趙宗濤

(華東政法大學(xué) 法律學(xué)院，上海 200042)

網(wǎng)絡(luò)安全視野下“個人信息”范圍的刑法界定

趙宗濤

(華東政法大學(xué) 法律學(xué)院，上海 200042)

大數(shù)據(jù)環(huán)境中“個人信息”面臨被嚴重侵犯的危險，而《網(wǎng)絡(luò)安全法》等法律法規(guī)對“個人信息”范圍規(guī)定不一引發(fā)司法認定的難題。相較于“隱私說”“識別說”概念模式更符合我國法律規(guī)定現(xiàn)狀。充分考量保護法益、法益屬性和規(guī)制理念三種因素，認定具備固定性、身份識別性、真實性和價值利用性四個特點的“個人信息”均應(yīng)受刑法保護。非法收集、出售或非法提供自我公開的“個人信息”不排除犯罪的成立。

個人信息；個人信息權(quán)；可識別性；個人隱私；網(wǎng)絡(luò)安全

網(wǎng)絡(luò)技術(shù)的發(fā)展使大數(shù)據(jù)成為新時代的代名詞，依靠信息的聚合、流通、共享，一種規(guī)?；⒎墙佑|式的大數(shù)據(jù)環(huán)境正式生成。“個人信息”是大數(shù)據(jù)的基礎(chǔ)資源，已經(jīng)成為“現(xiàn)代商業(yè)和政府運行的基礎(chǔ)動力”，被譽為“網(wǎng)絡(luò)的新石油，數(shù)字世界的新貨幣”[1]。然而，數(shù)據(jù)庫的建立在提升“個人信息”采集、存儲、加工與傳播效率的同時，也增加了信息被竊取、出售、篡改、非法利用的危險，黑客攻擊、撞庫等非法行為給個人信息安全帶來了巨大隱患。據(jù)統(tǒng)計，僅2016年全國公安機關(guān)偵破黑客攻擊案件828起，侵害公民個人信息案件1886起，查獲各類公民個人信息竟達307億條之多，信息保護問題不容忽視。[2]網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)盜竊等下游犯罪的興起也正是基于對“個人信息”的非法獲取與利用，因此，從犯罪源頭上切斷信息的非法獲取，保護“個人信息”免受侵害成為實現(xiàn)網(wǎng)絡(luò)安全的命門。

近三年來，《刑法修正案(九)》《網(wǎng)絡(luò)安全法》以及《民法總則》相繼頒布與實施，為個人信息的法律保護樹立多重保障。“在信息社會，個人信息是人的信息化存在方式，網(wǎng)絡(luò)中的個人信息與現(xiàn)實社會的物理的人是等同的”。[3]刑法作為懲治犯罪、保障人權(quán)最有力的手段，在規(guī)制侵犯個人信息犯罪及下游犯罪活動中應(yīng)發(fā)揮積極作用。但是，作為刑法保護對象的“個人信息”并不等同于經(jīng)驗上的“個人信息”概念，缺乏規(guī)范的犯罪對象或?qū)ο笳J識錯誤都可能成為影響侵犯公民個人信息行為罪與非罪的決定因素。從刑法理論上講，“個人信息”屬于規(guī)范的構(gòu)成要件要素，對規(guī)范的構(gòu)成要件要素，必須以特定的違法性為導(dǎo)向進行判斷。在未出臺相關(guān)司法解釋的背景下，明確侵犯公民個人信息罪中“個人信息”的概念范圍格外重要。

一、問題源起：“個人信息”范圍規(guī)定不一

我國尚未頒布專門的《個人信息保護法》，“個人信息”保護的條款分散于《商業(yè)銀行法》《護照法》《律師法》等單行的法律法規(guī)。其中，涉及“個人信息”概念的規(guī)定有三個：第一，2012年發(fā)布的《全國人民代表大會常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第1條概括表述了“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。第二，2013年兩高一部依據(jù)司法經(jīng)驗發(fā)布的《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》，采取不完全列舉的方式將“個人信息”總結(jié)為“包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料”。第三，2016年通過的《中華人民共和國網(wǎng)絡(luò)安全法》第76條則采取“概念表述+不特定列舉”的方式明確定義了“個人信息”，“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。以上列舉中，只有《網(wǎng)絡(luò)安全法》對“個人信息”的規(guī)定才能稱作嚴格意義上的概念定義，其他兩種規(guī)定不能直接確定“個人信息”范圍，僅具有參考價值。

