爬取已公開個人信息行為的刑事歸責研究
——以侵犯公民個人信息罪為視角

王 霖，馮彩思

貴州財經大學 法學院，貴州 貴陽 550025

網絡爬蟲技術的泛化運用使得技術本身的隱性刑事風險逐漸顯現，其中或因規?；淖ト⌒袨閷е聜€人信息的外泄，或因爬蟲本身突破“反爬協議”喪失中立化的技術底色，引發技術應用異化的刑事風險。梳理既有研究成果，發現學界更多聚焦于網絡爬蟲技術濫用所引發的數據安全問題，或是著作權與人身權益內涵闡釋之間的保護范式差異，但對善意爬蟲行為在具體適用領域以及不同作用對象上的不法性區別并未獲得充分的學理關照，而這恰好關乎個案場景下刑事歸責界限的確定問題。就此而言，統括式的歸責路徑雖然具有判定方式上的便宜性，但也因場景化、類型化考察缺失而存在解題能力有限的缺陷，難以有效回應司法實踐個案的刑事歸責難題。既有成果雖就網絡爬蟲之技術特征、運行基礎、運用類型深化分析，但并未深入挖掘其入罪和出罪條件，規范性思考不足導致無法為爬蟲刑法遭遇問題提供體系化的解決方案。在此意義上，面對網絡爬蟲技術的泛化應用及其刑事風險的不斷變化，更應關注網絡爬蟲在具體領域侵害對象上的刑事歸責邊界，實現從宏觀違法現象考察向微觀歸責路徑構建的學術轉型，進而完成對爬取已公開公民個人信息行為的刑事責任界定?；诖朔N考慮，本文以爬取已公開個人信息為研究對象，在對已公開個人信息的法益內涵予以重釋的前提下，以情景脈絡完整性理論嵌套形式違法性與實質違法性之判斷，合理廓清爬取行為之刑事違法性界限，以期構建一條契合司法實踐現實需求的具體路徑。

一、爬取已公開個人信息行為的刑事歸責現狀

統觀當前司法實踐，圍繞已公開個人信息是否屬于侵犯公民個人信息罪的保護對象，爬取行為是否具備法益侵害性進而應予刑事歸責等關鍵性問題，立場分歧明顯，形成了異質化的歸責景象。梳理既有問題及其背后的衍生邏輯，或可為問題的化解提供理性的研討基礎。

（一）現狀檢視：爬取行為之異質化歸責

對實務現狀的考察能夠對目前我國司法實踐中爬取已公開個人信息行為的刑事歸責現狀有更為直觀的了解，經對相關案例之比對分析，發現裁判文本對爬取已公開個人信息行為是否應予歸責、應當適用何種歸責路徑未能形成普遍共識，異質化的歸責現象較多。

1.同質化爬取場景異質化歸責結果

應當承認，當前學理層面對網絡爬蟲的風險性認知及刑事歸責的必要性已經形成了清醒的認知，如試圖從侵犯公民個人信息罪視角出發，從形式違法和實質違法層面為網絡爬蟲行為劃定刑事歸責邊界［1］，亦有論者意識到網絡爬蟲行為觸及的刑民交叉風險，以期通過細分對象不法、行為不法而找到歸責界線［2］。但既有研究更多聚焦于網絡爬蟲行為違法性的原則性研討面向，未觸及數字經濟時代信息治理之目標與刑事歸責本身的矛盾點，亦未談及爬取已公開個人信息行為對信息主體權益保護之問題。這容易導致研究問題的失焦，因而難以為實踐問題的化解提供具有可行性的方案。聚焦于爬取已公開個人信息，對該行為的認定給實務界帶來了挑戰，表現之一就是同質化爬取場景異質化歸責結果。以“爬取公民公開在公司內網的個人信息”為考察樣本，歸責結論的異質化現象廣泛存在。如在“余某某侵犯公民個人信息案”中，被告人任職期間為謀取個人利益，利用爬蟲軟件抓取信息主體公開在公司內網的個人信息并在離職時帶走。其辯護人辯稱案涉信息乃信息主體在公共領域自愿、正當公開的個人信息，被告人的爬取行為不具有刑事違法性。然而，法院最終裁判并未采納該辯護意見，而以被告人的職權權限范圍否定該爬取行為，認為被告人系在無人授權且無人知曉的情境之下獲得上述信息，應屬違法的竊取行為①詳見浙江省杭州市中級人民法院（2018）浙01 刑中441 號刑事裁定書。。而在“李某某侵犯公民個人信息案”中法院卻采取了不同的裁判意見，認為被告人作為職員通過自動化軟件收集相關個人信息的行為因未違反國家規定，故不具有刑事違法性②詳見北京市通州區人民法院（2019）京0112 刑初62 號刑事判決書。。結合上述判例樣本可知，當前司法裁判中面對相同爬取場景的行為，不同的裁判者在認定罪與非罪，爬取行為是否具有刑事違法性時存在一定的偏差。異質化歸責景象的出現固然考慮了不同案件的具體分析樣態，蘊含裁判者的個體化考量，然而，歸責結果的異質化現象亦從側面反映了司法實務中對于爬取已公開個人信息行為刑事歸責邏輯的混亂。

