APP下载

重构刑法中公民个人信息认定标准:以可识别性为中心

2024-05-29赖若涵

中国刑警学院学报 2024年1期
关键词:识别性个人信息刑法

赖若涵

(厦门大学法学院 福建 厦门 361005)

1 引言

伴随数据信息时代的到来,信息网络犯罪案件数量激增,原本就属于犯罪治理大户的侵犯公民个人信息罪因案涉个人信息种类繁多,涵盖多行业、领域,逐渐成为信息网络犯罪的源头犯罪,甚至被称为“百罪之源”[1]。侵犯公民个人信息案件数量进一步增加的同时,衍生出许多司法适用疑难问题,提高了个人信息保护的治理难度。在侵犯公民个人信息罪众多司法适用疑难问题中,公民个人信息的刑法认定不仅是判断行为是否构成侵犯公民个人信息罪的前提,亦是当前争议较大的问题之一。

最高人民法院、最高人民检察院于2017年联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(简称“《个人信息司法解释》”)对刑法中公民个人信息的认定作了相关界定。其一,从记录载体上看,公民个人信息以电子方式或其他方式记录;其二,从认定标准上看,公民个人信息要满足特定自然人身份的“可识别性”或特定自然人的“活动反映性”;其三,具体到可识别性的认定标准中看,识别特定自然人身份的公民个人信息还分为“直接型”可识别信息与“间接型”可识别信息,即单独或结合可识别均可归入公民个人信息范畴。除此之外,《个人信息司法解释》第1条还对公民个人信息进行不完全列举,从而实现刑法意义上,形式与实质相结合的公民个人信息范围的界定。

然而,由于我国在公民个人信息保护的立法上选择了“刑先民后”的立法路径,随着前置法的相继出台,刑法中公民个人信息的认定标准与《中华人民共和国网络安全法》(简称“《网络安全法》”)、《中华人民共和国民法典》(简称“《民法典》”)、《中华人民共和国个人信息保护法》(简称“《个人信息保护法》”)中个人信息的认定标准,不可避免地产生差异,且显然呈现出刑法保护范围过大的情况,继而引发危及法秩序统一性的风险。与此同时,就刑法与前置法共同承认的个人信息认定标准——可识别性标准而言,由于当前缺少进一步的规范指引与理论阐释,在信息类型层出不穷、信息流通场景纷繁复杂的司法实践中,公民个人信息认定的可识别性标准存在诸多司法适用困境。由此,应直面刑法中公民个人信息认定标准之困惑,挖掘理论根源,在尚未进行立法修正的情况下,立足于刑法解释的立场,实现个人信息认定标准的祛魅,对刑法中公民个人信息认定标准展开具体构建,以助于对现实问题的解决。

2 刑法中公民个人信息认定标准之困惑

2.1 立法层面:“二元认定标准”下的刑民抵牾

刑法中公民个人信息认定标准的困惑在立法层面具体表现为“二元认定标准”下的刑民抵牾。通过比较部门法关于公民个人信息认定的规范内容,可以明显发现刑法与前置法存在认定标准的不同。刑法中的公民个人信息须满足特定自然人身份的“可识别性”要求或特定自然人活动情况的“反映性”要求,前置法则仅采特定自然人的“可识别性”要求,此谓前置法对个人信息的“一元认定标准”与刑法的“二元认定标准”。

不可否认,在早期前置法缺位的情况下,从刑法视角认定公民个人信息进而规制侵犯公民个人信息的行为,填补了立法不及时给公民信息保护领域造成的漏洞,但这一路径选择也使得我国在公民个人信息保护上步入一条刑先民后的道路[2]。在规制内容重合的范围内出现的刑民冲突,衍生了难以决断的刑事司法认定难题,造成实务困惑。例如,仅能反映特定自然人活动情况却无法识别特定自然人身份的信息,不成为前置法规制保护的对象,却能够认定为刑法上的公民个人信息。在前置法上认定合法的相关信息处理行为,完全有可能依照刑法作有罪认定,从而影响法秩序统一视阈下的违法性认定关系。

因此,有必要进行立法溯源,对公民个人信息认定标准的刑民分歧予以审慎检视,厘清问题来源并挖掘理论根源。既然当前刑民共同承认的个人信息认定标准系可识别性标准,那么,通过对公民个人信息可识别性立法沿革的考究,我们可以探寻,刑民之间关于个人信息认定范围的差异究竟是如何显现的。

2.1.1 立法沿革

对公民个人信息可识别性的立法沿革进行审视,我国刑法视阈内对公民个人信息可识别性的规定,最早可追溯至2013年4月,由两高一部联合发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》)。《通知》第2条①公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。以概括加列举的形式,确立了“身份识别性”及“关涉隐私性”的公民个人信息认定标准,二者满足其一即可认定。随后,于2016年11月公布的《网络安全法》在第76条第5项②《网络安全法》第76条:“……(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”同样采用了概括加列举的形式,对个人信息的概念予以界定。与《通知》相比,《网络安全法》明确了单独识别与结合识别两种识别类型,并且将“身份识别性”作为个人信息认定的唯一标准。

令人不解的是,在前置法对个人信息的识别性予以专门规定的情况下,公布于2017年5月的《个人信息司法解释》却没有及时吸收相关内容,而是采取了一种“折中”的立场——在“身份识别性”和“识别类型”上采用了和《网络安全法》相同的表述,但却保留了《通知》中“关涉隐私性”的类似表述,即“反映特定自然人活动情况”。这一做法令公民个人信息的范围在刑法认定的框架内出现不当扩张。仅从司法解释条文本身出发,对于虽然不能识别特定自然人身份,但能够反映特定自然人活动情况的信息,极易作出属于刑法上的公民个人信息的判断,这显然超越前置法对个人信息的保护范围。

