黄 陈 辰

(中国政法大学 刑事司法学院，北京 100088)

一、问题的提出

随着人工智能、云计算、大数据收集与处理技术的发展，个人信息逐渐成为经济建设与社会发展中不可或缺的重要资源，其具有比金钱更高的内在价值[1]。为有效保护公民个人信息，我国先后出台的《网络安全法》《民法典》等一系列法律规范中专门设置了关于个人信息权利的条文，并且统一规定个人信息保护相关内容的《个人信息保护法》已于2021年11月1日正式生效实施。在刑法层面，《刑法修正案(七)》与《刑法修正案(九)》先后对涉及公民个人信息的犯罪进行规制，增设了“侵犯公民个人信息罪”。

一般认为，上述法律法规所保护的仅为未公开的个人信息，对于公开信息能否受到法律，尤其是刑法的保护则存在较大争议。有学者认为，对于依法公开的信息，即使具有可识别性，行为人获取信息的手段也不具有非法性，故收集、整理依法应公开的信息不构成侵犯公民个人信息罪[2]；另有学者主张，“个人信息并不等同于个人隐私，即便信息已经公开，仍有可能成为《刑法》第253条之一所规定之犯罪侵犯的对象”[3]。公开信息的公共可感知性将其区别于其他信息，同时也使“利用”与“保护”这两种价值间的冲突与博弈更加明显。因此，公开信息是否受到刑法保护以及如何保护成为学界亟待解决的问题，尤其是在当前《个人信息保护法》颁布的背景之下，这一问题愈发值得学界重点关注。概括而言，本文探讨的问题主要有二：其一，公开信息是否属于侵犯公民个人信息罪中的“公民个人信息”；其二，何种获取、提供公开信息的行为构成侵犯公民个人信息罪，亦即“公开”是否对获取、提供行为的罪与非罪判断产生影响及产生何种影响。

二、公开信息属于侵犯公民个人信息罪中的“公民个人信息”

判断侵犯公民个人信息罪中的“公民个人信息”是否包含公开信息，主要基于对前者规范意蕴的法理学解读，本文从形式与实质两个维度分别进行探讨。

1.形式之维：司法解释的规定与《个人信息保护法》等法律规范的参考

自侵犯公民个人信息罪入罪以来，无论在理论上还是在实务中，对“公民个人信息”含义及范围的理解存在较大争议。为解决这一问题，最高人民法院、最高人民检察院颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第1条对“公民个人信息”的概念进行了明确。该条规定，公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息”。根据该条内容，应受刑法保护的个人信息除需具备真实性、载体性等特征外，其最本质的属性为可识别性，即通过个人信息能够指向特定自然人的身份或活动情况[4]，但对其公开性并无特殊要求。因此只要符合上述定义，即属于侵犯公民个人信息罪中的“公民个人信息”，公开信息亦被包含在内。

另外，《个人信息保护法》《民法典》《网络安全法》等均对“个人信息”的概念进行了界定。例如《个人信息保护法》第4条第1款规定，“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”；《民法典》第1034条第2款规定，“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”；《网络安全法》第76条第1款第(五)项规定，“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。综合考察发现，在我国当前立法体系中，个人信息无需具有隐秘性，无论是否公开均能包含在内。因此，虽不能直接以其他法律规范中的定义来解释侵犯公民个人信息罪中的“公民个人信息”，但其能从侧面为公开信息属于后者提供参考与佐证。

2.实质之维：基于侵犯公民个人信息罪之法益的判断

“法益是刑法理论的核心概念，如何理解侵犯公民个人信息罪中所保护的法益之性质，直接影响刑法理论对该罪的合理解释。”[5]因此，要判断公开信息是否属于侵犯公民个人信息罪中的“公民个人信息”，首先需要厘清该罪之法益。

