周光权:侵犯公民个人信息罪的行为对象

选择字号:   本文共阅读 267 次 更新时间:2022-02-06 14:33:50

进入专题: 侵犯公民个人信息罪     可识别性     信息分类  

周光权  

   内容提要:侵犯公民个人信息罪的相关司法解释和民法典、网络安全法以及审议中的个人信息保护法所采用的个人信息概念并不完全相同,但是,也都坚持信息的可识别性特征。刑法出于保护法益的考虑,更多地在与个人行动自由、人身安危及财产安全紧密关联的意义上把握这一概念。个人信息和隐私之间不是对立关系,具有私密性的健康信息、行踪信息明显具有识别特定自然人的功能,属于本罪的行为对象。刑法不宜在前置法之外另行提出独特的个人信息概念,否则,既可能冲击法秩序统一性原理,也与《民法典》第1034条第2款的规定相抵触。刑法上关于个人信息的分类可以与前置法不一致,但分类过于细碎可能带来罪刑关系失衡。对于获取企业注册信息、征信信息等公开信息,然后出售、提供、交换给他人的,信息数量成为定罪根据,这样的评价标准过于简单化。对于已公开的个人信息的获取或提供,在与该信息公开的目的基本一致时,无论处理信息多少都不宜定罪;处理已公开的个人信息,但违背该信息公开的目的或者明显改变其用途的,或者该信息被进一步利用后危及个人的人身或财产安全的,对该信息的处理侵害了被害人的法益处分自由(对信息的最终决定权),可以成立本罪。

  

   关 键 词:侵犯公民个人信息罪  可识别性  信息分类  已公开的个人信息  保护法益

  

  

   一、刑法中个人信息的概念及种类

   二、刑法中的个人信息分类

   三、已公开的个人信息成为本罪对象的限定

  

   在现代信息社会,个人信息一旦被非法获取就可能在网络中迅速扩散,有些敏感个人信息一旦脱离了合法的处理范围被泄露和使用,会给被害人造成巨大精神伤害,衍生出包括恶意人身骚扰、盗用他人名义注册、精准实施电信网络诈骗犯罪、绑架犯罪等各种复杂问题,网络“黑产”参与非法获取、提供个人信息还可能引发社会管理秩序的混乱。因此,对侵犯公民个人信息罪依法进行惩处极为必要。本文结合正在讨论中的个人信息保护法草案(二审稿)对侵犯公民个人信息罪的行为对象尤其是个人信息的范围、分类、公开性等三个问题进行探讨,厘清其与民法上相关概念的关联性与细微差异,以期消除刑事司法实务上的相关分歧。

   一、刑法中个人信息的概念及种类

   根据《刑法》第253条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,以及窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。据此,目前我国法律并不禁止企业或个人从事个人信息相关业务,更不会禁止对信息的合理使用,刑法要反对的是违反国家规定,向他人出售、提供或非法获取公民个人信息的行为,并非只要从事与个人信息相关的非法业务均成立犯罪,因此,本罪的处罚范围是有限的。

   除了行为手段的限制之外,本罪在行为对象上也有严格限制。本罪并不笼统处罚所有非法获取、提供信息、数据的行为,仅将与个人有关的信息作为保护对象。这一规定与网络安全法的相关规定相一致。该法第42条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。其第44条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

   关于刑法上个人信息的概念及其外延是否必须和民法典、网络安全法以及个人信息保护法草案(二审稿)的规定保持一致,个人信息的可识别性是否需要坚持,在刑法学上存在争议,很值得探讨。

   (一)刑法上个人信息概念的演进

   我国个人信息保护的实践早期主要在刑事领域展开,而且从现有的治理侵犯公民个人信息的措施看,刑罚仍然承担着主要角色,且持一种严罚的态度。①最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(2013年4月23日)规定,公民个人信息,包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。这是刑事司法解释中最早出现个人信息的概念,其在广义上把握个人信息,将识别个人身份或者涉及公民个人隐私的信息都包括在内。这种刑事司法取向,即使是在2016年网络安全法颁布之后,也没有大的调整。

   根据《网络安全法》第76条第5项的规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络安全法基本属于在狭义上理解个人信息,将其界定为能够识别个人身份的信息,没有明确提到个人信息包括“涉及公民个人隐私的信息”。

   此后,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日发布,以下简称“2017年刑事司法解释”),其也并未按照网络安全法的逻辑界定个人信息,而是对其有较大拓展,该解释第1条规定,《刑法》第253条之一规定的公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这样一来,在个人身份信息之外能够“反映特定自然人活动情况的各种信息”,也属于个人信息。对于这一解释,可以认为其比之前实施的网络安全法以及《关于依法惩处侵害公民个人信息犯罪活动的通知》中关于个人信息的界定还要宽泛,因为在2013年的通知中,个人身份之外的“公民个人隐私”可以成为个人信息。但是,在2017年的司法解释中,只要是“反映特定自然人活动情况的各种信息”,即便其不属于《民法典》第1032条与第1034条第3款规定的个人隐私,不涉及私人生活安宁,或者与私密空间、私密活动、私密信息无关,也是个人信息。例如,乙每天固定坐班车前往单位的行踪轨迹,也可能成为本罪的行为对象,行为人甲对被害人乙的日常生活轨迹进行技术追踪定位,然后将该信息非法提供给被害人的仇人丙,丙掌握领导乙的生活规律后,对离开班车后步行回家途中的乙实施绑架行为的,可以认定甲构成侵犯公民个人信息罪。

