个人信息刑事司法认定系列(一)单独手机号码的刑事司法认定
个人信息刑事司法认定系列(一)单独手机号码的刑事司法认定
引言
个人信息是数字时代与互联网环境的重要概念之一。现行个人信息认定的通用指引来自个人信息相关国家标准,根据《信息安全技术 个人信息安全规范》(GB/T 35273—2020)资料性附录A,“判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。”
在刑法领域,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“《侵公案件司法解释》”)第一条规定,“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账户密码、财产状况、行踪轨迹等。”[1]
针对个人信息的分类,根据《刑法》、《侵公案件司法解释》及《检察机关办理侵犯公民个人信息案件指引》(下称“《侵公案件检察指引》”)的规定,刑法保护的个人信息可按信息敏感程度被分为三类:其一是行踪轨迹信息、通信内容、征信信息、财产信息四类与公民人身、财产安全直接相关的个人信息(明确仅有四类);其二是住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全,但重要程度要弱于第一类信息的个人信息;其三是其余的一般个人信息。
从上述规范出发,本系列文章旨在结合司法判例,分析刑事司法中处理个人信息的两类主要实务疑难问题:第一,个人信息的认定问题,即特定信息(例如单独手机号码、互联网账号等)能否被认定为个人信息;第二,个人信息的分类认定问题,即特定信息能否在个人信息的范畴中,被进一步认定为特殊的个人信息(例如高度敏感的行踪轨迹信息)。
一、单独手机号码应被认定为可识别特定自然人身份的个人信息
单独手机号码是指不与姓名、住址等其他信息对应、自身单独出现的自然人手机号码信息。在“侵公”犯罪的刑事司法认定中,单独手机号码能否被认定为个人信息存在较大争议。我们认为,一般情况下单独手机号码应被认定为个人信息,同时亦存在应予排除的特定情形。
《侵公案件司法解释》和《信息安全技术 个人信息安全规范》国家标准及相关法律、法规在列举个人信息时均包含“通信通讯联系方式”,手机号码被认定为个人信息的一种类型无需争议。但是仅有手机号码无其他信息时是否能构成“识别特定自然人身份的信息”在司法实务中仍有争议:有观点认为公民使用的电话号码已实名登记、单独电话号码可认定为个人信息;也有观点认为单独手机号码不能够单独识别特定自然人身份或者反映特定自然人活动情况,不足以认定为个人信息。[2]
综合法律法规、司法判例和现阶段打击电信网络犯罪、保护个人信息权益的现实需求,我们倾向于认为,单独手机号码应被认定为个人信息:
(一)实名制背景下,单独手机号码可以识别特定的自然人。根据《电话用户真实身份信息登记规定》,当前我国实行手机号码实名登记制度,手机号码与自然人一一对应,能单独识别特定自然人身份,意味着单独出现的手机号码亦可与特定自然人形成直接关联;同时,手机号码大多与个人微信、支付宝等相关联,能在一定程度上反映特定自然人活动情况。实务中,司法机关一般基于实名制的因素,认定单独手机号码属于个人信息。[3]
(二)存在部分没有手机实名的“黑号”不能否认单独手机号码的个人信息属性。我国虽已实行手机实名登记制度多年,但现实中确实也存在一些未经实名制登记的“黑号”,但值得注意的是,一是此类号码相对于庞大的实名制手机号码,数量少、占比极低,二是这些号码通常被网络“黑灰产”用作特定领域,而非由普通自然人用于日常工作、生活。同时,对于行为人提出“非实名”的辩解,办案机关也会通过侦查实验等方式,验证号码的真实性和与有关人员的对应性,经查证确实属于未经实名的“黑号”,亦会予以剔除。实务中通常将这类“黑号”视为不真实信息,在批量个人信息中作排除认定,与单独手机号码的认定形成原则与例外的关系。例如在王某文出售、非法提供公民个人信息案中,[4]行为人获取的部分电话号码即通过非正当途径、未经实名登记产生,法院排除了此些号码,但同时认为这类“黑号”属个别现象,并不能因此否认单独手机号码具有的身份识别性。
