侵犯公民个人信息罪中“识别性”探析 本文关键词:探析,个人信息,公民,识别,侵犯
侵犯公民个人信息罪中“识别性”探析 本文简介:摘要: 具有识别性是指结合已有的技术和认知通过单独的信息或者综合其他信息能够确定特定的自然人。识别性分为适用“锁定”规则的直接识别和适用“拼图”规则的间接识别。侵犯公民个人信息罪是单一性法益,即个人信息权。侵犯公民个人信息罪中个人信息并不必然要求具备&
侵犯公民个人信息罪中“识别性”探析 本文内容:
摘 要: 具有识别性是指结合已有的技术和认知通过单独的信息或者综合其他信息能够确定特定的自然人。识别性分为适用“锁定”规则的直接识别和适用“拼图”规则的间接识别。侵犯公民个人信息罪是单一性法益,即个人信息权。侵犯公民个人信息罪中个人信息并不必然要求具备“识别性”。不要求“识别性”的隐私信息也是侵犯公民个人信息罪的对象。获取行踪轨迹、手机定位、偷拍私密部位都应纳入到侵犯公民个人信息罪的管辖范畴。
关键词: 识别性; 身份信息; 隐私信息; 偷拍; 行踪轨迹;
随着物质世界和网络世界的融合,个人信息所具有的社会价值、商业价值越发凸显,“拥有信息就拥有财富”已成共识,与此同时针对个人信息的犯罪也呈现出井喷式发展。侵犯公民个人信息罪是一个始于《刑法修正案(七)》修于《刑法修正案(九)》的新罪,准确适用本罪需要阐明“个人信息”的内涵,从而合理划定本罪的规制阈值。本文主要围绕个人信息“识别性”展开,鉴于侵犯公民个人信息罪为身份信息和隐私信息双元领域提供保护,由此决定了侵犯公民个人信息罪中的个人信息包括不要求具有身份识别性的“隐私信息”。
一、何为“识别性”?
我国的法律、规章、司法解释都有关于个人信息的规定,尽管它们对个人信息的表述存在差别,但都涉及了“识别性”。1比较这些法律、规章、司法解释对个人信息的界定,基于不同的功能取舍,它们对个人信息做出了既同又异的表述,但在这些定义中“识别性”是无法绕开的词语。
(一)“识别性”的定义
坚持识别性是个人信息的本质特征,自然会得出不具有识别性的信息不属于公民个人信息,如此就会轻易将裙底偷拍、手机定位、车辆跟踪等获取不具有识别性的信息排除在个人信息的范畴之外,也就不能用侵犯公民个人信息罪对这类行为进行规制。“可以识别特定自然人身份或者反映特定自然人活动情况,这是公民个人信息所具有的关键属性。因此,经过处理无法识别特定个人且不能复原的信息,虽然也可能反映自然人的活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。”2识别性对个人信息的判断起着关键性制约作用,界定识别性成为了确定个人信息的必经环节。
侵犯公民个人信息罪的裁判文书很少对公民个人信息进行展开讨论,但从大量的判决书以及有限的判决说理中可以看出实践中坚持个人信息须具有“识别性”,这已成为共识。“公诉机关指控:2015年9月至2016年4月期间,大连国涛征信管理顾问有限公司员工被告人牟雪莹在公司负责人张某的管理、安排下,使用其XXXXXX@qq.com的个人邮箱与他人交换公民个人信息共计9846条用于公司拓展业务,信息均包含公民的姓名、电话、公司名称、公司经营范围等内容,均能够识别自然人。”3“公民个人信息,是指与公民个人存在关联并可以识别特定个人的信息。手机定位信息是指通过特定的定位技术来获取可移动电话的位置信息,在电子地图上标出被定位对象位置的技术或服务。”4上述判决书中“均能够识别自然人”“可以识别特定个人”的措辞表达了法官坚持个人信息须具备“识别性”的立场。如后所述,单纯的手机定位信息并不能识别出特定个人,仅与个人隐私相关,不属于身份信息。
何为识别性?识别性是通过特定信息能够追踪到特定的自然人的特性。很多情况下确定特定自然人的过程,是已知信息和事后信息的共同协力,如果已知信息只是提供了模糊线索就不应轻易认定识别性。如果根据已有信息大体上确定了特定的自然人后,再根据该自然人的各种情况反向印证能够形成确定的认识,才可以肯定识别性信息。因此,识别性(尤其是间接识别)不要求绝对的指向某个特定的自然人,只要大体上能够确定特定的自然人即可。要特别指出的是,应区分通过信息“找寻”特定自然人的“识别性”与通过特定自然人“发掘”个人信息的“归属性”。“识别性”是从物找人,“归属性”是从人找物。界定识别性时,要考虑识别性的可操作性,即要兼顾识别的成本和识别结论的可接受性。“可识别性是指个人信息与信息主体存在客观确定的可能性,简单来说,这些个人信息能够直接或者间接地指向确定的主体。”5识别性就是利用已经掌握的信息可以直接锁定特定的自然人或者在信息加工整合的基础上经过推理拼凑出特定的自然人。欧盟对于2016年通过的《一般数据保护条例》(General Data Protection Regulation,一般简称为GDPR)有一个立法说明,该说明第26条对“识别性”的操作有着明确的表述:“为了确定一个自然人是否可以被识别,应考虑所有合理可能的使用手段,例如通过信息控制者或另一个人来直接或间接地识别自然人。确定一种手段是否能够合理可能的识别一个自然人,需要考虑所有的客观因素,诸如识别所需要的成本和花费的时间,还需考虑到这一过程中可用的技术以及技术发展。”6该论述清晰阐述了识别性的具体运作方式,即识别性要兼顾成本与时间投入,要考虑当前社会的技术支持。
