内容提要：我国刑事司法实践中倾向于以未获得信息主体“二次授权”同意为由，对擅自向他人出售或提供已公开的个人信息行为一律入罪规制，该做法有过度犯罪化之虞。已公开的个人信息兼具信息自决与信息利用两个面向，同时承载着信息主体的安全保护诉求与信息处理者的价值利用诉求，两者之间难免发生利益冲突。以个人信息自决权为保护法益的侵犯公民个人信息罪应以追求利益平衡之价值取向重构规制逻辑，引入《民法典》《个人信息保护法》等前置法所设计的已公开的个人信息“合理处理规则”来构建本土化的利益平衡机制。在具体场景中应围绕处理目的、处理方式、处理结果三个层面，以符合个人信息公开的目的、没有改变个人信息被公开时确定的用途、未侵害信息主体的重大利益来形塑合理处理的认定标准，从而划定刑法对已公开的个人信息保护的司法边界。

　　关 键 词：侵犯公民个人信息罪　已公开的个人信息　信息自决　信息利用　合理处理 

　　步入大数据时代，我们完全可能以“从无数记录中捕获出来的一个人的生活，从集成电脑网络世界中编制出来一个‘数字人’”。深度挖掘个人信息潜在的商业价值与公共价值有赖于海量数据的汇集沉淀与整合处理，正如维克托•迈尔-舍恩伯格所言：“大数据的价值不再单纯来源于它的基本用途，而更多源于它的二次利用。”由于收集已合法公开的个人信息无须征得信息主体的授权同意且成本相对较低，不少人从已公开的个人信息的二次利用中发现了牟利的“商机”——收集整合已公开的个人信息出售或提供给他人，这些个人信息有的被用于拓展业务范围、开展市场营销、推销产品或服务等正常经济活动，也有的被用于开展跟踪定位、实施电信诈骗、拨打骚扰电话、发送垃圾短信等违法犯罪活动，潜藏着滥用个人信息的风险。“个人信息的失控将会打破社会交往过程的‘防火墙’，威胁与个人信息自决权相关的人身安全、财产安全及隐私安全等公民个体社会交往利益。”在此背景下，有必要明晰未经信息主体同意、擅自向他人出售或提供已公开的个人信息行为罪与非罪的界限。

　　一、问题的提出：对已公开个人信息刑事司法保护的过度化

　　（一）刑事司法解释采纳“二次授权规则”

　　作为带有明显的法定犯气质的侵犯公民个人信息罪，以“违反国家有关规定”为构成要件之一，通常要参照民法、行政法等前置法的规定来合理确定出入罪边界。在我国个人信息保护民事立法和行政立法尚处于空白阶段时，刑事司法从积极预防滥用个人信息风险的立场出发，率先介入规制擅自向他人出售或提供已公开的个人信息行为。2017年最高人民法院、最高人民检察院联合出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《侵犯公民个人信息罪司法解释》）第3条第2款规定：“未经被收集者同意，将合法收集的公民个人信息向他人提供的，属于刑法第二百五十三条之一规定的‘提供公民个人信息’，但是经过处理无法识别特定个人且不能复原的除外。”简言之，刑事司法解释将知情同意与否确定为判断是否构成侵犯公民个人信息罪的关键性标准，即便是向他人提供合法收集的已公开的个人信息也应事先征得信息主体的同意。根据该规定，我国刑事司法实践中普遍倾向于以未获得信息主体“二次授权”同意为由，将擅自向他人出售或提供已公开的个人信息行为一律入罪规制。

　　案例一：李某侵犯公民个人信息案

　　被告人李某收集已在国家企业信用信息公示系统公开的工商企业登记信息（包含法定代表人姓名、联系方式等个人信息），经删减、清洗后获得各类个人信息共计18077条，出售给他人用于经营房产信息咨询服务、房屋产权抵押贷款代办服务等业务，法院认定构成侵犯公民个人信息罪。

　　案例二：柯某侵犯公民个人信息案

　　被告人柯某将在特定范围内公开（挂牌至房产中介门店）的房源信息（包含房东姓名、联系方式、房产地址、门牌号码等个人信息）以会员套餐的方式提供给房利帮网站会员付费查询使用，获利150余万元，法院认定构成侵犯公民个人信息罪。

