根据刑法第二百五十三条之一的规定,侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为。2017年“两高”发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《个人信息刑事解释》),2021年个人信息保护法正式颁布,进一步完善了个人信息保护的法律体系,然而,刑法与前置法对“个人信息”的定义表述不同,为了能够正确认定侵犯公民个人信息罪,需要对“个人信息”的内涵和外延进行准确的把握。
一、公民个人信息的内涵界定
根据上述司法解释的规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。根据个人信息保护法第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
那么,刑法与前置法对个人信息的定义真的存在差距吗?笔者认为,二者并不存在本质差异。无论是“扩张说”“限缩说”还是“独立说”,都混淆了一个前提:个人信息作为一个法律领域和非法律领域皆有的名词,有通俗的内涵。个人信息表述的内容能够直接或间接指向特定自然人,反映该自然人在社会中的存在形式,如社会地位、样貌、财产等。个人信息这一内涵也直接反映在了个人信息保护法和《个人信息刑事解释》中,表述差距仅仅是立法技术问题。因此,需要修改刑法中的“个人信息”定义本质上是个伪命题。
从个人信息功能来看,《个人信息刑事解释》是“能够单独或者与其他信息结合识别”,强调识别的可能性。个人信息保护法的个人信息是“与已识别或者可识别的自然人有关”。个人信息通过单独或结合识别,能够实现特定自然人由可识别状态向已识别状态的转变。对于不可识别信息,即使信息结合,也不可能实现对特定自然人的识别。从法律条文的表述来看,《个人信息刑事解释》从主体本身及社会活动两个方面对个人信息进行阐释,而单纯的社会活动之所以能够识别特定自然人,是与其他信息相结合实现的,最终指向仍然是特定自然人的身份。同时,个人信息保护法中“自然人有关的各种信息”内涵看似广泛,但自然人有关的各种信息要求能够“直接或间接指向特定自然人,反映该自然人在社会中的存在形式”,各种信息都要独立或结合地具备可识别性,最终指向对特定自然人身份的识别。
身份是自然人存在于社会的外示,是包括生物信息在内的所有信息的集合体,具备个体独特性,无论是个人信息保护法还是《个人信息刑事解释》中的个人信息,其功能都指向对特定自然人的身份识别。刑法与前置法对个人信息的定义不存在本质差别,而这也进一步说明了只有可识别的个人信息,才有通过刑法保护的必要性。
二、应保持不同法律对个人信息外延限定的独立性
虽然刑法与前置法对个人信息的定义基本相同,均突出身份的可识别性特点,但是在个人信息的外延上,特别是在个人信息的分类上,又该坚持何种立场呢?
显然,刑事解释先行定义个人信息,导致个人信息保护法出台后,刑法与前置法出现了定义差异。对此,有学者认为,应当以前置法为依据对刑法中的公民个人信息的定义进行扩张或限缩。但是反对的观点认为,刑法作为后置法,应该保持其独立性,无需修改个人信息定义。笔者认为,以前置法为依据调整刑法中关于个人信息的定义是不必要的。刑事案件中法官优先适用的应当是刑法,司法解释作为刑法条文内容的具体诠释,法官自然可以将其作为裁判依据,在与现行法不冲突的情况下,保持刑法设定标准的独立性是合理的。
个人信息保护法将个人信息分为了一般个人信息和敏感个人信息。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。个人信息的司法解释虽然没有明确对个人信息进行分类,但根据第五条的规定,刑法保护程度可以从严到宽进行排序:首先是行踪轨迹信息、通信内容、征信信息、财产信息;其次是住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;最后是前述规定以外的其他公民个人信息。
个人信息保护法对个人信息的分类无法直接适用于刑法。首先,简单的划分敏感与非敏感信息难以适应刑法领域的复杂案情。在衡量情节是否严重时,通常以行为人非法获取、出售或者提供的个人信息数量为重要标准。如非法出售个人信息五十条和五千条数量差距巨大,单一标准难以衡量其危害性质,不能做到有效的责任划分,贯彻罪责刑相适应原则。其次,从文字表述上看,敏感个人信息是遭到泄露或非法使用后,易发生人格尊严损害、人身伤害或财产损害的信息,强调信息本身的秘密性和重要性。而侵犯公民个人信息罪位于侵犯公民人身权利、民主权利一章,客观方面包括非法获取、出售或提供,强调公民人身、财产安全。两者侧重点不同,虽然都具备保护人身、财产的目的,但依据信息本身性质而非人身、财产相关程度的划分,不符合罪名设置目的。因此,刑法中的个人信息分类不应当依据前置法,应当考虑刑法本身。
三、应根据刑法属性对个人信息进行科学的再分类
《个人信息刑事解释》没有明确对个人信息进行分类。但根据法律表述,可以推断出司法解释想根据影响人身、财产安全的程度对个人信息进行划分。
但笔者认为,现有分类不够合理。从犯罪客体上看,刑法第二百五十三条是私自开拆、隐匿、毁弃邮件、电报罪,犯罪客体是通信自由和通信秘密,侵犯公民个人信息罪位于第二百五十三条之一,犯罪客体应当包括信息秘密即隐私权。《个人信息刑事解释》仅以是否可能影响人身、财产安全为划分标准,既不能合理体现侵犯公民个人信息罪的犯罪客体,也没有对保护内容进行科学分类。侵犯隐私权并不当然影响人身安全,如单纯的通话记录不会直接影响到人身或财产安全,只会侵犯主体的通信自由和通信秘密,将其归类在第二保护级并不合理。而住宿信息直接反映了主体的动态行踪,交易信息反映了主体的财产交易状况,与人身安全、财产安全紧密联系,归类在第二保护级不能实现严密保护。在文字表述上,第三保护级的内容包含了第一、二保护级以外的全部个人信息,但第二保护级并未详尽列举,导致个人信息的标准十分不明确。因此,要对个人信息进行合理归类,并通过司法解释等权威文件进行明文规定,明确分类标准。
根据个人信息与隐私权、人身安全以及财产安全关联程度不同,本文主张刑法保护程度从严到宽的重新排序:①行踪轨迹信息、住宿信息、通信内容、财产信息等其他直接威胁隐私权、人身或财产安全的公民个人信息;②征信信息、健康生理信息等其他可能影响隐私权、人身或财产安全的公民个人信息;③一般公民个人信息。
个人信息的表现方式及其内容复杂,因此我们无法对个人信息进行穷尽式列举,也不能固定刑法保护级别。在实践中,仍然需要根据具体的个人信息比照隐私权、人身或财产安全进行判断。个人信息与隐私权、人身或财产安全关系越密切,非法获取、出售或者提供个人信息的行为危害越大,该类个人信息就应当受到更严密的保护。如账号密码类个人信息,泄露或非法使用会造成财产严重损失的,应当归入第一保护级;若该账号密码与财产无关,则属于一般个人信息。
(作者单位:西南政法大学法学院)