侵犯公民個(gè)人信息犯罪中“公民個(gè)人信息”范圍探析

詹星

摘 要：公民個(gè)人信息構(gòu)成要素中最重要的標(biāo)準(zhǔn)是識(shí)別性。根據(jù)識(shí)別方式，公民個(gè)人信息分為可以直接識(shí)別和可以間接識(shí)別的信息。間接識(shí)別應(yīng)當(dāng)遵循合理性標(biāo)準(zhǔn)，倘若行為人所在領(lǐng)域的一般人利用某個(gè)人信息并通過(guò)合理的途徑進(jìn)行查詢后即可識(shí)別到個(gè)人，該信息屬于可以間接識(shí)別的公民個(gè)人信息。收集已經(jīng)在網(wǎng)上公開(kāi)的公民個(gè)人信息再向他人出售的行為是否違法的重要判斷依據(jù)是作為信息權(quán)主體的公民個(gè)人是否對(duì)其個(gè)人信息作出承諾或概括同意。

關(guān)鍵詞：合理性標(biāo)準(zhǔn) 間接識(shí)別 概括同意

隨著科技和網(wǎng)絡(luò)的迅速發(fā)展，公民個(gè)人信息承載了越來(lái)越多的內(nèi)容和利益，成為犯罪分子實(shí)施犯罪的工具，侵犯公民個(gè)人信息犯罪呈爆發(fā)式增長(zhǎng)?！皟筛摺痹?017年5月聯(lián)合發(fā)布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（以下簡(jiǎn)稱《侵犯?jìng)€(gè)人信息問(wèn)題解釋》），對(duì)刑法第253條之一規(guī)定的“侵犯公民個(gè)人信息罪”在司法實(shí)踐中的具體適用作出了詳細(xì)的規(guī)定。這一定程度上增加了法條的可操作性，也對(duì)一些模棱兩可的問(wèn)題起到了一定的定紛止?fàn)幾饔?。目前，盡管不少爭(zhēng)議問(wèn)題已經(jīng)借助該解釋逐步得以解決，但由于實(shí)際情況的復(fù)雜性，仍有部分問(wèn)題存在較大爭(zhēng)議，同案不同判的現(xiàn)象也較為常見(jiàn)。因此本文結(jié)合司法實(shí)踐中仍存在的問(wèn)題，對(duì)侵犯公民個(gè)人信息罪的入罪邊界進(jìn)行探討。

一、公民個(gè)人信息的識(shí)別標(biāo)準(zhǔn)

判斷是否構(gòu)成侵犯公民個(gè)人信息罪，第一步須確認(rèn)行為人所侵犯的是否系公民個(gè)人信息。一般認(rèn)為，公民個(gè)人信息的構(gòu)成要素有二，即實(shí)質(zhì)要素和形式要素。前者指?jìng)€(gè)人信息可以直接或間接識(shí)別到本人，后者指?jìng)€(gè)人信息必須得以固定和可以處理。[1]不管是我國(guó)法律還是域外法律，大多都將前者作為個(gè)人信息的判斷標(biāo)準(zhǔn)之一，也即“識(shí)別性”。我國(guó)早在2012年12月就出臺(tái)了《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（以下簡(jiǎn)稱《網(wǎng)絡(luò)信息保護(hù)的決定》），其規(guī)定了“國(guó)家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”。該決定雖未明確提出“個(gè)人信息”這一概念，但本質(zhì)上已打算將普通的電子信息和可識(shí)別個(gè)人身份的電子信息予以區(qū)分，同時(shí)對(duì)具有識(shí)別性的電子信息進(jìn)行特殊保護(hù)。2016年11月網(wǎng)絡(luò)安全法出臺(tái)，首次在法律層面對(duì)“個(gè)人信息”做了明確規(guī)定。[2]該定義采取的是“識(shí)別說(shuō)”標(biāo)準(zhǔn)。同時(shí)，域外法律如歐盟及其絕大多數(shù)成員國(guó)的法律也都明確采用“識(shí)別說(shuō)”來(lái)定義“個(gè)人信息”，如2018年歐盟出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》（GDPR）第4條規(guī)定，個(gè)人數(shù)據(jù)是指任何已識(shí)別或可識(shí)別的自然人相關(guān)的信息。[3]由此可見(jiàn)，信息的可識(shí)別性系其成為公民個(gè)人信息的重要標(biāo)準(zhǔn)。