總結(jié)上述三種規(guī)定，可以發(fā)現(xiàn)，“個人信息”概念存在“可識別身份信息+隱私信息”的組合模式和“可識別身份信息”的單獨模式兩種，區(qū)別在于“隱私信息”能否當(dāng)作“個人信息”成為法律保護的對象。實踐中，司法機關(guān)也普遍承認可識別身份信息作為“個人信息”的正當(dāng)?shù)匚?，但隱私信息是否屬于“個人信息”存在爭議。在出臺專門的司法解釋前，司法機關(guān)只能依照侵犯公民個人信息罪“違反國家有關(guān)規(guī)定”的適用條件，援引相關(guān)法律法規(guī)中的規(guī)定確定“個人信息”的概念與范圍。但是，“違法國家有關(guān)規(guī)定”對《刑法》第96條“違反國家規(guī)定”在法律主體、效力的突破，使應(yīng)當(dāng)以哪種規(guī)定為準確定“個人信息”成為疑問。例如，《網(wǎng)絡(luò)安全法》實施前，有些法院認為“擅自對公民的手機進行定位，就屬于侵犯公民隱私的行為”，將手機定位歸屬于“隱私信息”納入“個人信息”范疇，而《網(wǎng)絡(luò)安全法》僅將“可識別身份信息”作為唯一標準后，此類隱私還能否作為“個人信息”施以刑法保護則需要深入探討。

二、爭議梳理：從隱私說到識別說

(一)隱私說

該學(xué)說認為，“個人信息”是信息主體不愿意公開的私密性信息，具有隱私屬性，侵犯“個人信息”就是侵犯了公民的隱私權(quán)。如有學(xué)者主張出于對公民人身、財產(chǎn)、隱私權(quán)益保護的目的，應(yīng)當(dāng)以“隱私性”為核心認定“個人信息”，無法體現(xiàn)公民隱私性的信息不能列為犯罪對象。[4]

“隱私說”借鑒了美國對“個人信息”的保護模式。美國法律體系中沒有專門的個人信息保護法，也沒有獨立的“個人信息”概念，而是將“個人信息”納入到隱私權(quán)保護范疇，分散在《防止身份盜竊及假冒法》《身份盜竊加重法案》刑事法律和《隱私權(quán)法》《信息自由法》《電子通訊隱私法》等其他法律中。美國法律保護的隱私權(quán)是一種開放性的框架權(quán)利，信息主體對“個人信息”可以自由決定、控制和支配，違背信息主體意志的利用行為都可能構(gòu)成對隱私權(quán)的侵犯。然而，我國法律中隱私權(quán)是作為一種具體人格權(quán)存在的，保護對象僅限于私密性的私人信息或者私人活動，“個人信息”與“隱私”雖然存在交叉，但并非所有侵犯“個人信息”的行為都侵害了隱私權(quán)。例如，非法利用已經(jīng)公開的“個人信息”的行為未必侵犯隱私權(quán)，卻可能構(gòu)成違法犯罪。因此，我國與美國在隱私權(quán)概念方面的差異決定了不能直接將“個人信息”與“隱私”等同看待，更不能將“個人信息”完全納入隱私權(quán)保護范圍之中。

(二)識別說

該學(xué)說強調(diào)信息對個人身份的識別，因而具有“可識別性”的信息才是“個人信息”?！翱勺R別性是指相關(guān)信息與特定公民具有一定的關(guān)聯(lián)性和專屬性，通過這些信息能夠把信息主體直接識別出來，或者與其他信息互相集合間接識別出信息主體的身份”。[5]姓名、性別、年齡、職業(yè)、家庭住址、身份證號碼、手機號碼等能夠單獨或結(jié)合識別自然人身份的信息均屬于“個人信息”范疇。

