刑法視閾中的“公民個人信息”解讀

劉 偉

（山東政法學(xué)院 刑事司法學(xué)院，山東 濟南 250014）

一、問題的緣起

在大數(shù)據(jù)時代背景下，侵犯公民個人信息犯罪呈現(xiàn)出兩大特點：一是犯罪形勢發(fā)生新變化，發(fā)案數(shù)與追訴率出現(xiàn)“雙增”態(tài)勢；二是新技術(shù)、新商業(yè)模式迅猛發(fā)展，個人信息刑事立法面臨新挑戰(zhàn)，相關(guān)法律法規(guī)被動作出適應(yīng)性調(diào)整，反映出立法者自身的糾結(jié)與觀點的游移。因此，新形勢下刑事實體法如何對公民個人信息進行科學(xué)界定與解讀已迫在眉睫。2017年兩高出臺解釋，對侵犯個人信息罪的信息分類、定罪量刑標(biāo)準(zhǔn)等社會關(guān)注焦點作了回應(yīng)，可看出該司法解釋努力嘗試為實務(wù)提供統(tǒng)一性認識，但歸咎于罪狀表述和概念概括的高度抽象，“法律議案轉(zhuǎn)變?yōu)榉尚问胶?，并不意味著人們對法律?guī)定有著完全一致的理解，法律適用過程仍然是一個意義闡釋過程?！盵1]時至今日，對于“公民個人信息”的含義把握，學(xué)界在一些關(guān)鍵性理論問題上仍存爭執(zhí)，實務(wù)部門在適用該罪名時也依然難達統(tǒng)一，其他相關(guān)法律法規(guī)也缺乏統(tǒng)一認識，個人信息犯罪問題的棘手與復(fù)雜可見一斑。

綜合國內(nèi)現(xiàn)有研究成果，對公民個人信息的爭辯可歸納為三種：一是狹義觀，認為公民個人信息就是公民個人身份識別信息，以《網(wǎng)絡(luò)安全法》和《個人信息保護法（草案）》為代表；二是中義觀，認為個人信息包括兩大類，即“公民個人身份識別信息+公民個人活動情況信息”，以《解釋》為代表，體現(xiàn)出刑事法規(guī)一方面超越于其他法律對于著力保護公民人身財產(chǎn)安全的價值追求，另一方面?zhèn)鬟_出嚴懲個人信息犯罪的嚴厲態(tài)度；三是最廣義說，是刑法學(xué)界一些學(xué)者對于公民個人信息的含義理解明顯寬泛于法律法規(guī)的例證，認為包括四類個人信息，第一類是能夠用于識別特定公民的個人信息，且該信息被他人惡意或者非法利用時會對特定自然人的生活和安寧造成威脅或損害；第二類是特定個人主觀上不希望被他人所獲取并擴散，且在社會生活中具有保護價值的信息；第三類是具有個人隱私屬性的公民信息；第四類是與特定公民個人相關(guān)聯(lián)并可識別特定個人的信息。[2]此外，在對個人信息核心屬性的判斷上，也有不同觀點，一是認為公民個人信息具有“可識別性”的基本特性，一是“隱私性”也是公民個人信息的核心屬性，還有將兩者結(jié)合起來進行認定的折中觀點。

二、公民個人信息的刑法界定：原則與方法

毋庸置疑，公民個人信息的開發(fā)利用是促進社會發(fā)展進步的重要工具，極大促進商品流通和市場經(jīng)濟的高效運轉(zhuǎn)，創(chuàng)造更多的經(jīng)濟價值，也可以更好地服務(wù)政府決策，提升社會管理效能。但如若缺乏對公民個人信息的科學(xué)認定，則在邏輯起點上就陷入混亂狀態(tài)，進而影響法律規(guī)范的運行與社會效益的產(chǎn)生。在刑事法框架下，侵犯公民個人信息罪的犯罪對象是公民個人信息，準(zhǔn)確界定“公民個人信息”的范疇，對該罪的正確適用具有基礎(chǔ)性作用。

（一）界定之原則——全面保護，寬窄適度，寧寬不窄

信息網(wǎng)絡(luò)技術(shù)的進步往往遠超社會管理制度的調(diào)整幅度，公民個人信息背后所蘊藏的淺層次價值不斷被發(fā)掘成為深層次價值，個人信息的“價值含金量”不斷增加，另一方面，隨著愈來愈多的公民個人信息為社會所重視，個人信息的迅猛發(fā)展也使得其內(nèi)容范疇不斷增加，“公民個人信息”的概念則一直處在難以確定的長久變動之中。[3]

