我国刑法对侵犯公民个人信息罪中公民个人信息的范围界定以“可识别性”为标准,即该信息具有识别到特定个人的可能性,就能够被认定为刑法上的公民个人信息。但是,随着科技的不断发展使得现有的“可识别性”标准过度扩张了公民个人信息的范围,许多在过去无法识别到特定个人的信息如今也被纳入公民个人信息的范畴之中。在如今的信息时代,个人信息的流动对于经济和社会发展具有十分重要的作用,如果过度扩张个人信息的范围,将会阻碍信息流通,妨碍经济社会发展。并且在民法典、个人信息保护法等个人信息的保护法律日益完善的前提下,刑法过度扩张个人信息范围也将违背刑法谦抑性的基本原理。因此,需要在未来对个人信息作范围上的进一步限缩,在惩罚犯罪与合理利用公民个人信息之间寻求平衡。
一、信息流通要求刑法限缩公民个人信息范围
个人信息流通对于如今的信息产业发展具有十分重要的作用。据统计,2022年中国的大数据产业规模已经达到1.57万亿元。并且我国的数据产量也十分惊人。2022年我国数据产量达8.1ZB,同比增长22.7%,占全球数据总产量的10.5%,位居世界第二。截至2022年底,我国存力总规模超1000EB,数据存储量达724.5EB,同比增长21.1%,占全球数据总存储量的14.4%。因此,如此庞大的信息产业要求信息能够在其中得到充分高效的利用,而不是对信息流通设置重重的阻碍,妨碍信息产业的发展。
如果仍然以“可识别性”标准来认定公民个人信息,那么就会导致许多类型的信息无法在数据市场中得到流通,降低信息的流通效率,阻碍企业发展。例如,企业会为了创造交易机会、降低交易成本而主动公开一些本企业的信息。据统计,我国有94%的公共企业将自己的员工个人信息等人力资源信息予以公开。这些信息都可以用来识别出特定的个人,但是企业既然公开了这些信息,就说明其希望他人了解。如果将这些信息一概认定为公民个人信息,进而将获取行为认定为侵犯公民个人信息罪,则违背了企业公开信息的初衷,不利于信息的流通与价值创造。因此,刑法应当限缩公民个人信息的范围,将那些公民自愿公开或者同意他人获取的信息排除出公民个人信息的范畴。实务中的部分案例已经采纳了这样的观点。例如,王某为了提升公司的销售业绩,与其他公司的员工约定,交换各自手中的用户名单(其中含有大量公开的法定代表人姓名、手机号码等信息)。对于其中公开的法定代表人信息是否属于公民个人信息,法院认为,企业的法定代表人既然选择将自己的信息予以公开,就说明其能够预见到该信息可能会被他人获取并加以利用。如果将这部分信息也认定为公民个人信息,则对信息使用者过于苛刻,违背了法定代表人公开自己信息的初衷,也不利于个人信息的流通。因此法院最终认定公开的法定代表人信息不属于公民个人信息。这种考虑公民个人意愿的方法在维护公民个人信息安全的同时也维护了信息的自由流通,更加有利于公民利用个人信息实现自己的经济目的。
二、科技发展要求刑法限缩公民个人信息范围
科技的发展使得对个人信息的“匿名化”越来越困难,个人信息的范围被过度扩张。所谓“匿名化”是指将公民个人信息采取一定的方式进行处理后,使其无法再识别到特定个人且无法被复原成匿名前的状态。这种手段广泛地被应用在信息流通之中。但是如今再识别技术的飞速发展使得匿名化技术事实上已经失去了作用,匿名化的信息也因为可以进行再识别而被认定为公民个人信息。例如,宋某为了能够频繁注册“京东”等账号以收取这些APP提供的注册奖金,购买了大量他人的手机号码用来注册账号,其中部分号码属于虚拟号码。