2.同質化歸責結果異質化歸責路徑

為進一步印證司法裁判的差異化現象，將同一爬取行為樣態的判例進行橫向比較考察，發現歸責結果趨同的裁判文本在援引歸責路徑時亦存在不同的理解。如在“范某某等侵犯公民個人信息案”中，被告人借助爬蟲軟件獲取被害人在“天眼查”“企查查”上公開的個人信息并予以出售。雖行為人及其辯護人辯稱應區分行為對象與爬取行為本身，從而辯稱案涉信息為個人已公開的個人信息，不具有刑法保護性，且不能以是否經過被害人同意作為判斷刑事違法性的唯一標準，但裁判文本以未經被收集者同意將合法收集的公民個人信息向他人提供的，屬于刑法所規定的“提供公民個人信息”為由，認為上述被告人構成侵犯公民個人信息罪③詳見福建省泉州市安溪縣人民法院（2019）閩0524 刑初397 號刑事判決書。。法院的裁判理由雖未直接回應辯護人所指出的犯罪對象與犯罪行為本身存在差異的意見，但從最終的裁判結果來看，其顯然默認了已公開個人信息屬于刑法所保護的個人信息，繼而以“知情同意”方案認定因被告人抓取已公開個人信息的行為未取得信息主體的二次授權，故而構成侵犯公民個人信息罪。而在“莫某某等侵犯公民個人信息”一案中，被告方同樣指出所爬取的信息為已公開的個人信息且該爬取行為不具有社會危害性，不應當認為是犯罪的意見。法院并未采納上述辯護意見，而是指出信息持有人根據各自的用途在網絡上公開個人信息，被告人未經信息持有人同意搜集信息后非法向他人提供，超出了信息持有人發布個人信息用途的預期，系侵犯公民個人信息的行為④詳見徐州市鼓樓區人民法院（2018）蘇0302 刑初43 號刑事判決書。。比對上述案例樣本可知：兩案的歸責結果都認為行為人的爬取行為構成了侵犯公民個人信息罪，然而前者在適用具體歸責路徑時認為只要爬取他人公開的個人信息，無論基于何種理由，都必須事先征得信息主體的同意，否則該爬取行為具有危害性；后者則認為信息主體公開自己的個人信息往往帶有特定的目的和合理預期，一旦爬取行為超過信息公開時的合理預期，則構成犯罪?？梢钥闯?，即便對于同質化的歸責結果，個案樣本中的刑事歸責路徑亦存在較大差異，進一步印證了當前司法實踐對于爬取已公開公民個人信息刑事處罰邊界的不確定性，亟待進一步厘清。

（二）問題定位：爬取行為罪與非罪的界分困境

上述差異化歸責現象表明了司法實務的表層困境在于沒有區分爬取對象的本質內涵和網絡爬蟲的技術特性，從而將爬取行為一律入罪。然而，實質的問題更在于爬取已公開個人信息行為罪與非罪的界分困境。對此，理論界存在有罪論、無罪論、區別論三種觀點。

有罪論者認為，即便是已公開的個人信息亦黏附著強烈的個人特質，信息主體對此類信息仍然享有支配權，超過預期范圍和公開目的的爬取行為依然需要受到規制。有學者認為“侵犯公民個人信息罪的法益是個人信息自決權，擅自出售、提供等處理公開的個人信息的行為嚴重侵犯了信息主體的個人信息自決權，具有實質的法益侵害性”［3］，還有學者認為“企業聯系人在網上公開個人信息以開拓企業業務，表面上是向不特定群體隨機公開，實質上是向潛在的客戶群公開，其受眾在一定范圍內受到限制。換言之，該情形與完全意義上的網上公開信息不同，因為企業聯系人通過目的范圍限制，一定程度上保留了對其個人信息的支配權，即他人收集、使用應獲其同意。行為人收集、出售、購買個人信息，超出了企業聯系人目的范圍，且未獲同意，構成對公民個人信息的侵犯”［4］。這同樣意味著，信息主體自行公開個人信息傳遞出信息主體對他人在合理范圍內處理其已公開個人信息的默示同意，但這種默示同意以合理的范圍為界，如果處理者的個人信息處理活動超出了合理范圍，就侵犯了信息主體的權益，不能阻卻違法［5］。

無罪論者認為，根據刑法第253 條之一第3 款的規定，獲取公民個人信息手段的非法性源于非公開的個人信息，且對已公開個人信息的處理規則說明相應的處理行為已經被接受，則同等情況下的信息收集行為也應被接受，故而爬取已公開個人信息的行為不宜適用侵犯公民個人信息罪［6］。同樣持該觀點的學者認為，“公民公開敏感隱私信息之外的一般信息，具有被害人承諾的性質，使得運用網絡爬蟲收集這些信息的行為能夠阻卻違法性”［7］。

區別論立場則基于信息公開的目的和信息的用途來衡定爬取行為是否有罪?！搬槍σ压_的個人信息僅實施單純獲取或爬取、持有等行為的，由于行為人還沒有將該信息予以批量出售、提供，很難判斷他人后來對于該信息的使用目的是否與個人公開其信息時相同，也無法確定信息的用途是否被改變，難以得出行為人侵害被害人法益處分自由的唯一結論?！保?］基于該理解，爬取已公開個人信息的行為是否應予歸責，需要判斷爬取行為是否違背了信息主體公開個人信息時的初衷，是否改變了相應信息的用途，如果爬取行為與上述初衷相背離，發生了根本抵觸，則應當入罪。

上述立場爭議仍然存在一定的解題局限性，進而導致公民個人信息保護與信息流轉適用的失衡，最終不利于法益保護目的的實現。因此，亟須通過探討上述實務困境和學理爭議生成的內在原因，并在此基礎上尋求更為契合前置法和刑事法律規范的歸責模式。

二、原因剖析：爬取已公開個人信息行為的刑事歸責偏差

爬取已公開個人信息的行為在行為樣態、歸責結果、歸責路徑等方面對刑法規制形成發難，既有的依托于傳統刑法而形成的歸責路徑已然力有不逮，司法適用的分歧成為倒逼完善我國對于爬取已公開個人信息行為刑事歸責路徑的內在動因。因應數字經濟時代的現實背景，面對個人信息作為犯罪對象、工具所衍生出的犯罪現象，在個人信息保護力度不斷加強和相關規定愈加豐富的前提下，更應追溯反思爬取已公開個人信息行為刑事歸責分歧的生成原因，以保證刑事歸責體系的平順適應與周延歸責。

