“行踪轨迹信息”刑法差异化保护思考
2021-11-12武东方
武东方
(华东政法大学,上海 201620)
互联网大数据信息技术的发展,给我们生活带来新的机遇,同时,也给我们的社会生活带来了新的风险。传统社会中,针对个人信息的保护意识往往被人们所忽视,个人信息泄露所造成的风险也被世人所宽容。但在互联网技术尤其是移动互联网技术飞速发展的今天,信息传播速度的加快导致了公民个人信息泄露的风险加剧,人们也深受其害。鉴于此,《中华人民共和国刑法修正案(七)》将出售、非法提供、非法获取三种行为于刑法层面进行入罪,自此,公民个人信息首次进入刑法保护的领域①。2015年《中华人民共和国刑法修正案(九)》将其正式整合为“侵犯公民个人信息罪”这一罪名,然而,在本次修改中,行踪轨迹信息并未明确作为个人信息的一种被列入刑法规范的保护范畴。从社会生活的角度而言,我们在生活中无时无刻都在产生着很多的行踪轨迹信息,而该类信息如果被非法利用,所造成的人身权益和财产权益的损失都是难以承受的。因此,无论是线上互联网平台对公民个人行踪轨迹信息的侵犯,还是线下通过定位、跟踪等手段对公民个人行踪轨迹的侵犯,从刑法保护的角度而言,都不应当被忽视。
法律总是具有一定程度的滞后和不足,因为,它必须在基于过去的同时着眼于未来,否则就不能预见未来可能发生的全部情况[1]。在行踪轨迹信息的保护方面,我国刑法规范的反应是相对迅速的。2017年5月9日,最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),将“行踪轨迹信息”列举为公民个人信息的重要类型加以刑法保护,并且设定了不同于一般公民个人信息的差异化保护方式。但这种差异化保护方式成效如何,需要结合司法实践中的具体情形进行判断。就本文而言,笔者拟通过对司法实践中相关案例的实证分析,寻求其中较为突出的问题并加以解决,以期完善对行踪轨迹信息的差异化保护。
一、基于106份司法实践样本案例的司法困境呈现
为了追求样本的准确性与真实性,笔者以 “行踪轨迹信息”+“刑事案由”为关键词在“无讼”平台进行了相关案例的检索,检索时间为2020年10月31日,共得到相关样本案例150份。通过对所获取150份案例进行全文阅读后,笔者首先对一些虽然在裁判文书中提到了“行踪轨迹信息”,但与行踪轨迹信息并无关联性的44份无效案例进行了排除,最终得到与本文主旨有关的有效样本案例共计106份。
(一)司法裁判中对行踪轨迹信息的区分不够重视
由于行踪轨迹信息并非一种可以直接确定的个人信息,笔者以裁判文书是否进行明确的说理作为判断标准,对所收集到的106份有效数据进行初步分析。在所搜集的有效案例中,仅有11份裁判文书中提到了如何区分行踪轨迹信息与一般公民信息的法院判断标准,占比约为10.38%。但在这11份判决文书中,也依然存在诸如(2019)豫0211刑初152号一案,当辩护人提出由于行踪轨迹信息的入罪标准太低,不应当任意扩大该类信息的范围,法院不应当对其范围进行任意地扩大的意见时,法院在判决书中却没有作出任何回应。
行踪轨迹信息在《解释》中规定的应当认定为“情节严重”的入罪标准,远低于普通公民个人信息。仅从定罪的信息数量而言,侵犯普通公民个人信息需要5000条以上的,而侵犯公民行踪轨迹信息的数量标准仅需50条以上,便可以认定为“情节严重”。在此基础上,司法裁判中对于行踪轨迹信息的区分不够重视的现象,对于司法的公正性的影响是极为严重的。
(二)司法实践中同案异判现象严重
