●徐雄杰 葉丹楓/文

日益發(fā)展、豐富的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)行為催生了一個超地域性的網(wǎng)絡(luò)虛擬社會，現(xiàn)實中的問題也投射到網(wǎng)絡(luò)虛擬社會中，而依存于其中的網(wǎng)絡(luò)犯罪行為更是異化為一種不同于傳統(tǒng)刑事犯罪行為，具有犯罪現(xiàn)場和空間的虛擬性、犯罪行為隱蔽性、犯罪手段智能性、犯罪危害擴散性等特征。[1]《刑法修正案（七）》將侵犯個人信息行為納入到刑法的規(guī)制中來，雖理論界仍存在不少質(zhì)疑的聲音，但侵犯公民個人信息犯罪的高發(fā)態(tài)勢，而且與電信網(wǎng)絡(luò)詐騙等犯罪呈合流態(tài)勢的現(xiàn)實卻證明對侵犯個人信息的刑法規(guī)制，[2]其問題并不在于該種行為是否入罪，而在于如何構(gòu)建起一套貼近現(xiàn)實、具有可操作性的規(guī)制體系。后《刑法修正案（九）》中對《刑法修正案（七）》中相關(guān)規(guī)定進行調(diào)整，將出售、非法提供公民個人信息罪和非法獲取公民個人信息罪罪名，統(tǒng)一為“侵犯公民個人信息罪”。《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱 “《解釋》”）中則進一步明確了“公民個人信息”的定義，但從更長遠的角度來看，互聯(lián)網(wǎng)+大數(shù)據(jù)的蓬勃發(fā)展對公民個人信息安全提出了更高的要求，也為公民個人信息的界定提供了全新視角。

一、“公民個人信息”概述

（一）“公民個人信息”界定的不同學(xué)說

對于“公民個人信息”的立法界定存在概括式界定、列舉式界定等多種界定模式，除此之外學(xué)界對“公民個人信息”的界定亦存在基于個人信息的隱私性或識別性的界定模式。

學(xué)界在傳統(tǒng)上將隱私權(quán)界定為一種 “免受外界干擾的、獨處的”權(quán)利，隨著隱私概念的擴張，傳統(tǒng)的隱私權(quán)概念被賦予新的內(nèi)涵，將公民個人信息包括在其中，在德國與美國部分關(guān)于個人資料、個人信息保護的立法中也的確將公民的個人信息作為隱私來看待。但從權(quán)利的內(nèi)涵來看，公民對其個人信息所享有的權(quán)利與隱私權(quán)存在明顯的差異，法律對個人信息的保護以禁止隨意獲取、披露為表現(xiàn)形式，實質(zhì)是對公民控制其個人信息的尊重[3]。而姓名、身份證信息、電話信息等個人信息的搜集與管理是社會管理的必經(jīng)途徑，必須在一定范圍內(nèi)為人所周知，簡單地將公民個人信息與隱私等同起來與當(dāng)下社會治理的現(xiàn)實相悖。

在識別性界定模式中，公民個人信息是指根據(jù)信息與信息主體之間客觀存在的某一可能性，進而能夠確定個人身份的信息。具體是指公民的姓名、職業(yè)、身體情況等，這類信息與公民存在直接或間接的確定關(guān)系，對具有個體性特征的一條或者多條信息進行一定的數(shù)據(jù)處理便可以識別出特定的公民個人。相對于隱私性界定模式而言，識別性界定模式以承載個人信息的客體是否能夠被公眾或者他人所識別作為判斷個人信息的核心要素，將個人信息與個人數(shù)據(jù)這一概念進行了聯(lián)系，對個人信息的界定標(biāo)準(zhǔn)亦更為明確，因此在立法上的應(yīng)用更為普遍。

