问题四：民法典、个人信息保护法如何助力刑法完善侵犯公民个人信息罪的出罪机制？

在法秩序统一原理下，民法典、个人信息保护法除了为刑法提供适用标准、划定犯罪圈以外，还有一个极为重要的功能是提供出罪事由。以获取已公开个人信息案为例来讨论这个问题：如获取已在公共网络上公开的企业登记信息、征信信息等，并出售或提供给他人的情形是否定罪、如何出罪，在实务上历来都有争议。在此仅对部分学者的观点进行介绍。

刘艳红：用户自愿的民事授权行为阻却处理行为的违法性

刘艳红教授引用了喻海松法官编撰的案例展开具体分析：某甲从商贸网站和政府部门公开的企业信息网上收集企业公开发布的信息，包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。甲将上述信息存入数据库，供他人付费查询使用。甲的行为是否构成侵犯公民个人信息罪？

在此可以援引个人信息保护法的相关条文作为参照。本法第十三条第一款第（1）项规定，取得个人的同意，个人信息处理者可以处理个人信息。而根据本法第四条规定，个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

刘艳红教授认为，虽然甲从形式上都符合犯罪构成要件的规定，比如甲主观上出于故意，客观上实施了未经他人授权或同意即爬取他人信息的行为，尤其是其在爬取后，通过他人付费而将爬取到的信息提供给他人，这一行为更是没有经过信息权人的同意，假设甲涉案的信息数量也达到了立案标准，那么从形式上看，将甲的行为定为侵犯公民个人信息罪似无疑问。

然而，如果联系本罪的法益即信息自决权分析，既然“信息自决权是指每个人自行决定与其个人相关的数据在应用上的权利，即每个人都必须知道，他自己的信息对于谁、何时以及哪些得到了公开”，那么，商贸网站和政府部门公开的企业信息网上由其公开的法定代表人或联系人的个人信息，即为当事人同意并授权这些网站予以公开的，这些个人信息的发布是经过公民个人自由选择自己决定的结果，甲上网爬取这些信息，并没有侵犯公民个人信息自决权，没有侵犯刑法第二百五十三条之一的保护法益。因此，甲的行为不应构成侵犯公民个人信息罪。

至于如果甲将这些信息又提供给他人的，除相关权利人要求“二次授权”的以外，宜推定存在概括同意，不宜对收集后出售或者提供的行为要求“二次授权”，不应构成刑法第二百五十三条之一第1款规定的出售、提供型侵犯公民个人信息罪。甲在网上获取这些信息是源头行为，出售和提供给他人是下游行为，源头行为合法，下游行为也不应入罪。同样的道理，对于用户在微博上自行公开的邮箱、电话号码、工作或家庭地址以及用户在单位网站公布的邮箱信息等等，如果使用爬虫行为予以取得的，也应当认定用户作出了自愿公开的民事授权行为，因而阻却爬虫行为的违法性，爬虫行为不应构成犯罪。

进一步，刘艳红教授对网络爬虫行为进行了更为全面而深入的研究，并认为应当分别从形式和实质两个维度加以判断：

第一步，从形式上来看，通过违反国家法律、行政法规、部门规章等有关收集、处理、利用数据信息的规定，或者行业规则即爬虫协议的网络爬虫行为来获取公民个人信息的，可以认定为“以其他方法非法获取公民个人信息”之“非法”。

第二步，从实质上来看，行为人在权限许可范围内使用爬虫行为获取公民个人信息的，不属于“非法”，不应认定为犯罪；行为人采取爬虫行为非法收集的如果是无法识别特定自然人身份的公民个人信息，即便爬虫行为性质上非法，也不构成犯罪。