(二)识别性的对象:特定的自然人
识别性的对象是仅指特定的自然人还是也包括自然人的个体特征存在争议。多数说认为识别性仅指身份识别(整体识别)。“从内容的角度看,可识别具有唯一的对应性,即只需要一个或多个独特信息就可以确定信息主体”。7
少数说认为识别性不仅包括身份识别还包括特征识别(局部识别)。“所谓‘可识别性’,即指相关信息与特定公民具有一定的关联性与专属性,通过这些信息符号能够把信息主体直接识别出来,或者与其他信息互相结合间接识别出主体身份和个体特征。具体包括识别特定个人身份与识别特定个人个性特征两种情况。”8
多数说与少数说并不存在实质性的差异,由于两者都承认间接识别,个体特征即使不能直接识别出特定的自然人,通过显着鲜明的个体特征也容易间接识别出特定的自然人。多数说认为通过个体特征能够直接或者间接地识别出特定的自然人。少数说认为个体特征具有独立性,但并不否定个体特征与特定自然人之间的关系。由此看来,多数说与少数说的区别在于“个体特征”是否具有独立性。实质来看,不论是多数说还是少数说在最终目的上具有一致性,都认为识别的对象是特定自然人。
(三)识别性的分类:依据“锁定”规则和“拼图”规则
识别性可分为“直接识别”与“间接识别”。直接识别的类型要远少于间接识别。直接识别与间接识别不是一成不变的,随着科技的发展,识别能力在提高,间接识别也可能变为直接识别。例如古代不具有价值的虹膜、声纹、DNA信息在当今社会能够直接识别特定的自然人。当对直接识别存有疑问时,直接识别可以降格为间接识别。虽然直接识别与间接识别并没有绝对清晰的界限,对此区分仍具有实益,它们在识别的简便性和确定性上存在差异。
1. 直接识别。
根据已知的单个信息能够确定特定的自然人,如身份证号码、指纹、影像视频等。直接识别是根据已知的信息能够“锁定”特定的自然人,不再需要其他信息的辅助和印证。这种识别能直接锁定特定的自然人,可称为锁定规则。例如,依据单次购票信息、一条医疗数据就能够直接识别出特定的自然人。根据我国火车票的购票规则和票面记载内容,单次购票信息可以确定特定的自然人。“单次购票信息之所以能够认定为行踪轨迹信息,原因恰在于票面不仅清楚记载了(或可通过某种途径查询)出发地、到达地和出发时间、到达时间等时空转移过程中必然涉及的动态性要素,也精确地记载了公民姓名以及所乘坐的特定交通工具、就座的特定座位等静态性要素,由这些要素组合而成的完整购票信息,足以独立地或借助其他高科技手段在茫茫人海中识别出特定公民。”9同样,医疗数据一般包括姓名、住址、电话、职业、检查结果、诊疗情况等信息群,它们能够直接识别特定的自然人。“医疗数据中的个人信息包含大量的生物特征数据,结合其他能够直接识别个体的个人身份信息(例如姓名、出生年月、电话号码),在生物医疗领域定位到个体的几率将会大大增加,这无疑对个体乃至整个社会的健康和生命安全造成直接的威胁。”10
2. 间接识别。
间接识别是依据单条信息不能直接判断出特定的自然人,需要在这些信息加工整合的基础上进行一定的推理,由此确定特定的自然人。间接识别需要对已知信息进行拼接组图,拼凑出一幅完整的“人物图像”。间接识别实质上是“拼图”规则运行的结果,如单独依据家庭住址、工作单位、年龄、性别、身高等不能确定特定人,将这些信息综合起来就能确定特定的自然人。推理判断的辅助性素材必须是识别时已经掌握的信息或者社会上已知的信息。例如,行为踪迹如果不是事先知悉了行为人,单纯依据行为的位移变换并不能确定特定的自然人,不应将其归入间接识别的范围之内。获取车辆行驶轨迹,只能确定车辆的空间位移,并不能确定车辆的具体驾驶人和乘坐人。“被告人所获取的仅仅是被害人乘坐公车的行驶位置,而仅凭这一事实并不足以直接识别出被害人。即使综合被害人所乘坐的车牌号码、工作单位、居住小区等情况,也难以将其与其他人明显区别开来。所以,被害人的日常活动并不具有合理的识别性,充其量仅具有弱识别性。”11
个人信息分为识别性信息与非识别性信息,识别性信息内又有直接识别和间接识别。间接识别并非不受任何限制,间接识别应根据识别时获取的信息且可以结合已知的公开信息,但不能使用事后知悉的信息。不应混淆“归属性”与“识别性”,不能用事后获知的特定人的信息来“补强”识别性中存在的弱关联和不确定。换言之,间接识别时应限定在识别时获取的信息,不能无限扩张,更不能借用间接识别进行“想象性推测”。
二、侵犯公民个人信息罪在保护什么?
