妖戏院“合理使用”公开的个人信息出罪路径的法教义学建构 ——从最高人民法院第194号指导性案例切入

　　来源：《西安交通大学学报（社会科学版）》2024年10月11日，知网网络首发。

　　摘要：为确保刑法与前置法的协调性以及统一司法适用，最高人民法院发布了第194号指导性案例对“合理使用”公开的个人信息予以出罪处置的做法值得肯定，但所提供的出罪理由不仅说服力不够，甚至缺乏规范依据，亟须为“合理使用”公开的个人信息建构体系化且具有针对性的出罪路径。“合理使用”公开的个人信息未遵循知情同意的个人信息处理机制而侵犯了信息权利人的信息自决权。侵犯公民个人信息罪中“违反国家有关规定”要件的功能旨在向法律解释者提示个人信息处理行为可能存在违法阻却事由，无法藉此排除“合理使用”公开的个人信息行为的构 成要件符合性。“合理使用”公开的个人信息虽具有形式违法性，但基于法秩序统一性原则，民法或行政法中的正当化事由可以在刑法领域起到阻却行为违法性的效果，故而能够以实质违法性欠缺为由对“合理使用”公开的个人信息行为进行出罪。通过解构《个人信息保护法》第二十七条的语义逻辑与考察“合理使用”的正当性基础，对于“合理使用”的判断应采取“行为效果标准”，即使用公开的个人信息没有造成法所不容许的利益损害的，就属于“合理使用”。

　　关键词：个人信息；合理使用；知情同意；信息自决权；出罪路径；行为效果标准；正当化事由

　　步入信息社会，不少企业或个人从公开的个人信息的“二次处理”中发现了牟利“商机”——将获取的公开的个人信息出售或提供给他人。公开的个人信息“二次处理”包括“获取行为”和“使用行为”。在《中华人民共和国民法典》(以下简称《民法典》)尚未出台前司法实务基本上不主张将未征得信息权利人同意而获取公开的个人信息的行为作为犯罪处理，但却普遍对后续擅自使用公开的个人信息的行为以侵犯公民个人信息罪论处。2020年5月公布的《民法典》第一千零三十六条第(二)项将“合理处理”确立为处理公开的个人信息的民事免责事由，这一规则的设置使得部分司法机关转变了此前入罪的立场，将“合理使用”公开的个人信息行为非罪化叫。2021年8月接续颁布的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第十三条第一款第(六)项将“合理处理”确立为处理公开的个人信息的正当化事由之一，并在第二十七条规定了公开的个人信息的合理处理限度。

　　在《民法典》和《个人信息保护法》相继确立公开的个人信息的“合理处理”规则后，为确保刑法与前置法的协调性以及统一司法适用，2022年12月，最高人民法院发布了第194号指导性案例——熊昌恒等侵犯公民个人信息案(以下简称“194号案例”)，对“合理使用’公开的个人信息行为的刑法适用问题进行指导性说明。该案的裁判规则如下:未取得信息权利人同意，或不具有法律授权的正当理由，行为人获取公开的个人信息进行非法使用，改变了信息权利人公开个人信息的范围、目的和用途的，不属于《个人信息保护法》等前置性法律规定的“合理使用”，应认定为《中华人民共和国刑法》(以下简称《刑法》)第二百五十三条之一第三款的“以其他方法非法获取公民个人信息”，情节严重的构成侵犯公民个人信息罪。

　　应当指出，自从《个人信息保护法》等前置性法律确立“合理处理”规则后，最高人民法院发布“194号案例”对“合理使用”公开的个人信息行为予以出罪处置的作法非常值得肯定。然而，在笔者看来，这一裁判规则所提供的出罪理由欠缺说服力。其一，非法获取个人信息与向他人出售或者提供个人信息同属于侵犯公民个人信息罪的构成要件行为，为何能够对未经同意获取公开的个人信息行为合法化，而后续改变公开的个人信息的范围、目的和用途的使用行为需要另行取得信息权利人的同意。其二，将后续的向他人出售或者提供个人信息行为认定为“以其他方法非法获取公民个人信息”，不仅与“非法获取”的语义严重不符而且会导致出售或者提供行为失去存立的空间。其三，依据“194号案例”提出的解释方案，对于合法获取公开的个人信息后非法使用的，要回溯至前一阶段将本来合法的获取行为认定具有非法性，这显然并不妥当。其四，对于“合理使用”的判断“194号案例”采取了“目的合致性标准”，即以获取公开的个人信息后的使用行为有无改变信息权利人公开个人信息的范围、目的和用途来判断公开的个人信息的使用行为是否属于“合理使用”。这种判断标准的问题在于:一方面，网络信息公开通常是一种事实行为，并无特定的目的可言，信息使用者难以从单纯的信息公开行为本身推断所涉主体的内心真意:另一方面，要求使用公开的个人信息必须符合该个人信息被公开时的目的，所带来的结果定然是大幅提高公开的个人信息的使用门槛，进而不当限制公开的个人信息的多元利用。“合法性的主张要求判决不仅与过去类似案例的处理相一致、与现行法律制度相符合，而且也应该在有关问题上得到合理论证，从而所有参与者都能把它作为合理的东西加以接受。”由于“194号案例”对“合理使用公开的个人信息行为所提供的出罪理由不仅说服力不够，甚至缺乏规范依据。在此背景下严格遵循法教义学的思维模式为“合理使用”公开的个人信息行为探寻合理且妥当的出罪方案就显得意义重大。

　　在阶层式犯罪论体系中，只有当侵犯个罪保护法益的行为形式上符合了该罪的构成要件，才需要继续考察这一行为是否存在正当化事由。由此可见，对“合理使用”公开的个人信息行为出罪理由的探讨，实际上是一个体系性判断问题。

　　法益概念既能够指导构成要件的解释，也是限定刑法处罚范围的工具。关于侵犯公民个人信息罪的保护法益，目前刑法学界存在个人法益论、超个人法益论与混合法益论三种基本立场的对立，而在这三种立场的内部还有诸多观点的分歧。如果不能确定侵犯公民个人信息罪的保护法益，则无从得知是否能够通过法益概念的指引对“合理使用”公开的个人信息行为予以出罪。