（二）我國對“公民個人信息”的界定

在我國的立法中，“公民個人信息”這一表述最早出現(xiàn)在《刑法修正案（七）》中?！缎谭ㄐ拚福ㄆ撸返?條規(guī)定了兩種典型侵犯公民個人信息的犯罪，即出售、非法提供公民個人信息犯罪，竊取、非法獲取公民個人信息犯罪?！缎谭ㄐ拚福ㄆ撸窂浹a了在刑法領(lǐng)域?qū)駛€人信息保護的空白，且直接表述為“公民個人信息”，意味著對公民個人信息的保護從原來通過保護隱私權(quán)、人格權(quán)等間接保護變?yōu)楝F(xiàn)在的直接保護。但同時，在《刑法修正案（七）》中把犯罪對象設(shè)定為國家機關(guān)或者單位的工作人員利用履職或者是向他人提供服務(wù)時所取得的有力地位而獲得的公民個人信息，人為地將犯罪對象的范圍作了縮小規(guī)定，而且更重要的是并未對公民個人信息作出具體的界定。

在隨后《最高人民法院、最高人民檢察院、公安部關(guān)于依法懲處侵犯公民個人信息罪活動的通知》中，公民個人信息被界定為“包括公民的姓名、年齡、有效證件號碼、婚姻狀況、工作單位、學(xué)歷、履歷、家庭住址、電話號碼等能夠識別公民個人身份或者涉及公民個人隱私的信息、數(shù)據(jù)資料”。在列舉常見的公民個人信息同時，對公民個人信息的識別性與隱私性作出概括性的規(guī)定，這是對公民個人信息的界定作出的有益嘗試，但在界定模式上搖擺于識別性與隱私性之間，而且以通知的形式作出界定，在正式性上存在缺失。

《刑法修正案（九）》對《刑法修正案（七）》中保護公民個人信息的相關(guān)規(guī)定作出修改，將原有的兩個罪名修訂為“侵犯公民個人信息罪”，在一定程度上彌補了《刑法修正案（七）》對侵犯公民個人信息類犯罪的立法不足，將全體公民均納入到公民個人信息犯罪主體的范疇，使刑法對公民個人信息的保護作用得到更好地發(fā)揮。《刑法修正案（九）》雖仍未對“公民個人信息”作出明確的界定，但跳出了《刑法修正案（七）》中犯罪主體范圍狹窄的困境，將犯罪主體的范圍擴大到任何公民和組織，基本解決了對一些非國家機關(guān)工作人員或者特定單位工作人員實施侵犯公民個人信息犯罪行為打擊不能的問題，更好地滿足了時代發(fā)展的新要求。

根據(jù)2017年6月1日開始施行的 《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條的規(guī)定，公民個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等”。該《解釋》是在立法層面上第一次對“公民個人信息”作出明確的界定，采用識別性界定模式將可以指向于特定公民個體的信息作為公民個人信息，并對常見的公民個人信息進行列舉，結(jié)合《解釋》中關(guān)于“非法獲取”的認(rèn)定標(biāo)準(zhǔn)、侵犯公民個人信息罪的定罪量刑標(biāo)準(zhǔn)等規(guī)定，“侵犯公民個人信息罪”的適用有了更為可靠的法律基礎(chǔ)。

二、界定“公民個人信息”的大數(shù)據(jù)背景

（一）大數(shù)據(jù)運作的特點

從字面上看大數(shù)據(jù)指的是規(guī)模龐大的數(shù)據(jù)，但僅從規(guī)模上理解大數(shù)據(jù)，不能有效地體現(xiàn)出大數(shù)據(jù)的價值?，F(xiàn)有的界定中往往從大數(shù)據(jù)的特征出發(fā)，通過對大數(shù)據(jù)的特征進行歸納從來得出定義。[4]大數(shù)據(jù)價值的實現(xiàn)有賴于多種技術(shù)的統(tǒng)一協(xié)同應(yīng)用，從大數(shù)據(jù)“收集—分析—量化服務(wù)”的運作模式來看，其運作有以下兩個特點：

