編者按:隨著大數(shù)據(jù)技術(shù)的深度應(yīng)用,與公民個(gè)人信息有關(guān)的數(shù)據(jù)共享、使用日益頻繁,其在給人們工作生活帶來便利的同時(shí),也滋生了侵犯公民個(gè)人信息等違法犯罪。為了厘清相關(guān)問題,精準(zhǔn)打擊該類犯罪,本刊特遴選一起提供公民地理位置核驗(yàn)服務(wù)又存儲(chǔ)使用有關(guān)數(shù)據(jù)的案件,邀請(qǐng)專家學(xué)者和檢察官進(jìn)行研討。限于篇幅,僅推送前三個(gè)問題的研討,敬請(qǐng)關(guān)注。

特邀嘉賓

皮 勇

(同濟(jì)大學(xué)上海國際知識(shí)產(chǎn)權(quán)學(xué)院教授、

博士生導(dǎo)師)

李小東

(廣東省深圳市檢察院檢察長，法學(xué)博士)

戰(zhàn) 捷

(廣東省檢察院第一檢察部主任、三級(jí)高級(jí)檢察官)

基本案情

A公司是一家主要為消費(fèi)金融、小額貸公司,第三方數(shù)據(jù)服務(wù)公司和銀行提供風(fēng)控產(chǎn)品和數(shù)據(jù)服務(wù)的公司,張某任該公司CEO。作為一項(xiàng)業(yè)務(wù)內(nèi)容,A公司向掌握大數(shù)據(jù)信息的甲公司(主營業(yè)務(wù)為數(shù)字地圖、導(dǎo)航和位置服務(wù))、電信運(yùn)營商乙公司等購買信息核驗(yàn)接口,進(jìn)行技術(shù)封裝后提供給客戶使用。下游客戶輸入信息后提交核驗(yàn),核驗(yàn)請(qǐng)求經(jīng)過A公司服務(wù)器提交到上游數(shù)據(jù)源公司,上游數(shù)據(jù)源公司在數(shù)據(jù)庫中進(jìn)行匹配、計(jì)算,反饋核驗(yàn)結(jié)果。A公司的信息核驗(yàn)服務(wù)包含工作地、居住地、手機(jī)號(hào)實(shí)時(shí)城市等方面的地理位置核驗(yàn)。手機(jī)號(hào)實(shí)時(shí)城市核驗(yàn)即驗(yàn)證手機(jī)號(hào)當(dāng)前是否在某城市,核驗(yàn)反饋內(nèi)容為“是”或者“否”。工作地和居住地核驗(yàn)需輸入公民的姓名、手機(jī)號(hào)、工作地和居住地的地理位置經(jīng)緯度,上游數(shù)據(jù)源公司根據(jù)收集的手機(jī)用戶行蹤軌跡數(shù)據(jù)計(jì)算分析出白天和夜晚熱點(diǎn)位置,分別對(duì)應(yīng)工作地、居住地,反饋內(nèi)容為“0～5”的一個(gè)數(shù)值。如,“0”代表手機(jī)號(hào)離這個(gè)參照地址的距離在1~2公里以內(nèi),“1”代表5~10公里的距離偏差,“2”代表10~20公里的距離偏差,“3”代表20~50公里的距離偏差,“4”代表50公里以外。不同數(shù)值代表偏離核驗(yàn)地理位置的距離區(qū)間,但其并非依據(jù)即時(shí)定位信息,而是對(duì)過往一年的手機(jī)軌跡加以綜合分析的結(jié)果。消費(fèi)金融、小額貸公司,第三方數(shù)據(jù)服務(wù)公司和銀行據(jù)此判斷信用卡或貸款業(yè)務(wù)申請(qǐng)人填寫的個(gè)人信息是否真實(shí)。與此同時(shí),A公司在其公司數(shù)據(jù)庫中把下游客戶輸入的姓名、手機(jī)號(hào)、身份證等數(shù)據(jù)作為單獨(dú)列來存儲(chǔ),并把下游提交核驗(yàn)的參數(shù)拼接后再作為一列保存。經(jīng)鑒定,A公司成功調(diào)用地理位置核驗(yàn)接口700余萬次,存儲(chǔ)下游客戶發(fā)起查詢的公民個(gè)人數(shù)據(jù)7000余萬條。但張某辯稱收集該類數(shù)據(jù)僅用于對(duì)賬目的。

