詹星

摘 要：公民個人信息構成要素中最重要的標準是識別性。根據(jù)識別方式，公民個人信息分為可以直接識別和可以間接識別的信息。間接識別應當遵循合理性標準，倘若行為人所在領域的一般人利用某個人信息并通過合理的途徑進行查詢后即可識別到個人，該信息屬于可以間接識別的公民個人信息。收集已經(jīng)在網(wǎng)上公開的公民個人信息再向他人出售的行為是否違法的重要判斷依據(jù)是作為信息權主體的公民個人是否對其個人信息作出承諾或概括同意。

關鍵詞：合理性標準 間接識別 概括同意

隨著科技和網(wǎng)絡的迅速發(fā)展，公民個人信息承載了越來越多的內(nèi)容和利益，成為犯罪分子實施犯罪的工具，侵犯公民個人信息犯罪呈爆發(fā)式增長?！皟筛摺痹?017年5月聯(lián)合發(fā)布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《侵犯個人信息問題解釋》），對刑法第253條之一規(guī)定的“侵犯公民個人信息罪”在司法實踐中的具體適用作出了詳細的規(guī)定。這一定程度上增加了法條的可操作性，也對一些模棱兩可的問題起到了一定的定紛止爭作用。目前，盡管不少爭議問題已經(jīng)借助該解釋逐步得以解決，但由于實際情況的復雜性，仍有部分問題存在較大爭議，同案不同判的現(xiàn)象也較為常見。因此本文結合司法實踐中仍存在的問題，對侵犯公民個人信息罪的入罪邊界進行探討。

一、公民個人信息的識別標準

判斷是否構成侵犯公民個人信息罪，第一步須確認行為人所侵犯的是否系公民個人信息。一般認為，公民個人信息的構成要素有二，即實質(zhì)要素和形式要素。前者指個人信息可以直接或間接識別到本人，后者指個人信息必須得以固定和可以處理。[1]不管是我國法律還是域外法律，大多都將前者作為個人信息的判斷標準之一，也即“識別性”。我國早在2012年12月就出臺了《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》（以下簡稱《網(wǎng)絡信息保護的決定》），其規(guī)定了“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。該決定雖未明確提出“個人信息”這一概念，但本質(zhì)上已打算將普通的電子信息和可識別個人身份的電子信息予以區(qū)分，同時對具有識別性的電子信息進行特殊保護。2016年11月網(wǎng)絡安全法出臺，首次在法律層面對“個人信息”做了明確規(guī)定。[2]該定義采取的是“識別說”標準。同時，域外法律如歐盟及其絕大多數(shù)成員國的法律也都明確采用“識別說”來定義“個人信息”，如2018年歐盟出臺的《通用數(shù)據(jù)保護條例》（GDPR）第4條規(guī)定，個人數(shù)據(jù)是指任何已識別或可識別的自然人相關的信息。[3]由此可見，信息的可識別性系其成為公民個人信息的重要標準。

二、公民個人信息的間接識別

識別過程中較為重要的是識別程度和識別方式。識別程度是指識別范圍的大小，例如根據(jù)電話和姓名，只能識別到一個個體。但如果根據(jù)姓名及其所讀小學，則可能存在兩個或兩個以上被識別到的個體。通常認為，只有根據(jù)某個人信息，識別到具體的某個個體時，該個人信息才屬于“可識別”。識別方式通常分為直接識別和間接識別。“姓名+電話號碼”這種個人信息屬于能夠直接識別到個人的信息;而諸如“姓名+所讀小學”等個人信息，因為其所識別到的個體存在兩個或兩個以上，所以該信息不屬于能夠直接識別的信息。至于其是否屬于能夠間接識別個人的信息，需判斷該個人信息是否可以結合其他特征信息，如相貌、身高等，來識別到具體個人。如果可以，則“姓名+小學信息”屬于可間接識別的個人信息。能夠進行直接識別的信息一般不存在爭議，存在模糊界限的僅是能夠間接識別的個人信息。

（一）間接識別需以合理方式進行

間接識別通常需要借助其他信息進行輔助識別。從理論上說如果有足夠的精力和時間，任何看似微不足道的信息，都可以通過聯(lián)結其他信息的方式定位至具體個人。比如，看似不重要的個人飲食偏好，在單獨被犯罪分子獲取時，不能起到直接或間接識別的作用。但若再加上性別、體重、年齡、所在城市、消費記錄等信息，則可能間接識別到具體的個人。此時需要解決的問題是如何判斷某個信息是否屬于間接信息，該問題也被稱為“識別的可能性問題”。在大數(shù)據(jù)時代，雖然對眾多瑣碎信息進行分析后即可能識別到具體個人，但間接識別必須考慮成本、數(shù)據(jù)處理技術。[4]換言之，在識別的可能性問題上，應強調(diào)以合理的方式進行。在通過合理途徑對某些信息進行分析對比后，若可以識別到個人則該信息屬于間接識別的個人信息，反之則不是。合理途徑是指簡單的搜索或詢問。申言之，如果行為人利用某些個人信息，經(jīng)過簡單的搜索或詢問后可識別至具體的公民個體，則該類信息屬于可以間接識別的個人信息。倘若需要花費巨大精力或動用很大的權力，如某些個人信息需要通過公安內(nèi)部系統(tǒng)查詢才能匹配到具體個人，則該信息不屬于可以間接識別的公民個人信息，因為其識別途徑并不合理。