二、公民個(gè)人信息的間接識(shí)別

識(shí)別過(guò)程中較為重要的是識(shí)別程度和識(shí)別方式。識(shí)別程度是指識(shí)別范圍的大小，例如根據(jù)電話和姓名，只能識(shí)別到一個(gè)個(gè)體。但如果根據(jù)姓名及其所讀小學(xué)，則可能存在兩個(gè)或兩個(gè)以上被識(shí)別到的個(gè)體。通常認(rèn)為，只有根據(jù)某個(gè)人信息，識(shí)別到具體的某個(gè)個(gè)體時(shí)，該個(gè)人信息才屬于“可識(shí)別”。識(shí)別方式通常分為直接識(shí)別和間接識(shí)別?！靶彰?電話號(hào)碼”這種個(gè)人信息屬于能夠直接識(shí)別到個(gè)人的信息;而諸如“姓名+所讀小學(xué)”等個(gè)人信息，因?yàn)槠渌R(shí)別到的個(gè)體存在兩個(gè)或兩個(gè)以上，所以該信息不屬于能夠直接識(shí)別的信息。至于其是否屬于能夠間接識(shí)別個(gè)人的信息，需判斷該個(gè)人信息是否可以結(jié)合其他特征信息，如相貌、身高等，來(lái)識(shí)別到具體個(gè)人。如果可以，則“姓名+小學(xué)信息”屬于可間接識(shí)別的個(gè)人信息。能夠進(jìn)行直接識(shí)別的信息一般不存在爭(zhēng)議，存在模糊界限的僅是能夠間接識(shí)別的個(gè)人信息。

（一）間接識(shí)別需以合理方式進(jìn)行

間接識(shí)別通常需要借助其他信息進(jìn)行輔助識(shí)別。從理論上說(shuō)如果有足夠的精力和時(shí)間，任何看似微不足道的信息，都可以通過(guò)聯(lián)結(jié)其他信息的方式定位至具體個(gè)人。比如，看似不重要的個(gè)人飲食偏好，在單獨(dú)被犯罪分子獲取時(shí)，不能起到直接或間接識(shí)別的作用。但若再加上性別、體重、年齡、所在城市、消費(fèi)記錄等信息，則可能間接識(shí)別到具體的個(gè)人。此時(shí)需要解決的問(wèn)題是如何判斷某個(gè)信息是否屬于間接信息，該問(wèn)題也被稱為“識(shí)別的可能性問(wèn)題”。在大數(shù)據(jù)時(shí)代，雖然對(duì)眾多瑣碎信息進(jìn)行分析后即可能識(shí)別到具體個(gè)人，但間接識(shí)別必須考慮成本、數(shù)據(jù)處理技術(shù)。[4]換言之，在識(shí)別的可能性問(wèn)題上，應(yīng)強(qiáng)調(diào)以合理的方式進(jìn)行。在通過(guò)合理途徑對(duì)某些信息進(jìn)行分析對(duì)比后，若可以識(shí)別到個(gè)人則該信息屬于間接識(shí)別的個(gè)人信息，反之則不是。合理途徑是指簡(jiǎn)單的搜索或詢問(wèn)。申言之，如果行為人利用某些個(gè)人信息，經(jīng)過(guò)簡(jiǎn)單的搜索或詢問(wèn)后可識(shí)別至具體的公民個(gè)體，則該類信息屬于可以間接識(shí)別的個(gè)人信息。倘若需要花費(fèi)巨大精力或動(dòng)用很大的權(quán)力，如某些個(gè)人信息需要通過(guò)公安內(nèi)部系統(tǒng)查詢才能匹配到具體個(gè)人，則該信息不屬于可以間接識(shí)別的公民個(gè)人信息，因?yàn)槠渥R(shí)別途徑并不合理。

