1.广州市番禺区人民检察院,广州; 2.中山大学法学院博士研究生,广州;
当前,侵犯公民个人信息的犯罪不断增多,个人信息安全面临更加严峻的挑战。数字经济的迅猛发展使公民个人信息的经济性、流动性、融合性、产业化等特征更加突显,也更加突显出公民个人信息安全保护的重要性。收集、处理、使用公民个人信息的新方式新样态不断涌现,大数据杀熟、深度伪造、健康码等无时无刻、无处不在的个人信息收集、处理、使用等是否属于侵犯公民个人信息,则需要用数字经济思维予以判断。数字化是时代的趋势,刑法保护公民个人信息不可能回避这一时代大势,只能在数字经济背景下因势利导,通过侵犯公民个人信息罪的调适以适应数字经济背景下的公民个人信息保护。因此,本文拟从侵犯公民个人信息罪的调适角度,探讨刑法在数字经济时代保护公民个人信息安全的新担当。
随着数字经济的发展,公民个人信息的判断变得越来越困难,尤其是在越来越多的信息被公开的背景下,哪些信息属于公民个人信息的边界问题变得相对模糊,这也使得侵犯公民个人信息罪的打击范围变得模糊。因此,确定公民个人信息的范畴是确定特定行为是否属于侵犯公民个人信息罪的前提。公民个人信息的可识别性是其核心要素,判断公民个人信息需要从这个角度进行考察,在数字经济背景下仍然需要坚守这一核心要素。
从字面含义来看,公民个人信息属于特定个人的信息,这些信息与其个人具有人身专属性,即可以根据特定信息确定特定的个体。因此,公民个人信息具有专属性。特定信息与特定个体联系起来的纽带就是识别,通过特定信息或信息的结合识别特定个体。从该意义上讲,识别性是理论与司法实务判断所涉及的信息是否属于公民个人信息的核心。如果特定的信息或者信息的结合无法准确识别特定个体,这些信息就不属于法律所保护的公民个人信息。
从法律规范的发展完善历程和司法实务来看,识别性是公民个人信息的显著标志。有关公民个人信息的法律规范的发展完善历程折射着时代变迁和法律对公民个人信息保护的逐渐强化。公民个人信息的保护首先在刑事法律规范中得到了“破冰”。2009年2月28日,全国人大常委会通过的《刑法修正案(七)》在刑法中增设第253条之一,规定出售、非法提供公民个人信息罪、非法获取公民个人信息罪。这是刑法中首次出现公民个人信息的保护规定,但对于公民个人信息的范围没有具体规定。随后,公民个人信息的范围在刑法和司法解释及司法实务中得到不断明确。2015年8月29日,全国人大常委会通过的《刑法修正案(九)》对刑法第253条之一进行修改整合,扩大犯罪主体,增设量刑档次,将罪名修改为侵犯公民个人信息罪。2017年5月8日,“两高”颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)对公民个人信息进行了定义,即指“以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人身份或反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。为了更好地指导实践,2018年11月9日,最高人民检察院印发的《检察机关办理侵犯公民个人信息案件指引》明确排除不属于侵犯公民个人信息罪范畴的情形,即“经过处理无法识别特定自然人且不能复原的信息,虽然也可以反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴”,并区分企业工商登记等信息中的手机、电话号码等信息是否属于公民个人信息。
随着刑法法律规范和刑事司法实践的推进,民事或行政法律规范也逐渐将公民个人信息保护提上议事日程并完善,个人信息的概念不断明确,范围逐渐清晰,并颁布了个人信息保护的专门法律。2012年12月28日,全国人大常委会通过的《关于加强网络信息保护的决定》第一点规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或以其他非法方式获取公民个人电子信息,不得出售或非法向他人提供公民个人电子信息。2016年11月7日颁布的《网络安全法》第76条第(五)项规定,个人信息是指“以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。2020年5月28日,全国人大通过的《民法典》第1034条规定,自然人的个人信息受法律保护。个人信息是以电子或其他方式记录的能够单独或与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。2021年8月20日,全国人大常委会通过的《个人信息保护法》第4条第1款规定,个人信息是指以电子或其他方式记录的已识别或可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
