​​《中华人民共和国民法典》将于明年1月1日起施行。在《民法典（草案）》中，关于人格权独立成编被看做是此次民法典编纂的最大亮点之一。其中隐私权和个人信息保护这一章节，更是备受瞩目。规定了隐私的定义，界定了个人信息的定义，构建了自然人和信息处理者之间的基本权利义务框架，规定了国家机关及其工作人员负有保护自然人的隐私和个人信息的义务。

在第1033条明文规定，除法律另有规定或权利人明确同意外，任何组织和个人不得以电话、短信、即时通信工具、电子邮件、传单等方式侵扰他人的私人生活安宁。从而将个人信息的保护从民法典予以明确保护，为后续立法带来基础保障。

而早在《刑法修正案七》就有关个人信息的保护，为了保护公民的个人信息安全，2009年2月28日十一届全国人大常委会七次会议通过的《刑法修正案(七)》将侵犯公民个人信息，情节严重的行为增设为犯罪，在《刑法》第253条规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人情节严重的处三年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

此规定将非法获取、出售、提供公民个人信息的行为纳入刑事打击的范围，对公民个人信息刑事保护的关键，尤其对掌握公民个人信息的机构和个人来讲，在出售公民个人信息时，对于惩治侵犯公民个人信息犯罪，起到了震慑作用。

而这说明，侵犯个人信息的，情节严重的话是属于犯罪行为。

此外，《刑法修正案(七)》增设的非法获取计算机信息系统数据罪也属于与公民个人信息相关的罪名，该罪所针对的计算机信息系统数据，特别是其中所涵括的“身份认证信息”，也是公民个人信息的重要范畴。

“公民个人信息”的范围

如何妥当把握“公民个人信息”的范围，直接影响到侵犯公民个人信息罪在司法实践中的正确适用。然而，由于《刑法》第253条之一未对“公民个人信息”作出明确界定，在《侵犯公民个人信息罪解释》第1条对“公民个人信息”的内涵和外延作出明确规定。

对“公民个人信息”的主体范围应采取相对宽泛的理解，既包括中国公民的个人信息，也包括外国公民和其他无国籍人的个人信息。

(1)  从刑法规范用语的角度来看，《刑法》第253条之一的用语是“公民个人信息”，并未限定为“中华人民共和国公民的个人信息”，故不应将此处的“公民个人信息”限制为中国公民的个人信息。可以类比的是，《刑法》第252条规定故意杀人罪的对象为“人”，无疑不能将此处规定的“人”理解为中国人，否则对于在中国境内杀害外国公民的案件无法适用该条规定。

(2)  外国人、无国籍人的信息应当同中国公民的信息一样受到刑法的平等保护，否则，会出现对外籍人、无国籍人个人信息保护的缺失，这显然不符合立法精神和主旨。就个人信息的刑法保护而言我国对中国公民、处在中国境内的外国人和无国籍人以及遭受中国领域内危害行为侵犯的外国人和无国籍人，一视同仁地提供刑法的保护，不主张有例外。基于平等适用刑法原则无论是侵犯我国境内的外国人无国籍人个人信息的刑事案件，还是我国境内危害行为侵犯境外的外国人、无国籍人个人信息的刑事案件，我国均享有当然的刑事管辖权，对于这类刑事案件没有理由不适用我国刑法的规定追究刑事责任。

(3)  从司法实践的具体情况来看，将大量外籍人、无国籍人个人信息排除在刑法保护之外，无疑放纵了犯罪。特别是对于一起侵犯公民个人信息犯罪案件所涉及的个人信息既有我国公民的个人信息，也有外国公民、无国籍人的个人信息的，只处罚涉及我国公民个人信息的部分，既不合理，也难操作。

 “公民个人信息”的内涵如何把握?