“識別說”與歐洲和大陸法系國家對“個人信息”的定義模式類似，均把“可識別性”作為“個人信息”概念的核心詞。如《德國聯(lián)邦數(shù)據(jù)保護法》第3條規(guī)定“個人數(shù)據(jù)指關(guān)于個人或已識別、能識別的個人(數(shù)據(jù)主體)的客觀情況的信息”；《日本個人信息保護法》第2條規(guī)定“個人信息就是指有關(guān)或者的個人的信息，根據(jù)該信息所含有姓名、出生年月以及其他一些描述，能把該個人從他人中識別出來的與該個人相關(guān)的信息”。應(yīng)當(dāng)指出的是，國外一般將“個人信息”的定義規(guī)定在單行的信息或數(shù)據(jù)保護法中，同時在刑法典中設(shè)置專門“個人信息”保護罪名，而我國刑法雖然設(shè)立了專門的罪名，但缺乏單行立法配套適用，只能援引其他法律法規(guī)的規(guī)定，規(guī)定的差異又造成了對“個人信息”概念存在選擇上的困惑。

“隱私說”和“識別說”爭議的焦點在于：作為保護對象的“個人信息”應(yīng)當(dāng)以“隱私性”還是“可識別性”為核心特征？若采取“隱私說”，利用已經(jīng)公開的“個人信息”實施犯罪的行為則無法納入法律評價范圍，縮小法律對個人權(quán)益的保護，造成評價不充分的后果。相反，“識別說”把“可識別性”作為“個人信息”的基礎(chǔ)特征，既符合我國法律規(guī)定現(xiàn)狀，也有利于對“個人信息”的全面保護，因此筆者主張建立以“可識別性”為核心特征的“個人信息”概念。

“我父親性格開朗，樂觀豁達?，F(xiàn)在除腿腳有些不方便外，眼不花，耳不聾，神志非常清楚，記憶力超好，仍堅持吟詩寫文。”湯甲真的三女兒、巴陵石化退休職工湯立紅說。最近，老人家又創(chuàng)作了《國慶六十九周年》《2018年老年節(jié)感賦》等詩文。

應(yīng)注意的是，上述對“個人信息”概念的討論是在未區(qū)分部門法律基礎(chǔ)上進行的，作為刑法保護對象的“個人信息”，是否應(yīng)當(dāng)與其他法律法規(guī)在立法定義上保持一致？學(xué)界存在一致說和區(qū)別說兩種觀點。一致說將“個人信息”概念作統(tǒng)一解釋，認為“公民個人信息作為法律保護的對象，無論是民法、行政法、刑法保護的范圍應(yīng)當(dāng)是一致的，只是因為個人信息所遭受侵害的嚴重程度不同而采取輕重不同的法律保護手段…所以，公民個人信息的內(nèi)涵和外延在法律保護的范疇內(nèi)應(yīng)當(dāng)是一致的”。[6]區(qū)別說則認為“由于刑法保護與行政法保護在手段嚴厲上具有明顯差異，公民個人信息的刑法界定不能完全依賴于行政法對個人信息的概念界定”。[7]筆者贊同區(qū)別說，因為行為對象與保護法益相關(guān)聯(lián)，刑法保護的法益具有采用刑罰手段保護的必要性，而與此種法益相匹配的“個人信息”也必須具有值得刑法保護的價值，這是刑法保障性作用的體現(xiàn)。因此，在確定作為刑法保護對象的“個人信息”概念時，應(yīng)當(dāng)結(jié)合刑法特點定義。

三、考量因素：法益、屬性與理念

刑法應(yīng)當(dāng)考慮多種因素綜合定義“個人信息”，避免因定義不準確造成罪與非罪的界限的模糊。依據(jù)刑法對法益保護的特點，以下幾種因素應(yīng)該著重考量：

(一)保護法益：“個人信息權(quán)”的確立

“犯罪行為是要通過作用于行為對象來侵犯法益，而行為對象本身又是體現(xiàn)法益的，故可以通過刑法對行為對象特征的規(guī)定確定法益內(nèi)容”。[8]侵犯公民個人信息罪保護的對象是“個人信息”，那么是否存在一種作為該罪保護法益的“個人信息權(quán)”呢？筆者認為，應(yīng)當(dāng)確立“個人信息權(quán)”為侵犯公民個人信息罪的保護法益。