　　通过在中国裁判文书网进行案例检索发现，无论是完全向社会公开的个人信息（案例一）还是在特定范围公开的个人信息（案例二）均被纳入侵犯公民个人信息罪的行为对象范围。例如，在李某侵犯公民个人信息案中，法院判决明确说明不采纳买卖企业向社会公众完全公开的个人信息不属于值得刑法保护的个人信息的上诉理由和辩护意见。在柯某侵犯公民个人信息案中，法院判决认为涉案房源信息属于限定公开的个人信息，房东向房产中介挂牌交易自有房产，只是希望房源信息在房产中介之间进行传播，被告人在网站上公开房源信息，扩大了个人信息的知悉范围，使个人信息陷入失控及滥用风险，侵犯了公民的个人信息自决权。就他人对已公开的个人信息的处理权限而言，在王某侵犯公民个人信息案中，法院判决明确指出，行为人可以通过公开渠道来查询、收集相关个人信息供自己使用，但如果要将从公开渠道获取的个人信息经整理后出售或提供给他人，则须征得被收集者同意，被告人王某从“企查查”网站下载企业信息，经其删减、清洗出姓名、联系电话等个人信息，在未征得被收集者同意及未进行匿名处理的情况下向他人出售，属于《刑法》第二百五十三条之一规定的“出售公民个人信息行为”。这些典型判例集中反映出我国刑事司法实践将侵犯公民个人信息罪的保护法益——个人信息自决权视为具有排他性支配的绝对权，导致教条化理解知情同意原则，只关注形式上是否取得信息主体的同意，而忽视评价个人信息处理行为是否具有合理性、是否造成实质的法益侵害，对未经信息主体同意、擅自向他人出售或提供已公开的个人信息行为存在过度犯罪化问题。

　　（二）前置法引入“合理处理规则”

　　日前，已生效施行的《中华人民共和国民法典》（以下简称《民法典》）和《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）等前置法对已公开的个人信息的处理规则作出适当调整，不再将“二次授权”同意作为唯一的合法性基础，立法意图是避免对个人信息处理行为过度规制，促进个人信息的合理商业化利用，这将直接影响刑法上侵犯公民个人信息罪的司法适用。对于如何准确评价擅自向他人出售或提供已公开的个人信息行为，有学者从刑法谦抑性视角认为，如果限制已公开的个人信息的流转、使用，反而与该信息公开的目的相违背，企业公布有关个人信息也是个体利益让渡公共利益的结果，对该类信息加以合理利用，在普通民众期待的范围之内，刑法的介入有“高射炮打蚊子”之嫌。另有学者从法律规范解读层面提出：“《民法典》第1036条第（二）项为这一争议问题作了明晰，即否定‘二次授权规则’……对已公开的个人信息的合理处理可以推定自然人概括同意。”在此基础上，有学者主张：“在网上获取这些已公开的个人信息是源头行为，出售和提供给他人是下游行为，源头行为合法，下游行为也不应入罪。”此外，全国人大常委会在制定《个人信息保护法》的过程中也专门在第13条“个人信息处理的合法性基础”中增设第6项“依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息”，并明确说明此种情形下处理个人信息，无须取得自然人同意。换言之，对于已公开的个人信息，只要处理行为在合理的范围内，则不应当认定侵犯了公民享有的个人信息自决权。

　　在侵害公民个人信息违法犯罪已逐渐形成庞大的黑灰色产业链且诱发电信诈骗等次生犯罪愈演愈烈的背景下，刑法教义学需要及时对已公开的个人信息处理规则的变动作出阐释和回应：前置法设计这一规则是基于何种利益衡量？是否属于在合理范围内处理的判断标准又是什么？整体法秩序下前置法的价值判断对侵犯公民个人信息罪的司法认定会产生怎样的影响？这些问题并不局限于解决某个案例遇到的疑难之处，而是对深入探讨刑民一体化视野下侵犯公民个人信息罪的司法适用逻辑、合理确定擅自向他人出售或提供已公开的个人信息行为罪与非罪的界限具有建设性意义。实现公民个人信息自决权保护与数据有序自由流动、合理有效利用之平衡，从长远看两者应当是正相关关系。

