争鸣 | 陈禹橦：检察官视角下的出罪理由——也谈民法典对刑法解释的影响

《刑事法判解》由北京大学法学院主办，陈兴良教授任主编，车浩教授任执行主编，人民法院出版社发行。刊物关注刑事司法领域的实务问题，诚邀学界和实务界同仁赐稿。

公号&刊物来稿请至：xingshifapanjie@126.com

文/ 陈禹橦

北京市人民检察院第一分院检察官、中国社会科学院大学刑法学博士生

作者为第七届全国十佳公诉人

也谈民法对刑法解释的作用：

回应律师对侵犯公民个人信息案法宣的批评意见

作者题记：或许检察官身份决定了检察官更愿意与律师在法庭上“唇枪舌剑”，而不习惯于在自媒体或者朋友圈“针锋相对”，对于律师的质疑和评论，哪怕不认同，也懒得回应，或者觉得没必要回应。就本文而言，当辩方用学术眼光点评一篇法宣文章时，第一感觉是“过于较真”，众所周知，法宣文章限于文章体裁，不可能按照严谨的学术规范表达观点，但深入思考背后问题后，倒觉得不回应不足以阐明立场和观点。当然，笔者也在反思，既然认为用学术眼光评价法宣的做法不妥，又撰文回应批判文章的做法，是否前后矛盾？其实，笔者的本意并非“以彼之矛攻彼之盾”，而是希望通过本案探讨，加深控辩双方对彼此的了解，作为司法实务人士，解释和适用刑法是本职工作，指控和证明犯罪的主战场是法庭，但法庭之外，对于热议问题，如果一方始终缄默，让每一场可能深入下去的讨论戛然而止，可能也不利于真正意义上增强法律共同体的对话。正所谓“理不辩不明”，希望以此文回应批判文质疑的同时，从不同角度，延伸实务讨论深度，真正增进控辩双方对彼此的了解。

先把引起讨论的案例放在前面：

近日，一篇刊载于《检察日报》的侵犯公民个人信息案法宣《出卖公开的企业信息谋利：检察机关认定行为人不构成犯罪》（载《检察日报》2021年01月20日第01版）受到一定关注。

本文认为，批判文大前提所称的“入罪以法，出罪以理”的观念本身存在谬误，违背了“法秩序的统一性”，而法宣案例涉及的侵犯公民个人信息罪系法定犯，对该罪的实质解释，必须考虑前置法内容，在民事领域对公民个人信息处理的行为的合法性边界也处于不断加深认识的情况下，而非已有定论，或通过民法原理就可轻易、直接得出无罪的结论。因此，某种意义上，《民法典》的颁布，确实为妥当处理涉公开公民个人信息刑事处理问题，提供了有力支持，通过梳理处理公民个人信息民事免责事由的民事立法脉络，结合《民法典》第1036条第2项、第1038条等规定，对侵害公民个人信息罪进行实质化解释进而出罪的做法，不仅符合刑法解释原则，更有良好的导向作用，值得鼓励。

批判文称《民法典》包括了大量编纂整合内容以及新的“创制规范”，应当对二者对刑法的影响区分评价，认为本案涉及的“处理公民个人公开信息”属于前者，依据之前的民事原理便可得出无罪结论。这种观点的大前提有误，即“处理公民个人公开信息”免责事由并非前两者之一，进而得出的结论自然有失偏颇。

（一）被忽略的第三种：“改”式编纂

如所周知，编纂民法典不是制定全新的民事法律，而是对现行民事法律规范进行的科学整理，全国人大常委会法制工作委员会民法室主任黄薇作为民法典编纂者具体工作亲历者，将民法典的编纂式立法总结为“立、改、废”，“立”是制定新法律规范，填补现行民事法律制度空白，“改”是针对现行民事法律规范中国不适应新情况需要修改的内容进行的针对性修改完善，“废”则是将婚姻法、民法通则等9部已纳入民法典内容同步废止，保留其余23部法律与民法典并行实施（民法典颁布前，有效的民商事法律共32部）。因此，上述二分法恰恰忽略了民法典最大一类编纂，即“改”式编纂，该类编纂，既非简单整合，也非“创制规范”，而“处理公民个人公开信息”民事免责事由的入典，就体现了这种“立中有改”的编纂思路。从民法典第1036条的立法沿革来看，该条文并非既有规定的简单编纂整合，而是体系化重构。

