岳林:超越身份识别标准

我们是谁,由我们的数据说了算。
——约翰·切尼-利波尔德[1]

信息技术在社会生活中的广泛应用,使得个人信息成为几乎所有法律部门都需要规制和保护的对象。由于我国尚未制定统一的个人信息保护法,制度形态更接近于美国的分散立法模式,[2]因此在不同法律部门以及不同规范层级,个人信息的认定标准也不完全一致。在具体案件中,司法机关对个人信息认定享有较大的自由裁量空间,审判结果颇具不确定性。

身份识别(Identification)是一项较为常用的个人信息认定标准,即把“个人信息”(Personal Information)界定为能被用来识别个人身份的信息。如果立法者或者司法者适用了这一标准,那么只要一个信息不具有身份识别功能,也就不属于法律意义上的个人信息。全国人大常委会在2012年发布的《关于加强网络信息保护的决定》,第一条即指出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。2016年通过的《中华人民共和国网络安全法》在第七十六条第五项也规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息……”欧盟于2016年通过的《一般数据保护条例》(General Data Protection Regulation,一般简称为GDPR)规定,“个人数据是指与一个已被识别或者可识别的自然人(数据主体)相连的任何信息。”美国虽然主要以“信息性隐私”(Informational Privacy)为由来保护个人信息,但也把“个人可识别信息”(Personal Identifiable Information,一般简称为PII)当做衡量法律是否需要介入的标尺。[3]

但身份识别本身是一项较为含混的标准,并不精确。例如《网络安全法》规定的是“单独识别”和“结合识别”两种情形,而欧盟《一般数据保护条例》规定的则是“已识别”和“可识别”。虽然都是身份识别,但具体意涵以及操作方法并不完全一致。我国学界虽然普遍接受身份识别标准,甚至将其视为个人信息的本质属性,[4]但对“身份”究竟是何种意义上的身份、“识别”究竟是对谁而言的识别等等具体操作性问题也莫衷一是。

而且身份识别也不是目前司法实践必须应用的法律工具。根据不完全检索,在侵犯公民个人信息犯罪案件中,绝大多数判决书都没有直接提及身份识别问题。[5]这或许是因为,法庭内外关于涉案信息的法律定性有较大共识,所以无需专门讨论;又或许是因为,法官虽然对涉案信息进行了身份识别审查,但判断主要通过自由裁量,所以很少会在判决书中作出具体说明或论证。因此身份识别标准的主要用途,是在规范和理论层面对个人信息作出定义。

当然在疑难案件中,身份识别还是可能会成为论争焦点。以2014年朱烨诉百度侵犯隐私权案为例,记录网络用户网络活动轨迹的cookie是否属于个人信息就曾引起广泛讨论。南京市中级人民法院作为二审法院,认为cookie没有被用来对原告身份实施定向识别,因此不属于个人信息范畴。[6]有批评者认为身份识别包括直接和间接两种情况,只要cookie能够结合其他信息(例如账号、IP地址、MAC地址等)拼凑出用户身份,即“间接识别”,就应当属于个人信息。[7]还有批评观点认为,法官只需要考虑cookie是否具备被用来识别个人身份的“可能性”,不能站在百度角度,去考虑利用cookie识别用户身份的“必要性”。[8]亦有观点认为,二审法院采纳的其实是较为狭隘的“身份已识别”(Identified)标准,而非更为宽泛的“身份可识别”(Identifiable)标准。[9]虽然也有观点支持二审法院的结论,但同样认为法官运用身份识别标准的方法可以商榷。[10]

因此无论在规范、理论还是司法实践中,身份识别都是一个有待打磨的法律标准。而本文试图从侵犯公民个人信息罪出发,来探讨身份识别标准究竟针对哪些对象,与其他个人信息认定标准关系如何,以及如何防止它的应用范围被无限扩大等问题。当然本文亦希望通过对刑事司法问题的探索,提炼出一些具有更广泛解释力的理论,对解决其他部门法领域的个人信息问题也能有所裨益。

一、身份识别的对象:信息内容还是信息载体?

