王雨嫣
(华东政法大学,上海 200333)
两高联合颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),将行踪轨迹信息纳入刑法中公民个人信息的范围。对于向他人提供公民行踪轨迹信息的行为,《解释》对此设置了极低的入罪门槛。由此可见,《解释》将行踪轨迹信息作为特别敏感信息加以规制,因其事关公民的人身安全以及财产安全,故设置了极低的入罪门槛。因此,在司法实践中,有必要严格认定“行踪轨迹信息”的范围。笔者通过检索近年来的司法判例,发现在司法实践中,对于行踪轨迹信息的认定仍旧存在不少困惑。
[案例2]被告人朱某通过微信向他人非法出售、提供公民民航订票、民航离港、铁路售票、出入境、车辆卡口、滴滴打车等信息。公诉机关认为上述信息属于行踪轨迹信息,并以朱某构成侵犯公民个人信息罪提起公诉,但法院并未予以认可。即,法院认为,上述信息并不属于行踪轨迹信息。
在上述两个案例中,司法机关对于出行记录能否认定为行踪轨迹信息的态度截然相反。学界中亦存在不同观点,例如有学者从行踪轨迹信息的“轨迹性”出发,只要公民的活动能够反映‘从哪里来到哪里去’的时空特征,就可以通过票证信息认定公民的行踪轨迹。根据其观点,车票、机票等购票信息也被囊括在行踪轨迹信息的范围内。也有学者认为,由于司法解释对于行踪轨迹信息规定较为严格,因此在实践中不宜扩大行踪轨迹信息的内涵。只有可以直接定位到公民的行踪信息才能被认定为行踪轨迹信息,并以此区分一般行踪信息和行踪轨迹信息。该学者注重于行踪轨迹信息的实时性,对于那些只有能反映公民实时位置的踪迹信息才能认定为行踪轨迹信息,笔者较为赞同第二种观点。
[案例3]被告人詹某锋利用在某派出所大厅值班之便,非法获取赵某的暂住地及相关信息,并贩卖给詹某。詹某转手卖给况某,况某则当晚至赵某的暂住房处,用尖刀捅死赵某。公诉机关将暂住地信息认定为“公民个人轨迹电子信息”,并对被告以侵犯公民个人信息罪提起公诉。笔者认为在本案中,司法机关将暂住地信息认定为行踪轨迹信息的做法应当是值得商榷的,理由将在下文中予以展开。
从上述三个案例可以看出,尽管法律将行踪轨迹信息作为公民个人信息加以保护,但并没有规定其内涵,也就导致司法实践中,对于行踪轨迹信息的认定标准并不一致,对于行踪轨迹信息的界定也存在困难。笔者认为,法律对行踪轨迹信息给予了高度保护,在认定行踪轨迹信息时,应当特别谨慎,防止不当扩大行踪轨迹信息的内涵。笔者认为,辨别一条公民个人信息是否属于行踪轨迹信息,仍应回归行踪轨迹信息的本质特征。
《解释》对于公民个人信息做出了详细定义。毫无疑问,行踪轨迹信息应当属于“反映自然人活动情况的各种信息”,则引发出一个问题,即行踪轨迹信息是否应具备“特定自然人身份的可识别性”?笔者对于这一问题持肯定回答。
首先,从文义解释的角度来看,有学者认为《解释》对公民个人信息规定了“识别特定自然人身份的信息”以及“反映特定自然人活动情况的信息”,两者之间为并列关系,应当将这两种信息区别看待,故而对于行踪轨迹信息并不要求可识别性。也就是说,行踪轨迹信息并不需要反映自然人的身份,笔者认为这种看法并不正确。《解释》对于“活动情况信息”之前用“特定自然人”加以限定,意味着该活动信息必须要与特定自然人对应起来。如此,也能体现出,行踪轨迹信息一旦被不法分子所获取,则可能对公民的人身、财产安全造成威胁。对于经“去识别化”的活动信息,由于其不能与特定自然人对应起来,故而无论是刑法还是民法等其他部门法都没有对其加以规制。从这一点也可以反证出行踪轨迹信息应当具备“可识别性”。
其次,就法秩序的统一性而言,新颁布的《民法典》在人格权一编中对于个人信息做出了明确规定,从民法的角度而言,行踪信息包括在公民个人信息中,同时对于行踪信息的要求明确了应当具备特定自然人身份的可识别性。而刑法作为维护社会稳定的最后一道法律,对于行踪轨迹信息的定义应当与其前置法保持一致,甚至应当设定更严格的要求,否则会导致刑法所保护的部分个人信息并没有纳入前置法的保护范围内,从而不当的扩大刑罚的处罚范围。此外,《解释》规定,对于向他人提供公民信息的行为,若提供的信息为“经过处理无法识别特定个人且不能复原的”,不认为向他人提供公民信息。也就是说,对于不能识别特定自然人身份的信息,不能认定为公民个人信息。