　　首先，必须先从刑法内部的规范以推断的方式确定具体犯罪的保护法益，而法条的体系位置则是确定具体犯罪保护法益的最重要依据。侵犯公民个人信息罪位于《刑法》分则第四章，该章所保护的同类法益明显与超个人法益无关。当然，具体犯罪所处的体系地位虽是确定保护法益的最重要依据，但不能视为“金科玉律”，同类犯罪的排列布置不具有惟一确定性。例如，《刑法》分则第八章的章名“贪污贿赂罪”只是该章两类重要犯罪的简单统合，没有像其他章的章名一样表征共同的法益要素。可以肯定的是，“对于规定在刑法分则第四章与第五章的犯罪，只要与构成要件内容没有明显冲突，就不能将其中的具体犯罪的保护法益确定为公共法益”。其次，将侵犯公民个人信息罪的保护法益确立为超个人法益会不当限小该罪的处罚范围。按照超个人法益的解释逻辑，只有当行为侵害了公共信息安全或其他超个人法益才能构成侵犯公民个人信息罪，仅侵害单个人的信息安全并不会受到《刑法》的规制。然而，一方面，如果行为人大量收集同一信息权利人的不同个人信息予以出售、提供，由于被害人单一，不可能对公共信息安全或其他超个人法益产生侵害或者侵害危险，但因涉案个人信息数量巨大，同样可能构成侵犯公民个人信息罪。另一方面，即使涉及主体众多，也不能就此证明侵犯公民个人信息罪的保护法益是超个人法益。例如，行为人收集特定50个人的个人信息向他人出售、提供。信息权利人数量的增加并没有促使法益的性质发生变化，多数个人法益的集合仍是个人法益，不会质变为超个人法益。最后，只有当相关法律不存在立法资料或立法原意在立法资料中模棱两可时，才不需要追求立法原意，否则就应对立法原意加以探索。《关于《中华人民共和国刑法修正案(七)(草案)》的说明》阐述了刑法开始独立保护个人信息的缘由，即“个人信息被非法泄露的情况时有发生，对公民的人身、财产安全和个人隐私构成严重威胁”。《关于(中华人民共和国刑法修正案(九)(草案)的说明》也明确指出，增设侵犯公民个人信息罪的根本目的是“为进一步加强对公民个人信息的保护”。从侵犯公民个人信息罪的这些立法说明性文件来看，立法者增设侵犯公民个人信息罪的初衷是为了强化个人信息的法律保护，防止与个人信息有关的人身利益或财产权益遭受不当侵害，这固然不能直接确定该罪保护法益的内容指向，但至少能够断定与超个人法益无关。

　　结合侵犯公民个人信息罪的刑法条文，侵犯公民个人信息罪的保护法益应是信息自决权一方面，侵犯公民个人信息罪的构成要件行为是“向他人出售或者提供”与“窃取或者以其他方法非法获取”，这两种行为在本质上都属于典型的违反信息权利人自我决定的个人信息处理行为，即信息权利人有权决定其个人信息是否被处理，以及处理的内容、方式、程度、范围、主体等。另一方面，《刑法》与《个人信息保护法》《民法典》等前置法所规定的保护法益并不完全一致。江海洋认为，即使征得信息权利人同意仍可能构成侵犯公民个人信息罪。例如，信息使用者取得信息权利人同意跨境提供个人信息，但没有按照《个人信息保护法》第四十条的规定通过国家网信部门组织的安全评估，如果最终导致危害个人基本权利或社会公共利益的后果，在缺乏其他正当化事由的情况下，仍可能构成侵犯公民个人信息罪。这种观点将前置法与刑法的保护法益等视，继而主张侵犯公民个人信息行为不仅可能会侵害信息自决权，对于侵犯公共信息安全的信息使用行为同样可以按侵犯公民个人信息罪追究刑事责任。事实上，根据《个人信息保护法》第一条不难发现，《个人信息保护法》不仅保护个人信息权利，还保护社会中合理利用和处理信息的活动，而后者通常与国家安全和利益、企业自由竞争和发展紧密关联。与之不同，侵犯公民个人信息罪仅规制未取得信息权利人同意或不具有正当化事由的获取个人信息以及向他人出售或提供个人信息，情节严重的行为，这只是注重保护信息权利人的个人信息权利，没有体现出与前置法一样的综合平衡保护立场。因此，只有当侵犯公民个人信息行为侵犯的是信息自决权，才有必要从构成要件层面进一步判断行为是否构成侵犯公民个人信息罪。

　　侵犯公民个人信息罪保护法益的确立对于限制该罪的成立范围以及甄别值得科处刑罚的侵犯公民个人信息行为，具有重要的法治价值。在信息自决权的法益概念之下，刘艳红认为，个人信息的公开是信息权利人自由选择、自己决定的结果，获取公开的个人信息并未侵害信息自决权，不构成侵犯公民个人信息罪。获取公开的个人信息后出售或者提供给他人除信息权利人要求“二次授权”之外，宜推定存在信息权利人的概括同意，故该行为不属于《刑法》第二百五十三条之一第一款的“向他人出售或者提供公民个人信息”。信息使用者获取公开的个人信息是源头行为，后续的向他人出售或提供是下游行为，既然源头行为合法则下游行为也不应入罪。这种观点试图从“合理使用”公开的个人信息并未侵害信息自决权出发，为该行为提供实质出罪的依据。但其面临两个问题。一是个人信息的公开并非都是经过信息权利人授权或自我决定的结果。个人信息的公开分为自愿公开与非自愿的强制公开。个人自愿公开其个人信息的，依社会经验和信息流通的客观规律，理应对公开的个人信息将被使用具有高度的预见可能性，这在一定程度上可以推定信息权利人同意他人使用。然而，非自愿的强制公开的个人信息由于不以信息权利人同意为前提，并不存在推定同意的成立基础。例如，公安机关对在逃的犯罪嫌疑人发布通缉令公开犯罪嫌疑人的个人信息，新闻媒体为曝光违法行为合理公开民事主体的个人信息，等等。这些个人信息的公开都是来自法律、行政法规的强制性规定，而没有遵循信息权利人的个人意愿。二是按照该观点的逻辑，所有针对公开的个人信息的使用都应是合法行为，非法使用公开的个人信息没有存在的余地。可以通过信息权利人的公开行为本身推定同意他人获取其公开的个人信息，从而认定行为人获取公开的个人信息行为合法。但是，信息权利人没有对公开的个人信息的后续使用行为进行明确约定或作出说明，源头行为合法并不必然推导出后续的出售、提供行为也符合信息权利人的意愿。

