陳凱明

摘 要：互聯(lián)網(wǎng)企業(yè)仰賴個人信息的獲取、流通和利用，以實現(xiàn)服務(wù)的精準(zhǔn)化和個性化。但刑法中侵犯公民個人信息罪限制獲取、提供與出售個人信息的行為，個人信息的安全價值與經(jīng)濟(jì)價值之間存在著巨大的矛盾。立法對個人信息的嚴(yán)格保護(hù)，有過度妖魔化個人信息危險性和超體系解釋特殊保護(hù)的嫌疑。司法解釋對兩種侵犯公民個人信息行為方式的定義存在邏輯的不自洽?；ヂ?lián)網(wǎng)企業(yè)獲取、利用個人信息和相應(yīng)的商業(yè)創(chuàng)新都有可能受到刑法制裁。故通過構(gòu)成要件的限縮解釋、引入主觀要件和合法經(jīng)營的阻卻事由等方法，可以為互聯(lián)網(wǎng)企業(yè)獲取、利用個人信息提供合法、可行的路徑。

關(guān)鍵詞：互聯(lián)網(wǎng)企業(yè) 侵犯公民個人信息 非法 入罪 脫罪

一、問題的提出

互聯(lián)網(wǎng)企業(yè)憑借發(fā)達(dá)的信息技術(shù)迅猛發(fā)展，海量的數(shù)據(jù)和用戶信息成為了互聯(lián)網(wǎng)企業(yè)的生產(chǎn)要素，以此實現(xiàn)了個性化、定制化的多元服務(wù)。與此同時，公民對大數(shù)據(jù)時代個人信息的保護(hù)也有更高的要求。刑事法律及司法解釋也由此不斷修正和頒布，2009 年《刑法修正案（七）》首次將侵犯公民個人信息行為入罪，2015 年《刑法修正案（九）》進(jìn)一步擴(kuò)大了侵犯公民個人信息行為的刑事打擊范圍，特別取消了原有條文中“非法提供”中的“非法”二字，對向他人提供公民個人信息或者接受公民個人信息的行為予以刑事制裁。為更加明確打擊的范圍和入罪標(biāo)準(zhǔn)，2017年6月“兩高”施行《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》），其中第6條明確了“為合法經(jīng)營活動而非法購買、收受”的行為依“個人信息的種類”“數(shù)量”“獲利”等也可能承擔(dān)刑事責(zé)任。

公民個人信息充分利用后的便利性與個人隱私、人格尊嚴(yán)等基本權(quán)的安全價值之間，存在著不可調(diào)和的“鴻溝”?；ヂ?lián)網(wǎng)企業(yè)的迅猛發(fā)展也加劇了其自身的刑事風(fēng)險，在安全與效益之間，正確地理解、適用侵犯公民個人信息罪，成為互聯(lián)網(wǎng)企業(yè)合法使用數(shù)據(jù)資源，切實保護(hù)公民的個人隱私和人格尊嚴(yán)不受侵犯的應(yīng)有之義。

二、嚴(yán)格立法：互聯(lián)網(wǎng)時代公民個人信息的特別保護(hù)

（一）公民個人信息不法利用的社會恐慌

我國刑法中侵犯公民個人信息罪是“情節(jié)犯”，根據(jù)《解釋》第5條的規(guī)定，“出售與非法提供”“非法獲取”個人信息的數(shù)量是衡量情節(jié)是否嚴(yán)重的重要標(biāo)準(zhǔn)。刑事法律所保護(hù)的是多個個人信息累加后的群體性法益，而非個體性的信息安全。此外，個人信息的不法利用也將導(dǎo)致不特定多數(shù)人的人身、財產(chǎn)受到侵害?！督忉尅吠瑯訉⒐駛€人信息被用于其它犯罪以及造成嚴(yán)重后果，作為“情節(jié)嚴(yán)重”的評價標(biāo)準(zhǔn)。大量的個人信息被收集、利用可能為下游犯罪提供不法的養(yǎng)料，從而產(chǎn)生其他犯罪的連鎖反應(yīng)，特別是被利用于“電信詐騙”“非法侵入計算機(jī)系統(tǒng)罪”等犯罪。由此，產(chǎn)生“侵犯公民個人信息罪”是原罪的觀點(diǎn)，一旦觸犯就可能對不特定多數(shù)人和公共安全產(chǎn)生巨大危害?；趯︼L(fēng)險社會中安全價值的追求，確保社會共同體安定生活的需要，打擊侵犯公民個人信息罪上升到了維護(hù)公共秩序的價值高度。

