “ 合理处理” , 应当结合个人信息的类型、 公开程度、 公开目的
等多种因素进行全方位的判断。 任何处理公开个人信息的活动都有侵犯信息主体个人信息权益的
风险, 判断处理行为是否合理的核心在于处理行为是否符合信息主体的预期范围以及风险是否在
信息主体可接受范围内。
( 二) 处理已公开个人信息行为的刑事责任认定
侵犯公民个人信息罪的行为方式包括获取、 出售和提供。 单纯收集已公开个人信息行为并不
具有非法性, 没有超出信息主体合理的预期范围, 也不会对信息主体的信息权益造成侵害, 不应
承担刑事责任。 对于收集已公开个人信息之后又有后续提供、 出售行为性质的判断, 要看后续行
为是否属于 “ 合理处理” 的范围。 总体上讲, 信息处理者应该对已公开个人信息的后续处理行
为保持谨慎义务, 以防止信息的提供、 出售行为对信息主体的人格权造成侵犯的风险。 “ 合理使
用在本质上是谨慎义务的一种体现, 谨慎义务一方面强调合理的信息使用和披露, 即不以侵犯信
息主体的利益或者违反信息主体的合理预期的方式, 使用和披露个人信息。 其核心是酌情保护,
以防止不合理、 不合法的信息使用和泄露。 另一方面, 谨慎义务意味着信息控制者有义务确保个
人信息的下游使用是合理的、 合法的。” [36] 基于个人信息类型、 公开程度、 公开目的不同, 信息
处理者负有程度不等的谨慎处理义务。 对于已公开个人信息的后续处理行为, 应分情况认定刑事
责任。
收集自行公开的个人信息, 提供、 出售给他人使用的刑事责任认定: 在自行公开非敏感个人
· 80·
 宋伟卫　 处理已公开个人信息的刑法边界

信息的场合, 如果个人信息属于绝对公开, 信息主体对后续处理行为的容忍度较高, 只要信息处

理不严重侵犯信息主体的人格权, 就属于在合理的预期范围内。 在此种情况下, 信息收集者一般
无需知晓下游使用者的使用目的, 只有在明知下游使用者利用已公开个人信息实施违法犯罪活动
还予以提供或出售的, 才承担相应的刑事责任; 如果个人信息属于相对公开, 后续的处理行为不
能违背特定的公开目的和用途。 信息收集者明知下游行为违背了公开目的和用途而提供或出售
的, 就侵犯了个人信息自决权, 应承担刑事责任。 在自行公开敏感个人信息的场合, 由于敏感个
人信息的处理蕴含侵犯信息主体权益的高风险, 无论该信息是绝对公开还是相对公开, 信息收集
者均需明确下游处理者的处理目的, 如果明知下游处理行为改变了特定公开目的而仍然提供、 出
售的, 就应该承担刑事责任。
收集法定公开个人信息, 提供、 出售给他人使用的刑事责任认定: 由于此种个人信息的公开
非信息主体自愿, 其所承载的个人信息自决权高度弱化, 原则上处理行为不会侵犯个人信息自决
权。 同时, 个人信息法定公开服务于公共利益, 信息主体对后续的处理行为就应承担较高的容忍
义务。 信息收集者只有在明知下游使用者利用已公开个人信息实施违法犯罪活动仍予以提供、 出
售的, 才承担相应的刑事责任。

个人信息是社会信息的源泉, 个人信息的聚合既能产生较大的经济价值, 也能产生权益侵害

的风险, 法律应致力实现个人信息权益保护和合理利用之间的平衡。 由于我国个人信息保护立法
的滞后, 个人信息保护一直呈现出 “ 先刑后民” 的状态 [37] , “ 个人信息保护的实践早期主要在
刑事领域展开, 而且从现有的治理侵犯公民个人信息的措施看, 刑罚承担着主要角色, 且持一种
严罚的态度” [38] 。 随着我国第一部系统、 全面保护个人信息的专门性法律 《 个人信息保护法》
的施行, 其与 《 民法典》 《 网络安全法》 《 数据安全法》 等法律已经形成了完整、 严密的个人信
息保护法律体系。 在个人信息法律保护体系日益完善的背景下, 刑法对已公开个人信息处理行为
的规制机制应该做出适当调整, 采取 “ 刑民并重” 的方式形成合力, 实现个人信息保护和利用
的平衡: 一方面, 刑法要处罚擅自处理已公开个人信息的行为, 保护公民的个人信息权益, 体现
刑法的保障性; 另一方面, 刑法对已公开个人信息的利用行为的规制范围应该有所收缩, 促进数
据的有序流动, 体现刑法的谦抑性。