《民法典》第1036条规定了三种处理自然人个人信息免责事由的免责情形，“处理个人信息，有下列情形之一的，行为人不承担民事责任：（一）在该自然人或者其监护人同意的范围内合理实施的行为；（二）合理处理该自然人自行公开的或者其他已经合法公开的信息，但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外；（三）为维护公共利益或者该自然人合法权益，合理实施的其他行为。”

从本条的立法沿革来看，第一，在《民法典》本条一、二审稿及三审稿、定稿中，对本条均曾有修改，如本条及二、三审稿就曾将一审稿中共五项免责事由删改为三项，去除了兜底条款，减少了对个人信息权益的不当限制，将“为学术研究、课堂教学或者统计目的在合理范围内实施的行为”以及“为维护公序良俗而实施的必要行为”删去，增设“为维护公共利益或者该自然人合法权益，合理实施的其他行为”，定稿最终在第1、2项中分别增加了“合理”实施和“合理处理”的要求等。第二，本条内容可以参照对比2014年最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定，但在具体内容和体系上都有重新调整，这种调整恰恰体现了《民法典》体系化、分类保护的思路，1036条区分了公开信息和未公开信息的不同处理免责事由，并据此规定了不同适用条件和“但书”条件，体现了对两者的不同保护力度，在民事解释原理上出现重大区分，这不是之前规定的简单编纂整合，而是体现出《民法典》对公民个人信息保护的体系化不同解释路径，更加明确了保护公民个人信息不同“法益侧面”的立法意图。

（二）动态平衡：处理公民个人公开信息免责事由的立法目的

关于个人信息的立法，现代各国面临的首要问题均是如何平衡个人信息保护与促进信息自由流通之间的关系，中国亦不例外，一方面，当前个人信息滥用现象突出，保护自然人的个人信息不受侵犯是立法的重要任务；另一方面，在大数据和云计算时代，包括个人信息在内的数据，只有充分地流动、共享、交易，才能实现集聚与规模效应，最大程度地发挥价值，因此，如何妥当处理好个人信息保护与信息自由流通之间的关系，一直是各国立法，包括我国《民法典》制定过程中着力寻求的平衡点。

应当说，上述平衡点在民事上并非已有定论的问题，而是引发讨论的新兴热点问题。例如，民法学界之前争论的个人信息究竟是“个人信息权还是个人信息利益”，表面是是否认可个人信息权利属性，背后则是避免因为影响他人利用数据信息进而影响大数据产业发展等方面的考虑，诸如此类关于公民个人信息新问题，由于在《民法典》之前没有明确规定和体系性建构，对民事违法性存在争议，相应也给刑事认定犯罪带来诸多困扰（如后分析，法定犯的前置法问题），本文探讨的处理公民个人公开信息免责事由的规定，就体现了个人信息保护与促进信息自由流通动态平衡的立法目的。

根据《民法典》第1036条规定，在适用本条免责事由时，一是要认定是否属于自行公开或合法公开，如非法公开即使公开也不适用本条免责；二是要准确认定是否属于“但书”，即自然人明确拒绝或者处理该信息侵害其重大利益，立法给明确拒绝方式的认定、侵害重大利益的范畴都留下了司法实践的解释空间，有观点认为“但书”规定在立法上保证了信息主体的最终决定权，并体现了权利行使的比例原则；三是提出“合理处理”的行为总要求。应当说，《民法典》在体系性建构处理公民个人信息免责事由的同时，通过上述三个方面，为学理上的延伸探讨和司法实践中实现这种动态平衡，留下了较大的解释空间。