如果认为上述折中的选择仅是刑法为缓慢过渡的一次保守调整,那么《民法典》与《个人信息保护法》的出台则使个人信息可识别性的刑民衔接出现明显抵牾。施行于2021年1月的《民法典》,在第1034条第2款中确立了个人信息“识别特定自然人”的认定标准,从认定标准到识别对象,与刑法中的相关规定无不显现出不协调的关系。至2021年11月施行的《个人信息保护法》,其不仅将识别特定自然人作为个人信息认定的唯一标准,更是将匿名化和去识别化作为处理信息行为的正当事由,基于正向与逆向阐述,正式确立了个人信息保护专门领域内信息可识别性的认定标准。至此,刑民之间关于个人信息认定标准及范围的差异已完全显现。

2.1.2 理论根源:公民个人信息本质属性的争论

刑民之间不同的个人信息认定标准指向了一个共同问题的回答,即公民个人信息的本质属性是什么?对公民个人信息本质属性的不同理解,影响了对公民个人信息认定标准、行为对象范围的划定与判断。不难看出,前置法对个人信息“一元认定标准”——可识别性的设立,代表着前置法将个人信息本质属性理解为可识别性。刑法当前公民个人信息“二元认定标准”的格局则暗含着公民个人信息本质属性系隐私性抑或可识别性的较量。因此,要消除刑事立法层面下“二元认定标准”造成的刑民抵牾,需要在明确公民个人信息本质属性后,寻求刑法与前置法关于个人信息认定标准的妥善衔接。

2.2 司法层面:可识别性标准认定混乱

刑法中公民个人信息认定标准的困惑在司法层面则具体表现为可识别性标准认定混乱。虽然《个人信息司法解释》第1条规定了公民个人信息的可识别性标准,并区分了直接型与间接型的可识别类型,但仍然缺乏对可识别性标准的进一步指引,导致司法实务人员在对案涉信息作出是否具有特定自然人身份的可识别性判断时,对可识别性理解与适用存在普遍困惑。换言之,案涉信息须识别到何种程度方能认定为可以识别特定自然人身份?再者,信息之间存在联系,考虑到当前海量信息以数据为载体,撞库识别等智能技术愈发成熟,无论是从理论上还是技术上讨论,都不存在完全不具有识别可能性的信息,尤其在当前多数为处理“间接型”可识别信息的行为场景下,倘若不对“结合识别”进行一定的限制,则可能不当扩张刑法保护范围,使案例数量本就居高不下的本罪的犯罪圈进一步扩大。

2.2.1 典型案例及其评析

【案例一】行为人为推广公司业务,安排多名员工购买公民个人信息,其中包含大量手机裸号,用于打电话拉业务使用。法院认为,在实行电话号码实名制登记的背景下,手机裸号结合其登记信息足以识别特定自然人的身份,因此手机裸号属于刑法意义上的公民个人信息①参见:(2020)川3401刑初434号。。

【案例二】 行为人先后多次将其掌握的具有网贷需求的群体的公民个人信息出售给他人牟利,出售的信息中,包含大量手机裸号。法院认为,手机号码实名制下,非经法定程序进行查询,普通公众无法通过常规、合理的途径直接识别出特定自然人。涉案手机裸号至少需结合姓名或与姓名对应的其他重要或者较多的个人信息才能具体识别,涉案手机裸号不应认定为公民个人信息②参见:(2020)苏0508刑初31号。。

【案例三】行为人与他人交换公民个人信息后向他人非法提供,涉案信息中包含大量手机号码。法院认为,手机号码属于《个人信息司法解释》第1条列举的公民个人信息中的“通信通讯联系方式”,涉案信息属于公民个人信息③参见:(2021)沪02刑终236号。。

【案例四】行为人购买实名注册的微信号(账号、密码信息)、银行卡信息等信息后向他人出售。辩护人提出,出售的实名认证微信号无法看到姓名和身份证号,不能识别特定自然人。法院认为,《个人信息司法解释》第1条列举的公民个人信息中包括账号密码,且该账号密码与接收短信验证码的绑定手机号相结合即可识别特定自然人,涉案实名注册的微信号属于公民个人信息④参见:(2019)晋05刑终286号。。

上述四个案例及其裁判说理均围绕公民个人信息的认定展开,各自不同的论证思路与认定结论反映了当前可识别性认定在司法裁判中的适用混乱。

其一,间接型可识别的认定缺乏合理限制。案例一与案例二中的行为对象均为手机裸号,法院却给出了完全相反的认定结论。此外,案例四中的行为对象虽为账号密码,但整体论证思路与案例一相仿,均肯定了需要结合其他信息才能识别特定自然人身份的间接型可识别信息的公民个人信息地位。无论是手机裸号还是账号密码,对这些需要结合其他信息才能识别特定自然人身份的信息,能否单独认定为公民个人信息的不同态度,是司法实践长期对间接型可识别的认定缺乏明确、合理的限制造成的。易言之,如果说直接型可识别信息完成特定自然人身份的识别模式是一对一,那么间接型可识别信息完成特定自然人身份的识别模式就是多对一。在一对一的模式下,单条信息即可完成识别,当然应认定为公民个人信息,然而在多对一的模式下,缺少任何一条结合识别的信息都无法完成识别。此时,如何判断单条间接型可识别信息是否具备识别条件?倘若不具备识别条件,还能否认定为公民个人信息?