B公司沒有實(shí)際經(jīng)營場(chǎng)所,僅由實(shí)際控制人方某聯(lián)系業(yè)務(wù)、支配收益,吳某兼職做技術(shù)開發(fā)和維護(hù)。B公司向A公司購買了地理位置信息核驗(yàn)接口,進(jìn)行技術(shù)封裝后在某市場(chǎng)向不特定人員售賣,從中賺取差價(jià)。同時(shí),B公司在自身的服務(wù)器數(shù)據(jù)庫中加密緩存不特定人員輸入的身份證、姓名、手機(jī)號(hào)、銀行卡號(hào)等個(gè)人數(shù)據(jù),并在后續(xù)提供服務(wù)時(shí)直接作為信息核驗(yàn)結(jié)果,從而不用再付費(fèi)給上游公司進(jìn)行核驗(yàn)。經(jīng)鑒定,B公司成功調(diào)用地理位置核驗(yàn)接口3萬余次,存儲(chǔ)下游客戶發(fā)起查詢的公民個(gè)人數(shù)據(jù)19萬余條。趙某系所謂的“私家偵探”,通過B公司購買了A公司提供的信息核驗(yàn)接口,并通過多次、反復(fù)輸入地理位置進(jìn)行核驗(yàn),經(jīng)數(shù)據(jù)碰撞,分析得出被查詢?nèi)讼鄬?duì)準(zhǔn)確的地理位置,并將信息賣給客戶,至案發(fā)獲利約1.6萬元人民幣。

分歧意見

關(guān)于A公司提供的公民地理位置核驗(yàn)結(jié)果是否屬于刑法上的個(gè)人信息:

第一種意見認(rèn)為,刑法上的個(gè)人信息應(yīng)當(dāng)具有可識(shí)別性。A公司僅是在用戶提供原始信息的前提下,運(yùn)用大數(shù)據(jù)技術(shù)給出地理位置核驗(yàn)結(jié)果,或者判斷某一手機(jī)號(hào)是否在某城市,或者提供一個(gè)模糊的地理位置區(qū)間(精度低于1~2公里),對(duì)于識(shí)別特定自然人缺乏實(shí)質(zhì)意義。同時(shí),該核驗(yàn)結(jié)果也并非行蹤軌跡信息,將其評(píng)價(jià)為民法上的個(gè)人信息即可,不應(yīng)作為刑法上的個(gè)人信息。

第二種意見認(rèn)為,刑法上的個(gè)人信息不要求具備可識(shí)別性。侵犯公民個(gè)人信息罪不僅保護(hù)身份信息,也保護(hù)隱私信息,即便單靠A公司提供的地理位置核驗(yàn)結(jié)果難以識(shí)別特定自然人,但也侵犯了個(gè)人隱私,并在結(jié)合其他信息的情況下可能妨害公民相應(yīng)的行為自由。因此,該核驗(yàn)結(jié)果系刑法上的個(gè)人信息。

關(guān)于A公司和B公司存儲(chǔ)提交核驗(yàn)的公民個(gè)人數(shù)據(jù)是否屬于刑法第253條之一中的非法獲取公民個(gè)人信息:

第一種意見認(rèn)為,單純的存儲(chǔ)不是獲取,而類似于持有,但刑法沒有規(guī)定持有個(gè)人信息是犯罪行為。

第二種意見認(rèn)為,A公司、B公司存儲(chǔ)有關(guān)信息行為系在履行職責(zé)、提供服務(wù)過程中收集個(gè)人信息,屬以其他方法非法獲取公民個(gè)人信息。

第三種意見認(rèn)為,A公司雖有存儲(chǔ)個(gè)人信息的行為,但系用于對(duì)賬的目的,沒有進(jìn)一步出售、非法提供這部分信息,不構(gòu)成犯罪。B公司利用所存儲(chǔ)的個(gè)人信息進(jìn)行信息核驗(yàn),實(shí)施了出售或提供給他人的行為,構(gòu)成侵犯公民個(gè)人信息罪。

要點(diǎn)解析

問題一:關(guān)于侵犯公民個(gè)人信息罪保護(hù)的法益

人民檢察:關(guān)于侵犯公民個(gè)人信息罪保護(hù)的法益,理論上有“公共信息安全”“個(gè)人信息自決權(quán)”“個(gè)人信息所體現(xiàn)的公民隱私權(quán)”等觀點(diǎn),對(duì)此您怎么看?該案中,A公司提供公民地理位置核驗(yàn)服務(wù)的行為是否侵害了侵犯公民個(gè)人信息罪所保護(hù)的法益?