个人信息概念进入刑法,始于2009年2月28日全国人大常委会发布的《刑法修正案(七)》。该修正案在《刑法》第二百五十三条后增加一条,作为第二百五十三条之一,新设了“出售、非法提供公民个人信息罪”与“非法获取公民个人信息罪”两项罪名。2015年8月29日,全国人大常委会发布了《刑法修正案(九)》,将上述两项罪名整合为“侵犯公民个人信息罪”。这两个修正案都没有明确规定个人信息的认定标准。

但是在《刑法修正案(七)》之前,刑法并非与个人信息完全无涉。以1997年修订的《刑法》为例,其中第二百五十二条规定了“信件”,第二百五十三条规定了“邮件”“电报”,第二百六十五条规定了“电信码号”,第二百八十条规定了“居民身份证”,以及第二百八十六条规定了“计算机信息系统”。无论按照今天还是当时的语境,这些事物都与个人信息有着密切关联。传统的纸质信件,一般都会在信封上注明通信人的姓名和地址,信件内容则往往包含通信人之间的各种社会生活与交往信息。电报与信件相比,只是在传播形式以及文本格式上存有区别,在内容上差别不大。而居民身份证上注明的信息,历来都是个人信息法保护的重中之重。[11]电信码号虽然是国家所有的通信资源,[12]但仍然需要分配给具体个人来使用;与之相关联的电话号码、手机号码等等,都直接被视为个人信息。[13]至于计算机信息系统,无论在“国家事务、国防建设、尖端科学技术领域”,还是在更广泛的社会生活领域,都是储存和传播公民个人信息的重要渠道。[14]

任何可数字化的事物,都可以视之为“信息”(Information)。[15]今天我们更倾向于在电子或者虚拟意义上去想象信息。但是以实体物质作为载体而存在的信息,也应当属于信息。[16]譬如说一封私人信件,无论是纸质的还是电子的,通信人可能都会笼统地说它是自己的个人信息。因此我们把“信件”“邮件”“电报”“电信码号”“居民身份证”和“计算机信息系统”统统都理解为个人信息载体也未尝不可。而在《刑法修正案(七)》之后,针对这些对象的犯罪,会与侵犯公民个人信息犯罪产生竞合问题。信息载体往往会因为包含公民个人的身份信息内容,从而具有身份识别性。但问题是,刑事司法实践对这些事物的认定,例如承认这是一封符合刑法规范所指的信件,并不以身份识别作为标准。如果一封信件是匿名的,或者完全不涉及任何有助于直接或间接识别个人身份的信息,都不会妨碍法官认定这就是一封刑法规范意义上的信件。而在“伪造、变造、买卖身份证件罪”或者“使用虚假身份证件、盗用身份证件罪”案件的处理过程中,涉案“居民身份证”中的信息往往不可能指向任何真实存在的公民个人。[17]因此在侵犯公民个人信息罪被写入刑法之前,刑法也会对个人信息相关利益以及社会关系进行间接的调整,但并不以身份识别作为必要条件。

在日常生活中,人们往往不会刻意区分信息内容与信息载体。例如数据、资料、文件等等概念,往往与信息混同使用。这种社会用语习惯,自然也会影响到法律术语以及学术语言。为了法律制度的精确化,有学者建议把个人信息限定为具有社会交往意义的抽象内容,与物质载体(包括无形物质的电磁记录,即“数据”)分离,从而成为彼此不同的法律客体。[18]也有学者认为,信息/数据概念的模糊性是社会实践的产物,因此无论法律制度还是商业模式都应该尊重这种模糊性。[19]例如欧盟的《一般数据保护条例》,就对个人信息和个人数据(Personal Data)混同使用。但是在我国,《民法总则》第一百一十一条和第一百二十七条已经对个人信息和数据分别作出了不同的规定。也即民法规范把信息内容与信息载体区分对待,视之为不同的法律客体;个人信息被限定为抽象意义上的内容,而数据则是它的载体或者表现形式。

在我国刑事规范体系中,其实也存在着类似的区分。全国人大常委会于2000年通过的《关于维护互联网安全的决定》第四条第二项规定:“非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密。”“电子邮件”和“数据资料”在当时还算是新兴事物,立法者把它们纳入侵犯通信自由罪的范畴,也就相当于把这些电子对象等同于纸质信件这样的传统信息载体。2009年《刑法修正案(七)》规定了个人信息犯罪之后,2000年这份《决定》的相关部分至今依然适用。因此对个人信息载体,例如电子邮件或者其他数据资料,实施非法截获、篡改、删除,直接触犯的是《刑法》第二百五十二条规定的侵犯通信自由罪;而对个人信息内容实施出售、非法提供、非法获取,直接触犯的是《刑法》第二百五十三条之一规定的侵犯公民个人信息罪。