法益具有“刑事政策机能、违法性评价机能、解释论机能、分类机能”,12法益能够明晰构成要件的范围、明示个罪的关联定位、明确刑法的规范目的。“虽然法益概念非常模糊,但法益提供了解释与限缩可罚性的双重功能,目前仍无其他更适合的替代概念。”13找准侵犯公民个人信息罪的法益才能清晰描画出其构成要件的“涵摄”范围,从而保障本罪在罪刑法定预设的轨道上安全运行。本罪的法益与个人信息的理解密切关联,根据法益裁剪个人信息才能使个人信息呈现出应有的“模样”。
(一)本罪法益内容的争论
关于本罪的法益,存在单一法益论与双重法益论之争。在单一法益论内部,存在信息权与隐私权之分:信息权说认为“侵犯公民个人信息罪所侵犯的具体法益类型真正在于‘个人信息自决权’,其中包括公民个人信息所涵括的个人对涉及自身信息的安全决定权、自由决定权、收益决定权、隐私决定权以及尊严决定权。”14隐私权说提倡,“本罪法益是公民的隐私权,既包括公民个人隐私不受侵犯的权利,也包括公民对自己个人信息的控制权。”15
双重法益说有个人法益与超个人法益并存说、个人信息权与隐私权并存说。个人法益与超个人法益并存说认为:“当代信息社会,公民个人信息不仅直接关系个人信息安全与生活安宁,而且关系社会公共利益、国家安全乃至于信息主权。”16个人信息权与隐私权并存说主张:“本罪的保护法益是公民个人的信息自由、安全和隐私权。”17“事实上,本罪所保护的法益即公民个人的信息自由、安全和隐私权的双重法益,其中,主要法益为公民个人的信息自由和安全。”18
本罪的法益争论主要是信息权与隐私权的竞争,但主张信息权者会认为信息权包括隐私权,坚持隐私权者会认为隐私权涵括信息权。换言之,论者并没有在同一框架层面使用信息权和隐私权。本文认为侵犯公民个人信息罪的法益是信息权,19信息权的对象(个人信息)包括可识别身份的个人信息(身份信息)和虽不能识别身份但涉及个人隐私的信息(隐私信息)。
(二)个人信息与个人隐私的暧昧关系
个人信息和个人隐私都是具有多层面含义的概念,人们在谈论它们时往往不自觉截取某一种含义,而忽视了它们自身的多义性。个人信息与个人隐私的关系存在包容说和交叉说之分,争论的症结是人们在什么层面使用个人信息与个人隐私。
1. 包容说要么认为个人隐私包括个人信息,要么认为个人信息包括个人隐私。
有人主张个人信息包括个人隐私,如“需强调的是公民个人信息不宜同于个人隐私,个人隐私的范围只是公民个人信息的一部分”。20有人认为个人隐私包括个人信息,如“从比较法上看,无论是理论还是判例,对于隐私与个人信息的保护,多采取‘一元制’保护模式,即不区分隐私与信息,将信息纳入隐私的范畴而采取同一保护,如美国、日本、我国台湾地区等。”21
2. 交叉说认为个人信息与个人隐私是交叉关系,不能相互包容。
“自然人的隐私,是自然人与公共利益、群体利益无关的,不愿他人知道或他人不便知道的信息,不愿他人干涉或他人不便干涉的个人私事,以及不愿他人侵入或他人不便侵入的个人领域。隐私有三种形态,一是个人信息,为无形的隐私;二是个人私事,为动态的隐私;三是个人领域,为有形的隐私。”22由此可见,以对隐私的经典理解为基石,个人隐私包括隐私信息、隐私活动、隐私空间等内容,其中隐私信息、隐私活动属于个人信息,隐私空间不属于个人信息的范畴。23隐私信息、隐私活动有的可以识别出特定的自然人,如在自家门口安装监控对门活动的摄像头;有的不能识别出特定的自然人,如裙底偷拍。“必须承认的是,隐私与信息有时可以清晰地区分开来,有时则难以区分。因为,隐私由两部分构成:一部分属于‘空间隐私权’,如住宅、公共场所(如商场)中的更衣室、浴室等,该部分隐私与信息的区分是泾渭分明的。但还有一部分隐私是通过一定的载体体现或者表达出来的,其表现形式就是‘信息’,尤其是在今天这样一个越来越‘无纸化’的生活时代,如个人的数码私密照片等。”24
人们会在不同的意义上使用个人信息与个人隐私,往往根据需要对同一词汇选择了不同的意义片段。在此有必要梳理一下个人信息与个人隐私的全方位意义。个人信息分为广义的个人信息和狭义的个人信息。广义的个人信息是指一切与特定人相关的信息,不要求具有识别性。狭义的个人信息指能识别个人身份的信息(身份信息),如肖像、指纹、家庭关系等信息。隐私也包括广义的隐私和狭义的隐私,广义的隐私包括隐私信息、隐私活动、隐私空间等内容,狭义的隐私仅指隐私信息、隐私活动,即以信息的形式体现出来的不愿让外界知悉的个人事项(隐私信息)。由此可见,广义的个人信息可以包括狭义的个人信息(身份信息)和狭义的隐私(隐私信息)。“个人信息是公民的姓名、有效证件号码、出生日期、身体特征、个人指纹、婚姻状况、家庭情况、受教育情况、从事职业、健康情况、通讯号码、经济状况等能够识别出个人身份或者关联个人隐私的信息或数据资料。”25
(三)侵犯公民个人信息罪的法益是信息权,不仅保护身份信息,也保护隐私信息
日本刑法以及我国台湾地区刑法都规定有侵犯个人秘密的犯罪,26可见他们更注重对个人隐私的保护。“不难发现,无论是泄露秘密罪,抑或是侵害言论隐私权罪,保护的法益都是公民不为他人所知的隐私,这一点与我国的侵犯公民个人信息罪完全不同。”27我国刑法中有针对侵犯国家秘密、军事秘密、商业秘密的专项性罪名,但没有专门针对侵犯个人秘密提供保护的罪名。刑法修正案七之前我们对个人隐私采取了分散性、片段性保护,仅规定了窃取、收买、非法提供信用卡信息资料罪(第177条之一第2款),侵犯通信自由罪(第252条),私自开拆、隐匿、毁弃邮件、电报罪(第253条),非法获取计算机信息系统数据、非法控制计算机信息系统罪(第285条第1款),泄露不应公开的案件信息罪(第308条之一第1款),披露、报道不应公开的案件信息罪(第308条之一第3款)等犯罪。诞生于刑法修正案七经过刑法修正案九修正的侵犯公民个人信息罪弥补了对“个人秘密”全面保护的欠缺,本质上是侵犯隐私信息的一般性罪名。否定侵犯公民个人信息罪保护个人秘密是只关注到了对身份信息的保护,忽略了刑法赋予本罪保护隐私信息的职能,如此理解显然误读了本罪的二元使命。
