根據(jù)刑法第二百五十三條之一的規(guī)定,違反國家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息情節(jié)嚴(yán)重的,以及竊取或者以其他方法非法獲取公民個(gè)人信息的,構(gòu)成侵犯公民個(gè)人信息罪。關(guān)于刑法上個(gè)人信息的概念及其外延是否必須和民法典、網(wǎng)絡(luò)安全法以及個(gè)人信息保護(hù)法的規(guī)定保持一致,能否相對地進(jìn)行理解,很值得探討。
最高人民法院、最高人民檢察院、公安部《關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》(2013年4月23日)規(guī)定,公民個(gè)人信息包括公民的姓名、年齡、有效證件號(hào)碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號(hào)碼等能夠識(shí)別公民個(gè)人身份或者涉及公民個(gè)人隱私的信息、數(shù)據(jù)資料。這是刑事司法解釋中最早出現(xiàn)個(gè)人信息的概念,其在廣義上把握個(gè)人信息,將識(shí)別個(gè)人身份或者涉及公民個(gè)人隱私的信息都包括在內(nèi)。這種刑事司法取向,即使是在2016年網(wǎng)絡(luò)安全法頒布之后,也沒有大的調(diào)整。根據(jù)網(wǎng)絡(luò)安全法第七十六條第5款的規(guī)定,個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等。
此后,最高人民法院、最高人民檢察院發(fā)布了《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(2017年5月8日發(fā)布,以下簡稱“2017年刑事司法解釋”),其也并未按照網(wǎng)絡(luò)安全法的邏輯界定個(gè)人信息,而是對其有較大拓展,該解釋第一條規(guī)定,刑法第二百五十三條之一規(guī)定的“公民個(gè)人信息”,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息,包括姓名、身份證件號(hào)碼、通信通訊聯(lián)系方式、住址、賬號(hào)密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。這樣一來,在個(gè)人身份信息之外能夠“反映特定自然人活動(dòng)情況的各種信息”,也屬于個(gè)人信息。對于這一解釋,可以認(rèn)為其比之前實(shí)施的網(wǎng)絡(luò)安全法以及《關(guān)于依法懲處侵害公民個(gè)人信息犯罪活動(dòng)的通知》中關(guān)于個(gè)人信息的界定還要寬泛,因?yàn)樵?013年的通知中,個(gè)人身份之外的“公民個(gè)人隱私”可以成為個(gè)人信息。但是,在2017年刑事司法解釋中,只要是“反映特定自然人活動(dòng)情況的各種信息”,即便其不屬于民法典第一千零三十二條與第一千零三十四條第3款規(guī)定的個(gè)人隱私,不涉及私人生活安寧,或者與私密空間、私密活動(dòng)、私密信息無關(guān),也是個(gè)人信息。
在2017年刑事司法解釋實(shí)施之后,立法上進(jìn)一步對個(gè)人信息概念進(jìn)行了明確。根據(jù)民法典第一千零三十四條第2款的規(guī)定,個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。個(gè)人信息保護(hù)法第四條第1款規(guī)定,個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息。
上述梳理表明:首先,前述立法及司法解釋對個(gè)人信息概念的理解均存在一定差異。但在相關(guān)規(guī)定中,都重視信息在識(shí)別特定個(gè)人方面的功能發(fā)揮,采用列舉與概括相結(jié)合的規(guī)范方式,其中關(guān)于“等信息”的規(guī)定,能夠?qū)⑿枰Wo(hù)的個(gè)人信息“兜得住”,不會(huì)形成利益保護(hù)方面的漏洞。當(dāng)然,刑法中個(gè)人信息的外延與民法典以及個(gè)人信息保護(hù)法之間的差異不是根本性的。在刑事司法實(shí)踐中,行為人所侵犯的個(gè)人信息,基本都是民事上常見的信息類型,且大多表現(xiàn)為多種信息的組合。
