侵犯公民个人信息罪的行为对象
作者:周光权
清华大学法学院教授
在现代信息社会,个人信息一旦被非法获取就可能在网络中迅速扩散,有些敏感个人信息一旦脱离了合法的处理范围被泄露和使用,会给被害人造成巨大精神伤害,衍生出包括恶意人身骚扰、盗用他人名义注册、精准实施电信网络诈骗犯罪、绑架犯罪等各种复杂问题,网络“黑产”参与非法获取、提供个人信息还可能引发社会管理秩序的混乱。因此,对侵犯公民个人信息罪依法进行惩处极为必要。本文结合正在讨论中的个人信息保护法草案(二审稿)对侵犯公民个人信息罪的行为对象尤其是个人信息的范围、分类、公开性等三个问题进行探讨,厘清其与民法上相关概念的关联性与细微差异,以期消除刑事司法实务上的相关分歧。
一、刑法中个人信息的概念及种类
根据《刑法》第253条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,以及窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。据此,目前我国法律并不禁止企业或个人从事个人信息相关业务,更不会禁止对信息的合理使用,刑法要反对的是违反国家规定,向他人出售、提供或非法获取公民个人信息的行为,并非只要从事与个人信息相关的非法业务均成立犯罪,因此,本罪的处罚范围是有限的。
除了行为手段的限制之外,本罪在行为对象上也有严格限制。本罪并不笼统处罚所有非法获取、提供信息、数据的行为,仅将与个人有关的信息作为保护对象。这一规定与网络安全法的相关规定相一致。该法第42条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。其第44条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
关于刑法上个人信息的概念及其外延是否必须和民法典、网络安全法以及个人信息保护法草案(二审稿)的规定保持一致,个人信息的可识别性是否需要坚持,在刑法学上存在争议,很值得探讨。
(一)刑法上个人信息概念的演进
我国个人信息保护的实践早期主要在刑事领域展开,而且从现有的治理侵犯公民个人信息的措施看,刑罚仍然承担着主要角色,且持一种严罚的态度。最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(2013年4月23日)规定,公民个人信息,包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。这是刑事司法解释中最早出现个人信息的概念,其在广义上把握个人信息,将识别个人身份或者涉及公民个人隐私的信息都包括在内。这种刑事司法取向,即使是在2016年网络安全法颁布之后,也没有大的调整。
根据《网络安全法》第76条第5项的规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络安全法基本属于在狭义上理解个人信息,将其界定为能够识别个人身份的信息,没有明确提到个人信息包括“涉及公民个人隐私的信息”。
此后,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日发布,以下简称“2017年刑事司法解释”),其也并未按照网络安全法的逻辑界定个人信息,而是对其有较大拓展,该解释第1条规定,《刑法》第253条之一规定的公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这样一来,在个人身份信息之外能够“反映特定自然人活动情况的各种信息”,也属于个人信息。对于这一解释,可以认为其比之前实施的网络安全法以及《关于依法惩处侵害公民个人信息犯罪活动的通知》中关于个人信息的界定还要宽泛,因为在2013年的通知中,个人身份之外的“公民个人隐私”可以成为个人信息。但是,在2017年的司法解释中,只要是“反映特定自然人活动情况的各种信息”,即便其不属于《民法典》第1032条与第1034条第3款规定的个人隐私,不涉及私人生活安宁,或者与私密空间、私密活动、私密信息无关,也是个人信息。例如,乙每天固定坐班车前往单位的行踪轨迹,也可能成为本罪的行为对象,行为人甲对被害人乙的日常生活轨迹进行技术追踪定位,然后将该信息非法提供给被害人的仇人丙,丙掌握领导乙的生活规律后,对离开班车后步行回家途中的乙实施绑架行为的,可以认定甲构成侵犯公民个人信息罪。
在2017年刑事司法解释实施之后,立法上进一步对个人信息概念进行了明确。根据《民法典》第1034条第2款的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法草案(二审稿)》第4条第1款规定,个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
