欧阳本祺:刑法中个人信息的界定标准与规则

东南大学法学院教授 欧阳本祺

A公司、张某、方某等人侵犯个人信息案涉及侵犯公民个人信息罪的保护法益、客观行为、主观罪过等多方面的难题,具有较大的研究价值。解决上述难题的关键在于如何界定刑法中的个人信息,这涉及个人信息的识别性标准和场景化认定。

一、刑法中个人信息的界定应坚持识别性标准

我国刑法学界有一种代表性观点认为:刑法中的个人信息无须具备“识别性”,只需要具有“相关性”即可。这种观点值得商榷。法秩序统一性原理要求,部门法之间应当保持融贯性与协调性,不应产生矛盾与冲突。以个人信息保护相关的法律规范观之,网络安全法、民法典、个人信息保护法等前置法在界定个人信息时,都将“识别性”作为个人信息的重要特征。识别性标准否定说认为,2013年最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》规定个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料,2017年最高法、最高检《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)将个人信息解释为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,表明刑法中个人信息的界定并非采取识别性标准,其范围较之前置法更为宽泛。这种观点明显违反了法秩序统一性原理。诚然,有关司法解释将“个人隐私信息”和“活动情况信息”都纳入个人信息的范畴,但二者本质上是对可识别信息的具体化规定,而非对识别性标准的否定,其仍须以能够识别特定自然人为前提。

所谓“识别”,是指根据该信息将特定自然人从其所处的群体中挑选出来,或者通过该信息联络到特定自然人。根据信息对特定自然人识别程度的大小,可将信息依次分为“已识别信息”“可识别信息”和“不可识别信息”。对“已识别信息”和“不可识别信息”的定性不存在争议,前者属于个人信息,后者不属于个人信息。有争议的是对可识别信息的属性认定。司法解释中的“个人隐私信息”和“身份活动情况”实际上也都属于可识别信息。将“识别”片面地理解为“已识别”,进而排除“可识别”的情形,得出司法解释排斥个人信息识别性特征的观点,乃是对司法解释的误读。

值得注意的是,将可识别信息与足量的其他资料相结合,就必然能够识别出特定的自然人,但这并不意味着所有可识别信息都属于个人信息。司法实践中通常只能获取到有限数量的信息,有的可识别信息因行为人持有充足的其他资料,与之相结合而能够被界定为个人信息,有的可识别信息则因补充资料不足而不属于个人信息。因此,对可识别信息的属性认定应当立足于具体案件事实进行判断,而非基于抽象的个人信息概念进行“或有或无”的认定。这一判断根本上受制于国家对个人信息保护和促进信息共享的态度。如,欧盟认为个人信息权是公民的基本权利,个人享有对其个人信息的一系列积极控制权和消极防御权。据此,欧盟的《通用数据保护条例》将个人信息界定为与“已识别或可识别”的自然人有关的任何信息。美国对个人信息的保护采取分散式的立法模式,儿童在线隐私保护法、视频隐私保护法等法案都涉及个人信息保护的规定。可见,美国对个人信息的保护力度明显低于欧盟。相应地,个人信息也被限缩解释为仅仅与“已识别”个人相关的信息,可识别信息通常不被视为个人信息。我国的个人信息保护采取欧盟模式,将所有与“已识别或者可识别”的自然人相关的信息都视为个人信息。然而,在司法实践中,“可识别”信息在满足何种条件下应被视作个人信息,则涉及对个人信息处理活动各方参与者之间的利益平衡,归根结底需要结合个人信息处理的具体场景对“可识别”信息的属性加以认定。

二、刑法中个人信息的界定应坚持场景化认定

任何信息都存在于特定的场景之中。出入社区时可能需要识别人脸信息,出行购票时需要填写身份信息,与他人互动时也可能涉及信息交换并受到互动对象和周遭环境的影响输出不同类型的信息。可见,信息的传播和使用受制于特定时空下的社会环境,对信息的界定不能剥离其使用场景。所谓场景,是指以活动、角色、关系、权力结构、规范、价值理念为特征的结构化的社会环境。个人信息寓于场景之中,与其他场景要素(如信息的敏感度、信息的使用目的与后果、信息接收者的状况等)共同构成一个信息系统。因此,个人信息的界定须结合具体的使用场景进行判断,对此可以概括出四条规则。