其二,隐私保护的思路混淆了信息识别性的认定,形式判断优位于实质判断虚置了可识别性认定的运用。案例三中,法院以手机裸号属于《个人信息司法解释》第1条列举的“通信通讯联系方式”为由,直接作出手机裸号属于公民个人信息的判断,难称其运用了可识别性标准对行为对象进行认定。由于我国在个人信息保护上选择了“刑先民后”的立法路径,对个人信息存在按隐私权加以保护的思路。对于涉及隐私的诸如婚姻状况、财产信息、通讯信息、生理健康信息等个人信息,因其鲜明的隐私属性当然纳入刑法保护对象,而对上述信息是否能够识别特定自然人身份在所不问。鉴于《个人信息司法解释》采取了概括列举混合的表述模式,在案涉信息可被涵摄于专门列举的常见类型中时,法院通常在引用规范后予以直接认定,而不对涉案信息作可识别性认定的实质判断。可是,从目的解释的立场出发,即使是规范列举的信息类型,也应符合规范对公民个人信息认定标准的规定,从而形成逻辑上的贯通,因此,《个人信息司法解释》第1条列举的常见类型当然应受可识别性认定的制约。遗憾的是,实务部门囿于对法条的过度依赖与机械适用,其形式判断优位于实质判断的做法,使公民个人信息可识别性认定标准的运用出现虚置现象,有可能造成公民个人信息认定范围的扩张,致使侵犯公民个人信息罪的处罚范围不当扩大。

其三,信息载体与本体的界定不明扩张了信息的外延。现行有效的《通知》中列明,“数据资料”属于侵犯公民个人信息罪的犯罪对象。无独有偶,《个人信息司法解释》亦通过不完全列举的方式将“账号密码”纳入公民个人信息范围。正因如此,案例四将账号密码纳入公民个人信息的认定范围。除却司法机关可能存在形式判断优位于实质判断的考量,还值得思考的问题在于,此类数据资料与个人信息之间究竟是何种关系?二者之间认定的界限何在?可识别性标准针对的是信息本体还是包括数据在内的所有资料?一般认为,数据与信息是形式与实质的关系,数据属于信息的载体,信息则为数据的实质意涵[3]。然而,由于学界及实务界对数据及相关概念界定不明,数据与信息混淆的现象颇为常见。有学者研究发现,截至2020年3月30日,至少有19部法律、627部部门规章在内容上交替使用“个人信息”与“数据”[4]。这一现象在其他公开的裁判文书中也有所体现①参见:(2017)浙0110刑初737号;(2018)浙0108刑初269号。,呈现个人信息外延扩张的趋势,进一步冲击了可识别性在司法实践中的准确认定与妥当运用。

2.2.2 理论根源:可识别性内涵展开不足

综合分析司法实践中可识别性认定的情况,不难发现公民个人信息的可识别性认定整体呈现扩张趋势,实务中有许多亟待回答、解决的问题。譬如,造成对同一类间接型可识别信息的认定结论相反的原因是什么?结合识别中的识别要求、识别要素及识别条件是什么?如何避免可识别性认定被虚置的情况发生?可识别性标准适用的对象是信息还是数据?这些问题的产生反映了可识别性标准司法认定混乱的同时,映射了可识别性内涵的展开严重不足。在相关的刑法规范缺少对可识别性标准理解与适用进一步指引的情况下,原本应为实务提供必要指导与支持的理论研究却也乏善可陈。在个人信息刑法保护研究中,研究成果主要集中在保护法益、行为责任与新兴信息类型的专门保护等方面,对于公民个人信息认定标准,尤其是可识别性认定的研究寥寥无几,且相关研究的讨论时间亦远早于前置法出台,部分内容、观点已经滞后于当前个人信息保护的立法概况与司法实践[5][6]②学者晋涛认为,侵犯公民个人信息罪中的公民个人信息并不必然要求具备“识别性”,该结论已明显与新出台的《民法典》《个人信息保护法》等前置法对个人信息的界定相悖,扩大了个人信息认定范围。学者岳林注意到司法实践中身份可识别性认定的泛化理解及适用,主张对识别标准进行限定,但并未对识别的建构提出完整的方案。。不能为可识别性的理解、适用提供有力指引与帮助,故亟需更新智识并对可识别性的内涵予以充分展开,以实现对刑法中公民个人信息认定标准司法层面困惑的解惑祛魅。

3 刑法中公民个人信息认定标准之祛魅

3.1 刑民抵牾之消除:可识别性标准的唯一性

“可识别性”与“活动反映性”看似共同构成了刑法中公民个人信息的二元认定标准,形成对前置法中个人信息“可识别性”认定标准的突破,实则不然。通过对公民个人信息本质属性的证立,可以实现对刑法中公民个人信息“二元认定标准”的辨伪,从而解决法秩序内个人信息保护范围的矛盾与不协调问题。

