APP下载

论侵犯公民个人信息罪中信息的识别性特征
——以“行踪信息”为例

2022-11-21沈卫栋

柳州职业技术学院学报 2022年4期
关键词:识别性刑法个人信息

沈卫栋

(华东政法大学,上海 200042)

引言

随着经济的快速发展和信息网络的普及化,公民的个人信息所呈现出的价值已不可估量。随着科技的快速发展而出现的人脸识别技术、无人驾驶技术以及指纹解锁技术等,都加大了个人信息被利用的潜在风险,甚至已成为涉及国家安全的重大社会问题,“谋求个人信息安全已然成为当今互联网+时代人权保障的重头戏”[1]。因此,侵犯公民个人信息罪已成为网络犯罪的万恶之源,由其滋生的电信诈骗、敲诈勒索、绑架等一系列侵犯人身权益的犯罪,更具有严重的社会危害性。这使得立法者不得不对侵犯公民个人信息的行为进行严厉打击。在司法实务中,针对“个人信息”本身应有较多前置法的界定而呈现出信息特征“一边倒”的特性,即强调“可识别性”特征;但是,过多强调“可识别性”特征是否会带来信息认定困难和对个人信息权的破坏?这是本文力求探讨的旨意。

一、从“可识别性”的信息特征考察隐私信息的体系地位

个人信息是指与特定个人相关联的、反映个人特征的具有可识别性的符号系统,包括个人身份、工作、家庭、财产、健康等各方面的信息。[2]并且“各方面”会随着时代、科学技术的发展而有所更新,故其并不是一个闭合的概念。而隐私在《民法典》中的定义为自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。《民法典》关于隐私的定义中包括但不限于私密信息,学界普遍认为个人信息与隐私之间是交叉关系。个人信息中有隐私概念中的隐私信息,也有一般的、可被公开的公民个人信息;隐私中有个人信息概念中的可被识别的私密信息,也有不属于信息的私密空间与私密活动。如果认为隐私信息属于公民个人信息的一部分,那么针对隐私信息依然需具备可识别性的特征。然而,传送裸照、偷拍等违法行为,即使根本不用识别出具体的个人,依然能被认定为违法行为。所以,隐私信息的可识别性在这一层面上是否仍然具备值得质疑。然而,从《关于加强网络信息保护的决定》至《电信和互联网用户个人信息保护规定》,一直到《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)的规定,在界定个人信息的概念中都明确了“能够单独或者与其他信息结合识别特定自然人”的要求。如何论证个人信息与隐私信息之间的关系,同时正确看待“识别性”在两者中的地位,成为目前尚未得到关注的问题。

关于《刑事审判参考》第1009号案例①的判决结论,学界提出了许多质疑的声音。本文试图以《解释》为路径,从隐私权的刑法地位、信息的“可识别性”在隐私信息中的不适合以及刑法所保护的法益关联性三方面去论证“可识别性”不应当成为刑法所保护的公民个人信息的必有特征。

(一)隐私权在刑法中的地位模糊,导致侵犯公民信息罪必然要顾及隐私信息

我国刑法中有关于侵犯国家秘密、军事秘密、商业秘密的专项性罪名,但没有专门针对侵犯个人秘密提供保护的罪名。在《刑法修正案(七)》出台前,对个人隐私的保护只能够体现在一些个别的、分散的罪名②中。而侵犯公民个人信息罪应起到对个人“私密信息”与一般个人信息的全面保护,从而弥补刑法典中对于“私密信息”保护的缺失。否定侵犯公民个人信息罪保护个人秘密是只关注到了对身份信息的保护,忽略了刑法赋予本罪保护隐私信息的职能,如此理解显然误读了本罪的二元使命。[3]从《关于加强网络信息保护的决定》(以下简称《决定》)的规定中不难发现,其将电子信息分为个人身份信息与隐私信息,两者同等对待。此外,在《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)中,身份信息与隐私信息被并列列举;而针对《解释》中所使用的“反映特定自然人活动情况的各种信息”,其本质上属于隐私信息的一种。

