已公开个人信息保护视角下人肉搜索涉罪行为研究

何晶 景鹏成

[摘 要]关于“合法收集，二次公开”的人肉搜索能否为侵犯公民个人信息罪所评价，当前刑法学界和司法实务中存有较大争议，但随着网络暴力的蔓延愈加猖獗，对此值得予以探讨。首先，应当明确的是《刑法》第253条之一的法益包含了具有可识别性的非隐私信息及其所反映的人身财产利益在内的个人信息权保护；其次，“将已公开个人信息再次公布”属于“提供”的范畴，当公开行为符合违法阻却事由的限制规定时就具备了“违法”前提，并且当违法性的量达到法益现实侵害时即构成犯罪。

[关键词]网络暴力；已公开个人信息；法益定位；民刑衔接

随着大数据互联网的发展，人肉搜索型網络暴力在近年来不断泛滥升级，严重危害到公民的人身财产安全，面对严重侵害个人法益的“人肉搜索”行为，现行民法、行政法难以予以有效治理，需要刑法介入并充分发挥其评价功能。2023年9月25日“两高一部”发布了《关于依法惩治网络暴力违法犯罪的指导意见》（以下简称《指导意见》），第4条明确规定“组织人肉搜索”可以构成侵犯公民个人信息罪。然而，刑法学界目前针对现实生活中典型的“合法收集、拼凑已公开个人信息，并再次公布于网络”的人肉搜索行为该如何规制尚存疑问。此类行为通常不涉及非法牟利，且“二次公开”能否构成“非法提供”及该类行为的民刑适用该如何衔接等问题亟待讨论，这使得《刑法》第253条之一面临适用困境。据此，本文主张有必要重新审视《刑法》第253条之一在“合法收集、二次公开”情况下的适用可能性。

一、侵犯公民个人信息罪法益的实质解读

（一）侵犯公民个人信息罪的法益内涵：个人信息权

法益概念作为为刑法保护对象提供经验和事实基础的一项重要概念，将人们的生活利益作为保护对象，无论是在刑法解释论还是立法论上都起着指导作用。因而，侵犯公民个人信息罪的法益定位对于该罪的打击评价范围具有直接影响。故明确该罪的法益对于解释人肉搜索行为能否为该罪所精准评价是极其必要的。

当前刑法学界对于侵犯公民个人信息罪的法益定位，大体可分为个人法益说和超个人法益说，其下又各有多种分支观点。现有愈来愈多的学者基于“个人信息”的复杂法益内涵，主张将其定义为个人信息权，并作为一项新型权利予以独立保护。笔者赞成此趋势，认为侵犯公民个人信息罪保护的是个人法益，且该罪的法益内涵复杂，是将多种法益予以泛化评价的，是以兼具个体人身利益和财产利益为内容的综合性新型个人权利。

原因在于：其一，此罪在刑法分则中所处位置为第四章“侵犯公民人身权利、民主权利罪”。我国刑法分则的章节编排有一定的体系秩序，立法者做此立法安排在一定程度上说明了该罪的法益保护目的，即该罪与侮辱罪、诽谤罪一样，侵犯的主要法益是公民个体的人身权利。需注意的是，此罪的犯罪行为也可能同时会侵害到财产利益，甚至危及公共信息安全这类超个人法益，但这是随着信息社会发展而产生的附随法益，并非此罪保护法益的主要内容，不应本末倒置，混淆本罪的法益本质。

其二，刑法法益的界定必须在法秩序统一的背景下进行，只有经过前置法调整并承认的法益才是刑法保护的客体[1]。换言之，刑法的法益保护与前置法的权利保护在本质上是一致的，二者仅为程度和手段上的区别。刑法并不存在独立的保护法益，而是基于比例原则对统一的宪法价值秩序予以阶层式的保护。因此，可以通过参考此罪的前置法设置目的和权利对象，来帮助确定此罪的法益。侵犯公民个人信息罪的前置法主要包括《个人信息保护法》《网络安全法》《民法典》等，其中《个人信息保护法》与公民个人信息具有直接密切关联，可谓最重要的前置法。该法第2条将侵犯公民个人信息违法行为所侵害的对象明确界定为特定自然人的法益，而非网络管理秩序或信息安全这类抽象的超个人法益。