　　二、已公开个人信息的安全保护与价值利用之利益区分

　　任何法律均有其规范意义和目的，由立法者结合具体社会事实来制定，并由司法者在个案中加以适用，解释法律规制的界限就是在实践法律的意旨，“首先需要发现某项法律所要调整的各种利益，然后再探求法律上的判断标准”。因此，确定出售或提供已公开的个人信息是否触犯公民个人信息罪的标准，其前提是区分安全保护与价值利用两大利益形态。已公开的个人信息同时承载着信息主体与信息处理者的双重利益诉求：一方面，信息主体基于个人信息与其身份或社会活动的天然关联性而享有人格利益，要求能够控制自己的个人信息并自行决定是否被处理，从而确保已公开的个人信息处于安全状态，免于因遭受篡改、滥用等不法侵害而对其人格尊严和自由发展产生不利影响，即安全保护诉求；另一方面，信息处理者则基于付出大量人力、物力、财力等成本从社会公共领域合法收集已公开的个人信息，对汇聚形成的新的数据集合享有一定的占有、使用的利益，希望可以深度挖掘海量个人信息所蕴藏的潜在价值并加以利用，从中获取经济利益或市场竞争优势，即价值利用诉求。

　　（一）信息主体要求保护已公开的个人信息安全的依据：信息自决

　　不同于美国在司法判例中创设信息性隐私权，我国立法较大程度上借鉴的是欧洲以“个人信息自决权”为核心的个人信息独立保护模式。《民法典》第四编第六章在区分隐私与个人信息的基础上，明确规定“自然人的个人信息受法律保护”，并设计了处理个人信息的一般规则。《个人信息保护法》作为我国个人信息保护领域首部专门性法律，将“保护个人信息权益”作为首要立法目的，要求“国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为”，并在第44条进一步详细规定：“个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。”由此，个人信息自决权正式在国家立法层面得到承认与确立，并成为信息主体实现自我保护的有效工具。从信息自决的角度来看，对个人信息的保护，并非直接保护个人隐私，而是保护个人对其自身社会形象（soziale profile）的自我决定，因此，“保障个人自由和理智而作出选择是处理个人数据的正当理由”。作为一般人格权具体化的个人信息自决权，应被理解为一般性自我决定权的一种特殊形态，“透过对信息流通的管制，以赋予个人对于与其自身相关的资讯，能拥有决定在何种范围内、于何时、向何人、以何种方式加以披露或处分使用的自主权”。

　　关于自然人对已公开的个人信息是否仍然享有个人信息自决权，有观点认为，公开后的个人信息进入社会公共领域，暴露在公众视野下或为他人所知悉，在某种意义上即具有公有物的性质。有学者从该立场出发，秉持“公开即意味着完全放弃权利”的观点，认为：“既然由权利人自愿、合法地公布，也就意味着，权利人根据自己的主观价值判断行使了个人信息自决权，基于自我决定而主动放弃了对该信息的支配和控制……在此情形下，该个人信息通常不再具有值得保护性。”另有学者基于“个人信息自决权并不关注信息的‘隐’与否，而只关注此项信息是否能够识别‘个人’”的本质特征，主张“公开仅是有限让渡权利”的观点，认为已公开的个人信息虽然不具有私密属性但仍然具有可识别性，无疑属于法律意义上个人信息的范畴，“即便主体允许数据控制者收集并共享相关个人信息，这也并不意味着其让渡了所有个人信息权利”，对于已公开的个人信息，信息主体仍享有一定的控制权。笔者认为，自然人公开自己的个人信息仅意味着其在一定程度上同意他人对这些个人信息的处理，但并不意味着信息主体彻底放弃对其个人信息的控制，更不意味着信息处理者可以任意处理已公开的个人信息。