在(2019)苏1202刑初491号一案中,法院将查询他人开房信息(住宿信息)认定为属于侵犯个人行踪轨迹信息的行为,但同类信息在(2017)苏0681刑初620号判决书中,却被当作普通公民个人信息进行认定。而这种基于同种信息的不同认定的结果,结合《解释》所规定的入罪标准,在后一判决中,如果将涉案信息认定为行踪轨迹信息,行为人赵某采用非法获取、出售的住宿信息数量高达695条,依照《解释》第五条第二款第三项认定,构成“情节特别严重”,应处以三年以上七年以下有期徒刑,并处罚金;而法院将其认定为一般公民个人信息,则只能达到“情节严重”的标准,最终仅判处了有期徒刑10个月,缓刑一年,并处罚金人民币一万元(该判决产生于《解释》出台之后)。这种基于认定标准不同而导致的恣意的同案异判,会导致行踪轨迹数量的认定规则被空置化,不利于刑法对于公民个人行踪轨迹的保护。也使得行为人所受的惩罚,不再取决于法律本身,可能取决于法官较为主观的恣意解释,有违司法公正。
(三)法院说理部分对行踪轨迹信息定义模糊
在仅有的对于如何认定行踪轨迹进行说理的判决中,对于如何定义行踪轨迹信息的论证也并不清楚。以机票购买信息是否属于行踪轨迹信息为例,在实践中,不同法院就存在着不同的观点。笔者将三类观点进行了整理,如表1所示:
表1 法院对于行踪轨迹信息判断的观点梳理
可见,仅仅在对于机票购买信息是否属于行踪轨迹信息这一问题的判断中,法院尚不能做到说理的一致性。在针对更多相关信息类型的判断时,如何把握行踪轨迹信息的定义,更会困难重重。
在经历对司法实践判决的研读与整理之后,笔者认为,尽管《中华人民共和国刑法》(以下简称《刑法》)中针对公民行踪轨迹信息,已经进行了不同于普通公民个人信息的差异化保护,但从司法实践而言,该种差异化保护并没有达到《刑法》所期盼的法益保护目的。因而,对于行踪轨迹信息的差异化保护是否具有其必要性,以及如何对其进行完善需要进一步思考。
二、行踪轨迹信息差异化保护的必要性重述
《刑法》针对行踪轨迹信息的保护,是一种对于公民信息基本概念的提炼。在我国公民个人信息保护立法的立法进程中,所呈现的是一种 “刑先民后”立法步骤,是一种在前置法并未完善时,《刑法》已经先行一步对侵犯公民个人信息的刑事责任予以规定的立法模式[2]。在此前提下,如何确认行踪轨迹信息的差异化保护的必要性,更显艰难。
(一)法益保护主义视角下公民个人信息保护需要
行踪轨迹信息的《刑法》保护,源于《刑法》第二百五十一条之一“侵犯公民个人信息罪”这一条文。那么,我们首先需要思考的应当是,《刑法》对于公民个人信息入罪化所保护的法益是什么。
针对公民个人信息所保护的法益,学界存在诸多学说。隐私权说认为,并非所有的个人信息都是《刑法》调整的对象,只有个人信息中体现着个人隐私权的那一部分信息才属于《刑法》保护的范围[3]。个人生活安宁说认为,所涉及的信息一旦泄露,可能威胁到私人生活安宁,就是《刑法》意义上的公民个人信息,否则就不是[4]。此外,也存在着认为个人信息是一种具有潜在价值的信息,个人对该信息享有无可争议的所有权的财产权说[5],以及认为侵犯公民个人信息罪保护的法益为公共信息安全的学说[6]。
尽管上述几种法益说存在一定的不合理性之处,其会导致《刑法》对于个人信息的保护不够周延。但无论基于何种学说,行踪轨迹信息都兼具一般公民个人信息的基础权利属性。以行走轨迹信息为例,个人行走轨迹中蕴含的目的地等信息,属于一种不愿为人所知晓的个人隐私,而这种个人隐私,如果被他人肆意侵犯,必然导致个人生活安宁的受到打扰;此外,通过个人行走轨迹的分析,比如对其常去的目的地进行综合分析,能够对个人日常偏好做出总结,具有潜在价值的属性;而针对大规模的个人行走轨迹进行分析,也会带来一种公共安全的风险。