   在2017年刑事司法解释实施之后,立法上进一步对个人信息概念进行了明确。根据《民法典》第1034条第2款的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《个人信息保护法草案(二审稿)》第4条第1款规定,个人信息是以电子或者其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

   通过上述梳理可以看出:①前述司法解释以及立法都试图厘清个人信息概念,在相关规定中,都重视信息在识别特定个人方面的功能发挥,采用列举与概括相结合的规范方式,其中关于“等信息”的规定,能够将需要保护的个人信息“兜得住”,不会形成利益保护方面的漏洞。单纯从文字表述上看,刑法中个人信息的外延与民法典以及个人信息保护法草案(二审稿)有所差异。但是,这样的差异基本上是无关紧要的。在刑事司法实践中,行为人所侵犯的个人信息,基本都是民事上常见的信息类型,且大多表现为多种信息的组合。例如,行为人一次性非法出售含有身份证号码、住所地址、手机号码、车牌号码、车辆品牌、机动车所有人、车辆识别代码等多种信息的案件在实践中屡见不鲜。②②民法典或个人信息保护法草案(二审稿)中有明确规定,但刑事司法解释上未明确列举的信息类型,不等于刑法上不处罚。例如,《民法典》第1034条第2款将健康信息明确规定为个人信息。2017年刑事司法解释上并无类似规定。但是,实务上对于非法获取、提供慢性病监测系统病人信息的案件,仍然以本罪论处。③此外,在民法典以及网络安全法中,都将生物识别信息明确规定为个人信息,在《个人信息保护法草案(二审稿)》第29条第2款中,将“个人生物特征”明确规定为个人敏感信息。但是,在2017年刑事司法解释中并无相关规定。不过,这丝毫不影响司法机关未来对非法获取、提供个人生物信息的行为认定为犯罪。例如,行为人如果使用“人脸识别软件”识别他人的人脸信息,或对人脸识别数据进行加工,然后提供给第三方的,完全可以构成本罪。③刑法上早期重视隐私,将其与个人身份信息并列,但是,近年来已经不再强调信息的隐私性质。但是,实务上,对于客观上与特定自然人相关联的隐私信息的保护非常重视,侵犯的个人信息涉及个人隐私的更容易成为定罪理由。例如,2016年12月至2017年4月,被告人朱仕展利用在青岛市公安局城阳分局指挥中心工作便利,私自利用民警边某的数字证书查询他人的“开房信息”700余条,贩卖给被告人兰倩倩,后者向被告人朱仕展支付人民币7万余元,法院以本罪判处被告人朱仕展有期徒刑3年2个月。④④刑法和民法对个人信息保护的侧重点有所不同。在2017年刑事司法解释中特别将账号密码、财产状况明确列举出来,实务中对于财产信息的保护也特别看重。例如,被告人王敏利用其在宁波市不动产登记中心的工作便利,以每条70至100元的价格,向被告人陈建波出售公民个人房产信息190余条,法院认定被告人构成本罪。⑤但是,在《民法典》第1034条第2款中并未明确列举账号密码、财产状况。而在《个人信息保护法草案(二审稿)》第29条第2款中,金融账户不仅是个人信息,而且是敏感个人信息。不过,由于财产所有者的财产状况、账户密码等信息总是和个人相关联,能够对应个人其他信息,因此,民法典与其他部门法或者2017年刑事司法解释之间的规范表述差异,并不意味着民法典的规定有缺漏。例如,行为人通过不法手段获取其他公民在网络上所注册使用的账号密码(如微信号、邮箱账户密码、支付宝账号等)的,这些账号的账户本身外在表现为数字符号,但账户内往往记载或者能反映出注册人的姓名、手机号、身份证号等个人信息,账号最终都指向具体个人。尤其是在2016年7月1日《非银行支付机构网络支付业务管理办法》实施之后,凡是具有支付功能的第三方支付账号都将要求实名认证后才可以使用。这些经过实名认证的账号具有极强的身份属性,可以理解为2017年刑事司法解释中的账号密码,也可以将其理解为包含了《民法典》第1034条第2款规定的自然人的姓名、身份证件号码等信息。此外,个人财产状况等信息也总是和个人相关联的,行为人非法购买公民户籍信息、机动车档案信息等公民个人信息,小区业主信息等,既涉及个人财产信息,也涉及个人身份信息。例如,被告人李某将自己在名为“成都楼盘信息”的通讯群中非法获取的数万条含有楼盘名称及楼栋号、业主姓名、业主电话的公民个人信息非法出售、提供的,法院认定被告人构成本罪,⑥在这里,个人财产信息和身份信息密不可分,不能认为该行为仅违反2017年刑事司法解释的规定,而不违反《民法典》第1034条第2款的规定。

   上述分析说明,关于个人信息的外延,刑法上的认识确实和其他部门法之间存在细微差别,不同部门法的规范目的不同,在概念使用上有所不同,这是非常正常的现象。⑦但是,这丝毫不意味着刑法上的判断可以抛开民法典、网络安全法乃至个人信息保护法草案(二审稿)“另搞一套”;也并不是像有的学者所认为的那样,刑法中的个人信息可以不要求可识别性。⑧

一方面,由于本罪的成立以违反国家有关规定为前提,那么,民法典、网络安全法以及个人信息保护法草案(二审稿)等前置法关于个人信息外延的规定对于定罪就会产生影响,(点击此处阅读下一页)

    进入专题: 侵犯公民个人信息罪     可识别性     信息分类  

本文责编:陈冬冬
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 刑法学
本文链接:http://www.aisixiang.com/data/131365.html
文章来源:《清华法学》(京)2021年第2021第3期

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2022 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统