論刑法中個人信息的識別

歐陽本祺

個人信息是一個工具性概念,個人信息的法益是一種阻擋層法益,保護個人信息是為保護個人信息背后層的實體性法益。而連結阻擋層法益與背后層法益的技術要素就是個人信息概念中的“識別”,各國法律無不把“識別”作為個人信息概念的核心關鍵詞。只有能夠識別特定自然人的信息才屬于個人信息,不能識別特定自然人的信息不屬于個人信息。但是,能否識別以及如何識別是一種抽象的價值判斷,涉及個人保護與數據共享之間的平衡。由于價值立場的不同,刑法實踐對于如何識別個人信息,呈現出多重困境,直接影響了罪與非罪、此罪與彼罪的認定。因此,需要深入研究刑法中個人信息的識別,并總結出具有可操作性的標準。

一、 刑法中個人信息識別的困境

在大數據時代,與個人相關的信息或者數據無處不在。那么,個人信息與個人數據是否為同一概念,個人信息與非個人信息如何區別,個人信息內部的敏感個人信息與非敏感個人信息如何區別,刑法中的個人信息與前置法中的個人信息是否為同一概念?這些問題涉及個人信息的外觀識別、內涵識別和體系識別,同時面臨理論與實踐存在脫節的困境。

(一) 刑法中個人信息外觀識別的困境

刑法中個人信息的外觀識別,是指在外觀上對“個人信息”與“個人數據”這兩個概念進行關系識別。對此,我國刑法學界存在三種不同的觀點。

“個人信息與個人數據等同說”認為,我國刑法中的“個人信息”的內涵外延等同于歐盟《通用數據保護條例》規定的“個人數據”,兩個概念可以混同使用。(1)參見勞東燕:《個人數據的刑法保護模式》,《比較法研究》2020年第5期;王華偉:《數據刑法保護的比較考察與體系建構》,《比較法研究》2021年第5期。

“個人信息大于個人數據說”認為,個人信息的外延大于個人數據,個人信息的刑法保護包括三種模式:第一種模式是個人信息的保護依附于他權保護,個人信息體現為信用卡信息(第177條之一)、商業秘密(第219條)、信件(第252條)、郵件、電報(第253條)、電信號碼(第265條)、居民身份證(第280條);第二種模式是個人信息的保護依附于數據保護,個人信息體現為計算機信息系統中的個人數據(第285條);第三種模式是個人信息的獨立保護,個人信息體現為獨立的個人信息權(第253條之一)。(2)參見李川:《個人信息犯罪的規制困境與對策完善——從大數據環境下濫用信息問題切入》,《中國刑事法雜志》2019年第5期;于沖:《侵犯公民個人信息罪中“公民個人信息”的法益屬性與入罪邊界》,《政治與法律》2018年第4期。

“個人信息小于個人數據說”認為,刑法中的個人信息只是個人數據的一部分。個人數據可以表現為人格利益,相關侵害行為構成侵犯公民個人信息罪;個人數據可以表現為財產利益,相關侵害行為構成侵犯財產犯罪;個人數據也可以表現為商業秘密,相關侵害行為構成侵犯商業秘密罪;個人數據還可以表現為計算機信息系統的安全,相關侵害行為構成非法獲取計算機信息系統數據罪。(3)參見楊志瓊:《我國數據犯罪的司法困境與出路:以數據安全法益為中心》,《環球法律評論》2019年第6期;蘇青:《數據犯罪的規制困境及其對策完善——基于非法獲取計算機信息系統數據罪的展開》,《法學》2022年第7期。

本文認為,個人信息在我國法律體系中是一個法定概念,而個人數據是一個非法定的學理概念,在我國應該采取“個人信息小于個人數據說”的觀點。理由如下:

首先,概念的使用離不開本國法律的規定。一方面,根據我國《個人信息保護法》《民法典》《網絡安全法》的規定,“個人信息”不是“與個人相關的信息”,而是“個人可識別的信息”。歐盟與我國“個人信息”概念相對應的概念是“個人數據”。美國與我國“個人信息”相對應的概念是“個人可識別信息”(Personally Identifiable Information,PII)。(4)參見 P.M.Schwartz &D.J.Solove,“The PII problem:Privacy and a new concept of personally identifiable information”,New York University Law Review,Vol.86,No.6,2011,pp.1814-1894.另一方面,我國法律只規定了數據的概念,而沒有關于個人數據的規定。我國《數據安全法》把“數據”界定為任何以電子或者其他方式對信息的記錄。學界主流觀點把數據分為政府數據、企業數據、個人數據。(5)參見王利明:《論數據權益:以“權利束”為視角》,《政治與法律》2022年第7期?？梢?前述“等同說”實際上是用歐盟《通用數據保護條例》來界定我國的個人數據概念,不合理地縮小了我國個人數據的外延。前述“大于說”則又忽視了我國前置法對于個人信息的明確限制,把“個人信息”理解為“個人相關的信息”,沒有根據地擴大了我國個人信息的外延。

其次,概念的使用離不開互聯網的分層構造。個人信息與個人數據的關系應該放在互聯網的分層結構中來理解。一般認為,互聯網的結構可以分為物理層、邏輯層、內容層。(6)參見L.Lessig,“The architecture of innovation”,Duke Law Journal,Vol.51,No.6,2002,pp.1783-1801.物理層構成了互聯網空間中的“一磚一瓦”,是分層結構的最底層。(7)C.Nazli &D.D.Clark,International Relations in the Cyber Age:The Co-Evolution Dilemma,Cambridge,MA:MIT Press,2019,p.3.它的功能在于創建數據傳輸的物理鏈路。(8)對物理層的侵犯,可能構成故意毀壞財物罪、盜竊罪等犯罪。邏輯層建立在物理層所形成的傳輸鏈之上,是分層結構的中間層,它的功能在于通過數據的“封裝”(從信息到比特流)與“解封裝”(從比特流復原為信息),實現數據的傳輸。(9)對邏輯層的侵犯,可能構成非法侵入計算機信息系統罪、非法獲取計算機信息系統數據罪、非法控制計算機信息系統罪、破壞計算機信息系統罪等。內容層直接面對用戶,是分層結構的最高層,它的功能在于通過不同類型的文件實現對信息的呈現與處理。(10)對內容層的侵犯,可能構成侵犯知識產權類犯罪、侵犯公民個人信息罪等。對內容層中虛擬財產的侵犯,我國理論與實務界存在較大的爭議。參見歐陽本祺:《論虛擬財產的刑法保護》,《政治與法律》2019年第9期?？梢?數據屬于邏輯層,信息屬于內容層,數據與信息之間是載體與本體的關系。作為載體的數據應該包含作為本體的信息。

