公民个人信息在刑法上的范围界定
卓家武,赵辰熹
(1.蚌埠学院 马克思主义学院,安徽 蚌埠 233030;
2.安徽师范大学 法学院,安徽 芜湖 241000)
案例导引:车辆维修保养信息能否认定为公民个人信息。2021年1月,犯罪嫌疑人Z某某与N某共同出资成立某科技有限公司,分别占股51%和49%。该公司主要从事帮助二手车交易客户查询二手车维修保养信息的中介服务,每单赚取差价5-10元不等。该公司先后招聘犯罪嫌疑人J某某、W某等七人为业务员,月底进行统计,根据每人出单量计算报酬。期间,Z某某从L某处以每月1200元的价格租赁某汽车后台账户,并将查询到的车辆维修保养信息在网上进行贩卖,从中获利。至案发时,该公司非法获利共计22万余元。2021年4月15日,某市公安局某区分局以犯罪嫌疑人Z某某、N某、J某某等人涉嫌侵犯公民个人信息罪采取刑事拘留强制措施,2021年5月13日,该局提请某市某区人民检察院审查逮捕上述犯罪嫌疑人。对Z某某和N某获取二手车保养信息,向他人出售该类信息,获取利益的行为,是否构成侵犯公民个人信息罪,产生争议。该案能否构成侵犯公民个人信息罪,取决于涉案车辆维修保养信息能否认定公民个人信息:
观点一:车辆维修保养信息属于公民个人信息,行为人构成侵犯公民个人信息的犯罪。理由如下:涉案车辆维修保养信息符合行政法和刑法规定的公民个人信息;
行为人具有侵犯公民个人信息的主观故意;
行为人通过租赁方式,获取某汽车售后账户的行为是犯罪行为。
观点二:车辆维修保养信息不属于公民个人信息,行为人不构成侵犯公民个人信息犯罪。理由如下:涉案车辆维修保养信息不具有识别特定人的信息可能;
行为人不具有侵犯公民个人信息的主观故意;
某汽车售后账户系统是通过车架号等方式查询维修信息,其未实质侵犯公民个人信息。
机动车维修保养信息能否认定为属于公民个人信息范畴是案件双方争议的焦点。本文拟围绕本案例涉及的机动车维修保养信息特征,阐述公民个人信息在刑法上的识别及其运用范围。
公民个人信息作为法律保护的对象,始于《侵权责任法》中的隐私权保护。在《民法通则》中没有设置隐私权的概念及保护措施。《侵权责任法》规定了隐私权成为侵权的客体,但是,对于隐私权的概念,立法没有确定法理定义。学理上,对隐私权简单化概述为私人生活安宁、私人生活信息受到保护且不受他人侵扰等权利[1]。隐私权包括个人生理特征、心理活动以及情感状态和通信通讯保密的私法权利。我国虽然没有在立法层面明确规定“个人隐私”的范畴,但隐私权与个人信息权存在相同的地方,又有不同的地方。两者差别体现在权利属性、权利客体、权利内容和权利保护方式等方面[2]。《民法典》第1034条分为三款规定了公民个人信息的法理取向。个人信息介于隐私权和国家信息保护义务之间,民法典采取取舍择一的观点,首先是以公民个人信息内容为民法典保护对象,在个人信息内容不能保护个人不应为他人所知的隐私信息时,则以隐私权予以保护。公民个人信息范畴包含行踪轨迹信息当无争议,但是,是否属于公民隐私权范畴,则存在疑问。如果从隐私权的非公开程度而言,行踪轨迹是公民参与公共生活秩序而留下的外在的行动符号,与公民基于自然人之间隐私保护而从事的交往活动所留下的轨迹,则具有不同的性质。
在公法领域,关于国家对个人信息保护的义务,在21世纪开始十年内,行政法和刑法都未得到必要关注,仅仅在未成年人保护法和刑事诉讼法中规定了行政违法未成年行为人、行政违法行为受害人和刑事程序的犯罪嫌疑人、被告人和被害人的个人信息的程序法保护。这些保护的法理根据依然是隐私权保护理论。
