【每日】周光权:刑法中个人信息概念的具体把握
邀您加入“刑辩参考”群。
在《刑法视野中个人信息概念的相对理解》(《法治日报》2021年9月1日9版)一文中,笔者主张对于刑法中的个人信息概念应当在一定程度上做不同于民事法律的相对理解。接下来,简要分析一下个人信息概念的具体把握问题。
首先,个人信息应当具有可识别性。个人信息必须与自然人相关联,而且与特定自然人相关联,同时具有识别性,即通过该信息已识别或者可识别特定自然人。
(1)个人信息必须与特定化的自然人关联,这是公民个人信息所具有的关键属性。个人信息要能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况,因此,经过匿名化处理后无法识别特定个人且不能复原的信息,虽然也可能反映自然人的活动情况,但与特定的自然人无直接关联,不属于公民个人信息的范畴。
根据个人信息保护法第四条的规定,个人信息不包括匿名化处理后的信息。在有的案件中,行为人与他人交换信息,但其中企业注册登记信息的数量特别大,姓名采用代称(如记录为周经理、李总等称呼或仅有王、冯等姓氏)的,无法识别到特定自然人,这些信息都属于经过匿名化处理的信息,在计算犯罪的个人信息数量时,应当予以剔除。
此外,行为人在交换信息之前将信息对应性消除导致信息不真实(如将不同名单的姓名和手机号码进行对调)的,个人姓名虽然还存在,但该信息事实上经过了行为人的匿名化处理,无法对应特定自然人,不属于本罪的个人信息。此时,通过交换获取非法利益的行为人不构成本罪,具有骗取对方财产性利益的性质,对于这种与不法原因给付有关的问题,按照实践及理论上多数说的观点,有成立诈骗罪的余地。
(2)个人信息经过处理后能否识别特定个人是一个相对的概念,对其的判断需要考虑国民的认同。随着大数据技术等信息技术的飞速发展,对信息进行处理的技术日益完善,很多单独看难以识别信息主体的信息(如购物喜好、饮食偏好、出行方式、交往圈子等),都可能通过足够的大数据画像等技术手段最终处理成能够识别具体个人的信息,尤其是一些网络公司在穷尽一切手段,收集到足够多的针对特定对象的海量数据之后,通过对信息的系统化处理能力的运用,在经过复杂的关联性分析后,能够对特定自然人进行辨识。那么,对于海量的信息必须结合在一起进行分析,且需要耗费大量人力物力,经过无数次技术处理或转化后才能指向特定自然人的,不应当视为这里的“可识别特定自然人”,否则对数据和信息的合理利用就会受到限制,互联网公司与个人之间的利益平衡就会被打破。
其次,个人信息属于有效的信息。信息必须有效,这是定罪时不能忽略的硬性要求。对于信息没有进行匿名化处理,但行为人为获取高额经济利益,提供重复信息以增加信息数量的,或者信息经多次流转,行为人获得的信息重复量大的,或信息明显虚假、无效(如手机号仅有10位数字)的,这些信息由于其不能对应到具体公民,不属于本罪的个人信息。
对此,如果行为人提出信息不真实、有重复等辩解的,要提出材料和线索并履行说服责任,司法上对行为人的辩解也不能坐视不管。
最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日发布,以下简称2017年刑事司法解释)第十一条规定,对批量公民个人信息的条数,根据查获的数量直接认定,但是有证据证明信息不真实或者重复的除外。在实务中,绝大部分案件在被告方提出信息无效、不真实的辩解之后,判决通常认为,被告人一方仅提出可能存在信息重复或不真实的辩解,但无确切依据,或未提供相关证据证实,公诉机关对涉案信息数量的认定方式符合法律规定,相关辩解与事实和法律不符,不予采纳。
但是,在有的案件中,法官也未必对于指控的信息数量“照单全收”。对于无效或可疑信息,从目前判决看,大致有三种处理方式:
其一,由于在案信息可能存在重复,他人非法使用这些信息的成功率也不高,因此,在量刑时酌情考虑从宽处罚。
其二,在公诉机关指控信息和数据数量的基础上,从有利于被告人的角度将部分存疑的信息或数据予以剔除,“就低”认定涉案的信息和数据数量。
其三,同案犯及被告人均供述非法获取的账号、密码大量存在错误,仅有一定比例能正常使用,最终按照供述的比例计算有效信息数量,或者按照辩护人随机选取数据所做实验记录的重复率在总数中予以扣除。上述三种处理方式均难言完美,但考虑到类似案件精准计算信息数量的困难程度,可以认为其中的多数审判结果相对具有合理性。
最后,刑法中对某些信息凸显与个人行动自由的关联性,弱化可识别性。根据2017年刑事司法解释第五条第3款的规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,属于“情节严重”,构成本罪。由于侵犯行踪轨迹信息的入罪标准相对较低,实践中应严格把握其范围,只宜理解为与个人行动自由、人身安危有关联的GPS定位信息、车辆轨迹信息以及其他可以直接定位特定自然人具体坐标的信息。
这里的“其他”信息应当具备三个条件:(1)该信息能够识别特定自然人;(2)精度上应达到GPS定位信息、车辆轨迹信息的同等标准;(3)该信息应当能直接反映特定自然人所处的具体位置。
这说明,虽然按照法秩序统一性原理,刑法和民法等部门法保护个人信息的规范目的并无根本差别,对于民法学者所提倡的个人信息权是一种新型的具体人格权,是“一项新兴的民事权利”的主张(参见王利明:《论个人信息权在人格权法中的地位》,《苏州大学学报(哲学社会科学版)》2012年第6期),在刑法学中也应该认可。不过,刑法中个人信息范围与民法典等部门法相比可能更为限缩,这是由本罪的保护法益所决定的。对此,需要结合本罪在刑法分则中所处的位置进行体系解释。体系秩序的要求表明法律条文的编排都是有意义的(参见[德]英格博格·普珀:《法学思维小学堂》,蔡圣伟译,北京大学出版社2011年版,第57页)。
本罪属于侵犯人身权利罪,因此,个人对自身特定的可识别信息的自主权就成为本罪的保护法益,这是对个人意思自治、自我决定权的尊重。要构成本罪,就必须对这种自我决定权存在侵害或者危险。在这个意义上,可以认为本罪是将特定情形下的故意杀人、抢劫、绑架、非法拘禁等罪的预备行为予以正犯化,行踪、定位等信息在与特定个人的行动自由、生命身体安全有紧密关联的意义上,具备广义的可识别性特征。那么,对于定位信息模糊或者存在重大偏离的情形,对于公民个人行动自由的危险较小,对于个人信息自主权的侵害不值得动用刑法保护,在民事领域按照侵权行为处理即为已足。