　　由于已公开的个人信息依然与个人社会形象的塑造密切相关，表征的是信息主体的人格尊严与自由发展等核心利益，所以信息主体对已公开的个人信息的自我决定在法律上仍有保护的必要，自然人对已公开的个人信息同样享有个人信息自决权。具体而言，这种“信息自决”主要包括两层含义：其一，公开个人信息的行为应当是信息主体在知情的前提下自愿、明确作出的或者按照法律、行政法规进行公开，并且其有权自我决定个人信息公开的内容、方式、程度、范围等事项；其二，个人信息公开之后就进入了社会公共领域，任何人都有获取的可能，并可以对已公开的个人信息做进一步处理，但后续处理活动可能偏离最初公开个人信息的目的或用途，导致信息主体的社会形象被扭曲，进而影响其参与社会生活和人格的自由发展，故信息主体有权限制或拒绝他人对已公开个人信息的处理。“个人信息自决权的实现，国家有义务透过法律规定，建构个人信息不至于处于当事人毫无自主可能性的状态下。”否则，已公开的个人信息无限制地“被处理”将不可避免使个人遭受“被决定”之侵害。为保障信息主体对已公开的个人信息的适度控制、防止已公开的个人信息被他人滥用，《民法典》第1036条和《个人信息保护法》第27条均赋予自然人明确拒绝处理的权利以及在处理行为对个人信息权益有重大影响时信息主体的同意权，从而保证信息自决得以贯彻。需要格外强调的是，保护信息主体对已公开的个人信息的自我决定权并非为了排除信息处理者的处理活动，而是要求信息处理者从诚实信用的角度，在处理活动中尊重信息主体的意愿，充分考虑信息主体的合法权益，这有利于建立数字经济的信任基础。

　　（二）信息处理者要求挖掘已公开的个人信息价值的依据：信息利用

　　信息自决并不意味着个人对与其有关的个人信息的绝对排他性控制，而是指在个人信息利用方面，个人不是处于被处理的地位，而是主动地知情、参与其中，对已公开的个人信息，应鼓励以适当的方式进行二次利用。我国《个人信息保护法》已明确将“促进个人信息合理利用”纳入立法目的，并在第13条允许信息处理者无须预先取得信息主体同意即可在合理范围内处理个人自行公开或者其他已经合法公开的个人信息。那么，公开个人信息的行为就可以理解为自然人“默示同意”信息处理者合理利用这些个人信息，信息处理者只要是通过合法方式收集这些已公开的个人信息就享有合理利用并获取经济利益的正当权利，乃是实现个人信息社会价值的必然选择。

　　当前，对包括已公开的个人信息在内的数据资源的挖掘利用已成为市场主体获取经济效益的基本商业模式与核心竞争力。2020年3月30日，中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》明确提出“加快培育数据要素市场”，首次以中央文件的形式将数据正式提升为与土地、劳动力、资本、技术并列的生产要素，要求充分挖掘提升数据资源的价值，研究根据数据性质完善产权性质。数据之所以被视为信息社会的基础性生产要素，原因恰恰不在于单个数据可以直接描述或识别自然人的某个特征，而在于海量数据之间相互关联，通过加工、使用等数据处理环节可以从中抽象出社会活动的普遍特征、发现数据背后隐藏的客观规律，产生预测未来的价值。正如有学者指出：“数据挖掘把数据分析的范围从‘已知’扩大到‘未知’，从‘过去’推向了‘将来’。”大数据的技术特征决定了单一的个人信息是没有市场价值的，必须收集和利用大量个人信息才能实现商业价值的提升，“数据要素市场主体最重要的贡献正在于，其投入的实质性劳动，将分散的个人数据汇集成为一个体量巨大的数据集合，使个人数据脱离了原始的自然状态，从而实现了从分散到集合、从人格利益到财产价值、从小数据到大数据的转变”。个人信息的有序流动与挖掘利用正是数据价值的生产过程，也是数据权益的生成基础。杭州互联网法院在审理我国首例涉微信数据权益认定不正当竞争案时，依据数据形态区分“单一数据个体”与“数据资源整体”，明确信息处理者对两者享有不同的数据权益：就单一数据个体而言，网络平台在收集过程中虽然付出了一定的劳动，但并未提供创造性劳动成果，故只能依其与用户的约定享有有限使用权；但就数据资源整体而言，系网络平台通过长期经营、投入大量人力和物力积累聚集而成，经挖掘利用能够为网络平台带来商业利益与竞争优势，网络平台对其应当享有竞争性财产权益。换言之，网络平台享有数据权益的原因不在于其对单个数据的采集而在于对数据资源的汇聚与利用。

