“合理处理”与侵犯公民个人信息罪的出罪机制

2021-12-09 00:36刘双阳

华东政法大学学报 2021年6期

关键词：法益信息处理个人信息

刘双阳

一、引言

二、擅自处理已公开的个人信息行为的罪与非罪之争

三、整体法秩序下擅自处理已公开的个人信息行为之司法认定

四、擅自处理已公开的个人信息行为实质出罪机制之类型化构建

五、结语

一、引言

大数据时代，个人信息〔1〕本文在相同意义上使用“个人信息”与“个人数据”这两个概念，在不同立法语境下各有侧重。安全保护与流动利用之间矛盾冲突的张力日益显现，一段时间以来，已公开的个人信息〔2〕“已公开的个人信息”是指已经合法公开的个人信息，至于那些因他人泄露或非法公开的个人信息，虽然客观上确实处于公开的状态，但不属于法律意义上已公开的个人信息。如何适用侵犯公民个人信息罪是司法实务中最为棘手的问题之一。未经信息主体同意，信息处理者收集已公开的个人信息出售或提供给他人，“以此为源头，形成个人信息黑灰产业链和犯罪利益链条，导致骚扰电话、垃圾短信、精准电信诈骗、身份欺诈等屡禁不止，不仅侵扰了公民的生活安宁，也对公民的人身、财产权益保护构成威胁”。〔3〕张新宝：《〈中华人民共和国民法典·总则〉释义》，中国人民大学出版社2020年版，第217页。为回应公众个人信息安全意识觉醒后要求加强个人信息权益保护的呼声，根据最高人民法院、最高人民检察院联合出台的司法解释，〔4〕参见《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）第3条第2款。司法实务中普遍将此类行为加以入罪规制。2021年1月1日起生效的《中华人民共和国民法典》（以下简称《民法典》）对此作出调整，首次根据客观状态区分未公开的个人信息与已公开的个人信息，分别设置不同的处理规则，行为人虽未征得信息主体同意但属于合理处理已公开的个人信息的情形，原则上不承担民事责任。〔5〕参见《民法典》第1036条。2021年8月20日，十三届全国人大常委会第三十次会议表决通过的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）也在第27条进一步规范了已公开的个人信息的处理活动。刑法作为社会治理的“最后手段”，是典型的“二次法”和“保障法”，其适用通常要以前置法作为前提和基础。因此，应结合《民法典》《个人信息保护法》等前置法中关于处理已公开的个人信息之规定，审慎合理确定侵犯公民个人信息罪的司法边界，平衡已公开的个人信息有序流动利用与信息主体对其个人信息传播控制之间的关系。

二、擅自处理已公开的个人信息行为的罪与非罪之争

所谓已公开的个人信息同时具备信息内容公开与披露方式合法两个特征，主要包括以下两大类。其一，自然人自愿主动向社会公开某些个人信息，即自行公开。例如，患者为众筹募捐主动向社会公开自己的生病经历、财产状况等个人信息；还如自然人在征婚交友网站主动公开个人姓名、肖像、出生日期、联系方式、家庭住址、工作职业、兴趣爱好、经济收入等个人信息。其二，依据法律法规或司法解释的强制性规定，无须征得信息主体的同意，以其他合法形式（如行政行为、司法行为等）向社会公开某些个人信息，即被动公开。例如，政府部门履行疫情防控职责依法向社会披露确诊、疑似感染及密切接触人员的行踪轨迹等个人信息，又如人民法院基于特定目的依法公开的裁判文书、失信被执行人名单中也包含有案件当事人的个人信息。由于这些个人信息处于公开状态，再加上网络爬虫等技术手段的助力，采集成本相对较低，司法实务中出现大量擅自处理（获取、出售或提供）自然人自行公开（案例一）或被动公开（案例二）的个人信息的典型案例，反映出已公开的个人信息五花八门的用途，极易滋生滥用风险。鉴于已公开的个人信息本身的特殊性及其所承载利益的复杂性，如何准确评价此类行为、明晰罪与非罪的界限，成为《民法典》《个人信息保护法》施行背景下侵犯公民个人信息罪司法适用的“痛点”和难点之一，个人信息刑法保护研究有必要及时作出回应。

案例一：被告人黄某、戴某为拓展工作业务，通过爬虫软件收集他人在商贸经营、房屋租售、婚恋交友、社交贴吧论坛等网络平台自行公开的姓名、联系方式等个人信息，存入数据库，未经信息主体许可，向他人提供付费查询使用服务，获利十余万元。〔6〕参见浙江省杭州市滨江区人民法院（2019）浙0108刑初118号刑事判决书。

案例二：被告人刘某从国家企业信用信息公示系统中批量下载已公开的法定代表人或财务联系人姓名、电话号码、电子邮箱等包含公民个人信息在内的企业工商登记信息，并擅自将上述信息出售给严某、郭某，用于拨打电话推销代账会计业务。〔7〕参见江苏省南京市鼓楼区人民法院（2017）苏0106刑初653号刑事判决书。

刑事司法实践中对于行为人无须征得信息主体同意即可自由获取已公开的个人信息一般并无异议。因为个人信息经合法公开后进入社会公共领域，在某种意义上就具有公共信息的性质，〔8〕参见陈甦、谢飞鸿主编：《民法典评注：人格权编》，中国法制出版社2020年版，第391页。获取行为无疑是合法的。那么，“对于行为人自己在网络上搜集相对公开的公民个人信息，或者以其他方式获取的公民个人信息，只要该信息不是通过公权力、公共服务获得的，就不能纳入犯罪的范围”。〔9〕沈德咏主编：《〈刑法修正案（九）〉条文及配套司法解释理解与适用》，人民法院出版社2015年版，第183页。作为推荐性国家标准的《信息安全技术个人信息安全规范》（GB/T 35273-2020）已明确将“所涉及的个人信息是个人信息主体自行向社会公众公开的”“从合法公开披露的信息中收集个人信息”纳入征得授权同意的例外情形。但是，对于获取已公开的个人信息后进而实施出售或提供等处理行为，是否需要征得信息主体同意（“二次授权”规则）则存在较大争议。继而衍生出新问题：已公开的个人信息是否属于出售或提供型侵犯公民个人信息罪的行为对象？未经信息主体同意，向他人出售或提供已公开的个人信息是否构成犯罪？学界对此观点不一。

