一
随着网络数据技术的发展与社会互动方式的改变,个人在线上线下的痕迹可能随时随地被记录,由此而使得法律对个人信息的保护变得前所未有地必要。这种必要性乃是根源于,传统线下社会私人空间与公共空间之间事实上的有形物理分界被技术所侵蚀与摧垮;相应地,以此种物理分界为经验基础的传统法律很快显得捉襟见肘,不仅难以适应网络时代的需要,更不足以抑制大数据时代所蕴含与内生的各式社会风险。可以肯定的是,对于大数据时代所衍生的个人信息安全问题,我们需要全新的制度规范,而不是单纯对原有规范进行修补。从我国的情况来看,对个人信息的法律保护走的是刑法先行的路径。自2009年《刑法修正案(七)》增设刑法第253条之一,并经2015年《刑法修正案(九)》修订之后,侵犯公民个人信息罪成为对个人信息施行刑事保护的主要罪名。在个人信息的保护方面,随着《网络安全法》《电子商务法》《数据安全法》《民法典》与《个人信息保护法》的先后出台,我国已基本形成前置法与刑法之间交互作用的全新法律体系。
2017年5月,“两高”联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》);作为我国个人信息刑法保护历程中的标志性事件,《解释》的出台,全面激活了侵犯公民个人信息罪在刑事司法中的适用。由于《解释》的发布要早于包括《电子商务法》《数据安全法》《民法典》与《个人信息保护法》在内的前置法,这使得《解释》本身需要嵌合在现有法律体系框架中重新加以理解,以便与相应的前置法规定做协调性的处理;与此同时,在侵犯公民个人信息罪被全面激活之后,司法实务中也面临不少需要进一步明确的问题。在这其中,尤以个人信息的范围如何限定以及情节要件的把握中如何正确适用分级保护标准为突出。最高人民法院近期发布的第35批指导性案例,便主要围绕前述两个方面的问题做了进一步的明确。该批案例共包含四起侵犯公民个人信息罪的案件,即指导性案例192至195号,其发布可谓正当其时。这四个指导性案例的发布,不仅对相关行为在刑法上的处理具有重要的指导作用,而且有助于彰显我国最高司法机关在个人信息保护问题上的基本立场。
二
从当前的司法适用情况来看,侵犯公民个人信息罪中的个人信息范围如何限定已然成为首当其冲的难题。由于对数据的分析与使用能力会随着技术的发展而不断提升,这使得个人信息的内涵与外延不可避免地具有开放性与动态性,并且总体上会呈现日益扩张的态势。个人信息保护领域相关的立法与《解释》中的相应规定,从早期的强调隐私与对真实身份的识别,逐渐转变为只要与特定的自然人相关即可,正是呼应这种扩张态势的产物。就此而言,断言现有立法与司法解释对个人信息的规定只是表述上的不同而并无实质性差异,容易遮蔽其中的变化过程与人们在认知方面所经历的转变。确切地说,个人信息是一个功能性的概念,它会不断地被塑造,以服务于特定的目的。因而,无论相关规定在表述上如何措辞,对个人信息的界定需要作与时俱进的理解,通过法律解释与适用赋予其动态适应的能力。可以说,从相关前置法的角度而言,对个人信息的范围做扩张性的界定实属不可避免的选择,不然,法律便难以有效应对由此产生的个人信息安全问题,更难以维持对私人领域与公共领域的基本分界。
然而,如此一来,在刑事领域人们便会陷于进退两难的处境:如果刑法上对个人信息的理解采取与前置法相同的立场,固然便于实务层面的一体性适用,但由于个人信息范围的无所不包,势必导致侵犯公民个人信息罪的适用缺乏必要的限定;反之,若是刑法上对个人信息采取不同于前置法规定的做法,则意味着必须在可识别性标准的基础上进一步提出兼具合理性与可行性的实体意义上的限定标准,以便对刑法中的个人信息作区别于前置法规定的处理。从当前刑法理论的发展来看,基本上是倾向于采取后一种方案。就《解释》的基本精神而言,明显是希望通过情节要件来间接地解决个人信息范围的限定问题,以使侵犯公民个人信息罪不至于沦为口袋化的罪名。在个人信息的范围问题上,刑法理论与实务迄今为止都未能提供内容明确且易于实操的限定标准。