一般意义上个人信息是一切与个人相关的信息,包括身份信息、隐私信息和非身份、非隐私的个人信息。《刑法》第253条之一旨在对与个人相关的重要信息提供保护,从而维护个人生活的安全、稳定。本罪并没有对个人信息进行界定,无论侵害身份信息还是隐私信息,都妨害了个人对信息的自我决定权,也将影响到个人生活的安全、稳定。因此,本罪保护对象不仅包括身份信息,也包括隐私信息,二者都属于个人信息的范畴。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》将个人信息解释为识别信息和活动信息,并且针对活动信息提供更严格的保护,28也印证了对隐私信息保护的必要。“有必要强调的是,对于侵犯公民个人敏感信息的行为之所以设置不同于一般公民个人信息的入罪标准,就在于敏感信息涉及人身安全和财产安全,其被非法获取、出售或者提供后极易引发盗窃、诈骗、敲诈勒索等关联犯罪,具有更大的社会危害性。”29但是,笔者认为并不是活动信息容易引发进一步的犯罪而降低构罪要求,实质原因是活动信息属于涉及到人的尊严和自由的隐私信息,有必要提供更为严格的保护。
个人信息包括身份信息、隐私信息,保护身份信息(狭义的个人信息)与保护隐私信息的国家层面的规定都属于“国家有关规定”的范畴。有些法律(如诉讼法、律师法等)仅规定了隐私并没有出现“个人信息”字样也属于“国家有关规定”的范畴。特别需要指出的是,因为《民法总则》既规定了隐私权(第110条)又规定个人信息权(第111条),这两个条文都属于本罪中的“国家有关规定”。
侵犯公民个人信息罪具有保护个人隐私的功能,那些不能识别信息主体但侵犯了隐私的行为如裙底偷拍同样具有处罚必要性。裙底偷拍,毫无疑问获取了她人的隐私部位的信息。“所谓身体隐私部位,乃指个人身体不欲他人获悉之部位。例如,胸部或下阴等。”30裙底偷拍不能根据该单项信息识别出特定的自然人,该信息不属于身份信息。常识或者直觉告诉我们,偷拍裙底(尤其是夏天)显然侵犯了她人的隐私。
不能识别身份也没有侵犯隐私的信息,不能构成侵犯公民个人信息罪。“被告所拍摄至告诉人当时大腿外侧部位,均系告诉人或交叉双腿,或腿部膝盖微曲,并未拍摄到告诉人裙内之内裤等部位,尚非刑法第315条之一妨害秘密罪规定之‘身体隐私部位’”。31偷拍大腿外侧部位,并未拍摄到裙内之内裤部位,明显没有侵犯到个人隐私,又不能识别出特定的自然人,不成立侵犯公民个人信息罪。
三、对刑法中的个人信息要求“识别性”是一场美丽的误会
刑法中个人信息不应再纠结于“识别性”,因为侵犯公民个人信息罪的法益是个人信息权,这里的个人信息既指身份信息又指隐私信息。识别性只是身份信息的必备特征,在隐私信息中不具有主导性价值。换言之,身份信息注重识别性,旨在通过信息找到特定的自然人;隐私信息关注归属性,旨在判断特定的自然人是否拥有某种信息。它们分属于“识别性”与“归属性”两个不同的判断领域。对刑法中的个人信息都要求“识别性”,无疑忽略了隐私信息的存在,也严重削弱了侵犯公民个人信息罪的保护机能。
(一)试析刑法中个人信息要求“识别性”的原因
“判断某一信息是否为刑法意义上的公民个人信息,一个关键点就在于这一信息是否是特定主体的专属信息。当某一信息与主体具有一定的相关性,但无法通过这些信息来识别特定的主体身份,那么这类信息的使用就不会具有严重的社会危害性,那就当然不会侵犯公民人身权利与财产权益,自然就不能认定为刑法意义上的个人信息。”32要求刑法中的个人信息具备识别性,找寻产生这种认识的根源可能在于“参照了国外立法、符合有限经验、限缩了犯罪成立”,应该说这是一个重大误解。因为它将隐私从侵犯公民个人信息罪中剥离了出来,将导致隐私保护在刑法中落空。这三种立论因素并不成立,相应地建立起来的结论也缺乏可信性。
1. 国外立法的参照。
“从比较法上来看,对个人信息的定义都强调其具有可识别性。”33欧盟《一般数据保护条例》第4条第1项对个人数据有着一个明确定义:“个人数据”指任何与已识别或可识别的自然人(数据当事人)有关的信息;可识别的自然的人是可以直接或间接地识别的人,特别是通过一个识别因素,比如名字,身份证号码,位置数据,在线识别元素或特定的一个或多个与那个自然人有关的物理、生理、遗传、心理、经济、文化或社会身份。”34
俄罗斯《个人资料法》明确要求个人信息应具有识别性:“根据个资法第3条的规定,个人资料意味着‘属于直接或间接确定或可以确定之自然人的任何信息’,该自然人即为个人资料主体。个人资料意味着不仅可据以将某人与他人相区分,还可以准确地查明(识别)他。”35
新加坡《2012年个人数据保护法》第2条:“个人数据”是指不论是否真实,可以识别一个自然人或者通过与组织、拥有或者可能取得的信息的结合可以识别一个自然人的数据。36
韩国《个人信息保护法》第2条:术语“个人信息”是指与活着的个人有关的信息,可以通过他/她的全名,居民登记号码,图像等来识别个人(包括不能单独识别,但与其他信息结合可以识别任何特定的个人信息)。37