這一觀點(diǎn)頗有“妖魔化”侵犯公民個人信息罪的嫌疑，夸大了該罪的風(fēng)險范圍。一方面，侵犯公民個人信息罪保護(hù)的是公民的人身、民主權(quán)利而非“公共安全”，即公眾基于對侵犯公民個人信息罪可能引發(fā)的后續(xù)犯罪的恐慌，夸大該罪的公眾性。另一方面，制造可能的風(fēng)險不等于現(xiàn)實的危險。[1]一個大量持有非敏感個人信息的僅做商業(yè)推廣的當(dāng)事人之危害程度一定比少量掌握特定人敏感信息的窺私行為更有現(xiàn)實危險性嗎？因此，僅以侵犯公民個人信息的行為而不依托于行為目的的考量，無法認(rèn)定此行為對何種法益制造了危險。

（二）體系解釋中“公民個人信息”的特殊化

我國刑法對“公民個人信息”的流通全面禁止。刑事法律直接禁止的交易對象，無外乎標(biāo)的物自身具有實際的危險性或者能夠間接影響重大法益的情況。此類標(biāo)的是刑法不問目的、手段和條件而絕對禁止的。其一，是交易對象自身具有的實際危險性，如“毒品”;其二，是交易對象涉及重大利益，雖然自身無實際的危害，但承載的內(nèi)容一般會影響特定的法秩序和重大法益，如“婦女、兒童”“假幣”等;其三是部分禁止買賣的標(biāo)的物，但并非無條件禁止流通的，如“槍支、彈藥、爆炸物以及危險物質(zhì)”等，上述標(biāo)的物僅有在國家管制、行為“非法”以及主觀“非法”的情況下方構(gòu)成犯罪。那么，以“公民個人信息”何以能夠成為刑法中絕對禁止流通的標(biāo)的物呢？

從體系解釋上看，確實難以證成。公民個人信息是由私人屬性和社會活動所形成的數(shù)據(jù)，在對社會秩序的影響上或許與“國家公文、印章”“身份證件”“試題和答案”等接近，但后者一般是依托于國家機(jī)關(guān)而產(chǎn)生的，如買賣將損害國家機(jī)關(guān)的公信力。但“合法”的個人信息的流通并不必然導(dǎo)致個人法益受損。再者，公民個人信息具有流通的價值性，不同于上述分析的任何一個物品，其利用和流通是符合社會經(jīng)濟(jì)發(fā)展的需要的，并不會直接危害市場經(jīng)濟(jì)秩序，反而具有巨大的價值。對“公民個人信息”流通的打擊是刑罰制裁的特殊存在，這是否符合比例原則，有待商榷。

三、解釋寬泛：互聯(lián)網(wǎng)企業(yè)發(fā)展的高刑事風(fēng)險

刑法第253條之一第3款和《解釋》第3、4條對“出售、提供”型和“竊取和非法獲取”型的侵犯公民個人信息犯罪予以了區(qū)分和規(guī)范。其中，“違反國家有關(guān)規(guī)定”“購買、收受、交換”“非法獲取”等不確定法律概念成為了判斷構(gòu)罪與否的核心。在從嚴(yán)打擊的刑事政策和信息加速流通的時代背景下，二者直接碰撞將帶來互聯(lián)網(wǎng)企業(yè)極高的刑事風(fēng)險。

