■ 北京师范大学刑事法律科学研究院  吴沈括 薛美琴

当前,侵犯公民个人信息犯罪十分猖獗,《刑法修正案七》、《刑法修正案九》先后对此类犯罪进行了规制,扩大犯罪圈,加重刑罚量,重视财产刑。而实践中,其司法适用普遍存在一些问题,尤其是对“公民个人信息”的认定,出现不少概念混淆、把握不一的现象。2017年5月9日,最高人民法院、最高人民检察院正式发布了《关于办理侵犯公民个人信息刑事案件适用法律的解释》(以下简称《解释》),规定认定“情节严重”的入罪标准,除违法所得数额、信息用途、主观恶性等情节外,最重要的是根据信息的类型确定不同的数量标准,即准确认定不同类型的个人信息直接影响到是否可以入罪和罪行的轻重。因此,本文拟从公民个人信息出发,在刑事司法视野下,对其概念的认定和类型的区分等问题作出具体阐释,方便司法实践。

一、公民个人信息不同于公民个人隐私

对于公民个人信息与公民隐私信息之间的关系,无论立法或司法实践,一直处于说不清道不明的状态。一方面,有意识进行区分,试图说明两者并不相同。有观点认为,两者呈交叉关系,即部分个人隐私属于个人信息,而部分个人隐私则不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些因高度公开而不属于隐私。立法规定也似乎回应了上述观点。“两高一部” 《关于依法惩处侵害公民个人信息犯罪活动的通知》 (公通字〔2013〕12 号)规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”而《网络安全法》对个人信息的定义中甚至没有使用“公民个人隐私的信息”的表述方式,以区别两者之间的关系。另一方面,无论立法或司法实践在论证个人信息时,不自觉地将隐私信息等同于个人信息。2014年6月最高人民法院《关于审理利用信息网络侵犯人身权益民事纠纷案件适用法律若干问题的规定》第十二条明确规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病例资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。有学者提出,“公民个人信息”主要包括能够识别公民个人身份的信息和涉及公民个人隐私的信息两大类。即涉及公民个人隐私的信息属于公民个人信息。

那么如何准确把握公民个人信息与隐私信息之间的关系,首先必须从本罪侵犯的法益出发考量。因为法益是认定主客观构成要件的所描述的中心概念。早在《刑法修正案七》出台后,对增设的 “出售、非法提供公民个人信息罪”及“窃取、非法获取公民个人信息罪”的法益,学界就有过不同观点。有学者认为,侵犯公民个人信息犯罪的法益是“个人信息所体现的公民的隐私权”。也有学者反对称,应将该法益包括但不限于“宪法隐私权”的“公民个人信息的自由和安全”或“个人隐私”,即本罪的法益是“公权主体”或“公权(益)关联主体”对公民个人信息的保有。

本文认为,公民个人信息是在一种更广泛意义上使用的概念,其中涉及的行踪信息、财产信息等敏感信息可能涉及公民个人隐私,但其被界定为公民个人信息的原因并非隐私性,而是因为该信息与特定自然人直接或间接发生关联,使信息本身有了特定自然人的身份的可识别性。公民对其可识别自身身份的信息所享有的自由处分、自主决定权,本质上是人格权利的延伸。此意义上讲,本罪的保护法益包括但不限于公民个人的信息自由和安全;可能与个人隐私发生交叉,但是否属于个人隐私不是判断个人信息的标准。

二.公民个人信息不同于个人数据资料

公民个人信息常以电子数据的形式存在,但电子数据不一定都是公民个人信息,其外延要远远大于个人信息,只有那些具有身份识别特征并能直接指向或者还原为特定自然人的数据才可以认定为公民个人信息。同时,数据本身有其独立的保护价值、强大的实用价值及经济价值,它对于网络科技、社会生活的推动及影响作用,也需要与个人信息区分开来。二者在保护方式、范围等方面都有明显区别。

以cookies为例说明公民个人信息与数据资料之间的区别。网页浏览器保留的cookies数据,包含大量个人网络行为轨迹以及数据访问记录,该数据是否可以认定为属于《解释》中规定的“公民个人信息”。若一旦被认定,大量的互联网公司均将面临刑事追究的风险,因此有观点认为,不应做无限扩大化,应当遵守结合相关信息可以直接确定公民个人身份的原则。

