周光权:侵犯公民个人信息罪的行为对象

选择字号:   本文共阅读 287 次 更新时间:2022-02-06 14:33:50

进入专题: 侵犯公民个人信息罪     可识别性     信息分类  

周光权  
这是法秩序统一性原理的内在要求。要遵循法秩序的统一性,就要防止将前置法上不具有违法性的行为在刑法上认定为犯罪。法秩序统一性要求在处理某一个行为时,所有的规范秩序不能相互矛盾,如果某种利益在民法上不受保护,刑法上却将针对该利益所实施的行为认定为犯罪,公众的自由行动就会不当受限。唯有民法、行政法等前置法所要反对的行为,才有可能成为犯罪行为。在刑法与民法规范的保护目的相一致的场合,刑法应当从属于民法,这是法秩序统一性的当然要求。⑨对于本罪的成立而言,民法典、网络安全法乃至个人信息保护法草案(二审稿)对于个人信息外延的框定,为定罪提供支撑,同时成为刑法保护个人信息的最大边界。

   当然,由于刑法的构成要件设计上存在缩小处罚范围的政策考虑,也由于刑法主要在与公民人身、财产权利相关联的意义上把握个人信息,因此,前置法上的违法行为中只有极小部分最终被作为本罪处理,刑法上必须做相对独立的违法性判断。“其他法域认为违法而刑法上亦应认定为违法这一推论,既非推论上的必然,亦非刑事政策与刑罚目的的彰显,因而刑法不可能为了追求‘逻辑的统一性’,而将所有民事违法行为、行政违法行为均认定为具有刑事违法性,只能将那些违法性达到值得科处刑罚程度的行为认定为具有刑事违法性,这就需要在一定程度上承认违法判断的‘相对性’。”⑩在这个意义上可以认为,刑法实务上对于个人信息的把握,在很大程度上要小于民法典等前置法所划定的范围。

   另一方面,个人信息和隐私这两个概念有所区别,但是二者之间存在交叉,不是对立的概念。《民法典》第1032条第2款规定,隐私是自然人的私生活安宁和不愿为人所知晓的私密空间、私密活动、私密信息。这里的私密信息与个人信息有区别也有联系:区别在于个人信息既包括私密信息,也包括非私密信息,其范围广于私密信息;联系是私密信息对个人有很强的识别性,其也属于个人信息的范畴。由此可见,有的数据信息既属于个人信息,又属于个人私密信息(隐私),例如,行踪轨迹、健康信息、手机定位等信息,可以认为其属于隐私,当其与个人的姓名、手机号码有关联时,其又属于个人信息。因此,认为“被害人的日常活动并不具有合理的识别性”(11)的观点,未必站得住脚。更何况,从实践来看成为问题的那些行踪信息的获取都一定和特定的人直接关联,至少属于“姓名+行踪信息”的组合,将其作为可以识别个人的信息看待完全是没有问题的。对此,从《民法典》第1034条第2款规定“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的……行踪信息等”的表述中可以印证,即行踪信息仍然具有识别特定自然人的特征。换言之,刑法上的个人信息,既包括可以识别身份的个人信息,也包括极少数能够识别个人的隐私信息,只不过这种能够识别个人的隐私信息在2017年刑事司法解释中被表述为“反映特定自然人活动情况的各种信息”而已。如此一来,呼吁刑法学要在民法典等前置法之外另行提出个人信息概念的观点,(12)既与学理不符,也与《民法典》第1034条第2款的规定相抵触。

   (二)刑法中个人信息的具体把握

   1.具有可识别性

   个人信息必须与自然人相关联,而且与特定自然人相关联,同时具有识别性,即通过该信息已识别或者可识别特定自然人。

   (1)个人信息必须与特定化的自然人关联,这是公民个人信息所具有的关键属性。个人信息要能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,因此,经过匿名化处理后无法识别特定个人且不能复原的信息,虽然也可能反映自然人的活动情况,但与特定的自然人无直接关联,不属于公民个人信息的范畴。