（一）“信息自決”下，個人信息獲取的合法性問題

1.互聯(lián)網(wǎng)企業(yè)個人信息收集模式易侵犯用戶知情權(quán)。網(wǎng)絡(luò)產(chǎn)品、服務(wù)的隱私政策一直是互聯(lián)網(wǎng)企業(yè)在個人信息保護(hù)上的痛點(diǎn)問題?；ヂ?lián)網(wǎng)企業(yè)在用戶知情的情況下，經(jīng)信息主體的同意，直接對個人信息進(jìn)行收集和處理是最直接的方式。一般認(rèn)為，企業(yè)在充分告知，用戶充分知情的情況下，基于用戶的理性思考進(jìn)行信息自決，是適法的個人信息收集模式。形式上，用戶一般通過點(diǎn)擊“我同意”“我接受”等鏈接確定對企業(yè)收集行為的知悉和許可。但僅通過閱讀、點(diǎn)擊的行為很難認(rèn)定是合意的達(dá)成或信息的處分;實踐中，長篇大論的隱私政策往往晦澀難懂、專業(yè)而寬泛，用戶常常因時間問題一掃而過，極少有認(rèn)真閱讀的情況。對用戶而言，企業(yè)的隱私政策的告知更像是“免責(zé)聲明”而非是合同條款，因為若點(diǎn)擊不同意等選項則無法繼續(xù)瀏覽或接受服務(wù)，在雙方能力不對等的情況下，根本無從掌握和監(jiān)督企業(yè)收集個人信息的行為是否進(jìn)行了有效約束。因此，如果將點(diǎn)擊行為視為合同的簽署，難以對用戶的知情權(quán)予以合理的保障。

2.非“合法”即“非法”的解釋漏洞。公民對其個人信息擁有控制權(quán)和自主決定權(quán)，能夠自主決定信息是否被收集、被披露，決定信息如何被收集、處理和應(yīng)用。《解釋》第4條規(guī)定，違反國家有關(guān)規(guī)定，提供服務(wù)過程中收集公民個人信息的屬于“以其他方法非法獲取公民個人信息”，可見有無“違反國家有關(guān)規(guī)定”是判斷是否非法獲取的前提。網(wǎng)絡(luò)安全法第41條規(guī)定，“網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)收集者同意……”根據(jù)我國法律規(guī)定，取得被收集者的授權(quán)同意是個人信息收集的必經(jīng)程序。《信息安全技術(shù)個人信息安全規(guī)范》也規(guī)定，企業(yè)應(yīng)當(dāng)取得被收集者明示同意。用戶在未注意下因系統(tǒng)默認(rèn)勾選而同意，是企業(yè)代替用戶做選擇，而非用戶明確的、主動的、肯定的授權(quán)行為，應(yīng)認(rèn)定為“非法獲取”。

以支付寶年度賬單事件為例，此前，支付寶個人年度賬單通過智能分析可以將用戶的消費(fèi)習(xí)慣予以精細(xì)化的總結(jié)，并被用戶紛紛轉(zhuǎn)發(fā)分享。其生成年度賬單的操作中，默認(rèn)勾選有“我同意芝麻服務(wù)協(xié)議”的字樣，以不顯眼的字體標(biāo)注在頁面下方，若不注意，該默認(rèn)選項將直接“允許支付寶收集用戶的信息包括在第三方保存的信息”。該情況經(jīng)主流媒體報道后，支付寶第一時間道歉并取消默認(rèn)勾選，同時告知已默認(rèn)勾選用戶取消授權(quán)的操作流程。從情節(jié)上看，未經(jīng)支付寶用戶明示同意的情形下獲取個人信息的行為有刑事犯罪之嫌，且作為移動支付工具和公共服務(wù)軟件，擁有上億用戶的財產(chǎn)、社保、交通、民政等相關(guān)個人信息，無論是所涉信息的敏感程度還是數(shù)量之龐大，均滿足《解釋》第5條所規(guī)定的“情節(jié)嚴(yán)重”、甚至“情節(jié)特別嚴(yán)重”的標(biāo)準(zhǔn)。由該事件延伸，互聯(lián)網(wǎng)企業(yè)未經(jīng)用戶明示同意或侵犯用戶知情權(quán)、選擇權(quán)而獲取信息之行為，無論是否用于合法經(jīng)營活動均屬于“非法”。那么，《解釋》第4條就為刑事法律跳過民事、行政法律將企業(yè)收集用戶信息行為入罪化大開方便之門。