“总结其他国家(地区)个人信息保护法规发现,在个人信息概念的界定上,几乎所有国家(地区)都采取了可识别说,并且从全球影响力看,欧盟地区采取的宽范围保护模式得到了其他国家(地区)的效仿,尤其是亚太地区。”38
显然,大多数国家都对个人信息(数据)明确提出了识别性的要求,这应当引起我们的重视。需要明确的是,应该在法律渊源中审视他们对个人信息(数据)的规定,他们在制定某一专门性法律时,对个人信息要求识别性并不会形成对个人隐私的保护漏洞。同样,在我国由于民法总则同时规定了隐私权和个人信息权,对个人信息采用“识别性”标准也不会妨害隐私权的保护。但我国刑法中由于没有专门保护个人隐私的一般性罪名,就需要采用广义的个人信息概念从而为个人隐私提供保护。概念在不同的法律渊源中表现出统一和差别并不稀奇,这是法律之间的统一性与相对性的互动,它们非但并不矛盾反倒是法律体系性要求的必然举措。
2. 符合有限经验。
个人信息给人的直观感受就是能够确定特定自然人的信息。现实生活中大部分的个人信息也确实能够确定自然人,例如身份证号码、手机号码、录音录像、家庭住址、开房记录等都能够直接或者间接识别出特定的自然人。但也不能据此否定那些属于个人所有且不能识别出特定人的信息的存在。全球化的显着加强,让人们更加便利的了解各国的风物和制度,在此过程中经验的狭隘性和独断性呈现的一览无余。认知的有限性决定了人们总是将自己掌握的部分知识想当然的认为是全部知识,不可避免的用自己熟悉的知识代替对陌生知识的接受和理解。学术研究的使命就是带着开放性的心态努力打破认知局限,努力提炼出描述客观现实的理论。“在任何情况下,都要尽量全面的考察,尽量普遍的复查,做到确信毫无遗漏。”39我们总是认为行动轨迹、健康状况等能够识别特定的自然人,往往不是从信息“锁定”或者“拼图”出特定的人,而是根据特定人来判断信息是不是属于他,即不自觉将“归属性”理解成“识别性”。有些特定的信息切断事后信息的有效补给和支撑,很难推断出具体的行为人,应当否定该信息的识别性。伴随着科技的发展和互联网的普及,信息蕴含的识别性逐渐被发掘了出来,即便如此,很多个人信息仍然不具有识别性。不能识别出身份的信息也大量存在,如行动轨迹、作息规律、健康状况等,从这些信息本身并不能直接或者间接识别出特定的自然人。
3. 有利于限缩犯罪的成立。
要求个人信息具有识别性,就排除了非识别性的隐私信息,自然会限缩本罪的成立范围,但无故限缩一个犯罪的管控范围,显然违背刑法的设定目的。个人信息分为身份信息和隐私信息,尽管两者存在交叉,但毕竟有些隐私信息并不能识别出特定的自然人。例如Cookie案最终被判决不成立侵犯隐私,就是因为二审法院认为Cookie信息不具有可识别性,不构成侵犯隐私权。40“以Cookie信息为例,用户的Cookie信息反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但是否属于公民个人信息存在不同认识:一种观点认为,这些信息无法确定具体的信息归属主体,其终端是浏览器,没有定向识别使用该浏览器的网络用户身份。……另一种观点认为,浏览器背后是特定用户,且多数浏览器终端是特定用户长期使用,故这些信息实际上具有识别用户身份的特征,而且精准广告投放的目标也是针对浏览器背后的用户,故这些信息应当被纳入公民个人信息的范畴。”41这些争论指向是不能识别身份的隐私信息是否属于广义的个人信息的范畴。“身份识别标准的法律制度功能,正是要对个人信息概念进行一定程度的限缩。”42对犯罪进行限缩解释必须符合规范目的,将表面上涵括在法条字面之内但又不具有处罚必要性的行为排除出文字之外。如果将在法条之内且具有处罚必要性的文字排除在外,必然导致刑法适用的偏差和漏洞,让刑法的法益保护机能落空。
(二)“识别性”不是刑法中个人信息的必备要素
侵犯公民个人信息罪具有保护隐私信息的使命,这就相应的要求个人信息应包括隐私信息。从这点出发,个人信息应能够涵括识别身份的身份信息和不要求识别身份的隐私信息。由此观之,要求个人信息需具备“识别性”,将会造成隐私信息游荡于刑法保护场之外的尴尬。破解之道就是在刑法中个人信息放弃“识别性”要求,还原其本来面目。
1. 不具有识别性的隐私信息也属于本罪的规制对象。
侵犯公民个人信息罪旨在对侵犯公民个人信息的行为进行打击,从而保障个人生活的安全和稳定。“公民个人信息,是指个人身份信息和隐私信息两大类。”43广义的个人信息可以包括身份信息和隐私信息,身份信息要求识别性,隐私信息不要求识别性。
法律、规章和司法解释对个人信息的解释也强调了包括隐私信息。例如,“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”44“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”45有些规定对个人信息的界定虽然没有使用隐私概念,但显然是对隐私的具体描述。例如,“本规定所称用户个人信息,是指……用户使用服务的时间、地点等信息。”46“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人情况的各种信息。”47这些对个人信息包括隐私信息或明或暗的表述里传递了隐私信息无法独立于个人信息之外的认识。