当前我国刑法理论界对侵犯公民个人信息罪法益的观点主要分为3种。第一，个人法益说，其中又可具体分为一般人格权说与具体人格权说。前者认为该罪法益应当理解为作为一般人格权的公民人格尊严与个人自由[6]；后者则又包含隐私权、个人信息权、信息自决权3种。有学者认为该罪法益是个人信息所体现的公民的隐私权[7]；另有学者主张该罪法益为一种新型权利，即个人信息权[8]；还有学者认为该罪法益不应是宽泛的个人信息权，而应限定在其中最为核心的部分，即信息自决权[9]。第二，超个人法益说，包括公共信息安全说与信息专有权说。前者认为只有对社会公共信息安全造成侵害或危险时，才有进行刑法规制的必要[10]；后者则认为该罪法益是法定主体对于所占有个人信息的处分权限[11]。第三，双重法益说，该说主张公民个人信息“不仅包含个人法益范畴的内容，也应当融入大数据时代之下国家的、社会的个人信息，这就是‘公民个人信息’的双重法益属性：个人法益和超个人法益”[12]。

按照二元论的观点，根据主体的不同可以将法益分为个人法益与超个人法益[13]，而这也正是前述3种学说的划分标准与形成依据。要判断侵犯公民个人信息罪之法益为何，第一步需要在个人法益与超个人法益中做出选择，抑或是认为二者兼而有之。首先，全国人大常委会法制工作委员会主任李适时在《关于〈中华人民共和国刑法修正案(九)(草案)〉的说明》中提到，之所以增设侵犯公民个人信息罪，是为了进一步加强对公民个人信息的保护。同时，由立法机关主要工作人员主编的对《刑法修正案(九)》进行解读的论著中也指出，“为进一步加强对公民个人信息的保护，刑法修正案(九)根据实践需要和有关方面的意见对本条作了修改”[14]。从上述立法者对侵犯公民个人信息罪之立法背景、缘由、动因的描述中可以总结出该罪立法原意为保护公民个人信息及与之相关的公民个人人身、财产、隐私安全，而与社会利益、国家利益无涉。其次，我国刑法分则以同类客体为标准，将具体犯罪分为10个章节，每一章犯罪在客体上基本具有同一性，一定程度上反映出各类犯罪不同的危害程度[15]。侵犯公民个人信息罪自增设以来即被规定于《刑法》第四章“侵犯公民人身权利、民主权利罪”中，根据同类法益对个罪法益的制约作用，侵犯公民个人信息罪所保护的法益应在公民人身权利、民主权利的范畴之内，属于典型的个人法益[6]47。最后，根据《解释》第5条对“情节严重”认定标准的规定，一方面，即使行为人仅侵犯一条个人信息，只要符合信息去向及用途、违法所得、行为人曾受处罚等要求，则仍然可以构成侵犯公民个人信息罪；另一方面，行为人侵犯多条乃至大量个人信息，可能只是针对同一主体的不同信息，即便涉及多个主体，在没有产生真正意义上独立于个人利益的社会利益或国家利益时，也只是多个个人法益的单纯集合，而不会质变为超个人法益[16]。因此可以初步明确，侵犯公民个人信息罪之法益属于个人法益。

接下来需要进一步确定侵犯公民个人信息罪之法益具体是哪种个人法益。首先，刑法是其他法律的保障法，其不创造新的法益类型。刑法法益与其他法律所保护的法益具有一致性，不会超出后者的范围，因此，对前置法内容的回溯有利于为刑法法益的最终确定提供指导与参照。《个人信息保护法》《民法典》《网络安全法》等前置法所保护的与个人信息相关的权利主要包括知情权、决定权、限制权、拒绝权、查阅权、复制权、更正、删除请求权等，根据民法学界的主流观点，可以将其统称为个人信息权[17]。如前所述，前置法法益决定了刑法法益的最大可能边界，但至于其是止步于此还是进一步限缩至个人信息权中的某项具体权利，则需要结合其他条件进行综合判断。其次，犯罪实行行为通过作用于犯罪对象达到侵害法益的目的，因此可以通过“公民个人信息”上所附着的权利探寻侵犯公民个人信息罪之法益的具体内涵，而这一问题涉及到前置法上关于个人信息权益属性的探讨。虽然存在基本权利说、公法权利说、财产权说、隐私权说、人格权说等多种学说，但目前民法学界主流观点认为个人信息的权益属性应为一项新型的、独立的具体人格权，即个人信息权[18]。最后，侵犯公民个人信息罪最主要的行为方式为非法获取与非法提供，其指的是行为人在未经权利人许可且无其他合法根据的情况下，擅自取得他人的个人信息或将其所掌握的个人信息公开、提供给他人，公民有自我决定其个人信息是否被处理，以及在多大范围、多长时间内、以何种方式、被哪一主体处理的权利。这种是典型的侵权行为，通过比照个人信息权的外延范围可知，这种被侵害的权利为其中的决定权，学界也将其称为信息自决权。因此可以得出最终结论，侵犯公民个人信息罪之法益为个人信息权中的信息自决权。