   在有的案件中,行为人与他人交换信息,但其中企业注册登记信息的数量特别大,其中姓名采用代称(比如,记录为周经理、李总、等称呼或仅有王、冯等姓氏)的,无法识别到特定自然人,这些信息都属于经过匿名化处理的信息,在计算犯罪的个人信息数量时,应当予以剔除。此外,行为人在交换信息之前将信息打乱导致信息不真实(比如将不同名单的姓名和手机号码进行了对调)的,个人姓名虽然还存在,但该信息事实上经过了行为人的匿名化处理,无法对应特定自然人,不属于本罪的个人信息。(13)

   (2)个人信息经过处理后能否识别特定个人是一个相对的概念,对其的判断需要考虑国民的认同。随着大数据技术等信息技术的飞速发展,对信息进行处理的技术日益完善,很多单独看难以识别信息主体的信息(如购物喜好、饮食偏好、兴趣爱好、出行方式、交往圈子等),都可能通过足够的大数据画像等技术手段最终处理成能够识别具体个人的信息,尤其是有的网络公司在穷尽一切手段,收集到足够多的针对特定对象的海量数据之后,一定能够通过对信息的系统化处理能力的运用,在经过复杂的关联性分析后,能够对特定自然人进行辨识。那么,对于海量的信息必须结合在一起进行分析,且需要耗费大量人力物力,经过无数次技术处理或转化后才能指向特定自然人的,不应当视为这里的“可识别特定自然人”,否则对数据和信息的合理利用就会受到限制,互联网公司的利益和个人权利之间的平衡就会被打破。

   2.属于有效的信息

   信息必须有效,这是定罪时不能忽略的硬性要求。对于信息没有进行匿名化处理,但行为人为获取高额经济利益,提供重复信息以增加信息数量的,或者信息经多次流转,行为人获得的信息重复量大的,或信息明显虚假、无效(例如,手机号仅有10个数字,仅有座机号)的,这些信息由于其不能对应到具体公民,不属于本罪的个人信息。

   在实务中,绝大部分案件在被告方提出信息无效、不真实的辩解之后,判决大多认为:被告人一方仅提出可能存在信息重复或不真实的辩解,但无确切依据,或未提供相关证据证实,公诉机关对涉案信息数量的认定方式符合法律规定,相关辩解与事实和法律不符,不予采纳。但是,在有的案件中,法官也未必对于指控的信息数量“照单全收”。对于无效或可疑信息,从目前判决看,大致有三种处理方式:①由于在案信息可能存在重复,他人非法使用这些信息的成功率也不高,因此,在量刑时酌情考虑从宽处罚。②在公诉机关指控信息和数据数量的基础上,从有利于被告人的角度将部分存疑的信息或数据予以剔除,就低认定涉案的信息和数据数量。③同案犯及被告人均供述非法获取的账号、密码大量存在错误,仅有一定比例能正常使用,最终按照供述的比例计算有效信息数量,或者按照辩护人随机选取数据所做实验记录的重复率在总数中予以扣除。(14)上述三种处理方式均难言完美,但考虑到类似案件精准计算信息数量的困难程度,可以认为这些审判结果相对具有合理性。

   3.对某些信息突显与个人行动自由的关联性,弱化可识别性

   根据2017年《刑事司法解释》第5条第3项的规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的,属于情节严重,构成本罪。由于侵犯行踪轨迹信息的入罪标准非常低,实践中应严格把握其范围,只宜理解为与个人行动自由(乃至人身安危)有关联的GPS定位信息、车辆轨迹信息等可以直接定位特定自然人具体坐标的信息。据此,被认定为行踪轨迹信息的个人信息应当具备三个条件:①内容上应包含特定自然人的坐标信息;②精度上应达到GPS定位信息、车辆轨迹信息同等标准;③该信息应当系直接反映特定自然人坐标信息。例如,为索取债务,被告人许春耕、胡征宇先后购买7个GPS定位设备,由被告人施双金等人安装在郦某2可能驾驶的郦某2姐姐郦某1及其公司使用的五辆轿车上,被告人林毅平、胡征宇、许春耕通过在手机上查看车辆轨迹,与施双金四人相互配合、信息共享,共同查找郦某2的行踪,法院认定各被告人成立本罪共犯。(15)这是将能够对被害人进行精准定位获取行踪轨迹的行为认定为犯罪,判决具有合理性。

