文進(jìn)寶，肖冬梅

0 引言

隨著位置服務(wù)(Location-Based Service)[1]的興起和發(fā)展，個人行蹤軌跡信息的利用日益廣泛。移動設(shè)備通過收集、分析個人行蹤軌跡信息，對用戶進(jìn)行畫像，實(shí)現(xiàn)千人千面的推送。疫情期間，追溯確診者、疑似者、密切接觸者等重點(diǎn)人群的行蹤軌跡是疫情防控的重要環(huán)節(jié)。隨著行蹤軌跡信息的廣泛利用，個人信息泄露和濫用問題亦日益凸顯。究其原因，主要是因?yàn)榉晌磳π雄欆壽E信息的范圍作出明確界定。2021年11月1日實(shí)施的《中華人民共和國個人信息保護(hù)法》(以下簡稱《個人信息保護(hù)法》)將 “行蹤軌跡信息” 納入敏感個人信息①，但未對其內(nèi)涵和外延進(jìn)行界定。有關(guān)標(biāo)準(zhǔn)和規(guī)范雖有提及行蹤軌跡信息的類似概念②，但正式采用 “行蹤軌跡信息” 這一表達(dá)是在《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)?！秱€人信息保護(hù)法》實(shí)施前，僅有《汽車采集數(shù)據(jù)處理安全指南》對行蹤軌跡的下位概念 “位置軌跡” 進(jìn)行界定。這不僅會使司法機(jī)關(guān)在進(jìn)行行蹤軌跡信息認(rèn)定時缺乏明確的法律依據(jù)，也會使圖書館等義務(wù)主體面臨合規(guī)困境。

值得注意的是，我國司法實(shí)踐對行蹤軌跡信息的認(rèn)定不一。譬如朱榮偉、張順侵犯公民個人信息罪一案③中，法院認(rèn)為 “滴滴出行記錄” 不能單獨(dú)識別個人位置，不能認(rèn)定為行蹤軌跡信息；而在曾奕等侵犯公民個人信息一案④中，法院認(rèn)為 “滴滴出行記錄” 可認(rèn)定為 “行蹤軌跡信息” 。學(xué)界對行蹤軌跡信息的界定也未達(dá)成共識。在《解釋》出臺前，一些學(xué)者對行蹤軌跡信息的類似概念 “地理位置信息” 有界定[2-4]。由于《解釋》使用 “行蹤軌跡信息” 稱謂，此后的相關(guān)研究聚焦于 “行蹤軌跡信息” 的界定[5-7]，但爭議頗大。可見，對這一概念，我國法律未作界定，司法認(rèn)定標(biāo)準(zhǔn)不一，學(xué)界爭議尚存。本文旨在通過解構(gòu)我國現(xiàn)有相關(guān)規(guī)定，考察域外立法例，結(jié)合司法實(shí)踐及學(xué)界觀點(diǎn)，對行蹤軌跡信息進(jìn)行明確界定，以期為相關(guān)法律完善和司法解釋出臺提供參考。

1 我國行蹤軌跡信息保護(hù)范圍及其認(rèn)定困境

1.1 行蹤軌跡信息界定現(xiàn)狀

我國法律及司法解釋均未界定行蹤軌跡信息。法律層面，《中華人民共和國民法典》(以下簡稱《民法典》)第1034條⑤將 “行蹤信息” 納入個人信息范圍，但未界定行蹤信息?！秱€人信息保護(hù)法》第28條將 “行蹤軌跡信息” 納入敏感個人信息，但也未對之作界定。司法解釋層面，2017年《解釋》⑥第5條規(guī)定非法獲取、出售或者提供蹤軌跡信息50條以上的應(yīng)當(dāng)認(rèn)定為刑法第253條之一規(guī)定的 “情節(jié)嚴(yán)重” ，但《解釋》也未對行蹤軌跡信息作出規(guī)定。

“實(shí)時地理位置” “位置軌跡數(shù)據(jù)” “個人位置信息” 等類似概念的界定散見于相關(guān)標(biāo)準(zhǔn)和規(guī)范性文件(見表1)。

表1 行蹤軌跡信息相關(guān)標(biāo)準(zhǔn)和規(guī)范

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》(以下簡稱《指引》)規(guī)定行蹤軌跡是基于實(shí)時地理位置形成的個人行蹤和行程信息?！吨敢凡捎?“實(shí)時地理位置” 這一表達(dá)意在強(qiáng)調(diào)行蹤軌跡信息的 “實(shí)時” 要素，但列舉類型中提到的 “車輛軌跡信息” “出入境記錄” 不僅包括當(dāng)下的實(shí)時坐標(biāo)信息，還包括過去時間已經(jīng)完成的車輛軌跡信息或出入境記錄信息。對過去時間的歷史軌跡信息是否屬于行蹤軌跡，《指引》未作說明。