(二)信息的可识别性在隐私信息中的不适合

首先,查看历年来的《决定》《通知》《解释》以及相关法律条文不难发现,几乎所有的条文都分成了可识别的个人信息和隐私信息两大类别,但是,“可识别性的特征”应当作为“个人信息”的前置定语,而并非限制个人信息和隐私信息。在一般个人信息方面,贯彻“可识别性”的信息特征有利于限缩“信息”概念的外延宽泛带来的文义解释上的不确定性,能够保障罪刑法定原则中“必须具有明确性”[4]之机能。通过将一些无法侵犯到具体的、特定的个人信息排除出去,以起到维护和规范法益的作用。故“可识别性”在这一层面上有它的存在价值,但其价值也仅限于此。只要将不具有可识别性的信息排除在行为对象之外,其功能即已实现。若一则信息被司法者评价为隐私信息,则根本不需要去考虑该信息是否具有“可识别性”,即可直接认定行为对象构成刑事违法。部分学者从比较法层面考察认为,虽然个人信息(包括个人数据和个人资料等)与隐私在立法上的称谓各有不同,但是,在对于保护对象的界定中,“可识别性”无疑是作为核心的、本质的特征。[5]这一观点本文持质疑态度。首先,针对不同的立法体例,隐私的内涵与外延各不相同。例如美国将隐私的范围扩大至个人信息之外(至少是等同的),这使得针对两者的探析基石就存在差异,不能一概而论。此外,不同的国家在立法上对于隐私的关注度不同,会导致个人信息中对于隐私的侧重不同。仅通过一个国家的《个人信息保护法》中关于个人信息的界定,就得出“可识别性”可以统领私密信息与一般公民信息的结论,无疑是草率的。其次,针对“不具有可识别性的‘信息’,不具有个别化的功能,不存在个体权益被侵犯的风险,也就无须予以法律保护”的观点,也经不起推敲。针对本案而言,认为行踪信息是一种隐私信息的理由如下。

1.行踪信息属于隐私范畴

如果按照我国对于隐私的界定,个人的行踪信息应当属于个人私生活范畴中的隐私信息,个人具有自决是否将其公布的权利。如果主张私人领域说③,则可以认为,相对于公共生活而言,与一切公众无关的纯属个人的私人事务,包括私人的活动空间以及私人的一切信息。那么,作为能够反映私人活动空间,甚至是活动过程的行踪信息,应当包括在该学说所主张的隐私信息之中。如果主张私人秘密和私人信息说,那么应当认为隐私实际上是一种私人秘密和私人信息,是私人生活中不欲人知的信息。[6]那么行踪信息是不是行为人不欲人知的?这应当是肯定的。从社会一般人的角度出发,个人的行踪往往不被其他公众所知晓,行踪信息的暴露在本质上是一种对个人私生活活动的公开。除非涉及公共事务,一般情况下,公民的行动轨迹不应当被公开。如果认为隐私是指私人生活安宁不受他人非法打扰,私人信息保密不受他人非法搜集、刺探和公开等的生活安宁和秘密说的观点,[7]当本案原告提出诉讼请求,便已告示自己希望对某些不愿意披露的信息的控制权所受到的破坏请求法律上予以谴责。综上,无论支持私人领域说、私人秘密和私人信息说还是生活安宁和秘密说,皆能得出被告人侵犯了受害人自由支配、处理和控制自身行动轨迹信息的个人信息自决权,且属于公民个人信息中的私密信息,并不需要甄别“可识别性”即可进行后续的违法性评价。

2.将行踪信息定义为隐私信息并不会带来法秩序的混乱

几乎所有学者在针对侵犯公民个人信息罪的评价中都一再强调刑、民、行之间的法秩序统一。从此前提出发,在界定个人信息权与隐私权之间的关系时,针对不同的立法条文也要进行体系性解释,以免导致刑事和民事在司法适用上的混乱。《刑法》上的判断不可能抛开《民法典》《网络安全法》乃至《个人信息保护法草案(二审稿)》,而“另搞一套”。[8]并且在此基础上,强调民法要扩张、刑法要谦抑的基本理念,对刑法一般性的自我决定权之法益进行丰富与发展,充分发挥刑法保护公民自由的个人法益之机能。[9]本文相信将隐私信息“去识别化”并不会带来法秩序的混乱。刑法在针对个人信息进行探讨时,往往需要借助民法上对于个人信息权的研究,从而形成统一的内涵与外延。对于周光权教授对晋涛学者论文中“去识别化”的说辞,本文持保留意见。因为,并不能“一刀切”地认为“刑法中的个人信息可以不要求可识别性”,而只能说“刑法中的个人信息中的隐私信息可以不要求可识别性,而一般公民信息是要求可识别性的”。前者这种一概而论的措辞,本文不予认同。

二、“识别性特征”的司法适用困境

根据本文的基本立场,司法路径的参考如图1所示。

图1

司法实践中,信息的界定往往模棱两可。其中,第一个难点是针对隐私信息的判定,这是公民个人信息判断的第一步。若在行为对象是否为隐私信息这一判断步骤出错,会导致后续的所有判断路径崩盘;第二个难点是如何区分“可识别性”特征中的间接识别与不具有识别可能性的信息,这是其是否能够被界定为侵犯公民个人信息罪中的信息的最后一步。若认定为具有间接识别性,则会肯定其为该罪的行为对象;若认定为不具识别可能性,则会因不满足该特征而否定该罪的行为对象从而直接出罪。在实务中,一般的公民个人信息的判断较为清晰,例如一般企业用户信息、实名制的支付宝账号与微信号、户籍信息等,法官一般不会刻意去界定公民个人信息的概念;司法实务中的个人信息一般不单单是一种信息,而是具有各个类别信息的综合,对于此类案件,公民的个人信息的认定并不困难。但一旦遇到车位信息、QQ号等注册账号信息、宾馆住宿信息等识别性较弱的信息时,则应该对该类个人信息进行论证。本文对近半年来北大法宝上公布的具体案例进行考察分析如下。