（一）犯罪對象的認定抵牾減損歸責結果的同一性

借助網絡爬蟲技術爬取已公開個人信息的行為是否構成侵犯公民個人信息罪的“非法獲取”行為，核心問題在于判斷已公開個人信息是否為該罪的犯罪對象，是否具有值得刑法保護性。對此，有學者認為，爬取公開發布的信息不屬于違法，因信息主體的自愿公開行為阻卻爬蟲行為的違法性，當事人公開信息是自主選擇和決定的結果，因授權公開而導致爬取公開信息不再具備值得處罰的程度［9］。申言之，上述論者在論述爬取行為是否應予刑事歸責時所依循的邏輯是，首先判斷已公開個人信息是否落入侵犯公民個人信息罪的保護范圍，即是否屬于該罪的犯罪對象，繼而討論相應的爬取行為本身是否應予刑事處罰。然而實務中存在的關鍵問題在于未能準確識別犯罪行為與犯罪對象，未能意識到二者歸屬于不同的認定層級，從而將已公開個人信息的本質屬性認定與爬取行為相混淆，導致司法適用的異質化。如在“黃某某侵犯公民個人信息案”中，法院直接將犯罪對象與犯罪行為混為一談，以犯罪行為的非法性直接界定已公開個人信息的屬性。裁判者在裁判文書中明確表明，因二被告人所獲取、交易的已公開個人信息未取得信息主體的授權，故而屬于刑法上的提供行為，應予入罪，據此可認為二被告人所交換的涉案信息亦屬于侵犯公民個人信息罪所保護的客體①詳見浙江省杭州市濱江區人民法院（2019）浙0108 刑初118 號刑事判決書。。實踐中多數案例采取上述裁判理由，但亦有裁判意識到犯罪行為與犯罪對象之區別，并對二者分別予以評價，實現邏輯自洽。如在“李某侵犯公民個人信息案”中，法院首先評判了被告人李某出售的涉案信息系信息主體主動公開的個人信息，鑒于該信息可識別特定自然人的身份，故認為屬于公民的個人信息，而后回應了被告人相應的犯罪行為如提供、出售超出了案涉信息主體合理使用目的和范圍，危及了信息主體生活之安寧和安全，構成侵犯公民個人信息罪①詳見廣東省佛山市中級人民法院（2021）粵06 刑終345 號刑事裁定書。。

據此可知，司法實務中部分裁判未能意識到犯罪行為與犯罪對象本身分屬不同范疇的問題，將已公開個人信息的屬性認定問題與對爬取行為的性質認定問題混為一談，導致對已公開個人信息應否成為犯罪對象之問題缺乏清晰的認知，從而減損了爬取已公開個人信息行為刑事歸責結果的同一性，加劇了對爬取行為準確界定的難度。

（二）歸責路徑的錯落適用增加歸責效果的離散性

在爬取行為的多樣化展開和刑事歸責的擴張化適用的博弈中，司法實踐與規范學理亦對此進行了自覺回應。梳理刑事歸責的理性展開思路，可將其基本還原為知情同意方案和目的用途方案。兩種歸責路徑并非全然的非此即彼、互相否定的關系，彼此間存在競合抑或交叉關系。不同的處理方案一定程度上導致了一些裁判者在面對具體個案時的無所適從，而裁判者對歸責路徑的個體化理解亦增加了歸責效果的離散性。

知情同意方案或稱二次授權方案發端于《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《個人信息犯罪司法解釋》）第3 條第2 款之規定，即未經被收集者同意，將合法收集的公民個人信息向他人提供的，屬于刑法第253 條之一規定的“提供公民個人信息”，但是經過處理無法識別特定個人且不能復原的除外。實踐中，爬取已公開個人信息之判例多形式化援引該規定作為入罪之理由，多數判例象征性地指出爬取行為未取得信息主體之同意從而構成犯罪。信息法律的核心問題是保障個人享有獲取信息的權利，處于優勢地位的不是信息社會而是知情社會［10］。然而，二次授權方案無視前置法之要求，在有悖法秩序統一性原理的情況下，錯誤定位已公開個人信息的性質，教條化理解知情同意原則，只在形式層面關注是否取得信息主體之同意，而未進一步深化評價對已公開個人信息的爬取行為是否具有合理性，是否在實質上侵害法益。實際上，二次授權方案極易壓縮信息利用的空間，且在實踐中難以操作。同時，在“大數據、人工智能等網絡技術的沖擊下，個人信息主體知情同意權面臨著功能失靈的危險”［11］。因運用網絡爬蟲技術爬取的信息是海量的，信息主體龐大且分散，甚至無法及時準確找到信息主體。對此，如若每一次的爬取行為前都要求獲得授權，只會增加實踐成本，從而與運用爬蟲技術的目的相悖。此外，二次授權方案在處理已公開個人信息案件時未能從類型化視域出發，重視已公開個人信息的特殊性質與類型，只是簡單地依據司法解釋作單一判斷。

目的用途方案有別于知情同意方案，其并非形式化地援引《個人信息犯罪司法解釋》的條款，而是從被害人的法益處分自由出發，以信息公開時的目的及可預期的用途作為考察標準，衡量爬取已公開個人信息行為的入罪和出罪之刑事邊界。且該方案嚴格尊重已公開個人信息主體選擇公開信息時的主觀意愿，意圖通過推測其主觀表達實現對個人信息權利的周延保護。誠然，目的用途方案較之知情同意方案存在優勢，但在具體的司法實踐中同樣存在難題，最突出的問題便是其無法實現所有信息類型的合理判定。已公開個人信息可分為多種類型，如絕對公開型個人信息、強制公開型個人信息、非法公開型個人信息，信息類型的多樣化折射出個人信息公開場景的復雜化、個人信息公開目的的多元化、抽象化。在此情況之下，要求信息處理行為符合信息公開時的目的用途，多數情況下無從考究。如根據《企業信息公示暫行條例》第8 條之規定，企業每一年度需向社會公眾公示其法定代表人之姓名、電話號碼等，雖該信息之公開目的是保證公眾的知情權和監督權，但實踐當中行為人往往為便于收集信息會借助爬蟲軟件收集信息主體公開在“企查查”“天眼查”等網站的信息，若行為人爬取上述信息后用于實施違法犯罪行為，則哪怕此類信息之公開是為了公共利益服務，也無法對該行為之合目的性予以認可。正是因為此類信息公開的場景實際上是無法體現個人意志自由的，也難以充分體現個人法益處分自由，故而無法準確判定信息公開的目的，遑論對爬取行為作出合目的性之判定。