　　保护信息处理者合理利用已公开的个人信息获取正当的商业利益已经成为大数据时代的共识，“因为这有利于促进信息的流动与利用，对于网络信息社会和数字经济的发展是有利的，可以增进公共福祉”。信息处理者将大量已经公开的个人信息汇聚在一起，形成新的数据集合，通过对原始数据进行聚合、清洗、加工、分析后形成衍生数据，具备高度的应用价值和经济价值。兼具非物质性与财产性的衍生数据作为创造性智力成果，普遍被认为是大数据时代产生的一项新型无形财产，作为一种竞争性财产权益已得到司法实践的认可。2021年1月1日起施行的《民法典》通过引致条款首次将数据纳入民事法律关系的调整对象和保护客体。2021年6月10日，第十三届全国人大常委会第二十九次会议审议通过的《中华人民共和国数据安全法》（以下简称《数据安全法》）进一步以法律条文的形式申明“国家保护个人、组织与数据有关的权益，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展”。那么，信息处理者合理利用已公开的个人信息所享有的数据财产权益理应受到法律的保护。

　　已公开的个人信息兼具私人属性与公共属性，附着在其上的利益同时具有“信息自决”和“信息利用”两个面向，却归属于不同的权利主体，导致信息主体与信息处理者之间难免发生安全保护与价值利用的利益冲突：信息主体希望尽可能地控制个人信息的流向和用途，保护自身人格利益不受侵犯；而信息处理者则希望已公开的个人信息能够最大限度地自由流动和有效利用，并从中获取经济利益。信息主体与信息处理者之间的利益冲突给侵犯公民个人信息罪的司法适用带来挑战，能否调和平衡两者的利益冲突成为检验侵犯公民个人信息罪司法边界合理性的“试金石”。

　　三、利益平衡视角下侵犯公民个人信息罪的司法认定标准

　　在保护个人信息权益与促进个人信息合理利用之双重立法目的的驱动下，《民法典》《个人信息保护法》所设计的已公开的个人信息的处理规则是以“合理处理”作为免除获得“二次授权”同意的限制性条件，形成本土化的利益平衡机制，修正了此前《侵犯公民个人信息罪司法解释》“重信息自决、轻信息利用”的价值失衡倾向。遵循法秩序统一性原理，已公开的个人信息适用侵犯公民个人信息罪的司法边界取决于《民法典》《个人信息保护法》等前置法为平衡信息主体与信息处理者之间的利益冲突所设计的“合理处理规则”。具体而言，个人信息被合法公开后，当处理活动在合理处理范围内时无须取得信息主体的同意，当处理活动超出合理范围时仍应取得信息主体的同意。在秉持利益平衡理念的基础上，判断是否构成“合理处理”须进一步结合《民法典》第1036条和《个人信息保护法》第27条中处理已公开的个人信息的相关规定，围绕处理目的、处理方式、处理结果三个层面予以细化，针对具体处理行为形成相对明确精细且具有可操作性的“合理处理标准”。这对于合理划定侵犯公民个人信息罪的司法边界、甄别值得刑法处罚的侵犯个人信息自决权行为具有积极的实质法治机能。

　　（一）处理目的：符合个人信息公开的目的

　　个人信息被公开往往基于特定目的，例如，自然人为征婚交友主动在网络平台公开姓名、肖像、出生日期、联系方式、教育经历、工作职业、经济收入等个人信息；人民法院为促使被执行人自觉履行生效法律文书确定的义务，向社会公布失信被执行人名单信息；卫生行政部门为防控疫情传播向社会发布传染病感染者行踪轨迹信息。基于《个人信息保护法》要求处理个人信息应当遵循合法、正当、必要和诚信原则并具有明确、合理的目的，界定处理已公开的个人信息是否在合理范围内，首先需要从主观层面评估“数据主体在收集个人数据的语境中，是否可以合理地预期会基于此种目的而进行数据处理”，即处理目的与信息主体公开个人信息的目的基本一致。当处理活动在具体场景下符合信息主体的合理预期时，所创设的法益侵害风险在信息主体的可接受或容许范围内，也就符合个人信息公开的目的（处分意思），“即使没有明示的同意，也得以推定信息主体默示同意对其个人信息的提供或者利用，因欠缺法益侵害性而不构成犯罪”。反之，如果处理活动偏离或违背个人信息公开的目的，可能对信息主体人格的自由发展产生不利影响，应当重新取得信息主体的同意。

