刑法个人信息意为视角张勇APP(个人信息公民刑法信息主体)「刑法个人信息」

张勇华东政法大学
内容摘要我国APP经营者违法违规收集、使用公民个人信息问题突出，APP用户个人信息权益的法律保障不足，依赖个人信息安全和APP行业标准作为认定犯罪的前置性规范
个人信息蕴含着公民个体的具体人格权，同时具有社会公共法益属性，个人信息自决权是公民个人信息的基础权利，知情同意则是个人信息自决权的核心
刑法应处理好个人权利自由保护与价值利用的关系，在信息自由与信息安全之间予以利益平衡
基于个人信息知情同意保护原则，刑法应当参照《网络安全法》及有关收集使用个人信息的行业规范，明确APP运营者对用户知情同意保护义务，通过对侵犯公民个人信息罪中“违反国家有关规定”构成要件进行限制解释，认定APP运营者非法获取、使用用户个人信息或提供给他人的刑事责任；同时，将APP用户知情同意看作刑法上被害人同意的出罪事由，但其出罪功能应受到适度限制
一、问题的提出我国网民数量规模巨大，智能手机和APP（Application的简称，即移动智能终端应用软件）已成为公众日常生活必备，在带来便利快捷的同时，也改变着社会行为规范和法律规则
随之而来的是，一些网络平台经营者利用APP的虚拟性、间接性和隐蔽性的特点，采取强制授权、超限索权、过度使用等违法违规方式收集、使用APP用户个人信息，导致用户个人信息处于“裸奔”状态，隐私权、名誉权等人格权益受到严重侵犯；这些被泄露和滥用的APP用户个人信息往往被用于实施网络诈骗等其他违法犯罪活动，从而产生更为严重的社会危害，呈现聚合放大的负面效应
从2019年初开始，国家互联网信息办公室等部门联合开展行动，对“超范围收集与业务功能无关信息”“强制或频繁索要与业务功能无关权限”“不合理要求或不合理免责条款”等违法违规收集、使用APP个人信息行为进行专项治理
2020年1月，中国信息通信研究院等机构发布的《移动互联网应用个人信息安全报告》统计显示，强制性、高频次、过度性收集使用APP用户个人信息成为“业界常态”，用户向12321网络不良与垃圾信息举报受理中心投诉的问题主要包括：APP用户信息的收集使用规则不透明、隐私政策条款不合理、无个性化服务选项、账号难注销、障碍设置多、数据共享不规范等诸多方面；在司法领域，近年来诸如瑞智华胜、蚂蚁金服、“猎头搜”“今日头条”、魔蝎科技、新颜科技、公信宝、天翼征信等企业机构因违法违规收集、使用个人信息而引发的不正当竞争、隐私权、名誉权等民事纠纷案件屡屡发生
另外，北大法宝司法案例编辑组的数据分析显示，个人信息泄露和滥用成为诈骗、敲诈勒索等违法犯罪的重要源头
据媒体报道，2019年11月，天津市公安机关破获全国首例利用APP骗取公民个人信息的团伙犯罪案件
该团伙从2019年4月开始从事手机贷款APP业务经营活动，未经注册用户同意，非法采集用户通讯录、通话记录和短信息等隐私信息近240余万条；据公安调查发现，负责运营该手机APP的网站备案公司、软件著作公司、服务器租赁公司均系该团伙所为，且分工明确，也很容易衍生“套路贷”等其他恶性犯罪
在互联网背景下，个人信息不法交易逐渐发展成为“产业链条一条龙”态势，上游环节负责“源头供货”，非法获取或向他人提供个人信息；中游环节则对非法收集的信息进行处理和加工，用以出售或交换；下游环节则将个人信息用于电信诈骗等二次违法犯罪，其负面效应成倍扩大
鉴于以上APP被泄露、滥用的现状问题，运用刑事手段惩治和预防显得十分必要
从相关法律规定来看，从2012年开始，我国先后制定发布了《关于加强网络信息保护的决定》《消费者权益保护法》《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《个人信息刑案解释》）等法律、法规和司法解释，逐步确立了公民个人信息保护的基本原则
新颁布的《民法典》人格权编第1035条也做出更具体的规定：处理个人信息应当遵循合法、正当、必要的原则，不得过度处理，应征得该自然人或者监护人同意
另外，全国人大将《个人信息保护法》和《数据安全法》列入2020年立法规划，体现出我国立法对个人信息法律保护的重视
此外，国家互联网信息办公室、全国信息安全标准化技术委员会等部门和机构也先后发布了《信息安全技术个人信息安全规范》（以下简称《安全规范》）及其修订草案、《APP违法违规收集使用个人信息行为认定方法》（以下简称《APP认定办法》）等国家行业标准，对于收集、使用APP个人信息规定了详细的合规标准
2020年初以来，国家质量监督检疫检验总局、全国信息安全标准化技术委员会、中央人民银行等部门机构发布《信息安全技术个人信息告知同意指南（征求意见稿）》（以下简称《告知同意指南》）、《信息安全技术移动互联网应用（APP）收集个人信息基本规范（征求意见稿）》（以下简称《APP基本规范》）、《网络安全标准实践指南——移动互联网应用程序（APP）收集使用个人信息自评估指南（征求意见稿）》《个人金融信息保护技术规范》等国家行业标准，显示出我国政府与行业机构协力整治侵犯APP个人信息权益的违法违规乱象、保护个人权利、公共利益乃至国家安全的政策趋向
总的来看，我国有关个人信息安全的法律法规和行业规范多头迭出，能够起到提纲挈领和体系协调作用的“个人信息保护法”尚未出台，相对于网络信息安全保障，在公民个人信息权益保护方面的立法显得相对不足
在APP行业领域，对于APP经营者有关个人信息保护的法律义务缺乏明确规定，《刑法》与其他部门法及行业规范之间存在诸多不衔接、不协调问题
例如，作为国家行业标准的《安全规范》对《网络安全法》有关个人信息保护的规定作出进一步细化，能够为法律、行政法规的操作和应用提供具体规范和参考依据