　　笔者认为，虽然个人信息在被公开后任何人都有可能对这一个人信息进行获取与使用，但这并不意味着信息权利人丧失了对其已公开的个人信息进一步处理的自我决定权。已经合法公开的个人信息仍然具有识别特定自然人的功能，不当的个人信息使用行为极易扭曲信息权利人的社会形象，对其人格发展和参与社会生活形成不利影响，或者损害信息权利人相应的财产性利益。因此，即使是公开的个人信息，法律也会特别限制他人使用，并赋予信息权利人拒绝他人使用的权利。《个人信息保护法》第二十七条将“个人明确拒绝”作为信息使用者可以“合理使用”公开的个人信息之例外，正是从侧面反映了个人信息并不会因为公开而失去法律的保护，信息权利人也不会因为个人信息已公开丧失对该信息的自决权益。概言之，“合理使用”公开的个人信息行为由于未取得信息权利人的同意而侵害了信息权利人的信息自决权，具有法益侵害性，故不能通过法益概念对之进行出罪处理。

　　构成要件符合性是犯罪成立的第一个要件，而构成要件符合与否是通过对构成要件要素的解释来实现的，构成要件要素的出罪解释是罪刑法定原则的体现。刘宪权认为，“合理使用”公开的个人信息行为并不违反前置法的规定，从而不符合侵犯公民个人信息罪的构成要件。这种观点将《刑法》第二百五十三条之一的“违反国家有关规定”作为侵犯公民个人信息罪的成立要件之一，从而主张在构成要件符合性阶层对“合理使用”公开的个人信息行为出罪。由此可见，“合理使用”公开的个人信息行为是否具有构成要件符合性关键在于如何理解《刑法》第二百五十三条之一“违反国家有关规定”。对于“违反国家有关规定”的功能定位，现阶段刑法学界存在构成要件要素说、提示违法阻却事由说、复合型机能说的分歧构成要件要素说认为，“违反国家有关规定”的实体性价值是向侵犯公民个人信息罪提供刑事不法根据。采取欠缺构成要件符合性出罪路径的学者正是以构成要件要素说作为立论根基。提示违法阻却事由说则认为，“违反国家有关规定”的作用在于强调具有正当化事由的信息处理行为不成立犯罪，即使删除这一规定也不影响侵犯公民个人信息罪的成立。在提示违法阻却事由说和构成要件要素说争论不休的背景下，复合型机能说悄然登场并对两者进行了批判。复合型机能说认为，《刑法》第二百五十三条之一为侵犯公民个人信息罪设定的构成要件并不完整，仍要参照其他法律规范才能判断犯罪是否成立:同时在处理个人信息时，应注意是否存在正当化事由。

　　事实上，构成要件要素说与提示违法阻却事由说产生对立的根源在于，对侵犯公民个人信息罪的犯罪性质究竟是法定犯还是自然犯存在无意识的理解分歧。这是因为，法定犯的认定具有行政依附性，如果侵犯公民个人信息罪是法定犯则“违反国家有关规定”就要承担判断行为是否具有行政不法的功能。如果侵犯公民个人信息罪是自然犯，只要实施符合构成要件的行为就直接损害了个人权益而具备刑事不法，“违反国家有关规定”是一种出罪事由而非行为是否具有行政不法的判断根据。一方面，侵犯公民个人信息罪的体系位置清晰表明该罪系自然犯。法定犯要求违反有关国家规定，但规定有“违反国家有关规定”的犯罪也可能是自然犯。例如，雇用童工从事危重劳动罪规定了“违反劳动管理法规”，但该罪却是典型的自然犯。侵犯公民个人信息罪位于《刑法》分则第四章，这意味着侵犯个人信息行为即使违反国家有关规定，但如果没有侵犯公民的人身权利或者民主权利，也不构成犯罪，由此决定了侵犯公民个人信息罪的根本性质系损害个人权益的自然犯。另一方面，信息自决权是人身权利在个人信息保护领域的具象化投射，信息使用者未取得信息权利人的同意擅自使用个人信息的行为都会侵害信息权利人的信息自决权。《刑法》第二百五十三条之一第一款和第二款在“违反国家有关规定”后明示了侵犯公民个人信息罪的行为内容，即未取得信息权利人同意擅自向他人出售或提供个人信息。第三款规定“窃取或者以其他方法非法获取公民个人信息”依照本条第一款的规定处罚，《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《侵犯个人信息刑事案件解释》”)第四条对此进行了解释。依据条文表述以及司法解释来看，这类行为与“向他人出售或者提供公民个人信息”在法益侵害性上并无本质差别，实质上都侵害了信息权利人的信息自决权。由此可见，删除第一款和第二款的“违反国家有关规定”并不会影响对侵犯个人信息行为刑事不法的判断，行政依附性缺失决定侵犯公民个人信息罪应属自然犯。在自然犯视野下，“违反国家有关规定”只是违法阻却事由的提示性规定，而不能视作构成要件要素在构成要件符合性阶层对“合理使用公开的个人信息行为进行出罪。由于一种犯罪不可能同时兼具法定犯与自然犯的犯罪性质，故复合型机能说并不可取。采取提示违法阻却事由说具有如下优势：

　　第一，采取提示违法阻却事由说能够使侵犯公民个人信息罪的司法适用变得相对容易。或许有学者会认为，在《个人信息保护法》出台后，“合理使用”公开的个人信息行为不再违反“违反国家有关规定”，可以显而易见地排除适用。如果这一构成要件要素不具有实体意义，仅仅依靠《刑法》规定的构成要件本身对行为的刑事不法性质作出判断，可能会使《刑法》的适用变得更为困难。但在笔者看来，侵犯公民个人信息罪的保护法益是信息自决权，只要没有取得信息权利人同意擅自获取、出售或提供其个人信息，就会导致信息自决权的损害，继而符合侵犯公民个人信息罪的构成要件，不需要再大费周章地查明侵犯公民个人信息行为是否违反国家有关规定。易言之，在确定侵犯公民个人信息罪的保护法益后，只需要以《刑法》规定的构成要件即可对该罪展开适用。如果将“违反国家有关规定”当作侵犯公民个人信息罪的构成要件要素，该罪在具体适用时就需要法官具体查明信息处理者有无违反国家有关规定。如此一来，不仅没有减轻侵犯公民个人信息罪的适用难度，反而会导致该罪司法适用的复杂化。