雖然我國法律未明確提及“個人信息權(quán)”概念，但憲法與民法的規(guī)定可以合法、合理地推導(dǎo)出“個人信息權(quán)”作為一項具體人格權(quán)存在?！稇椃ā返?8條“中華人民共和國公民的人格尊嚴不受侵犯”承認“人格尊嚴”是公民的基本權(quán)利。從權(quán)利關(guān)系看，“人格尊嚴”既是基本權(quán)利，也是體現(xiàn)公民人格利益的一般人格權(quán)，其可以細化為“隱私權(quán)”“名譽權(quán)”“肖像權(quán)”等多項具體人格權(quán)，因此，“人格尊嚴”屬于上位概念而規(guī)定在基本法，具體人格權(quán)作為下位概念分布于基本法之下的法律法規(guī)中。從體系位置看，《民法總則》第111條對“個人信息”保護的規(guī)定被置于“民事權(quán)利”一章，雖未明確列舉“個人信息權(quán)”，但間接承認了該權(quán)利確實存在，而侵犯公民個人信息罪被設(shè)置在刑法分則第四章“侵犯公民人身權(quán)利、民主權(quán)利罪”之中，也暗示了該罪保護的應(yīng)當(dāng)是某種與公民“個人信息”有關(guān)的具體權(quán)利。承認“個人信息權(quán)”作為刑法保護的法益并不違反憲法，也與民法規(guī)定保持一致。就具體內(nèi)涵來講，“個人信息權(quán)”是指公民個人對其信息的支配、控制、決定、排除侵害的權(quán)利。主流觀點認為侵犯公民個人信息罪的保護法益為公民的“個人信息的自由與安全”[9]，該觀點的核心是公民對個人信息的自由支配與不受侵犯的權(quán)利，與“個人信息權(quán)”觀點旨趣相同。

有學(xué)者認為，“侵犯公民個人信息罪所保護的法益應(yīng)為人格尊嚴與個人自由，個人隱私只是人格尊嚴的組成部分”。[10]筆者并不認同這種觀點，基于以上對一般人格權(quán)和具體人格權(quán)的論述，如果將侵犯公民個人信息罪保護法益理解為抽象的“人格尊嚴與人格自由”，那么所有侵犯隱私信息的行為都可能因為侵害了公民的“隱私權(quán)”而被認為構(gòu)成犯罪，但刑法并不完全保護隱私，“個人信息”與“個人隱私”的交叉關(guān)系決定了只有交叉部分的隱私信息才會被納入到刑法“個人信息”的范疇，因此，采用上述觀點會存在無限擴張刑法“個人信息”范圍的危險，混淆刑法與前置法在權(quán)利保護上的分工關(guān)系。認為該罪保護法益為公民“隱私權(quán)”的觀點更難以成立。

(二)法益屬性：超個人法益

超個人法益是指非專屬于個人的法益，其形象體現(xiàn)為國家和社會的整體。[11]超個人法益專注于公共利益，站在公眾共同體的立場上對社會安寧和秩序法益提供積極保護。與民法的私權(quán)保護不同，刑法在面對具有廣泛社會危害性和多樣法益侵害性的行為時，應(yīng)當(dāng)積極擔(dān)負起犯罪規(guī)制和法益保護的職能，避免前置法對權(quán)利保護不周全而引起更嚴重的法益侵害后果。個人信息犯罪的超個人法益屬性體現(xiàn)為以下兩點：

第一，個人信息犯罪多是針對不特定多數(shù)信息主體實施的，受害主體具有公眾性，容易引發(fā)公共安全問題。數(shù)據(jù)庫的建立使“個人信息”常常以信息集合的形式出現(xiàn)，信息存儲量十分巨大，一旦數(shù)據(jù)庫信息被泄露或非法獲取，將會造成眾多的信息主體的關(guān)聯(lián)權(quán)益難以得到有效保障，引發(fā)社會問題。因而，信息犯罪的危害性也已經(jīng)超越對單個信息主體，而具有了一定的社會性。