皮勇:有觀點(diǎn)認(rèn)為,侵犯公民個(gè)人信息罪保護(hù)的主要法益是自然人的人身權(quán)利,這種觀點(diǎn)值得商榷。

第一,關(guān)于我國法律中個(gè)人信息權(quán)(益)的性質(zhì)存在爭(zhēng)議。相關(guān)法律規(guī)范主要來自個(gè)人信息保護(hù)法和民法。個(gè)人信息保護(hù)法規(guī)定信息主體有知情權(quán)、決定權(quán)、查閱權(quán)、復(fù)制權(quán)、轉(zhuǎn)移權(quán)、更正補(bǔ)充權(quán)、刪除權(quán)、要求解釋規(guī)則權(quán),民法典也有類似規(guī)定。關(guān)于這些“權(quán)利”屬于權(quán)益、權(quán)利或者權(quán)能,是物權(quán)、債權(quán)還是人格權(quán),在民法學(xué)界存在爭(zhēng)議。其實(shí),個(gè)人信息保護(hù)法保護(hù)的是個(gè)人信息權(quán)益而非權(quán)利,權(quán)利必須由法律授予,權(quán)利的性質(zhì)和內(nèi)容由法律確定。個(gè)人信息保護(hù)法第1條在該法的任務(wù)中提到保護(hù)個(gè)人信息權(quán)益,第2條規(guī)定不得侵害自然人的個(gè)人信息權(quán)益,可見,該法保護(hù)的是個(gè)人信息權(quán)益而非權(quán)利。但是,該法規(guī)定信息主體在個(gè)人信息處理活動(dòng)中有前述8種權(quán)利,關(guān)于以上權(quán)利與個(gè)人信息權(quán)益的關(guān)系,存在個(gè)人信息賦權(quán)肯定論和否定論的觀點(diǎn),然而,即使是肯定論者也認(rèn)為,以上權(quán)利“雖名之為‘權(quán)’,實(shí)則只是為了稱呼方便而已。”民法典分別保護(hù)隱私權(quán)和個(gè)人信息,但是沒有規(guī)定保護(hù)個(gè)人信息權(quán)。民法典第990條第1款列舉的包括隱私權(quán)在內(nèi)的9種人格權(quán),并不包括個(gè)人信息權(quán),第2款規(guī)定自然人享有前述人格權(quán)之外的“基于人身自由、人格尊嚴(yán)產(chǎn)生的其他人格權(quán)益”�？梢�,民法典保護(hù)的是作為人格權(quán)益的個(gè)人信息權(quán)益,其不屬于隱私權(quán),故有民法學(xué)者認(rèn)為“個(gè)人數(shù)據(jù)權(quán)利的內(nèi)容不同于隱私權(quán)所保護(hù)的內(nèi)容”。

其實(shí),法律中的個(gè)人信息權(quán)(益)是人格權(quán)益下的個(gè)人信息保護(hù)權(quán),除了關(guān)聯(lián)超個(gè)人法益的情形,單純侵犯?jìng)�(gè)人信息權(quán)益的民事、行政責(zé)任較為有限。對(duì)于隱私權(quán),刑法并未設(shè)置侵犯隱私權(quán)罪。將侵犯隱私權(quán)和個(gè)人信息的行為進(jìn)行對(duì)比,侵犯公民個(gè)人信息罪的法定最高刑是七年有期徒刑并處罰金,屬于重罪。除個(gè)人信息權(quán)益外,如不考慮其他重要法益,難以說明該罪法定刑的設(shè)置理由。

第二,侵犯公民個(gè)人信息罪保護(hù)的個(gè)人信息權(quán)益包括個(gè)人信息保護(hù)權(quán)和個(gè)人信息相關(guān)其他權(quán)益。個(gè)人信息保護(hù)權(quán)是信息主體在個(gè)人信息處理過程中保護(hù)個(gè)人信息的權(quán)利。這種權(quán)利是防御性權(quán)利,不產(chǎn)生對(duì)個(gè)人信息的占有權(quán),也不應(yīng)將其定性為個(gè)人信息自決權(quán),否則會(huì)使該權(quán)利絕對(duì)化,損害其他個(gè)人信息相關(guān)方的利益。個(gè)人信息保護(hù)權(quán)不僅受到民法、行政法保護(hù),也受到刑法保護(hù),這是因?yàn)?侵犯?jìng)�(gè)人信息犯罪必然侵犯?jìng)�(gè)人信息保護(hù)權(quán),而相關(guān)人身、財(cái)產(chǎn)權(quán)益等是被間接侵犯的選擇客體,并非在所有犯罪中必然遭受侵害,所以個(gè)人信息保護(hù)權(quán)是該罪的基礎(chǔ)保護(hù)法益。

