本报简介个人信息保护立法问题探讨
在互联网背景下,个人信息以数据形式碎片化存在。如何准确理解“公民个人信息”概念及区分“提供”与“出售”行为等,对加强个人信息的保护具有重要意义。
5月9日,“两高”发布了关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,对刑法第253条的实际适用提供了明确依据。但由于个人信息保护不仅仅是一个简单的法律问题,还涉及诸如公众的知情权、舆论监督等诸多因素,同时也与信息技术密切相关。因此,包括刑法在内的立法以及司法解释等都应该存在进一步改进和完善的地方。
如何准确理解个人信息?
笔者认为,按照司法解释第一条的规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。理论上讲,个人信息只能是能够识别出某一特定自然人身份的信息,“身份的可识别性”是个人信息概念的核心。而“反映自然人活动情况的各种信息”则属于“与人有关的信息”,它并不强调“可识别性”,而强调“关联性”。
因此,该解释把个人信息界定为身份识别信息和反映个人活动情况的各种信息的做法不符合理论上一般对个人信息的理解和界定,扩大了个人信息的范围。
值得注意的是,虽然理论上将个人信息界定为“据此能够直接或间接识别出某一特定自然人身份的信息或信息的组合”基本上没有太大争议,但实际上在某个特定情形下判断某些数据或信息是不是个人信息时往往容易出现偏差。这是因为能否识别出来往往是与识别的主体、识别的技术或手段有关的,这就是个人信息定义中“识别”的相对性。
所谓识别的相对性,是指作为识别的主体,他/她之前是否对被识别人熟悉或认识;对于一个之前熟悉或认识的人来说,一看到某些信息(如照片或声音)就可以直接识别出某个特定的人,或者将其与某个特定的自然人联系在一起;而同样的信息,如果之前不熟悉或不认识的,可能就不会据此识别出某个特定的自然人,或者不会将该信息与某个特定的自然人联系起来。另外,利用人眼识别不出来的,可以利用计算机或人工智能技术识别出来;在大数据技术之前,识别不出来的话,那么在大数据背景下可能就没有问题了。
尤其值得注意的是,在互联网背景下,个人信息是碎片化(以数据形式)存在。它由N个数据片断组合而成,N个片断的组合在一起(整体)才是某个人的个人信息,那么即使是N -1个片断也不是完整的,由于不能识别出特定自然人,也就不是个人信息了。同时,个人信息在网络环境下也是动态存在的,即在不同的使用网络(购物、浏览网页等)条件下每个人的个人信息不尽相同。
因此,在此次司法解释所涉及的财务信息、账号、行为轨迹等内容,如果仅仅是这些“信息”(准确地讲,应该被称作“数据”)本身,由于它们不能识别出特定自然人,所以根本不是个人信息;如果是除了这些数据之外还有其他诸如身份证号码、姓名等信息,那么这些信息组合在一起可以构成某个人的财务信息或行为轨迹。
司法解释的适用有前提
据了解,刑法第253条自2009年颁布以来,全国进入法院的有关案件和判刑的人数分别是1464件和2112人。这说明现行有关个人信息法律保护制度的实施效果较差,缺乏可操作性。实际上,与天文数量级别的个人信息泄露数字相比,这些数字几乎可以忽略不计。几乎每个人都会遇到很多次个人信息泄露,从升学、找工作,再到买房、租房等都会遇到所谓的个人信息泄露问题,许多人每天也会接到很多垃圾短信和骚扰电话。
但这些个人信息泄露问题很少被公安发现,很少被作为刑事案件立案、侦查和起诉到法院。为什么?因为没有人到公安机关去报案。为什么没有人愿意去报案?因为个人去报案时公安机关大多会以没有什么危害或以证据不足(证明信息泄露的出处)为由而拒绝受理。实际上,如果没有引起社会的强烈关注或没有出现人命关天事件时,公安机关一般不会主动介入。这也可以从既有案例中得到印证。因此,仅仅凭借司法解释,无法改变这种现状。毕竟司法解释的适用前提是案件进入司法程序。
如何区分“提供”与“出售”行为?