但《安全规范》不是强制性法律标准，而是推荐性行业标准，对个人信息保护的要求也更为严格，用户“同意”处于行业规范体系中的核心位置
上述行业规范能否作为认定侵犯公民个人信息罪的前置性规范、APP用户知情同意可否作为出罪事由等，也是值得探讨的问题
二、个人信息知情同意的保护法益随着我国APP技术的推广应用，法律如何有效保护APP用户个人信息权益，同时实现APP经营者对个人信息的合理使用，成为我国立法和司法上的“两难”命题
这首先需要在界定个人信息权益属性的基础上，确定APP个人信息保护的法益内容，从中寻求解决问题的立足点和突破口
（一）刑法中个人信息蕴含的法益性质和内容根据我国《网络安全法》第76条第5项规定，个人信息的本质属性在于其可识别性，即能够识别特定个人身份或者反映特定个人活动情况的各种信息，是“信息主体人格的外在标志”
对于APP经营者所收集、使用的个人信息来说，除了相关法律法规明确列举规定的出生日期、身份证号码、个人生物识别信息、通信方式、住址、行踪轨迹等个人信息类型之外，通过网络平台、电子数据记录的信息，例如网络身份标识、个人常用设备、用户画像、个人标签等，也能识别个人身份或反映个人活动情况，同样可能会被认定为“个人信息”，必要时也应纳入法律保护范围
《个人信息刑案解释》将刑法中的“公民个人信息”区分为个人敏感信息与一般个人信息，两者的不同之处在于，前者人格权属性较强，一般是不可交易和被他人收集利用的；后者人格权属性较弱，具有一定的财产性，是可以交易并由他人收集利用的，但须经过权利主体知情同意
个人信息作为一种权利客体或行为对象，所涉权益内容广泛，从隐私权、名誉权逐渐发展成为一个权利系统，包括知情权、同意权、访问权、可携带权、收益权、更正权、处理权、删除权等一系列子权利
同时，在公民个人信息的收集和使用的过程中，初始权利主体逐渐不再拥有对个人信息完全的控制，信息权利主体也呈现多元化，从初始权利主体扩展至收集者、使用者及管理者
从我国民法上看，所谓“隐私权”过去并没有被作为独立的人格权看待，其实并不是一种法定权利，只是被纳入名誉权的范围，间接地受到有限法律保护
《民法典》人格编第1034条规定，个人信息中的私密信息，适用有关隐私权的规定，从而将隐私权作为独立的人格权加以保护
关于隐私权与个人信息权的关系，在法学界和司法实践中一直存在认识分歧，有的观点认为，个人隐私与个人信息呈交叉关系，其中的交叉重叠部分就是个人敏感信息或者私密信息；有的观点则认为，隐私权是一种民事权利，个人信息则是一种民事权益，隐私权作为高位阶的权利，具有适用的优先性
本文同意后一种观点
如前所述，个人信息权并不限于隐私权，尽管后者是其最重要、最核心的内容
比较来说，个人信息权的法律保护属于弱保护，而隐私权的法律保护则属于强保护，后者是公民人格权中涉及人格尊严的核心部分；一般个人信息大多不需要权利主体明示同意也可收集，但对于私密敏感信息不能仅仅通过知情同意权加以保护，而是应优先适用隐私权保护
然而，当个人私密、敏感信息经过去识别化“脱敏”技术处理之后，成为单纯的个人数据，人格权属性减弱，财产属性和交易价值相应地增强，其社会公共属性得以体现和凸显
在互联网和大数据背景下，个人信息所蕴含的保护法益内容逐渐呈现出复合性、多元化特征，从个体的人格权扩展至公共利益、社会秩序和国家安全，法律将面临如何在权利保护和价值利用、信息自由与信息安全方面进行利益平衡和价值选择的问题
对此，有学者主张法律应着力保护“数据安全法益”，即数据的保密性、完整性和可用性的保护，维护数据在社会往来中的安全性和可信赖性；在从法律上明确规定对个人信息的基本人格权益加以保护的同时，积极鼓励对个人信息的经济价值进行有效利用，并实现两者之间的平衡
上述对个人信息所蕴含的法益属性的认识，对于刑法中相关罪名的认定及区分彼罪来说是很关键的
在我国《刑法》中，侵犯公民个人信息罪被设置于分则第四章侵犯公民人身权利、民主权利罪，说明了刑法对该罪名的主要客体定位于公民个人的人身自由权益
有学者就此认为，侵犯公民个人信息罪所保护的法益就应当是公民个体权利，而绝非公共秩序或者社会利益
这种观点值得商榷，因为其将刑法中的同类客体和直接客体简单地予以等同，将前者直接替代后者予以认定，是不合理的
虽然侵犯公民个人信息罪归属于侵犯公民人身权利罪，只能说明其主要客体的性质是个人法益，而个罪所侵犯的直接客体应当具有其多样化的个性特征，因而并不排除其次要客体具有社会公共法益属性
刑法对公民个人信息的保护不限于单一、平面的个人法益，而是包含了“超个人法益”，即个人信息所蕴含的公共利益、社会秩序乃至公共安全
比如《网络安全法》中有关个人信息保护的内容，就是着重从保障信息网络安全的角度作出的规定，该法对网络运营者提出的义务要求，就不仅仅是出于对个人信息权利保护的角度考虑的，而《网络安全法》作为《刑法》中侵犯公民个人信息罪等相关罪名的前置性法律规范，其法益保护价值取向也必然反映在这些罪名的构成要件要素当中
须指出，《个人信息刑案解释》设定了侵犯公民个人信息罪“情节严重”“情节特别严重”的定罪标准，采取了“混合型”认定模式，列举了包括个人信息的类型、数量、用途，犯罪行为违法所得等诸多方面，其中不乏人身危险性、社会影响恶劣等要素
然而，比较而言，公民个人法益的保护内容具体、明确，而社会公共法益内容概括、模糊，在区分罪与非罪的界限上，个人法益仍是主要考虑因素，正如有学者指出，“在各种考量中，人权和公民权利具有优先性”，对于公民个人信息的“超个人法益”，需要基于风险预防的刑法理念和刑法体系的角度，根据所涉个人信息安全的等级层次及其所可能遭受侵害的危险程度，从行为犯、危险犯、结果犯的不同层面，实行多层次、等级化的刑法应对