(二) 刑法中個人信息內涵識別的困境

刑法中個人信息的內涵識別,是指刑法中個人信息與非個人信息的關系識別,以及個人信息內部敏感個人信息與非敏感個人信息的關系識別。其核心問題是如何理解個人信息的“識別”,主要體現為手機號碼、IP地址、cookie記錄的屬性認定。

1.手機號碼是否屬于個人信息

關于手機號碼的屬性,司法實踐的爭議主要集中在單位的手機號碼是否屬于個人信息,以及孤立的手機號碼是否屬于個人信息這兩個問題。

在王健侵犯公民個人信息案中,被告人王健從阿里巴巴、天眼查、慧聰網等公共平臺獲取大量企業信息,然后將其中的法定代表人或者聯系人的姓名、手機號碼、單位名稱編輯匯總用于出售或者提供給他人。檢察院認為,根據《個人信息刑事案件解釋》第3條,未經被收集人同意,將合法收集的公民個人信息向他人提供的,構成侵犯公民個人信息罪中的“提供公民個人信息”。但是,2018年最高人民檢察院《檢察機關辦理侵犯公民個人信息案件指引》(以下簡稱《檢察機關指引》)規定,“由公司購買、使用的手機、電話號碼等信息,不屬于個人信息的范疇”。據此,應當區別由“由公司購買,歸公司使用的手機號碼”與“公司經辦人個人登記的手機號碼”兩種不同情形,前者則不屬于個人信息。(11)參見江蘇省蘇州市姑蘇區人民法院(2018)蘇0508刑初40號刑事判決書。但也有判決認為,從“國家企業信用信息公示系統”中查詢到的手機號碼,仍然屬于個人信息。(12)參見重慶市開州區人民法院(2017)渝0154刑初342號刑事判決書。

另外,即使手機號碼被個人購買與使用,但一個孤立的手機號碼能否被認定為刑法中的“個人信息”?對此,司法實踐也存在很大的分歧。多數法院判決認為,孤立的手機號碼不能單獨識別特定自然人身份,不屬于刑法中的個人信息。(13)參見安徽省合肥市包河區人民法院(2018)皖0111刑初377號刑事判決書;安徽省亳州市譙城區人民法院(2018)皖1602刑初82號刑事判決書;廣東省深圳市福田區人民法院(2018)粵0304刑初448號刑事判決書;福建省永泰縣人民法院(2019)閩0125刑初44號刑事判決書。當然,也有法院認為,孤立的手機號碼雖然無法單獨識別個人身份,但結合其他信息是能夠識別個人身份的,因此屬于個人信息。(14)參見山東省沂南縣人民法院(2018)魯1321刑初89號刑事判決書。

2.IP地址是否屬于個人信息

計算機的IP地址由32位二進制數組成,包括網絡標識與主機標識兩部分,在互聯網范圍內是唯一的。在凌某某起訴抖音APP侵害個人信息權一案中,法院認為IP地址與其他信息結合,可以識別特定自然人,因而屬于個人信息,這與IP地址的模糊或精確無關。(15)參見北京互聯網法院(2019)京0491民初6694號民事判決書。相關的規范標準也將IP地址作為個人信息。(16)參見《信息安全技術:個人信息安全規范》(GB/T 35273-2020)“附表A.1”。但是,仍有部分刑事判決認為根據IP地址難以識別特定自然人的身份,而將其排除在個人信息條數之外。(17)參見廣東省深圳市龍華區人民法院(2020)粵0309刑初614號刑事判決書;陜西省西安市未央區人民法院(2019)陜0112刑初880號刑事判決書。

3.cookie記錄是否屬于個人信息

在朱某訴百度公司隱私權糾紛案中,對于“豐胸”“減肥”“流產”等cookie檢索記錄的屬性,一審判決認為屬于個人信息中的敏感隱私信息。(18)參見南京市鼓樓區人民法院(2013)鼓民初字第3031號民事判決書。二審判決認為cookie技術是一個合法、中立的工具,根據cookie記錄無法識別特定的自然人,因而不是個人信息。(19)參見南京市中級人民法院(2014)寧民終字第5028號民事判決書。這個案件的判決不僅涉及個人信息與非個人信息的識別,還涉及個人信息內部的敏感個人信息與非敏感個人信息的區別。

(三) 刑法中個人信息體系識別的困境

刑法中個人信息的體系識別,是指在整個法律體系中刑法個人信息與前置法個人信息的關系識別。在我國法律系統中,最早規定個人信息概念的是2009年《刑法修正案(七)》,之后2017年《網絡安全法》、2020年《民法典》和2021年《個人信息保護法》相繼規定了個人信息的概念及其保護。立足于我國這種“刑法先行”的立法模式,識別刑法與前置法中個人信息的關系尤為必要。對此,我國學界也存在著以下三種不同的觀點。

“等同說”認為,侵犯公民個人信息罪的成立以“違反國家有關規定”為前提,因此,刑法個人信息應當與前置法個人信息保持內涵外延的一致性。但是,對于同一概念,適用刑法時既可能作擴大解釋,使其外延大于前置法(如刑法中的“丟失槍支”包括行政法中的“槍支被盜、被搶或者丟失”);也可能作縮小解釋,使其外延小于前置法(如刑法中“賣淫”的外延小于行政法)。

“大于說”認為,刑法個人信息的外延大于行政法。有學者認為,“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《個人信息刑事案件解釋》)把刑法中個人信息劃分為兩類:一類是“識別特定自然人身份的信息”,另一類是“反映特定自然人活動情況的信息”。而《個人信息保護法》等前置法只規定了識別性信息,沒有規定反映特定自然人活動情況的信息。因此,刑法中個人信息的外延大于前置法。(20)參見劉憲權、王哲:《侵犯公民個人信息罪刑法適用的調整和重構》,《安徽大學學報》(哲學社會科學版)2022年第1期;李懷勝:《侵犯公民個人信息罪的刑法調適思路——以〈公民個人信息保護〉為背景》,《中國政法大學學報》2022年第1期。但是,這種觀點值得商榷。