近年来,信息安全这一话题被不断提起,刑法中增设侵犯信息类犯罪,除保护公民的隐私权外,同时也保护公民的信息自决权,以及由上述权利引申出来的人身和财产权利。犯罪分子极有可能通过获取他人的行踪轨迹信息而实施强奸、故意杀人等严重危害人身安全的犯罪(见上述案例三)。换言之,行踪轨迹信息的高度敏感性不仅在于其反映了特定人的行踪信息,侵犯公民的隐私权利,且该信息极有可能被他人利用从而实施一些下游犯罪,侵犯公民的人身权利和财产权利。
光电发射光谱分析法测定钛合金中硅元素的分析范围在0.002%~0.7%,在此分析范围内选取两个钛合金样品,按照实验方法,考虑和避免了各种不利影响因素后,进行精密度试验,测定结果见表2。光电发射光谱分析法中精密度允许值如表3所示。从表2可知,RSD均小于5%,均在精密度允许值范围内,表明试验结果具有良好的精密度。
基于此,如果说可识别性是刑法中“公民个人信息”与民法等部门法中“公民个人信息”的共通之处,那么法益关联性则是区别所在。刑法的“最后一道防线”的特征决定了其只规制严重侵害法益的行为,其他对法益侵犯程度较轻的行为应当由民法、行政法等其他部门法规制,否则就有可能导致刑法的管辖范围不当扩大。只有当非法获取、泄露或出售的公民个人信息可能危害到公民人身权益或财产权益时,才能被刑法所规制。《解释》将行踪轨迹信息作为特别敏感信息加以规制,笔者认为亦有必要以法益关联性对行踪轨迹信息加以限制。也就是说对于与公民人身、财产权益关联度不高,造成危害可能性较小的个人活动信息,不应当认定为刑法中的“行踪轨迹信息”。
随着信息技术的发展,犯罪地点也发生了改变,传统犯罪逐渐从现实空间转向网络空间。那么人们在网络空间活动留下的浏览痕迹能否被视为行踪轨迹呢?笔者对此持否定的态度。以Cookie 信息为例,Cookie 是存储在用户本地终端上的数据,通常用于网站辨别用户身份以及在网站上行踪的记录(如用户浏览过的网页等)。在大数据时代网络服务提供者运用Cookie 获得用户反馈,通过读取Cookie 信息获取用户经常浏览的网页,判断用户的喜好,从而实现“精准投放广告”的用途。对于Cookie 信息中反映出来用户网络活动轨迹,应当说是不宜认定为行踪轨迹信息的。其一,Cookie 信息中虽然包含了用户的IP 地址,但仍处于网络空间,难以对应到现实地理位置,其敏感性程度不高。其二,根据《网络安全法》的规定,网络服务提供者在收集用户信息时,需要通过技术手段对用户信息进行“去识别化”,也就是说,即便网络服务提供者收集到了用户信息,也不能精准的确定到特定个人。如果说将网络空间的公民活动轨迹认定为刑法中的“行踪轨迹信息”,可能会加重网络服务提供者的负担以及监督责任,影响大数据技术的发展与应用。
需要注意的是,作为商业化应用的网络活动踪迹不宜认定为行踪轨迹信息,但网络服务提供者恶意收集、获取用户信息,通过分析其IP 地址定位到用户的现实位置,并获取特定自然人行踪轨迹信息,用于违法犯罪活动的,该IP 地址仍有可能构成公民的行踪轨迹信息。
首先,就动态性而言,前文所讲行踪轨迹信息应当为现实的地理位置信息,而现实中的地理位置信息可分为动态位置信息和静态位置信息。至于行踪轨迹信息属于静态位置信息或动态位置信息还是两者兼有之,在笔者看来,行踪轨迹信息应当属于动态的位置信息。与静态的住址信息不同,行踪轨迹信息反映了公民的活动情况,具有明显的动态性。从隐私性的角度来看,公民的住址信息通常公开且容易获取,但公民的行踪轨迹信息反映了特定自然人在某个时间点的活动踪迹,从敏感性和私密性的角度来讲是高于住宿信息的。正基于行踪轨迹信息的动态性,笔者认为在上诉案例三中司法机关将暂住地信息认定为行踪轨迹信息的做法有待商榷。暂住地及相关信息为静态的位置信息,并不能反映出公民的动态行踪,只是说此人此时有可能在该处。对于暂住地信息,以住宿信息来认定或许更为恰当。