《汽車采集數(shù)據(jù)處理安全指南》(以下簡稱《指南》)對行蹤軌跡的下位概念 “位置軌跡數(shù)據(jù)” 有界定。根據(jù)《指南》第4條， “位置軌跡數(shù)據(jù)” 是基于衛(wèi)星定位、通信網(wǎng)絡(luò)等各種方式獲取的汽車定位和途徑路徑相關(guān)的數(shù)據(jù)。但《指南》主要適用于汽車行業(yè)數(shù)據(jù)采集。《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《規(guī)范》)對 “個人位置信息” 有界定，附錄指出個人位置信息包括行蹤軌跡、精準(zhǔn)定位信息、住宿信息、經(jīng)緯度等，但未對 “行蹤軌跡” 概念作單獨(dú)界定。

1.2 司法適用和義務(wù)主體合規(guī)困境

由于我國法律及司法解釋均未界定行蹤軌跡信息，相關(guān)標(biāo)準(zhǔn)和規(guī)范性文件雖然對行蹤軌跡及其下位概念 “位置軌跡” 進(jìn)行了界定，但因適用范圍和對象受限，使得司法機(jī)關(guān)的法律適用以及義務(wù)主體合規(guī)面臨困境。

首先，行蹤軌跡信息無明確界定，易擴(kuò)大法官自由裁量權(quán)，導(dǎo)致同案不同判現(xiàn)象。我國司法實(shí)踐中，不同案例對行蹤軌跡信息曾出現(xiàn)截然不同的認(rèn)定，譬如在朱榮偉、張順侵犯公民個人信息罪一案中，法院認(rèn)為滴滴出行記錄雖涉及公民個人的軌跡，但上述單個信息反映的內(nèi)容需結(jié)合其他信息及查詢者的目的使用，滴滴出行記錄本身不能單獨(dú)識別個人位置，故不能認(rèn)定為行蹤軌跡信息；而在曾奕等侵犯公民個人信息一案中，法院認(rèn)為被告通過非法獲取滴滴出行記錄謀取了經(jīng)濟(jì)利益，滴滴出行記錄可認(rèn)定為行蹤軌跡信息。在何光虹、戴亞東侵犯公民個人信息罪一案⑦和高書強(qiáng)、羅浩波侵犯公民個人信息罪一案⑧中，法院未對行蹤軌跡信息的范圍作論證，而直接以行蹤軌跡表述。行蹤軌跡認(rèn)定亂象的產(chǎn)生主要是由于我國法律未對行蹤軌跡信息范圍作明確界定。過多的自由裁量將會影響法律的穩(wěn)定性，因此應(yīng)當(dāng)合理約束法官的自由裁量權(quán)，避免規(guī)則的濫用[8]。保持法律的穩(wěn)定性和連續(xù)性對民事主體的權(quán)利保護(hù)至關(guān)重要。我國《民法典》《個人信息保護(hù)法》雖對行蹤軌跡信息有提及，但均未對范圍作出界定，使得法官認(rèn)定行蹤軌跡信息時自由裁判空間過大，同案不同判現(xiàn)象屢有發(fā)生，這顯然不利于權(quán)利主體的權(quán)利保護(hù)。

其次，明確行蹤軌跡信息內(nèi)涵和外延亦是義務(wù)主體合規(guī)之前提?！吨腥A人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《個人信息保護(hù)法》不僅建立了個人信息和數(shù)據(jù)保護(hù)的基本框架，且均明確要求義務(wù)主體建立個人信息或數(shù)據(jù)的合規(guī)制度，《個人信息保護(hù)法》更要求大型互聯(lián)網(wǎng)平臺、業(yè)務(wù)類型復(fù)雜的企業(yè)等義務(wù)主體應(yīng)當(dāng)按照國家規(guī)定建立健全個人信息合規(guī)制度體系。可見，個人信息合規(guī)體系的建立和完善已成為義務(wù)主體一項(xiàng)重要法律義務(wù)[9]?！秱€人信息保護(hù)法》將 “行蹤軌跡信息” 納入敏感個人信息，并規(guī)定了敏感個人信息的處理要求。在《個人信息保護(hù)法》規(guī)定的合規(guī)義務(wù)中， “告知-同意” 義務(wù)是十分重要的一項(xiàng)。處理敏感個人信息應(yīng)當(dāng)取得個人的單獨(dú)同意，并向個人明示處理的目的、方式和范圍。在涉及個人信息會被用于用戶畫像或個性化展示的情況下，則應(yīng)在隱私政策中征得用戶的同意，充分保障用戶知情權(quán)。而 “告知-同意” 義務(wù)的履行就依賴于信息范圍和種類的明確性。 “行蹤軌跡信息” 界定的缺失，使得義務(wù)主體在履行 “告知-同意” 義務(wù)時缺乏明確指引。據(jù)《中國消費(fèi)者協(xié)會2018年App個人信息泄露情況調(diào)查報(bào)告》顯示，App過度索權(quán)、超范圍收集個人信息等現(xiàn)象明顯，其中讀取位置信息和訪問聯(lián)系人權(quán)限是用戶安裝和使用手機(jī)App時最為常見的情況[10]。2018年谷歌被曝非法追蹤用戶位置信息[11]，近來滴滴打車也因涉嫌違規(guī)收集包括用戶行蹤軌跡信息在內(nèi)的個人信息被強(qiáng)制下架。

