尚全推荐丨谢卓英：对侵犯公民个人信息罪中“公民个人信息”的厘清

摘要我国刑法已将侵犯公民个人信息行为纳入犯罪圈，但构成要件规定仍然存在模糊之处，极易导致司法实践的无所适从。主要问题包括“公民个人信息“内涵、外延界定模糊、犯罪

我国刑法已将侵犯公民个人信息纳入犯罪范畴，但构成要件的规定仍存在模糊性，很容易导致司法实践中的混乱。主要问题包括“公民个人信息”内涵外延模糊、犯罪客体认定混乱、实践中存在同一犯罪不同定罪现象等。刑法对“公民个人信息”的分类与介词法存在差异，很大程度上会导致罪刑关系的失衡。在全面审视“公民个人信息”立法历史、明确“公民个人信息”特征的基础上，应进一步明确“公民个人信息”的内涵。

关键词：侵犯公民个人信息罪；公民的个人信息；披露的个人信息

1. 提出问题

大数据信息时代，公民个人信息作为重要的社会资源，体现社会价值和财产价值，其地位和作用日益凸显。网络技术的发展也增加了个人信息暴露的风险，无形中为非法窃取公民个人信息提供了便利。公民个人信息侵权行为的日益增多，也引发了一系列下游犯罪，如电信诈骗、套路贷款等，其形成的地下产业及其犯罪链条严重威胁社会治安。

早期，我国的个人信息保护实践主要是在刑事领域进行的。从现有的控制公民个人信息侵权的措施来看，处罚仍然发挥着主要作用，并且采取严厉的处罚态度。《刑法修正案（七）》首次将公民个人信息保护直接纳入我国刑事立法。修正案第七条新增“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两项罪名，将严重侵犯公民个人信息罪定为犯罪。该修正案为公民个人信息的刑事保护奠定了基础，但其缺陷也很明显。具体来说，法律上对公民个人信息没有明确的界定，也没有后续的司法解释予以补充，导致保护范围狭窄，具体适用上存在法律空白。

随后，《刑法修正案（九）》进一步修改，将两罪合并为“侵犯公民个人信息罪”，完善了犯罪描述，扩大了犯罪范围。但此次修正案仍然没有对“公民个人信息”建立统一的识别标准。在司法实践中，法官只能根据《关于依法惩处侵害公民个人信息犯罪活动的通知》（以下简称《通知》）和公众的普遍评价来判断案件。由于公民个人信息的范围随着时代的发展而不断变化，缺乏统一的标准将会导致法律适用上的意见不一致，最终导致同一案件的不同判决。因此，通过修改或补充现行法律规定，使公民个人信息理念与时俱进，解决司法实践中面临的现实困境，已成为亟待解决的问题。

二、“公民个人信息”概念的发展轨迹

“公民个人信息”的概念经历了多次法律和长期的修改和完善。主要有以下五项法律法规：

(1) 《关于加强网络信息保护的决定》和《关于依法惩处侵害公民个人信息犯罪活动的通知》

《关于加强网络信息保护的决定》（以下简称《决定》）是我国首部关于个人网络信息保护的专门立法。其框架性规定对个人信息保护起到了纲领性作用。第一条第一款规定：“国家保护能够识别公民个人身份、涉及公民个人隐私的电子信息。”随后在2013年4月23日，两国最高机关和公安部联合发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》号文（以下简称《通知》号文），第二条规定公民个人信息包括公民的姓名、年龄、有效身份证件号码、婚姻状况、工作单位、教育程度、简历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民的信息。个人隐私信息和数据。

(2)《网络安全法》

(3)《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

《解释》生效后，将成为司法人员审理案件的重要法律依据，用于在侵犯公民个人信息犯罪中判定犯罪客体是否属于“公民个人信息”。鉴于关于“公民个人信息”内涵和外延的规定，直接影响行为人是否定罪及量刑轻重，本《解释》具有重大现实意义。

(4) 《民法典》和《个人信息保护法》

《民法典》《个人信息》第一千零三十四条第二款规定：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份的各种信息，包括自然人的姓名、出生日期、以及身份证号码、生物识别信息、地址、电话号码、电子邮件、健康信息、行踪信息等。” 《个人信息保护法》第4条第1款规定：“通过电子或者其他方式与已识别或者可识别的自然人有关的各种信息，不包括匿名信息”，由于部门法律规定的对象存在差异，上述两项法规中“个人信息”的外延与《刑法》略有不同。这并不意味着刑法领域的判决可以抛弃《民法典》、《网络安全法》和《个人信息保护法》而自成一派，也不意味着刑法中的个人信息不需要像一些学者认为的那样需要识别性。

