侵犯公民個人信息罪新規(guī)：別在通往監(jiān)獄的路上溜達

2017年5月9日下午，最高人民法院、最高人民檢察院《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》正式頒發(fā)。這確是一部具有里程碑式意義的法律，也是互聯(lián)網(wǎng)公司關(guān)于個人信息、網(wǎng)絡(luò)安全及數(shù)據(jù)的合規(guī)大法。一定要重視，否則會出事。

內(nèi)容實在太多，個人認為量刑雖然是最大亮點，但其中最為核心的和細思極恐的，還是在于入罪的門檻——關(guān)于個人信息的界定。所以吹毛求疵寫上一段。

一

個人信息的擴大化界定

作為立法和司法領(lǐng)域之中關(guān)于個人信息的頂級位階，《網(wǎng)絡(luò)安全法》和「兩高新解」對「個人信息」的界定不盡相同。相比較而言，「兩高新解」關(guān)于個人信息的認定可具擴展性，故保護更近嚴格。這種擴展性主要體現(xiàn)在如下維度。

「兩高新解」增加了「活動情況」這一內(nèi)涵，即類如自然人的「行蹤軌跡」也界定為一種個人信息，而不僅僅只是個人隱私，這就把問題搞大而且搞復(fù)雜了。

個人對此是持有保留意見的，畢竟個人信息的認定標準且唯一標準應(yīng)當是「能單獨或結(jié)合后識別特定人」，但例如GPS跟蹤軌跡，它到底如何能指向一個特定人呢？因為，侵犯個人信息的行為邏輯必須是「通過GPS的集合，能讓大家知道這個GPS勾勒的是其實是某一個特定人，例如大家通過GPS一眼就知道這是祁同偉走出來的軌跡」，而決不能是「某個特定人例如候亮平，走啊走走啊走，然后他的GPS行跡被人記錄下來，并被售賣了」。后者所體現(xiàn)的行蹤軌跡雖然符合兩高新解的列舉內(nèi)容，但卻不符合網(wǎng)絡(luò)安全法等關(guān)于個人信息的定義。

為什么這么較真？假設(shè)祁同偉通過手中的權(quán)力，把50位領(lǐng)導「或該市大街上隨意50個人」某天的行動軌跡（文字表述的軌跡，或電子地圖式軌跡）都出售給了小趙，但只說是人的行動軌跡，卻沒說是「誰」的軌跡，這算是侵犯個人信息罪么？因為這些行動軌跡單獨都無法指向某個「特定人」。

但是根據(jù)兩高新解中「非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的」這樣的條款描述，并結(jié)合自己對公安部門辦事的普遍性思路，個人對實際執(zhí)法是其實是持悲觀態(tài)度的，希望這樣的強制入罪以后不會發(fā)生，否則就會偏離個人信息保護的本義。

二

網(wǎng)絡(luò)瀏覽記錄屬于個人信息嗎？

除個GPS技術(shù)外，網(wǎng)絡(luò)cookie或網(wǎng)絡(luò)信標臭蟲技術(shù)，其實也是能給用戶畫像，并反映出個人的「行蹤軌跡」的，它能把個人網(wǎng)頁瀏覽記錄保存下來，并和個人網(wǎng)絡(luò)賬號「例如某特定瀏覽器等」一一結(jié)合，從而識別特定「虛擬人」的特定活動。這類情況下的「行蹤軌跡」似科更接近「個人信息」的定義。

之所以要挑起這個話題，還得從中國隱私權(quán)糾紛第一案說起。該案中，一二審法院作出了截然相反的判決。南京中院二審的終審判決，對「利用cookie技術(shù)收集的用戶上網(wǎng)活動軌跡信息是不是個人信息」作出了明確的回答——上網(wǎng)軌跡不屬于個人信息。

理由如下：1.百度網(wǎng)訊公司在提供個性化推薦服務(wù)中運用網(wǎng)絡(luò)技術(shù)收集、利用的是未能與網(wǎng)絡(luò)用戶個人身份對應(yīng)識別的數(shù)據(jù)信息，該數(shù)據(jù)信息的匿名化特征不符合“個人信息”的可識別性要求。2.網(wǎng)絡(luò)用戶通過使用搜索引擎形成的檢索關(guān)鍵詞記錄，雖然反映了網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好，具有隱私屬性，但這種網(wǎng)絡(luò)活動軌跡及上網(wǎng)偏好一旦與網(wǎng)絡(luò)用戶身份相分離，便無法確定具體的信息歸屬主體，不再屬于個人信息范疇。3.百度網(wǎng)訊公司個性化推薦服務(wù)收集和推送信息的終端是瀏覽器，沒有定向識別使用該瀏覽器的網(wǎng)絡(luò)用戶身份。雖然朱燁因長期固定使用同一瀏覽器，感覺自己的網(wǎng)絡(luò)活動軌跡和上網(wǎng)偏好被百度網(wǎng)訊公司收集利用，但事實上百度網(wǎng)訊公司在提供個性化推薦服務(wù)中沒有且無必要將搜索關(guān)鍵詞記錄和朱燁的個人身份信息聯(lián)系起來。

