詹星
摘 要:公民个人信息构成要素中最重要的标准是识别性。根据识别方式,公民个人信息分为可以直接识别和可以间接识别的信息。间接识别应当遵循合理性标准,倘若行为人所在领域的一般人利用某个人信息并通过合理的途径进行查询后即可识别到个人,该信息属于可以间接识别的公民个人信息。收集已经在网上公开的公民个人信息再向他人出售的行为是否违法的重要判断依据是作为信息权主体的公民个人是否对其个人信息作出承诺或概括同意。
关键词:合理性标准 间接识别 概括同意
随着科技和网络的迅速发展,公民个人信息承载了越来越多的内容和利益,成为犯罪分子实施犯罪的工具,侵犯公民个人信息犯罪呈爆发式增长。“两高”在2017年5月联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《侵犯个人信息问题解释》),对刑法第253条之一规定的“侵犯公民个人信息罪”在司法实践中的具体适用作出了详细的规定。这一定程度上增加了法条的可操作性,也对一些模棱两可的问题起到了一定的定纷止争作用。目前,尽管不少争议问题已经借助该解释逐步得以解决,但由于实际情况的复杂性,仍有部分问题存在较大争议,同案不同判的现象也较为常见。因此本文结合司法实践中仍存在的问题,对侵犯公民个人信息罪的入罪边界进行探讨。
一、公民个人信息的识别标准
判断是否构成侵犯公民个人信息罪,第一步须确认行为人所侵犯的是否系公民个人信息。一般认为,公民个人信息的构成要素有二,即实质要素和形式要素。前者指个人信息可以直接或间接识别到本人,后者指个人信息必须得以固定和可以处理。[1]不管是我国法律还是域外法律,大多都将前者作为个人信息的判断标准之一,也即“识别性”。我国早在2012年12月就出台了《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《网络信息保护的决定》),其规定了“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。该决定虽未明确提出“个人信息”这一概念,但本质上已打算将普通的电子信息和可识别个人身份的电子信息予以区分,同时对具有识别性的电子信息进行特殊保护。2016年11月网络安全法出台,首次在法律层面对“个人信息”做了明确规定。[2]该定义采取的是“识别说”标准。同时,域外法律如欧盟及其绝大多数成员国的法律也都明确采用“识别说”来定义“个人信息”,如2018年欧盟出台的《通用数据保护条例》(GDPR)第4条规定,个人数据是指任何已识别或可识别的自然人相关的信息。[3]由此可见,信息的可识别性系其成为公民个人信息的重要标准。
二、公民个人信息的间接识别
识别过程中较为重要的是识别程度和识别方式。识别程度是指识别范围的大小,例如根据电话和姓名,只能识别到一个个体。但如果根据姓名及其所读小学,则可能存在两个或两个以上被识别到的个体。通常认为,只有根据某个人信息,识别到具体的某个个体时,该个人信息才属于“可识别”。识别方式通常分为直接识别和间接识别。“姓名+电话号码”这种个人信息属于能够直接识别到个人的信息;而诸如“姓名+所读小学”等个人信息,因为其所识别到的个体存在两个或两个以上,所以该信息不属于能够直接识别的信息。至于其是否属于能够间接识别个人的信息,需判断该个人信息是否可以结合其他特征信息,如相貌、身高等,来识别到具体个人。如果可以,则“姓名+小学信息”属于可间接识别的个人信息。能够进行直接识别的信息一般不存在争议,存在模糊界限的仅是能够间接识别的个人信息。
(一)间接识别需以合理方式进行