案例一:朱烨诉百度案。基本案情是:原告朱烨发现其利用百度搜索引擎搜索相关关键词后,会在特定网站上出现与这些关键词有关的广告。朱烨据此认为,北京百度网讯公司未经朱烨的知情和选择,利用网络cookies技术,记录和跟踪其搜索的关键词,将其兴趣爱好及生活、学习、工作特点等显露在网站上,并利用这些关键词,对朱烨浏览的网页进行广告投放,侵害了朱烨的隐私权,影响了正常的工作和生活。朱烨诉至法院请求法院判令百度公司立即停止侵害朱烨的隐私权的行为,并向朱烨支付一定金额的精神损害抚慰金。

案例二:被告人黄后荣任法定代表人的福建微数移动科技有限公司为淘宝网用户提供第三方服务,主营“云派券”业务,该公司软件工程师发现淘宝店铺的用户cookies,并可以利用获取的卖家cookies将该URL再次植入该卖家店铺,以此类推,自动循环。用这种方法黄后荣等人获取淘宝用户cookies2600万组,并存放在虚拟队列中(获取的cookies数据发送到一个域名为log.tbstat.cn站点,该域名轮巡解析到8台阿里云服务器,之后通过反向连接将获取的cookies传输到阿里云内网——阿里云服务器)。

上述二个案例虽分属民事侵权和刑事犯罪不同领域的案件,适用法律及处理均有很大不同,但是案例的核心内容,即cookies技术记录了网络行踪轨迹或者网络用户的个人信息,反映特定个体的偏好等隐私信息,与特定个体发生关联,那么cookies数据是否可以认定为公民个人信息?这也是本文所关注的重点。

在朱烨诉百度案中,一二审法院对百度利用cookies技术追踪朱烨网络活动轨迹是否可以认定为个人信息做了详细论证。一审法院认为,朱烨利用特定词汇在百度进行网络搜索的行为,将在互联网空间留下私人活动的轨迹,而该轨迹展示了其个人上网的偏好,反映个人的兴趣、需求等私人信息,在一定程度上表示个人基本情况和个人私有生活情况。而二审法院认为,百度公司在提供个性化推荐服务中运用网络技术所收集、利用的是未能与网络用户个人身份对应识别的数据信息,该数据信息的匿名化特征不符合“个人信息”的可识别性要求,因而不再属于个人信息范畴。

本文无意讨论cookies如何运作实现信息的收集、利用,也不再分析cookies数据本身有何特性。简单地说,cookies就是数据包,是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。通过cookies技术,网站可以记录用户登录的ID、密码、浏览过的网页、停留的时间等信息。因此,可以通过cookies提取到用户的上述个性化信息,包括可以用于识别特定个人身份的数据。但需注意的是,网页对cookies数据本身未做任何实质性处理,更无所谓匿名化处理。Cookies数据只是忠实地记录了用户在网络上的行踪、“网络身份”以及偏好等等。正因为自然人在用一种网络身份使用网络并留下网络行踪痕迹,使得cookies数据本身对应的不是特定自然人,而是使用网络服务的用户,而在网络用户与特定自然人之间,尚缺乏对应的实质性要件。

同样在案例二中,无论是淘宝店铺保存的cookies数据还是淘宝买家cookies数据,数据中包含了用户作为网络主体(卖家或者买家)的特定“身份信息”,这些信息包含或者证明了买家或者卖家的信誉、购物记录、购物偏好,甚至可能包括买家或者卖家登记在淘宝上的基本信息、绑定的银行卡信息等等。但是,被告人黄后荣并没有将上述cookies数据中可能查实的对应的特定自然人信息做出数据分析,使得数据仍只是数据,因此不能认定为公民个人信息。事实上,本案在审理中也是将cookies数据作为计算机数据(即认证信息),因而将本案认定为非法获取计算机信息系统数据罪来处理。

综上,本文认为,cookies数据本身目前不宜作为公民个人信息对待。一是,通过cookies技术获取的数据与网络用户不具有天然的对应关系,当无法确定具体的信息归属主体时,信息便不具有个人专属性,因而也不具有对信息主体的可识别性。二是,在民事侵权领域中对cookies数据是否属于公民个人信息尚且争议很大,不应当作为刑法上公民个人信息的保护对象。这是由刑法作为补充法的特性所决定的。当cookies是否作为隐私权保护争论还在如火如荼时,不宜将其作为刑法保护的对象予以规定。三是,罪刑法定原则要求刑法规定尽可能明确、不超出公民的可预测性。Cookies技术是目前通行且被广泛使用的互联网技术,刑法应对新技术的应用表现出足够的宽容。在未明文规定cookies数据属于公民个人信息时,不宜做此扩大解释。