第一，大數(shù)據(jù)運作所收集的數(shù)據(jù)與公民個人信息密切相關(guān)。大數(shù)據(jù)的應(yīng)用是以人為對象的，對其分析之后指引某一商業(yè)行為，其指向的亦是用戶個體。所以大數(shù)據(jù)所收集的原始數(shù)據(jù)雖來源復(fù)雜、數(shù)目繁多，但目標(biāo)始終是個體的信息，數(shù)據(jù)收集方法的改進也是以更加有效收集公民個人信息為目的的。

第二，數(shù)據(jù)分析是大數(shù)據(jù)處理的核心。大數(shù)據(jù)關(guān)鍵在于數(shù)據(jù)分析和利用，[5]而大數(shù)據(jù)的價值直接產(chǎn)生于分析過程中。規(guī)模大并不意味這價值高，數(shù)據(jù)規(guī)模增長之后對數(shù)據(jù)分析的要求進一步提高，數(shù)據(jù)的擁有者在利用數(shù)據(jù)前需要在預(yù)處理后對數(shù)據(jù)進行分析，才能實現(xiàn)更有效的利用，并且對相關(guān)數(shù)據(jù)的分析方式和分析深度的不同，也影響著信息的開發(fā)程度及其背后的獲利程度。

（二）大數(shù)據(jù)時代公民個人信息所面臨的風(fēng)險

作為商業(yè)手段與政府管理輔助工具的大數(shù)據(jù)格外引人注目，但在頻頻吸引大眾青睞的同時，隱含在大數(shù)據(jù)之下對公民個人信息保護的威脅亦不容忽視，其具體表現(xiàn)在以下幾個方面：

首先是公民個人信息在不知情的情況下被收集。當(dāng)用戶在使用互聯(lián)網(wǎng)時，除了經(jīng)過用戶許可的而被收集的個人信息之外，互聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)軌跡往往是在未經(jīng)授權(quán)的情況下被收集。從技術(shù)層面上來看，使用網(wǎng)絡(luò)爬蟲獲取特定網(wǎng)頁信息已是了解互聯(lián)網(wǎng)用戶的個性化需求的常用手段，[6]在商業(yè)利益的推動下，網(wǎng)絡(luò)爬蟲技術(shù)的進步使得抓取網(wǎng)頁中的公民個人信息愈發(fā)高效，且其準(zhǔn)確性也不斷提升，而在上述信息被抓取時，互聯(lián)網(wǎng)用戶并未獲得有效的提示。

其次是網(wǎng)絡(luò)服務(wù)提供商在未經(jīng)同意的情況下推送服務(wù)。當(dāng)下互聯(lián)網(wǎng)用戶使用互聯(lián)網(wǎng)的日常中，其使用搜索引擎或購物網(wǎng)站搜索某一項物品之后，在一段時間內(nèi)瀏覽其它網(wǎng)站，網(wǎng)頁廣告欄中常會出現(xiàn)相關(guān)物品的推薦，即當(dāng)用戶在互聯(lián)網(wǎng)上所表露的某一需求被獲取并識別后，網(wǎng)絡(luò)服務(wù)提供者能通過技術(shù)手段得知用戶的具體需求，并推送個性化的信息，而在這一過程中用戶無法自主選擇是否接受此類推送。

最后是公民個人信息被隨意共享和交易。在個人數(shù)據(jù)被秘密收集、分析的同時，更為觸目驚心的是對包括公民個人信息在內(nèi)的個人數(shù)據(jù)分享、交易，2016年7月20日，公安部官網(wǎng)《公安機關(guān)打擊整治網(wǎng)絡(luò)侵犯公民個人信息犯罪成效顯著》的報道中提到全國公安機關(guān)累計查破刑事案件750余起，繳獲信息達230億條。[7]

三、界定“公民個人信息”的價值取向

價值是法律科學(xué)的基本范疇之一，在統(tǒng)一而完整的法律體系中，每一款法律條文都體現(xiàn)著一定的價值，法律價值的明確不僅有利于對現(xiàn)有若干法律概念的分析，而且可以對相關(guān)概念的進一步解讀提供基本方向。