（二）間接識別是否合理需考慮識別主體差異問題

間接識別的識別途徑是否合理，還需要考慮不同行為人之間的主體差異。歐盟工作組認為，為確定手段是否合理，應考慮所有客觀因素，如識別成本、識別耗時，以及識別所需要使用到的技術等。[5]筆者同意歐盟工作組提出的通過考慮所有客觀因素來判斷識別手段是否合理的做法。但筆者認為，此處客觀因素的考慮應當結合行為人自身的情況進行。具體而言，相同的識別手段會因為不同行為人所處的地位不同，而導致其合理性不同;如果不區(qū)分行為主體的具體情況，機械地認定識別手段的合理與否，將會導致間接識別的個人信息的范圍被不合理地擴大。例如，同一組“姓名+學校考試成績”個人信息，被校長用以識別具體學生與被學生用以識別所耗費的成本和時間精力是不一樣的。如果該類個人信息被校長所侵犯，則該類信息極有可能屬于間接識別的個人信息。因為校長的權限很大，只要在其權限范圍之內(nèi)耗費合理的精力即可查詢到具體的學生。但如果該類個人信息被學生所侵犯，則該組信息一般不屬于間接識別的個人信息，因為對于學生而言，其可能需要耗費巨大的時間精力成本才能根據(jù)該類信息查詢到具體的學生個體。

（三）應當從行為人所在領域的一般人的角度來判斷手段是否合理

由上可知，識別手段的合理與否還同侵犯公民個人信息的行為主體有關，因此判斷手段合理與否應考慮犯罪者所在領域的具體情況，如犯罪者的知識背景、從事行業(yè)和職務權限等。申言之，如果某犯罪者所在領域的一般人根據(jù)某信息，花費合理的時間和精力后仍不能識別到具體的公民個體，則該信息在行為人這里不屬于間接識別的公民個人信息。換言之，不能因為某手段在其他人的領域里面屬于合理手段，就推定該信息在行為人這里亦能通過該手段被合理識別。因此，某信息是否屬于可以間接識別的個人信息的重要標準是，行為人所在領域的一般人能否使用合理手段對該個人信息進行識別。如果利用該信息可識別到具體個人，則該信息為間接識別的個人信息。反之則不是。在李某某、龔某某等人侵犯公民個人信息案中，法院認為被告人出售含有電話號碼的個人信息的行為已經(jīng)觸犯了侵犯公民個人信息罪。其中大部分的個人信息中只有電話號碼，僅有少部分是電話號碼+名字。法院認為，通過公民個人的電話號碼雖無法單獨識別公民個人身份，但在手機號碼實名制的大環(huán)境下，公民的手機號碼本身能夠與特定自然人直接關聯(lián)，在這種情況下結合其他個人信息可以識別出公民的個人身份，符合《侵犯個人信息問題解釋》中對公民個人信息范圍的規(guī)定，屬于公民個人信息。[6]

筆者并不認同這一觀點。因為盡管當前環(huán)境下手機號碼已經(jīng)實名制，但手機號碼背后所對應的公民身份只有具有相關權力的行政機關才能獲取，對于諸如被告人李某某、龔某某等普通民眾，其并不能獲取手機號碼所對應的實名制的公民信息。也即其出售、提供僅有電話號碼的個人信息，并不會侵犯到公民的個人信息權。如果不考慮主體的差異性，則侵犯公民個人信息的處罰范圍將會被無限擴大。例如，在大學校園中，每一位學生的校園卡號是與該學生的名字、身份證號碼、家庭住址等情況一一對應的。倘若將僅僅出售、向他人提供學生校園卡號的行為也認定為侵犯公民個人信息的行為，不僅不利于保障人權，而且實質(zhì)上已經(jīng)違反了罪刑法定原則。

因此筆者認為，在認定某個人信息是否屬于刑法所保護的公民個人信息時，應當嚴格遵守可識別性的標準。同時在間接識別中，應當采取識別可能性說，需注意考慮主體獲取和匹配信息的差異性，不能無限擴大侵犯公民個人信息罪的犯罪圈。

