趙宗濤

(華東政法大學(xué) 法律學(xué)院，上海 200042)

網(wǎng)絡(luò)安全視野下“個(gè)人信息”范圍的刑法界定

趙宗濤

(華東政法大學(xué) 法律學(xué)院，上海 200042)

大數(shù)據(jù)環(huán)境中“個(gè)人信息”面臨被嚴(yán)重侵犯的危險(xiǎn)，而《網(wǎng)絡(luò)安全法》等法律法規(guī)對(duì)“個(gè)人信息”范圍規(guī)定不一引發(fā)司法認(rèn)定的難題。相較于“隱私說”“識(shí)別說”概念模式更符合我國法律規(guī)定現(xiàn)狀。充分考量保護(hù)法益、法益屬性和規(guī)制理念三種因素，認(rèn)定具備固定性、身份識(shí)別性、真實(shí)性和價(jià)值利用性四個(gè)特點(diǎn)的“個(gè)人信息”均應(yīng)受刑法保護(hù)。非法收集、出售或非法提供自我公開的“個(gè)人信息”不排除犯罪的成立。

個(gè)人信息；個(gè)人信息權(quán)；可識(shí)別性；個(gè)人隱私；網(wǎng)絡(luò)安全

網(wǎng)絡(luò)技術(shù)的發(fā)展使大數(shù)據(jù)成為新時(shí)代的代名詞，依靠信息的聚合、流通、共享，一種規(guī)模化、非接觸式的大數(shù)據(jù)環(huán)境正式生成?！皞€(gè)人信息”是大數(shù)據(jù)的基礎(chǔ)資源，已經(jīng)成為“現(xiàn)代商業(yè)和政府運(yùn)行的基礎(chǔ)動(dòng)力”，被譽(yù)為“網(wǎng)絡(luò)的新石油，數(shù)字世界的新貨幣”[1]。然而，數(shù)據(jù)庫的建立在提升“個(gè)人信息”采集、存儲(chǔ)、加工與傳播效率的同時(shí)，也增加了信息被竊取、出售、篡改、非法利用的危險(xiǎn)，黑客攻擊、撞庫等非法行為給個(gè)人信息安全帶來了巨大隱患。據(jù)統(tǒng)計(jì)，僅2016年全國公安機(jī)關(guān)偵破黑客攻擊案件828起，侵害公民個(gè)人信息案件1886起，查獲各類公民個(gè)人信息竟達(dá)307億條之多，信息保護(hù)問題不容忽視。[2]網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊等下游犯罪的興起也正是基于對(duì)“個(gè)人信息”的非法獲取與利用，因此，從犯罪源頭上切斷信息的非法獲取，保護(hù)“個(gè)人信息”免受侵害成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的命門。

近三年來，《刑法修正案(九)》《網(wǎng)絡(luò)安全法》以及《民法總則》相繼頒布與實(shí)施，為個(gè)人信息的法律保護(hù)樹立多重保障?！霸谛畔⑸鐣?huì)，個(gè)人信息是人的信息化存在方式，網(wǎng)絡(luò)中的個(gè)人信息與現(xiàn)實(shí)社會(huì)的物理的人是等同的”。[3]刑法作為懲治犯罪、保障人權(quán)最有力的手段，在規(guī)制侵犯個(gè)人信息犯罪及下游犯罪活動(dòng)中應(yīng)發(fā)揮積極作用。但是，作為刑法保護(hù)對(duì)象的“個(gè)人信息”并不等同于經(jīng)驗(yàn)上的“個(gè)人信息”概念，缺乏規(guī)范的犯罪對(duì)象或?qū)ο笳J(rèn)識(shí)錯(cuò)誤都可能成為影響侵犯公民個(gè)人信息行為罪與非罪的決定因素。從刑法理論上講，“個(gè)人信息”屬于規(guī)范的構(gòu)成要件要素，對(duì)規(guī)范的構(gòu)成要件要素，必須以特定的違法性為導(dǎo)向進(jìn)行判斷。在未出臺(tái)相關(guān)司法解釋的背景下，明確侵犯公民個(gè)人信息罪中“個(gè)人信息”的概念范圍格外重要。

一、問題源起：“個(gè)人信息”范圍規(guī)定不一

我國尚未頒布專門的《個(gè)人信息保護(hù)法》，“個(gè)人信息”保護(hù)的條款分散于《商業(yè)銀行法》《護(hù)照法》《律師法》等單行的法律法規(guī)。其中，涉及“個(gè)人信息”概念的規(guī)定有三個(gè)：第一，2012年發(fā)布的《全國人民代表大會(huì)常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第1條概括表述了“國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息”。第二，2013年兩高一部依據(jù)司法經(jīng)驗(yàn)發(fā)布的《關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》，采取不完全列舉的方式將“個(gè)人信息”總結(jié)為“包括公民的姓名、年齡、有效證件號(hào)碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號(hào)碼等能夠識(shí)別公民個(gè)人身份或者涉及公民個(gè)人隱私的信息、數(shù)據(jù)資料”。第三，2016年通過的《中華人民共和國網(wǎng)絡(luò)安全法》第76條則采取“概念表述+不特定列舉”的方式明確定義了“個(gè)人信息”，“個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等”。以上列舉中，只有《網(wǎng)絡(luò)安全法》對(duì)“個(gè)人信息”的規(guī)定才能稱作嚴(yán)格意義上的概念定義，其他兩種規(guī)定不能直接確定“個(gè)人信息”范圍，僅具有參考價(jià)值。