[ 参考文献]

[ 1 ] 高富平: 《 数据流通理论———数据资源权利配置的基础》 , 《 中外法学》 , 2019 年 6 期。

[ 2 ] 程啸: 《 论大数据时代的个人数据权利》 , 《 中国社会科学》 , 2018 年 3 期。
[ 3 ] 玛农·奥斯特芬: 《 数据的边界———隐私与个人数据保护》 , 曹博译, 上海: 上海人民出版社, 2020 年。
[ 4 ] 郭春镇、 马磊: 《 大数据时代个人信息问题的回应型治理》 , 《 法制与社会发展》 , 2020 年 2 期。
[ 5 ] 程啸: 《 论我国民法典中的个人信息合理使用制度》 , 《 中外法学》 , 2020 年 4 期。
[ 6 ] 欧阳本祺: 《 侵犯公民个人信息罪的法益重构: 从私法权利回归公法权利》 , 《 比较法研究》 , 2021 年 3 期。
[ 7 ] 卢志坚、 白翼轩、 田竞: 《 出卖公开的企业信息谋利: 检察机关认定行为人不构成犯罪》 , 《 检察日报》 ,
2021 年 1 月 20 日第 1 版。
[ 8 ] 马啸、 狄小华: 《 公民个人信息刑法保护界限问题研究》 , 《 江海学刊》 , 2019 年 2 期。
[ 9 ] 游涛、 计莉卉: 《 使用网络爬虫获取数据行为的刑事责任认定》 , 《 法律适用》 , 2019 年 10 期。
[10] 徐剑: 《 侵犯公民个人信息罪法益: 辨析与新证》 , 《 学海》 , 2021 年 2 期。
[11] 刘艳红: 《 民法编纂背景下侵犯公民个人信息罪的保护法益: 信息自决权》 , 《 浙江工商大学学报》 , 2019
年 6 期。
· 81·
 吉林大学社会科学学报　 2022 年　 第 6 期

[12] 张忆然: 《 大数据时代 “ 个人信息” 的权利变迁与刑法保护的教义学限缩———以 “ 数据财产权” 与 “ 信息

自决权” 的二分为视角》 , 《 政治与法律》 , 2020 年 6 期。
[13] 周光权: 《 侵犯公民个人信息罪的行为对象》 , 《 清华法学》 , 2021 年 3 期。
[14] 喻海松: 《 〈 民法典〉 视域下侵犯公民个人信息罪的司法适用》 , 《 北京航空航天大学学报》 ( 社会科学
版) , 2020 年 6 期。
[15] 周光权: 《 法秩序统一性原理的实践展开》 , 《 法治社会》 , 2021 年 4 期。
[16] 谢远扬: 《 〈 民法典人格权编 ( 草案) 〉 中 “ 个人信息自决” 的规范建构及其反思》 , 《 现代法学》 , 2019
年 6 期。
[17] 赵宏: 《 从信息公开到信息保护: 公法上信息权保护研究的风向流转与核心问题》 , 《 比较法研究》 , 2017
年 2 期。
[18] 申卫星: 《 论个人信息保护与利用的平衡》 , 《 中国法律评论》 , 2021 年 5 期。
[19] 李承亮: 《 个人信息保护的界限———以在线评价平台为例》 , 《 武汉大学学报》 ( 哲学社会科学版) , 2016
年 4 期。
[20] 彭诚信: 《 “ 信息” 与 “ 数据” 的私法界定》 , 《 河南社会科学》 , 2019 年 11 期。
[21] 蔡云: 《 公民个人信息的司法内涵》 , 《 人民司法 ( 案例) 》 , 2020 年 2 期。
[22] 彭诚信: 《 论个人信息的双重属性》 , 《 清华法学》 , 2021 年 6 期。
[23] 张融: 《 论个人信息权的私权属性———以隐私权和个人信息权的关系为视角》 , 《 图书馆建设》 , 2021 年
1 期。
[24] 王利明: 《 数据共享与个人信息保护》 , 《 现代法学》 , 2019 年 1 期。
[25] 申卫星: 《 大数据时代个人信息保护的中国路径》 , 《 探索与争鸣》 , 2020 年 11 期。
[26] 喻海松: 《 侵犯公民个人信息罪司法解释理解与适用》 , 北京: 中国法制出版社, 2018 年。
[27] 张新宝: 《 〈 中华人民共和国个人信息保护法〉 释义》 , 北京: 人民出版社, 2021 年。
[28] 程关松: 《 个人信息保护的中国权利话语》 , 《 法学家》 , 2019 年 5 期。
[29] 董悦: 《 公民个人信息分类保护的刑法模式构建》 , 《 大连理工大学学报》 ( 社会科学版) , 2020 年 2 期。
[30] 龙卫球: 《 中华人民共和国个人信息保护法释义》 , 北京: 中国法制出版社, 2021 年。
[31] 杨志琼: 《 数据时代网络爬虫的刑法规制》 , 《 比较法研究》 , 2020 年 4 期。
[32] 齐英程: 《 已公开个人信息处理规则的类型化阐释》 , 《 法制与社会发展》 , 2022 年 5 期。
[33] 王华伟: 《 已公开个人信息的刑法保护》 , 《 法学研究》 , 2022 年 2 期。
[34] 宁园: 《 “ 个人信息已公开” 作为合法处理事由的法理基础与规则适用》 , 《 环球法律评论》 , 2022 年 2 期。
[35] 王海洋、 郭春镇: 《 公开的个人信息的认定和处理规则》 , 《 苏州大学学报》 ( 法学版) , 2021 年 4 期。
[36] 吴泓: 《 信赖理念下的个人信息使用与保护》 , 《 华东政法大学学报》 , 2018 年 1 期。
[37] 王华伟: 《 数据刑法保护的比较考察与体系建构》 , 《 比较法研究》 , 2021 年 5 期。
[38] 汪明亮: 《 治理侵犯公民个人信息犯罪之刑罚替代措施》 , 《 东方法学》 , 2019 年 2 期。

