近日,最高人民法院发布第35批共4件依法保护公民个人信息的刑事指导性案例,明确对人脸识别信息、居民身份证信息、社交媒体账号、手机验证码等公民个人信息的刑法保护,有效回应了社会公众关切,化解了刑事司法中个人信息保护的一些疑难问题。
我国刑法关于个人信息保护的条款诞生于前数字经济时代,是在专门立法即个人信息保护法诞生之前的“先行立法”,其率先通过刑事制裁打击严重侵犯个人信息权益的行为,而与之相对应的民事与行政立法却长期阙如。随着数字经济时代到来以及个人信息保护法颁布实施,“两个时代”立法并存的规范现实,以及实践中不断增加的个人信息保护的司法诉求,对公民个人信息的刑法保护提出了多重挑战,具体表现在三个方面:
一是个人信息保护范围随时代发展发生变迁。技术的不断进步和社会的快速发展重塑了个人信息的保护范围,一些信息过去没有被认定为个人信息,现在却被认为具备了个人信息的属性,依法应当受到刑法保护。以电话号码为例,过去司法机关倾向于认为电话号码没有达到能够单独或者与其他信息相结合识别特定自然人的程度,不是刑法所保护的“公民个人信息”。而在当下,实名登记制的实施在很大程度上提高了电话号码的可识别性,加之电话号码的泄露常常是电信诈骗等违法犯罪的源头,因此有必要对电话号码及其衍生信息予以强化保护。此次发布的指导性案例“罗文君、瞿小珍侵犯公民个人信息刑事附带民事公益诉讼案”明确,电话号码属于能够与其他信息结合识别自然人状况,手机验证码具有识别、验证个人身份的通信内容,二者均属于刑法所保护的个人信息范畴。
二是对于新型个人信息如何通过刑法进行保护。根据个人信息保护法相关规定,人脸(生物)识别信息属于敏感个人信息,需要受到特别保护。在当今时代,由于人脸信息的易获取性以及无感抓拍等行为具有普遍性,如果刑法不加甄别地将所有人脸信息均认定为个人信息,则凡是未经信息主体同意发布包含他人人脸信息的照片、短视频等行为都有可能涉嫌侵犯公民个人信息罪,由此势必制造出大规模的犯罪化,这恐怕与社会生活现实以及刑法谦抑性理念相违背。基于此,指导性案例“李开祥侵犯公民个人信息刑事附带民事公益诉讼案”侧重于禁止以非法技术手段处理人脸信息,明确使用人脸识别技术处理的人脸信息以及基于人脸识别技术生成的人脸信息均具有高度的可识别性,属于刑法规定的公民个人信息,适度限定了侵犯人脸信息涉罪的成立范围,从而既有效保护了人脸信息,又避免将刑法处罚范围扩张得过宽过广。
三是如何协调有关个人信息保护的法律之间的衔接。由于个人信息保护法颁布实施后,刑法及相关司法解释并没有作出对应调整,因而个人信息保护法和刑法不可避免地存在一定程度的制度断层。为了进一步明确裁判规则,指导性案例“李开祥侵犯公民个人信息刑事附带民事公益诉讼案”明确人脸信息属于《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中规定的“其他可能影响人身、财产安全的公民个人信息”,在坚守罪刑法定原则的同时关照了个人信息保护法关于敏感个人信息保护的规定。指导性案例“闻巍等侵犯公民个人信息案”对居民身份证件信息内容的规范解构,以及指导性案例“熊昌恒等侵犯公民个人信息案”对社交媒体账号中已公开个人信息的公开范围、目的与用途的审查,均体现了刑事司法在个人信息犯罪认定时注重刑法与个人信息保护法的有序衔接。
在个人信息保护法颁布实施、刑事司法解释尚未来得及修改的“关键过渡期”,最高人民法院颁布这批指导性案例明确裁判规则,使得公民个人信息刑法保护更加有章可循,进一步筑牢了以刑法为保障的“最后一道防线”。指导性案例一方面明确,要在恪守罪刑法定原则的基础上灵活解释构成要件,参酌援引个人信息保护法等前置法中的有关规定,合理认定侵犯个人信息犯罪,实现对人脸信息等新型个人信息的合理保护。另一方面,指导性案例也明确要坚守刑法的谦抑性,以便在公民个人信息有效保护与数字经济健康发展之间寻求合理平衡。