　　第二，采取提示违法阻却事由说更加符合罪刑法定原则。罪刑法定原则是刑法的帝王原则，是对犯罪构成要件要素的解释所必须坚持的法治底线。一旦将“违反国家有关规定”视为侵犯公民个人信息罪的构成要件要素，就意味着这一要素要为侵犯信息自决权行为的刑事违法性提供实质根据。根据《侵犯个人信息刑事案件解释》第二条之规定，《刑法》第二百五十三条之一的“违反国家有关规定”是指“违反法律、行政法规、部门规章有关公民个人信息保护的规定”。由此可见，“违反国家有关规定”的可容纳范围要显著大于《刑法》第九十六条的规定。根据《中华人民共和国立法法》(以下简称《立法法》)第十一条，关于犯罪和刑罚的事项只能由法律规定。如果将“违反国家有关规定”作为入罪条件，就变相承认了部门规章可以成为发动刑罚权的依据，这显然违背了罪刑法定原则。但是，将“违反国家有关规定”作为正当化事由的提示性规定就不存在这样的问题，因为部门规章可以作为弱化刑罚权的违法阻却的依据，而不必受制于《刑法》第九十六条以及《立法法》第十一条的束缚。

　　第三，采取提示违法阻却事由说同样有利于实现《刑法》的谦抑性。构成要件符合性是判断行为是否构成犯罪的第一道门槛，只有在构成要件符合性满足之后，再加以违法性和有责性的判断，才能最终确定行为是否构成犯罪。根据《个人信息保护法》第一条之规定可知《个人信息保护法》不仅保护个人信息权益，还要保护社会生活中的各种个人信息利用与处理活动。然而，侵犯公民个人信息罪所规制的仅是未取得信息权利人同意而擅自获取或向他人出售、提供个人信息，情节严重的行为。依据《个人信息保护法》第十三条之规定，这同样是一种违法行为，除非具有其他的正当化事由。更进一步来说，当信息处理行为具备了前置法规定的正当化事由，即使在刑法领域该行为形式上符合了侵犯公民个人信息罪的构成要件，仍可以在违法性阶层引入前置法中的正当化事由阻却行为的违法性，从而限制侵犯公民个人信息罪的成立，并不会出现未被《民法典》《个人信息保护法》等前置法确认为违法行为而被刑法认定为犯罪的情况。

　　总而言之，《刑法》第二百五十三条之一“违反国家有关规定”的功能旨在向法律解释者提示侵犯公民个人信息行为可能存在正当化事由。具体到公开的个人信息，没有取得信息权利人同意而擅自出售或者提供他人的公开的个人信息的行为，在形式上完全符合侵犯公民个人信息罪的构成要件，从而可以进一步推定行为具有违法性。但是，当法律、行政法规、国务院的部门规章对公开的个人信息的使用另存在正当化事由时，则例外阻却行为的违法性在提示违法阻却事由说之下，《民法典》和《个人信息保护法》等前置法确立的“合理处理规则于刑法的意义在于作为正当化事由阻却“合理使用”公开的个人信息行为的违法性。

　　在三阶层犯罪论体系中，符合犯罪构成要件的行为在缺乏正当化事由时，才真正具有违法性。童云峰认为，“合理使用”公开的个人信息是数字时代法益衡量原理下的新型违法阻却事由。本文也主张这种出罪路径。以下就如何从违法性阶层对“合理使用”公开的个人信息行为进行出罪展开分析。

　　符合犯罪构成要件的行为是否具有违法性，关键在于考察行为是否存在正当化事由，而正当化事由的范围则需要借助实质违法性这一概念工具才能合理确定。诚如耶赛克等所言:“在理解具体的各个合法化事由时，应从实质违法性概念出发。之所以如此，是因为所调合法化，是指某一行为虽然违反一般禁止规范，但在具体适用的案件中，被保护的行为客体较之侵害或者导致其危险的客体价值更高，而且行为人追求的目的适当。”形式违法性与实质违法性二元划分模式的起源可以追溯至德国学者李斯特，其指出：“对行为的法律评价可能有两个考察方法：形式违法是指违反国家法规、违反法制的要求或禁止规定的行为；实质违法是指危害社会的(反社会的)行为。”易言之，形式违法性是指违反刑法这种实定法秩序，而实质违法性则是支撑实定法秩序的实质基础。根据形式违法性，在三阶层犯罪论体系中，只要行为符合犯罪的构成要件，又欠缺法定的正当化事由，即具有违法性。但形式违法性不仅没有说明违法性的实体，而且还否定超法规的正当化事由的存在，这在复杂多变的风险社会显然有失妥当。只有将形式违法性与实质违法性结合起来，才更有利于说明违法性的本质，以及合理确定正当化事由的范围与根据。就“合理使用”公开的个人信息行为而言，首先应考察行为是否具有形式违法性。语义解释是《刑法》解释的起点，对《刑法》中任一条文的真实意涵都应从该法条所使用的文字出发进行阐释。《刑法》第二百五十三条之一对“个人信息”的特征描绘虽然未尽其言，但《侵犯个人信息刑事案件解释》第一条明确将“可识别性”作为界定《刑法》第二百五十三条之一“个人信息”内涵的核心要素。即使已经合法公开的个人信息也具有可识别性，同样属于侵犯公民个人信息罪的保护对象。“合理使用”公开的个人信息由于未取得信息权利人同意，侵犯了侵犯公民个人信息罪的保护法益--信息自决权。《刑法》明文规定的正当化事由仅有正当防卫和紧急避险，第十三条的“但书”规定是否可以当作阻却违法性的正当化事由目前学界仍存在不同意见。进而言之，“合理使用”公开的个人信息形式上完全该当于侵犯公民个人信息罪的构成要件，且不具备法定的正当化事由，因而该行为具有形式违法性。