从法益侵害的角度来看，若某一信息属于“公民个人信息”，则侵犯该信息的行为应具有法益侵害性。信息自决权指的是个人享有决定其信息是否被处理，以及在何时、何地、以何种方式、在何种范围内被处理的权利，其不因个人信息的公开与否而发生变化，即使相关信息不具备或者已经丧失隐秘性，行为人非法获取、非法提供该信息的行为仍然构成对他人信息自决权的侵害。因此，公开信息应属于侵犯公民个人信息罪中的“公民个人信息”。

三、获取、提供公开信息行为的罪与非罪判断——基于类型化思维的具体分析

如上所述，公开信息属于侵犯公民个人信息罪中的“公民个人信息”，应当被纳入刑法保护范围。但需要注意的是，公开信息的公共可感知性使其区别于其他非公开信息，同时亦对获取、提供该类信息行为的罪与非罪判断产生影响，因此需结合公开信息的特殊性，明确何种行为属于《刑法》上的“非法获取”“非法提供”，进而判断其可能构成侵犯公民个人信息罪。考虑到公开信息之公开情形的多样性，且不同情形对行为罪与非罪判断的影响各不相同，本文基于类型化思维，按照公开的意愿性、主动性、合法性等标准进行划分，并针对不同情形分别予以探讨。

1.权利人自愿公开信息

随着网络技术的发展及信息时代的到来，人们产生更高的信息分享热情与利用需求，同时其拥有更迅捷的技术与工具，因此自愿公开个人信息以实现某种目的的情形逐渐成为一种常态。例如，个人在微博、朋友圈发布自己的照片与行动轨迹、企业人力与资源主管在招聘网站公布其联系方式等。此类信息是权利人完全基于自己的意愿并主动发布于互联网的，若他人通过公开途径对其进行收集甚至将整理之后的信息提供给第三人，收集者或提供者的行为是否构成侵犯公民个人信息罪？

根据《刑法》第253条之一以及《解释》第2条、第4条的规定，获取、提供公民个人信息行为的入罪前提为“违反国家有关规定”，即违反法律、行政法规、部门规章有关公民个人信息保护的规定。经过梳理可以发现，上述规定散见于《个人信息保护法》《民法典》《网络安全法》《电信和互联网用户个人信息保护规定》《互联网信息服务管理办法》等规范中。根据前置法的规定，收集、提供个人信息应征得自然人或者其监护人同意，既然权利人自愿将其信息公开发布于网络，则表明其允许他人获取该信息，即便没有明确的承诺，其行为也已构成默示的同意。另外，《个人信息保护法》第13条第1款第(六)项、《民法典》第1036条第1款第(二)项规定，合理收集、提供自然人自行公开的或者其他已经合法公开的信息，行为人不承担民事责任，因此获取公开信息的行为不违反前置法的规定。同时，由于他人均能够合法获取该信息，因此除权利人要求二次授权以外，可以推定其对行为人整理并向他人提供其个人信息的行为具有概括同意，进而亦阻却该提供行为的非法性。因此，若权利人自愿公开信息，他人收集或提供该信息的行为不构成侵犯公民个人信息罪。另外，在某些情形下，权利人希望其信息能够广泛传播与流转，以实现广告宣传、商贸联系等价值，因此将获取、提供该信息的行为认定为犯罪亦违背一般人的认知[19]。