通过上述梳理可以看出:①前述司法解释以及立法都试图厘清个人信息概念,在相关规定中,都重视信息在识别特定个人方面的功能发挥,采用列举与概括相结合的规范方式,其中关于“等信息”的规定,能够将需要保护的个人信息“兜得住”,不会形成利益保护方面的漏洞。单纯从文字表述上看,刑法中个人信息的外延与民法典以及个人信息保护法草案(二审稿)有所差异。但是,这样的差异基本上是无关紧要的。在刑事司法实践中,行为人所侵犯的个人信息,基本都是民事上常见的信息类型,且大多表现为多种信息的组合。例如,行为人一次性非法出售含有身份证号码、住所地址、手机号码、车牌号码、车辆品牌、机动车所有人、车辆识别代码等多种信息的案件在实践中屡见不鲜。②民法典或个人信息保护法草案(二审稿)中有明确规定,但刑事司法解释上未明确列举的信息类型,不等于刑法上不处罚。例如,《民法典》第1034条第2款将健康信息明确规定为个人信息。2017年刑事司法解释上并无类似规定。但是,实务上对于非法获取、提供慢性病监测系统病人信息的案件,仍然以本罪论处。此外,在民法典以及网络安全法中,都将生物识别信息明确规定为个人信息,在个人信息保护法草案(二审稿)第29条第2款中,将“个人生物特征”明确规定为个人敏感信息。但是,在2017年刑事司法解释中并无相关规定。不过,这丝毫不影响司法机关未来对非法获取、提供个人生物信息的行为认定为犯罪。例如,行为人如果使用“人脸识别软件”识别他人的人脸信息,或对人脸识别数据进行加工,然后提供给第三方的,完全可以构成本罪。③刑法上早期重视隐私,将其与个人身份信息并列,但是,近年来已经不再强调信息的隐私性质。但是,实务上,对于客观上与特定自然人相关联的隐私信息的保护非常重视,侵犯的个人信息涉及个人隐私的更容易成为定罪理由。例如,2016年12月至2017年4月,被告人朱仕展利用在青岛市公安局城阳分局指挥中心工作便利,私自利用民警边某的数字证书查询他人的“开房信息”700余条,贩卖给被告人兰倩倩,后者向被告人朱仕展支付人民币7万余元,法院以本罪判处被告人朱仕展有期徒刑3年2个月。④刑法和民法对个人信息保护的侧重点有所不同。在2017年刑事司法解释中特别将账号密码、财产状况明确列举出来,实务中对于财产信息的保护也特别看重。例如,被告人王敏利用其在宁波市不动产登记中心的工作便利,以每条70至100元的价格,向被告人陈建波出售公民个人房产信息190余条,法院认定被告人构成本罪。但是,在《民法典》第1034条第2款中并未明确列举账号密码、财产状况。而在《个人信息保护法草案(二审稿)》第29条第2款中,金融账户不仅是个人信息,而且是敏感个人信息。不过,由于财产所有者的财产状况、账户密码等信息总是和个人相关联,能够对应个人其他信息,因此,民法典与其他部门法或者2017年刑事司法解释之间的规范表述差异,并不意味着民法典的规定有缺漏。例如,行为人通过不法手段获取其他公民在网络上所注册使用的账号密码(如微信号、邮箱账户密码、支付宝账号等)的,这些账号的账户本身外在表现为数字符号,但账户内往往记载或者能反映出注册人的姓名、手机号、身份证号等个人信息,账号最终都指向具体个人。尤其是在2016年7月1日《非银行支付机构网络支付业务管理办法》实施之后,凡是具有支付功能的第三方支付账号都将要求实名认证后才可以使用。这些经过实名认证的账号具有极强的身份属性,可以理解为2017年刑事司法解释中的账号密码,也可以将其理解为包含了《民法典》第1034条第2款规定的自然人的姓名、身份证件号码等信息。此外,个人财产状况等信息也总是和个人相关联的,行为人非法购买公民户籍信息、机动车档案信息等公民个人信息,小区业主信息等,既涉及个人财产信息,也涉及个人身份信息。例如,被告人李某将自己在名为“成都楼盘信息”的通讯群中非法获取的数万条含有楼盘名称及楼栋号、业主姓名、业主电话的公民个人信息非法出售、提供的,法院认定被告人构成本罪,在这里,个人财产信息和身份信息密不可分,不能认为该行为仅违反2017年刑事司法解释的规定,而不违反《民法典》第1034条第2款的规定。
上述分析说明,关于个人信息的外延,刑法上的认识确实和其他部门法之间存在细微差别,不同部门法的规范目的不同,在概念使用上有所不同,这是非常正常的现象。但是,这丝毫不意味着刑法上的判断可以抛开民法典、网络安全法乃至个人信息保护法草案(二审稿)“另搞一套”;也并不是像有的学者所认为的那样,刑法中的个人信息可以不要求可识别性。
一方面,由于本罪的成立以违反国家有关规定为前提,那么,民法典、网络安全法以及个人信息保护法草案(二审稿)等前置法关于个人信息外延的规定对于定罪就会产生影响,这是法秩序统一性原理的内在要求。要遵循法秩序的统一性,就要防止将前置法上不具有违法性的行为在刑法上认定为犯罪。法秩序统一性要求在处理某一个行为时,所有的规范秩序不能相互矛盾,如果某种利益在民法上不受保护,刑法上却将针对该利益所实施的行为认定为犯罪,公众的自由行动就会不当受限。唯有民法、行政法等前置法所要反对的行为,才有可能成为犯罪行为。在刑法与民法规范的保护目的相一致的场合,刑法应当从属于民法,这是法秩序统一性的当然要求。对于本罪的成立而言,民法典、网路安全法乃至个人信息保护法草案(二审稿)对于个人信息外延的框定,为定罪提供支撑,同时成为刑法保护个人信息的最大边界。
当然,由于刑法的构成要件设计上存在缩小处罚范围的政策考虑,也由于刑法主要在与公民人身、财产权利相关联的意义上把握个人信息,因此,前置法上的违法行为中只有极小部分最终被作为本罪处理,刑法上必须做相对独立的违法性判断。“其他法域认为违法而刑法上亦应认定为违法这一推论,既非推论上的必然,亦非刑事政策与刑罚目的的彰显,因而刑法不可能为了追求‘逻辑的统一性’,而将所有民事违法行为、行政违法行为均认定为具有刑事违法性,只能将那些违法性达到值得科处刑罚程度的行为认定为具有刑事违法性,这就需要在一定程度上承认违法判断的‘相对性’。”在这个意义上可以认为,刑法实务上对于个人信息的把握,在很大程度上要小于民法典等前置法所划定的范围。