科學(xué)合理界定行蹤軌跡信息的內(nèi)涵和外延，對明確司法機(jī)關(guān)認(rèn)定標(biāo)準(zhǔn)、指引圖書館等義務(wù)主體合規(guī)義務(wù)的履行具有重要意義。

2 域外行蹤軌跡信息的立法例考察

2.1 行蹤軌跡信息的抽象概念考察

考察歐盟、英國、美國以及韓國立法例，法律規(guī)定中未使用 “行蹤軌跡信息” 這一表達(dá)，但有類似概念。

歐盟《隱私與電子通信指令》第2條規(guī)定， “位置數(shù)據(jù)” (Location Data)指通過電子通信網(wǎng)絡(luò)或電子通信服務(wù)處理得到的可表明用戶終端設(shè)備所在地理位置的數(shù)據(jù)[12]。英國和歐盟的規(guī)定總體一致，且對位置數(shù)據(jù)種類有具體規(guī)定。根據(jù)英國《隱私與電子通信條例》， “位置數(shù)據(jù)” 包括終端設(shè)備的緯度經(jīng)度或高度、用戶的旅行方向或位置信息的記錄時間有關(guān)的數(shù)據(jù)[13]。

美國對行蹤軌跡信息類似概念的界定散見于各州和聯(lián)邦的法案。州層面，《加州消費(fèi)者隱私法案》(CCPA)是美國第一個全面的隱私法案，該法將 “精準(zhǔn)地理位置” (The Precise Geolocation)數(shù)據(jù)納入敏感個人信息，并規(guī)定精準(zhǔn)地理位置是指用于定位消費(fèi)者在1，850英尺半徑范圍內(nèi)地理位置的數(shù)據(jù)[14]。《加州隱私權(quán)法案》(CPRA)[15]、《華盛頓隱私法案》(WPA)以及弗吉尼亞州《消費(fèi)者數(shù)據(jù)保護(hù)法案》(CDPA)的規(guī)定與CCPA總體保持一致，僅在半徑范圍上存在差異，CDPA規(guī)定 “精準(zhǔn)地理位置數(shù)據(jù)” (The Precise Geolocation Data)是指通過技術(shù)手段獲得的(包括但不限于全球定位系統(tǒng)水平的經(jīng)緯度坐標(biāo)或其他機(jī)制)，能夠直接識別自然人在1，750英尺半徑范圍的具體位置的信息，但不包括通信內(nèi)容或供公用事業(yè)使用的數(shù)據(jù)[16]。聯(lián)邦層面，《消費(fèi)者數(shù)據(jù)隱私安全法案》(Consumer DataPrivacyand SecurityActof2020)將 “精準(zhǔn)地理位置” 規(guī)定為通過技術(shù)手段產(chǎn)生的，能夠比郵政編碼、街道、城鎮(zhèn)或城市水平更精確地確定個人過去或當(dāng)前實(shí)際物理位置的信息[17]；《消費(fèi)者在線隱私權(quán)利法案》(COPRA)、《美國消費(fèi)者數(shù)據(jù)隱私法案》和《數(shù)據(jù)保護(hù)法案》亦強(qiáng)調(diào)位置數(shù)據(jù)包括可以定位到個人過去或當(dāng)前所在位置的數(shù)據(jù)。

韓國重視位置信息保護(hù)并對此單獨(dú)立法，2016年制定《位置信息保護(hù)與使用法》對位置信息(Location Information)和個人位置信息(Personal Location Information)作了區(qū)分界定。根據(jù)該法第2條，位置信息指通過電信通訊設(shè)備和電信線路設(shè)備收集的關(guān)于移動物體或個人在特定時間所在位置的信息。個人位置信息則特指涉及特定個人位置的信息，包括容易與其他信息結(jié)合追蹤某一特定個人位置的信息(即使該信息單獨(dú)并不足以識別個人位置)[18]。從規(guī)定可知，韓國所規(guī)定的個人位置信息不僅包括可以直接定位到特定個人位置的信息，還包括與其他信息結(jié)合可以間接識別到個人位置的信息，《位置信息保護(hù)與使用法》中的 “結(jié)合” 二字，事實(shí)上擴(kuò)大了個人位置信息的保護(hù)范圍。

2.2 行蹤軌跡信息的界定方式考察

考察歐盟、英國、美國和韓國立法例，定義式，即僅給出行蹤軌跡類個人信息的概念，是對行蹤軌跡信息類似概念采取的主流界定方式(見表2)。除定義式外，還存在定義+列舉、定義+排除兩種界定方式。定義+列舉，即在給出行蹤軌跡類個人信息概念的基礎(chǔ)上，進(jìn)一步對其種類進(jìn)行列舉。英國《隱私與電子通信條例》就采用該種方式對 “位置數(shù)據(jù)” 進(jìn)行界定。定義+排除，即在給出行蹤軌跡類個人信息概念的基礎(chǔ)上，又給出其排除范圍，以明確行蹤軌跡類個人信息的界限。如美國弗吉尼亞州《消費(fèi)者數(shù)據(jù)保護(hù)法案》規(guī)定 “精準(zhǔn)地理位置數(shù)據(jù)” 不包括通信內(nèi)容或供公用事業(yè)使用的數(shù)據(jù)，《華盛頓隱私法案》規(guī)定 “特定地理位置數(shù)據(jù)” 不包括通信內(nèi)容[19]。