（二）“共享經(jīng)濟(jì)”中，個人信息流動的合法性問題

1.數(shù)據(jù)的利用與刑法禁止個人信息流動的矛盾。開放的數(shù)據(jù)是移動互聯(lián)網(wǎng)發(fā)展的技術(shù)基礎(chǔ)。信息作為互聯(lián)網(wǎng)企業(yè)的生產(chǎn)資料，具有可復(fù)制的特點(diǎn)，直接催生了“共享經(jīng)濟(jì)”的商業(yè)模式，甚至思維模式。互聯(lián)網(wǎng)的浪潮下催生的云計算、大數(shù)據(jù)都體現(xiàn)了信息生產(chǎn)力的本質(zhì)。

購買、收受、交換是《解釋》中列明的非法獲取公民個人信息的方式。個人信息不能作為上述行為的客體，有學(xué)者認(rèn)為個人信息的法律內(nèi)核是“人身屬性+財產(chǎn)屬性+相關(guān)法益關(guān)聯(lián)屬性”，因為其包括了基于人身屬性的“可識別性”身份信息、基于財產(chǎn)屬性的財產(chǎn)類和賬號類信息、相關(guān)法益具有關(guān)聯(lián)性的其他信息。[2] 這一復(fù)雜的權(quán)利屬性決定了個人信息不能直接成為民事法律關(guān)系的客體。但在大數(shù)據(jù)時代，數(shù)據(jù)、信息是計算和決策的核心，僅通過自行收集的個人信息難以支撐其龐大、精準(zhǔn)的網(wǎng)絡(luò)服務(wù)，通過其他外部渠道獲取所需數(shù)據(jù)勢在必行?？捎脩粜畔⒌姆窒?、交換、許可使用都是違法犯罪的行為。

2.互聯(lián)網(wǎng)企業(yè)并購潮——購置股權(quán)以獲取個人信息。為充分利用數(shù)據(jù)，互聯(lián)網(wǎng)企業(yè)有了“明修棧道，暗度陳倉”的方式，即通過針對其他可以合法方式取得信息的使用資質(zhì)。例如，近年來以互聯(lián)網(wǎng)企業(yè)并購數(shù)量與日俱增，部分并購案以及購置股權(quán)反映了互聯(lián)網(wǎng)生態(tài)鏈布局和信息共享的靈活處理機(jī)制。以阿里巴巴公司為例，其通過大舉購買股份的方式擴(kuò)張商業(yè)版圖。阿里巴巴曾以近3億美元價格收購高德軟件公司股份，成為最大股東。通過股權(quán)購置強(qiáng)強(qiáng)聯(lián)合的目的在于“為用戶提供一體化生活服務(wù)以及為生活服務(wù)商戶提供信息發(fā)布、搜索、數(shù)據(jù)挖掘、支付等電子商務(wù)服務(wù)”。阿里巴巴與高德并購旨在通過技術(shù)和信息的深度融合打造新型的服務(wù)模式，這依托于兩大公司對用戶的“消費(fèi)信息”和“出行信息”進(jìn)行數(shù)據(jù)共享，甚至包括更多用戶個人敏感信息的交易和流動。不僅如此，在阿里巴巴與新浪的股權(quán)購置案中，甚至明確指出了目的就是在用戶賬戶互通、數(shù)據(jù)交換、在線支付、網(wǎng)絡(luò)營銷等領(lǐng)域進(jìn)行深入合作?？梢哉f，股份并購構(gòu)建了一個表面合法的個人信息流通的渠道，以主體身份的可交易性間接獲取個人信息。

為獲取用戶個人信息資源而進(jìn)行的股權(quán)收購，變相發(fā)揮了信息的經(jīng)濟(jì)價值，也有可能觸碰刑事法律。利用股東地位分享、交換個人數(shù)據(jù)仍屬《解釋》中“購買、收受、交換”。即便股權(quán)購置規(guī)避了“購買公民個人信息”的犯罪行為，但此后的用戶信息共享、交換的對象也無法規(guī)避個人信息在不同企業(yè)間流通的實質(zhì)。故《解釋》中“購買、收受、交換”幾乎禁止了大多數(shù)互聯(lián)網(wǎng)企業(yè)間的數(shù)據(jù)共享，這對“共享經(jīng)濟(jì)”下互聯(lián)網(wǎng)企業(yè)運(yùn)營成本和專業(yè)大數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的落地服務(wù)帶來了嚴(yán)峻的挑戰(zhàn)。