这种虚拟号码是运营商设置的临时号码,会在用户需要打电话时随机发放给用户使用。一般情形下,难以通过这种虚拟号码识别到特定个人。而现今高度发达的信息网络技术使得经验丰富的黑客能够通过破解技术获取曾经使用过该虚拟号码的用户信息,虽然这种破解的难度很大,但至少虚拟号码具有了可以识别特定个人的微小可能性。有观点认为,虚拟号码认定为公民个人信息,并认为宋某购买并使用虚拟号码的行为构成侵犯公民个人信息罪。但是,这种解释明显违背了日常生活中对“个人信息”这一词汇的可能用法,例如公民在填写个人信息时,不会在“电话号码”一栏填写虚拟号码。法律应当去关注那些现实中常见的、符合人们日常认知的个人信息类型,而不能为了打击个人信息犯罪而去违背公众的一般法感觉。
因此,刑法应当限缩公民个人信息的范围,将那些已经采取一定的措施防止再识别化的信息排除出公民个人信息的范畴。如果将个人信息进行去识别化处理后,已经能够在相当程度上降低个人信息的可识别性,能够防止许多没有相关技术手段、没有大量资源的第三方主体重新识别特定个人,那么就可以认为这种信息已经不具有“可识别性”。换言之,那些仅具有微小的识别可能性的信息,就不应当属于刑法上的公民个人信息。
三、刑法的谦抑性要求限缩公民个人信息范围
我国关于个人信息的法律体系目前已经较为完善,除了刑法之外,还有民法典、个人信息保护法等前置法律规范对公民个人信息加以保护。因此,刑法作为手段最为严厉的法律规范,应当重点关注那些严重危害公民人身财产权利的信息,对一些对公民危害较小的信息交由前置法处理。但是,由于“可识别性”标准带来了刑法打击面的过度扩张,导致侵犯公民个人信息案件不断增加。据统计,2017年至今,全国法院审理侵犯公民个人信息案件的平均数量较之前增加了1093.2%。案件数量大幅上升的原因之一,是以单一的“可识别性”标准将一些本来对公民人身财产安全威胁不大的信息也纳入刑法的规制范畴之中。例如,柳某为了给自己的教育培训机构宣传招生,向他人收购中小学生的姓名,家长电话号码等个人信息。该案中,柳某从事的教育培训属于合法经营,收购的公民个人信息也仅用于宣传招生,因此不会对公民人身财产安全造成较大的威胁。如果仅因柳某收购的信息具有可识别性,便对该行为认定为侵犯公民个人信息罪,则有违刑法谦抑性。
因此,刑法应当限缩公民个人信息的范围,将那些即便具有“可识别性”的特征,但对公民人身财产安全不会造成紧迫危险的信息排除出公民个人信息的范畴。实务中部分案例已经开始结合行为人对信息的使用目的来判断涉案信息是否属于公民个人信息。例如,张某为了提升自己的公司业绩,通过QQ等社交软件向他人非法收购公民姓名、电话号码等个人信息。法院认为,张某获取这些信息是用于向公民推销贷款,属于合法经营的范畴。这些信息的获取及利用并不会对公民的人身财产安全造成巨大的威胁,也就无需动用刑法的手段加以规制,而是可以利用民法、行政法等法律手段来规范这种经营行为。否定该类行为的犯罪性,能够有效发挥前置法律对公民个人信息的保护作用,避免刑法过度扩张而妨碍民法、行政法等法律的适用,因此应当予以肯定。
习近平总书记指出:“世界正在进入以信息产业为主导的经济发展时期。我们要把握数字化、网络化、智能化融合发展的契机,以信息化、智能化为杠杆培育新动能。”个人信息作为支撑数字产业的重要资源,在数据要素市场中发挥着重要作用。因此,我们不应当一味地强调保护而阻碍了个人信息的流动,而是应当通过限制刑法中公民个人信息的范围,在二者之间寻求平衡,更好地助力数字经济的发展。
(作者单位:江西财经大学法学院)