郭晓红、张益铭：被害人同意视角下侵犯公民个人信息罪的适用限度

刊物简介

《法治现代化研究》是原国家新闻出版广电总局批准创办并公开发行的学术期刊，国内统一出版刊物号CN32-1869/D，是国内首家专注法治现代化研究的学术期刊，著名法学家公丕祥教授主编，入选CSSCI（2023-2024）来源期刊扩展版。期刊前身为《法制现代化研究》集刊，现由南京师范大学和江苏省法学会主办，双月刊，逢双月15日出版。

被害人同意理论强调了被害人在信息流通中的重要作用，并且能够消解个人信息保护与利用之间的对立，维持刑法的最后法地位，因此需要在侵犯公民个人信息罪中加以适用。但实务中并未完全将被害人同意理论进行贯彻，在被害人同意的具体内容、明确程度和法律效果等方面存在较大分歧。被害人同意的主体应当具有风险识别能力是被害人意思自决的当然前提。被害人同意的内容应当是行为人的危害行为而非具体结果，并且弱同意模式应当在信息流通过程中得到承认，以维护个人信息的高效利用。因此在侵犯公民个人信息罪中具体适用被害人同意理论时，应当否定信息弱势群体的单独同意以加强法律保护。在同意内容方面，被害人能够预见信息用途的同意即可作为出罪事由。在同意形式方面，行为人在被害人公开范围内获取利用其个人信息的行为，不构成侵犯公民个人信息罪。

侵犯公民个人信息罪；被害人同意；弱同意； 信息弱势群体

一、引言

侵犯公民个人信息罪采用了空白罪状的表述方式，只有实施了“违反国家有关规定”等前置法规范的行为才能够成立本罪。2021年出台的个人信息保护法作为本罪最重要的前置法规范，在文本中共27处提及了信息所有者的个人同意，构建了以“告知-同意”为核心的个人信息处理规则。因此，有论者提出，应当在侵犯公民个人信息罪的认定中加强对信息所有者——也即被害人的同意的考察，如果被害人同意他人获取使用个人信息，则可以排除侵犯公民个人信息罪的适用。还有论者主张将系统的被害人同意理论引入到侵犯公民个人信息罪的适用当中。但是不同于理论主张，对于被害人同意能否以及如何影响侵犯公民个人信息罪的适用，司法实务的认识存在较大分歧。因此，如何理解理论与实务之间的差异成为亟待解决的问题。如今的市场身处大数据时代的浪潮下，信息的流动价值愈发凸显。目前，我国数字经济规模已达到50.2万亿元，占GDP的四成左右，规模居于全球第二。并且国际数据公司（IDC）最新发布的报告显示，中国数据量规模将从2022年的23.88ZB增长至2027年的76.6ZB，年均增长速度（CAGR）将达到26.3%，位列全球第一。如此庞大的数据量和市场意味着巨大的信息流动，也要求刑法转变前大数据时代下仅注重个人信息保护的立场，思考如何解决个人信息保护与个人信息利用之间的平衡难题，更好地服务于中国信息产业的发展。对于这一难题，过往研究多立足于理论分析，而鲜有对实务中具体的裁判理由进行系统梳理。本文拟通过对实务案例进行梳理，揭示出司法实务中如何认识被害人同意在侵犯公民个人信息罪中的适用，并分析这一现象背后体现出的被害人同意的理论基础，以期能够更好地将被害人同意理论适用于侵犯公民个人信息罪之中。

二、被害人同意在侵犯公民个人信息罪认定中的重要性 

被害人同意理论之所以需要在侵犯公民个人信息罪中加以强调，是因为其符合信息时代下公民个人信息利用的需求。具体而言，信息时代下的被害人在信息流动过程中的作用愈发重要，这要求法律在评价处理信息的行为时注重被害人的意见。同时，个人信息保护法等前置性法律规范强调个人信息保护与利用的平衡，被害人同意理论能够使刑法从单一保护的立场转变为保护与利用的平衡。

（一）被害人同意突出被害人在信息流动中的地位 

区别于前大数据时代，如今的信息流动频繁而广泛，使得市场上涌现大量的信息交易主体。在诸多信息交易主体中，信息所有者以其信息源头的地位逐渐成为重要的信息流通参与者。因此，在侵犯公民个人信息罪的适用中，被害人越来越多地主动参与到信息的泄露过程之中。对此，传统刑法理论不能很好地评价被害人的作用，需要引入被害人同意来突出被害人在信息流动当中的地位。

当下，信息所有者在信息流动过程中逐渐占据主动地位。在前大数据时代，信息的价值未被充分发掘，信息所有者的信息往往是被动地由他人获取。但是，信息网络的快速发展，使得信息流动能够实现直接面对单个用户的信息收集，信息所有者现在可以通过主动提供自己的个人信息以换取利益或服务。如今在世界范围内，许多国家都在开展直接针对信息所有者的信息流通模式。例如，美国Driver公司开展了C2B的业务模式，即个人可以直接出售自己的个人信息等数据给数据平台，以此兑换现金或者积分。在日本，公民可以将自己的信息主动提供给“数据信托”公司来管理，与其他信托投资类似，公民可以通过主动提供自己的个人信息来换取利益。有论者对日本312名公民进行调查发现，多数被调查者认同这样的数据信托模式，因为这种模式可以使公民可以自行决定披露自己的信息并获得收益，实现消费者与企业的双赢。在我国，同样有企业开始建立由公民主动提供的信息收集模式。例如，阿里巴巴推出了数据银行的业务模式，即消费者通过其旗下的抖音、淘宝等APP将个人信息提供给数据银行，数据银行通过对这些个人信息的分析从而提供更好的服务。《中国网络视听发展研究报告（2023）》显示，我国仅短视频用户规模就达到10.12亿，并且向各类网民群体渗透，这说明数据银行模式的个人信息流动量将巨大。据统计，90%的中国消费者实际上愿意分享一些个人信息给品牌方，如电子邮箱地址、购物记录和消费喜好，以此来使商家了解其消费习惯并提供更好的服务。但是这一分享需要在消费者主动的前提下，如果商家在消费者不知情的情况下收集、使用其个人信息，75%以上的消费者会选择抵制这一商家。因此，信息所有者越来越具有重要作用和话语权，这在信息流动过程中不容忽视。