總結(jié)上述三種規(guī)定，可以發(fā)現(xiàn)，“個(gè)人信息”概念存在“可識(shí)別身份信息+隱私信息”的組合模式和“可識(shí)別身份信息”的單獨(dú)模式兩種，區(qū)別在于“隱私信息”能否當(dāng)作“個(gè)人信息”成為法律保護(hù)的對(duì)象。實(shí)踐中，司法機(jī)關(guān)也普遍承認(rèn)可識(shí)別身份信息作為“個(gè)人信息”的正當(dāng)?shù)匚?，但隱私信息是否屬于“個(gè)人信息”存在爭議。在出臺(tái)專門的司法解釋前，司法機(jī)關(guān)只能依照侵犯公民個(gè)人信息罪“違反國家有關(guān)規(guī)定”的適用條件，援引相關(guān)法律法規(guī)中的規(guī)定確定“個(gè)人信息”的概念與范圍。但是，“違法國家有關(guān)規(guī)定”對(duì)《刑法》第96條“違反國家規(guī)定”在法律主體、效力的突破，使應(yīng)當(dāng)以哪種規(guī)定為準(zhǔn)確定“個(gè)人信息”成為疑問。例如，《網(wǎng)絡(luò)安全法》實(shí)施前，有些法院認(rèn)為“擅自對(duì)公民的手機(jī)進(jìn)行定位，就屬于侵犯公民隱私的行為”，將手機(jī)定位歸屬于“隱私信息”納入“個(gè)人信息”范疇，而《網(wǎng)絡(luò)安全法》僅將“可識(shí)別身份信息”作為唯一標(biāo)準(zhǔn)后，此類隱私還能否作為“個(gè)人信息”施以刑法保護(hù)則需要深入探討。

二、爭議梳理：從隱私說到識(shí)別說

(一)隱私說

該學(xué)說認(rèn)為，“個(gè)人信息”是信息主體不愿意公開的私密性信息，具有隱私屬性，侵犯“個(gè)人信息”就是侵犯了公民的隱私權(quán)。如有學(xué)者主張出于對(duì)公民人身、財(cái)產(chǎn)、隱私權(quán)益保護(hù)的目的，應(yīng)當(dāng)以“隱私性”為核心認(rèn)定“個(gè)人信息”，無法體現(xiàn)公民隱私性的信息不能列為犯罪對(duì)象。[4]

“隱私說”借鑒了美國對(duì)“個(gè)人信息”的保護(hù)模式。美國法律體系中沒有專門的個(gè)人信息保護(hù)法，也沒有獨(dú)立的“個(gè)人信息”概念，而是將“個(gè)人信息”納入到隱私權(quán)保護(hù)范疇，分散在《防止身份盜竊及假冒法》《身份盜竊加重法案》刑事法律和《隱私權(quán)法》《信息自由法》《電子通訊隱私法》等其他法律中。美國法律保護(hù)的隱私權(quán)是一種開放性的框架權(quán)利，信息主體對(duì)“個(gè)人信息”可以自由決定、控制和支配，違背信息主體意志的利用行為都可能構(gòu)成對(duì)隱私權(quán)的侵犯。然而，我國法律中隱私權(quán)是作為一種具體人格權(quán)存在的，保護(hù)對(duì)象僅限于私密性的私人信息或者私人活動(dòng)，“個(gè)人信息”與“隱私”雖然存在交叉，但并非所有侵犯“個(gè)人信息”的行為都侵害了隱私權(quán)。例如，非法利用已經(jīng)公開的“個(gè)人信息”的行為未必侵犯隱私權(quán)，卻可能構(gòu)成違法犯罪。因此，我國與美國在隱私權(quán)概念方面的差異決定了不能直接將“個(gè)人信息”與“隱私”等同看待，更不能將“個(gè)人信息”完全納入隱私權(quán)保護(hù)范圍之中。

(二)識(shí)別說

該學(xué)說強(qiáng)調(diào)信息對(duì)個(gè)人身份的識(shí)別，因而具有“可識(shí)別性”的信息才是“個(gè)人信息”。“可識(shí)別性是指相關(guān)信息與特定公民具有一定的關(guān)聯(lián)性和專屬性，通過這些信息能夠把信息主體直接識(shí)別出來，或者與其他信息互相集合間接識(shí)別出信息主體的身份”。[5]姓名、性別、年齡、職業(yè)、家庭住址、身份證號(hào)碼、手機(jī)號(hào)碼等能夠單獨(dú)或結(jié)合識(shí)別自然人身份的信息均屬于“個(gè)人信息”范疇。