综上，“处理公民个人公开信息”免责事由的立法演进至少证明了，该免责事由并非依据民法基本原则、原理前规范就能简单径直作出的判断，《民法典》也不是将之前已有规范内容的简单编纂整合，其背后体现了民事领域对该问题认识的逐渐深入，对实现个人信息保护与促进信息流通之间动态平衡的立法目的。

面对法宣文的简单案情描述，我们难以判断该行为是否属于“合理处理”、该处理行为是否属于“自然人明确拒绝或者处理该信息侵害其重大利益合理处理”等争议问题，但批判文据此便认为该行为属于“合法公开且未而未违背权利人意愿或侵害重大利益行为”，并以民法原则、理念出罪的思考方式，并不是刑法实质解释的态度，入罪谨慎出罪亦应当谨慎。

（一）解释前提：侵犯公民个人信息罪的法定犯属性

批判文在论及侵犯公民个人信息罪刑法解释规范目的时，将本罪评价为“自然犯或者兼具自然犯与法定犯属性之犯罪”，但未给出明确的犯罪理论分类依据。

笔者认为侵犯公民个人信息罪系法定犯，因为刑法第二百五十三条之一第一、二款可以概括为“违反国家有关规定”提供公民个人信息行为，第三款是非法获取公民个人信息行为，这里的“非法”，根据2017年两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称“侵犯公民个人信息解释”）第四条规定也是“违反国家有关规定”，本罪成立的前提要件均要求“违反国家有关规定”，本罪显系法定犯。因此，《民法典》或者其他前置法的相关规定，一定程度上会对本罪构成要件的解释产生影响。

法宣文所称“根据《民法典》1036条规定,既然没有证据证实小吴出售合法公开信息的行为遭到权利人拒绝或侵害其重大利益，就不应当认定为侵犯公民个人信息罪”的观点，是对民法典明示免责事由的适用，因为如果民事上都属于免责事由，即不承担民事责任，更不宜认为其具有刑事违法性，进而不宜解释符合侵犯公民个人信息罪犯罪构成，这种认定逻辑符合法定犯的解释思路，并无不妥。应当认为，适用侵犯公民个人信息罪时，特别是对相关提供公民个人信息行为定性时，不仅要对标《民法典》的相关规定，坚决防止将符合《民法典》规定的行为认定为“违反国家有关规定”，甚至按照犯罪处理。

（二）前置法思路：公开、非公开信息不同处理规则

《民法典》对公民公开、非公开个人信息免责事由的不同规定，作为一种新兴且动态变化中的“信息法益”（信息属性究竟是权利还是利益还有争议），刑法在确定侵犯公民个人信息罪保护法益以及相应构成要件解释时，必须注意到这种前置法的区分规定思路。

首先，《民法典》区分公开、分公开公民个人信息不同处理规则，为我们体系化解读“非法提供个人信息”提供了依据。《民法典》第1038条第1款规定“信息处理者……未经自然人同意，不得向他人非法提供其个人信息……”，似乎将是否“经自然人同意”作为所有向他人提供信息的前提条件，但联系《民法典》第1035条第1款、第1036条第2项规定进行体系化解读，便可以得到这样的结论：第1038条第1款针对的是非公开个人信息而不包括公开的个人信息。

因为根据《民法典》第1035条第1款、第1036条第2项的规定，对于非公开个人信息，除法律、行政法规另有规定的外，处理相关信息需要征得该自然人或者其监护人同意，即采取知情同意原则；对于公开的个人信息，除自然人明确拒绝或者处理相关信息侵害其重大利益的外，合理处理相关信息不需要征得该自然人或者其监护人的同意，即采取推定概括同意原则。既然公开信息原则上推定自然人概括同意，没有必须征得同意的前置程序，未经同意向他人提供行为本身，自然不属于第1038条第1款的“非法提供”。