3.1.1 公民个人信息本质属性的学说争讼

学界对公民个人信息本质属性的争论由来已久,主要有两种观点:“隐私性说”与“可识别性说”。主张“隐私性说”的学者认为,个人信息具有个人隐私的特征,个人信息法益体现在包括但不限于“宪法隐私权”的“个人隐私”[7];个人信息的根本特征系隐私性[8]。主张“可识别性说”的学者认为,公民个人信息的本质特征系个人身份或个人特征的可识别性[9];个人信息的属性在于识别,其使用不应由个人决定,这也是可识别性为其本质属性的原因[10];能够识别特定自然人的个人信息才可能对信息主体的私人生活安宁、人身及财产安全造成侵害[11]。而伴随着《民法典》《个人信息保护法》等前置法的出台,公民个人信息“可识别性”的一元认定标准得以实际确立。“隐私性说”的相关主张将可能导致刑法对公民个人信息的保护范围不兼容于前置法的保护范围,有悖于法秩序统一性原理。由此,近来“可识别性说”逐渐占据公民个人信息本质属性讨论的主流地位。

3.1.2 可识别性系公民个人信息本质属性

在刑法与前置法就个人信息本质属性产生明显抵牾的情况下,刑法固然应参考前置法的相关规定,但刑法自身体系上的逻辑贯通亦应予以重视[12],在刑法尚未进行立法修正的背景下,若需对客观存在的二元认定标准作一元化解释,理应为可识别性作为公民个人信息本质属性的结论提供更为充分的理由。

一方面,从隐私性与可识别性的关系上看,隐私性客观上由可识别性赋予。经过盘点“隐私性说”与“可识别性说”的观点,可以观察到两种学说的对立实质上代表着各自对“可识别性”与“隐私性”之间关系理解的不同。“隐私性说”主张,“可识别性”的判断以“隐私性”判断为前提。“可识别性说”则主张,“隐私性”仅为信息分类的标准之一,其判断以“可识别性”的判断为前提。本文同意后者的判断结论。正如有学者指出,只有具备可识别性的公民个人信息才具有隐私性,不具备可识别性的信息只能认定为普通的数据,不受公民个人信息的刑法保护[13]。具言之,隐私性在内容上体现为包含一切与个人相关且受隐私主体控制,可不为他人所知的信息[14],而隐私信息的应受刑法保护性则不单体现在内容的私密,更关键在于信息可准确识别出特定自然人,从而暴露隐私实体的相关信息,打搅其私人生活安宁,对其人格利益造成损害。对于不具有识别性的隐私内容,信息无法锁定特定自然人,客观上不可能给隐私实体造成实际侵害及侵害可能性。因此,隐私性实际上由可识别性赋予,在公民个人信息刑法保护领域,并不存在不具有识别性而具有真正意义上的隐私性的公民个人信息。

另一方面,从体系解释的角度出发,可识别性实际上是刑法中公民个人信息的唯一认定标准。不可否认《个人信息司法解释》第1条在“可识别性”之外还规定了“活动反映性”的信息认定标准,但立足于刑法体系整体视角的考察,所谓的二元认定标准之间并非选择适用的关系。原因在于,《个人信息司法解释》第3条第2款的但书部分,“但是经过处理无法识别特定个人且不能复原的除外”,仅将“去识别化”作为侵犯公民个人信息罪的出罪事由,而无矛盾的要求是体系解释的出发点之一[15],因此,从体系解释的角度出发,反映特定自然人活动情况的信息理应以可识别特定自然人为前提。如此一来,《个人信息司法解释》第1条所界定的公民个人信息范围实际上是“可识别特定自然人身份的信息”或者“可识别特定自然人且反映特定自然人活动情况的信息”。与此同时,基于前置法中个人信息“可识别性”的一元认定标准,不难看出,可识别性系刑法中公民个人信息本质属性的解释结论,不仅保持了刑法体系内逻辑的协调,还使刑法与前置法在双层次论的体系解释下保持了法秩序的统一性。

因此,在对可识别性系公民个人信息本质属性的证立下,反映特定自然人活动情况的信息也需满足识别特定自然人身份的要求,所谓刑法中公民个人信息的二元认定标准得到多层次的辨伪,刑民抵牾得以消除,可识别性系刑法中公民个人信息唯一的认定标准。

3.2 可识别性内涵的规范展开

可识别性标准认定混乱的理论根源是可识别性内涵展开不足。有部分关注到可识别性标准认定混乱的学者,对可识别性内涵的展开提出了自己的观点。他们从间接识别这一内涵尤为宽泛的识别类型出发,主张通过立法对间接识别信息的内涵与外延予以丰富,完善间接识别的规制机制[16]。遗憾的是,上述主张就间接识别的内涵与外延展开,缺乏进一步论述,所谓间接识别规制机制的完善还仅仅是方法论的展望,尚未成形。还有学者注意到个人信息流通利用的场景化与动态化特点,主张识别与再识别要在具体场景下进行周全判断[17]。个人信息保护的场景化思维值得赞赏,但问题在于,在没有构建完整的场景判断要素的情况下,一味抛弃类型化界定方法来认定个人信息,对法官在并不熟悉的知识领域的专业认定能力提出了过高的要求,这是否会令识别与再识别的实务判断更加无所适从。因此,上述观点在一定程度上为可识别性标准的适用提供了积极思路,但对可识别性内涵的展开仍显不足,未能实现可识别性标准的类型化判断或具体方案的落地,难以切实解决可识别性标准理解与适用的实务疑难。

本文认为,欲寻求前述司法层面困惑的解开,可以围绕可识别性之内涵予以拆解,完成以下四个方面的展开:第一,明确可识别性的体系定位;第二,对识别行为的内涵予以展开;第三,对识别对象的内涵予以展开;第四,确定可识别性认定合适的考察模型,明确可识别性认定的模型要素。