法律的價值不是互斥或者單一的，而是一個多元的、雖有內(nèi)在沖突但仍相互聯(lián)系滲透的有機整體。界定“公民個人信息”的價值取向就是界定“公民個人信息”時所追求的具體理想目標(biāo)。毋庸置疑，大數(shù)據(jù)技術(shù)正在改變每個人的生活，在給互聯(lián)網(wǎng)用戶的生活帶來便利的同時，也需要互聯(lián)網(wǎng)用戶讓渡出部分權(quán)利。大數(shù)據(jù)背景下的公民個人信息保護以個人信息權(quán)利保護原則與信息自由流動原則為基礎(chǔ)，在承認(rèn)公民個人信息理應(yīng)得到充分保護的同時，也需要認(rèn)識到大數(shù)據(jù)的應(yīng)用也需要包含公民個人信息在內(nèi)的個人數(shù)據(jù)的自由流通，因此不能將個人信息保護絕對化。[8]

從理想的角度來看，用法律手段對公民個人信息進行保護時，需要兼顧“權(quán)利保護”與“自由流動”?！皺?quán)利保護”與“自由流動”最理想的狀態(tài)是相輔相成的狀態(tài)，當(dāng)公民個人信息得到妥善的保護時，公民基于其個人信息受到充分保護的信任，積極參與交易，使得有足夠的信息得以流動，為大數(shù)據(jù)產(chǎn)業(yè)提供支撐，而信息自由流通所帶來的收益使得信息獲取者更加珍視真實、可靠的信息提供者，出于自身利益考量也積極保護公民個人信息。

從現(xiàn)實的角度來看，作為一項權(quán)利，公民個人在其個人信息中所體現(xiàn)的權(quán)利與網(wǎng)絡(luò)服務(wù)提供商的對抗中處于弱勢地位，各大網(wǎng)絡(luò)服務(wù)提供商著力深耕于大數(shù)據(jù)的情況下，個人信息處于幾乎毫無秘密可言的地步。針對當(dāng)下公民個人信息權(quán)利受到嚴(yán)重侵害的亂狀，在意識到兼顧“權(quán)利保護”與“自由流動”的同時，也需要適當(dāng)傾向于“權(quán)利保護”，以保護處于大數(shù)據(jù)爆發(fā)浪潮中的公民個人權(quán)利。因此在界定“公民個人信息”時，尤其是在大數(shù)據(jù)視角下界定“公民個人信息”時，需要將所有可以指向于公民個人的信息以及數(shù)據(jù)納入到公民個人信息中來。

四、以匿名化與具體情境判斷為依據(jù)的“識別”

大數(shù)據(jù)所抓取的是整體性的海量數(shù)據(jù)，對數(shù)據(jù)進行分析之后才能進行應(yīng)用，判定所獲取的數(shù)據(jù)是否與公民個人相關(guān)聯(lián)時，也較普通的信息更為復(fù)雜。大數(shù)據(jù)本身是一個“信息生態(tài)系統(tǒng)”，由數(shù)據(jù)到信息再到知識價值，是一個動態(tài)過程，因此認(rèn)定大數(shù)據(jù)中的公民個人信息也是一個以“識別”為核心的動態(tài)過程。

（一）基于匿名化技術(shù)的“可識別”

就可以直接指向于公民個人的網(wǎng)絡(luò)數(shù)據(jù)而言，其識別標(biāo)準(zhǔn)在于技術(shù)層面，即網(wǎng)絡(luò)數(shù)據(jù)被收集之后，所采用的匿名隱私保護技術(shù)是否能夠保證公民個人不被識別。大數(shù)據(jù)所收集的網(wǎng)絡(luò)數(shù)據(jù)是整體數(shù)據(jù)，匿名化是整體數(shù)據(jù)與需要予以保護的、可識別個人信息的個人數(shù)據(jù)的界限，這主要是技術(shù)層面的問題。目前常用的個人信息保護技術(shù)主要有基于數(shù)據(jù)失真的保護技術(shù)、基于數(shù)據(jù)加密的保護技術(shù)和基于數(shù)據(jù)匿名化的保護技術(shù)，[9]其中數(shù)據(jù)匿名化技術(shù)憑借其數(shù)據(jù)缺損小、計算成本低的優(yōu)點，得到越來越廣泛的應(yīng)用。