四、實質(zhì)判斷：嚴(yán)格侵犯公民個人信息罪入罪邊界

互聯(lián)網(wǎng)時代，公眾對“數(shù)據(jù)利維坦”的恐懼已經(jīng)達(dá)到了“草木皆兵”的地步，但是，一律從嚴(yán)打擊與社會發(fā)展的趨勢實則并不契合。互聯(lián)網(wǎng)企業(yè)在嚴(yán)格立法的特殊保護(hù)和寬泛司法擴(kuò)大解釋的背景下，極易被卷入到不必要的刑事程序中去，理性構(gòu)建侵犯公民個人信息犯罪規(guī)范體系刻不容緩。

（一）完善“兩法銜接”，厘清“非法”的界定問題

1.“違反國家有關(guān)規(guī)定”和“非法”的關(guān)系。判斷前述的支付寶年度賬單事件，涉罪與否的關(guān)鍵即是“非法”二字的解釋。侵犯公民個人信息罪是“行政犯”，刑法第253條之一規(guī)定“違反國家有關(guān)規(guī)定”和“非法”是構(gòu)罪的前提。有觀點(diǎn)認(rèn)為，應(yīng)當(dāng)將“違反國家有關(guān)規(guī)定”“非法”視為“弱意義”構(gòu)成要件，不具有犯罪構(gòu)成認(rèn)定的實際價值，這完全忽視了侵犯公民個人信息罪“行政犯”的本質(zhì)。[3]《刑法修正案（九）》一方面將提供行為的“非法”二字刪除，同時保留了違反行政法規(guī)的前置性條款，也將“違反國家規(guī)定”改為“違反國家有關(guān)規(guī)定”。那么，從文本上看，為何對于“出售和提供”型侵犯公民個人信息不要求“非法”，但仍前置“違反國家有關(guān)規(guī)定”？司法解釋在定義“竊取和非法獲取”型侵犯公民個人信息時卻將“違反國家有關(guān)規(guī)定”與“非法獲取”相聯(lián)系？那么，“非法”和“違反國家有關(guān)規(guī)定”是否是同一概念？厘清上述概念，是正確解釋“非法”的核心問題。

有學(xué)者認(rèn)為，“違反國家有關(guān)規(guī)定”與“非法”是不同概念，二者是“種屬關(guān)系”而非“等同關(guān)系”。[4] 即“違反國家有關(guān)規(guī)定”屬于“非法”，但“非法”未必“違反國家有關(guān)規(guī)定”。按照這一觀點(diǎn)，《解釋》定義“竊取和非法獲取”時仍前置“違反國家有關(guān)規(guī)定”確有畫蛇添足之嫌。如果“非法”程度低于“違反國家有關(guān)規(guī)定”，那么《解釋》第4條無疑拔高了入罪的門檻。從體系上看，“違反國家有關(guān)規(guī)定”應(yīng)該是對“非法”的實質(zhì)解釋，二者間不應(yīng)有程度的差別，前者是后者判斷標(biāo)準(zhǔn)的依據(jù)，后者是前者判斷結(jié)果的統(tǒng)稱，即“違反國家有關(guān)規(guī)定”一定是“非法”，“非法”一定是“違反國家有關(guān)規(guī)定”。因此，準(zhǔn)確界定“違反國家有關(guān)規(guī)定”本身要依賴于相關(guān)法律、法規(guī)立法質(zhì)量的高低。