对于权利人自愿公开信息的情形，还应注意以下几种特殊情况。(1)若权利人将其公开的信息设置为部分人可见或仅发布于微信群等有限范围，具有观看权限或处于微信群内的用户仍由于权利人的默示同意而有权获取该信息，但除征得权利人同意外，其不得擅自向他人提供或将信息发布于网络，否则属于非法提供。(2)若权利人将照片等信息设置为不可保存模式，则该信息由于能为其他多数人感知，因此仍属于公开信息，但上述措施表明权利人仅希望向他人展示，而拒绝他人保存或传播，因此行为人通过截屏、去除水印等方式获取信息以及向他人提供该信息的行为违背权利人意愿，属于非法获取、非法提供。(3)若权利人为未成年人，则考虑到其民事行为能力的有限性以及对未成年人个人信息的特殊保护，即使其自愿公开个人信息，行为人收集或向他人提供该信息仍需经过其监护人同意。(4)在某些案件中，行为人通过购买或在微博、朋友圈下载等方式，收集他人尤其是年轻女性发布于社交平台的生活照，然后成套打包出售，往往上千张照片仅需几元钱，而购买者多使用该照片进行电信诈骗等违法犯罪活动[20]。由于生活照为权利人自愿发布，因此，行为人收集该照片的行为不具有非法性，但其明知购买者使用该照片实施违法犯罪活动而仍然向其提供的，属于对公开信息的不合理处理，违反前置法的规定，且其行为对法益侵害具有促进作用，因此在满足其他要件的情况下，应按侵犯公民个人信息罪与购买者所实施犯罪的竞合进行定罪处罚。

2.权利人非自愿但自己公开信息

除权利人自愿公开信息外，还存在他人违背其真实意愿，采取胁迫、欺诈等手段，使其自己公开个人信息的情形。例如，甲胁迫乙在乙的社交账号上公布其个人信息，若他人收集该信息甚至提供给第三人，其获取与提供行为是否构成侵犯公民个人信息罪？本文认为，《个人信息保护法》第13条第1款第(六)项与《民法典》第1036条第1款第(二)项所规定的“自行公开”应符合主客观相统一的要求，即必须是信息主体基于自身真实意愿从而自己公开，在本文此处所说的情形中，由于乙受到甲的胁迫，意思表示并不真实，故不能被认定为“自行公开”。另外，根据前置法的内容，除非存在法律规定的特殊情况，否则未经权利人同意，行为人不得擅自收集或向他人提供个人信息。上例中虽然从表面看乙是主动公开其信息，但事实上乙的行为并非出自其真实意愿，故不存在第一种情形中由行为推导出的默示同意。因此，在权利人非自愿但自己公开信息的场合，行为人若收集其所发布的信息或者再将其提供给他人，则属于“违反国家有关规定”，进而在满足主观、情节等其他要件的情况下即符合侵犯公民个人信息罪的构成要件且具有违法性。但需要注意的是，在网络实名认证的要求下，微博、微信等社交账号能够与特定主体相对应，属于其数字身份的一部分，虽具有虚拟性，但却是客观真实的[21]。因此上例中乙使用其自身社交账号公布个人信息且未加任何声明，对于行为人而言，由于无法明知乙的内心活动与其受胁迫的事实，进而只能推定认为乙是自愿且主动地公开个人信息。在这种情况之下，行为人基于合理理由产生的误解属于典型的事实认识错误，阻却犯罪故意的成立。因此，若权利人由于受到胁迫、欺诈等原因非自愿但自己公开个人信息，他人收集或提供该信息的行为不构成侵犯公民个人信息罪。

3.权利人非自愿但信息被他人合法公开

信息公开的主体并不局限于该信息的权利人，其他自然人或单位在掌握他人信息的情况下，亦能够基于不同理由进行公开，而其中合法公开最典型的例子即为政府信息公开。例如，政府集中采购项目、公务员招考录取结果、民政或其他相关部门为救助、救济、奖励而公示的个人信息等。需要注意的是，根据《政府信息公开条例》，行政机关有权且应当对政府信息进行公开，其中即包含涉及公民个人信息的部分，但若他人收集该信息或者将该信息提供给第三人，例如天眼查等网站通过大数据技术对依法公开的企业工商信息、法院判决信息、失信信息等进行收集、整理，为用户提供全方位的查询服务[22]，其行为是否属于“非法”，进而构成侵犯公民个人信息罪？