从以上法律规范来看,公民个人信息的保护经历了“刑先民后”的路径,首先在作为后盾法、保护法的刑法中予以保护,后在民事法律方面予以保护,并在随后的发展中刑民保护并驾齐驱。从法律规范对公民个人信息的定义来看,无论是刑事法律规范中司法解释及其司法指导性文件,还是民事行政法律规范,识别性始终是核心。刑民法律规范都强调以识别特定自然人为核心要素判断是否属于公民个人信息。
在数字经济时代,个人信息具有全新的特征和无穷的价值。信息是最具价值的资源。归结起来,数字经济背景下的个人信息主要具有以下几个特征:一是经济性。信息具有经济价值,数字经济时代尤其如此。数字经济建立在信息和数据之上,是信息经济和数据经济的新发展阶段。信息与经济的结合使得信息具有了特定的经济价值。二是流动性。数字经济时代要求信息高速流转,流转方向大多从信息主体或掌握信息的主体一端流向信息需求端。流动性是信息的固有特征,因为在流动中信息才能创造出价值,不流动的信息无法创造价值。这在一定程度上促使信息更加高速流转。公民个人信息的流动安全是刑法保护公民个人信息的直接关切点,也是时代变迁背景下公民个人信息刑事保护的本质需求。三是融合性。在现代社会,由于经济社会生活的需要,信息逐渐走向融合,一条信息往往不是单一信息的表达,而是众多信息的组合,由众多个人信息融合成适合经济社会生活需要的信息。例如,随着新冠肺炎疫情的蔓延,实践中研发出健康码就是多种个人信息融合在一起的二维码表达,它包括姓名、公民身份号码、电话号码、出行轨迹、健康状况等信息。四是产业化。数字产业是数字经济的重要特征。数字经济时代,无时无刻不产生信息,海量信息的生产、存储、流转、处理、使用等都无法由特定个体完成,于是围绕信息出现了全周期的信息服务公司,由这些信息公司提供对海量信息的加工、处理等信息服务,信息逐渐产业化。
数字经济时代的信息所具有的上述特征,给刑法理论和实务中判断特定信息是否属于公民个人信息带来难题。一方面,信息需要流动、需要创造价值,信息需要产业化,需要通过经济社会的信息化促进经济社会的高质量发展;另一方面,个人信息的安全需要保障,在数字经济时代,信息发展与安全是核心所在。人们不禁提出这个关键问题:如何从这个两难困境中突围?
突围的途径是,赋予识别性在数字经济时代的核心要素定位,坚守识别性作为甄别公民个人信息的方法。数字经济时代的个人信息具有了以往所不具备的特征,但并没有从根本上改变个人信息的特质,即可以识别特定自然人个体,而只是在识别深度方面更加深入、精准度方面更加精准。正如前述讨论的健康码,在识别特定自然人个体方面,能够更加准确地识别出特定自然人更多信息,而不是停留在以往对公民个人信息的姓名、公民身份号码等信息层面上。因此,数字经济时代的公民个人信息纵然千变万化、千姿百态,但抓住了数字经济时代个人信息的特点,以识别性为核心,就能够以不变应万变,准确甄别公民个人信息,确定公民个人信息范畴,进而确定侵犯公民个人信息犯罪的刑法边界。但是,公民个人信息的识别性也要随着时代的变迁而予以一定程度的限定,即对识别公民个人信息的内容、时空、环境、技术、能力等予以限定,避免将不属于公民个人信息范围的信息借助识别性被纳入打击范围而面临刑事法网过分严密的诘难。
在当今信息社会,每时每刻都有海量的个人信息处于生产、存储、处理等过程中。在数字经济时代,公民个人信息内容更多样、表达方式更多元、融合度更高,个人信息的生产、存储、处理等更加快速高效。如何对海量的个人信息予以有效保护,确保个人信息安全?从法律层面来讲,个人信息的保护必然遵循区别保护原则,而不是同等保护,区别保护的标准就是个人信息的重要性程度,对重要个人信息予以重点保护。