“識(shí)別說”與歐洲和大陸法系國家對(duì)“個(gè)人信息”的定義模式類似，均把“可識(shí)別性”作為“個(gè)人信息”概念的核心詞。如《德國聯(lián)邦數(shù)據(jù)保護(hù)法》第3條規(guī)定“個(gè)人數(shù)據(jù)指關(guān)于個(gè)人或已識(shí)別、能識(shí)別的個(gè)人(數(shù)據(jù)主體)的客觀情況的信息”；《日本個(gè)人信息保護(hù)法》第2條規(guī)定“個(gè)人信息就是指有關(guān)或者的個(gè)人的信息，根據(jù)該信息所含有姓名、出生年月以及其他一些描述，能把該個(gè)人從他人中識(shí)別出來的與該個(gè)人相關(guān)的信息”。應(yīng)當(dāng)指出的是，國外一般將“個(gè)人信息”的定義規(guī)定在單行的信息或數(shù)據(jù)保護(hù)法中，同時(shí)在刑法典中設(shè)置專門“個(gè)人信息”保護(hù)罪名，而我國刑法雖然設(shè)立了專門的罪名，但缺乏單行立法配套適用，只能援引其他法律法規(guī)的規(guī)定，規(guī)定的差異又造成了對(duì)“個(gè)人信息”概念存在選擇上的困惑。

“隱私說”和“識(shí)別說”爭議的焦點(diǎn)在于：作為保護(hù)對(duì)象的“個(gè)人信息”應(yīng)當(dāng)以“隱私性”還是“可識(shí)別性”為核心特征？若采取“隱私說”，利用已經(jīng)公開的“個(gè)人信息”實(shí)施犯罪的行為則無法納入法律評(píng)價(jià)范圍，縮小法律對(duì)個(gè)人權(quán)益的保護(hù)，造成評(píng)價(jià)不充分的后果。相反，“識(shí)別說”把“可識(shí)別性”作為“個(gè)人信息”的基礎(chǔ)特征，既符合我國法律規(guī)定現(xiàn)狀，也有利于對(duì)“個(gè)人信息”的全面保護(hù)，因此筆者主張建立以“可識(shí)別性”為核心特征的“個(gè)人信息”概念。

“我父親性格開朗，樂觀豁達(dá)。現(xiàn)在除腿腳有些不方便外，眼不花，耳不聾，神志非常清楚，記憶力超好，仍堅(jiān)持吟詩寫文。”湯甲真的三女兒、巴陵石化退休職工湯立紅說。最近，老人家又創(chuàng)作了《國慶六十九周年》《2018年老年節(jié)感賦》等詩文。

應(yīng)注意的是，上述對(duì)“個(gè)人信息”概念的討論是在未區(qū)分部門法律基礎(chǔ)上進(jìn)行的，作為刑法保護(hù)對(duì)象的“個(gè)人信息”，是否應(yīng)當(dāng)與其他法律法規(guī)在立法定義上保持一致？學(xué)界存在一致說和區(qū)別說兩種觀點(diǎn)。一致說將“個(gè)人信息”概念作統(tǒng)一解釋，認(rèn)為“公民個(gè)人信息作為法律保護(hù)的對(duì)象，無論是民法、行政法、刑法保護(hù)的范圍應(yīng)當(dāng)是一致的，只是因?yàn)閭€(gè)人信息所遭受侵害的嚴(yán)重程度不同而采取輕重不同的法律保護(hù)手段…所以，公民個(gè)人信息的內(nèi)涵和外延在法律保護(hù)的范疇內(nèi)應(yīng)當(dāng)是一致的”。[6]區(qū)別說則認(rèn)為“由于刑法保護(hù)與行政法保護(hù)在手段嚴(yán)厲上具有明顯差異，公民個(gè)人信息的刑法界定不能完全依賴于行政法對(duì)個(gè)人信息的概念界定”。[7]筆者贊同區(qū)別說，因?yàn)樾袨閷?duì)象與保護(hù)法益相關(guān)聯(lián)，刑法保護(hù)的法益具有采用刑罰手段保護(hù)的必要性，而與此種法益相匹配的“個(gè)人信息”也必須具有值得刑法保護(hù)的價(jià)值，這是刑法保障性作用的體現(xiàn)。因此，在確定作為刑法保護(hù)對(duì)象的“個(gè)人信息”概念時(shí)，應(yīng)當(dāng)結(jié)合刑法特點(diǎn)定義。

三、考量因素：法益、屬性與理念

刑法應(yīng)當(dāng)考慮多種因素綜合定義“個(gè)人信息”，避免因定義不準(zhǔn)確造成罪與非罪的界限的模糊。依據(jù)刑法對(duì)法益保護(hù)的特點(diǎn)，以下幾種因素應(yīng)該著重考量：

(一)保護(hù)法益：“個(gè)人信息權(quán)”的確立

“犯罪行為是要通過作用于行為對(duì)象來侵犯法益，而行為對(duì)象本身又是體現(xiàn)法益的，故可以通過刑法對(duì)行為對(duì)象特征的規(guī)定確定法益內(nèi)容”。[8]侵犯公民個(gè)人信息罪保護(hù)的對(duì)象是“個(gè)人信息”，那么是否存在一種作為該罪保護(hù)法益的“個(gè)人信息權(quán)”呢？筆者認(rèn)為，應(yīng)當(dāng)確立“個(gè)人信息權(quán)”為侵犯公民個(gè)人信息罪的保護(hù)法益。

