論侵犯公民個人信息罪中信息的識別性特征
——以“行蹤信息”為例

沈衛棟

（華東政法大學，上海 200042）

引言

隨著經濟的快速發展和信息網絡的普及化，公民的個人信息所呈現出的價值已不可估量。隨著科技的快速發展而出現的人臉識別技術、無人駕駛技術以及指紋解鎖技術等，都加大了個人信息被利用的潛在風險，甚至已成為涉及國家安全的重大社會問題，“謀求個人信息安全已然成為當今互聯網+時代人權保障的重頭戲”[1]。因此，侵犯公民個人信息罪已成為網絡犯罪的萬惡之源，由其滋生的電信詐騙、敲詐勒索、綁架等一系列侵犯人身權益的犯罪，更具有嚴重的社會危害性。這使得立法者不得不對侵犯公民個人信息的行為進行嚴厲打擊。在司法實務中，針對“個人信息”本身應有較多前置法的界定而呈現出信息特征“一邊倒”的特性，即強調“可識別性”特征；但是，過多強調“可識別性”特征是否會帶來信息認定困難和對個人信息權的破壞？這是本文力求探討的旨意。

一、從“可識別性”的信息特征考察隱私信息的體系地位

個人信息是指與特定個人相關聯的、反映個人特征的具有可識別性的符號系統，包括個人身份、工作、家庭、財產、健康等各方面的信息。[2]并且“各方面”會隨著時代、科學技術的發展而有所更新，故其并不是一個閉合的概念。而隱私在《民法典》中的定義為自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。《民法典》關于隱私的定義中包括但不限于私密信息，學界普遍認為個人信息與隱私之間是交叉關系。個人信息中有隱私概念中的隱私信息，也有一般的、可被公開的公民個人信息；隱私中有個人信息概念中的可被識別的私密信息，也有不屬于信息的私密空間與私密活動。如果認為隱私信息屬于公民個人信息的一部分，那么針對隱私信息依然需具備可識別性的特征。然而，傳送裸照、偷拍等違法行為，即使根本不用識別出具體的個人，依然能被認定為違法行為。所以，隱私信息的可識別性在這一層面上是否仍然具備值得質疑。然而，從《關于加強網絡信息保護的決定》至《電信和互聯網用戶個人信息保護規定》，一直到《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《解釋》）的規定，在界定個人信息的概念中都明確了“能夠單獨或者與其他信息結合識別特定自然人”的要求。如何論證個人信息與隱私信息之間的關系，同時正確看待“識別性”在兩者中的地位，成為目前尚未得到關注的問題。

關于《刑事審判參考》第1009號案例①的判決結論，學界提出了許多質疑的聲音。本文試圖以《解釋》為路徑，從隱私權的刑法地位、信息的“可識別性”在隱私信息中的不適合以及刑法所保護的法益關聯性三方面去論證“可識別性”不應當成為刑法所保護的公民個人信息的必有特征。

（一）隱私權在刑法中的地位模糊，導致侵犯公民信息罪必然要顧及隱私信息

我國刑法中有關于侵犯國家秘密、軍事秘密、商業秘密的專項性罪名，但沒有專門針對侵犯個人秘密提供保護的罪名。在《刑法修正案（七）》出臺前，對個人隱私的保護只能夠體現在一些個別的、分散的罪名②中。而侵犯公民個人信息罪應起到對個人“私密信息”與一般個人信息的全面保護，從而彌補刑法典中對于“私密信息”保護的缺失。否定侵犯公民個人信息罪保護個人秘密是只關注到了對身份信息的保護，忽略了刑法賦予本罪保護隱私信息的職能，如此理解顯然誤讀了本罪的二元使命。[3]從《關于加強網絡信息保護的決定》（以下簡稱《決定》）的規定中不難發現，其將電子信息分為個人身份信息與隱私信息，兩者同等對待。此外，在《關于依法懲處侵害公民個人信息犯罪活動的通知》（以下簡稱《通知》）中，身份信息與隱私信息被并列列舉；而針對《解釋》中所使用的“反映特定自然人活動情況的各種信息”，其本質上屬于隱私信息的一種。