目前，我国关于个人信息的界定，在《网络安全法》予以规定。《网络安全法》第76条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、生物识别信息住址、电话号码等。”对侵犯公民个人信息罪中“公民个人信息的界定。

《侵犯公民个人信息罪解释》第1条在《网络安全法》第76条规定的基础上，进一步明确“公民个人信息”包括身份识别信息和活动情况信息。

 (1)对《网络安全法》关于“个人信息”的界定宜采取广义的理解。《网络安全法》将“个人信息”界定为“能够识别自然人个人身份的各种信息”。此处显然使用的是广义的“身份识别信息”的概念，既包括狭义的身份识别信息(能够识别出特定自然人身份的信息)，也包括体现特定自然人活动的信息。从实践来看，行踪轨迹信息系事关人身安全的高度敏感信息，无疑应纳入法律保护范围，且应当重点保护。

但是，行踪轨迹信息显然难以纳入狭义的“身份识别信息”的范畴。如果认为《网络安全法》将此类信息排除在“个人信息”的范围外，恐难以认同。合理的解释是，《网络安全法》将体现特定自然人活动的信息含括在“身份识别信息”的范畴内。

(2)《网络安全法》对个人信息的界定目的不完全同于《刑法》第253条之一的规制目的。《网络安全法》第1条规定：“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”据此，《网络安全法》主要是从网络信息安全的角度对个人信息作出规定，而《刑法》第253条之一的主要目的在于保护公民个人信息安全和相关合法权益，二者的目的不完全一致。因此，从更为有效保障公民个人信息权益的角度，对“公民个人信息”不应人为限缩范围，宣

反映特定自然人活动情况的信息明确纳入“公民个人信息”的范畴。

(3)刑法关于侵犯公民个人信息犯罪的规定早于《网络安全法》的相关规定。对侵犯公民个人信息罪所涉及的“公民个人信息”的解释不必完全受制于在此之后施行的《网络安全法》的规定。而且，此前全国人民代表大会常务委员会《关于加强网络信息保护的决定》第1条第1款明确规定：国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。”上述规定虽然不是直接针对《刑法》第253条之一规定的“公民个人信息”，但为准确把握“公民个人信息，但为准确把握提供了可资借鉴的基础。

《惩处公民个人信息犯罪通知》也明确公民个人信包括“能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。而司法实践来看，相关典型案例也明确被告人通过非法跟踪他人行踪所获取的信的日常活话动信息属于“公民个人信息”的范畴，基于以上考虑，《侵犯公民个人信息罪解释》第1条规定：“刑法第二百五十条之一规定的公民个人信息’，是指以电子或者其他方式记录的能够单独或若与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种于定信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况行踪轨迹。

 “公民个人信息”的外延如何具体把握?

根据《侵犯公民个人信息罪解空间释第1条的规定，关于“公民个人信息”的外延，有以下几个具体问题

 (1)个人信息包括已公开的个人信息。

概览域外数据信息法律保护模式，主要采取隐私权保护模式，以隐私权为基础，通过大量判例逐步构建起了一套保护制度。

通常认为，个人信息与个人隐私之间虽有交叉但亦有区别。《侵犯公民个人信息罪解释》第1条没有采用“涉及个人隐私信息”的论述，而是表述为“反映特定自然人活动情况的各种信息”。因此，公民个人信息不要求具有个人隐私的特征。

对此实践中须注意的是，即便相关信息已经公开，不属于个人隐私的范畴，但仍有可能成为“公民个人信息”，如有关国家机关或者部门为救济、救助或者奖励而公示的公民个人信息。对于此类信息获取可能是合法的，而获取后出售或者提供的行为是否构成侵犯公民个人信息罪，则须判断是否“违反国家有关规定”。

特别是，对于权利人自愿公开的信息，特别是有意公开的信息，经整理后提供的行为，是否可以推定被收集者已经同意从而无须就出售或者提供行为再次经得被收集者同意实践中存在不同认识。

对于上述情形追究刑事责任，应当进步审查出售、提供行为是否违反法律、行政法规、部门规章的禁止性规定。

公民个人信息须与特定自然人关联。

这是公民个人信息所具有的关键属性。因此，经过处理无法识别特定个人且不能复原的信息，虽然也可能反映自然人活动情况，但与特定自然人无直接关联，不能成为公民个人信息的范畴对于与特定自然人关联，可以是识别特定自然人身份，也可以是反映特定自然人活动情况。

需要注意的是，无论是识别特定自然人身份，还是反映特定自然人活动情况，都应当是能够单独或者与其他信息结合所具有的功能。例如，身份证号与公民个人身份一一对应，可以单独识别公民个人身份；而工作单位家庭住址等无法单独识别公民个人身份，需要同其他信息结合才能识别公民个人身份。