姑且不論各歸責路徑在具體個案適用中是否具備妥當的法理，其潛在的危機已然顯而易見，正是由于歸責路徑的錯落適用，導致了爬取行為歸責邊界的模糊性，加之歸責結果的不確定性和爭議性，增加了裁判者取舍的困惑性，從而有礙歸責結果的強力性。面對歸責路徑的錯綜展開情狀，應當審慎認定爬取行為的歸責邊界，以使歸責結果不至于有悖刑法謙抑性精神。亦即，就爬取行為而言，教義學層面的理解、規范本身的解讀都容易導致最后歸責結果的離散性。因此，對爬取行為的歸責進路進行深度梳理，提供更為明確的界分依據顯得非常必要。

（三）法益內核的界定模糊削弱歸責結論的聚合性

晚近以來，犯罪之本質被認為是對法益的侵害已成為刑法教義學的基本命題，“法益概念為刑法的保護對象提供經驗、事實的基礎，法益是作為人們的生活利益而成為保護對象的。不管是在解釋論上還是在立法論上，法益概念都起著指導作用”［12］?？梢?，法益概念本身所承載的立法批判功能與解釋指導功能為學界所公認。一定意義上，爬取已公開個人信息行為刑事歸責之分歧，均源于侵犯公民個人信息罪的法益理解偏差。

對侵犯公民個人信息罪保護法益的研討，關涉公民個人信息刑法保護范圍的正確厘定。學界在對侵犯公民個人信息罪的保護法益進行研討時呈現出兩個研討面向：一是本罪的保護法益為個人法益抑或超個人法益。持個人法益說的學者立足于刑法解釋學，提出了隱私權法益說、信息自決權法益說、信息安全法益說等，其中信息自決權法益說系個人法益論內部主流的學說。此種觀點背后所依循的邏輯是，對于個人信息所保護的并非個人之隱私，而是個人對其自身社會形象的自我決定。此種理解以法秩序統一性原理為基點，高度契合《中華人民共和國民法典》（以下簡稱“民法典”）第1036 條第2 項之規定，同時保證了對《中華人民共和國個人信息保護法》（以下簡稱“個人信息保護法”）相關規定的回應。持超個人法益說的學者則是基于風險社會的宏闊背景，以公民個人信息的公共價值屬性為起點，認為爬取已公開個人信息的行為受到刑事歸責的前提是該行為對社會公共信息安全形成了侵害和威脅，并據此提出了個人信息安全法益說、信息專有權說等。二是關于侵犯公民個人信息罪應當落入傳統法益抑或新型法益之保護范圍。持傳統法益觀的論者認為既有法益可實現對侵犯公民個人信息行為的周延保護，而無須締造新型法益。持新型法益說的論者日益增多，認為本罪的保護法益應為“網絡信息時代作為新型權利的個人信息權”［13］。

學界對上述觀點進行證成時，先是通過刑法體系和相關理論來證偽其不支持的法益觀，繼而根據其對個人信息所蘊含之權利價值判斷界定該罪的保護法益。然而，在對個人信息的治理目標未能明確衡定，法益界定規則亦不明朗的前提下，并不能支撐學界對侵犯公民個人信息罪的保護法益形成共識。加之司法適用層面較少關注法益侵害之實質，對已公開個人信息之性質界定亦持模棱兩可的態度，這進一步增加了爬取已公開個人信息行為刑事歸責判定的難度。

三、爬取已公開個人信息行為之刑事歸責路徑構建

雖然當前司法實踐中對爬取已公開個人信息行為的認定呈現出差異化景象，但經類案梳理可發現裁判文本背后的邏輯走向，其形式層面主要以前置法規范為導向，實質層面以法益侵害為導向的刑事違法性判斷基準，問題亦主要集中在對已公開個人信息的性質認定及對以已公開個人信息為對象的爬取行為本身刑事違法性的判斷層面。而對此問題的分析，需要進一步推動裁判經驗和規范理性的自覺融合，從而在司法裁判進路與歸責模式之間構建橋梁。

（一）刑事歸責的邏輯依循：刑事違法性判斷基準

形式違法和實質違法是對行為的法律評價可能存在的兩種方法，其中：形式違法是指違反國家法規、違反法制的要求或禁止規定的行為；實質違法是指危害社會或者說是反社會的行為［14］?？梢?，“形式違法性是指行為違反現行刑法，不能以實質違法性為由肯定形式違法性的存在；但可以用實質違法性概念檢測成文刑法。另外，可以根據實質違法性，承認刑法沒有明文規定的超法規的違法阻卻事由，從而排除行為的違法性”［15］。在認定爬取已公開個人信息行為是否應予歸責，如何進行歸責時，應先界定已公開個人信息是否具備刑法保護性，即于形式違法性層面是否違反現行刑法。完成對已公開個人信息刑法層面本質屬性界分后，基于刑法的補充法地位，仍應基于前置法層面考察侵犯公民個人信息罪的構成要件層面的歸責要素，以其為后續重構本罪法益以及考察實質違法性要素時，形成完善的歸責鏈條。故而，解析爬取已公開個人信息行為的形式性歸責依據和實質性歸責依據，一方面既是司法裁判邏輯向理論邏輯的融合轉化，另一方面也能為紓解爬取行為歸責邊界提供思路。