政府信息公开的立法目的与核心价值在于使公民充分了解行政机关的具体运作、政府的重要决策以及其他与公民权利和利益密切相关的信息，进而保障公民知情权[23]。正如有学者所提出的，“《政府信息公开条例》规定的信息公开，以保障知情权、监督行政机关为主要目的，可以称之为‘基于知情权的信息公开’”[24]。知情权有广义与狭义之分，本文所称知情权限于公民向政府请求信息公开的权利，不包括私法上的知情权，如《消费者权益保护法》中规定的消费者的相关权利。因此，对于政府依法公开的个人信息，全体公民享有知悉的权利，且根据前置法的规定，公民有权处理合法公开的信息，故其对该信息进行收集、整理甚至提供给他人的行为不具有非法性，进而在构成要件层面否定侵犯公民个人信息罪的成立[25]。例如在某一案件中，吴某在天眼查、企查查等网站下载依法公开的企业工商登记信息1.8万余条，出售后共获利1万余元，公安机关以涉嫌侵犯公民个人信息罪传唤吴某，之后该案被移送至检察院审查起诉，检察官根据《民法典》第1036条认为，既然没有证据证实吴某出售公开个人信息的行为遭到权利人拒绝或侵害其重大利益，则不应认定为侵犯公民个人信息罪，最终公安机关对吴某作撤案处理[26]。同时，国家市场监督管理总局、国家标准化管理委员会于2020年3月6日发布的《信息安全技术—个人信息安全规范》也为这一观点提供了佐证。该规范第5.6条(h)与第9.5条(g)规定了获取、提供、使用个人信息须征得授权同意的例外情形之一，即“从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道”。另外，政府公开的部分信息是基于权利人对救济、保障、奖励等项目的申请，而政府往往会在这些项目的相关政策中明确该项目的审核流程，其中即包括对最终结果的公示。例如《北京市公共租赁住房申请、审核及配租管理办法》第16条第2款后半段提出，“配租结果应在区县政府或社会单位网站上公布”。权利人须遵循上述《管理办法》的规定，因此其在对该项目提出申请的同时即意味着其向行政机关让渡部分个人信息权利，同意政府对其相关信息进行公开，而这种情形可归于“权利人自愿公开信息”，他人收集或提供该信息的行为不构成侵犯公民个人信息罪。

在权利人非自愿但信息被他人合法公开的情形中，还需要注意有限公开的问题。(1)公开范围的有限，某些信息仅在特定主体间公开，而并非面向全体公民。例如涉及未成年人等的不公开审理案件，其中所关联的个人信息，只有当事人、办案司法人员、辩护律师等主体知晓。在这种情形下，前述主体有权获取相关信息，但若其将该信息提供给他人，则属于“非法提供”。(2)公开时间的有限，某些信息仅在特定时间公开，其性质随时间不同而发生变化，例如住房保障公示信息一般在公示期过后将被撤回。因此，在公示期内他人均有权知悉，不存在非法获取与非法提供的问题；但若超过公示期，该信息被撤回，故其不再属于公开信息，对其的获取或提供行为需遵循国家有关规定，否则构成“非法”。另外，有学者提出应对犯罪记录等容易产生“标签效应”的信息设置公开期限，期限结束则禁止查询，以保障犯罪人人权并促进其回归社会[27]。