(一)隐私信息在实务中界定的问题

在司法判决中往往不界定隐私信息,而直接以“公民个人信息”的概念为认定标准。如前所述,一旦该信息触碰到被害人的隐私领域,则可以直接用隐私信息定义侵犯公民个人信息罪中的“信息”概念,再进行后续的违法性判断。故针对丁某侵犯公民个人信息罪④中的住宿信息(开房信息),韩某、王某等侵犯公民个人信息罪⑤中的微信号信息,柯某侵犯公民个人信息案⑥中的房源信息,在法官得出侵犯公民个人信息罪之前,应当对其信息的性质进行阐明。第一,住宿信息(开房信息)属于私人生活领域信息。一般情况下,公众不会将自己的住宿信息向不特定的人公开。对开放信息的利用和处理,侵犯了公民对自身隐私信息的保护。第二,微信号信息不属于私生活领域信息。它如同手机号、电话号码一样成为一种联系方式予以告知特定的公众,但微信号具有实名注册的特征,这使其不同于部分游戏账号、QQ号等虚拟账号,对微信号的盗取可能连带牵扯上公民的实名信息,故应当将其认定为具有强识别性的公民一般信息(如同手机号)。第三,房源信息不同于住宿信息,是购房时个人所填写的关于个人姓名、联系方式、住址等个人信息的综合性信息,其中伴随着大量强识别性公民个人信息的非法公开。故以上三种信息属于侵犯公民个人信息罪中的涉案信息。值得注意的是,上海市金山区人民法院在审理柯某侵犯公民个人信息案中,对其中的房源信息进行详细论述以界定:“本案中,涉案房源信息能够单独或者与其他信息结合识别特定自然人身份,属于公民个人信息。涉案房源信息由房东挂牌至房产中介门店,其仅向特定范围公开,或即使通过公开网站发布,也只公开非重要、敏感信息,且房东公开的目的仅为促成房产交易,因此,房源信息不属于向社会公开的信息……房东的房源信息由在特定范围公开转变为向全社会公开,由公开非重要、敏感信息转变为公开全部隐私信息,侵害了房东的隐私及生活安宁,极易被不法分子利用,从而造成房东相关人身、财产权益受到侵害。”本文赞同金山区人民法院对房源信息的界定,但本文也认为就本案所提及的房东联系方式、房产地址、门牌号码等信息虽然能够被认为仅向特定范围公开、能够单独或与其他信息结合识别特定自然人的身份,但这也仅属于公民的具有间接识别性(或直接识别性)的一般公民个人信息,而非案情分析中的公开“隐私信息”。

(二)区分“可识别性”特征中的间接识别与不具有识别可能性的信息

财产情况、车辆档案信息以及定位信息等一般个人信息,若不与个人的其他信息相结合,实务中很难认定其作为公民的个人信息。2018年,欧盟通过《通用数据保护条例》,对数据的可识别性进行了说明——为确定一个自然人是否可以被识别,应当考虑所有合理可能的使用手段。检验一种手段是否能够合理地识别一个自然人,需要考虑所有的客观因素,还需考虑到这一过程中可用的技术以及技术发展。虽然《通用数据保护条例》并非我国的立法文件,但目前就我国《个人信息保护法》正在实施初期的现实情境下,为保护国民的个人信息不受我国企业的侵犯、减少不平等保护现象,也保障我国公民个人信息不受境外企业的非法收集与处理,[10]可以借鉴该条例进行援引和补充。比如,就“姓名+考试成绩”的个人信息而言,若行为主体是校长与学生,其用以识别具体学生与被学生用以识别所耗费的成本和时间精力是完全不一样的。因为,校长可以在其权限范围耗费合理的精力即可查询到具体的学生;而学生却缺少权威的渠道与系统,其识别可能性较小,难以认定为具有间接识别性,只能认定为不具有识别可能性。故在判定公民个人信息是否具有间接识别性时,仍要综合行为主体、行为主体所能使用到的技术与手段、行为主体是否可以合法获取其他相关信息等综合情况来判定。

