三、“公民个人信息”的外延
(一)公民个人公开信息的处理
概览域外数据信息法律保护模式,美国主要采取隐私权保护模式,以隐私权为基础,通过大量判例逐步构建起了一套保护制度。而欧盟关于数据信息的保护,则是从法律上将数据信息视为人格权的延伸。[5]但是,“国际社会对个人信息的保护目的远超隐私利益,是在全面的个人基本权利意义上设计个人数据保护规则的”。[6]对于“个人隐私”的范围本身存在不同认识,但通常认为,个人信息与个人隐私之间虽有交叉但亦有区别。《解释》第一条没有采用“涉及个人隐私信息”的表述,而是表述为“反映特定自然人活动情况的各种信息”。因此,公民个人信息不要求具有个人隐私的特征。即便相关信息已经公开,不属于个人隐私的范畴,但仍有可能成为“公民个人信息”。然而,相关公民个人信息既然已经公开,获取行为无疑是合法的,但后续出售、提供的行为是否合法,是否构成侵犯公民个人信息罪,则在司法实践中存在争议。例如,行为人从商贸网站和政府部门公开的企业信息网上搜集企业公开发布的信息,包括公司的名称、产品、经营行业、注册信息和公司法定代表人、联系人的姓名、职务、联系方式等。行为人将上述信息存入数据库,供他人付费查询使用。该案例的主要争议就在于公民个人公开信息是否属于刑法第二百五十三条之一规定的“公民个人信息”的范畴,非法获取、出售、提供此类公民个人信息的,是否构成侵犯公民个人信息罪?本书主张不应一概而论,宜区分情况作出处理:
其一,对于权利人自愿公开、甚至主动公开的公民个人信息,行为人获取相关信息后出售、提供的行为,目前不宜以侵犯公民个人信息罪论处。主要考虑如下:(1)关于公民个人信息的权利属性,存在不同看法。但一般认为,公民个人信息一定程度上是从隐私权中分离出来的权利。特别是在我国,以往对公民个人信息的界定直接采用了“涉及个人隐私”的表述。[7]因此,侵犯公民个人信息罪所保护法益的重要方面应当为隐私和生活安宁。由于行为人自愿公开、甚至主动公开相关个人信息,将其获取后并出售或者提供的行为,通常不会对权利人的隐私和生活安宁造成侵犯,不宜适用侵犯公民个人信息罪。特别是,有些情形下行为人希望相关信息传播,如涉及公民个人信息的广告信息和商贸信息,将其认定为犯罪明显违背一般人的认知。(2)根据刑法第二百五十三条之一的规定,向他人出售或者提供公民个人信息构成侵犯公民个人信息罪,须以“违反国家有关规定”为前提。为稳妥起见,对于相关情形追究刑事责任,应当进一步审查出售、提供行为是否违反法律、行政法规、部门规章的禁止性规定。[8]对于权利人自愿公开、甚至主动公开的公民个人信息,经整理后(未形成新的信息内容)向他人提供的行为,是否可以推定被收集者存在概括同意,从而无须就出售或者提供行为再次获得被收集者同意,实践中存在不同认识。本书认为,关于公开公民个人信息获取后出售或者提供的行为,是否需要权利人“二次授权”,目前我国相应的法律法规和部门规章缺乏明确规定。在此背景下,除相关权利人要求“二次授权”的外,宜推定存在概括同意,不宜对收集后出售或者提供的行为要求“二次授权”,也就不应认为行为人出售或者提供公民个人信息的行为系“违反国家有关规定”。(3)当前,我国侵犯公民个人信息违法犯罪泛滥,公民个人信息保护水平整体不高。在此背景下,对侵犯公民个人信息罪的适用应当主要以涉侵犯未公开的公民个人信息案件为重点,切实加大对公民个人信息的刑事保护水平。否则,由于涉出售、提供公开公民个人信息的案件侦办难度相对较小,公安机关可能以此类案件为打击重点,反而会造成对未公开的公民个人信息刑事保护的不力,长此以往,可能会偏离侵犯公民个人信息罪的立法旨趣和修法精神。
其二,对于行为人非自愿公开或者非主动公开的公民个人信息,行为人获取相关信息后出售、提供的行为,可以根据情况以侵犯公民个人信息罪论处。实践中,有些公开信息并非权利人自愿公开,如个人信息被他人通过信息网络或者其他途径发布;有些信息并非权利人主动公开,如有关部门为救济、救助或者奖励而公示的公民个人信息[9];有些信息的扩散并非权利的人的意愿,如权利人发现个人信息被收集后主动要求行为人删除。上述情形中,获取相关信息的行为可以认定为合法,但后续的出售或者提供行为明显违背了权利人意愿,对其个人隐私和生活安宁造成侵犯,对其中情节严重的行为完全可以适用侵犯公民个人信息罪予以惩治。
