侵犯公民個(gè)人信息罪新規(guī)：別在通往監(jiān)獄的路上溜達(dá)

2017年5月9日下午，最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》正式頒發(fā)。這確是一部具有里程碑式意義的法律，也是互聯(lián)網(wǎng)公司關(guān)于個(gè)人信息、網(wǎng)絡(luò)安全及數(shù)據(jù)的合規(guī)大法。一定要重視，否則會(huì)出事。

內(nèi)容實(shí)在太多，個(gè)人認(rèn)為量刑雖然是最大亮點(diǎn)，但其中最為核心的和細(xì)思極恐的，還是在于入罪的門(mén)檻——關(guān)于個(gè)人信息的界定。所以吹毛求疵寫(xiě)上一段。

一

個(gè)人信息的擴(kuò)大化界定

作為立法和司法領(lǐng)域之中關(guān)于個(gè)人信息的頂級(jí)位階，《網(wǎng)絡(luò)安全法》和「兩高新解」對(duì)「?jìng)€(gè)人信息」的界定不盡相同。相比較而言，「兩高新解」關(guān)于個(gè)人信息的認(rèn)定可具擴(kuò)展性，故保護(hù)更近嚴(yán)格。這種擴(kuò)展性主要體現(xiàn)在如下維度。

「兩高新解」增加了「活動(dòng)情況」這一內(nèi)涵，即類(lèi)如自然人的「行蹤軌跡」也界定為一種個(gè)人信息，而不僅僅只是個(gè)人隱私，這就把問(wèn)題搞大而且搞復(fù)雜了。

個(gè)人對(duì)此是持有保留意見(jiàn)的，畢竟個(gè)人信息的認(rèn)定標(biāo)準(zhǔn)且唯一標(biāo)準(zhǔn)應(yīng)當(dāng)是「能單獨(dú)或結(jié)合后識(shí)別特定人」，但例如GPS跟蹤軌跡，它到底如何能指向一個(gè)特定人呢？因?yàn)?，侵犯?jìng)€(gè)人信息的行為邏輯必須是「通過(guò)GPS的集合，能讓大家知道這個(gè)GPS勾勒的是其實(shí)是某一個(gè)特定人，例如大家通過(guò)GPS一眼就知道這是祁同偉走出來(lái)的軌跡」，而決不能是「某個(gè)特定人例如候亮平，走啊走走啊走，然后他的GPS行跡被人記錄下來(lái)，并被售賣(mài)了」。后者所體現(xiàn)的行蹤軌跡雖然符合兩高新解的列舉內(nèi)容，但卻不符合網(wǎng)絡(luò)安全法等關(guān)于個(gè)人信息的定義。

為什么這么較真？假設(shè)祁同偉通過(guò)手中的權(quán)力，把50位領(lǐng)導(dǎo)「或該市大街上隨意50個(gè)人」某天的行動(dòng)軌跡（文字表述的軌跡，或電子地圖式軌跡）都出售給了小趙，但只說(shuō)是人的行動(dòng)軌跡，卻沒(méi)說(shuō)是「誰(shuí)」的軌跡，這算是侵犯?jìng)€(gè)人信息罪么？因?yàn)檫@些行動(dòng)軌跡單獨(dú)都無(wú)法指向某個(gè)「特定人」。

但是根據(jù)兩高新解中「非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息五十條以上的」這樣的條款描述，并結(jié)合自己對(duì)公安部門(mén)辦事的普遍性思路，個(gè)人對(duì)實(shí)際執(zhí)法是其實(shí)是持悲觀態(tài)度的，希望這樣的強(qiáng)制入罪以后不會(huì)發(fā)生，否則就會(huì)偏離個(gè)人信息保護(hù)的本義。

二

網(wǎng)絡(luò)瀏覽記錄屬于個(gè)人信息嗎？

除個(gè)GPS技術(shù)外，網(wǎng)絡(luò)cookie或網(wǎng)絡(luò)信標(biāo)臭蟲(chóng)技術(shù)，其實(shí)也是能給用戶(hù)畫(huà)像，并反映出個(gè)人的「行蹤軌跡」的，它能把個(gè)人網(wǎng)頁(yè)瀏覽記錄保存下來(lái)，并和個(gè)人網(wǎng)絡(luò)賬號(hào)「例如某特定瀏覽器等」一一結(jié)合，從而識(shí)別特定「虛擬人」的特定活動(dòng)。這類(lèi)情況下的「行蹤軌跡」似科更接近「?jìng)€(gè)人信息」的定義。