行踪轨迹信息具有的一般个人信息所承载的法益属性,是对行踪轨迹信息进行保护的法益基础。对行踪轨迹信息进行保护,符合《刑法》保护公民个人信息的法益保护目的。
(二)行踪轨迹信息“个人信息自决权+人身利益”的特有属性
基于一般公民个人信息而言,行踪轨迹信息具有的特殊属性是《刑法》对其进行保护的意义所在。最高人民法院研究室的周加海副主任在其文章中认为,行踪轨迹信息系事关人身安全的高度敏感信息,无疑应纳入法律保护范围,且应当重点保护[7]。尽管其观点并不能代表司法解释的制定者的原意,在我国刑事司法解释法律化的现实中更不能代表立法者的原意,但具有一定的参考价值。新颁布的《中华人民共和国个人信息保护法》,将个人行踪作为一种敏感个人信息进行处理,并认为,该类敏感个人信息一旦泄露或者被用以不法用途时,可能造成诸多方面受到严重损害;危害的层面包括容易导致自然人的人格尊严受到侵害或者人身、财产安全受到损害②。而学界则有观点认为,行踪轨迹之所以需要《刑法》更为急迫地保护,其原因在于该类信息特有的两种属性:隐私性与人身依附性[8]。
尽管上述观点在某些方面产生了冲突,但从其共性而言,对于公民行踪轨迹信息的差异化保护都予以了认可。若将难以确定的个人信息所保护的法益,认定为一种个人信息权,那么,行踪轨迹信息所承载的,除了个人信息权本身,必然存在一种人格权的属性。从另一种角度进行区分,该权利属性也可以是一种人身利益,该利益的范围包括生命权、身体权与自由权[9]。但笔者认为,对于本罪所保护的法益而言,应当是一种由保护人格尊严和人身自由这一宪法上的基本权利推演而来的个人信息受保护的权利,更多体现的是一种“个人信息自决权”。对于一般公民个人信息的侵犯,是难以触及该种人身利益的,或法益的侵害程度未达至需要动用刑罚这一严厉手段进行特殊保护的程度。例如,快递收货信息属于公民普通个人信息的一种,但行为人获取该信息之后,想要借此信息实施对被害人造成人身安全损害的行为,则很难具有可操作性。但行踪轨迹信息则不同,如果可以准确掌握一个被害人的行踪轨迹信息,在其必经之路上对其实施人身侵害,则是易如反掌的。
行踪轨迹信息所兼具的“个人信息权自决权+人身利益”的特有属性,不仅是刑法规范对行踪轨迹信息差异化保护的基础,而且也是《个人信息保护法》中,对于敏感个人信息保护的基础。而针对行踪轨迹信息不同于普通公民个人信息的权利属性,或者说法益属性的差异化保护,也体现着刑法保护的周延性。
三、行踪轨迹信息的内涵与外延的科学界定
刑法对行踪轨迹信息的差异化保护具有其必要性,但司法实践中对于该种差异性保护手段的执行,并没有很好地完成。其根本障碍在于:在《解释》明确了对于侵犯行踪轨迹信息行为的不同入罪标准的前提下,司法实践都难以明确何为行踪轨迹信息的概念,而概念的确定是最为重要的。结合司法实践中出现的问题,以及行踪轨迹信息本身的属性,笔者在后文中尝试以概念的确定为基础,完善对于行踪轨迹信息的差异化保护。
(一)以“个人信息权+人身利益 ”为属性的行踪轨迹信息概念厘定
在进行论述之前厘清概念的重要价值在于:它可以从论据中排除暧昧含混的成分,明确地集中注意力于进行讨论的实际问题上[10]。在讨论刑法针对行踪轨迹信息如何进行差异化保护的问题时,同样应将概念予以明确,确定其内涵与外延。