其次，《民法典》颁布前，2017年6月1日起施行的《网络安全法》相关规定，部分体现出《民法典》的区分意图。《网络安全法》第44条规定，“任何个人和组织……，不得非法出售或者非法向他人提供个人信息”，这种表述有别于2012年全国人大常委会《关于加强网络信息保护的决定》第一条第二款“不得出售或者非法向他人提供公民个人电子信息”的规定，根据决定规定，任何出售公民个人信息都属于禁止范畴，不存在合法交易空间，但《网络安全法》的“非法出售”显然给合法出售和提供公民个人信息留下了空间，这种改变从《网络安全法》对立法目的的规定中也能够得到体现，该法第一条规定，本法制定目的是“保障网络安全、维护网络空间主权和国家安全、社会公共利益、保护合法权益，促进经济社会信息化健康发展”，该目的充分体现了公民个人信息保护与公共利益的平衡性。

有学者指出，“个人信息保护是在个人信息使用过程中保护个人权益不受侵犯，但个人信息不属于个人所有，法律也不会赋予个人对个人信息的排他支配权，这样的授权会产生非经个人（数据主体）同意，不得使用个人信息的法则，这样的法则下，许多人类社会活动无从展开。”

因此，在社会信息化、大数据不断迭代发展的大背景下，从2012年《关于加强网络信息保护的决定》到2017年《网络安全法》再到2020年《民法典》，民事立法对公民个人信息保护的认识不断深入，至少，“数据主体的知情同意”并非所有处理公民信息行为民事免责的事由，已经成为共识，对公开信息处理的合法性边界在进一步探索中，该问题从也并非毫无争议的民事原理就能推出的结论。

（三）解释进路：“非法提供”的实质解释

需要注意，对犯罪构成要件的解读，应当以刑法法条而非司法解释条文为依据。并非司法解释不需要解释，而是因为司法解释并不是法条的充分、必要条件，而可能只是适用情形之一，如果只以司法解释为解释对象，可能会误判该罪法条本身的涵射范围。

就刑法第二百五十三条之一侵犯公民个人信息罪而言，该条三款规定了跟公民个人信息有关的两种行为，一是提供行为，二是获取行为。法宣文涉及行为的性质，是向他人提供已合法公开公民个人信息，由于信息已经处于公开状态，获取信息显然不是“非法”，获取也无需征得同意，这本身没有争议，争议点在于再次向他人提供行为是否属于该罪的“非法提供”行为。

应当说，在《民法典》颁布前，刑事理论和实务界对于此种行为是否构罪一直存在较大争议。构罪观点认为，根据侵犯公民个人信息解释第三条第二款规定，未经被收集者同意，将合法收集的公民信息向他人提供的行为，属于“刑法第二百五十三条之一规定的“提供公民个人信息”，在符合其他犯罪构成要件的情况下，应被认定为侵犯公民个人信息罪。无罪观点则认为，合法公开即意味着知情且放弃权益，后续处理该已公开信息行为当然无罪（批判文观点同）。

如前分析，《民法典》的颁布，明确了公开、非公开信息处理规则的区别，以及“非法提供”针对的是非公开信息的重要内容，为“获取公开信息后再提供给他人不需要再次征得同意”（二次授权）规则的确立，扫清了障碍。因为《民法典》既然都不要求已公开信息的再次处理需要再次授权，那么再次处理已公开信息行为显然没有“违反国家有关规定”，也不属于“非法提供”，进而不属于本罪客观行为。出罪的关键并非基于自然人的同意放弃权益（针对非公开信息），而是对公开信息不适用“二次授权”规则的深入理解。

通过梳理刑法修订本罪立法沿革，也可以佐证这种思路。《刑法修正案（九）》（草案第一次审议稿）原本规定的“出售或者提供个人信息”行为入罪前提条件是“未经公民本人同意”，但《刑法修正案（九）》最后将该条件修改为“违反国家有关规定”，证明刑事立法上，也没有采用将“同意免责”作为所有公民个人信息免责前提的结论，而是给后续的区分性解释，留下了空间。