有学者立足于个人信息的本质属性——可识别性，提出已公开的个人信息虽然不再具有隐私特征，但仍然具有识别特定自然人的功能，无疑属于法律意义上公民个人信息的范畴，非法利用这样的信息可能侵害私人生活安宁或威胁人身财产安全等公民个体社会交往利益。〔10〕参见蔡云：《公民个人信息的司法内涵》，载《人民司法（案例）》2020年第2期，第25页。所以，“即便主体允许数据控制者收集并共享相关个人信息，这也并不意味着其让渡了所有个人信息权利”，〔11〕王利明：《数据共享与个人信息保护》，载《现代法学》2019年第1期，第50页。应当保障信息主体对已公开的个人信息仍享有一定的控制权。在吴某侵犯公民个人信息案〔12〕浙江省台州市中级人民法院（2018）浙10刑终748号刑事判决书。中，人民法院不予采纳上诉人及其辩护人关于买卖的是企业向社会公众完全公开的个人信息而不属于刑法意义上的公民个人信息的上诉理由和辩护意见，确认合法公开个人信息的行为不能视为自然人放弃所享有的个人信息权益，更不因此失去刑法的保护（以下简称“有罪论”）。〔13〕参见高坡、陈召康：《收集并出售已公开的个人信息是否构成犯罪》，载《江苏法治报》2020年8月6日，第7版。但也有学者持相反意见，认为如果限制该信息的流转、使用，反而与该信息公开的目的相违背，企业公布有关个人信息也是个体利益让渡公共利益的结果，对该类信息加以合理利用，在普通民众期待的范围之内，刑法不宜介入。〔14〕参见金泽刚：《转卖天眼查公开的“个人信息”，算犯罪吗？》，来源：https://m.thepaper.cn/newsDetail_forward_10917251，2021年10月23日访问。还有学者提出，“《民法典》为这一争议问题作了明晰，即否定‘二次授权’规则……对公开的个人信息的合理处理可以推定自然人概括同意”。〔15〕喻海松：《〈民法典〉视域下侵犯公民个人信息罪的司法适用》，载《北京航空航天大学学报（社会科学版）》2020年第6期，第7页。进而有学者主张“在网上获取这些已公开的个人信息是源头行为，出售和提供给他人是下游行为，源头行为合法，下游行为也不应入罪”（以下简称“无罪论”）。〔16〕刘艳红：《民法典编纂背景下侵犯公民个人信息罪的保护法益：信息自决权——以刑民一体化及〈民法总则〉第111条为视角》，载《浙江工商大学学报》2019年第6期，第31页。也就是说，对于已公开的个人信息，只要处理方式在合理的范围内，则不应当认定侵犯了信息主体的个人信息权益，亦不符合侵犯公民个人信息罪的构成要件——“违反国家有关规定”。全国人大常委会在制定《个人信息保护法》的过程中采纳了该观点，专门在第13条“个人信息处理的合法性基础”中增设第6项“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”，并明确说明此种情形下处理个人信息，不需取得自然人同意。

由此，《民法典》《个人信息保护法》所确立的已公开的个人信息的处理规则对刑法上侵犯公民个人信息罪的司法适用产生重大影响，未经信息主体同意、擅自处理已公开的个人信息行为的“有罪论”与“无罪论”之争也在教义学上引发了三大疑问，亟待学界深入思考并予以澄清。其一，侵犯公民个人信息罪的司法认定如何与前置法保持协调？其二，如何判断擅自处理已公开的个人信息行为之刑事违法性？阻却该行为实质违法性的正当化事由从何而来？其三，个人信息是自行公开还是被动公开直接影响刑法保护的必要性与力度，如何在统一的正当化事由的基础上根据已公开的个人信息的不同类型构建针对性的实质出罪机制？这些问题并不局限于解决某个案例遇到的疑难之处，而是对深入探讨民刑一体化视野下侵犯公民个人信息罪的司法适用逻辑、合理划定已公开的个人信息刑法保护的边界具有建设性意义。基于以上问题意识，本文旨在以“已公开的个人信息”为研究对象，从法秩序统一性原理出发，立足于侵犯公民个人信息罪的个人法益属性定位，结合前置法的相关规定，区分自行公开的个人信息与被动公开的个人信息两种形态，明晰擅自处理已公开的个人信息行为罪与非罪的界限，避免出现刑法过度规制的危险或陷入法益保护阙如的困境。

三、整体法秩序下擅自处理已公开的个人信息行为之司法认定

虽然民法、行政法和刑法三个部门法都统辖于宪法之下，但就内部逻辑关系而言，三者之间并非并列关系，在整个法律规范体系中，民法或行政法与刑法是前置法与后置法的关系。这种关系揭示出：一方面，刑法是民法、行政法等其他部门法的最后制裁力量，具有“保障法”的性质；另一方面，刑法中犯罪的认定须以违反民法、行政法等前置法为前提。以“违反国家有关规定”作为核心构成要件的侵犯公民个人信息罪属于典型的空白罪状立法模式，因此，刑法上认定擅自处理已公开的个人信息行为罪与非罪必然牵涉多个部门法，须以《民法典》《个人信息保护法》等前置法所设计的已公开的个人信息的处理规则为基础。刑事犯罪行为源自民事侵权行为（自然犯）或行政违法行为（行政犯），相互渗透融合的现象越来越普遍，“这些行为虽然分属不同法律领域，但其间仍然具有共同的结构部分，最主要的就是构成要件、违法性与罪责”，〔17〕刘幸义：《法律概念与体系结构：法学方法论文集》，台湾翰芦图书出版有限公司2015年版，第145页。应尽量避免不同部门法针对同一行为的违法性作出矛盾评价。

（一）法秩序统一性原理与侵犯公民个人信息罪的司法适用

法在纵向关系上，具有以宪法为顶点的阶层构造，在同一阶层的横向关系上，形成容纳不同部门法的领域构造，被统称为“法秩序”。法秩序应当是统一的规范体系，没有一个法律规范是独立存在的，它们必须作为整个法秩序的部分要素来理解。“一国的法秩序，在其内部，根据民法、行政法、刑法等不同，按照各自的原理形成独立的法领域，这些不同领域之间，应当相互之间没有矛盾，并最终作为法秩序的整体，具有统一性”，〔18〕［日］曾根威彦：《刑法学基础》，黎宏译，法律出版社2005年版，第212页。内部存在矛盾的法律秩序将损害对一切公民的、统一的法律标准的要求。法秩序统一性原理作为处理不同部门法之间关系应遵守的基本规则，具有不可动摇的地位。与已公开的个人信息相关的涉罪案件是典型的刑民交叉或行刑衔接问题，因此，在认定擅自处理已公开的个人信息行为是否构成侵犯公民个人信息罪时，必须遵循法秩序统一性原理、关注前置法，以便合理划定侵犯公民个人信息罪的司法边界。

其一，法秩序统一性原理对于侵犯公民个人信息罪的司法适用具有某种制约性，要求在认定某一行为的性质时，绝对不能偏离的规则是：民法或行政法上规定的处理个人信息合法行为，必然不可能成为刑法上的侵犯公民个人信息犯罪行为，反之，可以成为侵犯公民个人信息罪的正当化事由。由此可见，法秩序统一主要体现在合法性的统一上，〔19〕参见刘双阳、李川：《法秩序统一性视野下被动获悉型内幕交易犯罪主体的识别》，载《河南财经政法大学学报》2020年第1期，第99页。《民法典》《个人信息保护法》等前置法中处理已公开的个人信息的合法行为必然不具有刑事违法性，理应排除在犯罪圈之外。其二，“当其他部门法的法律规范中具有远程影响的评价可能影响刑法解释时，体系解释最终是必不可少的方法”，〔20〕［德］伯恩·魏德士：《法理学》，丁晓春、吴越译，法律出版社2013年版，第317页。而体系解释的基础是尊重法秩序的统一性，“要将个别的法律观念放在整个法律秩序的框架当中，或者如萨维尼所说，在‘将所有法律制度和法律规范连接成为一个大统一体的内在关联’当中来考察”。〔21〕［德］齐佩利乌斯：《法学方法论》，金振豹译，法律出版社2009年版，第61页。易言之，法律解释应当对法秩序的统一起到维护作用，对个别法律规范的解释应避免逻辑上的抵触，尽量在规范意旨之间实现公平合理的平衡，保障法的安定性。在擅自处理已公开的个人信息行为适用侵犯公民个人信息罪的司法认定中，无论是对“已公开的个人信息”内涵和外延的把握，还是对“合理处理”标准和范围的界定，抑或是对侵犯公民个人信息罪保护法益属性的甄别，都需要参照《民法典》《个人信息保护法》的相关规定，以整体法秩序内部无矛盾、前置法与后置法逻辑自洽为出发点。