与此同时，信息所有者积极地对外提供个人信息以换取利益，也使得其作为侵犯公民个人信息罪的被害人并非只是被动地遭受侵害，刑法应当对这一变化作出回应。有论者对600份侵犯公民个人信息罪的裁判文书进行分析，发现在行为人对公民个人信息的获取有22%是通过在网络上发布广告实现的。这类方式主要是被害人为了浏览赌博或者黄色网站而在这些非法网站上进行下载、注册从而引起的信息泄露。例如，在“叶辉等开设赌场案”中，叶辉与同伙购买星力七代时代娱乐网络赌博平台，开设网络赌博工作室，引导参赌人员下载网络游戏平台并进行注册，开展赌博活动。叶辉以此种方式获取参赌人员的姓名、联系方式等个人信息一万余条。叶辉在审理过程中辩称，自己获取参赌人员个人信息的行为不成立侵犯公民个人信息罪，即这些信息都是参赌人员主动提供的，并非自己非法获取的。但法院最终没有采纳叶辉的辩解，以开设赌场罪与侵犯公民个人信息罪对叶辉数罪并罚。本案中，叶辉所获取的公民个人信息是参赌人员主动提供的，并未采取窃取或者欺骗的方式，与一般的窃取或者骗取公民个人信息的行为是否应当在定罪量刑上区别开来，就成为刑法理论需要予以回应的问题。

传统刑法理论由于重点关注行为人一方在刑法上的评价，而忽视了被害人在犯罪过程中所起的作用，因此难以回应侵犯公民个人信息罪的被害人在信息流动过程的地位变化。传统刑法理论以主体性哲学为依据，这种哲学从主体的角度出发去探讨主体与客体之间的关系。换言之，主体性哲学重点关注的是主体一方对客体的作用，而忽视了客体对主体的反作用。这种哲学所导致的后果是，在理论上容易导向唯我论，即世界上除“我”这一主体外都是客体，其他本该同为主体的人难以被作为主体而同等看待。具体到刑法理论中，传统刑法理论将行为人视为犯罪的主体，而被害人在犯罪中仅仅是犯罪的客体或者犯罪对象。这使得似乎在犯罪过程中，只有行为人一人具有自由意志，被害人在犯罪过程中仅仅是被动地遭受侵害而没有被当作具有自由意志的行为个体。因此，有论者提出，主体性哲学指引下的传统刑法理论缺乏对被害人“图像”的刻画，无法让犯罪过程中的各方都认可刑法介入的正当性。因此，传统理论已经无法彰显被害人在犯罪过程中的地位变化，需要从主体性哲学中解放出来进行反思。

被害人同意理论关注被害人的意志自由，以主体间性为依据考察行为人与被害人之间的关系，能够更好地解释信息时代下信息流动的过程。主体间性不同于主体性哲学仅从主体一方去阐释主客体关系，而是直接立足于主体之间的关系来看待各方的互动。换言之，主体性是站在“我”的角度观察“你”，而主体间性是站在你我“之间”来观察“你”和“我”。具体到刑法理论中，被害人同意理论不会“一刀切”地将被害人划定为行为人犯罪行为所欲侵害的对象，而是在具体的交往实践中确认其主体性，从而更加全面地评价行为人的行为性质。并且，以主体间性为指导的被害人同意理论也符合信息化时代个人信息交易的现状。个人信息的交易和流通在当代已经形成了市场，而市场的本质特征就是总体主体间性，即在某一类型的市场中，每一个交易方都作为主体，他们之间的相互作用形成这一市场。因此，同以主体间性为依据的被害人同意理论将个人信息流通中的被害人也作为主体加以看待，能够更好地契合如今的信息交易市场，使被害人的意思在刑法评价中得到重视。

（二）被害人同意消解个人信息保护与利用的对立 

大数据时代下，既要保证信息的顺利流通，又要保护公民的个人信息不受侵害，如何平衡二者成为刑法需要解决的难题。被害人同意理论下，被害人与行为人通过签订契约使得信息流通符合各方的利益和目的，从而使个人信息因双方的合意不再需要刑法加以保护，自然消解了个人信息保护与利用的对立。

个人信息保护与利用的平衡难题，主要体现在数字社会日益增长的个人信息利用需要和日趋严厉的个人信息安全保障之间的矛盾。虽然我国已经在逐步推进个人信息的交易平台建设，但起步晚，体系不成熟，导致个人信息利用的缺口仍然巨大，信息利用需求依然高涨。据统计，截至2022年，我国通过正规渠道进行的数据交易不足5%，95%以上的数据交易仍然通过黑市进行。这种数据黑市本质上是个人信息的巨大需求与合法途径的缺乏所导致的畸形市场，说明了正规渠道下的个人信息提供缺口仍然巨大，使企业不得不通过黑市来满足这种需求。

在个人信息利用需求高涨的情况下，我国刑法目前对于个人信息的保护又呈现出愈发严厉的趋势。从法条设置来看，《刑法修正案（九）》的修改加大了对个人信息犯罪的打击范围和力度。首先，《刑法修正案（九）》将个人信息犯罪的主体范围从金融、电信、交通、教育、医疗等单位的工作人员扩展到一切主体。其次，《刑法修正案（九）》将个人信息犯罪的最高法定刑从三年有期徒刑提高到七年有期徒刑。最后，《刑法修正案（九）》还增加了“在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，从重处罚”的规定。并且从案件数量上看，我国关于侵犯个人信息案件的数量也在逐年递增。据统计，2016年我国侵犯公民个人信息案件数量仅为1029件，而2022年全国侵犯公民个人信息案件数量已经达到9300件，是六年前的9倍有余。这说明我国正在逐步加大对侵犯公民个人信息行为的打击力度。因此，个人信息利用与保护之间的矛盾逐渐增加，需要刑法学理论对这一矛盾进行调和。