實際上,刑法中個人信息的外延遠遠小于《個人信息保護法》,這也是筆者更為贊同的“小于說”。理由如下:首先,對《個人信息刑事案件解釋》不能作僵硬的形式化理解?！秱€人信息保護法》《民法典》《網絡安全法》等前置法中的“識別”是指廣義的識別,既包括狹義的身份識別信息,也包括能反映自然人活動情況的信息?！秱€人信息刑事案件解釋》中規定的“行蹤軌跡”等反映特定自然人活動情況的信息,同樣必須具有識別性。刑法解釋只是為了便于司法操作,才采取了“身份識別信息+活動情況信息”的表述。(21)參見喻海松:《“刑法先行”路徑下侵犯公民個人信息罪犯罪圈的調適》,《中國法律評論》2022年第6期。僅僅根據刑法解釋的表述形式而不分析其實質內涵,就斷定刑法中個人信息的外延大于前置法,可能過于武斷。其次,《個人信息保護法》中的“個人信息”范圍相當寬泛。從立法表述看,《個人信息保護法》第4條采取的是“識別性+相關性”的判斷標準。識別性標準遵循“從信息到人”的路徑,即能夠識別出特定自然人的信息,才是個人信息。相關性標準遵循“從人到信息”的路徑,即與特定自然人相關的信息,都是個人信息。相關性標準使得個人信息的范圍相當寬泛且模糊。(22)參見謝登科:《個人信息跨境提供中的企業合規》,《法學論壇》2023年第1期。從立法價值來看,我國《個人信息保護法》采取的是歐盟模式,而刑事司法實踐采取的是美國模式。歐盟把個人信息作為基本權利的客體,因此立法上擴大個人信息的保護范圍;美國把個人信息作為言論自由的表達對象,因此個人信息的范圍會受到多種因素的限制。(23)參見丁曉東:《個人信息的雙重屬性與行為主義規制》,《法學家》2020年第1期;宋亞輝:《個人信息的私法保護模式研究——〈民法總則〉第111條的解釋論》,《比較法研究》2019年第2期。

二、 刑法中個人信息識別標準的確立

上述關于個人信息外觀識別、內涵識別、體系識別的理論與實踐困境表明,理解個人信息的識別性及其標準是走出困境的關鍵。個人信息的識別標準旨在將個人信息與非個人信息區別開來。

(一) 確立個人信息識別標準的必要性

我國學界有一種代表性的觀點認為,刑法中的個人信息無需具備識別性。例如,有的學者認為,要求刑法中的個人信息具有識別性,是一場美麗的誤會;(24)參見晉濤:《刑法中個人信息“識別性”的取舍》,《中國刑事法雜志》2019年第5期。即使是經過匿名化處理的信息,也屬于侵犯公民個人信息罪的對象。(25)參見張勇:《個人信息去識別化的刑法應對》,《國家檢察官學院學報》2018年第4期。張明楷教授認為,“凡是與自然人有關的各種信息,均屬于公民個人信息”(26)參見張明楷:《刑法學》,北京:法律出版社,2021年,第1200頁。,似乎也主張刑法中的個人信息不需要具備識別性。本文認為,這種觀點值得商榷,刑法中的個人信息應當堅持識別性標準。

1. 識別性標準有利于維護法秩序的統一性

一個國家的所有法規范構成一個有機統一的法秩序。從縱向來看,法秩序統一性表現為以憲法為頂點的融貫性,部門法與憲法之間不存在矛盾和沖突。從橫向來看,法秩序統一性表現為不同部門法之間的協調性,部門法之間不存在矛盾和沖突。(27)參見歐陽本祺:《論行政犯違法判斷的獨立性》,《行政法學研究》2019年第4期。就個人信息而言,法秩序統一性要求刑法的適用不能和前置法產生沖突和矛盾。從歷史解釋來看,在2009年《刑法修正案(七)》規定侵犯公民個人信息的犯罪時,其他法律尚無關于個人信息的規范,因此,當時關于個人信息的界定處于一個探索和混亂的狀態。但是,現在已有多部前置法對個人信息概念作出了規定。例如,《網絡安全法》把個人信息界定為“身份識別信息”;(28)2017年《網絡安全法》第76條規定,“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人身份的各種信息”?！睹穹ǖ洹钒褌€人信息界定為“自然人識別信息”;(29)《民法典》第1034條規定,“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”?！秱€人信息保護法》把個人信息界定為“識別性+關聯性信息”。(30)2021年《個人信息保護法》第4條規定,“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人相關的各種信息,不包括匿名化處理后的信息”?？梢?前置法都把“識別性”作為個人信息的重要特征。

否定識別性的學者認為,雖然前置法規定了個人信息的識別性要求,但刑事司法解釋把個人信息分為三類:身份識別信息+個人隱私信息+活動情況信息。(31)2013年最高人民法院、最高人民檢察院、公安部《關于依法懲處侵害公民個人信息犯罪活動的通知》規定個人信息包括“能夠識別公民個人身份或者涉及公民個人隱私的信息、數據資料”。2017年《個人信息刑事案件解釋》規定個人信息“是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息”。因此,刑法中個人信息的范圍大于前置法,無需具有識別性。然而,這種觀點既是對司法解釋的誤讀,也是對法秩序統一性的違反。雖然司法解釋規定了“涉及公民個人隱私的信息”以及“反映特定自然人活動情況的信息”,但是,這兩類信息并非對識別性的否定。

首先,“涉及公民個人隱私的信息”須以能夠識別特定自然人為前提。如果某種隱私圖片不能識別特定自然人,就無法認定為刑法中的個人信息。有學者認為,偷拍女性裙底的行為,非法獲取了他人的隱私信息,應當構成侵犯公民個人信息罪,即使裙底照片無法識別特定自然人。(32)參見晉濤:《刑法中個人信息“識別性”的取舍》。但是,該論斷在邏輯上是混亂的。偷拍他人裙底的行為當然是侵犯隱私的行為,但是該偷拍行為只是《治安管理處罰法》第42條第6款規定的違法行為,并不構成犯罪,當然也不會構成侵犯公民個人信息罪。如果行為人出售偷拍的裙底照片,因裙底照片無法識別特定自然人,出售行為可能構成販賣淫穢物品牟利罪,但不會構成侵犯公民個人信息罪?！半[私信息無疑是針對某特定個人的信息,當然屬于可以識別公民個人身份的信息”。(33)趙忠東:《可識別性是公民個人信息的根本特性》,《檢察日報》2018年7月8日,第3版?！皞€人私密信息在本質上仍然屬于個人信息,只不過個人信息主體希望使其保持于私密狀態而已”。(34)王利明:《和而不同:隱私權與個人信息的規則界分和適用》,《法學評論》2021年第2期。但是,裙底照片如果不能識別特定自然人,則只是與隱私相關的信息,還不構成個人信息中的隱私信息或者私密信息。