以此避免因追求社会公共安全而不当损害个体权利自由，这也是刑法谦抑性精神的体现
（二）个人信息自决权与知情同意原则所谓“知情同意”，即公民个人信息的收集或利用者应明确告知信息权利主体相关情况并征得其同意，也有学者称其为“告知同意”
从国外相关立法来看，2015年德国的《联邦数据保护法》（BDSG）专门规定了数据主体的获取答复、被通知、更正、删除、封锁及反对的权利
2018年欧盟的《通用数据保护条例》（GDPR）较为全面地规定了欧盟公民享有对个人数据处理的各项权利，其中最重要的是个人知情同意的基础权利
2018年美国加州消费者隐私立法创设的各项权利，与欧盟GDPR中数据权利的内容并无二致
在国际法领域，个人信息知情同意原则也在相关国际规范性文件中得到确认
如世界经济合作与发展组织（OECD）颁布的《关于隐私保护和个人数据跨境流通的指南》指出，在多数情况下个人信息数据的收集行为不仅要获得信息数据主体的同意，还要限于为实现征求同意通知书中所表明的目的之必要的最小信息数据量，且该信息数据在没有获得新的同意时不得用于其他不相关的目的
关于个人信息自决权的性质以及法律地位，有学者认为，侵犯公民个人信息罪的法益性质是个人信息自决权，而不是其他个人法益
有学者则认为，“个人信息自决权”在内并非是一种法律所规定并加以保护的权利，法律所保护的只是防止个人信息被滥用的“前置性保护规范”
后一种观点是值得讨论的
《网络安全法》第41条规定，网络运营者须经过个人信息主体同意之后，才能进行收集和使用
此条规定直接体现个人信息主体个人意志的“法益自决权”，即公民能够自主决定同意他人对其本人信息进行收集、储存、处理以及利用的权利，个人信息自决权的核心内容就是信息主体的知情同意权
也有学者认为，知情同意权不是独立的民事权利，它本身并没有分离或单独转让的价值，只是个人信息权的具体权能；尽管知情同意原则的实现因技术上或人为的因素而遭遇到实际障碍，但仍是目前不可替代的最优选择，“法律不能以个人信息用户行使权利困难为由，虚置或抛弃个人信息知情同意的基本原则”
我国立法首先应将个人信息权确立为具体人格权，并进一步明确为个人信息主体的知情、同意、查询、更正、补充、删除、封锁等权利内容
另外，关于知情同意的具体方式，《安全规范》修订草案第4条明确了“选择同意”原则，即区分基本功能和扩展功能，摒弃《安全规范》原规定的“概括同意”的方式，并通过交互界面或设计的方式，强化了“明示同意”的合规性要求
须指出，法律并不是仅仅保护公民个人信息的知情同意权，而是要对个人信息的合理使用、分享和处理加以保护，这是信息网络时代下的一种必然的选择
如欧盟的《通用数据保护条例》规定了六种个人信息使用的合法性基础，用户知情同意只是其中一种情形，此外还包括符合用户、企业及公共利益的需要等情形
除了《民法典》第1035条的规定之外，《网络安全法》第41条规定，收集使用个人信息，除了法律规定的例外情形，必须是合法、正当、必要的，且须经权利主体同意
例如，甲某收到某职场类APP向其推送的商业广告信息，但甲某并未注册该APP，遂诉至法院，要求该款APP的运营方乙公司停止侵权并给予赔偿
法院在审理中发现，原告甲曾在被告乙公司旗下注册过另一款扫描类APP，而被告将原告的手机号码信息“共享”给了同一公司的职场类APP
法院认为，被告未经原告同意将APP用户信息进行内部“共享”，违反《消费者权益保护法》第29条的规定，但在原告明确表示不同意后，被告并未再次发送商业信息且未造成任何损失，故判决驳回原告的诉讼请求
原告某甲不服，提出上诉，二审法院认为，被告获取原告个人信息是由原告主动提供的，被告获取原告个人信息的方式并没有违法性，不应认定为侵权，因而维持一审判决
本案中，一、二审法院的判决及理由其实并不妥当，也不利于公民个人信息权益的有效保障
《消费者权益保护法》等相关法律法规均明确规定，收集、使用公民个人信息者，未经本人同意不得提供给他人，其中也当然包括本案中APP运营公司内部之间的所谓“共享”行为，这种“共享”其实是过度滥用或不当泄露，既不正当又不合法
即便是同一公司下属的不同APP之间实现用户信息共享，也是属于间接收集、使用个人信息的行为，应当采取明示的方式，事先取得用户的同意
本案中被告的行为违反了个人信息知情同意原则，应具有侵权行为性质，情节严重的，也可能构成犯罪
（三）APP个人信息知情同意保护的刑法理念个人信息的权利保护和价值利用就像一枚硬币的两面，个人信息自由与信息安全的价值取向既是对立的，又统一于保护和利用的利益衡量当中
从广泛的意义上说，信息自由不仅包括公民个体的权利自由，而且包括其他自然人、企业机构的信息使用权利和国家政府的管理职权；而信息安全实际上也包括国家、社会和个人不同层面的法益内涵，“个人信息安全权”也是公民个人信息权利的重要内容
在个人信息安全领域，自由与安全的二元价值在一定程度上形成较为紧张的关系，如何把握合理的风险调控力度与限度，既能保护公民个人信息的基本权利、核心利益（如隐私权），又能有效促进个人信息的价值利用，推动数据经济发展，是我们在面对APP个人信息保护所要考虑的深层次问题
对此，有学者提出“两头强化”的理念，在强化个人敏感信息基本人格权保护的同时，又强化个人一般信息经济价值的利用，强调“保护”与“利用”并重，实现个人、社会和国家多方利益平衡
由此联想到，自今年初新型冠状病毒感染肺炎疫情暴发以来，疫情信息时刻牵动着每个人的敏感神经，在朋友圈、微信群等自媒体和网络空间，充斥着大量有关疫情的信息数据的文字、图片和视频，不少网民“人肉搜索”和曝光确诊患者、疑似患者或密切接触者本人甚至其家庭成员的个人隐私信息，对涉疫情“重点人员”进行区别对待、歧视甚至谴责