（二）擅自处理已公开的个人信息行为之刑事违法性判断

对某一行为进行入罪规制的前提是该行为具备刑事违法性。在刑法学中，存在违法性概念是要在所有法领域中统一进行理解（违法一元论），还是根据各个法领域，个别地加以理解（违法多元论）的争议。在“违法一元论”看来，“对于社会共同生活中的行为，在合法或违法的价值判断上，必须是一致而不相互矛盾的，须建立单一性的整体法律秩序”，〔22〕林山田：《刑法通论（上册）》（增订十版），北京大学出版社2012年版，第191-192页。任何违法行为都将破坏整体法秩序，在其他法领域被认为是违法的行为，在刑法上也不能得以正当化；“违法多元论”则认为在各个不同的法领域中，目的、法律效果各不相同，作为推导出效果的要件，违法性存在差异也是理所当然的，而违法性的实质是法益侵害或法益侵害的危险，刑法上必须完全以反映达到值得处罚程度的法益侵害性为核心，独立进行判断。为了不使行为规范的内容产生混乱，避免部门法之间违法性评价的冲突，宜秉持违法性判断相对统一的“缓和的违法一元论”之立场：一方面，违法性判断在整体法秩序范围内是统一的；另一方面，从刑法的机能和目的来看，刑事违法性相较于民事违法性或行政违法性存在类别或轻重程度的差异，具有刑事违法性之行为通常在其他法领域内也具有违法性，然而其他法领域内禁止的行为，在刑法上未必具有违法性。即“刑事违法性=一般违法性（民事或行政违法）+可罚的违法性”。

侵犯公民个人信息罪带有明显的法定犯的气质，某种程度上是“自然犯的法定犯化”，缓和的违法一元论契合法定犯的双重违法性特征，要求在违法性的判断逻辑上，先依据《民法典》《个人信息保护法》等前置法中关于已公开的个人信息的处理规则进行一般违法性的判断，对于欠缺一般违法性的个人信息处理行为直接阻却犯罪的成立，发挥前置法对刑法定罪的限制功能；只有在肯定该行为具有一般违法性的基础上才能进入刑事违法性（可罚的违法性）的判断，认定刑事违法性不仅要进行有无之判断，还需要进行违法性程度高低以及法益侵害程度高低之利益衡量。所谓可罚的违法性，是指某一行为达到作为犯罪而值得科处刑罚程度的质和量的违法性，〔23〕参见［日］松宫孝明：《刑法总论讲义》（第4版补正版），钱叶六译，中国人民大学出版社2013年版，第78页。该行为是否具有刑罚处罚的必要性、是否构成犯罪，取决于有无法益受到侵害或威胁这个前提条件。因此，法益是确定刑法的处罚范围的价值判断标准，“在对可罚性的界限发生争议的情况下，法益概念可以将刑法限制在对危害社会的行为的处罚上”。〔24〕刘艳红：《实质刑法观》（第2版），中国人民大学出版社2019年版，第221页。更进一步，“应当从处罚的必要性和合理性的立场出发，对刑罚法规或者构成要件进行实质性解释”，〔25〕［日］大谷实：《刑法讲义总论》（新版第2版），黎宏译，中国人民大学出版社2013年版，第88页。实质判断擅自处理已公开的个人信息行为是否严重侵害或威胁侵犯公民个人信息罪的保护法益——信息自决权，将不具有实质处罚必要性和合理性的行为予以出罪。“透过此种方法，法益保护原则的实质内涵，得以上面所述的法律探求方式发挥作用”，〔26〕［德］许迺曼：《法益保护原则——刑法构成要件及其解释之宪法界限之汇集点》，何赖杰译，载许玉秀、陈志辉合编：《不移不惑献身法与正义——许迺曼教授刑事法论文选辑》，新学林出版股份有限公司2006年版，第229页。法益也由此具有界定刑法规范的内容、意义和界限的作用，以便在实现刑法的法益保护机能的同时，通过合理遏制犯罪圈不当扩张的方式来保证人权保障机能不被搁置。

（三）擅自处理已公开的个人信息行为之正当化事由：“合理处理”

刑法上的行为，在符合不法构成要件且无任何一种正当化事由（也称“合法化事由”）时，才真正具有违法性。因为违法性是针对“与法规范对立之行为”所作的整体否定评价，“该当构成要件的行为，必须放在整体法规范秩序的天平来衡量，经价值判断来认定该行为是否与整体法规范秩序相对立、冲突，只有经过是否存在正当化事由的检验之后，才能终局判断，究竟构成要件该当行为是不是整体法规范秩序所容许的行为”。〔27〕林钰雄：《新刑法总则》（第七版），台湾元照出版有限公司2019年版，第224-225页。高桥则夫从“共同体关系性的行为容许性”的角度来阐释正当化事由的一般原理和判断标准，即“在利益的对立或冲突状况中，共同体关系性的判断就是不可或缺的，当价值与价值相互对立时，该对立的纷争状况对于共同体而言是否应该忍受，是否能够忍受”，〔28〕［日］高桥则夫：《刑法总论》，李世阳译，中国政法大学出版社2020年版，第231-232页。进而形成法益欠缺、优越利益、行为的有用性、必要性、目的正当等下位基准。法律上承认和设立正当化事由的价值在于，“在一个受保护的利益和一个受侵害的利益之间存在冲突情形，或者在一个通过构成要件来保护的利益和一个通过容许性条文来保障的利益之间发生冲突时，提供了一项实质的冲突解决方案与一个法律上优先顺位的说明”。〔29〕梁根林、［德］埃里克·希尔根多夫主编：《违法性论：共识与分歧——中德刑法学者的对话（三）》，北京大学出版社2020年版，第8页。

合理确定正当化事由的根据与范围需要借助实质违法性的概念，正如德国学者所言，“在理解具体的各个合法化事由时，应当从实质违法性概念出发，之所以如此，是因为所谓合法化，是指某一行为虽违反一般性禁止规范，但在具体适用案件中，被保护的行为客体较之侵害或者导致其危险的客体价值更高，而且行为人追求的目的适当”。〔30〕［德］汉斯·海因里希·耶赛克、托马斯·魏根特：《德国刑法教科书（上）》，徐久生译，中国法制出版社2017年版，第436-437页。换言之，由于对立规范的介入，不仅是犯罪行为的结果，而且犯罪行为的不法，必须全部或大部分被取消或抵消。在刑法理论上，李斯特首次将违法性区分为形式违法性与实质违法性，指出“对行为的法律评价可能有两个考察方法：形式违法是指违反国家法规、违反法制的要求或禁止规定的行为；实质违法是指危害社会的（反社会的）行为”。〔31〕［德］弗兰茨·冯·李斯特：《李斯特德国刑法教科书》，徐久生译，北京大学出版社2021年版，第162页。前者是根据规范标准进行认定的违法，后者是根据实体内容判断的违法。就两者的关系而言，“形式违法性乃实定法规之违反，而实质违法性则是支撑实定法规之实质基础”，〔32〕陈子平：《刑法总论》（第4版），台湾元照出版有限公司2017年版，第236页。两者相辅相成、互为表里，在逻辑上形成双层递进关系，认定成立犯罪行为两者缺一不可。就擅自处理已公开的个人信息行为而言，首先应进行形式违法性的判断，该行为因未征得自然人或监护人的同意而“违反国家有关规定”，该当于侵犯公民个人信息罪的构成要件且不符合法定的违法阻却事由，即具有形式违法性；而后在整体法律规范的价值体系上进行实质违法性的判断，“若在这种实质的违法性判断上，可以判定该行为因具有社会相当性，或行为系属为了达到正当目的的适当手段，或因为行为的社会有益性远超于社会损害性等等，而符合超法规的违法阻却事由，致不具有实质的违法性，而不构成犯罪”。〔33〕林山田：《刑法通论（上册）》（增订十版），北京大学出版社2012年版，第193页。承认超制定法的合法化事由，并不妨碍刑法的人权保障机能，因为这里涉及的是对可罚性的限制而非扩大。