當(dāng)然，數(shù)據(jù)挖掘、分析技術(shù)是不斷發(fā)展的，目前所能做到的匿名化可能在短短幾年內(nèi)就落后于時代，同時匿名化技術(shù)尚無明確的界定標(biāo)準(zhǔn)，試圖對匿名的效果做出絕對化的判斷是不嚴(yán)謹(jǐn)，這也為基于情境價值判斷的“間接識別”留下發(fā)揮作用的空間。

（二）基于具體情境判斷的“間接識別”

就不能直接指向于公民個人的網(wǎng)絡(luò)數(shù)據(jù)而言，判斷其是否屬于公民個人信息需要在具體的情景中進行。間接識別的情形下，憑借其他附加的信息，個人可以被區(qū)分出來。一些屬性僅憑借自身就能獨特地識別，另外一些可能需要借助與其他屬性的關(guān)聯(lián)來識別。

在判斷特定類型敏感數(shù)據(jù)外的其他數(shù)據(jù)是否落入公民個人信息的范圍內(nèi)，可以參考借鑒的標(biāo)準(zhǔn)有三種，即目標(biāo)數(shù)據(jù)的類型、目標(biāo)數(shù)據(jù)的組合方式、目標(biāo)數(shù)據(jù)的時間延續(xù)性。以個人支付賬號為例，如果其中的支付記錄、收貨方式被竊取，即使姓名及電話號碼等可直接識別特定人的信息被隱藏，長時間對間接信息的分析，不難得出特定人的位置信息、交易習(xí)慣、購買傾向等。

結(jié)語

就公民個人信息的法律界定而言，一切能夠單獨或者與其他信息結(jié)合識別特定人的信息都屬于公民個人信息，那么相互結(jié)合后即可指向于特定自然人的網(wǎng)絡(luò)數(shù)據(jù)也應(yīng)屬于公民個人信息。明確大數(shù)據(jù)視角下公民個人信息的界定標(biāo)準(zhǔn)是公民個人信息權(quán)利保護的第一步，當(dāng)下蓬勃發(fā)展的大數(shù)據(jù)產(chǎn)業(yè)在帶來機遇的同時，也伴生著風(fēng)險——公民個人信息一旦泄露之后幾乎沒有補救的手段，這更需要在產(chǎn)業(yè)發(fā)展的源頭就構(gòu)筑起完備的保護制度。

注釋：

[1]參見張宗亮：《全球化背景下的網(wǎng)絡(luò)犯罪及其控制對策》，載《中國人民公安大學(xué)學(xué)報》2003年第4期。

[2]參見最高人民法院就發(fā)布《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》答記者問，http://www.court.gov.cn/zixun-xiangqing-43932.html，訪問日期：2017年6月6日。

[3]王利明：《隱私權(quán)概念的再界定》，載《法學(xué)家》2012年第1期。

[4]參見孟小峰、慈祥：《大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)》，載《計算機研究與發(fā)展》2013年第1期。

[5]參見李滿意：《大數(shù)據(jù)安全》，載《保密科學(xué)技術(shù)》2012年第9期。

[6]于娟、劉強：《主題網(wǎng)絡(luò)爬蟲研究綜述》，載《計算機工程與科學(xué)》2015年第2期。

[7]參見中華人民共和國公安部：《公安機關(guān)打擊整治網(wǎng)絡(luò)侵犯公民個人信息犯罪成效顯著》，http://www.mps.gov.cn/n2253534/n2253535/n2253537/c5429869/content.html，訪問日期：2017年6月12日。

[8]王昭武、肖凱：《侵犯公民個人信息犯罪認(rèn)定中的若干問題》，載《法學(xué)》2009年第12期。

[9]譚瑛：《數(shù)據(jù)挖掘中匿名化隱私保護研究進展》，載《科技導(dǎo)報》2013年第1期。