（二）間接識(shí)別是否合理需考慮識(shí)別主體差異問(wèn)題

間接識(shí)別的識(shí)別途徑是否合理，還需要考慮不同行為人之間的主體差異。歐盟工作組認(rèn)為，為確定手段是否合理，應(yīng)考慮所有客觀因素，如識(shí)別成本、識(shí)別耗時(shí)，以及識(shí)別所需要使用到的技術(shù)等。[5]筆者同意歐盟工作組提出的通過(guò)考慮所有客觀因素來(lái)判斷識(shí)別手段是否合理的做法。但筆者認(rèn)為，此處客觀因素的考慮應(yīng)當(dāng)結(jié)合行為人自身的情況進(jìn)行。具體而言，相同的識(shí)別手段會(huì)因?yàn)椴煌袨槿怂幍牡匚徊煌?，而?dǎo)致其合理性不同;如果不區(qū)分行為主體的具體情況，機(jī)械地認(rèn)定識(shí)別手段的合理與否，將會(huì)導(dǎo)致間接識(shí)別的個(gè)人信息的范圍被不合理地?cái)U(kuò)大。例如，同一組“姓名+學(xué)校考試成績(jī)”個(gè)人信息，被校長(zhǎng)用以識(shí)別具體學(xué)生與被學(xué)生用以識(shí)別所耗費(fèi)的成本和時(shí)間精力是不一樣的。如果該類個(gè)人信息被校長(zhǎng)所侵犯，則該類信息極有可能屬于間接識(shí)別的個(gè)人信息。因?yàn)樾ｉL(zhǎng)的權(quán)限很大，只要在其權(quán)限范圍之內(nèi)耗費(fèi)合理的精力即可查詢到具體的學(xué)生。但如果該類個(gè)人信息被學(xué)生所侵犯，則該組信息一般不屬于間接識(shí)別的個(gè)人信息，因?yàn)閷?duì)于學(xué)生而言，其可能需要耗費(fèi)巨大的時(shí)間精力成本才能根據(jù)該類信息查詢到具體的學(xué)生個(gè)體。

（三）應(yīng)當(dāng)從行為人所在領(lǐng)域的一般人的角度來(lái)判斷手段是否合理

由上可知，識(shí)別手段的合理與否還同侵犯公民個(gè)人信息的行為主體有關(guān)，因此判斷手段合理與否應(yīng)考慮犯罪者所在領(lǐng)域的具體情況，如犯罪者的知識(shí)背景、從事行業(yè)和職務(wù)權(quán)限等。申言之，如果某犯罪者所在領(lǐng)域的一般人根據(jù)某信息，花費(fèi)合理的時(shí)間和精力后仍不能識(shí)別到具體的公民個(gè)體，則該信息在行為人這里不屬于間接識(shí)別的公民個(gè)人信息。換言之，不能因?yàn)槟呈侄卧谄渌说念I(lǐng)域里面屬于合理手段，就推定該信息在行為人這里亦能通過(guò)該手段被合理識(shí)別。因此，某信息是否屬于可以間接識(shí)別的個(gè)人信息的重要標(biāo)準(zhǔn)是，行為人所在領(lǐng)域的一般人能否使用合理手段對(duì)該個(gè)人信息進(jìn)行識(shí)別。如果利用該信息可識(shí)別到具體個(gè)人，則該信息為間接識(shí)別的個(gè)人信息。反之則不是。在李某某、龔某某等人侵犯公民個(gè)人信息案中，法院認(rèn)為被告人出售含有電話號(hào)碼的個(gè)人信息的行為已經(jīng)觸犯了侵犯公民個(gè)人信息罪。其中大部分的個(gè)人信息中只有電話號(hào)碼，僅有少部分是電話號(hào)碼+名字。法院認(rèn)為，通過(guò)公民個(gè)人的電話號(hào)碼雖無(wú)法單獨(dú)識(shí)別公民個(gè)人身份，但在手機(jī)號(hào)碼實(shí)名制的大環(huán)境下，公民的手機(jī)號(hào)碼本身能夠與特定自然人直接關(guān)聯(lián)，在這種情況下結(jié)合其他個(gè)人信息可以識(shí)別出公民的個(gè)人身份，符合《侵犯?jìng)€(gè)人信息問(wèn)題解釋》中對(duì)公民個(gè)人信息范圍的規(guī)定，屬于公民個(gè)人信息。[6]