3.2.1 可识别性的体系定位

可识别是侵犯公民个人信息罪中规范的构成要件要素。在刑法中公民个人信息的二元认定标准得以辨伪的情况下,可识别性作为刑法中公民个人信息唯一的认定标准,其判断决定了侵犯公民个人信息罪之行为对象的认定,属于典型的构成要件要素。同时,可识别性的认定离不开法官的规范的、评价的价值判断,而无法直接从字面获得妥当的解释结论[18],在体系定位上为规范的构成要件要素。对可识别性体系定位的明确,要求在侵犯公民个人信息罪的认定中不能再回避可识别性的实质判断,公诉机关必须充分证明案涉信息的可识别性,法院则必须在裁判文书中对案涉信息是否具有可识别性予以回应与论证,不能径行以案涉信息属于《个人信息司法解释》专门列举的常见类型为由,虚置可识别性的实质标准。

3.2.2 识别行为的展开

认定某一信息是否具有特定自然人身份的可识别性,离不开对识别行为的判断。依据信息识别特定自然人身份的过程,就是信息的识别行为。从文义解释的角度来看,《辞海》将识别行为的内涵定义为一种揭示个体身份的任务。换言之,识别行为即依据信息使某人在群体中实现个体化的过程,通俗来讲,就是明确“是谁”。这就意味着,倘若信息仅能够对应某个特定自然人,却无法将其在群体中实现个体化——回答该特定自然人是谁的问题,则不能称该信息完成了识别行为,也就不符合公民个人信息的可识别性。因此,单条间接型可识别信息虽然能够归属到某一特定自然人,但无法完成揭示个体身份的任务,不应认定为刑法中的“一条”公民个人信息,在需要结合识别的场景下,“一条”公民个人信息的认定应以完成结合识别的“一组”间接型可识别信息为最小计算单位[19]。

至此,识别行为的展开还不够充分。因为,即使明确了单条间接型可识别信息不能作为“一条”公民个人信息计算的最小单位,仍未对结合识别的情形予以有效规制。在万物互联的时代,只要结合识别的节点足够多,无论是理论上还是技术上都不存在完全不具备识别可能性的信息[20]。基于此,在当前司法实践中多为间接型可识别信息的情况下,有必要对识别节点,即结合识别的条件进行合理的司法限缩,避免犯罪圈的不当扩张。

3.2.3 识别对象的展开

《个人信息司法解释》明确了公民个人信息的识别对象是特定自然人身份,而何谓特定自然人身份却有待进一步展开。身份具有自然属性与社会属性[21]。自然属性的立场下,身份包含个人的姓名、性别、身份证号等自然形成或由国家认证且无需与他人产生联系而形成的身份要素。社会属性的立场下,身份则包含因对外社会关系而产生的,如亲友关系、上下级关系、同事关系、名誉头衔等身份要素。上述诸多身份要素客观上组成并划分了身份识别的对象与范围,但在公民个人信息可识别性的理论探讨中,并不全为学者接受系刑法上公民个人信息的身份识别对象。因此,接下来的问题是,在判断刑法中公民个人信息的可识别性时,上述身份识别要素是否均纳入身份识别的考量?当信息的身份识别要素清晰到何种程度时,能够作出信息具备特定自然人身份的可识别性认定?

3.2.4 可识别性认定的考察模型

结合对识别行为与识别对象的展开,可以发现,识别主体、识别对象、识别活动的客观条件等无不影响着可识别性的认定。这些认定要素的类型化,能够为可识别性的认定提供思维与技术上的双重协助[22]。考虑到要件式思维在刑事司法认定中的重要地位与便宜作用,本文主张对可识别性认定进行类型化的要件模型构造,从而为解决司法适用中可识别性标准认定混乱的问题,提供方法上的突破与创新。

首先,可识别性认定是基于一定识别立场的判断。识别是一种主观见之于客观的活动,不同的识别主体对识别特定自然人身份的要求、条件、能力均不相同。撇开识别主体不同对识别活动的实际影响,对可识别性进行无立场区分的机械性认定,容易造成可识别性标准的不当扩张与制度虚置。其次,可识别性认定是达到相当识别程度的判断。只有当信息达到识别特定自然人身份的程度时,才能够认定为具备公民个人信息的可识别性。最后,可识别性认定是合理识别难度内的判断。除却能够直接识别特定自然人身份的信息,应对海量的间接型结合识别信息予以合理限制,不得随意延伸识别节点,对于超出合理识别难度的间接型可识别信息,不应当作出具备可识别性的认定结论。综上,可识别性认定的考察模型即由识别立场、识别程度及识别难度三大模型要素组成。

4 刑法中公民个人信息可识别性认定的具体构建

4.1 识别立场:以识别主体的不同作动态认定

4.1.1 静态认定模式的不足

当前刑法领域内的公民个人信息可识别性认定属于一种静态认定的模式。主要表现在,立法指引上以《个人信息司法解释》分级列举的各类敏感信息、一般个人信息等作为公民个人信息的认定清单;司法适用上在难以把握信息可识别性的具体认定或敏感信息的类型归属时,采用机械匹配规范列举的信息类型的方式予以认定,整体上呈现出一种“点对点”式的可识别性认定现象。这种可识别性认定的静态化导致传统信息类型的认定范围不当扩大。

