作者:黄佳博、陈新潮,专注于网络犯罪案件的辩护、控告与研究

根据现行《刑法》第二百五十三条之一,“侵犯公民个人信息罪”是指违法国家有关规定,向他人出售、提供公民个人信息,或者通过窃取及其他方法获取公民个人信息,情节严重的行为。由此可见,认定是否成立该罪,不是先看行为本身是否属于出售、提供或非法获取,排在第一位的是准确认定判断涉案信息是否属于“公民个人信息”。

什么是“公民个人信息”?

如何妥当把握“公民个人信息”的定义,直接影响到侵犯公民个人信息罪的正确适用。目前,我国关于个人信息的界定,最为权威的当属《网络安全法》的规定。

《网络安全法》第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

基于此,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称解释)第一条在上述规定的基础上,进一步明确“公民个人信息”包括身份识别信息和活动情况信息,规定:刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

侵犯公民个人信息罪是什么意思(从公民个人信息)(1)

个人信息应具有识别性、真实性,关于“个人信息”的认定应主要把握以下两点:

1.能够单独或结合其他信息识别特定自然人身份

信息的可识别性系其成为公民个人信息的重要标准。能够识别出特定自然人身份的信息,应当被认定为“个人信息”。识别可分为直接识别和间接识别。直接识别指该信息能够单独识别出特定自然人身份,如姓名、身份证号码、指纹、肖像、基因等信息,和特定自然人具有一一对应关系,无需结合其他信息就能识别特定自然人身份。

间接识别指该信息所识别到的个体存在两个或两个以上,需要结合其他信息方可识别到特定自然人。

能够直接识别的信息一般不存在争议,存在模糊界限的仅为能够间接识别的个人信息。

间接识别通常需要结合其他信息进行辅助识别。在大数据时代,众多细碎的信息经过分析后仍可能识别到具体个人,但间接识别必须考虑成本、信息处理技术难度。换言之,在识别的可能性问题上,应强调以合理的方式进行。在通过合理途径对某些信息进行分析对比后,若可以识别到个人则该信息属于间接识别的个人信息,反之则不是。如果行为人需要花费巨大精力或动用很大的权力,如某些个人信息需要通过公安内部系统查询方可匹配到具体个人,那么该信息不属于可间接识别的公民个人信息,因为其识别途径并不合理。关于识别途径合理性判断,还需考虑不同行为人之间的主体差异。具体而言,相同的识别手段会因不同行为主体所处的地位不同,从而导致其合理性不同;如果不区分行为主体的具体情况,机械地认定识别手段的合理与否,将会导致间接识别的个人信息被不合理地扩大。

2.能够反映特定自然人活动情况

如果已知特定自然人,那么该自然人在其活动中产生的信息也应当被认定为“个人信息”,如个人的行踪轨迹、精准定位信息、通话记录、消费记录和开房记录等。

侵犯公民个人信息罪是什么意思(从公民个人信息)(2)

从“公民个人信息”的定义可争取无罪的几种情形

基于公民个人信息的内涵和外延,实务中可从“公民个人信息”角度争取无罪辩护的大致包括以下几种情形:

1.经过处理无法识别特定自然人且不能复原的信息

最高人民检察院关于印发《检察机关办理侵犯公民个人信息案件指引》的通知中对“公民个人信息”作出了审查认定:经过处理无法识别特定自然人且不能复原的信息,属于“匿名化信息”,虽然也可能反映自然人活动情况,但与特定自然人无直接关联,不属于公民个人信息的范畴。

2.企业法定代表人信息不属于公民个人信息

首先,对外公开的企业法定代表人相关信息属于向社会公示范围,并没有违背其本人不予公开的真实意思表示。这类信息的对外公开表明企业法定代表人让渡出部分个人权益,概括同意该信息自由流通,保护价值降低。因此,从保护法益角度来讲,企业法定代表人信息不属于公民个人信息。