被害人同意通过签订契约，在提供合法途径满足个人信息利用的需求的同时，也由于公民的知情同意而使得对于安全保障的担心得以消除，刑法不再介入他人对信息的利用，从而消解了个人信息保护与利用的对立。被害人同意就其形式上看，是被害人对行为人“侵害”自己利益的行为表示认可，或者被害人主动请求行为人“侵害”自己的利益。因此，在被害人同意中包含着被害人与行为人对于“侵害”的合意，这与交易中的双方签订买卖或者赠与合同别无二致。有论者直接把契约理论运用到被害人同意之中，将被害人同意视为被害人对行为人发出的要约（主动请求）或者允诺（被动认可）。契约的订立以契约自由作为基本的原则，也即当事人是否订立契约以及订立契约的内容，在不违反法律强制性规定的前提下，应当给予尊重，法律不应当肆意加以干涉。因此，在被害人与行为人自愿进行个人信息交易的情况下，刑法不宜过分介入，而是应当尊重和保护此种有利于个人信息流通的契约。这在满足了市场需求的同时，又由于通过被害人同意限缩了刑法的适用范围，从而缓和了日趋严厉的个人信息保护趋势，实现了个人信息保护与利用的统一，与我国个人信息走向有序共享的发展理念相契合。

（三）被害人同意促进信息的流通，维护刑法的最后法地位

我国法律对公民的个人信息保护采取了刑法先行的保护路径，即先由刑法加以规制，再逐步发展网络安全法、个人信息保护法等前置法体系。这种刑法先行的状态，是风险社会下被害人集体焦虑的结果。但这种刑法先行的状态与刑法的谦抑性原则相背离。对此，被害人同意理论能够解决被害人在信息流动过程中的焦虑问题，从而防止刑法僭越，维护刑法最后法的地位。

信息化社会是风险社会的重要表现形式之一，其引发了公民对于个人信息安全问题的集体性焦虑，从而促使刑法先行的现象发生。风险社会意指在当代社会中，充斥着诸多不确定性与社会复杂性，并转化为高度的社会风险。其中，技术的高度发展是风险社会的一个突出特征。信息社会是一个典型的风险社会，在信息社会中，高度发展的信息获取技术能够轻而易举地获取公民的个人信息。这种获取个人信息的速度之快以及数量之巨，引发了公民对个人信息保护的集体性焦虑。有论者进行了大范围的实证调查，发现其中43%的参与者认为个人信息泄露问题“严重”，29%的参与者则认为个人信息泄露问题“十分严重”。这说明个人信息的安全问题已经引发社会普遍焦虑。这种普遍性焦虑通过立法，就容易作为犯罪成立的基础。涂尔干认为，“如果一种行为触犯了强烈而又明确的集体意识，那么这种行为就是犯罪”。也就是说，犯罪的背后所征表的是行为对社会公众集体情感的侵犯。因此，当某一行为使得全体公民产生集体性焦虑时，这一行为就容易入罪，成为刑法打击的目标。此时，为了应对这种风险社会下公民的集体性焦虑，刑法就会提前介入来规制这种行为，从而呈现法益提前保护的现象。例如，家用轿车的普及所导致的醉驾致死风险的不断提升，使得民众要求国家严惩醉酒驾驶行为，倒逼刑事立法增设危险驾驶罪，将此类行为直接纳入刑法规制。

但是，集体性焦虑所引发的刑法扩张现象与刑法谦抑性相违背。例如，前述的危险驾驶罪自设立之初，就一直经受着刑法谦抑性原则的诘问。换言之，刑法在法律体系中应当成为补充性的角色，只有在前置法规范得到充分利用的情况下，才能够动用刑罚手段加以规制，而刑法直接介入醉驾治理，容易导致刑法适用范围的过度扩张。因此，为了遵循刑法谦抑性，在2017年《最高人民法院关于常见犯罪的量刑指导意见（二）（试行）》中规定：“对于醉酒驾驶机动车的被告人，应当综合考虑被告人的醉酒程度、机动车类型、车辆行驶道路、行车速度、是否造成实际损害以及认罪悔罪等情况，准确定罪量刑。对于情节显著轻微危害不大的，不予定罪处罚；犯罪情节轻微不需要判处刑罚的，可以免予刑事处罚。”司法机关通过这种方式来逐步使刑法回归最后法的角色，使行政法能够充分发挥作用。侵犯公民个人信息罪的适用同样面临着上述谦抑性难题。设立侵犯公民个人信息罪时，个人信息保护法尚未出台，因此侵犯公民个人信息罪不得不扩张其适用范围以满足规制侵犯公民个人信息行为的需要。但在前置法规范日益完善的情况下，刑法理论需要通过解释来逐渐缩小刑法的适用范围，使前置法得到充分利用。

被害人同意理论通过公民的知情同意，能够有效地解决公民在信息流动过程中所产生的焦虑，从而维持刑法的最后法地位。被害人同意理论认为，要想解决公民的集体性焦虑所带来的刑法扩张问题，应当聚焦于被害人本身对某一行为的态度和情感。只有被害人对某一行为产生对抗情绪时，才能将这一行为纳入刑法的规制范畴。虽然公民的集体情感是刑事立法的基础之一，但在具体适用刑法时，如果被害人从内心接受行为人对自身的“侵犯”，那么在行为没有对第三人产生影响时，第三人作为局外人的情感不能作为刑法的保护对象。具体到侵犯公民个人信息罪中，当被害人同意行为人获取自己的个人信息时，被害人往往能够认识到自己的个人信息将开始在社会中进行流动。如果被害人能够认识到信息的流动和基本走向，那么被害人对于信息流动安全的焦虑就能够消除，这种信息获取及利用的行为就不应当作为刑法打击的对象。作为第三人的公众如果对这种行为产生了抵触情绪，可以先将这种行为交由民法、行政法等法律进行调整，从而使得前置法规范得到充分利用，同时也合理限缩了刑法的适用范围。