阻却擅自处理已公开的个人信息行为实质违法性的正当化事由从何而来？“合法化事由应当是从整体法秩序中归纳出来的……这意味着无论是私法还是公法里的合法化事由，均可以直接运用到刑法领域里。”〔34〕［德］汉斯·海因里希·耶赛克、托马斯·魏根特：《德国刑法教科书（上）》，徐久生译，中国法制出版社2017年版，第438页。即法秩序统一性原理下合法化事由也具有统一性。这一观点的合理性或者立论依据主要在于，“当在其他法律领域中得到许可的一种举止行为，仍然要受到刑事惩罚时，那将会是一种令人难以忍受的价值矛盾，并且也将违背刑法作为社会政策的最后手段的这种辅助性”。〔35〕［德］克劳斯·罗克辛：《德国刑法学总论》（第1卷），王世洲译，法律出版社2005年版，第397页。《民法典》已将合理处理已公开的个人信息作为民事免责事由，与此同时，《个人信息保护法》更是直接将“在合理范围内处理已公开的个人信息”作为进行个人信息处理活动的合法性基础之一。从全面理解《民法典》《个人信息保护法》所设计的已公开的个人信息的处理规则来看，个人信息合法公开后并不等于免除信息处理者就二次利用行为履行告知并征得个人同意的义务，〔36〕参见龙卫球主编：《中华人民共和国个人信息保护法释义》，中国法制出版社2021年版，第123页。只是在处理行为符合“合理处理标准”时免除信息处理者相应的法律责任，并被拟制为民法或行政法上自始合法的行为，当处理行为超出合理范围时仍然需要取得个人同意。那么根据法秩序统一性原理，“合理处理”无疑可以作为阻却擅自处理已公开的个人信息行为刑事违法性的正当化事由。换言之，擅自处理已公开的个人信息行为虽然无法排除构成要件符合性，但当符合“合理处理标准”时能够以实质违法性阙如为由予以出罪。

四、擅自处理已公开的个人信息行为实质出罪机制之类型化构建

刑法的根基是保障公民的自由权利，个人自由权的行使是法秩序的最高准则，为确保实现公民幸福生活的至善国家目的，刑罚权的行使必须在法律的必要限度以内。防止国家恣意发动刑罚权干涉公民自由权利的最佳方式是保障出罪路径畅通，“正确地运用出罪理论，不仅不会放纵应受刑罚处罚的犯罪人，而且还会让犯罪化的边界更加清晰”。〔37〕刘艳红：《实质出罪论》，中国人民大学出版社2020年版，第98页。擅自处理已公开的个人信息行为刑事规制的限度取决于协调具体利益冲突而形成的违法性出罪机制，属于价值论的范畴。确切地说，就是在法秩序统一的框架下，运用违法阻却理论，将形式上符合构成要件但实质上没有侵害法益的行为不作为犯罪处理。前述已将向社会公开个人信息的方式分为自行公开与被动公开两大类，个人信息公开的缘由或依据不同，直接影响违法阻却原理的选择，“合理处理标准”也会有所差异，因此，擅自处理已公开的个人信息行为的实质出罪机制也应进行类型化构建。

（一）自行公开型：符合信息主体的合理预期推定被害人默示同意

1. 被害人同意阻却违法性的基本原理：法益保护必要性阙如

建立在信息自决权基础上的知情同意原则（notice and consent）是处理个人信息的一般性要求，“自然人同意”在刑法教义学上被称为“被害人同意”或者“被害人承诺”，即法益主体对他人侵害自己能够支配的利益表示允诺或同意，其在犯罪论体系上具有阻却违法性的出罪功能。因此，同意的内容必须是被害人自己可处分的个人法益，通过同意能够得以正当化的仅限于针对个人法益的犯罪。〔38〕参见［日］前田雅英：《刑法总论讲义》，曾文科译，北京大学出版社2017年版，第63页。更进一步有必要思考被害人同意作为正当化事由的基本原理是什么？有学者从结果无价值论的立场出发，认为“同意行为之所以能够被正当化，是由于同意而实现的自己决定自由这种利益，优越于被行为所侵害的利益”。〔39〕曽根威彦『刑法学における正当化理論』（成文堂，1980年）149頁。该观点被称为“个人自由和侵害利益比较衡量说”，强调“自己决定自己的自由”，主张将被害人自主放弃利益的自己决定自由和由于该决定而被侵害的法益的价值进行比较衡量，在个人自己决定自由优越于行为所引起的法益侵害时，被害人同意能够被正当化。〔40〕参见王政勋：《正当行为论》，法律出版社2000年版，第451页。

由此可见，自由决定的利益和被侵害的利益的比较衡量是在同一法益主体即被害人内部进行的，将被侵害法益和处分该法益的“个人自由”作为两个独立的利益并列，难免会让人觉得刑法的任务是保护与“个人自由”无关或相对立的法益。实际上，与法益处分有关的“个人自由”，并不是游离于法益之外的要素，而恰恰是法益本身的构成要素，换言之，放弃自己能够处分的法益，恰好是“自己决定自己的自由”的具体体现。因此，不能将法益侵害和因处分法益而实现的“个人自由”分开来进行比较衡量。

另有学者提出“法益衡量说”，将被害人同意对被侵害法益的影响效果之论证逻辑抽象归纳为“法益保护必要性阙如原理”，以此作为被害人同意的违法阻却根据，更具合理性和解释力。具体而言，罗马法上“得同意则无不法”（volenti nonfit iniuria）之法谚，是被害人同意作为正当化事由在思想史上的根据，盖因有效地同意他人对自己的法益实施侵害，该侵害便不会带来任何不法，因为其行为放弃或限缩了自己的权利。换言之，通过同意，权利人实现了按照自己的愿望处分自身的法益，放弃了对该个人法益的保护。刑法之所以将某种利益作为法益加以保护，主要是因为其是个人自己决定或者说自我实现人格发展必不可缺少的要素，是实现该种目标的必要条件，因此，“法益只有在对人的自我实现具有积极意义的限度内，才具有值得作为法益而受到刑法保护的意义”。〔41〕黎宏：《刑法总论问题思考》（第2版），中国人民大学出版社2016年版，第375页。相反地，如果保护某种法益成为个人自己决定或者自我实现人格发展的障碍或者负面因素的话，刑法就没有必要对其加以保护。“这种场合，尊重法益主体对法益的自由处分，即‘自己决定的自由’（自我决定权），就是帮助个人自我实现。”〔42〕［日］曾根威彦：《刑法学基础》，黎宏译，法律出版社2005年版，第56页。所以，在以个人的自我实现作为终极目标的现代刑法中，应当允许被害人自愿放弃其能够处分的生活利益。“既然如此，损害被放弃的法益的行为，就没有侵害法益，因而没有违法性”，〔43〕张明楷：《刑法学（上）》（第6版），法律出版社2021年版，第296页。就不能作为犯罪加以处罚。概言之，具有判断能力的理性人，最清楚自己的利益，会采取合理的行动，在行为人根据自己自由的意思决定放弃自己可处分利益的场合，法益便失去保护的必要性或价值，犯罪的成立被否定，那么国家刑罚权就不宜介入对其进行干涉。综上所述，信息主体的同意依据被害人承诺排除违法性的法理，自然得以作为正当化事由之一，进而以此为基础构建擅自处理自行公开的个人信息行为的出罪机制。