筆者并不認(rèn)同這一觀點(diǎn)。因?yàn)楸M管當(dāng)前環(huán)境下手機(jī)號(hào)碼已經(jīng)實(shí)名制，但手機(jī)號(hào)碼背后所對(duì)應(yīng)的公民身份只有具有相關(guān)權(quán)力的行政機(jī)關(guān)才能獲取，對(duì)于諸如被告人李某某、龔某某等普通民眾，其并不能獲取手機(jī)號(hào)碼所對(duì)應(yīng)的實(shí)名制的公民信息。也即其出售、提供僅有電話號(hào)碼的個(gè)人信息，并不會(huì)侵犯到公民的個(gè)人信息權(quán)。如果不考慮主體的差異性，則侵犯公民個(gè)人信息的處罰范圍將會(huì)被無(wú)限擴(kuò)大。例如，在大學(xué)校園中，每一位學(xué)生的校園卡號(hào)是與該學(xué)生的名字、身份證號(hào)碼、家庭住址等情況一一對(duì)應(yīng)的。倘若將僅僅出售、向他人提供學(xué)生校園卡號(hào)的行為也認(rèn)定為侵犯公民個(gè)人信息的行為，不僅不利于保障人權(quán)，而且實(shí)質(zhì)上已經(jīng)違反了罪刑法定原則。

因此筆者認(rèn)為，在認(rèn)定某個(gè)人信息是否屬于刑法所保護(hù)的公民個(gè)人信息時(shí)，應(yīng)當(dāng)嚴(yán)格遵守可識(shí)別性的標(biāo)準(zhǔn)。同時(shí)在間接識(shí)別中，應(yīng)當(dāng)采取識(shí)別可能性說(shuō)，需注意考慮主體獲取和匹配信息的差異性，不能無(wú)限擴(kuò)大侵犯公民個(gè)人信息罪的犯罪圈。

三、收集網(wǎng)上已經(jīng)公開(kāi)的公民個(gè)人信息再出售的行為不構(gòu)成犯罪

另外一個(gè)頗有爭(zhēng)議的問(wèn)題是，收集網(wǎng)站上已經(jīng)公開(kāi)的公民個(gè)人信息后出售的行為是否侵犯公民的個(gè)人信息？一般認(rèn)為，侵犯公民個(gè)人信息罪中的“公民個(gè)人信息”僅指未公開(kāi)的公民個(gè)人信息。但部分法院認(rèn)為已經(jīng)公開(kāi)的公民個(gè)人信息也屬于侵犯公民個(gè)人信息罪所保護(hù)的范疇。如在劉某侵犯公民個(gè)人信息案中，劉某通過(guò)網(wǎng)上查詢下載或從他人處購(gòu)買(mǎi)的方式收集企業(yè)法定代表人信息，之后再以一定的價(jià)格售賣(mài)給他人。一審法院認(rèn)為，企業(yè)法定代表人的姓名和電話屬于個(gè)人信息，其不因被公開(kāi)在網(wǎng)站上而失去個(gè)人信息的性質(zhì)。該信息不為一般人所知悉，具有保護(hù)價(jià)值，一旦被擴(kuò)散，將會(huì)對(duì)公民個(gè)人生活的安寧造成干擾，因此劉某的行為構(gòu)成侵犯公民個(gè)人信息罪。[7]國(guó)外的司法實(shí)踐一般不這樣認(rèn)為，如美國(guó)司法實(shí)踐中普遍認(rèn)為已經(jīng)公開(kāi)的、暴露在社會(huì)中的個(gè)人信息一般不再受到隱私權(quán)的保護(hù)。[8]我國(guó)大多數(shù)學(xué)者也認(rèn)為公民個(gè)人信息不包括依法公開(kāi)的個(gè)人信息。[9]

個(gè)人信息可分為高度公開(kāi)的個(gè)人信息（如姓名等）和私密的個(gè)人信息（如電話號(hào)碼、身體健康情況、行程蹤跡等）。 對(duì)于單獨(dú)的公開(kāi)的個(gè)人信息，刑法一般不保護(hù)，除非是多個(gè)公開(kāi)的個(gè)人信息組合起來(lái)可以識(shí)別到具體個(gè)人; 對(duì)于私密的個(gè)人信息， 刑法上一般只保護(hù)可識(shí)別到具體個(gè)人的信息。但基于實(shí)質(zhì)可罰性的立場(chǎng)，經(jīng)同意或者授權(quán)收集的，或者是收集已經(jīng)公開(kāi)發(fā)布的個(gè)人信息，不構(gòu)成犯罪。