另一方面,个人信息和隐私这两个概念有所区别,但是二者之间存在交叉,不是对立的概念。《民法典》第1032条第2款规定,隐私是自然人的私生活安宁和不愿为人所知晓的私密空间、私密活动、私密信息。这里的私密信息与个人信息有区别也有联系:区别在于个人信息既包括私密信息,也包括非私密信息,其范围广于私密信息;联系是私密信息对个人有很强的识别性,其也属于个人信息的范畴。由此可见,有的数据信息既属于个人信息,又属于个人私密信息(隐私),例如,行踪轨迹、健康信息、手机定位等信息,可以认为其属于隐私,当其与个人的姓名、手机号码有关联时,其又属于个人信息。因此,认为“被害人的日常活动并不具有合理的识别性”的观点,未必站得住脚。更何况,从实践来看成为问题的那些行踪信息的获取都一定和特定的人直接关联,至少属于“姓名+行踪信息”的组合,将其作为可以识别个人的信息看待完全是没有问题的。对此,从《民法典》第1034条第2款规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的……行踪信息等”的表述中可以印证,即行踪信息仍然具有识别特定自然人的特征。换言之,刑法上的个人信息,既包括可以识别身份的个人信息,也包括极少数能够识别个人的隐私信息,只不过这种能够识别个人的隐私信息在2017年刑事司法解释中被表述为“反映特定自然人活动情况的各种信息”而已。如此一来,呼吁刑法学要在民法典等前置法之外另行提出个人信息概念的观点,既与学理不符,也与《民法典》第1034条第2款的规定相抵触。
(二)刑法中个人信息的具体把握
1.具有可识别性
个人信息必须与自然人相关联,而且与特定自然人相关联,同时具有识别性,即通过该信息已识别或者可识别特定自然人。
(1)个人信息必须与特定化的自然人关联,这是公民个人信息所具有的关键属性。个人信息要能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,因此,经过匿名化处理后无法识别特定个人且不能复原的信息,虽然也可能反映自然人的活动情况,但与特定的自然人无直接关联,不属于公民个人信息的范畴。
在有的案件中,行为人与他人交换信息,但其中企业注册登记信息的数量特别大,其中姓名采用代称(比如,记录为周经理、李总、等称呼或仅有王、冯等姓氏)的,无法识别到特定自然人,这些信息都属于经过匿名化处理的信息,在计算犯罪的个人信息数量时,应当予以剔除。此外,行为人在交换信息之前将信息打乱导致信息不真实(比如将不同名单的姓名和手机号码进行了对调)的,个人姓名虽然还存在,但该信息事实上经过了行为人的匿名化处理,无法对应特定自然人,不属于本罪的个人信息。
(2)个人信息经过处理后能否识别特定个人是一个相对的概念,对其的判断需要考虑国民的认同。随着大数据技术等信息技术的飞速发展,对信息进行处理的技术日益完善,很多单独看难以识别信息主体的信息(如购物喜好、饮食偏好、兴趣爱好、出行方式、交往圈子等),都可能通过足够的大数据画像等技术手段最终处理成能够识别具体个人的信息,尤其是有的网络公司在穷尽一切手段,收集到足够多的针对特定对象的海量数据之后,一定能够通过对信息的系统化处理能力的运用,在经过复杂的关联性分析后,能够对特定自然人进行辨识。那么,对于海量的信息必须结合在一起进行分析,且需要耗费大量人力物力,经过无数次技术处理或转化后才能指向特定自然人的,不应当视为这里的“可识别特定自然人”,否则对数据和信息的合理利用就会受到限制,互联网公司的利益和个人权利之间的平衡就会被打破。
2.属于有效的信息
信息必须有效,这是定罪时不能忽略的硬性要求。对于信息没有进行匿名化处理,但行为人为获取高额经济利益,提供重复信息以增加信息数量的,或者信息经多次流转,行为人获得的信息重复量大的,或信息明显虚假、无效(例如,手机号仅有10个数字,仅有座机号)的,这些信息由于其不能对应到具体公民,不属于本罪的个人信息。
在实务中,绝大部分案件在被告方提出信息无效、不真实的辩解之后,判决大多认为:被告人一方仅提出可能存在信息重复或不真实的辩解,但无确切依据,或未提供相关证据证实,公诉机关对涉案信息数量的认定方式符合法律规定,相关辩解与事实和法律不符,不予采纳。但是,在有的案件中,法官也未必对于指控的信息数量“照单全收”。对于无效或可疑信息,从目前判决看,大致有三种处理方式:①由于在案信息可能存在重复,他人非法使用这些信息的成功率也不高,因此,在量刑时酌情考虑从宽处罚。②在公诉机关指控信息和数据数量的基础上,从有利于被告人的角度将部分存疑的信息或数据予以剔除,就低认定涉案的信息和数据数量。③同案犯及被告人均供述非法获取的账号、密码大量存在错误,仅有一定比例能正常使用,最终按照供述的比例计算有效信息数量,或者按照辩护人随机选取数据所做实验记录的重复率在总数中予以扣除。上述三种处理方式均难言完美,但考虑到类似案件精准计算信息数量的困难程度,可以认为这些审判结果相对具有合理性。
3.对某些信息突显与个人行动自由的关联性,弱化可识别性
根据2017年《刑事司法解释》第5条第3项的规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,属于情节严重,构成本罪。由于侵犯行踪轨迹信息的入罪标准非常低,实践中应严格把握其范围,只宜理解为与个人行动自由(乃至人身安危)有关联的GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。据此,被认定为行踪轨迹信息的个人信息应当具备三个条件:①内容上应包含特定自然人的坐标信息;②精度上应达到GPS定位信息、车辆轨迹信息同等标准;③该信息应当系直接反映特定自然人坐标信息。例如,为索取债务,被告人许春耕、胡征宇先后购买7个GPS定位设备,由被告人施双金等人安装在郦某2可能驾驶的郦某2姐姐郦某1及其公司使用的五辆轿车上,被告人林毅平、胡征宇、许春耕通过在手机上查看车辆轨迹,与施双金四人相互配合、信息共享,共同查找郦某2的行踪,法院认定各被告人成立本罪共犯。这是将能够对被害人进行精准定位获取行踪轨迹的行为认定为犯罪,判决具有合理性。