2. 默示同意的适用条件：基于有限让渡信息自决权的合理处理

同意作为一种意思表示，必须以某种客观方式表达于外部，但可以由不同的方式作出，我国《民法典》第140条规定“行为人可以明示或者默示作出意思表示”，刑法学者也赞同“被害人表达同意的方式，既包括明示同意，也包括默示同意”，〔44〕陈兴良：《教义刑法学》（第2版），中国人民大学出版社2014年版，第412页。两者体现着不同的意思表示强度。所谓明示同意（explicit consent）是指信息主体通过书面、口头等积极作为的方式对他人处理其个人信息作出明确授权的行为；默示同意（tacit consent）则是指根据信息主体的行为推断出允许他人处理其个人信息，即在信息主体未明确表示反对的情况下，推定为同意的意思表示。

学界关于个人信息处理场合要求信息处理者征得信息主体之“同意”能否以默示的方式作出，存在不同的观点。有学者将默示同意归纳为一种选择退出机制，即自然人真正拥有的只是个人信息被处理后拒绝的权利，认为“择出机制是‘挂羊头卖狗肉’，以‘默示同意’为幌子，实际则背离了知情同意原则的基本原理，盖因从本质上看，这一择出机制并没有为用户提供做出同意选择的任何空间”。〔45〕Eleni Kosta, Consent in European Data Protection Law, Martinus Nijhoff Publishers, 2013, p.188.如果当事人保持沉默，没有选择退出或表示反对，即被推定为同意，会使个人信息处理回归初始的丛林状态，个人信息保护的立法目的和规范意旨就会落空。而另有学者则对默示同意表示支持态度，指出“虽然默示同意中的知情和同意均源于推定，是知情同意的一种弱化版，但是默示同意确有其存在的必要性……并将在实践中发挥优势”，〔46〕吕炳斌：《个人信息保护的“同意”困境及其出路》，载《法商研究》2021年第2期，第97页。其有利于为告知同意原则的实施提供一定的灵活性，避免对个人信息处理行为过度规制，促进个人信息的商业化合理利用。该观点在一定程度上为司法实践所采纳，人民法院在“朱烨诉百度隐私权纠纷案”中以《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z 28828-2012）为参考依据，从在保护个人人格尊严与促进技术创新之间寻求最大公约数的目的出发，认可了以默示同意方式处理个人信息的有效性，〔47〕参见江苏省南京市中级人民法院（2014）宁民终字第5028号民事判决书。在《使用百度前必读》中，百度网讯公司已经明确说明cookie技术、使用cookie技术的可能性后果以及通过提供禁用按钮向用户提供选择退出机制，朱某在百度网讯公司已经明确告知上述事项的情况下，仍然使用百度搜索引擎服务，应视为其对百度网讯公司采用默认“选择同意”方式的认可。进而将其作为排除侵害用户信息自决权的正当化事由。我国台湾地区制定的“电脑处理个人资料保护法实施细则”也在特定情形下承认自然人在一定期间内未有反对之意思表示，可推定为同意处理其个人信息。笔者认为，应为不同类型的个人信息选择合适的告知同意强度，对于处理信息主体自行公开的个人信息可以适用默示同意方式，因为“自然人自行公开自己的个人信息意味着其在一定程度上同意他人对这些个人信息的处理”，〔48〕石宏主编：《〈中华人民共和国民法典〉释解与适用：人格权编·侵权责任编》，人民法院出版社2020年版，第203页。即有限让渡信息自决权而非完全放弃信息自决权，这是信息主体自由选择、自己决定的结果。

通过法律将信息主体自行公开个人信息的行为推定为默示同意的意思表示是对私人自治的一种平衡，实质是以法律的意志来代替当事人的意志。可能会出现这样的质疑：默示同意削弱了信息自决权，是否会降低对个人信息安全的保护力度？无论是明示同意还是默示同意，目标皆是为了保障个人信息不被滥用、个人信息权益不被侵害。从信息主体的角度来看，虽然默示同意框架下信息主体对其自行公开的个人信息流转利用的控制力减弱，但并非陷入失控的境地。就处理自然人自行公开的个人信息而言，成立有效的默示同意须具备以下三个条件。第一，信息处理者应履行与作出明示同意相同的告知说明义务，使信息主体知晓其个人信息将被处理以及所享的拒绝处理的权利；第二，允许信息主体有适当的时间作出符合真实意思表示的选择，尤其是不同意处理的决定，如果信息主体明确表示拒绝处理则排除默示同意的适用可能性；第三，信息处理者应在合理范围内处理自行公开的个人信息，不得侵害信息主体的重大利益。可见，即便适用默示同意模式，一方面，法律仍为信息主体保留了明确表示拒绝处理的权利，当出现个人信息滥用风险、可能造成法益侵害时，信息主体可以选择退出，体现了行使信息自决权；另一方面，被害人默示同意并非绝对授权，处理行为要受到一定限制，应在合理范围内处理自行公开的个人信息，超出合理范围、侵害信息主体重大利益的处理行为将丧失正当性。因此，有限让渡信息自决权并不必然导致对自行公开的个人信息的安全保护力度降低。

3. 自行公开的个人信息“合理处理标准”：符合信息主体的合理预期

信息处理者对自行公开的个人信息处理是否在合理范围内，取决于引发的影响是否为信息主体所接受，或者是否符合信息主体的合理预期。也就是说，信息处理者对个人信息的处理应当符合信息主体在此情形下的主观心理预期，且这种期待客观上被社会一般公众认为是合理的。〔49〕参见刘双阳：《数据合规视野下非法使用个人信息行为的入罪逻辑与出罪路径》，载《网络信息法学研究》2020年第2期，第105页。例如，欧盟《通用数据保护条例》第6.4条规定：“当处理的目的并非建立在个人数据被收集时数据主体所同意的基础上，为确定个人数据进一步处理目的是否与收集个人数据的最初目的相一致，判断数据处理行为是否合理时应当特别考虑以下因素：个人数据被收集时的目的和预期进一步处理的目的之间的联系；个人数据被收集的场景，特别是数据主体基于其和数据控制者的关系就其进一步使用的合理期待；个人数据的性质；进一步处理给数据主体可能造成的后果。”影响信息主体对处理行为所带来的潜在风险的可接受程度或者对个人信息处理的敏感程度的因素被统称为“信息场景”或“场景”。依据一定的社会公认标准和价值观念，以综合的场景合理性测试作为判断个人信息处理是否符合信息主体的合理预期的手段逐渐得到学界认可。因此，应引入“场景为导向的风险管理理念”来判断是否属于在合理范围内处理自行公开的个人信息以及是否侵害自然人的个人信息权益。换言之，当处理行为在具体场景下符合信息主体的合理预期时，所创设的法益侵害风险在信息主体的可接受范围内，即构成合理处理，进而推定为默示同意、排除不法，启动违法性出罪机制。这一逻辑推理过程的规范构造可以表达为：处理场景→合理预期→合理处理→默示同意→阻却违法。之所以允许国家发动刑罚权制裁侵害他人权益的行为，是因为侵害他人权益是违反他人意思的，在信息主体的合理预期内处理自行公开的个人信息并不违反其处分意思，“即使没有明示的同意，也得以推定信息主体默示同意（不反对）对其个人信息的提供或者利用，因欠缺法益侵害性而不构成犯罪”，〔50〕储陈城：《大数据时代个人信息保护与利用的刑法立场转换——基于比较法视野的考察》，载《中国刑事法杂志》2019年第5期，第59页。那么刑法就可以从该任务中解脱出来，没有必要将该侵害行为评价为犯罪。