成为问题的是《网络安全法》对个人信息的界定是否应照搬进侵犯个人信息罪中。该法第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”在未制定《个人信息法》的情况下,《网络安全法》对个人信息的界定是目前可见的效力最高的定义。但这并不意味着该定义适合于刑法。网络安全法是对网络空间内的个人信息的界定,并不代表在物理空间的个人信息就一定适用这个定义。刑法具有独立性,刑法中的概念依据自身的规范目的对其他法律中的概念进行裁剪取舍是常态。最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》就没有照搬该定义,而是认为个人信息除了可识别的身份信息之外,还包括“反映特定自然人活动的各种情况”的信息。“对《网络安全法》关于‘个人信息’的界定宜采取广义的理解。……此处显然使用的是广义的‘身份识别信息’的概念,既包括狭义的身份识别信息(能够识别出特定自然人身份的信息),也包括反映特定自然人活动情况的信息。从实践来看,行踪轨迹信息系事关人身安全的高度敏感信息,无疑应纳人法律保护范围,且应当重点保护。但是,行踪轨迹信息显然难以纳人狭义的‘身份识别信息’的范畴。如果认为《网络安全法》将此类信息排除在‘个人信息’的范围外,恐难以为一般人所认同。”48
司法实践中并没有将本罪对象限定为身份信息,同时也承认本罪规制隐私信息。“2016年4月至11月,被告人李辉单独或者伙同被告人王恩东在网上倒卖他人QQ账号,非法获利。其中被告人李辉非法获利25000余元,被告人王恩东非法获利20000元。案发后,李辉退出个人所得赃款24525元,王恩东退出涉案赃款3万元。”49由于QQ账号的注册不需要实名制,根据QQ账号并不能识别出QQ背后的特定使用人。倒卖他人QQ账号,意味着将他人过去的聊天处于随时被知悉的状态,他人的隐私(QQ账号及其记载的各种信息)已经被侵害。该案中法官将倒卖他人不具有识别性的QQ账号行为认定为侵犯公民个人信息罪,显然是考虑到了对隐私的保护。侵犯公民个人信息罪中的行为对象既包括具有识别性特征的身份信息也包括不要求识别性的个人隐私。“作为本罪行为对象的‘公民个人信息’包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。因此,公民生理状态、遗传特征、经济状况、电话通话清单、个人具体行踪等也包括在内。”50
2. 单项的手机定位、行踪轨迹不具有可识别性,但它们属于个人隐私无疑。
掌握他人的特定时间段之内的行为踪迹,就是将特定的自然人置于行为人的监控之下,构成了对他人隐私的严重侵犯。“2011年下半年至2012年4月20日期间,被告人孙银东……接受李阳杰、史国达、胡仕洲、孙海波、罗建平、周建汇等人委托,根据委托人提供的被调查人的一些基本情况,联系专业的定位公司购买被调查人的手机定位信息,同时通过QQ联系出话单的上家,购买被调查人的手机通话记录或被调查人的航空信息、通话记录、短信息记录等,同时采取跟踪、偷拍或者偷录等方法获取被调查人信息,最后将各类公民个人信息19份加价出售给委托人,从中共非法获利人民币1万余元。”46“账号密码信息、财产状况信息、行踪轨迹信息等本身并不具有身份的可识别性,而且真实的犯罪人获取前述信息也并非为了去识别个人身份,而是针对其背后的财产利益或者人身权益。”51
“告诉人对其驾驶车辆行驶于道路上之所在位置、移动方向及之前行踪等资讯所组合而成之动态行止及状态,在客观上得有合理之隐私期待,是被告在告诉人所驾车辆装设GPS卫星追踪器,追踪告诉人所在位置、行进方向及之前行踪之行为,已侵犯告诉人对其行为举止不被追踪窥视之需求及隐私的合理期待。”52单项手机定位信息、车辆行驶信息并不能确定特定的自然人,因为手机定位和车辆行驶路线并不一定与手机卡注册人、车辆所有人形成对应关系,即手机持有者、车辆驾驶人并不一定是手机注册人、车辆所有人本人,毕竟手机丢失、车辆借用并不算稀奇。忽略识别性要求,上述行为无疑都涉及了他人的隐私。
单纯的手机定位、行为踪迹不具有识别性,但它们属于个人隐私无疑。“手机定位属于动态信息,当公民从事某些活动不希望被他人获悉时,其所处具体位置与其从事的活动具有直接联系,一旦所处位置被他人获悉,其所从事的活动也就相应暴露,从而可能损害其利益。其所处的具体位置就具有明显的隐私性和权益性,属于刑法所保护的“公民个人信息”。53“与个人行为有关的个人隐私,比如Cookie信息、IP地址信息、GPS定位信息等,皆可经由定位追踪,确定公民所在位置,严重妨碍了公民基于个人隐私的行为自由。”54据此,手机定位、行为踪迹多是发生在已知行为人的前提下,针对特定人行踪的掌控并非用来识别特定个人,而是利用特定人的信息进一步实施其他行为。有的行迹跟踪最终是为了实施绑架杀人、敲诈勒索等违法犯罪行为。在具体的行迹跟踪事件中,犯罪人并不关心识别性的问题,他们关心信息是否来自于特定人(是否是特定人的信息已经足够)。
(三)在法秩序的统一性与相对性中审视识别性“要否”
法秩序的统一性与相对性并不矛盾,两者分别具有不同的职能和操作面向。法秩序的统一是一种理念,要求立法者、司法者、执法者必须贯彻法律体系性的要求,在立法、司法、执法环节极力促成法律之间的协调。法秩序的相对性承认法律之间的分工,是一种操作规范。由于不同的法律对同一事项的规制目的不同,也就会出现不同的评判力度和评判要求。由于法律分工的客观存在,法律之间在理念上统一,在调整规制方式、策略上存在差异,正是发挥法律“组合拳”功能的需要。法秩序的统一性关注法律的体系性存在,法秩序的相对性要求在具体的法律规定中找寻法律真意。不仅如此,即使在刑法内部,由于“用语的多义性、有限性”“犯罪的复杂性、刑法错综复杂的规定”“解释的目的性、限制或者扩大解释的必要性”“为了实现刑法的正义理念,为了维护刑法的协调,对同一用语在不同场合或者针对不同行为、对象做出不同解释是完全必要的。”55