在刑事司法实践中，行为人侵犯的个人信息基本可以纳入常见的民事案件类型，在《民法典》或《个人信息保护法》中明确规定。但刑事司法解释中未明确列出的信息类型与刑法中的信息类型并不相同。没有惩罚。这是由法律秩序的统一性决定的。当刑法与人民有保护某一对象的同一目的时，刑法应当服从民法。这是法律秩序统一性的自然要求。具体针对本罪，《民法典》和《网络安全法》中“个人信息”的延伸，为刑法定罪提供了依据，成为刑法保护个人信息的最高边界。

三、“公民个人信息”的特征和类别

在判断特定信息是否属于“公民个人信息”之前，应当了解其特征和类型。

（一）确定“公民个人信息”的重要特征

二是信息真实有效。如果行为人以营利为目的，重复提供信息以增加信息量，或者行为人向多方传播后获得大量重复信息，或者信息明显歪曲、虚假的，不予认定。属于这一类别，因为它无法对应于特定公民。犯罪中的“公民个人信息”。

尚全推荐丨谢卓英：对侵犯公民个人信息罪中“公民个人信息”的厘清

司法实践中，大多数判决不会采纳被告提出的信息无效或不真实的辩护意见，但也有例外。综上所述，法官目前有以下三种处理方式：一是量刑时考虑适当，从轻处罚；其次，根据公诉机关提出的指控数量，考虑对被告人有利的做法，删除有问题的信息或数据。案件涉及的信息量和数据量确定得尽可能低；第三，有效信息量按照被告人及其同伙供述的比例（共同犯罪的情况）计算。以上三种方法得到的裁判结果在一定程度上都是合理的。

(2) 《个人信息保护法》和《刑法》的分类

《个人信息保护法》第五条将公民个人信息分为敏感信息、重要信息和一般信息三大类。具体来说，行踪信息、通讯内容、信用信息、财产信息等属于敏感信息；公民的住宿信息、通讯记录、健康生理信息、交易信息以及其他可能影响人身财产安全的个人信息属于重要信息；除其他信息均为一般信息。对于不同类型的信息，定罪的标准也不同：非法获取、出售、提供行业敏感信息50条以上；非法获取、出售、提供重要信息500条以上；非法获取、出售、提供重要信息50条以上；非法获取、出售、提供重要信息50条以上。超过前述信息公民个人信息超过5000条，情节严重，可能构成本罪。

与《解释》不同，《解释》将信息分为敏感信息和非敏感信息两类，并在第二十八条中规定：“个人敏感信息是指一旦泄露或者被非法使用，容易导致人格尊严受损的信息。被侵害的自然人或者财产安全受到危害的人或人的个人信息，包括生物特征、宗教信仰、特定身份、医疗健康、财务账户、行踪等信息，以及未成年人的个人信息。十四岁。”

不同的部门法有不同的监管目的，因而有不同的分类方法，这是正常的。然而，《个人信息保护法》对个人信息的分类过于详细，导致存在以下缺陷。一方面，各类信息之间存在交叉重叠问题，法院在认定具体信息时容易因标准不同而出现罪刑不平衡的情况。另一方面，除了信息直观的外在表现外，使用、获取或提供目的等因素也会影响信息的重要性。在不考虑上述因素的情况下，一般会判定某个信息为敏感信息或重要信息。或一般信息，存在过于绝对的风险。对此，笔者同意周广权教授的观点，即应放弃刑法中细分个人信息类型的思路，直接运用个人信息保护法将个人信息分为敏感信息和一般信息。

4.“公民个人信息”的具体类别

在司法实践中，大多数案件的犯罪对象是公民的一般身份信息。实践中对于此类一般个人信息的认定争议较少。一般情况下，信息内容越详细，越有可能构成重要信息和敏感信息。如果不能准确掌握和理解不同的信息，就会导致有罪和无罪的认定出现问题。因此，明确某些信息的具体范围具有重要的现实意义。

（一）“公民”的范围

“公民”的主体不仅限于中国公民，而且不包括单位。首先，“公民”应作广义解释。行为人提供、获取个人信息的社会危害性，不会因受害人是否为中国公民而受到影响。因此，在不受“中华人民共和国”前缀限制的情况下，本罪所保护的合法权益应包括外国人、无国籍人的个人信息。我国对每个人一视同仁的做法，就是平等保护原则的体现。其次，将单位排除在“公民”范围之外的理由有三：一是“公民”与“单位”不相容；其次，大多数信息自由权、担保权和隐私权产生关于人格权，单位不具有人格权或信息权，但可能承担信息披露义务；第三，对于单位所拥有的“商业秘密”、“商业信誉”、“商品声誉”等信息权利，虽然也需要受到刑法的保护，但侵犯商业秘密罪等犯罪行为损害商业信誉、产品声誉罪足以判断行为人承担刑事责任。