（二）信息的可識別性在隱私信息中的不適合

首先，查看歷年來的《決定》《通知》《解釋》以及相關法律條文不難發現，幾乎所有的條文都分成了可識別的個人信息和隱私信息兩大類別，但是，“可識別性的特征”應當作為“個人信息”的前置定語，而并非限制個人信息和隱私信息。在一般個人信息方面，貫徹“可識別性”的信息特征有利于限縮“信息”概念的外延寬泛帶來的文義解釋上的不確定性，能夠保障罪刑法定原則中“必須具有明確性”[4]之機能。通過將一些無法侵犯到具體的、特定的個人信息排除出去，以起到維護和規范法益的作用。故“可識別性”在這一層面上有它的存在價值，但其價值也僅限于此。只要將不具有可識別性的信息排除在行為對象之外，其功能即已實現。若一則信息被司法者評價為隱私信息，則根本不需要去考慮該信息是否具有“可識別性”，即可直接認定行為對象構成刑事違法。部分學者從比較法層面考察認為，雖然個人信息（包括個人數據和個人資料等）與隱私在立法上的稱謂各有不同，但是，在對于保護對象的界定中，“可識別性”無疑是作為核心的、本質的特征。[5]這一觀點本文持質疑態度。首先，針對不同的立法體例，隱私的內涵與外延各不相同。例如美國將隱私的范圍擴大至個人信息之外（至少是等同的），這使得針對兩者的探析基石就存在差異，不能一概而論。此外，不同的國家在立法上對于隱私的關注度不同，會導致個人信息中對于隱私的側重不同。僅通過一個國家的《個人信息保護法》中關于個人信息的界定，就得出“可識別性”可以統領私密信息與一般公民信息的結論，無疑是草率的。其次，針對“不具有可識別性的‘信息’，不具有個別化的功能，不存在個體權益被侵犯的風險，也就無須予以法律保護”的觀點，也經不起推敲。針對本案而言，認為行蹤信息是一種隱私信息的理由如下。

1.行蹤信息屬于隱私范疇

如果按照我國對于隱私的界定，個人的行蹤信息應當屬于個人私生活范疇中的隱私信息，個人具有自決是否將其公布的權利。如果主張私人領域說③，則可以認為，相對于公共生活而言，與一切公眾無關的純屬個人的私人事務，包括私人的活動空間以及私人的一切信息。那么，作為能夠反映私人活動空間，甚至是活動過程的行蹤信息，應當包括在該學說所主張的隱私信息之中。如果主張私人秘密和私人信息說，那么應當認為隱私實際上是一種私人秘密和私人信息，是私人生活中不欲人知的信息。[6]那么行蹤信息是不是行為人不欲人知的？這應當是肯定的。從社會一般人的角度出發，個人的行蹤往往不被其他公眾所知曉，行蹤信息的暴露在本質上是一種對個人私生活活動的公開。除非涉及公共事務，一般情況下，公民的行動軌跡不應當被公開。如果認為隱私是指私人生活安寧不受他人非法打擾，私人信息保密不受他人非法搜集、刺探和公開等的生活安寧和秘密說的觀點，[7]當本案原告提出訴訟請求，便已告示自己希望對某些不愿意披露的信息的控制權所受到的破壞請求法律上予以譴責。綜上，無論支持私人領域說、私人秘密和私人信息說還是生活安寧和秘密說，皆能得出被告人侵犯了受害人自由支配、處理和控制自身行動軌跡信息的個人信息自決權，且屬于公民個人信息中的私密信息，并不需要甄別“可識別性”即可進行后續的違法性評價。

2.將行蹤信息定義為隱私信息并不會帶來法秩序的混亂

幾乎所有學者在針對侵犯公民個人信息罪的評價中都一再強調刑、民、行之間的法秩序統一。從此前提出發，在界定個人信息權與隱私權之間的關系時，針對不同的立法條文也要進行體系性解釋，以免導致刑事和民事在司法適用上的混亂。《刑法》上的判斷不可能拋開《民法典》《網絡安全法》乃至《個人信息保護法草案（二審稿）》，而“另搞一套”。[8]并且在此基礎上，強調民法要擴張、刑法要謙抑的基本理念，對刑法一般性的自我決定權之法益進行豐富與發展，充分發揮刑法保護公民自由的個人法益之機能。[9]本文相信將隱私信息“去識別化”并不會帶來法秩序的混亂。刑法在針對個人信息進行探討時，往往需要借助民法上對于個人信息權的研究，從而形成統一的內涵與外延。對于周光權教授對晉濤學者論文中“去識別化”的說辭，本文持保留意見。因為，并不能“一刀切”地認為“刑法中的個人信息可以不要求可識別性”，而只能說“刑法中的個人信息中的隱私信息可以不要求可識別性，而一般公民信息是要求可識別性的”。前者這種一概而論的措辭，本文不予認同。