4.权利人非自愿但信息被他人非法公开

信息时代的到来在突显个人信息极高内在价值的同时，也催生了可能发生的侵害行为，其中包括未经权利人许可、非法公开他人信息的情形。而实践中亦伴随产生一种专门以此类非法公开信息为“原料”，进而提供其他灰色服务的网络软件，最典型的代表为“原谅宝”App。“原谅宝”是一款基于大数据技术，通过收集色情网站上的淫秽视频、图片，并采取人脸识别、声纹识别等方法为用户比对其所提供的照片是否出现在上述视频与图片中的软件，开发者称其目的在于辅助男性鉴别从事特殊行业的女性[28]。需要注意的是，除识别偏差、性别歧视等问题外，“原谅宝”最严重的缺陷在于其无法分辨在色情网站上收集并用于比对的淫秽视频、图片是当事人自愿上传还是被他人盗摄、偷拍后上传。因此在其无差别收集规则的指引下，“原谅宝”获取了大量未经权利人许可、他人擅自拍摄且公布于色情网站的视频与图片。虽然开发者辩称其所收集与使用的全部数据均来源于公开网络，但其获取行为的非法性并不因信息本身的公开性而有所减损，其行为严重违反《个人信息保护法》《民法典》《网络安全法》，属于非法获取他人信息的行为。且色情网站用户并非实名制，部分视频中当事人亦明显表现出其对拍摄完全不知情，故“原谅宝”设计者存在误以为相关视频与图片是当事人自愿上传的认识错误，无法阻却犯罪故意。另外，根据用户上传的照片，“原谅宝”进行数据库比对之后会提供一份鉴定报告，以呈现匹配指数等数据。这些数据本身并不涉及他人个人信息，因此不存在非法提供行为，但若“原谅宝”在提供鉴定报告的同时亦附加与照片匹配相似的原视频或图片，则其行为因违反《个人信息保护法》《民法典》《网络安全法》等法律法规而具有非法性。因此，获取、提供权利人非自愿但被他人非法公开的信息的行为属于“非法获取”或“非法提供”，在满足其他要件的情况下构成侵犯公民个人信息罪。这一观点也为司法实务部门所接受。例如，在张某某侵犯公民个人信息案中，罗某某将包含大量公民个人信息的文件非法上传至公司微信群，张某某通过其电脑从微信群里下载该文件，获取公民个人信息11 830条，最终法院认定张某某的行为构成“非法获取”，以侵犯公民个人信息罪判处其7个月有期徒刑，并处罚金人民币2000元[29]。

四、智慧社会环境下公开信息刑法保护的新问题

智慧社会是不同于传统物态社会的新型社会模式，其最主要的特征在于互联网、大数据、人工智能等技术的交互融合，而这些技术的发展运用完全依赖于信息的收集、流转与处理，因此，个人信息是智慧社会中的关键资源并已然成为其发展的核心动力[30]。但任何事物都有其两面性，在科学技术不断进步的同时，关于信息与隐私的威胁亦在持续蔓延，智慧社会环境下个人信息面临新的风险与挑战[31]。

1.网络爬虫抓取公开信息行为的刑法规制

网络爬虫是指按照开发者设定的规则，自动抓取互联网上已公开的信息的程序或脚本[32]。网络爬虫技术有利于信息的传播与共享，尤其在个人信息成为重要财富的智慧社会环境下，“数据依靠流动产生价值”的理念已然深入人心[33]，因此一些网站、平台甚至个人出于商业经营、社会交往等目的，允许他人设计的网络爬虫提取其网页上的相关信息。但并非所有权利人均希望自己的网页信息被提取，或者其并不愿意全部信息被提取，因此，若网络爬虫开发者擅自使用爬虫技术爬取未获权利人许可的信息，其行为可能构成侵犯公民个人信息罪。根据《个人信息保护法》《民法典》等法律法规的规定，权利人是否同意是判断行为人获取个人信息行为非法性的重要标准，而具体到网络爬虫领域，网页信息权利人的意愿体现在Robots协议上。Robots协议即爬虫协议，其指的是网站所有者设置的文本文件“Robots.txt”，用于提示网络爬虫哪些信息是允许爬取的，哪些信息是不可被爬取的[34]，权利人通过该协议设置信息抓取规则，从而划定网络爬虫可以提取信息的范围。若爬虫抓取的信息符合规则，则行为人的行为因获得权利人许可而并不违反国家有关规定，否则即属于“以其他方法非法获取公民个人信息”之“非法”，在满足其他要件的情况下构成侵犯公民个人信息罪[35]。

另外，并非所有网站均设置Robots协议，或者在取证过程中无法查明被害网站是否设置了Robots协议，但这并不意味着权利人允许他人随意使用网络爬虫抓取全部信息，其往往会采取一些反爬措施来限制或禁止爬虫的行动范围，例如IP限制、验证码、登录限制、数据伪装、参数签名等[36]。善意爬虫遵循规则，而恶意爬虫往往为达目的故意突破反爬措施，因此，在没有Robots协议作为判断网络爬虫行为非法性的标准时，可以通过该爬虫是否突破网页信息权利人设置的反爬措施来进行辨别。在中国裁判文书网数据被违法抓取的案例中，有观点提出，“虽然我们不知道文书网是否通过‘爬虫协议’宣示禁止爬虫，但该网采用了验证码方式限制爬虫，可以推断被爬取并非网站所愿”[37]。