这说明,虽然按照法秩序统一性原理,刑法和民法等前置法保护个人信息的规范目的并无根本差别,对于民法学者所提倡的个人信息权是一种新型的具体人格权,是“一项新兴的民事权利”的主张,在刑法学上也应该予以认可。不过,刑法上的个人信息概念与民法典等前置法相比可能更为限缩,这是由本罪的保护法益所决定的。对此,需要结合本罪在刑法分则中所处的位置进行体系解释。体系解释是要将个别的法律观念放到整个法律秩序中去考察规范的内在关联。体系解释包括无矛盾的要求、不赘言的要求、完整性的要求、以及体系秩序的要求等四方面的要求,其中,体系秩序的要求表明法律条文的编排都是有意义的。本罪规定在侵犯人身权利罪中,因此,个人对自身特定的可识别信息的自主权就成为本罪的保护法益,这是对个人意思自治、自我决定权的尊重。要构成本罪,就必须对这种自我决定权存在实际侵害或者现实危险。在这个意义上,也可以认为本罪是将特定情形下的故意杀人、抢劫、绑架、非法拘禁等罪的预备行为正犯化,行踪、定位等信息在与特定个人的行动自由、生命身体安全有紧密关联的意义上,具备广义的可识别性特征。那么,对于定位信息模糊或者存在重大偏离的情形,对于公民个人行动自由的危险较小,对于个人信息自主权的侵害不值得动用刑法保护,在民事领域按照侵权行为处理即为已足。
二、刑法中的个人信息分类
对于本罪的定罪,司法上坚持“定性+定量”的逻辑。个人信息越重要,定罪数量要求越低。为此,区分信息的重要程度就在刑法上成为无法绕开的问题。但是,刑事司法解释对于信息的分类与个人信息保护法草案(二审稿)等前置法并不相同,对此应当如何认识,也值得研究。
(一)刑法上个人信息的分类标准
刑法上的信息分类采用三分法:敏感信息、重要信息、一般信息。对此,在2017年《刑事司法解释》第5条中有明确规定,其中行踪轨迹信息、通信内容、征信信息、财产信息属于敏感信息;住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于重要信息;除此之外的其他信息则属于一般信息。对于不同的信息等级类型,定罪起点并不相同:非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上,非法获取、出售或者提供前述信息以外的公民个人信息5000条以上的,属于情节严重,可以构成本罪。
刑法基于法益保护的考虑,对个人信息类型做出的分类基本是合适的。通过对刑事司法实务的观察可见,侵犯公民个人信息罪大量表现为对公民普通身份信息(姓名、身份证号码、住址、电话号码等)的非法获取、提供。例如,被告人陈某为某街道社区卫生服务中心工作人员,其将获得的部分新生儿父母姓名、联系方式、家庭住址等内容的公民个人信息提供给他人,法院认定其构成本罪。又如,被告人刘宏受黑社会犯罪集团首要分子刘某请托,利用工作及职务便利条件,在公安部门的内网中帮助黑社会犯罪集团查询他人的户籍、住址等信息,法院以本罪判处其有期徒刑4年6个月。
对于非法获取、出售或者提供一般个人信息的认定,在实务中争议问题较少。一般而言,信息内容越详细,包含内容越多,越可能构成重要信息、敏感信息。例如,公诉机关指控被告人王某于2017年11月至2018年6月期间,以营利为目的,通过微信购买的方式从他人处非法获取行踪轨迹、住宿信息、车辆信息、户籍信息等各类公民个人信息后出售获利11万余元。由于本案被告人非法获取、提供的信息种类多,包含敏感信息和一般信息,对其定罪量刑不会出现分歧。但是,在某些争议案件中,敏感信息、重要信息的区分如何准确理解和把握是一个难题。
(二)刑法上个人信息分类所带来的复杂问题
1.关于财产信息和交易信息
按照2017年刑事司法解释的规定,财产信息属于刑法上的敏感信息,非法获取、出售或者提供50条以上就构成犯罪;交易信息则属于重要信息,非法获取、出售或者提供500条以上的,才构成犯罪。财产信息和交易信息在实践中有时候能够大致分清楚。例如,被告人张仪应他人要求,通过银行职员陈某、董某志、周某的职务便利查询大量储户信息,然后将其有偿查询到的储户姓名、身份证号码、银行卡号、账户余额、预留电话号码等信息出卖给他人,从中获利194553元,该储户信息可以认为是财产信息而非交易信息,即便储户可能用该账户从事股票交易,也应该认为其具有财产的静态性质。再如,被告人谢伟良违反国家有关规定,非法获取公民银行卡信息等资料,属于窃取他人敏感信息。
但是,有的情形下交易信息和财产信息的界限并不那么清晰。比如,行为人在某公司担任负责人期间,违反国家有关规定,通过电子邮件从他人处非法接收若干包含公民个人姓名、电话号码、房屋地址、房屋面积、交易金额或签约时间等信息的文档,内含共计400余条公民个人信息的,这种记载公民姓名、房屋地址、面积、交易金额的文档系交易信息还是财产信息?对于信息分类不同,有时候决定了罪与非罪。
对此通常应当认为,交易信息是能够揭示交易过程的信息,他人之前的房屋交易信息指向的是静态的房产,公民目前拥有房产但今后能否用于变现、能否实际成交还是一个疑问,因此,将房产信息一般作为交易信息而非财产信息看待,以区别于与人身、财产安全直接相关的敏感信息相对更为合适,非法获取、出售或者提供记载公民房产的信息500条以上的,才能构成本罪。