但是,侵犯公民个人信息罪与侵犯公民通信自由等罪之间,还是很容易出现竞合问题。因为犯罪对象很有可能既包括信息载体,也包括信息内容。[20]所以区分信息载体与信息内容,意义更多在于对犯罪对象的法律识别。因为关于信息载体的法律认定,例如什么是电子邮件(网站留言算不算?)、什么是计算机信息系统(智能手机算不算?)、[21]以及什么是数据(纸质档案算不算?)等问题,需要根据较为客观的技术标准来进行判断,而不用去考虑信息载体与信息主体之间的关联。一个事物能否被认定为法律意义上的电子邮件,这是一个问题;但能否通过这个事物识别特定主体的身份,则是另外一个问题。一封电子邮件发自谁、发给谁、涉及谁,可能也会具有法律意义,但这些身份关系不是法律认定这封电子邮件的必要条件。

由此我们可以推论,身份识别标准直接针对的“信息”,应该是个人信息内容,而非个人信息载体。

二、刑事司法解释中的身份识别

侵犯公民个人信息行为是新型犯罪,因此有许多法律适用问题需要司法部门在实践中去摸索和解答。自从2009年《刑法修正案(七)》出台以来,司法部门遇到的主要问题之一,就是如何界定个人信息的概念与范畴。[22]直至今天,刑事立法都没有对个人信息的认定标准作出明确规定。[23]这倒未必是立法者的疏漏,更可能是立法者有意识的审慎。但无论如何,司法部门都不得不在此问题上发挥出更多的能动性。

2013年4月23日,最高人民法院、最高人民检察院和公安部联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》(以下简称《通知》),其中第二条规定:“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。”[24]严格说来,该条文并没有给出个人信息的定义,只列举了两项个人信息认定标准,即“身份识别”和“涉及隐私”。这两项标准可以选择适用,符合其中任一一项,都能够认定刑法意义上的个人信息。这足以证明,至少在当时,身份识别标准并非司法部门唯一认可的个人信息认定标准。但是,涉及隐私标准能否与身份识别标准并行不悖,在学理上还颇值得探讨。

隐私与个人信息的概念关系已是老生常谈。学者们或认为隐私概念大于个人信息,[25]或认为恰好相反,[26]但更多人主张二者互有交集。[27]而且大多数学者都认为,刑法中的个人信息保护,应当包含对个人隐私利益的保护。[28]然而问题是,《通知》第二条规定的保护对象是“涉及公民个人隐私的信息、数据资料”,而没有直接规定为“隐私”或者“隐私权”。换言之,刑法保护的落脚点依然在于个人信息,而不完全是民法或宪法意义上的隐私。如果一项侵犯行为不涉及个人信息的获取或者传播,那么即便它有可能侵犯隐私,但也不能根据《刑法》第二百五十三条之一规定的侵犯公民个人信息罪来处理。

不是所有隐私都必然涉及个人信息。根据我国民法学界通说,隐私大致可分为安宁性隐私和信息性隐私两大类。安宁性隐私要求私人住宅不被侵犯、私密活动不被他人偷窥或监控;信息性隐私则要求个人秘密不被他人随意公开或滥用。[29]安宁性隐私虽然也可能涉及信息技术,例如住宅情况和活动情况都可以被信息化处理,或者被他人通过信息技术方式来侵犯;但是其制度意义,仍然在于保护个人的私密生活不被他人无端干扰,而非维护个人对私密信息的控制。公民个人对私密信息的控制,属于第二种隐私,即信息性隐私的范畴。而《通知》中所谓“涉及公民个人隐私的信息、数据资料”,其实也就是隐私与个人信息的交集部分,即信息性隐私(Information Privacy),或者称为“隐私性信息”(Privacy Information)亦可。施瓦茨和沙勒夫认为,无论是个人信息还是信息性隐私,都可以而且应当通过身份识别标准来限定法律保护的边界。[30]如果这种观点成立,那么《通知》规定的涉及隐私标准,实际上也就与身份识别标准是同一回事。事实上我们也很难想象,某位公民个人的信息性隐私居然不能被用来识别他的身份。因此涉及隐私作为一项个人信息识别标准,完全可以被身份识别标准吸纳。