不少地方以防疫之名采取悬赏举报等不当甚至极端的方式，违法违规收集使用个人信息问题突出，个人信息保护方面公共安全和个人利益的矛盾冲突问题被无限放大
例如，某地公安机关推出“疫情防控调查登记APP”但没有得到统一使用；有的社区采用保险公司等机构提供的APP采集信息，有的则是用自己的PAD上门登记，这些由基层社区和单位收集和保存的个人信息数据基本处于无监管状态
不少互联网公司凭借大数据技术能力，为政府部门防控疫情提供了海量的信息数据，其中当然也涉及到公民个人隐私信息保护问题
不可否认，当前防控疫情是政府部门面临的首要任务，根据防疫需要可将公民个人信息作为疫情信息予以收集和使用，甚至作为公共疫情信息向社会公开，公民在必要时须让渡个人信息权利、承担公共安全保障义务和责任
政府部门和相关企业机构收集使用个人疫情信息，要依法保障公民个人的隐私权等基本人格权益，不能顾此失彼
近年来，我国有关公民个人信息犯罪的刑事立法处于不断扩张态势，法益保护的链条不断拉长，刑法修正立法较为频繁，司法解释趋于细密化，同时也离不开《网络安全法》等非刑事法律法规作为认定犯罪的前置性规范，但《网络安全法》主要是针对网络经营者提出保障网络安全的义务要求，网络安全风险管控的价值取向明显
受此管控型立法模式的影响，在个人信息权利保护方面自然存在不足；不同刑法规范、不同罪名之间也存在交叉竞合和冲突等问题，尚未形成对公民个人信息权利完整的体系化保护
立足于现实刑事立法，如何确立个人信息刑法保护的体系化和整体性理念，处理好刑法与民法、行政法等部门法及其他制度规范之间的关系，克服立法“碎片化”的制度缺陷，实现个人权利自由和社会公共安全的双层保护，促进个人信息保护和利用的利益平衡，显得非常必要和有意义
总之，个人信息的法律保护应以信息自决权为核心，兼顾保护信息主体权利和促进信息流通利用的平衡
在APP个人信息的收集、使用过程中，APP经营者需要尊重用户的知情同意权；同时，知情同意原则要受合法性、正当性、必要性原则的约束，如果APP经营者对用户个人信息的收集、使用是经过其同意，并以正当、必要的方式进行的，同样应受到包括刑法在内的法律保护
三、APP运营者的保护义务及侵权行为定性在我国《刑法》与个人信息保护相关的罪名当中，侵犯公民个人信息罪处于核心位置
根据《刑法》第253条之一的规定，该罪名属于较为典型的“法定犯”
在APP用户个人信息的刑法保护方面，应将刑法置于与民法、行政法紧密关联的法律体系框架下，合理界定APP运营者个人信息保护义务，尽量将违法违规行为堵截在民事归责或行政处罚阶段进行处置，恰当地发挥刑法的惩治功效，同时也能保障其他部门法得到更好地运用
（一）APP运营者保护用户个人信息的义务规范作为个人信息安全保护方面的国家标准，《安全规范》第5条至第8条及附录C根据《网络安全法》中确立的“正当、合法、必要”原则和“公开、明示、最少”原则，对收集、使用个人信息行为提出了具体要求，对个人信息生命周期过程如何处理也做了全面完整的规定，发挥着重要的行业规范的指引功能
《安全规范》也为APP运营者依法合规地收集使用个人信息提供了行为标准
2019年《安全规范》修订草案增加了不得强迫收集个人信息的要求；修改了征得授权同意的“例外”情形，修改了保障个人信息主体选择同意权的方法；在区分基本业务和扩展业务两种功能的基础上规定了“告知和明示同意”的相关要求
《APP信息规范》则专门针对APP经营者收集个人信息行为做出了更加细化的管理要求和技术要求
根据《安全规范》《APP信息规范》的规定，APP运营者在收集、使用公民个人信息过程中的行为规范和保护义务主要包括以下情形：APP运营者收集个人信息的义务要求
主要包括：（1）APP运营者收集个人信息行为应遵循合法性原则，不得采取欺诈、诱骗、误导的方式进行收集，也不得隐瞒相关产品或服务本身所具有的收集个人信息的技术功能；行为人不得从不正当渠道间接获取公民个人信息，也不得收集法律法规明令禁止收集的个人信息，也不得违背信息主体的自主意愿，提出强制性收集个人信息的请求
（2）APP运营者在收集公民个人信息之前，应明确告知信息主体所提供APP产品或服务的业务功能及相关规则，并征得其授权同意；间接获取个人信息，应要求提供方说明个人信息的合法来源及授权范围；收集个人信息超出该授权同意范围或收集个人敏感信息，都应取得信息主体的明示同意，即使信息主体不同意，也不能以此为由停止提供APP核心业务功能等
（3）在保障信息主体选择同意权方面，APP运营者应将基本业务功能和扩展业务功能区分开来
在基本业务功能开启前，应通过弹窗、文字说明、填写框等交互界面或设计，向信息主体告知，并通过信息主体对信息收集做出肯定性动作征得其明示同意；在扩展业务功能首次使用前，应通过交互界面或设计向个人信息主体告知，并允许个人信息主体对扩展业务功能逐项选择同意，也不能因为其不同意而拒绝提供基本业务功能或降低服务质量
（4）APP运营者应制定隐私政策，隐私政策所告知的信息应真实、准确、完整，内容清晰易懂，公开发布且易于访问，在本条所载事项发生变化时，应及时更新隐私政策并重新告知个人信息主体等
APP运营者使用个人信息的规范和义务
主要包括：（1）APP运营者在使用用户个人信息时，除目的所必需外，应适当进行去识别化处理，避免指向或定位到特定个人，对APP用户个人信息的处理权限应在原来收集个人信息时信息主体的授权同意的范围之内；确实需要超出授权范围的，应再次征得用户个人的明示同意才能进行
（2）APP运营者应向用户提供访问和了解其所持有的关于该用户个人信息来源、用途目的等相关信息的途径和方法；如果APP用户发现运营者所持有的个人信息有误，后者应为其提供请求更正或补充信息的方法