其三，将个人信息权作为本罪的保护客体，使得本罪的法益具有“个人信息”这一可把握的存在论基础。首先，根据中国人民银行2020年9月发布的《金融数据安全数据安全分级指南》规定，信息是“关于客体（如事实、事件、事物、过程或思想，包括概念）的知识，在一定的场合中具有特定的意义”。个人信息作为人们参与现代信息社会的交流载体，产生自特定主体的生产生活，能够独立客观地存在于信息系统，反映特定主体的思想、事实，并被信息主体所控制或授权给其他信息参与者进行大数据收集、处理、利用等。这充分体现出个人信息的本质特征——特定自然人的身份可识别性。若无身份可识别性则仅是无主的不明信息，无法侵犯到任何信息有权者的信息利益，更不可能被非法利用于实施人身、财产犯罪。因此，个人信息是个人利益。通过分析近年来我国个人信息保护的立法历程，2016年《网络安全法》第76条第5项；2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《信息解释》）第1条；2021年《个人信息保护法》第1、2条规定对个人信息的实质界定，也可窥见“可识别性”要求。据此，该罪的法益即个人信息权的内涵指：个人信息本身的存在而产生的个人信息自决权，和个人信息的社会动态流动及其反映功能所产生的其他法益，如个人信息安全和涉及个人的人身财产利益的人身财产犯罪的预备行为实行保护。

（二）“非法牟利”定位之修正

有学者认为，该罪是打击利用公民个人信息牟利及侵犯公民隐私权的行为，而“合法收集，二次公开”采取的合法搜集的方式，且不具有牟利目的，难于对接适用此罪[2]。笔者不赞同此观点，原因在于该观点未正确认识侵犯公民个人信息罪的法益内涵。

第一，该观点认为此行为不具有非法牟利性，是对此罪行为方式的误解。法益具有指导构成要件解释的机能，“非法牟利”之所以被规定为《刑法》第253条之一的行为方式之一，是由于在数据大交易、大流通、大共享的时代背景下公民个人信息的财产权属性不可抹灭。但刑法并未规定本罪的所有行为类型均须受牟利目的支配，而只是现实典型表现形式之一。况且刑法的目的是保护法益，犯罪的本质是侵犯法益，定罪量刑从根本上说就是对法益侵害的种类和程度进行考量，而不在于行为人获得的利益[3]。该观点仅认识到个人信息的财产价值，却忽视了其最基础、本质的法益内涵——人身权。换言之，即使没有违法所得，但只要符合“非法提供”这一构成要件要素，并达到相应的信息种类和对应的数量要求，也可能构成本罪。

第二，该观点认为此罪是打击侵犯隐私权的行为，对法益的界定范围类似于隐私权说过于狭隘，并未厘清个人信息、个人隐私信息和隐私权的关系，偏离了此罪所规定的信息保护范畴和法益保护范围。隐私权限于个人私密信息、空间、活动和私人生活安宁；此罪的个人信息则指“单独或相结合而具有公民身份“可识别性”的信息或特定活动情况”，即具有可识别性的个人信息是包括个人隐私信息和非个人隐私信息的。因此二者并不等同，而是存在交叉关系，交叉部分即为个人隐私信息，不能以侵犯隐私权来任意限缩本罪的法益保护范围。

综上，本文认为，将已公开的非隐私但具有身份可识别性的个人信息再次公布的人肉搜索行为，虽不具有牟利意图，但若使得信息主体的人身、财产安全法益受到侵害的，就能够为侵犯公民个人信息罪所评价。

二、“合法收集，二次公开”行为的不法判断

（一）“向网络公开”的行为属于“提供”的实质范畴

笔者认为此罪的提供方式没有限定，不用拘泥于提供对象是否特定。换言之，无论是向特定个人提供，还是为不特定多数人所知悉，都属于“提供”的范围，这符合此罪的法益保护目的。

根据2017年《信息解释》第3条的规定，其明确了在信息网络向不特定多数人发布他人个人信息的行为应当被认定为此罪的“提供”行为，与笔者观点相印证。此外，在法益侵害程度的对比上，网络人肉搜索不同于传统的“一对一”提供，其基于网络特性多表现为“一对多”“多对多”的模式[4]。将受害者的个人身份、财产状况、行踪轨迹等发布于公共网络的人肉网暴行为，受信息网络受众范围广、不确定，信息传播速度指数级倍增，网络匿名的违法参与积极性等因素调控，易产生聚众效应。此行为能对受害者的个人信息安全造成现实危险，其中某些敏感信息可能危及人身和财产安全，甚至产生实害后果。基于此类行为的同时性和巨量性，其危害性远高于传统的“一对一”模式。既然“向特定人提供”都属于犯罪构成要件要素，举轻以明重，“向网络公开”当然属于本罪的“提供”行为 。

（二）“违反国家有关规定”定位之确证

关于“合法收集，二次公开”行为是否应被刑法所规制，有反对意见指出，“人肉搜索”是行使宪法保护的言论自由、参与社会公共治理的民主监督权的途径，以及顺应信息流动常态化时代的一种正常趋势。但须注意的是，网络暴力的滋生蔓延是网络空间中安全价值与发展价值不协调的结果，只有在法律理性平衡网络关系各方主体权利义务之后，安全和发展才得相容共存[5]。故不应顾此失彼，完全忽视信息利用不当所引发的不法行为。