三、被害人同意在侵犯公民个人信息罪认定中的实务现状 

（一）对被害人同意的同意内容存在不同认识 

被害人同意的内容是被害人放弃了法律所保护的利益。具体到侵犯公民个人信息罪中，应当认为被害人同意他人获取并利用法律所保护的个人信息，那么行为人就不构成侵犯公民个人信息罪。但是部分案例对被害人同意的内容进行了限制，认为如果被害人同意他人利用自己的信息从事非法的经营活动、犯罪活动，或者超范围经营，那么这种被害人同意就不能产生效力。

首先，部分案例中，如果被害人同意他人利用自己的个人信息实施犯罪活动，则行为人获取并利用该信息的行为依然成立侵犯公民个人信息罪。例如，在“陈建等敲诈勒索案”中，陈建与同伙成立小型网贷工作室，由有贷款需求的用户自行提交个人信息后，陈建对其发放高利贷。虽然本案陈建所获取的信息是由有贷款需求的用户自行填写提供，但法院认为，无论被害人是否自愿提供个人信息，只要陈建将该个人信息实际获取并准备或实际用于从事犯罪活动的，其行为均已构成侵犯公民个人信息罪。本案中，即使被害人能够预见到自己逾期不能还款将面临严重的催收后果，依然同意提供个人信息给行为人，法院也认为，这种被害人同意因超出了同意的范围而无法产生否定犯罪的效力。

但是，在实务中也有观点认为，被害人如果同意他人利用自己的个人信息实施犯罪活动，这种被害人同意可以产生效力，行为人因此不构成侵犯公民个人信息罪。例如，在“沈某等侵犯公民个人信息案”中，沈某与同伙从事网络放贷业务，收集有贷款需求的用户信息并提供高利贷。辩护人提出本案中的用户个人信息均是被害人自行填写提供，法院认为，本案中的借款人主动将自己的身份证号、手机号码和手机验证码提供给被告人，借款人作为被害人对可能出现的严重后果“应当是明知的”，沈某等人的行为不构成侵犯公民个人信息罪。本案中，即使行为人利用被害人提供的个人信息来从事敲诈勒索等犯罪行为，法院也认为，既然被害人在非正规的网贷平台上进行借款，那么其对之后不能还款所引发的敲诈勒索行为是能够预见的。被害人在这种情况下依然愿意提供个人信息，说明其同意他人对自己的法益的减损，那么基于责任自负的原理，就不应当将行为人获取并利用被害人个人信息的行为纳入刑法规制范畴。

其次，部分案例中，如果被害人同意他人利用自己的个人信息实施超出经营范围的经营业务的，则行为人获取并利用该信息的行为依然成立侵犯公民个人信息罪。例如，在“葛某某等侵犯公民个人信息案”中，葛某某等设立网贷平台“应借贷”APP，由客户在APP中注册并提供个人信息，该平台进行评估后提供相应的贷款服务。法院最终认定葛某某等人的行为成立侵犯公民个人信息罪。该案与前述“陈建等敲诈勒索案”的不同之处在于，陈建案中行为人在基本的贷款业务之外，对被害人实施了进一步额外的加害行为，而本案中，葛某某并没有实施敲诈勒索、寻衅滋事等行为，仅仅是提供了基本的放贷服务，这完全符合被害人提供个人信息的初衷和意愿。但是，由于葛某某等人并没有获得国家的放贷经营许可，属于超出了经营范围，法院据此认为被害人同意也因此失去了效力。

实务中也有观点认为，虽然行为人实施了超出经营范围的经营业务，但如果被害人同意行为人获取并利用自己的个人信息，就不构成侵犯公民个人信息罪。例如，在“肖某昌侵犯公民个人信息案”中，肖某昌为了开展代办交通违章业务并从中获利，要求违章驾驶人主动提交自己的身份证号、车牌号等个人信息，肖某昌获得这些个人信息后转发给交通违法处理大厅的工作人员，让其帮忙处理交通违章，自己则从违章驾驶人处收取代办费用。对于本案，法院认为虽然肖某昌并没有代办违章业务的相关许可，但是本案中的驾驶员是自愿将个人信息提交给肖某昌，因此肖某昌获取并利用驾驶员主动提供的个人信息的行为不成立侵犯公民个人信息罪。换言之，既然肖某昌获取并使用个人信息的行为完全符合违章驾驶者的意愿，也没有进一步侵害驾驶者的行为发生，那么这种行为就没有必要纳入刑法的规制范畴。

（二）对被害人同意的明确程度存在不同认识

被害人同意存在明确程度的差异。被害人同意以明示同意为原则，即被害人原则上应当以明确的方式向他人传达同意的表示。同时也存在推定的同意，即被害人虽然没有明确表示同意，但是结合具体的情形能够表明其对他人的行为表示同意。有论者认为，公民将个人信息公开，即应推定公民同意他人对自己的个人信息进行处理和流转，因而这种对个人信息的处理和流转行为不受刑法规制。但是，关于推定同意能否排除侵犯公民个人信息罪的适用，在司法实务中存在不同观点。

部分案例中，行为人获取公开个人信息的行为被认定不构成侵犯公民个人信息罪。在本文的样本案例中，这类案例有66件，占比35.1%。这种观点认为，既然被害人将信息公开，那么就可以推定被害人自愿同意放弃部分个人信息权利，行为人的获取行为就不必认定为侵犯公民个人信息罪。例如，在“周芬亮侵犯公民个人信息案”中，一审法院以全部71292条公民个人信息认定周芬亮的行为构成侵犯公民个人信息罪。二审法院则认为，企业的法定代表人信息是其本人基于经营的需要自愿予以公开的，因此与一般的公民个人信息相比，其需保护性降低，对32616条自愿公开的企业法定代表人信息的获取不应以侵犯公民个人信息罪论处。本案中，二审法院采取了推定同意的理论，认为企业法定代表人自愿公开了个人信息，就可以推定其同意他人获取并利用自己的个人信息，因此这种获取利用行为就不需要刑法进行规制，企业法定代表人作为被害人的需保护性因此降低。