第二，個人信息犯罪不僅會侵犯公民的“個人信息權(quán)”，還會帶來對信息主體人身、財產(chǎn)安全的威脅?，F(xiàn)如今，個人信息犯罪已經(jīng)發(fā)展出一條“源頭—中間商—非法使用人員”的黑色產(chǎn)業(yè)鏈，“個人信息”的獲取是產(chǎn)業(yè)鏈的第一環(huán)，侵犯“個人信息”后的非法利用行為危害巨大，極有可能引發(fā)網(wǎng)絡(luò)詐騙、電信詐騙等下游犯罪和滋擾型犯罪的實施，因而信息犯罪的危害性已經(jīng)超出對信息權(quán)益侵犯本身，而具有一定的法益關(guān)聯(lián)性。

(三)規(guī)制理念：刑法的謙抑性

刑法的謙抑性，是指在使用民事救濟或者行政制裁等其他手段能夠解決問題的時候，就應(yīng)當(dāng)使用其他制裁手段，只有在具有不得不使用刑罰進行處罰的法益侵害或者威脅的時候，才可以將該行為作為犯罪。[12]作為二次保障法，刑法在規(guī)制法定犯時也應(yīng)以謙抑性為理念，妥當(dāng)?shù)卣{(diào)整與前置法的關(guān)系。因此，界定“個人信息”范圍應(yīng)當(dāng)注意對隱私信息選擇性保護，為民法作用發(fā)揮留足空間。

“個人隱私”與“個人信息”存在不同面向，應(yīng)根據(jù)信息特點作區(qū)別處理?！皞€人隱私”體現(xiàn)的是公民的隱私權(quán)，而隱私權(quán)是一種絕對權(quán)，主要面向民法保護，刑法對隱私權(quán)的保護體現(xiàn)為侵犯通訊自由罪，私自開拆、隱匿、毀棄郵件、電報罪，侮辱罪等少數(shù)幾個罪名。隱私具有個體性，而是否侵犯了隱私權(quán)容易陷主觀判斷，因此，刑法對隱私權(quán)采取克制態(tài)度，更多地將其交由民法調(diào)整，這正是刑法謙抑性的體現(xiàn)。而且，個人信息犯罪所體現(xiàn)的超個人法益屬性也向刑法提出了保護“個人信息權(quán)”而非“隱私權(quán)”的要求。

四、范圍界定：基于信息特點的判斷

在充分考量保護法益、法益屬性和刑法謙抑性理念的基礎(chǔ)上，借鑒域外立法經(jīng)驗，筆者認為，可將“個人信息”定義為：以某種方式固定下來的能夠單獨或者與其他信息結(jié)合識別自然人身份的各種有利用價值的真實信息。這種定義在堅持以“可識別性”作為“個人信息”核心特征的同時，兼顧了刑法保護法益的特點，合理劃定了“個人信息”的保護范圍。

(一)“個人信息”的特點

根據(jù)定義，“個人信息”須同時滿足固定性、身份識別性、真實性和價值利用性四項要求，才能受到刑法保護。有必要對其各自內(nèi)涵作具體分析。

第一，固定性。“固定性”要求信息能夠以電子或其他方式在一定載體上記錄下來?！皞€人信息”因為被處理(包括獲取、篡改、加工等)而成為侵犯公民個人信息罪的犯罪對象，處理的前提是信息能夠被查詢，只有固定在一定載體(包括電子和紙質(zhì)載體)，并單獨或與其他信息組合識別信息主體的身份的信息方可查詢，未經(jīng)固定的口頭信息難以被處理而被排除在“個人信息”范圍之外(附著在一定載體上的口頭信息可以成為犯罪對象)。之所以要求“個人信息”的“固定性”，一方面是出于保護范圍規(guī)范化和限定化考慮，防止“個人信息”法律保護范圍的不確定性，另一方面是為了避免對“個人信息”過度保護而禁錮了其利用價值的發(fā)揮。這種考慮主要借鑒了香港《個人資料條例》的立法經(jīng)驗，其第2條第三項規(guī)定“個人資料的存在形式令予以查閱及處理是切實可行的”。