但是，上述两类信息无疑都属于公民个人信息的范畴。在大数据时代，从理论上而言，任何信息与其他足够多的信息相结合，都可以识别特定自然人身份或者反映特定自然人活动情况。因此，对于不能单独识别特定自然人身份或者反映特定自然人活动情况的部分关联信息，究克那些以纳入“公民个人信息”的范畴，必然会存在较大的认识分歧。司法适用中具体判断部分关联信息是否可以认定为“公民个人信息”，目前存有争议。

网络犯罪的实务问题

需要结合的其他信息的程度。如果涉案信息本身与特定自然人的身份、活动情况关联程度高，需要结合的其他信息相对较少，则认定为“公民个人信息”的可能性较大；反之，如果需要结合的其他信息过多，则认定为“公民个人信息”的可能性较小。

信息本身的重要程度。如果涉案的信息与人身安全、财产安全密切相关，敏感程度较高，则对于此类信息在认定是否属于“公民个人信息”时，可以采取相对从宽的标准。

行为人主观目的。如果行为人主观上获取涉案信息就不需要识别特定自然人身份或者反映特定自然人活动情况，则此类部分关联信息原则上不宜认定为“公民个人信息”。

与特定自然人关联的账号密码属于“公民个人信息”。对于“账号密码”能否纳入“公民个人信息”的范围，存在不同认识。实际上，当前账号密码往往绑定身份证号、手机号码等特定信息，即使未绑定特定信息，非法获取账号密码后也可以实施进一步的侵犯财产甚至人身的行为。故而，将账号密码”列明，有利于保护公民个人信息安全和合法权益。基于此，《侵犯公民个人信息罪解释》第1条明确将“账号密码”列为“公民个人信息”的范围。

“非法获取公民个人信息”的认定

根据《刑法》第253条之一第3款的规定，窃取或者以其他方法非法获取公民个人信息的。

对于“购买公民个人信息”是否属于“以其他方法非法获取公民个人信息”，存在不同认识。 “其他方法”应当限于与“窃取”危害性相当的方式(如抢夺)，不宜将“购买”包括在内。

 《刑法》第253条之一第3款并未明确排除“购买”方法且购买公民个人信息当然属于非法获取公民个人信息的情形。从实践来看，当前非法获取公民个人信息的方式主要表现为购买，如排除此种方式，则会大幅限缩侵犯公民个人信息罪的适用范围。不少侵犯公民个人信息犯罪案件，购买往往是后续出售、提供的前端环节，没有购买就没有后续的出售、提供。

而且，相当比例的侵犯公民个人信息刑事案件都是从购买环节入手，然后顺着购买的路径发现出售、提供公民个人信息的犯罪嫌疑人。如果不将购买公民个人信息纳入刑事规制范围，对于购买的行为无法刑事立案，恐会影响对侵犯公民个人信息其他环节的侦办，进而影响对整个犯罪链条的惩治。

基于此，《侵犯公民个人信息罪解释》第4条明确规定：“违反国家有关规定通过购买、收受、交换等方式获取公民个人信息，或者在履行职责、提供服务过程中收集公民个人信息的，属于刑法第二百五十三条之一第三款规定的以其他方法非法获取公民个人信息’。”

获取公民个人信息行为“非法”的判断。对于获取公民个人信息，第253条之一第3款将罪状直接表述为“非法获取”。对此处的“非法”，应当以是否违反国家有关规定作为判断标准。

需要注意的是，基于特定身份关系获取特定公民个人信息的案件已经出现，就此类案件而言，行为人与被害人之间的特定身份关系不能成为非法获取公民个人信息的抗辩事由。

非法收集公民个人信息的处理。《网络安全法》第41条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，早在《刑法修正案(九)》之前，针对《刑法》第253条之一规定的“非法”获取公民个人信息，从“公民个人信息”是“个人法益”且具有“超个人法益属性”的角度出发，主张“非法”无须根据前置的配套法律法规进行认定，无须等待我国公民个人信息保护法等类似的法律法规出台后才能确定，除依法强制公民提供公民个人信息的情形之外，凡是未经公民个人明示或者默示之同意而获取公民个人信息的，均属于“非法”获取。

部分参考喻海松

 ​​​​