個(gè)人信息相關(guān)權(quán)益是指?jìng)�(gè)人信息關(guān)聯(lián)的人身、財(cái)產(chǎn)和其他權(quán)益。各類信息系統(tǒng)處理的個(gè)人信息關(guān)聯(lián)到信息主體的人身、財(cái)產(chǎn)安全、受教育和工作機(jī)會(huì)等權(quán)益,侵犯公民個(gè)人信息犯罪行為可間接侵犯信息主體的以上某方面權(quán)益,并引起現(xiàn)實(shí)的危險(xiǎn),如非法提供的行蹤信息或被他人用于故意傷害、殺人犯罪。相較于直接侵犯人身、財(cái)產(chǎn)安全的犯罪,侵犯?jìng)�(gè)人信息相關(guān)權(quán)益行為的危害相對(duì)較輕,如果被侵犯的個(gè)人信息關(guān)聯(lián)權(quán)益不是重要法益時(shí),單次侵犯行為可能達(dá)不到應(yīng)受刑罰處罰的嚴(yán)重程度。如果被侵犯的個(gè)人信息相關(guān)權(quán)益系重要法益如人身或重大財(cái)產(chǎn)安全,或者其間侵犯了大量個(gè)人信息,則具有刑罰處罰必要性。

第三,侵犯公民個(gè)人信息罪保護(hù)的主要法益是個(gè)人信息安全管理秩序。個(gè)人信息保護(hù)立法主要不是保護(hù)信息主體個(gè)人權(quán)益,而是維護(hù)個(gè)人信息安全管理秩序(在有關(guān)法律法規(guī)中,涉及個(gè)人信息安全管理制度、個(gè)人信息處理規(guī)則的規(guī)范比涉及個(gè)人信息保護(hù)權(quán)的規(guī)范占比要大)。作為個(gè)人信息保護(hù)立法的保障法,刑法同樣服務(wù)于前述目標(biāo)。侵犯公民個(gè)人信息罪的法益具有集體法益和個(gè)人法益二重性,集體法益是主要法益。侵犯公民個(gè)人信息罪將“違反國家有關(guān)規(guī)定”作為入罪前提,這是對(duì)個(gè)人信息權(quán)益作為該罪法益地位的限制。如個(gè)人信息保護(hù)法第10條規(guī)定,不得從事危害國家安全、公共利益的個(gè)人信息處理活動(dòng)。此外,2017年最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》(以下簡(jiǎn)稱《解釋》)將“造成重大經(jīng)濟(jì)損失或者惡劣社會(huì)影響的”規(guī)定為特別嚴(yán)重情節(jié),且司法實(shí)踐中單純侵犯?jìng)�(gè)人信息保護(hù)權(quán)的刑事案件絕大多數(shù)是涉眾性案件,都表明該罪保護(hù)的并非僅是個(gè)人信息權(quán)益。

個(gè)人信息安全管理秩序的維護(hù)與個(gè)人信息權(quán)益的保護(hù)具有一致性。信息主體無論是憑借自身的控制能力還是主張法律權(quán)利,都不足以充分保護(hù)個(gè)人權(quán)益,只有通過讓渡部分權(quán)益給國家,借助刑法保護(hù)個(gè)人信息安全管理秩序,才能實(shí)際獲得強(qiáng)大的國家保護(hù)。維護(hù)個(gè)人信息安全管理秩序涵蓋對(duì)信息主體個(gè)人權(quán)益的保護(hù)。但是,將個(gè)人信息權(quán)益作為該罪的主要法益則不符合事實(shí)與法律,特別是在個(gè)人權(quán)益與國家利益相沖突的情形下,會(huì)使得信息主體的個(gè)人信息權(quán)益及其與個(gè)人信息處理者的合同權(quán)益凌駕于國家利益之上。如,信息主體同意信息處理者跨境轉(zhuǎn)移個(gè)人信息,但后者行為危害到國家安全與利益。如果個(gè)人信息權(quán)益是主要法益,因其沒有侵犯信息主體的個(gè)人信息權(quán)益,不能按侵犯公民個(gè)人信息罪定罪處罰。同時(shí),由于這些個(gè)人信息通常不構(gòu)成國家秘密或商業(yè)秘密,導(dǎo)致以上信息處理者的行為也不能按其他犯罪處罰,可能會(huì)使國家安全和公共利益面臨嚴(yán)重威脅。

