尚权推荐SHANGQUAN RECOMMENDATION

　　摘要

　　我国刑法已将侵犯公民个人信息行为纳入犯罪圈，但构成要件规定仍然存在模糊之处，极易导致司法实践的无所适从。主要问题包括“公民个人信息“内涵、外延界定模糊、犯罪对象认定混乱、实践中存在同案不同判等现象。刑法对于”公民个人信息“的分类与前置法存在差异，很大程度上将导致罪刑关系失衡。应当在整体考察“公民个人信息”相关立法沿革、明确“公民个人信息”特征的基础上，进一步廓清“公民个人信息”的内涵。

　　关键词：侵犯公民个人信息罪；公民个人信息；已公开的个人信息

　　一、问题的提出

　　在大数据信息时代，公民个人信息作为一种重要的社会资源，体现着社会价值和财产价值，其地位和作用正不断凸显。网络技术的发展也增加了个人信息的暴露风险，无形中为违法窃取公民个人信息行为提供了便利。日益增加的侵害公民个人信息行为也导致了一系列的下游犯罪，例如电信诈骗、套路贷等等，其形成的地下产业和犯罪链条严重威胁到了社会安全。

　　我国个人信息保护的实践早期主要在刑事领域展开，从现有的治理侵犯公民个人信息的措施看，刑罚仍然承担主要角色，且持严罚的态度。《刑法修正案（七）》首次将公民个人信息保护直接纳入我国刑事立法。该修正案第七条增设了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名，将侵犯公民个人信息情节严重的行为定为犯罪。 该修正案奠定了公民个人信息刑事保护的基础，但是其缺陷也显而易见。具体而言，法条中没有对公民个人信息的定义，后续也并无司法解释予以补充，导致保护范围较窄，导致具体运用中出现法律空白。

　　随后《刑法修正案（九）》进一步修改，将两罪合并为“侵犯公民个人信息罪”，并完善了对罪状的描述、扩大了该罪的打击范围。但该修正案仍旧没有制定对“公民个人信息”统一的认定标准，法官在司法实践中只能将《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称《通知》）以及社会大众的一般评价作为依据，对案件加以判断。由于公民个人信息范畴随着时代发展不断变化，缺乏统一标准将造成在法律适用上意见不一致，最终导致同案不同判现象。因此，通过对现有法律条文进行修正或补充解释，使公民个人信息这一概念与时俱进，解决司法实务中面临的现实困境便成为了当前亟待解决的难题。

　　二、“公民个人信息”概念的发展路径

　　“公民个人信息”的概念经历了多部法律、长期的修改和完善，主要有以下五部法律法规：

　　（一）《关于加强网络信息保护的决定》和《关于依法惩处侵害公民个人信息犯罪活动的通知》

　　《关于加强网络信息保护的决定》（以下简称《决定》）是我国首部关于个人网络信息保护的专门立法，其框架性的规定对个人信息保护具有提纲挈领的作用。第1条第1款规定了：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”随后在2013年４月23日，两高与公安部联合发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称《通知》），在第2条中规定，公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料。

　　《通知》相比《决定》有两方面的进步：其一，扩大了“公民个人信息”的范围，实现了对公民个人信息的全方位保护；其二，采用概括加列举的表述方式，对常见类型进行列举。但两部文件的基本精神保持一致，都将“可识别性”和“隐私性”作为“公民个人信息”的核心要素。通过将狭义的可识别信息与隐私信息相结合，《决定》和《通知》为公民提供了较为全面的个人信息保护法网。

　　（二）《网络安全法》

　　2016年颁布的《网络安全法》第76条第5项中规定了“个人信息”，是指是指以电子或者其他方式记录的到能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该条款中删除了隐私信息，并将“能够单独识别”扩大到“能够单独或者与其他信息结合识别”。

　　不难看出，《网络安全法》认为“隐私性”并不一定是个人信息的必备要素，“可识别性”也从狭义变为广义，增加了与其他信息结合后可识别的“间接型可识别信息”。相比《通知》，两个文件对于“能够与其他信息结合识别的信息”都采取保护的态度，只是对它的认识与定位有所不同，《通知》将其作为隐私信息予以保护，《网络安全法》则是作为“间接型可识别信息”，将其纳入到广义的可识别信息进行保护。

　　（三）《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

　　《刑法修正案（九）》出台后，各省市开始严厉打击侵犯公民个人信息类犯罪，案件数量不断飙升的同时也反映出新的法律适用问题。为保障法律的正确、统一适用，最高人民法院研究室及时启动了司法解释的调研起草工作，最终通过了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（以下简称《解释》），自2017年６月１日起施行。《解释》结合当前侵犯公民个人信息犯罪的特点和司法实践反映的问题，根据刑法、刑事诉讼法的规定，对侵犯公民个人信息罪的定罪量刑标准和相关法律适用问题作了全面、系统的规定。第1条采取概括加列举的立法模式：“公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”

