案例|徵得同意，仍構成侵犯公民個人資訊罪？

資料合規的關鍵之一便是以書面形式徵得c端使用者對其資料處理的同意，通常認為，

充分的同意足以抵擋各類法律風險

。但是，作為社會底線的刑法實務似乎不這麼認為，廣東省2018年生效的一則刑事判決指出：徵得使用者同意的資料處理行為，仍然具有構成侵犯公民個人資訊罪的可能性。

為資料合規的順利開展，颯姐團隊旨在對此判決爭議焦點展開討論，以供各位讀者參考。

基本案情

2016年1月至2017年5月，在

徵得某寶店鋪所有人同意的基礎

上，被告人宋某、黃某將該某寶店鋪（店鋪中含個人身份資訊、支付寶賬號、支付寶賬號密碼和繫結的銀行卡等個人資訊）出售給被告人鄧某牟利，被告人鄧某隨後在網路上搜尋買家，將某寶店鋪出售牟利。2017年7月7日及同月19日，公安民警分別將被告人鄧某及宋某、黃某抓獲，從三人住處繳獲作案用的電腦、手機一批。經檢查提取，從被告人鄧某電腦提取了5096組公民個人資訊，從黃某的電腦提取了715組公民個人資訊，從宋某的電腦提取了1312組公民個人資訊，期間，被告人宋某獲利約20000元，黃某獲利約10000元。

案件焦點

颯姐團隊認為，本案的爭議焦點系定性問題，即：

在公民同意的基礎上，三被告人處理其資訊資料的行為是否構成侵犯公民個人資訊罪？

判決結果

一審法院廣東省開平市人民法院作出的（2018）粵0783刑初215號判決書載明：三被告人均構成侵犯公民個人資訊罪。量刑為11個月至1年有期徒刑不等，並處罰金。

二審法院廣東省江門市中級人民法院在（2018）粵07刑終267號刑事裁定書指出“原審判決認定事實清楚，定罪和適用法律正確，量刑適當，審判程式合法”，允許上訴人撤訴。

法院觀點：超個人法益

本案一審法院對於爭議焦點作出的解釋是：“本罪名侵犯的客體不僅僅是公民個人的人身權利和民主自由權利，

還包括社會管理秩序

，故即使被出賣個人資訊的註冊人是同意的、且有獲得對價，仍侵犯了本罪的客體。”

從《刑法》第二百五十三條之一侵犯公民個人資訊罪的文義來看，法條以“違反國家有關規定”為前提，

並無“未經公民同意”等表述

，據此，法院將本罪保護的法益從個人法益擴張至社會管理秩序，即超個人法益。

歷史淵源的誤導

《刑法修正案（九）》（草案一次審議稿）規定侵犯公民個人資訊罪的前提條件系“未經公民本人同意”，而非現在的“違反國家有關規定”。

有些法律實務工作者將這一變化理解為：

即便經過公民本人同意，只要違反國家有關規定，仍然可以構成犯罪。

這也是法院擴張本罪保護法益範疇的歷史原因所在。

事實上，據颯姐團隊判斷，

這一變化的目的是出罪，而非入罪

，即，未經公民本人同意，只要資料處理的行為未違反國家有關規定，行為人就不構成侵犯公民個人資訊罪。

颯姐團隊提出這樣觀點的原因主要在於對本罪法益的理解，我們將在下文與各位分享。

侵犯公民個人資訊罪的法益分析

如前所述，颯姐團隊對法院觀點持保留意見。誠然，

本罪的創設確實含有公法的影子

：一方面，本罪以“違反國家有關規定”為前提，而不以“侵害公民合法權益，造成損失”為前提，可見，本罪體現出的是公法法益觀；另一方面，本罪“情節嚴重”的標準不考慮個人對其資訊的控制程度，均以數量作為標準，更是印證了這一點。

但需要明確，本罪涉及的公法法益觀是用於保護個人資訊權的，而不是用於保護資訊公共安全的某種超個人法益。

在刑法上，公共安全的解釋極為有限，通常認為，“公共”系不特定人或多數人，“安全”系生命健康權與重大財產權。

侵犯公民個人資訊罪顯然可以僅針對特定個人成立，這一客觀情況與將法益理解為超個人法益的解釋相矛盾。

因此，將資訊公共安全作為本罪的法益保護物件是缺乏依據的。颯姐團隊認為，在徵得公民同意的基礎上，對資訊的處理

不應構成犯罪

。

寫在最後

設立《刑法》的目的除了維護社會秩序之外，還有保障個人合法權益。

將一切個人權利解釋進社會管理秩序的傾向，不利於個人合法權益的保障。颯姐團隊衷心希望，這樣的傾向在侵犯公民個人資訊罪的司法實踐中能夠少出現一些。如充分告知與徵得同意不能有效限制刑法風險，資料合規工作的困難將更上一層樓。

以上就是今天的分享，感恩讀者！