該案中,如果A公司獲取個(gè)人信息并非信息主體知情同意下提供或授權(quán)他人提供,或者其經(jīng)信息主體同意的獲取行為違反了國家有關(guān)規(guī)定,則侵害了侵犯公民個(gè)人信息罪保護(hù)的法益。如果A公司保存信息主體的個(gè)人信息及其處理結(jié)果取得了信息主體的知情同意,且系為了向信息主體繼續(xù)提供服務(wù),則屬于合法處理個(gè)人信息行為。但是,合法獲取個(gè)人信息之后,未經(jīng)同意的存儲(chǔ)行為不是侵犯公民個(gè)人信息罪中的行為類型,不侵犯該罪保護(hù)的法益。

李小東:有關(guān)學(xué)術(shù)爭(zhēng)論體現(xiàn)了個(gè)人信息個(gè)人屬性和公共屬性的角力。基于個(gè)人信息的雙重屬性,以個(gè)人信息自決權(quán)作為侵犯公民個(gè)人信息罪保護(hù)的法益更為恰當(dāng),但應(yīng)受到相應(yīng)限制。一方面,侵犯公民個(gè)人信息罪屬于侵犯公民人身權(quán)利、民主權(quán)利罪,相關(guān)出售、提供或非法獲取行為可能對(duì)公民人身、財(cái)產(chǎn)構(gòu)成嚴(yán)重侵害或威脅;個(gè)人信息保護(hù)法是該罪前置法之一,其強(qiáng)調(diào)對(duì)個(gè)人知情同意權(quán)利的拓展,故個(gè)人信息自決權(quán)的法益觀與該前置法更為契合。但是,單純的個(gè)人信息自決權(quán)法益觀是有疏漏的,它過分強(qiáng)調(diào)個(gè)人信息的個(gè)體屬性,忽視了個(gè)人信息的公共流通屬性,排斥日常生活中的合理利用,易導(dǎo)致侵犯公民個(gè)人信息罪的適用范圍不當(dāng)擴(kuò)張。因此,司法者有必要將權(quán)利還原到具體語境、場(chǎng)景中進(jìn)行判斷。

該案中,首先要看A公司的信息核驗(yàn)行為是否輸出了具有可識(shí)別性的個(gè)人信息。從信息核驗(yàn)的特性來看,大部分情況下信息核驗(yàn)不會(huì)增加實(shí)質(zhì)的信息內(nèi)容,有關(guān)信息因充分模糊而缺乏識(shí)別性,無法關(guān)聯(lián)特定人。但當(dāng)輸出的地理位置精確度達(dá)到法定標(biāo)準(zhǔn)時(shí),輸出的內(nèi)容結(jié)合用戶輸入的信息就可能具備可識(shí)別性。目前信息核驗(yàn)服務(wù)廣泛應(yīng)用于各種金融風(fēng)控場(chǎng)合。如果A公司與下游客戶簽訂的相關(guān)風(fēng)控服務(wù)協(xié)議中明確約定下游客戶在使用信息核驗(yàn)服務(wù)時(shí),必須獲得特定信息主體充分授權(quán),則A公司有理由相信下游客戶所輸入用以核驗(yàn)的信息均經(jīng)過合法授權(quán)。據(jù)此,A公司盡到了其應(yīng)盡的合同審查義務(wù),不存在監(jiān)督過失,不應(yīng)認(rèn)定其具有侵犯公民個(gè)人信息的犯罪故意。在該場(chǎng)景下獲得的具有可識(shí)別特征的信息,目的不是去識(shí)別特定人,而是確認(rèn)信息的真?zhèn)?對(duì)于維護(hù)社會(huì)公共秩序和經(jīng)濟(jì)秩序有很大幫助,有其合理性和必要性,故信息核驗(yàn)服務(wù)具有社會(huì)通常意義上的可接受性。在上述風(fēng)控場(chǎng)景下,A公司的信息核驗(yàn)行為沒有侵害侵犯公民個(gè)人信息罪所保護(hù)的法益。