从行踪轨迹本身的含义而言,行踪是指移动对象移动后所留下的静态位置痕迹,轨迹指移动对象按特定条件移动而产生的曲线或路径。计算机学科对于行踪轨迹信息的定义不仅包括行踪轨迹本身,还包括由该信息推导而出的其他信息内容[11]。而依据前文对于行踪轨迹信息的分析,刑法意义上的行踪轨迹信息,除一般公民个人信息的含义之外,还应该包含一种对于人身利益的侵害风险。因而,行踪轨迹信息的定义应当从以下几个方面进行确定:1.其定义应当处于行踪轨迹本身的文义射程之内;2.其应当具有一般公民个人信息的可识别性特点;3.其应当具有人身利益的侵害风险性。
对前述三个方面的特点进行整合,笔者尝试对刑法意义上的行踪轨迹信息,进行以下概念界定:行踪轨迹信息指的是一种能够反映自然人实时位置,并且能够以此推断出自然人实时位置的移动曲线或路径信息。
(二)以典型信息类型限定行踪轨迹信息概念外延
将个人现实移动轨迹、车辆实时行驶轨迹这两种信息,直接认定为行踪轨迹信息是不存在困难的。在上文对行踪轨迹信息进行定义之后,笔者尝试以几种司法实践中常见的、区分较为困难的信息类型,对行踪轨迹信息的外延进行限定。
1.家庭住址信息不属于行踪轨迹信息
在(2017)浙0211刑初482号一案中,民警詹某为他人查询被害人的暂住地信息,后该信息被他人用以寻找被害人家庭住址,从而酿成了被害人死亡的惨剧。在法院说理部分中,将该暂住地信息认定为公民个人轨迹电子信息。但笔者认为,该认定并不准确,尽管该信息能够被用以推断自然人实时位置,但单纯的暂住地或者家庭住址信息,并不属于一种移动曲线或路径,因而,应属于一般公民个人信息。而且,依照《解释》第五条第二款的相关规定,对于被告人的行为,从信息使用目的的角度出发,通过“知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的”这一标准进行“情节严重”的认定,也并不会遗漏评价③。
2.IP地址的区分判断
IP地址信息又名网际协议地址,其基本运行规则是:通过IP协议提供统一的二进制格式地址,分配给每一台主机特有的逻辑地址,由此产生物理地址的差异化以实现共同连接在因特网上的所有计算机网络进行互相通信的目的。对于IP地址信息,应当区分固定IP地址信息与移动IP地址信息进行认定。
(1)固定IP地址信息不属于行踪轨迹信息。其原因在于,固定IP地址信息并非一种移动曲线或路径,仅仅是一个并不移动的静态位置,该信息并不属于行踪轨迹信息所包含的定义范围。
(2)移动IP地址信息属于行踪轨迹信息。移动IP地址信息指通过定位诸多个人实时IP,从而获取信息内容。该类信息不仅具有定位行为对象的实时位置的功能,而且移动IP由于其实时的变化特点,必然产生一定的路径或曲线,因而认定为行踪轨迹信息并不存在障碍。
3.行程住宿信息的区别对待
互联网平台中,有着诸多关于该类信息的内容,“明星行程”售卖甚至成了一种黑色产业链。行程住宿信息属于一种曲线或路径毫无疑问,行程住宿信息是否属于行踪轨迹信息,应当进行以下几个方面的区分。
(1)偶发性的行程住宿信息
偶发性的行程住宿信息,应当以是否具有推断出自然人实时位置的功能进行判断。已经结束的偶发性行程所产生的行踪轨迹信息,由于其并不具有推测自然人实时位置的功能,应当以一般公民个人信息进行认定。而正在发生或者将要发生的行程住宿信息,由于其具有推测自然人实时位置的功能,应当认为属于行踪轨迹信息。
(2)规律性的行程住宿信息
规律性的行程住宿信息,不同于偶发性的行程住宿信息。根据其所体现的规律性,能够推断出目标对象的下一次计划,从而具备了推断实时位置的功能,可以将其作为行踪轨迹信息予以认定。