《通知》另一可商榷之处,是把“信息”和“数据资料”并举。如前所述,全国人大常委会2000年的《决定》,已经把一部分(但不是全部)侵犯数据资料的行为纳入侵犯公民通信自由和通信秘密罪的轨道。《通知》作这种表述,混同了信息内容与信息载体,势必会加剧侵犯公民通信自由和通信秘密罪和侵犯公民个人信息罪之间的张力。而待到《民法总则》于2017年通过并实施,个人信息与数据成为不同意义上的民事法律客体,刑法规范如果还要继续把二者混为一谈,那么无疑会加大法律适用的难度。当然,两高联合公安部作此《通知》,目的在于为司法办案人员提供具有实际操作性的规范性依据,不是为了在学理层面一劳永逸,彻底解决个人信息的概念问题。因此《通知》的行文在逻辑与法理上存在争论空间,也属情理之中,无须求全责备。

最高人民法院和最高人民检察院在2017年5月8日联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),可以视为对《通知》上述问题的修正。《解释》第一条规定:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”[31]与《通知》相比,引人关注的变化有如下几处:首先,该规定是对公民个人信息的定义,而“数据资料”不在其中,甚至整篇《解释》都不见“数据”二字。其次,对信息载体作出描述,即“电子或者其他方式”,这也就反衬出,个人信息概念更主要是指信息内容。再次,该规定依然给出了两项个人信息认定标准,只不过“涉及隐私”被“反映特定自然人活动情况”所取代,而且《解释》对“隐私”一词也避而不谈。最后,身份识别标准被分为“单独识别”与“结合识别”识别两种情况,与《网络安全法》保持高度一致。

“活动情况”作为个人信息的认定标准,是《解释》的一大亮点。但人们同样会提出疑问,即它会不会像《通知》中的涉及隐私标准一样,与身份识别标准相互重叠?《解释》第一条列举了多种个人信息,但没有明确指出哪些属于身份识别信息,哪些又属于活动情况信息,或者哪些可以同时归属于二者项下。特别是“行踪轨迹”,它是否也具有身份识别的可能性?或者,它就是“活动情况”的同义词呢?

自《刑法修正案(七)》颁布以来,早期出现的侵犯公民个人信息犯罪案件中,有许多都与“活动情况”有关。例如在上海的侵犯公民信息犯罪第一案中,犯罪行为人非法获取了大量公民个人的宾馆入住信息。承办该案的法官认为,刑法保护的个人信息需要具备身份识别的可能性;住宿信息能反映出个人行踪的动态信息,因此也能进行身份识别,甚至比单纯的姓名、住址等静态信息更具有隐私价值。[32]而在北京的侵犯公民信息犯罪第一案中,直接涉案的虽然是从手机服务商内部泄露出来的手机用户姓名、身份证号、住址等信息,但这些信息被犯罪行为人(之一)用来从事“私家侦探”业务,对他人实施定位、跟踪、拍摄等监控。[33]

关于类似公民个人的活动情况能否被界定为个人信息,在司法实务界与理论界一直都存有异议。而异议的重要理由之一,就是活动情况并不具备较强的身份识别属性,不一定能够精确定位到公民个人。[34]但有趣的是,如果我们接受这种异议观点,将活动情况排除在个人信息范畴之外,那么《解释》就将只剩下一种个人信息认定标准,即身份识别。而如果我们站在相反立场,承认活动情况信息也具有身份识别属性,那么也就相当于用身份识别标准吸纳了活动情况标准,让它实际上成为唯一的个人信息认定标准。