但是，在部分案例中，即使是公民自愿公开的个人信息，行为人对其获取并利用的行为也构成侵犯公民个人信息罪。这种观点认为，只有被害人的明示同意才能够排除侵犯公民个人信息罪的适用，而推定同意的效力不足以将获取公开个人信息的行为排除出刑法的规制范畴。例如，在“董某侵犯公民个人信息案”中，法院认为，董某在明知下载的信息是法定代表人的姓名、通讯联系方式等个人信息，还仍旧在未征得上述人员的同意下，获取这些信息并出售给他人，成立侵犯公民个人信息罪。本案中，法院明显将“同意”解释为明示同意，只有征求到公民的明确同意才能够获取、利用公民的个人信息。而公开的个人信息仅具有推定同意的效力，这种效力不能够排除侵犯公民个人信息罪的适用。

还有部分案例认为，对于行为人获取并利用公开的个人信息是否构成侵犯公民个人信息罪，应当结合行为人的使用方式综合进行认定。只有在行为人的使用方式符合被害人公开其个人信息的初衷时，才否定成立侵犯公民个人信息罪。例如，在“陈雪梅侵犯公民个人信息案”中，法院认为，是否构成侵犯公民个人信息罪应当考虑行为人的利用行为是否在被害企业的经营范围之内。假如某企业经营的业务是鸡蛋销售，而行为人在获取该企业的法定代表人的手机号码等个人信息后向其推销企业经营范围以外的项目，如保险、购房等，则会对个人生活安宁造成影响。陈雪梅作为某建设工程公司的销售顾问，其推销的业务应当围绕着地产相关的业务，而该案中许多公开信息背后的企业经营范围与地产无关，如本案涉及重庆某有限公司法定代表人彭某某的信息，该公司的经营范围是鸡蛋销售，与陈雪梅的营销目的不符。法院据此认定陈雪梅构成侵犯公民个人信息罪。法院认为，被害人虽然将自己的个人信息进行公开，但是被害人的公开有其特定的目的。如果行为人获取、使用信息的行为超出了被害人的公开目的，则不能因被害人同意而排除行为人成立侵犯公民个人信息罪。

（三）对被害人同意的法律效果存在不同认识 

由于被害人同意并非我国刑法明文规定的出罪依据，因此被害人同意在不同的罪名中可能产生不同的法律效果。例如，在强制猥亵罪中，被害人同意具有出罪的功能；而在故意杀人罪中，被害人的同意只是减轻罪责的理由。具体到侵犯公民个人信息罪，由于刑法及司法解释没有明文规定侵犯公民个人信息罪中的被害人同意能够产生何种法律效果，因此在实务中也存在着不同观点。

首先，部分案例中，被害人同意具有阻却犯罪成立的法律效果。这种观点将被害人同意作为行为人的出罪依据，只要被害人同意将个人信息提供给他人使用，行为人就不构成侵犯公民个人信息罪。例如，在“文某某侵犯公民个人信息案”中，法院认同了辩护人的辩护意见，认为虽然文某某后续利用被害人的个人信息实施诈骗活动，但涉案被害人既然主动将个人信息提供给文某某的平台，就不足以构成侵犯公民个人信息罪。法院仅认定文某某成立诈骗罪。本案中，法院认可了被害人同意作为出罪的事由。

其次，部分案例中，被害人同意具有从轻量刑的法律效果。这种观点认为，被害人同意并不能阻却犯罪的成立，但是能够以被害人同意他人获取利用自己的个人信息为由对行为人从轻处罚。例如，在“万嘉晨侵犯公民个人信息案”中，辩护人提出，第三人是自愿向万嘉晨提供自己的个人信息用来办理电话卡，与积极主动侵害他人信息有本质区别，应当对万嘉晨从轻处罚并适用缓刑。法院最终认可了该辩护意见，以侵犯公民个人信息罪判处有期徒刑八个月，缓刑一年。本案中，电话卡本质上是被害人办理后出售给买家的，万嘉晨只是作为中介人，说明被害人同意将自己的个人信息交给他人利用。但是法院最终没有以被害人同意为由对行为人予以出罪，而是作为量刑情节对行为人予以从轻处罚。

最后，部分案例中，被害人同意不具有任何法律效果。这类案例的判决理由多认为，被害人同意没有法律上的效果，因此既没有依据被害人同意予以出罪，也没有将其作为量刑情节予以考虑。例如，在“林某强侵犯公民个人信息案”中，林某强从事贩卖微信号的业务，通过从他人处购买或者微信用户自愿出租出售等方式收集微信号，然后出售给他人获利。法院认为，林某强收集并贩卖他人自愿提供的微信号，依然构成侵犯公民个人信息罪。对这部分微信号数量不予核减，也没有作为量刑情节从轻处罚。

四、被害人同意在侵犯公民个人信息罪适用中的法理分析 

司法实务之所以在认定侵犯公民个人信息罪中对被害人同意的适用出现了不同认识，根源在于部分案例在具体适用被害人同意时，对被害人同意理论作了进一步修正。部分实务案例对被害人同意进行了实质性限缩。但是，这种实质性限缩是否具有合理性，有必要结合信息时代下侵犯公民个人信息罪的特点进一步展开分析。

（一）被害人同意的主体应具有风险识别能力

被害人同意理论要求被害人能够理解同意的意义，并基于此理解作出同意的意思表示。但是，由于不同主体的理解认识水平存在差异，因此需要法律加以区别对待，以保护那些风险识别能力较差的弱势群体。我国公民对个人信息的风险识别意识本身就较弱。例如，北京市消费者协会曾经就公民的个人信息防范意识进行调查，发现仅有6.15%的被调查者在安装或使用手机应用之前会仔细阅读有关个人信息的授权须知，有40%的被调查者则表示从来不会看这种授权须知。在公民普遍风险识别意识低下的情况下，未成年人、老年人以及贫困地区教育程度低的公民由于缺乏个人信息保护的相关知识，无法认识到将自己的个人信息随意提供给他人会产生何种危害后果，其风险识别的能力就更加欠缺。