　　《解释》生效后便成为司法人员判案的重要法律依据，用于判断犯罪客体是否属于侵犯公民个人信息罪中“公民个人信息”。鉴于对“公民个人信息”内涵和外延的规定直接影响行为人入罪与否以及量刑轻重，因此该《解释》具有重大的实践意义。

　　（四）《民法典》和《个人信息保护法》

　　《民法典》中“个人信息”规定在第1034条第2款：“电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮件、健康信息、行踪信息等。”《个人信息保护法》规定在第4条第1款：“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”由于部门法规制的对象差异性，以上两部法律法规中“个人信息”的外延与《刑法》稍显不同。这并不意味刑法领域的判断可以摒弃《民法典》《网络安全法》和《个人信息保护法》而自成一派，也不是像有的学者所认为的刑法中的个人信息可以不要求可识别性。

　　刑事司法实践中，行为人侵犯的个人信息基本能够被囊括在民事的常见类型中，《民法典》或《个人信息保护法》中有明确规定，但刑事司法解释上未明确列举的信息类型，不等于刑法上不处罚。这是由法秩序的统一性所决定的，当刑民对某一客体保护的目的一致的情况下，刑法应当从属于民法，这是法秩序统一性的当然要求。具体本罪而言， 《民法典》《网络安全法》和《个人信息保护法》中关于“个人信息”的外延为刑法定罪提供依据，并成为刑法保护个人信息的最大边界。

　　三、“公民个人信息”的特征和类别

　　在认定具体信息是否属于“公民个人信息”前，应当对其特征和种类进行了解。

　　（一）判定“公民个人信息”的重要特征

　　第一，与特定自然人相关联且具有可识别性，这是最基本的判定依据。要求个人信息本身或与其他信息结合后，能够聚焦某一特定自然人的身份或反映其活动情况。例如，单独家庭住址信息通常无法准确与特定自然人相关联，但结合了手机号码、工作地址等信息后便可以实现与特定自然人的关联，因而应当将其列入公民个人信息的范围之中。应当注意，匿名化处理后无法识别特定个人且不能复原的信息，虽然也可能反映自然人的活动情况，但与特定的自然人无直接关联，则不属于公民个人信息的范畴，即“公民个人信息”的可识别性。

　　第二，信息具备有效性。若行为人出于营利目的，多次重复提供信息以增加信息数量，或者经过多方流转后行为人获得大量重复信息，或者信息明显失真、虚假的，由于无法与特定公民相对应，因此不属于本罪中的“公民个人信息”。

　　司法实务对于被告提出的信息无效、不真实的辩护意见，多数判决表示不予采纳，但也存在例外情况。概括而言，法官目前有三种处理方式：其一，量刑时酌情考虑，从宽处罚；其二，从有利于被告人的层面考量，在公诉机关指控数量的基础上删除存疑的信息或数据，就低认定涉案的信息和数据数量；其三，以被告人及其同案犯（共同犯罪的情况下）供述的比例来计算有效的信息数量。以上三种方式得出的裁判结果都具有一定的合理性。

　　第三，侵害程度符合本罪保护的法益。以体系解释的视角来看，本罪规定在《刑法》分则第四章“侵犯公民个人权利、民主权利罪”中，保护的法益为个人对自身特定的可识别信息的自主权，是对个人意思自治、自我决定权的保护。因此，只有当行为人实施了对以上权利造成实际侵害或现实危险的行为，才满足构成本罪的条件。如果出现对于定位信息模糊或者存在重大偏离的情况，对公民个人的行动自由造成的危险较小，不足与达到启用刑法来保护的程度，在民事领域按照侵权行为处理即可。

　　（二）《刑法》和《个人信息保护法》的分类

　　《解释》第五条将公民个人信息分为三大类，即敏感信息、重要信息和一般信息。具体而言，行踪轨迹信息、通信内容、征信信息、财产信息属于敏感信息；住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息属于重要信息；除此之外的其他信息则属于一般信息。对于不同种类的信息，入罪的标准也存在差异化：非法获取、出售或者提供行敏感信息50条以上，非法获取、出售或者提供重要信息500条以上，非法获取、出售或者提供前述信息以外的公民个人信息5000条以上的，属于情节严重，可以构成本罪。

　　与《解释》不同，《个人信息保护法》将信息分为了敏感信息和非敏感信息两类，规定在第28条：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