三、身份识别的范围与限度

身份识别标准的应用范围非常宽泛,以致于能够吸纳其他个人信息认定标准,例如涉及隐私和活动情况。但它之所以如此宽泛,并不在于概念本身,而在于信息技术的日益进步,以及社会生活信息化程度的不断提高。一方面,计算机、互联网、移动设备、人工智能、大数据、公共空间监控以及生物识别等等不同种类的信息技术,使得收集和处理个人信息变得越来越容易,越来越高效,而成本也越来越低廉。[35]另一方面,人们的日常生活和工作已经被各种信息技术所包裹,方方面面的社会关系都已经信息化或者正在被信息化,甚至人们已经极度依赖这些可能侵犯我们隐私和个人信息的技术。这几乎是一个冯象所谓的“零隐私世界”[36],或者戴维·布林所描述的“透明社会”[37]。身处这样一种技术环境,即使闭门不出,或者采取各种先进的加密手段,人们也很难真正地隐蔽自己的身份。虽然目前的技术能力还不至于夸张到让所有信息都具有身份识别属性,但身份可识别信息(identifiable)与身份不可识别信息(non-identifiable)之间的界限已经越来越模糊。

其实立法以及理论引入身份识别标准的目的,并不是试图让个人信息范畴无休止地向外扩张。恰好相反,身份识别标准的法律制度功能,正是要对个人信息概念进行一定程度的限缩。如果单纯从字面上理解,个人信息既可以是“与个人有关的信息”,也可以是“个人的信息”。确实有观点赞同前一种理解,把一切与个人相关的信息都视为法律意义上的个人信息。[38]绝大多数学者反对把个人信息定义得如此漫无边际。但如果采纳后一种理解,即认为只有那些属于个人,能被个人控制、占有或者所有的信息才属于个人信息,似乎又定义得比较狭隘。因为许多法律保护的个人信息,例如已公开的信息或者法律强制披露的信息,并不由完全个人自主支配。[39]相比之下,如果采纳身份识别标准,个人信息的范围或许可以被限定在这两个极端之间。

身份对个人信息的法律认定非常重要。但法律毕竟没有把个人信息直接规定为“身份信息”。根据《解释》第一条列举的那七项信息,我们或可以把个人信息在理论上划分为三类:

(一)个人身份信息,例如姓名和身份证件号码。这里的“身份”,仅指国家认证的身份,例如护照、户口等等。也只有凭借这些身份,公民个人才有资格在法律意义上享有实体和诉讼权利、利益。[40]

(二)个人描述信息,例如通信通讯联系方式、住址、财产状况和行踪轨迹。所谓“描述”,是指能够勾勒、拼凑出公民个人的形象。如果说上述公民身份由国家决定,那么这里的公民形象则在社会活动中生成。无论是体貌特征、社会地位、工作岗位、名誉声誉还是活动情况,实际上都是对特定身份个人的描述。包括公民个人在学校、单位以及社会网络中获得的种种身份,其实都是对国家认证身份的补充与丰富,也是“描述”,但我们不能直接凭借这些身份提出法律意义上的诉求。简言之,个人描述信息与个人身份相关,但并不能等同于个人身份信息。

(三)个人所属信息,《解释》列举的个人信息中,只有密码能算作此类。[41]“所属”的意思就是支配,而所属信息也就是个人能够支配的信息。它大致可以分为两类:其一是通常意义上的信息性隐私,包括密码,由个人决定是否披露或者传播;其二是个人能够支配的各种信息,例如个人电脑文件中的内容,或者个人书籍、物品中的内容。

上述三类信息,能够直接进行法律意义上的身份识别的,严格意义上只有第一类个人身份信息。虽然身份证上的姓名、生日、地址甚至相貌都可能存在重复情况,但身份证号码是独一无二的;每个人都有专属于自己的国家认证身份。而其他身份凭证,例如单位工作证、学生证或者VIP用户卡等等,虽然在各自使用范围而言也具有独特性,但它们的认证主体并不具有国家权威,而且必须与国家认证身份相结合,才能联系到特定个人。这也是为什么,当社会主体(例如银行、铁路公司或者电信公司)进行身份认证时,往往需要个人提供国家认证过的身份材料。至于其他个人描述信息或者个人所属信息,虽然可能有助于对特定个人进行“画像”,但只要不能与国家认证信息关联起来,那么也不可能最终识别出法律意义上的“身份”。

