非法获取被刑事拘留嫌疑人及家属联系方式等信息属于公民个人信息,犯罪?
何谓公民个人信息?
首先需要梳理法律法规对概念的厘清过程,2012年全国人大常委会《关于加强网络信息保护的决定》首次提出公民个人信息的可识别性与隐私性特征;
2013年最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》采用列举式+特征性表述,继续明确可识别性与隐私性;
2016年网络安全法明确可识别性系唯一的法律标准,包括直接单独识别与间接结合识别;
2017年最高法院、最高检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)规定了范围扩张、信息分级与分类保护原则,强调可识别性+人身财产的安全。
由此可见,针对公民个人信息的法律规定逐渐清晰与完善,形式上强调身份的可识别性,即能够识别公民的个体特征,与具体的公民个体相对应匹配,这是公民个人信息的人身属性;实质上关注人身及财产法益的关联性,这是公民个人信息的财产属性,获取并利用个人信息将可能侵害公民的生活安宁、人身安全及财产权利。
如前所述,《解释》按照重要性与敏感度,将个人信息划分3个层级,设置由低到高的入罪门槛。
第一类,行踪轨迹信息、通信内容、征信信息、财产信息这4类信息与人身财产安全直接密切相关,系高度敏感信息,《解释》中未表述“等”字,故司法适用时不能通过等外解释予以扩大;
第二类,住宿信息、通信记录、健康生理信息、交易信息等,重要程度弱于第一类,司法实践中可以结合具体情况作等外解释,确保与列举的4类信息在重要程度上具有相当性与同质性;
第三类,其他公民个人信息。如何理解这里的“敏感”一词?按照法秩序统一性的要求,应当参照相关行政法规的规定。
2021年个人信息保护法明确提出认定敏感信息的标准:一是容易导致个人人格尊严受到侵害,二是人身与财产安全受到危害。同时规定对敏感信息的处理应当取得个人的单独同意。
在2013年工业和信息化部《信息安全技术公共及商用服务信息系统个人信息保护指南》、2020年国家市场监督管理总局、国家标准化管理委员会《信息安全技术个人信息安全规范》中,亦区分个人一般信息与敏感信息,设置不同的信息收集规则,收集敏感信息要征得权利主体的明示同意。
由此可见,一般信息与敏感信息的区别在于可能招致的损害风险程度,人身财产安全可能遭受较高损害风险的信息界定为敏感信息,反之界定为一般信息。信息的敏感度与重要性呈正比关系,敏感度愈高,重要性愈明显,可能招致损害的风险越大。
《解释》规定,敏感度最高的第一类信息,只要50条即入罪;敏感度一般的第二类信息要500条入罪;最普通的第三类信息,达到5000条入罪。
本案中,刘辉从金某处获取的信息具有如下特征:
第一,形式上具有可识别性,系已被刑事拘留案件的简要案情、是否报批准逮捕、嫌疑人姓名、家属姓名及联系电话、被害人或家属姓名及联系电话。
每一组信息包括若干具体的信息,嫌疑人姓名+家属姓名+联系电话或被害人姓名+家属姓名+联系电话等,与嫌疑人及家属、被害人及家属具有一一对应关系,能够排除同名同姓等易混同身份的模糊情况,具有明确指向性与个人标签性,符合直接可识别性的形式特征;
第二,内容上具有隐私性。按照信息的社会价值标准,可以区分正面信息、中性信息与负面信息。
正面信息指体现个人正面社会价值的信息,如获得荣誉称号奖励、职务升迁或职级晋升、正常升学就业等;中性信息指不体现价值评判且客观存在的信息,如身份证、家庭住址、工作单位、家属关系等信息;负面信息指反映个人负面社会价值的信息,如被投诉起诉、列入执行黑名单、被行政拘留或刑事处罚、被性侵诈骗等。
价值判断应当采用一般行为人的标准,其中负面信息是个人最不愿意被外界知晓、最具私密性,甚至羞于向他人公开、极力掩盖隐瞒的信息。
本案涉及的信息,无论是针对嫌疑人还是被害人,尤其是性侵害、诈骗等案件的被害人,对被害信息往往闭口不提,唯恐被人知道,担心被嘲笑,故均属于负面信息,具有绝对的隐私性;
第三,来源不公开性。涉案信息的不公开性显而易见,一方面,金某系派出所警务队队长,具有一定职务,其配备密钥可以登陆公安内网案件综合信息系统,查询辖区内其他办案单位的侦办案件,如果是一般民警,则只能查询本办案单位的侦办案件;
另一方面,金某查询到嫌疑人姓名后,还需登陆只有公安干警才有权限的实有人口信息系统,查询到家属及联系电话。这两个信息查询系统都具有一定权限性,公安系统以外的普通人甚至是公安内部的普通民警都无权进入系统;
第四,性质上属于一般敏感性,按照《解释》规定,每一类信息仅限定4种类型,且不能作扩大解释,涉案信息系刑事犯罪的关连信息,不属于4种类型之一。
第二类信息可以作同质性的等外解释,涉案的每组信息都包含数个零散信息,涉及嫌疑人、家属、被害人及家属等,一旦被公开泄露,则可能遭受社会群体的指责唾弃与孤立,甚至在就业就学时遭到歧视等等,在人身权益方面面临较大的损害风险,因此属于一般敏感度的个人信息。
综上,涉案个人信息具有形式上可识别性、内容上隐私性、来源上不公开性、性质上一般敏感性4项特征,应当认定属于侵犯公民个人信息罪所要求的公民个人信息。