就实时性而言,与动态性同等重要。一旦公民的实时地理位置被第三人所获取,则将对公民的人身安全造成极大威胁,例如,在事先有预谋的犯罪活动中,行为人通过获取特定自然人的实时位置信息,便有可能对其实施精准打击。实务中有观点认为乘车信息、购票信息等能认定为行踪轨迹信息,认为车票的票面上不仅记载了出发时间与到达时间,且能够与特定自然人相联系,一旦被不法分子所获取,同样能够危害公民的人身财产安全。然而,购票信息确实反映了特定自然人在一定时间内的行踪,但如果行程已经结束,则该信息并不具备太大意义,更遑论危害公民的人身、财产法益。只有当行程尚未开始或者正在进行时,第三人才有可能利用该乘车信息实施违法犯罪。权威解释以GPS 定位以及车辆轨迹信息为标准,对于其他信息,也应当具备如上的精确程度并能够直接定位特定自然人的坐标信息,才宜认作是行踪轨迹信息。概而言之,行踪轨迹信息应当具备实时性。即便获取了乘车人尚未开始的行程信息,也并不能确定此人此时正身处何处。故而,无论是尚未开始的或是已经结束的行程信息,都因为不具备实时性不应认定为行踪轨迹信息。
如前所述,《解释》对于利用行踪轨迹信息的行为,规定了两种行为方式,具备其中之一便构成侵犯公民个人信息罪,笔者将在下文中对两种行为方式分别展开加以论述。
根据《解释》的规定,对于出售或者提供行踪轨迹信息的行为,通过是否“被他人用于犯罪”,来认定行为人是否构成侵犯公民个人信息罪。行踪轨迹信息由于其隐私性与高度敏感性,一旦被他人取得,极有可能对公民的人身、财产安全造成危害,行为人将特定自然人的行踪轨迹信息提供给他人,对可能造成的危害结果应该是具备高度认识可能性的。因此法律并没有要求提供者主观上明知或应知。出售或者提供公民行踪轨迹信息未达50 条并不构成犯罪,但当他人利用该信息实施犯罪后,补足了该行为的法益侵害性之不足,从而使提供者构成犯罪。
至于对“被他人用于犯罪”中的“犯罪”一词如何理解。笔者认为应当从违法性的角度进行认定,也就是说并不要求他人的行为实际成立犯罪,也不要求他人的行为已经生效判决所确认,只要他人的行为违法性的层面构成“犯罪”即可。例如,未满16 周岁的人利用他人的行踪轨迹信息实施盗窃、诈骗等行为,符合犯罪构成的违法性要件,在责任层面由于未达刑事责任年龄而不受刑法处罚。
《解释》第十一条规定了公民个人信息的数量计量规则。这一规定细化了公民个人信息的计算标准,为司法实务带来了便利。但行为人获取他人的行踪轨迹信息,无论是利用GPS 系统,还是手机定位,体现出来的都是一个个实时位置节点。如何认定这些位置节点或者说对于这些位置节点,应当如何计算行踪轨迹信息,司法实践中或许依旧存在疑惑。
笔者认为,对于同一自然人实施的连续追踪,应当根据行为人获取行踪轨迹信息的目的来认定数额。若行为人基于同一目的(如索债或满足窥私欲望)获取特定自然人的行踪轨迹信息,则无论追踪时间的长短以及中途是否中断,都应认定为一条行踪轨迹信息。若行为人是出于向他人流转特定自然人的实时位置信息而将该行踪轨迹信息拆分为几个不同的实时地理位置,则应当根据流转的数量来认定行踪轨迹信息的数量。
注释
(1)根据《解释》的内容,“出售或者提供行踪轨迹信息,被他人用于犯罪的”,“非法获取、出售或者提供行踪轨迹信息五十条以上的”,即可认定为“情节严重”,从而可能构成侵犯公民个人信息罪.
(2)北京市第二中级人民法院(2019)京02刑终59号刑事判决书.
(3)苏州工业园区人民法院(2017)苏0591刑初814号刑事判决书.
(4)张梁.单次购票能够完整反映行踪轨迹信息[N].检察日报,2017(3).
(5)喻海松.侵犯公民个人信息罪的司法适用态势与争议焦点探析[J].法律适用,2018.
(6)浙江省宁波市镇海区人民法院(2017)浙0211刑初482号刑事判决书.
(7)根据《解释》规定,以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息.换言之,公民个人信息分为两种:其一、能够识别特定自然人身份的信息;其二、能够反映特定自然人活动情况的信息.
(8)郑旭江.侵犯公民个人信息罪的述与评[J].法律适用,2018(7).
(9)《民法典》第1034条规定:个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份的各种信息,其中就包括行踪信息.
(10)高富平.获取行踪轨迹与“入刑”[N].上海法治报,2017-11-1(B06).