戰(zhàn)捷:關(guān)于侵犯公民個(gè)人信息罪保護(hù)的法益,從集體法益和個(gè)人法益視角出發(fā)存在超個(gè)人法益說和個(gè)人法益說兩大類觀點(diǎn)。從司法實(shí)踐和個(gè)人信息全面保護(hù)的角度出發(fā),對(duì)侵犯公民個(gè)人信息罪保護(hù)的法益不能僅從公共利益或隱私權(quán)保護(hù)的維度來考量。相對(duì)而言,“個(gè)人信息自決權(quán)說”較為適應(yīng)對(duì)于個(gè)人信息范圍的差異化解讀和信息形式多樣化的發(fā)展趨勢(shì)。該案中,A公司提供的公民地理位置核驗(yàn)服務(wù)未經(jīng)信息主體許可,且收集、使用和保存其姓名、手機(jī)號(hào)、工作地和居住地等具有隱私性的個(gè)人信息,這不但侵害了信息主體的個(gè)人信息自決權(quán)和隱私權(quán),而且其行為指向不特定的信息主體,對(duì)公共信息安全造成危害。所以,A公司的行為侵害了侵犯公民個(gè)人信息罪所保護(hù)的法益。

問題二:如何界定刑法第253條之一中的“公民個(gè)人信息”

人民檢察:如何界定刑法第253條之一中“公民個(gè)人信息”的內(nèi)涵和外延?有觀點(diǎn)認(rèn)為,數(shù)據(jù)化的個(gè)人信息具有一定的公共產(chǎn)品屬性,需重點(diǎn)考察對(duì)其是否存在濫用行為。該案中,A公司提供的地理位置核驗(yàn)結(jié)果是否屬于刑法上的個(gè)人信息?

皮勇:在我國法律體系中,“公民個(gè)人信息”概念應(yīng)當(dāng)是統(tǒng)一的,即刑法中“公民個(gè)人信息”應(yīng)當(dāng)與民法典和個(gè)人信息保護(hù)法中“公民個(gè)人信息”的內(nèi)涵與外延一致�？勺R(shí)別性是個(gè)人信息的基本特性,是認(rèn)定個(gè)人信息時(shí)最重要的限制條件。A公司提供的地理位置核驗(yàn)結(jié)果是被核驗(yàn)人手機(jī)信號(hào)離居住地和工作地的距離評(píng)價(jià)數(shù)據(jù),即使在被核驗(yàn)人提供真實(shí)的位置信息的情況下,以上評(píng)價(jià)數(shù)據(jù)并不足以唯一確定被核驗(yàn)人的身份,可能有其他人處于居住地和工作地相同距離范圍內(nèi)的情形,更不是準(zhǔn)確確定被核驗(yàn)人居住位置或者行蹤軌跡信息,故不屬于個(gè)人信息。

李小東:根據(jù)《解釋》第1條和個(gè)人信息保護(hù)法第4條的規(guī)定,可識(shí)別性是個(gè)人信息的核心特征,因?yàn)橹挥锌勺R(shí)別特定自然人的身份或反映其活動(dòng)的信息才有可能被作為個(gè)人信息使用,并對(duì)特定自然人產(chǎn)生危害。從外延上看,刑法上的信息包括敏感信息、重要信息、一般信息,《解釋》第5條對(duì)上述三種類別的信息作出細(xì)化規(guī)定。對(duì)于侵犯公民個(gè)人信息罪的定罪,司法上堅(jiān)持“定性+定量”的邏輯,一般情況下個(gè)人信息越重要,定罪的數(shù)量標(biāo)準(zhǔn)就越低。

該案中,A公司提供的信息核驗(yàn)服務(wù)主要有三個(gè)特點(diǎn):一是信息源掌握在用戶手中。只有在用戶輸入原始信息并同意用以核驗(yàn)的情況下,大數(shù)據(jù)公司才能夠整理加工反饋這些信息。二是反饋輸出的內(nèi)容本身單獨(dú)不具有可識(shí)別性。反饋結(jié)果有三種可能:否認(rèn)信息的一致性(否);確認(rèn)信息的一致性(是);反饋區(qū)間(“0~5”,代表若干公里),其單獨(dú)不具有可識(shí)別性。三是反饋的結(jié)果一般沒有增加實(shí)質(zhì)內(nèi)容。無論是哪種結(jié)果,都僅是對(duì)輸入的一組信息是否與數(shù)據(jù)庫相互一致給予驗(yàn)證,沒有直接提供具體數(shù)據(jù)。除非核驗(yàn)結(jié)果區(qū)間落入法定精準(zhǔn)度范圍內(nèi),其他情況下沒有增加進(jìn)一步提高已有信息精確度的內(nèi)容,因得到“充足模糊化處理”而缺乏個(gè)人信息中與特定人關(guān)聯(lián)并可識(shí)別的屬性,不宜認(rèn)定為個(gè)人信息。如果信息核驗(yàn)輸出的地理位置精確度達(dá)到法定標(biāo)準(zhǔn),輸出的內(nèi)容結(jié)合用戶輸入的信息就具備可識(shí)別性,可能被認(rèn)定為個(gè)人信息,但此時(shí)應(yīng)考慮到個(gè)人信息的多重屬性,結(jié)合信息核驗(yàn)服務(wù)的使用場(chǎng)景予以綜合判斷。