雖然我國法律未明確提及“個(gè)人信息權(quán)”概念，但憲法與民法的規(guī)定可以合法、合理地推導(dǎo)出“個(gè)人信息權(quán)”作為一項(xiàng)具體人格權(quán)存在?！稇椃ā返?8條“中華人民共和國公民的人格尊嚴(yán)不受侵犯”承認(rèn)“人格尊嚴(yán)”是公民的基本權(quán)利。從權(quán)利關(guān)系看，“人格尊嚴(yán)”既是基本權(quán)利，也是體現(xiàn)公民人格利益的一般人格權(quán)，其可以細(xì)化為“隱私權(quán)”“名譽(yù)權(quán)”“肖像權(quán)”等多項(xiàng)具體人格權(quán)，因此，“人格尊嚴(yán)”屬于上位概念而規(guī)定在基本法，具體人格權(quán)作為下位概念分布于基本法之下的法律法規(guī)中。從體系位置看，《民法總則》第111條對(duì)“個(gè)人信息”保護(hù)的規(guī)定被置于“民事權(quán)利”一章，雖未明確列舉“個(gè)人信息權(quán)”，但間接承認(rèn)了該權(quán)利確實(shí)存在，而侵犯公民個(gè)人信息罪被設(shè)置在刑法分則第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”之中，也暗示了該罪保護(hù)的應(yīng)當(dāng)是某種與公民“個(gè)人信息”有關(guān)的具體權(quán)利。承認(rèn)“個(gè)人信息權(quán)”作為刑法保護(hù)的法益并不違反憲法，也與民法規(guī)定保持一致。就具體內(nèi)涵來講，“個(gè)人信息權(quán)”是指公民個(gè)人對(duì)其信息的支配、控制、決定、排除侵害的權(quán)利。主流觀點(diǎn)認(rèn)為侵犯公民個(gè)人信息罪的保護(hù)法益為公民的“個(gè)人信息的自由與安全”[9]，該觀點(diǎn)的核心是公民對(duì)個(gè)人信息的自由支配與不受侵犯的權(quán)利，與“個(gè)人信息權(quán)”觀點(diǎn)旨趣相同。

有學(xué)者認(rèn)為，“侵犯公民個(gè)人信息罪所保護(hù)的法益應(yīng)為人格尊嚴(yán)與個(gè)人自由，個(gè)人隱私只是人格尊嚴(yán)的組成部分”。[10]筆者并不認(rèn)同這種觀點(diǎn)，基于以上對(duì)一般人格權(quán)和具體人格權(quán)的論述，如果將侵犯公民個(gè)人信息罪保護(hù)法益理解為抽象的“人格尊嚴(yán)與人格自由”，那么所有侵犯隱私信息的行為都可能因?yàn)榍趾α斯竦摹半[私權(quán)”而被認(rèn)為構(gòu)成犯罪，但刑法并不完全保護(hù)隱私，“個(gè)人信息”與“個(gè)人隱私”的交叉關(guān)系決定了只有交叉部分的隱私信息才會(huì)被納入到刑法“個(gè)人信息”的范疇，因此，采用上述觀點(diǎn)會(huì)存在無限擴(kuò)張刑法“個(gè)人信息”范圍的危險(xiǎn)，混淆刑法與前置法在權(quán)利保護(hù)上的分工關(guān)系。認(rèn)為該罪保護(hù)法益為公民“隱私權(quán)”的觀點(diǎn)更難以成立。

(二)法益屬性：超個(gè)人法益

超個(gè)人法益是指非專屬于個(gè)人的法益，其形象體現(xiàn)為國家和社會(huì)的整體。[11]超個(gè)人法益專注于公共利益，站在公眾共同體的立場上對(duì)社會(huì)安寧和秩序法益提供積極保護(hù)。與民法的私權(quán)保護(hù)不同，刑法在面對(duì)具有廣泛社會(huì)危害性和多樣法益侵害性的行為時(shí)，應(yīng)當(dāng)積極擔(dān)負(fù)起犯罪規(guī)制和法益保護(hù)的職能，避免前置法對(duì)權(quán)利保護(hù)不周全而引起更嚴(yán)重的法益侵害后果。個(gè)人信息犯罪的超個(gè)人法益屬性體現(xiàn)為以下兩點(diǎn)：

第一，個(gè)人信息犯罪多是針對(duì)不特定多數(shù)信息主體實(shí)施的，受害主體具有公眾性，容易引發(fā)公共安全問題。數(shù)據(jù)庫的建立使“個(gè)人信息”常常以信息集合的形式出現(xiàn)，信息存儲(chǔ)量十分巨大，一旦數(shù)據(jù)庫信息被泄露或非法獲取，將會(huì)造成眾多的信息主體的關(guān)聯(lián)權(quán)益難以得到有效保障，引發(fā)社會(huì)問題。因而，信息犯罪的危害性也已經(jīng)超越對(duì)單個(gè)信息主體，而具有了一定的社會(huì)性。