其次,“反映特定自然人活動情況的信息”也以具有識別性為前提。例如,作為個人信息的行蹤軌跡,必須與可識別的特定自然人相關聯。如果行蹤軌跡無法識別特定自然人,那就是關于物流、車流、人流統計的數據。非法獲取或者提供這些數據,不可能構成侵犯公民個人信息罪。司法解釋中規定的反映特定自然人活動情況的信息,只是對可識別信息的具體化,并不是對識別性的否定。

2. 識別性標準有利于個人信息的類型化分析

否定個人信息識別性要求的觀點,實際上把個人信息當做“個人相關的信息”,缺乏對個人信息的類型化分析。所謂“識別”(identify),是指根據該信息把特定自然人從其所處的群體中挑選(single out)出來(例如通過人臉信息認出某人),或者通過該信息聯絡(contact)到特定自然人(例如通過電話號碼聯系到某人)。(35)參見范為:《大數據時代個人信息定義的再審視》,《信息安全與通信保密》2016年第10期。只不過,不同信息對特定自然人的識別程度有大小之別。最高識別程度為已經識別,這類信息被稱為已識別(identified)信息。最低識別程度是零,即根據該信息不能識別特定自然人,這類信息被稱為不可識別(non-identifiable)信息或者匿名信息。介于最低程度和最高程度之間的信息,為可識別(identifiable)信息。(36)參見P.M.Schwartz &D.J.Solove,“The PII problem:Privacy and a new concept of personally identifiable information”.

可見,個人相關的信息包括三類:已識別信息、可識別信息、不可識別信息。其中,已識別信息屬于個人信息,不可識別信息不屬于個人信息,對此不存在爭議。有爭議的是可識別信息是否屬于個人信息,司法實踐中的難題也主要集中在可識別信息的屬性認定上。從理論上來說,對于任何一條可識別信息,只要補充足夠多的其他信息,就可以識別出特定的自然人。但是,司法實踐中能夠獲得的個人相關信息總是有限的。因此,可識別信息是否屬于個人信息,需要具體判斷,不是“全有全無”的判斷,而是“或有或無”的判斷,即有的可識別信息屬于個人信息,有的可識別信息不是個人信息。司法解釋中的“隱私信息”與“身份活動信息”,實際上都屬于可識別信息的范疇。前述否定個人信息識別性要求的觀點,對“識別”作了狹隘與片面的理解,認為“識別”僅指“已識別”,而不包括“可識別”。

(二) 確立個人信息識別標準的價值基礎

由上可知,可識別信息是否屬于個人信息的判斷,是“或有或無”的判斷,而不是“全有全無”的判斷。那么,什么場合可識別信息屬于個人信息,什么場合可識別信息不屬于個人信息呢?這種判斷實際上是一種價值判斷,這種價值判斷受制于國家保護個人信息的力度以及國家促進數據共享的力度。

從比較法的角度來看,在保護個人信息與促進數據共享之間,歐盟與美國體現出兩種不同的價值傾向。歐盟傾向于把個人信息作為基本權利的客體,把個人信息權界定為憲法上的信息自決權,并賦予個人對其信息的一系列消極防御權和積極控制權。(37)G.G.Fuster,The Emergence of Personal Data Protection as a Fundamental Right of the EU,New York:Springer International Publishing,2014,p.264;丁曉東:《個人信息的雙重屬性與行為主義規制》。歐盟這種側重個人信息保護的立場,反映了其對數據共享與利用的忽視。因此,在這種背景下,歐盟《通用數據保護條例》(GDPR)規定,個人信息是指與已識別或可識別的自然人(數據主體)有關的任何信息。這意味著立法上通過從“已識別”到“可識別”的延展,極大地開拓了個人信息的范圍。尤其是在數化萬物的大數據時代,可識別與不可識別(匿名)之間的界限,非常微妙難分。(38)參見齊愛民、張哲:《識別與再識別:個人信息的概念界定與立法選擇》,《重慶大學學報》(社會科學版)2018年第2期。

美國不存在專門的個人信息保護立法。個人信息的保護散見于《兒童在線隱私保護法(COPPA)》《視頻隱私保護法(VPPA)》《金融服務現代化法案》等法案。這種分散的立法模式本身反映出美國對個人信息的保護力度小于歐盟;相反,美國促進數據共享的力度大于歐盟。另外,美國的個人信息作為言論表達的對象,還受到言論自由的限制,無法形成歐盟式的憲法性信息自決權。(39)參見丁曉東:《個人信息的雙重屬性與行為主義規制》。因此,美國的立法、法官與政治制定者都傾向于把個人信息(PII)限縮解釋為與“已識別”個人相關的信息。例如,美國聯邦貿易委員會認為,cookie只有在與“已識別”個人相關時,才屬于個人信息(PII)。(40)參見P.M.Schwartz &D.J.Solove,“The PII problem:Privacy and a new concept of personally identifiable information”.換言之,在美國,可識別信息一般不作為個人信息。

我國《個人信息保護法》采取歐盟模式,擴大個人信息的范圍,把與“已識別或者可識別”的自然人相關的各種信息,都界定為個人信息。那么在司法實踐中,應當在多大程度上把“可識別”信息認定為個人信息呢?這實際上涉及的是多方利益平衡的問題。有的學者把這種利益平衡概括為“兩頭強化、三方平衡”,即強化對敏感個人信息的保護,強化對一般個人信息的利用,同時協調信息主體對個人信息保護的利益、信息業者對個人信息利用的利益、國家管理社會的公共利益三者之間的平衡。(41)參見張新寶:《從隱私到個人信息:利益再衡量的理論與制度安排》,《中國法學》2015年第3期。有的學者把這種利益平衡概括為“合法性”“正當性”“必要性”三個原則。(42)參見馮愷、楊潤宇:《人臉識別信息處理中的“合法、正當、必要”原則的區分審查》,《東南法學》2022年第1期。這種利益平衡,實際上是場景理論的應用。因此,可識別信息能否認定為個人信息,歸根到底應該結合具體場景進行具體判斷。