1.形式之維：已公開個人信息之前置法定性界分

形式違法性系立足于形式層面將違法界定為違反實定法，亦即對刑法規范的違反。根據該理論之底層邏輯，觀照爬取已公開個人信息之行為，只要相關的爬取行為符合構成要件，且缺乏違法阻卻事由，則應當認定為具有違法性。確定已公開個人信息是否為侵犯公民個人信息罪的犯罪對象，是認定爬取行為應否受到刑事歸責的基礎，而就已公開的個人信息是否受到刑法保護歷來存在爭議。有學者指出，對于依法公開的信息，即使具有識別性，獲取行為也不具有非法性，且依法公開之信息本就意味著向社會所有人公開，后續的出售或提供行為也不認為違反了國家有關規定［16］。另外，有學者認為個人信息并不等同于個人隱私，即使信息已經公開，仍有可能成為侵犯公民個人信息罪之犯罪對象［17］。

考察犯罪對象的前提，是明確侵犯公民個人信息罪中“公民個人信息”的法律意蘊，從而確定個人信息保護范圍是否包含已公開個人信息。首先，《個人信息犯罪司法解釋》第1 條對“公民個人信息”的定義是：“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息?！痹撘幎◤娬{對刑法個人信息保護的本質屬性為可識別性，而對信息公開與否未做任何約束。個人信息保護法第4 條則認為“個人信息”是指“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。該規定進一步表明我國對個人信息保護的實現并非通過隱私權予以實現，不論信息是否公開均包含在保護范圍之列。誠然，未有直接的刑事立法規范表明已公開個人信息屬于侵犯公民個人信息罪中的“個人信息”，但無論是司法解釋的語義范圍，還是前置法的規定，都能為已公開個人信息應當受到刑法保護提供佐證。其次，從刑行民銜接的角度考慮，民法典和個人信息保護法都明確了對公開個人信息的保護，處理已公開個人信息的行為可能會構成民事和行政違法。刑法作為后置法和保障法，也應當將已公開個人信息納入保護范圍，從而不至于與前置法產生沖突。最后，已公開個人信息的私密性雖然不及未公開的個人信息，但仍然附著信息主體的人格利益，處理行為仍然會對信息主體的個人權益造成影響，尤其是相應的信息處理行為獲取的信息數量龐大，其帶來的社會危害性是不可控的，僅僅依靠民法和行政法顯然不足以遏制其危害性。綜上，已公開個人信息應當包含在公民個人信息中，屬于侵犯公民個人信息罪的犯罪對象。

此外，作為侵犯公民個人信息罪的核心構成要件——違反國家有關規定，是形式層面需要準確界定的最重要的要素?；诜ㄖ刃蚪y一性原理，民法典和個人信息保護法作為個人信息保護領域最重要最直接的規范，對已公開個人信息的相關處理行為之規定不容忽視。具言之，信息處理者在對公民自行公開或強制公開的個人信息進行處理時，除公民個人明確拒絕或處理行為侵害信息主體重大利益的情況外，只要爬取行為落入合理處理之范圍，則即便爬取行為未征得信息主體的同意亦無須對此承擔任何的責任。

2.實質之維：動態保護導向之個人信息權法益重釋

僅僅歸因于違反實定法規的形式違法性解釋雖能滿足普適的理解需求，卻未能進一步考察爬取行為的違法程度，從而界定違法阻卻事由之根據與范圍。此外，隨著數字經濟時代的縱深發展，爬取已公開個人信息行為是否必然具備違法性，已然不能簡單地通過形式違法性予以判斷，超法規違法阻卻事由如滿足企業、個人發展需求而收集已公開個人信息的行為，并未被形式違法性所承認。因此，仍應在形式違法性后介入實質違法性，從而對本罪構成要件以及歸責要素作出明確區分。如前所述，學界對于侵犯公民個人信息罪的保護法益存在諸多爭議，其中以個人信息自決權為主流觀點，但“旨在保障個人信息自決權的侵犯公民個人信息罪，其對信息自決權的保護范圍相當之窄，基本上局限于數據收集環節的權利，當前的保護框架并沒有對數據主體在數據收集之后的后續權利提供任何刑法上的保護”［18］。故基于個人信息自決權形塑的法益保護范圍不僅極易導致在信息過剩的時代對個人信息權益保障不足的問題，而且容易導致少數主體從異化的信息社會中獲益，而特定人群信息權益被損害的現實被漠視的結果。因此，侵犯公民個人信息罪的保護法益應確立為涵蓋范圍更為豐富的個人信息權，即以個人信息為權利保護客體，足以囊括各類信息、兼具積極使用并許可他人使用、消極防御他人侵害的權利。

而個人信息權的重塑與個人信息保護所折射出來的動態保護主義傾向息息相關。傳統的在個人信息保護與處理規則上所采取的靜態化與形式化的保護進路，已然難以還原法益保護的獨立功能，過往對個人法益說或個人信息自決權內涵的解析亦多側重于個人信息靜態方面的保護需求，而忽視了在數字經濟時代的背景下，個人信息面臨的威脅絕不僅僅是信息自身的安全，而且是個人信息合理利用過程的動態安全，如信息收集、存儲、交換過程中發生的信息被濫用的危機等。此外，附著于個人信息之上的各方權益的復雜性與復合性決定了對于侵犯公民個人信息罪法益內涵之確定，既要考量現有刑法體系內部的制度性安排，亦要有意識地擺脫部門法的狹隘，觀照個人信息保護的整體法律框架作出相應的調整。

鑒于此，我國既有的個人信息保護立法體系框架內，個人信息保護法作為個人信息治理與個人信息保護的基本法律規范，對處于補充法、保障法位置的刑法規范具有塑造功能無可厚非。個人信息保護法的立法精神為“保護個人信息權益、促進個人信息合理利用”。此后，該法相應條款再次重申“個人信息處理者應當對其個人信息處理活動負責，并采取必要措施保障所處理的個人信息的安全”。由此觀之，個人信息保護法對個人信息保護權益的要求明顯是對個人信息保護的靜態安全和信息利用過程中的動態化安全保護。從關注個人信息的靜態保護結果到保障個人信息合理利用，此一轉向對于形塑刑事法律規范視域下的個人信息權內涵提供了指引。此外，“就個人信息權而言，由于個人信息處理的普遍性和復雜性，實際上較難清晰地將個人信息之上的全部利益都確定歸屬于信息主體”［19］，個人信息權能的主體承擔還須在具體適用中加以衡量。據此，個人信息權法益的重塑既契合了個人信息動態保護的發展趨勢，又能實現對侵犯公民個人信息的周延保護。