作為刑事實體法的基本原則，罪刑法定要求立法機關(guān)對公民個人信息的范圍劃定必須科學(xué)合理，范圍設(shè)定不能過于狹窄，“過窄”的理論依據(jù)主要是將刑事法中所保護的公民個人信息等同于民事法中的個人隱私，將不具有隱私性特征的公民個人信息限制在刑法范疇保護范圍之外。這種可以被稱為“狹義說”的觀點有其傳承的立法實踐，在國外立法上，歐盟的“E-Privacy Directive”就是在保護公民個人信息的隱私權(quán)基礎(chǔ)上而確立的，美國關(guān)于個人信息保護立法也基本上持同樣的狹義觀點。在司法實務(wù)中“過窄”的認定主要表現(xiàn)為兩種，一是將個人信息等同于“個人隱私”。將保護客體限定在隱私范疇，僅關(guān)注是否侵害公民個人隱私權(quán)。此種觀點的不合理之處在于在現(xiàn)實生活中，任何公民都存在著大量的雖不具有隱私屬性，或已經(jīng)過其他公開途徑已公開或半公開的個人信息，這些信息如若為他人非法利用，一樣會成為侵犯個人信息犯罪所侵害的對象。另一種是將個人信息僅認定為用于“識別公民個人身份”的信息，其關(guān)注點僅在于“信息可識別性”。而若只限定個人信息是用于識別具體個人的信息，那么在實務(wù)中一些本身隱私屬性較強但識別性稍差的大量信息就將被排除在保護范圍之內(nèi)，同樣不利于對侵犯個人信息犯罪的打擊。

此外，結(jié)合犯罪新變化及對未來犯罪發(fā)展態(tài)勢預(yù)估，公民個人信息的泄露范圍不斷呈現(xiàn)出復(fù)雜化、多樣化、專業(yè)化、職業(yè)化的趨勢，因此信息保護的范圍也理應(yīng)隨之予以擴大。信息泄露與被侵害行業(yè)開始轉(zhuǎn)移到互聯(lián)網(wǎng)服務(wù)、快遞和賓館住宿業(yè)，泄露的信息來源為相關(guān)行業(yè)服務(wù)內(nèi)部存儲平臺中的客戶個人信息數(shù)據(jù)。信息泄露的危害與范圍遠超普通人的善良想象，受害者幾乎囊括你、我、他在內(nèi)的每一個社會公民，任何人無從幸免。

當(dāng)然，伴隨著未來公民個人信息的無限擴容，對于公民個人信息的認定也不能“過寬”，寬到無所不包。個人信息的界定是科學(xué)而嚴肅的，既要解決“信息保護的必要”又要解決“信息利用的必要”，個人信息作為龐大體系，在內(nèi)容上包括個人身份基本信息、行為信息、信用信息、動態(tài)信息等，甚至所有和公民個人相關(guān)的信息。從信息是否已經(jīng)公開，可以分為個人公開信息和不公開信息。此外，個人信息還包括本身不具備傳統(tǒng)專屬性和可識別性的大量關(guān)聯(lián)信息。在信息時代，大數(shù)據(jù)技術(shù)的發(fā)展使得多種（或多件）非個人信息疊加關(guān)聯(lián)后，就能夠形成清晰的公民數(shù)字形象，而這些原有的非公民個人信息單獨來看不具有可識別性和專屬性特征，一旦關(guān)聯(lián)疊加后則甚至可能精確到公民個人身份認定和地理空間位置確定。而若對于此類關(guān)聯(lián)信息也一味地“全盤納入”，則認定過寬同樣不適應(yīng)信息時代發(fā)展的現(xiàn)狀和需要，比如會直接影響到信息的有效傳遞和利用，甚至?xí)袚p社會利益和公共管理，打著權(quán)利保障的旗號卻使公共利益遭受損失。因此對于個人公開信息和不具備傳統(tǒng)專屬性和可識別性的大量關(guān)聯(lián)信息則不能夠納入法律保護的個人信息的外延之中。

綜上分析，作為最后屏障的法律防線，作為遏制信息犯罪的最強武器，對個人信息的界定，刑事法應(yīng)當(dāng)保持適度前瞻，采取主動適應(yīng)式的動態(tài)調(diào)整。既立足犯罪現(xiàn)狀，又充分預(yù)測和考量犯罪發(fā)展，才能使刑法條文更有效地應(yīng)對網(wǎng)絡(luò)犯罪，增強法條生命力與司法裁判的正確性。[4]從法理學(xué)司法現(xiàn)實主義的視角進行剖析，這樣的做法也更為符合國家所積極倡導(dǎo)“法律效果與社會效果和諧統(tǒng)一”“讓群眾在個案中感受到公平正義”的刑事政策，也更能夠體現(xiàn)出司法注重法律的社會控制功能。[5]所以在當(dāng)前時期，更應(yīng)堅持“以人為本”的人文理念，以私權(quán)利保障為核心理念，對于公民個人信息的劃定上應(yīng)寬窄有度，著重體現(xiàn)全面保護和最優(yōu)限度保護的原則，在保護范圍寬窄尺度的選擇上，要做到寧寬不窄。因為這樣才能契合刑事立法在個人信息保護范圍逐步擴大化和保護力度增強化的宗旨。

一言以蔽之，在認定個人信息的立法與司法態(tài)度上，應(yīng)正視網(wǎng)絡(luò)信息時代個人信息保護所面臨的嚴峻現(xiàn)實，妥善解決個人信息保護問題的新挑戰(zhàn)，在衡平信息開發(fā)與信息保護的兩元關(guān)系時，充分考慮雙方的“平等武裝”，適度向個人信息保護方面進行傾斜和關(guān)照，適度擴大公民個人信息的保護范圍，使刑法由“限定的處罰”轉(zhuǎn)向“妥當(dāng)?shù)奶幜P”。[6]從而實現(xiàn)保障公民合法權(quán)利的最大化、最優(yōu)化的司法目的。