二、“識別性特征”的司法適用困境

根據本文的基本立場，司法路徑的參考如圖1所示。

圖1

司法實踐中，信息的界定往往模棱兩可。其中，第一個難點是針對隱私信息的判定，這是公民個人信息判斷的第一步。若在行為對象是否為隱私信息這一判斷步驟出錯，會導致后續的所有判斷路徑崩盤；第二個難點是如何區分“可識別性”特征中的間接識別與不具有識別可能性的信息，這是其是否能夠被界定為侵犯公民個人信息罪中的信息的最后一步。若認定為具有間接識別性，則會肯定其為該罪的行為對象；若認定為不具識別可能性，則會因不滿足該特征而否定該罪的行為對象從而直接出罪。在實務中，一般的公民個人信息的判斷較為清晰，例如一般企業用戶信息、實名制的支付寶賬號與微信號、戶籍信息等，法官一般不會刻意去界定公民個人信息的概念；司法實務中的個人信息一般不單單是一種信息，而是具有各個類別信息的綜合，對于此類案件，公民的個人信息的認定并不困難。但一旦遇到車位信息、QQ號等注冊賬號信息、賓館住宿信息等識別性較弱的信息時，則應該對該類個人信息進行論證。本文對近半年來北大法寶上公布的具體案例進行考察分析如下。

（一）隱私信息在實務中界定的問題

在司法判決中往往不界定隱私信息，而直接以“公民個人信息”的概念為認定標準。如前所述，一旦該信息觸碰到被害人的隱私領域，則可以直接用隱私信息定義侵犯公民個人信息罪中的“信息”概念，再進行后續的違法性判斷。故針對丁某侵犯公民個人信息罪④中的住宿信息（開房信息），韓某、王某等侵犯公民個人信息罪⑤中的微信號信息，柯某侵犯公民個人信息案⑥中的房源信息，在法官得出侵犯公民個人信息罪之前，應當對其信息的性質進行闡明。第一，住宿信息（開房信息）屬于私人生活領域信息。一般情況下，公眾不會將自己的住宿信息向不特定的人公開。對開放信息的利用和處理，侵犯了公民對自身隱私信息的保護。第二，微信號信息不屬于私生活領域信息。它如同手機號、電話號碼一樣成為一種聯系方式予以告知特定的公眾，但微信號具有實名注冊的特征，這使其不同于部分游戲賬號、QQ號等虛擬賬號，對微信號的盜取可能連帶牽扯上公民的實名信息，故應當將其認定為具有強識別性的公民一般信息（如同手機號）。第三，房源信息不同于住宿信息，是購房時個人所填寫的關于個人姓名、聯系方式、住址等個人信息的綜合性信息，其中伴隨著大量強識別性公民個人信息的非法公開。故以上三種信息屬于侵犯公民個人信息罪中的涉案信息。值得注意的是，上海市金山區人民法院在審理柯某侵犯公民個人信息案中，對其中的房源信息進行詳細論述以界定：“本案中，涉案房源信息能夠單獨或者與其他信息結合識別特定自然人身份，屬于公民個人信息。涉案房源信息由房東掛牌至房產中介門店，其僅向特定范圍公開，或即使通過公開網站發布，也只公開非重要、敏感信息，且房東公開的目的僅為促成房產交易，因此，房源信息不屬于向社會公開的信息……房東的房源信息由在特定范圍公開轉變為向全社會公開，由公開非重要、敏感信息轉變為公開全部隱私信息，侵害了房東的隱私及生活安寧，極易被不法分子利用，從而造成房東相關人身、財產權益受到侵害。”本文贊同金山區人民法院對房源信息的界定，但本文也認為就本案所提及的房東聯系方式、房產地址、門牌號碼等信息雖然能夠被認為僅向特定范圍公開、能夠單獨或與其他信息結合識別特定自然人的身份，但這也僅屬于公民的具有間接識別性（或直接識別性）的一般公民個人信息，而非案情分析中的公開“隱私信息”。

（二）區分“可識別性”特征中的間接識別與不具有識別可能性的信息

財產情況、車輛檔案信息以及定位信息等一般個人信息，若不與個人的其他信息相結合，實務中很難認定其作為公民的個人信息。2018年，歐盟通過《通用數據保護條例》，對數據的可識別性進行了說明——為確定一個自然人是否可以被識別，應當考慮所有合理可能的使用手段。檢驗一種手段是否能夠合理地識別一個自然人，需要考慮所有的客觀因素，還需考慮到這一過程中可用的技術以及技術發展。雖然《通用數據保護條例》并非我國的立法文件，但目前就我國《個人信息保護法》正在實施初期的現實情境下，為保護國民的個人信息不受我國企業的侵犯、減少不平等保護現象，也保障我國公民個人信息不受境外企業的非法收集與處理，[10]可以借鑒該條例進行援引和補充。比如，就“姓名+考試成績”的個人信息而言，若行為主體是校長與學生，其用以識別具體學生與被學生用以識別所耗費的成本和時間精力是完全不一樣的。因為，校長可以在其權限范圍耗費合理的精力即可查詢到具體的學生；而學生卻缺少權威的渠道與系統，其識別可能性較小，難以認定為具有間接識別性，只能認定為不具有識別可能性。故在判定公民個人信息是否具有間接識別性時，仍要綜合行為主體、行為主體所能使用到的技術與手段、行為主體是否可以合法獲取其他相關信息等綜合情況來判定。

