2013年,最高人民法院、最高人民檢察院、公安部聯合發布《關於依法懲處侵害公民個人信息犯罪活動的通知》(下稱《通知》),將公民個人信息定義為「能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料」。根據2017年最高人民法院、最高人民檢察院聯合發布的《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下稱《解釋》)規定,公民個人信息包括直接識別的公民個人信息、間接識別的公民個人信息和「反映特定自然人活動情況的各種信息」。
對此,有觀點認為,《通知》規定的「涉及公民個人隱私的信息、數據資料」以及《解釋》規定的「反映特定自然人活動情況的各種信息」均是與可識別性並列的個人信息認定標準;公民個人信息包括「個人身份認證信息和可能影響人身、財產安全的個人信息,前者要求具有廣義的可識別性,後者對於可識別性沒有要求」。可見,該觀點認為可識別性並非個人信息的根本特性。但筆者認為,《通知》和《解釋》並未否認可識別性是公民個人信息的根本特性,相反,其不僅遵循了可識別性,而且突出強調應著重保護的公民個人信息類型。顯然,上述觀點對司法解釋規定進行了片面的文義解釋。理由如下:
《通知》規定的「涉及公民個人隱私的信息、數據資料」是指隱私信息,而隱私信息必須能夠與特定個人關聯。從語意上看,隱私信息與公民個人信息都是反映公民個人某種情況的信息,並且隱私信息如果不能與特定自然人產生關聯,則並不值得法律保護。因此,隱私信息無疑是針對某特定個人的信息,當然屬於可以識別公民個人身份的信息。從公民個人信息類型上看,公民個人信息可以分為未公開的公民個人信息以及已公開的公民個人信息,而未公開的公民個人信息就包括隱私信息。這就是說,公民個人信息在外延上包括隱私信息,隱私信息並非公民個人信息的平行概念而是公民個人信息的下位概念。因此,《通知》將隱私信息單列出來並沒有脫離公民個人信息可識別性的限制,而是對保護個人隱私信息的突出強調,認為隱私信息是公民個人信息的核心內容,應當重點保護。
《解釋》規定的「反映特定自然人活動情況的各種信息」並不是對「能夠單獨或者與其他信息結合識別特定自然人身份」的補充而是突出強調,兩者也並非並列關係而是包含關係。從語意上看,「反映活動情況的各種信息」受到「特定自然人」的語義限制,應當將其理解為,只有當「反映活動情況的各種信息」與「特定自然人」產生關聯時,才能認定為刑法保護的公民個人信息。也就是說,反映自然人活動情況的各種信息必須達到能夠單獨識別或者與其他信息結合能夠識別特定自然人身份時才能認定為公民個人信息。因此,「反映特定自然人活動情況的各種信息」只是公民個人信息的一種特殊類型。
從體系解釋上看,如果《解釋》將與個人有關的信息均納入到刑法保護範圍之中會導致不同規範之間的自相矛盾。首先,侵犯公民個人信息罪是法定犯,構成侵犯公民個人信息罪的前提是「違反國家有關規定」,而我國保護公民個人信息的既有前置性規範文件均遵循著「可識別性」的定義思路。例如,網絡安全法將公民個人信息定義為「能夠單獨或者與其他信息結合識別自然人個人身份的各種信息」。這就可能導致刑法所保護的公民個人信息並不在前置法的保護範圍之列,明顯違反刑法「二次法」的特性。其次,《解釋》第三條第二款規定:「……經過處理無法識別特定個人且不能復原的除外。」這也從一個側面反映出本罪所要求的公民個人信息是可以識別特定個人的信息,否則,應當排除在外。
從比較法的角度上看,世界範圍內的公民個人信息保護法對於公民個人信息的定義基本上均遵循「可識別性」的定義思路。例如,歐盟認為個人信息是指「與一個身份已被識別或者身份可被識別的自然人相關的任何信息」,法國將個人數據定義為「通過一項或多項個人特有因素被直接或間接識別的自然人相關的任何信息」,德國定義為「任何關於一個已識別的或者可識別的個人的私人或者具體狀況的信息」,英國認為個人信息是「可以識別在世個人的數據」,我國臺灣地區將其定義為「自然人之姓名、出生年月日……及其他得以直接或間接方式識別該個人之資料」。可見,不同國家或地區立法均將「可識別性」作為個人信息核心的、本質的特徵。
(作者單位:武漢大學法學院)