即便是可识别性标准,本身在适用上也面临诸多内在的困难。说到底,但凡与个人相关的信息,只要允许结合其他的信息进行分析,必然能识别特定的自然人;就此而言,可识别性标准所提供的过滤机制几乎只是聊胜于无。与此同时,就识别的程度而言,是需要识别到特定自然人的真实身份还是网络身份即可,也缺乏相应的定论。尤其是,可识别性还面临究竟是针对何者而言的问题,是针对行为人、行业内的技术人员、社会一般公众还是国家有关部门;如果是针对行业内的技术人员与国家相关部门,则几乎所有与个人相关的信息都因为可为其识别而归入个人信息的范围。
不难发现,无论是刑法中的个人信息是否需要与前置法规定保持一致的问题,还是可识别性标准本身的问题,从目前的情况来看都难以一刀切地做出回答。因而,尽管刑法中有关个人信息的界定存在进一步明确的必要,但通过司法解释类文件做抽象的规定,存在一定困难。相对而言,采取指导案例的方式做个案导向的类型性探索,由于有具体案件事实作为语境性的参考,在实现局部明确的同时,这种留有余地的、容错性强的探索,也能为今后的发展留下合理的空间。
三
本次发布的四个指导性案例,处理的是不同类型的个人信息。其中,指导性案例192号涉及的是人脸信息,指导性案例193号涉及的是身份证信息,指导性案例第194号针对微信账号与已公开的个人信息,指导性案例第195号则指向验证码与相应的手机号。归结而言,前两个案例中的人脸识别信息与身份证信息,属于单独就可识别特定自然人的个人信息;后两个案例中的微信账号、已公开的个人信息与验证码及对应的手机号,则属于需要结合其他信息方能识别特定自然人的个人信息。
值得注意的是,指导性案例192号中的人脸识别信息不包括单纯的照片信息,而必须与人脸识别技术有关,只限于使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息。尽管针对的只是人脸信息,但该案的结论与裁判理由,显然可类比适用于包括基因、虹膜、步态、掌纹、声纹等其他种类的生物识别信息。同样地,指导性案例194号涉及的微信账号属于社交媒体账号,该案的结论与裁判理由同样可适用于包括微博、小红书、抖音、知乎等其他社交媒体账号,也可进一步类比适用于包括淘宝、天猫、京东、亚马逊等购物类的网络账号。
指导性案例194号还对已公开个人信息的问题做出明确,肯定在一定范围内已公开的个人信息,仍可成为侵犯公民个人信息罪的行为对象。从指导性案例194号的裁判要点与理由来看,一方面承认了对已公开个人信息的合理处理可构成阻却犯罪的事由,另一方面又与《民法典》第一千零三十六条相关规定略有不同。依照《民法典》第一千零三十六条的规定,合理处理该自然人自行公开的或者其他已经合法公开的个人信息,行为人不承担民事责任,但是该自然人明确拒绝或者处理该信息侵害其重大利益的除外。而根据指导性案例194号,对于合法公开的个人信息,只要其范围、目的和用途有明显的改变,便不属于法律规定的合理处理,不以相应自然人明确拒绝或者处理该信息侵害其重大利益为必要。对此,立足于法秩序统一性的要求,可能需要对《民法典》前述规定作合理的解读,即认为其中的“该自然人明确拒绝或者处理该信息侵害其重大利益”,只是对不合理处理的两种情形的列举,并不意味着除此之外的其他情形均属于“合理处理”。
指导性案例195号肯定验证码及对应手机号码构成侵犯公民个人信息罪中的个人信息。就该指导性案例而言,可能的疑问在于,是否任何情况下验证码及对应手机号码均可构成刑法中的个人信息。从该案的案件事实来看,相应手机号码均来自电信行业的客户,必然与特定的自然人相关联,并为自然人所实际使用,同时验证码及对应手机号码在案中是被用于注册淘宝、京东APP等新账号。那么,并不与特定自然人相关联的手机号,或者未经同意而被注册但特定自然人根本不知晓自己有相应的手机号等情形中,是否验证码及对应的手机号也一律要作为刑法中的个人信息来保护呢?笔者认为,做相应的限定较为妥当,有必要考虑验证码及对应手机号是否与特定自然人相关联,是否为其所实际使用,以及行为人将之用于何种场景等。故而,前述提及的两种情形,不宜认定构成侵犯公民个人信息罪。此外,单独的手机号是否构成刑法中的个人信息,也应当考虑是否与特定自然人相关联、被害人是否实际使用以及行为人的使用目的等因素。