　　主观目的是刑事司法中认定侵犯公民个人信息罪的必要构成要件之一。就擅自向他人出售或提供已公开的个人信息而言，是否符合个人信息公开的目的直接影响实质违法性有无的判断。对于“符合个人信息公开的目的”的理解应以符合信息主体合理预期的正当目的为限，不能为了非法目的而处理已公开的个人信息。在正常的经济活动或社会交往中，为实现正当目的，擅自向他人出售或提供已公开的个人信息不会侵害信息主体的人格尊严与自由发展，并不具有实质违法性，但司法实务中将此类情形入罪规制的案例不在少数。例如，某公司为寻找潜在客户、开展市场营销，要求业务员从商贸网站上广泛收集企业公开发布的管理人员姓名、职务、手机号码等个人信息，并授意业务员与他人交换上述信息以获取更多客户信息，被认定构成侵犯公民个人信息罪。上述案件中，企业在商贸网站上公开相关个人信息是为了进行促进业务往来、商品交易，而行为人是基于寻找潜在客户、开展市场营销等正当目的而交换合法收集的已公开的个人信息，两者的目的大致相同，可以说处理活动符合个人信息公开的目的，那么不宜认定为犯罪。如果信息处理者基于帮助诈骗、恶意骚扰等非法目的，擅自向他人出售或提供已公开的个人信息，必将加剧对公民人身财产安全及生活安宁的威胁，显然违背了信息主体的合理预期，与其公开个人信息的目的相抵触，因而具有刑法意义上的实质违法性，有必要发动刑罚权予以规制。

　　（二）处理方式：没有改变个人信息被公开时的用途

　　根据“情境脉络完整性”理论，个人信息被公开时的具体场境（初始用途）应得到尊重，其后的流转及利用不得超出原初的情境脉络。换言之，行为人的后续处理活动（出售、交换、提供、使用等行为）须与个人信息被公开时的用途没有根本性抵触，不得用于实施违法犯罪活动或侵害信息主体的基本权利。例如，《全国法院被执行人信息查询使用声明》第3条规定：“查询人必须依法合理使用查询信息，不得用于非法目的和不正当用途。”因此，符合个人信息被公开时用途是合理处理的应有之义，与《个人信息保护法》所确立的谨慎处理已公开的个人信息的立法精神相契合，处理方式既要足以实现预定的个人信息处理目的，又要对信息主体的不利影响最小，旨在合理限定已公开的个人信息的用途范围。有学者指出，基于特定用途对个人信息的处分是法益的一部分，如果信息处理者擅自处理已公开的个人信息没有改变其用途，则没有侵害信息主体的法益处分自由，属于合理处理也就不必获得“二次授权”同意，应当予以出罪；反之，如果处理行为明显改变个人信息被公开时的用途，在没有获得“二次授权”同意的情况下，则考虑入罪规制的必要性。

　　在司法实践中，对“没有改变个人信息被公开时的用途”应采取相对宽泛的理解，原则上只要处理活动没有违反法律、法规的禁止性规定即可认定为用途合法，至少不能认定为构成犯罪。特别是从促进已公开的个人信息有序流动与合理利用的立场出发，“只要不是谋取非法利益，就没有违反个人信息公开时的用途”，应当避免要求二次用途与初始用途必须保持绝对一致的极端认识，防止将擅自向他人出售或提供已公开的个人信息进行正当营利活动的行为机械地入罪。例如，被告人罗某将从公开渠道获取的企业登记信息（包含企业管理人员和财务人员的姓名、联系方式等个人信息）提供给他人用于推销POS刷卡机业务，被认定构成侵犯公民个人信息罪。这一定罪结论值得商榷，企业开展市场交易活动需要金融支付、结算工具的支持，利用已公开的个人信息在向其推销POS刷卡机业务与企业的经营发展需求相吻合且从事的是合法的商业活动，对该个人信息的处理具有相对合理性，并没有改变个人信息被公开时的用途，宜认为该处理行为仍在初始公开场景的范畴之内，刑法也就不必介入。