（二）判定方案：情景脈絡完整性理念之規范詮釋

情境脈絡完整性理論（contextual integrity theovy）的核心理念以個人信息原始收集時的具體語境為依托，后續傳播及利用應與原始的情境脈絡聯系起來。情境脈絡完整性理論由以下四個要素組成，即信息規范（informational norms）、適當性（appropriateness）、信息主體（roles）、傳播原則（principles of transmission）。信息規范是信息傳播和使用時應受限制的特定時空因素，不存在不受信息規范制約的生活領域，不存在完全自由的信息領域，信息規范無法脫離特定時空的政治、習俗、經濟、文明等背景，保護個人信息就是保護情境脈絡的完整性不受控制，保證個人信息的有序流動。判斷信息流動是否符合信息規范，應判斷其是否符合適當性標準，故而離不開對信息規范要素即信息主體、信息類型、傳播類型的綜合判斷。其中：信息主體是指信息傳播中的不同實體，如信息的處理者、信息的控制者、信息的發送者等；信息類型是指相關信息的性質、類別等；傳播原則是指信息流轉中的約束條件［20］。

情境脈絡完整性理論自誕生以來，隨著大數據、互聯網的發展，亦被學界納入人工智能、大數據處理、搜索引擎等領域。近年來，隨著個人信息的保護升級，我國學界將此理念納入已公開個人信息的處理行為判定行列，相關判決亦有借鑒該理念之趨勢。如有學者指出信息的內容、形式和性質因場景的更替而不斷變化，為促進數據應用與信息流通，以信息自決權為導向的單一的、靜態的個人信息定義已難以適應實踐之需要，而應正視不同情境脈絡下的價值維度和價值面向，構建本土化的個人信息的情境脈絡判斷［21］。亦有學者認為應將情境脈絡模式應用到已公開個人信息的處理領域，其主張以個案判斷的“情境模式”取消“知情同意”原則的限制，從而對個人信息是否合理處理之判斷即回歸到個人信息的性質和用途，以及處理行為所攜帶之風險是否在用戶的可接受范圍之內［22］。筆者贊同上述觀點，然而遺憾的是前者未就如何構建本土化的情境脈絡判定框架作出進一步論述，后者則過度關注已公開個人信息處理的動態過程，而忽視了對其靜態情境下的判斷。情境脈絡完整性理論為個人信息安全保護與個人信息流通利用的緊張關系提供了解決方向，其將解答的關鍵定位在如何判定處理行為的合理使用上。相較于傳統的個人信息靜態化保護進路，情境脈絡完整性理論不再側重于對個人信息進行靜態化分級分層保護，而是將關注點集中于信息流動的整個情境，以信息規范所含的信息主體、信息類型、傳播原則等決定性要素，依據信息流轉的具體情境，綜合判斷個人信息在流轉過程中是否得到正當使用。情境脈絡完整性理論既為商業主體合理使用個人信息提供了正當性理由，又為個人信息流轉中個人信息權利的保障設置了適當的限制和保護性條件。該理論突破了傳統的個人信息隱私權保護的一元化保護模式，以信息流轉的具體情境尋求“實現信息收集或處理主體與信息主體之間的公平或合理的信息關系，仍然取決于相應制度是否能夠在具體場景與信息關系中確立個人信息權利的合理邊界”［23］。然而，該理論亦存在諸多瑕疵，我們仍應聚焦于如何通過本土法之規定，從靜態和動態平衡之角度，在對已公開個人信息的處理行為領域，構建本土化的情境脈絡判定標準。

（三）歸責模式：情境脈絡下爬取行為之邊界厘清

民法典第1036 條第2 款和個人信息保護法第27 條均為已公開個人信息的合理處理設置了規則，且個人信息保護法第4 條第2 款規定了“個人信息的處理包括個人信息的收集、存儲、使用、加工、公開、刪除等”，網絡爬蟲抓取個人信息作為處理行為的特殊形態，顯然應當受到該條款的限制。據此，關鍵問題在于如何在前置法規范的基礎上，于刑事法律視域下構建刑事歸責框架。對此，有學者指出應以前置法所設計的已公開個人信息合理處理規則為邏輯起點，在具體場景中以信息處理目的、信息使用用途、信息主體的重大利益來形塑合理處理的認定標準，劃定處理已公開個人信息的刑法保護邊界［24］。同樣持該觀點的學者亦認為“個人信息處理是否合理，取決于引發的影響能否為用戶所接受，或是否符合用戶的合理預期”［25］。但上述路徑亦存在偏頗，理應在情境脈絡完整性理論之下對上述觀點予以修正，從而尋求爬取行為刑事歸責更為周延之路徑。

個人信息權法益形塑了個人信息的靜態保護和動態保護雙層保護范式，故而有必要修正過往單純注重事后防御的單一的消極防御權能，實現消極防御與積極控制為主導的路徑轉變，調整單一的法權進路及利益衡量進路的歸責模式，轉向以情境脈絡完整性為導向的并基于前置法所設置的處理規則，形成本土化的刑事歸責路徑。