从逻辑和语义上看,既然上述解释要把“提供”和“出售”区别开来,说明二者确实有区别。实际上,出售是以营利为目的的行为,而提供则不是基于营利目的。司法解释第三条规定向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法第253条之一规定的“提供公民个人信息”。
但这条规定忽略了很多基于知情权和舆论监督目的在网络上公开的严重违法、违纪行为人的有关个人信息正当性、合理性和必要性。如果将这条解释付诸实施,就没有人敢在网络上公开那些贪官污吏的违法违纪行为了。因此,一般大家会认为,以后网络上所谓的“人肉搜索”行为是违反刑法的行为,可以构成犯罪。
从刑法理论上讲,行为人的主观目的不仅会影响到对行为的性质认定,而且也会对刑事责任的具体适用产生影响。从行为的目的上看,如果仅仅是提供行为,其目的又具有合理性,比如向媒体采访者或应当事人的同学、朋友索要提供电话号码以便采访、联系需要,那么即使未征得当事人的同意,也不具有可责性,更谈不上可罚性。从罚金刑适用理念看,它主要是针对财产性犯罪。因此,即使要对提供行为定罪,也不能适用罚金,而对于出售行为,则可以适用罚金刑。
另外,侵犯个人信息犯罪与利用个人信息实施诈骗罪、盗窃罪等有关犯罪之间是否存在竞合问题?如果存在,又当如何适用法律?从刑法理论上看,它属于一个行为、两个目的,触犯两个法条、两个罪名,属于想象竞合犯,因此,应该按照一罪从重处罚。对于那些非法获取个人信息后又实施诈骗、绑架、盗窃等犯罪的,按照刑法理论上的所谓牵连犯对待(即出于一个犯罪目的,实施数个犯罪行为,数个行为之间存在手段与目的或者原因与结果的牵连关系,分别触犯数个罪名的犯罪状态),从一重罪论处。
对于其他的非法提供或出售个人信息行为的,被他人购买或获得后实施诈骗、绑架、盗窃等犯罪的,二者之间看似有关联,即所谓的“没有提供(出售)个人信息给嫌疑人,就不会被嫌疑人用来实施犯罪,受害人也不会因此遭受到诈骗、盗窃、绑架的”。这种推论貌似合理,但其实这种所谓的关联只是一种臆想,在具体案例上是一种巧合。
之所以说该推论是一种臆想,是因为它经不起推敲。从逻辑上讲,受害人能否受骗、被盗或被绑架,除了加害人(利用其个人信息)外,还与受害人本人的安全防范意识、法律对诈骗罪处罚的轻重等因素有关。对于安全观念和防范意识强的人来说,即使是所谓的精准诈骗,也很难得逞;对于安全观念和防范意识弱的人来说,即使不是精准的诈骗,也很可能得逞。如果刑法对诈骗罪、盗窃罪等苛以严责,那么诈骗分子很可能会放弃诈骗盗窃念头。
简言之,某种诈骗、盗窃、绑架等犯罪行为是否得逞,除了与加害人一方(利用个人信息实施加害行为)的因素有关外,还与被害人一方(安全防范意识等),刑法对诈骗罪、盗窃罪等犯罪的处罚轻重有关。因此,不能忽略其中被害人一方的(安全防范意识等)因素以及刑法的其他有关犯罪的规范,以偏概全,否则,不利于预防和减少犯罪行为的发生,毕竟加强受害人的安全防范意识教育是防止和减少此类犯罪的重要因素。刑法对诈骗罪、盗窃罪等有关犯罪的规范也会影响所谓的“利用个人信息实施精准犯罪”的实施与否。
(作者系法学博士、北京师范大学法学院教授)