在侵犯公民个人信息罪的司法解释中,对公民个人信息采取了分层级保护体系。“两高”颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》采取“三分法”对公民个人信息进行区分,并设置相应阶梯式的公民个人信息数量作为“情节严重”的标准予以保护。该解释第五条第一款第三、四、五项规定了公民个人信息的三种类型:第一类是行踪轨迹信息、通信内容、征信信息、财产信息;第二类是住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的个人信息;第三类信息是上述两类信息之外的个人信息。该条通过规定侵犯公民个人信息的数量作为入罪标准,以数量梯次分布体现对公民个人信息的区别保护。该条对于出售或者提供行踪轨迹信息被用于犯罪、知道或者应当知道他人利用公民个人信息实施犯罪而向其出售或者提供的情形,没有规定具体的公民个人信息数量。按照常理推断,该情况下数量要求是1条以上。对于非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息的情况,数量要求是50条以上;对于非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息的情况,数量要求是500条以上;对于非法获取、出售或者提供以上信息之外公民个人信息的情况,数量要求是5000条以上。通过对不同的公民个人信息的入罪条件的数量要求,构建了公民个人信息的分层级保护体系,体现出不同类别的公民个人信息区别保护、重要信息重点保护的导向。
《个人信息保护法》按照“两分法”对个人信息进行区分,将个人信息分为敏感个人信息和一般个人信息,并予以相应程度的保护措施。该法第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。该条规定的敏感个人信息之外的其他个人信息属于一般个人信息。该法构建了敏感个人信息和一般个人信息双层保护体系,将个人信息按照敏感程度与否划分为敏感个人信息与一般个人信息,突出对敏感个人信息的保护。
在数字经济时代,应坚持并优化公民个人信息的分层级保护体系。随着经济社会的发展,公民个人信息的内容更丰富、融合度更高、表达方式更多元。例如,近年来出现的健康码,就是融合了公民的姓名、身份证号码、联系方式、住址、生理健康信息等于一体的信息;微信、支付宝等第三方支付码、收款码等也融合了公民的微信、支付宝等信息及财产安全信息等。这些高度融合、不同于传统公民个人信息的表达方式展现的公民个人信息,是适应数字经济时代发展的必然趋势。然而,这给本来就难以精准区分的公民个人信息类型带来了法律上的难题:在这些信息难以具体归类到现有公民个人信息类型之背景下,如何对这些信息进行充分有效保护?实际上,这些融合度高、表达多元的公民个人信息只是在形式上与原有公民个人信息类型有差异,实质上是为适应个人经济社会生活和数字化发展需要而出现的公民个人信息的组合。这类公民个人信息中必然有某一种公民个人信息是最主要、最重要的,以该信息为核心纳入该信息所属的原有公民个人信息相应类型中予以保护即可。当然,在数字经济时代,新的公民个人信息类型还将不断涌现,可能对现有公民个人信息分类保护带来进一步挑战。因此,在坚守原有分层保护体系的基础上,需要对新的公民个人信息类型开展深入研究,确立新的公民个人信息分类标准,对现有公民个人信息分层级保护体系予以优化,以适应不断发展的数字化浪潮。
在数字经济背景下,获取、处理和使用个人信息的新方式不断涌现。由于这些新的方式是否属于侵犯公民个人信息罪的客观行为成为判断的难题,一些边缘性的个人信息获取、使用、提供等行为更成为惩治侵犯公民个人信息罪的痛点。在不断普遍化、复杂化的侵犯公民个人信息犯罪给立法和司法带来挑战的背景下,从侵犯公民个人信息罪的客观行为类型化分析角度入手,把握其犯罪构成的核心要素是在发挥刑事规制有效作用基础上保持刑法谦抑性的路径。因此,在判断这些行为的性质上需要类型化的思维,抓住侵犯公民个人信息罪的客观行为之核心要素予以判断。
在数字经济时代,侵犯公民个人信息的客观行为样态可能发生很大变化。一些新出现的个人信息收集、存储、处理等行为能否认定为侵犯公民个人信息的行为更加困难。随着经济社会的发展,个人信息的快速高效处理需求迫切,同时也给个人信息的处理方式带来新的变革。特别是在数字化背景下,个人信息的获取渠道增多,获取难度降低,个人信息处理更加频繁、高效、便捷,专门处理个人信息和数据的第三方公司应运而生。实践中,个人信息合法获取后的滥用行为也不断增多。在侵犯公民个人信息罪缺乏非法滥用的罪刑规范的背景下,这些行为是否需要入罪,有学者在提及侵犯公民个人信息罪的立法调适思路时已建议将其纳入该罪范围。其实,这些都是个人信息收集、处理、使用的新方式。这其中的个人信息合法持有者委托第三方公司处理个人信息、利用大数据“杀熟”、深度伪造等在数字化背景下新出现的个人信息收集、处理、使用的行为是否属于侵犯公民个人信息的行为?如果刑法有关侵犯公民个人信息罪的规定继续限于现有刑法修正案和司法解释规定的非法出售、提供、获取行为方式的框架,很可能陷入刑法规制不充分、不周延的窘境。这是刑法在应对数字经济时代必然面对的课题。