在符合信息主体的合理预期的场景下处理其自行公开的个人信息并不侵害个人信息权益，信息主体对此负有容忍之义务，因为该处理场景所创设的法益侵害风险在信息主体的可接受或容许范围内。由此，可以进一步将具有较强主观性的信息主体合理预期场景判断转化为具有相对客观性的法益侵害风险判断，那么信息主体应当容忍处理行为创设多大程度的风险？基于自然人自行公开个人信息是其有限让渡信息自决权的表现，其所放弃的法益的保护必要性阙如，并在遵循法秩序统一性原理的前提下，参照《民法典》第1036条第2项所规定的免责事由例外情形，可以将“是否侵害信息主体的重大利益”作为刑法上容许风险的衡量标准。这一观点已在刑事司法实践中得到应用，在吴某涉嫌侵犯公民个人信息罪案中，检察机关认为，吴某出售自然人自行公开的个人信息没有侵害其重大利益，不应当认定构成侵犯公民个人信息罪，并监督公安机关作撤案处理。〔51〕参见卢志坚等：《出卖公开的企业信息谋利：检察机关认定行为人不构成犯罪》，载《检察日报》2021年1月20日，第1版。由于“个人信息的失控将会打破社会交往过程的‘防火墙’，威胁与个人信息自决权相关的人身安全、财产安全及隐私安全等公民个体社会交往利益”，〔52〕马永强：《侵犯公民个人信息罪的法益属性确证》，载《环球法律评论》2021年第2期，第112页。那么，评价何为“重大利益”一般应以信息自决权所表征之自然人的人格尊严与自由发展为基准，所谓“侵害信息主体重大利益”的情形，即是指处理自行公开的个人信息将侵害或威胁自然人的人身、财产、自由等公民个体社会交往利益。例如，信息处理者滥用自然人自行公开的个人信息对用户进行“数据画像”，进而通过差别定价实施“大数据杀熟”，导致该自然人在接受商品或服务的过程中遭受歧视，侵害消费者的人格尊严和公平交易权；又如，信息处理者收集自然人自行公开的个人信息后出售或提供给他人，用于开展跟踪定位、实施电信诈骗、拨打骚扰电话、发送垃圾短信等违法犯罪活动，危及信息主体的生活安宁、人身安全、财产权益。因此，“在有的情况下，自然人的个人信息虽然是自己主动公开，但若处理这些个人信息的行为损害该自然人重大利益的，行为人仍不能免除责任”。〔53〕黄薇主编：《中华人民共和国民法典释义（下）》，法律出版社2020年版，第1929页。

按照以上标准来分析擅自处理自行公开的个人信息典型案例，在前述案例一中，被告人黄某、戴某为拓展工作业务，从网络平台上收集他人自行公开的个人信息并存入数据库，提供付费查询使用服务；又如在安徽聚思文化传播有限公司、王某某等人涉嫌侵犯公民个人信息案〔54〕参见安徽省合肥市蜀山区人民法院（2018）皖0104刑初字第268号刑事判决书。中，被告公司为了开展市场营销，要求业务员广泛收集潜在客户信息（主要为商贸网站上自行公开的各企业管理人员的姓名、工作单位、职务、手机号码等个人信息），并授意业务员与他人交换上述信息以获取更多客户信息。虽然司法实务中倾向于以未获得信息主体“二次授权”同意为由，认定此类案件构成侵犯公民个人信息罪，但笔者认为，行为人出售或提供他人自行公开的个人信息用于拓展业务范围、开展市场营销、推销产品或服务等正常经济活动，是为实现合法目的，并没有侵害或威胁信息主体的生活安宁、人格尊严、人身安全、财产权益等重大利益，也就符合信息主体的合理预期，达到了“合理处理标准”，可推定被害人默示同意，从而通过排除处理行为的实质违法性而予以出罪，限缩侵犯公民个人信息罪的适用范围。

（二）被动公开型：符合个人信息被公开时的用途构成合法利益豁免

1. 合法利益豁免阻却违法性的基本原理：优越利益保护

某些个人信息被公开的缘由并非是基于信息主体的自愿同意，而是源自法律法规或司法解释的强制性规定，〔55〕参见《企业信息公示暂行条例》第10条；《最高人民法院关于人民法院在互联网公布裁判文书的规定》（法释〔2016〕19号）第11条；《最高人民法院关于公布失信被执行人名单信息的若干规定》（法释〔2017〕7号）第6条。这种情形下，个人信息被公开甚至可能是违背信息主体本人的意愿。例如，人民法院向社会公布的失信被执行人名单信息、卫生行政部门向社会发布的传染病感染者行踪轨迹信息等。那么，即使是在合理范围内处理此类被动公开的个人信息，也无法适用前述针对自行公开的个人信息所确立的“推定被害人默示同意规则”予以出罪，必须另行探寻合适的违法阻却原理，构建新的出罪机制。

个人信息被依法公开后即进入社会公共领域，同时承载着信息主体与信息处理者的双重利益诉求。一方面，信息主体基于个人信息生成与其身份或特定活动的天然关联性而享有人格利益，“其对个人信息传播控制的权利不因个人信息已经合法公开而被当然剥夺”，〔56〕江苏省苏州市中级人民法院（2019）苏05民终4745号民事判决书。希望尽可能地控制被动公开的个人信息的流向和用途，从而确保个人信息处于相对安全的状态，保护个人信息权益免于遭受篡改、滥用等不法侵害；另一方面，信息处理者则基于付出一定时间、金钱、人力成本，对从公开渠道合法收集的个人信息而享有一定的非排他性占有利益，〔57〕参见任丹丽：《民法典框架下个人数据财产法益的体系构建》，载《法学论坛》2021年第2期，第94页。海量个人信息汇聚在一起形成新的数据集合，整体上成为一个新的客体，信息处理者对“数据资源整体”享有竞争性财产权益已得到司法实践的认可。〔58〕参见余建华、陈若星：《“微信数据”引发数据权益之争群控软件被判赔260万元》，载《人民法院报》2020年6月4日，第3版。个人信息的商业化利用和数据交易的蓬勃发展推动“数据财产”或“数据资产”等概念应运而生，有学者围绕数据财产权的取得方式指出，信息处理者只要是合法收集并存储个人信息，就可以基于事实行为原始取得对数据集合的权利，而不是从信息主体那里继受或派生取得权利。〔59〕参见程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期，第118页。那么，信息处理者合理利用被动公开的个人信息获得的财产利益理应受到法律的承认与保护。由此可见，被动公开的个人信息之上不仅承载着信息主体的人格利益，而且附着了信息处理者潜在的财产利益，两者之间难免会发生利益冲突，“法律存在的目的就在于调和各种利益冲突并提供规则支持”。〔60〕梁上上：《利益衡量论》（第3版），北京大学出版社2021年版，第76页。

法律不能一味强调保护信息主体的权利，而应对与被动公开的个人信息处理相关的利益进行合理分配，在信息主体的个人信息安全保护需求与信息处理者的个人信息价值利用需求之间寻求一个平衡点，既要规避自然人对其个人信息失控的风险，又要在法律允许范围内实现个人信息价值的有效利用。该利益平衡立场决定了处理此类个人信息不宜纯粹由信息主体基于所享有的信息自决权单方面“说了算”，〔61〕See Priscilla M. Regan, Legislating Privacy: Technology, Social Values, and Public Policy, University of North Carolina Press,1995, p.309.“如果在任何场景下的处理行为都必须严格征得信息主体的同意，有可能会导致具体场景下利益的失衡。数据是数字经济时代重要的生产要素，对个人信息过于绝对化的保护，可能导致个人信息处理和数据利用的成本过高”，〔62〕北京互联网法院（2019）京0491民初6694号民事判决书。因此，有必要引入合法利益豁免机制来突破知情同意原则的固有限制，旨在数据控制者（或第三方）的合法利益与数据主体的人格权益之间取得平衡，为个人信息价值的挖掘利用留下足够的空间。