伴随着公民个人信息网络化扩散的进程加速,以及公民个人信息电子化程度提高,国家在网络管制中,强化了公民个人信息保护的行政措施。特别强调国家机关在履职过程中获取公民个人信息的保护职责,因为国家机关依法履行职责,处理个人信息的数量、质量等方面可能都远优于一般个人信息者[3]。2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,第1条规定了国家对公民信息的保护义务,第11条规定违反本决定所承担的法律责任,包括行政责任、民事责任和刑事责任。2013年7月16日工业和信息化部颁布部门规章《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)。该部门规章第4条解释“用户个人信息”,专门指用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。在解释该类信息类别和范围时,学理和司法实践都作出扩大解释,即“等”为“等外等”。全国人大常委会颁布并于2017年6月1日起施行的《网络安全法》第76条规定的个人信息扩展到生物信息,从自然人的生物属性和社会属性两个方面,确定识别自然人的信息为个人信息。
2021年11月1日起施行的《个人信息保护法》,就哪些是“已识别”或“可识别”的信息范围,立法者没有具体列举信息名称或信息内容。通过信息记录的内容即可明确特定自然人的相关信息为直接识别;
若信息记录的内容辅以其他信息内容便具有极大可能识别特定自然人的即间接识别[4]。以“唯一指向”作为直接效果的“识别”标准,就是能够从群体中明确区分出特定自然人,即便只是有可能,这些信息即构成个人信息[5]。同时,该法第28条增设敏感信息保护,采取列举的方式,列出个人敏感信息类型,比普通的个人信息更应受到法律有效保护。
我国公民个人信息法理保护的范围呈现的特征可以概括为以下几个方面:其一是在法律规范意义上,民法规范、个人信息保护法和行政法规、部门规章的规定逐渐扩大公民个人信息范围,从直接信息到间接信息,从生物信息到社会信息;
其二是对公民个人信息识别的标准从“直接识别”和“间接识别”方法,向“可识别”或“已识别”的方法转变,无法判断某项信息或某类信息具有识别公民个人身份或社会活动的作用时,该信息就不属于法律保护的公民个人信息;
其三是对于网络电子载体的个人信息保护与其他载体的个人信息保护同等重要,特别是电子化的公民个人信息,公民个人信息载体已经超越了纸质文件的信息表达方式,可能转化为电子化信息载体;
其四是公民个人信息保护的义务主体逐步扩大到网络参与者各义务主体范围,甚至包括集合性的信息载体,如滴滴打车者活动的网络信息。
国家意欲构建以民法、行政法等对公民个人信息保护的法律秩序,刑法是最后的保护手段。本文认同复合法益观,即非以单一维度而兼采私法法益和公法法益的法益类型[6]。从立法上分析,2009年2月28日颁行《中华人民共和国刑法修正案(七)》(中华人民共和国主席令第十号),第一次将公民个人信息的保护纳入刑法规范保护的对象,在修正案中增设一条,规定侵犯公民个人信息罪的犯罪构成要件。且设置两个罪名,即 “出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。该修正案在刑法上借用了民法规范和行政法规范中关于个人信息范围的规定。与刑法第238条第2款非法拘禁罪、第245条非法搜查罪、第252条侵犯通信自由罪等,并与本修正案规定的刑法第285条第2款非法获取计算机信息系统数据、非法控制计算机信息系统罪、第285条第3款提供侵入、非法控制计算机信息系统程序、工具罪相提并论,都归属于隐私权刑法保护的范畴[7]。但是,在民事权利理论和立法以及司法实践中,隐私权与公民个人信息权是完全不同的两个权利属性,不可以一代之。2013年“两高一部”《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字〔2013〕12号),规定涉嫌犯罪的侵犯公民个人信息行为中,公民个人信息基本与《网络安全法》等规定的公民个人信息范围一致,但增设了“数据资料”概括性概念,以及涉及公民个人隐私的信息。