表2 域外國家和地區(qū)行蹤軌跡信息界定方式

2.3 域外立法例的可鑒之處

歐盟、英國、美國和韓國對行蹤軌跡信息類似概念的規(guī)定，主要涵蓋 “技術(shù)手段” “物理位置” “直接識別” “時間” 四要素。

歐盟、英國、美國和韓國對行蹤軌跡信息類似概念的界定均體現(xiàn) “技術(shù)手段” 這一要素。其中歐盟和英國規(guī)定， “位置數(shù)據(jù)” 是通過電子通信網(wǎng)絡(luò)或由電子通信服務(wù)處理獲得。美國弗吉尼亞州《消費(fèi)者數(shù)據(jù)保護(hù)法案》規(guī)定 “精準(zhǔn)地理位置數(shù)據(jù)” 是通過技術(shù)手段獲得，包括但不限于全球定位系統(tǒng)水平的經(jīng)緯度坐標(biāo)或其他機(jī)制。韓國規(guī)定 “位置信息” 是通過電信通訊設(shè)備和電信線路設(shè)備收集得到的數(shù)據(jù)。美國聯(lián)邦層面對 “精準(zhǔn)地理位置” 的界定還強(qiáng)調(diào) “物理位置” 要素。《消費(fèi)者數(shù)據(jù)隱私安全法案》將 “精準(zhǔn)地理位置” 規(guī)定為通過技術(shù)手段產(chǎn)生的，能夠比郵政編碼、街道、城鎮(zhèn)或城市水平更精確地確定個人過去或當(dāng)前實(shí)際物理位置的信息。

在四要素中，識別性要素和時間要素在域外立法例中規(guī)定不一。就信息的識別性，美國州層面強(qiáng)調(diào) “精準(zhǔn)地理位置數(shù)據(jù)” 的 “直接識別” 要素。例如，弗吉尼亞州《消費(fèi)者數(shù)據(jù)保護(hù)法案》規(guī)定 “精準(zhǔn)地理位置數(shù)據(jù)” 是能夠直接識別自然人具體位置的信息。這意味著需結(jié)合其他個人信息才能識別到個人位置的信息不屬于 “精準(zhǔn)地理位置數(shù)據(jù)” 。韓國《位置信息保護(hù)與使用法》規(guī)定 “個人位置信息” 還包括結(jié)合其他個人信息可識別到個人位置的信息，這意味著能夠間接識別個人位置的信息也屬于個人位置信息。該規(guī)定事實(shí)上擴(kuò)大了位置信息的保護(hù)范圍，削弱了法律的明確性。相比之下，美國立法中對 “直接識別” 這一要素的規(guī)定更值得我國借鑒。就 “時間” 這一要素，美國與英國和韓國的規(guī)定亦有不同。美國《消費(fèi)者數(shù)據(jù)隱私安全法案》《消費(fèi)者在線隱私權(quán)利法案》《數(shù)據(jù)保護(hù)法案》《美國消費(fèi)者數(shù)據(jù)隱私法案》均強(qiáng)調(diào)位置數(shù)據(jù)包括可以定位到個人過去或當(dāng)前所在位置的數(shù)據(jù)。而英國和韓國法律規(guī)定雖對 “時間” 這一要素有規(guī)定，但未說明是否包括過去時間的位置信息。

從時間維度看，行蹤軌跡信息不僅包括當(dāng)下的精準(zhǔn)坐標(biāo)信息[20]，亦包括過去一段時間所對應(yīng)的歷史活動軌跡⑨。我國《個人信息保護(hù)法》一審稿和二審稿(見表3)均采用 “個人行蹤” 這一表述，相比之下，《個人信息保護(hù)法》使用 “行蹤軌跡” 這一表達(dá)反映出立法者對 “軌跡” 一詞的考量。根據(jù)文義解釋， “行蹤” 多指目前停留的地方， “軌跡” 強(qiáng)調(diào)一個點(diǎn)在空間移動的全部路徑[7]。這意味著無論是當(dāng)下的坐標(biāo)信息還是已經(jīng)完成的歷史軌跡都屬于行蹤軌跡信息。為保持我國法律體系的一致性，行蹤軌跡信息的界定可參考美國的規(guī)定，把過去時間的歷史軌跡也納入行蹤軌跡信息的范圍。

表3 《個人信息保護(hù)法》一審稿二審稿和《個人信息保護(hù)法》對比

從界定方式來看，定義式是域外國家和地區(qū)對行蹤軌跡信息類似概念采取的主流界定方式。但該界定方式缺乏可操作性，不利于提升司法效率。相比之下， “定義+列舉+排除” 的界定方式具有較強(qiáng)的可操作性，值得我國借鑒。我國界定行蹤軌跡信息范圍時，可借鑒域外國家和地區(qū)的有關(guān)規(guī)定，以 “時間” “物理位置” “直接識別” “技術(shù)手段” 四要素為核心界定行蹤軌跡信息，以技術(shù)手段為分類依據(jù)進(jìn)行列舉，再排除需結(jié)合其他信息才能識別個人位置的信息。