2.生物识别信息及其公开性

随着科技的发展，智慧社会环境下除姓名、住址、身份证号码等传统物质化的个人信息外，还产生了一种新的形态，即生物识别信息。我国民事、行政法律规范明确将生物识别信息列为个人信息之一，例如《个人信息保护法》第28条、《民法典》第1034条、《网络安全法》第76条等，但上述规范并未对其内涵进行界定，理论界也存在不同观点。有学者认为，生物识别信息是指采集于人体的指纹、虹膜、面容、声音等[38]；另有学者认为，生物识别信息是指对自然人身体、生理进行一定的技术处理所得到的信息[39]。二者的分歧在于是否认为生物识别信息的产生需要进行特殊的技术处理。若按照前者的观点，生物识别信息是自然人的身体、生理本身，那么其中面容、声音等显露于外的部分，他人均能够感知到(看到或听到)，因此属于本文所称公开信息。根据《个人信息保护法》第13条第1款第(六)项与《民法典》第1036条第1款第(二)项的规定，对于权利人自行公开的信息，他人合理的获取、提供行为无需征得权利人授权同意且不承担法律责任，因此面容、声音等公开生物识别信息的法律保护程度较弱，其在很大程度上处于随意流通、使用的状态。这样的结论显然与生物识别信息所具有的区别于普通个人信息的特性相悖，生物识别信息与权利人一一对应、不可更改、不可替换，其具有明显的人身关联性与唯一性，一旦其被侵犯，则会造成极其严重损害后果，例如在唐某1等侵犯公民个人信息案中，唐某1采用制作唐某2的3D人脸动态图的方式突破了支付宝人脸识别认证系统并将相关信息提供给张某，后者利用该信息，采取充话费的方式将唐某2支付宝账户内的人民币2.4万余元全部转移[40]。因此对于具有极端重要性的生物识别信息，法律应为其提供更高程度的保护，产生上述矛盾的关键在于对生物识别信息定义的理解有误。从事实层面来看，信息指的是具有一定意义的知识与内容，而在法律层面，根据前置法的规定可以看出，个人信息必须附着于一定的载体之上，因此，采集于人体的指纹、虹膜、面容、声音等本身并不是信息，只有经过技术处理并固定于载体之上的内容才可能成为生物识别信息，例如人脸识别设备抓取并储存的人脸信息、基因检测设备提取并固定的DNA图谱等。正如有学者所言，生物识别信息是来自虹膜、指纹、声纹、手部或面部几何扫描等生物识别标识符(Biometric Identifiers)的信息，但这些生物标识符本身不是信息[41]。因此，不应由于面容、声音等显露于外而直接将其认定为公开信息，进而减损对其的法律保护程度。

五、结 语

“我们所处的时代是一个人人有终端、物物可传感、处处可上网、时时在链接的时代。”[42]无论是政务管理、经济发展，还是科学研究、商业往来，抑或是医疗卫生、社交娱乐，社会生活的方方面面均在时刻产生、分享和利用着海量的个人数据与信息，可以说在当前大数据时代背景下，个人信息已然成为现代社会发展的重要资源与核心动力。随着个人信息的内在价值不断被发现，侵犯他人信息权利的行为逐渐产生并迅速蔓延，因此理论界与实务界均致力于探索对个人信息的保护进路，相应的法律规范也不断完善，《个人信息保护法》的颁布更是标志着这种保护进入一个全新的阶段。但信息“活”于流动，只有分享与利用才能实现其背后的价值，因此不能将法律保护与信息利用决然分离开来，而应在二者之间寻求双向的平衡。需要注意的是，这种平衡的重要性在公开信息上体现得尤为明显。公开信息属于侵犯公民个人信息罪中的“公民个人信息”，应受刑法保护，但其内容已经为权利人之外的他人所感知，故在满足保护需求的情况下，对其进行利用的可行性更大。因此，对于公开信息而言，更应调和法律保护与信息利用之间的关系，厘清获取、提供公开信息行为的入罪边界，既严厉打击非法获取与提供行为，也要保障公开信息的正常流通与利用，以做到为其提供周全保护的同时实现其最大价值。