第一节 “公民个人信息”保护的刑法定位与规则设计
当前大数据时代背景下,“公民个人信息”被规模空前地搬上历史舞台,进入公众工作生活的各个领域,“公民个人信息”的刑法保护面临着严峻的挑战。鉴于此,刑事立法、刑事司法以及学界不断探讨“公民个人信息”的刑法保护路径,通过增修刑法、更新司法解释扩张“公民个人信息”的保护范围。但是,传统刑法保护模式受制于公民个人信息权利定位的影响,没有赋予“公民个人信息”以独立的法益地位,而是附属于其他法益进行“附属化”的刑法保护,导致刑法随着境况的变迁不得不对“公民个人信息”内涵外延不断地进行“救火式”修补,极大地影响了“公民个人信息”的刑法保护。
一、“公民个人信息”保护的刑法地位:“附属化”保护模式
“公民个人信息”在信息时代以前并不是刑法重点关注的对象,而是作为依附于国家法益、社会法益以及公司商业秘密的“附属性信息”[1]进行保护。从刑法关于“公民个人信息”保护的立法、司法思路来看,无不体现着刑法对其他相关犯罪的预防性、前置性立法思维,而非单纯对“公民个人信息”的保护。
(一)附属于金融管理秩序:窃取、收买、非法提供信用卡信息罪
2005年《刑法修正案(五)》增设《刑法》第177条之一第2款窃取、收买、非法提供信用卡信息罪,率先对公民个人信用卡信息资料进行保护,对于窃取、收买或者非法提供他人信用卡信息资料的行为单独实现了入罪化。从形式上看,这似乎属于“公民个人信息”明确进入刑法视野最早的立法条文。但是,实质上亦不难发现,该罪名在破坏金融管理秩序罪中,其立法旨趣同妨害信用卡管理罪一样,均立足于对金融管理秩序的防护,“顺带”实现了对个人信用卡信息的保护。
(二)附属于公务、公共职能的合规性:《刑法修正案(七)》特殊领域的个人信息保护
2009年《刑法修正案(七)》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪[2],在民法、行政法之前,首次明确了对“公民个人信息”的刑法保护,形成了“公民个人信息”保护“刑先民后”[3]的尴尬现状。因此,尽管刑法在信息时代“公民个人信息”面临“四面危机”而民法、行政法普遍反应迟钝的情况下被迫入刑,但受制于前置法权利属性的定位空白,《刑法修正案(七)》对于侵犯个人信息犯罪的打击范围仍然是有限的、谨慎的,将侵犯个人信息犯罪的主体限制于“国家机关或者金融、电信、交通、教育、医疗等单位工作人员”,这种立法的审慎也表明此时“公民个人信息”的保护仍然依附于对前述部门职责和公共服务合规性的评价。
(三)附属于社会管理秩序:非法获取计算机信息系统数据罪
2011年《信息系统安全的解释》立足于非法获取计算机信息系统数据罪、非法控制计算机信息系统罪,将公民个人身份认证信息纳入刑法的保护半径中,并分类为金融身份认证信息、一般身份认证信息进行分级、分类保护,即差异化地将获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息10组以上,获取其他身份认证信息500组以上,分别作为构成犯罪的入罪情节。[4]基于同样的解释思维,《信息系统安全的解释》在看似将公民个人“身份认证信息”纳入刑法保护的同时,实质却是对公共秩序、社会管理秩序的保护,被纳入刑法保护范围内的“身份认证信息”也只是影响到计算机信息系统安全的信息。
(四)附属于人身、财产法益:《刑法修正案(九)》的看似独立化保护
2015年《刑法修正案(九)》在《刑法修正案(七)》条文的基础上,进一步明确了对“公民个人信息”的一般化保护,将出售、非法提供公民个人信息罪和非法获取公民个人信息罪合二为一,修正为侵犯公民个人信息罪,并全面扩张了公民个人信息的刑法保护范围。至此,刑法似乎已经赋予“公民个人信息”独立的法益属性和刑法地位,但实则仍有争议。目前,理论界和实务界由于个人信息权利属性的不清,普遍认为“公民个人信息”应当附属于公民人身、财产安全,甚至有人提出此处保护的只是“公共信息安全”。[5]笔者认为,目前刑法已经将“公民个人信息”明确作为保护对象的情况下,赋予“公民个人信息”以独立的刑法地位有立法层面的支撑,也有社会的实际需求,当下需要做的是明确“公民个人信息”的权利地位。