第二，身份識別性?！吧矸葑R別性”是指能夠單獨或者與其他信息結(jié)合識別自然人個人身份。識別的對象必須為自然人個人身份。識別的方式可分為單獨識別與結(jié)合識別兩種，單獨識別自然人身份的信息包括DNA、身份證號碼、指紋、面貌等特定幾種，這些信息的共同特征是具有唯一性，能夠直接依據(jù)該種信息鎖定具體個人；結(jié)合識別則是由于信息的重復(fù)性較高、完整性較低，需要多種不同信息相互印證才能辨識出具體個人，例如姓名+性別+家庭住址的組合具有了身份識別性，但單個信息本身不具有特定識別性的特征，故不能將其單獨認定為“個人信息”。手機定位、車輛軌跡等行蹤信息雖然具有私密性，但實名制的推廣使行為主體也有了通過行蹤信息與姓名、手機號碼等信息結(jié)合識別特定個人的身份的可能，從該意義上講，行蹤信息屬于“個人信息”與“個人隱私”的交叉部分，也受刑法保護。網(wǎng)絡(luò)實名制也使賬號+密碼的上網(wǎng)準入條件所包含的有效信息含量更加豐富，各種信息之間相互印證的功能顯著增強，識別具體個人所要求的信息數(shù)量將會大幅減少。

第三，真實性?！罢鎸嵭浴笔怯行ёR別特定個人身份的基礎(chǔ)。面對海量的個人信息，司法機關(guān)為提高辦案效率，經(jīng)常采用“等約計量”的方式，從信息庫中選取一定數(shù)量的信息做樣本，采取抽樣審查的方法查證樣本的真實性概率，然后依據(jù)該概率推算所查獲“個人信息”的真實性數(shù)量。這種對個人信息的真實性的判斷僅是依靠經(jīng)驗法則和概率計算，容易受計算方法、操作規(guī)則等因素的影響而導(dǎo)致估算與實際的誤差。但從理論上講，只有真實的個人信息才能實現(xiàn)信息主體身份的有效識別，才會構(gòu)成對“個人信息權(quán)”的侵犯，不能因為取證困難而降低犯罪構(gòu)成的標準。并且，要求信息的“真實性”有其特殊價值。其一，能夠區(qū)分罪與非罪。侵犯公民個人信息罪的行為方式主要分為輸出(出售或非法提供)和輸入(竊取或以其他方式非法獲取)兩種類型。若行為人不知其非法獲取的“個人信息”為虛假信息，即使具有非法利用的故意也不可能真正實施利用行為造成法益侵害，因認識錯誤而不構(gòu)成犯罪。其二，能夠區(qū)分此罪與彼罪。當(dāng)行為人明知是虛假的個人信息仍實施出售或非法提供行為時，可能構(gòu)成詐騙罪而非侵犯公民個人信息罪。

第四，價值利用性。信息應(yīng)當(dāng)具有“價值利用性”，與人身、財產(chǎn)等利益相關(guān)聯(lián)《民法總則》增加“個人信息”保護的規(guī)定，一定程度上對“個人信息權(quán)”保護起到分流作用，因此，刑法需要為民法作用的發(fā)揮預(yù)留空間，以保證刑法與前置法的協(xié)調(diào)?？紤]到“個人信息”常被用于實施網(wǎng)絡(luò)詐騙、信用卡詐騙、洗錢等下游犯罪活動，只有具備財產(chǎn)屬性和人格屬性的“個人信息”才能在下游犯罪中發(fā)揮作用，故要求刑法所保護的“個人信息”具有“價值利用性”。如果侵犯的“個人信息”根本不能對下游違法犯罪活動提供幫助，則該信息不具有刑法保護價值，不能成為刑法保護對象。

(二)兩種特殊類型的“個人信息”

相較于傳統(tǒng)社會，網(wǎng)絡(luò)空間中的“個人信息”表現(xiàn)形式更為復(fù)雜。網(wǎng)絡(luò)用戶的信息按照內(nèi)容可分為身份信息、隱私信息、日志信息和公開信息四種類型，其中，日志信息突破了“個人信息”的傳統(tǒng)形式，是否應(yīng)予刑法保護爭議最大。日志信息是指用戶使用互聯(lián)網(wǎng)服務(wù)過程中產(chǎn)生的信息，如用戶消費信息、服務(wù)訂購信息、訪問信息(如IP地址)、位置信息及網(wǎng)絡(luò)行為信息(如網(wǎng)頁購物記錄、搜索內(nèi)容)、Cookies等。[13]從整體來看，日志信息滿足了固定性、身份識別性、真實性和價值利用性的特征，符合刑法中“個人信息”的范圍，但IP地址和Cookies信息能否單獨認定為“個人信息”尚存疑問。