　　在一个法治国家，正当化事由往往是基于法秩序统一性原则确立的。正因为如此，刑法学界通常认为，刑法中的超法规的正当化事由与法秩序统一性原则有关。也即是说，刑法中的超法规的正当化事由不仅要借助于实质违法性概念才能得以承认，而且是建立在法秩序统一性原则之上。一个国家的法律体系是由不同的法律部门组成的有机联系的统一整体，对同一违法行为同时由数个法律部门进行规制的情形并不罕见。在由各个部门法所组成的法律体系中，民法与刑法之间以及行政法与刑法之间属于前置法与后置法的关系，由此决定了在刑法适用的过程中民法和行政法对刑法有一定的制约作用。“合理使用”公开的个人信息的出罪问题属于典型的刑民交叉或行刑衔接问题，如何处理此类案件自然就涉及法秩序统一性这一刑法学领域内的重要原则。根据法秩序统一性原则，正当化事由应具有统一性，这一基本立场必须得到承认和贯彻，即在某一部门法中的正当化事由，在其他部门法中也应作为正当化事由。这是因为，各个部门法所不同的只是违法行为的法律效果，对于违法性的评价应当保持一致。如果在某个部门法领域中得到许可的举止行为在刑法领域仍要受到责难，这将会是一个难以令人忍受的价值矛盾，并且也将违反刑法的谦抑性。因此，对于正当化事由的考察应立基于整体法秩序的视野下进行。这意味着，不论是民法抑或是行政法领域的正当化事由，都可以在刑法领域起到阻却行为违法性的效果，而刑法领域的正当化事由同样可以使其他部门法领域的行为被正当化。《刑法》虽然没有明文规定公开的个人信息“合理使用”这一正当化事由，但《民法典》与《个人信息保护法》均确认了该行为的正当性。有鉴于此，“合理使用”公开的个人信息行为尽管侵害了信息权利人的信息自决权，符合侵犯公民个人信息罪的构成要件，且不具备法定的正当化事由，具有形式违法性，但基于法秩序统一性原则，非刑法规范中的正当化事由是刑法中出罪事由的重要资源，故而能够以实质违法性欠缺为由对之进行出罪。如果在前置法中正当的“合理使用”公开的个人信息行为不能作为刑法中的出罪事由，也即阻却行为的违法性，就会背离整体法秩序的目的诉求，导致国民行为不具有预测可能性。

　　“194号案例”对“合理使用”的判断采取的“目的合致性标准”在法理与情理上均面临诸多难以解决的问题，亟须重新建构一种兼具科学性与合理性的标准为司法实务提供判断尺度。马克思曾言:“法律应该是社会共同的、由一定物质生产方式所产生的利益和需要的表现，而不是单个人的恣意横行。”马克思的这一重要见解充分表明，法律是对社会生活中存在的现实利益的确认与保护，而不是立法者随心所欲的创造物。《民法典》与《个人信息保护法》确立的“合理处理”规则，正是因为公开的个人信息仍具有利益关涉性，超越合理限度使用公开的个人信息会造成相应的利益损害。因此，对于“合理使用”的判断应从“目的合致性标准”转向“行为效果标准”，即使用公开的个人信息没有造成法所不容许的利益损害的，就属于“合理使用”。

　　立法者在制定某个法律条文时不会对该法条为什么如此设计给出明确且具体的答复，但是法律解释者在具体适用过程中必须要为自己的解释结论找到足以令人信服的论证理由。对于“合理使用”的判断，笔者主张采取“行为效果标准”并非空穴来风，这不仅具有法律依据的支撑，而且符合“合理使用”的正当性基础。

　　“解释制定法时不能不注意:制定法并非任意的陈述，而是应当被遵守的规定、被拟定的裁判标准。”《个人信息保护法》第十三条第一款第(六)项的立法意义仅是赋予“合理使用”公开的个人信息行为的正当性，第二十七条才为公开的个人信息使用行为是否在合理范围内提供判断基准。有鉴于此，对于“合理使用”的判断标准应从《个人信息保护法》第二十七条提炼。

　　《个人信息保护法》第二十七条前句没有为“合理使用”提供判断尺度。《个人信息保护法》第二十七条前句规定的“个人明确拒绝的除外”对前段内容不可能起到相反、限制或者补充的作用，只能表示一般与例外的关系。这表明从私人自治领域进入社会领域的公开的个人信息，原则上可豁免于同意即能“合理使用”。虽然《个人信息保护法》对公开的个人信息的保护呈现出弱化态势，对其使用原则上无需取得信息权利人同意，但公开的个人信息仍承载着信息权利人的个人利益，若对公开的个人信息的使用没有任何限制，则可能会导致信息权利人的利益损害，会对个人参与社会生活产生消极影响。为防止公开的个人信息的使用损害信息权利人的个人权益，就需要赋予信息权利人对其公开的个人信息使用的拒绝权，让信息权利人有权及时阻止他人使用其公开的个人信息。“个人明确拒绝”在本质上是通过价值衡量使公开的个人信息从利用向控制进行回正，与同意撤回权的规范功能具有异曲同工之处，都是信息权利人根据自己的意愿控制支配个人信息的规范表达。从“个人明确拒绝”行使的法律效果来看，信息权利人明确拒绝的只是发生阻断“合理使用”合法性的效力，不具有判断使用公开的个人信息的行为合理与否的功能。