三.公民个人信息的可识别性是个人信息的本质属性

从以上论证不难看出,对特定自然人的身份的可识别性是认定个人信息的本质属性。这样的结论,从对公民个人信息的定义中也可窥见一斑。

《网络安全法》第七十六条明确规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。而《解释》明确了公民个人信息应包括身份识别信息和活动情况信息。其之所以与《网络安全法》表述不同,一个重要原因恐怕是,《网络安全法》对公民个人信息做了整体而基础性的保护,而《解释》考虑到,因对公民个人信息的分类及对活动情况信息作为高度敏感信息的保护,是本罪定罪量刑中的一个重点,因此在狭义上使用了身份识别信息的概念,增加了对活动情况信息的提示性规定。

根据《解释》相关规定,公民个人信息的内涵包括以下三个特征:一是公民个人信息包括身份识别信息和活动情况信息。二是公民个人信息需是与特定自然人关联,单独或与其他信息结合可识别特定具体自然人的身份的。三是经处理无法识别特定个人且不能复原的不属于公民个人信息。该特征是从反面规定,此情况下,由于无法与特定自然人发生关联,因此也不属于公民个人信息。在大数据背景下,对数据进行处理以达到无法识别且无法复原的目的,是指导企业或个人正确使用数据的有效途径。而上述特征的核心要素就在于身份的可识别性。

四、公民个人信息基于信息的敏感性程度进行分类

《解释》第五条第一款对“情节严重”的认定标准做了明确规定,极大方便了司法操作。其中,确定入罪门槛的第一个标准就是数量标准,即根据不同类型的个人信息确定不同的入罪标准。“基于不同类型公民个人信息的重要程度,《解释》分别设置了五十条以上、五百条以上、五千条以上的入罪标准,以实现罪责刑相适应”。因此,确定个人信息属于哪种类型并适用何种数量标准,才是司法适用《解释》最为迫切的问题。

1.  从信息内容本身看,“五十条”入罪标准的四类公民个人信息(行踪轨迹信息、通信内容、征信信息、财产信息)确实是实践中常发生的且直接影响到公民人身、财产安全的信息。其中行踪轨迹信息主要涉及GPRS定位信息、行车轨迹等,可直接定位公民的具体坐标,更易发生针对特定自然人的人身损害,故被列为高度敏感信息。

2. “五百条”入罪标准的公民个人信息应做限制解释。

《解释》规定,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,属于情节严重。据此,司法实践中可根据具体情况作等外解释,即不限于《解释》规定的“住宿信息”、“通信记录”、“健康生理信息”、“交易信息”四类信息。但要求在做等外解释时确保所使用的公民个人信息涉及人身、财产安全,且与四类信息在重要程度上具有相当性。同时,《解释》也说明本条之所以规定为五百条而非五十条的理由是:上述公民个人信息虽在重要程度上弱于行踪轨迹信息、通信内容、征信信息、财产信息,但也与人身、财产安全直接相关,往往被用于“精准”诈骗等违法犯罪活动。

但从信息内容上看,我们是否一定可以说“行踪轨迹信息、通信内容、征信信息、财产信息”的重要性就高于“住宿信息”、“通信记录”、“健康生理信息”、“交易信息”?从实务角度看,如何判断双方在重要程度上具有相当性?恐怕这些问题都很难解决。第一,公民个人信息的重要性及重要程度与特定自然人紧密相关,可以说,某种信息是否重要及重要程度如何本身就是自然人的主观认识,不存在统一社会标准。第二,就算从社会整体认识而言,也很难讲,健康生理信息,尤其像基因信息,就一定比财产信息或通信内容的重要程度更弱。第三,交易信息在某种程度上也属于财产信息,如何区分作为高度敏感信息的“财产信息”与作为敏感信息的“交易信息”。第四,重要性的判断本身也是个时空概念,也就是说,随着网络技术的发展,人们对个人信息重要性的认识会有变化。第五,当个人信息重要程度充斥着大量个体、主观、时空的因素时,如何判断“等外情况”也成为一个问题。因此,本文认为,对“等外情况”应做限制解释,且在无法判断重要性程度时,适用一般公民个人信息的五千条标准更为妥当。

当前,数据尤其是具有核心价值的个人信息日益成为信息社会建设和网络产业发展的战略要素,对与其相关犯罪的有效防治也成为国家、产业和公众高度关切的重大命题。基于此,在刑事司法层面,我们应及时转变应对思路、理性阐释规范体系、科学创新裁断机制,进而真正提升刑事法治的法益保护水平,实现网络空间的综合治理。

(本文刊登于《中国信息安全》杂志2017年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。