第二，個(gè)人信息犯罪不僅會(huì)侵犯公民的“個(gè)人信息權(quán)”，還會(huì)帶來對(duì)信息主體人身、財(cái)產(chǎn)安全的威脅。現(xiàn)如今，個(gè)人信息犯罪已經(jīng)發(fā)展出一條“源頭—中間商—非法使用人員”的黑色產(chǎn)業(yè)鏈，“個(gè)人信息”的獲取是產(chǎn)業(yè)鏈的第一環(huán)，侵犯“個(gè)人信息”后的非法利用行為危害巨大，極有可能引發(fā)網(wǎng)絡(luò)詐騙、電信詐騙等下游犯罪和滋擾型犯罪的實(shí)施，因而信息犯罪的危害性已經(jīng)超出對(duì)信息權(quán)益侵犯本身，而具有一定的法益關(guān)聯(lián)性。

(三)規(guī)制理念：刑法的謙抑性

刑法的謙抑性，是指在使用民事救濟(jì)或者行政制裁等其他手段能夠解決問題的時(shí)候，就應(yīng)當(dāng)使用其他制裁手段，只有在具有不得不使用刑罰進(jìn)行處罰的法益侵害或者威脅的時(shí)候，才可以將該行為作為犯罪。[12]作為二次保障法，刑法在規(guī)制法定犯時(shí)也應(yīng)以謙抑性為理念，妥當(dāng)?shù)卣{(diào)整與前置法的關(guān)系。因此，界定“個(gè)人信息”范圍應(yīng)當(dāng)注意對(duì)隱私信息選擇性保護(hù)，為民法作用發(fā)揮留足空間。

“個(gè)人隱私”與“個(gè)人信息”存在不同面向，應(yīng)根據(jù)信息特點(diǎn)作區(qū)別處理。“個(gè)人隱私”體現(xiàn)的是公民的隱私權(quán)，而隱私權(quán)是一種絕對(duì)權(quán)，主要面向民法保護(hù)，刑法對(duì)隱私權(quán)的保護(hù)體現(xiàn)為侵犯通訊自由罪，私自開拆、隱匿、毀棄郵件、電報(bào)罪，侮辱罪等少數(shù)幾個(gè)罪名。隱私具有個(gè)體性，而是否侵犯了隱私權(quán)容易陷主觀判斷，因此，刑法對(duì)隱私權(quán)采取克制態(tài)度，更多地將其交由民法調(diào)整，這正是刑法謙抑性的體現(xiàn)。而且，個(gè)人信息犯罪所體現(xiàn)的超個(gè)人法益屬性也向刑法提出了保護(hù)“個(gè)人信息權(quán)”而非“隱私權(quán)”的要求。

四、范圍界定：基于信息特點(diǎn)的判斷

在充分考量保護(hù)法益、法益屬性和刑法謙抑性理念的基礎(chǔ)上，借鑒域外立法經(jīng)驗(yàn)，筆者認(rèn)為，可將“個(gè)人信息”定義為：以某種方式固定下來的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人身份的各種有利用價(jià)值的真實(shí)信息。這種定義在堅(jiān)持以“可識(shí)別性”作為“個(gè)人信息”核心特征的同時(shí)，兼顧了刑法保護(hù)法益的特點(diǎn)，合理劃定了“個(gè)人信息”的保護(hù)范圍。

(一)“個(gè)人信息”的特點(diǎn)

根據(jù)定義，“個(gè)人信息”須同時(shí)滿足固定性、身份識(shí)別性、真實(shí)性和價(jià)值利用性四項(xiàng)要求，才能受到刑法保護(hù)。有必要對(duì)其各自內(nèi)涵作具體分析。

第一，固定性。“固定性”要求信息能夠以電子或其他方式在一定載體上記錄下來?！皞€(gè)人信息”因?yàn)楸惶幚?包括獲取、篡改、加工等)而成為侵犯公民個(gè)人信息罪的犯罪對(duì)象，處理的前提是信息能夠被查詢，只有固定在一定載體(包括電子和紙質(zhì)載體)，并單獨(dú)或與其他信息組合識(shí)別信息主體的身份的信息方可查詢，未經(jīng)固定的口頭信息難以被處理而被排除在“個(gè)人信息”范圍之外(附著在一定載體上的口頭信息可以成為犯罪對(duì)象)。之所以要求“個(gè)人信息”的“固定性”，一方面是出于保護(hù)范圍規(guī)范化和限定化考慮，防止“個(gè)人信息”法律保護(hù)范圍的不確定性，另一方面是為了避免對(duì)“個(gè)人信息”過度保護(hù)而禁錮了其利用價(jià)值的發(fā)揮。這種考慮主要借鑒了香港《個(gè)人資料條例》的立法經(jīng)驗(yàn)，其第2條第三項(xiàng)規(guī)定“個(gè)人資料的存在形式令予以查閱及處理是切實(shí)可行的”。