据此，对于法宣文章所述“行为人向他人提供已合法公开公民个人信息”情形中，如果行为人提供行为属于“合理处理”，也不属于自然人明确拒绝或者提供行为侵害了该自然人的重大利益，应当认为行为人相关的提供行为属于合法行为，不属于“违反国家有关规定”获取、提供公民个人信息的行为，进而不应当认定为构成侵犯公民个人信息罪。在这个意义上，法宣文章称 “民法典的‘新规范’给侵犯公民个人信息罪解释的规定本身或其规范内涵理解带来了‘新变化’”，并不存在问题。

综上，在《民法典》没有将公开、非公开信息处理规则体系化，以及厘清相应“提供”行为范畴的前提下，由于缺少前置法的指导，不同解释各有依据，导致刑事领域认定结论的不统一。《民法典》颁布后，为刑法上对该罪的实质、妥当解释提供了强有力的前置法依据，即：对于已合法公开信息的再次处理行为，原则上不属于侵犯公民个人信息罪中的“非法提供”，例外时通过解释《民法典》但书条款等，贯彻平衡保护个人信息与促进信息自由流通的观念，对本罪保护法益和犯罪构成要件进行实质解释。

但我们也注意到，《民法典》的颁布，只是初步明确了处理公开信息不需要“二次授权”规则，但对于何谓“合理处理”以及除外条款的适用范围，还有待于实践进一步探索和理论研究的跟进，例如再次公开是否有“公开场景”限制？如何划定“概括同意”范围？不仅民法领域应当追求个人信息保护和信息自由流通的平衡，刑事解释领域中也应当重视这种立法意图，结合谦抑性等原则以及我国对公民个人信息保护的水平发展等，谨慎入罪。

“入罪以法，出罪以理”的观念并不妥当

批判文在批判司法人员以《民法典》出罪为机械司法之余，提出要全面贯彻“入罪以法，出罪以理”的观念。时下，学界新创设的概念、观念并不鲜见，但是否经得起推敲，则需要对其内涵外延的界定，批判文未对该观念进行解释，作者只能根据前后文及字面大概揣测其含义可能为：入罪需要遵守罪刑法定原则，出罪则可以依照民事基本原理。本文认为，该提倡观念含义本身容易让人产生“有违罪刑法定原则和法秩序的统一性原理”的误解，不宜使用和提倡。

1. 罪刑法定原则，要求入罪、出罪的唯一依据都是是否符合犯罪构成要件，不能在犯罪构成要件之外寻找出罪事由。

罪刑法定原则的实质要求，不止针对入罪，也针对出罪，这也是诸多刑法学者围绕刑法第13条后半段但书“但是情节显著轻微危害不大的，不认为是犯罪”是否能单独作为出罪事由争论的焦点理由之一。部分学者认为不宜直接依据“但书”出罪的理由便是，罪刑法定原则要求犯罪构成要件具有定型性，认定构成犯罪或者不构成犯罪的唯一依据都应当是构成要件，因此，出罪的理由应当是通过实质解释不符合犯罪构成要件，而非在犯罪构成要件之外另寻其他事由。

笔者同意该观点。实践中，用犯罪构成要件之外的事由出罪看似有利于保障人权，如果承认司法恣意性，随意出罪的危害并不一定小于随意入罪。需要说明，出罪遵循罪刑法定原则，是指以不符合具体犯罪构成要件为出罪事由，但不意味着出罪需要“主客观相统一”，只要在违法性、有责性层面符合其一，便可以出罪，以正当防卫为例，正当防卫作为违法阻却事由，阻却了防卫行为的违法性因而出罪，偶然防卫无罪说认为此时不需要主客观相统一（不需要有防卫意识），但这显然不属于在犯罪构成之外寻找出罪事由。