《刑法》第253条之一规定的三项侵犯公民个人信息的行为均具有“违反国家有关规定”的前提。因此，“合法收集，二次公开”的人肉搜索行为也必须具有此性质，才有展开探讨是否满足“情节严重”的必要。

对于“违反国家有关规定”的定位，本文认为是违法阻却事由。缘由在于：其一，恰如有论者所言，“国家有关规定”中并未涉及犯罪构成要件要素。其已被完整规定于《刑法》第253条之一和《信息解释》之中，罪状结构完整，违法要素明确[6]。而《网络安全法》《个人信息保护法》涉及构成犯罪的条文表述都无实质构成要件要素。其二，司法实务验证了此观点，有学者通过检索现有司法案例得出，在当前适用此罪的判决书中，“本院认为”部分基本从不指明被告人违反“国家有关规定”的具体法律法规和条数[7]。据此表明，此罪的适用并不依赖于空白罪状的描述，“违反国家有关规定”应属违法阻却事由，而非构成要件要素。这亦附带否认以“违反国家有关规定”是法定犯的典型表现佐证本罪保护的是超个人法益的观点。换言之，此罪本质上是自然犯，并不以违国家行政管理秩序（法定犯）为刑事违法性前提，而是以前置法的正当化事由作为违法阻却事由，起着对刑罚制裁的限缩性作用。

（三）“合法收集，二次公开”行为的合理处理之否定

故若要以侵犯公民个人信息罪评价“合法收集，二次公开”的人肉搜索行为，就得以其不具有违法阻却事由为前提。依该罪的前置法规定，违法阻却事由主要是《个人信息保护法》第13条、《民法典》第1035条和《网络安全法》第41条规定。同时根据《个人信息保护法》第27条和《民法典》第1036条第2项规定，可知对已公开信息合理处理虽无需“二次授权”，但也有限制阻却违法的情形。关键在于，应当如何认定“合法收集，二次公开”的人肉搜索行为不属于合理处理？

其一，从行为对象角度出发，若“合法收集，二次公开”人肉搜索的行为对象是公众人物，行为主体出于参与社会治理的目的行使宪法保护的公民监督权，实施人肉搜索予以监督批评，可以定性为“合理处理”。但若行为对象针对的是普通公民，则不存在合法化事由。普通公民本身并不负有承担和容忍网络舆论监督的义务，且此行为易诱发对其重大民事利益的侵害，受害者又难以如公众人物一般掌握众多公共資源，在短时间内消除影响恢复原状。换言之，公民行使监督权、发表个人喜恶意见等不应针对同社会公共利益无关的第三人人格权益。

其二，从“合理”的具体判断标准出发，可以结合信息主体初始公开信息的场景，并参考《刑法》第253条之一的“情节严重”来建构双重认定模式。首先，针对信息初始公开的场景，一方面须考虑到信息主体基于主动或强制被动而公开的特定目的，如是基于寻求商业合作、社交需求还是依法遵守信息披露义务等。后续信息处理者对该类信息进行加工、提供等处理行为不得与初始公开目的明显相悖，如用于人肉搜索等，否则不符合信息主体行使信息自决权的心理预期和公开的风险接受范围；另一方面须将信息的公开程度作为考量因素。因为信息的公开程度通常与信息主体对信息风险的容忍度成正比，与一般社会公众认为信息主体默示同意处理的程度成正比，与信息主体的控制权程度成反比。若“合法收集，二次公开”人肉搜索采集的信息已属“烂大街”型，行为一般不具有违法性。其次，应当考虑到此罪入罪情节标准之一的信息敏感度。信息敏感度作为此罪法益在客观要件中最直观的体现，直接反映了信息主体人身、财产被侵犯的危险程度。信息敏感度越高，在符合第一重认定标准的基础上，法益侵害危险越紧迫，行为违法性越强；另一方面应考量行为人对其处理行为的影响评估[8]。行为人在处理开始前是否明知可能造成信息主体个人重大权益如生命权、身体权、健康权及财产权益侵害。如若明知，则应先保证信息主体的知情同意以获得免责。否则可能因他人利用行为人提供的信息实施犯罪，而被推定为符合《信息解释》第5条第2项的“知道或应当知道”，进而入罪。

另外，《指导意见》第4条规定的“违法收集并向不特定多数人发布”，有学者认为“合法收集，二次公开”行为并未违法收集，不符合此条。笔者认为此理解将导致该罪的入罪范围过于狭隘和严格，《刑法》第253条之一列举的行为方式本身并无既要满足非法获取又要满足非法提供之义，且明显与有效规制泛滥的网络暴力犯罪的指导意见初衷背道而驰。笔者认为，该条规定应将“违法”的涵摄对象改为是“收集或公布”行为，即两项行为中有一项或全部违法就符合。