第二，身份識(shí)別性?！吧矸葑R(shí)別性”是指能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份。識(shí)別的對(duì)象必須為自然人個(gè)人身份。識(shí)別的方式可分為單獨(dú)識(shí)別與結(jié)合識(shí)別兩種，單獨(dú)識(shí)別自然人身份的信息包括DNA、身份證號(hào)碼、指紋、面貌等特定幾種，這些信息的共同特征是具有唯一性，能夠直接依據(jù)該種信息鎖定具體個(gè)人；結(jié)合識(shí)別則是由于信息的重復(fù)性較高、完整性較低，需要多種不同信息相互印證才能辨識(shí)出具體個(gè)人，例如姓名+性別+家庭住址的組合具有了身份識(shí)別性，但單個(gè)信息本身不具有特定識(shí)別性的特征，故不能將其單獨(dú)認(rèn)定為“個(gè)人信息”。手機(jī)定位、車輛軌跡等行蹤信息雖然具有私密性，但實(shí)名制的推廣使行為主體也有了通過行蹤信息與姓名、手機(jī)號(hào)碼等信息結(jié)合識(shí)別特定個(gè)人的身份的可能，從該意義上講，行蹤信息屬于“個(gè)人信息”與“個(gè)人隱私”的交叉部分，也受刑法保護(hù)。網(wǎng)絡(luò)實(shí)名制也使賬號(hào)+密碼的上網(wǎng)準(zhǔn)入條件所包含的有效信息含量更加豐富，各種信息之間相互印證的功能顯著增強(qiáng)，識(shí)別具體個(gè)人所要求的信息數(shù)量將會(huì)大幅減少。

第三，真實(shí)性?！罢鎸?shí)性”是有效識(shí)別特定個(gè)人身份的基礎(chǔ)。面對(duì)海量的個(gè)人信息，司法機(jī)關(guān)為提高辦案效率，經(jīng)常采用“等約計(jì)量”的方式，從信息庫中選取一定數(shù)量的信息做樣本，采取抽樣審查的方法查證樣本的真實(shí)性概率，然后依據(jù)該概率推算所查獲“個(gè)人信息”的真實(shí)性數(shù)量。這種對(duì)個(gè)人信息的真實(shí)性的判斷僅是依靠經(jīng)驗(yàn)法則和概率計(jì)算，容易受計(jì)算方法、操作規(guī)則等因素的影響而導(dǎo)致估算與實(shí)際的誤差。但從理論上講，只有真實(shí)的個(gè)人信息才能實(shí)現(xiàn)信息主體身份的有效識(shí)別，才會(huì)構(gòu)成對(duì)“個(gè)人信息權(quán)”的侵犯，不能因?yàn)槿∽C困難而降低犯罪構(gòu)成的標(biāo)準(zhǔn)。并且，要求信息的“真實(shí)性”有其特殊價(jià)值。其一，能夠區(qū)分罪與非罪。侵犯公民個(gè)人信息罪的行為方式主要分為輸出(出售或非法提供)和輸入(竊取或以其他方式非法獲取)兩種類型。若行為人不知其非法獲取的“個(gè)人信息”為虛假信息，即使具有非法利用的故意也不可能真正實(shí)施利用行為造成法益侵害，因認(rèn)識(shí)錯(cuò)誤而不構(gòu)成犯罪。其二，能夠區(qū)分此罪與彼罪。當(dāng)行為人明知是虛假的個(gè)人信息仍實(shí)施出售或非法提供行為時(shí)，可能構(gòu)成詐騙罪而非侵犯公民個(gè)人信息罪。

第四，價(jià)值利用性。信息應(yīng)當(dāng)具有“價(jià)值利用性”，與人身、財(cái)產(chǎn)等利益相關(guān)聯(lián)《民法總則》增加“個(gè)人信息”保護(hù)的規(guī)定，一定程度上對(duì)“個(gè)人信息權(quán)”保護(hù)起到分流作用，因此，刑法需要為民法作用的發(fā)揮預(yù)留空間，以保證刑法與前置法的協(xié)調(diào)?？紤]到“個(gè)人信息”常被用于實(shí)施網(wǎng)絡(luò)詐騙、信用卡詐騙、洗錢等下游犯罪活動(dòng)，只有具備財(cái)產(chǎn)屬性和人格屬性的“個(gè)人信息”才能在下游犯罪中發(fā)揮作用，故要求刑法所保護(hù)的“個(gè)人信息”具有“價(jià)值利用性”。如果侵犯的“個(gè)人信息”根本不能對(duì)下游違法犯罪活動(dòng)提供幫助，則該信息不具有刑法保護(hù)價(jià)值，不能成為刑法保護(hù)對(duì)象。

(二)兩種特殊類型的“個(gè)人信息”