之所以要挑起這個(gè)話(huà)題，還得從中國(guó)隱私權(quán)糾紛第一案說(shuō)起。該案中，一二審法院作出了截然相反的判決。南京中院二審的終審判決，對(duì)「利用cookie技術(shù)收集的用戶(hù)上網(wǎng)活動(dòng)軌跡信息是不是個(gè)人信息」作出了明確的回答——上網(wǎng)軌跡不屬于個(gè)人信息。

理由如下：1.百度網(wǎng)訊公司在提供個(gè)性化推薦服務(wù)中運(yùn)用網(wǎng)絡(luò)技術(shù)收集、利用的是未能與網(wǎng)絡(luò)用戶(hù)個(gè)人身份對(duì)應(yīng)識(shí)別的數(shù)據(jù)信息，該數(shù)據(jù)信息的匿名化特征不符合“個(gè)人信息”的可識(shí)別性要求。2.網(wǎng)絡(luò)用戶(hù)通過(guò)使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶(hù)的網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動(dòng)軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶(hù)身份相分離，便無(wú)法確定具體的信息歸屬主體，不再屬于個(gè)人信息范疇。3.百度網(wǎng)訊公司個(gè)性化推薦服務(wù)收集和推送信息的終端是瀏覽器，沒(méi)有定向識(shí)別使用該瀏覽器的網(wǎng)絡(luò)用戶(hù)身份。雖然朱燁因長(zhǎng)期固定使用同一瀏覽器，感覺(jué)自己的網(wǎng)絡(luò)活動(dòng)軌跡和上網(wǎng)偏好被百度網(wǎng)訊公司收集利用，但事實(shí)上百度網(wǎng)訊公司在提供個(gè)性化推薦服務(wù)中沒(méi)有且無(wú)必要將搜索關(guān)鍵詞記錄和朱燁的個(gè)人身份信息聯(lián)系起來(lái)。

這里就涉及到網(wǎng)絡(luò)「虛擬人」的問(wèn)題，法院判決書(shū)中第3點(diǎn)理由的意思指，運(yùn)用cookie技術(shù)在推薦廣告時(shí)，它推送的對(duì)象其實(shí)不是某個(gè)賬號(hào)所對(duì)應(yīng)的真實(shí)自然人，而僅僅是某個(gè)軟件或設(shè)備，例如當(dāng)祁同偉使用其在家里的臺(tái)式電腦，并使用該電腦上的火狐瀏覽器瀏覽襪子時(shí)，cookie技術(shù)下次就會(huì)向這臺(tái)電腦的這個(gè)瀏覽器「即虛擬人」再行推送類(lèi)似商品，而不會(huì)向祁同偉這個(gè)人的其它設(shè)備推送。因?yàn)閏ookie技術(shù)仍是一種本地化技術(shù)實(shí)現(xiàn)。

但若cookie技術(shù)通過(guò)祁同偉登陸的火狐瀏覽器帳戶(hù)同一性認(rèn)定，跨終端平臺(tái)推送廣告，似乎就需要和個(gè)人身份「賬號(hào)密碼」相聯(lián)系了，這點(diǎn)又有不同，這種功能在兩高新解下就可能變成灰色地帶了。

所以，如果兩高新解一定要把行蹤軌跡「如cookie技術(shù)」認(rèn)定為就是一種個(gè)人信息，一不符合立法，二也和司法實(shí)踐是相矛盾的。

2016年6月底，谷歌把2007年曾向用戶(hù)承諾的隱私條款不動(dòng)聲色地拿掉了：“除非用戶(hù)同意，谷歌不會(huì)將下屬?gòu)V告公司DoubleClick收集的 cookie信息，和谷歌收集的其它個(gè)人身份信息結(jié)合起來(lái)使用”。說(shuō)明這種cookie技術(shù)的效果還將繼續(xù)，而且也會(huì)發(fā)揮越來(lái)越大的作用。