（3）APP运营者如果违法违规或双方约定使用用户个人信息，后者要求删除的，应立即停止共享、转让、披露等违法违规行为，并通知第三方及时删除相应的个人信息，并向用户撤回同意授权提供途径和方法等
（4）除了收购、兼并、重组原因之外，APP运营者共享、转让个人信息的，应向用户告知其使用目的以及接收方的情况，征得其授权同意；如果涉及用户个人敏感信息，必须向其明确告知并征得其明示同意；当APP运营者发生收购、兼并、重组等变更的情况，应向用户告知有关情况，如果变更个人信息使用目的，应重新取得用户的明示同意
（5）个人信息原则上不得公开披露
APP运营者经法律授权或具备合理事由确需公开披露时，应充分重视风险，向用户告知公开披露个人信息的目的、类型，并事先征得其明示同意；公开披露用户个人敏感信息，还应向用户告知涉及的个人敏感信息的内容
（6）当APP运营者与第三方为共同个人信息控制者时，应通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及自身和第三方应分别承担的责任和义务，并向用户明确告知
另外，《APP认定方法》列举了违法违规收集、使用APP个人信息的具体行为类型，其中大多涉及侵犯APP用户个人知情同意的基本权利
主要包括：未公开收集使用规则；未明示收集使用个人信息的目的、方式和范围；未经用户同意收集使用个人信息；违反必要原则收集与其提供的服务无关的个人信息；未经同意向他人提供个人信息；未按法律规定提供删除或更正个人信息功能或未公布投诉、举报方式等信息等
须指出，与《安全规范》《APP基本规范》一样，《认定方法》不具有法律效力，不能直接作为认定APP运营者违法违规收集使用个人信息的行为是否构成犯罪的前置性规范
上述未经APP用户知情同意而收集使用个人信息的行为也不必然违反刑法意义上的保护义务，反之，APP用户知情同意也不必然能够成为排除上述行为的刑事违法性的事由
（二）侵犯APP个人信息行为的刑事违法性判断基于“法秩序统一性”原理，从刑法与民法、行政法等各部门法衔接协调的角度，对于侵犯公民个人信息犯罪的刑事违法性判断，须把握以下几点：其一，在民法或行政法中属于合法的行为，就不可能判断其具有刑事违法性，不可能得出相互矛盾的结论，民法或行政法中的合法性可作为排除刑事违法性的事由；其二，在民法或行政中规定属于违法的行为，具备刑事违法性的前提，但不必然具有刑事违法性，须符合刑法所规定的犯罪构成要件；其三，在民法或行政法中没有规定或不违法的行为，不需要民事或行政违法性判断为前提，可依据刑法规定直接认定其具有刑事违法性；其四，在民法或行政法的规定存在冲突、违法性判断不一致的情况下，可依据第一、二种判断规则，予以刑事违法性判断
对于侵犯公民个人信息罪而言，要判断某行为是否具有刑事违法性，须以行为人违反前置性法律法规为前提
目前以《网络安全法》为主要依据
目前，《网络安全法》等相关立法对信息网络服务者、经营者保护公民个人信息的法律义务规定得尚不明确，难以为认定其是否具有侵犯公民个人信息罪的刑事违法性提供必要和充分的依据
相对来说，诸如《安全规范》等国家行业标准文件对公民个人信息的保护范围更为广泛，对收集、利用个人信息行为的要求更为严格
如何在参照国家行业标准的基础上，对“违反国家有关规定”进行违法性判断，合理界定APP运营者保护个人信息的作为义务，是认定其构成侵犯公民个人信息罪及承担刑事责任的前提和关键
作为个人信息安全方面的国家行业标准，《安全规范》及附录C对于《网络安全法》中“正当、合法、必要”以及“公开、明示、最少”收集个人信息的义务要求做了具体描述，对个人信息生命周期的处理同样做了完整的规定，在一定程度上发挥了替代规制功能
2019年的《安全规范》修订草案在原有规范文本的基础上，增加规定了“不得强迫收集个人信息的要求”；修改了保障个人信息主体选择同意权的方法，修改了征得授权同意的“例外”情形，增加了基本业务功能、扩展业务功能的告知和明示同意等内容
在此基础上，《APP基本规范》针对APP运营者收集用户个人信息提出了更为细化、严格的合规要求
如前所述，《安全规范》及修订草案、《APP基本规范》为APP运营者收集、使用个人信息行为提出了较为具体的合规标准，但这些行业规范不能直接作为判断其行为是否具有刑事违法性的依据
应当在准确理解《刑法》第253条之一侵犯公民个人信息罪构成要件的基础上，把握好个人信息刑法保护的“最小安全基线”
另外，关于《刑法》第253条之一中的“国家有关规定”是否包括地方性法规、部门规章，认识并不一致
有的观点认为，在加入“有关”两字后，侵犯公民个人信息罪的前置性规范的范围应当扩大至地方性法规、国家部门规章和地方政府规章
反对者则批评指出，这意味着司法机关在解决具体个案时要花费巨大的司法成本查明纷繁复杂的各种法规、规章
而且，基于侵犯公民个人信息违法犯罪的跨地域性，不同地区、不同层级的法规和规章该如何协调也将成为难题
根据《个人信息刑案解释》第2条规定，“国家有关规定”不局限于国家法律、行政性法规，还应包括部门规章
同时，基于罪刑法定和刑法谦抑性原则，应将《刑法》第253条之一“国家有关规定”作限制解释，排除同级地方性法规和地方行政规章，只应限定在国务院所属的各部、委员会制定的部门规章范围内
有学者从限制解释的角度，主张部门规章只有在相关法律、行政法规对个人信息保护做出明确、细化规定的情况下，才能与法律、行政法规一起作为判断行为是否“违反国家有关规定”的标准，本文认为，参照上述最高人民法院对有关“以国务院办公厅名义制发的文件”做出的界定，只要部门规章同相关法律、行政法规不相抵触，就可以视为“国家有关规定”，而不必以法律、行政法规有明确规定为前提