传统信息类型主要包括《个人信息司法解释》第1条和第5条列举的信息类型,如通信通讯联系方式、住宿信息、交易信息等。一方面,由于此类信息在形式上可以轻易匹配,加之实务部门在具体个案的认定中容易出现前述的形式判断优位于实质判断的惯常做法,使得涉案信息在被简单解释为规范列举的信息类型后缺少可识别性认定的步骤;另一方面,即使在形式判断结束后进行了可识别性的实质判断,实务部门亦少有考虑具体行为人的识别可能性,而是基于社会平均人的视角,轻易作出推断性的可识别认定。可识别性认定静态化的做法导致信息可识别性认定虚置的同时,将大量不能识别特定自然人身份的传统信息类型中的“欠识别”信息,纳入公民个人信息的认定范围,扩大了刑法的打击范围。

4.1.2 “信息关联程度”动态认定模式的批判

近来已有学者注意到静态认定模式的不足,主张对可识别性作动态认定。他们基于信息与公民之间的关联程度构建动态认定标准。譬如,与实时的行动轨迹相比,他们主张非实时的公民行动轨迹信息不是公民个人信息。在具体的示例中,其指出,久远的酒店住宿信息、已结束行程的交通票据信息等,均不能被认定为公民个人信息[23]。易言之,以场景化思维进行判断,上述信息与应用场景相分离时,不再与特定自然人相联系,自然不能认定为公民个人信息。该观点从场景一致性的角度出发,以信息与公民间的关联程度为基点,对可识别性与公民个人信息的范围进行动态化认定,呈现了在一定程度上限缩当前传统信息类型的扩张性认定的趋势,值得肯定,但仍存在理论与实务两方面的不足,难以适用于司法实践的判断。

第一,该观点在理论上重返刑法中公民个人信息的“二元认定标准”,引发法秩序内的不统一。基于信息与公民之间的关联程度确定动态标准的立场,其实近似于“活动反映性”标准。在上述学者所举信息的应用场景下,相关信息与特定自然人相联系,反映其活动情况,可以认定为公民个人信息,但在信息与应用场景相分离后,非实时的相关信息不再与特定自然人相联系,不能反映信息应用场景下公民实时的活动情况,故不属于公民个人信息。这一推导过程,实际上重返“反映特定自然人活动情况”的信息认定标准,忽视了可识别性认定的前提性要求,无法解决公民个人信息保护范围在法秩序内的矛盾与不协调的问题。

第二,该观点脱离了实务对现有信息类型的梯级认定框架,造成信息保护漏洞。《个人信息司法解释》对信息类型按照敏感程度进行了区分保护,具有可识别性的实时酒店住宿信息、交通信息属于《个人信息司法解释》规定的住宿信息、行踪轨迹信息,即敏感信息,刑法以较低的入罪门槛实现对此类信息较高的保护水平。上述信息与应用场景分离后,与实时的相关信息相比,在与公民间的关联程度上的确有所削弱,但并不意味着这些所谓的“过时”信息不具备识别特定自然人身份的功能,更不能说明对此类信息的非法流转行为及后续的非法利用行为,对公民造成的侵害不足以为刑法处罚。事实上,非实时的酒店住宿信息泄露,曾经引发国内侵犯公民个人信息罪及下游犯罪的大规模爆发①2013年,曾系中国最大酒店数字客房服务商的浙江慧达驿站公司,因为安全漏洞问题,在网上泄露与其有合作关系的大批酒店的开房记录,约2000万包含姓名、性别、国籍、民族、身份证号、生日、地址、住宿时间等14项内容的开房数据流入各大论坛,一些不法分子非法获取、提供、出售该信息后,引发了大批量的相关犯罪。,严重危害公民人身及财产安全,破坏社会稳定秩序。因此,此类信息或许会因为应用场景的分离,而发生相关信息的变化而不再属于敏感信息,但一则发生变化的信息并不等于无效信息,二则此类信息往往包含详细的身份内容,即使个别内容不再具有识别特定自然人身份的功能,依然可以利用其他内容实现结合识别。换言之,此类信息纵使不能认定为敏感信息,按照当前普遍采取的“一般个人信息—敏感个人信息”的梯级分类方式[24],实务中也可降档认定为一般公民个人信息。若采上述学者观点对例证中的非实时酒店住宿信息不予认定,将造成公民个人信息保护漏洞,恐难为实务所接受。4.1.3 “识别主体不同”动态认定模式的提倡基于信息与公民之间的关联程度构建可识别性的动态认定标准,存在理论与实务层面的缺陷。本文认为,此种动态认定不应是信息与公民间的关联程度的动态变化,而应是以识别主体的不同为区分的可识别性动态认定。

识别主体即行为人,具体到侵犯公民个人信息罪的行为类型中考察,即非法获取行为中的信息获取方、非法出售行为中的信息出售方以及非法提供行为中的信息提供方。识别活动受识别主体不同的深刻影响,不同识别主体实现识别特定自然人身份的能力、条件等均不相同。譬如小区物业管理人员仅依据楼栋号及房号就能够清楚识别业主的身份信息,盖其能够结合自己控制、掌握的其他物业管理登记信息实现识别,但对于一般人群,其无法掌握、控制其他信息实现结合识别,该楼房号信息仅是一串无意义的数字罢了,不存在识别可能性。再如前文所举的案例二,实名制下的手机裸号的确对应某一自然人,但对一般群体而言,仅凭手机裸号还是难以实现识别该自然人身份的目的。而对于主管手机实名登记的单位工作人员来说,却能够结合实名登记簿完成号码所属自然人的身份识别。因此,对公民个人信息可识别性的认定理应从识别主体的立场出发作动态认定。