二、“公民个人信息”的刑法保护范围:个人信息的概念扩张
整体上看,当前我国刑法对于“公民个人信息”已经实现了较大范围的完整保护,并且通过不断扩张“公民个人信息”的司法概念扩大刑法的保护范围,从个人信用卡信息资料、身份认证信息到现在“公民个人信息”的一体化保护,体现了立法、司法的不断努力,也体现了立法、司法乃至理论界对于“公民个人信息”概念的认识扩张。
(一)“公民个人信息”概念的雏形:计算机信息系统领域的“计算机数据”
我国刑事司法长期以来没有对“公民个人信息”的概念进行明确的界定,而是依附于其他法益进行“公民个人信息”的保护。但值得注意的是,随着信息网络安全的重要性凸显,和信息网络安全相关的个人信息首次出现在规范性文件中。2011年《信息系统安全的解释》第11条将身份认证信息规定为“用于确认用户在计算机信息系统上操作权限的数据,包括账号、口令、密码、数字证书等”。类似的规定还有,2013年2月1日起实施的《保护指南》第3.2条规定:“个人信息(personal information)可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。”客观地讲,前述概念的界定多是受制于规范本身的局限性,并未能给个人信息以一般性的界定,但确是将部分个人信息以计算机数据的形式纳入刑法的保护范围之内。
(二)“公民个人信息”概念的首次明确:具有身份“(直接)可识别性”或者“隐私性”
2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》(以下简称《加强网络信息保护的决定》),作为我国关于网络信息保护的第一部专门性立法,对于个人信息作出了原则性的规定。其中第1条第1款规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”在此基础上,2013年《最高人民法院、最高人民检察院、公安部关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《依法惩处侵害公民个人信息犯罪活动的通知》)进一步明确,“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。
从前述两种表述中不难得出,《加强网络信息保护的决定》和《依法惩处侵害公民个人信息犯罪活动的通知》将个人信息主要划分为两类:一是能够识别公民个人身份,二是涉及公民个人隐私。换言之,刑法所保护的公民个人信息具有两种司法属性,即身份的(狭义的、直接的)可识别性,或者个人隐私性。
(三)“公民个人信息”概念的外延扩张:“可识别性”的标准统一
2016年全国人大常委会通过的《网络安全法》第76条第5项规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”由此可见,《网络安全法》将“可识别性”作为个人信息的唯一法律标准,包括“能够单独识别”或者“与其他信息结合识别”。比如,生物识别信息与个人联系非常紧密,它利用确定的独特的个人特性进行身份识别或者授权。[6]相似的模式,如德国《联邦数据保护法》第3条规定,个人数据指关于个人或已识别、能识别的个人(数据主体)的客观情况的信息。[7]
不难发现,前述变化与《依法惩处侵害公民个人信息犯罪活动的通知》相比,将个人隐私删除,代之以“与其他信息结合识别”,体现了立法对于个人隐私和个人信息关系的认识态度。个人信息更多强调“可识别性”用途,属于“结果性特征”;个人隐私强调权利性质,属于“形式化特征”。个人隐私与个人信息有交叉也有重合,个人隐私包括个人隐私信息、个人隐私活动、个人隐私空间等内容,个人隐私信息可能属于个人信息,而其他隐私内容则可能不属于个人信息的范畴。因此,《网络安全法》统一个人信息认定的标准,不再将个人隐私特征单独规定,达到了立标、立范的效果。