一方面，爬取已公開個人信息的行為應當符合個人信息公開時的合理預期。根據個人信息保護法第6 條的規定，處理個人信息應當具有明確、合理的目的，且應與處理目的直接相關。無論個人信息是在自愿公開抑或強制公開的場景，信息主體公開其信息往往具有特定的目的和預期。前者如個人在求職網站公開個人簡歷所涉及的姓名、聯系方式、住址、畢業院校等，信息主體系為獲得求職機會、取得應聘通知。后者如公布失信被執行人名單，則常常帶有督促被執行人履行義務的目的。鑒于此，認定爬取行為是否具有合理性，應與個人信息被爬取場景下的目的與公開時的客觀目的一致為考察要素。其理由在于：一是為實現個人信息的靜態保護，需保證信息主體在其信息公開后依舊享有的合理預期與控制，而推定爬取行為是否屬于合理范疇亦應以公開目的是否實現為基礎；二是即便是基于強制而公開的個人信息，為保障個人利益與公共利益的平衡，也應當對處理行為予以公開時的目的限制。換言之，爬取已公開個人信息的行為在具體的爬取場景下若符合信息主體公開個人信息時的合理預期，則相應的爬取行為所帶來的法益侵害威脅仍屬于信息主體可容許之范圍，基于被害人承諾，符合信息主體公開的目的。即便沒有作出明示的同意，也能據此推定信息主體默示同意提供或利用其已公開的個人信息，從而認定該爬取行為因欠缺法益侵害性而不會構成侵犯公民個人信息罪。反之，若相應的爬取行為背離個人信息公開時的目的，危及信息主體的重大利益，則基于對信息主體靜態保護之權能，理應重新征得信息主體同意。此外，是否符合主觀目的除應考察相應的爬取行為在客觀上是否有助于公開目的的實現外，也不排斥信息處理者處理時追求其他主觀目的。在正常的經濟活動或社會交往中，為實現正當目的，擅自向他人出售或提供已公開的個人信息不會侵犯信息主體的人格尊嚴與自由發展，并不具有實質違法性［26］。另一方面，爬取方式并未改變個人信息被公開時的用途，且爬取行為所導致的結果不侵害信息主體的重大利益。根據情境脈絡完整性理論，個人信息被公開時的具體場景應當得到尊重，后續的流轉利用不得超出最初的情境脈絡，亦即爬取行為不得與信息公開時的用途存在根本抵觸，不得侵害信息主體的重大利益。

四、爬取已公開個人信息行為歸責路徑之可適性檢驗

聚焦于上述規制方案的研討，通過梳理當前利用網絡爬蟲爬取已公開個人信息的行為類型，結合司法實踐中的判例樣本，可將爬取已公開的個人信息的行為分為三種類型，即顯性爬取行為、隱性爬取行為和中立爬取行為。立基于該分類，筆者從規范歸責的角度出發，以情境脈絡完整性理論，設立形式判斷依據和實質判斷依據，劃定爬取行為的刑事規制邊界，以期裨益于網絡爬蟲行為運用的刑事歸責認定和理論研究。

（一）顯性爬取行為：侵害個人信息權

從其爬取的預期目的來看，顯性爬取行為的特點和價值在于為下游犯罪提供幫助。該爬取個人已公開的信息行為本身就蘊含著高度的法益侵害危險，嚴重侵犯了信息主體的個人信息權。典型的如突破技術網站保護措施的爬取行為、利用網站本身的系統漏洞的爬取行為、違反網站合約授權的爬取行為、超越權限范圍的爬取行為等。再如利用系統本身存在的漏洞而爬取儲存在網站中的公開個人信息的行為，行為人在實施爬取行為時，其行為本身就表征出明顯的法益侵害特質。該類爬取行為爬取的對象雖然是已經合法公開的個人信息，但是信息主體選擇公開的這些個人信息是為了實現特定的目的。雖然該類信息主體允許他人查看此類信息，但是在未經信息主體同意的情況下爬取此類信息，并將其出售或者提供給他人以獲取利益，用于下游犯罪，下游犯罪行為應當受到刑法的規制，爬取的源頭行為也應具有法益侵害屬性，而受到刑法的規制。行為人在爬取之初便是為了將獲得的信息用于謀取利益，顯然這已經違背了行為人選擇公開其信息的合理預期，行為人的爬取行為本身已經包含著對個人信息進行破壞或侵害的目的。就爬取行為而言，已經在客觀上缺乏了社會一般公眾對其的合理期待，超越了網絡爬蟲這一中立的技術支持行為的“社會相當性”范疇，從而侵害了信息主體的個人信息權。

此規制模式也在“羅某某等侵犯公民個人信息案”得到體現，法院在裁判文本中指出，“企查查”等網站向他人提供查詢的含有法定代表人姓名、聯系方式等企業相關信息，以及通過QQ 群獲取的群成員信息確屬可公開查詢的信息，但被告人將從上述渠道獲取的公開信息在未經被收集者同意的情況下進行整合、整理，并用于實施電信網絡詐騙犯罪，足以威脅他人人身、財產安全，具有社會危害性，該行為應認定為非法獲取行為①詳見廣西壯族自治區賓陽縣人民法院（2020）桂0126 刑初104 號刑事判決書。。就本案而言，基于情境脈絡規制模式亦能得出相同結論。信息權利人在“企查查”等網站公開自己的個人信息，其目的是進行商業推廣，從而依照法律的相關規定公開個人基本信息，其合理預期并不包括為自己招致不合理的個人信息權被侵犯的威脅。行為人爬取上述公開信息時，并非為了商業化地使用或了解企業相關信息，而是抱著為下游犯罪提供信息的目的，爬取行為已遠遠超過了行為人的原始公開目的，且其使用行為亦未保持信息公開的情境脈絡完整狀態，故而應當認為該爬取行為侵害了信息主體的個人信息權。該公開信息在“情境脈絡”模式下具有被侵害的相當風險，因而值得刑法保護，其行為構成侵犯公民個人信息罪。

