周光權 （清華大學法學院教授）

在《獲取已公開個人信息并出售牟利的定罪爭議》（《法治日報》2021年9月22日9版）一文中，筆者指出，對于行為人在公開的網絡上（包括企業征信網、“企查查”“天眼查”等企業信息查詢網站、裁判文書網站等）爬取已公開的企業登記信息，從中獲取個人信息，再對這些已公開的個人信息進行有償轉讓、出售的，實務中基本都按侵犯個人信息罪予以定罪處罰。但是，這一做法是值得商榷的。對此，需要關注民法典及個人信息保護法的相關規定。

民法典第一千零三十六條強調，如果行為系對已公開人的個人信息進行不合理處理的，仍然應當承擔侵權責任。換言之，并不是所有對已公開人的個人信息的處理行為都合法，法律對于“不合理地處理”已公開的個人信息的行為仍然持反對態度。對于已公開的個人信息必須合理處理的進路，在個人信息保護法中得到了堅持。該法第六條第1款規定，處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。第十三條第6項規定，“依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息”的，個人信息處理者可以處理個人信息，不需要取得個人同意。本條也特別強調僅在“合理的范圍內”對于個人信息的獲取、提供行為，不需要取得個人同意。第十四條第2款規定，個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。第二十七條規定，個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；個人明確拒絕的除外。個人信息處理者處理已公開的個人信息，對個人權益有重大影響的，應當依照本法規定取得個人同意。

必須承認，個人公開其信息的目的以及信息的用途屬于侵犯公民個人信息罪保護法益的一部分，而非法益之外的東西。雖然企業法人的信息屬于企業應當對社會公眾公開的登記或企業運行信息，對于其中所涉及的已公開個人信息，他人可以通過工商登記網站對此類信息進行查詢，但是，個人選擇在企業公開的信息中，對于自己的姓名、通訊方式等予以公開有特定目的：使自己所在的企業的設立和運行符合國家行政主管機關的要求，為企業合法獲取商業利益創造機會。因此，已公開的個人信息中，信息的內容成為刑法保護的對象，基于特定目的對信息的處分自由（對信息的最終決定權）也是法益的一部分。那么，對于處理已公開的個人信息且未偏離該信息公開的目的，沒有改變其用途的行為，沒有侵害法益主體的法益處分自由，對于這種尊重信息公開目的前提下的對個人信息的合理處理，民法典、網絡安全法、個人信息保護法等部門法均不反對，該個人信息是權利主體自愿放棄保護的財物，且處分行為沒有違背其處分財物的意思，不屬于刑法所保護的行為對象。

按照民法典、個人信息保護法的相關規定，處理已公開的個人信息，僅在合理利用該信息的限度內不需要得到信息主體的同意，如果處理該信息侵害其重大利益的，就應當得到或重新取得個人的同意。“在有的情況下，自然人的個人信息雖然是自己主動公開或者是通過其他合法方式公開的，但若處理這些個人信息的行為損害該自然人重大利益的，行為人仍不能免除責任。例如，某人對外公開了自己的電話號碼，但行為人卻利用這些電話號碼頻頻向某人發送垃圾短信或者撥打電話，嚴重滋擾了某人的生活安寧，此時，行為人仍應承擔民事責任”（參見黃薇主編：《中華人民共和國民法典釋義及適用指南（下冊）》，中國民主法制出版社2020年版，第1551頁）。因此，處理個人信息明顯違背個人公開其信息的目的，改變已公開信息的用途的，都有可能構成本罪。例如，互聯網公司工作人員將其在工作中獲取的個人已公開信息出售給體檢機構，以便于后者拓展客源的，顯然改變了個人公開其信息的目的和用途，可以構成本罪；再比如，通過公開征信系統獲得他人手機號碼之后對個人進行追蹤定位的，使他人的生命、身體陷入危險，也違背了他人公開其信息的目的和用途，該信息仍然屬于本罪對象。

考慮到信息公開目的對于定罪的實質影響，筆者認為，對于處理個人已公開的信息有以下情形的，不宜定罪：（1）針對已公開的個人信息僅實施單純獲取或爬取、持有等行為的。由于行為人還沒有將該信息予以批量出售、提供的，很難判斷他人后來對于該信息的使用目的是否與個人公開其信息時相同，也無法確定信息的用途是否被改變，難以得出行為人侵害被害人法益處分自由的唯一結論。（2）獲取、提供他人已公開的個人信息的目的是幫助行為人拓展業務的情形。企業注冊登記或者將其信息在征信系統中收錄，其目的是為了企業自身發展。行為人處理企業公開信息中包含的個人信息，如果與該企業的經營發展目的相一致的，應當認定該處理信息行為具有合理性。例如，某些特定行業的從業人員為擴展業務范圍、推銷產品、開展市場營銷，大量收集或向他人購買特定行業的企業注冊登記信息（包括企業法定代表人的姓名、工作單位、手機號碼等），或者與他人交換上述信息的，實務上傾向于認為個人信息被侵犯。此外，實務上將為了尋找潛在客戶而獲取、提供公開的個人信息的行為認定為犯罪的情形為數不少。但是，在上述案件中，行為人為了企業利益獲取他人信息，但已公開信息所在企業也是為了開展市場營銷等經濟活動而存在的，因此，行為人獲取、使用個人信息的行為與信息主體的目的之間具有大致相同性，其對信息的處理相對具有合理性。因此，不宜將為了擴展業務范圍、推銷產品、開展市場營銷尋找潛在客戶而獲取、提供公開的個人信息的行為認定為犯罪。（3）獲取、提供他人已公開的個人信息的目的是為企業發展提供貸款等金融支撐的情形。企業的發展需要使用支付、結算器械，向企業推銷此類產品不違背企業設立的目的。例如，對于為了推銷POS機業務而接受羅某發送的郵件，其中包含公民個人征信信息共計456條的，法院認定被告人構成本罪。但是，這一定罪結論是否妥當還需要推敲。企業存在的目的是開展市場交易活動，為此，需要金融結算工具的支持。行為人獲取企業登記信息然后向其推銷POS機，不宜認定為違背企業公開其個人信息的經營目的，并未侵害個人的信息自主權。

歸結起來講，對于獲取企業注冊登記信息、征信信息等公開信息中的個人信息，然后將其提供、交換給他人的，僅將信息數量作為區分罪與非罪標準的思考方法過于簡單化。獲取、提供、交換、出售已公開的個人信息，明顯違背信息公開目的，或者明顯改變已公開個人信息的用途以及利用已公開個人信息實施可能危及公民人身或財產安全的違法犯罪行為的，才有可能構成侵犯公民個人信息罪。

（“刑民（行）關系與犯罪認定”之二十一詳見于《法治日報》2021年9月22日9版）