与房产信息紧密关联的是业主信息。实践中,非法获取、提供小区业主信息的案件很多。其中,有少数判决认为,业主资料中因为包含了房号、业主姓名、联系方式等内容,能够反映特定自然人的财产状况,属于财产信息、敏感信息。但是,也有一些法院倾向于认为,业主信息的财产属性很弱,侵犯这些信息的危害性、隐秘性有限,其至多属于重要信息。实务中,将业主信息认定为一般信息的判决占据绝大多数。
与此相关的还有车辆信息(包括车辆品牌、型号、号牌号码初次登记日期、机动车所有人及其登记住所、联系电话、抵押标记等内容的车档信息)问题,在信息种类上也可能存在交叉,这增加了认定的难度。
当然,房产信息、车辆档案信息是否绝对不能作为财产信息看待,也是值得讨论的。在极少数案件中,有的房产信息不仅涉及房产所有人的姓名、电话、身份证号、家庭成员、是否长期居住,还包括房屋详细位置、面积、交易价格、交易时间、装修程度、抵押或贷款等各种详细情况,其中的某些信息可能影响公民人身、财产安全,获取类似公民房屋信息的行为,实际上是掌握了公民的财产状况,根据案件的实际情况,将上述信息认定为敏感信息似乎也是有道理的,非法获取、出售或者提供50条以上的即可入罪。
当然,在区分财产信息和交易信息确实比较困难的场合,应当按照有利于被告人的原则确定信息种类。例如,有为数不少的判决认为,车辆档案信息、业主信息、房产信息等是否涉及个人财产安全,或能否对交易产生实际影响难以判断,因而直接将其认定为普通信息。笔者认为,这种做法也具有其合理性。
2.关于住址信息与住宿信息
按照2017年刑事司法解释的规定,住宿信息是可能影响人身、财产安全的个人重要信息,非法获取、提供500条以上的,即属于情节严重;住址信息则属于一般个人信息,非法获取、提供5000条以上的,才属于情节严重。
但是,这一解释将住宿信息一概作为重要信息看待未必合适。其实,对于住宿信息的归类似乎不能一概而论,如果该信息是大批量的,且仅涉及某个或某些酒店大量住宿者的姓名、身份证号、电话号码,只能视作普通信息;但这些信息中,如果包括个人具体房号、开房及退房时间等内容,则属于住宿信息,是重要信息。如果行为人获取的是特定个人长时间内出入住该酒店的情况、规律等,则还可能属于行踪轨迹信息,系敏感信息。
住址信息和住宿信息存在一定差异:家庭住址是固定的;住宿可能体现短期内个人的行踪轨迹,即便住宿时间较长,个人对于在宾馆住宿和在家里居住的感受显然也是有差异的。一般而言,基于对个人私生活通常处于平稳状态的评价,不宜将住址信息认定为可能影响人身、财产安全的住宿信息。因此,大多数判决还是将住址信息认定为普通信息。当然,如果行为人为他人提供被害人住址的导航定位信息,导致被害人在其家里被侵害的,该住址信息仅在与行踪轨迹有关的意义上成为敏感信息。但是,此时不考虑住址的信息归类,而考虑行为人是否非法提供行踪轨迹或定位信息,也能够对其犯罪性进行准确评价,因此,将住址信息与住宿信息同等看待甚至将其视作敏感信息的主张,并无存在必要性。
3.关于行踪轨迹信息和手机位置信息
行踪轨迹能够清晰反映个人的活动情况。从实践看,行踪轨迹信息系事关人身安全的高度敏感信息,无疑应纳入法律保护范围,且应当重点保护。因此,行踪轨迹信息是敏感信息。值得进一步研究的问题是手机位置信息的归类问题。如果将手机位置信息作为通讯记录,其仅属于重要信息,如果认为其能够对个人定位,则属于敏感信息。对二者的定罪数量要求不同。
对此应该认为,如果行为人通过一定程序能够获取未经个人授权的手机号码位置信息的,该信息既属于行踪轨迹信息,也属于通讯记录,应当将其作为敏感信息予以保护。例如,2017年7月,被告人韩军经营的被告单位神州伟智(天津)科技有限公司入驻“京东万象平台”,通过该平台对外出售未经信息主体授权的手机号码位置信息数据产品。2017年10月至2018年4月,被告人孔德玉通过“京东万象平台”花费28600元先后购买被告单位神州伟智(天津)科技有限公司出售的未经信息主体授权的手机号码位置信息数据产品,包括:位置反欺诈联通经纬度校验、位置反欺诈电信经纬度校验、位置反欺诈联通实时城市编码校验、位置反欺诈电信实时城市编码校验。被告单位神州伟智(天津)科技有限公司违法所得28600元归该公司所有。2017年10月,被告人孔德玉雇佣他人将其从“京东万象平台”购买的位置反欺诈联通经纬度校验、位置反欺诈电信经纬度校验、位置反欺诈联通实时城市编码校验、位置反欺诈电信实时城市编码校验、身份证实名认证返照片等数据用于制作“永途反欺诈”手机应用程序,并吸收注册会员使用。注册会员充值交费后,使用该应用程序可获取未经信息主体本人授权的电信、联通手机号码位置信息、居民身份证照片等公民个人信息。截止2018年4月,被告人孔德玉共收取注册会员充值16578.29元。法院认为,被告单位神州伟智(天津)科技有限公司违反法律规定,向被告人孔德玉出售手机号码位置等公民个人信息,情节严重,被告单位神州伟智(天津)科技有限公司及直接负责的主管人员被告人韩军构成侵犯公民个人信息罪;被告人孔德玉违反国家规定,向他人出售公民个人信息,情节严重,其行为构成侵犯公民个人信息罪。在本案判决中,法院并未明确交代手机位置信息属于敏感信息还是重要信息,但从学理上看,将其评价为敏感类信息的行踪轨迹是合适的。
(三)刑法上对个人信息的分类有必要进行调整
个人信息保护法草案(二审稿)将信息分为敏感信息和非敏感信息两类,其第29条规定,敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。