其次,对外公示的企业法定代表人信息中有相当部分仅为法定代表人的姓名和手机号码,它既不同于财产信息、交易信息等敏感信息,又不同于一般公民个人信息,无法识别特定自然人身份或反映特定自然人活动情况,故不应认定为公民个人信息。以青城阳检一部刑不诉〔2021〕90号《不起诉决定书》为例,经侦查认定“2018年下半年,被不起诉人王某某欲提供给刘某某**项目信息,误发送了一些企业信息给刘某某,包括企业名称、统一社会信用代码、法定代表人、企业类型、成立日期、注册资本、地址、邮箱、经营范围、电话等信息”。最终,公诉机关认定“王某某向他人提供的上述企业信息不属于结合识别特定自然人身份或者反映特定自然人活动情况的公民个人信息,没有向他人出售或提供公民个人信息、窃取或者以其他方法非法获取公民个人信息的犯罪事实”,对王某某作不起诉处理。

3.并非所有账号密码都属于公民个人信息

《解释》第一条规定账号密码属于公民个人信息的范围,但笔者认为,并非所有账号密码都属于公民个人信息,得视情况而定。理由如下:目前,大多数账号密码都会通过实名认证,如微信号、支付宝账号等等,获取此类账号密码确实可能能够识别特定自然人身份或反映特定人活动情况,故实名认证的账号密码大部分可认定为公民个人信息。但是,并非所有实名认证的账号都属于公民个人信息,例如QQ账号,如果QQ账号的注册者和使用者非同一人,或者存在多人使用的情况,QQ里也没有注册者或者使用者的真实信息,该QQ账号和密码不能与特定自然人相对应,则不能认定为公民个人信息。

下附两案不起诉案例:

案例1:京丰检刑不诉[2021]11号

不起诉理由:本院审查并退回补充侦查,本院仍然认为本案证据不足,目前无法认定朱某某出售的QQ号属于公民个人信息,不符合起诉条件。

案例2:阳城检一部刑不诉[2021]12号

不起诉理由:在案证据仅能证明被不起诉人王某某有买卖QQ号码的行为,并无证据证明该些QQ号码是否与特定自然人绑定,无法识别到该自然人是否存在及对应的个人姓名、身份证件号码、通信通讯联系方式、住址、账号密码,财产状况、行踪轨迹等信息,无法证明是否侵犯公民个人信息。经本院一次退回补充侦查后,公安机关仍未能取得相应证据证实上述事实,故王某某涉嫌侵犯公民个人信息罪事实不清,证据不足。

除此之外,并非所有账号密码都是实名认证,仍然存在无需实名认证的账号密码,如许多游戏账号密码,出售或提供此类账号密码,也无法识别特定自然人身份或反映特定自然人活动情况,故也不可认定为公民个人信息。

4.不真实、无效的个人信息不属于公民个人信息

不真实、无效的个人信息不属于本罪的保护对象,不应当计入本罪中“公民个人信息”范围。司法解释对公民个人信息范围作出明确规定,重点在于该信息能否“识别特定自然人身份或反映特定自然人活动情况”。最高院也对司法解释的理解适用表达了同样观点:“公民个人信息与特定自然人关联,这是公民个人信息所具有的关键属性”。例如:错误的手机号码(十位数)、姓名无效等信息,并无法识别到特定自然人身份或反映特定自然人活动情况,故也不能认定为公民个人信息。

综合上述,笔者认为“公民个人信息”的认定是寻求侵犯公民个人信息罪案件无罪辩护的重要因素之一,实务中应当注重把握涉案信息是否具备“能够单独或结合其他信息识别特定自然人身份”或“能够反映特定自然人活动情况”的特性,以此判断涉案信息是否属于侵犯公民个人信息罪所处罚的“公民个人信息”。

参考文献:喻海松著《最高人民法院、最高人民检察院侵犯公民个人信息罪司法解释理解与适用》

,