(二)公民个人部分关联信息的认定
公民个人信息须与特定自然人关联,这是公民个人信息所具有的关键属性。因此,经过处理无法识别特定个人且不能复原的信息,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不能成为公民个人信息的范畴。对于与特定自然人的关联,可以是识别特定自然人身份,也可以是反映特定自然人活动情况。需要注意的是,无论是识别特定自然人身份,还是反映特定自然人活动情况,都应当是能够单独或者与其他信息结合所具有的功能。例如,身份证号与公民个人身份一一对应,可以单独识别公民个人身份;而工作单位、家庭住址等无法单独识别公民个人身份,需要同其他信息结合才能识别公民个人身份。但是,上述两类信息无疑都属于公民个人信息的范畴。
对于不能单独识别特定自然人身份或者反映特定自然人的活动情况的部分关联信息中的哪些信息可以纳入“公民个人信息”的范畴[10],即公民个人信息所要求的可识别程度,实践中又存在不同认识。例如,行为人系医药代表,基于对医生给予回扣的目的,从医院计算机主管处非法获取了有关病床使用其负责销售的药品情况。相关信息只涉及病床号(相应病床由特定医生负责)和使用特定药品情况,无病人姓名、身份证号等其他个人信息。该案例的主要争议问题在于如何认定公民个人信息的可识别性。本书主张,在司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”时,可以从信息本身的重要程度、需要结合的其他信息的程度、行为人的主观目的等三个方面加以判断。具体而言:(1)信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关,敏感程度较高,则对于此类信息在认定是否属于“公民个人信息”时,可以采取相对从宽的标准。(2)需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高,需要结合的其他信息相对较少,则认定为“公民个人信息”的可能性较大;反之,如果需要结合的其他信息过多,则认定为“公民个人信息”的可能性较小。(3)行为人的主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况,则此类部分关联信息一般不宜认定为“公民个人信息”。按照以上原则,上述案件所涉信息不宜纳入“公民个人信息”的范畴。主要考虑如下:该案涉及的病床号、用药情况等信息本身与权利人的人身安全、财产安全关联不大,敏感性程度较低,将其认定为公民个人信息宜从严把握;该案涉及的病床号、用药情况等信息无法直接识别特定自然人,需要结合姓名等其他重要个人信息或者较多其他个人信息才能识别特定自然人;从行为人的主观目的来看,其就是想获取特定病床号的用药情况,至于该病床所关联的具体自然人并非其主观所追求的。
(三)公民个人账号密码的属性
对于“账号密码”能否纳入“公民个人信息”的范围,存在不同认识。经研究认为,实际上,当前账号密码往往绑定身份证号、手机号码等特定信息,即使未绑定特定信息,非法获取账号密码后也可以实施进一步的侵犯财产、甚至人身的行为。故而,将“账号密码”列明,有利于保护公民个人信息安全和合法权益。基于此,《解释》第一条明确将“账号密码”列为“公民个人信息”的范围。
顺带提及的是,对于IP地址、设备ID等信息[11]和cookie信息[12]是否属于公民个人信息,存在较大的争议。以cookie信息为例,用户的cookie信息反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但是否属于公民个人信息存在不同认识:一种观点认为,这些信息无法确定具体的信息归属主体,其终端是浏览器,没有定向识别使用该浏览器的网络用户身份。而且,如果将这些信息纳入公民个人信息的范畴,将使得精准广告业务被完全禁止,不符合产业发展趋势。另一种观点认为,浏览器背后是特定用户,且多数浏览器终端是特定用户长期使用,故这些信息实际上具有识别用户身份的特征,而且精准广告投放的目标也是针对浏览器背后的用户,故这些信息应当被纳入公民个人信息的范畴。对于上述问题,本书主张不作一概而论,应当根据案件具体情况作出判断。申言之,应当根据公民个人信息所有具有的“识别特定自然人身份或者反映特定自然人活动情况”这一关键属性,对上述信息是否属于公民个人信息作出判断。[13]