虽然不同部门法的规范目的并不相同,刑法对个人信息等级类型的确定有特定的规范目的考虑,据此做出不同于个人信息保护法草案(二审稿)的分类似乎也无可厚非。但是,2017年刑事司法解释将个人信息等级分得太细,其弊端也是很明显的:一方面,势必导致敏感信息和重要信息之间、重要信息和一般信息之间甚至敏感信息和一般信息之间均存在交叉、重合的问题,前述关于财产信息和交易信息难以辨明,关于住址信息与住宿信息纠缠不清,关于行踪轨迹信息和手机位置信息高度重合的分析都说明,将个人信息分为三级的做法是值得商榷的,由此导致不同法院对于信息的等级认定有别,在有的案件中罪与非罪的确定不统一,在有的案件中量刑差异很大,从而造成罪刑失衡。另一方面,在很多时候,信息的重要程度与其外在表现之间的关系较弱,而与信息的用途或者行为获取、提供信息的目的有关,例如,车辆信息抽象地看事关被害人的财产,但是,获取该信息的目的是为了确定个人行踪轨迹的,以及是为了向其推销保险或者促成二手车交易的情形,明显存在差别,因此,硬性地、笼统地将车辆信息确定为敏感信息、重要信息或一般信息,原本就比较困难。
因此,未来应该考虑在刑法上抛弃对于个人信息种类进行细分的思路,直接采用个人信息保护法的方案将个人信息区分为敏感信息和一般信息两种。对于一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息进行严格保护,规定相对较低的定罪数量标准。对于除此之外的一般信息规定相对较高的定罪数量标准,同时在行为人处理一般信息实施违法犯罪行为的对其数罪并罚,以防止轻纵犯罪人。
三、已公开的个人信息成为本罪对象的限定
(一)刑法上对处理已公开的个人信息的定性争议
对于未经被收集者同意,获取部分已在公众网络上公开的企业登记信息、征信信息并出售或提供给他人的情形是否定罪,实务上历来有争议。
1.有罪说
这是实务上一直以来的多数说(2017年《刑事司法解释》第5条第3项也将征信信息作为敏感信息进行保护,其中可能包含已公开的个人信息)。此说的基本主张是:个人信息与个人隐私不同。个人已公开的信息不再具有隐私特性,但仍不失其识别个人的功能,获取或者利用这样的信息仍然可能侵害个人私生活的安宁,危及公民人身或者财产权利,因此,从市场主体信息中剥离出来的个人姓名及身份证件号码、家庭住址、通讯方式等信息,仍然具有个人信息的本质属性。行为人未经个人同意从企业信息中将个人信息剥离出来进行处理的,可以成立本罪。例如,被告人田某使用QQ邮箱从他人处非法获取载有公民个人征信信息的文件,内有公民个人征信信息去重后计166条,法院认定被告人田某违反国家有关规定,非法获取公民个人信息,情节特别严重,其行为已构成侵犯公民个人信息罪。被告人黄某某为了推销贷款中介业务,以300元的价格,通过电子邮箱接收的方式,从其同事罗某处购买公民个人信息合计284条,其中个人征信报告224条,检察机关指控被告人构成本罪。
2.无罪说
实务中,少数判决认同无罪说。例如,法院认为,公诉机关指控被告人从他人处“获取的16165条信息中的6260条信息,司法审计书反映为法人信息,不属于公民个人信息,依法应予排除”。
无罪说的主要理由是:根据《企业信息公示暂行条例》(2014年)第8条的规定,企业应当于每年1月1日至6月30日,通过企业信用信息公示系统向工商行政管理部门报送上一年度报告,并向社会公示。其第9条规定,企业年度报告中应当包括企业通信地址、邮政编码、联系电话、电子邮箱等信息等内容。因此,企业根据法律法规规定或为经营所需而必须通过企业年度报告等文件公开其企业信息,上述信息已进入公共信息系统,任何人都可以公开查询,其中企业名称及法定代表人姓名、电话号码等内容,在市场监管部门设立的《国家企业信用信息公示系统》中能够轻易查询。在上述公开网络中存在的个人信息,既不涉及个人隐私,也包含着个人放弃权利的同意在内,即便法定代表人是自然人,但对与之相关的信息不应再视作个人信息,或者可以说成是“值得刑法保护的个人信息”并不存在,即使其中包含了个人的姓名、联系方式、手机号码等,也不属于本罪要保护的个人信息。
此外,根据《征信业管理条例》(国务院2013年1月21日发布)第21条的规定,征信机构可以通过信息主体、企业交易对方、行业协会提供信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等渠道,采集企业信息。企业在经营过程所公开的相关信息被征信机构采集后,其中的个人信息也就属于企业公开征信信息的范畴。从这个意义上讲,不能将刑法意义上的公民个人信息与企业征信信息所包含的自然人姓名及联系方式等信息绝对等同。这一观点能够得到《征信业管理条例》第13条的印证。该条明确规定:“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”这里的“企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息”即明确否定了与公开的企业信息有关的自然人身份信息不属于个人信息。成立侵犯公民个人信息罪须以行为违反国家有关规定为前提。对于这种前置法不再保护的已公开信息中的个人信息,将其作为本罪对象就是不合适的,否则就会不当扩大打击面。
最高人民检察院《检察机关办理侵犯公民个人信息案件指引》(高检发侦监字〔2018〕13号)指出,对于企业工商登记等信息中所包含的手机、电话等号码信息,应该“明确该号码的用途”。由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分“手机、电话号码等由公司购买,归公司使用”与“公司经办人在工商登记等活动中登记个人电话、手机号码”两种不同情形。这一指引似乎仍然坚持了已公开的信息中属于个人的信息是本罪对象的观点,但缺乏可操作性。因为在实行实名制购买手机号码的今天,手机号码由公司购买的情形本来就难以做到,手机号码是否归公司使用就更难以判断,最终的结局是一旦发生侵权的情形,即便是公司购买的手机号码,被害单位也可能主张公司和个人混用,从而总是能够得出行为人成立侵犯个人信息罪的结论。