如果我们把身份识别标准限定为直接识别,那么“个人信息”的范畴也就相当狭隘,可以完全等同于“身份信息”了。因此我们不得不接受间接识别,把个人描述信息以及个人所属信息中那些能够与国家认证身份发生关联的信息都包涵进来。但问题是,每个单独的信息都可以同时与多个其他信息相关联,而且还可以通过若干个信息节点,间接联系到非常遥远的其他信息;[42]甚至有人夸张地说整个宇宙都可以看作一个整体的信息处理系统[43]。随着识别技术能力的迅猛增长,个人信息的范围势必也会不可遏制地蔓延下去。[44]所以保罗·欧姆才断言说,身份识别是一个失败的标准,任何信息都可以经由它而转换成个人信息。[45]

但是在更有效的个人信息认定标准出现之前,我们还不能因噎废食,彻底放弃身份识别。目前更明智的做法,是对身份识别标准加以修正。例如施瓦茨和沙勒夫就根据身份识别风险,把个人信息分为已可识别的、可识别的和不可识别的三类,而法律对它们的保护程度也依次由强到弱。他们认为这样做的好处,在于促使信息管理者集中精力去保护那些高识别风险信息,而不至于在低识别风险信息上承担太重的责任。[46]

我国《网络安全法》以及《解释》规定的“单独识别”与“结合识别”,其实就是直接识别与间接识别。为了让身份识别标准在司法实践中更加明确,而且不至于过于宽泛,我们也可以对它的具体适用方法给予若干限定,例如:

(一)身份识别的对象,仅限于信息内容,而不包括信息载体。如果信息载体包含与身份相关的信息内容,那么就以该信息内容为直接的识别对象;如果信息载体不包含相关内容,那么就更无需对其进行身份识别了。

(二)“身份”专指经过国家认证的身份,其他社会主体以及不代表国家的国家分支机构认证的“身份”不在此列。

(三)间接识别的节点不能过多。如果某个信息与国家认证身份之间的关联异常遥远,那么可以进行身份识别,但也不必把它认定为法律意义上的个人信息从而加以规制。

(四)要根据犯罪行为人的具体识别能力来判断涉案信息的身份识别属性。面对同一个信息,具有不同识别能力的主体,也只能作出不同程度的识别。因此身份识别其实是一种主观标准,必须因人而异。

以上建议,前两项可以在立法或者司法解释中予以明确,后两项则恐怕只能依靠法官在具体案件中作出实质性判断了。总而言之,我们不能仅仅因为某个信息与身份有关,就把它界定为个人信息并且实施刑法规制。法官应当把国家认证身份作为个人信息认定的基点,并由此出发,去测量涉案信息与它的距离,同时兼顾行为人的具体识别能力,然后再判断涉案信息是否属于法律保护的“个人信息”。

四、结论与展望

身份识别标准遇到的种种实践与理论问题,部分原因的确出自概念混淆,但更主要的原因,还在于日新月异的信息技术以及信息化社会生活方式。因此单纯通过概念层面的辨析与澄清,远不足以解决这些问题。本文对身份识别标准提出的修正意见,也仅仅是基于我国刑事规范以及司法实践的现状。

而且,无论我们对身份识别标准作出怎样的改造,使其更加“理性”或者“精确”,单纯依靠标准本身都不足以解决任何实践性的法律问题。法律人的经验智慧以及实践理性,在法律适用中发挥着更为至关重要的作用。[47]因为从根本上说,身份识别标准只是一个工具,一个为法律人服务的工具。

随着技术以及社会关系的变化,任何版本的身份识别标准都是注定要被超越的。至少就目前而言,身份识别标准所谓的“身份”,在司法实践中应当被限定为国家认证身份。但是我们也必须承认,在今天以及未来,直接需要应用国家认证身份的场景会越来越少。许多社会主体认证的身份,例如微信、支付宝或者手机账号,已经成为人们社会生活中更为常用的身份标识。正是以这些身份为基础,新的信息技术(例如区块链)和商业模式(例如共享经济)正在兴起,而能够与之相匹配的法律制度也正在萌发、生长。[48]因此,身份识别标准完全可能会在新的技术与制度环境中获得重生。

 

[1]Cheney-Lippold, John. We are data: Algorithms and the making of our digital selves.NYU Press, 2017, p.xii.