“因为刑法有独特的目的,相应地也就带有了独特性和独立性。就是说,刑法有独特的法概念和独立的机能。”56民法与刑法都规定了个人信息,由于各自的功能、规定的方式不同,决定了民法中的个人信息与刑法中的个人信息应有所区别。换言之,同一词汇在不同法律中具有相对的含义既是客观现实也具有正当性。《民法总则》同时明确规定了隐私权和个人信息权,但两者具有不同的功能定位。隐私权是一种消极性权利,是一种人格权,主要是要求尊重他人隐私,是为了保护他人的行为自由和人格尊严,为个体营造保障内心安宁的社会氛围。信息权是一项复合型权利,强调信息主体对信息的决定处分权。个人信息权不仅具有人格权属性,也具有财产权属性。因民法已经将它们并列规定,可以认为隐私权排斥了个人信息权,将两者解释为并列或者对立关系并不会导致民法调控目的落空。如前所述,日本、我国台湾地区都专门规定了侵犯个人秘密的犯罪,我国刑法仅存在对国家秘密、商业秘密的进行专门保护的犯罪,并不存在专门的侵犯个人秘密的犯罪。如果本罪中的个人信息要求识别性,就意味着将不具有识别性的隐私信息排除在外,将具有实质违法性又具有形式违法性的行为祛除只会导致不合理的判决,也与民法保护隐私的宗旨相背离。
注释
1例如,2012年12月28日全国人大常委会通过的《关于加强网络信息保护的决定》第1条第1款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”2013年6月28日工信部《电信和互联网用户个人信息保护规定》第4条规定:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”2017年5月8日最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定:“公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
2喻海松:“侵犯公民个人信息罪的司法适用态势与争议焦点探析”,载《法律适用》2018年第7期,第13页。
3大连经济技术开发区人民法院(2018)辽0291刑初110号一审刑事判决书。
4泗洪县人民法院(2012)洪刑初字第0506号一审刑事判决书。
5于冲着:《网络刑法的体系构建》,中国法制出版社2016年版,第218页。
6参见EUR-Lex(欧盟法律法规数据库),https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1530805874159&uri=CELEX:32016 R0679,访问日期2018年4月13日。
7韦尧瀚:“侵犯公民个人信息罪在司法认定中的若干问题研究”,载《北京邮电大学学报(社会科学版)》2016年第1期,第37页。
8张勇:“公民个人信息刑法保护的碎片化与体系解释”,载《社会科学辑刊》2018年第2期,第87页。
9张梁:“单次购票能够完整反映行踪轨迹信息”,载《检察日报》2017年9月25日,第3版。
10苏今、令钊:“个人信息保护从‘去身份化’入手”,载《中国卫生》2018年第3期,第79页。
11叶良芳、应家赟:“非法获取公民个人信息罪之‘公民个人信息’的教义学阐释”,载《浙江社会科学》2016年第4期,第76页。
12参见张明楷着:《法益初论》,中国政法大学出版社2003年版,第196-249页。
13徐恒达着:《法益保护与行为刑法》,台湾元照出版有限公司2016年版,第3页。
14陈伟、熊波:“侵犯公民个人信息罪‘行为类型’的教义分析”,载《宁夏社会科学》2018年第2期,第63页。
15刘艳红主编:《刑法学(下)》(第二版),北京大学出版社2016年版,第253页。
16曲新久:“论侵犯公民个人信息犯罪的超个人法益属性”,载《人民检察》2015年第11期,第6页。
17周光权着:《刑法各论》(第三版),中国人民大学出版社2016年版,第71页。
18张庆立:“侵犯公民个人信息罪的法益廓清与实践认定”,载《时代法学》2018年第2期,第54页。
19个人信息权包括信息决定权、保有权、知情权、更正权、锁定权、保护权、被遗忘权。参见杨立新:“个人信息:法益抑或民事权利”,载《法学论坛》2018年第1期,第42页。本文认为,即使在刑法中采用广义的个人信息概念(包括身份信息和隐私信息),民法上对个人信息权的建构也适用于本罪。
20韦尧瀚:“侵犯公民个人信息罪在司法认定中的若干问题研究”,载《北京邮电大学学报(社会科学版)》2016年第1期,第37页。
21李永军着:《民法总则》,中国法制出版社2018年版,第284页。
22参见杨立新着:《中国民法总则研究》,中国人民大学出版社2017年版,第638页。
23当然,也不能对此绝对化,如家里的布局、陈设、整体风格等,虽属于隐私空间,也具有隐私信息的属性。
24李永军着:《民法总则》,中国法制出版社2018年版,第321页。
25魏昌东主编:《刑法逸思集》,法律出版社2017年版,第366页。
