本案中,江某某违反国家有关规定,向他人提供的文件中既有公民姓名、身份证件号码、手机号码、邮箱等记录,又有大量的单纯手机号码(即“裸号”)。司法鉴定机构根据公安机关的委托事项,一揽子认定涉案文件去重后符合手机号码规则的记录共计90余万条。毋庸置疑的是,手机号码在识别性较强,例如“姓名+手机号码”等个人信息组合方式下能够识别特定的自然人,属于公民个人信息。本案的争议关键在于无识别标签的“单纯的手机号码”是否属于公民个人信息,其可识别程度是否足以纳入刑法保护的范围,在认定个人信息数量时应否予以剔除?
本案在审理中,关于单纯手机号码的定性,主要有两种观点:第一种观点认为,单纯的手机号码不属于公民个人信息。从手机号码的可识别性看,在实名制下,虽然手机号码对应着特定自然人,但非经法定程序普通公众无法查询出特定自然人,并且单纯手机号码的可识别程度较低,需要结合其他个人信息才能进行识别;从行为人的主观目的看,行为人主观上并不追求识别手机号码背后的自然人,其目的仅在于出售手机号码牟利;从危害后果看,提供他人手机号码的行为势必对个人生活造成打扰,但仅凭单纯的手机号码无法对特定自然人准确地识别,对个人生活安宁的侵扰程度、人身财产安全造成的风险较低,尚未达到须以刑罚处罚的程度。
第二种观点认为,单纯的手机号码属于刑法上的公民个人信息。公民个人信息的认定是事实认定问题,应当是一种不受主观意思影响的客观存在。手机号码与特定自然人的身份证信息绑定,属于司法解释所列举的公民个人信息中的“通信通讯联系方式”。在网络社会,自然人的移动支付、社交平台等账号与手机号码息息相关,能够反映自然人的特定身份或者活动情况。手机号码与自然人的人身权益、财产利益紧密相连,除了商业推销行为,司法实践中手机号码多被用于电信诈骗等财产犯罪,甚至被用于敲诈勒索等侵犯人身权益的犯罪,有必要将之纳入刑法保护的范围。
一审和二审法院均持第二种观点,本文同意生效裁判的认定,具体分析意见如下:
一、公民个人信息的概念和内涵
“公民个人信息”是侵犯公民个人信息罪的重要客观要件之一,《刑法》对此并未给予明确界定,仅规定“违反国家有关规定”的前置性条款。因此,认定刑法上的公民个人信息,应当以相关法律和司法解释规定为依据。《网络安全法》第76条、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条、《民法典》第1034条、《个人信息保护法》第4条在保留特定自然人个人信息“可识别性”核心特征的同时,又以“关联”路径弥补“识别”路径的不足,相继拓展了个人信息的概念边界,将个人信息界定为“与已识别和可识别的自然人有关的各种信息” ,具体包括自然人的身份信息、财产信息、交易信息、互联网账号信息、通信通讯联系方式等信息。
个人信息的核心特征为可识别性。从识别的客体看,个人信息的可识别性既包括对自然人个体身份的识别,也包括对自然人特征的识别;对自然人身份的识别是确定自然人“是谁”,对自然人特征的识别是确定信息主体“是什么样的人”。从识别的程度看,识别性的个人信息包括可以单纯、直接识别出特定自然人的“已识别”(或称“直接识别”)信息和需要结合其他信息才能识别出特定自然人的“可识别”(或称“间接识别”)信息。也就是说,诸多个人信息通过对自然人个人属性和社会属性的刻画,从而或深或浅地为自然人勾勒出一幅“信息画像”。
判断某项信息是否属于个人信息,应考虑两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人。可识别性需要从信息特征及信息处理者的角度结合具体场景进行判断。二是关联,即从个人到信息,如已知特定自然人,则在该特定自然人活动中产生的信息即为个人信息。符合上述两种情形之一的信息,即应判定为个人信息。单纯的手机号码包含了实名制下指向号码机主的身份信息,即“从信息到个人”;而特定自然人的手机号码,体现了该自然人在现实世界的通讯联系方式和网络空间类通行证,属于“从个人到信息”。因此,从现有法律、司法解释规定的个人信息的概念内涵及判定个人信息的具体路径可以看出,单纯的手机号码符合公民个人信息的概念特征。
二、手机号码具有合理识别的特殊功能