[ 责任编辑: 高　 玥] 　 　

· 82·
 Jilin University Journal Social Sciences Edition　 2022　 No. 6

and the poor and domestic social antagonisms. Development and security are intertwined, giving birth to the concepts re-
lated to development security such as “ cooperative security” and “ human security” . However, new security risks are
still raging across borders, and various national security concepts need to be urgently improved. China’ s holistic ap-
proach to national security makes up for the inadequacy of developing countries’ security concepts and achieves a tran-
scendence of Western national security theories.
Keywords: national security concept; security dilemma; development security; a holistic approach to national se-
curity

Building State Resilience in the Transformation of Global Governance

YAO Lu, JING Jing (45)
Abstract: At the time when “ the greatest changes in a century” , the COVID-19 and Russia-Ukraine conflict are
overlapping, the state, as the main body of global governance, is facing internal and external interwoven and high-inten-
sity impacts. The failure of global governance makes the appeal for “ finding the state” very high. However, the core of
solving the current dilemma of globalization and global governance is not simply the comprehensive return of “ state cen-
trism” , but the rethinking of “ state” in global governance. Such transformation calls for the construction of “ state resili-
ence” . The existence of risks, the two-way pressure and the need for transformation in the process of globalization put
forward new tests on the “ resistance to compression” , “ restoring force” and “ sustainability” of states. Therefore, the
state needs to build “ state resilience” by tapping into its social core, advancing state-building and developing a spatio-
temporal imagination, so as to promote the transformation and development of the global governance system while coping
with changes and impacts of the external environment.
Keywords: the state; state resilience; global governance transformation; globalization

Criminal Governance of Crimes Infringing Citizens’ Personal Information

ZHANG Xu (59)
Abstract: With the wide application of digital technologies such as the Internet and Big Data, as well as the in-
creasing value of various data and information in social life, the illegal and criminal acts that infringe citizens’ personal
information are spreading and becoming more serious. In response to the actual need for effective criminal governance of
such illegal and criminal acts, we should not only pay attention to the specific problems of blurred boundaries of these
crimesand difficulties of applying the criteria of “ serious circumstances” , but also lay more emphasis on the deep-seated
problems such as the dilemma of the “ Technical Leviathan” and the unclear positioning of criminal law in the personal
information protection system. To strengthen the criminal governance of infringement of citizens’ personal information,
we should start from solving the “ Technical Leviathan” dilemma, clarifying the Last Law’ s status of criminal law in the
personal information protection system, limiting the scope of “ citizens’ personal information” in the criminal law per-
spective, and generally straightening out the criteria for identifying “ serious circumstances” , etc. This will lay the foun-
dation for the construction of a multi - dimensional and multi - participatory system for comprehensively governing in-
fringement of citizens’ personal information.
Keywords: crimes infringing citizens ’ personal information; criminal governance; governance dilemma; Last
Law; digital society