(三)若不将单独手机号码认定为个人信息,则一定程度上会放纵犯罪,具有较大社会危害性。手机号码泄露后,轻则被滥用于广告推销、拉新促活,重则被用于实施电信网络诈骗及其他恶性、暴力犯罪,严重影响个人生活安宁和生命、财产安全,社会危害性严重。例如,2016年,最高人民法院发布了六起惩治电信诈骗犯罪典型案例,在杨某等人侵犯公民个人信息案中,[5]行为人通过购买的方式非法获取包括单独手机号码在内的个人信息2万余条,通过拨打手机号码并谎称可以向对方发放残疾人补贴、教育补贴等方式,共骗取7万元,对受害者的财产安全造成损害。个人信息泄漏是不少网络犯罪的源头和犯罪链条的关键环节,个人信息权利保护则是信息化社会中个人权利保护的重点之一,因此,我们认为,要从源头整治各类网络下游犯罪,信息安全、信息保护是关键,若轻易将单独手机号码排除认定为个人信息,则在一定程度上可能会影响网络安全发展。
二、单独手机号码被认定为个人信息的常见情形
实践中,行为人获取、出售、使用手机号码均基于特定目的或伴随特定手段,若行为人在主观上即具备识别特定自然人身份或反映特定自然人活动情况的目的,[6]或行为人使用特定手段获取、验证特定自然人手机号码,我们认为,在此类情形下可更充分地认定单独电话号码的个人信息属性。
第一,存在特定人群标签的情形。当行为人将单独手机号码根据不同特定人群予以标签化处理时——表现为行为人虽仅有手机号码,但是同一批手机号具有很强的身份指向性,通常可以反映行为人存在后续使用单独手机号码进行针对性营销推广甚至诈骗等目的,此时单独手机号码具备更强、危害性更大的身份识别属性,可以增强对单独手机号码进行个人信息的认定。
例如,郭某华侵犯公民个人信息案中,[7]行为人通过网络非法获取单独手机号码等个人信息出售获利,从其笔记本电脑、百度网盘中提取的大量内含个人信息的文件均标注“宝妈”、“女车主”等特定群体名称,法院据此认为,当特定群体类型与单独手机号码结合时能够反映出自然人过往的活动情况及未来的活动意向,具有较强的身份指向性和行为目的性。
第二,通过特定途径获取或进行特定验证的情形。当行为人采用“拖库”“撞库”手段获取、验证个人信息;或者通过各种手段测试、验证手机号码是否为空号、是否关联支付宝、微信账户、是否为活跃号码等各种属性,以满足下游不同的需求时,单独的手机号码即具备较强的含义指向属性。因此,当行为人采取了特定途径获取手机号码或对手机号码进行特定验证,通常可以反映行为人具备后续伴生的行为目的,上述情形下单独手机号码可识别特定自然人身份或者活动情况的性质得到更充分的体现。
实务中已形成了一批支持该立场的判例,例如在张某军等人出售、非法提供公民个人信息案中,行为人利用软件在互联网上获得大量的支付宝用户个人信息(包括单独手机号码)并予以出售,法院通过行为人明知涉案单独手机号码系通过脚本进行支付宝验证获得、并非随机获取的事实,认定涉案单独手机号码能反映特定自然人活动情况故系个人信息。[8]
三、单独手机号码宜被排除认定个人信息的特殊情形
单独手机号码通常被认定为个人信息的同时,我们亦不赞同简单将单独手机号码一概纳入刑事规制范畴。我们认为,特定场景下,单独手机号码宜予以排除认定。
第一,号段填充生成的连号手机号码。根据《电信网码号资源管理办法》及其附件《电信网码号资源分类管理目录》,我国电话号码为11位,其中各段有特定的编码方式,基于电话号码编制规则,可以进行电话号段填充获取手机号码。如已知运营商移动接入码(Mobile Access Code, MAC)为134,四位归属位置寄存器(Home Location Register,HLR)识别码(即H0H1H2H3号段)为2327,即可自动序列生成13423270000、13423270001至134232799999,共10000个手机号码,号段填充的重要特征为生成的是连号手机号码(不排除后续人为加工为不连号)。[9]我们认为,在手机号码由号段填充生成的情况下,单独手机号码仅为某个区间内的连续数字,与特定自然人之间存在显著距离,不再具备可识别性与关联性的要素,实务中倾向于不将此类单独电话号码简单认定为个人信息。
如在严某侵犯公民个人信息案中,行为人将自己非法获取的个人信息中的电话号码通过电脑导入拨号系统,供业务员拔打电话锁定客户,法院指出行为人保存的部分文件中,记载的均为连号的单一的电话号码信息,该部分信息并不能单独识别特定自然人身份或反映特定自然人活动情况,不应认定为个人信息。[10]