3 出路——科學(xué)合理界定行蹤軌跡信息

3.1 界定方式

3.1.1 非窮盡列舉

歐盟采用定義式對 “位置數(shù)據(jù)” 進(jìn)行界定，而美國州法大都在定義中規(guī)定了 “精準(zhǔn)地理位置數(shù)據(jù)” 的半徑范圍。定義式可為司法實(shí)踐提供明確的概念指引，但由于缺乏具體種類列舉，法官判案過程仍需依賴對定義的主觀解釋，可操作性不強(qiáng)。英國采用定義+窮盡列舉式的界定方式明確 “位置數(shù)據(jù)” 的種類和范圍，相比定義式具有更高的可操作性，可合理約束法官的自由裁量權(quán)，提升司法效率。但伴隨信息定位技術(shù)的出現(xiàn)，行蹤軌跡信息的種類在不斷增加，窮盡列舉作為一種先驗(yàn)主義方法，存在滯后性問題，無法適應(yīng)技術(shù)的發(fā)展。相比之下，定義+非窮盡列舉式不僅能明確行蹤軌跡信息的具體種類，為司法適用和義務(wù)主體合規(guī)提供明確指引，還能克服窮盡列舉式的滯后性弊端，為科技發(fā)展留下靈活適用空間，值得我國借鑒。

我國行蹤軌跡信息有關(guān)刑事案件中，法院多對行蹤軌跡信息作限縮解釋。譬如在朱榮偉、張順侵犯公民個人信息罪，葉莞龍、梁道盟、何高山等侵犯公民個人信息罪⑨以及羊漢統(tǒng)詐騙罪⑩等案件中，法院認(rèn)為行蹤軌跡信息應(yīng)理解為GPS定位、車輛軌跡信息等。但該解釋不能直接適用于民事領(lǐng)域。刑法以懲罰犯罪為切入點(diǎn)，保護(hù)的是個人行蹤軌跡信息承載的個人生命權(quán)、身體權(quán)、健康權(quán)等人格利益[21]，故刑事領(lǐng)域行蹤軌跡信息的范圍應(yīng)作限縮解釋。而個人信息民事保護(hù)的意旨則與此不同，其是對由人權(quán)發(fā)展而來的人格尊嚴(yán)和人身自由等相關(guān)人格利益進(jìn)行保護(hù)。在規(guī)制個人信息流轉(zhuǎn)的整個過程中，需要平衡個人信息權(quán)利和整個社會信息有序使用之間的關(guān)系[22]。民事領(lǐng)域行蹤軌跡信息的范圍應(yīng)大于刑事領(lǐng)域，不能僅將GPS信息和車輛軌跡認(rèn)定為行蹤軌跡信息。此外，隨著新的定位手段出現(xiàn)，行蹤軌跡信息的種類在增加。行蹤軌跡信息的界定，需為技術(shù)發(fā)展留有一定空間。

3.1.2 列舉類型：以技術(shù)手段為分類依據(jù)

位置服務(wù)的實(shí)現(xiàn)依賴行蹤軌跡信息的獲取，GPS全球定位系統(tǒng)生成的經(jīng)緯度標(biāo)簽是獲取行蹤軌跡信息的公認(rèn)標(biāo)準(zhǔn)[3]。行蹤軌跡信息獲取技術(shù)除GPS全球定位系統(tǒng)，還包括WiFi定位、基站定位及我國自主研發(fā)的北斗衛(wèi)星定位等，這在產(chǎn)業(yè)及學(xué)界的有關(guān)研究中已基本達(dá)成一致[3，21，23]。GPS定位精準(zhǔn)度高，WiFi定位主要應(yīng)用于室內(nèi)精準(zhǔn)定位[24]，每種定位方式精準(zhǔn)度不同，適用不同場合[25]。行蹤軌跡信息的表現(xiàn)形式多樣，包括經(jīng)緯度、出行記錄、車輛軌跡等。隨著位置服務(wù)技術(shù)的發(fā)展，行蹤軌跡信息的載體和表現(xiàn)形式還在不斷發(fā)生變化，要對其具體種類進(jìn)行列舉顯然存在困難。位置服務(wù)功能的實(shí)現(xiàn)依賴行蹤軌跡信息的獲取，可以技術(shù)手段為分類依據(jù)劃分行蹤軌跡信息的種類。技術(shù)手段包括但不限于GPS定位、北斗衛(wèi)星定位、WiFi定位、基站定位等。

3.1.3 排除不能直接識別個人位置的信息

除可直接識別個人位置的信息，還存在結(jié)合其他個人信息可以識別到個人位置的信息。對于需結(jié)合其他個人信息才能識別到個人位置的信息是否可納入行蹤軌跡類個人信息，域外立法例規(guī)定不一。韓國將與其他信息結(jié)合可識別個人位置的信息納入位置信息具有局限性。隨著云計(jì)算和大數(shù)據(jù)技術(shù)的發(fā)展，特定身份、醫(yī)療健康、金融賬戶等其他敏感個人信息相互組合分析后，都可能識別到特定個人位置。若將本身并不能識別到特定個人位置的信息也納入到行蹤軌跡信息，行蹤軌跡信息保護(hù)范圍將無明確邊界。與韓國的規(guī)定不同，美國弗吉尼亞州CDPA強(qiáng)調(diào) “精準(zhǔn)地理位置數(shù)據(jù)” 指能夠直接(Directly)識別自然人在1，750英尺半徑范圍的具體位置的信息。 “直接識別” 排除了結(jié)合其他信息可以識別到個人位置的信息，給行蹤軌跡信息的保護(hù)范圍劃定了明確邊界，提升了法律規(guī)定的明確性。