　　不同部门法的规范目的不同，进而有不同的分类方式实属正常，但《解释》将个人信息等级划分得过于细致，导致出现了如下弊端。一方面，出现了多种信息之间的交叉、重合问题，法院在认定具体信息时容易出现因标准不一导致的罪刑失衡。另一方面，除了信息直观的外在表现，用途、获取或提供目的等因素也影响着信息的重要程度，在不考虑以上因素的前提下，笼统地将某一信息确定为敏感信息、重要信息或一般信息，存在过于绝对化的风险。对此，笔者较为认同周光权教授的观点，即在刑法上抛弃对于个人信息种类进行细分的思路，直接采用个人信息保护法的方案将个人信息区分为敏感信息和一般信息两种。

　　四、“公民个人信息”的具体范畴

　　在司法实践中，大部分案件的犯罪对象为公民的普通身份信息，对于该类一般个人信息的认定，实务中争议较少。通常情况下，信息内容越详尽，越可能构成重要信息和敏感信息，若不能准确把握和理解不同的信息，将导致罪与非罪的判定问题。因此，对某些信息具体范围的厘清有重要的实践意义。

　　（一）“公民”的范围

　　“公民”的主体不限于中国公民，但不包括单位。首先，对于“公民”应当采取广义解释，行为人提供、获取个人信息的社会危害性并不会因为受害人是否为中国公民而受到影响，因此在没有“中华人民共和国”这一前缀的限制下，本罪的保护法益理应包括外国人和无国籍人的个人信息。我国一视同仁的做法正是对同等保护原理的体现。其次，要将单位排除在“公民”范围之外，有以下三点理由：一是“公民”与“单位”之间不具有兼容性；二是大部分信息自由、安全权和隐私权均产生于人格权，而单位并不具有人格权或信息权，反而有可能承担公开信息的义务；三是对于单位具有的“商业秘密”、“商业信誉”和“商品声誉”等信息权，虽然也需要由刑法进行保护，但侵犯商业秘密罪和损害商业信誉、商品声誉罪等罪名足以评判行为人的刑事责任。

　　（二）行踪轨迹的范围

　　行踪轨迹信息系事关人身安全的高度敏感信息，法律应当给予高度关注并且重点保护。一方面，行踪轨迹的内容能够相对完整地反映出自然人地活动情况；另一方面，该类信息通常不需要结合其他信息便可关联到特定自然人，具有相对独立性。《解释》第5条规定了其入刑数额，只要不法分子非法获取、出售或者提供50条以上行踪轨迹，就已经达到了情节严重的标准，从而构成刑事犯罪。不难看出，行踪轨迹信息入刑的门槛较低，惩罚力度较大，但目前法律法规对于行踪轨迹的具体定义却付诸阙如，实践中不可避免因标准不清出现同案不同判现象。因此，对于行踪轨迹的具体认定应当严格把握其外延，以免扩大刑法处罚范围。

　　日常生活中常见的行踪轨迹信息可以分为两种类型：第一种是车票、打车记录等能够反映自然人过往或将来行踪的静态信息；第二种是GPS定位、实时位置共享等反映自然人当前行踪的动态信息。对于第一种，虽然也能够一定程度反映自然人的活动情况，但相比第二种能够实时监控自然人的位置变化情况，其危险程度显然较低。应当认为，只有第二种行踪轨迹信息才能被纳入刑法中的“公民个人信息范畴”，因为一旦被有心之人掌握，便可能引发抢劫、绑架、杀人等严重危害公民人身财产安全的犯罪，这也是司法解释设置较低入罪门槛的原意和目的。

　　该种观点已在司法实践中得到了应用，相关判决书中指出：行踪轨迹信息系直接涉及人身安全的公民个人信息，只宜理解为GPS定位、车辆轨迹信息等能够直接识别特定个体所在位置坐标的信息。民航订票、民航离港、铁路售票、出入境、车辆卡口、滴滴打车等信息虽涉及公民个人的轨迹，但上述单个信息反映的内容需结合其他信息及查询者的目的使用，故不宜将上述民航订票、民航离港、铁路售票、出入境、车辆卡口、滴滴打车等信息作为单个的行踪轨迹信息计算。刘宪权教授也认为，行踪轨迹信息和一般公民个人信息之间是存在一定差异的，是最有可能被不法分子所利用的信息类型之一，不法分子可以通过这一类信息来实现对信息主体的侵害，从而危害公民个人的人身和财产安全，属于特别敏感信息。