第二,软件随机生成的手机号码。在张某等人侵犯公民个人信息案中,行为人向他人出售及非法提供公民个人信息,内容包含使用软件随机生成的不指向特定自然人的纯电话号码等,法院注意到这一情节,尽管由于行为人及辩护人不能指出具体多少数量的个人信息系伪造或重复,亦不能提供相应的证据证实,最终仍将涉案的纯电话号码认定为个人信息。[11]但是不难发现,此时已存在对这类单独手机号码作出排除认定的空间。
我们认为,若行为人通过多种类型的软件(例如互联网上常见的“号码生成器”),批量生成随机手机号码,此类号码多为未经实名认证的电话号码,并不关联特定自然人,亦不能反映特定自然人活动情况,故行为人若能够证明此类手机号码的数量及随机生成的事实,则不宜继续将其认定为个人信息。
第三,已公开的手机号码。就公开的个人信息而言,现行规定、标准并未予以和一般个人信息相同的保护。根据《信息安全技术个人信息安全规范》(GB/T35273—2020)第9.5条的规定,共享、转让、公开披露个人信息时事先征得授权同意的例外情形,包括从合法公开披露的信息中收集个人信息,如合法的新闻报道、政府信息公开等渠道,该情形中个人信息控制者共享、转让、公开披露个人信息不必事先征得个人信息主体的授权同意。又根据《征信业管理条例》第十三条的规定,“采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外。企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。”
我们观察,实务中一般是:对于主动公开的信息,除相关权利人要求“二次授权”的外,宜推定存在概括同意,不倾向于对收集后出售或者提供的行为要求“二次授权”,也就不倾向于认为行为人出售或者提供“违反国家有关规定”[12]。我们认为,判断已公开个人信息行为是否具有刑事可罚性的关键是,该行为是否仍然侵犯了公民的个人信息权。在个人信息公开的多数情形中,个人信息或依照相关法律法规强制公开,或按照个人意愿自愿公开,即权利人对个人信息权已经有了一定程度的让渡,此时,若权利人没有明确禁止“二次授权”则原则上认为权利人已“概括同意”,对公开信息的处理、使用不宜被认定为犯罪行为。
实务中也存在持这一立场的判例。以王某侵犯公民个人信息案为例,2015年8月至12月,行为人先后8次使用QQ将包含电话号码的涉案信息出售和提供给他人,法院在该案判决中明确指出:部分涉案信息提取自公开的商业网站中企业介绍自己生产、经营、销售产品状况的广告信息,其中包含的法定代表人或联系人手机号码应当是相关当事人自愿公开的,相关人员在将此类信息公开时,必然会预见有被他人使用甚至不当使用的可能性。基于此,法院并不认可“只要权利人不同意,不管信息已公开与否,不论是否合法途径获取,都不能被使用”的理解,当相关信息已经合法对外公开后,行为人的收集、整理、交换等行为便不宜继续被要求获得“被收集者同意”。[13]
在王某侵犯公民个人信息案中,部分涉案手机号码由公司、企业在工商登记、商业宣传等活动中自行公开,系典型的已公开手机号码。《侵公案件检察指引》第二部分第(一)节规定,“对于企业工商登记等信息中所包含的手机、电话号码等信息,应当明确该号码的用途。对由公司购买、使用的手机、电话号码等信息,不属于个人信息的范畴,从而严格区分‘手机、电话号码等由公司购买,归公司使用’与‘公司经办人在工商登记等活动中登记个人电话、手机号码’两种不同情形。”本文与该指引反应的认定思路一致,即公开的单独手机号码在司法认定时,始终需充分考虑其对于个人的归属性和对于个人信息权的侵害性。
四、结语
简单将单独手机号码全部认定或全部不认定为个人信息并非妥善思路。个人信息的认定,始终需要把握个人信息的本质属性——对特定自然人的可识别性与关联性,作出司法认定时,也需要与刑事规制侵害个人信息行为的立法原意保持一致。我们认为,在认定个人信息时应遵循“自身属性”与“关联因素”的二重思维模式,既考察信息本身是否具备可识别性与关联性的必要特征,又对信息的获取途径、使用场景等多个关联因素予以考虑,综合作出认定结论。
[注]