　　（三）处理结果：未侵害信息主体的重大利益

　　个人信息被以合法的方式公之于众后，不特定的多数人都可以通过公开渠道获悉，“合理处理这些已公开的个人信息，即使对某自然人造成了影响，行为人原则上也不承担法律责任。”换言之，为了实现特定目的，信息主体必须承担一定的风险，让渡一定的个人信息自决权。但须注意的是，这种个人信息自决权的让渡或责任豁免是有限度的，并不意味着他人可以任意处理已公开的个人信息、侵害信息主体的重大利益。信息处理者应当在实现其合理的处理目的的最小范围内采取对个人权益影响最小的处理方式。《民法典》第1036条第2项在以“合理处理”作为免责事由的同时也规定了例外情形，若处理已公开的个人信息侵害信息主体重大利益的，行为人仍不能免除责任。从处理结果层面评价何为“重大利益”一般应以个人信息自决权所表征之自然人的人格尊严与自由发展为基础，所谓“侵害信息主体重大利益”的情形，是指处理已公开的个人信息可能损害或严重威胁自然人的生活安宁、人格尊严、人身权益、财产安全等公民个体社会交往利益。例如，信息处理者滥用已公开的个人信息对用户进行“数据画像”，进而通过差别定价实施“大数据杀熟”，导致该自然人在接受商品或服务的过程中遭受歧视，侵害消费者的人格尊严和公平交易权；又如，信息处理者收集已公开的个人信息后出售或提供给他人，用于拨打骚扰电话、发送垃圾短信、实施电信诈骗等违法犯罪活动，危及信息主体的生活安宁或人身财产安全。

　　合理处理本质上是一种谨慎的注意义务，即要求信息处理者不得以违背个人信息公开的目的、改变个人信息被公开时的用途或侵害信息主体的重大利益的方式处理已公开的个人信息。根据由目的正当、用途合法、损害最小三个要素组成的“合理处理标准”来分析前述擅自向他人出售或提供已公开的个人信息典型案例。在案例一中，被告人李某将从国家企业信用信息公示系统中获取的已公开的个人信息出售给他人用于拓展经营业务、推销产品或服务等正常经济活动，这并不违背企业通过在征信系统公示相关信息实现促进自身经营发展之目的，从事正当营利活动所追求的是合法利益，没有改变个人信息被公开时的用途，也未侵害信息主体的生活安宁、人格尊严、人身安全、财产安全等重大利益。因此，其属于在合理范围内处理已公开的个人信息，不应成立侵犯公民个人信息罪。而在案例二中，房利帮网站获取房源信息并非为了促进房产交易，而是将房源信息作为商品用于出售牟利，与房东发布房源信息的目的相悖，超出了房东的合理预期，从事非法经营明显改变了房源信息的用途，使个人信息陷于失控风险，极易被不法分子所滥用，侵害房东的生活安宁及人身财产权益，显然无法认定构成“合理处理”，具有刑事入罪规制的必要性。

　　四、结语

　　随着人们的社会行为和日常交往不断数字化，个人不可避免在各式各样的网络信息系统中留下“数据脚印”，我们已不再是单一的“生物人类”，而是被赋予了“数字人类”的新属性，在“万物数字化”的智慧社会出现“生物人”与“信息人”并存的局面。“人权观念已经不能再仅仅建立在传统自然人的基础上，它在很大程度上也要建立在数字化的‘信息人’基础上”，以“数字人权”为代表的第四代人权应运而生，“‘数据权利’更是其中最耀眼的一项引领性新兴人权”。从数据权利的配置来看，已公开的个人信息兼具私人属性与公共属性，信息主体与信息处理者基于自身利益考量提出不同类型的权利诉求，在深层次意义上是个人信息自决权与个人信息利用权的博弈与制衡。以个人信息自决权为保护法益的侵犯公民个人信息罪应当摒弃对已公开的个人信息呈现过度保护倾向的“二次授权规则”，引入《民法典》《个人信息保护法》等前置法为平衡信息主体与信息处理者利益冲突所设计的“合理处理规则”重构规制逻辑，基于本土化的利益平衡机制审慎确定擅自向他人出售或提供已公开的个人信息行为罪与非罪的界限，兼顾保护个人信息权益与促进个人信息合理利用之双重目的。

　　【刘双阳，东南大学法学院博士研究生。本文系国家社会科学基金重大项目“数字经济的刑事安全风险防范体系建构研究”（21&ZD209）、国家社会科学基金一般项目“网络智能时代个人信息泛在泄露与刑法有效保护研究”（19BFX076）阶段性成果。】

　　（责任编辑 杜磊）