(二)最新动向
对于从已公开的企业信息中获取公民个人信息的行为总体上定罪的态势,在民法典通过之后似乎得到了一定程度的扭转。2020年5月至7月,吴某在天眼查、企查查等网站下载公开的各地企业工商登记信息,梳理分类后共出售1.8万余条信息,获利1万余元。公安机关以涉嫌侵犯公民个人信息罪传唤吴某,后该案被移送至江苏省泰州医药高新区检察院审查起诉。检察官认为,公安机关根据2017年《刑事案件司法解释》第3条规定的“未经被收集者同意,将合法收集的公民个人信息向他人提供的”,属于提供公民个人信息,从而认定吴某的行为涉嫌本罪。但民法典自2021年1月1日起正式施行,给案件处理带来了新变化。《民法典》第1036条规定,合理处理该自然人自行公开的或者其他已经合法公开的信息的,行为人不承担民事责任。但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。根据这一规定,既然没有证据证实吴某出售合法公开信息的行为遭到权利人拒绝或侵害其重大利益,就不应当认定为构成侵犯公民个人信息罪。为此,检察机关建议公安机关撤案。2021年1月7日,公安机关对吴某解除取保候审,并予以撤案。
虽然这一动向的持续效果如何还有待观察,但是,如果对于从已公开的企业信息中获取公民个人信息的行为一概作无罪处理,这样的思考方式显然太粗放,而应当结合处理公开信息的目的和用途思考。
(三)合理的主张:获取、提供已公开的个人信息但改变信息公开的目的或者用途的可能成立本罪
对于行为人在公开的网络上(包括“企查查”“天眼查”等企业信息查询网站、裁判文书网站等)爬取已公开的企业登记信息,从中获取个人信息,再对这些已公开的个人信息进行有偿转让、出售的,也全部都属于对已公开的个人信息的合法处理,均不应当构成侵犯个人信息的犯罪?答案是否定的。
对此,需要特别关注民法典的相关规定。《民法典》第1036条强调,如果行为系对已公开的个人信息进行不合理处理的,仍然应当承担侵权责任。换言之,并不是所有对已公开的个人信息的处理行为都合法,法律对于“不合理地处理”已公开的个人信息的行为仍然持反对态度。
对于已公开的个人信息必须合理处理的进路,在个人信息保护法草案(二审稿)中得到了坚持。该法第6条规定,处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围,并采取对个人权益影响最小的方式。第13条第5项规定,“依照本法规定在合理的范围内处理已公开的个人信息”的,不需要取得个人同意。本条也特别强调仅在“合理的范围内”对于个人信息的获取、提供行为,不需要取得个人同意。第14条第2款规定,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人的同意。第28条更为明确地规定,个人信息处理者处理已公开的个人信息,应当符合该个人信息被公开时的用途。超出与该用途相关的合理范围的,应当依照本法规定取得个人同意。
1.个人公开其信息的目的以及信息的用途属于法益的内容
罗克辛教授认为,犯罪的本质是经验上可以把握的法益侵害,这样的理解会使得犯罪的现实形象不被冲淡,刑法的社会治理任务也就更易于完成。也就是说,法益与我们所能够感知的实存事物有紧密关联,如果没有能呼吸的个体、个人的身体行动、财物等具体概念,就不可能产生出生命法益、身体法益、自由法益、财产法益等概念。因此,有必要肯定实存的法益概念对于具体犯罪认定的意义。但是,是不是由此就必须将“法益处分的自由”理解为法益之外的东西,认为其与法益不同是一个有争议的问题。传统上通常坚持狭义的法益概念。例如,在行为人有意放弃特定法益时,通说就认为此时不存在法益关系错误,原则上就应该肯定被害人的承诺有效,违法性被阻却。如果一定要否定承诺效果去对被告人定罪,就不是相应的法益值得刑法所保护,而是法益之外的法益处分自由(意思决定的自由)本身被相应构成要件所保护。
近年来,有学者对此提出了质疑,认为法益处分自由也应包含在法益概念之中。例如,山口厚教授就认为,法益处分自由本身就是法益的构成要素,而不是全然不同于法益的其他东西。比如,在支付对价的场合实施欺骗的,也可能成立诈骗罪,就可以明确看出“法益处分自由”被作为财产法益的内容而受到保护。
按照这种逻辑可以认为,个人公开其信息的目的、信息的用途属于法益的一部分,而非法益之外的东西。按照民法学上的主流观点,个人信息权包括对信息的占有权、决定权、保护权、知情权、更正权、锁定权、遗忘权等内容。其中的知情权,是指信息主体对于任何组织或者个人如何处理个人信息的知晓权,如果已公开信息被不合理处理,包括被改变公开目的或者用途,但未取得个人同意的,都是对其知情权的侵害,既属于对个人信息权的损害,也属于对个人的法益处分自由的侵害。虽然企业法人的信息属于企业应当对社会公众公开的登记或企业运行信息,对于其中所涉及的已公开个人信息,他人可以通过工商登记网站对此类信息进行查询,但是,个人选择在企业公开的信息中,对于自己的姓名、通讯方式等予以公开有特定目的:使自己所在的企业的设立和运行符合国家行政主管机关的要求,为企业合法获取商业利益创造机会。因此,已公开的个人信息中,信息的内容成为法益保护对象,基于特定目的对信息的处分自由(对信息的最终决定权)也是法益的一部分。不可否定的是,“个人信息的失控将会打破社会交往过程的‘防火墙’,威胁与个人信息自决权相关的人身安全、财产安全及隐私安全等公民个体社会交往利益。《司法解释》第5条涉及的人身、财产安危危险及实害后果的特别罪量规定,正是充分体现了对信息失控后的公民个体社会交往利益威胁的附随保护”。