2015年8月29日《中华人民共和国刑法修正案(九)》(中华人民共和国主席令第三十号)对刑法第253条之一作出再修正,统一罪名为侵犯公民个人信息罪,而且扩大了犯罪主体范围和犯罪客观行为的表现形式。从客观行为合法性要件看,无法律依据或资格,也无公民的许可,实施了出售、提供、获取公民个人信息的行为,即构成犯罪[8]。刑法文本用词是“违反国家规定”,根据刑法第96条的规定,不包括地方性法规、部门规章和地方政府规章,也不包括自治条例等自治性法规。
在最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号)第1条中,“公民个人信息”的规定包含“住址、账号密码、财产状况、行踪轨迹”等,将行踪轨迹作为个人信息范围予以刑事司法保护范围。同时,该司法解释第2条扩大了“国家规定”范围,否定了刑法第96条的规定,而将国家层面的涉及公民个人信息管理方面有关公民个人信息保护规定的部门规章涵盖其内,排除了地方性法规等非国家层面的规定。该条规定将反映特定自然人行动轨迹等信息明确属于“公民个人信息”的范畴[9]。由于刑法中所保护的个人信息与民事侵权行为和行政保护行为具有不同的性质,刑法上个人信息具有法益性、映射性和真实性特征,也就是说,单一的数据信息不可能具有识别特定公民个人身份信息的功能,但是通过数据的整理、集成、转换等一系列技术处理,使得原本不直接相关甚至相距甚远的信息对自然人身份或活动情况也可以具有一定的识别功能。特定自然人的行踪轨迹、住宅、住宿以及其他具备地理定位属性的信息,尽管其不具有公民个人信息的“强识别性”和“法益关联性”,但是出于保护公民个人信息安全所触发的其他安全需求,将此类信息也归入“公民个人信息”的范围当中,反映了信息时代中对个人关键信息加强保护的未来要求[10]。
有学者认为,刑法解释中的公民个人信息概念与民法中的概念存在范围内的错位。刑法的侵犯公民个人信息罪应当在刑事司法和刑事立法两个层面向民法靠拢,在刑事司法层面上,重新限缩性解释公民个人信息的概念,在刑事立法层面上,公民个人信息罪的适用范围进行扩充。以司法的“退一步”与立法的“进一步”, 重新调适侵犯公民个人信息罪的适用范围[11]。根据罪刑法定原则和司法解释的法律渊源效力分析,刑事司法文本关于公民个人信息范围的解释尽管扩大了公民个人信息的范围,但是并非简单化扩大,而是与行政规章相一致,并没有超越行政治理的目的。因此,关于刑法规范中的公民个人信息的范围,与民法典或行政法规范规定的内容存在差别,符合刑法保护目的。
机动车运行轨迹是其所有权人社会活动的记录载体和行踪信息。国家网信办等部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》(国信办秘字〔2021〕14号)第5条规定了常见类型APP的必要个人信息范围。该规定细化了个人信息保护法中列举的普通个人信息和敏感个人信息,进一步规范了APP个人信息保护。其中对于个人行踪或车辆信息等作出了个人信息归属的规定。从现有法律列举性的规定看,机动车维修保养信息不属于个人信息的范围。但是根据“可识别”或“已识别”的标准以及行政部门规章看,机动车的维修保养信息是一个概括性概念,维修保养含有的信息是一个复合信息体,因为维修保养信息概括性内容中可能就包含有个人信息的内容,当然包含行动轨迹或活动行踪。本文所引案例,汽车维修保养信息是否属于行踪信息的个人信息范围,是一个值得探讨的难题。对于汽车维修保养信息存在争议的理论渊源,是因对汽车维修保养信息的分类及其法律性质的判断存在分歧。
