可识别性是公民个人信息的根本特性
时间:2018-07-08  作者:赵忠东  来源:检察日报
【字体:  

2013年,最高人民法院、最高人民检察院、公安部联合发布《关于依法惩处侵害公民个人信息犯罪活动的通知》(下称《通知》),将公民个人信息定义为“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。根据2017年最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)规定,公民个人信息包括直接识别的公民个人信息、间接识别的公民个人信息和“反映特定自然人活动情况的各种信息”。

对此,有观点认为,《通知》规定的“涉及公民个人隐私的信息、数据资料”以及《解释》规定的“反映特定自然人活动情况的各种信息”均是与可识别性并列的个人信息认定标准;公民个人信息包括“个人身份认证信息和可能影响人身、财产安全的个人信息,前者要求具有广义的可识别性,后者对于可识别性没有要求”。可见,该观点认为可识别性并非个人信息的根本特性。但笔者认为,《通知》和《解释》并未否认可识别性是公民个人信息的根本特性,相反,其不仅遵循了可识别性,而且突出强调应着重保护的公民个人信息类型。显然,上述观点对司法解释规定进行了片面的文义解释。理由如下:

《通知》规定的“涉及公民个人隐私的信息、数据资料”是指隐私信息,而隐私信息必须能够与特定个人关联。从语意上看,隐私信息与公民个人信息都是反映公民个人某种情况的信息,并且隐私信息如果不能与特定自然人产生关联,则并不值得法律保护。因此,隐私信息无疑是针对某特定个人的信息,当然属于可以识别公民个人身份的信息。从公民个人信息类型上看,公民个人信息可以分为未公开的公民个人信息以及已公开的公民个人信息,而未公开的公民个人信息就包括隐私信息。这就是说,公民个人信息在外延上包括隐私信息,隐私信息并非公民个人信息的平行概念而是公民个人信息的下位概念。因此,《通知》将隐私信息单列出来并没有脱离公民个人信息可识别性的限制,而是对保护个人隐私信息的突出强调,认为隐私信息是公民个人信息的核心内容,应当重点保护。

《解释》规定的“反映特定自然人活动情况的各种信息”并不是对“能够单独或者与其他信息结合识别特定自然人身份”的补充而是突出强调,两者也并非并列关系而是包含关系。从语意上看,“反映活动情况的各种信息”受到“特定自然人”的语义限制,应当将其理解为,只有当“反映活动情况的各种信息”与“特定自然人”产生关联时,才能认定为刑法保护的公民个人信息。也就是说,反映自然人活动情况的各种信息必须达到能够单独识别或者与其他信息结合能够识别特定自然人身份时才能认定为公民个人信息。因此,“反映特定自然人活动情况的各种信息”只是公民个人信息的一种特殊类型。

从体系解释上看,如果《解释》将与个人有关的信息均纳入到刑法保护范围之中会导致不同规范之间的自相矛盾。首先,侵犯公民个人信息罪是法定犯,构成侵犯公民个人信息罪的前提是“违反国家有关规定”,而我国保护公民个人信息的既有前置性规范文件均遵循着“可识别性”的定义思路。例如,网络安全法将公民个人信息定义为“能够单独或者与其他信息结合识别自然人个人身份的各种信息”。这就可能导致刑法所保护的公民个人信息并不在前置法的保护范围之列,明显违反刑法“二次法”的特性。其次,《解释》第三条第二款规定:“……经过处理无法识别特定个人且不能复原的除外。”这也从一个侧面反映出本罪所要求的公民个人信息是可以识别特定个人的信息,否则,应当排除在外。

从比较法的角度上看,世界范围内的公民个人信息保护法对于公民个人信息的定义基本上均遵循“可识别性”的定义思路。例如,欧盟认为个人信息是指“与一个身份已被识别或者身份可被识别的自然人相关的任何信息”,法国将个人数据定义为“通过一项或多项个人特有因素被直接或间接识别的自然人相关的任何信息”,德国定义为“任何关于一个已识别的或者可识别的个人的私人或者具体状况的信息”,英国认为个人信息是“可以识别在世个人的数据”,我国台湾地区将其定义为“自然人之姓名、出生年月日……及其他得以直接或间接方式识别该个人之资料”。可见,不同国家或地区立法均将“可识别性”作为个人信息核心的、本质的特征。

(作者单位:武汉大学法学院)

[责任编辑: 王媛]