2.適用寬泛的“合法”獲取、流轉(zhuǎn)解釋路徑。讓互聯(lián)網(wǎng)企業(yè)規(guī)避“非法”首先應(yīng)當(dāng)明確列舉“合法”的行為模式?？梢悦鞔_的，是合法獲取和流轉(zhuǎn)個人信息，必然是在對用戶有充分的告知并賦予其充分靈活的選擇權(quán)。但也必須承認(rèn)的是，個體間對個人信息的敏感程度不盡相同，這意味著互聯(lián)網(wǎng)企業(yè)很難設(shè)置整齊劃一的標(biāo)準(zhǔn)，明確合法界限。對法律法規(guī)而言就更是如此。有學(xué)者梳理，我國對個人信息保護(hù)的“國家有關(guān)規(guī)定”的法律法規(guī)包括《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《個人存款賬戶實名制規(guī)定》《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《征信業(yè)管理條例》《電信與互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《中華人民共和國網(wǎng)絡(luò)安全法》等三十余部法律。[5]違反這些法律法規(guī)是侵犯公民個人信息罪構(gòu)罪前提，但其中的多數(shù)規(guī)定對于個人信息相關(guān)的合法或違法界限劃分也不盡詳細(xì)。

在大數(shù)據(jù)背景下，個人信息被收集、利用后將呈現(xiàn)怎樣的運(yùn)算結(jié)果，令人不得而知，因分析、挖掘可能衍生出更多能夠識別特定個人的信息，在這種情況下，絕對化的保護(hù)近乎奢望。因此，“合法”的評價標(biāo)準(zhǔn)不應(yīng)著眼于實質(zhì)判斷，而在乎獲取過程形式的完整，即互聯(lián)網(wǎng)企業(yè)可以采取“分層告知”的方式，每一階段都盡到告知義務(wù)，將企業(yè)隱私政策的內(nèi)容以表格或者其他標(biāo)準(zhǔn)化的方式加以公布。[6]由此確保用戶對企業(yè)所涉?zhèn)€人信息事項具有更良好的可閱讀性。此外，互聯(lián)網(wǎng)企業(yè)可以根據(jù)所提供服務(wù)對用戶信息依賴的不同程度，區(qū)分為核心業(yè)務(wù)和非核心業(yè)務(wù)，對不同附加功能是否收集用戶個人信息的主動權(quán)完全交付用戶個人，這一規(guī)定也可見于2018年起實施的國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2017）。法律法規(guī)可以參照互聯(lián)網(wǎng)行業(yè)的技術(shù)標(biāo)準(zhǔn)，設(shè)置“分層告知”+“附加功能”等合法路徑。即便是用戶碎片式的閱讀模式，也應(yīng)以“簡單粗暴”的告知方式直接提醒用戶有關(guān)獲取的目的、結(jié)果等必知項目。由此，可以構(gòu)建寬泛的“合法”獲取、流轉(zhuǎn)解釋路徑，規(guī)避“非法”在寬泛解釋下的不當(dāng)適用。

（二）引入“主觀要件”，區(qū)分合法經(jīng)營和犯罪目的

1.“正當(dāng)目的”是侵犯公民個人信息罪的阻卻事由?！督忉尅返?條“為合法經(jīng)營而非法購買的行為”之規(guī)定，系侵犯公民個人罪中少有與主觀相涉的出罪要件，由此為合法經(jīng)營行為獲取個人信息設(shè)置了更高的入罪門檻。但客觀而言，因個人信息在互聯(lián)網(wǎng)時代用于合法經(jīng)營活動的規(guī)?；统B(tài)化，對“獲取方式”予以更為寬泛的界定可以為個人信息的流通和利用留下空間。