在传统通讯方式下,人们可以通过拨打手机号码、发送短信等方式直接触及自然人,手机号码是自然人在现实世界的通讯联系方式。随着三网融合 时代的到来和手机、手机号码双重实名制的落实,手机号码被广泛应用于移动支付、实时定位、金融操作等网络平台App,在网络平台注册、实名认证、密码找回等数据活动中,通过自然人的手机号码进行验证是必备操作。手机号码成为自然人在网络空间的类通行证 ,可以识别机主的身份、财产、行踪轨迹等信息,能够反映自然人的特定身份或者活动情况。
基于此,手机号码具备了合理识别自然人的功能,并且使用手机号码识别特定自然人的信息,并非必须有权限的人员、机构可以查询,普通人也能够合理使用手机号码搜集个人信息。首先,手机号码可以暴露机主的性别、所在的省和城市地区。即当一个手机号被他人获取,最先能查到的信息是号码的所在省和城市,接通电话时,通过声音大致可以判断出机主的性别、年龄等信息。其次,手机号码可以暴露机主的职业和喜好。为职业专门定制铃声的手机号码 、被第三方网站收录的手机号码,可能会暴露一些个人的职业和公司法人信息 。目前有一些专门的搜索工具,输入手机号可查询号码注册过哪些网站,进而可以推测机主的喜好。再次,手机号码可以暴露微信、微博和支付宝等账号。机主的微信、微博和支付宝等往往绑定手机号码,将机主的手机号码存入通讯录,可以查询到相应的昵称、头像、签名等个人资料,进而查询到如抖音、快手等关联社交平台的账号,了解机主的用户ID、个人动态、共同联系人、视频作品等个性化信息。通过手机号码合理识别功能的不断溯源,手机号码机主的“信息画像”逐渐变得清晰起来。
从司法实践来看,手机号码的生产、深度加工、销售的完整黑灰产业链悄然形成,从有权限的人员、机构获取手机号码已不再是主流的作案方式,犯罪分子更多的是通过机器批量自动生成手机号码。例如,在“周某某等侵犯公民个人信息案” 中,被告人通过充值、使用“号码魔方”“微信检测”等非法网络软件获取公民个人信息,只需要选择数量、时间和所在的省后,非法网络软件就会自动生成并筛选出手机号码和关联的微信。在信息社会,犯罪分子对手机号码及相关信息的获取相对简便、成本低廉,导致公民个人手机号码的安全危机四伏,近年来电信诈骗、网络诈骗犯罪的屡禁不绝很大程度上正是源于买卖手机号码犯罪的猖獗。
三、单纯的手机号码属于刑法意义上的“公民个人信息”
认定单纯的手机号码属于侵犯公民个人信息罪的犯罪对象——公民个人信息,在于其真实地反映自然人特定身份或活动情况,具有与刑法所保护的法益相关联的实质内涵,在此基础上评判行为人非法获取或者提供手机号码具有值得科处刑罚的法益侵害性。具体而言,在审理此类案件中,应当围绕涉案手机号码的真实性、可识别性、法益关联性进行审查,以避免个人信息范围的不当扩张,确保对侵犯公民个人信息行为的刑法规制具有必要性。
第一,手机号码的真实性。侵犯公民个人信息罪保护的个人法益在于个人的信息自由和安全。只有真实的个人信息才能够成为侵犯公民个人信息罪的犯罪对象,虚假的个人信息无法承载本罪所保护的个人法益。在实名登记制下,申请手机号码需要公民的姓名、身份证号码进行登记,一个手机号码对应一名身份真实有效的机主,指向使用该号码的特定自然人,能够识别特定自然人的身份。值得注意的是,行为人非法使用手机号码产生的衍生信息,系受犯罪行为作用影响的具体事物,仍属于个人信息的范围。例如,行为人未经允许,使用权利人的手机号码注册App所获取的验证码,系行为人非法操作他人手机号码产生的身份验证信息,亦属于个人信息。在司法实践中计算手机号码条数时,对于“黑卡”(实名空开的卡、未实名的境外卡等)由于其形式上真实存在并指向特定的自然人、实质上具有法益侵害性,不应当剔除。对照《个人信息保护法》的立法目的和个人信息保护范围的规定,应当剔除的是“白卡”(未生效的手机号码)、注销的手机号码以及物联网卡(面向企业的流量卡)。涉案的手机号码已经过鉴定机构去重、筛查处理,将重复和不符合手机号码规则的数据予以删除,是否还需要核实抽样拨打接通率确保手机号码的真实性呢?笔者认为,手机号码具有一定的动态性,抽样时无法接通的手机号码不等于案发时就是不准确的手机号码,是否需要核实总体接通率应视具体案情而定。本案中,江某某供述涉案手机号码系其从事教育培训十余年来从各招聘网站、论坛等处不断积累的数据,对真实性具有一定的保证,即使依据江某某供述的“交换的信息20%是真实的”,则真实有效的手机号码也达18万余条,也远远超过“情节特别严重”的标准,因此不必一概通过抽样接通率认定手机号码的真实性。