（三）未经用户同意收集使用APP个人信息的定性在前面探讨侵犯APP个人信息行为的刑事违法性判断标准基础上，接下来针对实践中出现的未经APP用户同意收集使用个人信息、侵犯其知情同意权行为的刑法认定问题展开具体分析
根据《刑法》253条之一第3款的规定，窃取或者以其他方法非法获取公民个人信息的行为，依照侵犯公民个人信息罪定罪处罚
有学者对窃取APP个人信息的行为定性进行了分析，认为如果行为人合法进入APP系统窃取公民个人信息，应认定为侵犯公民个人信息罪；如果非法进入APP系统窃取公民个人信息，同时也侵犯计算机系统安全和信息安全，则可能构成《刑法》中的非法获取计算机信息系统数据罪和非法侵入计算机信息系统罪
以上涉及侵犯公民个人信息行为的罪数问题，应根据案件实际情况予以判定，并不是本文研究的重点
这里，有必要就253条之一第3款中的“非法获取”行为做进一步的理解和把握
根据该条款规定，“非法获取”公民个人信息，不需要具备“违反国家有关规定”的前置性条件，只要违反了有关个人信息知情同意保护的原则性规定，即视为其对信息主体的具体人格权造成了侵犯，从而具有刑法所要求的“非法性”，而不需要对其违法性再进行具体判断
假如行为人未经个人信息主体同意，获取隐私、敏感信息以外的一般信息，则需要再对其“违法性”作出具体判断，即认定其侵犯的具体人格权实质内容
有学者主张，“非法获取”行为的违法性判断应当与《个人信息刑案解释》第4条保持一致，以是否违反国家有关规定作为判断标准
然而，体系解释并不意味着对不同条款中的相同概念进行同一解释，而是应当联系此法条与其他法条的相互关系进行实质合理性解读
根据《网络安全法》第41条规定，“非法获取公民个人信息”包括违反“法律、行政法规的规定”和违反“双方的约定”两种情况，前者具有行政违法性，后者则具有民事违法性，将其纳入法律规制范围，更能够保护信息权利人的同意权或自决权
如果APP经营者收集用户个人信息的行为违反法律法规或双方约定的，都可认定为“非法获取”
这种理解能够实现《刑法》与《网络安全法》的衔接，也更符合刑法体系解释的原理
另外，实践中往往存在这样的情况，行为人收集个人信息的时候并无意用作其他用途，但最终产生了很多具有创新性的用途，原始的个人信息提供者无法对这种尚未可知的用途使用表示是否同意
在此情况下，要求任何包含个人信息的使用都需要征得个人同意，实际上是难以操作的
一般来说，对于个人信息初始主体的知情同意权，法律应予以严格保护，APP经营者一开始收集、利用个人信息的，必须经用户知情同意；但在个人信息利用、流通过程中，个人信息知情同意权的法律保护可逐渐放宽，收集者、利用者的信息权利相应地加以保护，在个人信息主体的隐私权等人格基本权利之外，知情同意可不必采取明示方式，以有利于海量个人信息流通和有效利用
以下试举例进行分析
某甲成立一家信息咨询服务公司，经营网站、APP研发等业务，以奖励方式向在网站、APP注册会员的房产中介人员收购房源信息，并安排公司话务人员冒充房产中介人员，对上述信息进行电话核实，套取房主准确房源地址、联系电话，获取个人房源信息30万余条，再以包月等套餐价格在所经营的网站上打包出售给房产中介会员，共出售获利人民币100余万元
本案中，甲向其在网站、APP注册会员的房产中介人员收购的房源信息，是房主为了售卖房屋通过房产中介发布房源信息，但一般不会直接向社会公开具体详细的房屋地址、公开自己的姓名、手机号码等个人身份信息
这种简单反映房源真实存在的信息不属于刑法中的“公民个人信息”，而是属于房屋中介人员拥有并可以支配和使用的商业信息
然而，甲安排公司话务人员冒充房屋中介人员向持有房源信息的房屋中介人员套取、收集房主准确的房源地址、联系电话，则属于刑法中“公民个人信息”，根据《解释》第1条的规定，“通信通讯联系方式、住址”应属于能够识别特定自然人身份的个人隐私、敏感信息
相对于一般信息，对个人隐私、敏感信息的法律保护应更加严格，个人信息权利主体的知情同意权应得到法律的充分保护
犯罪嫌疑人未经房东同意收集房源地址、联系电话等个人隐私、敏感信息，即侵犯了房东的个人信息知情同意权，其行为属于《刑法》第253条之一规定的“以其他方法”非法获取公民个人信息的行为
在此案中，甲以非法获利为目的，向网站会员出售的房源信息包含了房主没有向社会公开的房源地址、手机号码等个人信息，在侵犯了房主作为个人信息主体知情同意权的同时，也侵犯了个人信息所附着的隐私权等具体人格权
将这种出售公民个人信息的行为认定为犯罪，需要具备“违反国家有关规定”的前置性条件，仅仅违反个人信息知情同意保护的原则性规定，并不足以符合该罪的犯罪构成，还要判断违反了何种前置性法律规范，即行为人违反了哪一条“禁止同意出售个人信息”的“国家有关规定”
如果能够认定行为人出售房主客户个人信息的行为违反了“国家有关规定”，即使取得房主客户的个人同意，也应认为具有“违法性”，具备构罪的前提
掌握房东的准确房源地址、手机号码的房屋中介人员，未经房主个人同意，向甲提供房主的私密敏感信息，就属于《刑法》中的“提供公民个人信息”的行为
如果达到构罪的情节标准，因其属于将从事房屋中介服务过程中所获得的个人信息出售或者提供给他人，根据《刑法》第253条之一第2款的规定，应予以从重处罚
另外，侵犯公民个人信息罪是否包括“非法使用”行为？实践中，经常发生非法“使用”公民个人信息的行为，具有严重的社会危害性，有必要运用刑法手段予以规制
但无论是《刑法》还是《个人信息刑案解释》都没有对“使用”行为作出规定
如果将来能够通过司法解释的途径，将个人信息的使用行为作为独立的行为类型与获取、出售、提供行为并列规定
将非法使用个人信息行为纳入刑法规制范围，既能与民法、行政法等前置法规保持一致，从而实现法秩序的统一，又能更加周延地保护侵犯公民个人信息罪的法益，弥补先前的漏洞，是十分可取的