其一，IP地址。用戶的上網(wǎng)行為可以表示為三元組<互聯(lián)網(wǎng)用戶標識，信息服務(wù)獲取方式，互聯(lián)網(wǎng)信息服務(wù)>，其中用戶標識具有唯一性，用于區(qū)分用戶，通常是用戶名或者用戶IP地址。[14]單獨的IP地址能否被視為“個人信息”在國外司法認定中存在爭議。法國上訴法院認定IP地址不屬于“個人信息”；英國則以IP地址所連接的計算機是否為一個人使用區(qū)分是否屬于“個人信息”；德國法院則將IP地址區(qū)分為靜態(tài)和動態(tài)兩種，靜態(tài)IP地址與某一固定的計算機以及與某一確定的用戶相聯(lián)系，可以被視為是個人信息，而動態(tài)的IP地址只能被用戶的網(wǎng)絡(luò)服務(wù)商(ISP)通過登錄的日期和時間等要素識別出具體的用戶，因此也可以認為具有“可識別性”。[15]筆者認為德國的司法經(jīng)驗可供借鑒。“個人信息”強調(diào)的是個人身份屬性，只有能夠識別具體用戶身份的信息才有保護價值。IP地址雖然可以隨時修改，但無論動態(tài)還是靜態(tài)地址，只要通過既有的登錄信息可以鎖定特定用戶并對用戶信息安全構(gòu)成威脅，則該信息就符合“個人信息”的四個特點而受刑法保護，否定IP地址“個人信息”的地位可能造成處罰漏洞。

其二，Cookies信息。Cookies是用戶瀏覽網(wǎng)頁后會在網(wǎng)絡(luò)服務(wù)器上保留的瀏覽痕跡，這些痕跡用來記錄用戶瀏覽的網(wǎng)址、登錄信息等，以方便用戶下次打開網(wǎng)頁時不必再重復(fù)操作。然而，Cookies是在用戶完全不知情的狀態(tài)下進行的跟蹤和記錄(除非預(yù)先在瀏覽器選項中手動將其設(shè)置為禁用模式)，網(wǎng)絡(luò)服務(wù)商運用一定技術(shù)對Cookies進行收集、整理和分析，然后將這些信息提供給在線廣告商作商業(yè)推廣，并從中抽取利潤。Cookies雖然形式上有別于傳統(tǒng)“個人信息”，但從實質(zhì)上講，運用技術(shù)對真實的Cookies信息進行處理，完全能夠建立單獨的用戶模型識別特定個人身份，進而針對或利用信息主體實施違法犯罪活動。因此，Cookies信息完全可以被視為“個人信息”納入刑法保護范疇。

(三)自我公開的信息也應(yīng)受保護

實踐中，經(jīng)常出現(xiàn)被害人將自己的“個人信息”發(fā)布到網(wǎng)絡(luò)上然后被人收集、利用而遭受侵害的情形。已經(jīng)公開的信息依然滿足“個人信息”的四個特點，但能否一律保護仍存疑問。被害人自我答責(zé)理論認為，被害人基于自己的認識與意志接受危險并對結(jié)果的發(fā)生處于支配地位，因而對應(yīng)當(dāng)給將危險結(jié)果歸屬于自身，而行為人因此不受刑罰，當(dāng)個人在網(wǎng)上公開發(fā)布個人身份信息而被他人非法利用時，應(yīng)適用自我答責(zé)理論排除他人的刑事違法性。