（二）界定之方法——要件特征判斷法

海量存在的公民個人信息是大數(shù)據(jù)時代的鮮明特征，相較于傳統(tǒng)時代抑或信息時代的早期發(fā)展階段，公民個人信息的基本內(nèi)涵、儲存方式、傳播手段和侵害形式均已發(fā)生巨大嬗變，無論是在民事法還是刑事法領(lǐng)域，對公民個人信息進行保護的運行思路均要作出相應(yīng)調(diào)整。而法律調(diào)整的首要前提是如何科學(xué)合理地界定“公民個人信息”，也就是必須首先界定法律所要保護的對象范圍。按照以往的立法認知和司法解釋，認定公民個人信息基本奉行兩大標(biāo)準(zhǔn)：一是“可識別”，二是“隱私”，可以將其簡稱為“兩標(biāo)準(zhǔn)法”。隨著信息科技的迅猛發(fā)展，采用兩標(biāo)準(zhǔn)法，已無法適用司法實踐的現(xiàn)實需要，一些特殊性網(wǎng)絡(luò)信息無法依據(jù)兩標(biāo)準(zhǔn)法被排除或者被納入個人信息的認定范疇，從而影響司法判斷與犯罪裁量，甚至?xí)萑搿巴镄胁町愓J定”“同罪行相反認定”等司法不公的窘境。因此，必須采用更加科學(xué)合理、可操作性強的認定標(biāo)準(zhǔn)或者方法，對個人信息予以正確判定，才符合刑事司法的發(fā)展規(guī)律和個人信息的未來趨勢。

所以，為在上述困境中尋求理論突破，有必要在傳統(tǒng)“可識別+隱私”兩標(biāo)準(zhǔn)法的基礎(chǔ)上，首先完善公民個人信息的“要件特征”，歸納出個人信息的基本屬性，然后嚴格依照個人信息的“要件特征判斷法”，即在歸納總結(jié)個人信息的構(gòu)成要件特征的基礎(chǔ)上，將符合特征的信息納入刑法保護范圍。結(jié)合公民個人信息的自然屬性和法律屬性，個人信息的構(gòu)成要件可歸納為五大特征，即專屬性、權(quán)利性、私密性、可識別性和應(yīng)受保護性。

1.專屬性。公民個人信息的專屬性源于信息與主體的關(guān)聯(lián)性，屬于特定自然人專有，該信息與特定自然人具有“直接相關(guān)”屬性，能直接映射該自然人的整體或局部特性，且該信息一經(jīng)取得或使用就會對信息所映射的特定人產(chǎn)生潛在或現(xiàn)實的直接影響。專屬性要求除了信息所有的特定人，其他人在獲取或使用該信息時，應(yīng)尊重該人的真實意愿或自由的意思表示，也表明了其他人除非征得同意外，無權(quán)了解、掌握和接觸該自然人個人信息。禁止采用一切非法手段（此非法手段應(yīng)作全面理解，即法律明確作出的禁止性規(guī)定，也包括違背行業(yè)規(guī)范，甚至僅是違背社會公序良俗的手段與行為）獲取他人信息。

2.權(quán)利性。個人信息權(quán)利是信息社會中公民基本權(quán)利的一部分，個人信息作為自然存在物的信息載體，承載并映射大量的與信息主體緊密相連的私權(quán)利，包括信息主體的知情權(quán)、查詢權(quán)、異議與糾錯權(quán)、可攜帶權(quán)、信息公布權(quán)和安全權(quán)。公民信息一旦遭受泄露或非法提供、獲取并被使用，則特定人的私權(quán)利則會處于潛在或現(xiàn)實的危險狀態(tài)，權(quán)利侵害的后果將會發(fā)生。一方面，公民個人有對自己的個人信息自由支配和使用的權(quán)利，同時還享有保障個人信息安全的權(quán)利。因此在此意義上的公民安全權(quán)利，除了傳統(tǒng)意義上的生命健康、財產(chǎn)安全以外，個人信息安全也應(yīng)屬于公民的基本權(quán)利。另一方面，公民個人信息在網(wǎng)絡(luò)社會中扮演著極為重要的數(shù)據(jù)角色，既直接關(guān)乎公民的私權(quán)利保障，也牽連到公私領(lǐng)域?qū)τ趥€人信息的占有和利用，甚至?xí)绊懙缴鐣刃蚝蛧野踩妗?/p>

在個人信息安全保障的前提下，應(yīng)秉持“以人為本”的保護理念。因為個人信息數(shù)據(jù)是專屬于公民的私權(quán)利，保護個人信息私權(quán)利是維護國家利益和社會秩序的基礎(chǔ)，假若公民私權(quán)利都得不到國家和社會提供的合理保護，那么更談不上對于社會秩序和國家利益的維護。所以公民個人信息的私權(quán)利性是其根本屬性。