间接识别通常需要借助其他信息进行辅助识别。从理论上说如果有足够的精力和时间,任何看似微不足道的信息,都可以通过联结其他信息的方式定位至具体个人。比如,看似不重要的个人饮食偏好,在单独被犯罪分子获取时,不能起到直接或间接识别的作用。但若再加上性别、体重、年龄、所在城市、消费记录等信息,则可能间接识别到具体的个人。此时需要解决的问题是如何判断某个信息是否属于间接信息,该问题也被称为“识别的可能性问题”。在大数据时代,虽然对众多琐碎信息进行分析后即可能识别到具体个人,但间接识别必须考虑成本、数据处理技术。[4]换言之,在识别的可能性问题上,应强调以合理的方式进行。在通过合理途径对某些信息进行分析对比后,若可以识别到个人则该信息属于间接识别的个人信息,反之则不是。合理途徑是指简单的搜索或询问。申言之,如果行为人利用某些个人信息,经过简单的搜索或询问后可识别至具体的公民个体,则该类信息属于可以间接识别的个人信息。倘若需要花费巨大精力或动用很大的权力,如某些个人信息需要通过公安内部系统查询才能匹配到具体个人,则该信息不属于可以间接识别的公民个人信息,因为其识别途径并不合理。
(二)间接识别是否合理需考虑识别主体差异问题
间接识别的识别途径是否合理,还需要考虑不同行为人之间的主体差异。欧盟工作组认为,为确定手段是否合理,应考虑所有客观因素,如识别成本、识别耗时,以及识别所需要使用到的技术等。[5]笔者同意欧盟工作组提出的通过考虑所有客观因素来判断识别手段是否合理的做法。但笔者认为,此处客观因素的考虑应当结合行为人自身的情况进行。具体而言,相同的识别手段会因为不同行为人所处的地位不同,而导致其合理性不同;如果不区分行为主体的具体情况,机械地认定识别手段的合理与否,将会导致间接识别的个人信息的范围被不合理地扩大。例如,同一组“姓名+学校考试成绩”个人信息,被校长用以识别具体学生与被学生用以识别所耗费的成本和时间精力是不一样的。如果该类个人信息被校长所侵犯,则该类信息极有可能属于间接识别的个人信息。因为校长的权限很大,只要在其权限范围之内耗费合理的精力即可查询到具体的学生。但如果该类个人信息被学生所侵犯,则该组信息一般不属于间接识别的个人信息,因为对于学生而言,其可能需要耗费巨大的时间精力成本才能根据该类信息查询到具体的学生个体。
(三)应当从行为人所在领域的一般人的角度来判断手段是否合理
由上可知,识别手段的合理与否还同侵犯公民个人信息的行为主体有关,因此判断手段合理与否应考虑犯罪者所在领域的具体情况,如犯罪者的知识背景、从事行业和职务权限等。申言之,如果某犯罪者所在领域的一般人根据某信息,花费合理的时间和精力后仍不能识别到具体的公民个体,则该信息在行为人这里不属于间接识别的公民个人信息。换言之,不能因为某手段在其他人的领域里面属于合理手段,就推定该信息在行为人这里亦能通过该手段被合理识别。因此,某信息是否属于可以间接识别的个人信息的重要标准是,行为人所在领域的一般人能否使用合理手段对该个人信息进行识别。如果利用该信息可识别到具体个人,则该信息为间接识别的个人信息。反之则不是。在李某某、龚某某等人侵犯公民个人信息案中,法院认为被告人出售含有电话号码的个人信息的行为已经触犯了侵犯公民个人信息罪。其中大部分的个人信息中只有电话号码,仅有少部分是电话号码+名字。法院认为,通过公民个人的电话号码虽无法单独识别公民个人身份,但在手机号码实名制的大环境下,公民的手机号码本身能够与特定自然人直接关联,在这种情况下结合其他个人信息可以识别出公民的个人身份,符合《侵犯个人信息问题解释》中对公民个人信息范围的规定,属于公民个人信息。[6]
笔者并不认同这一观点。因为尽管当前环境下手机号码已经实名制,但手机号码背后所对应的公民身份只有具有相关权力的行政机关才能获取,对于诸如被告人李某某、龚某某等普通民众,其并不能获取手机号码所对应的实名制的公民信息。也即其出售、提供仅有电话号码的个人信息,并不会侵犯到公民的个人信息权。如果不考虑主体的差异性,则侵犯公民个人信息的处罚范围将会被无限扩大。例如,在大学校园中,每一位学生的校园卡号是与该学生的名字、身份证号码、家庭住址等情况一一对应的。倘若将仅仅出售、向他人提供学生校园卡号的行为也认定为侵犯公民个人信息的行为,不仅不利于保障人权,而且实质上已经违反了罪刑法定原则。
因此笔者认为,在认定某个人信息是否属于刑法所保护的公民个人信息时,应当严格遵守可识别性的标准。同时在间接识别中,应当采取识别可能性说,需注意考虑主体获取和匹配信息的差异性,不能无限扩大侵犯公民个人信息罪的犯罪圈。