筆者認為，被害人自行公開的信息仍舊屬于刑法意義上的“個人信息”，應(yīng)當(dāng)受到保護?！毒W(wǎng)絡(luò)安全法》第41、42條都規(guī)定“個人信息”的收集、使用、提供等需要“經(jīng)被收集者同意”或者“經(jīng)處理無法識別特定個人”，這種“告知—同意”、“匿名化”處理的信息使用模式目的在于確保被害人對“個人信息”用途的決定與支配，以避免使自己陷于不利地位?！毒W(wǎng)絡(luò)安全法》只承認網(wǎng)絡(luò)服務(wù)服務(wù)提供者是合法的信息收集者，非網(wǎng)絡(luò)服務(wù)提供者不具有收集信息的地位與職權(quán)，更不能違背信息主體的意志決定信息用途。因此，即使被害人公開了“個人信息”，也不意味著被害人放棄了對信息用途的知情權(quán)和支配權(quán)，非法收集、出售或非法提供被害人自行公開的“個人信息”依舊可能構(gòu)成刑事犯罪。

[1]袁夢倩."被遺忘權(quán)"之爭--大數(shù)據(jù)時代的數(shù)字化記憶與隱私邊界[J].學(xué)海，2015，(4).

[2]蔡長春.去年查獲公民個人信息307億余條[N].法制日報，2017-2-14(003).

[3]馬改然.個人信息犯罪研究[M].北京：法律出版社，2015：1.

[4]張明楷.規(guī)范的構(gòu)成要件要素[J].法學(xué)研究，2007，(6).

[5]付強.非法獲取公民個人信息罪的認定[J].國家檢察官學(xué)院學(xué)報，2014，(2).

[6]葉良芳，應(yīng)家赟.非法獲取公民個人信息罪之"公民個人信息"的教義學(xué)闡釋--以《刑事審判參考》第1009號案例為樣本[J].浙江社會科學(xué)，2016，(4).

[7]趙江輝，陳慶瑞.公民個人信息的刑法保護[J].中國檢察官，2006，(4).

[8]吳盛.對《刑法修正案(七)》(草案)第六條的完善建議[N].檢察日報，2008-9-16(008).

[9]張明楷.刑法分則的解釋原理[M].北京：中國人民大學(xué)出版社，2004：140.

[10]趙秉志.公民個人信息刑法保護問題研究[J].華東政法大學(xué)學(xué)報，2014，(1)；高銘暄，馬克昌主編.刑法學(xué)(第六版)[M].北京：北京大學(xué)出版社，2014：481.

[11]高富平，王文祥.出售或非法提供公民個人信息入罪的邊界--以侵犯公民個人信息罪所保護的法益為視角[J].政治與法律，2017，(2).

[12]賈健.人類圖像與刑法中的超個人法益--以自由主義和社群主義為視角[J].法制與社會發(fā)展，2015，(6).

[13]黎宏.日本刑法精義[M].北京：北京大學(xué)出版社，2008：36.

[14]彭云.分級分類保護用戶個人信息[N].人民郵電，2013-9-9(007).

[15]葉濤.從蛛絲馬跡中探尋事實真相--利用日志信息調(diào)查互聯(lián)網(wǎng)用戶的行為規(guī)律[J].調(diào)研世界，2012，(2).

[16]石佳友.網(wǎng)絡(luò)環(huán)境下個人信息保護立法[J].蘇州大學(xué)學(xué)報，2012，(6).

(責(zé)任編輯：杜婕)

The Scope of Personal Information in Criminal Law under the Network Security

ZHAO Zong-tao

( Faculty of Law, East China University of Political Science and Law, Shanghai 200042, China )

Personal information is facing the risk of serious violation under the environment of big data, network security law and other laws have different ranges on personal information, causing a problem of judicial cognizance. Compared with "privacy", the "identification" concept pattern conforms to our country's law present situation. Fully consider three factors, protection benefit, properties and regulation of legal interest, "personal information" under protection of the criminal law can be defined as "fixed down in some way to separate or combined with other information identifies the natural person to a variety of useful real information". Based on the judgment of these four constituent elements, solid, identity, authenticity and value using, we are able to define the scope of "personal Information"accurately. Collect or sell illegally, provide self-publicized "personal information"illegally may be a crime.

personal information; right of personal information; identifiability ; personal privacy ; network security

2017-03-28

華東政法大學(xué)研究生創(chuàng)新項目“網(wǎng)絡(luò)安全視野下個人信息權(quán)刑法保護研究”(2017-4-044)

趙宗濤(1992-)，男，山東滕州人，在讀碩士研究生，主要從事刑法學(xué)研究。

D914

A

1008-7605(2017)03-0082-06