四、APP用户作为被害人同意的出罪事由如前所述，我国相关法律、行政法规及行业规范均确立了收集、使用个人信息的知情同意原则，并且除法律规定的特殊情况之外，收集、使用个人信息应经过信息主体的明示同意
刑法理论上，APP用户个人的知情同意可以被看作是一种被害人同意或承诺，具有一定的出罪功能，未经APP用户知情同意而收集使用个人信息的行为，也不必然违反刑法意义上的保护义务，反之，APP用户知情同意也不必然能够成为排除刑事违法性的事由，但可以成为阻却或减轻个人信息侵权行为刑事责任的根据
（一）个人信息的法益权衡：被害人同意的出罪功能在个人信息的收集使用过程中，信息流动的起点是公民个体，而在信息流动过程中会涉及个人信息使用者、网络平台经营者和服务者等多方主体的相应权利，使其社会公共属性得以体现和凸显
相应地，信息权利主体对初始个人信息的控制力会逐渐减弱，甚至再无施加影响的可能
可以说，个人信息的权利保护和价值利用在一定程度上存在着零和博弈关系
法律不能一味强调对个人信息进行单纯的保护，而是对不同信息主体的权利和义务进行合理分配，在法律允许范围内实现个人信息价值的有效利用，实现个人、信息业者和国家三方利益平衡
在学界，被害人同意（承诺）的出罪功能得到很多学者的认同，但也不乏争议
关于被害人同意的正当化根据，存在诸多认识分歧，主要有社会相当性说、法律行为说、利益衡量说、利益放弃说、法律保护放弃说等
其中，比较有力的是“利益衡量说”，该学说比较重视个体对法益的自由支配和自决权,将被害人同意看作其行使人格自由权利的表现，“同意”则表明其行使人格自由这种法益比放弃的法益相比更为优越
应当说，将“利益衡量”作为被害人同意的正当化根据是比较合理的
从利益衡量的角度，如果收集使用个人信息的行为虽然形式上是违法违规的，但并没有妨碍个人信息主体的权利行使，甚至有利于其个人信息财产价值的实现，从实质上说就不存在法益侵害
既然如此，如果信息主体对法益保护的主观态度为消极负面的价值评价、对收集使用个人信息的行为明确表示同意，那么，这种自我放弃法益保护的“同意”行为就应当在一定程度和范围内得到法律的承认或许可
有学者基于“法益权衡”的立场观点认为，被害人同意的功能取决于哪一种法益是需要优先保护的法益
同时，如果这种法益是法益主体可支配的，被害人同意就具有出罪功能，相反，则不具有出罪功能
况且，个人信息保护领域的社会公共利益、秩序和安全的“超个人法益”是不可得到“被害人”同意的；个体的生命权和身体健康权一般也属于不可自由支配或支配权受限的个人法益
例如，对于侵犯公民个人信息罪来说，该罪名被设置在侵犯公民人身权利、民主权利的章节，表明刑法优先保护的法益是公民个人名誉、隐私的人格权益，是个人信息权利主体所能自由支配的法益，在该罪名的法益结构中居于主要地位；而涉及国家和社会公共利益、秩序和安全的“超个人”信息法益则居于次要地位，并且是信息权利主体不可支配的法益
如果在信息权利主体同意他人收集使用其个人信息，且没有遭受泄露或滥用等不当侵害，就具备了“被害人同意”的出罪事由，阻却收集使用个人信息行为的刑事违法性
再如，《刑法》第286条之一规定的拒不履行信息网络安全管理义务罪，该罪名规定于刑法分则妨害社会管理秩序罪一章，表明社会公共利益、秩序和安全居于优势法益的地位，并且这种“超个人”法益是信息权利主体不可支配的，不是后者同意的对象
即使信息权利主体同意信息网络服务者放弃履行其保护义务，也不能成为出罪事由，对被害人同意不能实行绝对的、无限度的保护
须指出，经个人信息主体同意的行为并不意味着当然地阻却刑事违法性，知情同意权的行使不能逾越法律的界限，不能与国家和社会公共利益相冲突
如果收集、使用个人信息的行为违反了前置性法律法规或部门规章，那么，即便个人信息主体作出同意的意思表示，也不能被认定是有效的，不能排除其刑事违法性
此时，“被害人同意”不能作为免罪根据，但可作为量刑情节加以考虑；即使认定非法收集使用个人信息的行为构成侵犯公民个人信息罪，也可以相应地减轻其刑事责任
总之，刑法需要对不同主体处分个人信息的权利和应承担的保护义务进行利益衡量和分配，在法律允许的范围内实现个人信息数据经济效益的最大化利用
例如，近年来出现不法分子通过QQ“卡商群”和交易网站“叫卖”电商账号（网络店铺），“叫卖者”寻找愿意出售个人信息者注册网络店铺账号，再将账号注册人的身份证、银行卡等一整套个人信息打包为“产品”，明码标价转卖给他人，后大多被用于售假、诈骗等违法犯罪活动
“叫卖者”通常会让出售人签订“个人信息转让授权书”，即出售人同意购买者使用其身份信息
在此案中，即使账号注册人同意“叫卖者”出卖自己的个人信息，也不能作为“叫卖者”的出罪事由
其次，这种行为违反了《网络商品交易及有关服务行为管理暂行办法》关于实名开店、账号实名制等网络空间的安全性规定，具有行政违法性
在此情况下，所谓“被害人同意”就不能作为出罪事由，不能排除“叫卖者”行为的刑事违法性
但在本案中，作为“被害人”的出售人出卖自己的身份证信息，其行为违反了《居民身份证法》有关“出租、出借、转让居民身份证”的禁止性规定，尽管受到一定程度的欺骗，但主观上确实存在被害人过错因素，可以作为“叫卖者”侵犯公民个人信息罪的量刑情节加以考虑；即使认定其行为构成犯罪，也可以相应地减轻其刑事责任
（二）用户知情同意下APP运营者的出罪化路径在大数据时代背景下，APP运营者所能收集到的个人信息数量呈指数式增长，如果不能妥善界定个人信息收集者、使用者的法律义务，则难以对用户的合法权利予以有效保护