(三) 確立個人信息識別標準的具體場景

任何個人信息都存在于一定的場景中,我們上班時可能需要刷指紋,入住賓館時需要登記身份證信息,就醫時需要填寫個人健康信息。我們與熟人聊天時,可能會交流很多敏感信息,但我們初識陌生人時可能只會留下手機號碼?？梢?個人信息的使用和界定離不開特定的場景。所謂場景,是指以活動、角色、關系、權力結構、規范、價值理念為特征的結構化的社會環境。(43)參見[美]海倫·尼森鮑姆:《場景中的隱私》,王苑譯,北京:法律出版社,2022年,第122頁。場景的構成要素多種多樣,有的學者概括為信息發送者、信息接受者、信息主體、信息類型、信息傳輸原則。(44)參見[美]海倫·尼森鮑姆:《場景中的隱私》,第130頁。有的學者把信息場景的構成要素概括為信息主體、信息處理者、第三方主體、信息性質、處理目的。(45)參見王苑:《敏感個人信息的概念界定與要素判斷——以〈個人信息保護法第28條為中心〉》,《環球法律評論》2022年第2期。還有的學者認為,場景的構成要素包括信息的敏感度、數量、收集方式、信息接受者的狀況、信息的使用目的與后果、與其他信息的比對情況、科技水平等等,不一而足。(46)參見范為:《大數據時代個人信息定義的再審視》。

《個人信息保護法》把識別分為“已識別+可識別”;《個人信息刑事案件解釋》把識別分為“單獨識別+與其他信息結合識別”。這兩種表述,本質上并無不同?！耙炎R別”就是“單獨識別”,指的是直接識別;“可識別”就是“與其他信息結合識別”,指的是間接識別。把直接識別信息界定為個人信息,一般爭議不大;有爭議的是,間接識別信息能否認定為個人信息。單獨的手機號碼在朋友之間可以直接識別特定自然人,但在陌生人之間則需要結合其他信息進行間接識別。那么,影響間接識別的場景因素有哪些?對此,存在不同觀點。

“一要素說”認為,影響間接識別的場景因素是識別主體的能力。具體而言,關于識別主體的能力,又存在主觀說、客觀說、折中說三種不同看法。(47)參見韓旭至:《個人信息概念的法教義學分析——個人信息概念的法教義學分析》,《重慶大學學報》(社會科學版)2018年第2期?！岸卣f”認為,影響間接識別的場景因素,除了識別主體的能力外,還包括獲取其他參考資料的難易度。(48)參見齊愛民、張哲:《識別與再識別:個人信息的概念界定與立法選擇》。實際上,“二要素說”與“一要素說”并無本質區別。所謂獲取其他參考資料的難易度,就是主體識別能力的反映。識別能力越強的,獲取其他參考資料的難度越小;識別能力越弱的,獲取其他參考資料的難度越大?！叭卣f”認為,在間接識別的場合下,需要考慮三個方面的要素:一是信息本身的重要性程度,如果涉案信息與人身、財產安全密切相關,則傾向于認定為個人信息;二是需要參考的其他信息的數量,如果涉案信息需要結合的其他信息少,則認定為個人信息的可能性大;三是行為人的主觀目的,如果行為人獲取信息不是為了識別出特定自然人,那么就不宜認定為公民個人信息。(49)參見喻海松編著:《實務刑法評注》,北京:北京大學出版社,2022年,第1061頁?！八囊卣f”認為,影響間接識別的要素有四個:識別目標是什么、由誰來識別、識別概率多大、識別的后續風險多大。(50)參見丁曉東:《論個人信息概念的不確定性及其法律應對》,《比較法研究》2022年第5期。

實際上,影響個人信息界定的場景因素多種多樣,甚至無法窮盡列舉。例如,誰在收集信息,誰在分析信息,誰在傳播信息,向誰傳播信息,信息的性質,各方之間的關系,甚至還包括更大的制度和社會環境。(51)H.Nissenbaum,“Privacy as contextual integrity”,Washington Law Review,Vol.79,No.1,2004,pp.119-157.本文參考上述觀點,提出間接識別的四條基本規則。

1. 識別目的越明確,界定為公民個人信息的可能性越大

根據識別目的之明確性大小,識別可以分為四種:查找型識別(lookup)、確認型識別(recognition)、歸類型識別(classification)、會話型識別(session)。(52)參見R.Leenes,“Do they know me?Deconstructing identifiability”,University of Ottawa Law &Technology Journal,Vol.4,No.1&2,2008,pp.135-161.其中,目的越靠前,認定為公民個人信息的可能性越大;目的越靠后,認定為公民個人信息的可能性越小。刑法中的公民個人信息,應僅限于查找型識別的場景。例如,就單獨的手機號碼而言,陌生人可以利用手機號碼與被害人進行對話以獲得更多的信息,從而進行廣告推銷甚至詐騙。但是,陌生人難以利用單獨的手機號碼查找出特定的自然人。所以單獨的手機號碼,僅僅屬于“會話型識別”信息,而非“查找型識別”信息,不應構成刑法中的公民個人信息。實踐中多數判決也把單獨的手機號碼排除在公民個人信息的條數之外。2018年《檢察機關指引》認為由公司購買、使用的手機號碼不是公民個人信息,也是考慮該類手機號碼能夠查找到的主要是公司,而不是特定自然人。再如,利用cookie信息可以了解網絡用戶的檢索記錄、消費偏好、生活習慣、性別等,以至于可以對其進行大致歸類。所以cookie信息只屬于“歸類型識別”信息,不足以實現查找特定自然人的目的,一般不應作為刑法中的公民個人信息。

2. 識別能力越強,界定為公民個人信息的可能性越大

對于部分信息,一般人可能缺乏識別能力,但是特殊職業的工作人員卻具有識別能力。就孤立的手機號碼而言,一般人可能無法依此識別特定自然人,但電信服務行業的工作人員卻能輕易地查找(識別)到特定自然人。就孤立的身份證號碼而言,一般人同樣難以通過一串數字識別特定自然人,但公安機關的工作人員、酒店服務行業的工作人員卻具有識別能力。那么,對于這些信息,應該以誰的能力作為識別標準?“主觀說”主張以行為人的識別能力為標準,“客觀說”主張以社會一般人的識別能力為標準,折中說主張以任一主體的識別能力為標準。(53)參見韓旭至:《個人信息概念的法教義學分析》。2015年《刑法修正案(九)》頒布以前,侵犯公民個人信息罪的主體是特殊主體,即“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”,采取的是以行為人識別能力為標準的“主觀說”?！缎谭ㄐ拚?九)》把侵犯公民個人信息罪的主體由特殊主體擴增為一般主體,因此,刑法中的公民個人信息也應采取以一般人識別能力為標準的“客觀說”。