三、結語

作為一個刑事民事交叉視角下的概念，個人信息一直為民法、刑法學界的學者所關注與探討。但是，無論如何堅持法秩序統一性理論，民法和刑法就社會機能上存在的本質差異不可忽視。民法的目標是實現私人利益之間的平衡，強調受害人的利益能夠因損害而得到請求賠償的權利；刑法的目標是通過確證規范的效力，以實現對各種法益的保護。通過刑法的手段宣告行為人不遵守規范是錯誤的，從而實現社會秩序的統一。個人信息的法律屬性并沒有完美的學說，但就目前民法學界上王利明教授堅持的“具體人格權說”以及刑法學界劉艷紅教授提出的“新型權利說”，其本質上仍然是強調個人信息所具有的物權與人格權的雙重屬性，并與以人格權為主、物（財產）權為輔的觀點趨同。針對個人信息，大部分學者依然堅持隱私信息有別于一般公民信息，針對這兩種不同類型，《解釋》在數量上的差異也能呈現出刑事政策上的偏量，對隱私信息的保護應當被立法與司法所重視。本文通過對刑事審判第1009號案例進行論證，認定將行蹤信息作為一種隱私信息進行保護，旨在將學界對非常規的行為對象進行“識別性”考察的思維慣性進行糾偏。若一則信息被認定為隱私信息，則無需進行“識別性”考察，可將其直接認定為公民個人信息；針對非隱私信息的一般公民個人信息，則需要進行進一步“識別性”考察，強識別性（直接識別）的信息無需與其他信息結合便能直接鎖定特定的行為人并直接認定；若為弱識別性（間接識別）則需按“識別可能性”，綜合社會現有技術和水平、行為主體及其可運用的技術等因素進行全面判斷；若不具有識別可能性的，則不宜認定為公民的個人信息。這種判斷模型不僅能夠帶來明確的判斷路徑，還不會造成民法、刑法之間的法秩序混亂，也不會觸碰到刑法的謙抑性和罪刑法定原則的紅線。對于公民個人信息的體系解釋不宜進行過多的限縮，這是由于目前刑事政策及其作為嚴重犯罪的前置犯罪屬性所決定的。

注釋:

①基本案情為：劉某（均另案處理）有償雇用被告人胡某對廣東省B市某機關領導所配專用公車進行跟蹤。為此馬某、劉某向胡某提供了攝像機、密拍器等器材。后胡某向馬某提出聘請王某配合跟蹤、記錄，馬某遂有償雇用王某。后胡某、王某對目標車輛在B市的行駛路線、停車地點進行跟蹤和記錄，并將記錄信息交給馬某、劉某。同年12月，為便于跟蹤，胡某、王某將汽車定位器安裝在目標車輛底盤處，并通過互聯網查詢定位器的實時位置，獲取了目標車輛每天所有行車路線、停車位置的即時信息直至案發。經鑒定，上述汽車定位器屬于竊聽專用器材。A市人民法院認為，被告人胡某、王某通過非法手段獲取公民個人信息，情節嚴重，其行為構成非法獲取公民個人信息罪，分別被判處有期徒刑并處罰金。

②《刑法》第177條第2款中的非法提供信用卡信息資料罪，是對于個人隱私信息中的信用卡信息資料的侵犯，侵犯的法益是個人對于自由支配、處理、使用自己信用卡信息資料的自決權；《刑法》第252條中的侵犯通信自由罪，侵犯的法益是個人對于自身通信自由和通信秘密的權利；《刑法》第253條的私自開拆、隱匿、毀棄郵件、電報罪，侵犯的法益是公民的通信自由和通信秘密權，也侵害了國家郵電部門的正常活動與信譽；《刑法》第308條第一款、第三款，泄露不應公開的案件信息罪，侵犯的是司法機關正常的訴訟秩序以及訴訟當事人涉案私密信息的安全。

③私人領域說認為，隱私權是讓其他人知道多少自己的思想、感情、私人事物的權利。該學說主張隱私包括私人的活動、私人的活動空間以及有關私人的一切信息。

④源自最高人民法院、最高人民檢察院發布的7起侵犯公民個人信息犯罪典型案例之七——丁某侵犯公民個人信息案。

⑤新疆維吾爾自治區石河子市人民法院（2020）兵9001刑初254號，韓某、胡某、趙某等9人侵犯公民個人信息案。

⑥上海市金山區人民法院（2018）滬0116刑初839號，柯某未經同意傳播房源信息構成侵犯公民個人信息罪。