（二）隱性爬取行為：超過被害人承諾范圍予以刑事歸責

隱性爬取行為在技術特征上兼具針對合法行為與犯罪行為的雙重促進效果，且對犯罪行為的促進效果是其重要技術面向。只是針對顯性爬取行為而言，隱性的爬取行為被下游犯罪利用的可能性有所降低，但仍高于中立的爬取行為，或者是一般的技術中立行為?；诒Ｗo必要性闕如原理，信息主體授權同意他人查看抓取公開的個人信息，意味著其放棄了刑法對于此類信息的保護，在刑法教義學層面該行為被稱為“被害人承諾”，屬于違法阻卻事由。但是，隱性的爬取行為卻隱含著對犯罪的支持作用，其不僅觸及前置法規范，具備了構成要件符合性，并且因其對爬取到的信息本身的不當處理具備了法益侵害性，從而不應當被認為屬于被害人承諾的范圍，而應當認為其是被害人承諾之例外而予以歸責。具言之，根據情境脈絡完整性理論，一旦公開的信息是在特定的范圍針對特定的對象公開的，如果行為人在未經授權的情況下收集信息，并且將其運用于完全不同的情境，則該爬取行為超過了一定的限制，超過了被害人承諾的范圍，因而具備非法性構成犯罪。

此一規制思路在“李某、張某侵犯公民個人信息”一案中有所體現，本案中被告人通過網絡抓取、購買企業、工商戶等個人合法公開的信息，并通過QQ 在線發送的方式與他人進行信息交換，涉案信息數量巨大。行為人及其辯護人辯稱涉案公民個人信息是為公司合法經營搜集，屬職務行為，且所抓取的信息屬公開信息，沒有謀取個人利益，但法院認為公民個人信息安全依法受法律保護，行為人違反國家有關規定，實施非法獲取和向他人出售或提供公民個人信息，屬于侵犯公民個人信息的行為。本案中，行為人抓取涉及公民個人信息的資料，并將其用于交換或出售，無論行為人是否謀取個人利益或是否系為公司合法經營使用，均不影響犯罪行為的認定①詳見河南省濟源市人民法院（2018）豫9001 刑初396 號刑事判決書。。此案中，雖然行為人爬取的是他人合法公開的工商登記信息，信息主體對自己所公開的這些信息被查看、獲取是可以預見的，甚至應當認為信息主體對此結果是樂見其成的，但是權利主體對該信息被獲取利用的范圍，其同意被使用的范圍和程度并不包含信息利用者將其用于謀取利益。這已經遠遠超過了被害人承諾之范疇，行為人的爬取行為顯著升高了法益侵害的危險，應當被認為是被害人承諾的例外，理應被納入刑事規制范圍。

（三）中立爬取行為：遵循前置法規范構成免責

中立的信息爬取行為本身并不具有犯罪的特征，不應將其納入犯罪構成要件的考量中。網絡爬蟲作為中立技術，其和網絡爬蟲的關系實為工具和利用工具的邏輯關系，正如菜刀和使用菜刀之間的關聯性。人類在主觀層面上對菜刀作為工具時的判斷只有性能優劣之分，并無價值判斷之好壞，但菜刀因被不同人使用便在客觀效用上呈現出善惡之分［27］。從技術層面來看，一旦信息主體選擇了公開個人信息，則意味著其授權允許他人查看和有限利用，中立的爬取行為本身為信息的加速流通與利用起到促進作用，提升信息獲取的速率是其主要的價值所在，并未改變公開信息的存在狀態，因不能準確界定其爬取信息的行為的目的和爬取信息的用途是否具備非法性，故無法判斷中立爬取行為的危險性，或者說爬取行為本身本就存在極低的危險性，因而無法直接對其予以刑事歸責。具言之，在整體法秩序原理下，對中立爬取行為進行評價，如果發現其完全遵循了前置法規范，符合信息主體公開信息時的原始目的和場景，便可直接認為該爬取行為構成免責。

此規制思路在“王某侵犯公民個人信息案”中有所體現，本案的爭議焦點為被告人交易交換的能夠從公開商業網站獲取的企業信息中提取的包含法定代表人或聯系人姓名、手機號碼的信息是否屬于侵犯公民個人信息罪中所調整的“公民個人信息”范圍。法院審理認為，涉案信息提取自公開的商業網站中企業介紹自己生產、經營、銷售產品狀況的廣告信息，其中包含的法定代表人或聯系人姓名、手機號碼應當是相關當事人自愿公開的，相關人員在將此類信息公開時，必然會預見有被他人使用甚至不當使用的可能性。不能籠統、狹隘地將“未經被收集者同意”理解為只要權利人不同意，不管信息已公開與否，不論是否合法途徑獲取，都不能被使用。在相關信息已經合法對外公開的情況下，要求行為人的收集、整理、交換等行為仍需得到“被收集者同意”的要求過于苛刻也不合理，故應當認為此類信息不屬于侵犯公民個人信息罪所調整的“公民個人信息”范圍①詳見蘇州市姑蘇區人民法院（2018）蘇0508 刑初40 號刑事判決書。。在情境脈絡模式下，該公開信息在此情境下不具有被侵害的社會相當性，行為人的爬取行為不符合前置法規范直接構成免責，因而該信息不具有刑法意義上的值得保護的性質，不應該予以刑事規制。

結語

因應信息時代網絡爬蟲技術的運用和信息流通共享的需求，有必要對爬取已公開個人信息的行為予以刑事規制。司法實踐中對爬蟲技術規制的擴大化，一定程度上抬升了爬取行為在侵犯公民個人信息罪視域下入罪的可能性，前置法規范的不斷完善能為出罪提供正當化事由?；貧w個人信息權法益構建立場可以有效緩解爬取已公開個人信息刑事歸責的困境，同時通過刑法與前置法規范的有效銜接，可以在法秩序統一性理論下補全學界傳統歸責路徑的論證瑕疵。此外，情境脈絡完整性理論能夠在此基礎上通過區分不同變量，協調網絡爬蟲技術運用與個人信息保護的緊張關系，助力個人信息治理目標的實現。簡言之，面對網絡爬蟲從單純的中立技術運用向犯罪工具轉變現象的多發，數字技術異化應用引發的法益侵害風險在實踐和理論中不應被忽視。既有刑法理論亦應對此犯罪現象進行體系調適，以應對信息技術迭代衍生的挑戰。本文希冀通過爬取已公開個人信息行為問題的實踐反思與學理應對，為爬取行為之刑事歸責邊界厘清提供化解方案。