3.私密性。刑法學(xué)界普遍認為侵犯個人信息罪所保護的對象是個人信息自由、安全和隱私權(quán)。隱私權(quán)在通常情形下指的是公民掌控其個人信息，自主決定個人信息在何時、以什么方式、向哪些人公開以及公開程度的權(quán)利。[7]隨著公民個人權(quán)利保護意識的增強，隱私被賦予了更為寬泛的含義?？梢灶A(yù)見的是，在未來刑法保護的范疇內(nèi)，若將個人信息保護對象僅局限在一般法律意義上的“個人隱私”，則遠不能涵蓋所應(yīng)保護法益的合理精神，應(yīng)將信息載體中的“個人隱私”擴展至“個人私密”。私密指公民個人擁有的對他人（除自己以外）所有能隱瞞或拒絕他人接觸的私人事務(wù)和信息資料，私密不等同于隱私，私密信息的范圍包涵但不限于隱私。個人信息天然帶有不可侵犯之“私密性”，“私密性”在刑法保護的范圍內(nèi)應(yīng)作廣義理解。它不同于民法中的“個人隱私權(quán)”，既包括一般意義上的涉及隱私權(quán)的信息，也包括一些非隱私而盡量不愿為更多他人所知悉的信息。同樣，在司法實務(wù)中對“私密性”的考量與認定也應(yīng)該持開放態(tài)度，既包括客觀與主觀上都完全不公開的信息，還包括在一定范圍內(nèi)公開但對于普通公眾并不完全公開的信息。

4.可識別性?？勺R別性一直作為界定個人信息的傳統(tǒng)核心要件，具不具備可識別性是界別個人信息的通識，一些經(jīng)過自然識別或技術(shù)處理仍無法識別特定個體的信息，即使能夠映射特定個體的社會狀況或活動，但若與特定人無直接性關(guān)聯(lián)，依然不能納入公民個人信息的認定范疇。[8]在民法領(lǐng)域，王利明教授認為個人信息蘊含財產(chǎn)因素，具有可識別性，體現(xiàn)人格特征。[9]在刑法領(lǐng)域，張明楷教授也同樣堅持此觀點，并采列舉式羅列了包括公民姓名、年齡、履歷、家庭住址、電話號碼、電話通話清單、個人具體行蹤等屬于“個人信息”的信息，其共同核心特征就是“能夠識別”公民身份或涉及個人隱私。[10]

在《解釋》中也專門規(guī)定“經(jīng)過處理無法識別特定個人且不能復(fù)原的除外”，由此可見解釋進一步肯定了個人信息的可識別性，充分體現(xiàn)了對該觀點的立法支持。此外，從比較法視域分析，全球范圍內(nèi)個人信息保護法對于個人信息的判斷基本上均嚴格遵循“可識別性”的定義思路。例如，歐盟認為個人信息是“已被識別或能被識別的自然人信息”，法國界定為“通過特有因素可被直接或間接識別的自然人信息”，德國理解成“已識別或可識別的個人具體狀況的信息”，英國則規(guī)定是“可識別在世個人的數(shù)據(jù)”?？梢姡煌瑖一虻貐^(qū)均將“可識別性”作為公民個人信息最核心最本質(zhì)的要件特征。[11]

可識別性之所以能夠作為傳統(tǒng)核心界分要件，確實具有不可替代的邏輯優(yōu)勢，通過特定信息能夠準(zhǔn)確與特定個體產(chǎn)生緊密聯(lián)系甚至達到同一認定，毫無疑問是個人信息認定的重要途徑。一個不能識別特定個體的信息怎能稱其為公民個人信息？但值得注意的是，在傳統(tǒng)生活或網(wǎng)絡(luò)時代早期，可識別性的優(yōu)勢顯而易見，因為通過客觀外象甄別信息的可識別性是非常容易的，隨著信息科技的高速發(fā)展，可識別性的優(yōu)勢地位受到挑戰(zhàn)，理論受到來自現(xiàn)實的沖擊。單純依賴可識別性進行界分公民個人信息的方法也面臨巨大質(zhì)疑，一是隨著信息識別技術(shù)的深度挖掘，如何理解可識別性的問題?！敖?jīng)過處理識別”和“與特定自然人具有直接聯(lián)系”的說法在信息技術(shù)面前變得模糊，經(jīng)過深層次的大數(shù)據(jù)研判，使得原本認為根本無法識別的信息變成具有識別可能，原本認為與特定個體無聯(lián)系的信息，經(jīng)過云計算等分析手段，直接圈定了具體的特定自然人。二是不同行為主體的識別能力問題。同樣的信息為不同他人所掌握，他人具有非法獲取其他結(jié)合信息的能力且獲取了識別的綜合信息，那么能夠認定同樣的信息，對一個行為人認定，對另一人則不認定。侵害對象沒有改變，判斷依據(jù)僅在于行為主體的個人能力。如此是否公平？對此有兩種觀點：一種是判斷可識別性的標(biāo)準(zhǔn)應(yīng)嚴格掌握，不能任意降低標(biāo)準(zhǔn)，以普通公眾認知為準(zhǔn)，基于生活經(jīng)驗判斷；另一種是以懲罰犯罪，保護法益為出發(fā)點，就低不就高，以行為人實際掌握的能力為準(zhǔn)，即使普通公眾認為不是“私密信息”也不具有單獨識別性，但一旦落入犯罪人手中，其利用掌握的其他信息，進行間接識別特定自然人，并進而實施犯罪，此種情形也應(yīng)認定。

綜上，自1970年代個人信息保護法問世以來，“身份識別”定義法一直在沿用，但正如有學(xué)者指出的那樣，可識別與不可識別的判斷界限在云計算技術(shù)下變得模糊。[12]數(shù)據(jù)再識別已大大擴展了個人身份可識別信息的領(lǐng)域，使得法律保護的邊界更加難以確定，準(zhǔn)確界定個人信息的保護范圍也深陷困境。[13]所以，應(yīng)在堅持可識別性仍可作為認定個人信息的依據(jù)前提下，摒棄將其作為唯一要件的思想，只將其作為構(gòu)成要素之一進行綜合判斷。