三

個(gè)人隱私和個(gè)人信息的邊界

這里一定要搞清楚的是「?jìng)€(gè)人信息」和「?jìng)€(gè)人隱私」是有區(qū)別的，不能完全等同。個(gè)人信息包括部分個(gè)人隱私，但個(gè)人隱私不一定就是個(gè)人信息；個(gè)人隱私除了用戶(hù)個(gè)人信息外還包含私人活動(dòng)、私有領(lǐng)域例。個(gè)人隱私和個(gè)人信息的邊界需要進(jìn)一步界定。

根據(jù)王利明教授的觀點(diǎn)，個(gè)人隱私和個(gè)人信息的區(qū)別還是非常大的。主要是三點(diǎn)，大意如下」：

第一，隱私權(quán)是一種精神性人格權(quán)，財(cái)產(chǎn)價(jià)值不突出。而個(gè)人信息性質(zhì)上屬于一種集人格利益與財(cái)產(chǎn)利益于一體的綜合性權(quán)利，對(duì)于一些名人的個(gè)人信息而言，甚至主要體現(xiàn)為財(cái)產(chǎn)價(jià)值。第二，隱私權(quán)是一種消極的、防御性的權(quán)利，只能在遭受侵害的情況下請(qǐng)求他人排除妨害、賠償損失等。而個(gè)人信息，權(quán)利人除了被動(dòng)防御第三人的侵害之外，還可以對(duì)其進(jìn)行積極利用，如出售。第三，隱私不限于信息的形態(tài)，它還可以以個(gè)人活動(dòng)、個(gè)人私生活等方式體現(xiàn)，且并不需要記載下來(lái)。而個(gè)人信息必須以固定化的信息方式表現(xiàn)出來(lái)，因此，個(gè)人信息通常需要記載下來(lái)，或者以數(shù)字化的形式表現(xiàn)出來(lái)。也就是說(shuō)，個(gè)人信息概念側(cè)重于“識(shí)別”，即通過(guò)個(gè)人信息將個(gè)人“識(shí)別出來(lái)”。

以往，侵犯?jìng)€(gè)人隱私一般很難上升到刑事犯罪，主要由侵權(quán)責(zé)任法進(jìn)行私力求濟(jì)。而侵犯?jìng)€(gè)人信息卻不同，不論是治安管理，還是現(xiàn)在的刑事犯罪都可以尋求幫助，在民法總則出來(lái)后，個(gè)人更是可以通過(guò)私力救濟(jì)來(lái)保護(hù)個(gè)人信息了。這也足說(shuō)明在保護(hù)法益上，個(gè)人信息的要顯得更加重要一些。也正是因?yàn)榇?，我們更要注意區(qū)別兩者，既不能把侵犯?jìng)€(gè)人隱私的事，用刑法加以打擊，也不能把侵犯?jìng)€(gè)人信息的犯罪，不予受理而推諉扯皮。

四

一定要重視，否則會(huì)出事

總結(jié)來(lái)說(shuō)，雖然《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》頒布，但是，最為重要的問(wèn)題，或者說(shuō)最容易在打擊犯罪中搞錯(cuò)的，不是5000條個(gè)人信息就入刑的問(wèn)題，而是「?jìng)€(gè)人信息」的界定問(wèn)題。

在刑事辯護(hù)中，公安機(jī)關(guān)所認(rèn)定的每一條所謂「?jìng)€(gè)人信息」或數(shù)據(jù)，都值得掰開(kāi)了揉碎了好好匹配研究，每一條信息都必須是能「指向一個(gè)特定人」才視為有效信息，這是定罪的前提，否則就變成純粹的迎合民憤的眉毛胡子一把抓了。這也誠(chéng)如兩高新解中所述的：「經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外」。

對(duì)于互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō)，隨著網(wǎng)絡(luò)安全法和兩高新解等出臺(tái)，個(gè)人信息保護(hù)要求更高了，若網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門(mén)責(zé)令采取改正措施而拒不改正，致使用戶(hù)的公民個(gè)人信息泄露，造成嚴(yán)重后果的，應(yīng)當(dāng)依照刑法第二百八十六條之一的規(guī)定，以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。

所以不要光拿信息，而忽視了配套網(wǎng)絡(luò)安全技術(shù)保護(hù)，否則只能是一開(kāi)始就是通往監(jiān)獄的道路上了。