由上述针对行踪轨迹信息的分类判断可知,针对行踪轨迹信息进行的概念判定是一种较为准确且具有可操作性的标准。而通过上述一些典型信息类型的具体判断,也能够合理限定行踪轨迹信息这一入罪标准较低的信息类型的外延,使得刑法不至于过度保护。
四、代结语——行踪轨迹信息差异化保护的完善进路
针对行踪轨迹信息差异化保护,我们有诸多解决路径。其一是修改刑法条文或者在补充性解释中,将行踪轨迹信息的定义予以明确。其二是在《个人信息保护法》的制定中,将行踪轨迹信息的概念予以明确。在此问题的判断中,笔者觉得更为合理的方式是第二种路径。
我国传统观点认为,从法律的社会功能考虑,刑法的变更却不可避免,但从罪刑法定主义出发,刑法应尽可能保持稳定[12]。但是,当社会发展需要刑法进行变通,或者刑法本身对法益的保护出现疏漏时,无论是采取积极刑法观,通过《刑法修正案》增设新罪;还是通过司法解释进行刑法的解释完善,都是必要的④。因此,笔者并不反对在刑法出现疏漏时,通过《刑法修正案》或者司法解释予以完善的解决方法,这种方法并非对刑法安定性的破坏,也不是对刑法谦抑性的背离。
但在侵犯公民个人信息罪的相关问题中,我国采取的是“刑先民后”的立法态度。在刑法规范已然对个人信息保护作出相关规定的情况下,在此前,我国并不存在一部完整的针对个人信息进行保护的前置法规范。针对公民个人信息的保护,仅零散存在于其他法律文件中,如《中华人民共和国网络安全法》《中华人民共和国居民身份证法》《中华人民共和国护照法》《社会救助暂行办法》等。而在世界范围内,欧盟制定了《一般数据保护法》(GDPR),美国为个人信息制定了《个人隐私法》(CCPA),德国出台了《联邦数控保护法》(BDSG),等等。
此外,针对公民个人信息进行保护的刑法条文中,“违反国家有关规定”也是侵犯公民个人信息罪是否能构成犯罪的前置性条件。完善刑法规范的另一种合理路径,便是通过对刑法的前置法规范的完善来进行。这也是笔者认为的,通过《个人信息保护法》将行踪轨迹信息的概念进行明确,是一种更为合理的解决路径的另一原因所在。但可惜的是,在新颁布的《个人信息保护法》中,并未出现与行踪轨迹信息的相关定义,只能寄希望于以后的修法与补充。
信息本身并不足以导致安全问题的出现,针对信息进行的行为进而引发的各种社会问题才是我们重视的关键所在[13]。本文针对刑法对个人行踪轨迹信息的刑法差异化保护问题进行的思考,旨在解决司法实践中针对行踪轨迹信息保护中出现的一些问题。公民个人信息的刑法保护问题,由于我国刑事立法现行的模式,导致诸多方面并不完善。该类问题不仅存在于行踪轨迹信息的保护方面,也是诸多种类公民个人信息,尤其是敏感公民个人信息保护中出现的共同问题。笔者也希望通过本文对行踪轨迹信息问题的讨论,引发关于此类问题的更多思考。
注 释:
① 在《刑法》第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”
② 《个人信息保护法》第二十八条规定: 敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
③ 《解释》第五条第一款第二项规定:知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的,可以构成情节严重。
④ 持积极刑法观的学者认为,刑事立法增设新罪不会带来刑法过度干预的系统风险,犯罪化与刑法谦抑性没有矛盾。该观点的支持者有付立庆教授、欧阳本祺教授、张明楷教授等。