5.應(yīng)受保護性。不需要受刑法特別保護的信息當(dāng)然不屬于刑事法視域下所關(guān)注的公民個人信息，公民個人信息應(yīng)具備受保護性的屬性。信息化時代，人類的日常生活業(yè)已被網(wǎng)絡(luò)緊緊捆綁，兩者密不可分。從生活起居、就醫(yī)、教育、購物、出行、日常繳費和處理違章等幾乎所有的個人或家庭活動都可以全方位、全覆蓋地在網(wǎng)上進行。尤其是Cookies、Flash cookies、beacons等新興追蹤技術(shù)的出現(xiàn)與更新，個人信息面臨著無所不在的泄露風(fēng)險。來自基層司法部門的案例顯示，因公民個人信息泄露而引發(fā)的侵犯個人信息犯罪已由早期的非法獲取個人信息用于商業(yè)牟利，逐漸轉(zhuǎn)變?yōu)榉缸锶送ㄟ^侵害個人信息進而追求后續(xù)下游犯罪的新態(tài)勢。泄露產(chǎn)生的后續(xù)風(fēng)險形式是無法預(yù)料和阻止的，小到廣告騷擾，中到電信詐騙，大到跟蹤謀害，具體罪名包括盜竊、電信詐騙、敲詐勒索、故意傷害、強奸、搶劫、綁架和故意殺人等不一而足。

究其根由，首先公民個人信息具有特定價值，事關(guān)生命健康、財產(chǎn)、生活秩序、社會評價、家庭關(guān)系等，如被他人獲知或非法利用，則會構(gòu)成潛在或?qū)嵸|(zhì)的危險或損害。因此具有權(quán)利價值保護的法益性含義，理應(yīng)受到法律的切實保護。公民信息在保護層面應(yīng)奉行“無條件保護”前提，不能以信息所有人提出請求保護申請為前提，國家作為責(zé)任主體負有無可推卸的保護義務(wù)，法律法規(guī)理應(yīng)提供立法支撐。當(dāng)然，“無條件保護”原則也存在例外，即只能是出于維護國家利益、公共利益的需要或信息所有人的自由意愿，有關(guān)機關(guān)和個人才可以依法泄露或獲取其他公民的個人信息。

其次，公民個人信息“商品價值的稀缺性”和“信息泄露的脆弱性”也要求必須得到法律的有效保護。隨著數(shù)據(jù)價值被深度挖掘，個人信息的商用價值愈來愈高，成為可以交易的“高價值商品”，幾乎所有的商事主體都注重對個人信息的收集和利用。再加上公民信息被多家管理、多頭掌控，此種局面極易失控，發(fā)生信息泄露和非法出售購買的問題。在產(chǎn)生“負價值”的侵犯公民個人信息犯罪行為方式中，網(wǎng)絡(luò)信息技術(shù)成了值得關(guān)注的“復(fù)雜高級版”的新型犯罪工具。[14]眾多政府部門和社會機構(gòu)、商業(yè)組織掌握著海量個人信息，每人都在其“股掌之中”，比如任何人的身份、戶籍與家庭成員信息都能輕而易舉地為公安部門和相關(guān)人員所掌握，任何人的經(jīng)濟收入、賬戶信息和流水交易能輕而易舉地為銀行人員所掌握，房管部門掌握著公民不動產(chǎn)信息，交管和鐵路、民航等運輸行業(yè)掌握公民出行和同行信息，醫(yī)療和文教部門掌握健康就醫(yī)和升學(xué)考試信息等。早在2012年工信部相關(guān)統(tǒng)計表明，大量公職人員、國企員工牽涉?zhèn)€人信息買賣案件，內(nèi)部人員實施犯罪占案件總數(shù)八成以上。[15]另據(jù)公開案例研判，“公安機關(guān)、網(wǎng)絡(luò)公司、銀行、快遞、醫(yī)療、教育等行業(yè)是泄露個人信息的高危行業(yè)?！盵16]貪婪喚醒了人性惡，犯罪暴利摧毀了個人信息保護的防線。

三、個人安全敏感信息——行蹤軌跡信息的深度認知

在所有類型的公民信息中，行蹤軌跡信息是極特殊而敏感的存在，對行蹤軌跡信息保護一直是世界共識。2018年歐盟《一般數(shù)據(jù)保護條例》（General Data Protection Regulation）再次重申強調(diào)了“個人位置數(shù)據(jù)”，并將自然人所處位置或者運動軌跡作為“個人畫像”（profiling）的重要組成部分，重點加強位置保護的法律規(guī)定。我國2017年《解釋》的一大亮點就是在第1條將行蹤軌跡等活動信息與身份信息并列，明確納入刑法保護范疇，并突出強調(diào)行蹤軌跡作為公民最為重要的活動信息，加以特殊性的“重點保護”。