相較于傳統(tǒng)社會(huì)，網(wǎng)絡(luò)空間中的“個(gè)人信息”表現(xiàn)形式更為復(fù)雜。網(wǎng)絡(luò)用戶的信息按照內(nèi)容可分為身份信息、隱私信息、日志信息和公開信息四種類型，其中，日志信息突破了“個(gè)人信息”的傳統(tǒng)形式，是否應(yīng)予刑法保護(hù)爭議最大。日志信息是指用戶使用互聯(lián)網(wǎng)服務(wù)過程中產(chǎn)生的信息，如用戶消費(fèi)信息、服務(wù)訂購信息、訪問信息(如IP地址)、位置信息及網(wǎng)絡(luò)行為信息(如網(wǎng)頁購物記錄、搜索內(nèi)容)、Cookies等。[13]從整體來看，日志信息滿足了固定性、身份識(shí)別性、真實(shí)性和價(jià)值利用性的特征，符合刑法中“個(gè)人信息”的范圍，但I(xiàn)P地址和Cookies信息能否單獨(dú)認(rèn)定為“個(gè)人信息”尚存疑問。

其一，IP地址。用戶的上網(wǎng)行為可以表示為三元組<互聯(lián)網(wǎng)用戶標(biāo)識(shí)，信息服務(wù)獲取方式，互聯(lián)網(wǎng)信息服務(wù)>，其中用戶標(biāo)識(shí)具有唯一性，用于區(qū)分用戶，通常是用戶名或者用戶IP地址。[14]單獨(dú)的IP地址能否被視為“個(gè)人信息”在國外司法認(rèn)定中存在爭議。法國上訴法院認(rèn)定IP地址不屬于“個(gè)人信息”；英國則以IP地址所連接的計(jì)算機(jī)是否為一個(gè)人使用區(qū)分是否屬于“個(gè)人信息”；德國法院則將IP地址區(qū)分為靜態(tài)和動(dòng)態(tài)兩種，靜態(tài)IP地址與某一固定的計(jì)算機(jī)以及與某一確定的用戶相聯(lián)系，可以被視為是個(gè)人信息，而動(dòng)態(tài)的IP地址只能被用戶的網(wǎng)絡(luò)服務(wù)商(ISP)通過登錄的日期和時(shí)間等要素識(shí)別出具體的用戶，因此也可以認(rèn)為具有“可識(shí)別性”。[15]筆者認(rèn)為德國的司法經(jīng)驗(yàn)可供借鑒?！皞€(gè)人信息”強(qiáng)調(diào)的是個(gè)人身份屬性，只有能夠識(shí)別具體用戶身份的信息才有保護(hù)價(jià)值。IP地址雖然可以隨時(shí)修改，但無論動(dòng)態(tài)還是靜態(tài)地址，只要通過既有的登錄信息可以鎖定特定用戶并對(duì)用戶信息安全構(gòu)成威脅，則該信息就符合“個(gè)人信息”的四個(gè)特點(diǎn)而受刑法保護(hù)，否定IP地址“個(gè)人信息”的地位可能造成處罰漏洞。

其二，Cookies信息。Cookies是用戶瀏覽網(wǎng)頁后會(huì)在網(wǎng)絡(luò)服務(wù)器上保留的瀏覽痕跡，這些痕跡用來記錄用戶瀏覽的網(wǎng)址、登錄信息等，以方便用戶下次打開網(wǎng)頁時(shí)不必再重復(fù)操作。然而，Cookies是在用戶完全不知情的狀態(tài)下進(jìn)行的跟蹤和記錄(除非預(yù)先在瀏覽器選項(xiàng)中手動(dòng)將其設(shè)置為禁用模式)，網(wǎng)絡(luò)服務(wù)商運(yùn)用一定技術(shù)對(duì)Cookies進(jìn)行收集、整理和分析，然后將這些信息提供給在線廣告商作商業(yè)推廣，并從中抽取利潤。Cookies雖然形式上有別于傳統(tǒng)“個(gè)人信息”，但從實(shí)質(zhì)上講，運(yùn)用技術(shù)對(duì)真實(shí)的Cookies信息進(jìn)行處理，完全能夠建立單獨(dú)的用戶模型識(shí)別特定個(gè)人身份，進(jìn)而針對(duì)或利用信息主體實(shí)施違法犯罪活動(dòng)。因此，Cookies信息完全可以被視為“個(gè)人信息”納入刑法保護(hù)范疇。

(三)自我公開的信息也應(yīng)受保護(hù)

實(shí)踐中，經(jīng)常出現(xiàn)被害人將自己的“個(gè)人信息”發(fā)布到網(wǎng)絡(luò)上然后被人收集、利用而遭受侵害的情形。已經(jīng)公開的信息依然滿足“個(gè)人信息”的四個(gè)特點(diǎn)，但能否一律保護(hù)仍存疑問。被害人自我答責(zé)理論認(rèn)為，被害人基于自己的認(rèn)識(shí)與意志接受危險(xiǎn)并對(duì)結(jié)果的發(fā)生處于支配地位，因而對(duì)應(yīng)當(dāng)給將危險(xiǎn)結(jié)果歸屬于自身，而行為人因此不受刑罰，當(dāng)個(gè)人在網(wǎng)上公開發(fā)布個(gè)人身份信息而被他人非法利用時(shí)，應(yīng)適用自我答責(zé)理論排除他人的刑事違法性。