所谓“合法利益豁免机制”（亦称“平衡条款”）是指，当信息处理是为实现信息处理者或第三方的合法利益（legitimate interests）所必需时，信息处理者可以通过一个平衡测试（balancing test）证明其使用利益高于信息主体的利益，使其不必征得信息主体同意也可对个人信息进行处理。〔63〕参见谢琳：《大数据时代个人信息使用的合法利益豁免》，载《政法论坛》2019年第1期，第74页。例如，欧盟《通用数据保护条例》第6条明确将“为满足数据控制者或第三方合法利益所必需”作为个人数据处理的合法性基础之一，即确立“合法利益免除同意规则”；第21条又进一步规定，“数据主体有权在特定情况下随时反对依据合法利益豁免机制对其个人数据进行的处理，除非数据控制者能够证明其合法利益高于数据主体的利益、基本权利和自由”。如此一来，当信息处理者对被动公开的个人信息的处理被认定为是实现合法利益且高于信息自决权时，未征得信息主体同意之处理行为就被正当化了，从而产生阻却违法性的效果。正如有学者所言，“虽然说个人信息自决权也不是毫无限制的，个人没有绝对意义上不受干涉地对‘自身’信息的控制权，但要干涉个人对自身信息的控制权，必须存在更强的合法利益”。〔64〕骆正言：《民法典时代宪法上的人格权保护》，清华大学出版社2020年版，第70页。

“不存在一种优先的理由来回答为什么任何一种特定的可宽恕事由应当或不应当被刑法认可。相反，这是一个判断的问题，即从免受国家干预中获得的自由，尤其是当这种干预减弱了个人进行道德判断的能力时，是否重于认可一项可宽恕事由所造成的不可避免的功利主义损失。”〔65〕［美］哈伯特·L. 帕克：《刑事制裁的界限》，梁根林等译，法律出版社2008年版，第88页。合法利益豁免机制是“两利相权取其重”的利益衡量思维的产物，要求在信息主体的人格利益与信息处理者的合法利益发生冲突时，选择保护较大利益而牺牲较小利益，从而实现利益最大化，在生成逻辑上与违法阻却领域以功利主义为基础的优越利益保护原理相契合。具体而言，法益概念具有通过说明犯罪的实质，特别是违法性的实质，阐释排除违法性的一般原理的意义。在将违法性的实质理解为法益侵害的结果无价值论看来，“当某一行为该当于构成要件时，便发生了法益遭受侵害这一有害于社会的结果（侵害法益A），但在某些情况下，同一行为同时也具有保全其他法益这一社会有用性（保全法益B），在保全法益优于侵害法益之时，由于B－A≥0，从社会功利主义的观点来看，就可以将该行为整体上正当化”。〔66〕［日］西田典之：《日本刑法总论》（第2版），王昭武、刘明祥译，法律出版社2013年版，第113页。“优越利益说”并非单纯考虑法益的一般价值位阶，而是兼顾考虑“所保护的法益的危险程度，所保护的法益和所侵害的法益的量和范围，侵害法益的必要性的程度，行为的方法、形态所具有的侵害法益的一般危险性”〔67〕［日］曾根威彦：《刑法学基础》，黎宏译，法律出版社2005年版，第96-97页。等因素，其优势在于能够比较相互对立的法益和判断与保护必要性有关的各种客观事实的价值，明确说明得出该结论的过程，为违法性的判断提供了明确的方向和标准。因此，依据优越利益保护原理，判断擅自处理被动公开的个人信息行为是否具有实质违法性，“所要考虑的是，这种行为是否能够对构成要件内部规定的法益侵害或其危险予以扬弃（中性化），以实现积极的价值” 。〔68〕［日］山口厚：《刑法总论》（第3版），付立庆译，中国人民大学出版社2018年版，第188页。当通过合法利益豁免机制所设定的平衡测试证明信息处理者擅自处理被动公开的个人信息所实现的合法利益高于信息主体的人格利益时，该处理行为就欠缺实质违法性。

2. 合法利益豁免的适用条件：基于比例原则的合理处理

处理被动公开的个人信息适用合法利益豁免机制须先对何谓“合法利益”进行明确的界定。“严格解释说”认为，合法利益仅限于法律上予以规定和认可的权利，即法定权利，当立法所赋予的信息处理者的法定权利与信息主体的信息自决权发生冲突时，有必要对其进行平衡。目前，我国立法上尚未明确将数据纳入民事权利客体的范畴，赋予信息处理者对合法收集的原始数据（包含个人信息）享有法定的数据财产权尚无从谈起，只是在司法实践中认可信息处理者对经加工处理、提炼整合生成的衍生数据享有竞争性财产权益。〔69〕参见杭州市中级人民法院（2018）浙01民终7312号民事判决书。“宽泛解释说”则认为，只要不违反法律规定，信息处理者在合理范围内处理个人信息所获得的利益，“不仅包括纯粹的商业利益，也可能是盈利的同时附带有利于整体社会或者广泛群体的利益”，〔70〕Article 29 Data Protection Working Party. Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC, 844/14/EN WP217 （2014）.均属于合法利益。《个人信息保护法》将“促进个人信息合理利用”纳入立法目的，并将“在合理范围内处理已公开的个人信息”设立为开展个人信息处理活动的合法性基础之一。该规定是对合法利益豁免机制的本土化改造，适用对象仅限于已公开的个人信息，适用的必要条件是达到“合理处理标准”，从侧面说明法律认可信息处理者合理处理被动公开的个人信息所取得的正当利益。因此，相较于“严格解释说”，具有一定灵活性的“宽泛解释说”更契合我国个人信息保护的立法意图与司法实践，更能发挥合法利益豁免机制的利益平衡功能，有助于缓和信息主体与信息处理者之间的利益冲突，促进被动公开的个人信息在法律框架下有序自由流动与合理有效利用，充分挖掘个人信息的潜在价值。

合法利益豁免机制并非直接调整信息主体与信息处理者之间的权利义务关系，而是在程序上适当限制意思自治所蕴含的“不”交易自由，体现了将法益侵害风险控制在符合比例的范围之内的价值取向。〔71〕参见何俊志、孙婧婧：《个人信息应用的保护设计与实证进路——基于〈民法典〉同意原则的博弈分析》，载《贵州社会科学》2020年第9期，第79页。因此，判断信息处理者对被动公开的个人信息的处理活动是否在合理范围内应以比例原则为评价基准。比例原则（又称“平衡原则”）作为对社会行为中目的理性的全面与凝练的概括，是异质利益衡量的基本方法，旨在对相互冲突的利益进行衡量并作出妥当的取舍与选择，从而达到既实现公共利益又保护公民合法权益的目的。按照“三阶理论”，广义的比例原则包含三项内容：妥当性原则、必要性原则、均衡性原则（狭义的比例原则），用来衡量手段所欲达成的目的和采取该手段所引发的对公民权利的限制，两者之间是否保持一种比例关系。正如有学者所阐释，“一项法律制度由两部分构成：一是立法欲实现的目的，是制度利益之所在；二是实现该目的欲使用的手段。目的与手段（end and means）之间应当有妥适的配合，制度利益的获取应当采取适当的手段。”〔72〕梁上上：《利益衡量论》（第3版），北京大学出版社2021年版，第199-200页。比例原则的作用并不局限于公法领域，在私法领域也具有一定的普适性，应得到全面的应用。〔73〕参见纪龙海：《比例原则在私法中的普适性及其例证》，载《政法论坛》2016年第3期，第95页。有必要将“比例原则作为方法论成为‘目标—手段’理性建构的基准”〔74〕蒋红珍：《比例原则适用的范式转型》，载《中国社会科学》2021年第4期，第106页。引入数据法学领域，作为衡量被动公开的个人信息处理目的和拟采取处理手段之间的利益关系的法律分析框架，在司法适用时呈现“位阶化”的操作规则，具体涉及正当性审查、适当性审查、必要性审查及均衡性审查四个阶段。