第二,手机号码的可识别性。侵犯公民个人信息罪所涉及的法益较为复杂,既包括个人法益,还包括以信息安全、网络空间秩序为主要内容的集体法益。我国现行法律对个人信息的界定以识别性为基本特征。然而,一方面,在大数据智能分析时代,与个人有关的信息或多或少地都带有识别性。就理论上而言,任何信息与其他足够多的信息相结合都可以识别特定自然人身份或者反映特定自然人的活动情况, 个人信息的可识别性与不可识别性之间的界限在某种程度上已经越来越模糊。另一方面,在信息网络社会背景下,我国的信息网络犯罪日益产业化、链条化和集群化,公民个人信息已成为网络黑灰产业链中的基本原料 ,侵犯公民个人信息罪在侵害对象的广泛性与后果的严重性上,呈现出高频率和不可预见的特征,也就是法益侵害风险的社会化,从而造成侵犯公民个人信息罪的集体法益保护范围的扩张。个人信息保护问题关乎不特定群体的切身利益,已成为检察机关提起刑事附带民事公益诉讼的重要类型。
在此背景下,个人信息特别是“可识别”(或称“间接识别”)个人信息的可识别性内涵也随之发生变化。首先,识别的主体不限于侵犯公民个人信息的行为人,应当考虑行为人将他人信息置于风险之下,任何第三人识别自然人的可能性。司法实践中越来越多的行为人非法获取个人信息,主观目的并不在于识别特定自然人。行为人购买手机号码,主观上是为了追求商业利益而非识别自然人,不能以此否认其行为的法益侵害性。事实上,不论行为人有无识别的意思,个人信息都是一种不受主观意图影响的客观存在。其次,识别的对象不限于特定的自然人,可扩大解释为具备某种共同特征的特定群体乃至于没有共同特征的不特定群体。司法实践中较为常见的是行为人提供或者获取女性的手机号码、购买过某类药品的手机号码、有炒股意向的手机号码 等,目前审判实践中较为突出的是行为人侵犯不特定用户的“手机号码+验证码”,且公诉机关多以损害公共利益为由提起刑事附带民事公益诉讼。再次,识别的方式不限于行为人现实采取的识别方式,还应当考虑行为人或者第三人可能合理使用的其他识别方式。手机号码本身具有合理识别自然人的功能,普通人能够合理使用手机号码对机主进行溯源识别。最后,识别的程度达到识别可能性即可,并不要求达到确切的程度。“识别性”主要是在规避风险源的意义上使用的,是为了防止通过对相关信息的挖掘而将个人识别出来 ,手机号码的识别性亦在于识别可能给公民人身财产安全带来的法益侵害风险。
第三,手机号码的法益关联性。某一信息在具备真实性和识别性之后,可以构成一般意义上的个人信息。但刑法意义上的个人信息还应具备法益关联性。个人信息的真正价值在于其和自然人的人身法益、财产法益的关联性,刑法对个人信息保护的真正必要性在于识别之后对自然人可能带来的风险,即个人信息不仅需要能够识别个人,而且对于个人信息的侵犯可以对个人法益或者集体法益产生相当程度的侵害或者危险。判断个人信息的法益关联性可以遵循“先主观判断再客观判断”的方法步骤:其一,尊重个人的主观意愿,即是否违背公民本人的真实意思表示;其二,在主观判断基础上,再进行客观判断,即客观上是否会给公民带来安全隐患或者风险。如前所述,看似没有指向性的单纯的手机号码,其本身具有合理识别自然人的功能,与特定自然人的人身财产深度关联。无论手机号码被用于商业用途还是洗钱、电信诈骗、敲诈勒索等下游网络犯罪活动,都违背了公民个人的主观意愿,容易给公民的生活安宁、人身财产安全带来风险隐患。从这个意义来说,虽然手机号码的可识别性要弱于身份证号码,但是行为人非法出售1万人的手机号码(假设号码均实名认证)的危害性要远远大于非法出售1万人的身份证号码(假设号码均为真实)的危害性。
综上,手机号码数据一旦泄露,其他个人信息呼之欲出,好比打开了“潘多拉魔盒”,释放出“飘过世纪的乌云”——信息网络犯罪。违法获取、提供他人手机号码,不仅侵犯公民作为信息主体的私域自主权利,而且容易诱发信息网络犯罪,给公民的生活安宁、人身财产安全带来诸多风险,因此,应当对单纯的手机号码给予刑法上的保护。