三、收集網(wǎng)上已經(jīng)公開的公民個人信息再出售的行為不構成犯罪

另外一個頗有爭議的問題是，收集網(wǎng)站上已經(jīng)公開的公民個人信息后出售的行為是否侵犯公民的個人信息？一般認為，侵犯公民個人信息罪中的“公民個人信息”僅指未公開的公民個人信息。但部分法院認為已經(jīng)公開的公民個人信息也屬于侵犯公民個人信息罪所保護的范疇。如在劉某侵犯公民個人信息案中，劉某通過網(wǎng)上查詢下載或從他人處購買的方式收集企業(yè)法定代表人信息，之后再以一定的價格售賣給他人。一審法院認為，企業(yè)法定代表人的姓名和電話屬于個人信息，其不因被公開在網(wǎng)站上而失去個人信息的性質(zhì)。該信息不為一般人所知悉，具有保護價值，一旦被擴散，將會對公民個人生活的安寧造成干擾，因此劉某的行為構成侵犯公民個人信息罪。[7]國外的司法實踐一般不這樣認為，如美國司法實踐中普遍認為已經(jīng)公開的、暴露在社會中的個人信息一般不再受到隱私權的保護。[8]我國大多數(shù)學者也認為公民個人信息不包括依法公開的個人信息。[9]

個人信息可分為高度公開的個人信息（如姓名等）和私密的個人信息（如電話號碼、身體健康情況、行程蹤跡等）。 對于單獨的公開的個人信息，刑法一般不保護，除非是多個公開的個人信息組合起來可以識別到具體個人; 對于私密的個人信息， 刑法上一般只保護可識別到具體個人的信息。但基于實質(zhì)可罰性的立場，經(jīng)同意或者授權收集的，或者是收集已經(jīng)公開發(fā)布的個人信息，不構成犯罪。

對于前述劉某侵犯公民個人信息案，筆者認為劉某的行為并沒有違法。企業(yè)法定代表人的姓名和電話是企業(yè)法定代表人自愿公布在網(wǎng)上的，因此倘若將公民個人信息理解為個人法益，則被害人同意的存在將阻卻他人收集公民個人信息行為的違法性。即使存在企業(yè)法定代表人的個人信息被他人強行或私自公布在網(wǎng)上的情況，但對不知情的第三者而言，其也沒有義務和能力去核實被公開的公民個人信息是否系公民自愿公布。因此，對于已經(jīng)被公布在網(wǎng)上的公民個人信息，應當推定該個人信息系公民個人主動披露的。但如果行為人明知該公民個人信息系被他人非法披露在網(wǎng)上，此時則可以推翻存在被害人同意的推定，進而認定行為人收集該類個人信息的行為實質(zhì)上侵犯了公民的個人信息。

另外，倘若將公民個人信息理解為超個人法益，這種收集企業(yè)法人電話和姓名的行為，并不會影響社會秩序，亦不會侵害超個人法益。因為社會公眾在網(wǎng)上即可查詢到這些公民個人信息，且該查詢沒有影響網(wǎng)絡秩序和社會秩序。因此本文認為，對于自愿公開且未聲明排除他人收集的個人信息，行為人收集后向其他人提供或者出售的行為，因存在被收集者同意而不屬于違法行為。

對比大數(shù)據(jù)時代特有的網(wǎng)絡爬蟲行為即可發(fā)現(xiàn)：判斷爬蟲行為是否違法也是從判斷是否存在被收集者的同意入手。[11]在百度公司訴北京奇虎公司一案中，百度公司訴稱奇虎公司違背百度網(wǎng)站的爬蟲協(xié)議，違規(guī)抓取百度公司網(wǎng)頁的內(nèi)容，屬于違法行為，構成不正當競爭。法院在判決中也認為，使用爬蟲技術時若違背他人設定的Robots協(xié)議而收集他人的信息，則屬于“非法獲取公民個人信息”。[12]Robots協(xié)議雖不具有阻止他人強行收集信息的能力或效力，但其與刑法上的被害人的同意或概括同意相類似，其會在協(xié)議中注明他人可以收集哪些信息，他人不可以收集哪些信息，從而起到排除部分收集行為違法性的作用。因此，收集權利主體自愿公開或發(fā)布的個人信息并出售的行為，并不違法。[13]但在權利人提供個人信息時明確限定了個人信息的用途或者根據(jù)行業(yè)習慣或行業(yè)慣例可以推知個人信息的用途時，行為人超越該用途使用個人信息的行為將觸犯侵犯公民個人信息罪。如貸款公司將其獲取到的貸款人個人信息另行提供或出售給他人的行為，將觸犯侵犯公民個人信息罪。因為從貸款行為和金融行業(yè)習慣中可以合理推知，權利人僅同意其個人信息被用于貸款流程中。

因此，在司法實踐中，要注意區(qū)分獲取行為和提供行為。獲取行為的合法并不必然導致提供行為的合法性。判斷兩行為是否合法，重點仍在于判斷權利人對個人信息給予了何種范圍和程度的同意（個人法益說），以及判斷該行為是否影響了社會秩序（超個人法益說）。