关于企业或自然人未经他人同意,能否处理他人的手机号码?笔者一直认为这是毋庸置疑的问题。但近期江苏某法院作出的一起刑事判决,认定手机裸号不属于公民个人信息,将该问题推向了争议高地。笔者尝试对该问题进行讨论,以期抛砖引玉。
从民事角度分析,根据《民法典》第一千零三十四条:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”
从行政监管角度分析,根据《网络安全法》第七十六条:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”根据《个人信息保护法》第四条:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
从刑事角度分析,根据《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条:“刑法第二百五十三条之一规定的‘公民个人信息’,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”
由上可以看出,个人信息既包括“单独型个人信息”,也包括“结合型个人信息”。且不论手机裸号被认定为“单独型个人信息”,还是“结合型个人信息”,民事领域(以《民法典》为主)和行政领域(以《网络安全法》为主)均以列举的方式,认定“电话号码”属于个人信息;刑事领域(以《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》为主)也以列举的方式,认定“通信通讯联系方式”属于个人信息,至于手机裸号能否被认定为“通信通讯联系方式”,司法实践中观点不一,但如果按照个人信息的概念界定分析,即使手机裸号被认定属于“结合型个人信息”,也属于个人信息的一种。
从民事角度分析,根据《民法典》第九百九十一条:“民事主体的人格权受法律保护,任何组织或者个人不得侵害。”根据《民法典》第一百一十一条:“自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”根据《民法典》第一百七十九条:“承担民事责任的方式主要有:(一)停止侵害;(二)排除妨碍;(三)消除危险;(四)返还财产;(五)恢复原状;(六)修理、重作、更换;(七)继续履行;(八)赔偿损失;(九)支付违约金;(十)消除影响、恢复名誉;(十一)赔礼道歉。法律规定惩罚性赔偿的,依照其规定。本条规定的承担民事责任的方式,可以单独适用,也可以合并适用。”
由上可以看出,由于《民法典》认为手机裸号属于个人信息,因此,如果存在非法收集、使用、加工、传输他人个人信息的,属于侵权行为,需要承担相应的民事责任。
从行政监管角度分析,根据《网络安全法》第四十一条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”根据《网络安全法》第六十四条:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”
根据《个人信息保护法》第二十三条规定:“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。”根据《个人信息保护法》第六十六条:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”根据《个人信息保护法》第六十七条:“有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示。”
由上可以看出,在行政监管领域,一般认为手机裸号属于个人信息。因此,如果存在非法收集、使用、加工、传输他人个人信息情形的,将由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,还可能被处以五千万元以下或者上一年度营业额百分之五以下罚款等。
从刑事角度分析,根据《刑法典》第二百五十三条之一:“【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。”
根据《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条:“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’:(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;(七)违法所得五千元以上的;(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;(十)其他情节严重的情形”。
由上可以看出,在刑事领域,不论手机裸号被认定为“单独型个人信息”,还是“结合型个人信息”,均属于个人信息的一种,如违反国家有关规定,向他人出售或者提供公民个人信息,情节严重/特别严重的,可能涉嫌构成侵犯公民个人信息罪。
在民事领域,如不当处理手机裸号导致信息主体遭受伤害的,属于侵权行为,需要承担一定的法律责任;在行政监管领域,虽然并未查找到处理手机裸号被处罚的直接案例,但未经信息主体同意处理个人信息被处罚的案例并不少;在刑事领域,由于刑法具有谦抑性,关于手机裸号是否属于刑法意义上的“公民个人信息”,司法实践中存在两种主要观点:1.肯定观点:认为手机裸号可以识别特定自然人,因其与实名制下的身份信息相绑定,能够反映特定自然人的活动情况,因此应被认定为个人信息。2.否定观点:认为单独的手机裸号无法直接识别特定自然人,且普通公众无法通过合法途径查询到相关的身份信息,因此不应认定为个人信息。值得注意的是,律师界的观点认为由于刑法具有谦抑性,因此侧重于认定将手机裸号排除于个人信息之外,但由于手机裸号被认定为公民个人信息的刑事案例并不少,可以看出法官群体的观点和律师界的观点不一定相同。(详见附件《检索报告》)
基于前文分析,我们认为手机裸号属于个人信息,只不过在民事领域、行政监管领域和刑事领域的认定标准并不统一。虽然刑事领域存在不同的认定观点,但手机裸号仍然存在较大可能性被认定为刑事意义上的个人信息,因此江苏某法院作出的刑事个案的认定观点,笔者认为并不具有普遍的参考意义,不应轻易冒险尝试。实际上,随着《个人信息保护法》《数据安全法》的出台,个人信息保护呈现不断趋严的态势,不仅刑事风险需要警惕,民事领域和行政领域的风险亦不容忽视。由于企业日常生产经营中,触犯刑事风险的可能性较低,因此,民事领域和行政监管领域的合规性才应该是企业需要着重关注的问题。而根据法律明文规定以及司法实践中的判例,手机裸号被认定为民事意义上/行政监管意义上的个人信息的风险很高,因此,在日常生产经营中,未经用户同意,私自处理手机裸号的风险并不合规