(四)“公民个人信息”概念的精准归纳:个人信息的分级、分类厘定和继续扩张
2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《办理侵犯公民个人信息刑事案件的解释》)第1条关于个人信息的概念基本沿用了《网络安全法》的规定,仅是在概括列举时增加了财产状况、行踪轨迹等内容。《办理侵犯公民个人信息刑事案件的解释》第5条根据个人信息分级、分类保护的原则将个人信息划分为三类:(1)行踪轨迹信息、通信内容、征信信息、财产信息;(2)住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;(3)其他公民个人信息。[8]
从上述规定来看,《办理侵犯公民个人信息刑事案件的解释》极大地扩大了刑法所保护的公民个人信息的范围,但存在从“公民个人信息”向“公民的个人信息”保护转化的情形,这种转化明显已经突破《网络安全法》关于个人信息“可识别性”特征的范围。比如,账号密码信息、财产状况信息、行踪轨迹信息本身并不具有身份的可识别性,而且真实的犯罪获取前述信息也不是为了识别个人身份,而是针对其背后的财产利益或者人身权益。因此,从这个层面上看,《办理侵犯公民个人信息刑事案件的解释》在坚持“公民个人信息”“可识别性”标准的同时,最大限度地对“公民个人信息”进行了保护,将“公民个人信息”外延扩大到具有身份可识别性的个人信息,可能影响人身、财产安全的“公民个人信息”,以及其他个人信息。
三、“公民个人信息”独有法律地位的明确:与个人隐私、个人数据、个人资料的关系厘清
关于个人隐私(privacy act)、个人信息(personal information)、个人数据(personal data)、个人情报(日本)、个人资料(我国台湾地区)的关系[9],在理论界以及国内外立法上,均呈现出一定的混乱性,尤其是学界在使用前述概念时亦呈现出随意性和混乱性。客观地讲,前述概念在不同的语境下并无实质的概念差异,不同国家和地区根据本地的用语习惯进行表述本无可厚非。但是,我国在确定个人信息罪的法益属性和司法操作、理论研究中,应当对此有所明确。首先,个人信息和个人隐私的关系。我国《网络安全法》等文件的出台已经基本明确了二者各自的边界:个人隐私信息属于个人信息的一部分,而个人空间隐私、个人活动隐私超出个人信息范围之外,除非可能影响到他人人身、财产安全。因此,在立法上很多国家将二者分别予以不同的保护,如加拿大分别制定了《隐私权法》(Privacy Act)和《个人信息保护与电子文件法》(Personal Information Protection and Electronic Documents Act)。
其次,个人信息和个人数据的关系。目前,很多国家已经在立法中对于个人信息和个人数据的概念进行划分,比如,《日本个人信息保护法》明确个人信息是指自然人姓名、出生年月等可以识别其特定个人身份的内容,包括可以借助其他信息比照简单识别出特定个人的信息。[10]个人数据是指将个人信息进行数据库化之后,可以通过计算机检索等方式获取的构成个人数据库的个人信息。[11]此外,对于二者的关系,也有学者明确指出,个人信息可以被定义为对受众而言具有一定含义的消息,相比个人数据具有更多的可控制性。诚如信息法作为服务于人类的一种法律,信息法所强调的是信息对个人的重要性,而不是数据本身的文法(syntax of data)。[12]
因此,个人隐私、个人信息、个人数据三者之间更多的是交叉重合的关系,三者共同重合于个人信息的部分均可以纳入侵犯公民个人信息罪的保护范围之内。尤其是在大数据时代背景下,数据的大交易、大流通、大共享将越来越具有普遍性,明确数据的可交易边界,恐怕更多的是将属于个人隐私、个人信息的数据部分剥离于数据范畴之外。因此,个人信息边界的确定,同样也是个人隐私保护,尤其是大数据交易合法边界的重要根据和标准。比如,大数据交易的前提在于数据的脱敏化和碎片化,在大数据交易过程中,如果将碎片化的信息转化、拼凑为具有身份“可识别性”公民个人信息,则涉嫌构成侵犯公民个人信息罪。