在当前信息数据化的背景下,无论是在理论上还是技术上并不存在完全不具有识别可能性的信息。在以识别主体的不同为基点,对信息可识别性作动态认定的模式下,可识别性的认定不再是一种抽象的识别可能性,而是一种强调具体识别主体判断而非一般人判断的,可预见完成识别的确定结果。这种识别立场的确定,有助于解决过往可识别性认定静态化导致的的信息认定范围不当的弊端,促进识别行为认定具体化、客观化。明确识别立场后,接下来的任务是对可识别性认定的考察模型中的识别程度与识别难度展开解释——明晰身份识别的具体内容,把握相当识别程度的判断,并对识别主体的识别行为进行具体描画,明确识别难度,以实现对公民个人信息可识别性认定横向与纵向上的具体构建。

4.2 识别程度:识别出国家认证的身份信息

信息具有身份识别性,即依据信息可以使某人在群体中被挑选出来,实现个体化[25]。在司法实践的个案判断中,即指案涉信息须识别到何种程度方能认定为可以识别特定自然人身份。在实现对特定自然人身份识别的过程中,需要先后完成两个步骤:第一步,信息指向特定自然人;第二步,信息识别其身份。自然人之语义内涵无需赘言,特定则指唯一、确定。信息指向特定自然人即信息锁定唯一、确定的公民个体。因此,解释的重点是自然人身份的具体含义。

从社会学解释的角度出发,身份被视为人们相对固定的自然属性,具有持久的、不变的、先设的且自然的特性,与此同时,在角色身份理论下,身份还具有社会属性的分类[26]。依据前述对识别对象内涵的展开,自然属性与社会属性立场下包含的各类身份要素,存在刑法中公民个人信息身份识别适用上的争议。有学者认为,身份识别标准具有宽泛性,任何信息都可以经由身份识别标准转换成个人信息,即并不排除社会属性的身份要素在身份识别认定中的适用[27]。有学者对此持不同意见,主张国家认证的身份才能实现法律意义上的身份识别,对于其他身份要素,虽然在各自使用范围内也具有独特性,但由于认证主体缺乏国家权威性,在法律意义上只有通过与国家认证身份要素的结合,才能联系和识别特定自然人身份[6]42。

本文赞成将国家认证的身份适用于刑法上公民个人信息的身份识别。首先,以国家认证的身份作为身份识别的具体内容具有规范依据。《中华人民共和国居民身份证法》第13条规定,公民需要证明身份的,有权使用居民身份证证明身份。该条规定即意味着居民身份证所包含的信息可以证明身份。申言之,当信息对特定自然人的识别程度达到可以明确特定自然人居民身份证所包含的信息时,应当认为信息可识别特定自然人身份。其次,社会属性下的身份要素具有复杂性、多样性,其描述的往往是一个人在相关领域内的特征性身份。譬如商场的VIP会员身份、滑雪爱好者身份、某人的小学同学身份等,以上社会属性的身份要素在组合的情况下,的确也具有锁定某个特定自然人的功能,但出现在面前的仅是一幅模糊的“画像”。就如同人们在无数次通勤的过程中,看到马路上穿着橙色制服在清扫马路的熟悉的清洁工一样,我们与他们是如此“熟悉”,却不能从中知晓关于他们的任何身份信息。此类社会属性的身份要素的识别价值显著缺乏,不具有敏感性,难以解开信息主体“是谁”这个关键命题,不适用于刑法上公民个人信息的身份识别。

因此,只有当识别程度达到能够识别出国家认证的身份信息时,才能够认定信息具有特定自然人的身份可识别性。

4.3 识别难度:识别手段、识别成本与识别节点的限制

计算机技术和大数据算法的深度应用,使数据化的信息不再具有绝对的匿名安全,因此,即使是去识别的个人信息亦具有手段上和技术上的再识别风险。在以识别主体的不同对信息识别性作动态认定的立场下,如果不对识别主体的识别手段、识别成本予以限制,事实上,只要识别主体采取非法手段或耗费尽可能多的识别成本,理论上并不存在不可识别的信息。《个人信息司法解释》对信息的识别类型作了区分,可识别公民个人信息包括“单独识别信息”和“结合识别信息”,也即“直接型”可识别信息和“间接型”可识别信息。在现实生活中,除了少数经国家认证的身份信息可以直接识别自然人身份,属于直接型可识别信息,大量信息需要结合国家认证的身份要素方能实现识别。甚至仅凭经国家认证的“姓名”信息,都不足以达到识别性的要求,因为完全存在公民同名同姓的可能。在间接型识别信息大量存在的情况下,只要识别节点足够多,结合识别的实现其实也不存在限制。基于此,信息再识别在技术和理论上的可行性,和大量结合识别信息的存在,均要求刑法对识别主体的识别手段、识别成本及识别节点予以限制,防止公民个人信息认定范围的不当扩张。

4.3.1 识别手段以合法为限

识别手段又可称为识别方法,指识别主体为完成对特定自然人身份的识别,借助某种工具或通过某种渠道、方式来实现的做法。实务部门在对具体信息作可识别性认定的时候,应当考虑识别主体能否通过合法的手段对涉案信息完成特定自然人的身份识别,而不能将非法手段纳入识别主体的识别可能性判断,否则公民个人信息的认定范围将失去边界。我国目前在公民个人信息刑法保护领域的相关规范之中,尚未对识别手段合法性的限制予以规定,贸然设立,立法部门未免踌躇。然而,一方面,该内容早在欧盟于1995年颁布的《数据保护指令》(Data Protection Directive)中就有所体现①域外许多国家和地区习惯将“数据”与“信息”等同使用,在没有特别提示的情况下,“数据保护法”即作“信息保护法”理解。。指令第26条规定,鉴于要确定某人是否可识别,应考虑控制者或任何其他人可能合法使用的所有方法来识别所述人。欧盟开展个人信息保护较早,不断打磨的制度规范经受住了社会不断向前发展的考验,可以给予我国相关指引。另一方面,识别手段的合法性限制已在司法实务中得到应用。在案例二中,法院对手机裸号作出不属于公民个人信息的判断结论时,认为手机号码实名制下,非经法定程序进行查询,普通公众无法通过常规、合理的途径直接识别出特定自然人,即采取了识别手段的合法性对信息识别性予以限制。立法应在后续修正过程中对此予以呼应。