[2]参见齐爱民:《拯救信息社会中的人格:个人信息保护法总论》,北京大学出版社2009 年版,第177-184页;李欣倩:“德国个人信息立法的历史分析及最新发展”,《东方法学》2016年第6期。

[3]Schwartz, Paul M., and Daniel J. Solove. “The PII problem: Privacy and a new concept of personally identifiable information.” NYUL rev. 86 (2011): 1814.

[4]例如吴沈括、薛美琴:“刑事司法视野下的‘公民个人信息’”,《中国信息安全》2017年第12期。

[5]在中国裁判文书网,以“个人信息罪”为案件名称进行搜索,从2013年4月23日(《通知》实施之日)至今(2018年1月30日)能找到856份判决书。再以“识别”对这856份判决书进行全文搜索,仅剩下17份,也即只有不到2%的判决书可能提及身份识别问题。但这17份判决书中,有些仅仅是涉案信息名称包含识别二字,例如湖北省咸宁市中级人民法院(2017)鄂12刑终184号刑事判决书,或者只是引述了个人信息概念,例如江苏省如东县人民法院(2016)苏0623刑初368号刑事判决书。

[6]南京市中级人民法院(2014)宁民终字第5028 号民事判决书。

[7]参见王融:“反转的法律天平——我国cookie隐私第一案判决”,《现代电信科技》2015年第5期。

[8]参见朱芸阳:“定向广告中个人信息的法律保护研究——兼评‘Cookie隐私第一案’两审判决”,《社会科学》2016年第1期。

[9]参见岳林:“个人信息的身份识别标准”,《上海大学学报(社会科学版)》,2017年第6期。

[10]参见李谦:“人格、隐私与数据:商业实践及其限度”,《中国法律评论》2017年第2期。

[11]参见王秀哲:“身份证明与个人信息保护——我国居民身份证法律规制问题研究”,《河北法学》2010年第5期。

[12]《电信条例》第二十六条;《电信网码号资源管理办法》第三条。

[13]参见王红霞:“号权初论:通讯社交利益的形成脉络与设权逻辑”,《法商研究》2013年第5期。

[14]参见俞小海:“破坏计算机信息系统罪之司法实践分析与规范含义重构”,《交大法学》2015年第3期。

[15]卡尔·夏皮罗、哈尔、R.范里安:《信息规则:网络经济的策略指导》,孟昭莉、牛露晴译注,中国人民大学出版社2017年版,第2页。

[16]参见詹姆斯·格雷克:《信息简史》,高博译,人民邮电出版社2013年版,第2章。

[17]有观点认为,刑法规制的个人信息必须具有真实性。参见叶小琴、赵忠东:“侵犯个人信息罪的犯罪对象应当是真实的个人信息”,《人民法院报》2017年2月15日。

[18]参见许可:“数据保护的三重进路——评新浪微博诉脉脉不正当竞争案 ”,《上海大学学报(社会科学版)》,2017年第6期。

[19]参见胡凌:“商业模式视角下的‘信息/数据’产权”,《上海大学学报(社会科学版)》,2017年第6期。

[20]而且我们应当注意,《刑法》第二百五十二条和第二百五十三条之一规定的犯罪行为也是不同的。前者是“非法截获、篡改、删除”,后者是“出售、提供、窃取和非法获取”。可以设想,如果对属于他人的信息载体实施了出售、提供行为,但涉案信息载体并不包含有意义的信息内容(例如只是一堆无法识别的代码),那么行为人既不构成侵犯公民通信自由和通信秘密,也不构成侵犯公民个人信息罪。

[21]参见杨新京、叶萍、黄成:“侵犯公民个人信息犯罪实证研究——以B市C区人民检察院近五年司法实践为样本”,《中国检察官》2015年第2期。

[22]据说在个别地区和时段,侵犯个人信息犯罪的退补率(即法院退回检察院补充侦查)一度要高于其他犯罪的平均水平;不完全统计数字,可参见井慧宝、常秀娇:“个人信息概念的厘定”,《法律适用》2011年第3期。

[23]《关于加强网络信息保护的决定》和《网络安全法》在法律层面确认了身份识别标准,但能否直接用来诠释刑法规范还有待商榷。特别是《决定》规定的其实是“电子信息”,在范畴上小于个人信息。参见于志刚:“公民个人信息的权利属性与刑法保护思路”,《浙江社会科学》2017年第10期。