总之，通过形式判断与实质判断、形式入罪与实质出罪双重机制，合理地实现对网络爬虫行为的刑事规制。

周光权：不改变信息公开的目的或者用途可以阻却侵犯公民个人信息罪的成立

周光权教授对实务中那种一概认为“有罪”或者“无罪”的观点均进行了反驳，认为应当基于法秩序统一原理，对已公开的个人信息进行目的或用途的检验，提出处理本类案件的合理主张应当是：获取、提供已公开的个人信息但改变信息公开的目的或者用途的，可能成立侵犯公民个人信息罪。反过来说，获取、提供已公开的个人信息但是没有改变原来的目的或者用途的，不成立侵犯公民个人信息罪。

此时需要特别关注前置法的相关规定。如民法典第一千零三十六条强调，如果行为系对已公开的个人信息进行不合理处理的，仍然应当承担侵权责任。换言之，民法典允许对已公开的个人信息进行合理的处理，法律只是对于那些“不合理地处理”已公开的个人信息的行为持反对态度。民法典的这一态度在个人信息保护法中也得到了贯彻。在此基础上，周光权教授具体阐述了可以定罪与不宜定罪的情形：

1.处理已公开的个人信息可以定罪的情形：第一，明显违背已公开个人信息的公开目的的。第二，明显改变已公开个人信息的用途的。第三，利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为的。例如，互联网公司工作人员将其在工作中获取的个人已公开信息出售给体检机构，以便于后者拓展客源的；再比如，通过公开征信系统获得他人手机号之后对个人进行追踪定位的，使他人的生命、身体陷入危险。周光权教授进一步认为，即便否认这些个人信息属于个人隐私，或系依法注册登记而被公开，也不能阻却违法性。

2.处理已公开的个人信息应当出罪的情形：第一，针对已公开的个人信息仅实施单纯获取或爬取、持有等行为的。由于行为人还没有将该信息予以批量出售、提供，很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同，也无法确定信息的用途是否被改变，难以得出行为人侵害被害人法益处分自由的唯一结论。第二，获取、提供他人已公开的个人信息的目的是帮助行为人拓展业务的情形。如企业注册登记或者将其信息在征信系统中收录，其目的是为了企业自身发展。行为人处理企业公开信息中包含的个人信息，如果与该企业的经营发展目的相一致的，应当认定该处理信息行为具有合理性。第三，获取、提供他人已公开的个人信息的目的是为企业发展提供贷款等金融支撑的情形。企业的发展需要使用支付、结算器械，向企业推销此类产品不违背企业设立的目的。

〔文献来源〕

周光权：《刑民交叉案件的判断逻辑》，载《中国刑事法杂志》2020年第3期。

周光权：《法秩序统一性原理的实践展开》，载《法治社会》2021年第4期。

周光权：《侵犯公民个人信息罪的行为对象》，载《清华法学》2021年第3期。

张新宝：《〈民法总则〉个人信息保护条文研究》，载《中外法学》2019年第1期。

张新宝：《新宝看法（十七）丨敏感个人信息的强化保护》，载微信公众号“教授加”2021年9月1日。

刘艳红：《侵犯公民个人信息罪法益：个人法益及新型权利之确证——以〈个人信息保护法（草案）〉为视角之分析》，载《中国刑事法杂志》2019年第5期。

刘艳红：《民法典编纂背景下侵犯公民个人信息罪的保护法益：信息自决权——以刑民一体化及〈民法总则〉第111条为视角》，载《浙江工商大学学报》2019年第6期。

刘艳红：《网络爬虫行为的刑事规制研究——以侵犯公民个人信息犯罪为视角》，载《政治与法律》2019年第11期。

刘艳红：《法秩序统一原理下未成年人保护制度的刑民衔接适用》，载《现代法学》2021年第4期。

程啸：《民法典编纂视野下的个人信息保护》，载《中国法学》2019年第4期。

程啸：《〈个人信息保护法〉——“十大亮点”彰显个人信息全面保护》，载《检察日报》2021年8月30日第3版。

程啸：《我国个人信息法律保护的里程碑》，载《经济参考报》2021年8月24日第006版。

姜涛：《新罪之保护法益的证成规则——以侵犯公民个人信息罪的保护法益论证为例》，载《中国刑事法杂志》2021年第3期。