（一）刑法保護下行蹤軌跡信息的矛盾折射

在行蹤軌跡信息入罪問題上，我國刑事法具有兩大矛盾，一是行蹤軌跡信息的重要性與刑法保護滯后性（乏力性）之間的矛盾。對任何公民來說，行蹤軌跡信息都屬事關(guān)個人安全（生命、健康與財產(chǎn)）之“極敏感信息”，因如若任一自然人的活動軌跡被其他人（包括陌生人）所知曉并掌握，則會陷入對自身可能遭受傷害——“死亡、重傷、精神失常或者被綁架”的恐懼、不安和焦慮之中。[17]2013年浙江永嘉強制戒毒所民警繆某非法泄露工商局工作人員開房信息致其臥軌自殺案，2017年寧波鎮(zhèn)海區(qū)因公安人員非法提供公民行蹤軌跡信息而導(dǎo)致被害人被人殺害案，2018年浙江臺州黃巖區(qū)民警池某對局領(lǐng)導(dǎo)定位跟蹤、安裝GPS非法獲取行蹤軌跡等熱點案件已足以驗證。因此就與個人安全法益相聯(lián)系的緊密程度看，行蹤軌跡信息要遠遠超過身份信息，但在刑事法規(guī)定中一直到此次司法解釋的出臺，才首次明確了對行蹤軌跡信息的保護地位，而在此之前對于公民身份信息的保護卻早已出現(xiàn)在《刑法》《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等多項法律法規(guī)中，有違法益保護中比例思想與層次性原理的運用。

二是獲取行蹤軌跡信息的多渠道性與信息保護缺失性之間的現(xiàn)實矛盾。隨著網(wǎng)絡(luò)信息社交化手段的發(fā)展，個人行蹤軌跡信息能通過多種形式被他人獲知，比如具有“超強滲透力與影響力”的大數(shù)據(jù)技術(shù)對公民社會生活的全方位介入。[19]再比如公安機關(guān)通過技術(shù)偵查和日常警務(wù)平臺掌握公民生活行動軌跡，通訊網(wǎng)絡(luò)部門可通過基站技術(shù)掌握行蹤軌跡，智能通訊移動終端（手機）普遍具有位置定位功能，在使用手機導(dǎo)航、出行、消費購物、社會交往時，都在提供自己的行蹤蹤跡并享受網(wǎng)絡(luò)服務(wù)，手機APP運行平臺從而獲知公民個人實時行蹤軌跡信息。而另一方面，當(dāng)前我國對于個人行蹤軌跡信息的保護則正處于美國學(xué)者帕斯奎爾所描述的“黑箱狀態(tài)”——行蹤軌跡信息被數(shù)據(jù)平臺收集以后的儲存、使用與分享過程，已然構(gòu)成了一個無法認識、無法控制也無法信任的黑箱。譬如前文以公安機關(guān)內(nèi)部工作人員泄露公民行蹤軌跡信息的案例為例證，與個人位置信息方便化收集相對應(yīng)的則是相關(guān)法律對行蹤軌跡信息保護措施的嚴重不足，已嚴重不適應(yīng)源頭信息泄露的犯罪現(xiàn)狀。

（二）對行蹤軌跡信息屬性的深度認知

作為司法解釋重點規(guī)制的對象，行蹤軌跡信息通常是指能反映特定人所處位置與運行軌跡的信息，通過對該信息的解讀足以對相關(guān)人員進行地理定位的功能性信息。在司法實務(wù)中一般認為手機定位信息、人員出行信息、車輛運行軌跡信息、交通卡口抓拍信息等信息都屬于行蹤軌跡信息。在個人信息研究領(lǐng)域內(nèi)行蹤軌跡信息是一個較新概念，對身份信息的理解在某些時候難以適用到其身上，因此需要在司法解釋的基礎(chǔ)上對其進行再認識。

1.行蹤軌跡信息的重新界定。依據(jù)詞典文義，“行蹤，是指行動的蹤跡（特指當(dāng)下所停留的地方）”，反映特定個人目前的生活行動狀態(tài)?！败壽E，是指一個點在空間的位置移動所通過的所有路徑?！狈从程囟▊€人所進行的動態(tài)活動狀況。行蹤和軌跡是屬于“當(dāng)前活動”與“過去活動”兩種動態(tài)活動信息的組合？還是兩者是同一意思的相近表達？有觀點認為是前者，但我們認為行蹤與軌跡信息的基本屬性在于反映特定自然人目前所處空間地理位置的可識別性，刑法所保護的也是最能夠影響特定自然人人身財產(chǎn)安全的法益，因此兩者應(yīng)是同一含義，即公民個人當(dāng)下所處的“實時動態(tài)活動信息”。因此行蹤軌跡信息不應(yīng)當(dāng)包括特定自然人“已過去的動態(tài)信息”。但如可通過對過去行動軌跡信息（此時的行動軌跡信息只能是一種靜態(tài)信息）進行綜合性研判能得出特定自然人當(dāng)前的實時信息，那么新得出的實時信息依然屬于公民個人的行蹤軌跡信息。