[1]参见刘涛:《关于刑法第二百五十三条之一第二款有关内容理解问题的研究意见》,载张军主编:《司法研究与指导》(总第1辑),人民法院出版社2012年版,第185页。
[2]参见赵秉志主编:《刑法修正案(七)专题研究》,北京师范大学出版社2011年版,第150页。
[3]顺带提及的是,对于行政犯的相关术语的界定不必完全受限于相关行政法律法规的规定。例如,信用卡犯罪无疑属于行政犯,但《全国人民代表大会常务委员会关于〈中华人民共和国刑法〉有关信用卡规定的解释》规定:“刑法规定的‘信用卡’,是指由商业银行或者其他金融机构发行的具有消费支付、信用贷款、转账结算、存取现金等全部功能或者部分功能的电子支付卡。”而1999年中国人民银行颁布的《银行卡业务管理办法》第五条第一款明确规定:“银行卡包括信用卡和借记卡。”明显可见,立法解释将刑法中的“信用卡”等同于银行卡,并没有受制于相关行政规定。
[4]参见钟丽、范冬明:《胡某等非法获取公民个人信息案》,载《刑事审判参考》(总第99集),法律出版社2015年3月版。此外,有案例分析进一步指出:“公民个人信息的本质特征在于隐私性和可识别性。手机定位可以指向特定信息主体,能够显示出被害人的活动轨迹,侵犯了其隐私权,因此属于刑法中的公民个人信息。”姜金良、袁海鸿:《手机定位属于刑法中的公民个人信息》,载《人民司法》2013年第16期。
[5]参见来小鹏:《数据信息法律保护模式思考》,载《中国审判》2017年第3期。
[6]参见高富平:《法律应如何保护个人信息》,载《中国审判》2017年第3期。实际上,从世界范围来看,对于个人信息的保护,已经逐渐过渡到将个人信息作为独立的权利加以保护。
[7]《关于加强网络信息保护的决定》第一条第一款明确规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”《惩处公民个人信息犯罪通知》也明确规定“公民个人信息”包括“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。
[8]根据《解释》第三条第二款的规定,将合法收集的公民个人信息向他人提供的,属于“提供公民个人信息”,但此种情形是否构成侵犯公民个人信息罪,还需要进一步判断是否“违反国家有关规定”。
[9]参见赵秉志:《公民个人信息刑法保护问题研究》,载《华东政法大学学报》2014年第1期。
[10]与其他信息结合可以识别特定自然人的部分关联信息,无疑不能全部纳入“公民个人信息”的范畴。因为在大数据时代,就理论上而言,任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人活动情况。所以,必须为可以纳入“公民个人信息”范畴的部分关联信息划定界限。
[11]软件收集的用户终端数据一般分为三类:第一类是系统信息,即终端计算机操作系统和硬件系统的配置信息,包括用户的IP地址、设备ID等信息(被收集后可以用于精准广告投放);第二类是软件信息,即用户下载、购买和使用各种应用软件所涉及的信息,如杀毒软件对用户访问的网站进行云调查、对用户计算机上的新文件(包括下载、传输、拷贝等)进行自动扫描获取的信息;第三类是个人信息,即在使用中需要输入的姓名、地址等信息。目前,存在争议的主要是前两类信息。
[12]cookie是网站为了辨别用户身份、跟踪而储存在用户本地终端上的数据。网站可以利用cookie跟踪统计用户访问网站的习惯,记录用户登录信息。
[13]对此,有论者作了结论基本一致的阐释:“这些网络信息需要与现实世界的公民相对应、相联系,能否辨别、查找公民个人(及其身份信息)以及能够显示出相应公民的个人嗜好、上网习惯、疾患等个人隐私。反之,如果这些网络信息不具有可识别性,不能与生活现实中具体的公民个人直接相对应、相联系的,则不属于公民个人信息。”参见曲新久:《论侵犯公民个人信息犯罪的超个人法益属性》,载《人民检察》2015年第11期。