26《日本刑法》第二编第十三章规定了第133条书信开封罪和第134条秘密泄露罪。我国台湾地区“刑法”第二编分则第28章规定了妨害秘密罪,第315条妨害书信秘密罪、第315条之一妨害秘密罪、第315条之二图利为妨害秘密罪、第315条之三持有妨害秘密之物品罪、第316条泄露业务上知悉他人秘密罪、第317条泄露业务上知悉工商秘密罪、第318条泄露职务上知悉他人工商秘密罪七个罪名。我国台湾地区“刑法”第315条之一(妨害秘密罪):有下列行为之一者,处三年以下有期徒刑、拘役或三万元以下罚金:一、无故利用工具或设备窥视、窃听他人非公开之活动、言论、谈话或身体隐私部位者。二、无故以录音、照相、录影或电磁纪录窃录他人非公开之活动、言论、谈话或身体隐私部位者。
27谢望原主编:《网络犯罪与安全》,法律出版社2017年版,第5页。
28根据该司法解释的规定,行为踪迹50条就构成情节严重,其他信息需要500条甚至5000条才构成情节严重。当然,该司法解释存在需要检讨之处,因为构成情节严重要求50条的信息与要求500条的信息之间不具有实质性的区分,例如财产信息并不比住宿信息、生理健康信息重要或者需要优先保护。从行踪轨迹来看,司法解释制定者的考虑倾向于对隐私信息严格保护,这也符合隐私与人的尊严和自由最为密切的认知。
29喻海松着:《侵犯公民个人信息罪司法解释理解与适用》,中国法制出版社2018年版,第40页。
30甘添贵着:《刑法各论(上)》,台湾三民书局2017年修订4版,第188页。
31卢映洁着:《刑法分则新论》,新学林出版股份有限公司2017年修订12版,第621页。
32重庆市法学会刑法学研究会编:《新形势下刑法边界的理论与实践》,法律出版社2017年版,第118页。
33陶盈:“我国网络信息化进程中新型个人信息的合理利用与法律规制”,载《山东大学学报(哲学社会科学版)》2016年第2期,第156页。
34参见EUR-Lex(欧盟法律法规数据库),https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1530805874159&uri=CELEX:32016 R0679,访问日期2018年4月15日。
35张建文:“俄罗斯个人资料法研究”,载《重庆大学学报(社会科学版)》2018年第2期,第135页。
36参见Singapore Statutes Online(新加坡法律在线):Personal Data Protection Act 2012,https://sso.agc.gov.sg/Browse/Act/Current/All/17?Page Size=20&Sort By=Title&Sort Order=ASC,访问日期2018年4月15日。
37参见Statutes of the Republic fo Korea(韩国法):Personal Information Protection Act http://elaw.klri.re.kr/eng_service/law View.do?hseq=46731&lang=ENG,访问日期2018年4月15日。
38齐爱民、张哲:“识别与再识别:个人信息的概念界定与立法选择”,载《重庆大学学报(社会科学版)》2018年第2期,第123页。
39[法]笛卡尔着:《谈谈方法》,王太庆译,商务印书馆2001年版,第16页。
402013年,朱某以其使用百度搜索引擎搜索“减肥”“丰胸”“人流”等关键词后,再登录其他网站即出现相关精准推广广告为由,以隐私权侵权案由起诉百度网讯公司。南京中级人民法院审理认为:“网络用户通过使用搜索引擎形成的检索关键词记录,虽反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。”参见南京中院(2014)宁民终字第5028号民事判决书。需要指出的是,本案中法官坚持个人隐私也要具有“识别性”,这显然值得商榷。
41喻海松着:《网络犯罪二十讲》,法律出版社2018年版,第215-216页。
42岳林:“超越身份识别标准”,载《法律适用》2018年第7期,第41页。
43曲新久主编:《刑法学》(第四版),中国政法大学出版社2012年版,第439页。
44参见《全国人民代表大会常务委员会关于加强网络信息保护的决定》。
45参见《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》。
46参见《电信和互联网用户个人信息保护规定》。
47参见《信息安全技术个人信息安全规范》。
48喻海松编着:《侵犯公民个人信息罪司法解释理解与适用》,中国法制出版社2018年版,第15页。
49临泉县人民法院(2018)皖1221刑初46号一审刑事判决书。
50张明楷着:《刑法学》(第五版),法律出版社2016年版,第921页。
51慈溪市人民法院(2012)雨慈刑初字第1580号一审刑事判决书。
52于冲:“侵犯公民个人信息罪中‘公民个人信息’的法益属性与入罪边界”,载《政治与法律》2018年第4期,第18页。
53陈子平着:《刑法各论(上)》,台湾元照出版有限公司2017年第3版,第353-354页。
54万应君编着:《刑事指导案例裁判要旨与法律依据》(第二版),法律出版社2015年版,第417页。
55余一多:“网络社会人权新命题:隐私权的反思”,载《理论月刊》2018年第2期,第150页。
56张明楷着:《刑法分则的解释论原理》(第二版),中国人民大学出版社2011年版,第780页。
57[日]松村格着:《刑法学ヘの诱い》,八千代出版株式会社2012年版,第14页。
侵犯公民个人信息罪中“识别性”探析 来源:网络整理
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
相关文章