基于此邏輯，有必要對《解釋》中的“行蹤軌跡信息”進行深入的層次性和實質(zhì)性剖析，而非人云亦云。

首先要對某一種信息進行判別，不要輕易按照兩高司法解釋中的“字面規(guī)定”望文生義斷定信息類型，應(yīng)主動將其納入特定法律語境之中；其次結(jié)合信息的時空屬性，判明信息所反映的活動內(nèi)容是過去的還是實時發(fā)生的內(nèi)容；最后全面綜合衡量得出是否“行蹤軌跡信息”的結(jié)論。比如，對“住宿信息”首先要進行應(yīng)精細分類，按照兩高司法解釋的文字規(guī)定，對公民個人信息劃分為三類，第一類是指行蹤軌跡、通信內(nèi)容和財產(chǎn)狀況等信息，認定“情節(jié)嚴重”的標(biāo)準(zhǔn)是“50條以上”。第二類是住宿、通信、健康和交易信息等可能影響人身、財產(chǎn)安全的公民個人信息，認定“情節(jié)嚴重”的標(biāo)準(zhǔn)是“500條以上”。第三類是除前述兩種情形之外的其他公民個人信息，“5000條以上”則可認定為“情節(jié)嚴重”。規(guī)定看似明確而清晰，但具體適用卻疑難而復(fù)雜，若單純依據(jù)司法解釋的字面規(guī)定“住宿信息”理應(yīng)歸為第二類，但假若此時的住宿信息為“實時入住信息”或尚未退房的“住宿記錄”，那么就完全符合行蹤軌跡信息的屬性標(biāo)準(zhǔn)而應(yīng)被認定為第一類行蹤軌跡信息。此外，還有“通信記錄信息”，也不能簡單地依照解釋的字面規(guī)定不分情況的歸為第二類信息，如若正處于雙方通話狀態(tài)的通訊記錄，因其具備能獨立或借助其他手段識別出特定人的實時方位，那么也應(yīng)歸屬于第一類的行蹤軌跡信息。

2.行蹤軌跡信息的特有屬性——個人安全敏感信息。公民個人信息種類繁雜，由于和特定人結(jié)合的緊密程度，與涉及隱私的保密程度，以及對當(dāng)事人安全所能造成損害與威脅程度大小不同，所以在立法上進行“安全敏感”的合理分類是非常必要的，借此才能實現(xiàn)分類保護目的，最大限度發(fā)揮法的規(guī)范職能。學(xué)者們普遍認為對個人敏感信息的判斷應(yīng)依據(jù)常識，重點結(jié)合泄露后果對特定自然人所產(chǎn)生的消極影響來判定。后果包括一是對本人的負面影響；二是對家庭和社會地位的負面影響。此外還應(yīng)當(dāng)從對生命健康、財產(chǎn)安全的現(xiàn)實危險程度，還有對家庭和諧、社會評價、個人隱私、升遷進步等產(chǎn)生的潛在危險。[19]

毫無疑問，能實時確定特定人位置與活動的行蹤軌跡信息無疑是“最危險”和“最敏感”的個人信息，只需提供任一手機號碼，就能非法獲取到某特定人的實時具體位置信息，足以令人毛骨悚然。行蹤軌跡信息是關(guān)乎個人安全的最高敏感信息，理所應(yīng)當(dāng)屬于刑法最高層級的重點保護對象。[20]在此思想指引下，刑事法對行蹤軌跡信息采取了高規(guī)格保護，規(guī)定了涉嫌犯罪的兩種情形，一是出售提供行蹤軌跡信息，被他人利用犯罪，此情形無任何條件所限制，侵犯個人信息數(shù)量多少在所不問；二是非法獲取、出售或提供50條以上行蹤軌跡信息的，也同樣構(gòu)罪。

不同入罪標(biāo)準(zhǔn)，背后映射出“敏感信息”與“重要信息”“一般信息”的嚴格界分。行蹤軌跡信息的特殊就在于它屬于敏感信息，處在嚴格保護的第一類信息，表達出立法者美好的理想，但從司法實踐來看，對公民個人信息類型判斷、數(shù)量計算和不同類型的數(shù)量折算等實際操作問題還存在諸多不確之處，對量刑精準(zhǔn)化帶來困擾，亟須深入研究并予以細化完善。

四、行蹤軌跡信息特殊性保護的價值考量與檢視反思

行蹤軌跡信息作為確定個體動態(tài)狀況的信息，對人身和財產(chǎn)安全能夠產(chǎn)生巨大影響，最能直接體現(xiàn)出設(shè)立侵犯公民個人信息罪的立法目的，對它進行特殊保護，能最大限度地實現(xiàn)法益保護。從私權(quán)利本位視角分析，侵犯個人信息罪的保護法益應(yīng)是個人合法權(quán)益與信息安全，和公民信息中身份識別信息相比，行蹤軌跡信息具有更強的實質(zhì)違法性，對于法益的侵害危險也更加凸顯，而此恰是對行蹤軌跡信息特殊保護的立法價值衡量。

（一）特殊性保護的價值衡量

對行蹤軌跡信息進行著重保護的價值起點是公民個人安全。個人安全是構(gòu)成社會公共安全的有機組成部分，但又具有不可侵犯的獨立性，屬于基本人權(quán)的內(nèi)涵，且為每位公民所平等享有。因此劉憲權(quán)教授認為行蹤軌跡信息與普通個人信息具有顯著區(qū)別，最具直接威脅，是故在對行蹤軌跡信息被他人用于犯罪的判斷上，應(yīng)奉行概括性認識觀點，不需再去證明其“知道或應(yīng)當(dāng)知道”他人利用該信息進行犯罪。[21]《解釋》對行蹤軌跡信息入罪實行特殊化對待，無論是基于社會危害性評價，還是基于行為人主觀惡性程度，對可能被用于非法活動（抑或犯罪活動）存在概括認識，具有恰當(dāng)?shù)目茖W(xué)合理性。