三、结语

作为一个刑事民事交叉视角下的概念,个人信息一直为民法、刑法学界的学者所关注与探讨。但是,无论如何坚持法秩序统一性理论,民法和刑法就社会机能上存在的本质差异不可忽视。民法的目标是实现私人利益之间的平衡,强调受害人的利益能够因损害而得到请求赔偿的权利;刑法的目标是通过确证规范的效力,以实现对各种法益的保护。通过刑法的手段宣告行为人不遵守规范是错误的,从而实现社会秩序的统一。个人信息的法律属性并没有完美的学说,但就目前民法学界上王利明教授坚持的“具体人格权说”以及刑法学界刘艳红教授提出的“新型权利说”,其本质上仍然是强调个人信息所具有的物权与人格权的双重属性,并与以人格权为主、物(财产)权为辅的观点趋同。针对个人信息,大部分学者依然坚持隐私信息有别于一般公民信息,针对这两种不同类型,《解释》在数量上的差异也能呈现出刑事政策上的偏量,对隐私信息的保护应当被立法与司法所重视。本文通过对刑事审判第1009号案例进行论证,认定将行踪信息作为一种隐私信息进行保护,旨在将学界对非常规的行为对象进行“识别性”考察的思维惯性进行纠偏。若一则信息被认定为隐私信息,则无需进行“识别性”考察,可将其直接认定为公民个人信息;针对非隐私信息的一般公民个人信息,则需要进行进一步“识别性”考察,强识别性(直接识别)的信息无需与其他信息结合便能直接锁定特定的行为人并直接认定;若为弱识别性(间接识别)则需按“识别可能性”,综合社会现有技术和水平、行为主体及其可运用的技术等因素进行全面判断;若不具有识别可能性的,则不宜认定为公民的个人信息。这种判断模型不仅能够带来明确的判断路径,还不会造成民法、刑法之间的法秩序混乱,也不会触碰到刑法的谦抑性和罪刑法定原则的红线。对于公民个人信息的体系解释不宜进行过多的限缩,这是由于目前刑事政策及其作为严重犯罪的前置犯罪属性所决定的。

注释:

①基本案情为:刘某(均另案处理)有偿雇用被告人胡某对广东省B市某机关领导所配专用公车进行跟踪。为此马某、刘某向胡某提供了摄像机、密拍器等器材。后胡某向马某提出聘请王某配合跟踪、记录,马某遂有偿雇用王某。后胡某、王某对目标车辆在B市的行驶路线、停车地点进行跟踪和记录,并将记录信息交给马某、刘某。同年12月,为便于跟踪,胡某、王某将汽车定位器安装在目标车辆底盘处,并通过互联网查询定位器的实时位置,获取了目标车辆每天所有行车路线、停车位置的即时信息直至案发。经鉴定,上述汽车定位器属于窃听专用器材。A市人民法院认为,被告人胡某、王某通过非法手段获取公民个人信息,情节严重,其行为构成非法获取公民个人信息罪,分别被判处有期徒刑并处罚金。

②《刑法》第177条第2款中的非法提供信用卡信息资料罪,是对于个人隐私信息中的信用卡信息资料的侵犯,侵犯的法益是个人对于自由支配、处理、使用自己信用卡信息资料的自决权;《刑法》第252条中的侵犯通信自由罪,侵犯的法益是个人对于自身通信自由和通信秘密的权利;《刑法》第253条的私自开拆、隐匿、毁弃邮件、电报罪,侵犯的法益是公民的通信自由和通信秘密权,也侵害了国家邮电部门的正常活动与信誉;《刑法》第308条第一款、第三款,泄露不应公开的案件信息罪,侵犯的是司法机关正常的诉讼秩序以及诉讼当事人涉案私密信息的安全。

③私人领域说认为,隐私权是让其他人知道多少自己的思想、感情、私人事物的权利。该学说主张隐私包括私人的活动、私人的活动空间以及有关私人的一切信息。

④源自最高人民法院、最高人民检察院发布的7起侵犯公民个人信息犯罪典型案例之七——丁某侵犯公民个人信息案。

⑤新疆维吾尔自治区石河子市人民法院(2020)兵9001刑初254号,韩某、胡某、赵某等9人侵犯公民个人信息案。

⑥上海市金山区人民法院(2018)沪0116刑初839号,柯某未经同意传播房源信息构成侵犯公民个人信息罪。

猜你喜欢

识别性刑法个人信息
个人信息保护进入“法时代”
过度刑法化的倾向及其纠正
敏感个人信息保护:我国《个人信息保护法》的重要内容
主题语境九:个人信息(1)
浅议企业品牌设计
警惕个人信息泄露
提升沈阳特色文化及城市规划识别性发展研究
国产汽车标志设计批评
刑法中特定残障人刑事责任从宽原则的反思——综合刑法与国际人权法的视角
刑法的宣示性:犯罪黑数给我们带来的思考