其次,民法典或個(gè)人信息保護(hù)法中有明確規(guī)定,但刑事司法解釋上未明確列舉的信息類型,刑法上也可能進(jìn)行處罰。例如,民法典第一千零三十四條第2款將健康信息明確規(guī)定為個(gè)人信息。2017年刑事司法解釋并無類似規(guī)定。但是,實(shí)務(wù)上對于非法獲取、提供慢性病監(jiān)測系統(tǒng)病人信息的案件,仍然以本罪論處。此外,在民法典以及網(wǎng)絡(luò)安全法中,都將生物識(shí)別信息明確規(guī)定為個(gè)人信息,在個(gè)人信息保護(hù)法第二十八條第1款中,將生物識(shí)別信息明確規(guī)定為個(gè)人敏感信息。但是,在2017年刑事司法解釋中并無相關(guān)規(guī)定。不過,這絲毫不影響司法機(jī)關(guān)未來對非法獲取、提供個(gè)人生物信息的行為認(rèn)定為犯罪。例如,行為人如果使用“人臉識(shí)別軟件”識(shí)別他人的人臉信息,或?qū)θ四樧R(shí)別數(shù)據(jù)進(jìn)行加工,然后提供給第三方的,完全可以構(gòu)成本罪。
再次,刑事司法上早期重視隱私,將其與個(gè)人身份信息并列,但是,近年來已經(jīng)不再強(qiáng)調(diào)信息的隱私性質(zhì)。實(shí)務(wù)上,對于客觀上與特定自然人相關(guān)聯(lián)的隱私信息的保護(hù)非常重視,侵犯的個(gè)人信息涉及個(gè)人隱私的更容易成為定罪理由。
最后,刑法和民法對個(gè)人信息保護(hù)的側(cè)重點(diǎn)有所不同。在2017年刑事司法解釋中特別將賬號(hào)密碼、財(cái)產(chǎn)狀況明確列舉出來,實(shí)務(wù)中對于財(cái)產(chǎn)信息的保護(hù)也特別看重。而在個(gè)人信息保護(hù)法第二十八條第1款中,金融賬戶不僅是個(gè)人信息,而且是敏感個(gè)人信息。不過,由于財(cái)產(chǎn)所有者的財(cái)產(chǎn)狀況、賬戶密碼等信息總是和個(gè)人相關(guān)聯(lián),能夠?qū)?yīng)個(gè)人其他信息,因此,民法典與其他部門法或者2017年刑事司法解釋之間的規(guī)范表述差異,并不意味著民法典的規(guī)定有缺漏。尤其是在2016年7月1日《非銀行支付機(jī)構(gòu)網(wǎng)絡(luò)支付業(yè)務(wù)管理辦法》實(shí)施之后,凡是具有支付功能的第三方支付賬號(hào)都將要求實(shí)名認(rèn)證后才可以使用。這些經(jīng)過實(shí)名認(rèn)證的賬號(hào)具有極強(qiáng)的身份屬性,可以理解為2017年刑事司法解釋中的賬號(hào)密碼,也可以將其理解為包含了民法典第一千零三十四條第2款規(guī)定的自然人的姓名、身份證件號(hào)碼等信息。此外,個(gè)人財(cái)產(chǎn)狀況等信息也總是和個(gè)人相關(guān)聯(lián)的,行為人非法購買公民戶籍信息、機(jī)動(dòng)車檔案信息等公民個(gè)人信息,小區(qū)業(yè)主信息等,既涉及個(gè)人財(cái)產(chǎn)信息,也涉及個(gè)人身份信息,可以認(rèn)為該行為違反了2017年刑事司法解釋的規(guī)定,也違反民法典第一千零三十四條第2款的規(guī)定。
上述分析說明,對于個(gè)人信息概念的使用,刑法和其他部門法之間的共性更多,但也并非嚴(yán)絲合縫地對應(yīng),側(cè)重點(diǎn)有所不同,差別一定是存在的。不過,由于不同部門法的規(guī)范保護(hù)目的不同,對某一特定概念做相對甚至獨(dú)立的理解,是正常的現(xiàn)象。由于對個(gè)人信息范圍的界定與違法行為的侵害對象有關(guān),影響違法性判斷,刑法視野中個(gè)人信息概念的相對性也表明刑事違法性未必從屬于其他部門法。
編輯:李華山