3. 識別后果越重,界定為公民個人信息的可能性越大

《個人信息刑事案件解釋》把個人信息分為高度敏感信息、低度敏感信息和非敏感信息。這三類信息的私密性依次遞減,社會性依次遞增;同時,這三類信息對人身、財產安全的危險也依次遞減。第一類信息處于個人最核心的私密領域,對人身、財產安全的危險最大;第二類信息處于中間層的私人領域,其私密性有所降低,社會性有所增加,對人身、財產安全的危險較大;第三類信息處于最外層的社會領域,其私密性最低,社會性最高,對人身、財產安全的危險相對較小。(54)參見歐陽本祺:《侵犯公民個人信息罪的法益重構:從私法權利回歸公法權利》,《比較法研究》2021年第3期。因此,信息的私密性越高,對人身、財產的危險越大,界定為公民個人信息的可能性越大;反之,信息的社會性越高,對人身、財產的危險越小,界定為公民個人信息的可能性越小。

4. 識別概率越高,界定為公民個人信息的可能性越大

如前所述,根據識別特定自然人概率的高低,可以把信息依次分為已識別信息、可識別信息、不可識別信息。其中,已識別信息屬于個人信息,不可識別信息不屬于個人信息?？勺R別信息內部也有識別概率高低的差異,越靠近“已識別”一端,需要結合的其他資料越少,識別概率越高,認定為公民個人信息的可能性越大。反之,越接近“不可識別”一端,需要結合的其他資料越多,識別概率越低,認定為公民個人信息的可能性越小。

三、 刑法中敏感個人信息識別標準的確立

如前所述,個人相關信息分為已識別信息、可識別信息、不可識別信息三類。其中,已識別信息屬于個人信息;不可識別信息不屬于個人信息;可識別信息中有的屬于個人信息,有的不屬于個人信息。上文提出的識別個人信息的四條具體標準,旨在把個人信息與非個人信息區別開來。接下來面臨的另一個問題是,個人信息又包括一般個人信息與敏感個人信息,敏感個人信息又包括高度敏感個人信息與低度敏感個人信息,刑法對一般個人信息、低度敏感信息、高度敏感信息分別規定了不同的立案標準。因此,需要在個人信息的識別標準之外,進一步研究敏感個人信息的識別標準。

從字面上來看,個人信息敏感與否,似乎是個人心理感受的問題。因此主觀說認為,個人信息敏感與否應該以個人的主觀反應為標準。(55)參見寧園:《敏感個人信息的法律基準與范疇界定——以〈個人信息保護法〉第28條第1款為中心》,《比較法研究》2021年第5期。但我國的立法和司法解釋并沒有采取主觀說,而是以個人信息所涉及的法益為標準來界定個人信息的敏感與否,實際上采取的是客觀說?！秱€人信息保護法》第28條規定,敏感個人信息是指一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息,以及不滿14周歲未成年人的個人信息?？梢?《個人信息保護法》界定敏感信息的法益標準包括三類:人格尊嚴法益、人身財產安全法益、未成年人法益。對比《個人信息刑事案件解釋》和《個人信息保護法》,可以發現有兩個問題值得研究:一是刑法中的敏感信息是否應該與《個人信息保護法》中的敏感信息完全一致;二是刑法中的高度敏感信息與低度敏感信息如何區分。這兩個問題的解決有賴于刑法中敏感個人信息識別標準的確立。

(一) 刑法中敏感個人信息的識別標準應否與前置法相同

關于刑法中敏感個人信息的識別標準是否應該與《個人信息保護法》等前置法保持一致,我國學界存在同一標準說與獨立標準說之分。同一標準說認為,關于敏感個人信息的識別標準,刑法應該與前置法保持一致?！秱€人信息保護法》依據法益的不同,把敏感信息分為三類。而《個人信息刑事案件解釋》只承認前置法中的第二類敏感信息,這就會導致刑法與前置法的沖突。因此,應該修改刑法解釋,擴大刑法中敏感信息的范圍,即把前置法中的三類敏感信息,都作為刑法中的敏感信息。(56)參見劉憲權:《敏感個人信息的刑法特殊保護研究》,《法學評論》2022年第3期;周光權:《侵犯公民個人信息罪的行為對象》,《清華法學》2021年第3期。獨立標準說認為,刑法與前置法的規范目的不同,刑法只承認《個人信息保護法》中的第二類敏感信息,具有合理性。(57)參見喻海松:《“刑法先行”路徑下侵犯公民個人信息罪犯罪圈的調適》?！皼]有必要過于追求不同立法中敏感個人信息的含義完全一致,這與法秩序統一性并不矛盾”。(58)張勇:《敏感個人信息的公私法一體化保護》,《東方法學》2022年第1期。本文贊同獨立標準說,理由如下:

1. 獨立標準符合刑法的法益保護目的

目的是全部法律的創制者,每條法律規則的產生都源于一種目的。(59)參見[美]E.博登海默:《法理學:法哲學與法律方法》,鄧正來譯,北京:中國政法大學出版社,1999年,第109頁。實際上,個人信息本身并無價值,使用才產生價值;同樣,個人信息本身并無危險,使用才產生危險。(60)參見范為:《大數據時代個人信息定義的再審視》。因此,保護個人信息,并不是為了保護個人信息本身,而是為了保護個人信息背后的實體法益。個人信息是阻擋層法益,其他法益是背后層法益。立法區分敏感信息與非敏感一般信息的依據,不在阻擋層法益,而在背后層法益。不同的部門法因對背后層法益的保護立場不同,會對阻擋層個人信息采取不同的保護力度,并設置不同的敏感信息識別標準。例如,《個人信息保護法》的目的是規范信息處理活動,因此區分敏感信息與非敏感信息,是為了對敏感信息實行特殊的處理規則。(61)《個人信息保護法》第1條規定,“為了保護個人信息權益,規范個人信息處理活動,促進個人信息合理利用,制定本法”。另外,該法第二章第二節規定了“敏感個人信息的處理規則”?！睹穹ā返?034條區分私密個人信息與非私密個人信息,是為了對私密個人信息進行隱私權的保護。再如,《汽車數據安全管理若干規定(試行)》對汽車數據中的敏感個人信息作了特別規定?！秱€人信息安全規范》更是把敏感個人信息分為五大類,50余種。這些部門規章和行業規范規定敏感個人信息的目的,主要是為了行政管理。那么,刑法是否應該像《個人信息保護法》一樣,把涉及人格尊嚴的信息和涉及未成年人的信息都規定為敏感個人信息呢?本文對此持否定態度。