這里就涉及到網(wǎng)絡(luò)「虛擬人」的問題，法院判決書中第3點理由的意思指，運用cookie技術(shù)在推薦廣告時，它推送的對象其實不是某個賬號所對應(yīng)的真實自然人，而僅僅是某個軟件或設(shè)備，例如當祁同偉使用其在家里的臺式電腦，并使用該電腦上的火狐瀏覽器瀏覽襪子時，cookie技術(shù)下次就會向這臺電腦的這個瀏覽器「即虛擬人」再行推送類似商品，而不會向祁同偉這個人的其它設(shè)備推送。因為cookie技術(shù)仍是一種本地化技術(shù)實現(xiàn)。

但若cookie技術(shù)通過祁同偉登陸的火狐瀏覽器帳戶同一性認定，跨終端平臺推送廣告，似乎就需要和個人身份「賬號密碼」相聯(lián)系了，這點又有不同，這種功能在兩高新解下就可能變成灰色地帶了。

所以，如果兩高新解一定要把行蹤軌跡「如cookie技術(shù)」認定為就是一種個人信息，一不符合立法，二也和司法實踐是相矛盾的。

2016年6月底，谷歌把2007年曾向用戶承諾的隱私條款不動聲色地拿掉了：“除非用戶同意，谷歌不會將下屬廣告公司DoubleClick收集的 cookie信息，和谷歌收集的其它個人身份信息結(jié)合起來使用”。說明這種cookie技術(shù)的效果還將繼續(xù)，而且也會發(fā)揮越來越大的作用。

三

個人隱私和個人信息的邊界

這里一定要搞清楚的是「個人信息」和「個人隱私」是有區(qū)別的，不能完全等同。個人信息包括部分個人隱私，但個人隱私不一定就是個人信息；個人隱私除了用戶個人信息外還包含私人活動、私有領(lǐng)域例。個人隱私和個人信息的邊界需要進一步界定。

根據(jù)王利明教授的觀點，個人隱私和個人信息的區(qū)別還是非常大的。主要是三點，大意如下」：

第一，隱私權(quán)是一種精神性人格權(quán)，財產(chǎn)價值不突出。而個人信息性質(zhì)上屬于一種集人格利益與財產(chǎn)利益于一體的綜合性權(quán)利，對于一些名人的個人信息而言，甚至主要體現(xiàn)為財產(chǎn)價值。第二，隱私權(quán)是一種消極的、防御性的權(quán)利，只能在遭受侵害的情況下請求他人排除妨害、賠償損失等。而個人信息，權(quán)利人除了被動防御第三人的侵害之外，還可以對其進行積極利用，如出售。第三，隱私不限于信息的形態(tài)，它還可以以個人活動、個人私生活等方式體現(xiàn)，且并不需要記載下來。而個人信息必須以固定化的信息方式表現(xiàn)出來，因此，個人信息通常需要記載下來，或者以數(shù)字化的形式表現(xiàn)出來。也就是說，個人信息概念側(cè)重于“識別”，即通過個人信息將個人“識別出來”。

以往，侵犯個人隱私一般很難上升到刑事犯罪，主要由侵權(quán)責任法進行私力求濟。而侵犯個人信息卻不同，不論是治安管理，還是現(xiàn)在的刑事犯罪都可以尋求幫助，在民法總則出來后，個人更是可以通過私力救濟來保護個人信息了。這也足說明在保護法益上，個人信息的要顯得更加重要一些。也正是因為此，我們更要注意區(qū)別兩者，既不能把侵犯個人隱私的事，用刑法加以打擊，也不能把侵犯個人信息的犯罪，不予受理而推諉扯皮。

四

一定要重視，否則會出事

總結(jié)來說，雖然《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》頒布，但是，最為重要的問題，或者說最容易在打擊犯罪中搞錯的，不是5000條個人信息就入刑的問題，而是「個人信息」的界定問題。

在刑事辯護中，公安機關(guān)所認定的每一條所謂「個人信息」或數(shù)據(jù)，都值得掰開了揉碎了好好匹配研究，每一條信息都必須是能「指向一個特定人」才視為有效信息，這是定罪的前提，否則就變成純粹的迎合民憤的眉毛胡子一把抓了。這也誠如兩高新解中所述的：「經(jīng)過處理無法識別特定個人且不能復(fù)原的除外」。

對于互聯(lián)網(wǎng)企業(yè)來說，隨著網(wǎng)絡(luò)安全法和兩高新解等出臺，個人信息保護要求更高了，若網(wǎng)絡(luò)服務(wù)提供者拒不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，致使用戶的公民個人信息泄露，造成嚴重后果的，應(yīng)當依照刑法第二百八十六條之一的規(guī)定，以拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪定罪處罰。

所以不要光拿信息，而忽視了配套網(wǎng)絡(luò)安全技術(shù)保護，否則只能是一開始就是通往監(jiān)獄的道路上了。