筆者認(rèn)為，被害人自行公開的信息仍舊屬于刑法意義上的“個(gè)人信息”，應(yīng)當(dāng)受到保護(hù)?！毒W(wǎng)絡(luò)安全法》第41、42條都規(guī)定“個(gè)人信息”的收集、使用、提供等需要“經(jīng)被收集者同意”或者“經(jīng)處理無法識(shí)別特定個(gè)人”，這種“告知—同意”、“匿名化”處理的信息使用模式目的在于確保被害人對(duì)“個(gè)人信息”用途的決定與支配，以避免使自己陷于不利地位。《網(wǎng)絡(luò)安全法》只承認(rèn)網(wǎng)絡(luò)服務(wù)服務(wù)提供者是合法的信息收集者，非網(wǎng)絡(luò)服務(wù)提供者不具有收集信息的地位與職權(quán)，更不能違背信息主體的意志決定信息用途。因此，即使被害人公開了“個(gè)人信息”，也不意味著被害人放棄了對(duì)信息用途的知情權(quán)和支配權(quán)，非法收集、出售或非法提供被害人自行公開的“個(gè)人信息”依舊可能構(gòu)成刑事犯罪。

[1]袁夢倩."被遺忘權(quán)"之爭--大數(shù)據(jù)時(shí)代的數(shù)字化記憶與隱私邊界[J].學(xué)海，2015，(4).

[2]蔡長春.去年查獲公民個(gè)人信息307億余條[N].法制日?qǐng)?bào)，2017-2-14(003).

[3]馬改然.個(gè)人信息犯罪研究[M].北京：法律出版社，2015：1.

[4]張明楷.規(guī)范的構(gòu)成要件要素[J].法學(xué)研究，2007，(6).

[5]付強(qiáng).非法獲取公民個(gè)人信息罪的認(rèn)定[J].國家檢察官學(xué)院學(xué)報(bào)，2014，(2).

[6]葉良芳，應(yīng)家赟.非法獲取公民個(gè)人信息罪之"公民個(gè)人信息"的教義學(xué)闡釋--以《刑事審判參考》第1009號(hào)案例為樣本[J].浙江社會(huì)科學(xué)，2016，(4).

[7]趙江輝，陳慶瑞.公民個(gè)人信息的刑法保護(hù)[J].中國檢察官，2006，(4).

[8]吳盛.對(duì)《刑法修正案(七)》(草案)第六條的完善建議[N].檢察日?qǐng)?bào)，2008-9-16(008).

[9]張明楷.刑法分則的解釋原理[M].北京：中國人民大學(xué)出版社，2004：140.

[10]趙秉志.公民個(gè)人信息刑法保護(hù)問題研究[J].華東政法大學(xué)學(xué)報(bào)，2014，(1)；高銘暄，馬克昌主編.刑法學(xué)(第六版)[M].北京：北京大學(xué)出版社，2014：481.

[11]高富平，王文祥.出售或非法提供公民個(gè)人信息入罪的邊界--以侵犯公民個(gè)人信息罪所保護(hù)的法益為視角[J].政治與法律，2017，(2).

[12]賈健.人類圖像與刑法中的超個(gè)人法益--以自由主義和社群主義為視角[J].法制與社會(huì)發(fā)展，2015，(6).

[13]黎宏.日本刑法精義[M].北京：北京大學(xué)出版社，2008：36.

[14]彭云.分級(jí)分類保護(hù)用戶個(gè)人信息[N].人民郵電，2013-9-9(007).

[15]葉濤.從蛛絲馬跡中探尋事實(shí)真相--利用日志信息調(diào)查互聯(lián)網(wǎng)用戶的行為規(guī)律[J].調(diào)研世界，2012，(2).

[16]石佳友.網(wǎng)絡(luò)環(huán)境下個(gè)人信息保護(hù)立法[J].蘇州大學(xué)學(xué)報(bào)，2012，(6).

(責(zé)任編輯：杜婕)

The Scope of Personal Information in Criminal Law under the Network Security

ZHAO Zong-tao

( Faculty of Law, East China University of Political Science and Law, Shanghai 200042, China )

Personal information is facing the risk of serious violation under the environment of big data, network security law and other laws have different ranges on personal information, causing a problem of judicial cognizance. Compared with "privacy", the "identification" concept pattern conforms to our country's law present situation. Fully consider three factors, protection benefit, properties and regulation of legal interest, "personal information" under protection of the criminal law can be defined as "fixed down in some way to separate or combined with other information identifies the natural person to a variety of useful real information". Based on the judgment of these four constituent elements, solid, identity, authenticity and value using, we are able to define the scope of "personal Information"accurately. Collect or sell illegally, provide self-publicized "personal information"illegally may be a crime.

personal information; right of personal information; identifiability ; personal privacy ; network security

2017-03-28

華東政法大學(xué)研究生創(chuàng)新項(xiàng)目“網(wǎng)絡(luò)安全視野下個(gè)人信息權(quán)刑法保護(hù)研究”(2017-4-044)

趙宗濤(1992-)，男，山東滕州人，在讀碩士研究生，主要從事刑法學(xué)研究。

D914

A

1008-7605(2017)03-0082-06