[24]虽然公检法三机关联合发布的该《通知》是否恰当以及是否属于“司法解释”都存有争议,但也依然能够反映出司法部门当时对刑事案件中的个人信息的理解。参见韩大元、于文豪:“法院、检察院和公安机关的宪法关系”,《法学研究》2011年第3期;邓巍:关于‘两高’与国务院部委联合发文的思考”,《甘肃政法学院学报》2014年第4期。2015年3月15日修订的《立法法》第一百零四条规定,“作出具体应用法律的解释”仅限于两高,但没有直接排除两高联合其他部门发布“司法解释”的可能。

[25]例如井慧宝、常秀娇:“个人信息概念的厘定”,《法律适用》2011年第3期。

[26]例如“侵犯公民人格权犯罪问题”课题组:“论侵犯公民个人信息犯罪的司法认定”,《政治与法律》2012年第11期。

[27]参见喻海松:“侵犯公民个人信息罪司法适用探微”,《中国应用法学》2017年第4期。

[28]例如蔡军:“侵犯个人信息犯罪立法的理性分析”,《现代法学》2010年第4期。

[29]程啸:《侵权责任法》,法律出版社2015年版,第168-173页。

[30]See Schwartz, Paul M., and Daniel J. Solove. “Reconciling Personal Information in the United States and European Union.” Cal. L. Rev. 102 (2014): 877.

[31]中央网信办、国家质量监督检验检疫总局、全国信息安全标准化技术委员会于2017年12月29日联合发布的国家标准《信息安全技术个人信息安全规范》(GB/T 35273-2017)的个人信息定义,与《解释》几乎一字不差。当然该国家标准并不具有法律效力。

[32]凌鸿:“非法获取公民个人信息罪的认定”,《人民法院报》2010年6月17日。

[33]黑丁、王丽英 :“电信‘内鬼’甚至可以手机定位——北京侵犯个人信息罪第一案”,《人民公安》2010年第20期。

[34]参见叶良芳、应家赟:“非法获取公民个人信息罪之‘公民个人信息’的教义学阐释——以《刑事审判参考》第1009号案例为样本”,《浙江社会科学》2016年第4期;刘宪权 、房慧颖:“侵犯公民个人信息罪定罪量刑标准再析”,《华东政法大学学报》2017年第6期。

[35]SeeFroomkin, A. Michael. “The death of privacy?.” Stanford Law Review(2000): 1461.

[36]冯象:“零隐私世界”,《玻璃岛——亚瑟与我三千年》,三联书店2003年版。

[37]Brin, David. The transparent society: Will technology force us to choose between privacy and freedom?. Basic Books, 1999.

[38]参见张玉华、温春玲:“侵犯公民个人信息安全犯罪解读”,《中国检察官》2009年第8期。

[39]参见任龙龙:“论同意不是个人信息处理的正当性基础”,《政治与法律》2016年第1期。

[40]参见欧树军:《国家基础能力的基础》,中国社会科学出版社2013年版,第二章。

[41]关于密码是否属于个人信息亦有争议,可参见于志刚:“公民个人信息的权利属性与刑法保护思路”,《浙江社会科学》2017年第10期。

[42]参见艾伯特-拉斯洛·巴拉巴西:《链接——商业、科学与生活的新思维》,沈华伟译,浙江人民出版社2013年版。

[43]卡尔·夏皮罗、哈尔·R.范里安:《信息规则——网络经济的策略指导》,孟昭莉、牛露晴译注,中国人民大学出版社2017年版,第7页。

[44]参见布鲁斯·施奈尔:《数据与监控:信息安全的隐形之战》,李先奇、黎秋玲译,金城出版社2018年版,第58页。

[45]See Ohm, P. “Broken promises of privacy: Responding to the surprising failure of anonymization.” 57 UCLA Law Review, 2010.

[46]See Schwartz, Paul M., and Daniel J. Solove. “Reconciling Personal Information in the United States and European Union.” Cal. L. Rev. 102 (2014): 877.

[47]参见理查德·A.波斯纳:《法理学问题》,苏力译,中国政法大学出版社2002年版,第二章。

[48]参见胡凌:“超越代码——从赛博空间到物理世界的控制/生产机制”,《华东政法大学学报》2018年第1期。

*原载《法律适用》2018年第7期

发表评论