　　《个人信息保护法》第二十七条后句为判断公开的个人信息的使用行为是否合理提供了法律依据。《个人信息保护法》第二十七条后句暗含了两层意思。一是使用公开的个人信息对个人权益有重大影响的，不属于“合理使用”，但取得个人同意的，因存在被害人同意而使得行为具有了正当性。《个人信息保护法》第二十七条第二句的“对个人权益有重大影响”与第一句的“在合理的范围内”应是互斥关系。虽然立法者在设计条文时将“对个人权益有重大影响”和“在合理的范围内”分开规定，但在规范的实际适用中很难想象两者同时并存的情形。因为通常来说，“合理使用”公开的个人信息不会对个人权益有重大影响，使用行为一旦对个人权益有重大影响则不太可能在合理限度内。如果认为“对个人权益有重大影响”和“在合理的范围内”可以同时存在，那么法条就应当表述为“在合理的范围内处理已公开的个人信息，对个人权益有重大影响”。但是，《个人信息保护法》从设计到出台均未作出过这样违背常情常理的规定。即便使用公开的个人信息会对个人权益有重大影响，但依据《个人信息保护法》的相关规定取得个人同意时，仍可以使用公开的个人信息。这是因为，具有判断能力的信息权利人根据自己的意愿放弃自己可处分的利益，此时信息权利人的这种利益在法律上便失去了保护的必要性，法律不能过度介入与干涉他人的自由生活。换言之，“对个人权益有重大影响，应当依照本法规定取得个人同意”的言下之意是，使用公开的个人信息对个人权益有重大影响的不属于“合理使用”，但另行取得个人同意的就符合《个人信息保护法》第十三条第一款第(一)项的规定而自始被正当化。二是使用公开的个人信息对公共利益有重大影响的，不属于“合理使用”，即使存在个人同意也不能阻却行为的违法性。不在合理范围内使用公开的个人信息，也可能会对公共利益有重大影响。例如，根据《个人信息保护法》第三十八条之规定，信息使用者向境外提供个人信息的，应当具备通过国家网信部门组织的安全评估以及经专业机构进行个人信息保护认证等诸多条件。如果信息使用者不具备这些条件而向境外提供公开的个人信息，定然会对公共利益产生重大影响。立法者没有在此明文强调使用公开的个人信息对公共利益有重大影响，是因为同意的内容必须是信息权利人可处分的个人法益，对公共利益不能考虑被害人同意的问题。

　　以上解释结论可以通过《个人信息保护法》第一条进行佐证。《个人信息保护法》第条开篇就确立了“保护个人信息权益”和“规范个人信息处理活动”以及“促进个人信息合理利用”的三大立法目的以统揽全局。其中，“保护个人信息权益”的立法目的在《个人信息保护法》第二条再次得到重申，即信息权利人的个人信息权益受法律保护，任何组织或者个人不得侵害。人是目的而非手段，“规范个人信息处理活动”和“促进个人信息合理利用的立法目的最后肯定要服务于“保护个人信息权益”这一核心立法目的，但《个人信息保护法》跳脱出个人信息权益的保护意旨将两者同时作为独立的立法目的，实际上宣示了要对与个人信息相关的公共利益进行充分保护。因此，当信息使用者超越合理限度使用公开的个人信息，既可能损害个人利益，还可能损害公共利益，也可能同时造成个人利益与公共利益的损害。反过来说，如果使用公开的个人信息没有损害个人利益或公共利益，就属于“合理使用”。可见，“行为效果标准”是对《个人信息保护法》相关条文内在逻辑的贯彻与实现。

　　揭示“合理使用”背后的真正价值对于“合理使用”判断标准的建构具有决定性意义。区分信息权利人自愿公开的个人信息与非自愿公开的个人信息两种形态，并分别基于信息权利人的推定同意与优越利益豁免来构建公开的个人信息“合理使用”的正当性基础，这类观点目前取得了学界多数人的支持。例如，宁园认为，自愿公开的个人信息“合理使用”的正当性基础是推定同意，非自愿公开的个人信息“合理使用”的正当性源于与强制公开一致的利益保护目的。再如，杨芳认为，既然自愿公开的个人信息“合理使用”并不是一种排斥信息权利人信息自决权的个人信息使用制度，其理论基础只能来自于信息权利人同意，而非自愿公开的个人信息“合理使用”的正当性基础皆来自于第三人或者公共利益优先于信息权利人个人权益的利益衡量。这类观点存在两点缺陷。一是会不当限制公开的个人信息的多元利用。以推定同意作为自愿公开的个人信息“合理使用”的正当性基础，意味着信息使用行为要受个人意愿的约束，若信息使用行为违反了信息权利人的个人意愿则不构成“合理使用”。将一致的利益保护目的作为非自愿公开的个人信息“合理使用”的正当性基础，这也要求该个人信息的用途要与公开时的目的相同才能成立“合理使用”。可见这种观点只能为“目的合致性标准”提供法理支撑，所带来的结果必然是提高公开的个人信息的使用门槛，限制公开的个人信息的多元利用。二是难以精准把握“合理使用”的边界。在网络自媒体时代，信息权利人自愿公开其个人信息的目的往往具有多元性、复杂性与模糊性。例如，信息权利人在微博、抖音、微信公众号等社交媒体上自愿公开其个人信息的，很难说其公开个人信息究竟是出于何种目的。如果以优越利益豁免作为非自愿公开的个人信息“合理使用”的正当性基础，在第三人或者公共利益明显优于信息权利人的个人权益的场合对于“合理使用的判断要相对容易。但是，在第三人或者公共利益不明显优于信息权利人的个人权益的情况下，如何判断利益衡量的天平在刻度上是否倾向于其中一方就会成为难题。因此，为充分释放公开的个人信息所蕴含的资源价值以及为“合理使用”提供更具操作性的判断标准，应当舍弃这种观点而另行为“合理使用”寻觅一个更加妥当的正当性基础。

　　借助社会团结义务理论可以洞察公开的个人信息“合理使用”的正当性基础。现代社会是有机团结的社会，任何个人都不是孤立化、原子化的个体，而把各个社会成员同社会维系起来的纽带越来越成了劳动分工的结果，已经不再主要依赖共同的信仰和感情。鉴于自己与社会共同体成员之间的关系，社会要长期保持团结，就应在一定程度上容忍他人行为给自己带来的损害，最终换取自身利益和安全的最大化。社会团结义务所强调的，便是社会共同体的成员之间相互照顾和互助的这种责任关系。社会团结义务的论证原理是罗尔斯的“无知之幕”与自利理性人的假设。在罗尔斯“无知之幕”的思想实验之中，所有的社会成员都被魔术般地剥夺了所有知识，这些知识很可能成为自我利益偏见的基础;他们也不具有善的生活的价值观点，这些观点很可能影响他们对如何组织社会的看法。基于这种理论假设，自利理性人会普遍追求自身利益的最大化，即以牺牲自己现在可能的轻微利益来保全未来重大利益的安全。