以老年人为例，目前我国老年人也积极参与着个人信息的流通。根据《中国互联网络发展状况统计报告》显示，截至2022年12月，我国60岁及以上老年网民规模达1.53亿，占全体网民总数的14.3%，每两个老年人就有1人会接触网络。这说明许多老年人都会使用互联网，因此也会积极参与信息流通。但与此同时，老年人个人信息安全问题在老年人受害的案件中也较为突出。例如，2022年最高人民检察院开展的整治养老诈骗专项行动中，共办理332件相关案件。其中，涉老年人信息安全案件139件，占全部案件的41.87%。老年人由于在生理上存在反应与记忆力下降、容易生病的特点，在心理上存在孤独、恐惧死亡等特征，其在网络世界中无法时刻保持理性判断，对其个人信息可能存在被侵犯的风险认识不清，导致其个人信息权益遭受侵害的风险加剧。据统计，我国仅有7.2%的老年人能够清晰甄别网上可能产生的电信诈骗、个人信息泄露等网络风险。因此，面对老年人群体对个人信息泄露的风险识别能力较弱的情况，法律应当给予特殊保护，而不是完全将个人信息交由老年人自己处理。

实务中部分案例也注重对老年人群体的特殊保护，即使存在被害人同意，司法机关也肯定行为人构成侵犯公民个人信息罪。例如，在“于良建侵犯公民个人信息案”中，于良建与同伙以办理手机流量卡免费送洗衣液的方式，收集某村村民的身份证信息及相关面部信息。来办卡的村民大多数是45—70岁的中老年人，这些村民主要是为了领取洗衣液，提供个人信息后并未领取手机卡，后于良建将这些手机卡进行出售以获利。本案中辩护人提出，涉案个人信息均为被害人同意提供的个人信息，对这些信息的获取使用不成立侵犯公民个人信息罪。法院认为，于良建利用农村中老年人对个人信息的不知、不懂、不敏感收集个人信息，非但不能以被害人同意为由出罪，反而体现了于良建等人的主观恶性和犯罪手段，于良建构成侵犯公民个人信息罪。本案中，法院特地强调了被害人的老年人身份，这类主体的风险识别能力较弱，法律需对其要加以特别保护，对于老年人群体的同意需要谨慎认可其效力。

（二）被害人同意的内容应当是行为而非结果 

在被害人同意理论中，存在着行为说与结果说的分歧。行为说认为，只要被害人同意他人实施危害行为，那么行为人就可以运用被害人同意理论出罪。而结果说认为，被害人不仅需要同意他人实施危害行为，而且对于具体的危害结果也要表示同意，才能具有阻却违法的效力。具体到侵犯公民个人信息罪中，行为说认为，被害人只要同意了行为人获取并利用个人信息的行为，行为人就不成立侵犯公民个人信息罪。而结果说认为，被害人还需要对具体发生的危害结果表示同意，同意才具有出罪的效力。

从个人信息利用的角度看，行为说比结果说更加有利于促进信息流通。被害人的初始同意可能无法包括数据收集与处理的所有可能性，个人信息如何使用往往是在收集后才能予以确认。也就是说，在被害人提供个人信息时，往往无法事先得知自己的信息将会被如何使用。如果要求被害人必须在提供信息之时就对后续具体的结果表示同意，则使得信息的利用变得单调，使用者无法进行对收集的个人信息进行其他的合理化使用，这将大大阻碍信息流通使用的效率。部分案例采用结果说导致了不合理的裁判。例如，在“汪红宝等侵犯公民个人信息案”中，法院认为，该公司的员工仅询问了客户是否需要免费疫苗险，客户对获取疫苗险表示了同意，但对于一旦表示同意其个人信息将被提供给平安公司的情况并不知情。因此，汪红宝的行为依然构成侵犯公民个人信息罪。本案中，既然被害人要获取免费疫苗险，那么公司将其个人信息提供给保险公司应当是被害人能够预见并且十分合理的结果之一。但是，法院对被害人同意采取结果说，要求被害人对上述结果再一次表示同意，才能认可被害人同意的效力。过于保护被害人的个人信息，不利于信息的流通及相关活动的开展。

从个人信息保护的角度看，采用行为说也不会导致被害人同意的效力受损。其原因是，行为人实施的危险行为已经包含了危害结果的发生可能性，被害人在同意行为人实施某项危险行为时，同时就是对可能产生的危害结果的承认。不能够将行为说理解为，只要被害人同意他人实施了危害行为，那么对于任何危害后果的发生，都需要被害人自我答责。这里的危害行为，应当理解为与某种危害结果的发生具有高度盖然性的行为。因此，只要危害结果是危害行为所通常会导致的，被害人在对行为作出同意时，就能够对危害结果的发生有所预见，也就无须再单独就危害结果表示同意。由于侵犯公民个人信息罪的保护法益是公民的个人信息安全，这一保护的前提是被害人有意愿对信息进行保护，因此如果行为人在被害人能够预见的范围内获取并使用信息，被害人就自动放弃了对个人信息的保护，刑法就不需要进行打击。例如，在“田忠宝侵犯公民个人信息案”中，法院认为，田忠宝未经医院或官方许可擅自设立预约挂号软件，被害人没有同意田忠宝将个人信息提供给没有资质的号贩子，其行为依然构成侵犯公民个人信息罪。本案中，被害人完全能够预见田忠宝会将自己的信息提供给号贩子，并且这也是被害人提供自己的个人信息所希望达到的结果。不能认为田忠宝没有告诉被害人会把信息提供给号贩子，就否定被害人同意的存在。本案中假如田忠宝将被害人的信息又提供给了第三方，那么这个结果是被害人无法预料的，威胁到了被害人的个人信息安全，则田忠宝的行为成立侵犯公民个人信息罪。因此，从个人信息利用和保护两方面，都应当认为，只要被害人同意了行为人实施危害行为，那么就成立被害人同意，对行为人予以出罪。