（二）行踪范围

行踪轨迹信息是关系到人身安全的高度敏感信息，法律应高度重视、重点保护。一方面，行踪内容能够比较完整地反映自然人的活动情况；另一方面，此类信息通常可以与特定自然人相关联，无需与其他信息结合，相对独立。《解释》第5条规定了罚款的数额。犯罪分子只要非法获取、出售、提供行踪信息50条以上，情节严重，就构成刑事犯罪。不难看出，将行踪信息定罪的门槛较低，处罚力度也较大。但现行法律法规缺乏对行踪的具体定义。实践中，难免出现同一案件因标准不明确而产生不同量刑的情况。因此，应严格把握行踪具体认定，避免扩大刑事处罚范围。

日常生活中常见的行踪信息可以分为两类：一是车票、出租车记录等静态信息，可以反映自然人过去或未来的行踪；二是GPS定位、实时位置共享等反映自然人当前行踪的动态信息。虽然第一类也能在一定程度上反映自然人的活动情况，但与可以实时监控自然人位置变化的第二类相比，其风险程度明显较低。应当认为，只有第二类行踪信息才能纳入刑法中的“公民个人信息类别”，因为一旦被故意人掌握，就可能引发抢劫、绑架、抢劫等犯罪行为。严重危害公民人身、财产安全的凶杀案。这也是司法解释降低刑事犯罪门槛的初衷和目的。

这一观点在司法实践中得到了运用。相关判决指出：行踪轨迹信息是公民的个人信息，直接涉及人身安全，应仅理解为GPS定位、车辆轨迹信息等能够直接识别特定个人位置坐标的信息。信息。民航订票、民航出发、铁路售票、出入境、车辆检查站、滴滴打车等信息虽然涉及公民个人轨迹，但上述个人信息所反映的内容需要与其他信息结合使用以及查询人的目的，因此不宜将上述民航订票、民航出发、铁路客票销售、进出境、车辆检查站、滴滴打车等信息作为单一行踪信息进行计算。刘先全教授也认为，行踪信息与普通公民的个人信息存在一定差异。它是犯罪分子最有可能使用的信息类型之一。犯罪分子可以利用此类信息来锁定信息主体。侵权行为，从而危及公民个人人身、财产安全，是尤为敏感的信息。

（三）财产信息范围

财产信息泄露极易引发危害财产安全犯罪。为了明确财产信息的具体范围，最高人民检察院发布《解释》（以下简称《检察机关办理侵犯公民个人信息案件指引》），对财产信息进行了更加明确的规定：财产信息不仅包括金融服务账户的身份认证信息银行、证券、期货等信息，以及存款、房产等房产信息。其中，房产、车辆等信息是否属于房产信息，在学术界引起争议。有人认为，房地产信息应与与人和财产直接相关的敏感信息区分开来，将其认定为交易信息更为合适。由于房产信息相对一般私有财产而言是相对公开的，而在实践中，行为人挪用动产的意图远高于不动产。即非法获取房产信息后侵害自然人合法权益的危险性和紧迫性较低，不适宜。应当判处法定最严厉的刑罚。

但极少数情况下，与其关联的房产信息不仅包括房主的个人信息、居住信息，还包括详细位置、面积、成交价格、成交时间、装修程度等各种详细信息，一些信息的非法获取也会使自然人的人身、财产安全面临危险。获取上述房产信息就相当于掌握了公民的财产状况。考虑到案件的具体情况，认定为财产信息是合理的。

（四）侵犯公共信息行为的认定

对于依法公开的公民个人信息，意味着每个人都有获取的权利。这时，合法获取或提供就不会违反国家规定，也不会违法。如果行为人获取公开的个人信息，然后有偿转让或者出售，是否不构成侵犯个人信息罪？实践中，一直存在这样一个问题：未经自然人同意，获取自然人在公共互联网上公开的部分信息，并将其出售或者提供给他人是否构成犯罪。有两种理论：有罪和无罪。

大多数人主张有罪论，认为个人信息不同于个人隐私。公共信息虽然失去了隐私性，但仍然属于个人信息。获取或者使用此类信息仍可能侵犯个人生活安宁，危害公民人身、财产权利。因此，脱离市场主体信息的个人姓名、身份信息如身份证号、家庭住址、通讯方式等信息，仍具有个人信息的本质属性，这种行为构成本罪。同意无罪论的人认为，公民在公共网络上披露信息意味着个人同意放弃自己的权利。即使包含与自然人高度相关的内容，也不属于本罪保护的个人信息。

“合法性”的认定应当根据自然人披露信息的目的和行为人获取信息的目的进行综合判断。当行为人处理披露的个人信息但不违反信息披露目的、不侵犯自然人共享合法利益的自由时，《指引》《民法典》等前提法律不干预。个人信息是权利主体自愿获取的。如果放弃受保护的财产，且其处分行为不违反处分财产的意思表示，则丧失刑法的保护性质，不属于刑法保护的行为客体。相反，行为人的获取、提供行为偏离、改变信息公开目的，或者行为人获取、提供公开的个人信息实施危害公民人身、财产安全的违法犯罪行为的，以侵犯个人信息罪论处。