首先,人格尊嚴寬泛而模糊,無法作為刑法中敏感信息的識別標準。人格尊嚴既可以指基礎性的價值原理,也可以指個別性權利。作為個別性權利的人格尊嚴,又包括廣義、中義和狹義三種學說。廣義上的人格尊嚴幾乎無所不包,凡是涉及人的身體或者精神的權利或利益都可以稱為人格尊嚴;中義上的人格尊嚴包括名譽權、榮譽權、姓名權、肖像權、隱私權、自我決定權等;狹義上的人格尊嚴,僅指侮辱、誹謗、誣告陷害所侵害的權益。(62)參見林來梵:《憲法學講義》,北京:清華大學出版社,2018年,第410—411頁。

刑法當然要保護人格尊嚴。從廣義上來講,刑法分則第四章中所有的侵犯公民人身權利、民主權利犯罪,都是在保護人格尊嚴;從狹義上來講,侮辱罪、誹謗罪、誣告陷害罪、拐賣婦女兒童罪保護的是特定的人權尊嚴。當然,還有大量的人格尊嚴(如個人不受歧視和平等對待的人格權益)尚未被刑法類型化地予以保護?！缎谭ā放c《個人信息保護法》的最大不同在于,《刑法》堅持罪刑法定原則,追求類型化和明確性,反對象征性立法。而《個人信息保護法》卻保留有大量前瞻性和象征性的立法。將涉及人格尊嚴的個人信息規定為敏感信息,是《個人信息保護法》中明顯的象征性立法。但是,以追求明確性為宿命的刑法,不可能以模糊的人格尊嚴為標準來界定敏感信息。

其次,未成年人的特殊法益,也無法作為刑法中敏感信息的識別標準?！秱€人信息保護法》之所以把未滿14周歲未成年人的信息規定為敏感信息,目的是要求個人信息處理者制定專門的信息處理規則,并征得未成年人監護人的同意。而《刑法》只是在強奸罪、拐騙兒童罪、組織兒童乞討罪、引誘幼女賣淫罪中規定了對未滿14周歲未成年人的特殊保護。這些犯罪與未成年人個人信息之間并無直接的對應關系,即使把未成年個人信息作為敏感信息,也無法預防或者減少這些犯罪的發生。實際上,只有當個人信息事關個人的人身、財產安全時,刑法才有必要特殊對待,將其作為敏感個人信息。而這時的敏感信息,與被害人的年齡無關,而只與人身、財產法益有關。

總之,刑法保護個人信息是為了保護背后的其他法益,個人信息是阻擋層法益,其他法益是背后層法益。因此,當不存在背后層的核心和關鍵法益時,就不應該有阻擋層的敏感個人信息。按照這個邏輯,刑法只應該把危及人身、財產安全法益的個人信息規定為敏感信息,而不應該把模糊的人格尊嚴和特殊的未成年人法益作為敏感信息的識別標準。

2. 獨立標準能夠保持刑法的罪刑均衡

同一標準說認為,《個人信息保護法》把生物識別、宗教信仰列為敏感信息,利用生物識別信息可能構成侮辱罪、詐騙罪等,侵犯宗教信仰可能構成非法剝奪公民宗教信仰自由罪。因此,生物識別和宗教信仰也應該成為刑法中的敏感信息,而且是高度敏感信息,50條即構成犯罪。(63)參見劉憲權:《敏感個人信息的刑法特殊保護研究》。本文認為,生物識別只有在特定場景下才可以成為刑法中的敏感信息,而宗教信仰不能成為刑法中的敏感信息。

生物識別信息具有識別性,無疑屬于刑法中的個人信息。但生物識別信息并非必然屬于刑法中的敏感信息,只有當生物識別信息危害人身、財產安全時,才可以成為刑法中的敏感信息。換言之,生物識別信息能否成為刑法中的敏感信息,需要依據具體場景來認定。有的學者認為,用公眾人物的人臉信息替換淫穢視頻中的人臉信息,是對公眾人物人格、名譽的極大侵害,因此人臉識別信息應當作為刑法中的高度敏感信息。(64)參見劉憲權:《敏感個人信息的刑法特殊保護研究》。首先需要明確的是,利用AI換臉技術侵犯他人名譽的行為,無疑可以構成誹謗罪;非法獲取或者提供他人人臉信息的行為,無疑也可以構成侵犯公民個人信息罪。(65)參見歐陽本祺、王兆利:《涉人臉識別行為刑法適用的邊界》,《人民檢察》2021年第13期。但是,AI換臉場景中的人臉信息不屬于敏感個人信息。因為,人臉信息背后的法益是他人的名譽,換臉行為情節嚴重的構成誹謗罪,法定刑為3年以下有期徒刑或者拘役、管制。根據我國司法解釋,利用換臉技術制作的淫穢視頻只有被點擊5000次或者轉發500次才可能構成誹謗罪。而按照上述同一標準說,非法獲取或者提供人臉信息,50條就可以構成侵犯公民個人信息罪,并且處3年以下有期徒刑或者拘役。這會導致明顯的罪刑不均衡。因為預備行為實行化的犯罪(侵犯公民個人信息罪),處罰不應該重于實行犯(誹謗罪)。同樣道理,非法剝奪公民宗教信仰自由罪的法定刑很輕,情節嚴重的才處2年以下有期徒刑或者拘役。如果按照前述同一標準說,非法獲取或者提供50條宗教信仰信息,就構成侵犯公民個人信息罪,并且處3年以下有期徒刑或者拘役。這也會導致明顯的罪刑倒掛。