三、“合法收集，二次公开”行为的民刑规制衔接

对于“合法收集，二次公开”人肉搜索行为是否值得被科处刑罚？此罪属于情节犯，2017年《信息解释》第5条对此罪的入罪情节采取了混合认定模式。而这些入罪标准与前置法的违法标准之间有何区别与联系？

在法秩序统一原理下，前置法不认为违法的，刑法在“质”上当然也不具有违法性，但刑法的违法性判断基于违法量的严重程度不同而相对独立，即违法行为并不必然具有刑事违法性。笔者认为可采取“一般违法性＋严重的违法量与社会危害程度＝犯罪”这一模式来说明刑法与前置法的关系。前文已论述该行为在结合上述判断标准分析后不存在前置法的违法阻却事由，具有一般违法。但其还应具备“可罚的违法性”，才能达到刑法上的犯罪本质要求。本文认为，可罚的违法性判断标准应以在“量”的方面，侵犯法益达到一定程度，并且违背社会相当性适于更为严重的刑事制裁情形为标准。否则该行为可以“情节显著轻微危害不大”为由否认其可罚的违法性，予以出罪，并以前置法归责。

此罪作为情节犯，并非所有违法出售或提供、非法获取公民个人信息的行为都构成犯罪，只有达到刑事上的违法量的要求才构成犯罪。正如《信息解释》第5条第（3）至（5）项将个人信息按“影响人身、财产安全”的程度划分为三等，高度敏感信息、敏感信息、一般信息，又规定了相应的数量要求。这表明该罪的信息侵犯必须满足前置法的“质”和违法量上足以危及生命权、身体健康权、人身自由等人身权利或附随的财产权利时才应入罪，是一种具体危险犯。而对身为前置法的《民法典》第1036条但书所规定的“重大利益”的侵犯和《个人信息保护法》第27条的“对个人权益有重大影响”，若侵害上述权益的量仅达到妨碍前置法各项民事权益的正常行使，或造成的损害程度尚未达到刑法所保护的人身、财产安全的现实紧迫，则不应入罪。此即《刑法》第253条之一与前置法的区别。故本文不认同将违法所得数额作为入罪标准，因为违法所得与法益侵害程度并无必然关联。

总而言之，在不违背罪刑法定原则精神的前提下，将情节后果严重的“合法收集，二次公开”人肉搜索行为，合理合法地扩大解释适用到现有罪名中去是可取的。其相较于非法采集未公开信息的人肉搜索入罪的确更应谨慎，但若符合此罪的各项构成要件要素且不具有违法阻却事由，刑事司法就不应置之不理，使此罪沦为“僵尸条款”[9]。

结束语

在大数据互联网时代的激荡中，人肉搜索违法犯罪达到新高峰。尤其是通过收集受害者已公开个人信息，再次在公共网络发布成为人肉搜索的主要类型。学者们在对此行为予以刑事规制时陷入了“死胡同”，即忽视了从非法提供的角度予以入罪的可能性。本文主张“合法收集，二次公开”行为可以迂回适用侵犯公民个人信息罪。否则，会严重限制对现实中人肉搜索犯罪的打击范围和诉讼率，网络暴力犯罪的惩治力度也会大打折扣，《指导意见》第4条也将成为难以适用的僵尸条款。

参考文献

[1]田宏杰.刑法法益：现代刑法的正当根基和规制边界[J].法商研究，2020，37（6）：75-88.

[2]石经海，黄亚瑞.网络暴力刑法规制的困境分析与出路探究[J].安徽大学学报（哲学社会科学版），2020，44（4）：78-89.

[3]张明楷.刑法學（第3版）[M].北京：法律出版社，2010。

[4]喻海松.网络暴力的多维共治：以刑事法为侧重的展开[J].江汉论坛，2023（5）：128-135.

[5]刘艳红.网络暴力治理的法治化转型及立法体系建构[J].法学研究，2023，45（5）：79-95.

[6]汪恭政.侵犯公民个人信息罪认定的应然转向[J].西南政法大学学报，2022，24（3）：112-128.

[7]蒋昊.“违反国家有关规定”定性之刍议：以侵犯公民个人信息罪为例[J].东南大学学报（哲学社会科学版），2021，23（S1）：50-54.

[8]刘宪权.擅自处理公开的个人信息行为的刑法认定[J].中国应用法学，2022（5）：20-33.

[9]于冲.网络“聚量性”侮辱诽谤行为的刑法评价[J].中国法律评论，2023（3）：87-98.

作者简介：何晶（2003— ），女，汉族，江西萍乡人，新疆大学法学院，在读本科。

研究方向：刑法。

景鹏成（1992— ），男，汉族，甘肃民勤人，新疆大学法学院，讲师，硕士。

研究方向：司法辅助。