伴随着我国机动车二手交易市场的扩大,二手车交易过程中,存在侵犯公民个人信息的行为,已经成为刑法调整的重要对象。有学者认为,二手车交易语境下的二手车车况信息是否属于公民个人信息,就是一个法律性质不明的问题。其原因有三个方面,其一是VIN码“唯一设备识别编号”(信息要素)和“唯一设备识别编号+行驶里程+维修记录”(信息内容)混同的问题。第二,识别目的与立法目的脱节。第三,实践数据处理形态与理论预设的信息内容脱节[4]。笔者认为,该观点值得商榷。在理论上解释分歧点,在实践中需要理清的是,部门规章明确将VIN码和行车拍照作为个人信息内容。如果单独讨论VIN码、车牌照号,肯定不能简单地归属于某自然人信息范畴。车牌照号是国家许可机动车上路行使的行政许可标志,VIN码是机动车唯一车辆识别码,俗称车架号。一辆机动车只有一个车辆识别码(车架号),但可以有几个车牌照号。车主或购车人与机动车车身信息可能没有必然的联系,不具有“可识别”或“已识别”标准,但是,如果将机动车车身、维修、停靠、运行等信息的综合分析,进行数据整合,结合某自然人身份行踪特征等信息,则可以探知到某自然人的特定身份。在技术上,车辆数据分组分类地排列方式是按照技术标准排列,但个体对于车辆数据认知,则是单一条数或单一项数,外在显得无序。因此,二手车即交易车辆的信息,从“可识别”的角度看,交易车辆的信息应归属于公民个人信息范围内,是有法理根据的。
对本文案例,坚持认为不构成犯罪的理由是:第一,车辆维修保养信息属于车辆信息的一部分,其不能单独识别特定自然人的身份,车辆维修保养信息结合其他信息如车牌号、车架号等也难以识别出特定自然人的身份,仍然需要通过公安机关相关部门等渠道进行查询,车辆维修保养信息与特定自然人直接关联度极低。第二,侵犯公民个人信息罪保护法益是公民个人的人身和财产安全。信息的重要程度,直接影响个人信息的认定。如果信息与人身安全、财产安全密切相关、敏感度高,则宜认定为公民个人信息,反之,则不宜认定。第三,根据本案的书证以及犯罪嫌疑人Z某某等人的供述,可以明确他们将非法购入的信息主要出售给二手车商或买卖二手车的人员,信息主要用来供二手车交易的人员对车辆价格进行评估,无证据指向Z某某等人出售的信息,可能被他人用作违法犯罪行为。第四,根据司法解释的规定,“经过处理无法识别特定个人且不能复原的除外”情形下,不构成犯罪。本案涉案大部分信息,系通过涉案汽车销售4S店合法获取,售后人员违反相关规定非法出售车辆维修信息时,已将涉及个人关键信息(姓名、联系方式、住址等)隐去,Z某某等人获取上述信息时,仅有车辆维修信息,且Z某某获取的信息截图,无法恢复以及通过复原的方式还原原始信息。笔者认为,诸多不构成犯罪的理由实属牵强,第二、三项理由显然是错误的。侵犯公民个人信息罪的行踪信息就包含有车辆的各种信息组合群,不是单一地以单个信息作为排除犯罪的理由;
第四项理由是以4S店的违法甚至是犯罪行为作为行为人不构成犯罪的理由,显然是法理错误;
第二、三项理由违反了刑法第253条之一的立法目的和规范要件,侵犯公民个人信息犯罪并不是以侵犯信息后再实施犯罪作为构成本罪的条件。