從我國司法實(shí)踐來看，法院多數(shù)觀點(diǎn)也認(rèn)為行蹤軌跡信息應(yīng)指可以直接識別到個人特定位置的信息。譬如在羊漢統(tǒng)詐騙罪一案中，法院認(rèn)為航班信息雖記載了被害人姓名、航班、航班日期、出發(fā)地、到達(dá)地等較具體的出行信息要素，但僅憑上述信息內(nèi)容尚無法直接定位特定自然人的具體實(shí)時地理坐標(biāo)，難以對特定公民的人身安全造成現(xiàn)實(shí)威脅。在朱榮偉、張順侵犯公民個人信息罪一案中，法院認(rèn)為民航訂票、民航離港、鐵路售票、出入境、車輛卡口、滴滴打車等信息雖涉及公民個人的軌跡，但上述單個信息反映的內(nèi)容需結(jié)合其他信息及查詢者的目的使用，故不宜將上述民航訂票、民航離港、鐵路售票、出入境、車輛卡口、滴滴打車等信息作為單個的行蹤軌跡信息計(jì)算。

綜上所述， “行蹤軌跡” 的形成需基于真實(shí)的地理位置，通過間接推斷得出的粗略地理位置信息不宜構(gòu)成行蹤軌跡信息的一部分[23]。行蹤軌跡信息應(yīng)指可以直接識別到個人位置的信息，需與其他信息相結(jié)合才能識別到個人位置的信息不能 “升級” 認(rèn)定為行蹤軌跡信息，以避免行蹤軌跡信息保護(hù)范圍無限擴(kuò)張。

3.2 抽象概念：明確特征要素以區(qū)別于其他個人信息

3.2.1 行蹤軌跡信息的時間要素

時間要素指行蹤軌跡信息通常伴隨時間變化產(chǎn)生個人或設(shè)備位置的變化。換言之，個人在不同的位置，會對應(yīng)產(chǎn)生不同的行蹤軌跡信息。伴隨手機(jī)等移動設(shè)備的廣泛使用，行蹤軌跡信息的時間要素日益凸顯。移動設(shè)備通過隨即收集行蹤軌跡信息可為用戶提供即時信息指導(dǎo)。位置數(shù)據(jù)行業(yè)能夠根據(jù)設(shè)備所收集的行蹤軌跡信息了解用戶在現(xiàn)實(shí)世界中的位置變化，從而為用戶提供相應(yīng)位置服務(wù)[26]。行蹤軌跡信息不僅對應(yīng)個人的活動，同時也對應(yīng)個人在不同時間的位置變化。對于個人的單個活動，如果僅記錄精準(zhǔn)位置信息，未記錄對應(yīng)時間、起止地點(diǎn)，則無法構(gòu)成 “行蹤軌跡”[23]。

從時間維度看，行蹤軌跡信息可以是當(dāng)下的精準(zhǔn)坐標(biāo)信息，例如健身追蹤器可實(shí)時監(jiān)測個人位置，以反饋個人運(yùn)動狀況[20]，也可以是個人過去一段時間所對應(yīng)的歷史活動軌跡，如車輛的運(yùn)行軌跡信息⑨。行蹤軌跡信息的時間要素在域外立法中得到體現(xiàn)。韓國《位置信息保護(hù)與使用法》對位置信息的定義強(qiáng)調(diào) “特定時間” 。美國《消費(fèi)者數(shù)據(jù)隱私安全法案》規(guī)定 “精準(zhǔn)地理位置” 包括個人過去或當(dāng)前的實(shí)際位置信息。美國學(xué)界也認(rèn)為手機(jī)用戶的位置信息分為兩種：實(shí)時(Real-time)位置信息和歷史(Historical)位置信息。對實(shí)時信息的獲取，屬于美國相關(guān)法律規(guī)定的信息攔截行為，因此美國警察一般要先獲得搜查令，后者則是存儲在手機(jī)網(wǎng)絡(luò)服務(wù)商處的手機(jī)用戶過去的位置信息[4]。

我國有學(xué)者認(rèn)為過去時間對應(yīng)的歷史軌跡不屬于行蹤軌跡信息，因其即使被犯罪分子獲取也無法實(shí)時定位到個人，難以造成人身和財(cái)產(chǎn)方面的損害[27]。該觀點(diǎn)對行蹤軌跡信息所保護(hù)的法益認(rèn)知存在片面性。根據(jù)《個人信息保護(hù)法》，敏感個人信息是一旦泄露或非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個人信息。行蹤軌跡信息作為敏感個人信息的一類，其保護(hù)的法益除個人人身或財(cái)產(chǎn)利益之外還有人格尊嚴(yán)。如果個人經(jīng)常參觀某宗教寺廟或同性酒吧，其軌跡雖然已經(jīng)完成，但是通過該歷史軌跡信息，依舊可推測個人宗教信仰或性取向，易對個人隱私或人格尊嚴(yán)造成損害。因此，從法益角度來看，過去時間對應(yīng)的歷史軌跡也應(yīng)當(dāng)屬于行蹤軌跡信息?！秱€人信息保護(hù)法》將 “個人行蹤” 修改為 “行蹤軌跡” 也表明行蹤軌跡信息不僅包括當(dāng)下的坐標(biāo)信息，還包括過去時間所對應(yīng)的歷史軌跡信息。