2. “出罪以理”不等于超法规阻却犯罪事由。

所谓超法规犯罪阻却事由指的是，没有法律明文规定，但有理论支持的，阻却违法性、有责性的出罪事由，如期待可能性，不具有期待可能性的行为应当阻却有责性，否定犯罪成立。但本文的“出罪以理”所指的民事原理，并不属于刑事领域的超法规阻却犯罪事由，更不能直接作为“出罪”依据。

3. “出罪以理”违反了法秩序统一性的原理。

批判文在批判检察人员依据民法典直接出罪的同时，提出应当适用民法原理或者前制定性规范出罪，即所谓“出罪以理”（“在无明文民事规范或者明文民事规范需要进一步解释的场合，面对法律填补或解释的需求，对整体民法秩序中的民法原理与一般法理、事理、情理等前制定性规范不知适用或因某种顾虑而不予适用：则司法的能动性仍旧不足，同样可能导致刑民法秩序冲突或者刑法解释违背常识常理常情的有害结果”）。

笔者认为，出罪亦需要“以法”，检察人员将某一行为出罪的依据既不能是民法典，也不能是民法基本原理，而只能是不符合刑法规定的犯罪构成要件。

一般来说，法秩序的统一性是指“由宪法、刑法、民法等多个法域构成的法秩序之间互不矛盾，更为准确地说，在这些个别的法领域之间不应作出相互矛盾、冲突的解释。”这里的民法法域，当然既包括广义的民法典以及其他民事规范，也包括民法的基本原则、原理等，争议问题的关键不在于民法法域范围大小，而在于如何理解“统一性”。

“法秩序的统一性”是在法秩序层面的统一，但不意味着直接援引民法法条或原理进行刑事出罪的统一，换言之，“法秩序的统一性”绝不意味着出罪可以依据民法，而只能在“是否具有刑事违法性”层面提供理论支持。具体内容包括：

第一，“法秩序的统一性”要求不能将民事上合法行为评价为刑事犯罪，因此，正当行使合法权利等民事上合法行为，当然阻却刑事可罚性，不可能构成刑法中的犯罪行为。第二，“法秩序的统一性”承认民事、刑事领域有不同的立法目的、解释方法、保护法益等，因此，在具体结论上的不统一，恰恰是更高层次的实质性法秩序的统一。例如，刑法对“占有”的解释与民法不同，并不违反法秩序统一性；民事有产品质量的严格责任，但刑法严守责任主义原则；刑法禁止不利于被告人的类推解释，但民事并未绝对禁止；民事领域允许法官直接援引法律总则性条文如诚实信用原则等否定民事行为的有效性，但刑事领域是否能不考虑分则具体犯罪的构成要件而直接依据总则原则性规定出罪，存在巨大争议等等，这些不同，都不违反法秩序的统一性原则。

因此，探讨“法秩序的统一性”时，首先应当先对该行为是否具有民事合法性进行判断，是否符合“统一性”前提。如果属于民事合法行为，应当认为该行为不具有刑事违法性，不符合该罪犯罪构成要件涵射范围，进而无罪；如果不属于民事合法行为，则本来就无需判断是否符合法秩序统一性问题；如果属于民事合法性有争议的行为，存在不同观点，一种观点认为，刑事应当秉持谦抑性原则，不宜过早介入，即无罪，另一种观点认为，应当依据是否符合刑事构成要件独立判断是否构罪，这也是本案类似情形在《民法典》颁布之前产生诸多刑事适用争议的重要原因之一。

就本案而言，如前分析，如何划定“处理公民已公开个人信息”行为的民事合法性边界，在民事领域属于认识不断深入、观念与时俱进的新问题，而非早已定论的原则、原理性认识，“法秩序的统一性”原理并不能给类似本案处理以直接回答，用一个曾经有争议的民事认识分歧问题作为“出罪以理”的依据，显然是对“法秩序的统一性”精神的误解和误用。