　　具体到“合理使用”公开的个人信息，“无知之幕”下的自利理性人会普遍同意设立这一行为规则。一方面，自利理性人不能确保自己一直处于无辜第三人或者信息权利人的位置，而永远不需要使用他人的公开的个人信息。自利理性人的本性会驱使其预估自己在使用他人公开的个人信息时，设立什么样的行为规则能够为自己带来尽可能多的利益。在此，本文选择经济学中的经典方法论--博弈论来检验如何才能实现自利理性人的利益最大化。博弈对局中的三个基本要素是:对局者、策略、报酬。选择信息权利人和信息使用者作为对局者，假设前提是每个参与者均是自利理性人。如果法律未设立“合理使用”规则为信息使用者合法使用公开的个人信息制造空间，那么利益驱使下的信息使用者一定会铤而走险非法使用公开的个人信息。在面对信息使用者的利用需求时，信息权利人仅有两种选择:合作或不合作。可以肯定的是，当信息使用者合法使用公开的个人信息时，其收益总量一定大于实施非法使用行为时的收益总量:信息使用者合法使用公开的个人信息时，信息权利人的收益总量一定大于信息使用者实施非法使用行为时的收益总量。假设信息使用者实施合法使用行为的可得收益是60，实施非法使用行为的可得收益就是-20:如果信息权利人与实施合法使用行为的信息使用者合作的可得收益是40，信息权利人与实施非法使用行为的信息使用者合作的可得收益就是20。双方的博弈结果如图1所示。博弈结果显示，(合法使用，合作)组合的总收益是100，成为参与各方的最优行动策略。基于此，自利理性人都会普遍同意设立为自己带来最大利益的“合理使用”规则。另一方面，自利理性人在同意设立“合理使用”规则时必然意识到，自己也有可能处于信息权利人的地位，只要信息使用者使用公开的个人信息没有损害自己的重大利益，自己必须承受信息使用行为给自己的轻微利益带来的消极影响。依据《民法典》第一千零三十六条第(二)项之规定，使用公开的个人信息并未侵害信息权利人重大利益的，无须承担民事责任，又依据《个人信息保护法》第二十七条之规定，使用公开的个人信息对个人权益没有重大影响的，无须取得信息权利人同意，这即是社会团结义务理论所要求的容忍义务的规范体现。概言之，为了使个人利益最大化，在合理限度内使用公开的个人信息就会成为所有自利理性人均会同意设立的行为规则。进一步来说，社会共同体中的每一位成员均可以在合理限度内使用他人公开的个人信息，但当他人在合理范围内使用其公开的个人信息时，其就应负担社会团结义务，即容忍没有损害自己重大利益的信息使用行为。

　　“行为效果标准”是指，使用公开的个人信息造成法所不容许的利益损害的，不属于“合理使用”：反之，如果使用公开的个人信息没有造成法所不容许的利益损害的，就属于“合理使用”。法所不容许的利益损害包括两个方面的内容:一是使用公开的个人信息会对个人信息权益有重大影响，二是使用公开的个人信息会损害公共利益。

　　第一，要判断公开的个人信息的使用行为是否会对个人权益有重大影响，首先需要明确《个人信息保护法》第二十七条后句的“个人权益”之含义。如果仅从字面意思理解“个人权益”，其内容不仅包括法律规定的个人享有的各种权益，基于自然权利基础而享有的道德性权益也要纳入在内。但如此一来就会导致《个人信息保护法》对于“个人权益”的保护漫无边际，所以要适当限缩“个人权益”的内涵，将之限定在合理范围内。程啸认为，“个人权益”是指由实定法规定的与个人有关的任何权益，如《民法典》等民事基本法规定的民事权益，《宪法》规定的基本权利，等等。如此解读“个人权益”仍然过于宽泛。例如，自然人的生命权受法律保护，但无论如何使用公开的个人信息都不可能直接侵害自然人的生命权。故而需要在实定法规定的“个人权益”范围内对这一概念进行再度限缩。对于法条用语的含义，要结合该法律条文所在的结构体系位置以及条文的前后关联性才能确定，离开体系解释得出的法律解释结论难言妥当。《个人信息保护法》中“个人权益”一词共出现了8次遵循法律解释的体系性要求，对《个人信息保护法》不同条文“个人权益”的内涵都要作一致性理解，即《个人信息保护法》中的“个人权益”应是指与个人信息有关的权益，而不是泛指任何与个人相关的权益，且只能是具有实定法支撑的法定性权益。众所周知，个人信息同时兼具人格利益与财产利益的内在价值，这两种利益在信息权利人参与社会交往的过程中都可以得到充分体现。基于此，使用公开的个人信息对个人利益有重大影响，是指对与公开的个人信息有关的人格利益或财产利益有重大影响。

　　第二，信息权利人对使用公开的个人信息所造成的轻微损害负有容忍义务，法律所不允许的利益损害仅限于对个人信息权益有重大影响的情形。人具有社会性，作为日常生活基本场域的社会，社会成员之间定然不可避免地存在着各种冲突和摩擦，社会要想延续就必须直面这一问题，即消除或缓和社会成员之间存在的这种人际关系的紧张性。法律化的社会团结义务所起到的正是这样的作用:要求社会成员对他人的行为承担适当的容忍义务，以合理界定社会成员的交往边界，确保社会团结。反过来说，实施某项行为的人在其行为过程中，负有不使他人的利益遭受不合理损害的危险的注意义务。《民法典》第一千零三十六条第(二)项以及《个人信息保护法》第二十七条后句便是社会团结义务的规范表现，这要求信息权利人须对信息使用者实施的公开的个人信息使用行为负有轻微损害的容忍义务。使用公开的个人信息一旦对信息权利人的个人信息权益有重大影响，就超出了作为社会成员的信息权利人所能容忍的正常限度，此时信息使用者需要按照《个人信息保护法》的规定取得信息权利人同意，未取得同意的则应承担相应的法律责任。这里的“重大”一般包括两个方面的内容:一是对个人信息权益造成较为严重的损害;二是对个人信息权益存在较高的损害危险使用公开的个人信息是否会对个人信息利益有重大影响，或者说如何判断使用公开的个人信息的行为有无在信息权利人所能容忍的正常限度内，可以参考《个人信息保护法》第五十五条进行判断。具体来说，《个人信息保护法》第五十五条第(五)项规定了“其他对个人权益有重大影响的个人信息处理活动”，依据同类解释规则，对个人权益有重大影响的个人信息使用行为应与使用敏感个人信息、利用个人信息进行自动化决策、向境外提供个人信息等行为基本相当。《个人信息保护法》第二十七条规定的“对个人权益有重大影响”可作相同解释，即在与利用个人信息进行自动化决策、向境外提供个人信息等相类似的场合使用公开的个人信息的，通常不属于“合理使用”。即是说，这些公开的个人信息使用行为都超出了信息权利人所能容忍的正常限度。如果公开的个人信息使用行为对信息权利人影响轻微，例如，利用公开的个人电话号码向个人进行广告推送、商业营销等，发送频次合理，对私人生活安宁的侵扰处于合理限度的，信息权利人仍负有容忍义务。