對(duì)于前述劉某侵犯公民個(gè)人信息案，筆者認(rèn)為劉某的行為并沒(méi)有違法。企業(yè)法定代表人的姓名和電話是企業(yè)法定代表人自愿公布在網(wǎng)上的，因此倘若將公民個(gè)人信息理解為個(gè)人法益，則被害人同意的存在將阻卻他人收集公民個(gè)人信息行為的違法性。即使存在企業(yè)法定代表人的個(gè)人信息被他人強(qiáng)行或私自公布在網(wǎng)上的情況，但對(duì)不知情的第三者而言，其也沒(méi)有義務(wù)和能力去核實(shí)被公開(kāi)的公民個(gè)人信息是否系公民自愿公布。因此，對(duì)于已經(jīng)被公布在網(wǎng)上的公民個(gè)人信息，應(yīng)當(dāng)推定該個(gè)人信息系公民個(gè)人主動(dòng)披露的。但如果行為人明知該公民個(gè)人信息系被他人非法披露在網(wǎng)上，此時(shí)則可以推翻存在被害人同意的推定，進(jìn)而認(rèn)定行為人收集該類個(gè)人信息的行為實(shí)質(zhì)上侵犯了公民的個(gè)人信息。

另外，倘若將公民個(gè)人信息理解為超個(gè)人法益，這種收集企業(yè)法人電話和姓名的行為，并不會(huì)影響社會(huì)秩序，亦不會(huì)侵害超個(gè)人法益。因?yàn)樯鐣?huì)公眾在網(wǎng)上即可查詢到這些公民個(gè)人信息，且該查詢沒(méi)有影響網(wǎng)絡(luò)秩序和社會(huì)秩序。因此本文認(rèn)為，對(duì)于自愿公開(kāi)且未聲明排除他人收集的個(gè)人信息，行為人收集后向其他人提供或者出售的行為，因存在被收集者同意而不屬于違法行為。

對(duì)比大數(shù)據(jù)時(shí)代特有的網(wǎng)絡(luò)爬蟲(chóng)行為即可發(fā)現(xiàn)：判斷爬蟲(chóng)行為是否違法也是從判斷是否存在被收集者的同意入手。[11]在百度公司訴北京奇虎公司一案中，百度公司訴稱奇虎公司違背百度網(wǎng)站的爬蟲(chóng)協(xié)議，違規(guī)抓取百度公司網(wǎng)頁(yè)的內(nèi)容，屬于違法行為，構(gòu)成不正當(dāng)競(jìng)爭(zhēng)。法院在判決中也認(rèn)為，使用爬蟲(chóng)技術(shù)時(shí)若違背他人設(shè)定的Robots協(xié)議而收集他人的信息，則屬于“非法獲取公民個(gè)人信息”。[12]Robots協(xié)議雖不具有阻止他人強(qiáng)行收集信息的能力或效力，但其與刑法上的被害人的同意或概括同意相類似，其會(huì)在協(xié)議中注明他人可以收集哪些信息，他人不可以收集哪些信息，從而起到排除部分收集行為違法性的作用。因此，收集權(quán)利主體自愿公開(kāi)或發(fā)布的個(gè)人信息并出售的行為，并不違法。[13]但在權(quán)利人提供個(gè)人信息時(shí)明確限定了個(gè)人信息的用途或者根據(jù)行業(yè)習(xí)慣或行業(yè)慣例可以推知個(gè)人信息的用途時(shí)，行為人超越該用途使用個(gè)人信息的行為將觸犯侵犯公民個(gè)人信息罪。如貸款公司將其獲取到的貸款人個(gè)人信息另行提供或出售給他人的行為，將觸犯侵犯公民個(gè)人信息罪。因?yàn)閺馁J款行為和金融行業(yè)習(xí)慣中可以合理推知，權(quán)利人僅同意其個(gè)人信息被用于貸款流程中。

因此，在司法實(shí)踐中，要注意區(qū)分獲取行為和提供行為。獲取行為的合法并不必然導(dǎo)致提供行為的合法性。判斷兩行為是否合法，重點(diǎn)仍在于判斷權(quán)利人對(duì)個(gè)人信息給予了何種范圍和程度的同意（個(gè)人法益說(shuō)），以及判斷該行為是否影響了社會(huì)秩序（超個(gè)人法益說(shuō)）。