与本案相似的一则案例是广州互联网法院审理的余某与北京酷车易美网络科技有限公司隐私权民事纠纷案件。在该案件判决书中,法院认为,机动车维修保养信息需要拆分考量,才能对行为人是否构成民事侵权作出判断。判决书认为,车辆基本行驶数据仅记录已行驶里程数,而维保数据和碰撞数据中也未显示车辆维修保养机构的位置信息和维修保养的具体日期,不能以此识别出自然人的行踪轨迹。车辆所有人对于自有车辆车况数据的敏感度更高,但从社会公众的一般认知来看,案涉历史车况信息仅能反映所查车辆的使用情况,其内容既不涉及具体个人,也不用于评价具体个人的行为或状态,无法关联到车辆所有人等特定自然人。案涉历史车况信息判定为个人信息的关键,在于该信息能否单独或者与其他信息结合识别特定自然人。第一,从信息内容看,案涉历史车况信息的内容未出现身份信息、通信通讯联系方式等能直接识别特定自然人的信息。其中的行驶数据、维保数据也未显示车辆维修保养机构的位置信息和维修保养的具体年月日,不能以此识别出自然人的行踪轨迹。第二,从信息特征看,案涉历史车况信息仅能反映所查车辆的使用情况,其内容既不涉及具体个人,也不用于评价具体个人的行为或状态,无法关联到车辆所有人等特定自然人。第三,从信息来源看,根据日常车辆使用经验,产生车况信息的主体除车主外,亦可能为亲友、维修人员、保险人员等,无法通过车况信息精准识别到车辆的实际使用人是否为余某本人。第四,从信息重新结合识别特定自然人的成本看,将车况信息与其他信息结合识别所需的技术门槛、经济成本、耗费时间等都较高。各数据提供方将其所持有的数据采用脱敏化技术传输给酷车易美公司汇集整理并出具相关报告,在一定程度上降低了一般公众将车况信息与第三方信息结合重新识别特定自然人的可能性。综上,案涉车况信息无法被认定为个人信息[12]。该判决之所以是正确的判决,原因是说理透彻,对于维修保养信息采取分割分析的方法,对于车辆行踪轨迹采取否定论证法,排除了侵权现实性。但是与本文案例存在重大区别。因此该判决不能作为评判本文案例是否构成犯罪的论证理由。
本案例中,维修保养信息(车辆维修、保养、里程数、出险等记录)是否包含维修位置、里程路线图、保养次数、保养位置以及出险的地理信息等,并没有用证明予以排除。而且,案例行为人设立公司的目的就是为了获取这些含有隐秘信息的车况信息,很难排除行为人构成犯罪的要件因素。更进一步的质疑是,行为人以购买的方式,独享有机动车维修保养的后台信息浏览、复制、拷贝的商业权利,更难以排除非法获取公民个人信息的犯罪嫌疑。
刑法第253条之一规定的侵犯公民个人信息罪中的个人信息的范围,与民法规范和行政法规范相一致,相关司法解释也详细地列举了公民个人信息的范围,也作出了开放性的规定。在识别某种或某类信息是否属于个人信息时,大多应采用间接识别方法,因为犯罪行为更隐秘地通过间接信息,以获取个人信息。就机动车维修保养信息而言,应采取分割单一信息方法,判断维修保养信息是否属于刑法应保护的个人信息的范围,而不是简单化地以下游犯罪是否实施或调取综合信息成本过大为由而否定犯罪构成。本文所引案例的行为人,构成刑法第253条之一的侵犯公民个人信息罪,应是有刑法根据的。
猜你喜欢维修保养隐私权个人信息如何保护劳动者的个人信息?工会博览(2022年16期)2022-07-16个人信息保护进入“法时代”今日农业(2022年1期)2022-06-01纳税人隐私权的确立、限制与保护湖南税务高等专科学校学报(2021年2期)2021-07-16对农业机械维修保养问题的思考湖北农机化(2020年20期)2020-01-08清洁工程——汽车维修保养新理念(下)汽车维修与保养(2019年7期)2020-01-06警惕个人信息泄露绿色中国(2019年14期)2019-11-26妈妈,请把隐私权还给我学生天地(2019年29期)2019-08-25谷歌尊重雕像“隐私权”的启示华人时刊(2018年17期)2018-11-19“人肉搜索”侵害隐私权的法律解析人大建设(2018年4期)2018-06-262015中国汽车维修保养服务电商行业报告汽车维修与保养(2015年7期)2015-04-17