首先，被动公开的个人信息的处理目的应具有正当性，不得以侵犯信息主体的人身自由、人格尊严等公民基本权利为代价，更不能影响国家安全、公共安全、经济秩序及社会稳定；其次，信息处理者拟采取的处理手段应具有适当性，即所选择的处理手段必须足以实现所预定的明确处理目的或至少有助于该处理目的的达成；再次，必要性原则要求在适当性原则获得肯定的前提下，信息处理者应当选择使信息主体所受损失保持在最小范围和最低程度的处理手段；最后，均衡性原则强调处理被动公开的个人信息对信息主体所造成的损害不能超过实现处理目的所带来的收益，也就是说实现处理目的所增进的利益与拟采取处理手段给信息主体权利带来的损害或负担应合乎比例。总而言之，若处理被动公开的个人信息符合比例原则所蕴含的“目的正当、手段适当、损害最小、损益均衡”四项标准，则可认为属于合理处理，在此情形下信息处理者不必征得信息主体的同意。

3. 被动公开的个人信息“合理处理标准”：符合个人信息被公开时的用途

根据“将个人信息保护与特定情境脉络下的个人信息流动规范两者互相连结起来”〔75〕刘静怡：《社群网路时代的隐私困境：以Facebook为讨论对象》，载《台大法学论丛》2012年第1期，第9页。的“情境脉络完整性”理论，个人信息被公开时的具体语境（用途）应得到尊重，其后的流转及利用不得超出原初的情境脉络。〔76〕See Helen Nissenbaum, “Privacy as Contextual Integrity”, 79 Washington Law Review 101, 119 （2004）.此理论框架有助于确认和解释在何种情况下，对已公开的个人信息的处理是可以接受的抑或是应受到质疑的。因此，判断擅自处理被动公开的个人信息是否实质侵害个人信息权益，不完全取决于信息主体是否同意，更为关键的是考察该个人信息的初始公开场景和用途。如果信息处理者的处理行为符合个人信息被公开时的用途即构成具有正当性的合理处理，信息主体对此负有容忍义务，也就不必获得其“二次授权”。《个人信息保护法》第13条和第27条之规定正是遵循该证成逻辑。判断擅自处理被动公开的个人信息行为是否构成侵犯公民个人信息罪时应当援引前置法所确立的规则，如果处理行为明显改变个人信息被公开时的用途，属于“违反国家有关规定”，则考虑入罪规制的必要性，反之则予以出罪。

我国司法实务中倾向于对在其他场景下使用已公开的个人信息做严格限定，将“符合个人信息被公开时的用途”简单地理解为处理行为必须与公开个人信息的目的保持绝对一致，对获取已公开的个人信息后进行营利活动或者超越个人信息初始公开场景使用的情形存在过度犯罪化。例如，在徐某某等人侵犯公民个人信息案〔77〕参见福建省泉州市安溪县人民法院（2019）闽0524刑初397号刑事判决书。中，被告人利用“爬虫”软件从“企查查”“天眼查”等网站上获取企业法定代表人的姓名、联系方式等个人信息，整理成Excel表格后出售给他人，法院认为企业信用信息公示系统通过合法渠道收集工商企业信息并进行网络公开，其目的在于方便民众查询以确认企业信息是否真实有效，也就是说，只允许他人通过该系统查询收集相关信息供自己使用，并不意味着允许他人出售或提供这些个人信息牟利，在未征得被收集者同意及未进行匿名处理的情况下向他人出售或提供这些个人信息的行为背离了企业为经营所需公示其信息的初衷。笔者认为，从促进已公开的个人信息有序自由流动、合理有效利用的角度出发，不能机械僵化地以目的绝对一致与否作为判断处理行为是否符合个人信息被公开时的用途的唯一标准，而应进行综合性的平衡测试，证明信息处理者的合法利益高于信息主体的人格利益。具体可以分为以下三个步骤：（1）目的测试：对个人信息的处理（出售、交换、提供等行为）与公开个人信息的目的没有根本性抵触，不得用于实施违法犯罪或侵害信息主体的基本权利，信息处理者所追求的必须是正当利益；（2）必要性测试：应从最小影响原则来理解必要性，仅限于实现正当利益所必要的最小处理范围、采取对个人信息权益损害程度最小的处理方式；（3）安全性测试：信息处理者应当履行一般性的个人信息安全保障义务，以及为防止对信息主体造成过度影响而尽量采取额外保障措施，如去标识化处理、使用加密技术、增加透明度、设立无条件退出机制等。相较于自行公开的个人信息，被动公开的个人信息的“合理处理标准”更为严格一些，因为自行公开是信息主体主动让渡部分信息自决权，自愿承担一定的个人信息处理风险，而被动公开是依据法律法规或司法解释的强制性规定，信息主体只能选择接受，那么所设置的个人信息处理风险容忍义务理应控制在最小区间。

按照以上标准来分析擅自处理被动公开的个人信息典型案例，在前述案例二中，被告人从国家企业信用信息公示系统中获取已公开的个人信息并出售给他人用于拨打电话推销代账会计业务，这与企业通过在征信系统公示相关信息实现促进自身经营发展的目的并不冲突，信息处理者从事合法营利活动所追求的也是正当利益，将对信息主体的影响控制在必要范围，且履行了基本的个人信息安全保障义务、没有创设或升高个人信息被滥用的风险。因此，宜认定该处理行为通过了平衡测试，符合个人信息被公开时的用途，属于在合理范围内处理被动公开的个人信息，可以适用合法利益豁免机制而不必征得信息主体的同意，进而阻却擅自处理被动公开的个人信息行为的实质违法性。

五、结语

已公开的个人信息依法有序自由流动、合理有效利用是数字社会的重要价值，包括刑法在内的个人信息保护规范对此应当予以关注和回应，“既不能仅仅为了保护信息主体的权益，无限度地扩张自然人对个人信息的权利边界，从而妨害数据的流动、分享与利用；也不能无视信息处理者对其付出成本而合法地收集、存储和利用个人信息的权利”。〔78〕程啸：《论大数据时代的个人数据权利》，载《中国社会科学》2018年第3期，第122页。理应将信息主体与信息处理者的利益平衡映射在大数据时代侵犯公民个人信息罪的司法边界上，作为每一次刑法介入前都应当被反复衡量的问题。从利益平衡的立场出发，对于未经信息主体同意、擅自处理已公开的个人信息行为之入罪规制应当秉持审慎克制的态度，在法秩序统一框架内判断是否属于在合理范围内处理已公开的个人信息，即以“合理处理”作为侵犯公民个人信息罪的出罪事由。当具有构成要件符合性的擅自处理已公开的个人信息行为达到“合理处理标准”时，能够以实质违法性阙如为由予以出罪。在此基础上，区分自行公开的个人信息与被动公开的个人信息两种形态，对“合理处理标准”进行类型化的实质解释，前者为符合信息主体的合理预期，后者为符合个人信息被公开时的用途，旨在将没有实质侵害或威胁法益、不值得科处刑罚的行为排除在犯罪圈之外，〔79〕参见王政勋：《刑法解释的语言论研究》，商务印书馆2016年版，第330页。维护具体个案的司法公正性。正如有学者指出，“出罪层面的实质解释论，其实是帮助实现入罪层面形式解释论的最佳效果，使入罪更有说服力，出罪更有合理性”，〔80〕刘艳红：《实质刑法的理论与实践：基于三部曲的整体思维》，载《东南学术》2021年第2期，第68页。从而平衡法益保护机能与人权保障机能之间的基本关系。