侵犯公民个人信息罪的客观行为判断标准是什么?根据《刑法》第二百五十三条之一,侵犯公民个人信息罪是违反国家有关规定,向他人出售或提供公民个人信息,窃取或以其他方法非法获取公民个人信息的行为。因此,侵犯公民个人信息罪的客观行为主要包括非法获取公民个人信息和非法出售或提供公民个人信息,即从公民个人信息的来源是否合法、流转是否合法两个角度进行考察。从该罪含义来看,侵犯公民个人信息是对公民个人信息的所有人或者合法持有人造成“侵犯”,是违背其意愿而实施的行为,也即公民个人信息的所有人或者合法持有人对行为人实施侵犯其信息的行为不知情,也没有对非法获取或处理其个人信息的行为作出同意的意思表示。因此,侵犯公民个人信息罪的客观行为的非法性,在于未让公民个人信息的所有人或合法持有人知情并同意其获取或处理公民个人信息。最高司法机关历来以强有力的手段严惩侵犯公民个人信息犯罪,引领公民个人信息保护意识。近年来,最高人民检察院通过发布典型案例、指导性案例的形式强化公民个人信息的司法保护,取得良好效果。在2018年1月最高人民检察院发布的六起典型案例中,分别涉及国家工作人员利用职务便利非法获取公民个人信息并出售、利用恶意程序批量非法获取网站用户个人信息、非法获取公民个人信息后实施电信网络诈骗犯罪、将在提供服务过程中获得的公民个人信息出售提供给他人、单位实施侵犯公民个人信息犯罪、特殊主体在履行职责过程中获得的公民个人信息出售等。这些典型案例展现了检察机关办案履职,指导侵犯公民个人信息犯罪案件的办理。在最高人民检察院第三十四批指导性案例中的检例第140号柯某侵犯公民个人信息案中,就是运用知情同意原则对未经信息主体另行授权而处理公民个人信息行为判断为侵犯公民个人罪的典型案例。该案中柯某及其员工在未获得业主授权和同意的情况下,将房源信息以套餐形式提供给网站会员付费查询使用,属于对限定用途、范围的信息的非法获取和出售侵犯公民个人信息的行为。
实际上,这些新出现的个人信息收集、处理、使用的新方式和新样态都有可能触犯刑事法律带来刑事风险。判断这些行为是否属于侵犯公民个人信息行为的关键,在于这些新业态从事的行为是否获得了个人信息主体的授权和同意,即要坚持对个人信息收集、处理、使用的知情同意原则。例如,个人信息的收集者委托第三方处理个人信息的行为,如果个人信息的收集者没有与可委托第三方进行个人信息处理和信息主体进行约定,就可能涉嫌侵犯信息主体的知情权和同意权。在委托处理个人信息的场合,委托人和受托人都有刑事风险的可能,但如果受托人针对公民个人信息的授权和获取设置了完善的保护程序、已履行了受托人应尽义务、对公民个人信息已采取合理保护措施,受托人可以免
责。又如大数据“杀熟”技术,其通过对海量信息的收集、对比、筛选匹配出目标群体,其对信息的收集大多没有获得信息主体的同意,也可能涉嫌侵犯信息主体的知情权和同意权。再如非法储存海量个人信息的行为,其存储个人信息的前提是获取个人信息,如果获取个人信息的行为非法,则该行为可评价为非法获取个人信息,而无需就存储个人信息的行为进行单独评价。
数字经济的发展还将推动产生更多的信息、数据的收集、处理、使用等新样态。判断这些新样态是否属于侵犯公民个人信息规制的对象,还需要通过对个人信息的收集、处理、使用等行为的类型化分析,即这些行为能否评价为侵犯公民个人信息罪中的非法获取或非法提供和出售公民个人信息的基础上,更进一步考察这些个人信息的收集、处理、使用等行为是否得到了信息主体的授权。获得被害人同意的侵犯公民个人信息行为不构成侵犯公民个人信息罪,但被害人的知情同意需不存在意识表示缺陷,作出授权后又撤回的,可能依然构成侵犯公民个人信息罪。
同时,要注重实质解释论在侵犯公民个人信息罪客观行为认定中的运用,将更多符合立法要义的客观行为解释进该罪法益的保护范围,扩大涵盖对象。面对数字经济带来的刑事风险,从立法上增设罪名是应对之策,但立法永远具有滞后性,更需要重视司法能动意义上的实质解释论,根据个罪的保护法益进行同质解释。在当前侵犯公民个人信息犯罪新样态不断涌现的形势下,充分发挥实质解释论的作用无疑是实现严惩侵犯公民个人信息犯罪、保障公民个人信息安全的有效策略之一。