第一,识别目的越明确,界定为个人信息的可能性越大。根据识别目的之明确性大小,识别可以分为四种:查找型识别、确认型识别、归类型识别、会话型识别。其中,以“查找型识别”信息的识别目的最为明确,刑法中的个人信息应当仅限于此类信息。以个人的手机号码为例,单独的手机号码显然不足以直接查找出特定自然人,陌生人仅能够通过手机号码与被害人取得联系,通过对话获取更多信息后,才能进一步对被害人施加恶害。是故,单独的手机号码仅属于“会话型识别”信息,一般不宜认定为个人信息。

第二,识别能力越强,界定为个人信息的可能性越大。部分信息的识别具有主体性,其是否可以被识别往往受到识别主体个人能力的影响。就识别能力应当采纳行为人标准还是一般人标准,理论上形成了主观说、客观说和折中说。从侵犯公民个人信息罪的立法沿革来看,刑法修正案(九)删除了刑法第253条之一第1款中关于犯罪主体的规定,使有关犯罪主体由特殊主体扩增至一般主体。相应地,在判断涉案信息是否属于个人信息时也应当采取“客观说”的立场,以社会一般人的能力为基准,结合涉案相关资料综合认定信息的属性。

第三,识别后果越重,界定为个人信息的可能性越大。《解释》根据信息的私密性及其对人身、财产的危险性将个人信息分为三类,并设立了不同的入罪标准。此三类信息的社会性依次递增,私密性和对人身、财产安全的危险性依次递减。信息的私密性程度越高,意味着该信息与信息主体之间的关联越密切,其泄露之后对信息主体的人身、财产安全的威胁就越大,越容易被界定为个人信息。反之,信息的社会性程度越高,私密性就越低,意味着该信息对信息主体的人身、财产安全的危险性就越低,越不容易被界定为个人信息。

第四,识别概率越高,界定为个人信息的可能性越大。不同信息识别出特定自然人的概率各不相同。识别概率最高的是已识别信息,属于个人信息;识别概率最低的是不可识别信息,不属于个人信息。识别概率介于二者之间的是可识别信息。可识别信息识别概率的高低取决于其识别特定自然人时需要补充的其他资料的数量,需补充的资料越少,则意味着该可识别信息的识别概率越高,就越容易被认定为个人信息。

结合上述四条规则,在该案例场景中,A公司提供的地理位置核验结果具有识别目的的多样性、识别能力的超强性、识别后果的不可控性、识别概念的极高性等特点。

首先,从识别目的和结果来看,A公司提供的地理位置核验结果难以保证只用于合法目的,也难以避免危害个人实体法益的结果,事实上,该类信息最终还落入了“私家侦探”的手中。

其次,从识别能力来看,A公司拥有海量的数据和超强的识别手段,尤其是A公司向掌握大数据信息的甲公司(主营业务为数字地图、导航和位置服务)、电信运营商乙公司等购买了信息核验接口,极大提升了对个人信息的识别能力。

再次,从识别概率来看,A公司提供的实时城市核验结果“是”或者“否”,给出的结论非常明确,A公司提供的工作地和居住地核验结果更是可以精确到1~2公里的范围。虽然这些信息不是个人的实时行踪轨迹,但已经能够很精确地反映个人的活动范围。总之,从现有信息来看,A公司提供的地理位置核验结果属于刑法中的个人信息,A公司的行为有可能构成提供型的侵犯公民个人信息罪。

作者:欧阳本祺 东南大学法学院教授、博士生导师，东南大学网络安全法治研究中心研究员。

(全文见《人民检察》2024年第6期)