戰(zhàn)捷:關(guān)于個(gè)人信息,《解釋》要求能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況,并在列舉的信息種類里增加了行蹤軌跡、財(cái)產(chǎn)信息等具有一定隱私性但無法單獨(dú)識(shí)別自然人身份的信息形式。個(gè)人信息保護(hù)法也采用了與已識(shí)別或可識(shí)別的自然人有關(guān)的各種信息這一較為寬泛的表述。數(shù)據(jù)化的個(gè)人信息是否具有公共產(chǎn)品屬性,要根據(jù)其具有的可識(shí)別性程度來判斷。如果個(gè)人信息未經(jīng)完全的匿名化、去識(shí)別化處理,雖以數(shù)據(jù)形式表現(xiàn)但仍包含個(gè)性化內(nèi)核和鮮明的身份指向性,則信息主體仍對(duì)其具有自主決定權(quán)利。該案中,A公司提供的地理位置核驗(yàn)結(jié)果雖難以直接識(shí)別特定個(gè)人,但其與其他信息相結(jié)合能一定程度辨識(shí)、反映信息主體的活動(dòng)情況,屬于刑法意義上的“公民個(gè)人信息”。

問題三:如何理解“以其他方法非法獲取公民個(gè)人信息”

人民檢察:“以其他方法非法獲取公民個(gè)人信息”是侵犯公民個(gè)人信息罪規(guī)制的一種行為類型。此處的“其他方法”主要包括哪些,如何理解其非法屬性?該案中,A公司和B公司在提供公民地理位置核驗(yàn)服務(wù)時(shí)存儲(chǔ)并運(yùn)用有關(guān)公民個(gè)人數(shù)據(jù)的行為是否屬于“以其他方法非法獲取公民個(gè)人信息”?

皮勇:“以其他方法非法獲取公民個(gè)人信息”是指除竊取之外的、違反國家有關(guān)規(guī)定的獲取個(gè)人信息的方法,“其他方法”是一種兜底性規(guī)定,主要從行為方式的非法性來界定。這里的非法性表現(xiàn)為兩個(gè)方面:一是權(quán)益侵犯性,即未經(jīng)信息主體的知情同意,導(dǎo)致其獲取行為是侵犯信息主體個(gè)人信息權(quán)益的行為;二是秩序違反性,表現(xiàn)為違反國家有關(guān)規(guī)定,主要是違反個(gè)人信息保護(hù)法中關(guān)于合法處理個(gè)人信息的規(guī)定,如該法第5條至第10條的規(guī)定等。需要注意的是,以上權(quán)益侵犯性與秩序違反性的關(guān)系——前者是基礎(chǔ)性質(zhì),而后者是必要性質(zhì),具有后者必然具有前者,而不符合前者仍然可能符合后者。換言之,即使取得信息主體同意,如果違反國家有關(guān)規(guī)定,如個(gè)人信息保護(hù)法第6條規(guī)定的“收集個(gè)人信息,應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍,不得過度收集個(gè)人信息”、第10條規(guī)定的“不得從事危害國家安全、公共利益的個(gè)人信息處理活動(dòng)”,仍屬于非法獲取個(gè)人信息行為。該案中,如果A公司合法取得信息主體的個(gè)人信息,其存儲(chǔ)的個(gè)人信息和處理結(jié)果數(shù)據(jù)不屬于非法獲取個(gè)人信息。但是,如果該存儲(chǔ)行為違反國家有關(guān)規(guī)定,可能構(gòu)成非法處理個(gè)人信息行為;如果其向其他人提供信息主體的個(gè)人信息未經(jīng)信息主體的同意或者違反國家有關(guān)規(guī)定,可能構(gòu)成非法提供個(gè)人信息行為。B公司有關(guān)行為性質(zhì)的分析思路與A公司類似。