互聯(lián)網(wǎng)企業(yè)以提供產(chǎn)品、數(shù)據(jù)服務(wù)為目的，即便以“出售或提供”為方式流轉(zhuǎn)個人用戶數(shù)據(jù)也應(yīng)予以出罪，即“以非法目的向他人出售或提供”方是構(gòu)罪要件?；谡?dāng)?shù)哪康?，如企業(yè)間用于業(yè)務(wù)往來的個人信息交換、共享不應(yīng)直接進(jìn)行刑事打擊。[7]如確有侵權(quán)行為發(fā)生，也完全可以以民事、行政途徑予以救濟(jì)。讓企業(yè)承擔(dān)民事責(zé)任足以補(bǔ)償、恢復(fù)被害人因隱私、人格尊嚴(yán)受到侵犯所受損失。將個人信息抽離出刑法絕對不可予以流通之標(biāo)的物，注入至民法中。利用的個人信息自決權(quán)，尊重個體以信息為“一般等價物”換取更好的服務(wù)，與當(dāng)前社會發(fā)展的現(xiàn)實相契合?？墒牵?dāng)前《解釋》對侵犯個人信息罪的主觀要件的規(guī)定是非體系化的，結(jié)果歸責(zé)導(dǎo)向明顯。以《解釋》第5條第1款第1項和第2項的規(guī)定為例，其中“出售或提供行蹤軌跡信息被他人用于犯罪的”的行為類型中未要求“應(yīng)當(dāng)知道”，但對于危害性更大的“向他人出售或提供個人信息被利用實施犯罪的”，卻規(guī)定有“知道或應(yīng)當(dāng)知道”?！督忉尅分袨榇驌舳驌舻膶?dǎo)向較為明顯。因此，將主觀要件引入該罪中，有利于彌合當(dāng)前該罪結(jié)果歸責(zé)的錯誤取向，同時也有利于打擊部分為實施詐騙及其他非法行為進(jìn)行個人信息流轉(zhuǎn)的互聯(lián)網(wǎng)企業(yè)，對實質(zhì)違法行為予以刑事打擊。

2.“合法經(jīng)營”的形式化證成?；ヂ?lián)網(wǎng)企業(yè)為合法經(jīng)營可以進(jìn)行個人信息分享、流轉(zhuǎn)。如前述阿里巴巴及其子公司，甚至合作伙伴間也可進(jìn)行數(shù)據(jù)出售。特別是對集團(tuán)公司、母子公司的數(shù)據(jù)往來，主客觀上均不會產(chǎn)生實質(zhì)違法，可以全面予以脫罪處理。正常商事行為中，以實現(xiàn)合法經(jīng)營為目的將合法收集的個人信息予以流轉(zhuǎn)也可以適時予以脫罪?！昂戏ń?jīng)營”也應(yīng)基于特定目的予以判斷，其前提應(yīng)當(dāng)是“不違反國家規(guī)定”且不會“嚴(yán)重擾亂社會秩序”。[8]需具備下列要件之一：（1）公司、企業(yè)獲取個人信息獲取之行業(yè)有法律、行政法規(guī)明文規(guī)定;（2）原公司企業(yè)與當(dāng)事人有合同或者其他合同的關(guān)系，且已采取適當(dāng)?shù)陌踩胧?（3）公司、企業(yè)流轉(zhuǎn)當(dāng)事人自行公開或其他已合法公開的個人信息;（4）信息流轉(zhuǎn)之公司、企業(yè)的隱私政策的核心條款與信息獲取時的告知一致;（5）經(jīng)當(dāng)事人同意;（6）企業(yè)確有增進(jìn)公共利益的必要;（7）個人信息取自于一般可獲取的來源，但是當(dāng)事人對該信息要求禁止處理、利用的除外;（8）對當(dāng)事人權(quán)益無侵害。收集或處理企業(yè)經(jīng)當(dāng)事人通知，禁止其處理或利用相關(guān)個人信息時應(yīng)當(dāng)立即刪除或停止處理及利用相關(guān)個人資料，以確保當(dāng)事人個人信息的自決權(quán)。

注釋：

[1]參見敬力嘉：《大數(shù)據(jù)環(huán)境下侵犯公民個人信息罪法益的應(yīng)然轉(zhuǎn)向》，《法學(xué)評論》2018年第2期。

[2]參見于沖：《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》，《政治與法律》2018年第4期。

[3]參見曲新久：《論侵犯個人信息犯罪的超個人法益屬性》，《人民檢察》2015年第11期。

[4]同前注[2]。

[5]同前注[2]。

[6]參見高秦偉：《個人信息保護(hù)中的企業(yè)隱私政策及政府規(guī)制》，《法商研究》2019年第2期。

[7]參見高富平：《出售或提供公民個人信息入罪的邊界》，《政治與法律》2017年第2期。

[8]參見楊曉慶、施李艷：《為合法經(jīng)營活動而侵犯公民個人信息的司法適用》，《檢察調(diào)研與指導(dǎo)》2019年第1期。