　　第三，使用公开的个人信息会损害公共利益的，即使存在信息权利人的同意也不能认定为“合理使用”。使用公开的个人信息是否损害了公共利益，可以通过使用行为有无违反公法规范进行判断。时至今日，对于保护规范的界定所形成的理论共识是:只要包含保护公共利益的内容就属于公法规范，公法规范也必然包含保护公共利益的内容。因此，只要公开的个人信息使用行为违反了公法规范，就意味着使用行为损害了公共利益，继而不构成“合理使用”。《个人信息保护法》横跨多个法律部门，这使得许多条文都有私人利益指向，从而无法判断究竟是属于公法规范还是属于私法规范。例如，《个人信息保护法》第四十一条有私人利益指向，但从保护国家信息安全的角度来看，也包含明显的公共利益内容。再如，《个人信息保护法》第二十四条第一款和第二款主要是保护私人利益，而第三款的“对个人权益有重大影响的决定”又可看作同时保护公共利益。事实上，在这种场合公法规范与私法规范的区分并不重要。这是因为，即便使用公开的个人信息对信息权利人的个人信息权益有重大影响，信息使用者取得了信息权利人的同意，但由于该个人信息使用行为违反公法规范而损害了公共利益，对公共利益的损害并不因为存在信息权利人的同意而得以正当化。所以这种情形自然不能认定为“合理使用”。

　　如何对“合理使用”公开的个人信息行为进行合理出罪?以下就以本文开头的“194号案例”为例展开说明。被告人熊昌恒等人获取的公开的个人信息具有可识别性，系属侵犯公民个人信息罪的保护对象。各被告人在未取得信息权利人同意的情况下，擅自将获取的公开的个人信息出售、提供给他人，侵犯了侵犯公民个人信息罪的保护法益——信息自决权，该当于侵犯公民个人信息罪的构成要件，具有形式违法性。基于法秩序统一性原则，前置法中的正当化事由可以直接运用至刑法领域阻却行为的实质违法性。《民法典》第一千零三十六条第(二)项将“合理处理”作为使用公开的个人信息的免责事由，而《个人信息保护法》第十三条则直接将“合理处理”列为使用公开的个人信息豁免于同意的正当化事由。据此，虽然被告人熊昌恒等人使用公开的个人信息行为侵犯了侵犯公民个人信息罪的保护法益，且无法排除行为的构成要件符合性，但如果属于“合理使用”便具备正当化事由而可以不作为犯罪处理。依据“行为效果标准”，被告人熊昌恒等人使用公开的个人信息行为危及了信息权利人的人身利益或财产利益，造成了法所不容许的利益损害，故而不属于在合理范围内使用公开的个人信息。因此，被告人熊昌恒等人使用公开的个人信息行为欠缺正当化事由而不能阻却行为的实质违法性，应以侵犯公民个人信息罪论处。

　　应基金会邀请，由北京大学、清华大学等7所高校共40名师生组成的大陆高校师生访问团11月27日抵达台湾，开始为期9天8夜的交流参访行程。11月29日下午，大陆高校师生访问团到台湾文化大学参访。

　　据临海公安，以虫子、毛发为犯罪工具，勒索中高档酒店，一男子流窜全国20多个地区，疯狂作案63起。近日，一起跨区域流窜敲诈勒索案被大洋派出所侦破，该男子现被移送临海市人民检察院审查起诉。

　　近日，中国福利发行管理中心发布声明:近期发现有单位或个人冒充我中心、我中心所属中福彩科技发展有限公司发表不实言论、开展违法违规活动，该行为严重违反了相关法律法规规定，误导了公众认知、造成了不良社会影响。

　　平顶山冷藏货车内8人死亡事故调查报告公布：牛肉包装箱内干冰升华，致人窒息

　　近日，平顶山市应急管理局在其官网公布《平顶山高新技术产业开发区轻型厢式冷藏货车“6·15”较大窒息事故调查报告》。11月29日，应急管理部微信公众号对事故调查报告内容进行了推送。

　　11月10日，Z女士在上海市闵行区君某香中医诊所治疗时，遭到医生侵犯。Z女士向潇湘晨报记者讲述了事发经过，自己是经朋友介绍到这家中医诊所治疗和调理身体的，前期做了10次针灸，对医生已经比较信任。

　　蛟龙去，灵蛇来。11月29日，中央广播电视总台《2025年春节联欢晚会》发布主题和主标识。乙巳蛇年春晚将在欢乐吉祥、喜气洋洋的总基调中，以“巳巳如意，生生不息”为主题，与全球华人相约除夕、欢度农历新年。

　　天气渐冷各类秋冬限定水果也上市了柿子、山楂、蜜梨让人食指大动但最近山姆出售的这款山楂却备受争议近日，某社交平台上，不少网友发文吐槽山姆超市在售的“迷你双色山楂”，称吃完几个就会胃胀反酸、甚至胃结石。

　　女高管与男下属上班约会开房，被开除后辩称：一直保持0.46-1.22米“个人距离”

　　之后，公司以严重违纪为由开除女高管，女高管辩称，自己与男下属一直维持0.46-1.22米的“个人距离”，并不存在亲密关系。

　　上海的吴女士表示，“我的房贷利率原本是4.2%，现在下调到3.3%了，后悔提前还房贷了。”招联首席研究员董希淼表示，有三种情况不适合提前还贷，你了解吗?

　　Wind数据显示，截至11月22日收盘，COMEX黄金报2718.2美元/盎司，涨幅1.62%，周涨幅达到5.76%。

　　李长明，北京豪亨律师事务所创始合伙人、名誉主任、律师、从事律师工作37年。