3.2.2 行蹤軌跡信息的物理位置要素

在信息網(wǎng)絡(luò)時代，個人信息具備線下和線上的高度映射性[22]。有學(xué)者認(rèn)為行蹤軌跡既存在于現(xiàn)實(shí)空間也存在于網(wǎng)絡(luò)空間[28]，網(wǎng)絡(luò)用戶使用服務(wù)的時間地點(diǎn)等信息就是 “上網(wǎng)軌跡” 信息的一種[29]。該觀點(diǎn)事實(shí)上混淆了網(wǎng)絡(luò)蹤跡信息和行蹤軌跡信息。個人網(wǎng)絡(luò)蹤跡信息指個人在網(wǎng)站上的數(shù)字瀏覽足跡[30]，包括用戶查詢記錄、網(wǎng)址瀏覽記錄和Cookie記錄等，具有網(wǎng)絡(luò)空間特征。行蹤軌跡信息則指個人所在的實(shí)際地理位置信息，對應(yīng)的是個人在現(xiàn)實(shí)生活中的實(shí)際物理位置。行蹤軌跡信息的物理位置要素在域外立法中有所體現(xiàn)。例如，美國《消費(fèi)者數(shù)據(jù)隱私安全法案》對 “精準(zhǔn)地理位置” 的界定強(qiáng)調(diào)物理位置要素。歐盟GDPR對網(wǎng)絡(luò)蹤跡信息通過Cookie有關(guān)規(guī)定進(jìn)行保護(hù)，未納入位置數(shù)據(jù)的范圍?？梢姡恢脭?shù)據(jù)應(yīng)當(dāng)不包括網(wǎng)絡(luò)行為信息。

在行蹤軌跡信息的界定中，頗具爭議的是設(shè)備IP地址信息。IP地址(Internet Protocol Address)是指互聯(lián)網(wǎng)協(xié)議地址，又譯為網(wǎng)際協(xié)議地址。IP地址是IP協(xié)議提供的一種統(tǒng)一的地址格式，它為互聯(lián)網(wǎng)上的每一個網(wǎng)絡(luò)和每一臺主機(jī)分配一個邏輯地址，以此來屏蔽物理地址的差異[31]。例如，圖書館用戶使用移動設(shè)備訪問圖書館數(shù)據(jù)庫時不僅會留下網(wǎng)絡(luò)訪問記錄，每個設(shè)備還有對應(yīng)的IP地址信息。圖書館用戶的網(wǎng)絡(luò)訪問記錄系網(wǎng)絡(luò)行蹤信息，因其不能直接對應(yīng)個人實(shí)際物理位置而不屬于行蹤軌跡信息。至于設(shè)備IP地址是否屬于行蹤軌跡信息關(guān)鍵是看其是否可以直接識別到個人特定物理位置。一般民用IP基本是使用動態(tài)IP，即同一IP并不必然與一臺設(shè)備綁定。有時，互聯(lián)網(wǎng)服務(wù)提供商會將同一個IP地址分配給大量計(jì)算機(jī)，因而可能出現(xiàn)多臺計(jì)算機(jī)使用相同IP地址的情況。IP地址雖是用戶實(shí)現(xiàn)上網(wǎng)所必須的字段，網(wǎng)絡(luò)服務(wù)商可以基于IP地址定位到用戶的大概位置，但該定位模糊、不精確，最多到城市、區(qū)/縣級別，無法識別到特定個人的具體位置。從IP地址構(gòu)成來看，其中亦不包含指向物理性 “地理位置” 的字符[32]。因此，IP地址本身無法識別到特定個人的具體物理位置，不屬于行蹤軌跡信息。

綜上所述，我國對行蹤軌跡信息的界定應(yīng)當(dāng)嚴(yán)格把握物理位置要素。行蹤軌跡一定是與現(xiàn)實(shí)地理位置相聯(lián)系或相對應(yīng)的軌跡，而不包括用戶在網(wǎng)絡(luò)中的行為軌跡。個人網(wǎng)絡(luò)行蹤軌跡(包括IP地址信息)雖可能包含有位置信息，但仍然停留在網(wǎng)絡(luò)世界，不能直接對應(yīng)到現(xiàn)實(shí)物理世界中的地理位置[5]，因而不屬于行蹤軌跡信息。