那么,对于处理已公开的个人信息且未偏离该信息公开的目的,没有改变其用途的行为,没有侵害法益主体的法益处分自由,对于这种尊重信息公开目的前提下的对个人信息的合理处理,民法典、网络安全法、个人信息保护法等前置法均不反对,该个人信息是权利主体自愿放弃保护的财物,且处分行为没有违背其处分财物的意思,其在刑法上的要保护性丧失,不属于刑法所保护的行为对象。
2.处理已公开的个人信息可以定罪的情形
按照民法典、个人信息保护法草案(二审稿)的相关规定,处理已公开的个人信息,仅在合理利用该信息的限度内不需要得到信息主体的同意,如果“处理该信息侵害其重大利益的”,就应当得到或重新取得个人的同意。“在有的情况下,自然人的个人信息虽然是自己主动公开或者是通过其他合法方式公开的,但若处理这些个人信息的行为损害该自然人重大利益的,行为人仍不能免除责任。例如,某人对外公开了自己的电话号码,但行为人却利用这些电话号码频频向某人发送垃圾短信或者拨打电话,严重滋扰了某人的生活安宁,此时,行为人仍应承担民事责任”。因此,处理个人信息明显违背个人公开其信息的目的,改变已公开信息的用途的,都有可能构成本罪。例如,互联网公司工作人员将其在工作中获取的个人已公开信息出售给体检机构,以便于后者拓展客源的,显然改变了个人公开其信息的目的和用途,可以构成本罪;再比如,通过公开征信系统获得他人手机号之后对个人进行追踪定位的,使他人的生命、身体陷入危险,也违背了他人公开其信息的目的和用途,该信息仍然属于本罪对象。
此时,再争论该已公开的个人信息是否属于个人隐私、注册登记是不是阻却违法,以及能否将处理已公开的个人信息推论为2017年《刑事司法解释》第3条规定的“未经被收集者同意”等,都没有意义。问题的关键是:个人基于何种目的放弃法益保护?如果个人信息根据政府有关部门的要求公开,被他人以非专业的技术手段轻易获取之后,用于电信诈骗业务,对该公开信息的处理既违反国家有关规定,也违背信息主体的处分意思,对于该信息仍然有利用刑法予以保护的必要。
3.实务上不宜定罪的情形
笔者认为,对于处理个人已公开的信息有以下情形的,不宜定罪:
第一,针对已公开的个人信息仅实施单纯获取或爬取、持有等行为的。由于行为人还没有将该信息予以批量出售、提供,很难判断他人后来对于该信息的使用目的是否与个人公开其信息时相同,也无法确定信息的用途是否被改变,难以得出行为人侵害被害人法益处分自由的唯一结论。
第二,获取、提供他人已公开的个人信息的目的是帮助行为人拓展业务的情形。企业注册登记或者将其信息在征信系统中收录,其目的是为了企业自身发展。行为人处理企业公开信息中包含的个人信息,如果与该企业的经营发展目的相一致的,应当认定该处理信息行为具有合理性。
例如,某些特定行业的从业人员为扩展业务范围、推销产品、开展市场营销,大量收集或向他人购买特定行业的企业注册登记信息(包括企业法定代表人的姓名、工作单位、手机号码等),或者与他人交换上述信息的,实务上倾向于认为个人信息被侵犯。此外,实务上将为了寻找潜在客户而获取、提供公开的个人信息的行为认定为犯罪的情形为数不少。但是,在上述案件中,行为人为了企业利益获取他人信息,但已公开信息所在企业也是为了开展市场营销等经济活动而存在的,因此,行为人获取、使用个人信息的行为与信息主体的目的之间具有大致相同性,其对信息的处理相对具有合理性。因此,不宜将为了扩展业务范围、推销产品、开展市场营销寻找潜在客户而获取、提供公开的个人信息的行为认定为犯罪。
第三,获取、提供他人已公开的个人信息的目的是为企业发展提供贷款等金融支撑的情形。企业的发展需要使用支付、结算器械,向企业推销此类产品不违背企业设立的目的。例如,对于为了推销POS机业务而接受罗某发送的邮件,其中包含公民个人征信信息共计456条的,法院认定被告人构成本罪。但是,这一定罪结论是否妥当还需要推敲。企业存在的目的是开展市场交易活动,为此,需要金融结算工具的支持。行为人获取企业登记信息然后向其推销POS机,不宜认定为违背企业公开其个人信息的经营目的,并未侵害个人的信息自主权。
此外,企业的存在一定需要资金支持,行为人为了帮助企业办理借款,在公开的互联网上获得企业信息及法定代表人身份证等信息,然后将该信息提供给小贷公司乃至职业放贷人的,均不构成本罪,因为企业自愿公开其个人信息的目的是获取贷款,将这些公开的个人信息用于与此有关的业务的,没有违背个人信息公开的目的,也未改变信息用途,该信息不值得动用刑法来保护。
据此,本文的基本结论是:对于获取企业注册登记信息、征信信息等公开信息中的个人信息,然后将其提供、交换给他人的,仅将信息数量作为区分罪与非罪的根据的思考方法过于简单化。对于已公开的个人信息的处理(获取、提供、交换、出售等),在与该信息公开的目的没有根本抵触的,无论被处理的信息数量到何种程度,都不宜定罪,该已公开的个人信息并非本罪行为对象。但是,处理已公开的个人信息侵害了被害人的法益处分自由,有以下情形之一的,应当成立本罪:①明显违背已公开个人信息的公开目的的;②明显改变已公开个人信息的用途的;③利用已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为的。
|