（二）對行蹤軌跡信息規(guī)定的檢視與反思

為有效指引司法實務(wù)，任何學(xué)術(shù)觀點和法律規(guī)定均要在實質(zhì)判斷的基礎(chǔ)上進行客觀反思，進而驗證法律規(guī)范的必要與可行，檢視存在的問題與不足，以待后續(xù)補充與完善。結(jié)合《解釋》出臺后的實務(wù)案例，對行蹤軌跡信息的認知尚存以下三個問題。

一是信息分類的理論解讀有待商榷。如“動態(tài)信息”與“靜態(tài)信息”的理論分類。“從屬性上分析，身份識別信息屬于一種靜態(tài)信息，而特定自然人的活動情況信息則屬于動態(tài)信息?！盵21]此處所謂“靜態(tài)信息”與“動態(tài)信息”的劃分過于簡單，僅僅注重了表面形式的符合卻不適用于實務(wù)操作。實際上，靜態(tài)信息不會是絕對的靜態(tài)，它能夠向動態(tài)信息進行演變和轉(zhuǎn)化。比如安裝在固定交通卡口的機動車輛抓拍信息，該信息從表面形式上看，記錄了特定人駕駛機動車通行特定地理位置的狀況，屬于靜態(tài)信息，但是通過對一定時間段內(nèi)、區(qū)域空間內(nèi)的連續(xù)抓拍信息，其信息內(nèi)涵已經(jīng)超越了靜態(tài)信息的范疇，行為人可以通過簡單的研判分析得出準(zhǔn)確位置的結(jié)論，即具備地理定位的功能，應(yīng)視為“動態(tài)信息”。同理，動態(tài)信息也不是絕對的動態(tài)，也存在著向靜態(tài)信息轉(zhuǎn)化的可能，比如在時間維度上已經(jīng)過去的軌跡信息也應(yīng)當(dāng)被視為靜態(tài)信息。

二是對行蹤軌跡信息的認定缺乏精細化和預(yù)見性，不利于實際情況判斷。對于公民個人行蹤軌跡信息的認定應(yīng)該精確研判，凡是能夠通過技術(shù)分析或者合乎邏輯的事實推理，能夠?qū)μ囟ㄗ匀蝗思磿r定位的信息就是實時的行蹤軌跡信息，而不應(yīng)當(dāng)以信息形成或產(chǎn)生形式、存在時間來進行簡單認定。也就是說，行蹤軌跡信息不僅包括可以直接反映特定自然人行動軌跡、活動記錄的信息，還應(yīng)當(dāng)包括行為人基于公民個人的其他信息分析研判出來的足以說明特定自然人上述情況的信息。比如通訊信息、住宿信息和抓拍信息，應(yīng)依據(jù)要件構(gòu)成特征法進行實質(zhì)判斷，而不能簡單地根據(jù)字面規(guī)定作出文義解釋。再比如出行購票信息，實行實名制的車票、船票、飛機票等持票人信息既能夠證明特定自然人身份，也能夠反映出其過去的和現(xiàn)實的活動軌跡。尤其是對于旅途尚未結(jié)束的出行購票信息就不能簡單地視為非敏感信息，即使它只是靜態(tài)形式上的公民單次出行購票信息。此外還有通過個人網(wǎng)絡(luò)IP（Internet Protocol Address）地址的在線追蹤，通過對網(wǎng)絡(luò)終端設(shè)備地理位置的確定，最終將個人行蹤信息通過研判方式予以明確后的信息，也應(yīng)是明確的個人行蹤信息。2019年7月，最高檢第一檢察廳匯編的《網(wǎng)絡(luò)犯罪案件技術(shù)法律術(shù)語解釋匯編》中，專門針對利用IP地址確定個人地理位置（行蹤所在）作了具體解釋，也驗證了對于行蹤位置敏感信息認定應(yīng)秉持“科技發(fā)展性”和“危害預(yù)見性”的正確性和必要性。

三是缺乏將一定數(shù)量的重要信息綜合認定為一條或幾條敏感信息的“升格規(guī)定”。也就是說，無論多少數(shù)量的重要信息，也只能是重要信息而不可能升級認定為行蹤軌跡信息，此理解實為缺憾。如若牽涉到復(fù)雜案件處理，可能會對司法裁判產(chǎn)生實際的負面效應(yīng)，有違司法實踐應(yīng)具有造法意蘊的基本法理，“司法是從書本上的法到實際生活中的法之橋梁，是從原則轉(zhuǎn)化為實際規(guī)范的中介?！盵22]因此我們可以認為出于對如行蹤軌跡信息等敏感信息的特殊性保護的價值衡量，如若采用精細化的實質(zhì)判斷標(biāo)準(zhǔn)，通過對一系列具有與現(xiàn)實直接關(guān)聯(lián)的譬如“車輛抓拍信息”“通信信息”“住宿信息”等的研判，能夠使得泄露者、非法獲取者、信息購買者得出確定特定自然人當(dāng)前的實時行動信息，那么就應(yīng)當(dāng)將分析結(jié)論視為產(chǎn)生了一條關(guān)涉公民個人行蹤軌跡的敏感信息，假使上述行蹤軌跡信息被他人用于犯罪，就應(yīng)當(dāng)認定構(gòu)成了解釋中的“情節(jié)嚴重”，并予以刑法評價，只有這樣才能夠在衡量行蹤軌跡信息入罪時結(jié)合可能發(fā)生的后續(xù)行為，且重點考量“使用目的”進行公正的司法裁判。