3.2.3 行蹤軌跡信息的技術(shù)要素

大數(shù)據(jù)時代的行蹤軌跡信息應(yīng)具有技術(shù)要素，即行蹤軌跡信息是通過個人移動設(shè)備結(jié)合特等定位技術(shù)所產(chǎn)生的位置信息。譬如移動設(shè)備結(jié)合GPS定位技術(shù)，可以快速便捷地獲取設(shè)備所在的位置信息[33]，并識別到個人位置。而傳統(tǒng)書面記錄的信息、人力跟蹤獲得的信息通常不屬于行蹤軌跡信息的范圍[7]。行蹤軌跡信息的技術(shù)要素在域外立法中得到體現(xiàn)，歐盟和英國的法律規(guī)定強(qiáng)調(diào) “位置數(shù)據(jù)” 是通過電子通信網(wǎng)絡(luò)或由電子通信服務(wù)處理得到；美國弗吉尼亞州CDPA強(qiáng)調(diào) “精準(zhǔn)地理位置數(shù)據(jù)” 是指通過 “技術(shù)手段” 獲得的數(shù)據(jù)。隨著位置服務(wù)(Location-Based Service)的興起和發(fā)展，智能手機(jī)和智能手表等移動設(shè)備幾乎都具備跟蹤個人移動的地理定位集成技術(shù)。通過網(wǎng)聯(lián)設(shè)備獲取的位置數(shù)據(jù)來識別個人特定地理位置已經(jīng)成為現(xiàn)代獲取行蹤軌跡信息的基本手段[20]?？萍歼M(jìn)步給行蹤軌跡信息的獲取帶來便利，同時也給個人隱私安全造成威脅。信息或數(shù)據(jù)保護(hù)立法的主要目的便是通過法律手段應(yīng)對技術(shù)發(fā)展所帶來的風(fēng)險(xiǎn)。

在綜合考慮行蹤軌跡信息的界定方式和 “時間” “物理位置” “技術(shù)手段” “直接識別” 四要素后，可對行蹤軌跡信息作如下界定： “行蹤軌跡信息指通過GPS全球定位系統(tǒng)、北斗衛(wèi)星定位系統(tǒng)、WiFi定位、基站定位等定位技術(shù)獲取的，可直接識別用戶過去或當(dāng)前時間所在物理位置的信息。包括個人的出行記錄、車輛軌跡等信息；不包括需結(jié)合其他信息才可識別個人位置的信息。”

4 結(jié)語

我國法律對行蹤軌跡信息這一法律概念未作界定。司法實(shí)踐雖對行蹤軌跡信息的界定有初步嘗試，但存在認(rèn)定標(biāo)準(zhǔn)不一的問題。為此，應(yīng)將現(xiàn)有司法裁判觀點(diǎn)進(jìn)行總結(jié)和完善，參考域外立法例，盡快出臺有關(guān)行蹤軌跡信息的司法解釋。司法解釋的制定應(yīng)把握四個部分：第一，行蹤軌跡信息需與特定時間相對應(yīng)，從時間維度來看，既包括當(dāng)前時間的位置信息，也包括過去時間所對應(yīng)的歷史軌跡信息。第二，行蹤軌跡信息應(yīng)是可以識別到個人實(shí)際物理位置的信息，網(wǎng)絡(luò)蹤跡信息仍然停留在網(wǎng)絡(luò)空間，無法直接對應(yīng)個人實(shí)際物理位置，不屬于行蹤軌跡信息。第三，行蹤軌跡信息是通過定位技術(shù)獲取的信息，技術(shù)手段包括但不限于GPS、北斗衛(wèi)星定位、WiFi定位、基站定位及其他新型定位技術(shù)。行蹤軌跡信息的界定要明確，也須為技術(shù)進(jìn)步留有一定空間；可以技術(shù)手段為分類依據(jù)，通過非窮盡式列舉方式規(guī)定行蹤軌跡信息的范圍。第四，行蹤軌跡信息應(yīng)當(dāng)是可以直接識別到個人特定位置的信息，須排除結(jié)合其他信息才可識別到個人位置的信息，以避免行蹤軌跡信息保護(hù)范圍無限擴(kuò)張。

注釋

①《個人信息保護(hù)法》第28條：敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿14周歲未成年人的個人信息。

② 在本文中，行蹤軌跡信息的類似概念指與行蹤軌跡信息相關(guān)的概念，包括但不限于位置信息、精準(zhǔn)地理位置數(shù)據(jù)、行蹤信息、位置軌跡數(shù)據(jù)、地點(diǎn)信息等。

③ 江蘇省蘇州工業(yè)園區(qū)人民法院 （2017） 蘇0591刑初814號刑事判決書。

④ 北京市第二中級人民法院（2019）京02刑終59號二審刑事裁定書。

⑤《民法典》第一千零三十四條：自然人的個人信息受法律保護(hù)。個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

⑥《最高人民法院最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條：刑法第253條之一規(guī)定的 “公民個人信息” ，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財(cái)產(chǎn)狀況、行蹤軌跡等。

⑦溫州市龍灣區(qū)人民法院（2018）浙0303刑初1248號刑事判決書。

⑧江蘇省邳州市人民法院（2019）蘇0382刑初48號刑事判決書。

⑨浙江省蒼南縣人民法院（2019）浙0327刑初655號刑事判決書。

⑩海南省第二中級人民法院（2019）瓊97刑終222號刑事判決書。