三、收集网上已经公开的公民个人信息再出售的行为不构成犯罪
另外一个颇有争议的问题是,收集网站上已经公开的公民个人信息后出售的行为是否侵犯公民的个人信息?一般认为,侵犯公民个人信息罪中的“公民个人信息”仅指未公开的公民个人信息。但部分法院认为已经公开的公民个人信息也属于侵犯公民个人信息罪所保护的范畴。如在刘某侵犯公民个人信息案中,刘某通过网上查询下载或从他人处购买的方式收集企业法定代表人信息,之后再以一定的价格售卖给他人。一审法院认为,企业法定代表人的姓名和电话属于个人信息,其不因被公开在网站上而失去个人信息的性质。该信息不为一般人所知悉,具有保护价值,一旦被扩散,将会对公民个人生活的安宁造成干扰,因此刘某的行为构成侵犯公民个人信息罪。[7]国外的司法实践一般不这样认为,如美国司法实践中普遍认为已经公开的、暴露在社会中的个人信息一般不再受到隐私权的保护。[8]我国大多数学者也认为公民个人信息不包括依法公开的个人信息。[9]
个人信息可分为高度公开的个人信息(如姓名等)和私密的个人信息(如电话号码、身体健康情况、行程踪迹等)。 对于单独的公开的个人信息,刑法一般不保护,除非是多个公开的个人信息组合起来可以识别到具体个人; 对于私密的个人信息, 刑法上一般只保护可识别到具体个人的信息。但基于实质可罰性的立场,经同意或者授权收集的,或者是收集已经公开发布的个人信息,不构成犯罪。
对于前述刘某侵犯公民个人信息案,笔者认为刘某的行为并没有违法。企业法定代表人的姓名和电话是企业法定代表人自愿公布在网上的,因此倘若将公民个人信息理解为个人法益,则被害人同意的存在将阻却他人收集公民个人信息行为的违法性。即使存在企业法定代表人的个人信息被他人强行或私自公布在网上的情况,但对不知情的第三者而言,其也没有义务和能力去核实被公开的公民个人信息是否系公民自愿公布。因此,对于已经被公布在网上的公民个人信息,应当推定该个人信息系公民个人主动披露的。但如果行为人明知该公民个人信息系被他人非法披露在网上,此时则可以推翻存在被害人同意的推定,进而认定行为人收集该类个人信息的行为实质上侵犯了公民的个人信息。
另外,倘若将公民个人信息理解为超个人法益,这种收集企业法人电话和姓名的行为,并不会影响社会秩序,亦不会侵害超个人法益。因为社会公众在网上即可查询到这些公民个人信息,且该查询没有影响网络秩序和社会秩序。因此本文认为,对于自愿公开且未声明排除他人收集的个人信息,行为人收集后向其他人提供或者出售的行为,因存在被收集者同意而不属于违法行为。
对比大数据时代特有的网络爬虫行为即可发现:判断爬虫行为是否违法也是从判断是否存在被收集者的同意入手。[11]在百度公司诉北京奇虎公司一案中,百度公司诉称奇虎公司违背百度网站的爬虫协议,违规抓取百度公司网页的内容,属于违法行为,构成不正当竞争。法院在判决中也认为,使用爬虫技术时若违背他人设定的Robots协议而收集他人的信息,则属于“非法获取公民个人信息”。[12]Robots协议虽不具有阻止他人强行收集信息的能力或效力,但其与刑法上的被害人的同意或概括同意相类似,其会在协议中注明他人可以收集哪些信息,他人不可以收集哪些信息,从而起到排除部分收集行为违法性的作用。因此,收集权利主体自愿公开或发布的个人信息并出售的行为,并不违法。[13]但在权利人提供个人信息时明确限定了个人信息的用途或者根据行业习惯或行业惯例可以推知个人信息的用途时,行为人超越该用途使用个人信息的行为将触犯侵犯公民个人信息罪。如贷款公司将其获取到的贷款人个人信息另行提供或出售给他人的行为,将触犯侵犯公民个人信息罪。因为从贷款行为和金融行业习惯中可以合理推知,权利人仅同意其个人信息被用于贷款流程中。
因此,在司法实践中,要注意区分获取行为和提供行为。获取行为的合法并不必然导致提供行为的合法性。判断两行为是否合法,重点仍在于判断权利人对个人信息给予了何种范围和程度的同意(个人法益说),以及判断该行为是否影响了社会秩序(超个人法益说)。