   这说明,虽然按照法秩序统一性原理,刑法和民法等前置法保护个人信息的规范目的并无根本差别,对于民法学者所提倡的个人信息权是一种新型的具体人格权,是“一项新兴的民事权利”的主张,(16)在刑法学上也应该予以认可。不过,刑法上的个人信息概念与民法典等前置法相比可能更为限缩,这是由本罪的保护法益所决定的。对此,需要结合本罪在刑法分则中所处的位置进行体系解释。体系解释是要将个别的法律观念放到整个法律秩序中去考察规范的内在关联。体系解释包括无矛盾的要求、不赘言的要求、完整性的要求以及体系秩序的要求等四方面的要求,其中,体系秩序的要求表明法律条文的编排都是有意义的。(17)本罪规定在侵犯人身权利罪中,因此,个人对自身特定的可识别信息的自主权就成为本罪的保护法益,这是对个人意思自治、自我决定权的尊重。要构成本罪,就必须对这种自我决定权存在实际侵害或者现实危险。在这个意义上,也可以认为本罪是将特定情形下的故意杀人、抢劫、绑架、非法拘禁等罪的预备行为正犯化,行踪、定位等信息在与特定个人的行动自由、生命身体安全有紧密关联的意义上,具备广义的可识别性特征。那么,对于定位信息模糊或者存在重大偏离的情形,对于公民个人行动自由的危险较小,对于个人信息自主权的侵害不值得动用刑法保护,在民事领域按照侵权行为处理即为已足。

   二、刑法中的个人信息分类

   对于本罪的定罪,司法上坚持“定性+定量”的逻辑。个人信息越重要,定罪数量要求越低。为此,区分信息的重要程度就在刑法上成为无法绕开的问题。但是,刑事司法解释对于信息的分类与个人信息保护法草案(二审稿)等前置法并不相同,对此应当如何认识,也值得研究。

   (一)刑法上个人信息的分类标准

   刑法上的信息分类采用三分法:敏感信息、重要信息、一般信息。对此,在2017年《刑事司法解释》第5条中有明确规定,其中行踪轨迹信息、通信内容、征信信息、财产信息属于敏感信息;住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于重要信息;除此之外的其他信息则属于一般信息。对于不同的信息等级类型,定罪起点并不相同:非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上,非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上,非法获取、出售或者提供前述信息以外的公民个人信息5000条以上的,属于情节严重,可以构成本罪。

   刑法基于法益保护的考虑,对个人信息类型做出的分类基本是合适的。通过对刑事司法实务的观察可见,侵犯公民个人信息罪大量表现为对公民普通身份信息(姓名、身份证号码、住址、电话号码等)的非法获取、提供。例如,被告人陈某为某街道社区卫生服务中心工作人员,其将获得的部分新生儿父母姓名、联系方式、家庭住址等内容的公民个人信息提供给他人,法院认定其构成本罪。(18)又如,被告人刘宏受黑社会犯罪集团首要分子刘某请托,利用工作及职务便利条件,在公安部门的内网中帮助黑社会犯罪集团查询他人的户籍、住址等信息,法院以本罪判处其有期徒刑4年6个月。(19)

   对于非法获取、出售或者提供一般个人信息的认定,在实务中争议问题较少。一般而言,信息内容越详细,包含内容越多,越可能构成重要信息、敏感信息。例如,公诉机关指控被告人王某于2017年11月至2018年6月期间,以营利为目的,通过微信购买的方式从他人处非法获取行踪轨迹、住宿信息、车辆信息、户籍信息等各类公民个人信息后出售获利11万余元。(20)由于本案被告人非法获取、提供的信息种类多,包含敏感信息和一般信息,对其定罪量刑不会出现分歧。但是,在某些争议案件中,敏感信息、重要信息的区分如何准确理解和把握是一个难题。

   (二)刑法上个人信息分类所带来的复杂问题

1.(点击此处阅读下一页)

    进入专题: 侵犯公民个人信息罪     可识别性     信息分类  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 刑法学
本文链接:http://www.aisixiang.com/data/131365.html
文章来源:《清华法学》(京)2021年第2021第3期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统