在肯定APP用户知情同意可以作为“被害人同意”的出罪事由基础上，需要讨论的是，这种知情同意所能够产生出罪化法律效果的有效方式如何
《安全规范》第3.6条、第5.5条规定，收集个人敏感信息时应当取得信息主体的明示同意，但是对于个人一般信息的授权同意方式并没有明确规定，因而只需要默示同意即可
作为民法中同意的意思表示方式，默示同意更能契合“共享+开放”的互联网经济特征，是值得肯定的
实践中，有些APP运营者设置默示同意条款，列出冗长艰涩的隐私声明，致使APP用户很难做到“审慎阅读”，除了点击“同意”之外别无选择，这实际上架空了用户对知情同意权的行使，这也是不可取的
在APP运营者收集、使用个人信息过程中，只要经用户本人明示同意，且没有遭受泄露或滥用等不当侵害，其行为就具备了“被害人同意”的出罪化事由
刑法优先保护的是公民个人的人格权益，在侵犯公民个人信息罪的法益结构中居于主要地位；所谓“超个人”信息法益则居于次要地位，是个人信息权利主体不可支配的法益；对于后者，即使个人信息主体同意收集、使用者不履行其保护义务，也不能因此阻却违法和责任
例如，甲公司与政府官方授权的乙公司签订了《公民身份认证服务合同》，所掌握的个人信息来源合法，并可在登记范围内提供公民个人信息服务；而甲公司的服务范围涵盖了互联网金融和电信运营商等行业
同时，甲公司与处于下游的乙公司签订的服务协议中均约定对方不得将认证结果下载、保存、打印，并设置了下游公司缴纳保证金的制度予以约束
处于下游的乙公司涉嫌在无授权的情况下，利用数据接口产品与终端互联网公司丙签订销售合同，从中赚取差价，以及非法缓存海量公民个人信息，然后予以出售或非法提供，为他人非法提供身份证返照查询业务数千万次，导致公民个人信息大多流向网络小贷公司用于“拉客户”或者“软暴力”催收
本案中，乙公司未经授权同意非法缓存公民个人信息，并将海量的个人信息提供、出售给他人，其行为应构成侵犯公民个人信息罪，定性上不存在什么疑问
但值得讨论的是，甲公司向乙公司提供其合法掌握的公民个人信息的服务行为是否也构成侵犯公民个人信息罪？有学者认为，认定该罪名成立的关键在于，甲公司的“提供”个人信息的行为是否经过被收集者的同意，如果是经过被收集者同意，就可以认为至少存在被害人同意，具备出罪根据
本案中，甲公司没有违反被收集者个人的同意，也尽到了形式上的审查义务，不存在客观上的侵权行为，也就不构成侵犯公民个人信息罪
对此观点，本文并不完全同意
如前所述，知情同意原则也要受到合法、正当、必要原则的限制，不能简单地以知情同意原则作为任何情况下不当收集使用个人信息的合格抗辩
本案中，认定甲公司提供公民个人信息的服务行为是否构成犯罪，尚需要根据具体案情从法益层面进行实质判断
无论甲公司提供给乙公司的是隐私敏感信息还是一般个人信息，只要涉及信息安全、公共利益和社会秩序，即使甲公司的行为没有违反被收集者的同意，也尽到了形式上的审查义务，也不能免除其履行“超个人法益”的保护义务，被收集者的“同意”也不能成为出罪事由
五、结语近年来，越来越多的APP运营企业和机构为了主动适应信息网络发展的需要，逐步改变过去一键式授权隐私政策，按照法律法规和行业规范的合规要求，调整向用户告知方式，增加了弹窗等增强式告知方式、增加了即时提示，对开启具体业务功能的单独告知；在获取用户的同意方面，也改变过去一揽子协议强迫用户同意的做法，强调用户通过书面声明或主动做出肯定性动作，作出明确授权
通过上述合规措施，充分保障用户的知情同意权，在个人信息保护方面实现了由“自发”到“自觉”的转变
在立法层面，将来的“个人信息保护法”应确立知情同意保护原则，以个人信息权利保护为导向，兼顾公民个人法益和社会公共法益的协调，在信息权利主体与信息使用主体之间取得利益平衡
虽然民法、行政法、刑法等部门立法的价值目标各有侧重，但从系统论角度，个人信息保护的法律规范应当是衔接协调的，共同构筑相关侵权行为的法律责任和制裁体系，在刑法体系内外部实行多层次的法益保护
需要特别强调的是，个人信息安全行业标准与刑法规范之间有效衔接问题
虽然两者的出发点都是对个人信息权进行保护，但保护的目的和方式不同
刑法是从惩治犯罪活动角度出发，所规制的入罪门槛必须是个人信息保护的“最低安全基线”
因此，行业规范对于APP用户知情同意的规定，可以作为界定APP运营者个人信息法益保护的前置性依据，但不宜直接将其作为判断刑事违法性的依据，否则将导致刑事打击范围过大，不利于个人信息权益的保护
至于其中哪些行业标准设定的义务要求可以成为刑法中APP用户个人信息知情同意的保护义务，有待最高司法机关出台相应司法解释予以明确规定，在此不赘述
《法学》2020年第8期目录及摘要张家勇：体系视角下所有权担保的规范效果朱虎：《民法典》合伙合同规范的体系基点金可可：《民法典》无因管理规定的解释论方案吴元元：认真对待社会规范——法律社会学的功能分析视角陈征楠：社会理论视野中法律移植困境的重释朱孝清：刑事正当程序视野下的认罪认罚从宽制度印波：刑事结案效率考评指标的嬗进及其反思上海市法学会欢迎您的投稿fxhgzh@vip.163.com《东方法学》2020年第6期目录张凌寒：算法自动化决策与行政正当程序制度的冲突与调和唐林垚：“脱离算法自动化决策权”的虚幻承诺单晓光：论强制技术转让王迁：论我国摄影作品保护期与国际版权条约的衔接严桂珍：民法典安全保障义务条款与共享单车企业民事责任赵运锋：违法认识可能性理论的检讨与反思石冠彬：民法典姓名权制度的解释论郭晔：中国民法典的法理定位林华：学位撤销案件中的司法审查范围模式及其反思李晓珊：论配子捐赠辅助生殖后代的基因来源知情权关保英：疫情应对中的行政规范性文件审查研究温昱：搜索引擎数据痕迹处理中权利义务关系之反思班天可：涉税的重大误解肖俊：债务加入的类型与结构