在店铺经营权转让过程中伴随企业工商登记信息使用法定代表人信息构成侵犯公民个人信息罪吗？

案情简介：王某招募兼职人员，经兼职人员同意并授权，使用其身份信息进行工商登记注册、申请营业执照并完成亚马逊店铺的认证事宜。经兼职人员同意并授权，王某将亚马逊店铺转让给第三人，并以转让亚马逊店铺账号、密码的方式完成交付。因在亚马逊店铺转让过程中，店铺关联的企业信息包括法定代表人信息也随之发生流转，公安机关以王某涉嫌侵犯公民个人信息罪移送审查起诉。

辩护人介入后，通过对案件的梳理认为，在征得兼职人员同意并授权的前提下，转让店铺账号及密码组合，是实现协议约定的转让亚马逊店铺经营权的合理方式。从性质上来看，单纯亚马逊店铺的账号和密码组合，不属于公民个人信息；用于店铺认证的企业工商登记信息属于企业信息；在店铺经营权转让过程中，伴随企业工商登记信息使用法定代表人信息属于合理使用已公开个人信息的范畴，王某不构成侵犯公民个人信息罪。

《个人信息保护法》第十三条规定，在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息的，不需取得个人同意。原因在于，由于个人信息已经被个人自行公开或者已经通过其他途径被合法公开，当个人信息处理者处理该等个人信息时，视为其已征得个人信息主体的默示同意。而“合理范围”作为前述默示同意的补强规则，共同构成了在合理范围内处理已公开个人信息的合法性基础。尽管《个人信息保护法》第二十七条在第十三条的基础上，增加了“个人明确拒绝”“对个人权益有重大影响”的限制条件，但由于“重大影响”的模糊性和“明确拒绝”的现实困境，实践中往往归于对“合理范围”的讨论。由此产生的疑问是，究竟在何种范围内处理个人信息才能被认为是处于“合理范围”？

本文将结合团队在办理王某涉嫌侵犯公民个人信息罪案中的经验，以场景化的方式说明，在店铺经营权转让过程中伴随企业工商登记信息使用法定代表人信息属于合理使用已公开个人信息的范畴。

伴随企业工商登记信息使用的企业法定代表人信息属于企业信息的一部分，具有不可拆分性

两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定，刑法第二百五十三条之一规定的公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。由此可知，《解释》将“可识别性”界定为《刑法》第二百五十三条之一“个人信息”内涵的核心要素，意在强调信息与信息主体之间被直接或间接识别出来的可能性。依据信息与特定自然人身份或特定自然人活动情况的关联程度的不同，“识别”又可分为单独识别和结合识别。

仅从个人信息定义的角度进行考察，记录在企业工商登记信息上的法定代表人信息，由于单独或结合可识别的到实际履行法定代表人职责的自然人个人，因而当然地落入了个人信息的范畴。

本文并不意在讨论单独使用该等法定代表人信息的场景，而旨在关注，伴随企业工商登记信息使用法定代表人信息的场景下，即当实际履行法定代表人职责的自然人个人的个人信息不可分割地成为企业信息的一部分时，所产生的特殊法律效果。伴随使用场景下，所牵涉的个人信息的特殊性在于，若对其进行匿名化处理，则相应的证照无法实现其证明及公示公信的功能。例如，若隐去房产证上所有权人的姓名、身份证号、地址等信息，则无法对房屋的权属进行识别，不动产权证书就难以发挥其确权的作用。同理，法定代表人作为公司必不可少的组织机构，而其职责又必须由具体的自然人加以履行，导致实际履行法定代表人职责的特定自然人的个人信息与企业进行绑定，成为企业工商登记信息不可分割的一部分。该制度的设置旨在维护交易安全、保障公平竞争并为维护公民的合法利益提供了途径。符合条件的主体可依照法律规定的流程，在未经个人授权的前提下完成工商档案的调取也证明了这一点。

本案中，根据亚马逊平台的规定，在店铺注册和认证过程中，需要对营业执照及企业法定代表人身份信息进行核对与校验，因此有关企业法定代表人的姓名、身份证号、家庭住址、联系方式等信息将会被存储在亚马逊平台。对于亚马逊平台而言，对实际履行法定代表人职责的特定自然人个人信息的获取，是出于监管平台内的店铺、维护交易安全、保障公平竞争的现实需求，该等信息是企业信息不可分割的一部分。

依据《个人信息保护法》第十三条之规定，个人信息公开的合法类型包括自然人自行公开和其他已经合法公开两种。本案中所涉及的企业法人信息即属其他已经合法公开的个人信息，具体而言，是依据行政机关的行政行为而强制公开的个人信息。