Criminal Law Boundary of Processing on Disclosed Personal Information

SONG Wei-wei (71)
Abstract: The disclosed personal information has the function of identifying specific natural persons and is the ob-
ject of the crime of violating personal information of citizens. The theoretical basis for the protection of public personal
information in criminal law comes from the principle of “ information self-determination” . Although the informed con-
sent rule is not applicable to the processing of public personal information, it does not mean that the information proces-
sor can arbitrarily process the disclosed personal information. The implied consent of the information subject is bounded
· 232·
 ABSTRACTS

by a reasonable scope. If the information processing exceeds this scope and violates the understanding of the general ra-
tional person on the utilization limit of the disclosed personal information, it will violate the rights and interests of per-
sonal information. Whether the processing of the disclosed personal information is reasonable should be judged from both
the form and the content. The behaviors of violating personal information of citizens include illegal acquisition, illegal
sale and illegal provision. The act of simply collecting personal information that has been disclosed is not illegal, does
not exceed the reasonable expectation of the information subject, and will not violate the information rights and interests
of the information subject, and should not bear criminal responsibility. However, the judgment of the nature of subse-
quent offering and selling information must be based on whether the subsequent behavior is “ reasonable processing” .
Keywords: personal information; reasonable treatment; criminal law boundary; the crime of violating personal in-
formation of citizens

Understanding and Perfection of the Renewal Clause of Residential Construction in the Civil Code
CHEN Yue-peng (83)
Abstract: The solution to the renewal of the right to use residential construction land should be based on the inter-
pretation of the renewal clauses of the Civil Code, and its re-legislation should be discussed. Renewal clauses consist of
automatic renewal rules and renewal fee rules, and it is necessary to deeply analyze the logical relationship between the
two rules. At the same time, there is some ambiguity in the provisions of the renewal fee authorization legislation, and
the legislative power of renewal rules can be regulated in multiple ways based on the value-authority-law order. The
construction of renewal rules in the context of private law should take renewal rights as the core and form a consistent rule
system. The automatic renewal is the acquisition rule of the renewal right, and it is necessary to explore its application
conditions, the subject of renewal and other issues; After the time limit is extended, the effective rules for the exercise of
the renewal right should be studied based on the integration of both theories of legal policy and legal system; In terms of
termination rules, when the right holder abandons the renewal option or there are legal reasons, the automatic renewal
does not take effect and produces corresponding legal effects.
Keywords: residential construction land use rights; renewal rules; public ownership of land

Certification of the Tenant’ s Right of First Refusal in Chinese Civil Code

ZHANG Song-lun (96)
Abstract: Regarding the tenant’ s right of first refusal, there is considerable controversy in the academia. In the
context of the civil code’ s continued recognition of this system, it is necessary to clarify its purpose in terms of interpre-
tation. At the heart of a lessee’ s right of first refusal is the setting of a negative incentive for the seller to sell the proper-
ty before the lease expires. Failure to recognize this may lead to major logical loopholes and legal errors in the proof and
falsification of the lessee’ s right of first refusal. This risk is neither a breach of contract in the general sense, nor the ide-
al performance of a contract under contract law, but something in between. The tenant’ s right of first refusal and “ sale
and purchase without breaking the lease” cooperate with each other, and its essence must be the nature of property
rights. But having the nature of property rights does not mean that it is necessarily able to survive, and other conditions
must be met. The lessor’ s infringement of the right of first refusal is essentially a violation of the statutory obligation,
and the core of the damage is the punishment created by law, so its compensation to the lessee should be based on the
rent of the unexpired lease period, and ultimately manifests itself in the situation where the compensation and the rent are
offset against each other.
Keywords: Civil Code; the tenant’ s right of first refusal; “ default” risk; right of formation; validity of real right
and creditor’ s right

Can Digital Inclusive Finance Promote Enterprise Digitization?

XIAO Hong-jun, YANG Zhen (106)
Abstract: In the context of high-quality development driven by the digital economy, enterprises have embedded
· 233·