(二) 刑法中高度敏感信息與低度敏感信息的識別標準

《個人信息刑事案件解釋》對敏感信息實行分級分類保護,即把敏感個人信息分為高度敏感信息與低度敏感信息,高度敏感信息50條構成犯罪,低度敏感信息500條構成犯罪。因此,探索刑法中高度敏感信息與低度敏感信息的識別標準具有重要的實踐意義。這主要體現為以下兩個問題。

1. 財產信息與交易信息的識別

根據司法解釋,財產信息屬于高度敏感信息;交易信息屬于“其他可能影響財產安全”的低度敏感信息。實踐中的識別難點為房產信息和車輛信息的屬性認定。例如,關于小區的“業主姓名+聯系電話+樓號+房號+建筑面積+購房價格”等個人信息的屬性,檢察院一般認為是高度敏感信息,有的法院認定為高度敏感信息的財產信息,有的法院認定為低度敏感信息中的交易信息。(66)參見廣西壯族自治區桂林市秀峰區人民法院(2019)桂0302刑初71號刑事判決書;山西省太原市中級人民法院(2020)晉01刑終247號刑事判決書。再如,有的法院認為,“姓名+電話+車牌+品牌+顏色”信息屬于高度敏感信息中的財產信息,而“姓名+電話+車牌”信息只屬于低度敏感信息中的交易消息。(67)參見廣東省中山市第一人民法院(2021)粵2071刑初1951號刑事判決書。那么,應該如何來識別財產信息與交易信息呢?有的學者認為,在難以區分的情況下,應該按照有利于被告人的原則來確定信息類型。(68)周光權:《侵犯公民個人信息罪的行為對象》。有的學者認為,應從實質上判斷所涉信息是否危及人身、財產安全。(69)參見喻海松:《“刑法先行”路徑下侵犯公民個人信息罪犯罪圈的調適》。

本文認為,采用存疑有利于被告的原則可能值得商榷。因為存疑有利于被告人的原則只與事實之認定有關,而不適用于法律解釋。因此,當法律適用有爭議時,依法律解釋之原則即使對被告應為不利之決定時,法院也應如此。(70)參見[德]Claus Roxin:《德國刑事訴訟法》,吳麗琪譯,臺北:三民書局,1998年,第145頁。換言之,存疑有利于被告只適用于事實判斷的場合,而不適用于價值判斷的場合。對已經查明的個人信息,判斷其是屬于高度敏感信息還是低度敏感信息,原本是一個價值判斷的問題,而不是事實判斷的問題。因此,財產信息與交易信息的區分,無法適用有利于被告的原則,否則就會把所有信息認定為交易信息。

實質判斷說基本是準確的。因為是否屬于高度敏感信息,原本就是一個價值判斷問題,只能從實質上判斷該信息是否會高度危及人身、財產安全。問題是,信息是否會危及人身財產安全,與器物是否會危及人身財產安全的實質判斷完全不同。例如,一般認為“兇器”,是指在性質上或者用法上足以殺傷他人的物品。某物品是否兇器,應該考慮幾個方面的要素:物品殺傷機能的高低;物品供行兇的蓋然性程度;物品對人的危險感程度;物品被攜帶的可能性大小。(71)參見張明楷:《刑法學》,第1245頁?？梢?物品是否危害人身、財產安全,是從物品本身的不同角度來判斷的。而個人信息是否危害人身、財產安全,無法單獨從信息本身來判斷;信息有利或者有害,主要不取決于信息本身,而取決于信息的使用者。因此,信息是否會高度危害人身、財產安全,主要應從使用人的角度來判斷,而不能只從信息本身的角度來判斷。大體上,需要考慮行為人非法獲取或者提供個人信息的目的、時間、地點、人際關系等具體場景要素。例如,如果行為人獲取房產信息只是為了推銷家具,推銷裝修業務,一般不宜認定為財產信息,認定為交易信息即可。但如果行為人獲取房產信息是為了詐騙、入戶盜竊等目的,那么該房產信息就應該認定為高度敏感信息中的財產信息。同樣道理,如果行為人獲取車輛信息只是為了推銷車輛保險等業務,那么車輛信息只能認定為交易信息。但如果行為人獲取車輛信息是為了進行盜竊,那么該信息就應該認定為高度敏感信息中的財產信息。

2. 行蹤軌跡與交通信息的識別

根據《個人信息刑事案件解釋》,行蹤軌跡屬于高度敏感信息;交通信息屬于“其他可能影響人身、財產安全”的低度敏感信息。那么,應該如何來識別這兩種不同的信息呢?羊某非法獲取公民個人信息案集中反映了行蹤軌跡和交通信息區分上的難點。在該案中,羊某非法獲取的6383條公民個人機票信息記載了他人乘坐飛機的航班、時間、始發地、目的地等要素。檢察院起訴書認為,這些機票信息屬于高度敏感信息中的“行蹤軌跡”;一審判決認為,這些機票信息不是高度敏感信息,也不是低度敏感信息,而屬于非敏感的一般個人信息;二審判決認為,這些機票信息屬于低度敏感信息。(72)參見海南省第二中級人民法院(2019)瓊97刑終222號刑事判決書。該案二審判決的意見,為司法實踐的主流觀點。(73)參見海南省儋州市人民法院(2018)瓊9003刑初242號刑事判決書;浙江省蒼南縣人民法院(2019)浙0327刑初655號刑事判決書;浙江省溫州市中級人民法院(2019)浙03刑終1689號刑事判決書。與機票信息不同,車輛GPS定位信息、手機定位信息往往被認定為高度敏感信息中的行蹤軌跡。(74)參見2022年最高人民檢察侵犯公民個人信息犯罪典型案例之四(陳某甲、于某、陳某乙侵犯公民個人信息案);江蘇省鹽城市亭湖區人民法院(2021)蘇0902刑初301號刑事判決書;山東省沂水縣人民法院(2020)魯1323刑初122號刑事判決書;廣東省廣州市黃埔區人民法院(2019)粵0112刑初289號刑事判決書。

可見,作為高度敏感信息的行蹤軌跡與作為低度敏感信息的交通信息的識別標準,在于其對人身、財產安全的危害程度。而危害程度又取決于這些信息是否反映了他人的實時活動情況。申言之,反映實時活動情況的信息,對人身、財產安全具有高度危險性,應認定為高度敏感信息;反映過往活動情況的信息,對人身、財產安全的危險相對較小,應認定為低度敏感信息。