值得注意的是,对识别手段加之合法性限制,不意味着采取非法手段识别特定自然人身份的行为当然不构成犯罪。其完全可能被计算机数据系统安全的犯罪,或特殊主体行为不当类犯罪所认定,只是不能认定为侵犯公民个人信息罪。原因在于,通过非法手段识别自然人身份,识别成功的主要原因是非法手段的使用而非信息本身,难以认定该信息具有刑法上的可识别性,该信息不属于刑法上的公民个人信息。

4.3.2 识别成本以合理为限

顾名思义,识别成本即为识别主体根据信息为识别特定自然人身份,所耗费的各项资源,包括但不限于时间,金钱,专业知识和人力等要素。对于识别成本的合理性对可识别认定限制的经典表述“‘可识别的人’是指能够‘容易’识别的个人,它不包括‘通过非常复杂的方法’识别的个人,对方法的评估则需要考虑技术、经济及时间成本”[28]。从比较法视野看,识别成本的合理性限制,在欧洲多国的数据(同信息的含义)保护法中均有规定。例如,《德国联邦数据保护法》规定,匿名意味着对个人数据的修改,以便有关个人或物质情况的信息不能归于已识别或可识别的人,或者这种归属将需要不成比例的时间,费用和劳力②参见:Bundesdatenschutzgesetz [BDSG] [Federal Data Protection Act], Jan. 14, 2003, eBAnz. at 6, part 1, § 3 (Ger.)。。《斯洛文尼亚共和国个人数据保护法》规定,合理性标准,即识别方法不会产生大量成本或不成比例的努力或需要大量时间③参见:Personal Data Protection Act of the Republic of Slovenia, (2004) art.6,§2。。站在识别主体的立场,其识别信息的目的在于阅览、使用或对外流转,对于识别成本超出其实现目的所能承受的合理范围的信息,识别活动无疑不可能发生。因此,实务部门在对涉案信息进行识别性认定时,应以识别成本的合理性作为要素予以考量。

4.3.3 识别节点以识别主体控制的信息资料为限

直接型识别信息可以单独识别特定自然人身份,无需结合其他信息,故识别节点仅存于间接型识别信息的认定中。正如“六度分隔理论”所阐释的道理,两个陌生人之间所间隔的人不会超六个,也就是说,最多通过六个人我们就能够认识任何一个陌生人。同样的,由于信息间的关联性与算法技术的提高,只要存在足够多的识别节点,不存在无法结合识别的间接型识别信息。因而,限制识别节点以合理界定间接型识别信息的认定范围,就显得至关重要。从识别过程出发进行分析,尽管识别节点越多,结合识别的可能性就越大,但事实上,识别主体的识别资料仅为自己已经控制或能够控制的信息资料,超出这个识别资料的范围,所谓的尽可能多的识别节点仅存在于理论上,不具有现实可行性。英国的《数据保护法》对识别性认定的规定中就有这样的表述:被认定为个人数据,即数据的相关个人可以从该数据中识别出来,并且这些数据是数据控制者拥有或可能拥有的④参见:Data Protection Act,(1998) part 1,§1,1(Eng.)。。综上,实务部门对案涉信息进行识别性判断时,既不能对信息进行孤立认定,也不能肆意延伸信息节点,而应以识别主体控制的信息资料为限进行合理判断。

5 结语

当前,信息无疑是最重要的社会资源之一。合理界定公民个人信息保护范围,有利于平衡信息利用与信息保护之间的关系,而信息保护范围的合理界定,则离不开妥当理解与适用信息认定标准。在刑法与前置法就个人信息可识别性认定标准产生明显抵牾,而尚未进行立法修正的背景下,应从法秩序统一的角度出发,运用刑法解释方法,解决法秩序内个人信息保护范围的矛盾与不协调问题,明确可识别性标准在刑法上的公民个人信息认定中的体系地位。鉴于当前刑法领域内公民个人信息可识别性认定的静态化模式存在适用上的不足,本文通过对可识别性之内涵予以规范展开,提出了可识别性认定的考察模型,并围绕模型要素,建议确立以识别主体的不同对识别性作动态认定的立场,从识别程度与识别难度两个维度,对识别性认定展开横向与纵向上的构建。具体来说,主张将国家认证的身份适用于是否达到识别程度的判断,并从识别手段、识别成本及识别节点三个方面对识别难度予以限制,以期实现对可识别性的适用构建与公民个人信息范围的合理限定。

猜你喜欢

识别性个人信息刑法
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
过度刑法化的倾向及其纠正
警惕个人信息泄露
国产汽车标志设计批评
符号的识别性在广告视觉形式中的体现——以标志设计为例
以改性松香为交联剂的甲硝唑磁性分子印迹固相萃取材料的制备、表征及分子识别性研究
刑法适用与刑法教义学的向度
论刑法总则
游乐场所安全标志识别性研究