（三）被害人同意的形式包括弱同意 

对于同意的明确程度，理论上存在强同意与弱同意的分歧。强同意模式认为，认定被害人同意必须要求“充分告知”被害人且被害人“明示同意”，否则就无法产生被害人同意的效果。而弱同意模式认为，成立被害人同意也可以以默示同意的方式进行。具体到侵犯公民个人信息罪中，强同意模式要求被害人必须对行为人获取并使用自己的个人信息作出明确的同意，而弱同意模式认为只要被害人公开了自己的个人信息，并且能够预见到他人对自己信息的使用，则此种公开即可视为被害人同意。实务中也分别有案例支持强同意模式与弱同意模式，同案异判较为突出。

强同意模式已经不再适应信息化时代下的信息处理。大数据时代下，由于信息流动的频繁和密集，如果依然要求充分告知和明示同意的强同意模式，则可能导致信息过载、同意过频，使得数据主体出现信息麻木与同意疲劳。在强同意模式下，如此高成本的用户同意将会导致大范围的信息麻木与同意疲劳。有论者对324名平均每天上网3.2小时的用户进行调研发现，在频繁要求用户进行隐私政策确认的情况下，41.2%的用户出现了较大程度的同意疲劳。

强同意模式阻碍信息的流通，降低交易效率。例如，2018年欧盟的《通用数据保护条例》（GDPR）采取了强同意模式，其在第4条第11项中规定：“数据主体的‘同意’是指数据主体通过一个声明，或者通过某项清晰的确信行动而自由作出的、充分知悉的、不含混的、表明同意对其相关个人数据进行处理的意愿。”因此，GDPR下的当事人的“同意”要求当事人以明示、清晰的方式作出，仅以信息公开为由在GDPR的框架下无法认定为获得了当事人的同意。但是，GDPR的强同意模式设置了过高的标准，严重阻碍信息的流通，因此造成了巨大的经济损失。还有论者统计了GDPR对欧洲广告业的影响，发现由于GDPR采取了强同意模式，导致广告很难再针对用户进行精准投送，使得较小的广告供应商损失了至少18%的营业额。这导致欧盟整体的广告供应商数量在GDPR推出后的短短一年时间内减少了3.4%，造成了巨大的损失。为了解决GDPR带来的负面影响，欧盟也在通过弱化信息所有者同意的方式来促进信息流通。例如，2022年6月生效的欧盟《数据治理法案》（DGA）第一条规定，允许信息所有者“在个人数据共享中介机构的帮助下使用个人数据”。这一规定实际上弱化了信息所有者的同意，也即信息所有者不需要每一次都对个人信息的获取及使用作出明确且清晰的同意，而是一次性对中介机构给出概括性的同意，之后交给中介机构进行利用即可。

在强同意模式不适应当下信息流通需求时，弱同意模式更追求同意的实际效果，在保留了被害人同意的前提下，降低了同意的认定标准，更加适应复杂的信息流转。我国已经开始认可企业进行公开数据的爬取，将公开的信息视为被害人已经同意他人获取的信息进行收集和利用。实务中部分案例也支持将弱同意作为出罪的事由。例如，在“王健侵犯公民个人信息案”中，法院认为涉案的法定代表人信息是相关当事人自愿公开的，相关人员在将此类信息公开时，必然会预见有被他人使用甚至不当使用的可能性。并且，在信息已经公开的情况下，依然要求获取被害人的明示同意“过于苛刻且不合理”。本案中，法院认为以明示同意作为被害人同意的认定标准显然过高，不利于信息流通因此不甚合理。

五、侵犯公民个人信息罪如何适用被害人同意的具体建议

（一）数字弱势群体的监护人代为作出的同意阻却犯罪成立

数字弱势群体是指由于信息时代下数字技术的快速发展，导致部分特定群体的数字应用能力不足，进而该部分群体表现出社会地位边缘、易受伤害等特点。例如，对信息时代中的未成年人与老年人团体应当予以特殊的保护。以未成年人为例，我国未成年人也积极地参与个人信息流通。据统计，我国当前未成年网民达1.91亿人，未成年人互联网普及率高达96.8%。同时，我国未成年人2021年遭遇过网络安全事件比例达25.5%，未成年人个人信息泄露问题有上升趋势。这与未成年人对个人信息泄露问题不知情、不敏感息息相关。在日本，有论者在2020年调查了2200名公民对于个人信息的认识，结果发现其中有33%的未成年人无法认识到数据收集带来的个人信息泄露风险。未成年人由于还没有完全进入社会，对于个人信息的社会意义认识不足，容易轻率地将自己的个人信息提供给他人。

对于未成年人的个人信息，不能仅以未成年人同意为由免除行为人侵犯公民个人信息罪的刑事责任。部分案例的做法值得肯定。例如，在“万克鸿等侵犯公民个人信息案”中，万克鸿从事非法网络放贷活动，向有贷款需求的未成年人和在校学生提供放贷服务。辩护人认为涉案公民个人信息数据的收集、使用获得了被害人的许可，因此万克鸿不成立侵犯公民个人信息罪。但法院没有认可被害人同意的效力，依然认为万克鸿构成侵犯公民个人信息罪。

只有数字弱势群体的监护人对被监护人的信息利用表示同意的，才能够阻却侵犯公民个人信息罪的成立。既然数字弱势群体无法对个人信息的获取及利用作出有效的同意，那么如果想要这一群体的信息也积极参与到社会的信息流通之中，就需要第三人代表信息弱势群体行使权利，来解决信息弱势群体能力不足的问题。有论者提出，数字弱势群体在处理个人信息时缺乏处理能力，与无民事行为能力或限制民事行为能力人在处理数据信息时的能力没有区别。因此，可以采用监护人制度来弥补数字弱势群体的能力不足。实践中已经开始采用监护人同意制度来处理未成年人的个人信息。有论者统计了36款手机应用的未成年人个人信息获取方式，发现这些手机应用全部要求监护人对未成年人个人信息的获取和利用表示同意。因此，在刑法中也可以考虑通过监护人制度，由监护人代表未成年人及老年人对个人信息的获取及利用作出有效的同意。如此，既可以让数字弱势群体的个人信息充分参与社会流动，同时也能够让监护人最大限度地保护被监护人在个人信息上的合法权利不受侵犯。