四
在侵犯公民个人信息罪的司法适用中,个人信息的界定与情节要件的把握涉及两个独立的要件,故不能将二者交互混同,例如将影响人身财产安全与否作为认定是否成立刑法中个人信息的必要条件。从2017年《解释》第五条的规定来看,个人信息是否被用于犯罪、对人身财产安全的影响及程度、信息的具体数量、违法所得多少等因素,均是作为情节要件来理解与把握的,并不影响个人信息的成立与否。
《解释》将侵犯公民个人信息罪中的个人信息分为三种,即敏感信息、重要信息与一般信息,并根据不同的类型设定了不同的定罪量刑标准,即采取的是分级保护的模式。具体而言,敏感信息包括行踪轨迹信息、通信内容、征信信息与财产信息,入罪的数量标准为50条以上,法定刑升格的标准为500条以上;重要信息包括住宿信息、通信记录、健康生理信息、交易信息等其他可能危及人身、财产安全的,入罪的数量标准为500条以上,法定刑升格的标准为5000条以上;一般信息为前述两类之外的公民个人信息,入罪的数量标准为5000条以上,法定刑升格的标准为50000条以上。不难发现,《解释》对个人信息的分类与《个人信息保护法》的分类并不相同。在《个人信息保护法》颁布之后,刑法中对个人信息的分类及相应标准,是否要与《个人信息保护法》的分类保持统一,便成为理论与实务中关注的问题。
从此次公布的四个指导性案例来看,显然对《解释》中的三分法予以了维持。应当说,在个人信息的分类上,刑事领域维持现有的三分法并无不可。同时,从确保刑法与前置法的相关规定相协调的角度,有必要将《解释》中作为重点保护对象的前两类个人信息与《个人信息保护法》中的敏感个人信息作对接性的处理。只不过,《解释》进一步将《个人信息保护法》中的敏感个人信息分为两类,施加不同程度的刑法保护。在分类标准上,指导性案例也维续了《解释》的立场,是以是否影响人身、财产安全及其程度为根据。这与《个人信息保护法》的分类标准略有差别。从《个人信息保护法》第二十八条规定来看,构成敏感个人信息与否,取决于一旦泄露或者非法使用,是否容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。两相对照,《个人信息保护法》在界定敏感个人信息时,在人身、财产安全之外还考虑人格尊严是否容易受到侵害的因素。鉴于人格尊严也是刑法所保护的法益类型,为协调《解释》与《个人信息保护法》的相关规定,需要对《解释》中的人身安全作扩张性的理解,将人格尊严也置于该范畴之中。
值得注意的是,指导性案例192号与193号基于人脸识别信息和身份证信息与公民及其家人的人身财产安全的紧密联系,而将二者均归入重要信息的类型,即适用500条的入罪标准。就人脸识别信息而言,究竟是放在第一类的敏感信息还是第二类的重要信息之中,可能存在进一步探讨的余地。由于《解释》对第一类的敏感信息做了封闭性的处理,只限于行踪轨迹信息、通信内容、征信信息与财产信息,故而在现有的框架中,将人脸识别信息放在第二类的重要信息中来处理未尝不可。不过,正如指导性案例192号在裁判理由中所强调的,人脸信息具有不可更改性和唯一性,且极易被他人直接利用或制作合成,从而破解人脸识别验证程序,引发相应的违法犯罪;基于此,笔者以为,一律将人脸识别信息只作为第二类的重要信息,在保护程度上可能显得不够。考虑到人脸识别在我国广泛地被应用于各种社会场景,在一些场景中相应信息对个人的人身财产安全的影响程度,并不亚于甚至还可能高于行踪轨迹信息、通信内容、征信信息与财产信息,因而,从社会危害性与预防必要性的角度而言,适度提升对于包括人脸信息在内的生物识别信息的刑法保护实有必要。
作者:清华大学法学院教授、博士生导师 劳东燕
