□ 周光权 (清华大学法学院教授)
根据刑法第二百五十三条之一的规定,违反国家有关规定,向他人出售或者提供公民个人信息情节严重的,以及窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。关于刑法上个人信息的概念及其外延是否必须和民法典、网络安全法以及个人信息保护法的规定保持一致,能否相对地进行理解,很值得探讨。
最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》(2013年4月23日)规定,公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。这是刑事司法解释中最早出现个人信息的概念,其在广义上把握个人信息,将识别个人身份或者涉及公民个人隐私的信息都包括在内。这种刑事司法取向,即使是在2016年网络安全法颁布之后,也没有大的调整。根据网络安全法第七十六条第5款的规定,个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
此后,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年5月8日发布,以下简称“2017年刑事司法解释”),其也并未按照网络安全法的逻辑界定个人信息,而是对其有较大拓展,该解释第一条规定,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。这样一来,在个人身份信息之外能够“反映特定自然人活动情况的各种信息”,也属于个人信息。对于这一解释,可以认为其比之前实施的网络安全法以及《关于依法惩处侵害公民个人信息犯罪活动的通知》中关于个人信息的界定还要宽泛,因为在2013年的通知中,个人身份之外的“公民个人隐私”可以成为个人信息。但是,在2017年刑事司法解释中,只要是“反映特定自然人活动情况的各种信息”,即便其不属于民法典第一千零三十二条与第一千零三十四条第3款规定的个人隐私,不涉及私人生活安宁,或者与私密空间、私密活动、私密信息无关,也是个人信息。
在2017年刑事司法解释实施之后,立法上进一步对个人信息概念进行了明确。根据民法典第一千零三十四条第2款的规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息保护法第四条第1款规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
上述梳理表明:首先,前述立法及司法解释对个人信息概念的理解均存在一定差异。但在相关规定中,都重视信息在识别特定个人方面的功能发挥,采用列举与概括相结合的规范方式,其中关于“等信息”的规定,能够将需要保护的个人信息“兜得住”,不会形成利益保护方面的漏洞。当然,刑法中个人信息的外延与民法典以及个人信息保护法之间的差异不是根本性的。在刑事司法实践中,行为人所侵犯的个人信息,基本都是民事上常见的信息类型,且大多表现为多种信息的组合。
其次,民法典或个人信息保护法中有明确规定,但刑事司法解释上未明确列举的信息类型,刑法上也可能进行处罚。例如,民法典第一千零三十四条第2款将健康信息明确规定为个人信息。2017年刑事司法解释并无类似规定。但是,实务上对于非法获取、提供慢性病监测系统病人信息的案件,仍然以本罪论处。此外,在民法典以及网络安全法中,都将生物识别信息明确规定为个人信息,在个人信息保护法第二十八条第1款中,将生物识别信息明确规定为个人敏感信息。但是,在2017年刑事司法解释中并无相关规定。不过,这丝毫不影响司法机关未来对非法获取、提供个人生物信息的行为认定为犯罪。例如,行为人如果使用“人脸识别软件”识别他人的人脸信息,或对人脸识别数据进行加工,然后提供给第三方的,完全可以构成本罪。
再次,刑事司法上早期重视隐私,将其与个人身份信息并列,但是,近年来已经不再强调信息的隐私性质。实务上,对于客观上与特定自然人相关联的隐私信息的保护非常重视,侵犯的个人信息涉及个人隐私的更容易成为定罪理由。
最后,刑法和民法对个人信息保护的侧重点有所不同。在2017年刑事司法解释中特别将账号密码、财产状况明确列举出来,实务中对于财产信息的保护也特别看重。而在个人信息保护法第二十八条第1款中,金融账户不仅是个人信息,而且是敏感个人信息。不过,由于财产所有者的财产状况、账户密码等信息总是和个人相关联,能够对应个人其他信息,因此,民法典与其他部门法或者2017年刑事司法解释之间的规范表述差异,并不意味着民法典的规定有缺漏。尤其是在2016年7月1日《非银行支付机构网络支付业务管理办法》实施之后,凡是具有支付功能的第三方支付账号都将要求实名认证后才可以使用。这些经过实名认证的账号具有极强的身份属性,可以理解为2017年刑事司法解释中的账号密码,也可以将其理解为包含了民法典第一千零三十四条第2款规定的自然人的姓名、身份证件号码等信息。此外,个人财产状况等信息也总是和个人相关联的,行为人非法购买公民户籍信息、机动车档案信息等公民个人信息,小区业主信息等,既涉及个人财产信息,也涉及个人身份信息,可以认为该行为违反了2017年刑事司法解释的规定,也违反民法典第一千零三十四条第2款的规定。
上述分析说明,对于个人信息概念的使用,刑法和其他部门法之间的共性更多,但也并非严丝合缝地对应,侧重点有所不同,差别一定是存在的。不过,由于不同部门法的规范保护目的不同,对某一特定概念做相对甚至独立的理解,是正常的现象。由于对个人信息范围的界定与违法行为的侵害对象有关,影响违法性判断,刑法视野中个人信息概念的相对性也表明刑事违法性未必从属于其他部门法。
(“刑民(行)关系与犯罪认定”之十八详见于《法治日报》2021年8月25日9版)