李小東:根據(jù)《解釋》第4條,違反國家有關(guān)規(guī)定,通過購買、收受、交換等方式獲取公民個(gè)人信息,或者在履行職責(zé)、提供服務(wù)過程中收集公民個(gè)人信息的,屬于刑法第253條之一第3款規(guī)定的“以其他方法非法獲取公民個(gè)人信息”。侵犯公民個(gè)人信息罪是典型的法定犯,對(duì)于“非法”的判斷應(yīng)當(dāng)以個(gè)人信息保護(hù)法等前置法為依據(jù)。需要指出的是,犯罪行為的認(rèn)定最終仍取決于刑法的有關(guān)規(guī)定和理論。根據(jù)罪刑法定原則,可認(rèn)定為此處“非法獲取”的“其他方法”應(yīng)當(dāng)小于前置法中的范圍。同時(shí),還應(yīng)當(dāng)考慮相關(guān)行為是否在實(shí)質(zhì)上具有應(yīng)受刑罰處罰的法益侵害程度。

該案中,A、B公司在提供公民地理位置核驗(yàn)服務(wù)時(shí)存儲(chǔ)并運(yùn)用有關(guān)公民個(gè)人數(shù)據(jù)的行為屬于“以其他方法非法獲取公民個(gè)人信息”。第一,從行為對(duì)象看,二公司在服務(wù)器中存儲(chǔ)的信息具有可識(shí)別性。第二,從行為方式看,這種“存儲(chǔ)”行為不是靜態(tài)的保存信息行為。A公司在提供服務(wù)的過程中,未經(jīng)用戶同意,違反正當(dāng)、必要的原則,在其數(shù)據(jù)庫中攔截并有意識(shí)地整理存儲(chǔ)大量個(gè)人信息,該行為符合《解釋》第4條關(guān)于“在履行職責(zé)、提供服務(wù)過程中收集公民個(gè)人信息”的規(guī)定。第三,從法益侵害角度看,上述行為實(shí)際上是一種積極的收集行為,對(duì)于催生犯罪鏈條存在潛在風(fēng)險(xiǎn)。諸如此類的大數(shù)據(jù)公司對(duì)用戶輸入的信息及請(qǐng)求上游反饋的情況進(jìn)行整理存儲(chǔ),產(chǎn)生了一種新的數(shù)據(jù)結(jié)構(gòu)模型,會(huì)逐漸形成一個(gè)數(shù)據(jù)庫,既降低再次調(diào)用上游數(shù)據(jù)源的費(fèi)用成本,也為下游犯罪提供了可能,且行為人對(duì)此存在主觀故意,其行為具有較大社會(huì)危害性。

戰(zhàn)捷:從法秩序統(tǒng)一性原理和體系解釋的原則出發(fā),“其他方法”應(yīng)為與竊取手段具有相當(dāng)性的行為。此類行為違反國家有關(guān)規(guī)定,系未經(jīng)權(quán)利人同意而處分個(gè)人信息,與竊取等方法一樣損害了信息主體的人身權(quán)利和財(cái)產(chǎn)利益。其行為模式主要分為兩類:一是為牟取非法利益,通過購買、收受、交換等方式獲取個(gè)人信息;二是在履行職責(zé)、提供服務(wù)過程中逾越權(quán)限,收集個(gè)人信息或者收集與提供的服務(wù)無關(guān)的個(gè)人信息。相對(duì)于出售、提供、竊取等主動(dòng)作為形式,“其他方法”在信息獲取途徑上可能具有一定受讓性、被動(dòng)性,可表現(xiàn)為經(jīng)營者在業(yè)務(wù)活動(dòng)中對(duì)掌握的個(gè)人信息未盡安全管理義務(wù)。根據(jù)個(gè)人信息保護(hù)法第47條的規(guī)定,信息處理目的已實(shí)現(xiàn)時(shí),信息處理者應(yīng)當(dāng)主動(dòng)刪除其存儲(chǔ)的個(gè)人信息。該案中,A公司和B公司在提供的核驗(yàn)服務(wù)完成后,本應(yīng)及時(shí)刪除提交核驗(yàn)的公民個(gè)人信息,但其未經(jīng)信息主體同意,將相關(guān)信息入庫存檔,該行為不具有合法性、必要性,屬于“以其他方法非法獲取公民個(gè)人信息”。

(全文共五個(gè)問題,現(xiàn)摘發(fā)前三個(gè)問題,全文見《人民檢察》2024年第6期)