　　对于有学者提出的虚拟网络中的活动轨迹是否属于行踪轨迹信息，本文认为应当分情况讨论：一般情况下，自然人在网络上的浏览记录等信息尽管能够反映其活动情况，但对于自然人的人身财产安全造成不法侵害的可能性较低，此时将其纳入行踪轨迹信息的范畴不符合立法原意；但若是能够通过技术处理，从网页浏览情况定位到自然人所在位置的实时变化情况，应当能够将其认定为行踪轨迹信息。

　　（三）财产信息的范围

　　财产信息的泄露极易引发侵害财产安全的犯罪，为了清晰财产信息的具体范围，最高检出台了《检察机关办理侵犯公民个人信息案件指引》（以下简称《指引》），对财产信息进行了较为明确的规定：财产信息不仅包括银行、证券期货等金融服务账户的身份认证信息，而且也包括存款、房产等财产信息。其中房产、车辆等信息是否属于财产信息引起了学界的争议。有观点认为，应当将房产信息区别于与人身、财产直接相关的敏感信息，将其认定为交易信息更为妥当。因为房产信息于一般私人财产而言相对公开，并且实践中行为人对于动产的侵占意图远远高于不动产，即房产信息被非法获取后对自然人造成法益侵害的危险性和紧迫性较低，不宜处以最严格的法定刑。

　　有的学者则认为，房产信息并非绝对不能纳入财产信息。实践中存在大量非法获取、提供业主信息的案件，法院对此的判决结果分为两类：少数法院认为业主资料中包含了房号、业主姓名、联系方式等内容，能够反映特定自然人的财产状况，属于财产信息、敏感信息；大部分法院还是认为业主信息的财产属性很弱，侵犯这些信息的危害性、隐秘性有限，其至多属于重要信息，实践中将其认定为一般信息的居多。

　　然而在极少数案件中，与房产信息相关联的不仅包括房主的个人信息、居住信息，还包括房屋详细位置、面积、交易价格、交易时间、装修程度、抵押或贷款等各种详细情况，非法获取其中的部分信息也会导致自然人的人身、财产安全处于危险状态，获取以上房产信息便等同于掌握了公民的财产状况，结合案件具体情况，将其认定为财产信息具有合理性。

　　由于财产信息入罪门槛也相对较低，应当类比行踪轨迹信息，严格认定信息属性来把控刑法的打击面。只有涉案信息能够通过财产评估得出公民个人财务情况的内容，才能认定为财产信息。除此之外，若行为人没有实施人身财产侵权行为的主观故意，则不应将此类信息认定为公民财产信息。

　　（四）对侵害已公开信息的认定

　　对于已经依法公开的公民个人信息，即代表任何人都有权利获取，此时合法的获取或提供不会违反国家的规定，也不会具有违法性。若行为人获取公开的个人信息后进行有偿转让、出售，是否也不构成侵犯个人信息罪呢？实务上对于未经自然人同意，获取部分其在公众网络上公开的信息并出售或提供给他人的情形是否定罪一直存在，分为有罪说和无罪说。

　　多数派主张有罪说，认为个人信息不同于个人隐私。公开信息虽然已经丧失隐私性，但其仍属于个人信息，获取或者利用这样的信息仍然可能侵害个人生活的安宁，危及公民人身或者财产权利，因此，从市场主体信息中剥离出来的个人姓名及身份证件号码、家庭住址、通讯方式等信息，仍然具有个人信息的本质属性，该行为成立本罪。认同无罪说的认为：公民在公众网络中公开信息意味着个人放弃权利的同意，即使其中包含于自然人关联度较高的内容，也不属于本罪保护的个人信息。

　　《民法典》中也有对此类问题的规定，第1036条表示，如果行为系对已公开的个人信息进行不合理处理的，仍然应当承担侵权责任。《个人信息保护法》中也与《民法典》保持一样的基调，在第27条中指出：“个人信息处理者可以在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；个人明确拒绝的除外。个人信息处理者处理已公开的个人信息，对个人权益有重大影响的，应当依照本法规定取得个人同意。”

　　对于“合法性”的认定应该结合自然人公开信息的目的及行为人获取信息的用途进行综合判断。当行为人处理了公开的个人信息但并未违背该信息公开的目的，没有侵犯自然人的法益处分自由，对此《民法典》《个人信息法》等前置法并不介入，该个人信息是权利主体自愿放弃保护的财物，且处分行为没有违背其处分财物的意思，其在刑法上的要保护性丧失，不属于刑法所保护的行为对象。反之，行为人的获取、提供行为偏离或改变信息公开目的的，或者获取、提供已公开个人信息实施可能危及公民人身或财产安全的违法犯罪行为的，应当以侵犯个人信息罪论处。

来源：中外刑事法学研究

作者：谢卓颖，华东政法大学刑事法学院2022级刑法学硕士研究生