（二）被害人能够预见信息用途的同意阻却犯罪成立

被害人同意虽然应当在侵犯公民个人信息罪中采用行为说，但并不是行为人实施的所有行为都属于被害人同意的范畴。行为说中的行为是一种危险行为，这种危险应当具有高度的盖然性。也就是说，被害人在提供自己的公民个人信息时，通常能够意识到行为人将可能如何利用自己的个人信息。如果被害人能够预见到行为人大概率会利用自己的个人信息进行犯罪活动而依然提供的，该行为人就不应当成立侵犯公民个人信息罪，而只承担后续的犯罪活动的刑事责任。既然被害人能够认识到提供自己的个人信息将会为自己带来人身、财产的损害，依旧同意他人获取自己的信息，那么法律就不再需要对此类个人信息的获取利用加以保护。部分案例没有将被害人能够意识到信息使用方式的行为予以出罪，应予以纠正。例如，在“张某某侵犯公民个人信息案”中，法院认为，张某某私自进入数据库调取个人信息进行“飞单”售课的行为侵犯了学生及家长的知情权，成立侵犯公民个人信息罪。但是，学生和家长在将信息提供给教育机构时，能够预见到该机构的员工利用这些信息进行教育服务的推广，张某某的行为完全在被害人的预料范围之内。张某某仅是利用爬虫软件私自进入数据库调取信息，本质上是违反了公司的规定，而并不是对个人信息的侵犯，不应当被认定为侵犯公民个人信息罪。

反之，如果行为人对信息的使用超出了被害人可能预见的范畴，那么此时的被害人同意不能产生效力，行为人的行为依然构成侵犯公民个人信息罪。例如，在“王皓侵犯公民个人信息案”中，法院认为王皓的行为侵犯了学生和家长的知情权，成立侵犯公民个人信息罪。本案中，王皓收集公民个人信息时虽然都经过了学生及家长的同意，但是学生及家长仅仅能够预见王皓利用这些个人信息进行教育产品的推广，而无法预见到王皓会将这些信息提供给第三方机构。因此，学生与家长的同意并不包括同意王皓将个人信息提供给他人，这样的被害人同意不能产生同意的效力。

（三）在被害人公开范围内获取利用个人信息的行为阻却犯罪成立 

虽然被害人公开自己的个人信息也可以成为被害人同意的一种形式，但应当考察被害人公开其个人信息是否具有一定的范围，如果被害人仅在某一特定范围内公开自己的个人信息，行为人超越该特定范围获取并利用的，依然成立侵犯公民个人信息罪。被害人既然已经划定了公开的范围，就说明其对于范围以外的行为人获取自己的个人信息持否定态度，那么就不能再以被害人同意为由对行为人予以出罪。

首先，对于向全社会范围公开的个人信息，行为人获取并利用的行为不成立侵犯公民个人信息罪。被害人将自己的信息完全向社会公众公开，即意味着其自愿将信息供不特定人获取并使用，法律应当尊重这种选择，不能将行为人认定为侵犯公民个人信息罪。部分案例的观点应予以修正。例如，在“李某某侵犯公民个人信息案”中，法院认为，个人信息依法受法律保护，即便公民个人自愿公示于众，他人也不得擅自出售、出租，李某某依然成立侵犯公民个人信息罪。本案中，淘宝卖家的店铺信息既然是向不特定人公开展示的，店家的这种完全向社会公开的行为表明了同意他人获取自己的信息，李某某的行为不应当构成侵犯公民个人信息罪。如果将这种行为认定为犯罪，则任何人都不敢获取淘宝卖家的店铺信息，淘宝卖家公开自己的店铺信息也就失去了意义。

其次，对于限定范围内公开的个人信息，行为人超出范围的获取、使用的，应当成立侵犯公民个人信息罪。既然被害人没有将自己的个人信息向社会完全公开，就说明被害人并未同意所有人都可以获取并利用其个人信息。那么，如果行为人超出限定范围获取并利用个人信息的，就不能以被害人同意为由进行出罪。例如，在“王责丰侵犯公民个人信息案”中，法院认为，涉案简历并不能给不特定人使用，而是特定用户可以使用，不能够以涉案简历中的个人信息是公开信息为由否定王责丰构成侵犯公民个人信息罪。本案中，法院考虑了个人信息的公开范围，涉案简历仅对特定用户公开，那么非特定用户在没有获取被害人同意的情况下擅自获取并利用个人信息，依然成立侵犯公民个人信息罪。如果认可了行为人超出公开范围获取并利用被害人个人信息的行为，则被害人设定个人信息公开范围的意图就会落空。被害人划定公开范围的意思没有被法律所保护，这与被害人同意尊重被害人意思的宗旨相背离。

六、结语

2021年，习近平总书记在致世界互联网大会乌镇峰会的贺信中指出，数字技术正在给世界带来深远影响，因此我国也要“激发数字经济活力，增强数字政府效能，优化数字社会环境，构建数字合作格局，筑牢数字安全屏障，让数字文明造福各国人民”。个人信息作为数字经济的重要组成部分，如何对个人信息资源进行利用和保护，决定了我国能否发挥出个人信息的基础资源作用和创新引擎作用，能否加快形成以创新为主要引领和支撑的数字经济。在这一背景下，法律应当尊重和保护双方合意的个人信息流动，如果个人信息的获取和利用经过信息所有者同意，就不应再认定为侵犯公民个人信息罪。换言之，只有那些严重违背信息所有者意愿的个人信息获取及利用行为，才能够由最严厉的刑法规范加以规制。同时，要进一步适用个人信息保护法和民法典中的个人信息保护条款等前置法规范，以维护法律体系的层次性与整体性。通过上述措施，被害人同意理论更好地结合个人信息犯罪的特点加以适用，能够更好地服务于我国个人信息流通领域的秩序建设与经济活力提升，维持和进一步巩固我国作为信息大国的地位，从而引领世界范围内的信息产业，为构建信息时代的人类命运共同体贡献力量。