依据《中华人民共和国公司法》第三十二条第一款之规定，法定代表人的姓名是公司登记的必须事项之一。依据该条第二款、《中华人民共和国企业法人登记管理条例施行细则》第五十四条之规定，登记主管机关应当将企业法人登记、备案信息通过企业信用信息公示系统向社会公示。同时，依据《中华人民共和国企业法人登记管理条例施行细则》第五十五条、《企业信息公示暂行条例》第八条之规定，企业应当通过国家企业信用信息公示系统向市场监督管理部门报送上一年度年度报告，并向社会公示。

通过对上述规定的解读可知，出于保障公共利益、维护市场秩序的需要，行政机关在企业设立伊始及存续期间强制要求企业公开法定代表人的有关信息。为满足监管要求，企业需要在特定的时间节点将包含法定代表人信息在内的企业信息向社会公示。如前所述，在伴随使用的场景下，法定代表人信息是企业在生产经营活动过程中形成的信息，并在此过程中成为了企业信息不可分割的一部分。换言之，为了符合法律规定或者满足经营需要，个人信息主体选择将自然人信息从属于企业信息。由此产生的法律效果是，一方面，有关个人信息的人格属性保护价值大大降低，对于该等从属于企业信息的个人信息，刑法不应当给予其与其他个人信息同等水平的保护；另一方面，为满足生产经营之需要，个人自愿让渡出部分权利，将有关信息向社会公示，个人对相关信息会被扩散和周知应该有所认知并同意该信息向社会公开，公众可以自由查询，也即，一经公示，企业法定代表人的有关信息，即属于已公开个人信息的范畴。

（一）经企业认证的亚马逊店铺为企业店铺，企业店铺经营权依企业经营决策流转

本案中，涉案亚马逊店铺的认证主体均为企业，而非个人。经企业认证的亚马逊店铺，从性质上属于企业店铺。这意味着，店铺的所有权、经营权以及相关的法律责任归属于企业而非个人。故，企业亚马逊店铺经营权的流转遵循企业的经营决策体系进行，换言之，在企业店铺经营权流转的过程中，起决定性作用的，是企业的决策机构。在此过程中，企业法定代表人作为企业治理结构中的职务行为代理人，其职责是，执行决策机构的决策结果，负责企业决策在公司实体与程序上的实现。在此场景下，执行企业法定代表人职责的自然人个人的个人信息转化为企业信用体系的组成部分，与企业名称、注册资本等核心登记事项共同构成 不可分割的认证要素组合，与企业主体形成法律人格的附随关系。 

根据亚马逊平台的规则，企业认证的店铺必须提供完整的企业工商登记信息，其中包括了法定代表人信息。提供这些信息的目的不是为了进一步的处理，而是为了确认企业具有合法经营资质。这种规则设计意味着经营权流转必然伴随企业工商登记信息的同步移转。若要求受让方在接收企业店铺时需单独就法定代表人信息取得授权，实质上将导致企业法人人格的分裂，即法定代表人信息既作为企业治理结构的法定要素，又被割裂为独立的个人隐私数据。这种矛盾将直接冲击《企业信息公示暂行条例》确立的商事登记信息完整公示原则。

（二）企业店铺经营权流转过程中，受让方一并获知店铺所绑定的包含了企业法定代表人信息的企业工商登记信息，此时无需再就企业法定代表人信息的一并提供征得自然人个人同意

在商事登记领域，法定代表人信息具有双重法律属性：一方面其作为自然人的身份标识具有个人属性；另一方面因其与企业的法定代表关系而成为企业信用公示信息的必要组成部分。企业店铺经营权转让过程中，受让方不可避免地获知店铺所绑定的企业工商登记信息，并在此过程中一并获知了执行企业法定代表人职责的自然人个人的身份信息。这是由于亚马逊平台为确保店铺运营的合法性、规范性以及可追溯性，对店铺提出的信息留存要求。

从场景延续性角度进行考察，亚马逊店铺的初始认证已要求企业提交包含企业法定代表人信息在内的完整的工商登记信息，该信息处理行为已通过企业设立登记时的法定代表人明示同意完成合法性闭环。店铺经营权转让作为企业经营活动的自然延伸，属于原始收集目的的合理延续，在信息的使用场景上具有一致性和延续性。从处理个人信息的范围、目的和用途角度进行考察，如前所述，在伴随企业工商登记使用企业法定代表人信息的场景下，构成对已公开个人信息的合理使用，因而无需再征得个人信息主体的同意。

店铺经营权转让作为企业正常的商事行为，仅需依据企业经营决策体系进行，由股东会或董事会作出转让决议。若在该流程之外，额外启动与之平行的法定代表人决议程序，每次都要求单独征得法定代表人个人同意才能提供其信息，将会极大地增加交易成本和时间成本，降低交易效率。因此，当法定代表人信息已通过企业登记制度进入公共领域时，强制单独授权无异于在高速公路设置 人工检票站——看似维护秩序，实则制造拥堵。唯有承认“商事公示吸收个人同意”，方能疏通数字经济毛细血管，实现企业信息规范流转与交易效率提升实现有机统一。