《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称《解释》)将侵犯公民个人信息罪中涉案公民个人信息的数量与信息用途、违法所得金额、前科劣迹等作为并列判断行为是否构罪、罪轻与罪重的依据,但数量较之其他因素在实践中被运用得最多,成为判断行为人行为性质的核心因素。加之数字经济时代,检察人员在办案中遇到的涉案“公民个人信息”往往是大量的,其中不乏存在一些重复、虚假或者不具有可识别性的公民个人信息。面对海量化、复杂化的个人信息,《解释》第11条第3款确立了批量公民个人信息数量计算规则,但理论上对该条规定的理解不一,实践中各地区做法亦不同,如何正确适用“批量认定规则”从而准确认定批量的涉案公民个人信息数量已成为实践难题。笔者认为,可从可识别性、去重复性、真实性角度,准确认定涉案的“公民个人信息”数量,具体理由如下:
第一,从可识别性出发,结合信息的内涵与外延,排除不属于刑法意义上的“公民个人信息”。《解释》第1条、第3条规定了“公民个人信息”的特征,将无法识别特定个人的信息排除在外,从正反两方面肯定了可识别性在认定公民个人信息中的重要性。因此,如何理解可识别性直接决定了“公民个人信息”的内涵。《解释》第1条对“公民个人信息”的可识别性规定为“能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况”,主要包含识别方式与识别对象两个方面,前者包括直接识别与间接识别,后者包括特定自然人的身份与活动情况。实践办案中,真正的直接识别信息种类极其有限,一般仅包括指纹、DNA等具有唯一性的信息,姓名、肖像等看似能够以其为凭据从而直接与特定自然人身份或活动产生关联,但由于同名同姓、样貌相似等原因的存在,其实质上并不能起到唯一识别作用。同时,间接识别也应理解为与其他信息结合才具有可识别性的信息,即使单个信息无法指向特定自然人,但当其能够通过结合其他信息进而与特定自然人相联结,仍属于具有可识别性。例如,单纯的姓名、年龄、家庭住址、工作单位等信息无法直接识别出特定自然人,但若将其相互结合,共同发挥作用,则能够具有可识别性。
而在识别对象上,刑法中的“公民个人信息”必须能够识别特定自然人的身份,即使其反映自然人的活动情况,也应该是建立在身份识别的基础之上,不具备身份识别性的单纯的活动信息不应被认定为属于“公民个人信息”的范畴。例如,公民登录的健身App的后台数据,其只能反映出账号主体在某一时间段内的运动情况,包括运动时间、运动方式等,但由于App登录的访客账号的匿名性,故而无法指向特定自然人。
第二,从重复性出发,结合信息的数量与类型,去除重复相同的“公民个人信息”。《解释》第5条以信息条数而非情节入罪的情形,将公民个人信息的种类从法益被侵害的严重性出发分为以下三类:第一类高敏感信息,包括行踪轨迹信息、通信内容、征信信息、财产信息四种;第二类低敏感信息,包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的信息;第三类普通信息,即前述两类以外的其他个人信息。三类信息分别以五十条、五百条、五千条作为“情节严重”的入罪门槛。当前,现有法律等并未对“批量”的标准进行界定,笔者认为“批量”宜认定为数量在五千以上,而根据第5条规定,数量在五千以下的构罪情形只存在于上述前两类信息中,此时不仅信息条数较少,加之这两类属于特殊类型的个人信息,对被侵害信息数量的认定更为谨慎,故应当对数据逐一审查。
针对具体涉案信息存在相同的情形,实践中查获的信息经常会针对同一对象并存数条信息,例如,将同一姓名的人与身份证号码存为一条、又将该姓名与电话号码存为一条,此时就应当认定为是重复信息,按照一条计算。司法机关通常会委托鉴定机构对查获的信息条数进行鉴定,即选择一个或数个基准信息作为去重依据。如在一条公民个人信息包括身份证件号码、家庭住址、车牌号等多种信息时,以身份证号码作为排除重复信息的标准,剔除多余的同一身份证号相关信息。因此,去重基准信息的选择尤为重要,在单要素信息中此种选择简单明了,但在多要素案件中司法人员需进一步结合信息类型找到合适的基准信息。同时,由于部分信息具有变动性,如工作单位、家庭住址等,此时若选择该变动性较大的信息作为基准则会导致去重审查的不准确。因此,要选择变动性较小的信息,如身份证号码、出生日期等作为基准要素以排除重复信息。
第三,从真实性出发,结合信息的来源与用途,删除虚假无效的“公民个人信息”。审查和计量批量公民个人信息数量的前提是涉案信息真实有效。实践中,办案机关多采用抽样的方式验证涉案信息的真实性。《人民检察院办理网络犯罪案件规定》第22条明确规定,“对于数量众多的同类证据材料,在证明是否具有同样的性质、特征或者功能时,因客观条件限制不能全部验证的,可以进行抽样验证”,侵犯公民个人信息案件往往依托于网络犯罪而实施,故该条也为抽样计量在此类案件中的使用提供了法律支持。但也应该看到,抽样取证在实践运用中尚且存在诸多问题,例如,抽样核实比例不统一,通常由承办人自行掌握,随意性较大,有的案件抽取数量较少,对于海量数据来说是否具有代表性有待商榷;而部分案件抽取大量样本予以核实,工作量近乎逐一核查,并未体现抽样计量的优越性。笔者认为,可根据数据总量、个案特性两方面决定抽样数量。例如,总量1万以下的样本,抽样比例可设定为30%;总量1万以上10万以下的样本,抽样比例可设定为1%至10%;总量10万以上的样本,抽样比例可设定在1%以下。同时,根据承办人对于具体案件中的数据特点和个案特征,可浮动调整上述抽样比例。又如,抽样方法选取不统一,目前存在简单随机抽样、分层抽样和PPS抽样等多类抽样方式,笔者认为,为减少抽样选择性偏误,应尽量采取PPS抽样、分层抽样等精确度更高的抽样方式。
除上述抽样证明的方式外,笔者认为办案人员还可通过信息来源与用途两方面来确定适用于辨明涉案信息真伪方面的经验法则:第一,从信息的来源看,利用非法侵入计算机信息系统手段获取公民个人信息一般以全部的数量认定。比如,比较常见的黑客利用非法软件侵入各大网站、电商平台等方式获取的公民个人信息,这些信息通常都是用户经注册并确认的真实个人信息。第二,从信息的用途看,当公民个人信息用于下游犯罪,经查证属实的,一般以全部的数量认定。司法实践中,非法取得的公民个人信息被用于电信诈骗等下游犯罪,且经司法程序查证属实的,应认可公民个人信息的真实性。同时,当行为人为合法经营活动而非法购买、收受公民个人信息,若犯罪嫌疑人已从中获利,则可推定信息的真实性和有效性,当然,其是否构成侵犯公民个人信息罪,还要参照《解释》所规定的获利标准来综合认定。
(作者单位:浙江省绍兴市越城区人民检察院)
